知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6719503
(24)【登録日】2020年6月18日
(45)【発行日】2020年7月8日
(54)【発明の名称】ログイン制御方法
(51)【国際特許分類】
G06F 21/43 20130101AFI20200629BHJP
G06F 21/62 20130101ALI20200629BHJP
【FI】
G06F21/43
G06F21/62
【請求項の数】12
【外国語出願】
【全頁数】12
(21)【出願番号】特願2018-89891(P2018-89891)
(22)【出願日】2018年5月8日
(65)【公開番号】特開2018-206369(P2018-206369A)
(43)【公開日】2018年12月27日
【審査請求日】2018年8月14日
(31)【優先権主張番号】106115412
(32)【優先日】2017年5月10日
(33)【優先権主張国】TW
(73)【特許権者】
【識別番号】509262068
【氏名又は名称】周 宏建
(74)【代理人】
【識別番号】110000796
【氏名又は名称】特許業務法人三枝国際特許事務所
(72)【発明者】
【氏名】周 宏建
【審査官】
平井 誠
(56)【参考文献】
【文献】
国際公開第2016/019127(WO,A1)
【文献】
米国特許出願公開第2011/0067095(US,A1)
【文献】
特開2008−167107(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00−88
(57)【特許請求の範囲】
【請求項1】
第1の通信ネットワーク(14)を介して互いに通信できる、認証サーバ端末(11)、ベンダーサーバ端末(12)及びユーザ端末(13)を含むシステムにより実行されるログイン制御方法であって、
前記認証サーバ端末(11)によって、前記ベンダーサーバ端末(12)から、前記第1の通信ネットワーク(14)を介して接続要求を受信した後、参照サーバ識別子を生成し、該参照サーバ識別子を前記認証サーバ端末(11)に記憶し、そして前記ベンダーサーバ端末(12)が前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)に該参照サーバ識別子を転送できるようにするため該参照サーバ識別子を前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に転送するステップ(a)と、
前記認証サーバ端末(11)によって、前記ユーザ端末(13)により参照サーバ識別子に対して予め記憶された変換鍵に基づいて行われた暗号化によって得られた暗号化サーバ識別子と、前記ユーザ端末(13)に対応するユーザ端シリアル番号と、ユーザデータのエントリーと、を前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から受信した後、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップ(b)と、
前記認証サーバ端末(11)によって、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定された場合、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に許可の確認及び前記ユーザデータのエントリーを転送するステップ(c)と、
を含む、ログイン制御方法。
前記認証サーバ端末(11)によって、前記ベンダーサーバ端末(12)から、前記第1の通信ネットワーク(14)を介して接続要求を受信した後、参照サーバ識別子を生成し、該参照サーバ識別子を前記認証サーバ端末(11)に記憶し、そして前記ベンダーサーバ端末(12)が前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)に該参照サーバ識別子を転送できるようにするため該参照サーバ識別子を前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に転送するステップ(a)と、
前記認証サーバ端末(11)によって、前記ユーザ端末(13)により参照サーバ識別子に対して予め記憶された変換鍵に基づいて行われた暗号化によって得られた暗号化サーバ識別子と、前記ユーザ端末(13)に対応するユーザ端シリアル番号と、ユーザデータのエントリーと、を前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から受信した後、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップ(b)と、
前記認証サーバ端末(11)によって、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定された場合、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に許可の確認及び前記ユーザデータのエントリーを転送するステップ(c)と、
を含む、ログイン制御方法。
【請求項2】
前記ユーザ端末(13)は、前記変換鍵を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
前記ステップ(a)は、
前記ベンダーサーバ端末(12)によって、前記携帯装置(132)から受信したログイン要求に基づいて前記接続要求を生成するステップと、
前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記携帯装置(132)に前記参照サーバ識別子を転送するステップと、
前記携帯装置(132)によって、前記安全装置(133)が前記変換鍵に基づいて前記参照サーバ識別子に対する暗号化を実行して前記暗号化サーバ識別子を得ることを可能にするように、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記参照サーバ識別子を転送するステップと、
を含む、請求項1に記載のログイン制御方法。
前記ステップ(a)は、
前記ベンダーサーバ端末(12)によって、前記携帯装置(132)から受信したログイン要求に基づいて前記接続要求を生成するステップと、
前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記携帯装置(132)に前記参照サーバ識別子を転送するステップと、
前記携帯装置(132)によって、前記安全装置(133)が前記変換鍵に基づいて前記参照サーバ識別子に対する暗号化を実行して前記暗号化サーバ識別子を得ることを可能にするように、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記参照サーバ識別子を転送するステップと、
を含む、請求項1に記載のログイン制御方法。
【請求項3】
前記携帯装置(132)は、更に前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)と通信でき、前記安全装置(133)は、前記ユーザデータのエントリーと、前記安全装置(133)に対応する前記ユーザ端シリアル番号と、を更に記憶し、
前記ステップ(b)は、
前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーとを前記携帯装置(132)に転送するステップと、
前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
を更に含む、請求項2に記載のログイン制御方法。
前記ステップ(b)は、
前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーとを前記携帯装置(132)に転送するステップと、
前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
を更に含む、請求項2に記載のログイン制御方法。
【請求項4】
前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項2又は請求項3に記載のログイン制御方法。
【請求項5】
前記ユーザ端末(13)は、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できるコンピューター(131)と、前記変換鍵を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
前記ステップ(a)は、
前記ベンダーサーバ端末(12)によって、前記コンピューター(131)から受信したログイン要求に基づいて、前記接続要求を生成するステップと、
前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記参照サーバ識別子を前記コンピューター(131)に転送するステップと、
前記携帯装置(132)によって、前記コンピューター(131)から前記参照サーバ識別子を取得した後、前記安全装置(133)が前記参照サーバ識別子に対する暗号化を前記変換鍵に基づいて実行して前記暗号化サーバ識別子を得られるように前記第2の通信ネットワーク(15)を介して前記参照サーバ識別子を前記安全装置(133)に転送するステップと、
を含む、請求項1〜4の何れか1項に記載のログイン制御方法。
前記ステップ(a)は、
前記ベンダーサーバ端末(12)によって、前記コンピューター(131)から受信したログイン要求に基づいて、前記接続要求を生成するステップと、
前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記参照サーバ識別子を前記コンピューター(131)に転送するステップと、
前記携帯装置(132)によって、前記コンピューター(131)から前記参照サーバ識別子を取得した後、前記安全装置(133)が前記参照サーバ識別子に対する暗号化を前記変換鍵に基づいて実行して前記暗号化サーバ識別子を得られるように前記第2の通信ネットワーク(15)を介して前記参照サーバ識別子を前記安全装置(133)に転送するステップと、
を含む、請求項1〜4の何れか1項に記載のログイン制御方法。
【請求項6】
前記携帯装置(132)は、更に前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)と通信でき、前記安全装置(133)は、前記ユーザデータのエントリーと、前記安全装置(133)に対応する前記ユーザ端シリアル番号を更に記憶し、
前記ステップ(b)は、
前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記携帯装置(132)に転送するステップと、
前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
を更に含む、請求項5に記載のログイン制御方法。
前記ステップ(b)は、
前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記携帯装置(132)に転送するステップと、
前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
を更に含む、請求項5に記載のログイン制御方法。
【請求項7】
前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項5又は請求項6に記載のログイン制御方法。
【請求項8】
前記認証サーバ端末(11)は、参照シリアル番号のセットと、該参照シリアル番号にそれぞれ対応する複数の検証鍵と、を記憶し、
前記ステップ(b)は、
前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信するサブステップ(b−1)と、
前記認証サーバ端末(11)によって、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信した後、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致するか否かを判定するサブステップ(b−2)と、
前記認証サーバ端末(11)によって、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致すると判定された場合、前記ユーザ端シリアル番号と一致する該1つの前記参照シリアル番号に対応する1つの前記検証鍵が前記変換鍵に対応することを判定するサブステップ(b−3)と、
前記認証サーバ端末(11)によって、前記変換鍵に対応する1つの前記検証鍵に基づいて、復号化サーバ識別子を生成するように前記暗号化サーバ識別子を復号するサブステップ(b−4)と、
前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合するか否かを判定するサブステップ(b−5)と、
前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合すると判定された場合、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定するサブステップ(b−6)と、
を含む、請求項1〜7の何れか1項に記載のログイン制御方法。
前記ステップ(b)は、
前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信するサブステップ(b−1)と、
前記認証サーバ端末(11)によって、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信した後、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致するか否かを判定するサブステップ(b−2)と、
前記認証サーバ端末(11)によって、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致すると判定された場合、前記ユーザ端シリアル番号と一致する該1つの前記参照シリアル番号に対応する1つの前記検証鍵が前記変換鍵に対応することを判定するサブステップ(b−3)と、
前記認証サーバ端末(11)によって、前記変換鍵に対応する1つの前記検証鍵に基づいて、復号化サーバ識別子を生成するように前記暗号化サーバ識別子を復号するサブステップ(b−4)と、
前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合するか否かを判定するサブステップ(b−5)と、
前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合すると判定された場合、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定するサブステップ(b−6)と、
を含む、請求項1〜7の何れか1項に記載のログイン制御方法。
【請求項9】
前記認証サーバ端末(11)は、参照シリアル番号のセットと、複数の参照予備鍵を記憶し、前記ユーザ端末(13)はユーザ端予備鍵を記憶し、
前記ステップ(a)の前に、
前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から前記ユーザ端予備鍵を受信した時、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致するか否かを判定するステップ(d)と、
前記認証サーバ端末(11)によって、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致すると判定された場合、認証コードを生成し、該認証コードを前記ユーザ端末(13)に転送して、前記ユーザ端末(13)が前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に、前記ユーザ端予備鍵、前記ユーザ端シリアル番号、及び前記認証コードに関する認証データを含む登録データのエントリーを転送するようにするステップ(e)と、
前記認証サーバ端末(11)によって、前記登録データのエントリーに含まれる前記認証データに基づいて、前記認証データが前記認証コードと一致するか否かを判定するステップ(f)と、
前記認証サーバ端末(11)によって、前記認証データが前記認証コードと一致すると判定された場合、前記登録データのエントリーに含まれる前記ユーザ端予備鍵に基づいて前記変換鍵を生成し、前記第1の通信ネットワーク(14)を介して前記変換鍵を前記ユーザ端末(13)に転送し、前記変換鍵に基づいて、前記変換鍵及び前記登録データのエントリーに含まれる前記ユーザ端シリアル番号に対応する検証鍵を生成し、前記検証鍵を前記認証サーバ端末(11)に記憶し、前記登録データのエントリーに含まれる前記ユーザ端シリアル番号を、前記参照シリアル番号の前記セットにおける追加の参照シリアル番号として前記認証サーバ端末(11)の前記参照シリアル番号の前記セットに記憶するステップ(g)と、
を更に含む、請求項1、2および5の何れか1項に記載のログイン制御方法。
前記ステップ(a)の前に、
前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から前記ユーザ端予備鍵を受信した時、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致するか否かを判定するステップ(d)と、
前記認証サーバ端末(11)によって、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致すると判定された場合、認証コードを生成し、該認証コードを前記ユーザ端末(13)に転送して、前記ユーザ端末(13)が前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に、前記ユーザ端予備鍵、前記ユーザ端シリアル番号、及び前記認証コードに関する認証データを含む登録データのエントリーを転送するようにするステップ(e)と、
前記認証サーバ端末(11)によって、前記登録データのエントリーに含まれる前記認証データに基づいて、前記認証データが前記認証コードと一致するか否かを判定するステップ(f)と、
前記認証サーバ端末(11)によって、前記認証データが前記認証コードと一致すると判定された場合、前記登録データのエントリーに含まれる前記ユーザ端予備鍵に基づいて前記変換鍵を生成し、前記第1の通信ネットワーク(14)を介して前記変換鍵を前記ユーザ端末(13)に転送し、前記変換鍵に基づいて、前記変換鍵及び前記登録データのエントリーに含まれる前記ユーザ端シリアル番号に対応する検証鍵を生成し、前記検証鍵を前記認証サーバ端末(11)に記憶し、前記登録データのエントリーに含まれる前記ユーザ端シリアル番号を、前記参照シリアル番号の前記セットにおける追加の参照シリアル番号として前記認証サーバ端末(11)の前記参照シリアル番号の前記セットに記憶するステップ(g)と、
を更に含む、請求項1、2および5の何れか1項に記載のログイン制御方法。
【請求項10】
前記ユーザ端末(13)は、前記ユーザ端予備鍵及びユーザ端シリアル番号を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
前記ステップ(d)は、前記安全装置(133)によって、前記携帯装置(132)からのデータ要求の受信に応じて、前記第2の通信ネットワーク(15)を介して前記携帯装置(132)に前記ユーザ端予備鍵及び前記ユーザ端シリアル番号を転送するステップと、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記ユーザ端予備鍵を転送するステップと、を更に含み、
前記ステップ(e)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介した前記認証コードの受信に応じて、前記認証コードに基づいて前記認証データを生成して、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記登録データのエントリーを転送するステップと、を更に含み、
前記ステップ(g)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記変換鍵を受信して、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記変換鍵を転送するステップと、を更に含む、請求項9に記載のログイン制御方法。
前記ステップ(d)は、前記安全装置(133)によって、前記携帯装置(132)からのデータ要求の受信に応じて、前記第2の通信ネットワーク(15)を介して前記携帯装置(132)に前記ユーザ端予備鍵及び前記ユーザ端シリアル番号を転送するステップと、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記ユーザ端予備鍵を転送するステップと、を更に含み、
前記ステップ(e)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介した前記認証コードの受信に応じて、前記認証コードに基づいて前記認証データを生成して、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記登録データのエントリーを転送するステップと、を更に含み、
前記ステップ(g)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記変換鍵を受信して、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記変換鍵を転送するステップと、を更に含む、請求項9に記載のログイン制御方法。
【請求項11】
前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項10に記載のログイン制御方法。
【請求項12】
前記参照サーバ識別子は、クイックレスポンスコード(QRコード(登録商標))として構成される、請求項1〜11の何れか1項に記載のログイン制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、アクセス制御に関し、特に、ログイン制御方法に関する。
【0002】
(関連する出願の相互参照)本出願は、2017年5月10日に出願された台湾特許出願第106115412号の優先権を主張する。
【背景技術】
【0003】
従来のログイン制御方法、例えば、台湾特許出願公開第201216734A1号公報に開示されているOpenID規格のシングルサインオン(SSO)は、ユーザID(User ID)、ユーザパスワード(User PW)、又は個人情報に関連するステートメントのセットである複数のユーザデータのエントリーを記憶するためにIDプロバイダ(IdP)を利用する。ユーザは、IdPによって発行され、IdPに登録されたユーザIDを含むURI(Uniform Resource Identifier)をウェブサイトに提供することによって、ウェブサイトの自分のアカウントにログインすることができる。その後、ウェブサイトは、ユーザによって提供されたURIに基づいてユーザデータのエントリーの対応する1つをIdPに要求することによってユーザの身元を確認することができる。従って、ユーザは同じURIを使用してOpenIDをサポートするすべてのウェブサイトに簡単にアクセスできる。例えば、URLがhttp://openid-provider.orgであるIdPにユーザIDとして「Alice」を登録したユーザは、http://alice.openid-provider.orgのURIを使用してOpenIDをサポートするすべてのWebサイトにログインできる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】台湾特許出願公開第201216734A1号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
IdPで現在使用されている認証メカニズムが不十分なため、IdPはデータ盗難に対して脆弱になる可能性があるため、OpenIDをサポートするWebサイトではログイン制御が不十分である可能性がある。
【0006】
従って、本発明の目的は、従来技術の欠点の少なくとも1つを緩和することができるログイン制御方法を提供することである。
【課題を解決するための手段】
【0007】
本開示によると、該方法はシステムによって実施される。該システムは、第1の通信ネットワークを介して互いに通信できる認証サーバ端末、ベンダーサーバ端末、及びユーザ端末を含む。該方法は、前記認証サーバ端末によって、前記ベンダーサーバ端末から、前記第1の通信ネットワークを介して接続要求を受信した後、参照サーバ識別子を生成し、該参照サーバ識別子を前記認証サーバ端末に記憶し、そして前記ベンダーサーバ端末が前記第1の通信ネットワークを介して前記ユーザ端末に該参照サーバ識別子を転送できるようにするため該参照サーバ識別子を前記第1の通信ネットワークを介して前記ベンダーサーバ端末に転送するステップ(a)と、
前記認証サーバ端末によって、前記ユーザ端末により参照サーバ識別子に対して予め記憶された変換鍵に基づいて行われた暗号化によって得られた暗号化サーバ識別子と、前記ユーザ端末に対応するユーザ端シリアル番号と、ユーザデータのエントリーと、を前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から受信した後、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップ(b)と、
前記認証サーバ端末によって、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定された場合、前記第1の通信ネットワークを介して前記ベンダーサーバ端末に許可の確認及び前記ユーザデータのエントリーを転送するステップ(c)と、を含む。
【0008】
本開示のその他の特徴及び効果は以下の図面を参照とした詳細な説明により更に明らかとなる。
【図面の簡単な説明】
【0009】
【図1】本開示によるログイン制御方法を実施するために利用されるシステムの実施形態を示すブロック図である。
【図2】本開示によるログイン制御方法の登録手順の一実施形態を示すフローチャートである。
【図3】本開示によるログイン制御方法のログイン手順の一実施形態を示すフローチャートである。
【図4】本開示によるログイン制御方法のログイン手順に含まれるステップ38のサブステップの実施形態を示すフローチャートである。
【発明を実施するための形態】
【0010】
発明の詳細な説明図1において、本開示によるログイン制御方法を実施するために利用されるシステム100の実施形態が示されている。システム100は、第1の通信ネットワーク14を介して互いに通信できる認証サーバ端末11、ベンダーサーバ端末12、及びユーザ端末13を含む。本実施形態において、認証サーバ端末11は認証を行うサーバとして実施され、ベンダーサーバ端末12はWebサーバとして実施されるが、これらの端末の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。本実施形態において、第1の通信ネットワーク14は、インターネットであるが、第1の通信ネットワーク14の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
【0011】
認証サーバ端末11は複数の参照予備鍵と、参照シリアル番号のセットと、参照シリアル番号にそれぞれ対応する複数の検証鍵と、を記憶する。参照シリアル番号のセットと複数の検証鍵は、認証サーバ端末11に対する旧ユーザの登録行為により生成される。
【0012】
ユーザ端末13には、ユーザ端予備鍵を記憶する。具体的に、ユーザ端末13は、コンピュータ131と、携帯装置132と、安全装置133とを含む。一実施形態において、ユーザ端末13は、コンピュータ131を含んでいてもいなくてもよい。
【0013】
コンピュータ131は第1の通信ネットワーク14を介してベンダーサーバ端末12と通信できる。コンピュータ131は、ラップトップコンピュータ、ノートブックコンピュータまたはタブレットコンピュータとして実施することができるが、その実施は本明細書に開示されたものに限定されず、他の実施形態では変更することができる。
【0014】
携帯装置132は第1の通信ネットワーク14を介して認証サーバ端末11及びベンダーサーバ端末12と通信でき、更に第2の通信ネットワーク15を介して安全装置133と通信できる。携帯装置132は、スマートフォン、スマートウォッチ、又は個人情報端末(PDA)として実施されるが、携帯装置132の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。本実施形態において、第2の通信ネットワーク15は第1の通信ネットワーク14と違って、近距離無線通信ネットワーク、例えばブルートゥース(登録商標)又はWi−Fi(登録商標)であるが、第2の通信ネットワーク15の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
【0015】
安全装置133は、ユーザ端予備鍵、ユーザデータのエントリー、及び安全装置133に対応するユーザ端シリアル番号を記憶する。安全装置133は、以下に説明する登録手順の後に変換鍵を更に記憶する。一実施形態において、ユーザデータのエントリーは、個人情報に関連するステートメントであるように実施することができるが、ユーザデータのエントリーの実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。一実施形態において、安全装置133は、プロセッサ、メモリ及びトランシーバを含むように実施されてもよく、又は記憶及び計算の機能を提供するシステムオンチップ(SoC)であってもよく、安全装置133の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
【0016】
ログイン制御方法は、登録手順と、ログイン手順と、を含む。
【0018】
ステップ21において、携帯装置132は第2の通信ネットワーク15を介してデータ要求を安全装置133に転送する。
【0019】
ステップ22において、携帯装置132からのデータ要求の受信に応じて、安全装置133は、第2の通信ネットワーク15を介してユーザ端予備鍵及びユーザ端シリアル番号を携帯装置132に転送する。
【0020】
ステップ23において、携帯装置132は第1の通信ネットワーク14を介してユーザ端予備鍵を認証サーバ端末11に転送する。
【0021】
ステップ24において、ユーザ端末13から第1の通信ネットワーク14を介してユーザ端予備鍵を受信する時、認証サーバ端末11は、受信したユーザ端予備鍵が参照予備鍵の何れか1つと一致するかどうかを判定する。受信したユーザ端予備鍵が参照予備鍵の何れとも一致しないと判定された場合、登録手順のフローを終了する。そうではない場合、登録手順のフローはステップ25に進む。
【0022】
受信したユーザ端予備鍵が参照予備鍵の何れか1つと一致すると判定された場合、ステップ25において、認証サーバ端末11は、認証コードを生成して、ユーザ端末13の携帯装置132が第1の通信ネットワーク14を介して認証サーバ端末11に登録データのエントリーを転送できるようにさせるために、認証コードをユーザ端末13の携帯装置132に転送する。登録データのエントリーは、ユーザ端予備鍵、ユーザ端シリアル番号、及び認証コードに関する認証データを含む。
【0023】
ステップ26において、第1の通信ネットワーク14を介して認証コードを受信するとき、携帯装置132は、認証コードに基づいて認証データを生成して、第1の通信ネットワーク14を介して登録データのエントリーを認証サーバ端末11に転送する。一実施形態において、認証データは認証コードを含むデータとして実施されるが、認証データの実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。例えば、ユーザが自分の電子メールでウェブサイトにアカウントを登録した後、ウェブサイトは、電子メールに関するユーザの身元を認証するため、ユーザによって提供された電子メールを介してユーザに認証コードを転送する。ユーザが電子メールを介して受信した認証コードを含む認証データでウェブサイトに返信する限り、ユーザの身元を認証することができる。
【0024】
ステップ27において、認証サーバ端末11は、登録データのエントリーに含まれる認証データに基づいて、認証データが認証コードと一致するかどうかを判定する。認証データが認証コードと一致しないと判定された場合、登録手順のフローは終了する。そうではない場合、登録手順のフローはステップ28に進む。
【0025】
ステップ28において、認証データが認証コードと一致すると判定された場合、認証サーバ端末11は、登録データのエントリーに含まれるユーザ端予備鍵に基づいて、変換鍵を生成して第1の通信ネットワーク14を介して変換鍵をユーザ端末13に転送する。また、認証サーバ端末11は、変換鍵に基づいて、登録データのエントリーに含まれるユーザ端シリアル番号と変換鍵とに対応する検証鍵を生成して、検証鍵を認証サーバ端末11に記憶する。更に、認証サーバ端末11は、登録データのエントリーに含まれるユーザ端シリアル番号を認証サーバ端末11内の参照シリアル番号のセットに記憶して、参照シリアル番号の追加のものとする。なお、このようにして記憶されたユーザ端シリアル番号は、認証サーバ端末11に予め記憶されている参照シリアル番号の他のものとは異なることに留意されたい。本実施形態において、変換鍵は、対称暗号化/復号アルゴリズムで利用されるように、検証鍵と同じであることに留意する価値がある。しかし、変換鍵及び検証鍵の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。例えば、公開鍵暗号などの非対称暗号化/復号化アルゴリズムでは、変換鍵は秘密鍵として実施され、検証鍵は秘密鍵に対応するがそれとは異なる公開鍵として実施される。
【0026】
ステップ29において、携帯装置132は第1の通信ネットワーク14を介して変換鍵を受信して、第2の通信ネットワーク15を介して変換鍵を安全装置133に転送する。
【0028】
ステップ31において、コンピュータ131は第1の通信ネットワーク14を介してログイン要求をベンダーサーバ端末12に転送する。なお、コンピュータ131がユーザ端末12に含まれていない一実施形態においては、携帯装置132は、第1の通信ネットワーク14を介してログイン要求を直接ベンダーサーバ端末12に転送する。
【0029】
ステップ32において、ベンダーサーバ端末12は、コンピュータ131及び携帯装置132のうちの1つから受信したログイン要求に基づいて接続要求を生成して、第1の通信ネットワーク14を介して接続要求を認証サーバ端末11に転送する。
【0030】
ステップ33において、第1の通信ネットワーク14を介して認証サーバ端末11から接続要求を受信した後、認証サーバ端末11は参照サーバ識別子を生成して、参照サーバ識別子を認証サーバ端末11に記憶して、そしてベンダーサーバ端末12が第1の通信ネットワーク14を介して参照サーバ識別子をユーザ端末13に転送できるようにさせるために、第1の通信ネットワーク14を介して参照サーバ識別子をベンダーサーバ端末12に転送する。本実施形態において、参照サーバ識別子はクイックレスポンスコード(QRコード(登録商標))として構成されるが、参照サーバ識別子の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
【0031】
ステップ34において、ベンダーサーバ端末12は、第1の通信ネットワーク14を介して参照サーバ識別子をユーザ端末13のコンピュータ131及び携帯装置132のうちの上記1つに転送する。
【0032】
ステップ35において、コンピュータ131から又は直接にベンダーサーバ端末12から参照サーバ識別子を取得した後、携帯装置132は、安全装置133が参照サーバ識別子に対して暗号化を実行して暗号化されたサーバ識別子を得ることを可能にするために、第2の通信ネットワーク15を介して参照サーバ識別子を安全装置133に転送する。本実施形態において、携帯装置132は、コンピュータ131のディスプレイ上に表示されたQRコード(登録商標)をスキャンすることによって参照サーバ識別子を取得することに留意されたい。なお、コンピュータ131がユーザ端末13に含まれない一実施形態において、携帯装置132は第1の通信ネットワーク14を介してベンダーサーバ端末12から直接に参照サーバ識別子を取得して、第2の通信ネットワーク15を介して参照サーバ識別子を安全装置133に転送する。
【0033】
ステップ36において、安全装置133は、変換鍵に基づいて参照サーバ識別子に対して暗号化を実行して暗号化サーバ識別子を得る。次に、安全装置133は、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを第2の通信ネットワーク15を介して携帯装置132に転送する。なお、一実施形態においては、安全装置133は安全装置133に対するユーザの操作に従って生成されるユーザ入力に更に基づいて、参照サーバ識別子に対する暗号化を実行することに留意されたい。例えば、携帯装置132は、ログイン手順が進むようにするために、ユーザに安全装置133上のハードウェアボタンを操作するように通知するメッセージを表示することができる。安全装置133は、安全装置133がハードウェアボタンが操作されたことを検出した場合にのみ、参照サーバ識別子を暗号化し、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを携帯装置132に転送するように構成される。
【0034】
ステップ37において、携帯装置132は、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを第1の通信ネットワーク14を介して認証サーバ端末11に転送する。
【0035】
ステップ38において、第1の通信ネットワーク14を介してユーザ端末13から暗号化サーバ識別子、ユーザ端末13の安全装置133に対応するユーザ端シリアル番号、及びユーザデータのエントリーを受信した後、認証サーバ端末11は、暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されているかどうかを判定する。暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていないと判定された場合、ログイン手順のフローは終了する。そうでない場合、ログイン手順のフローはステップ39に進む。
【0036】
具体的には、図4に示すように、ステップ38は、以下に説明するサブステップ381〜385を更に含む。
【0037】
サブステップ381において、認証サーバ端末11は第1の通信ネットワーク14を介して暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを受信する。
【0038】
サブステップ382において、認証サーバ端末11は第1の通信ネットワーク14を介して暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを受信した後、認証サーバ端末11は、ユーザ端シリアル番号が参照シリアル番号のうちの何れかと一致するかどうかを判定する。ユーザ端シリアル番号が参照シリアル番号のうちの何れとも一致しないと判定された場合、ログイン手順のフローは終了する。そうでない場合、ログイン手順のフローはサブステップ383に進む。
【0039】
サブステップ383において、ユーザ端シリアル番号が参照シリアル番号のうちの何れか1つと一致すると判定された場合、認証サーバ端末11は、ユーザ端シリアル番号と一致する該1つの参照シリアル番号に対応する1つの検証鍵が変換鍵に対応することを判定する。なお、特定の変換鍵によって暗号化されたものを復号するためには、特定の変換鍵に対応する特定の検証鍵が必要であることに留意されたい。
【0040】
サブステップ384において、認証サーバ端末11は、変換鍵に対応する上記1つの検証鍵に基づいて、復号化サーバ識別子を生成するように暗号化サーバ識別子を復号する。
【0041】
サブステップ385において、認証サーバ端末11は、認証サーバ端末11に記憶された参照サーバ識別子が復号化サーバ識別子と適合するかどうかを判定する。認証サーバ端末11に記憶された参照サーバ識別子が復号化サーバ識別子と適合すると判定された場合、認証サーバ端末11は暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていると判定し、ログイン手順のフローはステップ39に進む。そうではない場合、ログイン手順のフローは終了となる。
【0042】
ステップ39において、認証サーバ端末11は暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていると判定された場合、認証サーバ端末11は、第1の通信ネットワーク14を介してベンダーサーバ端末12に許可の確認とユーザデータのエントリーを転送する。ベンダーサーバ端末12は、許可の確認に基づいてログイン要求を受け付け、認証サーバ端末11から受信したユーザデータのエントリーに従って自動的にログインさせる。
【0043】
要約すると、本開示によるログイン制御方法は、安全装置133を利用して、変換鍵に基づいて参照サーバ識別子に対する暗号化を実行し、暗号化サーバ識別子を得て、認証サーバ端末11は、暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されているか否かを判定する。判定の結果が肯定的である場合、認証サーバ端末11は、ベンダーサーバ端末12がログイン要求を受け付けることができるように、許可の確認及びユーザデータのエントリーをベンダーサーバ端末12に転送する。従って、認証サーバ端末11に個人ユーザデータが記憶されていない状態において、ユーザは認証サーバ端末11と連携する任意のベンダーサーバ端末にログインすることができ、変換鍵とユーザ端シリアル番号を利用して、本開示によるログイン制御方法を実現することができる。データの機密保護とユーザのプライバシーが保護される。
【0044】
上記においては、本発明の全体的な理解を促すべく、多くの具体的な詳細が示された。しかしながら、当業者であれば、一またはそれ以上の他の実施形態が具体的な詳細を示さなくとも実施され得ることが明らかである。また、本明細書における「一つの実施形態」「一実施形態」を示す説明において、序数などの表示を伴う説明は全て、特定の態様、構造、特徴を有する本発明の具体的な実施に含まれ得るものであることと理解されたい。更に、本説明において、時には複数の変化例が一つの実施形態、態様に組み込まれているが、これは本説明を合理化させるためのもので、また、本発明の多面性が理解されることを目的としたものである。
【0045】
以上、本発明を実用的な実施形態と考えられるものに関して記述してきたが、本発明は、開示した実施形態に制限されることなく、同様の修正および等価な配置のすべてを包含するような、最も広い解釈の精神および範囲内に含まれる様々なアレンジをカバーするように意図されることが理解される。