Webサイトログイン方法及びWebサイトログインシステム
【課題】携帯端末の電子署名機能を利用し、簡単な操作でログインすることができ、かつ、低コストで十分なセキュリティ性を確保する。
【解決手段】Webサービスサーバにより、認証チケットと該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納し、認証チケットをエンコードして認証チケットの画像情報を送信し、表示端末通信部により、認証チケットの画像情報を表示し、携帯端末により、認証チケットの画像情報を読み取ってデコードして認証チケットを取得し、電子署名をした署名情報を追加した認証応答チケットを生成して表示端末に送信し、表示端末により、認証応答チケットを受信してWebサービスサーバに送信し、Webサービスサーバにより、認証応答チケットを受信して検証するWebサイトログイン方法。
【解決手段】Webサービスサーバにより、認証チケットと該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納し、認証チケットをエンコードして認証チケットの画像情報を送信し、表示端末通信部により、認証チケットの画像情報を表示し、携帯端末により、認証チケットの画像情報を読み取ってデコードして認証チケットを取得し、電子署名をした署名情報を追加した認証応答チケットを生成して表示端末に送信し、表示端末により、認証応答チケットを受信してWebサービスサーバに送信し、Webサービスサーバにより、認証応答チケットを受信して検証するWebサイトログイン方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上のWebサイトへのログインとアクセスにおける認証技術に関し、特に、携帯端末の電子署名機能を利用したWebサイトログイン方法及びWebサイトログインシステムに関する。
【背景技術】
【0002】
従来、不特定多数の者が視聴するテレビ番組(データ放送など)から視聴者を、Webサービス(チケット予約や商品購入などの様々なサービス)を提供可能なWebサービスサーバに誘導する方法が知られている。例えば、URLをテレビ放送事業者がテレビ画面に表示し、利用者がそれをメモし、パーソナルコンピュータ(PC)やデジタルテレビのブラウザにキーボードやリモコンからURLを入力し、定められた認証方式(例えば、ID/パスワード方式やICカードを使った認証方式など)によって利用者認証した後、サービスを開始する方法がある。また、URLを2次元バーコードに変換したものをテレビ放送事業者が画面に表示し、利用者がそれを携帯電話等の機器で読み取り、機器のブラウザを起動して画面を表示し、定められた認証方式によって利用者認証した後、サービスを開始する方法などがある。
【0003】
しかし、いずれの方法においても、サービスを利用できるようになるまで、利用者は、煩雑な操作を強いられ、サービスを開始するまでのハードルが高く、Webサービスサーバに円滑に誘導することが困難である。また、後者の2次元バーコードを利用する方法では、サービスへのアクセスは比較的容易であるが、利用者は携帯電話でサービスを受けることになり、画面は小さく、また高齢者などのテンキーによる操作に不慣れな利用者にとっては使いづらいサービスになってしまう。
【0004】
また、Webサービスサーバで認証する方法としては、利用者IDとパスワードを使用する方法が一般的である。しかし、この方法では、利用者はIDやパスワードを記憶又は記録しておく必要があり、安全性を保持するためには、パスワードを定期的に変更し、かつ、利用者はパスワードとして容易に推測されない文字列を考える必要があった。また、利用者がパスワードを忘れてしまった場合、サーバ側の再設定に時間とコストがかかるなど、管理が煩雑にならざるを得なかった。この問題を解決するための一方法として、ワンタイム・パスワードにより認証する技法が知られている(例えば、非特許文献1参照)。ワンタイム・パスワードとは、一定の規則で生成され、1回のみ使用できる使い捨てのパスワードである。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】出口 雄一、“ワンタイム・パスワード”[online]、日経BP社、[平成22年6月21日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/235357/>
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、デジタルテレビに利用者IDとパスワードを入力する手段としては、一部の例外を除きテレビリモコンのみとなる。テレビリモコンはボタン数が限られており、文字列入力のインタフェースとしては適切ではないため、十分なセキュリティ性を確保するためのパスワード(長さと文字バリエーションが必要)を入力するには、複雑な操作が必要とされる。
【0007】
また、ワンタイム・パスワードにより認証する技法は、安全性が高い一方で、利用者がパスワードを生成するハードウェアを持つ必要があり、高コストであるという問題があった。
【0008】
本発明の目的は、上記問題を解決するため、携帯端末の電子署名機能を利用し、簡単な操作でログインすることができ、かつ、低コストで十分なセキュリティ性を確保することができるWebサイトログインシステム及びその方法を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明では、携帯電話の赤外線機能と画像読み取り機能を使用して、ID/パスワードを利用者が直接入力することなく、家庭用のデジタルテレビのブラウザからWebサイトに安全にログイン認証し、且つ必要なWebページ(サービス画面)を表示するWebサイトログインシステム及びその方法を提供する。
【0010】
すなわち、上記課題を解決するため、本発明に係るWebサイトログイン方法は、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、を含むことを特徴とする。
【0011】
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップであることを特徴とする。
【0012】
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示することを特徴とする。
【0013】
また、本発明に係るWebサイトログイン方法において、前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、前記ステップ(l)の後に、(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、(n)前記表示部により、前記Webコンテンツを表示するステップと、を含むことを特徴とする。
【0014】
また、本発明に係るWebサイトログイン方法において、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含むことを特徴とする。
【0015】
さらに、上記課題を解決するため、本発明に係るWebサイトログインシステムは、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有することを特徴とする。
【0016】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有することを特徴とする。
【0017】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有することを特徴とする。
【0018】
また、本発明に係るWebサイトログインシステムにおいて、前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有することを特徴とする。
【0019】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有することを特徴とする。
【発明の効果】
【0020】
本発明によれば、簡単な操作でログインすることができ、かつ、十分なセキュリティ性を確保することができるようになる。
【0021】
また、現在広く普及している携帯電話とWeb表示端末がほぼ標準的に備えている機能(ハードウェア)のみを利用し、ソフトウェアの追加のみでシステムを構築することが可能であり、実サービスを比較的容易に開始することができるようになる。
【図面の簡単な説明】
【0022】
【図1】本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。
【図2】本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。
【図3】本発明による一実施例の認証チケット情報DBに格納される情報を示す図である。
【図4】本発明による一実施例の利用者DBに格納される情報を示す図である。
【図5】本発明による一実施例の認証チケットデータ及び認証応答チケットデータの構成を示す図である。
【図6】本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
【図7】本発明による一実施例の認証履歴DBに格納される情報を示す図である。
【発明を実施するための形態】
【0023】
[Webサイトログインシステムの構成]
図1は、本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。Webサイトログインシステム1は、Webサービスサーバ11と、Web表示端末12と、携帯端末13とを備え、Webサービスサーバ11とWeb表示端末12とは、ネットワーク14を介して接続されている。ネットワーク14は、インターネットなどのWANである。
【0024】
Webサービスサーバ11は、Webサービスを提供可能なサーバである。
【0025】
Web表示端末12は、ネットワーク14経由でWebサービスサーバ11にアクセスする機能と、無線(赤外線又は電波)でデータ受信する機能を有する機器である。例えば、ネットワーク接続機能とネットワークのWebブラウザ機能と赤外線受信機能とを装備した家庭用デジタルテレビやパーソナルコンピュータ(PC)である。
【0026】
携帯端末13は、無線(赤外線又は電波)でデータを送信する機能を有する、Webサイトのログイン認証に使用される機器である。例えば、2次元バーコード読み取り機能と赤外線送信機能を有するカメラ付きの携帯電話である。利用者Uは、Web表示端末12に表示される認証用の画像データを携帯端末13を用いて読み取り、携帯端末13によって生成された認証応答用のデータを無線でWeb表示端末12に送信する。なお、携帯端末として携帯電話を用いた場合でも、本システムのログイン方法は携帯電話網と接続する必要が無いため、電波の届かない場所でも利用することが可能であり、電話料金も発生しない。
【0027】
図2は、本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。Webサービスサーバ11は、制御部111と、通信部112と、認証チケット情報DB113と、利用者DB114と、Webコンテンツ情報DB115とを備える。Webサービスサーバ11がテレビ局システム15を介して情報をWeb表示端末12に送信する場合には、さらに番組挿入部116を備え、テレビ局システム15は番組挿入部116から送信される情報を番組に挿入してWeb表示端末12に送信する。
【0028】
認証チケット情報DB113は、図3に示すように、認証チケットを一意に示す番号で構成された認証チケットIDと、認証チケットの有効期限情報と、認証チャレンジ情報と、ログイン後に表示させたいURL(ジャンプ先URL)の情報と、認証チケット生成時刻情報との組み合わせを1レコードとして格納する。このうち、認証チケットIDと、認証チケットの有効期限と、認証チャレンジ情報からなり、Web表示端末12に表示される情報を、認証チケットという。図5(a)は、認証チケットデータの一例を示す図である。なお、ジャンプ先URLの情報は必須ではないが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
【0029】
利用者DB114は、図4に示すように、利用者ごとに割り振られた利用者IDと、認証で使用する検証用鍵と、利用者の属性情報(利用者名など)との組み合わせを1レコードとして格納する。検証用鍵は公開鍵暗号を使用した認証の時には、公開鍵暗号の公開鍵を、共通鍵暗号を使用したときの認証の時には共通鍵を使用する。
【0030】
Webコンテンツ情報DB115は、Webサービスのコンテンツデータを格納する。
【0031】
番組挿入部116は、認証チケットをテレビ局システム15に送信する。
【0032】
制御部111は、処理要求制御部1111と、認証チケット生成部1112と、認証チケットエンコード部1113と、認証チケット検証部1114と、Webコンテンツ処理部1115とを備える。
【0033】
処理要求制御部1111は、通信部112から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
【0034】
認証チケット生成部1112は、乱数などにより、一意の認証チケットIDを生成し、属性情報とともに、認証チケット情報DB113に格納する。さらに、認証後にジャンプするURLの情報を認証チケット情報DB113に格納することも可能である。
【0035】
認証チケットエンコード部1113は、認証チケット情報DB113から取得した認証チケットをエンコードして2次元バーコードなどの画像情報を作成した後、通信部112に出力するか、又は番組挿入部116に出力する。通信部112に出力した場合には、ネットワーク14経由でWeb表示端末12に送信し、番組挿入部116に出力した場合には、テレビ局システム15経由でWeb表示端末12に送信する。
【0036】
認証チケット検証部1114は、通信部112から入力される認証応答チケットに含まれる署名時刻と現在時刻を比較し、規定時間以内であるかをチェックする。認証応答チケットについては後述する。規定時間以内である場合には、認証チケットIDを認証チケット情報DB113の内容と照合する。照合が成功したら、認証応答チケットに含まれる利用者IDを利用者DB114と照合する。照合が成功したら、利用者DB114の利用者IDに関連付けられた検証用鍵を使用して、認証応答チケットに含まれる署名情報を検証する。検証に成功したらWebサービスのログイン認証をする。
【0037】
Webコンテンツ処理部1115は、Webコンテンツ情報DB115からWebコンテンツを取得し、必要ならばWeb表示端末12で表示できる形に変換した上で、通信部112経由で出力する。ログイン認証後に認証チケット情報DB113に格納されたジャンプ先URLを取得し、ジャンプ先URLにジャンプさせることも可能である。
【0038】
通信部112は、ネットワーク14を介してWeb表示端末12と情報を送受信する。通信部112は、受信データ処理部1121と、送信データ処理部1122とを備える。
【0039】
受信データ処理部1121は、ネットワーク14経由でWeb表示端末12から情報を取得して、受信データを適切な形式に変換する。
【0040】
送信データ処理部1122は、情報を適切な形式に変換してネットワーク14経由でWeb表示端末12に出力する。
【0041】
Web表示端末12は、制御部121と、通信部122と、Web解釈部123と、表示部124と、赤外線受信部125とを備える。
【0042】
制御部121は、通信部122から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
【0043】
通信部122は、ネットワーク14を介してWebサービスサーバ11と情報を送受信する。
【0044】
Web解釈部123は、通信部122から受信したWebコンテンツデータを解釈するブラウザ機能を有し、Webコンテンツデータを表示部124に表示させる。
【0045】
表示部124は、テレビ局システム15から配信されるテレビ番組や、Webサービスサーバ11から配信されるWebコンテンツを表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、Web表示端末12に限定されるものではなく、表示部124の機能を有する他の機器(PCやTVなど)に表示させることも可能である。よって、Web表示端末と、表示部124の機能を有する他の機器とを総称したものを「表示端末」と定義し、本実施例では、表示端末がWeb表示端末12のみの場合について説明する。
【0046】
赤外線受信部125は、携帯端末13から赤外線でデータを受信する。なお、赤外線の代わりに電波で受信してもよい。
【0047】
携帯端末13は、制御部131と、認証チケットデコード部132と、署名付与部133と、利用者ID・秘密鍵格納部134と、画像読み取り部135と、赤外線送信部136とを備える。
【0048】
制御部131は、利用者の操作や、各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する
【0049】
利用者ID・秘密鍵格納部134は、Webサービスサーバ11の利用者DB114に格納された利用者IDと対応付けられた利用者IDを予め格納する。また、利用者が署名に使用する認証用秘密鍵も予め格納する。公開鍵暗号方式を使用する場合には、公開鍵暗号の秘密鍵を使用し、共通鍵暗号方式の場合には共通鍵を使用する。この秘密鍵は、Webサービスサーバ11の利用者DB114に格納された、利用者ID・秘密鍵格納部134に格納された利用者IDと同一の利用者IDの検証鍵に対応づけられたものである。
【0050】
画像読み取り部135は、Web表示端末12の表示部124に表示された、エンコードされた画像を読み込み、認証チケットデコード部132に出力する。
【0051】
認証チケットデコード部132は、画像読み取り部135から入力されるエンコードされた画像をデコードして認証チケットを取得し、署名付与部133に出力する。
【0052】
署名付与部133は、認証チケットデコード部132から入力される認証チケットに利用者IDの情報とともに、電子署名で署名を付与する。高セキュリティを確保したい場合は、署名を付与する動作はUSIM(Universal Subscriber Identity Module)などの耐タンパデバイス中で実行するのが好適である。
【0053】
赤外線送信部136は、Web表示端末12に赤外線でデータを送信する。なお、赤外線の代わりに電波で送信してもよい。
【0054】
[Webサイトログイン方法]
次に、本発明によるWebサイトログイン方法について説明する。図6は、本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
【0055】
Webサイトログインシステムは、予め利用者にユニークな利用者IDを払い出し、それに対応して、認証に使用する公開鍵暗号方式の公開鍵及び秘密鍵を生成する。Webサービスサーバ11には、利用者ID及び認証に使用する公開鍵を関連付けて利用者DB114に格納しておき、携帯端末13には利用者ID及び認証に使用する秘密鍵を(ネットワークなどでダウンロードして)利用者ID・秘密鍵格納部134に格納しておく。利用者DB114には、Webサービス提供に必要な利用者属性情報(住所氏名年齢性別など)を併せて格納しても良い。
【0056】
ステップS101では、Webサービスサーバ11の認証チケット生成部1112により、認証チケットとして、システムでユニークな認証チケットIDと、十分な長さの乱数などを元にした類推の困難な認証チャレンジ情報と、認証チケットの有効期限とを生成し、認証チケット情報DB113に格納する。さらに、認証チケットの生成時刻情報と、認証成功時にWeb画面に表示するジャンプ先URL情報を生成し、認証チケット情報DB113に格納する。
【0057】
ステップS102では、Webサービスサーバ11の認証チケットエンコード部1113により、認証チケットをエンコードして2次元バーコードの画像情報を生成する。
【0058】
ステップS103では、Webサービスサーバ11の送信データ処理部1122により、2次元バーコードに変換した認証チケットの画像をWebブラウザで表示できる形式(htmlやflashなど)に変換し、Web表示端末13に送信する。または、テレビ局システム15に送信してテレビ番組に挿入するよう設定する。
【0059】
ステップS104では、Web表示端末12の通信部122により、認証チケットの画像情報を受信し、表示部124(Web画面又はテレビ番組画面)により、2次元バーコードの認証チケット画像を表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、表示部124に限定されるものではなく、他のPCやTVなどの表示端末の表示部に表示させることも可能である。
【0060】
ステップS105では、携帯端末13の画像読み取り部135により、Web表示端末12に表示された2次元バーコードの認証チケット画像を読み取り、認証チケットデコード部132により、該読み取った画像をデコードして認証チケットを取得する。
【0061】
ステップS106では、携帯端末13の署名付与部133により、利用者ID・秘密鍵格納部134から取得した利用者ID、及び署名時刻を認証チケットに付加し、これにハッシュ値を求めて認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成する。ハッシュ値に電子署名する動作は、携帯電話の耐タンパデバイスであるUSIM中で実行するのが好適である。
【0062】
ステップS107では、携帯端末13の赤外線送信部136により、認証応答チケットをWeb表示端末12に赤外線で送信する。
【0063】
ステップS108では、Web表示端末12の赤外線受信部125により、携帯端末13から赤外線で送信された認証応答チケットを受信し、通信部122により、認証応答チケットをネットワーク14経由でWebサービスサーバ11に送信する。
【0064】
ステップS109では、Webサービスサーバ11の受信データ処理部1121により、Web表示端末12から送信される認証応答チケットを受信する。
【0065】
ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証応答チケットに含まれる利用者IDをキーに利用者DB114を検索して利用者を識別し、利用者DB114に予め登録されている公開鍵を用いて電子署名を検証することにより、利用者の本人性を確認する。署名検証が成功したら、認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DB113を検索し、認証チケットを特定する。認証応答チケットに含まれる認証チャレンジ情報が認証チケット情報DB113に登録された認証チャレンジ情報と同じであることを確認することにより、認証応答チケットの正当性を確認し、さらに認証チケット情報DB113に登録されている認証チケット有効期限と現在時刻とを照合し、認証チケットの有効性を確認する。以上全てが確認できたら該当利用者のログインを成功させる。なお、確認する順番は問わない。
【0066】
Webサービスサーバ11は、さらに認証履歴DBを備え、利用者から認証応答チケットを受信するたび、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納するようにすることもできる。図7は、認証履歴DBに格納される情報の例を示す図である。認証履歴DBを備える場合には、ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証履歴DBにアクセスし、利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在する場合には、送付回数が規定回数を上回っていないこと、及び/又は、認証応答チケットに含まれる署名時刻が最終署名時刻より後であることを確認する。
【0067】
ステップS111では、Webサービスサーバ11のWebコンテンツ処理部1115により、認証チケット情報DB113からジャンプ先URLの情報を取得する。なお、URLのジャンプを提供せず、ログイン認証のみでも使用することが可能であるが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
【0068】
ステップS112では、Webサービスサーバ11のWebコンテンツ処理部1115により、Webコンテンツ情報DB115からジャンプ先URLのWebコンテンツを取得する。
【0069】
ステップS113では、Web表示端末12のWeb解釈部123により、Webサービスサーバ11から送出された該当ページを解釈し、表示部124により表示する。利用者認証が既に終了しているので、利用者は直ちに会員向けサービスを利用することができる。
【0070】
ここで、本発明に係るWebサーバ11、Web端末12、及び携帯端末13をコンピュータで構成することも可能である。この場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
【0071】
本発明によれば、電子署名を付与した認証チケットを他者が入手したとしても、Webサービスサーバ11が認証チケットをログインのたびに変更し、且つ認証チケットの有効期限を検証することにより、不正なログイン要求を排除することができる。また、Webサービスサーバ11は、認証応答チケットに付与された電子署名を検証することにより、予め登録された携帯端末を保持していない他者からのログインを排除することができる。
【0072】
さらに、本発明は、Webサービスサーバ11から発行される認証チケットは利用者に関連付けられず、サービス(ジャンプ先URL)にのみ関連づけられるため、不特定多数の利用者が同一の認証チケットを利用することが可能である。このため、認証チケットをHPに掲載したり、地デジのデータ放送などのマスメディアを使って配布したりすることが可能となり、テレビ番組と連動するなど、様々な応用サービスへの展開が可能となる。なお、不特定多数の利用者が容易に認証チケットを入手できるため、利用者特定を確実に実施する必要があり、そのため耐タンパデバイスにより電子署名を行なうことが好適である。
【0073】
上述の実施例は、代表的な例として説明したが、本発明の趣旨及び範囲内で、多くの変更及び置換ができることは当業者に明らかである。従って、本発明は、上述の実施例によって制限するものと解するべきではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば、利用者ID・秘密鍵格納部134に格納管理される利用者IDと秘密鍵の情報は不正に利用されないよう厳重に管理する必要があるため、携帯端末13としてUSIMを内蔵する携帯電話を用いることも可能である。USIM起動時にPIN(Personal Identity Number)コードを入力するように設定すれば、仮に悪意の第三者が携帯電話を入手したとしても、USIMを利用することは非常に困難であり、なりすましを防止することができる。
【産業上の利用可能性】
【0074】
このように、本発明によれば、ネットワークに接続されたWebサイトにログインする際に、携帯端末を用いてログイン認証する任意の用途に有用である。
【符号の説明】
【0075】
1 Webサイトログインシステム
11 Webサービスサーバ
12 Web表示端末
13 携帯端末
14 ネットワーク
15 テレビ局システム
111 制御部
112 通信部
113 認証チケット情報DB
114 利用者DB
115 Webコンテンツ情報DB
116 番組挿入部
121 制御部
122 通信部
123 Web解釈部
124 表示部
125 赤外線受信部
131 制御部
132 認証チケットデコード部
133 署名付与部
134 利用者ID・秘密鍵格納部
135 画像読み取り部
136 赤外線送信部
1111 処理要求制御部
1112 認証チケット生成部
1113 認証チケットエンコード部
1114 認証チケット検証部
1115 Webコンテンツ処理部
1121 受信データ処理部
1122 送信データ処理部
【技術分野】
【0001】
本発明は、ネットワーク上のWebサイトへのログインとアクセスにおける認証技術に関し、特に、携帯端末の電子署名機能を利用したWebサイトログイン方法及びWebサイトログインシステムに関する。
【背景技術】
【0002】
従来、不特定多数の者が視聴するテレビ番組(データ放送など)から視聴者を、Webサービス(チケット予約や商品購入などの様々なサービス)を提供可能なWebサービスサーバに誘導する方法が知られている。例えば、URLをテレビ放送事業者がテレビ画面に表示し、利用者がそれをメモし、パーソナルコンピュータ(PC)やデジタルテレビのブラウザにキーボードやリモコンからURLを入力し、定められた認証方式(例えば、ID/パスワード方式やICカードを使った認証方式など)によって利用者認証した後、サービスを開始する方法がある。また、URLを2次元バーコードに変換したものをテレビ放送事業者が画面に表示し、利用者がそれを携帯電話等の機器で読み取り、機器のブラウザを起動して画面を表示し、定められた認証方式によって利用者認証した後、サービスを開始する方法などがある。
【0003】
しかし、いずれの方法においても、サービスを利用できるようになるまで、利用者は、煩雑な操作を強いられ、サービスを開始するまでのハードルが高く、Webサービスサーバに円滑に誘導することが困難である。また、後者の2次元バーコードを利用する方法では、サービスへのアクセスは比較的容易であるが、利用者は携帯電話でサービスを受けることになり、画面は小さく、また高齢者などのテンキーによる操作に不慣れな利用者にとっては使いづらいサービスになってしまう。
【0004】
また、Webサービスサーバで認証する方法としては、利用者IDとパスワードを使用する方法が一般的である。しかし、この方法では、利用者はIDやパスワードを記憶又は記録しておく必要があり、安全性を保持するためには、パスワードを定期的に変更し、かつ、利用者はパスワードとして容易に推測されない文字列を考える必要があった。また、利用者がパスワードを忘れてしまった場合、サーバ側の再設定に時間とコストがかかるなど、管理が煩雑にならざるを得なかった。この問題を解決するための一方法として、ワンタイム・パスワードにより認証する技法が知られている(例えば、非特許文献1参照)。ワンタイム・パスワードとは、一定の規則で生成され、1回のみ使用できる使い捨てのパスワードである。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】出口 雄一、“ワンタイム・パスワード”[online]、日経BP社、[平成22年6月21日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/235357/>
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、デジタルテレビに利用者IDとパスワードを入力する手段としては、一部の例外を除きテレビリモコンのみとなる。テレビリモコンはボタン数が限られており、文字列入力のインタフェースとしては適切ではないため、十分なセキュリティ性を確保するためのパスワード(長さと文字バリエーションが必要)を入力するには、複雑な操作が必要とされる。
【0007】
また、ワンタイム・パスワードにより認証する技法は、安全性が高い一方で、利用者がパスワードを生成するハードウェアを持つ必要があり、高コストであるという問題があった。
【0008】
本発明の目的は、上記問題を解決するため、携帯端末の電子署名機能を利用し、簡単な操作でログインすることができ、かつ、低コストで十分なセキュリティ性を確保することができるWebサイトログインシステム及びその方法を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明では、携帯電話の赤外線機能と画像読み取り機能を使用して、ID/パスワードを利用者が直接入力することなく、家庭用のデジタルテレビのブラウザからWebサイトに安全にログイン認証し、且つ必要なWebページ(サービス画面)を表示するWebサイトログインシステム及びその方法を提供する。
【0010】
すなわち、上記課題を解決するため、本発明に係るWebサイトログイン方法は、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、を含むことを特徴とする。
【0011】
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップであることを特徴とする。
【0012】
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示することを特徴とする。
【0013】
また、本発明に係るWebサイトログイン方法において、前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、前記ステップ(l)の後に、(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、(n)前記表示部により、前記Webコンテンツを表示するステップと、を含むことを特徴とする。
【0014】
また、本発明に係るWebサイトログイン方法において、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含むことを特徴とする。
【0015】
さらに、上記課題を解決するため、本発明に係るWebサイトログインシステムは、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有することを特徴とする。
【0016】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有することを特徴とする。
【0017】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有することを特徴とする。
【0018】
また、本発明に係るWebサイトログインシステムにおいて、前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有することを特徴とする。
【0019】
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有することを特徴とする。
【発明の効果】
【0020】
本発明によれば、簡単な操作でログインすることができ、かつ、十分なセキュリティ性を確保することができるようになる。
【0021】
また、現在広く普及している携帯電話とWeb表示端末がほぼ標準的に備えている機能(ハードウェア)のみを利用し、ソフトウェアの追加のみでシステムを構築することが可能であり、実サービスを比較的容易に開始することができるようになる。
【図面の簡単な説明】
【0022】
【図1】本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。
【図2】本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。
【図3】本発明による一実施例の認証チケット情報DBに格納される情報を示す図である。
【図4】本発明による一実施例の利用者DBに格納される情報を示す図である。
【図5】本発明による一実施例の認証チケットデータ及び認証応答チケットデータの構成を示す図である。
【図6】本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
【図7】本発明による一実施例の認証履歴DBに格納される情報を示す図である。
【発明を実施するための形態】
【0023】
[Webサイトログインシステムの構成]
図1は、本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。Webサイトログインシステム1は、Webサービスサーバ11と、Web表示端末12と、携帯端末13とを備え、Webサービスサーバ11とWeb表示端末12とは、ネットワーク14を介して接続されている。ネットワーク14は、インターネットなどのWANである。
【0024】
Webサービスサーバ11は、Webサービスを提供可能なサーバである。
【0025】
Web表示端末12は、ネットワーク14経由でWebサービスサーバ11にアクセスする機能と、無線(赤外線又は電波)でデータ受信する機能を有する機器である。例えば、ネットワーク接続機能とネットワークのWebブラウザ機能と赤外線受信機能とを装備した家庭用デジタルテレビやパーソナルコンピュータ(PC)である。
【0026】
携帯端末13は、無線(赤外線又は電波)でデータを送信する機能を有する、Webサイトのログイン認証に使用される機器である。例えば、2次元バーコード読み取り機能と赤外線送信機能を有するカメラ付きの携帯電話である。利用者Uは、Web表示端末12に表示される認証用の画像データを携帯端末13を用いて読み取り、携帯端末13によって生成された認証応答用のデータを無線でWeb表示端末12に送信する。なお、携帯端末として携帯電話を用いた場合でも、本システムのログイン方法は携帯電話網と接続する必要が無いため、電波の届かない場所でも利用することが可能であり、電話料金も発生しない。
【0027】
図2は、本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。Webサービスサーバ11は、制御部111と、通信部112と、認証チケット情報DB113と、利用者DB114と、Webコンテンツ情報DB115とを備える。Webサービスサーバ11がテレビ局システム15を介して情報をWeb表示端末12に送信する場合には、さらに番組挿入部116を備え、テレビ局システム15は番組挿入部116から送信される情報を番組に挿入してWeb表示端末12に送信する。
【0028】
認証チケット情報DB113は、図3に示すように、認証チケットを一意に示す番号で構成された認証チケットIDと、認証チケットの有効期限情報と、認証チャレンジ情報と、ログイン後に表示させたいURL(ジャンプ先URL)の情報と、認証チケット生成時刻情報との組み合わせを1レコードとして格納する。このうち、認証チケットIDと、認証チケットの有効期限と、認証チャレンジ情報からなり、Web表示端末12に表示される情報を、認証チケットという。図5(a)は、認証チケットデータの一例を示す図である。なお、ジャンプ先URLの情報は必須ではないが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
【0029】
利用者DB114は、図4に示すように、利用者ごとに割り振られた利用者IDと、認証で使用する検証用鍵と、利用者の属性情報(利用者名など)との組み合わせを1レコードとして格納する。検証用鍵は公開鍵暗号を使用した認証の時には、公開鍵暗号の公開鍵を、共通鍵暗号を使用したときの認証の時には共通鍵を使用する。
【0030】
Webコンテンツ情報DB115は、Webサービスのコンテンツデータを格納する。
【0031】
番組挿入部116は、認証チケットをテレビ局システム15に送信する。
【0032】
制御部111は、処理要求制御部1111と、認証チケット生成部1112と、認証チケットエンコード部1113と、認証チケット検証部1114と、Webコンテンツ処理部1115とを備える。
【0033】
処理要求制御部1111は、通信部112から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
【0034】
認証チケット生成部1112は、乱数などにより、一意の認証チケットIDを生成し、属性情報とともに、認証チケット情報DB113に格納する。さらに、認証後にジャンプするURLの情報を認証チケット情報DB113に格納することも可能である。
【0035】
認証チケットエンコード部1113は、認証チケット情報DB113から取得した認証チケットをエンコードして2次元バーコードなどの画像情報を作成した後、通信部112に出力するか、又は番組挿入部116に出力する。通信部112に出力した場合には、ネットワーク14経由でWeb表示端末12に送信し、番組挿入部116に出力した場合には、テレビ局システム15経由でWeb表示端末12に送信する。
【0036】
認証チケット検証部1114は、通信部112から入力される認証応答チケットに含まれる署名時刻と現在時刻を比較し、規定時間以内であるかをチェックする。認証応答チケットについては後述する。規定時間以内である場合には、認証チケットIDを認証チケット情報DB113の内容と照合する。照合が成功したら、認証応答チケットに含まれる利用者IDを利用者DB114と照合する。照合が成功したら、利用者DB114の利用者IDに関連付けられた検証用鍵を使用して、認証応答チケットに含まれる署名情報を検証する。検証に成功したらWebサービスのログイン認証をする。
【0037】
Webコンテンツ処理部1115は、Webコンテンツ情報DB115からWebコンテンツを取得し、必要ならばWeb表示端末12で表示できる形に変換した上で、通信部112経由で出力する。ログイン認証後に認証チケット情報DB113に格納されたジャンプ先URLを取得し、ジャンプ先URLにジャンプさせることも可能である。
【0038】
通信部112は、ネットワーク14を介してWeb表示端末12と情報を送受信する。通信部112は、受信データ処理部1121と、送信データ処理部1122とを備える。
【0039】
受信データ処理部1121は、ネットワーク14経由でWeb表示端末12から情報を取得して、受信データを適切な形式に変換する。
【0040】
送信データ処理部1122は、情報を適切な形式に変換してネットワーク14経由でWeb表示端末12に出力する。
【0041】
Web表示端末12は、制御部121と、通信部122と、Web解釈部123と、表示部124と、赤外線受信部125とを備える。
【0042】
制御部121は、通信部122から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
【0043】
通信部122は、ネットワーク14を介してWebサービスサーバ11と情報を送受信する。
【0044】
Web解釈部123は、通信部122から受信したWebコンテンツデータを解釈するブラウザ機能を有し、Webコンテンツデータを表示部124に表示させる。
【0045】
表示部124は、テレビ局システム15から配信されるテレビ番組や、Webサービスサーバ11から配信されるWebコンテンツを表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、Web表示端末12に限定されるものではなく、表示部124の機能を有する他の機器(PCやTVなど)に表示させることも可能である。よって、Web表示端末と、表示部124の機能を有する他の機器とを総称したものを「表示端末」と定義し、本実施例では、表示端末がWeb表示端末12のみの場合について説明する。
【0046】
赤外線受信部125は、携帯端末13から赤外線でデータを受信する。なお、赤外線の代わりに電波で受信してもよい。
【0047】
携帯端末13は、制御部131と、認証チケットデコード部132と、署名付与部133と、利用者ID・秘密鍵格納部134と、画像読み取り部135と、赤外線送信部136とを備える。
【0048】
制御部131は、利用者の操作や、各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する
【0049】
利用者ID・秘密鍵格納部134は、Webサービスサーバ11の利用者DB114に格納された利用者IDと対応付けられた利用者IDを予め格納する。また、利用者が署名に使用する認証用秘密鍵も予め格納する。公開鍵暗号方式を使用する場合には、公開鍵暗号の秘密鍵を使用し、共通鍵暗号方式の場合には共通鍵を使用する。この秘密鍵は、Webサービスサーバ11の利用者DB114に格納された、利用者ID・秘密鍵格納部134に格納された利用者IDと同一の利用者IDの検証鍵に対応づけられたものである。
【0050】
画像読み取り部135は、Web表示端末12の表示部124に表示された、エンコードされた画像を読み込み、認証チケットデコード部132に出力する。
【0051】
認証チケットデコード部132は、画像読み取り部135から入力されるエンコードされた画像をデコードして認証チケットを取得し、署名付与部133に出力する。
【0052】
署名付与部133は、認証チケットデコード部132から入力される認証チケットに利用者IDの情報とともに、電子署名で署名を付与する。高セキュリティを確保したい場合は、署名を付与する動作はUSIM(Universal Subscriber Identity Module)などの耐タンパデバイス中で実行するのが好適である。
【0053】
赤外線送信部136は、Web表示端末12に赤外線でデータを送信する。なお、赤外線の代わりに電波で送信してもよい。
【0054】
[Webサイトログイン方法]
次に、本発明によるWebサイトログイン方法について説明する。図6は、本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
【0055】
Webサイトログインシステムは、予め利用者にユニークな利用者IDを払い出し、それに対応して、認証に使用する公開鍵暗号方式の公開鍵及び秘密鍵を生成する。Webサービスサーバ11には、利用者ID及び認証に使用する公開鍵を関連付けて利用者DB114に格納しておき、携帯端末13には利用者ID及び認証に使用する秘密鍵を(ネットワークなどでダウンロードして)利用者ID・秘密鍵格納部134に格納しておく。利用者DB114には、Webサービス提供に必要な利用者属性情報(住所氏名年齢性別など)を併せて格納しても良い。
【0056】
ステップS101では、Webサービスサーバ11の認証チケット生成部1112により、認証チケットとして、システムでユニークな認証チケットIDと、十分な長さの乱数などを元にした類推の困難な認証チャレンジ情報と、認証チケットの有効期限とを生成し、認証チケット情報DB113に格納する。さらに、認証チケットの生成時刻情報と、認証成功時にWeb画面に表示するジャンプ先URL情報を生成し、認証チケット情報DB113に格納する。
【0057】
ステップS102では、Webサービスサーバ11の認証チケットエンコード部1113により、認証チケットをエンコードして2次元バーコードの画像情報を生成する。
【0058】
ステップS103では、Webサービスサーバ11の送信データ処理部1122により、2次元バーコードに変換した認証チケットの画像をWebブラウザで表示できる形式(htmlやflashなど)に変換し、Web表示端末13に送信する。または、テレビ局システム15に送信してテレビ番組に挿入するよう設定する。
【0059】
ステップS104では、Web表示端末12の通信部122により、認証チケットの画像情報を受信し、表示部124(Web画面又はテレビ番組画面)により、2次元バーコードの認証チケット画像を表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、表示部124に限定されるものではなく、他のPCやTVなどの表示端末の表示部に表示させることも可能である。
【0060】
ステップS105では、携帯端末13の画像読み取り部135により、Web表示端末12に表示された2次元バーコードの認証チケット画像を読み取り、認証チケットデコード部132により、該読み取った画像をデコードして認証チケットを取得する。
【0061】
ステップS106では、携帯端末13の署名付与部133により、利用者ID・秘密鍵格納部134から取得した利用者ID、及び署名時刻を認証チケットに付加し、これにハッシュ値を求めて認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成する。ハッシュ値に電子署名する動作は、携帯電話の耐タンパデバイスであるUSIM中で実行するのが好適である。
【0062】
ステップS107では、携帯端末13の赤外線送信部136により、認証応答チケットをWeb表示端末12に赤外線で送信する。
【0063】
ステップS108では、Web表示端末12の赤外線受信部125により、携帯端末13から赤外線で送信された認証応答チケットを受信し、通信部122により、認証応答チケットをネットワーク14経由でWebサービスサーバ11に送信する。
【0064】
ステップS109では、Webサービスサーバ11の受信データ処理部1121により、Web表示端末12から送信される認証応答チケットを受信する。
【0065】
ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証応答チケットに含まれる利用者IDをキーに利用者DB114を検索して利用者を識別し、利用者DB114に予め登録されている公開鍵を用いて電子署名を検証することにより、利用者の本人性を確認する。署名検証が成功したら、認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DB113を検索し、認証チケットを特定する。認証応答チケットに含まれる認証チャレンジ情報が認証チケット情報DB113に登録された認証チャレンジ情報と同じであることを確認することにより、認証応答チケットの正当性を確認し、さらに認証チケット情報DB113に登録されている認証チケット有効期限と現在時刻とを照合し、認証チケットの有効性を確認する。以上全てが確認できたら該当利用者のログインを成功させる。なお、確認する順番は問わない。
【0066】
Webサービスサーバ11は、さらに認証履歴DBを備え、利用者から認証応答チケットを受信するたび、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納するようにすることもできる。図7は、認証履歴DBに格納される情報の例を示す図である。認証履歴DBを備える場合には、ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証履歴DBにアクセスし、利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在する場合には、送付回数が規定回数を上回っていないこと、及び/又は、認証応答チケットに含まれる署名時刻が最終署名時刻より後であることを確認する。
【0067】
ステップS111では、Webサービスサーバ11のWebコンテンツ処理部1115により、認証チケット情報DB113からジャンプ先URLの情報を取得する。なお、URLのジャンプを提供せず、ログイン認証のみでも使用することが可能であるが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
【0068】
ステップS112では、Webサービスサーバ11のWebコンテンツ処理部1115により、Webコンテンツ情報DB115からジャンプ先URLのWebコンテンツを取得する。
【0069】
ステップS113では、Web表示端末12のWeb解釈部123により、Webサービスサーバ11から送出された該当ページを解釈し、表示部124により表示する。利用者認証が既に終了しているので、利用者は直ちに会員向けサービスを利用することができる。
【0070】
ここで、本発明に係るWebサーバ11、Web端末12、及び携帯端末13をコンピュータで構成することも可能である。この場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
【0071】
本発明によれば、電子署名を付与した認証チケットを他者が入手したとしても、Webサービスサーバ11が認証チケットをログインのたびに変更し、且つ認証チケットの有効期限を検証することにより、不正なログイン要求を排除することができる。また、Webサービスサーバ11は、認証応答チケットに付与された電子署名を検証することにより、予め登録された携帯端末を保持していない他者からのログインを排除することができる。
【0072】
さらに、本発明は、Webサービスサーバ11から発行される認証チケットは利用者に関連付けられず、サービス(ジャンプ先URL)にのみ関連づけられるため、不特定多数の利用者が同一の認証チケットを利用することが可能である。このため、認証チケットをHPに掲載したり、地デジのデータ放送などのマスメディアを使って配布したりすることが可能となり、テレビ番組と連動するなど、様々な応用サービスへの展開が可能となる。なお、不特定多数の利用者が容易に認証チケットを入手できるため、利用者特定を確実に実施する必要があり、そのため耐タンパデバイスにより電子署名を行なうことが好適である。
【0073】
上述の実施例は、代表的な例として説明したが、本発明の趣旨及び範囲内で、多くの変更及び置換ができることは当業者に明らかである。従って、本発明は、上述の実施例によって制限するものと解するべきではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば、利用者ID・秘密鍵格納部134に格納管理される利用者IDと秘密鍵の情報は不正に利用されないよう厳重に管理する必要があるため、携帯端末13としてUSIMを内蔵する携帯電話を用いることも可能である。USIM起動時にPIN(Personal Identity Number)コードを入力するように設定すれば、仮に悪意の第三者が携帯電話を入手したとしても、USIMを利用することは非常に困難であり、なりすましを防止することができる。
【産業上の利用可能性】
【0074】
このように、本発明によれば、ネットワークに接続されたWebサイトにログインする際に、携帯端末を用いてログイン認証する任意の用途に有用である。
【符号の説明】
【0075】
1 Webサイトログインシステム
11 Webサービスサーバ
12 Web表示端末
13 携帯端末
14 ネットワーク
15 テレビ局システム
111 制御部
112 通信部
113 認証チケット情報DB
114 利用者DB
115 Webコンテンツ情報DB
116 番組挿入部
121 制御部
122 通信部
123 Web解釈部
124 表示部
125 赤外線受信部
131 制御部
132 認証チケットデコード部
133 署名付与部
134 利用者ID・秘密鍵格納部
135 画像読み取り部
136 赤外線送信部
1111 処理要求制御部
1112 認証チケット生成部
1113 認証チケットエンコード部
1114 認証チケット検証部
1115 Webコンテンツ処理部
1121 受信データ処理部
1122 送信データ処理部
【特許請求の範囲】
【請求項1】
Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、
前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、
(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、
(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、
(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、
(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、
(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、
(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、
(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、
(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、
(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、
(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、
(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、
(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、
を含むことを特徴とするWebサイトログイン方法。
【請求項2】
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
【請求項3】
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
【請求項4】
前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、
前記ステップ(l)の後に、
(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、
(n)前記表示部により、前記Webコンテンツを表示するステップと、
を含むことを特徴とする、請求項1から3のいずれか一項に記載のWebサイトログイン方法。
【請求項5】
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、
前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含む
ことを特徴とする、請求項1から4のいずれか一項に記載のWebサイトログイン方法。
【請求項6】
Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、
Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、
ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、
前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、
ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、
前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、
前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、
前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、
前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、
前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、
前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、
前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、
前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、
前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、
前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、
前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有する
ことを特徴とするWebサイトログインシステム。
【請求項7】
前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
【請求項8】
前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
【請求項9】
前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、
前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有する
ことを特徴とする、請求項6から8のいずれか一項に記載のWebサイトログインシステム。
【請求項10】
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、
前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有する
ことを特徴とする、請求項6から9のいずれか一項に記載のWebサイトログインシステム。
【請求項1】
Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、
前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、
(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、
(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、
(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、
(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、
(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、
(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、
(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、
(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、
(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、
(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、
(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、
(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、
を含むことを特徴とするWebサイトログイン方法。
【請求項2】
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
【請求項3】
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
【請求項4】
前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、
前記ステップ(l)の後に、
(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、
(n)前記表示部により、前記Webコンテンツを表示するステップと、
を含むことを特徴とする、請求項1から3のいずれか一項に記載のWebサイトログイン方法。
【請求項5】
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、
前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含む
ことを特徴とする、請求項1から4のいずれか一項に記載のWebサイトログイン方法。
【請求項6】
Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、
Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、
ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、
前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、
ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、
前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、
前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、
前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、
前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、
前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、
前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、
前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、
前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、
前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、
前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、
前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有する
ことを特徴とするWebサイトログインシステム。
【請求項7】
前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
【請求項8】
前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
【請求項9】
前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、
前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有する
ことを特徴とする、請求項6から8のいずれか一項に記載のWebサイトログインシステム。
【請求項10】
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、
前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有する
ことを特徴とする、請求項6から9のいずれか一項に記載のWebサイトログインシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−5037(P2012−5037A)
【公開日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願番号】特願2010−140592(P2010−140592)
【出願日】平成22年6月21日(2010.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.FLASH
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願日】平成22年6月21日(2010.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.FLASH
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]