[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2012005037A - Website login method and website login system - Google Patents

Website login method and website login system Download PDF

Info

Publication number
JP2012005037A
JP2012005037A JP2010140592A JP2010140592A JP2012005037A JP 2012005037 A JP2012005037 A JP 2012005037A JP 2010140592 A JP2010140592 A JP 2010140592A JP 2010140592 A JP2010140592 A JP 2010140592A JP 2012005037 A JP2012005037 A JP 2012005037A
Authority
JP
Japan
Prior art keywords
authentication
ticket
information
authentication ticket
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010140592A
Other languages
Japanese (ja)
Inventor
Masahiro Hori
正弘 堀
Takahiro Yamamoto
隆広 山本
Noriko Fukuda
希子 福田
Yoshihiro Yoshida
芳浩 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010140592A priority Critical patent/JP2012005037A/en
Publication of JP2012005037A publication Critical patent/JP2012005037A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To perform login through simple operation while utilizing an electronic signature function of a mobile terminal and to ensure sufficient security at low costs.SOLUTION: In a Website login method, a Web service server generates an authentication ticket and generation time information of the authentication ticket and stores them in an authentication ticket information DB, encodes the authentication ticket and transmits image information of the authentication ticket. A display terminal communication section displays the image information of the authentication ticket. A mobile terminal reads the image information of the authentication ticket and decodes it to acquire the authentication ticket, generates an authentication response ticket by adding signature information which is electronically signed, and transmits it to a display terminal. The display terminal receives the authentication response ticket and transmits it to the Web service server. The Web service server receives and verifies the authentication response ticket.

Description

本発明は、ネットワーク上のWebサイトへのログインとアクセスにおける認証技術に関し、特に、携帯端末の電子署名機能を利用したWebサイトログイン方法及びWebサイトログインシステムに関する。   The present invention relates to an authentication technique for login and access to a website on a network, and more particularly to a website login method and website login system using an electronic signature function of a mobile terminal.

従来、不特定多数の者が視聴するテレビ番組(データ放送など)から視聴者を、Webサービス(チケット予約や商品購入などの様々なサービス)を提供可能なWebサービスサーバに誘導する方法が知られている。例えば、URLをテレビ放送事業者がテレビ画面に表示し、利用者がそれをメモし、パーソナルコンピュータ(PC)やデジタルテレビのブラウザにキーボードやリモコンからURLを入力し、定められた認証方式(例えば、ID/パスワード方式やICカードを使った認証方式など)によって利用者認証した後、サービスを開始する方法がある。また、URLを2次元バーコードに変換したものをテレビ放送事業者が画面に表示し、利用者がそれを携帯電話等の機器で読み取り、機器のブラウザを起動して画面を表示し、定められた認証方式によって利用者認証した後、サービスを開始する方法などがある。   2. Description of the Related Art Conventionally, a method of guiding viewers from a TV program (data broadcasting or the like) viewed by an unspecified number of people to a Web service server that can provide Web services (various services such as ticket reservation and product purchase) is known. ing. For example, a TV broadcaster displays a URL on a TV screen, a user notes it, inputs the URL from a keyboard or remote control into a personal computer (PC) or digital TV browser, and a predetermined authentication method (for example, There is a method of starting a service after user authentication by an ID / password method or an authentication method using an IC card. Also, the TV broadcaster displays the URL converted into a two-dimensional barcode on the screen, the user reads it with a device such as a mobile phone, starts the device browser and displays the screen. There is a method of starting a service after authenticating a user by a different authentication method.

しかし、いずれの方法においても、サービスを利用できるようになるまで、利用者は、煩雑な操作を強いられ、サービスを開始するまでのハードルが高く、Webサービスサーバに円滑に誘導することが困難である。また、後者の2次元バーコードを利用する方法では、サービスへのアクセスは比較的容易であるが、利用者は携帯電話でサービスを受けることになり、画面は小さく、また高齢者などのテンキーによる操作に不慣れな利用者にとっては使いづらいサービスになってしまう。   However, in any of the methods, until the service can be used, the user is forced to perform a complicated operation, has a high hurdle until the service is started, and is difficult to smoothly guide to the Web service server. is there. In the latter method using the two-dimensional bar code, access to the service is relatively easy, but the user receives the service with a mobile phone, the screen is small, and a numeric keypad such as an elderly person is used. For users who are unfamiliar with the operation, the service is difficult to use.

また、Webサービスサーバで認証する方法としては、利用者IDとパスワードを使用する方法が一般的である。しかし、この方法では、利用者はIDやパスワードを記憶又は記録しておく必要があり、安全性を保持するためには、パスワードを定期的に変更し、かつ、利用者はパスワードとして容易に推測されない文字列を考える必要があった。また、利用者がパスワードを忘れてしまった場合、サーバ側の再設定に時間とコストがかかるなど、管理が煩雑にならざるを得なかった。この問題を解決するための一方法として、ワンタイム・パスワードにより認証する技法が知られている(例えば、非特許文献1参照)。ワンタイム・パスワードとは、一定の規則で生成され、1回のみ使用できる使い捨てのパスワードである。   As a method for authenticating with the Web service server, a method using a user ID and a password is generally used. However, this method requires the user to store or record IDs and passwords, and in order to maintain safety, the password is changed periodically, and the user can easily guess the password. There was a need to think about strings that are not. In addition, when the user forgets the password, the management has to be complicated because it takes time and cost to reset the server. As a method for solving this problem, a technique of authenticating with a one-time password is known (for example, see Non-Patent Document 1). A one-time password is a disposable password that is generated according to certain rules and can be used only once.

出口 雄一、“ワンタイム・パスワード”[online]、日経BP社、[平成22年6月21日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/235357/>Yuichi Deguchi, “One Time Password” [online], Nikkei Business Publications, Inc. [Search June 21, 2010], Internet <URL: http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/ 235357 />

しかし、デジタルテレビに利用者IDとパスワードを入力する手段としては、一部の例外を除きテレビリモコンのみとなる。テレビリモコンはボタン数が限られており、文字列入力のインタフェースとしては適切ではないため、十分なセキュリティ性を確保するためのパスワード(長さと文字バリエーションが必要)を入力するには、複雑な操作が必要とされる。   However, with the exception of some exceptions, the TV remote controller is the only means for inputting the user ID and password to the digital TV. Since the TV remote control has a limited number of buttons and is not suitable as an interface for character string input, complicated operations are required to enter a password (length and character variations are required) to ensure sufficient security. Is needed.

また、ワンタイム・パスワードにより認証する技法は、安全性が高い一方で、利用者がパスワードを生成するハードウェアを持つ必要があり、高コストであるという問題があった。   In addition, the technique of authenticating with a one-time password has high security, but has a problem that the user needs to have hardware for generating a password and is expensive.

本発明の目的は、上記問題を解決するため、携帯端末の電子署名機能を利用し、簡単な操作でログインすることができ、かつ、低コストで十分なセキュリティ性を確保することができるWebサイトログインシステム及びその方法を提供することにある。   An object of the present invention is to solve the above problems by using a digital signature function of a mobile terminal, logging in with a simple operation, and ensuring a sufficient security at a low cost It is to provide a login system and a method thereof.

上記課題を解決するため、本発明では、携帯電話の赤外線機能と画像読み取り機能を使用して、ID/パスワードを利用者が直接入力することなく、家庭用のデジタルテレビのブラウザからWebサイトに安全にログイン認証し、且つ必要なWebページ(サービス画面)を表示するWebサイトログインシステム及びその方法を提供する。   In order to solve the above problems, in the present invention, the infrared function and the image reading function of a mobile phone are used to securely access a website from a home digital TV browser without the user directly entering an ID / password. A web site log-in system and method for log-in authentication and displaying a necessary web page (service screen) are provided.

すなわち、上記課題を解決するため、本発明に係るWebサイトログイン方法は、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、を含むことを特徴とする。   That is, in order to solve the above-described problem, a website login method according to the present invention includes a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal. A Web site login method in a system, wherein the Web service server stores a user DB pre-stored in association with a unique user ID and a verification key used for authentication, and Web content storing Web service content data An information DB, an authentication ticket generation unit, an authentication ticket encoding unit, an authentication ticket verification unit, a Web content processing unit, and a Web service server communication unit, the display terminal including a display terminal communication unit, a Web interpretation Unit, a display unit, and a wireless reception unit, the portable terminal, A user ID / secret key storage unit that stores a user ID and a secret key used for authentication in association with each other, an image reading unit, an authentication ticket decoding unit, a signature adding unit, and a wireless transmission unit, (A) The authentication ticket generation unit generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket And storing in the authentication ticket information DB; (b) generating the authentication ticket image information by encoding the authentication ticket by the authentication ticket encoding unit; and (c) the Web service server communication unit. Transmitting image information of the authentication ticket, and (d) the authentication by the display terminal communication unit Receiving the image information of the ticket, (e) displaying the image information of the authentication ticket by the display unit, and (f) the authentication ticket displayed on the display terminal by the image reading unit. A step of reading image information; (g) a step of obtaining an authentication ticket by decoding the image information of the read authentication ticket by the authentication ticket decoding unit; and (h) a user ID by the signature giving unit. The user ID acquired from the private key storage unit and the signature time are added to the authentication ticket, and the authentication ticket added with the user ID and signature time is the authentication acquired from the user ID / private key storage unit. A step of generating an authentication response ticket to which signature information that has been electronically signed using a private key is added, and (i) by the wireless transmission unit, Transmitting the authentication response ticket to the display terminal; and (j) receiving the transmitted authentication response ticket by the wireless reception unit, and transmitting the authentication response ticket to the Web service server by the display terminal communication unit. (K) a step of receiving the transmitted authentication response ticket by the Web service server communication unit; and (l) a use included in the received authentication response ticket by the authentication ticket verification unit. The user DB is searched using a user ID as a key, a verification key associated with the user ID is obtained, the electronic signature is verified using the verification key, and if the signature verification is successful, the reception The authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, and the authentication ticket associated with the authentication ticket ID is searched. When the range information and the expiration date information of the authentication ticket are acquired, the authentication challenge information is the same as the authentication challenge information included in the received authentication response ticket, and the current time is before the expiration date of the authentication ticket The step of determining that the authentication is successful.

また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップであることを特徴とする。   In the Web site login method according to the present invention, the step (c) is a step of transmitting image information of the authentication ticket to the display terminal by the Web service server communication unit, and the step (d) The display terminal communication unit receives image information of the authentication ticket from the Web service server, and the step (e) is a step of displaying the authentication ticket image information on the Web by the display unit. It is characterized by being.

また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示することを特徴とする。   In the website login method according to the present invention, the step (c) is a step of transmitting image information of the authentication ticket to a television station system by the web service server communication unit, and the step (d) The display terminal communication unit receives image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system, and the step (e) includes: Image information is displayed together with the program broadcast.

また、本発明に係るWebサイトログイン方法において、前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、前記ステップ(l)の後に、(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、(n)前記表示部により、前記Webコンテンツを表示するステップと、を含むことを特徴とする。   Also, in the Web site login method according to the present invention, in the step (a), the authentication ticket generation unit generates URL information of a jump destination that is associated with the authentication ticket and that is to be displayed after login. A step of storing in the ticket information DB, and after the step (l), (m) the Web content processing unit acquires jump destination URL information from the authentication ticket information DB, and the Web content information DB Acquiring Web content of a jump destination URL, transmitting the acquired Web content to the display terminal by the Web service server communication unit; and (n) displaying the Web content by the display unit. It is characterized by including.

また、本発明に係るWebサイトログイン方法において、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含むことを特徴とする。   In the Web site login method according to the present invention, the Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time, which are associated with each other. ) Stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and when the user ID and the authentication ticket ID are already stored in the authentication history DB, Updating and storing the number of times of authentication, and updating and storing the final signature time to a signature time included in the received authentication response ticket, wherein the step (l) includes: Access to the authentication history DB and associate with the user ID and authentication ticket ID included in the received authentication response ticket Authentication times and final signature times exist, and the number of times of authentication does not exceed the specified number of times and / or the number of authentications associated with the user ID and authentication ticket ID included in the received authentication response ticket And a step of determining that the authentication is successful when the final signature time exists and the signature time included in the authentication response ticket is later than the final signature time.

さらに、上記課題を解決するため、本発明に係るWebサイトログインシステムは、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有することを特徴とする。   Furthermore, in order to solve the above problems, a website login system according to the present invention includes a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal. In the web site login system, the web service server stores a user DB stored in advance in association with a unique user ID and a verification key used for authentication, and a web content information DB for storing content data of the web service. And an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket, and stored in the authentication ticket information DB And an authentication ticket generation unit that performs the authentication ticket An authentication ticket encoding unit that generates image information of the authentication ticket by encoding, a Web service server communication unit that transmits and receives information to and from the display terminal via a network, and an electronic signature for the authentication ticket acquired from the display terminal An authentication ticket verification unit that verifies the validity of the authentication response ticket that has been made, and a Web content processing unit that acquires Web content from the Web content information DB and transmits the Web content by the Web service server communication unit, and the display terminal Includes a display terminal communication unit that transmits and receives information to and from the Web service server via a network, a Web interpretation unit that has a browser function for interpreting the Web content, and a display that displays image information and the Web content of the authentication ticket. And the authentication response ticket A wireless reception unit that transmits to a Web service server, and the portable terminal is displayed on the display terminal and a user ID / secret key storage unit that associates and stores the user ID and a secret key used for authentication. An image reading unit that reads image information of the authentication ticket, an authentication ticket decoding unit that decodes the read image information of the authentication ticket to acquire an authentication ticket, and a user acquired from the user ID / private key storage unit An ID and a signature time are added to the authentication ticket, and an electronic signature is added to the authentication ticket to which the user ID and the signature time are added using the authentication private key acquired from the user ID / private key storage unit A signature adding unit that adds signature information to generate the authentication response ticket; and a wireless transmission unit that transmits the authentication response ticket to the display terminal. The authentication ticket verification unit searches the user DB using a user ID included in the authentication response ticket as a key, verifies the electronic signature using a verification key associated with the user ID, If the verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, the authentication challenge information associated with the authentication ticket ID and the expiration date information of the authentication ticket are acquired, and the authentication challenge It has means for judging that the authentication is successful when the information is the same as the authentication challenge information included in the authentication response ticket and the current time is before the expiration date of the authentication ticket.

また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有することを特徴とする。   In the Web site login system according to the present invention, the Web service server communication unit includes means for transmitting image information of the authentication ticket to the display terminal, and the display terminal communication unit includes the image of the authentication ticket. It has means for receiving information from the Web service server, and the display unit has means for displaying the image information of the received authentication ticket on the Web.

また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有することを特徴とする。
Further, in the website login system according to the present invention, the web service server communication unit includes means for transmitting image information of the authentication ticket to a television station system,
The display terminal communication unit includes means for receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system, and the display unit receives the image information of the received authentication ticket. It has the means to display with a program broadcast, It is characterized by the above-mentioned.

また、本発明に係るWebサイトログインシステムにおいて、前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有することを特徴とする。   Further, in the Web site login system according to the present invention, the authentication ticket generation unit generates URL information of a jump destination associated with the authentication ticket and desired to be displayed after login, and stores the URL information in the authentication ticket information DB. And the Web content processing unit has means for acquiring jump destination URL information from the authentication ticket information DB and acquiring Web content of the jump destination URL from the Web content information DB. .

また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有することを特徴とする。   In the Web site login system according to the present invention, the Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other, and the Web service server The communication unit stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and when the user ID and the authentication ticket ID are already stored in the authentication history DB. , Updating and storing the number of times of authentication, and updating and storing a final signature time to a signature time included in the received authentication response ticket, and the authentication ticket verification unit accesses the authentication history DB And the user ID included in the received authentication response ticket and the number of authentications associated with the authentication ticket ID, and When a final signing time exists and the number of times of certification does not exceed a specified number of times, and / or the number of authentications and the last signing time associated with the user ID and the authentication ticket ID included in the received authentication response ticket The authentication response ticket includes means for determining that the authentication is successful when the signature time included in the authentication response ticket is later than the final signature time.

本発明によれば、簡単な操作でログインすることができ、かつ、十分なセキュリティ性を確保することができるようになる。   According to the present invention, it is possible to log in with a simple operation and secure sufficient security.

また、現在広く普及している携帯電話とWeb表示端末がほぼ標準的に備えている機能(ハードウェア)のみを利用し、ソフトウェアの追加のみでシステムを構築することが可能であり、実サービスを比較的容易に開始することができるようになる。   In addition, it is possible to build a system only by adding software, using only the functions (hardware) that are almost standardized on mobile phones and Web display terminals that are currently widely used. It becomes possible to start relatively easily.

本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。It is a block diagram which shows the outline of the website login system of one Example by this invention. 本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the website login system of one Example by this invention. 本発明による一実施例の認証チケット情報DBに格納される情報を示す図である。It is a figure which shows the information stored in authentication ticket information DB of one Example by this invention. 本発明による一実施例の利用者DBに格納される情報を示す図である。It is a figure which shows the information stored in user DB of one Example by this invention. 本発明による一実施例の認証チケットデータ及び認証応答チケットデータの構成を示す図である。It is a figure which shows the structure of the authentication ticket data and authentication response ticket data of one Example by this invention. 本発明による一実施例のWebサイトログイン方法を示すフローチャートである。3 is a flowchart illustrating a website login method according to an embodiment of the present invention. 本発明による一実施例の認証履歴DBに格納される情報を示す図である。It is a figure which shows the information stored in authentication log | history DB of one Example by this invention.

[Webサイトログインシステムの構成]
図1は、本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。Webサイトログインシステム1は、Webサービスサーバ11と、Web表示端末12と、携帯端末13とを備え、Webサービスサーバ11とWeb表示端末12とは、ネットワーク14を介して接続されている。ネットワーク14は、インターネットなどのWANである。
[Web site login system configuration]
FIG. 1 is a block diagram showing an outline of a website login system according to an embodiment of the present invention. The website login system 1 includes a web service server 11, a web display terminal 12, and a mobile terminal 13, and the web service server 11 and the web display terminal 12 are connected via a network 14. The network 14 is a WAN such as the Internet.

Webサービスサーバ11は、Webサービスを提供可能なサーバである。   The web service server 11 is a server that can provide a web service.

Web表示端末12は、ネットワーク14経由でWebサービスサーバ11にアクセスする機能と、無線(赤外線又は電波)でデータ受信する機能を有する機器である。例えば、ネットワーク接続機能とネットワークのWebブラウザ機能と赤外線受信機能とを装備した家庭用デジタルテレビやパーソナルコンピュータ(PC)である。   The Web display terminal 12 is a device having a function of accessing the Web service server 11 via the network 14 and a function of receiving data wirelessly (infrared rays or radio waves). For example, a home digital television or personal computer (PC) equipped with a network connection function, a network Web browser function, and an infrared reception function.

携帯端末13は、無線(赤外線又は電波)でデータを送信する機能を有する、Webサイトのログイン認証に使用される機器である。例えば、2次元バーコード読み取り機能と赤外線送信機能を有するカメラ付きの携帯電話である。利用者Uは、Web表示端末12に表示される認証用の画像データを携帯端末13を用いて読み取り、携帯端末13によって生成された認証応答用のデータを無線でWeb表示端末12に送信する。なお、携帯端末として携帯電話を用いた場合でも、本システムのログイン方法は携帯電話網と接続する必要が無いため、電波の届かない場所でも利用することが可能であり、電話料金も発生しない。   The mobile terminal 13 is a device used for Web site login authentication, which has a function of transmitting data wirelessly (infrared rays or radio waves). For example, a camera-equipped mobile phone having a two-dimensional barcode reading function and an infrared transmission function. The user U reads the authentication image data displayed on the Web display terminal 12 using the mobile terminal 13 and transmits the authentication response data generated by the mobile terminal 13 to the Web display terminal 12 wirelessly. Even when a mobile phone is used as the mobile terminal, the log-in method of the present system does not need to be connected to the mobile phone network, so it can be used even in a place where radio waves do not reach, and no telephone charges are incurred.

図2は、本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。Webサービスサーバ11は、制御部111と、通信部112と、認証チケット情報DB113と、利用者DB114と、Webコンテンツ情報DB115とを備える。Webサービスサーバ11がテレビ局システム15を介して情報をWeb表示端末12に送信する場合には、さらに番組挿入部116を備え、テレビ局システム15は番組挿入部116から送信される情報を番組に挿入してWeb表示端末12に送信する。   FIG. 2 is a block diagram showing a configuration of a website login system according to an embodiment of the present invention. The Web service server 11 includes a control unit 111, a communication unit 112, an authentication ticket information DB 113, a user DB 114, and a Web content information DB 115. When the Web service server 11 transmits information to the Web display terminal 12 via the TV station system 15, the Web service server 11 further includes a program insertion unit 116, and the TV station system 15 inserts information transmitted from the program insertion unit 116 into the program. To the Web display terminal 12.

認証チケット情報DB113は、図3に示すように、認証チケットを一意に示す番号で構成された認証チケットIDと、認証チケットの有効期限情報と、認証チャレンジ情報と、ログイン後に表示させたいURL(ジャンプ先URL)の情報と、認証チケット生成時刻情報との組み合わせを1レコードとして格納する。このうち、認証チケットIDと、認証チケットの有効期限と、認証チャレンジ情報からなり、Web表示端末12に表示される情報を、認証チケットという。図5(a)は、認証チケットデータの一例を示す図である。なお、ジャンプ先URLの情報は必須ではないが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。   As shown in FIG. 3, the authentication ticket information DB 113 includes an authentication ticket ID composed of a number uniquely indicating an authentication ticket, expiration date information of the authentication ticket, authentication challenge information, and a URL (jump to be displayed after login). The combination of the information of (destination URL) and the authentication ticket generation time information is stored as one record. Among these, the information displayed on the Web display terminal 12 including the authentication ticket ID, the expiration date of the authentication ticket, and the authentication challenge information is referred to as an authentication ticket. FIG. 5A is a diagram illustrating an example of the authentication ticket data. Information on the jump destination URL is not essential, but by providing a URL jump, even if the user does not enter the URL, the service provider can automatically jump to the desired URL and use it for necessary services. Person can be guided.

利用者DB114は、図4に示すように、利用者ごとに割り振られた利用者IDと、認証で使用する検証用鍵と、利用者の属性情報(利用者名など)との組み合わせを1レコードとして格納する。検証用鍵は公開鍵暗号を使用した認証の時には、公開鍵暗号の公開鍵を、共通鍵暗号を使用したときの認証の時には共通鍵を使用する。   As shown in FIG. 4, the user DB 114 records one combination of a user ID assigned to each user, a verification key used for authentication, and user attribute information (user name, etc.). Store as. The verification key uses a public key of the public key encryption at the time of authentication using the public key encryption, and a common key at the time of authentication when the common key encryption is used.

Webコンテンツ情報DB115は、Webサービスのコンテンツデータを格納する。   The Web content information DB 115 stores Web service content data.

番組挿入部116は、認証チケットをテレビ局システム15に送信する。   The program insertion unit 116 transmits the authentication ticket to the television station system 15.

制御部111は、処理要求制御部1111と、認証チケット生成部1112と、認証チケットエンコード部1113と、認証チケット検証部1114と、Webコンテンツ処理部1115とを備える。   The control unit 111 includes a processing request control unit 1111, an authentication ticket generation unit 1112, an authentication ticket encoding unit 1113, an authentication ticket verification unit 1114, and a Web content processing unit 1115.

処理要求制御部1111は、通信部112から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。   The processing request control unit 1111 performs control so that necessary functions are executed in a necessary order using information input from the communication unit 112 and processing results of the respective processing units as a trigger.

認証チケット生成部1112は、乱数などにより、一意の認証チケットIDを生成し、属性情報とともに、認証チケット情報DB113に格納する。さらに、認証後にジャンプするURLの情報を認証チケット情報DB113に格納することも可能である。   The authentication ticket generation unit 1112 generates a unique authentication ticket ID using a random number or the like, and stores it in the authentication ticket information DB 113 together with attribute information. Furthermore, it is also possible to store in the authentication ticket information DB 113 information on URLs that jump after authentication.

認証チケットエンコード部1113は、認証チケット情報DB113から取得した認証チケットをエンコードして2次元バーコードなどの画像情報を作成した後、通信部112に出力するか、又は番組挿入部116に出力する。通信部112に出力した場合には、ネットワーク14経由でWeb表示端末12に送信し、番組挿入部116に出力した場合には、テレビ局システム15経由でWeb表示端末12に送信する。   The authentication ticket encoding unit 1113 encodes the authentication ticket acquired from the authentication ticket information DB 113 to create image information such as a two-dimensional barcode, and then outputs the image information to the communication unit 112 or the program insertion unit 116. When output to the communication unit 112, it is transmitted to the Web display terminal 12 via the network 14, and when output to the program insertion unit 116, it is transmitted to the Web display terminal 12 via the television station system 15.

認証チケット検証部1114は、通信部112から入力される認証応答チケットに含まれる署名時刻と現在時刻を比較し、規定時間以内であるかをチェックする。認証応答チケットについては後述する。規定時間以内である場合には、認証チケットIDを認証チケット情報DB113の内容と照合する。照合が成功したら、認証応答チケットに含まれる利用者IDを利用者DB114と照合する。照合が成功したら、利用者DB114の利用者IDに関連付けられた検証用鍵を使用して、認証応答チケットに含まれる署名情報を検証する。検証に成功したらWebサービスのログイン認証をする。   The authentication ticket verification unit 1114 compares the signature time included in the authentication response ticket input from the communication unit 112 with the current time, and checks whether it is within the specified time. The authentication response ticket will be described later. If it is within the specified time, the authentication ticket ID is checked against the contents of the authentication ticket information DB 113. If the verification is successful, the user ID included in the authentication response ticket is verified with the user DB 114. If the verification is successful, the signature information included in the authentication response ticket is verified using the verification key associated with the user ID in the user DB 114. If the verification is successful, login authentication of the Web service is performed.

Webコンテンツ処理部1115は、Webコンテンツ情報DB115からWebコンテンツを取得し、必要ならばWeb表示端末12で表示できる形に変換した上で、通信部112経由で出力する。ログイン認証後に認証チケット情報DB113に格納されたジャンプ先URLを取得し、ジャンプ先URLにジャンプさせることも可能である。   The web content processing unit 1115 acquires web content from the web content information DB 115, converts it into a form that can be displayed on the web display terminal 12 if necessary, and outputs it via the communication unit 112. It is also possible to acquire a jump destination URL stored in the authentication ticket information DB 113 after login authentication and jump to the jump destination URL.

通信部112は、ネットワーク14を介してWeb表示端末12と情報を送受信する。通信部112は、受信データ処理部1121と、送信データ処理部1122とを備える。   The communication unit 112 transmits and receives information to and from the Web display terminal 12 via the network 14. The communication unit 112 includes a reception data processing unit 1121 and a transmission data processing unit 1122.

受信データ処理部1121は、ネットワーク14経由でWeb表示端末12から情報を取得して、受信データを適切な形式に変換する。   The reception data processing unit 1121 acquires information from the Web display terminal 12 via the network 14 and converts the reception data into an appropriate format.

送信データ処理部1122は、情報を適切な形式に変換してネットワーク14経由でWeb表示端末12に出力する。   The transmission data processing unit 1122 converts the information into an appropriate format and outputs it to the Web display terminal 12 via the network 14.

Web表示端末12は、制御部121と、通信部122と、Web解釈部123と、表示部124と、赤外線受信部125とを備える。   The web display terminal 12 includes a control unit 121, a communication unit 122, a web interpretation unit 123, a display unit 124, and an infrared reception unit 125.

制御部121は、通信部122から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。   The control unit 121 performs control so that necessary functions are executed in a necessary order using information input from the communication unit 122 and processing results of the respective processing units as a trigger.

通信部122は、ネットワーク14を介してWebサービスサーバ11と情報を送受信する。   The communication unit 122 transmits / receives information to / from the Web service server 11 via the network 14.

Web解釈部123は、通信部122から受信したWebコンテンツデータを解釈するブラウザ機能を有し、Webコンテンツデータを表示部124に表示させる。   The web interpretation unit 123 has a browser function for interpreting the web content data received from the communication unit 122 and causes the display unit 124 to display the web content data.

表示部124は、テレビ局システム15から配信されるテレビ番組や、Webサービスサーバ11から配信されるWebコンテンツを表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、Web表示端末12に限定されるものではなく、表示部124の機能を有する他の機器(PCやTVなど)に表示させることも可能である。よって、Web表示端末と、表示部124の機能を有する他の機器とを総称したものを「表示端末」と定義し、本実施例では、表示端末がWeb表示端末12のみの場合について説明する。   The display unit 124 displays TV programs distributed from the TV station system 15 and Web contents distributed from the Web service server 11. When the image information of the authentication ticket is received from the Web service server 11, the image information of the received authentication ticket is displayed on the Web, and the image information of the authentication ticket is received in conjunction with the program information downloaded from the TV station system 15. In such a case, the image information of the received authentication ticket is displayed together with the program broadcast. Note that the display location of the authentication ticket image information is not limited to the Web display terminal 12, and can be displayed on another device (such as a PC or a TV) having the function of the display unit 124. Therefore, a generic term for the Web display terminal and other devices having the function of the display unit 124 is defined as “display terminal”, and in this embodiment, a case where the display terminal is only the Web display terminal 12 will be described.

赤外線受信部125は、携帯端末13から赤外線でデータを受信する。なお、赤外線の代わりに電波で受信してもよい。   The infrared receiving unit 125 receives data from the mobile terminal 13 using infrared rays. Note that radio waves may be received instead of infrared rays.

携帯端末13は、制御部131と、認証チケットデコード部132と、署名付与部133と、利用者ID・秘密鍵格納部134と、画像読み取り部135と、赤外線送信部136とを備える。   The portable terminal 13 includes a control unit 131, an authentication ticket decoding unit 132, a signature adding unit 133, a user ID / secret key storage unit 134, an image reading unit 135, and an infrared transmission unit 136.

制御部131は、利用者の操作や、各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する   The control unit 131 performs control so that necessary functions are executed in a necessary order using a user operation or a processing result of each processing unit as a trigger.

利用者ID・秘密鍵格納部134は、Webサービスサーバ11の利用者DB114に格納された利用者IDと対応付けられた利用者IDを予め格納する。また、利用者が署名に使用する認証用秘密鍵も予め格納する。公開鍵暗号方式を使用する場合には、公開鍵暗号の秘密鍵を使用し、共通鍵暗号方式の場合には共通鍵を使用する。この秘密鍵は、Webサービスサーバ11の利用者DB114に格納された、利用者ID・秘密鍵格納部134に格納された利用者IDと同一の利用者IDの検証鍵に対応づけられたものである。   The user ID / private key storage unit 134 stores in advance a user ID associated with the user ID stored in the user DB 114 of the Web service server 11. Also, an authentication private key used for signature by the user is stored in advance. When using a public key cryptosystem, a public key cryptography private key is used, and when using a common key cryptosystem, a common key is used. This secret key is associated with a verification key having the same user ID as the user ID stored in the user ID / secret key storage unit 134 stored in the user DB 114 of the Web service server 11. is there.

画像読み取り部135は、Web表示端末12の表示部124に表示された、エンコードされた画像を読み込み、認証チケットデコード部132に出力する。   The image reading unit 135 reads an encoded image displayed on the display unit 124 of the Web display terminal 12 and outputs the encoded image to the authentication ticket decoding unit 132.

認証チケットデコード部132は、画像読み取り部135から入力されるエンコードされた画像をデコードして認証チケットを取得し、署名付与部133に出力する。   The authentication ticket decoding unit 132 acquires the authentication ticket by decoding the encoded image input from the image reading unit 135, and outputs the authentication ticket to the signature adding unit 133.

署名付与部133は、認証チケットデコード部132から入力される認証チケットに利用者IDの情報とともに、電子署名で署名を付与する。高セキュリティを確保したい場合は、署名を付与する動作はUSIM(Universal Subscriber Identity Module)などの耐タンパデバイス中で実行するのが好適である。   The signature assigning unit 133 assigns a signature with an electronic signature to the authentication ticket input from the authentication ticket decoding unit 132 together with the user ID information. When it is desired to ensure high security, it is preferable to execute the operation for assigning a signature in a tamper-resistant device such as a USIM (Universal Subscriber Identity Module).

赤外線送信部136は、Web表示端末12に赤外線でデータを送信する。なお、赤外線の代わりに電波で送信してもよい。   The infrared transmission unit 136 transmits data to the Web display terminal 12 using infrared rays. Note that radio waves may be transmitted instead of infrared rays.

[Webサイトログイン方法]
次に、本発明によるWebサイトログイン方法について説明する。図6は、本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
[Website login method]
Next, a website login method according to the present invention will be described. FIG. 6 is a flowchart illustrating a website login method according to an embodiment of the present invention.

Webサイトログインシステムは、予め利用者にユニークな利用者IDを払い出し、それに対応して、認証に使用する公開鍵暗号方式の公開鍵及び秘密鍵を生成する。Webサービスサーバ11には、利用者ID及び認証に使用する公開鍵を関連付けて利用者DB114に格納しておき、携帯端末13には利用者ID及び認証に使用する秘密鍵を(ネットワークなどでダウンロードして)利用者ID・秘密鍵格納部134に格納しておく。利用者DB114には、Webサービス提供に必要な利用者属性情報(住所氏名年齢性別など)を併せて格納しても良い。   The website login system pays out a unique user ID to the user in advance, and correspondingly generates a public key and a secret key of a public key cryptosystem used for authentication. The Web service server 11 stores the user ID and the public key used for authentication in the user DB 114 in association with each other, and the mobile terminal 13 downloads the user ID and the secret key used for authentication (via a network or the like). And stored in the user ID / private key storage unit 134. The user DB 114 may also store user attribute information (such as address, name, age and gender) necessary for providing the Web service.

ステップS101では、Webサービスサーバ11の認証チケット生成部1112により、認証チケットとして、システムでユニークな認証チケットIDと、十分な長さの乱数などを元にした類推の困難な認証チャレンジ情報と、認証チケットの有効期限とを生成し、認証チケット情報DB113に格納する。さらに、認証チケットの生成時刻情報と、認証成功時にWeb画面に表示するジャンプ先URL情報を生成し、認証チケット情報DB113に格納する。   In step S101, the authentication ticket generation unit 1112 of the Web service server 11 uses an authentication ticket ID that is unique in the system as an authentication ticket, authentication challenge information that is difficult to guess based on a sufficiently long random number, and the like. A ticket expiration date is generated and stored in the authentication ticket information DB 113. Further, authentication ticket generation time information and jump destination URL information to be displayed on the Web screen when authentication is successful are generated and stored in the authentication ticket information DB 113.

ステップS102では、Webサービスサーバ11の認証チケットエンコード部1113により、認証チケットをエンコードして2次元バーコードの画像情報を生成する。   In step S102, the authentication ticket encoding unit 1113 of the Web service server 11 encodes the authentication ticket to generate two-dimensional barcode image information.

ステップS103では、Webサービスサーバ11の送信データ処理部1122により、2次元バーコードに変換した認証チケットの画像をWebブラウザで表示できる形式(htmlやflashなど)に変換し、Web表示端末13に送信する。または、テレビ局システム15に送信してテレビ番組に挿入するよう設定する。   In step S103, the transmission data processing unit 1122 of the Web service server 11 converts the authentication ticket image converted into the two-dimensional barcode into a format (html, flash, etc.) that can be displayed on the Web browser, and transmits it to the Web display terminal 13. To do. Alternatively, it is set to be transmitted to the television station system 15 and inserted into the television program.

ステップS104では、Web表示端末12の通信部122により、認証チケットの画像情報を受信し、表示部124(Web画面又はテレビ番組画面)により、2次元バーコードの認証チケット画像を表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、表示部124に限定されるものではなく、他のPCやTVなどの表示端末の表示部に表示させることも可能である。   In step S104, authentication ticket image information is received by the communication unit 122 of the Web display terminal 12, and a two-dimensional barcode authentication ticket image is displayed by the display unit 124 (Web screen or television program screen). When the image information of the authentication ticket is received from the Web service server 11, the image information of the received authentication ticket is displayed on the Web, and the image information of the authentication ticket is received in conjunction with the program information downloaded from the TV station system 15. In such a case, the image information of the received authentication ticket is displayed together with the program broadcast. Note that the display location of the image information of the authentication ticket is not limited to the display unit 124, but can be displayed on the display unit of another display terminal such as a PC or TV.

ステップS105では、携帯端末13の画像読み取り部135により、Web表示端末12に表示された2次元バーコードの認証チケット画像を読み取り、認証チケットデコード部132により、該読み取った画像をデコードして認証チケットを取得する。   In step S105, the image reading unit 135 of the portable terminal 13 reads the two-dimensional barcode authentication ticket image displayed on the Web display terminal 12, and the authentication ticket decoding unit 132 decodes the read image to authenticate the ticket. To get.

ステップS106では、携帯端末13の署名付与部133により、利用者ID・秘密鍵格納部134から取得した利用者ID、及び署名時刻を認証チケットに付加し、これにハッシュ値を求めて認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成する。ハッシュ値に電子署名する動作は、携帯電話の耐タンパデバイスであるUSIM中で実行するのが好適である。   In step S106, the signature assigning unit 133 of the portable terminal 13 adds the user ID and the signature time acquired from the user ID / private key storage unit 134 to the authentication ticket, and obtains a hash value for the authentication ticket to authenticate the user. An authentication response ticket to which signature information that has been digitally signed using a private key is added is generated. The operation of digitally signing the hash value is preferably executed in the USIM that is a tamper resistant device of the mobile phone.

ステップS107では、携帯端末13の赤外線送信部136により、認証応答チケットをWeb表示端末12に赤外線で送信する。   In step S <b> 107, the infrared transmission unit 136 of the mobile terminal 13 transmits an authentication response ticket to the Web display terminal 12 by infrared.

ステップS108では、Web表示端末12の赤外線受信部125により、携帯端末13から赤外線で送信された認証応答チケットを受信し、通信部122により、認証応答チケットをネットワーク14経由でWebサービスサーバ11に送信する。   In step S108, the infrared receiving unit 125 of the Web display terminal 12 receives the authentication response ticket transmitted from the portable terminal 13 by infrared, and the communication unit 122 transmits the authentication response ticket to the Web service server 11 via the network 14. To do.

ステップS109では、Webサービスサーバ11の受信データ処理部1121により、Web表示端末12から送信される認証応答チケットを受信する。   In step S109, the reception data processing unit 1121 of the Web service server 11 receives the authentication response ticket transmitted from the Web display terminal 12.

ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証応答チケットに含まれる利用者IDをキーに利用者DB114を検索して利用者を識別し、利用者DB114に予め登録されている公開鍵を用いて電子署名を検証することにより、利用者の本人性を確認する。署名検証が成功したら、認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DB113を検索し、認証チケットを特定する。認証応答チケットに含まれる認証チャレンジ情報が認証チケット情報DB113に登録された認証チャレンジ情報と同じであることを確認することにより、認証応答チケットの正当性を確認し、さらに認証チケット情報DB113に登録されている認証チケット有効期限と現在時刻とを照合し、認証チケットの有効性を確認する。以上全てが確認できたら該当利用者のログインを成功させる。なお、確認する順番は問わない。   In step S110, the authentication ticket verification unit 1114 of the Web service server 11 searches the user DB 114 using the user ID included in the authentication response ticket as a key to identify the user, and is registered in the user DB 114 in advance. The identity of the user is confirmed by verifying the electronic signature using the public key. If the signature verification is successful, the authentication ticket information DB 113 is searched using the authentication ticket ID included in the authentication response ticket as a key, and the authentication ticket is specified. By confirming that the authentication challenge information included in the authentication response ticket is the same as the authentication challenge information registered in the authentication ticket information DB 113, the authenticity of the authentication response ticket is confirmed, and further registered in the authentication ticket information DB 113. The validity of the authentication ticket is checked by comparing the authentication ticket expiration date and the current time. If all of the above are confirmed, the user can successfully log in. The order of confirmation does not matter.

Webサービスサーバ11は、さらに認証履歴DBを備え、利用者から認証応答チケットを受信するたび、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納するようにすることもできる。図7は、認証履歴DBに格納される情報の例を示す図である。認証履歴DBを備える場合には、ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証履歴DBにアクセスし、利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在する場合には、送付回数が規定回数を上回っていないこと、及び/又は、認証応答チケットに含まれる署名時刻が最終署名時刻より後であることを確認する。   The Web service server 11 further includes an authentication history DB, and can store a user ID, an authentication ticket ID, an authentication count, and a final signature time each time an authentication response ticket is received from a user. FIG. 7 is a diagram illustrating an example of information stored in the authentication history DB. When the authentication history DB is provided, in step S110, the authentication ticket verification unit 1114 of the Web service server 11 accesses the authentication history DB, and the number of authentications and the last signature time associated with the user ID and the authentication ticket ID are obtained. If it exists, it is confirmed that the number of times of sending does not exceed the specified number of times and / or that the signature time included in the authentication response ticket is later than the last signature time.

ステップS111では、Webサービスサーバ11のWebコンテンツ処理部1115により、認証チケット情報DB113からジャンプ先URLの情報を取得する。なお、URLのジャンプを提供せず、ログイン認証のみでも使用することが可能であるが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。   In step S111, the Web content processing unit 1115 of the Web service server 11 acquires jump destination URL information from the authentication ticket information DB 113. Although it is possible to use only login authentication without providing a URL jump, by providing a URL jump, the service provider can automatically use the URL desired by the user without entering the URL. Jump to the desired service and guide the user to the required service.

ステップS112では、Webサービスサーバ11のWebコンテンツ処理部1115により、Webコンテンツ情報DB115からジャンプ先URLのWebコンテンツを取得する。   In step S112, the web content processing unit 1115 of the web service server 11 acquires the web content of the jump destination URL from the web content information DB 115.

ステップS113では、Web表示端末12のWeb解釈部123により、Webサービスサーバ11から送出された該当ページを解釈し、表示部124により表示する。利用者認証が既に終了しているので、利用者は直ちに会員向けサービスを利用することができる。   In step S113, the web interpretation unit 123 of the web display terminal 12 interprets the corresponding page sent from the web service server 11 and displays it on the display unit 124. Since user authentication has already been completed, the user can immediately use the service for members.

ここで、本発明に係るWebサーバ11、Web端末12、及び携帯端末13をコンピュータで構成することも可能である。この場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。   Here, the Web server 11, the Web terminal 12, and the portable terminal 13 according to the present invention can be configured by a computer. In this case, a program describing processing contents for realizing each function is stored in an internal or external storage unit of the computer, and the program is read and executed by a central processing unit (CPU) of the computer. Can be realized. In addition, such a program can be distributed by selling, transferring, or lending a portable recording medium such as a DVD or a CD-ROM, and such a program is stored in a storage unit of a server on a network, for example. And the program can be distributed by transferring the program from the server to another computer via the network. In addition, a computer that executes such a program can temporarily store, for example, a program recorded on a portable recording medium or a program transferred from a server in its own storage unit. As another embodiment of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and each time the program is transferred from the server to the computer. In addition, the processing according to the received program may be executed sequentially.

本発明によれば、電子署名を付与した認証チケットを他者が入手したとしても、Webサービスサーバ11が認証チケットをログインのたびに変更し、且つ認証チケットの有効期限を検証することにより、不正なログイン要求を排除することができる。また、Webサービスサーバ11は、認証応答チケットに付与された電子署名を検証することにより、予め登録された携帯端末を保持していない他者からのログインを排除することができる。   According to the present invention, even if another person obtains an authentication ticket with an electronic signature, the Web service server 11 changes the authentication ticket every time it logs in, and verifies the expiration date of the authentication ticket. Login requests can be eliminated. In addition, the Web service server 11 can eliminate logins from other persons who do not hold a pre-registered mobile terminal by verifying the electronic signature given to the authentication response ticket.

さらに、本発明は、Webサービスサーバ11から発行される認証チケットは利用者に関連付けられず、サービス(ジャンプ先URL)にのみ関連づけられるため、不特定多数の利用者が同一の認証チケットを利用することが可能である。このため、認証チケットをHPに掲載したり、地デジのデータ放送などのマスメディアを使って配布したりすることが可能となり、テレビ番組と連動するなど、様々な応用サービスへの展開が可能となる。なお、不特定多数の利用者が容易に認証チケットを入手できるため、利用者特定を確実に実施する必要があり、そのため耐タンパデバイスにより電子署名を行なうことが好適である。   Further, according to the present invention, since the authentication ticket issued from the Web service server 11 is not associated with the user but only associated with the service (jump destination URL), an unspecified number of users use the same authentication ticket. It is possible. For this reason, authentication tickets can be posted on HP or distributed using mass media such as terrestrial digital data broadcasting, and can be expanded to various application services such as linking with TV programs. Become. In addition, since an unspecified number of users can easily obtain an authentication ticket, it is necessary to reliably specify the user. Therefore, it is preferable to perform an electronic signature using a tamper resistant device.

上述の実施例は、代表的な例として説明したが、本発明の趣旨及び範囲内で、多くの変更及び置換ができることは当業者に明らかである。従って、本発明は、上述の実施例によって制限するものと解するべきではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば、利用者ID・秘密鍵格納部134に格納管理される利用者IDと秘密鍵の情報は不正に利用されないよう厳重に管理する必要があるため、携帯端末13としてUSIMを内蔵する携帯電話を用いることも可能である。USIM起動時にPIN(Personal Identity Number)コードを入力するように設定すれば、仮に悪意の第三者が携帯電話を入手したとしても、USIMを利用することは非常に困難であり、なりすましを防止することができる。   Although the above embodiments have been described as representative examples, it will be apparent to those skilled in the art that many changes and substitutions can be made within the spirit and scope of the invention. Therefore, the present invention should not be construed as being limited by the above-described embodiments, and various modifications and changes can be made without departing from the scope of the claims. For example, since the user ID and secret key information stored and managed in the user ID / private key storage unit 134 must be strictly managed so as not to be used illegally, a mobile phone with a built-in USIM is used as the mobile terminal 13. It is also possible to use it. If it is set to enter a PIN (Personal Identity Number) code at the time of USIM startup, even if a malicious third party obtains a mobile phone, it is very difficult to use USIM and prevent impersonation. be able to.

このように、本発明によれば、ネットワークに接続されたWebサイトにログインする際に、携帯端末を用いてログイン認証する任意の用途に有用である。   As described above, according to the present invention, when logging in to a Web site connected to a network, the present invention is useful for any application for performing login authentication using a mobile terminal.

1 Webサイトログインシステム
11 Webサービスサーバ
12 Web表示端末
13 携帯端末
14 ネットワーク
15 テレビ局システム
111 制御部
112 通信部
113 認証チケット情報DB
114 利用者DB
115 Webコンテンツ情報DB
116 番組挿入部
121 制御部
122 通信部
123 Web解釈部
124 表示部
125 赤外線受信部
131 制御部
132 認証チケットデコード部
133 署名付与部
134 利用者ID・秘密鍵格納部
135 画像読み取り部
136 赤外線送信部
1111 処理要求制御部
1112 認証チケット生成部
1113 認証チケットエンコード部
1114 認証チケット検証部
1115 Webコンテンツ処理部
1121 受信データ処理部
1122 送信データ処理部
DESCRIPTION OF SYMBOLS 1 Web site login system 11 Web service server 12 Web display terminal 13 Portable terminal 14 Network 15 Television station system 111 Control part 112 Communication part 113 Authentication ticket information DB
114 User DB
115 Web content information DB
116 Program Insertion Unit 121 Control Unit 122 Communication Unit 123 Web Interpretation Unit 124 Display Unit 125 Infrared Receiving Unit 131 Control Unit 132 Authentication Ticket Decoding Unit 133 Signature Assignment Unit 134 User ID / Secret Key Storage Unit 135 Image Reading Unit 136 Infrared Transmission Unit 1111 Processing Request Control Unit 1112 Authentication Ticket Generation Unit 1113 Authentication Ticket Encoding Unit 1114 Authentication Ticket Verification Unit 1115 Web Content Processing Unit 1121 Reception Data Processing Unit 1122 Transmission Data Processing Unit

Claims (10)

Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、
前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、
(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、
(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、
(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、
(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、
(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、
(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、
(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、
(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、
(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、
(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、
(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、
(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、
を含むことを特徴とするWebサイトログイン方法。
A website login method in a system comprising a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal,
The Web service server includes a user DB stored in advance in association with a unique user ID and a verification key used for authentication, a Web content information DB storing content data of the Web service, an authentication ticket generating unit, An authentication ticket encoding unit, an authentication ticket verification unit, a Web content processing unit, and a Web service server communication unit;
The display terminal includes a display terminal communication unit, a Web interpretation unit, a display unit, and a wireless reception unit,
The portable terminal includes a user ID / private key storage unit that associates and stores the user ID and a secret key used for authentication, an image reading unit, an authentication ticket decoding unit, a signature adding unit, a wireless transmission unit, With
(A) The authentication ticket generation unit generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket And storing it in the authentication ticket information DB;
(B) The authentication ticket encoding unit generates the authentication ticket image information by encoding the authentication ticket;
(C) transmitting image information of the authentication ticket by the Web service server communication unit;
(D) receiving image information of the authentication ticket by the display terminal communication unit;
(E) displaying the image information of the authentication ticket by the display unit;
(F) reading image information of the authentication ticket displayed on the display terminal by the image reading unit;
(G) Decoding image information of the read authentication ticket by the authentication ticket decoding unit to obtain an authentication ticket;
(H) The signature giving unit adds the user ID and the signature time acquired from the user ID / private key storage unit to the authentication ticket, and adds the user ID and the signature time to the authentication ticket. Generating an authentication response ticket to which signature information that has been digitally signed using a secret key for authentication acquired from the user ID / private key storage unit is added;
(I) transmitting the authentication response ticket to the display terminal by the wireless transmission unit;
(J) receiving the transmitted authentication response ticket by the wireless reception unit, and transmitting the authentication response ticket to the Web service server by the display terminal communication unit;
(K) receiving the transmitted authentication response ticket by the Web service server communication unit;
(L) The authentication ticket verification unit searches the user DB using a user ID included in the received authentication response ticket as a key, acquires a verification key associated with the user ID, and performs the verification The electronic signature is verified using the key for authentication, and if the signature verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the received authentication response ticket as a key, and the authentication challenge associated with the authentication ticket ID Information and the expiration date information of the authentication ticket, the authentication challenge information is the same as the authentication challenge information included in the received authentication response ticket, and the current time is before the expiration date of the authentication ticket Determining authentication is successful;
A Web site login method comprising:
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
The step (c) is a step of transmitting image information of the authentication ticket to the display terminal by the Web service server communication unit.
The step (d) is a step of receiving image information of the authentication ticket from the Web service server by the display terminal communication unit,
The method of claim 1, wherein the step (e) is a step of displaying the image information of the authentication ticket on the web by the display unit.
前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。
The step (c) is a step of transmitting image information of the authentication ticket to the television station system by the Web service server communication unit,
The step (d) is a step of receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system by the display terminal communication unit,
The method of claim 1, wherein the step (e) is a step of displaying the image information of the authentication ticket together with the program broadcast on the display unit.
前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、
前記ステップ(l)の後に、
(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、
(n)前記表示部により、前記Webコンテンツを表示するステップと、
を含むことを特徴とする、請求項1から3のいずれか一項に記載のWebサイトログイン方法。
The step (a) includes a step of generating, by the authentication ticket generation unit, URL information of a jump destination associated with the authentication ticket that is to be displayed after login and storing the URL information in the authentication ticket information DB;
After step (l),
(M) The Web content processing unit acquires jump destination URL information from the authentication ticket information DB, acquires the jump destination URL Web content from the Web content information DB, and the Web service server communication unit Transmitting the acquired web content to the display terminal;
(N) displaying the web content by the display unit;
The Web site login method according to claim 1, further comprising:
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、
前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含む
ことを特徴とする、請求項1から4のいずれか一項に記載のWebサイトログイン方法。
The Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other,
The step (k) stores the user ID and authentication ticket ID included in the received authentication response ticket in the authentication history DB, and the user ID and authentication ticket ID are already stored in the authentication history DB. And updating and storing the number of authentications, and updating and storing the final signature time to a signature time included in the received authentication response ticket,
In the step (l), the authentication ticket verification unit accesses the authentication history DB, and the user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID exist. When the number of times of authentication does not exceed a specified number of times and / or there is a user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID. 5. The Web site login method according to claim 1, further comprising a step of determining that the authentication is successful when the signature time included in the response ticket is later than the final signature time.
Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、
Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、
ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、
前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、
ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、
前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、
前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、
前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、
前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、
前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、
前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、
前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、
前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、
前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、
前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、
前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有する
ことを特徴とするWebサイトログインシステム。
A website login system comprising a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal,
The Web service server includes a user DB stored in advance in association with a unique user ID and a verification key used for authentication;
A Web content information DB for storing Web service content data;
Authentication that generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket, and stores it in the authentication ticket information DB A ticket generator,
An authentication ticket encoding unit that encodes the authentication ticket to generate image information of the authentication ticket;
A web service server communication unit that transmits and receives information to and from the display terminal via a network;
An authentication ticket verification unit that verifies the authenticity of the authentication response ticket obtained from the display terminal and having an electronic signature on the authentication ticket;
A Web content processing unit that acquires Web content from the Web content information DB and causes the Web service server communication unit to transmit the Web content,
The display terminal includes a display terminal communication unit that transmits and receives information to and from the Web service server via a network;
A web interpretation unit having a browser function for interpreting the web content;
A display unit for displaying the image information of the authentication ticket and the Web content;
A wireless receiver that transmits the authentication response ticket to the Web service server,
The portable terminal includes a user ID / secret key storage unit that stores the user ID and a secret key used for authentication in association with each other;
An image reading unit for reading image information of the authentication ticket displayed on the display terminal;
An authentication ticket decoding unit that acquires the authentication ticket by decoding the image information of the read authentication ticket;
The user ID and the signature time acquired from the user ID / private key storage unit are added to the authentication ticket, and the user ID / secret key storage unit adds the user ID and the signature time to the authentication ticket. A signature attaching unit that generates signature authentication ticket by adding signature information that is digitally signed using the acquired authentication private key;
A wireless transmission unit for transmitting the authentication response ticket to the display terminal,
The authentication ticket verification unit searches the user DB using a user ID included in the authentication response ticket as a key, verifies the electronic signature using a verification key associated with the user ID, If the verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, the authentication challenge information associated with the authentication ticket ID and the expiration date information of the authentication ticket are acquired, and the authentication challenge Web site login characterized in that it has means for judging that authentication is successful when the information is the same as the authentication challenge information included in the authentication response ticket and the current time is before the expiration date of the authentication ticket system.
前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
The web service server communication unit includes means for transmitting image information of the authentication ticket to the display terminal;
The display terminal communication unit has means for receiving image information of the authentication ticket from the Web service server,
7. The website login system according to claim 6, wherein the display unit includes means for displaying image information of the received authentication ticket on the web.
前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。
The web service server communication unit includes means for transmitting image information of the authentication ticket to a television station system;
The display terminal communication unit includes means for receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system,
The Web site login system according to claim 6, wherein the display unit includes means for displaying image information of the received authentication ticket together with the program broadcast.
前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、
前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有する
ことを特徴とする、請求項6から8のいずれか一項に記載のWebサイトログインシステム。
The authentication ticket generation unit includes means for generating URL information of a jump destination associated with the authentication ticket and desired to be displayed after login and storing the URL information in the authentication ticket information DB,
The Web content processing unit includes means for acquiring jump destination URL information from the authentication ticket information DB, and acquiring Web content of the jump destination URL from the Web content information DB. The Web site login system according to any one of 1 to 8.
前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、
前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、
前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有する
ことを特徴とする、請求項6から9のいずれか一項に記載のWebサイトログインシステム。
The Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other,
The Web service server communication unit stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and the user ID and the authentication ticket ID are already stored in the authentication history DB. The authentication count is updated and stored, and the final signature time is updated and stored in the signature time included in the received authentication response ticket.
The authentication ticket verification unit accesses the authentication history DB, includes a user ID included in the received authentication response ticket and an authentication count and a final signature time associated with the authentication ticket ID, and the number of certifications is defined. If the number of times does not exceed the number of times, and / or the user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID exist, the signature time included in the authentication response ticket 10. The website login system according to claim 6, further comprising means for determining that the authentication is successful when is after the final signature time.
JP2010140592A 2010-06-21 2010-06-21 Website login method and website login system Pending JP2012005037A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010140592A JP2012005037A (en) 2010-06-21 2010-06-21 Website login method and website login system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010140592A JP2012005037A (en) 2010-06-21 2010-06-21 Website login method and website login system

Publications (1)

Publication Number Publication Date
JP2012005037A true JP2012005037A (en) 2012-01-05

Family

ID=45536458

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010140592A Pending JP2012005037A (en) 2010-06-21 2010-06-21 Website login method and website login system

Country Status (1)

Country Link
JP (1) JP2012005037A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014067175A (en) * 2012-09-25 2014-04-17 Denso Wave Inc Authentication system
JP2014109985A (en) * 2012-12-04 2014-06-12 Kazunori Fujisawa Utilization method of electronic coupon and utilization system of electronic coupon
JP2014181533A (en) * 2013-03-21 2014-09-29 Toppan Printing Co Ltd Belt partition device and information provision system
WO2019116492A1 (en) * 2017-12-14 2019-06-20 日本電気株式会社 Ticket validity verification device, method, and program
WO2020053994A1 (en) * 2018-09-12 2020-03-19 日本電気株式会社 Information processing device, information processing system, member specification method, and non-transitory computer-readable medium in which program is stored
WO2021065636A1 (en) * 2019-10-03 2021-04-08 株式会社ソニー・インタラクティブエンタテインメント Initial setting method for information processing device, information processing device and terminal device
JP2021176221A (en) * 2020-05-01 2021-11-04 株式会社リコー Communication terminal, communication system, communication method, and program

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014067175A (en) * 2012-09-25 2014-04-17 Denso Wave Inc Authentication system
JP2014109985A (en) * 2012-12-04 2014-06-12 Kazunori Fujisawa Utilization method of electronic coupon and utilization system of electronic coupon
JP2014181533A (en) * 2013-03-21 2014-09-29 Toppan Printing Co Ltd Belt partition device and information provision system
WO2019116492A1 (en) * 2017-12-14 2019-06-20 日本電気株式会社 Ticket validity verification device, method, and program
JPWO2019116492A1 (en) * 2017-12-14 2020-12-03 日本電気株式会社 Ticket validation device, method and program
WO2020053994A1 (en) * 2018-09-12 2020-03-19 日本電気株式会社 Information processing device, information processing system, member specification method, and non-transitory computer-readable medium in which program is stored
JPWO2020053994A1 (en) * 2018-09-12 2021-08-30 日本電気株式会社 Information processing equipment, information processing system, member identification method, and program
US20220051314A1 (en) * 2018-09-12 2022-02-17 Nec Corporation Information processing apparatus, information processing system, member identification method, and non-transitory computer readable medium storing program
JP7147856B2 (en) 2018-09-12 2022-10-05 日本電気株式会社 Information processing device, information processing system, member identification method, and program
WO2021065636A1 (en) * 2019-10-03 2021-04-08 株式会社ソニー・インタラクティブエンタテインメント Initial setting method for information processing device, information processing device and terminal device
JP2021061479A (en) * 2019-10-03 2021-04-15 株式会社ソニー・インタラクティブエンタテインメント Initial setting method for information processing device, information processing device and terminal device
JP2021176221A (en) * 2020-05-01 2021-11-04 株式会社リコー Communication terminal, communication system, communication method, and program

Similar Documents

Publication Publication Date Title
US9979720B2 (en) Passwordless strong authentication using trusted devices
US8056122B2 (en) User authentication method and system using user&#39;s e-mail address and hardware information
KR101214836B1 (en) Authentication method and authentication system
JP4693171B2 (en) Authentication system
JP4983197B2 (en) Authentication system, authentication service providing apparatus, and authentication service providing program
US9203825B2 (en) Method of authenticating a user of a peripheral apparatus, a peripheral apparatus, and a system for authenticating a user of a peripheral apparatus
JP2007102778A (en) User authentication system and method therefor
KR101383761B1 (en) User authentication system and method thereof
US20150222435A1 (en) Identity generation mechanism
JP2013524314A (en) Authentication method and system using portable terminal
US9124571B1 (en) Network authentication method for secure user identity verification
JP2012005037A (en) Website login method and website login system
JP4960738B2 (en) Authentication system, authentication method, and authentication program
US10375061B2 (en) Communication apparatus, reminder apparatus, and information recording medium
JP2006244418A (en) Service providing system and service providing device
JP2007115226A (en) User authentication system
DK2916509T3 (en) Network Authentication Procedure for Secure User Identity Verification
JP2007133743A (en) Service providing server and authentication system
KR101964271B1 (en) Method and server for authenticating user based on font information
JP2011209833A (en) System and method for authenticating user, and program
JP2011024155A (en) Electronic signature system and method
KR20120088236A (en) User authentification system for contents service and method thereof
JP7223196B1 (en) Information processing device, information processing method, and program
JP2011170795A (en) Web authentication system, mobile terminal, web terminal, web server, web authentication method and program for them
JP2004151977A (en) Biometric authentication system