[go: up one dir, main page]

JP5345585B2 - Authentication system, authentication method and program - Google Patents

Authentication system, authentication method and program Download PDF

Info

Publication number
JP5345585B2
JP5345585B2 JP2010099404A JP2010099404A JP5345585B2 JP 5345585 B2 JP5345585 B2 JP 5345585B2 JP 2010099404 A JP2010099404 A JP 2010099404A JP 2010099404 A JP2010099404 A JP 2010099404A JP 5345585 B2 JP5345585 B2 JP 5345585B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
user
service provider
authentication method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010099404A
Other languages
Japanese (ja)
Other versions
JP2011227843A (en
Inventor
勝彦 鈴木
健二 村井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010099404A priority Critical patent/JP5345585B2/en
Publication of JP2011227843A publication Critical patent/JP2011227843A/en
Application granted granted Critical
Publication of JP5345585B2 publication Critical patent/JP5345585B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明は、ネットワーク上のサービスを利用する際に利用者を認証する認証システム、認証方法およびプログラムに関する。   The present invention relates to an authentication system, an authentication method, and a program for authenticating a user when using a service on a network.

インターネット等のネットワーク上のサービスを利用する際に、利用者を確認するため、ユーザIDとパスワードを利用した認証が一般的に利用されている。最近では、ユーザID・パスワードの方式に加え、より高度なセキュリティが要求されるサービスの場合は、ICカード認証、指紋認証等が利用され始めている。ネットワークサービスでICカード認証、指紋認証等を利用する場合、利用者の端末にICカードリーダライタ(例えば、非特許文献1参照)や指紋認証装置(例えば、非特許文献2参照)を接続し、認証装置を制御する専用ソフトウェアの追加が必要である。また、サービスを提供するサーバに、認証装置(ICカードリーダライタ、指紋認証装置等)を制御する専用ソフトウェアの追加が必要である。   When a service on a network such as the Internet is used, authentication using a user ID and a password is generally used to confirm the user. Recently, in addition to the user ID / password system, IC card authentication, fingerprint authentication, and the like have begun to be used for services that require higher security. When using IC card authentication, fingerprint authentication, etc. in a network service, an IC card reader / writer (see, for example, Non-Patent Document 1) or a fingerprint authentication device (for example, see Non-Patent Document 2) is connected to the user's terminal, Dedicated software that controls the authentication device needs to be added. Further, it is necessary to add dedicated software for controlling the authentication device (IC card reader / writer, fingerprint authentication device, etc.) to the server providing the service.

上記のように、ユーザID・パスワードの方式と比較して、ICカード認証、指紋認証等の方式を利用する場合は、サービス側、および利用者側の設備追加が必要である。従来は、この設備追加が普及の阻害要因となっていたが、例えばICカード認証に関しては、e−Tax(国税電子申告・納税システム)により、一般家庭においてもICカードが利用できる環境が普及しつつある。
しかし、このような状況下においても、ICカード認証は、特定のサービスでのみの利用に留まっており、ネットワークサービスで汎用的に利用されるまでには至っていない。
ネットワークサービスで汎用的に利用されていない理由としては、一般的に、端末上のソフトウェアとサーバ上のソフトウェアが特定のサービスに特化した構成となっており、ネットワークサービスから認証装置を汎用的に利用できる構成となっていないこと、ソフトウェアの開発コストが掛かるため導入が難しいこと、が考えられる。 As described above, when using a method such as IC card authentication or fingerprint authentication as compared with the user ID / password method, it is necessary to add facilities on the service side and the user side. Conventionally, this addition of equipment has been a disincentive to dissemination. For example, with regard to IC card authentication, e-Tax (national tax electronic declaration and tax payment system) has spread the environment where IC cards can be used even in ordinary homes. It's getting on.
However, even under such circumstances, the IC card authentication is only used for a specific service, and has not yet been used for a general purpose in a network service.
The reason why it is not widely used in network services is that the software on the terminal and the software on the server are generally specialized for a specific service. It is conceivable that the configuration is not usable and that the development cost of software is high, making it difficult to install.

“ICカードリーダライタ”、NTTコミュニケーション、[online]、[2010年3月15日検索]インターネット<URL:http://www.ntt.com/jpki/index.html>“IC Card Reader / Writer”, NTT Communication, [online], [March 15, 2010 search] Internet <URL: http://www.ntt.com/jpki/index.html> “指紋認証ユニット”、NEC、[online]、[2010年3月15日検索]インターネット<URL:http://www.nec.co.jp/pid/product/pc-logon/pu900.html>“Fingerprint authentication unit”, NEC, [online], [March 15, 2010 search] Internet <URL: http://www.nec.co.jp/pid/product/pc-logon/pu900.html> ICカードをめぐる3つのセキュリティ要素、“PKIによるICカードの認証”、ペンティオ株式会社、[online]、[2010年3月15日検索]インターネット<URL:http://www.atmarkit.co.jp/fsecurity/special/78ic/ic02.html>Three security elements related to IC cards, “PKI IC card authentication”, Pentio Co., Ltd., [online], [March 15, 2010 search] Internet <URL: http://www.atmarkit.co.jp /fsecurity/special/78ic/ic02.html>

上述のように、ネットワーク上のサービスへのログイン等においてユーザID・パスワードの方式が一般的に利用されているが、ユーザID・パスワードの方式の場合、セキュリティレベルが低い問題がある。現在、セキュリティレベルの高いICカードや指紋を利用した認証方式が利用されつつあるが、導入コスト等の問題があり普及していない。   As described above, the user ID / password method is generally used for logging in to a service on the network, but the user ID / password method has a low security level. At present, authentication methods using IC cards and fingerprints with a high security level are being used, but they are not widespread due to problems such as introduction costs.

本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、ネットワークサービス提供者がICカード認証、指紋認証等の利用者認証をネットワークサービスに容易に導入できるようにする認証システム、認証方法およびプログラムを提供することにある。   The present invention has been made in view of such problems, and an object of the present invention is to enable a network service provider to easily introduce user authentication such as IC card authentication and fingerprint authentication into a network service. An authentication system, an authentication method, and a program are provided.

上記目的を達成するため、本発明の認証システムは、認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなる認証システムであって、前記利用者識別サーバが、前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信する手段と、前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得する手段と、前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合する手段と、認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得する手段と、取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信する手段と、前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信する手段と、前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得する手段と、前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得する手段と、取得した前記評価データと前記認証データに基づいて認証を行う手段と、前記サービスプロバイダサーバへ認証結果を送信する手段とを有し、前記サービスプロバイダサーバが、前記端末から受信した利用者IDと端末IDと認証方式IDを前記利用者識別サーバへ送信する手段と、前記利用者識別サーバから送信される前記認証結果を受信する手段と、受信した前記認証結果に基づきネットワークサービスの利用制御を実行する手段とを有し、前記端末が、利用者IDと端末IDと認証方式IDを前記サービスプロバイダサーバへ送信する手段と、前記利用者識別サーバから前記認証方式IDと前記認証装置制御スクリプトを受信する手段と、受信した前記認証装置制御スクリプトを実行して前記認証装置から認証データを取得する手段と、取得した前記認証データと、利用者IDと、認証方式IDを前記利用者識別サーバへ送信する手段とを有することを特徴とする。   In order to achieve the above object, an authentication system according to the present invention includes a user identification for identifying the identity of a user using a terminal connected to the authentication device and user authentication data transmitted from the terminal. An authentication system comprising a server and a service provider server that provides a network service, wherein the user identification server receives a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server Means for acquiring an authentication scheme ID from a database using the terminal ID of the terminal received from the service provider server as a key, an authentication scheme ID acquired from the database, and an authentication scheme ID received from the service provider server. When the verification method and the verification of the authentication method ID are successful, the authentication method ID is Means for acquiring an authentication device control script for controlling the authentication device from the database, means for transmitting the acquired authentication device control script and the authentication method ID to the terminal, and a user ID from the terminal. And means for receiving the authentication method ID and authentication data that is the execution result of the authentication device control script executed by the terminal, and a processing procedure for performing authentication from the database using the authentication method ID as a key. Based on the acquired evaluation data and the authentication data; means for acquiring the evaluation script; executing the evaluation script; acquiring the evaluation data from the database using the user ID and the authentication method ID as a key; Means for performing authentication and means for transmitting an authentication result to the service provider server. Means for transmitting a user ID, a terminal ID and an authentication method ID received from the terminal to the user identification server; a means for receiving the authentication result transmitted from the user identification server; Means for executing use control of a network service based on the authentication result, wherein the terminal transmits a user ID, a terminal ID, and an authentication method ID to the service provider server, and the user identification server Means for receiving the authentication method ID and the authentication device control script, means for executing the received authentication device control script and acquiring authentication data from the authentication device, the acquired authentication data, and a user ID And means for transmitting an authentication method ID to the user identification server.

上述した本発明の認証システムは、前記利用者識別サーバが、前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信する手段を更に備えることが好ましい。   The authentication system of the present invention described above preferably further includes means for transmitting an error signal to the service provider server when the user identification server fails to verify the authentication method ID.

また、本発明の認証方法は、認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなるシステムの認証方法であって、前記利用者識別サーバの処理手順が、前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信するステップと、前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得するステップと、前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合するステップと、認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得するステップと、取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信するステップと、前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信するステップと、前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得するステップと、前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得するステップと、取得した前記評価データと前記認証データに基づいて認証を行うステップと、前記サービスプロバイダサーバへ認証結果を送信するステップとを含み、前記サービスプロバイダサーバの処理手順が、前記端末から受信した利用者IDと端末IDと認証方式IDを前記利用者識別サーバへ送信するステップと、前記利用者識別サーバから送信される前記認証結果を受信するステップと、受信した前記認証結果に基づきネットワークサービスの利用制御を実行するステップとを含み、前記端末の処理手順が、利用者IDと端末IDと認証方式IDを前記サービスプロバイダサーバへ送信するステップと、前記利用者識別サーバから前記認証方式IDと前記認証装置制御スクリプトを受信するステップと、受信した前記認証装置制御スクリプトを実行して前記認証装置から認証データを取得するステップと、取得した前記認証データと、利用者IDと、認証方式IDを前記利用者識別サーバへ送信するステップとを含むことを特徴とする。   The authentication method of the present invention includes a terminal to which an authentication device is connected, a user identification server for identifying the identity of the user using user authentication data transmitted from the terminal, a network service An authentication method for a system comprising a service provider server providing a service ID, wherein the processing procedure of the user identification server receives a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server A step of acquiring an authentication scheme ID from a database using the terminal ID of the terminal received from the service provider server as a key, and an authentication scheme ID acquired from the database and an authentication scheme ID received from the service provider server. The verification method, and when the verification of the authentication method ID is successful, the authentication method A step of acquiring an authentication device control script for controlling the authentication device from a database using D as a key; a step of transmitting the acquired authentication device control script and the authentication method ID to the terminal; Receiving a user ID, an authentication method ID, and authentication data that is an execution result of the authentication device control script executed by the terminal, and a processing procedure for performing authentication from a database using the authentication method ID as a key. Obtaining a written evaluation script; executing the evaluation script; obtaining evaluation data from a database using the user ID and the authentication method ID as keys; and the obtained evaluation data and the authentication data Authenticating based on the authentication and sending an authentication result to the service provider server A processing procedure of the service provider server is transmitted from the user identification server, a step of transmitting the user ID, the terminal ID, and the authentication method ID received from the terminal to the user identification server Receiving the authentication result, and executing a network service usage control based on the received authentication result, wherein the processing procedure of the terminal includes a user ID, a terminal ID, and an authentication method ID as the service provider. Transmitting to the server, receiving the authentication method ID and the authentication device control script from the user identification server, and executing the received authentication device control script to obtain authentication data from the authentication device And the acquired authentication data, user ID, and authentication method ID for the user And transmitting to the identification server.

上述した本発明の認証方法は、前記利用者識別サーバの処理手順が、前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信するステップを更に含むことが好ましい。   The authentication method of the present invention described above preferably further includes a step of transmitting an error signal to the service provider server when the processing procedure of the user identification server fails in the verification of the authentication scheme ID.

また、本発明は、認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなる認証システムの利用者識別サーバとして構成するコンピュータに、前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信するステップと、前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得するステップと、前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合するステップと、認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得するステップと、取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信するステップと、前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信するステップと、前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得するステップと、前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得するステップと、取得した前記評価データと前記認証データに基づいて認証を行うステップと、前記サービスプロバイダサーバへ認証結果を送信するステップとを実行させるためのプログラムとしての特徴を有する。   The present invention also provides a terminal to which an authentication device is connected, a user identification server for identifying the identity of the user using user authentication data transmitted from the terminal, and a network service. Receiving a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server in a computer configured as a user identification server of an authentication system comprising a service provider server; and the service provider server Obtaining an authentication scheme ID from a database using the terminal ID of the terminal received from the key as a key, verifying an authentication scheme ID obtained from the database and an authentication scheme ID received from the service provider server, and an authentication scheme ID If the verification is successful, the authentication method ID is used as a key. A step of acquiring an authentication device control script for controlling the authentication device from a database, a step of transmitting the acquired authentication device control script and the authentication method ID to the terminal, a user ID from the terminal, An evaluation method in which an authentication method ID and authentication data that is an execution result of an authentication device control script executed on the terminal are received, and a processing procedure for performing authentication from a database using the authentication method ID as a key is described. Acquiring a script; executing the evaluation script; acquiring evaluation data from a database using the user ID and the authentication method ID as keys; and authenticating based on the acquired evaluation data and the authentication data And transmitting an authentication result to the service provider server; It characterized as a program for executing.

上述した本発明のプログラムは、前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信するステップを更に含むことが好ましい。   The program of the present invention described above preferably further includes a step of transmitting an error signal to the service provider server when the verification of the authentication method ID fails.

本発明により、ネットワークサービス提供者がICカード認証、指紋認証等の利用者認証をネットワークサービスに容易に導入できるようになる。   According to the present invention, a network service provider can easily introduce user authentication such as IC card authentication and fingerprint authentication into a network service.

本発明の認証システムの構成例を示す図である。It is a figure which shows the structural example of the authentication system of this invention. データベース部が備えるデータベースのデータ構造例を示す図である。It is a figure which shows the example of a data structure of the database with which a database part is provided. 認証装置がICカードおよびICカードリーダライタの場合における本発明の認証システムの処理手順を説明するシーケンス図である。It is a sequence diagram explaining the process sequence of the authentication system of this invention in case an authentication apparatus is an IC card and an IC card reader / writer. ICカード認証における認証装置制御スクリプトの一例を示す図である。It is a figure which shows an example of the authentication apparatus control script in IC card authentication. ICカード認証における評価スクリプトの一例を示す図である。It is a figure which shows an example of the evaluation script in IC card authentication. 認証装置が指紋認証装置の場合における本発明の認証システムの処理手順を説明するシーケンス図である。It is a sequence diagram explaining the process sequence of the authentication system of this invention in case an authentication apparatus is a fingerprint authentication apparatus. 指紋認証における認証装置制御スクリプトの一例を示す図である。It is a figure which shows an example of the authentication apparatus control script in fingerprint authentication. 指紋認証における評価スクリプトの一例を示す図である。It is a figure which shows an example of the evaluation script in fingerprint authentication.

本発明の実施の形態について図面を参照して説明する。本発明は、ネットワーク上に認証機能を有する利用者識別サーバを備えて、端末に接続されたICカードリーダライタや指紋認証装置等の認証装置を複数のネットワークサービスから容易に利用できるようにするものである。
図1は、本発明の認証システムの構成例を示す図である。本発明の認証システムは、ネットワークに接続された利用者識別サーバ10、サービスプロバイダサーバ20および端末30と、端末30に接続された認証装置40から構成される。
利用者識別サーバ10は、データベース部11と、端末30の情報を管理する端末管理部12と、端末30から送信される認証データを利用して利用者の本人性を識別する認証部13と、サービスプロバイダサーバ20および端末30との通信機能を提供する通信処理部14から構成される。
利用者識別サーバ10は、利用者識別サーバ10の各機能を実現する処理内容を記述したプログラムを、当該サーバの記憶部に格納しておき、当該サーバの中央演算処理装置(CPU)によってこのプログラムを読み出して実行することで実現することができる。 Embodiments of the present invention will be described with reference to the drawings. The present invention includes a user identification server having an authentication function on a network, and enables an authentication device such as an IC card reader / writer or a fingerprint authentication device connected to a terminal to be easily used from a plurality of network services. It is.
FIG. 1 is a diagram illustrating a configuration example of an authentication system according to the present invention. The authentication system according to the present invention includes a user identification server 10, a service provider server 20 and a terminal 30 connected to a network, and an authentication device 40 connected to the terminal 30.
The user identification server 10 includes a database unit 11, a terminal management unit 12 that manages information of the terminal 30, an authentication unit 13 that identifies the identity of the user using authentication data transmitted from the terminal 30, It is comprised from the communication processing part 14 which provides the communication function with the service provider server 20 and the terminal 30. FIG.
The user identification server 10 stores a program describing processing contents for realizing each function of the user identification server 10 in a storage unit of the server, and the program is executed by a central processing unit (CPU) of the server. Can be realized by reading out and executing.

データベース部11は、データベース(#1)と、データベース(#2)と、データベース(#3)を備えている。図2は、データベース部11が備えるデータベースのデータ構造例を示す図である。
データベース(#1)には、端末30がサポートしている認証方式の情報として、端末IDと認証方式IDの組の情報が事前に登録されている。端末IDは、端末30を一意に識別するIDである。認証方式IDは、認証装置40の認証方式(例えば、ICカード認証、指紋認証など)を一意に識別する値である。端末IDと認証方式IDは1対nの関係である(1台の端末が複数の認証方式をサポートする)。
データベース(#2)には、認証方式IDと認証装置制御スクリプトと評価スクリプト(認証装置制御スクリプト、評価スクリプトについては後述する)の組の情報が事前に登録されている。認証方式IDと認証装置制御スクリプトと評価スクリプトは1対1対1の関係である。
データベース(#3)には、利用者の認証データとして、利用者IDと認証方式IDと評価データの組の情報が事前に登録されている。ICカード認証に対応した評価データとして、利用者の公開鍵が格納されている。指紋認証に対応した評価データとして、利用者の指紋データが格納されている。
なお、図1では、利用者識別サーバ10の内部にデータベース部11を備えているが、利用者識別サーバ10の外部に利用者識別サーバ10とは独立した装置として備えるようにしても良い。 The database unit 11 includes a database (# 1), a database (# 2), and a database (# 3). FIG. 2 is a diagram illustrating a data structure example of a database provided in the database unit 11.
In the database (# 1), information on a set of a terminal ID and an authentication method ID is registered in advance as information on an authentication method supported by the terminal 30. The terminal ID is an ID that uniquely identifies the terminal 30. The authentication method ID is a value that uniquely identifies the authentication method (for example, IC card authentication, fingerprint authentication, etc.) of the authentication device 40. The terminal ID and the authentication method ID have a one-to-n relationship (one terminal supports a plurality of authentication methods).
In the database (# 2), information of a set of an authentication method ID, an authentication device control script, and an evaluation script (the authentication device control script and the evaluation script will be described later) is registered in advance. The authentication method ID, the authentication device control script, and the evaluation script have a one-to-one relationship.
In the database (# 3), information of a set of a user ID, an authentication method ID, and evaluation data is registered in advance as user authentication data. A user's public key is stored as evaluation data corresponding to IC card authentication. User's fingerprint data is stored as evaluation data corresponding to fingerprint authentication.
In FIG. 1, the database unit 11 is provided inside the user identification server 10. However, the database unit 11 may be provided outside the user identification server 10 as an apparatus independent of the user identification server 10.

端末管理部12は、通信処理部14から端末IDと認証方式IDを受信する機能と、端末IDをキーにデータベース(#1)から認証方式IDを取得する機能と、データベース(#1)から取得した認証方式IDとサービスプロバイダサーバから送信された認証方式IDを照合する機能と、認証方式IDの照合に失敗した場合、通信処理部14へエラー信号を送信する機能と、認証方式IDの照合に成功した場合、認証方式IDをキーにデータベース(#2)から認証装置制御スクリプトを取得する機能と、通信処理部14へ認証方式ID、認証装置制御スクリプトを送信する機能を有する。   The terminal management unit 12 has a function of receiving a terminal ID and an authentication method ID from the communication processing unit 14, a function of acquiring an authentication method ID from the database (# 1) using the terminal ID as a key, and an acquisition from the database (# 1). A function for verifying the authentication method ID and the authentication method ID transmitted from the service provider server, a function for transmitting an error signal to the communication processing unit 14 when the verification of the authentication method ID fails, and a method for verifying the authentication method ID. If successful, it has a function of acquiring the authentication device control script from the database (# 2) using the authentication method ID as a key and a function of transmitting the authentication method ID and the authentication device control script to the communication processing unit 14.

認証部13は、認証方式IDをキーにデータベース(#2)から評価スクリプトを取得する機能と、評価スクリプトを実行する機能と、利用者IDと認証方式IDをキーにデータベース(#3)から評価データを取得する機能と、通信処理部14から送信される認証データ、利用者ID、認証方式IDを受信する機能と、通信処理部14へ認証結果(認証成功、または認証失敗)を送信する機能を有する。   The authentication unit 13 evaluates from the database (# 3) with the function of acquiring the evaluation script from the database (# 2) using the authentication method ID as a key, the function of executing the evaluation script, and the user ID and the authentication method ID as keys. A function for acquiring data, a function for receiving authentication data, a user ID, and an authentication method ID transmitted from the communication processing unit 14 and a function for transmitting an authentication result (authentication success or authentication failure) to the communication processing unit 14 Have

通信処理部14は、サービスプロバイダサーバ20から送信される利用者識別要求(利用者ID、端末ID、認証方式ID)を受信する機能と、端末30へ認証データ要求(端末IDと認証装置制御スクリプト)を送信する機能と、端末30から送信される認証データを受信する機能と、端末管理部12に端末IDと認証方式IDを送信する機能と、端末管理部12から送信される認証方式ID、認証装置スクリプト、またはエラー信号を受信する機能と、認証部13へ認証データを送信する機能と、認証部13から送信される認証結果を受信する機能と、サービスプロバイダサーバ20へ認証結果、またはエラー信号を送信する機能を有する。   The communication processing unit 14 has a function of receiving a user identification request (user ID, terminal ID, authentication method ID) transmitted from the service provider server 20, and an authentication data request (terminal ID and authentication device control script) to the terminal 30. ), A function of receiving authentication data transmitted from the terminal 30, a function of transmitting a terminal ID and an authentication method ID to the terminal management unit 12, an authentication method ID transmitted from the terminal management unit 12, A function of receiving an authentication device script or an error signal, a function of transmitting authentication data to the authentication unit 13, a function of receiving an authentication result transmitted from the authentication unit 13, and an authentication result or error to the service provider server 20 It has a function of transmitting a signal.

サービスプロバイダサーバ20は、ブラウザ等で利用可能なネットワークサービスを提供する機能と、端末30から送信される利用者ID、端末IDと認証方式IDを受信する機能と、利用者識別サーバ10へ利用者識別要求(利用者ID、端末ID、認証方式ID)を送信する機能と、利用者識別サーバ10から送信される認証結果(認証成功、または認証失敗)、またはエラー信号を受信する機能と、認証結果に基づきネットワークサービスの利用制御を実行する機能を有する。
サービスプロバイダサーバ20は、サービスプロバイダサーバ20の各機能を実現する処理内容を記述したプログラムを、当該サーバの記憶部に格納しておき、当該サーバの中央演算処理装置(CPU)によってこのプログラムを読み出して実行することで実現することができる。 The service provider server 20 has a function of providing a network service that can be used by a browser, a function of receiving a user ID, a terminal ID, and an authentication method ID transmitted from the terminal 30, and a user to the user identification server 10. A function of transmitting an identification request (user ID, terminal ID, authentication method ID), an authentication result (authentication success or authentication failure) transmitted from the user identification server 10, or a function of receiving an error signal, and authentication Based on the result, it has a function to execute the use control of the network service.
The service provider server 20 stores a program describing the processing contents for realizing each function of the service provider server 20 in a storage unit of the server, and reads the program by a central processing unit (CPU) of the server. It can be realized by executing.

端末30は、ブラウザ等を利用してネットワークサービスにアクセスする機能と、利用者が利用者ID、認証方式(認証方式ID)を指示するための機能と、サービスプロバイダサーバ20へ利用者ID、端末ID、認証方式IDを送信する機能と、利用者識別サーバ10から送信される認証方式ID、認証装置制御スクリプトを受信する機能と、認証方式IDに対応した認証装置40を選択する機能と、認証装置制御スクリプトを実行する機能と、認証装置から送信された認証データを受信する機能と、利用者識別サーバ10へ認証データを送信する機能を有する。
また、端末30には1つまたは複数の認証装置40が接続されている。
端末30は、端末30の各機能を実現する処理内容を記述したプログラムを、当該端末の記憶部に格納しておき、当該端末の中央演算処理装置(CPU)によってこのプログラムを読み出して実行することで実現することができる。 The terminal 30 has a function for accessing a network service using a browser or the like, a function for a user to specify a user ID and an authentication method (authentication method ID), a user ID to the service provider server 20, and a terminal. A function of transmitting an ID and an authentication method ID, a function of receiving an authentication method ID and an authentication device control script transmitted from the user identification server 10, a function of selecting an authentication device 40 corresponding to the authentication method ID, and authentication It has a function of executing a device control script, a function of receiving authentication data transmitted from the authentication device, and a function of transmitting authentication data to the user identification server 10.
In addition, one or more authentication devices 40 are connected to the terminal 30.
The terminal 30 stores a program describing processing contents for realizing each function of the terminal 30 in a storage unit of the terminal, and reads and executes the program by a central processing unit (CPU) of the terminal. Can be realized.

以下に、本発明の認証システムの処理手順を説明する。
<認証装置がICカードおよびICカードリーダライタの場合>
図3は、認証装置40がICカードおよびICカードリーダライタの場合における本発明の認証システムの処理手順を説明するシーケンス図である。 The processing procedure of the authentication system of the present invention will be described below.
<When the authentication device is an IC card or IC card reader / writer>
FIG. 3 is a sequence diagram illustrating the processing procedure of the authentication system of the present invention when the authentication device 40 is an IC card and an IC card reader / writer.

利用者が、端末30からサービスプロバイダサーバ20が提供するネットワークサービスへアクセスし、サービスプロバイダサーバ20が生成したログイン画面を端末30に表示する(S101)。画面上には、利用者IDの入力ボックス、ICカード認証を実行するボタンがある。利用者IDは利用者を一意に識別するIDである。利用者が、利用者IDの入力後、ICカードリーダライタにICカードを挿入し、画面上のボタンをクリックすると(S102)、端末30からサービスプロバイダサーバ20に、利用者IDと端末IDと認証方式IDが送信される(S103)。サービスプロバイダサーバ20は、利用者識別サーバ10へ利用者識別要求を送信する(S104)。利用者識別要求は、利用者IDと端末IDと認証方式IDの組で構成される。利用者識別サーバ10の通信処理部14は、利用者識別要求を受信すると、端末管理部12に端末IDと認証方式IDを送信する(S105)。   A user accesses a network service provided by the service provider server 20 from the terminal 30, and displays a login screen generated by the service provider server 20 on the terminal 30 (S101). On the screen, there are a user ID input box and a button for executing IC card authentication. The user ID is an ID that uniquely identifies the user. When the user inputs the user ID, inserts the IC card into the IC card reader / writer and clicks a button on the screen (S102), the user ID, terminal ID, and authentication are made from the terminal 30 to the service provider server 20. The system ID is transmitted (S103). The service provider server 20 transmits a user identification request to the user identification server 10 (S104). The user identification request is composed of a set of a user ID, a terminal ID, and an authentication method ID. When receiving the user identification request, the communication processing unit 14 of the user identification server 10 transmits the terminal ID and the authentication method ID to the terminal management unit 12 (S105).

端末管理部12は、端末IDをキーにデータベース部11のデータベース(#1)から認証方式IDを取得し(S106)、データベース(#1)から取得した認証方式IDとサービスプロバイダサーバ20から送信された認証方式IDを照合して(S107)、指定された認証方式を端末30がサポートしているか否かを判断する(S108)。指定された認証方式を端末30がサポートしていない場合(認証方式IDが一致しない場合)は、通信処理部14を経由して、サービスプロバイダサーバ20へエラー信号を送信する(S109)。指定された認証方式を端末30がサポートしている場合(認証方式IDが一致する場合)は、認証方式IDをキーにデータベース部11のデータベース(#2)から認証装置制御スクリプトを取得する(S110)。認証装置制御スクリプトは、認証装置40を制御するための処理やパラメータが記述されたスクリプトである。図4にICカード認証における認証装置制御スクリプトの一例を示す。   The terminal management unit 12 acquires the authentication method ID from the database (# 1) of the database unit 11 using the terminal ID as a key (S106), and is transmitted from the service provider server 20 and the authentication method ID acquired from the database (# 1). The authentication method IDs are collated (S107), and it is determined whether or not the terminal 30 supports the designated authentication method (S108). If the terminal 30 does not support the specified authentication method (if the authentication method IDs do not match), an error signal is transmitted to the service provider server 20 via the communication processing unit 14 (S109). When the terminal 30 supports the designated authentication method (when the authentication method IDs match), the authentication device control script is acquired from the database (# 2) of the database unit 11 using the authentication method ID as a key (S110). ). The authentication device control script is a script in which processing and parameters for controlling the authentication device 40 are described. FIG. 4 shows an example of an authentication device control script in IC card authentication.

端末管理部12は、通信処理部14に認証方式ID、認証装置制御スクリプトを送信する(S111)。通信処理部14は、端末IDの端末30に対して、認証データ要求を送信する(S112)。認証データ要求は、認証方式IDと認証装置制御スクリプトの組で構成される。   The terminal management unit 12 transmits the authentication method ID and the authentication device control script to the communication processing unit 14 (S111). The communication processing unit 14 transmits an authentication data request to the terminal 30 with the terminal ID (S112). The authentication data request is composed of a set of an authentication method ID and an authentication device control script.

端末30は、認証データ要求を受信し、認証方式ID(本例においては、ICカード認証)に対応した認証装置(本例においては、ICカードリーダライタおよびICカード)40を選択する(S113)。端末30は、認証装置制御スクリプトを実行する(S114)。図4に示す認証装置制御スクリプト例の場合、以下の処理を実行する。
(1)ICカードリーダライタを経由して、ICカードへSELECT FILEコマンドを送信する。
(2)ICカードリーダライタを経由して、ICカードへ認証装置制御スクリプトの[パラメータ]に格納されたチャレンジデータを引数として、INTERNAL AUTHENTICATEコマンドを送信する。 The terminal 30 receives the authentication data request, and selects an authentication device (in this example, an IC card reader / writer and an IC card) 40 corresponding to the authentication method ID (in this example, IC card authentication) (S113). . The terminal 30 executes the authentication device control script (S114). In the case of the authentication device control script example shown in FIG. 4, the following processing is executed.
(1) A SELECT FILE command is transmitted to the IC card via the IC card reader / writer.
(2) Via the IC card reader / writer, an INTERNAL AUTHENTICATE command is transmitted to the IC card using the challenge data stored in [Parameter] of the authentication device control script as an argument.

端末30は、ICカードリーダライタ経由でICカードからINTERNAL AUTHENTICATEコマンドの実行結果(暗号データ)を受信する(S115)。端末30は、INTERNAL AUTHENTICATEコマンドの実行結果(暗号データ)を認証データとし、利用者識別サーバ10へ認証データと利用者ID、認証方式IDを送信する(S116)。通信処理部14は、認証部13へ利用者IDと認証方式IDと認証データを送信する(S117)。   The terminal 30 receives the execution result (encrypted data) of the INTERNAL AUTHENTICATE command from the IC card via the IC card reader / writer (S115). The terminal 30 uses the execution result (encrypted data) of the INTERNAL AUTHENTICATE command as authentication data, and transmits the authentication data, the user ID, and the authentication method ID to the user identification server 10 (S116). The communication processing unit 14 transmits the user ID, authentication method ID, and authentication data to the authentication unit 13 (S117).

認証部13は、認証方式IDをキーにデータベース部11のデータベース(#2)から評価スクリプトを取得する(S118)。評価スクリプトは、認証データと評価データから認証成功(正しい利用者がアクセスしている)、認証失敗(不正な利用者がアクセスしている)を判断するための処理手順が記述されたスクリプトである。図5にICカード認証における評価スクリプトの一例を示す。   The authentication unit 13 acquires an evaluation script from the database (# 2) of the database unit 11 using the authentication method ID as a key (S118). An evaluation script is a script that describes a processing procedure for determining authentication success (accessing by a correct user) and authentication failure (accessing by an unauthorized user) from authentication data and evaluation data. . FIG. 5 shows an example of an evaluation script for IC card authentication.

次に、認証部13は、評価スクリプトを実行する。図5の評価スクリプト例の場合、利用者IDと認証方式IDをキーにデータベース部11のデータベース(#3)から評価データを取得する(S119)。データベース(#3)には、ICカード認証に対応した評価データとして、利用者の公開鍵が格納されている。認証データ(暗号化したチャレンジデータ)を利用者の公開鍵で復号し、評価スクリプトの[パラメータ]に格納されたチャレンジデータと照合する(S120)。照合が成功した場合は、認証成功(正しい利用者がアクセスしている)。照合が失敗した場合は、認証失敗(不正な利用者がアクセスしている)となる。認証部13から通信処理部14へ認証結果(認証成功、または認証失敗)を送信する(S121)。通信処理部14は、サービスプロバイダサーバ20へ認証結果を送信する(S122)。サービスプロバイダサー20バは、受信した認証結果から利用者のログイン可否を判断する(S123)。   Next, the authentication unit 13 executes the evaluation script. In the case of the evaluation script example of FIG. 5, evaluation data is acquired from the database (# 3) of the database unit 11 using the user ID and authentication method ID as keys (S119). The database (# 3) stores the user's public key as evaluation data corresponding to IC card authentication. The authentication data (encrypted challenge data) is decrypted with the public key of the user and collated with the challenge data stored in [Parameter] of the evaluation script (S120). If verification is successful, authentication is successful (the correct user is accessing). If the verification fails, authentication fails (an unauthorized user is accessing). An authentication result (authentication success or authentication failure) is transmitted from the authentication unit 13 to the communication processing unit 14 (S121). The communication processing unit 14 transmits an authentication result to the service provider server 20 (S122). The service provider server 20 determines whether or not the user can log in from the received authentication result (S123).

<認証装置が指紋認証装置の場合>
図6は、認証装置40が指紋認証装置の場合における本発明の認証システムの処理手順を説明するシーケンス図である。
利用者が、端末30からネットワークサービスへアクセスし、端末30に、サービスプロバイダサーバ20が生成したログイン画面を表示する(S201)。画面上には、利用者IDの入力ボックス、指紋認証を実行するボタンがある。利用者が、利用者IDの入力後、指紋認証装置のセンサ部に指を置き、画面上のボタンをクリックすると(S202)、端末30からサービスプロバイダサーバ20に、利用者IDと端末IDと認証方式IDが送信される(S203)。サービスプロバイダサーバ20は、利用者識別サーバ10へ利用者識別要求を送信する(S204)。利用者識別要求は、利用者IDと端末IDと認証方式IDの組で構成される。利用者識別サーバ10の通信処理部14は、利用者識別要求を受信すると、端末管理部12に端末IDと認証方式IDを送信する(S205)。 <When the authentication device is a fingerprint authentication device>
FIG. 6 is a sequence diagram for explaining the processing procedure of the authentication system of the present invention when the authentication device 40 is a fingerprint authentication device.
The user accesses the network service from the terminal 30 and displays the login screen generated by the service provider server 20 on the terminal 30 (S201). On the screen, there are a user ID input box and a button for executing fingerprint authentication. After the user ID is input, the user places a finger on the sensor unit of the fingerprint authentication device and clicks a button on the screen (S202). From the terminal 30 to the service provider server 20, the user ID, terminal ID, and authentication are performed. The system ID is transmitted (S203). The service provider server 20 transmits a user identification request to the user identification server 10 (S204). The user identification request is composed of a set of a user ID, a terminal ID, and an authentication method ID. When receiving the user identification request, the communication processing unit 14 of the user identification server 10 transmits the terminal ID and the authentication method ID to the terminal management unit 12 (S205).

端末管理部12は、端末IDをキーにデータベース部11のデータベース(#1)から認証方式IDを取得し(S206)、データベース(#1)から取得した認証方式IDとサービスプロバイダサーバ20から送信された認証方式IDを照合して(S207)、指定された認証方式を端末30がサポートしているか否かを判断する(S208)。指定された認証方式を端末30がサポートしていない場合(認証方式IDが一致しない場合)は、通信処理部14を経由して、サービスプロバイダサーバ20へエラー信号を送信する(S209)。指定された認証方式を端末30がサポートしている場合(認証方式IDが一致する場合)は、認証方式IDをキーにデータベース部11のデータベース(#2)から認証装置制御スクリプトを取得する(S210)。認証装置制御スクリプトは、認証装置40を制御するための処理やパラメータが記述されたスクリプトである。図7に指紋認証における認証装置制御スクリプトの一例を示す。   The terminal management unit 12 acquires the authentication method ID from the database (# 1) of the database unit 11 using the terminal ID as a key (S206), and is transmitted from the service provider server 20 and the authentication method ID acquired from the database (# 1). The authentication method IDs are collated (S207), and it is determined whether or not the terminal 30 supports the designated authentication method (S208). If the terminal 30 does not support the specified authentication method (if the authentication method IDs do not match), an error signal is transmitted to the service provider server 20 via the communication processing unit 14 (S209). When the terminal 30 supports the designated authentication method (when the authentication method IDs match), the authentication device control script is acquired from the database (# 2) of the database unit 11 using the authentication method ID as a key (S210). ). The authentication device control script is a script in which processing and parameters for controlling the authentication device 40 are described. FIG. 7 shows an example of an authentication device control script in fingerprint authentication.

端末管理部12は、通信処理部14に認証方式ID、認証装置制御スクリプトを送信する(S211)。通信処理部14は、端末IDの端末30に対して、認証データ要求を送信する(S212)。認証データ要求は、認証方式IDと認証装置制御スクリプトの組で構成される。   The terminal management unit 12 transmits the authentication method ID and the authentication device control script to the communication processing unit 14 (S211). The communication processing unit 14 transmits an authentication data request to the terminal 30 with the terminal ID (S212). The authentication data request is composed of a set of an authentication method ID and an authentication device control script.

端末30は、認証データ要求を受信し、認証方式ID(本例においては、指紋認証)に対応した認証装置(本例においては、指紋認証装置)40を選択し(S213)、認証装置制御スクリプトを実行する(S214)。端末30は、図7に示す認証装置制御スクリプト例の場合、指紋認証装置に指紋データ取得コマンドを送信する。   The terminal 30 receives the authentication data request, selects the authentication device (in this example, fingerprint authentication device) 40 corresponding to the authentication method ID (in this example, fingerprint authentication) (S213), and the authentication device control script Is executed (S214). In the case of the authentication device control script example shown in FIG. 7, the terminal 30 transmits a fingerprint data acquisition command to the fingerprint authentication device.

端末30は、指紋認証装置から指紋データ取得コマンドの実行結果(指紋データ)を受信する(S215)。端末30は、指紋データ取得コマンドの実行結果(指紋データ)を認証データとし、利用者識別サーバ10へ認証データと利用者ID、認証方式IDを送信する。(S216)。通信処理部14は、認証部13へ利用者IDと認証方式IDと認証データを送信する(S217)。   The terminal 30 receives the execution result (fingerprint data) of the fingerprint data acquisition command from the fingerprint authentication device (S215). The terminal 30 uses the execution result (fingerprint data) of the fingerprint data acquisition command as authentication data, and transmits the authentication data, the user ID, and the authentication method ID to the user identification server 10. (S216). The communication processing unit 14 transmits the user ID, the authentication method ID, and the authentication data to the authentication unit 13 (S217).

認証部13は、認証方式IDをキーにデータベース部11のデータベース(#2)から評価スクリプトを取得する(S218)。評価スクリプトは、認証データと評価データから認証成功(正しい利用者がアクセスしている)、認証失敗(不正な利用者がアクセスしている)を判断するための処理手順が記述されたスクリプトである。図8に指紋認証における評価スクリプトの一例を示す。   The authentication unit 13 acquires an evaluation script from the database (# 2) of the database unit 11 using the authentication method ID as a key (S218). An evaluation script is a script that describes a processing procedure for determining authentication success (accessing by a correct user) and authentication failure (accessing by an unauthorized user) from authentication data and evaluation data. . FIG. 8 shows an example of an evaluation script in fingerprint authentication.

次に、認証部13は、評価スクリプトを実行する。図8の評価スクリプト例の場合、利用者IDと認証方式IDをキーにデータベース部11のデータベース(#3)から評価データを取得する(S219)。データベース(#3)には、指紋認証に対応した評価データとして、利用者の指紋データが事前に格納されている。次に、認証データとデータベース(#3)から取得した利用者の指紋データを照合する(S220)。照合が成功した場合は、認証成功(正しい利用者がアクセスしている)。照合が失敗した場合は、認証失敗(不正な利用者がアクセスしている)となる。認証部13から通信処理部14へ認証結果(認証成功、または認証失敗)を送信する(S221)。通信処理部14は、サービスプロバイダサーバ20へ認証結果を送信する(S222)。サービスプロバイダサー20バは、受信した認証結果から利用者のログイン可否を判断する(S223)。   Next, the authentication unit 13 executes the evaluation script. In the case of the evaluation script example of FIG. 8, evaluation data is acquired from the database (# 3) of the database unit 11 using the user ID and authentication method ID as keys (S219). The database (# 3) stores user fingerprint data in advance as evaluation data corresponding to fingerprint authentication. Next, the authentication data and the fingerprint data of the user acquired from the database (# 3) are collated (S220). If verification is successful, authentication is successful (the correct user is accessing). If the verification fails, authentication fails (an unauthorized user is accessing). An authentication result (authentication success or authentication failure) is transmitted from the authentication unit 13 to the communication processing unit 14 (S221). The communication processing unit 14 transmits the authentication result to the service provider server 20 (S222). The service provider server 20 determines whether or not the user can log in from the received authentication result (S223).

本発明の認証システムでは、ネットワークサービス提供者が、サービスプロバイダサーバ20に、端末30から送信される利用者ID、端末IDと認証方式IDを受信する機能と、利用者識別サーバ10へ利用者識別要求(利用者ID、端末ID、認証方式ID)を送信する機能と、利用者識別サーバ10から送信される認証結果(認証成功、または認証失敗)、またはエラー信号を受信する機能と、認証結果に基づきネットワークサービスの利用制御を実行する機能を追加するだけで、ICカード認証や指紋認証の機能を利用することが可能になる。また、このような機能を追加することにより、同一のシステム構成にて、ICカード認証や指紋認証等の複数の認証方式に対応することができる。   In the authentication system of the present invention, the network service provider receives the user ID, the terminal ID and the authentication method ID transmitted from the terminal 30 to the service provider server 20, and the user identification to the user identification server 10. A function for transmitting a request (user ID, terminal ID, authentication method ID), an authentication result (authentication success or authentication failure) transmitted from the user identification server 10, or a function for receiving an error signal, and an authentication result It is possible to use functions for IC card authentication and fingerprint authentication simply by adding a function for executing use control of network services based on the above. Further, by adding such a function, it is possible to support a plurality of authentication methods such as IC card authentication and fingerprint authentication with the same system configuration.

10 利用者識別サーバ
11 データベース部
12 端末管理部
13 認証部
14 通信処理部
20 サービスプロバイダサーバ
30 端末
40 認証装置 DESCRIPTION OF SYMBOLS 10 User identification server 11 Database part 12 Terminal management part 13 Authentication part 14 Communication processing part 20 Service provider server 30 Terminal 40 Authentication apparatus

Claims (6)

認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなる認証システムであって、
前記利用者識別サーバは、
前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信する手段と、
前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得する手段と、
前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合する手段と、
認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得する手段と、
取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信する手段と、
前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信する手段と、
前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得する手段と、
前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得する手段と、
取得した前記評価データと前記認証データに基づいて認証を行う手段と、
前記サービスプロバイダサーバへ認証結果を送信する手段と、を有し、
前記サービスプロバイダサーバは、
前記端末から受信した利用者IDと端末IDと認証方式IDを前記利用者識別サーバへ送信する手段と、
前記利用者識別サーバから送信される前記認証結果を受信する手段と、
受信した前記認証結果に基づきネットワークサービスの利用制御を実行する手段と、を有し、
前記端末は、
利用者IDと端末IDと認証方式IDを前記サービスプロバイダサーバへ送信する手段と、
前記利用者識別サーバから前記認証方式IDと前記認証装置制御スクリプトを受信する手段と、
受信した前記認証装置制御スクリプトを実行して前記認証装置から認証データを取得する手段と、
取得した前記認証データと、利用者IDと、認証方式IDを前記利用者識別サーバへ送信する手段と、
を有することを特徴とする認証システム。 Authentication comprising a terminal to which an authentication device is connected, a user identification server for identifying the identity of the user using user authentication data transmitted from the terminal, and a service provider server for providing a network service A system,
The user identification server is
Means for receiving a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server;
Means for obtaining an authentication scheme ID from a database using the terminal ID of the terminal received from the service provider server as a key;
Means for collating the authentication scheme ID acquired from the database with the authentication scheme ID received from the service provider server;
Means for acquiring an authentication device control script for controlling the authentication device from a database using the authentication method ID as a key when the verification of the authentication method ID is successful;
Means for transmitting the acquired authentication device control script and the authentication method ID to the terminal;
Means for receiving, from the terminal, a user ID, an authentication method ID, and authentication data that is an execution result of an authentication device control script executed on the terminal;
Means for acquiring an evaluation script describing a processing procedure for performing authentication from a database using the authentication method ID as a key;
Means for executing the evaluation script and acquiring evaluation data from a database using the user ID and the authentication method ID as a key;
Means for performing authentication based on the acquired evaluation data and the authentication data;
Means for transmitting an authentication result to the service provider server,
The service provider server is
Means for transmitting the user ID, terminal ID and authentication method ID received from the terminal to the user identification server;
Means for receiving the authentication result transmitted from the user identification server;
Means for performing use control of a network service based on the received authentication result,
The terminal
Means for transmitting a user ID, terminal ID and authentication method ID to the service provider server;
Means for receiving the authentication scheme ID and the authentication device control script from the user identification server;
Means for executing the received authentication device control script to obtain authentication data from the authentication device;
Means for transmitting the acquired authentication data, user ID, and authentication method ID to the user identification server;
An authentication system comprising: 前記利用者識別サーバは、前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信する手段を更に備えることを特徴とする請求項1に記載の認証システム。   The authentication system according to claim 1, wherein the user identification server further includes means for transmitting an error signal to the service provider server when the verification of the authentication method ID fails. 認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなるシステムの認証方法であって、
前記利用者識別サーバの処理手順は、
前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信するステップと、
前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得するステップと、
前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合するステップと、
認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得するステップと、
取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信するステップと、
前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信するステップと、
前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得するステップと、
前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得するステップと、
取得した前記評価データと前記認証データに基づいて認証を行うステップと、
前記サービスプロバイダサーバへ認証結果を送信するステップと、
を含み、
前記サービスプロバイダサーバの処理手順は、
前記端末から受信した利用者IDと端末IDと認証方式IDを前記利用者識別サーバへ送信するステップと、
前記利用者識別サーバから送信される前記認証結果を受信するステップと、
受信した前記認証結果に基づきネットワークサービスの利用制御を実行するステップと、
を含み、
前記端末の処理手順は、
利用者IDと端末IDと認証方式IDを前記サービスプロバイダサーバへ送信するステップと、
前記利用者識別サーバから前記認証方式IDと前記認証装置制御スクリプトを受信するステップと、
受信した前記認証装置制御スクリプトを実行して前記認証装置から認証データを取得するステップと、
取得した前記認証データと、利用者IDと、認証方式IDを前記利用者識別サーバへ送信するステップと、
を含むことを特徴とする認証方法。 A system comprising a terminal to which an authentication device is connected, a user identification server for identifying the identity of the user using user authentication data transmitted from the terminal, and a service provider server for providing a network service Authentication method,
The processing procedure of the user identification server is as follows:
Receiving a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server;
Obtaining an authentication scheme ID from a database using the terminal ID of the terminal received from the service provider server as a key;
Collating the authentication scheme ID obtained from the database with the authentication scheme ID received from the service provider server;
Acquiring an authentication device control script for controlling the authentication device from a database using the authentication method ID as a key when the verification of the authentication method ID is successful;
Transmitting the acquired authentication device control script and the authentication method ID to the terminal;
Receiving from the terminal a user ID, an authentication scheme ID, and authentication data that is an execution result of an authentication device control script executed on the terminal;
Obtaining an evaluation script describing a processing procedure for performing authentication from a database using the authentication method ID as a key;
Executing the evaluation script and obtaining evaluation data from a database using the user ID and the authentication method ID as a key;
Authenticating based on the acquired evaluation data and the authentication data;
Transmitting an authentication result to the service provider server;
Including
The processing procedure of the service provider server is as follows:
Transmitting the user ID, terminal ID and authentication method ID received from the terminal to the user identification server;
Receiving the authentication result transmitted from the user identification server;
Executing use control of a network service based on the received authentication result;
Including
The processing procedure of the terminal is as follows:
Transmitting a user ID, a terminal ID, and an authentication method ID to the service provider server;
Receiving the authentication scheme ID and the authentication device control script from the user identification server;
Executing the received authentication device control script to obtain authentication data from the authentication device;
Transmitting the acquired authentication data, user ID, and authentication method ID to the user identification server;
An authentication method comprising: 前記利用者識別サーバの処理手順は、前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信するステップを更に含むことを特徴とする請求項3に記載の認証方法。   The authentication method according to claim 3, wherein the processing procedure of the user identification server further includes a step of transmitting an error signal to the service provider server when the verification of the authentication method ID fails. 認証装置が接続された端末と、該端末から送信される利用者の認証データを利用して当該利用者の本人性を識別する利用者識別サーバと、ネットワークサービスを提供するサービスプロバイダサーバからなる認証システムの利用者識別サーバとして構成するコンピュータに、
前記サービスプロバイダサーバから利用者IDと前記端末の端末IDと前記認証装置の認証方式IDを受信するステップと、
前記サービスプロバイダサーバから受信した前記端末の端末IDをキーにデータベースから認証方式IDを取得するステップと、
前記データベースから取得した認証方式IDと前記サービスプロバイダサーバから受信した認証方式IDを照合するステップと、
認証方式IDの照合に成功した場合に、前記認証方式IDをキーにデータベースから前記認証装置を制御するための認証装置制御スクリプトを取得するステップと、
取得した前記認証装置制御スクリプトと前記認証方式IDを前記端末へ送信するステップと、
前記端末から、利用者IDと、認証方式IDと、前記端末で実行された認証装置制御スクリプトの実行結果である認証データとを受信するステップと、
前記認証方式IDをキーにデータベースから認証を行うための処理手順が記述された評価スクリプトを取得するステップと、
前記評価スクリプトを実行して、前記利用者IDと前記認証方式IDをキーにデータベースから評価データを取得するステップと、
取得した前記評価データと前記認証データに基づいて認証を行うステップと、
前記サービスプロバイダサーバへ認証結果を送信するステップと、
を実行させるためのプログラム。 Authentication comprising a terminal to which an authentication device is connected, a user identification server for identifying the identity of the user using user authentication data transmitted from the terminal, and a service provider server for providing a network service On the computer configured as the user identification server of the system,
Receiving a user ID, a terminal ID of the terminal, and an authentication method ID of the authentication device from the service provider server;
Obtaining an authentication scheme ID from a database using the terminal ID of the terminal received from the service provider server as a key;
Collating the authentication scheme ID obtained from the database with the authentication scheme ID received from the service provider server;
Acquiring an authentication device control script for controlling the authentication device from a database using the authentication method ID as a key when the verification of the authentication method ID is successful;
Transmitting the acquired authentication device control script and the authentication method ID to the terminal;
Receiving from the terminal a user ID, an authentication scheme ID, and authentication data that is an execution result of an authentication device control script executed on the terminal;
Obtaining an evaluation script describing a processing procedure for performing authentication from a database using the authentication method ID as a key;
Executing the evaluation script and obtaining evaluation data from a database using the user ID and the authentication method ID as a key;
Authenticating based on the acquired evaluation data and the authentication data;
Transmitting an authentication result to the service provider server;
A program for running 前記認証方式IDの照合に失敗した場合に、前記サービスプロバイダサーバへエラー信号を送信するステップを更に含むことを特徴とする請求項5に記載のプログラム。   6. The program according to claim 5, further comprising a step of transmitting an error signal to the service provider server when the verification of the authentication method ID fails.
JP2010099404A 2010-04-23 2010-04-23 Authentication system, authentication method and program Expired - Fee Related JP5345585B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010099404A JP5345585B2 (en) 2010-04-23 2010-04-23 Authentication system, authentication method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010099404A JP5345585B2 (en) 2010-04-23 2010-04-23 Authentication system, authentication method and program

Publications (2)

Publication Number Publication Date
JP2011227843A JP2011227843A (en) 2011-11-10
JP5345585B2 true JP5345585B2 (en) 2013-11-20

Family

ID=45043087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010099404A Expired - Fee Related JP5345585B2 (en) 2010-04-23 2010-04-23 Authentication system, authentication method and program

Country Status (1)

Country Link
JP (1) JP5345585B2 (en)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102495994A (en) * 2011-11-11 2012-06-13 杨雅婷 Anti-counterfeiting two-dimensional code scanning device and anti-counterfeiting method
CN107210916B (en) * 2014-11-13 2021-08-24 迈克菲有限责任公司 Conditional Login Promotion
JP5951094B1 (en) 2015-09-07 2016-07-13 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
JP6122924B2 (en) 2015-09-11 2017-04-26 ヤフー株式会社 Providing device, terminal device, providing method, providing program, and authentication processing system
US10546302B2 (en) 2016-06-30 2020-01-28 Square, Inc. Logical validation of devices against fraud and tampering
US20180187335A1 (en) 2017-01-01 2018-07-05 Lummus Corporation Materials segregating seed cotton extractor cleaner
JP6240349B2 (en) * 2017-01-26 2017-11-29 ヤフー株式会社 Providing device, providing method, providing program, and authentication processing system
US10715536B2 (en) 2017-12-29 2020-07-14 Square, Inc. Logical validation of devices against fraud and tampering
US11494762B1 (en) 2018-09-26 2022-11-08 Block, Inc. Device driver for contactless payments
US11507958B1 (en) 2018-09-26 2022-11-22 Block, Inc. Trust-based security for transaction payments
CN110704816B (en) * 2019-09-29 2021-10-22 武汉极意网络科技有限公司 Identification method, device, device and storage medium for interface cracking
CN115244530A (en) 2020-01-30 2022-10-25 日本电气株式会社 Server device, terminal, authentication system, authentication method, and storage medium
JP2022140724A (en) * 2020-01-30 2022-09-27 日本電気株式会社 Method, server device, and program
CN115118530B (en) * 2022-08-30 2023-01-10 太平金融科技服务(上海)有限公司深圳分公司 Secret-free mutual trust configuration method, system, equipment and medium

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11224236A (en) * 1998-02-05 1999-08-17 Mitsubishi Electric Corp Remote authentication system
JP3951638B2 (en) * 2001-06-20 2007-08-01 日本電気株式会社 Authentication application service system
JP3983035B2 (en) * 2001-11-19 2007-09-26 富士通株式会社 User terminal authentication program
WO2007142072A1 (en) * 2006-06-09 2007-12-13 Heartland Co., Ltd. Terminal device and data managing system using the same
JP5309496B2 (en) * 2007-08-09 2013-10-09 日本電気株式会社 Authentication system and authentication method

Also Published As

Publication number Publication date
JP2011227843A (en) 2011-11-10

Similar Documents

Publication Publication Date Title
JP5345585B2 (en) Authentication system, authentication method and program
US10305902B2 (en) Two-channel authentication proxy system capable of detecting application tampering and method therefor
CN101997824B (en) Identity identifying method based on mobile terminal and device thereof and system
KR100464755B1 (en) User authentication method using user&#39;s e-mail address and hardware information
TWI361611B (en) Biometric authentication system for enhancing network security
TWI728261B (en) Query system, method and non-transitory machine-readable medium to determine authentication capabilities
JP2023522835A (en) System and method for cryptographic authentication
US11057372B1 (en) System and method for authenticating a user to provide a web service
US9124571B1 (en) Network authentication method for secure user identity verification
US20040107367A1 (en) Method, arrangement and secure medium for authentication of a user
CN102281286A (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
JP2011141785A (en) Member registration system using portable terminal and authentication system
KR20190065340A (en) Method and apparatus for service implementation
KR20130107188A (en) Server and method for authentication using sound code
US20090150762A1 (en) Entering data into a webpage
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP5707205B2 (en) Identification system and identification method
CN105162774A (en) Virtual machine login method, virtual machine login method and device for terminal
KR101027228B1 (en) Personal authentication device for internet security, method and recording medium recording the same
KR101391980B1 (en) Authentification system and method using code
KR20140081041A (en) Authentication Method and System for Service Connection of Internet Site using Phone Number
JP2008171087A (en) Authentication system, and authentication program
KR20100005977A (en) System and method for providing ordered advertisement based on location with real wireless termianl user and recording medium
KR101161182B1 (en) Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request
KR100976040B1 (en) User Authentication Method and System Using USB Storage System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130813

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130814

R150 Certificate of patent or registration of utility model

Ref document number: 5345585

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees