JP4486567B2 - Authentication system, authentication method, and authentication program - Google Patents
Authentication system, authentication method, and authentication program Download PDFInfo
- Publication number
- JP4486567B2 JP4486567B2 JP2005248417A JP2005248417A JP4486567B2 JP 4486567 B2 JP4486567 B2 JP 4486567B2 JP 2005248417 A JP2005248417 A JP 2005248417A JP 2005248417 A JP2005248417 A JP 2005248417A JP 4486567 B2 JP4486567 B2 JP 4486567B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- authentication
- address
- registration
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、第一端末からのアクセスに対し、第二端末の認証を行い、当該認証の結果を第一端末の認証とする認証システム、認証方法および認証プログラムに関する。 The present invention relates to an authentication system, an authentication method, and an authentication program that authenticate a second terminal with respect to access from a first terminal and use the result of the authentication as authentication of the first terminal.
従来より、会員制サイト等の本人性確認を必要とするインターネット上のサービスでは、ID/パスワードによる認証が一般的であった。このID/パスワードによる認証は、アクセス者が許可されたユーザのユーザIDおよびパスワードを予めデータベース(DB)に対応付けて登録しておき、アクセスを要求してきたユーザに対してユーザIDおよびパスワードの入力を促し、ユーザが入力したユーザIDおよびパスワードがDBに対応付けて登録されていることを条件にアクセスを許可する手法である。また、複数のインターネットサービスに対して1回の認証操作のみでログイン可能とする方法も存在する。 Conventionally, authentication using an ID / password has been common for services on the Internet that require confirmation of the identity of a membership system site or the like. In this ID / password authentication, the user ID and password of an authorized user are registered in advance in a database (DB), and the user ID and password are input to the user who has requested access. The user ID and password input by the user are permitted to be accessed on condition that the user ID and password are registered in association with the DB. There is also a method that enables login to a plurality of Internet services by only one authentication operation.
また、近年では、ID/パスワードに変わる認証方式として、生体情報(指紋など)やICカードを利用した認証方式が採用されている場合もある。 In recent years, an authentication method using biometric information (such as fingerprints) or an IC card may be employed as an authentication method instead of an ID / password.
また、特許文献1(特開2004−213315号公報)では、PC(パーソナルコンピュータ)等からのID/パスワードによるログイン要求に対して、PCによる認証を行うとともに、ログイン要求者が所持する携帯電話等から「確認認証用パスワード」を入力することにより認証を行う技術が開示されている。 In Patent Document 1 (Japanese Patent Application Laid-Open No. 2004-213315), in response to a login request with an ID / password from a PC (personal computer) or the like, authentication by the PC is performed, and a mobile phone or the like possessed by the login requester Discloses a technique for performing authentication by inputting a “confirmation authentication password”.
ところで、上記した従来の技術は、以下に説明するように、アクセス者認証の確実性、アクセス者およびサービス提供者の負担、ユーザIDやパスワードの漏洩等の観点から以下に説明するような課題がある。 By the way, as described below, the above-described conventional technology has problems as described below from the viewpoints of authenticity of accessor authentication, burden on accessor and service provider, leakage of user ID and password, and the like. is there.
すなわち、上記のID/パスワードの認証では、パスワードの盗用、もしくは第三者による推測などにより、いわゆる「成りすまし」などの詐称行為に対して脆弱であり、そのため、ユーザは、推測されにくいパスワードの使用や定期的なパスワードの変更により、これらの詐称行為を未然に回避する必要があり、ユーザに負担を強いるという課題がある。 In other words, the above ID / password authentication is vulnerable to fraudulent acts such as so-called “spoofing” due to theft of passwords or guesses by third parties. In addition, it is necessary to avoid these fraudulent acts by changing the password regularly, and there is a problem that the user is burdened.
また、上記の複数のインターネットサービスに対して1回の認証操作のみでログイン可能とする認証方法は、一度パスワードが盗まれると、第三者であっても全てのインターネットサービスが利用されてしまう可能性があり、ユーザ情報が漏洩する危険性が高いという課題がある。 In addition, the authentication method that enables login with only one authentication operation to the above-mentioned plurality of Internet services, once a password is stolen, all Internet services can be used even by a third party. There is a problem that there is a high risk of leakage of user information.
また、上記の生体情報(指紋など)やICカードを利用した認証方式は、生体情報やICカードの読み取り装置が必要であり、ユーザへのコスト負担を招くことから、一般家庭への普及は進んでいないという課題がある。さらに、生体情報を利用した認証方式では、他人を本人と誤認証したり、逆に本人を本人と認証しなかったりなど動作が不安定であるという課題もある。 In addition, the above-described authentication method using biometric information (such as fingerprints) or an IC card requires a biometric information or IC card reader, which incurs a cost burden on the user, and thus is widely used in general households. There is a problem that it is not. Furthermore, in the authentication method using biometric information, there is a problem that the operation is unstable, such as misauthenticating another person with the person or conversely not authenticating the person with the person.
また、上記の特許文献の認証方法では、個人端末での認証時に入力する必要がある「確認認証用パスワード」が流出すると、やはり「成りすまし」等の詐称が可能であるという課題がある。さらに、ユーザは、「確認認証用のパスワード」を新たに管理する手間も増えてしまうという課題もある。 Further, in the authentication method of the above-mentioned patent document, there is a problem that if the “confirmation authentication password” that needs to be input at the time of authentication at the personal terminal is leaked, the spoofing such as “spoofing” is still possible. Furthermore, there is a problem that the user also has a trouble of newly managing the “password for confirmation authentication”.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、アクセス者の本人性確認を、簡単かつ安全に実現する認証システム、認証方法および認証プログラムを提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problems of the prior art, and provides an authentication system, an authentication method, and an authentication program that can easily and safely confirm the identity of an accessor. Objective.
上述した課題を解決し、目的を達成するため、本発明は、第一端末からのアクセスに対し、第二端末の認証を行い、当該認証の結果を第一端末の認証とする認証システムであって、前記第一端末からのアクセスを受け付けるアクセス受付手段と、前記第二端末アドレス宛に認証用アドレスを通知する通知手段と、前記第二端末から前記認証用アドレスへのレスポンスに基づいて第一端末を認証する認証手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is an authentication system that authenticates the second terminal for access from the first terminal and uses the authentication result as the authentication of the first terminal. An access accepting means for accepting access from the first terminal, a notification means for notifying the authentication address to the second terminal address, and a first response based on a response from the second terminal to the authentication address. And authentication means for authenticating the terminal.
また、本発明は、上記の発明において、前記アクセス受付手段は、前記第一端末から前記第二端末アドレスを受信し、前記通知手段は、前記アクセス受付手段によって受け付けた前記第二端末アドレス宛に認証用アドレスを通知することを特徴とする。 Further, the present invention is the above invention, wherein the access receiving means receives the second terminal address from the first terminal, and the notification means is addressed to the second terminal address received by the access receiving means. The authentication address is notified.
また、本発明は、上記の発明において、前記第二端末アドレスに関する情報と前記第二端末アドレスとを対応付けて記憶するアドレス情報記憶手段を備え、前記アクセス受付手段は、前記第一端末から前記第二端末アドレスに関する情報を受信し、前記通知手段は、前記アクセス受付手段によって受け付けた前記第二端末アドレスに関する情報に対応して記憶された前記第二端末アドレス宛に認証用アドレスを通知することを特徴とする。 In the present invention, the present invention further comprises address information storage means for storing information relating to the second terminal address and the second terminal address in association with each other. Receiving information relating to the second terminal address, and the notifying means notifying an authentication address addressed to the second terminal address stored corresponding to the information relating to the second terminal address received by the access accepting means. It is characterized by.
また、本発明は、上記の発明において、前記第二端末アドレスに関する情報を所定の鍵によって含んだアクセスコードを生成するアクセスコード生成手段を備え、前記アクセス受付手段は、前記アクセスコード生成手段によって生成された前記アクセスコードを受信し、前記通知手段は、前記アクセス受付手段によって受け付けられたアクセスコードに含まれた前記第二端末アドレスを取得し、当該第二端末アドレス宛に認証用アドレスを通知することを特徴とする。 The present invention further comprises an access code generating means for generating an access code including information relating to the second terminal address with a predetermined key in the above invention, wherein the access receiving means is generated by the access code generating means. And the notifying means acquires the second terminal address included in the access code accepted by the access accepting means and notifies the authentication address to the second terminal address. It is characterized by that.
また、本発明は、上記の発明において、前記第二端末の認証に関する情報を記憶する認証情報記憶手段を備え、前記認証手段は、前記第二端末から前記第二端末の認証に関する情報を受け付け、当該第二端末の認証に関する情報が前記認証情報記憶手段によって記憶された第二端末の認証に関する情報との対応に基づいて第一端末を認証することを特徴とする。 The present invention, in the above invention, further comprises an authentication information storage means for storing information relating to authentication of the second terminal, wherein the authentication means accepts information relating to authentication of the second terminal from the second terminal, The information regarding the authentication of the second terminal is authenticated based on the correspondence with the information regarding the authentication of the second terminal stored by the authentication information storage means.
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記第二端末の認証に関する情報を所定の鍵によって含んだアクセスコードを生成し、前記認証手段は、前記第二端末から第二端末の認証に関する情報を受け付け、前記アクセスコードから取得される第二端末の認証に関する情報との対応に基づいて第一端末を認証することを特徴とする。 Further, the present invention is the above invention, wherein the access code generation unit generates an access code including information related to authentication of the second terminal by a predetermined key, and the authentication unit receives the second terminal from the second terminal. Information regarding authentication of two terminals is received, and the first terminal is authenticated based on correspondence with information regarding authentication of the second terminal acquired from the access code.
また、本発明は、上記の発明において、前記認証手段は、前記第二端末の認証に関する情報として端末固有の第二端末識別子を受け付け、当該端末識別子に基づいて第一端末を認証することを特徴とする。 Further, the present invention is characterized in that, in the above invention, the authentication means accepts a terminal-specific second terminal identifier as information relating to the authentication of the second terminal, and authenticates the first terminal based on the terminal identifier. And
また、本発明は、上記の発明において、前記アドレス情報記憶手段は、有効条件に係る情報と第二端末アドレスを対応付けて記憶し、前記通知手段は、前記第二端末アドレスに対応付けて記憶された有効条件を満たすことを条件に、前記認証用アドレスを前記第二端末アドレス宛に通知することを特徴とする。 Also, in the present invention according to the above invention, the address information storage unit stores information related to the effective condition and the second terminal address in association with each other, and the notification unit stores the information in association with the second terminal address. The authentication address is notified to the second terminal address on condition that the valid condition is satisfied.
また、本発明は、上記の発明において、前記アクセスコード生成手段は、前記有効条件に係る情報を含んだアクセスコードを生成し、前記通知手段は、前記アクセスコードに基づいて取得した前記有効条件を満たすことを条件に、認証用アドレスを前記第二端末アドレス宛に通知することを特徴とする。 Further, in the present invention according to the above invention, the access code generation unit generates an access code including information related to the validity condition, and the notification unit determines the validity condition acquired based on the access code. The authentication address is notified to the second terminal address on condition that the condition is satisfied.
また、本発明は、上記の発明において、前記通知手段は、前記有効条件に係る情報として、期限、時間、回数、発信側のドメイン若しくはこれらの組み合わせに係る情報が前記有効条件を満たすことを条件に、認証用アドレスを前記第二端末アドレス宛に通知することを特徴とする。 Further, the present invention is the above invention, wherein the notifying means is provided on the condition that information relating to the validity condition includes information relating to a deadline, time, number of times, originating domain, or a combination thereof, satisfying the validity condition. In addition, the authentication address is notified to the second terminal address.
また、本発明は、上記の発明において、前記アクセス受付手段、前記通知手段および前記認証手段を有して前記第一端末を認証する認証サーバ、並びに、前記通知手段によって通知された認証用アドレスを前記第二端末に転送する転送手段を有する転送サーバを備え、前記認証サーバのアドレス受付手段は、前記第一端末から前記第二端末アドレスに代えて前記第二端末アドレスに対応する転送用アドレスを受け付け、前記認証サーバの通知手段は、前記アドレス受付手段によって受け付けた転送用アドレス宛に認証用アドレスを通知し、前記転送サーバの転送手段は、前記通知手段によって通知された認証用アドレスを前記第二端末アドレス宛に転送することを特徴とする。 Further, the present invention provides the above-described invention, wherein the access accepting unit, the notifying unit, and the authenticating unit authenticate the first terminal, and the authentication address notified by the notifying unit is provided. A transfer server having transfer means for transferring to the second terminal, wherein the address accepting means of the authentication server receives a transfer address corresponding to the second terminal address instead of the second terminal address from the first terminal; The notification means of the authentication server notifies the address for authentication addressed to the transfer address received by the address reception means, and the transfer means of the transfer server receives the authentication address notified by the notification means. It is characterized by forwarding to a two-terminal address.
また、本発明は、上記の発明において、前記転送手段は、前記第二端末アドレスに対応する転送用アドレスが転送条件に係る情報を含み、当該転送条件に基づいて転送可否判断を行い、当該判断が転送可であることを条件に、前記認証用アドレスを前記第二端末アドレス宛に転送することを特徴とする。 Further, according to the present invention, in the above invention, the transfer means includes a transfer address corresponding to the second terminal address including information related to the transfer condition, and determines whether or not transfer is possible based on the transfer condition. The authentication address is transferred to the second terminal address on the condition that can be transferred.
また、本発明は、上記の発明において、前記転送手段は、前記転送条件に係る情報として、期限、時間、回数、発信側のドメイン若しくはこれらの組み合わせに係る情報に基づいて転送可否判断を行い、当該判断が転送可であることを条件に、前記認証用アドレスを前記第二端末アドレス宛に転送することを特徴とする。 Also, in the present invention according to the above-mentioned invention, the transfer means performs transfer feasibility determination based on information related to the time limit, time, number of times, caller domain, or a combination thereof as information related to the transfer condition, The authentication address is transferred to the second terminal address on condition that the determination is transferable.
また、本発明は、上記の発明において、前記第二端末の認証を行う認証サーバ、並びに、コンテンツの提供を行うコンテンツ提供サーバを備え、前記コンテンツ提供サーバのコンテンツ提供手段は、前記認証サーバの認証手段によって得られた認証の結果に応じて、前記第一端末に対してコンテンツを提供することを特徴とする。 Further, the present invention is the above invention, comprising an authentication server for authenticating the second terminal, and a content providing server for providing content, wherein the content providing means of the content providing server is configured to authenticate the authentication server. The content is provided to the first terminal according to the result of authentication obtained by the means.
また、本発明は、上記の発明において、前記通知手段および認証手段を有して前記第二端末を認証する認証サーバ、並びに、前記アクセス受付手段および第一端末にコンテンツを提供するコンテンツ提供手段を有して前記第一端末に対してコンテンツを提供するコンテンツ提供サーバを備え、前記認証サーバの認証手段は、前記コンテンツ提供サーバから認証の依頼を受け付けた場合に、前記第二端末を認証し、前記コンテンツ提供サーバのコンテンツ提供手段は、前記認証手段によって得られた認証の結果に応じて、前記第一端末に対してコンテンツを提供することを特徴とする。 Further, the present invention provides the authentication server according to the above invention, wherein the authentication server includes the notification unit and the authentication unit, and authenticates the second terminal, and the access providing unit and the content providing unit that provides the content to the first terminal. Having a content providing server for providing content to the first terminal, wherein the authentication means of the authentication server authenticates the second terminal when receiving a request for authentication from the content providing server, The content providing means of the content providing server provides the content to the first terminal according to the result of authentication obtained by the authenticating means.
また、本発明は、上記の発明において、前記通知手段および認証手段を有して前記第二端末を認証する認証サーバ、並びに、前記アクセス受付手段およびコンテンツ提供手段を有してコンテンツを提供するコンテンツ提供サーバを備え、前記認証サーバの認証手段は、前記コンテンツ提供サーバから認証の依頼を受け付けた場合に、前記第二端末を認証し、当該認証の結果に応じて、前記コンテンツ提供サーバから第一端末に提供するコンテンツを取得して、当該コンテンツを前記第一端末に提供することを特徴とする。 Also, the present invention provides the content providing the authentication server according to the above invention, the authentication server including the notification unit and the authentication unit and authenticating the second terminal, and the access reception unit and the content providing unit. An authentication server that authenticates the second terminal when receiving a request for authentication from the content providing server, and from the content providing server according to a result of the authentication, The content to be provided to the terminal is acquired, and the content is provided to the first terminal.
また、本発明は、上記の発明において、前記アクセス受付手段、通知手段および認証手段を有して前記第二端末を認証する認証サーバ、並びに、コンテンツを提供するコンテンツ提供サーバを備え、前記認証サーバの認証手段は、前記第二端末を認証し、当該認証の結果に応じて、前記コンテンツ提供サーバにアクセスするための認証識別子を生成し、当該認証識別子を前記第一端末に送信し、前記コンテンツ提供サーバは、前記認証識別子を受け付けた場合には、前記コンテンツを第一端末に提供することを特徴とする。 Further, the present invention provides the authentication server according to the above invention, comprising: an authentication server that includes the access receiving unit, a notification unit, and an authentication unit to authenticate the second terminal; and a content providing server that provides content. The authentication means authenticates the second terminal, generates an authentication identifier for accessing the content providing server according to the result of the authentication, transmits the authentication identifier to the first terminal, and transmits the content When the providing server receives the authentication identifier, the providing server provides the content to the first terminal.
また、本発明は、上記の発明において、前記アクセス受付手段、通知手段および認証手段を有して前記第二端末を認証する認証サーバ、並びに、コンテンツを提供するコンテンツ提供サーバを備え、前記認証サーバの認証手段は、前記第二端末を認証し、当該認証結果に応じて、前記コンテンツ提供サーバから第一端末に提供するコンテンツを取得して、当該コンテンツを前記第一端末に提供することを特徴とする。 Further, the present invention provides the authentication server according to the above invention, comprising: an authentication server that includes the access receiving unit, a notification unit, and an authentication unit to authenticate the second terminal; and a content providing server that provides content. The authentication means authenticates the second terminal, acquires content to be provided to the first terminal from the content providing server according to the authentication result, and provides the content to the first terminal. And
また、本発明は、第一端末からのアクセスに対し、第二端末の認証を行い、当該認証の結果を第一端末の認証とする認証方法であって、前記第一端末からのアクセスを受け付けるアクセス受付工程と、前記第二端末アドレス宛に認証用アドレスを通知する通知工程と、前記第二端末から前記認証用アドレスへのレスポンスに基づいて第一端末を認証する認証工程と、を含んだことを特徴とする。 Further, the present invention is an authentication method for authenticating the second terminal with respect to access from the first terminal and using the result of the authentication as the authentication of the first terminal, and accepting access from the first terminal An access receiving step, a notification step of notifying the address for authentication to the second terminal address, and an authentication step of authenticating the first terminal based on a response from the second terminal to the authentication address. It is characterized by that.
また、本発明は、第一端末からのアクセスに対し、第二端末の認証を行い、当該認証の結果を第一端末の認証とする認証方法をコンピュータに実行させる認証プログラムであって、前記第一端末からのアクセスを受け付けるアクセス受付手順と、前記第二端末アドレス宛に認証用アドレスを通知する通知手順と、前記第二端末から前記認証用アドレスへのレスポンスに基づいて第一端末を認証する認証手順と、をコンピュータに実行させることを特徴とする。 The present invention is also an authentication program for causing a computer to execute an authentication method for authenticating the second terminal with respect to access from the first terminal and using the result of the authentication as the authentication of the first terminal. Authenticate the first terminal based on an access acceptance procedure for accepting access from one terminal, a notification procedure for notifying the authentication address to the second terminal address, and a response from the second terminal to the authentication address And causing the computer to execute an authentication procedure.
本発明によれば、第一端末からの認証要求に対して、第二端末に通知を行い、第二端末からのレスポンスをもってアクセスの正当性を確認するので、第一端末から許容されたアクセス者ではない第三者の不正な認証要求を受信した場合でも、許容されたアクセス者が第二端末よりレスポンスを行わなければ認証要求は承諾されないため、不正なアクセスを回避することが可能である。 According to the present invention, in response to the authentication request from the first terminal, the second terminal is notified, and the legitimacy of the access is confirmed by the response from the second terminal. Even if an unauthorized authentication request is received from a third party that is not, the authentication request is not accepted unless an authorized accessor responds from the second terminal, so that unauthorized access can be avoided.
また、本発明によれば、第一端末から第二端末アドレスを受信し、受け付けた第二端末アドレス宛に認証用アドレスを通知するので、任意の第二端末にレスポンス要求を通知することが可能である。 In addition, according to the present invention, the second terminal address is received from the first terminal, and the authentication address is notified to the received second terminal address. Therefore, it is possible to notify the response request to any second terminal. It is.
また、本発明によれば、受け付けられた第二端末アドレスに関する情報と第二端末アドレスとを対応付けて記憶し、第一端末から第二端末アドレスに関する情報を受け付け、そのアドレスに記憶された第二端末アドレスのうち第二端末アドレスに関する情報に対応する第二端末アドレス宛に認証用アドレスを通知するので、第一端末からの認証要求時に第二端末アドレスを毎回入力する必要が無くなるため、入力に伴う漏洩(例えば、インターネットカフェのような日常使わないPC端末から入力時にキーロガー等でアドレスを収集する等)から、第二端末アドレスを保護することが可能である。 Further, according to the present invention, the information related to the received second terminal address and the second terminal address are stored in association with each other, the information related to the second terminal address is received from the first terminal, and the information stored in the address is stored. Since the authentication address is notified to the second terminal address corresponding to the information related to the second terminal address among the two terminal addresses, it is not necessary to input the second terminal address every time an authentication request is made from the first terminal. It is possible to protect the address of the second terminal from leakage (for example, collecting addresses with a key logger or the like at the time of input from a PC terminal that is not used everyday such as an Internet cafe).
また、本発明によれば、受け付けられた第二端末アドレスに関する情報を所定の鍵によって含んだアクセスコードを生成し、第一端末からアクセスコードを受け付け、そのアクセスコードに含まれた第二端末アドレスを取得し、その第二端末アドレス宛に認証用アドレスを通知するので、第二端末アドレスを記憶する手段を不要とすることが可能である。 Further, according to the present invention, an access code including information related to the received second terminal address is generated using a predetermined key, the access code is received from the first terminal, and the second terminal address included in the access code is generated. And the authentication address is notified to the second terminal address, so that a means for storing the second terminal address can be dispensed with.
また、本発明によれば、第二端末の認証に関する情報を記憶し、第二端末から第二端末の認証に関する情報を受け付け、その第二端末の認証に関する情報が記憶された第二端末の認証に関する情報との対応に基づいて第一端末を認証するので、固有の第二端末以外からのレスポンスが拒否可能となるため、例えば、許容されたアクセス者が所有する端末のみを第二端末として割当てることが可能である。 Moreover, according to this invention, the information regarding the authentication of the second terminal is stored, the information regarding the authentication of the second terminal is received from the second terminal, and the information regarding the authentication of the second terminal is stored. Since the first terminal is authenticated on the basis of the correspondence with the information regarding the response, it is possible to refuse a response from other than the unique second terminal. For example, only a terminal owned by an authorized accessor is assigned as the second terminal. It is possible.
また、本発明によれば、第二端末の認証に関する情報を所定の鍵によって含んだアクセスコードを生成し、第二端末から第二端末の認証に関する情報を受け付け、アクセスコードから取得される第二端末の認証に関する情報との対応に基づいて第一端末を認証するので、第二端末の認証情報を記憶する手段を不要とすることが可能である。 Further, according to the present invention, an access code including information related to authentication of the second terminal using a predetermined key is generated, information related to authentication of the second terminal is received from the second terminal, and the second code acquired from the access code Since the first terminal is authenticated based on the correspondence with the terminal authentication information, it is possible to eliminate the need for storing the second terminal authentication information.
また、本発明によれば、第二端末の認証に関する情報として端末固有識別子を受け付け、その認証識別子に基づいて第一端末を認証するので、変更が不可能な第二端末識別子を予め記憶し、第二端末からのレスポンス時に受信した識別子と、記憶した第二端末識別子とが対応した場合に認証を可能とする結果、第三者による不正な認証を防止することが可能である。 Further, according to the present invention, since the terminal unique identifier is accepted as information relating to the authentication of the second terminal and the first terminal is authenticated based on the authentication identifier, the second terminal identifier that cannot be changed is stored in advance, As a result of enabling authentication when the identifier received at the time of a response from the second terminal corresponds to the stored second terminal identifier, it is possible to prevent unauthorized authentication by a third party.
また、本発明によれば、第二端末のレスポンス要求の送信に有効条件を設定するので、第二端末の不要なレスポンス要求を排除することが可能である。 Further, according to the present invention, since an effective condition is set for transmission of a response request from the second terminal, it is possible to eliminate unnecessary response requests from the second terminal.
また、本発明によれば、有効条件を含んだアクセスコードを生成し、第一端末よりアクセスコード伴って認証要求を返信させるので、有効条件を記憶する手段を不要にすることが可能である。 Further, according to the present invention, an access code including a valid condition is generated, and an authentication request is returned from the first terminal together with the access code. Therefore, a means for storing the valid condition can be eliminated.
また、本発明によれば、有効条件として、期限、時間、回数、アクセス元若しくはこれらの組み合わせを設定するので、第二端末の不要なレスポンス要求を排除することが可能である。 Further, according to the present invention, the deadline, the time, the number of times, the access source, or a combination thereof is set as the effective condition, so it is possible to eliminate unnecessary response requests from the second terminal.
また、本発明によれば、第二端末へのレスポンス要求を別に設置した転送アドレスに送信し、さらに転送アドレスより第二端末アドレスに転送するので、例えば、第三者からの不正な認証要求等、第一端末より不要な認証要求が送信された場合でも、第二端末アドレスの削除や変更を行うことなく、転送アドレスを廃止するだけで不要なレスポンス要求を抑止することが可能である。 Further, according to the present invention, a response request to the second terminal is transmitted to a separately installed transfer address, and further transferred from the transfer address to the second terminal address. For example, an unauthorized authentication request from a third party, etc. Even when an unnecessary authentication request is transmitted from the first terminal, it is possible to suppress unnecessary response requests by simply eliminating the transfer address without deleting or changing the second terminal address.
また、本発明によれば、転送アドレスからの転送時に転送条件を元に可否判断を行うことにより、転送条件に合致しない通信要求は転送されないので、転送アドレスを廃止することなく、不要なレスポンス要求を抑止することが可能である。 In addition, according to the present invention, since a communication request that does not match the transfer condition is not transferred by determining whether transfer is possible based on the transfer condition at the time of transfer from the transfer address, an unnecessary response request is not required without abolishing the transfer address. Can be suppressed.
また、本発明によれば、期限、時間、回数、発信側ドメイン若しくはこれらの組み合わせを有効条件とすることにより、有効条件に合致しないレスポンス要求は転送しないので、転送アドレスを廃止することなく、不要なレスポンス要求を抑止することが可能である。 In addition, according to the present invention, since the deadline, time, number of times, originator domain, or a combination thereof is used as a valid condition, a response request that does not meet the valid condition is not forwarded. Response requests can be suppressed.
また、本発明によれば、認証結果をコンテンツ提供サーバに提供するので、コンテンツ提供サーバは、自ら認証手段を備えることなく、認証されたコンテンツ要求者のみにコンテンツを提供することが可能である。 Further, according to the present invention, since the authentication result is provided to the content providing server, the content providing server can provide the content only to the authenticated content requester without providing the authentication means itself.
また、本発明によれば、コンテンツ提供サーバは、第一端末からの認証要求を受け付け、かつコンテンツ提供サーバに対して認証結果の提供を行うので、コンテンツ要求者は、第一端末を通じてコンテンツ提供サーバのみにアクセスすればよく、コンテンツ要求者の操作を低減することが可能である。 According to the present invention, since the content providing server accepts an authentication request from the first terminal and provides an authentication result to the content providing server, the content requester can send the content providing server through the first terminal. It is possible to reduce the operation of the content requester.
また、本発明によれば、第一端末がコンテンツ提供サーバに認証要求を送信すると、コンテンツ提供サーバは、認証サーバに認証を依頼して、第二端末より妥当なレスポンスを受信すると、認証サーバに対してコンテンツを送信し、認証サーバは、第一端末にコンテンツを送信するので、あらゆるコンテンツが認証サーバ経由で提供されることになり、認証サーバ側でコンテンツの流通履歴保存、課金、コンテンツ要求者毎のアクセス環境に基づいたコンテンツのサイジング等が可能である。 Further, according to the present invention, when the first terminal transmits an authentication request to the content providing server, the content providing server requests the authentication server to perform authentication, and when receiving an appropriate response from the second terminal, Since the content is sent to the first terminal, the content is sent to the first terminal, so that all content is provided via the authentication server. Content sizing based on each access environment is possible.
また、本発明によれば、第一端末が認証サーバに認証要求を送信すると、認証サーバは、第二端末より妥当なレスポンスを受信後に認証結果を返送し、その結果とともに、今度はコンテンツ提供サーバにコンテンツ要求するので、認証結果を一回受けるだけでいかなるコンテンツ提供サーバにもコンテンツ要求を送信することが可能である。 According to the present invention, when the first terminal transmits an authentication request to the authentication server, the authentication server returns an authentication result after receiving a reasonable response from the second terminal, and this time, the content providing server this time Therefore, the content request can be transmitted to any content providing server only by receiving the authentication result once.
また、本発明によれば、第一端末が認証サーバに認証要求を送信すると、認証サーバは第二端末より妥当なレスポンスを受信後にコンテンツ提供サーバに対して認証結果とともにコンテンツを要求し、そのコンテンツを第一端末に送信することで、アクセスの際に常に認証サーバを経由するので、コンテンツ要求者は、第一端末を通じて認証サーバにのみアクセスすればよく、コンテンツ要求者の操作を低減することが可能である。 According to the present invention, when the first terminal transmits an authentication request to the authentication server, the authentication server requests the content providing server together with the authentication result after receiving an appropriate response from the second terminal, and the content By transmitting to the first terminal, the content requester only needs to access the authentication server through the first terminal at the time of access, so that the operation of the content requester can be reduced. Is possible.
以下に添付図面を参照して、この発明に係る認証システム、認証方法および認証プログラムの実施例を1〜8に分けて詳細に説明する。 Embodiments of an authentication system, an authentication method, and an authentication program according to the present invention will be described below in detail with reference to the accompanying drawings.
以下の実施例では、実施例1に係る認証システムの概要および特徴、認証システムの構成および処理の流れを順に説明し、最後に実施例1による効果を説明する。 In the following embodiments, the outline and features of the authentication system according to the first embodiment, the configuration of the authentication system, and the flow of processing will be described in order, and finally the effects of the first embodiment will be described.
[システムの概要および特徴]
まず最初に、図1を用いて、実施例1に係る認証システムの概要および特徴を説明する。図1は、実施例1に係る認証システムの概要および特徴を説明するための図である。
[System overview and features]
First, the outline and features of the authentication system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining the outline and features of the authentication system according to the first embodiment.
実施例1の認証システムでは、第一端末(PC等)からのアクセスに対し、第二端末(携帯等)の認証を行い、当該認証の結果を第一端末の認証とすることを概要とする。そして、本人性確認の信頼性が低い第一端末からの認証要求に対して、本人性確認の信頼性が高い第二端末に通知を行い、第二端末からのレスポンスをもってアクセスの正当性を確認するので、第一端末から許容されたアクセス者ではない第三者の不正な認証要求を受信した場合でも、許容されたアクセス者が第二端末よりレスポンスを行わなければ認証要求は承諾されないため、不正なアクセスを回避することを可能にしている点に主たる特徴がある。 The outline of the authentication system of the first embodiment is that the second terminal (mobile phone etc.) is authenticated for the access from the first terminal (PC etc.), and the result of the authentication is the authentication of the first terminal. . Then, in response to an authentication request from the first terminal with low reliability of identity verification, it notifies the second terminal with high reliability of identity verification and confirms the legitimacy of access with the response from the second terminal Therefore, even if an unauthorized authentication request from a third party who is not an allowed accessor is received from the first terminal, the authentication request is not accepted unless the permitted accessor responds from the second terminal. The main feature is that unauthorized access can be avoided.
この主たる特徴について具体的に説明すると、図1に示すように、アクセス要求者が第一端末(PC等)から認証サーバに対してアクセス要求を行うと、認証サーバは、ログインページを第一端末に送信する。そして、かかるログインページを受け付けた第一端末は、第二端末アドレスを含んだログイン要求を認証サーバに送信する(図1の(1)〜(3)参照)。具体的には、認証サーバは、図19、20に例示するようなログインページを第一端末に送信し、かかるログインページに携帯メールアドレスを入力して送信する。 Specifically, as shown in FIG. 1, when the access requester makes an access request to the authentication server from the first terminal (PC or the like), the authentication server displays the login page on the first terminal. Send to. And the 1st terminal which received this login page transmits the login request | requirement containing a 2nd terminal address to an authentication server (refer (1)-(3) of FIG. 1). Specifically, the authentication server transmits a login page as exemplified in FIGS. 19 and 20 to the first terminal, and inputs and transmits a mobile mail address on the login page.
そして、ログイン要求を受信した認証サーバが、認証URLを生成し、かかる生成した認証URLを認証要求メールとして第二端末に対して送信した後、第二端末は、認証要求として個体識別番号、セッションIDおよびパスコードを認証サーバに送信する(図1の(4)〜(6)参照)。具体的には、認証サーバが、図24に例示するような認証要求メールを第二端末に送信した後に、第二端末は、認証要求メール内に含まれた認証URLにアクセスして個体識別番号、セッションIDおよびパスコードを認証サーバに送信する。なお、第二端末に認証要求メールを送信すると図23に例示するような画面が第一端末に送信される。 Then, after the authentication server that has received the login request generates an authentication URL and transmits the generated authentication URL as an authentication request mail to the second terminal, the second terminal transmits the individual identification number, the session as the authentication request. The ID and passcode are transmitted to the authentication server (see (4) to (6) in FIG. 1). Specifically, after the authentication server transmits an authentication request mail as illustrated in FIG. 24 to the second terminal, the second terminal accesses the authentication URL included in the authentication request mail to access the individual identification number. The session ID and passcode are transmitted to the authentication server. When the authentication request mail is transmitted to the second terminal, a screen as illustrated in FIG. 23 is transmitted to the first terminal.
その後、認証サーバは、第二端末の認証を行い、その認証結果を第一端末に送信する(図1の(7)〜(8)参照)。具体的には、セッションIDと状態(認証処理中)が接続情報テーブル121に登録されているかチェックを行い、登録されていれば認証可、登録されていなければ認証不可とする。認証可であれば、接続情報テーブル121から取得した第二端末アドレスに対応する管理情報テーブル120の個体識別番号およびパスコードと、受信した個体識別番号およびパスコードが対応するかチェックを行い、対応すればOK、対応しなければNGとする。そして、その結果を第一端末に送信する(図25参照)。 Thereafter, the authentication server authenticates the second terminal and transmits the authentication result to the first terminal (see (7) to (8) in FIG. 1). Specifically, it is checked whether the session ID and state (authenticating) are registered in the connection information table 121. If registered, authentication is possible, and if not registered, authentication is impossible. If authentication is possible, it is checked whether the individual identification number and passcode in the management information table 120 corresponding to the second terminal address acquired from the connection information table 121 correspond to the received individual identification number and passcode. If it does not correspond, it will be NG. Then, the result is transmitted to the first terminal (see FIG. 25).
このように、実施例1に係る認証システムによれば、第一端末からの認証要求に対して、第二端末に通知を行い、第二端末からのレスポンスをもってアクセスの正当性を確認するので、第一端末から許容されたアクセス者ではない第三者の不正な認証要求を受信した場合でも、許容されたアクセス者が第二端末よりレスポンスを行わなければ認証要求は承諾されないため、不正なアクセスを回避することが可能である。 Thus, according to the authentication system according to the first embodiment, in response to the authentication request from the first terminal, the second terminal is notified, and the validity of the access is confirmed by the response from the second terminal. Even if an unauthorized authentication request of a third party who is not an authorized accessor is received from the first terminal, the unauthorized access is not accepted unless the authorized accessor responds from the second terminal, so unauthorized access Can be avoided.
[認証システムの構成]
次に、図2を用いて、実施例1に係る認証システムの構成を説明する。図2は、実施例1に係る認証システムの構成を示す図である。同図に示すように、この認証システムは、第一端末210、第一端末IP網200、インターネット300、認証サーバ100、第二端末420、第二端末メールサーバ410、第二端末IP網400を有する。
[Configuration of authentication system]
Next, the configuration of the authentication system according to the first embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating the configuration of the authentication system according to the first embodiment. As shown in the figure, this authentication system includes a
また、認証サーバ100は、認証情報を記憶する管理情報テーブル120と、認証プロセスのセッションを記憶する接続情報テーブル121と、第二端末の情報の登録を行う登録部130と、第一端末の依頼を受けて第二端末の認証を行う認証部140と、インターネット接続を行う通信部110とから構成される。
The
このうち、管理情報テーブル120は、図3に示すように、認証情報として使用される個体識別番号と第二端末アドレスとユーザによるパスコードとを対応付けて記憶する。この個体識別番号には端末を一意に識別することができる文字列であり、例えば、携帯電話の端末ID等がある。かかる個体識別番号は、直接保存するのではなく、例えば、ハッシュ値のように一意に対応付けられる値が保存されていても良い。一方、パスコードは、数字、アルファベット、記号などの組み合わせで構成される。かかるパスコードは、直接保存するのではなく、例えば、ハッシュ値のように一意に対応付けられる値が保存されていても良い。 Among these, as shown in FIG. 3, the management information table 120 stores the individual identification number used as the authentication information, the second terminal address, and the passcode by the user in association with each other. This individual identification number is a character string that can uniquely identify a terminal, such as a mobile phone terminal ID. Such an individual identification number is not directly stored, but a value uniquely associated, for example, a hash value may be stored. On the other hand, the passcode is composed of a combination of numbers, alphabets, symbols and the like. Such a passcode is not stored directly, but a value uniquely associated such as a hash value may be stored.
また、接続情報テーブル121は、図4に示すように、一意のセッションIDと、第二端末アドレスと、セッションの状態が対応して記憶される。かかるセッションの状態は、例えば、「認証済み」、「認証処理中」、「登録済み」、「登録処理中」などが存在する。 Further, as shown in FIG. 4, the connection information table 121 stores a unique session ID, a second terminal address, and a session state in association with each other. The session status includes, for example, “authenticated”, “authentication process in progress”, “registered”, “registration process in progress”, and the like.
また、登録部130は、第二端末の登録に使用するURLを生成する登録URL生成部131と、前記登録URLを第二端末に送信する登録URL送信部132と、登録URLにアクセスしてきた第二端末の情報を管理情報テーブルに記憶する登録処理部133と、登録結果を第一端末に送信する登録結果送信部134とを備える。
In addition, the
また、認証部140は、第二端末の認証に使用するURLを作成する認証URL生成部141と、認証URLを第二端末に送信する認証URL送信部142と、認証URLにアクセスしてきた第二端末の認証を行う認証処理部143と、認証結果を第一端末に送信する認証結果送信部144とを備える。
In addition, the
[認証システムによる登録処理]
次に、図5を用いて、認証システムによる登録処理の流れを説明する。図5は、認証システムによる登録処理の流れを示すフローチャートである。
[Registration process by authentication system]
Next, the flow of registration processing by the authentication system will be described with reference to FIG. FIG. 5 is a flowchart showing the flow of registration processing by the authentication system.
同図に示すように、第一端末210から認証サーバ100に対してアクセス要求としてHTTP要求メッセージが送信されると(ステップS1010)、認証サーバ100は、登録ページを送信する(ステップS1020)。
As shown in the figure, when an HTTP request message is transmitted as an access request from the
続いて、第一端末210から認証サーバ100に対して第二端末アドレスをHTTP要求メッセージとして送信すると(ステップS1030)、認証サーバ100は、登録URLを生成する(ステップS1040)。なお、かかる登録URLを生成する処理については図6用いて後に詳述する。
Subsequently, when the second terminal address is transmitted as an HTTP request message from the
続いて、認証サーバ100は、生成した登録URLを第二端末にメールで送信する(ステップS1050)。かかるメールを受信した第二端末420は、登録URLによる個体識別番号、セッションIDおよびパスコードをHTTP要求メッセージとして認証サーバ100に送信する(ステップS1060)。かかるHTTP要求メッセージを受信した認証サーバ100は、登録処理を行う(ステップS1070)。なお、かかる登録処理については図7を用いて後に詳述する。その後、認証サーバ100は、登録の結果をHTTP応答メッセージとして第一端末210に送信する(ステップS1080)。
Subsequently, the
続いて、図6を用いて、認証サーバ100による登録URL生成処理(図5に示したステップS1040に対応する処理)を詳しく説明する。図6は、登録URL生成処理の詳細を示すフローチャートである。
Next, a registration URL generation process (a process corresponding to step S1040 shown in FIG. 5) by the
まず、第二端末アドレスが管理情報テーブルに記憶されているかチェックを行い、記憶されていれば登録可、記憶されていなければ登録不可とする(ステップS1041)。登録可であれば、時刻と乱数からなる文字列のハッシュ値等の一意のセッションIDを生成する(ステップS1042)。次に、接続情報テーブルに、セッションID、第二端末アドレス、状態(登録処理中)を登録する(ステップS1043)。次に、登録用アドレスの末尾にセッションIDを付加した登録URLを生成する(ステップS1044)。 First, it is checked whether the second terminal address is stored in the management information table. If it is stored, registration is possible, and if not, registration is not possible (step S1041). If registration is possible, a unique session ID such as a hash value of a character string made up of time and a random number is generated (step S1042). Next, the session ID, the second terminal address, and the state (during registration processing) are registered in the connection information table (step S1043). Next, a registration URL is generated by adding a session ID to the end of the registration address (step S1044).
続いて、図7を用いて、認証サーバ100による登録処理(図5に示したステップS1070に対応する処理)を詳しく説明する。図7は、登録処理の詳細を示すフローチャートである。
Next, a registration process (a process corresponding to step S1070 shown in FIG. 5) by the
まず、セッションIDと状態(登録処理中)が接続情報テーブル121に対応付けて記憶されているかチェックを行い、記憶されていれば登録可、記憶されていなければ登録不可とする(ステップS1071)。登録可であれば、接続情報テーブル121に記憶されているセッションIDに対応するセッション情報の状態「登録処理中」から「登録済み」に変更し、第二端末アドレス、送信された個体識別番号およびパスコードを管理情報テーブル120に登録する。また、有効条件が設定されている場合は、有効期限の満了日を2004年1月1日から数えて日単位で数値化したものを管理情報テーブルに登録し、指定されていない場合は「0」を管理情報テーブルに登録する(ステップS1072)。 First, it is checked whether the session ID and state (during registration processing) are stored in association with the connection information table 121. If stored, registration is possible, and if not stored, registration is not possible (step S1071). If registration is possible, the state of the session information corresponding to the session ID stored in the connection information table 121 is changed from “registration processing” to “registered”, the second terminal address, the transmitted individual identification number, and The passcode is registered in the management information table 120. Also, when the validity condition is set, the expiration date of the expiration date counted from January 1, 2004 and digitized in the daily unit is registered in the management information table. "Is registered in the management information table (step S1072).
[認証システムによるログイン処理]
次に、図8を用いて、認証システムによるログイン処理の流れを説明する。図8は、認証システムによるログイン処理の流れを示すフローチャートである。
[Login processing by authentication system]
Next, the flow of login processing by the authentication system will be described with reference to FIG. FIG. 8 is a flowchart showing the flow of login processing by the authentication system.
同図に示すように、第一端末210から認証サーバ100に対してアクセス要求としてHTTP要求メッセージが送信されると(ステップS2010)、認証サーバ100は、ログインページを送信する(ステップS2020)。
As shown in the figure, when an HTTP request message is transmitted as an access request from the
続いて、第一端末210から認証サーバ100に対して第二端末アドレスをHTTP要求メッセージとして送信すると(ステップS2030)、認証サーバ100は、認証URLを生成する(ステップS2040)。なお、かかる認証URLを生成する処理については図9を用いて後に詳述する。
Subsequently, when the second terminal address is transmitted as an HTTP request message from the
そして、認証サーバ100は、生成した認証URLを第二端末420にメールで送信する(ステップS2050)。かかるメールを受信した第二端末420は、認証URLによる個体識別番号、セッションIDおよびパスコードをHTTP要求メッセージとして認証サーバ100に送信する(ステップS2060)。かかるHTTP要求メッセージを受信した認証サーバ100は、認証処理を行う(ステップS2070)。なお、かかる認証処理については図10を用いて後に詳述する。その後、認証サーバ100は、認証の結果をHTTP応答メッセージとして第一端末210に送信する(ステップS2080)。
Then, the
なお、上記の実施例1では、第一端末210から認証サーバ100に第二端末アドレスをHTTP要求メッセージとして送信したが、第二端末アドレスに関する情報(ID等)を送信しても良い。この場合は、管理情報テーブル120は、さらに第二端末アドレスに関する情報を保持し、認証サーバ100は、登録処理時に一意の第二端末アドレスに関する情報を時刻をキーとした乱数等を利用して生成、保存し、認証時には受信した第二端末に係る情報をキーに管理用法テーブルから第二端末アドレスを取得し、第二端末宛に認証URLを送信した上で、かかる認証処理を行う。
In the first embodiment, the second terminal address is transmitted as an HTTP request message from the
続いて、図9を用いて、認証サーバ100による認証URL生成処理(図8に示したステップS2040に対応する処理)を詳しく説明する。図9は、認証URL生成処理の詳細を示すフローチャートである。
Next, an authentication URL generation process (process corresponding to step S2040 shown in FIG. 8) by the
まず、第二端末アドレスが管理情報テーブル120に記憶されているかチェックを行い、記憶されていれば認証可、記憶されていなければ認証不可とする。また、認証可であって、管理情報テーブルに有効条件が設定されている(0でない)場合は、設定された数値に2004年1月1日を加算して有効期限の満了日を算出、現在の日付が満了日を過ぎているか判定する。かかる判定により過ぎていると判定された場合は、認証不可とする(ステップS2041)。認証可であれば、時刻と乱数からなる文字列のハッシュ値等の一意のセッションIDを生成する(ステップS2042)。次に、接続情報テーブル121にセッションID、第二端末アドレス、状態(認証処理中)を登録する(ステップS2043)。次に、認証用アドレスの最後にセッションIDを付加した認証URLを生成する(ステップS2044)。 First, it is checked whether the second terminal address is stored in the management information table 120. If it is stored, authentication is possible, and if it is not stored, authentication is not possible. If the authentication is possible and the valid condition is set in the management information table (not 0), the expiration date of the expiration date is calculated by adding January 1, 2004 to the set numerical value. It is determined whether the date of has passed the expiration date. If it is determined that the determination has passed, authentication is not possible (step S2041). If authentication is possible, a unique session ID such as a hash value of a character string composed of time and a random number is generated (step S2042). Next, the session ID, the second terminal address, and the state (during authentication processing) are registered in the connection information table 121 (step S2043). Next, an authentication URL with a session ID added to the end of the authentication address is generated (step S2044).
続いて、図10を用いて、認証サーバ100による認証処理(図8に示したステップS2070に対応する処理)を詳しく説明する。図10は、認証処理の詳細を示すフローチャートである。
Next, the authentication process (process corresponding to step S2070 shown in FIG. 8) by the
まず、セッションIDと状態(認証処理中)が接続情報テーブル121に登録されているかチェックを行い、登録されていれば認証可、登録されていなければ認証不可とする(ステップS2071)。認証可であれば、接続情報テーブル121から取得した第二端末アドレスに対応する管理情報テーブル120の個体識別番号およびパスコードと、受信した個体識別番号およびパスコードが対応するかチェックを行い、対応すればOK、対応しなければNGとする(ステップS2072)。OKであれば、接続情報テーブル121に記憶されている該当セッションIDの情報を状態「認証処理中」から「認証済み」に変更する(ステップS2073)。 First, it is checked whether the session ID and state (authentication processing is in progress) are registered in the connection information table 121. If registered, authentication is possible, and if not registered, authentication is not possible (step S2071). If authentication is possible, it is checked whether the individual identification number and passcode in the management information table 120 corresponding to the second terminal address acquired from the connection information table 121 correspond to the received individual identification number and passcode. If it does, it is OK, otherwise it is NG (step S2072). If OK, the information of the corresponding session ID stored in the connection information table 121 is changed from the state “authenticating” to “authenticated” (step S2073).
[実施例1の効果]
上述してきたように、実施例1によれば、第一端末からの認証要求に対して、第二端末に通知を行い、第二端末からのレスポンスをもってアクセスの正当性を確認するので、第一端末から許容されたアクセス者ではない第三者の不正な認証要求を受信した場合でも、許容されたアクセス者が第二端末よりレスポンスを行わなければ認証要求は承諾されないため、不正なアクセスを回避することが可能である。
[Effect of Example 1]
As described above, according to the first embodiment, in response to the authentication request from the first terminal, the second terminal is notified and the validity of the access is confirmed by the response from the second terminal. Even if an unauthorized authentication request from a third party who is not an authorized accessor is received from the terminal, the authentication request is not accepted unless the authorized accessor responds from the second terminal, thus preventing unauthorized access. Is possible.
また、実施例1によれば、第一端末から第二端末アドレスを受信し、受け付けた第二端末アドレス宛に認証用アドレスを通知するので、任意の第二端末にレスポンス要求を通知することが可能である。 Further, according to the first embodiment, the second terminal address is received from the first terminal, and the authentication address is notified to the received second terminal address. Therefore, a response request can be notified to an arbitrary second terminal. Is possible.
また、実施例1によれば、受け付けられた第二端末アドレスに関する情報と第二端末アドレスとを対応付けて記憶し、第一端末から第二端末アドレスに関する情報を受け付け、そのアドレスに記憶された第二端末アドレスのうち第二端末アドレスに関する情報に対応する第二端末アドレス宛に認証用アドレスを通知するので、第一端末からの認証要求時に第二端末アドレスを毎回入力する必要が無くなるため、入力に伴う漏洩(例えば、インターネットカフェのような日常使わないPC端末から入力時にキーロガー等でアドレスを収集する等)から、第二端末アドレスを保護することが可能である。 Moreover, according to Example 1, the information regarding the received 2nd terminal address and the 2nd terminal address were matched and memorize | stored, the information regarding the 2nd terminal address was received from the 1st terminal, and it memorize | stored in the address Since the authentication address is notified to the second terminal address corresponding to the information related to the second terminal address among the second terminal addresses, it is not necessary to input the second terminal address every time an authentication request is made from the first terminal. It is possible to protect the second terminal address from leakage due to input (for example, collecting addresses with a key logger or the like at the time of input from a PC terminal not used everyday such as an Internet cafe).
また、実施例1によれば、第二端末の認証に関する情報を記憶し、第二端末から第二端末の認証に関する情報を受け付け、その第二端末の認証に関する情報が記憶された第二端末の認証に関する情報との対応に基づいて第一端末を認証するので、固有の第二端末以外からのレスポンスが拒否可能となるため、例えば、許容されたアクセス者が所有する端末のみを第二端末として割当てることが可能である。 Moreover, according to Example 1, the information regarding the authentication of the second terminal is stored, the information regarding the authentication of the second terminal is received from the second terminal, and the information regarding the authentication of the second terminal is stored. Since the first terminal is authenticated based on the correspondence with the authentication-related information, it is possible to refuse a response from other than the unique second terminal. For example, only the terminal owned by the authorized accessor is used as the second terminal. Can be assigned.
また、実施例1によれば、第二端末の認証に関する情報として端末固有の認証識別子を受け付け、その認証識別子に基づいて第一端末を認証するので、変更が不可能な第二端末識別子を予め記憶し、第二端末からのレスポンス時に受信した識別子と、記憶した第二端末識別子とが対応した場合に認証を可能とする結果、第三者による不正な認証を防止することが可能である。 Further, according to the first embodiment, the terminal-specific authentication identifier is received as information related to the authentication of the second terminal, and the first terminal is authenticated based on the authentication identifier. As a result of enabling authentication when the stored identifier received at the time of a response from the second terminal corresponds to the stored second terminal identifier, unauthorized authentication by a third party can be prevented.
また、実施例1によれば、第二端末のレスポンス要求の送信に有効条件を設定するので、第二端末への不要なレスポンス要求を排除することが可能である。 Further, according to the first embodiment, the effective condition is set for the transmission of the response request from the second terminal, so that it is possible to eliminate an unnecessary response request to the second terminal.
また、実施例1によれば、有効条件として、期限、時間、回数、アクセス元若しくはこれらの組み合わせを設定するので、第二端末への不要なレスポンス要求を排除することが可能である。 In addition, according to the first embodiment, the deadline, the time, the number of times, the access source, or a combination thereof is set as the valid condition, so it is possible to eliminate an unnecessary response request to the second terminal.
ところで、上記の実施例1では、第二端末アドレスに個体識別番号等を対応付けて記憶して、認証を行う場合を説明したが、本発明はこれに限定されるものではなく、第二端末アドレスと個体識別番号を所定の鍵によって含んだアクセスコードを生成して、認証を行うようにしてもよい。 By the way, in the above-described first embodiment, the case where authentication is performed by associating and storing an individual identification number or the like with the second terminal address has been described, but the present invention is not limited to this, and the second terminal Authentication may be performed by generating an access code including an address and an individual identification number using a predetermined key.
そこで、以下の実施例2では、第二端末アドレスを所定の鍵によって含んだアクセスコードを生成して、認証を行う場合として、図11〜図16を用いて実施例2に係る認証システムを説明する。 Therefore, in the following second embodiment, an authentication system according to the second embodiment will be described with reference to FIGS. 11 to 16 as a case where authentication is performed by generating an access code including a second terminal address with a predetermined key. To do.
まず、図11を用いて、実施例2に係る認証システムの構成を説明する。図11は実施例2に係る認証システムの構成を示す図である。同図に示すように、実施例2に係る認証システムは図2に示した実施例1に係る認証システムと比較して、認証サーバ100は、発行鍵記憶部122と、アクセスコード生成部135と、アクセスコード解読部145を新たに備える点が相違する。
First, the configuration of the authentication system according to the second embodiment will be described with reference to FIG. FIG. 11 is a diagram illustrating the configuration of the authentication system according to the second embodiment. As shown in the figure, compared with the authentication system according to the first embodiment shown in FIG. 2, the
このうち、発行鍵記憶部122は、アクセスコードの生成する鍵を記憶する。また、アクセスコード生成部135は、アクセスコードを生成する。また、アクセスコード解読部145はアクセスコードを解読する。
Among these, the issuance
次に、図12を用いて実施例2にかかる認証システムによるアクセスコード発行処理について説明する。実施例2にかかるアクセスコード発行処理は、図5に示した実施例1の認証システムによる登録処理と比較して、アクセスコードを生成する点が相違する。 Next, an access code issuing process by the authentication system according to the second embodiment will be described with reference to FIG. The access code issuance process according to the second embodiment is different from the registration process performed by the authentication system according to the first embodiment illustrated in FIG. 5 in that an access code is generated.
すなわち、図12に示すように、第二端末は個体識別番号とセッションIDをHTTP要求メッセージとして認証サーバ100に送信(図21参照)した後に(ステップS3060)、アクセス者認証処理を行う(ステップS3070)。かかるアクセス者認証処理は、具体的には、図13に示すように、まず、受信したセッションIDと状態(登録処理中)とが接続情報テーブル121に登録されているかチェックを行い、登録されていれば生成可、登録されていなければ生成不可とする(ステップS3071)。生成可であれば、接続情報テーブル121に記憶されているセッションIDに対応するセッション情報を状態「登録処理中」から「登録済み」に変更する(ステップS3072)。さらに、接続情報テーブル121で、セッションIDに対応付けられた第二端末アドレスを取得する(ステップS3073)。 That is, as shown in FIG. 12, the second terminal transmits an individual identification number and a session ID as an HTTP request message to the authentication server 100 (see FIG. 21) (step S3060), and then performs an accessor authentication process (step S3070). ). Specifically, as shown in FIG. 13, the accessor authentication process first checks whether the received session ID and state (during registration process) are registered in the connection information table 121 and is registered. If it is not registered, it cannot be generated (step S3071). If it can be generated, the session information corresponding to the session ID stored in the connection information table 121 is changed from the state “registration processing” to “registered” (step S3072). Further, the second terminal address associated with the session ID is acquired from the connection information table 121 (step S3073).
その後、アクセスコードを生成する処理を行う。かかるアクセスコード生成処理は、具体的には、図14に示すように、まず、第二端末アドレスの最後に“|”を追加し、これをデータAとする(ステップS3081)。次に、個体識別番号をデータAの後ろに付加し、さらに最後尾に“|”を追加する(ステップS3082)。次に、有効条件が設定されていれば「1」、されていなければ「0」という1ビットのデータをデータBとする(ステップS3083)。そして、有効条件が設定されている場合、有効期限の満了日を2004年1月1日から日単位で数値化し、この日数を13ビットの整数値として符号化しデータB1を生成し、このデータB1をデータBの最後尾に追加する(ステップS3084)。かかるアクセスコードに含まれる有効条件の例を図18に例示する。なお、第二端末の認証に関する情報(例えば、子体識別番号)を含むアクセスコードは、特許請求の範囲に記載の「認証コード」に対応する。 Thereafter, processing for generating an access code is performed. Specifically, in the access code generation process, as shown in FIG. 14, first, “|” is added to the end of the second terminal address, and this is used as data A (step S3081). Next, an individual identification number is added after the data A, and “|” is added at the end (step S3082). Next, 1-bit data of “1” if the valid condition is set and “0” if it is not set is set as data B (step S3083). Then, when the validity condition is set, the expiration date of the expiration date is digitized in units of days from January 1, 2004, the number of days is encoded as a 13-bit integer value to generate data B1, and this data B1 Is added to the end of data B (step S3084). An example of valid conditions included in such an access code is illustrated in FIG. An access code including information (for example, a child body identification number) relating to authentication of the second terminal corresponds to an “authentication code” recited in the claims.
その後、データAおよびデータBを連結してなるデータを発行鍵で暗号化し、この暗号化データをBASE32符号化して得られる符号化データをサーバURLの最後に追加することで、図17に例示するようなアクセスコードを生成する(ステップS3085)。その後、生成されたアクセスコードをHTTP要求メッセージとして送信する(図22参照)。なお、アクセスコードに含まれる有効条件は、アクセス許可期間に限定されるものではなく、図18に示すように、アクセス許可時間、アクセス許可回数、アクセス許可ホスト、これらの組み合わせでもよい。 Thereafter, data obtained by concatenating data A and data B is encrypted with an issue key, and encoded data obtained by BASE32 encoding this encrypted data is added to the end of the server URL, which is illustrated in FIG. Such an access code is generated (step S3085). Thereafter, the generated access code is transmitted as an HTTP request message (see FIG. 22). The valid condition included in the access code is not limited to the access permission period, but may be an access permission time, an access permission count, an access permission host, or a combination thereof, as shown in FIG.
次に、図15を用いて実施例2にかかるログイン処理について説明する。実施例2のログイン処理は、図8に示した実施例1にかかるログイン処理と比較して、アクセスコード解読処理を行う点が相違する。 Next, a login process according to the second embodiment will be described with reference to FIG. The login process according to the second embodiment is different from the login process according to the first embodiment illustrated in FIG. 8 in that an access code decoding process is performed.
すなわち、図15に示すように、第一端末210から認証サーバ100にアクセスコードをHTTP要求メッセージとして送信した後に(ステップS4010)、アクセスコード解読処理を行う(ステップS4020)。かかるアクセスコード解読処理は、具体的には、図16に示すように、まず、アクセスコードをBASE32複合化して得られるデータを発行鍵記憶部122の発行鍵で複合化したデータをデータXとし、データXの先頭から2番目にあるストローク“|”までを「データA」として、それ以降を「データB」として復元する(ステップS4021)。
That is, as shown in FIG. 15, after the access code is transmitted as the HTTP request message from the
次に、データBの先頭ビットを確認し、先頭ビットが「1」の場合(有効期限が設定されている場合)、先頭ビットに続く13ビット整数値とみなして得られる数(日数)に2004年1月1日を加算して有効期限の満了日を算出、現在の日付が満了日を過ぎているか判定し、過ぎている場合には認証情報通知不可とする(ステップS4022)。認証通知可の場合は、データAの先頭から1番目の“|”までのデータを第二端末アドレスとして取得するとともに、データAの先頭から2番目の“|”以降のデータを端末識別番号として取得する(ステップS4023)。 Next, the first bit of the data B is confirmed, and when the first bit is “1” (when an expiration date is set), the number obtained as a 13-bit integer value following the first bit (number of days) is set to 2004. The expiration date of the expiration date is calculated by adding January 1 of the year, and it is determined whether the current date has passed the expiration date. If it has passed, authentication information notification is disabled (step S4022). When authentication notification is possible, the data from the top of data A to the first “|” is acquired as the second terminal address, and the data after the second “|” from the top of data A is used as the terminal identification number. Obtain (step S4023).
このように、実施例2では、受け付けられた第二端末アドレスに関する情報を所定の鍵によって含んだアクセスコードを生成し、第一端末からアクセスコードを受け付け、そのアクセスコードに含まれた第二端末アドレスを取得し、その第二端末アドレス宛に認証用アドレスを通知するので、第二端末アドレスを記憶する手段を不要とすることが可能である。 As described above, in the second embodiment, an access code including information regarding the received second terminal address is generated using a predetermined key, the access code is received from the first terminal, and the second terminal included in the access code is generated. Since the address is acquired and the authentication address is notified to the second terminal address, a means for storing the second terminal address can be eliminated.
また、実施例2では、第二端末の認証に関する情報を所定の鍵によって含んだアクセスコードを生成し、第二端末から第二端末の認証に関する情報を受け付け、アクセスコードから取得される第二端末の認証に関する情報との対応に基づいて第一端末を認証するので、第二端末の認証情報を記憶する手段を不要とすることが可能である。 In the second embodiment, an access code including information related to authentication of the second terminal is generated using a predetermined key, information related to authentication of the second terminal is received from the second terminal, and the second terminal acquired from the access code Since the first terminal is authenticated based on the correspondence with the authentication information, it is possible to dispense with a means for storing the authentication information of the second terminal.
また、実施例2では、有効条件を含んだアクセスコードを生成し、第一端末よりアクセスコード伴って認証要求を返信させるので、有効条件を記憶する手段を不要にすることが可能である。 Further, in the second embodiment, an access code including a valid condition is generated, and an authentication request is returned from the first terminal together with the access code. Therefore, a means for storing the valid condition can be eliminated.
ところで、上記の実施例1では、アクセス者を認証する認証サーバを備える場合を説明したが、本発明はこれに限定されるものではなく、認証サーバから受信した登録要求メールを第二端末に転送する転送サーバをさらに備えるようにしてもよい。 By the way, in the first embodiment, the case where the authentication server for authenticating the accessor is provided has been described. However, the present invention is not limited to this, and the registration request mail received from the authentication server is transferred to the second terminal. A transfer server may be further provided.
そこで、以下の実施例3では、認証サーバから受信した登録要求メールを第二端末に転送する転送サーバをさらに備える場合として、図26〜図29を用いて実施例3に係る認証システムを説明する。 Therefore, in the following third embodiment, the authentication system according to the third embodiment will be described with reference to FIGS. 26 to 29 as a case where a transfer server that transfers the registration request mail received from the authentication server to the second terminal is further provided. .
具体的には、図26に示すように、実施例3にかかる認証システムは、認証サーバ100とともに転送サーバ500を有する。かかる転送サーバ500は、転送条件を記憶する転送情報テーブル520と、転送アドレス宛に送信されたメールを受信し、転送判断を行うメール解読処理部530と、メールを転送するメール転送処理部531と、インターネット接続を行う通信部510とで構成される。
Specifically, as illustrated in FIG. 26, the authentication system according to the third embodiment includes a
このうち、転送情報テーブル520は、図29に示すように、転送アドレス、第二端末アドレス、転送条件が対応付けられて記憶されている。 Among these, the transfer information table 520 stores a transfer address, a second terminal address, and transfer conditions in association with each other as shown in FIG.
次に、図27を用いて実施例3にかかる認証システムによる登録処理について説明する。実施例3にかかる認証システムによる登録処理は、図5に示した実施例1の認証システムによる登録処理と比較して、転送サーバが認証サーバから受信した登録要求メールを第二端末に転送する点が相違する。 Next, registration processing by the authentication system according to the third embodiment will be described with reference to FIG. The registration process by the authentication system according to the third embodiment is such that the transfer server forwards the registration request mail received from the authentication server to the second terminal as compared with the registration process by the authentication system of the first embodiment shown in FIG. Is different.
すなわち、図27に示すように、登録ページを受信した後に(ステップS5020)、第一端末210は、第二端末アドレスに代えて転送サーバのアドレスを認証サーバ100に送信する(ステップS5030)。そして、転送アドレスを受信した認証サーバ100は、実施例1と同様に登録URLを生成し(ステップS5040)、転送アドレス宛に登録要求メールを送信する(ステップS5050)。
That is, as shown in FIG. 27, after receiving the registration page (step S5020), the
その後、メールを受信した転送サーバ500は、転送アドレスをキーとして転送情報テーブル520から転送条件を取得し、転送条件を満たしているか判断する。転送条件を満たしていれば、転送アドレスをキーとして転送情報テーブル520に記憶してある第二端末アドレスを取得し、該当メールの宛先を転送アドレスから第二端末アドレスに変更し(ステップS5060)、第二端末宛に登録要求のメールを送信する(ステップS5070)。具体的には、転送条件に発信ドメインが設定されている場合は、設定されたドメインから送信されたメールのみを転送し、転送時間が設定されている場合には、設定された時間に送信されたメールのみを転送する。その後の登録処理は実施例1と同様である。
Thereafter, the
また、図28に示すように、実施例3にかかるログイン処理は、実施例1にかかる登録処理と同様に転送アドレスを用い、ログインにおいて転送用アドレスを用い、転送方法についても実施例1にかかる登録処理と同様の処理を行う。 As shown in FIG. 28, the log-in process according to the third embodiment uses the transfer address in the same manner as the registration process according to the first embodiment, uses the transfer address for log-in, and the transfer method according to the first embodiment. The same process as the registration process is performed.
このように、実施例3では、第二端末へのレスポンス要求を別に設置した転送アドレスに送信し、さらに転送アドレスより第二端末アドレスに転送するので、例えば、第三者からの不正な認証要求等、第一端末より不要な認証要求が送信された場合でも、第二端末アドレスの削除や変更を行うことなく、転送アドレスを廃止するだけで不要なレスポンス要求を抑止することが可能である。 As described above, in the third embodiment, a response request to the second terminal is transmitted to the separately installed transfer address, and further transferred from the transfer address to the second terminal address. For example, an unauthorized authentication request from a third party Even when an unnecessary authentication request is transmitted from the first terminal, it is possible to suppress unnecessary response requests by simply eliminating the transfer address without deleting or changing the second terminal address.
また、実施例3では、転送アドレスからの転送時に転送条件を元に可否判断を行うことにより、転送条件に合致しない通信要求は転送されないので、転送アドレスを廃止することなく、不要なレスポンス要求を抑止することが可能である。 Further, in the third embodiment, since a communication request that does not meet the transfer condition is not transferred by determining whether transfer is possible based on the transfer condition at the time of transfer from the transfer address, an unnecessary response request is made without abolishing the transfer address. It can be deterred.
また、実施例3では、期限、時間、回数、発信側ドメイン若しくはこれらの組み合わせを有効条件とすることにより、有効条件に合致しないレスポンス要求は転送しないので、転送アドレスを廃止することなく、不要なレスポンス要求を抑止することが可能である。 Further, in the third embodiment, since the response request that does not meet the valid condition is not transferred by setting the deadline, time, number of times, caller domain or a combination thereof as a valid condition, the transfer address is not abolished and unnecessary. It is possible to suppress response requests.
ところで、上記の実施例2では、アクセス者を認証する認証サーバを備える場合を説明したが、本発明はこれに限定されるものではなく、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、コンテンツ提供サーバが第一端末からの認証要求を受け付けて、認証サーバに認証を依頼すると、認証サーバは、認証を行い、認証結果をコンテンツ提供サーバに送信するようにしてもよい。 By the way, in the second embodiment, the case where the authentication server that authenticates the accessor is provided has been described. However, the present invention is not limited to this, and further includes a content providing server that provides content to the first terminal. When the content providing server receives an authentication request from the first terminal and requests authentication from the authentication server, the authentication server may perform authentication and transmit an authentication result to the content providing server.
そこで、以下の実施例4では、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、コンテンツ提供サーバが第一端末からの認証要求を受け付けて、認証サーバに認証を依頼すると、認証サーバは、認証を行い、認証結果をコンテンツ提供サーバに送信する場合として、図30および図31を用いて実施例4に係る認証システムを説明する。 Therefore, in Example 4 below, a content providing server that provides content to the first terminal is further provided. When the content providing server accepts an authentication request from the first terminal and requests authentication from the authentication server, the authentication server As an example in which authentication is performed and an authentication result is transmitted to the content providing server, an authentication system according to the fourth embodiment will be described with reference to FIGS. 30 and 31. FIG.
具体的には、図30に示すように、実施例4に係る認証システムの構成は、図11に示した実施例2に係る認証システムと比較してコンテンツ提供サーバ600を新たに有する点が相違する。かかるコンテンツ提供サーバ600は、コンテンツの情報を記憶するコンテンツテーブル620と、第一端末にコンテンツを提供するコンテンツ提供部630と、第一端末との接続と認証サーバとの接続を結びつけるセッションを生成するセッション生成部631と、認証サーバに認証を依頼する認証依頼送信部632と、インターネット接続を行う通信部610とで構成される。
Specifically, as shown in FIG. 30, the configuration of the authentication system according to the fourth embodiment is different from the authentication system according to the second embodiment shown in FIG. To do. The
次に、図31を用いて実施例4に係る認証システムによるコンテンツ提供処理について説明する。実施例4にかかる認証システムによるコンテンツ提供処理は、図15に示した実施例2に係る認証システムによるログイン処理と比較して、コンテンツ提供サーバが認証の結果に応じて、第一端末にコンテンツを提供する点が相違する。 Next, content providing processing by the authentication system according to the fourth embodiment will be described with reference to FIG. The content providing process by the authentication system according to the fourth embodiment is compared with the login process by the authentication system according to the second embodiment illustrated in FIG. 15, and the content providing server sends the content to the first terminal according to the authentication result. The point to provide is different.
すなわち、図31に示すように、コンテンツサーバは第一端末からアクセス要求を受け付けて(ステップS7010)、ログインページを第一端末210に送信した後に(ステップS7020)、第一端末210からアクセスコードを含んだログイン要求を受け付ける(ステップS7030)。そして、コンテンツ提供サーバ600は、第一端末との接続と認証サーバとの接続を結び付けるセッションを生成し(ステップS7040)、認証サーバ100にアクセスコードとセッションIDをHTTP要求メッセージとして送信する(ステップS7050)。
That is, as shown in FIG. 31, the content server receives an access request from the first terminal (step S7010), transmits a login page to the first terminal 210 (step S7020), and then obtains an access code from the
その後、実施例2と同様の認証処理を行った後、コンテンツ提供サーバ600は、認証の結果を認証サーバ100から受信し(ステップS7110)、かかる受信した結果に基づいてコンテンツを第一端末に送信する(ステップS7120)。
Thereafter, after performing the same authentication process as in the second embodiment, the
このように、実施例4によれば、コンテンツ提供サーバは、第一端末からの認証要求を受け付け、かつコンテンツ提供サーバに対して認証結果の提供を行うので、コンテンツ要求者は、第一端末を通じてコンテンツ提供サーバのみにアクセスすればよく、コンテンツ要求者の操作を低減することが可能である。 As described above, according to the fourth embodiment, the content providing server receives the authentication request from the first terminal and provides the authentication result to the content providing server. Only the content providing server needs to be accessed, and the operation of the content requester can be reduced.
ところで、上記の実施例2では、アクセス者を認証する認証サーバを備える場合を説明したが、本発明はこれに限定されるものではなく、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、第一端末がコンテンツ提供サーバに認証要求を送信すると、コンテンツ提供サーバは、認証サーバに認証を依頼して、第二端末より妥当なレスポンスを受信すると、認証サーバに対してコンテンツを送信し、認証サーバは、第一端末にコンテンツを送信するようにしてもよい。 By the way, in the second embodiment, the case where the authentication server that authenticates the accessor is provided has been described. However, the present invention is not limited to this, and further includes a content providing server that provides content to the first terminal. When the first terminal sends an authentication request to the content providing server, the content providing server requests the authentication server for authentication, and when receiving a reasonable response from the second terminal, sends the content to the authentication server, The authentication server may transmit the content to the first terminal.
そこで、以下の実施例5では、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、第一端末がコンテンツ提供サーバに認証要求を送信すると、コンテンツ提供サーバは、認証サーバに認証を依頼して、第二端末より妥当なレスポンスを受信すると、認証サーバに対してコンテンツを送信し、認証サーバは、第一端末にコンテンツを送信する場合として、図32〜図34を用いて実施例5に係る認証システムを説明する。 Therefore, in Example 5 below, a content providing server that provides content to the first terminal is further provided, and when the first terminal transmits an authentication request to the content providing server, the content providing server requests the authentication server for authentication. Then, when a reasonable response is received from the second terminal, the content is transmitted to the authentication server, and the authentication server transmits the content to the first terminal as shown in FIG. Such an authentication system will be described.
具体的には、図32に示すように、実施例5に係る認証システムの構成は、図30に示した実施例4に係る認証システムと比較してコンテンツ要求部148、コンテンツ処理部146、コンテンツ送信部147を新たに有する点が相違する。具体的には、認証部140は、認証結果に応じてコンテンツ提供サーバにコンテンツを要求するコンテンツ要求部148と、認証サーバ側でコンテンツの流通履歴保存、課金、コンテンツ要求者毎のアクセス環境に基づいたコンテンツのサイジング等を行うコンテンツ処理部146と、コンテンツ提供サーバから取得したコンテンツを第一端末に送るコンテンツ送信部147とを新たに備える。
Specifically, as shown in FIG. 32, the configuration of the authentication system according to the fifth embodiment is different from the authentication system according to the fourth embodiment shown in FIG. 30 in that the
次に、図33を用いて実施例5に係る認証システムによるコンテンツ提供処理について説明する。実施例5にかかる認証システムによるコンテンツ提供処理は、図31に示した実施例4に係る認証システムによるコンテンツ提供処理と比較して、コンテンツ提供サーバと認証サーバとの間でコンテンツ要求の送受信を行う点が相違する。 Next, content providing processing by the authentication system according to the fifth embodiment will be described with reference to FIG. The content providing process by the authentication system according to the fifth embodiment transmits and receives a content request between the content providing server and the authentication server, as compared with the content providing process by the authentication system according to the fourth embodiment illustrated in FIG. The point is different.
すなわち、図33に示すように、認証サーバは、認証処理を行った後に(ステップ8100)、認証サーバ100は、認証の結果に基づき、コンテンツ要求をHTTP要求メッセージとしてコンテンツ提供サーバに送信する(ステップ8110)。そして、コンテンツ提供サーバ600がコンテンツをHTTP応答メッセージとして認証サーバ100に送信する(ステップ8120)。
That is, as shown in FIG. 33, after the authentication server performs the authentication process (step 8100), the
その後、認証サーバ100が図34に例示するように、コンテンツを処理した後(ステップ8130)、コンテンツ提供サーバ600は、コンテンツをHTTP応答メッセージとして第一端末210に送信する(ステップ8140)。
Then, after the
このように、上記の実施例5によれば、第一端末がコンテンツ提供サーバに認証要求を送信すると、コンテンツ提供サーバは、認証サーバに認証を依頼して、第二端末より妥当なレスポンスを受信すると、認証サーバに対してコンテンツを送信し、認証サーバは、第一端末にコンテンツうぃ送信するので、あらゆるコンテンツが認証サーバ経由で提供されることになり、認証サーバ側でコンテンツの流通履歴保存、課金、コンテンツ要求者毎のアクセス環境に基づいたコンテンツのサイジング等が可能である。 As described above, according to the fifth embodiment, when the first terminal transmits an authentication request to the content providing server, the content providing server requests the authentication server for authentication and receives an appropriate response from the second terminal. Then, the content is transmitted to the authentication server, and the authentication server transmits the content to the first terminal. Therefore, any content is provided via the authentication server. Billing, content sizing based on the access environment for each content requester, and the like are possible.
ところで、上記の実施例2では、アクセス者を認証する認証サーバを備える場合を説明したが、本発明はこれに限定されるものではなく、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、第一端末が認証サーバに認証要求を送信すると、認証サーバは、第二端末より妥当なレスポンスを受信後に認証結果を返送し、その結果とともに、今度はコンテンツ提供サーバにコンテンツ要求するようにしてもよい。 By the way, in the second embodiment, the case where the authentication server that authenticates the accessor is provided has been described. However, the present invention is not limited to this, and further includes a content providing server that provides content to the first terminal. When the first terminal sends an authentication request to the authentication server, the authentication server sends back an authentication result after receiving a valid response from the second terminal, and this time, the content request is sent to the content providing server. Also good.
そこで、以下の実施例6では、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、第一端末が認証サーバに認証要求を送信すると、認証サーバは、第二端末より妥当なレスポンスを受信後に認証結果を返送し、その結果とともに、今度はコンテンツ提供サーバにコンテンツ要求する場合として、図35〜図39を用いて実施例6に係る認証システムを説明する。 Therefore, in Example 6 below, a content providing server that provides content to the first terminal is further provided, and when the first terminal transmits an authentication request to the authentication server, the authentication server receives a valid response from the second terminal. An authentication system according to the sixth embodiment will be described with reference to FIGS. 35 to 39 as a case where an authentication result is returned later and a content request is made to the content providing server this time.
具体的には、図35に示すように、実施例6に係る認証システムの構成は、図11に示した実施例2に係る認証システムと比較してコンテンツ提供サーバ600を新たに有する点が相違する。かかるコンテンツ提供サーバ600は、コンテンツの情報を記憶するコンテンツテーブル620と、第一端末にコンテンツを提供するコンテンツ提供部630と、認証識別子を検証する認証識別子検証処理部633と、インターネット接続を行う通信部610とで構成される。
Specifically, as shown in FIG. 35, the configuration of the authentication system according to the sixth embodiment is different from the authentication system according to the second embodiment shown in FIG. To do. The
次に、図36を用いて実施例6に係る認証システムによるコンテンツ提供処理について説明する。実施例6にかかる認証システムによるコンテンツ提供処理は、図15に示した実施例2に係る認証システムによるログイン処理と比較して、認証サーバでの認証結果を示す認証識別子を第一端末から受信して、第一端末にコンテンツを提供する点が相違する。 Next, content providing processing by the authentication system according to the sixth embodiment will be described with reference to FIG. In the content providing process by the authentication system according to the sixth embodiment, the authentication identifier indicating the authentication result in the authentication server is received from the first terminal as compared with the login process by the authentication system according to the second embodiment illustrated in FIG. The difference is that content is provided to the first terminal.
すなわち、図36に示すように、認証サーバ100は、認証処理を行った後に(ステップ9080)、認証サーバ100は、図37に例示するように、認証識別子生成処理を行う(ステップ9090)。そして、認証サーバ100が、認証結果を示す認証識別子をHTTP応答メッセージとして第一端末210に送信した後に(ステップ9100)、第一端末210は、コンテンツ提供サーバ600に認証識別子をHTTP要求メッセージとして送信する(ステップ9110)。
That is, as shown in FIG. 36, after performing the authentication process (step 9080), the
その後、コンテンツ提供サーバ600が図37に例示するような、認証識別子検証処理を行った後(ステップ9120)、コンテンツ提供サーバ600は、コンテンツをHTTP応答メッセージとして第一端末210に送信する(ステップ9130)。
Thereafter, after the
このように、上記の実施例6によれば、第一端末が認証サーバに認証要求を送信すると、認証サーバは、第二端末より妥当なレスポンスを受信後に認証結果を返送し、その結果とともに、今度はコンテンツ提供サーバにコンテンツ要求するので、認証結果を一回受けるだけでいかなるコンテンツ提供サーバにもコンテンツ要求を送信することが可能である。 Thus, according to Example 6 above, when the first terminal transmits an authentication request to the authentication server, the authentication server returns an authentication result after receiving a valid response from the second terminal, and together with the result, Since the content request is requested from the content providing server this time, it is possible to transmit the content request to any content providing server by receiving the authentication result once.
ところで、上記の実施例2では、アクセス者を認証する認証サーバを備える場合を説明したが、本発明はこれに限定されるものではなく、第一端末にコンテンツを提供するコンテンツ提供サーバをさらに備え、第一端末が認証サーバに認証要求を送信すると、認証サーバは第二端末より妥当なレスポンスを受信後にコンテンツ提供サーバに対して認証結果とともにコンテンツを要求し、そのコンテンツを第一端末に送信するようにしてもよい。 By the way, in the second embodiment, the case where the authentication server that authenticates the accessor is provided has been described. However, the present invention is not limited to this, and further includes a content providing server that provides content to the first terminal. When the first terminal transmits an authentication request to the authentication server, the authentication server requests the content providing server together with the authentication result after receiving a reasonable response from the second terminal, and transmits the content to the first terminal. You may do it.
具体的には、図38に示すように、実施例7に係る認証システムの構成は、図35に示した実施例6に係る認証システムと比較してコンテンツ要求部148、コンテンツ処理部146、コンテンツ送信部147を有する点が相違する。コンテンツ要求部148、コンテンツ処理部146、コンテンツ送信部147については、実施例5と同様である。
Specifically, as illustrated in FIG. 38, the configuration of the authentication system according to the seventh embodiment is different from the authentication system according to the sixth embodiment illustrated in FIG. 35 in that the
また、コンテンツ提供サーバ600は、コンテンツの情報を記憶するコンテンツテーブル620と、第一端末210にコンテンツを提供するコンテンツ提供部630と、インターネット接続を行う通信部610とで構成される。
The
次に、図39を用いて実施例7に係る認証システムによるコンテンツ提供処理について説明する。実施例7にかかる認証システムによるコンテンツ提供処理は、図36に示した実施例6に係る認証システムによるコンテンツ提供処理と比較して、コンテンツ提供サーバと認証サーバとの間でコンテンツ要求の送受信を行う点が相違する。 Next, content providing processing by the authentication system according to the seventh embodiment will be described with reference to FIG. The content providing process by the authentication system according to the seventh embodiment transmits and receives a content request between the content providing server and the authentication server, as compared with the content providing process by the authentication system according to the sixth embodiment illustrated in FIG. The point is different.
すなわち、図39に示すように、認証サーバは、認証処理を行った後に(ステップ10800)、認証サーバ100は、認証の結果に基づき、コンテンツ要求をHTTP要求メッセージとしてコンテンツ提供サーバに送信する(ステップ10900)。そして、コンテンツ提供サーバ600がコンテンツをHTTP応答メッセージとして認証サーバ100に送信する(ステップ11000)。
That is, as shown in FIG. 39, after performing the authentication process (step 10800), the
その後、認証サーバ100が図34に例示するように、コンテンツを処理した後(ステップ11100)、コンテンツ提供サーバ600は、コンテンツをHTTP応答メッセージとして第一端末210に送信する(ステップ11200)。
Then, after the
このように、上記の実施例7によれば、第一端末が認証サーバに認証要求を送信すると、認証サーバは第二端末より妥当なレスポンスを受信後にコンテンツ提供サーバに対して認証結果とともにコンテンツを要求し、そのコンテンツを第一端末に送信することで、アクセスの際に常に認証サーバを経由するので、コンテンツ要求者は、第一端末を通じて認証サーバにのみアクセスすればよく、コンテンツ要求者の操作を低減することが可能である。 As described above, according to the seventh embodiment, when the first terminal transmits an authentication request to the authentication server, the authentication server receives the valid response from the second terminal and then sends the content to the content providing server together with the authentication result. By requesting and sending the content to the first terminal, the access always passes through the authentication server at the time of access. Therefore, the content requester only needs to access the authentication server through the first terminal. Can be reduced.
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態を実施例8として説明する。 The embodiment of the present invention has been described so far, but the present invention will be described as an eighth embodiment in addition to the above-described embodiment.
(1)登録URLの通知手段
例えば、上記の実施例1では、認証サーバは、メールを用いて生成した登録URLを第二端末に送信する場合を説明したが、本実施例はこれに限定されるものではなく、例えば電話等を用いて通知してもよい。
(1) Registration URL Notifying Means For example, in the above-described first embodiment, the authentication server has described the case where the registration URL generated using mail is transmitted to the second terminal. However, the present embodiment is not limited to this. For example, notification may be made using a telephone or the like.
(2)個体識別番号等の通知手段
また、上記の実施例1では、第二端末は、個体識別番号、セッションIDおよびパスコードを認証サーバ100に送信する場合を説明したが、本実施例はこれに限定されるものではなく、例えばHTTPS、電話、メール、赤外線通信等を用いて通知してもよい。
(2) Means for Notifying Individual Identification Number etc. In the first embodiment, the second terminal has explained the case where the second terminal transmits the individual identification number, the session ID, and the passcode to the
(3)アクセスコード
また、上記の実施例2では、アクセスコード生成処理においてアドレスコード内に第二端末のアドレスと個体識別番号とを含んだ場合を説明したが、本実施例はこれに限定されるものではなく、例えば、第二端末のアドレスまたは個体識別番号のどちらかを含むようにしてもよい。
(3) Access Code In the second embodiment, the case where the address of the second terminal and the individual identification number are included in the address code in the access code generation process has been described. However, the present embodiment is not limited to this. For example, either the address of the second terminal or the individual identification number may be included.
(4)システム構成等
上記実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(4) System configuration, etc. Of the processes described in the above embodiments, all or part of the processes described as being performed automatically can be performed manually, or can be performed manually. All or part of the described processing can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-mentioned document and drawings can be arbitrarily changed unless otherwise specified.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Each component of each illustrated device is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
なお、上記実施例で説明した認証システム、認証方法及び認証プログラムは、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The authentication system, authentication method, and authentication program described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、本発明に係る認証システム、認証方法および認証プログラムは、アクセス者の認証に有用であり、特に、第一端末からのアクセス者の本人性確認を、簡単かつ安全に実現するのに適する。 As described above, the authentication system, the authentication method, and the authentication program according to the present invention are useful for authenticating an accessor, and in particular, can easily and safely confirm the identity of the accessor from the first terminal. Suitable for.
100 認証サーバ
110 通信部
120 管理情報テーブル
121 接続情報テーブル
122 発行鍵記憶部
130 登録部
131 登録URL生成部
132 登録URL送信部
133 登録処理部
134 登録結果送信部
135 アクセスコード生成部
140 認証部
141 認証URL生成部
142 認証URL送信部
143 認証処理部
144 認証結果送信部
145 アクセスコード解読部
146 コンテンツ処理部
147 コンテンツ送信部
148 コンテンツ要求部
200 第一端末IP網
210 第一端末
300 インターネット
400 第二端末IP網
410 第二端末メールサーバ
420 第二端末
500 転送サーバ
510 通信部
520 転送情報テーブル
530 アドレス解読処理部
531 アドレス転送処理部
600 コンテンツ提供サーバ
610 通信部
620 コンテンツテーブル
630 コンテンツ送信部
631 セッション生成部
632 認証依頼送信部
DESCRIPTION OF
Claims (6)
前記認証サーバが、
前記第一端末から登録要求のアクセスを受け付ける登録アクセス受付手段と、
前記登録アクセス受付手段によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する登録アドレス要求手段と、
前記登録アドレス要求手段によって要求された前記第二端末のアドレスを前記第一端末から受信すると、セッションIDを生成し、当該セッションIDを付加した登録URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと登録処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記登録URLを前記第二端末に送信する登録URL送信手段と、
前記登録URLを用いて、前記第二端末からセッションIDを受信した場合に、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が登録処理中の状態であるか判定する登録判定手段と、
前記登録判定手段によって前記セッションIDに対応付けられた状態が登録処理中の状態であると判定された場合には、管理情報テーブルにセッションIDを登録する登録処理手段と、
前記第一端末から認証要求のアクセスを受け付ける認証アクセス受付手段と、
前記認証アクセス受付手段によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する認証アドレス要求手段と、
前記認証アドレス要求手段によって要求された前記第二端末のアドレスを前記第一端末から受信すると、当該第二端末のアドレスが前記管理情報テーブルに登録されているか判定する第二端末アドレス判定手段と、
前記第二端末アドレス判定手段によって前記第二端末のアドレスが前記管理情報テーブルに登録されていると判定された場合には、セッションIDを付加した認証URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと認証処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記第二端末のアドレスに認証URLを送信する認証URL送信手段と、
前記認証URLを用いて、前記第二端末からセッションIDを受信し、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が認証処理中の状態であるか判定する認証判定手段と、
前記認証判定手段によって前記セッションIDに対応付けられた状態が認証処理中の状態であると判定された場合には、認証可として処理し、前記セッションIDに対応付けられた状態が認証処理中の状態でないと判定された場合には、認証不可として処理する認証処理手段と、
を備えたことを特徴とする認証システム。 An authentication system in which the authentication server authenticates the second terminal for access from the first terminal, and the result of the authentication is authentication of the first terminal,
The authentication server is
Registration access accepting means for accepting access of a registration request from the first terminal;
When receiving an access request from the first terminal by the registered access receiving means, a registered address requesting means for requesting the address of the second terminal;
When the address of the second terminal requested by the registration address requesting unit is received from the first terminal, a session ID is generated, a registration URL to which the session ID is added is generated, and the session ID and the second terminal are generated. Registration URL transmission means for associating the address of the terminal with the status information indicating that the terminal is in the registration process, storing it in the connection information table, and transmitting the registration URL to the second terminal;
When the session ID is received from the second terminal using the registration URL, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is registered. Registration determination means for determining whether or not processing is in progress;
A registration processing unit that registers a session ID in a management information table when the registration determination unit determines that the state associated with the session ID is a state during registration processing;
Authentication access accepting means for accepting access of an authentication request from the first terminal;
When an access request is received from the first terminal by the authentication access receiving means, an authentication address requesting means for requesting an address of the second terminal;
Receiving the address of the second terminal requested by the authentication address requesting means from the first terminal, second terminal address determining means for determining whether the address of the second terminal is registered in the management information table;
When the second terminal address determination means determines that the address of the second terminal is registered in the management information table, an authentication URL with a session ID added is generated, and the session ID and the second address are generated. Authentication URL transmission means for associating and storing the address of the two terminals and the status information indicating that the authentication process is in progress in the connection information table, and transmitting the authentication URL to the address of the second terminal;
Using the authentication URL, the session ID is received from the second terminal, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is being authenticated. Authentication determination means for determining whether the state is
If it is determined by the authentication determining means that the state associated with the session ID is an authentication process, the authentication process is performed, and the state associated with the session ID is an authentication process. If it is determined that it is not in a state, an authentication processing means for processing that authentication is impossible;
An authentication system characterized by comprising:
前記登録アクセス受付手段によって前記第一端末から登録要求のアクセスが受け付けられた場合に、前記第二端末のアドレスおよび前記第二端末の個体識別番号を所定の鍵によって暗号化したアクセスコードを生成するアクセスコード生成手段と、
前記アクセスコード生成手段によって生成された前記アクセスコードを前記第一端末に送信するアクセスコード送信手段と、
前記第一端末から前記アクセスコードを受信した場合に、当該アクセスコードを解読して前記第二端末のアドレスを取得するアクセスコード解読手段と、をさらに備え、
前記認証URL送信手段は、前記アクセスコード解読手段によって取得された前記第二端末のアドレスに前記認証URLを送信することを特徴とする請求項1に記載の認証システム。 The authentication server is
When a registration request access is received from the first terminal by the registration access receiving means, an access code is generated by encrypting the address of the second terminal and the individual identification number of the second terminal with a predetermined key. Access code generating means;
Access code transmitting means for transmitting the access code generated by the access code generating means to the first terminal;
An access code decoding means for acquiring the address of the second terminal by decoding the access code when the access code is received from the first terminal;
The authentication system according to claim 1, wherein the authentication URL transmitting unit transmits the authentication URL to the address of the second terminal acquired by the access code decoding unit .
前記認証サーバが、
前記第一端末から登録要求のアクセスを受け付ける登録アクセス受付工程と、
前記登録アクセス受付工程によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する登録アドレス要求工程と、
前記登録アドレス要求工程によって要求された前記第二端末のアドレスを前記第一端末から受信すると、セッションIDを生成し、当該セッションIDを付加した登録URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと登録処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記登録URLを前記第二端末に送信する登録URL送信工程と、
前記登録URLを用いて、前記第二端末からセッションIDを受信した場合に、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が登録処理中の状態であるか判定する登録判定工程と、
前記登録判定工程によって前記セッションIDに対応付けられた状態が登録処理中の状態であると判定された場合には、管理情報テーブルにセッションIDを登録する登録処理工程と、
前記第一端末から認証要求のアクセスを受け付ける認証アクセス受付工程と、
前記認証アクセス受付工程によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する認証アドレス要求工程と、
前記認証アドレス要求工程によって要求された前記第二端末のアドレスを前記第一端末から受信すると、当該第二端末のアドレスが前記管理情報テーブルに登録されているか判定する第二端末アドレス判定工程と、
前記第二端末アドレス判定工程によって前記第二端末のアドレスが前記管理情報テーブルに登録されていると判定された場合には、セッションIDを付加した認証URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと認証処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記第二端末のアドレスに認証URLを送信する認証URL送信工程と、
前記認証URLを用いて、前記第二端末からセッションIDを受信し、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が認証処理中の状態であるか判定する認証判定工程と、
前記認証判定工程によって前記セッションIDに対応付けられた状態が認証処理中の状態であると判定された場合には、認証可として処理し、前記セッションIDに対応付けられた状態が認証処理中の状態でないと判定された場合には、認証不可として処理する認証処理工程と、
を含んだことを特徴とする認証方法。 An authentication method in which the authentication server authenticates the second terminal for access from the first terminal, and the result of the authentication is authentication of the first terminal,
The authentication server is
A registration access accepting step for accepting access of a registration request from the first terminal;
If an access request is received from the first terminal by the registration access reception step, a registration address request step for requesting an address of the second terminal;
When the address of the second terminal requested by the registration address requesting step is received from the first terminal, a session ID is generated, a registration URL added with the session ID is generated, and the session ID and the second terminal are generated. A registration URL transmission step of storing the address of the terminal and the state information indicating that the terminal is in a registration process in association with each other in the connection information table and transmitting the registration URL to the second terminal;
When the session ID is received from the second terminal using the registration URL, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is registered. A registration determination step for determining whether the state is being processed;
If the registration determination step determines that the state associated with the session ID is a state during registration processing, a registration processing step of registering the session ID in the management information table;
An authentication access accepting step for accepting access of an authentication request from the first terminal;
When receiving an access request from the first terminal by the authentication access receiving step, an authentication address requesting step for requesting an address of the second terminal;
When receiving the address of the second terminal requested by the authentication address requesting step from the first terminal, a second terminal address determining step of determining whether the address of the second terminal is registered in the management information table;
If it is determined in the second terminal address determination step that the address of the second terminal is registered in the management information table, an authentication URL to which a session ID is added is generated, and the session ID and the first address are generated. An authentication URL transmitting step of associating the address of the two terminals with the status information indicating that the authentication process is being performed and storing the information in the connection information table and transmitting the authentication URL to the address of the second terminal;
Using the authentication URL, the session ID is received from the second terminal, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is being authenticated. An authentication determination step of determining whether the state is
If it is determined in the authentication determination step that the state associated with the session ID is an authentication processing state, the authentication process is performed, and the state associated with the session ID is an authentication process. If it is determined that it is not in a state, an authentication processing step for processing as unauthenticated,
The authentication method characterized by including.
前記登録アクセス受付工程によって前記第一端末から登録要求のアクセスが受け付けられた場合に、前記第二端末のアドレスおよび前記第二端末の個体識別番号を所定の鍵によって暗号化したアクセスコードを生成するアクセスコード生成工程と、
前記アクセスコード生成工程によって生成された前記アクセスコードを前記第一端末に送信するアクセスコード送信工程と、
前記第一端末から前記アクセスコードを受信した場合に、当該アクセスコードを解読して前記第二端末のアドレスを取得するアクセスコード解読工程と、をさらに含み、
前記認証URL送信工程は、前記アクセスコード解読工程によって取得された前記第二端末のアドレスに前記認証URLを送信することを特徴とする請求項3に記載の認証方法。 The authentication server is
When a registration request access is received from the first terminal in the registration access receiving step, an access code is generated by encrypting the address of the second terminal and the individual identification number of the second terminal with a predetermined key. An access code generation process;
An access code transmitting step of transmitting the access code generated by the access code generating step to the first terminal;
An access code decrypting step of decrypting the access code to obtain the address of the second terminal when the access code is received from the first terminal;
4. The authentication method according to claim 3 , wherein the authentication URL transmission step transmits the authentication URL to the address of the second terminal acquired by the access code decoding step .
前記認証サーバとしてのコンピュータに、
前記第一端末から登録要求のアクセスを受け付ける登録アクセス受付手順と、
前記登録アクセス受付手順によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する登録アドレス要求手順と、
前記登録アドレス要求手順によって要求された前記第二端末のアドレスを前記第一端末から受信すると、セッションIDを生成し、当該セッションIDを付加した登録URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと登録処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記登録URLを前記第二端末に送信する登録URL送信手順と、
前記登録URLを用いて、前記第二端末からセッションIDを受信した場合に、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が登録処理中の状態であるか判定する登録判定手順と、
前記登録判定手順によって前記セッションIDに対応付けられた状態が登録処理中の状態であると判定された場合には、管理情報テーブルにセッションIDを登録する登録処理手順と、
前記第一端末から認証要求のアクセスを受け付ける認証アクセス受付手順と、
前記認証アクセス受付手順によって前記第一端末からアクセス要求を受け付けた場合には、前記第二端末のアドレスを要求する認証アドレス要求手順と、
前記認証アドレス要求手順によって要求された前記第二端末のアドレスを前記第一端末から受信すると、当該第二端末のアドレスが前記管理情報テーブルに登録されているか判定する第二端末アドレス判定手順と、
前記第二端末アドレス判定手順によって前記第二端末のアドレスが前記管理情報テーブルに登録されていると判定された場合には、セッションIDを付加した認証URLを生成するとともに、前記セッションIDと前記第二端末のアドレスと認証処理中の状態であることを示す状態情報とを対応付けて接続情報テーブルに記憶させて、前記第二端末のアドレスに認証URLを送信する認証URL送信手順と、
前記認証URLを用いて、前記第二端末からセッションIDを受信し、当該セッションIDに対応付けられた状態情報を前記接続情報テーブルから読み出し、当該セッションIDに対応付けられた状態情報が認証処理中の状態であるか判定する認証判定手順と、
前記認証判定手順によって前記セッションIDに対応付けられた状態が認証処理中の状態であると判定された場合には、認証可として処理し、前記セッションIDに対応付けられた状態が認証処理中の状態でないと判定された場合には、認証不可として処理する認証処理手順と、
を実行させることを特徴とする認証プログラム。 An authentication program for causing the computer to execute an authentication method in which the authentication server authenticates the second terminal for access from the first terminal, and the authentication result of the first terminal is the authentication result,
In the computer as the authentication server,
A registration access acceptance procedure for accepting registration request access from the first terminal;
If an access request is accepted from the first terminal by the registration access acceptance procedure, a registration address request procedure for requesting the address of the second terminal;
When the address of the second terminal requested by the registration address request procedure is received from the first terminal, a session ID is generated, a registration URL to which the session ID is added is generated, and the session ID and the second terminal are generated. A registration URL transmission procedure for storing the address of the terminal and the state information indicating that the terminal is in a registration process in the connection information table and transmitting the registration URL to the second terminal;
When the session ID is received from the second terminal using the registration URL, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is registered. A registration determination procedure for determining whether the processing is in progress;
If it is determined by the registration determination procedure that the state associated with the session ID is a state during registration processing, a registration processing procedure for registering the session ID in the management information table;
An authentication access acceptance procedure for accepting an authentication request access from the first terminal;
If an access request is accepted from the first terminal by the authentication access acceptance procedure, an authentication address request procedure for requesting the address of the second terminal;
When receiving the address of the second terminal requested by the authentication address request procedure from the first terminal, a second terminal address determination procedure for determining whether the address of the second terminal is registered in the management information table;
When it is determined by the second terminal address determination procedure that the address of the second terminal is registered in the management information table, an authentication URL to which a session ID is added is generated, and the session ID and the first An authentication URL transmission procedure for associating and storing the address of the two terminals and the status information indicating that the authentication process is in progress in the connection information table, and transmitting the authentication URL to the address of the second terminal;
Using the authentication URL, the session ID is received from the second terminal, the state information associated with the session ID is read from the connection information table, and the state information associated with the session ID is being authenticated. An authentication determination procedure for determining whether the state is
If it is determined by the authentication determination procedure that the state associated with the session ID is an authentication process, the authentication process is performed, and the state associated with the session ID is an authentication process. If it is determined that it is not in a state, an authentication processing procedure for processing as unauthenticated,
The authentication program for causing runs.
前記登録アクセス受付手順によって前記第一端末から登録要求のアクセスが受け付けられた場合に、前記第二端末のアドレスおよび前記第二端末の個体識別番号を所定の鍵によって暗号化したアクセスコードを生成するアクセスコード生成手順と、
前記アクセスコード生成手順によって生成された前記アクセスコードを前記第一端末に送信するアクセスコード送信手順と、
前記第一端末から前記アクセスコードを受信した場合に、当該アクセスコードを解読して前記第二端末のアドレスを取得するアクセスコード解読手順と、をさらに実行させ、
前記認証URL送信手順は、前記アクセスコード解読手順によって取得された前記第二端末のアドレスに前記認証URLを送信することを特徴とする請求項5に記載の認証プログラム。 In the computer as the authentication server,
When a registration request access is accepted from the first terminal by the registration access acceptance procedure, an access code is generated by encrypting the address of the second terminal and the individual identification number of the second terminal with a predetermined key. Access code generation procedure;
An access code transmission procedure for transmitting the access code generated by the access code generation procedure to the first terminal;
When the access code is received from the first terminal, an access code decoding procedure for decoding the access code and obtaining the address of the second terminal is further executed,
6. The authentication program according to claim 5 , wherein the authentication URL transmission procedure transmits the authentication URL to the address of the second terminal obtained by the access code decoding procedure .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005248417A JP4486567B2 (en) | 2005-08-29 | 2005-08-29 | Authentication system, authentication method, and authentication program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005248417A JP4486567B2 (en) | 2005-08-29 | 2005-08-29 | Authentication system, authentication method, and authentication program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007065801A JP2007065801A (en) | 2007-03-15 |
| JP4486567B2 true JP4486567B2 (en) | 2010-06-23 |
Family
ID=37927974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005248417A Expired - Fee Related JP4486567B2 (en) | 2005-08-29 | 2005-08-29 | Authentication system, authentication method, and authentication program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4486567B2 (en) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5175130B2 (en) * | 2008-04-15 | 2013-04-03 | 日本電信電話株式会社 | Communication method, communication system, authentication communication method, authentication communication system, server device, program |
| DE102009055947A1 (en) * | 2009-11-30 | 2011-06-01 | Christoph Busch | Authenticated transmission of data |
| JP5852265B2 (en) * | 2011-12-27 | 2016-02-03 | インテル コーポレイション | COMPUTER DEVICE, COMPUTER PROGRAM, AND ACCESS Permission Judgment Method |
| US9680841B2 (en) | 2014-02-24 | 2017-06-13 | Keypasco Ab | Network authentication method for secure user identity verification using user positioning information |
| JP5960181B2 (en) * | 2014-03-13 | 2016-08-02 | キーパスコ アーベーKeypasco AB | Network authentication method for securely verifying user identification information using user location information |
| CN105099673A (en) | 2014-04-15 | 2015-11-25 | 阿里巴巴集团控股有限公司 | Authorization method, method and device for requesting authorization |
| US9231925B1 (en) * | 2014-09-16 | 2016-01-05 | Keypasco Ab | Network authentication method for secure electronic transactions |
| JP6104439B1 (en) * | 2016-08-08 | 2017-03-29 | 株式会社Isao | Authentication system, method, program, and recording medium recording the program |
| JP7202500B1 (en) | 2022-08-30 | 2023-01-11 | PayPay株式会社 | Information processing device, information processing method, and program |
| JP7271779B1 (en) | 2022-08-30 | 2023-05-11 | PayPay株式会社 | Information processing device, information processing method, and program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001022698A (en) * | 1999-07-05 | 2001-01-26 | Matsushita Electric Ind Co Ltd | Authentication system and authentication method using mobile phone |
| JP2003264551A (en) * | 2002-03-06 | 2003-09-19 | Ntt Comware Corp | How to ensure security between communication terminals and servers |
| JP2003281448A (en) * | 2002-03-25 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | Anonymous product purchase system that purchases products by user authentication using a portable device with an Internet access function |
| JP3914152B2 (en) * | 2002-12-27 | 2007-05-16 | 株式会社エヌ・ティ・ティ・データ | Authentication server, authentication system, and authentication program |
-
2005
- 2005-08-29 JP JP2005248417A patent/JP4486567B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007065801A (en) | 2007-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8499339B2 (en) | Authenticating and communicating verifiable authorization between disparate network domains | |
| CN101222488B (en) | Method for controlling client access to network equipment and network authentication server | |
| CN1224213C (en) | Method for issuing an electronic identity | |
| US20090187980A1 (en) | Method of authenticating, authorizing, encrypting and decrypting via mobile service | |
| DK2414983T3 (en) | Secure computer system | |
| JP2001197055A (en) | Authentication proxy device, authentication proxy method, authentication proxy service system, and computer-readable recording medium | |
| JP2019046059A (en) | Authority transfer system, control method, and program | |
| US20030076961A1 (en) | Method for issuing a certificate using biometric information in public key infrastructure-based authentication system | |
| JP4607602B2 (en) | How to provide access | |
| JP2003296281A (en) | Access control method and system | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| JP4486567B2 (en) | Authentication system, authentication method, and authentication program | |
| CN112565294B (en) | Identity authentication method based on block chain electronic signature | |
| JPWO2008099739A1 (en) | Personal information management apparatus, service providing apparatus, program, personal information management method, verification method, and personal information verification system for preventing falsification of personal information and denial of distribution of personal information | |
| JPH05333775A (en) | User authentication system | |
| CN107347073B (en) | A kind of resource information processing method | |
| KR101066693B1 (en) | Security and Verification Methods for Digital Certificates | |
| US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
| JP2006079598A (en) | Access control system, access control method, and access control program | |
| JP4510392B2 (en) | Service providing system for personal information authentication | |
| JP2001216270A (en) | Authentication station, authentication system and authentication method | |
| JPH05298174A (en) | Remote file access system | |
| CN114079645A (en) | Method and device for registering service | |
| CN1925393A (en) | Point-to-point network identity authenticating method | |
| US6401203B1 (en) | Method for automatic handling of certificate and key-based processes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090701 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090907 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100323 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100326 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140402 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |