認証方法およびシステム
【課題】 ウェブサイトの真偽を容易に確認することができるようにしてフィッシング等の詐欺行為を回避すること。
【解決手段】 利用者端末101は上述の「合言葉確認」ボタンがクリックされるのを待機して(S703)、クリックされた場合はウェブサイトにログインするに当たりユーザが合言葉を確認する意思があるものと判断して、入力されたデータをサーバに送信する(S704)。図示しないが、Webサーバ102を介してAPサーバ103は、受信した合言葉暗証と、データベース104から読み出した合言葉暗証とを照合して一致した場合は、正当なユーザから合言葉の送信の依頼があったものとして、利用者端末101に登録されている合言葉を読み出して送信する。利用者端末101は、APサーバ103等から受信した合言葉を、例えば図8に示すように画面上に表示する(S705)。
【解決手段】 利用者端末101は上述の「合言葉確認」ボタンがクリックされるのを待機して(S703)、クリックされた場合はウェブサイトにログインするに当たりユーザが合言葉を確認する意思があるものと判断して、入力されたデータをサーバに送信する(S704)。図示しないが、Webサーバ102を介してAPサーバ103は、受信した合言葉暗証と、データベース104から読み出した合言葉暗証とを照合して一致した場合は、正当なユーザから合言葉の送信の依頼があったものとして、利用者端末101に登録されている合言葉を読み出して送信する。利用者端末101は、APサーバ103等から受信した合言葉を、例えば図8に示すように画面上に表示する(S705)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証方法およびシステムに関し、より詳細にはユーザがウェブサイトにアクセスする場合のセキュリティを保持するための認証方法およびシステムに関する。
【背景技術】
【0002】
従来から、ユーザは、インターネットを介してPC等のクライアント端末から各種のウェブサイトにアクセスし、様々な情報を入手し、あるいはサービスの提供を受けている。このようなインターネットシステムにおいては、個々のユーザに個別に情報やサービスを提供するため、予めユーザ登録をしておき、登録されたユーザからのアクセスにのみ対応するため、予めユーザに発行した識別情報(典型的には、ユーザIDと暗証であるがこれに限られない)により登録されたユーザであることが確認されなければ、情報やサービスを提供するページが表示されないようになっている。
【0003】
図1は、情報やサービスを提供するインターネットシステムを一般化したブロック図である。ここで、所望のウェブサイトにアクセスして情報やサービスの提供を受けようとするユーザは、予めユーザ登録をし、ユーザIDと暗証とが設定されて発行されている。図2は、従来技術のインターネットシステムで設定された識別情報の一例を示す図である。
【0004】
登録済みのユーザは、利用者PC101で所望のウェブサイトを表示させ、識別情報入力を行う。Webサーバ102およびAPサーバ103は、インターネットを介して利用者PC101とデータの送受信を行い、情報やサービスを提供する。ここで、Webサーバ102はインターネットとのインタフェースを制御し、主に端末上の画面表示イメージを送信する。一方、APサーバ103は、主に検索や計算などのウェブサイトが提供する実質的内容の処理を行うようになっているが、システムはこれに限られず、以上の機能を1つのサーバで行なうものもあり、またさらに機能を分担して多くのサーバを使用するものもある。データベース104は、図2に示した識別情報をはじめとするユーザ情報(図示せず)を格納しており、APサーバ103からのアクセスを受け付ける。
【0005】
図3は、従来の認証方法の端末側の処理の一例を示すフローチャートである。ユーザがURLなどを指定して所望のウェブサイトへのアクセスを試み、探索に成功すると所望のウェブサイトのエントリーページを表示する(S301)。次に、このウェブサイトへのアクセスにはユーザIDが事前登録されているものとして、情報やサービスの提供を受けるためには認証を行なう必要があることから、ユーザIDと暗証を入力する画面を表示して入力を促す(S302)。図4にこのときの画面の一例を示す。図4に示すように、データの入力がなされると、サーバでの認証の意思を示すため「ログイン」等のボタンを表示することができる。
【0006】
「ログインボタン」がクリックされるのを待機して(S303)クリックされると、データフィールドに入力されたデータをサーバに送信する(S304)。ここでは、詳細には説明しないが、送信された入力データに基づきAPサーバ103において、ユーザIDと暗証とを照合して認証が成功すれば情報やサービスを提供するための次の処理に進み、画像などのデータが送信される。失敗した場合、その旨利用者端末101に送信される。
【0007】
利用者端末101は、ユーザの認証に成功した旨受信すると(S305)、その後Webサーバから受信した画面を表示する(S306)が、認証に失敗した場合は、通常、エラーを表示してユーザに報知する(S307)。
【0008】
以上が、インターネットシステムにおいて従来使用されてきた一般的な認証方法であるが、近年では、認証方法も種々のものが提案されている(例えば、特許文献1参照)。
【0009】
【特許文献1】特開2004−13377号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、近年インターネットシステムのセキュリティを脅かすリスクの1つとして、フィッシングと呼ばれるウェブサイトの成りすましにより、識別情報が詐取され不正アクセスが行なわれる恐れが高まっている。これは後述するように、例えば偽のウェブサイトにユーザを巧みに誘導し、識別情報を入力させて存在する識別情報を取得するものであるが、従来の認証方法あるいはシステムは、サーバ側がユーザの真偽を確認するためのものであるから、ユーザが現在アクセスしているウェブサイトの真偽を確認するためには機能しない。したがって、従来の技術では、フィッシングによる詐取を回避するためには、ユーザ自身が巧みな誘導に乗らないように注意するとか、表示されている画面を注意深く確認するといった方法しかないという問題がある。
【0011】
本発明は、このような問題に鑑みてなされたもので、ユーザがアクセス中のウェブサイトから予め登録した合言葉を受け取ることにより、ウェブサイトの真偽を容易に確認することができるようにしてフィッシング等の詐欺行為を回避することが可能な認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0012】
このような目的を達成するために、請求項1に記載の発明は、第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、端末から送信されたユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムであって、予め所定の合言葉を第1の認証情報に対応付けて格納したデータベースを備え、端末は、第1の認証情報を入力する入力手段と、第1の認証情報が入力されるとサーバに送信する第1送信手段と、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知手段と、第2の認証情報が入力されるとサーバに送信する第2送信手段とを含み、サーバは、第1の認証情報を受信すると、データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信手段を含むことを特徴とする認証システム。
【0013】
請求項2に記載の発明は、請求項1に記載の認証システムにおいて、第1の認証情報と合言葉とを受信して、相互に対応付けてデータベースに格納する合言葉格納サーバをさらに備えたことを特徴とする。
【0014】
請求項3に記載の発明は、請求項1に記載の認証システムにおいて、データベースは、第3の認証情報を第1の認証情報に関連付けてさらに格納し、第1送信手段は、第1の認証情報とともに第3の認証情報を送信し、および合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致したときは、合言葉を送信することを特徴とする。
【0015】
請求項4に記載の発明は、請求項3に記載の認証システムにおいて、合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、一致しなかった旨を端末に送信することを特徴とする。
【0016】
請求項5に記載の発明は、請求項3に記載の認証システムにおいて、合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、合言葉と異なる別の言葉を端末に送信することを特徴とする。
【0017】
請求項6に記載の発明は、請求項3、4または5に記載の認証システムにおいて、第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けてデータベースに格納する合言葉格納サーバをさらに備えたことを特徴とする。
【0018】
請求項7に記載の発明は、請求項1ないし6のいずれかに記載の認証システムにおいて、端末は、第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力手段をさらに含み、第1の送信手段は、選択入力手段により合言葉の受信を所望するとの入力があったときは第1の認証情報を送信することを特徴とする。
【0019】
請求項8に記載の発明は、請求項1ないし7のいずれかに記載の認証システムにおいて、第1の認証情報はユーザIDであり、第2の認証情報は暗証であることを特徴とする。
【0020】
請求項9に記載の発明は、第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、端末から送信されたユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムにおいてユーザ認証を行なう認証方法であって、端末により、第1の認証情報を入力する入力ステップと、第1の認証情報が入力されるとサーバに送信する第1送信ステップと、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知ステップと、第2の認証情報が入力されるとサーバに送信する第2送信ステップと、サーバにより、第1の認証情報を受信すると、予め所定の合言葉を第1の認証情報に対応付けて格納したデータベースから第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信ステップとを備えたことを特徴とする。
【0021】
請求項10に記載の発明は、請求項9に記載の認証方法において、合言葉格納サーバにより、第1の認証情報と合言葉とを受信して、相互に対応付けてデータベースに格納する合言葉格納ステップをさらに備えたことを特徴とする。
【0022】
請求項11に記載の発明は、請求項9に記載の認証方法においてデータベースは、第3の認証情報を第1の認証情報に関連付けてさらに格納し、第1送信ステップは、第1の認証情報とともに第3の認証情報を送信し、および合言葉送信ステップは、受信した第3の認証情報が第1の認証情報に関連付けられた第3の認証情報と一致したときは、合言葉を送信することを特徴とする。
【0023】
請求項12に記載の発明は、請求項11に記載の認証方法において、合言葉送信ステップは、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、一致しなかった旨を端末に送信することを特徴とする。
【0024】
請求項13に記載の発明は、請求項11に記載の認証方法において、合言葉送信ステップは、受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、合言葉と異なる別の言葉を端末に送信することを特徴とする。
【0025】
請求項14に記載の発明は、請求項11、12または13に記載の認証方法において、合言葉格納サーバにより、第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする。
【0026】
請求項15に記載の発明は、請求項9ないし14のいずれかに記載の認証方法において、端末により、第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力ステップをさらに備え、第1の送信ステップは、選択入力ステップにより合言葉の受信を所望するとの入力があったときは第1の認証情報を送信することを特徴とする。
【0027】
請求項16に記載の発明は、請求項9ないし15のいずれかに記載の認証方法において、第1の認証情報はユーザIDであり、第2の認証情報は暗証であることを特徴とする。
【発明の効果】
【0028】
以上説明したように、本発明によれば、第1の認証情報を入力する入力手段と、第1の認証情報が入力されるとサーバに送信する第1送信手段と、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知手段と、第2の認証情報が入力されるとサーバに送信する第2送信手段とを含む端末と、第1の認証情報を受信すると、データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信手段を含むサーバとを備えているので、ユーザがウェブサイトの真偽を容易に確認することができるようになりフィッシング等の詐欺行為を回避することが可能となる。
【発明を実施するための最良の形態】
【0029】
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
【0030】
(第1実施形態)
本実施形態のシステムでは、既に説明した図1に示すインターネットシステムの構成を使用することができる。ただし、データベース104には従来技術で格納されている情報に加え、後述する図5に示す情報が格納されている。なお、利用者PC101は、一般には通常のPCであり、通常はCPU、メモリ等を内蔵した本体にディスプレイ、キーボード等の入出力機器が接続されるよう構成されているが、これに限られずユーザからの入力を受け取り、所定の処理を行ってインターネット等のネットワークを介しサーバと送受信を行って、ユーザに所望の情報やサービスの提供が可能な装置であればいずれの装置を使用することもできる。
【0031】
図9は、本発明の一実施形態のサーバを示すブロック図であり、図1に示した構成のサーバについてさらに詳しく示すものである。利用者PC101は、インターネットに接続され、Webサーバ102を介してAPサーバ103に接続され、種々の情報のやり取りが利用者PC101と、APサーバ103との間で行われる。APサーバ103は、ユーザ認証を行うために必要な種々のモジュールを含み、一般的には顧客データベース920を備えて、種々の関連する機能を実現している。本実施形態のサーバ側の処理は、特に認証処理部910が実行し、認証処理部910はさらに合言葉探索部911および合言葉送信部912を備え、後述するように利用者PC101から送信されるユーザIDと合言葉暗証とにより合言葉を探索、確認して合言葉を送信する。ここで、認証処理部910、合言葉探索部911および合言葉送信部912は、本実施形態の処理を実行するための1構成要素であり、一般にはソフトウェアのモジュールとして実装されるが、実際に適用されるシステムでは、これらの機能を他のモジュールにおいて実装することもできるし、1つのモジュールに組み合わせてしまうこともできる。
【0032】
次に、本実施形態の認証システムの処理について図7を参照して説明する。図7は、本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。ユーザがURLを入力等することにより所望のウェブサイトに接続すると、一般にはそのウェブサイトのエントリーページが表示される(S701)。
【0033】
その後、図6に示すようにユーザIDと合言葉暗証を入力するための入力フィールドが表示される(S702)。ここで、合言葉暗証の入力フィールドが表示されるが、これはサーバ側がユーザIDのみで合言葉を送信してしまった場合、フィッシングする者も予めユーザIDを取得しておいて、合言葉を入手できてしまうことを回避するためである。このため、サーバは一定回数以上、誤った合言葉暗証が入力された場合、その合言葉の使用を停止するようにして、保護の強化を図ることもできる。
【0034】
さらに、ユーザの合言葉を取得しようとする意思を確認するため、「合言葉確認」ボタンが表示され、ユーザはこのボタンをクリックすることにより、サーバから登録された合言葉を受信して端末の画面上で確認することができるのである。本実施形態では、図6に示すように通常の「暗証」や「ログイン」も同一画面に表示され合言葉の確認をしなくてもログインすることができるが、これらを表示せず必ず合言葉を確認させるようにすることもできる。
【0035】
ここで、合言葉とは、一般にはユーザがそれを見るとある程度確実に思い出すことができる言葉であり、文章や単語とすることができるが、これに限られず端末の画面に表示することができる何らかの記号をはじめとする情報とすることもできる。したがって、本実施形態の合言葉は、いずれの表現を用いたとしても、暗証のように全く同じものでなければならないわけではなく、一定の範囲で同一性が確認できれば良いような種類の表現なのである。さらに、合言葉は、表示に限らず音声やその他ユーザが確かに正規のウェブサイトであると確信することができる何らかの報知とすることもできる。合言葉は一般には、後述する合言葉登録処理において、予め登録しておく。
【0036】
また、システムによっては、ユーザID、暗証を設定するときに合言葉も登録するようにすることができる。また、合言葉暗証も上述の合言葉のようにそれ自体制限はないが、一般には通常の暗証と同様に4桁〜8桁の数字が使用される。
【0037】
図7に戻ると、利用者端末101は上述の「合言葉確認」ボタンがクリックされるのを待機して(S703)、クリックされた場合はウェブサイトにログインするに当たりユーザが合言葉を確認する意思があるものと判断して、入力されたデータをサーバに送信する(S704)。Webサーバ102を介してAPサーバ103の合言葉探索部911は、受信した合言葉暗証と、データベース104から読み出した合言葉暗証とを照合する。照合した結果、一致した場合は正当なユーザから合言葉の送信の依頼があったものとして、APサーバ103の合言葉送信部912は、登録されている合言葉を読み出して利用者端末101に送信する。
【0038】
また、合言葉探索部911において、照合した結果一致しなかった場合、正当なユーザではないと考えられるため、合言葉送信部912は合言葉暗証が一致しない旨利用者端末101に送信する。
【0039】
利用者端末101は、APサーバ103等から受信した合言葉を、例えば図8に示すように画面上に表示する(S705)。一方、合言葉暗証に一致しない(または未登録である)旨を受信した場合は、エラー表示する。ここで、再度入力画面を表示して、合言葉暗証を入力し直すようにすることもできる。この場合、他の識別情報も改めて入力させてセキュリティを向上させることもできる。
【0040】
さらに、本実施形態では、合言葉暗証が誤っていた場合、その旨合言葉送信部912が送信するようにして、ユーザが確認することができるようにしているが、エラーに替えて、登録されている合言葉とは異なる合言葉を送信するようにすることもできる。
【0041】
合言葉を受信して表示した結果、ユーザがこれを確認して登録した合言葉であると一定の確実性で認識できれば、現時点でアクセスしているウェブサイトは正規のものであると確認できるので、通常の認証処理に進むことができる(S710以降)。これは、本実施形態の合言葉を用いた確認という処理自体がセキュリティを補償するものであり、合言葉自身が正確に一致するかどうかをユーザ側で確認する必要はないからである。
【0042】
ここで、図示しないが、表示された合言葉がユーザの記憶にあるものとかけ離れている場合は、現時点でアクセスしているウェブサイトは偽のウェブサイトであるとしても問題ないから、ユーザはアクセスを中断し、あるいは別のウェブサイトに直ちにアクセスし直すようにする。
【0043】
ステップS710以降の認証処理は基本的に従来の認証方法であるが、まずステップS710では、図8に示すような画面の「暗証」フィールドに暗証データを入力してログイン処理へと進む。ここで、本実施形態では改めてユーザIDを入力させないが、これに限られず、例えば再度ユーザIDから入力させるようにすることもできる。
【0044】
図8に示すように、データの入力フィールドとともに「ログイン」等のボタンが表示されているが、これはユーザが受信した合言葉が正しいものであり、「ログイン」ボタンをクリックして、入力した暗証で現在接続されているサーバにおける認証処理を希望するとの意思を示すためのものである。
【0045】
次に、「ログインボタン」がクリックされるのを待機して(S303)クリックされると、データフィールドに入力されたデータをサーバに送信する(S304)。ここでは、詳細には説明しないが、送信された入力データに基づきAPサーバ103において、ユーザIDと暗証とを照合して認証が成功すれば情報やサービスを提供するための次の処理に進み、データが送信される。失敗した場合、その旨利用者端末101に送信される。
【0046】
利用者端末101は、ユーザの認証に成功した旨受信すると(S305)、その後Webサーバから受信した画面を表示する(S306)が、認証に失敗した場合は、通常、エラーを表示してユーザに報知する(S307)。
【0047】
以上説明したように、本実施形態によればユーザは予め登録した合言葉によりログインしようとするウェブサイトが正規のウェブサイトであるか否かを判断することができ、偽のウェブサイトに秘密の識別情報を入力して詐取されてしまうことを回避することができる。
【0048】
(第2実施形態)
本実施形態においても、第1実施形態と同様図1のインターネットシステムを使用するが、これに限られることなく種々のシステムを使用することができる。
【0049】
上述の第1実施形態では、予め合言葉が登録されている場合に合言葉を用いてユーザがウェブサイトの真偽を判断するものであったが、本実施形態のシステムは、合言葉の登録を行なうためのものである。以下図面を参照して本実施形態の登録システムについて説明する。
【0050】
図11は、本実施形態のシステムの処理の一例を示すフローチャートである。所望のウェブサイトにアクセスし、Webサーバ102を介してAPサーバ103から合言葉登録画面を取得すると(S1101)、図10に示すような合言葉および合言葉暗証を入力するフィールドを表示する(S1102)。ここで、合言葉暗証を再度入力するようにして、誤登録を回避するようにしても良い。ユーザが適切な合言葉を考えて合言葉暗証とともに入力し「登録」ボタンがクリックされるのを待機する(S1103)。「登録」がクリックされると、利用者端末101は入力されたデータをAPサーバ103に送信する(S1104)。
【0051】
APサーバ103では、図示しないが、送信されたデータをデータベース104に格納して、例えば図5に示すようなテーブルとして管理を行なう。
【0052】
以上の処理を行うことによって、合言葉を合言葉暗証とともに登録することができ、これにより第1実施形態のシステムの使用が可能となる。
【図面の簡単な説明】
【0053】
【図1】情報やサービスを提供するインターネットシステムを一般化したブロック図である。
【図2】従来技術のインターネットシステムで設定された識別情報の一例を示す図である。
【図3】従来の認証方法の端末側の処理の一例を示すフローチャートである。
【図4】画面の一例を示す図である。
【図5】本発明の一実施形態のユーザデータ各の領域の一例を示す図である。
【図6】本発明の一実施形態の画面の一例を示す図である。
【図7】本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。
【図8】本発明の一実施形態の画面の一例を示す図である。
【図9】本発明の一実施形態のサーバを示すブロック図である。
【図10】本発明の一実施形態の画面の一例を示す図である。
【図11】本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。
【符号の説明】
【0054】
101 利用者PC
102 Webサーバ
103 APサーバ
104 データベース
401 Webサーバ
402 データベース
901 顧客
910 認証処理部
911 合言葉探索部
912 合言葉送信部
920 顧客データベース
【技術分野】
【0001】
本発明は、認証方法およびシステムに関し、より詳細にはユーザがウェブサイトにアクセスする場合のセキュリティを保持するための認証方法およびシステムに関する。
【背景技術】
【0002】
従来から、ユーザは、インターネットを介してPC等のクライアント端末から各種のウェブサイトにアクセスし、様々な情報を入手し、あるいはサービスの提供を受けている。このようなインターネットシステムにおいては、個々のユーザに個別に情報やサービスを提供するため、予めユーザ登録をしておき、登録されたユーザからのアクセスにのみ対応するため、予めユーザに発行した識別情報(典型的には、ユーザIDと暗証であるがこれに限られない)により登録されたユーザであることが確認されなければ、情報やサービスを提供するページが表示されないようになっている。
【0003】
図1は、情報やサービスを提供するインターネットシステムを一般化したブロック図である。ここで、所望のウェブサイトにアクセスして情報やサービスの提供を受けようとするユーザは、予めユーザ登録をし、ユーザIDと暗証とが設定されて発行されている。図2は、従来技術のインターネットシステムで設定された識別情報の一例を示す図である。
【0004】
登録済みのユーザは、利用者PC101で所望のウェブサイトを表示させ、識別情報入力を行う。Webサーバ102およびAPサーバ103は、インターネットを介して利用者PC101とデータの送受信を行い、情報やサービスを提供する。ここで、Webサーバ102はインターネットとのインタフェースを制御し、主に端末上の画面表示イメージを送信する。一方、APサーバ103は、主に検索や計算などのウェブサイトが提供する実質的内容の処理を行うようになっているが、システムはこれに限られず、以上の機能を1つのサーバで行なうものもあり、またさらに機能を分担して多くのサーバを使用するものもある。データベース104は、図2に示した識別情報をはじめとするユーザ情報(図示せず)を格納しており、APサーバ103からのアクセスを受け付ける。
【0005】
図3は、従来の認証方法の端末側の処理の一例を示すフローチャートである。ユーザがURLなどを指定して所望のウェブサイトへのアクセスを試み、探索に成功すると所望のウェブサイトのエントリーページを表示する(S301)。次に、このウェブサイトへのアクセスにはユーザIDが事前登録されているものとして、情報やサービスの提供を受けるためには認証を行なう必要があることから、ユーザIDと暗証を入力する画面を表示して入力を促す(S302)。図4にこのときの画面の一例を示す。図4に示すように、データの入力がなされると、サーバでの認証の意思を示すため「ログイン」等のボタンを表示することができる。
【0006】
「ログインボタン」がクリックされるのを待機して(S303)クリックされると、データフィールドに入力されたデータをサーバに送信する(S304)。ここでは、詳細には説明しないが、送信された入力データに基づきAPサーバ103において、ユーザIDと暗証とを照合して認証が成功すれば情報やサービスを提供するための次の処理に進み、画像などのデータが送信される。失敗した場合、その旨利用者端末101に送信される。
【0007】
利用者端末101は、ユーザの認証に成功した旨受信すると(S305)、その後Webサーバから受信した画面を表示する(S306)が、認証に失敗した場合は、通常、エラーを表示してユーザに報知する(S307)。
【0008】
以上が、インターネットシステムにおいて従来使用されてきた一般的な認証方法であるが、近年では、認証方法も種々のものが提案されている(例えば、特許文献1参照)。
【0009】
【特許文献1】特開2004−13377号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、近年インターネットシステムのセキュリティを脅かすリスクの1つとして、フィッシングと呼ばれるウェブサイトの成りすましにより、識別情報が詐取され不正アクセスが行なわれる恐れが高まっている。これは後述するように、例えば偽のウェブサイトにユーザを巧みに誘導し、識別情報を入力させて存在する識別情報を取得するものであるが、従来の認証方法あるいはシステムは、サーバ側がユーザの真偽を確認するためのものであるから、ユーザが現在アクセスしているウェブサイトの真偽を確認するためには機能しない。したがって、従来の技術では、フィッシングによる詐取を回避するためには、ユーザ自身が巧みな誘導に乗らないように注意するとか、表示されている画面を注意深く確認するといった方法しかないという問題がある。
【0011】
本発明は、このような問題に鑑みてなされたもので、ユーザがアクセス中のウェブサイトから予め登録した合言葉を受け取ることにより、ウェブサイトの真偽を容易に確認することができるようにしてフィッシング等の詐欺行為を回避することが可能な認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0012】
このような目的を達成するために、請求項1に記載の発明は、第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、端末から送信されたユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムであって、予め所定の合言葉を第1の認証情報に対応付けて格納したデータベースを備え、端末は、第1の認証情報を入力する入力手段と、第1の認証情報が入力されるとサーバに送信する第1送信手段と、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知手段と、第2の認証情報が入力されるとサーバに送信する第2送信手段とを含み、サーバは、第1の認証情報を受信すると、データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信手段を含むことを特徴とする認証システム。
【0013】
請求項2に記載の発明は、請求項1に記載の認証システムにおいて、第1の認証情報と合言葉とを受信して、相互に対応付けてデータベースに格納する合言葉格納サーバをさらに備えたことを特徴とする。
【0014】
請求項3に記載の発明は、請求項1に記載の認証システムにおいて、データベースは、第3の認証情報を第1の認証情報に関連付けてさらに格納し、第1送信手段は、第1の認証情報とともに第3の認証情報を送信し、および合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致したときは、合言葉を送信することを特徴とする。
【0015】
請求項4に記載の発明は、請求項3に記載の認証システムにおいて、合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、一致しなかった旨を端末に送信することを特徴とする。
【0016】
請求項5に記載の発明は、請求項3に記載の認証システムにおいて、合言葉送信手段は、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、合言葉と異なる別の言葉を端末に送信することを特徴とする。
【0017】
請求項6に記載の発明は、請求項3、4または5に記載の認証システムにおいて、第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けてデータベースに格納する合言葉格納サーバをさらに備えたことを特徴とする。
【0018】
請求項7に記載の発明は、請求項1ないし6のいずれかに記載の認証システムにおいて、端末は、第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力手段をさらに含み、第1の送信手段は、選択入力手段により合言葉の受信を所望するとの入力があったときは第1の認証情報を送信することを特徴とする。
【0019】
請求項8に記載の発明は、請求項1ないし7のいずれかに記載の認証システムにおいて、第1の認証情報はユーザIDであり、第2の認証情報は暗証であることを特徴とする。
【0020】
請求項9に記載の発明は、第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、端末から送信されたユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムにおいてユーザ認証を行なう認証方法であって、端末により、第1の認証情報を入力する入力ステップと、第1の認証情報が入力されるとサーバに送信する第1送信ステップと、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知ステップと、第2の認証情報が入力されるとサーバに送信する第2送信ステップと、サーバにより、第1の認証情報を受信すると、予め所定の合言葉を第1の認証情報に対応付けて格納したデータベースから第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信ステップとを備えたことを特徴とする。
【0021】
請求項10に記載の発明は、請求項9に記載の認証方法において、合言葉格納サーバにより、第1の認証情報と合言葉とを受信して、相互に対応付けてデータベースに格納する合言葉格納ステップをさらに備えたことを特徴とする。
【0022】
請求項11に記載の発明は、請求項9に記載の認証方法においてデータベースは、第3の認証情報を第1の認証情報に関連付けてさらに格納し、第1送信ステップは、第1の認証情報とともに第3の認証情報を送信し、および合言葉送信ステップは、受信した第3の認証情報が第1の認証情報に関連付けられた第3の認証情報と一致したときは、合言葉を送信することを特徴とする。
【0023】
請求項12に記載の発明は、請求項11に記載の認証方法において、合言葉送信ステップは、受信した第3の認証情報が受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、一致しなかった旨を端末に送信することを特徴とする。
【0024】
請求項13に記載の発明は、請求項11に記載の認証方法において、合言葉送信ステップは、受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、合言葉と異なる別の言葉を端末に送信することを特徴とする。
【0025】
請求項14に記載の発明は、請求項11、12または13に記載の認証方法において、合言葉格納サーバにより、第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする。
【0026】
請求項15に記載の発明は、請求項9ないし14のいずれかに記載の認証方法において、端末により、第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力ステップをさらに備え、第1の送信ステップは、選択入力ステップにより合言葉の受信を所望するとの入力があったときは第1の認証情報を送信することを特徴とする。
【0027】
請求項16に記載の発明は、請求項9ないし15のいずれかに記載の認証方法において、第1の認証情報はユーザIDであり、第2の認証情報は暗証であることを特徴とする。
【発明の効果】
【0028】
以上説明したように、本発明によれば、第1の認証情報を入力する入力手段と、第1の認証情報が入力されるとサーバに送信する第1送信手段と、サーバから送信した第1の認証情報に対応する合言葉を受信すると合言葉の内容を報知する報知手段と、第2の認証情報が入力されるとサーバに送信する第2送信手段とを含む端末と、第1の認証情報を受信すると、データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、端末に送信する合言葉送信手段を含むサーバとを備えているので、ユーザがウェブサイトの真偽を容易に確認することができるようになりフィッシング等の詐欺行為を回避することが可能となる。
【発明を実施するための最良の形態】
【0029】
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
【0030】
(第1実施形態)
本実施形態のシステムでは、既に説明した図1に示すインターネットシステムの構成を使用することができる。ただし、データベース104には従来技術で格納されている情報に加え、後述する図5に示す情報が格納されている。なお、利用者PC101は、一般には通常のPCであり、通常はCPU、メモリ等を内蔵した本体にディスプレイ、キーボード等の入出力機器が接続されるよう構成されているが、これに限られずユーザからの入力を受け取り、所定の処理を行ってインターネット等のネットワークを介しサーバと送受信を行って、ユーザに所望の情報やサービスの提供が可能な装置であればいずれの装置を使用することもできる。
【0031】
図9は、本発明の一実施形態のサーバを示すブロック図であり、図1に示した構成のサーバについてさらに詳しく示すものである。利用者PC101は、インターネットに接続され、Webサーバ102を介してAPサーバ103に接続され、種々の情報のやり取りが利用者PC101と、APサーバ103との間で行われる。APサーバ103は、ユーザ認証を行うために必要な種々のモジュールを含み、一般的には顧客データベース920を備えて、種々の関連する機能を実現している。本実施形態のサーバ側の処理は、特に認証処理部910が実行し、認証処理部910はさらに合言葉探索部911および合言葉送信部912を備え、後述するように利用者PC101から送信されるユーザIDと合言葉暗証とにより合言葉を探索、確認して合言葉を送信する。ここで、認証処理部910、合言葉探索部911および合言葉送信部912は、本実施形態の処理を実行するための1構成要素であり、一般にはソフトウェアのモジュールとして実装されるが、実際に適用されるシステムでは、これらの機能を他のモジュールにおいて実装することもできるし、1つのモジュールに組み合わせてしまうこともできる。
【0032】
次に、本実施形態の認証システムの処理について図7を参照して説明する。図7は、本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。ユーザがURLを入力等することにより所望のウェブサイトに接続すると、一般にはそのウェブサイトのエントリーページが表示される(S701)。
【0033】
その後、図6に示すようにユーザIDと合言葉暗証を入力するための入力フィールドが表示される(S702)。ここで、合言葉暗証の入力フィールドが表示されるが、これはサーバ側がユーザIDのみで合言葉を送信してしまった場合、フィッシングする者も予めユーザIDを取得しておいて、合言葉を入手できてしまうことを回避するためである。このため、サーバは一定回数以上、誤った合言葉暗証が入力された場合、その合言葉の使用を停止するようにして、保護の強化を図ることもできる。
【0034】
さらに、ユーザの合言葉を取得しようとする意思を確認するため、「合言葉確認」ボタンが表示され、ユーザはこのボタンをクリックすることにより、サーバから登録された合言葉を受信して端末の画面上で確認することができるのである。本実施形態では、図6に示すように通常の「暗証」や「ログイン」も同一画面に表示され合言葉の確認をしなくてもログインすることができるが、これらを表示せず必ず合言葉を確認させるようにすることもできる。
【0035】
ここで、合言葉とは、一般にはユーザがそれを見るとある程度確実に思い出すことができる言葉であり、文章や単語とすることができるが、これに限られず端末の画面に表示することができる何らかの記号をはじめとする情報とすることもできる。したがって、本実施形態の合言葉は、いずれの表現を用いたとしても、暗証のように全く同じものでなければならないわけではなく、一定の範囲で同一性が確認できれば良いような種類の表現なのである。さらに、合言葉は、表示に限らず音声やその他ユーザが確かに正規のウェブサイトであると確信することができる何らかの報知とすることもできる。合言葉は一般には、後述する合言葉登録処理において、予め登録しておく。
【0036】
また、システムによっては、ユーザID、暗証を設定するときに合言葉も登録するようにすることができる。また、合言葉暗証も上述の合言葉のようにそれ自体制限はないが、一般には通常の暗証と同様に4桁〜8桁の数字が使用される。
【0037】
図7に戻ると、利用者端末101は上述の「合言葉確認」ボタンがクリックされるのを待機して(S703)、クリックされた場合はウェブサイトにログインするに当たりユーザが合言葉を確認する意思があるものと判断して、入力されたデータをサーバに送信する(S704)。Webサーバ102を介してAPサーバ103の合言葉探索部911は、受信した合言葉暗証と、データベース104から読み出した合言葉暗証とを照合する。照合した結果、一致した場合は正当なユーザから合言葉の送信の依頼があったものとして、APサーバ103の合言葉送信部912は、登録されている合言葉を読み出して利用者端末101に送信する。
【0038】
また、合言葉探索部911において、照合した結果一致しなかった場合、正当なユーザではないと考えられるため、合言葉送信部912は合言葉暗証が一致しない旨利用者端末101に送信する。
【0039】
利用者端末101は、APサーバ103等から受信した合言葉を、例えば図8に示すように画面上に表示する(S705)。一方、合言葉暗証に一致しない(または未登録である)旨を受信した場合は、エラー表示する。ここで、再度入力画面を表示して、合言葉暗証を入力し直すようにすることもできる。この場合、他の識別情報も改めて入力させてセキュリティを向上させることもできる。
【0040】
さらに、本実施形態では、合言葉暗証が誤っていた場合、その旨合言葉送信部912が送信するようにして、ユーザが確認することができるようにしているが、エラーに替えて、登録されている合言葉とは異なる合言葉を送信するようにすることもできる。
【0041】
合言葉を受信して表示した結果、ユーザがこれを確認して登録した合言葉であると一定の確実性で認識できれば、現時点でアクセスしているウェブサイトは正規のものであると確認できるので、通常の認証処理に進むことができる(S710以降)。これは、本実施形態の合言葉を用いた確認という処理自体がセキュリティを補償するものであり、合言葉自身が正確に一致するかどうかをユーザ側で確認する必要はないからである。
【0042】
ここで、図示しないが、表示された合言葉がユーザの記憶にあるものとかけ離れている場合は、現時点でアクセスしているウェブサイトは偽のウェブサイトであるとしても問題ないから、ユーザはアクセスを中断し、あるいは別のウェブサイトに直ちにアクセスし直すようにする。
【0043】
ステップS710以降の認証処理は基本的に従来の認証方法であるが、まずステップS710では、図8に示すような画面の「暗証」フィールドに暗証データを入力してログイン処理へと進む。ここで、本実施形態では改めてユーザIDを入力させないが、これに限られず、例えば再度ユーザIDから入力させるようにすることもできる。
【0044】
図8に示すように、データの入力フィールドとともに「ログイン」等のボタンが表示されているが、これはユーザが受信した合言葉が正しいものであり、「ログイン」ボタンをクリックして、入力した暗証で現在接続されているサーバにおける認証処理を希望するとの意思を示すためのものである。
【0045】
次に、「ログインボタン」がクリックされるのを待機して(S303)クリックされると、データフィールドに入力されたデータをサーバに送信する(S304)。ここでは、詳細には説明しないが、送信された入力データに基づきAPサーバ103において、ユーザIDと暗証とを照合して認証が成功すれば情報やサービスを提供するための次の処理に進み、データが送信される。失敗した場合、その旨利用者端末101に送信される。
【0046】
利用者端末101は、ユーザの認証に成功した旨受信すると(S305)、その後Webサーバから受信した画面を表示する(S306)が、認証に失敗した場合は、通常、エラーを表示してユーザに報知する(S307)。
【0047】
以上説明したように、本実施形態によればユーザは予め登録した合言葉によりログインしようとするウェブサイトが正規のウェブサイトであるか否かを判断することができ、偽のウェブサイトに秘密の識別情報を入力して詐取されてしまうことを回避することができる。
【0048】
(第2実施形態)
本実施形態においても、第1実施形態と同様図1のインターネットシステムを使用するが、これに限られることなく種々のシステムを使用することができる。
【0049】
上述の第1実施形態では、予め合言葉が登録されている場合に合言葉を用いてユーザがウェブサイトの真偽を判断するものであったが、本実施形態のシステムは、合言葉の登録を行なうためのものである。以下図面を参照して本実施形態の登録システムについて説明する。
【0050】
図11は、本実施形態のシステムの処理の一例を示すフローチャートである。所望のウェブサイトにアクセスし、Webサーバ102を介してAPサーバ103から合言葉登録画面を取得すると(S1101)、図10に示すような合言葉および合言葉暗証を入力するフィールドを表示する(S1102)。ここで、合言葉暗証を再度入力するようにして、誤登録を回避するようにしても良い。ユーザが適切な合言葉を考えて合言葉暗証とともに入力し「登録」ボタンがクリックされるのを待機する(S1103)。「登録」がクリックされると、利用者端末101は入力されたデータをAPサーバ103に送信する(S1104)。
【0051】
APサーバ103では、図示しないが、送信されたデータをデータベース104に格納して、例えば図5に示すようなテーブルとして管理を行なう。
【0052】
以上の処理を行うことによって、合言葉を合言葉暗証とともに登録することができ、これにより第1実施形態のシステムの使用が可能となる。
【図面の簡単な説明】
【0053】
【図1】情報やサービスを提供するインターネットシステムを一般化したブロック図である。
【図2】従来技術のインターネットシステムで設定された識別情報の一例を示す図である。
【図3】従来の認証方法の端末側の処理の一例を示すフローチャートである。
【図4】画面の一例を示す図である。
【図5】本発明の一実施形態のユーザデータ各の領域の一例を示す図である。
【図6】本発明の一実施形態の画面の一例を示す図である。
【図7】本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。
【図8】本発明の一実施形態の画面の一例を示す図である。
【図9】本発明の一実施形態のサーバを示すブロック図である。
【図10】本発明の一実施形態の画面の一例を示す図である。
【図11】本発明の一実施形態の認証システムの端末側処理を示すフローチャートである。
【符号の説明】
【0054】
101 利用者PC
102 Webサーバ
103 APサーバ
104 データベース
401 Webサーバ
402 データベース
901 顧客
910 認証処理部
911 合言葉探索部
912 合言葉送信部
920 顧客データベース
【特許請求の範囲】
【請求項1】
第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、該端末から送信された前記ユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムであって、
予め所定の合言葉を前記第1の認証情報に対応付けて格納したデータベースを備え、
前記端末は、前記第1の認証情報を入力する入力手段と、前記第1の認証情報が入力されると前記サーバに送信する第1送信手段と、前記サーバから当該送信した第1の認証情報に対応する合言葉を受信すると該合言葉の内容を報知する報知手段と、前記第2の認証情報が入力されると前記サーバに送信する第2送信手段とを含み、
前記サーバは、前記第1の認証情報を受信すると、前記データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、前記端末に送信する合言葉送信手段を含むことを特徴とする認証システム。
【請求項2】
前記第1の認証情報と合言葉とを受信して、相互に対応付けて前記データベースに格納する合言葉格納サーバをさらに備えたことを特徴とする請求項1に記載の認証システム。
【請求項3】
前記データベースは、第3の認証情報を前記第1の認証情報に関連付けてさらに格納し、
前記第1送信手段は、前記第1の認証情報とともに前記第3の認証情報を送信し、および
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致したときは、前記合言葉を前記端末に送信することを特徴とする請求項1に記載の認証システム。
【請求項4】
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、該一致しなかった旨を前記端末に送信することを特徴とする請求項3に記載の認証システム。
【請求項5】
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、前記合言葉と異なる別の言葉を前記端末に送信することを特徴とする請求項3に記載の認証システム。
【請求項6】
前記第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納サーバをさらに備えたことを特徴とする請求項3、4または5に記載の認証システム。
【請求項7】
前記端末は、前記第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力手段をさらに含み、
前記第1の送信手段は、前記選択入力手段により合言葉の受信を所望するとの入力があったときは前記第1の認証情報を送信することを特徴とする請求項1ないし6のいずれかに記載の認証システム。
【請求項8】
前記第1の認証情報はユーザIDであり、前記第2の認証情報は暗証であることを特徴とする請求項1ないし7のいずれかに記載の認証システム。
【請求項9】
第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、該端末から送信された前記ユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムにおいてユーザ認証を行なう認証方法であって、
前記端末により、
前記第1の認証情報を入力する入力ステップと、
前記第1の認証情報が入力されると前記サーバに送信する第1送信ステップと、
前記サーバから当該送信した第1の認証情報に対応する合言葉を受信すると該合言葉の内容を報知する報知ステップと、
前記第2の認証情報が入力されると前記サーバに送信する第2送信ステップと、
前記サーバにより、
前記第1の認証情報を受信すると、予め所定の合言葉を前記第1の認証情報に対応付けて格納したデータベースから前記第1の認証情報に対応する合言葉を読み出して、前記端末に送信する合言葉送信ステップと
を備えたことを特徴とする認証方法。
【請求項10】
合言葉格納サーバにより、前記第1の認証情報と合言葉とを受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする請求項9に記載の認証方法。
【請求項11】
前記データベースは、第3の認証情報を前記第1の認証情報に関連付けてさらに格納し、
前記第1送信ステップは、前記第1の認証情報とともに前記第3の認証情報を送信し、および
前記合言葉送信ステップは、前記受信した第3の認証情報が前記第1の認証情報に関連付けられた第3の認証情報と一致したときは、前記合言葉を送信することを特徴とする請求項7に記載の認証方法。
【請求項12】
前記合言葉送信ステップは、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、該一致しなかった旨を前記端末に送信することを特徴とする請求項11に記載の認証方法。
【請求項13】
前記合言葉送信ステップは、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、前記合言葉と異なる別の言葉を前記端末に送信することを特徴とする請求項11に記載の認証方法。
【請求項14】
合言葉格納サーバにより、前記第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする請求項11、12または13に記載の認証方法。
【請求項15】
前記端末により、前記第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力ステップをさらに備え、
前記第1の送信ステップは、前記選択入力ステップにより合言葉の受信を所望するとの入力があったときは前記第1の認証情報を送信することを特徴とする請求項9ないし14のいずれかに記載の認証方法。
【請求項16】
前記第1の認証情報はユーザIDであり、前記第2の認証情報は暗証であることを特徴とする請求項9ないし15のいずれかに記載の認証方法。
【請求項1】
第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、該端末から送信された前記ユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムであって、
予め所定の合言葉を前記第1の認証情報に対応付けて格納したデータベースを備え、
前記端末は、前記第1の認証情報を入力する入力手段と、前記第1の認証情報が入力されると前記サーバに送信する第1送信手段と、前記サーバから当該送信した第1の認証情報に対応する合言葉を受信すると該合言葉の内容を報知する報知手段と、前記第2の認証情報が入力されると前記サーバに送信する第2送信手段とを含み、
前記サーバは、前記第1の認証情報を受信すると、前記データベースから予め登録された第1の認証情報に対応する合言葉を読み出して、前記端末に送信する合言葉送信手段を含むことを特徴とする認証システム。
【請求項2】
前記第1の認証情報と合言葉とを受信して、相互に対応付けて前記データベースに格納する合言葉格納サーバをさらに備えたことを特徴とする請求項1に記載の認証システム。
【請求項3】
前記データベースは、第3の認証情報を前記第1の認証情報に関連付けてさらに格納し、
前記第1送信手段は、前記第1の認証情報とともに前記第3の認証情報を送信し、および
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致したときは、前記合言葉を前記端末に送信することを特徴とする請求項1に記載の認証システム。
【請求項4】
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、該一致しなかった旨を前記端末に送信することを特徴とする請求項3に記載の認証システム。
【請求項5】
前記合言葉送信手段は、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、前記合言葉と異なる別の言葉を前記端末に送信することを特徴とする請求項3に記載の認証システム。
【請求項6】
前記第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納サーバをさらに備えたことを特徴とする請求項3、4または5に記載の認証システム。
【請求項7】
前記端末は、前記第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力手段をさらに含み、
前記第1の送信手段は、前記選択入力手段により合言葉の受信を所望するとの入力があったときは前記第1の認証情報を送信することを特徴とする請求項1ないし6のいずれかに記載の認証システム。
【請求項8】
前記第1の認証情報はユーザIDであり、前記第2の認証情報は暗証であることを特徴とする請求項1ないし7のいずれかに記載の認証システム。
【請求項9】
第1の認証情報と第2の認証情報とを含むユーザ認証情報を送信する端末と、該端末から送信された前記ユーザ認証情報により認証を行って所定のサービスを提供するサーバとを備えた認証システムにおいてユーザ認証を行なう認証方法であって、
前記端末により、
前記第1の認証情報を入力する入力ステップと、
前記第1の認証情報が入力されると前記サーバに送信する第1送信ステップと、
前記サーバから当該送信した第1の認証情報に対応する合言葉を受信すると該合言葉の内容を報知する報知ステップと、
前記第2の認証情報が入力されると前記サーバに送信する第2送信ステップと、
前記サーバにより、
前記第1の認証情報を受信すると、予め所定の合言葉を前記第1の認証情報に対応付けて格納したデータベースから前記第1の認証情報に対応する合言葉を読み出して、前記端末に送信する合言葉送信ステップと
を備えたことを特徴とする認証方法。
【請求項10】
合言葉格納サーバにより、前記第1の認証情報と合言葉とを受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする請求項9に記載の認証方法。
【請求項11】
前記データベースは、第3の認証情報を前記第1の認証情報に関連付けてさらに格納し、
前記第1送信ステップは、前記第1の認証情報とともに前記第3の認証情報を送信し、および
前記合言葉送信ステップは、前記受信した第3の認証情報が前記第1の認証情報に関連付けられた第3の認証情報と一致したときは、前記合言葉を送信することを特徴とする請求項7に記載の認証方法。
【請求項12】
前記合言葉送信ステップは、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、該一致しなかった旨を前記端末に送信することを特徴とする請求項11に記載の認証方法。
【請求項13】
前記合言葉送信ステップは、前記受信した第3の認証情報が前記受信した第1の認証情報に関連付けられた第3の認証情報と一致しなかったときは、前記合言葉と異なる別の言葉を前記端末に送信することを特徴とする請求項11に記載の認証方法。
【請求項14】
合言葉格納サーバにより、前記第1の認証情報、第3の認証情報、および合言葉を受信して、相互に対応付けて前記データベースに格納する合言葉格納ステップをさらに備えたことを特徴とする請求項11、12または13に記載の認証方法。
【請求項15】
前記端末により、前記第1の認証情報の入力を受け取る際にユーザが合言葉の受信を所望するか否かの選択を表示して結果の入力を受け取る選択入力ステップをさらに備え、
前記第1の送信ステップは、前記選択入力ステップにより合言葉の受信を所望するとの入力があったときは前記第1の認証情報を送信することを特徴とする請求項9ないし14のいずれかに記載の認証方法。
【請求項16】
前記第1の認証情報はユーザIDであり、前記第2の認証情報は暗証であることを特徴とする請求項9ないし15のいずれかに記載の認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−11756(P2007−11756A)
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願番号】特願2005−192699(P2005−192699)
【出願日】平成17年6月30日(2005.6.30)
【出願人】(397077955)株式会社三井住友銀行 (120)
【Fターム(参考)】
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願日】平成17年6月30日(2005.6.30)
【出願人】(397077955)株式会社三井住友銀行 (120)
【Fターム(参考)】
[ Back to top ]