JP6407232B2 - Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal - Google Patents
Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal Download PDFInfo
- Publication number
- JP6407232B2 JP6407232B2 JP2016221657A JP2016221657A JP6407232B2 JP 6407232 B2 JP6407232 B2 JP 6407232B2 JP 2016221657 A JP2016221657 A JP 2016221657A JP 2016221657 A JP2016221657 A JP 2016221657A JP 6407232 B2 JP6407232 B2 JP 6407232B2
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- authentication server
- signed
- service provider
- identification code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Description
本発明は、ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラムに関する。 The present invention relates to a login authentication system, a service provider and authentication server in the login authentication system, a service provider in the login authentication system, an authentication server, a computer, and a login authentication method and program for a portable terminal.
従来より、機密性の高いサービスのサイトにログインを行なう場合には、ユーザがID及びパスワード(PW)を入力してログインを行なうシステムが広く知られている。また、ユーザがID及びPWを盗み取られた場合には、第3者が当該ユーザになりすますことにより機密性の高いサービスのサイトにログインが可能となってしまう。 Conventionally, when a user logs in to a highly confidential service site, a system in which a user inputs an ID and a password (PW) to log in is widely known. In addition, when a user is stolen ID and PW, a third party can impersonate the user and log in to a highly confidential service site.
このような問題に対処するために、生体認証情報を使用してログインを行なう技術も良く知られている(例えば、特許文献1参照)。 In order to cope with such a problem, a technique of performing login using biometric authentication information is also well known (see, for example, Patent Document 1).
しかしながら、生体認証情報を使用する方法は、生体認証情報を読み取るための特別な装置が必要である。そのため、そのような特別な装置を有しないユーザにとっては、このような生体認証情報を使用するログイン認証方法は不便である。 However, the method of using biometric authentication information requires a special device for reading biometric authentication information. Therefore, for a user who does not have such a special device, a login authentication method using such biometric authentication information is inconvenient.
本発明は、上記実情に鑑みてなされたものであり、第1の端末及び第2の端末が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができるログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラムを提供することを目的とする。 The present invention has been made in view of the above circumstances, and the first terminal and the second terminal use a public key cryptosystem to perform login authentication to a service provided by a service provider together with an authentication server. The login authentication system that allows a user to log in to a highly confidential service safely without requiring input of ID and PW, service provider and authentication server in the login authentication system, service provider in the login authentication system, An object of the present invention is to provide a login authentication method and program for an authentication server, a computer, and a portable terminal.
第1の発明によれば、サービスプロバイダと、認証サーバとを有するログイン認証システムにおいて、前記サービスプロバイダは、第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段とを具備し、前記認証サーバは、前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ0端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段とを具備し、前記サービスプロバイダは、前記認証サーバから前記第3データを受信する第3データ受信手段と、前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段とを具備するログイン認証システム、である。 According to the first invention, in the login authentication system having a service provider and an authentication server, the service provider receives login request from the first user terminal, and receives the login request. In response, an identification code transmitting means for transmitting an identification code to the first user terminal, a first code receiving means for receiving the identification code signed by the first user terminal, and the received When the signature of the first user terminal of the identification code signed by the first user terminal is confirmed, the service is sent to the authentication server with the identification code and the public key of the first user terminal. Approval request sender for sending an approval request including first data signed by the provider to the authentication server The authentication server receives the approval request, and when the signature of the service provider included in the first data included in the approval request is confirmed, the authentication data is included in the first data and the identification code. A first data transmitting means for signing the authentication server, and transmitting the first data and the identification code signed by the authentication server to a second user terminal; and the first data signed by the authentication server. In response to transmission of one data and the identification code, the second user 0 terminal sends the identification code signed by the second user terminal, the public key of the second user terminal, and the second user terminal. Second data receiving means for receiving second data including the terminal information of the user terminal, and the signature of the second user terminal and the terminal information included in the received second data The authentication result information indicating the result of the approval request signed by the authentication server, and the identification code with the signature of the second user terminal signed by the authentication server. Third data transmitting means for transmitting the third data to the service provider, wherein the service provider receives the third data from the authentication server, and the received third data When the signatures of the authentication server and the second user terminal of the data are confirmed, the public key of the first user terminal signed by the authentication server and the first signature signed by the service provider Screen information transmitting means for transmitting the public key of the user terminal to the first user terminal together with the screen information after the login request. Login authentication system, it is.
第2の発明によれば、第1の発明において、前記第1のユーザ端末から初期登録リクエストを受信する初期登録受信手段と、前記初期登録リクエストを受信した場合に、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵、前記認証サーバの公開鍵及び前記ユーザの識別情報を互いに関連付ける処理を行なう関連付け処理手段をさらに具備するログイン認証システム、である。 According to a second invention, in the first invention, an initial registration receiving means for receiving an initial registration request from the first user terminal, and when receiving the initial registration request, the first user terminal A login authentication system further comprising an association processing means for performing a process of associating a public key, a public key of the second user terminal, a public key of the service provider, a public key of the authentication server, and identification information of the user; is there.
第3の発明によれば、第2の発明において、前記関連付け処理手段は、前記サービスプロバイダが、前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段を具備し、前記認証サーバが、前記第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化された前記ユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第2の初期登録データ送信手段とを具備し、前記サービスプロバイダが、前記第3の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、前記受信した第3の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及び前記ユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段とをさらに具備する、ログイン認証システム、である。 According to a third invention, in the second invention, when the service provider receives an initial registration request from the first user terminal, the association processing means is the initial stage in which the authentication server is signed. A first initial registration data transmitting unit configured to transmit first initial registration data including an identification code and an initial identification code with a signature of the service provider to the first user terminal; In response to the transmission of the first initial registration data, the initial identification code and the cipher with the signature of the first user terminal signed by the second user terminal from the second user terminal Second initial registration data including the converted user identification information, the public key of the first user terminal, the public key of the second user terminal, and the terminal information of the second user terminal First initial registration data receiving means for receiving the initial identification data with the signature of the first user terminal signed by the second user terminal included in the second initial registration data When the signatures of the first user terminal and the second user terminal of the code are confirmed and the initial identification code is confirmed, the second user terminal and the second user terminal signed by the authentication server The initial identification code with the signature of one user terminal, the encrypted identification information of the user, the public key of the first user terminal, and the public key of the second user terminal Second initial registration data transmitting means for transmitting initial registration data to the service provider, wherein the service provider receives the third initial registration data from the authentication server. When the period registration data receiving means and the signature of the first user terminal, the second user terminal and the authentication server and the user identification information included in the received third initial registration data are confirmed, A login authentication system further comprising initial registration completion screen information transmitting means for transmitting to the first user terminal together with initial registration completion screen information after an initial registration request.
第4の発明によれば、第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段と、前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信する第2データ受信手段と、前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段とを具備するログイン認証システムにおけるサービスプロバイダ、である。 According to the fourth invention, login request receiving means for receiving a login request from a first user terminal, and identification code transmission for transmitting an identification code to the first user terminal in response to the received login request. Means, first code receiving means for receiving the identification code signed by the first user terminal, and the first user of the received identification code signed by the first user terminal. When the signature of the terminal is confirmed, an approval request is transmitted to the authentication server including an approval request including the first data signed by the service provider in the identification code and the public key of the first user terminal. And a result for the approval request signed by the authentication server from the authentication server in response to the transmission of the first data Second data reception for receiving second data including approval result information to be displayed, the identification code with the signature of the second user terminal signed with the authentication server, and the public key of the first user terminal Means, and when the signatures of the authentication server and the second user terminal of the received second data are confirmed, the public key of the first user terminal signed by the authentication server and the service provider A service provider in a login authentication system comprising: screen information transmitting means for transmitting the public key of the first user terminal signed with the first user terminal together with the screen information after the login request to the first user terminal. .
第5の発明によれば、サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段とを具備する認証サーバ、である。 According to the fifth invention, when the approval request is received from the service provider and the signature of the service provider included in the first data included in the approval request is confirmed, the first data and the identification code are included in the first data and the identification code. A first data transmitting means for signing an authentication server and transmitting the first data signed by the authentication server and the identification code to a second user terminal; and the first data signed by the authentication server In response to the data and the identification code, the identification code of the second user terminal signed by the second user terminal, the public key of the second user terminal, and the second user terminal A second data receiving means for receiving second data including terminal information, a signature of the second user terminal and the terminal information included in the received second data; The authentication result information indicating the result of the approval request signed by the authentication server, and the identification code with the signature of the second user terminal signed by the authentication server. An authentication server comprising third data transmitting means for transmitting third data to the service provider;
第6の発明によれば、第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第2のユーザ端末におけるログイン認証方法において、認証サーバの署名がされた第1データ及び識別コードを受信し、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信することを含む、ログイン認証方法である。 According to the sixth invention, the first user terminal, and a second user terminal, using said second user terminal, the login authentication system for login of the first user terminal In the login authentication method in the second user terminal for login processing, the first data and the identification code signed by the authentication server are received, and the first data is the disclosure of the identification code and the first user terminal. When the signature of the service provider is signed to the key, and when the signature of the authentication server and the service provider of the received first data and the identification code of the received authentication server is confirmed, A first including the identification code signed by the second user terminal, a public key of the second user terminal, and terminal information of the second user terminal; Including transmitting over data to the authentication server, a login authentication method.
第7の発明によれば、第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第1のユーザ端末におけるログイン認証方法において、初期登録リクエストをサービスプロバイダに送信し、前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及びサービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信し、前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信し、前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信し、前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示し、前記初期登録完了画面情報を表示した後、ログインリクエストをサービスプロバイダに送信し、前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信し、前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信し、前
記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信する、
ログイン認証方法、である。
According to the seventh invention, the first user terminal, and a second user terminal, using said second user terminal, the login authentication system for login of the first user terminal In the login authentication method in the first user terminal for login processing, an initial registration request is transmitted to a service provider, and an initial identification code and a service provider signed by an authentication server in response to the transmission of the initial registration request The first initial registration data including the first initial registration data including the initial identification code to which the signature is attached is received from the service provider, and the authentication server and the service of the received first initial registration data are received. When the signature of the provider is confirmed, a QR code that can be read by the second user terminal is displayed. The QR code includes the initial identification code signed by the first user terminal and the public key of the first user terminal, and the second user terminal is displayed on the first user terminal. When the signature of the first user terminal is confirmed from the QR code, the initial identification code attached with the signature of the first user terminal signed by the second user terminal is encrypted. Initial registration data including identification information of the user, the public key of the first user terminal, the public key of the second user terminal, and the terminal information of the second user terminal is transmitted to the authentication server, and the QR After displaying the code, the public key of the first user terminal signed by the authentication server from the service provider and the public key of the first user terminal signed by the service provider are registered. Received with the screen information after the in-request and received with the screen information after the login request The public key of the first user terminal signed with the authentication server and the first signed with the service provider When the authentication server and the service provider signature of the public key of one user terminal are confirmed, after displaying the initial registration completion screen information after the login request, after displaying the initial registration completion screen information, Sending a login request to a service provider, receiving an identification code from the service provider in response to the transmitted login request, signing the first user terminal to the received identification code, and Sending the identification code signed by the user terminal to the service provider; After transmitting the identification code signed by the first user terminal to the service provider, an approval request sent by the service provider to the authentication server is allowed, and the signature of the first user terminal, the first When the signature of the second user terminal and the signature of the authentication server and the identification code are confirmed , the public key of the first user terminal signed by the service server and the signature of the service provider are signed. Receiving the public key of the first user terminal together with the screen information after the login request;
Login authentication method.
本発明によれば、第1の端末及び第2の端末が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができるログイン認証システムを提供することができる。 According to the present invention, the first terminal and the second terminal use the public key cryptosystem to perform login authentication to the service provided by the service provider together with the authentication server, so that the user can input the ID and PW. Therefore, it is possible to provide a login authentication system capable of safely logging in to a highly confidential service without the need for a password.
以下、図面を参照して、本発明の実施形態に係るログイン認証システムについて説明する。なお、実施形態では、証券会社などの金融機関が提供する機密性の高いサービスにログインするためのログイン認証システムについて説明するが、ログインが必要なサービスであれば、実施形態のログイン認証方法を適用することができる。
1 ログイン認証システムの構成
図1は、実施形態のログイン認証を行なうためのログイン認証システムを説明するための図である。
Hereinafter, a login authentication system according to an embodiment of the present invention will be described with reference to the drawings. In the embodiment, a login authentication system for logging in to a highly confidential service provided by a financial institution such as a securities company will be described. However, if the login requires a service, the login authentication method of the embodiment is applied. can do.
1 Configuration of Login Authentication System FIG. 1 is a diagram for explaining a login authentication system for performing login authentication according to an embodiment.
同図に示すように、インターネットなどのネットワーク1には、ユーザのコンピュータC1、ユーザの携帯端末C2、サービスプロバイダSP、認証サーバ群ACの認証サーバA−1〜A−4が接続されている。なお、認証サーバA−1〜A−4を区別する必要がない場合には、「認証サーバA」と省略して表記する。 As shown in the figure, connected to a network 1 such as the Internet are a user computer C1, a user portable terminal C2, a service provider SP, and authentication servers A-1 to A-4 of an authentication server group AC. In addition, when it is not necessary to distinguish the authentication servers A-1 to A-4, they are abbreviated as “authentication server A”.
コンピュータC1は、一般的なデスクトップコンピュータの他、モバイルコンピュータ、ラップトップコンピュータ、タブレット型端末などを含む。コンピュータC1上では、例えば、サービスプロバイダSPからダウンロードされ、ウェブブラウザ上で動作するJavaScript(登録商標)で記述されたコンピュータC1用のログイン認証プログラムによって、実施形態のログイン認証方法が実行される。 The computer C1 includes a mobile computer, a laptop computer, a tablet terminal, and the like in addition to a general desktop computer. On the computer C1, for example, the login authentication method of the embodiment is executed by a login authentication program for the computer C1 that is downloaded from the service provider SP and described in JavaScript (registered trademark) that operates on a web browser.
携帯端末C2は、スマートフォン、フィーチャー・フォン(feature phone)などを含み、例えば、Android(登録商標)、iOS(登録商標)などのOS上で動作する携帯端末である。携帯端末C2上では、例えば、図示せぬアプリケーションプログラムダウンロードサーバからダウンロードされた携帯端末C2用のログイン認証プログラムによって、実施形態のログイン認証方法が実行される。 The mobile terminal C2 includes a smartphone, a feature phone, and the like, and is a mobile terminal that operates on an OS such as Android (registered trademark) or iOS (registered trademark). On the portable terminal C2, for example, the login authentication method of the embodiment is executed by a login authentication program for the portable terminal C2 downloaded from an application program download server (not shown).
サービスプロバイダSPは、株式取引画面などのログイン認証が必要なサービス提供画面の提供などを行なうサービス提供プログラムの他、実施形態のログイン処理を行なうためのサービスプロバイダ用のログイン認証プログラムを有する。 The service provider SP has a service provider login authentication program for performing the login process of the embodiment in addition to a service providing program for providing a service providing screen that requires login authentication such as a stock transaction screen.
認証サーバ群ACは、認証サーバA−1〜A−4を有する。各認証サーバA−1〜A−4は相互に接続されるとともに、インターネット1にも接続されている。各認証サーバA−1〜A−4は、ユーザのコンピュータC1、携帯端末C2及びサービスプロバイダSPの公開鍵及び携帯端末C2の端末情報などを格納する記憶装置を有する。各認証サーバA−1〜A−4の記憶装置のデータは、ブロックチェーン技術により、データの同一性が保たれている。実施形態では、コンピュータC1、携帯端末C2及びサービスプロバイダSPと協働して、認証サーバAがログイン認証処理を行なう。なお、認証サーバ群ACに含まれる認証サーバの数は、4つに限られるものではない。 The authentication server group AC includes authentication servers A-1 to A-4. Each of the authentication servers A-1 to A-4 is connected to each other and also connected to the Internet 1. Each of the authentication servers A-1 to A-4 includes a storage device that stores the user's computer C1, the mobile terminal C2, the public key of the service provider SP, the terminal information of the mobile terminal C2, and the like. The data in the storage devices of the respective authentication servers A-1 to A-4 is kept the same by the block chain technology. In the embodiment, the authentication server A performs a login authentication process in cooperation with the computer C1, the portable terminal C2, and the service provider SP. Note that the number of authentication servers included in the authentication server group AC is not limited to four.
ユーザのコンピュータC1、携帯端末C2、サービスプロバイダSP及び認証サーバ群ACの認証サーバA−1〜A−4は、一般的な情報処理装置と同様の構成を有する。情報処理装置は、メモリ、CPU、通信インターフェイス、記憶装置などを備え、実施形態に係るログイン認証処理は、CPUが各装置の記憶装置に記憶されたプログラムを実行することにより実現される。 The user computer C1, the portable terminal C2, the service provider SP, and the authentication servers A-1 to A-4 of the authentication server group AC have the same configuration as a general information processing apparatus. The information processing apparatus includes a memory, a CPU, a communication interface, a storage device, and the like, and the login authentication process according to the embodiment is realized by the CPU executing a program stored in the storage device of each device.
すなわち、コンピュータC1の記憶装置には、コンピュータC1用のログイン認証プログラムが記憶され、携帯端末C2の記憶装置には、携帯端末C2用のログイン認証プログラムが記憶され、サービスプロバイダSPの記憶装置には、サービスプロバイダSP用のログイン認証プログラムが記憶され、サービスプロバイダSPなどとともにログイン認証処理を行なう認証サーバAには、認証サーバA用のログイン認証プログラムが記憶される。 That is, a login authentication program for the computer C1 is stored in the storage device of the computer C1, a login authentication program for the mobile terminal C2 is stored in the storage device of the mobile terminal C2, and a storage device of the service provider SP is stored in the storage device of the service provider SP. The login authentication program for the service provider SP is stored, and the login authentication program for the authentication server A is stored in the authentication server A that performs login authentication processing together with the service provider SP and the like.
例として、図2にコンピュータC1の構成を示す。 As an example, FIG. 2 shows a configuration of the computer C1.
同図に示すように、コンピュータC1においては、バス11にCPU12、通信部13、メモリ14、入力部15、記憶装置16及び表示部17が接続されている。 As shown in the figure, in the computer C1, a CPU 12, a communication unit 13, a memory 14, an input unit 15, a storage device 16, and a display unit 17 are connected to a bus 11.
CPU12は、記憶装置16に記憶された本発明の実施の形態に係るログイン認証プログラム24と協働して、本実施形態に係るログイン認証処理を行なう他、コンピュータC1全体の制御を司るものである。 The CPU 12 cooperates with the login authentication program 24 according to the embodiment of the present invention stored in the storage device 16 to perform the login authentication processing according to the present embodiment and also controls the entire computer C1. .
通信部13は、ネットワーク1を介した認証サーバA、サービスプロバイダSPなどの外部装置との通信の制御を司る。 The communication unit 13 controls communication with external devices such as the authentication server A and the service provider SP via the network 1.
メモリ14は、ログイン認証プログラム24を実行する際に必要とされるワークエリアなどとして使用される。 The memory 14 is used as a work area required when executing the login authentication program 24.
入力部15は、ログイン認証処理を行なう際に必要とされるデータなどを入力するためのインターフェイスであり、例えば、キーボード、マウス、タッチパネルなどである。 The input unit 15 is an interface for inputting data and the like required when performing login authentication processing, and is, for example, a keyboard, a mouse, a touch panel, or the like.
記憶装置16は、ログイン認証処理に必要とされるプログラム、データを格納するためのものであり、例えば、ハードディスクドライブ(HDD)、光ディスクドライブ、DVD、MOなどの大容量記憶装置である。この記憶装置16には、OS(オペレーティングシステム)21、鍵情報データベース22、データベース23及びログイン認証プログラム24が格納されている。
表示部17は、本実施形態に係るログイン認証プログラムによる処理のために必要な情報を表示するためのディスプレイであり、例えば、図12に示すように、ログイン認証の際に必要となる初期登録用のQRコードを表示する。
The storage device 16 is for storing programs and data required for login authentication processing, and is a large-capacity storage device such as a hard disk drive (HDD), an optical disk drive, a DVD, or an MO. The storage device 16 stores an OS (Operating System) 21, a key information database 22, a database 23, and a login authentication program 24.
The display unit 17 is a display for displaying information necessary for processing by the login authentication program according to the present embodiment. For example, as shown in FIG. 12, the display unit 17 is used for initial registration required for login authentication. The QR code is displayed.
OS21は、コンピュータC1の基本的な機能を実現するためのプログラムである。 The OS 21 is a program for realizing basic functions of the computer C1.
鍵情報データベース22は、ログイン認証プログラム24の初期登録処理によって発行されるコンピュータC1のキーペア(秘密鍵、公開鍵)を格納する。 The key information database 22 stores the key pair (secret key, public key) of the computer C1 issued by the initial registration process of the login authentication program 24.
データベース23は、実施形態のログイン認証処理に関するデータや、ユーザ関連情報などを格納する。 The database 23 stores data related to the login authentication process of the embodiment, user-related information, and the like.
ログイン認証プログラム24は、OS21上で動作するアプリケーションプログラムであって、CPU12と協働して、実施形態に係るログイン認証処理を実現するものであって、図6、図7及び図10に示すコンピュータC1のフローチャートの処理を実現するものである。 The login authentication program 24 is an application program that runs on the OS 21 and realizes login authentication processing according to the embodiment in cooperation with the CPU 12. The login authentication program 24 is a computer shown in FIGS. 6, 7, and 10. The process of the flowchart of C1 is implement | achieved.
なお、携帯端末C2の記憶装置に格納されるログイン認証プログラムは図6、図7及び図11に示す携帯端末C2のフローチャートの処理、サービスプロバイダSPの記憶装置に格納されるログイン認証プログラムは図6、図7及び図8に示すサービスプロバイダSPのフローチャートの処理、認証サーバAの記憶装置に格納されるログイン認証プログラムは図6、図7及び図9に示すサービスプロバイダSPのフローチャートの処理を実現する。 The login authentication program stored in the storage device of the portable terminal C2 is the processing of the flowchart of the portable terminal C2 shown in FIGS. 6, 7 and 11, and the login authentication program stored in the storage device of the service provider SP is FIG. 7 and FIG. 8, the login authentication program stored in the storage device of the authentication server A realizes the processing of the service provider SP shown in FIG. 6, FIG. 7 and FIG. .
図3は、ログイン認証処理の初期登録処理前に各装置が保有している情報を示す図である。なお、図3及び図4においては、各装置が保有する秘密鍵については示していない。 FIG. 3 is a diagram illustrating information held by each device before the initial registration process of the login authentication process. 3 and 4 do not show the secret key held by each device.
同図に示すように、初期登録処理前には、コンピュータC1及び携帯端末C2は認証サーバAの公開鍵及びサービスプロバイダSPの公開鍵を保有し、認証サーバAはサービスプロバイダSPの公開鍵を保有し、サービスプロバイダSPは認証サーバAの公開鍵を保有している。 As shown in the figure, before the initial registration process, the computer C1 and the portable terminal C2 hold the public key of the authentication server A and the public key of the service provider SP, and the authentication server A holds the public key of the service provider SP. The service provider SP holds the public key of the authentication server A.
図4は、ログイン認証処理の初期登録処理後に各装置が保有している情報を示す図である。 FIG. 4 is a diagram illustrating information held by each device after the initial registration process of the login authentication process.
同図に示すように、初期登録処理後には、コンピュータC1及び携帯端末C2は認証サーバAの公開鍵及びサービスプロバイダSPの公開鍵を保有し、認証サーバAはサービスプロバイダSPの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び携帯端末C2の端末情報を保有し、サービスプロバイダSPは認証サーバAの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び顧客情報を保有している。 As shown in the figure, after the initial registration process, the computer C1 and the portable terminal C2 have the public key of the authentication server A and the public key of the service provider SP, and the authentication server A has the public key of the service provider SP and the computer C1. , The public key of the portable terminal C2, and the terminal information of the portable terminal C2, and the service provider SP has the public key of the authentication server A, the public key of the computer C1, the public key of the portable terminal C2, and customer information. ing.
ここで、コンピュータC1のキーペア(秘密鍵及び公開鍵)は初期登録処理中にブラウザにより発行され、携帯端末C2のキーペアは、携帯端末C2にダウンロードされたログイン認証用のプログラムによって発行されているものとする。 Here, the key pair (secret key and public key) of the computer C1 is issued by the browser during the initial registration process, and the key pair of the portable terminal C2 is issued by the login authentication program downloaded to the portable terminal C2. And
顧客情報は、顧客DB(データベース)に保存されており、サービスプロバイダが提供するサービスに依存するが、例えば、顧客情報には、図5に示すように、顧客ごとにユーザID、PWなどの情報が格納されている。
2 ログイン認証システムの動作
次に、実施形態に係るログイン認証システムの初期登録処理について、図6及び図7のタイミングチャート及び図8乃至図11のフローチャートを参照して説明する。
2−1 ログイン認証処理の初期登録処理
実施形態のログイン認証方法を行なう場合、初期登録を行なう必要がある。コンピュータC1は、サービスプロバイダSPが提供するサービスにID及びPWを使用してログインを行ない、初期登録処理を行なう。
Customer information is stored in a customer DB (database) and depends on the service provided by the service provider. For example, customer information includes information such as user ID and PW for each customer as shown in FIG. Is stored.
2 Operation of Login Authentication System Next, an initial registration process of the login authentication system according to the embodiment will be described with reference to timing charts of FIGS. 6 and 7 and flowcharts of FIGS.
2-1 Initial Registration Process of Login Authentication Process When performing the login authentication method of the embodiment, it is necessary to perform initial registration. The computer C1 logs in to the service provided by the service provider SP using the ID and PW, and performs an initial registration process.
図6は、ログイン認証システムの初期登録処理のタイミングチャートを示す図である。図8はサービスプロバイダSPの初期登録処理を説明するためのフローチャート、図9は認証サーバAの初期登録処理を説明するためのフローチャート、図10はコンピュータC1の初期登録処理を説明するためのフローチャート及び図11はユーザ端末C2の初期登録処理を説明するためのフローチャートである。 FIG. 6 is a timing chart of the initial registration process of the login authentication system. FIG. 8 is a flowchart for explaining the initial registration process of the service provider SP, FIG. 9 is a flowchart for explaining the initial registration process of the authentication server A, and FIG. 10 is a flowchart for explaining the initial registration process of the computer C1. FIG. 11 is a flowchart for explaining the initial registration process of the user terminal C2.
初期登録を行なう場合、コンピュータC1は、初期登録リクエストをサービスプロバイダSPに送信する(図6のT1、図10のS41)。サービスプロバイダSPは、コンピュータC1から初期登録リクエストを受信したかを判断し(図8のS1)、初期登録リクエストを受信した場合、初期登録用のワンタイムコード(OTC)を生成し、生成したOTCにサービスプロバイダSPの署名を行なう(図8のS2)。OTCは、例えば、ランダムに決定された数字である。次に、サービスプロバイダSPは、サービスプロバイダSPの署名がされたOTC(「SPの署名(OTC)」)を認証サーバAに送信する(図6のT2、図8のS3)。図6のT1、T2により、認証サーバA及びサービスプロバイダSPでOTCが共有される。 When performing the initial registration, the computer C1 transmits an initial registration request to the service provider SP (T1 in FIG. 6 and S41 in FIG. 10). The service provider SP determines whether an initial registration request has been received from the computer C1 (S1 in FIG. 8). If the initial registration request is received, the service provider SP generates a one-time code (OTC) for initial registration and generates the generated OTC. The service provider SP is signed (S2 in FIG. 8). OTC is, for example, a randomly determined number. Next, the service provider SP transmits the OTC signed with the service provider SP (“SP signature (OTC)”) to the authentication server A (T2 in FIG. 6 and S3 in FIG. 8). The authentication server A and the service provider SP share the OTC by T1 and T2 in FIG.
認証サーバAは、サービスプロバイダSPの署名がされた初期登録用のOTCを受信したかを判断し(図9のS21)、サービスプロバイダSPの署名がされた初期登録用のOTCを受信した場合、サービスプロバイダSPの署名を確認する(図9のS22)。 The authentication server A determines whether or not the initial registration OTC signed by the service provider SP is received (S21 in FIG. 9), and when the initial registration OTC signed by the service provider SP is received, The signature of the service provider SP is confirmed (S22 in FIG. 9).
認証サーバAは、サービスプロバイダSPの署名が確認された場合、第1の初期登録データをサービスプロバイダSPに送信する(図6のT3、図9のS23)。ここで、第1の初期登録データは、認証サーバAの署名がされたOTC及びSPの書名(OTC)(「Aの署名((OTC)+SPの署名(OTC))」)である。 When the signature of the service provider SP is confirmed, the authentication server A transmits the first initial registration data to the service provider SP (T3 in FIG. 6 and S23 in FIG. 9). Here, the first initial registration data is the OTC and SP book title (OTC) (“A signature ((OTC) + SP signature (OTC))”) signed by the authentication server A.
一方、認証サーバAにおいて、サービスプロバイダSPの署名が確認されない場合、初期登録失敗処理が行なわれる(図9のS24)。 On the other hand, when the signature of the service provider SP is not confirmed in the authentication server A, an initial registration failure process is performed (S24 in FIG. 9).
サービスプロバイダSPは、認証サーバAから第1の初期登録データを受信したか否かを判断し(図8のS4)、第1の初期登録データを受信した場合、認証サーバAの署名の確認及びOTCの確認を行なう(図8のS5)。 The service provider SP determines whether or not the first initial registration data has been received from the authentication server A (S4 in FIG. 8). When the first initial registration data is received, the service provider SP confirms the signature of the authentication server A and The OTC is confirmed (S5 in FIG. 8).
S5において、認証サーバAの署名及びOTCが確認された場合、第1の初期登録データをコンピュータC1に送信する(図6のT4、図8のS6)。サービスプロバイダSPにおいて、認証サーバAの署名及びOTCが確認されない場合、初期登録失敗処理が行なわれる(図8のS11)。 In S5, when the signature and OTC of the authentication server A are confirmed, the first initial registration data is transmitted to the computer C1 (T4 in FIG. 6 and S6 in FIG. 8). When the service provider SP does not confirm the signature and OTC of the authentication server A, an initial registration failure process is performed (S11 in FIG. 8).
コンピュータC1は、サービスプロバイダSPから第1の初期登録データを受信したか否かを判断し(図10のS42)、第1の初期登録データを受信した場合、認証サーバAの署名及びサービスプロバイダSPの署名の確認を行なう(図10のS43)。認証サーバAの署名及びサービスプロバイダSPの署名が確認された場合、コンピュータC1のブラウザ内で、新しいキーペア(コンピュータC1の秘密鍵及び公開鍵)を発行する(図10のS44)。コンピュータC1において、認証サーバAの署名及びOTCが確認されない場合、初期登録失敗処理が行なわれる(図10のS46)。 The computer C1 determines whether or not the first initial registration data has been received from the service provider SP (S42 in FIG. 10). When the first initial registration data is received, the signature of the authentication server A and the service provider SP are received. Is confirmed (S43 in FIG. 10). When the signature of the authentication server A and the signature of the service provider SP are confirmed, a new key pair (the private key and the public key of the computer C1) is issued in the browser of the computer C1 (S44 in FIG. 10). In the computer C1, when the signature and OTC of the authentication server A are not confirmed, an initial registration failure process is performed (S46 in FIG. 10).
次に、コンピュータC1は、C1の署名がされたOTC及びコンピュータC1の公開鍵(「C1の署名(OTC)+C1の公開鍵」)を含むQRコードを作成し(図10のS45)、この作成されたQRコードをディスプレイ上に表示する(図10のS46)。図12は、コンピュータC1のディスプレイ上に表示されるQRコードCを示す図である。同図においては、QRコードCとともに、「初期登録用のQRコードを携帯端末で読み込んでください」のメッセージが表示される例を示している。 Next, the computer C1 creates a QR code including the OTC signed by C1 and the public key of the computer C1 (“C1 signature (OTC) + C1 public key”) (S45 in FIG. 10). The QR code thus displayed is displayed on the display (S46 in FIG. 10). FIG. 12 is a diagram showing the QR code C displayed on the display of the computer C1. The figure shows an example in which a message “Please read the QR code for initial registration with a mobile terminal” is displayed together with the QR code C.
携帯端末C2は、コンピュータC1のディスプレイ上に表示されたQRコードを読み取り、C1の署名がされたOTC及びコンピュータC1の公開鍵(「C1の署名(OTC)+C1の公開鍵」)を取得する(図6のT5、図11のS61)。 The portable terminal C2 reads the QR code displayed on the display of the computer C1, and obtains the OTC signed by C1 and the public key of the computer C1 (“C1 signature (OTC) + C1 public key”) ( T5 in FIG. 6 and S61 in FIG. 11).
携帯端末C2は、コンピュータC1の署名を確認し(図11のS62)、コンピュータC1の署名が確認された場合、第2の初期登録データを認証サーバAに送信する(図6のT6、図11のS63)。ここで、第2の初期登録データは、下記のデータを含む。
・ 携帯端末C2の署名が行なわれたコンピュータC1の署名が付されたOTC
・ 暗号化されたユーザ情報(ID/PW)
・ コンピュータC1の公開鍵
・ 携帯端末C2の公開鍵
・ 携帯端末C2の端末情報
すなわち、
第2の初期登録データ =
C2の署名(C1の署名(OTC))+サービスプロバイダSP向けに暗号化したユーザ情報(ID/PW)+ C1の公開鍵 + C2の公開鍵 + C2の端末情報
である。ここで、携帯端末C2の端末情報は、携帯端末Cの端末情報は、例えば、マックアドレスなどである。ユーザの携帯端末C2において、コンピュータC1の署名が確認されない場合、初期登録失敗処理が行なわれる(図11のS64)。
The portable terminal C2 confirms the signature of the computer C1 (S62 in FIG. 11), and when the signature of the computer C1 is confirmed, transmits the second initial registration data to the authentication server A (T6 in FIG. 6, FIG. 11). S63). Here, the second initial registration data includes the following data.
-OTC with the signature of the computer C1 signed with the portable terminal C2
・ Encrypted user information (ID / PW)
-Public key of computer C1-public key of portable terminal C2-terminal information of portable terminal C2
Second initial registration data =
C2 signature (C1 signature (OTC)) + user information (ID / PW) encrypted for service provider SP + C1 public key + C2 public key + C2 terminal information. Here, the terminal information of the mobile terminal C2 is, for example, the Mac address, etc. When the signature of the computer C1 is not confirmed in the user's portable terminal C2, an initial registration failure process is performed (S64 in FIG. 11).
認証サーバAは、第1の初期登録データをコンピュータC1に送信した後、第2の初期登録データを受信したか否かを判断し(図9のS25)、第2の初期登録データを受信した場合、第2の初期登録データのコンピュータC1及び携帯端末C2の署名及びOTCの確認を行なう(図9のS26)。認証サーバAにおいて、コンピュータC1及び携帯端末C2の署名及びOTCの確認がされない場合、初期登録失敗処理が行なわれる(図9のS24)。 After transmitting the first initial registration data to the computer C1, the authentication server A determines whether or not the second initial registration data is received (S25 in FIG. 9), and receives the second initial registration data. In this case, the signature and OTC of the computer C1 and portable terminal C2 of the second initial registration data are confirmed (S26 in FIG. 9). When the authentication server A does not confirm the signature and OTC of the computer C1 and the portable terminal C2, the initial registration failure process is performed (S24 in FIG. 9).
第2の初期登録データのコンピュータC1及び携帯端末C2の署名及びOTCの確認がされた場合、携帯端末C2の端末情報を記憶装置に格納し(図9のS27)、サービスプロバイダSPに第3の初期登録データを送信し(図6のT7、図9のS28)、認証サーバAにおける初期登録処理を終了する。 If the signature and OTC of the computer C1 and the portable terminal C2 of the second initial registration data are confirmed, the terminal information of the portable terminal C2 is stored in the storage device (S27 in FIG. 9), and the service provider SP stores the third information Initial registration data is transmitted (T7 in FIG. 6, S28 in FIG. 9), and the initial registration process in the authentication server A is terminated.
ここで、第3の初期登録データは、以下の情報を含む。
・ 認証サーバAの署名が行なわれ、かつ携帯端末C2の署名が行なわれたコンピュータC1の署名が付されたOTC
・ 暗号化されたユーザ情報(ID/PW)
・ コンピュータC1の公開鍵
・ 携帯端末C2の公開鍵
・ 認証サーバAの署名がされたコンピュータC1の公開鍵
すなわち、
第3の初期登録データ =
Aの署名(C2の署名(C1の署名(OTC))) + SP向けに暗号化されたユーザ情報(ID/PW) + C1の公開鍵 + C2の公開鍵 + Aの署名(C1の公開鍵)
である。
Here, the third initial registration data includes the following information.
-OTC with the signature of the computer C1 signed by the authentication server A and signed by the portable terminal C2
・ Encrypted user information (ID / PW)
The public key of the computer C1, the public key of the portable terminal C2, the public key of the computer C1 signed by the authentication server A.
Third initial registration data =
A signature (C2 signature (C1 signature (OTC))) + User information encrypted for SP (ID / PW) + C1 public key + C2 public key + A signature (C1 public key )
It is.
サービスプロバイダSPは、第1の初期登録データをコンピュータC1に送信した後、認証サーバAから第3の初期登録データを受信したか否かを判断し(図8のS7)、第3の初期登録データを受信した場合、認証サーバA、コンピュータC1、携帯端末C2、OTC及びユーザ情報(ID/PW)の確認を行なう(図8のS8)。 After transmitting the first initial registration data to the computer C1, the service provider SP determines whether or not the third initial registration data is received from the authentication server A (S7 in FIG. 8), and the third initial registration. When the data is received, authentication server A, computer C1, portable terminal C2, OTC, and user information (ID / PW) are confirmed (S8 in FIG. 8).
S8において、認証サーバA、コンピュータC1及び携帯端末C2の署名、OTC及びユーザ情報(ID/PW)の確認がされた場合、ログイン認証の初期登録の完了ページを認証サーバAの署名がされたコンピュータC1の公開鍵(「Aの署名(C1の公開鍵)」)とサービスプロバイダSPの署名がされたコンピュータC1の公開鍵(「SPの署名(C1の公開鍵)」)とともにコンピュータC1に送信し(図6のT8、図8のS9)、サービスプロバイダSPにおける初期登録処理を終了する(図8のS10)。サービスプロバイダSPにおいて、認証サーバA、コンピュータC1及び携帯端末C2の署名、OTC及びユーザ情報(ID/PW)の確認がされない場合、初期登録失敗処理が行なわれる(図8のS11)。 In S8, when the signature of the authentication server A, the computer C1, and the portable terminal C2, the OTC and the user information (ID / PW) are confirmed, the login authentication initial registration completion page is displayed as the authentication server A signature. C1's public key ("A signature (C1 public key)") and the public key of the computer C1 signed by the service provider SP ("SP signature (C1 public key)") are transmitted to the computer C1. (T8 in FIG. 6, S9 in FIG. 8), the initial registration process in the service provider SP is terminated (S10 in FIG. 8). When the service provider SP does not confirm the signature, OTC, and user information (ID / PW) of the authentication server A, the computer C1, and the portable terminal C2, initial registration failure processing is performed (S11 in FIG. 8).
コンピュータC1は、S47においてQRコードを表示した後、サービスプロバイダSPからログイン認証の初期登録の完了ページを受信したかを判断し(図10のS48)、完了ページを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認し(図10のS49)、認証サーバA及びサービスプロバイダSPの署名が確認された場合、初期登録の完了ページを表示し(図10のS50)、初期登録処理が終了する(図10のS52)。コンピュータC1において、認証サーバA及びサービスプロバイダSPの確認がされない場合、初期登録失敗処理が行なわれる(図10のS46)。
2−2 ログイン認証処理
次に、ログイン認証システムの初期登録が行なわれた後の通常ログイン認証処理について説明する。
After displaying the QR code in S47, the computer C1 determines whether or not a login authentication initial registration completion page has been received from the service provider SP (S48 in FIG. 10). The signature of the service provider SP is confirmed (S49 in FIG. 10). When the signatures of the authentication server A and the service provider SP are confirmed, an initial registration completion page is displayed (S50 in FIG. 10), and the initial registration process is completed. (S52 in FIG. 10). In the computer C1, when the authentication server A and the service provider SP are not confirmed, an initial registration failure process is performed (S46 in FIG. 10).
2-2 Login Authentication Processing Next, normal login authentication processing after initial registration of the login authentication system will be described.
図7は、ログイン認証システムのログイン認証処理のタイミングチャートを示す図である。図13はサービスプロバイダSPのログイン処理を説明するためのフローチャート、図14は認証サーバAのログイン処理を説明するためのフローチャート、図15はコンピュータC1のログイン処理を説明するためのフローチャート及び図16はユーザ端末C2のログイン処理を説明するためのフローチャートである。 FIG. 7 is a diagram illustrating a timing chart of login authentication processing of the login authentication system. FIG. 13 is a flowchart for explaining the login process of the service provider SP, FIG. 14 is a flowchart for explaining the login process of the authentication server A, FIG. 15 is a flowchart for explaining the login process of the computer C1, and FIG. It is a flowchart for demonstrating the login process of the user terminal C2.
ログイン処理を行なう場合、コンピュータC1は、ログインリクエストをサービスプロバイダSPに送信する(図7のT21、図15のS141)。サービスプロバイダSPは、コンピュータC1からログインリクエストを受信したか否かを判断し(図13のS101)、ログインリクエストを受信した場合、ログイン用のOTCを生成し、生成したOTCをコンピュータC1に送信する(図7のT22、図13のS102)。 When performing the login process, the computer C1 transmits a login request to the service provider SP (T21 in FIG. 7 and S141 in FIG. 15). The service provider SP determines whether or not a login request has been received from the computer C1 (S101 in FIG. 13). When the login request is received, the service provider SP generates an OTC for login and transmits the generated OTC to the computer C1. (T22 in FIG. 7, S102 in FIG. 13).
コンピュータC1は、ログインリクエストをサービスプロバイダSPに送信後、サービスプロバイダSPからOTCを受信したかを判断する(図15のS142)。OTCを受信した場合、受信したOTCにコンピュータC1の署名をして(「C1の署名(OTC)」)、サービスプロバイダSPに送信する(図7のT23、図15のS143)。 After transmitting the login request to the service provider SP, the computer C1 determines whether an OTC is received from the service provider SP (S142 in FIG. 15). When the OTC is received, the received OTC is signed by the computer C1 (“C1 signature (OTC)”) and transmitted to the service provider SP (T23 in FIG. 7 and S143 in FIG. 15).
サービスプロバイダSPはコンピュータC1からコンピュータC1の署名がされたOTCを受信したか判断する(図13のS103)。コンピュータC1の署名がされたOTCを受信した場合、サービスプロバイダSPは、コンピュータC1の署名を確認する(図13のS104)。サービスプロバイダSPにおいて、コンピュータC1の署名が確認されない場合、ログイン失敗処理が行なわれる(図13のS106)。 The service provider SP determines whether or not the OTC signed by the computer C1 is received from the computer C1 (S103 in FIG. 13). When the OTC signed by the computer C1 is received, the service provider SP confirms the signature of the computer C1 (S104 in FIG. 13). If the signature of the computer C1 is not confirmed in the service provider SP, a login failure process is performed (S106 in FIG. 13).
サービスプロバイダSPは、コンピュータC1の署名が確認された場合、第1データを含む承認リクエストを認証サーバAに送信する(図7のT24、図13のS105)。ここで、第1データは、下記のデータを含む。
・ サービスプロバイダSPの署名がされたOTC及びコンピュータC1の公開鍵
すなわち、
第1データ =
サービスプロバイダSPの署名(OTC+コンピュータC1の公開鍵)
認証サーバAは、サービスプロバイダSPから第1データを含む承認リクエストを受信したかを判断し(図14のS121)、第1データを含む承認リクエストを受信した場合、サービスプロバイダSPの署名を確認する(図14のS122)。
When the signature of the computer C1 is confirmed, the service provider SP transmits an approval request including the first data to the authentication server A (T24 in FIG. 7 and S105 in FIG. 13). Here, the first data includes the following data.
The OTC signed by the service provider SP and the public key of the computer C1, ie
First data =
Service provider SP signature (OTC + public key of computer C1)
The authentication server A determines whether or not an approval request including the first data has been received from the service provider SP (S121 in FIG. 14), and when receiving the approval request including the first data, confirms the signature of the service provider SP. (S122 in FIG. 14).
サービスプロバイダSPの署名が確認された場合、第1データ及びOTCに認証サーバAの署名をして(「Aの署名((OTC)+第1データ)」)、携帯端末C2に送信する(図6のT25、図14のS123)。 When the signature of the service provider SP is confirmed, the first server and the OTC are signed by the authentication server A (“A signature ((OTC) + first data)”) and transmitted to the portable terminal C2 (FIG. 6 T25, S123 in FIG. 14).
Aの署名((OTC)+第1データ) =
Aの署名((OTC) + SPの署名(OTC + C1の公開鍵)
一方、認証サーバAにおいて、サービスプロバイダSPの署名が確認されない場合、ログイン失敗処理が行なわれる(図14のS129)。
A's signature ((OTC) + first data) =
A's signature ((OTC) + SP's signature (OTC + C1's public key)
On the other hand, if the signature of the service provider SP is not confirmed in the authentication server A, a login failure process is performed (S129 in FIG. 14).
携帯端末C2は、認証サーバAの署名がされたOTC及び第1データを受信したかを判断し(図16のS161)、認証サーバAの署名がされたOTC及び第1データを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認する(図16のS162)。 When the mobile terminal C2 receives the OTC and the first data signed by the authentication server A (S161 in FIG. 16) and receives the OTC and the first data signed by the authentication server A, The signatures of the authentication server A and service provider SP are confirmed (S162 in FIG. 16).
認証サーバA及びサービスプロバイダSPの署名が確認された場合、第2データを認証サーバAに送信する(図6のT26、図16のS163)。ここで、第2データは、下記のデータを含む。
・ 携帯端末C2の署名がされたOTC
・ 携帯端末C2の公開鍵
・ 携帯端末Cの端末情報
すなわち、
第2データ =携帯端末Cの署名(OTC) + 掲端末C2の公開鍵
+ 携帯端末C2の端末情報
である。
When the signatures of the authentication server A and the service provider SP are confirmed, the second data is transmitted to the authentication server A (T26 in FIG. 6 and S163 in FIG. 16). Here, the second data includes the following data.
・ OTC signed by mobile terminal C2
-Public key of portable terminal C2-terminal information of portable terminal C
Second data = Signature of portable terminal C (OTC) + Public key of posting terminal C2
+ Terminal information of the mobile terminal C2.
携帯端末Cにおいて、認証サーバA及びサービスプロバイダSPの署名が確認されない場合、ログイン処理失敗処理が行なわれる(図16のS164)。 When the signatures of the authentication server A and the service provider SP are not confirmed in the portable terminal C, a login process failure process is performed (S164 in FIG. 16).
認証サーバAは、S123において、認証サーバAの署名がされた第1データ及びOTCを送信した後、携帯端末C2から第2データを受信したかを判断し(図14のS124)、第2データを受信した場合、携帯端末C2の署名及び端末情報を確認する(図14のS125)。なお、携帯端末C2の署名の確認は、初期登録処理において記憶装置に格納された携帯端末の端末情報を使用して行なわれる。 In S123, the authentication server A determines whether the second data is received from the portable terminal C2 after transmitting the first data and the OTC signed by the authentication server A (S124 in FIG. 14). Is received, the signature and the terminal information of the portable terminal C2 are confirmed (S125 in FIG. 14). The signature of the portable terminal C2 is confirmed using the terminal information of the portable terminal stored in the storage device in the initial registration process.
S125において、携帯端末C2の署名及び端末情報を確認された場合、「承認リクエスト=OK」とし、携帯端末C2の署名及び端末情報が確認されない場合、「承認リクエスト=NG」として、第3データをサービスプロバイダSPに送信し(図7のT28、図14のS128)、認証サーバAにおける処理を終了する。 In S125, if the signature and terminal information of the portable terminal C2 are confirmed, “approval request = OK” is set. If the signature and terminal information of the portable terminal C2 are not confirmed, the third data is set as “approval request = NG”. The data is transmitted to the service provider SP (T28 in FIG. 7, S128 in FIG. 14), and the processing in the authentication server A ends.
ここで、第3データは、下記のデータを含む。
・ 認証サーバAの署名がされた承認リクエストの結果(OK/NG)
・ 認証サーバAの署名がされた携帯端末C2の署名が付されたOTC
・ 認証サーバAの署名がされた携帯端末C2の公開鍵
すなわち、
第3データ =
Aの署名(承認リクエストの結果(OK/NG) + Aの署名(C2の署名(OTC)) + Aの署名(C1の公開鍵)
サービスプロバイダSPは、S105において承認リクエストを送信後、認証サーバAから第3データを受信したかを判断し(図13のS107)、認証サーバAから第3データを受信した場合、認証サーバA、コンピュータC1及び携帯端末C2の署名及びOTCを確認する(図13のS108)。認証サーバA、コンピュータC1及び携帯端末C2の署名及びOTCの確認がされた場合、「承認リクエスト = OK」であるかを確認する(図13のS109)。
Here, the third data includes the following data.
-Result of approval request signed by authentication server A (OK / NG)
-OTC signed by the mobile terminal C2 signed by the authentication server A
The public key of the mobile terminal C2 signed by the authentication server A, ie
Third data =
A signature (approval request result (OK / NG) + A signature (C2 signature (OTC)) + A signature (C1 public key)
After transmitting the approval request in S105, the service provider SP determines whether or not the third data is received from the authentication server A (S107 in FIG. 13), and if the third data is received from the authentication server A, the authentication server A, The signature and OTC of the computer C1 and the portable terminal C2 are confirmed (S108 in FIG. 13). If the authentication server A, the computer C1, and the portable terminal C2 have been signed and checked for OTC, it is checked whether “approval request = OK” (S109 in FIG. 13).
S108及びS109において確認がされない場合、ログイン失敗処理が行なわれる(図13のS106)。 If the confirmation is not made in S108 and S109, login failure processing is performed (S106 in FIG. 13).
S109において、「承認リクエスト = OK」である場合、認証サーバAの署名がされたコンピュータC1の公開鍵と、サービスプロバイダSPの署名がされたコンピュータC1の公開鍵をログイン完了ページとともにコンピュータC1に送信し(図7のT28、図13のS109)、サービスプロバイダSPにおけるログイン処理を完了する(図13のS110)。 In S109, if “approval request = OK”, the public key of the computer C1 signed by the authentication server A and the public key of the computer C1 signed by the service provider SP are transmitted to the computer C1 together with the login completion page. (T28 in FIG. 7, S109 in FIG. 13), and the login process in the service provider SP is completed (S110 in FIG. 13).
コンピュータC1は、S143においてコンピュータC1の署名がされたOTCをサービスプロバイダSPに送信した後(図15のS143)、サービスプロバイダSPからログイン完了ページを受信したかを確認する(図15のS144)。 After transmitting the OTC signed by the computer C1 in S143 to the service provider SP (S143 in FIG. 15), the computer C1 confirms whether or not a login completion page has been received from the service provider SP (S144 in FIG. 15).
ログイン完了ページを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認し(図15のS145)、認証サーバA及びサービスプロバイダSPの署名が確認された場合、ログイン完了ページを表示して(図15のS146)、ログイン認証処理を終了する(図15のS147)。 When the login completion page is received, the signatures of the authentication server A and the service provider SP are confirmed (S145 in FIG. 15). When the signatures of the authentication server A and the service provider SP are confirmed, the login completion page is displayed ( 15 (S146 in FIG. 15), the login authentication process is terminated (S147 in FIG. 15).
S145において、認証サーバA及びサービスプロバイダSPの署名が確認がされない場合、ログインリクエスト失敗処理が行なわれる(図15のS148)。
3 効果
従って、実施形態のログイン認証システムによれば、第1の端末(コンピュータC1)及び第2の端末(携帯端末C2)が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができる。
If the signatures of the authentication server A and the service provider SP are not confirmed in S145, login request failure processing is performed (S148 in FIG. 15).
3 Effect Therefore, according to the login authentication system of the embodiment, the first terminal (computer C1) and the second terminal (portable terminal C2) use the public key cryptosystem and the service provider provides with the authentication server. By performing login authentication to the service, the user can safely log in to a highly confidential service without requiring input of ID and PW.
実施形態のログイン認証システムによれば、ログインに必要な情報(コンピュータC1の秘密鍵、携帯端末C2の秘密鍵)をサービスプロバイダSPに記憶されたログイン認証情報(ユーザID/PW)と分離している。 According to the login authentication system of the embodiment, information necessary for login (the secret key of the computer C1, the secret key of the portable terminal C2) is separated from the login authentication information (user ID / PW) stored in the service provider SP. Yes.
従って、サービスプロバイダSPに記憶されたログイン認証情報(ユーザID/PW)がハッキングされてもログインに必要な情報(コンピュータC1の公開鍵、携帯端末C2の公開鍵)が漏れることがなくなる。 Therefore, even if the login authentication information (user ID / PW) stored in the service provider SP is hacked, information (public key of the computer C1 and public key of the portable terminal C2) necessary for login is not leaked.
すなわち、実施形態のログイン認証システムによれば、ブロックチェーン技術を利用して、ログイン認証部分とコンテンツ提供部分を分離し、両方が同時にハッキングされない限り、ユーザのコンテンツの漏洩ができないようなセキュリティ性の高いサービスを提供することができる。 That is, according to the login authentication system of the embodiment, the login authentication part and the content providing part are separated using the block chain technology, and the security of the user cannot be leaked unless both are hacked at the same time. High service can be provided.
分離したログイン認証機能は、認証サーバ群ACの認証サーバA−1〜A−4は、ブロックチェーン技術により構築される。これにより、認証サーバAに格納される認証サーバのキーペア(公開鍵、秘密鍵)、サービスプロバイダSPの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び端末情報の改ざんを防止することができる。 In the separated login authentication function, the authentication servers A-1 to A-4 of the authentication server group AC are constructed by the block chain technology. This prevents falsification of the authentication server key pair (public key, secret key), service provider SP public key, computer C1 public key, portable terminal C2 public key, and terminal information stored in the authentication server A. Can do.
また、認証サーバ群ACの認証サーバA−1〜A−4は、ブロックチェーン技術により構築されるため、認証サーバA−1〜A−4のうちの特定の認証サーバAに障害が発生しても、他の認証サーバAでサービスの冗長性を担保することができる。認証サーバA−1〜A−4の認証用のデータもブロックチェーン技術により構築されており、認証サーバA−1〜A−4の間で共有される。 Further, since the authentication servers A-1 to A-4 of the authentication server group AC are constructed by the block chain technology, a failure occurs in a specific authentication server A among the authentication servers A-1 to A-4. However, the redundancy of the service can be ensured by another authentication server A. Data for authentication of the authentication servers A-1 to A-4 is also constructed by the block chain technology and is shared among the authentication servers A-1 to A-4.
中央管理型のログイン認証システムにおいて、セキュアであり、かつ可用性を担保するためには、システムの構築コストが増大してしまう。一方、実施形態のログイン認証システムのように、ブロックチェーン技術を使用した中央管理者不在の分散型認証システムによれば、可用性があり、低コストのログイン認証システムを提供することができる。 In the central management type login authentication system, in order to be secure and ensure availability, the construction cost of the system increases. On the other hand, according to the distributed authentication system without the central administrator using the block chain technology like the login authentication system of the embodiment, it is possible to provide a login authentication system that is available and low in cost.
実施形態のログイン認証システムでは以下の特徴を有する。
・ 3体認証
コンピュータC1、携帯端末C2、サービスプロバイダSP及び認証サーバAが相互に認証を行なうため、個別システムをハッキングすることにより不正行為を行なうことができない。
・ ゼロダウンタイム
複数の会社が認証局(認証サーバA)になることで、特定の認証局が障害になっても認証サービスを継続することができる。
・ 中央管理者不在
認証機能及びデータを分散型台帳で管理することにより、データ改ざんのような不正行為の検知や防止が可能になる(中央認証局の内部不正も排除)。
・ 相互扶助
サービスプロバイダSPが認証サーバAを兼ねることができる。通常、サービスプロバイダSPが認証サーバAを兼ねると自己監査になるため、両方を兼ねることはできないが、サービスプロバイダSP及び認証サーバAが複数の場合、自己以外のサービスプロバイダSPのために認証サーバAとしての機能を実行することができる。これにより、認証サービスを提供する側(認証サーバA)と受ける側(サービスプロバイダSP)とでデータを共有することができる。
The login authentication system of the embodiment has the following features.
-Three-body authentication Since the computer C1, the portable terminal C2, the service provider SP, and the authentication server A mutually authenticate, it is not possible to perform fraud by hacking the individual system.
-Zero downtime By having multiple companies become certification authorities (authentication server A), the certification service can be continued even if a specific certification authority fails.
・ Absence of central administrator By managing the authentication function and data with a distributed ledger, it is possible to detect and prevent fraudulent activities such as data falsification (excluding internal fraud of the central CA).
-Mutual assistance The service provider SP can also serve as the authentication server A. Normally, if the service provider SP also serves as the authentication server A, self-audit is performed, and thus both cannot be performed. However, when there are a plurality of service providers SP and authentication servers A, the authentication server A is used for service providers SP other than itself. As a function. As a result, data can be shared between the authentication service providing side (authentication server A) and the receiving side (service provider SP).
図17は、セキュリティの観点から従来のログイン方式と実施形態のログイン方式とを説明するための図である。
・ ID及びPWの漏れ
従来のID及びPWを使用したログイン方式では、ID及びPW漏れが発生した場合、ID及びPWを取得した人は、誰でも顧客のコンテンツのにアクセスが可能である。
FIG. 17 is a diagram for explaining the conventional login method and the login method of the embodiment from the viewpoint of security.
-Leakage of ID and PW In the conventional login method using ID and PW, if an ID and PW leak occur, anyone who acquires the ID and PW can access the customer's content.
実施形態のログイン方式では、コンピュータC1及び携帯端末C2の鍵(公開鍵及び秘密鍵)を使用し、さらに顧客の秘密鍵へのアクセスは、実施形態では、生体認証でアクセスを許可するものとしているのでセキュアである。
・ サーバハッキングについて
従来のログイン方式では、サーバに対してハッキングが発生し、顧客認証情報(ID及びPW)が盗まれた場合、ID及びPW漏れと同じ被害が発生する。
In the login method of the embodiment, the keys (public key and private key) of the computer C1 and the portable terminal C2 are used, and access to the customer's private key is permitted in the embodiment by biometric authentication. So secure.
-Server hacking In the conventional login method, if hacking occurs on the server and customer authentication information (ID and PW) is stolen, the same damage as ID and PW leakage occurs.
実施形態のログイン方式では、ログイン認証に必要な顧客の秘密鍵をサーバ側で保持しないことで、サーバがハッキングされても認証情報が漏れることはない。
・ サイトのなりすまし
従来のログイン方式では、顧客がなりすましサイトに接続し、ID及びPWを入力すると、ID及びPWが盗まれる恐れがある。
In the login method according to the embodiment, the secret information of the customer necessary for the login authentication is not held on the server side, so that the authentication information does not leak even if the server is hacked.
-Site Impersonation With the conventional login method, when a customer connects to an impersonation site and inputs an ID and PW, the ID and PW may be stolen.
実施形態のログイン方式では、署名付きの通信を行なうことにより、成りすましが不可能になる。 In the login method of the embodiment, impersonation becomes impossible by performing communication with a signature.
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.
また、実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラムとして、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。 The method described in the embodiment is a program that can be executed by a computer (computer), for example, a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, MO, etc.), It can be stored in a recording medium such as a semiconductor memory (ROM, RAM, flash memory, etc.), or transmitted and distributed via a communication medium. The program stored on the medium side includes a setting program that configures software means (including not only the execution program but also a table and data structure) in the computer. A computer that implements this apparatus reads a program recorded on a recording medium, constructs software means by a setting program as the case may be, and executes the above-described processing by controlling the operation by this software means. The recording medium referred to in this specification is not limited to distribution, but includes a storage medium such as a magnetic disk or a semiconductor memory provided in a computer or a device connected via a network.
1…ネットワーク、C1…コンピュータ、C2…携帯端末、AC…認証サーバ群、A、A−1〜A−4…認証サーバ、SP…サービスプロバイダ。 DESCRIPTION OF SYMBOLS 1 ... Network, C1 ... Computer, C2 ... Portable terminal, AC ... Authentication server group, A, A-1 to A-4 ... Authentication server, SP ... Service provider.
Claims (28)
前記サービスプロバイダは、
第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段と
を具備し、
前記認証サーバは、
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備し、
前記サービスプロバイダは、
前記認証サーバから前記第3データを受信する第3データ受信手段と、
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システム。 In a login authentication system having a service provider and an authentication server,
The service provider
Login request receiving means for receiving a login request from the first user terminal;
An identification code transmitting means for transmitting an identification code to the first user terminal in response to the received login request;
First code receiving means for receiving the identification code signed by the first user terminal;
When the signature of the first user terminal of the received identification code signed by the first user terminal is confirmed, the identification code and the public key of the first user terminal are sent to the authentication server. And an approval request transmitting means for transmitting an approval request including the first data signed by the service provider to the authentication server,
The authentication server is
When the approval request is received, and the signature of the service provider included in the first data included in the approval request is confirmed, the authentication server is signed to the first data and the identification code, and the authentication is performed. First data transmitting means for transmitting the first data and the identification code signed by a server to a second user terminal;
In response to the transmission of the first data and the identification code signed by the authentication server, the identification code signed by the second user terminal is sent from the second user terminal, Second data receiving means for receiving second data including a public key of the user terminal and terminal information of the second user terminal;
Approval result information indicating a result of the approval request signed by the authentication server when the signature of the second user terminal and the terminal information included in the received second data are confirmed, and the authentication server And third data transmitting means for transmitting the third data including the identification code with the signature of the second user terminal signed with the service provider to the service provider,
The service provider
Third data receiving means for receiving the third data from the authentication server;
When the signatures of the authentication server and the second user terminal of the received third data are confirmed, the public key of the first user terminal signed by the authentication server and the signature of the service provider are And a screen information transmitting means for transmitting the public key of the first user terminal to the first user terminal together with the screen information after the login request.
前記初期登録リクエストを受信した場合に、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付ける処理を行なう関連付け処理手段をさらに具備する請求項1記載のログイン認証システム。 Initial registration receiving means for receiving an initial registration request from the first user terminal;
When the initial registration request is received, the public key of the first user terminal, the public key of the second user terminal, the public key of the service provider, the public key of the authentication server, and the user identification information are mutually The login authentication system according to claim 1, further comprising association processing means for performing association processing.
前記サービスプロバイダが、
前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段を具備し、
前記認証サーバが、
前記第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第2の初期登録データ送信手段とを具備し、
前記サービスプロバイダが、
前記第3の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第3の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及びユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段とをさらに具備する、
請求項2記載のログイン認証システム。 The association processing means includes
The service provider
When an initial registration request is received from the first user terminal, first initial registration data including an initial identification code signed by the authentication server and an initial identification code signed by the service provider Comprising first initial registration data transmitting means for transmitting to the first user terminal;
The authentication server is
In response to the transmission of the first initial registration data, the initial identification code and the cipher with the signature of the first user terminal signed by the second user terminal from the second user terminal Receiving first initial registration data including the converted user identification information, the public key of the first user terminal, the public key of the second user terminal, and the terminal information of the second user terminal Initial registration data receiving means,
The first user terminal and the second user terminal of the initial identification code with the signature of the first user terminal signed by the second user terminal included in the second initial registration data When the signature of the user terminal is confirmed and the initial identification code is confirmed, the initial identification with the signature of the second user terminal signed by the authentication server and the signature of the first user terminal A second initial transmission for transmitting to the service provider third initial registration data including a code, the encrypted user identification information, the public key of the first user terminal, and the public key of the second user terminal Registration data transmission means,
The service provider
Second initial registration data receiving means for receiving the third initial registration data from the authentication server;
If the signature and user identification information of the first user terminal, the second user terminal and the authentication server included in the received third initial registration data are confirmed, initial registration after the initial registration request Initial registration completion screen information transmitting means for transmitting to the first user terminal together with completion screen information;
The login authentication system according to claim 2.
前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付けて記憶する記憶部を具備する請求項1記載のログイン認証システム。 The service provider
The login authentication system according to claim 1, further comprising a storage unit that stores the public key of the first user terminal, the public key of the second user terminal, the public key of the authentication server, and user identification information in association with each other. .
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされた第1データを含む承認リクエストを認証サーバに送信する承認リクエスト送信手段と、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信する第2データ受信手段と、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システムにおけるサービスプロバイダ。 Login request receiving means for receiving a login request from the first user terminal;
An identification code transmitting means for transmitting an identification code to the first user terminal in response to the received login request;
First code receiving means for receiving the identification code signed by the first user terminal;
When the signature of the first user terminal of the received identification code signed by the first user terminal is confirmed, a service provider is provided for the identification code and the public key of the first user terminal. An approval request transmitting means for transmitting an approval request including the first data signed by the authentication server,
In response to the transmission of the first data, approval result information indicating a result for the approval request signed by the authentication server from the authentication server, and a signature of the second user terminal signed by the authentication server Second data receiving means for receiving second data including the attached identification code and the public key of the first user terminal;
When the signatures of the authentication server and the second user terminal of the received second data are confirmed, the public key of the first user terminal signed by the authentication server and the signature of the service provider are A service provider in a login authentication system, comprising: screen information transmission means for transmitting the public key of the first user terminal that has been made to the first user terminal together with screen information after the login request.
前記第1の初期登録データの送信後、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第2の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第2の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及び前記ユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段と
をさらに具備する請求項9記載のサービスプロバイダ。 When an initial registration request is received from the first user terminal, first initial registration data including an initial identification code signed by the authentication server and an initial identification code signed by the service provider First initial registration data transmitting means for transmitting to the first user terminal;
After the transmission of the first initial registration data, the second user terminal signed by the authentication server and the initial identification code signed by the first user terminal, encrypted user identification Second initial registration data receiving means for receiving second initial registration data including information, the public key of the first user terminal and the public key of the second user terminal from the authentication server;
If the signature of the first user terminal, the second user terminal and the authentication server and the identification information of the user included in the received second initial registration data are confirmed, the initial stage after the initial registration request The service provider according to claim 9, further comprising initial registration completion screen information transmitting means for transmitting to the first user terminal together with registration completion screen information.
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備する認証サーバ。 When the approval request is received from the service provider, and the signature of the service provider included in the first data included in the approval request is confirmed, the authentication server is signed to the first data and the identification code, and the authentication is performed. First data transmitting means for transmitting the first data and the identification code signed by a server to a second user terminal;
In response to the first data and the identification code signed by the authentication server, the identification code signed by the second user terminal and the second user terminal are sent from the second user terminal. Second data receiving means for receiving second data including the public key of the second terminal information and the terminal information of the second user terminal;
Approval result information indicating a result of the approval request signed by the authentication server when the signature of the second user terminal and the terminal information included in the received second data are confirmed, and the authentication server An authentication server comprising: third data transmission means for transmitting the third data including the identification code with the signature of the second user terminal signed with the service provider to the service provider.
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化された前記ユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第1の初期登録データ送信手段と
を具備する請求項13記載の認証サーバ。 In response to the transmission of the first initial registration data including the initial identification code signed by the authentication server and the initial identification code signed by the service provider, the second user terminal sends a second The initial identification code with the signature of the first user terminal signed by the user terminal, the encrypted user identification information, the public key of the first user terminal, the second user terminal First initial registration data receiving means for receiving second initial registration data including a public key and terminal information of the second user terminal;
The first user terminal and the second user terminal of the initial identification code with the signature of the first user terminal signed by the second user terminal included in the second initial registration data When the signature of the user terminal is confirmed and the initial identification code is confirmed, the initial identification with the signature of the second user terminal signed by the authentication server and the signature of the first user terminal A first initial registration data including a code, the encrypted identification information of the user, a public key of the first user terminal, and a public key of the second user terminal; The authentication server according to claim 13, further comprising initial registration data transmission means.
認証サーバの署名がされた第1データ及び識別コードを受信し、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信することを含む、
ログイン認証方法。 A first user terminal, and a second user terminal, using said second user terminal, the second user login process in login authentication system for login of the first user terminal In the login authentication method on the terminal
Receiving first data and an identification code signed by an authentication server, wherein the first data is data signed by a service provider on the identification code and the public key of the first user terminal;
The identification code signed by the second user terminal when the signatures of the authentication server and the service provider of the received first data and the identification code signed by the authentication server are confirmed. includes transmitting first data including a public key and the terminal information of the second user terminal of the second user terminal to the authentication server,
Login authentication method.
前記第1のユーザ端末の署名が確認された場合に、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを送信する、
請求項18記載のログイン認証方法。 When initial registration of the login authentication system is performed, the initial identification code signed by the first user terminal and the public key of the first user terminal are read,
When the signature of the first user terminal is confirmed, the initial identification code with the signature of the first user terminal on which the signature of the second user terminal is attached, the encrypted user's signature Transmitting initial registration data including identification information, a public key of the first user terminal, a public key of the second user terminal, and terminal information of the second user terminal;
The login authentication method according to claim 18.
初期登録リクエストをサービスプロバイダに送信し、
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及びサービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信し、
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信し、
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信し、
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示し、
前記初期登録完了画面情報を表示した後、ログインリクエストをサービスプロバイダに送信し、
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信し、
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信し、
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信する、
ログイン認証方法。 A first user terminal, and a second user terminal, using said second user terminal, the first user login process in login authentication system for login of the first user terminal In the login authentication method on the terminal,
Send an initial registration request to the service provider,
In response to the transmission of the initial registration request, first initial registration data including first initial registration data including an initial identification code signed by the authentication server and an initial identification code signed by the service provider. From the service provider,
When the signature of the authentication server and the service provider of the received first initial registration data is confirmed, a QR code that can be read by the second user terminal is displayed, and the QR code is Including the initial identification code signed by the first user terminal, the public key of the first user terminal, and the second user terminal from the QR code displayed on the first user terminal If the signature of one user terminal is confirmed, the initial identification code with the signature of the first user terminal signed by the second user terminal, the encrypted user identification information, Transmitting initial registration data including the public key of the first user terminal, the public key of the second user terminal, and terminal information of the second user terminal to the authentication server;
After displaying the QR code, a login request for the public key of the first user terminal signed by the authentication server and the public key of the first user terminal signed by the service provider from the service provider With the screen information after
The authentication server of the public key of the first user terminal signed by the authentication server and the public key of the first user terminal signed by the service provider received together with the screen information after the login request And when the signature of the service provider is confirmed, display initial registration completion screen information after the login request,
After displaying the initial registration completion screen information , send a login request to the service provider,
In response to the transmitted login request, an identification code is received from the service provider;
The first user terminal is signed on the received identification code, and the identification code on which the first user terminal is signed is transmitted to the service provider,
After sending the identification code signed by the first user terminal to the service provider, an approval request sent by the service provider to the authentication server is permitted, and the signature of the first user terminal, When the signature of the second user terminal, the signature of the authentication server, and the identification code are confirmed , the public key of the first user terminal and the signature of the service provider that are signed by the authentication server from the service provider are Receiving the public key of the first user terminal that has been made together with the screen information after the login request;
Login authentication method.
前記サービスプロバイダが、 The service provider
第1のユーザ端末からログインリクエストを受信し、 Receive a login request from the first user terminal,
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、 In response to the received login request, an identification code is transmitted to the first user terminal,
前記第1のユーザ端末の署名がされた前記識別コードを受信し、 Receiving the identification code signed by the first user terminal;
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、 When the signature of the first user terminal of the received identification code signed by the first user terminal is confirmed, the identification code and the public key of the first user terminal are sent to the authentication server. And sending an approval request including the first data signed by the service provider to the authentication server,
前記認証サーバが、 The authentication server is
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、 When the approval request is received, and the signature of the service provider included in the first data included in the approval request is confirmed, the authentication server is signed to the first data and the identification code, and the authentication is performed. Transmitting the first data and the identification code signed by a server to a second user terminal;
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、 In response to the transmission of the first data and the identification code signed by the authentication server, the identification code signed by the second user terminal is sent from the second user terminal, Receiving second data including a public key of the user terminal and terminal information of the second user terminal;
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信し、 Approval result information indicating a result of the approval request signed by the authentication server when the signature of the second user terminal and the terminal information included in the received second data are confirmed, and the authentication server Transmitting the third data including the identification code with the signature of the second user terminal signed with the service provider,
前記サービスプロバイダが、 The service provider
前記認証サーバから前記第3データを受信し、 Receiving the third data from the authentication server;
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、 When the signatures of the authentication server and the second user terminal of the received third data are confirmed, the public key of the first user terminal signed by the authentication server and the signature of the service provider are Transmitting the public key of the first user terminal that has been made to the first user terminal together with screen information after the login request;
ログイン認証方法。Login authentication method.
第1のユーザ端末からログインリクエストを受信し、 Receive a login request from the first user terminal,
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、 In response to the received login request, an identification code is transmitted to the first user terminal,
前記第1のユーザ端末の署名がされた前記識別コードを受信し、 Receiving the identification code signed by the first user terminal;
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、 When the signature of the first user terminal of the received identification code signed by the first user terminal is confirmed, the identification code and the first user terminal are disclosed to the authentication server. Sending an authorization request including first data signed by the service provider in the key to the authentication server;
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信し、 In response to the transmission of the first data, approval result information indicating a result for the approval request signed by the authentication server from the authentication server, and a signature of the second user terminal signed by the authentication server Receiving second data including the attached identification code and the public key of the first user terminal;
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、 When the signatures of the authentication server and the second user terminal of the received second data are confirmed, the public key of the first user terminal signed by the authentication server and the signature of the service provider are Transmitting the public key of the first user terminal that has been made to the first user terminal together with screen information after the login request;
ログイン認証システムにおけるサービスプロバイダのログイン認証方法。Service provider login authentication method in the login authentication system.
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、 When an approval request is received from a service provider and the signature of the service provider included in the first data included in the approval request is confirmed, the authentication server is signed on the first data and the identification code, and Transmitting the first data and the identification code signed by the authentication server to the second user terminal;
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、 In response to the first data and the identification code signed by the authentication server, the identification code signed by the second user terminal and the second user terminal are sent from the second user terminal. Receiving the second data including the public key and the terminal information of the second user terminal,
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する、 Approval result information indicating a result of the approval request signed by the authentication server when the signature of the second user terminal and the terminal information included in the received second data are confirmed, and the authentication server Transmitting the third data including the identification code with the signature of the second user terminal signed with the service provider to the service provider;
ログイン認証システムにおける認証サーバのログイン認証方法。Login authentication method of the authentication server in the login authentication system.
ログイン認証システムのサービスプロバイダに、 To login service provider
第1のユーザ端末からログインリクエストを受信させ、 Receiving a login request from the first user terminal,
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信させ、 In response to the received login request, the first user terminal is sent an identification code,
前記第1のユーザ端末の署名がされた前記識別コードを受信させ、 Receiving the identification code signed by the first user terminal;
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信させ、 When the signature of the first user terminal of the received identification code signed by the first user terminal is confirmed, the identification code and the first user terminal are disclosed to the authentication server. Sending an authorization request including first data signed by the service provider in the key to the authentication server;
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信させ、 In response to the transmission of the first data, approval result information indicating a result for the approval request signed by the authentication server from the authentication server, and a signature of the second user terminal signed by the authentication server Receiving the second data including the attached identification code and the public key of the first user terminal;
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信させる、 When the signatures of the authentication server and the second user terminal of the received second data are confirmed, the public key of the first user terminal signed by the authentication server and the signature of the service provider are The public key of the first user terminal that has been made is transmitted to the first user terminal together with the screen information after the login request,
ログイン認証プログラム。Login authentication program.
ログイン認証システムの認証サーバに、 In the authentication server of the login authentication system,
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信させ、 When an approval request is received from a service provider and the signature of the service provider included in the first data included in the approval request is confirmed, the authentication server is signed on the first data and the identification code, and Sending the first data and the identification code signed by the authentication server to a second user terminal;
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信させ、 In response to the first data and the identification code signed by the authentication server, the identification code signed by the second user terminal and the second user terminal are sent from the second user terminal. Receiving the second data including the public key and the terminal information of the second user terminal,
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信させる、 Approval result information indicating a result of the approval request signed by the authentication server when the signature of the second user terminal and the terminal information included in the received second data are confirmed, and the authentication server Transmitting the third data including the identification code with the signature of the second user terminal signed with the service provider to the service provider;
ログイン認証プログラム。Login authentication program.
認証サーバの署名がされた第1データ及び識別コードを受信させ、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、 Receiving the first data signed by the authentication server and the identification code, wherein the first data is data signed by a service provider on the identification code and the public key of the first user terminal;
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信させることを含む、 The identification code signed by the second user terminal when the signatures of the authentication server and the service provider of the received first data and the identification code signed by the authentication server are confirmed. , Causing the authentication server to transmit first data including a public key of the second user terminal and terminal information of the second user terminal.
ログイン認証プログラム。 Login authentication program.
初期登録リクエストをサービスプロバイダに送信させ、 Send an initial registration request to the service provider,
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信させ、 In response to the transmission of the initial registration request, a first initial registration including first initial registration data including an initial identification code signed by an authentication server and an initial identification code signed by the service provider. Receiving data from the service provider;
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信させ、 When the signature of the authentication server and the service provider of the received first initial registration data is confirmed, a QR code that can be read by the second user terminal is displayed, and the QR code is Including the initial identification code signed by the first user terminal, the public key of the first user terminal, and the second user terminal from the QR code displayed on the first user terminal If the signature of one user terminal is confirmed, the initial identification code with the signature of the first user terminal signed by the second user terminal, the encrypted user identification information, Initial registration data including a public key of the first user terminal, a public key of the second user terminal, and terminal information of the second user terminal is transmitted to the authentication server;
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信させ、 After displaying the QR code, a login request for the public key of the first user terminal signed by the authentication server and the public key of the first user terminal signed by the service provider from the service provider With the screen information after
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示させ、 The authentication server of the public key of the first user terminal signed by the authentication server and the public key of the first user terminal signed by the service provider received together with the screen information after the login request And when the signature of the service provider is confirmed, display initial registration completion screen information after the login request,
前記初期登録完了画面情報を表示させた後、ログインリクエストをサービスプロバイダに送信させ、 After displaying the initial registration completion screen information, send a login request to the service provider,
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信させ、 In response to the transmitted login request, an identification code is received from the service provider;
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信させ、 The first user terminal is signed on the received identification code, and the identification code on which the first user terminal is signed is transmitted to the service provider,
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信させる、 After sending the identification code signed by the first user terminal to the service provider, an approval request sent by the service provider to the authentication server is permitted, and the signature of the first user terminal, When the signature of the second user terminal, the signature of the authentication server, and the identification code are confirmed, the public key of the first user terminal and the signature of the service provider that are signed by the authentication server from the service provider are Receiving the public key of the first user terminal that has been made together with the screen information after the login request;
ログイン認証プログラム。Login authentication program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016221657A JP6407232B2 (en) | 2016-11-14 | 2016-11-14 | Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016221657A JP6407232B2 (en) | 2016-11-14 | 2016-11-14 | Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018082244A JP2018082244A (en) | 2018-05-24 |
| JP6407232B2 true JP6407232B2 (en) | 2018-10-17 |
Family
ID=62197837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016221657A Active JP6407232B2 (en) | 2016-11-14 | 2016-11-14 | Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6407232B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101996317B1 (en) * | 2018-07-12 | 2019-07-04 | 주식회사 넵튠 | Block chain based user authentication system using authentication variable and method thereof |
| CN111064695A (en) * | 2018-10-17 | 2020-04-24 | 联易软件有限公司 | Authentication method and authentication system |
| TWI706355B (en) * | 2019-08-13 | 2020-10-01 | 張英輝 | Method for challenge response authentication with selectable claimant password |
| CN112822172B (en) * | 2020-12-31 | 2023-04-28 | 咪咕文化科技有限公司 | Login verification method and device, electronic equipment and storage medium |
| CN113849798A (en) * | 2021-10-18 | 2021-12-28 | 南方电网数字电网研究院有限公司 | Secure login authentication method, system, computer device and storage medium |
| CN119945688B (en) * | 2025-04-09 | 2025-06-10 | 北京云成金融信息服务有限公司 | Safe login and verification method for network service system |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5189250B2 (en) * | 2006-05-19 | 2013-04-24 | ソフトバンクモバイル株式会社 | Authentication method, information reading apparatus, and authentication system |
| JP2010226336A (en) * | 2009-03-23 | 2010-10-07 | Denso It Laboratory Inc | Authentication method and authentication apparatus |
| CA2873695C (en) * | 2012-04-01 | 2019-10-01 | Authentify, Inc. | Secure authentication in a multi-party system |
| US9876775B2 (en) * | 2012-11-09 | 2018-01-23 | Ent Technologies, Inc. | Generalized entity network translation (GENT) |
| JP6182080B2 (en) * | 2014-01-20 | 2017-08-16 | 日本電信電話株式会社 | Authentication system, program |
| JP6293716B2 (en) * | 2015-11-10 | 2018-03-14 | 株式会社アメニディ | Anonymous communication system and method for joining the communication system |
-
2016
- 2016-11-14 JP JP2016221657A patent/JP6407232B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018082244A (en) | 2018-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20250365274A1 (en) | Blockchain systems and methods for user authentication | |
| EP3959853B1 (en) | Method, system and computer readable storage medium for accessibility controls in distributed data systems | |
| JP6407232B2 (en) | Login authentication system, service provider and authentication server in login authentication system, service provider in login authentication system, authentication server, computer and login authentication method and program for portable terminal | |
| US10367796B2 (en) | Methods and apparatus for recording a change of authorization state of one or more authorization agents | |
| CA2926128C (en) | Authorization of server operations | |
| US11924333B2 (en) | Secure and robust decentralized ledger based data management | |
| CN113056741A (en) | Profile verification based on distributed ledger | |
| KR20180017734A (en) | System and method for authentication, user terminal, authentication server and service server for executing the same | |
| US20200382311A1 (en) | Protection of online applications and webpages using a blockchain | |
| CN110719174B (en) | Ukey-based certificate issuing method | |
| JP6712707B2 (en) | Server system and method for controlling a plurality of service systems | |
| JPWO2019234801A1 (en) | Service provision system and service provision method | |
| JP6045018B2 (en) | Electronic signature proxy server, electronic signature proxy system, and electronic signature proxy method | |
| JP2014197839A (en) | Communication system, client terminal, server, data communication method, and data communication program | |
| KR101708880B1 (en) | Integrated lon-in apparatus and integrated log-in method | |
| EP4544440A1 (en) | Managing authorisations for local object sharing and integrity protection | |
| KR102033842B1 (en) | Cyber secure safety box | |
| JP2017079419A (en) | Server authentication system, terminal, server, server authentication method, program | |
| WO2022070406A1 (en) | Control method, information processing device, information processing system, and control program | |
| JP2015219822A (en) | One-stop application system, one-stop application method, and program | |
| KR102934133B1 (en) | System and method for providing a custodial wallet using virtual asset service provider | |
| CN112187458B (en) | Method, device, system and medium for activating session between equipment end and platform end | |
| TW202540883A (en) | System and method for identity verification | |
| CN121887469A (en) | Cross-domain authentication method and device, electronic equipment and storage medium | |
| Patel | Cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180404 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180821 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180918 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6407232 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |