図1は、本発明に従う個人認証方法の一実施形態の基本的構成及び動作を示す。
図1の下段に示すように、或るユーザ1が、特定の組織Yから提供される特定のサービスを利用するとき(例えば、特定のクレジット会社のクレジット決済サービスを利用するとき、或るいは、特定のシステム運用会社のサーバにログオンするとき、など)、その特定の組織Yは、そのユーザ1についての個人認証を行なって、そのユーザ1がその特定サービスを受け得る資格をもつ予め登録された特定者であることを確認する。このようにユーザ1の個人認証を行なう必要性を有する組織Yを、この明細書では「認証会社」という。認証会社Yは、ユーザ1の個人認証を行なうための(併せて、上記特定サービスの処理も行ってもよい)コンピュータシステム(以下、「認証システム」という)6を有する。この認証システム6は、ユーザ1が上記特定サービスを受けようとするときに直接的又は間接的に利用する端末5(例えば、ユーザ1が或る店舗でクレジット決済で買い物を行なおうとしている場合、その店舗のPOS端末、或いは、ユーザ1が自分のパーソナルコンピュータから或るサーバにログオンしようとしている場合、そのパーソナルコンピュータ、など)と通信可能である。
さらに、図1の上段に示すように、認証会社Yによる個人認証処理を支援するための組織Xが、認証会社Yとは別に設けられる。この認証支援のための組織Xを、この明細書では「認証支援会社」という。認証支援会社Xは、認証支援の処理を行なうためのコンピュータシステム(以下、「認証支援システム」という)3を有する。認証支援システム3は、また、認証システム6と通信可能である。
ユーザ1は携帯通信端末2を所持する。この実施形態では、ユーザ1の携帯通信端末2は携帯電話機である(しかし、これは一つの例示であって、他の種類の携帯通信端末、例えば、PDA、ラップトップ型パーソナルコンピュータ或るいはカーナビゲーション装置などを使用してもよい)。ユーザ1の携帯電話機2と認証支援システム3とは通信可能である。
ユーザ1は、自分に固有の2つの認証キー、すなわちファーストキーとセコンドキー、を有している。以下の説明では、ファーストキーを「会員ID」と呼び、セコンドキーを「パスワード」と呼ぶが、これは両キーを区別し易くするための単なる呼称にすぎず、別の呼称を用いても勿論構わない。さて、ユーザ1は、自分固有の会員IDとパスワードを、他人に対して秘密に管理している(例えば、本人の頭の中でのみ記憶している)。
会員IDは、ユーザ1の頭の中だけでなく、認証支援システム3がもつデータベース4にも記憶されている。つまり、ユーザ1と認証支援システム3(認証支援会社X)の2者が会員IDを共有する。会員IDを知る者は、ユーザ1以外では認証支援システム3(認証支援会社X)のみである。
パスワードは、ユーザ1の頭の中だけでなく、認証システム6がもつデータベース7にも記憶されている。つまり、ユーザ1と認証システム6(認証会社Y)の2者がパスワードを共有する。パスワードを知る者は、ユーザ1本人以外では認証システム6(認証支援会社Y)のみである。
従って、認証支援システム3(認証支援会社X)は、ユーザ1の会員IDは知っているが、パスワードは知らない。一方、認証システム6(認証会社Y)は、パスワードは知っているが、会員IDは知らない。このように、ユーザ1に固有の2つの認証キーの双方を知る者は、ユーザ1本人のみである。会員IDとパスワードは、ユーザ1本人以外では、認証支援システム3(認証支援会社X)と認証支援システム3(認証支援会社Y)という別個のシステム(組織)によって、互いに分離された状態で個別に管理されている。認証支援システム3(認証支援会社X)と認証システム6(認証会社Y)は、それぞれ、会員IDとパスワードを別個に秘密に管理しており、一方のシステム(組織)が他方のシステム(組織)にそのキーを教えることは絶対にない。
このように、ユーザ1に固有の2つの認証キーが分離されて個別かつ秘密に管理されていることにより、後に詳述するように、ユーザ1の個人認証の信頼性つまり安全性が向上する。そして、このように分離管理された2つの認証キーを関連付けるために、第3のキーが使用される。この第3のキーは、一時的又は一回限り使用可能なキーであって、この明細書では「ワンタイムID」と呼ばれ、ユーザ1の要求により認証支援システム3から発行されるようになっている。
なお、認証会社Yは、図1では、1社しか示されていないが、実際には複数社存在するのが通常である。その場合でも、認証支援会社Xは1社のみであってよい(勿論、複数社あってもよいが、この明細書では、1つの認証支援会社Xの支援の下で行なわれる個人認証にのみ焦点を絞って、説明を行なう)。
以下、会員IDとパスワード及びワンタイムIDを用いた個人認証の手順を説明する。この手順は、概略、2つのフェーズに分けられる。
第1のフェーズは、図1の上段に示されており、ここでは、ユーザ1の携帯電話機の識別番号(ここでは携帯電話番号を使うが、これは例示であり、その他の種類の携帯電話機識別コードを用いても良い)と会員IDとを用いて認証支援システム3により、ユーザ1に対する予備的な第1段階の個人認証が行なわれる。この予備的な認証が成功すれば、認証支援システム3はワンタイムIDを発行する。このワンタイムIDは、ユーザ1と認証システム6の双方に通知される。
すなわち、第1フェーズでは、まず、ユーザ1が、自分の携帯電話機2から認証支援システム3に電話をかける。認証支援システム3は、その着信に自動応答して、その発信番号(携帯電話機2の電話番号)を、データベース4に登録されている会員(当該システムの利用権者)の電話番号リストと照合する。照合の結果、その発信番号が登録済みの或る会員の電話番号とマッチすれば、認証支援システム3は、その会員向けに用意されたサービスメニュー(例えば、音声ガイダンス)を、ユーザ1の携帯電話機2に送る。ユーザ1は、そのサービスメニューに従って、携帯電話機2のテンキー(又は、音声認識機能)を用いて、まず所望の認証会社Yの所望のサービス(例えば、所望のクレジット会社のクレジット決済サービス)を選択し、続いて、自分の会員IDを入力し、この会員IDを認証支援システム3に送る。認証支援システム3は、受信した会員IDと、データベース4に登録されている上記マッチした会員の会員IDとを照合し、両者が一致すれば、ユーザ1が上記会員であると判断する。そう判断すると、認証支援システム3はワンタイムIDを発行し、このワンタイムIDをユーザ1の携帯電話機2に通知するとともに、そのワンタイムIDを、ユーザ1がサービスメニューで選択した所望の認証会社Yの認証システム6にも通知する。ここで、ワンタイムIDは、認証支援システム3及び認証システム6が取り扱う(又は取り扱う可能性のある)他のあらゆるワンタイムIDから峻別され得るユニークなコードである。
なお、認証支援システム3のデータベース4には、各会員のデータとして、上述した携帯電話番号や会員IDの他に、認証システム6がその会員を識別するためにその会員にユニークに割り当てたID(以下、「管理マスタID」という)も登録されており、認証支援システム3は、ユーザ1に発行したワンタイムIDを認証システム6に通知する時には、そのユーザ1(つまり、上記第1段階認証でマッチした会員)の管理マスタIDも一緒に認証システム6に通知する。それにより、認証システム6は、通知されたワンタイムIDがどの会員に対して発行されたものかを認識する。認証システム6は、通知されたワンタイムIDを、その発行を受けた会員のワンタイムIDとして、データベース7に格納する。なお、認証システム6のデータベース7には、認証システム6を利用することができる全ての会員の各々について、管理マスタIDとパスワードが予め登録されており、また、上記のようにワンタイムIDが発行される都度、そのワンタイムIDも登録されるようになっている。
次の第2のフェーズは、図1の下段に示されており、ここでは、ユーザ1に対して発行されたワンタイムIDとユーザ1固有のパスワードとを用いて、認証システム6により、ユーザ1に対する第2段階の個人認証が行なわれる。
すなわち、第2フェーズでは、まず、ユーザ1が、上述の所望サービスを受けるために、しかるべき端末5を用いて、ユーザ1のワンタイムIDとパスワードを、その端末5から認証会社Yの認証システム6へ送る。ここで、しかるべき端末5とは、例えば、ユーザ1が或る小売店で買い物をしたときにクレジット決済サービスを利用する場合には、その小売店のPOS端末であったり、或いは、ユーザ1が自分のパーソナルコンピュータから或るサーバにログオンする場合には、そのパーソナルコンピュータであったりする。そして、その端末5を直接操作する人は、必ずしもユーザ1自身である必要は無く、小売店の店員のように他の人でも良い。なお、ユーザ1のワンタイムIDとパスワードが認証システム6に送られるとき、通常は、例えば上記小売店の店舗IDのような、個人認証処理の信頼性をより向上させるため或いは認証処理に続いてサービス処理を行なうため等に必要な付帯的情報も、一緒に認証システム6に送られても良い。
認証システム6は、ユーザ1のワンタイムIDとパスワードを受信すると、既にデータベース7に格納されている様々な会員のワンタイムIDとパスワードのセットの中から、受信したワンタイムIDとパスワードのセットにマッチするものを探す。その結果、或る会員のワンタイムIDとパスワードのセットとマッチしたならば、認証システム6は、ユーザ1はその会員であると認定し、個人認証の結果は「成功」ということになる。こうして認証結果が成功になれば、続いて、ユーザ1に対して上記所望サービスが提供されることになる(例えば、クレジット決済が行なわれる、或いは、サーバへのログオンが許可される、など)。
一方、認証システム6の上記過程で、受信したワンタイムIDとパスワードのセットが、データベース7内のどの会員のワンタイムIDとパスワードのセットにもマッチしなかったならば、認証結果は「失敗」となり、ユーザ1に対して上記所望サービスは提供されないことになる。
認証結果が「成功」だった場合、認証システム6は、その認証で使用したデータベース7内のワンタイムIDに「使用済み」を意味するステータスを付与し、そして、そのワンタイムIDが「使用済み」になった旨を認証支援システム3に報告する。「使用済み」となったワンタイムIDは、以後二度と個人認証には使用されない。また、認証結果が「失敗」だった場合には、認証システム6は、原則として、データベース7内のいずれのワンタイムIDに対しても「使用済み」ステータスを付与しない。また、ワンタイムIDに使用期限が付いている場合には、そのワンタイムIDが個人認証で使用されなくても、その使用期限を過ぎた時点で、認証システム6は、データベース7内のそのワンタイムIDに「期限切れ」を意味するステータスを付与し、そして、そのワンタイムIDが「期限切れ」になった旨を認証支援システム3に報告する。「使用済み」となったワンタイムID及び「期限切れ」となったワンタイムIDは、以後所定期間が経過するまでは二度と個人認証には使用されない(所定期間、例えば1年又は3年、のように、同じワンタイムIDを使用しても以前の使用との間で不正な二重使用の問題が実質的生じない期間が経過すれば、使用可能となる)。よって、基本的に、個人認証に使用されるワンタイムIDは、「未使用」であって「期限切れ」でないワンタイムIDだけである。ただし、「使用済み」となったワンタイムID及び「期限切れ」となったワンタイムIDは、ワンタイムIDの不正な二重使用を検出する目的には、以後も使用される。
図2は、ユーザ1が認証支援システム及び認証システムに自分の認証キー等を登録するための手順の一例を示す。
図2に示すように、まず、ステップ(1)で、ユーザ1は、自分の携帯電話機2を用いて所望認証会社Yの認証システム6に電話をかけて(又は、書面の送付やWWWサービスなどの別の適当な方法で通信して)、会員登録を申請する。この申請時に、ユーザ1は、自分の住所、氏名、生年月日や利用したいサービスなどの通常の会員登録事項の他に、自分の電話発信番号(携帯電話機2の電話番号)及びパスワードを認証システム6に通知する(なお、携帯電話機2から電話をかければ、通常、その発信番号は自動的に認証システム6に通知される)。認証システム6は、ユーザ1の申請内容が会員となるための所要の条件を満たしていれば、ユーザ1を会員として登録すべく、ユーザ1にユニークな管理マスタIDを割り当て、その管理マスタIDと上記電話発信番号とパスワードと上記の通常の会員登録事項を、そのユーザ1固有の会員データとしてデータベース7に登録する。
続いて、認証システム6は、ステップ(2)で、登録したユーザ1の管理マスタIDと発信番号と、上記通常の会員登録事項のうち認証支援に必要な最低限の情報、例えば名前のみ(つまり、名前以外の個人情報、例えば、住所や連絡先などは、個人情報の秘密保持のために含まれない)を、認証支援会社Xの認証支援システム3に通知する。ここで、ユーザ1のパスワードは、認証システム6内で秘密に保持され、認証支援システム3には通知されない。
その後、ユーザ1は、ステップ(3)で、自分の携帯電話機2を用いて認証支援システム3に電話をかけて(又は、認証支援システム3の方からユーザ1の携帯電話2にかかってきた電話に応答して)、認証会社Yや上記通常の会員登録事項を確認すると共に、自分の発信番号(携帯電話機2の電話番号)と会員IDを携帯電話機2を通じて認証支援システム3に通知する(なお、ユーザ1が携帯電話機2から認証支援システム3に電話をかけた場合には、通常、その発信番号は自動的に認証支援システム3に通知され、一方、認証支援システム3から携帯電話機2に電話をかけた場合には、それに応答した者がユーザ1本人であることが確認できれば自ずと発信番号も確認される)。認証支援システム3は、このユーザ1との電話通信によって、上記通常の会員登録事項及び発信番号が正しいことが確認できると、ユーザ1を会員として登録すべく、ユーザ1の発信番号と会員IDと管理マスタIDと上記通常の会員登録事項を、このユーザ1固有の会員データとしてデータベース4に登録する。ここで、ユーザ1の会員IDは、認証支援システム3内で秘密に保持され、認証システム6へ通知されることはない。
以下では、この実施形態の具体的な用途への適用例を幾つか説明する。
図3は、1番目の適用例として、クレジット決済の個人認証への適用例を示す。
ここでは、図3に示すように、認証会社Yはユーザ1が利用するクレジット会社であり、認証システム6はそのクレジット会社のコンピュータシステムである。
ユーザ1が或る小売店Zで買い物をしたときの支払いをクレジット決済で行ないたい場合、まず、ユーザ1は、ステップ(1)で、自分の携帯電話機2から認証支援システム3に電話をかける。すると、認証支援システム3が、携帯電話機2の発信番号からどの会員であるかを把握して、その会員向けのサービスメニュー(音声ガイダンス)を携帯電話機2に返す。ユーザ1は、そのサービスメニューに従って携帯電話機2を操作して、自分の会員ID及び利用サービスの選択(例えば、所望のクレジット会社Yのクレジット決済サービスの選択)を認証支援システム3に通知する。認証支援システム3は、ユーザ1から通知された会員IDを、発信番号から把握した会員の会員IDと照合し、その結果マッチしたならば、ユーザ1がその会員であると認定する。そう認定すると、認証支援システム3は、ステップ(2)で、その会員に対してユニークなワンタイムIDを発行し、これをユーザ1の携帯電話2と、ユーザ1の選択したクレジット会社Yの認証システム(図示の例では、同じ認証支援会社Xを利用する3社の認証システム6−1〜6−3のうち、ユーザ1の選択した一社の認証システム6−1)に送信する。このとき、認証支援システム3は、認証システム6−1に対して、ワンタイムタイムIDと一緒に、その認証システム6−1がその会員に割り当てた管理マスタIDも送信する。認証システム6−1は、受信したワンタイムIDを、受信した管理マスタIDに該当する会員のワンタイムIDとして、データベース7−1に格納する。
ユーザ1は、発行されたワンタイムIDを自分の携帯電話機2に受け取った後、ステップ(3)で、小売店Zのクレジット決済を処理するPOS端末5に、例えば手入力で、そのワンタイムIDと自分のパスワードを入力する。入力されたワンタイムIDとパスワードは、ステップ(4)で、POS端末5から、ユーザ1の指定してクレジット会社Yの認証システム6−1へ送信される。
そのワンタイムIDとパスワードを受け取った認証システム6−1は、ステップ(5)で、受け取ったワンタイムIDとパスワードのセットを、データベース7−1内の様々な会員のワンタイムIDとパスワードのセットと照合する。その結果、或る会員のワンタイムIDとパスワードのセットとのマッチが得られたならば、認証システム6−1は、ユーザ1をその会員であると認定する(認証「成功」)。一方、どの会員のワンタイムIDとパスワードのセットとのマッチも得られなければ、認証システム6−1は、ユーザ1を会員ではないと認定する(認証「失敗」)。認証結果が「成功」の場合、続いて、認証システム6−1は、POS端末5から送られてきたユーザ1のクレジットカードの情報を用いて、クレジット決済サービスの処理を実行する。認証結果が「失敗」の場合、認証システム6−1は、クレジット決済サービスを拒否する。
ステップ(6)で、認証システム6−1は、上記の認証結果(又は、それに引き続くクレジット決済サービスの処理結果)をPOS端末5に返す。認証システム6−1は、上記の第2段階の個人認証を行なった段階で、ここで使用したユーザ1のワンタイムIDに「使用済み」のステータスを付与して、以後上述した所定期間が経過するまでは二度とそれを個人認証に使用しないようにする。
図4は、この実施形態の2番目の適用例として、或るサーバへのログオンのための個人認証への適用例を示す。
ここでは、図4に示すように、認証会社Yはユーザ1が利用するサーバを運営するシステム運営会社であり、認証システム6はそのサーバである。
図4において、ステップ(1)〜(2)でワンタイムIDが発行されるまでの手順は、図3を参照して既に説明した手順と基本的に同様である。異なる点は、ユーザ1がサービスメニューで指定する利用サービスは、所望のサーバ6へのログオンであり、ワンタイムIDの送信先は、そのサーバ6であるという点である。
ワンタイムIDが発行されると、ユーザ1は、ステップ(3)で、サーバ6にログオンするための端末5(例えば、ユーザ1が所有するパーソナルコンピュータ)に、例えば手入力で、そのワンタイムIDと自分のパスワードを入力する。入力されたワンタイムIDとパスワードは、サーバ6へ送信される。
以後、サーバ6で行なわれるステップ(4)〜(5)のワンタイムIDとパスワードによる認証処理は、図3を用いて既に説明したステップ(5)〜(6)の認証処理と基本的に同様である。異なる点は、認証の結果が成功であれば、クレジット決済が行なわれるのではなくて、サーバ6へのログオンが許可されるという点である。
図5は、この実施形態の3番目の適用例として、自治体等から交付された証明書類を提出するときの個人認証への適用例を示す。
ここでは、図5に示すように、認証会社Yはユーザ1に証明書類を交付する自治体等であり、認証システム6はその自治体等の書類交付システムである。また、ここでは、ユーザ1が証明書類を提出する際に自分の会員IDやパスワードを相手に開示せずに済むようにするための特別の工夫がなされている。
図5においてステップ(1)〜(2)でワンタイムIDが発行されるまでの手順は、図3を参照して既に説明した手順と基本的に同様である。異なる点は、ユーザ1がサービスメニューで指定する利用サービスが、所望の自治体等の書類交付サービスであるという点と、ワンタイムIDの送信先が、ユーザ1の指定した自治体等Yの書類交付システム(認証システム)6であるという点である。
ワンタイムIDが発行されると、ユーザ1は、ステップ(3)で、自治体等Yの書類交付システム(認証システム)6に、ワンタイムIDと自分のパスワードを入力して所望書類の交付申請を行なう。
書類交付システム6は、ステップ(4)で、ユーザ1からのワンタイムIDとパスワードを用いてユーザ1の個人認証を行なうが、この認証処理は、図3のステップ(5)のクレジット会社の認証システムによる認証処理と基本的に同様である。
その個人認証の結果が成功であると、ステップ(5)で、書類交付システム6は、申請された証明書類を印刷出力する。このとき、書類交付システム6は、ドキュメントワンタイムIDを発行して、このドキュメントワンタイムIDをその証明書類に印刷して出力する。発行されたドキュメントワンタイムIDは、その証明書類に固有で、他のあらゆるドキュメントワンタイムIDから峻別できるようユニークで、且つ一時的又は1回限り使用可能なものである。このドキュメントワンタイムIDが付されて印刷出力された証明書類は、ユーザ1に手渡される。書類交付システム6は、発行したドキュメントワンタイムIDを、ユーザ1のドキュメントワンタイムIDとしてデータベース7に格納する。また、書類交付システム6は、ドキュメントワンタイムIDを発行した段階で、ユーザ1のワンタイムIDに「ドキュメントワンタイムID発行済み」のステータスを付与し、しかし、「使用済み」のステータスはまだ付与しない。「ドキュメントワンタイムID発行済み」ステータスの付いたワンタイムIDは、以後二度と、ステップ(4)の書類交付のための個人認証には使用されないが、「使用済み」ステータスがまだ付いてなければ、後述するステップ(8)の第3段階の個人認証でもう一度だけ利用される。
その後、ステップ(6)で、ユーザ1は、その証明書類を、しかるべき利用会社Z(例えば、或る契約を結ぶために契約相手会社にその証明書類を提出する場合には、その契約相手会社が利用会社Zである)に提出する。この書類提出の際に、ユーザ1は、ステップ(7)で、利用会社Zの端末5を用いて、自分のワンタイムIDと、証明書類に印刷されているドキュメントワンタイムIDとを、自治体等Yの書類交付システム6に送信する。
すると、書類交付システム6は、ステップ(8)で、端末5から受信したユーザ1のワンタイムIDとドキュメントワンタイムIDのセットを、データベース7内の様々な会員のワンタイムIDとドキュメントワンタイムIDのセットと照合する。その結果、或る会員のワンタイムIDとドキュメントワンタイムIDのセットとのマッチが得られれば、書類交付システム6は、認証「成功」と判断し、また、マッチが得られなければ、認証「失敗」と判断する。また、書類交付システム6は、この認証結果が「成功」だった場合、そこで使用したユーザ1のワンタイムIDとドキュメントワンタイムIDのセットに「使用済み」のステータスを付与して、以後二度とそのセットを個人認証に使用しないようにする。
そして、ステップ(9)で、書類交付システム6は、上記の認証結果を利用会社Xの端末5に返答する。返答された認証結果が「成功」である場合、それは、ユーザ1が確かに本人であり且つ証明書類が確かにその本人に発行されたものであることが自治体等Yによって確認済みであることを意味するので、利用会社Zは安心してユーザ1から証明書類を受け取ることができる。
また、ユーザ1としては、自分の秘密の会員IDとパスワードを利用会社Zに知られることがないので、安全である。
図6は、この実施形態の4番目の適用例として、インターネット上のネットワークショップ(ウェブサイト)での買い物でクレジット決済を行なうための個人認証への適用例を示す。
ここでは、図6に示すように、認証会社Yはユーザ1が利用するクレジット会社であり、認証システム6はそのクレジット会社の認証システムである。また、ここでは、ユーザ1が自分のクレジットカードの情報をネットワークショップに開示せずに済むようにするための特別の工夫がなされている。
図6においてステップ(1)〜(2)でワンタイムIDが発行されるまでの手順は、図3を参照して既に説明した手順と基本的に同様である。
ワンタイムIDが発行されると、ユーザ1は、ステップ(3)で、自分の携帯電話機2を用いて、自分の指定したクレジット会社Yの認証システム6-1に電話をかけて、その認証システム6−1に対して、自分のワンタイムIDとパスワードと、利用したいネットショップ9の店番号(ショップID)を送信する。
認証システム6-1は、ステップ(4)で、ユーザ1からのワンタイムIDとパスワードを用いて、図3のステップ(5)で述べたと同じ手順でユーザ1の個人認証を行なう。その個人認証の結果が成功であると、認証システム6-1は、ステップ(5)で、クレジットカードワンタイムIDを発行して、このクレジットカードワンタイムIDをユーザ1の携帯電話機2に送信する。発行されたクレジットカードワンタイムIDは、ユーザ1が使用する特定のクレジットカードに固有で、他のあらゆるクレジットカードワンタイムIDから峻別できるようユニークで、且つ一時的又は1回限り使用可能なものである。認証システム6−1は、発行したクレジットカードワンタイムIDと、ユーザ1からの店番号(ショップID)を、ユーザ1に対応したクレジットカードワンタイムID及び店番号(ショップID)としてデータベース7−1に格納する。また、認証システム6−1は、クレジットカードワンタイムIDを発行した段階で、ユーザ1のワンタイムIDに「クレジットカードワンタイムID発行済み」のステータスを付与し、しかし、「使用済み」のステータスはまだ付与しない。「クレジットカードワンタイムID発行済み」ステータスの付いたワンタイムIDは、以後二度と、ステップ(4)のクレジットカードワンタイムID発行のための個人認証には使用されないが、「使用済み」ステータスがまだ付いてなければ、後述するステップ(8)の第3段階の個人認証でもう一度だけ利用される。
その後、ステップ(6)で、ユーザ1は、インターネット接続機能をもったしかるべき端末5(例えば、ユーザ1が持つパーソナルコンピュータ)を用いて、インターネット上のネネットワークショップ9に接続し(勿論、もっと以前の段階から、ネネットワークショップ9との接続が確立されていてもよい)、そして、その端末5から、例えば手入力で、自分のワンタイムIDとクレジットカードワンタイムIDをネットワークショップ9に送信する。ネットワークショップ9は、ステップ(7)で、ユーザ1からのワンタイムID及びクレジットカードワンタイムIDと、自ショップの店番号(ショップID)とを、認証システム6−1に送る。
認証システム6−1は、ステップ(8)で、ネットワークショップ9から受信したユーザ1ワンタイムIDとクレジットカードワンタイムIDと店番号(ショップID)のセットを、データベース7内の様々な会員のワンタイムIDとクレジットカードワンタイムIDと店番号(ショップID)のセットと照合する。その結果、或る会員のワンタイムIDとドキュメントワンタイムIDと店番号(ショップID)のセットとのマッチが得られれば、認証システム6−1は、認証「成功」と判断し、また、マッチが得られなければ、認証「失敗」と判断する。認証結果が「成功」の場合、認証システム6−1は、予めデータベース7−1に登録されているユーザ1(上記照合でマッチした会員)のクレジットカード情報を用いて、クレジット決済サービスの処理を実行する。認証結果が「失敗」の場合、認証システム6−1は、クレジット決済サービスを拒否する。また、認証システム6−1は、上記認証結果が「成功」であった場合、そこで使用したユーザ1のワンタイムIDとドキュメントワンタイムIDのセットに「使用済み」のステータスを付与して、以後二度とそのセットを個人認証に使用しないようにする。
そして、ステップ(9)で、認証システム6−1は、上記の認証結果(又は、クレジット決済サービス処理の結果)をネットワークショップ9に返答する。
この適用例では、ユーザ1は、自分の秘密の会員IDとパスワードとクレジットカード情報をインターネット上に出す必要が無く、それらの情報をネットワークショップ9に知られることもないので、安心してネットワークショッピングができる。
図7は、この実施形態の5番目の適用例として、図4に示したサーバへのログオンへの適用例に暗号化処理を追加した変形例を示す。図7において、下線の付されたデータが、暗号化されたデータである。
図7の変形例について、主として、図4の適用例と異なる点を説明する。
ユーザ1の携帯電話機2は、暗号化/復号化機能を備えている。ステップ(2)で、認証支援システム3は、ワンタイムIDを、ユーザ1からの会員ID(ファーストキー)を用いて暗号化した上で、ユーザ1の携帯電話機2に送る。ユーザ1は、その暗号化されたワンタイムIDを携帯電話機2に受信すると、自分の会員ID(ファーストキー)を携帯電話機2に入力し、携帯電話機2の復号化機能を用いて、ワンタイムIDをその会員IDで復号化する。次に、ステップ(3)で、ユーザ1は、自分のパスワード(セコンドキー)を携帯電話機2に入力し、携帯電話機2の暗号化機能を用いて、ワンタイムIDをそのパスワード(セコンドキー)で暗号化する。
そして、ステップ(4)で、ユーザ1は、その暗号化されたワンタイムIDを端末5に、例えば手入力で入力して、これをサーバ6に送る。ステップ(5)で、サーバ6は、ユーザ1からの暗号化されたワンタイムIDを、データベース7内の様々な会員のパスワードをそれぞれ用いて復号化して、その復号化されたワンタイムIDと、それぞれのパスワードに対応する会員のワンタイムIDと照合する。その結果、或る会員のワンタイムIDとマッチすれば、サーバ6は、認証「成功」と判断してログオンを許可し、どの会員のワンタイムIDともマッチしなければ、認証「失敗」と判断してログオンを拒否する。
このように、認証処理の夫々の段階で、会員ID及びパスワードをそれぞれ用いて、ワンタイムIDを暗号化/復号化することにより、通信傍受によるワンタイムIDの盗用などに対する安全性が一層向上する。なお、安全性の観点から、ユーザ1による会員IDやパスワードやワンタイムIDの入力は、手入力で行なう(つまり、ユーザ1が頭で記憶してシステムに入力する)ようになっていることが望ましい。
図7に示したような暗号化/復号化処理を加えた変形は、図4の適用例だけでなく、図3、図5及び図6の適用例にも応用できる。
図8は、この実施形態の6番目の適用例として、図3に示したクレジット決済への適用例に写真合成処理を追加した変形例を示す。
図8の変形例について、主として、図3の適用例と異なる点について説明する。
認証支援システム3のデータベース4には、予め、各会員の顔写真画像データが登録されている。ステップ(2)で、認証支援システム3は、ユーザ1の顔写真画像データにワンタイムIDを合成した画像データである画像ワンタイムID(例えば、図示のようにユーザ1の顔写真画像にワンタイムIDの文字列画像が重ね合わされた画像データ、或いは、顔写真画像にワンタイムIDが電子透かし等の方法で見えないように埋め込まれた画像データ)を発行し、この画像ワンタイムIDをユーザ1の携帯電話機2とユーザ指定のクレジット会社Yの認証システム6−1に送信する。携帯電話機2は、受信した画像ワンタイムIDをディスプレイパネルに表示することができ、ユーザ1はそれを見ることで、自分の顔写真とワンタイムIDを確認することができる。なお、携帯電話機2が、画像ワンタイムIDからユーザ1の顔写真画像とワンタイムIDとを分離抽出して、顔写真画像とワンタイムIDとを別個にディスプレイに表示するようになっていてもよい。
ステップ(3)で、ユーザ1は、携帯電話機2のディスプレイパネルに画像ワンタイムID(又は、そのうちの顔写真画像のみ)を表示して小売店の店員に提示するとともに、その店のPOS端末5に、自分のワンタイムIDとパスワードを、例えば手入力で入力して、そのワンイムIDとパスワードをクレジット会社Yの認証システム6−1へ送る。以後の認証システム6−1による認証処理は、図3の適用例の場合と同様である。
この変形例では、認証支援会社Xが発行したユーザ1の顔写真画像も個人認証に利用できるため、信頼性が一層向上する。顔写真画像とワンタイムIDとの合成は、ワンタイムIDの発行の都度に認証支援会社Xで行なうので、これを偽造することは困難である。
このような顔写真画像の利用は、図3の適用例だけでなく、図4〜図6の適用例でも可能である。また、このような顔写真画像の利用と、図7に示したような暗号化/復号化とを、併用することも可能である。
以下では、この実施形態の信頼性の高さを、幾つかのケースを挙げて検証する。
図9は、第三者がユーザの携帯電話機を入手して、これを本人になりすまして使用したケースを示す。
図9に示すように、第三者11が、携帯電話機2を例えば拾得して、これを用いて、ステップ(1)で、認証支援システム3に接続したとする。このとき、第三者11は、携帯電話機2の持主の会員IDを入力することができないから、認証支援システム3での第1段階認証に失敗し、ワンタイムIDの発行を受けることが出来ない。また、万が一、第三者11が何らかの方法で会員IDを知ってワンタイムIDの発行を受けたとしても、次に、ステップ(3)で、第三者11は携帯電話機2の持主のパスワード入力することができないから、認証システム6−1での第2段階の認証に失敗する。
従って、このような本人なりすましのケースでは、第三者11が本人の会員IDとパスワードの双方を知らない限り、認証に成功することはできない。会員IDとパスワードは、認証支援会社Xとクレジット会社(認証会社)Yによって分離されて管理されているから、それを第三者が盗み知ることは、従来のように一つの組織が会員IDとパスワードのセットを管理している場合に比較して、遥かに困難である。よって、認証の信頼性が高い。
図10は、店舗がユーザのパスワードを利用してクレジット会社に不正請求したケースを示す。
図10に示すように、店舗の店員が、過去にユーザ1がPOS端末5に入力したパスワードを再使用して、ステップ(4)で、クレジット会社Yの認証システム6−1に支払いを請求したとする。しかし、店員は、ユーザ1に対して発行されたワンタイムIDを入力することができないから、ステップ(5)の認証システム6−1による第2段階の認証に失敗し、支払いを拒否される。また、もし、店員が、過去にユーザ1がPOS端末5を入力したワンタイムIDを再使用したとしても、認証システム6−1は、その再使用のワンタイムIDと、データベース7−1内の「使用済み」のワンタイムIDとの照合により、ワンタイムIDの二重使用をたちどころに検出することになる(或いは、「使用済み」ワンタイムIDからユーザ1本任に利用確認することも可能である)。従って、不正請求は成功しない。
図11は、第三者の通信傍受による認証キー盗用のケースを示す。
図11に示すように、第三者12が、ステップ(1)〜(2)のユーザ1と認証支援システム3間の通信を傍受して、ユーザ1のワンタイムIDを盗み知った(又は、会員IDを盗み知って何らかの方法でワンタイムIDを入手した)とする。しかし、第三者12は、そのワンタイムIDをユーザ1に先駆けて使用したとしても、ユーザ1のパスワードが分からないから、ステップ(5)の第2段階認証に失敗する。
図12は、第三者の通信傍受の別のケースを示す。
図12に示すように、第三者12が、ステップ(4)のPOS端末5と認証システム6間の通信を傍受して、ユーザ1のワンタイムIDとパスワードを盗み知ったとする。しかし、第三者12が、そのワンタイムIDとパスワードを使用したとしても、それより先にユーザ1によってそのワンタイムIDが使用されているから、同じワンタイムIDの二重使用となり、ステップ(5)の第2段階認証に失敗する。
以上が、この実施形態の全般的な説明である。次に、この実施形態の細部に関して説明する。
図13は、認証支援会社Xの認証支援システム3がもつデータベース4の構成を示す。図14は、認証会社Yの認証システム6がもつデータベース7の構成を示す。
図13に示すように、認証支援システム3のデータベース4には、管理マスタテーブル21があり、ここには、各会員ごとに、管理ID(認証支援システム3内で用いる各会員のID)、携帯電話番号(発信番号)、ファーストキー(会員ID)、緊急用ファーストキー(緊急用会員ID)が登録されている。ここで、緊急用ファーストキー(緊急用会員ID)とは、後に図23を参照して説明するように、脅迫等の犯罪行為により会員が自分の会員ID(ファーストキー)を開示するよう他人から強制されたとき等に、その他人に対して開示するために用意されたダミーの会員IDである。
管理マスタテーブル21の各会員のデータに紐付けられて、その会員が登録された認証会社に関する情報を登録した1又は2以上の認証会社テーブル22、23がある。図示の例では、一方の登録会社テーブル22には、その会員が利用する1又は2以上のシステム運用会社に関するデータが登録されており、他方の登録会社テーブル22には、その会員が利用する1又は2以上のクレジット会社に関するデータが登録されているが、これは単なる例示に過ぎない。各認証会社テーブル22、23には、各認証会社毎に、その認証会社の識別コードと、その認証会社がその会員に割り当てた管理マスタIDが登録されている。さらに、各認証会社テーブル22、23内の各認証会社のデータに紐付けられて、その認証会社の識別コードと会社名や住所などの書誌的事項を記録したコードテーブル24、25がある。
また、管理マスタテーブル21の各会員のデータに紐付けられて、その会員のログテーブル26がある。各会員のログテーブル26には、その会員の管理IDと認証支援システム3へのアクセスログ(例えば、アクセス開始時期、入力されたファーストキー(会員ID)、入力所要時間、認証会社、管理マスタID、発行したワンタイムID、発行時刻、認証会社への発行時刻、アクセス終了時のステータス、など)が記録されている。
図14に示すように、認証システム6のデータベース7には、認証用管理マスタテーブル31があり、そこには、各会員ごとに、その会員の独自管理ID(認証システム内だけで独自に用いるその会員のID)、管理マスタID、携帯電話番号(発信番号)、セコンドキー(パスワード)などが登録されている。
認証用管理マスタテーブル31内の各会員のデータに紐付けられて、その会員のログテーブル32がある。各会員のログテーブル32には、その会員の独自管理IDと管理マスタIDと認証システム6へのアクセスログ(例えば、受け取ったワンタイムID、その受け取り時刻、受け取ったクレジットワンタイムID又はドキュメントワンタイムID、アクセス時刻、受け取ったセコンドキー(パスワード)、アクセス終了のステータス、など)が記録されている。
さらに、認証用管理マスタテーブル31内の各会員のデータは、その認証会社が保有している他のデータベース内のその会員のデータ33(例えば、その会員にクレジット決済などの特定サービスを行なうために必要な、その会員の住所、氏名、連絡先、決済銀行情報、クレジットカード番号など)とも紐付けられている。
図15は、ユーザ1の携帯電話機2に認証支援システム3から提供されるサービスメニューの例を示す。
このサービスメニューは、図15に示すように例えば階層的な構成になっていて、例えば音声ガイダンスの方法で提供されるが、これは単なる例示にすぎず、他の方法(例えば、携帯電話機2のディスプレイパネルに表示する方法など)で提供されてもよい。
図15に示すように、このサービスメニューには、既に図3〜図6を参照して説明した様々な適用例を選ぶための選択肢(例えば、ログオン認証を行なうシステム運用会社、クレジット決済認証を行なうクレジット会社、ドキュメントワンタイムID発行申請、クレジットワンタイムID発行申請、などを選ぶ選択肢)がある。さらに、このサービスメニューには、後に説明するような様々な便利な機能を選択するための選択肢(例えば、サービス停止要請、マイページ機能、ログ取得、認証キー関連ユティリティ、拾得携帯電話機の持主連絡、などを選ぶ選択肢)がある。
図16と図17は、図3を参照して説明したクレジット決済への適用例における、各部の具体的な動作の流れを示し、図16は認証支援システム3を用いた第1段階認証の流れを、図17は認証システム6を用いた第2段階認証の流れを示す。
ここで、図16、図17において、実線のブロックはユーザ1側の動作を示し、破線のブロックは認証支援システム3や認証システム6等のシステム側の動作を示す(図18〜図29においても同様である)。
図16に示すように、ユーザ1が携帯電話機2から認証支援システム3に電話をかけると(ステップS1)、認証支援システム3はその発信番号と登録済みの会員の発信番号とを照合し(S2)、マッチが得られれば、マッチした会員用に用意されたサービスメニューを音声ガイダンスで携帯電話機2に送る(S3)。この音声ガイダンスは、図15に示した全体メニュー中の、最上階層であるサービスカテゴリ(例えば「ログオン認証」や「クレジット認証」や「その他」など)の選択肢を提示するものである。ユーザ1は、その選択肢の中から「クレジット認証」を選択する(S6)。すると、認証支援システム3は、「クレジット認証」の第2階層のメニューである、クレジット会社の選択肢を音声ガイダンスで提供し(S5)、ユーザ1は、所望のクレジット会社を選択する(S6)。
次に、認証支援システム3は、会員IDの入力要請をユーザ1に対して行い(S7)、ユーザ1は会員IDを携帯電話機2に入力して認証支援システム3に送る。認証支援システム3は、ユーザ1の入力した会員IDと登録済みの上記マッチした会員の会員IDとを照合し(S9)、マッチが得られれば、ワンタイムIDを発行してユーザ1の携帯電話2へ送り(S11)、さらに、ユーザ1がサービスメニューで選択したクレジット会社の認証システム6へもそのワンタイムIDとそのユーザ1(上記マッチした会員)の管理マスタIDを送る(S12)。ユーザ1の携帯電話機2のディスプレイパネルには、発行されたワンタイムIDが表示される。
なお、ステップS2でマッチが得られなかった場合には、認証支援システム3は、所定の例外処理(例えば、コールバック等)を行なう(S14)。また、ステップS9でマッチが得られなかった場合には、認証支援システム3は、所定のエラー処理(例えば、再度会員IDを入力させて再照合を行なう等)を行なう(S15)。
図17に示すように、ワンタイムIDの発行を受けたユーザは、店舗での買い物代金支払いをクレジット決済で行なうとき(S21)、その店舗のPOS端末5に、自分のワンタイムIDとパスワードを入力するし(S22)、POS端末5は、入力されたワンタイムIDとパスワードを、その店舗のショップID(店番号)とともにクレジット会社の認証システム6へ送る(S23)。認証システム6は、POS端末5から受信したユーザ1のワンタイムIDとパスワードのセットを登録済みの会員のワンタイムIDとパスワードのセットと照合し(S24)、マッチが得られれば、認証結果「成功」をPOS端末5に返してクレジット決済処理に入る(又は、クレジット決済処理を行なってその結果をPOS端末5に返す)(S25)。
なお、ステップS24でマッチが得られなかった場合には、認証システム6は、所定のエラー処理(例えば、ワンタイムIDの再取得をユーザ1に促す、など)を行なう(S27)。
図18と図19は、図4を参照して説明したサーバログオンへの適用例における、各部の具体的な動作の流れを示し、図18は認証支援システム3を用いた第1段階認証の流れを、図19は認証システム(サーバ)6を用いた第2段階認証の流れを示す。
図18、図19の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図18に示すように、ユーザ1は、認証支援システム3から提供されたサービスメニューを用いて、サービスカテゴリとして「ログオン認証」の選択して所望のシステム運用会社を選択した上で(S34)、ワンタイムIDの発行を受ける(S36〜S38)。ワンタイムIDとユーザ1の管理マスタIDは、サーバ6に通知される(S34)。
図19に示すように、ユーザ1が端末にワンタイムIDとパスワードを入力すると(S52)、端末5は、そのワンタイムIDとパスワードを、その端末5の端末IDとともにサーバ6へ送り、サーバ6は、まず端末IDを登録済みの端末IDと照合し(S53)、マッチが得られれば、端末5からのワンタイムIDとパスワードのセットを登録済みの会員のワンタイムIDとパスワードのセットと照合し(S54)、マッチが得られれば、認証結果「成功」と判断してログオンを許可する(S55)。
図20〜図22は、図5を参照して説明した自治体等からの証明書類交付への適用例における、各部の具体的な動作の流れを示し、図20は認証支援システム3を用いた第1段階認証の流れを、図21は書類交付システム(認証システム)6を用いた第2段階認証の流れを、図22は書類交付システム(認証システム)6を用いた第3段階認証の流れをそれぞれ示す。
図20〜図22の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図20に示すように、ユーザ1は、認証支援システム3から提供されたサービスメニューを用いて、サービスカテゴリとして「その他」の「自治体等書類発行」を選択した上で(S64,S66)、ワンタイムIDの発行を受ける(S67〜S70)。ワンタイムIDとユーザ1の管理マスタIDは、自治体等の書類交付システム6に通知される(S71)。
図21に示すように、ワンタイムIDの発行を受けたユーザ1は、自治体等に書類交付申請を出し(S81)、その時、自分のワンタイムIDとパスワードを自治体等に教え(S82)、自治体等の職員がそのワンタイムIDとパスワードを書類交付システム6に入力する(S83)(或るいは、S82〜S83に代えて、ユーザ1が自分自身でワンタイムIDとパスワードを書類交付システム6に入力する)。書類交付システム6は、そのワンタイムIDとパスワードと登録済みの会員のワンタイムIDとパスワードのセットと照合し(S84)マッチが得られれば、ドキュメントワンタイムIDを生成し(S85)、そのドキュメントワンタイムIDが印刷された証明書類を印刷出力する(S86)。ユーザ1は、その証明書類を受領する(S87)。
図22に示すように、ユーザ1は、所定の利用会社に対してその証明書類を提出する(S91、S92)とともに、自分のワンタイムIDを利用会社に教え(S93)、利用会社の社員がそのユーザ1のワンタイムIDと提出書類に印刷されたドキュメントワンタイムIDとを、自社の端末5に入力して自治体等に書類交付システム6へ伝送する(S94)。書類交付システム6は、端末5から受信したユーザ1のワンタイムIDと提出書類のドキュメントワンタイムIDとのセットを、登録済みの会員のワンタイムIDとドキュメントワンタイムIDとのセットと照合し(S95)、マッチが得られれば、認証結果「成功」を利用会社の端末5へ返答する(S96)。
図23〜図25は、図6を参照して説明したネットワークショップでのクレジット決済への適用例における、各部の具体的な動作の流れを示し、図23は認証支援システム3を用いた第1段階認証の流れを、図24はクレジット会社の認証システム6を用いた第2段階認証の流れを、図25はクレジット会社の認証システム6を用いた第3段階認証の流れをそれぞれ示す。
図23〜図25の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図23に示すように、ユーザ1は、認証支援システム3から提供されたサービスメニューを用いて、サービスカテゴリとして「その他」の「電子商取引」を選択した上で(S104,S106)、ワンタイムIDの発行を受ける(S107〜S110)。
図24に示すように、ワンタイムIDの発行を受けたユーザ1は、自分の携帯電話機2からクレジット会社の認証システム6にアクセスする(S121)。認証システム6は、ユーザ1の発信番号と登録済みの会員の発信番号とを照合し(S122)、マッチが得られれば、マッチした会員用に用意されたサービスメニューを音声ガイダンスで携帯電話機2に送る(S123)。この音声ガイダンスは、ユーザがクレジット決済を利用したい取引の種類を選択する(例えば、電子商取引やその他の各種商取引を選択する)ための選択肢を提示するものである。ユーザ1は、その選択肢の中から「電子所取引」を選択する(S124)。すると、認証システム6は、クレジット決済が利用できる様々なネットワークショップの選択肢を音声ガイダンスで提供し(S125)、ユーザ1は、所望のネットワークショップを選択する(S126)。
次に、認証システム6は、ワンタイムIDとパスワードの入力要請をユーザ1に対して行い(S127)、ユーザ1はワンタイムIDとパスワードとネットワークショップの店番号を携帯電話機2に入力して認証システム6に送る(S128)。認証システム6は、ユーザ1の入力したワンタイムIDとパスワードのセットを、登録済みの会員のワンタイムIDとパスワードのセットとを照合し(S129)、マッチが得られれば、クレジットワンタイムIDを発行してユーザ1の携帯電話2へ送る(S130)。ユーザ1の携帯電話機2のディスプレイパネルには、発行されたクレジットワンタイムIDが表示される。
図25に示すように、ユーザ1は、ネットワークショップ9上で買い物を行なった後オンライン決済の手続に進むと(S141)、そのオンライン決済のWebページに自分のワンタイムIDとクレジットワンタイムIDを入力する(又は、電子メールで別送してもよい)(S142)。、ネットワークショップ9は、そのワンタイムIDとクレジットワンタイムIDを受信し(S143)、そのワンタイムIDとクレジットワンタイムIDを、自ショップの店番号(ショップID)とともにクレジット会社の認証システム6へ伝送する(S94)。認証システム6は、ネットワークショップ9から受信したワンタイムIDとクレジットワンタイムIDと店番号のセットを、登録済みの会員のワンタイムIDとクレジットワンタイムIDと店番号のセットと照合し(S95)、マッチが得られれば、認証結果「成功」をネットワークショップ9に報告してクレジット決済の処理に入る(又は、クレジット決済の処理を行なった後にその処理結果をネットワークショップ9に報告する)(S146)。
図26は、緊急会員IDを用いた緊急連絡及びダミー認証の処理の流れを示す。
この緊急連絡及びダミー認証の処理は、例えば恐喝などの犯罪行為によってユーザ1が認証キーの開示又はクレジット決済を強要されたような場合の対抗策として有効である。
図26の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図26に示すように、ユーザ1は、認証支援システム3から会員IDの入力要請を受けたとき(S157)、真の会員IDとは別に予め用意されている緊急用会員IDを携帯電話機2に入力して印認証支援システム3に送る(S158)。認証支援システム3では、緊急会員IDを受けた場合、ステップS159の会員ID照合の結果はマッチしないので、処理はステップS165のエラー処理に進む。このエラー処理では、認証支援システム3は、ユーザ1から受信した緊急会員IDを登録済み会員の緊急会員IDと照合し(S166)、その結果マッチが得られば、ステップS160へ進めて通常の場合と同様にワンタイムIDを発行すると共に、処理をステップS167へも進めて、警察や警備会社などへユーザ1の情報を通報して対応を依頼するとともに、ユーザ1が利用可能な全てのクレジット会社に対してクレジット利用停止処理を依頼する。なお、ステップS169でマッチが得られなかった場合には、認証支援システム3は、ユーザ1に再度通信をし直すよう要求した通信を切断する(S169)。
ユーザ1は、ワンタイムIDを受け取れるので、そのワンタイムIDを使って図17で説明したと同様にクレジット決済の手続を行なう(S171)。そのとき、クレジット会社の認証システム6及び店舗のPOS端末は、ユーザ1などの部外者に対してクレジット決済が正常に行なわれているかの如き動作を外見上装いつつ、店舗店員や警察や警備会社等の関係者には、適切な犯罪阻止対策を実行できるような通報を行なう(S172)。
このように緊急会員IDを用いることで、外見的には認証処理が成功しているように見せつつ、バックグラウンドで犯罪阻止のための処理が行われるので、ユーザ1の安全を確保しつつ、犯罪を効果的に阻止することができる。
図27は、ユーザ1の要求に応じてサービスを停止するための処理の流れを示す。
図27の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図27に示すように、ユーザ1は、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「サービス停止業務」の停止種別として「全サービス停止」、「ログオンサービスのみ停止」又は「クレジットサービスのみ停止」を選択した上で(S184,S186)、会員IDを入力する(S188)。認証支援システム3は、ステップS189で会員ID照合を行なった結果、マッチが得られれば、ユーザ1の選択した停止種別に従って、全サービス停止処理(S190〜S194)か、ログオンサービスのみの停止処理(S195〜S198)か、又はクレジットサービスのみの停止処理(S199〜S202)を行なう。いずれの停止処理でも、停止されるべきサービスを提供する認証会社(システム運用会社、クレジット会社など)の全てに、それぞれの会社におけるユーザ1の管理マスタIDと共にサービス停止依頼を送り(S191,S197又はS201)、そして、そのユーザ1用のサービスメニューには、停止したサービスについて「サービス業務停止中」の旨のメッセージを入れる(S201)。
図28は、マイページ機能の処理の流れを示す。
マイページ機能とは、ユーザ1が自分用のサービスメニューの選択肢の配列順序等を編集できる機能である。
図28の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図28に示すように、ユーザ1は、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「マイページ機能」を選択した上で(S215,S217)、会員IDを入力する(S219)。認証支援システム3は、ステップS220で会員ID照合を行なった結果、マッチが得られれば、マイページ機能のより細かい編集機能、例えば「カテゴリ順序の変更」、「会社名順序の変更」、「アナウンスのON/OFF」、「終了」などを音声ガイダンスでユーザ1に提供し、ユーザはその中から所望の編集機能を選択する(S221)。認証支援システム3は、ユーザの選択した編集機能の処理、すなわち、サービスカテゴリの配列順序を変更する処理(S223〜S225)か、会社名の配列順序を変更する処理(S226〜S228)か、又は音声アナウンス(音声ガイダンス)のON/OFFを切り替える処理(S229〜S231)を実行する。何れの編集処理でも、ユーザ1は自分が所望するように変更内容を指示できる(S224,S227又はS230)。この変更は、次回からのアクセス時に提供されるサービスメニューに反映される。
図29は、ネットワークショップなどのウェブサイトへのアクセスログの取得の処理の流れを示す。
図29の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図29に示すように、ユーザ1は、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「ログ取得」を選択した上で(S244,S246)、会員IDを入力する(S248)。認証支援システム3は、ステップS249で会員ID照合を行なった結果、マッチが得られれば、取得したいログの種別選択の選択肢、例えば「I-mode選択」、「Web選択」、「終了」などを音声ガイダンスでユーザ1に提供し、ユーザはその中から所望のログ種別を選択する(S250)。認証支援システム3は、ユーザ1の選択した種別のログを取得してユーザ1の携帯電話へ出力する処理、すなわち、I-modeによるアクセスログを取得して出力する処理(S252〜S254)か、又は、又は通常Webブラウザによるアクセスログを取得して出力する処理(S255〜S257)を実行する。
図30は、認証キー変更の処理の流れを示す。
図30の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図30に示すように、ユーザ1は、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「キー変更申請」を選択した上で(S264,S266)、会員IDを入力する(S268)。認証支援システム3は、ステップS269で会員ID照合を行なった結果、マッチが得られれば、ユーザに変更後の会員ID(ファーストキー)の入力を要請し(S270,S272)、ユーザは変更後の会員IDを入力する(S271,S273)。そして、認証支援システム3は、データベース4内のユーザ1の会員IDの登録内容をユーザ入力された変更後の会員IDに変更する(S275)。また、ユーザ1からパスワード(セコンドキー)の変更の申請があった場合には、認証支援システム3は、その申請があった旨を認証システム6へ通知する。図示してないが、パスワードの変更処理は、ユーザ1と認証システム6との間の連絡によって行なわれ、そこに認証支援システム3は関与しない。
図31は、認証キー確認の処理の流れを示す。
図31の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図31に示すように、ユーザ1は、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「キー確認申請」を選択する(S284,S286)。すると、認証支援会社Xは、ユーザ1の住所や連絡先を知らないので、それを知っているクレジット会社等の認証会社Yからユーザに認証キーを知らせるために、ユーザ1の会員ID(ファーストキー)を印刷した書面を作成して、その書面を封書に入れて認証会社Yに送付する(S287)。認証会社Yは、その封書とユーザ1のパスワードを印刷した書面とをセットにして、それをユーザ1に郵送する(S288)。
図32は、拾得携帯電話機の持主確認の処理の流れを示す。
図32の流れにおいて、主として、上述した図16、図17の流れと異なる部分を説明すると次のとおりである。
図32に示すように、携帯電話機2を拾得した者は、その携帯電話機2から認証支援システム3に電話をかけ(S301)、認証支援システム3からのサービスメニュー(図15参照)の中から、「その他」の「拾得携帯電話の持主連絡」を選択する(S304,S306)。認証支援システム3は、ユーザ1の住所や連絡先などを知らないため、それを知っているクレジット会社等の認証会社Yに拾得携帯電話申請があった旨を連絡し(S307)、その連絡を受けた認証会社Yが、その携帯電話機2の拾得者からの受け取り及びユーザ1への引渡しの処理を行なう(S308)。
図33は、さらに別の適用例として、特定の建物又は施設へのエントランスドアの開閉又は施開錠の制御ための個人認証への適用例を示す。
ここでは、図33に示すように、認証システム6は、エントランス制御のための個人認証を行うエントランス管理サーバである。このエントランス管理サーバ6と通信可能に接続されたエントランス装置51が、特定の建物又は施設へのエントランスドア55に結合されている。このエントランス装置51は、認証システム6からの個人認証結果に応じて、のエントランスドア55の開閉又は施開錠を制御するようになっている。このエントランス装置51は、ユーザ1が第2の認証キー及びワンタイムIDを入力するために使用する入力装置53を、エントランスドア55の近くに備えている。エントランス装置51は、普段はエントランスドア55を閉じて施錠した状態に維持している。
ユーザ1は、既に説明した幾つかの適用例と同様の方法で第1段階の認証を成功させて、ワンタイムIDを入手する。そして、ユーザ1は、エントランスドア55の近くの入力装置53に、自分が記憶しているパスワード(第2の認証キー)と上記ワンタイムIDを入力する。入力装置53への入力方法は、入力装置53が有するテンキーなどを用いた手動の入力方法でも良いし、あるいは、特にワンタイムIDについては、これを認証支援システム3から受信して記憶している携帯端末2から、有線又は無線(例えば赤外線通信など)の通信インタフェースを通じて入力するような自動的な入力方法でもよい。入力装置53に入力されたパスワード(第2の認証キー)及びワンタイムID、並びにエントランス装置51に固有の端末IDが、エントランス管理サーバ6に送られる。エントランス管理サーバ6は、受け取ったパスワード(第2の認証キー)、ワンタイムID及び端末IDのセットを、予めデータベース7に記憶しているパスワード(第2の認証キー)、ワンタイムID及び端末IDのセットと照合することにより、既に説明した幾つかの適用例と同様の方法で第2段階の認証を行ない、この第2段階の認証の結果をエントランス装置51に通知する。エントランス装置51は、第2段階の認証の結果が成功である場合には、エントランスドア55を開ける又は開錠する。
さて、以上説明した幾つかの実施形態においては、ユーザの会員IDとパスワードは、異なる組織によりそれぞれ運営される異なるシステム、つまり認証支援システム3と認証システム6、において別個に記憶され、いずれのシステムも、自分が記憶している会員ID又はパスワードを、他方のシステムに対して秘密にしている。これにより、非常に高いセキュリティが得られることは既に説明した通りである。しかしながら、異なる組織によりそれぞれ運営される異なるシステムを用いることは、コスト面や運用の容易性などおいては必ずしも有利ではない。そこで、そのような構成に代えて、図34又は図35に例示するような認証サーバの構成を採用することもできる。
図34に例示する認証サーバの構成においては、同じ一つの組織(例えば一つの会社)60が、認証支援システム3と認証システム6を運営している。認証支援システム3と認証システム6は、それぞれ異なるコンピュータマシンにより実現されていてもよいし、或いは、同じコンピュータマシン上に実現されていてもよい。しかし、認証支援システム3と認証システム6は、既に説明した実施形態と同様にそれぞれデータベース4、7を別個に独立して管理している。例えば、認証支援システム3と認証システム6が、同じデータベース管理システム(DBMS)を共用するのではなく、それぞれ独立した別個のDBMSを有して、それによりデータベース4、7を管理する。認証支援システム3は、認証システム6のDBMSとは通信できず、又は、そのDBMSと通信することができてもユーザのパスワードを検索するための通信はそのDBMSによって拒否されるようになっており、よって、ユーザのパスワードを把握することはできない。また、認証システム6は、認証支援システム3のDBMSとは通信できず、又は、そのDBMSと通信することができてもユーザの会員IDを検索するための通信はそのDBMSによって拒否されるようになっており、よって、ユーザの会員IDを把握することはできない。認証支援システム3と認証システム6は、それぞれのデータベース4、7内の会員ID又はパスワードを他方のシステムに対して秘密にしている。換言すれば、データベース4、7間には、データベース4内の或るユーザの会員IDとデータベース7内の同一ユーザのパスワードの一方から他方を直接的に検索又は割り出すことを可能にするような関連付けが存在しない。従って、第三者が認証支援システム3内の会員IDを利用して認証システム6にアクセスしてその中のパスワードを取得する、あるいはその逆の行為を行うということは、現実的に困難である。故に、実用上十分に高いセキュリティが確保される。
図35に例示する認証サーバの構成においては、上述した認証支援システム3と認証システム6の双方の機能を兼ね備えた一つの統合認証システム71が、会員IDを記憶したデータベース(例えば、テーブル)4と、パスワードを記憶したデータベース(例えば、テーブル)7とを有している。しかし、データベース4、7間には、データベース4内の或るユーザの会員IDとデータベース7内の同一ユーザのパスワードの一方から他方を直接的に検索又は割り出すことを可能にするような関連付けは存在しない。要するに、ユーザの会員IDとパスワードは、その一方から他方を直接的に検索又は割り出すことができないように、統合認証システム71内で別個に管理されている。例えば、図示のように、別個の独立したDBMS75、79がデータベース4、7をそれぞれ別個に管理しており、DBMS75、79がそれぞれ管理する会員ID又はパスワードを一方のDBMSから他方のDBMSへと通知する機能は存在しない。そして、統合認証システム71内で第1段階認証を行う第1段階認証部73はDBMS75と通信するが、DBMS79とは通信できず、又は、DBMS79と通信することができてもユーザのパスワードを検索するための通信はDBMS79によって拒否されるようになっており、よって、ユーザのパスワードを把握することはできない。また、第2段階認証を行う第2段階認証部77はDBMS79と通信するが、DBMS77とは通信できず、又は、DBMS77と通信することができてもユーザの会員IDを検索するための通信はDBMS77によって拒否されるようになっており、よって、ユーザの会員IDを把握することはできない。第1段階認証部73は、ユーザのワンタイムIDと管理マスタIDを矢印76で示すように第2段階認証部77に通知するが、ユーザの会員IDは第2段階認証部77に対して秘密にする。第2段階認証部77は、ユーザのパスワードを第1段階認証部73に対して秘密にする。従って、この場合にも、第三者がデータベース4内の会員IDを利用してデータベース7にアクセスしてその中のパスワードを取得する、あるいはその逆の行為を行うということは、現実的には容易ではない。故に、実用上十分に高いセキュリティが確保される。
また、別の構成例として、図示してないが、ユーザの会員IDとパスワードが、上述した認証支援システム3、認証システム6又は統合認証システム71を運営する会社内では、一方から他方を検索可能な状態でデータベース内で管理されている構成も採用し得る。この会社内では、ユーザの会員IDとパスワードが第三者に漏れないよう厳格な情報保護管理が行われる。このような構成であっても、ユーザや外部の端末装置などと認証支援システム3、認証システム6又は統合認証システム71との間の通信においては、会員IDとパスワードが一緒に通信されることはなく、会員IDとパスワードは互いに分離されて別の機会に通信される。よって、通信傍受などにより第三者が会員IDとパスワードの双方を取得することは事実上非常に困難である。従って、故に、実用上十分に高いセキュリティが確保される。
また、上述した幾つかの実施形態の説明では、認証支援システム3と認証システム6はいずれも、固定的な場所に設置されたコンピュータマシンであるかのように理解されたかもしれない。しかし、必ずしもそうである必要は無く、認証支援システム3と認証システム6の少なくとも一方は、ユーザが携帯できるような携帯装置(例えば、ICカードのような情報処理カード)又は移動体に取り付けられる移動装置(例えば、ICカード、ETC端末、カーナビゲーション装置)などであったり、或いは、そうした携帯又は移動可能な装置と固定設置された装置との組み合わせであってもよい。図36と図37は、そのような携帯装置又は移動装置を用いた認証システムの構成例を示す。なお、図36と図37に示された例は、認証支援システム3と認証システム6のうち、前者の方を携帯又は移動可能な装置を用いて構成した例であるが、後者の方を携帯又は移動可能な装置を用いて構成することも可能である。
図36に示す構成例では、ユーザ1は自分にのみ使用が許可された情報処理カード81を携帯し、この情報処理カード81は、ユーザ1の携帯通信端末(例えば、携帯電話機、ETS端末など)2と有線又は無線の通信インタフェースを介して通信可能に接続することができる。このICカード81は、上述した認証支援システム3のように第1段階の認証を行ってワンタイムIDを発行する機能を有している。すなわち、情報処理カード81は、データベース83を有し、そこに、ユーザ1の会員IDと管理マスタID、並びに携帯通信端末2の固有の識別情報(例えば、携帯電話機の発信番号、ETS端末のMACアドレス又はIPアドレスなど)が記憶されている。データベース83内の会員IDは、それを情報処理カード81外へ読み出したり改ざんしたりすることができないようなセキュリティ性の高い記憶場所に記憶されている。
ユーザ1は、携帯通信端末2に自分の会員IDを入力する(91)。携帯通信端末2は、入力された会員IDと自機の固有の識別情報とを、情報処理カード81に送る(93)。情報処理カード81は、既に説明した認証支援システム3と同様な方法で第1段階の認証を行い、それが成功すれば、ワンタイムIDを発行して、このワンタイムIDとユーザ1の管理マスタIDを携帯通信端末2に送る(95)。これで、ユーザ1は、ワンタイムIDを取得したことになる。このとき、携帯通信端末2は、認証システム6に接続して、ワンタイムIDとユーザ1の管理マスタIDを認証システム6に送る(97)。つまり、情報処理カード81から携帯通信端末2を通じて、ユーザ1に発行したワンタイムIDとユーザ1の管理マスタIDが認証システム6に通知される。勿論、情報処理カード81が通信機能を備えて、情報処理カード81から、携帯通信端末2を経由せずに直接的に認証システム6に対して、ユーザ1に発行したワンタイムIDとユーザ1の管理マスタIDを通知するようにしてもよい。この後の、認証システム6による第2段階の認証の手順(99、101、103)については、既に説明した実施形態と同様である。
図37に示す構成例では、ユーザ1にのみ使用が許可された情報処理カード81であって、ユーザ1の携帯通信端末2に接続可能な情報処理カード81が、認証支援システム3による第1段階の認証処理に関与するようになっている。換言すれば、情報処理カード81と認証支援システム3との組み合わせが、第1段階の認証を行うようになっている。情報処理カード81がもつデータベース83には、ユーザ1の会員IDとユーザ1の携帯通信端末2の固有の識別情報(例えば、携帯電話機の発信番号、ETS端末のMACアドレス又はIPアドレスなど)が記憶されている。データベース83内の会員IDは、それを情報処理カード81外へ読み出したり改ざんしたりすることができないようなセキュリティ性の高い記憶場所に記憶されている。また、認証支援システム3内のデータベース4には、ユーザ1の携帯通信端末2の固有の識別情報と、ユーザ1の情報処理カード81の固有の識別情報(例えば、MACアドレス又はIPアドレスなど)と、ユーザ1の管理マスタIDが記憶されている。
ユーザ1は、携帯通信端末2に自分の会員IDを入力する(91)。携帯通信端末2は、入力された会員IDと自機の固有の識別情報とを、情報処理カード81に送る(93)。情報処理カード81は、携帯通信端末2から受け取ったと会員IDと携帯電話2の識別情報とを、データベース83に記憶してある会員IDと識別情報と照合し(第1段階の認証)、一致すれば、第1段階の認証が成功した旨の情報と自カードの固有の識別情報を携帯通信端末2に送る(111)。第1段階の認証が成功した旨の情報を受けると、携帯通信端末2は、認証支援システム3に接続して、自機の固有の識別情報と、情報処理カード81から受けた情報処理カード81の固有の識別情報とを携帯通信端末2を認証支援システム3に送る(113)。勿論、情報処理カード81が通信機能を備えて、情報処理カード81から、携帯通信端末2を経由せずに直接的に、認証支援システム6に対して、携帯通信端末2の識別情報と情報処理カード81の固有の識別情報とを送信するようにしてもよい。
認証支援システム3は、携帯通信端末2(又は情報処理カード81)から受け取った、携帯通信端末2の固有の識別情報と情報処理カード81の固有の識別情報とを、データベース4に記憶してある携帯通信端末2の固有の識別情報と情報処理カード81の固有の識別情報と照合する。この照合の結果、一致すれば、認証支援システム3は、ワンタイムIDを発行し、このワンタイムIDをユーザ1の携帯通信端末2に送る(115)と共に、認証システム6に対しても、そのワンタイムIDとユーザ1の管理マスタIDとを通知する(116)。この後の、認証システム6による第2段階の認証の手順(99、101、103)については、既に説明した実施形態と同様である。
図37の構成例における上述の処理手順の変形例として、次のようなものも採用することができる。すなわち、ユーザ1の会員IDは、情報処理カード81には記憶されておらず、認証支援システム3のデータベース4で管理されている。第1段階の認証が行われようとする場合、携帯通信端末2は、それに接続された情報処理カード81から固有の識別情報を取得して、その情報処理カード81の識別情報と、ユーザ1から入力された会員IDと、携帯通信端末2の固有の識別情報とを、認証支援システム3に送る。認証支援システム3は、携帯通信端末2から受け取ったその情報処理カード81の識別情報と、ユーザ1から入力された会員IDと、携帯通信端末2の固有の識別情報とを、データベース4に記憶されているユーザ1の情報処理カード81の識別情報と会員IDと携帯通信端末2の識別情報と照合し、全部一致した場合にのみ、ワンタイムIDを発行する。
図37の構成例では、上記2つの何れの手順を採用しても、ユーザ1は予め認証支援サーバ3に登録してある正しい携帯通信端末2と情報処理カード81の双方を組み合わせて使用しない限り、ワンタイムIDを受けることができない。従って、携帯通信端末2のみを用いる場合よりも、セキュリティ性が高い。
以上、本発明の実施形態を説明したが、これは本発明の説明のための例示であり、この実施形態のみに本発明の範囲を限定する趣旨ではない。従って、本発明は、その要旨を逸脱することなく、他の様々な形態で実施することが可能である。