個人認証装置、個人認証システム、個人認証方法
【課題】安全なクローズ型のネットワーク認証と、ユーザ負担の少ない認証方法を提供する。
【解決手段】ユーザHは携帯電話7を身に付けている。また、携帯電話7とパーソナルコンピュータ1の入力機器(マウスやキーボード)3a、3bとは、人体を介する通信で通信路が確保されている。ネットワーク型の認証では、2つのルート(インターネット網を用いたルートと携帯網を用いたルート)を用い、かつ、認証を求めているコンテンツルート(ルートA)には一切のIDやパスワードは流さず、第2のルート(ルートB)で認証を行なう。ルートAでは、インターネット15を介して、サーバ21と付随するコンピュータ17とが接続されている。ルートAとは異なるルートBで認証サーバ27により認証処理が行われ、一切の認証情報はルートAを通らない。
【解決手段】ユーザHは携帯電話7を身に付けている。また、携帯電話7とパーソナルコンピュータ1の入力機器(マウスやキーボード)3a、3bとは、人体を介する通信で通信路が確保されている。ネットワーク型の認証では、2つのルート(インターネット網を用いたルートと携帯網を用いたルート)を用い、かつ、認証を求めているコンテンツルート(ルートA)には一切のIDやパスワードは流さず、第2のルート(ルートB)で認証を行なう。ルートAでは、インターネット15を介して、サーバ21と付随するコンピュータ17とが接続されている。ルートAとは異なるルートBで認証サーバ27により認証処理が行われ、一切の認証情報はルートAを通らない。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人認証技術に関し、特に、個人認証システム、個人認証方法、および認証デバイス、並びにコンピュータ・プログラムに関するもので、通信を介した認証に関する。
【背景技術】
【0002】
インターネット等の普及により、ウェブ等を閲覧するだけでなく、個人を認証することを前提としたコンテンツ(音楽データ、画像データ、ゲームプログラム等のソフトウエアデータ)、メンバー制のサイト、また、ネットワーク上での電子決済や電子マネーの使用が急激に増大している。さらには、インターネットを利用したホームセキュリティ等、個人の認証と個人情報の保護が十分でないと、大きな問題に発生する危険性がある利用法もあり、オープンなネットワークであるインターネットにおいて、いかに個人を確実に認証し、安全性を確保するかが重要な課題となっている。
【0003】
セキュリティ確保の方法には様々な手法があるが、最も簡単でよくつかわれている方法は、IDとパスワードによる認証である。しかしながら、ユーザIDとパスワードの管理は、いくつかの問題があり、簡単なパスワードや共通のパスワードを使用していることで、総当たりで破られること、パスワード等がネット経由上で盗まれること、さらには偽サイト等で個人情報を入力させてしまいIDやパスワードが盗まれてしまう(クレジットカード番号等を入力させることも含む)等がある。
【0004】
これを回避する手段として、番号、記号による入力ではなく、ICチップ等を有するデバイス(ICカード等)を用いることで、認証を行い、セキュリティを高める場合もある。
さらには、ユーザの使い勝手を考慮し、さらに最近研究が進んでいる人体を介した通信でこれを解決する方法が提案されている(下記特許文献1参照)。
【0005】
当該文献に掲載されている例を図12に示す。図12によれば、ユーザの装着した複数の認証デバイス131、132、133間で、人体Hを介した通信による認証を実行し、複数の認証デバイス131〜133が同一ユーザに属するデバイスであることを、外部接続機器(例えばサーバ)120との認証開始条件とする。あるいは、サーバ120が、ユーザの装着した少なくとも2つの認証デバイスが正当な同一ユーザに属する認証デバイスであることを検証する。あるいは、鍵情報またはIDを断片化したデバイスの断片化情報を集積して鍵情報またはIDを生成してサーバとの認証に必要な情報を生成する構成とした。
【0006】
ユーザは、ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133を身に付けている。これらの認証デバイス131〜133は、ICチップを内蔵していて、暗号化として共通鍵、あるいは公開鍵方式等を用いた相互認証処理を実行する機能を持ち、人体Hに接触する接点を介して人体を介して通信を実行し、相互に認証処理を実行できる。これにより、安全で確実な個人認証を可能とする個人認証システムを提供することができる。
【0007】
また、認証方法としては、
1)パーソナルコンピュータ(PC)110と認証処理する。
2)パーソナルコンピュータ110からネットワークを介して認証サーバ120と通信を実行し認証処理する、方法がある。
【0008】
1)は、パソコンPC110にログインする時に認証するため、これらのデバイス131等を持たない他人がなりすましてログインできなくなり、情報が漏れる心配がない。つまりパスワードを盗まれてしまったという問題を回避できる。2)は、パソコンを閉じずに認証サーバにより認証してもらうので、さらに安全性が増す。
【0009】
このように、ICチップを利用した認証方法は、キーボードからIDやパスワードを入力するだけのセキュリティに比べて、より安全性が高まる。また、この例のように、人体を介した通信を用いることにより、ユーザの使用時の不便性も低減でき、使いやすい認証方法が実現できるという利点がある。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2003−060635号公報
【非特許文献】
【0011】
【非特許文献1】WME2009 Workshop03 Overview of Human Body Communication and R&D Trend
【発明の概要】
【発明が解決しようとする課題】
【0012】
しかしながら、このような認証を用いても、以下のような問題点が残る。
1)ICチップデバイスの盗難、複製、暗号管理等の問題。
2)ICチップの購入、保持、認証サーバを用いる場合のユーザの負担の問題。
【0013】
上記1)の問題点は、ICチップデバイスがパッケージ型の認証デバイスであることである。
【0014】
つまり、それ自体はユーザが管理し常に監視できている状態でないと、セキュリティが下がることに起因する。また、セキュリティが高いとはいえ、ユーザの知らない間に複製が作られている可能性もある。
【0015】
例えば、上記1)のパソコンとの認証方法では、この認証デバイス(ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133)等が、借用されたり、盗用されたりすると、別人でも認証されてしまう。また、2)の認証サーバタイプであっても、ユーザが盗難や複製に気がついてサーバでの認証を止めない限りセキュリティは破られてしまうという問題がある。
【0016】
例えば、個人利用で年の数回程度のネットショッピング等を考えた場合、使用頻度が少ないので、認証デバイスが紛失してしまっていても、盗難に気付くのが遅くなったり、複製の場合には問題が顕著化するまで気がつかない場合もありうる。
【0017】
2つ目の問題は、これらのシステムが認証システムとして成り立つためには継続的な運用が必要であるためコストがかかり、ICチップデバイスも必要でユーザの負担となることである。
【0018】
上記1)の利用も2)の利用も、認証デバイス(ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133等)は、ユーザが購入する必要がある。また、認証サーバの保持も負担が必要(たとえば月額○○円等)で、年に数回しかネットショッピングしかしない個人ユーザが、そのセキュリティを高めるために、認証サーバシステムの費用を負担することは困難である。
【0019】
本発明は、以上の問題点に鑑み、より安全なネットワーク認証と、ユーザ負担の少ない認証方法と、を提案することを目的とするものである。
【課題を解決するための手段】
【0020】
本発明の一観点によれば、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うことを特徴とした認証システムが提供される。これにより、セキュリティの高い認証システムを簡単に実現できる。前記第1の機器は、入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、前記第1のネットワーク上におかれるようにしても良い。これにより、クラウドコンピュータに応答可能である。
【0021】
また、本発明は、上記に記載の認証システムに用いられる端末装置であって、前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された前記端末装置において、前記第1の機器の前記第1のネットワークにおける認証を、前記端末装置が前記第2のネットワークを介して、前記第2のネットワークの認証システムにアクセスすることにより実行されることを特徴とする端末装置であっても良い。
【0022】
また、ネットワークを介してシステム(サーバ)に特有の情報を通知するシステムにおいて、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段で接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が特有の情報を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で特有の情報の取得を行うことを特徴とする認証システムであっても良い。当該認証システムに用いられる端末装置であって、前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された端末装置において、前記第1の機器の前記第1のネットワークにおける個人情報の取得に際し、前記端末装置が前記第2のネットワークを介して、個人情報を前記第1のネットワークに通知することを特徴とする端末装置であっても良い。ここで、前記第2の機器は、固有の識別子を有する携帯端末であることを特徴とする。前記識別子は、電話番号又はメールアドレスであることを特徴とする。
【0023】
前記第1の機器は、ネットワークにつながる通信部とユーザが操作する操作部とが別体に構成され、前記通信部と前記操作部とが通信手段によって接続可能とされ、前記第2の機器は前記通信部又は前記操作部と通信することにより前記第1の機器と接続されることを特徴とする端末装置であっても良い。前記第1の機器、あるいは第1の機器とつながる操作部と前記第2の機器との間の通信手段は電界を介した人体通信であることを特徴とする。
【0024】
また、前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行う認証システムに用いられる端末装置であって、前記第1の機器と、前記第2の機器は、前記第1と前記第2のネットワークで用いる第1の通信手段とは異なる第2の通信手段で通信する通信部を有し、前記通信部は、前記第1のネットワークの通信、あるいは、前記第2のネットワークの通信が開始されると、通信を行うことを特徴とした端末装置であっても良い。前記第1の機器及びネットワークを介したサービスがログイン状態あるいは個人の特定(認証)必要状態になることが、前記第1の機器と前記第2の機器間の通信のトリガーとなることを特徴とする。前記第1の機器のCPUが出力デバイスに前記第2の機器を用いた認証処理を行っていることを状態表示処理に基づいて、前記第1の機器と第2の機器、第2の機器の第2のネットワークとの通信が開始されることを特徴とする。前記第1の機器の表示部に、CPUがログイン画面を出力する処理に基づき、前記第1の機器と前記第2の機器の近接通信が開始されることを特徴とする。前記出力デバイスに表示されたログイン状態あるいは個人の特定(認証)必要状態において、入力デバイスから、画面メニューの携帯端末による認証手段を選択する操作をトリガーとして、前記第1の機器と前記第2の機器の近接通信が行われることを特徴とする。前記第1のネットワークの認証要求に対して行われる、前記第2のネットワークを用いた認証について、認証処理に要する認証処理時間を管理する認証処理時間管理部と、認証の管理を前記管理部に設定された所定時間内か否かに基づき接続の可否を判定する判定部と、を有することを特徴とする。
【0025】
間欠的に、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、認証保持状態を保つことを特徴とする。前記認証において、時間的な間欠性に加え、キーボードやマウスなどの入力デバイスの入力信号発生の回数に基づき、認証プロセスが間欠的に行われることを特徴とする。
【0026】
また、上記に記載の特有の情報は、前記第2のネットワークにつながる第2の機器に入力することを特徴とする端末装置であっても良い。前記特有の情報を、前記第2のネットワークにつながる前記第2の機器に記録、保持する記録部を有することを特徴とする。前記特有の情報が、前記第2のネットワークにつながるサーバの記録部に記録、保持されており、前記第2の機器からの前記第2のネットワークを介した信号により呼び出され、登録されている住所等の必要な情報を前記第1のシステム(サーバ)に送ることを特徴とする。
【0027】
課金処理に必要な認証は、前記第2のネットワークのシステム(サーバ)と信用取り引きシステムとの間で行い、前記課金処理のみ前記第1のネットワークシステムと前記第2のネットワークシステム間で行うことを特徴とする。課金処理に必要な認証と課金とを、前記第2のネットワークのシステム(サーバ)で行うことを特徴とする。前記第2のネットワークでは認証として、前記第2のネットワークを介して認証したログは前記第2のネットワークのサーバに残し、前記第2のネットワーク側で前記第1のネットワークを介したコンテンツサーバとの接続、認証記録を履歴管理することを特徴とする。前記第2のネットワークに接続された第2の機器で認証した結果を、記録、保有する記録部を有することを特徴とする。
【0028】
本発明の他の観点によれば、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、前記第1の機器と前記第2の機器とを近接通信手段により接続するステップと、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法が提供される。
【0029】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、前記第2の機器に、前記第1の機器を近接通信手段により接続するステップと、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法でも良い。前記第2の機器のコンピュータに上記に記載の認証方法を実行させるためのプログラムであっても良く、当該プログラムを前記第2の機器のコンピュータに実行させるためのコンピュータ読み取り可能な記録媒体であっても良い。また、当該記録媒体と、コンピュータと、前記近接通信を制御する回路と、を備えた集積回路でも良い。プログラムは、インターネットなどの伝送媒体によって取得されても良い。
【発明の効果】
【0030】
以上に説明したように、本発明の認証技術によれば、第1のルートに接続された情報機器と、第1のルートとは異なる携帯電話網に代表されるセキュリティの高い第2のルートと、第2のルートに接続された情報機器と、第1のルートに接続された情報機器と、第2のルートに接続された情報機器と、を近距離通信手段で接続することにより、インターネットのようなオープン環境のネットワークにおいても、安全性の高い認証を実現することができる。
【0031】
また、携帯電話等の携帯端末がすべての認証の窓口になっているため、携帯端末又は携帯網のサーバに、認証や課金の履歴を残すことができ、ユーザが容易にいつでも自分の履歴を確認できることにより、過去の接続も含めて管理可能となり、取引も含めてさらに安全性を向上させることができる。
【図面の簡単な説明】
【0032】
【図1】本発明の第1の実施の形態による認証技術の一構成例を示す概略図である。
【図2】図1に対応するシステム構成の機能ブロック図である。
【図3】図1に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。
【図4】図1に対応するシステムにおけるネットサーフィン時のシーケンス図である。
【図5】図1に対応するシステムにおけるインターネットショッピング時のシーケンス図である。
【図6】図5において、クレジット会社を含めたやり取りを示すシーケンス図である。
【図7】課金を伴うネットショッピングのシーケンス図である。
【図8】本実施の形態による認証システムをクラウドコンピューティングへ応用した例を示す図である。
【図9】本発明の第2の実施の形態による認証技術の一構成例を示す概略図である。
【図10】図9に対応するシステム構成の機能ブロック図である。
【図11】図9に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。
【図12】従来例によるICデバイスと人体通信を用いた認証システムの一例を示す図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態による認証技術について、図面を参照しながら説明を行う。
【0034】
(第1の実施の形態)
図1は、本発明の第1の実施の形態による個人認証システムの概要構成例を示す図であり、図12に対応する図である。図1に示すように、ユーザHは携帯電話(携帯端末)7を身に付けている(ウェアラブル端末)。また、携帯電話7とパーソナルコンピュータPC1の入力機器(マウスやキーボード)3a(マウス)、3b(キーボード)とは、人体(H)を介する通信(人体近傍通信と呼ばれる。今後、BAC(Body Area Communication)、以下、「BAC」と称する。)で通信路が確保されている状態である。認証処理の基本的なタイミングとしては、以下の3通りが例示的に挙げられる。
【0035】
1) ログオン時
2) インターネット上でID、パスワードに相当する認証時
3) 課金に関する処理時(クレジットカードの番号入力等に相当)
【0036】
これらの、各認証処理において、本実施の形態では、携帯電話と携帯電話網とが認証処理を実行する場合について説明する。つまり、従来のパッケージ型の認証デバイスでは、1つのルート(通常はインターネット網を用いたルート)のみで認証を行っていた。これに対して、本実施の形態によるネットワーク型の認証技術では、2つのルート(インターネット網を用いたルートと携帯網を用いたルート)を用い、かつ、認証を求めているコンテンツルート(ルートA)には一切のIDやパスワードは流さず、第2のルート(ルートB)で認証を行なうことを特徴とするものである。ルートAでは、インターネット15を介して、サーバ21と付随するコンピュータ17とが接続されている。
【0037】
つまり、従来は、図1におけるルートAのみが接続されているネットワークであり、全ての通信はここで閉じている必要があることから、コンテンツのルートも認証のルートもすべてこのルートを通ることになり、この中で処理されていた。
【0038】
一方、本実施の形態では、ルートAとは異なるルートBで認証サーバ27により認証処理が行われ、一切の認証情報はルートAを通らないことが特徴である。
【0039】
また、携帯電話は、1台1台に固有の番号が振られており、携帯電話の確実な課金をするためになりすましに対する防護策が講じられている。従って携帯電話により識別されれば他の装置とは異なることが保障され安全性(内蔵されているSIMカードのような1台1台がユニークな番号が振りあてられている機器)が極めて高いという特徴がある。
【0040】
図2は、図1に対応する認証システムの一構成例を示す機能ブロック図である。図1と同じ構成要素には同じ符号を付して、その説明を省略する。PC1は、例えば、CPU(制御部)1aと、メモリ(記憶部)1bと、通信インターフェイス1cと、BAC通信部と、入力部3a・3bと、を備えている。携帯電話7は、CPU7−1、メモリ7−2、入力部7−3、携帯通信部7−4、BAC通信部、SIMカード7−5を備えている。PC1のBAC通信部と携帯電話7のBAC通信間で、BAC通信が行われる。符号11は、通信インターフェイス部1cからインターネット接続するためのゲートウェイ11が設けられている。ルートA、ルートBを有する点については、図1と同様である。
以下に、上記3つの認証のプロセスについて詳しく説明する。
【0041】
1)ログオン時
ログオン時の例として、パーソナルコンピュータ(PC)を例にして説明するが、入退室管理等において個人を認証する場合についても同様に認証することができる。図3は、図1に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。PC1は、通常、ログオン待機状態であり、従来の認証ではWindows(登録商標)では、ユーザ名を入力、あるいは、選択すると、パスワード入力画面に遷移する。このパスワード入力画面においてパスワードを知っていれば、他人でもログオンすることができてしまう。入室管理であれば、パスワードを知っていればドアが解錠できてしまう。
【0042】
本実施の形態においては、パスワードで認証する代わりに、携帯網を用いた認証を行うことが特徴である。PC1は、パスワード入力画面を表示させる代わりに、BACにて、信号を携帯電話7とやり取りする。
【0043】
「BAC」は、近年、研究開発が進んできておりBAN(Body Area Network)、WBAN(Wireless Body Area Network)、Body-Centric Wireless Communication等とも呼ばれており、広義の意味では近距離無線通信、空間を介した無線通信、UWB等の広域な無線通信も含めて、人体近傍のいろいろな通信を意味する(非特許文献1)。その中のひとつして、電界を用いた通信方式では、電界結合を利用し通信を行うもので、携帯電話等を直接皮膚と接触している必要はなく、ポケットに入れておくだけで通信が可能なものであり、ポケットに入れた携帯電話とパソコン間で通信が行われる。
【0044】
このような通信は、携帯電話の近傍のみが通信エリアであり、無線LANのように隣家まで漏えいすることもなく、PC1のキーボードやマウス(3)を触れている人だけが(L1、L2)、この通信を成立させることができる。携帯電話7は、このBACをトリガーとし(L3)、携帯電話網を用いて、携帯電話の認証サーバ27と通信し(L4)、その認証結果をネットワークサーバ21に送り(L5)、PC1に認証通知を行うことで(L6)認証処理が終了する。すなわち、ネットワークサーバ21は、PC(1)の画面上に認証終了を示し(L6)、ログインする。
【0045】
上記の方法では、携帯電話7がネットワーク型の認証デバイスとして機能し、第1のネットワークとは異なる第2のネットワークとして携帯電話網を用いている。携帯電話7は、上記のように、もともと1台1台が確実に認証管理されており、複製を作ることは困難である。また、常に携帯電話会社が個人を特定しているため、極めて個人性の高い認証デバイスとして機能させることができる。もちろん、さらに安全性を高めるためにパスワードと携帯認証を併用することも可能である。
【0046】
尚、BACについては、PC1と携帯電話7との間で、通信を常時行っている必要はなく、ログオン画面表示時や、マウスやキーボード等の入力機器でID・パスワード入力モードを選択したときに、それをトリガーとして通信が行われるようにしても良い。
つまり、パソコンの処理と連携してハードウェアであるBAC部をアクティブにする。
このように通信時間を制限することで、装置の低消費電力化や余計な不要輻射を減らすことができるという利点がある。
【0047】
2)インターネット上でID,パスワードに相当する認証時
本実施の形態は、会員制のサイトにログインする場合や、ホームセキュリティ等、様々なコンテンツ会社の特定のサービスに個人を特定してから入りたいときに用いる例であり、図4は、その場合のシーケンス図である。
【0048】
現在のインターネット等のネットワーク通信システムでは、認証処理をID(個別のものやメールアドレス)とパスワードとにより行っているケースが多い。しかしながら、このような方式自体が、セキュリティという観点からレベルが低いうえに、ユーザによっては、ID入力にPCの記憶機能を用いたり、平易なパスワード、パスワードの使いまわしているケース等、さらにセキュリティが低くなる状態で利用しているケースが多いという問題がある。また、無線LANやパワーライン通信等では、無線等の盗聴によって、入力したID、パスワード等が傍受、盗聴される危険性もある。
【0049】
本実施の形態においては、携帯網を通じてIDやパスワードの通知、認証を行うことで、情報の流出しやすいインターネット網(無線LAN等)にはIDやパスワード等の情報は流れにくいシステムを構築するものである。
【0050】
ユーザは、PC1を利用して、ネットワークサーバ21に対して、ネットサーフィンを行い(L11)、ネットワークサーバ21はPC1に対して会員であるかどうかを確認する(L12)。入力デバイス3からPC1に対して携帯電話認証が選択され(L13)、PC1からネットワークサーバ21に対して携帯電話認証を通知する(L14)。ネットワークサーバ21からPC1に対して接続用情報が送信される(L15)。次いで、ユーザは、会員確認が必要なコンテンツ等の入力画面で「携帯電話認証」を選択すると、PC1と携帯電話7間で人体近傍通信(BAC)により通信が行われる(L16)。やり取りされる情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、認証サーバ27で認証してコンテンツサーバに通知し、コンテンツサーバで認証確立に必要な情報が含まれる。
【0051】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し(L17)、その認証結果をコンテンツ会社のネットワークサーバ21に送り(L28)、PC1に認証通知(L19)を送ることで認証を終了する。
【0052】
ここで、上記の情報にコンテンツ会社のサーバ情報(アドレス等)を含めて、それをもとに接続に行くこともできるが、携帯会社が持つサーバ情報をもとに送信することもでき、その場合には偽サイト(本物と同じレイアウトで個人情報等を盗み出そうとするサイト)に接続される危険性を回避できる。
【0053】
コンテンツ会社は、PC画面上に認証終了を示し、会員サイトにログインできる。
【0054】
この方法では、携帯電話7がネットワーク型の認証デバイスとして機能するため、その携帯電話7を身につけて保有している人のみしか当該サービスにログインできないという特徴がある。そのため、IDやパスワードを盗んでログインするようなことができなくなる。また、オープンな環境であるインターネット網や暗号化が破れやすい無線LANにID、パスワード情報が一切流れないので盗聴されにくい。
【0055】
また、携帯電話7とパソコン−ネットワークサーバ通信時にその状況をネットワークサーバは把握し、認証要求後、一定時間以内(たとえば数秒以内)に携帯の認証サーバ27との認証処理が行わなければ認証確立しない等の決まりを作れば、より安全に認証確立ができる。これもクローズ型の特徴でもある。
【0056】
また、ユーザは携帯電話7があれば安全な認証ができるので、インターネットカフェや、外出先で他人のパソコンを用いても、従来のID,パスワードのようにパソコンそのものに打ち込むことはなく、パソコンのキャッシュや記憶領域にそれらが残ったりする心配がない。もちろん、パスワード忘れもなく、いろいろなコンテンツ会社のメンバーサイトごとにIDやパスワードを変える必要もないという利点がある。
【0057】
今後のホームセキュリティ等で、外出先のパソコンから家庭に置いた監視カメラ等をみるということを考えた場合、様々な場所の個人所有でないパソコンからログインすることが行われる可能性もあり、確実性、個体の確認は重要である。
【0058】
また、ネットワーク型認証であるので、携帯を介して認証したログは携帯サーバに残すことができ、いろいろなコンテンツ会社との接続、認証記録を管理することもできる。その結果、1つの携帯電話番号ごと(SIM番号等も含む)に、すべての記録があるので、セキュリティが心配な時には閲覧も簡易である。
【0059】
もちろん、携帯電話にもすべての履歴が残こすことができ、携帯電話のログインや課金の履歴を見れば、ユーザの過去の認証状況をすべて知ることができる。
【0060】
尚、もちろん、さらに安全性を高めるためにパスワードと携帯認証とを併用することも可能である。
【0061】
3)課金に関する処理時(クレジットカードの番号入力等に相当)
ここでは、本実施の形態において、認証以外に課金処理が発生する場合について図5を参照しながら説明する。例えば、インターネットを介してショッピングする場合等がそれにあたる。本発明の実施の形態においては、認証と課金処理について、携帯網を通じて行うものである。
【0062】
この接続では、重要となる認証は、購入者の特定と、課金処理に係る認証とである。ユーザは、従来はショッピング画面で個人情報等(住所、氏名、電話番号等)をキーボード等から入力していたが、本実施の形態では個人情報入力画面で「携帯電話認証」を選択すると、パソコンと携帯電話との間で人体を介した、あるいは人体近傍通信(Body Area Communication)で通信が行われる。この情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、携帯網からの認証を確立するのに必要な情報が含まれる。
【0063】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し、その認証結果を前記コンテンツ会社のネットワークサーバ21に送り、認証を終了し、個人情報をサーバ間でやり取りする。
【0064】
この認証は、上記2)と類似したものであるが、ネットショッピングの場合には、住所等の個人情報がやり取りされる。この個人情報は携帯電話7から第2のルートで伝送することもできるが、携帯のサーバにはもともと携帯電話保有者の住所等があるので、第2のルートではそれらの情報を一切流さずに記録しているデータから処理することも可能である。コンテンツ会社は、携帯の認証サーバ27から、それらの情報を受け取り、購入者の個人情報を入手する。
【0065】
次に、購入費用を支払う必要があり、たとえばクレジットカードで支払う場合について図5を参照して説明する。従来の接続では、PCの画面からクレジットカード情報を入力するが、本実施の形態においては、クレジットカード情報等は第1のルートではなく、第2のルートを介するものである。
【0066】
図5に沿って説明を行う。まず、PC1からネットワークサーバ21に対してアクセスを行い、例えば、ネットサーフィンを行う(L21)。ネットワークサーバ21は例えばショッピング画面をPC1に提示する(L22)。PC1を見ているユーザは、好みの商品があった場合には商品購入ボタンを押す(L23)。ネットワークサーバ21は個人情報の入力を促す(L24)。PC1の入力デバイス3からPC1に対して携帯電話認証を選択する(L25)。すなわち、ユーザは、支払い画面で「携帯電話経由」を選択すると、パソコン(PC1)と携帯電話7間で人体を介した、あるいは人体近傍通信(Body Area Communication)で通信が行われる(L26からL28)。この情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、携帯網からの決裁処理の認証を確立するのに必要な情報が含まれる。
【0067】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し(L29)、携帯電話7に保有しているクレジットカード情報(個人情報通知)が上記コンテンツ会社のネットワークサーバ21に送られる(L30)。
【0068】
クレジットカードの情報は、携帯電話7から入力してもよいし、携帯電話7に記録されている情報でもよいし、第2のルートには実際は流さずに、携帯の認証サーバ27に記録されているクレジットカード情報を使ってもよい。
【0069】
ネットワークサーバ21は、PC1に対して確認通知を出し(L31)、次いで、決済処理要求を出す(L32)。入力デバイス3から、携帯電話認証を選択すると(L33)、PC1はネットワークサーバ21に対して携帯電話認証を通知する(L34)。ネットワークサーバ21は決済用情報をPC1に通知し(L35),これをBACで携帯網を用いて認証サーバ27へ通知する(L36−L38)。認証サーバ27は、クレジット情報をネットワークサーバ21に対して通知し(L39)、PC1に確認完了通知を行う(L40)。
【0070】
この方法では、携帯電話7が課金処理を第2のルートで処理するため、クレジットカード番号の入力ということを行う必要が全くなくなる。その結果、偽サイト(フィッシング詐欺)のように、偽のホームページにクレジットカード番号を入力してしまったりする心配がない。
【0071】
課金処理自体も、携帯サーバとコンテンツサーバ間の通信処理と、課金が連動しており、たとえば“アマゾン”(登録商標)の課金処理は携帯サーバと“アマゾン”のサーバシステム間で相互認証の上処理されるので、偽サイトに振り込まれたりすることはない。
【0072】
次に、図6では、ネットワークサーバ(コンテンツサーバ)21にクレジット情報を通知するのではなく、クレジットカード会社CCとの認証も携帯の認証サーバ27側で行うことで(L41、L42)、一切のクレジットカード番号等の情報そのものはネットワークサーバ(コンテンツサーバ)21にはいかず、その時の購入代金分のみが携帯電話7とコンテンツサーバ21間で決裁処理される。実際のクレジット処理は携帯電話会社とクレジット会社CC間で行われる。その結果、万が一の時にも、クレジット情報が流出しなくなる。
【0073】
さらには、図7に示すように、クレジットカード会社を使わずに、携帯電話料金として課金してしまうことも可能である。現在でも、携帯上のコンテンツ、たとえばiモードコンテンツ(登録商標)等は、携帯電話会社が代行徴収する方法が取られ、携帯の電話料金と一緒に処理される(L43)。又は、決裁も携帯口座で行うようにしても良い(L38)。この方法では、実際のコンテンツは携帯上ではなくインターネット上の売買等になるが、課金認証処理とあわせて、代行徴収することも可能である。
【0074】
以上のように、第1のルートとは別に、携帯電話網のようにセキュリティの高い第2のルートを用意し、認証、個人情報、課金にかかわる情報等、もっとも安全性を必要とする情報は、その第2のルートを使うことで安全な通信が可能となる。また、売りっぱなしのICカードタイプとは異なり、その携帯電話の認証有効性をそのたびに通信して携帯サーバで確認するので、盗難されたり、契約切れで認証有効性がない端末に対して認証する等の間違いは発生しない。
【0075】
前記実施例では各々の通信ルートの例としては、第1のルートは大容量伝送可能なオープンな光ファイバインターネット網、第2のルートが免許帯域無線を使ったクローズドな携帯電話網があるが、もちろん、第1のルートと第2のルートはこれに限ったものである必要はなく、2つのルート間の受け渡しにより認証を行うことで安全性を増すことができる。
【0076】
他の例として
公衆無線LAN網と携帯電話網
オフィス等のLAN網と携帯電話網
ADSLインターネット網とブロードバンドアクセス網(WiMAX)
等も考えられる。つまり、2つの異種の網と、それをつなぐBACで構成することができれば、本特許の本質的な効果は失われない。
【0077】
尚、第1のルートと第2のルートは異種の網を示しているもので、たとえば、第2の網として携帯電話網が家庭におかれたフェムトセルとつながり、第1のルートのプロバイダのインターネット網と同様に家庭に来ている光ファイバを通って携帯電話会社のサーバーにつながっていることもあるが、フェムトセル、携帯電話会社網間は、通っている媒体にかかわらず、携帯電話網と考えられるので、本特許の範囲内と考えられる。
【0078】
また、携帯電話の特徴的な性質として、ユーザが1台ずつ保有しており、毎月契約料を払っていること、強固なセキュリティを有すること、携帯電話にはもともと認証サーバがあることから、それを活用することで、従来例のように認証サーバとICデバイスをユーザが新たなサービスに加入する必要もなくなりユーザ負担を低く抑えることができる。また、認証業務と課金業務、代行徴収を携帯電話会社がすることの利益を考えれば、ユーザは携帯サービスの一環として構築することも可能であり、年に数回のネットショッピングのために大きな負担をするという問題点を解決できる。
【0079】
また、携帯電話は、ほぼ毎日携行しており、盗難があればすぐに気がつくことと、盗難された場合に電話機能を止める連絡をしただけで、携帯電話会社で同時に認証サービスを止めたり、連携しているサーバに通知したりできるので、個別の認証用ICチップデバイスより、盗難対応が早くできる。
【0080】
尚、実施例の説明では、2つのルートの受け渡しに電界を利用したボディエリア通信を用いて説明したが、BACとしては、電流方式、電波方式もあり、本特許の効果を果たすことを考えると、2つの異種の網を別の通信手段でつなぐことにより効果が発揮できることから、この接続は広義のBAC、ならびに有線、光通信、接触/非接触通信を含めた近接通信であれば、本特許の目的を果たすことができる。
【0081】
また、認証は、従来型(IDとパスワード)と併用することもでき、両方の認証を確認することで認証完了とすることもできる。
【0082】
また、上記では、3つの認証時のプロセスを図3-7に示したが、これは基本的な流れであり、実際の通信ではさらにいくつかのやり取りが含まれたり、異なったプロセスであっても、第1のルートと第2のルートで認証を構成することが同等であれば、本特許の本質は変わらずに応用が可能である。
また、上記例では、ログイン時、課金時の時のみの認証プロセスを示したが、これ以外に定期的(数分毎等)にBACを介して、PC1と携帯電話と通信を行うことで、ログインしたユーザが不在になってもログイン状態が続くことを回避できる。
【0083】
また、使用者として人間が入力する例を示したが、これは機器(デジタル家電機器や自動車等)であってもよい。たとえば、最近はカーナビ等の付加機能として携帯電話網を用いた通信機能の付いたものがあるが、それらを用いて、駐車場の入場管理や駐車料金の課金にルートAの駐車場システムとルートBの携帯電話網を利用することで同等の効果を発揮できる。
【0084】
別の例として、図8に、別の使用形態の認証システムの一構成例を示す。
【0085】
近年、クラウドコンピューティングと呼ばれるシステムが出てきており、図8は、本実施の形態による認証システムをクラウドコンピューティングへ応用した例を示す図である。
【0086】
クラウドコンピューティングでは、ユーザHが操作するパソコン1は、基本的には入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、インターネットNT上におかれることになる。
図8の構成は、基本的には図1の構成と同等であるが、ある特有の認証サーバ27の認証にルートBが用いられるだけではなく、演算処理時、記録媒体へのアクセス時等、ネットワークNT上におかれたシステムにアクセスすることから、ルートBを用いた認証は、1つのサーバー、システムに閉じることなく、クラウドシステム(NT)の認証に用いることができ、安全なクラウドコンピューティングが可能になる。
【0087】
(第2の実施の形態)
以下に、本発明の第2の実施の形態による認証技術について図面を参照しながら説明を行う。図9は、本実施の第2の実施の形態による認証システムの一構成例を示す図である。図9に示すように、ユーザHは携帯電話(携帯端末)7を身に付けている(ウェアラブル端末)。また、携帯電話7とパーソナルコンピュータPC1の入力機器(マウスやキーボード)3a(マウス)、3b(キーボード)とは、人体(H)を介する通信で通信路が確保されている状態である。認証処理の基本的なタイミングとしては、以下の3通りが例示的に挙げられる。
【0088】
本実施の形態では、人体Hを介した通信が直接ルートAの機器(図9では、TV61など)とつながるのではなく、ルートAと赤外線、ブルートゥースなどによりつながる機器(リモコンRCやゲームコントローラ)と携帯電話がBACにより通信する例である。
【0089】
図9においては、TV61とそのリモコンRCとが通信を行う。リモコンRCは携帯電話7と通信し、TV61はゲートウェイ11と無線LANや有線で通信を行う。以下に構成要素をまとめる。
【0090】
a)構成要素1: ルートAとつながった機器(図9ではTV61)
b)構成要素2: ルートBとつながった機器(図9では携帯電話7)
c)構成要素3: ルートAの機器と別の通信経路でつながりルートBと人体Hを介した通信(BAC)でつながった機器(図ではテレビTV61のリモコンRC)
で構成される。
【0091】
このような構成によれば、テレビがインターネットとつながり商取引をすることが行われたり、インターネットとの接続ができるゲーム機を利用して、有料ゲームのダウンロードや有料コンテンツの購入ができるようになる。この場合、基本的なコンセプト、認証の手順は、図1の第1の実施の形態と同じであるが、ユーザが触れるのは、キーボードやTV画面ではなく、リモコンやコントローラとなる点が異なる。
【0092】
そこで、人体を介した通信は携帯電話とリモコン(コントローラ)間で行われ、リモコンとインターネットでつながる機器は、その機器間の通信手段(赤外線やブルートゥース無線等)によってつながれる。
【0093】
本構成でのさらなるメリットとして、機器間が複数の無線で接続されることによる盗聴等の危険度の増大を、携帯電話による認証が解消できる。
【0094】
TV61は、パソコンPC1のようにひとりで占有して使うことより、家族や友達と一緒に使用することが多くなることが考えられるが、携帯電話認証により使用人数に関係なく個人の認証ができる。また、家族や友人であっても認証IDやパスワードを見られることは好ましくなく、従来のTV画面に向かってみんなの見ている前でIDやパスワードを打ち込むことが不要となり、安全性を高めることができる。
【0095】
図10は、図9の構成を示す機能ブロック図である。図10に示すように、TV61は、CPU61aと、メモリ61bと、表示部61cと、インターフェイス61dと、を有している。インターフェイス61dは、リモコン73と接続され、リモコン73は媒体71を介して携帯電話7と接続される。
【0096】
また、携帯電話7の赤外線通信機能等を用いて携帯電話7自身をテレビ61のリモコンRCとして使うことも提案されているが、その場合には、携帯電話7とコントローラが一体化した例と考えることができる。
【0097】
図11は、図9、10に示すシステムにおける動作例を示すシーケンス図である。リモコン73はTV61にリモコン入力L81を行う。TV61はリモコン73に対して認証要求を行う(L82)。リモコン73は、BAC通信により携帯電話7に通信を行い(L83)、携帯網を利用して携帯の認証サーバ27に対して認証を要求し(L84)、認証サーバ27は、ネットワークサーバ21に対して認証処理を行う(L85)。ネットワークサーバ21は、TV61に対して認証通知を行う(L86)。
【0098】
このように、BACは携帯電話とリモコン(コントローラ)間で行われ、リモコンとインターネットでつながる機器は、その機器間の通信手段(赤外線やブルートゥース無線等)によってつながれる。
【0099】
ここでは、ログイン時のみ示したが、図4−7と同様に会員認証、課金処理等についても、同様の処理が可能になる。
【0100】
以上に、説明したように、本発明の実施の形態による認証システムでは、携帯電話網に代表されるセキュリティの高い第2のルートと、第2のルートに接続された情報機器と第1のルートに接続された情報機器を近距離通信手段で接続することにより、インターネットのようなオープン環境のネットワークにおいても、安全性の高い認証を実現できる。
また、携帯電話等の携帯端末がすべての認証の窓口になっているので、携帯端末あるいは携帯網のサーバに認証や課金の履歴を残すことができ、ユーザが容易にいつでも自分の履歴を確認でき、過去の接続も含めて管理することにより、取引も含めてさらに安全性を向上することができる。
【0101】
また、上記の実施の形態において、添付図面に図示されている構成、処理プロセス等については、これらに限定されるものではなく、本発明の効果を発揮する範囲内で適宜変更することが可能である。その他、本発明の目的の範囲を逸脱しない限りにおいて適宜変更して実施することが可能である。
【0102】
また、本実施の形態で説明した機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0103】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
【0104】
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また前記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0105】
また、処理を実行するためのチップなどのプロセッサも本発明に入る。
【産業上の利用可能性】
【0106】
本発明は、認証システムに利用可能である。
【符号の説明】
【0107】
H…ユーザ1…パーソナルコンピュータPC、3a…入力機器(マウスやキーボード)、3b…キーボード、5…表示部、7…携帯電話(携帯端末)、11…ゲートウェイ、15…インターネット(ネットワーク)、17…コンピュータ、21…サーバ、23…基地局、27…携帯の認証サーバ。
【技術分野】
【0001】
本発明は、個人認証技術に関し、特に、個人認証システム、個人認証方法、および認証デバイス、並びにコンピュータ・プログラムに関するもので、通信を介した認証に関する。
【背景技術】
【0002】
インターネット等の普及により、ウェブ等を閲覧するだけでなく、個人を認証することを前提としたコンテンツ(音楽データ、画像データ、ゲームプログラム等のソフトウエアデータ)、メンバー制のサイト、また、ネットワーク上での電子決済や電子マネーの使用が急激に増大している。さらには、インターネットを利用したホームセキュリティ等、個人の認証と個人情報の保護が十分でないと、大きな問題に発生する危険性がある利用法もあり、オープンなネットワークであるインターネットにおいて、いかに個人を確実に認証し、安全性を確保するかが重要な課題となっている。
【0003】
セキュリティ確保の方法には様々な手法があるが、最も簡単でよくつかわれている方法は、IDとパスワードによる認証である。しかしながら、ユーザIDとパスワードの管理は、いくつかの問題があり、簡単なパスワードや共通のパスワードを使用していることで、総当たりで破られること、パスワード等がネット経由上で盗まれること、さらには偽サイト等で個人情報を入力させてしまいIDやパスワードが盗まれてしまう(クレジットカード番号等を入力させることも含む)等がある。
【0004】
これを回避する手段として、番号、記号による入力ではなく、ICチップ等を有するデバイス(ICカード等)を用いることで、認証を行い、セキュリティを高める場合もある。
さらには、ユーザの使い勝手を考慮し、さらに最近研究が進んでいる人体を介した通信でこれを解決する方法が提案されている(下記特許文献1参照)。
【0005】
当該文献に掲載されている例を図12に示す。図12によれば、ユーザの装着した複数の認証デバイス131、132、133間で、人体Hを介した通信による認証を実行し、複数の認証デバイス131〜133が同一ユーザに属するデバイスであることを、外部接続機器(例えばサーバ)120との認証開始条件とする。あるいは、サーバ120が、ユーザの装着した少なくとも2つの認証デバイスが正当な同一ユーザに属する認証デバイスであることを検証する。あるいは、鍵情報またはIDを断片化したデバイスの断片化情報を集積して鍵情報またはIDを生成してサーバとの認証に必要な情報を生成する構成とした。
【0006】
ユーザは、ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133を身に付けている。これらの認証デバイス131〜133は、ICチップを内蔵していて、暗号化として共通鍵、あるいは公開鍵方式等を用いた相互認証処理を実行する機能を持ち、人体Hに接触する接点を介して人体を介して通信を実行し、相互に認証処理を実行できる。これにより、安全で確実な個人認証を可能とする個人認証システムを提供することができる。
【0007】
また、認証方法としては、
1)パーソナルコンピュータ(PC)110と認証処理する。
2)パーソナルコンピュータ110からネットワークを介して認証サーバ120と通信を実行し認証処理する、方法がある。
【0008】
1)は、パソコンPC110にログインする時に認証するため、これらのデバイス131等を持たない他人がなりすましてログインできなくなり、情報が漏れる心配がない。つまりパスワードを盗まれてしまったという問題を回避できる。2)は、パソコンを閉じずに認証サーバにより認証してもらうので、さらに安全性が増す。
【0009】
このように、ICチップを利用した認証方法は、キーボードからIDやパスワードを入力するだけのセキュリティに比べて、より安全性が高まる。また、この例のように、人体を介した通信を用いることにより、ユーザの使用時の不便性も低減でき、使いやすい認証方法が実現できるという利点がある。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2003−060635号公報
【非特許文献】
【0011】
【非特許文献1】WME2009 Workshop03 Overview of Human Body Communication and R&D Trend
【発明の概要】
【発明が解決しようとする課題】
【0012】
しかしながら、このような認証を用いても、以下のような問題点が残る。
1)ICチップデバイスの盗難、複製、暗号管理等の問題。
2)ICチップの購入、保持、認証サーバを用いる場合のユーザの負担の問題。
【0013】
上記1)の問題点は、ICチップデバイスがパッケージ型の認証デバイスであることである。
【0014】
つまり、それ自体はユーザが管理し常に監視できている状態でないと、セキュリティが下がることに起因する。また、セキュリティが高いとはいえ、ユーザの知らない間に複製が作られている可能性もある。
【0015】
例えば、上記1)のパソコンとの認証方法では、この認証デバイス(ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133)等が、借用されたり、盗用されたりすると、別人でも認証されてしまう。また、2)の認証サーバタイプであっても、ユーザが盗難や複製に気がついてサーバでの認証を止めない限りセキュリティは破られてしまうという問題がある。
【0016】
例えば、個人利用で年の数回程度のネットショッピング等を考えた場合、使用頻度が少ないので、認証デバイスが紛失してしまっていても、盗難に気付くのが遅くなったり、複製の場合には問題が顕著化するまで気がつかない場合もありうる。
【0017】
2つ目の問題は、これらのシステムが認証システムとして成り立つためには継続的な運用が必要であるためコストがかかり、ICチップデバイスも必要でユーザの負担となることである。
【0018】
上記1)の利用も2)の利用も、認証デバイス(ネックレス型認証デバイス131、腕時計型認証デバイス132、指輪形認証デバイス133等)は、ユーザが購入する必要がある。また、認証サーバの保持も負担が必要(たとえば月額○○円等)で、年に数回しかネットショッピングしかしない個人ユーザが、そのセキュリティを高めるために、認証サーバシステムの費用を負担することは困難である。
【0019】
本発明は、以上の問題点に鑑み、より安全なネットワーク認証と、ユーザ負担の少ない認証方法と、を提案することを目的とするものである。
【課題を解決するための手段】
【0020】
本発明の一観点によれば、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うことを特徴とした認証システムが提供される。これにより、セキュリティの高い認証システムを簡単に実現できる。前記第1の機器は、入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、前記第1のネットワーク上におかれるようにしても良い。これにより、クラウドコンピュータに応答可能である。
【0021】
また、本発明は、上記に記載の認証システムに用いられる端末装置であって、前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された前記端末装置において、前記第1の機器の前記第1のネットワークにおける認証を、前記端末装置が前記第2のネットワークを介して、前記第2のネットワークの認証システムにアクセスすることにより実行されることを特徴とする端末装置であっても良い。
【0022】
また、ネットワークを介してシステム(サーバ)に特有の情報を通知するシステムにおいて、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段で接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が特有の情報を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で特有の情報の取得を行うことを特徴とする認証システムであっても良い。当該認証システムに用いられる端末装置であって、前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された端末装置において、前記第1の機器の前記第1のネットワークにおける個人情報の取得に際し、前記端末装置が前記第2のネットワークを介して、個人情報を前記第1のネットワークに通知することを特徴とする端末装置であっても良い。ここで、前記第2の機器は、固有の識別子を有する携帯端末であることを特徴とする。前記識別子は、電話番号又はメールアドレスであることを特徴とする。
【0023】
前記第1の機器は、ネットワークにつながる通信部とユーザが操作する操作部とが別体に構成され、前記通信部と前記操作部とが通信手段によって接続可能とされ、前記第2の機器は前記通信部又は前記操作部と通信することにより前記第1の機器と接続されることを特徴とする端末装置であっても良い。前記第1の機器、あるいは第1の機器とつながる操作部と前記第2の機器との間の通信手段は電界を介した人体通信であることを特徴とする。
【0024】
また、前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行う認証システムに用いられる端末装置であって、前記第1の機器と、前記第2の機器は、前記第1と前記第2のネットワークで用いる第1の通信手段とは異なる第2の通信手段で通信する通信部を有し、前記通信部は、前記第1のネットワークの通信、あるいは、前記第2のネットワークの通信が開始されると、通信を行うことを特徴とした端末装置であっても良い。前記第1の機器及びネットワークを介したサービスがログイン状態あるいは個人の特定(認証)必要状態になることが、前記第1の機器と前記第2の機器間の通信のトリガーとなることを特徴とする。前記第1の機器のCPUが出力デバイスに前記第2の機器を用いた認証処理を行っていることを状態表示処理に基づいて、前記第1の機器と第2の機器、第2の機器の第2のネットワークとの通信が開始されることを特徴とする。前記第1の機器の表示部に、CPUがログイン画面を出力する処理に基づき、前記第1の機器と前記第2の機器の近接通信が開始されることを特徴とする。前記出力デバイスに表示されたログイン状態あるいは個人の特定(認証)必要状態において、入力デバイスから、画面メニューの携帯端末による認証手段を選択する操作をトリガーとして、前記第1の機器と前記第2の機器の近接通信が行われることを特徴とする。前記第1のネットワークの認証要求に対して行われる、前記第2のネットワークを用いた認証について、認証処理に要する認証処理時間を管理する認証処理時間管理部と、認証の管理を前記管理部に設定された所定時間内か否かに基づき接続の可否を判定する判定部と、を有することを特徴とする。
【0025】
間欠的に、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、認証保持状態を保つことを特徴とする。前記認証において、時間的な間欠性に加え、キーボードやマウスなどの入力デバイスの入力信号発生の回数に基づき、認証プロセスが間欠的に行われることを特徴とする。
【0026】
また、上記に記載の特有の情報は、前記第2のネットワークにつながる第2の機器に入力することを特徴とする端末装置であっても良い。前記特有の情報を、前記第2のネットワークにつながる前記第2の機器に記録、保持する記録部を有することを特徴とする。前記特有の情報が、前記第2のネットワークにつながるサーバの記録部に記録、保持されており、前記第2の機器からの前記第2のネットワークを介した信号により呼び出され、登録されている住所等の必要な情報を前記第1のシステム(サーバ)に送ることを特徴とする。
【0027】
課金処理に必要な認証は、前記第2のネットワークのシステム(サーバ)と信用取り引きシステムとの間で行い、前記課金処理のみ前記第1のネットワークシステムと前記第2のネットワークシステム間で行うことを特徴とする。課金処理に必要な認証と課金とを、前記第2のネットワークのシステム(サーバ)で行うことを特徴とする。前記第2のネットワークでは認証として、前記第2のネットワークを介して認証したログは前記第2のネットワークのサーバに残し、前記第2のネットワーク側で前記第1のネットワークを介したコンテンツサーバとの接続、認証記録を履歴管理することを特徴とする。前記第2のネットワークに接続された第2の機器で認証した結果を、記録、保有する記録部を有することを特徴とする。
【0028】
本発明の他の観点によれば、第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、前記第1の機器と前記第2の機器とを近接通信手段により接続するステップと、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法が提供される。
【0029】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、前記第2の機器に、前記第1の機器を近接通信手段により接続するステップと、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法でも良い。前記第2の機器のコンピュータに上記に記載の認証方法を実行させるためのプログラムであっても良く、当該プログラムを前記第2の機器のコンピュータに実行させるためのコンピュータ読み取り可能な記録媒体であっても良い。また、当該記録媒体と、コンピュータと、前記近接通信を制御する回路と、を備えた集積回路でも良い。プログラムは、インターネットなどの伝送媒体によって取得されても良い。
【発明の効果】
【0030】
以上に説明したように、本発明の認証技術によれば、第1のルートに接続された情報機器と、第1のルートとは異なる携帯電話網に代表されるセキュリティの高い第2のルートと、第2のルートに接続された情報機器と、第1のルートに接続された情報機器と、第2のルートに接続された情報機器と、を近距離通信手段で接続することにより、インターネットのようなオープン環境のネットワークにおいても、安全性の高い認証を実現することができる。
【0031】
また、携帯電話等の携帯端末がすべての認証の窓口になっているため、携帯端末又は携帯網のサーバに、認証や課金の履歴を残すことができ、ユーザが容易にいつでも自分の履歴を確認できることにより、過去の接続も含めて管理可能となり、取引も含めてさらに安全性を向上させることができる。
【図面の簡単な説明】
【0032】
【図1】本発明の第1の実施の形態による認証技術の一構成例を示す概略図である。
【図2】図1に対応するシステム構成の機能ブロック図である。
【図3】図1に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。
【図4】図1に対応するシステムにおけるネットサーフィン時のシーケンス図である。
【図5】図1に対応するシステムにおけるインターネットショッピング時のシーケンス図である。
【図6】図5において、クレジット会社を含めたやり取りを示すシーケンス図である。
【図7】課金を伴うネットショッピングのシーケンス図である。
【図8】本実施の形態による認証システムをクラウドコンピューティングへ応用した例を示す図である。
【図9】本発明の第2の実施の形態による認証技術の一構成例を示す概略図である。
【図10】図9に対応するシステム構成の機能ブロック図である。
【図11】図9に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。
【図12】従来例によるICデバイスと人体通信を用いた認証システムの一例を示す図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態による認証技術について、図面を参照しながら説明を行う。
【0034】
(第1の実施の形態)
図1は、本発明の第1の実施の形態による個人認証システムの概要構成例を示す図であり、図12に対応する図である。図1に示すように、ユーザHは携帯電話(携帯端末)7を身に付けている(ウェアラブル端末)。また、携帯電話7とパーソナルコンピュータPC1の入力機器(マウスやキーボード)3a(マウス)、3b(キーボード)とは、人体(H)を介する通信(人体近傍通信と呼ばれる。今後、BAC(Body Area Communication)、以下、「BAC」と称する。)で通信路が確保されている状態である。認証処理の基本的なタイミングとしては、以下の3通りが例示的に挙げられる。
【0035】
1) ログオン時
2) インターネット上でID、パスワードに相当する認証時
3) 課金に関する処理時(クレジットカードの番号入力等に相当)
【0036】
これらの、各認証処理において、本実施の形態では、携帯電話と携帯電話網とが認証処理を実行する場合について説明する。つまり、従来のパッケージ型の認証デバイスでは、1つのルート(通常はインターネット網を用いたルート)のみで認証を行っていた。これに対して、本実施の形態によるネットワーク型の認証技術では、2つのルート(インターネット網を用いたルートと携帯網を用いたルート)を用い、かつ、認証を求めているコンテンツルート(ルートA)には一切のIDやパスワードは流さず、第2のルート(ルートB)で認証を行なうことを特徴とするものである。ルートAでは、インターネット15を介して、サーバ21と付随するコンピュータ17とが接続されている。
【0037】
つまり、従来は、図1におけるルートAのみが接続されているネットワークであり、全ての通信はここで閉じている必要があることから、コンテンツのルートも認証のルートもすべてこのルートを通ることになり、この中で処理されていた。
【0038】
一方、本実施の形態では、ルートAとは異なるルートBで認証サーバ27により認証処理が行われ、一切の認証情報はルートAを通らないことが特徴である。
【0039】
また、携帯電話は、1台1台に固有の番号が振られており、携帯電話の確実な課金をするためになりすましに対する防護策が講じられている。従って携帯電話により識別されれば他の装置とは異なることが保障され安全性(内蔵されているSIMカードのような1台1台がユニークな番号が振りあてられている機器)が極めて高いという特徴がある。
【0040】
図2は、図1に対応する認証システムの一構成例を示す機能ブロック図である。図1と同じ構成要素には同じ符号を付して、その説明を省略する。PC1は、例えば、CPU(制御部)1aと、メモリ(記憶部)1bと、通信インターフェイス1cと、BAC通信部と、入力部3a・3bと、を備えている。携帯電話7は、CPU7−1、メモリ7−2、入力部7−3、携帯通信部7−4、BAC通信部、SIMカード7−5を備えている。PC1のBAC通信部と携帯電話7のBAC通信間で、BAC通信が行われる。符号11は、通信インターフェイス部1cからインターネット接続するためのゲートウェイ11が設けられている。ルートA、ルートBを有する点については、図1と同様である。
以下に、上記3つの認証のプロセスについて詳しく説明する。
【0041】
1)ログオン時
ログオン時の例として、パーソナルコンピュータ(PC)を例にして説明するが、入退室管理等において個人を認証する場合についても同様に認証することができる。図3は、図1に対応するシステムにおけるネットワークやパソコンにログイン時のシーケンス図である。PC1は、通常、ログオン待機状態であり、従来の認証ではWindows(登録商標)では、ユーザ名を入力、あるいは、選択すると、パスワード入力画面に遷移する。このパスワード入力画面においてパスワードを知っていれば、他人でもログオンすることができてしまう。入室管理であれば、パスワードを知っていればドアが解錠できてしまう。
【0042】
本実施の形態においては、パスワードで認証する代わりに、携帯網を用いた認証を行うことが特徴である。PC1は、パスワード入力画面を表示させる代わりに、BACにて、信号を携帯電話7とやり取りする。
【0043】
「BAC」は、近年、研究開発が進んできておりBAN(Body Area Network)、WBAN(Wireless Body Area Network)、Body-Centric Wireless Communication等とも呼ばれており、広義の意味では近距離無線通信、空間を介した無線通信、UWB等の広域な無線通信も含めて、人体近傍のいろいろな通信を意味する(非特許文献1)。その中のひとつして、電界を用いた通信方式では、電界結合を利用し通信を行うもので、携帯電話等を直接皮膚と接触している必要はなく、ポケットに入れておくだけで通信が可能なものであり、ポケットに入れた携帯電話とパソコン間で通信が行われる。
【0044】
このような通信は、携帯電話の近傍のみが通信エリアであり、無線LANのように隣家まで漏えいすることもなく、PC1のキーボードやマウス(3)を触れている人だけが(L1、L2)、この通信を成立させることができる。携帯電話7は、このBACをトリガーとし(L3)、携帯電話網を用いて、携帯電話の認証サーバ27と通信し(L4)、その認証結果をネットワークサーバ21に送り(L5)、PC1に認証通知を行うことで(L6)認証処理が終了する。すなわち、ネットワークサーバ21は、PC(1)の画面上に認証終了を示し(L6)、ログインする。
【0045】
上記の方法では、携帯電話7がネットワーク型の認証デバイスとして機能し、第1のネットワークとは異なる第2のネットワークとして携帯電話網を用いている。携帯電話7は、上記のように、もともと1台1台が確実に認証管理されており、複製を作ることは困難である。また、常に携帯電話会社が個人を特定しているため、極めて個人性の高い認証デバイスとして機能させることができる。もちろん、さらに安全性を高めるためにパスワードと携帯認証を併用することも可能である。
【0046】
尚、BACについては、PC1と携帯電話7との間で、通信を常時行っている必要はなく、ログオン画面表示時や、マウスやキーボード等の入力機器でID・パスワード入力モードを選択したときに、それをトリガーとして通信が行われるようにしても良い。
つまり、パソコンの処理と連携してハードウェアであるBAC部をアクティブにする。
このように通信時間を制限することで、装置の低消費電力化や余計な不要輻射を減らすことができるという利点がある。
【0047】
2)インターネット上でID,パスワードに相当する認証時
本実施の形態は、会員制のサイトにログインする場合や、ホームセキュリティ等、様々なコンテンツ会社の特定のサービスに個人を特定してから入りたいときに用いる例であり、図4は、その場合のシーケンス図である。
【0048】
現在のインターネット等のネットワーク通信システムでは、認証処理をID(個別のものやメールアドレス)とパスワードとにより行っているケースが多い。しかしながら、このような方式自体が、セキュリティという観点からレベルが低いうえに、ユーザによっては、ID入力にPCの記憶機能を用いたり、平易なパスワード、パスワードの使いまわしているケース等、さらにセキュリティが低くなる状態で利用しているケースが多いという問題がある。また、無線LANやパワーライン通信等では、無線等の盗聴によって、入力したID、パスワード等が傍受、盗聴される危険性もある。
【0049】
本実施の形態においては、携帯網を通じてIDやパスワードの通知、認証を行うことで、情報の流出しやすいインターネット網(無線LAN等)にはIDやパスワード等の情報は流れにくいシステムを構築するものである。
【0050】
ユーザは、PC1を利用して、ネットワークサーバ21に対して、ネットサーフィンを行い(L11)、ネットワークサーバ21はPC1に対して会員であるかどうかを確認する(L12)。入力デバイス3からPC1に対して携帯電話認証が選択され(L13)、PC1からネットワークサーバ21に対して携帯電話認証を通知する(L14)。ネットワークサーバ21からPC1に対して接続用情報が送信される(L15)。次いで、ユーザは、会員確認が必要なコンテンツ等の入力画面で「携帯電話認証」を選択すると、PC1と携帯電話7間で人体近傍通信(BAC)により通信が行われる(L16)。やり取りされる情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、認証サーバ27で認証してコンテンツサーバに通知し、コンテンツサーバで認証確立に必要な情報が含まれる。
【0051】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し(L17)、その認証結果をコンテンツ会社のネットワークサーバ21に送り(L28)、PC1に認証通知(L19)を送ることで認証を終了する。
【0052】
ここで、上記の情報にコンテンツ会社のサーバ情報(アドレス等)を含めて、それをもとに接続に行くこともできるが、携帯会社が持つサーバ情報をもとに送信することもでき、その場合には偽サイト(本物と同じレイアウトで個人情報等を盗み出そうとするサイト)に接続される危険性を回避できる。
【0053】
コンテンツ会社は、PC画面上に認証終了を示し、会員サイトにログインできる。
【0054】
この方法では、携帯電話7がネットワーク型の認証デバイスとして機能するため、その携帯電話7を身につけて保有している人のみしか当該サービスにログインできないという特徴がある。そのため、IDやパスワードを盗んでログインするようなことができなくなる。また、オープンな環境であるインターネット網や暗号化が破れやすい無線LANにID、パスワード情報が一切流れないので盗聴されにくい。
【0055】
また、携帯電話7とパソコン−ネットワークサーバ通信時にその状況をネットワークサーバは把握し、認証要求後、一定時間以内(たとえば数秒以内)に携帯の認証サーバ27との認証処理が行わなければ認証確立しない等の決まりを作れば、より安全に認証確立ができる。これもクローズ型の特徴でもある。
【0056】
また、ユーザは携帯電話7があれば安全な認証ができるので、インターネットカフェや、外出先で他人のパソコンを用いても、従来のID,パスワードのようにパソコンそのものに打ち込むことはなく、パソコンのキャッシュや記憶領域にそれらが残ったりする心配がない。もちろん、パスワード忘れもなく、いろいろなコンテンツ会社のメンバーサイトごとにIDやパスワードを変える必要もないという利点がある。
【0057】
今後のホームセキュリティ等で、外出先のパソコンから家庭に置いた監視カメラ等をみるということを考えた場合、様々な場所の個人所有でないパソコンからログインすることが行われる可能性もあり、確実性、個体の確認は重要である。
【0058】
また、ネットワーク型認証であるので、携帯を介して認証したログは携帯サーバに残すことができ、いろいろなコンテンツ会社との接続、認証記録を管理することもできる。その結果、1つの携帯電話番号ごと(SIM番号等も含む)に、すべての記録があるので、セキュリティが心配な時には閲覧も簡易である。
【0059】
もちろん、携帯電話にもすべての履歴が残こすことができ、携帯電話のログインや課金の履歴を見れば、ユーザの過去の認証状況をすべて知ることができる。
【0060】
尚、もちろん、さらに安全性を高めるためにパスワードと携帯認証とを併用することも可能である。
【0061】
3)課金に関する処理時(クレジットカードの番号入力等に相当)
ここでは、本実施の形態において、認証以外に課金処理が発生する場合について図5を参照しながら説明する。例えば、インターネットを介してショッピングする場合等がそれにあたる。本発明の実施の形態においては、認証と課金処理について、携帯網を通じて行うものである。
【0062】
この接続では、重要となる認証は、購入者の特定と、課金処理に係る認証とである。ユーザは、従来はショッピング画面で個人情報等(住所、氏名、電話番号等)をキーボード等から入力していたが、本実施の形態では個人情報入力画面で「携帯電話認証」を選択すると、パソコンと携帯電話との間で人体を介した、あるいは人体近傍通信(Body Area Communication)で通信が行われる。この情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、携帯網からの認証を確立するのに必要な情報が含まれる。
【0063】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し、その認証結果を前記コンテンツ会社のネットワークサーバ21に送り、認証を終了し、個人情報をサーバ間でやり取りする。
【0064】
この認証は、上記2)と類似したものであるが、ネットショッピングの場合には、住所等の個人情報がやり取りされる。この個人情報は携帯電話7から第2のルートで伝送することもできるが、携帯のサーバにはもともと携帯電話保有者の住所等があるので、第2のルートではそれらの情報を一切流さずに記録しているデータから処理することも可能である。コンテンツ会社は、携帯の認証サーバ27から、それらの情報を受け取り、購入者の個人情報を入手する。
【0065】
次に、購入費用を支払う必要があり、たとえばクレジットカードで支払う場合について図5を参照して説明する。従来の接続では、PCの画面からクレジットカード情報を入力するが、本実施の形態においては、クレジットカード情報等は第1のルートではなく、第2のルートを介するものである。
【0066】
図5に沿って説明を行う。まず、PC1からネットワークサーバ21に対してアクセスを行い、例えば、ネットサーフィンを行う(L21)。ネットワークサーバ21は例えばショッピング画面をPC1に提示する(L22)。PC1を見ているユーザは、好みの商品があった場合には商品購入ボタンを押す(L23)。ネットワークサーバ21は個人情報の入力を促す(L24)。PC1の入力デバイス3からPC1に対して携帯電話認証を選択する(L25)。すなわち、ユーザは、支払い画面で「携帯電話経由」を選択すると、パソコン(PC1)と携帯電話7間で人体を介した、あるいは人体近傍通信(Body Area Communication)で通信が行われる(L26からL28)。この情報には、つなごうとしているコンテンツ会社の情報や、接続終了までのテンポラリーなID等、携帯網からの決裁処理の認証を確立するのに必要な情報が含まれる。
【0067】
携帯電話7は、第2のルートである携帯電話網を用いて、携帯の認証サーバ27と通信し(L29)、携帯電話7に保有しているクレジットカード情報(個人情報通知)が上記コンテンツ会社のネットワークサーバ21に送られる(L30)。
【0068】
クレジットカードの情報は、携帯電話7から入力してもよいし、携帯電話7に記録されている情報でもよいし、第2のルートには実際は流さずに、携帯の認証サーバ27に記録されているクレジットカード情報を使ってもよい。
【0069】
ネットワークサーバ21は、PC1に対して確認通知を出し(L31)、次いで、決済処理要求を出す(L32)。入力デバイス3から、携帯電話認証を選択すると(L33)、PC1はネットワークサーバ21に対して携帯電話認証を通知する(L34)。ネットワークサーバ21は決済用情報をPC1に通知し(L35),これをBACで携帯網を用いて認証サーバ27へ通知する(L36−L38)。認証サーバ27は、クレジット情報をネットワークサーバ21に対して通知し(L39)、PC1に確認完了通知を行う(L40)。
【0070】
この方法では、携帯電話7が課金処理を第2のルートで処理するため、クレジットカード番号の入力ということを行う必要が全くなくなる。その結果、偽サイト(フィッシング詐欺)のように、偽のホームページにクレジットカード番号を入力してしまったりする心配がない。
【0071】
課金処理自体も、携帯サーバとコンテンツサーバ間の通信処理と、課金が連動しており、たとえば“アマゾン”(登録商標)の課金処理は携帯サーバと“アマゾン”のサーバシステム間で相互認証の上処理されるので、偽サイトに振り込まれたりすることはない。
【0072】
次に、図6では、ネットワークサーバ(コンテンツサーバ)21にクレジット情報を通知するのではなく、クレジットカード会社CCとの認証も携帯の認証サーバ27側で行うことで(L41、L42)、一切のクレジットカード番号等の情報そのものはネットワークサーバ(コンテンツサーバ)21にはいかず、その時の購入代金分のみが携帯電話7とコンテンツサーバ21間で決裁処理される。実際のクレジット処理は携帯電話会社とクレジット会社CC間で行われる。その結果、万が一の時にも、クレジット情報が流出しなくなる。
【0073】
さらには、図7に示すように、クレジットカード会社を使わずに、携帯電話料金として課金してしまうことも可能である。現在でも、携帯上のコンテンツ、たとえばiモードコンテンツ(登録商標)等は、携帯電話会社が代行徴収する方法が取られ、携帯の電話料金と一緒に処理される(L43)。又は、決裁も携帯口座で行うようにしても良い(L38)。この方法では、実際のコンテンツは携帯上ではなくインターネット上の売買等になるが、課金認証処理とあわせて、代行徴収することも可能である。
【0074】
以上のように、第1のルートとは別に、携帯電話網のようにセキュリティの高い第2のルートを用意し、認証、個人情報、課金にかかわる情報等、もっとも安全性を必要とする情報は、その第2のルートを使うことで安全な通信が可能となる。また、売りっぱなしのICカードタイプとは異なり、その携帯電話の認証有効性をそのたびに通信して携帯サーバで確認するので、盗難されたり、契約切れで認証有効性がない端末に対して認証する等の間違いは発生しない。
【0075】
前記実施例では各々の通信ルートの例としては、第1のルートは大容量伝送可能なオープンな光ファイバインターネット網、第2のルートが免許帯域無線を使ったクローズドな携帯電話網があるが、もちろん、第1のルートと第2のルートはこれに限ったものである必要はなく、2つのルート間の受け渡しにより認証を行うことで安全性を増すことができる。
【0076】
他の例として
公衆無線LAN網と携帯電話網
オフィス等のLAN網と携帯電話網
ADSLインターネット網とブロードバンドアクセス網(WiMAX)
等も考えられる。つまり、2つの異種の網と、それをつなぐBACで構成することができれば、本特許の本質的な効果は失われない。
【0077】
尚、第1のルートと第2のルートは異種の網を示しているもので、たとえば、第2の網として携帯電話網が家庭におかれたフェムトセルとつながり、第1のルートのプロバイダのインターネット網と同様に家庭に来ている光ファイバを通って携帯電話会社のサーバーにつながっていることもあるが、フェムトセル、携帯電話会社網間は、通っている媒体にかかわらず、携帯電話網と考えられるので、本特許の範囲内と考えられる。
【0078】
また、携帯電話の特徴的な性質として、ユーザが1台ずつ保有しており、毎月契約料を払っていること、強固なセキュリティを有すること、携帯電話にはもともと認証サーバがあることから、それを活用することで、従来例のように認証サーバとICデバイスをユーザが新たなサービスに加入する必要もなくなりユーザ負担を低く抑えることができる。また、認証業務と課金業務、代行徴収を携帯電話会社がすることの利益を考えれば、ユーザは携帯サービスの一環として構築することも可能であり、年に数回のネットショッピングのために大きな負担をするという問題点を解決できる。
【0079】
また、携帯電話は、ほぼ毎日携行しており、盗難があればすぐに気がつくことと、盗難された場合に電話機能を止める連絡をしただけで、携帯電話会社で同時に認証サービスを止めたり、連携しているサーバに通知したりできるので、個別の認証用ICチップデバイスより、盗難対応が早くできる。
【0080】
尚、実施例の説明では、2つのルートの受け渡しに電界を利用したボディエリア通信を用いて説明したが、BACとしては、電流方式、電波方式もあり、本特許の効果を果たすことを考えると、2つの異種の網を別の通信手段でつなぐことにより効果が発揮できることから、この接続は広義のBAC、ならびに有線、光通信、接触/非接触通信を含めた近接通信であれば、本特許の目的を果たすことができる。
【0081】
また、認証は、従来型(IDとパスワード)と併用することもでき、両方の認証を確認することで認証完了とすることもできる。
【0082】
また、上記では、3つの認証時のプロセスを図3-7に示したが、これは基本的な流れであり、実際の通信ではさらにいくつかのやり取りが含まれたり、異なったプロセスであっても、第1のルートと第2のルートで認証を構成することが同等であれば、本特許の本質は変わらずに応用が可能である。
また、上記例では、ログイン時、課金時の時のみの認証プロセスを示したが、これ以外に定期的(数分毎等)にBACを介して、PC1と携帯電話と通信を行うことで、ログインしたユーザが不在になってもログイン状態が続くことを回避できる。
【0083】
また、使用者として人間が入力する例を示したが、これは機器(デジタル家電機器や自動車等)であってもよい。たとえば、最近はカーナビ等の付加機能として携帯電話網を用いた通信機能の付いたものがあるが、それらを用いて、駐車場の入場管理や駐車料金の課金にルートAの駐車場システムとルートBの携帯電話網を利用することで同等の効果を発揮できる。
【0084】
別の例として、図8に、別の使用形態の認証システムの一構成例を示す。
【0085】
近年、クラウドコンピューティングと呼ばれるシステムが出てきており、図8は、本実施の形態による認証システムをクラウドコンピューティングへ応用した例を示す図である。
【0086】
クラウドコンピューティングでは、ユーザHが操作するパソコン1は、基本的には入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、インターネットNT上におかれることになる。
図8の構成は、基本的には図1の構成と同等であるが、ある特有の認証サーバ27の認証にルートBが用いられるだけではなく、演算処理時、記録媒体へのアクセス時等、ネットワークNT上におかれたシステムにアクセスすることから、ルートBを用いた認証は、1つのサーバー、システムに閉じることなく、クラウドシステム(NT)の認証に用いることができ、安全なクラウドコンピューティングが可能になる。
【0087】
(第2の実施の形態)
以下に、本発明の第2の実施の形態による認証技術について図面を参照しながら説明を行う。図9は、本実施の第2の実施の形態による認証システムの一構成例を示す図である。図9に示すように、ユーザHは携帯電話(携帯端末)7を身に付けている(ウェアラブル端末)。また、携帯電話7とパーソナルコンピュータPC1の入力機器(マウスやキーボード)3a(マウス)、3b(キーボード)とは、人体(H)を介する通信で通信路が確保されている状態である。認証処理の基本的なタイミングとしては、以下の3通りが例示的に挙げられる。
【0088】
本実施の形態では、人体Hを介した通信が直接ルートAの機器(図9では、TV61など)とつながるのではなく、ルートAと赤外線、ブルートゥースなどによりつながる機器(リモコンRCやゲームコントローラ)と携帯電話がBACにより通信する例である。
【0089】
図9においては、TV61とそのリモコンRCとが通信を行う。リモコンRCは携帯電話7と通信し、TV61はゲートウェイ11と無線LANや有線で通信を行う。以下に構成要素をまとめる。
【0090】
a)構成要素1: ルートAとつながった機器(図9ではTV61)
b)構成要素2: ルートBとつながった機器(図9では携帯電話7)
c)構成要素3: ルートAの機器と別の通信経路でつながりルートBと人体Hを介した通信(BAC)でつながった機器(図ではテレビTV61のリモコンRC)
で構成される。
【0091】
このような構成によれば、テレビがインターネットとつながり商取引をすることが行われたり、インターネットとの接続ができるゲーム機を利用して、有料ゲームのダウンロードや有料コンテンツの購入ができるようになる。この場合、基本的なコンセプト、認証の手順は、図1の第1の実施の形態と同じであるが、ユーザが触れるのは、キーボードやTV画面ではなく、リモコンやコントローラとなる点が異なる。
【0092】
そこで、人体を介した通信は携帯電話とリモコン(コントローラ)間で行われ、リモコンとインターネットでつながる機器は、その機器間の通信手段(赤外線やブルートゥース無線等)によってつながれる。
【0093】
本構成でのさらなるメリットとして、機器間が複数の無線で接続されることによる盗聴等の危険度の増大を、携帯電話による認証が解消できる。
【0094】
TV61は、パソコンPC1のようにひとりで占有して使うことより、家族や友達と一緒に使用することが多くなることが考えられるが、携帯電話認証により使用人数に関係なく個人の認証ができる。また、家族や友人であっても認証IDやパスワードを見られることは好ましくなく、従来のTV画面に向かってみんなの見ている前でIDやパスワードを打ち込むことが不要となり、安全性を高めることができる。
【0095】
図10は、図9の構成を示す機能ブロック図である。図10に示すように、TV61は、CPU61aと、メモリ61bと、表示部61cと、インターフェイス61dと、を有している。インターフェイス61dは、リモコン73と接続され、リモコン73は媒体71を介して携帯電話7と接続される。
【0096】
また、携帯電話7の赤外線通信機能等を用いて携帯電話7自身をテレビ61のリモコンRCとして使うことも提案されているが、その場合には、携帯電話7とコントローラが一体化した例と考えることができる。
【0097】
図11は、図9、10に示すシステムにおける動作例を示すシーケンス図である。リモコン73はTV61にリモコン入力L81を行う。TV61はリモコン73に対して認証要求を行う(L82)。リモコン73は、BAC通信により携帯電話7に通信を行い(L83)、携帯網を利用して携帯の認証サーバ27に対して認証を要求し(L84)、認証サーバ27は、ネットワークサーバ21に対して認証処理を行う(L85)。ネットワークサーバ21は、TV61に対して認証通知を行う(L86)。
【0098】
このように、BACは携帯電話とリモコン(コントローラ)間で行われ、リモコンとインターネットでつながる機器は、その機器間の通信手段(赤外線やブルートゥース無線等)によってつながれる。
【0099】
ここでは、ログイン時のみ示したが、図4−7と同様に会員認証、課金処理等についても、同様の処理が可能になる。
【0100】
以上に、説明したように、本発明の実施の形態による認証システムでは、携帯電話網に代表されるセキュリティの高い第2のルートと、第2のルートに接続された情報機器と第1のルートに接続された情報機器を近距離通信手段で接続することにより、インターネットのようなオープン環境のネットワークにおいても、安全性の高い認証を実現できる。
また、携帯電話等の携帯端末がすべての認証の窓口になっているので、携帯端末あるいは携帯網のサーバに認証や課金の履歴を残すことができ、ユーザが容易にいつでも自分の履歴を確認でき、過去の接続も含めて管理することにより、取引も含めてさらに安全性を向上することができる。
【0101】
また、上記の実施の形態において、添付図面に図示されている構成、処理プロセス等については、これらに限定されるものではなく、本発明の効果を発揮する範囲内で適宜変更することが可能である。その他、本発明の目的の範囲を逸脱しない限りにおいて適宜変更して実施することが可能である。
【0102】
また、本実施の形態で説明した機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0103】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
【0104】
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また前記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0105】
また、処理を実行するためのチップなどのプロセッサも本発明に入る。
【産業上の利用可能性】
【0106】
本発明は、認証システムに利用可能である。
【符号の説明】
【0107】
H…ユーザ1…パーソナルコンピュータPC、3a…入力機器(マウスやキーボード)、3b…キーボード、5…表示部、7…携帯電話(携帯端末)、11…ゲートウェイ、15…インターネット(ネットワーク)、17…コンピュータ、21…サーバ、23…基地局、27…携帯の認証サーバ。
【特許請求の範囲】
【請求項1】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、
前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うことを特徴とした認証システム。
【請求項2】
前記第1の機器は、入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、前記第1のネットワーク上におかれることを特徴とする請求項1に記載の認証システム。
【請求項3】
請求項1又は2に記載の認証システムに用いられる端末装置であって、
前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された前記端末装置において、前記第1の機器の前記第1のネットワークにおける認証を、前記端末装置が前記第2のネットワークを介して、前記第2のネットワークの認証システムにアクセスすることにより実行されることを特徴とする端末装置。
【請求項4】
ネットワークを介してシステム(サーバ)に特有の情報を通知するシステムにおいて、
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段で接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が特有の情報を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で特有の情報の取得を行うことを特徴とする認証システム。
【請求項5】
請求項4に記載の認証システムに用いられる端末装置であって、
前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された端末装置において、前記第1の機器の前記第1のネットワークにおける個人情報の取得に際し、前記端末装置が前記第2のネットワークを介して、個人情報を前記第1のネットワークに通知することを特徴とする端末装置。
【請求項6】
前記第2の機器は、固有の識別子を有する携帯端末であることを特徴とする請求項1又は2に記載の認証システム。
【請求項7】
前記識別子は、電話番号又はメールアドレスであることを特徴とする請求項1又は2に記載の認証システム。
【請求項8】
前記第1の機器は、ネットワークにつながる通信部とユーザが操作する操作部とが別体に構成され、前記通信部と前記操作部とが通信手段によって接続可能とされ、前記第2の機器は前記通信部又は前記操作部と通信することにより前記第1の機器と接続されることを特徴とする請求項3に記載の端末装置。
【請求項9】
前記第1の機器、あるいは第1の機器とつながる操作部と前記第2の機器との間の通信手段は電界を介した人体通信であることを特徴とする請求項8に記載の端末装置。
【請求項10】
前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行う認証システムに用いられる端末装置であって、
前記第1の機器と、前記第2の機器は、前記第1と前記第2のネットワークで用いる第1の通信手段とは異なる第2の通信手段で通信する通信部を有し、
前記通信部は、前記第1のネットワークの通信、あるいは、前記第2のネットワークの通信が開始されると、通信を行うことを特徴とした請求項3に記載の端末装置。
【請求項11】
前記第1の機器及びネットワークを介したサービスがログイン状態あるいは個人の特定(認証)必要状態になることが、前記第1の機器と前記第2の機器間の通信のトリガーとなることを特徴とする請求項3、5、8から10までのいずれか1項に記載の端末装置。
【請求項12】
前記第1の機器のCPUが出力デバイスに前記第2の機器を用いた認証処理を行っていることを状態表示処理に基づいて、前記第1の機器と第2の機器、第2の機器の第2のネットワークとの通信が開始されることを特徴とする請求項11に記載の端末装置。
【請求項13】
前記第1の機器の表示部に、CPUがログイン画面を出力する処理に基づき、前記第1の機器と前記第2の機器の近接通信が開始されることを特徴とする請求項11に記載の端末装置。
【請求項14】
前記出力デバイスに表示されたログイン状態あるいは個人の特定(認証)必要状態において、入力デバイスから、画面メニューの携帯端末による認証手段を選択する操作をトリガーとして、前記第1の機器と前記第2の機器の近接通信が行われることを特徴とする請求項12に記載の端末装置。
【請求項15】
前記第1のネットワークの認証要求に対して行われる、前記第2のネットワークを用いた認証について、認証処理に要する認証処理時間を管理する認証処理時間管理部と、認証の管理を前記管理部に設定された所定時間内か否かに基づき接続の可否を判定する判定部と、を有することを特徴とする請求項3、5、8から14までのいずれか1項に記載の端末装置。
【請求項16】
間欠的に、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、認証保持状態を保つことを特徴とする請求項3、5から15までのいずれか1項に記載の端末装置。
【請求項17】
前記認証において、時間的な間欠性に加え、キーボードやマウスなどの入力デバイスの入力信号発生の回数に基づき、認証プロセスが間欠的に行われることを特徴とする請求項16に記載の端末装置。
【請求項18】
請求項4、5に記載の特有の情報は、前記第2のネットワークにつながる第2の機器に入力することを特徴とする端末装置。
【請求項19】
前記特有の情報を、前記第2のネットワークにつながる前記第2の機器に記録、保持する記録部を有することを特徴とする請求項4に記載の認証システム。
【請求項20】
前記特有の情報は、前記第2のネットワークにつながるサーバの記録部に記録、保持されており、前記第2の機器からの前記第2のネットワークを介しての信号により呼び出され、登録されている住所等の必要な情報を前記第1のシステム(サーバ)に送ることを特徴とする請求項4に記載の認証システム。
【請求項21】
課金処理に必要な認証は、前記第2のネットワークのシステム(サーバ)と信用取り引きシステムとの間で行い、前記課金処理のみ前記第1のネットワークシステムと前記第2のネットワークシステム間で行うことを特徴とする請求項1又は2に記載の認証システム。
【請求項22】
課金処理に必要な認証と課金とを、前記第2のネットワークのシステム(サーバ)で行うことを特徴とする請求項1又は2に記載の認証システム。
【請求項23】
前記第2のネットワークでは、認証として、前記第2のネットワークを介して認証したログは前記第2のネットワークのサーバに残し、前記第2のネットワーク側で前記第1のネットワークを介したコンテンツサーバとの接続、認証記録を履歴管理することを特徴とする請求項1又は2に記載の認証システム。
【請求項24】
前記第2のネットワークに接続された第2の機器で認証した結果を、記録、保有する記録部を有することを特徴とする請求項3、5、8に記載の端末装置。
【請求項25】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、
前記第1の機器と前記第2の機器とを近接通信手段により接続するステップと、
前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、
前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法。
【請求項26】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、
前記第2の機器に、前記第1の機器を近接通信手段により接続するステップと、
前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、
前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法。
【請求項27】
前記第2の機器のコンピュータに、請求項26に記載の認証方法を実行させるためのプログラム。
【請求項28】
請求項27に記載のプログラムを前記第2の機器のコンピュータに実行させるためのコンピュータ読み取り可能な記録媒体。
【請求項29】
請求項28に記載の記録媒体と、コンピュータと、前記近接通信を制御する回路と、を備えた集積回路。
【請求項1】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、
前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うことを特徴とした認証システム。
【請求項2】
前記第1の機器は、入出力を行うターミナルであり、処理を行うシステム、記録するデータ等は、前記第1のネットワーク上におかれることを特徴とする請求項1に記載の認証システム。
【請求項3】
請求項1又は2に記載の認証システムに用いられる端末装置であって、
前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された前記端末装置において、前記第1の機器の前記第1のネットワークにおける認証を、前記端末装置が前記第2のネットワークを介して、前記第2のネットワークの認証システムにアクセスすることにより実行されることを特徴とする端末装置。
【請求項4】
ネットワークを介してシステム(サーバ)に特有の情報を通知するシステムにおいて、
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成され、前記第1の機器と前記第2の機器とは近接通信手段で接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が特有の情報を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で特有の情報の取得を行うことを特徴とする認証システム。
【請求項5】
請求項4に記載の認証システムに用いられる端末装置であって、
前記第1のネットワークにつながる前記第1の機器と前記近接通信手段により接続された端末装置において、前記第1の機器の前記第1のネットワークにおける個人情報の取得に際し、前記端末装置が前記第2のネットワークを介して、個人情報を前記第1のネットワークに通知することを特徴とする端末装置。
【請求項6】
前記第2の機器は、固有の識別子を有する携帯端末であることを特徴とする請求項1又は2に記載の認証システム。
【請求項7】
前記識別子は、電話番号又はメールアドレスであることを特徴とする請求項1又は2に記載の認証システム。
【請求項8】
前記第1の機器は、ネットワークにつながる通信部とユーザが操作する操作部とが別体に構成され、前記通信部と前記操作部とが通信手段によって接続可能とされ、前記第2の機器は前記通信部又は前記操作部と通信することにより前記第1の機器と接続されることを特徴とする請求項3に記載の端末装置。
【請求項9】
前記第1の機器、あるいは第1の機器とつながる操作部と前記第2の機器との間の通信手段は電界を介した人体通信であることを特徴とする請求項8に記載の端末装置。
【請求項10】
前記第1の機器と前記第2の機器とは近接通信手段により接続され、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行う認証システムに用いられる端末装置であって、
前記第1の機器と、前記第2の機器は、前記第1と前記第2のネットワークで用いる第1の通信手段とは異なる第2の通信手段で通信する通信部を有し、
前記通信部は、前記第1のネットワークの通信、あるいは、前記第2のネットワークの通信が開始されると、通信を行うことを特徴とした請求項3に記載の端末装置。
【請求項11】
前記第1の機器及びネットワークを介したサービスがログイン状態あるいは個人の特定(認証)必要状態になることが、前記第1の機器と前記第2の機器間の通信のトリガーとなることを特徴とする請求項3、5、8から10までのいずれか1項に記載の端末装置。
【請求項12】
前記第1の機器のCPUが出力デバイスに前記第2の機器を用いた認証処理を行っていることを状態表示処理に基づいて、前記第1の機器と第2の機器、第2の機器の第2のネットワークとの通信が開始されることを特徴とする請求項11に記載の端末装置。
【請求項13】
前記第1の機器の表示部に、CPUがログイン画面を出力する処理に基づき、前記第1の機器と前記第2の機器の近接通信が開始されることを特徴とする請求項11に記載の端末装置。
【請求項14】
前記出力デバイスに表示されたログイン状態あるいは個人の特定(認証)必要状態において、入力デバイスから、画面メニューの携帯端末による認証手段を選択する操作をトリガーとして、前記第1の機器と前記第2の機器の近接通信が行われることを特徴とする請求項12に記載の端末装置。
【請求項15】
前記第1のネットワークの認証要求に対して行われる、前記第2のネットワークを用いた認証について、認証処理に要する認証処理時間を管理する認証処理時間管理部と、認証の管理を前記管理部に設定された所定時間内か否かに基づき接続の可否を判定する判定部と、を有することを特徴とする請求項3、5、8から14までのいずれか1項に記載の端末装置。
【請求項16】
間欠的に、前記第2の機器により前記第2のネットワークを介して個人の認証処理を行い、前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、認証保持状態を保つことを特徴とする請求項3、5から15までのいずれか1項に記載の端末装置。
【請求項17】
前記認証において、時間的な間欠性に加え、キーボードやマウスなどの入力デバイスの入力信号発生の回数に基づき、認証プロセスが間欠的に行われることを特徴とする請求項16に記載の端末装置。
【請求項18】
請求項4、5に記載の特有の情報は、前記第2のネットワークにつながる第2の機器に入力することを特徴とする端末装置。
【請求項19】
前記特有の情報を、前記第2のネットワークにつながる前記第2の機器に記録、保持する記録部を有することを特徴とする請求項4に記載の認証システム。
【請求項20】
前記特有の情報は、前記第2のネットワークにつながるサーバの記録部に記録、保持されており、前記第2の機器からの前記第2のネットワークを介しての信号により呼び出され、登録されている住所等の必要な情報を前記第1のシステム(サーバ)に送ることを特徴とする請求項4に記載の認証システム。
【請求項21】
課金処理に必要な認証は、前記第2のネットワークのシステム(サーバ)と信用取り引きシステムとの間で行い、前記課金処理のみ前記第1のネットワークシステムと前記第2のネットワークシステム間で行うことを特徴とする請求項1又は2に記載の認証システム。
【請求項22】
課金処理に必要な認証と課金とを、前記第2のネットワークのシステム(サーバ)で行うことを特徴とする請求項1又は2に記載の認証システム。
【請求項23】
前記第2のネットワークでは、認証として、前記第2のネットワークを介して認証したログは前記第2のネットワークのサーバに残し、前記第2のネットワーク側で前記第1のネットワークを介したコンテンツサーバとの接続、認証記録を履歴管理することを特徴とする請求項1又は2に記載の認証システム。
【請求項24】
前記第2のネットワークに接続された第2の機器で認証した結果を、記録、保有する記録部を有することを特徴とする請求項3、5、8に記載の端末装置。
【請求項25】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、
前記第1の機器と前記第2の機器とを近接通信手段により接続するステップと、
前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、
前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法。
【請求項26】
第1のネットワークにつながる第1の機器と前記第1のネットワークとは異なる第2のネットワークにつながる第2の機器とから構成される認証システムにおける認証方法であって、
前記第2の機器に、前記第1の機器を近接通信手段により接続するステップと、
前記第2の機器により前記第2のネットワークを介して個人の認証処理を行うステップと、
前記第2のネットワークの認証システム(サーバ)が認証結果を前記第1のネットワークのシステム(サーバ)に通知することで、前記第1のネットワークのシステム(サーバ)で個人を特定する処理を行うステップと、を有することを特徴とした認証方法。
【請求項27】
前記第2の機器のコンピュータに、請求項26に記載の認証方法を実行させるためのプログラム。
【請求項28】
請求項27に記載のプログラムを前記第2の機器のコンピュータに実行させるためのコンピュータ読み取り可能な記録媒体。
【請求項29】
請求項28に記載の記録媒体と、コンピュータと、前記近接通信を制御する回路と、を備えた集積回路。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−170779(P2011−170779A)
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願番号】特願2010−36340(P2010−36340)
【出願日】平成22年2月22日(2010.2.22)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願日】平成22年2月22日(2010.2.22)
【出願人】(000005049)シャープ株式会社 (33,933)
【Fターム(参考)】
[ Back to top ]