知財求人 - 知財ポータルサイト「IP Force」
▶ ソラミツ株式会社の特許一覧 ▶ 楽天証券株式会社の特許一覧
特許6407232ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6407232
(24)【登録日】2018年9月28日
(45)【発行日】2018年10月17日
(54)【発明の名称】ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
(51)【国際特許分類】
H04L 9/32 20060101AFI20181004BHJP
G06F 21/33 20130101ALI20181004BHJP
G09C 1/00 20060101ALI20181004BHJP
【FI】
H04L9/00 675B
G06F21/33
G09C1/00 640E
【請求項の数】28
【全頁数】27
(21)【出願番号】特願2016-221657(P2016-221657)
(22)【出願日】2016年11月14日
(65)【公開番号】特開2018-82244(P2018-82244A)
(43)【公開日】2018年5月24日
【審査請求日】2016年11月14日
(73)【特許権者】
【識別番号】516260888
【氏名又は名称】ソラミツ株式会社
(73)【特許権者】
【識別番号】501044644
【氏名又は名称】楽天証券株式会社
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100103034
【弁理士】
【氏名又は名称】野河 信久
(74)【代理人】
【識別番号】100153051
【弁理士】
【氏名又は名称】河野 直樹
(72)【発明者】
【氏名】岡田 隆
(72)【発明者】
【氏名】武宮 誠
(72)【発明者】
【氏名】米津 武至
(72)【発明者】
【氏名】楠 雄治
(72)【発明者】
【氏名】平山 忍
(72)【発明者】
【氏名】矢田 耕一
(72)【発明者】
【氏名】白崎 宏一
(72)【発明者】
【氏名】石井 智晶
(72)【発明者】
【氏名】南波 環樹
(72)【発明者】
【氏名】沈 秀輔
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特開2010−226336(JP,A)
【文献】
特開2007−312180(JP,A)
【文献】
特開2015−138978(JP,A)
【文献】
特表2015−519777(JP,A)
【文献】
米国特許出願公開第2015/0244690(US,A1)
【文献】
特開2017−092713(JP,A)
【文献】
横山 哲也,強化されたセキュリティと認証,Windows 2000 World,日本,株式会社IDGコミュニケーションズ,1999年11月 1日,第4巻 第11号,pp.156−159
【文献】
Akio Hoshii,シェアリングエコノミーに欠かせない本人確認情報をブロックチェーンで共有、ガイアックスが実証実験,[オンライン],2016年 5月20日,[検索日 平成30年 1月23日]、インターネット,URL,<http://jp.techcrunch.com/2016/05/20/sharing-personal-data-with-blockchain/>
【文献】
淵田 康之,特集:イノベーションと金融 ブロックチェーンと金融取引の革新,野村資本市場クォータリー,日本,株式会社野村資本市場研究所,2015年11月 1日,第19巻第2号(通巻74号),pp.11−35
【文献】
佐古 和恵,透明性と公平性を実現するブロックチェーン技術,情報処理,日本,一般社団法人情報処理学会,2016年 8月15日,第57巻 第9号,pp.864−869
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/33
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおいて、
前記サービスプロバイダは、
第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段と
を具備し、
前記認証サーバは、
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備し、
前記サービスプロバイダは、
前記認証サーバから前記第3データを受信する第3データ受信手段と、
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システム。
前記サービスプロバイダは、
第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段と
を具備し、
前記認証サーバは、
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備し、
前記サービスプロバイダは、
前記認証サーバから前記第3データを受信する第3データ受信手段と、
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システム。
【請求項2】
前記第1のユーザ端末から初期登録リクエストを受信する初期登録受信手段と、
前記初期登録リクエストを受信した場合に、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付ける処理を行なう関連付け処理手段をさらに具備する請求項1記載のログイン認証システム。
前記初期登録リクエストを受信した場合に、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付ける処理を行なう関連付け処理手段をさらに具備する請求項1記載のログイン認証システム。
【請求項3】
前記関連付け処理手段は、
前記サービスプロバイダが、
前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段を具備し、
前記認証サーバが、
前記第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第2の初期登録データ送信手段とを具備し、
前記サービスプロバイダが、
前記第3の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第3の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及びユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段とをさらに具備する、
請求項2記載のログイン認証システム。
前記サービスプロバイダが、
前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段を具備し、
前記認証サーバが、
前記第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第2の初期登録データ送信手段とを具備し、
前記サービスプロバイダが、
前記第3の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第3の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及びユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段とをさらに具備する、
請求項2記載のログイン認証システム。
【請求項4】
前記サービスプロバイダは、
前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付けて記憶する記憶部を具備する請求項1記載のログイン認証システム。
前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付けて記憶する記憶部を具備する請求項1記載のログイン認証システム。
【請求項5】
前記サービスプロバイダが提供するサービスに関するユーザ関連情報が、前記ユーザの識別情報にさらに関連付けられている、請求項4記載のログイン認証システム。
【請求項6】
前記認証サーバは、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵及び前記第2のユーザ端末の端末情報が互いに関連付けて記憶されている記憶部を具備する、請求項1記載のログイン認証システム。
【請求項7】
前記第3データは、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵を含む、請求項1記載のログイン認証システム。
【請求項8】
前記第3の初期登録データは、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵を含む、請求項3記載のログイン認証システム。
【請求項9】
第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされた第1データを含む承認リクエストを認証サーバに送信する承認リクエスト送信手段と、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信する第2データ受信手段と、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システムにおけるサービスプロバイダ。
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、
前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされた第1データを含む承認リクエストを認証サーバに送信する承認リクエスト送信手段と、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信する第2データ受信手段と、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段と
を具備するログイン認証システムにおけるサービスプロバイダ。
【請求項10】
前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段と、
前記第1の初期登録データの送信後、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第2の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第2の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及び前記ユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段と
をさらに具備する請求項9記載のサービスプロバイダ。
前記第1の初期登録データの送信後、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第2の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、
前記受信した第2の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及び前記ユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段と
をさらに具備する請求項9記載のサービスプロバイダ。
【請求項11】
前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記認証サーバの公開鍵及びユーザの識別情報を互いに関連付けて記憶する記憶部を具備する請求項9記載のサービスプロバイダ。
【請求項12】
前記サービスプロバイダが提供するサービスに関するユーザ関連情報が、前記ユーザの識別情報にさらに関連付けられている、請求項11記載のサービスプロバイダ。
【請求項13】
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備する認証サーバ。
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段と
を具備する認証サーバ。
【請求項14】
前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化された前記ユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第1の初期登録データ送信手段と
を具備する請求項13記載の認証サーバ。
前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化された前記ユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第1の初期登録データ送信手段と
を具備する請求項13記載の認証サーバ。
【請求項15】
前記認証サーバは、第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵及び前記第2のユーザ端末の端末情報が互いに関連付けて記憶されている記憶部を具備する、請求項13記載の認証サーバ。
【請求項16】
前記第3データは、前記認証サーバの署名がされた第1のユーザ端末の公開鍵を含む、請求項13記載の認証サーバ。
【請求項17】
前記第3の初期登録データは、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵を含む、請求項14記載の認証サーバ。
【請求項18】
第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第2のユーザ端末におけるログイン認証方法において、
認証サーバの署名がされた第1データ及び識別コードを受信し、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信することを含む、
ログイン認証方法。
認証サーバの署名がされた第1データ及び識別コードを受信し、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信することを含む、
ログイン認証方法。
【請求項19】
前記ログイン認証システムの初期登録を行なう場合に、前記第1のユーザ端末の署名がされた初期識別コードと、前記第1のユーザ端末の前記公開鍵を読み込み、
前記第1のユーザ端末の署名が確認された場合に、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを送信する、
請求項18記載のログイン認証方法。
前記第1のユーザ端末の署名が確認された場合に、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを送信する、
請求項18記載のログイン認証方法。
【請求項20】
前記読み込みは、前記第1のユーザ端末の署名がされた初期識別コードと、前記第1のユーザ端末の前記公開鍵を含むQRコードを読み込む、請求項19記載のログイン認証方法。
【請求項21】
第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第1のユーザ端末におけるログイン認証方法において、
初期登録リクエストをサービスプロバイダに送信し、
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及びサービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信し、
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信し、
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信し、
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示し、
前記初期登録完了画面情報を表示した後、ログインリクエストをサービスプロバイダに送信し、
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信し、
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信し、
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信する、
ログイン認証方法。
初期登録リクエストをサービスプロバイダに送信し、
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及びサービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信し、
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信し、
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信し、
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示し、
前記初期登録完了画面情報を表示した後、ログインリクエストをサービスプロバイダに送信し、
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信し、
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信し、
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信する、
ログイン認証方法。
【請求項22】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおけるログイン認証方法において、
前記サービスプロバイダが、
第1のユーザ端末からログインリクエストを受信し、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、
前記第1のユーザ端末の署名がされた前記識別コードを受信し、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、
前記認証サーバが、
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信し、
前記サービスプロバイダが、
前記認証サーバから前記第3データを受信し、
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、
ログイン認証方法。
前記サービスプロバイダが、
第1のユーザ端末からログインリクエストを受信し、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、
前記第1のユーザ端末の署名がされた前記識別コードを受信し、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、
前記認証サーバが、
前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、
前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信し、
前記サービスプロバイダが、
前記認証サーバから前記第3データを受信し、
前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、
ログイン認証方法。
【請求項23】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおける前記サービスプロバイダのログイン認証方法において、
第1のユーザ端末からログインリクエストを受信し、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、
前記第1のユーザ端末の署名がされた前記識別コードを受信し、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信し、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、
ログイン認証システムにおけるサービスプロバイダのログイン認証方法。
第1のユーザ端末からログインリクエストを受信し、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信し、
前記第1のユーザ端末の署名がされた前記識別コードを受信し、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信し、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信し、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する、
ログイン認証システムにおけるサービスプロバイダのログイン認証方法。
【請求項24】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおける前記認証サーバのログイン認証方法において、
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する、
ログイン認証システムにおける認証サーバのログイン認証方法。
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信し、
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信し、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する、
ログイン認証システムにおける認証サーバのログイン認証方法。
【請求項25】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおける前記サービスプロバイダにおいて使用されるログイン認証プログラムにおいて、
ログイン認証システムのサービスプロバイダに、
第1のユーザ端末からログインリクエストを受信させ、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信させ、
前記第1のユーザ端末の署名がされた前記識別コードを受信させ、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信させ、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信させ、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信させる、
ログイン認証プログラム。
ログイン認証システムのサービスプロバイダに、
第1のユーザ端末からログインリクエストを受信させ、
前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信させ、
前記第1のユーザ端末の署名がされた前記識別コードを受信させ、
前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信させ、
前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信させ、
前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信させる、
ログイン認証プログラム。
【請求項26】
サービスプロバイダと、認証サーバとを有するログイン認証システムにおける前記認証サーバにおいて使用されるログイン認証プログラムにおいて、
ログイン認証システムの認証サーバに、
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信させ、
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信させ、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信させる、
ログイン認証プログラム。
ログイン認証システムの認証サーバに、
サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信させ、
前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信させ、
前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信させる、
ログイン認証プログラム。
【請求項27】
第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおける前記第2のユーザ端末に、
認証サーバの署名がされた第1データ及び識別コードを受信させ、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信させることを含む、
ログイン認証プログラム。
認証サーバの署名がされた第1データ及び識別コードを受信させ、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、
前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信させることを含む、
ログイン認証プログラム。
【請求項28】
第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおける前記第1のユーザ端末に、
初期登録リクエストをサービスプロバイダに送信させ、
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信させ、
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信させ、
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信させ、
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示させ、
前記初期登録完了画面情報を表示させた後、ログインリクエストをサービスプロバイダに送信させ、
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信させ、
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信させ、
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信させる、
ログイン認証プログラム。
初期登録リクエストをサービスプロバイダに送信させ、
前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信させ、
前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信させ、
前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信させ、
前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示させ、
前記初期登録完了画面情報を表示させた後、ログインリクエストをサービスプロバイダに送信させ、
前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信させ、
前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信させ、
前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信させる、
ログイン認証プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラムに関する。
【背景技術】
【0002】
従来より、機密性の高いサービスのサイトにログインを行なう場合には、ユーザがID及びパスワード(PW)を入力してログインを行なうシステムが広く知られている。また、ユーザがID及びPWを盗み取られた場合には、第3者が当該ユーザになりすますことにより機密性の高いサービスのサイトにログインが可能となってしまう。
【0003】
このような問題に対処するために、生体認証情報を使用してログインを行なう技術も良く知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2013−174955号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、生体認証情報を使用する方法は、生体認証情報を読み取るための特別な装置が必要である。そのため、そのような特別な装置を有しないユーザにとっては、このような生体認証情報を使用するログイン認証方法は不便である。
【0006】
本発明は、上記実情に鑑みてなされたものであり、第1の端末及び第2の端末が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができるログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
第1の発明によれば、サービスプロバイダと、認証サーバとを有するログイン認証システムにおいて、前記サービスプロバイダは、第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合、前記認証サーバに、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段とを具備し、前記認証サーバは、前記承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び前記識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、前記認証サーバの署名がされた前記第1データ及び前記識別コードの送信に応答して、前記第2のユーザ0端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段とを具備し、前記サービスプロバイダは、前記認証サーバから前記第3データを受信する第3データ受信手段と、前記受信した前記第3データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段とを具備するログイン認証システム、である。
【0008】
第2の発明によれば、第1の発明において、前記第1のユーザ端末から初期登録リクエストを受信する初期登録受信手段と、前記初期登録リクエストを受信した場合に、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵、前記サービスプロバイダの公開鍵、前記認証サーバの公開鍵及び前記ユーザの識別情報を互いに関連付ける処理を行なう関連付け処理手段をさらに具備するログイン認証システム、である。
【0009】
第3の発明によれば、第2の発明において、前記関連付け処理手段は、前記サービスプロバイダが、前記第1のユーザ端末から初期登録リクエストを受信した場合、前記認証サーバの署名が行なわれた初期識別コード及び前記サービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを前記第1のユーザ端末に送信する第1の初期登録データ送信手段を具備し、前記認証サーバが、前記第1の初期登録データの送信に応答して、前記第2のユーザ端末から第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2の初期登録データを受信する第1の初期登録データ受信手段と、前記第2の初期登録データに含まれる前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コードの前記第1のユーザ端末及び前記第2のユーザ端末の署名が確認され、かつ前記初期識別コードが確認された場合に、前記認証サーバの署名がされた前記第2のユーザ端末及び前記第1のユーザ端末の署名が付された前記初期識別コード、前記暗号化された前記ユーザの識別情報、前記第1のユーザ端末の公開鍵及び前記第2のユーザ端末の公開鍵を含む第3の初期登録データを前記サービスプロバイダに送信する第2の初期登録データ送信手段とを具備し、前記サービスプロバイダが、前記第3の初期登録データを前記認証サーバから受信する第2の初期登録データ受信手段と、前記受信した第3の初期登録データに含まれる前記第1のユーザ端末、前記第2のユーザ端末及び認証サーバの署名及び前記ユーザの識別情報が確認された場合、前記初期登録リクエストの後の初期登録完了画面情報とともに前記第1のユーザ端末に送信する初期登録完了画面情報送信手段とをさらに具備する、ログイン認証システム、である。
【0010】
第4の発明によれば、第1のユーザ端末からログインリクエストを受信するログインリクエスト受信手段と、前記受信したログインリクエストに応答して、前記第1のユーザ端末に識別コードを送信する識別コード送信手段と、前記第1のユーザ端末の署名がされた前記識別コードを受信する第1コード受信手段と、前記受信した前記第1のユーザ端末の署名がされた前記識別コードの前記第1のユーザ端末の署名が確認された場合に、前記識別コードと前記第1のユーザ端末の公開鍵とに前記サービスプロバイダの署名がされた第1データを含む承認リクエストを前記認証サーバに送信する承認リクエスト送信手段と、前記第1データの送信に応答して、前記認証サーバから前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報、前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コード及び前記第1のユーザ端末の公開鍵を含む第2データを受信する第2データ受信手段と、前記受信した前記第2データの前記認証サーバ及び前記第2のユーザ端末の署名が確認された場合、前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに前記第1のユーザ端末に送信する画面情報送信手段とを具備するログイン認証システムにおけるサービスプロバイダ、である。
【0011】
第5の発明によれば、サービスプロバイダから承認リクエストを受信し、前記承認リクエストに含まれる第1データに含まれる前記サービスプロバイダの署名が確認された場合に、前記第1データ及び識別コードに前記認証サーバの署名を行ない、前記認証サーバの署名がされた前記第1データ及び前記識別コードを第2のユーザ端末に送信する第1データ送信手段と、前記認証サーバの署名がされた前記第1データ及び前記識別コードに応答して、前記第2のユーザ端末から、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第2データを受信する第2データ受信手段と、前記受信した第2データに含まれる前記第2のユーザ端末の署名及び前記端末情報が確認された場合に、前記認証サーバの署名がされた前記承認リクエストに対する結果を示す承認結果情報及び前記認証サーバの署名がされた前記第2のユーザ端末の署名が付された前記識別コードを含む第3データを前記サービスプロバイダに送信する第3データ送信手段とを具備する認証サーバ、である。
【0012】
第6の発明によれば、第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第2のユーザ端末におけるログイン認証方法において、認証サーバの署名がされた第1データ及び識別コードを受信し、前記第1データは、前記識別コードと前記第1のユーザ端末の公開鍵とにサービスプロバイダの署名がされたデータであり、前記受信した前記認証サーバの署名がされた前記第1データ及び前記識別コードの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末の署名がされた前記識別コード、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む第1データを前記認証サーバに送信することを含む、ログイン認証方法である。
【0013】
第7の発明によれば、第1のユーザ端末と、第2のユーザ端末とを具備し、前記第2のユーザ端末を使用して、前記第1のユーザ端末のログインを行なうログイン認証システムにおけるログイン処理の前記第1のユーザ端末におけるログイン認証方法において、初期登録リクエストをサービスプロバイダに送信し、前記初期登録リクエストの送信に応答して、認証サーバの署名が行なわれた初期識別コード及びサービスプロバイダの署名が付された初期識別コードを含む第1の初期登録データを含む第1の初期登録データを前記サービスプロバイダから受信し、前記受信した前記第1の初期登録データの前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記第2のユーザ端末が読み込み可能なQRコードを表示し、前記QRコードは、前記第1のユーザ端末の署名がされた前記初期識別コード、前記第1のユーザ端末の公開鍵を含み、前記第2のユーザ端末は、前記第1のユーザ端末に表示されたQRコードから、前記第1のユーザ端末の署名が確認された場合、前記第2のユーザ端末の署名が行なわれた前記第1のユーザ端末の署名が付された前記初期識別コード、暗号化されたユーザの識別情報、前記第1のユーザ端末の公開鍵、前記第2のユーザ端末の公開鍵及び前記第2のユーザ端末の端末情報を含む初期登録データを前記認証サーバに送信し、前記QRコードを表示した後、前記サービスプロバイダから前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵をログインリクエストの後の画面情報とともに受信し、前記ログインリクエストの後の画面情報とともに受信した前記認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵の前記認証サーバ及び前記サービスプロバイダの署名が確認された場合に、前記ログインリクエストの後の初期登録完了画面情報を表示し、前記初期登録完了画面情報を表示した後、ログインリクエストをサービスプロバイダに送信し、前記送信したログインリクエストに応答して、前記サービスプロバイダから識別コードを受信し、前記受信した識別コードに前記第1のユーザ端末の署名を行ない、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信し、前記第1のユーザ端末の署名がされた前記識別コードを前記サービスプロバイダに送信した後に、前記サービスプロバイダが前記認証サーバに送信した承認リクエストが許可され、かつ前記第1のユーザ端末の署名、前記第2のユーザ端末の署名及び前記認証サーバの署名及び前記識別コードを確認した場合に、前記サービスプロバイダから認証サーバの署名がされた前記第1のユーザ端末の公開鍵及び前記サービスプロバイダの署名がされた前記第1のユーザ端末の公開鍵を前記ログインリクエストの後の画面情報とともに受信する、
ログイン認証方法、である。
【発明の効果】
【0015】
本発明によれば、第1の端末及び第2の端末が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができるログイン認証システムを提供することができる。
【図面の簡単な説明】
【0016】
【図1】実施形態のログイン認証を行なうためのログイン認証システムを説明するための図である。
【図2】コンピュータC1の構成を示す図である。
【図3】ログイン認証処理の初期登録処理前に各装置が保有している情報を示す図である。
【図4】ログイン認証処理の初期登録処理後に各装置が保有している情報を示す図である。
【図5】顧客情報の一例を示す図である。
【図6】ログイン認証システムの初期登録処理のタイミングチャートを示す図である。
【図7】ログイン認証システムのログイン認証処理のタイミングチャートを示す図である。
【図8】サービスプロバイダSPの初期登録処理を説明するためのフローチャートである。
【図9】認証サーバAの初期登録処理を説明するためのフローチャートである。
【図10】コンピュータC1の初期登録処理を説明するためのフローチャートである。
【図11】ユーザ端末C2の初期登録処理を説明するためのフローチャートである。
【図12】コンピュータC1のディスプレイ上に表示されるQRコード(登録商標)Cを示す図である。
【図13】サービスプロバイダSPのログイン処理を説明するためのフローチャートである。
【図14】認証サーバAのログイン処理を説明するためのフローチャートである。
【図15】コンピュータC1のログイン処理を説明するためのフローチャートである。
【図16】ユーザ端末C2のログイン処理を説明するためのフローチャートである。
【図17】セキュリティの観点から従来のログイン方式と実施形態のログイン方式とを説明するための図である。
【発明を実施するための形態】
【0017】
以下、図面を参照して、本発明の実施形態に係るログイン認証システムについて説明する。なお、実施形態では、証券会社などの金融機関が提供する機密性の高いサービスにログインするためのログイン認証システムについて説明するが、ログインが必要なサービスであれば、実施形態のログイン認証方法を適用することができる。1 ログイン認証システムの構成
図1は、実施形態のログイン認証を行なうためのログイン認証システムを説明するための図である。
【0018】
同図に示すように、インターネットなどのネットワーク1には、ユーザのコンピュータC1、ユーザの携帯端末C2、サービスプロバイダSP、認証サーバ群ACの認証サーバA−1〜A−4が接続されている。なお、認証サーバA−1〜A−4を区別する必要がない場合には、「認証サーバA」と省略して表記する。
【0019】
コンピュータC1は、一般的なデスクトップコンピュータの他、モバイルコンピュータ、ラップトップコンピュータ、タブレット型端末などを含む。コンピュータC1上では、例えば、サービスプロバイダSPからダウンロードされ、ウェブブラウザ上で動作するJavaScript(登録商標)で記述されたコンピュータC1用のログイン認証プログラムによって、実施形態のログイン認証方法が実行される。
【0020】
携帯端末C2は、スマートフォン、フィーチャー・フォン(feature phone)などを含み、例えば、Android(登録商標)、iOS(登録商標)などのOS上で動作する携帯端末である。携帯端末C2上では、例えば、図示せぬアプリケーションプログラムダウンロードサーバからダウンロードされた携帯端末C2用のログイン認証プログラムによって、実施形態のログイン認証方法が実行される。
【0021】
サービスプロバイダSPは、株式取引画面などのログイン認証が必要なサービス提供画面の提供などを行なうサービス提供プログラムの他、実施形態のログイン処理を行なうためのサービスプロバイダ用のログイン認証プログラムを有する。
【0022】
認証サーバ群ACは、認証サーバA−1〜A−4を有する。各認証サーバA−1〜A−4は相互に接続されるとともに、インターネット1にも接続されている。各認証サーバA−1〜A−4は、ユーザのコンピュータC1、携帯端末C2及びサービスプロバイダSPの公開鍵及び携帯端末C2の端末情報などを格納する記憶装置を有する。各認証サーバA−1〜A−4の記憶装置のデータは、ブロックチェーン技術により、データの同一性が保たれている。実施形態では、コンピュータC1、携帯端末C2及びサービスプロバイダSPと協働して、認証サーバAがログイン認証処理を行なう。なお、認証サーバ群ACに含まれる認証サーバの数は、4つに限られるものではない。
【0023】
ユーザのコンピュータC1、携帯端末C2、サービスプロバイダSP及び認証サーバ群ACの認証サーバA−1〜A−4は、一般的な情報処理装置と同様の構成を有する。情報処理装置は、メモリ、CPU、通信インターフェイス、記憶装置などを備え、実施形態に係るログイン認証処理は、CPUが各装置の記憶装置に記憶されたプログラムを実行することにより実現される。
【0024】
すなわち、コンピュータC1の記憶装置には、コンピュータC1用のログイン認証プログラムが記憶され、携帯端末C2の記憶装置には、携帯端末C2用のログイン認証プログラムが記憶され、サービスプロバイダSPの記憶装置には、サービスプロバイダSP用のログイン認証プログラムが記憶され、サービスプロバイダSPなどとともにログイン認証処理を行なう認証サーバAには、認証サーバA用のログイン認証プログラムが記憶される。
【0025】
例として、図2にコンピュータC1の構成を示す。
【0026】
同図に示すように、コンピュータC1においては、バス11にCPU12、通信部13、メモリ14、入力部15、記憶装置16及び表示部17が接続されている。
【0027】
CPU12は、記憶装置16に記憶された本発明の実施の形態に係るログイン認証プログラム24と協働して、本実施形態に係るログイン認証処理を行なう他、コンピュータC1全体の制御を司るものである。
【0028】
通信部13は、ネットワーク1を介した認証サーバA、サービスプロバイダSPなどの外部装置との通信の制御を司る。
【0029】
メモリ14は、ログイン認証プログラム24を実行する際に必要とされるワークエリアなどとして使用される。
【0030】
入力部15は、ログイン認証処理を行なう際に必要とされるデータなどを入力するためのインターフェイスであり、例えば、キーボード、マウス、タッチパネルなどである。
【0031】
記憶装置16は、ログイン認証処理に必要とされるプログラム、データを格納するためのものであり、例えば、ハードディスクドライブ(HDD)、光ディスクドライブ、DVD、MOなどの大容量記憶装置である。この記憶装置16には、OS(オペレーティングシステム)21、鍵情報データベース22、データベース23及びログイン認証プログラム24が格納されている。表示部17は、本実施形態に係るログイン認証プログラムによる処理のために必要な情報を表示するためのディスプレイであり、例えば、図12に示すように、ログイン認証の際に必要となる初期登録用のQRコードを表示する。
【0032】
OS21は、コンピュータC1の基本的な機能を実現するためのプログラムである。
【0033】
鍵情報データベース22は、ログイン認証プログラム24の初期登録処理によって発行されるコンピュータC1のキーペア(秘密鍵、公開鍵)を格納する。
【0034】
データベース23は、実施形態のログイン認証処理に関するデータや、ユーザ関連情報などを格納する。
【0035】
ログイン認証プログラム24は、OS21上で動作するアプリケーションプログラムであって、CPU12と協働して、実施形態に係るログイン認証処理を実現するものであって、図6、図7及び図10に示すコンピュータC1のフローチャートの処理を実現するものである。
【0036】
なお、携帯端末C2の記憶装置に格納されるログイン認証プログラムは図6、図7及び図11に示す携帯端末C2のフローチャートの処理、サービスプロバイダSPの記憶装置に格納されるログイン認証プログラムは図6、図7及び図8に示すサービスプロバイダSPのフローチャートの処理、認証サーバAの記憶装置に格納されるログイン認証プログラムは図6、図7及び図9に示すサービスプロバイダSPのフローチャートの処理を実現する。
【0038】
同図に示すように、初期登録処理前には、コンピュータC1及び携帯端末C2は認証サーバAの公開鍵及びサービスプロバイダSPの公開鍵を保有し、認証サーバAはサービスプロバイダSPの公開鍵を保有し、サービスプロバイダSPは認証サーバAの公開鍵を保有している。
【0039】
図4は、ログイン認証処理の初期登録処理後に各装置が保有している情報を示す図である。
【0040】
同図に示すように、初期登録処理後には、コンピュータC1及び携帯端末C2は認証サーバAの公開鍵及びサービスプロバイダSPの公開鍵を保有し、認証サーバAはサービスプロバイダSPの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び携帯端末C2の端末情報を保有し、サービスプロバイダSPは認証サーバAの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び顧客情報を保有している。
【0041】
ここで、コンピュータC1のキーペア(秘密鍵及び公開鍵)は初期登録処理中にブラウザにより発行され、携帯端末C2のキーペアは、携帯端末C2にダウンロードされたログイン認証用のプログラムによって発行されているものとする。
【0042】
顧客情報は、顧客DB(データベース)に保存されており、サービスプロバイダが提供するサービスに依存するが、例えば、顧客情報には、図5に示すように、顧客ごとにユーザID、PWなどの情報が格納されている。2 ログイン認証システムの動作
次に、実施形態に係るログイン認証システムの初期登録処理について、図6及び図7のタイミングチャート及び図8乃至図11のフローチャートを参照して説明する。
2−1 ログイン認証処理の初期登録処理
実施形態のログイン認証方法を行なう場合、初期登録を行なう必要がある。コンピュータC1は、サービスプロバイダSPが提供するサービスにID及びPWを使用してログインを行ない、初期登録処理を行なう。
【0043】
図6は、ログイン認証システムの初期登録処理のタイミングチャートを示す図である。図8はサービスプロバイダSPの初期登録処理を説明するためのフローチャート、図9は認証サーバAの初期登録処理を説明するためのフローチャート、図10はコンピュータC1の初期登録処理を説明するためのフローチャート及び図11はユーザ端末C2の初期登録処理を説明するためのフローチャートである。
【0044】
初期登録を行なう場合、コンピュータC1は、初期登録リクエストをサービスプロバイダSPに送信する(図6のT1、図10のS41)。サービスプロバイダSPは、コンピュータC1から初期登録リクエストを受信したかを判断し(図8のS1)、初期登録リクエストを受信した場合、初期登録用のワンタイムコード(OTC)を生成し、生成したOTCにサービスプロバイダSPの署名を行なう(図8のS2)。OTCは、例えば、ランダムに決定された数字である。次に、サービスプロバイダSPは、サービスプロバイダSPの署名がされたOTC(「SPの署名(OTC)」)を認証サーバAに送信する(図6のT2、図8のS3)。図6のT1、T2により、認証サーバA及びサービスプロバイダSPでOTCが共有される。
【0045】
認証サーバAは、サービスプロバイダSPの署名がされた初期登録用のOTCを受信したかを判断し(図9のS21)、サービスプロバイダSPの署名がされた初期登録用のOTCを受信した場合、サービスプロバイダSPの署名を確認する(図9のS22)。
【0046】
認証サーバAは、サービスプロバイダSPの署名が確認された場合、第1の初期登録データをサービスプロバイダSPに送信する(図6のT3、図9のS23)。ここで、第1の初期登録データは、認証サーバAの署名がされたOTC及びSPの書名(OTC)(「Aの署名((OTC)+SPの署名(OTC))」)である。
【0047】
一方、認証サーバAにおいて、サービスプロバイダSPの署名が確認されない場合、初期登録失敗処理が行なわれる(図9のS24)。
【0048】
サービスプロバイダSPは、認証サーバAから第1の初期登録データを受信したか否かを判断し(図8のS4)、第1の初期登録データを受信した場合、認証サーバAの署名の確認及びOTCの確認を行なう(図8のS5)。
【0049】
S5において、認証サーバAの署名及びOTCが確認された場合、第1の初期登録データをコンピュータC1に送信する(図6のT4、図8のS6)。サービスプロバイダSPにおいて、認証サーバAの署名及びOTCが確認されない場合、初期登録失敗処理が行なわれる(図8のS11)。
【0050】
コンピュータC1は、サービスプロバイダSPから第1の初期登録データを受信したか否かを判断し(図10のS42)、第1の初期登録データを受信した場合、認証サーバAの署名及びサービスプロバイダSPの署名の確認を行なう(図10のS43)。認証サーバAの署名及びサービスプロバイダSPの署名が確認された場合、コンピュータC1のブラウザ内で、新しいキーペア(コンピュータC1の秘密鍵及び公開鍵)を発行する(図10のS44)。コンピュータC1において、認証サーバAの署名及びOTCが確認されない場合、初期登録失敗処理が行なわれる(図10のS46)。
【0051】
次に、コンピュータC1は、C1の署名がされたOTC及びコンピュータC1の公開鍵(「C1の署名(OTC)+C1の公開鍵」)を含むQRコードを作成し(図10のS45)、この作成されたQRコードをディスプレイ上に表示する(図10のS46)。図12は、コンピュータC1のディスプレイ上に表示されるQRコードCを示す図である。同図においては、QRコードCとともに、「初期登録用のQRコードを携帯端末で読み込んでください」のメッセージが表示される例を示している。
【0052】
携帯端末C2は、コンピュータC1のディスプレイ上に表示されたQRコードを読み取り、C1の署名がされたOTC及びコンピュータC1の公開鍵(「C1の署名(OTC)+C1の公開鍵」)を取得する(図6のT5、図11のS61)。
【0053】
携帯端末C2は、コンピュータC1の署名を確認し(図11のS62)、コンピュータC1の署名が確認された場合、第2の初期登録データを認証サーバAに送信する(図6のT6、図11のS63)。ここで、第2の初期登録データは、下記のデータを含む。・ 携帯端末C2の署名が行なわれたコンピュータC1の署名が付されたOTC
・ 暗号化されたユーザ情報(ID/PW)
・ コンピュータC1の公開鍵
・ 携帯端末C2の公開鍵
・ 携帯端末C2の端末情報
すなわち、
第2の初期登録データ =
C2の署名(C1の署名(OTC))+サービスプロバイダSP向けに暗号化したユーザ情報(ID/PW)+ C1の公開鍵 + C2の公開鍵 + C2の端末情報
である。ここで、携帯端末C2の端末情報は、携帯端末Cの端末情報は、例えば、マックアドレスなどである。ユーザの携帯端末C2において、コンピュータC1の署名が確認されない場合、初期登録失敗処理が行なわれる(図11のS64)。
【0054】
認証サーバAは、第1の初期登録データをコンピュータC1に送信した後、第2の初期登録データを受信したか否かを判断し(図9のS25)、第2の初期登録データを受信した場合、第2の初期登録データのコンピュータC1及び携帯端末C2の署名及びOTCの確認を行なう(図9のS26)。認証サーバAにおいて、コンピュータC1及び携帯端末C2の署名及びOTCの確認がされない場合、初期登録失敗処理が行なわれる(図9のS24)。
【0055】
第2の初期登録データのコンピュータC1及び携帯端末C2の署名及びOTCの確認がされた場合、携帯端末C2の端末情報を記憶装置に格納し(図9のS27)、サービスプロバイダSPに第3の初期登録データを送信し(図6のT7、図9のS28)、認証サーバAにおける初期登録処理を終了する。
【0056】
ここで、第3の初期登録データは、以下の情報を含む。・ 認証サーバAの署名が行なわれ、かつ携帯端末C2の署名が行なわれたコンピュータC1の署名が付されたOTC
・ 暗号化されたユーザ情報(ID/PW)
・ コンピュータC1の公開鍵
・ 携帯端末C2の公開鍵
・ 認証サーバAの署名がされたコンピュータC1の公開鍵
すなわち、
第3の初期登録データ =
Aの署名(C2の署名(C1の署名(OTC))) + SP向けに暗号化されたユーザ情報(ID/PW) + C1の公開鍵 + C2の公開鍵 + Aの署名(C1の公開鍵)
である。
【0057】
サービスプロバイダSPは、第1の初期登録データをコンピュータC1に送信した後、認証サーバAから第3の初期登録データを受信したか否かを判断し(図8のS7)、第3の初期登録データを受信した場合、認証サーバA、コンピュータC1、携帯端末C2、OTC及びユーザ情報(ID/PW)の確認を行なう(図8のS8)。
【0058】
S8において、認証サーバA、コンピュータC1及び携帯端末C2の署名、OTC及びユーザ情報(ID/PW)の確認がされた場合、ログイン認証の初期登録の完了ページを認証サーバAの署名がされたコンピュータC1の公開鍵(「Aの署名(C1の公開鍵)」)とサービスプロバイダSPの署名がされたコンピュータC1の公開鍵(「SPの署名(C1の公開鍵)」)とともにコンピュータC1に送信し(図6のT8、図8のS9)、サービスプロバイダSPにおける初期登録処理を終了する(図8のS10)。サービスプロバイダSPにおいて、認証サーバA、コンピュータC1及び携帯端末C2の署名、OTC及びユーザ情報(ID/PW)の確認がされない場合、初期登録失敗処理が行なわれる(図8のS11)。
【0059】
コンピュータC1は、S47においてQRコードを表示した後、サービスプロバイダSPからログイン認証の初期登録の完了ページを受信したかを判断し(図10のS48)、完了ページを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認し(図10のS49)、認証サーバA及びサービスプロバイダSPの署名が確認された場合、初期登録の完了ページを表示し(図10のS50)、初期登録処理が終了する(図10のS52)。コンピュータC1において、認証サーバA及びサービスプロバイダSPの確認がされない場合、初期登録失敗処理が行なわれる(図10のS46)。2−2 ログイン認証処理
次に、ログイン認証システムの初期登録が行なわれた後の通常ログイン認証処理について説明する。
【0060】
図7は、ログイン認証システムのログイン認証処理のタイミングチャートを示す図である。図13はサービスプロバイダSPのログイン処理を説明するためのフローチャート、図14は認証サーバAのログイン処理を説明するためのフローチャート、図15はコンピュータC1のログイン処理を説明するためのフローチャート及び図16はユーザ端末C2のログイン処理を説明するためのフローチャートである。
【0061】
ログイン処理を行なう場合、コンピュータC1は、ログインリクエストをサービスプロバイダSPに送信する(図7のT21、図15のS141)。サービスプロバイダSPは、コンピュータC1からログインリクエストを受信したか否かを判断し(図13のS101)、ログインリクエストを受信した場合、ログイン用のOTCを生成し、生成したOTCをコンピュータC1に送信する(図7のT22、図13のS102)。
【0062】
コンピュータC1は、ログインリクエストをサービスプロバイダSPに送信後、サービスプロバイダSPからOTCを受信したかを判断する(図15のS142)。OTCを受信した場合、受信したOTCにコンピュータC1の署名をして(「C1の署名(OTC)」)、サービスプロバイダSPに送信する(図7のT23、図15のS143)。
【0063】
サービスプロバイダSPはコンピュータC1からコンピュータC1の署名がされたOTCを受信したか判断する(図13のS103)。コンピュータC1の署名がされたOTCを受信した場合、サービスプロバイダSPは、コンピュータC1の署名を確認する(図13のS104)。サービスプロバイダSPにおいて、コンピュータC1の署名が確認されない場合、ログイン失敗処理が行なわれる(図13のS106)。
【0064】
サービスプロバイダSPは、コンピュータC1の署名が確認された場合、第1データを含む承認リクエストを認証サーバAに送信する(図7のT24、図13のS105)。ここで、第1データは、下記のデータを含む。・ サービスプロバイダSPの署名がされたOTC及びコンピュータC1の公開鍵
すなわち、
第1データ =
サービスプロバイダSPの署名(OTC+コンピュータC1の公開鍵)
認証サーバAは、サービスプロバイダSPから第1データを含む承認リクエストを受信したかを判断し(図14のS121)、第1データを含む承認リクエストを受信した場合、サービスプロバイダSPの署名を確認する(図14のS122)。
【0065】
サービスプロバイダSPの署名が確認された場合、第1データ及びOTCに認証サーバAの署名をして(「Aの署名((OTC)+第1データ)」)、携帯端末C2に送信する(図6のT25、図14のS123)。
【0066】
Aの署名((OTC)+第1データ) =Aの署名((OTC) + SPの署名(OTC + C1の公開鍵)
一方、認証サーバAにおいて、サービスプロバイダSPの署名が確認されない場合、ログイン失敗処理が行なわれる(図14のS129)。
【0067】
携帯端末C2は、認証サーバAの署名がされたOTC及び第1データを受信したかを判断し(図16のS161)、認証サーバAの署名がされたOTC及び第1データを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認する(図16のS162)。
【0068】
認証サーバA及びサービスプロバイダSPの署名が確認された場合、第2データを認証サーバAに送信する(図6のT26、図16のS163)。ここで、第2データは、下記のデータを含む。・ 携帯端末C2の署名がされたOTC
・ 携帯端末C2の公開鍵
・ 携帯端末Cの端末情報
すなわち、
第2データ =携帯端末Cの署名(OTC) + 掲端末C2の公開鍵
+ 携帯端末C2の端末情報
である。
【0069】
携帯端末Cにおいて、認証サーバA及びサービスプロバイダSPの署名が確認されない場合、ログイン処理失敗処理が行なわれる(図16のS164)。
【0070】
認証サーバAは、S123において、認証サーバAの署名がされた第1データ及びOTCを送信した後、携帯端末C2から第2データを受信したかを判断し(図14のS124)、第2データを受信した場合、携帯端末C2の署名及び端末情報を確認する(図14のS125)。なお、携帯端末C2の署名の確認は、初期登録処理において記憶装置に格納された携帯端末の端末情報を使用して行なわれる。
【0071】
S125において、携帯端末C2の署名及び端末情報を確認された場合、「承認リクエスト=OK」とし、携帯端末C2の署名及び端末情報が確認されない場合、「承認リクエスト=NG」として、第3データをサービスプロバイダSPに送信し(図7のT28、図14のS128)、認証サーバAにおける処理を終了する。
【0072】
ここで、第3データは、下記のデータを含む。・ 認証サーバAの署名がされた承認リクエストの結果(OK/NG)
・ 認証サーバAの署名がされた携帯端末C2の署名が付されたOTC
・ 認証サーバAの署名がされた携帯端末C2の公開鍵
すなわち、
第3データ =
Aの署名(承認リクエストの結果(OK/NG) + Aの署名(C2の署名(OTC)) + Aの署名(C1の公開鍵)
サービスプロバイダSPは、S105において承認リクエストを送信後、認証サーバAから第3データを受信したかを判断し(図13のS107)、認証サーバAから第3データを受信した場合、認証サーバA、コンピュータC1及び携帯端末C2の署名及びOTCを確認する(図13のS108)。認証サーバA、コンピュータC1及び携帯端末C2の署名及びOTCの確認がされた場合、「承認リクエスト = OK」であるかを確認する(図13のS109)。
【0073】
S108及びS109において確認がされない場合、ログイン失敗処理が行なわれる(図13のS106)。
【0074】
S109において、「承認リクエスト = OK」である場合、認証サーバAの署名がされたコンピュータC1の公開鍵と、サービスプロバイダSPの署名がされたコンピュータC1の公開鍵をログイン完了ページとともにコンピュータC1に送信し(図7のT28、図13のS109)、サービスプロバイダSPにおけるログイン処理を完了する(図13のS110)。
【0075】
コンピュータC1は、S143においてコンピュータC1の署名がされたOTCをサービスプロバイダSPに送信した後(図15のS143)、サービスプロバイダSPからログイン完了ページを受信したかを確認する(図15のS144)。
【0076】
ログイン完了ページを受信した場合、認証サーバA及びサービスプロバイダSPの署名を確認し(図15のS145)、認証サーバA及びサービスプロバイダSPの署名が確認された場合、ログイン完了ページを表示して(図15のS146)、ログイン認証処理を終了する(図15のS147)。
【0077】
S145において、認証サーバA及びサービスプロバイダSPの署名が確認がされない場合、ログインリクエスト失敗処理が行なわれる(図15のS148)。3 効果
従って、実施形態のログイン認証システムによれば、第1の端末(コンピュータC1)及び第2の端末(携帯端末C2)が公開鍵暗号方式を使用して、サービスプロバイダが認証サーバとともに提供するサービスへのログイン認証を行なうことにより、ユーザがID及びPWの入力を必要とすることなく、安全に機密性の高いサービスにログインすることができる。
【0078】
実施形態のログイン認証システムによれば、ログインに必要な情報(コンピュータC1の秘密鍵、携帯端末C2の秘密鍵)をサービスプロバイダSPに記憶されたログイン認証情報(ユーザID/PW)と分離している。
【0079】
従って、サービスプロバイダSPに記憶されたログイン認証情報(ユーザID/PW)がハッキングされてもログインに必要な情報(コンピュータC1の公開鍵、携帯端末C2の公開鍵)が漏れることがなくなる。
【0080】
すなわち、実施形態のログイン認証システムによれば、ブロックチェーン技術を利用して、ログイン認証部分とコンテンツ提供部分を分離し、両方が同時にハッキングされない限り、ユーザのコンテンツの漏洩ができないようなセキュリティ性の高いサービスを提供することができる。
【0081】
分離したログイン認証機能は、認証サーバ群ACの認証サーバA−1〜A−4は、ブロックチェーン技術により構築される。これにより、認証サーバAに格納される認証サーバのキーペア(公開鍵、秘密鍵)、サービスプロバイダSPの公開鍵、コンピュータC1の公開鍵、携帯端末C2の公開鍵及び端末情報の改ざんを防止することができる。
【0082】
また、認証サーバ群ACの認証サーバA−1〜A−4は、ブロックチェーン技術により構築されるため、認証サーバA−1〜A−4のうちの特定の認証サーバAに障害が発生しても、他の認証サーバAでサービスの冗長性を担保することができる。認証サーバA−1〜A−4の認証用のデータもブロックチェーン技術により構築されており、認証サーバA−1〜A−4の間で共有される。
【0083】
中央管理型のログイン認証システムにおいて、セキュアであり、かつ可用性を担保するためには、システムの構築コストが増大してしまう。一方、実施形態のログイン認証システムのように、ブロックチェーン技術を使用した中央管理者不在の分散型認証システムによれば、可用性があり、低コストのログイン認証システムを提供することができる。
【0084】
実施形態のログイン認証システムでは以下の特徴を有する。・ 3体認証
コンピュータC1、携帯端末C2、サービスプロバイダSP及び認証サーバAが相互に認証を行なうため、個別システムをハッキングすることにより不正行為を行なうことができない。
・ ゼロダウンタイム
複数の会社が認証局(認証サーバA)になることで、特定の認証局が障害になっても認証サービスを継続することができる。
・ 中央管理者不在
認証機能及びデータを分散型台帳で管理することにより、データ改ざんのような不正行為の検知や防止が可能になる(中央認証局の内部不正も排除)。
・ 相互扶助
サービスプロバイダSPが認証サーバAを兼ねることができる。通常、サービスプロバイダSPが認証サーバAを兼ねると自己監査になるため、両方を兼ねることはできないが、サービスプロバイダSP及び認証サーバAが複数の場合、自己以外のサービスプロバイダSPのために認証サーバAとしての機能を実行することができる。これにより、認証サービスを提供する側(認証サーバA)と受ける側(サービスプロバイダSP)とでデータを共有することができる。
【0085】
図17は、セキュリティの観点から従来のログイン方式と実施形態のログイン方式とを説明するための図である。・ ID及びPWの漏れ
従来のID及びPWを使用したログイン方式では、ID及びPW漏れが発生した場合、ID及びPWを取得した人は、誰でも顧客のコンテンツのにアクセスが可能である。
【0086】
実施形態のログイン方式では、コンピュータC1及び携帯端末C2の鍵(公開鍵及び秘密鍵)を使用し、さらに顧客の秘密鍵へのアクセスは、実施形態では、生体認証でアクセスを許可するものとしているのでセキュアである。・ サーバハッキングについて
従来のログイン方式では、サーバに対してハッキングが発生し、顧客認証情報(ID及びPW)が盗まれた場合、ID及びPW漏れと同じ被害が発生する。
【0087】
実施形態のログイン方式では、ログイン認証に必要な顧客の秘密鍵をサーバ側で保持しないことで、サーバがハッキングされても認証情報が漏れることはない。・ サイトのなりすまし
従来のログイン方式では、顧客がなりすましサイトに接続し、ID及びPWを入力すると、ID及びPWが盗まれる恐れがある。
【0088】
実施形態のログイン方式では、署名付きの通信を行なうことにより、成りすましが不可能になる。
【0089】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【0090】
また、実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラムとして、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。
【符号の説明】
【0091】
1…ネットワーク、C1…コンピュータ、C2…携帯端末、AC…認証サーバ群、A、A−1〜A−4…認証サーバ、SP…サービスプロバイダ。