認証システム
【課題】操作性の低下をまねくことなく、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる。
【解決手段】ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、管理サーバが、サービスに対応したセッションIDを管理する手段と、セッションIDを含むURLを符号化した情報を生成する手段と、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する手段と、ユーザ情報を管理する手段と、ユーザ端末がネット端末からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う手段と、を備える。
【解決手段】ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、管理サーバが、サービスに対応したセッションIDを管理する手段と、セッションIDを含むURLを符号化した情報を生成する手段と、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する手段と、ユーザ情報を管理する手段と、ユーザ端末がネット端末からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サーバにアクセスするユーザの個人認証を実行する認証システムに関し、特に、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムに関する。
【背景技術】
【0002】
インターネット等のネットワークの利用が活発化すると共にネットワークを使用した認証の機会が増加している。そのため、ネットワークで認証を行う場合には、認証に使用する認証情報が盗用される危険性がある。ここで、認証情報が盗用されると、第三者が当人に成りすまして秘密とされるべき情報にアクセスしたり、無断で商取引を行うといったような事態が発生し、これによる影響は計り知れないものがある。
【0003】
そのため、上記のような事態を回避するために、クライアントWWW(World Wide Web)ブラウザからアプリケーションサーバにアクセスする際に、まず携帯電話側からICカードを用いて認証サーバとの間で安全な認証を行い、認証サーバから使い捨て認証鍵の発行を受け、クライアントWWWブラウザ上で使い捨て認証鍵と携帯電話の電話番号を入力することによって認証を行うような技術が知られている(例えば、特許文献1参照。)。
【0004】
また、ユーザ端末からネットサーバに対して認証を行う際に、認証情報を直接ユーザ端末上で入力する代わりに、ネットサーバから取得したセッションIDを携帯電話上で入力し、携帯電話会社サーバから電話番号とセッションIDとをネットサーバに対して送信し、認証する技術も知られている(例えば、特許文献2参照。)。このような従来技術においては、ユーザ端末上で認証に必要な情報を直接入力することなく、携帯電話を用いることによって、より安全性を高めることが出来るという利点がある。
【特許文献1】特開2001−243196号公報
【特許文献2】特開2005−309860号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載の従来技術では、認証手順において、電話番号をクライアントWWWブラウザ上で手入力する必要があるため、スパイウェア等によって電話番号が漏洩してしまう恐れがあるという問題がある。また、特許文献2に記載の従来技術では、携帯電話の電話番号をユーザ端末上で入力する必要が生じる場合はユーザ登録を行う際のみであるが、認証時に携帯電話会社サーバからの電話番号の送信が必要となるため、サーバ利用について携帯電話会社との契約が必要となり、汎用性が低くなってしまうという問題がある。さらに、ネットサーバから取得されるセッションIDは、携帯電話上で手入力する必要があるため、操作性の低下を招くという問題もある。
【0006】
そこで、本発明は、上述の課題に鑑みてなされたものであり、操作性の低下をまねくことなく、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上記の課題を解決するために以下の事項を提案している。
(1)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図1のセッションID管理部11に相当)と、該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図1の符号化情報生成部12に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図1のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図1のユーザ情報管理部14に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図1のユーザ認証処理部15に相当)と、を備えることを特徴とする認証システムを提案している。
【0008】
この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDを含むURLを符号化した情報を生成する。アプリケーション処理手段は、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。ユーザ情報管理手段は、ユーザ情報を管理し、ユーザ認証処理手段はユーザ端末がネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。
【0009】
(2)本発明は、(1)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。
【0010】
この発明によれば、ユーザ情報管理手段がユーザの個人情報とユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報により、一意にユーザを特定することができる。
【0011】
(3)本発明は、(1)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。
【0012】
この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。
【0013】
(4)本発明は、(1)の認証システムについて、前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。
【0014】
この発明によれば、ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。
【0015】
(5)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。
【0016】
この発明によれば、セッションIDを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。
【0017】
(6)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。
【0018】
この発明によれば、セッションIDを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。
【0019】
(7)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。
【0020】
この発明によれば、セッションIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。
【0021】
(8)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図7のセッションID管理部11に相当)と、該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図7の符号化情報生成部18に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図7のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図7のユーザ情報管理部16に相当)と、前記ネット端末のユーザ認証を実行するネット端末認証処理手段(例えば、図7のネット端末認証処理部19に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図7のユーザ認証処理部17に相当)と、を備えることを特徴とする認証システムを提案している。
【0022】
この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成する。アプリケーション処理手段が、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信し、ユーザ情報管理手段は、ユーザ情報を管理する。そして、ネット端末認証処理手段がネット端末のユーザ認証を実行し、ユーザ認証処理手段は、ユーザ端末がネット端末からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。また、ユーザ端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築することができる。
【0023】
(9)本発明は、(7)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。
【0024】
この発明によれば、ユーザ情報管理手段がユーザの個人情報およびユーザIDとユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報およびユーザIDにより、一意にユーザを特定することができる。
【0025】
(10)本発明は、(7)の認証システムについて、前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする認証システムを提案している。
【0026】
この発明によれば、ネット端末の認証処理が終了したことを条件に符号化情報生成手段が、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することから、ユーザ端末の紛失や盗難が発生した場合でも、安全性を確保することができる。
【0027】
(11)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。
【0028】
この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。
【0029】
(12)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。
【0030】
この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。
【0031】
(13)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。
【0032】
この発明によれば、セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。
【0033】
(14)本発明は、(8)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。
【0034】
この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。
【0035】
(15)本発明は、(8)の認証システムについて、前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。
【0036】
本発明によれば、ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。
【発明の効果】
【0037】
本発明によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となるという効果がある。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となるという効果がある。さらに、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できるという効果がある。
【発明を実施するための最良の形態】
【0038】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0039】
<第1の実施形態>
まず、図1から図6を参照して本発明の第1の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。
【0040】
<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図1に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。
【0041】
また、管理サーバ10は、図1に示すように、セッションID管理部11と、符号化情報生成部12と、アプリケーション処理部13と、ユーザ情報管理部14と、ユーザ認証処理部15とから構成されている。
【0042】
ここで、セッションID管理部11は、サービスに対応したセッションIDを管理する。符号化情報生成部12は、セッションIDを含むURLを符号化した情報を生成する。なお、符号化した情報の例としては、QRコード等の2次元コードや電子透かし付き画像あるいは非接触ICに格納された符号化情報等が挙げられるが、これに限るものではない。
【0043】
アプリケーション処理部13は、ネットワークを介してネット端末30にサービスを提供するとともに、ネット端末30のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。
【0044】
ユーザ情報管理部14は、ユーザ情報を管理する。具体的には、例えば、ユーザの個人情報と携帯電話20がアクセスを行った際に、送信される携帯電話のID情報とを組み合わせて管理する。
【0045】
ユーザ認証処理部15は、携帯電話20がネット端末30からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。具体的には、例えば、ユーザ認証処理部15がセッションID管理部11に登録されているセッションIDと携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDと携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。
【0046】
<認証システムの処理>
次に、図2から図6を用いて、本実施形態に係る認証システムの処理について説明する。
まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS101)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS102)、送信されている場合には(ステップS102の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS103)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS102の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS103の「No」)には、セッションID管理部11が新しいセッションIDを生成する(ステップS106)。
【0047】
そして、図5に示すセッション管理表にセッションID(例えば、図5のセッションID「ba878342decf19435647e3」、「784392bcdae76341308dfe」、「043287cdabef643bfae6dc」)を登録し、携帯電話用のURLを生成する(ステップS107)。符号化情報生成部12は、セッションIDを含むURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。ネット端末30は、この待機状態の間に周期的にアプリケーション処理部13にアクセスするが、携帯電話20による認証が完了するまでは、同じ2次元コードが繰り返し送信される。
【0048】
一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS105)、一連の処理動作を完了する。
【0049】
他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部12が、セッションIDを含む携帯電話用のURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。
【0050】
次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS201)、ユーザ認証処理部15にセッションIDおよび携帯電話の端末IDが通知される(ステップS202)。ここで、現行の携帯電話は、インターネット接続時に端末固有のIDを通知する機能を有している。そのため、ユーザ認証処理部15において、アクセス元のIPアドレスが携帯電話専用のネットワーク上のものかどうかを照会することによって、携帯電話20からのアクセスであるかどうかを確認する。
【0051】
さらに、セッションIDがセッションID管理部11に登録されているか否か(ステップS203)、携帯電話20の端末IDがユーザ情報管理部14に登録されているか否かを確認し(ステップS204)、いずれかが登録されていない場合(ステップS203の「No」、ステップS204の「No」)には、処理を終了する。
【0052】
一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザ情報管理部14に登録されている場合には(ステップS203の「Yes」、ステップS204の「Yes」)、セッションID管理部11が、図4に示すユーザ情報管理表をユーザ情報管理部14に問い合わせ、図6に示すようにセッション管理表に携帯電話20の端末IDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS205)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS206)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。
【0053】
したがって、本実施形態によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となる。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となる。
【0054】
<第2の実施形態>
図7から図12を参照して本発明の第2の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。
【0055】
<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図7に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。
【0056】
また、管理サーバ10は、図1に示すように、セッションID管理部11と、アプリケーション処理部13と、ユーザ情報管理部16と、ユーザ認証処理部17と、符号化情報生成部18と、ネット端末認証処理部19とから構成されている。なお、第1の実施形態と同一の符号を付す構成要素に関しては、同一の機能を有するものであるから、詳細な説明は省略する。
【0057】
ユーザ情報管理部16は、ユーザの個人情報およびユーザIDと携帯電話20がアクセスを行った際に、送信される携帯電話20のID情報とを組み合わせて管理する。ユーザ認証処理部17は、例えば、セッションID管理部11に登録されているセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。
【0058】
符号化情報生成部18は、セッションIDおよびユーザIDを含むURLを符号化した情報を生成する。ネット端末認証処理部19は、ネット端末30のユーザ認証を実行する。
【0059】
<認証システムの処理>
次に、図8から図12を用いて、本実施形態に係る認証システムの処理について説明する。
本実施形態では、図9に示すように、ユーザ管理表において、ユーザの個人情報がユーザID,パスワード、啓太電話20の端末IDとして対応づけられている。まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS301)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS302)、送信されている場合には(ステップS302の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS303)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS302の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS303の「No」)には、ネット端末認証部19がユーザIDとパスワードとにより認証を行う(ステップS306)。
【0060】
次に、セッション管理部11がセッションIDを生成し、図11に示すように、セッションIDとユーザIDとの関連付けを行う(ステップS307)。そして、セッションIDから携帯電話用のURLを生成する(ステップS308)。符号化情報生成部18は、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。
【0061】
一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS305)、一連の処理動作を完了する。
【0062】
他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部18が、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。
【0063】
次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS401)、ユーザ認証処理部17にセッションIDおよび携帯電話の端末ID、URL内のユーザIDが通知される(ステップS402)。
【0064】
さらに、セッションIDおよびユーザIDがセッションID管理部11に登録されているか否か(ステップS403)、携帯電話20の端末IDがユーザIDに正しく関連付けられているか否かを確認し(ステップS404)、いずれかを満足していない場合(ステップS403の「No」、ステップS404の「No」)には、処理を終了する。
【0065】
一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザIDに正しく関連付けられている場合には(ステップS403の「Yes」、ステップS404の「Yes」)、セッションID管理部11が、図10に示すユーザ情報管理表をユーザ情報管理部16に問い合わせ、図12に示すようにセッション管理表に携帯電話20の端末IDおよびユーザIDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS405)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS406)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。
【0066】
したがって、本実施形態によれば、第1の実施形態における作用に加えて、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できる。
【0067】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0068】
【図1】第1の実施形態に係るシステム構成図である。
【図2】第1の実施形態に係るネット端末によるアクセス時の処理フローである。
【図3】第1の実施形態に係る携帯電話によるアクセス時の処理フローである。
【図4】第1の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。
【図5】第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図6】第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図7】第2の実施形態に係るシステム構成図である。
【図8】第2の実施形態に係るネット端末によるアクセス時の処理フローである。
【図9】第2の実施形態に係る携帯電話によるアクセス時の処理フローである。
【図10】第2の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。
【図11】第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図12】第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【符号の説明】
【0069】
10・・・管理サーバ、11・・・セッションID管理部、12、18・・・符号化情報生成部、13・・・アプリケーション処理部、14、16・・・ユーザ情報管理部、15、17・・・ユーザ認証処理部、19・・・ネット端末認証処理部、20・・・携帯電話、30・・・ネット端末
【技術分野】
【0001】
本発明は、サーバにアクセスするユーザの個人認証を実行する認証システムに関し、特に、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムに関する。
【背景技術】
【0002】
インターネット等のネットワークの利用が活発化すると共にネットワークを使用した認証の機会が増加している。そのため、ネットワークで認証を行う場合には、認証に使用する認証情報が盗用される危険性がある。ここで、認証情報が盗用されると、第三者が当人に成りすまして秘密とされるべき情報にアクセスしたり、無断で商取引を行うといったような事態が発生し、これによる影響は計り知れないものがある。
【0003】
そのため、上記のような事態を回避するために、クライアントWWW(World Wide Web)ブラウザからアプリケーションサーバにアクセスする際に、まず携帯電話側からICカードを用いて認証サーバとの間で安全な認証を行い、認証サーバから使い捨て認証鍵の発行を受け、クライアントWWWブラウザ上で使い捨て認証鍵と携帯電話の電話番号を入力することによって認証を行うような技術が知られている(例えば、特許文献1参照。)。
【0004】
また、ユーザ端末からネットサーバに対して認証を行う際に、認証情報を直接ユーザ端末上で入力する代わりに、ネットサーバから取得したセッションIDを携帯電話上で入力し、携帯電話会社サーバから電話番号とセッションIDとをネットサーバに対して送信し、認証する技術も知られている(例えば、特許文献2参照。)。このような従来技術においては、ユーザ端末上で認証に必要な情報を直接入力することなく、携帯電話を用いることによって、より安全性を高めることが出来るという利点がある。
【特許文献1】特開2001−243196号公報
【特許文献2】特開2005−309860号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載の従来技術では、認証手順において、電話番号をクライアントWWWブラウザ上で手入力する必要があるため、スパイウェア等によって電話番号が漏洩してしまう恐れがあるという問題がある。また、特許文献2に記載の従来技術では、携帯電話の電話番号をユーザ端末上で入力する必要が生じる場合はユーザ登録を行う際のみであるが、認証時に携帯電話会社サーバからの電話番号の送信が必要となるため、サーバ利用について携帯電話会社との契約が必要となり、汎用性が低くなってしまうという問題がある。さらに、ネットサーバから取得されるセッションIDは、携帯電話上で手入力する必要があるため、操作性の低下を招くという問題もある。
【0006】
そこで、本発明は、上述の課題に鑑みてなされたものであり、操作性の低下をまねくことなく、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上記の課題を解決するために以下の事項を提案している。
(1)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図1のセッションID管理部11に相当)と、該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図1の符号化情報生成部12に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図1のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図1のユーザ情報管理部14に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図1のユーザ認証処理部15に相当)と、を備えることを特徴とする認証システムを提案している。
【0008】
この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDを含むURLを符号化した情報を生成する。アプリケーション処理手段は、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。ユーザ情報管理手段は、ユーザ情報を管理し、ユーザ認証処理手段はユーザ端末がネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。
【0009】
(2)本発明は、(1)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。
【0010】
この発明によれば、ユーザ情報管理手段がユーザの個人情報とユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報により、一意にユーザを特定することができる。
【0011】
(3)本発明は、(1)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。
【0012】
この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。
【0013】
(4)本発明は、(1)の認証システムについて、前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。
【0014】
この発明によれば、ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。
【0015】
(5)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。
【0016】
この発明によれば、セッションIDを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。
【0017】
(6)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。
【0018】
この発明によれば、セッションIDを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。
【0019】
(7)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。
【0020】
この発明によれば、セッションIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。
【0021】
(8)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図7のセッションID管理部11に相当)と、該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図7の符号化情報生成部18に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図7のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図7のユーザ情報管理部16に相当)と、前記ネット端末のユーザ認証を実行するネット端末認証処理手段(例えば、図7のネット端末認証処理部19に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図7のユーザ認証処理部17に相当)と、を備えることを特徴とする認証システムを提案している。
【0022】
この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成する。アプリケーション処理手段が、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信し、ユーザ情報管理手段は、ユーザ情報を管理する。そして、ネット端末認証処理手段がネット端末のユーザ認証を実行し、ユーザ認証処理手段は、ユーザ端末がネット端末からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。また、ユーザ端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築することができる。
【0023】
(9)本発明は、(7)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。
【0024】
この発明によれば、ユーザ情報管理手段がユーザの個人情報およびユーザIDとユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報およびユーザIDにより、一意にユーザを特定することができる。
【0025】
(10)本発明は、(7)の認証システムについて、前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする認証システムを提案している。
【0026】
この発明によれば、ネット端末の認証処理が終了したことを条件に符号化情報生成手段が、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することから、ユーザ端末の紛失や盗難が発生した場合でも、安全性を確保することができる。
【0027】
(11)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。
【0028】
この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。
【0029】
(12)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。
【0030】
この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。
【0031】
(13)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。
【0032】
この発明によれば、セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。
【0033】
(14)本発明は、(8)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。
【0034】
この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。
【0035】
(15)本発明は、(8)の認証システムについて、前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。
【0036】
本発明によれば、ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。
【発明の効果】
【0037】
本発明によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となるという効果がある。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となるという効果がある。さらに、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できるという効果がある。
【発明を実施するための最良の形態】
【0038】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0039】
<第1の実施形態>
まず、図1から図6を参照して本発明の第1の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。
【0040】
<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図1に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。
【0041】
また、管理サーバ10は、図1に示すように、セッションID管理部11と、符号化情報生成部12と、アプリケーション処理部13と、ユーザ情報管理部14と、ユーザ認証処理部15とから構成されている。
【0042】
ここで、セッションID管理部11は、サービスに対応したセッションIDを管理する。符号化情報生成部12は、セッションIDを含むURLを符号化した情報を生成する。なお、符号化した情報の例としては、QRコード等の2次元コードや電子透かし付き画像あるいは非接触ICに格納された符号化情報等が挙げられるが、これに限るものではない。
【0043】
アプリケーション処理部13は、ネットワークを介してネット端末30にサービスを提供するとともに、ネット端末30のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。
【0044】
ユーザ情報管理部14は、ユーザ情報を管理する。具体的には、例えば、ユーザの個人情報と携帯電話20がアクセスを行った際に、送信される携帯電話のID情報とを組み合わせて管理する。
【0045】
ユーザ認証処理部15は、携帯電話20がネット端末30からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。具体的には、例えば、ユーザ認証処理部15がセッションID管理部11に登録されているセッションIDと携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDと携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。
【0046】
<認証システムの処理>
次に、図2から図6を用いて、本実施形態に係る認証システムの処理について説明する。
まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS101)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS102)、送信されている場合には(ステップS102の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS103)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS102の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS103の「No」)には、セッションID管理部11が新しいセッションIDを生成する(ステップS106)。
【0047】
そして、図5に示すセッション管理表にセッションID(例えば、図5のセッションID「ba878342decf19435647e3」、「784392bcdae76341308dfe」、「043287cdabef643bfae6dc」)を登録し、携帯電話用のURLを生成する(ステップS107)。符号化情報生成部12は、セッションIDを含むURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。ネット端末30は、この待機状態の間に周期的にアプリケーション処理部13にアクセスするが、携帯電話20による認証が完了するまでは、同じ2次元コードが繰り返し送信される。
【0048】
一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS105)、一連の処理動作を完了する。
【0049】
他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部12が、セッションIDを含む携帯電話用のURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。
【0050】
次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS201)、ユーザ認証処理部15にセッションIDおよび携帯電話の端末IDが通知される(ステップS202)。ここで、現行の携帯電話は、インターネット接続時に端末固有のIDを通知する機能を有している。そのため、ユーザ認証処理部15において、アクセス元のIPアドレスが携帯電話専用のネットワーク上のものかどうかを照会することによって、携帯電話20からのアクセスであるかどうかを確認する。
【0051】
さらに、セッションIDがセッションID管理部11に登録されているか否か(ステップS203)、携帯電話20の端末IDがユーザ情報管理部14に登録されているか否かを確認し(ステップS204)、いずれかが登録されていない場合(ステップS203の「No」、ステップS204の「No」)には、処理を終了する。
【0052】
一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザ情報管理部14に登録されている場合には(ステップS203の「Yes」、ステップS204の「Yes」)、セッションID管理部11が、図4に示すユーザ情報管理表をユーザ情報管理部14に問い合わせ、図6に示すようにセッション管理表に携帯電話20の端末IDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS205)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS206)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。
【0053】
したがって、本実施形態によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となる。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となる。
【0054】
<第2の実施形態>
図7から図12を参照して本発明の第2の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。
【0055】
<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図7に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。
【0056】
また、管理サーバ10は、図1に示すように、セッションID管理部11と、アプリケーション処理部13と、ユーザ情報管理部16と、ユーザ認証処理部17と、符号化情報生成部18と、ネット端末認証処理部19とから構成されている。なお、第1の実施形態と同一の符号を付す構成要素に関しては、同一の機能を有するものであるから、詳細な説明は省略する。
【0057】
ユーザ情報管理部16は、ユーザの個人情報およびユーザIDと携帯電話20がアクセスを行った際に、送信される携帯電話20のID情報とを組み合わせて管理する。ユーザ認証処理部17は、例えば、セッションID管理部11に登録されているセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。
【0058】
符号化情報生成部18は、セッションIDおよびユーザIDを含むURLを符号化した情報を生成する。ネット端末認証処理部19は、ネット端末30のユーザ認証を実行する。
【0059】
<認証システムの処理>
次に、図8から図12を用いて、本実施形態に係る認証システムの処理について説明する。
本実施形態では、図9に示すように、ユーザ管理表において、ユーザの個人情報がユーザID,パスワード、啓太電話20の端末IDとして対応づけられている。まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS301)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS302)、送信されている場合には(ステップS302の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS303)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS302の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS303の「No」)には、ネット端末認証部19がユーザIDとパスワードとにより認証を行う(ステップS306)。
【0060】
次に、セッション管理部11がセッションIDを生成し、図11に示すように、セッションIDとユーザIDとの関連付けを行う(ステップS307)。そして、セッションIDから携帯電話用のURLを生成する(ステップS308)。符号化情報生成部18は、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。
【0061】
一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS305)、一連の処理動作を完了する。
【0062】
他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部18が、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。
【0063】
次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS401)、ユーザ認証処理部17にセッションIDおよび携帯電話の端末ID、URL内のユーザIDが通知される(ステップS402)。
【0064】
さらに、セッションIDおよびユーザIDがセッションID管理部11に登録されているか否か(ステップS403)、携帯電話20の端末IDがユーザIDに正しく関連付けられているか否かを確認し(ステップS404)、いずれかを満足していない場合(ステップS403の「No」、ステップS404の「No」)には、処理を終了する。
【0065】
一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザIDに正しく関連付けられている場合には(ステップS403の「Yes」、ステップS404の「Yes」)、セッションID管理部11が、図10に示すユーザ情報管理表をユーザ情報管理部16に問い合わせ、図12に示すようにセッション管理表に携帯電話20の端末IDおよびユーザIDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS405)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS406)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。
【0066】
したがって、本実施形態によれば、第1の実施形態における作用に加えて、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できる。
【0067】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0068】
【図1】第1の実施形態に係るシステム構成図である。
【図2】第1の実施形態に係るネット端末によるアクセス時の処理フローである。
【図3】第1の実施形態に係る携帯電話によるアクセス時の処理フローである。
【図4】第1の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。
【図5】第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図6】第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図7】第2の実施形態に係るシステム構成図である。
【図8】第2の実施形態に係るネット端末によるアクセス時の処理フローである。
【図9】第2の実施形態に係る携帯電話によるアクセス時の処理フローである。
【図10】第2の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。
【図11】第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【図12】第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。
【符号の説明】
【0069】
10・・・管理サーバ、11・・・セッションID管理部、12、18・・・符号化情報生成部、13・・・アプリケーション処理部、14、16・・・ユーザ情報管理部、15、17・・・ユーザ認証処理部、19・・・ネット端末認証処理部、20・・・携帯電話、30・・・ネット端末
【特許請求の範囲】
【請求項1】
ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項1に記載の認証システム。
【請求項4】
前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項1に記載の認証システム。
【請求項5】
前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項1に記載の認証システム。
【請求項6】
前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項1に記載の認証システム。
【請求項7】
前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項1に記載の認証システム。
【請求項8】
ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ネット端末のユーザ認証を実行するネット端末認証処理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。
【請求項9】
前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項7に記載の認証システム。
【請求項10】
前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする請求項8に記載の認証システム。
【請求項11】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項12】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項13】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項14】
前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項8に記載の認証システム。
【請求項15】
前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項8に記載の認証システム。
【請求項1】
ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項1に記載の認証システム。
【請求項4】
前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項1に記載の認証システム。
【請求項5】
前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項1に記載の認証システム。
【請求項6】
前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項1に記載の認証システム。
【請求項7】
前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項1に記載の認証システム。
【請求項8】
ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ネット端末のユーザ認証を実行するネット端末認証処理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。
【請求項9】
前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項7に記載の認証システム。
【請求項10】
前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする請求項8に記載の認証システム。
【請求項11】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項12】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項13】
前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項8または請求項10に記載の認証システム。
【請求項14】
前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項8に記載の認証システム。
【請求項15】
前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項8に記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−226200(P2008−226200A)
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2007−67801(P2007−67801)
【出願日】平成19年3月16日(2007.3.16)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成19年3月16日(2007.3.16)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]