JP2010049477A - Authentication system, authentication method, card device and authentication request device - Google Patents
Authentication system, authentication method, card device and authentication request device Download PDFInfo
- Publication number
- JP2010049477A JP2010049477A JP2008212964A JP2008212964A JP2010049477A JP 2010049477 A JP2010049477 A JP 2010049477A JP 2008212964 A JP2008212964 A JP 2008212964A JP 2008212964 A JP2008212964 A JP 2008212964A JP 2010049477 A JP2010049477 A JP 2010049477A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- policy
- management server
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000004891 communication Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Abstract
Description
本発明はICカード利用時の認証に関する。 The present invention relates to authentication when using an IC card.
近年ではカードを利用した多くのサービスが行われている。カードの種類として磁気カードやICカードがあり、ICカードには接触型と非接触型がある。特に非接触型IC(Integrated Circuit)カードは接触せずにデータ交換が可能なため利便性が高く、非接触型ICカードを利用した多様なサービスが展開されている。 In recent years, many services using cards have been performed. There are magnetic cards and IC cards as types of cards, and there are contact type and non-contact type IC cards. In particular, non-contact IC (Integrated Circuit) cards are highly convenient because data can be exchanged without contact, and various services using non-contact IC cards are being developed.
ユーザは、例えば非接触型ICカードによる電子マネーで料金を支払ったり、ICカードで電車やバスなどの交通機関を利用したりできる。またICカードが携帯電話機に搭載され、その利便性が更に高まっている。そして今後、ICカードを利用したサービスの種類はさらに増加していくことが予想される。 For example, the user can pay with electronic money using a contactless IC card, or can use transportation such as a train or a bus with the IC card. In addition, an IC card is mounted on a mobile phone, and its convenience is further increased. In the future, the types of services using IC cards are expected to increase further.
電子マネーによって決済処理を行う決済システムやICカードを乗車券として改札処理を行う改札システム等に代表されるICカードシステムでは、ICカードと、ICカードリーダライタを組み込んだ通信装置とが近距離無線通信(NFC(Near Field Communication))を行うことにより処理が行われる。 In an IC card system typified by a payment system that performs payment processing using electronic money or a ticket gate system that performs ticket processing using an IC card as a ticket, an IC card and a communication device incorporating an IC card reader / writer are short-range wireless. Processing is performed by performing communication (NFC (Near Field Communication)).
しかし、一般にICカードシステムでは、ユーザは手軽にICカードを利用できるが、その一方で、ユーザ本人を認証することが行われてない。そのため、盗難等により第三者がICカードを容易に不正利用できてしまう。したがって、ユーザをいかにして認証するかがセキュリティ上の課題である。それに対して、これまで様々な認証技術が提案されている(特許文献1、2参照)。認証においてユーザを識別するための情報として、パスワード、指紋情報、顔認識情報、等が知られている。
ICカード利用時に指紋や顔認識などを用いてユーザ認証を行うことにすれば、ICカードシステムにおいてセキュリティ性は向上する。しかしその一方で、認証のための操作や行動をユーザに要求することになるので、ICカードの利便性は損なわれる。 If user authentication is performed using fingerprints or face recognition when using an IC card, the security of the IC card system is improved. However, on the other hand, since the user is required to perform an authentication operation and action, the convenience of the IC card is impaired.
上述したようにICカードを利用したサービスには様々なものがある。その中には、高いセキュリティ性を要求するサービスもあれば、それほど高いセキュリティ性を要求しない代りに高い利便性を要求するサービスもある。また、高いセキュリティ性が要求されるサービスにICカードを利用したいユーザもいれば、利便性の高いサービスにICカードを利用したユーザもいる。このように認証に対する要求は多様である。 As described above, there are various services using IC cards. Among them, there are services that require high security, and services that require high convenience instead of requiring high security. In addition, there are users who want to use IC cards for services that require high security, and there are users who use IC cards for services that are highly convenient. Thus, there are various requests for authentication.
しかし、特許文献1、2に開示された認証技術は、認証に対して多様な要求があることを考慮したものではなかった。そのため、カードの利用時に、要求に応じた認証条件で認証を行うことができなかった。 However, the authentication techniques disclosed in Patent Documents 1 and 2 do not take into consideration that there are various requirements for authentication. For this reason, at the time of using the card, it has not been possible to perform authentication under the authentication condition according to the request.
本発明の目的は、カード利用の際に要求条件に合った認証を行うことを可能にする技術を提供することである。 An object of the present invention is to provide a technique that makes it possible to perform authentication that meets required conditions when using a card.
上記目的を達成するために、本発明の認証システムは、
ユーザが予め登録した認証の種別を示す認証ポリシー情報を保持する認証ポリシー管理サーバと、
前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を保持するカード装置と、
要求条件とされる認証の種別を示す要求条件情報が予め設定されており、前記カード装置を利用しようとするユーザについて、前記要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報と前記カード装置に保持されている前記認証状況情報とに基づいて判定する認証要求装置と、を有している。
In order to achieve the above object, the authentication system of the present invention provides:
An authentication policy management server that holds authentication policy information indicating the type of authentication registered in advance by the user;
A card device that holds authentication status information indicating whether or not the type of authentication registered as the authentication policy information in the authentication policy management server;
Request condition information indicating the type of authentication that is a request condition is preset, and whether or not the type indicated by the request condition information has been authenticated for a user who intends to use the card device, An authentication requesting device that makes a determination based on the authentication policy information held in the authentication policy management server and the authentication status information held in the card device.
本発明の認証方法は、カード装置と認証要求装置の間の通信によりユーザの認証を行うための認証方法であって、
認証ポリシー管理サーバにて、ユーザが予め登録した認証の種別を示す認証ポリシー情報を保持し、
前記カード装置にて、前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を保持し、
前記認証要求装置にて、要求条件とされる認証の種別を示す要求条件情報を保持し、
前記認証要求装置にて、前記カード装置を利用しようとするユーザについて、前記要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報と前記カード装置に保持されている前記認証状況情報とに基づいて判定する。
An authentication method of the present invention is an authentication method for authenticating a user by communication between a card device and an authentication requesting device,
The authentication policy management server holds authentication policy information indicating the type of authentication registered in advance by the user,
The card device holds authentication status information indicating whether or not the type of authentication registered as the authentication policy information in the authentication policy management server,
In the authentication requesting device, holding request condition information indicating a type of authentication to be a request condition,
The authentication policy information stored in the authentication policy management server indicates whether or not the type of authentication indicated by the request condition information has been performed for a user who intends to use the card device in the authentication requesting device. And the authentication status information held in the card device.
本発明の一態様によるカード装置は、
ユーザが予め登録した認証の種別を示す認証ポリシー情報を認証ポリシー管理サーバに登録するポリシー管理手段と、
前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を管理する認証状況管理手段と、を有している。
A card device according to an aspect of the present invention includes:
Policy management means for registering authentication policy information indicating the type of authentication registered in advance by the user in the authentication policy management server;
Authentication status management means for managing authentication status information indicating whether or not the type of authentication policy information registered in the authentication policy management server has been authenticated.
本発明の一態様による認証要求装置は、
認証ポリシー管理サーバに保持された、ユーザが予め登録した認証の種別を示す認証ポリシー情報を取得する認証ポリシー問合せ手段と、
カード装置に保持された、前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を取得する認証情報受付手段と、
前記カード装置を利用しようとするユーザについて、要求条件として予め設定された認証の種別を示す要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバから取得された前記認証ポリシー情報と、前記カード装置から取得された前記認証状況情報とに基づいて判定する認証チェック手段と、
を有している。
An authentication requesting apparatus according to an aspect of the present invention is provided.
Authentication policy inquiry means for acquiring authentication policy information indicating the type of authentication registered in advance by the user, held in the authentication policy management server;
Authentication information receiving means for acquiring authentication status information indicating whether or not authentication of the type registered as the authentication policy information in the authentication policy management server is held in a card device;
Whether the type of authentication indicated by the request condition information indicating the type of authentication set in advance as a request condition for the user who intends to use the card device is acquired from the authentication policy management server. Authentication check means for determining based on authentication policy information and the authentication status information acquired from the card device;
have.
本発明によれば、要求条件とされた種別の認証が、サービスを利用しようとするユーザについて行われているか否かを判定されるので、要求に合った条件で認証を行うことができる。 According to the present invention, since it is determined whether or not the type of authentication set as the request condition is performed for the user who intends to use the service, the authentication can be performed under a condition that meets the request.
本発明を実施するための形態について図面を参照して詳細に説明する。図1は、本実施形態による認証システムの構成を示すブロック図である。図1を参照すると、認証システムは、認証ポリシー管理サーバ11、カード装置12、および認証要求装置13を有している。
Embodiments for carrying out the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of the authentication system according to the present embodiment. Referring to FIG. 1, the authentication system includes an authentication
認証ポリシー管理サーバ11および認証要求装置13はネットワーク14に接続されている。カード装置12は非接触ICカードの機能を有する装置であり、一例としてICカードを携帯電話機に搭載した構成である。カード装置12は携帯電話機の機能によってネットワーク14に接続可能である。認証要求装置13は、ICカードのリーダ・ライタを搭載した装置であり、カード装置12と非接触で近距離無線通信を行うことができる。
The authentication
カード装置12は、ICカードが組み込まれた携帯電話機である。カード装置12のユーザは、自身がICカードを用いてサービスを利用するために受ける認証の種別を認証ポリシー情報として予め登録する。
The
認証ポリシー管理サーバ11は、カード装置12のユーザが予め登録した認証の種別を示す認証ポリシー情報を保持する。
The authentication
カード装置12は、認証ポリシー管理サーバ11に認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を保持する。認証の種別として、例えば、パスワードによる認証、指紋による認証、顔認識による認証などが考えられる。その認証は外部認証機関(不図示)から受けるものであってもよい。
The
また、カード装置12は、認証を受けた時刻から一定期間は認証を有効にすることにし、認証がされている旨の認証状況情報をその期間だけ保持することにしてもよい。例えば、認証が有効な期間を再認証期間として、ユーザがカード装置12に設定してもよい。その場合、カード装置12は、認証が行われた時刻に再認証期間の計測を開始し、再認証期間が経過する前に再び認証が行われれば、再認証期間の計測をリセットする。一方、カード装置12は、再認証期間が経過する前に次の認証が行われなければ、認証状況情報を認証が行われていない状態に戻す。認証状況情報を認証が行われていない状態に戻すには、例えば認証状況情報を削除すればよい。
Further, the
認証要求装置13は、電子マネーによって決済処理を行う決済システムにおける決済装置や自動販売機、ICカードを乗車券として改札処理を行う改札システムにおける改札機に相当する装置である。
The
サービス提供者は、ICカードのユーザにサービスを提供する際の要求条件とする認証の種別を設定することができる。認証要求装置13は、ICカードのユーザにサービスを提供する際の要求条件とされる認証の種別を示す要求条件情報が予め設定されており、カード装置12を利用しようとするユーザについて、要求条件情報によって示される種別の外部認証がされているか否かを、認証ポリシー管理サーバ11に保持されている認証ポリシー情報とカード装置12に保持されている認証状況情報とに基づいて判定する。その際、認証要求装置13は、ネットワーク14経由で認証ポリシー管理サーバ11から認証ポリシー情報を取得し、近距離通信によりカード装置12から認証状況情報を取得する。
The service provider can set an authentication type as a request condition when providing a service to the IC card user. The
認証要求装置13は、認証ポリシー管理サーバ11に保持されている認証ポリシー情報の中に、要求条件情報と認証の種別が合致し、かつ、ユーザが利用しようとしたカード装置12から読み出した認証状況情報に対応する認証ポリシー情報があるか否かを調べれば、要求条件情報が示す種別の外部認証がユーザについて行われているか否かを判断することができる。
The
より具体的には、認証要求装置13は、認証ポリシー管理サーバ11に保持されている認証ポリシー情報の中から、要求条件情報と認証の種別が合致する全ての認証ポリシー情報を取得し、取得された認証ポリシー情報の中に認証状況情報に対応するものがあるか否かを調べればよい。
More specifically, the
認証要求装置13では、サービス提供者がサービスを提供する際の要求条件とした種別の認証が、サービスを利用しようとするユーザについて行われている場合にサービスの提供が許可されることにすればよい。
In the
また、カード装置12のユーザが認証の種別を認証ポリシー情報として予め登録する際、カード装置12が携帯電話機の通信機能を用いて認証ポリシー情報を認証ポリシー管理サーバ11に登録することにしてもよい。その場合、認証ポリシー管理サーバ11は、カード装置12によって登録された認証ポリシー情報に認証識別情報を付与し、その認証識別情報を認証ポリシー情報に含めて保持するとともにカード装置12に通知する。
Further, when the user of the
また、カード装置12は、認証ポリシー情報として登録された種別の外部認証がされている場合に、認証ポリシー情報に付与された認証識別情報を認証状況情報として保持することにしてもよい。その場合、認証要求装置13は、認証ポリシー管理サーバ11に保持されている認証ポリシー情報のうち要求条件情報と認証の種別が合致する認証ポリシー情報に含まれている認証識別情報と、認証状況情報としてカード装置12から読み出された認証識別情報とが一致すれば、要求条件情報が示す種別の認証がユーザについて行われていると判断できる。
Further, the
図2は、本実施形態による認証システムの動作を示すシーケンス図である。図2を参照すると、まず、ユーザのカード装置(携帯電話機)12への操作により、予めカード装置12は認証ポリシー管理サーバ11に認証ポリシーを登録する(ステップ101)。
FIG. 2 is a sequence diagram showing the operation of the authentication system according to the present embodiment. Referring to FIG. 2, first, the
その後、ユーザがカード装置12を認証要求装置13に接近させると、近距離通信により、カード装置12から認証要求装置13へ認証状況情報を送付する(ステップ102)。
Thereafter, when the user brings the
認証状況情報を取得した認証要求装置13は、認証ポリシー管理サーバ11を検索し(ステップ103)、自身の要求条件に合致する認証ポリシー群を取得する(ステップ104)。
The
そして、認証要求装置13は、カード装置12から取得した認証状況情報と、認証ポリシー管理サーバ11から取得した認証ポリシー群とを照合することにより、カード装置12を利用しようとするユーザについて、要求条件に合致する認証がされているか否か判定する(ステップ105)。
Then, the
以上説明したように、本実施形態によれば、認証要求装置13では、要求条件とされた種別の認証が、サービスを利用しようとするユーザについて行われているか否かを判定されるので、要求に合った条件で認証を行うことができる。例えば、サービス提供者がサービスを提供する際の要求条件とした種別の認証が、サービスを利用しようとするユーザについて行われている場合にサービスの提供が許可される。
As described above, according to the present embodiment, the
(実施例)
本実施例は上述した実施形態をより具体化した一例である。図3は、本実施例の認証システムの構成を示すブロック図である。図3には、各装置内の構成も示されている。図3を参照すると、認証システムは、図1と同様に、認証ポリシー管理サーバ11、携帯電話機(カード装置)12、および認証要求装置13を有している。
(Example)
This example is an example of a more specific embodiment described above. FIG. 3 is a block diagram showing the configuration of the authentication system of this embodiment. FIG. 3 also shows the configuration within each apparatus. Referring to FIG. 3, the authentication system includes an authentication
携帯電話機12は、ポリシー管理部21と、認証状況管理部22と、認証機能処理部23と、認証情報送信部24と、ポリシー保存部25とを備えている。
The
認証ポリシー管理サーバ11は、認証ポリシー登録部26と、ポリシー保存部27と、認証ポリシー検索部28とを備えている。
The authentication
認証要求装置13は、具体例としては本人生体認証やID認証等の認証をサービス提供の要求条件とする機器であり、認証ポリシー問合せ部31、認証情報受付部32、認証チェック部33、および制限機能部34を備えている。
The
図4は、認証ポリシーの情報の内容を示す図である。図4を参照すると、認証ポリシー4は、認証ID41、再認証期間42、および認証方法43を含む。 FIG. 4 is a diagram showing the contents of authentication policy information. Referring to FIG. 4, the authentication policy 4 includes an authentication ID 41, a re-authentication period 42, and an authentication method 43.
認証ID41は、認証ポリシーを識別するためのユニークな識別情報であり、認証ポリシー管理サーバ11によって生成される。
The authentication ID 41 is unique identification information for identifying the authentication policy, and is generated by the authentication
再認証期間42は、携帯電話機12の認証機能処理部23によって実行された認証の有効期間である。
The re-authentication period 42 is an effective period of authentication executed by the authentication
認証方法43は、ユーザにより設定された認証の種別を示す情報であり、その種別の認証が認証機能処理部23によって実行される。
The authentication method 43 is information indicating the type of authentication set by the user, and authentication of the type is executed by the authentication
図3の携帯電話機12において、ポリシー管理部21は、ユーザからの入力インターフェース、および認証ポリシー管理サーバ11との通信機能を有する。ポリシー管理部21は、ユーザによって認証ポリシーとして入力された認証方法43および再認証期間42を認証ポリシー管理サーバ11に送信する。また、ポリシー管理部21は、認証方法43および再認証期間42を、認証ポリシー管理サーバ11より送付された認証ID41と一緒に、認証ポリシーとしてポリシー保存部25へ格納する。
In the
認証状況管理部22は、認証機能処理部13より認証結果が送信されたときに動作を開始する。認証機能処理部13より認証結果が送信された種別と合致する認証ポリシーをポリシー保存部25から取得し、その認証ポリシーに含まれている認証ID41を認証状況情報として保持する。
The authentication
また、認証状況情報に登録された認証ID41に対して、再認証期間42が経過するまでに、認証機能処理13より同一種別の認証方法43による認証結果が送信されない場合、認証状況管理部22は認証状況情報から該当の認証ID41を削除する。
If the authentication result by the authentication method 43 of the same type is not transmitted from the
また、認証状況管理部22は、認証情報送信部24より認証状況情報が要求されたとき、その時点の認証状況情報を認証情報送信部24に引き渡す。
Further, when authentication status information is requested from the authentication
認証機能処理部23は、指紋や顔認識等による生体認証、外部サーバ(不図示)による機器認証、パスワードによる基本的な認証など、複数種別の認証機能を備えている。各種別の認証が行われると、認証結果を、認証状況管理部22に通知する。
The authentication
認証情報送信部24は、近距離無線通信機能を具備し、認証要求装置13内の認証情報受付部32に接近すると動作を開始する。認証情報送信部24は、認証状況管理部22より認証状況情報を取得し、認証要求装置13の認証情報受付部32に送信する。
The authentication
ポリシー保存部25は、ポリシー管理部21より渡され、認証状況管理部22により利用される認証ポリシーの情報を保存する格納領域である。認証状況情報は、携帯電話機12内の認証状況管理部22により認証された認証ポリシーに含まれる認証ID41を示す。ポリシー保存部25は、認証状況情報として複数の認証IDを格納することが可能である。
The policy storage unit 25 is a storage area that stores authentication policy information that is passed from the
図3の認証ポリシー管理サーバ11において、認証ポリシー登録部26は、携帯電話機12と通信する機能を備えている。認証ポリシー登録部26は、携帯電話機12のポリシー管理部21より、認証方法43および再認証期間42を含む認証ポリシーの情報を受け取ると、ポリシー保存部27を検索し、その認証ポリシーと同じ種別の認証ポリシーがポリシー保存部27にあるか否か判断する。
In the authentication
同じ種別の認証ポリシーがあれば、認証ポリシー登録部26は、その認証ポリシーの認証ID41を携帯電話機13に送信する。一方、同じ種別の認証ポリシーがなければ、認証ポリシー登録部26は一意となる認証ID41を生成し、その認証IDの新たな認証ポリシー41を作成してポリシー保存部27に保存する。また同時に、認証ポリシー登録部26は、生成した認証ID41を携帯電話機12に通知する。
If there is an authentication policy of the same type, the authentication
認証ポリシー検索部28は、認証要求装置13の認証要求装置13と通信する機能を備えている。認証ポリシー検索部28は、認証ポリシー問合せ部31より、要求条件である認証の種別の情報を受け取ると、その種別に合った認証ポリシーを、認証ポリシー管理サーバ11内のポリシー保存部27より検索する。そして、認証ポリシー検索部28は、要求条件に合致した全ての認証ポリシーに含まれる認証ID41を認証要求装置13に通知する。
The authentication
ポリシー保存部27は、認証ポリシー登録部26より登録され、認証ポリシー検索部28よりアクセスされる認証ポリシーの情報を保存する格納領域である。
The policy storage unit 27 is a storage area for storing information on an authentication policy registered by the authentication
図3の認証要求装置13において、認証ポリシー問合せ部31は、認証ポリシー管理サーバ11と通信をする機能を備えている。認証ポリシー問合せ部31は、要求条件に合致する認証ポリシーの取得を認証チェック部33から要求されると、要求条件となっている認証の種別を示す情報を認証ポリシー管理サーバ11に送り、その種別に合致する認証ポリシーの検索を依頼する。認証ポリシー管理サーバ11から検索結果である認証ID41を取得すると、取得した認証IDを認証チェック部33に引き渡す。
In the
認証情報受付部32は、携帯電話機12と近距離無線通信を行う機能を備得ている。認証情報受付部32は、携帯電話機1の認証情報送信部14に接近すると動作を開始する。認証情報受付部32は、認証情報送信部24より認証状況情報を取得し、その認証状況情報を認証チェック部33に送信する。
The authentication
認証チェック部33は、認証情報受付部32より認証状況情報を受信すると、認証ポリシー問合せ部31に要求条件と合致する認証ポリシーの取得を依頼する。認証ポリシー問合せ部31より要求条件と合致する認証ポリシーを示す認証ID41を取得すると、認証情報受付部32より取得した認証状況情報と、認証ID41同士の比較を行う。
Upon receiving the authentication status information from the authentication
認証ポリシー問合せ部31から取得した認証ポリシーの認証IDの中に、認証状況情報の認証IDと一致するものがあれば、認証チェック部33は正常に認証が行われている(認証OK)と判定する。認証ポリシー問合せ部31から取得した認証ポリシーの認証IDの中に、認証状況情報の認証IDと一致するものが無ければ、認証チェック部33は正常に認証が行われていない(認証NG)と判定する。認証ポリシー問合せ部31は、認証の判定結果(認証OKあるいは認証NG)を制限機能部34に通知する。
If any of the authentication IDs of the authentication policy acquired from the authentication
制限機能部34は、認証チェック部33より通知される認証の判定結果を受けると、それに従ってサービス機能を制限する。例えば認証要求装置13が自動販売機であるとし、ユーザが携帯電話機12に組み込まれた非接触型ICカードで商品を購入する場合を想定する。判定結果が認証OKであれば、制限機能部34は決済および商品の払い出しを実行する。判定結果が認証NGであれば、制限機能部34は、ユーザに対して決済出来ない旨のメッセージを通知する。
Upon receiving the authentication determination result notified from the
図5A〜Cは、本実施例の認証システムの操作あるいは動作のイメージを示す図である。図5Aには、ユーザが携帯電話機12に認証ポリシーを入力するときの操作イメージが示されている。このときの動作を動作Aと呼ぶことにする。図5Bには、ユーザが携帯電話機12に具備される認証機能により認証を実施するときの操作イメージが示されている。このときの動作を動作Bと呼ぶことにする。認証の種別としては、指紋認証や顔認識などの生体認証、外部認証機関を利用したパスワード認証、携帯電話機12による機器認証などがある。図5Cには、携帯電話機12と認証要求装置13が近距離通信(NFC通信)を行っているときの動作イメージが示されている。このときの動作を動作Cと呼ぶことにする。
5A to 5C are diagrams illustrating images of operations or operations of the authentication system according to the present embodiment. FIG. 5A shows an operation image when the user inputs an authentication policy to the
まず、動作Aについて説明する。 First, the operation A will be described.
携帯電話機12では、図5Aに示したようにユーザによって認証ポリシーが入力されるとポリシー管理部21が動作を開始し、認証ポリシーとして入力された認証方法43および再認証期間42を、認証ポリシー管理サーバ11の認証ポリシー登録部26に送信する。
In the
認証ポリシー管理サーバ11では、認証ポリシー登録部26は、ポリシー管理部11より認証ポリシーを受け取ると、ポリシー保存部27内に種別の一致する認証ポリシーがあるかどうか検索する。一致する認証ポリシーがあれば、認証ポリシー登録部21は、その認証ポリシーの認証ID41を携帯電話機12のポリシー管理部21に送信する。一致する認証ポリシーがなければ、認証ポリシー登録部21は、ユニークな認証ID41を生成し、その認証ID41の認証ポリシー4を新たに作成し、サーバポリシー保存部28に保存する。同時に、認証ポリシー登録部21は、生成した認証ID41を携帯電話機12のポリシー管理部21に送信する。
In the authentication
携帯電話機12では、ポリシー管理部21は、認証ポリシー管理サーバ11に送った認証方法43および再認証期間42と、認証ポリシー管理サーバ11から受信した認証ID41とをあわせることにより、認証ポリシーを作成し、ポリシー保存部25へ格納する。
In the
これにより、携帯電話機12と認証ポリシー管理サーバ11に対する認証ポリシー4の登録が完了する。
Thereby, registration of the authentication policy 4 to the
次に、動作Bについて説明する。 Next, the operation B will be described.
携帯電話機12では、図5Bに示したようにユーザにより認証が実施されると、認証機能処理部23が動作を開始する。そして、認証機能処理部23は認証が完了すると、完了した認証の認証方法42を認証結果として認証状況管理部22に送信する。
In the
認証状況管理部22は、認証機能処理部23より認証結果を受信すると、その認証結果が得られた認証と種別の合致する認証ポリシー4を認証ポリシー保存部25から取得し、その認証ポリシー4に含まれている認証ID41を認証状況情報として保持する。
When the authentication
また、認証状況管理部22は認証状況情報として保持した認証ID41に対して、再認証期間42の経過を監視する。認証状況管理部22は、再認証期間42が経過までに、認証機能処理23から同じ種別の認証結果が受信されなければ、認証状況情報から該当する認証ID41を削除することにより、認証が行われているという状態を解消する。
The authentication
また、認証状況管理部22は、再認証期間42が経過するまでに、認証機能処理23から同じ種別の認証結果が受信されれば、経過時間のカウントをリセットし、再び再認証期間42の経過の監視を続行する。
Further, if the same type of authentication result is received from the
これにより、携帯電話機12内における認証状況情報を管理することができる。
Thereby, the authentication status information in the
次に、動作Cについて説明する。 Next, the operation C will be described.
携帯電話機12では、認証情報送信部24は、認証状況管理部22に要求し、認証状況管理部22から認証状況情報を取得する。そして、認証情報送信部24は、取得した認証状況情報を、図5Cに示したようにNFC通信を用いて、認証要求装置13の認証情報受付部32に送信する。
In the
認証要求装置13では、認証情報受付部32は、認証情報送信部24から認証状況情報を受信すると、その認証状況情報を認証チェック部33に送信する。認証チェック部33は、認証情報受付部32から認証情報16を受信すると、認証ポリシー問合せ部31に認証に関する要求条件の取得を要求する。認証ポリシー問合せ部31は、認証チェック部33から要求を受けると、認証要求装置13に予め設定されている要求条件を、認証ポリシー管理サーバ11の認証ポリシー検索部22に送信する。
In the
認証ポリシー管理サーバ11では、認証ポリシー検索部28は、認証ポリシー問合せ部31より要求条件を受信すると、その要求条件に合致する認証ポリシー4をサーバポリシー保存部27から抽出し、抽出された全ての認証ポリシー4に含まれる認証ID41を認証要求装置13に引き渡す。
In the authentication
認証要求装置13では、認証ポリシー問合せ部31は、認証ポリシー検索部28からの認証ID群をそのまま認証チェック部33に引き渡す。認証チェック部33は、認証ポリシー問合せ部31より認証ID41群を取得すると、それらと、認証情報受付部32より取得した認証条件情報の認証IDとを比較する。一致する認証IDがあれば、認証チェック部33は制限機能部34に認証OKを通知する。一致する認証IDが無ければ、認証チェック部33は制限機能部34に認証NGを通知する。
In the
制限機能部34は、認証チェック部33より認証OKを受けると、認証が確認できた場合の動作を実行する。また、制限機能部34は、認証チェック部33より認証NGを受けると、認証が確認できなかった場合の動作を実行する。
When the
これにより、サービスを受けようとするユーザの携帯電話機12が要求条件となっている認証が行われているか否かチェックし、サービス機能の動作に反映させることができる。
Thereby, it is possible to check whether or not the authentication that is a required condition is performed on the
以上説明したように、ユーザが予め認証ポリシーを携帯電話機12と認証ポリシー管理サーバ11に設定し(動作A)、携帯電話機12上で認証を実行し(動作B)、携帯電話機12上の認証状況と認証ポリシー管理サーバ11上の認証ポリシーとから、認証要求装置13の要求条件を満たす認証がユーザに対して行われているかどうか確認することができる(動作C)。
As described above, the user sets the authentication policy in the
本実施例を自動販売機に適用した場合について説明する。 The case where this embodiment is applied to a vending machine will be described.
図6は、自動販売機である認証要求装置13による認証について説明するための図である。図6において、ユーザAは携帯電話機13(端末A)の所有者であり、ユーザBはユーザA以外の人物である。端末AはICカードによる決済機能を備えている。また端末Aには、ユーザAより「認証方法:指紋認証、再認証企画:30分」という認証ポリシーが設定されている。
FIG. 6 is a diagram for explaining authentication by the
自動販売機である認証要求装置13には、認証の要求条件として「指紋認証済」であることが設定している。認証要求装置13は、認証OKであれば端末AのICカードで商品の料金を決済し、認証NGであれば商品の購入時のICカードによる料金の支払いを拒否するように設定されている。
The
第1の例として、ユーザAが認証要求装置13(自動販売機)にて商品を購入しようとする場合を想定する。ユーザA自身が端末Aに対して指紋認証を実施すると、その認証は30分間有効となる。指紋認証は認証要求装置13の要求条件を満たすので、その間にユーザAは商品を購入し、ICカードで料金の支払いを行うことができる。
As a first example, it is assumed that the user A intends to purchase a product using the authentication requesting device 13 (vending machine). When user A himself performs fingerprint authentication on terminal A, the authentication is valid for 30 minutes. Since the fingerprint authentication satisfies the requirements of the
第2の例として、ユーザAの友人や家族であるユーザBが認証要求装置13にて商品を購入しようとする場合を想定する。端末Aの所有者であるユーザAが端末Aに対して指紋認証を実施すると、その認証は30分間有効となる。指紋認証は認証要求装置13の要求条件を満たすので、その間に、ユーザAの代理でユーザBが端末Aを用いれば商品を購入し、ICカードで料金の支払いを行うことができる。
As a second example, it is assumed that a user B who is a friend or family member of the user A intends to purchase a product using the
第3の例として、悪意の第三者であるユーザBが認証要求装置13にて商品を購入しようとする場合を想定する。ユーザBが端末Aを不正に入手し、その端末Aを用いて認証要求装置13から商品を購入しようとした場合、ユーザAによる指紋認証が行われていないので、ユーザBは商品の料金を端末Aで支払うことができない。
As a third example, it is assumed that a user B who is a malicious third party intends to purchase a product using the
なお、ユーザAが指紋認証を実施してから30分以内に、ユーザBが端末Aを入手し、認証要求装置13から商品を購入しようとした場合、端末Aによる料金の支払いができてしまう。しかし、ユーザAが再認証期間を短く設定することにより、不正利用のリスクを低減することができる。
If user B obtains terminal A and tries to purchase a product from
以上説明したように、本実施例では、認証を行った後の再認証期間は認証が有効なので、ユーザは携帯電話機12と認証要求装置13とに無線通信をさせる毎に認証を行う必要がなく、利便性が高い。
As described above, in this embodiment, since the authentication is effective during the re-authentication period after the authentication is performed, the user does not need to perform the authentication every time the
以上、本発明の実施形態および実施例について述べてきたが、本発明は、これらに限定されるものではなく、本発明の技術思想の範囲内において、これらの実施形態や実施例を組み合わせて使用したり、一部の構成を変更したりしてもよい。 As mentioned above, although embodiment and the Example of this invention were described, this invention is not limited to these, In the range of the technical idea of this invention, it uses these embodiment and an example combining. Or a part of the configuration may be changed.
11 認証ポリシー管理サーバ
12 カード装置
13 認証要求装置
14 ネットワーク
21 ポリシー管理部
22 認証状況管理部
23 認証機能処理部
24 認証情報送信部
25 ポリシー保存部
26 認証ポリシー登録部
27 ポリシー保存部
28 認証ポリシー検索部
31 認証ポリシー問合せ部
32 認証情報受付部
33 認証チェック部
34 制限機能部
DESCRIPTION OF
Claims (15)
前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を保持するカード装置と、
要求条件とされる認証の種別を示す要求条件情報が予め設定されており、前記カード装置を利用しようとするユーザについて、前記要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報と前記カード装置に保持されている前記認証状況情報とに基づいて判定する認証要求装置と、
を有する認証システム。 An authentication policy management server that holds authentication policy information indicating the type of authentication registered in advance by the user;
A card device that holds authentication status information indicating whether or not the type of authentication registered as the authentication policy information in the authentication policy management server;
Request condition information indicating the type of authentication that is a request condition is preset, and whether or not the type indicated by the request condition information has been authenticated for a user who intends to use the card device, An authentication requesting device for determining based on the authentication policy information held in the authentication policy management server and the authentication status information held in the card device;
Having an authentication system.
前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報の中から、前記要求条件情報と認証の種別が合致する全ての認証ポリシー情報を取得し、
取得された該認証ポリシー情報の中に前記認証状況情報に対応するものがあるか否かを調べる、請求項2に記載の認証システム。 The authentication requesting device includes:
From the authentication policy information held in the authentication policy management server, obtain all authentication policy information that matches the request condition information and the authentication type,
The authentication system according to claim 2, wherein whether or not the acquired authentication policy information corresponds to the authentication status information is checked.
前記認証ポリシー管理サーバは、前記カード装置によって登録された前記認証ポリシー情報に認証識別情報を付与し、該認証識別情報を前記認証ポリシー情報に含めて保持するとともに前記カード装置に通知し、
前記カード装置は、前記認証ポリシー情報として登録された種別の認証がされている場合に、該認証ポリシー情報に付与された認証識別情報を前記認証状況情報として保持し、
前記認証要求装置は、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報のうち前記要求条件情報と認証の種別が合致する認証ポリシー情報に含まれている認証識別情報と、前記認証状況情報として前記カード装置から読み出された認証識別情報とが一致すれば、前記要求条件情報が示す種別の認証が前記ユーザについて行われていると判断する、
請求項2に記載の認証システム。 The card device has a communication function for accessing the authentication policy management server, and registers the authentication policy information in the authentication policy management server using the communication function,
The authentication policy management server gives authentication identification information to the authentication policy information registered by the card device, holds the authentication identification information in the authentication policy information and notifies the card device,
The card device holds the authentication identification information given to the authentication policy information as the authentication status information when the type of authentication registered as the authentication policy information is performed,
The authentication requesting device includes: authentication identification information included in authentication policy information whose authentication condition matches the request condition information in the authentication policy information held in the authentication policy management server; and the authentication status information If the authentication identification information read from the card device matches, it is determined that the type of authentication indicated by the request condition information is performed for the user.
The authentication system according to claim 2.
認証ポリシー管理サーバにて、ユーザが予め登録した認証の種別を示す認証ポリシー情報を保持し、
前記カード装置にて、前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を保持し、
前記認証要求装置にて、要求条件とされる認証の種別を示す要求条件情報を保持し、
前記認証要求装置にて、前記カード装置を利用しようとするユーザについて、前記要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報と前記カード装置に保持されている前記認証状況情報とに基づいて判定する、認証方法。 An authentication method for authenticating a user by communication between a card device and an authentication requesting device,
The authentication policy management server holds authentication policy information indicating the type of authentication registered in advance by the user,
The card device holds authentication status information indicating whether or not the type of authentication registered as the authentication policy information in the authentication policy management server,
In the authentication requesting device, holding request condition information indicating a type of authentication to be a request condition,
The authentication policy information stored in the authentication policy management server indicates whether or not the type of authentication indicated by the request condition information has been performed for a user who intends to use the card device in the authentication requesting device. And an authentication method for determining based on the authentication status information held in the card device.
前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報の中から、前記要求条件情報と認証の種別が合致する全ての認証ポリシー情報を取得し、
取得された該認証ポリシー情報の中に前記認証状況情報に対応するものがあるか否かを調べる、請求項7に記載の認証方法。 The authentication requesting device includes:
From the authentication policy information held in the authentication policy management server, obtain all authentication policy information that matches the request condition information and the authentication type,
The authentication method according to claim 7, wherein whether or not the acquired authentication policy information corresponds to the authentication status information is checked.
前記認証ポリシー管理サーバは、前記カード装置によって登録された前記認証ポリシー情報に認証識別情報を付与し、該認証識別情報を前記認証ポリシー情報に含めて保持するとともに前記カード装置に通知し、
前記カード装置は、前記認証ポリシー情報として登録された種別の認証がされている場合に、該認証ポリシー情報に付与された認証識別情報を前記認証状況情報として保持し、
前記認証要求装置は、前記認証ポリシー管理サーバに保持されている前記認証ポリシー情報のうち前記要求条件情報と認証の種別が合致する認証ポリシー情報に含まれている認証識別情報と、前記認証状況情報として前記カード装置から読み出された認証識別情報とが一致すれば、前記要求条件情報が示す種別の認証が前記ユーザについて行われていると判断する、
請求項7に記載の認証方法。 The card device has a communication function for accessing the authentication policy management server, and registers the authentication policy information in the authentication policy management server using the communication function,
The authentication policy management server gives authentication identification information to the authentication policy information registered by the card device, holds the authentication identification information in the authentication policy information and notifies the card device,
The card device holds the authentication identification information given to the authentication policy information as the authentication status information when the type of authentication registered as the authentication policy information is performed,
The authentication requesting device includes: authentication identification information included in authentication policy information whose authentication condition matches the request condition information in the authentication policy information held in the authentication policy management server; and the authentication status information If the authentication identification information read from the card device matches, it is determined that the type of authentication indicated by the request condition information is performed for the user.
The authentication method according to claim 7.
前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を管理する認証状況管理手段と、を有するカード装置。 Policy management means for registering authentication policy information indicating the type of authentication registered in advance by the user in the authentication policy management server;
A card device comprising: authentication status management means for managing authentication status information indicating whether or not the type of authentication registered as the authentication policy information has been registered in the authentication policy management server.
カード装置に保持された、前記認証ポリシー管理サーバに前記認証ポリシー情報として登録された種別の認証がされているか否かを示す認証状況情報を取得する認証情報受付手段と、
前記カード装置を利用しようとするユーザについて、要求条件として予め設定された認証の種別を示す要求条件情報によって示される種別の認証がされているか否かを、前記認証ポリシー管理サーバから取得された前記認証ポリシー情報と、前記カード装置から取得された前記認証状況情報とに基づいて判定する認証チェック手段と、
を有する認証要求装置。 Authentication policy inquiry means for acquiring authentication policy information indicating the type of authentication registered in advance by the user, held in the authentication policy management server;
Authentication information receiving means for acquiring authentication status information indicating whether or not authentication of the type registered as the authentication policy information in the authentication policy management server is held in a card device;
Whether the type of authentication indicated by the request condition information indicating the type of authentication set in advance as a request condition for the user who intends to use the card device is acquired from the authentication policy management server. Authentication check means for determining based on authentication policy information and the authentication status information acquired from the card device;
An authentication requesting device.
前記認証チェック手段が、前記認証ポリシー問合せ手段により取得された該認証ポリシー情報の中に前記認証状況情報に対応するものがあるか否かを調べる、請求項14に記載の認証要求装置。 An authentication policy inquiry means acquires all the authentication policy information whose authentication condition matches the request condition information from the authentication policy information held in the authentication policy management server,
The authentication requesting apparatus according to claim 14, wherein the authentication check unit checks whether there is information corresponding to the authentication status information in the authentication policy information acquired by the authentication policy inquiry unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008212964A JP2010049477A (en) | 2008-08-21 | 2008-08-21 | Authentication system, authentication method, card device and authentication request device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008212964A JP2010049477A (en) | 2008-08-21 | 2008-08-21 | Authentication system, authentication method, card device and authentication request device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010049477A true JP2010049477A (en) | 2010-03-04 |
Family
ID=42066514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008212964A Pending JP2010049477A (en) | 2008-08-21 | 2008-08-21 | Authentication system, authentication method, card device and authentication request device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010049477A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3075364A1 (en) | 2015-04-01 | 2016-10-05 | Nintendo Co., Ltd. | Trading card and trading card set |
| JPWO2017033766A1 (en) * | 2015-08-25 | 2018-09-13 | ソニー株式会社 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION SYSTEM |
-
2008
- 2008-08-21 JP JP2008212964A patent/JP2010049477A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3075364A1 (en) | 2015-04-01 | 2016-10-05 | Nintendo Co., Ltd. | Trading card and trading card set |
| US9855506B2 (en) | 2015-04-01 | 2018-01-02 | Nintendo Co., Ltd. | Trading card and trading card set |
| US10279273B2 (en) | 2015-04-01 | 2019-05-07 | Nintendo Co., Ltd. | Trading card and trading card set |
| JPWO2017033766A1 (en) * | 2015-08-25 | 2018-09-13 | ソニー株式会社 | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION SYSTEM |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11348093B2 (en) | System and method for merchant and personal transactions using mobile identification credential | |
| JP5001491B2 (en) | Credit card authentication system, credit card authentication terminal and authentication server | |
| RU2711464C2 (en) | Multiple-device transaction verification | |
| US9251326B2 (en) | Personal digital key initialization and registration for secure transactions | |
| AU2018348549B2 (en) | Authentication of a person using a virtual identity card | |
| US20070094152A1 (en) | Secure electronic transaction authentication enhanced with RFID | |
| JP2017033190A (en) | Information management server and settlement system | |
| KR101545129B1 (en) | System And Method for Electronic Payment | |
| WO2024213953A1 (en) | Methods, systems and computer program products for monitoring or controlling user access at a point-of-service | |
| WO2023276071A1 (en) | Service provision system, service provision method, and program | |
| KR20110029032A (en) | Method and system for issuing accredited certificates, and terminals and recording media therefor | |
| US20240346122A1 (en) | Methods, systems and computer program products for monitoring or controlling user access at a point-of-service | |
| JP2010049477A (en) | Authentication system, authentication method, card device and authentication request device | |
| KR101576075B1 (en) | Mobile payment system, mobile terminal, and mobile payment method | |
| JP5923727B2 (en) | Information processing system | |
| KR100977678B1 (en) | Subscriber information authentication system using mobile communication terminal | |
| JP7190081B1 (en) | Authentication system, authentication method, and program | |
| JP2010191679A (en) | Membership card management system | |
| KR101266415B1 (en) | System for authorizing electronic payment | |
| JP2002324219A (en) | Card authentication system | |
| KR102148370B1 (en) | Main terminal connecting with sub terminal, terminal authentication server authenticating use of sub terminal and method for authenticating use of sub terminal using the same | |
| KR101210501B1 (en) | System and method for authorizing electronic payment | |
| KR20170009555A (en) | System and method for user authentication using identification card | |
| US12462257B2 (en) | Payment system using customer's fingerprints | |
| JP2009230625A (en) | Terminal authentication system |