特許第6370350号(P6370350)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社三井住友銀行

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社三井住友銀行の特許一覧

<>
  • 特許6370350-認証システム、方法、およびプログラム 図000002
  • 特許6370350-認証システム、方法、およびプログラム 図000003
  • 特許6370350-認証システム、方法、およびプログラム 図000004
  • 特許6370350-認証システム、方法、およびプログラム 図000005
  • 特許6370350-認証システム、方法、およびプログラム 図000006
  • 特許6370350-認証システム、方法、およびプログラム 図000007
  • 特許6370350-認証システム、方法、およびプログラム 図000008
  • 特許6370350-認証システム、方法、およびプログラム 図000009
  • 特許6370350-認証システム、方法、およびプログラム 図000010
  • 特許6370350-認証システム、方法、およびプログラム 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6370350
(24)【登録日】2018年7月20日
(45)【発行日】2018年8月8日
(54)【発明の名称】認証システム、方法、およびプログラム
(51)【国際特許分類】
   H04L 9/32 20060101AFI20180730BHJP
   G06F 21/31 20130101ALI20180730BHJP
【FI】
   H04L9/00 675B
   G06F21/31
【請求項の数】8
【全頁数】16
(21)【出願番号】特願2016-211969(P2016-211969)
(22)【出願日】2016年10月28日
(65)【公開番号】特開2018-74388(P2018-74388A)
(43)【公開日】2018年5月10日
【審査請求日】2016年10月28日
(73)【特許権者】
【識別番号】397077955
【氏名又は名称】株式会社三井住友銀行
(74)【代理人】
【識別番号】110001243
【氏名又は名称】特許業務法人 谷・阿部特許事務所
(72)【発明者】
【氏名】中川 貴徳
【審査官】 青木 重徳
(56)【参考文献】
【文献】 特開2016−066186(JP,A)
【文献】 特開2015−049810(JP,A)
【文献】 特開2009−017212(JP,A)
【文献】 特開2004−133879(JP,A)
【文献】 伊藤 孝英,アカウント・アグリゲーションを利用したXML情報流通システムへの取り組み,NTT技術ジャーナル,社団法人電気通信協会,2005年 2月 1日,第17巻,第2号,pp.54−57
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
ユーザ端末から、アカウントを受信する手段と、
前記アカウントを経由して、前記アカウントが登録されているオンラインサービスへログインするための認証を認証アプリケーションで行ってよいという同意を得る手段と、
サービス提供事業者システムへ、前記アカウントを送信する手段と、
前記サービス提供事業者システムから、前記アカウントが登録されているオンラインサービスを示すデータを受信する手段と、
前記アカウントが登録されているオンラインサービスのうち少なくとも1つを、前記アカウントと紐付けて登録する手段と、
前記ユーザ端末から、前記認証アプリケーションで行われた、前記アカウントと紐付けて登録されたオンラインサービスへログインするための第1の認証が成功したという通知を受信する手段であって、前記第1の認証は、ユーザの認証である、手段と、
前記第1の認証が成功した場合に、前記サービス提供事業者システムへ、前記アカウントと紐付けて登録されたオンラインサービスへログインするための認証が成功したという通知を送信する手段と
を備えたことを特徴とする認証サーバ。
【請求項2】
前記アカウントと紐付けられて登録されたオンラインサービスへログインするための第2の認証を行う手段であって、前記第2の認証は、前記ユーザ端末の認証である、手段をさらに備え、
前記第1の認証および前記第2の認証が成功した場合に、前記アカウントと紐付けて登録されたオンラインサービスへログインするための認証が成功したという通知が前記サービス提供事業者システムへ送信されること、を特徴とする請求項1に記載の認証サーバ。
【請求項3】
前記ユーザ端末へ、前記アカウントが登録されているオンラインサービスを示すデータを送信する手段と、
前記ユーザ端末から、前記アカウントが登録されているオンラインサービスの中から選択されたオンラインサービスを示すデータを受信する手段と、をさらに備え、
前記登録する手段は、前記ユーザ端末から受信したオンラインサービスを前記アカウントと紐付けて登録することを特徴とする請求項1または2に記載の認証サーバ。
【請求項4】
前記サービス提供事業者システムへ、前記認証アプリケーションによる認証以外のユーザの認証が行われたときに前記ユーザ端末へ通知するように指示する、または、前記認証アプリケーションによる認証以外のユーザの認証を許容しないように指示する手段
をさらに備えたことを特徴とする請求項1から3のいずれか一項に記載の認証サーバ。
【請求項5】
前記アカウントは、ユーザの個人情報と紐付けられて登録されていることを特徴とする請求項1からのいずれか一項に記載の認証サーバ。
【請求項6】
前記アカウントと紐付けられたユーザの個人情報と、前記サービス提供事業者システム内の前記ユーザの個人情報との同一性を照合する手段
をさらに備えたことを特徴とする請求項に記載の認証サーバ。
【請求項7】
前記アカウントと紐付けて登録されたオンラインサービスへログインするための前記第1の認証は、ログイン画面で前記認証アプリケーションを呼び出すことによって、または、ログイン画面で前記アカウントを入力することによって開始されることを特徴とする請求項1からのいずれか一項に記載の認証サーバ。
【請求項8】
認証サーバによって実施される方法であって、
ユーザ端末から、アカウントを受信するステップと、
前記アカウントを経由して、前記アカウントが登録されているオンラインサービスへログインするための認証を認証アプリケーションで行ってよいという同意を得るステップと、
サービス提供事業者システムへ、前記アカウントを送信するステップと、
前記サービス提供事業者システムから、前記アカウントが登録されているオンラインサービスを示すデータを受信するステップと、
前記アカウントが登録されているオンラインサービスのうち少なくとも1つを、前記アカウントと紐付けて登録するステップと、
前記ユーザ端末から、前記認証アプリケーションで行われた、前記アカウントと紐付けて登録されたオンラインサービスへログインするための第1の認証が成功したという通知を受信するステップであって、前記第1の認証は、ユーザの認証である、ステップと、
前記第1の認証が成功した場合に、前記サービス提供事業者システムへ、前記アカウントと紐付けて登録されたオンラインサービスへログインするための認証が成功したという通知を送信するステップと
を含むことを特徴とする方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証のための技術に関する。
【背景技術】
【0002】
現在、ソーシャル・ネットワーキング・サービス(SNS)やオンラインショッピングをはじめとする、多数のオンラインサービスがインターネット上で展開されている。これらのオンラインサービスを利用するためには、ユーザはアカウントとパスワードを登録する必要がある。多くのオンラインサービスでは、アカウントとして、ユーザが所有するメールアドレスを登録させている。つまり、メールアドレスは、インターネット上でのユーザの実質的なIDの役割を果たしている。
【0003】
ほとんどのユーザは、いくつかのオンラインサービスにアカウントを登録している。本来、オンラインサービスごとにパスワードを使い分けることが好ましい。しかし、ユーザは、パスワードを覚えておくのが面倒なため、全てのオンラインサービスで同一のアカウント(つまり、同一のメールアドレス)と同一のパスワードを使い回しているのが実状である。
【0004】
ところで、悪意のある第三者が、パスワードを盗んで他人のアカウントでオンラインサービスに不正にログインする、いわゆるアカウントの乗っ取りが問題となっている。アカウントとパスワードを入手した第三者は、真のユーザになりすまして、例えば、SNSに投稿したりメッセージを送ったりする。複数のオンラインサービスで同一のアカウントと同一のパスワードを使用していると、いったん、1つのオンラインサービスのアカウントが乗っ取られてしまうと、その他の全てのオンラインサービスのアカウントも乗っ取られてしまう可能性が高い。
【0005】
もし、オンラインサービスに不正にログインした第三者が、勝手に現在のパスワードを別のパスワードに変更してしまうと、真のユーザはオンラインサービスにログインすることさえできなくなってしまう。通常、パスワードが分からなくなったときに備えて、電子メールを経由してパスワードの再設定ができるようになっている。具体的には、ユーザは、アカウントとして登録しているメールアドレス宛てに、パスワードを再設定できるウェブページのULRが記載された電子メールを送ってもらい、パスワードを再設定することができる。つまり、電子メールを受信できる者が本人(つまり、そのアカウントの所有者)である、と推定する仕組みになっている。
【発明の概要】
【発明が解決しようとする課題】
【0006】
昨今、ウェブメールが広く普及しており、オンラインサービスのアカウントとしてもウェブメールのメールアドレスがよく用いられている。ウェブメールは、ウェブページにメールアドレスとパスワードさえ入力すれば、電子メールを利用することができるサービスである。そのため、悪意のある第三者にパスワードを盗まれてしまうと、SNS等のオンラインサービスと同様に、メールアドレスが容易に乗っ取られてしまう。つまり、その第三者が、メールの送受信をすることができてしまう。さらに、その第三者が、勝手に現在のパスワードを別のパスワードに変更してしまうと、真のユーザはウェブメールのサービスにログインすることができなくなる。
【0007】
ウェブメールのパスワードが分からなくなったユーザは、例えば、電話やウェブページで本人確認のための質問に答えて、自分が真のユーザであることをウェブメールのサービス提供事業者に対して証明しなければならない。しかし、場合によっては、本人であっても質問に正しく答えられないことがある。本人確認ができなかった場合、ユーザは、このメールアドレスでのウェブメールの利用を諦めなければならない。その結果、電子メールを受信できないので、そのメールアドレスをアカウントとして登録していたSNS等のオンラインサービスのパスワードを再設定できず、オンラインサービスの利用をも諦めざるを得ない。このように、ユーザが、SNS等のオンラインサービスだけでなく、アカウントとして登録していたウェブメールも乗っ取られてしまうと、乗っ取られたアカウントを取り戻すことが非常に困難である。
【0008】
本発明は、このような問題に鑑みてなされたものであり、その目的とするところは、真のユーザのみが容易に複数のオンラインサービスを利用することができる、認証システム、方法、およびプログラムを提供することにある。
【課題を解決するための手段】
【0009】
このような目的を達成するために、本発明の態様は、ユーザ端末から、アカウントを示すデータを受信する手段と、サービス提供事業者システムへ、前記アカウントを示すデータを送信する手段と、前記サービス提供事業者システムから、前記アカウントが登録されているオンラインサービスを示すデータを受信する手段と、前記アカウントが登録されているオンラインサービスのうち少なくとも1つを、前記アカウントと紐付けて登録する手段と、前記アカウントと紐付けて登録したオンラインサービスへログインするための認証を実行する手段と、を備える。
【発明の効果】
【0010】
本発明によれば、複数のオンラインサービスの認証を一元管理することができる。
【図面の簡単な説明】
【0011】
図1】本発明の一実施形態にかかる認証システムの全体の概要図である。
図2】本発明の一実施形態にかかる認証システムの認証サーバの機能ブロック図である。
図3】本発明の一実施形態にかかる認証システムのユーザ情報データベースの一例である。
図4】本発明の一実施形態にかかる認証システムのユーザ端末の機能ブロック図である。
図5】本発明の一実施形態にかかる認証システムのサービス提供事業者システムの機能ブロック図である。
図6】本発明の一実施形態にかかる認証システムにおける初期登録の処理の流れを示すシーケンス図である。
図7】本発明の一実施形態にかかる認証システムにおけるメールアドレス登録の処理の流れを示すシーケンス図である。
図8】本発明の一実施形態にかかる認証システムにおけるサービス登録の処理の流れを示すシーケンス図である。
図9】本発明の一実施形態にかかる認証システムにおける個人情報登録の処理の流れを示すシーケンス図である。
図10】本発明の一実施形態にかかる認証システムにおける認証の処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0012】
最初に、本明細書で使用する用語について説明する。「オンラインサービス」とは、サービス提供事業者が、ネットワークを通じてユーザに提供するサービスである。例えば、「オンラインサービス」には、ソーシャル・ネットワーキング・サービス(SNS)、オンラインショッピング、オンラインゲーム、音楽・映像・電子書籍の配信、ウェブメールなどが含まれるが、これらに限定されない。以下、本明細書では、オンラインサービスのアカウントとしてメールアドレスが登録されている場合を説明するが、本発明は、オンラインサービスのアカウントとして、携帯電話番号などのユーザ固有の任意の情報が登録されている場合にも適用することができる。「生体情報」とは、生体認証のために用いられる、ユーザの身体や行動の特徴の情報である。例えば、「生体情報」には、ユーザの指紋、虹彩、静脈、声紋、顔などの情報が含まれるが、これらに限定されない。
【0013】
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
【0014】
図1は、本発明の一実施形態にかかる認証システム100の全体の概要図である。概要図には、認証サーバ101、少なくとも1つのサービス提供事業者システム102、金融機関システム103、ユーザ端末104が含まれる。以下、それぞれについて説明する。
【0015】
認証サーバ101は、複数のオンラインサービスを利用するユーザを認証するためのコンピュータである。認証サーバ101は、ユーザのメールアドレスと、ユーザの個人情報と、ユーザの認証情報と、そのメールアドレスをアカウントとして登録しているオンラインサービスのうち認証サーバ101によって認証され得るオンラインサービスと、を紐付けてデータベースとして管理することができる。ユーザの個人情報とは、ユーザを特定することができる情報であり、例えば、金融機関が保有しているユーザの個人情報や口座情報である。ユーザの認証情報とは、ユーザを認証することができる情報であり、例えば、ユーザの生体情報である。後に、図2を参照しながら、認証サーバ101について詳細に説明する。
【0016】
サービス提供事業者システム102は、オンラインサービスをユーザに提供する事業者(サービス提供事業者)によって運営される、オンラインサービスを提供するためのシステムである。本発明では、任意の数のサービス提供事業者システム102によって提供される任意の数のオンラインサービスを利用するユーザを認証することができる。後に、図5を参照しながら、サービス提供事業者システム102について詳細に説明する。
【0017】
金融機関システム103は、銀行などの金融機関によって運営される、ユーザの口座を管理するためのシステムである。金融機関システム103は、ユーザの口座情報、口座開設時に本人確認のために用いられたユーザの個人情報などを保有することができる。
【0018】
ユーザ端末104は、本発明に係る認証システムを利用するユーザのスマートフォン等の端末である。ユーザ端末104には、後述する認証用アプリケーションソフト(アプリ)をインストールすることができる。ユーザは、認証用アプリを用いて、オンラインサービスにログインすることができる。後に、図4を参照しながら、ユーザ端末104について詳細に説明する。
【0019】
図2は、本発明の一実施形態にかかる認証システム100の認証サーバ101の機能ブロック図である。認証サーバ101には、初期登録部201、メールアドレス登録部202、サービス登録部203、個人情報登録部204、認証部205、ユーザ情報データベース206が含まれる。以下、それぞれについて説明する。なお、ユーザは、金融機関システム103を運営する金融機関で口座を開設しているものとする。
【0020】
初期登録部201は、ユーザ端末104に、オンラインサービスにログインする際にユーザを認証するための情報(例えば、ユーザの生体情報)を登録させることができる。具体的には、初期登録部201は、ユーザ端末104から、初期登録を要求する旨を示すデータを受信することができる。また、初期登録部201は、ユーザ端末104から、ユーザ端末104によって生成された公開鍵を受信することができる。また、初期登録部201は、ユーザのID(ユーザID)を発行することができる。ユーザIDは、ユーザごとに付与された識別子である。また、初期登録部201は、発行したユーザIDと受信した公開鍵とを紐付けて、ユーザ情報データベース206に格納することができる。また、初期登録部201は、ユーザ端末104へ、発行したユーザIDを送信することができる。後述するとおり、ユーザ端末104は、ユーザの認証情報(例えば、生体情報)と、ユーザ端末104が生成した秘密鍵と、初期登録部201から受信したユーザIDとを紐付けて、ユーザ端末104内の記憶媒体に格納することができる。
【0021】
このように、ユーザ端末104がユーザの認証情報(例えば、生体情報)と秘密鍵を保有して、認証サーバ101が公開鍵を保有することができる。そして、ユーザがオンラインサービスにログインしたい際に、ユーザの認証情報(例えば、生体情報)、秘密鍵、公開鍵を用いて、ユーザを認証することができる。
【0022】
メールアドレス登録部202は、ユーザがオンラインサービスでアカウントとして登録しているメールアドレスを、本発明に係る認証システムに登録することができる。具体的には、メールアドレス登録部202は、ユーザ端末104から、メールアドレスの登録を要求する旨を示すデータ、および、登録したいメールアドレスを示すデータ、および、そのユーザのユーザIDを示すデータを受信することができる。また、メールアドレス登録部202は、登録したいメールアドレス宛に電子メールを送信して、そのメールアドレスをアカウントとして登録しているオンラインサービスへログインするための認証を認証アプリで行ってよいかを確認する。また、メールアドレス登録部202は、登録したいメールアドレス宛の電子メール内に記載されたURLのウェブページを介して、認証アプリで認証することに同意する旨を示すデータを受信することができる。また、メールアドレス登録部202は、同意を得たメールアドレスと、そのユーザのユーザIDと、そのユーザの公開鍵とを紐付けて、ユーザ情報データベース206に格納することができる。また、メールアドレス登録部202は、ユーザ端末104へ、メールアドレスの登録が完了した旨を示すデータを送信することができる。なお、上述したとおり、メールアドレスの代わりに、携帯電話番号などのユーザ固有の任意の情報を用いることも可能である。例えば、携帯電話番号の場合、メールアドレス登録部202は、登録したい携帯電話番号宛にSMSを送信して、その携帯電話番号をアカウントとして登録しているオンラインサービスへログインするための認証を認証アプリで行ってよいかを確認する。また、メールアドレス登録部202は、登録したい携帯電話番号宛のSMS内に記載されたURLのウェブページを介して、認証アプリで認証することに同意する旨を示すデータを受信することができる。
【0023】
このように、ユーザのメールアドレス宛の電子メールや携帯電話番号宛のSMSを経由してユーザの同意を得ることができる。そのため、ユーザがそのメールアドレスや携帯電話番号の真の所有者であることを確認した上で、メールアドレスや携帯電話番号を登録することができる。
【0024】
サービス登録部203は、メールアドレス登録部202が登録したメールアドレスをアカウントとしているオンラインサービスを、本発明に係る認証システムに登録することができる。具体的には、サービス登録部203は、全てのサービス提供事業者システム102へ、メールアドレス登録部202が登録したメールアドレスを示すデータを送信して、このメールアドレスをアカウントとしているオンラインサービスが有るか無いかを問い合わせることができる。また、サービス登録部203は、サービス提供事業者システム102から、メールアドレス登録部202が登録したメールアドレスをアカウントとしているオンラインサービスの有無を示すデータを受信することができる。また、サービス登録部203は、サービス提供事業者システム102から受信したデータに基づいて、ユーザのメールアドレスがアカウントとして登録されているオンラインサービスの一覧データを生成することができる。また、サービス登録部203は、ユーザ端末104へ、オンラインサービスの一覧データを送信することができる。また、サービス登録部203は、ユーザ端末104から、ユーザが認証アプリで認証したいオンラインサービスを示すデータを受信することができる。また、サービス登録部203は、ユーザが認証アプリで認証したいオンラインサービスを、そのユーザのユーザID、メールアドレス、公開鍵と紐付けて、ユーザ情報データベース206に格納することができる。なお、サービス登録部203は、ユーザにオンラインサービスを選択させずに、ユーザのメールアドレスがアカウントとして登録されている全てのオンラインサービスをユーザ情報データベース206に格納することもできる。また、サービス登録部203は、サービス提供事業者システム102へ、認証アプリで認証することができるオンラインサービスを示すデータを送信することができる。また、サービス登録部203は、サービス提供事業者システム102へ、そのオンラインサービスが認証アプリでの認証だけでなく従来のメールアドレスとパスワードとによる認証をも許容しているか否かを示すデータを送信することができる。なお、メールアドレス登録部202が電話番号を登録した場合、サービス登録部203は、メールアドレス登録部202が登録した電話番号をアカウントとしているオンラインサービスを、本発明に係る認証システムに登録することができる。
【0025】
個人情報登録部204は、メールアドレス登録部202が登録したメールアドレスと、ユーザの個人情報と、を紐付けて、ユーザ情報データベース206に格納することができる。具体的には、個人情報登録部204は、ユーザ端末104から、ユーザの口座を特定するための情報、および、ユーザのユーザIDを受信することができる。例えば、ユーザの口座を特定するための情報は、ユーザの口座の店番号・口座番号、あるいは、インターネットバンキング用のユーザの識別子などである。また、個人情報登録部204は、金融機関システム103から、ユーザ端末104から受信した情報によって特定される口座の、口座情報、口座開設時に本人確認のために用いられたユーザの個人情報を受信することができる。また、個人情報登録部204は、メールアドレス登録部202が登録したメールアドレスと、金融機関システム103から受信したユーザの口座情報および個人情報と、を紐付けてユーザ情報データベース206に格納することができる。
【0026】
なお、本明細書では、個人情報として、金融機関が保有する口座の情報や個人情報を利用する例を説明したが、これに限らず、例えば、通信事業者が保有する携帯電話番号や個人情報を利用するようにしてもよい。
【0027】
認証部205は、ユーザがオンラインサービスにログインしたい際に、ユーザを認証することができる。具体的には、認証部205は、ユーザ端末104から、ユーザ端末104で行われたユーザの認証(例えば、生体認証)の結果、そのユーザのユーザID、ログインしたいオンラインサービスを示すデータ、および、ユーザ端末104内の記憶媒体に格納されている秘密鍵によるデジタル署名を受信することができる。また、認証部205は、ユーザ端末104から受信したデジタル署名を、ユーザ情報データベース206内のペアの公開鍵によって検証することができる。また、認証部205は、公開鍵による検証により真のユーザであると判断すると、ユーザがログインしたいオンラインサービスのサービス提供事業者システム102へ、ユーザの認証が成功した旨を通知することができる。その後、サービス提供事業者システム102は、ユーザがユーザ端末104でオンラインサービスにログインすることを可能にする。
【0028】
このように、本発明では、ユーザを認証するための情報(例えば、生体情報)自体は、ユーザ端末104と認証サーバ101との間で送受信されない。したがって、ユーザの認証情報が漏洩するのを防ぐことができる。
【0029】
ユーザ情報データベース206は、オンラインサービスへのログインを認証アプリで認証するための情報を格納したデータベースである。図3を参照しながら、ユーザ情報データベース206について詳細に説明する。
【0030】
図3は、本発明の一実施形態にかかる認証システムのユーザ情報データベース206の一例である。図3に示されるように、ユーザ情報データベース206は、「ユーザID」、「メールアドレス」、「オンラインサービス」、「メールアドレス認証の可否」、「個人情報」、「公開鍵」等のデータを格納することができる。
【0031】
「ユーザID」は、ユーザごとに付与された識別子である。「メールアドレス」は、そのユーザが所有するメールアドレス(あるいは携帯電話番号)である。メールアドレス登録部202が登録したメールアドレス(あるいは携帯電話番号)を示すデータが「メールアドレス」に格納される。「オンラインサービス」は、認証アプリで認証することができるオンラインサービスである。サービス登録部203が登録したオンラインサービスを示すデータが「オンラインサービス」に格納される。
【0032】
「メールアドレス認証の可否」は、そのオンラインサービスが、認証アプリでの認証だけでなく、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証をも許容しているか否かを示す。すなわち、「メールアドレス認証の可否」に“不可”を示すデータが格納されている場合、そのオンラインサービスでは、認証アプリでの認証でしかログインすることができない。一方、「メールアドレス認証の可否」に“可”を示すデータが格納されている場合、そのオンラインサービスでは、認証アプリでの認証でログインすることもできるし、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証でログインすることもできる。可否は、オンラインサービスごとに定めることもできるし(例えば、オンラインサービスAは必ず“可”)、ユーザごとに定めることもできる(例えば、ユーザ1はオンラインサービスAを“可”とし、ユーザ2はオンラインサービスAを“不可”とする)。
【0033】
さらに、万が一、ユーザのメールアドレスやオンラインサービスのアカウントが乗っ取られた場合に、他のオンラインサービスのアカウントまでもが乗っ取られるのを防ぐために、そのユーザの全てのオンラインサービスの「メールアドレス認証の可否」を“不可”にすることができる。具体的には、ユーザ端末104は、認証サーバ101へ、メールアドレスを示すデータを送信する。認証サーバ101は、ユーザ端末104から受信したメールアドレスに紐付けられている全てのオンラインサービスの「メールアドレス認証の可否」を“不可”に変更して、サービス提供事業者システム102へ変更した旨を通知する。
【0034】
「個人情報」は、ユーザを特定することができる情報であり、例えば、図3に示されるように「氏名/生年月日」、「口座情報」、「電話番号」などである。上述したように、個人情報として、金融機関や通信事業者が保有するユーザの個人情報を利用することができる。例えば、個人情報は、口座開設時や携帯電話の契約時にユーザから提示された本人確認のための書類(運転免許証など)によって確認された情報である。例えば、個人情報は、「氏名」、「生年月日」、「現住所」、「本籍」、「国籍」、「電話番号」、「携帯電話番号」などの情報である。また、例えば、個人情報は、ユーザの「マイナンバー(社会保障・税番号)の番号」、「運転免許証番号」、「パスポート番号」、「健康保険証番号」などである。また、例えば、個人情報は、そのユーザの口座の「口座情報」である。「公開鍵」は、そのユーザのユーザIDに紐付けられた公開鍵のデータである。
【0035】
このように、メールアドレス(つまり、オンラインサービスのアカウント)と、ユーザの個人情報とが紐付けられている。そのため、アカウントが乗っ取られたとしても、ユーザは、サービス提供事業者に対して、自分が真のユーザであることを従来よりも証明しやすくなる。例えば、ユーザは、銀行の窓口などで本人確認を行うことにより、自分が真のユーザであることを証明できる。
【0036】
また、メールアドレス(つまり、オンラインサービスのアカウント)とユーザの個人情報とが紐付けられているため、サービス提供事業者は、サービス提供事業者システム102内で保有する個人情報と、認証サーバ101内で保有する個人情報とが一致するか否かを確認することができる。具体的には、サービス提供事業者システム102と、認証サーバ101とは、それぞれが保有するユーザのいくつかの個人情報(例えば、氏名と生年月日)をセットでハッシュ化して送信し合うことによって、匿名性を保ったまま、両者の個人情報の同一性を照合することができる。
【0037】
図4は、本発明の一実施形態にかかる認証システム100のユーザ端末104の機能ブロック図である。ユーザ端末104には、認証情報登録部401、認証部402が含まれる。ユーザ端末104は、認証情報登録部401および認証部402を動作させるためのプログラム、または、後述する処理を実行するためのプログラム(例えば、スマートフォン用アプリ)を格納した記憶媒体を含むことができる。以下、それぞれについて説明する。
【0038】
認証情報登録部401は、初期登録として、ユーザ端末104にユーザの認証情報(例えば、生体情報)を登録することができる。具体的には、認証情報登録部401は、認証サーバ101へ、初期登録を要求する旨を示すデータを送信することができる。また、認証情報登録部401は、秘密鍵と公開鍵とのペアを生成することができる。また、認証情報登録部401は、認証サーバ101へ、生成した公開鍵を送信することができる。また、認証情報登録部401は、認証サーバ101から、ユーザIDを受信することができる。また、認証情報登録部401は、ユーザの認証情報を取得することができる。例えば、認証情報登録部401は、ユーザの指をユーザ端末104に触れさせることによって、ユーザの指紋情報を取得することができる。また、認証情報登録部401は、ユーザの認証情報(例えば、生体情報)と、生成した秘密鍵と、認証サーバ101から受信したユーザIDとを紐付けて、ユーザ端末104内の記憶媒体に格納することができる。
【0039】
このように、本発明では、ユーザは、自分の希望する認証情報を選んで登録することができる(例えば、ユーザAは指紋、ユーザBは虹彩、ユーザCは静脈)。また、本発明では、1つのユーザ端末104にユーザの複数の認証情報(例えば、指紋と虹彩と静脈)を登録しておき、オンラインサービスに応じて、いくつかの認証情報を組み合わせて(例えば、オンラインサービスAは指紋と虹彩、オンラインサービスBは指紋と虹彩と静脈)ユーザ認証を行うようにしてもよい。
【0040】
認証部402は、ユーザがオンラインサービスにログインしたい際に、ユーザを認証することができる。具体的には、認証部402は、ユーザの認証情報を取得することができる。例えば、認証部402は、ユーザの指をユーザ端末104に触れさせることによって、ユーザの指紋情報を取得することができる。また、認証部402は、取得したユーザの認証情報と、ユーザ端末104内の記憶媒体に格納されているユーザの認証情報とが一致するか否かを照合することができる。ユーザの認証情報が一致する場合、認証部402は、認証サーバ101へ、ユーザ端末104で行われたユーザの認証の結果(つまり、認証が成功したこと)、そのユーザのユーザID、ログインしたいオンラインサービスを示すデータ、および、ユーザ端末104内の記憶媒体に格納されている秘密鍵によるデジタル署名を送信することができる。その後、ユーザがユーザ端末104でオンラインサービスにログインすることが可能になる。なお、本明細書では、ユーザ端末104上で生体認証を行う例を説明したが、これに限らず、例えば、パスワードなどによる認証を用いてもよい。すなわち、認証部402は、ユーザによってユーザ端末104に入力されたパスワードと、ユーザ端末104内の記憶媒体に格納されているパスワードとが一致するか否かを照合する。一致する場合に、認証部402は、認証サーバ101へ、ユーザ端末104で行われたユーザの認証の結果(つまり、認証が成功したこと)、そのユーザのユーザID、ログインしたいオンラインサービスを示すデータ、および、ユーザ端末104内の記憶媒体に格納されている秘密鍵によるデジタル署名を送信することができる。
【0041】
このように、ユーザは、従来のアカウント(あるいは携帯電話番号)とパスワードとによる認証ではなく、認証アプリによる認証でオンラインサービスにログインすることが可能となる。つまり、ユーザは、どのオンラインサービスにログインする場合であっても、ユーザ端末104上で生体認証を行うだけでよい。そのため、アカウントが乗っ取られてパスワードが分からなくなった場合にも、認証アプリでログインすることが可能となる。
【0042】
図5は、本発明の一実施形態にかかる認証システム100のサービス提供事業者システム102の機能ブロック図である。サービス提供事業者システム102には、登録部501、認証部502が含まれる。以下、それぞれについて説明する。
【0043】
登録部501は、認証サーバ101と連携して、各オンラインサービスを利用する各ユーザの認証を認証アプリで行うことが可能であるか否かを登録することができる。具体的には、登録部501は、認証サーバ101から、メールアドレス(あるいは携帯電話番号)を示すデータを受信して、このメールアドレス(あるいは携帯電話番号)をアカウントとしているオンラインサービスが有るか無いかの問い合わせを受けることができる。また、登録部501は、認証サーバ101へ、認証サーバ101から受信したメールアドレス(あるいは携帯電話番号)をアカウントとしているオンラインサービスの有無を示すデータを送信することができる。また、登録部501は、認証サーバ101から、認証アプリで認証することができるオンラインサービスを示すデータを受信することができる。また、登録部501は、認証サーバ101から、そのオンラインサービスが認証アプリでの認証だけでなく従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証をも許容しているか否かを示すデータを受信することができる。また、登録部501は、各オンラインサービスを利用する各ユーザが、認証アプリによる認証のみが可能であるか、あるいは、認証アプリによる認証と従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証との両方が可能であるかを示すデータを、サービス提供事業者システム102内の記憶媒体に格納することができる。
【0044】
認証部502は、認証アプリによる認証、あるいは、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証が成功すると、ユーザ端末104のユーザをオンラインサービスにログインさせることができる。具体的には、認証アプリによる認証の場合、認証部502は、認証サーバ101から、ユーザの認証が成功した旨の通知を受けることができる。また、認証部502は、認証が成功したユーザがオンラインサービスにログインすることを可能にする。従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証の場合、認証部502は、そのユーザがそのオンラインサービスにログインする際の認証として、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証が許容されているか、を判断することができる。許容されていれば、認証部502は、従来どおり、メールアドレスとパスワードとによる認証を行うことができる。
【0045】
図6は、本発明の一実施形態にかかる認証システムにおける初期登録の処理の流れを示すシーケンス図である。
・ステップ601で、ユーザ端末104は、認証サーバ101へ、初期登録をするように要求する。
・ステップ602で、ユーザ端末104は、秘密鍵、公開鍵を生成する。
・ステップ603で、ユーザ端末104は、認証サーバ101へ、ステップ602で生成した公開鍵を送信する。
・ステップ604で、認証サーバ101は、ステップ601で初期登録を要求したユーザのユーザIDを発行する。
・ステップ605で、認証サーバ101は、ステップ604で発行したユーザIDとステップ603で受信した公開鍵とを格納する。
・ステップ606で、認証サーバ101は、ユーザ端末104へ、ステップ604で発行したユーザIDを送信する。
・ステップ607で、ユーザ端末104は、ユーザの認証情報を登録する。
・ステップ608で、ユーザ端末104は、ステップ607で登録したユーザの認証情報と、ステップ602で生成した秘密鍵と、ステップ606で受信したユーザIDとをユーザ端末104内の記憶媒体に格納する。
【0046】
図7は、本発明の一実施形態にかかる認証システムにおけるメールアドレス登録の処理の流れを示すシーケンス図である。メールアドレス登録の処理は、初期登録の処理の後に行われる。
・ステップ701で、ユーザ端末104は、認証サーバ101へ、メールアドレス登録をするように要求する。
・ステップ702で、認証サーバ101は、ステップ701で受信した登録したいメールアドレス宛に確認メールを送信する。
・ステップ703で、認証サーバ101は、ステップ702で送信した確認メールを経由して、認証アプリでの認証の同意を得る。
・ステップ704で、認証サーバ101は、ステップ703で同意を得たメールアドレスを、ステップ701で受信したユーザIDに紐付けて登録する。
・ステップ705で、認証サーバ101は、ユーザ端末104へ、ステップ701で要求されたメールアドレスの登録が完了したことを通知する。
【0047】
図8は、本発明の一実施形態にかかる認証システムにおけるサービス登録の処理の流れを示すシーケンス図である。サービス登録の処理は、メールアドレス登録の処理の後に行われる。
・ステップ801で、認証サーバ101は、サービス提供事業者システム102へ、メールアドレスを送信して、このメールアドレスをアカウントとしているオンラインサービスの有無を問い合わせる。
・ステップ802で、サービス提供事業者システム102は、認証サーバ101へ、ステップ801の問い合わせの結果を報告する。
・ステップ803で、認証サーバ101は、ユーザ端末104へ、ステップ802で報告された結果に基づいて、そのユーザのメールアドレスをアカウントとしているオンラインサービスの一覧を送信する。
・ステップ804で、ユーザ端末104は、認証サーバ101へ、ステップ803で受信した一覧のうち認証アプリで認証したいオンラインサービスを選択して通知する。
・ステップ805で、認証サーバ101は、ステップ804で受信したオンラインサービスをメールアドレスと紐付けて登録する。
・ステップ806で、認証サーバ101は、サービス提供事業者システム102へ、ステップ805で登録したオンラインサービスを通知する。
【0048】
図9は、本発明の一実施形態にかかる認証システムにおける個人情報登録の処理の流れを示すシーケンス図である。個人情報登録の処理は、初期登録、メールアドレス登録、サービス登録のいずれかの処理の後に行われてよい。
・ステップ901で、ユーザ端末104は、認証サーバ101へ、個人情報登録を要求する。
・ステップ902で、認証サーバ101は、金融機関システム103へ、ステップ901で受信した情報によって特定される口座の個人情報を照会する。
・ステップ903で、金融機関システム103は、認証サーバ101へ、ステップ902で照会された個人情報を送信する。
・ステップ904で、認証サーバ101は、ステップ903で受信した個人情報をメールアドレスと紐付けて登録する。
【0049】
図10は、本発明の一実施形態にかかる認証システムにおける認証の処理の流れを示すシーケンス図である。
【0050】
認証アプリによる認証を開始するために、例えば、ユーザがログインしたいオンラインサービスの表示画面上で認証ボタンを選択することによって、認証アプリを起動させることができる。あるいは、オンラインサービスの従来のログイン画面を変更せずに、認証アプリによる認証を開始することも可能である。具体的には、ユーザ端末104は、サービス提供事業者システム102へ、従来のアカウント(つまり、メールアドレスや携帯電話番号)とパスワードとによるログイン画面上で入力されたアカウントを送信する。そして、サービス提供事業者システム102は、認証サーバ101へ、認証アプリによるそのユーザの認証を行うように通知する。そして、認証サーバ101は、そのユーザのユーザ端末104へ、ユーザの認証を行うように通知する。
【0051】
・ステップ1001で、ユーザ端末104は、ユーザ端末104内の記憶媒体に格納されたユーザの認証情報を用いて、ユーザを認証する。ユーザは、認証アプリを用いて、ユーザ認証を実行することができる。
・ステップ1002で、ユーザ端末104は、認証サーバ101へ、ステップ1001でユーザの認証が成功したことを通知する。ユーザは、認証アプリを用いて、認証の成功を通知することができる。
・ステップ1003で、認証サーバ101は、ステップ1002で受信したデータを検証する。
・ステップ1004で、認証サーバ101は、サービス提供事業者システム102へ、ユーザが認証されたことを通知する。
・ステップ1005で、ユーザは、ユーザ端末104でサービス提供事業者システム102のオンラインサービスにログインする。
【0052】
さらに、本発明では、悪意のある第三者がメールアドレス(あるいは携帯電話番号)とパスワードとによる認証でログインしたときに真のユーザがすぐに気付くことができるように、ユーザ端末104に通知するようにしてもよい。具体的には、メールアドレス(あるいは携帯電話番号)とパスワードとによる認証によってオンラインサービスにログインされると、サービス提供事業者システム102または認証サーバ101は、電子メールやSMSを介してユーザ端末104に、メールアドレス(あるいは携帯電話番号)とパスワードとによる認証によってログインされた旨を通知する。そのため、ユーザは、自分のアカウントが乗っ取られたことを早急に把握することができる。
【0053】
このように、本発明では、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証ではなく、認証アプリによる認証によってオンラインサービスにログインすることができる。そのため、真のユーザ以外の者がログインすることを未然に防ぐことができる。さらに、認証アプリ以外の認証(つまり、従来のメールアドレス(あるいは携帯電話番号)とパスワードとによる認証)によってログインされた場合にはユーザへ通知することが可能、あるいは、認証アプリ以外の認証を許容しないようにすることが可能である。そのため、万が一アカウントが乗っ取られたとしても、被害の拡大を防ぐことができる。さらに、アカウント(つまり、メールアドレスや携帯電話番号)と個人情報が紐付けられて管理されているため、ユーザは、自分が真のユーザであることを容易に証明することができる。
【0054】
さらに、本発明では、複数のオンラインサービスへログインするための認証が一元管理される。そのため、ユーザは、複数のパスワードを管理する必要がなくなる。また、ユーザは、認証アプリによる認証へ容易に移行することができる。また、認証を一元管理するゆえに本人確認を強化する必要があるが、本発明では、メールアドレスとそのユーザの個人情報とが紐付けられている。そのため、従来の本人確認が行われていないウェブメールとは異なり、メールアドレスの所有者を特定しやすくなる。
【0055】
ここまで、本発明の実施形態について説明したが、上記実施形態はあくまで一例であり、本発明は上述した実施形態に限定されず、その技術的思想の範囲内において種々異なる形態にて実施されてよいことは言うまでもない。また、本発明の範囲は、図示され記載された例示的な実施形態に限定されるものではなく、本発明が目的とするものと均等な効果をもたらす全ての実施形態をも含む。さらに、本発明の範囲は、各請求項により画される発明の特徴の組み合わせに限定されるものではなく、全ての開示されたそれぞれの特徴のうち特定の特徴のあらゆる所望する組み合わせによって画されうる。
【符号の説明】
【0056】
100 認証システム
101 認証サーバ
102 サービス提供事業者システム
103 金融機関システム
104 ユーザ端末
201 初期登録部
202 メールアドレス登録部
203 サービス登録部
204 個人情報登録部
205 認証部
206 ユーザ情報データベース
401 認証情報登録部
402 認証部
501 登録部
502 認証部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.