JP2009009235A - 相互認証システム及び相互認証方法 - Google Patents

相互認証システム及び相互認証方法 Download PDF

Info

Publication number
JP2009009235A
JP2009009235A JP2007168007A JP2007168007A JP2009009235A JP 2009009235 A JP2009009235 A JP 2009009235A JP 2007168007 A JP2007168007 A JP 2007168007A JP 2007168007 A JP2007168007 A JP 2007168007A JP 2009009235 A JP2009009235 A JP 2009009235A
Authority
JP
Japan
Prior art keywords
authentication
user
information
server
mobile phone
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007168007A
Other languages
English (en)
Other versions
JP5037238B2 (ja
Inventor
Yukiko Sawatani
雪子 澤谷
Akira Yamada
山田  明
Masaru Miyake
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007168007A priority Critical patent/JP5037238B2/ja
Publication of JP2009009235A publication Critical patent/JP2009009235A/ja
Application granted granted Critical
Publication of JP5037238B2 publication Critical patent/JP5037238B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】仮に、認証サーバからの情報の漏洩があっても、そのリスクを的確に回避し、かつ、携帯電話が電波圏外にある場合や、電波オフモードなどの場合にも的確に認証処理を実行できる相互認証システム及び相互認証方法を提供する。
【解決手段】クライアント端末と、携帯電話端末と、ウェブサーバと、ユーザの認証情報のうち、携帯電話端末の所持認証を実行する第1の認証サーバと、ユーザの認証情報のうち、ユーザの知識認証あるいは生体認証を実行する第2の認証サーバと、を備え、携帯電話端末が、通信可能状態である場合に、ユーザの認証情報を第1の認証サーバに送信するとともに、第1の認証サーバが受信したユーザの認証情報のうち、知識認証情報あるいは生体認証情報を前記第2の認証サーバに送信する。
【選択図】図1

Description

本発明は、インターネット接続における相互認証システム及び相互認証方法に関し、特に、キーロガーやフィッシング詐欺による被害を防ぐことができる相互認証システム及び相互認証方法に関する。
キーボードからの入力を監視してパスワードを盗用するキーロガーや、正規のサイトを装って偽証サイトに誘導し、暗証番号やクレジットカード番号などを搾取するフィッシング詐欺等、インターネットを利用した各種の詐欺が横行している。そこで、従来より、このような詐欺の被害からユーザを守るための技術が提案されている。
特許文献1に示されているものは、インターネットに接続している端末に存在するキーロガーやスパイウェアの脅威に対し、物理デバイスとしてあらかじめ電話番号を登録済みの携帯電話機や固定電話機を使用し、コールバックによる利用者確認を行う事で、物理デバイスの特定と利用者の特定をするものであり、「なりすまし」を防御することができる。また、利用者はユーザIDとして電話番号を利用するため、ユーザIDやパスワードを覚える必要が無く、また、ワンタイムパスワードなどの入力の手間が省けるものである。
非特許文献1に示されているものは、ユーザのパーソナルコンピュータからのウェブサイトアクセス時に、携帯電話からパーソナルコンピュータを経由して認証要求をウェブサイトに送信して認証を行うものである。認証情報をユーザのパーソナルコンピュータに直接入力しないため、キーロガーのようなスパイウェアによる認証情報の漏洩を防止することができる。また、認証時に携帯電話内でアクセス先が正規のウェブサイトであることを携帯電話キャリアに確認するため、フィッシング詐欺を狙った偽装サイトへの誘導を防止することもできる。
非特許文献2に示されているものは、携帯電話の個体識別番号をカギの代わりにし、認証サーバ上であらかじめ登録された個体識別番号や付加認証条件の確認を行う認証プラットフォームであり、「登録された携帯電話を持っている」という要素と、「携帯電話から認証条件を入力する」という複合要素によって、本人を確実に認証するものである。そのため、非特許文献2に示されるものでは、複製不可能な携帯電話をカギとして認証に利用し、登録された携帯電話そのものを持っていないと認証ができないため、登録者本人以外の「なりすまし」を防ぐことができる。また、パーソナルコンピュータのインターネット上および携帯電話ネットワーク上の2経路に認証データを分散させることで、安全性の向上が図れる。
非特許文献3に示されているものは、リモートアクセスやショッピングサイトなどにて認証を行う際、既存の携帯電話を利用し、確実な個人認証を行うシステムであり、ウェブブラウザ上で認証を行う際は、ユーザIDのみを入力し、それを受けサーバがユーザIDに対応した携帯電話にダイヤルする。そして、ユーザは、携帯電話からのアナウンスに従い、携帯電話の数字ボタンを押しパスワードを入力し、認証を行うものである。
上記の従来技術は、クライアント認証として、所持認証(携帯電話を持っていることにより行う認証)と、知識認証(パスワードを知っているかどうかで行う認証)または生体認証(本人の生体情報による認証)の組み合わせによる二要素認証方式をとっている。また、パソコンのキーボードで認証情報(パスワード等)を打ち込まないシステムであるため、キーロガーなどに対する耐性が強いという特徴がある。
また、非特許文献1に開示された技術では、携帯電話に情報を保存しているため、サーバ認証も同時に行うことができ、特許文献1、非特許文献2および3に開示された技術では、予め決められた認証サーバと通信を行うため、フィッシング詐欺を防ぐことができるという特徴がある。
特開2006−33780号公報 インターネット<URL:http://www.nec.co.jp/press/ja/0610/0203.html> インターネット<URL:http://www.synclock.jp> インターネット<URL:http://www.netmarks.co.jp/newsrelease/060118.html>
しかしながら、特許文献1および非特許文献1から3に記載の技術では、クライアント認証のための所持認証情報と、知識認証または生体認証情報とが認証サーバに一元管理されているために、認証サーバが情報を漏洩した際のリスクが高いという問題がある。
また、特許文献1および非特許文献2、3に記載の技術では、携帯電話が電波圏外にある場合や、電波オフモードなどの場合、所持情報を示すことが難しいという問題点があった。
そこで、本発明は、上述の課題を鑑みてなされたものであり、仮に、認証サーバからの情報の漏洩があっても、そのリスクを的確に回避し、かつ、携帯電話が電波圏外にある場合や、電波オフモードなどの場合にも的確に認証処理を実行できる相互認証システム及び相互認証方法を提供することを目的とする。
本発明は、上記の課題を解決するために、以下の事項を提案している。
(1)本発明は、クライアント端末(例えば、図1のクライント端末1に相当)と、該クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末(例えば、図1の携帯電話端末2に相当)と、前記クライアント端末に、ウェブサーバ情報とセッションIDとを送信するウェブサーバ(例えば、図1のウェブサーバ3に相当)と、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバ(例えば、図1の携帯電話所持認証サーバ7に相当)と、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバ(例えば、図1のパスワード認証サーバ8に相当)と、を備え、前記携帯電話端末が、通信可能状態である場合に、前記ユーザの認証情報を前記第1の認証サーバに送信するとともに、前記第1の認証サーバが受信した前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を前記第2の認証サーバに送信することを特徴とする相互認証システムを提案している。
この発明によれば、所持認証を実行する第1の認証サーバと、知識認証あるいは生体認証を実行する第2の認証サーバとをそれぞれ備え、携帯電話端末が、通信可能状態である場合に、所持認証情報、知識認証情報あるいは生体認証情報を含むユーザの認証情報を第1の認証サーバに送信するとともに、第1の認証サーバが受信したユーザの認証情報のうち、知識認証情報あるいは生体認証情報を第2の認証サーバに送信する。したがって、所持認証を実行する第1の認証サーバと、知識認証あるいは生体認証を実行する第2の認証サーバとを分離して設けたことから、第1の認証サーバおよび第2の認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの「なりすまし」を防止することができる。
(2)本発明は、(1)の相互認証システムについて、前記携帯電話端末が、前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を暗号化(例えば、図3の暗号化部28に相当)して、前記第1の認証サーバに送信することを特徴とする相互認証システムを提案している。
この発明によれば、携帯電話端末が、ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を暗号化して、第1の認証サーバに送信する。したがって、ユーザの認証情報の中継を行う第1の認証サーバに、その内容を知られることなく、知識認証情報あるいは生体認証情報を第2の認証サーバに送信することができる。
(3)本発明は、(2)の相互認証システムについて、前記携帯電話端末が、前記セッションIDを前記クライアント端末から受信し、前記セッションIDを用いたワンタイムパスワードにより、前記知識認証情報あるいは生体認証情報の暗号化を行うことを特徴とする相互認証システムを提案している。
この発明によれば、携帯電話端末が、セッションIDをクライアント端末から受信し、セッションIDを用いたワンタイムパスワードにより、知識認証情報あるいは生体認証情報の暗号化を行う。したがって、知識認証情報あるいは生体認証情報の暗号化にセッションIDを用いることから、セッションごとに異なるワンタイムパスワードが生成され、仮に、盗聴をされても安全性を保持することができる。
(4)本発明は、(1)から(3)の相互認証システムについて、前記携帯電話端末の所持認証情報として、前記携帯電話端末の固有IDを用いることを特徴とする相互認証システムを提案している。
この発明によれば、携帯電話端末の所持認証情報として、携帯電話端末の固有IDを用いる。したがって、固有IDによって、簡易かつ一意に、携帯電話端末の所持認証を実行することができる。
(5)本発明は、クライアント端末(例えば、図1のクライント端末1に相当)と、該クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末(例えば、図1の携帯電話端末2に相当)と、前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバ(例えば、図1のウェブサーバ3に相当)と、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバ(例えば、図1の携帯電話所持認証サーバ7に相当)と、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバ(例えば、図1のパスワード認証サーバ8に相当)と、を備え、前記携帯電話端末が、通信不能状態である場合に、前記クライアント端末を介して、前記ユーザの認証情報を前記第1の認証サーバに送信するとともに、前記第1の認証サーバが受信した前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を前記第2の認証サーバに送信することを特徴とする相互認証システムを提案している。
この発明によれば、所持認証を実行する第1の認証サーバと、知識認証あるいは生体認証を実行する第2の認証サーバとをそれぞれ備え、携帯電話端末が、通信不能状態である場合に、クライアント端末を介して、所持認証情報、知識認証情報あるいは生体認証情報を含むユーザの認証情報を第1の認証サーバに送信するとともに、第1の認証サーバが受信したユーザの認証情報のうち、知識認証情報あるいは生体認証情報を第2の認証サーバに送信する。したがって、携帯電話端末が電波圏外にある場合や電波オフモードの場合でも、クライアント認証が可能であり、また、第1の認証サーバおよび第2の認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの「なりすまし」を防止することができる。
(6)本発明は、(5)の相互認証システムについて、前記携帯電話端末が、前記ユーザの認証情報を暗号化(例えば、図9のワンタイムパスワード生成部73に相当)し、前記クライアント端末を介して、前記第1の認証サーバに送信することを特徴とする相互認証システムを提案している。
この発明によれば、携帯電話端末が、ユーザの認証情報を暗号化し、クライアント端末を介して、第1の認証サーバに送信する。したがって、クライント端末と第1の認証サーバ間の通信路で盗聴があっても、安全性を維持することができる。
(7)本発明は、(6)の相互認証システムについて、前記携帯電話端末が、前記セッションIDを前記クライアント端末から受信し、前記セッションIDを用いたワンタイムパスワードにより、前記ユーザの認証情報の暗号化を行うことを特徴とする相互認証システム提案している。
この発明によれば、携帯電話端末が、セッションIDをクライアント端末から受信し、セッションIDを用いたワンタイムパスワードにより、ユーザの認証情報の暗号化を行う。したがって、ユーザの認証情報の暗号化にセッションIDを用いることから、セッションごとに異なるワンタイムパスワードが生成され、仮に、盗聴をされても安全性を保持することができる。
(8)本発明は、(5)から(7)の相互認証システムについて、前記携帯電話端末の所持認証情報として、前記携帯電話端末の固有IDを用いることを特徴とする相互認証システム提案している。
この発明によれば、携帯電話端末の所持認証情報として、携帯電話端末の固有IDを用いる。したがって、固有IDによって、簡易かつ一意に、携帯電話端末の所持認証を実行することができる。
(9)本発明は、(5)から(8)の相互認証システムについて、前記携帯電話端末および前記第1の認証サーバがともに、共有鍵を保存し、前記携帯電話端末が、前記共有鍵を用いて計算したMAC値を表示するとともに、前記第1の認証サーバが、前記共有鍵を用いて計算したMAC値と前記セッションIDとを前記第2の認証サーバを介して、前記ウェブサーバに送信し、前記ウェブサーバが、前記セッションIDが一致する前記クライアント端末に前記共有鍵を用いて計算したMAC値を表示することを特徴とする相互認証システム提案している。
この発明によれば、携帯電話端末および第1の認証サーバがともに、共有鍵を保存し、携帯電話端末が、共有鍵を用いて計算したMAC値を表示するとともに、第1の認証サーバが、共有鍵を用いて計算したMAC値とセッションIDとを第2の認証サーバを介して、ウェブサーバに送信し、ウェブサーバが、セッションIDが一致するクライアント端末に共有鍵を用いて計算したMAC値を表示する。したがって、携帯電話端末に表示されたMAC値と、クライアント端末に表示されたMAC値とを比較することにより、正規の第1の認証サーバにユーザの認証情報を送信できたか否かを的確に検証することができる。
(10)本発明は、クライアント端末と、前記クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバと、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバとからなる相互認証システムにおける相互認証方法であって、前記クライアント端末が、前記ウェブサーバにアクセスする第1のステップ(例えば、図8のステップS1に相当)と、前記ウェブサーバがウェブサーバ情報とセッションIDとを前記クライアント端末に送信する第2のステップ(例えば、図8のステップS2に相当)と、前記携帯電話端末が、前記クライアント端末を介して、前記ウェブサーバ情報とセッションIDとを受信する第3のステップ(例えば、図8のステップS3に相当)と、前記携帯電話端末に前記第2の認証サーバ用のパスワードを入力する第4のステップ(例えば、図8のステップS5に相当)と、前記携帯電話端末が、通信可能状態である場合に、前記第1の認証サーバに、セッションIDと暗号化された前記第2の認証サーバ用のパスワードと前記携帯電話端末固有の情報とを送信する第5のステップ(例えば、図8のステップS6に相当)と、前記第1の認証サーバが、受信した前記携帯電話端末固有の情報からユーザを特定し、前記第2の認証サーバと共有するユーザのIDを検索し、該ユーザのIDと、第2の認証サーバにおける認証情報およびセッションIDを送信する第6のステップ(例えば、図8のステップS7、S8に相当)と、前記第2の認証サーバが前記ユーザのIDからユーザを特定し、前記認証情報を検証する第7のステップ(例えば、図8のステップS9に相当)と、前記第2の認証サーバにおける検証が正常に終了したときに、前記ウェブサーバが前記セッションIDの一致するユーザの認証が完了した旨を前記クライアント端末に送信する第8のステップ(例えば、図8のステップS10に相当)と、を有することを特徴とする相互認証方法提案している。
この発明によれば、クライアント端末が、ウェブサーバにアクセスし、ウェブサーバがウェブサーバ情報とセッションIDとをクライアント端末に送信する。携帯電話端末は、クライアント端末を介して、ウェブサーバ情報とセッションIDとを受信し、携帯電話端末に第2の認証サーバ用のパスワードを入力する。携帯電話端末は、通信可能状態である場合に、第1の認証サーバに、セッションIDと暗号化された第2の認証サーバ用のパスワードと携帯電話端末固有の情報とを送信し、第1の認証サーバが、受信した携帯電話端末固有の情報からユーザを特定して、第2の認証サーバと共有するユーザのIDを検索し、ユーザのIDと、第2の認証サーバにおける認証情報およびセッションIDを送信する。そして、第2の認証サーバがユーザのIDからユーザを特定し、認証情報を検証するとともに、第2の認証サーバにおける検証が正常に終了したときに、ウェブサーバがセッションIDの一致するユーザの認証が完了した旨をクライアント端末に送信する。したがって、第1の認証サーバおよび第2の認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの成りすましを防止することができる。
(11)本発明は、クライアント端末と、前記クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバと、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバとからなる相互認証システムにおける相互認証方法であって、前記クライアント端末が、前記ウェブサーバにアクセスする第1のステップ(例えば、図12のステップS11に相当)と、前記ウェブサーバがウェブサーバ情報とセッションIDとを前記クライアント端末に送信する第2のステップ(例えば、図12のステップS12に相当)と、前記携帯電話端末が、前記クライアント端末を介して、前記ウェブサーバ情報とセッションIDとを受信する第3のステップ(例えば、図12のステップS13に相当)と、前記携帯電話端末に前記第2の認証サーバ用のパスワードを入力する第4のステップ(例えば、図12のステップS15に相当)と、前記携帯電話端末が、通信不能状態である場合に、前記第1の認証サーバに、セッションIDと、ユーザIDと、暗号化された前記第2の認証サーバ用のパスワードおよび暗号化された前記携帯電話端末固有の情報を送信する第5のステップ(例えば、図12のステップS18に相当)と、前記第1の認証サーバが、受信した前記ユーザIDと予め格納されたユーザIDとからユーザを特定するとともに、暗号化された前記携帯電話端末固有の情報を検証して、前記第2の認証サーバと共有するユーザのIDを検索する第6のステップ(例えば、図12のステップS19に相当)と、前記第1の認証サーバが、前記携帯電話端末と共有する共有鍵を用いて、MAC値を計算する第7のステップ(例えば、図12のステップS19に相当)と、前記第1の認証サーバが前記第2の認証サーバと共有するユーザのIDと、前記暗号化された前記第2の認証サーバ用のパスワードと、セッションIDおよび前記計算したMAC値を前記第2の認証サーバに送信する第8のステップ(例えば、図12のステップS20に相当)と、前記第2の認証サーバが前記ユーザのIDからユーザを特定し、前記暗号化された前記第2の認証サーバ用のパスワードを検証する第9のステップ(例えば、図12のステップS21に相当)と、前記ウェブサーバが前記第2の認証サーバから送信されたセッションIDと一致するユーザの前記クライアント端末に、前記第2の認証サーバから送信されたMAC値を表示する第10のステップ(例えば、図12のステップS22に相当)と、を有することを特徴とする相互認証方法提案している。
この発明によれば、クライアント端末が、ウェブサーバにアクセスし、ウェブサーバがウェブサーバ情報とセッションIDとをクライアント端末に送信する。携帯電話端末は、クライアント端末を介して、ウェブサーバ情報とセッションIDとを受信し、携帯電話端末に第2の認証サーバ用のパスワードを入力する。携帯電話端末は、通信不能状態である場合に、第1の認証サーバに、セッションIDと、ユーザIDと、暗号化された第2の認証サーバ用のパスワードおよび暗号化された携帯電話端末固有の情報を送信し、第1の認証サーバが、受信したユーザIDと予め格納されたユーザIDとからユーザを特定するとともに、暗号化された携帯電話端末固有の情報を検証して、第2の認証サーバと共有するユーザのIDを検索する。そして、第1の認証サーバが、携帯電話端末と共有する共有鍵を用いて、MAC値を計算し、第1の認証サーバが第2の認証サーバと共有するユーザのIDと、暗号化された第2の認証サーバ用のパスワードと、セッションIDおよび計算したMAC値を第2の認証サーバに送信し、第2の認証サーバがユーザのIDからユーザを特定し、暗号化された第2の認証サーバ用のパスワードを検証するとともに、ウェブサーバが第2の認証サーバから送信されたセッションIDと一致するユーザのクライアント端末に、第2の認証サーバから送信されたMAC値を表示する。したがって、携帯電話端末が電波圏外にある場合や電波オフモードの場合でも、クライアント認証が可能であり、また、第1の認証サーバおよび第2の認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの成りすましを防止することができる。
本発明によれば、クライアント認証を実行する認証サーバを所持認証を実行する第1の認証サーバと、知識認証あるいは生体認証を実行する第2の認証サーバとに分離したことから、第2の認証サーバが必要以上にユーザのプライバシー情報を管理する必要がないという効果がある。
また、本発明によれば、第1の認証サーバを経由して第2の認証サーバに送信される知識認証情報あるいは生体認証情報を暗号化することから、第1の認証サーバに知識認証情報あるいは生体認証情報が露見することがないという効果がある。
また、本発明によれば、携帯電話端末が電波圏外にある場合や電波オフモードの場合でも、クライアント認証が可能であるという効果がある。さらに、クライアント認証を実行する認証サーバを所持認証を実行する第1の認証サーバと、知識認証あるいは生体認証を実行する第2の認証サーバとに分離したことから、成りすましによって、一方の認証サーバを仮に通過できても、もう一方の認証サーバにより、不正者をブロックできるため、クライアント認証を従来よりも強固にすることができるという効果がある。
以下、本発明の実施の形態について図面を参照しながら説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<第1の実施形態>
以下、図1から図8を用いて、本発明の第1の実施形態について詳細に説明する。
図1は、本実施形態のシステム構成を示すものである。図1において、クライアント端末1は、ユーザが保有しているパーソナルコンピュータである。
クライアント端末1は、図2に示すように、制御部11と、記憶部12と、入力部13と、表示部14と、通信部15とを備えている。制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成される。記憶部12は、HDD(Hard Disk Drive)等から構成される。入力部13は、キーボードやマウス等からなる。表示部14は、LCD(Liquid Crystal Display)ディスプレイやCRT(Cathode−Ray Tube)ディスプレイからなる。通信部15は、ネットワーク5と接続するものである。
図1において、携帯電話端末2は、クライアント端末1と同一のユーザが保有しているもので、携帯電話端末2としては、例えば、ネットワーク網に接続可能なカメラ付き携帯電話端末が用いられる。
携帯電話端末2は、図3に示すように、通信部21と、音声処理部22と、制御部23と、カメラ24と、入力部25と、表示部26とを備えている。また、携帯電話端末2は、例えば、クライアント端末1に表示された二次元バーコード(QRコード)をカメラ24で撮影し、撮影された二次元バーコード(QRコード)をデコードするバーコードデコーダ27を有している。また、ユーザの知識認証情報あるいは生体認証情報を、例えば、ワンタイムパスワード化する暗号化部28を有している。更に、携帯電話端末2は、携帯電話固有情報(電話番号、アドレス、サブスクライバID、個体識別番号等)を格納する携帯電話固有情報保存部29と、ウェブサーバ情報保存部30とを有している。
図1において、ウェブサーバ3は、ウェブページを提供しているサーバである。ウェブサーバ3は、図4に示すように、ウェブページ情報保存部31と、制御部32と、通信部33とを備えている。また、ウェブサーバ3は、認証時に、セッションIDやサーバ情報を二次元バーコード(QRコード)にエンコードして送信するためのバーコードエンコーダ35が設けられている。
図1において、キャリアサーバ4は、携帯電話端末2を管理、運営している会社のサーバである。キャリアサーバ4は、図5に示すように、ユーザ情報保存部41と、ウェブサーバ情報保存部42と、制御部44と、通信部45とを有している。ユーザ情報保存部41には、ユーザ情報として、ユーザの氏名や、携帯電話固有情報(電話番号、アドレス、サブスクライバID、個体識別番号等)が保存されている。キャリアサーバ4は、携帯電話端末2を管理、運営している会社のサーバであるから、これらの情報は、ユーザが携帯電話端末2を購入する際に取得されている。
図1において、ネットワーク5は、例えばインターネット網である。クライアント端末1、ウェブサーバ3、キャリアサーバ4は、ネットワーク5を介して接続される。また、携帯電話端末2は、移動回線網6を介して、ネットワーク5に接続可能とされている。
図1において、携帯電話所持認証サーバ7は、ユーザのクライアント認証処理のうち、携帯電話の所持認証を実行するサーバであり、キャリアサーバ4に接続されている。携帯電話所持認証サーバ7は、図6に示すように、受信部51と、ユーザ特定部52と、共有ID記憶部53と、送信部54とを有している。
受信部51は、携帯電話端末2からユーザの所持認証情報や知識認証情報あるいは生体認証情報を受信し、所持認証情報をユーザ特定部52に出力するとともに、知識認証情報あるいは生体認証情報を送信部54に出力し、送信部54がパスワード認証サーバ8に知識認証情報あるいは生体認証情報を送信する。ユーザ特定部52は、受信部51から入力した所持認証情報に基づいて、ユーザを特定するとともに、パスワード認証サーバ8と共用するユーザに関するIDを共有ID記憶部53から取得し、送信部54を介して、これをパスワード認証サーバ8に送信する。
図1において、パスワード認証サーバ8は、ユーザのクライアント認証処理のうち、知識認証あるいは生体認証を実行するサーバであり、ウェブサーバ3に接続されている。パスワード認証サーバ8は、図7に示すように、受信部61と、ユーザ特定部62と、共有ID記憶部63と、認証情報検証部64と、送信部65とを有している。
受信部61は、携帯電話所持認証サーバ7からユーザの知識認証情報あるいは生体認証情報、共有ID等を受信し、共有IDをユーザ特定部62に出力するとともに、知識認証情報あるいは生体認証情報を認証情報検証部64に出力する。ユーザ特定部62は、受信部61から入力した共有IDに基づいて、ユーザを特定し、認証情報検証部64は、入力した知識認証情報あるいは生体認証情報を検証する。また、送信部65は、認証情報検証部64における検証結果をウェブサーバ3に送信する。
次に、本実施形態のシステムの処理について、図8のシーケンス図を参照しながら説明する。なお、本実施形態では、携帯電話端末2が、電波圏内にあるものとする。
まず、ユーザがクライアント端末1を使ってウェブサーバ3にアクセスを行う(ステップS1)。ウェブサーバ3は、例えば、バーコードエンコーダ35を用いて、ウェブサーバ情報とセッションIDをQRコードなどの2次元コードに変換してユーザのクライアント端末1に送信する(ステップS2)。
携帯電話端末2は、受信したQRコードをカメラ24で撮影して取り込み、バーコードデコーダ27を用いてデコードする(ステップS3)。さらに、携帯電話端末2は、受信したウェブサーバ情報をウェブサーバ情報保存部30に保存しているウェブサーバ情報と比較し検証を実行する(ステップS4)。そして、ユーザが、携帯電話端末2の入力部25を構成するキーボードを用いてパスワードを入力する(ステップS5)。
次に、携帯電話端末2は、暗号化部28において、受信したセッションIDとパスワードからワンタイムパスワードを生成し、生成したワンタイムパスワードを含む認証情報をパスワード認証サーバ8へ送信する(ステップS6)。ここで、認証情報としては、1)セッションIDとパスワード認証サーバ8との共有鍵で暗号化されたパスワード、あるいは、2)パスワード認証サーバ8との共有鍵で暗号化されたパスワードおよびセッションID、あるいは、3)セッションIDと、セッションIDとパスワードとから生成されたワンタイムパスワード、あるいは、4)セッションIDと、パスワード認証サーバ8との共有鍵、パスワード、セッションIDとから生成されたワンタイムパスワードのいずれかが挙げられる。
携帯電話所持認証サーバ7は、ユーザ特定部52において、アクセスしてきた携帯電話端末2のサブスクライバIDからユーザを特定し、パスワード認証サーバ8と共有するユーザに関する共有IDを共有ID記憶部53から呼び出す(ステップS7)。
携帯電話所持認証サーバ7は、パスワード認証サーバ8へ共有ID、パスワード認証サーバ8への認証情報、及びセッションIDを送信する(ステップS8)。なお、例えば、ユーザがアクセスしているサイトがフィッシングサイト等であった場合には、パスワード認証サーバ8が携帯電話所持認証サーバ7に対して、エラーを送信し、さらに、携帯電話所持認証サーバ7が携帯電話端末2にエラーを送信する。
パスワード認証サーバ8は、受信した共有IDに基づいて、ユーザ特定部62がユーザを特定し、認証情報検証部64がワンタイムパスワードを検証する(ステップS9)。そして、パスワード認証サーバ8から検証結果を受信したウェブサーバ3は、セッションIDが一致するユーザへ認証が完了したことをクライアント端末1に通知する(ステップS10)。
したがって、本実施形態によれば、携帯電話所持認証サーバと、パスワード認証サーバとを分離して設けたことから、携帯電話所持認証サーバとパスワード認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの「なりすまし」を防止することができる。また、パスワードを暗号化して、携帯電話所持認証サーバに送信するため、認証情報の中継を行う携帯電話所持認証サーバに、その内容を知られることなく、パスワードをパスワード認証サーバに送信することができる。
また、セッションIDを用いたワンタイムパスワードにより、パスワードの暗号化を行うため、セッションごとに異なるワンタイムパスワードが生成され、仮に、盗聴をされても安全性を保持することができる。さらに、携帯電話端末の所持認証情報として、携帯電話端末のサブスクライバIDを用いることから、サブスクライバIDによって、簡易かつ一意に、携帯電話端末の所持認証を実行することができる。
<第2の実施形態>
次に、図9から図12を用いて、本発明の第2の実施形態について、詳細に説明する。
本実施形態は、携帯電話端末が電波圏外又は電波オフモードにある場合に適用される。なお、システムの基本構成については、前述の第1の実施形態と同様である。
携帯電話端末2は、図9に示すように、通信部21と、音声処理部22と、制御部23と、カメラ24と、入力部25と、表示部26と、バーコードデコーダ27と、携帯電話固有情報保存部29と、ウェブサーバ情報保存部30と、ID保存部71と、共有鍵保存部72と、ワンタイムパスワード生成部73と、HMAC生成部74とを備えている。なお、第1の実施形態と同一の符号を付した構成要素については、同様の機能を有することから、その詳細な説明は省略する。
ここで、ID保存部71は、携帯電話所持認証サーバ7が発行したユーザID、ウェブサーバ3から受信したセッションID、携帯電話端末2のサブスクライバID等を格納・保存する。共有鍵保存部72は、携帯電話所持認証サーバ7との共有鍵を格納・保存する。ワンタイムパスワード生成部73は、共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵とID保存部71に保存されたセッションIDあるいは、共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵とID保存部71に保存されたサブスクライバIDあるいは、入力部25から入力されるパスワードとID保存部71に保存されたセッションIDあるいは、入力部25から入力されるパスワードと共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵とからワンタイムパスワードを生成する。HMAC生成部74は、共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵を用いてMAC値を生成する。
携帯電話所持認証サーバ7は、図10に示すように、受信部81と、ユーザ特定部82と、ユーザ情報記憶部83と、共有ID取得部84と、共有ID記憶部85と、HMAC生成部86と、共有鍵保存部87と、送信部88とから構成されている。
ここで、受信部81は、クライント端末1からセッションID、携帯電話端末2内に保存されている携帯端末所持認証サーバ7が発行したユーザID、携帯端末所持認証サーバ7との共有鍵とセッションIDとから生成されるワンタイムパスワード、パスワードとセッションIDとから生成されるワンタイムパスワード等の情報を受信する。
ユーザ特定部82は、受信部81が受信したユーザIDをユーザ情報記憶部83から検索して、ユーザの特定を行う。共有ID取得部84は、受信部81が受信した携帯端末所持認証サーバ7との共有鍵とセッションIDとから生成されるワンタイムパスワードを検証し、共有ID記憶部85から該当する共有IDを取得する。
HMAC生成部86は、共有鍵保存部87に保存されている携帯電話端末2との共有鍵を用いてMAC値を算出する。送信部88は、パスワード認証サーバ8へ、共有ID、セッションIDとパスワードとで計算されたワンタイムパスワード、セッションIDおよび携帯電話端末2との共有鍵を用いて計算したMAC値を送信する。
パスワード認証サーバは、図11に示すように、受信部91と、ユーザ特定部92と、ワンタイムパスワード検証部93と、送信部94とから構成されている。
ここで、受信部91は、携帯電話所持認証サーバ7から共有ID、セッションIDとパスワードとで計算されたワンタイムパスワード、セッションIDおよび携帯電話端末2との共有鍵を用いて計算したMAC値を受信する。ユーザ特定部92は、受信部91が受信した共有IDに基づいて、ユーザを特定する。
ワンタイムパスワード検証部93は、ユーザ特定部92の特定結果に基づいて、ワンタイムパスワードの検証を行う。送信部94は、ワンタイムパスワード検証部93の検証結果に基づいて、携帯電話端末2との共有鍵を用いて計算したMAC値をウェブサーバ3に送信する。
次に、本発明の第2の実施形態のシステムの処理について、図12のシーケンス図を参照しながら説明する。なお、本実施形態では、携帯電話端末2が、電波圏外又は電波オフモードにあるものとする。
まず、ユーザがクライアント端末1を使ってウェブサーバ3にアクセスを行う(ステップS11)。ウェブサーバ3は、例えば、バーコードエンコーダ35を用いて、ウェブサーバ情報とセッションIDをQRコードなどの2次元コードに変換してユーザのクライアント端末1に送信する(ステップS12)。
携帯電話端末2は、受信したQRコードをカメラ24で撮影して読み込み、バーコードデコーダ27を用いてデコードする(ステップS13)。さらに、携帯電話端末2は、受信したウェブサーバ情報をウェブサーバ情報保存部30に保存しているウェブサーバ情報と比較し検証を実行する(ステップS14)。そして、ユーザが、携帯電話端末2の入力部25を構成するボタンからパスワードを入力する(ステップS15)。
携帯電話端末2は、ID保存部71に保存されている携帯電話所持認証サーバ7が発行したユーザID、共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵とID保存部71に保存されているセッションIDとからワンタイムパスワード生成部73において生成されるワンタイムパスワード、パスワードとID保存部71に保存されているセッションIDからワンタイムパスワード生成部73において生成されるワンタイムパスワードおよびHMAC生成部74において、共有鍵保存部72に保存された携帯電話所持認証サーバ7との共有鍵を用いて算出されるMAC値とを表示部26に表示する(ステップS16)。そして、ユーザは、表示部26に表示された情報をクライアント端末1のキーボードを用いて入力する(ステップS17)。なお、クライアント端末1への情報入力は、赤外線通信やBlueTooth等の近距離無線等を用いてもよい。
次に、クライアント端末1は、セッションIDと入力された上記情報をキャリアサーバ4を介して、携帯電話所持認証サーバ7に送信する(ステップS18)。携帯電話所持認証サーバ7は、クライアント端末1からの情報を受信すると、まず、携帯電話所持認証サーバ7が発行したユーザIDに基づいて、ユーザを特定し、さらに、携帯電話所持認証サーバ7との共有鍵とセッションIDから生成されるワンタイムパスワードを共有ID取得部84において検証し、共有ID記憶部85から共有IDを呼び出す。また、HMAC生成部86において、携帯電話端末2との共有鍵を用いて、MAC値を生成する(ステップS19)。
そして、携帯電話所持認証サーバ7はパスワード認証サーバ8へ、共有IDと、セッションIDとパスワードとで計算されたワンタイムパスワード、セッションIDおよび生成したMAC値を送信する(ステップS20)。パスワード認証サーバ8は、受信した共有IDからユーザを特定し、ワンタイムパスワード検証部93においてワンタイムパスワードを検証する(ステップS21)。
パスワード認証サーバ8は、ワンタイムパスワード検証部93の検証結果に基づいて、受信したMAC値をウェブサーバ3に送信し、ウェブサーバ3は、セッションIDが一致するユーザのクライアント端末1に対して、MAC値とログイン後の画面を送信する(ステップS22)。
したがって、本実施形態によれば、携帯電話端末が電波圏外にある場合や電波オフモードの場合でも、クライアント認証が可能であり、また、第1の認証サーバおよび第2の認証サーバのうち、少なくとも一方の認証サーバによって、ユーザの「なりすまし」を防止することができる。
また、本実施形態によれば、携帯電話端末が、ユーザの認証情報のすべてを暗号化し、クライアント端末を介して、携帯電話所持認証サーバに送信するため、クライント端末と携帯電話所持認証サーバ間の通信路で盗聴があっても、安全性を維持することができる。
また、本実施形態によれば、携帯電話端末が、セッションIDをクライアント端末から受信し、セッションIDを用いたワンタイムパスワードにより、ユーザの認証情報の暗号化を行うため、セッションごとに異なるワンタイムパスワードが生成され、仮に、盗聴をされても安全性を保持することができる。
さらに、本実施形態によれば、携帯電話端末に表示されたMAC値と、クライアント端末に表示されたMAC値とを比較することにより、正規の携帯電話所持認証サーバにユーザの認証情報を送信できたか否かを検証することができる。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明の第1の実施形態に係る相互認証システムの構成を示すブロック図である。 本発明の第1の実施形態におけるクライアント端末の説明に用いる機能ブロック図である。 本発明の第1の実施形態における携帯電話端末の説明に用いる機能ブロック図である。 本発明の第1の実施形態におけるウェブサーバの説明に用いる機能ブロック図である。 本発明の第1の実施形態におけるキャリアサーバの説明に用いる機能ブロック図である。 本発明の第1の実施形態における携帯電話所持認証サーバの説明に用いる機能ブロック図である。 本発明の第1の実施形態におけるパスワード認証サーバの説明に用いる機能ブロック図である。 本発明の第1の実施形態に係る相互認証システムの動作を説明するためのシーケンス図である。 本発明の第2の実施形態における携帯電話端末の説明に用いる機能ブロック図である。 本発明の第2の実施形態における携帯電話所持認証サーバの説明に用いる機能ブロック図である。 本発明の第2の実施形態におけるパスワード認証サーバの説明に用いる機能ブロック図である。 本発明の第2の実施形態の相互認証システムの動作を説明するためのシーケンス図である。
符号の説明
1・・・クライアント端末、2・・・携帯電話端末、3・・・ウェブサーバ、4・・・キャリアサーバ、5・・・ネットワーク、6・・・移動回線網、7・・・携帯電話所持認証サーバ、8・・・パスワード認証サーバ、11、23、32、44・・・制御部、12・・・記憶部、13、25・・・入力部、14、26・・・表示部、15、21、33、45・・・通信部、22・・・音声処理部、24・・・カメラ、27・・・バーコードデコーダ、28・・・暗号化部、29・・・携帯電話固有情報保存部、30、42・・・ウェブサーバ情報保存部、31・・・ウェブページ情報保存部、35・・・バーコードエンコーダ、41・・・ユーザ情報保存部、51、61、81、91・・・受信部、52、62、82、92・・・ユーザ特定部、53、63、85・・・共有ID記憶部、54、65、88、94・・・送信部、64・・・認証情報検証部、71・・・ID保存部、72・・・共有鍵保存部、73・・・ワンタイムパスワード生成部、74、86・・・HMAC生成部、83・・・ユーザ情報記憶部、84・・・共有ID取得部、87・・・共有鍵保存部、93・・・ワンタイムパスワード検証部

Claims (11)

  1. クライアント端末と、
    該クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、
    前記クライアント端末に、ウェブサーバ情報とセッションIDとを送信するウェブサーバと、
    該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、
    前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバと、
    を備え、
    前記携帯電話端末が、通信可能状態である場合に、前記ユーザの認証情報を前記第1の認証サーバに送信するとともに、前記第1の認証サーバが受信した前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を前記第2の認証サーバに送信することを特徴とする相互認証システム。
  2. 前記携帯電話端末が、前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を暗号化して、前記第1の認証サーバに送信することを特徴とする請求項1に記載の相互認証システム。
  3. 前記携帯電話端末が、前記セッションIDを前記クライアント端末から受信し、前記セッションIDを用いたワンタイムパスワードにより、前記知識認証情報あるいは生体認証情報の暗号化を行うことを特徴とする請求項2に記載の相互認証システム。
  4. 前記携帯電話端末の所持認証情報として、前記携帯電話端末の固有IDを用いることを特徴とする請求項1から請求項3に記載の相互認証システム。
  5. クライアント端末と、
    該クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、
    前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバと、
    該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、
    前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバと、
    を備え、
    前記携帯電話端末が、通信不能状態である場合に、前記クライアント端末を介して、前記ユーザの認証情報を前記第1の認証サーバに送信するとともに、前記第1の認証サーバが受信した前記ユーザの認証情報のうち、知識認証情報あるいは生体認証情報を前記第2の認証サーバに送信することを特徴とする相互認証システム。
  6. 前記携帯電話端末が、前記ユーザの認証情報を暗号化し、前記クライアント端末を介して、前記第1の認証サーバに送信することを特徴とする請求項5に記載の相互認証システム。
  7. 前記携帯電話端末が、前記セッションIDを前記クライアント端末から受信し、前記セッションIDを用いたワンタイムパスワードにより、前記ユーザの認証情報の暗号化を行うことを特徴とする請求項6に記載の相互認証システム。
  8. 前記携帯電話端末の所持認証情報として、前記携帯電話端末の固有IDを用いることを特徴とする請求項5から請求項7に記載の相互認証システム。
  9. 前記携帯電話端末および前記第1の認証サーバがともに、共有鍵を保存し、前記携帯電話端末が、前記共有鍵を用いて計算したMAC値を表示するとともに、前記第1の認証サーバが、前記共有鍵を用いて計算したMAC値と前記セッションIDとを前記第2の認証サーバを介して、前記ウェブサーバに送信し、前記ウェブサーバが、前記セッションIDが一致する前記クライアント端末に前記共有鍵を用いて計算したMAC値を表示することを特徴とする請求項5から請求項8に記載の相互認証システム。
  10. クライアント端末と、前記クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバと、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバとからなる相互認証システムにおける相互認証方法であって、
    前記クライアント端末が、前記ウェブサーバにアクセスする第1のステップと、
    前記ウェブサーバがウェブサーバ情報とセッションIDとを前記クライアント端末に送信する第2のステップと、
    前記携帯電話端末が、前記クライアント端末を介して、前記ウェブサーバ情報とセッションIDとを受信する第3のステップと、
    前記携帯電話端末に前記第2の認証サーバ用のパスワードを入力する第4のステップと、
    前記携帯電話端末が、通信可能状態である場合に、前記第1の認証サーバに、セッションIDと暗号化された前記第2の認証サーバ用のパスワードと前記携帯電話端末固有の情報とを送信する第5のステップと、
    前記第1の認証サーバが、受信した前記携帯電話端末固有の情報からユーザを特定し、前記第2の認証サーバと共有するユーザのIDを検索し、該ユーザのIDと、第2の認証サーバにおける認証情報およびセッションIDを送信する第6のステップと、
    前記第2の認証サーバが前記ユーザのIDからユーザを特定し、前記認証情報を検証する第7のステップと、
    前記第2の認証サーバにおける検証が正常に終了したときに、前記ウェブサーバが前記セッションIDの一致するユーザの認証が完了した旨を前記クライアント端末に送信する第8のステップと、
    を有することを特徴とする相互認証方法。
  11. クライアント端末と、前記クライアント端末と同一のユーザが保有し、該ユーザの認証情報を送信する携帯電話端末と、前記クライアント端末に、少なくともウェブサーバ情報とセッションIDとを送信するウェブサーバと、該ユーザの認証情報のうち、前記携帯電話端末の所持認証情報に基づいて、所持認証を実行する第1の認証サーバと、前記ユーザの認証情報のうち、ユーザの知識認証情報あるいは生体認証情報に基づいて、知識認証あるいは生体認証を実行する第2の認証サーバとからなる相互認証システムにおける相互認証方法であって、
    前記クライアント端末が、前記ウェブサーバにアクセスする第1のステップと、
    前記ウェブサーバがウェブサーバ情報とセッションIDとを前記クライアント端末に送信する第2のステップと、
    前記携帯電話端末が、前記クライアント端末を介して、前記ウェブサーバ情報とセッションIDとを受信する第3のステップと、
    前記携帯電話端末に前記第2の認証サーバ用のパスワードを入力する第4のステップと、
    前記携帯電話端末が、通信不能状態である場合に、前記第1の認証サーバに、セッションIDと、ユーザIDと、暗号化された前記第2の認証サーバ用のパスワードおよび暗号化された前記携帯電話端末固有の情報を送信する第5のステップと、
    前記第1の認証サーバが、受信した前記ユーザIDと予め格納されたユーザIDとからユーザを特定するとともに、暗号化された前記携帯電話端末固有の情報を検証して、前記第2の認証サーバと共有するユーザのIDを検索する第6のステップと、
    前記第1の認証サーバが、前記携帯電話端末と共有する共有鍵を用いて、MAC値を計算する第7のステップと、
    前記第1の認証サーバが前記第2の認証サーバと共有するユーザのIDと、前記暗号化された前記第2の認証サーバ用のパスワードと、セッションIDおよび前記計算したMAC値を前記第2の認証サーバに送信する第8のステップと、
    前記第2の認証サーバが前記ユーザのIDからユーザを特定し、前記暗号化された前記第2の認証サーバ用のパスワードを検証する第9のステップと、
    前記ウェブサーバが前記第2の認証サーバから送信されたセッションIDと一致するユーザの前記クライアント端末に、前記第2の認証サーバから送信されたMAC値を表示する第10のステップと、
    を有することを特徴とする相互認証方法。
JP2007168007A 2007-06-26 2007-06-26 相互認証システム及び相互認証方法 Expired - Fee Related JP5037238B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007168007A JP5037238B2 (ja) 2007-06-26 2007-06-26 相互認証システム及び相互認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007168007A JP5037238B2 (ja) 2007-06-26 2007-06-26 相互認証システム及び相互認証方法

Publications (2)

Publication Number Publication Date
JP2009009235A true JP2009009235A (ja) 2009-01-15
JP5037238B2 JP5037238B2 (ja) 2012-09-26

Family

ID=40324276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007168007A Expired - Fee Related JP5037238B2 (ja) 2007-06-26 2007-06-26 相互認証システム及び相互認証方法

Country Status (1)

Country Link
JP (1) JP5037238B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014530439A (ja) * 2011-09-29 2014-11-17 イ・チョンジョン セキュリティが強化されたクラウド・システム及びそれによるセキュリティの管理方法
JP2017518559A (ja) * 2014-04-15 2017-07-06 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 補助デバイスを使用したサービス認可

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163584A (ja) * 2000-11-24 2002-06-07 Fujitsu Ltd 携帯情報端末を利用したカード決済方法及びシステム
JP2003198541A (ja) * 2001-12-28 2003-07-11 Matsushita Electric Ind Co Ltd データ検証システムとその装置
JP2004157790A (ja) * 2002-11-06 2004-06-03 Fujitsu Ltd 安全性判断方法、安全性判断システム、安全性判断装置、第1認証装置及びコンピュータプログラム
JP2004264976A (ja) * 2003-02-28 2004-09-24 Ricoh Co Ltd 無線通信接続管理サーバ
JP2004272721A (ja) * 2003-03-11 2004-09-30 Casio Comput Co Ltd 個人認証システムおよび個人認証機能付き携帯端末並びにプログラム
JP2005339247A (ja) * 2004-05-27 2005-12-08 Secured Communications:Kk 双方向ワンタイムid認証システム及び認証方法
JP2007065794A (ja) * 2005-08-29 2007-03-15 Tokai Riken Kk 画像表示制御システム、認証システム及びアプリケーション管理装置
JP2007108997A (ja) * 2005-10-13 2007-04-26 Ntt Docomo Inc 生体認証方法、移動体端末装置、サーバ装置、認証サーバ及び生体認証システム
JP2007108973A (ja) * 2005-10-13 2007-04-26 Eath:Kk 認証サーバ装置、認証システムおよび認証方法
JP2008176449A (ja) * 2007-01-17 2008-07-31 Kddi Corp 相互認証システム及び相互認証方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163584A (ja) * 2000-11-24 2002-06-07 Fujitsu Ltd 携帯情報端末を利用したカード決済方法及びシステム
JP2003198541A (ja) * 2001-12-28 2003-07-11 Matsushita Electric Ind Co Ltd データ検証システムとその装置
JP2004157790A (ja) * 2002-11-06 2004-06-03 Fujitsu Ltd 安全性判断方法、安全性判断システム、安全性判断装置、第1認証装置及びコンピュータプログラム
JP2004264976A (ja) * 2003-02-28 2004-09-24 Ricoh Co Ltd 無線通信接続管理サーバ
JP2004272721A (ja) * 2003-03-11 2004-09-30 Casio Comput Co Ltd 個人認証システムおよび個人認証機能付き携帯端末並びにプログラム
JP2005339247A (ja) * 2004-05-27 2005-12-08 Secured Communications:Kk 双方向ワンタイムid認証システム及び認証方法
JP2007065794A (ja) * 2005-08-29 2007-03-15 Tokai Riken Kk 画像表示制御システム、認証システム及びアプリケーション管理装置
JP2007108997A (ja) * 2005-10-13 2007-04-26 Ntt Docomo Inc 生体認証方法、移動体端末装置、サーバ装置、認証サーバ及び生体認証システム
JP2007108973A (ja) * 2005-10-13 2007-04-26 Eath:Kk 認証サーバ装置、認証システムおよび認証方法
JP2008176449A (ja) * 2007-01-17 2008-07-31 Kddi Corp 相互認証システム及び相互認証方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014530439A (ja) * 2011-09-29 2014-11-17 イ・チョンジョン セキュリティが強化されたクラウド・システム及びそれによるセキュリティの管理方法
JP2017518559A (ja) * 2014-04-15 2017-07-06 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 補助デバイスを使用したサービス認可
US10659454B2 (en) 2014-04-15 2020-05-19 Alibaba Group Holding Limited Service authorization using auxiliary device

Also Published As

Publication number Publication date
JP5037238B2 (ja) 2012-09-26

Similar Documents

Publication Publication Date Title
US10491587B2 (en) Method and device for information system access authentication
EP2901616B1 (en) Method for mobile security context authentication
JP4693171B2 (ja) 認証システム
EP2954451B1 (en) Barcode authentication for resource requests
JP5258422B2 (ja) 相互認証システム、相互認証方法およびプログラム
US9185096B2 (en) Identity verification
US9628282B2 (en) Universal anonymous cross-site authentication
Choi et al. A mobile based anti-phishing authentication scheme using QR code
KR101214836B1 (ko) 인증 방법 및 그 시스템
KR101383761B1 (ko) 사용자 인증 시스템 및 그 방법
KR101482564B1 (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
KR20180117715A (ko) 개선된 보안성을 갖는 사용자 인증을 위한 방법 및 시스템
US11245526B2 (en) Full-duplex password-less authentication
KR20130131682A (ko) 웹 서비스 사용자 인증 방법
US20220116385A1 (en) Full-Duplex Password-less Authentication
JP2009124311A (ja) 相互認証システム、相互認証方法およびプログラム
KR101001400B1 (ko) 온라인 상호 인증 방법 및 그 시스템
KR100858146B1 (ko) 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
Xie et al. CamAuth: securing web authentication with camera
Huseynov et al. Context-aware multifactor authentication survey
JP5037238B2 (ja) 相互認証システム及び相互認証方法
EP2940618A1 (en) Method, system, user equipment and program for authenticating a user
JP5008989B2 (ja) 相互認証システム及び相互認証方法
KR20120088236A (ko) 콘텐츠 서비스를 위한 사용자 인증 시스템 및 그 방법
KR100938391B1 (ko) 서버와 클라이언트 상호인증을 통한 로그인 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120703

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120704

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees