JP5081696B2 - Information processing system, authentication server, service providing server, authentication method, service providing method, and program - Google Patents

Information processing system, authentication server, service providing server, authentication method, service providing method, and program Download PDF

Info

Publication number
JP5081696B2
JP5081696B2 JP2008093758A JP2008093758A JP5081696B2 JP 5081696 B2 JP5081696 B2 JP 5081696B2 JP 2008093758 A JP2008093758 A JP 2008093758A JP 2008093758 A JP2008093758 A JP 2008093758A JP 5081696 B2 JP5081696 B2 JP 5081696B2
Authority
JP
Japan
Prior art keywords
authentication
user
server
request
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008093758A
Other languages
Japanese (ja)
Other versions
JP2009245365A (en
Inventor
一嗣 板屋
修 道坂
秀介 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2008093758A priority Critical patent/JP5081696B2/en
Publication of JP2009245365A publication Critical patent/JP2009245365A/en
Application granted granted Critical
Publication of JP5081696B2 publication Critical patent/JP5081696B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、行うべき処理群の中に多くの時間を要する処理がある場合にも処理群全体を効率よく実行するために好適な情報処理システム、認証サーバ、サービス提供サーバ、認証方法、サービス提供方法、及び、プログラムに関する。   The present invention provides an information processing system, an authentication server, a service providing server, an authentication method, and a service provision suitable for efficiently executing the entire processing group even when the processing group to be performed includes a process that requires a lot of time. The present invention relates to a method and a program.

近年、情報漏洩や不正利用を防止するために、ICチップを搭載したカードが普及している。特許文献1には、例えば銀行のATM(Automated Teller Machine)や窓口等で手続を行う際、ICチップを搭載した運転免許証などの外部の機関が発行する身分証明書を用いて認証者(サーバ)が認証し、本人であるかを確認しつつサービスを提供するシステムが開示されている。
例えば、サービス提供側のシステムは、ICカード等を用いたユーザ認証処理、入出金額の入力を受け付ける処理、振込先や振込元の入力を受け付ける処理、振り込みを実行する処理など、複数の処理のまとまり(以下「処理群」と呼ぶ。)を実行することによって、ユーザにサービスを提供する。
特開2007−241647号公報 In recent years, in order to prevent information leakage and unauthorized use, cards equipped with IC chips have become widespread. Patent Document 1 describes a certifier (server) using an ID issued by an external organization such as a driver's license equipped with an IC chip when performing procedures at a bank ATM (Automated Teller Machine) or a window. ) Authenticates, and a system that provides services while confirming the identity of the person is disclosed.
For example, a system on the service providing side is a group of a plurality of processes such as a user authentication process using an IC card, a process for accepting input of a deposit / withdrawal amount, a process for accepting input of a transfer destination and transfer source, and a process of executing a transfer. (Hereinafter referred to as “processing group”) to provide a service to the user.
JP 2007-241647 A

ところで、ユーザを認証する処理など、サーバへの特定の処理の要求が集中すると、要求された処理の負荷が大きくなり、要求された処理ばかりか、処理群全体が完了するまでに多くの時間を要してしまうことがある。例えば、ユーザ認証処理を含む一連の処理群を実行する場合において、ユーザ認証処理に多くの時間を要すると、認証結果を受け取るまでの間、ユーザ認証処理が終わるまで処理群全体が待ち状態となり、結果的にシステムのレスポンスが悪くなったり、タイムアウトにより認証要求そのものが失敗したりしてしまう可能性がある。このように、行うべき処理群の中に多くの時間を要する処理があると、処理群全体のレスポンスが低下してしまう恐れがあるという問題があった。   By the way, if requests for specific processes such as the process of authenticating users are concentrated, the load of the requested process increases, and not only the requested process but also much time is required until the entire process group is completed. It may be necessary. For example, in the case of executing a series of processing groups including user authentication processing, if a long time is required for user authentication processing, the entire processing group is in a waiting state until the user authentication processing is completed until the authentication result is received, As a result, there is a possibility that the response of the system becomes worse, or the authentication request itself fails due to a timeout. As described above, there is a problem that if there is a process that requires a lot of time in the process group to be performed, the response of the entire process group may be lowered.

本発明はこのような課題を解決するものであり、行うべき処理群の中に多くの時間を要する処理がある場合にも処理群全体を効率よく実行するために好適な情報処理システム、認証サーバ、サービス提供サーバ、認証方法、サービス提供方法、及び、プログラムを提供することを目的とする。   The present invention solves such problems, and an information processing system and an authentication server suitable for efficiently executing the entire processing group even when there are processes that require a lot of time in the processing group to be performed An object is to provide a service providing server, an authentication method, a service providing method, and a program.

上記目的を達成するため、本発明の第1の観点に係る情報処理システムは、
ユーザ端末と、ユーザにサービスを提供するための複数の処理を実行するサービス提供サーバと、当該ユーザを認証する認証サーバとを有する情報処理システムにおいて、
前記ユーザ端末は、
当該ユーザを認証するための認証用データを取得する取得部と、
当該ユーザからの指示に基づいて、前記サービス提供サーバに当該複数の処理を開始する旨の開始要求と、前記取得された認証用データと、を前記サービス提供サーバに送信する開始要求送信部と、
を備え、
前記サービス提供サーバは、
当該複数の処理のそれぞれについて、前記認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部と、
前記ユーザ端末から当該開始要求と当該認証用データを受信する開始要求受信部と、
前記受信した開始要求が示す当該複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部と、
を備え、
前記認証サーバは、
当該ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部と、
前記サービス提供サーバから当該認証要求と当該認証用データとを受信する認証要求受信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部と、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部と、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部と、
を備え、
前記サービス提供サーバは、更に、
当該推定時間を前記認証サーバから受信する推定時間受信部と、
当該認証結果を前記認証サーバから受信する認証結果受信部と、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから、当該認証結果を受信するまで、当該処理群に含まれる処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部と、
を備えることを特徴とする。 In order to achieve the above object, an information processing system according to the first aspect of the present invention provides:
In an information processing system having a user terminal, a service providing server that executes a plurality of processes for providing a service to the user, and an authentication server that authenticates the user,
The user terminal is
An acquisition unit for acquiring authentication data for authenticating the user;
Based on an instruction from the user, a start request transmitting unit that transmits the request for starting the plurality of processes to the service providing server and the acquired authentication data, to the service providing server,
With
The service providing server includes:
For each of the plurality of processes, an authentication necessity information storage unit that stores information indicating whether or not authentication of the user by the authentication server is necessary;
A start request receiving unit that receives the start request and the authentication data from the user terminal;
An authentication request for requesting the authentication server to authenticate the user when the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server; An authentication request transmission unit that transmits the received authentication data to the authentication server;
With
The authentication server is
A user information storage unit that stores user information for authenticating the user in advance;
An authentication request receiver that receives the authentication request and the authentication data from the service providing server;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from receiving the authentication request to ending the authentication of the user;
An estimated time transmitter for transmitting the estimated estimated time to the service providing server;
An authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit when the authentication request receiving unit receives the authentication request;
An authentication result transmission unit that transmits an authentication result by the authentication unit to the service providing server;
With
The service providing server further includes:
An estimated time receiving unit for receiving the estimated time from the authentication server;
An authentication result receiving unit for receiving the authentication result from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server among the processing included in the processing group,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing unit for providing the user with the service;
It is characterized by providing.

前記取得部は、当該認証用データとして、IC(Integrated Circuit)カードに予め記憶された個人情報を取得してもよい。
そして、前記認証部は、前記ユーザ端末から前記サービス提供サーバを介して送信された当該認証用データを用いて認証してもよい。 The acquisition unit may acquire personal information stored in advance in an IC (Integrated Circuit) card as the authentication data.
The authentication unit may authenticate using the authentication data transmitted from the user terminal via the service providing server.

前記認証要求送信部は、前記ICカードの種類を示す情報を含む当該認証要求を前記認証サーバに送信してもよい。
また、前記認証サーバは、前記ICカードの種類に対応付けて、過去に当該認証要求を受信してから当該ユーザの認証を終了するまでにかかった時間を記憶する処理時間記憶部を更に備えることができる。
そして、前記推定部は、前記認証要求受信部が受信した認証要求が示す前記ICカードの種類に対応付けられた時間に基づいて、当該推定時間を推定してもよい。 The authentication request transmission unit may transmit the authentication request including information indicating the type of the IC card to the authentication server.
In addition, the authentication server further includes a processing time storage unit that stores the time taken from the reception of the authentication request in the past to the end of the authentication of the user in association with the type of the IC card. Can do.
The estimation unit may estimate the estimation time based on a time associated with the type of the IC card indicated by the authentication request received by the authentication request reception unit.

前記認証部は、当該ユーザを認証する処理を開始してから終了するまでにかかった時間を用いて、前記処理時間記憶部に記憶されている時間のうち前記ICカードの種類に対応する時間を更新してもよい。   The authentication unit uses a time taken from the start to the end of the process of authenticating the user to calculate a time corresponding to the type of the IC card among the times stored in the processing time storage unit. It may be updated.

前記認証サーバは、前記認証部による認証結果を記憶する認証結果記憶部を更に備えることができる。
また、前記認証結果受信部は、当該推定時間が所定値以上の場合、前記推定時間受信部が当該推定時間を受信してから当該推定時間が経過した後、当該認証結果を送信するよう前記認証サーバに要求し、当該認証結果を前記認証サーバから受信してもよい。 The authentication server may further include an authentication result storage unit that stores an authentication result by the authentication unit.
Further, when the estimated time is greater than or equal to a predetermined value, the authentication result receiving unit transmits the authentication result after the estimated time has elapsed since the estimated time receiving unit received the estimated time. A request may be made to the server, and the authentication result may be received from the authentication server.

上記目的を達成するため、本発明の第2の観点に係る認証サーバは、
ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部と、
当該ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部と、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部と、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部と、
を備えることを特徴とする。 In order to achieve the above object, an authentication server according to the second aspect of the present invention provides:
A user information storage unit that stores user information for authenticating the user in advance;
An authentication request receiving unit that receives an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides services to the user;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from receiving the authentication request to ending the authentication of the user;
An estimated time transmitter for transmitting the estimated estimated time to the service providing server;
An authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit when the authentication request receiving unit receives the authentication request;
An authentication result transmission unit that transmits an authentication result by the authentication unit to the service providing server;
It is characterized by providing.

上記目的を達成するため、本発明の第3の観点に係るサービス提供サーバは、
ユーザにサービスを提供するための複数の処理のそれぞれについて、当該ユーザを認証する認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部と、
当該複数の処理を開始する旨の開始要求と、当該ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信部と、
前記受信した開始要求が示す複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部と、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信部と、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信部と、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部と、
を備えることを特徴とする。 In order to achieve the above object, a service providing server according to the third aspect of the present invention provides:
For each of a plurality of processes for providing a service to a user, an authentication necessity information storage unit that stores information indicating whether or not the user needs to be authenticated by an authentication server that authenticates the user;
A start request receiving unit for receiving a start request to start the plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
If the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmitter for transmitting the received authentication data to the authentication server;
An estimated time receiving unit that receives from the authentication server an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving unit for receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing unit for providing the user with the service;
It is characterized by providing.

上記目的を達成するため、本発明の第4の観点に係る認証方法は、
ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信ステップと、
前記認証要求受信ステップが当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定ステップと、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信ステップと、
前記認証要求受信ステップが当該認証要求を受信した場合、当該認証用データと当該ユーザを認証するための予めメモリに記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証ステップと、
前記認証ステップによる認証結果を前記サービス提供サーバに送信する認証結果送信ステップと、
を備えることを特徴とする。 In order to achieve the above object, an authentication method according to the fourth aspect of the present invention includes:
An authentication request receiving step of receiving an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides a service to the user;
When the authentication request receiving step receives the authentication request, an estimation step for estimating a time taken from the reception of the authentication request to the end of the authentication of the user;
An estimated time transmitting step of transmitting the estimated estimated time to the service providing server;
When the authentication request receiving step receives the authentication request, an authentication step for authenticating the user based on the authentication data and user information stored in advance in memory for authenticating the user;
An authentication result transmission step of transmitting an authentication result of the authentication step to the service providing server;
It is characterized by providing.

上記目的を達成するため、本発明の第5の観点に係るサービス提供方法は、
複数の処理を開始する旨の開始要求と、ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信ステップと、
前記受信した開始要求が示す複数の処理の中に、認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信ステップと、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信ステップと、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信ステップと、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供ステップと、
を備えることを特徴とする。 In order to achieve the above object, a service providing method according to the fifth aspect of the present invention includes:
A start request receiving step for receiving a start request for starting a plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
When a plurality of processes indicated by the received start request includes a process that requires authentication of the user by an authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmission step of transmitting the received authentication data to the authentication server;
An estimated time receiving step for receiving, from the authentication server, an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving step of receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing step of providing the user with the service;
It is characterized by providing.

上記目的を達成するため、本発明の第6の観点に係るプログラムは、コンピュータを、
ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部、
当該ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信部、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部、
として機能させることを特徴とする。 In order to achieve the above object, a program according to a sixth aspect of the present invention provides a computer,
A user information storage unit for storing user information for authenticating the user in advance;
An authentication request receiving unit that receives an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides services to the user;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from the reception of the authentication request to the end of the user authentication,
An estimated time transmitting unit for transmitting the estimated estimated time to the service providing server;
When the authentication request receiving unit receives the authentication request, an authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit,
An authentication result transmission unit for transmitting an authentication result by the authentication unit to the service providing server;
It is made to function as.

上記目的を達成するため、本発明の第7の観点に係るプログラムは、コンピュータを、
ユーザにサービスを提供するための複数の処理のそれぞれについて、当該ユーザを認証する認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部、
当該複数の処理を開始する旨の開始要求と、当該ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信部、
前記受信した開始要求が示す複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信部、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信部、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部、
として機能させることを特徴とする。 In order to achieve the above object, a program according to a seventh aspect of the present invention provides a computer,
For each of a plurality of processes for providing a service to a user, an authentication necessity information storage unit that stores information indicating whether or not the user needs to be authenticated by an authentication server that authenticates the user,
A start request receiving unit that receives a start request to start the plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
If the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmitter for transmitting the received authentication data to the authentication server;
An estimated time receiving unit that receives from the authentication server an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving unit for receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result, execute processing that requires authentication of the user by the authentication server;
A service providing unit that provides the user with the service,
It is made to function as.

本発明によれば、行うべき処理群の中に多くの時間を要する処理がある場合にも処理群全体を効率よく実行することができる。   According to the present invention, the entire processing group can be efficiently executed even when the processing group to be performed includes a process that requires a lot of time.

(実施形態)
本発明の実施形態を説明する。本実施形態では、情報処理システム100として、インターネットを介した銀行のオンラインシステム(いわゆるインターネットバンキングシステム)を例にとって本発明を説明する。すなわち、サービス提供サーバ120は、インターネットバンキングサービスをユーザに提供する処理を実行するサーバである。ただし、本発明はインターネットバンキングサービスに限られず任意のサービスを提供するシステムに適用可能である。 (Embodiment)
An embodiment of the present invention will be described. In the present embodiment, the present invention will be described by taking a bank online system (so-called Internet banking system) via the Internet as an example of the information processing system 100. That is, the service providing server 120 is a server that executes processing for providing an Internet banking service to a user. However, the present invention is not limited to the Internet banking service and can be applied to a system that provides an arbitrary service.

図1は、本実施形態に係る情報処理システム100の構成を示す図である。情報処理システム100は、ユーザが操作する1つ以上のユーザ端末110(本図では110−1、110−2、110−i等と記載)と、ユーザにサービスを提供する1つ以上のサービス提供サーバ120(本図では120−1、120−2、120−j等と記載)と、ユーザを認証する認証サーバ130と、を備える。   FIG. 1 is a diagram illustrating a configuration of an information processing system 100 according to the present embodiment. The information processing system 100 includes one or more user terminals 110 (denoted in the figure as 110-1, 110-2, 110-i, etc.) operated by the user and one or more service providing services to the user. A server 120 (described as 120-1, 120-2, 120-j, etc. in this figure) and an authentication server 130 for authenticating a user are provided.

サービス提供サーバ120は、ユーザに所定のサービスを提供する機関が設置したサーバである。例えばサービス提供サーバ120には、銀行が設置するインターネットバンキングサービス用のサーバ、行政機関が設置する行政サービス用のサーバ、病院など医療機関が設置する医療サービス用のサーバなど、様々なサーバがある。   The service providing server 120 is a server installed by an organization that provides a predetermined service to the user. For example, the service providing server 120 includes various servers such as a server for Internet banking service installed by a bank, a server for administrative service installed by an administrative agency, and a server for medical service installed by a medical institution such as a hospital.

認証サーバ130は、各サービス提供サーバ120が提供するサービスにおいて、ユーザが確かに本人であることを確認する処理(以下「ユーザ認証処理」という。)が必要な処理がある場合に、ユーザ認証処理を各サービス提供サーバ120に代わって実行することが可能である。そのため、認証サーバ130は、本人確認代行サーバと呼ばれることもある。認証サーバ130は、サービス提供サーバ120から認証要求を受信し、ユーザ認証処理を行い、認証要求があったサービス提供サーバ120に認証結果を送信する。   In the service provided by each service providing server 120, the authentication server 130 performs a user authentication process when there is a process that needs to confirm that the user is indeed the user (hereinafter referred to as "user authentication process"). Can be executed on behalf of each service providing server 120. Therefore, the authentication server 130 may be called an identity verification proxy server. The authentication server 130 receives an authentication request from the service providing server 120, performs user authentication processing, and transmits an authentication result to the service providing server 120 that has made the authentication request.

ユーザ端末110とサービス提供サーバ120は、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等の通信ネットワーク140で接続される。サービス提供サーバ120と認証サーバ130は、専用回線等の通信ネットワーク150で接続される。通信ネットワーク150として通信ネットワーク140と同様にインターネット、LAN、WAN等を用いることも可能である。   The user terminal 110 and the service providing server 120 are connected by a communication network 140 such as the Internet, a LAN (Local Area Network), and a WAN (Wide Area Network). The service providing server 120 and the authentication server 130 are connected by a communication network 150 such as a dedicated line. As with the communication network 140, the Internet, LAN, WAN, or the like can be used as the communication network 150.

次に、ユーザ端末110、サービス提供サーバ120、認証サーバ130の各構成の詳細について、図2等を用いて説明する。   Next, details of each configuration of the user terminal 110, the service providing server 120, and the authentication server 130 will be described with reference to FIG.

まず、ユーザ端末110の構成について説明する。ユーザ端末110は、記憶部111、入力受付部112、通信部113、出力部114、インタフェイス115、制御部116を備える。   First, the configuration of the user terminal 110 will be described. The user terminal 110 includes a storage unit 111, an input reception unit 112, a communication unit 113, an output unit 114, an interface 115, and a control unit 116.

記憶部111は、ROM(Read Only Memory)、RAM(Random Accsess Memory)、ハードディスク装置などから構成される。記憶部111には、インターネットバンキングシステムのユーザ端末110側の処理を実行するためのプログラムやオペレーティングシステム(OS)等が予め記憶される。また、各処理を実行する際の中間データや結果データ等も記憶する。   The storage unit 111 includes a ROM (Read Only Memory), a RAM (Random Access Memory), a hard disk device, and the like. The storage unit 111 stores in advance a program, an operating system (OS), and the like for executing processing on the user terminal 110 side of the Internet banking system. In addition, intermediate data and result data when executing each process are also stored.

入力受付部112は、キーボードやマウス等の入力装置から構成され、ユーザからの様々な指示入力を受け付ける。指示入力には、例えば、新規口座の開設を依頼する指示入力、振り込みを依頼する指示入力などがある。   The input receiving unit 112 includes an input device such as a keyboard and a mouse, and receives various instruction inputs from the user. The instruction input includes, for example, an instruction input for requesting establishment of a new account and an instruction input for requesting transfer.

通信部113は、インターネットやLAN等の通信ネットワーク140に接続するためのNIC(Network Interface Card)やモデム等を備える。   The communication unit 113 includes a NIC (Network Interface Card) and a modem for connecting to a communication network 140 such as the Internet or a LAN.

出力部114は、ディスプレイ等の表示装置や、スピーカ等の出力装置から構成される。ユーザは、表示装置に表示される画面を見ながらユーザ端末110を操作できる。   The output unit 114 includes a display device such as a display and an output device such as a speaker. The user can operate the user terminal 110 while viewing the screen displayed on the display device.

インタフェイス115は、ICカードリーダー・ライター(以下「ICカードR/W」と呼ぶ)を備える。本実施形態では、ユーザ端末110は、ICチップを搭載した運転免許証、健康保険証、社会保障カード、住民基本台帳カード、キャッシュカード、クレジットカード等の各種ICカードに格納された情報を、ICカードR/Wで読み取ることが可能である。ユーザは、情報処理システム100のサービスを利用するために、ユーザとパスワードのチェックのほかに、ICカードを用いて本人確認を行なわなければならない場合がある。   The interface 115 includes an IC card reader / writer (hereinafter referred to as “IC card R / W”). In the present embodiment, the user terminal 110 uses information stored in various IC cards such as a driver's license, a health insurance card, a social security card, a basic resident register card, a cash card, and a credit card equipped with an IC chip as an IC. It can be read by the card R / W. In order to use the service of the information processing system 100, the user may need to perform identity verification using an IC card in addition to checking the user and password.

制御部116は、CPU(Central Processing Unit)等から構成される。制御部116は、ユーザ端末110全体を制御し、各構成要素と接続され、制御信号やデータをやりとりする。例えば制御部116は、インターネットバンキングシステムのユーザ端末110側の処理を実行するためのプログラムを実行する。   The control unit 116 includes a CPU (Central Processing Unit) and the like. The control unit 116 controls the entire user terminal 110, is connected to each component, and exchanges control signals and data. For example, the control unit 116 executes a program for executing processing on the user terminal 110 side of the Internet banking system.

ユーザ端末110として、公知のパーソナルコンピュータを用いることができる。   As the user terminal 110, a known personal computer can be used.

ICカードには、CPUと、EEPROM(Electrically Erasable and Programmable ROM)あるいはフラッシュメモリ等の不揮発性メモリと、が内蔵されている。ICカードの不揮発性メモリには、例えば口座番号や秘密鍵などの個人情報が格納されている。ICカードのCPUは、不揮発性メモリに格納された口座番号等の情報からハッシュ値を計算し、この計算されたハッシュ値を秘密鍵で暗号化して得られた暗号文を外部に出力することができる。ICカードのCPUは、任意のハッシュ関数を用いることができる。   The IC card contains a CPU and a nonvolatile memory such as an EEPROM (Electrically Erasable and Programmable ROM) or a flash memory. The non-volatile memory of the IC card stores personal information such as an account number and a secret key. The CPU of the IC card may calculate a hash value from information such as an account number stored in the non-volatile memory, and output the ciphertext obtained by encrypting the calculated hash value with a secret key to the outside. it can. The CPU of the IC card can use an arbitrary hash function.

次に、サービス提供サーバ120の構成について説明する。サービス提供サーバ120は、記憶部121、制御部122、通信部123を備える。   Next, the configuration of the service providing server 120 will be described. The service providing server 120 includes a storage unit 121, a control unit 122, and a communication unit 123.

記憶部121は、ROM、RAM、ハードディスク装置などから構成される。記憶部121には、インターネットバンキングシステムのサービス提供サーバ120側の処理を実行するためのプログラムやOS等が予め記憶される。   The storage unit 121 includes a ROM, a RAM, a hard disk device, and the like. The storage unit 121 stores in advance a program, an OS, and the like for executing processing on the service providing server 120 side of the Internet banking system.

記憶部121は、図3に示すサービス一覧情報125を格納する。サービス一覧情報125は、処理群ごとに、サービスコードと処理の内容と本人確認の要否とを対応付けた情報である。   The storage unit 121 stores service list information 125 shown in FIG. The service list information 125 is information in which the service code, the content of the process, and the necessity of identity verification are associated with each process group.

ここで、処理群とは、複数の異なる処理をグルーピングした、処理のまとまりのことである。例えば、あるユーザの銀行口座を新規に開設する場合、
・(処理1)ユーザの氏名、住所など、必要情報を記入する処理
・(処理2)口座番号を採番する処理
・(処理3)ユーザに許諾・契約内容を説明する処理
・(処理4)ユーザがカードデザインを選択する処理
・(処理5)申し込みを確定する処理
などといった複数の処理を実行する必要がある。つまり、処理1〜5をすべて実行することにより、「新規口座開設」というサービスが完了する。処理1〜5をまとめて処理群と呼ぶ。 Here, the process group is a group of processes obtained by grouping a plurality of different processes. For example, when opening a bank account for a user,
・ (Process 1) Process to fill in necessary information such as user name and address ・ (Process 2) Process to assign account number ・ (Process 3) License to user ・ Process to explain contract contents ・ (Process 4) It is necessary to execute a plurality of processes such as a process for selecting a card design by the user and a process for determining (application 5) an application. That is, the service of “opening a new account” is completed by executing all the processes 1-5. Processes 1 to 5 are collectively referred to as a process group.

1つの処理群には少なくとも1つ以上の処理が含まれる。処理群の数、及び、各処理群に含まれる処理の数は任意である。   One process group includes at least one process. The number of processing groups and the number of processes included in each processing group are arbitrary.

サービスコードは、各処理に固有のコードであり、典型的には、文字、数字、記号等を用いて表現される。   The service code is a code unique to each process, and is typically expressed using letters, numbers, symbols, and the like.

また、サービスコードは、処理群に含まれる各処理を実行するときの望ましい実行順を示す。例えばサービスコードの特定の桁に数字を用い、数字の小さい順に処理を実行することが望ましい旨の情報を格納することができる。   The service code indicates a desirable execution order when executing each process included in the process group. For example, it is possible to store information indicating that it is desirable to execute processing in ascending order of numbers by using numbers for specific digits of the service code.

望ましい実行順とは、処理群に含まれる各処理を実行する際の典型的な順番のことであり、必ずしもこの順に各処理を実行しなければならないというわけではない。   The desirable execution order is a typical order when executing the processes included in the processing group, and the processes are not necessarily executed in this order.

例えば図3において、「新規口座開設」というサービスを提供するには、制御部122は、既定の順として、サービスコードA1,A2,A3,A4,A5の順に、処理を実行する。しかし、「口座番号の採番(サービスコードA2)」の処理に時間が長くかかってしまう場合、あるいは、時間が長くかかってしまうことが推測される場合、制御部122は、サービスコードA1の処理の終了後、サービスコードA2の処理をスキップしてサービスコードA3の処理を開始し、サービスコードA3の処理が完了した後にサービスコードA2の処理を開始してもよい。   For example, in FIG. 3, in order to provide the service “open new account”, the control unit 122 executes processing in the order of service codes A1, A2, A3, A4, and A5 as a predetermined order. However, when it takes a long time to process “account numbering (service code A2)” or when it is estimated that it takes a long time, the control unit 122 processes the service code A1. After the processing of, the processing of the service code A2 may be skipped and the processing of the service code A3 may be started, and the processing of the service code A2 may be started after the processing of the service code A3 is completed.

あるいは、制御部122は、サービスコードA1の処理の後、サービスコードA2の処理を開始し、サービスコードA2の処理が完了する前にサービスコードA3の処理を(例えばマルチタスクで)開始してもよい。   Alternatively, the control unit 122 may start the processing of the service code A2 after the processing of the service code A1, and start the processing of the service code A3 (for example, by multitasking) before the processing of the service code A2 is completed. Good.

本人確認の要否は、各々の処理が、ICカードを用いて本人であることを認証サーバ130によって認証する必要がある処理であるか否かを示す情報である。例えば図3の「口座番号の採番(サービスコードA2)」の処理を実行するためには、ICカードを用いて認証する必要がある。一方、「必要情報の記入(サービスコードA1)」の処理を実行するためには、ICカードを用いて認証していなくてもよい。   The necessity of identity verification is information indicating whether each process is a process that requires the authentication server 130 to authenticate the identity of the person using an IC card. For example, in order to execute the processing of “numbering of account number (service code A2)” in FIG. 3, it is necessary to authenticate using an IC card. On the other hand, in order to execute the processing of “entry required information (service code A1)”, it is not necessary to authenticate using an IC card.

つまり、本人確認が必要な処理を制御部122が実行する場合には、処理を開始する前、あるいは、処理の開始後であって完了する前に、認証サーバ130による認証を行い、正常に本人確認を完了する(ユーザが本人であると認証される)必要がある。   In other words, when the control unit 122 executes a process that requires identity verification, authentication is performed by the authentication server 130 before the process is started or after the process is started and completed, and the user is normally Confirmation needs to be completed (authenticated as user).

本実施形態では、ユーザから要求されたサービスを提供する際、まず制御部122は、要求されたサービスを提供するための処理群の中に、認証サーバ130による認証が必要な処理が含まれているか否かを判別する。そして、認証サーバ130による認証が必要な処理が含まれている場合、制御部122は、ユーザにICカードの提示を要求し、ICカードから認証に必要な情報を読み出し、認証サーバ130に認証を要求する。図3のサービスコードA2,A5の2つの処理のように、1つの処理群の中に本人確認が必要な処理が複数存在する場合、ユーザが本人であると一度正常に認証されたセッション又はトランザクションにおいては、再び認証サーバ130に認証処理を要求しないようにしてもよい。   In this embodiment, when providing a service requested by a user, the control unit 122 first includes a process that requires authentication by the authentication server 130 in a group of processes for providing the requested service. It is determined whether or not. When the processing that requires authentication by the authentication server 130 is included, the control unit 122 requests the user to present the IC card, reads information necessary for authentication from the IC card, and authenticates the authentication server 130. Request. As in the two processes of service codes A2 and A5 in FIG. 3, when there are a plurality of processes that require identity verification in one process group, a session or transaction that has been once successfully authenticated as the user. In this case, the authentication server 130 may not be requested to perform authentication processing again.

また、記憶部121は、それぞれのユーザについて、ユーザ名とパスワードを対応付けて格納する、簡易認証データベース126を記憶する。制御部122は、例えば、ユーザによって入力されたパスワードと、予め登録されたパスワードとが一致するか否かを判断することによって、ICカードを用いない簡易的なユーザ認証処理を実行することができる。   In addition, the storage unit 121 stores a simple authentication database 126 that stores a user name and a password in association with each user. For example, the control unit 122 can execute a simple user authentication process without using an IC card by determining whether or not a password input by a user matches a password registered in advance. .

制御部122は、CPU等から構成される。制御部122は、サービス提供サーバ120全体を制御し、各構成要素と接続され、制御信号やデータをやりとりする。例えば、制御部122は、ユーザによって提示されたICカードから読み出した情報をユーザ端末110から受け取り、受け取った情報を認証サーバ130に送信して、ICカードを用いたより詳細なユーザ認証を要求する。また例えば、制御部122は、認証サーバ130から認証結果を受信し、ユーザ端末110に通知する。   The control unit 122 includes a CPU and the like. The control unit 122 controls the entire service providing server 120, is connected to each component, and exchanges control signals and data. For example, the control unit 122 receives information read from the IC card presented by the user from the user terminal 110, transmits the received information to the authentication server 130, and requests more detailed user authentication using the IC card. For example, the control unit 122 receives an authentication result from the authentication server 130 and notifies the user terminal 110 of the result.

通信部123は、インターネット等の通信ネットワーク140に接続するためのNICと、専用回線等の通信ネットワーク150に接続するためのNICとを備える。制御部122は、通信部123により通信ネットワーク140を介してユーザ端末110とデータを送受信することができる。また、制御部122は、通信部123により通信ネットワーク150を介して認証サーバ130とデータを送受信することもできる。   The communication unit 123 includes a NIC for connecting to a communication network 140 such as the Internet and a NIC for connecting to a communication network 150 such as a dedicated line. The control unit 122 can transmit and receive data to and from the user terminal 110 via the communication network 140 by the communication unit 123. The control unit 122 can also transmit and receive data to and from the authentication server 130 via the communication network 150 by the communication unit 123.

次に、認証サーバ130の構成について説明する。認証サーバ130は、記憶部131、制御部132、通信部133を備える。   Next, the configuration of the authentication server 130 will be described. The authentication server 130 includes a storage unit 131, a control unit 132, and a communication unit 133.

記憶部131は、ROM、RAM、ハードディスク装置などから構成される。記憶部131には、ユーザ認証処理を実行するためのプログラムやOS等が予め記憶される。   The storage unit 131 includes a ROM, a RAM, a hard disk device, and the like. The storage unit 131 stores a program for executing user authentication processing, an OS, and the like in advance.

記憶部131は、認証データベース135を予め格納する。図4に示すように、認証データベース135には、カード種別と認証強度とを対応付けた情報が格納される。   The storage unit 131 stores an authentication database 135 in advance. As shown in FIG. 4, the authentication database 135 stores information in which the card type and the authentication strength are associated with each other.

カード種別とは、例えば、運転免許証、健康保険証、社会保障カード、住民基本台帳カード、キャッシュカードなどの種別のことである。   The card type is, for example, a type such as a driver's license, health insurance card, social security card, basic resident register card, or cash card.

認証強度は、いわゆるセキュリティレベルであり、ユーザ認証にあたり、具体的にどのような認証方式により認証するのかを規定する。   The authentication strength is a so-called security level, and defines what authentication method is used for user authentication.

本実施形態では、ユーザ認証方式として、「内部」と「外部」を採用している。制御部132は、ユーザによって提示されたICカードのカード種別と、要求されたサービス(又は処理群又は処理)に応じて予め決められた認証強度とに基づいて、ユーザ認証方式を選択する。   In this embodiment, “internal” and “external” are adopted as user authentication methods. The control unit 132 selects the user authentication method based on the card type of the IC card presented by the user and the authentication strength predetermined according to the requested service (or processing group or processing).

ここで、「内部」とは、次に述べるステップA1〜A3の一連の処理によって認証する方式である。
(A1)認証サーバ130の制御部132は、乱数を生成し、サービス提供サーバ120を経由して、生成した乱数をICカードに送信する。ICカードのCPUは、サービス提供サーバ120を経由して、乱数を受信する。
(A2)ICカードのCPUは、受信した乱数を秘密鍵で暗号化し、サービス提供サーバ120を経由して、得られた暗号文を認証サーバ130に送信する。認証サーバ130の制御部132は、サービス提供サーバ120を経由して、暗号文を受信する。
(A3)認証サーバ130の制御部132は、受信した暗号文を公開鍵を用いて復号し、復号して得られたデータと、上記ステップA1で送信した乱数と、を照合する。制御部132は、照合の結果、一致すれば認証成功と判断し、一致しなければ認証失敗と判断する。 Here, “internal” is a method of authenticating by a series of processes of steps A1 to A3 described below.
(A1) The control unit 132 of the authentication server 130 generates a random number, and transmits the generated random number to the IC card via the service providing server 120. The CPU of the IC card receives a random number via the service providing server 120.
(A2) The CPU of the IC card encrypts the received random number with the secret key, and transmits the obtained ciphertext to the authentication server 130 via the service providing server 120. The control unit 132 of the authentication server 130 receives the ciphertext via the service providing server 120.
(A3) The control unit 132 of the authentication server 130 decrypts the received ciphertext using the public key, and collates the data obtained by decryption with the random number transmitted in step A1. As a result of the collation, the control unit 132 determines that the authentication is successful if it matches, and determines that the authentication fails if it does not match.

あるいは、上記の「内部」の認証方式の変形例として、次のステップB1〜B4のように認証してもよい。
(B1)ICカードのCPUは、ICカード内の不揮発性メモリに格納された情報をハッシュ化し、得られたハッシュ値を、秘密鍵を用いて暗号化し、得られた暗号文を出力する。
(B2)ユーザ端末110の制御部116は、暗号文をICカードR/Wで読み取ってサービス提供サーバ120に送信する。
(B3)サービス提供サーバ120の制御部122は、暗号文を受信して認証サーバ130に送信する。認証サーバ130の制御部132は、暗号文を受信する。
(B4)認証サーバ130の制御部132は、予め記憶部131に記憶した公開鍵で、受信した暗号文を復号し、復号して得られるデータと、後述するユーザ情報データベース136に格納された情報をハッシュ化して得られたハッシュ値と、を照合する。制御部132は、照合の結果、一致すれば認証成功と判断し、一致しなければ認証失敗と判断する。 Or you may authenticate like following step B1-B4 as a modification of said "internal" authentication system.
(B1) The CPU of the IC card hashes the information stored in the nonvolatile memory in the IC card, encrypts the obtained hash value using the secret key, and outputs the obtained ciphertext.
(B2) The control unit 116 of the user terminal 110 reads the ciphertext with the IC card R / W and transmits it to the service providing server 120.
(B3) The control unit 122 of the service providing server 120 receives the ciphertext and transmits it to the authentication server 130. The control unit 132 of the authentication server 130 receives the ciphertext.
(B4) The control unit 132 of the authentication server 130 decrypts the received ciphertext with the public key stored in advance in the storage unit 131, data obtained by decrypting the encrypted text, and information stored in the user information database 136 described later. Is compared with the hash value obtained by hashing. As a result of the collation, the control unit 132 determines that the authentication is successful if it matches, and determines that the authentication fails if it does not match.

また、「外部」とは、次に述べるステップX1〜X4の一連の処理によって認証する方式である。
(X1)認証サーバ130の制御部132は、サービス提供サーバ120を経由して、外部認証用の公開鍵をICカードに送信する。ICカードのCPUは、サービス提供サーバ120を経由して、公開鍵を受信する。
(X2)ICカードのCPUは、乱数を生成し、サービス提供サーバ120を経由して、生成した乱数を認証サーバ130に送信する。認証サーバ130の制御部132は、サービス提供サーバ120を経由して、乱数を受信する。
(X3)認証サーバ130の制御部132は、受信した乱数を、予め記憶部132に記憶した外部認証用の秘密鍵で暗号化し、サービス提供サーバ120を経由して、得られた暗号文をICカードに送信する。ICカードのCPUは、サービス提供サーバ120を経由して、暗号文を受信する。
(X4)ICカードのCPUは、ステップX3で受信した暗号文を、ステップX1で受信した公開鍵を用いて復号し、復号して得られたデータと、ステップX2で送信した乱数と、を照合する。ICカードのCPUは、照合の結果、一致すれば認証成功と判断し、一致しなければ認証失敗と判断する。 “External” is a method of authenticating by a series of processes in steps X1 to X4 described below.
(X1) The control unit 132 of the authentication server 130 transmits a public key for external authentication to the IC card via the service providing server 120. The CPU of the IC card receives the public key via the service providing server 120.
(X2) The CPU of the IC card generates a random number and transmits the generated random number to the authentication server 130 via the service providing server 120. The control unit 132 of the authentication server 130 receives a random number via the service providing server 120.
(X3) The control unit 132 of the authentication server 130 encrypts the received random number with the private key for external authentication stored in the storage unit 132 in advance, and converts the obtained ciphertext to the IC via the service providing server 120. Send to card. The CPU of the IC card receives the ciphertext via the service providing server 120.
(X4) The IC card CPU decrypts the ciphertext received at step X3 using the public key received at step X1, and collates the data obtained by decryption with the random number transmitted at step X2. To do. As a result of the collation, the CPU of the IC card determines that the authentication is successful, and if not, determines that the authentication is unsuccessful.

あるいは、上記の「外部」の認証方式を応用して、次のステップY1〜Y4のように認証してもよい。
(Y1)認証サーバ130の制御部132は、ユーザ情報データベース136に格納された情報をハッシュ化し、得られたハッシュ値を記憶部131に予め記憶した公開鍵で暗号化し、暗号文をサービス提供サーバ120に送信する。
(Y2)サービス提供サーバ120の制御部122は、暗号文を受信してユーザ端末110に送信する。ユーザ端末110の制御部116は、暗号文を受信する。
(Y3)ユーザ端末110の制御部116は、暗号文をICカードに送信する。ICカードのCPUは、暗号文を受信する。
(Y4)ICカードのCPUは、予め不揮発性メモリに格納した秘密鍵で、受信した暗号文を復号し、復号して得られるデータと、不揮発性メモリに予め格納された情報をハッシュ化して得られたハッシュ値と、を照合する。照合の結果、一致すればICカードのCPUは認証成功と判断し、一致しなければ認証失敗と判断する。 Or you may authenticate like the following steps Y1-Y4 by applying said "external" authentication system.
(Y1) The control unit 132 of the authentication server 130 hashes the information stored in the user information database 136, encrypts the obtained hash value with the public key stored in advance in the storage unit 131, and encrypts the ciphertext as a service providing server. 120.
(Y2) The control unit 122 of the service providing server 120 receives the ciphertext and transmits it to the user terminal 110. The control unit 116 of the user terminal 110 receives the ciphertext.
(Y3) The control unit 116 of the user terminal 110 transmits the ciphertext to the IC card. The CPU of the IC card receives the ciphertext.
(Y4) The IC card CPU decrypts the received ciphertext with the secret key stored in advance in the non-volatile memory, and obtains the data obtained by decrypting the information and the information stored in the non-volatile memory by hashing. The hash value is checked against. As a result of the collation, the CPU of the IC card determines that the authentication is successful if they match, and determines that the authentication fails if they do not match.

なお、上記以外の認証方式を採用することも可能である。また、カード種別と認証強度との対応付けを自由に変更することも可能である。   An authentication method other than the above can also be adopted. It is also possible to freely change the association between the card type and the authentication strength.

記憶部131は、ユーザ情報データベース136を更に格納する。ユーザ情報データベース136は、図5に示すように、各ユーザについて、ユーザごとに固有のユーザID、登録済カードID、氏名、住所等の各項目の情報を対応付けて格納する。   The storage unit 131 further stores a user information database 136. As shown in FIG. 5, the user information database 136 stores information on each item such as a unique user ID, registered card ID, name, and address for each user in association with each other.

記憶部131は、処理時間テーブル137を格納する。処理時間テーブル137は、カード種別ごとに、1回のユーザ認証処理を開始してから終了するまでにかかる時間(実際にかかった時間)を示す情報である。例えば、制御部132は、1回のユーザ認証処理を開始してから終了するまでの経過時間の、所定時間内における平均時間あるいは所定回数分の平均時間を計算して、処理時間テーブル137に格納する。処理時間テーブル137に格納された時間は、新たにユーザ認証処理を開始する際に、ユーザ認証処理を完了するまでにかかる時間を推定するために用いられる。詳細は後述する。   The storage unit 131 stores a processing time table 137. The processing time table 137 is information indicating the time (actual time taken) from the start to the end of one user authentication process for each card type. For example, the control unit 132 calculates an average time within a predetermined time or an average time for a predetermined number of elapsed times from the start to the end of one user authentication process, and stores it in the processing time table 137. To do. The time stored in the processing time table 137 is used to estimate the time taken to complete the user authentication process when the user authentication process is newly started. Details will be described later.

制御部132は、あるユーザUSR1の認証を要求され、認証方式として「内部」が指定されている場合、ICカードから送信された暗号文をユーザUSR1の公開鍵で復号して得られたデータと、ユーザ情報データベース136に格納された情報のうちICカードがハッシュ値を計算するために用いた項目のデータ(又はICカードに送信した乱数)をハッシュ化して得られたハッシュ値と、を照合して、認証結果をサービス提供サーバ120に送信する。なお、制御部132は、照合結果をユーザ情報データベース136にログとして格納するようにしてもよい。   When the control unit 132 is requested to authenticate a user USR1 and “internal” is designated as the authentication method, the control unit 132 decrypts the ciphertext transmitted from the IC card with the public key of the user USR1 and The hash value obtained by hashing the data (or the random number transmitted to the IC card) of the item used by the IC card to calculate the hash value out of the information stored in the user information database 136 is collated. The authentication result is transmitted to the service providing server 120. The control unit 132 may store the collation result in the user information database 136 as a log.

また、制御部132は、あるユーザUSR1の認証を要求され、認証方式として「外部」が指定されている場合、ユーザ情報データベース136に格納された情報のうち所定の項目の情報を公開鍵を用いて暗号文を生成して、サービス提供サーバ120に送信する。なお、ICカード側による認証結果をサービス提供サーバ120から受信し、照合結果をユーザ情報データベース136にログとして格納するようにしてもよい。   In addition, when the control unit 132 is requested to authenticate a certain user USR1 and “external” is designated as the authentication method, the control unit 132 uses information of a predetermined item among information stored in the user information database 136 using a public key. The ciphertext is generated and transmitted to the service providing server 120. Note that the authentication result on the IC card side may be received from the service providing server 120 and the verification result may be stored as a log in the user information database 136.

制御部132は、CPU等から構成される。制御部132は、認証サーバ130全体を制御し、各構成要素と接続され、制御信号やデータをやりとりする。例えば、制御部132は、サービス提供サーバ120からユーザを認証する旨の要求を受信すると、認証データベース135を参照して認証方式を決定し、決定した認証方式でユーザを認証する。   The control unit 132 includes a CPU and the like. The control unit 132 controls the entire authentication server 130, is connected to each component, and exchanges control signals and data. For example, when receiving a request for authenticating a user from the service providing server 120, the control unit 132 refers to the authentication database 135 to determine an authentication method, and authenticates the user using the determined authentication method.

サービス提供サーバ120から送信される情報の内容は、例えば、ユーザ端末110のICカードR/Wにより読み取られたカード識別情報などのICカードの情報や、ユーザによりユーザ端末110に入力されたユーザ名、パスワード、暗証番号、等である。   The content of the information transmitted from the service providing server 120 includes, for example, IC card information such as card identification information read by the IC card R / W of the user terminal 110, and the user name input to the user terminal 110 by the user. , Password, PIN, etc.

通信部133は、通信ネットワーク150に接続するためのNICを備える。制御部132は、通信部133により通信ネットワーク150を介してサービス提供サーバ120とデータを送受信することができる。   The communication unit 133 includes a NIC for connecting to the communication network 150. The control unit 132 can transmit and receive data to and from the service providing server 120 via the communication network 150 by the communication unit 133.

次に、情報処理システム100にて実行されるサービス提供処理の流れについて、図6乃至図8を用いて説明する。以下の説明では、インターネットバンキングサービスにおいて、情報処理システム100が「口座新規開設」のサービスを実行する場合を例にとって説明する。サービス提供サーバ120はユーザにインターネットバンキングサービスを提供し、認証サーバ130はユーザの本人確認を行う処理(ユーザ認証処理)を代行する。   Next, the flow of service providing processing executed in the information processing system 100 will be described with reference to FIGS. In the following description, a case where the information processing system 100 executes the “new account opening” service in the Internet banking service will be described as an example. The service providing server 120 provides an Internet banking service to the user, and the authentication server 130 performs a process of performing user identity verification (user authentication process).

まず、ユーザ端末110の制御部116は、サービスの提供を開始する指示入力が入力受付部112により受け付けられたか否かを判別する。サービスの提供を開始する指示入力を受け付けた場合、制御部116は、サービスを開始するようサービス提供サーバ120に要求する(ステップS601)。サービスの提供を開始する指示入力を受け付けていない場合、指示入力があるまで待機する。   First, the control unit 116 of the user terminal 110 determines whether or not an instruction input for starting service provision has been received by the input receiving unit 112. When receiving an instruction input for starting service provision, the control unit 116 requests the service provision server 120 to start the service (step S601). If an instruction input for starting service provision is not accepted, the system waits until an instruction input is received.

サービス提供サーバ120の制御部122は、要求されたサービスのための処理群に、ユーザ認証処理が必要な処理が含まれているか否か、すなわち要求されたサービスを提供するためにユーザ認証(本人確認)が必要か否かを判別する(ステップS602)。   The control unit 122 of the service providing server 120 determines whether or not the processing group for the requested service includes a process that requires the user authentication process, that is, the user authentication (the person himself / herself) to provide the requested service. It is determined whether or not confirmation is necessary (step S602).

例えば、処理群と処理が図3に示す内容であり、「口座新規開設」のサービスが要求された場合、制御部122は、サービスコードA1乃至A6の処理に対応する本人確認要否を参照する。その結果、処理群にユーザ認証が必要とされている処理(サービスコードA2とA5の2つ)が含まれているため、ユーザ認証が必要であると判別する。   For example, when the processing group and processing are the contents shown in FIG. 3 and the service of “new account opening” is requested, the control unit 122 refers to the necessity of identity verification corresponding to the processing of the service codes A1 to A6. . As a result, since the processing group includes processes that require user authentication (two service codes A2 and A5), it is determined that user authentication is necessary.

ユーザ認証が必要でない場合(ステップS602;NO)、後述のステップS801に進む。一方、ユーザ認証が必要である場合(ステップS602;YES)、制御部122は、サービスの提供にあたりユーザ認証が必要である旨をユーザ端末110に通知する(ステップS603)。   If user authentication is not required (step S602; NO), the process proceeds to step S801 described below. On the other hand, when user authentication is necessary (step S602; YES), the control unit 122 notifies the user terminal 110 that user authentication is necessary for providing the service (step S603).

ユーザ端末110の制御部116は、ユーザ認証が必要である旨の通知を受け取ると、ユーザにICカードの提示と、PIN(Personal Identification Number)、ユーザ名、パスワード等の入力とを求める(ステップS604)。例えば、制御部116は、ユーザにICカードの提示とPIN等の入力とを求める画面を表示する。制御部116は、ICカードR/Wを読み取り可能状態に設定する。また、制御部116は、PIN等の入力を受け付けるユーザインタフェイスを備えた画面を出力部114に表示させ、PIN等の入力を受け付ける。   When receiving the notification that user authentication is required, the control unit 116 of the user terminal 110 requests the user to present an IC card and input a PIN (Personal Identification Number), a user name, a password, and the like (step S604). ). For example, the control unit 116 displays a screen requesting the user to present an IC card and input a PIN or the like. The control unit 116 sets the IC card R / W to a readable state. Further, the control unit 116 causes the output unit 114 to display a screen having a user interface that accepts an input such as a PIN, and accepts an input such as a PIN.

制御部116は、ICカードR/WによりICカードからカード識別情報を読み取る。また、制御部116は、PIN等を取得する(ステップS605)。制御部116は、ユーザがICカードの所有者であるか否かをPINを用いて認証(PIN認証)する。   The control unit 116 reads card identification information from the IC card using the IC card R / W. In addition, the control unit 116 acquires a PIN or the like (step S605). The control unit 116 authenticates using a PIN (PIN authentication) whether or not the user is the owner of the IC card.

ここで、カード識別情報とは、カードを一意に識別できる情報(例えば運転免許登録番号やクレジットカード番号など)である。ICカードは、サービス(処理群)が終了するまで、ICカードR/Wがデータを読み取れるように固定されたままであることが望ましい。   Here, the card identification information is information (for example, a driver's license registration number or a credit card number) that can uniquely identify a card. It is desirable that the IC card remains fixed so that the IC card R / W can read data until the service (processing group) ends.

制御部116は、取得したカード識別情報、ユーザ名、パスワード等をサービス提供サーバ120に送信する(ステップS606)。制御部116は、所定の暗号化アルゴリズムによって暗号化した上で送信することが望ましい。   The control unit 116 transmits the acquired card identification information, user name, password, and the like to the service providing server 120 (step S606). It is desirable that the control unit 116 transmits the data after encryption using a predetermined encryption algorithm.

サービス提供サーバ120の制御部122は、カード識別情報とPIN等を受信する(ステップS607)。制御部122は、ステップS606で用いられた暗号化アルゴリズムに対応する復号アルゴリズムによって復号することができる。   The control unit 122 of the service providing server 120 receives the card identification information, the PIN, and the like (step S607). The control unit 122 can perform decryption using a decryption algorithm corresponding to the encryption algorithm used in step S606.

制御部122は、受信したユーザ名、パスワード等を用いて、簡易的なユーザ認証を実行する(ステップS608)。例えば、制御部122は、受信したPIN、ユーザ名、パスワードと、簡易認証データベース126に予め格納されているPIN、ユーザ名、パスワードと、を照合することにより、簡易的なユーザ認証を実行する。照合の結果、一致した場合、簡易認証成功と判断してサービス提供処理を続行する。一致しない場合、簡易認証失敗と判断してサービス提供処理を終了する。   The control unit 122 performs simple user authentication using the received user name, password, and the like (step S608). For example, the control unit 122 performs simple user authentication by comparing the received PIN, user name, and password with the PIN, user name, and password stored in advance in the simple authentication database 126. If they match as a result of the collation, it is determined that the simple authentication is successful, and the service providing process is continued. If they do not match, it is determined that simple authentication has failed, and the service providing process is terminated.

更に、制御部122は、ICカードを用いたユーザ認証を実行するよう認証サーバ130に要求する(ステップS609)。制御部122は、受信したカード識別情報を認証サーバ130に送信する。   Further, the control unit 122 requests the authentication server 130 to execute user authentication using the IC card (step S609). The control unit 122 transmits the received card identification information to the authentication server 130.

認証サーバ130の制御部132は、受信したカード識別情報が、ユーザ情報データベース136の登録済みカードIDに、登録済みとして記録されているか否かを確認する。登録済みでない場合、制御部132は、受信したカード識別情報を登録済みとしてユーザ情報データベース136に格納する。   The control unit 132 of the authentication server 130 confirms whether or not the received card identification information is recorded as registered in the registered card ID of the user information database 136. If not registered, the control unit 132 stores the received card identification information in the user information database 136 as registered.

制御部132は、ユーザ認証にかかる時間を推定する(ステップS610)。   The control unit 132 estimates the time required for user authentication (step S610).

具体的には、制御部133は、図9に示すような処理時間テーブル137を参照し、受信したカード識別情報に対応するカード種別の平均処理時間を取得する。制御部132は、取得した平均処理時間と、ユーザ認証処理を実行するための待ち行列(キュー)に現在登録されているジョブ数との積を、要求されたユーザ認証にかかる時間として推定する。つまり、計算される推定時間は、待ち行列に登録してから、要求されたユーザ認証処理の順番が回ってきてそのユーザ認証処理を終了するまで、にかかると推定される時間である。   Specifically, the control unit 133 refers to the processing time table 137 as shown in FIG. 9 and acquires the average processing time of the card type corresponding to the received card identification information. The control unit 132 estimates the product of the acquired average processing time and the number of jobs currently registered in a queue (queue) for executing user authentication processing as the time required for the requested user authentication. In other words, the calculated estimated time is a time estimated to be taken from the time of registration in the queue until the end of the requested user authentication processing and the termination of the user authentication processing.

待ち行列には、例えば図10に示すようなデータが格納される。番号は、待ち行列に登録された順を表す。受付時刻は、待ち行列に登録された時刻である。   For example, data as shown in FIG. 10 is stored in the queue. The number represents the order registered in the queue. The reception time is the time registered in the queue.

図10では、待ち行列を1つだけにしているが、カード種別ごとに待ち行列を定義してもよい。例えば、運転免許証を用いたユーザ認証処理用の待ち行列と、住民基本台帳カードを用いたユーザ認証処理用の待ち行列と、を別々に用意し、運転免許証を用いたユーザ認証処理と、住民基本台帳カードを用いたユーザ認証処理とを平行して実行できるようにしてもよい。   In FIG. 10, there is only one queue, but a queue may be defined for each card type. For example, a user authentication process queue using a driver's license and a user authentication process queue using a basic resident register card are prepared separately, and a user authentication process using a driver's license; The user authentication process using the basic resident register card may be executed in parallel.

制御部132は、ユーザ認証処理にかかる推定時間をサービス提供サーバ120に送信する。また、制御部132は、要求されたユーザ認証を、ユーザ認証処理を実行するための待ち行列に登録する(ステップS611)。待ち行列は、FIFO( First In First Out)のリスト構造で保持される。   The control unit 132 transmits the estimated time required for the user authentication process to the service providing server 120. In addition, the control unit 132 registers the requested user authentication in a queue for executing the user authentication process (step S611). The queue is held in a FIFO (First In First Out) list structure.

待ち行列に登録された(キューイングされた)ユーザ認証要求は、処理順が回ってくると直ちに実行される。完了したユーザ認証に対応するジョブは待ち行列から削除される。したがって、待ち行列に登録されているデータ数が少なければ、要求されたユーザのユーザ認証処理はすぐに開始されるし、待ち行列に登録されているデータ数が多ければ、要求を受け取ってから実際に開始するまでに比較的長いタイムラグが発生することもある。   The user authentication request registered (queued) in the queue is executed as soon as the processing order comes around. The job corresponding to the completed user authentication is deleted from the queue. Therefore, if the number of data registered in the queue is small, the user authentication process for the requested user is started immediately, and if the number of data registered in the queue is large, the request is actually received after receiving the request. There may be a relatively long time lag before starting.

サービス提供サーバ120の制御部122は、ユーザ認証処理にかかる推定時間を受信する。制御部122は、要求されたサービスに対応する処理群の中から、ユーザ認証処理を終了していなくても実行可能な処理を選択して優先的に実行する(ステップS612)。つまり、制御部122は、サービス一覧情報125を参照し、本人確認要否が必要ないとされている処理を選択する。例えば図3において、制御部122は、新規口座開設の処理群の中から、サービスコードA1,A3,A4の3つの処理を選択して実行する。   The control unit 122 of the service providing server 120 receives the estimated time required for the user authentication process. The control unit 122 preferentially executes a process that can be executed even if the user authentication process is not completed from the process group corresponding to the requested service (step S612). That is, the control unit 122 refers to the service list information 125 and selects a process that does not require identification. For example, in FIG. 3, the control unit 122 selects and executes three processes of service codes A1, A3, and A4 from the process group for opening a new account.

このとき、制御部122は、選択した処理を、既定順になるべく近い順に実行することが望ましい。例えば、選択された処理が、サービスコードA1,A3,A4の3つの処理なのであれば、既定順(A1,A2,A3,A4,A5の順)に最も近い順である、A1,A3,A4の順に、各処理を実行する。ただし、制御部122は、任意の順番で各処理を実行してもよい。   At this time, it is desirable that the control unit 122 executes the selected processes in the order as close as possible to the default order. For example, if the selected process is three processes of service codes A1, A3, and A4, A1, A3, and A4, which are the closest to the predetermined order (A1, A2, A3, A4, and A5). Each process is executed in the order of. However, the control unit 122 may execute each process in an arbitrary order.

また、制御部122は、推定時間が所定値未満であれば、既定順通りに処理群を実行し、所定値以上であれば、ユーザ認証処理を終了していなくても実行可能な処理を選択して優先的に実行するようにしてもよい。   If the estimated time is less than the predetermined value, the control unit 122 executes the processing group in a predetermined order. If the estimated time is equal to or greater than the predetermined value, the control unit 122 selects an executable process even if the user authentication process is not finished. Then, it may be preferentially executed.

また、制御部122は、推定時間が所定値以上である場合、所定の待機時間が経過してから再びユーザ認証処理を要求し直すようにサービス提供処理に通知するようにしてもよい。この通知を受けたサービス提供処理は、ユーザ認証処理用に認証サーバ130との間に開いたポートが占有され続けることなく、早期にポートを開放できるので、サービス提供サーバ120への負荷を低減することができる。   Further, when the estimated time is equal to or greater than a predetermined value, the control unit 122 may notify the service providing process so that the user authentication process is requested again after a predetermined waiting time has elapsed. Upon receiving this notification, the service providing process can open the port at an early stage without occupying the port opened with the authentication server 130 for the user authentication process, thereby reducing the load on the service providing server 120. be able to.

後述するように、認証サーバ130による認証結果は、記憶部131の所定記憶領域に格納される。そこで、推定時間が所定値以上である場合、制御部122は、ユーザ認証処理を要求して認証結果を取得する第1のセッションを終了し、推定時間が経過した後、認証結果を認証サーバ130に問い合わせて取得する第2のセッションを開始し、認証結果を取得するようにしてもよい。なお、第1のセッションが終了した場合にも、認証サーバ130の制御部132は、当該ユーザ認証処理のジョブを待ち行列から削除せず、当該ユーザ認証処理を終了してから削除するものとする。   As will be described later, the authentication result by the authentication server 130 is stored in a predetermined storage area of the storage unit 131. Therefore, when the estimated time is equal to or greater than the predetermined value, the control unit 122 ends the first session for obtaining the authentication result by requesting the user authentication process, and after the estimated time has passed, the authentication result is transmitted to the authentication server 130. The second session to be acquired by inquiring may be started, and the authentication result may be acquired. Even when the first session ends, the control unit 132 of the authentication server 130 does not delete the user authentication processing job from the queue, but deletes the user authentication processing after the user authentication processing ends. .

ユーザ端末110の制御部116は、サービス提供サーバ120の制御部122が実行している(サービス提供サーバ120側の)処理に対応する、ユーザ端末110側の処理を実行する(ステップS613)。   The control unit 116 of the user terminal 110 executes processing on the user terminal 110 side corresponding to the processing (on the service providing server 120 side) executed by the control unit 122 of the service providing server 120 (step S613).

例えば図3では、「必要情報の記入(サービスコードA1)」は、本人確認が必要ない処理とされている。そこで、サービス提供サーバ120の制御部122は、サービスコードA1の処理を開始する。ユーザ端末110の制御部116は、ICカードから氏名、住所などの情報を読み取り、所定の暗号化アルゴリズムで暗号化した後、サービス提供サーバ120に送信する。サービス提供サーバ120の制御部122は、新規口座開設に必要な情報であってICカードから取得可能な情報を収集する。   For example, in FIG. 3, “input of necessary information (service code A1)” is a process that does not require identity verification. Therefore, the control unit 122 of the service providing server 120 starts processing the service code A1. The control unit 116 of the user terminal 110 reads information such as the name and address from the IC card, encrypts the information using a predetermined encryption algorithm, and transmits the encrypted information to the service providing server 120. The control unit 122 of the service providing server 120 collects information necessary for opening a new account and obtainable from the IC card.

ところで、認証サーバ130ではユーザ認証処理がキューイングされており、処理順が回ってくると、ステップS612乃至S613と平行して、ユーザ認証処理が開始される。上述のように、認証方式には2種類あるが、ここでは認証方式として「内部」を選択した場合を例にとって説明する。   By the way, user authentication processing is queued in the authentication server 130, and when the processing order comes around, user authentication processing is started in parallel with steps S612 to S613. As described above, there are two types of authentication methods. Here, a case where “internal” is selected as the authentication method will be described as an example.

制御部132は、ユーザ認証処理を開始し(図7;ステップS701)、サービス提供サーバ120に通知する。   The control unit 132 starts a user authentication process (FIG. 7; step S701) and notifies the service providing server 120.

サービス提供サーバ120の制御部122は、カード情報の読み取りをユーザ端末110に要求する(ステップS702)。   The control unit 122 of the service providing server 120 requests the user terminal 110 to read the card information (step S702).

ユーザ端末110の制御部116は、ICカードR/Wを用いて、ICカードのCPUが生成した暗号文を読み取る(ステップS703)。   The control unit 116 of the user terminal 110 reads the ciphertext generated by the CPU of the IC card using the IC card R / W (step S703).

制御部116は、読み取った暗号文をサービス提供サーバ120に送信する。サービス提供サーバ120は、受信した暗号文を認証サーバ130に送信する(ステップS704)。   The control unit 116 transmits the read ciphertext to the service providing server 120. The service providing server 120 transmits the received ciphertext to the authentication server 130 (step S704).

なお、認証サーバ130の制御部132は、ステップS703において、カード識別情報を合わせて取得するようにし、ステップS605で取得したカード識別情報と一致するか否かをチェックすることとする。一致すれば、ステップS705に進み、一致しなければ、新たにカード識別情報を登録済みカードIDに登録した後ステップS705に進む。   In step S703, the control unit 132 of the authentication server 130 acquires the card identification information together, and checks whether the card identification information acquired in step S605 matches. If they match, the process proceeds to step S705, and if they do not match, the card identification information is newly registered in the registered card ID, and then the process proceeds to step S705.

制御部132は、受信した暗号文を所定の復号アルゴリズムで復号し、復号されて得られたデータと、ユーザ情報データベース136に格納された情報から生成したハッシュ値(又は送信した乱数)と、を照合する(ステップS705)。制御部132は、両者が一致する場合には認証成功と判断し、一致しない場合には認証失敗と判断する。   The control unit 132 decrypts the received ciphertext using a predetermined decryption algorithm, and obtains the decrypted data and the hash value (or transmitted random number) generated from the information stored in the user information database 136. Collation is performed (step S705). The control unit 132 determines that authentication is successful when the two match, and determines authentication failure when they do not match.

制御部132は、認証結果を記憶部131の所定記憶領域(例えばユーザ情報データベース136等)に格納する。   The control unit 132 stores the authentication result in a predetermined storage area (for example, the user information database 136) of the storage unit 131.

制御部132は、ステップS705における認証結果をサービス提供サーバ120に送信する。また、制御部132は、ユーザ認証処理にかかった時間を記憶部131にログ情報として記録する(ステップS706)。制御部132は、ユーザ認証処理にかかった時間を用いて、処理時間テーブル137を更新する。例えば、制御部132は、平均処理時間を再計算し、処理時間テーブル137に格納する。   The control unit 132 transmits the authentication result in step S705 to the service providing server 120. Further, the control unit 132 records the time taken for the user authentication process as log information in the storage unit 131 (step S706). The control unit 132 updates the processing time table 137 using the time taken for the user authentication process. For example, the control unit 132 recalculates the average processing time and stores it in the processing time table 137.

サービス提供サーバ120の制御部122は、認証サーバ130から認証結果を受信する(ステップS707)。   The control unit 122 of the service providing server 120 receives the authentication result from the authentication server 130 (step S707).

なお、上述のように、サービス提供サーバ120の制御部122は、ステップS612で推定時間を受信した時刻から、推定時間が経過した後、認証結果を送信するよう認証サーバ130に要求してもよい。そして、認証サーバ130の制御部132は、当該要求を受信すると、記憶部131の所定記憶領域に格納した認証結果をサービス提供サーバ120に送信し、サービス提供サーバ120の制御部122は、認証サーバ130から認証結果を受信するようにしてもよい。   As described above, the control unit 122 of the service providing server 120 may request the authentication server 130 to transmit the authentication result after the estimated time has elapsed from the time when the estimated time is received in step S612. . When the control unit 132 of the authentication server 130 receives the request, the control unit 132 of the service providing server 120 transmits the authentication result stored in the predetermined storage area of the storage unit 131 to the service providing server 120. The authentication result may be received from 130.

認証失敗の場合(ステップS708;NO)、制御部122は、認証に失敗した旨をユーザ端末110に通知して、サービス提供処理を終了する。制御部122は、実行していた処理群をロールバックする。ユーザ端末110の制御部116は、サービスの提供を続行できない旨をユーザに通知する。   In the case of authentication failure (step S708; NO), the control unit 122 notifies the user terminal 110 that the authentication has failed and ends the service providing process. The control unit 122 rolls back the processing group that has been executed. The control unit 116 of the user terminal 110 notifies the user that service provision cannot be continued.

あるいは、ステップS701に戻り、ユーザ認証処理を所定回数だけリトライする。待ち行列に登録し直してユーザ認証処理をリトライしてもよい。   Alternatively, the process returns to step S701, and the user authentication process is retried a predetermined number of times. The user authentication process may be retried after re-registering in the queue.

認証成功の場合(ステップS708;YES)、制御部122は、認証に成功した旨をユーザ端末110に通知する。また、制御部122は、ステップS612で選択しなかった処理、すなわち、ユーザ認証処理でユーザ認証に成功しなければ実行できないと定められている処理を実行する(ステップS709)。   When the authentication is successful (step S708; YES), the control unit 122 notifies the user terminal 110 that the authentication is successful. Further, the control unit 122 executes a process that is not selected in step S612, that is, a process that is determined to be executable unless user authentication is successful in the user authentication process (step S709).

このとき、制御部122は、既定順になるべく近い順に処理を実行することが望ましい。例えば、ステップS612で選択された処理がサービスコードA1,A3,A4の3つであり、この順に処理群を進行中であり、認証に成功した旨が通知されたときサービスコードA3の処理を実行中であるならば、サービスコードA3の処理の終了後、サービスコードA4の処理ではなく、サービスコードA2の処理を先に実行する。すなわち、制御部122は、結果的に、A1,A3,A2,A4,A5の順に処理を実行する。ただし、制御部122は、任意の順番で各処理を実行してもよい。   At this time, it is desirable for the control unit 122 to execute processing in the order as close as possible to the default order. For example, the processes selected in step S612 are the three service codes A1, A3, and A4. The process group is in this order, and the process of the service code A3 is executed when notified that the authentication is successful. If it is in the middle, after the processing of the service code A3 is completed, the processing of the service code A2 is executed first, not the processing of the service code A4. That is, as a result, the control part 122 performs a process in order of A1, A3, A2, A4, A5. However, the control unit 122 may execute each process in an arbitrary order.

ユーザ端末110の制御部116は、サービス提供サーバ120の制御部122が実行している(サービス提供サーバ120側の)処理に対応する、ユーザ端末110側の処理を実行する(ステップS710)。   The control unit 116 of the user terminal 110 executes processing on the user terminal 110 side corresponding to the processing (on the service providing server 120 side) executed by the control unit 122 of the service providing server 120 (step S710).

サービス提供サーバ120の制御部122は、ユーザに要求されたサービスに対応する処理群に含まれるすべての処理を終了したか否かを判別する(ステップS711)。   The control unit 122 of the service providing server 120 determines whether all the processes included in the process group corresponding to the service requested by the user have been completed (step S711).

まだ終了していない処理が残っている場合(ステップS711;NO)、制御部122は処理を続行する。すべての処理を終了した場合(ステップS711;YES)、サービスの提供を終了する。   If there is a process that has not been completed yet (step S711; NO), the control unit 122 continues the process. When all the processes are completed (step S711; YES), the service provision is terminated.

以上のように、情報処理システム100は、ユーザ認証処理にかかる時間を推定し、ユーザ認証処理が終わっていなくても提供可能な処理を優先的に実行することにより、処理群全体を効率よく実行できるようになる。例えば、ユーザ認証処理に比較的長い時間を要してしまう時間帯(アクセスが集中して混み合っている時間帯)では、ユーザ認証処理が必要ない処理を先に進め、一方でユーザ認証処理をバックグラウンドで平行して行い、本人確認ができた後に残りの処理を行えるようにする。また、ユーザ認証処理をすぐに終えることができる時間帯(アクセスが少なく空いている時間帯)では、既定順通りに処理を進める。どちらにしても、ユーザは結果的に行うべき手続きを効率の良い順番で行うことができるので、ユーザーフレンドリーなシステム設計が可能になる。また、ユーザの立場から見れば、ユーザ認証処理に時間がかかっていることが容易には分からず粛々と手続きが進んでいるように見えるので、ストレスを感じさせないという効果がある。   As described above, the information processing system 100 estimates the time required for the user authentication process and efficiently executes the entire process group by preferentially executing the process that can be provided even if the user authentication process is not completed. become able to. For example, in a time zone that requires a relatively long time for user authentication processing (a time zone in which access is concentrated and crowded), processing that does not require user authentication processing proceeds first, while user authentication processing is It is done in parallel in the background so that the rest of the processing can be performed after identity verification. Further, in a time zone in which the user authentication process can be completed immediately (a time zone in which access is low and free), the process proceeds in a predetermined order. In either case, the user can perform the procedure to be performed as a result in an efficient order, so that a user-friendly system design is possible. Also, from the user's standpoint, it is not easy to know that the user authentication process is taking a long time, and the procedure seems to be proceeding slowly, so there is an effect of not feeling stress.

本実施形態では、情報処理システム100が提供するサービスとしてインターネットバンキングサービスを想定した。しかし、他のサービスを提供するシステムにも応用可能である。例えば、行政機関が行う行政サービスにおいて、住民票発行などの処理の際に本人確認を行うケースや、病院など医療機関が行う医療サービスにおいて、診療受付の際に本人確認を行うケースなど、様々な分野で本発明を利用できる。   In the present embodiment, an Internet banking service is assumed as a service provided by the information processing system 100. However, it can also be applied to systems that provide other services. For example, there are various cases, such as a case where identity verification is performed at the time of processing such as issuance of a resident's card in an administrative service provided by an administrative organization, or a case where identity verification is performed at the time of medical reception in a medical service provided by a medical organization such as a hospital. The present invention can be used in the field.

本実施形態では、インターネットバンキングサービスにおけるユーザ認証処理を、サービス提供サーバ120とは異なる認証サーバ130が実行するものとして説明した。すなわち、情報処理システム100全体のうち、多くの時間を要する可能性のある処理(ボトルネックとなる可能性のある処理)として、ユーザ認証処理を想定した。しかし、認証サーバ130を、他の任意の処理を実行する運用サーバに置き換えた実施形態を採用することもできる。   In the present embodiment, the user authentication process in the Internet banking service has been described as being executed by the authentication server 130 different from the service providing server 120. That is, the user authentication process is assumed as a process that may take a lot of time (a process that may become a bottleneck) in the information processing system 100 as a whole. However, an embodiment in which the authentication server 130 is replaced with an operation server that executes other arbitrary processing may be employed.

例えば、獲得ポイントを決済に利用できるインターネット上のショッピングサイトにおいて、情報処理システム100は、ユーザが商品を購入できるサービスを提供する。ユーザの獲得ポイントや購買履歴等を取得してユーザ端末110のモニターに表示する処理が、比較的多くの時間を要する可能性のある処理であると仮定する。このとき、上述の説明において、認証サーバ130を、ユーザの獲得ポイントや購買履歴等を管理する運用サーバに置き換えた実施形態を採用して、本発明を適用することが可能である。   For example, in a shopping site on the Internet where earned points can be used for settlement, the information processing system 100 provides a service that allows a user to purchase a product. It is assumed that the process of acquiring user acquisition points, purchase history, and the like and displaying it on the monitor of the user terminal 110 is a process that may take a relatively long time. At this time, in the above description, the present invention can be applied by adopting an embodiment in which the authentication server 130 is replaced with an operation server that manages user acquisition points, purchase history, and the like.

つまり、アクセスが少なく空いている時間帯では、既定の処理順として、(処理A)現在の獲得ポイント数を取得して表示する処理、(処理B)商品を選択する処理、(処理C)発送方法を指定する処理、(処理D)決済方法を指定する処理、(処理E)注文の確定処理、を順に実行する。   In other words, in a time zone where access is low and free, as the default processing order, (Processing A) processing for acquiring and displaying the current number of acquired points, (Processing B) processing for selecting a product, and (Processing C) shipping A process for specifying a method, (process D) a process for specifying a settlement method, and (process E) an order confirmation process are executed in order.

一方、アクセスが集中して混み合っている時間帯であって処理Aが重い場合、サービス提供サーバ120は、処理B,Cを優先的に実行し、処理Aのうち現在の獲得ポイント数を取得する処理部分を運用サーバがバックグラウンドで実行する。獲得ポイントの取得後、サービス提供サーバ120は、処理A,処理D,処理Eを実行する。   On the other hand, when the process A is heavy in a time zone where access is concentrated and crowded, the service providing server 120 preferentially executes the processes B and C, and acquires the current number of points acquired from the process A The processing server executes the processing part in the background. After acquiring the acquired points, the service providing server 120 executes process A, process D, and process E.

このように、本発明は、行うべき処理群の中に多くの時間を要する可能性のある処理がある場合に、処理群全体を効率よく実行できるようにするために利用することができる。   As described above, the present invention can be used to efficiently execute the entire processing group when there is a processing that may take a lot of time in the processing group to be performed.

本発明は、上述した実施形態に限定されず、種々の変形及び応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible.

以上説明したように、本発明によれば、行うべき処理群の中に多くの時間を要する処理がある場合にも処理群全体を効率よく実行するために好適な情報処理システム、認証サーバ、サービス提供サーバ、認証方法、サービス提供方法、及び、プログラムを提供することができる。   As described above, according to the present invention, an information processing system, an authentication server, and a service suitable for efficiently executing the entire processing group even when there are processes that require a lot of time in the processing group to be performed. A providing server, an authentication method, a service providing method, and a program can be provided.

情報処理システムの構成を説明するための図である。It is a figure for demonstrating the structure of an information processing system. ユーザ端末、サービス提供サーバ、認証サーバの各構成を説明するための図である。It is a figure for demonstrating each structure of a user terminal, a service provision server, and an authentication server. サービス一覧情報に格納されるデータの構成例である。It is a structural example of the data stored in service list information. 認証データベースに格納されるデータの構成例である。It is a structural example of the data stored in an authentication database. ユーザ情報データベースに格納されるデータの構成例である。It is a structural example of the data stored in a user information database. サービス提供処理の流れを説明するための図である。It is a figure for demonstrating the flow of a service provision process. サービス提供処理の流れを説明するための図(続き)である。It is a figure for demonstrating the flow of a service provision process (continuation). サービス提供処理の流れを説明するための図(続き)である。It is a figure for demonstrating the flow of a service provision process (continuation). 処理時間テーブルに格納されるデータの構成例である。It is an example of a structure of the data stored in a processing time table. 待ち行列に格納されるデータの構成例である。It is a structural example of the data stored in a queue.

符号の説明Explanation of symbols

100 情報処理システム
110 ユーザ端末
111 記憶部
112 入力受付部
113 通信部
114 出力部
115 インタフェイス
116 制御部
120 サービス提供サーバ
121 記憶部
122 制御部
123 通信部
125 サービス一覧情報
126 簡易認証データベース
130 認証サーバ
131 記憶部
132 制御部
133 通信部
135 認証データベース
136 ユーザ情報データベース
137 処理時間テーブル
140,150 通信ネットワーク DESCRIPTION OF SYMBOLS 100 Information processing system 110 User terminal 111 Storage part 112 Input reception part 113 Communication part 114 Output part 115 Interface 116 Control part 120 Service provision server 121 Storage part 122 Control part 123 Communication part 125 Service list information 126 Simple authentication database 130 Authentication server 131 Storage Unit 132 Control Unit 133 Communication Unit 135 Authentication Database 136 User Information Database 137 Processing Time Table 140, 150 Communication Network

Claims (11)

ユーザ端末と、ユーザにサービスを提供するための複数の処理を実行するサービス提供サーバと、当該ユーザを認証する認証サーバとを有する情報処理システムにおいて、
前記ユーザ端末は、
当該ユーザを認証するための認証用データを取得する取得部と、
当該ユーザからの指示に基づいて、前記サービス提供サーバに当該複数の処理を開始する旨の開始要求と、前記取得された認証用データと、を前記サービス提供サーバに送信する開始要求送信部と、
を備え、
前記サービス提供サーバは、
当該複数の処理のそれぞれについて、前記認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部と、
前記ユーザ端末から当該開始要求と当該認証用データを受信する開始要求受信部と、
前記受信した開始要求が示す当該複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部と、
を備え、
前記認証サーバは、
当該ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部と、
前記サービス提供サーバから当該認証要求と当該認証用データとを受信する認証要求受信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部と、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部と、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部と、
を備え、
前記サービス提供サーバは、更に、
当該推定時間を前記認証サーバから受信する推定時間受信部と、
当該認証結果を前記認証サーバから受信する認証結果受信部と、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから、当該認証結果を受信するまで、当該処理群に含まれる処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部と、
を備えることを特徴とする情報処理システム。 In an information processing system having a user terminal, a service providing server that executes a plurality of processes for providing a service to the user, and an authentication server that authenticates the user,
The user terminal is
An acquisition unit for acquiring authentication data for authenticating the user;
Based on an instruction from the user, a start request transmitting unit that transmits the request for starting the plurality of processes to the service providing server and the acquired authentication data, to the service providing server,
With
The service providing server includes:
For each of the plurality of processes, an authentication necessity information storage unit that stores information indicating whether or not authentication of the user by the authentication server is necessary;
A start request receiving unit that receives the start request and the authentication data from the user terminal;
An authentication request for requesting the authentication server to authenticate the user when the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server; An authentication request transmission unit that transmits the received authentication data to the authentication server;
With
The authentication server is
A user information storage unit that stores user information for authenticating the user in advance;
An authentication request receiver that receives the authentication request and the authentication data from the service providing server;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from receiving the authentication request to ending the authentication of the user;
An estimated time transmitter for transmitting the estimated estimated time to the service providing server;
An authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit when the authentication request receiving unit receives the authentication request;
An authentication result transmission unit that transmits an authentication result by the authentication unit to the service providing server;
With
The service providing server further includes:
An estimated time receiving unit for receiving the estimated time from the authentication server;
An authentication result receiving unit for receiving the authentication result from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server among the processing included in the processing group,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing unit for providing the user with the service;
An information processing system comprising: 前記取得部は、当該認証用データとして、IC(Integrated Circuit)カードに予め記憶された個人情報を取得し、
前記認証部は、前記ユーザ端末から前記サービス提供サーバを介して送信された当該認証用データを用いて認証する、
ことを特徴とする、請求項1に記載の情報処理システム。 The acquisition unit acquires personal information stored in advance in an IC (Integrated Circuit) card as the authentication data,
The authentication unit authenticates using the authentication data transmitted from the user terminal via the service providing server,
The information processing system according to claim 1, wherein: 前記認証要求送信部は、前記ICカードの種類を示す情報を含む当該認証要求を前記認証サーバに送信し、
前記認証サーバは、前記ICカードの種類に対応付けて、過去に当該認証要求を受信してから当該ユーザの認証を終了するまでにかかった時間を記憶する処理時間記憶部を更に備え、
前記推定部は、前記認証要求受信部が受信した認証要求が示す前記ICカードの種類に対応付けられた時間に基づいて、当該推定時間を推定する、
ことを特徴とする、請求項2に記載の情報処理システム。 The authentication request transmission unit transmits the authentication request including information indicating the type of the IC card to the authentication server,
The authentication server further includes a processing time storage unit that stores the time taken from the reception of the authentication request in the past to the end of the authentication of the user in association with the type of the IC card.
The estimating unit estimates the estimated time based on a time associated with the type of the IC card indicated by the authentication request received by the authentication request receiving unit.
The information processing system according to claim 2, wherein: 前記認証部は、当該ユーザを認証する処理を開始してから終了するまでにかかった時間を用いて、前記処理時間記憶部に記憶されている時間のうち前記ICカードの種類に対応する時間を更新する、
ことを特徴とする、請求項3に記載の情報処理システム。 The authentication unit uses a time taken from the start to the end of the process of authenticating the user to calculate a time corresponding to the type of the IC card among the times stored in the processing time storage unit. Update,
The information processing system according to claim 3, wherein: 前記認証サーバは、前記認証部による認証結果を記憶する認証結果記憶部を更に備え、
前記認証結果受信部は、当該推定時間が所定値以上の場合、前記推定時間受信部が当該推定時間を受信してから当該推定時間が経過した後、当該認証結果を送信するよう前記認証サーバに要求し、当該認証結果を前記認証サーバから受信する、
ことを特徴とする、請求項1乃至4のいずれか1項に記載の情報処理システム。 The authentication server further includes an authentication result storage unit that stores an authentication result by the authentication unit,
When the estimated time is greater than or equal to a predetermined value, the authentication result receiving unit transmits the authentication result to the authentication server after the estimated time has elapsed since the estimated time receiving unit received the estimated time. Requesting and receiving the authentication result from the authentication server,
The information processing system according to any one of claims 1 to 4, wherein the information processing system is characterized in that: ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部と、
当該ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部と、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部と、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部と、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部と、
を備えることを特徴とする認証サーバ。 A user information storage unit that stores user information for authenticating the user in advance;
An authentication request receiving unit that receives an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides services to the user;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from receiving the authentication request to ending the authentication of the user;
An estimated time transmitter for transmitting the estimated estimated time to the service providing server;
An authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit when the authentication request receiving unit receives the authentication request;
An authentication result transmission unit that transmits an authentication result by the authentication unit to the service providing server;
An authentication server comprising: ユーザにサービスを提供するための複数の処理のそれぞれについて、当該ユーザを認証する認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部と、
当該複数の処理を開始する旨の開始要求と、当該ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信部と、
前記受信した開始要求が示す複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部と、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信部と、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信部と、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部と、
を備えることを特徴とするサービス提供サーバ。 For each of a plurality of processes for providing a service to a user, an authentication necessity information storage unit that stores information indicating whether or not the user needs to be authenticated by an authentication server that authenticates the user;
A start request receiving unit for receiving a start request to start the plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
If the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmitter for transmitting the received authentication data to the authentication server;
An estimated time receiving unit that receives from the authentication server an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving unit for receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing unit for providing the user with the service;
A service providing server comprising: ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信ステップと、
前記認証要求受信ステップが当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定ステップと、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信ステップと、
前記認証要求受信ステップが当該認証要求を受信した場合、当該認証用データと当該ユーザを認証するための予めメモリに記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証ステップと、
前記認証ステップによる認証結果を前記サービス提供サーバに送信する認証結果送信ステップと、
を備えることを特徴とする認証方法。 An authentication request receiving step of receiving an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides a service to the user;
When the authentication request receiving step receives the authentication request, an estimation step for estimating a time taken from the reception of the authentication request to the end of the authentication of the user;
An estimated time transmitting step of transmitting the estimated estimated time to the service providing server;
When the authentication request receiving step receives the authentication request, an authentication step for authenticating the user based on the authentication data and user information stored in advance in memory for authenticating the user;
An authentication result transmission step of transmitting an authentication result of the authentication step to the service providing server;
An authentication method comprising: 複数の処理を開始する旨の開始要求と、ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信ステップと、
前記受信した開始要求が示す複数の処理の中に、認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信ステップと、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信ステップと、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信ステップと、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該ユーザの認証に成功した旨の当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供ステップと、
を備えることを特徴とするサービス提供方法。 A start request receiving step for receiving a start request for starting a plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
When a plurality of processes indicated by the received start request includes a process that requires authentication of the user by an authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmission step of transmitting the received authentication data to the authentication server;
An estimated time receiving step for receiving, from the authentication server, an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving step of receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result indicating that the user has been successfully authenticated, a process that requires authentication of the user by the authentication server is executed.
A service providing step of providing the user with the service;
A service providing method comprising the steps of: コンピュータを、
ユーザを認証するためのユーザ情報を予め記憶するユーザ情報記憶部、
当該ユーザにサービスを提供するサービス提供サーバから、当該ユーザを認証する旨の認証要求と、当該ユーザを認証するための認証用データとを受信する認証要求受信部、
前記認証要求受信部が当該認証要求を受信した場合、当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる時間を推定する推定部、
前記推定された推定時間を前記サービス提供サーバに送信する推定時間送信部、
前記認証要求受信部が当該認証要求を受信した場合、当該認証用データと前記ユーザ情報記憶部に記憶されたユーザ情報とに基づいて、当該ユーザを認証する認証部、
前記認証部による認証結果を前記サービス提供サーバに送信する認証結果送信部、
として機能させることを特徴とするプログラム。 Computer
A user information storage unit for storing user information for authenticating the user in advance;
An authentication request receiving unit that receives an authentication request for authenticating the user and authentication data for authenticating the user from a service providing server that provides services to the user;
When the authentication request receiving unit receives the authentication request, an estimation unit that estimates the time taken from the reception of the authentication request to the end of the user authentication,
An estimated time transmitting unit for transmitting the estimated estimated time to the service providing server;
When the authentication request receiving unit receives the authentication request, an authentication unit that authenticates the user based on the authentication data and the user information stored in the user information storage unit,
An authentication result transmission unit for transmitting an authentication result by the authentication unit to the service providing server;
A program characterized by functioning as コンピュータを、
ユーザにサービスを提供するための複数の処理のそれぞれについて、当該ユーザを認証する認証サーバによる当該ユーザの認証が必要か否かを示す情報を記憶する認証要否情報記憶部、
当該複数の処理を開始する旨の開始要求と、当該ユーザを認証するための認証用データとを、当該ユーザが使用するユーザ端末から受信する開始要求受信部、
前記受信した開始要求が示す複数の処理の中に、前記認証サーバによる当該ユーザの認証が必要な処理が含まれている場合、前記認証サーバに当該ユーザの認証を要求する旨の認証要求と、前記受信した認証用データと、を前記認証サーバに送信する認証要求送信部、
前記認証サーバが当該認証要求を受信してから当該ユーザの認証を終了するまでにかかる推定時間を、前記認証サーバから受信する推定時間受信部、
当該ユーザの認証結果を前記認証サーバから受信する認証結果受信部、
前記推定時間受信部が当該推定時間を受信した場合、
(a)当該開始要求を受信してから当該認証結果を受信するまで、当該複数の処理のうち前記認証サーバによる当該ユーザの認証が必要でない処理を優先して実行し、
(b)当該認証結果を受信した後、前記認証サーバによる当該ユーザの認証が必要な処理を実行する、
ことによって、当該ユーザに当該サービスを提供するサービス提供部、
として機能させることを特徴とするプログラム。 Computer
For each of a plurality of processes for providing a service to a user, an authentication necessity information storage unit that stores information indicating whether or not the user needs to be authenticated by an authentication server that authenticates the user,
A start request receiving unit that receives a start request to start the plurality of processes and authentication data for authenticating the user from a user terminal used by the user;
If the plurality of processes indicated by the received start request includes a process that requires authentication of the user by the authentication server, an authentication request for requesting the authentication server to authenticate the user; An authentication request transmitter for transmitting the received authentication data to the authentication server;
An estimated time receiving unit that receives from the authentication server an estimated time taken from the authentication server receiving the authentication request to ending the user authentication;
An authentication result receiving unit for receiving the authentication result of the user from the authentication server;
When the estimated time receiving unit receives the estimated time,
(A) From the reception of the start request to the reception of the authentication result, priority is given to processing that does not require authentication of the user by the authentication server,
(B) After receiving the authentication result, execute processing that requires authentication of the user by the authentication server;
A service providing unit that provides the user with the service,
A program characterized by functioning as
JP2008093758A 2008-03-31 2008-03-31 Information processing system, authentication server, service providing server, authentication method, service providing method, and program Expired - Fee Related JP5081696B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008093758A JP5081696B2 (en) 2008-03-31 2008-03-31 Information processing system, authentication server, service providing server, authentication method, service providing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008093758A JP5081696B2 (en) 2008-03-31 2008-03-31 Information processing system, authentication server, service providing server, authentication method, service providing method, and program

Publications (2)

Publication Number Publication Date
JP2009245365A JP2009245365A (en) 2009-10-22
JP5081696B2 true JP5081696B2 (en) 2012-11-28

Family

ID=41307139

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008093758A Expired - Fee Related JP5081696B2 (en) 2008-03-31 2008-03-31 Information processing system, authentication server, service providing server, authentication method, service providing method, and program

Country Status (1)

Country Link
JP (1) JP5081696B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011164803A (en) * 2010-02-06 2011-08-25 Oki Electric Industry Co Ltd Business form processing system
JP6346438B2 (en) * 2013-12-27 2018-06-20 キヤノン株式会社 Electronic device, control method therefor, program, and storage medium
JP6451947B2 (en) * 2015-03-26 2019-01-16 大日本印刷株式会社 Remote authentication system
JP6750299B2 (en) * 2015-10-13 2020-09-02 富士電機株式会社 Information processing system
JP7202688B2 (en) * 2018-06-15 2023-01-12 Capy株式会社 Authentication system, authentication method, application providing device, authentication device, and authentication program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0492967A (en) * 1990-08-06 1992-03-25 Nippon Telegr & Teleph Corp <Ntt> Retrieval processing method for similar knowledge
JP3673934B2 (en) * 1998-09-29 2005-07-20 沖電気工業株式会社 How to calculate and display the remaining processing time of customer terminals
JP2002297900A (en) * 2001-03-30 2002-10-11 Ibm Japan Ltd Control system for reception by businesses, user side terminal device, reception side terminal device, management server queue monitoring device, method of allocating reception side terminals, and storage medium
JP4497875B2 (en) * 2003-09-19 2010-07-07 株式会社三菱東京Ufj銀行 Financial transaction support apparatus and program

Also Published As

Publication number Publication date
JP2009245365A (en) 2009-10-22

Similar Documents

Publication Publication Date Title
US20220255741A1 (en) Secure remote token release with online authentication
US8799666B2 (en) Secure user authentication using biometric information
JP4966765B2 (en) Biometric authentication system
EP2343677A1 (en) Monitoring secure financial transactions
JP5276346B2 (en) Authentication server, authentication method, and program thereof
JP6192082B1 (en) Biometric data registration system and settlement system
JP6134371B1 (en) User information management apparatus, user information management method, and user information management program
US20150206147A1 (en) Dynamic Security Code
AU2011207602A1 (en) Verification mechanism
JP5081696B2 (en) Information processing system, authentication server, service providing server, authentication method, service providing method, and program
US8874912B2 (en) Systems and methods for securely transferring personal identifiers
CN105809427B (en) High-security mobile payment system and method
JP2012118833A (en) Access control method
JP2021043675A (en) Control method, control program, information processing device, and information processing system
WO2015138976A2 (en) Dynamic security code
JP2005065035A (en) Substitute person authentication system using ic card
JP2002229956A (en) Biometrics certification system, biometrics certification autority, service provision server, biometrics certification method and program, and service provision method and program
JP6863585B2 (en) Payment system
JP5018137B2 (en) IC card authentication device and IC card authentication system
JP2008234316A (en) Portable communication terminal device, authentication server for financial institution, personal identification number request program, and personal identification number response program
KR101079740B1 (en) System for inputting information using terminal and method thereof
JP2003091508A (en) Personal authentication system using organism information
JP2016091128A (en) User identification system, method, and program
CN117981274A (en) Remote identity interaction
KR20180120017A (en) Finacial system and method managing security medium thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101026

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120807

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120903

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150907

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5081696

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees