JP5480122B2 - コンテンツ提示型認証システム - Google Patents
コンテンツ提示型認証システム Download PDFInfo
- Publication number
- JP5480122B2 JP5480122B2 JP2010282849A JP2010282849A JP5480122B2 JP 5480122 B2 JP5480122 B2 JP 5480122B2 JP 2010282849 A JP2010282849 A JP 2010282849A JP 2010282849 A JP2010282849 A JP 2010282849A JP 5480122 B2 JP5480122 B2 JP 5480122B2
- Authority
- JP
- Japan
- Prior art keywords
- content
- authentication
- user
- information
- presentation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 claims description 55
- 238000009795 derivation Methods 0.000 claims description 50
- 230000005540 biological transmission Effects 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 description 35
- 239000011159 matrix material Substances 0.000 description 21
- 238000000034 method Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 9
- 239000000284 extract Substances 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 241000556720 Manga Species 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明はユーザ認証システムに関し、より詳しくは、所定パターンに配列した複数のパターン要素を認証を受けるユーザに提示パターンとして提示し、当該提示パターンにワンタイムパスワード導出ルールを適用することによりワンタイムパスワードを生成してユーザ認証を行うとともに、認証の際にユーザに強制的にコンテンツを提示するためのコンテンツ提示型認証システムに関する。
近年、ユーザ認証システムにおいて、チャレンジ・レスポンス方式の一形態として、いわゆるマトリクス認証方式のユーザ認証システムが開発された(例えば、特許文献1参照)。マトリクス認証においては、乱数を所定パターンに配列したマトリクス状の提示パターンを、認証を受けようとするユーザに提示し、当該提示パターンに含まれるパターン要素(それぞれの乱数の数字)に対して適用することによりワンタイムパスワードを生成するためのワンタイムパスワード導出ルールが当該ユーザのパスワードとされる。そして、サーバとクライアントで同じ提示パターンを共有し、クライアントにおいてパスワードであるワンタイムパスワード導出ルールを提示パターンに適用した結果であるワンタイムパスワードと、サーバにおいてパスワードであるワンタイムパスワード導出ルールを提示パターンに適用した結果である検証コードとを比較することによって、パスワードを直接比較することなく、ユーザ認証が実施される。マトリクス認証においては、パスワードであるワンタイムパスワード導出ルールは、マトリクス上で選択される要素の位置と順番であって、イメージとして記憶しやすいものであり、また、パスワード入力時に盗み見されてもパスワードを特定することはできないという特徴がある。
さらに、クライアントがサーバにネットワークで接続されていないオフライン状態においても、マトリクス認証を可能とするオフラインユーザ認証システムが開発された(特許文献2参照)。マトリクス認証を用いたオフライン認証システムにおいては、オフライン認証クライアント内に、提示パターンを構成する複数のパターン要素列と、そのそれぞれの提示パターンにワンタイムパスワード導出ルールを適用した結果にハッシュ関数により一方向関数演算を実施したものである複数の検証コードとを記憶させ、記憶されたパターン要素列から1つを選択することによって提示パターンを生成し、入力されたワンタイムパスワードに前記の一方向関数演算を実施したものを対応する検証コードと比較して認証を実施するという構成を有することにより、オフライン認証クライアントで提示パターンを表示することができる一方、パスワード自体は記憶されず、パスワードを検証するための検証コードはハッシュ化されて記憶されるため、クライアントが解析されてもパスワード漏洩が発生しないような高いセキュリティを有するオフラインでのマトリクス認証を実現できる。
図21は、従来のマトリクス認証を可能とするオフラインユーザ認証システム2100の機能ブロック図である。当該システムにおいては、クライアント2151のユーザによってユーザID入力手段2152を介してユーザID2181が入力され、検証データ要求手段2153を介して認証支援サーバ2101へ送信される。認証支援サーバ2101は、検証データ要求受信手段2103によって入力ユーザID2181を受信し、この入力ユーザIDに対応する複数の提示パターン2210(図22)を生成するための情報であるパターン要素列2190をパターン発生手段2104により発生し、そのそれぞれの提示パターン及びパスワード記憶部2102に記憶されたユーザID2102aに対応するワンタイムパスワード導出ルール2102bに対応する複数の検証コード2193を検証コード生成手段2106によって生成し、これらのパターン要素列2190及び検証コード2193をパターン送信手段2105及び検証コード送信手段2111を介してあらかじめクライアント2151に送信し、クライアント2151はパターン受信手段2154及び検証コード受信手段2162を介してこれらを受信して、検証データ記憶部2116に記憶する。そして、ユーザによってユーザID入力手段2153を介して入力されたユーザIDのための検証データ記憶部2161に記憶されたパターン要素列2190をパターン選択手段2163が選択し、パターン表示手段2155がこの選択されたパターン要素列2190に基づいてクライアント2151において提示パターン2210を表示させてユーザからワンタイムパスワード入力手段2156を介してワンタイムパスワードの入力を受け付ける。検証コード特定手段2164はユーザID及び選択されたパターン要素列に対応する検証コード2193を特定して検証データ記憶部2161から読み出し、ユーザ認証手段2165は、入力されたワンタイムパスワードに一方向関数演算を実施したものと検証コード2193とを比較して、ユーザの認証を実施する。
図22は、従来のマトリクス認証システムにおける提示パターン2210の生成方法の概念図である。図22には、0から9までの1桁の数字であるパターン要素からなるパターン要素列2190と、パターン要素列に含まれるそれぞれのパターン要素を4つの4×4のマトリクスからなるパターンのそれぞれの要素の位置に配置した提示パターン2210が例示されている。認証支援サーバ2101では、提示パターン2210に含まれるパターン要素である64個の1桁の数字を乱数発生アルゴリズムにより発生し、それらを並べたパターン要素列2190をクライアント2151に送信する。クライアント2151は、認証支援サーバ2101からパターン要素列2190を受信し、それに含まれるそれぞれのパターン要素を所定パターンの形状、ここでは4つの4×4のマトリクスのそれぞれの要素の位置に順番に配列することによって提示パターン2210を生成し、それを画面に表示させる。
図23は、マトリクス認証方式におけるワンタイムパスワード入力方法の概念図である。ユーザは、提示パターン2210に対してワンタイムパスワード導出ルール2102bを適用することによって、マトリクス上の所定の位置に表示された数字を順番に抽出し、ワンタイムパスワード入力手段2156から入力する。図23において破線で示した矢印と丸は、提示パターン2210に基づくワンタイムパスワードをクライアントのキーボード2300から入力することを表している。
しかし、前述のマトリクス認証を可能とするオフラインユーザ認証システムのような新たな認証システムを使用するためにユーザは、その新たな認証システムのためのプログラムのライセンスを購入したり、そのシステムの使用料を支払う必要があるのが通常である。たとえ新たなユーザ認証システムがより高いセキュリティを提供するものであったとしても、プログラムのライセンス料やシステムの使用料が発生するものであれば、ユーザは一定のセキュリティを確保できる既存のユーザ認証システムを使用し続ける可能性が高い。このため、セキュリティの高い新たなユーザ認証システムであっても、セキュリティ強化に積極的な一部のユーザが使用するだけであって、広く普及させることは困難である。したがって、新たなユーザ認証システムの開発者は十分に開発費及び維持費の回収を行うことができないという問題がある。
本発明は上記の課題に鑑みてなされたものであり、以下のような特徴を有している。すなわち本発明は、所定パターンに配列した複数のパターン要素を認証を受けるユーザに提示パターンとして提示し、当該提示パターンに含まれる特定の位置のパターン要素に対して適用することによりワンタイムパスワードを生成するためのワンタイムパスワード導出ルールを当該ユーザのパスワードとして使用してユーザ認証を行わせるとともに、前記ユーザ認証に際してユーザに強制的にコンテンツを提示するコンテンツ提示型ユーザ認証を前記クライアントに行わせるためのコンテンツ提示型認証システムであって、ユーザのユーザID、パスワード、ユーザ認証時に強制的に提示される複数のコンテンツのそれぞれの内容を表わすコンテンツデータ、及び複数のコンテンツのそれぞれのコンテンツIDを管理し、ユーザにコンテンツ付認証情報を提供する認証サービス提供サーバと、前記コンテンツ提示型ユーザ認証を行わせるためのコンテンツ提示型ユーザ認証プログラム及びプロセッサを有し、前記認証サービス提供サーバとネットワークで接続されるクライアントと、を有し、前記認証サービス提供サーバは、ユーザのユーザIDと当該ユーザの属性を表わすユーザ属性情報とを関連付けて予め記憶するユーザ情報記憶部と、ユーザのユーザIDと当該ユーザのワンタイムパスワード導出ルールとを関連付けて予め記憶するパスワード記憶部と、前記提示パターンを特定するためのパターン特定情報を所定の発生規則により複数発生するパターン特定情報発生手段と、前記パターン特定情報発生手段で発生させられた複数の前記パターン特定情報のそれぞれに基づいて特定される前記提示パターンのそれぞれに対して、ユーザIDに関連付けられた前記ワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである検証コードを生成する検証コード生成手段と、ユーザ認証時に強制的に提示されるコンテンツのそれぞれに対して、コンテンツのコンテンツID、当該コンテンツの内容を表わすコンテンツデータ、及び当該コンテンツを提示する対象となるユーザの条件を示すコンテンツ提示対象ユーザ条件を含むコンテンツ関連情報を関連付けて記憶するコンテンツ情報記憶部と、ユーザIDのそれぞれに対して、ユーザIDに関連付けられたユーザ属性情報がコンテンツIDに関連付けられたコンテンツ関連情報に含まれるコンテンツ提示対象ユーザ条件を満たす複数のコンテンツIDを特定する対象コンテンツ特定手段と、各ユーザIDに関連して生成された検証コードと当該検証コードを生成するために用いられたパターン特定情報とを含む複数の認証情報、及び、各ユーザIDのために特定された複数のコンテンツIDのそれぞれのコンテンツデータを各ユーザIDに関連付けて記憶する認証情報記憶部と、認証を受けようとするユーザのユーザIDを含む認証情報要求を前記クライアントから前記ネットワークを通じて受信する認証情報要求受信手段と、前記受信したユーザIDに関連付けられて記憶された複数の認証情報及び複数のコンテンツデータを含む前記コンテンツ付認証情報を前記クライアントに送信するコンテンツ付認証情報送信手段と、を有し、前記クライアントにおいて、ユーザ認証の際に前記コンテンツ提示型ユーザ認証プログラムが前記プロセッサで動作することにより、ユーザからユーザIDの入力を受け付けるユーザID入力手段と、入力された前記ユーザIDを含む認証情報要求を前記認証サービス提供サーバに前記ネットワークを通じて送信する認証情報要求送信手段と、前記ユーザIDに関連付けられて前記認証サービス提供サーバから送信されたコンテンツ付認証情報を前記ネットワークを通じて受信するコンテンツ付認証情報受信手段と、受信したコンテンツ付認証情報を前記ユーザIDに関連付けて記憶する認証情報記憶手段と、前記ユーザIDに関連付けられた前記コンテンツ付認証情報に含まれる複数の認証情報から1つの認証情報を選択する認証情報選択手段と、前記選択された認証情報に含まれるパターン特定情報に基づいて、パターン要素列を生成するパターン要素列生成手段と、前記パターン特定情報に基づいて、提示パターンを生成し、それを画面に表示させるパターン表示手段と、前記ユーザから、前記提示パターンに含まれるパターン要素に前記ワンタイムパスワード導出ルールを適用した結果であるワンタイムパスワードの入力を受け付けるワンタイムパスワード入力手段と、入力された前記ワンタイムパスワードに前記一方向関数演算を実施したものと前記選択された認証情報に含まれる検証コードとを比較し、それらが等しい場合に前記ユーザの認証を成功させるユーザ認証手段と、前記コンテンツ付認証情報に含まれる複数のコンテンツデータから所定の規則にしたがってユーザ認証時に強制的に提示するコンテンツデータを選択するコンテンツ選択手段と、当該選択されたコンテンツデータに基づいて、ユーザ認証の際に強制的にコンテンツをユーザに提示するコンテンツ提示手段と、が実現されることを特徴とする。
本発明は、前述のコンテンツ提示型認証システムにおいて、前記クライアントにおけるコンテンツ提示型ユーザ認証は、前記クライアントに前記コンテンツ提示型ユーザ認証プログラムをインストールすることにより、クライアントのOS組込ユーザ認証プログラムによるユーザ認証に代えて、実行されるものであり、
前記コンテンツ提示型ユーザ認証プログラムをクライアントにインストールするためのインストールプログラムが前記クライアントのプロセッサで動作することにより、前記クライアントにおけるユーザ認証時に前記OS組込認証プログラムに代えて前記コンテンツ提示型ユーザ認証プログラムを起動させるようにOSの設定を変更するインストール手段が実現されてもよい。
前記コンテンツ提示型ユーザ認証プログラムをクライアントにインストールするためのインストールプログラムが前記クライアントのプロセッサで動作することにより、前記クライアントにおけるユーザ認証時に前記OS組込認証プログラムに代えて前記コンテンツ提示型ユーザ認証プログラムを起動させるようにOSの設定を変更するインストール手段が実現されてもよい。
前述のコンテンツ提示型認証システムにおいて、前記コンテンツ提示型ユーザ認証プログラムは前記認証サービス提供サーバから前記クライアントにダウンロードされるものであり、前記認証サービス提供サーバは、コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを記憶するプログラム記憶部と、前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムのダウンロード要求を前記クライアントから前記ネットワークを通じて受信するダウンロード要求受信手段と、ダウンロード要求受信手段において前記クライアントからダウンロード要求を受信すると、当該クライアントに前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを前記ネットワークを通じて送信するプログラム送信手段と、を有し、前記クライアントは、前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムの送信を要求するダウンロード要求を前記ネットワークを通じて前記認証サービス提供サーバへ送信するダウンロード要求送信手段と、前記認証サービス提供サーバから前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを受信するプログラム受信手段と、受信したプログラムを記憶するプログラム記憶部とを含むことができる。
前述のコンテンツ提示型認証システムにおいて、前記コンテンツは広告とすることができる。
前述のコンテンツ提示型認証システムにおいて、前記認証サービス提供サーバの認証情報記憶部はさらに、ユーザIDに対して特定された複数のコンテンツデータの各々を当該ユーザIDに関連付けて記憶された複数の認証情報のいずれかに関連付けて記憶し、前記クライアントにおけるコンテンツ選択手段は、ユーザ認証の際に強制的にコンテンツを提示するために、当該ユーザ認証のために選択された認証情報に関連付けられたコンテンツデータを選択するようにしてもよい。
前述のコンテンツ提示型認証システムにおいて、前記コンテンツのコンテンツIDに関連付けられたコンテンツ関連情報は、当該コンテンツを一回のユーザ認証処理に際して提示したい回数を示す希望提示回数、当該コンテンツを一回のユーザ認証処理に際して提示したい時間を示す希望提示時間及び当該コンテンツの連続提示を許容するか否かを示す連続提示可否情報の少なくとも1つを含む希望提示条件を含み、前記対象コンテンツ特定手段はさらに、前記コンテンツのコンテンツIDに関連付けられたコンテンツ関連情報に含まれる希望提示条件に基づいて、当該コンテンツの一回の提示における提示時間、及び当該コンテンツを連続提示するか否かを示す連続有無情報のうちの少なくともいずれか1つを含むコンテンツ提示属性情報を作成し、当該コンテンツIDに関連付けられるコンテンツデータに当該コンテンツ提示属性情報を関連付けて前記認証情報記憶部に記憶し、認証サービス提供サーバから前記クライアントへ送信されるコンテンツ付認証情報は前記コンテンツ提示属性情報を含み、前記コンテンツ提示手段はさらに、前記前記コンテンツ提示属性情報にしたがって、ユーザ認証の際に強制的にコンテンツをユーザに提示してもよい。
前述のコンテンツ提示型認証システムにおいて前記クライアントの認証情報選択手段は、当該クライアントの認証情報記憶手段に記憶された認証を受けようとするユーザのユーザIDに関連付けられたコンテンツ付認証情報に含まれるすでに選択された認証情報は選択しないように構成され、前記クライアントの認証情報選択手段によって、当該クライアントの認証情報記憶手段に記憶された認証を受けようとするユーザのユーザIDに関連付けられたコンテンツ付認証情報に含まれるすべての認証情報が当該ユーザの認証のために選択されると、前記クライアントの前記認証情報要求送信手段は、前記ネットワークを通じて当該ユーザIDを含む認証情報要求を前記認証サービス提供サーバに送信し、前記認証サービス提供サーバの認証情報要求受信手段は、当該認証情報要求を前記クライアントから前記ネットワークを通じて受信し、前記認証サービス提供サーバの前記コンテンツ付認証情報送信手段は、前記受信した認証要求情報に含まれるユーザIDに関連付けられた新たなコンテンツ付認証情報を前記クライアントに送信し、前記クライアントのコンテンツ付認証情報受信手段が、前記コンテンツ付認証サービス提供サーバから送信された前記認証情報要求に含まれたユーザIDに関連付けられたコンテンツ付認証情報を前記ネットワークを通じて受信し、前記クライアントのコンテンツ付認証情報記憶手段部が、前記受信したコンテンツ付認証情報によって、コンテンツ付認証情報を更新するように構成されてもよい。
前述のコンテンツ提示型認証システムにおいて、前記認証サービス提供サーバはさらに、前記ユーザ情報記憶部に記憶された情報を更新するユーザ情報更新手段、前記認証情報記憶部に記憶された情報を更新する認証情報更新手段及び前記コンテンツ情報記憶部に記憶された情報を更新するコンテンツ情報更新手段の少なくとも一つを有することができる。
前述のコンテンツ提示型認証システムにおいて、前記認証サービス提供サーバの対象コンテンツ特定手段は、所定のタイミングで前記ユーザIDのそれぞれに対して、ユーザIDに関連付けられたユーザ属性情報がコンテンツIDに関連付けられたコンテンツ関連情報に含まれるコンテンツ提示対象ユーザ条件を満たす複数のコンテンツIDを再特定し、各ユーザIDのために再特定された複数のコンテンツIDのそれぞれのコンテンツデータを各ユーザIDに関連付けて前記認証情報記憶部を更新するように構成されてもよい。
前述のコンテンツ提示型認証システムにおいて、前記パターン要素列生成手段は、前記パターン特定情報に加えて、ユーザIDにさらに基づいてパターン要素列を生成するように構成されてもよい。
前述のコンテンツ提示型認証システムにおいて、前記ユーザ属性情報はユーザの年齢及び性別のうちの少なくとも1つを含むこととすることができる。
本発明は、上述の構成を採用することにより、ユーザ認証に際して広告等のコンテンツをユーザに強制的に提示することができるため、コンテンツの提供者等に一定の金銭的負担を担わせることが可能となる。このため、マトリクス認証という高いセキュリティと利便性を有する認証手段を提供する本発明のユーザ認証システムを使用するためのプログラムのライセンス料やシステムの使用料のユーザ負担を軽減又は無料化して本発明のユーザ認証システムの普及を促進することができるとともに、本発明のユーザ認証システムの開発費及び維持費を十分に回収できる。
本発明においては、ユーザ認証というコンピュータ起動時などにユーザが必ず実行しなければならない処理に際して強制的にコンテンツが提示されるから、ユーザ認証のためにクライアントを操作するユーザにコンテンツを確実に視聴させることができる。これは、コンテンツが広告である場合には特に効果的である。さらに、クライアントに送信されるコンテンツ付認証情報において、認証情報とコンテンツデータとを関連付けて管理することができるため、ユーザに提示されるコンテンツを容易に把握することができる。これによりコンテンツ提供者のコンテンツ提供料の計算が明確かつ容易に行える。
まず、本明細書で使用される用語について以下に説明する。
[用語−提示パターンとパターン要素]
提示パターンとは、パターン要素を所定パターンに配列したものである。所定パターンとしては、縦m個×横n個のそれぞれの位置に全体が方形を形成するように配置したマトリクス、そのようなマトリクスを複数並べたもの、などが典型的であるが、その他に任意の図形の形状とすることができる。本明細書では、そのような典型的なマトリクス形状以外の形状の提示パターンを使用した場合も、マトリクス認証方式と呼ぶことにする。所定パターンとしては、規則的な形状や印象的な形状が、ユーザの記憶に残りやすく、従ってユーザがパスワードであるワンタイムパスワード導出ルールを記憶しやすいために好適である。
提示パターンとは、パターン要素を所定パターンに配列したものである。所定パターンとしては、縦m個×横n個のそれぞれの位置に全体が方形を形成するように配置したマトリクス、そのようなマトリクスを複数並べたもの、などが典型的であるが、その他に任意の図形の形状とすることができる。本明細書では、そのような典型的なマトリクス形状以外の形状の提示パターンを使用した場合も、マトリクス認証方式と呼ぶことにする。所定パターンとしては、規則的な形状や印象的な形状が、ユーザの記憶に残りやすく、従ってユーザがパスワードであるワンタイムパスワード導出ルールを記憶しやすいために好適である。
パターン要素とは、提示パターン内において所定パターンを構成するように所定位置に配置される要素であり、好適には0から9までの1桁の数字であるが、他に、アルファベット、記号、などの任意のキャラクターとすることができる。なお、記号としては、PCの標準のキーボードに割り当てられている「+」、「−」、「*」、「=」、「_」、「!」、「?」、「#」、「$」、「&」などの記号が特に好適である。キャラクターとして、図形、イラスト、写真などの図柄を使用することもできる。好適には、同じパターン要素は、提示パターン内において、複数個表示される。このようにすると、パスワードであるワンタイムパスワード導出ルールと、ワンタイムパスワード導出ルールを提示パターンに適用した結果であるワンタイムパスワードとは多対1の対応となり、ワンタイムパスワードの入力時に自動的に一方向化がなされることになる。そのため、1つのワンタイムパスワードだけからは、提示パターンが特定されていたとしても、ワンタイムパスワード導出ルールを特定することはできない。
以下に説明する実施形態では、図23に示すような、0から9までの1桁の数字をパターン要素とし、それぞれのパターン要素を4つの4×4のマトリクスからなる所定パターンに配列したものを提示パターン2210とする。なお、携帯電話機などのように画面の面積が小さい場合は、4×4のマトリクスの数を3つなどに減少させた提示パターンを使用すると好適である。
[用語−パターン特定情報]
パターン特定情報は、提示パターン2210を特定するための情報である。典型的なパターン特定情報はパターン要素列またはパターンシード値である。
パターン特定情報は、提示パターン2210を特定するための情報である。典型的なパターン特定情報はパターン要素列またはパターンシード値である。
パターン要素列は、図22に示すような0から9までの1桁の数字であるパターン要素の列であり、提示パターン2210を生成するために所定パターンに配置する要素の内容を表わすデータである。典型的には、その提示パターン2210に含まれるすべてのパターン要素を順番に並べたものである。なお、パターン要素列2190は、パターン要素が順番に並べられた1つの文字列でなければならないというものではなく、1つの提示パターン2210に含まれるすべてのパターン要素の情報を含むデータを意味するものである。従って、パターン要素列2190に含まれるそれぞれのパターン要素を提示パターン内のそれぞれの位置に対応付けられる限り、パターン要素列2190に含まれるパターン要素の順番は自由である。またパターン要素列2190は、複数のデータに分割されていても構わない。
パターンシード値は、所定の規則により提示パターン2210を生成するための情報である。所定の規則とは、例えばパターンシード値にハッシュ関数演算を行って得られた値の一部をパターン要素列とすることなどが考えられる。パターン要素列そのものに代えて、パターンシード値を用いることにより、セキュリティを向上させることができる。パターンシード値は、典型的には、乱数発生アルゴリズムによって発生させられた所定の範囲内の数値である。パターンシード値は、所定の範囲内の数値であれば、乱数発生アルゴリズム以外の発生規則、例えば、所定の初期値からの所定値ごとのカウントアップやカウントダウンで発生させられてもよい。また、発生させられた乱数にユーザIDを組み合わせることで、より高いセキュリティを提供することも可能である。
[用語−ワンタイムパスワード導出ルール]
ワンタイムパスワード導出ルールは、提示パターン2210に含まれる特定の位置のパターン要素に対して適用することによりワンタイムパスワード2310を生成するためのルールであり、ユーザのパスワードとして機能するデータである。パターン要素に対して適用するルールとは、典型的には、どの位置のパターン要素をどの順番で選択するのかということである。この場合、ワンタイムパスワード導出ルールは、提示パターン2210に含まれる選択されるパターン要素のそれぞれの位置と、当該それぞれのパターン要素が選択される順番との組み合わせの情報である。また、提示パターン2210に基づかない固定パスワード成分をワンタイムパスワードに含めることもできる。
ワンタイムパスワード導出ルールは、提示パターン2210に含まれる特定の位置のパターン要素に対して適用することによりワンタイムパスワード2310を生成するためのルールであり、ユーザのパスワードとして機能するデータである。パターン要素に対して適用するルールとは、典型的には、どの位置のパターン要素をどの順番で選択するのかということである。この場合、ワンタイムパスワード導出ルールは、提示パターン2210に含まれる選択されるパターン要素のそれぞれの位置と、当該それぞれのパターン要素が選択される順番との組み合わせの情報である。また、提示パターン2210に基づかない固定パスワード成分をワンタイムパスワードに含めることもできる。
[用語−ワンタイムパスワード]
ワンタイムパスワード2310は、認証を受けようとするユーザが提示パターン2210に対して自己のワンタイムパスワード導出ルールを適用することによって生成・入力される使い捨てのパスワードである。図23は、マトリクス認証方式におけるワンタイムパスワード入力方法の概念図である。図23において使用されているワンタイムパスワード導出ルールは、円で記した提示パターンにおける位置のパターン要素を左から順番に選択することとする。ユーザは、このワンタイムパスワード導出ルールに従って、提示パターン2210に含まれる所定の位置のパターン要素の選択を所定の順番で実施することによって、ワンタイムパスワードとして「2504」を生成・入力する。
ワンタイムパスワード2310は、認証を受けようとするユーザが提示パターン2210に対して自己のワンタイムパスワード導出ルールを適用することによって生成・入力される使い捨てのパスワードである。図23は、マトリクス認証方式におけるワンタイムパスワード入力方法の概念図である。図23において使用されているワンタイムパスワード導出ルールは、円で記した提示パターンにおける位置のパターン要素を左から順番に選択することとする。ユーザは、このワンタイムパスワード導出ルールに従って、提示パターン2210に含まれる所定の位置のパターン要素の選択を所定の順番で実施することによって、ワンタイムパスワードとして「2504」を生成・入力する。
[用語−検証コード]
検証コードは、入力されたワンタイムパスワードの正当性を検証するためのデータである。検証コードは、クライアントにおいて複数のパターン特定情報に基づいて表示することが可能な複数の提示パターンのそれぞれに対してユーザが自己のワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである。すなわち、検証コードは、認証を受けようとするユーザに関連付けられた正しいワンタイムパスワード導出ルールが正しい提示パターンに適用された結果である正しいワンタイムパスワードと同じ値に一方向関数演算を実施したものである。従って、検証コードは、その検証コードを生成するために用いられた提示パターンを特定するためのパターン特定情報と関連付けられて、クライアントに記憶される。クライアントにおけるユーザ認証時には、提示された提示パターンに基づいて入力されたワンタイムパスワードに検証コードの生成時に使用したものと同じ一方向関数演算を実施した値と、提示パターンに対応する検証コードとを比較することによって、ワンタイムパスワードの正当性が検証される。ここで、検証コードをハッシュ化していないものとしても、当然にワンタイムパスワードの正当性を検証することはできる。しかし、そのような検証コードは正しいワンタイムパスワードと等しいものであるため、クライアントPCが悪意の第三者に解析された場合には、提示パターンと正しいワンタイムパスワードのペアが複数知られることになってしまい、パスワードであるワンタイムパスワード導出ルールが特定されてしまうという問題がある。検証コードをハッシュ化したものとすることによって、検証コードからは正しいワンタイムパスワードを特定することができなくなるので、クライアントPCが悪意の第三者に解析されたとしても、パスワードであるワンタイムパスワード導出ルールが漏洩することはない。
検証コードは、入力されたワンタイムパスワードの正当性を検証するためのデータである。検証コードは、クライアントにおいて複数のパターン特定情報に基づいて表示することが可能な複数の提示パターンのそれぞれに対してユーザが自己のワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである。すなわち、検証コードは、認証を受けようとするユーザに関連付けられた正しいワンタイムパスワード導出ルールが正しい提示パターンに適用された結果である正しいワンタイムパスワードと同じ値に一方向関数演算を実施したものである。従って、検証コードは、その検証コードを生成するために用いられた提示パターンを特定するためのパターン特定情報と関連付けられて、クライアントに記憶される。クライアントにおけるユーザ認証時には、提示された提示パターンに基づいて入力されたワンタイムパスワードに検証コードの生成時に使用したものと同じ一方向関数演算を実施した値と、提示パターンに対応する検証コードとを比較することによって、ワンタイムパスワードの正当性が検証される。ここで、検証コードをハッシュ化していないものとしても、当然にワンタイムパスワードの正当性を検証することはできる。しかし、そのような検証コードは正しいワンタイムパスワードと等しいものであるため、クライアントPCが悪意の第三者に解析された場合には、提示パターンと正しいワンタイムパスワードのペアが複数知られることになってしまい、パスワードであるワンタイムパスワード導出ルールが特定されてしまうという問題がある。検証コードをハッシュ化したものとすることによって、検証コードからは正しいワンタイムパスワードを特定することができなくなるので、クライアントPCが悪意の第三者に解析されたとしても、パスワードであるワンタイムパスワード導出ルールが漏洩することはない。
[用語−一方向関数およびハッシュ関数]
一方向関数とは、ある入力値に適用した出力値は簡単に計算できるが、その出力値からは元の入力値を求めることは極めて困難な関数のことをいう。ハッシュ関数とは、一方向関数の特徴である一方向性を有し、さらに、元の入力値が異なる場合に出力値が同一になる確率が極めて小さいという衝突耐性を有する関数をいう。ハッシュ関数は、通常、入力値にかかわらず一定範囲の出力値を生成する。一方向関数はハッシュ関数を含む概念であり、一方向関数とハッシュ関数はほぼ同様に使用することができるが、入力値の範囲が大きいなどの理由で、より高い衝突耐性が必要とされる場合には、ハッシュ関数を使用すると好適である。本発明においては、一方向関数に代えてハッシュ関数を使用することは当然に可能であるが、ハッシュ関数に代えて一方向関数を使用することも可能である。
一方向関数とは、ある入力値に適用した出力値は簡単に計算できるが、その出力値からは元の入力値を求めることは極めて困難な関数のことをいう。ハッシュ関数とは、一方向関数の特徴である一方向性を有し、さらに、元の入力値が異なる場合に出力値が同一になる確率が極めて小さいという衝突耐性を有する関数をいう。ハッシュ関数は、通常、入力値にかかわらず一定範囲の出力値を生成する。一方向関数はハッシュ関数を含む概念であり、一方向関数とハッシュ関数はほぼ同様に使用することができるが、入力値の範囲が大きいなどの理由で、より高い衝突耐性が必要とされる場合には、ハッシュ関数を使用すると好適である。本発明においては、一方向関数に代えてハッシュ関数を使用することは当然に可能であるが、ハッシュ関数に代えて一方向関数を使用することも可能である。
[コンテンツ提示型認証システムの構成]
図1は、本発明におけるコンテンツ提示型認証システムの一実施形態のシステム構成を示している。本実施形態におけるコンテンツ提示型認証システム100は、認証サービスをユーザのクライアントに提供するための認証サービス提供サーバ110と、複数のユーザのPC、携帯電話等であるクライアント120−1〜120−Nとを備える。認証サービス提供サーバ110とクライアント120とは、ネットワーク130によって接続される。ネットワークはTCP/IPベースのプロトコルで動作するWindowsのドメインネットワークとすることができる。なお、本明細書ではOSとしてWindowsを例示して説明しているが、他のOS、例えば、Mac OS(登録商標)、Linux(登録商標)、Unix(登録商標)などを使用することも可能である。コンテンツ提示型認証システム100はさらに、コンテンツ提供サーバ140及び決済サーバ150とを備えてもよい。コンテンツ提供サーバ140は、クライアント120に提供するためのコンテンツ情報を認証サービス提供サーバ110へ提供する。決済サーバ150は、コンテンツの提供に起因してコンテンツ提供者と認証サービス提供者との間の金銭の授受が生じる場合に、オンラインにて決済するためのサーバである。コンテンツ提供サーバ140及び決済サーバ150は、認証サービス提供サーバ110にネットワーク130によって接続されてもよいし、専用線により直接接続されてもよい。
図1は、本発明におけるコンテンツ提示型認証システムの一実施形態のシステム構成を示している。本実施形態におけるコンテンツ提示型認証システム100は、認証サービスをユーザのクライアントに提供するための認証サービス提供サーバ110と、複数のユーザのPC、携帯電話等であるクライアント120−1〜120−Nとを備える。認証サービス提供サーバ110とクライアント120とは、ネットワーク130によって接続される。ネットワークはTCP/IPベースのプロトコルで動作するWindowsのドメインネットワークとすることができる。なお、本明細書ではOSとしてWindowsを例示して説明しているが、他のOS、例えば、Mac OS(登録商標)、Linux(登録商標)、Unix(登録商標)などを使用することも可能である。コンテンツ提示型認証システム100はさらに、コンテンツ提供サーバ140及び決済サーバ150とを備えてもよい。コンテンツ提供サーバ140は、クライアント120に提供するためのコンテンツ情報を認証サービス提供サーバ110へ提供する。決済サーバ150は、コンテンツの提供に起因してコンテンツ提供者と認証サービス提供者との間の金銭の授受が生じる場合に、オンラインにて決済するためのサーバである。コンテンツ提供サーバ140及び決済サーバ150は、認証サービス提供サーバ110にネットワーク130によって接続されてもよいし、専用線により直接接続されてもよい。
[コンテンツ提示型認証システムのハードウェア構成]
次に、図2を用いて、コンテンツ提示型認証システム100における認証サービス提供サーバ110及びクライアント120のハードウェア構成を説明する。図1に示されたものと同じものは、図2においても同じ参照番号を用いて記載する。
次に、図2を用いて、コンテンツ提示型認証システム100における認証サービス提供サーバ110及びクライアント120のハードウェア構成を説明する。図1に示されたものと同じものは、図2においても同じ参照番号を用いて記載する。
認証サービス提供サーバ110は、CPU200、RAM201、ユーザインターフェース(I/F)202、外部/ネットワークインターフェース(I/F)203及び記憶装置204を備える。記憶装置204は、その記憶領域にOS及びユーザ認証支援アプリケーションを記憶し、さらにプログラム記憶部206及び情報記憶部207を含む。プログラム記憶部206は、コンテンツ提示型ユーザ認証プログラム及びインストールプログラムを記憶する。コンテンツ提示型ユーザ認証プログラムは、クライアント120において動作することにより、ユーザ認証に際して強制的にユーザにコンテンツを提示するコンテンツ提示型ユーザ認証をクライアントに行わせるためのプログラムである。インストールプログラムは、コンテンツ提示型ユーザ認証プログラムをクライアントにインストールするためのプログラムである。情報記憶部207は、各ユーザに関するユーザ情報、各ユーザのパスワードであるワンタイムパスワード導出ルール、ユーザに提示するためのコンテンツに関するコンテンツ情報及びユーザ認証に際して必要な認証情報等を記憶する。情報記憶部207は、認証サービス提供サーバ110とは異なる装置として実装されてもよいし、さらに情報の種類ごとにそれぞれ別々の装置として実装されてもよい。
クライアント120は、外部/ネットワークインターフェース(I/F)250、ユーザインターフェース(I/F)251、RAM252、CPU253及び情報記憶装置254を備える。記憶装置254は、その記憶領域にOS、コンテンツ提示型ユーザ認証プログラムを記憶する。また、その記憶領域に各ユーザのユーザ認証に際して必要な認証情報等を記憶する。コンテンツ提示型ユーザ認証プログラムがOSに予め組み込まれたプリインストール型のプログラムである場合には、認証サービス提供サーバ110はコンテンツ提示型ユーザ認証プログラム及びインストールプログラムを記憶する必要はないし、クライアント120はインストールプログラムを記憶する必要はない。
[第1の実施形態におけるコンテンツ提示認証システムの機能ブロック]
次に、本発明の第1の実施形態に係るコンテンツ提示型認証システム100の機能ブロックを説明する。図3は、図2に示された認証サービス提供サーバ110及びクライアント120のハードウェア構成において、認証サービス提供サーバ110のCPU200上でユーザ認証支援アプリケーションを動作させ、クライアント120のCPU253上でコンテンツ提示型認証プログラムを動作させることにより実現される本実施形態における認証サービス提供サーバ110及びクライアント120の本実施形態における機能ブロック図を示す。
次に、本発明の第1の実施形態に係るコンテンツ提示型認証システム100の機能ブロックを説明する。図3は、図2に示された認証サービス提供サーバ110及びクライアント120のハードウェア構成において、認証サービス提供サーバ110のCPU200上でユーザ認証支援アプリケーションを動作させ、クライアント120のCPU253上でコンテンツ提示型認証プログラムを動作させることにより実現される本実施形態における認証サービス提供サーバ110及びクライアント120の本実施形態における機能ブロック図を示す。
本実施形態においては、認証サービス提供サーバ110のダウンロード要求受信手段301、プログラム送信手段302、認証情報要求受信手段311、認証情報送信手段312は、認証サービス提供サーバ110のCPU200、RAM201及び外部/ネットワークインターフェース203などがユーザ認証支援アプリケーションなどのソフトウェアと協働することによって実現される機能ブロックである。ダウンロード要求受信手段301は、認証プログラムのダウンロードを要求するダウンロード要求350を受信するものである。プログラム送信手段302は、ダウンロード要求送信手段301がダウンロード要求を受信することに応答して、プログラム記憶部303からインストールプログラム及び認証プログラム351を読み出して送信するものである。認証情報要求手段311は、ユーザ認証に使用するための認証情報を要求する認証情報要求352を受信するものである。認証情報送信手段312は、認証情報要求手段311が認証情報要求352を受信することに応答して、認証情報記憶部310から認証情報353を読み出してクライアント120へ送信する。
プログラム記憶部303、パスワード記憶部306、ユーザ情報記憶部307、コンテンツ情報記憶部308及び認証情報記憶部310は、認証サービス提供サーバ110のCPU200、RAM201及びプログラム記憶部206及び情報記憶部207などがユーザ認証支援アプリケーションなどのソフトウェアと協働することによって実現される機能ブロックである。プログラム記憶部206は、クライアント120において動作する認証プログラムとその認証プログラムをクライアントにインストールするためのインストールプログラムを記憶するものである。パスワード記憶部306は、ユーザIDと各ユーザIDのためのワンタイムパスワード導出ルールとをそれぞれ関連付けて記憶するものである。ユーザ情報記憶部307は、ユーザIDと各ユーザIDのためのユーザ属性情報とをそれぞれ関連付けて記憶するものである。コンテンツ情報記憶部308は、コンテンツIDと各コンテンツIDのコンテンツデータ及びコンテンツ関連情報とをそれぞれ関連付けて記憶するものである。認証情報記憶部310は、ユーザIDに各ユーザIDのための認証情報及びコンテンツデータをそれぞれ関連付けてコンテンツ付認証情報として記憶するものである。また、認証情報記憶部310は、コンテンツ付認証情報をハードディスク等の不揮発性メモリに記憶するものでもよいし、RAM等の揮発性メモリに記憶するものでもよい。
パターン特定情報発生手段304、検証コード生成手段305、対象コンテンツ特定手段309は、認証サービス提供サーバ110のCPU200及びRAM201などがユーザ認証支援アプリケーションなどのソフトウェアと協働することによって実現される機能ブロックである。パターン特定情報発生手段304は、パターン特定情報を所定のタイミングにおいて所定の発生規則により複数発生させるものである。検証コード生成手段305は、各ユーザID及び各ユーザIDのワンタイムパスワード導出ルールをパスワード記憶部306から読み出して、発生させられた複数のパターン特定情報のそれぞれによって特定される提示パターンのそれぞれに対して、各ユーザIDのワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである検証コードを生成し、パターン特定情報とともに認証情報記憶部310に出力するものである。対象コンテンツ特定手段309は、ユーザ属性情報及びコンテンツ関連情報に基づいて、各ユーザに強制的に提示するコンテンツIDを特定し、認証情報記憶部310に出力するものである。
クライアント120のダウンロード要求手段321、プログラム受信手段322、ユーザID入力手段324、認証情報要求送信手段325、認証情報受信手段330、パターン表示手段334、ワンタイムパスワード入力手段335及びコンテンツ提示手段337は、クライアント120の外部/ネットワークインターフェース250、ユーザインターフェース251、RAM252及びCPU253などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックである。ダウンロード要求手段321は、認証プログラムをダウンロードすることを要求するダウンロード要求350を送信するものである。プログラム受信手段322は、インストールプログラム及び認証プログラム351を受信するものである。ユーザID入力手段324は、ユーザのユーザIDの入力を受け付けて、認証情報要求送信手段325、認証情報選択手段332及びコンテンツ選択手段336に出力するものである。認証情報要求送信手段325は、ユーザ認証に使用するための認証情報を要求する認証情報要求352を送信するものである。認証情報受信手段330は、認証情報353を受信するものである。パターン表示手段334は、パターン要素列生成手段333によって生成されたパターン要素列に基づいて、提示パターンを表示するものである。ワンタイムパスワード入力手段335は、パターン表示手段334によって表示された提示パターンに基づいてユーザからワンタイムパスワードの入力を受け付けるものである。コンテンツ提示手段337は、コンテンツ選択手段336によって選択された所定数のコンテンツデータに基づいてコンテンツを強制的にユーザに提示するものである。
プログラム記憶部323及び認証情報記憶部331はクライアント120のRAM252、CPU253及び情報記憶部256などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックである。プログラム記憶部323はプログラム受信手段322によって受信された認証プログラムを記憶するものである。認証情報記憶部331は、認証情報受信手段330によって受信されたコンテンツ付認証情報353を記憶するものである。
認証情報選択手段332、パターン要素列生成手段333、コンテンツ選択手段336及びユーザ認証手段338は、クライアント120のRAM252及びCPU253などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックである。認証情報選択手段332は、ユーザID入力手段324から出力されたユーザIDについての一つの認証情報を選択し、パターン要素列生成手段333及びユーザ認証手段338に出力するものである。パターン要素列生成手段333は、認証情報選択手段332から受信した認証情報に含まれるパターン特定情報に基づいてパターン要素列を生成し、パターン表示手段334に出力するものである。コンテンツ選択手段336はユーザID入力手段324から受信されたユーザIDについての所定数のコンテンツデータを認証情報記憶部331から選択して読み出し、コンテンツ提示手段337に出力するものである。ユーザ認証手段338は、ワンタイムパスワード入力手段335によって入力されたワンタイムパスワードに一方向関数演算を実施したものと、認証情報選択手段332から受信した認証情報に含まれる検証コードとを比較し、それらが等しい場合にユーザを認証するものである。
[第1の実施形態におけるコンテンツ提示型認証システムの動作]
次に、本発明の第1の実施形態に係るコンテンツ提示型認証システム100の動作を説明する。図4は、本発明に係るコンテンツ提示型認証システムの一実施形態における処理全体を概略的に示す。本実施形態における処理は、まず、ユーザ登録段階(S401)において、ユーザ情報、ユーザ認証用のパスワード情報を認証サービス提供サーバ110に登録する。さらに、コンテンツ登録段階(S402)において、コンテンツ情報を認証サービス提供サーバ110に登録する。次に、コンテンツ付認証情報生成段階(S403)において、登録されたユーザ情報、パスワード情報、及びコンテンツ情報に基づいて、各ユーザIDに対してコンテンツ付認証情報を生成する。そして、コンテンツ付認証情報取得段階(S404)において、コンテンツ付認証情報が認証サービス提供サーバ110からクライアント120へ送信される。そして、コンテンツ提示型ユーザ認証段階(S405)において、認証を受けようとするユーザIDについてのコンテンツ付認証情報に基づいて、強制的にユーザにコンテンツを提示するとともにユーザ認証を行う。さらに、コンテンツ付認証情報再取得段階(S406)において、この認証されたユーザIDについてのクライアント120に記憶された認証情報がすべて選択されたか否か確認し、すべての認証情報が使用された場合、クライアント120は認証サービス提供サーバ110からコンテンツ付認証情報を再度取得する。以下、これらの段階を詳細に説明する。
次に、本発明の第1の実施形態に係るコンテンツ提示型認証システム100の動作を説明する。図4は、本発明に係るコンテンツ提示型認証システムの一実施形態における処理全体を概略的に示す。本実施形態における処理は、まず、ユーザ登録段階(S401)において、ユーザ情報、ユーザ認証用のパスワード情報を認証サービス提供サーバ110に登録する。さらに、コンテンツ登録段階(S402)において、コンテンツ情報を認証サービス提供サーバ110に登録する。次に、コンテンツ付認証情報生成段階(S403)において、登録されたユーザ情報、パスワード情報、及びコンテンツ情報に基づいて、各ユーザIDに対してコンテンツ付認証情報を生成する。そして、コンテンツ付認証情報取得段階(S404)において、コンテンツ付認証情報が認証サービス提供サーバ110からクライアント120へ送信される。そして、コンテンツ提示型ユーザ認証段階(S405)において、認証を受けようとするユーザIDについてのコンテンツ付認証情報に基づいて、強制的にユーザにコンテンツを提示するとともにユーザ認証を行う。さらに、コンテンツ付認証情報再取得段階(S406)において、この認証されたユーザIDについてのクライアント120に記憶された認証情報がすべて選択されたか否か確認し、すべての認証情報が使用された場合、クライアント120は認証サービス提供サーバ110からコンテンツ付認証情報を再度取得する。以下、これらの段階を詳細に説明する。
[ユーザ登録段階]
図5にユーザ登録段階のフローチャートを示す。本実施形態においてユーザ認証は、クライアント120のWindows(登録商標)へのログオン認証とするが、他のOSへのログオン認証、企業のネットワークへのログオン認証等の他のユーザ認証であってもよい。まず、コンテンツ提示型ユーザ認証サービスの使用を希望するユーザは、コンテンツ提示型ユーザ認証プログラムをダウンロードするために、ダウンロード要求送信手段321によってクライアント120から認証サービス提供サーバ110へダウンロード要求を送信する(S501)。本実施形態において、クライアント120からのダウンロード要求の送信は、プログラムダウンロード用に認証サービス提供サーバ110が提供するWebページへのアクセスとする。認証サービス提供サーバ110は、ダウンロード要求受信手段301によりダウンロード要求を受信すると(S502)、年齢及び性別等のユーザの属性を表わすユーザ属性情報の送信をクライアントに要求する(S503)。本実施形態においては、ダウンロード用Webページにおいて、ダウンロードに先立って、ユーザの属性を表わすユーザ属性情報(年齢及び性別)の入力をユーザに要求することにより、ユーザ属性情報要求の送信を行う。クライアント120がユーザ属性情報要求を受信すると(S504)、ユーザは、クライアント120からユーザ属性情報を送信する(S505)。本実施形態においては、ユーザは、キーボード等のユーザインターフェースからこれらの情報をWebページにおいて入力して、認証サービス提供サーバ110へ送信する。認証サービス提供サーバ110は、受信したユーザ属性情報に当該情報の登録年月日を追加するとともに、ユーザIDを割り当てて、ユーザ情報記憶部307に記憶する。本実施形態において、ユーザ情報記憶部307は、図6に示す形態でユーザIDとユーザ属性情報とを関連付けて記憶する。ユーザ属性情報は、生年月日、居住エリア、趣味等を含んでもよいし、年齢、性別及び登録年月日を含まなくともよい。
図5にユーザ登録段階のフローチャートを示す。本実施形態においてユーザ認証は、クライアント120のWindows(登録商標)へのログオン認証とするが、他のOSへのログオン認証、企業のネットワークへのログオン認証等の他のユーザ認証であってもよい。まず、コンテンツ提示型ユーザ認証サービスの使用を希望するユーザは、コンテンツ提示型ユーザ認証プログラムをダウンロードするために、ダウンロード要求送信手段321によってクライアント120から認証サービス提供サーバ110へダウンロード要求を送信する(S501)。本実施形態において、クライアント120からのダウンロード要求の送信は、プログラムダウンロード用に認証サービス提供サーバ110が提供するWebページへのアクセスとする。認証サービス提供サーバ110は、ダウンロード要求受信手段301によりダウンロード要求を受信すると(S502)、年齢及び性別等のユーザの属性を表わすユーザ属性情報の送信をクライアントに要求する(S503)。本実施形態においては、ダウンロード用Webページにおいて、ダウンロードに先立って、ユーザの属性を表わすユーザ属性情報(年齢及び性別)の入力をユーザに要求することにより、ユーザ属性情報要求の送信を行う。クライアント120がユーザ属性情報要求を受信すると(S504)、ユーザは、クライアント120からユーザ属性情報を送信する(S505)。本実施形態においては、ユーザは、キーボード等のユーザインターフェースからこれらの情報をWebページにおいて入力して、認証サービス提供サーバ110へ送信する。認証サービス提供サーバ110は、受信したユーザ属性情報に当該情報の登録年月日を追加するとともに、ユーザIDを割り当てて、ユーザ情報記憶部307に記憶する。本実施形態において、ユーザ情報記憶部307は、図6に示す形態でユーザIDとユーザ属性情報とを関連付けて記憶する。ユーザ属性情報は、生年月日、居住エリア、趣味等を含んでもよいし、年齢、性別及び登録年月日を含まなくともよい。
次に、認証サービス提供サーバ110はプログラム送信手段302により、コンテンツ提示型ユーザ認証プログラム及びインストールプログラムをプログラム記憶部303から読み出してクライアント120へ送信する(S508)。クライアント120はプログラム受信手段322により受信されたインストールプログラムを実行することにより、コンテンツ提示型ユーザ認証プログラムをインストールする(S509)。本実施形態においてインストールとは、認証プログラムをクライアント120のプログラム記憶部323に記憶させるとともに、クライアントのWindowsに組み込まれたログオン認証プログラムによるユーザ認証に代えて、前記コンテンツ提示型ユーザ認証プログラムを起動させるようにWindowsの設定を変更することである。
Windowsにおけるログオン認証プログラムの設定変更は、具体的には以下のようにして実施する。まず、コンテンツ提示型ユーザ認証プログラムをWindows用のDLLファイルとして作成する。ここでは、「SmxGina.dll」という名前のDLLファイルを作成する。ここで、Windowsへのログオン認証画面のプログラムは、以下に示すレジストリのロケーションにおいて「GinaDLL」という名前のキーのデータとして指定されている。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Windows組み込みのログオン認証のモジュールは「msgina.dll」というDLLファイルであり、それが前述した「GinaDLL」という名前のキーのデータに設定されている。当該キーのデータを「SmxGina.dll」に書き換えると、本発明に係る認証方法を実施するログオン認証モジュール「SmxGinaDLL」がログオン認証時に呼び出されることになる。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Windows組み込みのログオン認証のモジュールは「msgina.dll」というDLLファイルであり、それが前述した「GinaDLL」という名前のキーのデータに設定されている。当該キーのデータを「SmxGina.dll」に書き換えると、本発明に係る認証方法を実施するログオン認証モジュール「SmxGinaDLL」がログオン認証時に呼び出されることになる。
コンテンツ提示型ユーザ認証プログラム及びインストールプログラムは一体のプログラムであってもよい。また、ユーザがまずインストールプログラムをダウンロードし、当該ダウンロードされたインストールプログラムを起動すると、このインストールプログラムが、コンテンツ提示型ユーザ認証プログラムをクライアント120にダウンロードさせてもよい。コンテンツ提示型ユーザ認証プログラム及びインストールプログラムを記憶したCD、DVD等の記憶媒体を郵送等によりユーザに送付して、ユーザがこの記憶媒体を用いて自己のクライアントへインストールしてもよい。さらに、コンテンツ提示型ユーザ認証プログラムがWindowsに予め組み込まれたログオン認証プログラムであってもよい。ユーザ属性情報は、コンテンツ提示型ユーザ認証プログラムのダウンロード手順とは独立して、認証サービス提供サーバ110のユーザ属性情報登録用Webページにアクセスして登録してもよい。ユーザから郵送等によってユーザ属性情報を認証サービス提供者へ送付して、これに基づいて、認証サービス提供者が認証サービス提供サーバ110へユーザインターフェースを介して入力してもよい。
次に、認証を受けることになるユーザはパスワードであるワンタイムパスワード導出ルールを認証サービス提供サーバ110に登録する。まず、クライアント120にインストールされたコンテンツ提示型ユーザ認証プログラムをクライアント120のCPU253上で動作させると、ワンタイムパスワード導出ルールを登録するユーザIDを入力する画面が表示される。ユーザは、ユーザID入力手段324を介してユーザIDを入力し、ユーザIDを認証サービス提供サーバ110へ送信する(S510)。認証サービス提供サーバ110は、ユーザIDを受信すると、当該ユーザIDがユーザ情報記憶部307に記憶されているか否かを確認する(S511)。既に記憶されていれば、認証サービス提供サーバ110は、パスワード登録のために2回分のパターン特定情報をクライアント120へ送信する(S512)。登録されていなければ、認証サービス提供サーバ110はNGメッセージを送信し、クライアント120は、登録されていないユーザIDが入力されたことを表示するとともに、再度、ユーザIDを入力するための入力画面を表示する(図示せず)。
クライアント120は2回分のパターン特定情報を受信すると(S513)、それらに基づいて提示パターンを2回表示し、それぞれに対してユーザは、自分が登録しようとするワンタイムパスワード導出ルールに従って、提示パターンに含まれるパターン要素の選択を行って、ワンタイムパスワードを2回入力する(S515)。クライアント120は、入力された2回分のワンタイムパスワードを、認証サービス提供サーバ110に送信する(S516)。
認証サービス提供サーバ110は、2回分のワンタイムパスワードを受信する(S515)。そして、認証サービス提供サーバ110は、送信した2回分のパターン特定情報及び受信したワンタイムパスワードに基づいて、当該ユーザのワンタイムパスワード導出ルールを特定して、当該ユーザのユーザIDと関連付けて、認証サービス提供サーバ110におけるパスワード記憶部306に記憶する(S516)。本実施形態において、パスワード記憶部306は、図7に示す形態でユーザIDとワンタイムパスワード導出ルールとを関連付けて記憶する。認証サービス提供サーバは、パスワードの登録が正常に行われたことを示すOKメッセージをクライアントへ送信する(図示せず)。このOKメッセージを受信したクライアント120は、登録されたワンタイムパスワード導出ルールをクライアント120のディスプレイに表示し、ユーザにワンタイムパスワード導出ルールの確認を行わせて(図示せず)、ユーザ登録を終了する。
ワンタイムパスワード導出ルールは、2回目の提示パターンを、1回目の提示パターンと大きく異なるように工夫して発生させると、2回の提示パターンの提示によってワンタイムパスワード導出ルールを特定することが可能である。2回の提示パターンの提示でワンタイムパスワード導出ルールの特定ができなかった場合は、認証サービス提供サーバ110は、ワンタイムパスワード導出ルールが特定できるまで、新たなパターン特定情報をクライアント120へ送信し、クライアントは当該新たなパターン特定情報に基づいてワンタイムパスワードを送信することを繰り返す(図示せず)。本実施形態においては、認証サービス提供サーバ110から送信されるパターン特定情報は2回分としたが、1回分ずつ送信してもよいし、3回分以上を一度に送信してもよい。
[コンテンツ登録段階]
図8にコンテンツデータ登録段階のフローチャートを示す。まず、コンテンツ提供サーバ140が、コンテンツアップロード要求を認証サービス提供サーバ110に送信する(S801)。典型的には、コンテンツは広告、製品サポート情報等のサービス情報及び楽曲や映画のプロモーション用の楽曲や動画等である。また、ニュース、小説、映画、写真、テレビ番組、アニメ、楽曲、ゲーム及びマンガ等とすることもできる。本実施形態においては、このコンテンツ提供サーバ140からのアップロード要求の送信は、コンテンツアップロード用に認証サービス提供サーバ110が提供するWebページへのアクセスとする。認証サービス提供サーバ110は、コンテンツアップロード要求を受信すると(S802)、コンテンツ情報要求を送信する(S803)。本実施形態においては、認証サービス提供サーバ110は、このWebページにおいて、コンテンツ情報の入力を要求することより、コンテンツ情報要求の送信が行われる。コンテンツ情報は、コンテンツを提供するコンテンツ提供者の名称、コンテンツの内容を表わすコンテンツデータ及びコンテンツ関連情報を含む。コンテンツ関連情報は、コンテンツ提示対象ユーザ条件を含む。コンテンツ提示対象ユーザ条件は、コンテンツ提供者がコンテンツを提示したいと希望する性別(男性又は女性)、年代(たとえば、10代〜20代)とすることができる。コンテンツ関連情報は、コンテンツの内容に応じたその他の情報を含んでもよい。コンテンツ提供サーバ140は、Webページにおいて、コンテンツ情報を入力して送信することにより、コンテンツ情報の送信を実行する(S805)。認証サービス提供サーバ110は、コンテンツ情報を受信すると(S806)、コンテンツ情報にコンテンツID及びコンテンツ提供者IDを割り当て、コンテンツ情報記憶部308に記憶する(S807)。コンテンツ情報記憶部308は、図9に示す形態で、コンテンツID、コンテンツ提供者ID、及びコンテンツ関連情報を関連付けて記憶する。
図8にコンテンツデータ登録段階のフローチャートを示す。まず、コンテンツ提供サーバ140が、コンテンツアップロード要求を認証サービス提供サーバ110に送信する(S801)。典型的には、コンテンツは広告、製品サポート情報等のサービス情報及び楽曲や映画のプロモーション用の楽曲や動画等である。また、ニュース、小説、映画、写真、テレビ番組、アニメ、楽曲、ゲーム及びマンガ等とすることもできる。本実施形態においては、このコンテンツ提供サーバ140からのアップロード要求の送信は、コンテンツアップロード用に認証サービス提供サーバ110が提供するWebページへのアクセスとする。認証サービス提供サーバ110は、コンテンツアップロード要求を受信すると(S802)、コンテンツ情報要求を送信する(S803)。本実施形態においては、認証サービス提供サーバ110は、このWebページにおいて、コンテンツ情報の入力を要求することより、コンテンツ情報要求の送信が行われる。コンテンツ情報は、コンテンツを提供するコンテンツ提供者の名称、コンテンツの内容を表わすコンテンツデータ及びコンテンツ関連情報を含む。コンテンツ関連情報は、コンテンツ提示対象ユーザ条件を含む。コンテンツ提示対象ユーザ条件は、コンテンツ提供者がコンテンツを提示したいと希望する性別(男性又は女性)、年代(たとえば、10代〜20代)とすることができる。コンテンツ関連情報は、コンテンツの内容に応じたその他の情報を含んでもよい。コンテンツ提供サーバ140は、Webページにおいて、コンテンツ情報を入力して送信することにより、コンテンツ情報の送信を実行する(S805)。認証サービス提供サーバ110は、コンテンツ情報を受信すると(S806)、コンテンツ情報にコンテンツID及びコンテンツ提供者IDを割り当て、コンテンツ情報記憶部308に記憶する(S807)。コンテンツ情報記憶部308は、図9に示す形態で、コンテンツID、コンテンツ提供者ID、及びコンテンツ関連情報を関連付けて記憶する。
また、決済サーバ150を用いることで認証サービス提供者とコンテンツ提供者との間のオンライン決済を行うことができる。典型的には、コンテンツが広告である場合には、コンテンツ提供者が認証サービス提供者に対して、広告を配信したユーザID数や広告をユーザに提示した総数等に基づいて広告料の支払いを行う。決済を要求する認証サービス提供サーバ110またはコンテンツ提供サーバ140は、所定のタイミングで、決済サーバ150にアクセスして、前述の支払いを行うための決済要求を行うことができる。コンテンツ提供サーバ140は、決済対象をコンテンツ提供者IDによって特定することができる。
[コンテンツ付認証情報生成段階]
図10にコンテンツ付認証情報生成段階のフローチャートを示す。本段階は、複数またはすべてのユーザIDに対して同時に行ってもよいし、一つのユーザIDに対して行ってもよい。本段階は所定のタイミングにおいて開始される。所定のタイミングは、典型的には、新たなユーザIDが登録されたとき、後述するクライアント120から認証情報要求を認証サービス提供サーバ110が受信したとき、後述する認証情報更新手段によって指定されたタイミングである。まず、パターン特定情報発生手段304が、パターン特定情報を所定の発生規則により複数発生させる(S1001)。所定の発生規則は、典型的には、パターン要素列またはパターンシード値として64桁の乱数を発生させて、それをパターン特定情報とすることである。検証コード生成手段305は、各ユーザID及び各ユーザIDのワンタイムパスワード導出ルールをパスワード記憶部306から読み出す(S1002)。そして、検証コード生成手段305は、発生させられた複数のパターン特定情報のそれぞれに基づいて所定の規則によって特定される提示パターンのそれぞれに対して、各ユーザIDのワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである検証コードを生成する(S1003)。
図10にコンテンツ付認証情報生成段階のフローチャートを示す。本段階は、複数またはすべてのユーザIDに対して同時に行ってもよいし、一つのユーザIDに対して行ってもよい。本段階は所定のタイミングにおいて開始される。所定のタイミングは、典型的には、新たなユーザIDが登録されたとき、後述するクライアント120から認証情報要求を認証サービス提供サーバ110が受信したとき、後述する認証情報更新手段によって指定されたタイミングである。まず、パターン特定情報発生手段304が、パターン特定情報を所定の発生規則により複数発生させる(S1001)。所定の発生規則は、典型的には、パターン要素列またはパターンシード値として64桁の乱数を発生させて、それをパターン特定情報とすることである。検証コード生成手段305は、各ユーザID及び各ユーザIDのワンタイムパスワード導出ルールをパスワード記憶部306から読み出す(S1002)。そして、検証コード生成手段305は、発生させられた複数のパターン特定情報のそれぞれに基づいて所定の規則によって特定される提示パターンのそれぞれに対して、各ユーザIDのワンタイムパスワード導出ルールを適用した結果に一方向関数演算を実施したものである検証コードを生成する(S1003)。
パターン特定情報に基づいて提示パターンを特定するための所定の規則は、パターン特定情報がパターン要素列そのものである場合には、典型的には、パターン要素列に含まれるそれぞれのパターン要素を4つの4×4のマトリクスからなるパターンのそれぞれの要素の位置に配置することである。また、パターン特定情報がパターンシード値である場合には、パターンシード値に基づいてパターン要素列を生成し、それを4つの4×4のマトリクスからなるパターンのそれぞれの要素の位置に配置することにより提示パターンを特定する。例えば、パターンシード値である数字列を一種の初期値とした暗号化演算を実施して、所定のビット長のビット列を生成する。ここでは、所定のビット長は、64の数字からなる提示パターン2190を生成するために十分な情報量である256ビットである。暗号化演算としては、演算結果から元の数字列を求めることが事実上不可能なものであればよく、ハッシュ関数演算、共通鍵暗号化演算、などを使用することができる。例えば、ハッシュ関数としてSHA256を使用して、その所定の数字列を暗号化すると、256ビットのビット列を生成することができる。また、共通鍵暗号化演算としてAESを使用して、その所定の数字列から鍵を生成し、その鍵によってあらかじめ適当に設定した256ビットの数字列を暗号化すると、256ビットのビット列384を生成することができる。次に、256ビットのビット列を77桁の十進数に変換し、そこから64桁の数字を抽出してパターン要素列とする。64桁の数字の抽出は、不要な上位ビット列の削除、不要な下位ビット列の削除、割算などのあらゆる演算を使用することができる。このようにパターンシード値に基づいて所定の規則によって提示パターンを特定すれば、パターンシード値が盗聴などによって盗まれた場合であっても、所定の規則がわからなければ提示パターンを特定することができない。したがって、提示パターンに基づいて入力されたワンタイムパスワードが盗まれたとしても、パスワード導出ルールを特定することはできないため、高いセキュリティを提供することができる。さらにまた、パターンシード値にユーザIDを組み合わせることで提示パターンを特定することもできる。たとえば、ユーザIDとパターンシード値との組み合わせに対してユニークに決定されるパターン要素列であって、そのパターン要素列だけからは元の入力ユーザIDとパターンシード値とを推定することが極めて困難なものを発生させる。典型的には、ユーザIDとパターンシード値との組み合わせを一種の初期値として、前述のパターンシード値のみに基づく場合と同様の手法により提示パターンを特定する。ユーザIDとパターンシード値との組み合わせ方としては、それぞれ16進数で表わしたユーザIDとパターンシード値とを結合、加算、減算、排他的論理和、などのあらゆる演算を使用して組み合わせることができる。パターンシード値にユーザIDを組み合わせることにより、悪意のある第三者による提示パターンの特定がさらに困難となるため、より高いセキュリティを提供することができる。
次に、対象コンテンツ特定手段309は、ユーザ属性情報及びコンテンツ関連情報に基づいて、各ユーザに強制的に提示するコンテンツを特定する処理を行う。すなわち、対象コンテンツ特定手段309は、ユーザ情報記憶部307からユーザID及びユーザ属性情報を読み出すとともに、コンテンツ情報記憶部308からコンテンツID、コンテンツデータ及びコンテンツ関連情報を読み出す(S1004)。そして、対象コンテンツ特定手段309は、ユーザIDのそれぞれに対して、ユーザIDに関連付けられたユーザ属性情報がコンテンツIDに関連付けられたコンテンツ関連情報に含まれるコンテンツ提示対象ユーザ条件を満たす複数のコンテンツIDを特定する。例えば、ユーザID=U000に関連付けられたユーザ属性情報が「性別」=「女性」、「年齢」=「15歳」である場合、コンテンツID=C000は、そのコンテンツ提示対象ユーザ条件が「性別」=「女性」、「年代」=「10代」であるため、ユーザID=C000に対して提示対象として特定される。しかし、コンテンツID=C001のコンテンツ提示対象ユーザ条件が「性別」=「男性」、「年代」=「10代」である場合、コンテンツID=C001はユーザID=U000に対して提示対象として特定されない。また、コンテンツが楽曲等の有料コンテンツである場合には、コンテンツ提示対象ユーザ条件として当該有料コンテンツの購入者であることとし、ユーザ属性情報に、当該有料コンテンツの購入者であるか否かを示す情報を付加してもよい。このようにすることによって、コンテンツ提供者が提示を希望するユーザに対してのみコンテンツを提示することができる。
そして、検証コード生成手段305から受信したパターン特定情報及び検証コードと対象コンテンツ特定手段309から受信した特定された複数のコンテンツIDに基づいて、認証情報記憶部310が、各ユーザIDに対して、各ユーザIDのための複数の認証情報及び特定された複数のコンテンツIDのコンテンツデータを記憶する(S1006)。本明細書において、この複数の認証情報及び複数のコンテンツデータを含む情報をコンテンツ付認証情報という。各認証情報は、パターン特定情報と当該パターン特定情報及びワンタイムパスワード導出ルールに基づいて生成された検証コードとを含む。認証情報記憶部310は、図11に示す形態で、パターン特定情報と検証コードとを含む認証情報及びコンテンツデータをそれぞれユーザIDに関連付けて記憶する。認証情報記憶部310は、クライアント120からの認証情報要求に先立って、コンテンツ付認証情報生成して予め記憶することができる。コンテンツ付認証情報は、ハードディスク等の不揮発性メモリに記憶されてもよいし、RAM等の揮発性メモリに記憶されてもよい。予めコンテンツ付認証情報を生成して記憶しておけばクライアントからの認証情報要求に対して最小のサーバの負担でそれらの情報を提供することが可能となる。また、認証情報要求に応答して、当該認証情報要求を送信したユーザIDについてのコンテンツ付認証情報生成段階が開始されて生成されたコンテンツ付認証情報をクライアント120へ送信するために一時的に記憶することでもよい。この場合、好適には、コンテンツ付認証情報はRAM等の揮発性メモリに記憶される。このようにすることで、ハードディスク等の記憶部の容量を削減することができる。
[コンテンツ付認証情報取得段階]
図12にコンテンツ付認証情報取得段階のフローチャートを示す。本段階において、クライアント120は、ユーザ認証に先立って、複数の認証情報及び複数のコンテンツデータを含むコンテンツ付認証情報を認証サービス提供サーバ110から取得する。クライアント120は、この取得したコンテンツ付認証情報に含まれる複数の認証情報を用いて複数回のユーザ認証を行うことが可能となる。これにより、クライアント120がサーバと接続されていないオフライン状態の場合であっても、すでに取得したコンテンツ付認証情報に含まれる認証情報の数だけの複数回のユーザ認証を行うことができる。以下、本段階について詳細に説明する。
図12にコンテンツ付認証情報取得段階のフローチャートを示す。本段階において、クライアント120は、ユーザ認証に先立って、複数の認証情報及び複数のコンテンツデータを含むコンテンツ付認証情報を認証サービス提供サーバ110から取得する。クライアント120は、この取得したコンテンツ付認証情報に含まれる複数の認証情報を用いて複数回のユーザ認証を行うことが可能となる。これにより、クライアント120がサーバと接続されていないオフライン状態の場合であっても、すでに取得したコンテンツ付認証情報に含まれる認証情報の数だけの複数回のユーザ認証を行うことができる。以下、本段階について詳細に説明する。
まず、認証を受けようとするユーザは認証を受ける前に、認証情報を要求するための認証情報要求をクライアント120の認証情報要求送信手段325により認証サービス提供サーバ110へ送信する(S1201)。認証情報要求には、認証を受けようとするユーザのユーザIDが含まれる。本実施形態において認証情報要求の送信は、認証情報取得用に認証サービス提供サーバ110が提供するWebページにアクセスし、ユーザID入力手段324を介してこのWebページにおいて自分のユーザIDを入力して認証情報を要求することにより実行される。認証サービス提供サーバ110は、認証情報要求受信手段311により、クライアント120から送信された入力ユーザIDを含む認証情報要求を受信するとともに、認証情報要求からユーザIDを抽出する(S1202)。次に、認証サービス提供サーバ110は、認証情報送信手段312により、抽出されたユーザIDに関連付けられた複数の認証情報及び複数のコンテンツデータを含むコンテンツ付認証情報を認証情報記憶部310から読み出して、クライアント120へ送信する(S1203)。認証情報送信手段312により送信されるコンテンツ付認証情報は、認証情報記憶部310においてそのユーザIDに関連付けて記憶されたすべての認証情報及びコンテンツデータを含んでもよいし、それらの一部であってもよい。次に、クライアント120は、認証情報受信手段330により、コンテンツ付認証情報を受信すると、それを入力ユーザIDに関連付けてクライアント120の認証情報記憶部331に記憶する。クライアント120の認証情報記憶部331は、認証サービス提供サーバ110の認証情報記憶部310と同様に、図11に記載した形態でコンテンツ付認証情報を記憶する。以上の動作によって、入力ユーザIDに対応したコンテンツ付認証情報がクライアント120に記憶され、それらに基づいてのユーザ認証の実行が可能となる。なお、コンテンツ付認証情報がクライアント120上に記憶されるため、ユーザ認証時にはサーバと接続されている必要はなく、その状態で、記憶したコンテンツ付認証情報に含まれる認証情報の数だけの複数回のユーザ認証が可能である。
[コンテンツ提示型ユーザ認証段階]
図13にコンテンツ提示型ユーザ認証段階のフローチャートを示す。まず、クライアント120のユーザID入力手段324により、ユーザからユーザIDの入力を受け付ける(S1301)。本実施形態においては、図14に示すWindowsのログオン認証画面A1400をディスプレイに表示することによりユーザIDの入力を促し、ユーザはこのログオン認証画面Aにおいて、ユーザー名フィールドに自己のユーザIDを入力する。Windowsのドメインネットワークへのログオンである場合には、ログオン先フィールドにログオン先のドメインネットワーク名を入力する。
図13にコンテンツ提示型ユーザ認証段階のフローチャートを示す。まず、クライアント120のユーザID入力手段324により、ユーザからユーザIDの入力を受け付ける(S1301)。本実施形態においては、図14に示すWindowsのログオン認証画面A1400をディスプレイに表示することによりユーザIDの入力を促し、ユーザはこのログオン認証画面Aにおいて、ユーザー名フィールドに自己のユーザIDを入力する。Windowsのドメインネットワークへのログオンである場合には、ログオン先フィールドにログオン先のドメインネットワーク名を入力する。
次に、クライアント120の認証情報選択手段332は、入力ユーザIDに関連付けられた認証情報記憶部331における複数の認証情報の中から、所定の規則により1つの認証情報を選択して読み出す(S1302)。本実施形態においては、選択される認証情報としては、次に認証サービス提供サーバ110から認証情報を新しく取得して記憶するまでは、記憶された複数の認証情報のうち、当該ユーザの認証に使用するためにすでに選択されたものは選択されない。このようにすることによって、1回のユーザ認証ごとに、異なる提示パターンを表示させることができ、総当り攻撃を排除できるため、よりセキュリティを向上させることができる。認証情報が例えば100個記憶されている場合は、新しく認証情報を取得するまでの間、連続して100回、ユーザ認証を実施することができることになる。選択されていない認証情報が少なくなってくると、その旨の警告が表示される。すべての認証情報が選択されてしまうと、それ以上の新しいユーザ認証はできない。
次に、コンテンツ選択手段336は、認証情報記憶部331における入力ユーザIDに関連付けられた複数のコンテンツデータの中から、所定の規則によりコンテンツデータを選択して読み出し、コンテンツ提示手段337が、選択された所定数のコンテンツデータに基づいて、コンテンツを強制的にユーザに提示する(S1303)。典型的には、コンテンツデータ選択のための所定の規則とは、認証情報記憶部のメモリアドレスの順番に選択することである。本実施形態においては、選択されるコンテンツデータとしては、次に認証サービス提供サーバ110から新たなコンテンツ付認証情報を取得して記憶するまでは、記憶された複数のコンテンツデータのうち、当該ユーザの認証のためにすでに選択されたものは選択されない。そして、記憶された複数の認証情報がすべて選択されたときに、記憶されたコンテンツデータがすべて選択されるように、コンテンツ選択手段336がコンテンツデータを選択する。例えば、コンテンツ付認証情報には認証情報の3倍の数のコンテンツデータが含まれ、コンテンツ選択手段336は、1回の認証の度に3つのコンテンツデータを選択する。このようにすることにより、認証サービス提供サーバ110から送信されたコンテンツデータは必ずユーザに強制的に提示されることが保障されるから、コンテンツが実際に提示される回数の把握が容易になる。したがって、例えば、コンテンツが広告である場合には、広告料の計算を明確に行えるようになる。また、典型的には、コンテンツの提示は、Windowsのログオン認証画面A1400において、ユーザー名フィールドに自己のユーザIDを入力してユーザ認証の要求した後、提示パターンを1403含むログオン認証画面B1402を表示する前に、コンテンツ提示画面1401において3つのコンテンツを5秒ずつ表示する。このようにすることにより、ユーザは、ユーザ認証のためにディスプレイを見ているから確実にユーザにコンテンツを視聴させることができる。
次に、クライアント120のパターン要素列生成手段333が選択された認証情報に含まれるパターン特定情報に基づいてパターン要素列を生成し、パターン表示手段334が生成されたパターン要素列のそれぞれのパターン要素を4つの4×4のマトリクスからなるパターンのそれぞれの要素の位置に配置した提示パターン1403の画像を生成して表示する(S1304)。検証コード生成手段305に関連して前述した所定の規則により、パターン特定情報に基づいて提示パターンを特定することができる。典型的には、図14に示されるように、コンテンツ提示画面1401に続いて、提示パターン1403を含むログオン認証画面B1402がクライアント120の画面に表示される。なお、パターン特定情報がパターン要素列そのものである場合には、パターン要素列生成手段333は、認証情報からパターン要素列を読み出してそのままパターン表示手段334へ出力する。
次に、認証を受けようとするユーザは、ワンタイムパスワード入力手段335により、クライアント120の画面に表示された提示パターン1403の特定の位置に表示されたパターン要素を順番に選択することによって、自分のワンタイムパスワード導出ルールを提示パターン1403に適用した結果であるワンタイムパスワードをクライアント120に入力する(S1305)。クライアント120のユーザ認証手段338は、ワンタイムパスワード入力手段335によって入力されたワンタイムパスワードに一方向関数演算を実施したものと、選択された認証情報に含まれた検証コードとを比較し(S1306)、それらが等しければ、当該ユーザのユーザ認証を成功させる。等しくない場合は、パターン特定情報に基づいて提示パターンを再度表示して、ワンタイムパスワードの再入力を促してもよい(S1304、S1305)。再度表示する提示パターンのための認証情報は再度選択してもよいし、再利用してもよい。また、再度ユーザIDの入力をユーザに促すためにS1301に戻ってもよい。クライアントにおいてワンタイムパスワードに適用される一方向関数演算と、認証情報に含まれる検証コードを認証サービス提供サーバにおいて生成する際に適用された位置方向関数演算とは同じものである。
コンテンツの提示は、ログオン認証画面A1400及びログオン認証画面B1402を表示しつつ画面の所定の位置において行ってもよいし、ログオン認証が成功した後に行ってもよい。ログイン認証が成功した後のコンピュータ起動等の処理によりある程度のコンピュータの操作ができない時間が発生するため、それに際してユーザにコンテンツを提示すればユーザに負担をかけることなくコンテンツの強制提示を行うことができる。コンテンツが楽曲である場合には、ログオン認証処理を行っている間、出力し続けてもよい。
ユーザ認証に際してコンテンツを提示することにより、ユーザ認証のためにクライアントを操作しているユーザは必ずコンテンツを視聴することとなる。そして、提示されるコンテンツは、コンテンツ提示対象ユーザ条件に基づいてユーザごとに適切に特定されたものであるからユーザは自己に興味のあるコンテンツを視聴することが可能となる。また、コンテンツが広告である場合には、広告が適切なユーザに視聴されることが保障されるため、効果的に宣伝を行うことができる。
[コンテンツ付認証情報再取得段階]
コンテンツ付認証情報に含まれる複数の認証情報は、それぞれ一度だけ使用し、一度使用された認証情報は使用しないことが好ましい。ユーザ認証に際しては毎回異なる認証情報を使用して異なる提示パターンを表示させることにより、総当り攻撃を排除し、より高いセキュリティを提供することができるからである。したがって、一度使用された認証情報を使用しない構成とした場合、クライアント120において取得したコンテンツ付認証情報に含まれる認証情報がすべて使用された場合、または、所定数使用された場合等に、クライアント120は、新たな認証情報を取得するため、新たなコンテンツ付認証情報を再取得する。また、コンテンツ付認証情報を以前に取得してから一定時間経過しているような場合には、コンテンツ付認証情報に含まれるコンテンツが古い情報となっている場合が考えられる。このような場合においても、新たなコンテンツ付認証情報を再取得することが好ましい。
コンテンツ付認証情報に含まれる複数の認証情報は、それぞれ一度だけ使用し、一度使用された認証情報は使用しないことが好ましい。ユーザ認証に際しては毎回異なる認証情報を使用して異なる提示パターンを表示させることにより、総当り攻撃を排除し、より高いセキュリティを提供することができるからである。したがって、一度使用された認証情報を使用しない構成とした場合、クライアント120において取得したコンテンツ付認証情報に含まれる認証情報がすべて使用された場合、または、所定数使用された場合等に、クライアント120は、新たな認証情報を取得するため、新たなコンテンツ付認証情報を再取得する。また、コンテンツ付認証情報を以前に取得してから一定時間経過しているような場合には、コンテンツ付認証情報に含まれるコンテンツが古い情報となっている場合が考えられる。このような場合においても、新たなコンテンツ付認証情報を再取得することが好ましい。
図15にコンテンツ付認証情報再取得段階のフローチャートを示す。クライアント120は、ユーザ認証が成功した後、認証されたユーザIDに関連付けられてクライアント120の認証情報記憶部331に記憶されたすべての認証情報が当該ユーザIDの認証のために選択されたか否かを確認する(S1501)。
すべての認証情報が使用された場合には、クライアント120の認証情報要求送信手段325が、再度、そのユーザIDについての認証情報要求を送信する(S1502)。本実施形態においては、認証サービス提供サーバ110が提供する認証情報取得用のWebページにアクセスして、新たな認証情報を再取得することを促す画面をクライアント120のディスプレイに表示する。この表示に従ってユーザは、認証情報取得用のWebページにアクセスし、このWebページにおいて自分のユーザIDを入力して認証情報を要求する。
認証サービス提供サーバ110は、この認証情報要求を認証情報要求送信手段311により受信すると、認証要求に含まれたユーザIDを抽出する(S1503)。そして、認証情報送信手段312が、認証情報記憶部310からこのユーザIDに関連付けられたコンテンツ付認証情報を読み出して、ネットワーク130を通じて、クライアント120へ再送信する(S1504)。ここで再送信されるコンテンツ付認証情報に含まれる認証情報は、既に送信されたことが認証情報とは異なるものであることが好ましい。前述のとおり、異なる認証情報を使用することにより、異なる提示パターンを表示させることができ、総当り攻撃を排除できるため、よりセキュリティを向上させることができるからである。
クライアント120は、再送信されたコンテンツ付認証情報を認証情報受信手段330によって受信し、認証情報記憶部331にそのユーザIDに関連付けられて記憶することにより、コンテンツ付認証情報を更新する(S1505)。ここで説明したコンテンツ付認証情報再取得段階は、ユーザ認証が開始する前のような他のタイミングでおこなってもよい。
[情報更新段階]
認証サービス提供サーバ110におけるユーザ情報記憶部307、コンテンツ情報記憶部308及び認証情報記憶部310に記憶された情報を所定のタイミングで更新する手段を有してもよい。例えば、ユーザ情報更新手段は、1年に1回、ユーザ情報の登録日時から1年以上経過しているユーザ情報記憶部307におけるユーザ情報の年齢を登録日時からの経過年に応じて更新する。コンテンツ情報更新手段は、コンテンツ情報記憶部308に記憶されたコンテンツが登録から一定期間経過した場合には削除する。また、認証情報更新手段は、所定のタイミングでパターン特定情報発生手段を動作させ、ユーザ情報記憶部307及びコンテンツ情報記憶部308の最新の情報に基づいて、新たなコンテンツ付認証情報を認証情報記憶部310に記憶させる。所定のタイミングは、典型的には、一定間隔ごとや、新たなユーザが登録されたときや、ユーザ情報更新手段やコンテンツ情報更新手段によってそれぞれの情報が更新されたときである。また、ユーザ情報記憶部307、パスワード情報記憶部306及びコンテンツ情報記憶部308に記憶された情報が更新されたタイミングとしてもよい。
認証サービス提供サーバ110におけるユーザ情報記憶部307、コンテンツ情報記憶部308及び認証情報記憶部310に記憶された情報を所定のタイミングで更新する手段を有してもよい。例えば、ユーザ情報更新手段は、1年に1回、ユーザ情報の登録日時から1年以上経過しているユーザ情報記憶部307におけるユーザ情報の年齢を登録日時からの経過年に応じて更新する。コンテンツ情報更新手段は、コンテンツ情報記憶部308に記憶されたコンテンツが登録から一定期間経過した場合には削除する。また、認証情報更新手段は、所定のタイミングでパターン特定情報発生手段を動作させ、ユーザ情報記憶部307及びコンテンツ情報記憶部308の最新の情報に基づいて、新たなコンテンツ付認証情報を認証情報記憶部310に記憶させる。所定のタイミングは、典型的には、一定間隔ごとや、新たなユーザが登録されたときや、ユーザ情報更新手段やコンテンツ情報更新手段によってそれぞれの情報が更新されたときである。また、ユーザ情報記憶部307、パスワード情報記憶部306及びコンテンツ情報記憶部308に記憶された情報が更新されたタイミングとしてもよい。
[第2の実施形態におけるコンテンツ提示型認証システム]
次に、本発明に係る第2の実施形態に係るコンテンツ提示型ユーザ認証システムの説明を、第1の実施形態に係るコンテンツ提示型ユーザ認証システムとの相違点を中心に説明する。第1の実施形態と同様の構成及び同様のステップについては、同じ番号により参照する。図16は、図2に示された認証サービス提供サーバ110及びクライアント120のハードウェア構成において、認証サービス提供サーバ110のCPU200上でユーザ認証支援アプリケーションを動作させ、クライアント120のCPU253上でコンテンツ提示型認証プログラムを動作させることにより実現される本実施形態における認証サービス提供サーバ110及びクライアント120の本実施形態における機能ブロック図を示す。
次に、本発明に係る第2の実施形態に係るコンテンツ提示型ユーザ認証システムの説明を、第1の実施形態に係るコンテンツ提示型ユーザ認証システムとの相違点を中心に説明する。第1の実施形態と同様の構成及び同様のステップについては、同じ番号により参照する。図16は、図2に示された認証サービス提供サーバ110及びクライアント120のハードウェア構成において、認証サービス提供サーバ110のCPU200上でユーザ認証支援アプリケーションを動作させ、クライアント120のCPU253上でコンテンツ提示型認証プログラムを動作させることにより実現される本実施形態における認証サービス提供サーバ110及びクライアント120の本実施形態における機能ブロック図を示す。
以下、第1の実施形態と異なる機能ブロックについて説明する。対象コンテンツサーバ110の対象コンテンツ特定手段1601は、認証サービス提供サーバ110のCPU200及びRAM201などがユーザ認証支援アプリケーションなどのソフトウェアと協働することによって実現される機能ブロックであり、ユーザ属性情報及びコンテンツ関連情報に基づいて、各ユーザに強制的に提示する複数のコンテンツID及びそれらのコンテンツ提示属性情報とを一回のユーザ認証において使用される所定数ごとに特定し、認証情報記憶部1602に出力するものである。認証情報記憶部1602は、認証サービス提供サーバ110のCPU200、RAM201及びプログラム記憶部206及び情報記憶部207などがユーザ認証支援アプリケーションなどのソフトウェアと協働することによって実現される機能ブロックであり、ユーザID、各ユーザIDのための認証情報、コンテンツデータ及びコンテンツ提示属性情報をそれぞれ関連付けて記憶し、認証情報送信手段312へコンテンツ付認証情報1607として出力するものであり、各認証情報に対してコンテンツデータ及びコンテンツ提示属性情報は直接的に関連付けられている。認証情報記憶部1602は、コンテンツ付認証情報をハードディスク等の不揮発性メモリに記憶するものでもよいし、RAM等の揮発性メモリに記憶するものでもよい。
クライアント120の認証情報記憶部1603は、クライアント120のRAM252、CPU253及び256などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックである。認証情報記憶部1603は、認証情報受信手段330によって受信されたコンテンツ付認証情報1607を記憶するものである。認証情報記憶部1603は、コンテンツ付認証情報をハードディスク等の不揮発性メモリに記憶してもよいし、RAM等の揮発性メモリに一時的に記憶してもよい。認証情報選択手段1604は、クライアント120のRAM252及びCPU253などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックであり、ユーザID入力手段324から受信されたユーザIDについての一つのコンテンツ付認証情報パックを選択して読み出すことにより認証情報を選択し、そのコンテンツ付認証情報パックに含まれる認証情報をパターン要素列生成手段333及びユーザ認証手段338に出力し、そのコンテンツ付認証情報パックをコンテンツ選択手段1605に出力するものである。コンテンツ選択手段1605は、クライアント120のRAM252及びCPU253などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックであり、認証情報選択手段1604から受信されたコンテンツ付認証情報パックに含まれるコンテンツデータ及びコンテンツ提示属性情報を抽出することにより、選択された認証情報に関連付けられたコンテンツデータを選択し、コンテンツ提示手段1606に出力するものである。コンテンツ提示手段1606は、クライアント120の外部/ネットワークインターフェース250、ユーザインターフェース251、RAM252及びCPU253などが認証プログラムなどのソフトウェアと協働することによって実現される機能ブロックであり、コンテンツ選択手段1605から受信されたコンテンツデータ及びコンテンツ提示属性情報に基づいてコンテンツを強制的にユーザに提示するものである。
次に、第2の実施形態におけるコンテンツ提示型ユーザ認証システムの動作について説明する。本実施形態においては、コンテンツIDに関連付けられたコンテンツ関連情報はさらに、当該コンテンツIDに関連付けられたコンテンツの希望提示条件を含む。希望提示条件は、そのコンテンツを一回のユーザ認証処理に際して提示したい回数を示す希望提示回数、そのコンテンツを一回のユーザ認証処理に際して提示したい時間を示す希望提示時間及びそのコンテンツの連続提示を許容するか否かを示す連続提示可否情報を含む。したがって、コンテンツ登録段階(図8)において、これらの希望提示条件もまた、コンテンツ関連情報に含まれてコンテンツ提供サーバ140から認証サービス提供サーバ110に送信され(S805)、認証サービス提供サーバ110のコンテンツ情報記憶部308にコンテンツIDに関連付けて記憶される(S807)。
そして、第2の実施形態におけるコンテンツ付認証情報生成段階のフローチャートを図17に示す。以下、第1の実施形態と異なるステップについて説明する。対象コンテンツ特定手段1601は、ユーザIDのそれぞれに対して、ユーザIDに関連付けられたユーザ属性情報がコンテンツIDに関連付けられたコンテンツ関連情報に含まれるコンテンツ提示対象ユーザ条件を満たす複数のコンテンツIDを特定する(S1005)。そして、各ユーザIDに対して特定されたコンテンツIDを、ユーザに対して提示する順番に所定の規則に従って並べる(S1700)。そして、一回のユーザ認証において提示される複数のコンテンツIDを一組の第1のコンテンツパックとしてグループ化し、ユーザIDとグループ化されたコンテンツIDとを関連付けた第1の対象コンテンツテーブルとして一時的にRAM201に記憶する(S1701)。典型的には、特定されたコンテンツIDはランダムに並べられるが、認証サービス提供サーバ110においてコンテンツ関連情報に提示優先順位を含ませて、この提示優先順位が高い順番に並べる等の他の方法で並べてもよい。また、本実施形態においては、1回のユーザ認証において提示するコンテンツは3つとする。したがって、1つの第1のコンテンツパックには3つのコンテンツIDが含まれる。典型的には、第1の対象コンテンツパックテーブルは、図18(A)に示す形態で記憶される。
さらに、対象コンテンツ特定手段1601は、各コンテンツIDに関連付けられたコンテンツ関連情報に含まれる希望提示条件を満たすように、第1の対象コンテンツテーブルにおけるコンテンツIDの並べ替えを行うとともに、各コンテンツIDに関連するコンテンツ関連情報に含まれる希望提示条件に従って各コンテンツの提示方法を示すコンテンツ提示属性情報を生成する。そして、1回のユーザ認証において提示する複数のコンテンツIDとそれらのコンテンツ提示属性情報とを第2のコンテンツパックとしてグループ化し、複数の第2のコンテンツパックをユーザIDに関連付けて第2の対象コンテンツテーブルとして一時的にRAM201に記憶する。典型的には、第2の対象コンテンツテーブルは、図18(B)に示すテーブルの形態で記憶される(S1702)。
例えば、図18(A)において、ユーザID=U000に対して特定された複数のコンテンツIDをランダムに並べた後、メモリアドレスの順番に3つずつコンテンツIDを含む第1のコンテンツパック(1)〜(R)にグループ化して第1の対象コンテンツテーブルを作成する。第1の対象コンテンツテーブルの第1のコンテンツパック(1)には3つのコンテンツID=C000〜C002が含まれる。そして、コンテンツID=C000の希望提示条件が、「希望提示回数」=「2回」、「希望提示時間」=「5秒」、「連続提示可否情報」=「不可」であり、コンテンツID=C001の希望提示条件が、「希望提示回数」=「1回」、「希望提示時間」=「5秒」、「連続提示可否情報」=「不可」であるとする。この場合、コンテンツID=C000を第2の対象コンテンツテーブルの第2のコンテンツパック(1)の第1番目の提示用メモリ1801及び第3番目の提示用メモリ1803に割り当てるとともに、それぞれに対して「提示時間」=「5秒」、連続提示=「無」を示すコンテンツ提示属性情報を生成して関連付ける。そして、コンテンツID=C001を第2のコンテンツパック(1)の第2番目の提示用メモリ1802に割り当てるとともに、「提示時間」=「5秒」、「連続提示」=「無」を示すコンテンツ提示属性情報を関連付ける。第2のコンテンツパック(1)には、コンテンツID=C002を割り当てるメモリがないため、第2のコンテンツパック(2)へ割り当てられる。同様の処理をすべての第1のコンテンツパック(1)〜(R)に対して実行して、第2の対象コンテンツテーブル(1)〜(S)を生成する。また、連続提示有りの場合は、1つのコンテンツデータで連続するコンテンツデータを表わすことができる。例えば、1つのコンテンツデータを3回連続で提示する場合、図18(B)の第2のコンテンツパック(S)のように、1つのコンテンツパックに含まれるコンテンツデータ及びコンテンツ提示属性情報は1つずつとなる。
次に、認証情報記憶部1602は、各ユーザIDに対して、第2の対象コンテンツテーブルにおける第2のコンテンツパックを1つずつ順に読み出し、第2のコンテンツパックにおけるコンテンツIDを当該コンテンツIDに関連付けられたコンテンツデータに置き換えるとともに、複数の認証情報のそれぞれに関連付けてコンテンツ付認証情報として記憶する(S1703)。コンテンツ付認証情報は、複数のコンテンツ付認証情報パックを含む。コンテンツ付認証情報パックは、1つの認証情報とそれに関連付けられた複数のコンテンツデータとそれらのコンテンツデータに関連付けられたコンテンツ提示属性情報とを含む。認証情報には、パターン特定情報と当該パターン特定情報に基づいて得られた検証コードとを含む。典型的には、コンテンツ付認証情報は図19に示した形態で記憶される。第1の実施形態におけるコンテンツ付認証情報においては、複数の認証情報及び複数のコンテンツデータはそれぞれユーザIDに関連付けられるが、認証情報とコンテンツデータとは直接的には関連付けられてはいない。これに対して、第2の実施形態においては、それぞれの認証情報に対して直接的にコンテンツIDに対応するコンテンツデータを関連付けて記憶する。コンテンツデータ及びコンテンツ提示属性情報は、認証情報にそれぞれ個別に関連付けられてもよいし、複数のコンテンツデータ及びそれらのコンテンツ提示属性情報をグループ化して、各グループと認証情報とを関連付けてもよい。そして、クライアント120においては、ユーザ認証の際に使用する認証情報を選択すると、その認証情報に関連付けられたコンテンツデータをユーザに提示する。このように認証情報にコンテンツデータが関連付けられていると、クライアント120においては、容易に提示すべきコンテンツデータを選択することができるため、クライアント120の計算処理資源を有効に利用することができる。また、第1の実施形態と同様に、認証情報記憶部1602は、コンテンツ付認証情報を予め記憶しておくものでもよいし、認証情報要求に応答して生成して送信する際に一時的に記憶するものでもよい。
次に、コンテンツ付認証情報取得段階において、認証サービス提供サーバ110は、クライアント120からユーザIDを含む認証情報要求を受信すると(S1202)、受信した認証情報要求に含まれるユーザIDに関連付けられた、認証情報、コンテンツデータ及びコンテンツ提示属性情報を含むコンテンツ付認証情報をクライアント120へ送信する(S1203)。クライアント120は、このコンテンツ付認証情報を受信して認証情報記憶部331に記憶する(S1204)。
第2の実施形態におけるコンテンツ提示型ユーザ認証段階のフローチャートを図20に示す。クライアントは、第1の実施形態と同様に、認証を受けようとするユーザIDの入力を受け(S1301)、認証情報選択手段1604がこの入力ユーザIDに関連付けられた複数の認証情報の中から、所定の規則により1つの認証情報を選択する(S1302)。本実施形態においては、認証情報選択手段1604は、一つのコンテンツ付認証情報パックを選択して読み出すことにより、そのコンテンツ付認証情報に含まれる認証情報を選択する。典型的には、認証情報を選択する所定の規則は、メモリアドレスの順番に選択することである。コンテンツ選択手段1605は、認証情報選択手段1604から受信されたコンテンツ付認証情報パックに含まれる複数のコンテンツデータ及びそれらのコンテンツ提示属性情報を抽出することにより、選択された認証情報に関連付けられたコンテンツを選択し、選択されたコンテンツデータ及びコンテンツ提示属性情報をコンテンツ提示手段1606に与える。認証情報選択手段1604とコンテンツ選択手段1605とは一体の機能ブロックとして動作してもよい。コンテンツ提示手段1606は、与えられたコンテンツデータに基づいてコンテンツをユーザに強制的に提示する(S2001)。また、コンテンツ提示手段1606は、各コンテンツデータに関連付けられたコンテンツ提示属性情報にしたがって、コンテンツの提示時間及び連続提示するか否かを決定する。例えば、「コンテンツ提示時間」=「5秒」、「連続提示有無」=「有(2回)」である場合には、当該コンテンツを5秒間提示した後、再度5秒間提示する。このように、コンテンツ付認証情報パックに基づき、ユーザ認証に際して、コンテンツが所定の提示形態で提示されることになる。
以上に説明してきた各実施形態は、本発明を説明するための例示であり、本発明はこれらの実施形態に限定されるものではない。本発明は、その要旨を逸脱しない限り、種々の形態で実施することができる。
100 コンテンツ提示型認証システム
110 認証サービス提供サーバ
120 クライアント
130 ネットワーク
140 コンテンツ提供サーバ
150 決済サーバ
200 CPU
201 RAM
202 ユーザインターフェース
203 外部/ネットワークインターフェース
204 記憶装置
206 プログラム記憶部
207 情報記憶部
250 外部/ネットワークインターフェース
251 ユーザインターフェース
252 RAM
253 CPU
254 記憶装置
256 情報記憶部
301 ダウンロード要求受信手段
302 プログラム送信手段
303 プログラム記憶部
304 パターン特定情報発生手段
305 検証コード生成手段
306 パスワード記憶部
307 ユーザ情報記憶部
308 コンテンツ情報記憶部
309 対象コンテンツ特定手段
310 認証情報記憶部
311 認証情報要求受信手段
312 認証情報送信手段
321 ダウンロード要求送信手段
322 プログラム受信手段
324 ユーザID入力手段
325 認証情報要求送信手段
330 認証情報受信手段
331 認証情報記憶部
332 認証情報選択手段
333 パターン要素列生成手段
334 パターン表示手段
335 ワンタイムパスワード入力手段
336 コンテンツ選択手段
337 コンテンツ提示手段
338 ユーザ認証手段
1400 ログオン認証画面A
1401 コンテンツ提示画面
1402 ログオン認証画面B
1403 提示パターン
1601 対象コンテンツ特定手段
1602 認証情報記憶部
1604 認証情報選択手段
1605 コンテンツ選択手段
1606 コンテンツ提示手段
1801 提示用メモリ
1802 提示用メモリ
1803 提示用メモリ
2100 オフラインユーザ認証システム
2101 オフライン認証支援サーバ
2102a ユーザID
2102b ワンタイムパスワード導出ルール
2151 オフライン認証クライアント
2152 ユーザID入力手段
2156 ワンタイムパスワード入力手段
2165 ユーザ認証手段
2181 ユーザID
2190 パターン要素列
2193 検証コード
2210 提示パターン
2300 キーボード
2310 ワンタイムパスワード
110 認証サービス提供サーバ
120 クライアント
130 ネットワーク
140 コンテンツ提供サーバ
150 決済サーバ
200 CPU
201 RAM
202 ユーザインターフェース
203 外部/ネットワークインターフェース
204 記憶装置
206 プログラム記憶部
207 情報記憶部
250 外部/ネットワークインターフェース
251 ユーザインターフェース
252 RAM
253 CPU
254 記憶装置
256 情報記憶部
301 ダウンロード要求受信手段
302 プログラム送信手段
303 プログラム記憶部
304 パターン特定情報発生手段
305 検証コード生成手段
306 パスワード記憶部
307 ユーザ情報記憶部
308 コンテンツ情報記憶部
309 対象コンテンツ特定手段
310 認証情報記憶部
311 認証情報要求受信手段
312 認証情報送信手段
321 ダウンロード要求送信手段
322 プログラム受信手段
324 ユーザID入力手段
325 認証情報要求送信手段
330 認証情報受信手段
331 認証情報記憶部
332 認証情報選択手段
333 パターン要素列生成手段
334 パターン表示手段
335 ワンタイムパスワード入力手段
336 コンテンツ選択手段
337 コンテンツ提示手段
338 ユーザ認証手段
1400 ログオン認証画面A
1401 コンテンツ提示画面
1402 ログオン認証画面B
1403 提示パターン
1601 対象コンテンツ特定手段
1602 認証情報記憶部
1604 認証情報選択手段
1605 コンテンツ選択手段
1606 コンテンツ提示手段
1801 提示用メモリ
1802 提示用メモリ
1803 提示用メモリ
2100 オフラインユーザ認証システム
2101 オフライン認証支援サーバ
2102a ユーザID
2102b ワンタイムパスワード導出ルール
2151 オフライン認証クライアント
2152 ユーザID入力手段
2156 ワンタイムパスワード入力手段
2165 ユーザ認証手段
2181 ユーザID
2190 パターン要素列
2193 検証コード
2210 提示パターン
2300 キーボード
2310 ワンタイムパスワード
Claims (11)
- 提示パターン内の特定の位置の要素を含むワンタイムパスワードを導出する元である、認証の対象であるユーザによってパスワードとして前記提示パターン内のパターン要素に適用されるワンタイムパスワード導出ルールを用いて実行されるユーザ認証の間に、前記ユーザに一方的にコンテンツを提示するコンテンツ提示型ユーザ認証をクライアントに行わせるためのコンテンツ提示型認証システムであって、
前記コンテンツ提示型認証システムは、認証サービス提供サーバとクライアントとを含み、
(A)前記認証サービス提供サーバは、(i)前記ユーザのユーザID及び前記ユーザのパスワード、(ii)前記ユーザ認証の間に一方的に提示されるそれぞれのコンテンツを記述するコンテンツデータ、及び(iii)前記コンテンツのコンテンツID、を管理するように構成され、
前記認証サービス提供サーバは、
前記ユーザIDと当該ユーザの属性を表わすユーザ属性情報とを関連付けて記憶するユーザ情報記憶部と、
前記ユーザIDと前記ワンタイムパスワード導出ルールとを関連付けて記憶するパスワード記憶部と、
前記提示パターンを特定するための複数のパターン特定情報の組を所定の発生規則により発生するパターン特定情報発生手段と、
前記ワンタイムパスワードに一方向関数演算を実施したものである検証コードを生成する検証コード生成手段と、
ユーザ認証時に強制的に提示されるコンテンツのそれぞれに対して、(i)前記コンテンツID、(ii)前記コンテンツデータ、及び(iii)当該コンテンツが提示されることになるユーザを特定するために使用されるコンテンツ提示対象ユーザ条件を含むコンテンツ関連情報、を前記それぞれのコンテンツに関連付けて記憶するコンテンツ情報記憶部と、
特定のユーザのユーザ属性情報を満たすコンテンツ提示対象ユーザ条件を有するコンテンツの前記コンテンツIDを特定する対象コンテンツ特定手段と、
(i)前記検証コードと当該検証コードを生成するために用いられた前記パターン特定情報とを含む前記複数の認証情報の組、及び、(ii)前記ユーザの前記ユーザ属性を満たすと特定されたコンテンツについての複数のコンテンツデータの組を前記各ユーザIDに関連付けて記憶する認証情報記憶部と、
認証を受けようとするユーザのユーザIDを含む認証情報要求を前記クライアントからネットワークを通じて受信する認証情報要求受信手段と、
前記受信したユーザIDに関連付けられて記憶された前記複数の認証情報の組及び前記複数のコンテンツデータの組を含む前記コンテンツ付認証情報を前記クライアントに送信するコンテンツ付認証情報送信手段と、
を有し、
(B)前記クライアントは、前記コンテンツ提示型ユーザ認証を行わせるためのコンテンツ提示型ユーザ認証プログラム及びプロセッサを有し、前記コンテンツ提示型ユーザ認証プログラムが前記プロセッサで動作することにより、
ユーザからユーザIDの入力を受け付けるユーザID入力手段と、
入力された前記ユーザIDを含む認証情報要求を前記認証サービス提供サーバに前記ネットワークを通じて送信する認証情報要求送信手段と、
前記認証サービス提供サーバから送信されたコンテンツ付認証情報を前記ネットワークを通じて受信するコンテンツ付認証情報受信手段と、
受信したコンテンツ付認証情報を記憶する認証情報記憶手段と、
前記受信したコンテンツ付認証情報に含まれる1つの認証情報の組を選択する認証情報選択手段と、
前記選択された認証情報の組に含まれるパターン特定情報に基づいて、パターン要素列を生成するパターン要素列生成手段と、
前記生成されたパターン要素列に基づいて提示パターンを生成し、前記生成された提示パターンを画面に表示させるパターン表示手段と、
前記提示パターン内に表示されたパターン要素に前記ワンタイムパスワード導出ルールを適用した前記ユーザからワンタイムパスワードの入力を受け付けるワンタイムパスワード入力手段と、
入力された前記ワンタイムパスワードに前記一方向関数演算を実施したものと前記選択された認証情報の組に含まれる前記検証コードとを比較し、それらが等しい場合に前記ユーザの認証を成功させるユーザ認証手段と、
前記受信したコンテンツ付認証情報に含まれる前記複数のコンテンツデータの組から所定の規則にしたがってユーザ認証の間に一方的に提示するコンテンツのコンテンツデータの組を選択するコンテンツ選択手段と、
当該選択された組のコンテンツデータのコンテンツを、ユーザ認証の間に前記ユーザに提示するコンテンツ提示手段と、
を実現することを特徴とするコンテンツ提示型認証システム。 - 請求項1に記載のコンテンツ提示型認証システムにおいて、
前記コンテンツ提示型ユーザ認証を、前記クライアントに前記コンテンツ提示型ユーザ認証プログラムを前記クライアント上にインストールして、前記クライアント上に元からインストールされたOS組込ユーザ認証プログラムによって実施されるユーザ認証に代えて、実行するものであり、
前記コンテンツ提示型ユーザ認証プログラムを前記クライアントにインストールするためにインストールプログラムが前記クライアントの前記プロセッサによって実行され、前記OS組込ユーザ認証プログラムに代えて前記コンテンツ提示型ユーザ認証プログラムを起動させるように前記クライアントのOSの設定を変更することを特徴とするコンテンツ提示型認証システム。 - 請求項2に記載のコンテンツ提示型認証システムにおいて、
前記コンテンツ提示型ユーザ認証プログラムは前記認証サービス提供サーバから前記クライアントにダウンロードされるものであり、
前記認証サービス提供サーバは、
(i)コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを記憶するプログラム記憶部と、
(ii)前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムのダウンロード要求を前記クライアントから前記ネットワークを通じて受信するダウンロード要求受信手段と、
(iii)前記クライアントからのダウンロード要求に応答して、当該クライアントに前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを前記ネットワークを通じて送信するプログラム送信手段と、
を有し、
前記クライアントは、
(i)前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムの送信を要求するダウンロード要求を前記ネットワークを通じて前記認証サービス提供サーバへ送信するダウンロード要求送信手段と、
(ii)前記認証サービス提供サーバから前記コンテンツ提示型ユーザ認証プログラム及び前記インストールプログラムを受信するプログラム受信手段と、
(iii)受信したプログラムを記憶するプログラム記憶部と、を含むことを特徴とするコンテンツ提示型認証システム。 - 請求項1から3のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記コンテンツは広告であることを特徴とするコンテンツ提示型認証システム。 - 請求項1から4のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記認証サービス提供サーバの認証情報記憶部はさらに、各ユーザIDに関連する複数のコンテンツデータの組を当該ユーザIDに関連付けて記憶された複数の認証情報の組に関連付けて記憶し、
前記クライアントにおける前記コンテンツ選択手段は、前記ユーザを認証し、ユーザ認証の間に前記コンテンツを提示するために選択された認証情報の組に関連付けられたコンテンツデータの組を選択することを特徴とするコンテンツ提示型認証システム。 - 請求項1から5のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記コンテンツ関連情報は、前記コンテンツ関連情報に関連するコンテンツに対して、(i)前記関連するコンテンツを前記ユーザ認証の間に提示したい回数、(ii)前記関連するコンテンツを前記ユーザ認証の間に提示を実行する希望時間、及び(iii)前記関連するコンテンツの連続提示を許容するか否かを示す連続提示可否情報、の少なくとも1つを含む希望提示条件を含み、
前記対象コンテンツ特定手段はさらに、
前記希望提示条件に基づいて、(i)前記関連するコンテンツの提示時間、及び(ii)前記関連するコンテンツを連続提示するか否かを示す連続提示情報のうちの少なくともいずれか1つを含むコンテンツ提示属性情報を作成し、前記関連するコンテンツの前記コンテンツデータに関連付けて、当該コンテンツ提示属性情報を前記認証情報記憶部に記憶し、
前記認証サービス提供サーバから前記クライアントへ送信される前記コンテンツ付認証情報は前記コンテンツ提示属性情報をさらに含み、
前記コンテンツ提示手段はさらに、
前記前記コンテンツ提示属性情報にしたがって、前記ユーザ認証の間に一方的に前記関連するコンテンツをユーザに提示することを特徴とするコンテンツ提示型認証システム。 - 請求項1から6のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記クライアントの前記認証情報選択手段は、当該クライアントの前記認証情報記憶手段に特定のユーザのために記憶されたコンテンツ付認証情報に含まれる前記複数の認証情報の組の内のすでに選択された認証情報は選択しないように構成され、
前記特定のユーザに対する前記複数の認証情報の組が選択されると、
前記クライアントの前記認証情報要求送信手段は、前記ネットワークを通じて前記特定のユーザの前記ユーザIDを含む新たな認証情報要求を送信し、
前記認証サービス提供サーバの認証情報要求受信手段は、当該新たな認証情報要求を前記クライアントから前記ネットワークを通じて受信し、
前記認証サービス提供サーバの前記コンテンツ付認証情報送信手段は、前記特定のユーザのための新たなコンテンツ付認証情報を前記クライアントに送信し、
前記クライアントのコンテンツ付認証情報受信手段が、前記認証サービス提供サーバから送信された前記新たなコンテンツ付認証情報を前記ネットワークを通じて受信し、
前記クライアントのコンテンツ付認証情報記憶手段部が、前記受信したコンテンツ付認証情報によって、前記特定のユーザのための前記記憶されたコンテンツ付認証情報を更新するように構成されていることを特徴とするコンテンツ提示型認証システム。 - 請求項1から7のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記認証サービス提供サーバはさらに、(i)前記ユーザ情報記憶部に記憶された情報を更新するユーザ情報更新手段、(ii)前記認証情報記憶部に記憶された情報を更新する認証情報更新手段、及び(iii)前記コンテンツ情報記憶部に記憶された情報を更新するコンテンツ情報更新手段、の少なくとも一つを有することを特徴とするコンテンツ提示型認証システム。 - 請求項1から8のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記認証サービス提供サーバの前記対象コンテンツ特定手段は、各ユーザIDに対して、前記ユーザIDについての前記ユーザ属性情報を満たすコンテンツ提示対象ユーザ条件を持つ複数のコンテンツIDを再特定し、
前記再特定された複数のコンテンツIDによって、前記認証情報記憶部を更新するように構成されていることを特徴とするコンテンツ提示型認証システム。 - 請求項1から9のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記パターン要素列生成手段は、前記パターン特定情報に加えて、ユーザIDにさらに基づいてパターン要素列を生成することを特徴とするコンテンツ提示型認証システム。 - 請求項1から10のいずれか1項に記載のコンテンツ提示型認証システムにおいて、
前記ユーザ属性情報は各ユーザの年齢及び性別のうちの少なくとも1つを含むことを特徴とするコンテンツ提示型認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010282849A JP5480122B2 (ja) | 2010-12-20 | 2010-12-20 | コンテンツ提示型認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010282849A JP5480122B2 (ja) | 2010-12-20 | 2010-12-20 | コンテンツ提示型認証システム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010541603A Division JP4654329B1 (ja) | 2010-02-15 | 2010-02-15 | コンテンツ提示型認証システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2011165174A JP2011165174A (ja) | 2011-08-25 |
| JP2011165174A5 JP2011165174A5 (ja) | 2013-04-04 |
| JP5480122B2 true JP5480122B2 (ja) | 2014-04-23 |
Family
ID=44595728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010282849A Active JP5480122B2 (ja) | 2010-12-20 | 2010-12-20 | コンテンツ提示型認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5480122B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6878486B2 (ja) * | 2019-03-29 | 2021-05-26 | 楽天グループ株式会社 | 情報処理装置、情報処理方法、プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003323143A (ja) * | 2002-05-08 | 2003-11-14 | Toppan Printing Co Ltd | 広告配信用サーバ、現金自動預入払機、及び広告配信方法 |
| JP3996939B2 (ja) * | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
| US20070277224A1 (en) * | 2006-05-24 | 2007-11-29 | Osborn Steven L | Methods and Systems for Graphical Image Authentication |
-
2010
- 2010-12-20 JP JP2010282849A patent/JP5480122B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011165174A (ja) | 2011-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4654329B1 (ja) | コンテンツ提示型認証システム | |
| US11178121B2 (en) | Secure software updates | |
| JP7434342B2 (ja) | 個別化されたネットワークサービスのためのコンテナビルダ | |
| JP3939736B1 (ja) | ユーザ認証システム、およびその方法 | |
| US9148415B2 (en) | Method and system for accessing e-book data | |
| US11277400B2 (en) | Reminder terminal apparatus and authentication method | |
| EP2657871A2 (en) | Secure configuration of mobile application | |
| CN110574350B (zh) | 执行优先生成第二因素认证的方法和系统 | |
| JPWO2019239591A1 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
| CA3092611C (en) | Secure password management systems, methods and apparatuses | |
| US20140230031A1 (en) | Secure Configuration of Mobile Application | |
| US20080172750A1 (en) | Self validation of user authentication requests | |
| US10218505B1 (en) | Server based settings for client software with asymmetric signing | |
| US11328096B2 (en) | Data bundle generation and deployment | |
| US20160147999A1 (en) | Method And Apparatus For Applying A Customer Owned Encryption | |
| US20150074415A1 (en) | Image Verification By An Electronic Device | |
| KR102026279B1 (ko) | 애플리케이션을 관리하는 방법 | |
| JP5480122B2 (ja) | コンテンツ提示型認証システム | |
| JPWO2017029708A1 (ja) | 個人認証システム | |
| US12081673B2 (en) | User authentication system, user authentication server, and user authentication method | |
| JP7200776B2 (ja) | 情報処理システム及びプログラム | |
| JP2009003700A (ja) | アプリケーション所定処理許可プログラム | |
| KR20040027826A (ko) | 컴퓨터 파일 변형을 이용한 소프트웨어 보호 방법 | |
| JP2007065789A (ja) | 認証システム及び方法 | |
| JP6125441B2 (ja) | 管理装置、管理システム、管理方法及び管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130214 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140213 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5480122 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |