認証サービス方法及びシステム
【課題】高度なセキュリティを有する認証サービスを提供する。
【解決手段】OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、端末が、入力されたカード番号を専用サイトに送信し、専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信し、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信し、OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成し、端末が、入力されたワンタイム・パスワードを認証サーバに送信し、認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する認証サービス方法。
【解決手段】OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、端末が、入力されたカード番号を専用サイトに送信し、専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信し、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信し、OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成し、端末が、入力されたワンタイム・パスワードを認証サーバに送信し、認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する認証サービス方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証サービスに関する。
【背景技術】
【0002】
一般に、インターネット等のネットワークでクレジットカード決済に必要なユーザ認証サービスとしては、3Dセキュアが知られている。
【0003】
この3Dセキュアは、予め認証サーバにパスワードを登録しておき、ネットワークでクレジットカード決済する際に、パスワードを、ユーザが送信することを促すものである。
【0004】
また一般に、インターネット等のネットワークでクレジットカード決済に必要なユーザ認証サービスとしては、時刻ベースのワンタイム・パスワードを利用することも知られている。
【0005】
この時刻ベースのワンタイム・パスワードは、予め認証サーバと時間的に同期してワンタイム・パスワードを生成するワンタイム・パスワード生成器をユーザに持たせ、ネットワークでクレジットカード決済する際に、生成されたワンタイム・パスワードを、ユーザが送信することを促すものである。
【0006】
これらのサービスは、第三者が認証サーバを装い認証サーバとは別のサーバに、パスワード又はワンタイムパスワードを送信するよう誘引して、パスワード又はワンタイムパスワードを盗む、いわゆるフィッシングの危険がある。
【0007】
また時刻ベースのワンタイム・パスワードでは、ワンタイム生成器が盗まれた場合、さらにネットショップにログインするために必要なID及びパスワードが事前に分かっていた場合、なりすましのリスクが高まる。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は斯かる背景技術に鑑みてなされたもので、高度なセキュリティを有する認証サービスを提供することを課題とする。
【課題を解決するための手段】
【0009】
本発明において上記課題を解決するために、まず請求項1の発明では、OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、
端末が、入力されたカード番号を専用サイトに送信する工程と、
専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する工程と、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程と、
OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する工程と、
端末が、入力されたワンタイム・パスワードを認証サーバに送信する工程と、
認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する工程とを含むことを特徴とする認証サービス方法としたものである。
【0010】
また請求項2の発明では、OTPトークンが、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする工程を含むことを特徴とする請求項1記載の認証サービス方法としたものである。
【0011】
また請求項3の発明では、認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースを有し、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程の代わりに、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する工程を含むことを特徴とする請求項1又は2記載の認証サービス方法としたものである。
【0012】
また請求項4の発明では、
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムであって、
OTPトークンは、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する手段を有し、
端末は、入力されたカード番号を専用サイトに送信する手段と、入力されたワンタイム・パスワードを認証サーバに送信する手段とを有し、
専用サイトは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する手段を有し、
認証サーバは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段と、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する手段とを有することを特徴とする認証サービスシステムとしたものである。
【0013】
また請求項5の発明では、OTPトークンは、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする手段を有することを特徴とする請求項4記載の認証サービスシステムとしたものである。
【0014】
また請求項6の発明では、認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースと、専用サイトが受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段の代わりに、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する手段とを有することを特徴とする請求項4又は5記載の認証サービスシステムとしたものである。
【発明の効果】
【0015】
請求項1及び4の発明は、第三者が認証サーバを装い認証サーバとは別のサーバに、ワンタイムパスワードを送信するよう誘引しても、この認証サーバとは別のサーバが、認証サーバと全く同じチャレンジデータを端末に送信しない限り、ワンタイムパスワードを盗み取ることができないので、フィッシング詐欺に対処することができるという効果がある。
【0016】
請求項2及び5の発明は、OTPトークンが盗まれても、PINを入力して、ユーザ認証に成功しない限り、ワンタイム・パスワードを生成するためのチャレンジコードの入力が不可能なので、なりすましのリスクが低減するという効果がある。
【0017】
請求項3及び6の発明は、ネットショップが、クレジットカードで決済しようとするユーザがOTPトークンを所持しているか否かを知ることができ、このユーザにOTPトークンの所持を促すことができるという効果がある。
【0018】
以上、本願発明は、高度なセキュリティを有する認証サービスを提供することができるという効果がある。
【図面の簡単な説明】
【0019】
【図1】本発明に係るシステムの構成例を示す図。
【図2】クレジットカードによる決済のためのユーザ認証処理の流れの例を示すフローチャート。
【発明を実施するための形態】
【0020】
以下に、本発明の実施の一形態を説明する。
【0021】
本発明に係るシステムは、図1に示すように、ユーザの端末及びOTP(One Time Password)トークン並びクレジットカードと、ネットショップの専用サイトと、カード会社又は第三者のデータセンタの認証サーバとを備え、これら端末と専用サイトと認証サーバとがインターネット等のネットワークに接続されているものである。
【0022】
OTPトークンは、パスワード生成装置であって、ワンタイム・パスワードによるユーザ認証を希望するクレジットカードのユーザのみに、カード会社が与えるものである。
【0023】
ワンタイム・パスワードは、OTPトークンによって、認証サーバから送られる度にランダムに変化するチャレンジデータを基に生成され、生成される度にランダムに変化するパスワードであって、認証サーバに送られてユーザ認証に用いられるものである。
【0024】
認証サーバは、チャレンジデータを基にOTPトークンと同じワンタイム・パスワードを生成し、生成されたワンタイム・パスワードと、送られて来たワンタイム・パスワードとを照合することによりユーザ認証(ワンタイム・パスワード認証とも云う)を行う。
【0025】
尚、OTPトークンは、PIN(Personal identification number)によるユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力が可能になり、これによってワンタイム・パスワードの生成が可能になる。
【0026】
認証サーバは、カード番号と、このカード番号で識別されるクレジットカードのユーザについてOTPトークンの所持の有無とを対にして記憶しているデータベースを有する。
【0027】
以下に、クレジットカードによる決済のためのユーザ認証処理の流れの例を、図2のフローチャートに従って説明する。
【0028】
S(STEP)1;
ユーザは、端末からネットショップの専用サイトに、IDとパスワードでログインして
、買い物を行う。
【0029】
S(STEP)2;
クレジットカードによる決済のために、ユーザが、端末のWeb画面にてカード番号を入力すると、端末は、入力されたカード番号を、ネットショップの専用サイトに送信する。
【0030】
S(STEP)3;
ネットショップの専用サイトは、カード番号を受信すると、受信したカード番号で識別されるクレジットカードのユーザについて、ワンタイム・パスワードによるユーザ認証の依頼を、受信したカード番号とともに認証サーバに送信する。
【0031】
S(STEP)4;
認証サーバは、ワンタイム・パスワードによるユーザ認証の依頼を、カード番号とともに受信すると、データベースを参照して、受信したカード番号で識別されるクレジットカードのユーザについてOTPトークンの所持の有無を確かめる。
【0032】
S(STEP)5;
OTPトークンの所持が無い場合、STEP6へ進み、
他方、OTPトークンの所持が有る場合、STEP7へ進む。
【0033】
S(STEP)6;
認証サーバは、OTPトークンの所持無しをネットショップの専用サイトに送信して、STEP13に進む。
【0034】
S(STEP)7;
認証サーバは、チャレンジデータ(ランダムな数値列)を生成してユーザの端末に送信するとともに、生成したチャレンジデータをユーザ及び生成時刻と対応付けて記憶する。
【0035】
S(STEP)8;
ユーザは、端末にて、チャレンジデータを受信すると、OTPトークンにPIN(Personal identification number)を入力する。
【0036】
S(STEP)9;
OTPトークンが、入力されたPINによってユーザ認証を行い、認証に成功して、チャレンジデータの入力を可能にすると、ユーザは、OTPトークンに、受信したチャレンジデータを入力する。
【0037】
S(STEP)10;
OTPトークンは、入力されたチャレンジデータを基に、ワンタイム・パスワードを生成して出力する。
【0038】
S(STEP)11;
ユーザが、端末に、出力されたワンタイム・パスワードを入力すると、端末は、入力されたワンタイム・パスワードを認証サーバに送信する。
【0039】
S(STEP)12;
認証サーバは、ワンタイム・パスワードを受信すると、記憶しているチャレンジデータを基にユーザのOTPトークンと同じ演算を行ってワンンタイムパスワードを生成し、受信したパスワードと生成したパスワードとを比較するワンタイム・パスワード認証を行い
、一致する場合には認証成功、相違する場合には認証失敗とするワンタイム・パスワード認証結果を、ネットショップの専用サイトに送信する。
【0040】
S(STEP)13;
ネットショップの専用サーバは、OTPトークンの所持無し、或いは、ワンタイム・パスワード認証結果を受信すると、取引を完了する処理を行う。
【0041】
このように、認証サーバがランダムに生成したチャレンジデータを基にワンタイム・パスワードを生成し、これを認証に用いているため、単に時刻及びOTPトークンが保有している計算式のみから生成したワンタイム・パスワードを認証に用いる場合に比べて、セキュリティが向上し、フィッシングの危険性を低下させることが可能となる。
【技術分野】
【0001】
本発明は、認証サービスに関する。
【背景技術】
【0002】
一般に、インターネット等のネットワークでクレジットカード決済に必要なユーザ認証サービスとしては、3Dセキュアが知られている。
【0003】
この3Dセキュアは、予め認証サーバにパスワードを登録しておき、ネットワークでクレジットカード決済する際に、パスワードを、ユーザが送信することを促すものである。
【0004】
また一般に、インターネット等のネットワークでクレジットカード決済に必要なユーザ認証サービスとしては、時刻ベースのワンタイム・パスワードを利用することも知られている。
【0005】
この時刻ベースのワンタイム・パスワードは、予め認証サーバと時間的に同期してワンタイム・パスワードを生成するワンタイム・パスワード生成器をユーザに持たせ、ネットワークでクレジットカード決済する際に、生成されたワンタイム・パスワードを、ユーザが送信することを促すものである。
【0006】
これらのサービスは、第三者が認証サーバを装い認証サーバとは別のサーバに、パスワード又はワンタイムパスワードを送信するよう誘引して、パスワード又はワンタイムパスワードを盗む、いわゆるフィッシングの危険がある。
【0007】
また時刻ベースのワンタイム・パスワードでは、ワンタイム生成器が盗まれた場合、さらにネットショップにログインするために必要なID及びパスワードが事前に分かっていた場合、なりすましのリスクが高まる。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は斯かる背景技術に鑑みてなされたもので、高度なセキュリティを有する認証サービスを提供することを課題とする。
【課題を解決するための手段】
【0009】
本発明において上記課題を解決するために、まず請求項1の発明では、OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、
端末が、入力されたカード番号を専用サイトに送信する工程と、
専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する工程と、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程と、
OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する工程と、
端末が、入力されたワンタイム・パスワードを認証サーバに送信する工程と、
認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する工程とを含むことを特徴とする認証サービス方法としたものである。
【0010】
また請求項2の発明では、OTPトークンが、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする工程を含むことを特徴とする請求項1記載の認証サービス方法としたものである。
【0011】
また請求項3の発明では、認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースを有し、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程の代わりに、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する工程を含むことを特徴とする請求項1又は2記載の認証サービス方法としたものである。
【0012】
また請求項4の発明では、
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムであって、
OTPトークンは、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する手段を有し、
端末は、入力されたカード番号を専用サイトに送信する手段と、入力されたワンタイム・パスワードを認証サーバに送信する手段とを有し、
専用サイトは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する手段を有し、
認証サーバは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段と、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する手段とを有することを特徴とする認証サービスシステムとしたものである。
【0013】
また請求項5の発明では、OTPトークンは、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする手段を有することを特徴とする請求項4記載の認証サービスシステムとしたものである。
【0014】
また請求項6の発明では、認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースと、専用サイトが受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段の代わりに、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する手段とを有することを特徴とする請求項4又は5記載の認証サービスシステムとしたものである。
【発明の効果】
【0015】
請求項1及び4の発明は、第三者が認証サーバを装い認証サーバとは別のサーバに、ワンタイムパスワードを送信するよう誘引しても、この認証サーバとは別のサーバが、認証サーバと全く同じチャレンジデータを端末に送信しない限り、ワンタイムパスワードを盗み取ることができないので、フィッシング詐欺に対処することができるという効果がある。
【0016】
請求項2及び5の発明は、OTPトークンが盗まれても、PINを入力して、ユーザ認証に成功しない限り、ワンタイム・パスワードを生成するためのチャレンジコードの入力が不可能なので、なりすましのリスクが低減するという効果がある。
【0017】
請求項3及び6の発明は、ネットショップが、クレジットカードで決済しようとするユーザがOTPトークンを所持しているか否かを知ることができ、このユーザにOTPトークンの所持を促すことができるという効果がある。
【0018】
以上、本願発明は、高度なセキュリティを有する認証サービスを提供することができるという効果がある。
【図面の簡単な説明】
【0019】
【図1】本発明に係るシステムの構成例を示す図。
【図2】クレジットカードによる決済のためのユーザ認証処理の流れの例を示すフローチャート。
【発明を実施するための形態】
【0020】
以下に、本発明の実施の一形態を説明する。
【0021】
本発明に係るシステムは、図1に示すように、ユーザの端末及びOTP(One Time Password)トークン並びクレジットカードと、ネットショップの専用サイトと、カード会社又は第三者のデータセンタの認証サーバとを備え、これら端末と専用サイトと認証サーバとがインターネット等のネットワークに接続されているものである。
【0022】
OTPトークンは、パスワード生成装置であって、ワンタイム・パスワードによるユーザ認証を希望するクレジットカードのユーザのみに、カード会社が与えるものである。
【0023】
ワンタイム・パスワードは、OTPトークンによって、認証サーバから送られる度にランダムに変化するチャレンジデータを基に生成され、生成される度にランダムに変化するパスワードであって、認証サーバに送られてユーザ認証に用いられるものである。
【0024】
認証サーバは、チャレンジデータを基にOTPトークンと同じワンタイム・パスワードを生成し、生成されたワンタイム・パスワードと、送られて来たワンタイム・パスワードとを照合することによりユーザ認証(ワンタイム・パスワード認証とも云う)を行う。
【0025】
尚、OTPトークンは、PIN(Personal identification number)によるユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力が可能になり、これによってワンタイム・パスワードの生成が可能になる。
【0026】
認証サーバは、カード番号と、このカード番号で識別されるクレジットカードのユーザについてOTPトークンの所持の有無とを対にして記憶しているデータベースを有する。
【0027】
以下に、クレジットカードによる決済のためのユーザ認証処理の流れの例を、図2のフローチャートに従って説明する。
【0028】
S(STEP)1;
ユーザは、端末からネットショップの専用サイトに、IDとパスワードでログインして
、買い物を行う。
【0029】
S(STEP)2;
クレジットカードによる決済のために、ユーザが、端末のWeb画面にてカード番号を入力すると、端末は、入力されたカード番号を、ネットショップの専用サイトに送信する。
【0030】
S(STEP)3;
ネットショップの専用サイトは、カード番号を受信すると、受信したカード番号で識別されるクレジットカードのユーザについて、ワンタイム・パスワードによるユーザ認証の依頼を、受信したカード番号とともに認証サーバに送信する。
【0031】
S(STEP)4;
認証サーバは、ワンタイム・パスワードによるユーザ認証の依頼を、カード番号とともに受信すると、データベースを参照して、受信したカード番号で識別されるクレジットカードのユーザについてOTPトークンの所持の有無を確かめる。
【0032】
S(STEP)5;
OTPトークンの所持が無い場合、STEP6へ進み、
他方、OTPトークンの所持が有る場合、STEP7へ進む。
【0033】
S(STEP)6;
認証サーバは、OTPトークンの所持無しをネットショップの専用サイトに送信して、STEP13に進む。
【0034】
S(STEP)7;
認証サーバは、チャレンジデータ(ランダムな数値列)を生成してユーザの端末に送信するとともに、生成したチャレンジデータをユーザ及び生成時刻と対応付けて記憶する。
【0035】
S(STEP)8;
ユーザは、端末にて、チャレンジデータを受信すると、OTPトークンにPIN(Personal identification number)を入力する。
【0036】
S(STEP)9;
OTPトークンが、入力されたPINによってユーザ認証を行い、認証に成功して、チャレンジデータの入力を可能にすると、ユーザは、OTPトークンに、受信したチャレンジデータを入力する。
【0037】
S(STEP)10;
OTPトークンは、入力されたチャレンジデータを基に、ワンタイム・パスワードを生成して出力する。
【0038】
S(STEP)11;
ユーザが、端末に、出力されたワンタイム・パスワードを入力すると、端末は、入力されたワンタイム・パスワードを認証サーバに送信する。
【0039】
S(STEP)12;
認証サーバは、ワンタイム・パスワードを受信すると、記憶しているチャレンジデータを基にユーザのOTPトークンと同じ演算を行ってワンンタイムパスワードを生成し、受信したパスワードと生成したパスワードとを比較するワンタイム・パスワード認証を行い
、一致する場合には認証成功、相違する場合には認証失敗とするワンタイム・パスワード認証結果を、ネットショップの専用サイトに送信する。
【0040】
S(STEP)13;
ネットショップの専用サーバは、OTPトークンの所持無し、或いは、ワンタイム・パスワード認証結果を受信すると、取引を完了する処理を行う。
【0041】
このように、認証サーバがランダムに生成したチャレンジデータを基にワンタイム・パスワードを生成し、これを認証に用いているため、単に時刻及びOTPトークンが保有している計算式のみから生成したワンタイム・パスワードを認証に用いる場合に比べて、セキュリティが向上し、フィッシングの危険性を低下させることが可能となる。
【特許請求の範囲】
【請求項1】
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、
端末が、入力されたカード番号を専用サイトに送信する工程と、
専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する工程と、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程と、
OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する工程と、
端末が、入力されたワンタイム・パスワードを認証サーバに送信する工程と、
認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する工程とを含むことを特徴とする認証サービス方法。
【請求項2】
OTPトークンが、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする工程を含むことを特徴とする請求項1記載の認証サービス方法。
【請求項3】
認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースを有し、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程の代わりに、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する工程を含むことを特徴とする請求項1又は2記載の認証サービス方法。
【請求項4】
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムであって、
OTPトークンは、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する手段を有し、
端末は、入力されたカード番号を専用サイトに送信する手段と、入力されたワンタイム・パスワードを認証サーバに送信する手段とを有し、
専用サイトは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する手段を有し、
認証サーバは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段と、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する手段とを有することを特徴とする認証サービスシステム。
【請求項5】
OTPトークンは、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする手段を有することを特徴とする請求項4記載の認証サービスシステム。
【請求項6】
認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースと、専用サイトが受信したカード番号で識別されるクレジットカードのユー
ザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段の代わりに、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する手段とを有することを特徴とする請求項4又は5記載の認証サービスシステム。
【請求項1】
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムが実行する方法であって、
端末が、入力されたカード番号を専用サイトに送信する工程と、
専用サイトが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する工程と、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程と、
OTPトークンが、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する工程と、
端末が、入力されたワンタイム・パスワードを認証サーバに送信する工程と、
認証サーバが、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する工程とを含むことを特徴とする認証サービス方法。
【請求項2】
OTPトークンが、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする工程を含むことを特徴とする請求項1記載の認証サービス方法。
【請求項3】
認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースを有し、
認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する工程の代わりに、認証サーバが、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する工程を含むことを特徴とする請求項1又は2記載の認証サービス方法。
【請求項4】
OTPトークンと、端末と、ネットショップの専用サイトと、認証サーバとを備え、これら端末と専用サイトと認証サーバとがネットワークに接続されているシステムであって、
OTPトークンは、端末で受信されて入力されたチャレンジデータを基に、ワンタイム・パスワードを生成する手段を有し、
端末は、入力されたカード番号を専用サイトに送信する手段と、入力されたワンタイム・パスワードを認証サーバに送信する手段とを有し、
専用サイトは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を認証サーバに送信する手段を有し、
認証サーバは、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段と、受信したワンタイム・パスワードを基にユーザ認証を行って、認証結果を専用サイトに送信する手段とを有することを特徴とする認証サービスシステム。
【請求項5】
OTPトークンは、入力されたPINを基にユーザ認証を行い、認証に成功した場合のみ、チャレンジコードの入力を可能にする手段を有することを特徴とする請求項4記載の認証サービスシステム。
【請求項6】
認証サーバは、カード番号と、OTPトークンの所持の有無とを対にして記憶しているデータベースと、専用サイトが受信したカード番号で識別されるクレジットカードのユー
ザ認証の依頼を受信すると、チャレンジデータを生成して端末に送信する手段の代わりに、受信したカード番号で識別されるクレジットカードのユーザ認証の依頼を受信すると、データベースを参照して、このカード番号と対のOTPトークンの所持の有無を確かめ、OTPトークンの所持がない場合、このことを専用サイトに送信し、他方、OTPトークンの所持が有る場合、チャレンジデータを生成して端末に送信する手段とを有することを特徴とする請求項4又は5記載の認証サービスシステム。
【図1】
【図2】
【図2】
【公開番号】特開2011−164821(P2011−164821A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−25232(P2010−25232)
【出願日】平成22年2月8日(2010.2.8)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月8日(2010.2.8)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
[ Back to top ]