Nothing Special   »   [go: up one dir, main page]

JP2008152612A - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP2008152612A
JP2008152612A JP2006340875A JP2006340875A JP2008152612A JP 2008152612 A JP2008152612 A JP 2008152612A JP 2006340875 A JP2006340875 A JP 2006340875A JP 2006340875 A JP2006340875 A JP 2006340875A JP 2008152612 A JP2008152612 A JP 2008152612A
Authority
JP
Japan
Prior art keywords
authentication
information
terminal
contact
service request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006340875A
Other languages
Japanese (ja)
Other versions
JP4895288B2 (en
Inventor
Shinya Sasaki
伸也 佐々木
Natsuki Ishida
夏樹 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2006340875A priority Critical patent/JP4895288B2/en
Publication of JP2008152612A publication Critical patent/JP2008152612A/en
Application granted granted Critical
Publication of JP4895288B2 publication Critical patent/JP4895288B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system and a method performing a plurality of authentications within a short time by simple operation. <P>SOLUTION: An authentication system is provided with an on-line service server, an authentication server and a mobile information terminal provided with a non-contact IC chip and an authentication client to previously store identification information and generate authentication information. When the information terminal determines necessity of terminal user authentication and determines that the it is unnecessary and when the information terminal determines that it is necessary, and that the terminal user authentication succeeds in terminal user authentication by using the previously stored owner identification information, a means in the information terminal generates authentication information based on information read out from the non-contact IC chip, writes the generated authentication information in the non-contact IC chip and ends an authentication client. Then the information terminal reads out the authentication information from the non-contact IC chip through a non-contact IC reader/writer and transmits the authentication information to the on-line service server. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、各種のオンラインサービスシステムにおける認証システム及び認証方法に関する。   The present invention relates to an authentication system and an authentication method in various online service systems.

従来、オンラインサービスの認証では、IDと固定パスワードによる認証が広く利用されてきた。しかし、固定パスワードによる認証は、IDとパスワードが第三者に盗まれて使用された場合に、不正な利用者によるアクセスかどうかのチェックができず、利用者のなりすましを容易に許してしまうという問題がある。
また、固定パスワードによる認証では、認証に使用するパスワードを定期的に変更することで総当り攻撃を防止しているが、このような頻繁なパスワードの変更が、利用者に大きな負担をかけるという問題がある。
Conventionally, authentication using an ID and a fixed password has been widely used for online service authentication. However, authentication with a fixed password means that if an ID and password are stolen and used by a third party, it cannot be checked for access by an unauthorized user, and the user can easily be impersonated. There's a problem.
Also, with fixed password authentication, brute force attacks are prevented by periodically changing the password used for authentication, but such frequent password changes place a heavy burden on users. There is.

そこで、認証のセキュリティを強化するとともに、利用者のパスワード管理にかかる負担を軽減する方法として、利用者が所有する携帯情報端末を利用する技術が提案されている。
例えば、特許文献1には、オンラインサービスサーバと情報端末と携帯情報端末と携帯情報端末会社メールサーバとがインターネットを介して接続された構成において、情報端末からの認証要求に対し、オンラインサービスサーバが認証要求に対して一定時間かつ一度しか使用することができないワンタイムパスワードを生成し、生成したワンタイムパスワードを記載したメールを作成し、当該メールを携帯情報端末会社メールサーバを介して利用者の携帯情報端末に送信し、利用者が受信したメールに記載されたワンタイムパスワードを従来の固定パスワードに代わって情報端末に入力し、情報端末がオンラインサービスサーバにワンタイムパスワードを送信することで、認証を行う技術が開示されている。
Therefore, as a method for enhancing the security of authentication and reducing the burden on the user's password management, a technique using a portable information terminal owned by the user has been proposed.
For example, in Patent Document 1, in an arrangement in which an online service server, an information terminal, a portable information terminal, and a portable information terminal company mail server are connected via the Internet, an online service server responds to an authentication request from the information terminal. Generate a one-time password that can be used only once for a specified time in response to an authentication request, create an email with the generated one-time password, and send the email to the user's By sending the one-time password written in the email received by the user to the mobile information terminal and entering the information terminal instead of the conventional fixed password, the information terminal sends the one-time password to the online service server, A technique for performing authentication is disclosed.

また特許文献2には、オンラインサービスサーバと情報端末がインターネットを介して接続され、さらに、前記オンラインサービスサーバが携帯情報端末と公衆電話回線を介して接続された構成において、情報端末からの認証要求に対し、オンラインサービスサーバが携帯情報端末に電話をかけ、利用者が携帯情報端末で電話を受けて暗証番号等の本人しか知り得ない本人確認情報を携帯情報端末に入力し、携帯情報端末が入力された本人確認情報を公衆電話回線を介してオンラインサービスサーバに送信することで、認証を行う技術が開示されている。   Patent Document 2 discloses an authentication request from an information terminal in a configuration in which an online service server and an information terminal are connected via the Internet, and the online service server is connected to a portable information terminal via a public telephone line. On the other hand, the online service server calls the portable information terminal, and the user receives the call at the portable information terminal and inputs personal identification information such as a personal identification number to the portable information terminal. A technique is disclosed in which authentication is performed by transmitting input identity verification information to an online service server via a public telephone line.

これら従来技術によると、予めメールアドレスや電話番号が登録された携帯情報端末を所有する利用者しか認証に成功しない仕組みを構築することができるため、従来の固定パスワードによる認証と比較し、認証のセキュリティを強化することができる。
さらに、認証システムの利用者は、パスワードを覚えたり定期的に変更したりする手間なく、認証システムを利用することができる。
According to these conventional technologies, it is possible to construct a mechanism in which only a user who owns a portable information terminal in which an e-mail address or a telephone number is registered in advance can be authenticated. Security can be strengthened.
Furthermore, the user of the authentication system can use the authentication system without having to remember the password or change it periodically.

特開2005−209083号JP 2005-209083 A 特開2006−33780号JP 2006-33780 A 三井住友銀行 インターネットバンキングの暗証レベルを変更のヘルプ(www.smbc.co.jp/kojin/direct/ib/help_anshouhenko.html02)Sumitomo Mitsui Banking Corporation Help changing Internet banking password (www.smbc.co.jp/kojin/direct/ib/help_anshouhenko.html02)

しかしながら、従来技術にあっては以下の問題がある。
第一に、携帯情報端末の電波の受信状況によっては、認証システムが利用できない点である。従来技術では、地下や建物の中など携帯情報端末の電波が届きにくい場所では、携帯情報端末での認証情報の取得に遅延が生じたり、取得に失敗する可能性がある。
第二に、利用者の端末の操作負担が大きく、短時間に複数回の認証を実行することが難しい点である。従来技術では、利用者は、認証の度に毎回携帯情報端末を操作する必要がある。例えば、特許文献1記載の従来技術では、認証の度に毎回携帯情報端末のメーラを操作し、受信したメールを読まなければならない。また、特許文献2記載の従来技術では、認証の度に毎回電話を受けなければならない。さらに、特許文献1の場合は、利用者は携帯情報端末を見ながら、情報端末を操作してワンタイムパスワードを入力しなければならず、これも利用者の端末操作負担を大きくしている。
However, the prior art has the following problems.
First, the authentication system cannot be used depending on the radio wave reception status of the portable information terminal. In the prior art, there is a possibility that the acquisition of authentication information at the portable information terminal may be delayed or failed in places where radio waves of the portable information terminal are difficult to reach, such as underground or in buildings.
Secondly, the operation burden on the user's terminal is large, and it is difficult to execute authentication multiple times in a short time. In the prior art, the user needs to operate the portable information terminal every time authentication is performed. For example, in the prior art described in Patent Document 1, it is necessary to read the received mail by operating the mailer of the portable information terminal every time authentication is performed. In the prior art described in Patent Document 2, a telephone call must be received every time authentication is performed. Furthermore, in the case of Patent Document 1, the user must input the one-time password by operating the information terminal while looking at the portable information terminal, which also increases the user's terminal operation burden.

近年、インターネットバンキングなど高度なセキュリティが要求されるオンラインサービスサイトの中には、口座振込みや取り扱い上限金額の変更などの重要なサービスを提供する際に、オンラインサービスサイトへのログインで使用したパスワードとは別に、トランザクションごとのパスワード認証を求めるものがある(非特許文献1参照)。
このようなトランザクションごとに認証を要求するオンラインサービスサイトのセキュリティを強化する際に、従来技術では認証に時間がかかるため、オンラインサービスの利便性が大きく損なわれる可能性がある。
In recent years, some of the online service sites that require advanced security, such as Internet banking, include the password used to log in to the online service site when providing important services such as account transfer and changing the maximum amount of money to be handled. In addition, there is one that requires password authentication for each transaction (see Non-Patent Document 1).
When strengthening the security of an online service site that requires authentication for each transaction, authentication takes time in the prior art, and the convenience of the online service may be greatly impaired.

本発明の目的は、携帯情報端末の電波の受信状況によらず利用でき、かつ、簡易な操作で短時間に複数回の認証を行うことが可能な認証システム及び認証方法を提供することにある。   An object of the present invention is to provide an authentication system and an authentication method that can be used regardless of the radio wave reception status of a portable information terminal and that can be authenticated multiple times in a short time with a simple operation. .

上記目的を達成するため、請求項1記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
In order to achieve the above object, an invention according to claim 1 is provided with an online service server that provides an online service and a non-contact IC chip reader / writer, and provides the online service by transmitting service request contents to the online service server. Service request contents comprising: an information terminal that receives the information; an authentication server that performs processing related to authentication of the service request content in the online service; and a user who receives the online service in the information terminal, and a contactless IC chip and an authentication client An authentication system composed of a portable information terminal that generates authentication information used for authentication of
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Means for generating a non-contact IC chip reader / writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Means for writing information and service request content, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and authentication is performed based on the random number information read from the non-contact IC chip and the service request content Means for generating information, writing the generated authentication information into a contactless IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. Features.

請求項2記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
The invention described in claim 2 includes an online service server that provides an online service, a non-contact IC chip reader / writer, an information terminal that transmits a service request content to the online service server and receives the online service, An authentication server that performs processing related to authentication of service request contents in a service, and a user who receives an online service at the information terminal, includes a contactless IC chip and an authentication client, stores personal identification information in advance, An authentication system composed of a mobile information terminal that generates authentication information used for content authentication,
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Means for generating a non-contact IC chip reader / writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Means for writing information and service request content, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication means is executed using the personal identification information stored in advance. The terminal user authentication is performed, and when the terminal user authentication is determined to be successful, the authentication information is generated based on the random number information read from the non-contact IC chip and the content of the service request. Means for writing information to the contactless IC chip and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. Features.

請求項3記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証判定情報とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証判定情報とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
According to a third aspect of the present invention, there is provided an online service server for providing an online service, a non-contact IC chip reader / writer, an information terminal for transmitting the service request contents to the online service server and receiving the online service, An authentication server that performs processing related to the authentication of service request contents in a service, and a user who receives an online service at the information terminal, includes a contactless IC chip and an authentication client, stores personal identification information in advance, An authentication system composed of a mobile information terminal that generates authentication information used for content authentication,
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information generated by the authentication server, the authentication client activation code, and the terminal user authentication determination information are received, and the random number information and the authentication client activation code are received. Generating a non-contact IC chip reader / writer control code including service request contents and terminal user authentication determination information, and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal When,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication determination information, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication determination information read from the non-contact IC chip is used. The terminal user authentication necessity determination means is executed to determine the necessity of terminal user authentication, and when it is determined that the necessity determination is unnecessary, and the necessity determination is determined to be necessary, and The terminal user authentication is executed by executing the terminal user authentication means using the personal identification information stored in advance, and when the terminal user authentication is determined to be successful, it is read from the non-contact IC chip. Generating authentication information based on the random number information and the service request content, writing the generated authentication information to the non-contact IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. Features.

請求項4記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記認証サーバから乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証要求フラグとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証要求フラグとを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
According to a fourth aspect of the present invention, there is provided an online service server for providing an online service, a non-contact IC chip reader / writer, an information terminal for transmitting the service request content to the online service server and receiving the online service, An authentication server that performs processing related to authentication of service request contents in a service, and a user who receives an online service at the information terminal, includes a contactless IC chip and an authentication client, stores personal identification information in advance, An authentication system composed of a mobile information terminal that generates authentication information used for content authentication,
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
Means for transmitting the service request content received from the information terminal to the authentication server;
The authentication server is
Necessity of terminal user authentication by generating random number information, authentication client activation code and terminal user authentication determination information, and using the terminal user authentication determination information to execute terminal user authentication necessity determination means Performing determination, obtaining the result of the necessity determination as a terminal user authentication request flag, and transmitting random number information, an authentication client activation code, and a terminal user authentication request flag to the online service server;
The online service server is
A contactless IC chip reader that receives random number information, an authentication client activation code, and a terminal user authentication request flag from the authentication server, and includes random number information, an authentication client activation code, service request contents, and a terminal user authentication request flag Means for generating a writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication request flag, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication request flag read from the non-contact IC chip is unnecessary. Terminal user authentication request flag read from a non-contact IC chip is necessary, and terminal user authentication is performed by executing terminal user authentication means using pre-stored personal identification information When the terminal user authentication is determined to be successful, authentication information is generated based on the random number information read from the contactless IC chip and the service request content, and the generated authentication information is stored in the contactless IC chip. Means to write and exit the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. Features.

請求項5記載の発明は、請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、前記端末使用者認証判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
Invention of Claim 5 is an authentication system in any one of Claim 3 and Claim 4,
The terminal user authentication determination information is a time at which the authentication server generates random number information used as an argument when generating authentication information, and the terminal user authentication determination means immediately before the authentication request being processed. When the mobile information terminal generates the authentication information, the time difference between the random number generation time acquired as the terminal user authentication determination information and the random number generation time acquired as the terminal user authentication determination information is calculated, and the calculated time difference is When it is less than the time difference set in advance in the authentication system, the execution result of the terminal user authentication determination means is determined to be unnecessary, and when the calculated time difference is greater than or equal to the time difference set in advance in the authentication system, It is characterized in that the execution result of the terminal user authentication determining means is determined to be necessary.

請求項6記載の発明は、請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
Invention of Claim 6 is the authentication system in any one of Claim 3 and Claim 4,
The terminal user authentication determination information is a transaction amount included in the service request content transmitted by the information terminal together with the authentication request, and the terminal user authentication determination unit is configured to obtain the transaction amount acquired as the terminal user authentication determination information. If the amount of money is less than the amount previously determined in the authentication system, the execution result of the terminal user authentication determination means is determined to be unnecessary, and the transaction amount acquired as the terminal user authentication determination information is determined in advance in the authentication system. When the amount is more than the specified amount, the execution result of the terminal user authentication determination unit is determined to be necessary.

請求項7記載の発明は、請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証判定手段の実行結果を、要か不要に判定することを特徴とする。
The invention according to claim 7 is the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information includes transaction amount and customer information included in the service request content transmitted by the information terminal together with the authentication request, and history information of the service request content executed by the user before the authentication request being processed. And
The terminal user authentication determination means is configured such that the transaction amount acquired as the terminal user authentication determination information is higher or lower than an amount determined in advance in the authentication system, and the terminal user authentication determination information The terminal user authentication determination means is executed by a combination of the condition determinations that the customer information acquired as the terminal user authentication determination information is included or not included in the history information of the service request content acquired as The result is determined to be necessary or unnecessary.

請求項8記載の発明は、請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
The invention according to claim 8 is the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information is a login determination flag included in the service request content transmitted by the information terminal together with the authentication request,
If the login determination flag acquired as the terminal user authentication determination information is a value indicating that a request other than login to the online service is requested as the service request content, the terminal user authentication determination means If the login determination flag acquired as the terminal user authentication determination information is a value indicating that login to the online service is requested as the service request content, the terminal determines that the execution result of the authentication determination means is unnecessary. The execution result of the user authentication determination unit is determined to be necessary.

請求項9記載の発明は、請求項2〜8のいずれかに記載の認証システムにおいて、
前記認証クライアントが実行する端末使用者認証手段は、利用者に本人確認情報の入力を求め、入力された本人確認情報が予め携帯情報端末に記憶された本人確認情報と一致する場合に、端末使用者認証を成功と判定することを特徴とする。
The invention according to claim 9 is the authentication system according to any one of claims 2 to 8,
The terminal user authentication means executed by the authentication client prompts the user to input identity verification information, and if the entered identity verification information matches the identity verification information stored in advance in the portable information terminal, the terminal use It is characterized in that the person authentication is determined to be successful.

請求項10記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、暗証番号であることを特徴とする。   A tenth aspect of the present invention is the authentication system according to any one of the second to ninth aspects, wherein the personal identification information is a personal identification number.

請求項11記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、位置情報であることを特徴とするステム。   The invention according to claim 11 is the authentication system according to any one of claims 2 to 9, wherein the identity verification information is position information.

請求項12記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、利用者の生体情報であることを特徴とする。   According to a twelfth aspect of the present invention, in the authentication system according to any one of the second to ninth aspects, the identification information is biometric information of a user.

請求項13記載の発明は、請求項1〜12いずれかに記載の認証システムにおいて、 前記認証情報は、ワンタイムパスワードであることを特徴とする。   The invention according to claim 13 is the authentication system according to any one of claims 1 to 12, wherein the authentication information is a one-time password.

請求項14記載の発明は、請求項1〜12いずれかに記載の認証システムにおいて、前記認証情報は、ディジタル署名であることを特徴とする。
請求項15記載の発明は、請求項1〜14いずれかに記載の認証システムにおいて、
前記認証クライアントを終了する手段は、前記サービス要求内容確認画面を表示してから一定時間経過後に、生成した前記認証情報を前記非接触ICチップに書き込むことを特徴とする。
The invention according to claim 14 is the authentication system according to any one of claims 1 to 12, wherein the authentication information is a digital signature.
The invention according to claim 15 is the authentication system according to any one of claims 1 to 14,
The means for terminating the authentication client writes the generated authentication information into the non-contact IC chip after a predetermined time has elapsed since the service request content confirmation screen was displayed.

請求項16記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
According to a sixteenth aspect of the present invention, there is provided an online service server that provides an online service, a non-contact IC chip reader / writer, an information terminal that transmits a service request content to the online service server and receives an online service, Authentication information used for authentication of service request contents, possessed by an authentication server that performs processing related to authentication of service request contents in a service, and a user who receives an online service at the information terminal, and includes a contactless IC chip and an authentication client An authentication method in an authentication system configured with a portable information terminal that generates
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Generating a contactless IC chip reader / writer control code and displaying an authentication client operation screen incorporating the contactless IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information and service request content, and sending an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and authentication is performed based on the random number information read from the non-contact IC chip and the service request content Generating information, writing the generated authentication information to a contactless IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the content of the service request received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; It is characterized by providing.

請求項17記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
The invention according to claim 17 is an online service server for providing an online service;
An information terminal comprising a non-contact IC chip reader / writer, transmitting service request contents to the online service server and receiving provision of the online service, an authentication server performing processing related to authentication of the service request contents in the online service, and the information terminal It is composed of a portable information terminal possessed by a user who receives an online service, having a non-contact IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of service request contents An authentication method in an authentication system
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Generating a contactless IC chip reader / writer control code and displaying an authentication client operation screen incorporating the contactless IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information and service request content, and sending an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication means is executed using the personal identification information stored in advance. The terminal user authentication is performed, and when the terminal user authentication is determined to be successful, the authentication information is generated based on the random number information read from the non-contact IC chip and the content of the service request. Writing information to the contactless IC chip and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the content of the service request received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; It is characterized by providing.

請求項18記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証判定情報とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証判定情報とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
An invention according to claim 18 is provided with an online service server for providing online services, an information terminal comprising a contactless IC chip reader / writer, an information terminal for receiving provision of online services by transmitting service request contents to the online service server, An authentication server that performs processing related to the authentication of service request contents in a service, and a user who receives an online service at the information terminal, includes a contactless IC chip and an authentication client, stores personal identification information in advance, An authentication method in an authentication system configured with a portable information terminal that generates authentication information used for content authentication,
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information generated by the authentication server, the authentication client activation code, and the terminal user authentication determination information are received, and the random number information and the authentication client activation code are received. Generating a contactless IC chip reader / writer control code including the service request content and terminal user authentication determination information, and causing the information terminal to display an authentication client operation screen incorporating the contactless IC chip reader / writer control code When,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication determination information, and transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication determination information read from the non-contact IC chip is used. The terminal user authentication necessity determination means is executed to determine the necessity of terminal user authentication, and when it is determined that the necessity determination is unnecessary, and the necessity determination is determined to be necessary, and The terminal user authentication is executed by executing the terminal user authentication means using the personal identification information stored in advance, and when the terminal user authentication is determined to be successful, it is read from the non-contact IC chip. Generating authentication information based on the random number information and the contents of the service request, writing the generated authentication information to the non-contact IC chip, and terminating the authentication client ,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the content of the service request received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; It is characterized by providing.

請求項19記載の発明は、オンラインサービスを提供するオンラインサービスサーバと、非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記認証サーバから乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証要求フラグとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証要求フラグとを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
The invention according to claim 19 is provided with an online service server that provides online services, an information terminal that includes a non-contact IC chip reader / writer, transmits service request contents to the online service server, and receives provision of online services, An authentication server that performs processing related to the authentication of service request contents in a service, and a user who receives an online service at the information terminal, includes a contactless IC chip and an authentication client, stores personal identification information in advance, An authentication method in an authentication system configured with a portable information terminal that generates authentication information used for content authentication,
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
Transmitting the service request content received from the information terminal to the authentication server;
The authentication server is
Necessity of terminal user authentication by generating random number information, authentication client activation code and terminal user authentication determination information, and using the terminal user authentication determination information to execute terminal user authentication necessity determination means Performing determination, obtaining a result of the necessity determination as a terminal user authentication request flag, and transmitting random number information, an authentication client activation code, and a terminal user authentication request flag to the online service server;
The online service server is
A contactless IC chip reader that receives random number information, an authentication client activation code, and a terminal user authentication request flag from the authentication server, and includes random number information, an authentication client activation code, service request contents, and a terminal user authentication request flag Generating a writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication request flag, and transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication request flag read from the non-contact IC chip is unnecessary. Terminal user authentication request flag read from a non-contact IC chip is necessary, and terminal user authentication is performed by executing terminal user authentication means using pre-stored personal identification information When the terminal user authentication is determined to be successful, authentication information is generated based on the random number information read from the contactless IC chip and the service request content, and the generated authentication information is stored in the contactless IC chip. Writing and exiting the authentication client; and
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the content of the service request received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; It is characterized by providing.

請求項20記載の発明は、請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、
前記端末使用者認証判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
The invention according to claim 20 is the authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a time when the authentication server generates random number information to be used as an argument when generating authentication information,
The terminal user authentication determination means includes a random number generation time acquired as the terminal user authentication determination information and the terminal user authentication determination information when the portable information terminal generates the authentication information immediately before the authentication request being processed. Calculate the time difference from the obtained random number generation time, and if the calculated time difference is less than the time difference determined in advance in the authentication system, determine that the execution result of the terminal user authentication determination means is unnecessary, and calculate the time difference However, when the time difference is equal to or greater than a time difference determined in advance in the authentication system, the execution result of the terminal user authentication determination unit is determined to be necessary.

請求項21記載の発明は、請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
The invention according to claim 21 is the authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a transaction amount included in a service request content transmitted by the information terminal together with an authentication request,
The terminal user authentication determination unit determines that the execution result of the terminal user authentication determination unit is unnecessary when the transaction amount acquired as the terminal user authentication determination information is less than an amount determined in advance in the authentication system. When the transaction amount acquired as the terminal user authentication determination information is greater than or equal to the amount determined in advance in the authentication system, the execution result of the terminal user authentication determination unit is determined to be necessary.

請求項22記載の発明は、請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証判定手段の実行結果を、要か不要に判定することを特徴とする。
The invention according to claim 22 is the authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information includes transaction amount and customer information included in the service request content transmitted by the information terminal together with the authentication request, and history information of the service request content executed by the user before the authentication request being processed. And
The terminal user authentication determination means is configured such that the transaction amount acquired as the terminal user authentication determination information is higher or lower than an amount determined in advance in the authentication system, and the terminal user authentication determination information The terminal user authentication determination means is executed by a combination of the condition determinations that the customer information acquired as the terminal user authentication determination information is included or not included in the history information of the service request content acquired as The result is determined to be necessary or unnecessary.

請求項23記載の発明は、請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を要と判定することを特徴とする。
請求項24記載の発明は、請求項16〜23いずれかに記載の認証方法において、
前記認証クライアントを終了するステップは、前記サービス要求内容確認画面を表示してから一定時間経過後に、生成した前記認証情報を前記非接触ICチップに書き込むことを特徴とする。
The invention according to claim 23 is the authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a login determination flag included in the service request content transmitted by the information terminal together with the authentication request,
If the login determination flag acquired as the terminal user authentication determination information is a value indicating that a request other than login to the online service is requested as the service request content, the terminal user authentication determination means If the login determination flag acquired as the terminal user authentication determination information is a value indicating that login to the online service is requested as the service request content, the terminal determines that the execution result of the authentication determination means is unnecessary. The execution result of the user authentication determination unit is determined to be necessary.
Invention of Claim 24 in the authentication method in any one of Claims 16-23,
The step of terminating the authentication client is characterized in that the generated authentication information is written into the non-contact IC chip after a predetermined time has elapsed since the service request content confirmation screen was displayed.

本発明によれば、利用者は携帯情報端末の電波の受信状況によらず、認証システムを利用することができる。
また、利用者が携帯情報端末を非接触ICリーダライタが読み書き可能な距離の範囲内に置きさえすれば、携帯情報端末を操作することなく、情報端末を操作するだけで認証可能な認証システムを提供することができる。これにより、利用者は、簡易な操作で短時間に複数回の認証を行うことができる。
さらに、携帯情報端末の端末使用者認証の必要性を判定する仕組みを導入したことにより、正規利用者ではない第三者に認証システムを不正使用される危険性を、利用者に最小限の端末操作負担を要求するだけで防止することができる。
According to the present invention, the user can use the authentication system regardless of the radio wave reception status of the portable information terminal.
In addition, an authentication system that can authenticate only by operating the information terminal without operating the portable information terminal, as long as the user places the portable information terminal within a distance range that can be read and written by the non-contact IC reader / writer. Can be provided. Thereby, the user can authenticate a plurality of times in a short time with a simple operation.
In addition, by introducing a mechanism for determining the necessity of terminal user authentication for mobile information terminals, the terminal that minimizes the risk of unauthorized use of the authentication system by a third party who is not an authorized user. This can be prevented simply by requesting an operation burden.

以下、本発明の実施の形態に係る認証システム及び認証方法について、図面を参照して説明する。
(本発明の第一の実施の形態)
図1は、本発明の第一の実施の形態に係る認証システムの全体構成図である。
なお、本発明の第一の実施の形態では、端末使用者認証判定情報として、認証システムが独自に生成する情報(例えば時刻)を使用する形態について説明している。
まず、本認証システムの構成について以下に説明する。
本実施形態の認証システムは、情報端末101とオンラインサービスサーバ103と認証サーバ104とがインターネット等の通信ネットワーク105を介して接続された構成をとる。
さらに、情報端末101には、非接触ICチップリーダライタ106(図及び、以下本文では非接触ICR/Wと記述する)が接続される。非接触ICR/W106は携帯情報端末102と非接触通信を行う情報機器である。
情報端末101は、少なくとも、オンラインサービスクライアント107を備える。
この情報端末101は、例えば、オンラインサービスの利用者が所有するパーソナルコンピュータ(PC)である。
携帯情報端末102は、少なくとも、非接触ICチップ108と認証クライアント109とを備える。携帯情報端末102は、例えば、オンラインサービスの利用者が所有する携帯電話機である。
Hereinafter, an authentication system and an authentication method according to embodiments of the present invention will be described with reference to the drawings.
(First embodiment of the present invention)
FIG. 1 is an overall configuration diagram of an authentication system according to the first embodiment of the present invention.
In the first embodiment of the present invention, a mode is described in which information (for example, time) uniquely generated by the authentication system is used as terminal user authentication determination information.
First, the configuration of the authentication system will be described below.
The authentication system of this embodiment has a configuration in which an information terminal 101, an online service server 103, and an authentication server 104 are connected via a communication network 105 such as the Internet.
Further, the information terminal 101 is connected to a non-contact IC chip reader / writer 106 (referred to as “non-contact ICR / W” in the figure and the text below). The non-contact ICR / W 106 is an information device that performs non-contact communication with the portable information terminal 102.
The information terminal 101 includes at least an online service client 107.
The information terminal 101 is, for example, a personal computer (PC) owned by a user of an online service.
The portable information terminal 102 includes at least a non-contact IC chip 108 and an authentication client 109. The mobile information terminal 102 is, for example, a mobile phone owned by a user of an online service.

図2は、情報端末101の構成を示す機能ブロック図である。
なお、本図のオンラインサービスクライアント209は、図1で示したオンラインサービスクライアント107と同一のものである。
情報端末101は、プログラムの実行や演算を行うCPU201と、命令やデータの入力を行う入力部202と、システムの状態などを出力する出力部203と、プログラムやデータをロードするメモリ204と、非接触ICR/Wを接続する非接触ICR/W接続部205と、他の通信機器とコネクションを確立する通信処理部206と、オンラインサービスクライアント209や、非接触ICR/W制御プログラム210が記憶される記憶部207が、バス208で接続される構成をとる。
FIG. 2 is a functional block diagram showing the configuration of the information terminal 101.
Note that the online service client 209 in this figure is the same as the online service client 107 shown in FIG.
The information terminal 101 includes a CPU 201 that executes and executes a program, an input unit 202 that inputs commands and data, an output unit 203 that outputs a system state, a memory 204 that loads programs and data, A non-contact ICR / W connection unit 205 that connects the contact ICR / W, a communication processing unit 206 that establishes a connection with another communication device, an online service client 209, and a non-contact ICR / W control program 210 are stored. A storage unit 207 is connected by a bus 208.

非接触ICR/W接続部205は、情報端末101に非接触ICR/W106を接続する接続ポートであって、例えば、非接触ICR/Wが情報端末の外部接続機器として提供される場合は、USBなどの外部接続機器用の接続ポートであり、非接触ICR/Wが情報端末に予め組み込まれた機能として提供される場合は、マザーボードなどの電子基盤に搭載された接続ポートである。   The non-contact ICR / W connection unit 205 is a connection port for connecting the non-contact ICR / W 106 to the information terminal 101. For example, when the non-contact ICR / W is provided as an external connection device of the information terminal, the USB In the case where the non-contact ICR / W is provided as a function built in the information terminal in advance, the connection port is mounted on an electronic board such as a motherboard.

オンラインサービスクライアント209は、利用者が入力部202を通じて入力した情報をオンラインサービスサーバ103に送信する機能や、オンラインサービスサーバ103から受信した情報を出力部203を介して利用者に提示する機能を備えるソフトウェアである。
オンラインサービスクライアント209は、例えば、ブラウザである。
The online service client 209 has a function of transmitting information input by the user through the input unit 202 to the online service server 103 and a function of presenting information received from the online service server 103 to the user through the output unit 203. Software.
The online service client 209 is, for example, a browser.

非接触ICR/W制御プログラム210は、非接触ICチップ108への情報の読み書き要求や、認証クライアント109を起動させる認証クライアント起動コードを携帯情報端末102に送信する機能を実現するプログラムである。
ここで、認証クライアント起動コードは、携帯情報端末102の記憶部における認証クライアント109のアドレスや、起動に必要な暗証コードを含む情報である。
非接触ICR/W制御プログラム210は、オンラインサービスクライアントの機能を拡張するプラグインや、オンラインサービスクライアントの機能の一つとして提供されるプログラムである。
The non-contact ICR / W control program 210 is a program that realizes a function of transmitting a read / write request for information to the non-contact IC chip 108 and an authentication client activation code for activating the authentication client 109 to the portable information terminal 102.
Here, the authentication client activation code is information including the address of the authentication client 109 in the storage unit of the portable information terminal 102 and a password required for activation.
The non-contact ICR / W control program 210 is a plug-in that extends the function of the online service client or a program provided as one of the functions of the online service client.

図3は、携帯情報端末102の構成を示す機能ブロック図である。
なお、本図の非接触ICチップ305と認証クライアント310は、それぞれ図1で示した非接触ICチップ108及び認証クライアント109と同一のものである。
携帯情報端末102は、プログラムの実行や演算を行うCPU301と、命令やデータの入力を行う入力部302と、システムの状態などを出力する出力部303と、プログラムやデータをロードするメモリ304と、サービス要求内容313や端末使用者認証判定情報314や乱数情報315を暗号化してさらにMAC(Message Authentication Code)を付加したMAC付き暗号情報308、及び、認証情報309を記憶する非接触ICチップ305と、端末使用者認証必要性判定プログラム316と端末使用者認証プログラム317とを含む認証クライアント310、及び、非接触ICチップ制御プログラム311、及び、本人確認情報312を記憶する記憶部306とが、バス307で接続された構成をとる。
FIG. 3 is a functional block diagram showing a configuration of the portable information terminal 102.
In addition, the non-contact IC chip 305 and the authentication client 310 in this figure are the same as the non-contact IC chip 108 and the authentication client 109 shown in FIG. 1, respectively.
The portable information terminal 102 includes a CPU 301 that executes programs and performs calculations, an input unit 302 that inputs commands and data, an output unit 303 that outputs system statuses, a memory 304 that loads programs and data, A non-contact IC chip 305 storing encrypted information 308 with MAC obtained by encrypting service request contents 313, terminal user authentication determination information 314 and random number information 315 and further adding a MAC (Message Authentication Code), and authentication information 309; The authentication client 310 including the terminal user authentication necessity determination program 316 and the terminal user authentication program 317, the non-contact IC chip control program 311 and the storage unit 306 for storing the identity confirmation information 312 are provided on the bus. The configuration connected at 307 is adopted.

入力部302は、キーボードやカメラやマイクのほか、GPS等の位置情報の取得手段、及び、指紋、虹彩、網膜パターン、静脈パターンといった生体情報の入力装置である。
非接触ICチップ305は、非接触通信に対応したICチップであり、非接触ICR/W106を介した外部情報機器からの情報の読み書きのほか、携帯情報端末102が搭載するソフトウェアからの情報の読み書きも可能なICチップである。
非接触ICチップ305は、例えば、FeliCa(登録商標)チップである。
認証情報309は、認証クライアント310において、乱数情報315やサービス要求内容313や後述する鍵情報を基に生成される情報であって、認証サーバ104での認証処理に使用される情報である。
認証情報309は、例えば、ワンタイムパスワードやディジタル署名である。
The input unit 302 is a keyboard, camera, microphone, position information acquisition means such as GPS, and a biometric information input device such as a fingerprint, an iris, a retina pattern, and a vein pattern.
The non-contact IC chip 305 is an IC chip corresponding to non-contact communication, and in addition to reading / writing information from an external information device via the non-contact ICR / W 106, reading / writing information from software installed in the portable information terminal 102 It is also possible IC chip.
The non-contact IC chip 305 is, for example, a FeliCa (registered trademark) chip.
The authentication information 309 is information that is generated by the authentication client 310 based on the random number information 315, the service request content 313, and key information described later, and is used for authentication processing in the authentication server 104.
The authentication information 309 is, for example, a one-time password or a digital signature.

認証クライアント310は、オンラインサービスを提供する事業者や認証サーバを運営する事業者により配布される携帯情報端末用ソフトウェアである。
非接触ICチップ制御プログラム311は、非接触ICR/W106から非接触ICチップ305への読み書き要求を受信して、非接触ICチップ内の情報を読み書きする機能や、非接触ICR/W106から認証クライアント起動コードを受信して、認証クライアント310を起動する機能を備えるプログラムである。
非接触ICチップ制御プログラム311は、認証クライアントと共に、オンラインサービスを提供する事業者や認証サーバを運営する事業者により配布されたり、あるいは、認証クライアントの機能の一つとして提供されるプログラムである。
The authentication client 310 is portable information terminal software distributed by a provider that provides an online service or a provider that operates an authentication server.
The non-contact IC chip control program 311 receives a read / write request from the non-contact ICR / W 106 to the non-contact IC chip 305 and reads / writes information in the non-contact IC chip, or an authentication client from the non-contact ICR / W 106 A program having a function of receiving an activation code and activating the authentication client 310.
The non-contact IC chip control program 311 is a program that is distributed together with an authentication client by an operator that provides an online service or an operator that operates an authentication server, or is provided as one of the functions of the authentication client.

本人確認情報312は、端末使用者認証プログラム317の引数として使用される情報である。
本人確認情報312は、例えば、携帯情報端末の所有者しか知りえない暗証番号や位置情報などの秘密情報や、指紋、虹彩、網膜パターン、静脈パターンなどの、携帯情報端末の所有者の生体情報である。
サービス要求内容313は、利用者が要求した、オンラインサービスへのログインなどの操作内容や、商品売買や銀行振込などの取引内容であって、本認証システムでの認証が成功した場合に、オンラインサービスサーバ103が提供するサービスの内容に関する情報である。
端末使用者認証判定情報314は、端末使用者認証必要性判定プログラム316の引数として使用される情報である。
乱数情報315は、認証クライアント310の処理において、認証情報309を生成する際の引数の一つとして使用される情報である。
乱数情報315は、例えば、擬似乱数プログラムにより生成されるランダムなバイト列である。
The identity verification information 312 is information used as an argument of the terminal user authentication program 317.
The personal identification information 312 is, for example, secret information such as a personal identification number and position information that only the owner of the portable information terminal knows, and biometric information of the owner of the portable information terminal such as a fingerprint, an iris, a retina pattern, and a vein pattern. It is.
The service request content 313 is an operation content requested by the user, such as login to an online service, or a transaction content such as merchandise sales or bank transfer. When the authentication by the authentication system is successful, the online service This is information regarding the contents of the service provided by the server 103.
The terminal user authentication determination information 314 is information used as an argument of the terminal user authentication necessity determination program 316.
The random number information 315 is information used as one of arguments when generating the authentication information 309 in the processing of the authentication client 310.
The random number information 315 is, for example, a random byte string generated by a pseudo random number program.

以下、図4〜図10を使用して本実施形態の認証システムの動作について説明する。
本実施形態の認証システムの動作は、大別すると、認証情報生成準備プロセス、認証情報生成プロセス、認証プロセスの3つの動作に分けられる。
図4は、認証情報生成準備プロセスの動作の流れを示した図である。
認証情報生成準備プロセスは、オンラインサービスクライアント107からの認証要求の送信に伴い実行される。
図5は、本認証システムの認証情報生成プロセスの動作の流れを示した図である。
認証情報生成プロセスは、認証情報生成準備プロセスの実行によりオンラインサービスクライアント107に表示される認証情報生成ボタンを、利用者が押下することにより実行される。
図6は、本認証システムの認証プロセスの動作の流れを示した図である。
認証プロセスは、認証情報生成プロセスの実行により認証クライアント109に表示されるサービス要求内容確認画面を利用者が確認後、認証情報生成準備プロセスの実行によりオンラインサービスクライアント107に表示される認証情報送信ボタンを、利用者が押下することにより実行される。
Hereinafter, the operation of the authentication system according to the present embodiment will be described with reference to FIGS.
The operation of the authentication system according to the present embodiment is roughly divided into three operations: an authentication information generation preparation process, an authentication information generation process, and an authentication process.
FIG. 4 is a diagram showing an operation flow of the authentication information generation preparation process.
The authentication information generation preparation process is executed with the transmission of the authentication request from the online service client 107.
FIG. 5 is a diagram showing an operation flow of the authentication information generation process of the authentication system.
The authentication information generation process is executed when the user presses an authentication information generation button displayed on the online service client 107 by executing the authentication information generation preparation process.
FIG. 6 is a diagram showing an operation flow of the authentication process of the authentication system.
The authentication process includes an authentication information transmission button displayed on the online service client 107 by executing the authentication information generation preparation process after the user confirms the service request content confirmation screen displayed on the authentication client 109 by executing the authentication information generating process. Is executed when the user presses down.

まず、本認証システムの初期状態について以下に説明する。
オンラインサービスの利用者が所有する携帯情報端末は、以下に列挙するデータを記憶部306に記憶する。
・共通鍵K
・秘密鍵SK
認証サーバ104は、オンラインサービス利用者ごとに以下に列挙するデータを記憶する。
・利用者ID
・共通鍵K
・公開鍵PK
ただし、秘密鍵SKと公開鍵PKは、認証情報309としてディジタル署名を使用する場合にのみ必要な情報であり、認証情報としてワンタイムパスワードを使用する場合は必要ない。
共通鍵Kは、認証サーバがオンラインサービスの利用者ごとに生成・発行する鍵情報であって、認証サーバ104でのMAC付き暗号情報308の生成、及び、認証クライアント109でのMAC付き暗号情報のMAC認証と復号に使用される鍵情報である。
また、秘密鍵SKと公開鍵PKは、認証サーバ104がオンラインサービスの利用者ごとに生成・発行する公開鍵暗号技術に基づく鍵情報のペアであって、秘密鍵SKは認証クライアントでのディジタル署名の生成に、また、公開鍵PKは認証サーバ104でのディジタル署名の検証に使用される鍵情報である。
First, the initial state of the authentication system will be described below.
The portable information terminal owned by the user of the online service stores the data listed below in the storage unit 306.
・ Common key K
・ Secret key SK
The authentication server 104 stores data listed below for each online service user.
・ User ID
・ Common key K
・ Public key PK
However, the secret key SK and the public key PK are information necessary only when a digital signature is used as the authentication information 309, and are not necessary when a one-time password is used as the authentication information.
The common key K is key information generated and issued by the authentication server for each user of the online service, and the generation of the encryption information 308 with MAC in the authentication server 104 and the encryption information with MAC in the authentication client 109 Key information used for MAC authentication and decryption.
The secret key SK and the public key PK are a pair of key information based on public key encryption technology generated and issued by the authentication server 104 for each user of the online service. The secret key SK is a digital signature at the authentication client. The public key PK is key information used for verification of the digital signature in the authentication server 104.

以上説明した初期状態を構成するための手順の一例として、以下に認証クライアント109の初期設定手順を説明する。
オンラインサービスを提供する事業者や認証サーバを運営する事業者は、オンラインサービスの利用者に認証クライアント109を配布する際に、一緒に利用者IDと固定パスワードを配布する。
利用者は、オンラインサービスクライアント107から、認証サーバ104に用意された初期設定用サイトにアクセスして、利用者IDと固定パスワードでログインし、認証サーバ104へ認証クライアント109の初期設定要求を送信する。
認証サーバ104は、初期設定要求を受けて、共通鍵Kと秘密鍵SKと公開鍵PKを生成し、共通鍵Kと秘密鍵SKとをオンラインサービスクライアント107へ送信する。このとき、認証サーバ104は利用者IDと関連付けて共通鍵Kと公開鍵PKとを記憶する。
オンラインサービスクライアント107は、非接触通信を使用して携帯情報端末102へ共通鍵Kと秘密鍵SKとを送信する。
携帯情報端末102は、受信した共通鍵Kと秘密鍵SKを記憶部306に記憶する。
なお、携帯情報端末102が通信ネットワーク105に接続可能で、初期設定用サイトにアクセスできる場合には、携帯情報端末から初期設定用サイトに初期設定要求を送信し、情報端末101を介さず、携帯情報端末が共通鍵Kと秘密鍵SKとを受信するような形態にしてもよい。
また、以上の手順の完了後、利用者は、必要に応じて、暗証番号や位置情報や生体情報といった本人確認情報や、後述するサービス要求内容確認画面の表示時間や、端末使用者認証必要性判定プログラムで使用する情報(例えば、後述する端末使用者認証要求経過時間や前回認証時乱数生成時刻の初期値)を入力し、記憶部306へ記憶させるものとする。
As an example of a procedure for configuring the initial state described above, an initial setting procedure of the authentication client 109 will be described below.
A business provider that provides an online service or a business that operates an authentication server distributes a user ID and a fixed password together when distributing the authentication client 109 to a user of the online service.
The user accesses the initial setting site prepared in the authentication server 104 from the online service client 107, logs in with a user ID and a fixed password, and transmits an initial setting request for the authentication client 109 to the authentication server 104. .
In response to the initial setting request, the authentication server 104 generates a common key K, a secret key SK, and a public key PK, and transmits the common key K and the secret key SK to the online service client 107. At this time, the authentication server 104 stores the common key K and the public key PK in association with the user ID.
The online service client 107 transmits the common key K and the secret key SK to the portable information terminal 102 using contactless communication.
The portable information terminal 102 stores the received common key K and secret key SK in the storage unit 306.
When the portable information terminal 102 can be connected to the communication network 105 and can access the initial setting site, an initial setting request is transmitted from the portable information terminal to the initial setting site. The information terminal may receive the common key K and the secret key SK.
In addition, after the above procedure is completed, the user, if necessary, can identify the user, such as personal identification number, location information, and biometric information, the display time of the service request content confirmation screen described later, and the need for terminal user authentication. Information used in the determination program (for example, a terminal user authentication request elapsed time to be described later or an initial value of the previous authentication random number generation time) is input and stored in the storage unit 306.

まず、図4を使用して、本認証システムの認証情報生成準備プロセスの動作の流れを説明する。
なお、第一の実施の形態における以下の説明では、サービス要求内容313は、オンラインサービスへのログインであるとする。
また、端末使用者認証判定情報314は、認証サーバ104において乱数情報315が生成された時刻(以下、これを乱数生成時刻と記述する)であるとして説明する。ただし、前記乱数生成時刻は、認証サーバ104で動作する内部時計に基づく時刻であり、前記内部時計は、通信ネットワーク105で接続された図示しないNTP(Network Time Protocol)サーバと同期するなどの方法で、常に正確な時刻を刻むように制御されているものとする。
First, the operation flow of the authentication information generation preparation process of the authentication system will be described with reference to FIG.
In the following description of the first embodiment, it is assumed that the service request content 313 is a login to an online service.
Further, the terminal user authentication determination information 314 will be described as the time when the random number information 315 is generated in the authentication server 104 (hereinafter referred to as the random number generation time). However, the random number generation time is a time based on an internal clock operating on the authentication server 104, and the internal clock is synchronized with an NTP (Network Time Protocol) server (not shown) connected via the communication network 105. It is assumed that the time is always controlled to be accurate.

図4において、オンラインサービスクライアント107は、利用者による情報端末の操作に応じて、利用者IDとサービス要求内容とを含む認証要求を、オンラインサービスサーバ103へ送信する(ステップ401)。
オンラインサービスサーバ103は、受信した認証要求を認証サーバ104へ送信する(ステップ402)。
認証サーバ104は、認証要求を受信すると、乱数情報を生成する(ステップ403)。
認証サーバ104は、端末使用者認証判定情報として、ステップ403で乱数情報が生成された時刻である乱数生成時刻を取得する(ステップ404)。
認証サーバ104は、まず、ステップ402で取得した利用者IDを参照して、利用者IDに関連付けられて認証サーバに記憶されている共通鍵Kを取得する。
そして、サービス要求内容と端末使用者認証判定情報と乱数情報とを共通鍵Kで暗号化し、さらにMACを付加して、MAC付き暗号情報を生成する(ステップ405)。
In FIG. 4, the online service client 107 transmits an authentication request including a user ID and service request content to the online service server 103 in accordance with the operation of the information terminal by the user (step 401).
The online service server 103 transmits the received authentication request to the authentication server 104 (step 402).
Upon receiving the authentication request, the authentication server 104 generates random number information (step 403).
The authentication server 104 acquires a random number generation time that is the time when the random number information was generated in step 403 as the terminal user authentication determination information (step 404).
First, the authentication server 104 refers to the user ID acquired in step 402 and acquires the common key K associated with the user ID and stored in the authentication server.
Then, the service request content, the terminal user authentication determination information, and the random number information are encrypted with the common key K, and further the MAC is added to generate the encryption information with the MAC (step 405).

認証サーバ104は、認証クライアント起動コードを生成し、認証クライアント起動コードとMAC付き暗号情報とサービス要求内容とをオンラインサービスサーバ103に送信する(ステップ406)。
オンラインサービスサーバ103は、認証クライアント起動コードとMAC付き暗号情報とサービス要求内容を受信すると、非接触ICR/W制御プログラム210が実行する非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面表示コードを生成し、オンラインサービスクライアント107へ送信する(ステップ407)。
ここで、認証クライアント操作画面表示コードは、例えば、非接触ICチップリーダライタ制御コードを組み込んだHTMLコードである。
また、前記非接触ICチップリーダライタ制御コードは、認証クライアント起動コードや、非接触ICチップへのMAC付き暗号情報の書き込み要求や、非接触ICチップからの認証情報309の読み込み要求を、携帯情報端末102へ送信する機能を実現するコードである。
オンラインサービスクライアント107は、認証クライアント操作画面表示コードを受信すると、図8に示す認証クライアント操作画面801を表示する(ステップ408)。
The authentication server 104 generates an authentication client activation code, and transmits the authentication client activation code, the encryption information with MAC, and the service request content to the online service server 103 (step 406).
When the online service server 103 receives the authentication client activation code, the encryption information with MAC, and the service request content, the authentication service operation screen display incorporating the non-contact IC chip reader / writer control code executed by the non-contact ICR / W control program 210 is displayed. A code is generated and transmitted to the online service client 107 (step 407).
Here, the authentication client operation screen display code is, for example, an HTML code incorporating a non-contact IC chip reader / writer control code.
The non-contact IC chip reader / writer control code includes an authentication client activation code, a request for writing encryption information with MAC to the non-contact IC chip, and a request for reading authentication information 309 from the non-contact IC chip. This is a code for realizing a function to be transmitted to the terminal 102.
When receiving the authentication client operation screen display code, the online service client 107 displays the authentication client operation screen 801 shown in FIG. 8 (step 408).

図8に示す認証クライアント操作画面801は、少なくとも、サービス要求内容表示部802と、認証情報生成ボタン803と、認証情報送信ボタン804とを備える。
サービス要求内容表示部802は、ステップ401において利用者が送信したサービス要求内容を表示するメッセージボックスであり、この場合は、「オンラインサービスログイン」という文字列を表示している。
認証情報生成ボタン803は、押下されると、ステップ407で組み込まれた非接触ICチップリーダライタ制御コードを実行し、認証クライアント起動コードと、非接触ICチップ305へのMAC付き暗号情報の書き込み要求を、携帯情報端末102へ送信するボタンである。
認証情報送信ボタン804は、押下されると、ステップ407で組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICチップ305から認証情報309を読み込み、さらに、読み込んだ認証情報を、オンラインサービスサーバ103へ送信するボタンである。
The authentication client operation screen 801 illustrated in FIG. 8 includes at least a service request content display unit 802, an authentication information generation button 803, and an authentication information transmission button 804.
The service request content display unit 802 is a message box that displays the service request content transmitted by the user in step 401, and in this case, displays a character string “online service login”.
When the authentication information generation button 803 is pressed, the non-contact IC chip reader / writer control code incorporated in step 407 is executed, and the authentication client activation code and the non-contact IC chip 305 write request for encryption information with MAC are written. Is a button for transmitting to the portable information terminal 102.
When the authentication information transmission button 804 is pressed, the non-contact IC chip reader / writer control code incorporated in step 407 is executed, the authentication information 309 is read from the non-contact IC chip 305, and the read authentication information is This is a button for transmitting to the online service server 103.

次に、図5を使用して、認証情報生成プロセスの動作の流れを説明する。
認証情報生成準備プロセスで情報端末101表示される認証クライアント操作画面801を確認後、利用者は非接触ICR/W106の通信可能範囲内に携帯情報端末102を置き、認証情報生成ボタン803を押下する。
オンラインサービスクライアント107は、認証情報生成ボタンが押下されると、MAC付き暗号情報308を非接触ICチップ305へ書き込み、携帯情報端末102の認証クライアント310を起動する(ステップ501)。
ステップ501の処理の詳細を以下に示す。
認証情報生成ボタン803が押下されると、オンラインサービスクライアントは、MAC付き暗号情報の書き込み要求と、認証クライアント起動コードとを、携帯情報端末の非接触ICチップ制御プログラム311に送信する。
非接触ICチップ制御プログラム311は、MAC付き暗号情報の書き込み要求を受信すると、非接触ICチップへMAC付き暗号情報を書き込む。さらに、認証クライアント起動コードを受信すると、認証クライアントを起動する。
認証クライアント109は、非接触ICチップからMAC付き暗号情報308を読込み、メモリに取得する(ステップ502)。
認証クライアント109は、まず、記憶部306に記憶されている共通鍵Kを読み込み、メモリに取得する。そして、共通鍵Kを使用して、MAC付き暗号情報308のMAC認証と復号を行う。MAC認証と復号のいずれかでも失敗した場合は、失敗した旨のメッセージを表示し、直ちに認証クライアントの実行を終了する。
MAC認証と復号に成功した場合は、サービス要求内容313と端末使用者認証判定情報314と乱数情報315とをメモリに取得し、ステップ504へ進む(ステップ503)。
Next, the operation flow of the authentication information generation process will be described with reference to FIG.
After confirming the authentication client operation screen 801 displayed on the information terminal 101 in the authentication information generation preparation process, the user places the portable information terminal 102 within the communicable range of the contactless ICR / W 106 and presses the authentication information generation button 803. .
When the authentication information generation button is pressed, the online service client 107 writes the encryption information with MAC 308 into the non-contact IC chip 305 and activates the authentication client 310 of the portable information terminal 102 (step 501).
Details of the processing in step 501 are shown below.
When the authentication information generation button 803 is pressed, the online service client transmits a request for writing encryption information with MAC and an authentication client activation code to the non-contact IC chip control program 311 of the portable information terminal.
When the non-contact IC chip control program 311 receives the write request for the encryption information with MAC, the non-contact IC chip control program 311 writes the encryption information with MAC to the non-contact IC chip. Further, when the authentication client activation code is received, the authentication client is activated.
The authentication client 109 reads the encryption information with MAC 308 from the non-contact IC chip and acquires it in the memory (step 502).
The authentication client 109 first reads the common key K stored in the storage unit 306 and acquires it in the memory. Then, using the common key K, MAC authentication and decryption of the encryption information 308 with MAC are performed. If either MAC authentication or decryption fails, a message indicating the failure is displayed and the execution of the authentication client is immediately terminated.
If the MAC authentication and decryption are successful, the service request content 313, terminal user authentication determination information 314, and random number information 315 are acquired in the memory, and the process proceeds to step 504 (step 503).

認証クライアント109は、端末使用者認証判定情報314を引数に、端末使用者認証必要性判定プログラム316を実行し、実行結果として端末使用者認証要求フラグを取得する(ステップ504)。
認証クライアント109は、端末使用者認証要求フラグの値が「不要」であった場合は、端末使用者認証判定情報314として取得した乱数生成時刻を記憶部306へ記憶し、ステップ507へ進む。端末使用者認証要求フラグの値が「要」であった場合は、端末使用者認証プログラム317を実行し、実行結果として端末使用者認証結果を取得し、ステップ506へ進む(ステップ505)。
なお、ここで端末使用者認証要求フラグの値が「不要」であった場合に記憶部306へ記憶される乱数生成時刻は、後述する端末使用者認証必要性判定プログラム316の動作において、前回認証時乱数生成時刻として使用される時刻である。
The authentication client 109 executes the terminal user authentication necessity determination program 316 using the terminal user authentication determination information 314 as an argument, and acquires a terminal user authentication request flag as an execution result (step 504).
If the value of the terminal user authentication request flag is “unnecessary”, the authentication client 109 stores the random number generation time acquired as the terminal user authentication determination information 314 in the storage unit 306 and proceeds to step 507. If the value of the terminal user authentication request flag is “necessary”, the terminal user authentication program 317 is executed, the terminal user authentication result is acquired as the execution result, and the process proceeds to step 506 (step 505).
Here, when the value of the terminal user authentication request flag is “unnecessary”, the random number generation time stored in the storage unit 306 is the previous authentication in the operation of the terminal user authentication necessity determination program 316 described later. Time used as hour random number generation time.

ここで、図9を使用して、端末使用者認証プログラム317の動作について説明する。
端末使用者認証プログラム317は、図9に例示する端末使用者認証画面901を表示し、携帯情報端末102の入力部302からの本人確認情報の入力を求め、入力された本人確認情報が、予め記憶部306に記憶された本人確認情報312と一致するかどうかを判定するプログラムである。
本人確認情報が一致した場合は、端末使用者認証を成功と判定して端末使用者認証結果として「成」を、本人確認情報が一致しなかった場合は、端末使用者認証を失敗と判定して端末使用者認証結果として「否」を返す。
ここで、図9では本人確認情報が暗証番号である例を示しているが、携帯情報端末102が入力部302に位置情報や生体情報の入力手段をもつ場合には、暗証番号の代わりに本人確認情報に位置情報や生体情報を利用し、端末使用者認証プログラムの実行時に位置情報や生体情報の入力を求めるようにしてもよい。
Here, the operation of the terminal user authentication program 317 will be described with reference to FIG.
The terminal user authentication program 317 displays a terminal user authentication screen 901 illustrated in FIG. 9, requests input of identification information from the input unit 302 of the portable information terminal 102, and the input identification information is stored in advance. This is a program for determining whether or not it matches the personal identification information 312 stored in the storage unit 306.
If the identity verification information matches, the terminal user authentication is determined to be successful, and “success” is determined as the terminal user authentication result. If the identity verification information does not match, the terminal user authentication is determined to be unsuccessful. Return “No” as the terminal user authentication result.
Here, FIG. 9 shows an example in which the personal identification information is a personal identification number, but when the portable information terminal 102 has an input unit for position information and biological information in the input unit 302, the personal identification information is used instead of the personal identification number. Position information or biometric information may be used as confirmation information, and input of position information or biometric information may be requested when the terminal user authentication program is executed.

認証クライアント109は、端末使用者認証結果が「否」であった場合は、認証処理を中断し、直ちに認証クライアント109の実行を終了する。
端末使用者認証結果が「成」であった場合は、端末使用者認証判定情報として取得した乱数生成時刻を記憶部306へ記憶し、ステップ507へ進む(ステップ506)。
なお、ここで端末使用者認証結果が「成」であった場合に記憶部306へ記憶される乱数生成時刻は、後述する端末使用者認証必要性判定プログラム316の動作において、前回認証時乱数生成時刻として使用される時刻である。
認証クライアント109は、サービス要求内容313と乱数情報315と鍵情報に基づいて認証情報を生成し、生成した認証情報309を非接触ICチップ309へ書き込む(ステップ507)。
If the terminal user authentication result is “No”, the authentication client 109 interrupts the authentication process and immediately ends the execution of the authentication client 109.
When the terminal user authentication result is “success”, the random number generation time acquired as the terminal user authentication determination information is stored in the storage unit 306, and the process proceeds to step 507 (step 506).
Here, when the terminal user authentication result is “success”, the random number generation time stored in the storage unit 306 is the previous authentication random number generation in the operation of the terminal user authentication necessity determination program 316 described later. This is the time used as the time.
The authentication client 109 generates authentication information based on the service request content 313, random number information 315, and key information, and writes the generated authentication information 309 to the non-contact IC chip 309 (step 507).

ステップ507の認証情報の生成について、処理の詳細を以下に説明する。
認証情報としてワンタイムパスワードを使用する場合は、認証クライアント109は、まず、記憶部306に記憶されている共通鍵Kを読込み、メモリに取得する。
次に、共通鍵Kとサービス要求内容と乱数情報とを連結したバイト列を引数としてセキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値の一部または全部をワンタイムパスワードとする。
Details of processing for generating authentication information in step 507 will be described below.
When a one-time password is used as authentication information, the authentication client 109 first reads the common key K stored in the storage unit 306 and acquires it in the memory.
Next, a secure hash function is executed using a byte string obtained by concatenating the common key K, service request contents, and random number information as an argument, and a hash value is acquired as an execution result.
Then, a part or all of the hash value is set as a one-time password.

認証情報としてディジタル署名を使用する場合は、認証クライアント109は、まず、記憶部306に記憶されている秘密鍵SKを読込み、メモリに取得する。
次に、サービス要求内容と乱数情報とを連結したバイト列を引数としてセキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値を秘密鍵SKで暗号化し、取得したバイト列をディジタル署名とする。
When using a digital signature as the authentication information, the authentication client 109 first reads the secret key SK stored in the storage unit 306 and acquires it in the memory.
Next, a secure hash function is executed using a byte string obtained by concatenating service request contents and random number information as an argument, and a hash value is acquired as an execution result.
Then, the hash value is encrypted with the secret key SK, and the acquired byte string is used as a digital signature.

認証クライアント109は、図10に示すサービス要求内容確認画面1001を表示する(ステップ508)。
ここで、図10を使用して、サービス要求内容確認画面1001について説明する。
サービス要求内容確認画面1001は、少なくとも、サービス要求内容を表示する認証クライアントサービス要求内容表示部1002を備える。
認証クライアントサービス要求内容表示部には、この場合、「オンラインサービスログイン」という文字列を表示している。
さらに、図10に示すサービス要求内容確認画面では、利用者の利便性を考慮し、認証情報の生成が完了したことを利用者に通知するメッセージや、続くステップ509で認証クライアント109を終了するまでの残り時間を、一定時間ごとに利用者に通知するメッセージを表示している。
認証クライアント109は、サービス要求内容確認画面1001の表示から、一定時間経過後に実行を終了する。これにより、認証クライアント109は、利用者に携帯情報端末の操作を要求することなく、次の認証情報の生成に備えた認証クライアント起動コードの待ち受け状態に遷移する(ステップ509)。
The authentication client 109 displays the service request content confirmation screen 1001 shown in FIG. 10 (step 508).
Here, the service request content confirmation screen 1001 will be described with reference to FIG.
The service request content confirmation screen 1001 includes at least an authentication client service request content display unit 1002 for displaying the service request content.
In this case, a character string “online service login” is displayed in the authentication client service request content display section.
Furthermore, in the service request content confirmation screen shown in FIG. 10, taking into account the convenience of the user, a message notifying the user that the generation of the authentication information has been completed, or until the authentication client 109 is terminated in the subsequent step 509. A message is displayed to notify the user of the remaining time of the user at regular intervals.
The authentication client 109 terminates execution after a predetermined time has elapsed from the display of the service request content confirmation screen 1001. As a result, the authentication client 109 makes a transition to an authentication client activation code standby state for preparing the next authentication information without requesting the user to operate the portable information terminal (step 509).

ステップ509の処理の詳細を以下に説明する。
サービス要求内容確認画面の表示から一定時間経過後に認証クライアントが終了する機能の実現方法としては、例えば、以下に説明する方法が挙げられる。
認証クライアント109は、ステップ508でサービス要求内容確認画面を表示すると同時に、タイマーをスタートさせる。そして、タイマーがサービス要求内容確認画面の表示時間に達すると、認証クライアント109は終了処理を実行する。
ここで、サービス要求内容確認画面の表示時間は、利用者が認証クライアント109の初期設定時に入力するなどの方法で、予め携帯情報端末の記憶部306に記憶されているものとする。
なお、サービス要求内容確認画面の表示時間は、短時間に複数回の認証を実行するという本認証システムの特徴を最大限に活かすにあたっては、サービス要求内容確認画面に表示された内容を利用者が確認するのに十分な長さであり、かつ、できるだけ短いことが望ましい。
Details of the processing in step 509 will be described below.
As a method for realizing a function in which the authentication client ends after a lapse of a certain time from the display of the service request content confirmation screen, for example, the method described below can be cited.
In step 508, the authentication client 109 displays a service request content confirmation screen and starts a timer at the same time. When the timer reaches the display time of the service request content confirmation screen, the authentication client 109 executes a termination process.
Here, it is assumed that the display time of the service request content confirmation screen is stored in advance in the storage unit 306 of the portable information terminal by a method such as a user inputting at the time of initial setting of the authentication client 109.
Note that the display time of the service request content confirmation screen should be the same as the content displayed on the service request content confirmation screen. It is desirable that it be long enough to be confirmed and as short as possible.

次に、図6を使用して、認証プロセスの動作の流れを説明する。
利用者は、認証情報生成プロセスで携帯情報端末102に表示されるサービス要求内容確認画面の表示を確認後、非接触ICR/W106の通信可能範囲内に携帯情報端末102を置いて、認証情報送信ボタン804を押下する。
オンラインサービスクライアント107は、認証情報送信ボタン804が押下されると、非接触ICチップ305から認証情報309を読み込んでメモリに取得し、さらに、取得した認証情報をオンラインサービスサーバ103へ送信する(ステップ601)。
オンラインサービスサーバ103は、受信した認証情報を認証サーバ104へ送信する(ステップ602)。
認証サーバ104は、認証情報を受信すると、認証処理を実行し、認証結果を取得する(ステップ603)。
Next, the operation flow of the authentication process will be described with reference to FIG.
After confirming the display of the service request content confirmation screen displayed on the portable information terminal 102 in the authentication information generation process, the user places the portable information terminal 102 within the communicable range of the non-contact ICR / W 106 and transmits the authentication information. A button 804 is pressed.
When the authentication information transmission button 804 is pressed, the online service client 107 reads the authentication information 309 from the non-contact IC chip 305 and acquires it in the memory, and further transmits the acquired authentication information to the online service server 103 (step) 601).
The online service server 103 transmits the received authentication information to the authentication server 104 (step 602).
Upon receiving the authentication information, the authentication server 104 executes an authentication process and acquires an authentication result (step 603).

ステップ603の認証処理について、処理の詳細を以下に説明する。
認証情報としてワンタイムパスワードを使用する場合は、認証サーバ104は、まず、ステップ402で取得した利用者IDを参照して、利用者IDに関連付けられて認証サーバに記憶されている共通鍵Kを取得する。
次に、共通鍵Kと、ステップ402で取得したサービス要求内容と、ステップ403で取得した乱数情報とを連結したバイト列を引数として、セキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値と、オンラインサービスサーバ103から受信したワンタイムパスワードとを比較する。
これらが一致する場合は認証に成功したと判定して認証結果として「成」を返し、一致しない場合は認証に失敗したと判定して認証結果として「否」を返す。
Details of the authentication processing in step 603 will be described below.
When a one-time password is used as authentication information, the authentication server 104 first refers to the user ID acquired in step 402 and uses the common key K stored in the authentication server in association with the user ID. get.
Next, the secure hash function is executed with the byte string obtained by concatenating the common key K, the service request content acquired in step 402 and the random number information acquired in step 403 as an argument, and a hash value is acquired as an execution result. .
Then, the hash value is compared with the one-time password received from the online service server 103.
If they match, it is determined that the authentication has succeeded and “success” is returned as the authentication result. If they do not match, it is determined that the authentication has failed and “no” is returned as the authentication result.

認証情報としてディジタル署名を使用する場合は、認証サーバ104は、まず、ステップ402で取得した利用者IDを参照して、利用者IDに関連付けられて認証サーバに記憶されている公開鍵PKを取得する。
次に、ステップ402で取得したサービス要求内容と、ステップ403で取得した乱数情報とを連結したバイト列を引数として、セキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値と、オンラインサービスサーバ103から受信したディジタル署名を公開鍵PKで復号した値とを比較する。
これらが一致する場合は認証に成功したと判定して認証結果として「成」を返し、一致しない場合は認証に失敗したと判定して認証結果として「否」を返す。
When using a digital signature as authentication information, the authentication server 104 first refers to the user ID acquired in step 402 and acquires the public key PK associated with the user ID and stored in the authentication server. To do.
Next, the secure hash function is executed using the byte string obtained by concatenating the service request content acquired in step 402 and the random number information acquired in step 403 as an argument, and a hash value is acquired as an execution result.
Then, the hash value is compared with a value obtained by decrypting the digital signature received from the online service server 103 with the public key PK.
If they match, it is determined that the authentication has succeeded and “success” is returned as the authentication result. If they do not match, it is determined that the authentication has failed and “no” is returned as the authentication result.

認証サーバ104は、認証結果をオンラインサービスサーバ103に送信する(ステップ604)。
オンラインサービスサーバ103は、受信した認証結果が「成」であった場合は、利用者が要求したサービス要求内容に従って、利用者にオンラインサービスを提供する。
受信した認証結果が「否」であった場合は、オンラインサービスを提供せず、認証に失敗した旨を利用者に伝えるメッセージをオンラインサービスクライアント107に送信する(ステップ605)。
The authentication server 104 transmits the authentication result to the online service server 103 (step 604).
If the received authentication result is “success”, the online service server 103 provides the user with an online service according to the service request content requested by the user.
If the received authentication result is “No”, the online service is not provided, and a message is sent to the online service client 107 to inform the user that the authentication has failed (step 605).

次に、図7を使用して、第一の実施の形態における、端末使用者認証必要性判定プログラム316の動作の流れを説明する。
なお、以下に説明する端末使用者認証必要性判定プログラムの動作は、本認証システムの認証情報生成プロセスの動作において、認証クライアント310が認証情報を生成してから、およそ端末使用者認証要求経過時間の時間内であれば、次回の認証情報の生成時に、利用者に再度、端末使用者認証を要求することなく、認証情報を生成する仕組みを実現するプログラムである。
ここで、端末使用者認証要求経過時間は、利用者が認証クライアント310の初期設定時に入力するなどの方法で、予め携帯情報端末の記憶部306に記憶されているものとする。
まず、引数より、端末使用者認証判定情報として、乱数生成時刻を取得する(ステップ701)。
次に、記憶部より、端末使用者認証要求経過時間と前回認証時乱数生成時刻とを読込み、メモリに取得する(ステップ702)。
ここで、前回認証時乱数生成時刻は、ステップ505及びステップ506で記憶部306に記憶された乱数生成時刻のうち、最新のものである。
ただし、初めて認証クライアント310を起動した場合に参照される前回認証時乱数生成時刻の初期値には、乱数生成時刻と前回認証時乱数生成時刻の差が、必ず端末使用者認証経過時間以上となる十分古い時刻が設定されているものとする。
乱数生成時刻と前回認証時乱数生成時刻の差を計算し、これを端末使用者認証経過時間としてメモリに取得する(ステップ703)。
端末使用者認証経過時間が、端末使用者認証要求経過時間未満である場合は、ステップ705へ進む。端末使用者認証経過時間が、端末使用者認証要求経過時間以上である場合は、ステップ706へ進む(ステップ704)。
端末使用者認証要求フラグの値として「不要」を返し、処理を終了する(ステップ705)。
端末使用者認証要求フラグの値として「要」を返し、処理を終了する(ステップ706)。
以上、本発明の認証システムの第一の実施の形態について説明した。
Next, the operation flow of the terminal user authentication necessity determination program 316 in the first embodiment will be described with reference to FIG.
Note that the operation of the terminal user authentication necessity determination program described below is about the elapsed time of terminal user authentication request after the authentication client 310 generates authentication information in the operation of the authentication information generation process of the authentication system. This is a program that implements a mechanism for generating authentication information without requesting terminal user authentication again at the next generation of authentication information.
Here, it is assumed that the terminal user authentication request elapsed time is stored in advance in the storage unit 306 of the portable information terminal by a method such as a user inputting when the authentication client 310 is initially set.
First, a random number generation time is obtained as terminal user authentication determination information from an argument (step 701).
Next, the terminal user authentication request elapsed time and the previous authentication random number generation time are read from the storage unit and acquired in the memory (step 702).
Here, the previous authentication random number generation time is the latest random number generation time stored in the storage unit 306 in step 505 and step 506.
However, the initial value of the previous authentication random number generation time that is referred to when the authentication client 310 is activated for the first time, the difference between the random number generation time and the previous authentication random number generation time is always equal to or greater than the terminal user authentication elapsed time. It is assumed that a sufficiently old time is set.
The difference between the random number generation time and the previous authentication random number generation time is calculated and acquired in the memory as the terminal user authentication elapsed time (step 703).
If the terminal user authentication elapsed time is less than the terminal user authentication request elapsed time, the process proceeds to step 705. If the terminal user authentication elapsed time is equal to or longer than the terminal user authentication request elapsed time, the process proceeds to step 706 (step 704).
“Unnecessary” is returned as the value of the terminal user authentication request flag, and the process ends (step 705).
“Necessary” is returned as the value of the terminal user authentication request flag, and the process ends (step 706).
The first embodiment of the authentication system of the present invention has been described above.

(本発明の第二の実施の形態)
次に、本発明の第二の実施形態について説明する。
なお、本発明の第二の実施形態では、端末使用者認証判定情報として、情報端末101が認証要求と共に送信するサービス要求内容に含まれる情報を使用する形態について説明している。
本発明の第二の実施の形態に係るシステムの構成は、図1〜3において説明した第一の実施の形態と同じであり、説明を省略する。
以下では、システムの動作について説明する。
認証システムの初期状態は、第一の実施の形態と同じである。
ただし、初期設定の際に、利用者は、端末使用者認証必要性判定プログラム316で使用する情報として、端末使用者認証要求金額を入力するものとする。
なお、第二の実施の形態における以下の説明では、サービス要求内容313は、オンラインバンキングにおける振込手続きであるものとして説明する。ただし、当該サービス要求内容には、オンラインバンキングにおいて振込手続きを実行する際に必要となる、振込金額と振込先口座情報とが含まれるとする。
また、端末使用者認証判定情報314は、サービス要求内容に含まれる振込金額と振込先口座情報、及び、利用者IDに関連付けられて認証サーバに記憶されている振込履歴情報であるものとする。
ここで、振込履歴情報は、処理中の認証要求以前に、利用者が実行した口座振込に関する情報であり、振込金額や振込が行われた振込先口座情報を含む情報であるものとする。
本発明の第二の実施の形態に係るシステムの動作のうち、第一の実施の形態と同じ処理を実行する部分については説明を省略し、第一の実施の形態と異なる処理を実行する部分について、以下に説明する。
(Second embodiment of the present invention)
Next, a second embodiment of the present invention will be described.
In the second embodiment of the present invention, a mode is described in which information included in a service request content transmitted by the information terminal 101 together with an authentication request is used as terminal user authentication determination information.
The configuration of the system according to the second embodiment of the present invention is the same as that of the first embodiment described with reference to FIGS.
In the following, the operation of the system will be described.
The initial state of the authentication system is the same as in the first embodiment.
However, at the time of initial setting, it is assumed that the user inputs a terminal user authentication request amount as information used in the terminal user authentication necessity determination program 316.
In the following description of the second embodiment, it is assumed that the service request content 313 is a transfer procedure in online banking. However, it is assumed that the contents of the service request include the transfer amount and the transfer destination account information necessary for executing the transfer procedure in online banking.
The terminal user authentication determination information 314 is assumed to be the transfer amount and transfer destination account information included in the service request content, and transfer history information stored in the authentication server in association with the user ID.
Here, the transfer history information is information related to the account transfer performed by the user before the authentication request being processed, and is information including the transfer amount and the transfer destination account information on which the transfer was performed.
Of the operation of the system according to the second embodiment of the present invention, the description of the part that executes the same process as the first embodiment is omitted, and the part that executes the process different from the first embodiment. Is described below.

認証情報生成準備プロセスの動作において、ステップ404では、認証サーバ104は、端末使用者認証判定情報314として、ステップ402で取得したサービス要求内容に含まれる振込金額と振込先口座情報、及び、利用者IDに関連付けられて認証サーバに記憶されている振込履歴情報とを取得する。
ステップ408では、オンラインサービスクライアント107は、認証クライアント操作画面表示コードを受信すると、図12に示す認証クライアント操作画面1201を表示する。
図12を使用して認証クライアント操作画面1201について説明する。
認証クライアント操作画面1201の構成要素について、符号1202と1203と1204で示す要素は、それぞれ、第一の実施の形態で説明した、サービス要求内容表示部802と認証情報生成ボタン803と認証情報送信ボタン804と同一の働きをする要素である。
ただし、この場合、サービス要求内容表示部1202には、利用者がサービス要求内容としてオンラインサービスクライアントに入力し、送信した、振込先口座情報と振込金額とを表示している。
In the operation of the authentication information generation preparation process, in step 404, the authentication server 104, as the terminal user authentication determination information 314, includes the transfer amount and the transfer destination account information included in the service request content acquired in step 402, and the user. Transfer history information associated with the ID and stored in the authentication server is acquired.
In step 408, when receiving the authentication client operation screen display code, the online service client 107 displays the authentication client operation screen 1201 shown in FIG.
The authentication client operation screen 1201 will be described with reference to FIG.
Regarding the components of the authentication client operation screen 1201, the elements indicated by reference numerals 1202, 1203, and 1204 are the service request content display unit 802, the authentication information generation button 803, and the authentication information transmission button described in the first embodiment, respectively. This element has the same function as 804.
However, in this case, the service request content display unit 1202 displays the transfer destination account information and the transfer amount that the user has input and transmitted to the online service client as the service request content.

図5に示した認証情報生成プロセスの動作において、ステップ505では、認証クライアント109は、端末使用者認証要求フラグの値が「不要」であった場合は、直ちにステップ507へ進む。端末使用者認証要求フラグの値が「要」であった場合は、端末使用者認証プログラム317を実行し、実行結果として端末使用者認証結果を取得し、ステップ506へ進む。
ステップ506では、認証クライアント109は、端末使用者認証結果が「否」であった場合は、認証処理を中断し、直ちに認証クライアントの実行を終了する。端末使用者認証結果が「成」であった場合は、直ちにステップ507へ進む。
ステップ508では、認証クライアント109は、図13に示すサービス要求内容確認画面1301を表示する。
In the operation of the authentication information generation process shown in FIG. 5, in step 505, if the value of the terminal user authentication request flag is “unnecessary”, the authentication client 109 immediately proceeds to step 507. If the value of the terminal user authentication request flag is “necessary”, the terminal user authentication program 317 is executed, the terminal user authentication result is acquired as the execution result, and the process proceeds to step 506.
In step 506, if the terminal user authentication result is “NO”, the authentication client 109 interrupts the authentication process and immediately ends the execution of the authentication client. If the terminal user authentication result is “successful”, the process immediately proceeds to step 507.
In step 508, the authentication client 109 displays a service request content confirmation screen 1301 shown in FIG.

ここで、図13を使用してサービス要求内容確認画面1301について説明する。
サービス要求内容確認画面1301の構成要素について、符号1302で示す要素は、第一の実施の形態で説明した、認証クライアントサービス要求内容表示部1002と同一の働きをする要素である。
ただし、この場合、認証クライアントサービス要求内容表示部1302には、利用者がサービス要求内容としてオンラインサービスクライアントに入力し、送信した、振込先口座情報と振込金額とを表示している。
図6に示した認証プロセスの動作は、第一の実施の形態と同様である。
Here, the service request content confirmation screen 1301 will be described with reference to FIG.
Regarding the constituent elements of the service request content confirmation screen 1301, the element denoted by reference numeral 1302 is an element having the same function as the authentication client service request content display unit 1002 described in the first embodiment.
However, in this case, the authentication client service request content display unit 1302 displays the transfer destination account information and the transfer amount that the user has input and transmitted to the online service client as the service request content.
The operation of the authentication process shown in FIG. 6 is the same as that of the first embodiment.

次に、図11を使用して、第二の実施の形態における、端末使用者認証必要性判定プログラム316の動作の流れを説明する。
なお、以下に説明する端末使用者認証必要性判定プログラムの動作は、本認証システムの認証情報生成プロセスの動作において、サービス要求内容に含まれる振込金額が端末使用者認証要求金額未満であるか、または、振込金額が端末使用者認証要求金額以上であっても振込先口座情報が過去に利用者が振込を行ったことのある口座である場合には、利用者に端末使用者認証を要求することなく、認証情報を生成する仕組みを実現するプログラムである。
まず、引数より、端末使用者認証判定情報として、振込金額と振込先口座情報と振込履歴情報とを取得する(ステップ1101)。
次に、記憶部306より、端末使用者認証要求金額を読込み、メモリに取得する(ステップ1102)。
振込金額が端末使用者認証要求金額未満である場合は、ステップ1104に進む。振込金額が端末使用者認証要求金額以上である場合は、ステップ1105に進む(ステップ1103)。そして、端末使用者認証要求フラグの値として「不要」を返し、処理を終了する(ステップ1104)。
振込先口座情報が、振込履歴情報に存在する場合は、ステップ1104に進む。振込先口座情報が、振込履歴情報に存在しない場合は、ステップ1106に進む(ステップ1105)。そして、端末使用者認証要求フラグの値として「要」を返し、処理を終了する(ステップ1106)。
以上、本発明の認証システムの第二の実施の形態について説明した。
Next, the operation flow of the terminal user authentication necessity determination program 316 in the second embodiment will be described with reference to FIG.
The operation of the terminal user authentication necessity determination program described below is based on whether the transfer amount included in the service request content is less than the terminal user authentication request amount in the operation of the authentication information generation process of the authentication system. Or, even if the transfer amount is equal to or greater than the terminal user authentication request amount, if the transfer destination account information is an account that has been transferred by the user in the past, the user is requested to perform terminal user authentication. It is a program that realizes a mechanism for generating authentication information without any problem.
First, the transfer amount, transfer destination account information, and transfer history information are acquired from the argument as terminal user authentication determination information (step 1101).
Next, the terminal user authentication request amount is read from the storage unit 306 and acquired in the memory (step 1102).
If the transfer amount is less than the terminal user authentication request amount, the process proceeds to step 1104. If the transfer amount is equal to or greater than the terminal user authentication request amount, the process proceeds to step 1105 (step 1103). Then, “unnecessary” is returned as the value of the terminal user authentication request flag, and the process is terminated (step 1104).
If the transfer account information exists in the transfer history information, the process proceeds to step 1104. If the transfer account information does not exist in the transfer history information, the process proceeds to step 1106 (step 1105). Then, “required” is returned as the value of the terminal user authentication request flag, and the process is terminated (step 1106).
Heretofore, the second embodiment of the authentication system of the present invention has been described.

なお、以上の第二の実施の形態の説明では、オンラインバンキングにおける振込手続きを例とし、サービス要求内容に含まれる振込金額や振込先口座情報を端末使用者認証必要性判定情報として使用する具体的な方法について説明した。
しかし、オンラインバンキングの振込みのような手続きは、通常、オンラインサービスサイトへのログインが成功した後に実行されることを鑑み、次のような実施の形態としてもよい。
すなわち、ステップ401において、オンラインサービスクライアントが送信するサービス要求内容には、新たに、要求された取引がオンラインサービスサイトへのログインであるか、または、オンラインサービスサイトへのログインの成功後、利用者に提供される取引であるかを判定するログイン判定フラグを追加する。
ログイン判定フラグは、オンラインサービスクライアントにより、利用者の要求した操作がログインである場合に「成」が、利用者の要求した操作がログイン以外の取引である場合に「否」が設定されるフラグである。
ステップ404では、認証サーバ104は、端末使用者認証判定情報314として、振込金額と振込先口座情報と振込履歴情報に加え、前記ログイン判定フラグを取得する。
そして、図11を使用して説明した、端末使用者認証必要性判定プログラム316では、ステップ1101の実行に先立ち、以下に説明するログイン判定フラグによる条件判定を実行する。
ログイン判定フラグが「成」であった場合には、端末使用者認証要求フラグの値を「要」とし、直ちに処理を終了する。ログイン判定フラグが「否」であった場合には、ステップ1101以降の処理を実行する。
以上の処理を実行することで、オンラインサービスへのログインの認証の際には必ず端末使用者認証を実施し、オンラインサービスでの振込手続きといったログイン以外の取引の認証の際には、サービス要求内容に応じて端末使用者認証を省略する認証システムを提供することができる。
あるいは、端末使用者認証必要性判定プログラム316において、ログイン判定フラグが「成」であった場合には、端末使用者認証要求フラグの値を「要」とし、直ちに処理を終了する。ログイン判定フラグが「否」であった場合には、端末使用者認証要求フラグの値を「不要」とし、直ちに処理を終了する。
以上の処理を実行することで、オンラインサービスへのログインの認証の際には必ず端末使用者認証を実施し、オンラインサービスでの振込手続きといったログイン以外の取引の認証の際には、必ず端末使用者認証を省略する認証システムを提供することができる。
In the above description of the second embodiment, a transfer procedure in online banking is taken as an example, and the transfer amount and transfer account information included in the service request contents are used as terminal user authentication necessity determination information. Explained the method.
However, in view of the fact that procedures such as online banking transfer are usually executed after successful login to the online service site, the following embodiment may be adopted.
That is, in step 401, the service request content transmitted by the online service client newly includes the requested transaction being login to the online service site, or after successful login to the online service site, the user. Add a login determination flag to determine whether the transaction is provided for.
The login determination flag is a flag that is set by the online service client as “success” when the operation requested by the user is login, or “not” when the operation requested by the user is a transaction other than login. It is.
In step 404, the authentication server 104 acquires the login determination flag as the terminal user authentication determination information 314 in addition to the transfer amount, the transfer destination account information, and the transfer history information.
Then, in the terminal user authentication necessity determination program 316 described with reference to FIG. 11, prior to execution of step 1101, condition determination using a login determination flag described below is performed.
If the login determination flag is “successful”, the value of the terminal user authentication request flag is set to “necessary” and the process is immediately terminated. If the login determination flag is “NO”, the processing after step 1101 is executed.
By executing the above process, terminal user authentication is always performed when logging in to the online service, and the service request content is used when authenticating transactions other than login, such as the transfer procedure of the online service. Accordingly, it is possible to provide an authentication system that omits terminal user authentication.
Alternatively, in the terminal user authentication necessity determination program 316, if the login determination flag is “successful”, the value of the terminal user authentication request flag is set to “necessary” and the process is immediately terminated. If the login determination flag is “No”, the value of the terminal user authentication request flag is set to “unnecessary” and the process is immediately terminated.
By executing the above processing, terminal user authentication is always performed when authenticating login to the online service, and terminal authentication is always used when authenticating transactions other than login, such as transfer procedures for online services. An authentication system that omits person authentication can be provided.

また、本発明の認証システムの第一及び第二の実施の形態において、端末使用者認証必要性判定プログラム316は、認証クライアント310の機能の一つであり、携帯情報端末102で実行されるものとした。
しかし、端末使用者認証必要性判定プログラムを、認証サーバ104の機能の一つとし、認証サーバで実行する形態としても、本発明の実施は可能である。
端末使用者認証必要性判定プログラムを、認証サーバで実行する場合の動作の流れについて、第二の実施の形態の動作を基に動作の変更点を以下に説明する。
ただし、端末使用者認証必要性判定プログラムで使用する端末使用者認証要求金額は認証サーバが予め記憶しているものとする。
まず、ステップ404の後、かつ、ステップ405の前に、認証サーバ104は、端末使用者認証判定情報を引数に、端末使用者認証必要性判定プログラムを実行し、実行結果として端末使用者認証要求フラグを取得する。
続く、ステップ405において、認証サーバ104は、端末使用者認証判定情報の代わりに、端末使用者認証要求フラグを使用してMAC付き暗号情報を生成する。
また、ステップ503において、認証クライアント109は、端末使用者認証判定情報の代わりに、端末使用者認証要求フラグをメモリに取得し、取得後はステップ504を省略してステップ505へ進むものとする。
ステップ506において、認証クライアント109は、前記ステップ503で取得した端末使用者認証要求フラグに基づき、処理を実行するものとする。
In the first and second embodiments of the authentication system of the present invention, the terminal user authentication necessity determination program 316 is one of the functions of the authentication client 310 and is executed by the portable information terminal 102. It was.
However, the present invention can also be implemented in a form in which the terminal user authentication necessity determination program is one of the functions of the authentication server 104 and is executed by the authentication server.
Regarding the flow of operations when the terminal user authentication necessity determination program is executed by the authentication server, the operation changes will be described below based on the operations of the second embodiment.
However, it is assumed that the terminal user authentication request amount used in the terminal user authentication necessity determination program is stored in advance by the authentication server.
First, after step 404 and before step 405, the authentication server 104 executes a terminal user authentication necessity determination program using the terminal user authentication determination information as an argument, and requests a terminal user authentication request as an execution result. Get the flag.
In step 405, the authentication server 104 uses the terminal user authentication request flag instead of the terminal user authentication determination information to generate cryptographic information with MAC.
In step 503, the authentication client 109 acquires the terminal user authentication request flag in the memory instead of the terminal user authentication determination information, and after the acquisition, skips step 504 and proceeds to step 505.
In step 506, the authentication client 109 performs processing based on the terminal user authentication request flag acquired in step 503.

また、本発明の第一及び第二の実施の形態において、端末使用者認証プログラム317では、本人確認情報は、携帯情報端末の入力部302より入力するものとした。しかし、当該本人確認情報は、情報端末の入力部202より入力するものとしても、本発明の実施は可能である。
本人確認情報が情報端末の入力部202より入力される場合の動作の流れについて、第一及び第二の実施形態の動作からの変更点を以下に説明する。
ステップ407において、オンラインサービスサーバが生成する非接触ICチップリーダライタ制御コードには、新たに、非接触ICチップ305への本人確認情報の書き込み要求を送信する記述を追加する。
ステップ408において、認証クライアント操作画面には、新たに、本人確認情報の入力欄(例えば暗証番号の入力を受け付けるテキストボックス)を追加する。さらに、認証情報生成ボタン803の機能に、新たに、非接触ICチップ305への本人確認情報の書き込み要求を、携帯情報端末102へ送信する機能を追加する。
ステップ501において、オンラインサービスクライアント107は、認証情報生成ボタンが押下されると、MAC付き暗号情報に加え、本人確認情報を非接触ICチップ305へ書き込むものとする。
なお、この変更は、前記ステップ407の非接触ICチップリーダライタ制御コードへの記述の追加により実現されるものである。
ステップ502において、オンラインサービスクライアント107は、非接触ICチップからMAC付き暗号情報308に加え、本人確認情報を読込み、メモリに取得するものとする。
ステップ505において、端末使用者認証プログラム317は、ステップ502で取得した本人確認情報を使用して処理を実行し、実行結果として、端末使用者認証結果を取得するものとする。
In the first and second embodiments of the present invention, the terminal user authentication program 317 is used to input the identity verification information from the input unit 302 of the portable information terminal. However, even if the identity verification information is input from the input unit 202 of the information terminal, the present invention can be implemented.
Regarding the flow of operation when the identity verification information is input from the input unit 202 of the information terminal, changes from the operations of the first and second embodiments will be described below.
In step 407, a description for transmitting a request for writing personal identification information to the non-contact IC chip 305 is newly added to the non-contact IC chip reader / writer control code generated by the online service server.
In step 408, a new entry field for identification information (for example, a text box for accepting input of a personal identification number) is added to the authentication client operation screen. Further, a function for transmitting a request for writing the personal identification information to the non-contact IC chip 305 to the portable information terminal 102 is newly added to the function of the authentication information generation button 803.
In step 501, when the authentication information generation button is pressed, the online service client 107 writes the personal identification information to the non-contact IC chip 305 in addition to the encryption information with MAC.
This change is realized by adding a description to the non-contact IC chip reader / writer control code in step 407.
In step 502, it is assumed that the online service client 107 reads the personal identification information from the non-contact IC chip in addition to the encryption information 308 with MAC and acquires it in the memory.
In step 505, the terminal user authentication program 317 executes processing using the personal identification information acquired in step 502, and acquires a terminal user authentication result as an execution result.

また、本発明の第一及び第二の実施の形態において、ステップ506で端末使用者認証結果が「否」であった場合には、認証処理を中断し、直ちに認証クライアントの実行を終了するものとした。しかし、この処理は、以下に説明する処理に置き換えても良い。
認証クライアント109は、処理を終了する前に、端末使用者認証結果が「否」となった認証失敗回数を記憶部306に記録する。
そして、前記認証失敗回数がある一定回数を上回った場合に、認証クライアント109は、記憶部に記憶されている共通鍵Kや秘密鍵SKを削除し、再度認証クライアントの初期設定手順を実行するように利用者に要求する。
利用者に再度、初期設定を要求する認証失敗回数は、オンラインサービスを提供する事業者が本認証システムに求めるセキュリティ強度に応じて決定し、予め認証クライアントのプログラム内に組み込んだり、あるいは、利用者が認証クライアントの初期設定において入力するものとする。
このような仕組みを導入すると、本認証システムのセキュリティ強度を、必要に応じてさらに向上させることができるようになる。
また、本発明の第一及び第二の実施の形態において、認証クライアントは、ステップ507で認証情報を生成して非接触ICに書き込んだ後に、ステップ508でサービス要求内容確認画面を表示するものとした。しかし、このステップ507とステップ508の実行順は逆であってもよい。すなわち、認証クライアントは、まずサービス要求内容確認画面を表示し、それから一定時間経過後に、生成した認証情報を非接触ICチップに書き込むようにしてもよい。
このような仕組みを導入すると、利用者は、例えば、情報端末から送信したサービス要求内容が第三者により通信ネットワーク上で改ざんされたり、スパイウェアと呼ばれる不正プログラムが仕掛けられて情報端末を不正操作された場合であっても、サービス要求内容確認画面の表示を確認することで、これら不正行為の発生に気づくことができる。そして、認証情報が非接触ICに書き込まれる前に、携帯情報端末を非接触ICR/Wの非接触通信の範囲外に置くことで、不正なオンラインサービスの実行を事前に防ぐことができ、本認証システムのセキュリティをさらに向上させることができる。
なお、図1において、オンラインサービスサーバ103と認証サーバ104とは同一のサーバ内に一体化して構築する構成であってもよい。
In the first and second embodiments of the present invention, when the terminal user authentication result is “No” in step 506, the authentication process is interrupted and the execution of the authentication client is immediately terminated. It was. However, this process may be replaced with the process described below.
The authentication client 109 records the number of authentication failures in which the terminal user authentication result is “No” in the storage unit 306 before ending the processing.
When the number of authentication failures exceeds a certain number, the authentication client 109 deletes the common key K and the secret key SK stored in the storage unit and executes the authentication client initial setting procedure again. To the user.
The number of authentication failures that require the user to make initial settings again is determined according to the security strength required by the provider providing the online service for this authentication system, and is incorporated in the authentication client program in advance, or the user Shall be entered in the initial setting of the authentication client.
If such a mechanism is introduced, the security strength of the authentication system can be further improved as necessary.
In the first and second embodiments of the present invention, the authentication client generates authentication information in step 507 and writes it in the contactless IC, and then displays a service request content confirmation screen in step 508. did. However, the execution order of step 507 and step 508 may be reversed. That is, the authentication client may first display the service request content confirmation screen, and then write the generated authentication information to the non-contact IC chip after a certain period of time has elapsed.
When such a mechanism is introduced, a user can be tampered with an information terminal by, for example, a service request transmitted from an information terminal being tampered with on a communication network by a third party, or a malicious program called spyware being installed. Even in such a case, by confirming the display of the service request content confirmation screen, it is possible to notice the occurrence of these illegal acts. And before the authentication information is written to the non-contact IC, by placing the portable information terminal outside the non-contact communication range of the non-contact ICR / W, it is possible to prevent unauthorized online services from being executed in advance. The security of the authentication system can be further improved.
In FIG. 1, the online service server 103 and the authentication server 104 may be configured to be integrated in the same server.

本発明にかかる認証システムの実施の形態を示す全体構成図である。1 is an overall configuration diagram showing an embodiment of an authentication system according to the present invention. 情報端末の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of an information terminal. 携帯情報端末の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of a portable information terminal. 認証情報生成準備プロセスの動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of an authentication information generation preparation process. 認証情報生成プロセスの動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of an authentication information generation process. 認証プロセスの動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of an authentication process. 第1の実施形態における端末使用者認証必要性判定プログラムの処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of the terminal user authentication necessity determination program in 1st Embodiment. 第1の実施形態における認証クライアント操作画面の例を示す図である。It is a figure which shows the example of the authentication client operation screen in 1st Embodiment. 第1の実施形態における端末使用者認証画面の例を示す図である。It is a figure which shows the example of the terminal user authentication screen in 1st Embodiment. 第1の実施形態におけるサービス要求内容確認画面の例を示す図である。It is a figure which shows the example of the service request content confirmation screen in 1st Embodiment. 第2の実施形態における端末使用者認証必要性判定プログラムの処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of the terminal user authentication necessity determination program in 2nd Embodiment. 第2の実施形態における認証クライアント操作画面の例を示す図である。It is a figure which shows the example of the authentication client operation screen in 2nd Embodiment. 第2の実施形態におけるサービス要求内容確認画面の例を示す図である。It is a figure which shows the example of the service request content confirmation screen in 2nd Embodiment.

符号の説明Explanation of symbols

101 情報端末
102 携帯情報端末
103 オンラインサービスサーバ
104 認証サーバ
105 通信ネットワーク
106 非接触ICR/W
107 オンラインサービスクライアント
108 非接触ICチップ
109 認証クライアント
101 information terminal 102 portable information terminal 103 online service server 104 authentication server 105 communication network 106 contactless ICR / W
107 Online service client 108 Non-contact IC chip 109 Authentication client

Claims (24)

オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
An authentication system comprising a portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, and generating authentication information used for authenticating the content of the service request. And
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Means for generating a non-contact IC chip reader / writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Means for writing information and service request content, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and authentication is performed based on the random number information read from the non-contact IC chip and the service request content Means for generating information, writing the generated authentication information into a contactless IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. A featured authentication system.
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of service request contents; An authentication system comprising:
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Means for generating a non-contact IC chip reader / writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Means for writing information and service request content, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication means is executed using the personal identification information stored in advance. The terminal user authentication is performed, and when the terminal user authentication is determined to be successful, the authentication information is generated based on the random number information read from the non-contact IC chip and the content of the service request. Means for writing information to the contactless IC chip and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. A featured authentication system.
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証判定情報とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証判定情報とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of service request contents; An authentication system comprising:
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information generated by the authentication server, the authentication client activation code, and the terminal user authentication determination information are received, and the random number information and the authentication client activation code are received. Generating a non-contact IC chip reader / writer control code including service request contents and terminal user authentication determination information, and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal When,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication determination information, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication determination information read from the non-contact IC chip is used. The terminal user authentication necessity determination means is executed to determine the necessity of terminal user authentication, and when it is determined that the necessity determination is unnecessary, and the necessity determination is determined to be necessary, and The terminal user authentication is executed by executing the terminal user authentication means using the personal identification information stored in advance, and when the terminal user authentication is determined to be successful, it is read from the non-contact IC chip. Generating authentication information based on the random number information and the service request content, writing the generated authentication information to the non-contact IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. A featured authentication system.
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記認証サーバから乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証要求フラグとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証要求フラグとを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of service request contents; An authentication system comprising:
The information terminal is
Means for transmitting a service request content to the online service server together with an authentication request;
The online service server is
Means for transmitting the service request content received from the information terminal to the authentication server;
The authentication server is
Necessity of terminal user authentication by generating random number information, authentication client activation code and terminal user authentication determination information, and using the terminal user authentication determination information to execute terminal user authentication necessity determination means Performing determination, obtaining the result of the necessity determination as a terminal user authentication request flag, and transmitting random number information, an authentication client activation code, and a terminal user authentication request flag to the online service server;
The online service server is
A contactless IC chip reader that receives random number information, an authentication client activation code, and a terminal user authentication request flag from the authentication server, and includes random number information, an authentication client activation code, service request contents, and a terminal user authentication request flag Means for generating a writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication request flag, and means for transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication request flag read from the non-contact IC chip is unnecessary. Terminal user authentication request flag read from a non-contact IC chip is necessary, and terminal user authentication is performed by executing terminal user authentication means using pre-stored personal identification information When the terminal user authentication is determined to be successful, authentication information is generated based on the random number information read from the contactless IC chip and the service request content, and the generated authentication information is stored in the contactless IC chip. Means to write and exit the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Means for reading and sending authentication information to the online service server;
The online service server is
Means for transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating authentication information received from the online service server based on random number information generated by itself and a service request content received from the information terminal together with an authentication request, and transmitting an authentication result to the online service server. A featured authentication system.
請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、
前記端末使用者認証判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証システム。
In the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information is a time when the authentication server generates random number information to be used as an argument when generating authentication information,
The terminal user authentication determination means includes a random number generation time acquired as the terminal user authentication determination information and the terminal user authentication determination information when the portable information terminal generates the authentication information immediately before the authentication request being processed. Calculate the time difference from the obtained random number generation time, and if the calculated time difference is less than the time difference determined in advance in the authentication system, determine that the execution result of the terminal user authentication determination means is unnecessary, and calculate the time difference Is an authentication system characterized by determining that the execution result of the terminal user authentication determination means is necessary when the time difference is equal to or greater than a time difference determined in advance in the authentication system.
請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証システム。
In the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information is a transaction amount included in a service request content transmitted by the information terminal together with an authentication request,
The terminal user authentication determination unit determines that the execution result of the terminal user authentication determination unit is unnecessary when the transaction amount acquired as the terminal user authentication determination information is less than an amount determined in advance in the authentication system. And, when the transaction amount acquired as the terminal user authentication determination information is greater than or equal to the amount determined in advance in the authentication system, the execution result of the terminal user authentication determination means is determined to be necessary. system.
請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証判定手段の実行結果を、要か不要に判定することを特徴とする認証システム。
In the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information includes transaction amount and customer information included in the service request content transmitted by the information terminal together with the authentication request, and history information of the service request content executed by the user before the authentication request being processed. And
The terminal user authentication determination means is configured such that the transaction amount acquired as the terminal user authentication determination information is higher or lower than an amount determined in advance in the authentication system, and the terminal user authentication determination information The terminal user authentication determination means is executed by a combination of the condition determinations that the customer information acquired as the terminal user authentication determination information is included or not included in the history information of the service request content acquired as An authentication system characterized by determining whether a result is necessary or unnecessary.
請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証システム。
In the authentication system according to any one of claims 3 and 4,
The terminal user authentication determination information is a login determination flag included in the service request content transmitted by the information terminal together with the authentication request,
If the login determination flag acquired as the terminal user authentication determination information is a value indicating that a request other than login to the online service is requested as the service request content, the terminal user authentication determination means If the login determination flag acquired as the terminal user authentication determination information is a value indicating that login to the online service is requested as the service request content, the terminal determines that the execution result of the authentication determination means is unnecessary. An authentication system characterized in that an execution result of a user authentication determination unit is determined to be important.
請求項2〜8のいずれかに記載の認証システムにおいて、
前記認証クライアントが実行する端末使用者認証手段は、利用者に本人確認情報の入力を求め、入力された本人確認情報が予め携帯情報端末に記憶された本人確認情報と一致する場合に、端末使用者認証を成功と判定することを特徴とする認証システム。
In the authentication system according to any one of claims 2 to 8,
The terminal user authentication means executed by the authentication client prompts the user to input personal identification information. If the input personal identification information matches the personal identification information stored in the portable information terminal in advance, the terminal user authentication means Authentication system characterized in that person authentication is determined to be successful.
請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、暗証番号であることを特徴とする認証システム。
The authentication system according to any one of claims 2 to 9,
The authentication system, wherein the personal identification information is a personal identification number.
請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、位置情報であることを特徴とする認証システム。
The authentication system according to any one of claims 2 to 9,
The authentication system characterized in that the identity verification information is position information.
請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、利用者の生体情報であることを特徴とする認証システム。
The authentication system according to any one of claims 2 to 9,
The authentication system characterized in that the identity verification information is biometric information of a user.
請求項1〜12いずれかに記載の認証システムにおいて、
前記認証情報は、ワンタイムパスワードであることを特徴とする認証システム。
In the authentication system according to any one of claims 1 to 12,
The authentication system, wherein the authentication information is a one-time password.
請求項1〜12いずれかに記載の認証システムにおいて、
前記認証情報は、ディジタル署名であることを特徴とする認証システム。
In the authentication system according to any one of claims 1 to 12,
The authentication system, wherein the authentication information is a digital signature.
請求項1〜14いずれかに記載の認証システムにおいて、
前記認証クライアントを終了する手段は、前記サービス要求内容確認画面を表示してから一定時間経過後に、生成した前記認証情報を前記非接触ICチップに書き込むことを特徴とする認証システム。
The authentication system according to any one of claims 1 to 14,
The authentication system characterized in that the means for terminating the authentication client writes the generated authentication information into the non-contact IC chip after a predetermined time has elapsed since the service request content confirmation screen was displayed.
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
Authentication in an authentication system comprised of a portable information terminal possessed by a user who receives an online service at the information terminal and comprising a non-contact IC chip and an authentication client, and generating authentication information used for authentication of service request contents A method,
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Generating a contactless IC chip reader / writer control code and displaying an authentication client operation screen incorporating the contactless IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information and service request content, and sending an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and authentication is performed based on the random number information read from the non-contact IC chip and the service request content Generating information, writing the generated authentication information to a contactless IC chip, and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the service request content received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; An authentication method characterized by comprising:
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コード受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of the service request content; An authentication method in an authentication system comprising:
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information and the authentication client activation code generated by the authentication server are received, and the random number information, the authentication client activation code, and the service request content are included. Generating a contactless IC chip reader / writer control code and displaying an authentication client operation screen incorporating the contactless IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information and service request content, and sending an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication means is executed using the personal identification information stored in advance. The terminal user authentication is performed, and when the terminal user authentication is determined to be successful, the authentication information is generated based on the random number information read from the non-contact IC chip and the content of the service request. Writing information to the contactless IC chip and terminating the authentication client;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the service request content received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; An authentication method characterized by comprising:
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信し、前記認証サーバで生成された乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証判定情報とを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証判定情報とを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of the service request content; An authentication method in an authentication system comprising:
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
The service request content received from the information terminal is transmitted to the authentication server, the random number information generated by the authentication server, the authentication client activation code, and the terminal user authentication determination information are received, and the random number information and the authentication client activation code are received. Generating a contactless IC chip reader / writer control code including the service request content and terminal user authentication determination information, and causing the information terminal to display an authentication client operation screen incorporating the contactless IC chip reader / writer control code When,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication determination information, and transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication determination information read from the non-contact IC chip is used. The terminal user authentication necessity determination means is executed to determine the necessity of terminal user authentication, and when it is determined that the necessity determination is unnecessary, and the necessity determination is determined to be necessary, and The terminal user authentication is executed by executing the terminal user authentication means using the personal identification information stored in advance, and when the terminal user authentication is determined to be successful, it is read from the non-contact IC chip. Generating authentication information based on the random number information and the contents of the service request, writing the generated authentication information to the non-contact IC chip, and terminating the authentication client ,
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the service request content received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; An authentication method characterized by comprising:
オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報とを生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記認証サーバから乱数情報と認証クライアント起動コードと端末使用者認証要求フラグとを受信し、乱数情報と認証クライアント起動コードとサービス要求内容と端末使用者認証要求フラグとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに乱数情報とサービス要求内容と端末使用者認証要求フラグとを書き込むとともに、認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から認証クライアント起動コードを受信して認証クライアントを起動し、サービス要求内容を含むサービス要求内容確認画面を表示するとともに、非接触ICチップから読み込んだ端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、非接触ICチップから読み込んだ乱数情報とサービス要求内容とを基に認証情報を生成し、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。
An online service server providing online services;
An information terminal comprising a non-contact IC chip reader / writer, and receiving an online service by transmitting a service request content to the online service server;
An authentication server that performs processing related to authentication of service request contents in the online service;
A portable information terminal possessed by a user who receives an online service at the information terminal, comprising a contactless IC chip and an authentication client, storing personal identification information in advance, and generating authentication information used for authentication of the service request content; An authentication method in an authentication system comprising:
The information terminal is
Transmitting a service request content together with an authentication request to the online service server;
The online service server is
Transmitting the service request content received from the information terminal to the authentication server;
The authentication server is
Necessity of terminal user authentication by generating random number information, authentication client activation code and terminal user authentication determination information, and using the terminal user authentication determination information to execute terminal user authentication necessity determination means Performing determination, obtaining a result of the necessity determination as a terminal user authentication request flag, and transmitting random number information, an authentication client activation code, and a terminal user authentication request flag to the online service server;
The online service server is
A contactless IC chip reader that receives random number information, an authentication client activation code, and a terminal user authentication request flag from the authentication server, and includes random number information, an authentication client activation code, service request contents, and a terminal user authentication request flag Generating a writer control code and displaying an authentication client operation screen incorporating the non-contact IC chip reader / writer control code on the information terminal;
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code incorporated in the authentication client operation screen is executed, and a random number is applied to the non-contact IC chip via the non-contact IC chip reader / writer. Writing information, service request content and terminal user authentication request flag, and transmitting an authentication client activation code to the portable information terminal;
The portable information terminal is
The authentication client activation code is received from the information terminal, the authentication client is activated, a service request content confirmation screen including the service request content is displayed, and the terminal user authentication request flag read from the non-contact IC chip is unnecessary. Terminal user authentication request flag read from a non-contact IC chip is necessary, and terminal user authentication is performed by executing terminal user authentication means using pre-stored personal identification information When the terminal user authentication is determined to be successful, authentication information is generated based on the random number information read from the contactless IC chip and the service request content, and the generated authentication information is stored in the contactless IC chip. Writing and exiting the authentication client; and
The information terminal is
In response to the operation of the authentication client operation screen by the user, the non-contact IC chip reader / writer control code embedded in the authentication client operation screen is executed, and the authentication information is received from the non-contact IC chip via the non-contact IC reader / writer. Reading and sending authentication information to the online service server;
The online service server is
Transmitting authentication information received from the information terminal to the authentication server;
The authentication server is
Authenticating the authentication information received from the online service server based on the random number information generated by itself and the service request content received from the information terminal together with the authentication request, and transmitting an authentication result to the online service server; An authentication method characterized by comprising:
請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、
前記端末使用者認証判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証方法。
The authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a time when the authentication server generates random number information to be used as an argument when generating authentication information,
The terminal user authentication determination means includes a random number generation time acquired as the terminal user authentication determination information and the terminal user authentication determination information when the portable information terminal generates the authentication information immediately before the authentication request being processed. Calculate the time difference from the acquired random number generation time, and if the calculated time difference is less than the time difference determined in advance in the authentication system, the execution result of the terminal user authentication determination means is determined to be unnecessary, and the calculated time difference Is an authentication method characterized by determining that the execution result of the terminal user authentication determination means is necessary when the time difference is greater than or equal to a predetermined time in the authentication system.
請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証方法。
The authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a transaction amount included in a service request content transmitted by the information terminal together with an authentication request,
The terminal user authentication determination unit determines that the execution result of the terminal user authentication determination unit is unnecessary when the transaction amount acquired as the terminal user authentication determination information is less than an amount determined in advance in the authentication system. And, when the transaction amount acquired as the terminal user authentication determination information is greater than or equal to the amount determined in advance in the authentication system, the execution result of the terminal user authentication determination means is determined to be necessary. Method.
請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証判定手段の実行結果を、要か不要に判定することを特徴とする認証方法。
The authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information includes transaction amount and customer information included in the service request content transmitted by the information terminal together with the authentication request, and history information of the service request content executed by the user before the authentication request being processed. And
The terminal user authentication determination means is configured such that the transaction amount acquired as the terminal user authentication determination information is higher or lower than an amount determined in advance in the authentication system, and the terminal user authentication determination information The terminal user authentication determination means is executed by a combination of condition determinations such that the customer information acquired as is included in the history information of the service request content acquired as terminal user authentication determination information. An authentication method characterized by determining whether a result is necessary or unnecessary.
請求項18及び請求項19のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証判定手段の実行結果を要と判定することを特徴とする認証方法。
The authentication method according to any one of claims 18 and 19,
The terminal user authentication determination information is a login determination flag included in the service request content transmitted by the information terminal together with the authentication request,
If the login determination flag acquired as the terminal user authentication determination information is a value indicating that a request other than login to the online service is requested as the service request content, the terminal user authentication determination means If the login determination flag acquired as the terminal user authentication determination information is a value indicating that login to the online service is requested as the service request content, the terminal determines that the execution result of the authentication determination means is unnecessary. An authentication method characterized in that the execution result of the user authentication determination means is determined to be necessary.
請求項16〜23いずれかに記載の認証方法において、
前記認証クライアントを終了するステップは、前記サービス要求内容確認画面を表示してから一定時間経過後に、生成した前記認証情報を前記非接触ICチップに書き込むことを特徴とする認証方法。
The authentication method according to any one of claims 16 to 23,
The step of ending the authentication client includes writing the generated authentication information into the non-contact IC chip after a predetermined time has elapsed after displaying the service request content confirmation screen.
JP2006340875A 2006-12-19 2006-12-19 Authentication system and authentication method Expired - Fee Related JP4895288B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006340875A JP4895288B2 (en) 2006-12-19 2006-12-19 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006340875A JP4895288B2 (en) 2006-12-19 2006-12-19 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2008152612A true JP2008152612A (en) 2008-07-03
JP4895288B2 JP4895288B2 (en) 2012-03-14

Family

ID=39654708

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006340875A Expired - Fee Related JP4895288B2 (en) 2006-12-19 2006-12-19 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP4895288B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010176168A (en) * 2009-01-27 2010-08-12 Hitachi Software Eng Co Ltd Information leakage prevention system
WO2019239591A1 (en) * 2018-06-15 2019-12-19 Capy株式会社 Authentication system, authentication method, application provision device, authentication device, and authentication program

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259344A (en) * 2001-02-28 2002-09-13 Mitsubishi Electric Corp One-time password authentication system, portable telephone and user identification server
JP2003150553A (en) * 2001-11-14 2003-05-23 Nippon Telegr & Teleph Corp <Ntt> Authentication method using plurality of accounts and device and processing program
JP2003208409A (en) * 2002-01-15 2003-07-25 Mitsubishi Electric Corp Authentication system and method
JP2003208408A (en) * 2002-01-16 2003-07-25 Ntt Docomo Inc User authentication system, method and program, and computer-readable recording medium
JP2003233592A (en) * 2002-02-12 2003-08-22 Toshiba Corp Authentication server, authentication system and authentication method
JP2005215870A (en) * 2004-01-28 2005-08-11 Nec Corp Single sign-on method and system using rfid

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259344A (en) * 2001-02-28 2002-09-13 Mitsubishi Electric Corp One-time password authentication system, portable telephone and user identification server
JP2003150553A (en) * 2001-11-14 2003-05-23 Nippon Telegr & Teleph Corp <Ntt> Authentication method using plurality of accounts and device and processing program
JP2003208409A (en) * 2002-01-15 2003-07-25 Mitsubishi Electric Corp Authentication system and method
JP2003208408A (en) * 2002-01-16 2003-07-25 Ntt Docomo Inc User authentication system, method and program, and computer-readable recording medium
JP2003233592A (en) * 2002-02-12 2003-08-22 Toshiba Corp Authentication server, authentication system and authentication method
JP2005215870A (en) * 2004-01-28 2005-08-11 Nec Corp Single sign-on method and system using rfid

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010176168A (en) * 2009-01-27 2010-08-12 Hitachi Software Eng Co Ltd Information leakage prevention system
WO2019239591A1 (en) * 2018-06-15 2019-12-19 Capy株式会社 Authentication system, authentication method, application provision device, authentication device, and authentication program
CN112313648A (en) * 2018-06-15 2021-02-02 Capy株式会社 Authentication system, authentication method, application providing device, authentication device, and authentication program
JPWO2019239591A1 (en) * 2018-06-15 2021-06-24 Capy株式会社 Authentication system, authentication method, application provider, authentication device, and authentication program
US11539690B2 (en) 2018-06-15 2022-12-27 Capy Japan Inc. Authentication system, authentication method, and application providing method
JP7202688B2 (en) 2018-06-15 2023-01-12 Capy株式会社 Authentication system, authentication method, application providing device, authentication device, and authentication program

Also Published As

Publication number Publication date
JP4895288B2 (en) 2012-03-14

Similar Documents

Publication Publication Date Title
CN105608577B (en) Method for realizing non-repudiation, payment management server and user terminal thereof
JP5619007B2 (en) Apparatus, system and computer program for authorizing server operation
JP5066827B2 (en) Method and apparatus for authentication service using mobile device
EP2859488B1 (en) Enterprise triggered 2chk association
US7624433B1 (en) Keyfob for use with multiple authentication entities
US8752125B2 (en) Authentication method
CN112425114B (en) Password manager protected by public key-private key pair
US9344896B2 (en) Method and system for delivering a command to a mobile device
KR20160129839A (en) An authentication apparatus with a bluetooth interface
KR101125088B1 (en) System and Method for Authenticating User, Server for Authenticating User and Recording Medium
JP2008269610A (en) Protecting sensitive data intended for remote application
EP2775658A2 (en) A password based security method, systems and devices
JP5317795B2 (en) Authentication system and authentication method
KR100792163B1 (en) Authentication system for on-line banking, and user terminal for the same
JP4895288B2 (en) Authentication system and authentication method
KR20140046674A (en) Digital certificate system for cloud-computing environment and providing method thereof
JP4964048B2 (en) Authentication system and authentication method using non-contact IC and portable information terminal
KR101171235B1 (en) Method for Operating Certificate
EP2530618A1 (en) Sign-On system with distributed access
JP7539427B2 (en) Authentication system and computer program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090716

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111216

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111216

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees