複数の端末を用いた利用者の認証方法、認証サーバ及びプログラム
【課題】認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる利用者の認証方法等を提供する。
【解決手段】認証サーバが、2つのパスワードの組を生成し、登録テーブルに利用者識別子に対応付けて有効期限とともに記憶する。認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する。そして、認証サーバは、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する。第2の端末は、その認証ページアドレスの認証ページを取得し、利用者に入力させたパスワードを認証サーバへ送信する。認証サーバは、入力パスワードと第1のパスワードとが有効期限内に一致した際に、認証成功と判定する。
【解決手段】認証サーバが、2つのパスワードの組を生成し、登録テーブルに利用者識別子に対応付けて有効期限とともに記憶する。認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する。そして、認証サーバは、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する。第2の端末は、その認証ページアドレスの認証ページを取得し、利用者に入力させたパスワードを認証サーバへ送信する。認証サーバは、入力パスワードと第1のパスワードとが有効期限内に一致した際に、認証成功と判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者の認証方法、認証サーバ及びプログラムに関する。
【背景技術】
【0002】
近年、インターネットを介した商品販売が一般的となり、個人所有の端末から、認証サーバへアクセスすることによって電子決済をすることができる。電子決済によれば、利用者識別子(ユーザID:User IDentifier)及びパスワードが、端末と認証サーバとの間でインターネットを介して送受信される。このとき、例えばフィッシング詐欺のようにユーザID及びパスワードが盗み取られる可能性もある。そのために、より高いセキュリティを確保し、ユーザの正当性を認証する必要がある。
【0003】
ユーザID等の漏洩を防ぐための技術として、使い捨てパスワード(ワンタイムパスワード)がある。ワンタイムパスワードとは、一度しか使えないパスワードであって、パスワード自体を毎回異なるものとした技術である。代表的な「タイムスタンプ方式」によれば、端末に「トークン」(パスワード生成器)が予め配布されており、端末と認証サーバとの間で、同期が取れていることを要する。端末は、認証を要求するその時刻に応じて異なるパスワードを生成する。認証サーバも、その時刻に応じた利用者のパスワードを生成し、両者の一致によって認証成功と判定する。
【0004】
認証サイトへアクセスする端末(例えばパーソナルコンピュータ)とは別に、同一の利用者によって所持されている携帯電話機を用いて、更に高いセキュリティを確保する技術もある(例えば特許文献1参照)。この技術によれば、認証サーバは、生成したワンタイムパスワードを、同一利用者によって所持される携帯電話機へ送信する。認証サーバによってワンタイムパスワードが生成されるために、携帯電話機がワンタイムパスワードを生成する必要がない。携帯電話機を所持する利用者は、ディスプレイに表示されたワンタイムパスワードを用いて、パーソナルコンピュータから、認証サイトへアクセスする。
【0005】
また、携帯電話機の位置情報に基づいて、ワンタイムパスワードを発行する技術もある(例えば特許文献2参照)。この技術によれば、携帯電話機と認証サーバとの間で同期を取る必要がない。また、位置情報に基づいてワンタイムパスワードが生成されるので、セキュリティも高まる。
【0006】
【特許文献1】特開2007−058469号公報
【特許文献2】特開2007−264835号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、前述した従来技術はいずれも、ワンタイムパスワード自体が盗み取られた場合には、結局、セキュリティが破られることとなる。特許文献1及び2に記載された技術によれば、携帯電話機へ送信されたワンタイムパスワードが盗み取られた場合、盗用者の所持する別の端末から、認証サイトへのアクセスを許すこととなる。
【0008】
そこで、本発明は、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる利用者の認証方法、認証サーバ及びプログラム等を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、両端末からネットワークを介して接続される認証サーバとを有するシステムにおける利用者の認証方法において、
認証された第1の端末が、パスワード発行要求を認証サーバへ送信する第1のステップと、
認証サーバが、第1のパスワード及び第2のパスワードの組を生成する第2のステップと、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを、登録テーブルに記憶する第3のステップと、
認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する第4のステップと、
認証サーバが、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する第5のステップと、
第2の端末が、認証サーバの認証ページアドレスへアクセスする第6のステップと、
認証サーバが、認証ページを、第2の端末へ応答する第7のステップと、
第2の端末が、認証ページに基づいて入力された入力パスワードを、認証サーバへ送信する第8のステップと、
認証サーバは、入力パスワードと、登録テーブルについて認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する第9のステップと
を有することを特徴とする。
【0010】
本発明の利用者の認証方法における他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
第1のステップについて、第1の端末は、電子メールを用いてパスワード発行要求を送信し、認証サーバは、パスワード発行要求の電子メールの送信元アドレスと、登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することも好ましい。
【0011】
本発明の利用者の認証方法における他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレス及び第2の端末の電子メールアドレスを予め記憶しており、
第5のステップについて、認証サーバは、電子メールを用いて、第1のパスワードを第1の端末へ送信し、認証ページアドレスを第2の端末へ送信することも好ましい。
【0012】
本発明の利用者の認証方法における他の実施形態によれば、
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
利用者識別子は、携帯電話機の固有識別子であり、
第1のステップの前段について、第1の端末が、当該端末の固有識別子を認証サーバへ送信し、認証サーバが、固有識別子が登録テーブルに予め登録されていることを認証することも好ましい。
【0013】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
パスワード発行要求受信手段がパスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの認証ページアドレスへのアクセスに対して、認証ページ記憶手段に記憶された認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
入力パスワードと、登録テーブルについて認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
を有することを特徴とする。
【0014】
本発明の認証サーバにおける他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
パスワード発行要求受信手段は、第1の端末から、電子メールを用いてパスワード発行要求を受信し、パスワード発行要求の電子メールの送信元アドレスと、登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することも好ましい。
【0015】
本発明の認証サーバにおける他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
パスワード送信手段は、電子メールを用いて、第1のパスワードを第1の端末へ送信し、認証ページアドレスを第2の端末へ送信することも好ましい。
【0016】
本発明の認証サーバにおける他の実施形態によれば、
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
利用者識別子は、携帯電話機の固有識別子であり、
第1の端末から当該端末の固有識別子を受信し、該固有識別子が登録テーブルに予め登録されていることを認証する固有識別子登録確認手段を更に有することも好ましい。
【0017】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバに搭載されたコンピュータを機能させるプログラムにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
パスワード発行要求受信手段がパスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの認証ページアドレスへのアクセスに対して、認証ページ記憶手段に記憶された認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
入力パスワードと第1のパスワードとが一致し、認証ページアドレスから得られる第2のパスワードが有効期限内に一致した際に、認証成功と判定する認証判定手段と
してコンピュータを機能させることを特徴とする。
【発明の効果】
【0018】
本発明の利用者の認証方法、認証サーバ及びプログラムによれば、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる。
【発明を実施するための最良の形態】
【0019】
以下では、図面を用いて、本発明を実施するための最良の形態について詳細に説明する。
【0020】
図1は、システム構成図である。
【0021】
図1によれば、認証サーバ1が、インターネット4に接続されている。認証サーバ1は、WebサイトとなるWWWサーバであって、携帯電話機又はパーソナルコンピュータのような端末機種に関係なく、アクセスされ得る。
【0022】
図1によれば、認証対象者となる利用者は、第1の端末としての携帯電話機2と、第2の端末としてのパーソナルコンピュータ3とを両方所持する。インターネット4には、携帯電話網5が相互接続されており、携帯電話機2は、携帯電話網5及びインターネット4を介して認証サーバ1にアクセスすることができる。即ち、認証サーバ1は、同一利用者に所持される両端末からネットワークを介して接続される。
【0023】
認証サーバ1は、登録テーブルを備えており、利用者識別子として携帯電話機2の固有識別子(例えばSIM番号又は製造番号であってもよい)及び電子メールアドレスを予め登録している。
【表1】
【0024】
図2は、本発明におけるシーケンス図である。また、図3は、図2のシーケンスにおける携帯電話機2及びパーソナルコンピュータ3の表示画面である。
【0025】
図2によれば、利用者が、パーソナルコンピュータ3を用いて、認証サイト(認証サーバ1における認証を要するWebサイト)にアクセスしようとしている。
【0026】
(S201)最初に、第1の端末である携帯電話機2は、利用者識別子として携帯電話機2の固有識別子を、認証サーバ1へ送信する。例えば、図3のS201の画面が、携帯電話機2のディスプレイに表示され、利用者による「OK」のクリックによって、携帯電話機2の固有識別子が、認証サーバ1へ送信される。
【0027】
(S202)認証サーバ1は、その固有識別子が、登録テーブルに登録されているか否かを判定し、認証対象となる利用者を特定する。これによって、正当利用者が所持する携帯電話機2であることを確認する。
【0028】
(S203)次に、携帯電話機2は、パスワード発行要求を、認証サーバ1へ送信する。パスワード発行要求は、認証サーバ1が利用者に対してワンタイムパスワードを発行するトリガとなる。ここで、パスワード発行要求は、電子メールであってもよい。例えば、携帯電話機2が、認証サーバ1へ、空メール(本文に記述がないメール)を送信することもできる。
【0029】
パスワード発行要求を電子メールで受信した認証サーバ1は、送信元となる携帯電話機2の電子メールアドレス(From)と、登録テーブルに予め登録している携帯電話機の電子メールアドレスのリストとを照合することによって、登録された利用者識別子を知ることができる。また、携帯電話機2が、パスワード発行要求に、パーソナルコンピュータ3の電子メールアドレスを含めることにより、認証サーバ1は、パーソナルコンピュータ3の電子メールアドレスも知ることができる。これら電子メールアドレスは、利用者識別子に対応付けて、登録テーブルに記憶される。勿論、認証サーバ1が、パーソナルコンピュータ3の電子メールアドレスを、登録テーブルに予め記憶しているものであってもよい。
【0030】
【表2】
【0031】
他の方法として、携帯電話機2が、認証サーバ1の特定のWebページにアクセスすることによって、図3のS203の画面が、携帯電話機2のディスプレイに表示されるものであってもよい。この場合、利用者の「OK」のクリックによって、パスワード発行要求が、認証サーバ1へ送信される。
【0032】
尚、S201及びS202のステップを、S203の中へ含めることも好ましい。例えば、パスワード発行要求の中に、携帯電話機2の固有識別子を含めることができる。パスワード発行要求を受信した認証サーバ1は、携帯電話機2の固有識別子を確認した上で、ワンタイムパスワードを発行することができる。
【0033】
(S204)認証サーバ1は、パスワード発行要求を受信した際に、その利用者識別子に専用となる第1のパスワード及び第2のパスワードの組を生成する。利用者識別子に対応付けて、これらパスワードと有効期限とが登録テーブルに記憶される。ここで、パスワードとは、使い捨てのワンタイムパスワードである。ワンタイムパスワードは、有効期限に設定される所定時間(例えば10分)だけ、有効となる。
【0034】
【表3】
【0035】
2つのワンタイムパスワードは、可能な限り重なることのない、ユニーク値を発生する乱数発生関数で生成される。勿論、数字に限られず、文字列も含む。例えばUUID(Universally Unique IDentifier:汎用一意識別子)であってもよい。UUIDとは、DCE(Distributed Computing Environment)の一部としてOSF(Open Software Foundation)が標準化した、一意に識別するための識別子である。UUIDは、分散システムについて、特定装置が統制を取ることなく、一意に特定可能な識別子を作成することができる。UUIDは、16バイトの数値で表され、重複や偶然の一致が起こりえないと確信して用いることができる。
【0036】
(S205)次に、認証サーバ1は、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレス(URL:Uniform Resource Locator)を生成する。具体的な認証ページアドレスとして、例えば以下のようなものである。この認証ページアドレスは、末尾に、第2のパスワードを含む。この認証ページアドレスは、有効期限をカバーする時間だけアクセス可能となるワンタイムURLである。
https://www.kddi.co.jp/auth?p2=8GK4D3KJF
【0037】
本発明によれば、認証ページアドレスに第2のパスワードを含めることによって、認証ページアドレスを受信したパーソナルコンピュータ3がその認証ページアドレスを用いてアクセスした認証ページに、第2のパスワードに関連付けられた第1のパスワードが有効期限の時間内に入力されなければ、認証が成功しない。従来技術によれば、認証ページアドレスは、全ての端末に対して共有であるために、ワンタイムパスワードが盗み取られるだけで、認証サイトが破られる。これに対し、本発明によれば、第2のパスワードを含む認証ページアドレスと、第1のパスワードとの両方が盗み取られない限り、認証サイトは破られない。即ち、他の認証ページアドレスにおける認証ページに、第1のパスワードを入力しても、認証サイトは破られない。
【0038】
(S206)認証サーバ1は、第1のパスワードを携帯電話機2へ送信すると共に、認証ページアドレスをパーソナルコンピュータ3へ送信する。ここで、携帯電話機2のWebブラウザによってパスワード発行要求を受信した場合、認証サーバ1は、その携帯電話機2のWebブラウザの画面へ、第1のパスワードを送信する。一方で、携帯電話機2から電子メールによってその本文に記述されたパスワード発行要求を受信した場合、認証サーバ1は、その電子メールアドレスの送信元アドレスへ、第1のパスワードを含む電子メールを送信する。第1のパスワードは、その電子メールの本文に記述される。これによって、パスワード発行要求を要求した携帯電話2の電子メールアドレスへ第1のパスワードを送信することで、電子メールアドレスを詐称していても第1のパスワードは正しい携帯電話2の電子メールアドレスへ送信されるため、第1のパスワードを盗られることを防止できる。
【0039】
(S207)携帯電話機2は、受信した第1のパスワードを、ディスプレイに表示し、利用者に視認させる。例えば、図3のS207の画面が、携帯電話機2のディスプレイに表示される。
【0040】
(S208)パーソナルコンピュータ3は、認証サーバ1の認証ページアドレスへアクセスする。例えば、図3のS208の画面が、パーソナルコンピュータ3のディスプレイに表示されており、そのURLをクリックすることによって、認証ページ要求が、認証サーバ1へ送信される。
【0041】
(S209)認証サーバ1は、認証ページを、パーソナルコンピュータ3へ応答する。認証ページは、利用者に対して第1のパスワードの入力を促す入力フォームを設けている。
【0042】
(S210)パーソナルコンピュータ3は、ブラウザによって認証ページをディスプレイに表示する。利用者は、その認証ページにおけるパスワード入力フォームに、携帯電話機2のディスプレイで視認した第1のパスワードを入力する。例えば、図3のS210の画面が、パーソナルコンピュータ3のディスプレイに表示される。そして、パーソナルコンピュータ3は、その入力パスワードを、認証サーバ1へ送信する。
【0043】
(S211)認証サーバ1は、入力パスワードと、登録テーブルについて認証ページアドレス(URL)に含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する。
【0044】
(S212)認証サーバ1は、認証成功と判定すると、認証成功メッセージをパーソナルコンピュータ3へ送信してもよいし、直ぐにサービス提供を開始してもよい。例えば、図3のS212の画面が、パーソナルコンピュータ3のディスプレイに表示される。
【0045】
(S213)これによって、パーソナルコンピュータ3から認証サイトへのアクセスが許可される。
【0046】
図4は、本発明における認証サーバの機能構成図である。
【0047】
図4によれば、認証サーバ1は、例えばインターネットに接続される通信インタフェース部100と、固有識別子登録確認部101と、パスワード発行要求受信部102と、パスワード生成部103と、登録テーブル部104と、認証ページアドレス生成部105と、認証ページ記憶部106と、パスワード送信部107と、認証ページ応答部108と、入力パスワード受信部109と、認証判定部110とを有する。これら機能構成部は、WWW機能を有するサーバに搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
【0048】
通信インタフェース部100は、WWWサーバのWebサイトとしての機能も有する。
【0049】
固有識別子登録確認部101は、第1の端末から当該端末の固有識別子を受信し、その固有識別子が登録テーブル部104に予め登録されていることを確認する。これによって、利用者の所持する携帯電話機の正当性を確認する。
【0050】
パスワード発行要求受信部102は、第1の端末からパスワード発行要求を受信し、その旨をパスワード生成部103へ通知する。パスワード発行要求は、電子メール(例えば空メール)で受信してもよい。
【0051】
パスワード生成部103は、利用者識別子(携帯電話機の固有識別子)に対して、第1のパスワード及び第2のパスワードの組を生成する。これらパスワードは、使い捨てのワンタイムパスワードであって、登録テーブル部104へ通知される。第1のパスワードは、パスワード送信部107へ出力され、第2のパスワードは、認証ページアドレス生成部105へ出力される。
【0052】
登録テーブル部104は、利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する。尚、パスワード発行要求受信部102が電子メールでパスワード発行要求を受信した場合、登録テーブル部104は、送信元となる第1の端末の電子メールアドレス(From)から利用者識別子へ対応付けることができる。
【0053】
認証ページアドレス生成部105は、認証ページ記憶部106に記憶された認証ページに対して、パスワード生成部103によって生成された第2のパスワードを含む認証ページアドレスを生成する。その認証ページアドレスは、パスワード送信部107へ出力される。
【0054】
認証ページ記憶部106は、パスワード入力フォームを有する認証ページを記憶する。
【0055】
パスワード送信部107は、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する。パスワード送信部107は、電子メールを用いることも好ましい。
【0056】
認証ページ応答部108は、パーソナルコンピュータ3からの認証ページアドレスへのアクセスに対して、認証ページ記憶部106に記憶された認証ページを、パーソナルコンピュータ3へ応答する。
【0057】
入力パスワード受信部109は、パーソナルコンピュータ3から、認証ページに入力された入力パスワードを受信するとともに、認証ページから認証ページアドレスに含まれる第2のパスワードを得る。入力パスワードと第2のパスワードは、認証判定部110に出力される。
【0058】
認証判定部110は、入力パスワードと、登録テーブル部104について認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブル部104について第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する。認証成功/失敗のメッセージをパーソナルコンピュータ3へ返信しても良い。
【0059】
以上、詳細に説明したように、本発明の利用者の認証方法、認証サーバ及びプログラムによれば、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる。
【0060】
本発明によれば、認証ページアドレスに第2のパスワードを含めることによって、その認証ページアドレスの認証ページに、第1のパスワードが入力されなければ、認証が成功しない。従来技術によれば、認証ページアドレスは、全ての端末に対して共有であるために、ワンタイムパスワードが盗み取られるだけで、認証サイトが破られる。これに対し、本発明によれば、第2のパスワードを含む認証ページアドレスと、第1のパスワードとの両方が盗み取られない限り、認証サイトは破られない。即ち、他の認証ページアドレスにおける認証ページに、第1のパスワードを入力しても、認証サイトは破られない。特に、本発明によれば、同一利用者によって所持される携帯電話機へワンタイムパスワードを送信した場合であっても、そのワンタイムパスワードを用いてアクセスすることができる端末(パーソナルコンピュータ)を限定することによってセキュリティを高めることができる。
【0061】
前述した本発明の種々の実施形態において、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
【図面の簡単な説明】
【0062】
【図1】システム構成図である。
【図2】本発明におけるシーケンス図である。
【図3】図2のシーケンスにおける携帯電話機及びパーソナルコンピュータの表示画面である。
【図4】本発明における認証サーバの機能構成図である。
【符号の説明】
【0063】
1 認証サーバ
100 通信インタフェース部
101 固有識別子登録確認部
102 パスワード発行要求受信部
103 パスワード生成部
104 登録テーブル部
105 認証ページアドレス生成部
106 認証ページ記憶部
107 パスワード送信部
108 認証ページ応答部
109 入力パスワード受信部
110 認証判定部
2 携帯電話機、第1の端末
3 パーソナルコンピュータ、第2の端末
4 インターネット
5 携帯電話網
【技術分野】
【0001】
本発明は、利用者の認証方法、認証サーバ及びプログラムに関する。
【背景技術】
【0002】
近年、インターネットを介した商品販売が一般的となり、個人所有の端末から、認証サーバへアクセスすることによって電子決済をすることができる。電子決済によれば、利用者識別子(ユーザID:User IDentifier)及びパスワードが、端末と認証サーバとの間でインターネットを介して送受信される。このとき、例えばフィッシング詐欺のようにユーザID及びパスワードが盗み取られる可能性もある。そのために、より高いセキュリティを確保し、ユーザの正当性を認証する必要がある。
【0003】
ユーザID等の漏洩を防ぐための技術として、使い捨てパスワード(ワンタイムパスワード)がある。ワンタイムパスワードとは、一度しか使えないパスワードであって、パスワード自体を毎回異なるものとした技術である。代表的な「タイムスタンプ方式」によれば、端末に「トークン」(パスワード生成器)が予め配布されており、端末と認証サーバとの間で、同期が取れていることを要する。端末は、認証を要求するその時刻に応じて異なるパスワードを生成する。認証サーバも、その時刻に応じた利用者のパスワードを生成し、両者の一致によって認証成功と判定する。
【0004】
認証サイトへアクセスする端末(例えばパーソナルコンピュータ)とは別に、同一の利用者によって所持されている携帯電話機を用いて、更に高いセキュリティを確保する技術もある(例えば特許文献1参照)。この技術によれば、認証サーバは、生成したワンタイムパスワードを、同一利用者によって所持される携帯電話機へ送信する。認証サーバによってワンタイムパスワードが生成されるために、携帯電話機がワンタイムパスワードを生成する必要がない。携帯電話機を所持する利用者は、ディスプレイに表示されたワンタイムパスワードを用いて、パーソナルコンピュータから、認証サイトへアクセスする。
【0005】
また、携帯電話機の位置情報に基づいて、ワンタイムパスワードを発行する技術もある(例えば特許文献2参照)。この技術によれば、携帯電話機と認証サーバとの間で同期を取る必要がない。また、位置情報に基づいてワンタイムパスワードが生成されるので、セキュリティも高まる。
【0006】
【特許文献1】特開2007−058469号公報
【特許文献2】特開2007−264835号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、前述した従来技術はいずれも、ワンタイムパスワード自体が盗み取られた場合には、結局、セキュリティが破られることとなる。特許文献1及び2に記載された技術によれば、携帯電話機へ送信されたワンタイムパスワードが盗み取られた場合、盗用者の所持する別の端末から、認証サイトへのアクセスを許すこととなる。
【0008】
そこで、本発明は、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる利用者の認証方法、認証サーバ及びプログラム等を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、両端末からネットワークを介して接続される認証サーバとを有するシステムにおける利用者の認証方法において、
認証された第1の端末が、パスワード発行要求を認証サーバへ送信する第1のステップと、
認証サーバが、第1のパスワード及び第2のパスワードの組を生成する第2のステップと、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを、登録テーブルに記憶する第3のステップと、
認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する第4のステップと、
認証サーバが、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する第5のステップと、
第2の端末が、認証サーバの認証ページアドレスへアクセスする第6のステップと、
認証サーバが、認証ページを、第2の端末へ応答する第7のステップと、
第2の端末が、認証ページに基づいて入力された入力パスワードを、認証サーバへ送信する第8のステップと、
認証サーバは、入力パスワードと、登録テーブルについて認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する第9のステップと
を有することを特徴とする。
【0010】
本発明の利用者の認証方法における他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
第1のステップについて、第1の端末は、電子メールを用いてパスワード発行要求を送信し、認証サーバは、パスワード発行要求の電子メールの送信元アドレスと、登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することも好ましい。
【0011】
本発明の利用者の認証方法における他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレス及び第2の端末の電子メールアドレスを予め記憶しており、
第5のステップについて、認証サーバは、電子メールを用いて、第1のパスワードを第1の端末へ送信し、認証ページアドレスを第2の端末へ送信することも好ましい。
【0012】
本発明の利用者の認証方法における他の実施形態によれば、
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
利用者識別子は、携帯電話機の固有識別子であり、
第1のステップの前段について、第1の端末が、当該端末の固有識別子を認証サーバへ送信し、認証サーバが、固有識別子が登録テーブルに予め登録されていることを認証することも好ましい。
【0013】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
パスワード発行要求受信手段がパスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの認証ページアドレスへのアクセスに対して、認証ページ記憶手段に記憶された認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
入力パスワードと、登録テーブルについて認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
を有することを特徴とする。
【0014】
本発明の認証サーバにおける他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
パスワード発行要求受信手段は、第1の端末から、電子メールを用いてパスワード発行要求を受信し、パスワード発行要求の電子メールの送信元アドレスと、登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することも好ましい。
【0015】
本発明の認証サーバにおける他の実施形態によれば、
登録テーブルは、利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
パスワード送信手段は、電子メールを用いて、第1のパスワードを第1の端末へ送信し、認証ページアドレスを第2の端末へ送信することも好ましい。
【0016】
本発明の認証サーバにおける他の実施形態によれば、
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
利用者識別子は、携帯電話機の固有識別子であり、
第1の端末から当該端末の固有識別子を受信し、該固有識別子が登録テーブルに予め登録されていることを認証する固有識別子登録確認手段を更に有することも好ましい。
【0017】
本発明によれば、同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバに搭載されたコンピュータを機能させるプログラムにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
パスワード発行要求受信手段がパスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの認証ページアドレスへのアクセスに対して、認証ページ記憶手段に記憶された認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
入力パスワードと第1のパスワードとが一致し、認証ページアドレスから得られる第2のパスワードが有効期限内に一致した際に、認証成功と判定する認証判定手段と
してコンピュータを機能させることを特徴とする。
【発明の効果】
【0018】
本発明の利用者の認証方法、認証サーバ及びプログラムによれば、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる。
【発明を実施するための最良の形態】
【0019】
以下では、図面を用いて、本発明を実施するための最良の形態について詳細に説明する。
【0020】
図1は、システム構成図である。
【0021】
図1によれば、認証サーバ1が、インターネット4に接続されている。認証サーバ1は、WebサイトとなるWWWサーバであって、携帯電話機又はパーソナルコンピュータのような端末機種に関係なく、アクセスされ得る。
【0022】
図1によれば、認証対象者となる利用者は、第1の端末としての携帯電話機2と、第2の端末としてのパーソナルコンピュータ3とを両方所持する。インターネット4には、携帯電話網5が相互接続されており、携帯電話機2は、携帯電話網5及びインターネット4を介して認証サーバ1にアクセスすることができる。即ち、認証サーバ1は、同一利用者に所持される両端末からネットワークを介して接続される。
【0023】
認証サーバ1は、登録テーブルを備えており、利用者識別子として携帯電話機2の固有識別子(例えばSIM番号又は製造番号であってもよい)及び電子メールアドレスを予め登録している。
【表1】
【0024】
図2は、本発明におけるシーケンス図である。また、図3は、図2のシーケンスにおける携帯電話機2及びパーソナルコンピュータ3の表示画面である。
【0025】
図2によれば、利用者が、パーソナルコンピュータ3を用いて、認証サイト(認証サーバ1における認証を要するWebサイト)にアクセスしようとしている。
【0026】
(S201)最初に、第1の端末である携帯電話機2は、利用者識別子として携帯電話機2の固有識別子を、認証サーバ1へ送信する。例えば、図3のS201の画面が、携帯電話機2のディスプレイに表示され、利用者による「OK」のクリックによって、携帯電話機2の固有識別子が、認証サーバ1へ送信される。
【0027】
(S202)認証サーバ1は、その固有識別子が、登録テーブルに登録されているか否かを判定し、認証対象となる利用者を特定する。これによって、正当利用者が所持する携帯電話機2であることを確認する。
【0028】
(S203)次に、携帯電話機2は、パスワード発行要求を、認証サーバ1へ送信する。パスワード発行要求は、認証サーバ1が利用者に対してワンタイムパスワードを発行するトリガとなる。ここで、パスワード発行要求は、電子メールであってもよい。例えば、携帯電話機2が、認証サーバ1へ、空メール(本文に記述がないメール)を送信することもできる。
【0029】
パスワード発行要求を電子メールで受信した認証サーバ1は、送信元となる携帯電話機2の電子メールアドレス(From)と、登録テーブルに予め登録している携帯電話機の電子メールアドレスのリストとを照合することによって、登録された利用者識別子を知ることができる。また、携帯電話機2が、パスワード発行要求に、パーソナルコンピュータ3の電子メールアドレスを含めることにより、認証サーバ1は、パーソナルコンピュータ3の電子メールアドレスも知ることができる。これら電子メールアドレスは、利用者識別子に対応付けて、登録テーブルに記憶される。勿論、認証サーバ1が、パーソナルコンピュータ3の電子メールアドレスを、登録テーブルに予め記憶しているものであってもよい。
【0030】
【表2】
【0031】
他の方法として、携帯電話機2が、認証サーバ1の特定のWebページにアクセスすることによって、図3のS203の画面が、携帯電話機2のディスプレイに表示されるものであってもよい。この場合、利用者の「OK」のクリックによって、パスワード発行要求が、認証サーバ1へ送信される。
【0032】
尚、S201及びS202のステップを、S203の中へ含めることも好ましい。例えば、パスワード発行要求の中に、携帯電話機2の固有識別子を含めることができる。パスワード発行要求を受信した認証サーバ1は、携帯電話機2の固有識別子を確認した上で、ワンタイムパスワードを発行することができる。
【0033】
(S204)認証サーバ1は、パスワード発行要求を受信した際に、その利用者識別子に専用となる第1のパスワード及び第2のパスワードの組を生成する。利用者識別子に対応付けて、これらパスワードと有効期限とが登録テーブルに記憶される。ここで、パスワードとは、使い捨てのワンタイムパスワードである。ワンタイムパスワードは、有効期限に設定される所定時間(例えば10分)だけ、有効となる。
【0034】
【表3】
【0035】
2つのワンタイムパスワードは、可能な限り重なることのない、ユニーク値を発生する乱数発生関数で生成される。勿論、数字に限られず、文字列も含む。例えばUUID(Universally Unique IDentifier:汎用一意識別子)であってもよい。UUIDとは、DCE(Distributed Computing Environment)の一部としてOSF(Open Software Foundation)が標準化した、一意に識別するための識別子である。UUIDは、分散システムについて、特定装置が統制を取ることなく、一意に特定可能な識別子を作成することができる。UUIDは、16バイトの数値で表され、重複や偶然の一致が起こりえないと確信して用いることができる。
【0036】
(S205)次に、認証サーバ1は、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレス(URL:Uniform Resource Locator)を生成する。具体的な認証ページアドレスとして、例えば以下のようなものである。この認証ページアドレスは、末尾に、第2のパスワードを含む。この認証ページアドレスは、有効期限をカバーする時間だけアクセス可能となるワンタイムURLである。
https://www.kddi.co.jp/auth?p2=8GK4D3KJF
【0037】
本発明によれば、認証ページアドレスに第2のパスワードを含めることによって、認証ページアドレスを受信したパーソナルコンピュータ3がその認証ページアドレスを用いてアクセスした認証ページに、第2のパスワードに関連付けられた第1のパスワードが有効期限の時間内に入力されなければ、認証が成功しない。従来技術によれば、認証ページアドレスは、全ての端末に対して共有であるために、ワンタイムパスワードが盗み取られるだけで、認証サイトが破られる。これに対し、本発明によれば、第2のパスワードを含む認証ページアドレスと、第1のパスワードとの両方が盗み取られない限り、認証サイトは破られない。即ち、他の認証ページアドレスにおける認証ページに、第1のパスワードを入力しても、認証サイトは破られない。
【0038】
(S206)認証サーバ1は、第1のパスワードを携帯電話機2へ送信すると共に、認証ページアドレスをパーソナルコンピュータ3へ送信する。ここで、携帯電話機2のWebブラウザによってパスワード発行要求を受信した場合、認証サーバ1は、その携帯電話機2のWebブラウザの画面へ、第1のパスワードを送信する。一方で、携帯電話機2から電子メールによってその本文に記述されたパスワード発行要求を受信した場合、認証サーバ1は、その電子メールアドレスの送信元アドレスへ、第1のパスワードを含む電子メールを送信する。第1のパスワードは、その電子メールの本文に記述される。これによって、パスワード発行要求を要求した携帯電話2の電子メールアドレスへ第1のパスワードを送信することで、電子メールアドレスを詐称していても第1のパスワードは正しい携帯電話2の電子メールアドレスへ送信されるため、第1のパスワードを盗られることを防止できる。
【0039】
(S207)携帯電話機2は、受信した第1のパスワードを、ディスプレイに表示し、利用者に視認させる。例えば、図3のS207の画面が、携帯電話機2のディスプレイに表示される。
【0040】
(S208)パーソナルコンピュータ3は、認証サーバ1の認証ページアドレスへアクセスする。例えば、図3のS208の画面が、パーソナルコンピュータ3のディスプレイに表示されており、そのURLをクリックすることによって、認証ページ要求が、認証サーバ1へ送信される。
【0041】
(S209)認証サーバ1は、認証ページを、パーソナルコンピュータ3へ応答する。認証ページは、利用者に対して第1のパスワードの入力を促す入力フォームを設けている。
【0042】
(S210)パーソナルコンピュータ3は、ブラウザによって認証ページをディスプレイに表示する。利用者は、その認証ページにおけるパスワード入力フォームに、携帯電話機2のディスプレイで視認した第1のパスワードを入力する。例えば、図3のS210の画面が、パーソナルコンピュータ3のディスプレイに表示される。そして、パーソナルコンピュータ3は、その入力パスワードを、認証サーバ1へ送信する。
【0043】
(S211)認証サーバ1は、入力パスワードと、登録テーブルについて認証ページアドレス(URL)に含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する。
【0044】
(S212)認証サーバ1は、認証成功と判定すると、認証成功メッセージをパーソナルコンピュータ3へ送信してもよいし、直ぐにサービス提供を開始してもよい。例えば、図3のS212の画面が、パーソナルコンピュータ3のディスプレイに表示される。
【0045】
(S213)これによって、パーソナルコンピュータ3から認証サイトへのアクセスが許可される。
【0046】
図4は、本発明における認証サーバの機能構成図である。
【0047】
図4によれば、認証サーバ1は、例えばインターネットに接続される通信インタフェース部100と、固有識別子登録確認部101と、パスワード発行要求受信部102と、パスワード生成部103と、登録テーブル部104と、認証ページアドレス生成部105と、認証ページ記憶部106と、パスワード送信部107と、認証ページ応答部108と、入力パスワード受信部109と、認証判定部110とを有する。これら機能構成部は、WWW機能を有するサーバに搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
【0048】
通信インタフェース部100は、WWWサーバのWebサイトとしての機能も有する。
【0049】
固有識別子登録確認部101は、第1の端末から当該端末の固有識別子を受信し、その固有識別子が登録テーブル部104に予め登録されていることを確認する。これによって、利用者の所持する携帯電話機の正当性を確認する。
【0050】
パスワード発行要求受信部102は、第1の端末からパスワード発行要求を受信し、その旨をパスワード生成部103へ通知する。パスワード発行要求は、電子メール(例えば空メール)で受信してもよい。
【0051】
パスワード生成部103は、利用者識別子(携帯電話機の固有識別子)に対して、第1のパスワード及び第2のパスワードの組を生成する。これらパスワードは、使い捨てのワンタイムパスワードであって、登録テーブル部104へ通知される。第1のパスワードは、パスワード送信部107へ出力され、第2のパスワードは、認証ページアドレス生成部105へ出力される。
【0052】
登録テーブル部104は、利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する。尚、パスワード発行要求受信部102が電子メールでパスワード発行要求を受信した場合、登録テーブル部104は、送信元となる第1の端末の電子メールアドレス(From)から利用者識別子へ対応付けることができる。
【0053】
認証ページアドレス生成部105は、認証ページ記憶部106に記憶された認証ページに対して、パスワード生成部103によって生成された第2のパスワードを含む認証ページアドレスを生成する。その認証ページアドレスは、パスワード送信部107へ出力される。
【0054】
認証ページ記憶部106は、パスワード入力フォームを有する認証ページを記憶する。
【0055】
パスワード送信部107は、第1のパスワードを第1の端末へ送信すると共に、認証ページアドレスを第2の端末へ送信する。パスワード送信部107は、電子メールを用いることも好ましい。
【0056】
認証ページ応答部108は、パーソナルコンピュータ3からの認証ページアドレスへのアクセスに対して、認証ページ記憶部106に記憶された認証ページを、パーソナルコンピュータ3へ応答する。
【0057】
入力パスワード受信部109は、パーソナルコンピュータ3から、認証ページに入力された入力パスワードを受信するとともに、認証ページから認証ページアドレスに含まれる第2のパスワードを得る。入力パスワードと第2のパスワードは、認証判定部110に出力される。
【0058】
認証判定部110は、入力パスワードと、登録テーブル部104について認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、登録テーブル部104について第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する。認証成功/失敗のメッセージをパーソナルコンピュータ3へ返信しても良い。
【0059】
以上、詳細に説明したように、本発明の利用者の認証方法、認証サーバ及びプログラムによれば、認証された携帯電話機を用いて、パーソナルコンピュータから認証を要するWebサイトへアクセスする際に、利用者のパスワード等の記憶に頼ることなくセキュリティを高めることができる。
【0060】
本発明によれば、認証ページアドレスに第2のパスワードを含めることによって、その認証ページアドレスの認証ページに、第1のパスワードが入力されなければ、認証が成功しない。従来技術によれば、認証ページアドレスは、全ての端末に対して共有であるために、ワンタイムパスワードが盗み取られるだけで、認証サイトが破られる。これに対し、本発明によれば、第2のパスワードを含む認証ページアドレスと、第1のパスワードとの両方が盗み取られない限り、認証サイトは破られない。即ち、他の認証ページアドレスにおける認証ページに、第1のパスワードを入力しても、認証サイトは破られない。特に、本発明によれば、同一利用者によって所持される携帯電話機へワンタイムパスワードを送信した場合であっても、そのワンタイムパスワードを用いてアクセスすることができる端末(パーソナルコンピュータ)を限定することによってセキュリティを高めることができる。
【0061】
前述した本発明の種々の実施形態において、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
【図面の簡単な説明】
【0062】
【図1】システム構成図である。
【図2】本発明におけるシーケンス図である。
【図3】図2のシーケンスにおける携帯電話機及びパーソナルコンピュータの表示画面である。
【図4】本発明における認証サーバの機能構成図である。
【符号の説明】
【0063】
1 認証サーバ
100 通信インタフェース部
101 固有識別子登録確認部
102 パスワード発行要求受信部
103 パスワード生成部
104 登録テーブル部
105 認証ページアドレス生成部
106 認証ページ記憶部
107 パスワード送信部
108 認証ページ応答部
109 入力パスワード受信部
110 認証判定部
2 携帯電話機、第1の端末
3 パーソナルコンピュータ、第2の端末
4 インターネット
5 携帯電話網
【特許請求の範囲】
【請求項1】
同一利用者に用いられる第1の端末及び第2の端末と、両端末からネットワークを介して接続される認証サーバとを有するシステムにおける利用者の認証方法において、
認証された第1の端末が、パスワード発行要求を前記認証サーバへ送信する第1のステップと、
前記認証サーバが、第1のパスワード及び第2のパスワードの組を生成する第2のステップと、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを、登録テーブルに記憶する第3のステップと、
前記認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する第4のステップと、
前記認証サーバが、第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信する第5のステップと、
第2の端末が、前記認証サーバの前記認証ページアドレスへアクセスする第6のステップと、
前記認証サーバが、前記認証ページを、第2の端末へ応答する第7のステップと、
第2の端末が、前記認証ページに入力された入力パスワードを、前記認証サーバへ送信する第8のステップと、
前記認証サーバは、前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する第9のステップと
を有することを特徴とする利用者の認証方法。
【請求項2】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
第1のステップについて、第1の端末は、電子メールを用いて前記パスワード発行要求を送信し、前記認証サーバは、前記パスワード発行要求の電子メールの送信元アドレスと、前記登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することを特徴とする請求項1に記載の利用者の認証方法。
【請求項3】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
第5のステップについて、前記認証サーバは、電子メールを用いて、第1のパスワードを第1の端末へ送信し、前記認証ページアドレスを第2の端末へ送信することを特徴とする請求項1又は2に記載の利用者の認証方法。
【請求項4】
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
前記利用者識別子は、前記携帯電話機の固有識別子であり、
第1のステップの前段について、第1の端末が、当該端末の固有識別子を前記認証サーバへ送信し、前記認証サーバが、前記固有識別子が登録テーブルに予め登録されていることを認証することを特徴とする請求項1から3のいずれか1項に記載の利用者の認証方法。
【請求項5】
同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
前記パスワード発行要求受信手段が前記パスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
前記認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの前記認証ページアドレスへのアクセスに対して、前記認証ページ記憶手段に記憶された前記認証ページを第2の端末へ応答する認証ページ応答手段と、
第2の端末から、前記認証ページに入力された入力パスワードを受信する入力パスワード受信手段と、
前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
を有することを特徴とする認証サーバ。
【請求項6】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
前記パスワード発行要求受信手段は、第1の端末から、電子メールを用いて前記パスワード発行要求を受信し、前記パスワード発行要求の電子メールの送信元アドレスと、前記登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することを特徴とする請求項5に記載の利用者の認証サーバ。
【請求項7】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
前記パスワード送信手段は、電子メールを用いて、第1のパスワードを第1の端末へ送信し、前記認証ページアドレスを第2の端末へ送信することを特徴とする請求項5又は6に記載の認証サーバ。
【請求項8】
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
前記利用者識別子は、前記携帯電話機の固有識別子であり、
第1の端末から当該端末の固有識別子を受信し、該固有識別子が登録テーブルに予め登録されていることを認証する固有識別子登録確認手段を更に有することを特徴とする請求項5から7のいずれか1項に記載の認証サーバ。
【請求項9】
同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバに搭載されたコンピュータを機能させるプログラムにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
前記パスワード発行要求受信手段が前記パスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
前記認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの前記認証ページアドレスへのアクセスに対して、前記認証ページ記憶手段に記憶された前記認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、前記認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
してコンピュータを機能させることを特徴とする認証サーバ用のプログラム。
【請求項1】
同一利用者に用いられる第1の端末及び第2の端末と、両端末からネットワークを介して接続される認証サーバとを有するシステムにおける利用者の認証方法において、
認証された第1の端末が、パスワード発行要求を前記認証サーバへ送信する第1のステップと、
前記認証サーバが、第1のパスワード及び第2のパスワードの組を生成する第2のステップと、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを、登録テーブルに記憶する第3のステップと、
前記認証サーバが、パスワード入力フォームを有する認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する第4のステップと、
前記認証サーバが、第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信する第5のステップと、
第2の端末が、前記認証サーバの前記認証ページアドレスへアクセスする第6のステップと、
前記認証サーバが、前記認証ページを、第2の端末へ応答する第7のステップと、
第2の端末が、前記認証ページに入力された入力パスワードを、前記認証サーバへ送信する第8のステップと、
前記認証サーバは、前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する第9のステップと
を有することを特徴とする利用者の認証方法。
【請求項2】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
第1のステップについて、第1の端末は、電子メールを用いて前記パスワード発行要求を送信し、前記認証サーバは、前記パスワード発行要求の電子メールの送信元アドレスと、前記登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することを特徴とする請求項1に記載の利用者の認証方法。
【請求項3】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
第5のステップについて、前記認証サーバは、電子メールを用いて、第1のパスワードを第1の端末へ送信し、前記認証ページアドレスを第2の端末へ送信することを特徴とする請求項1又は2に記載の利用者の認証方法。
【請求項4】
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
前記利用者識別子は、前記携帯電話機の固有識別子であり、
第1のステップの前段について、第1の端末が、当該端末の固有識別子を前記認証サーバへ送信し、前記認証サーバが、前記固有識別子が登録テーブルに予め登録されていることを認証することを特徴とする請求項1から3のいずれか1項に記載の利用者の認証方法。
【請求項5】
同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
前記パスワード発行要求受信手段が前記パスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
前記認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの前記認証ページアドレスへのアクセスに対して、前記認証ページ記憶手段に記憶された前記認証ページを第2の端末へ応答する認証ページ応答手段と、
第2の端末から、前記認証ページに入力された入力パスワードを受信する入力パスワード受信手段と、
前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
を有することを特徴とする認証サーバ。
【請求項6】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスを予め記憶しており、
前記パスワード発行要求受信手段は、第1の端末から、電子メールを用いて前記パスワード発行要求を受信し、前記パスワード発行要求の電子メールの送信元アドレスと、前記登録テーブルに登録された第1の端末の電子メールアドレスとが一致することを確認することを特徴とする請求項5に記載の利用者の認証サーバ。
【請求項7】
前記登録テーブルは、前記利用者識別子に対応付けて第1の端末の電子メールアドレスと第2の端末の電子メールアドレスとを予め記憶しており、
前記パスワード送信手段は、電子メールを用いて、第1のパスワードを第1の端末へ送信し、前記認証ページアドレスを第2の端末へ送信することを特徴とする請求項5又は6に記載の認証サーバ。
【請求項8】
第1の端末は、携帯電話機であり、
第2の端末は、パーソナルコンピュータであり、
前記利用者識別子は、前記携帯電話機の固有識別子であり、
第1の端末から当該端末の固有識別子を受信し、該固有識別子が登録テーブルに予め登録されていることを認証する固有識別子登録確認手段を更に有することを特徴とする請求項5から7のいずれか1項に記載の認証サーバ。
【請求項9】
同一利用者に用いられる第1の端末及び第2の端末と、ネットワークを介して接続される認証サーバに搭載されたコンピュータを機能させるプログラムにおいて、
第1の端末からパスワード発行要求を受信するパスワード発行要求受信手段と、
前記パスワード発行要求受信手段が前記パスワード発行要求を受信した際に、第1のパスワード及び第2のパスワードの組を生成するパスワード生成手段と、
利用者識別子に対応付けて、生成された第1のパスワード及び第2のパスワードと有効期限とを記憶する登録テーブルと、
パスワード入力フォームを有する認証ページを記憶する認証ページ記憶手段と、
前記認証ページに対して、第2のパスワードを含む認証ページアドレスを生成する認証ページアドレス生成手段と、
第1のパスワードを第1の端末へ送信すると共に、前記認証ページアドレスを第2の端末へ送信するパスワード送信手段と、
第2の端末からの前記認証ページアドレスへのアクセスに対して、前記認証ページ記憶手段に記憶された前記認証ページを、第2の端末へ応答する認証ページ応答手段と、
第2の端末から、前記認証ページに基づいて入力された入力パスワードを受信する入力パスワード受信手段と、
前記入力パスワードと、前記登録テーブルについて前記認証ページアドレスに含まれる第2のパスワードに対応付けられた第1のパスワードとが一致し、且つ、前記登録テーブルについて第1のパスワードに対応付けられた有効期限の期間内である場合、認証成功と判定する認証判定手段と
してコンピュータを機能させることを特徴とする認証サーバ用のプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2009−301446(P2009−301446A)
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願番号】特願2008−157302(P2008−157302)
【出願日】平成20年6月17日(2008.6.17)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願日】平成20年6月17日(2008.6.17)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]