[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2008293216A - Authentication system, authentication method, and authentication program - Google Patents

Authentication system, authentication method, and authentication program Download PDF

Info

Publication number
JP2008293216A
JP2008293216A JP2007137122A JP2007137122A JP2008293216A JP 2008293216 A JP2008293216 A JP 2008293216A JP 2007137122 A JP2007137122 A JP 2007137122A JP 2007137122 A JP2007137122 A JP 2007137122A JP 2008293216 A JP2008293216 A JP 2008293216A
Authority
JP
Japan
Prior art keywords
authentication
user
terminal
identification information
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007137122A
Other languages
Japanese (ja)
Other versions
JP5130526B2 (en
Inventor
Keiichi Nakajima
啓一 中島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank BB Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank BB Corp filed Critical SoftBank BB Corp
Priority to JP2007137122A priority Critical patent/JP5130526B2/en
Publication of JP2008293216A publication Critical patent/JP2008293216A/en
Application granted granted Critical
Publication of JP5130526B2 publication Critical patent/JP5130526B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

<P>PROBLEM TO BE SOLVED: To provide a satisfactory system of usability for both a service site and user. <P>SOLUTION: This authentication system is provided with an acceptance condition storage part for storing acceptance condition for a service server; an authentication information storage part for storing authentication information for authenticating the user, a user registration information storage part for storing terminal identification information of an authentication terminal, while being correlated with user identification information; an authentication request receiving part for receiving an authentication request from the service server; an authentication terminal specifying part for specifying the terminal identification information from the user identification information contained in the authentication request; a certificate request receiving part for receiving a certificate request from the authentication terminal, an authentication deciding part for collating the authentication information acquired from the authentication terminal with the authentication information stored in the authentication information storage part, and for deciding whether a collation result satisfies the acceptance condition; and an authentication result notifying part for transmitting to the service server a result of a purport that the authentication is successful as to a satisfied portion, when the collation result is judged to satisfy one part of the acceptance condition. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、認証システム、認証方法および認証用プログラムに関する。特に、サービスサーバからサービスを受けるユーザに、サービス端末とは別に認証用の認証端末を保持させ、当該認証端末を利用して認証サービスを提供する認証システムにおいて、認証レベルあるいは認証プロセスの設定を変更できる認証システム、認証方法および認証用プログラムに関する。   The present invention relates to an authentication system, an authentication method, and an authentication program. In particular, the authentication level or the authentication process setting is changed in an authentication system in which a user who receives a service from the service server holds an authentication terminal for authentication separately from the service terminal and provides the authentication service using the authentication terminal. The present invention relates to an authentication system, an authentication method, and an authentication program.

特許文献1は、インターネット上において、第1会員サイトのサーバであるサーバAに登録したクライアントが、会員でない第2会員サイトのサーバであるサーバBのコンテンツを閲覧するコンテンツサービス提供システムが開示されている。当該システムにおいて、ユーザがサーバAにコンテンツの閲覧をリクエストすると、サーバAはユーザが自分のサイトの会員であることを保証する保証情報をサーバBに送信する。サーバBは、保証情報に基づいてユーザクライアントにコンテンツの閲覧を許可するためのキーを渡して、クライアントはキーを用いてコンテンツにアクセスする。   Patent Document 1 discloses a content service providing system in which a client registered in a server A that is a server of a first member site browses contents of a server B that is a server of a second member site that is not a member on the Internet. Yes. In the system, when the user requests the server A to browse the content, the server A transmits guarantee information to the server B to guarantee that the user is a member of his site. Server B passes a key for permitting the user client to view the content based on the guarantee information, and the client accesses the content using the key.

特許文献2は、機器のサービス属性に応じて最低認証レベルを変化させ、ユーザが認証レベルを自由に設定できると共に最低認証レベル以下の認証レベルが設定されることを防止する認証システムを開示する。当該認証システムでは、サービス提供が機器内部の状態に変化を及ぼすか否か、サービス提供が機器外部の周辺環境に変化を及ぼすか否か、といった事項に基づいて当該サービスの最低認証レベルを定める。そして端末から機器に認証レベルを設定する場合、ASPサーバから端末へ最低認証レベルを組み込んだ設定支援画面をダウンロードして、機器の提供するサービスに対してそのサービスの最低認証レベルよりも低い認証レベルは設定不可にする。   Patent Document 2 discloses an authentication system in which a minimum authentication level is changed according to a service attribute of a device, and a user can freely set an authentication level and prevent an authentication level lower than the minimum authentication level from being set. In the authentication system, the minimum authentication level of the service is determined based on matters such as whether the service provision changes the state inside the device and whether the service provision changes the surrounding environment outside the device. When setting the authentication level from the terminal to the device, the setting support screen incorporating the minimum authentication level is downloaded from the ASP server to the terminal, and the authentication level lower than the minimum authentication level of the service for the service provided by the device Cannot be set.

特許文献3は、ユーザがサービスを利用する場合にセキュリティを確保してサービスを利用する分散認証システムを開示する。当該分散認証システムでは、端末、分散認証システムおよびサービスサーバが通信網を介して接続されている。分散認証システムは、端末からサーバへのアクセス要求を許可するか否かを判定する判定部を備え、判定部は、アクセス要求のセキュリティの度合いを算出して、算出したセキュリティの度合いに対応する詳細情報の送信を端末に要求する。判定部は、受信した詳細情報に基づいてアクセス要求元の端末を認証してアクセス要求を許可する。   Patent Document 3 discloses a distributed authentication system that secures security and uses a service when a user uses the service. In the distributed authentication system, a terminal, a distributed authentication system, and a service server are connected via a communication network. The distributed authentication system includes a determination unit that determines whether or not an access request from the terminal to the server is permitted, and the determination unit calculates the security level of the access request and details corresponding to the calculated security level Request the terminal to send information. The determination unit authenticates the access request source terminal based on the received detailed information and permits the access request.

特許文献4は、異常状態に対して適切に対応可能な認証方法を開示する。当該認証方法では、予め収集され且つコンテキスト格納部に格納されている、異常に係るコンテキストから、予め異常レベル基準データ格納部に格納された異常レベル基準データに従って異常レベルを特定する。そして予め定められた認証強度レベル設定ルールに従って異常レベルを認証強度レベルに変換して、当該認証強度レベルに応じた認証処理を認証サーバに実行させる。
特開2004−086510号公報 特開2005−135290号公報 特開2006−260201号公報 特開2007−065824号公報
Patent Document 4 discloses an authentication method that can appropriately cope with an abnormal state. In the authentication method, an abnormal level is specified according to abnormal level reference data stored in advance in the abnormal level reference data storage unit from a context relating to the abnormality collected in advance and stored in the context storage unit. Then, the abnormality level is converted into the authentication strength level in accordance with a predetermined authentication strength level setting rule, and the authentication server according to the authentication strength level is executed.
JP 2004-086510 A JP 2005-135290 A JP 2006-260201 A JP 2007-065824 A

しかし、特許文献1が開示するコンテンツサービス提供システムでは、会員サイトへの認証をパスしたユーザに対して、非会員サイトは自サイトへのアクセスを許可しなければならない。つまり、非会員サイト側では独自の認証レベルあるいは認証のプロセスを採用したい場合であっても会員サイトが採用する認証のレベルあるいはプロセスを変更することはできない。また、特許文献2が開示する認証システムは、ユーザが機器の認証レベルを、最低認証レベルより高い範囲で自由に設定できるようにしたものであって、サービスサイトへのログイン等の認証を変更することを開示したものではない。   However, in the content service providing system disclosed in Patent Document 1, a non-member site must permit access to its own site for a user who has passed authentication to the member site. In other words, the non-member site cannot change the authentication level or process adopted by the member site even if it wants to adopt its own authentication level or authentication process. In addition, the authentication system disclosed in Patent Document 2 allows the user to freely set the device authentication level within a range higher than the minimum authentication level, and changes authentication such as login to the service site. It is not disclosed.

また、特許文献3が開示する分散認証システムは、サービスサイトの側で認証のレベルを変更できるものの、ユーザに認証のレベルを決める裁量が与えられているわけではない。さらに特許文献4の認証方法では、異常のレベルに応じて認証強度が変更されるものの、やはりユーザに認証のレベルを決める裁量が与えられているわけではない。すなわち、特許文献1〜4に開示の技術では、サービスサイトおよびユーザの双方にとって使い勝手の良い認証システムを提供できない。   The distributed authentication system disclosed in Patent Document 3 can change the authentication level on the service site side, but does not give the user the discretion to determine the authentication level. Furthermore, in the authentication method of Patent Document 4, although the authentication strength is changed according to the level of abnormality, the discretion for determining the authentication level is not given to the user. In other words, the technologies disclosed in Patent Documents 1 to 4 cannot provide an authentication system that is easy to use for both the service site and the user.

上記課題を解決することを目的として、発明の形態においては、通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバが、サービスの提供を許可する受入条件を格納する受入条件格納部と、サービスサーバからサービス端末を通じてサービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部と、通信ネットワークに接続されたユーザの認証端末の端末識別情報を、ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部と、サービスサーバからの認証請求を受信する認証請求受信部と、認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部と、端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には認証端末からの証明請求を受信する証明請求受信部と、認証端末から取得した認証情報と認証情報格納部に格納されている認証情報とを照合し、当該照合の結果が受入条件を充足するか否かを判断する認証判断部と、認証判断部において照合の結果が受入条件を一部充足すると判断した場合に、照合の結果の充足した部分について認証が成功した旨の結果通知をサービスサーバに送信する認証結果通知部と、を備える認証システムを提供する。   In order to solve the above-mentioned problem, in the form of the invention, the acceptance condition that the service server of the service provider that provides the service using the communication between the information processing apparatuses via the communication network permits the provision of the service An acceptance condition storage unit for storing authentication information, an authentication information storage unit for storing authentication information for authenticating a user who is to receive service provision from a service server through a service terminal, and an authentication terminal for a user connected to a communication network A user registration information storage unit that stores the terminal identification information in association with the user identification information of the user, an authentication request reception unit that receives the authentication request from the service server, and the user identification information included in the authentication request. From the authentication terminal specifying unit that specifies the terminal identification information according to the claim and the authentication terminal that matches the terminal identification information A certificate request receiving unit for receiving a certificate request from the authentication terminal, authentication information acquired from the authentication terminal, and authentication information stored in the authentication information storage unit. And the authentication determination unit that determines whether the result of the verification satisfies the acceptance condition, and the authentication determination unit determines that the result of the verification is that the verification result partially satisfies the acceptance condition. An authentication system is provided that includes an authentication result notifying unit that transmits a result notification indicating that the authentication has been successful to a service server.

また、他の発明の形態においては、通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバからサービス端末を通じてサービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部と、通信ネットワークに接続されたユーザの認証端末の端末識別情報をユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部と、サービスサーバからの認証請求を受信する認証請求受信部と、認証請求に含まれる認証コードから認証条件を抽出する認証条件抽出部と、認証条件に基づきユーザを認証する認証項目を特定する認証項目特定部と、認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部と、端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には認証端末からの証明請求を受信する証明請求受信部と、認証項目について、認証端末から取得した認証情報と認証情報格納部に格納されている認証情報とを照合し、各認証項目において一致しているか否かを判断する認証判断部と、認証判断部における認証の結果および認証条件が指定する処理条件に応じて、認証の結果通知をサービスサーバに送信する認証結果通知部と、を備える認証システムを提供する。   In another aspect of the invention, a user who wants to receive a service through a service terminal is authenticated from a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network. An authentication information storage unit for storing authentication information for authentication, a user registration information storage unit for storing the terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user, and authentication from the service server An authentication request receiving unit for receiving a request, an authentication condition extracting unit for extracting an authentication condition from an authentication code included in the authentication request, an authentication item specifying unit for specifying an authentication item for authenticating a user based on the authentication condition, and an authentication request An authentication terminal specifying unit for specifying the terminal identification information related to the authentication request from the user identification information included in It is determined whether or not there is a connection from an authentication terminal that matches the information, and if so, a certificate request receiving unit that receives a certificate request from the authentication terminal, and authentication information acquired from the authentication terminal for the authentication item And the authentication information stored in the authentication information storage unit to determine whether or not each authentication item is the same, and the processing result specified by the authentication result and the authentication condition in the authentication determination unit And an authentication result notifying unit that transmits an authentication result notification to a service server.

なお、上記の発明の概要は、発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。   Note that the above summary of the invention does not enumerate all the necessary features of the invention, and sub-combinations of these feature groups can also be the invention.

以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。   Hereinafter, the present invention will be described through embodiments of the invention. However, the following embodiments do not limit the invention according to the scope of claims, and all combinations of features described in the embodiments are included. It is not necessarily essential for the solution of the invention.

図1は、本実施形態の認証システムの一例である認証サーバ32を利用する全体システム10を概念的に示す。全体システム10では、ユーザシステム20a、ユーザシステム20b、サービスサーバ30a、サービスサーバ30bおよび認証サーバ32が通信ネットワーク34で接続される。ユーザシステム20aには、認証端末22aおよびサービス端末24aを有する。ユーザシステム20bには、認証端末22bおよびサービス端末24bを有する。   FIG. 1 conceptually shows an overall system 10 that uses an authentication server 32 that is an example of an authentication system of the present embodiment. In the overall system 10, a user system 20 a, a user system 20 b, a service server 30 a, a service server 30 b, and an authentication server 32 are connected via a communication network 34. The user system 20a has an authentication terminal 22a and a service terminal 24a. The user system 20b includes an authentication terminal 22b and a service terminal 24b.

ユーザシステム20aおよびユーザシステム20bは同様の構成を有するので、特に区別しない場合には単に「ユーザシステム20」と標記する。同様に、認証端末22aおよび認証端末22b、サービス端末24aおよびサービス端末24b、並びにサービスサーバ30aおよびサービスサーバ30bを区別しない場合には各々単に「認証端末22」、「サービス端末24」、「サービスサーバ30」と標記する場合がある。   Since the user system 20a and the user system 20b have the same configuration, the user system 20a and the user system 20b are simply referred to as “user system 20” unless otherwise distinguished. Similarly, when the authentication terminal 22a and the authentication terminal 22b, the service terminal 24a and the service terminal 24b, and the service server 30a and the service server 30b are not distinguished, they are simply “authentication terminal 22”, “service terminal 24”, “service server”, respectively. 30 ”in some cases.

ユーザシステム20の認証端末22は、ユーザが認証サーバ32で認証を受けるときに利用する。たとえば携帯電話を例示できる。サービス端末24は、ユーザがサービスサーバ30に接続してサービスの提供を受けるときに利用する。たとえばパーソナルコンピュータを例示できる。   The authentication terminal 22 of the user system 20 is used when the user is authenticated by the authentication server 32. For example, a mobile phone can be exemplified. The service terminal 24 is used when a user connects to the service server 30 to receive service. For example, a personal computer can be exemplified.

サービスサーバ30は、通信ネットワーク34を介した情報処理装置間の通信を利用したサービスを提供する。通信ネットワーク34は、たとえばインターネットを例示できる。   The service server 30 provides a service using communication between information processing apparatuses via the communication network 34. An example of the communication network 34 is the Internet.

全体システム10では、ユーザがユーザシステム20のサービス端末24を用いてサービスサーバ30のサービスを利用する。サービスサーバ30においてユーザを認証する場合に、認証の全部または一部を認証サーバ32が代行する。サービスサーバ30は、ユーザを認証するときに、サービス端末24にユーザ識別情報(たとえばユーザID)の入力を求める。そしてサービスサーバ30は、当該ユーザ識別情報を含めた認証請求を認証サーバ32に送信する。   In the overall system 10, the user uses the service of the service server 30 using the service terminal 24 of the user system 20. When the service server 30 authenticates the user, the authentication server 32 performs all or part of the authentication. When the service server 30 authenticates the user, the service server 30 requests the service terminal 24 to input user identification information (for example, a user ID). Then, the service server 30 transmits an authentication request including the user identification information to the authentication server 32.

ユーザはサービス端末24から認証を求められたときに、認証端末22を操作して証明請求を認証サーバ32に送信する。認証端末22には予めユーザ識別情報を記録してよく、認証請求にはユーザ識別情報を含めてもよい。認証請求と証明請求を受け取った認証サーバ32は認証を開始する。認証サーバ32は認証の結果を、認証請求を受け取ったサービスサーバ30に送信する。   When the user is requested for authentication from the service terminal 24, the user operates the authentication terminal 22 to transmit a certification request to the authentication server 32. User identification information may be recorded in advance in the authentication terminal 22, and user identification information may be included in the authentication request. Upon receiving the authentication request and the certification request, the authentication server 32 starts authentication. The authentication server 32 transmits the authentication result to the service server 30 that has received the authentication request.

なお、サービスサーバ30aとサービスサーバ30bとは各々独自に管理するユーザを有してよく、サービスサーバ30aまたはサービスサーバ30bが管理するユーザにはローカルユーザ識別情報を付与してよい。たとえばユーザシステム20aのユーザがサービスサーバ30aの会員であって、サービスサーバ30aからローカルユーザ識別情報が付与されてよい。またユーザシステム20bのユーザがサービスサーバ30bの会員であって、サービスサーバ30bからローカルユーザ識別情報が付与されてよい。この場合、ユーザシステム20aおよびユーザシステム20bにはグローバルユーザ識別情報が付与され、サービスサーバ30aまたはサービスサーバ30bから送信された認証請求に含まれるローカルユーザ識別情報は認証サーバ32においてグローバルユーザ識別情報に変換される。   Note that each of the service server 30a and the service server 30b may have a user managed independently, and local user identification information may be given to a user managed by the service server 30a or the service server 30b. For example, the user of the user system 20a may be a member of the service server 30a, and local user identification information may be given from the service server 30a. Further, the user of the user system 20b is a member of the service server 30b, and local user identification information may be given from the service server 30b. In this case, global user identification information is given to the user system 20a and the user system 20b, and the local user identification information included in the authentication request transmitted from the service server 30a or the service server 30b is converted into the global user identification information in the authentication server 32. Converted.

図2は、認証サーバ32におけるユーザ認証の概要を示す。ユーザは自己が保持する認証端末22を鍵として、各種の認証をパスすることにより、ロック56、ロック58、ロック60を開ける。ロック56、ロック58、ロック60の何れかが開いた段階で認証成功としてよく、ユーザはロックの種類に応じた認証が得られる。なお、ユーザの保持する認証端末22は、ユーザが常に携帯できることが好ましいので、たとえば携帯電話、携帯情報端末(PDA)であることが好ましい。   FIG. 2 shows an outline of user authentication in the authentication server 32. The user opens the lock 56, the lock 58, and the lock 60 by passing various authentications using the authentication terminal 22 held by the user as a key. The authentication may be successful when any of the lock 56, the lock 58, and the lock 60 is opened, and the user can be authenticated according to the type of the lock. The authentication terminal 22 held by the user is preferably carried by the user at all times, and is preferably a mobile phone or a personal digital assistant (PDA), for example.

認証サーバ32がユーザを認証する場合、まずユーザ裁量認証により、ユーザの認証サーバ32へのログインを認証する(S40)。認証の方法としては、たとえば暗証番号による認証、質問を発し当該質問に対して正しい答えを入力したかによって認証するQ&A認証、指紋認証、声紋認証を例示できる。認証方法はユーザが指定してよく、これら認証で用いる認証情報は、認証情報格納部108に予め格納しておく。   When the authentication server 32 authenticates the user, first, the user's login to the authentication server 32 is authenticated by user discretionary authentication (S40). As an authentication method, for example, authentication by a personal identification number, Q & A authentication, fingerprint authentication, and voiceprint authentication for authenticating by issuing a question and inputting a correct answer to the question can be exemplified. The authentication method may be designated by the user, and the authentication information used in the authentication is stored in the authentication information storage unit 108 in advance.

次に、シンクロ認証を実施する(S42)。シンクロ認証においては、ユーザの認証端末22の機体認証(端末認証)、シンクロ番号によるシンクロ番号認証を含む。端末認証では、認証請求側であるユーザのユーザ識別情報と端末識別情報との対応が、予め認証サーバ32に登録したものと一致するかを照合する。なお、ユーザ識別情報がローカルユーザ識別情報の場合グローバルユーザ識別情報に変換してよい。端末認証によりユーザ識別情報の正当性が証明される。   Next, synchronized authentication is performed (S42). The synchronized authentication includes machine authentication (terminal authentication) of the user authentication terminal 22 and synchronized number authentication using a synchronized number. In the terminal authentication, it is verified whether or not the correspondence between the user identification information of the user who is the authentication requester and the terminal identification information matches that registered in the authentication server 32 in advance. In addition, when user identification information is local user identification information, you may convert into global user identification information. The validity of the user identification information is proved by terminal authentication.

シンクロ番号認証では、認証サーバ32がサービス端末24にシンクロ番号を表示させ、ユーザは当該シンクロ番号をサービス端末24から読み取って認証端末22に入力する。認証サーバ32は、サービス端末24に表示させた番号と認証端末22から取得した番号とが一致するかを照合する。シンクロ番号はサービス端末24を実際に見ているユーザしか知らない番号だから、シンクロ番号認証により、サービス端末24を実際に利用しているユーザが証明請求を求めてきたユーザであることを証明できる。   In the synchronization number authentication, the authentication server 32 displays the synchronization number on the service terminal 24, and the user reads the synchronization number from the service terminal 24 and inputs it to the authentication terminal 22. The authentication server 32 collates whether the number displayed on the service terminal 24 matches the number acquired from the authentication terminal 22. Since the sync number is known only to the user who is actually looking at the service terminal 24, it can be proved by the sync number authentication that the user who actually uses the service terminal 24 is the user who has requested the certification request.

また、ステップS42のシンクロ認証では、暗証番号認証、Q&A認証、指紋認証、声紋認証の何れかまたはこれらの組み合わせによりユーザを認証する。当該ユーザ認証では、認証項目をユーザが選択するかサービスサーバが選択するかをスイッチ50により指定できる。スイッチ50はたとえばハード的なスイッチであってよく、あるいはソフト的なスイッチであってよい。サービスサーバ側が選択する場合には受入条件格納部104を参照して認証項目を決定する。   In the synchronization authentication in step S42, the user is authenticated by any one of PIN authentication, Q & A authentication, fingerprint authentication, voiceprint authentication, or a combination thereof. In the user authentication, the switch 50 can specify whether the user selects an authentication item or the service server. The switch 50 may be, for example, a hardware switch or a soft switch. When the service server side selects, the authentication condition is determined with reference to the acceptance condition storage unit 104.

ユーザがこれらの認証をパスすると、認証サーバ32は、認証結果をサービスサーバ30に送信する。認証結果の送信の態様は、スイッチ52によって指定する。スイッチ52は認証サービスの継続(リレー)態様を指定するものであり、たとえば認証請求に含まれる認証条件によって指定される。たとえば認証条件でサービスリレーが指定されている場合、認証サーバ32はサービスサーバ30にログインするためのログイン情報を生成して、あるいは予め記録してあるログイン情報を読み出して、ユーザをサービスサーバ30にログインさせるべく、ログイン情報をサービスサーバ30に送信してよい。   When the user passes these authentications, the authentication server 32 transmits an authentication result to the service server 30. The mode of transmission of the authentication result is designated by the switch 52. The switch 52 designates the continuation (relay) mode of the authentication service, and is designated by, for example, an authentication condition included in the authentication request. For example, when a service relay is specified in the authentication condition, the authentication server 32 generates login information for logging in to the service server 30 or reads out pre-recorded login information to send the user to the service server 30. In order to log in, login information may be transmitted to the service server 30.

また認証条件にステータスリレーが指定されている場合、認証サーバ32は何れの認証項目で認証が成功したかをサービスサーバ30に通知して、サービスサーバ30では、追加の独自認証が実施されてよい(S44、S46)。なお、サービスサーバ30は、スイッチ54の選択により、既存認証画面62をサービス端末24または認証端末22に表示して、既存の認証プロセスを実行してよい。   When the status relay is specified in the authentication condition, the authentication server 32 notifies the service server 30 of which authentication item has been successfully authenticated, and the service server 30 may perform additional unique authentication. (S44, S46). Note that the service server 30 may display the existing authentication screen 62 on the service terminal 24 or the authentication terminal 22 according to the selection of the switch 54 and execute the existing authentication process.

図3は、全体システム10の概要を示す。全体システム10は、認証端末22、サービス端末24、サービスサーバ30、認証サーバ32、アクセスコントロール64、ユーザID適用部66、リモートコントロールインターフェイス68、セッショントリガー70、サービスリレープロセス72、ステータスリレープロセス74、サービスIDおよびパスワード76、サービス事業者独自認証情報格納部78、サービス事業者登録情報格納部102、受入条件格納部104、ユーザ登録情報格納部106および認証情報格納部108を備える。   FIG. 3 shows an overview of the overall system 10. The overall system 10 includes an authentication terminal 22, a service terminal 24, a service server 30, an authentication server 32, an access control 64, a user ID application unit 66, a remote control interface 68, a session trigger 70, a service relay process 72, a status relay process 74, A service ID and password 76, a service provider unique authentication information storage unit 78, a service provider registration information storage unit 102, an acceptance condition storage unit 104, a user registration information storage unit 106, and an authentication information storage unit 108 are provided.

サービス端末24がサービスサーバへの閲覧等サービス提供を要求することによりセッショントリガー70を経由して認証請求が認証サーバ32に送信される。また認証端末22が、リモートコントロールインターフェイス68を介して認証サーバ32に証明請求を送信する。認証サーバ32は、認証請求および証明請求を受けて、認証を開始する。認証プロセスではサービス事業者登録情報格納部102、受入条件格納部104、ユーザ登録情報格納部106および認証情報格納部108を参照する。   When the service terminal 24 requests service provision such as browsing to the service server, an authentication request is transmitted to the authentication server 32 via the session trigger 70. Further, the authentication terminal 22 transmits a certification request to the authentication server 32 via the remote control interface 68. The authentication server 32 receives the authentication request and the certification request and starts authentication. In the authentication process, the service provider registration information storage unit 102, the acceptance condition storage unit 104, the user registration information storage unit 106, and the authentication information storage unit 108 are referred to.

認証プロセスでは、受入条件で指定されたパラメータに従ってアクセスコントロール64を制御でき、アクセスコントロール64は、ユーザ登録情報格納部106、認証情報格納部108、サービスリレープロセス72あるいはステータスリレープロセス74を制御する。サービスリレープロセス72は、認証の結果を受けて、サービスサーバ30へのシームレスなサービスを提供する。たとえば、ユーザID適用部66がサービスIDおよびパスワード76を適用してサービスサーバ30への直接的なログインサービスを提供する。   In the authentication process, the access control 64 can be controlled according to the parameters specified in the acceptance condition, and the access control 64 controls the user registration information storage unit 106, the authentication information storage unit 108, the service relay process 72, or the status relay process 74. The service relay process 72 provides a seamless service to the service server 30 in response to the authentication result. For example, the user ID application unit 66 applies a service ID and password 76 to provide a direct login service to the service server 30.

ステータスリレープロセス74は、認証結果をユーザの認証におけるステータスとしてサービスサーバ30に提供する。たとえばユーザID適用部66をサービス事業者独自認証情報格納部78に適用して、認証結果をサービスサーバ30の独自認証に役立てることができる。   The status relay process 74 provides an authentication result to the service server 30 as a status in user authentication. For example, the user ID application unit 66 can be applied to the service provider unique authentication information storage unit 78 and the authentication result can be used for the unique authentication of the service server 30.

図4は、本実施形態の認証方法の概要を示す。まず、サービスサーバ側で処理がスタートするとサービスサーバは認証請求を送信して、ユーザ側では認証対応をする。ユーザの認証端末22に対し端末IDによる認証(S80)を実施して、これにパスしたとき、シンクロセッションを開始する(S82)。次に認証請求コードから認証条件を抽出する(S84)。その後シンクロ番号を発行および表示して(S86)、シンクロ番号認証を実施する(S88)。   FIG. 4 shows an outline of the authentication method of this embodiment. First, when processing is started on the service server side, the service server transmits an authentication request, and the user side handles authentication. When the user authentication terminal 22 is authenticated by the terminal ID (S80) and passed, the synchronization session is started (S82). Next, authentication conditions are extracted from the authentication request code (S84). Thereafter, the sync number is issued and displayed (S86), and the sync number authentication is performed (S88).

ユーザがシンクロ番号を入力して認証が成功すると、ユーザ認証を開始する(S90)。ユーザ認証(S92)においてユーザが認証対応して認証に成功すると、処理条件によってプロセスが分岐する(S94)。サービスリレープロセス(S95)の場合、直接サービスログインさせる(S98)。ステータスリレープロセス(S96)の場合、サービスサーバ独自の認証を実施する(S97)。ユーザが認証対応して認証に成功すると、サービスにログインする(S98)。   When the user inputs the sync number and authentication is successful, user authentication is started (S90). If the user succeeds in authentication in the user authentication (S92), the process branches depending on the processing conditions (S94). In the case of the service relay process (S95), the service is directly logged in (S98). In the case of the status relay process (S96), authentication unique to the service server is performed (S97). When the user succeeds in authentication and logs in to the service (S98).

図5は、認証サーバ32の構成を詳細に示した全体システム10を示す。認証サーバ32は、データ格納部100、認証請求受信部120、証明請求受信部130、識別情報変換部140、認証端末特定部150、シンクロ番号生成部160、シンクロ番号送信部170、シンクロ番号入力要求部180、シンクロ番号受信部190、端末認証部200、認証条件抽出部210、認証項目特定部220、入力要求部230、認証情報受信部240、認証判断部250、認証結果通知部260、ログイン情報生成部270、途中シンクロ番号生成部300、途中シンクロ番号送信要求部310、途中認証部320、および途中認証結果送信部330を備える。   FIG. 5 shows the entire system 10 showing the configuration of the authentication server 32 in detail. The authentication server 32 includes a data storage unit 100, an authentication request reception unit 120, a certification request reception unit 130, an identification information conversion unit 140, an authentication terminal identification unit 150, a synchronization number generation unit 160, a synchronization number transmission unit 170, a synchronization number input request Unit 180, synchronization number receiving unit 190, terminal authenticating unit 200, authentication condition extracting unit 210, authentication item specifying unit 220, input requesting unit 230, authentication information receiving unit 240, authentication determining unit 250, authentication result notifying unit 260, login information A generation unit 270, an intermediate synchronization number generation unit 300, an intermediate synchronization number transmission request unit 310, an intermediate authentication unit 320, and an intermediate authentication result transmission unit 330 are provided.

図6は、データ格納部100を示す。データ格納部100は、ユーザまたはサービス事業者の管理、あるいは認証の処理で参照するデータを格納する。データ格納部100は、サービス事業者登録情報格納部102、受入条件格納部104、ユーザ登録情報格納部106、認証情報格納部108、ユーザ選択認証項目格納部110、およびユーザ識別情報格納部112を有する。   FIG. 6 shows the data storage unit 100. The data storage unit 100 stores data that is referred to in management or authentication processing of a user or service provider. The data storage unit 100 includes a service provider registration information storage unit 102, an acceptance condition storage unit 104, a user registration information storage unit 106, an authentication information storage unit 108, a user selection authentication item storage unit 110, and a user identification information storage unit 112. Have.

サービス事業者登録情報格納部102は、サービス事業者の登録情報を格納する。受入条件格納部104は、サービスサーバがサービスの提供を許可する受入条件を格納する。ユーザ登録情報格納部106は、ユーザの認証端末22の端末識別情報を、ユーザのユーザ識別情報に関連付けて格納する。認証情報格納部108は、サービスサーバ30からサービス端末24を通じてサービスの提供を受けようとするユーザを認証するための認証情報を格納する。   The service provider registration information storage unit 102 stores service provider registration information. The acceptance condition storage unit 104 stores acceptance conditions that allow the service server to provide the service. The user registration information storage unit 106 stores the terminal identification information of the user authentication terminal 22 in association with the user identification information of the user. The authentication information storage unit 108 stores authentication information for authenticating a user who intends to receive service provision from the service server 30 through the service terminal 24.

ユーザ選択認証項目格納部110は、ユーザが予め選択したユーザ選択の認証項目であるユーザ選択認証項目を格納する。ユーザ識別情報格納部112は、複数のサービス事業者ごとのサービスを利用するユーザであって各サービス事業者のサービスサーバ30が管理するユーザを識別するためのローカルユーザ識別情報と、認証サーバ32が管理するユーザを識別するためのグローバルユーザ識別情報とを関連付けて格納する。またユーザ識別情報格納部は、認証端末22の端末識別情報をグローバルユーザ識別情報に関連付けて格納する。   The user selection authentication item storage unit 110 stores user selection authentication items that are authentication items selected by the user in advance. The user identification information storage unit 112 includes a local user identification information for identifying a user who uses a service for each service provider and is managed by the service server 30 of each service provider, and an authentication server 32 Stores in association with global user identification information for identifying a user to be managed. The user identification information storage unit stores the terminal identification information of the authentication terminal 22 in association with the global user identification information.

認証請求受信部120は、サービスサーバ30からの認証請求を受信する。認証端末特定部150は、認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する。なお認証端末特定部150は、ユーザ識別情報としてグローバルユーザ識別情報が用いられる場合には、グローバルユーザ識別情報から当該認証請求に係る端末識別情報を特定する。   The authentication request receiving unit 120 receives an authentication request from the service server 30. The authentication terminal specifying unit 150 specifies terminal identification information related to the authentication request from the user identification information included in the authentication request. When global user identification information is used as the user identification information, the authentication terminal identification unit 150 identifies the terminal identification information related to the authentication request from the global user identification information.

識別情報変換部140は、認証請求にローカルユーザ識別情報が含まれる場合、ローカルユーザ識別情報を、ユーザ識別情報格納部112を参照してグローバルユーザ識別情報に変換する。証明請求受信部130は、端末識別情報に一致する認証端末22からの接続が存在するか否かを判断して、存在する場合には認証端末22からの証明請求を受信する。   When the authentication request includes local user identification information, the identification information conversion unit 140 converts the local user identification information into global user identification information with reference to the user identification information storage unit 112. The certificate request receiving unit 130 determines whether or not there is a connection from the authentication terminal 22 that matches the terminal identification information, and receives the certificate request from the authentication terminal 22 if it exists.

シンクロ番号生成部160は、認証請求の受信後に、認証請求に係る認証処理において使用する処理識別情報の一例であるシンクロ番号をランダムに生成する。シンクロ番号生成部160は、処理識別情報生成部の一例である。シンクロ番号送信部170は、処理識別情報の一例であるシンクロ番号をユーザに提示すべくサービス端末24に送信する。シンクロ番号送信部170は、処理識別情報送信部の一例である。シンクロ番号入力要求部180は、認証端末22にシンクロ番号を入力させるべく、認証端末22の表示画面にシンクロ番号の入力を促す要求画面を表示させるデータを認証端末22に送信する。   After receiving the authentication request, the sync number generation unit 160 randomly generates a sync number that is an example of process identification information used in the authentication process related to the authentication request. The sync number generation unit 160 is an example of a process identification information generation unit. The synchronization number transmission unit 170 transmits a synchronization number, which is an example of process identification information, to the service terminal 24 in order to present it to the user. The synchronization number transmission unit 170 is an example of a process identification information transmission unit. The synchronization number input requesting unit 180 transmits to the authentication terminal 22 data for displaying a request screen prompting the user to input the synchronization number on the display screen of the authentication terminal 22 so that the authentication terminal 22 can input the synchronization number.

シンクロ番号受信部190は、認証端末22からシンクロ番号を受信する。端末認証部200は、認証端末22から取得したシンクロ番号とシンクロ番号生成部160が生成したシンクロ番号とを照合して、一致した場合に認証端末22を認証する。認証条件抽出部210は、認証請求に含まれる認証コードから認証条件を抽出する。   The synchronization number receiving unit 190 receives the synchronization number from the authentication terminal 22. The terminal authentication unit 200 collates the synchronization number acquired from the authentication terminal 22 with the synchronization number generated by the synchronization number generation unit 160, and authenticates the authentication terminal 22 if they match. The authentication condition extraction unit 210 extracts the authentication condition from the authentication code included in the authentication request.

認証項目特定部220は、認証条件に基づきユーザを認証する認証項目を特定する。また認証項目特定部220は、認証条件において認証項目の選択をユーザに委ねている場合には、ユーザ選択認証項目を認証項目として特定する。認証項目特定部220は、認証条件において認証項目の選択をユーザに委ねていない場合には、受入条件に従って認証項目を特定する。   The authentication item specifying unit 220 specifies an authentication item for authenticating the user based on the authentication condition. The authentication item specifying unit 220 specifies the user-selected authentication item as an authentication item when entrusting the user with the selection of the authentication item in the authentication condition. The authentication item specifying unit 220 specifies the authentication item according to the acceptance condition when the selection of the authentication item is not entrusted to the user in the authentication condition.

入力要求部230は、認証情報の全部または一部の入力をユーザに促す画面のデータを認証端末22に送信する。認証情報受信部240は、認証端末22で入力された認証情報を受信する。   The input request unit 230 transmits screen data that prompts the user to input all or part of the authentication information to the authentication terminal 22. The authentication information receiving unit 240 receives the authentication information input from the authentication terminal 22.

認証判断部250は、認証端末22から取得した認証情報と認証情報格納部108に格納されている認証情報とを照合する。そして照合の結果が受入条件を充足するか否かを判断する。あるいは照合が各認証項目において一致しているか否かを判断する。   The authentication determination unit 250 collates the authentication information acquired from the authentication terminal 22 with the authentication information stored in the authentication information storage unit 108. And it is judged whether the result of collation satisfies acceptance conditions. Alternatively, it is determined whether or not the verification matches in each authentication item.

認証結果通知部260は、認証判断部250において照合の結果が受入条件を一部充足すると判断した場合に、照合の結果の充足した部分について認証が成功した旨の結果通知をサービスサーバ30に送信する。あるいは認証結果通知部260は、認証判断部250において照合の結果が受入条件を完全に充足すると判断した場合に、ユーザがサービスサーバ30のサービスにログインするためのログイン情報を生成または読み出して、ログイン情報を結果通知としてサービスサーバ30に送信する。あるいは認証結果通知部260は、認証判断部250において照合の結果が受入条件を完全に充足すると判断した場合に、サービスサーバ30において独自の付加認証を行わせるべく、受入条件が要求する認証の全てについて成功した旨の結果通知をサービスサーバ30に送信する。   When the authentication determination unit 250 determines that the verification result partially satisfies the acceptance condition, the authentication result notification unit 260 transmits a result notification to the service server 30 that the authentication is successful for the portion where the verification result is satisfied. To do. Alternatively, the authentication result notifying unit 260 generates or reads login information for the user to log in to the service of the service server 30 when the authentication determining unit 250 determines that the result of the verification completely satisfies the acceptance condition, and logs in Information is transmitted to the service server 30 as a result notification. Alternatively, when the authentication determination unit 250 determines that the verification result completely satisfies the acceptance condition, the authentication result notification unit 260 performs all of the authentications required by the acceptance condition so that the service server 30 performs unique additional authentication. Is sent to the service server 30.

また認証結果通知部260は、認証判断部250における認証の結果および認証条件が指定する処理条件に応じて、認証の結果通知をサービスサーバ30に送信する。たとえば、認証結果通知部260は、認証判断部250において一部の認証項目について認証情報の一致が判断された場合であって、処理条件においてステータスリレーが指定されている場合には、認証判断部250で認証情報の一致が判断された認証項目について認証が成功した旨の結果通知をサービスサーバ30に送信する。   Further, the authentication result notification unit 260 transmits an authentication result notification to the service server 30 according to the authentication result in the authentication determination unit 250 and the processing condition specified by the authentication condition. For example, the authentication result notifying unit 260 is the authentication determining unit 250 when the authentication determining unit 250 determines that the authentication information matches for some authentication items, and the status relay is specified in the processing condition. A result notification indicating that the authentication has been successfully completed for the authentication item for which the authentication information match is determined in 250 is transmitted to the service server 30.

あるいは、認証結果通知部260は、認証判断部250において全部の認証項目について認証情報の一致が判断された場合であって、処理条件においてステータスリレーが指定されている場合には、認証判断部250で認証情報の一致が判断された全部の認証項目について認証が成功した旨の結果通知をサービスサーバ30に送信する。あるいは、認証結果通知部260は、認証判断部250において全部の認証項目について認証情報の一致が判断された場合であって、処理条件においてサービスリレーが指定されている場合には、ユーザがサービスにログインするためのログイン情報を生成または読み出す。そして、ログイン情報を結果通知としてサービスサーバ30に送信する。   Alternatively, the authentication result notifying unit 260 is the authentication determining unit 250 when the authentication determining unit 250 determines that the authentication information matches for all authentication items, and the status relay is specified in the processing condition. Then, a result notification indicating that the authentication has succeeded is transmitted to the service server 30 for all authentication items for which the authentication information matches. Alternatively, the authentication result notifying unit 260 is the case where the authentication determining unit 250 determines that the authentication information matches for all authentication items, and the service relay is specified in the processing condition, the user is in the service. Generate or read login information for logging in. Then, the login information is transmitted to the service server 30 as a result notification.

ログイン情報生成部270は、ユーザがサービスサーバ30のサービスにログインするための情報を生成する。あるいは予め記録しておいた、サービスにログインするための情報を読み出す。   The login information generation unit 270 generates information for the user to log in to the service of the service server 30. Alternatively, information for logging in to the service recorded in advance is read out.

途中シンクロ番号生成部300は、サービスサーバ30によるサービスの開始後におけるサービスサーバ30からの認証請求(つまりサービス途中での認証請求)の受信に応答して、当該認証請求についての認証処理において使用する途中シンクロ番号を生成する。途中シンクロ番号は途中処理識別情報の一例である。途中シンクロ番号はサービスを開始するときの認証処理で生成したシンクロ番号をパラメータとして初期化される所定のアルゴリズムに従って生成することができる。途中シンクロ番号送信要求部310は、ユーザの認証端末22に途中シンクロ番号の送信を要求する。   The mid-synchronization number generation unit 300 is used in the authentication process for the authentication request in response to receiving the authentication request from the service server 30 (that is, the authentication request during the service) after the service server 30 starts the service. An intermediate sync number is generated. The midway synchronization number is an example of midway processing identification information. The intermediate sync number can be generated according to a predetermined algorithm that is initialized with the sync number generated in the authentication process when starting the service as a parameter. The midway synchronization number transmission request unit 310 requests the user authentication terminal 22 to transmit the midway synchronization number.

途中認証部320は、途中シンクロ番号生成部300のアルゴリズムと同様のアルゴリズムに従って認証端末22が生成した途中シンクロ番号を受信して、途中シンクロ番号生成部300が生成した途中シンクロ番号と認証端末22が生成した途中シンクロ番号とを照合して、一致した場合にユーザを認証する。途中認証結果送信部330は、途中認証部320による認証の結果をサービスサーバ30に送信する。   The midway authentication unit 320 receives the midway sync number generated by the authentication terminal 22 according to the same algorithm as the midway sync number generation unit 300, and the midway sync number generated by the midway sync number generation unit 300 and the authentication terminal 22 The generated halfway sync number is checked, and the user is authenticated if they match. The midway authentication result transmission unit 330 transmits the authentication result by the midway authentication unit 320 to the service server 30.

図7は、本実施形態の認証方法の一例を示す。まず、サービス事業者が認証サーバ32に登録する(S500)。次にユーザが認証サーバ32に登録する(S600)。続いて登録したサービス事業者のサービスサーバ30から認証請求を受ける(S700)。   FIG. 7 shows an example of the authentication method of this embodiment. First, the service provider registers with the authentication server 32 (S500). Next, the user registers in the authentication server 32 (S600). Subsequently, an authentication request is received from the service server 30 of the registered service provider (S700).

一方、当該認証請求に関連する証明請求をユーザの認証端末22から受ける(S800)。認証は、認証端末22の認証(S900)に続きユーザ認証(S1000)を実行する。認証が終了すると認証結果をサービスサーバ30に送信する(S1200)。   On the other hand, a certification request related to the authentication request is received from the user authentication terminal 22 (S800). In the authentication, user authentication (S1000) is executed following authentication (S900) of the authentication terminal 22. When the authentication is completed, the authentication result is transmitted to the service server 30 (S1200).

図8は、サービス事業者が認証サーバ32に登録する場合の処理フローを示す。まず、サービスサーバ30から認証サーバ32に登録要求を送信する(S502)。認証サーバ32が登録要求を受信すると(S504)、認証サーバ32は登録を許可するかの審査を実施する(S506)。登録を拒否する場合は登録拒否のメッセージをサービスサーバ30に送信する(S508)。   FIG. 8 shows a processing flow when the service provider registers with the authentication server 32. First, a registration request is transmitted from the service server 30 to the authentication server 32 (S502). When the authentication server 32 receives the registration request (S504), the authentication server 32 examines whether the registration is permitted (S506). If the registration is rejected, a registration rejection message is transmitted to the service server 30 (S508).

ステップS506で登録を許可する場合、受入条件の送信をサービスサーバ30に要求する(S510)。サービスサーバ30は当該要求に応じて受入条件を送信する(S512)。認証サーバ32が受入条件を受信するとこれを受入条件格納部104に記録する(S514)。   If registration is permitted in step S506, the service server 30 is requested to transmit acceptance conditions (S510). The service server 30 transmits acceptance conditions in response to the request (S512). When the authentication server 32 receives the acceptance condition, it records it in the acceptance condition storage unit 104 (S514).

受入条件の記録後に、認証サーバ32はサービスサーバ30にID(サービス事業者識別情報)を発行する(S516)。サービスサーバ30はIDを受信して(S518)、サービスサーバ30側の処理は終了する。認証サーバ32は、たとえばステップS510の受入条件の送信要求と共に他の情報について送信を要求している場合には、当該要求した情報について受領した情報を登録事項として、サービス事業者登録情報格納部102に記録する(S520)。以上でサービス事業者の登録処理は終了する。   After recording the acceptance condition, the authentication server 32 issues an ID (service provider identification information) to the service server 30 (S516). The service server 30 receives the ID (S518), and the process on the service server 30 ends. For example, if the authentication server 32 requests transmission of other information together with the transmission request of the acceptance condition in step S510, the service provider registration information storage unit 102 uses the received information about the requested information as a registration item. (S520). This completes the service provider registration process.

図9は、ユーザが認証サーバ32に登録する場合の処理フローを示す。まず、ユーザが認証端末22から認証サーバ32に登録要求を送信する(S602)。なお、ここでは認証端末22から登録要求を送信する例を示しているが、たとえばパーソナルコンピュータからインターネットを経由して認証サーバ32に登録要求を送信して、認証端末22に認証サーバ32のURLを記載したメールを送信する等の方法によって登録処理を開始してもよい。   FIG. 9 shows a processing flow when the user registers in the authentication server 32. First, the user transmits a registration request from the authentication terminal 22 to the authentication server 32 (S602). Although an example in which a registration request is transmitted from the authentication terminal 22 is shown here, for example, a registration request is transmitted from a personal computer to the authentication server 32 via the Internet, and the URL of the authentication server 32 is sent to the authentication terminal 22. The registration process may be started by a method such as sending the described mail.

認証サーバ32が登録要求を受信すると(S604)、認証サーバ32は登録要求の送信データに含まれる端末ID(端末識別情報)を取得する(S606)。端末識別情報としてたとえば電話番号(携帯電話の場合)、MACアドレスを例示できる。認証サーバ32は次に認証情報の送信を認証端末22に要求する(S608)。ユーザは当該認証情報の送信要求に対し認証端末22認証情報を入力して(S610)、これを認証サーバ32に送信する(S612)。   When the authentication server 32 receives the registration request (S604), the authentication server 32 acquires a terminal ID (terminal identification information) included in the transmission data of the registration request (S606). Examples of the terminal identification information include a telephone number (in the case of a mobile phone) and a MAC address. Next, the authentication server 32 requests the authentication terminal 22 to transmit authentication information (S608). The user inputs the authentication terminal 22 authentication information in response to the authentication information transmission request (S610), and transmits it to the authentication server 32 (S612).

認証情報はユーザに固有の情報またはユーザしか知らない情報であり、認証情報に合致した情報を提示した者をユーザとして認証する。認証情報として、たとえば暗証番号、Q&Aにおけるアンサー(A)、声紋、指紋が例示できる。認証サーバ32からの認証情報の入力要求に対して、ユーザは認証項目を選択して登録できる。たとえば暗証番号だけを入力した場合にはユーザの裁量認証として暗証番号による認証が選択できる。なお、認証情報を入力せず、シンクロ認証だけでユーザ裁量における認証を成功させるようにしてもよい。   The authentication information is information unique to the user or information that only the user knows, and authenticates the person who presented the information that matches the authentication information as the user. Examples of the authentication information include a personal identification number, an answer (A) in Q & A, a voice print, and a fingerprint. In response to an authentication information input request from the authentication server 32, the user can select and register an authentication item. For example, when only a password is input, authentication based on the password can be selected as discretionary authentication of the user. Note that authentication at the user's discretion may be succeeded only by synchronized authentication without inputting authentication information.

認証情報の送信を受けた認証サーバ32は、認証情報をユーザ識別情報に関連付けて認証情報格納部108に記録する(S614)。その後認証サーバ32は、ユーザ裁量認証において認証する項目となるユーザ選択認証項目の送信を要求する(S616)。ユーザは認証端末22にユーザ選択認証項目を入力して(S618)、これを認証サーバ32に送信する(S620)。そして認証サーバ32は受信したユーザ選択認証項目をユーザ選択認証項目格納部110に記録する(S622)。なお、ここでユーザ選択認証項目の入力を明示的にユーザに要求する例を示したが、たとえば、認証情報の入力のときに入力した認証項目をユーザ選択認証項目と定めてもよい。   Upon receiving the authentication information, the authentication server 32 records the authentication information in the authentication information storage unit 108 in association with the user identification information (S614). Thereafter, the authentication server 32 requests transmission of a user selection authentication item, which is an item to be authenticated in user discretionary authentication (S616). The user inputs the user selection authentication item to the authentication terminal 22 (S618) and transmits it to the authentication server 32 (S620). Then, the authentication server 32 records the received user selection authentication item in the user selection authentication item storage unit 110 (S622). Although an example in which the user is explicitly requested to input the user selection authentication item is shown here, for example, the authentication item input when inputting the authentication information may be defined as the user selection authentication item.

次に認証サーバ32はユーザにユーザID(ユーザ識別情報)を発行して(S624)、これを認証端末22に送信する(S626)。認証端末22は認証サーバ32からユーザ識別情報を受信して(S628)、処理を終了する。認証サーバ32はユーザID(ユーザ識別情報)と端末ID(端末識別情報)とを関連付けてユーザ登録情報格納部106に記録して(S630)、処理を終了する。   Next, the authentication server 32 issues a user ID (user identification information) to the user (S624) and transmits it to the authentication terminal 22 (S626). The authentication terminal 22 receives the user identification information from the authentication server 32 (S628) and ends the process. The authentication server 32 associates the user ID (user identification information) and the terminal ID (terminal identification information), records them in the user registration information storage unit 106 (S630), and ends the process.

図10は、認証サーバ32による認証の前提となる認証請求の発生から認証処理の開始までの処理フローを示す。認証請求の発生は、ユーザのサービス端末24からサービスサーバ30に対しサービス要求を発することから始まる(S702)。サービス端末24からサービス要求を受信(S704)したサービスサーバ30は、認証プロセスを起動する(S706)。サービスサーバ30は、ユーザのサービス端末24にユーザIDの入力を要求する(S708)。ここでサービスサーバ30が要求するユーザID(ユーザ識別情報)は、グローバルユーザ識別情報とローカルユーザ識別情報との何れであってもかまわない。   FIG. 10 shows a processing flow from generation of an authentication request, which is a precondition for authentication by the authentication server 32, to start of authentication processing. The generation of the authentication request starts when a service request is issued from the user service terminal 24 to the service server 30 (S702). Receiving the service request from the service terminal 24 (S704), the service server 30 starts an authentication process (S706). The service server 30 requests the user service terminal 24 to input a user ID (S708). Here, the user ID (user identification information) requested by the service server 30 may be either global user identification information or local user identification information.

ユーザはサービス端末24にユーザIDを入力して(S710)、これを送信する(S712)。サービスサーバ30は、ユーザIDを受信して(S714)、当該ユーザIDを含めた認証請求を認証サーバ32に送信する(S716)。なお、認証請求にはユーザIDのほか認証条件を含めることができる。認証条件には、認証レベルを示す認証項目、認証後の処理を指定する処理条件、認証項目をユーザの裁量に委ねるか委ねないかを示す裁量権指定を含めることができる。   The user inputs the user ID to the service terminal 24 (S710) and transmits it (S712). The service server 30 receives the user ID (S714), and transmits an authentication request including the user ID to the authentication server 32 (S716). The authentication request can include an authentication condition in addition to the user ID. The authentication condition can include an authentication item indicating an authentication level, a processing condition for specifying post-authentication processing, and a discretionary right specification indicating whether the authentication item is left to the user's discretion.

認証サーバ32は、認証請求を受信すると(S718)、当該認証請求が登録されたサービスサーバ30からの認証請求かを判断する(S720)。登録されたサービスサーバ30でない場合は処理を終了する。なお、ここで「処理を終了」とは、サービスサーバに登録されていないので処理を継続できない旨のメッセージを送信する等の適切なエラー処理を実施したうえで処理を終了することを含む。以下同様である。   Upon receiving the authentication request (S718), the authentication server 32 determines whether the authentication request is an authentication request from the registered service server 30 (S720). If it is not a registered service server 30, the process is terminated. Here, “end processing” includes terminating the processing after performing appropriate error processing such as transmitting a message indicating that processing cannot be continued because it is not registered in the service server. The same applies hereinafter.

ステップS720で当該認証請求が登録されたサービスサーバ30からの認証請求だと判断された場合、認証サーバ32は、当該認証請求からユーザIDと認証条件を抽出する(S722)。そして、抽出したユーザIDが登録されユーザIDであるかを判断して(S724)、登録されたものでなければ処理を終了する。登録されたものであれば、当該ユーザIDがローカルID(ローカルユーザ識別情報)であるかを判断する(S726)。ローカルIDであればグローバルID(グローバルユーザ識別情報)に変換する(S728)。ローカルIDでなければ当該ユーザIDはグローバルIDと判断でき、以降の処理はグローバルIDで処理される。   If it is determined in step S720 that the authentication request is an authentication request from the registered service server 30, the authentication server 32 extracts a user ID and an authentication condition from the authentication request (S722). Then, it is determined whether or not the extracted user ID is a registered user ID (S724), and if it is not registered, the process is terminated. If it is registered, it is determined whether the user ID is a local ID (local user identification information) (S726). If it is a local ID, it is converted to a global ID (global user identification information) (S728). If it is not a local ID, the user ID can be determined as a global ID, and the subsequent processing is performed with the global ID.

図11は、認証サーバ32が証明請求を受けた後に認証処理を開始するまでの処理フローを示す。証明請求は、たとえばサービス端末24に表示されたメッセージに促されてユーザが自己の認証端末22を操作して認証サーバ32に接続することにより送信される(S802)。   FIG. 11 shows a processing flow until the authentication process is started after the authentication server 32 receives the certificate request. The certificate request is transmitted, for example, when prompted by a message displayed on the service terminal 24 and the user operates his / her own authentication terminal 22 to connect to the authentication server 32 (S802).

証明請求を受けた認証サーバ32は、証明請求の送信データに含まれる端末ID(端末識別情報)を取得して(S804)、登録されたユーザの端末IDかを判断する(S806)。登録されたユーザのものでない場合は処理を終了する。登録されたユーザの端末IDであると判断されると、次にユーザIDと端末IDは対応しているかを判断する(S808)。対応していない場合は処理を終了する。   Upon receiving the certificate request, the authentication server 32 acquires the terminal ID (terminal identification information) included in the transmission data of the certificate request (S804), and determines whether the terminal ID is the registered user (S806). If it is not for a registered user, the process ends. If it is determined that it is the registered user terminal ID, it is then determined whether the user ID and the terminal ID correspond (S808). If not, the process ends.

次に認証サーバ32は、端末IDに対応するユーザIDがローカルID(ローカルユーザ識別情報)であるかを判断する(S810)。ローカルIDであればグローバルID(グローバルユーザ識別情報)に変換する(S812)。ローカルIDでなければ当該ユーザIDはグローバルIDと判断でき、以降の処理はグローバルIDで処理される。   Next, the authentication server 32 determines whether the user ID corresponding to the terminal ID is a local ID (local user identification information) (S810). If it is a local ID, it is converted into a global ID (global user identification information) (S812). If it is not a local ID, the user ID can be determined as a global ID, and the subsequent processing is performed with the global ID.

図12は、シンクロ認証の処理フローを示す。認証請求および証明請求の各請求に含まれるユーザIDが一致するかを判断する(S902)。一致しない場合は処理を終了する。一致する場合はシンクロセッションを開始する(S904)。   FIG. 12 shows a processing flow of synchronized authentication. It is determined whether the user IDs included in the authentication request and the certification request match (S902). If they do not match, the process ends. If they match, a synchronization session is started (S904).

シンクロセッションを開始するとシンクロ番号を生成して(S906)、サービス端末24にシンクロ番号を、認証端末22にシンクロ番号の入力要求を各々送信する(S908、S910)。サービス端末24にはシンクロ番号を表示するとともに(S912)、認証端末22にはシンクロ番号の入力要求画面を表示する(S914)。   When the synchronization session is started, a synchronization number is generated (S906), the synchronization number is transmitted to the service terminal 24, and a request for inputting the synchronization number is transmitted to the authentication terminal 22 (S908, S910). The service terminal 24 displays the sync number (S912), and the authentication terminal 22 displays the sync number input request screen (S914).

入力要求画面にユーザがシンクロ番号を入力すると、認証端末22は入力されたシンクロ番号を送信する(S916)。認証サーバ32は、受信したシンクロ番号は発番したシンクロ番号と一致するかを判断する(S918)。一致しなければ処理を終了する。一致すれば端末認証が成功したとする(S920)。   When the user inputs the sync number on the input request screen, the authentication terminal 22 transmits the input sync number (S916). The authentication server 32 determines whether the received sync number matches the issued sync number (S918). If they do not match, the process ends. If they match, it is assumed that the terminal authentication is successful (S920).

シンクロ認証において、シンクロ番号が一致した即ち認証が成功した場合、サービス端末24を操作している(モニタを見てシンクロ番号を認識している)者と、認証端末22にシンクロ番号を入力している者とが、同一人物であることを強く示唆している。少なくとも認証端末22を操作している者はサービス端末24の表示内容を知ることができる者であることを示している。よって、シンクロ認証の成功により、両端末の正当性が推認され、端末の認証が成功したと判断してよい。   In synchronized authentication, if the synchronized numbers match, that is, if the authentication is successful, the person operating the service terminal 24 (recognizing the synchronized number by looking at the monitor) and the synchronized terminal 22 are input the synchronized number. Strongly suggests that the person is the same person. This indicates that at least the person who operates the authentication terminal 22 is a person who can know the display contents of the service terminal 24. Therefore, the validity of both terminals is inferred by the success of the synchronized authentication, and it may be determined that the authentication of the terminals is successful.

図13は、ユーザ認証の処理フローを示す。ユーザ認証では、認証条件から認証項目を特定する(S1000)。そして特定した認証項目について認証情報の入力を要求する(S1002)。ユーザは認証端末22に認証情報を入力して(S1004)これを送信する(S1006)。認証サーバ32は、認証端末22に入力され送信を受けた認証情報と、認証情報格納部108に記録されている認証情報とを認証項目ごとに照合する(S1008)。   FIG. 13 shows a process flow of user authentication. In user authentication, an authentication item is specified from the authentication condition (S1000). Then, an input of authentication information is requested for the specified authentication item (S1002). The user inputs authentication information to the authentication terminal 22 (S1004) and transmits it (S1006). The authentication server 32 collates the authentication information input to the authentication terminal 22 and received and the authentication information recorded in the authentication information storage unit 108 for each authentication item (S1008).

図14は、認証項目の特定の処理フローを示す。認証条件が認証項目の選択をユーザの選択に委ねているかを判断する(S1102)。ユーザ選択に委ねている場合はユーザ選択認証項目格納部110を参照してユーザが選択した認証項目を、ステップS1008の照合で用いる認証項目として特定する(S1104)。ユーザ選択に委ねていない場合は受入条件格納部104を参照して受入条件で指定されている認証項目を、ステップS1008の照合で用いる認証項目として特定する(S1106)。   FIG. 14 shows a specific processing flow of an authentication item. It is determined whether the authentication condition leaves the selection of the authentication item to the user's selection (S1102). If it is left to the user selection, the user selects the authentication item selected by referring to the user selection authentication item storage unit 110 as the authentication item used in the collation in step S1008 (S1104). If it is not entrusted to the user selection, the authentication item specified in the acceptance condition is specified as the authentication item used in the collation in step S1008 with reference to the acceptance condition storage unit 104 (S1106).

図15は、認証結果の送信フローを示す。ステップS1202で認証条件はサービスリレーに指定されているかを判断する(S1202)。サービスリレーに指定されている場合は、さらに全ての認証項目で照合が一致したかを判断する(S1204)。   FIG. 15 shows an authentication result transmission flow. In step S1202, it is determined whether the authentication condition is designated as a service relay (S1202). If it is designated as a service relay, it is further determined whether or not the verification matches for all authentication items (S1204).

一致していると判断した場合は、サービスにログインするためのログイン情報をサービスサーバ30に送信する(S1206)。サービスサーバ30は、ログイン情報を受け取り、ユーザをサービス端末24からログインさせる(S1208)。ユーザはサービス端末24からサービスを受ける(S1210)。   If it is determined that they match, the login information for logging in to the service is transmitted to the service server 30 (S1206). The service server 30 receives the login information and logs the user in from the service terminal 24 (S1208). The user receives a service from the service terminal 24 (S1210).

ステップS1204で全ての認証項目では照合が一致しなかったと判断した場合、認証サーバ32はサービスサーバ30に認証失敗を通知する(S1212)。サービスサーバ30は、認証失敗のメッセージを受け取り、サービス端末24にログインできない旨の通知をする(S1214)。サービス端末24ではログインが失敗する(S1216)。   If it is determined in step S1204 that the verification does not match for all authentication items, the authentication server 32 notifies the service server 30 of the authentication failure (S1212). The service server 30 receives the authentication failure message and notifies that it cannot log in to the service terminal 24 (S1214). The service terminal 24 fails to log in (S1216).

ステップS1202でサービスリレーに指定されていないと判断した場合、認証条件はステータスリレーに指定されていると判断して、次に全ての認証項目で照合が一致したかを判断する(S1222)。一致していると判断した場合は、全ての認証項目で認証成功を通知する(S1224)。サービスサーバ30は、追加の認証を実行する(S1226)。ユーザはサービス端末24または認証端末22で追加の認証プロセスに対し認証対応を実施する(S1228)。   If it is determined in step S1202 that the service relay is not specified, it is determined that the authentication condition is specified for the status relay, and then it is determined whether the verification is the same for all authentication items (S1222). If it is determined that they match, authentication success is notified for all authentication items (S1224). The service server 30 performs additional authentication (S1226). The user performs authentication corresponding to the additional authentication process at the service terminal 24 or the authentication terminal 22 (S1228).

ステップS1222で全ての認証項目では照合が一致しなかったと判断した場合、認証サーバ32は、成功した認証項目について認証成功を通知する(S1230)。サービスサーバ30は、たとえば不足の認証項目について認証を実行する(S1232)。ユーザはサービス端末24または認証端末22で認証対応を実施する(S1228)。   If it is determined in step S1222 that all the authentication items do not match, the authentication server 32 notifies the authentication success of the successful authentication item (S1230). For example, the service server 30 performs authentication for insufficient authentication items (S1232). The user performs authentication correspondence at the service terminal 24 or the authentication terminal 22 (S1228).

図16は、本実施形態の認証方法の他例を示す。本例の認証方法は、ユーザがサービスサーバ30に一旦ログインしたあとサービスを受けている途中でサービスサーバ30がユーザを認証する場合に適用できる。   FIG. 16 shows another example of the authentication method of this embodiment. The authentication method of this example can be applied when the service server 30 authenticates the user while the user is logged in to the service server 30 and is receiving the service.

たとえば前記した認証方法によりユーザがサービスサーバ30にログインする(S1302)。ユーザはサービス提供を受け(S1304)、サービスサーバ30はサービスの途中でユーザを認証するか判断する(S1306)。たとえばオークションサイトにおいてログインした後であっても入札あるいは出品のように都度認証をしたい場合がある。またファイナンシャルサイトにおいて、ログインした後に資金移動等の手続をするときに改めてユーザを認証したい場合がある。このような場合にサービス途中でのユーザ認証が行える。   For example, the user logs in to the service server 30 using the authentication method described above (S1302). The user receives service provision (S1304), and the service server 30 determines whether to authenticate the user during the service (S1306). For example, even after logging in at an auction site, there is a case where it is desired to authenticate each time like bidding or listing. In addition, there are cases where it is desired to authenticate a user again when performing procedures such as transferring funds after logging in on a financial site. In such a case, user authentication can be performed during the service.

サービス途中でユーザを認証すると判断した場合、途中認証プロセスを実行する(S1308)。認証成功かを判断して(S1310)、成功したと判断した場合にはステップS1304に戻ってサービスを継続する。認証に失敗した場合にはサービスを終了する(S1312)。   If it is determined that the user is to be authenticated during the service, an intermediate authentication process is executed (S1308). It is determined whether the authentication is successful (S1310). If it is determined that the authentication is successful, the process returns to step S1304 to continue the service. If the authentication fails, the service is terminated (S1312).

図17は、途中認証プロセスの一例を示す。まず、サービスサーバ30がサービスの途中でユーザ認証しようとするときに、途中認証請求を認証サーバ32に送信する(S1402)。途中認証請求を受けた認証サーバ32は、ユーザIDから認証端末22を特定する(S1404)。   FIG. 17 shows an example of the midway authentication process. First, when the service server 30 tries to authenticate a user in the middle of a service, an authentication request is transmitted to the authentication server 32 (S1402). The authentication server 32 that has received the authentication request in the middle specifies the authentication terminal 22 from the user ID (S1404).

認証端末22が特定されると、特定した認証端末22との接続が存在するかを判断する(S1406)。接続が存在しない場合には認証失敗をサービスサーバ30に通知する(S1408)。サービスサーバ30はこれを受信する(S1410)。   When the authentication terminal 22 is specified, it is determined whether there is a connection with the specified authentication terminal 22 (S1406). If there is no connection, the service server 30 is notified of the authentication failure (S1408). The service server 30 receives this (S1410).

ステップS1406で接続があると判断した場合、認証サーバ32は途中シンクロ番号を生成する(S1412)。途中シンクロ番号は、たとえばステップS906で生成したログイン認証時のシンクロ番号をパラメータとして初期化される所定のアルゴリズムに従って生成することができる。そして認証サーバ32は、途中シンクロ番号の送信を認証端末22に要求する(S1414)。認証端末22は当該要求に応えて途中シンクロ番号を生成して(S1416)、これを送信する(S1418)。なお、認証端末22には認証サーバ32で用いる途中シンクロ番号発生用のアルゴリズムと同じアルゴリズムのプログラムを備えておき、認証端末22は当該プログラムを使って途中シンクロ番号を生成する。   If it is determined in step S1406 that there is a connection, the authentication server 32 generates an intermediate synchronization number (S1412). The midway synchronization number can be generated according to a predetermined algorithm that is initialized using, for example, the synchronization number at the time of login authentication generated in step S906 as a parameter. Then, the authentication server 32 requests the authentication terminal 22 to transmit the midway synchronization number (S1414). In response to the request, the authentication terminal 22 generates an intermediate synchronization number (S1416) and transmits it (S1418). The authentication terminal 22 is provided with a program of the same algorithm as the algorithm for generating an intermediate sync number used in the authentication server 32, and the authentication terminal 22 generates an intermediate sync number using the program.

認証サーバ32は、認証端末22からの途中シンクロ番号を受信して(S1420)、ステップS1412で生成した途中シンクロ番号とステップS1420で受信した途中シンクロ番号とを照合する(S1422)。照合が一致したかを判断して(S1424)。一致の場合はサービスサーバ30に認証成功を通知する(S1426)。サービスサーバ30はこれを受信する(S1428)。照合が一致しなかった場合、認証失敗をサービスサーバ30に通知して(S1408)、サービスサーバ30はこれを受信する(S1410)。   The authentication server 32 receives the midway sync number from the authentication terminal 22 (S1420), and collates the midway sync number generated in step S1412 with the midway sync number received in step S1420 (S1422). It is determined whether or not the collation matches (S1424). If they match, the service server 30 is notified of successful authentication (S1426). The service server 30 receives this (S1428). If the verification does not match, the service server 30 is notified of the authentication failure (S1408), and the service server 30 receives this (S1410).

図18は、サービスサーバ30のログインページに適用できるログインページシステムの一例を示す。サービスサーバ30のログインページディレクトリに当該ログインページシステムのモジュールを設置する。当該モジュールはサービスサーバ30のユーザ情報格納部1452と連動設定されたCGIプログラムを内蔵する。サービスサーバ30のログインページ1450には、認証サーバへのリンクボタンが設置され、ユーザがリンクボタンをクリックすると認証サーバ32でログインするページ1454にスイッチする。本ログインページシステムはシステム管理者用のコントロールプログラム1458を備え、サービスサーバ30のユーザIDと認証サーバ32を利用するためのユーザIDとの関連付け情報格納部1456を管理して、アクセス制御、アクセスログの管理ができる。   FIG. 18 shows an example of a login page system that can be applied to the login page of the service server 30. The login page system module is installed in the login page directory of the service server 30. This module incorporates a CGI program set in conjunction with the user information storage unit 1452 of the service server 30. The login page 1450 of the service server 30 is provided with a link button to the authentication server, and when the user clicks the link button, the page switches to the page 1454 for logging in with the authentication server 32. This login page system includes a control program 1458 for a system administrator, manages an association information storage unit 1456 between the user ID of the service server 30 and the user ID for using the authentication server 32, and performs access control and access log. Can be managed.

以上説明した本実施形態の認証サーバおよび認証方法によれば、サービス事業者は自己のサービスに適した認証条件を指定して認証請求を送信できる。一方ユーザにとって多数のサービスを利用する場合であっても当該サービスを提供するサービス事業者が認証サーバ32を利用する限り単一のユーザIDで多数のサービス提供を受けることができる。すなわち、本実施形態の認証システム、認証方法を利用すれば、サービス事業者およびユーザの双方にとっての利便性を高めることができる。   According to the authentication server and the authentication method of the present embodiment described above, the service provider can transmit an authentication request by specifying an authentication condition suitable for its own service. On the other hand, even if a user uses a large number of services, as long as the service provider providing the service uses the authentication server 32, a large number of services can be received with a single user ID. That is, if the authentication system and the authentication method of the present embodiment are used, convenience for both the service provider and the user can be improved.

また、ユーザがサービスサーバ30の閲覧等に利用するサービス端末24とは別に認証用の認証端末22をユーザに保持させ、当該認証端末22を利用してユーザを認証するので、より高いレベルでユーザを認証することができる。サービスサーバ30は予め受入条件を指定できるので、サービスサーバ30側が自己の裁量で認証のレベルを決定できる。ユーザは単一のユーザ識別情報(ユーザID)を用いて複数のサービスサーバ30を利用できるようになるので、ユーザにとって利便性が高くなる。   In addition, since the user holds the authentication terminal 22 for authentication separately from the service terminal 24 used for browsing the service server 30 and the like, and the user is authenticated using the authentication terminal 22, the user can be authenticated at a higher level. Can be authenticated. Since the service server 30 can specify acceptance conditions in advance, the service server 30 can determine the level of authentication at its own discretion. Since the user can use a plurality of service servers 30 by using a single user identification information (user ID), convenience for the user is enhanced.

また認証の結果が受入条件の全てを満たさない場合であっても、認証をパスした認証項目について結果通知がされるのでサービスサーバ30側で独自にユーザを認証することもできる。サービスサーバ30の認証請求に認証条件を指定できるので、予め定めた受入条件とは異なる認証レベルあるいは認証プロセスを指定できる。認証条件にはユーザに認証レベルの決定裁量を委ねるように指定することが可能になり、ユーザにとっても利便性の高い認証システムを提供できる。   Even if the result of the authentication does not satisfy all the acceptance conditions, the result is notified about the authentication item that passed the authentication, so that the user can be uniquely authenticated on the service server 30 side. Since the authentication condition can be specified for the authentication request of the service server 30, an authentication level or an authentication process different from the predetermined acceptance condition can be specified. It is possible to specify that the authentication level is left to the user in the authentication condition, and an authentication system that is highly convenient for the user can be provided.

図19は、本実施形態に係る認証サーバ32のハードウェア構成の一例を示す。本実施形態に係る認証サーバ32は、ホスト・コントローラ1582により相互に接続されるCPU1505、RAM1520、グラフィック・コントローラ1575、および表示装置1580を有するCPU周辺部と、入出力コントローラ1584によりホスト・コントローラ1582に接続される通信インターフェイス1530、ハードディスクドライブ1540、およびCD−ROMドライブ1560を有する入出力部と、入出力コントローラ1584に接続されるROM1510、フレキシブルディスク・ドライブ1550、および入出力チップ1570を有するレガシー入出力部と、を備える。   FIG. 19 shows an example of the hardware configuration of the authentication server 32 according to the present embodiment. The authentication server 32 according to this embodiment includes a CPU peripheral unit including a CPU 1505, a RAM 1520, a graphic controller 1575, and a display device 1580 connected to each other by a host controller 1582, and an input / output controller 1584 to the host controller 1582. Input / output unit having communication interface 1530, hard disk drive 1540, and CD-ROM drive 1560 connected, and legacy input / output having ROM 1510, flexible disk drive 1550, and input / output chip 1570 connected to input / output controller 1584 A section.

ホスト・コントローラ1582は、RAM1520と、高い転送レートでRAM1520をアクセスするCPU1505およびグラフィック・コントローラ1575とを接続する。CPU1505は、ROM1510およびRAM1520に格納されたプログラムに基づいて動作して、各部を制御する。グラフィック・コントローラ1575は、CPU1505等がRAM1520内に設けたフレーム・バッファ上に生成する画像データを取得して、表示装置1580上に表示させる。これに代えて、グラフィック・コントローラ1575は、CPU1505等が生成する画像データを格納するフレーム・バッファを、内部に含んでもよい。   The host controller 1582 connects the RAM 1520 to the CPU 1505 and the graphic controller 1575 that access the RAM 1520 at a high transfer rate. The CPU 1505 operates based on programs stored in the ROM 1510 and the RAM 1520 to control each unit. The graphic controller 1575 acquires image data generated by the CPU 1505 or the like on a frame buffer provided in the RAM 1520 and displays the image data on the display device 1580. Alternatively, the graphic controller 1575 may include a frame buffer that stores image data generated by the CPU 1505 or the like.

入出力コントローラ1584は、ホスト・コントローラ1582と、比較的高速な入出力装置である通信インターフェイス1530、ハードディスクドライブ1540、CD−ROMドライブ1560を接続する。通信インターフェイス1530は、ネットワークを介して他の装置と通信する。ハードディスクドライブ1540は、認証サーバ32内のCPU1505が使用するプログラムおよびデータを格納する。CD−ROMドライブ1560は、CD−ROM1595からプログラムまたはデータを読み取り、RAM1520を介してハードディスクドライブ1540に提供する。   The input / output controller 1584 connects the host controller 1582 to the communication interface 1530, the hard disk drive 1540, and the CD-ROM drive 1560, which are relatively high-speed input / output devices. The communication interface 1530 communicates with other devices via a network. The hard disk drive 1540 stores programs and data used by the CPU 1505 in the authentication server 32. The CD-ROM drive 1560 reads a program or data from the CD-ROM 1595 and provides it to the hard disk drive 1540 via the RAM 1520.

また、入出力コントローラ1584には、ROM1510と、フレキシブルディスク・ドライブ1550、および入出力チップ1570の比較的低速な入出力装置とが接続される。ROM1510は、認証サーバ32が起動時に実行するブート・プログラム、認証サーバ32のハードウェアに依存するプログラム等を格納する。フレキシブルディスク・ドライブ1550は、フレキシブルディスク1590からプログラムまたはデータを読み取り、RAM1520を介してハードディスクドライブ1540に提供する。入出力チップ1570は、フレキシブルディスク・ドライブ1550、例えばパラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を接続する。   The input / output controller 1584 is connected to the ROM 1510, the flexible disk drive 1550, and the relatively low-speed input / output device of the input / output chip 1570. The ROM 1510 stores a boot program that the authentication server 32 executes at startup, a program that depends on the hardware of the authentication server 32, and the like. The flexible disk drive 1550 reads a program or data from the flexible disk 1590 and provides it to the hard disk drive 1540 via the RAM 1520. The input / output chip 1570 connects various input / output devices via a flexible disk drive 1550 such as a parallel port, a serial port, a keyboard port, and a mouse port.

RAM1520を介してハードディスクドライブ1540に提供される通信プログラムは、フレキシブルディスク1590、CD−ROM1595、またはICカード等の記録媒体に格納されて利用者によって提供される。通信プログラムは、記録媒体から読み出され、RAM1520を介して認証サーバ32内のハードディスクドライブ1540にインストールされ、CPU1505において実行される。   A communication program provided to the hard disk drive 1540 via the RAM 1520 is stored in a recording medium such as the flexible disk 1590, the CD-ROM 1595, or an IC card and provided by the user. The communication program is read from the recording medium, installed in the hard disk drive 1540 in the authentication server 32 via the RAM 1520, and executed by the CPU 1505.

認証サーバ32にインストールされて実行される通信プログラムは、CPU1505等に働きかけて、認証サーバ32を、図1から図18にかけて説明した、データ格納部100、認証請求受信部120、証明請求受信部130、識別情報変換部140、認証端末特定部150、シンクロ番号生成部160、シンクロ番号送信部170、シンクロ番号入力要求部180、シンクロ番号受信部190、端末認証部200、認証条件抽出部210、認証項目特定部220、入力要求部230、認証情報受信部240、認証判断部250、認証結果通知部260、ログイン情報生成部270、途中シンクロ番号生成部300、途中シンクロ番号送信要求部310、途中認証部320、および途中認証結果送信部330として機能させる。   The communication program installed and executed on the authentication server 32 works on the CPU 1505 and the like, and the authentication server 32 is described with reference to FIGS. 1 to 18, the data storage unit 100, the authentication request reception unit 120, and the certification request reception unit 130. , Identification information conversion unit 140, authentication terminal identification unit 150, synchro number generation unit 160, synchro number transmission unit 170, synchro number input request unit 180, synchro number reception unit 190, terminal authentication unit 200, authentication condition extraction unit 210, authentication Item identification unit 220, input request unit 230, authentication information reception unit 240, authentication determination unit 250, authentication result notification unit 260, login information generation unit 270, midway sync number generation unit 300, midway sync number transmission request unit 310, midway authentication Unit 320 and midway authentication result transmission unit 330.

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。   As mentioned above, although this invention was demonstrated using embodiment, the technical scope of this invention is not limited to the range as described in the said embodiment. It will be apparent to those skilled in the art that various modifications or improvements can be added to the above-described embodiment. It is apparent from the scope of the claims that the embodiments added with such changes or improvements can be included in the technical scope of the present invention.

本実施形態の認証システムの一例である認証サーバ32を利用する全体システム10を概念的に示す。The whole system 10 using the authentication server 32 which is an example of the authentication system of this embodiment is shown notionally. 認証サーバ32におけるユーザ認証の概要を示す。An overview of user authentication in the authentication server 32 is shown. 全体システム10の概要を示す。An overview of the overall system 10 is shown. 本実施形態の認証方法の概要を示す。The outline | summary of the authentication method of this embodiment is shown. 認証サーバ32の構成を詳細に示した全体システム10を示す。1 shows an overall system 10 showing the configuration of an authentication server 32 in detail. データ格納部100を示す。A data storage unit 100 is shown. 本実施形態の認証方法の一例を示す。An example of the authentication method of this embodiment is shown. サービス事業者が認証サーバ32に登録する場合の処理フローを示す。A processing flow in the case where a service provider registers in the authentication server 32 is shown. ユーザが認証サーバ32に登録する場合の処理フローを示す。A processing flow when the user registers in the authentication server 32 is shown. 認証サーバ32による認証の前提となる認証請求の発生から認証処理の開始までの処理フローを示す。A processing flow from the generation of an authentication request, which is a precondition for authentication by the authentication server 32, to the start of authentication processing is shown. 認証サーバ32が証明請求を受けた後に認証処理を開始するまでの処理フローを示す。The processing flow until authentication processing is started after the authentication server 32 receives a certificate request is shown. シンクロ認証の処理フローを示す。The processing flow of synchronized authentication is shown. ユーザ認証の処理フローを示す。The processing flow of user authentication is shown. 認証項目の特定の処理フローを示す。The specific processing flow of an authentication item is shown. 認証結果の送信フローを示す。An authentication result transmission flow is shown. 本実施形態の認証方法の他例を示す。The other example of the authentication method of this embodiment is shown. 途中認証プロセスの一例を示す。An example of an intermediate authentication process is shown. サービスサーバ30のログインページに適用できるログインページシステムの一例を示す。An example of the login page system applicable to the login page of the service server 30 is shown. 本実施形態に係る認証サーバ32のハードウェア構成の一例を示す。An example of the hardware constitutions of the authentication server 32 which concerns on this embodiment is shown.

符号の説明Explanation of symbols

10 全体システム
20 ユーザシステム
20a ユーザシステム
20b ユーザシステム
22 認証端末
22a 認証端末
22b 認証端末
24 サービス端末
24a サービス端末
24b サービス端末
30 サービスサーバ
30a サービスサーバ
30b サービスサーバ
32 認証サーバ
34 通信ネットワーク
50 スイッチ
52 スイッチ
54 スイッチ
56 ロック
58 ロック
60 ロック
62 既存認証画面
64 アクセスコントロール
66 ユーザID適用部
68 リモートコントロールインターフェイス
70 セッショントリガー
72 サービスリレープロセス
74 ステータスリレープロセス
76 パスワード
78 サービス事業者独自認証情報格納部
100 データ格納部
102 サービス事業者登録情報格納部
104 受入条件格納部
106 ユーザ登録情報格納部
108 認証情報格納部
110 ユーザ選択認証項目格納部
112 ユーザ識別情報格納部
140 識別情報変換部
150 認証端末特定部
160 シンクロ番号生成部
170 シンクロ番号送信部
180 シンクロ番号入力要求部
190 シンクロ番号受信部
200 端末認証部
210 認証条件抽出部
220 認証項目特定部
230 入力要求部
240 認証情報受信部
250 認証判断部
260 認証結果通知部
270 ログイン情報生成部
300 途中シンクロ番号生成部
310 途中シンクロ番号送信要求部
320 途中認証部
330 途中認証結果送信部
1450 ログインページ
1452 ユーザ情報格納部
1454 ページ
1456 関連付け情報格納部
1458 コントロールプログラム
1505 CPU
1510 ROM
1520 RAM
1530 通信インターフェイス
1540 ハードディスクドライブ
1550 フレキシブルディスク・ドライブ
1560 CD−ROMドライブ
1570 入出力チップ
1575 グラフィック・コントローラ
1580 表示装置
1582 ホスト・コントローラ
1584 入出力コントローラ
1590 フレキシブルディスク
1595 CD−ROM
DESCRIPTION OF SYMBOLS 10 Overall system 20 User system 20a User system 20b User system 22 Authentication terminal 22a Authentication terminal 22b Authentication terminal 24 Service terminal 24a Service terminal 24b Service terminal 30 Service server 30a Service server 30b Service server 32 Authentication server 34 Communication network 50 Switch 52 Switch 54 Switch 56 Lock 58 Lock 60 Lock 62 Existing authentication screen 64 Access control 66 User ID application section 68 Remote control interface 70 Session trigger 72 Service relay process 74 Status relay process 76 Password 78 Service provider unique authentication information storage section 100 Data storage section 102 Service provider registration information storage unit 104 Acceptance condition storage unit 06 User registration information storage unit 108 Authentication information storage unit 110 User selection authentication item storage unit 112 User identification information storage unit 140 Identification information conversion unit 150 Authentication terminal identification unit 160 Sync number generation unit 170 Sync number transmission request unit 180 Sync number input request unit 190 synchronization number reception unit 200 terminal authentication unit 210 authentication condition extraction unit 220 authentication item specification unit 230 input request unit 240 authentication information reception unit 250 authentication determination unit 260 authentication result notification unit 270 login information generation unit 300 intermediate synchronization number generation unit 310 intermediate Sync number transmission request unit 320 Intermediate authentication unit 330 Intermediate authentication result transmission unit 1450 Login page 1452 User information storage unit 1454 Page 1456 Association information storage unit 1458 Control program 1505 CPU
1510 ROM
1520 RAM
1530 Communication interface 1540 Hard disk drive 1550 Flexible disk drive 1560 CD-ROM drive 1570 Input / output chip 1575 Graphic controller 1580 Display device 1582 Host controller 1584 Input / output controller 1590 Flexible disk 1595 CD-ROM

Claims (18)

通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバが、前記サービスの提供を許可する受入条件を格納する受入条件格納部と、
前記サービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部と、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を、前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部と、
前記サービスサーバからの認証請求を受信する認証請求受信部と、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部と、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信部と、
前記認証端末から取得した認証情報と前記認証情報格納部に格納されている認証情報とを照合し、当該照合の結果が前記受入条件を充足するか否かを判断する認証判断部と、
前記認証判断部において前記照合の結果が前記受入条件を一部充足すると判断した場合に、前記照合の結果の充足した部分について認証が成功した旨の結果通知を前記サービスサーバに送信する認証結果通知部と、
を備える認証システム。
A service server of a service provider that provides a service using communication between information processing apparatuses via a communication network; a reception condition storage unit that stores a reception condition that permits the provision of the service;
An authentication information storage unit for storing authentication information for authenticating a user who intends to receive provision of the service from the service server through a service terminal;
A user registration information storage unit for storing terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user;
An authentication request receiver for receiving an authentication request from the service server;
From the user identification information included in the authentication request, an authentication terminal specifying unit that specifies the terminal identification information according to the authentication request;
A determination is made as to whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if there is a certificate request reception unit that receives a certificate request from the authentication terminal;
An authentication determination unit for verifying authentication information acquired from the authentication terminal and authentication information stored in the authentication information storage unit, and determining whether a result of the verification satisfies the acceptance condition;
An authentication result notification for transmitting, to the service server, a result notification indicating that the authentication has succeeded for a portion where the verification result is satisfied when the verification determination unit determines that the verification result partially satisfies the acceptance condition. And
An authentication system comprising:
前記認証結果通知部は、前記認証判断部において前記照合の結果が前記受入条件を完全に充足すると判断した場合に、前記ユーザが前記サービスにログインするためのログイン情報を生成または読み出して、前記ログイン情報を結果通知として前記サービスサーバに送信する、
請求項1に記載の認証システム。
The authentication result notifying unit generates or reads login information for the user to log in to the service when the authentication determining unit determines that the result of the verification completely satisfies the acceptance condition, and Sending information to the service server as a result notification;
The authentication system according to claim 1.
前記認証結果通知部は、前記認証判断部において前記照合の結果が前記受入条件を完全に充足すると判断した場合に、前記サービスサーバにおいて独自の付加認証を行わせるべく、前記受入条件が要求する認証の全てについて成功した旨の結果通知を前記サービスサーバに送信する、
請求項1に記載の認証システム。
The authentication result notifying unit, when the authentication determining unit determines that the result of the verification completely satisfies the acceptance condition, the authentication required by the acceptance condition to cause the service server to perform original additional authentication. A result notification indicating that all of the services are successful is sent to the service server.
The authentication system according to claim 1.
前記認証請求の受信後に、前記認証請求に係る認証処理において使用する処理識別情報をランダムに生成する処理識別情報生成部と、
前記処理識別情報を前記ユーザに提示すべく、前記サービス端末に送信する処理識別情報送信部と、
前記認証端末から取得した処理識別情報と前記処理識別情報生成部が生成した処理識別情報とを照合して、一致した場合に前記認証端末を認証する端末認証部と、
をさらに備える請求項1に記載の認証システム。
After receiving the authentication request, a process identification information generating unit that randomly generates process identification information used in the authentication process according to the authentication request;
A process identification information transmitting unit that transmits the process identification information to the service terminal in order to present the process identification information to the user;
The process identification information acquired from the authentication terminal is compared with the process identification information generated by the process identification information generation unit, and a terminal authentication unit that authenticates the authentication terminal if they match,
The authentication system according to claim 1, further comprising:
複数のサービス事業者ごとの前記サービスを利用するユーザであって各サービス事業者の前記サービスサーバが管理するユーザを識別するためのローカルユーザ識別情報と、当該認証システムが管理するユーザを識別するためのグローバルユーザ識別情報とを関連付けて格納するユーザ識別情報格納部と、
前記認証請求に含まれるローカルユーザ識別情報を、前記ユーザ識別情報格納部を参照して前記グローバルユーザ識別情報に変換する識別情報変換部と、
をさらに備え、
前記ユーザ登録情報格納部は、前記端末識別情報を前記グローバルユーザ識別情報に関連付けて格納し、
前記認証端末特定部は、前記グローバルユーザ識別情報から当該認証請求に係る端末識別情報を特定する、
請求項1に記載の認証システム。
Local user identification information for identifying a user who uses the service for each service provider and managed by the service server of each service provider, and a user managed by the authentication system A user identification information storage unit that stores the global user identification information in association with each other,
An identification information conversion unit that converts local user identification information included in the authentication request into the global user identification information with reference to the user identification information storage unit;
Further comprising
The user registration information storage unit stores the terminal identification information in association with the global user identification information,
The authentication terminal specifying unit specifies terminal identification information according to the authentication request from the global user identification information.
The authentication system according to claim 1.
前記サービスの開始後における前記認証請求の受信に応答して、当該認証請求についての認証処理において使用する途中処理識別情報を、前記処理識別情報をパラメータとして初期化される所定のアルゴリズムに従って生成する途中処理識別情報生成部と、
前記アルゴリズムに従って前記認証端末が生成した途中処理識別情報を受信し、前記途中処理識別情報生成部が生成した途中処理識別情報と前記認証端末が生成した途中処理識別情報とを照合して、一致した場合に前記ユーザを認証する途中認証部と、
前記途中認証部による前記認証の結果を前記サービスサーバに送信する途中認証結果送信部と、
をさらに備える請求項1に記載の認証システム。
In response to receiving the authentication request after the start of the service, midway generating process identification information used in the authentication process for the authentication request according to a predetermined algorithm initialized with the process identification information as a parameter A process identification information generation unit;
The intermediate process identification information generated by the authentication terminal according to the algorithm is received, and the intermediate process identification information generated by the intermediate process identification information generation unit and the intermediate process identification information generated by the authentication terminal are checked and matched. A middle authentication unit for authenticating the user in the case,
An intermediate authentication result transmission unit for transmitting the result of the authentication by the intermediate authentication unit to the service server;
The authentication system according to claim 1, further comprising:
通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバが、前記サービスの提供を許可する受入条件を格納する受入条件格納段階と、
前記サービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納段階と、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を、前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納段階と、
前記サービスサーバからの認証請求を受信する認証請求受信段階と、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定段階と、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信段階と、
前記認証端末から取得した認証情報と前記認証情報格納段階で格納した認証情報とを照合し、当該照合の結果が前記受入条件を充足するか否かを判断する認証判断段階と、
前記認証判断段階において前記照合の結果が前記受入条件を一部充足すると判断した場合に、前記照合の結果の充足した部分について認証が成功した旨の結果通知を前記サービスサーバに送信する認証結果通知段階と、
を備える認証方法。
An acceptance condition storage stage in which a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network stores an acceptance condition that permits the provision of the service;
An authentication information storing step for storing authentication information for authenticating a user who intends to receive provision of the service from the service server through a service terminal;
A user registration information storage step of storing terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user;
Receiving an authentication request from the service server;
From the user identification information included in the authentication request, an authentication terminal specifying stage for specifying the terminal identification information according to the authentication request;
Determining whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if so, a certificate request reception step of receiving a certificate request from the authentication terminal;
An authentication determination step of verifying authentication information acquired from the authentication terminal and authentication information stored in the authentication information storage step, and determining whether a result of the verification satisfies the acceptance condition;
An authentication result notification for transmitting to the service server a result notification indicating that the authentication has succeeded for a portion where the verification result is satisfied when it is determined in the authentication determination step that the verification result partially satisfies the acceptance condition Stages,
An authentication method comprising:
認証システム用の認証プログラムであって、前記認証システムを、
通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバが、前記サービスの提供を許可する受入条件を格納する受入条件格納部、
前記サービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を、前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部、
前記サービスサーバからの認証請求を受信する認証請求受信部、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信部、
前記認証端末から取得した認証情報と前記認証情報格納部に格納されている認証情報とを照合し、当該照合の結果が前記受入条件を充足するか否かを判断する認証判断部、
前記認証判断部において前記照合の結果が前記受入条件を一部充足すると判断した場合に、前記照合の結果の充足した部分について認証が成功した旨の結果通知を前記サービスサーバに送信する認証結果通知部、
として機能させる認証プログラム。
An authentication program for an authentication system, wherein the authentication system is
An acceptance condition storage unit in which a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network stores an acceptance condition that permits provision of the service;
An authentication information storage unit for storing authentication information for authenticating a user who intends to receive provision of the service from the service server through a service terminal;
A user registration information storage unit for storing terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user;
An authentication request receiver for receiving an authentication request from the service server;
From the user identification information included in the authentication request, an authentication terminal specifying unit that specifies terminal identification information according to the authentication request,
A certificate request receiving unit that determines whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if present, receives a certificate request from the authentication terminal;
An authentication determination unit for verifying authentication information acquired from the authentication terminal and authentication information stored in the authentication information storage unit, and determining whether a result of the verification satisfies the acceptance condition;
An authentication result notification for transmitting, to the service server, a result notification indicating that the authentication has succeeded for a portion where the verification result is satisfied when the verification determination unit determines that the verification result partially satisfies the acceptance condition. Part,
Authentication program to function as.
通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部と、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部と、
前記サービスサーバからの認証請求を受信する認証請求受信部と、
前記認証請求に含まれる認証コードから認証条件を抽出する認証条件抽出部と、
前記認証条件に基づき前記ユーザを認証する認証項目を特定する認証項目特定部と、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部と、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信部と、
前記認証項目について、前記認証端末から取得した認証情報と前記認証情報格納部に格納されている認証情報とを照合し、各認証項目において一致しているか否かを判断する認証判断部と、
前記認証判断部における認証の結果および前記認証条件が指定する処理条件に応じて、前記認証の結果通知を前記サービスサーバに送信する認証結果通知部と、
を備える認証システム。
Authentication information for storing authentication information for authenticating a user who intends to receive provision of the service through a service terminal from a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network A storage unit;
A user registration information storage unit for storing terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user;
An authentication request receiver for receiving an authentication request from the service server;
An authentication condition extraction unit that extracts an authentication condition from an authentication code included in the authentication request;
An authentication item specifying unit for specifying an authentication item for authenticating the user based on the authentication condition;
From the user identification information included in the authentication request, an authentication terminal specifying unit that specifies the terminal identification information according to the authentication request;
A determination is made as to whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if there is a certificate request reception unit that receives a certificate request from the authentication terminal;
For the authentication item, the authentication information acquired from the authentication terminal is compared with the authentication information stored in the authentication information storage unit, and an authentication determination unit that determines whether or not the authentication items match,
An authentication result notifying unit for transmitting the authentication result notification to the service server in accordance with an authentication result in the authentication determining unit and a processing condition specified by the authentication condition;
An authentication system comprising:
前記ユーザが予め選択したユーザ選択認証項目を格納するユーザ選択認証項目格納部、をさらに備え、
前記認証項目特定部は、前記認証条件において前記認証項目の選択をユーザに委ねている場合には、前記ユーザ選択認証項目を前記認証項目として特定する、
請求項9に記載の認証システム。
A user selection authentication item storage unit for storing a user selection authentication item preselected by the user;
When the authentication item specifying unit entrusts the user to select the authentication item in the authentication condition, the authentication item specifying unit specifies the user selection authentication item as the authentication item.
The authentication system according to claim 9.
前記サービスサーバが前記サービスの提供を許可する受入条件を格納する受入条件格納部、をさらに備え、
前記認証項目特定部は、前記認証条件において前記認証項目の選択をユーザに委ねていない場合には、前記受入条件に従って前記認証項目を特定する、
請求項9に記載の認証システム。
An acceptance condition storage unit for storing an acceptance condition for allowing the service server to provide the service;
The authentication item specifying unit specifies the authentication item according to the acceptance condition when the user does not leave the selection of the authentication item to the user in the authentication condition.
The authentication system according to claim 9.
前記認証結果通知部は、前記認証判断部において一部の認証項目について前記認証情報の一致が判断された場合であって、前記処理条件においてステータスリレーが指定されている場合には、前記認証判断部で前記認証情報の一致が判断された前記認証項目について認証が成功した旨の結果通知を前記サービスサーバに送信する、
請求項9に記載の認証システム。
The authentication result notifying unit is a case where the authentication determination unit determines that the authentication information matches for some authentication items, and the status determination is specified in the processing condition, the authentication determination A result notification indicating that the authentication has been successfully completed for the authentication item for which the authentication information match is determined by the unit, to the service server,
The authentication system according to claim 9.
前記認証結果通知部は、前記認証判断部において全部の認証項目について前記認証情報の一致が判断された場合であって、前記処理条件においてステータスリレーが指定されている場合には、前記認証判断部で前記認証情報の一致が判断された全部の前記認証項目について認証が成功した旨の結果通知を前記サービスサーバに送信する、
請求項9に記載の認証システム。
The authentication result notifying unit is a case where the authentication determining unit determines that the authentication information matches for all authentication items, and if the status relay is specified in the processing condition, the authentication determining unit A result notification indicating that the authentication has succeeded for all the authentication items for which a match of the authentication information has been determined.
The authentication system according to claim 9.
前記認証結果通知部は、前記認証判断部において全部の認証項目について前記認証情報の一致が判断された場合であって、前記処理条件においてサービスリレーが指定されている場合には、前記ユーザが前記サービスにログインするためのログイン情報を生成または読み出して、前記ログイン情報を結果通知として前記サービスサーバに送信する、
請求項9に記載の認証システム。
The authentication result notifying unit is a case where the authentication determining unit determines that the authentication information matches for all authentication items, and if the service relay is specified in the processing condition, the user Generating or reading login information for logging in to the service, and sending the login information to the service server as a result notification;
The authentication system according to claim 9.
複数のサービス事業者ごとの前記サービスを利用するユーザであって各サービス事業者の前記サービスサーバが管理するユーザを識別するためのローカルユーザ識別情報と、当該認証システムが管理するユーザを識別するためのグローバルユーザ識別情報とを関連付けて格納するユーザ識別情報格納部と、
前記認証請求に含まれるローカルユーザ識別情報を、前記ユーザ識別情報格納部を参照して前記グローバルユーザ識別情報に変換する識別情報変換部と、
をさらに備え、
前記ユーザ登録情報格納部は、前記端末識別情報を前記グローバルユーザ識別情報に関連付けて格納し、
前記認証端末特定部は、前記グローバルユーザ識別情報から当該認証請求に係る端末識別情報を特定する、
請求項9に記載の認証システム。
Local user identification information for identifying a user who uses the service for each service provider and managed by the service server of each service provider, and a user managed by the authentication system A user identification information storage unit that stores the global user identification information in association with each other,
An identification information conversion unit that converts local user identification information included in the authentication request into the global user identification information with reference to the user identification information storage unit;
Further comprising
The user registration information storage unit stores the terminal identification information in association with the global user identification information,
The authentication terminal specifying unit specifies terminal identification information according to the authentication request from the global user identification information.
The authentication system according to claim 9.
前記サービスの開始後における前記認証請求の受信に応答して、当該認証請求についての認証処理において使用する途中処理識別情報を、前記処理識別情報をパラメータとして初期化される所定のアルゴリズムに従って生成する途中処理識別情報生成部と、
前記アルゴリズムに従って前記認証端末が生成した途中処理識別情報を受信し、前記途中処理識別情報生成部が生成した途中処理識別情報と前記認証端末が生成した途中処理識別情報とを照合して、一致した場合に前記ユーザを認証する途中認証部と、
前記途中認証部による前記認証の結果を前記サービスサーバに送信する途中認証結果送信部と、
をさらに備える請求項9に記載の認証システム。
In response to receiving the authentication request after the start of the service, midway generating process identification information used in the authentication process for the authentication request according to a predetermined algorithm initialized with the process identification information as a parameter A process identification information generation unit;
The intermediate process identification information generated by the authentication terminal according to the algorithm is received, and the intermediate process identification information generated by the intermediate process identification information generation unit and the intermediate process identification information generated by the authentication terminal are checked and matched. A middle authentication unit for authenticating the user in the case,
An intermediate authentication result transmission unit for transmitting the result of the authentication by the intermediate authentication unit to the service server;
The authentication system according to claim 9, further comprising:
通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納段階と、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納段階と、
前記サービスサーバからの認証請求を受信する認証請求受信段階と、
前記認証請求に含まれる認証コードから認証条件を抽出する認証条件抽出段階と、
前記認証条件に基づき前記ユーザを認証する認証項目を特定する認証項目特定段階と、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定段階と、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信段階と、
前記認証項目について、前記認証端末から取得した認証情報と前記認証情報格納段階で格納された認証情報とを照合し、各認証項目において一致しているか否かを判断する認証判断段階と、
前記認証判断段階における認証の結果および前記認証条件が指定する処理条件に応じて、前記認証の結果通知を前記サービスサーバに送信する認証結果通知段階と、
を備える認証方法。
Authentication information for storing authentication information for authenticating a user who intends to receive provision of the service through a service terminal from a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network A storage phase;
A user registration information storage step of storing terminal identification information of the user authentication terminal connected to the communication network in association with the user identification information of the user;
Receiving an authentication request from the service server;
An authentication condition extraction step of extracting an authentication condition from an authentication code included in the authentication request;
An authentication item specifying step for specifying an authentication item for authenticating the user based on the authentication condition;
From the user identification information included in the authentication request, an authentication terminal specifying stage for specifying the terminal identification information according to the authentication request;
Determining whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if so, a certificate request reception step of receiving a certificate request from the authentication terminal;
For the authentication item, the authentication information obtained from the authentication terminal and the authentication information stored in the authentication information storage step are collated, and an authentication judgment step for judging whether or not each authentication item matches,
An authentication result notification step of transmitting the authentication result notification to the service server in accordance with an authentication result in the authentication determination step and a processing condition specified by the authentication condition;
An authentication method comprising:
認証システム用の認証プログラムであって、前記認証システムを、
通信ネットワークを介した情報処理装置間の通信を利用したサービスを提供するサービス事業者のサービスサーバからサービス端末を通じて前記サービスの提供を受けようとするユーザを認証するための認証情報を格納する認証情報格納部、
前記通信ネットワークに接続された前記ユーザの認証端末の端末識別情報を前記ユーザのユーザ識別情報に関連付けて格納するユーザ登録情報格納部、
前記サービスサーバからの認証請求を受信する認証請求受信部、
前記認証請求に含まれる認証コードから認証条件を抽出する認証条件抽出部、
前記認証条件に基づき前記ユーザを認証する認証項目を特定する認証項目特定部、
前記認証請求に含まれるユーザ識別情報から、当該認証請求に係る端末識別情報を特定する認証端末特定部、
前記端末識別情報に一致する認証端末からの接続が存在するか否かを判断し、存在する場合には前記認証端末からの証明請求を受信する証明請求受信部、
前記認証項目について、前記認証端末から取得した認証情報と前記認証情報格納部に格納されている認証情報とを照合し、各認証項目において一致しているか否かを判断する認証判断部、
前記認証判断部における認証の結果および前記認証条件が指定する処理条件に応じて、前記認証の結果通知を前記サービスサーバに送信する認証結果通知部、
として機能させる認証プログラム。
An authentication program for an authentication system, wherein the authentication system is
Authentication information for storing authentication information for authenticating a user who intends to receive provision of the service through a service terminal from a service server of a service provider that provides a service using communication between information processing apparatuses via a communication network Storage,
A user registration information storage unit that stores terminal identification information of an authentication terminal of the user connected to the communication network in association with the user identification information of the user;
An authentication request receiver for receiving an authentication request from the service server;
An authentication condition extraction unit for extracting an authentication condition from an authentication code included in the authentication request;
An authentication item specifying unit for specifying an authentication item for authenticating the user based on the authentication condition;
From the user identification information included in the authentication request, an authentication terminal specifying unit that specifies terminal identification information according to the authentication request,
A certificate request receiving unit that determines whether or not there is a connection from an authentication terminal that matches the terminal identification information, and if present, receives a certificate request from the authentication terminal;
For the authentication item, an authentication determination unit that compares the authentication information acquired from the authentication terminal with the authentication information stored in the authentication information storage unit, and determines whether each authentication item matches.
An authentication result notifying unit for transmitting the authentication result notification to the service server in accordance with an authentication result in the authentication determining unit and a processing condition specified by the authentication condition;
Authentication program to function as.
JP2007137122A 2007-05-23 2007-05-23 Authentication system, authentication method, and authentication program Active JP5130526B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007137122A JP5130526B2 (en) 2007-05-23 2007-05-23 Authentication system, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007137122A JP5130526B2 (en) 2007-05-23 2007-05-23 Authentication system, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2008293216A true JP2008293216A (en) 2008-12-04
JP5130526B2 JP5130526B2 (en) 2013-01-30

Family

ID=40167886

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007137122A Active JP5130526B2 (en) 2007-05-23 2007-05-23 Authentication system, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP5130526B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011215753A (en) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd Authentication system and authentication method
JP2013149208A (en) * 2012-01-23 2013-08-01 Toshiba Tec Corp Authentication device and control program of the same
CN114417276A (en) * 2021-12-30 2022-04-29 珠海大横琴科技发展有限公司 Security verification method and device

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04358249A (en) * 1991-06-04 1992-12-11 Nec Corp User certifying system for network service between various types of computer
JP2001143004A (en) * 1999-11-16 2001-05-25 Oki Engineering Kk Transaction processing system
WO2002039294A1 (en) * 2000-11-10 2002-05-16 Ntt Docomo, Inc. Authentication system, authentication agent apparatus, and terminal
JP2003162339A (en) * 2001-09-14 2003-06-06 Sony Computer Entertainment Inc Authentication program, storage medium with the authentication program recorded thereon, authentication server machine, client terminal device, authentication system and authentication method
JP2003216585A (en) * 2002-01-18 2003-07-31 Dainippon Printing Co Ltd Authentication application, management application, authentication request application and ic card
JP2006268641A (en) * 2005-03-25 2006-10-05 Nec Corp Authentication method and authentication system
JP2007026294A (en) * 2005-07-20 2007-02-01 Ntt Resonant Inc Authentication method and authentication system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04358249A (en) * 1991-06-04 1992-12-11 Nec Corp User certifying system for network service between various types of computer
JP2001143004A (en) * 1999-11-16 2001-05-25 Oki Engineering Kk Transaction processing system
WO2002039294A1 (en) * 2000-11-10 2002-05-16 Ntt Docomo, Inc. Authentication system, authentication agent apparatus, and terminal
JP2003162339A (en) * 2001-09-14 2003-06-06 Sony Computer Entertainment Inc Authentication program, storage medium with the authentication program recorded thereon, authentication server machine, client terminal device, authentication system and authentication method
JP2003216585A (en) * 2002-01-18 2003-07-31 Dainippon Printing Co Ltd Authentication application, management application, authentication request application and ic card
JP2006268641A (en) * 2005-03-25 2006-10-05 Nec Corp Authentication method and authentication system
JP2007026294A (en) * 2005-07-20 2007-02-01 Ntt Resonant Inc Authentication method and authentication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011215753A (en) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd Authentication system and authentication method
JP2013149208A (en) * 2012-01-23 2013-08-01 Toshiba Tec Corp Authentication device and control program of the same
CN114417276A (en) * 2021-12-30 2022-04-29 珠海大横琴科技发展有限公司 Security verification method and device

Also Published As

Publication number Publication date
JP5130526B2 (en) 2013-01-30

Similar Documents

Publication Publication Date Title
US6968453B2 (en) Secure integrated device with secure, dynamically-selectable capabilities
US6990444B2 (en) Methods, systems, and computer program products for securely transforming an audio stream to encoded text
US7028184B2 (en) Technique for digitally notarizing a collection of data streams
US8056122B2 (en) User authentication method and system using user&#39;s e-mail address and hardware information
US6948066B2 (en) Technique for establishing provable chain of evidence
JP4733167B2 (en) Information processing apparatus, information processing method, information processing program, and information processing system
KR100858144B1 (en) User authentication method in internet site using mobile and device thereof
US8627095B2 (en) Information processing apparatus, information processing method, and program
US6510236B1 (en) Authentication framework for managing authentication requests from multiple authentication devices
JP4343459B2 (en) Authentication system and authentication method
US20020095586A1 (en) Technique for continuous user authentication
US20020095587A1 (en) Smart card with integrated biometric sensor
US20070220269A1 (en) Image forming apparatus, image forming apparatus controlling method, computer program product
JPWO2007094165A1 (en) Identification system and program, and identification method
EP2441209A1 (en) System for two way authentication
JP2003099404A (en) Identification server device, client device, user identification system using them, and user identification method, its computer program and recording medium having the program recorded thereon
JP2012088859A (en) Information processor, information processing method, and program
JP4611988B2 (en) Terminal device
JP5130526B2 (en) Authentication system, authentication method, and authentication program
JP2012005037A (en) Website login method and website login system
JP2007527059A (en) User and method and apparatus for authentication of communications received from a computer system
WO2013182131A1 (en) Configuration method, configuration apparatus and electronic device
JP2007115226A (en) User authentication system
JP6441544B2 (en) Information device operation system, information device operation method, and program
CN105307016A (en) Security authentication method for intelligent set-top box

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121009

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121011

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5130526

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250