JP2005309590A - User authentication system and user authentication method - Google Patents
User authentication system and user authentication method Download PDFInfo
- Publication number
- JP2005309590A JP2005309590A JP2004122943A JP2004122943A JP2005309590A JP 2005309590 A JP2005309590 A JP 2005309590A JP 2004122943 A JP2004122943 A JP 2004122943A JP 2004122943 A JP2004122943 A JP 2004122943A JP 2005309590 A JP2005309590 A JP 2005309590A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- router
- server
- device number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 高いセキュリティ強度を保ち、グループ単位の認証と個人単位の認証を同時に実現する、ユーザ認証システムを提供する。
【解決手段】 アプリケーションサーバでユーザ認証する場合に、高いセキュリティ強度でユーザ認証する従来の方法において、内部に認証情報を格納したハードウェアキーを使用する方法及び物理回線の位置情報を使用する方法は、共に、個人単位とグループ単位の認証を両立できず不便であった。また、個人単位で認証する場合、ハードウェアキーを人数分配布する必要があり経済的に不利であった。本発明では、ユーザ回線の終端に設置されるルータヘ認証情報を格納し、認証サーバが認証して、ルータ配下の端末で共通のIDを認証サーバからアプリケーションサーバヘ通知する。また、ユーザが異なるPWを入力することで、送出するIDをPW毎に変えるようにする。
【選択図】 図1PROBLEM TO BE SOLVED: To provide a user authentication system that maintains high security strength and realizes group unit authentication and individual unit authentication at the same time.
In a conventional method of authenticating a user with high security strength when performing user authentication with an application server, a method of using a hardware key storing authentication information therein and a method of using physical line location information are provided. Both of them were inconvenient because they could not achieve both individual and group authentication. In addition, when authenticating on an individual basis, it is economically disadvantageous because it is necessary to distribute hardware keys for the number of people. In the present invention, authentication information is stored in the router installed at the end of the user line, the authentication server authenticates, and a common ID is notified from the authentication server to the application server in the terminals under the router. In addition, when the user inputs a different PW, the ID to be sent is changed for each PW.
[Selection] Figure 1
Description
本発明は、高いセキュリティ強度を維持しつつ、グループ単位と個人単位の認証を両立することができる、ユーザ認証システム、及びユーザ認証方法に関するものである。 The present invention relates to a user authentication system and a user authentication method capable of achieving both group unit and individual unit authentication while maintaining high security strength.
システムがユーザを認証する場合、システムが解決すべき問題の1つは、いかにしてセキュリティ強度を高めつつ利便性の高い認証手段を提供するかという点にある。 When the system authenticates the user, one of the problems to be solved by the system is how to provide a highly convenient authentication means while increasing the security strength.
ユーザの選別を必要とするアプリケーションサーバがユーザを認証する方法としては、WEBシステムにおいてユーザ認証を行う際のBASIC認証に代表されるように、ユーザが文字列により構成されたID(識別記号)とPW(パスワード)を入力することでユーザを認証する方法がある。 As a method of authenticating a user by an application server that requires user selection, as represented by BASIC authentication when performing user authentication in a WEB system, an ID (identification symbol) configured by a character string is used. There is a method of authenticating a user by inputting a PW (password).
この方法では、アプリケーションサーバが、ユーザへ事前に文字列により構成されたIDとPWを対にして払い出す。そして、アプリケーションサーバがユーザを認証する際は、HTTP(HyperText Transfer Protocol)によりユーザへIDとPWを入力するWEB画面を提示し、ユーザは払い出されたIDとPWをWEB画面に手入力する。ユーザが入力したIDとPWは、HTTPに重畳され、アプリケーションサーバに通知される。アプリケーションサーバは、受信したIDとPWを、事前に払い出したものと照合することにより、ユーザを認証する。 In this method, the application server pays out to the user a pair of ID and PW that are previously configured by a character string. When the application server authenticates the user, the WEB screen for inputting the ID and PW is presented to the user by HTTP (HyperText Transfer Protocol), and the user manually inputs the paid-out ID and PW on the WEB screen. The ID and PW input by the user are superimposed on HTTP and notified to the application server. The application server authenticates the user by comparing the received ID and PW with those that have been paid out in advance.
この方法では、盗み見たりすることにより第三者が簡単にIDとPWを盗み出し本人になりすますことができる点で、セキュリティが弱い、また、盗み出されたIDとPWが、正常な保有者が使用するのと同時に第三者が異なる場所で使用する危険性がある点で、セキュリティが弱いという欠点がある。 In this method, a third party can easily steal an ID and PW by spoofing and impersonate the person, so that the security is weak and the stolen ID and PW are used by a normal owner. At the same time, there is a drawback that the security is weak in that there is a risk that a third party uses it in different places.
また、アプリケーションサーバがユーザを認証する別の方法として、アプリケーションサーバが事前にIDとPW等を格納したハードウェアキー(例えば、ICカードなど)をユーザへ払い出し、そのハードウェアキーを用いてユーザを認証する方法がある(例えば、非特許文献1参照)。
As another method for the application server to authenticate the user, the application server issues a hardware key (for example, an IC card) in which the ID and PW are stored in advance to the user, and uses the hardware key to identify the user. There is a method for authentication (see Non-Patent
この方法では、認証時にユーザは、払い出されたハードウェアキーをユーザ端末へ装着する。ユーザ端末で認証を行うアプリケーションは、HTTPに重畳してアプリケーションサーバから送出されたチャレンジに対して、ハードウェアキー内のIDとPW等を利用してレスポンスを生成し、ハードウェアキー内のIDと共に、HTTPに重畳してアプリケーションサーバへ送出する。アプリケーションサーバは、受信したIDとレスポンスを事前に登録された情報と照合することにより、ユーザを認証する。 In this method, at the time of authentication, the user attaches the issued hardware key to the user terminal. The application that authenticates at the user terminal generates a response using the ID and PW in the hardware key in response to the challenge sent from the application server superimposed on HTTP, along with the ID in the hardware key , Superimposed on HTTP and sent to the application server. The application server authenticates the user by comparing the received ID and response with information registered in advance.
この方法では、ハードウェアキーという物理的なデバイス自体を盗まれないと本人になりすまされないため、セキュリティが強固である。また、ハードウェアキーは1つしか存在しないため、正常な保有者が使用するのと同時に第三者が異なる場所で認証されることはなく、セキュリティが強固であるという利点がある。 In this method, since a physical device itself called a hardware key cannot be impersonated unless it is stolen, security is strong. Also, since there is only one hardware key, there is an advantage that the third party is not authenticated at a different place at the same time that a normal holder uses it, and security is strong.
また、アプリケーションサーバがユーザを認証する別の方法として、ユーザに敷設された物理回線の位置情報を利用する方法がある。この方法では、アプリケーションサーバが、ユーザに敷設された物理回線の位置情報を事前にユーザ毎に登録し、アプリケーションサーバでの認証時に、ユーザは事前に登録した物理回線経由でアプリケーションサーバへアクセスする。アプリケーションサーバは、ユーザがアクセスしてきた物理回線の位置情報を取得して、事前に登録した位置情報と照合することにより、ユーザを認証する。 As another method for the application server to authenticate the user, there is a method of using the position information of the physical line laid by the user. In this method, the application server registers the position information of the physical line laid by the user for each user in advance, and the user accesses the application server via the physical line registered in advance at the time of authentication with the application server. The application server authenticates the user by acquiring the position information of the physical line accessed by the user and comparing it with the position information registered in advance.
この方法では、物理回線という物理的なデバイス自体に不正アクセスされないと本人になりすまされないため、セキュリティが強固である。また、敷設された場所でのみ認証されるため、正常な保有者が使用するのと同時に第三者が異なる場所で認証されることはなく、セキュリティが強固であるという利点がある。
ハードウェアキーを使用する従来のシステムでは、ハードウェアキーを端末に装着して使用するため、端末を利用する個人単位でのみユーザを認証することが可能であり、グループ単位でユーザを認証できない点で、家族や仕事上の担当などのグループ単位で決済を行う際などにおいて、ユーザが不便である。また、個人を認証するためには、個人ごとにハードウェアキーを配布しなくてはならないため、コストがかかる、ハードウェアキーが装着不可能な端末においてユーザを認証することができないという問題があった。 In a conventional system that uses a hardware key, the hardware key is attached to the terminal and used. Therefore, it is possible to authenticate the user only on an individual basis using the terminal, and cannot authenticate the user on a group basis. Thus, the user is inconvenient when making a payment in units of groups such as a family member or a person in charge of work. In addition, in order to authenticate an individual, the hardware key must be distributed for each individual, which is expensive, and there is a problem that the user cannot be authenticated on a terminal where the hardware key cannot be attached. It was.
また、物理回線の位置情報を使用する従来のシステムでは、回線単位というグループ単位でユーザを認証するため、同一の物理回線に収容される個人を特定して個人単位でユーザを認証することができない点で、グループ内の個人毎にアクセス権限を付与する際などにおいて、ユーザが不便である。また、回線が敷設された場所でのみ使用可能であるため、様々な場所でユーザを認証できない点で、ユーザが不便であるという問題があった。 Further, in the conventional system that uses physical line position information, users are authenticated in units of groups called lines, so it is not possible to identify individuals accommodated in the same physical line and authenticate users in units of individuals. In this regard, the user is inconvenient when granting access authority to each individual in the group. In addition, since it can be used only at the place where the line is laid, there is a problem that the user is inconvenient in that the user cannot be authenticated at various places.
本発明はこのような問題を解決するためになされたもので、その目的は、高いセキュリティ強度を維持しつつ、グループ単位と個人単位のユーザ認証を行うことを可能にし、かつユーザの利便性の向上を図ることができる、ユーザ認証システム、及びユーザ認証方法を提供することにある。 The present invention has been made in order to solve such problems, and its purpose is to enable user authentication in units of groups and individuals while maintaining high security strength and improve user convenience. An object of the present invention is to provide a user authentication system and a user authentication method that can be improved.
本発明は、上記課題を解決するためになされたものであり、本発明のユーザ認証システムは、インターネット上に設置されたアプリケーションサーバでユーザ認証を必要とする場合に、インターネット上に設置した認証サーバがユーザを認証し、該認証結果をアプリケーションサーバヘ通知してユーザ認証を行うユーザ認証システムであって、前記認証サーバが、ユーザ回線の終端位置に設置されるルータ毎に付与するデバイス番号と暗号鍵とIDとを生成して登録し、該生成したデバイス番号と暗号鍵を前記ルータに事前に格納すると共に、前記IDをアプリケーションサーバに事前に格納する手段と、前記アプリケーションサーバがユーザ認証を必要とする際に、前記認証サーバによるユーザ認証を要求する手段と、認証要求を受けた前記認証サーバが、ユーザ端末ヘチャレンジ値を含む認証要求を送出する手段と、前記ルータが、ユーザ端末を経由して、前記認証サーバからのチャレンジ値を含む認証要求を検出した場合に、ルータ内に格納したデバイス番号と暗号鍵を抽出してレスポンス値を計算し、前記チャレンジ値及びデバイス番号と共に認証サーバへ送出する手段と、前記認証サーバが、前記レスポンス値、チャレンジ値及びデバイス番号をルータから受信した場合に、認証サーバ内に登録されたデバイス番号と暗号鍵および受信したチャレンジ値を基にレスポンス値を計算して照合を行い、正しく照合された場合に、ルータ毎に付与されるIDを前記アプリケーションサーバへ送出する手段とを備えることを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなく、ルータ内のデバイス番号を使用してユーザ認証が可能となる。
また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
The present invention has been made to solve the above problems, and the user authentication system of the present invention is an authentication server installed on the Internet when user authentication is required by an application server installed on the Internet. Is a user authentication system that authenticates a user, notifies the application server of the authentication result, and performs user authentication, wherein the authentication server assigns a device number and an encryption to each router installed at a terminal end position of the user line. A key and ID are generated and registered, the generated device number and encryption key are stored in advance in the router, and the ID is stored in advance in the application server, and the application server requires user authentication. Means for requesting user authentication by the authentication server and before receiving the authentication request. Means for sending an authentication request including a challenge value to a user terminal; and when the router detects an authentication request including a challenge value from the authentication server via the user terminal. Means for extracting the stored device number and encryption key, calculating a response value, and sending the response value together with the challenge value and device number to the authentication server; and the authentication server receiving the response value, challenge value and device number from the router In this case, the response value is calculated based on the device number registered in the authentication server, the encryption key, and the received challenge value, and the ID is assigned to each router when the response value is correctly verified. Means for sending to the application server.
As a result, user authentication can be performed in groups by the device number of the router. Therefore, it is possible to perform user authentication using a device number in the router without distributing a high-cost hardware key while maintaining high security strength.
Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証システムは、前記認証サーバが事前にルータに格納したデバイス番号毎にPWを1つ設定し、認証サーバがユーザ認証を行う際に、ユーザ端末へPW入力画面を提示する手段と、ルータがユーザ端末に入力されたPWを受信した場合に、ルータが認証サーバヘレスポンス値を含む認証要求を送出する際に、前記PWを合わせて通知する手段と、前記認証サーバが前記レスポンス値とPWを含む認証要求によりユーザ認証を行う手段とを備えることを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる認証を行うことができる。
PWの追加により、セキュリティ強度をより高くすることが可能となる。
The user authentication system of the present invention sets one PW for each device number stored in the router in advance by the authentication server, and presents a PW input screen to the user terminal when the authentication server performs user authentication. And means for notifying the PW together when the router sends an authentication request including a response value to the authentication server when the router receives the PW input to the user terminal, and the authentication server And a means for performing user authentication by an authentication request including a response value and PW.
Thus, user authentication can be performed in units of groups based on the device number of the router, and authentication by PW can be performed.
By adding PW, it is possible to further increase the security strength.
また、本発明のユーザ認証システムは、前記認証サーバがデバイス番号毎に複数のPWと各PWに対応するIDを設定する手段と、ユーザ端末に前記複数設定されたPWの中から1つのPWを選択して入力することにより、前記認証サーバからアプリケーションサーバヘ送出するIDをPW毎に変更する手段とを備えることを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる個人認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、グループ単位の認証と個人単位の認証を同時に実施することができる点で、ユーザの利便性に効果がある。また、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなくPWの配布のみで、個人を認証することができる点で、ユーザのコスト削減に効果がある。また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
In the user authentication system of the present invention, the authentication server sets a plurality of PWs for each device number and an ID corresponding to each PW, and one PW among the plurality of PWs set for the user terminal. And a means for changing the ID sent from the authentication server to the application server for each PW by selecting and inputting.
As a result, user authentication can be performed in units of groups based on the device number of the router, and personal authentication by PW can be performed. For this reason, it is effective for the user in that the group unit authentication and the individual unit authentication can be performed simultaneously while maintaining high security strength. In addition, while maintaining high security strength, it is possible to authenticate an individual only by distributing a PW without distributing a high-cost hardware key, which is effective in reducing the cost of the user. Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証システムは、ルータのデバイス番号及び暗号鍵を格納した記録媒体であるハードウェアキーを、ルータ及びユーザ端末において着脱する手段と、ルータに前記ハードウェアキーを装着し、異なるルータにおいても同一のデバイス番号及び暗号鍵の情報を送出して認証サーバが認証し、該認証サーバがルータ配下のユーザ端末に共通のIDをアプリケーションサーバへ送出する手段と、ユーザ端末に前記ハードウェアキーを装着し、ルータが送出するデバイス番号及び暗号鍵の情報をユーザ端末から送出して認証サーバが認証し、1つのユーザ端末で、ルータにハードウェアキーが装着された場合と同じIDをアプリケーションサーバへ送出する手段とを備えることを特徴とする。
これにより、高いセキュリティ強度を保ちつつ、同一の認証情報を利用したグループ単位の認証を、様々な場所で実施可能である点で、ユーザの利便性に効果がある。
Further, the user authentication system of the present invention is different from the means for attaching / detaching the hardware key, which is a recording medium storing the device number and encryption key of the router, in the router and the user terminal, and mounting the hardware key on the router. The router also sends the same device number and encryption key information and the authentication server authenticates, and the authentication server sends an ID common to the user terminals under the router to the application server, and the hardware to the user terminal Attach the key, send the device number and encryption key information sent by the router from the user terminal, authenticate by the authentication server, and use the same ID as when the hardware key is attached to the router on one user terminal Means for sending to the server.
Thus, it is effective for the user in that group-based authentication using the same authentication information can be performed at various places while maintaining high security strength.
また、本発明のユーザ認証方法は、インターネット上に設置されたアプリケーションサーバでユーザ認証を必要とする場合に、インターネット上に設置した認証サーバがユーザを認証し、該認証結果をアプリケーションサーバヘ通知してユーザ認証を行うユーザ認証方法であって、前記認証サーバが、ユーザ回線の終端位置に設置されるルータ毎に付与するデバイス番号と暗号鍵とIDとを生成して登録し、該生成したデバイス番号と暗号鍵を前記ルータに事前に格納すると共に、前記IDをアプリケーションサーバに事前に格納する手順と、前記アプリケーションサーバがユーザ認証を必要とする際に、前記認証サーバによるユーザ認証を要求する手順と、認証要求を受けた前記認証サーバが、ユーザ端末ヘチャレンジ値を含む認証要求を送出する手順と、前記ルータが、ユーザ端末を経由して、前記認証サーバからのチャレンジ値を含む認証要求を検出した場合に、ルータ内に格納したデバイス番号と暗号鍵を抽出してレスポンス値を計算し、前記チャレンジ値及びデバイス番号と共に認証サーバへ送出する手順と、前記認証サーバが、前記レスポンス値、チャレンジ値及びデバイス番号をルータから受信した場合に、認証サーバ内に登録されたデバイス番号と暗号鍵および受信したチャレンジ値を基にレスポンス値を計算して照合を行い、正しく照合された場合に、ルータ毎に付与されるIDを前記アプリケーションサーバへ送出する手順とを含むことを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなく、ルータ内のデバイス番号を使用してユーザ認証が可能となる。
また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
Further, in the user authentication method of the present invention, when user authentication is required by an application server installed on the Internet, the authentication server installed on the Internet authenticates the user and notifies the application server of the authentication result. A user authentication method for performing user authentication, wherein the authentication server generates and registers a device number, an encryption key, and an ID to be assigned to each router installed at a terminal line end position, and the generated device A procedure for storing a number and an encryption key in the router in advance and a procedure for storing the ID in an application server in advance, and a procedure for requesting user authentication by the authentication server when the application server requires user authentication. The authentication server that received the authentication request sends an authentication request including a challenge value to the user terminal. And when the router detects an authentication request including a challenge value from the authentication server via a user terminal, the device number and encryption key stored in the router are extracted and a response value is obtained. A procedure for calculating and sending to the authentication server together with the challenge value and device number, and a device number registered in the authentication server when the authentication server receives the response value, challenge value and device number from the router; A response value is calculated based on the encryption key and the received challenge value, collation is performed, and when the collation is correctly performed, an ID assigned to each router is transmitted to the application server. .
As a result, user authentication can be performed in groups by the device number of the router. Therefore, it is possible to perform user authentication using a device number in the router without distributing a high-cost hardware key while maintaining high security strength.
Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証方法は、前記認証サーバが事前にルータに格納したデバイス番号毎にPWを1つ設定し、認証サーバがユーザ認証を行う際に、ユーザ端末へPW入力画面を提示する手順と、ルータがユーザ端末に入力されたPWを受信した場合に、ルータが認証サーバヘレスポンス値を含む認証要求を送出する際に、前記PWを合わせて通知する手順と、前記認証サーバが前記レスポンス値とPWを含む認証要求によりユーザ認証を行う手順とを含むことを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる認証を行うことができる。
PWの追加により、セキュリティ強度をより高くすることが可能となる。
In the user authentication method of the present invention, one PW is set for each device number stored in the router in advance by the authentication server, and a PW input screen is presented to the user terminal when the authentication server performs user authentication. And a procedure for notifying the PW together when the router sends an authentication request including a response value to the authentication server when the router receives the PW input to the user terminal, and the authentication server And a procedure for performing user authentication by an authentication request including a response value and PW.
Thus, user authentication can be performed in units of groups based on the device number of the router, and authentication by PW can be performed.
By adding PW, it is possible to further increase the security strength.
また、本発明のユーザ認証方法は、前記認証サーバがデバイス番号毎に複数のPWと各PWに対応するIDを設定する手順と、ユーザ端末に前記複数設定されたPWの中から1つのPWを選択して入力することにより、前記認証サーバからアプリケーションサーバヘ送出するIDをPW毎に変更する手順とを含むことを特徴とする。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる個人認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、グループ単位の認証と個人単位の認証を同時に実施することができる点で、ユーザの利便性に効果がある。また、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなくPWの配布のみで、個人を認証することができる点で、ユーザのコスト削減に効果がある。また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
In the user authentication method of the present invention, the authentication server sets a plurality of PWs for each device number and an ID corresponding to each PW, and one PW among the plurality of PWs set for the user terminal. And a procedure for changing the ID sent from the authentication server to the application server for each PW by selecting and inputting.
As a result, user authentication can be performed in units of groups based on the device number of the router, and personal authentication by PW can be performed. For this reason, it is effective for the user in that the group unit authentication and the individual unit authentication can be performed simultaneously while maintaining high security strength. In addition, while maintaining high security strength, it is possible to authenticate an individual only by distributing a PW without distributing a high-cost hardware key, which is effective in reducing the cost of the user. Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証方法は、ルータのデバイス番号及び暗号鍵を格納した記録媒体であるハードウェアキーを、ルータ及びユーザ端末において着脱する手順と、ルータに前記ハードウェアキーを装着し、異なるルータにおいても同一のデバイス番号及び暗号鍵の情報を送出して認証サーバが認証し、該認証サーバがルータ配下のユーザ端末に共通のIDをアプリケーションサーバへ送出する手順と、ユーザ端末に前記ハードウェアキーを装着し、ルータが送出するデバイス番号及び暗号鍵の情報をユーザ端末から送出して認証サーバが認証し、1つのユーザ端末で、ルータにハードウェアキーが装着された場合と同じIDをアプリケーションサーバへ送出する手順とを含むことを特徴とする。
これにより、高いセキュリティ強度を保ちつつ、同一の認証情報を利用したグループ単位の認証を、様々な場所で実施可能である点で、ユーザの利便性に効果がある。
The user authentication method of the present invention is different from the procedure for attaching and detaching the hardware key, which is a recording medium storing the device number and encryption key of the router, in the router and the user terminal, and attaching the hardware key to the router. The router also sends the same device number and encryption key information and the authentication server authenticates, the authentication server sends a common ID to the user terminal under the router to the application server, and the hardware to the user terminal. Attach the key, send the device number and encryption key information sent by the router from the user terminal, authenticate by the authentication server, and use the same ID as when the hardware key is attached to the router on one user terminal And a procedure for sending to the server.
Thus, it is effective for the user in that group-based authentication using the same authentication information can be performed at various places while maintaining high security strength.
本発明のユーザ認証システムおよびユーザ認証方法においては、認証サーバが、ルータ毎にデバイス番号及び暗号鍵を生成して事前に各ルータに格納しておく。また、アプリケーションサーバがユーザ認証を必要とする際に、ユーザ認証を認証サーバへ要求する。認証サーバは認証要求を受信すると、ユーザ端末ヘチャレンジ値を含む認証要求を送出する。ルータは、ユーザ端末を経由して、チャレンジ値を含む認証要求を検出し、内部に格納したデバイス番号と暗号鍵を抽出してレスポンス値を計算し、チャレンジ値及びデバイス番号と共にレスポンス値を認証サーバへ送出する。認証サーバは、レスポンス値を受信すると事前に登録した情報により照合を行い、正しく照合された場合は、認証サーバがルータ毎に付与するIDを、アプリケーションサーバへ送出する。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなく、ルータ内のデバイス番号を使用してユーザ認証が可能となる。
また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
In the user authentication system and the user authentication method of the present invention, the authentication server generates a device number and an encryption key for each router and stores them in advance in each router. In addition, when the application server requires user authentication, it requests user authentication from the authentication server. When receiving the authentication request, the authentication server sends an authentication request including the challenge value to the user terminal. The router detects the authentication request including the challenge value via the user terminal, extracts the device number and encryption key stored therein, calculates the response value, and sends the response value together with the challenge value and the device number to the authentication server. To send. When the authentication server receives the response value, the authentication server performs collation based on information registered in advance. If the authentication server collates correctly, the authentication server sends an ID assigned to each router by the authentication server to the application server.
As a result, user authentication can be performed in groups by the device number of the router. Therefore, it is possible to perform user authentication using a device number in the router without distributing a high-cost hardware key while maintaining high security strength.
Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証システムおよびユーザ認証方法においては、認証サーバが事前にルータに格納したデバイス番号毎にPWを1つ設定し、認証サーバがユーザ認証を行う際にユーザ端末へPW入力画面を提示する。ユーザがPWを入力すると、ルータが認証サーバへレスポンス値を含む認証要求を送出する際にPWも合わせて認証サーバへ通知し、認証サーバはレスポンス値とPWを含む認証要求によりユーザ認証を行う。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる認証を行うことができる。
PWの追加により、セキュリティ強度をより高くすることが可能となる。
In the user authentication system and the user authentication method of the present invention, one PW is set for each device number stored in the router in advance by the authentication server, and when the authentication server performs user authentication, a PW input screen is displayed on the user terminal. Present. When the user inputs PW, when the router sends an authentication request including a response value to the authentication server, the router also notifies the authentication server together with the PW, and the authentication server performs user authentication based on the authentication request including the response value and the PW.
Thus, user authentication can be performed in units of groups based on the device number of the router, and authentication by PW can be performed.
By adding PW, it is possible to further increase the security strength.
また、本発明のユーザ認証システムおよびユーザ認証方法においては、デバイス番号毎に設定するPWと、PWに1対1対応するIDを事前に複数用意し、ユーザがPWを入力する際に、複数設定されたPWの中から1つのPWを選択して入力することにより、認証サーバからアプリケーションサーバヘ送出するIDをPW毎に変える。
これにより、ルータのデバイス番号によりグループ単位でのユーザ認証を行うとともに、PWによる個人認証を行うことができる。このため、高いセキュリティ強度を保ちつつ、グループ単位の認証と個人単位の認証を同時に実施することができる点で、ユーザの利便性に効果がある。また、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなくPWの配布のみで、個人を認証することができる点で、ユーザのコスト削減に効果がある。また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のデバイス番号を使用して認証が可能となる。
Further, in the user authentication system and the user authentication method of the present invention, a plurality of PWs to be set for each device number and IDs corresponding to the PWs are prepared in advance, and a plurality of settings are set when the user inputs the PW. By selecting and inputting one PW from the PWs that have been set, the ID sent from the authentication server to the application server is changed for each PW.
As a result, user authentication can be performed in units of groups based on the device number of the router, and personal authentication by PW can be performed. For this reason, it is effective for the user in that the group unit authentication and the individual unit authentication can be performed simultaneously while maintaining high security strength. In addition, while maintaining high security strength, it is possible to authenticate an individual only by distributing a PW without distributing a high-cost hardware key, which is effective in reducing the cost of the user. Also, a user terminal that cannot be fitted with a hardware key can be authenticated using a device number in the router as long as it has a browser.
また、本発明のユーザ認証システムおよびユーザ認証方法においては、ルータに格納するデバイス番号及び暗号鍵をICカードなどのハードウェアキーに格納し、ルータ及びユーザ端末で着脱可能とする。また、ルータにハードウェアキーを装着することで、異なるルータでも同一のデバイス番号等を送出して認証サーバが認証し、ルータ配下のユーザ端末で共通のIDをアプリケーションサーバへ送出する。さらに、ユーザ端末にハードウェアキーを装着することで、ルータが送出するデバイス番号等をユーザ端末から送出して認証サーバが認証し、1つのユーザ端末で、ルータに装着された場合と同じIDをアプリケーションサーバへ送出する。
これにより、高いセキュリティ強度を保ちつつ、同一の認証情報を利用したグループ単位の認証を、様々な場所で実施可能である点で、ユーザの利便性に効果がある。
In the user authentication system and the user authentication method of the present invention, the device number and the encryption key stored in the router are stored in a hardware key such as an IC card and can be attached and detached at the router and the user terminal. Also, by attaching a hardware key to the router, the same device number and the like are sent out by different routers, and the authentication server authenticates, and a common ID is sent to the application server at the user terminals under the router. Furthermore, by attaching a hardware key to the user terminal, the device number sent by the router is sent from the user terminal and the authentication server authenticates, and the same ID as that attached to the router is obtained by one user terminal. Send to application server.
Thus, it is effective for the user in that group-based authentication using the same authentication information can be performed at various places while maintaining high security strength.
次に本発明を実施するための最良の形態について図面を参照して説明する。 Next, the best mode for carrying out the present invention will be described with reference to the drawings.
[第1の実施の形態]
図1は、本発明によるユーザ認証システムのシステム全体の構成例を示す図である。
図1に示すシステムにおいては、ユーザ端末#1(11)、ユーザ端末#2(12)を含むユーザ端末10がユーザ網13に接続される。 また、インターネット16へ接続するユーザ回線15とユーザ網13の境界には、認証サーバ17から付与された「デバイス番号」と「暗号鍵」を格納したルータ14が接続され、インターネット16上に、ユーザを認証する認証サーバ17が接続される。
[First Embodiment]
FIG. 1 is a diagram showing a configuration example of the entire system of a user authentication system according to the present invention.
In the system shown in FIG. 1,
さらに、インターネット16上に、認証サーバ17による認証結果を利用してユーザを認証するアプリケーションサーバ18が接続される。
Further, an
図2は、本発明のユーザ認証システムにおけるユーザ端末のシステム構成例を示す図である。ユーザ端末10は、例えば、ユーザがアプリケーションサーバなどへアクセスしてアプリケーションを利用する場合などに、ユーザ端末10上へ両面を表示するためのWEBブラウザ21を有している。
FIG. 2 is a diagram showing a system configuration example of a user terminal in the user authentication system of the present invention. The
図3は、本発明のユーザ認証システムにおけるルータ14のシステム構成例を示す図である。ルータ14は、ユーザ網13及びインターネット16からのHTTPリクエストを受信し、送信先アドレス及びページなどに基づき処理を行うためのHTTP転送部31を有している。また、ルータ14内部に格納される「デバイス番号33」と「暗号鍵34」を用いて、認証サーバ17との間で認証を行う認証制御部32を有している。なお、「デバイス番号33」と「暗号鍵34」は、認証サーバ17がルータ14を特定し認証するための情報であり、認証サーバ17から事前に付与された情報である。
FIG. 3 is a diagram showing a system configuration example of the
図4は、本発明のユーザ認証システムにおける認証サーバ17のシステム構成例を示す図である。
認証サーバ17は、ユーザ端末10のWEBブラウザからのHTTPによるWEBアクセスを受信すると共に、ユーザ端末10のWEBブラウザへHTTPを送信するHTTP処理部41を有している。また、ユーザのルータ14に格納されたデバイス番号33及び暗号鍵34を基に、ユーザ認証を行う認証処理部42を有している。また、ユーザのルータ14に格納されたデバイス番号33及び暗号鍵34や、デバイス番号33に設定されユーザが手入力するPWなどの情報を管理するユーザDB43を有している。
FIG. 4 is a diagram showing a system configuration example of the
The
図5は、本発明のユーザ認証システムにおけるアプリケーションサーバのシステム構成例を示す図である。アプリケーションサーバ18は、ユーザ端末10のWEBブラウザからのHTTPによるWEBアクセスを受信すると共に、ユーザ端末10のWEBブラウザへHTTPを送信するHTTP処理部51を有している。また、認証サーバ17へ認証を依頼すると共に、認証サーバ17からの認証結果を処理する認証処理部52を有している。また、認証サーバ17がユーザに付与するIDなどの情報を管理するユーザDB53を有している。
FIG. 5 is a diagram showing a system configuration example of an application server in the user authentication system of the present invention. The
図6は、認証サーバ17のユーザDBの構成例を示す図である。認証サーバ17のユーザDB43は、デバイス情報テーブル61と、IDテーブル62とを有している。デバイス情報テーブル61は、「デバイス番号」、「暗号鍵」、「ユーザ氏名」の情報などが記録される。IDテーブル62には、「デバイス番号」、「PW」、「ID」の情報などが記録される。
FIG. 6 is a diagram illustrating a configuration example of the user DB of the
図7は、アプリケーションサーバ18のユーザDBの構成例を示す図である。アプリケーションサーバ18のユーザDB53は、ユーザ情報テーブル71を有している。ユーザ情報テーブル71には、「ID」、「ユーザ氏名」の情報などが含まれる。
FIG. 7 is a diagram illustrating a configuration example of the user DB of the
以上、説明したシステム構成の基で行われる本発明による認証処理の手順について、図14に示すシーケンス図を参照して説明する。 The procedure of authentication processing according to the present invention performed based on the system configuration described above will be described with reference to the sequence diagram shown in FIG.
ユーザが、ユーザ端末10から、インターネット16上に設置されたアプリケーションサーバ18におけるユーザ認証が必要となるWEBページへアクセスすると(ステップS101)、アプリケーションサーバ18の認証処理部52がユーザのアクセスを検出し、認証要求処理を開始する(ステップS102)。
When the user accesses the WEB page that requires user authentication in the
認証処理部52は、送信先アドレスとしてアクセスしてきたユーザの「ユーザ端末10のアドレス」と、再接続先アドレスとして認証サーバ17の「認証開始用ページのアドレス」と、「戻り先アドレスとしてアプリケーションサーバ18のアドレス」を設定したHTTPレスポンスを生成して、HTTP処理部51へ渡す。HTTP処理部51は、認証処理部52より渡されたHTTPレスポンスを送信先アドレス(ユーザ端末10のアドレス)へ送信する(ステップS103)。
The
図8に、認証処理部52により生成される認証開始要求のHTTPレスポンスの例を示す。図8に示すように、アプリケーションサーバ18から送信されるHTTPレスポンスは、「送信先アドレス(ユーザ端末)81」、「再接続先アドレス(認証サーバ認証開始用ページ)82」、「戻り先アドレス(アプリケーションサーバ)83」から構成される。
FIG. 8 shows an example of an HTTP response of the authentication start request generated by the
ユーザ端末10のWEBブラウザは、アプリケーションサーバ18より受信したHTTPレスポンス内で再接続先アドレスとして設定された認証サーバ17の認証開始用ページへ、HTTPリクエストを生成して、認証サーバ17へ送信する(ステップS104)。
The WEB browser of the
認証サーバ17は、HTTP処理部41が、ユーザ端末10のWEBブラウザからの認証サーバ17の認証開始用ページへのHTTPリクエストを受信した際、認証処理部42が、チャレンジ&レスポンス方式によりユーザを認証するためのチャレンジ値を生成する。
When the
さらに、認証処理部42は、送信先アドレスとしてアクセスしてきたユーザの使用するユーザ端末10のアドレスと、データとして生成したチャレンジ値とを設定し、PW送信先アドレスとして認証サーバ17の認証実施用ページのアドレスを設定し、また、ユーザのWEBブラウザへPW入力画面を提示するためのHTMLデータを格納したHTTPレスポンスを生成して、HTTP処理部41へ渡す。HTTP処理部41は、認証処理部42より渡されたHTTPレスポンスを送信先アドレス(ユーザ端末10)へ送信する(ステップS105、S106)。
Furthermore, the
図9に、認証サーバ17内の認証処理部42により生成される「認証実施要求HTTPレスポンス」の例を示す。図9に示すように、HTTPレスポンスは、「送信先アドレス(ユーザ端末)91」、「データ#1(チャレンジ値)92」、「データ#2(PW入力画面提示用HTMLデータ)93」、「PW送信先アドレス(認証サーバ認証実施用ページ)94」で構成される。
FIG. 9 shows an example of an “authentication execution request HTTP response” generated by the
ユーザ端末10のWEBブラウザでは、認証サーバ17より受信したHTTPレスポンス内に格納された「データ#2(PW入力画面提示用HTMLデータ)93」のHTMLデータを解釈し、ユーザ端末10にPW入力画面を表示する。ユーザは、ルータ14に格納されたデバイス番号毎に事前に設定された複数のPWの中から、1つのPWを選択してPW入力両面へ入力し、PW入力両面に表示される確認ボタンを押下する(ステップS107)。
The WEB browser of the
PWが入力されると、ユーザ端末10のWEBブラウザは、送信先アドレスとして認証サーバ17から通知された認証サーバ17の認証実施用ページのアドレスと、データとして認証サーバ17から通知されたチャレンジ値及びユーザが入力したPWとを設定したHTTPリクエストを生成して、送信先アドレスへ送信する(ステップS108)。
When the PW is input, the WEB browser of the
図10に、ユーザ端末10で生成される認証実施要求のHTTPリクエストの例を示す。図10に示すように、HTTPリクエストは、「送信先アドレス(認証サーバ認証実施用ページ)101」、「データ#1(チャレンジ値)102」、「データ#2(PW)103」のデータで構成される。
FIG. 10 shows an example of an HTTP request for an authentication execution request generated by the
ユーザ網13とインターネット16の境界に設置されたルータ14のHTTP転送部31は、ユーザ端末10のWEBブラウザからのHTTPリクエストを受信すると、送信先のアドレスが、事前に設定した認証サーバ17のアドレスであるか(ステップS109)、さらに送信先のページが事前に設定した認証サーバ17の認証実施用のページであるかをチェックする(ステップS110)。なお、認証サーバ17において認証実施用のページを専用のサーバに設置することにより、認証実施用のページであるか否かのチェックを省略することができる。
なおまた、認証サーバ17において、認証実施用のページを、認証開始用のページと同一のサーバに設置しつつ専用のポート番号において待ち受けすることもできる。これにより、ルータ14が、認証実施用のポート番号であるかをチェックすることで、サーバ17のアドレスであるか否か、及び認証サーバ17の認証実施用のページであるか否かのチェックを省略することができる。
When the
In the
送信先アドレスが認証サーバ17の認証実施用のページであった場合、認証制御部32は、HTTPリクエストから抽出したチャレンジ値と、ルータ14内部に格納したデバイス番号及び暗号鍵から、レスポンス値を計算する(ステップS111)。
When the transmission destination address is the authentication execution page of the
さらに、送信先アドレスとして認証サーバ17から通知された認証サーバ17の認証実施用ページのアドレスと、データとして認証サーバ17から通知されたチャレンジ値、ユーザが入力したPW、計算したレスポンス値、及びルータ14内部から抽出したデバイス番号とを設定したHTTPリクエストを生成して、認証サーバ17の送信先アドレスへ送信する(ステップS112)。
Further, the address of the authentication execution page of the
図11に、ルータ14の認証制御部32により生成される認証実施要求のHTTPリクエストの例を示す。図11に示すように、HTTPリクエストは、「送信先アドレス(認証サーバ認証実施用ページ)111」、「データ#1(チャレンジ値)112」、「データ#2(PW)113」、「データ#3(レスポンス値)114」、「データ#4(デバイス番号)115」のデータから構成される。
FIG. 11 shows an example of an HTTP request for an authentication execution request generated by the
認証サーバ17は、HTTP処理部41が、ルータ14を経由して、ユーザ端末10のWEBブラウザからの認証サーバ17の認証実施用ページへのHTTPリクエストを受信した際、認証処理部42が、HTTPリクエスト(ルータで生成されたHTTPリクエスト)からチャレンジ値、レスポンス値、デバイス番号、ユーザが入力したPWを抽出する。
When the
次に、認証処理部42は、デバイス番号をキーとしてユーザDB43のデバイス情報テーブル61から暗号鍵を抽出し、チャレンジ値、デバイス番号及び暗号鍵からレスポンス値を計算する。そして、受信したHTTPリクエスト内のレスポンス値と計算したレスポンス値を照合し、両者が一致していた場合、ユーザが認証されたものとする(ステップS113)。
Next, the
さらに、受信したHTTPリクエスト内のデバイス番号とPWをキーとして、ユーザDB43のIDテーブルから、同一のデバイス番号を持ち異なるPWを有するレコードの中から一致するレコードを探す(ステップS114)。一致するレコードが存在した場合、レコードに格納されたIDを抽出する。さらに、送信先として、アクセスしてきたユーザの使用するルータ14のアドレスと、再接続先として、ユーザのWEBブラウザを介してアプリケーションサーバ18から受信したHTTPリクエストに格納された戻り先アドレスと、データとして抽出したIDを設定したHTTPレスポンスを生成して、HTTP処理部41へ渡す。
Further, using the device number and PW in the received HTTP request as keys, a matching record is searched for from the records having the same device number and different PWs from the ID table of the user DB 43 (step S114). If there is a matching record, the ID stored in the record is extracted. Further, as the transmission destination, the address of the
HTTP処理部41は、認証処理部42より渡されたHTTPレスポンスを送信先アドレス(ユーザ端末10)へ送信する(ステップS116)。
The
図12に、認証サーバ17の認証処理部42により生成される認証実施結果のHTTPレスポンスの例を示す。図12に示すように、HTTPレスポンスは、「送信先アドレス(ユーザのルータ)121」、「再接続先アドレス(アプリケーションサーバ)122」、「データ#1(ID)」のデータで構成される。
In FIG. 12, the example of the HTTP response of the authentication implementation result produced | generated by the
ユーザ網13とインターネット16の境界に設置されたルータ14のHTTP転送部31は、認証サーバ17で認証後に抽出されるIDを格納したHTTPレスポンスを受信すると、認証要求時にアクセスしてきたユーザの使用するユーザ端末10へ転送する。
When the
ユーザ端末10のWEBブラウザは、ルータ14から転送されたHTTPレスポンスを受信すると、送信先アドレスとして、HTTPレスポンスに格納された再接続先であるアプリケーションサーバ18の戻り先アドレスと、データとして、HTTPレスポンスから抽出したIDとを設定した「HTTPリクエスト」を生成して、送信先アドレスへ送信する(ステップS117)。
When the WEB browser of the
図13に、WEBブラウザで生成される「HTTPリクエスト」の例を示す。図13に示すように、HTTPリクエストは、「送信先アドレス(アプリケーションサーバ)131」、「データ#1(ID)132」のデータから構成される。 FIG. 13 shows an example of an “HTTP request” generated by the WEB browser. As shown in FIG. 13, the HTTP request includes data of “transmission destination address (application server) 131” and “data # 1 (ID) 132”.
アプリケーションサーバ18は、HTTP処理部51が、ユーザ端末10のWEBブラウザからの戻り先アドレスへのHTTPリクエストを受信した際、認証処理部52が、HTTPリクエストのデータからIDを抽出する。さらに、認証処理部52は、抽出したIDを、ユーザDB53のユーザ情報テーブル内に格納したIDと照合し、ユーザを認証する(ステップS118)。
In the
[第2の実施の形態]
第1の実施の形態例においては、ユーザが入力するPW毎に、認証サーバ17がアプリケーションサーバ18へ異なるIDを送出することができるが、同一のルータを使用しているユーザが異なるPWを入力しても、アプリケーションサーバ18は、ユーザが同一のルータを使用していることを識別することもできる。
[Second Embodiment]
In the first embodiment, the
認証サーバ17がアプリケーションサーバ18へ通知するIDについて、ユーザがどのルータを使用しているかを示す部分と、ユーザがどのPWを入力したかを示す部分とを明示的に分離することにより、アプリケーションサーバ18が、同一のルータを用いてアクセスされたことを識別可能とする。
For the ID notified by the
図15に、認証サーバ17がアプリケーションサーバ18へ通知するIDの例を示す。図15に示す例では、認証サーバ17が通知するIDは、「ルータ対応部分151」と「PW対応部分152」から構成される。「ルータ対応部分151」はグループ単位の識別に対応する情報であり、「PW対応部分152」はユーザの個人識別に対応する情報である。
FIG. 15 shows an example of an ID notified from the
[第3の実施の形態]
第1の実施の形態例の仕組みにおいては、ルータ14の認証制御部32が計算したレスポンス値を認証サーバ17へ送信する際、データ部にPWをそのまま格納して送信しているが、PWも計算対象としてレスポンス値を計算することにより、PWをそのまま送信せずセキュリティを高めることもできる。
[Third Embodiment]
In the mechanism of the first embodiment, when the response value calculated by the
この方法による処理の流れについて、図16のシーケンス図に示す。図16に示すシーケンス図においては、図14に示す第1の実施の形態におけるシーケンス図と比較して、破線で囲んだ部分(ステップS111a〜ステップS115a)の処理のみが変更され、他は、図14の場合と同様である。 The sequence of processing by this method is shown in the sequence diagram of FIG. In the sequence diagram shown in FIG. 16, compared with the sequence diagram in the first embodiment shown in FIG. 14, only the processing of the portion surrounded by the broken line (step S111a to step S115a) is changed. This is the same as the case of 14.
この方法では、ルータ14でレスポンス値を計算する際、認証制御部32は、HTTPリクエストから抽出したチャレンジ値と、ルータ14内部に格納したデバイス番号及び暗号鍵と、ユーザが入力したPWから、レスポンス値を計算し(ステップS111a)、HTTPリクエストを生成して、HTTP転送部31が、認証サーバ17の認証実施用ページへHTTPリクエストを送信する(ステップS112a)。
In this method, when the response value is calculated by the
認証サーバ17の認証処理部42は、HTTPリクエストからチャレンジ値、レスポンス値、デバイス番号を抽出する。次に、認証処理部42は、デバイス番号をキーとして、ユーザDB43のデバイス情報テーブル61からデバイス番号がマッチする1つの暗号鍵を、IDテーブルからデバイス番号がマッチする複数のPWを抽出する。さらに、チャレンジ値、デバイス番号、暗号鍵及び各PWからレスポンス値を計算する(ステップS113a)。そして、受信したHTTPリクエスト内のレスポンス値と計算したレスポンス値を照合する(ステップS114a)。そして、一致するPWが存在していた場合、ユーザが認証されたものとし、IDテーブルから一致したPWに対応したIDを抽出し、ユーザ端末10に送信する(ステップS115a)。
The
[第4の実施の形態]
第1の実施の形態例の仕組みにおいては、ルータによるユーザ認証とPWによるユーザ認証を同一のシーケンスで実施しているが、シーケンスを分離して、ルータによるユーザ認証(グループ単位の認証)を行った後に、PWによるユーザ認証(個人認証)を行うことにより、ユーザが本発明に対応したルータ14を使用していない場合にも、認証サーバ17がPW入力画面を生成してしまう負荷を低減させることもできる。
[Fourth Embodiment]
In the mechanism of the first embodiment, the user authentication by the router and the user authentication by the PW are performed in the same sequence, but the user authentication (group unit authentication) by the router is performed by separating the sequences. Then, by performing user authentication (personal authentication) by PW, even when the user does not use the
図17は、第4の実施の形態例における処理の流れを示すシーケンス図であり、以下、図17を参照して説明する。なお、図17に示す処理ステップS201からステップS214までの処理が、図14に示す第1の実施の形態例における処理ステップS105からステップS115の処理に置き換わるものである。 FIG. 17 is a sequence diagram showing the flow of processing in the fourth embodiment, and will be described below with reference to FIG. Note that the processing from step S201 to step S214 shown in FIG. 17 is replaced with the processing from step S105 to step S115 in the first embodiment shown in FIG.
第1の実施の形態例では、認証サーバ17からユーザ端末10へ認証要求を送信する際に、チャレンジ値に加えてPW入力画面を提示するためのHTMLデータを送信していたが、本実施の形態例ではチャレンジ値のみを送信する(ステップS201、S202)。ユーザ端末10はHTTPリクエストを生成して、送信先アドレスへ送信する(ステップS203)。ルータは、ユーザ端末10からのHTTPリクエストを受信すると、送信先のアドレスが、事前に設定した認証サーバ17のアドレスであるか(ステップS204)、さらに送信先のページが事前に設定した認証サーバ17の認証実施用のページであるかをチェックする(ステップS205)。
In the first embodiment, when transmitting an authentication request from the
そして、第1の実施の形態例と同様に、ルータ14が内部に格納されたデバイス番号と暗号鍵を用いて、レスポンス値を計算し(ステップS206)、認証サーバ17へ送信する(ステップS207)。認証サーバ17は、事前にユーザDB43に登録したデバイス番号等からレスポンス値を計算し、受信したレスポンス値と照合する(ステップS208)。
Then, similarly to the first embodiment, the
正しく照合された場合、認証サーバ17の認証処理部42は、送信先アドレスとしてアクセスしてきたユーザのユーザ端末10のアドレスを設定し、PW送信先アドレスとして認証サーバ17の認証実施用ページのアドレスを設定し、ユーザ端末10のWEBブラウザへPW入力両面を提示するためのHTMLデータを格納したHTTPレスポンスを生成して、HTTP処理部41へ渡す。HTTP処理部41は、認証処理部42より渡されたHTTPレスポンスを送信先アドレス(ユーザ端末10)へ送信する(ステップS209、S210)。
When the verification is correctly performed, the
ユーザ端末10のWEBブラウザは、認証サーバ17より受信したHTTPレスポンス内に格納されたHTMLデータを解釈し、ユーザ端末10にPW入力画面を表示する。ユーザは、ルータ14に格納されたデバイス番号毎に事前に設定された複数のPWの中から、1つのPWを選択してPW入力画面へ入力し、PW入力画面に表示される確認ボタンを押下する(ステップS211)。すると、ユーザ端末10のWEBブラウザは、送信先アドレスとして認証サーバ17から通知された認証サーバ17の認証実施用ページのアドレスと、データとしてユーザが入力したPWとを設定したHTTPリクエストを生成して、送信先アドレス(認証サーバ17)へ送信する(ステップS212)。
The WEB browser of the
認証サーバ17のHTTP処理部41が、WEBブラウザからの認証サーバ17の認証実施用ページへのHTTPリクエストを受信した際、認証処理部42が、HTTPリクエストからユーザが入力したPWを抽出する。
When the
次に、認証処理部42は、ユーザDB43のデバイス情報テーブル61からPWを抽出し、受信したHTTPリクエスト内のPWと、ルータ14内のデバイス番号による認証時に受信したデバイス番号をキーとして、ユーザDB43のIDテーブルから、同一のデバイス番号を持ち異なるPWを有するレコードの中から一致するレコードを探す(ステップS213)。
Next, the
一致するレコードが存在した場合、レコードに格納されたIDを抽出する。さらに、送信先として、アクセスしてきたユーザの使用するルータ14のアドレスと、再接続先として、ユーザのWEBブラウザを介してアプリケージョンサーバから受信したHTTPリクエストに格納された戻り先アドレスと、データとして抽出したIDを設定したHTTPレスポンスを生成して、HTTP処理部41へ渡す。HTTP処理部41は、認証処理部42より渡されたHTTPレスポンスを送信先アドレスへ送信する(ステップS214)。
If there is a matching record, the ID stored in the record is extracted. Further, as the transmission destination, the address of the
以上のような処理手順により、最初にグループ単位での認証を行い、その後にPWによるユーザの個々の認証が可能となる。 By the processing procedure as described above, authentication is performed in units of groups first, and then individual authentication of users by PW becomes possible.
[第5の実施の形態]
第1の実施の形態例では、ルータ14内にデバイス番号と暗号鍵を格納していたが、ハードウェアキー(例えば、ICカードなど)内にデバイス番号と暗号鍵を格納し、ルータ14及びユーザ端末10でハードウェアキーを着脱可能とすることもできる。
[Fifth Embodiment]
In the first embodiment, the device number and the encryption key are stored in the
この場合、ルータ14は、ハードウェアキーが装着されていた場合のみ、HTTP転送部31が受信したHTTPリクエストの送信先アドレスのチェックを行い、認証サーバ17との間の認証処理を行う。これにより、異なるルータ14においても同一のデバイス番号等を送出し、認証サーバ17がアプリケーションサーバ18へ同一のIDを送出することができる。また、ルータ14が送出するデバイス番号等をユーザ端末10から送出し、認証サーバ17がアプリケーションサーバ18へ同一のIDを送出することができる。
In this case, the
図18は、ルータ14にハードウェアキーを装着した際に、ルータ14がレスポンス値を計算して認証サーバ17へ通知する流れについて示すシーケンス図である。なお、図18に示すシーケンス図は、図14に示す第1の実施の形態のシーケンス図と比較して、処理ステップS301からステップS304までの処理が、図14に示す第1の実施の形態例における処理ステップS109からステップS111の処理に置き換わるものである。すなわち、ハードウェアキーが装着されていた場合のみ(ステップS301)、HTTP転送部31が受信したHTTPリクエストの送信先アドレスのチェックを行い、認証サーバ17との間の認証処理を行う(ステップS302、S303、S304)。
FIG. 18 is a sequence diagram illustrating a flow in which the
図19は、ユーザ端末10にハードウェアキーを装着する場合の、ユーザ端末10のシステム構成例を示す図である。図19に示すユーザ端末10は、WEBブラウザ192からのHTTPリクエストを受信し、送信先アドレス及びページなどに基づき転送処理を行うためのHTTP転送部191を有している。また、認証サーバ17がユーザ端末10を特定し認証するための情報である「デバイス番号194」と「暗号鍵195」を格納する「ハードウェアキー196」を有している。また、認証制御部193は、デバイス番号194と暗号鍵195を用いて、認証サーバ17との間で認証を行うための処理部である。
FIG. 19 is a diagram illustrating a system configuration example of the
また、図20は、ユーザ端末10がレスポンス値を計算して認証サーバ17へ通知する処理の流れを示すシーケンス図である。なお、図20に示すシーケンス図は、図14に示す第1の実施の形態のシーケンス図と比較して、処理ステップS401からステップS407までの処理が、図14に示す第1の実施の形態例における処理ステップS107からステップS112の処理に置き換わるものである。
FIG. 20 is a sequence diagram illustrating a flow of processing in which the
すなわち、ユーザ端末10ではPWを入力して(ステップS401)、HTTPリクエストを行う(ステップS402)。ハードウェアキーが装着されていた場合のみ(ステップS403)、HTTPリクエストの送信先アドレス(認証サーバ17)のチェックを行い(ステップS404)、また認証実施用のページかどうかをチェックし(ステップS405)、ハードウェアキー内のデバイス番号、暗号鍵、チャレンジ値よりレスポンス値を計算し(ステップS406)、「チャレンジ値+レスポンス値+デバイス番号+PW」を認証サーバ17に送信する(ステップS407)。
That is, the
[第6の実施の形態]
第5の実施の形態例において、ユーザが複数のハードウェアキーを使用する場合、ユーザ端末10とルータ14の双方にハードウェアキーを装着した際に、ルータ14に装着されたハードウェアキーではなく、ユーザ端末10に装着されたハードウェアキー内に格納されたデバイス番号と暗号鍵により、認証サーバ17がユーザ認証を行うようにする。
[Sixth Embodiment]
In the fifth embodiment, when the user uses a plurality of hardware keys, when the hardware keys are attached to both the
図21は、ユーザ端末10とルータ14の双方にハードウェアキーを装着した場合の処理の流れを示すシーケンス図である。以下、図21を参照してその処理の流れについて説明する。なお、図21に示すシーケンス図は、図20に示すシーケンス図と比較して、ステップS403からステップS406までは図20に示すシーケンスと同様であり、ステップS501からステップS505までのルータ14における処理が追加されたものである。
FIG. 21 is a sequence diagram illustrating a processing flow when hardware keys are attached to both the
ユーザの認証にあたり、ユーザ端末10のHTTP転送部191は、WEBブラウザからのHTTPリクエストを受信すると、送信先のアドレスが、事前に設定した認証サーバ17のアドレスであるか、さらに送信先のページが事前に設定した認証サーバ17の認証実施用のページであるかをチェックする(ステップS403、S404、S405)。
In authenticating the user, when the
送信先アドレスが認証サーバ17の認証実施用のページであった場合、ユーザ端末10内の認証制御部193は、HTTPリクエストから抽出したチャレンジ値と、ハードウェアキー内部に格納したデバイス番号及び暗号鍵から、レスポンス値を計算する(ステップS406)。
When the transmission destination address is the authentication execution page of the
さらに、送信先アドレスとして認証サーバ17から通知された認証サーバ17の認証実施用ページのアドレスと、データとして認証サーバ17から通知されたチャレンジ値、ユーザが入力したPW、計算したレスポンス値及びハードウェアキー内部から抽出したデバイス番号とを設定し、さらにHTTPヘッダ部分に、ユーザ端末10に装着されたハードウェアキーを使用して認証することを示すフラグを設定したHTTPリクエストを生成して、送信先アドレスへ送信する(ステップS501)。
Further, the address of the authentication execution page of the
ユーザ網とインターネットの境界に設置されたルータ14のHTTP転送部31は、ユーザのWEBブラウザからのHTTPリクエストを受信すると、送信先のアドレスが、事前に設定した認証サーバ17のアドレスであるか(ステップS502)、さらに送信先のページが事前に設定した認証サーバ17の認証実施用のページであるかをチェックする(ステップS503)。
When the
送信先アドレスが、事前に設定した認証サーバ17の認証実施用のページであった場合、さらにHTTP転送部が、HTTPヘッダに端末でレスポンス値を生成した旨を示すフラグが設定されているかをチェックする(ステップS504)。
If the destination address is a
フラグが設定されている場合は、特別な動作を行わず認証サーバ17へHTTPリクエストを送信する。フラグが設定されていない場合は認証制御部32が、HTTPリクエスト内のチャレンジ値などを用いてレスポンスを生成後、認証サーバ17へHTTPリクエストを送信する(ステップS505)。
When the flag is set, the HTTP request is transmitted to the
以上説明したように、本発明のユーザ認証システムにおいては、高いセキュリティ強度を保ちつつ、グループ単位の認証と個人単位の認証を同時に実施することができる点で、ユーザの利便性に効果がある。また、高いセキュリティ強度を保ちつつ、高いコストのハードウェアキーを配布することなくPWの配布のみで、個人を認証することができる点で、ユーザのコスト削減に効果がある。また、ハードウェアキーが装着不可能なユーザ端末も、ブラウザさえ有していれば、ルータ内のIDを使用して認証が可能となる。また、高いセキュリティ強度を保ちつつ、同一の認証情報を利用したグループ単位の認証を、様々な場所で実施可能である点で、ユーザの利便性に効果がある。 As described above, the user authentication system of the present invention is effective in user convenience in that group-level authentication and individual-level authentication can be performed simultaneously while maintaining high security strength. In addition, while maintaining high security strength, it is possible to authenticate an individual only by distributing a PW without distributing a high-cost hardware key, which is effective in reducing the cost of the user. Also, a user terminal that cannot be fitted with a hardware key can be authenticated using an ID in the router as long as it has a browser. In addition, it is effective for the user in that group-based authentication using the same authentication information can be performed in various places while maintaining high security strength.
また、上述したユーザ端末10、ルータ14、認証サーバ17、およびアプリケーションサーバ18は内部にコンピュータシステムを有している。
Further, the above-described
そして、上述した処理に関する一連の処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。 A series of processes related to the above-described process is stored in a computer-readable recording medium in the form of a program, and the above-described process is performed by the computer reading and executing this program.
すなわち、ユーザ端末10、ルータ14、認証サーバ17、およびアプリケーションサーバ18における各処理は、CPU等の中央演算処理装置がROMやRAM等の主記憶装置に上記プログラムを読み出して、情報の加工、演算処理を実行することにより、実現されるものである。
That is, each processing in the
ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。 Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.
以上、本発明の実施の形態について説明したが、本発明のユーザ認証システムは、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。 The embodiment of the present invention has been described above. However, the user authentication system of the present invention is not limited to the illustrated example described above, and various modifications can be made without departing from the scope of the present invention. Of course.
本発明においては、高いセキュリティ強度を保ちつつ、グループ単位の認証と個人単位の認証を同時に実施することができる効果を奏するので、本発明は、ユーザ認証システム、及びユーザ認証方法等に有用である。 In the present invention, it is possible to simultaneously perform group-unit authentication and individual-unit authentication while maintaining high security strength. Therefore, the present invention is useful for a user authentication system, a user authentication method, and the like. .
10、11、12 ユーザ端末
13 ユーザ網
14 ルータ
15 ユーザ回線
16 インターネット
17 認証サーバ
18 アプリケーションサーバ
21 WEBブラウザ
31 ルータのHTTP転送部
32 ルータの認証制御部
33 デバイス番号
34 暗号鍵
41 認証サーバのHTTP処理部
42 認証サーバの認証処理部
43 認証サーバのユーザDB
51 アプリケーションサーバのHTTP処理部
52 アプリケーションサーバの認証処理部
53 アプリケーションサーバのユーザDB
61 デバイス情報テーブル
62 IDテーブル
71 ユーザ情報テーブル
191 ユーザ端末のHTTP転送部
192 ユーザ端末のWEBブラウザ
193 ユーザ端末の認証制御部
194 デバイス番号
195 暗号鍵
10, 11, 12
51 HTTP processing unit of
61 Device Information Table 62 ID Table 71 User Information Table 191 HTTP Transfer Unit of
Claims (8)
前記認証サーバが、ユーザ回線の終端位置に設置されるルータ毎に付与するデバイス番号と暗号鍵とIDとを生成して登録し、該生成したデバイス番号と暗号鍵を前記ルータに事前に格納すると共に、前記IDをアプリケーションサーバに事前に格納する手段と、
前記アプリケーションサーバがユーザ認証を必要とする際に、前記認証サーバによるユーザ認証を要求する手段と、
認証要求を受けた前記認証サーバが、ユーザ端末ヘチャレンジ値を含む認証要求を送出する手段と、
前記ルータが、ユーザ端末を経由して、前記認証サーバからのチャレンジ値を含む認証要求を検出した場合に、ルータ内に格納したデバイス番号と暗号鍵を抽出してレスポンス値を計算し、前記チャレンジ値及びデバイス番号と共に認証サーバへ送出する手段と、
前記認証サーバが、前記レスポンス値、チャレンジ値及びデバイス番号をルータから受信した場合に、認証サーバ内に登録されたデバイス番号と暗号鍵および受信したチャレンジ値を基にレスポンス値を計算して照合を行い、正しく照合された場合に、ルータ毎に付与されるIDを前記アプリケーションサーバへ送出する手段と
を備えることを特徴とするユーザ認証システム。 When a user authentication is required by an application server installed on the Internet, a user authentication system that authenticates a user by an authentication server installed on the Internet and notifies the application server of the authentication result and performs user authentication. And
The authentication server generates and registers a device number, an encryption key, and an ID to be assigned to each router installed at the end position of the user line, and stores the generated device number and encryption key in the router in advance. And means for storing the ID in the application server in advance,
Means for requesting user authentication by the authentication server when the application server requires user authentication;
Means for sending an authentication request including a challenge value to the user terminal, the authentication server receiving the authentication request;
When the router detects an authentication request including a challenge value from the authentication server via a user terminal, the router extracts a device number and an encryption key stored in the router, calculates a response value, and Means for sending to the authentication server along with the value and device number;
When the authentication server receives the response value, challenge value, and device number from the router, the response value is calculated based on the device number registered in the authentication server, the encryption key, and the received challenge value, and verified. And a means for sending an ID assigned to each router to the application server when it is correctly verified.
ルータがユーザ端末に入力されたPWを受信した場合に、ルータが認証サーバヘレスポンス値を含む認証要求を送出する際に、前記PWを合わせて通知する手段と、
前記認証サーバが前記レスポンス値とPWを含む認証要求によりユーザ認証を行う手段と
を備えることを特徴とする請求項1に記載のユーザ認証システム。 Means for setting one PW for each device number stored in the router in advance by the authentication server and presenting a PW input screen to the user terminal when the authentication server performs user authentication;
Means for notifying the PW together when the router sends an authentication request including a response value to the authentication server when the router receives the PW input to the user terminal;
The user authentication system according to claim 1, wherein the authentication server includes means for performing user authentication by an authentication request including the response value and PW.
ユーザ端末に前記複数設定されたPWの中から1つのPWを選択して入力することにより、前記認証サーバからアプリケーションサーバヘ送出するIDをPW毎に変更する手段と
を備えることを特徴とする請求項2に記載のユーザ認証システム。 Means for the authentication server to set a plurality of PWs and IDs corresponding to each PW for each device number;
And a means for changing, for each PW, an ID transmitted from the authentication server to the application server by selecting and inputting one PW from among the plurality of PWs set in the user terminal. Item 3. The user authentication system according to Item 2.
ルータに前記ハードウェアキーを装着し、異なるルータにおいても同一のデバイス番号及び暗号鍵の情報を送出して認証サーバが認証し、該認証サーバがルータ配下のユーザ端末に共通のIDをアプリケーションサーバへ送出する手段と、
ユーザ端末に前記ハードウェアキーを装着し、ルータが送出するデバイス番号及び暗号鍵の情報をユーザ端末から送出して認証サーバが認証し、1つのユーザ端末で、ルータにハードウェアキーが装着された場合と同じIDをアプリケーションサーバへ送出する手段と
を備えることを特徴とする請求項1に記載のユーザ認証システム。 Means for attaching / detaching a hardware key, which is a recording medium storing the device number and encryption key of the router, in the router and the user terminal;
Attach the hardware key to the router, send the same device number and encryption key information in different routers, and the authentication server authenticates, and the authentication server sends the common ID to the user terminals under the router to the application server Means for sending out;
The hardware key is attached to the user terminal, the device number and encryption key information sent by the router is sent from the user terminal, the authentication server authenticates, and the hardware key is attached to the router at one user terminal. The user authentication system according to claim 1, further comprising means for sending the same ID as the case to the application server.
前記認証サーバが、ユーザ回線の終端位置に設置されるルータ毎に付与するデバイス番号と暗号鍵とIDとを生成して登録し、該生成したデバイス番号と暗号鍵を前記ルータに事前に格納すると共に、前記IDをアプリケーションサーバに事前に格納する手順と、
前記アプリケーションサーバがユーザ認証を必要とする際に、前記認証サーバによるユーザ認証を要求する手順と、
認証要求を受けた前記認証サーバが、ユーザ端末ヘチャレンジ値を含む認証要求を送出する手順と、
前記ルータが、ユーザ端末を経由して、前記認証サーバからのチャレンジ値を含む認証要求を検出した場合に、ルータ内に格納したデバイス番号と暗号鍵を抽出してレスポンス値を計算し、前記チャレンジ値及びデバイス番号と共に認証サーバへ送出する手順と、
前記認証サーバが、前記レスポンス値、チャレンジ値及びデバイス番号をルータから受信した場合に、認証サーバ内に登録されたデバイス番号と暗号鍵および受信したチャレンジ値を基にレスポンス値を計算して照合を行い、正しく照合された場合に、ルータ毎に付与されるIDを前記アプリケーションサーバへ送出する手順と
を含むことを特徴とするユーザ認証方法。 This is a user authentication method in which when an application server installed on the Internet requires user authentication, the authentication server installed on the Internet authenticates the user, notifies the application server of the authentication result, and performs user authentication. And
The authentication server generates and registers a device number, an encryption key, and an ID to be assigned to each router installed at the end position of the user line, and stores the generated device number and encryption key in the router in advance. And storing the ID in the application server in advance,
A procedure for requesting user authentication by the authentication server when the application server requires user authentication;
The authentication server that has received the authentication request sends out an authentication request including a challenge value to the user terminal;
When the router detects an authentication request including a challenge value from the authentication server via a user terminal, the router extracts a device number and an encryption key stored in the router, calculates a response value, and Sending it to the authentication server along with the value and device number;
When the authentication server receives the response value, the challenge value, and the device number from the router, the response value is calculated based on the device number registered in the authentication server, the encryption key, and the received challenge value. And a procedure for sending an ID assigned to each router to the application server when the verification is correctly performed.
ルータがユーザ端末に入力されたPWを受信した場合に、ルータが認証サーバヘレスポンス値を含む認証要求を送出する際に、前記PWを合わせて通知する手順と、
前記認証サーバが前記レスポンス値とPWを含む認証要求によりユーザ認証を行う手順と
を含むことを特徴とする請求項5に記載のユーザ認証方法。 A procedure for setting one PW for each device number stored in the router in advance by the authentication server and presenting a PW input screen to the user terminal when the authentication server performs user authentication;
A procedure for notifying the PW together when the router sends an authentication request including a response value to the authentication server when the router receives the PW input to the user terminal;
The user authentication method according to claim 5, further comprising: a procedure in which the authentication server performs user authentication by an authentication request including the response value and PW.
ユーザ端末に前記複数設定されたPWの中から1つのPWを選択して入力することにより、前記認証サーバからアプリケーションサーバヘ送出するIDをPW毎に変更する手順と
を含むことを特徴とする請求項6に記載のユーザ認証方法。 A procedure in which the authentication server sets a plurality of PWs and IDs corresponding to the PWs for each device number;
And a procedure for changing the ID sent from the authentication server to the application server for each PW by selecting and inputting one PW from among the plurality of PWs set in the user terminal. Item 7. The user authentication method according to Item 6.
ルータに前記ハードウェアキーを装着し、異なるルータにおいても同一のデバイス番号及び暗号鍵の情報を送出して認証サーバが認証し、該認証サーバがルータ配下のユーザ端末に共通のIDをアプリケーションサーバへ送出する手順と、
ユーザ端末に前記ハードウェアキーを装着し、ルータが送出するデバイス番号及び暗号鍵の情報をユーザ端末から送出して認証サーバが認証し、1つのユーザ端末で、ルータにハードウェアキーが装着された場合と同じIDをアプリケーションサーバへ送出する手順と
を含むことを特徴とする請求項5に記載のユーザ認証方法。
A procedure for attaching / detaching a hardware key, which is a recording medium storing a device number and encryption key of a router, in the router and a user terminal;
Attach the hardware key to the router, send the same device number and encryption key information in different routers, and the authentication server authenticates, and the authentication server sends the common ID to the user terminals under the router to the application server Sending procedure,
The hardware key is attached to the user terminal, the device number and encryption key information sent by the router is sent from the user terminal, the authentication server authenticates, and the hardware key is attached to the router at one user terminal. The user authentication method according to claim 5, further comprising: a procedure of sending the same ID as the case to the application server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122943A JP2005309590A (en) | 2004-04-19 | 2004-04-19 | User authentication system and user authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122943A JP2005309590A (en) | 2004-04-19 | 2004-04-19 | User authentication system and user authentication method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005309590A true JP2005309590A (en) | 2005-11-04 |
Family
ID=35438343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004122943A Pending JP2005309590A (en) | 2004-04-19 | 2004-04-19 | User authentication system and user authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005309590A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250525A (en) * | 2007-03-29 | 2008-10-16 | Kyocera Corp | Authentication program, authentication method, and portable terminal |
| KR100943921B1 (en) | 2007-09-04 | 2010-02-24 | 경원대학교 산학협력단 | Issuance system of group property certificate, license issuance system and license issuance method using the group property certificate |
| JP2013537729A (en) * | 2010-06-10 | 2013-10-03 | アルカテル−ルーセント | Secure registration of a group of clients using a single registration procedure |
-
2004
- 2004-04-19 JP JP2004122943A patent/JP2005309590A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250525A (en) * | 2007-03-29 | 2008-10-16 | Kyocera Corp | Authentication program, authentication method, and portable terminal |
| KR100943921B1 (en) | 2007-09-04 | 2010-02-24 | 경원대학교 산학협력단 | Issuance system of group property certificate, license issuance system and license issuance method using the group property certificate |
| JP2013537729A (en) * | 2010-06-10 | 2013-10-03 | アルカテル−ルーセント | Secure registration of a group of clients using a single registration procedure |
| US9450928B2 (en) | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105164689B (en) | User authentication system and method | |
| KR101676215B1 (en) | Method for signing electronic documents with an analog-digital signature with additional verification | |
| CN101997824B (en) | Identity identifying method based on mobile terminal and device thereof and system | |
| US20070130618A1 (en) | Human-factors authentication | |
| KR20210095093A (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| RU2670031C2 (en) | System and method of identification and / or authentication | |
| KR20130107188A (en) | Server and method for authentication using sound code | |
| CN101540757A (en) | Method and system for identifying network and identification equipment | |
| KR102372503B1 (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| US7555655B2 (en) | Apparatus, system, and method for generating and authenticating a computer password | |
| JP2008242926A (en) | Authentication system, authentication method, and authentication program | |
| US8438620B2 (en) | Portable device for clearing access | |
| JP2015082140A (en) | One-time password issuing device, program, and one-time password issuing method | |
| JP6171988B2 (en) | Authentication information management system, authentication information management device, and program | |
| US20100257366A1 (en) | Method of authenticating a user | |
| EP2926527B1 (en) | Virtual smartcard authentication | |
| KR101831381B1 (en) | Method of smart login using messenger service and device thereof | |
| JP6118128B2 (en) | Authentication system | |
| WO2013118302A1 (en) | Authentication management system, authentication management method, and authentication management program | |
| JP2009093580A (en) | User authentication system | |
| JP2005309590A (en) | User authentication system and user authentication method | |
| JP4718917B2 (en) | Authentication method and system | |
| JP2002245008A (en) | Method and apparatus for verifying right using certificate, program and recording medium | |
| JP2003233595A (en) | User authentication system and method for mobile phone terminal, and user authentication program | |
| JP4671686B2 (en) | Network file system and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070307 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100506 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100907 |