認証管理方法及びシステム
【課題】認証方式および認証に使用する個人認証情報を適用する範囲を、各アプリケーション単位ではなく、各アプリケーションが管理する各サービスに対応した識別データのグループ単位で設定し、また異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行う。
【解決手段】利用者がICカードを用いて、複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定し、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する。照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、特定された認証アプリケーションを実行して利用者の認証を行なう。この認証の結果、成功した場合、選択されたサービスアプリケーションを実行してサービスの提供を許可する。
【解決手段】利用者がICカードを用いて、複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定し、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する。照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、特定された認証アプリケーションを実行して利用者の認証を行なう。この認証の結果、成功した場合、選択されたサービスアプリケーションを実行してサービスの提供を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証管理方法及びシステムに係り、特に利用者本人の認証機能を搭載するICカードのような媒体を用いて、利用するサービスに応じた複数のアプリケーションの下で本人認証を行なう本人認証管理方法及びシステムに関するものである。
【背景技術】
【0002】
近年、金融や交通、公共、医療、電子商取引等の各サービスにおいて、利用者本人の認証機能を備えたICカードを用いて利用者の認証を行い、正当な本人にのみサービスを提供することが行なわれている。複数のサービスを受ける場合、現状では、利用者は各サービスに対応したICカードを複数枚所持しなければならず、所持上の安全性や利便性の点から好ましいとはいえない状況であった。そこで、1枚のICカード内に複数のサービスに対応した複数のアプリケーションを持たせることことが提唱され、利便性の向上が図られてきている。
【0003】
現状では、ICカードは個人情報の取り扱いや金銭取引を伴うサービスで使用されることが多く、個人情報の流出や不正使用を防止するためにも、より高いセキュリティレベルを求められている。セキュリティレベル向上の対策としては、ICカード内の他アプリケーションからのアクセスによる情報漏洩を防ぐためにOS(オペレーティングシステム)の仕様としてICカード内アプリケーション間にファイヤーウォールを設けて相互連携を制限する方法や、サービスの利用前に本人しか持ち得ない情報をもとに本人認証を行う等の方法が提唱されている。また、本人の認証方式としても、従来のPINやパスワードの他に、より高度な認証として、音声、指紋、指静脈、網膜などの生体情報を用いた認証方式が考案され、一部では実用化されている。
前記のように媒体には利便性と、セキュリティ性の両面において品質を向上する仕組みが要求されつつある。
【0004】
ICカードを用いた取引に関しては、例えば、特許文献1(特開2001−243350号公報)には、1枚のICカードに搭載される1つのアプリケーションで例えば銀行取引に用いる口座情報のような複数の条件にそれぞれ対応した条件識別データを管理し、条件識別データの中から選び出した代表口座で認証を行うことにより、保有する複数条件に関しても取引を許可するシステムが開示されている。
【0005】
また、特許文献2(特開2002−298097号公報)には、ICカードに搭載された各アプリケーションに対する本人認証方式および例えばパスワードや指紋のような本人認証情報を、各サービスに対応したアプリケーションとは別に共通モジュールとしてICカードに設けて、ICカード内で連携をとり、或るサービス利用の際に、該サービスに対応するアプリケーションに採用される本人認証方式で認証を済ませることにより、同一の本人認証方式を採用する他のサービスに関しても本人認証を省略して連続利用することができるシステムが開示されている。
【0006】
【特許文献1】特開2001−243350号公報
【特許文献2】特開2002−298097号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記特許文献1および2に開示された技術によれば、1つのアプリケーションに対して1種類の本人認証方式が固定されているので、例えば銀行取引の口座情報のような取扱い内容が異なってくるサービスに対して柔軟に本人認証方式を使い分けることができない。また、特許文献2のように、ICカード共通の認証モジュールを用いる場合、認証モジュールが保持する個人認証情報は各認証方式に対してそれぞれ1つのみであり、異なる個人認証情報を用いて同一の認証方式を行う場合は想定されておらず、例えばクレジットカードサービスでは右手中指、キャッシュカードサービスでは左手人差し指のように異なる個人認証情報をそれぞれ用いた指静脈認証方式を同一のモジュールで行うことはできない。
【0008】
そのため、従来の技術では、個人認証情報が異なる以外は処理が重複しているアプリケーションをその認証アプリケーションとは別に用意する必要があり、非効率的である。
【0009】
本発明の目的は、認証方式および認証に使用する個人認証情報を適用する範囲を、アプリケーションが管理する各サービスに対応した識別データのグループ単位で設定することができ、また異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる認証管理方法及びシステムを提供することにある。
【課題を解決するための手段】
【0010】
本発明に係る認証管理システムは、好ましくは、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、媒体又はサービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶しておき、
媒体又はサービス提供装置が有するCPUの実行によって、利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定する手段と、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する手段と、照合手段による照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、特定された認証アプリケーションを実行して利用者の認証を行なう認証手段と、を実現し、認証手段による利用者の認証の結果、成功した場合、選択されたサービスアプリケーションを実行してサービスの提供を許可する認証管理システムとして構成される。
【0011】
好ましい例では、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、ICカードのような媒体は、情報を記憶するメモリ及び情報処理するCPUを含む制御部を有し、メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、制御部は、サービスアプリケーションと認証アプリケーションを実行し、
サービス提供装置は、少なくとも1つのサービスアプリケーションを保持して実行し、かつ、媒体の認証アプリケーションと連携して利用者の認証を行なう認証管理システムである。
【0012】
本発明に係る認証管理方法は、好ましくは、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおける利用者本人の認証管理方法において、媒体又はサービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶して用意するステップと、
利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定するステップと、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合するステップと、照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定するステップと、認証アプリケーションによる利用者の認証が成功した場合、選択されたサービスアプリケーションのサービスの提供を許可するステップとを有する認証管理方法である。
好ましい例では、利用者の認証に成功した場合、認証に用いた代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
また、好ましくは、利用者の認証に成功した場合、認証に用いた個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
また、好ましくは、利用者の認証に成功した場合、認証アプリケーションに所有される1又は複数の個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
【発明の効果】
【0013】
本発明によれば、本人認証方式および認証に使用する個人認証情報を適用する範囲を、サービスに対応したアプリケーション単位ではなく、各サービスの管理する各条件に対応した識別データのグループ単位で設定することができる。また、代表識別データをキーとして個人認証に使用する認証アプリケーションおよび認証アプリケーションが保持する個人認証情報を特定することができるため、異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して本発明の実施形態を詳細に説明する。
この例は、共通のICカードを用いて本人認証を行ない、複数の異なる装置からサービスの提供を受けることができるシステムについて説明するものである。サービスを提供する1つの装置は、図1に示すキャッシュカードサービスを行なう端末100であり、他の1つは図8に示す住民票の発行サービスを行なう装置である。なお、この端末100及び住民票発行システム及びそれらに使用されるICカードを含めて本人認証管理システムと言うことにする。
【0015】
まず、図1に示すキャッシュカードサービスを行なう端末のシステムの構成例について説明する。
このシステムにおいて、端末100はサービスを提供する装置、例えば銀行における自動預貯金装置(ATM)であり、ICカードR/W部210、表示装置220、入力装置230、認証情報入力装置240を構成ユニットとして有する。ここで、ICカードR/W部210はICカードと通信してその内容を読取り、書き込む。表示装置220は、利用者が必要とする情報や指示を表示する液晶ディスプレイ等の表示機器である。入力装置230は、利用者がサービスの提供を受けるときに必要な情報や指示を入力する。ATMの場合、表示装置220と入力装置230が一体化されたタッチ入力式の表示・入力装置が用いられる。
認証情報入力装置240は、パスワードによる認証の場合には入力キーであり、また指静脈認証のような生体情報の認証の場合には静脈読取装置である。なお、パスワード認証のみの場合には、認証情報入力装置240を省略して入力装置230を用いてもよい。
【0016】
また、端末100はその内部に、プログラムを実行するCPU110、プログラム及びデータを記憶するメモリ120、及びハードディスク130を有する。ハードディスク130には、アプリケーション131としてキャッシュカードサービスのアプリケーション、及び本実施例に特徴的な本人認証管理のための代表データ・認証方式対応リスト400が保持される。
【0017】
上記代表識別データ・認証情報対応リスト400の構成について、図3を参照して説明する。
代表識別データ・認証方式対応リストA400は、サービスを提供する端末100において用いられる認証方式識別データと認証アプリケーションの対を登録する。図示の例では、指静脈認証と暗証番号認証の2種の認証が使用される。そのために、識別データ510を指定された特定条件1、及びキャッシュサービスアプリケーション321を指定された特定条件2により特定される認証方式を保有する認証アプリケーションの識別データ410と、識別データ530を指定された特定条件1により特定された認証方式を保有する認証アプリケーションの識別データ420を有する。
なおここで、指静脈認証アプリケーション410に使用される特定条件1,2は1つでもよく、また3つ以上でもよい。
【0018】
次に、図8に示す住民票発行システムについて説明する。
このシステムにおいて、住民票を登録して管理するサーバ1100は、プログラムを実行するCPU1110、プログラム及びデータを記憶するメモリ1120、及びハードディスク1130を有する。ハードディスク130には、住民票発行サービスのアプリケーション1131、及び本人認証管理のための代表データ・認証方式対応リストB900が保持される。
【0019】
サーバ1100は、利用者が住民票を申請して取得するための操作端末1200を有し、更に、ICカードR/W部1210、表示装置1220、入力装置1230、認証情報入力装置1240等の各構成ユニットを有する。これら各ユニット1210〜1240は、図1に示すユニットと同様の構成であるので、それらの説明は省略する。
【0020】
次に、図9を参照して、代表識別データ・認証情報対応リストB900について説明する。
代表識別データ・認証方式対応リストB900は、上述した代表識別データ・認証方式対応リストA400と同様に、住民票発行サービスおいて用いられる認証方式識別データと認証アプリケーションの対を登録する。図示の例では、指静脈認証と暗証番号認証の2種の認証が使用される。第1の認証方式識別と指静脈認証アプリケーション410の対に関しては、識別データ1011を指定された特定条件1、及び転出届発行サービスアプリケーションを指定された特定条件2が登録される。また、第2の認証方式識別と暗証番号認証アプリケーション420の対では特定条件1と2が登録される。
【0021】
次に、図2を参照して、ICカードの構成について説明する。
ICカード300は、CPUを持つ制御部310とメモリ320を有して構成される。CPUはICカードに保持されるプログラムを実行する。メモリ320は、本実施例に特徴的なアプリケーションプログラム及びデータを保持する。
すなわち、このICカードが利用できる端末100に保持されるサービスアプリケーション(図1のキャッシュカードサービスアプリケーション131、及び図8の住民票発行サービスアプリケーション1131)に対応して、キャッシュカードサービスアプリケーション321及び住民票サービスアプリケーション322、及びそれらのアプリケーションに対応して、認証識別データのリストA500、B1000を保持する。また、本人認証のためのアプリケーションとして指静脈認証アプリケーション410及び暗証番号認証アプリケーション420、及びそれらのアプリケーションに対応して、代表識別データ・認証情報対応リストA610、B620を保持する。
【0022】
なお、このICカードが利用できるサービスのアプリケーションをさらに増やす場合には、それらのサービスに対応してより多くのサービスアプリケーションを保持し、また、更に多くの認証方式に対応するために、認証アプリケーション410,420と同様にして、関連する認証方式のアプリケーションを追加して保持するようにすればよい。
【0023】
次に、ICカード内に保持されるサービスアプリケーション321、322に使用されるリストの構成(図4、図10)、及び認証アプリケーション410、420に使用される代表識別データ・認証情報対応リスト(図5)について説明する。
【0024】
図4を参照するに、識別データリスト500は、使用され得る識別データをグループ分けして、それらのグループに属する識別データとそのグループから選択された代表識別データを登録する。図示の例では、2つのグループA、Bから成り、Aグループは、代表識別データ510および代表識別データ510に所属する識別データa521、識別データb522、識別データc523から成る所属識別データ520から構成される。また、Bグループは、代表識別データ530および代表識別データ530に所属する識別データd541、識別データe542から成る所属識別データ540から構成される。図示の、「11111」〜「12222」等々は識別データであり、例えば、Aグループでは3種ある識別データの中から「11111」が代表データとして登録され、Bグループでは「12221」が代表識別データとして登録されている。
また、図10に示すように、住民票発行サービスアプリケーション322に使用される識別データリスト1000は、1つの代表データ1010として、住民票コード1011を登録する。
【0025】
次に、ICカード内の認証アプリケーション410、420に使用される代表識別データ・認証情報対応リスト610,620の構成について説明する。
図5(A)に示すように、代表識別データ・認証情報対応リスト610は、認証アプリケーション410に所有されるものであり、指静脈情報a611および指静脈情報a611に関連付けられた認証側代表識別データ612として代表口座番号を登録し、また指静脈情報b613および認証側代表識別データ614として住民票コードを登録する。
また、図5(B)に示すように、代表識別データ・認証情報対応リスト620は、暗証番号c621およびそれに関連付けられた認証側代表識別データとして代表口座番号622、及び図書館利用者ID623を登録する。
【0026】
図6は、表示装置220に表示される画面例を示す。
画面701は、ICカードR/W部210へのカード挿入を促す画面例である。挿入するのとは異なった、カードをかざす、置く等の形態の場合には、各形態に則したメッセージとなる。
画面702は、ICカードから読み取った識別データリスト500を元にして端末100の利用者に対する選択メニューを提示する画面例である。なお、本実施例では識別データをそのままメニューとして表示しているが、画面に表示するメニューは識別データをそのまま表示する必要はなく、識別データに関連付けられた文言等で表現してもよい。読み取った識別データリスト500の情報を全て表示する必要もなく、代表識別データに関連付けて分けられたグループA,Bごとに、代表識別データを元に大項目、所属識別データを小項目に画面を分けて表示する等、使用目的に合わせて表示形態や表示/非表示を変えてもよい。
【0027】
画面703はメニュー選択画面702にて認証方式Aに関連付けられた識別データa〜eからいずれかを選択した場合に表示される画面例である。
画面704はメニュー選択画面702にて認証方式Bに関連付けられた識別データd、識別データeのいずれかを選択した場合に表示される画面例である。画面詳細は画面703にて但し書きした条件と同等である。
画面705は、各認証方式による認証が成功した場合に表示される画面例である。本実施例では、本画面が表示されてより一定時間表示し続け、自動的に取引画面へ遷移するものを想定している。
【0028】
次に、認証管理の動作について説明する。
本実施例では、共通のICカードを使用して、図1の端末100を利用したキャッシュカードサービスを受けるとき、及び図8の住民票発行サービスを受けるときの2つの場合の認証管理がある。
まず、図7のフローチャートを参照して、端末100を利用する場合の認証管理の動作について説明する。
【0029】
端末100のCPU110は、ハードディスク130上の端末アプリケーション131を起動し、表示装置220に画面701を表示して、ICカードR/W210にICカード300を挿入するように利用者に促す(ステップ801)。CPU110は、ICカード300が挿入されたことを確認したら(ステップ802)、ICカード300がメモリ320に保持しているアプリケーションの中(図2の#321,322)から、端末100のアプリケーション131に対応するキャッシュカードサービスアプリケーション321を選択する。そして、ICカード300の制御部310に対してメモリ320に保持されているキャッシュカードサービスアプリケーション321の保有する端末アプリケーション131が取扱うサービスの各条件に対応する識別データリストを要求する(ステップ804)。
【0030】
本例では、ICカード300のメモリ320に保持されているアプリケーションの選択は、CPU110がハードディスク130に保持している端末アプリケーション131を実行することによって自動的に選択されることとする。しかし、他の例では、端末100の利用者が入力装置230を用いてICカード300が保持するアプリケーションの選択を行うようにしても良い。
【0031】
ICカード300の制御部310は、前記識別データリストの要求を受け取ると、メモリ320に保持しているキャッシュカードサービスアプリケーション321の所有する識別データリスト500を読み出し、端末100へ送信する(ステップ805)。CPU110は、識別データリスト500を受信してメモリ120に記憶する(ステップ806)。そして、その識別データリスト500を元に表示装置220に画面702を表示して端末100の利用者に対して取扱うサービスの条件に対応した識別データの選択を促す(ステップ807)。CPU110は端末100の入力装置230を用いて端末100の利用者が選択した識別データa521(即ち「11111」)を取得してメモリ120に記憶する(ステップ809)。そして、メモリ120に記憶している識別データリスト500を参照、検索し、所属識別データ520に識別データa521が存在することを確認すると、代表識別データとして代表識別データ510を決定してメモリ120に記憶する(ステップ810)。
【0032】
なお、本例では、端末100のCPU110が端末100の利用者に対し入力装置230を使用して取扱うサービスの条件に対応した識別データを選択するよう促しているが、CPU110が端末100のハードディスク130の保持する端末アプリケーション131の設定を元に識別データを自動的に選択するようにしても良い。
【0033】
次に、CPU110は、ハードディスク130に保持する代表識別データ・認証方式対応リスト400を参照し、メモリ120に記憶している代表識別データa510(即ち「11111」)とリスト上の特定条件1と代表識別データ611および特定条件2と取り扱い中のサービスアプリケーションAが一致することを確認し、認証アプリケーション410を使用して本人認証を行うことを決定し、メモリ120に記憶する(ステップ811)。
なお、本例では、代表識別データ・認証方式対応リスト400は、端末100のハードディスク400に保持しているが、他の例としては、ICカード300のメモリ320、ICカード300のメモリ320に保持するサービスアプリケーションA321のいずれが保持していても良い。
【0034】
次に、CPU110は端末100のメモリ120に記憶している認証アプリケーションA410の情報を元にICカード300の制御部310に対して、認証アプリケーションA410を用いてメモリ120に記憶している代表識別データ510をキーに個人認証を行うよう依頼する(ステップ812)。
ICカード300の制御部310は、ICカード300のメモリ320が保持する認証アプリケーションA410の所有する代表識別データ・認証情報対応リストA610を参照、検索し、端末100から送信されてきた代表識別データ510とリストに保持している認証側代表識別データ612が一致することを確認し、代表識別データ510をメモリ320に記憶する(ステップ813)。そして、認証アプリケーションAの方式により本人認証を実行し、端末100に対して認証アプリケーションAの方式に則した認証情報を取得するよう要求する(ステップ814)。
このように、個人認証情報を代表識別データに関連付けてICカードの各認証アプリケーションごとに管理することによって個人認証情報の重複保持を抑止するとともに流出の危険性を抑え、なおかつ使用する個人認証情報の指定を行うことができる。
【0035】
端末100のCPU110は、認証情報取得要求を受信すると、表示装置220に画面703を表示し、端末100の利用者に対して、認証情報入力装置240を用いて本人認証情報を入力するよう促す(ステップ815)。CPU110は、認証情報入力装置240より本人認証情報を取得すると(ステップ816)、ICカード300に対して取得した本人認証情報を送信する(ステップ817)。なお、本実施例では、取得した本人認証情報の端末100側での取り扱いについては図示を省略しているが、個人情報漏洩を防止するためにもICカード300へ本人認証情報送信後にメモリから消去することが望ましいであろう。
【0036】
ICカード300の制御部310は、メモリ320に記憶していた代表識別データ510を元に代表識別データ・認証情報対応リストA610を参照して代表識別データ510と一致するリスト610上の代表識別データ612に付随する認証情報a611を使用することを決定し、認証情報a611と、端末100から送信されてきた本人認証情報が一致するかを確認する(ステップ818)。その結果、一致すれば、端末100に対して認証成功を通知する(ステップ819)。
【0037】
端末100のCPU110は、ICカード300からの認証成功通知を受信すると、表示装置220に画面705を一定時間表示し(ステップ820)、メモリ120に記憶している代表識別データ510、端末100の利用者が選択した識別データa521、および識別データリスト500を元に代表識別データ510に付随する所属識別データ520に関する条件のサービス利用を許可してメモリ120に記憶し(ステップ821)、端末100の利用者が選択した識別データa521に関する条件のサービスを開始する(ステップ822)。
【0038】
本実施例では、本人認証が得られたときのサービス条件の許可範囲は同一グループに対してのものであるが、これは端末100の利用者が選択したサービス条件のみや識別データリスト500の保有する全サービス条件等へ利用目的に則して変更することも可能とする。
なお、本実施例では認証失敗、不正ICカード使用等の異常系処理については記述を省略しているが、これらの場合には個人情報を即座に削除して手続きを終了することが望ましいであろう。
【0039】
次に、図11のフローチャートを参照し、利用者が同じICカードを用いて住民票発行サービスを受ける場合の動作について説明する。なお、図8のシステム図、及び図2のICカードの構成図、図9,10等も参照することもある。
上述した端末100におけるサービスの動作と比べて、図9の代表識別データ・認証方式対応リストB、及び図10の識別データリストの構成が異なるが、基本的な動作は同じである。以下、一応説明する。
【0040】
サーバ1100のCPU1110は、ハードディスク1130上の端末アプリケーション1131を起動し、表示装置1220に画面701を表示して、ICカードR/W1210にICカード300を挿入するように利用者に促す(ステップ1301)。CPU1110は、ICカード300が挿入されたことを確認したら(ステップ1302)、ICカード300がメモリ320に保持しているアプリケーションの中(図2の#321,322)から、サーバ1100のアプリケーション1131に対応する住民票発行サービスアプリケーション322を選択する。そして、ICカード300の制御部310に対してメモリ320に保持されている住民票発行サービスアプリケーション322の保有するアプリケーション131が取扱うサービスの各条件に対応する識別データリストを要求する(ステップ1304)。
【0041】
ICカード300の制御部310は、前記識別データリストの要求を受け取ると、メモリ320に保持している住民票発行サービスアプリケーション322の所有する識別データリス1000を読み出し、サーバ1100へ送信する(ステップ1305)。CPU1110は、識別データリスト1000を受信してメモリ1120に記憶する(ステップ1306)。そして、その識別データリスト1000を元に表示装置1220に画面702(なお、表示される識別データは異なる)を表示してサーバ1100の利用者に対して取扱うサービスの条件に対応した識別データの選択を促す(ステップ1307)。そして利用者に対して入力装置1230より住民票コード1011を選択させると(ステップ1308)、CPU1110は利用者が選択した住民票コード1011(即ち「123456」)を取得してメモリ1120に記憶する(ステップ1309)。そして、メモリ1120に記憶している代表識別データ・認証方式リストB900を参照、検索し、指静脈認識方式410を決定して、メモリ1120に記憶する(ステップ1310)。
【0042】
次に、CPU1110は、ハードディスク1130に保持する代表識別データ・認証方式対応リスト900を参照して認証方式を決定して、メモリ1120に記憶している認証アプリケーション410の情報を元にICカード300の制御部310に対して、認証アプリケーション410を用いてメモリ1120に記憶している住民票コード1011をキーに個人認証を行うよう依頼する(ステップ1312)。
【0043】
ICカード300の制御部310は、ICカード300のメモリ320が保持する認証アプリケーション410の所有する代表識別データ・認証情報対応リストB610を参照、検索し、サーバ1100から送信されてきた住民票コード1011とリスト610に保持している認証側代表識別データ614が一致することを確認し、住民票コード1011をメモリ320に記憶する(ステップ1312)。そして、認証アプリケーションAの方式により本人認証を実行し、サーバ1100に対して認証アプリケーションAの方式に則した認証情報を取得するよう要求する(ステップ1313)。
【0044】
サーバ1100のCPU1110は、認証情報取得要求を受信すると、表示装置1220に画面703を表示し、利用者に対して認証情報入力装置1240を用いて本人認証情報を入力するよう促す(ステップ1314)。CPU1110は、認証情報入力装置1240より本人認証情報を取得すると(ステップ1315)、ICカード300に対して取得した本人認証情報を送信する(ステップ1316)。
【0045】
ICカード300の制御部310は、メモリ320に記憶していた識別データリスト1000を元に代表識別データ・認証情報対応リストA610を参照して住民票コード1011よりリスト610の認証情報、即ち指静脈情報b613を決定し、この指静脈情報b613と、サーバ1100から送信されてきた本人認証情報が一致するかを確認する(ステップ1317)、その結果、一致すれば、サーバ1100に対して認証成功を通知する(ステップ1318)。
【0046】
サーバ1100のCPU1110は、ICカード300からの認証成功通知を受信すると、表示装置1220に画面705を一定時間表示し(ステップ1319)、住民票コード1011に関してサービスを開始する(1320)。
【0047】
以上説明したように、本実施例によれば、本人認証方式および認証に使用する個人認証情報を適用する範囲を、各サービスに対応したアプリケーション単位ではなく、各サービスの管理する各条件に対応した識別データのグループ単位で設定することができる。また、代表識別データをキーとして個人認証に使用する認証アプリケーションおよび認証アプリケーションが保持する個人認証情報を特定することができるため、異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる。
【0048】
例えばクレジットカードサービスでは右手中指で、キャッシュカードサービスでは口座1、口座2を左手中指、口座3を左手人差し指のように各条件ごとに異なる個人認証情報をそれぞれ用いて指静脈認証方式を行う場合には、クレジットカードサービスアプリケーション内の代表識別データおよび該代表識別データに関連付けた個人認証情報である右手中指の指静脈情報、キャッシュカードサービスアプリケーション内の口座1、口座2から選出した代表識別データおよび該代表識別データに関連付けた左手中指の指静脈認証情報、代表識別データ口座3および該代表識別データに関連付けられた左手人差し指の指静脈情報を一つの指静脈認証アプリケーションに保持することで対応できる。
【0049】
なお、本発明は上記実施例に限定されることなく、種々変形して実施し得る。例えば、上記実施例では、認証アプリケーションや、認証方式識別データ、代表識別データ等をICカード内に備えた例について述べたが、代替例によれば、これらのプログラムや情報を端末やサーバ等のサービス提供側の装置に具備させることも可能である。
【図面の簡単な説明】
【0050】
【図1】本発明の一実施例によるキャッシュカードサービスを行なう端末システムの構成を示す図。
【図2】一実施例の本人認証管理システムにおいて使用されるICカードの構成例を示す図。
【図3】一実施例の本人認証管理システムにおける使用識別データ・認証方式対応リストの例を示す図。
【図4】一実施例の本人認証管理システムにおける識別データリスト500の例を示す図。
【図5】一実施例の本人認証管理システムにおける代表識別データ・認証情報対応リストの例を示す図。
【図6】一実施例の端末100の表示装置に表示される画面例を示す図。
【図7】一実施例のキャッシュカードサービスにおける本人認証の処理手順を示すフローチャートの例を示す図。
【図8】一実施例における住民票発行システムの構成を示す図。
【図9】一実施例の本人認証管理システムにおける使用識別データ・認証方式対応リスト900の例を示す図。
【図10】一実施例の本人認証管理システムにおける識別データリスト1000の例を示す図。
【図11】一実施例の住民票発行サービスにおける本人認証の処理手順を示すフローチャートの例を示す図。
【符号の説明】
【0051】
100:端末 120:メモリ 130:ハードディスク 110:CPU 210:ICカードR/W部 220:表示装置 230:入力装置 240:認証入力装置 300:ICカード 310:制御部 320:メモリ 321:キャッシュカードサービスアプリケーション 322:住民票発行サービスアプリケーション 400,900:代表識別データ・認証方式対応リスト 410:指静脈認証アプリケーション 420:暗証番号認証アプリケーション 610,620:代表識別データ・承認情報対応リスト 500,1000:識別データリスト
【技術分野】
【0001】
本発明は、認証管理方法及びシステムに係り、特に利用者本人の認証機能を搭載するICカードのような媒体を用いて、利用するサービスに応じた複数のアプリケーションの下で本人認証を行なう本人認証管理方法及びシステムに関するものである。
【背景技術】
【0002】
近年、金融や交通、公共、医療、電子商取引等の各サービスにおいて、利用者本人の認証機能を備えたICカードを用いて利用者の認証を行い、正当な本人にのみサービスを提供することが行なわれている。複数のサービスを受ける場合、現状では、利用者は各サービスに対応したICカードを複数枚所持しなければならず、所持上の安全性や利便性の点から好ましいとはいえない状況であった。そこで、1枚のICカード内に複数のサービスに対応した複数のアプリケーションを持たせることことが提唱され、利便性の向上が図られてきている。
【0003】
現状では、ICカードは個人情報の取り扱いや金銭取引を伴うサービスで使用されることが多く、個人情報の流出や不正使用を防止するためにも、より高いセキュリティレベルを求められている。セキュリティレベル向上の対策としては、ICカード内の他アプリケーションからのアクセスによる情報漏洩を防ぐためにOS(オペレーティングシステム)の仕様としてICカード内アプリケーション間にファイヤーウォールを設けて相互連携を制限する方法や、サービスの利用前に本人しか持ち得ない情報をもとに本人認証を行う等の方法が提唱されている。また、本人の認証方式としても、従来のPINやパスワードの他に、より高度な認証として、音声、指紋、指静脈、網膜などの生体情報を用いた認証方式が考案され、一部では実用化されている。
前記のように媒体には利便性と、セキュリティ性の両面において品質を向上する仕組みが要求されつつある。
【0004】
ICカードを用いた取引に関しては、例えば、特許文献1(特開2001−243350号公報)には、1枚のICカードに搭載される1つのアプリケーションで例えば銀行取引に用いる口座情報のような複数の条件にそれぞれ対応した条件識別データを管理し、条件識別データの中から選び出した代表口座で認証を行うことにより、保有する複数条件に関しても取引を許可するシステムが開示されている。
【0005】
また、特許文献2(特開2002−298097号公報)には、ICカードに搭載された各アプリケーションに対する本人認証方式および例えばパスワードや指紋のような本人認証情報を、各サービスに対応したアプリケーションとは別に共通モジュールとしてICカードに設けて、ICカード内で連携をとり、或るサービス利用の際に、該サービスに対応するアプリケーションに採用される本人認証方式で認証を済ませることにより、同一の本人認証方式を採用する他のサービスに関しても本人認証を省略して連続利用することができるシステムが開示されている。
【0006】
【特許文献1】特開2001−243350号公報
【特許文献2】特開2002−298097号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記特許文献1および2に開示された技術によれば、1つのアプリケーションに対して1種類の本人認証方式が固定されているので、例えば銀行取引の口座情報のような取扱い内容が異なってくるサービスに対して柔軟に本人認証方式を使い分けることができない。また、特許文献2のように、ICカード共通の認証モジュールを用いる場合、認証モジュールが保持する個人認証情報は各認証方式に対してそれぞれ1つのみであり、異なる個人認証情報を用いて同一の認証方式を行う場合は想定されておらず、例えばクレジットカードサービスでは右手中指、キャッシュカードサービスでは左手人差し指のように異なる個人認証情報をそれぞれ用いた指静脈認証方式を同一のモジュールで行うことはできない。
【0008】
そのため、従来の技術では、個人認証情報が異なる以外は処理が重複しているアプリケーションをその認証アプリケーションとは別に用意する必要があり、非効率的である。
【0009】
本発明の目的は、認証方式および認証に使用する個人認証情報を適用する範囲を、アプリケーションが管理する各サービスに対応した識別データのグループ単位で設定することができ、また異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる認証管理方法及びシステムを提供することにある。
【課題を解決するための手段】
【0010】
本発明に係る認証管理システムは、好ましくは、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、媒体又はサービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶しておき、
媒体又はサービス提供装置が有するCPUの実行によって、利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定する手段と、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する手段と、照合手段による照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、特定された認証アプリケーションを実行して利用者の認証を行なう認証手段と、を実現し、認証手段による利用者の認証の結果、成功した場合、選択されたサービスアプリケーションを実行してサービスの提供を許可する認証管理システムとして構成される。
【0011】
好ましい例では、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、ICカードのような媒体は、情報を記憶するメモリ及び情報処理するCPUを含む制御部を有し、メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、制御部は、サービスアプリケーションと認証アプリケーションを実行し、
サービス提供装置は、少なくとも1つのサービスアプリケーションを保持して実行し、かつ、媒体の認証アプリケーションと連携して利用者の認証を行なう認証管理システムである。
【0012】
本発明に係る認証管理方法は、好ましくは、利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおける利用者本人の認証管理方法において、媒体又はサービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、認証アプリケーションが所有する認証アプリケーションによる認証に個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶して用意するステップと、
利用者があるサービスの利用を選択したときに、認証方式識別データにより認証アプリケーションを特定するステップと、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合するステップと、照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定するステップと、認証アプリケーションによる利用者の認証が成功した場合、選択されたサービスアプリケーションのサービスの提供を許可するステップとを有する認証管理方法である。
好ましい例では、利用者の認証に成功した場合、認証に用いた代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
また、好ましくは、利用者の認証に成功した場合、認証に用いた個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
また、好ましくは、利用者の認証に成功した場合、認証アプリケーションに所有される1又は複数の個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定するサービスアプリケーションのサービスに関して利用を許可する。
【発明の効果】
【0013】
本発明によれば、本人認証方式および認証に使用する個人認証情報を適用する範囲を、サービスに対応したアプリケーション単位ではなく、各サービスの管理する各条件に対応した識別データのグループ単位で設定することができる。また、代表識別データをキーとして個人認証に使用する認証アプリケーションおよび認証アプリケーションが保持する個人認証情報を特定することができるため、異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して本発明の実施形態を詳細に説明する。
この例は、共通のICカードを用いて本人認証を行ない、複数の異なる装置からサービスの提供を受けることができるシステムについて説明するものである。サービスを提供する1つの装置は、図1に示すキャッシュカードサービスを行なう端末100であり、他の1つは図8に示す住民票の発行サービスを行なう装置である。なお、この端末100及び住民票発行システム及びそれらに使用されるICカードを含めて本人認証管理システムと言うことにする。
【0015】
まず、図1に示すキャッシュカードサービスを行なう端末のシステムの構成例について説明する。
このシステムにおいて、端末100はサービスを提供する装置、例えば銀行における自動預貯金装置(ATM)であり、ICカードR/W部210、表示装置220、入力装置230、認証情報入力装置240を構成ユニットとして有する。ここで、ICカードR/W部210はICカードと通信してその内容を読取り、書き込む。表示装置220は、利用者が必要とする情報や指示を表示する液晶ディスプレイ等の表示機器である。入力装置230は、利用者がサービスの提供を受けるときに必要な情報や指示を入力する。ATMの場合、表示装置220と入力装置230が一体化されたタッチ入力式の表示・入力装置が用いられる。
認証情報入力装置240は、パスワードによる認証の場合には入力キーであり、また指静脈認証のような生体情報の認証の場合には静脈読取装置である。なお、パスワード認証のみの場合には、認証情報入力装置240を省略して入力装置230を用いてもよい。
【0016】
また、端末100はその内部に、プログラムを実行するCPU110、プログラム及びデータを記憶するメモリ120、及びハードディスク130を有する。ハードディスク130には、アプリケーション131としてキャッシュカードサービスのアプリケーション、及び本実施例に特徴的な本人認証管理のための代表データ・認証方式対応リスト400が保持される。
【0017】
上記代表識別データ・認証情報対応リスト400の構成について、図3を参照して説明する。
代表識別データ・認証方式対応リストA400は、サービスを提供する端末100において用いられる認証方式識別データと認証アプリケーションの対を登録する。図示の例では、指静脈認証と暗証番号認証の2種の認証が使用される。そのために、識別データ510を指定された特定条件1、及びキャッシュサービスアプリケーション321を指定された特定条件2により特定される認証方式を保有する認証アプリケーションの識別データ410と、識別データ530を指定された特定条件1により特定された認証方式を保有する認証アプリケーションの識別データ420を有する。
なおここで、指静脈認証アプリケーション410に使用される特定条件1,2は1つでもよく、また3つ以上でもよい。
【0018】
次に、図8に示す住民票発行システムについて説明する。
このシステムにおいて、住民票を登録して管理するサーバ1100は、プログラムを実行するCPU1110、プログラム及びデータを記憶するメモリ1120、及びハードディスク1130を有する。ハードディスク130には、住民票発行サービスのアプリケーション1131、及び本人認証管理のための代表データ・認証方式対応リストB900が保持される。
【0019】
サーバ1100は、利用者が住民票を申請して取得するための操作端末1200を有し、更に、ICカードR/W部1210、表示装置1220、入力装置1230、認証情報入力装置1240等の各構成ユニットを有する。これら各ユニット1210〜1240は、図1に示すユニットと同様の構成であるので、それらの説明は省略する。
【0020】
次に、図9を参照して、代表識別データ・認証情報対応リストB900について説明する。
代表識別データ・認証方式対応リストB900は、上述した代表識別データ・認証方式対応リストA400と同様に、住民票発行サービスおいて用いられる認証方式識別データと認証アプリケーションの対を登録する。図示の例では、指静脈認証と暗証番号認証の2種の認証が使用される。第1の認証方式識別と指静脈認証アプリケーション410の対に関しては、識別データ1011を指定された特定条件1、及び転出届発行サービスアプリケーションを指定された特定条件2が登録される。また、第2の認証方式識別と暗証番号認証アプリケーション420の対では特定条件1と2が登録される。
【0021】
次に、図2を参照して、ICカードの構成について説明する。
ICカード300は、CPUを持つ制御部310とメモリ320を有して構成される。CPUはICカードに保持されるプログラムを実行する。メモリ320は、本実施例に特徴的なアプリケーションプログラム及びデータを保持する。
すなわち、このICカードが利用できる端末100に保持されるサービスアプリケーション(図1のキャッシュカードサービスアプリケーション131、及び図8の住民票発行サービスアプリケーション1131)に対応して、キャッシュカードサービスアプリケーション321及び住民票サービスアプリケーション322、及びそれらのアプリケーションに対応して、認証識別データのリストA500、B1000を保持する。また、本人認証のためのアプリケーションとして指静脈認証アプリケーション410及び暗証番号認証アプリケーション420、及びそれらのアプリケーションに対応して、代表識別データ・認証情報対応リストA610、B620を保持する。
【0022】
なお、このICカードが利用できるサービスのアプリケーションをさらに増やす場合には、それらのサービスに対応してより多くのサービスアプリケーションを保持し、また、更に多くの認証方式に対応するために、認証アプリケーション410,420と同様にして、関連する認証方式のアプリケーションを追加して保持するようにすればよい。
【0023】
次に、ICカード内に保持されるサービスアプリケーション321、322に使用されるリストの構成(図4、図10)、及び認証アプリケーション410、420に使用される代表識別データ・認証情報対応リスト(図5)について説明する。
【0024】
図4を参照するに、識別データリスト500は、使用され得る識別データをグループ分けして、それらのグループに属する識別データとそのグループから選択された代表識別データを登録する。図示の例では、2つのグループA、Bから成り、Aグループは、代表識別データ510および代表識別データ510に所属する識別データa521、識別データb522、識別データc523から成る所属識別データ520から構成される。また、Bグループは、代表識別データ530および代表識別データ530に所属する識別データd541、識別データe542から成る所属識別データ540から構成される。図示の、「11111」〜「12222」等々は識別データであり、例えば、Aグループでは3種ある識別データの中から「11111」が代表データとして登録され、Bグループでは「12221」が代表識別データとして登録されている。
また、図10に示すように、住民票発行サービスアプリケーション322に使用される識別データリスト1000は、1つの代表データ1010として、住民票コード1011を登録する。
【0025】
次に、ICカード内の認証アプリケーション410、420に使用される代表識別データ・認証情報対応リスト610,620の構成について説明する。
図5(A)に示すように、代表識別データ・認証情報対応リスト610は、認証アプリケーション410に所有されるものであり、指静脈情報a611および指静脈情報a611に関連付けられた認証側代表識別データ612として代表口座番号を登録し、また指静脈情報b613および認証側代表識別データ614として住民票コードを登録する。
また、図5(B)に示すように、代表識別データ・認証情報対応リスト620は、暗証番号c621およびそれに関連付けられた認証側代表識別データとして代表口座番号622、及び図書館利用者ID623を登録する。
【0026】
図6は、表示装置220に表示される画面例を示す。
画面701は、ICカードR/W部210へのカード挿入を促す画面例である。挿入するのとは異なった、カードをかざす、置く等の形態の場合には、各形態に則したメッセージとなる。
画面702は、ICカードから読み取った識別データリスト500を元にして端末100の利用者に対する選択メニューを提示する画面例である。なお、本実施例では識別データをそのままメニューとして表示しているが、画面に表示するメニューは識別データをそのまま表示する必要はなく、識別データに関連付けられた文言等で表現してもよい。読み取った識別データリスト500の情報を全て表示する必要もなく、代表識別データに関連付けて分けられたグループA,Bごとに、代表識別データを元に大項目、所属識別データを小項目に画面を分けて表示する等、使用目的に合わせて表示形態や表示/非表示を変えてもよい。
【0027】
画面703はメニュー選択画面702にて認証方式Aに関連付けられた識別データa〜eからいずれかを選択した場合に表示される画面例である。
画面704はメニュー選択画面702にて認証方式Bに関連付けられた識別データd、識別データeのいずれかを選択した場合に表示される画面例である。画面詳細は画面703にて但し書きした条件と同等である。
画面705は、各認証方式による認証が成功した場合に表示される画面例である。本実施例では、本画面が表示されてより一定時間表示し続け、自動的に取引画面へ遷移するものを想定している。
【0028】
次に、認証管理の動作について説明する。
本実施例では、共通のICカードを使用して、図1の端末100を利用したキャッシュカードサービスを受けるとき、及び図8の住民票発行サービスを受けるときの2つの場合の認証管理がある。
まず、図7のフローチャートを参照して、端末100を利用する場合の認証管理の動作について説明する。
【0029】
端末100のCPU110は、ハードディスク130上の端末アプリケーション131を起動し、表示装置220に画面701を表示して、ICカードR/W210にICカード300を挿入するように利用者に促す(ステップ801)。CPU110は、ICカード300が挿入されたことを確認したら(ステップ802)、ICカード300がメモリ320に保持しているアプリケーションの中(図2の#321,322)から、端末100のアプリケーション131に対応するキャッシュカードサービスアプリケーション321を選択する。そして、ICカード300の制御部310に対してメモリ320に保持されているキャッシュカードサービスアプリケーション321の保有する端末アプリケーション131が取扱うサービスの各条件に対応する識別データリストを要求する(ステップ804)。
【0030】
本例では、ICカード300のメモリ320に保持されているアプリケーションの選択は、CPU110がハードディスク130に保持している端末アプリケーション131を実行することによって自動的に選択されることとする。しかし、他の例では、端末100の利用者が入力装置230を用いてICカード300が保持するアプリケーションの選択を行うようにしても良い。
【0031】
ICカード300の制御部310は、前記識別データリストの要求を受け取ると、メモリ320に保持しているキャッシュカードサービスアプリケーション321の所有する識別データリスト500を読み出し、端末100へ送信する(ステップ805)。CPU110は、識別データリスト500を受信してメモリ120に記憶する(ステップ806)。そして、その識別データリスト500を元に表示装置220に画面702を表示して端末100の利用者に対して取扱うサービスの条件に対応した識別データの選択を促す(ステップ807)。CPU110は端末100の入力装置230を用いて端末100の利用者が選択した識別データa521(即ち「11111」)を取得してメモリ120に記憶する(ステップ809)。そして、メモリ120に記憶している識別データリスト500を参照、検索し、所属識別データ520に識別データa521が存在することを確認すると、代表識別データとして代表識別データ510を決定してメモリ120に記憶する(ステップ810)。
【0032】
なお、本例では、端末100のCPU110が端末100の利用者に対し入力装置230を使用して取扱うサービスの条件に対応した識別データを選択するよう促しているが、CPU110が端末100のハードディスク130の保持する端末アプリケーション131の設定を元に識別データを自動的に選択するようにしても良い。
【0033】
次に、CPU110は、ハードディスク130に保持する代表識別データ・認証方式対応リスト400を参照し、メモリ120に記憶している代表識別データa510(即ち「11111」)とリスト上の特定条件1と代表識別データ611および特定条件2と取り扱い中のサービスアプリケーションAが一致することを確認し、認証アプリケーション410を使用して本人認証を行うことを決定し、メモリ120に記憶する(ステップ811)。
なお、本例では、代表識別データ・認証方式対応リスト400は、端末100のハードディスク400に保持しているが、他の例としては、ICカード300のメモリ320、ICカード300のメモリ320に保持するサービスアプリケーションA321のいずれが保持していても良い。
【0034】
次に、CPU110は端末100のメモリ120に記憶している認証アプリケーションA410の情報を元にICカード300の制御部310に対して、認証アプリケーションA410を用いてメモリ120に記憶している代表識別データ510をキーに個人認証を行うよう依頼する(ステップ812)。
ICカード300の制御部310は、ICカード300のメモリ320が保持する認証アプリケーションA410の所有する代表識別データ・認証情報対応リストA610を参照、検索し、端末100から送信されてきた代表識別データ510とリストに保持している認証側代表識別データ612が一致することを確認し、代表識別データ510をメモリ320に記憶する(ステップ813)。そして、認証アプリケーションAの方式により本人認証を実行し、端末100に対して認証アプリケーションAの方式に則した認証情報を取得するよう要求する(ステップ814)。
このように、個人認証情報を代表識別データに関連付けてICカードの各認証アプリケーションごとに管理することによって個人認証情報の重複保持を抑止するとともに流出の危険性を抑え、なおかつ使用する個人認証情報の指定を行うことができる。
【0035】
端末100のCPU110は、認証情報取得要求を受信すると、表示装置220に画面703を表示し、端末100の利用者に対して、認証情報入力装置240を用いて本人認証情報を入力するよう促す(ステップ815)。CPU110は、認証情報入力装置240より本人認証情報を取得すると(ステップ816)、ICカード300に対して取得した本人認証情報を送信する(ステップ817)。なお、本実施例では、取得した本人認証情報の端末100側での取り扱いについては図示を省略しているが、個人情報漏洩を防止するためにもICカード300へ本人認証情報送信後にメモリから消去することが望ましいであろう。
【0036】
ICカード300の制御部310は、メモリ320に記憶していた代表識別データ510を元に代表識別データ・認証情報対応リストA610を参照して代表識別データ510と一致するリスト610上の代表識別データ612に付随する認証情報a611を使用することを決定し、認証情報a611と、端末100から送信されてきた本人認証情報が一致するかを確認する(ステップ818)。その結果、一致すれば、端末100に対して認証成功を通知する(ステップ819)。
【0037】
端末100のCPU110は、ICカード300からの認証成功通知を受信すると、表示装置220に画面705を一定時間表示し(ステップ820)、メモリ120に記憶している代表識別データ510、端末100の利用者が選択した識別データa521、および識別データリスト500を元に代表識別データ510に付随する所属識別データ520に関する条件のサービス利用を許可してメモリ120に記憶し(ステップ821)、端末100の利用者が選択した識別データa521に関する条件のサービスを開始する(ステップ822)。
【0038】
本実施例では、本人認証が得られたときのサービス条件の許可範囲は同一グループに対してのものであるが、これは端末100の利用者が選択したサービス条件のみや識別データリスト500の保有する全サービス条件等へ利用目的に則して変更することも可能とする。
なお、本実施例では認証失敗、不正ICカード使用等の異常系処理については記述を省略しているが、これらの場合には個人情報を即座に削除して手続きを終了することが望ましいであろう。
【0039】
次に、図11のフローチャートを参照し、利用者が同じICカードを用いて住民票発行サービスを受ける場合の動作について説明する。なお、図8のシステム図、及び図2のICカードの構成図、図9,10等も参照することもある。
上述した端末100におけるサービスの動作と比べて、図9の代表識別データ・認証方式対応リストB、及び図10の識別データリストの構成が異なるが、基本的な動作は同じである。以下、一応説明する。
【0040】
サーバ1100のCPU1110は、ハードディスク1130上の端末アプリケーション1131を起動し、表示装置1220に画面701を表示して、ICカードR/W1210にICカード300を挿入するように利用者に促す(ステップ1301)。CPU1110は、ICカード300が挿入されたことを確認したら(ステップ1302)、ICカード300がメモリ320に保持しているアプリケーションの中(図2の#321,322)から、サーバ1100のアプリケーション1131に対応する住民票発行サービスアプリケーション322を選択する。そして、ICカード300の制御部310に対してメモリ320に保持されている住民票発行サービスアプリケーション322の保有するアプリケーション131が取扱うサービスの各条件に対応する識別データリストを要求する(ステップ1304)。
【0041】
ICカード300の制御部310は、前記識別データリストの要求を受け取ると、メモリ320に保持している住民票発行サービスアプリケーション322の所有する識別データリス1000を読み出し、サーバ1100へ送信する(ステップ1305)。CPU1110は、識別データリスト1000を受信してメモリ1120に記憶する(ステップ1306)。そして、その識別データリスト1000を元に表示装置1220に画面702(なお、表示される識別データは異なる)を表示してサーバ1100の利用者に対して取扱うサービスの条件に対応した識別データの選択を促す(ステップ1307)。そして利用者に対して入力装置1230より住民票コード1011を選択させると(ステップ1308)、CPU1110は利用者が選択した住民票コード1011(即ち「123456」)を取得してメモリ1120に記憶する(ステップ1309)。そして、メモリ1120に記憶している代表識別データ・認証方式リストB900を参照、検索し、指静脈認識方式410を決定して、メモリ1120に記憶する(ステップ1310)。
【0042】
次に、CPU1110は、ハードディスク1130に保持する代表識別データ・認証方式対応リスト900を参照して認証方式を決定して、メモリ1120に記憶している認証アプリケーション410の情報を元にICカード300の制御部310に対して、認証アプリケーション410を用いてメモリ1120に記憶している住民票コード1011をキーに個人認証を行うよう依頼する(ステップ1312)。
【0043】
ICカード300の制御部310は、ICカード300のメモリ320が保持する認証アプリケーション410の所有する代表識別データ・認証情報対応リストB610を参照、検索し、サーバ1100から送信されてきた住民票コード1011とリスト610に保持している認証側代表識別データ614が一致することを確認し、住民票コード1011をメモリ320に記憶する(ステップ1312)。そして、認証アプリケーションAの方式により本人認証を実行し、サーバ1100に対して認証アプリケーションAの方式に則した認証情報を取得するよう要求する(ステップ1313)。
【0044】
サーバ1100のCPU1110は、認証情報取得要求を受信すると、表示装置1220に画面703を表示し、利用者に対して認証情報入力装置1240を用いて本人認証情報を入力するよう促す(ステップ1314)。CPU1110は、認証情報入力装置1240より本人認証情報を取得すると(ステップ1315)、ICカード300に対して取得した本人認証情報を送信する(ステップ1316)。
【0045】
ICカード300の制御部310は、メモリ320に記憶していた識別データリスト1000を元に代表識別データ・認証情報対応リストA610を参照して住民票コード1011よりリスト610の認証情報、即ち指静脈情報b613を決定し、この指静脈情報b613と、サーバ1100から送信されてきた本人認証情報が一致するかを確認する(ステップ1317)、その結果、一致すれば、サーバ1100に対して認証成功を通知する(ステップ1318)。
【0046】
サーバ1100のCPU1110は、ICカード300からの認証成功通知を受信すると、表示装置1220に画面705を一定時間表示し(ステップ1319)、住民票コード1011に関してサービスを開始する(1320)。
【0047】
以上説明したように、本実施例によれば、本人認証方式および認証に使用する個人認証情報を適用する範囲を、各サービスに対応したアプリケーション単位ではなく、各サービスの管理する各条件に対応した識別データのグループ単位で設定することができる。また、代表識別データをキーとして個人認証に使用する認証アプリケーションおよび認証アプリケーションが保持する個人認証情報を特定することができるため、異なる個人認証情報を用いた個人認証を同一の認証アプリケーションで行うことができる。
【0048】
例えばクレジットカードサービスでは右手中指で、キャッシュカードサービスでは口座1、口座2を左手中指、口座3を左手人差し指のように各条件ごとに異なる個人認証情報をそれぞれ用いて指静脈認証方式を行う場合には、クレジットカードサービスアプリケーション内の代表識別データおよび該代表識別データに関連付けた個人認証情報である右手中指の指静脈情報、キャッシュカードサービスアプリケーション内の口座1、口座2から選出した代表識別データおよび該代表識別データに関連付けた左手中指の指静脈認証情報、代表識別データ口座3および該代表識別データに関連付けられた左手人差し指の指静脈情報を一つの指静脈認証アプリケーションに保持することで対応できる。
【0049】
なお、本発明は上記実施例に限定されることなく、種々変形して実施し得る。例えば、上記実施例では、認証アプリケーションや、認証方式識別データ、代表識別データ等をICカード内に備えた例について述べたが、代替例によれば、これらのプログラムや情報を端末やサーバ等のサービス提供側の装置に具備させることも可能である。
【図面の簡単な説明】
【0050】
【図1】本発明の一実施例によるキャッシュカードサービスを行なう端末システムの構成を示す図。
【図2】一実施例の本人認証管理システムにおいて使用されるICカードの構成例を示す図。
【図3】一実施例の本人認証管理システムにおける使用識別データ・認証方式対応リストの例を示す図。
【図4】一実施例の本人認証管理システムにおける識別データリスト500の例を示す図。
【図5】一実施例の本人認証管理システムにおける代表識別データ・認証情報対応リストの例を示す図。
【図6】一実施例の端末100の表示装置に表示される画面例を示す図。
【図7】一実施例のキャッシュカードサービスにおける本人認証の処理手順を示すフローチャートの例を示す図。
【図8】一実施例における住民票発行システムの構成を示す図。
【図9】一実施例の本人認証管理システムにおける使用識別データ・認証方式対応リスト900の例を示す図。
【図10】一実施例の本人認証管理システムにおける識別データリスト1000の例を示す図。
【図11】一実施例の住民票発行サービスにおける本人認証の処理手順を示すフローチャートの例を示す図。
【符号の説明】
【0051】
100:端末 120:メモリ 130:ハードディスク 110:CPU 210:ICカードR/W部 220:表示装置 230:入力装置 240:認証入力装置 300:ICカード 310:制御部 320:メモリ 321:キャッシュカードサービスアプリケーション 322:住民票発行サービスアプリケーション 400,900:代表識別データ・認証方式対応リスト 410:指静脈認証アプリケーション 420:暗証番号認証アプリケーション 610,620:代表識別データ・承認情報対応リスト 500,1000:識別データリスト
【特許請求の範囲】
【請求項1】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体又は該サービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶しておき、
該媒体又は該サービス提供装置が有するCPUの実行によって、
利用者があるサービスの利用を選択したときに、該認証方式識別データにより認証アプリケーションを特定する手段と、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する手段と、該照合手段による照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、該特定された認証アプリケーションを実行して該利用者の認証を行なう認証手段と、を実現し、
該認証手段による利用者の認証の結果、成功した場合、選択された該サービスアプリケーションを実行してサービスの提供を許可することを特徴とする認証管理システム。
【請求項2】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体は、情報を記憶するメモリ及び情報処理するCPUを含む制御部を有し、
該メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、
該制御部は、該サービスアプリケーションと該認証アプリケーションを実行し、
該サービス提供装置は、少なくとも1つのサービスアプリケーションを保持して実行し、かつ、該媒体の認証アプリケーションと連携して利用者の認証を行なうことを特徴とする認証管理システム。
【請求項3】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体は、情報を記憶する第1メモリ及び情報処理する第1CPUを含む制御部を有し、該第1メモリには、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、
該サービス提供装置は、情報を記憶する第2メモリ及び情報処理する第2CPUを有し、該第2メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる認証アプリケーションと、を記憶し、該サービス提供装置は、該媒体のメモリに記憶される該データ及び情報を取得して、該第2のCPUは、該サービスアプリケーション及び該認証アプリケーションを実行して、利用者の認証を行なうことを特徴とする認証管理システム。
【請求項4】
前記サービスアプリケーションおよび識別データグループを特定するユニークなコードを、前記各グループを代表する代表識別データとして用いることを特徴とする請求項1乃至3のいずれかのシステム。
【請求項5】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおける利用者本人の認証管理方法において、
該媒体又は該サービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶して用意するステップと、
利用者があるサービスの利用を選択したときに、該認証方式識別データにより認証アプリケーションを特定するステップと、
選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合するステップと、
該照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定するステップと、
該認証アプリケーションによる利用者の認証が成功した場合、選択された該サービスアプリケーションのサービスの提供を許可するステップとを有することを特徴とする認証管理方法。
【請求項6】
利用者の認証に成功した場合、認証に用いた代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【請求項7】
利用者の認証に成功した場合、認証に用いた個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【請求項8】
利用者の認証に成功した場合、該認証アプリケーションに所有される1又は複数の個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【請求項1】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体又は該サービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶しておき、
該媒体又は該サービス提供装置が有するCPUの実行によって、
利用者があるサービスの利用を選択したときに、該認証方式識別データにより認証アプリケーションを特定する手段と、選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合する手段と、該照合手段による照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定して、該特定された認証アプリケーションを実行して該利用者の認証を行なう認証手段と、を実現し、
該認証手段による利用者の認証の結果、成功した場合、選択された該サービスアプリケーションを実行してサービスの提供を許可することを特徴とする認証管理システム。
【請求項2】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体は、情報を記憶するメモリ及び情報処理するCPUを含む制御部を有し、
該メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、
該制御部は、該サービスアプリケーションと該認証アプリケーションを実行し、
該サービス提供装置は、少なくとも1つのサービスアプリケーションを保持して実行し、かつ、該媒体の認証アプリケーションと連携して利用者の認証を行なうことを特徴とする認証管理システム。
【請求項3】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおいて、
該媒体は、情報を記憶する第1メモリ及び情報処理する第1CPUを含む制御部を有し、該第1メモリには、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶し、
該サービス提供装置は、情報を記憶する第2メモリ及び情報処理する第2CPUを有し、該第2メモリには、複数のサービスに関連して実行される複数のサービスアプリケーションと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる認証アプリケーションと、を記憶し、該サービス提供装置は、該媒体のメモリに記憶される該データ及び情報を取得して、該第2のCPUは、該サービスアプリケーション及び該認証アプリケーションを実行して、利用者の認証を行なうことを特徴とする認証管理システム。
【請求項4】
前記サービスアプリケーションおよび識別データグループを特定するユニークなコードを、前記各グループを代表する代表識別データとして用いることを特徴とする請求項1乃至3のいずれかのシステム。
【請求項5】
利用者が媒体を用いて、複数のサービスを提供する複数のサービス提供装置からそれぞれサービスの提供を受けることができるシステムにおける利用者本人の認証管理方法において、
該媒体又は該サービス提供装置のメモリに、予め、複数のサービスに関連して実行される複数のサービスアプリケーションと、該サービスアプリケーションが利用するサービスを特定する識別データと、各サービスアプリケーションが所有する、該識別データを1又は複数のグループに分割した各グループを代表する代表識別データと、正当な利用者に、選択されたサービスが提供されるように、複数の異なる認証方式によって個人認証を行うことのできる複数の認証アプリケーションと、該代表識別データに関連付けられて認証アプリケーションを特定する認証方式識別データと、該認証アプリケーションが所有する各認証方式で定められたフォーマットを持つ個人認証情報と、該認証アプリケーションが所有する該認証アプリケーションによる認証に該個人認証情報を使用するとした代表識別データと対となる認証側代表識別データと、を記憶して用意するステップと、
利用者があるサービスの利用を選択したときに、該認証方式識別データにより認証アプリケーションを特定するステップと、
選択されたサービスを特定する識別データの属するグループの代表識別データをキーとして認証側代表識別データと照合するステップと、
該照合の結果、成功した認証側代表識別データが関連する個人認証情報を特定するステップと、
該認証アプリケーションによる利用者の認証が成功した場合、選択された該サービスアプリケーションのサービスの提供を許可するステップとを有することを特徴とする認証管理方法。
【請求項6】
利用者の認証に成功した場合、認証に用いた代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【請求項7】
利用者の認証に成功した場合、認証に用いた個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【請求項8】
利用者の認証に成功した場合、該認証アプリケーションに所有される1又は複数の個人認証情報に関連付けられる1又は複数の認証側代表識別データと対となる各代表識別データに属する1又は複数の識別データが特定する該サービスアプリケーションのサービスに関して利用を許可することを特徴とする請求項5の認証管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−199814(P2007−199814A)
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願番号】特願2006−14736(P2006−14736)
【出願日】平成18年1月24日(2006.1.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願日】平成18年1月24日(2006.1.24)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]