知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-11-13
(45)【発行日】2024-11-21
(54)【発明の名称】汎個人認証システム及び汎個人認証方法
(51)【国際特許分類】
G06F 21/45 20130101AFI20241114BHJP
G06F 21/31 20130101ALI20241114BHJP
【FI】
G06F21/45
G06F21/31
【請求項の数】
3
(21)【出願番号】P 2024117990
(22)【出願日】2024-07-23
【審査請求日】2024-08-06
【早期審査対象出願】
(73)【特許権者】
【識別番号】524277979
【氏名又は名称】株式会社OZ1
(74)【代理人】
【識別番号】110001807
【氏名又は名称】弁理士法人磯野国際特許商標事務所
(72)【発明者】
【氏名】石田 雄太
【審査官】▲柳▼谷 侑
(56)【参考文献】
【文献】特開2019-046133(JP,A)
【文献】特表2009-534741(JP,A)
【文献】特開2016-128966(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 12/14
G06F 21/10
G06F 21/31
G06F 21/45
G06F 21/60 - 21/88
(57)【特許請求の範囲】
【請求項1】
リライングパーティアプリを利用するユーザのクライアント端末からの要求に応じて、汎個人認証システムに連携トークン発行要求を行って、要求トークンを生成して、前記クライアント端末に送信する要求トークン生成部と、前記汎個人認証システム側で、それぞれ、IDプロバイダに対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成する連携トークン生成部と、
前記連携トークンを前記リライングパーティアプリに送信する情報送受信部と、
前記汎個人認証システムから送信された連携トークンに基づいて、前記リライングパーティアプリを跨っても、同一のユーザであることを一意に識別できるベースIDと、前記ユーザと前記リライングパーティアプリとの連携を特定するリンクIDを、前記認証要求を行ったそれぞれの前記リライングパーティアプリに送信する連携情報送受信部と、
を備える汎個人認証システム。
【請求項2】
前記クライアント端末との間にて、チャレンジレスポンス方式で認証する認証部を備える、請求項1に記載の汎個人認証システム。
【請求項3】
リライングパーティアプリを利用するユーザのクライアント端末からの要求に応じて、汎個人認証システムに連携トークン発行要求を行って、要求トークンを生成して、前記クライアント端末に送信させるステップと、前記汎個人認証システム側で、それぞれ、IDプロバイダに対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成するステップと、
前記連携トークンを前記リライングパーティアプリに送信するステップと、
前記汎個人認証システムから送信された連携トークンに基づいて、前記リライングパーティアプリを跨っても、同一のユーザであることを一意に識別できるベースIDと、前記ユーザと前記リライングパーティアプリとの連携を特定するリンクIDを、前記認証要求を行ったそれぞれの前記リライングパーティアプリに送信するステップと、
を実行する汎個人認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、汎個人認証システム及び汎個人認証方法に関する。
【背景技術】
【0002】
従来から、スマートフォン又はパーソナルコンピュータのアプリケーションにおいて、所定のサービスを受けるためには、それぞれ所定のサービスに対応したアカウントが必要である。所定のサービスに対応したアカウントは、例えば、ログインを行うID(identification)とパスワードとが入力されて、認証が成功すると、対応する所定のサービスを受けることができる。
【0003】
ここで、一般的なユーザ認証システムの一例として、「既存の認証システムの形態を崩すことなく、本人性の確認を担保する」ユーザ認証システムが開示されている(例えば、特許文献1)。
【0004】
特許文献1の要約書には、「端末が、中間認証サーバに対して、公開鍵証明書と秘密鍵とを送信してログインし、サービスサイトにサービスの利用要求を送信する。サービスサイトは、端末からサービスの利用要求を受信したときに、OpenID認証サーバに認証仲介のためのリダイレクトを送信する。OpenID認証サーバは、サービスサイトから認証仲介のためのリダイレクトを受けたときに、端末にIDとパスワードの入力を要求するとともに、中間認証サーバにユーザのハンドルを通知し、認証要求を送信する。中間認証サーバは、OpenID認証サーバからの認証要求に対して、ユーザのログイン状況を確認することにより認証を行う。OpenID認証サーバは、中間認証サーバから認証結果を受信し、これをサービスサイトに送信する。サービスサイトは、OpenID認証サーバから認証ができた旨の認証結果を受信したときに、ユーザの携帯端末に対して、サービスを提供する。」旨が開示されている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2009-282561号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来の認証方法では、OpenID認証を行うことで、リライングパーティ(特許文献1のサービスサイト)から端末などにサービスの提供を受けることができる。
【0007】
しかしながら、特許文献1のユーザ認証システムのような従来の認証方法は、リライングパーティアプリごとに外部認証サーバによる認証は行えるが、IDプロバイダによってはリライングパーティアプリに対して異なるユーザ識別子を返すため、サービスを提供するリライングパーティを跨ってユーザの同一性を担保することができなかった。
【0008】
本発明は、上記事情に鑑みてなされたものであり、リライングパーティを跨って、ユーザの同一性を担保できないことを課題とする。
【課題を解決するための手段】
【0009】
本発明に係る汎個人認証システムは、リライングパーティアプリを利用するユーザのクライアント端末からの要求に応じて、汎個人認証システムに連携トークン発行要求を行って、要求トークンを生成して、前記クライアント端末に送信する要求トークン生成部と汎個人認証システム側で、それぞれ、IDプロバイダに対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成する連携トークン生成部と、前記連携トークンをリライングパーティアプリに送信する情報送受信部と、汎個人認証システムから送信された連携トークンに基づいて、リライングパーティを跨っても、同一のユーザであることを一意に識別できるベースIDと、ユーザとリライングパーティとの連携を特定するリンクIDを、前記認証要求を行ったそれぞれの前記リライングパーティアプリに送信する連携情報送受信部と、を備える。
【発明の効果】
【0010】
本発明によれば、リライングパーティを跨ってもユーザの同一性を担保するベースIDにより、他のリライングパーティアプリの個人データを特定し連携することができる。
【図面の簡単な説明】
【0011】
【図1】本実施形態に係る汎個人認証システムの概略を示したブロック図である。
【図2】本実施形態に係る情報連携システムを示したブロック図である。
【図3A】クライアント端末のハードウェアの構成を示したブロック図である。
【図3B】クライアント端末の機能を示した機能ブロック図である。
【図3C】クライアント端末上に具現化されたブラウザの機能を示した機能ブロック図である。
【図4A】フロントエンドサーバのハードウェアの構成を示したブロック図である。
【図4B】フロントエンドサーバの機能を示した機能ブロック図である。
【図5A】バックエンドサーバのハードウェアの構成を示したブロック図である。
【図5B】バックエンドサーバの機能を示した機能ブロック図である。
【図6A】IDプロバイダのハードウェアの構成を示したブロック図である。
【図6B】IDプロバイダの機能を示した機能ブロック図である。
【図7A】連携APIサーバのハードウェアの構成を示したブロック図である。
【図7B】連携APIサーバの機能を示した機能ブロック図である。
【図8A】本実施形態に係る情報連携システムの動作を示すシーケンス図である(その1)。
【図8B】本実施形態に係る情報連携システムの動作を示すシーケンス図である(その2)。
【図8C】本実施形態に係る情報連携システムの動作を示すシーケンス図である(その3)。
【図8D】本実施形態に係る情報連携システムの動作を示すシーケンス図である(その4)。
【図9A】従来技術を比較例として示した説明図である。
【図9B】比較例の課題を解消することを示した説明図である。
【図10】OIDCの規格に準拠したIDプロバイダが発行するIDトークンのクレーム情報の一例を示した説明図である。
【発明を実施するための形態】
【0012】
以下、添付した図面を参照し、本発明の実施形態について説明する。なお、図面の説明において、同一の要素には同一の符号を付し、重複する説明は、適宜、省略する。
【0013】
<比較例>
図9Aは、本実施形態を説明するため、従来技術を比較例として示した説明図である。図9Aでは、異なるクライアント端末の各リライングパーティアプリ10P,11Pと、IDプロバイダ400P1,400P2が図示されている。各リライングパーティアプリ10P,11Pは、OIDC(OpenID Connect)の規格に準拠している。IDプロバイダ400P1,400P2は、外部認証サーバによって構成されている。
図9Aは、本実施形態を説明するため、従来技術を比較例として示した説明図である。図9Aでは、異なるクライアント端末の各リライングパーティアプリ10P,11Pと、IDプロバイダ400P1,400P2が図示されている。各リライングパーティアプリ10P,11Pは、OIDC(OpenID Connect)の規格に準拠している。IDプロバイダ400P1,400P2は、外部認証サーバによって構成されている。
【0014】
各リライングパーティアプリ10P,11Pは、それぞれ対応するIDプロバイダ400P1,400P2に認証を行うことで、ユーザに対応するサービスを提供する。例えば、リライングパーティアプリ10Pは、IDプロバイダ400P1に認証を要求すると、IDプロバイダ400P1は、リライングパーティアプリ10Pにユーザ識別子#1を返す。一方、リライングパーティアプリ11Pは、IDプロバイダ400P2に認証を要求すると、IDプロバイダ400P2は、リライングパーティアプリ11Pにユーザ識別子#2を返す。
【0015】
この場合、各リライングパーティアプリ10P,11Pは、それぞれ対応するサービスをユーザに提供することができる。よって、異なるクライアント端末を有する同一ユーザは、クライアント端末ごとに対応するサービスの提供を受けることができる。
【0016】
しかしながら、IDプロバイダ400P1,400P2は、リライングパーティアプリ10P,11Pごとに異なるユーザ識別子#1,#2を返しているため、各リライングパーティアプリ10P,11Pは、異なるクライアント端末を有する対象ユーザが、同一のユーザであるか否かを判別することができない。
【0017】
そこで、図9Bは、図9Aの比較例の課題を解消することを示した説明図である。図9Bでは、新たに汎個人認証システム600を備えており、汎個人認証システム600が、リライングパーティアプリ10,11に対して、同一のユーザである人物特定を行うようになっている。
【0018】
図9Bに示すように、汎個人認証システム600は、リライングパーティアプリ10からの認証要求を受け付けると、IDプロバイダ400に認証要求を行う。IDプロバイダ400が認証を行うと、汎個人認証システム600にユーザ識別子#3を返す。IDプロバイダ400がユーザを認証してユーザ識別子#3を返すと、汎個人認証システム600は、ユーザ識別子#3を、リライングパーティアプリ10に係るユーザを一意に識別するベースIDとする。
【0019】
汎個人認証システム600は、リライングパーティアプリ11からの認証要求を受け付けると、IDプロバイダ400に認証要求を行う。IDプロバイダ400が認証を行うと、汎個人認証システム600にユーザ識別子#3を返す。IDプロバイダ400がユーザを認証してユーザ識別子#3を返すと、汎個人認証システム600は、ユーザ識別子#3を、リライングパーティアプリ11に係るユーザを一意に識別するベースIDとする。
【0020】
これにより、汎個人認証システム600では、ユーザを一意に識別するベースIDと、ユーザとリライングパーティアプリ10,11との連携を特定するリンクIDと、を管理することで、リライングパーティアプリ10のユーザと、リライングパーティアプリ11のユーザの同一性を担保することができる。
【0021】
したがって、汎個人認証システム600は、リライングパーティアプリ10を跨ってもユーザの同一性を担保するベースIDにより、他のリライングパーティアプリ11の個人データを特定し連携することができる。
【0022】
なお、リライングパーティとは、証明書を使用したスキーム(枠組み)のことである。例えば、全く事業主体の異なるサービス間で、個人情報の移転を個人の許諾に基づいて行われるサービスのことである。また、リライングパーティアプリ10,11は、例えば、ユーザにサービスを提供するアプリケーションプログラムを実行することで具現化される機能部のことをいう。リライングパーティアプリ10,11は、インターネット経由で各リライングパーティのサーバにアクセスすることで、ユーザにサービスを提供する。
【0023】
具体的には、リライングパーティアプリには、あるA社が提供するヘルスケアに関するサービスがある。また、リライングパーティアプリには、所定の地域にて使用可能な地域通貨のアプリケーションがある。この場合、各リライングパーティアプリは、ヘルスケアに関するサービスと地域通貨のアプリケーションとをそれぞれ互いにデータ連携することで、対応する所定のサービスの提供を受けることができる。
【0024】
同様に、リライングパーティアプリには、あるB社が提供する地域通貨のアプリケーションと、所定の地域で提供される保育に関するサービスがある。この場合、ヘルスケアに関するサービスと同様に、リライングパーティアプリは、地域通貨のアプリケーションと保育に関するサービスとをそれぞれ互いにデータ連携することで、対応する所定のサービスの提供を受けることができる。
【0025】
図10は、OIDCの規格に準拠したIDプロバイダが発行するIDトークン402のクレーム情報の一例を示した説明図である。このIDトークン402は、OIDCの規格に準拠したIDを用いて所定のIDプロバイダから取得したものである。
【0026】
図10に示すように、このIDトークン402には、IDトークン402の受信者を識別するオーディエンス登録クレームaudと、ユーザのメールアドレスを示すemailと、IDトークン402の発行時刻を示すiat、IDトークン402の有効期限を示すexpと、サブジェクト登録クレームであるsubの値などが記載されている。サブジェクト登録クレームは、IDトークン402のサブジェクトであるプリンシパルを識別する。このトークンはアプリ用であるため、サブジェクト登録クレームsubの値はユーザの一意の識別子になる。このサブジェクト登録クレームsubの値は、図9Aに示すユーザ識別子#1,#2,#3に相当する。
【0027】
図9Aでは、サブジェクト登録クレームsubの値は、各IDプロバイダ400P1,400Pがユーザを一意に特定する情報となっている。しかしながら、IDプロバイダ400P1,400Pによっては、リライングパーティアプリ10P、11P毎に異なる値を返すため、リライングパーティアプリ10P、11Pを跨ると、同一ユーザであることを担保することができない。
【0028】
そこで、本実施形態では、リライングパーティアプリを跨ってもユーザの同一性を担保するベースIDにより、他のリライングパーティアプリの個人データを特定し連携することができる、汎個人認証システム及び汎個人認証方法を提供する。
【0029】
<汎個人認証システムの概略構成>
図1は、本実施形態に係る汎個人認証システム600の概略を示したブロック図である。
図1は、本実施形態に係る汎個人認証システム600の概略を示したブロック図である。
【0030】
図1に示すように、汎個人認証システム600は、新たに連携認証部610を備えて構成されている。連携認証部610は、各リライングパーティアプリ10,11を、それぞれ認証させる機能と、各リライングパーティアプリ10,11をそれぞれ連携させる機能と、を備えている。
【0031】
連携認証部610は、リライングパーティアプリ10を一度認証すると、リライングパーティアプリ10のユーザを一意に特定するベースIDを生成する。ここで、ベースIDとは、自然人であるユーザを一意に識別するIDである。汎個人認証システム600は、同一のユーザが異なるリライングパーティアプリ11で連携を要求した場合、そのユーザのベースIDを使用することで、ユーザを一意に特定することができる。その結果、汎個人認証システム600は、ユーザのベースIDを利用することで、リライングパーティアプリ11を、リライングパーティアプリ10に連携させることができる。
【0032】
なお、汎個人認証連携要求画面21,22は、ユーザが所有するクライアント端末に表示される画面であり、各リライングパーティアプリ10,11から汎個人認証システム600に連携要求を行う画面である。すなわち、汎個人認証システム600は、汎個人認証連携要求画面21を介して、リライングパーティアプリ10から認証と連携要求とを受け付ける。また、汎個人認証システム600は、汎個人認証連携要求画面22を介して、リライングパーティアプリ11から認証と連携要求とを受け付ける。
【0033】
本実施形態では、クライアント端末ごとにユーザ識別子(すなわち、サブジェクト登録クレームsubの値)が異なる場合であっても、汎個人認証システム600に各クライアント端末からの認証要求をリダイレクトすることで、汎個人認証システム600が、ユーザを一意に特定するベースIDを取得できる。これにより、汎個人認証システム600は、クライアント端末ごとにユーザ識別子が異なる場合であっても、リライングパーティアプリ10,11を跨ってもユーザの同一性を担保するベースIDにより、他のリライングパーティアプリの個人データを特定して連携し、ユーザに対応する所定のサービスを提供することができる。
【0034】
<情報連携システムの概略>
図2は、本実施形態に係る情報連携システム700を示したブロック図である。図2に示すように、情報連携システム700は、リライングパーティアプリ10,11と、IDプロバイダ400と、汎個人認証システム600と、インターネット801と、P2P(Peer to Peer)ネットワーク802と、を備えて構成されている。汎個人認証システム600は、後述するフロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500により構成されている。
図2は、本実施形態に係る情報連携システム700を示したブロック図である。図2に示すように、情報連携システム700は、リライングパーティアプリ10,11と、IDプロバイダ400と、汎個人認証システム600と、インターネット801と、P2P(Peer to Peer)ネットワーク802と、を備えて構成されている。汎個人認証システム600は、後述するフロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500により構成されている。
【0035】
なお、本実施形態に係る情報連携システム700では、一例として、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500を用いて説明するが、本実施形態は、これに限定されるものではない。すなわち、汎個人認証システム600は、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500を、例えば、1つのサーバで実現してもよく、また、2つ以上のサーバにより任意に組み合わせて、汎個人認証システム600の各種機能を実現してもよい。
【0036】
情報連携システム700は、リライングパーティアプリ10、11、クライアント端末100、フロントエンドサーバ200、バックエンドサーバ300、IDプロバイダ400、連携APIサーバ500により、クラウドコンピューティングを構成している。
【0037】
リライングパーティアプリ10,11は、ユーザが所有するクライアント端末100上で実行するWebアプリケーションである。リライングパーティアプリ10,11は、IDプロバイダ(Identify Provide)400に認証を委託しており、IDプロバイダ400による認証情報を信頼することで、リライングパーティにアクセスして、ユーザにサービスを提供する。
【0038】
汎個人認証連携ボタン19は、ユーザのクライアント端末100のブラウザ画面(例えば、汎個人認証連携要求画面21,22など)に表示されるボタンである。ユーザがクライアント端末100でリライングパーティアプリ10,11に接続すると、ブラウザ画面に汎個人認証連携ボタン19が表示される。ブラウザ画面に表示された汎個人認証連携ボタン19は、ユーザによって押下されることで、汎個人認証システム600に対して認証と連携要求の処理を開始する。
【0039】
IDプロバイダ400は、クラウドサービスにログインするための認証情報を保管・管理するサービスの事業者やサーバのことである。IDプロバイダ400は、クライアント端末100との間にて、チャレンジレスポンス方式で認証する認証部401を有している。
【0040】
汎個人認証システム600は、要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604と、を備えて構成されている。要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604は、連携認証部610を構成する。
【0041】
要求トークン生成部601は、リライングパーティアプリ10,11を利用するユーザのクライアント端末100からの要求に応じて、汎個人認証システム600に連携トークン発行要求を行って、要求トークンを生成して、クライアント端末100に送信する。
【0042】
ここで、汎個人認証連携要求画面21,22は、クライアント端末100に表示される。つまり、汎個人認証連携要求画面21,22は、汎個人認証システム600から送信されたhtmlデータである連携要求画面情報がクライアント端末100の表示部115に表示されることで、連携要求のブラウザ画面を構成する。
【0043】
連携トークン生成部602は、汎個人認証システム600側でIDプロバイダ400に対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成する。
【0044】
情報送受信部603は、汎個人認証システム600において生成した連携トークンを、インターネット801を介して、クライアント端末100のリライングパーティアプリ10,11に送信する。
【0045】
連携情報送受信部604は、汎個人認証システム600から送信された連携トークンに基づいて、リライングパーティアプリ10,11を跨ってもユーザを一意に識別できるベースIDと、ユーザとリライングパーティアプリとの連携を特定するリンクIDを送信する。ここで、リンクIDは、ユーザとリライングパーティとの連携を一意に特定するIDである。そのため、リンクIDは、ユーザがどのリライングパーティに連携しているかを把握することができる。
【0046】
インターネット801は、コンピュータ同士を接続して、情報のやり取りを行うネットワークをいう。
【0047】
P2Pネットワーク802は、例えば、ある外国で実現されている国におけるサービスであり、電子的なソリューションが取り入れられて構築された秘匿性の高いツールである。すなわち、P2Pネットワーク802は、極めてセキュリティの高いネットワークに相当する。P2Pネットワーク802は、例えば、図示しない、センターサーバ、セキュリティサーバ、情報システム、タイムスタンプ局、認証局、コンフィギュレーション・プロキシ、運用モニタリング・デーモンなどを備えて構成されている。
【0048】
また、汎個人認証システム600は、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500を備えて構成されている。汎個人認証システム600は、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500を備えることで、要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604を具現化する。
【0049】
【0050】
<クライアント端末の構成>
図3Aは、クライアント端末100のハードウェアの構成を示したブロック図である。図3Aに示すように、クライアント端末100は、CPU(Central Processing Unit)110、ROM(Read Only Memory)111、RAM(Random Access Memory)112、記憶部113、入力部114、表示部115、及び通信部116を備えて構成されている。
図3Aは、クライアント端末100のハードウェアの構成を示したブロック図である。図3Aに示すように、クライアント端末100は、CPU(Central Processing Unit)110、ROM(Read Only Memory)111、RAM(Random Access Memory)112、記憶部113、入力部114、表示部115、及び通信部116を備えて構成されている。
【0051】
クライアント端末100は、例えば、スマートフォン、ノートパソコン、デスクトップパソコン、タブレット端末等により構成される。
【0052】
CPU110は、クライアント端末100を統括制御する。CPU110は、例えば、ROM111や記憶部113に記憶されているシステムプログラムや処理プログラムの各種プログラムを読み出して、RAM112に展開し、展開されたプログラムを実行する。これにより、CPU110は、クライアント端末100の各処理を実行するための機能を具現化する。なお、クライアント端末100の機能の詳細については、図3Bを用いて、説明する。
【0053】
RAM112は、CPU110により実行制御される各種処理において、ROM111、又は記憶部113から読み出され、CPU110で実行可能な各種プログラム、入力若しくは出力データ、及びパラメータ等を一時的に記憶するワークエリアとして機能する。
【0054】
記憶部113は、例えば、HDD(Hard Disk Drive)や半導体の不揮発性メモリにより構成される。
【0055】
入力部114は、カーソルキー、数字入力キー、及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成される。入力部114は、キーボードで押下操作されたキーの押下信号やマウスによる操作信号を、入力信号としてCPU110に出力する。CPU110は、入力部114からの操作信号に基づいて、各種処理を実行する。
【0056】
表示部115は、例えばCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等のディスプレイを備えて構成されている。表示部115は、CPU110から入力される表示信号の指示に従って、各種画面を表示する。
【0057】
通信部116は、通信インターフェースを備えており、例えば、インターネット801やP2Pネットワーク802を介して、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500と通信し、データの送受信を行う。
【0058】
図3Bは、クライアント端末100の機能を示した機能ブロック図である。図3Bでは、リライングパーティアプリ10が、クライアント端末100に具現化されている場合について説明する。なお、図3Cでは、リライングパーティアプリ10が、ブラウザ101によって具現化されている場合について説明する。
【0059】
クライアント端末100には、リライングパーティアプリ10とブラウザ101が具現化されている。リライングパーティアプリ10は、連携要求受付部1、データ生成受付部2、計算部3、API要求部4、情報取得部5、APIサーバ接続部6を含んで構成されている。ブラウザ101は、認証要求部120、及び発行依頼部130を含んで構成されている。
【0060】
連携要求受付部1は、ユーザによって、汎個人認証連携要求画面21,22に表示された汎個人認証連携ボタン19が押下されることで、連携要求を受け付ける。
【0061】
データ生成受付部2は、連携要求受付部1が、汎個人認証連携ボタン19の押下を受け付けると、状態(state)を生成する。データ生成受付部2は、生成した状態を記憶部113に記憶する。またデータ生成受付部2は、状態を生成した後、コード検証(コードベリファイア)を生成する。データ生成受付部2は、生成したコード検証を、記憶部113に記憶する。
【0062】
計算部3は、データ生成受付部2が生成したコード検証から、コードチャレンジを計算する。
【0063】
API要求部4は、汎個人認証システム600に接続するブラウザを起動し、インターネット801を介して、バックエンドサーバ300に、クライアントIDと、リダイレクトURLと、状態と、コードチャレンジと、を送信する。
【0064】
情報取得部5は、インターネット801を介して、フロントエンドサーバ200から、連携トークンと、状態と、リダイレクトURLと、を取得する。
【0065】
APIサーバ接続部6は、フロントエンドサーバ200から受信した状態と、記憶部113が記憶した状態とが正しい場合、リダイレクトにより、フロントエンドサーバ200から取得した連携トークンと、記憶部113で記憶したコード検証とを、P2Pネットワーク802を介して、連携APIサーバ500に送信する。
【0066】
認証要求部120は、IDプロバイダ400の認証部401に認証要求を行う。
発行依頼部130は、IDプロバイダ400からIDトークンを取得すると、連携トークンの発行呼出を行って、フロントエンドサーバ200にIDトークンと要求トークンを送信する。
発行依頼部130は、IDプロバイダ400からIDトークンを取得すると、連携トークンの発行呼出を行って、フロントエンドサーバ200にIDトークンと要求トークンを送信する。
【0067】
図3Cは、ブラウザ101の機能を示した機能ブロック図である。図3Cでは、リライングパーティアプリ102が、ブラウザ101によって図3Bと同様に具現化されている。このブラウザ101は、クライアント端末100のCPU110がブラウザプログラムを実行することで具現化される。
【0068】
<フロントエンドサーバの構成>
図4Aは、フロントエンドサーバ200のハードウェアの構成を示したブロック図である。図4Aに示すように、フロントエンドサーバ200は、CPU210、ROM211、RAM212、記憶部213、入力部214、表示部215、及び通信部216を備えて構成されている。
図4Aは、フロントエンドサーバ200のハードウェアの構成を示したブロック図である。図4Aに示すように、フロントエンドサーバ200は、CPU210、ROM211、RAM212、記憶部213、入力部214、表示部215、及び通信部216を備えて構成されている。
【0069】
フロントエンドサーバ200は、汎個人認証システム600において、フロントエンドのサーバを構成する。
【0070】
CPU210は、フロントエンドサーバ200を統括制御する。CPU210は、例えば、ROM211や記憶部213に記憶されているシステムプログラムや処理プログラムの各種プログラムを読み出して、RAM212に展開し、展開されたプログラムを実行する。これにより、CPU210は、フロントエンドサーバ200の各処理を実行するための機能を具現化する。なお、フロントエンドサーバ200の機能の詳細については、図4Bを用いて、説明する。
【0071】
RAM212は、CPU210により実行制御される各種処理において、ROM211、又は記憶部213から読み出され、CPU210で実行可能な各種プログラム、入力若しくは出力データ、及びパラメータ等を一時的に記憶するワークエリアとして機能する。
【0072】
記憶部213は、例えば、HDDや半導体の不揮発性メモリにより構成される。
【0073】
入力部214は、カーソルキー、数字入力キー、及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成される。入力部214は、キーボードで押下操作されたキーの押下信号やマウスによる操作信号を、入力信号としてCPU210に出力する。CPU210は、入力部214からの操作信号に基づいて、各種処理を実行する。
【0074】
表示部215は、例えばCRTやLCD等のディスプレイを備えて構成されている。表示部215は、CPU210から入力される表示信号の指示に従って、各種画面を表示する。
【0075】
通信部216は、通信インターフェースを備えており、例えば、インターネット801を介して、クライアント端末100と通信し、データの送受信を行う。
【0076】
図4Bは、フロントエンドサーバ200の機能を示した機能ブロック図である。フロントエンドサーバ200は、連携トークン生成部602と、情報送受信部603とを備えて構成されている。
【0077】
連携トークン生成部602は、汎個人認証システム600側でIDプロバイダ400に対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成する。なお、連携トークン生成部602は、連携トークンを生成する際、バックエンドサーバ300に連携トークンを生成(発行)させてもよい。
【0078】
情報送受信部603は、汎個人認証システム600において生成した連携トークンを、インターネット801を介して、クライアント端末100のリライングパーティアプリ10,11に送信する。
【0079】
<バックエンドサーバの構成>
図5Aは、バックエンドサーバ300のハードウェアの構成を示したブロック図である。図5Aに示すように、バックエンドサーバ300は、CPU310、ROM311、RAM312、記憶部313、入力部314、表示部315、及び通信部316を備えて構成されている。
図5Aは、バックエンドサーバ300のハードウェアの構成を示したブロック図である。図5Aに示すように、バックエンドサーバ300は、CPU310、ROM311、RAM312、記憶部313、入力部314、表示部315、及び通信部316を備えて構成されている。
【0080】
バックエンドサーバ300は、汎個人認証システム600において、バックエンドのサーバを構成する。
【0081】
CPU310は、バックエンドサーバ300を統括制御する。CPU310は、例えば、ROM311や記憶部313に記憶されているシステムプログラムや処理プログラムの各種プログラムを読み出して、RAM312に展開し、展開されたプログラムを実行する。これにより、CPU310は、バックエンドサーバ300の各処理を実行するための機能を具現化する。なお、バックエンドサーバ300の機能の詳細については、図5Bを用いて、説明する。
【0082】
RAM312は、CPU310により実行制御される各種処理において、ROM311、又は記憶部313から読み出され、CPU310で実行可能な各種プログラム、入力若しくは出力データ、及びパラメータ等を一時的に記憶するワークエリアとして機能する。
【0083】
記憶部313は、例えば、HDDや半導体の不揮発性メモリにより構成される。
【0084】
入力部314は、カーソルキー、数字入力キー、及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成される。入力部314は、キーボードで押下操作されたキーの押下信号やマウスによる操作信号を、入力信号としてCPU310に出力する。CPU310は、入力部314からの操作信号に基づいて、各種処理を実行する。
【0085】
表示部315は、例えばCRTやLCD等のディスプレイを備えて構成されている。表示部315は、CPU310から入力される表示信号の指示に従って、各種画面を表示する。
【0086】
通信部316は、通信インターフェースを備えており、例えば、インターネット801を介して、クライアント端末100と通信し、データの送受信を行う。
【0087】
図5Bは、バックエンドサーバ300の機能を示した機能ブロック図である。バックエンドサーバ300は、要求トークン生成部601と、連携トークン発行部301とを備えて構成されている。
【0088】
要求トークン生成部601は、リライングパーティアプリ10,11を利用するユーザのクライアント端末100からの要求に応じて、汎個人認証システム600に連携トークン発行要求を行って、要求トークンを生成して、クライアント端末100に送信する。この要求トークンは、所定のOIDCの規格に準拠したIDと所定のユーザ識別子に基づいて生成されている。汎個人認証システム600Pが要求トークンを生成することで、常に同一のOIDCの規格に準拠したIDとユーザ識別子の組み合わせに基づく要求トークンを生成可能である。
【0089】
連携トークン発行部301は、クライアント端末100から受信した要求トークンと、記憶部313に記憶した要求トークンのパラメータが一致する場合、連携トークンを発行する。
【0090】
<IDプロバイダの構成>
図6Aは、IDプロバイダ400のハードウェアの構成を示したブロック図である。図6Aに示すように、IDプロバイダ400は、CPU410、ROM411、RAM412、記憶部413、入力部414、表示部415、及び通信部416を備えて構成されている。
図6Aは、IDプロバイダ400のハードウェアの構成を示したブロック図である。図6Aに示すように、IDプロバイダ400は、CPU410、ROM411、RAM412、記憶部413、入力部414、表示部415、及び通信部416を備えて構成されている。
【0091】
IDプロバイダ400は、クライアント端末100との間にて、チャレンジレスポンス方式で認証する認証部401を備えている。
【0092】
CPU410は、IDプロバイダ400を統括制御する。CPU410は、例えば、ROM411や記憶部413に記憶されているシステムプログラムや処理プログラムの各種プログラムを読み出して、RAM412に展開し、展開されたプログラムを実行する。これにより、CPU410は、IDプロバイダ400の各処理を実行するための機能を具現化する。なお、IDプロバイダ400の機能の詳細については、図6Bを用いて、説明する。
【0093】
RAM412は、CPU410により実行制御される各種処理において、ROM411、又は記憶部413から読み出され、CPU410で実行可能な各種プログラム、入力若しくは出力データ、及びパラメータ等を一時的に記憶するワークエリアとして機能する。
【0094】
記憶部413は、例えば、HDDや半導体の不揮発性メモリにより構成される。
【0095】
入力部414は、カーソルキー、数字入力キー、及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成される。入力部414は、キーボードで押下操作されたキーの押下信号やマウスによる操作信号を、入力信号としてCPU410に出力する。CPU410は、入力部414からの操作信号に基づいて、各種処理を実行する。
【0096】
表示部415は、例えばCRTやLCD等のディスプレイを備えて構成されている。表示部315は、CPU410から入力される表示信号の指示に従って、各種画面を表示する。
【0097】
通信部416は、通信インターフェースを備えており、例えば、インターネット801を介して、クライアント端末100、又はフロントエンドサーバ200と通信し、認証を行う。
【0098】
図6Bは、IDプロバイダ400の機能を示した機能ブロック図である。IDプロバイダ400は、認証部401を備えて構成されている。
【0099】
認証部401は、クライアント端末100との間にて、チャレンジレスポンス方式で認証する。
【0100】
<連携APIサーバの構成>
図7Aは、連携APIサーバ500のハードウェアの構成を示したブロック図である。図7Aに示すように、連携APIサーバ500は、CPU510、ROM511、RAM512、記憶部513、入力部514、表示部515、及び通信部516を備えて構成されている。
図7Aは、連携APIサーバ500のハードウェアの構成を示したブロック図である。図7Aに示すように、連携APIサーバ500は、CPU510、ROM511、RAM512、記憶部513、入力部514、表示部515、及び通信部516を備えて構成されている。
【0101】
連携APIサーバ500は、クライアント端末100との間において、汎個人認証システム600を介して、クライアント端末100に、所定のサービスを提供する。
【0102】
CPU510は、連携APIサーバ500を統括制御する。CPU510は、例えば、ROM511や記憶部513に記憶されているシステムプログラムや処理プログラムの各種プログラムを読み出して、RAM512に展開し、展開されたプログラムを実行する。これにより、CPU510は、IDプロバイダ400の各処理を実行するための機能を具現化する。なお、連携APIサーバ500の機能の詳細については、図7Bを用いて、説明する。
【0103】
RAM512は、CPU510により実行制御される各種処理において、ROM511、又は記憶部513から読み出され、CPU510で実行可能な各種プログラム、入力若しくは出力データ、及びパラメータ等を一時的に記憶するワークエリアとして機能する。
【0104】
記憶部513は、例えば、HDDや半導体の不揮発性メモリにより構成される。
【0105】
入力部514は、カーソルキー、数字入力キー、及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成される。入力部514は、キーボードで押下操作されたキーの押下信号やマウスによる操作信号を、入力信号としてCPU510に出力する。CPU510は、入力部514からの操作信号に基づいて、各種処理を実行する。
【0106】
表示部515は、例えばCRTやLCD等のディスプレイを備えて構成されている。表示部315は、CPU510から入力される表示信号の指示に従って、各種画面を表示する。
【0107】
通信部516は、通信インターフェースを備えており、例えば、P2Pネットワーク802を介して、クライアント端末100と通信し、所定のサービスを提供する。
【0108】
図7Bは、連携APIサーバ500の機能を示した機能ブロック図である。連携APIサーバ500は、連携情報送受信部604を備えて構成されている。
【0109】
連携情報送受信部604は、汎個人認証システム600から送信された連携トークンに基づいて、リライングパーティアプリ10,11を跨ってもユーザを一意に識別できるベースIDと、ユーザとリライングパーティアプリとの連携を特定するリンクIDを送信する。
【0110】
このように、汎個人認証システム600は、フロントエンドサーバ200、バックエンドサーバ300、及び連携APIサーバ500を備えることで、要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604と、を具現化することができる。なお、汎個人認証システム600は、これらのサーバ構成に限定されず、任意台数のサーバ上に要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604と、を具現化してもよく、限定されない。
【0111】
【0112】
【0113】
クライアント端末100を有するユーザがリライングパーティアプリ10を起動することで、クライアント端末100の表示部115には、汎個人認証連携要求画面21が表示される。汎個人認証連携要求画面21には、汎個人認証連携ボタン19が設けられている。
【0114】
ユーザは、汎個人認証連携要求画面21に表示された汎個人認証連携ボタン19を押下することで、連携要求受付部1は、連携要求を受け付ける。データ生成受付部2は、状態(state)を生成する(シーケンスSQ001)。データ生成受付部2は、生成した状態を、記憶部113に記憶する。
【0115】
データ生成受付部2は、状態を生成した後、コード検証(コードベリファイア)を生成する(シーケンスSQ003)。データ生成受付部2は、生成したコード検証を、記憶部113に記憶する。
【0116】
計算部3は、生成したコード検証から、コードチャレンジを計算する(シーケンスSQ005)。
【0117】
API要求部4は、汎個人認証システム600に接続するブラウザを起動する(シーケンスSQ007)。API要求部4は、インターネット801を介して、バックエンドサーバ300に、クライアントIDと、リダイレクトURLと、状態と、コードチャレンジと、を送信する(シーケンスSQ009)。
【0118】
バックエンドサーバ300の要求トークン生成部601は、クライアントIDと、リダイレクトURLと、状態と、コードチャレンジと、を受信する。要求トークン生成部601は、クライアント端末100からの要求に応じて、IDプロバイダ400に認証要求を行ってIDトークンを取得する要求トークンを生成して、クライアント端末100に送信する。具体的には、要求トークン生成部601は、シーケンスSQ011からSQ015を実行する。
【0119】
要求トークン生成部601は、受信したクライアントIDと、リダイレクトURLとが正しいか否かを判定する(シーケンスSQ011)。クライアントIDとリダイレクトURLとが正しくない場合に(シーケンスSQ011のNo)、要求トークン生成部601は、クライアント端末100の表示部115に、不正な要求を処理できなかった旨のエラー(ステータスコード:400)を表示する(シーケンスSQ017)。
【0120】
一方、クライアントIDとリダイレクトURLとが正しい場合(シーケンスSQ011のYes)、要求トークン生成部601は、その他のパラメータが正しいか判定する(シーケンスSQ013)。その他のパラメータが正しくない場合(シーケンスSQ013のNo)、要求トークン生成部601は、クライアント端末100の表示部115に、リダイレクトURLを表示し(ステータスコード:302)(シーケンスSQ019)、新しいURLに移動して、エラー処理を行わせる(シーケンスSQ021)。
【0121】
その他のパラメータが正しい場合(シーケンスSQ013のYes)、要求トークン生成部601は、要求トークンを生成して(シーケンスSQ015)、要求トークンをクライアント端末100に送信する(シーケンスSQ023)。なお、この場合、要求トークン生成部601は、要求トークンと、リダイレクトURLと、状態と、コード検証と、を記憶部313に記憶する。
【0122】
要求トークン生成部601は、クライアント端末100の表示部115にリダイレクトURLを表示させ(ステータスコード:302)、新しいURLに移動する(シーケンスSQ025)。
【0123】
クライアント端末100の認証要求部120は、IDプロバイダ400の認証部401に認証要求を行う(シーケンスSQ027)。
【0124】
IDプロバイダ400の認証部401は、クライアント端末100から認証要求を受け付けると、認証画面を生成し、クライアント端末100との間にて、チャレンジレスポンス方式で認証する(シーケンスSQ029)。
【0125】
クライアント端末100は、IDプロバイダ400の認証部401にて認証が成功すると(シーケンスSQ031)、IDトークンを取得する(シーケンスSQ033)。また、クライアント端末100は、IDトークンのサブジェクト登録クレームsubの値を取得する。
【0126】
クライアント端末100の発行依頼部130は、IDトークンを取得すると、連携トークンの発行呼出を行い(シーケンスSQ035)、フロントエンドサーバ200にIDトークンと、要求トークンと、を送信する(シーケンスSQ037)。
【0127】
フロントエンドサーバ200の連携トークン生成部602は、クライアント端末100からIDトークンを受信し、当該IDトークンに基づいて連携トークンを生成する。具体的には、連携トークン生成部602は、シーケンスSQ39からSQ67を実行する。
【0128】
連携トークン生成部602は、クライアント端末100からIDトークンを受信すると、正しいか否かを検証する(シーケンスSQ039)。クライアント端末100から受信したIDトークンが正しくない場合(シーケンスSQ039のNo)、連携トークン生成部602は、クライアント端末100の表示部115にエラーを表示させ(シーケンスSQ041)、再度、クライアント端末100にIDトークンを取得させる(シーケンスSQ033)。
【0129】
一方、クライアント端末100から受信したIDトークンが正しい場合(シーケンスSQ039のYes)、連携トークン生成部602は、ベースIDを取得する(シーケンスSQ043)。このとき、連携トークン生成部602は、IDトークンのサブジェクト登録クレームsubの値とベースIDとを関連付けて、記憶部213に記憶する。
【0130】
フロントエンドサーバ200の連携トークン生成部602は、IDトークンを取得すると(シーケンスSQ045)、ベースIDと、要求トークンとをバックエンドサーバ300に送信する(シーケンスSQ047)。
【0131】
バックエンドサーバ300の連携トークン発行部301は、ベースIDと、要求トークンとを受信すると、記憶部313に記憶した要求トークンと、パラメータを検証する(シーケンスSQ049)。
【0132】
連携トークン発行部301は、クライアント端末100から受信した要求トークンと、記憶部313に記憶した要求トークンのパラメータが一致しない場合(シーケンスSQ049のNo)、フロントエンドサーバ200の連携トークン生成部602は、連携トークン発行エラー処理を行う(シーケンスSQ051)。連携トークン生成部602は、エラー、エラーの説明、詳細を、クライアント端末100にリダイレクトURL(ステータスコード:302)で表示する(シーケンスSQ053)。そして、リライングパーティアプリ10は、エラー処理を行う(シーケンスSQ055)。
【0133】
一方、クライアント端末100から受信した要求トークンと、記憶部313に記憶した要求トークンのパラメータが一致する場合(シーケンスSQ049のYes)、連携トークン発行部301は、連携トークンを発行する(シーケンスSQ057)。連携トークン発行部301は、発行した連携トークンと、ベースIDとを関連付けて、記憶部313に記憶する。
【0134】
フロントエンドサーバ200の連携トークン生成部602は、連携トークン発行部301で発行された連携トークンを取得すると(シーケンスSQ059)、連携トークンの結果が合格か否か(不合格)を判定する(シーケンスSQ061)。判定結果が不合格の場合(シーケンスSQ061がNo)、連携トークン生成部602は、インターネット801を介して、エラー、エラーの説明、詳細を、クライアント端末100にリダイレクトURL(ステータスコード:302)で表示する(シーケンスSQ063)。そして、リライングパーティアプリ10は、エラー処理を行う(シーケンスSQ055)。
【0135】
一方、判定結果が合格の場合(シーケンスSQ061がYes)、フロントエンドサーバ200の情報送受信部603は、インターネット801を介して、発行された連携トークンと、状態と、リダイレクトURLと、をクライアント端末100に送信する(シーケンスSQ067)。
【0136】
クライアント端末100は、インターネット801を介して、発行された連携トークンと、状態と、リダイレクトURLと、を取得し、リダイレクトURL(ステータスコード:302)を表示する(シーケンスSQ069)。
【0137】
リライングパーティアプリ10は、フロントエンドサーバ200から受信した状態と、記憶部113に記憶した状態とが正しいか否かを判定する(シーケンスSQ071)。リライングパーティアプリ10は、受信した状態と記憶した状態とが正しくない場合(シーケンスSQ073のNo)、エラー処理を行う(シーケンスSQ075)。
【0138】
一方、フロントエンドサーバ200から受信した状態と、記憶部113に記憶した状態とが正しい場合(シーケンスSQ073のYes)、リライングパーティアプリ10のAPIサーバ接続部6は、リダイレクトにより(シーケンスSQ077)、フロントエンドサーバ200から取得した連携トークンと、記憶部113に記憶したコード検証を、P2Pネットワーク802を介して、連携APIサーバ500に送信する(シーケンスSQ079)。
【0139】
連携APIサーバ500の連携情報送受信部604は、クライアント端末100から送信された連携トークンに基づいて、ユーザとリライングパーティとの連携を特定するリンクIDを送信する。具体的には、連携情報送受信部604は、シーケンスSQ081からSQ089を実行する。
【0140】
連携APIサーバ500は、連携トークンとコード検証を受信すると、それぞれ正しいか否かを検証する(シーケンスSQ079,SQ081)。連携トークンが正しくない場合(シーケンスSQ081のNG)、連携情報送受信部604は、P2Pネットワーク802を介して、リライングパーティアプリ10に、エラー処理を行わせる(シーケンスSQ083)。
【0141】
一方、連携トークンが正しい場合(SQ081のOK)、連携情報送受信部604は、コード検証を行う(シーケンスSQ085)。コード検証が正しくない場合(シーケンスSQ085のNG)、連携情報送受信部604は、P2Pネットワーク802を介して、リライングパーティアプリ10に、エラー処理を行わせる(シーケンスSQ083)。
【0142】
一方、コード検証が正しい場合(シーケンスSQ085のOK)、連携情報送受信部604は、連携IDごとに、連携トークンとベースIDを連携情報として登録する(シーケンスSQ087)。また、連携情報送受信部604は、クライアント端末100を識別するリンクIDとベースIDとを、P2Pネットワーク802を介して、リライングパーティアプリ10に送信する(シーケンスSQ089)。
【0143】
【0144】
以上説明したように、本実施形態に係る情報連携システム700は、要求トークン生成部601と、連携トークン生成部602と、情報送受信部603と、連携情報送受信部604とを備えて構成されている。
【0145】
要求トークン生成部601は、リライングパーティアプリ10,11を利用するユーザのクライアント端末100からの要求に応じて、汎個人認証システム600に連携トークン発行要求を行って、要求トークンを生成する。要求トークン生成部601は、生成した要求トークンをクライアント端末100に送信する。連携トークン生成部602は、汎個人認証システム600側でIDプロバイダ400に対する認証要求およびIDトークンの取得を行い、当該IDトークンに基づいて連携トークンを生成する。情報送受信部603は、汎個人認証システム600において生成した連携トークンをリライングパーティアプリ10,11に送信する。連携情報送受信部604は、汎個人認証システム600から送信された連携トークンに基づいて、リライングパーティアプリ10,11を跨ってもユーザを一意に識別できるベースIDと、ユーザとリライングパーティアプリ10,11との連携を特定するリンクIDを送信する。
【0146】
本実施形態によれば、情報連携システム700では、ユーザ識別子(サブジェクト登録クレームsubの値)が異なっていても、フロントエンドサーバ200が発行するベースIDと、ユーザとリライングパーティアプリ10,11との連携を特定するリンクIDとに基づいて、リライングパーティアプリ10,11を連携させることができる。ベースIDは、インターネット801に流出することがないため、アカウントの成りすましを防止でき、また、P2Pネットワーク802を使用してリライングパーティアプリ10に所定のサービスを提供することができるため、証明性を確保することができる。
【0147】
ベースIDは、汎個人認証システム600において、ユーザを一意に特定することができる。そのため、汎個人認証システム600は、ユーザをベースIDにより特定し、リライングパーティアプリ10,11を連携させることができる。
【符号の説明】
【0148】
1 連携要求受付部
2 データ生成受付部
3 計算部
4 API要求部
5 情報取得部
6 APIサーバ接続部
21,22 汎個人認証連携要求画面
10,10P,11,11P,102 リライングパーティアプリ
100 クライアント端末
101 ブラウザ
120 認証要求部
130 発行依頼部
200 フロントエンドサーバ
300 バックエンドサーバ
301 連携トークン発行部
400 IDプロバイダ
401 認証部
402 IDトークン
500 連携APIサーバ
600 汎個人認証システム
601 要求トークン生成部
602 連携トークン生成部
603 情報送受信部
604 連携情報送受信部
610 連携認証部
700 情報連携システム
2 データ生成受付部
3 計算部
4 API要求部
5 情報取得部
6 APIサーバ接続部
21,22 汎個人認証連携要求画面
10,10P,11,11P,102 リライングパーティアプリ
100 クライアント端末
101 ブラウザ
120 認証要求部
130 発行依頼部
200 フロントエンドサーバ
300 バックエンドサーバ
301 連携トークン発行部
400 IDプロバイダ
401 認証部
402 IDトークン
500 連携APIサーバ
600 汎個人認証システム
601 要求トークン生成部
602 連携トークン生成部
603 情報送受信部
604 連携情報送受信部
610 連携認証部
700 情報連携システム
【要約】 (修正有)
【課題】リライングパーティアプリを跨ってもユーザの同一性を担保するベースIDにより、他のリライングパーティアプリの個人データを特定し連携する汎個人認証システム及び方法を提供する。
【解決手段】汎個人認証システムは、リライングパーティアプリ10、11を利用するユーザのクライアント端末からの要求に応じて、要求トークンを生成して、クライアント端末に送信する要求トークン生成部、汎個人認証システム側でIDプロバイダに対する認証要求及びIDトークンの取得を行い、IDトークンに基づいて連携トークンを生成する連携トークン生成部、連携トークンをリライングパーティアプリに送信する情報送受信部及び汎個人認証システムから送信された連携トークンに基づいて、リライングパーティアプリを跨ってもユーザを識別できるベースIDとユーザとリライングパーティアプリとの連携を特定するリンクIDを送信する連携情報送受信部を備える。
【選択図】図1
【解決手段】汎個人認証システムは、リライングパーティアプリ10、11を利用するユーザのクライアント端末からの要求に応じて、要求トークンを生成して、クライアント端末に送信する要求トークン生成部、汎個人認証システム側でIDプロバイダに対する認証要求及びIDトークンの取得を行い、IDトークンに基づいて連携トークンを生成する連携トークン生成部、連携トークンをリライングパーティアプリに送信する情報送受信部及び汎個人認証システムから送信された連携トークンに基づいて、リライングパーティアプリを跨ってもユーザを識別できるベースIDとユーザとリライングパーティアプリとの連携を特定するリンクIDを送信する連携情報送受信部を備える。
【選択図】図1
【図1】
【図2】
【図3A】
【図3B】
【図3C】
【図4A】
【図4B】
【図5A】
【図5B】
【図6A】
【図6B】
【図7A】
【図7B】
【図8A】
【図8B】
【図8C】
【図8D】
【図9A】
【図9B】
【図10】