JP2004295761A - Terminal device and information processing device - Google Patents
Terminal device and information processing device Download PDFInfo
- Publication number
- JP2004295761A JP2004295761A JP2003090117A JP2003090117A JP2004295761A JP 2004295761 A JP2004295761 A JP 2004295761A JP 2003090117 A JP2003090117 A JP 2003090117A JP 2003090117 A JP2003090117 A JP 2003090117A JP 2004295761 A JP2004295761 A JP 2004295761A
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- user
- authentication
- login
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】モバイル端末からインターネットを利用して企業内サーバにログインする時の認証として、より安全で、特別な認証装置を使用せず、簡単な操作で認証できるようにする。
【解決手段】モバイル端末1がインターネットに接続する時に使用する通信カード2の接続元電話番号をセキュリティキーとして使用し、モバイル端末1が企業内サーバ6のログインURLに接続する時に、通信カード2の電話番号を読み込み、読み込んだ通信カード2の電話番号をインターネット5経由で企業内サーバ6に通知し、企業内サーバ6では、ログイン時のユーザID、パスワードの認証チェック時に、通知された通信カード2の電話番号がログインユーザ毎に許可された接続元の電話番号であることを確認した上でログイン認証を行う。
【選択図】 図2An object of the present invention is to provide a more secure authentication using a simple operation without using a special authentication device as an authentication when logging in to a company server using the Internet from a mobile terminal.
A mobile terminal uses a connection source telephone number of a communication card used when connecting to the Internet as a security key, and when the mobile terminal connects to a login URL of an in-company server, the communication card of the communication card is used. The telephone number is read, and the read telephone number of the communication card 2 is notified to the in-company server 6 via the Internet 5. After confirming that the telephone number is a connection source telephone number permitted for each login user, login authentication is performed.
[Selection] Fig. 2
Description
【0001】
【発明の属する技術分野】
この発明は、モバイル端末等の端末装置のログイン認証処理に関するものである。
【0002】
【従来の技術】
従来、モバイル端末等におけるログイン認証処理は、2段階認証と呼ばれる手法により行われていた。2段階認証とは、2つの異なる要素、つまりユーザが”所有している”物とユーザだけが”知っている”情報を使用して、ユーザの身元を確認するセキュリティ処理である。2つの異なる形式の識別情報を要求することで、企業は詐欺行為のリスクを低下させることができる。2段階認証の単純な例として、現金自動支払機(ATM)のキャッシュカードと暗証番号(PIN)がある。キャッシュカードと暗証番号は、一方だけを盗んでも意味がない。カードを入手し、暗証番号を知ることで初めて身元が確認され、使用が許可される。2段階認証は、ユーザの知る情報だけに依存せず、有形の所有物も使用して認証を行うため、高いセキュリティを実現する。
2つ目の要素としては、物理デバイスやユーザの体の一部(指紋など)がある。このデバイスや体の一部は、トークンとも呼ばれる。トークンは一意のもので、簡単に複製することができない。通常、トークンは瞬時に無効にできる。つまり、認証デバイスとしての機能をすぐに無効にできる。
例として、レインボー社のiKeyは、ユーザの所有する物理的なデバイス「iKey」とユーザだけが知っている「PIN(暗証番号)」で2段階認証を行う、USBポート対応のポータブルなトークンである。
【0003】
ここで、iKey装置におけるコンピュータへのログイン認証の動作を説明する。
図11は、コンピュータ及びiKey装置の構成例を示す図である。
図11において、100はパーソナルコンピュータ(以下、パソコンという)、200はパソコン100に搭載されているログイン認証ソフト、300はiKey装置、400はiKey装置300が記憶している暗証番号、500はiKey装置300が搭載しているログインユーザ名である。
iKey装置300は、パソコン100にUSBインタフェースで接続される機密保護機能がついた記憶装置である。iKey装置300には暗証番号400が埋め込まれており、この暗証番号を知らない限り、iKey装置を操作できないようになっている。またiKey装置にはログインユーザ名500を登録しておく。
パソコン100のログイン時にログイン認証ソフト200が起動され、ユーザからユーザ名とパスワードを入力する。
ログイン認証ソフト200は、iKey装置がUSBに挿入されていることを確認し、入力されたパスワードをiKey装置の暗証番号400として、iKey装置に対して動作要求を行い、iKey装置内に保存されたログインユーザ名500を読み取る要求をする。
iKey装置300は、暗証番号400が一致したときには、iKey装置に登録されたログインユーザ名500をパソコン100に返す。
パソコン100側では、返されたユーザ名と入力されたユーザ名が一致したら、ログインが成功する。
以上のようにして、物理的なiKeyとユーザだけが知りえる情報の2段階認証により認証を行う。
【0004】
このような2段階認証には以下のような利点がある。
キー操作の記録、ネットワーク監視、パスワードクラッキング、IT部門の従業員による悪用などの、1段階認証の場合におこる問題に対処できる。
また、ユーザ認証が成功した後のすべての操作に対してユーザが実行したことを否認できないため、ユーザが処理を行ったことが明確になる。
また、詐欺行為または企業のデータへの不正アクセスを招く危険性が低くなる。
また、エンドユーザが簡単に使用できる。
また、耐久性が高く、長期間のセキュリティ・ソリューションを実現する。
更に、管理が容易である。
【0005】
また、電話番号を利用した認証システムについては、特開2002−229952号公報に示されるように、接続されるサーバ側で、通信業者が提供する発信元電話番号通知サービス等により接続元の発信電話番号を入手することにより、認証を行うものがある。しかしながら、インターネットを介して接続される時には、インターネット接続サービスプロバイダまでは、通信業者が提供する発信元電話番号通知サービス等により接続元の発信電話番号入手可能であるが、この情報は、インターネットに接続される時には、継承されないため、最終的に接続されるサーバ側では、通信網から発信元電話番号を得ることができない。
また、特開2000−209284号公報では、インターネットを介した接続において、電話番号を利用したログイン認証方式を示しているが、ここでは、認証されるコンピュータ機器が電話交換機を通してインターネットに接続する環境において、電話交換機から接続元の電話番号を得るという環境が必要となっている。モバイル環境では、社内電話交換機を通して接続することは無い。インターネットを通してサーバに接続を行う端末とサーバとの間で、モバイル環境でもより安全に、低価格で、操作性を損なわない認証が求められている。
【0006】
【特許文献1】
特開2002−229952号公報
【特許文献2】
特開2000−209284号公報
【0007】
【発明が解決しようとする課題】
従来の2段階認証では、認証時以外では、使用しない特別な装置(iKey装置や指紋認証装置、ICカードリーダ等)を使用するため認証装置のコストが掛かる。また、PDA(Personal Digital Assistants)等の携帯端末では、特別な装置の接続インタフェースがなかったり、特別な装置を持ち運び、ログイン認証の時だけ特別な装置を装着して認証を行うという操作面での不便さがあるという問題点があった。
【0008】
また、特開2002−229952号公報及び特開2000−209284号公報のような通信業者の接続元電話番号通知サービスを利用して接続元電話番号をサーバ側で確認して接続元を認証するという方法においては、インターネットを介して接続を行う時には、通信業者から接続元の電話番号を通知して貰うサービスが無く、接続元電話番号確認による認証が使えないという問題があった。
【0009】
この発明は上記のような問題点を解決するためになされたもので、モバイル端末等の端末装置へのログイン認証とモバイル端末等の端末装置から所定のサーバ(例えば企業内のサーバ)に接続するときのログイン認証において、認証の為だけに使用する特別な装置を使用することなく、ユーザ名とパスワードだけの認証より安全であり、安価かつ利便性の高いログイン認証処理の実現を目的とする。
【0010】
【課題を解決するための手段】
本発明に係る端末装置は、
識別情報が設定された通信デバイスとの接続が可能であり、ユーザからのログイン要求に対してログイン認証処理を行う端末装置であって、
ログインが許可されるユーザが用いる通信デバイスの識別情報として特定の識別情報を記憶する認証情報記憶部と、
ユーザからログイン要求を入力する入力部と、
前記入力部がユーザからのログイン要求を入力した際に、端末装置に通信デバイスが接続しているか否かを判断し、いずれかの通信デバイスが端末装置に接続している場合に、端末装置に接続している接続通信デバイスから接続通信デバイスの識別情報を取得する識別情報取得部と、
前記識別情報取得部により取得された接続通信デバイスの識別情報と前記認証情報記憶部に記憶された識別情報とに基づき、ユーザからのログイン要求に対してログイン認証処理を行うログイン認証処理部とを有することを特徴とする。
【0011】
【発明の実施の形態】
実施の形態1.
図1は、実施の形態1に係るモバイル端末1(端末装置)及び通信カード2(通信デバイス)の構成例を示す図である。
モバイル端末1は、通信カード2と接続可能であり、通信カード2を用いて無線通信を行うことができるコンピュータ(例えば、ノートパソコン、PDA)である。また、通信カード2は、例えば、PHS(登録商標)(PersonalHandyphone System)カードであり、無線通信を実現するために、通信カードの識別情報として電話番号が設定されている。
【0012】
モバイル端末1において、入力部101は、ユーザから、モバイル端末へのログインを要求するログイン要求を入力する。
表示部102は、ユーザに対して情報の入力を促す画面やモバイル端末での処理結果を示す画面等を表示する。
【0013】
端末ログイン認証処理部103は、ユーザからのログイン要求に対してログイン認証処理を行う。端末ログイン認証処理部103は、ログイン認証処理部に相当する。
端末側インタフェース部104(以下、端末側I/F部とする)は、ユーザからのログイン要求の入力時に、モバイル端末1に通信カードが接続されているか否かを判断し、通信カードが接続されている場合には、接続されている通信カードから当該通信カードに設定されている電話番号を取得する。端末側I/F部104は、識別情報取得部に相当する。
【0014】
端末ログイン認証情報記憶部105は、ログイン認証処理時に使用するユーザの認証情報を記憶する。端末ログイン認証情報記憶部105に記憶される認証情報としては、ログインが許可されるユーザのユーザIDを所定のハッシュ関数により暗号化した認証用暗号化ユーザID108、ログインが許可されるユーザが用いるパスワードを所定のハッシュ関数により暗号化した認証用暗号化パスワード109、ログインが許可されるユーザが用いる通信カードの電話番号を所定のハッシュ関数により暗号化した認証用暗号化通信カード電話番号110(認証用暗号化識別情報)、及び所定の秘密キー118である。なお、これら認証用暗号化ユーザID108、認証用暗号化通信カード電話番号110、認証用暗号化通信カード電話番号110、秘密キー118は、後述する初期設定処理により端末ログイン認証情報記憶部105に記憶される情報であり、初期設定処理が実施される以前は端末ログイン認証情報記憶部105内に存在していない。また、端末ログイン認証情報記憶部105は、認証情報記憶部に相当する。
【0015】
ハッシュ演算部106は、端末ログイン認証情報記憶部105に記憶される各種認証情報に対して所定のハッシュ関数を用いて暗号化を行い、また、ログイン認証処理の際に、端末側I/F部104が取得した通信カードの電話番号等に対して所定のハッシュ関数を用いて暗号化を行う。なお、ハッシュ演算部106により暗号化された情報は逆変換ができない。
秘密キー生成部107は、所定の場合に、秘密キーを生成する。
【0016】
また、通信カード2において、カード側インタフェース部201(以下、カード側I/F部とする)は、モバイル端末1の端末側I/F部104から要求があった際に、電話番号記憶部203に記憶されている通信カードの電話番号を端末側I/F部104に通知する。
通信処理部202は、無線通信網との間でデータの送受信を行う。
電話番号記憶部203は、通信カードの電話番号を記憶している。
秘密キー格納部204は、モバイル端末1の秘密キー生成部107で生成された秘密キーを格納する。
【0017】
次に、図5を参照して、モバイル端末1における初期設定処理を説明する。
まず、ステップS501において、端末ログイン認証処理部103が端末側I/F部104に通信カード2がモバイル端末1に装着(接続)されているか否かを確認させる。そして、通信カード2が装着(接続)されていない場合(ステップS502でNO)は、ステップS503において、端末ログイン認証処理部103は表示部102に通信カードの装着を指示する画面を表示させ、ユーザに通信カードの装着を指示する。
通信カード2が装着されている場合(ステップS502でYES)は、ステップS504において、端末ログイン認証処理部103は表示部102にログインユーザIDとパスワードを初期設定するための画面を表示させ、ログインユーザID及びパスワードの入力を待つ。
【0018】
入力部101によりログインユーザIDとパスワードが入力されると、ステップS505において、端末ログイン認証処理部103は端末側I/F部104に通信カード2の電話番号を取得するよう指示し、端末側I/F部104は通信カード2のカード側I/F部201より通信カードの電話番号を取得する。
電話番号の取得後は、端末ログイン認証処理部103はハッシュ演算部106にログインユーザID、パスワード、通信カードの電話番号の3つのデータの暗号化を指示し、ハッシュ演算部106は所定のハッシュ関数を用いてこれら3つのデータの暗号化を行う。
更に、ハッシュ演算部106による暗号化の後は、端末ログイン認証処理部103は暗号化されたログインユーザID、パスワード、通信カードの電話番号を端末ログイン認証情報記憶部105に記憶させ、それぞれ認証用暗号化ユーザID108、認証用暗号化パスワード109、認証用暗号化通信カード電話番号110とする。
【0019】
次に、ステップS506において、端末ログイン認証処理部103は端末側I/F部104に通信カード2がデータ書き込み可能な通信カードであるかを確認させる。そして、通信カード2がデータ書き込み可能な場合には、端末ログイン認証処理部103は秘密キー生成部107に乱数を発生させて秘密キーを生成させ、端末側I/F部104を介して通信カード2へ秘密キーを設定する。通信カード2では秘密キー格納部204に秘密キーを格納する。また、モバイル端末1では、端末ログイン認証処理部103が、生成された秘密キーを端末ログイン認証情報記憶部105に記憶させる。
【0020】
次に、図6を参照して、モバイル端末1における端末ログイン認証処理を説明する。
まず、ステップS601において、モバイル端末1の電源ONにより端末ログイン認証処理部103が最初に起動し、表示部102にログイン入力画面を表示させ、ユーザにログインユーザIDとパスワードの入力を促す。
次に、ユーザからログイン要求としてログインユーザIDとパスワードとが入力されると、ステップS602において、端末ログイン認証処理部103は端末側I/F部104に通信カード2がモバイル端末1に装着(接続)されているか否かを確認させる。そして、通信カード2が装着(接続)されていない場合(ステップS603でNO)は、ステップS604において、端末ログイン認証処理部103は表示部102にログインエラーを示す画面を表示させる。
【0021】
通信カード2が装着されている場合(ステップS603でYES)は、ステップS605において、端末ログイン認証処理部103は端末側I/F部104に通信カード2の電話番号を取得するよう指示し、端末側I/F部104は通信カード2のカード側I/F部201より通信カードの電話番号を取得する。
そして、端末ログイン認証処理部103はログイン要求として入力されたログインユーザID、パスワード、及び端末側I/F部104が取得した通信カードの電話番号の暗号化をハッシュ演算部106に指示し、ハッシュ演算部106は初期設定処理において用いたハッシュ関数を用いてログインユーザID、パスワード及び通信カードの電話番号を暗号化する。
その後、端末ログイン認証処理部103はハッシュ演算部106により暗号化された暗号化ユーザID、暗号化パスワード、暗号化通信カード電話番号(暗号化識別情報)と端末ログイン認証情報記憶部105に記憶されている認証用暗号化ユーザID108、認証用暗号化パスワード109、認証用暗号化通信カード電話番号110とを比較する。
【0022】
比較の結果、両者が一致しなければ(ステップS606でNO)、ステップS604に進み、ログインエラーの表示がなされる。
また、ステップS606でYESの場合は、ステップS607において、端末ログイン認証処理部103は端末側I/F部104に通信カード2に秘密キーが格納されているか否かを確認させ、秘密キーが格納されていない場合(ステップS607でNO)は、ログインは正常に終了する(ユーザのログインが許可される)。
【0023】
通信カード2に秘密キーが格納されている場合(ステップS607でYES)は、端末側I/F部104が通信カードに格納されている秘密キーを取得し、ステップS608において、端末ログイン認証処理部103は端末側I/F部104により通信カードから取得した秘密キーと端末ログイン認証情報記憶部105に記憶されている秘密キー118が一致するか否かを判断し、両者が一致しない場合(ステップS608でNO)は、ステップS604に進み、ログインエラーの表示がなされる。
2つの秘密キーが一致する場合(ステップS608でYES)は、端末ログイン認証処理部103は秘密キー生成部107に乱数を発生させて新たな秘密キーを生成させ、端末側I/F部104を介して通信カード2へ新たな秘密キーを設定する。通信カード2では秘密キー格納部204に新たな秘密キーを格納する。また、端末ログイン認証処理部103は、生成された新たな秘密キーを端末ログイン認証情報記憶部105に記憶させる。このように、データを書き込めるタイプの通信カードの場合は、乱数による秘密キーをログイン毎に同時に更新し、次のログイン時には、この更新された秘密キーと通信カードの電話番号でモバイル端末と通信カードの組み合わせの認証を行うことにより、認証強度を強化している。
以上により新たな秘密キーが設定されるとログインが正常に終了する(ユーザのログインが許可される)。
【0024】
このように、本実施の形態では、ノートパソコンやPDA等のモバイル端末へのログイン認証制御機能において、PHS(登録商標)通信カード等の通信カードの電話番号をセキュリティキーとして使用し、該当のモバイル端末に該当の通信カードが挿入された状態で、ユーザ名とパスワードによるログイン認証を行うことを特徴とする。
【0025】
なお、以上では、通信デバイスの例として通信カードを用いて説明したが、通信デバイスとして携帯電話機をモバイル端末に接続し、モバイル端末では携帯電話機の電話番号を読み出してログイン認証を行なうようにしてもよい。
【0026】
また、以上では、ログインユーザID、パスワード、通信カードの電話番号を用いてログイン認証を行う場合について説明したが、モバイル端末を利用するユーザが一人に限定されている場合等であれば、ログインユーザID、パスワードを用いずに、通信カードの電話番号のみによるログイン認証も可能である。
【0027】
また、以上では、ログインユーザID、パスワード、通信カードの電話番号をハッシュ関数により暗号化する場合について説明したが、ハッシュ関数による暗号化以外の暗号化を行ってもよいし、暗号化を行うことなく、ログインユーザID、パスワード、通信カードの電話番号の比較を行うようにしてもよい。
【0028】
また、以上では、秘密キー生成部を設け、通信カードがデータ書き込み可能な場合には通信カードに秘密キーを設定することとしたが、秘密キー生成部を設けなくてもよく、また通信カードに秘密キーを設定しなくてもよい。また、通信カード側にも秘密キー格納部を設けなくてもよい。
【0029】
また、以上ではPHS(登録商標)による電話番号をセキュリティキーとして利用した例を示したが、無線LANカードでは、MAC(Media Access Control)アドレスをセキュリティキーとして利用できる。
【0030】
以上のように、本実施の形態によれば、モバイル端末にログインする際に、対応する通信カードとユーザしか知り得ないユーザ名とパスワード情報の両方をチェックすることにより、認証のためだけの特別な装置を使用せずにモバイル端末へのログイン認証の安全性を強化し、操作性は、パスワード認証と同じで簡単な操作でログインすることができる。
【0031】
実施の形態2.
以上の実施の形態1は、モバイル端末にログインする時の認証に関するものであるが、次に、モバイル端末から、インターネット、IP−VPN(Virtual Private Network)網等を利用して所定のサーバ(例えば、企業内のサーバ)にログインする場合について説明する。
【0032】
図2は、本実施の形態に係る通信システムの構成例を示す図である。
図において、モバイル端末1は通信カード2と接続可能であり、通信カード2を用い無線通信網3、インターネット中継サーバ4、インターネット5を介して企業内サーバ6と通信を行う。
なお、モバイル端末1は端末装置の例に相当し、通信カード2は通信デバイスの例に相当し、企業内サーバ6は情報処理装置の例に相当する。
【0033】
図3は、実施の形態2に係るモバイル端末1及び通信カード2の構成例を示す図である。
モバイル端末1において、入力部101、表示部102、端末側I/F部104、ハッシュ演算部106は、実施の形態1に示したものと同じなので説明は省略する。
【0034】
ブラウザ111は、通信カード2を用いてインターネットアクセスを行う。
サーバ接続処理部112は、企業内サーバ6に対するログインを要求するログイン要求を生成し、生成したログイン要求を通信カード2を用い、無線通信網3、インターネット中継サーバ4、インターネット5を介して企業内サーバ6に送信する。サーバ接続処理部112は、ログイン要求生成部に相当する。
サーバ接続情報記憶部113は、企業内サーバ6への接続及び企業内サーバ6におけるログイン認証処理に必要な情報を記憶している。サーバ接続情報記憶部113が記憶している情報は、通信カードの電話番号を所定のハッシュ関数により暗号化した暗号化通信カード電話番号115、接続先サーバである企業内サーバ6のURL(Uniform Resorce Locator)を所定の暗号関数により暗号化した暗号化接続先URL116、インターネットサービスプロバイダ(ISP)に接続するための接続情報(例えば、ISPへの電話番号等)を所定の暗号関数により暗号化した暗号化ISP接続情報117である。なお、これら暗号化通信カード電話番号115、暗号化接続先URL116、暗号化ISP接続情報117は、後述する初期設定処理によりサーバ接続情報記憶部113に記憶される情報であり、初期設定処理が実施される以前はサーバ接続情報記憶部113内に存在していない。
暗号化処理部114は、後述するように企業内サーバ6から送信された乱数を用いて所定の暗号処理を行う。
【0035】
また、通信カード2において、カード側I/F部201、通信処理部202、電話番号記憶部203は、実施の形態1で示したものと同じなので説明を省略する。
【0036】
図4は、企業内サーバ6の構成例を示す図である。
図4において、入力部601は、初期設定処理において、ログインを許可するユーザのユーザID、ログインを許可するユーザが用いるパスワード、ログインを許可するユーザが用いる通信カードの電話番号を入力する。
表示部602は、企業内サーバ6のオペレータに対して入力を促す画面や企業内サーバでの処理結果を示す画面等を表示する。
通信処理部603は、モバイル端末1が通信カード2を用いて送信したログイン要求を受信する。
【0037】
サーバログイン認証処理部604は、通信処理部603により受信されたログイン要求に対してログイン認証処理を行う。サーバログイン認証処理部604はログイン認証処理部に相当する。
ログイン認証ユーザデータベース605は、サーバログイン認証処理部604によるログイン認証処理に用いる認証情報を記憶しており、具体的には、入力部601により入力されたユーザID610、パスワード611、通信カード電話番号612である。なお、これらユーザID610、パスワード611、通信カード電話番号612は初期設定処理によりログイン認証ユーザデータベース605に記憶される情報であり、初期設定処理が実施される以前はログイン認証ユーザデータベース605内に存在していない。また、ログイン認証ユーザデータベース605は認証情報記憶部に相当する。
【0038】
ログイン認証IPアドレスデータベース606は、サーバログイン認証処理部604におけるログイン認証処理において例外的な扱いを認めるログイン要求を識別するための接続元IPアドレスを記憶している。ログイン認証IPアドレスデータベース606に記憶される接続元IPアドレスとしては、接続元プライベートIPアドレス613、接続元グローバルIPアドレス614がある。
ハッシュ演算部607は、モバイル端末1のハッシュ演算部106と同様のハッシュ演算を行なう。
乱数生成部608は、所定の場合に、乱数を生成させる。
暗号化処理部609は、乱数生成部608により生成された乱数を用いて所定の暗号化処理を行う。
【0039】
次に、図7を参照して、モバイル端末1における初期設定処理を説明する。
まず、ステップS701において、サーバ接続処理部112が端末側I/F部104に通信カード2がモバイル端末1に装着(接続)されているか否かを確認させる。そして、通信カード2が装着(接続)されていない場合(ステップS702でNO)は、ステップS703において、サーバ接続処理部112は表示部102に通信カードの装着を指示する画面を表示させ、ユーザに通信カードの装着を指示する。
通信カード2が装着されている場合(ステップS702でYES)は、ステップS704において、サーバ接続処理部112は表示部102にインターネットサービスプロバイダへの接続情報(ISP接続情報)と最終的に接続するサーバのURL(企業内サーバ6のURL)を初期設定するための画面を表示させ、ISP接続情報及びサーバのURLの入力を待つ。
入力部101によりISP接続情報及びサーバのURLが入力されると、ステップS705において、ブラウザ111がインターネット中継サーバ4に接続し、接続可能であることを確認し、また、サーバ接続処理部112は端末側I/F部104に通信カード2の電話番号を取得するよう指示し、端末側I/F部104は通信カード2のカード側I/F部201より通信カードの電話番号を取得する。電話番号の取得後は、サーバ接続処理部112はハッシュ演算部106にISP接続情報とサーバのURLについては可逆暗号化を指示し、通信カードの電話番号についてはハッシュ暗号を指示し、ハッシュ演算部106は所定の暗号関数を用いてこれら3つのデータの暗号化を行う。更に、ハッシュ演算部106による暗号化の後は、サーバ接続処理部112は暗号化されたISP接続情報、サーバのURL、通信カードの電話番号をサーバ接続情報記憶部113に記憶させ、それぞれ暗号化ISP接続情報117、暗号化接続先URL116、暗号化通信カード電話番号115とする。
【0040】
次に、図8を参照して、企業内サーバ6における初期化処理について説明する。
まず、ステップS801において、サーバログイン認証処理部604は表示部602にログインを許可するユーザのログインユーザIDとログインを許可するユーザが用いるパスワード、通信カードの電話番号(接続元電話番号)を設定するための画面を表示させ、ログインユーザID、パスワード、通信カードの電話番号の入力を待つ。
ログインユーザID、パスワード、通信カードの電話番号について企業内サーバ6のオペレータからの入力があった場合には、ステップS802において、サーバログイン認証処理部604は入力されたログインユーザID、パスワード、接続元電話番号をログイン認証ユーザデータベース605に記憶させ、それぞれユーザID610、パスワード611、通信カード電話番号612とする。
次に、ステップS803において、サーバログイン認証処理部604は、ユーザIDの追加登録があるか否かを問い合わせる画面を表示部602に表示させ、追加登録があるならばステップS801に戻り、ステップS801及びステップS802の処理を繰り返し、追加登録がない場合はステップS804に進む。
ステップS804では、サーバログイン認証処理部604は表示部602に接続元電話番号のチェックを必要としない接続元プライベートIPアドレス及び接続元グローバルIPアドレスを設定するための場面を表示させ、接続元プライベートIPアドレス及び接続元グローバルIPアドレスの入力を待つ。
接続元プライベートIPアドレス及び接続元グローバルIPアドレスについてオペレータから入力があった場合には、サーバログイン認証処理部604は入力のあった接続元プライベートIPアドレス及び接続元グローバルIPアドレスをログイン認証IPアドレスデータベース606に記憶させ、接続元プライベートIPアドレス613、接続元グローバルIPアドレス614とする。
【0041】
次に、図9及び図10を参照して、モバイル端末1及び企業内サーバ6におけるサーバ接続認証処理を説明する。
まず、ステップS901において、モバイル端末1側でサーバ接続処理部112を起動させる。
次に、ステップS902において、モバイル端末1のサーバ接続処理部112は端末側I/F部104に通信カード2がモバイル端末1に接続されているかどうかを確認させるとともに、通信カード2が接続されている場合は、通信カード2の電話番号を取得するよう指示し、端末側I/F部104は通信カード2のカード側I/F部201より通信カードの電話番号を取得する。電話番号の取得後は、サーバ接続処理部112はハッシュ演算部106に取得した通信カードの電話番号の暗号化を指示し、ハッシュ演算部106は初期設定処理で用いたハッシュ関数を用いて通信カードの電話番号の暗号化を行う。ハッシュ演算部106により暗号化がなされた後は、ハッシュ演算部106により暗号化された通信カード電話番号とサーバ接続情報記憶部113に記憶されている暗号化通信カード電話番号115とが一致するか否かを判断する。
両者が一致しない場合(ステップS903でNO)は、ステップS905に進み、サーバ接続処理部112は接続エラーを示す画面を表示部102に表示させる。
両者が一致する場合(ステップS903でYES)は、ステップS904に進み、サーバ接続処理部112は既にダイアルアップ接続をしているか否かを判断し、既にダイアルアップ接続を行なっている場合(ステップS904でYES)は、ステップS905において、表示部102に接続エラーを示す画面を表示させる。
ステップS904でNOの場合は、ステップS906において、サーバ接続処理部112はサーバ接続情報記憶部113に記憶されている暗号化ISP接続情報に従い、通信カード2を用いてインターネット中継サーバ4への接続を行い、接続が完了したら、サーバ接続情報記憶部113に記憶されている暗号化接続先URLを指定して、ブラウザ111を起動し、ブラウザ111は通信カード2を用いて企業内サーバ6に対して接続要求を送信する。
【0042】
次に、ステップS907において、企業内サーバ6では、通信処理部603がモバイル端末1のブラウザ111からの接続要求を受信し、サーバログイン認証処理部604が乱数生成部608に暗号化のための乱数を生成させ、乱数生成部608により生成された乱数を含むログイン認証画面のデータを通信処理部603からモバイル端末1に送信させる。なお、この際に、例えば、乱数をクッキーに埋め込むようにしてもよい。
そして、モバイル端末1側では通信カード2を介してサーバ接続処理部112がログイン認証画面のデータを受信し、ブラウザ111が表示部102にユーザID及びパスワードの入力を行うログイン認証画面を表示させる。
ユーザからユーザID及びパスワードが入力されると、ステップS908において、ステップS902でハッシュ演算部106により暗号化された通信カードの電話番号(暗号化識別情報)に対して暗号化処理部114が企業内サーバ6から送信されてきた乱数を用いて再暗号化を行い、サーバ接続処理部112は入力されたユーザID、パスワード及び暗号化処理部114により再暗号化された通信カードの電話番号(再暗号化識別情報)を示すログイン要求を生成し、生成したログイン要求を通信カードを用いて企業内サーバ6に対して送信する。
【0043】
次に、ステップS909において、企業内サーバ6では、通信処理部603がログイン要求を受信するとともに、サーバログイン認証処理部604がログイン要求を解析して、接続元のIPアドレスがログイン認証IPアドレスデータベース606に登録されている接続元プライベートIPアドレス613又は接続元グローバルIPアドレス614に一致するかどうかを判断する。
【0044】
接続元のIPアドレスがログイン認証IPアドレスデータベース606に登録されたIPアドレスでなければ(ステップS910でNO)、ステップS911に進み、サーバログイン認証処理部604はログイン要求に示されたユーザIDをキーとしてログイン認証ユーザデータベース605からパスワード、通信カード電話番号を抽出し、抽出した通信カード電話番号に対してモバイル端末1と同じ暗号化処理を行なう。即ち、ハッシュ演算部607が、モバイル端末1のハッシュ演算部106が図7のステップS705で用いたハッシュ関数と同じハッシュ関数を用いて、サーバログイン認証処理部604により抽出された通信カード電話番号の暗号化を行い、更に、暗号化処理部609が、乱数生成部608がステップS907で生成した乱数を用いて、ハッシュ演算部607により暗号化された通信カード電話番号の再暗号化を行う。なお、企業内サーバ6のハッシュ演算部607がモバイル端末1のハッシュ演算部106と同じハッシュ関数を用いるようにするため、例えば、図8のステップS801で示す画面にて企業内サーバ6のハッシュ演算部607が用いるべきハッシュ関数を入力するようにしてもよい。また、ハッシュ演算部106により暗号化された通信カード電話番号は認証用暗号化識別情報の例に相当し、暗号化処理部609により再暗号化された通信カード電話番号は認証用再暗号化識別情報の例に相当する。
また、ステップS911では、ハッシュ演算部607及び暗号化処理部609により暗号化及び再暗号化が行われた後に、サーバログイン認証処理部604がログイン要求に示されているパスワードとログイン認証ユーザデータベース605から抽出したパスワードが一致するかどうかを判断するとともに、ログイン要求に示されている再暗号化された通信カード電話番号と暗号化処理部609により再暗号化された通信カード電話番号とが一致するかどうかを判断する。
【0045】
また、ステップS910でYESの場合は、ステップS912に進み、サーバログイン認証処理部604はログイン要求に示されたユーザIDをキーとしてログイン認証ユーザデータベース605からパスワードを抽出し、ログイン要求に示されたパスワードと抽出したパスワードが一致するかどうかを判断する。
【0046】
ステップS911での判断の結果パスワード及び通信カード電話番号のいずれもが一致している場合又はステップS912での判断の結果パスワードが一致している場合(ステップS913でYES)は、ステップS914において、サーバログイン認証処理部604は通信処理部603を介してモバイル端末1に対して認証成功を示す画面データを送信し、ステップS911での判断の結果パスワード及び通信カード電話番号の少なくともいずれかが一致していない場合又はステップS912での判断の結果パスワードが一致していない場合(ステップS913でNO)は、ステップS915において、サーバログイン認証処理部604は通信処理部603を介してモバイル端末1に対して認証エラーを示す画面データを送信し、サーバ接続認証処理を終了する。
【0047】
このように、本実施の形態は、ノートパソコンやPDA等のモバイル端末からPHS(登録商標)等の通信カードを用いて、インターネットやIP−VPN網を利用して、企業内LANに接続する時のサーバへのログイン認証制御機能において、該当のモバイル端末に該当の通信カードを利用して、サーバへのログインURLに接続しユーザIDとパスワードを入力することにより、接続元の電話番号を毎回異なる暗号により暗号化された接続元電話番号とユーザIDとパスワードをサーバに送信し、サーバ側では接続許可されたユーザIDに対応した暗号化された電話番号とパスワードの確認をすることでログイン認証を行うことを特徴とする。
【0048】
なお、以上では、モバイル端末1と企業内サーバ6とがインターネット5を介して接続されている場合について説明したが、インターネットの代わりにIP−VPN網であってもよい。
【0049】
また、以上では、通信デバイスの例として通信カードを用いて説明したが、本実施の形態は、モバイル端末に携帯電話機を接続してサーバにアクセスする場合にも適用可能である。
【0050】
また、以上では、モバイル端末で通信カードの電話番号をハッシュ関数により暗号化し、サーバから送信された乱数により再暗号化を行い、サーバ側ではモバイル端末と同じ暗号処理を行なうこととしたが、モバイル端末で暗号化を行なわずに通信カードの電話番号そのものをサーバに通知し、サーバ側でも通信カードの電話番号そのものを用いてログイン認証を行なうようにしてもよい。
また、ハッシュ関数による暗号化、乱数による暗号化のいずれか一方のみを行なうようにしてもよい。
【0051】
また、以上ではPHS(登録商標)による電話番号をセキュリティキーとして利用した例を示したが、無線LANカードでは、MAC(Media Access Control)アドレスをセキュリティキーとして利用できる。
【0052】
以上のように、本実施の形態によれば、モバイル端末からインターネットを利用して企業内サーバにログインする際に、接続を許可された接続元電話番号を持つ通信カードで接続し、ユーザしか知り得ないユーザ名とパスワード情報の両方をチェックすることにより、認証のためだけの特別な装置を使用せずにモバイル端末からサーバへのログイン認証の安全性を強化し、操作性は、パスワード認証と同じで簡単な操作でログインすることができる。
【0053】
【発明の効果】
このように、本発明によれば、端末装置へのログイン認証処理において通信デバイスの識別情報を用いるため、認証のためだけの特別な装置を使用することなく、またパスワード認証と同様な簡単な操作により端末装置へのログイン認証の安全性を強化することができる。
また、本発明によれば、インターネット又はVPN網を介して接続された端末装置と情報処理装置との間のログイン認証処理において、情報処理装置は、端末装置が用いる通信デバイスの識別情報をインターネット又はVPN網を介して取得し、通信カードの識別情報を用いてログイン認証処理を行うため、認証のためだけの特別な装置を使用することなく、またパスワード認証と同様な簡単な操作により情報処理装置へのログイン認証の安全性を強化することができる。
【図面の簡単な説明】
【図1】実施の形態1に係るモバイル端末と通信カードの構成例を示す図。
【図2】実施の形態2に係る通信システムのシステム構成例を示す図。
【図3】実施の形態2に係るモバイル端末と通信カードの構成例を示す図。
【図4】実施の形態2に係る企業内サーバの構成例を示す図。
【図5】実施の形態1に係るモバイル端末における初期設定処理の内容を示す図。
【図6】実施の形態1に係るモバイル端末における端末ログイン認証処理の内容を示す図。
【図7】実施の形態2に係るモバイル端末における端末側初期設定処理の内容を示す図。
【図8】実施の形態2に係る企業内サーバにおけるサーバ側初期設定処理の内容を示す図。
【図9】実施の形態2に係るモバイル端末及び企業内サーバにおけるサーバ接続認証処理の内容を示す図。
【図10】実施の形態2に係るモバイル端末及び企業内サーバにおけるサーバ接続認証処理の内容を示す図。
【図11】従来の技術を示す図。
【符号の説明】
1 モバイル端末、2 通信カード、3 無線通信網、4 インターネット中継サーバ、5 インターネット、6 企業内サーバ、101 入力部、102 表示部、103 端末ログイン認証処理部、104 端末側インタフェース部、105 端末ログイン認証情報記憶部、106 ハッシュ演算部、107 秘密キー生成部、108 認証用暗号化ユーザID、109 認証用暗号化パスワード、110 認証用暗号化通信カード電話番号、111 ブラウザ、112 サーバ接続処理部、113 サーバ接続情報記憶部、114 暗号化処理部、115 暗号化通信カード電話番号、116 暗号化接続先URL、117 暗号化ISP接続情報、118 秘密キー、201 カード側インタフェース部、202 通信処理部、203 電話番号記憶部、204 秘密キー格納部、601 入力部、602 表示部、603 通信処理部、604 サーバログイン認証処理部、605 ログイン認証ユーザデータベース、606 ログイン認証IPアドレスデータベース、607 ハッシュ演算部、608 乱数生成部、609 暗号化処理部、610 ユーザID、611 パスワード、612 通信カード電話番号、613 接続元プライベートIPアドレス、614 接続元グローバルIPアドレス。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a login authentication process for a terminal device such as a mobile terminal.
[0002]
[Prior art]
Conventionally, login authentication processing in a mobile terminal or the like has been performed by a technique called two-step authentication. Two-factor authentication is a security process in which a user's identity is verified using two different factors, one that the user “owns” and information that only the user “knows”. By requesting two different forms of identification, businesses can reduce the risk of fraud. A simple example of two-factor authentication is an ATM cash card and personal identification number (PIN). There is no point in stealing one of your cash card and PIN. Only by obtaining the card and knowing the PIN, the identity is confirmed and the use is permitted. Two-step authentication does not rely only on information known to the user, but also performs authentication using tangible property, thereby achieving high security.
The second element is a physical device or a part of a user's body (such as a fingerprint). This device or body part is also called a token. Tokens are unique and cannot be easily duplicated. Normally, tokens can be instantly invalidated. That is, the function as the authentication device can be immediately invalidated.
As an example, Rainbow's iKey is a USB-portable portable token that performs two-step authentication with a user's own physical device "iKey" and a "PIN (Personal Identification Number)" that only the user knows. .
[0003]
Here, an operation of login authentication to a computer in the iKey device will be described.
FIG. 11 is a diagram illustrating a configuration example of a computer and an iKey device.
11,
The iKey
When the
The login authentication software 200 confirms that the iKey device is inserted into the USB, makes an operation request to the iKey device using the input password as the
When the
On the
As described above, the authentication is performed by the two-step authentication of the physical iKey and the information that only the user can know.
[0004]
Such two-step authentication has the following advantages.
It can deal with problems that occur in the case of one-step authentication, such as recording of key operation, network monitoring, password cracking, and misuse by IT department employees.
Further, since it cannot be denied that the user has executed all operations after the user authentication succeeds, it is clear that the user has performed the processing.
Also, the risk of fraud or unauthorized access to corporate data is reduced.
It is also easy for end users to use.
It also provides a durable, long-term security solution.
Furthermore, management is easy.
[0005]
As for an authentication system using a telephone number, as shown in Japanese Patent Application Laid-Open No. 2002-229952, the originating telephone of the connection source is notified by a source telephone number notification service provided by a communication company on the connected server side. Some of them authenticate by obtaining a number. However, when the connection is made via the Internet, the caller of the connection source can be obtained by the caller's telephone number notification service provided by the telecommunications carrier up to the Internet connection service provider. When this is done, it is not inherited, so that the finally connected server cannot obtain the source telephone number from the communication network.
Japanese Patent Application Laid-Open No. 2000-209284 discloses a login authentication method using a telephone number in connection via the Internet, but here, in an environment where a computer device to be authenticated connects to the Internet through a telephone exchange. There is a need for an environment in which a telephone number of a connection source is obtained from a telephone exchange. In a mobile environment, there is no connection through an in-house telephone exchange. There is a need for authentication that is safer, less expensive, and does not impair operability even in a mobile environment between a terminal that connects to a server through the Internet and the server.
[0006]
[Patent Document 1]
JP-A-2002-229552
[Patent Document 2]
JP 2000-209284 A
[0007]
[Problems to be solved by the invention]
In conventional two-step authentication, a special device (iKey device, fingerprint authentication device, IC card reader, etc.) that is not used except at the time of authentication is used, so that the cost of the authentication device is increased. In addition, a portable terminal such as a PDA (Personal Digital Assistants) does not have a special device connection interface or carries a special device, and performs authentication by attaching a special device only at the time of login authentication. There was a problem of inconvenience.
[0008]
In addition, using a connection source telephone number notification service of a communication company as disclosed in JP-A-2002-229954 and JP-A-2000-209284, the connection source telephone number is confirmed on the server side to authenticate the connection source. The method has a problem in that when connecting via the Internet, there is no service for notifying the telephone number of the connection source from the communication company, and authentication by confirming the connection source telephone number cannot be used.
[0009]
SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems. Login authentication to a terminal device such as a mobile terminal and connection from a terminal device such as a mobile terminal to a predetermined server (for example, a server in a company) are performed. An object of the present invention is to realize a login authentication process which is safer than authentication using only a user name and a password, and is inexpensive and highly convenient, without using a special device used only for authentication in the occasion of login authentication.
[0010]
[Means for Solving the Problems]
The terminal device according to the present invention,
A terminal device capable of connecting to a communication device in which identification information is set, and performing a login authentication process in response to a login request from a user,
An authentication information storage unit that stores specific identification information as identification information of a communication device used by a user who is permitted to log in,
An input unit for inputting a login request from a user,
When the input unit inputs a login request from a user, it is determined whether a communication device is connected to the terminal device.If any communication device is connected to the terminal device, the An identification information acquisition unit that acquires identification information of the connected communication device from the connected communication device that is connected,
A login authentication processing unit that performs a login authentication process in response to a login request from a user based on the identification information of the connected communication device acquired by the identification information acquisition unit and the identification information stored in the authentication information storage unit. It is characterized by having.
[0011]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 is a diagram illustrating a configuration example of a mobile terminal 1 (terminal device) and a communication card 2 (communication device) according to the first embodiment.
The
[0012]
In the
The
[0013]
The terminal login
A terminal-side interface unit 104 (hereinafter, referred to as a terminal-side I / F unit) determines whether a communication card is connected to the
[0014]
The terminal login authentication
[0015]
The
The secret
[0016]
Further, in the
The
The telephone
The secret
[0017]
Next, an initialization process in the
First, in step S501, the terminal login
If the
[0018]
When the login user ID and the password are input by the
After obtaining the telephone number, the terminal login
Further, after the encryption by the
[0019]
Next, in step S506, the terminal login
[0020]
Next, a terminal login authentication process in the
First, in step S601, when the power of the
Next, when the user inputs a login user ID and a password as a login request, in step S602, the terminal login
[0021]
If the
Then, the terminal login
Thereafter, the terminal login
[0022]
If the result of the comparison is that they do not match (NO in step S606), the flow advances to step S604 to display a login error.
If YES in step S606, in step S607, terminal login
[0023]
If the secret key is stored in communication card 2 (YES in step S607), terminal-side I /
If the two secret keys match (YES in step S608), terminal login
As described above, when a new secret key is set, login is normally completed (user login is permitted).
[0024]
As described above, in the present embodiment, in the login authentication control function for a mobile terminal such as a notebook personal computer or a PDA, the telephone number of a communication card such as a PHS (registered trademark) communication card is used as a security key and the corresponding mobile phone is used. Login authentication using a user name and a password is performed in a state where the corresponding communication card is inserted in the terminal.
[0025]
Although a communication card has been described above as an example of a communication device, a mobile phone may be connected as a communication device to a mobile terminal, and the mobile terminal may read out the telephone number of the mobile phone and perform login authentication. Good.
[0026]
In the above description, login authentication is performed using a login user ID, a password, and a telephone number of a communication card. However, if only one user uses a mobile terminal, the login user can be identified. Login authentication using only the telephone number of the communication card is possible without using an ID and a password.
[0027]
In the above, the case where the login user ID, the password, and the telephone number of the communication card are encrypted by the hash function has been described. However, encryption other than the encryption by the hash function may be performed, or the encryption may be performed. Instead, the login user ID, the password, and the telephone number of the communication card may be compared.
[0028]
In the above description, the secret key generation unit is provided, and the secret key is set on the communication card when the communication card can write data. However, the secret key generation unit may not be provided, and There is no need to set a secret key. Further, the secret key storage section may not be provided on the communication card side.
[0029]
Also, while an example has been described above in which a telephone number based on PHS (registered trademark) is used as a security key, a wireless LAN card can use a MAC (Media Access Control) address as a security key.
[0030]
As described above, according to the present embodiment, when logging in to a mobile terminal, by checking both the corresponding communication card and both the user name and the password information that can be known only by the user, a special password only for authentication is obtained. The security of login authentication to the mobile terminal is strengthened without using a simple device, and the operability is the same as that of password authentication, and the user can log in with a simple operation.
[0031]
The first embodiment described above relates to authentication at the time of logging in to a mobile terminal. Next, a predetermined server (for example, an Internet, an IP-VPN (Virtual Private Network)) or the like is used from the mobile terminal. , A server in a company) will be described.
[0032]
FIG. 2 is a diagram illustrating a configuration example of a communication system according to the present embodiment.
In the figure, a
Note that the
[0033]
FIG. 3 is a diagram illustrating a configuration example of the
In the
[0034]
The
The server
The server connection
The
[0035]
In the
[0036]
FIG. 4 is a diagram illustrating a configuration example of the in-
In FIG. 4, an input unit 601 inputs a user ID of a user permitted to log in, a password used by a user permitted to log in, and a telephone number of a communication card used by a user permitted to log in an initial setting process.
The
The
[0037]
The server login
The login
[0038]
The login authentication
The
The random
The
[0039]
Next, an initialization process in the
First, in step S701, the server
If the
When the ISP connection information and the URL of the server are input by the
[0040]
Next, an initialization process in the in-
First, in step S801, the server login
If there is an input from the operator of the in-
Next, in step S803, the server login
In step S804, the server login
When the operator inputs the connection source private IP address and the connection source global IP address from the operator, the server login
[0041]
Next, a server connection authentication process in the
First, in step S901, the server
Next, in step S902, the server
If the two do not match (NO in step S903), the process proceeds to step S905, and the server
If the two match (YES in step S903), the process proceeds to step S904, in which the server
If NO in step S904, in step S906, the server
[0042]
Next, in step S907, in the
Then, on the
When the user inputs the user ID and the password from the user, in step S908, the
[0043]
Next, in step S909, in the in-
[0044]
If the connection source IP address is not an IP address registered in the login authentication IP address database 606 (NO in step S910), the process proceeds to step S911, and the server login
In step S 911, after encryption and re-encryption are performed by the
[0045]
Also, in the case of YES in step S910, the process proceeds to step S912, in which the server login
[0046]
If both the password and the communication card telephone number match as a result of the determination in step S911, or if the passwords match as a result of the determination in step S912 (YES in step S913), the server proceeds to step S914. The login
[0047]
As described above, the present embodiment is applicable when a mobile terminal such as a notebook personal computer or a PDA uses a communication card such as a PHS (registered trademark) to connect to a corporate LAN using the Internet or an IP-VPN network. In the login authentication control function for the server, the connection source telephone number is changed every time by connecting to the server login URL and inputting the user ID and the password using the corresponding communication card for the corresponding mobile terminal. The server transmits the connection source telephone number, user ID, and password encrypted by the encryption to the server, and the server confirms the encrypted telephone number and password corresponding to the user ID permitted for connection, thereby performing login authentication. It is characterized by performing.
[0048]
In the above, the case where the
[0049]
In the above description, a communication card is used as an example of a communication device. However, the present embodiment is also applicable to a case where a mobile phone is connected to a mobile terminal to access a server.
[0050]
In the above description, the mobile terminal encrypts the telephone number of the communication card using a hash function, performs re-encryption using a random number transmitted from the server, and performs the same encryption processing as the mobile terminal on the server side. The terminal may notify the server of the telephone number of the communication card itself without performing encryption, and the server may perform login authentication using the telephone number of the communication card itself.
Further, only one of encryption using a hash function and encryption using a random number may be performed.
[0051]
Also, while an example has been described above in which a telephone number based on PHS (registered trademark) is used as a security key, a wireless LAN card can use a MAC (Media Access Control) address as a security key.
[0052]
As described above, according to the present embodiment, when logging in to an in-house server from a mobile terminal using the Internet, a connection is made with a communication card having a connection source telephone number for which connection is permitted, and only a user can know. By checking both the username and password information that cannot be obtained, the security of login authentication from the mobile terminal to the server is strengthened without using a special device only for authentication. You can log in with the same simple operation.
[0053]
【The invention's effect】
As described above, according to the present invention, since the identification information of the communication device is used in the login authentication process for the terminal device, a simple operation similar to the password authentication can be performed without using a special device only for the authentication. Thereby, the security of login authentication to the terminal device can be enhanced.
Further, according to the present invention, in the login authentication process between a terminal device connected via the Internet or a VPN network and the information processing device, the information processing device transmits identification information of a communication device used by the terminal device to the Internet or the Internet. Since it is obtained through the VPN network and performs login authentication processing using the identification information of the communication card, the information processing apparatus can be operated by a simple operation similar to password authentication without using a special device only for authentication. The security of login authentication to can be enhanced.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration example of a mobile terminal and a communication card according to a first embodiment.
FIG. 2 is a diagram showing a system configuration example of a communication system according to a second embodiment.
FIG. 3 is a diagram showing a configuration example of a mobile terminal and a communication card according to a second embodiment.
FIG. 4 is a diagram showing a configuration example of an in-company server according to a second embodiment;
FIG. 5 is a diagram showing contents of an initial setting process in the mobile terminal according to the first embodiment.
FIG. 6 is a diagram showing contents of a terminal login authentication process in the mobile terminal according to the first embodiment.
FIG. 7 is a diagram showing contents of terminal-side initialization processing in the mobile terminal according to the second embodiment.
FIG. 8 is a diagram showing the contents of server-side initialization processing in an in-company server according to the second embodiment.
FIG. 9 is a diagram showing contents of a server connection authentication process in a mobile terminal and a company server according to the second embodiment.
FIG. 10 is a diagram showing contents of a server connection authentication process in a mobile terminal and a company server according to the second embodiment.
FIG. 11 is a diagram showing a conventional technique.
[Explanation of symbols]
1 mobile terminal, 2 communication card, 3 wireless communication network, 4 internet relay server, 5 internet, 6 company server, 101 input unit, 102 display unit, 103 terminal login authentication processing unit, 104 terminal side interface unit, 105 terminal login Authentication information storage unit, 106 hash calculation unit, 107 secret key generation unit, 108 encrypted user ID for authentication, 109 encrypted password for authentication, 110 encrypted communication card phone number for authentication, 111 browser, 112 server connection processing unit, 113 server connection information storage unit, 114 encryption processing unit, 115 encrypted communication card telephone number, 116 encrypted connection destination URL, 117 encrypted ISP connection information, 118 secret key, 201 card side interface unit, 202 communication processing unit, 203 Phone number storage, 204 Private key case Storage unit, 601 input unit, 602 display unit, 603 communication processing unit, 604 server login authentication processing unit, 605 login authentication user database, 606 login authentication IP address database, 607 hash calculation unit, 608 random number generation unit, 609 encryption processing Part, 610 user ID, 611 password, 612 communication card telephone number, 613 connection source private IP address, 614 connection source global IP address.
Claims (18)
ユーザからログイン要求を入力する入力部と、
前記入力部がユーザからのログイン要求を入力した際に、端末装置に通信デバイスが接続しているか否かを判断し、いずれかの通信デバイスが端末装置に接続している場合に、端末装置に接続している接続通信デバイスから接続通信デバイスの識別情報を取得する識別情報取得部と、
前記識別情報取得部により取得された接続通信デバイスの識別情報と前記認証情報記憶部に記憶された識別情報とに基づき、ユーザからのログイン要求に対してログイン認証処理を行うログイン認証処理部とを有することを特徴とする端末装置。A terminal device that can be connected to a communication device for which identification information is set and performs login authentication processing in response to a login request from a user, and is specified as identification information of a communication device used by a user who is permitted to log in. An authentication information storage unit for storing identification information of
An input unit for inputting a login request from a user,
When the input unit inputs a login request from a user, it is determined whether a communication device is connected to the terminal device.If any communication device is connected to the terminal device, the An identification information acquisition unit that acquires identification information of the connected communication device from the connected communication device that is connected,
A login authentication processing unit that performs a login authentication process in response to a login request from a user based on the identification information of the connected communication device acquired by the identification information acquisition unit and the identification information stored in the authentication information storage unit. A terminal device comprising:
ログインが許可されるユーザのユーザIDを記憶するとともに、当該ユーザIDに対応づけて特定の識別情報を記憶し、
前記入力部は、
ユーザから、ユーザIDが示されたログイン要求を入力し、
前記ログイン認証処理部は、
ユーザからのログイン要求に示されたユーザID及び前記識別情報取得部により取得された接続通信デバイスの識別情報と前記認証情報記憶部に記憶されたユーザID及び識別情報とに基づき、ユーザからのログイン要求に対してログイン認証処理を行うことを特徴とする請求項1に記載の端末装置。The authentication information storage unit,
In addition to storing a user ID of a user who is permitted to log in, specific identification information is stored in association with the user ID,
The input unit includes:
Enter a login request indicating the user ID from the user,
The login authentication processing unit,
Login from the user based on the user ID indicated in the login request from the user and the identification information of the connected communication device acquired by the identification information acquisition unit and the user ID and identification information stored in the authentication information storage unit. The terminal device according to claim 1, wherein a login authentication process is performed for the request.
特定のハッシュ関数を用いて、ログインが許可されるユーザのユーザID及び当該ユーザIDに対応づけられる特定の識別情報の暗号化を行ない、ログインが許可されるユーザのユーザIDを認証用暗号化ユーザIDとし、前記特定の識別情報を認証用暗号化識別情報とするハッシュ演算部を有し、
前記認証情報記憶部は、
認証用暗号化ユーザIDを記憶するとともに、認証用暗号化ユーザIDに対応づけて認証用暗号化識別情報を記憶し、
前記ハッシュ演算部は、
前記入力部によりユーザからのログイン要求が入力され前記識別情報取得部により接続通信デバイスの識別情報が取得された後に、認証用暗号化ユーザID及び認証用暗号化識別情報の暗号化に用いた特定のハッシュ関数を用いて、ユーザからのログイン要求に示されたユーザID及び前記識別情報取得部により取得された接続通信デバイスの識別情報の暗号化を行い、ユーザからのログイン要求に示されたユーザIDを暗号化ユーザIDとし、接続通信デバイスの識別情報を暗号化識別情報とし、
前記ログイン認証処理部は、
前記ハッシュ演算部により暗号化された暗号化ユーザID及び暗号化識別情報と前記認証情報記憶部に記憶された認証用暗号化ユーザID及び認証用暗号化識別情報とを比較して、ユーザからのログイン要求に対してログイン認証処理を行うことを特徴とする請求項2に記載の端末装置。The terminal device further includes:
By using a specific hash function, the user ID of the user permitted to log in and the specific identification information associated with the user ID are encrypted, and the user ID of the user permitted to log in is encrypted by the authentication user. An ID, and having a hash calculation unit that uses the specific identification information as encrypted identification information for authentication;
The authentication information storage unit,
Storing the encrypted user ID for authentication and storing the encrypted identification information for authentication in association with the encrypted user ID for authentication;
The hash operation unit includes:
After the login request is input from the user by the input unit and the identification information of the connected communication device is acquired by the identification information acquisition unit, the identification used for encrypting the encrypted user ID for authentication and the encrypted identification information for authentication is performed. Encrypts the user ID indicated in the login request from the user and the identification information of the connected communication device acquired by the identification information acquisition unit, and uses the hash function of the user indicated in the login request from the user. ID is an encrypted user ID, identification information of the connected communication device is encrypted identification information,
The login authentication processing unit,
The encrypted user ID and the encrypted identification information encrypted by the hash calculation unit are compared with the encrypted user ID and the encrypted identification information for authentication stored in the authentication information storage unit. The terminal device according to claim 2, wherein a login authentication process is performed in response to a login request.
認証用暗号化ユーザID及び認証用暗号化識別情報の暗号化に用いる特定のハッシュ関数を用いて、ログインが許可されるユーザが用いるパスワードを暗号化して認証用暗号化パスワードとし、
前記認証情報記憶部は、
認証用暗号化ユーザIDを記憶するとともに、認証用暗号化ユーザIDに対応づけて認証用暗号化パスワードと認証用暗号化識別情報とを記憶し、
前記入力部は、
ユーザから、ユーザID及びパスワードが示されたログイン要求を入力し、
前記ハッシュ演算部は、
前記入力部によりユーザからのログイン要求が入力され前記識別情報取得部により接続通信デバイスの識別情報が取得された後に、認証用暗号化ユーザID、認証用暗号化パスワード及び認証用暗号化識別情報の暗号化に用いた特定のハッシュ関数を用いて、ユーザからのログイン要求に示されたユーザID、パスワード及び前記識別情報取得部により取得された接続通信デバイスの識別情報の暗号化を行い、ユーザからのログイン要求に示されたユーザIDを暗号化ユーザIDとし、ユーザからのログイン要求に示されたパスワードを暗号化パスワードとし、接続通信デバイスの識別情報を暗号化識別情報とし、
前記ログイン認証処理部は、
前記ハッシュ演算部により暗号化された暗号化ユーザID、暗号化パスワード及び暗号化識別情報と前記認証情報記憶部に記憶された認証用暗号化ユーザID、認証用暗号化パスワード及び認証用暗号化識別情報とを比較して、ユーザからのログイン要求に対してログイン認証処理を行うことを特徴とする請求項3に記載の端末装置。The hash operation unit includes:
Using a specific hash function used for encrypting the encrypted user ID for authentication and the encrypted identification information for authentication, encrypts a password used by a user who is permitted to log in as an encrypted password for authentication,
The authentication information storage unit,
Storing the encrypted user ID for authentication and storing the encrypted password for authentication and the encrypted identification information for authentication in association with the encrypted user ID for authentication;
The input unit includes:
A user inputs a login request indicating a user ID and a password,
The hash operation unit includes:
After the login request from the user is inputted by the input unit and the identification information of the connected communication device is acquired by the identification information acquisition unit, the authentication encrypted user ID, the authentication encryption password and the authentication encryption identification information are Using the specific hash function used for the encryption, the user ID, the password indicated in the login request from the user and the identification information of the connected communication device acquired by the identification information acquisition unit are encrypted, and the user The user ID indicated in the login request is an encrypted user ID, the password indicated in the login request from the user is the encrypted password, the identification information of the connected communication device is the encrypted identification information,
The login authentication processing unit,
The encrypted user ID, the encrypted password, and the encrypted identification information encrypted by the hash calculation unit, and the encrypted user ID, the encrypted password, and the encrypted identification stored in the authentication information storage unit. 4. The terminal device according to claim 3, wherein a login authentication process is performed in response to a login request from a user by comparing the information with information.
前記ログイン認証処理部によりログイン認証処理が行われる度に秘密キーを生成する秘密キー生成部を有し、
前記認証情報記憶部は、
前記秘密キー生成部により秘密キーが生成される度に、生成された秘密キーを認証用暗号化ユーザIDと認証用暗号化識別情報とに対応づけて記憶し、
前記ログイン認証処理部は、
ログイン認証処理を行なう度に、ログイン認証処理の際に端末装置に接続されている通信デバイスに前記秘密キー生成部により生成された秘密キーを設定し、
前記識別情報取得部は、
前記ログイン認証処理部により通信デバイスに秘密キーが設定された後に前記入力部がユーザからのログイン要求を入力した際に、端末装置に接続している接続通信デバイスから接続通信デバイスの識別情報と接続通信デバイスに設定されている秘密キーを取得し、
前記ログイン認証処理部は、
前記ハッシュ演算部によりユーザID及び識別情報の暗号化が行われた後に、暗号化ユーザID及び暗号化識別情報と前記認証情報記憶部に記憶された認証用暗号化ユーザID及び認証用暗号化識別情報とを比較するとともに、前記識別情報取得部により取得された秘密キーと前記認証情報記憶部に記憶された秘密キーとを比較して、ユーザからのログイン要求に対してログイン認証処理を行うことを特徴とする請求項3に記載の端末装置。The terminal device further includes:
A secret key generation unit that generates a secret key each time login authentication processing is performed by the login authentication processing unit,
The authentication information storage unit,
Each time a secret key is generated by the secret key generation unit, the generated secret key is stored in association with the encrypted user ID for authentication and the encrypted identification information for authentication.
The login authentication processing unit,
Each time a login authentication process is performed, a secret key generated by the secret key generation unit is set in a communication device connected to the terminal device during the login authentication process,
The identification information acquisition unit,
When the input unit inputs a login request from a user after the secret key is set in the communication device by the login authentication processing unit, the connection communication device connected to the terminal device and the identification information of the connection communication device are connected. Obtain the secret key set on the communication device,
The login authentication processing unit,
After encrypting the user ID and the identification information by the hash calculation unit, the encrypted user ID and the encrypted identification information, and the authentication user ID and the authentication encryption identification stored in the authentication information storage unit. Comparing the secret key acquired by the identification information acquisition unit with the secret key stored in the authentication information storage unit, and performing a login authentication process in response to a login request from a user. The terminal device according to claim 3, wherein:
前記認証情報記憶部は、
ログインが許可されるユーザが用いる通信デバイスの識別情報として特定の電話番号又はMAC(Media Access Control)アドレスを記憶し、
前記識別情報取得部は、
前記入力部がユーザからのログイン要求を入力した際に、端末装置に通信デバイスが接続しているか否かを判断し、いずれかの通信デバイスが端末装置に接続している場合に、端末装置に接続している接続通信デバイスから接続通信デバイスの電話番号又はMAC(Media Access Control)アドレスを取得し、
前記ログイン認証処理部は、
前記識別情報取得部により取得された接続通信デバイスの電話番号又はMAC(Media Access Control)アドレスと前記認証情報記憶部に記憶された電話番号又はMAC(Media Access Control)アドレスとに基づき、ユーザからのログイン要求に対してログイン認証処理を行うことを特徴とする請求項1に記載の端末装置。The terminal device can be connected to a communication device in which a telephone number or a MAC (Media Access Control) address is set as identification information,
The authentication information storage unit,
A specific telephone number or a MAC (Media Access Control) address is stored as identification information of a communication device used by a user who is permitted to log in,
The identification information acquisition unit,
When the input unit inputs a login request from a user, it is determined whether a communication device is connected to the terminal device.If any communication device is connected to the terminal device, the Acquires the telephone number or MAC (Media Access Control) address of the connected communication device from the connected communication device,
The login authentication processing unit,
Based on the telephone number or MAC (Media Access Control) address of the connected communication device obtained by the identification information obtaining unit and the telephone number or MAC (Media Access Control) address stored in the authentication information storage unit. The terminal device according to claim 1, wherein a login authentication process is performed in response to a login request.
ユーザからユーザIDを入力する入力部と、
ログイン要求の送信に用いる通信デバイスから、当該通信デバイスの識別情報を取得する識別情報取得部と、
前記入力部により入力されたユーザIDと前記識別情報取得部により取得された通信デバイスの識別情報とを示すログイン要求を生成するとともに、生成したログイン要求を通信デバイスを用いて前記情報処理装置に送信するログイン要求生成部とを有することを特徴とする端末装置。A terminal device that transmits a login request to a predetermined information processing device to the information processing device via at least one of the Internet and a virtual private network (VPN) using a predetermined communication device in which identification information is set,
An input unit for inputting a user ID from a user,
From a communication device used for transmitting a login request, an identification information acquisition unit that acquires identification information of the communication device,
A login request indicating the user ID input by the input unit and the identification information of the communication device acquired by the identification information acquisition unit is generated, and the generated login request is transmitted to the information processing apparatus using the communication device. A terminal device comprising:
特定のハッシュ関数を用いて、前記識別情報取得部により取得された通信デバイスの識別情報の暗号化を行うハッシュ演算部を有し、
前記ログイン要求生成部は、
前記入力部により入力されたユーザIDと前記ハッシュ演算部により暗号化された暗号化識別情報とを示すログイン要求を生成することを特徴とする請求項7に記載の端末装置。The information processing device further includes:
Using a specific hash function, having a hash operation unit for encrypting the identification information of the communication device acquired by the identification information acquisition unit,
The login request generation unit,
The terminal device according to claim 7, wherein the terminal device generates a login request indicating the user ID input by the input unit and the encrypted identification information encrypted by the hash calculation unit.
乱数を用いて所定の暗号化処理を行なう暗号化処理部を有し、
ログイン要求生成部は、
ログイン要求の生成に先立ち、通信デバイスを用いて、前記情報処理装置から所定の乱数を受信し、
前記暗号化処理部は、
前記ログイン要求生成部が受信した乱数を用いて、前記識別情報取得部により取得された通信デバイスの識別情報の暗号化を行い、
前記ログイン要求生成部は、
前記入力部により入力されたユーザIDと前記暗号化処理部により暗号化された暗号化識別情報とを示すログイン要求を生成することを特徴とする請求項7に記載の端末装置。The information processing device further includes:
An encryption processing unit that performs a predetermined encryption process using a random number,
The login request generation unit,
Prior to generating a login request, using a communication device, receiving a predetermined random number from the information processing apparatus,
The encryption processing unit,
Using the random number received by the login request generation unit, performs encryption of the identification information of the communication device acquired by the identification information acquisition unit,
The login request generation unit,
8. The terminal device according to claim 7, wherein a login request indicating a user ID input by the input unit and encrypted identification information encrypted by the encryption processing unit is generated.
乱数を用いて所定の暗号化処理を行なう暗号化処理部を有し、
ログイン要求生成部は、
ログイン要求の生成に先立ち、通信デバイスを用いて、前記情報処理装置から所定の乱数を受信し、
前記暗号化処理部は、
前記ログイン要求生成部が受信した乱数を用いて、前記ハッシュ演算部により暗号化された暗号化識別情報の再暗号化を行い、
前記ログイン要求生成部は、
前記入力部により入力されたユーザIDと前記暗号化処理部により再暗号化された再暗号化識別情報とを示すログイン要求を生成することを特徴とする請求項8に記載の端末装置。The information processing device further includes:
An encryption processing unit that performs a predetermined encryption process using a random number,
The login request generation unit,
Prior to generating a login request, using a communication device, receiving a predetermined random number from the information processing apparatus,
The encryption processing unit,
Using the random number received by the login request generation unit, re-encrypt the encrypted identification information encrypted by the hash operation unit,
The login request generation unit,
9. The terminal device according to claim 8, wherein a login request indicating a user ID input by the input unit and re-encryption identification information re-encrypted by the encryption processing unit is generated.
ユーザからユーザID及びパスワードを入力し、
前記ログイン要求生成部は、
前記入力部により入力されたユーザID、パスワード及び前記暗号化処理部により再暗号化された再暗号化識別情報を示すログイン要求を生成することを特徴とする請求項10に記載の端末装置。The input unit includes:
Enter the user ID and password from the user,
The login request generation unit,
The terminal device according to claim 10, wherein the terminal device generates a login request indicating a user ID and a password input by the input unit and re-encryption identification information re-encrypted by the encryption processing unit.
前記識別情報取得部は、
ログイン要求の送信に用いる通信デバイスから、当該通信デバイスの識別情報として当該通信デバイスの電話番号又はMAC(Media Access Control)アドレスを取得し、
前記ログイン要求生成部は、
前記入力部により入力されたユーザIDと前記識別情報取得部により取得された通信デバイスの電話番号又はMAC(Media Access Control)アドレスとを示すログイン要求を生成することを特徴とする請求項7に記載の端末装置。The terminal device can transmit a login request to the information processing device using a communication device in which a telephone number or a MAC (Media Access Control) address is set as identification information,
The identification information acquisition unit,
From the communication device used to transmit the login request, obtain a telephone number or a MAC (Media Access Control) address of the communication device as identification information of the communication device,
The login request generation unit,
8. A login request indicating a user ID input by the input unit and a telephone number or a MAC (Media Access Control) address of a communication device acquired by the identification information acquisition unit is generated. Terminal device.
ログインが許可されるユーザのユーザIDを記憶するとともに、ログインが許可されるユーザが用いる通信デバイスの識別情報として特定の識別情報を当該ユーザIDに対応づけて記憶する認証情報記憶部と、
インターネット及びVPN網の少なくともいずれかを介して、特定の端末装置から、ユーザIDと当該端末装置が用いている通信デバイスの識別情報とが示されたログイン要求を受信する通信処理部と、
前記特定の端末装置からのログイン要求に示されたユーザID及び識別情報と前記認証情報記憶部に記憶されているユーザID及び識別情報とに基づき、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うログイン認証処理部とを有することを特徴とする情報処理装置。It is possible to communicate with one or more terminal devices that perform communication using a communication device in which identification information is set, via at least one of the Internet and a virtual private network (VPN) network. An information processing device that performs a login authentication process for
An authentication information storage unit that stores a user ID of a user permitted to log in and stores specific identification information as identification information of a communication device used by the user permitted to log in association with the user ID;
A communication processing unit that receives a login request indicating a user ID and identification information of a communication device used by the terminal device from a specific terminal device via at least one of the Internet and a VPN network;
Based on the user ID and identification information indicated in the login request from the specific terminal device and the user ID and identification information stored in the authentication information storage unit, a login request from the specific terminal device An information processing apparatus comprising: a login authentication processing unit that performs a login authentication process.
所定のハッシュ関数を用いてハッシュ演算を行うハッシュ演算部を有し、
前記通信処理部は、
インターネット及びVPN網の少なくともいずれかを介して、特定の端末装置から、ユーザIDと当該端末装置が用いている通信デバイスの識別情報を特定のハッシュ関数で暗号化して得られた暗号化識別情報とが示されたログイン要求を受信し、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求が受信された際に、前記認証情報記憶部に記憶されている識別情報の中から前記特定の端末装置からのログイン要求に示されたユーザIDに対応する識別情報を抽出し、
前記ハッシュ演算部は、
前記特定の端末装置が通信デバイスの識別情報の暗号化に用いた特定のハッシュ関数と同一のハッシュ関数を用いて、前記ログイン認証処理部により抽出された識別情報の暗号化を行い、前記ログイン認証処理部により抽出された識別情報を認証用暗号化識別情報とし、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求に示された暗号化識別情報と前記ハッシュ演算部により暗号化された認証用暗号化識別情報とを比較して、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うことを特徴とする請求項13に記載の情報処理装置。The information processing device further includes:
A hash operation unit that performs a hash operation using a predetermined hash function,
The communication processing unit,
From at least one of the Internet and a VPN network, from a specific terminal device, a user ID and encrypted identification information obtained by encrypting identification information of a communication device used by the terminal device with a specific hash function, and Receives the indicated login request,
The login authentication processing unit,
When the login request from the specific terminal device is received, the identification information corresponding to the user ID indicated in the login request from the specific terminal device is selected from the identification information stored in the authentication information storage unit. Extract information,
The hash operation unit includes:
The specific terminal device encrypts the identification information extracted by the login authentication processing unit using the same hash function as the specific hash function used for encrypting the identification information of the communication device, and performs the login authentication. The identification information extracted by the processing unit is used as the encrypted identification information for authentication,
The login authentication processing unit,
Comparing the encrypted identification information indicated in the login request from the specific terminal device with the encryption identification information for authentication encrypted by the hash calculation unit, The information processing apparatus according to claim 13, wherein a login authentication process is performed by performing a login authentication process.
乱数を生成する乱数生成部と、
前記乱数生成部により生成された乱数を用いて所定の暗号化処理を行なう暗号化処理部とを有し、
前記通信処理部は、
前記特定の端末装置からログイン要求を受信する前に、前記乱数生成部により生成された乱数を前記特定の端末装置に対して送信するとともに、前記特定の端末装置から、インターネット及びVPN網の少なくともいずれかを介して、ユーザIDと当該端末装置が用いている通信デバイスの識別情報を前記乱数で暗号化して得られた暗号化識別情報とが示されたログイン要求を受信し、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求が受信された際に、前記認証情報記憶部に記憶されている識別情報の中から前記特定の端末装置からのログイン要求に示されたユーザIDに対応する識別情報を抽出し、
前記暗号化処理部は、
前記特定の端末装置が通信デバイスの識別情報の暗号化に用いた乱数と同一の乱数を用いて、前記ログイン認証処理部により抽出された識別情報の暗号化を行い、前記ログイン認証処理部により抽出された識別情報を認証用暗号化識別情報とし、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求に示された暗号化識別情報と前記暗号化処理部により暗号化された認証用暗号化識別情報とを比較して、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うことを特徴とする請求項13に記載の情報処理装置。The information processing device further includes:
A random number generator for generating a random number;
An encryption processing unit that performs a predetermined encryption process using the random number generated by the random number generation unit,
The communication processing unit,
Before receiving the login request from the specific terminal device, the random number generated by the random number generation unit is transmitted to the specific terminal device, and at least one of the Internet and a VPN network is transmitted from the specific terminal device. Through the or, received a login request indicating the user ID and the encrypted identification information obtained by encrypting the identification information of the communication device used by the terminal device with the random number,
The login authentication processing unit,
When the login request from the specific terminal device is received, the identification information corresponding to the user ID indicated in the login request from the specific terminal device is selected from the identification information stored in the authentication information storage unit. Extract information,
The encryption processing unit,
The specific terminal device encrypts the identification information extracted by the login authentication processing unit using the same random number as the random number used for encrypting the identification information of the communication device, and extracts the identification information by the login authentication processing unit. The obtained identification information is used as encrypted identification information for authentication,
The login authentication processing unit,
The encrypted identification information indicated in the login request from the specific terminal device is compared with the encrypted identification information for authentication encrypted by the encryption processing unit. 14. The information processing apparatus according to claim 13, wherein a login authentication process is performed on the information processing apparatus.
乱数を生成する乱数生成部と、
前記乱数生成部により生成された乱数を用いて所定の暗号化処理を行なう暗号化処理部とを有し、
前記通信処理部は、
前記特定の端末装置からログイン要求を受信する前に、前記乱数生成部により生成された乱数を前記特定の端末装置に対して送信するとともに、前記特定の端末装置から、インターネット及びVPN網の少なくともいずれかを介して、ユーザIDと当該端末装置が用いている通信デバイスの識別情報を特定のハッシュ関数で暗号化した後に前記乱数で再暗号化して得られた再暗号化識別情報とが示されたログイン要求を受信し、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求が受信された際に、前記認証情報記憶部に記憶されている識別情報の中から前記特定の端末装置からのログイン要求に示されたユーザIDに対応する識別情報を抽出し、
前記ハッシュ演算部は、
前記特定の端末装置が通信デバイスの識別情報の暗号化に用いた特定のハッシュ関数と同一のハッシュ関数を用いて、前記ログイン認証処理部により抽出された識別情報の暗号化を行い、前記ログイン認証処理部により抽出された識別情報を認証用暗号化識別情報とし、
前記暗号化処理部は、
前記特定の端末装置が通信デバイスの識別情報の再暗号化に用いた乱数と同一の乱数を用いて、前記ハッシュ演算部により暗号化された認証用暗号化識別情報の再暗号化を行い、認証用暗号化識別情報を認証用再暗号化識別情報とし、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求に示された再暗号化識別情報と前記暗号化処理部により再暗号化された認証用再暗号化識別情報とを比較して、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うことを特徴とする請求項14に記載の情報処理装置。The information processing device further includes:
A random number generator for generating a random number;
An encryption processing unit that performs a predetermined encryption process using the random number generated by the random number generation unit,
The communication processing unit,
Before receiving the login request from the specific terminal device, the random number generated by the random number generation unit is transmitted to the specific terminal device, and at least one of the Internet and a VPN network is transmitted from the specific terminal device. Through this, the user ID and the re-encryption identification information obtained by encrypting the identification information of the communication device used by the terminal device with a specific hash function and then re-encrypting with the random number are shown. Receives a login request,
The login authentication processing unit,
When the login request from the specific terminal device is received, the identification information corresponding to the user ID indicated in the login request from the specific terminal device is selected from the identification information stored in the authentication information storage unit. Extract information,
The hash operation unit includes:
The specific terminal device encrypts the identification information extracted by the login authentication processing unit using the same hash function as the specific hash function used for encrypting the identification information of the communication device, and performs the login authentication. The identification information extracted by the processing unit is used as the encrypted identification information for authentication,
The encryption processing unit,
Using the same random number as the random number used by the specific terminal device for re-encryption of the identification information of the communication device, re-encryption of the encryption identification information for authentication encrypted by the hash calculation unit is performed. Encryption identification information for authentication as re-encryption identification information for authentication,
The login authentication processing unit,
The re-encryption identification information indicated in the login request from the specific terminal device is compared with the re-encryption identification information for authentication re-encrypted by the encryption processing unit, and the 15. The information processing apparatus according to claim 14, wherein a login authentication process is performed for a login request.
ログインが許可されるユーザのユーザID及び特定の識別情報を記憶するとともに、ログインが許可されるユーザが用いるパスワードを記憶し、
前記通信処理部は、
インターネット及びVPN網の少なくともいずれかを介して、特定の端末装置から、ユーザID、パスワード及び再暗号化識別情報とが示されたログイン要求を受信し、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求に示された再暗号化識別情報と前記暗号化処理部により再暗号化された認証用再暗号化識別情報とを比較するとともに、前記特定の端末装置からのログイン要求に示されたパスワードと前記認証情報記憶部に記憶されたパスワードとを比較して、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うことを特徴とする請求項16に記載の情報処理装置。The authentication information storage unit,
In addition to storing the user ID and specific identification information of the user permitted to log in, storing the password used by the user permitted to log in,
The communication processing unit,
Receiving a login request indicating a user ID, a password, and re-encrypted identification information from a specific terminal device via at least one of the Internet and a VPN network;
The login authentication processing unit,
While comparing the re-encryption identification information indicated in the login request from the specific terminal device with the re-encryption identification information for authentication re-encrypted by the encryption processing unit, 17. The method according to claim 16, wherein a password indicated in the login request is compared with a password stored in the authentication information storage unit, and a login authentication process is performed in response to a login request from the specific terminal device. An information processing apparatus according to claim 1.
識別情報として電話番号又はMAC(Media Access Control)アドレスが設定された通信デバイスを用いて通信を行う端末装置と通信が可能であり、
前記認証情報処理部は、
ログインが許可されるユーザのユーザIDを記憶するとともに、ログインが許可されるユーザが用いる通信デバイスの識別情報として特定の電話番号又はMAC(Media Access Control)アドレスを当該ユーザIDに対応づけて記憶し、
前記通信処理部は、
インターネット及びVPN網の少なくともいずれかを介して、特定の端末装置から、ユーザIDと当該端末装置が用いている通信デバイスの電話番号又はMAC(Media Access Control)アドレスとが示されたログイン要求を受信し、
前記ログイン認証処理部は、
前記特定の端末装置からのログイン要求に示されたユーザID及び電話番号又はMAC(Media Access Control)アドレスと前記認証情報記憶部に記憶されているユーザID及び電話番号又はMAC(Media Access Control)アドレスとに基づき、前記特定の端末装置からのログイン要求に対してログイン認証処理を行うことを特徴とする請求項13に記載の情報処理装置。The information processing device,
It is possible to communicate with a terminal device performing communication using a communication device in which a telephone number or a MAC (Media Access Control) address is set as identification information,
The authentication information processing unit,
A user ID of a user permitted to log in is stored, and a specific telephone number or a MAC (Media Access Control) address is stored in association with the user ID as identification information of a communication device used by the user permitted to log in. ,
The communication processing unit,
A login request indicating a user ID and a telephone number or a MAC (Media Access Control) address of a communication device used by the terminal is received from a specific terminal via at least one of the Internet and a VPN network. And
The login authentication processing unit,
The user ID and telephone number or MAC (Media Access Control) address indicated in the login request from the specific terminal device, and the user ID and telephone number or MAC (Media Access Control) address stored in the authentication information storage unit. 14. The information processing apparatus according to claim 13, wherein a login authentication process is performed in response to a login request from the specific terminal device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003090117A JP4311617B2 (en) | 2003-03-28 | 2003-03-28 | Terminal device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003090117A JP4311617B2 (en) | 2003-03-28 | 2003-03-28 | Terminal device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004295761A true JP2004295761A (en) | 2004-10-21 |
| JP4311617B2 JP4311617B2 (en) | 2009-08-12 |
Family
ID=33403816
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003090117A Expired - Lifetime JP4311617B2 (en) | 2003-03-28 | 2003-03-28 | Terminal device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4311617B2 (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006057140A1 (en) * | 2004-11-29 | 2006-06-01 | Intelligentdisc, Inc. | Network access system, method, and storage medium |
| JP2006268641A (en) * | 2005-03-25 | 2006-10-05 | Nec Corp | Authentication method and authentication system |
| KR100664189B1 (en) | 2004-12-29 | 2007-01-03 | 엘지전자 주식회사 | How to log in to internet website using mobile terminal |
| JP2007011535A (en) * | 2005-06-29 | 2007-01-18 | Miroku Jyoho Service Co Ltd | Data file protector |
| JP2007272618A (en) * | 2006-03-31 | 2007-10-18 | Nec Mobiling Ltd | Security system, authentication device, and communication terminal |
| JP2009059036A (en) * | 2007-08-30 | 2009-03-19 | Nec Infrontia Corp | Data communication system, data communication control method, and modem device |
| WO2010146765A1 (en) * | 2009-06-15 | 2010-12-23 | シャープ株式会社 | Wireless communication device |
| JP2018507463A (en) * | 2014-12-31 | 2018-03-15 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and apparatus for identifying a user ID |
| WO2021188081A1 (en) * | 2020-03-20 | 2021-09-23 | Crenno Bi̇li̇şi̇m Hi̇zmetleri̇ Ar-Ge San. Ti̇c. Ltd. Şti̇ | Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area |
| JP2022105595A (en) * | 2020-12-11 | 2022-07-14 | 光 馮 | Callee-led communication methods, communication systems and electronic payment systems |
-
2003
- 2003-03-28 JP JP2003090117A patent/JP4311617B2/en not_active Expired - Lifetime
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006057140A1 (en) * | 2004-11-29 | 2006-06-01 | Intelligentdisc, Inc. | Network access system, method, and storage medium |
| KR100664189B1 (en) | 2004-12-29 | 2007-01-03 | 엘지전자 주식회사 | How to log in to internet website using mobile terminal |
| JP2006268641A (en) * | 2005-03-25 | 2006-10-05 | Nec Corp | Authentication method and authentication system |
| JP2007011535A (en) * | 2005-06-29 | 2007-01-18 | Miroku Jyoho Service Co Ltd | Data file protector |
| JP2007272618A (en) * | 2006-03-31 | 2007-10-18 | Nec Mobiling Ltd | Security system, authentication device, and communication terminal |
| JP2009059036A (en) * | 2007-08-30 | 2009-03-19 | Nec Infrontia Corp | Data communication system, data communication control method, and modem device |
| WO2010146765A1 (en) * | 2009-06-15 | 2010-12-23 | シャープ株式会社 | Wireless communication device |
| JP5441130B2 (en) * | 2009-06-15 | 2014-03-12 | シャープ株式会社 | Wireless communication device |
| JP2018507463A (en) * | 2014-12-31 | 2018-03-15 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and apparatus for identifying a user ID |
| US10848310B2 (en) | 2014-12-31 | 2020-11-24 | Alibaba Group Holding Limited | Method and device for identifying user identity |
| WO2021188081A1 (en) * | 2020-03-20 | 2021-09-23 | Crenno Bi̇li̇şi̇m Hi̇zmetleri̇ Ar-Ge San. Ti̇c. Ltd. Şti̇ | Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area |
| JP2022105595A (en) * | 2020-12-11 | 2022-07-14 | 光 馮 | Callee-led communication methods, communication systems and electronic payment systems |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4311617B2 (en) | 2009-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10826882B2 (en) | Network-based key distribution system, method, and apparatus | |
| Dodson et al. | Secure, consumer-friendly web authentication and payments with a phone | |
| US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
| JP6012125B2 (en) | Enhanced 2CHK authentication security through inquiry-type transactions | |
| US7603565B2 (en) | Apparatus and method for authenticating access to a network resource | |
| CN101427510B (en) | Numeric Pass for Network Functional Description | |
| US10432600B2 (en) | Network-based key distribution system, method, and apparatus | |
| US10397008B2 (en) | Management of secret data items used for server authentication | |
| US20130185210A1 (en) | Method and System for Making Digital Payments | |
| CN103380592B (en) | Method, server and system for personal authentication | |
| WO2018198036A1 (en) | Authentication system and identity management without password by single-use qr code and related method | |
| JPWO2007094165A1 (en) | Identification system and program, and identification method | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| JP2015528149A (en) | Start of corporate trigger type 2CHK association | |
| EP2586174A1 (en) | Identity verification | |
| JP2012212211A (en) | Authentication cooperation system and authentication cooperation method | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| CN101292496A (en) | Device and method for performing cryptographic operations in server-client computer network system | |
| US20220400105A1 (en) | Method and system for generating encryption keys for transaction or connection data | |
| JP4311617B2 (en) | Terminal device | |
| JP2007527059A (en) | User and method and apparatus for authentication of communications received from a computer system | |
| US20090319778A1 (en) | User authentication system and method without password | |
| JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
| KR101996317B1 (en) | Block chain based user authentication system using authentication variable and method thereof | |
| Prakash et al. | Eliminating vulnerable attacks using one time password and passtext analytical study of blended schema |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041026 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090507 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090508 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120522 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4311617 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120522 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130522 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140522 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |