端末装置の認証方法、端末装置の認証システム、端末装置、および、サービス提供者装置
【課題】
第一チップと第二チップを装着した携帯電話において,携帯電話事業者による第一チップを用いる接続認証と,サービス提供者による第二チップを用いるサービス認証と,が独立して提供されているが,携帯電話事業者がサービス提供者のユーザを識別したり,サービス提供者が携帯電話加入者を識別したりすることができない。
【解決手段】
携帯電話事業者とサービス提供者が携帯電話認証処理を行う際に,携帯電話が,装着された第一,第二チップを用いて,接続認証情報とサービス認証情報とを関連付けた接続サービス認証情報を生成し,該認証情報を携帯電話事業者とサービス提供者が連携して検証し,サービス提供を行う。
第一チップと第二チップを装着した携帯電話において,携帯電話事業者による第一チップを用いる接続認証と,サービス提供者による第二チップを用いるサービス認証と,が独立して提供されているが,携帯電話事業者がサービス提供者のユーザを識別したり,サービス提供者が携帯電話加入者を識別したりすることができない。
【解決手段】
携帯電話事業者とサービス提供者が携帯電話認証処理を行う際に,携帯電話が,装着された第一,第二チップを用いて,接続認証情報とサービス認証情報とを関連付けた接続サービス認証情報を生成し,該認証情報を携帯電話事業者とサービス提供者が連携して検証し,サービス提供を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,サービスセンタ装置と端末装置間で認証処理を行う際に,該端末装置に装着された複数の認証デバイスを用いる連携認証システムおよびその方法に関する。
【背景技術】
【0002】
近年,携帯電話端末(以下,携帯電話という)が普及し,多くのユーザが利用するようになってきた。携帯電話通信サービス提供者は,携帯電話に内蔵されたICチップ(SIM(Subscriber Identity Module)/USIM(Universal SIM)など)に格納された加入者(契約者)識別情報を用いて認証を行い,通信サービスを提供する。一方,多くの企業では,出張先から社内へのアクセス時には社員に配布したICカードなどのセキュアなデバイスを用いた認証を行うことにより,情報漏えいリスクを回避した安全なリモートアクセスを実現しようとしている。このようなセキュアなデバイスのひとつとして携帯電話に装着し利用できるICデバイス(第二チップ)も使われるようになってきた。
【0003】
このような第二チップを装着した携帯電話を用いることで,加入者認証にはSIMチップを用いて,サービスの認証には第二チップを用いることで,それぞれの認証を行うことが可能になるが,両チップを認証することにより様々な利点が生じる。具体的には,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,顧客からのクレーム対策や,単なる通信路という以上のサービス提供の可能性が生じる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。
【0004】
二つのチップを用いて認証を行う技術として,第一チップとしてのSIMチップの鍵と第二チップとしてのIDカードの鍵の対応関係の保証を公的な第三者が行う方法が知られている(例えば特許文献1 段落0006)。また,加盟店端末からのコマンドを携帯電話が受け取り,携帯電話そのものに対するコマンドなのか,クレジット用ICチップに対するコマンドなのかを判断し振り分ける方法が知られている(例えば特許文献2 段落0006)。さらに,SIMチップの認証を行うとともに携帯電話に登録されたメモリカードか否かを検証する方法が知られている(例えば特許文献3 段落0006)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001-169359号公報
【特許文献2】特開20003-44765号公報
【特許文献3】特開2008-293251号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
現状では,携帯電話通信事業者がSIMやUSIMを使って携帯電話加入者を認証する仕組みと,携帯電話通信事業者が確立した回線を使ってサービスを提供するサービス提供者が,第二チップを使ってユーザを認証する仕組みと,がそれぞれ独立して提供されている。しかしながら,携帯電話通信事業者がサービス提供者のユーザを識別したり,サービス提供者が携帯電話通信事業者の加入者を識別したりすることができない。
【0007】
特許文献1では,SIMとIDカードの対応関係を検証する方法が開示されているが,携帯電話から受信した情報に認証証明を付与する公的な第三者機関が必要である。また,特許文献2は,携帯電話にメモリカードに識別情報を登録し,携帯電話がメモリカードとSIMの対応関係を確認する方法の開示であり,サーバが確認する方法ではない。さらに,特許文献3は,第二チップの機能を制御する発明でありサーバが認証する方法は開示されていない。
【課題を解決するための手段】
【0008】
本発明は,上記事情に鑑みてなされたものであり,端末装置と複数の認証デバイスを使った連携認証システムに関し,さらに詳しくは,複数のサービス提供者装置と端末装置間で認証処理を行う際に,互いの認証処理を連携させる連携認証システムおよびその方法を提供する。
【0009】
より具体的に開示するシステムは,該端末装置に装着された複数の認証デバイスを用いて,互いに関連付いた認証情報を生成し,該認証情報を複数のサービス提供者装置で連携して検証することを特徴とする。
【0010】
複数のサービス提供者装置が,互いの認証処理を連携させ,互いに関連付いた認証情報を検証することができるために,個々のサービス提供者装置が自身のユーザとして確認できるだけでなく,他のサービス提供者装置のユーザとして確認することが可能になる。これにより,より厳密な権限確認が可能になるなど,高度なサービス提供が可能になる。
【0011】
たとえば,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,接続認証依頼と接続認証情報を送信し接続認証を受けるような場合には,接続認証依頼にサービス提供者2のサービスIDを含めることにより,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービスIDに基づいて,認証の可否を決定することができるようになる。
【0012】
または,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,事前に,検証用情報を送信しておけば,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービス内容に基づいて,端末装置から要求される認証の可否を決定することができるようになる。
【0013】
開示される端末装置の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,受信した接続サービス認証情報と,自らが保管している情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第二のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,受信した接続認証情報と,自らが保管する情報と,を用いて,第一の認証デバイスの認証処理を実行し,第一の認証デバイスの認証結果を第二のサービス提供者装置へ返信し,
第二のサービス提供者装置は,第一の認証デバイスの認証が成功であれば,端末装置へサービスを提供し,
端末装置は,サービスの提供を受けることを特徴とする。
【0014】
開示される端末装置の他の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
第一のサービス提供者装置は,受信した検証用情報を,自らに保管し,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,自らが保管している,第二の認証デバイスの認証に使用する検証用情報と,接続サービス認証情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第一のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,
第一のサービス提供者装置は,抽出した接続認証情報と,自らが保管する情報を用いて,第一の認証デバイスの認証処理を実行して,第一の認証デバイスの認証結果を第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,第一の認証デバイスの認証と第二の認証デバイスの認証とが成功であれば,第二のサービス提供者装置のサービス提供部は,端末装置へサービスを提供し,
端末装置のサービス享受部は,サービスの提供を受けることを特徴とする。
【0015】
上記態様によれば,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,単なる通信路の提供以上のサービス提供が可能になる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。
【発明の効果】
【0016】
本発明によれば,サービス提供者が他のサービス提供者の認証結果を考慮したうえでサービス提供の可否を判断できるようになる。
【図面の簡単な説明】
【0017】
【図1】実施例1の複数デバイス連携認証システムの構成例を示す図である。
【図2】サービス提供者装置,端末装置のハードウェア構成例を示す図である。
【図3】ICカード装置のハードウェア構成例を示す図である。
【図4】実施例1のサービス提供者装置2がサービス提供者装置1に認証依頼を行い,認証後サービスを提供する際の処理フロー例を示す図である。
【図5】実施例1のサービス提供者装置1がサービス提供者装置2の代わりに認証処理を行い,認証結果をサービス提供者装置2に通知しサービスを提供する際の処理フロー例を示す図である。
【発明を実施するための形態】
【0018】
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
【実施例1】
【0019】
図1は,本実施例の複数デバイス連携認証システムの構成図である。本実施例の複数デバイス連携認証システムは,図1に示すように,端末装置30と複数のサービス提供者装置50nとがインターネットや携帯電話網などのネットワーク40を介して互いに接続されている。また,端末装置30と複数のICカード装置10nは,端末装置30のICカードアクセス部を介して互いに接続されている。
【0020】
端末装置30は,ネットワーク40を介して,サービス提供者n装置50nとの間で,データやコマンドを送受信するデータ送受信部301と,サービス提供者n装置50nから受信したデータやコマンドをICカードn装置10nへ送信し,該ICカードn装置10nからの返信としてデータやコマンドを受信するICカードアクセス部303と,サービス提供者n装置50nから提供されるサービスを享受するサービス享受部304と,を含む。
【0021】
ICカード装置n10nは,端末装置30との間でデータやコマンドを送受信するデータ送受信部101と,サービス提供者装置50nへ送信する認証情報を生成する際に使用する鍵を保管する鍵保管部103と,認証情報を生成する認証処理部102と,を含む。
【0022】
サービス提供者装置50nは,ネットワーク40を介して,端末装置30との間でデータやコマンドを送受信する通信部501と,端末装置30を経由して,ICカード装置n10nと接続認証処理を行う認証処理部502と,認証処理で用いる秘密情報を保管する鍵保管部503と,端末装置30に対してサービスを提供するサービス提供部504と,を含む。
【0023】
図2は,サービス提供者装置50nのハードウェア構成である。サービス提供者装置50nは,CPU51,主記憶装置52,補助記憶装置54,通信装置55,入出力装置56,記憶媒体58の読取装置57などがバスなどの内部通信線59で接続された構成を備える電子計算機で実現可能である。
【0024】
図示を省略するが,端末装置30も,規模や性能の違いは有るが,サービス提供者装置50nと同様のハードウェア構成を備える電子計算機で実現可能である。
【0025】
図3は,ICカード装置10nのハードウェア構成である。ICカード装置10nは,入出力装置11,CPU12,耐タンパ記憶装置13,耐タンパメモリ14などがバスなどの内部通信線15で接続された構成を備える。
【0026】
本実施例の認証処理について説明する。サービス提供装置50n,端末装置30の各処理部の処理は,補助記憶装置54に格納された処理プログラムが主記憶装置52にロードされ,CPU51により実行されることにより,実現される。また,各プログラムは予め補助記憶装置54に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0027】
同様に,ICカード装置10nの各処理部の処理は,耐タンパ記憶装置13に格納された処理プログラムが耐タンパメモリ14にロードされ,CPU21により実行されることにより,実現される。また,各プログラムは予め耐タンパ記憶装置13に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0028】
図4は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者2装置502へサービス要求を行い,サービス提供者2装置502が,サービス提供者1装置501と連携して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。
【0029】
サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード装置101は,SIMチップ,サービス提供者2装置502は,例えば,動画配信サーバ装置,ICカード装置102は,B-CASカード(ディジタル放送の著作権保護に用いるICカード)と考えられる。
【0030】
また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。
【0031】
まず,端末装置30のサービス享受部304は,サービス提供者2装置502に対するサービス要求処理を行い,サービス要求A301を送信する(S301)。
【0032】
サービス要求A301を受けたサービス提供者2装置502の認証処理部502は,サービス提供者1装置501において,サービスを提供するために必要な接続認証処理が,既に済んでいるか否かを確認するための接続認証確認処理を行い,サービス提供者1装置501へ接続認証確認A521を送信する(S521)。
【0033】
接続認証確認A521を受信したサービス提供者1装置501の認証処理部502は,接続認証確認処理を行い,未だ接続認証処理が済んでいないことを確認した後に,サービス提供者2装置502に対して,接続認証要求A511を返信する(S511)。
【0034】
サービス提供者2装置502の認証処理部502は,接続認証要求A511に応答して接続認証要求処理を行い,端末装置30に対して接続認証要求A522を送信する(S522)。
【0035】
端末装置30は,接続認証要求A522の受信により,要求したサービスを享受するために必要な,サービスを受けるための認証と接続するための認証とが済んでおらず,必要ということがわかるので,まず,接続認証要求処理を行い,ICカード1装置101へ接続認証要求A302を送信する(S302)。
【0036】
ICカード1装置101の認証処理部102は,接続認証情報生成処理を行い,接続認証要求A302と,鍵保管部106に保管している秘密情報と,を用いて,接続認証情報A111を生成し,端末装置30に送信する(S111)。具体的には,例えば,認証処理部102が,予め,サービス提供者1装置501と共有する共通鍵1(秘密鍵1)で,接続認証要求A302を暗号化したり,あるいは接続要求A302に含まれる乱数等のデータを暗号化したり,することにより,生成する。
【0037】
端末装置30は,接続認証情報A111を含むサービス認証情報を生成するため,サービス認証要求処理を行い,接続認証情報A111と,サービス認証要求A303とを,ICカード2装置102へ送信する(S303)。
【0038】
ICカード2装置102の認証処理部102は,サービス認証情報生成処理を行い,接続認証情報A111と,サービス認証要求A303と,鍵保管部106に保管している秘密情報と,を用いて,接続サービス認証情報A121を生成し,端末装置30に送信する(S121)。
【0039】
接続サービス認証情報A121は,サービスの提供を受けるためのサービス認証情報と接続するための接続認証情報とを兼ねるもので,具体的には,認証処理部102が,サービス認証要求A303と接続認証情報A111を予め定めた所定のフォーマットで連結したものに対して,予め,サービス提供者2装置502と共有する共通鍵2(秘密鍵2)で暗号化することにより,生成する。または,認証処理部102が,サービス認証要求A303と接続認証情報A111とを,個別に,予め,サービス提供者2装置502と共有する共通鍵2(秘密鍵2)で暗号化し,予め定めた所定のフォーマットで連結し,生成する。
【0040】
端末装置30は,接続要求とサービス要求とを兼ねる接続サービス要求処理を行い,接続サービス認証情報A121と,接続サービス要求A304と,をサービス提供者2装置502へ送信する(S304)。
【0041】
サービス提供者2装置502の認証処理部5022は,受信した接続サービス認証情報A121に対して,自らが鍵保管部503に保管する情報,具体的には,S121で用いられた共通鍵2,を用いた復号処理を行い,復号の正否によるサービス認証処理,すなわちICカード2装置102の認証処理,を実行する(S523,S524)。
【0042】
サービス提供者2装置502は,認証が失敗であれば(S524でNO),端末装置30にエラー通知A523を送信する。認証が成功であれば(S524でYES),予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,該接続認証情報A111と接続認証依頼A524とを,サービス提供者1装置501へ送信する。
【0043】
サービス提供者1装置501の認証処理部502は,受信した接続認証情報A111と,自らが鍵保管部503に保管する情報(ICカード1装置101との間で共有する,S111で用いられた共通鍵1(秘密鍵1))と,を用いて,接続認証処理,すなわちICカード1装置101の認証処理を実行し,接続認証結果A512をサービス提供者2装置502へ送信する(S512)。
【0044】
具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。
【0045】
サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。
【0046】
以上説明したように,接続サービス認証情報A121が,接続認証情報とサービス認証情報とを含むので,サービス提供者2装置502は,端末装置30がサービス提供者1装置501に認証されていることを把握でき,また,逆に,サービス提供者1装置501は,端末装置30がサービス提供者2装置502に認証されていることを把握できる。
【0047】
本実施例では,サービス提供者1装置501とサービス提供者2装置502とが個別に検証を行っている。ただし,サービス提供者1装置501は,サービス提供者2装置502から接続認証を依頼される(A524)ので,サービス提供者2装置502が当該接続認証にサービス提供者1のサービスIDを含めることにより,サービス提供者1装置501はサービス提供者2装置502が行うとしているサービスを把握することが可能になる。すなわち,サービス提供者1装置501は,サービスIDに基づいて,認証の可否を決定することができるようになる。
【0048】
本実施形態は,以下に述べる,事前に検証情報(図5のA527)を配布できないような場合に有効である。
【0049】
図5は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者1装置501へ接続要求を行い,サービス提供者1装置501が,事前にサービス提供者2装置502から取得している検証用情報を使用して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。
【0050】
サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード1装置101は,SIMチップ,サービス提供者2装置502は,例えば,携帯電話通信事業者が提供する安全なネットワーク上で,携帯電話へのサービスを提供する公的サービス提供装置,ICカード2装置102は,公的IDカード(例えば,日本の住人基本台帳カードや,国外のeIDカードなど)と考えられる。
【0051】
また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。
【0052】
まず,サービス提供者2装置502の認証処理部502は,事前に,検証用情報配布処理として,サービス提供者1装置501に対して,ICカード2装置102を認証する際に使用する検証用情報A527を配布する(S527)。検証用情報A527は例えば,ICカード2装置102の鍵保管部103に保管する鍵に対応した公開鍵証明書を発行した認証局の証明書などでよい。
【0053】
サービス提供者1装置501は,検証用情報保管処理として,受信した検証用情報A301を,鍵保管部503に保管する(S514)。
【0054】
その後,端末装置30のサービス享受部304は,サービス要求処理を行い,サービス提供者1装置501に対して接続要求A303を送信する(S301)。
【0055】
サービス提供者1装置501の認証処理部502は,接続要求A303に基づいて接続認証処理を行い,未だ認証処理が行われていないことが分かるので,接続認証要求A522を端末装置30に対して送信する(S511)。
【0056】
端末装置30の接続認証要求処理(S302)から接続サービス要求処理(S304)までのフローは図4と同様である。ただし,S304における,接続サービス認証情報A121と接続サービス要求A304の送信先は,サービス提供者1装置501となる点が異なる。
【0057】
接続サービス要求A304と接続サービス認証情報A121を,受信したサービス提供者1装置501の認証処理部502は,接続認証処理を行い,鍵保管部503に事前に保管した検証用情報A527(S121で用いられた共通鍵2)を用いて,接続サービス認証情報A121の復号処理を行い,復号の成否による正当性の検証を行う(S513)。
【0058】
その後,認証処理部502は,予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,自らが鍵保管部503に保管する情報(ICカード1装置101との間で共有しS111で用いられた共通鍵1(秘密鍵1))を用いて,接続認証処理を実行し,接続認証結果A512をサービス提供者装置502へ送信する(S512)。
【0059】
具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。
【0060】
S512は,サービス提供者1装置501が,サービス提供者1自身のサービス(接続サービス)のユーザを認証する処理であるが,もし,S513での正当性の検証に失敗した場合は,S512では,さらなる検証処理を行わずに,S513の検証失敗をA512としてサービス提供者2装置502に通知しても良い。また,S513とS512の両方の認証処理結果を,まとめてA512として送信しても良い。または,S513での検証が失敗であれば,その時点でサービス提供者1装置501に結果を送信し,その後にS512を行っても良いし,または,S512での認証処理を先に行っても良い。
【0061】
サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。
【0062】
本実施例では,サービス提供者1装置501が接続認証とサービス認証の両方をまとめて行っている。サービス提供者1装置501は,事前に受信する検証用情報A527により,サービス提供者2装置502が行うとしているサービスを,把握することが可能になる。すなわち,サービス提供者1装置501は,サービス内容に基づいて,端末装置30から要求される認証の可否を決定することができるようになる。
【0063】
本実施形態は,サービス提供者1装置501サービス提供者2装置502に信頼関係があり,事前に検証情報(図5のA527)を配布できる場合に有効である。
【0064】
なお,図4に示した例では,サービス提供者2装置502は,サービス提供者1装置501に対して接続認証確認処理(S521)を行っているが,明らかに該端末装置30が事前に認証処理を行っていないことがわかる場合には,接続認証確認処理(S521)を省略して,接続認証要求処理(S522)に進んでも良い。
【0065】
また,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して(S521,S522も省略される)接続認証要求処理(S302)から開始しても良い。
【0066】
また,図5に示した例では,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して接続認証要求処理(S302)から開始しても良い。
【0067】
また,図4および図5に示した例では,サービス提供者1装置501は,接続認証処理(S512)を行った後,接続認証結果A512をサービス提供者2装置502に返信しているが,接続認証結果A512を端末装置30に返信して,再度,端末装置30からサービス提供者2装置502に接続認証結果A512とともに接続要求を行うようにしてもよい。その場合には,サービス提供者2装置502は該接続認証結果A512が,サービス提供者1装置501が生成した正当なものであることを確認するようにする。
【0068】
また,図4および図5に示した例では,端末装置30の処理として,接続認証要求処理(S302)を行った後に,サービス認証要求処理(S303)を行うことにしているが,該処理の順序は逆でも良い。
【0069】
さらに,図4,および,図5に示した例において,ICカード1装置101の接続認証情報生成処理(S111)およびICカード2装置102の接続認証情報生成処理(S121)は,共通鍵暗号技術に基づいた演算を行うものとして説明したが,公開鍵暗号技術に基づいた演算をおこなうようにしても良い。その場合,対応するサービス提供者1装置501および,サービス提供者2装置502の認証処理(S523,S512,S513)では,公開鍵暗号技術に基づいた暗号演算を実施するものとする。
【0070】
また,ICカード1装置101または,ICカード2装置102の鍵保管部103に保管される情報は,ICカード1装置101または,ICカード2装置102の製造時あるいは発行時に書き込むようにしても良く,また,発行後に,ICカード装置発行者の権限に基づいて,鍵保管部103に書き込んでも良い。
【0071】
また,ICカード装置およびサービス提供者装置は2つまでではなく,3つ以上であっても良い。さらにICカード装置とサービス提供者装置は1対1に対応していなくても良い。
【0072】
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
【符号の説明】
【0073】
10n:ICカードn装置,30:端末装置,40:ネットワーク,50n:サービス提供者n装置,51:CPU,52:主記憶装置,54:補助記憶装置,55:通信装置,56:入出力装置,57:読取装置,58:記憶媒体,59:内部信号線,A301:サービス要求,A521:接続認証確認,A511:接続認証要求,A522:接続認証要求,A302:接続認証要求,A111:接続認証情報,A303:サービス認証要求,A121:接続サービス認証情報,A303:接続要求,A523:エラー通知,A524:接続認証依頼,A512:接続認証結果,A525:エラー通知,A526:サービス,A526:サービス,A526:サービス,A527:検証用情報。
【技術分野】
【0001】
本発明は,サービスセンタ装置と端末装置間で認証処理を行う際に,該端末装置に装着された複数の認証デバイスを用いる連携認証システムおよびその方法に関する。
【背景技術】
【0002】
近年,携帯電話端末(以下,携帯電話という)が普及し,多くのユーザが利用するようになってきた。携帯電話通信サービス提供者は,携帯電話に内蔵されたICチップ(SIM(Subscriber Identity Module)/USIM(Universal SIM)など)に格納された加入者(契約者)識別情報を用いて認証を行い,通信サービスを提供する。一方,多くの企業では,出張先から社内へのアクセス時には社員に配布したICカードなどのセキュアなデバイスを用いた認証を行うことにより,情報漏えいリスクを回避した安全なリモートアクセスを実現しようとしている。このようなセキュアなデバイスのひとつとして携帯電話に装着し利用できるICデバイス(第二チップ)も使われるようになってきた。
【0003】
このような第二チップを装着した携帯電話を用いることで,加入者認証にはSIMチップを用いて,サービスの認証には第二チップを用いることで,それぞれの認証を行うことが可能になるが,両チップを認証することにより様々な利点が生じる。具体的には,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,顧客からのクレーム対策や,単なる通信路という以上のサービス提供の可能性が生じる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。
【0004】
二つのチップを用いて認証を行う技術として,第一チップとしてのSIMチップの鍵と第二チップとしてのIDカードの鍵の対応関係の保証を公的な第三者が行う方法が知られている(例えば特許文献1 段落0006)。また,加盟店端末からのコマンドを携帯電話が受け取り,携帯電話そのものに対するコマンドなのか,クレジット用ICチップに対するコマンドなのかを判断し振り分ける方法が知られている(例えば特許文献2 段落0006)。さらに,SIMチップの認証を行うとともに携帯電話に登録されたメモリカードか否かを検証する方法が知られている(例えば特許文献3 段落0006)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001-169359号公報
【特許文献2】特開20003-44765号公報
【特許文献3】特開2008-293251号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
現状では,携帯電話通信事業者がSIMやUSIMを使って携帯電話加入者を認証する仕組みと,携帯電話通信事業者が確立した回線を使ってサービスを提供するサービス提供者が,第二チップを使ってユーザを認証する仕組みと,がそれぞれ独立して提供されている。しかしながら,携帯電話通信事業者がサービス提供者のユーザを識別したり,サービス提供者が携帯電話通信事業者の加入者を識別したりすることができない。
【0007】
特許文献1では,SIMとIDカードの対応関係を検証する方法が開示されているが,携帯電話から受信した情報に認証証明を付与する公的な第三者機関が必要である。また,特許文献2は,携帯電話にメモリカードに識別情報を登録し,携帯電話がメモリカードとSIMの対応関係を確認する方法の開示であり,サーバが確認する方法ではない。さらに,特許文献3は,第二チップの機能を制御する発明でありサーバが認証する方法は開示されていない。
【課題を解決するための手段】
【0008】
本発明は,上記事情に鑑みてなされたものであり,端末装置と複数の認証デバイスを使った連携認証システムに関し,さらに詳しくは,複数のサービス提供者装置と端末装置間で認証処理を行う際に,互いの認証処理を連携させる連携認証システムおよびその方法を提供する。
【0009】
より具体的に開示するシステムは,該端末装置に装着された複数の認証デバイスを用いて,互いに関連付いた認証情報を生成し,該認証情報を複数のサービス提供者装置で連携して検証することを特徴とする。
【0010】
複数のサービス提供者装置が,互いの認証処理を連携させ,互いに関連付いた認証情報を検証することができるために,個々のサービス提供者装置が自身のユーザとして確認できるだけでなく,他のサービス提供者装置のユーザとして確認することが可能になる。これにより,より厳密な権限確認が可能になるなど,高度なサービス提供が可能になる。
【0011】
たとえば,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,接続認証依頼と接続認証情報を送信し接続認証を受けるような場合には,接続認証依頼にサービス提供者2のサービスIDを含めることにより,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービスIDに基づいて,認証の可否を決定することができるようになる。
【0012】
または,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,事前に,検証用情報を送信しておけば,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービス内容に基づいて,端末装置から要求される認証の可否を決定することができるようになる。
【0013】
開示される端末装置の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,受信した接続サービス認証情報と,自らが保管している情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第二のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,受信した接続認証情報と,自らが保管する情報と,を用いて,第一の認証デバイスの認証処理を実行し,第一の認証デバイスの認証結果を第二のサービス提供者装置へ返信し,
第二のサービス提供者装置は,第一の認証デバイスの認証が成功であれば,端末装置へサービスを提供し,
端末装置は,サービスの提供を受けることを特徴とする。
【0014】
開示される端末装置の他の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
第一のサービス提供者装置は,受信した検証用情報を,自らに保管し,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,自らが保管している,第二の認証デバイスの認証に使用する検証用情報と,接続サービス認証情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第一のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,
第一のサービス提供者装置は,抽出した接続認証情報と,自らが保管する情報を用いて,第一の認証デバイスの認証処理を実行して,第一の認証デバイスの認証結果を第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,第一の認証デバイスの認証と第二の認証デバイスの認証とが成功であれば,第二のサービス提供者装置のサービス提供部は,端末装置へサービスを提供し,
端末装置のサービス享受部は,サービスの提供を受けることを特徴とする。
【0015】
上記態様によれば,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,単なる通信路の提供以上のサービス提供が可能になる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。
【発明の効果】
【0016】
本発明によれば,サービス提供者が他のサービス提供者の認証結果を考慮したうえでサービス提供の可否を判断できるようになる。
【図面の簡単な説明】
【0017】
【図1】実施例1の複数デバイス連携認証システムの構成例を示す図である。
【図2】サービス提供者装置,端末装置のハードウェア構成例を示す図である。
【図3】ICカード装置のハードウェア構成例を示す図である。
【図4】実施例1のサービス提供者装置2がサービス提供者装置1に認証依頼を行い,認証後サービスを提供する際の処理フロー例を示す図である。
【図5】実施例1のサービス提供者装置1がサービス提供者装置2の代わりに認証処理を行い,認証結果をサービス提供者装置2に通知しサービスを提供する際の処理フロー例を示す図である。
【発明を実施するための形態】
【0018】
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
【実施例1】
【0019】
図1は,本実施例の複数デバイス連携認証システムの構成図である。本実施例の複数デバイス連携認証システムは,図1に示すように,端末装置30と複数のサービス提供者装置50nとがインターネットや携帯電話網などのネットワーク40を介して互いに接続されている。また,端末装置30と複数のICカード装置10nは,端末装置30のICカードアクセス部を介して互いに接続されている。
【0020】
端末装置30は,ネットワーク40を介して,サービス提供者n装置50nとの間で,データやコマンドを送受信するデータ送受信部301と,サービス提供者n装置50nから受信したデータやコマンドをICカードn装置10nへ送信し,該ICカードn装置10nからの返信としてデータやコマンドを受信するICカードアクセス部303と,サービス提供者n装置50nから提供されるサービスを享受するサービス享受部304と,を含む。
【0021】
ICカード装置n10nは,端末装置30との間でデータやコマンドを送受信するデータ送受信部101と,サービス提供者装置50nへ送信する認証情報を生成する際に使用する鍵を保管する鍵保管部103と,認証情報を生成する認証処理部102と,を含む。
【0022】
サービス提供者装置50nは,ネットワーク40を介して,端末装置30との間でデータやコマンドを送受信する通信部501と,端末装置30を経由して,ICカード装置n10nと接続認証処理を行う認証処理部502と,認証処理で用いる秘密情報を保管する鍵保管部503と,端末装置30に対してサービスを提供するサービス提供部504と,を含む。
【0023】
図2は,サービス提供者装置50nのハードウェア構成である。サービス提供者装置50nは,CPU51,主記憶装置52,補助記憶装置54,通信装置55,入出力装置56,記憶媒体58の読取装置57などがバスなどの内部通信線59で接続された構成を備える電子計算機で実現可能である。
【0024】
図示を省略するが,端末装置30も,規模や性能の違いは有るが,サービス提供者装置50nと同様のハードウェア構成を備える電子計算機で実現可能である。
【0025】
図3は,ICカード装置10nのハードウェア構成である。ICカード装置10nは,入出力装置11,CPU12,耐タンパ記憶装置13,耐タンパメモリ14などがバスなどの内部通信線15で接続された構成を備える。
【0026】
本実施例の認証処理について説明する。サービス提供装置50n,端末装置30の各処理部の処理は,補助記憶装置54に格納された処理プログラムが主記憶装置52にロードされ,CPU51により実行されることにより,実現される。また,各プログラムは予め補助記憶装置54に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0027】
同様に,ICカード装置10nの各処理部の処理は,耐タンパ記憶装置13に格納された処理プログラムが耐タンパメモリ14にロードされ,CPU21により実行されることにより,実現される。また,各プログラムは予め耐タンパ記憶装置13に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0028】
図4は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者2装置502へサービス要求を行い,サービス提供者2装置502が,サービス提供者1装置501と連携して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。
【0029】
サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード装置101は,SIMチップ,サービス提供者2装置502は,例えば,動画配信サーバ装置,ICカード装置102は,B-CASカード(ディジタル放送の著作権保護に用いるICカード)と考えられる。
【0030】
また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。
【0031】
まず,端末装置30のサービス享受部304は,サービス提供者2装置502に対するサービス要求処理を行い,サービス要求A301を送信する(S301)。
【0032】
サービス要求A301を受けたサービス提供者2装置502の認証処理部502は,サービス提供者1装置501において,サービスを提供するために必要な接続認証処理が,既に済んでいるか否かを確認するための接続認証確認処理を行い,サービス提供者1装置501へ接続認証確認A521を送信する(S521)。
【0033】
接続認証確認A521を受信したサービス提供者1装置501の認証処理部502は,接続認証確認処理を行い,未だ接続認証処理が済んでいないことを確認した後に,サービス提供者2装置502に対して,接続認証要求A511を返信する(S511)。
【0034】
サービス提供者2装置502の認証処理部502は,接続認証要求A511に応答して接続認証要求処理を行い,端末装置30に対して接続認証要求A522を送信する(S522)。
【0035】
端末装置30は,接続認証要求A522の受信により,要求したサービスを享受するために必要な,サービスを受けるための認証と接続するための認証とが済んでおらず,必要ということがわかるので,まず,接続認証要求処理を行い,ICカード1装置101へ接続認証要求A302を送信する(S302)。
【0036】
ICカード1装置101の認証処理部102は,接続認証情報生成処理を行い,接続認証要求A302と,鍵保管部106に保管している秘密情報と,を用いて,接続認証情報A111を生成し,端末装置30に送信する(S111)。具体的には,例えば,認証処理部102が,予め,サービス提供者1装置501と共有する共通鍵1(秘密鍵1)で,接続認証要求A302を暗号化したり,あるいは接続要求A302に含まれる乱数等のデータを暗号化したり,することにより,生成する。
【0037】
端末装置30は,接続認証情報A111を含むサービス認証情報を生成するため,サービス認証要求処理を行い,接続認証情報A111と,サービス認証要求A303とを,ICカード2装置102へ送信する(S303)。
【0038】
ICカード2装置102の認証処理部102は,サービス認証情報生成処理を行い,接続認証情報A111と,サービス認証要求A303と,鍵保管部106に保管している秘密情報と,を用いて,接続サービス認証情報A121を生成し,端末装置30に送信する(S121)。
【0039】
接続サービス認証情報A121は,サービスの提供を受けるためのサービス認証情報と接続するための接続認証情報とを兼ねるもので,具体的には,認証処理部102が,サービス認証要求A303と接続認証情報A111を予め定めた所定のフォーマットで連結したものに対して,予め,サービス提供者2装置502と共有する共通鍵2(秘密鍵2)で暗号化することにより,生成する。または,認証処理部102が,サービス認証要求A303と接続認証情報A111とを,個別に,予め,サービス提供者2装置502と共有する共通鍵2(秘密鍵2)で暗号化し,予め定めた所定のフォーマットで連結し,生成する。
【0040】
端末装置30は,接続要求とサービス要求とを兼ねる接続サービス要求処理を行い,接続サービス認証情報A121と,接続サービス要求A304と,をサービス提供者2装置502へ送信する(S304)。
【0041】
サービス提供者2装置502の認証処理部5022は,受信した接続サービス認証情報A121に対して,自らが鍵保管部503に保管する情報,具体的には,S121で用いられた共通鍵2,を用いた復号処理を行い,復号の正否によるサービス認証処理,すなわちICカード2装置102の認証処理,を実行する(S523,S524)。
【0042】
サービス提供者2装置502は,認証が失敗であれば(S524でNO),端末装置30にエラー通知A523を送信する。認証が成功であれば(S524でYES),予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,該接続認証情報A111と接続認証依頼A524とを,サービス提供者1装置501へ送信する。
【0043】
サービス提供者1装置501の認証処理部502は,受信した接続認証情報A111と,自らが鍵保管部503に保管する情報(ICカード1装置101との間で共有する,S111で用いられた共通鍵1(秘密鍵1))と,を用いて,接続認証処理,すなわちICカード1装置101の認証処理を実行し,接続認証結果A512をサービス提供者2装置502へ送信する(S512)。
【0044】
具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。
【0045】
サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。
【0046】
以上説明したように,接続サービス認証情報A121が,接続認証情報とサービス認証情報とを含むので,サービス提供者2装置502は,端末装置30がサービス提供者1装置501に認証されていることを把握でき,また,逆に,サービス提供者1装置501は,端末装置30がサービス提供者2装置502に認証されていることを把握できる。
【0047】
本実施例では,サービス提供者1装置501とサービス提供者2装置502とが個別に検証を行っている。ただし,サービス提供者1装置501は,サービス提供者2装置502から接続認証を依頼される(A524)ので,サービス提供者2装置502が当該接続認証にサービス提供者1のサービスIDを含めることにより,サービス提供者1装置501はサービス提供者2装置502が行うとしているサービスを把握することが可能になる。すなわち,サービス提供者1装置501は,サービスIDに基づいて,認証の可否を決定することができるようになる。
【0048】
本実施形態は,以下に述べる,事前に検証情報(図5のA527)を配布できないような場合に有効である。
【0049】
図5は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者1装置501へ接続要求を行い,サービス提供者1装置501が,事前にサービス提供者2装置502から取得している検証用情報を使用して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。
【0050】
サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード1装置101は,SIMチップ,サービス提供者2装置502は,例えば,携帯電話通信事業者が提供する安全なネットワーク上で,携帯電話へのサービスを提供する公的サービス提供装置,ICカード2装置102は,公的IDカード(例えば,日本の住人基本台帳カードや,国外のeIDカードなど)と考えられる。
【0051】
また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。
【0052】
まず,サービス提供者2装置502の認証処理部502は,事前に,検証用情報配布処理として,サービス提供者1装置501に対して,ICカード2装置102を認証する際に使用する検証用情報A527を配布する(S527)。検証用情報A527は例えば,ICカード2装置102の鍵保管部103に保管する鍵に対応した公開鍵証明書を発行した認証局の証明書などでよい。
【0053】
サービス提供者1装置501は,検証用情報保管処理として,受信した検証用情報A301を,鍵保管部503に保管する(S514)。
【0054】
その後,端末装置30のサービス享受部304は,サービス要求処理を行い,サービス提供者1装置501に対して接続要求A303を送信する(S301)。
【0055】
サービス提供者1装置501の認証処理部502は,接続要求A303に基づいて接続認証処理を行い,未だ認証処理が行われていないことが分かるので,接続認証要求A522を端末装置30に対して送信する(S511)。
【0056】
端末装置30の接続認証要求処理(S302)から接続サービス要求処理(S304)までのフローは図4と同様である。ただし,S304における,接続サービス認証情報A121と接続サービス要求A304の送信先は,サービス提供者1装置501となる点が異なる。
【0057】
接続サービス要求A304と接続サービス認証情報A121を,受信したサービス提供者1装置501の認証処理部502は,接続認証処理を行い,鍵保管部503に事前に保管した検証用情報A527(S121で用いられた共通鍵2)を用いて,接続サービス認証情報A121の復号処理を行い,復号の成否による正当性の検証を行う(S513)。
【0058】
その後,認証処理部502は,予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,自らが鍵保管部503に保管する情報(ICカード1装置101との間で共有しS111で用いられた共通鍵1(秘密鍵1))を用いて,接続認証処理を実行し,接続認証結果A512をサービス提供者装置502へ送信する(S512)。
【0059】
具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。
【0060】
S512は,サービス提供者1装置501が,サービス提供者1自身のサービス(接続サービス)のユーザを認証する処理であるが,もし,S513での正当性の検証に失敗した場合は,S512では,さらなる検証処理を行わずに,S513の検証失敗をA512としてサービス提供者2装置502に通知しても良い。また,S513とS512の両方の認証処理結果を,まとめてA512として送信しても良い。または,S513での検証が失敗であれば,その時点でサービス提供者1装置501に結果を送信し,その後にS512を行っても良いし,または,S512での認証処理を先に行っても良い。
【0061】
サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。
【0062】
本実施例では,サービス提供者1装置501が接続認証とサービス認証の両方をまとめて行っている。サービス提供者1装置501は,事前に受信する検証用情報A527により,サービス提供者2装置502が行うとしているサービスを,把握することが可能になる。すなわち,サービス提供者1装置501は,サービス内容に基づいて,端末装置30から要求される認証の可否を決定することができるようになる。
【0063】
本実施形態は,サービス提供者1装置501サービス提供者2装置502に信頼関係があり,事前に検証情報(図5のA527)を配布できる場合に有効である。
【0064】
なお,図4に示した例では,サービス提供者2装置502は,サービス提供者1装置501に対して接続認証確認処理(S521)を行っているが,明らかに該端末装置30が事前に認証処理を行っていないことがわかる場合には,接続認証確認処理(S521)を省略して,接続認証要求処理(S522)に進んでも良い。
【0065】
また,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して(S521,S522も省略される)接続認証要求処理(S302)から開始しても良い。
【0066】
また,図5に示した例では,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して接続認証要求処理(S302)から開始しても良い。
【0067】
また,図4および図5に示した例では,サービス提供者1装置501は,接続認証処理(S512)を行った後,接続認証結果A512をサービス提供者2装置502に返信しているが,接続認証結果A512を端末装置30に返信して,再度,端末装置30からサービス提供者2装置502に接続認証結果A512とともに接続要求を行うようにしてもよい。その場合には,サービス提供者2装置502は該接続認証結果A512が,サービス提供者1装置501が生成した正当なものであることを確認するようにする。
【0068】
また,図4および図5に示した例では,端末装置30の処理として,接続認証要求処理(S302)を行った後に,サービス認証要求処理(S303)を行うことにしているが,該処理の順序は逆でも良い。
【0069】
さらに,図4,および,図5に示した例において,ICカード1装置101の接続認証情報生成処理(S111)およびICカード2装置102の接続認証情報生成処理(S121)は,共通鍵暗号技術に基づいた演算を行うものとして説明したが,公開鍵暗号技術に基づいた演算をおこなうようにしても良い。その場合,対応するサービス提供者1装置501および,サービス提供者2装置502の認証処理(S523,S512,S513)では,公開鍵暗号技術に基づいた暗号演算を実施するものとする。
【0070】
また,ICカード1装置101または,ICカード2装置102の鍵保管部103に保管される情報は,ICカード1装置101または,ICカード2装置102の製造時あるいは発行時に書き込むようにしても良く,また,発行後に,ICカード装置発行者の権限に基づいて,鍵保管部103に書き込んでも良い。
【0071】
また,ICカード装置およびサービス提供者装置は2つまでではなく,3つ以上であっても良い。さらにICカード装置とサービス提供者装置は1対1に対応していなくても良い。
【0072】
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
【符号の説明】
【0073】
10n:ICカードn装置,30:端末装置,40:ネットワーク,50n:サービス提供者n装置,51:CPU,52:主記憶装置,54:補助記憶装置,55:通信装置,56:入出力装置,57:読取装置,58:記憶媒体,59:内部信号線,A301:サービス要求,A521:接続認証確認,A511:接続認証要求,A522:接続認証要求,A302:接続認証要求,A111:接続認証情報,A303:サービス認証要求,A121:接続サービス認証情報,A303:接続要求,A523:エラー通知,A524:接続認証依頼,A512:接続認証結果,A525:エラー通知,A526:サービス,A526:サービス,A526:サービス,A527:検証用情報。
【特許請求の範囲】
【請求項1】
第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,受信した前記接続サービス認証情報と,自らが保管している情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第二のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,受信した前記接続認証情報と,自らが保管する情報と,を用いて,前記第一の認証デバイスの認証処理を実行し,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ返信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証が成功であれば,前記端末装置へサービスを提供し,
前記端末装置は,前記サービスの提供を受ける
ことを特徴とする端末装置の認証方法。
【請求項2】
請求項1に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。
【請求項3】
請求項1または2に記載の端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する前に,前記第二のサービス提供者装置に対してサービス要求を送信し,
該サービス要求を受けた前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信し,
前記端末装置は,該第二のサービス提供者装置からの前記接続認証要求に基づいて,前記第一の認証デバイスへの接続認証要求の送信を行う
ことを特徴とする端末装置の認証方法。
【請求項4】
請求項3に記載の端末装置の認証方法であって,
前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信する前に,前記第一のサービス提供者装置に対して,接続認証処理が済んでいるか否かを確認するために接続認証確認を送信し,
前記接続認証確認を受信した第一のサービス提供者装置は,未だ認証処理が済んでいないことを確認した場合に,前記第二のサービス提供者装置に対して接続認証要求を返信し,
前記第二のサービス提供者装置は,該第一のサービス提供者装置の前記接続認証要求に基づいて,前記端末装置に対して前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。
【請求項5】
第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
前記第一のサービス提供者装置は,受信した前記検証用情報を,自らに保管し,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,前記サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,自らが保管している,前記第二の認証デバイスの認証に使用する前記検証用情報と,前記接続サービス認証情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第一のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,
前記第一のサービス提供者装置は,抽出した前記接続認証情報と,自らが保管する情報を用いて,前記第一の認証デバイスの認証処理を実行して,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証と前記第二の認証デバイスの認証とが成功であれば,前記第二のサービス提供者装置のサービス提供部は,前記端末装置へサービスを提供し,
前記端末装置のサービス享受部は,サービスの提供を受ける
ことを特徴とする端末装置の認証方法。
【請求項6】
請求項5に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。
【請求項7】
請求項5または6に記載の端末装置の認証方法であって,
前記端末装置は,第一の認証デバイスへ接続認証要求を送信する前に,第一のサービス提供者装置に対して接続要求を送信し,
第一のサービス提供者装置は,未だ認証処理が行われていないことを確認し,接続認証要求を前記端末装置に対して送信し,
該接続認証要求に基づいて,前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。
【請求項8】
請求項5ないし7いずれか一に記載の端末装置の認証方法であって,
前記検証用情報は,前記第二の認証デバイスに保管される鍵に対応した公開鍵証明書を発行した認証局の公開鍵証明書である
ことを特徴とする端末装置の認証方法。
【請求項9】
請求項1ないし8に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,共通鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。
【請求項10】
請求項1ないし8いずれか一に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,公開鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。
【請求項11】
端末装置と複数のサービス提供者装置とがネットワークを介して互いに接続され,複数の認証デバイスが接続される前記端末装置を認証する端末装置の認証システムであって,
前記端末装置は,
第一の認証デバイスに対して,第一の認証要求を送信し,該第一の認証デバイスから第一の認証情報を受信し,第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報と,第二の認証要求とを送信し,該第二の認証デバイスから,第二の認証情報を受信するICカードアクセス部と,
前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有し,
前記第二の認証デバイスは,
前記サービス提供者装置から送信された認証要求情報と,前記第一の認証デバイスで生成された第一の認証情報とに基づき,第二の認証情報を生成する認証処理部と,
前記認証処理部で使用する鍵を保管する鍵保管部と,を有し,
前記サービス提供者装置は,
前記ネットワークを介して,データを送受信する通信部と,
前記第二の認証情報に基づく,前記第二の認証デバイスの認証処理と,
前記第二の認証情報から抽出した前記第一の認証情報に基づく,第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とする端末装置の認証システム。
【請求項12】
ネットワークを介して,サービス提供者装置とデータを送受信するデータ送受信部と,
第一の認証デバイスに対して,前記サービス提供者装置から送信された認証要求を送信し,該第一の認証デバイスから,前記第一の認証デバイスを認証するための第一の認証情報を受信し,
第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報を送信し,該第二の認証デバイスから,前記第一の認証情報を含み,かつ,前記第二の認証デバイスを認証するための第二の認証情報を受信し,
前記第二の認証情報を前記サービス提供者装置に送信するICカードアクセス部と, 前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有する
ことを特徴とする端末装置。
【請求項13】
ネットワークを介して,データを送受信する通信部と,
端末装置に接続される第二の認証デバイスの認証処理と,前記端末装置に接続される第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とするサービス提供者装置。
【請求項1】
第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,受信した前記接続サービス認証情報と,自らが保管している情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第二のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,受信した前記接続認証情報と,自らが保管する情報と,を用いて,前記第一の認証デバイスの認証処理を実行し,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ返信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証が成功であれば,前記端末装置へサービスを提供し,
前記端末装置は,前記サービスの提供を受ける
ことを特徴とする端末装置の認証方法。
【請求項2】
請求項1に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。
【請求項3】
請求項1または2に記載の端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する前に,前記第二のサービス提供者装置に対してサービス要求を送信し,
該サービス要求を受けた前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信し,
前記端末装置は,該第二のサービス提供者装置からの前記接続認証要求に基づいて,前記第一の認証デバイスへの接続認証要求の送信を行う
ことを特徴とする端末装置の認証方法。
【請求項4】
請求項3に記載の端末装置の認証方法であって,
前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信する前に,前記第一のサービス提供者装置に対して,接続認証処理が済んでいるか否かを確認するために接続認証確認を送信し,
前記接続認証確認を受信した第一のサービス提供者装置は,未だ認証処理が済んでいないことを確認した場合に,前記第二のサービス提供者装置に対して接続認証要求を返信し,
前記第二のサービス提供者装置は,該第一のサービス提供者装置の前記接続認証要求に基づいて,前記端末装置に対して前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。
【請求項5】
第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
前記第一のサービス提供者装置は,受信した前記検証用情報を,自らに保管し,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,前記サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,自らが保管している,前記第二の認証デバイスの認証に使用する前記検証用情報と,前記接続サービス認証情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第一のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,
前記第一のサービス提供者装置は,抽出した前記接続認証情報と,自らが保管する情報を用いて,前記第一の認証デバイスの認証処理を実行して,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証と前記第二の認証デバイスの認証とが成功であれば,前記第二のサービス提供者装置のサービス提供部は,前記端末装置へサービスを提供し,
前記端末装置のサービス享受部は,サービスの提供を受ける
ことを特徴とする端末装置の認証方法。
【請求項6】
請求項5に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。
【請求項7】
請求項5または6に記載の端末装置の認証方法であって,
前記端末装置は,第一の認証デバイスへ接続認証要求を送信する前に,第一のサービス提供者装置に対して接続要求を送信し,
第一のサービス提供者装置は,未だ認証処理が行われていないことを確認し,接続認証要求を前記端末装置に対して送信し,
該接続認証要求に基づいて,前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。
【請求項8】
請求項5ないし7いずれか一に記載の端末装置の認証方法であって,
前記検証用情報は,前記第二の認証デバイスに保管される鍵に対応した公開鍵証明書を発行した認証局の公開鍵証明書である
ことを特徴とする端末装置の認証方法。
【請求項9】
請求項1ないし8に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,共通鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。
【請求項10】
請求項1ないし8いずれか一に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,公開鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。
【請求項11】
端末装置と複数のサービス提供者装置とがネットワークを介して互いに接続され,複数の認証デバイスが接続される前記端末装置を認証する端末装置の認証システムであって,
前記端末装置は,
第一の認証デバイスに対して,第一の認証要求を送信し,該第一の認証デバイスから第一の認証情報を受信し,第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報と,第二の認証要求とを送信し,該第二の認証デバイスから,第二の認証情報を受信するICカードアクセス部と,
前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有し,
前記第二の認証デバイスは,
前記サービス提供者装置から送信された認証要求情報と,前記第一の認証デバイスで生成された第一の認証情報とに基づき,第二の認証情報を生成する認証処理部と,
前記認証処理部で使用する鍵を保管する鍵保管部と,を有し,
前記サービス提供者装置は,
前記ネットワークを介して,データを送受信する通信部と,
前記第二の認証情報に基づく,前記第二の認証デバイスの認証処理と,
前記第二の認証情報から抽出した前記第一の認証情報に基づく,第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とする端末装置の認証システム。
【請求項12】
ネットワークを介して,サービス提供者装置とデータを送受信するデータ送受信部と,
第一の認証デバイスに対して,前記サービス提供者装置から送信された認証要求を送信し,該第一の認証デバイスから,前記第一の認証デバイスを認証するための第一の認証情報を受信し,
第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報を送信し,該第二の認証デバイスから,前記第一の認証情報を含み,かつ,前記第二の認証デバイスを認証するための第二の認証情報を受信し,
前記第二の認証情報を前記サービス提供者装置に送信するICカードアクセス部と, 前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有する
ことを特徴とする端末装置。
【請求項13】
ネットワークを介して,データを送受信する通信部と,
端末装置に接続される第二の認証デバイスの認証処理と,前記端末装置に接続される第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とするサービス提供者装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−8456(P2011−8456A)
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願番号】特願2009−150457(P2009−150457)
【出願日】平成21年6月25日(2009.6.25)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願日】平成21年6月25日(2009.6.25)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]