認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラム
【課題】仮にトークンである非接触型情報記憶媒体が盗取された場合であっても、ユーザなりすましが困難なシステムをユーザの記憶に負荷をかけない形で利便性高く実現することができる認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラムを提供する。
【解決手段】携帯無線通信端末100のリーダライタ140により、非接触型ICカード40の第1の固有情報Xを読み取り、認証キーPを生成する。この認証キーPをパスワードの代わりに用いて、認証を行う。
【解決手段】携帯無線通信端末100のリーダライタ140により、非接触型ICカード40の第1の固有情報Xを読み取り、認証キーPを生成する。この認証キーPをパスワードの代わりに用いて、認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットサービスを利用する携帯電話機等における認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラムに関するものである。
【背景技術】
【0002】
OpenIDと連携したInformation Card等のweb認証サービスでは、認証を担うプロバイダを共有する仕組みにより、ユーザのID及びパスワード管理責任を軽減する仕組みを提供している。これらは、前提として、IDたるカード(そして多くの場合パスワードも)をユーザが記憶してカード情報の利用をユーザが厳重に管理することを前提とする。人間の記憶に頼る以上、適切なパスワードの徹底には限界があり、多くのユーザの場合、極端に桁数が短かったり、辞書攻撃に弱いパスワードを指定したりする等、安全性を確保したパスワード運用が困難であった。
【0003】
また、利用者が認証プロバイダからPC(パーソナルコンピュータ)向けに発行を受けたInformation Card規格のカードは、基本的にカードを生成した端末内で利用することを前提としている。したがって、携帯電話等の他の端末で利用したくても、生成済みカードを他の端末へ安全にコピーする仕組みがないため、同一の利用者が利用する異なる情報機器(PC、携帯電話等)に同一のIDでログインすることはできなかった。
【0004】
さらに、OASIS規格(Identity Metasystem Interoperability Version 1.0 )では、カード様式の暗号化手順は定めているがPINに依っているため、安全性がPINの長さ等に依存するという問題点は解消されていない。
【0005】
このように、従来の方式では、安全なパスワードは、一定の桁数を要求し、辞書攻撃に強い、ランダムな英数字記号等の羅列であることが求められる。OpenID及びInformation CardではIdPの統合やシングルサインオンの利用により、パスワードの数を減らせるとしてもパスワードの安全性は、人間のパスワード生成にまかされている。したがって、結局のところ人間の記憶可能な高い安全性を持ったパスワードの利用徹底は、一般ユーザには極めて困難であった。
【0006】
一方、利用者の入力の手間を省きながら同時に正規利用者であることを確認する方式として、利用者端末から割符をサーバ側へ渡すことで認証を行う方式が特許文献1及び特許文献2に開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2004−234632号公報
【特許文献2】特開2004−234633号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、特許文献1及び特許文献2に開示の方式では、認証時の専用カードではなく、他用途(乗車券、電子マネー等)向けカードを認証に利用する非接触型ICカードとして流用する場合、本来の用途とは異なるサービス業者がカード固有IDを知ることになる。他用途向けの非接触型ICカード本来の用途では、カード固有IDが個人を特定するものではない(無記名式)場合もあり、カード固有IDと個人との結びつけはプライバシーの問題上好ましくないという問題があった。
【0009】
また、非接触型ICカードを盗取された場合や無線部分の盗聴等、何らかの方法で非接触型ICカードのIDを悪意ある第3者が入手した場合には、本人なりすましによる不正利用のおそれがあった。
【0010】
本発明の課題は、仮にトークンである非接触型情報記憶媒体が盗取された場合であっても、ユーザなりすましが困難なシステムをユーザの記憶に負荷をかけない形で利便性高く実現することができる認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラムを提供することである。
【課題を解決するための手段】
【0011】
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0012】
(1)本発明は、第1の認証情報を保持するコンピュータ装置(50)と、前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバ(11,12)と、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末(100)と、を備えた認証システムであって、前記携帯無線通信端末は、非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(140)と、前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段(131)と、前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段(132)と、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成手段(133)と、前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理手段(134)と、を備えること、を特徴とする認証システムを提案している。
【0013】
この発明によれば、第1の固有情報取得手段は、携帯無線通信端末が、非接触型情報記憶媒体と非接触で通信を行うリーダライタと、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得手段は、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成手段は、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理手段は、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0014】
(2)本発明は、(1)の認証システムについて、前記コンピュータ装置(50)は、前記携帯無線通信端末(100)から前記第2の認証情報(P)を取得し、前記サーバ(11,12)に対して前記第2の認証情報を前記第1の認証情報に関連付けて送ること、を特徴とする認証システムを提案している。
【0015】
この発明によれば、コンピュータ装置は、携帯無線通信端末から第2の認証情報を取得し、サーバに対して第2の認証情報を第1の認証情報に関連付けて送る。したがって、コンピュータ装置に非接触型情報記憶媒体と通信可能なリーダライタが設けられていなくとも、第2の認証情報を共有できる。
【0016】
(3)本発明は、(1)又は(2)の認証システムにおいて、前記第2の認証情報(P)は、前記携帯無線通信端末内に装着された接触型情報記憶媒体(30)が記憶する前記通信サービスに関する第2の固有情報をさらに用いて生成されること、を特徴とする認証システムを提案している。
【0017】
この発明によれば、第2の認証情報は、携帯無線通信端末内に装着された接触型情報記憶媒体が記憶する通信サービスに関する第2の固有情報をさらに用いて生成される。したがって、より安全性を高めることができる。
【0018】
(4)本発明は、(1)の認証システムにおいて、前記コンピュータ装置(50)は、前記非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(52)を備え、前記リーダライタを介して前記非接触型情報記憶媒体が有する前記第1の固有情報を取得するコンピュータ装置内固有情報取得手段(53)と、前記第2の認証情報(P)を生成するコンピュータ装置内第2の認証情報生成手段(54)と、を備えることを特徴とする認証システムを提案している。
【0019】
この発明によれば、コンピュータ装置内固有情報取得手段は、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。コンピュータ装置内第2の認証情報生成手段は、第2の認証情報を生成する。したがって、より簡単に第2の認証情報を共有できる。
【0020】
(5)本発明は、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置(50)と通信が可能な携帯無線通信端末(100)であって、非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(140)と、前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段(131)と、第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段(132)と、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成手段(133)と、前記通信サービスを介して行われる前記第1の認証情報を用いるサーバ(11,12)との認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理手段(134)と、を備えること、を特徴とする携帯無線通信端末を提案している。
【0021】
この発明によれば、第1の固有情報取得手段は、非接触型情報記憶媒体と非接触で通信を行うリーダライタと、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得手段は、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成手段は、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理手段は、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0022】
(6)本発明は、第1の認証情報を保持するコンピュータ装置(50)と、前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバ(11,12)と、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末(100)と、を備えた認証システムにおける認証方法であって、前記携帯無線通信端末は、リーダライタ(140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、を実行すること、を特徴とする認証方法を提案している。
【0023】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得ステップは、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理ステップは、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0024】
(7)本発明は、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置(50)と通信が可能な携帯無線通信端末(100)における認証プログラム(130)であって、前記携帯無線通信端末のコンピュータに、リーダライタ(52)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、前記通信サービスを介して行われる前記第1の認証情報を用いるサーバ(11,12)との認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、を実行させるための認証プログラムを提案している。
【0025】
この発明によれば、第1の固有情報取得ステップは、携帯無線通信端末のコンピュータに、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得ステップは、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理ステップは、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0026】
(8)本発明は、リーダライタ(52,140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、を実行すること、を特徴とする認証情報生成方法を提案している。
【0027】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。したがって、パスワードの代わりとなる第2の認証情報を簡単かつ安全に生成できる。
【0028】
(9)本発明は、コンピュータに、リーダライタ(52,140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、を実行させるための認証情報生成プログラム(51,130)を提案している。
【0029】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。したがって、パスワードの代わりとなる第2の認証情報を簡単かつ安全に生成できる。
【発明の効果】
【0030】
本発明によれば、仮にトークンである非接触型情報記憶媒体が盗取された場合であっても、ユーザなりすましが困難なシステムをユーザの記憶に負荷をかけない形で利便性高く実現することができる。
【図面の簡単な説明】
【0031】
【図1】本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第1実施形態を示す図である。
【図2】第1実施形態の認証システムにおいてInformation Cardを携帯無線通信端末100に移行する動作を示すフローチャートである。
【図3】携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【図4】携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【図5】本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第2実施形態を示す図である。
【発明を実施するための形態】
【0032】
以下、図面を用いて、本発明の実施形態について詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組み合わせを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0033】
(第1実施形態)
図1は、本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第1実施形態を示す図である。
本実施形態の認証システムは、SP(Service Provider)サーバ11と、IdP(Identity Provider)サーバ12と、基地局20と、UIM(User Identity Module)カード30と、非接触型ICカード40と、コンピュータ装置50と、携帯無線通信端末100とを備えている。
【0034】
SPサーバ11は、サービス提供者が管理運営するサービス提供サーバである。SPサーバ11は、基地局20を介して携帯無線通信端末100と通信を行う。なお、SPサーバ11は、1つのみ図示しているが、複数の異なるサービス毎に異なるSPサーバ11が設けられている。
【0035】
IdPサーバ12は、認証管理を行うサーバであり、SPサーバ11とネットワーク接続されている。
IdPサーバ12は、後述のInformation Cardを用いた認証処理を要求されたSPサーバ11に代わって認証処理を行う。したがって、複数の異なるサービスを提供するSPサーバ11が存在している場合であっても、認証処理自体は、IdPサーバ12が行うので、単一のInformation Cardだけでも、複数の異なるSPサーバ11の認証処理を行える。
【0036】
基地局20は、SPサーバ11と接続されており、携帯無線通信端末100との間で無線通信を行う。本実施形態では、基地局20は、携帯電話サービス等の通信サービスを提供する通信事業者が管理し、SPサーバ11は、この通信サービスを提供する通信事業者とは異なる各種有料サービス等を行うサービス提供者が管理している。
【0037】
UIMカード30は、携帯無線通信端末100内に装着されて、携帯無線通信端末100内の接触端子(不図示)と接触して携帯無線通信端末100との間で情報の通信を行う接触型ICカード(接触型情報記憶媒体)である。UIMカード30には、通信サービスの利用者を特定する固有番号として利用者識別ID(以下、第2の固有情報とする)が記憶されている。なお、この第2の固有情報は、安全性を優先して通信事業者以外の第三者には読み書きできないように保護されている。しかし、例えば、特定の限定されたサービス事業者に対してのみ読み書き可能又は読取りのみ可能な固有情報を第2の固有情報としてもよい。
【0038】
非接触型ICカード40は、後述のリーダライタ140との間で非接触通信可能な非接触型情報記憶媒体である。本実施形態では、後述するように、SPサーバ11及びIdPサーバ12との認証処理を行うときに非接触型ICカード40を用いるが、リーダライタ140との間で非接触通信が可能であれば、どのような用途で発行されたカードであっても認証用に用いることができる。例えば、電子マネーカード、ポイントカード、会員カード、身分証明カード、乗車券カード等の中から、利用者が任意に選択して認証に用いることができる。非接触型ICカード40は、上記各種用途に応じて各種のアプリケーション41を有している。また、非接触型ICカード40には、アプリケーション41とは独立して、非接触型ICカード40自身のIDを示す固有番号がカード製造番号等の形態で付与されている。以下、この非接触型ICカード40自身のIDを第1の固有情報と呼ぶ。
【0039】
コンピュータ装置50は、パーソナルコンピュータである。コンピュータ装置50は、SPサーバ11とネットワーク接続されている。なお、コンピュータ装置50とIdPサーバ12との間は、HTTPS(Hypertext Transfer Protocol Security)通信路で接続されていてもよいし、WS-Securityの仕組みを用いてメッセージを暗号化して送信してもよい。また、コンピュータ装置50とSPサーバ11との接続は、有線であってもよいし、一部又は全部に無線回線を用いてもよい。さらに、コンピュータ装置50は、不図示のUSB(Universal Serial Bus)(登録商標)端子を介して携帯無線通信端末100と接続されている。さらにまた、コンピュータ装置50は、コンピュータアプリケーション51が起動可能である。本実施形態のコンピュータ装置50が実行するコンピュータアプリケーション51では、Information Cardを用いてSPサーバ11に対する認証処理を実行可能である。Information Cardには、認証処理に必要な認証情報(以下、第1の認証情報)が暗号化されて含まれている。コンピュータ装置50は、このInformation Cardを用いることにより、Information Cardを選択して、単一のパスワードを入力するだけで、複数の異なるサービスを提供するSPサーバ11の認証を簡単に行える。
【0040】
携帯無線通信端末100は、基地局20を介して、SPサーバ11との間で通信を行うことができる携帯電話機である。携帯無線通信端末100は、無線通信部110と、演算部120と、リーダライタ140と、有線通信部150とを備えている。
【0041】
無線通信部110は、基地局20との間で無線通信を行う。無線通信部110は、演算部120と接続されている。
【0042】
演算部120は、携帯無線通信端末100全体の動作を統括制御するマイコン(コンピュータ)である。演算部120は、無線通信部110、リーダライタ140、有線通信部150の他、不図示の操作部、表示部等と接続されている。また、演算部120は、不図示のUIM装着部に装着されたUIMカード30と通信を行う。さらに、演算部120では、様々な端末アプリケーション(プログラム)を実行することができる。本実施形態では、演算部120上で実行される端末アプリケーション130として、後述する有料通信サービス用のアプリケーションが実行されているものとして説明を行う。このアプリケーションにより、コンピュータである演算部120は、第1の固有情報取得部131、第1の認証情報取得部132、第2の認証情報生成部133、認証処理部134として機能する。なお、端末アプリケーション130は、端末販売時に埋め込んでおいてもよいし、ユーザからの要求に基づいてダウンロードしてインストールする形態としてもよい。
【0043】
第1の固有情報取得部131は、後述のリーダライタ140を介して非接触型ICカード40から第1の固有情報Xを取得する。
【0044】
第1の認証情報取得部132は、コンピュータ装置50が有するInformation Cardに含まれる第1の認証情報を、有線通信部150を介した通信により、Information Cardごと取得する。
【0045】
第2の認証情報生成部133は、UIMカード30から第2の固有情報Yを取得し、第1の固有情報Xと第2の固有情報Yとを用いて、認証キーP(第2の認証情報)を生成する。
【0046】
認証処理部134は、コンピュータ装置50からInformation Cardとパスワードを用いて行っていたSPサーバ11に対する認証処理を、パスワードに代えて認証キーP(第2の認証情報)を用いて行う。
【0047】
リーダライタ140は、非接触型ICカード40と非接触で通信を行う。非接触型ICカードの通信規格は複数存在しているが、本実施形態のリーダライタ140としては、少なくとも1種類の通信規格に対応することが必要である。なお、リーダライタ140は、複数種類の通信規格に対応したものとすることが、利用者にとって利便性の高いシステムとするために望ましい。
【0048】
有線通信部150は、コンピュータ装置50と有線通信をおこなうインタフェースである。なお、本実施形態の有線通信部150は、USB(登録商標)を用いているが、他の規格のインタフェースであってもよいし、コンピュータ装置50が対応していれば、有線に限らず、赤外線通信や近距離無線通信等としてもよい。
【0049】
図2は、第1実施形態の認証システムにおいてInformation Cardを携帯無線通信端末100に移行する動作を示すフローチャートである。コンピュータ装置50とIdPサーバ12との間は、相互認証済みであるものとして説明を行う。
【0050】
ステップ(以下、単にSと記す)101では、コンピュータ装置50が、IdPサーバ12に対して、発行済みInformation Cardのサブカードを携帯無線通信端末100に移行させる要求を行う。
【0051】
S102では、IdPサーバ12が、承認回答として、Q=「サーバ発行番号a+サーバ日時S(time)+サーバ生成nonce1(n1)」+Qのハッシュ値をコンピュータ装置50へ送信する。
【0052】
S103では、コンピュータ装置50が、IdPサーバ12から受信したQのハッシュ値とQから計算したハッシュ値とを比較して、Qが改ざんされていないことを検証する。なお、Qが改ざんされていた場合には、この時点で処理を終了する。
【0053】
S104では、携帯無線通信端末100が、ユーザによりリーダライタ(RW)140にかざされた非接触型ICカード40から、第1の固有情報Xを読み取る。
ここで、利用する非接触型ICカード40は、1枚に限らない。必要に応じてユーザが複数枚かざすことにより複数の第1の固有情報Xを利用することも可能である。複数枚登録する場合は、登録時(Information Cardの移行時)にカードをかざす順番を記憶しておくことも可能である。
【0054】
S105では、携帯無線通信端末100の第2の認証情報生成部133が、UIMカード30から第2の固有情報Yを取得する。そして、S140において読み取った第1の固有情報Xと、第2の固有情報Yとを用いて認証キーP=(X || Y || 乱数)を生成する。ただし、Pは、固定長とする。
【0055】
S106では、Z=(P || N=移動機ID)+Zのハッシュ値を演算し、演算したZのハッシュ値をUIMカード30へ格納する。また、演算したZのハッシュ値をコンピュータ装置50へ有線通信部150を介して送る。ここで、Nは、例えば電話番号とすることができる。また、ハッシュ値の代わりにMAC値を用いてもよい。
【0056】
S107では、コンピュータ装置50が、Zからハッシュ値を生成する。
S108では、コンピュータ装置50が、S107において生成したZのハッシュ値と、携帯無線通信端末100から受信したZのハッシュ値とを比較して、同一か否かの確認を行う。
【0057】
S109では、コンピュータ装置50が、nonce2(n2)を生成する。
S110では、コンピュータ装置50が、S109において生成したnonce2(n2)を用いて、(N || nonce2(n2))を生成し、IdPサーバ12に通知する。
【0058】
S111では、コンピュータ装置50が、認証キーPをパスワードとして、例えば、RFC2898の手順で、コンピュータ装置50上で選択した既存のInformation CardのデータCdを暗号化する(暗号化手順の関数をCipherとする)。このデータをC1とする。すなわち、C1=Cipher(Cd,P)を生成する。
【0059】
S112では、コンピュータ装置50が、C1に、サーバ発行番号a、サーバ日時S(time)、 n1、n2を連結し、このデータをSCとする。すなわち、SC=(C1 || a || S(time) || n1 || n2)とする。そして、コンピュータ装置50が、SCを携帯無線通信端末100へ送る。
【0060】
S113では、携帯無線通信端末100が、SCからC1、a、S(time)、n1、n2を分解する。
以上の動作により、携帯無線通信端末100によりInformation Cardを利用可能となる。
【0061】
次に、携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いてSPサーバ11に対して認証処理を行う動作を説明する。
図3及び図4は、携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【0062】
S201では、携帯無線通信端末100からSPサーバ11に対してサービス利用要求を行う。
S202では、SPサーバ11から携帯無線通信端末100に対してサービス認証条件を提示する。
【0063】
S203では、携帯無線通信端末100からIdPサーバ12に対して、サービス認証条件に対応する認証トークンを要求する。
S204では、IdPサーバ12から携帯無線通信端末100に対して、Information Cardを要求する。
【0064】
S205では、携帯無線通信端末100において、IDセレクタアプリケーションが自動起動し、ユーザが、Information Cardを選択する。
S206では、携帯無線通信端末100において、IDセレクタアプリケーションが、S250において選択されたInformation Cardに基づき、非接触型ICカード40の読み取りをユーザに要求する。
【0065】
S207では、携帯無線通信端末100のリーダライタ140が、ユーザによってかざされた非接触型ICカード40を読み取る。
ここで、先に示した図2のS104においてかざした非接触型ICカード40が複数枚である場合には、その複数枚の非接触型ICカード40をかざして読み取る必要がある。
【0066】
S208では、携帯無線通信端末100の第1の認証情報取得部132が、リーダライタ140を介して、非接触型ICカード40から第1の固有情報Xを取得する。
S209では、携帯無線通信端末100の第2の認証情報生成部133が、UIMカード30から第2の固有情報Yを取得し、非接触型ICカード40から取得した第1の固有情報X及び第2の固有情報Yを用いて認証キーP=(X || Y || 乱数)を生成する。
【0067】
S210では、携帯無線通信端末100の認証処理部134が、暗号化されたInformation Cardを、認証キーPにより復号する。
S211では、携帯無線通信端末100からIdPサーバ12に対して、Information Cardに指定された手順でCredentialを提示する。Credential内において、<ic:CardId>タグ内のURIに以下の数値を末尾へ連結する。
ハッシュ(認証キー || サーバ発行番号 || サーバ日時 ||nonce1)|| nonce2)。
また、<ic:CardVersion>タグ内のバージョンにおいてCardId計算方法を指定する。
【0068】
S212では、IdPサーバ12が、ユーザ認証をおこなう。具体的には、Information Card内のIDの正当性確認、及び、IDに紐づく付加情報:サーバ発行番号,サーバ日時,nonce1,nonce2の計算値の同一性をDB(データベース)内付加情報からCardVersionタグのバージョンで指定する計算方法にて確認する。
【0069】
S213では、IdPサーバ12が、S212における同一性の確認結果が、一致しているか否かにより、処理を分岐する。一致していれば、S215に進み、一致していなければ、S214に進む。
S214では、処理を中止する。
【0070】
S215では、IdPサーバ12から携帯無線通信端末100に対してトークンの払い出しを行う。
S216では、携帯無線通信端末100からSPサーバ11に対してトークンの提示を行う。
【0071】
S217では、SPサーバ11からIdPサーバ12に対してトークンの提示を行う。
S218では、IdPサーバ12が、受信したトークンが正しいかどうかの認証を行う。
【0072】
S219では、IdPサーバ12が、S218における認証の結果、受信したトークンが正しいか否かにより、処理を分岐する。正しければ、S221に進み、正しくなければ、S220に進む。
S220では、処理を中止する。
【0073】
S221では、IdPサーバ12が要求属性をDBから引き出す。
S222では、IdPサーバ12からSPサーバ11に対して、SPサーバ11より要求された属性を提示する。
【0074】
S223では、SPサーバ11が、携帯無線通信端末100に対してサービス利用を認可する。
S224では、携帯無線通信端末100において、サービスの利用を開始可能となり、例えば、サービス開始ページへリダイレクトする。
【0075】
以上説明したように、第1実施形態によれば、非接触型ICカード40から取得する第1の固有情報Xを用いて認証キーPを生成し、認証に用いるので、ユーザは、パスワード等を記憶して利用する必要がない。よって、ユーザの記憶に負荷をかけることなく、利便性の高い認証システムとなる。また、携帯無線通信端末100と非接触型ICカード40との組合せを知らなければ、認証処理を行うことができず、また、携帯無線通信端末100を使わなければ、非接触型ICカード40だけ持っていたとしても認証処理を行うことができない。よって、仮にトークンである非接触型ICカード40が盗取された場合であっても、ユーザなりすましを防止できる。
【0076】
(第2実施形態)
図5は、本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第2実施形態を示す図である。
第2実施形態の認証システムは、コンピュータ装置50にリーダライタ52が設けられており、かつ、コンピュータアプリケーション51に、第1の固有情報取得部53及び第2の認証情報生成部54が追加され、さらに、第1実施形態における有線通信部150が不要である他は、第1実施形態と同様な形態をしている。よって、前述した第1実施形態と同様の機能を果たす部分には、同一の符号を付して、重複する説明を適宜省略する。
【0077】
コンピュータ装置50は、リーダライタ52を備えている。
リーダライタ52は、リーダライタ140と同様に、非接触型ICカード40と非接触で通信を行う。非接触型ICカードの通信規格は複数存在しているが、本実施形態のリーダライタ52としては、少なくとも1種類の通信規格に対応することが必要である。なお、リーダライタ52は、複数種類の通信規格に対応したものとすることが、利用者にとって利便性の高いシステムとするために望ましい。
【0078】
第1の固有情報取得部53は、リーダライタ52を介して、非接触型ICカード40から第1の固有情報Xを取得するコンピュータ装置内固有情報取得手段である。
第2の認証情報生成部54は、第1の固有情報取得部53が取得した第1の固有情報Xを用いて、認証キーPを生成するコンピュータ装置内第2の認証情報生成手段である。
【0079】
第2実施形態では、コンピュータ装置50が有するリーダライタ52を利用して、鍵の共有を、さらに簡便に行うことができる。
コンピュータ装置50には、携帯無線通信端末100の携帯電話事業者が提供するコンピュータアプリケーション51を、コンピュータ装置50にダウンロードすることにより、このコンピュータアプリケーション51に格納された鍵生成アルゴリズムを配布する。そして、このコンピュータアプリケーション51が、非接触型ICカード40から第1の固有情報Xをリーダライタ52を介して取得し、携帯無線通信端末100と同一の鍵生成アルゴリズムにより鍵を生成する。
【0080】
次に、第2実施形態における鍵共有の動作について説明する。
まず、ユーザが非接触型ICカード40を任意に選択し、同一の非接触型ICカード40をコンピュータ装置50のリーダライタ52と、携帯無線通信端末100のリーダライタ140とにかざす。
コンピュータ装置50及び携帯無線通信端末100では、それぞれにおいて、非接触型ICカード40から取得した第1の固有情報Xをもとにアプリケーション内の鍵生成アルゴリズムを利用することにより共有鍵として認証キーを生成する。ただし、第2実施形態では、第1実施形態における認証キーPとは異なり、UIMカードのID(第2の固有情報Y)は認証キーに含まれていない。
【0081】
以上説明したように、第2実施形態によれば、携帯無線通信端末100にかざす非接触型ICカード40と同一の非接触型ICカード40をコンピュータ装置50のリーダライタ52にかざすことにより、共有鍵を生成するので、さらにユーザの利便性を向上させることができる。
【0082】
なお、携帯無線通信端末の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを携帯無線通信端末に読み込ませ、実行することによって本発明の携帯無線通信端末、認証方法を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0083】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0084】
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0085】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0086】
(変形形態)
(1)各実施形態において、非接触型ICカード40をかざす際にカードIDである第1の固有情報Xを読み取ってマスタ鍵としているが、新規に非接触型ICカードを発行することで、非接触型ICカード内部にアプリケーションとして乱数生成機能を載せて乱数を利用することも可能であるし、カードIDに非接触型ICカード内で生成したsalt(乱数)を連結することも可能である。十分なデータ長の乱数を安全に非接触型ICカード内で保管すれば、カードIDのデータ長が短かったとしても、安全性の確保が可能である。
【0087】
(2)各実施形態において、取得した非接触型ICカード40の第1の固有情報Xをもとに共有鍵を生成するときに、非接触型ICカードを新規発行するか、又は、非接触型ICカード内のアプリケーションを新規発行した場合は、第1の固有情報Xに、非接触型ICカード内のアプリケーションで生成した乱数を連結した数値としてもよい。
【0088】
(3)各実施形態において、携帯無線通信端末100は、携帯電話機である例を挙げて説明したが、これに限らず、例えば、通話機能を持たない無線通信端末であってもよい。
【0089】
(4)各実施形態において、非接触型ICカードを利用する例を挙げて説明したが、非接触型情報記憶媒体であればよい。例えば、カードの形態に限らず、各種非接触型のRFIDタグを利用してもよい。
【0090】
(5)第2実施形態において、UIMカードのID(第2の固有情報Y)は認証キーに含めない例を挙げて説明した。これに限らず、例えば、携帯無線通信端末が持つリーダライタを利用して、携帯無線通信端末自体に非接触型ICカードの機能を持たせることが可能で有り、携帯無線通信端末側で機能を切り替えることにより非接触型ICカードIFを用いた相互通信が可能である。携帯無線通信端末からコンピュータ装置へデータ送信する場合には、携帯無線通信端末上のアプリケーションとUIM上の接触型ICカードアプリケーションが通信することで算出した値を、接触型ICカードIF経由でUIM上の非接触型ICカードアプリケーションに書き込むことにより、自由に送出データを非接触型ICカードIFにてコンピュータ装置のリーダライタ経由でデータ送出することが可能となる。このようにすることにより、鍵共有でもUIMカードのID(第2の固有情報Y)を交換することが可能となる。
【0091】
なお、各実施形態及び変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。
【符号の説明】
【0092】
11 SPサーバ
12 IdPサーバ
20 基地局
30 UIMカード
40 非接触型ICカード
41 アプリケーション
50 コンピュータ装置
51 コンピュータアプリケーション
52 リーダライタ
100 携帯無線通信端末
110 無線通信部
120 演算部
130 端末アプリケーション
131 第1の固有情報取得部
132 第1の認証情報取得部
133 第2の認証情報生成部
134 認証処理部
140 リーダライタ
150 有線通信部
【技術分野】
【0001】
本発明は、インターネットサービスを利用する携帯電話機等における認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラムに関するものである。
【背景技術】
【0002】
OpenIDと連携したInformation Card等のweb認証サービスでは、認証を担うプロバイダを共有する仕組みにより、ユーザのID及びパスワード管理責任を軽減する仕組みを提供している。これらは、前提として、IDたるカード(そして多くの場合パスワードも)をユーザが記憶してカード情報の利用をユーザが厳重に管理することを前提とする。人間の記憶に頼る以上、適切なパスワードの徹底には限界があり、多くのユーザの場合、極端に桁数が短かったり、辞書攻撃に弱いパスワードを指定したりする等、安全性を確保したパスワード運用が困難であった。
【0003】
また、利用者が認証プロバイダからPC(パーソナルコンピュータ)向けに発行を受けたInformation Card規格のカードは、基本的にカードを生成した端末内で利用することを前提としている。したがって、携帯電話等の他の端末で利用したくても、生成済みカードを他の端末へ安全にコピーする仕組みがないため、同一の利用者が利用する異なる情報機器(PC、携帯電話等)に同一のIDでログインすることはできなかった。
【0004】
さらに、OASIS規格(Identity Metasystem Interoperability Version 1.0 )では、カード様式の暗号化手順は定めているがPINに依っているため、安全性がPINの長さ等に依存するという問題点は解消されていない。
【0005】
このように、従来の方式では、安全なパスワードは、一定の桁数を要求し、辞書攻撃に強い、ランダムな英数字記号等の羅列であることが求められる。OpenID及びInformation CardではIdPの統合やシングルサインオンの利用により、パスワードの数を減らせるとしてもパスワードの安全性は、人間のパスワード生成にまかされている。したがって、結局のところ人間の記憶可能な高い安全性を持ったパスワードの利用徹底は、一般ユーザには極めて困難であった。
【0006】
一方、利用者の入力の手間を省きながら同時に正規利用者であることを確認する方式として、利用者端末から割符をサーバ側へ渡すことで認証を行う方式が特許文献1及び特許文献2に開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2004−234632号公報
【特許文献2】特開2004−234633号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、特許文献1及び特許文献2に開示の方式では、認証時の専用カードではなく、他用途(乗車券、電子マネー等)向けカードを認証に利用する非接触型ICカードとして流用する場合、本来の用途とは異なるサービス業者がカード固有IDを知ることになる。他用途向けの非接触型ICカード本来の用途では、カード固有IDが個人を特定するものではない(無記名式)場合もあり、カード固有IDと個人との結びつけはプライバシーの問題上好ましくないという問題があった。
【0009】
また、非接触型ICカードを盗取された場合や無線部分の盗聴等、何らかの方法で非接触型ICカードのIDを悪意ある第3者が入手した場合には、本人なりすましによる不正利用のおそれがあった。
【0010】
本発明の課題は、仮にトークンである非接触型情報記憶媒体が盗取された場合であっても、ユーザなりすましが困難なシステムをユーザの記憶に負荷をかけない形で利便性高く実現することができる認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラムを提供することである。
【課題を解決するための手段】
【0011】
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0012】
(1)本発明は、第1の認証情報を保持するコンピュータ装置(50)と、前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバ(11,12)と、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末(100)と、を備えた認証システムであって、前記携帯無線通信端末は、非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(140)と、前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段(131)と、前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段(132)と、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成手段(133)と、前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理手段(134)と、を備えること、を特徴とする認証システムを提案している。
【0013】
この発明によれば、第1の固有情報取得手段は、携帯無線通信端末が、非接触型情報記憶媒体と非接触で通信を行うリーダライタと、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得手段は、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成手段は、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理手段は、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0014】
(2)本発明は、(1)の認証システムについて、前記コンピュータ装置(50)は、前記携帯無線通信端末(100)から前記第2の認証情報(P)を取得し、前記サーバ(11,12)に対して前記第2の認証情報を前記第1の認証情報に関連付けて送ること、を特徴とする認証システムを提案している。
【0015】
この発明によれば、コンピュータ装置は、携帯無線通信端末から第2の認証情報を取得し、サーバに対して第2の認証情報を第1の認証情報に関連付けて送る。したがって、コンピュータ装置に非接触型情報記憶媒体と通信可能なリーダライタが設けられていなくとも、第2の認証情報を共有できる。
【0016】
(3)本発明は、(1)又は(2)の認証システムにおいて、前記第2の認証情報(P)は、前記携帯無線通信端末内に装着された接触型情報記憶媒体(30)が記憶する前記通信サービスに関する第2の固有情報をさらに用いて生成されること、を特徴とする認証システムを提案している。
【0017】
この発明によれば、第2の認証情報は、携帯無線通信端末内に装着された接触型情報記憶媒体が記憶する通信サービスに関する第2の固有情報をさらに用いて生成される。したがって、より安全性を高めることができる。
【0018】
(4)本発明は、(1)の認証システムにおいて、前記コンピュータ装置(50)は、前記非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(52)を備え、前記リーダライタを介して前記非接触型情報記憶媒体が有する前記第1の固有情報を取得するコンピュータ装置内固有情報取得手段(53)と、前記第2の認証情報(P)を生成するコンピュータ装置内第2の認証情報生成手段(54)と、を備えることを特徴とする認証システムを提案している。
【0019】
この発明によれば、コンピュータ装置内固有情報取得手段は、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。コンピュータ装置内第2の認証情報生成手段は、第2の認証情報を生成する。したがって、より簡単に第2の認証情報を共有できる。
【0020】
(5)本発明は、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置(50)と通信が可能な携帯無線通信端末(100)であって、非接触型情報記憶媒体(40)と非接触で通信を行うリーダライタ(140)と、前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段(131)と、第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段(132)と、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成手段(133)と、前記通信サービスを介して行われる前記第1の認証情報を用いるサーバ(11,12)との認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理手段(134)と、を備えること、を特徴とする携帯無線通信端末を提案している。
【0021】
この発明によれば、第1の固有情報取得手段は、非接触型情報記憶媒体と非接触で通信を行うリーダライタと、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得手段は、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成手段は、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理手段は、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0022】
(6)本発明は、第1の認証情報を保持するコンピュータ装置(50)と、前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバ(11,12)と、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末(100)と、を備えた認証システムにおける認証方法であって、前記携帯無線通信端末は、リーダライタ(140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、を実行すること、を特徴とする認証方法を提案している。
【0023】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得ステップは、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理ステップは、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0024】
(7)本発明は、通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置(50)と通信が可能な携帯無線通信端末(100)における認証プログラム(130)であって、前記携帯無線通信端末のコンピュータに、リーダライタ(52)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、前記通信サービスを介して行われる前記第1の認証情報を用いるサーバ(11,12)との認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、を実行させるための認証プログラムを提案している。
【0025】
この発明によれば、第1の固有情報取得ステップは、携帯無線通信端末のコンピュータに、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第1の認証情報取得ステップは、第1の認証情報をコンピュータ装置と通信を行うことにより取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。認証処理ステップは、通信サービスを介して行われる第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて第2の認証情報を用いて行う。したがって、ユーザは、パスワードを記憶しなくとも、非接触型情報記憶媒体が有する第1の固有情報を用いて認証処理を行うことができる。
【0026】
(8)本発明は、リーダライタ(52,140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、を実行すること、を特徴とする認証情報生成方法を提案している。
【0027】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。したがって、パスワードの代わりとなる第2の認証情報を簡単かつ安全に生成できる。
【0028】
(9)本発明は、コンピュータに、リーダライタ(52,140)を介して非接触型情報記憶媒体(40)が有する第1の固有情報を取得する第1の固有情報取得ステップと、少なくとも前記第1の固有情報を用いて生成される第2の認証情報(P)を生成する第2の認証情報生成ステップと、を実行させるための認証情報生成プログラム(51,130)を提案している。
【0029】
この発明によれば、第1の固有情報取得ステップは、リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する。第2の認証情報生成ステップは、少なくとも第1の固有情報を用いて生成される第2の認証情報を生成する。したがって、パスワードの代わりとなる第2の認証情報を簡単かつ安全に生成できる。
【発明の効果】
【0030】
本発明によれば、仮にトークンである非接触型情報記憶媒体が盗取された場合であっても、ユーザなりすましが困難なシステムをユーザの記憶に負荷をかけない形で利便性高く実現することができる。
【図面の簡単な説明】
【0031】
【図1】本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第1実施形態を示す図である。
【図2】第1実施形態の認証システムにおいてInformation Cardを携帯無線通信端末100に移行する動作を示すフローチャートである。
【図3】携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【図4】携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【図5】本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第2実施形態を示す図である。
【発明を実施するための形態】
【0032】
以下、図面を用いて、本発明の実施形態について詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組み合わせを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0033】
(第1実施形態)
図1は、本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第1実施形態を示す図である。
本実施形態の認証システムは、SP(Service Provider)サーバ11と、IdP(Identity Provider)サーバ12と、基地局20と、UIM(User Identity Module)カード30と、非接触型ICカード40と、コンピュータ装置50と、携帯無線通信端末100とを備えている。
【0034】
SPサーバ11は、サービス提供者が管理運営するサービス提供サーバである。SPサーバ11は、基地局20を介して携帯無線通信端末100と通信を行う。なお、SPサーバ11は、1つのみ図示しているが、複数の異なるサービス毎に異なるSPサーバ11が設けられている。
【0035】
IdPサーバ12は、認証管理を行うサーバであり、SPサーバ11とネットワーク接続されている。
IdPサーバ12は、後述のInformation Cardを用いた認証処理を要求されたSPサーバ11に代わって認証処理を行う。したがって、複数の異なるサービスを提供するSPサーバ11が存在している場合であっても、認証処理自体は、IdPサーバ12が行うので、単一のInformation Cardだけでも、複数の異なるSPサーバ11の認証処理を行える。
【0036】
基地局20は、SPサーバ11と接続されており、携帯無線通信端末100との間で無線通信を行う。本実施形態では、基地局20は、携帯電話サービス等の通信サービスを提供する通信事業者が管理し、SPサーバ11は、この通信サービスを提供する通信事業者とは異なる各種有料サービス等を行うサービス提供者が管理している。
【0037】
UIMカード30は、携帯無線通信端末100内に装着されて、携帯無線通信端末100内の接触端子(不図示)と接触して携帯無線通信端末100との間で情報の通信を行う接触型ICカード(接触型情報記憶媒体)である。UIMカード30には、通信サービスの利用者を特定する固有番号として利用者識別ID(以下、第2の固有情報とする)が記憶されている。なお、この第2の固有情報は、安全性を優先して通信事業者以外の第三者には読み書きできないように保護されている。しかし、例えば、特定の限定されたサービス事業者に対してのみ読み書き可能又は読取りのみ可能な固有情報を第2の固有情報としてもよい。
【0038】
非接触型ICカード40は、後述のリーダライタ140との間で非接触通信可能な非接触型情報記憶媒体である。本実施形態では、後述するように、SPサーバ11及びIdPサーバ12との認証処理を行うときに非接触型ICカード40を用いるが、リーダライタ140との間で非接触通信が可能であれば、どのような用途で発行されたカードであっても認証用に用いることができる。例えば、電子マネーカード、ポイントカード、会員カード、身分証明カード、乗車券カード等の中から、利用者が任意に選択して認証に用いることができる。非接触型ICカード40は、上記各種用途に応じて各種のアプリケーション41を有している。また、非接触型ICカード40には、アプリケーション41とは独立して、非接触型ICカード40自身のIDを示す固有番号がカード製造番号等の形態で付与されている。以下、この非接触型ICカード40自身のIDを第1の固有情報と呼ぶ。
【0039】
コンピュータ装置50は、パーソナルコンピュータである。コンピュータ装置50は、SPサーバ11とネットワーク接続されている。なお、コンピュータ装置50とIdPサーバ12との間は、HTTPS(Hypertext Transfer Protocol Security)通信路で接続されていてもよいし、WS-Securityの仕組みを用いてメッセージを暗号化して送信してもよい。また、コンピュータ装置50とSPサーバ11との接続は、有線であってもよいし、一部又は全部に無線回線を用いてもよい。さらに、コンピュータ装置50は、不図示のUSB(Universal Serial Bus)(登録商標)端子を介して携帯無線通信端末100と接続されている。さらにまた、コンピュータ装置50は、コンピュータアプリケーション51が起動可能である。本実施形態のコンピュータ装置50が実行するコンピュータアプリケーション51では、Information Cardを用いてSPサーバ11に対する認証処理を実行可能である。Information Cardには、認証処理に必要な認証情報(以下、第1の認証情報)が暗号化されて含まれている。コンピュータ装置50は、このInformation Cardを用いることにより、Information Cardを選択して、単一のパスワードを入力するだけで、複数の異なるサービスを提供するSPサーバ11の認証を簡単に行える。
【0040】
携帯無線通信端末100は、基地局20を介して、SPサーバ11との間で通信を行うことができる携帯電話機である。携帯無線通信端末100は、無線通信部110と、演算部120と、リーダライタ140と、有線通信部150とを備えている。
【0041】
無線通信部110は、基地局20との間で無線通信を行う。無線通信部110は、演算部120と接続されている。
【0042】
演算部120は、携帯無線通信端末100全体の動作を統括制御するマイコン(コンピュータ)である。演算部120は、無線通信部110、リーダライタ140、有線通信部150の他、不図示の操作部、表示部等と接続されている。また、演算部120は、不図示のUIM装着部に装着されたUIMカード30と通信を行う。さらに、演算部120では、様々な端末アプリケーション(プログラム)を実行することができる。本実施形態では、演算部120上で実行される端末アプリケーション130として、後述する有料通信サービス用のアプリケーションが実行されているものとして説明を行う。このアプリケーションにより、コンピュータである演算部120は、第1の固有情報取得部131、第1の認証情報取得部132、第2の認証情報生成部133、認証処理部134として機能する。なお、端末アプリケーション130は、端末販売時に埋め込んでおいてもよいし、ユーザからの要求に基づいてダウンロードしてインストールする形態としてもよい。
【0043】
第1の固有情報取得部131は、後述のリーダライタ140を介して非接触型ICカード40から第1の固有情報Xを取得する。
【0044】
第1の認証情報取得部132は、コンピュータ装置50が有するInformation Cardに含まれる第1の認証情報を、有線通信部150を介した通信により、Information Cardごと取得する。
【0045】
第2の認証情報生成部133は、UIMカード30から第2の固有情報Yを取得し、第1の固有情報Xと第2の固有情報Yとを用いて、認証キーP(第2の認証情報)を生成する。
【0046】
認証処理部134は、コンピュータ装置50からInformation Cardとパスワードを用いて行っていたSPサーバ11に対する認証処理を、パスワードに代えて認証キーP(第2の認証情報)を用いて行う。
【0047】
リーダライタ140は、非接触型ICカード40と非接触で通信を行う。非接触型ICカードの通信規格は複数存在しているが、本実施形態のリーダライタ140としては、少なくとも1種類の通信規格に対応することが必要である。なお、リーダライタ140は、複数種類の通信規格に対応したものとすることが、利用者にとって利便性の高いシステムとするために望ましい。
【0048】
有線通信部150は、コンピュータ装置50と有線通信をおこなうインタフェースである。なお、本実施形態の有線通信部150は、USB(登録商標)を用いているが、他の規格のインタフェースであってもよいし、コンピュータ装置50が対応していれば、有線に限らず、赤外線通信や近距離無線通信等としてもよい。
【0049】
図2は、第1実施形態の認証システムにおいてInformation Cardを携帯無線通信端末100に移行する動作を示すフローチャートである。コンピュータ装置50とIdPサーバ12との間は、相互認証済みであるものとして説明を行う。
【0050】
ステップ(以下、単にSと記す)101では、コンピュータ装置50が、IdPサーバ12に対して、発行済みInformation Cardのサブカードを携帯無線通信端末100に移行させる要求を行う。
【0051】
S102では、IdPサーバ12が、承認回答として、Q=「サーバ発行番号a+サーバ日時S(time)+サーバ生成nonce1(n1)」+Qのハッシュ値をコンピュータ装置50へ送信する。
【0052】
S103では、コンピュータ装置50が、IdPサーバ12から受信したQのハッシュ値とQから計算したハッシュ値とを比較して、Qが改ざんされていないことを検証する。なお、Qが改ざんされていた場合には、この時点で処理を終了する。
【0053】
S104では、携帯無線通信端末100が、ユーザによりリーダライタ(RW)140にかざされた非接触型ICカード40から、第1の固有情報Xを読み取る。
ここで、利用する非接触型ICカード40は、1枚に限らない。必要に応じてユーザが複数枚かざすことにより複数の第1の固有情報Xを利用することも可能である。複数枚登録する場合は、登録時(Information Cardの移行時)にカードをかざす順番を記憶しておくことも可能である。
【0054】
S105では、携帯無線通信端末100の第2の認証情報生成部133が、UIMカード30から第2の固有情報Yを取得する。そして、S140において読み取った第1の固有情報Xと、第2の固有情報Yとを用いて認証キーP=(X || Y || 乱数)を生成する。ただし、Pは、固定長とする。
【0055】
S106では、Z=(P || N=移動機ID)+Zのハッシュ値を演算し、演算したZのハッシュ値をUIMカード30へ格納する。また、演算したZのハッシュ値をコンピュータ装置50へ有線通信部150を介して送る。ここで、Nは、例えば電話番号とすることができる。また、ハッシュ値の代わりにMAC値を用いてもよい。
【0056】
S107では、コンピュータ装置50が、Zからハッシュ値を生成する。
S108では、コンピュータ装置50が、S107において生成したZのハッシュ値と、携帯無線通信端末100から受信したZのハッシュ値とを比較して、同一か否かの確認を行う。
【0057】
S109では、コンピュータ装置50が、nonce2(n2)を生成する。
S110では、コンピュータ装置50が、S109において生成したnonce2(n2)を用いて、(N || nonce2(n2))を生成し、IdPサーバ12に通知する。
【0058】
S111では、コンピュータ装置50が、認証キーPをパスワードとして、例えば、RFC2898の手順で、コンピュータ装置50上で選択した既存のInformation CardのデータCdを暗号化する(暗号化手順の関数をCipherとする)。このデータをC1とする。すなわち、C1=Cipher(Cd,P)を生成する。
【0059】
S112では、コンピュータ装置50が、C1に、サーバ発行番号a、サーバ日時S(time)、 n1、n2を連結し、このデータをSCとする。すなわち、SC=(C1 || a || S(time) || n1 || n2)とする。そして、コンピュータ装置50が、SCを携帯無線通信端末100へ送る。
【0060】
S113では、携帯無線通信端末100が、SCからC1、a、S(time)、n1、n2を分解する。
以上の動作により、携帯無線通信端末100によりInformation Cardを利用可能となる。
【0061】
次に、携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いてSPサーバ11に対して認証処理を行う動作を説明する。
図3及び図4は、携帯無線通信端末100によりInformation Cardと非接触型ICカード40とを用いたSPサーバ11に対する認証処理を示すフローチャートである。
【0062】
S201では、携帯無線通信端末100からSPサーバ11に対してサービス利用要求を行う。
S202では、SPサーバ11から携帯無線通信端末100に対してサービス認証条件を提示する。
【0063】
S203では、携帯無線通信端末100からIdPサーバ12に対して、サービス認証条件に対応する認証トークンを要求する。
S204では、IdPサーバ12から携帯無線通信端末100に対して、Information Cardを要求する。
【0064】
S205では、携帯無線通信端末100において、IDセレクタアプリケーションが自動起動し、ユーザが、Information Cardを選択する。
S206では、携帯無線通信端末100において、IDセレクタアプリケーションが、S250において選択されたInformation Cardに基づき、非接触型ICカード40の読み取りをユーザに要求する。
【0065】
S207では、携帯無線通信端末100のリーダライタ140が、ユーザによってかざされた非接触型ICカード40を読み取る。
ここで、先に示した図2のS104においてかざした非接触型ICカード40が複数枚である場合には、その複数枚の非接触型ICカード40をかざして読み取る必要がある。
【0066】
S208では、携帯無線通信端末100の第1の認証情報取得部132が、リーダライタ140を介して、非接触型ICカード40から第1の固有情報Xを取得する。
S209では、携帯無線通信端末100の第2の認証情報生成部133が、UIMカード30から第2の固有情報Yを取得し、非接触型ICカード40から取得した第1の固有情報X及び第2の固有情報Yを用いて認証キーP=(X || Y || 乱数)を生成する。
【0067】
S210では、携帯無線通信端末100の認証処理部134が、暗号化されたInformation Cardを、認証キーPにより復号する。
S211では、携帯無線通信端末100からIdPサーバ12に対して、Information Cardに指定された手順でCredentialを提示する。Credential内において、<ic:CardId>タグ内のURIに以下の数値を末尾へ連結する。
ハッシュ(認証キー || サーバ発行番号 || サーバ日時 ||nonce1)|| nonce2)。
また、<ic:CardVersion>タグ内のバージョンにおいてCardId計算方法を指定する。
【0068】
S212では、IdPサーバ12が、ユーザ認証をおこなう。具体的には、Information Card内のIDの正当性確認、及び、IDに紐づく付加情報:サーバ発行番号,サーバ日時,nonce1,nonce2の計算値の同一性をDB(データベース)内付加情報からCardVersionタグのバージョンで指定する計算方法にて確認する。
【0069】
S213では、IdPサーバ12が、S212における同一性の確認結果が、一致しているか否かにより、処理を分岐する。一致していれば、S215に進み、一致していなければ、S214に進む。
S214では、処理を中止する。
【0070】
S215では、IdPサーバ12から携帯無線通信端末100に対してトークンの払い出しを行う。
S216では、携帯無線通信端末100からSPサーバ11に対してトークンの提示を行う。
【0071】
S217では、SPサーバ11からIdPサーバ12に対してトークンの提示を行う。
S218では、IdPサーバ12が、受信したトークンが正しいかどうかの認証を行う。
【0072】
S219では、IdPサーバ12が、S218における認証の結果、受信したトークンが正しいか否かにより、処理を分岐する。正しければ、S221に進み、正しくなければ、S220に進む。
S220では、処理を中止する。
【0073】
S221では、IdPサーバ12が要求属性をDBから引き出す。
S222では、IdPサーバ12からSPサーバ11に対して、SPサーバ11より要求された属性を提示する。
【0074】
S223では、SPサーバ11が、携帯無線通信端末100に対してサービス利用を認可する。
S224では、携帯無線通信端末100において、サービスの利用を開始可能となり、例えば、サービス開始ページへリダイレクトする。
【0075】
以上説明したように、第1実施形態によれば、非接触型ICカード40から取得する第1の固有情報Xを用いて認証キーPを生成し、認証に用いるので、ユーザは、パスワード等を記憶して利用する必要がない。よって、ユーザの記憶に負荷をかけることなく、利便性の高い認証システムとなる。また、携帯無線通信端末100と非接触型ICカード40との組合せを知らなければ、認証処理を行うことができず、また、携帯無線通信端末100を使わなければ、非接触型ICカード40だけ持っていたとしても認証処理を行うことができない。よって、仮にトークンである非接触型ICカード40が盗取された場合であっても、ユーザなりすましを防止できる。
【0076】
(第2実施形態)
図5は、本発明による認証方法を用いた携帯無線通信端末を含む認証システムの第2実施形態を示す図である。
第2実施形態の認証システムは、コンピュータ装置50にリーダライタ52が設けられており、かつ、コンピュータアプリケーション51に、第1の固有情報取得部53及び第2の認証情報生成部54が追加され、さらに、第1実施形態における有線通信部150が不要である他は、第1実施形態と同様な形態をしている。よって、前述した第1実施形態と同様の機能を果たす部分には、同一の符号を付して、重複する説明を適宜省略する。
【0077】
コンピュータ装置50は、リーダライタ52を備えている。
リーダライタ52は、リーダライタ140と同様に、非接触型ICカード40と非接触で通信を行う。非接触型ICカードの通信規格は複数存在しているが、本実施形態のリーダライタ52としては、少なくとも1種類の通信規格に対応することが必要である。なお、リーダライタ52は、複数種類の通信規格に対応したものとすることが、利用者にとって利便性の高いシステムとするために望ましい。
【0078】
第1の固有情報取得部53は、リーダライタ52を介して、非接触型ICカード40から第1の固有情報Xを取得するコンピュータ装置内固有情報取得手段である。
第2の認証情報生成部54は、第1の固有情報取得部53が取得した第1の固有情報Xを用いて、認証キーPを生成するコンピュータ装置内第2の認証情報生成手段である。
【0079】
第2実施形態では、コンピュータ装置50が有するリーダライタ52を利用して、鍵の共有を、さらに簡便に行うことができる。
コンピュータ装置50には、携帯無線通信端末100の携帯電話事業者が提供するコンピュータアプリケーション51を、コンピュータ装置50にダウンロードすることにより、このコンピュータアプリケーション51に格納された鍵生成アルゴリズムを配布する。そして、このコンピュータアプリケーション51が、非接触型ICカード40から第1の固有情報Xをリーダライタ52を介して取得し、携帯無線通信端末100と同一の鍵生成アルゴリズムにより鍵を生成する。
【0080】
次に、第2実施形態における鍵共有の動作について説明する。
まず、ユーザが非接触型ICカード40を任意に選択し、同一の非接触型ICカード40をコンピュータ装置50のリーダライタ52と、携帯無線通信端末100のリーダライタ140とにかざす。
コンピュータ装置50及び携帯無線通信端末100では、それぞれにおいて、非接触型ICカード40から取得した第1の固有情報Xをもとにアプリケーション内の鍵生成アルゴリズムを利用することにより共有鍵として認証キーを生成する。ただし、第2実施形態では、第1実施形態における認証キーPとは異なり、UIMカードのID(第2の固有情報Y)は認証キーに含まれていない。
【0081】
以上説明したように、第2実施形態によれば、携帯無線通信端末100にかざす非接触型ICカード40と同一の非接触型ICカード40をコンピュータ装置50のリーダライタ52にかざすことにより、共有鍵を生成するので、さらにユーザの利便性を向上させることができる。
【0082】
なお、携帯無線通信端末の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを携帯無線通信端末に読み込ませ、実行することによって本発明の携帯無線通信端末、認証方法を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0083】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0084】
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0085】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0086】
(変形形態)
(1)各実施形態において、非接触型ICカード40をかざす際にカードIDである第1の固有情報Xを読み取ってマスタ鍵としているが、新規に非接触型ICカードを発行することで、非接触型ICカード内部にアプリケーションとして乱数生成機能を載せて乱数を利用することも可能であるし、カードIDに非接触型ICカード内で生成したsalt(乱数)を連結することも可能である。十分なデータ長の乱数を安全に非接触型ICカード内で保管すれば、カードIDのデータ長が短かったとしても、安全性の確保が可能である。
【0087】
(2)各実施形態において、取得した非接触型ICカード40の第1の固有情報Xをもとに共有鍵を生成するときに、非接触型ICカードを新規発行するか、又は、非接触型ICカード内のアプリケーションを新規発行した場合は、第1の固有情報Xに、非接触型ICカード内のアプリケーションで生成した乱数を連結した数値としてもよい。
【0088】
(3)各実施形態において、携帯無線通信端末100は、携帯電話機である例を挙げて説明したが、これに限らず、例えば、通話機能を持たない無線通信端末であってもよい。
【0089】
(4)各実施形態において、非接触型ICカードを利用する例を挙げて説明したが、非接触型情報記憶媒体であればよい。例えば、カードの形態に限らず、各種非接触型のRFIDタグを利用してもよい。
【0090】
(5)第2実施形態において、UIMカードのID(第2の固有情報Y)は認証キーに含めない例を挙げて説明した。これに限らず、例えば、携帯無線通信端末が持つリーダライタを利用して、携帯無線通信端末自体に非接触型ICカードの機能を持たせることが可能で有り、携帯無線通信端末側で機能を切り替えることにより非接触型ICカードIFを用いた相互通信が可能である。携帯無線通信端末からコンピュータ装置へデータ送信する場合には、携帯無線通信端末上のアプリケーションとUIM上の接触型ICカードアプリケーションが通信することで算出した値を、接触型ICカードIF経由でUIM上の非接触型ICカードアプリケーションに書き込むことにより、自由に送出データを非接触型ICカードIFにてコンピュータ装置のリーダライタ経由でデータ送出することが可能となる。このようにすることにより、鍵共有でもUIMカードのID(第2の固有情報Y)を交換することが可能となる。
【0091】
なお、各実施形態及び変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。
【符号の説明】
【0092】
11 SPサーバ
12 IdPサーバ
20 基地局
30 UIMカード
40 非接触型ICカード
41 アプリケーション
50 コンピュータ装置
51 コンピュータアプリケーション
52 リーダライタ
100 携帯無線通信端末
110 無線通信部
120 演算部
130 端末アプリケーション
131 第1の固有情報取得部
132 第1の認証情報取得部
133 第2の認証情報生成部
134 認証処理部
140 リーダライタ
150 有線通信部
【特許請求の範囲】
【請求項1】
第1の認証情報を保持するコンピュータ装置と、
前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバと、
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末と、
を備えた認証システムであって、
前記携帯無線通信端末は、
非接触型情報記憶媒体と非接触で通信を行うリーダライタと、
前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段と、
前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段と、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成手段と、
前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理手段と、
を備えること、
を特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムにおいて、
前記コンピュータ装置は、前記携帯無線通信端末から前記第2の認証情報を取得し、前記サーバに対して前記第2の認証情報を前記第1の認証情報に関連付けて送ること、
を特徴とする認証システム。
【請求項3】
請求項1又は請求項2に記載の認証システムにおいて、
前記第2の認証情報は、前記携帯無線通信端末内に装着された接触型情報記憶媒体が記憶する前記通信サービスに関する第2の固有情報をさらに用いて生成されること、
を特徴とする認証システム。
【請求項4】
請求項1に記載の認証システムにおいて、
前記コンピュータ装置は、前記非接触型情報記憶媒体と非接触で通信を行うリーダライタを備え、
前記リーダライタを介して前記非接触型情報記憶媒体が有する前記第1の固有情報を取得するコンピュータ装置内固有情報取得手段と、
前記第2の認証情報を生成するコンピュータ装置内第2の認証情報生成手段と、
を備えること、
を特徴とする認証システム。
【請求項5】
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置と通信が可能な携帯無線通信端末であって、
非接触型情報記憶媒体と非接触で通信を行うリーダライタと、
前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段と、
第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段と、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成手段と、
前記通信サービスを介して行われる前記第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理手段と、
を備えること、
を特徴とする携帯無線通信端末。
【請求項6】
第1の認証情報を保持するコンピュータ装置と、
前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバと、
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末と、
を備えた認証システムにおける認証方法であって、
前記携帯無線通信端末は、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、
を実行すること、
を特徴とする認証方法。
【請求項7】
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置と通信が可能な携帯無線通信端末における認証プログラムであって、
前記携帯無線通信端末のコンピュータに、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
前記通信サービスを介して行われる前記第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、
を実行させるための認証プログラム。
【請求項8】
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
を実行すること、
を特徴とする認証情報生成方法。
【請求項9】
コンピュータに、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
を実行させるための認証情報生成プログラム。
【請求項1】
第1の認証情報を保持するコンピュータ装置と、
前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバと、
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末と、
を備えた認証システムであって、
前記携帯無線通信端末は、
非接触型情報記憶媒体と非接触で通信を行うリーダライタと、
前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段と、
前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段と、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成手段と、
前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理手段と、
を備えること、
を特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムにおいて、
前記コンピュータ装置は、前記携帯無線通信端末から前記第2の認証情報を取得し、前記サーバに対して前記第2の認証情報を前記第1の認証情報に関連付けて送ること、
を特徴とする認証システム。
【請求項3】
請求項1又は請求項2に記載の認証システムにおいて、
前記第2の認証情報は、前記携帯無線通信端末内に装着された接触型情報記憶媒体が記憶する前記通信サービスに関する第2の固有情報をさらに用いて生成されること、
を特徴とする認証システム。
【請求項4】
請求項1に記載の認証システムにおいて、
前記コンピュータ装置は、前記非接触型情報記憶媒体と非接触で通信を行うリーダライタを備え、
前記リーダライタを介して前記非接触型情報記憶媒体が有する前記第1の固有情報を取得するコンピュータ装置内固有情報取得手段と、
前記第2の認証情報を生成するコンピュータ装置内第2の認証情報生成手段と、
を備えること、
を特徴とする認証システム。
【請求項5】
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置と通信が可能な携帯無線通信端末であって、
非接触型情報記憶媒体と非接触で通信を行うリーダライタと、
前記リーダライタを介して前記非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得手段と、
第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得手段と、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成手段と、
前記通信サービスを介して行われる前記第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理手段と、
を備えること、
を特徴とする携帯無線通信端末。
【請求項6】
第1の認証情報を保持するコンピュータ装置と、
前記第1の認証情報に加えて前記コンピュータ装置から入力されたパスワードを用いて認証処理を行うサーバと、
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段により前記コンピュータ装置と通信が可能な携帯無線通信端末と、
を備えた認証システムにおける認証方法であって、
前記携帯無線通信端末は、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
前記第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
前記通信サービスを介して行われる前記第1の認証情報を用いる前記サーバとの認証に関する処理を、前記パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、
を実行すること、
を特徴とする認証方法。
【請求項7】
通信サービスに利用される端末であって、前記通信サービスの通信回線、又は、他の通信手段によりコンピュータ装置と通信が可能な携帯無線通信端末における認証プログラムであって、
前記携帯無線通信端末のコンピュータに、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
第1の認証情報を前記コンピュータ装置と通信を行うことにより取得する第1の認証情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
前記通信サービスを介して行われる前記第1の認証情報を用いるサーバとの認証に関する処理を、パスワードに代えて前記第2の認証情報を用いて行う認証処理ステップと、
を実行させるための認証プログラム。
【請求項8】
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
を実行すること、
を特徴とする認証情報生成方法。
【請求項9】
コンピュータに、
リーダライタを介して非接触型情報記憶媒体が有する第1の固有情報を取得する第1の固有情報取得ステップと、
少なくとも前記第1の固有情報を用いて生成される第2の認証情報を生成する第2の認証情報生成ステップと、
を実行させるための認証情報生成プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−129040(P2011−129040A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2009−289219(P2009−289219)
【出願日】平成21年12月21日(2009.12.21)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成21年12月21日(2009.12.21)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]