JP2015231177A - Device authentication method, device authentication system, and device authentication program - Google Patents

Device authentication method, device authentication system, and device authentication program Download PDF

Info

Publication number
JP2015231177A
JP2015231177A JP2014117264A JP2014117264A JP2015231177A JP 2015231177 A JP2015231177 A JP 2015231177A JP 2014117264 A JP2014117264 A JP 2014117264A JP 2014117264 A JP2014117264 A JP 2014117264A JP 2015231177 A JP2015231177 A JP 2015231177A
Authority
JP
Japan
Prior art keywords
authentication
server device
server
client device
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014117264A
Other languages
Japanese (ja)
Inventor
允 滝澤
Makoto Takizawa
允 滝澤
佐久間 聡
Satoshi Sakuma
聡 佐久間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014117264A priority Critical patent/JP2015231177A/en
Publication of JP2015231177A publication Critical patent/JP2015231177A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To improve device authentication accuracy.SOLUTION: A user terminal 3 authenticates a server device 1, and the server device 1 authenticates the user terminal 3. In particular, the user terminal 3 stores confidential information S shared with the server device 1, generates and transmits a random number R to the server device 1, calculates the hash value, for verification, of data obtained by combining confidential information S with a random number R, and authenticates the server device 1 on the basis of identity with the hash value from the server device 1.

Description

本発明は、装置を認証する技術に関する。   The present invention relates to a technique for authenticating an apparatus.

WWWサーバは、ユーザを認証するためにID及びパスワードを要求する。しかし、近年では、ID及びパスワードの不正取得による不正アクセスの被害が多数報告されている。   The WWW server requests an ID and password to authenticate the user. However, in recent years, many damages of unauthorized access due to unauthorized acquisition of IDs and passwords have been reported.

ID及びパスワードを不正に取得する方法の1つとしてフィッシング技術がある。本物に似せた偽のWWWページを電子メールで誘導して他人のID及びパスワードを入力させる技術である。このような不正行為を未然に防止するため、WWWサーバ内のウェブブラウザにはフィッシング対策機能が組み込まれている。このフィッシング対策機能は、フィッシングサイトのURLをデータベース化し、それと照らし合わせることでアクセス先サイトの正当性を検証し、両方のURLが合致する場合にはユーザへ警告する(特許文献1−7)。   There is a phishing technique as one method for illegally acquiring an ID and a password. This is a technique for guiding a fake WWW page resembling a real one by e-mail to input another person's ID and password. In order to prevent such illegal acts, a phishing countermeasure function is incorporated in the web browser in the WWW server. This anti-phishing function creates a database of URLs of phishing sites, verifies them against the legitimacy of the access destination site, and warns the user if both URLs match (Patent Documents 1-7).

また、ワンタイムパスワードを利用した2段階認証を用いてユーザ認証を強化する方法もある。しかし、この方法は、ユーザ側でWWWサーバ側の正当性を判断できるか否かに関して何ら配慮していない。そこで、ユーザ側でWWWサーバ側を確認するためにSSL証明書を用いる手法がある。また、第三者機関がWWWサーバの正当性を保証する方法もある(特許文献8,9)。   There is also a method of strengthening user authentication using two-step authentication using a one-time password. However, this method does not give any consideration as to whether the user can determine the legitimacy on the WWW server side. Therefore, there is a method of using an SSL certificate to confirm the WWW server side on the user side. There is also a method in which a third-party organization guarantees the validity of the WWW server (Patent Documents 8 and 9).

特許第5465651号公報Japanese Patent No. 5465651 特許第4714117号公報Japanese Patent No. 4714117 特許第4617243号公報Japanese Patent No. 4617243 特許第4612535号公報Japanese Patent No. 4612535 特許第4579771号公報Japanese Patent No. 4579771 特許第4564916号公報Japanese Patent No. 4564916 特許第4429971号公報Japanese Patent No. 4429971 特許第4832941号公報Japanese Patent No. 4832941 特許第4778358号公報Japanese Patent No. 4778358

しかしながら、前述のフィッシング対策機能を用いる場合、ある程度発見的にフィッシングサイトを検出できるが、フィッシングサイトをデータベース化するため、新たなフィッシングサイトを継続して追従するにはコストや時間がかかる。   However, when the above-described phishing countermeasure function is used, the phishing site can be detected heuristically to some extent. However, since the phishing site is made into a database, it takes cost and time to continuously follow the new phishing site.

一方、SSL証明書を用いる場合、URL又はSSL証明書の目視というユーザ自身の行為に留まるところがある。つまり、目視といったユーザ自身の注意によるところが大きいため、専門知識がない限り記述内容の正当性を判断することが難しい。   On the other hand, when an SSL certificate is used, there are places where the user's own action of viewing the URL or the SSL certificate remains. In other words, since it depends largely on the user's attention such as visual inspection, it is difficult to determine the validity of the description content unless there is expertise.

また、これらの従来技術においては、第三者機関に正当性の判断が委ねられるため、ユーザ自身ではそれを確実に判断できないという共通の課題があった。つまり、SSL証明書は、第三の信頼された機関が証明したという事実に基づいているため、その第三の機関が仮に詐称された場合は全く信頼できないものになる。また、フィッシングサイト対策機能についてもデータベースを構築した第三の機関の判断に基づいているため、そのデータベースに存在していないフィッシングサイトにおいては当然効力をもたない。   Moreover, in these prior arts, since the judgment of the legitimacy is entrusted to a third party organization, there is a common problem that the user cannot judge it with certainty. In other words, the SSL certificate is based on the fact that a third trusted authority has proved it, so if the third authority is misrepresented, it is completely unreliable. Further, since the phishing site countermeasure function is also based on the judgment of the third institution that established the database, it naturally has no effect on a phishing site that does not exist in the database.

本発明は、上記事情を鑑みてなされたものであり、装置の認証精度を改善することを目的とする。   The present invention has been made in view of the above circumstances, and an object thereof is to improve the authentication accuracy of an apparatus.

以上の課題を解決するため、請求項1に記載の装置認証方法は、クライアント装置とサーバ装置で行う装置認証方法において、前記クライアント装置は、前記サーバ装置からの認証用データを受信する受信ステップと、記憶手段から読み出した検証用データを用いて前記サーバ装置を認証する認証ステップと、を有し、前記サーバ装置は、前記クライアント装置からの認証用データを受信する受信ステップと、記憶手段から読み出した検証用データを用いて前記クライアント装置を認証する認証ステップと、を有することを要旨とする。   In order to solve the above-described problem, the device authentication method according to claim 1 is a device authentication method performed by a client device and a server device, wherein the client device receives authentication data from the server device; An authentication step for authenticating the server device using the verification data read from the storage means, and the server device receives the authentication data from the client device and reads from the storage means And an authentication step for authenticating the client device using the verification data.

本発明によれば、クライアント装置がサーバ装置を認証し、サーバ装置がクライアント装置を認証するため、認証処理が2段階で行われることから、装置の認証精度を向上できる。   According to the present invention, since the client device authenticates the server device and the server device authenticates the client device, the authentication process is performed in two stages, so that the authentication accuracy of the device can be improved.

請求項2に記載の装置認証方法は、請求項1に記載の装置認証方法において、前記クライアント装置は、前記サーバ装置との間で共有する共有データを記憶しておく記憶ステップと、乱数を生成する生成ステップと、前記乱数を前記サーバ装置へ送信する送信ステップと、を更に有し、前記クライアント装置の認証ステップでは、前記共有データと前記乱数を含むデータのハッシュ値を検証用として算出し、前記サーバ装置からのハッシュ値との同一性に基づき前記サーバ装置を認証することを要旨とする。   The device authentication method according to claim 2 is the device authentication method according to claim 1, wherein the client device stores a shared data shared with the server device, and generates a random number. A generating step for transmitting, and a transmitting step for transmitting the random number to the server device, and in the authentication step of the client device, a hash value of the data including the shared data and the random number is calculated for verification, The gist is to authenticate the server device based on the identity with the hash value from the server device.

本発明によれば、クライアント装置は、サーバ装置との間で共有する共有データを記憶しておき、乱数を生成してサーバ装置へ送信し、共有データと乱数を含むデータのハッシュ値を検証用として算出して、サーバ装置からのハッシュ値との同一性に基づきサーバ装置を認証するため、装置の認証精度を更に向上できる。   According to the present invention, the client device stores the shared data shared with the server device, generates a random number, transmits the random number to the server device, and verifies the hash value of the data including the shared data and the random number for verification. Since the server device is authenticated based on the identity with the hash value from the server device, the authentication accuracy of the device can be further improved.

請求項3に記載の装置認証方法は、請求項2に記載の装置認証方法において、前記サーバ装置は、前記共有データを記憶しておく記憶ステップと、前記共有データと前記乱数を含むデータのハッシュ値をパス名とするワンタイム型のURLを生成する生成ステップと、前記URLを前記クライアント装置へ送信する送信ステップと、を更に有し、前記クライアント装置の認証ステップでは、前記URLのパス名と前記検証用のハッシュ値との同一性に基づき前記サーバ装置を認証することを要旨とする。   The device authentication method according to claim 3 is the device authentication method according to claim 2, wherein the server device stores the shared data, and a hash of the data including the shared data and the random number A generation step of generating a one-time type URL having a value as a path name; and a transmission step of transmitting the URL to the client device. In the authentication step of the client device, the path name of the URL is The gist is to authenticate the server device based on the identity with the hash value for verification.

請求項4に記載の装置認証システムは、クライアント装置とサーバ装置を備えた装置認証システムにおいて、前記クライアント装置は、前記サーバ装置からの認証用データを受信する受信手段と、記憶手段から読み出した検証用データを用いて前記サーバ装置を認証する認証手段と、を有し、前記サーバ装置は、前記クライアント装置からの認証用データを受信する受信手段と、記憶手段から読み出した検証用データを用いて前記クライアント装置を認証する認証手段と、を有することを要旨とする。   5. The device authentication system according to claim 4, wherein the client device is a device authentication system comprising a client device and a server device, wherein the client device receives authentication data from the server device and verification read from the storage device. Authenticating means for authenticating the server device using data for authentication, the server device using receiving means for receiving authentication data from the client device, and verification data read from the storage means And a means for authenticating the client device.

請求項5に記載の装置認証システムは、請求項4に記載の装置認証システムにおいて、前記クライアント装置は、前記サーバ装置との間で共有する共有データを記憶しておく記憶手段と、乱数を生成する生成手段と、前記乱数を前記サーバ装置へ送信する送信手段と、を更に有し、前記クライアント装置の認証手段は、前記共有データと前記乱数を含むデータのハッシュ値を検証用として算出し、前記サーバ装置からのハッシュ値との同一性に基づき前記サーバ装置を認証することを要旨とする。   The device authentication system according to claim 5 is the device authentication system according to claim 4, wherein the client device generates a random number and storage means for storing shared data shared with the server device A generating unit that transmits the random number to the server device, and an authentication unit of the client device calculates a hash value of the data including the shared data and the random number for verification, The gist is to authenticate the server device based on the identity with the hash value from the server device.

請求項6に記載の装置認証システムは、請求項5に記載の装置認証システムにおいて、前記サーバ装置は、前記共有データを記憶しておく記憶手段と、前記共有データと前記乱数を含むデータのハッシュ値をパス名とするワンタイム型のURLを生成する生成手段と、前記URLを前記クライアント装置へ送信する送信手段と、を更に有し、前記クライアント装置の認証手段は、前記URLのパス名と前記検証用のハッシュ値との同一性に基づき前記サーバ装置を認証することを要旨とする。   6. The apparatus authentication system according to claim 6, wherein in the apparatus authentication system according to claim 5, the server device stores storage means for storing the shared data, a hash of data including the shared data and the random number. A generating unit that generates a one-time URL having a path name as a value; and a transmitting unit that transmits the URL to the client device. The authentication unit of the client device includes a path name of the URL, The gist is to authenticate the server device based on the identity with the hash value for verification.

請求項7に記載の装置認証プログラムは、請求項1乃至3のいずれかに記載の装置認証方法をコンピュータに実行させることを要旨とする。   A gist of an apparatus authentication program according to a seventh aspect is to cause a computer to execute the apparatus authentication method according to any one of the first to third aspects.

本発明によれば、装置の認証精度を向上できる。   ADVANTAGE OF THE INVENTION According to this invention, the authentication precision of an apparatus can be improved.

装置認証システムの全体構成を示す図である。It is a figure which shows the whole structure of an apparatus authentication system. サーバ装置の機能ブロック構成を示す図である。It is a figure which shows the functional block structure of a server apparatus. ユーザ端末の機能ブロック構成を示す図である。It is a figure which shows the functional block structure of a user terminal. 2段階の認証処理の概要を示す図である。It is a figure which shows the outline | summary of a two-step authentication process. ユーザ端末側で行うアカウント登録処理フローを示す図である。It is a figure which shows the account registration processing flow performed on the user terminal side. サーバ装置側で行うアカウント登録処理フローを示す図である。It is a figure which shows the account registration processing flow performed by the server apparatus side. ユーザ端末側で行う第1段階目の認証処理フローを示す図である。It is a figure which shows the authentication process flow of the 1st step performed by the user terminal side. サーバ装置側で行う第1段階目の認証処理フローを示す図である。It is a figure which shows the authentication process flow of the 1st step performed by the server apparatus side. ユーザ端末側で行う第1段階目の認証処理フローを示す図である。It is a figure which shows the authentication process flow of the 1st step performed by the user terminal side.

以下、本発明を実施する一実施の形態について図面を用いて説明する。   Hereinafter, an embodiment for carrying out the present invention will be described with reference to the drawings.

図1は、本実施の形態に係る装置認証システムの全体構成を示す図である。この装置認証システムは、インターネットを介して相互通信可能に接続されたサーバ装置1とユーザ端末3とを備えて構成される。   FIG. 1 is a diagram showing an overall configuration of a device authentication system according to the present embodiment. This device authentication system includes a server device 1 and a user terminal 3 that are connected to each other via the Internet so as to be able to communicate with each other.

図2は、サーバ装置1の機能ブロック構成を示す図である。このサーバ装置1は、例えばWWWサービスを提供するWWWサーバであり、ユーザ端末3に関するユーザ情報を記憶するユーザ情報記憶部11と、ユーザ端末3を認証するユーザ認証部12と、ユーザ端末3との間でHTTP通信を行うHTTP通信部13と、SMS通信を行うSMS通信部14と、電子メール通信を行うEメール通信部15と、を備えて構成される。   FIG. 2 is a diagram illustrating a functional block configuration of the server device 1. The server device 1 is, for example, a WWW server that provides a WWW service, and includes a user information storage unit 11 that stores user information regarding the user terminal 3, a user authentication unit 12 that authenticates the user terminal 3, and the user terminal 3. An HTTP communication unit 13 that performs HTTP communication, an SMS communication unit 14 that performs SMS communication, and an email communication unit 15 that performs electronic mail communication.

図3は、ユーザ端末3の機能ブロック構成を示す図である。このユーザ端末3は、例えばWWWサービスを享受するクライアント装置であり、自端末のユーザに関するユーザ情報を記憶するユーザ情報記憶部31と、サーバ装置1の正当性を検証するサーバ検証部33と、サーバ装置1との間でHTTP通信を行うHTTP通信部33と、SMS通信を行うSMS通信部34と、電子メール通信を行うEメール通信部35と、を備えて構成される。   FIG. 3 is a diagram illustrating a functional block configuration of the user terminal 3. The user terminal 3 is, for example, a client device that enjoys a WWW service, and includes a user information storage unit 31 that stores user information related to a user of the terminal, a server verification unit 33 that verifies the validity of the server device 1, and a server An HTTP communication unit 33 that performs HTTP communication with the apparatus 1, an SMS communication unit 34 that performs SMS communication, and an e-mail communication unit 35 that performs e-mail communication are configured.

次に、この装置認証システムで行う装置認証方法を説明する。この装置認証方式は、図4に示すように、アカウント登録を行った後、ユーザ端末3がサーバ装置1を認証する第1段階と、サーバ装置1がユーザ端末3を認証する第2段階との2段階の認証処理を実行する。以下、第1段階目で行う認証処理について詳述する。なお、第2段階目の認証処理は従来の認証方法に相当するため詳細説明を省略する。例えば、サーバ装置1において、ユーザ端末3からID及びパスワードを受信すると、メモリ等に予め保持されているユーザ端末3のID及びパスワードを用いて認証する、といった既存のクライアント認証を実行する。   Next, a device authentication method performed by this device authentication system will be described. As shown in FIG. 4, this apparatus authentication method includes a first stage in which the user terminal 3 authenticates the server apparatus 1 after account registration and a second stage in which the server apparatus 1 authenticates the user terminal 3. A two-step authentication process is executed. Hereinafter, the authentication process performed in the first stage will be described in detail. The second stage authentication process corresponds to a conventional authentication method and will not be described in detail. For example, when receiving an ID and password from the user terminal 3 in the server device 1, existing client authentication is executed such that authentication is performed using the ID and password of the user terminal 3 held in advance in a memory or the like.

最初に、図5,6を参照しながら、サーバ装置1とユーザ端末3の各アカウント情報を登録する処理について説明する。本処理では、後段の2つの認証処理で必要とされる情報をサーバ装置1とユーザ端末3で相互に設定する。   First, a process for registering each account information of the server device 1 and the user terminal 3 will be described with reference to FIGS. In this process, information required for the latter two authentication processes is mutually set by the server device 1 and the user terminal 3.

まず、図5を参照しながら、ユーザ端末3で行うサーバ装置1のアカウント情報の登録処理を説明する。最初に、ステップS101において、HTTP通信部33は、ユーザ情報記憶部31に登録されている自端末のユーザID及びパスワードを読み出してサーバ装置1へ送信する。ここで送信されるユーザ端末ID及びパスワードは、第2段階目の認証処理時に利用される。   First, the account information registration process of the server device 1 performed by the user terminal 3 will be described with reference to FIG. First, in step S <b> 101, the HTTP communication unit 33 reads the user ID and password of the own terminal registered in the user information storage unit 31 and transmits them to the server device 1. The user terminal ID and password transmitted here are used during the second stage authentication process.

引き続き、ステップS102において、HTTP通信部33は、ユーザ情報記憶部31に設定されているワンタイムURL生成用ID及び秘密情報Sを読み出してサーバ装置1へ送信する。ここで送信されるワンタイムURL生成用ID及び秘密情報Sは、第1段階目の認証処理時に利用される。   Subsequently, in step S <b> 102, the HTTP communication unit 33 reads the one-time URL generation ID and the secret information S set in the user information storage unit 31 and transmits them to the server device 1. The one-time URL generation ID and secret information S transmitted here are used during the first stage authentication process.

その後、ステップS103において、HTTP通信部33は、ステップS102の送信先であったサーバ装置1の識別子(例えば、FQDN)をキーにして、当該サーバ装置1の識別子とステップS102で送信したワンタイムURL生成用ID及び秘密情報Sとを関連付けてユーザ情報記憶部31に保持する。これにより、サーバ装置1のアカウント情報がユーザ端末3に登録される。   Thereafter, in step S103, the HTTP communication unit 33 uses the identifier (for example, FQDN) of the server apparatus 1 that was the transmission destination in step S102 as a key, and the one-time URL transmitted in step S102. The generation ID and the secret information S are stored in the user information storage unit 31 in association with each other. Thereby, the account information of the server device 1 is registered in the user terminal 3.

ここで、ワンタイムURL生成用ID及び秘密情報Sについて説明する。ワンタイムURL生成用ID及び秘密情報Sは、上述したように第1段階目の認証処理時にサーバ装置1の正当性を検証するために用いられる。   Here, the one-time URL generation ID and the secret information S will be described. As described above, the one-time URL generation ID and the secret information S are used to verify the validity of the server device 1 during the first-stage authentication process.

ワンタイムURL生成用IDとは、ユーザ端末3が認証処理時にサーバ装置1からワンタイムURLを得るために最初に用いるIDである。後述するように、WWWブラウザ上でのHTTP、SMS、又はEメールを利用して送信される。また、ワンタイムURL生成用IDに基づきサーバ装置1で生成されるワンタイムURLは、乱数Rを用いて生成されるため、1回限りのユーザ認証用のページとなる。ワンタイムURLのユーザ認証ページは、当該ユーザ以外からの全ての認証処理を失敗とする。   The one-time URL generation ID is an ID that the user terminal 3 first uses to obtain a one-time URL from the server device 1 during the authentication process. As will be described later, it is transmitted using HTTP, SMS, or e-mail on a WWW browser. Further, since the one-time URL generated by the server device 1 based on the one-time URL generation ID is generated using the random number R, it becomes a one-time user authentication page. The one-time URL user authentication page fails all authentication processes from users other than the user.

なお、ワンタイムURL生成用ID自体を適宜変更してもよい。定期的又は非定期にワンタイムURL生成用IDを変更することにより、不正アクセスされる確率を確実に低減できる。また、ワンタイムURL生成用IDは、その目的に特化させ、他サイトへのアカウントとして流用しないことにより、外部に漏洩する機会を無くし、認証の処理自体を不当に実施させないようにしてもよい。   The one-time URL generation ID itself may be changed as appropriate. The probability of unauthorized access can be reliably reduced by changing the one-time URL generation ID periodically or irregularly. Also, the one-time URL generation ID may be specialized for the purpose and not diverted as an account to other sites, so that there is no chance of leaking to the outside and the authentication process itself may not be carried out unfairly. .

次に、図6を参照しながら、サーバ装置1で行うユーザ端末3のアカウント情報の登録処理を説明する。最初に、ステップS201において、HTTP通信部13は、ユーザ端末3のユーザID及びパスワードを受信すると、そのユーザIDのアカウントを生成してユーザ情報記憶部11に記憶する。   Next, the account information registration process of the user terminal 3 performed by the server device 1 will be described with reference to FIG. First, in step S <b> 201, when receiving the user ID and password of the user terminal 3, the HTTP communication unit 13 generates an account for the user ID and stores it in the user information storage unit 11.

次に、ステップS202において、HTTP通信部13は、ユーザ端末3から送信されたワンタイムURL生成用ID及び秘密情報Sを受信すると、ステップS203において、受信したユーザIDをキーにしてワンタイムURL生成用ID及び秘密情報Sに関連付けてユーザ情報記憶部11に保持する。これにより、ユーザ端末3のアカウント情報がサーバ装置1に登録される。   Next, in step S202, when the HTTP communication unit 13 receives the one-time URL generation ID and the secret information S transmitted from the user terminal 3, in step S203, the HTTP communication unit 13 generates a one-time URL using the received user ID as a key. It is stored in the user information storage unit 11 in association with the business ID and the secret information S. Thereby, the account information of the user terminal 3 is registered in the server device 1.

なお、サーバ装置1及びユーザ端末3は、秘密情報Sを内部に閉じて利用するものとし、暗号化等を施し容易に漏洩させないものとする。また、秘密情報Sとは、サーバ装置1とユーザ端末3で共に共有的に保持される共有データである。   Note that the server device 1 and the user terminal 3 use the secret information S while being closed, and are not easily leaked by performing encryption or the like. The secret information S is shared data that is shared and shared by the server device 1 and the user terminal 3.

続いて、図7〜図9を参照しながら第1段階目の認証処理について説明する。この認証処理は、前述したようにユーザ端末3がサーバ装置1を認証する処理である。   Next, the first-stage authentication process will be described with reference to FIGS. This authentication process is a process in which the user terminal 3 authenticates the server device 1 as described above.

まず、図7を参照しながら、ユーザ端末3がワンタイムURL生成用IDをサーバ装置1へ送信するまでの処理を説明する。最初に、ステップS301において、サーバ検証部32は、サーバ装置1の識別子をキーにして、アカウント登録を行ったサーバ装置1の識別子に対応するワンタイムURL生成用IDをユーザ情報記憶部31から取得する。   First, a process until the user terminal 3 transmits a one-time URL generation ID to the server apparatus 1 will be described with reference to FIG. First, in step S <b> 301, the server verification unit 32 acquires, from the user information storage unit 31, a one-time URL generation ID corresponding to the identifier of the server device 1 that registered the account, using the identifier of the server device 1 as a key. To do.

次に、ステップS302において、サーバ検証部32は、サーバ装置1で生成予定のワンタイムURLを1回限りの使い捨てURLにするため、乱数Rを生成する。   Next, in step S <b> 302, the server verification unit 32 generates a random number R to make the one-time URL scheduled to be generated by the server device 1 a one-time disposable URL.

その後、ステップS303において、SMS通信部34は、ワンタイムURL生成用IDと乱数Rとを当該ワンタイムURL生成用IDを送信したサーバ装置1へSMSで送信する。具体的には、SIPのURI又は電話番号形式のワンタイムURL生成用ID宛てにメッセージ送信する。サーバ装置宛てにワンタイムURL生成用IDを含むメッセージを送信してもよい。   Thereafter, in step S303, the SMS communication unit 34 transmits the one-time URL generation ID and the random number R to the server apparatus 1 that has transmitted the one-time URL generation ID by SMS. Specifically, a message is transmitted to the one-time URL generation ID in the SIP URI or telephone number format. A message including the one-time URL generation ID may be transmitted to the server device.

このとき、SMS送信に代えて、HTTP又はEメールで送信してもよい。HTTPで送信する場合、「https://サーバ名/ワンタイムURL生成用ID」又は「https://サーバ名/login?generateid=ワンタイムURL生成用ID」のように、ワンタイムURL生成用IDをHTTPのURLの一部又はパラメータとして指定する。Eメール送信であれば、Eメールアドレス形式のワンタイムURL生成用ID宛てにメッセージを送信する。サーバ装置宛てにワンタイムURL生成用IDを含むメッセージを送信してもよい。なお、この送信に対してサーバ装置1からワンタイムURLが返答されるが、その返答方式も、WWWページ、SMSメッセージ、又はEメール等を用いて実現する。いずれの返答方式を用いるかはユーザのアカウント登録時にサーバ装置1との間で予め決定され登録されている。   At this time, instead of SMS transmission, it may be transmitted by HTTP or E-mail. When sending with HTTP, for one-time URL generation, such as "https: // server name / one-time URL generation ID" or "https: // server name / login? Generateid = one-time URL generation ID" The ID is specified as a part of HTTP URL or as a parameter. In the case of e-mail transmission, a message is transmitted to the one-time URL generation ID in the e-mail address format. A message including the one-time URL generation ID may be transmitted to the server device. Note that a one-time URL is returned from the server device 1 in response to this transmission, and the response method is also realized using a WWW page, an SMS message, an e-mail, or the like. Which response method is used is determined and registered in advance with the server device 1 at the time of user account registration.

次に、図8を参照しながら、サーバ装置1がワンタイムURL生成用IDを受信してからワンタイムURLを生成してユーザ端末3へ送信するまでの処理を説明する。最初に、ステップS401において、ユーザ認証部12は、ユーザ端末3からのワンタイムURL生成用ID及び乱数Rを受信すると、そのワンタイムURL生成用IDに紐づくユーザIDを特定し、そのユーザIDに関連付けられた秘密情報Sをユーザ情報記憶部11から取得する。   Next, processing from when the server apparatus 1 receives the one-time URL generation ID until the server apparatus 1 generates the one-time URL and transmits it to the user terminal 3 will be described with reference to FIG. First, in step S401, upon receiving the one-time URL generation ID and the random number R from the user terminal 3, the user authentication unit 12 specifies the user ID associated with the one-time URL generation ID, and the user ID The secret information S associated with is acquired from the user information storage unit 11.

次に、ステップS402において、ユーザ認証部12は、取得した秘密情報Sに受信した乱数Rを結合し、結合したデータに対してSHA1等のハッシュ関数を用いてハッシュ値を算出する。このハッシュ値は、ユーザ端末3で行われるサーバ装置1の正当性を判定するために用いられる。   Next, in step S402, the user authentication unit 12 combines the received random information R with the acquired secret information S, and calculates a hash value for the combined data using a hash function such as SHA1. This hash value is used to determine the validity of the server device 1 performed at the user terminal 3.

次に、ステップS403において、ユーザ認証部12は、算出したハッシュ値をパス名とするワンタイムURLを生成する。例えば、算出したハッシュ値をワンタイムURLのパス名の最下層として「http://domain名/dir1名/dir2名/[ハッシュ値]」のようにワンタイムURLを生成する。このワンタイムURLは乱数Rを用いて生成されるため、1回限りの使い捨てURLとなる。   Next, in step S403, the user authentication unit 12 generates a one-time URL having the calculated hash value as a path name. For example, a one-time URL such as “http: // domain name / dir1 name / dir2 name / [hash value]” is generated with the calculated hash value as the lowest layer of the path name of the one-time URL. Since this one-time URL is generated using the random number R, it is a one-time disposable URL.

その後、ステップS404において、SMS通信部14は、ワンタイムURLをワンタイムURL生成用IDの送信元であるユーザ端末3へSMSで送信する。   Thereafter, in step S404, the SMS communication unit 14 transmits the one-time URL to the user terminal 3 that is the transmission source of the one-time URL generation ID by SMS.

次に、図9を参照しながら、ユーザ端末3で行うサーバ装置1の認証処理を説明する。最初に、ステップS501において、サーバ検証部32は、サーバ装置1からのワンタイムURLを受信すると、そのワンタイムURLからスキーマ及びドメインを除くパス名を取得することによりサーバ装置1のハッシュ値を取得する。   Next, an authentication process of the server device 1 performed by the user terminal 3 will be described with reference to FIG. First, in step S501, when the server verification unit 32 receives the one-time URL from the server device 1, the server verification unit 32 acquires the hash value of the server device 1 by acquiring the path name excluding the schema and domain from the one-time URL. To do.

次に、ステップS502において、サーバ検証部32は、ユーザ情報記憶部31から当該サーバ装置1に紐づく秘密情報Sを取得し、ステップS503において、取得した秘密情報SとステップS302で生成した乱数Rとを結合したデータのハッシュ値を算出して検証用ハッシュ値とする。   Next, in step S502, the server verification unit 32 acquires the secret information S associated with the server device 1 from the user information storage unit 31, and in step S503, the acquired secret information S and the random number R generated in step S302. The hash value of the data obtained by combining and is calculated as a verification hash value.

次に、ステップS504において、サーバ検証部32は、算出した検証用ハッシュ値をもとにサーバ装置1のハッシュ値を検証する。具体的には、パス名に含まれるハッシュ値と検証用ハッシュ値とを比較し、これら2つのハッシュ値が一致すれば正しいサーバ装置にアクセスしていると判定し、不一致であれば偽のサーバ装置であると判定する。   Next, in step S504, the server verification unit 32 verifies the hash value of the server device 1 based on the calculated verification hash value. Specifically, the hash value included in the path name is compared with the hash value for verification, and if these two hash values match, it is determined that the correct server device is accessed, and if they do not match, a fake server It is determined that it is a device.

その後、正しいサーバ装置にアクセスしていると判定された場合、ステップS505において、ユーザ端末3は、前述した第2段階目の認証処理へ進み、ステップS101,S201のアカウント登録時に送受信したID及びパスワードを用いて認証処理を継続する。一方、偽のサーバ装置にアクセスしていると判定された場合、ステップS506において、HTTP通信部33は、HTTP通信を切断し、第2段階目の認証処理へ進むことなく全ての認証処理を終了する。   Thereafter, when it is determined that the correct server device is accessed, in step S505, the user terminal 3 proceeds to the above-described second-stage authentication process, and the ID and password transmitted and received during account registration in steps S101 and S201. Continue the authentication process using. On the other hand, if it is determined that the fake server device is accessed, in step S506, the HTTP communication unit 33 terminates all authentication processes without disconnecting the HTTP communication and proceeding to the second stage authentication process. To do.

本実施の形態によれば、ユーザ端末3がサーバ装置1を認証し、サーバ装置1がユーザ端末3を認証するので、認証処理が2段階で行われることから、装置の認証精度を向上できる。   According to the present embodiment, since the user terminal 3 authenticates the server device 1 and the server device 1 authenticates the user terminal 3, the authentication process is performed in two stages, so that the authentication accuracy of the device can be improved.

また、本実施の形態によれば、ユーザ端末3は、サーバ装置1との間で共有する秘密情報Sを記憶しておき、乱数Rを生成してサーバ装置1へ送信し、秘密情報Sと乱数Rを結合したデータのハッシュ値を検証用として算出して、サーバ装置1からのハッシュ値との同一性に基づきサーバ装置1を認証するので、装置の認証精度を更に向上できる。乱数Rは認証処理毎に生成されるため、そこから生成されるハッシュ値もログインごとに変化することから、秘密情報Sを算出することは現実的に不可能に近いため、装置の認証精度を確実に向上可能となる。   Further, according to the present embodiment, the user terminal 3 stores the secret information S shared with the server device 1, generates a random number R and transmits the random number R to the server device 1. Since the hash value of the data combined with the random number R is calculated for verification and the server device 1 is authenticated based on the identity with the hash value from the server device 1, the authentication accuracy of the device can be further improved. Since the random number R is generated for each authentication process, the hash value generated therefrom also changes for each login. Therefore, since it is almost impossible to calculate the secret information S, the authentication accuracy of the device is reduced. It can be improved reliably.

また、本実施の形態によれば、秘密情報Sと乱数Rを結合したデータのハッシュ値をパス名とするワンタイムURLを用いているので、ユーザ自身がサーバ装置1を検証すると共に強力なユーザ認証を実現できる。   Further, according to the present embodiment, since the one-time URL having the path name as the hash value of the data obtained by combining the secret information S and the random number R is used, the user himself / herself verifies the server device 1 and is a powerful user Authentication can be realized.

以上より、ユーザによる注意といった不確定な行為によらず、システム的に正しいサーバ装置ではないことを検出可能としつつ、SSL証明書に関する専門知識を持たずとも不正か否かをユーザ自身が判断できる。   From the above, it is possible to detect whether the server is not a correct server device systematically without depending on an uncertain action such as a user's attention, and the user can determine whether or not it is fraudulent without having expertise in SSL certificates. .

最後に、本実施の形態で説明したサーバ装置1やユーザ端末3をプログラムとして構築し、コンピュータにインストールして実行させることや、通信ネットワークを介して流通させることも可能である。   Finally, the server device 1 and the user terminal 3 described in the present embodiment can be constructed as a program, installed in a computer and executed, or distributed via a communication network.

1…サーバ装置
11…ユーザ情報記憶部
12…ユーザ認証部
13…HTTP通信部
14…SMS通信部
15…Eメール通信部
3…ユーザ端末
31…ユーザ情報記憶部
32…サーバ検証部
33…HTTP通信部
34…SMS通信部
35…Eメール通信部
S101〜S103、S201〜S203、S301〜S303、S401〜S404、S501〜S506…ステップ DESCRIPTION OF SYMBOLS 1 ... Server apparatus 11 ... User information storage part 12 ... User authentication part 13 ... HTTP communication part 14 ... SMS communication part 15 ... E-mail communication part 3 ... User terminal 31 ... User information storage part 32 ... Server verification part 33 ... HTTP communication Unit 34 ... SMS communication unit 35 ... Email communication unit S101 to S103, S201 to S203, S301 to S303, S401 to S404, S501 to S506 ... Step

Claims (7)

クライアント装置とサーバ装置で行う装置認証方法において、
前記クライアント装置は、
前記サーバ装置からの認証用データを受信する受信ステップと、
記憶手段から読み出した検証用データを用いて前記サーバ装置を認証する認証ステップと、を有し、
前記サーバ装置は、
前記クライアント装置からの認証用データを受信する受信ステップと、
記憶手段から読み出した検証用データを用いて前記クライアント装置を認証する認証ステップと、
を有することを特徴とする装置認証方法。 In the device authentication method performed by the client device and the server device,
The client device is
A receiving step of receiving authentication data from the server device;
An authentication step of authenticating the server device using verification data read from the storage means,
The server device
A receiving step of receiving authentication data from the client device;
An authentication step of authenticating the client device using verification data read from the storage means;
A device authentication method comprising: 前記クライアント装置は、
前記サーバ装置との間で共有する共有データを記憶しておく記憶ステップと、
乱数を生成する生成ステップと、
前記乱数を前記サーバ装置へ送信する送信ステップと、を更に有し、
前記クライアント装置の認証ステップでは、
前記共有データと前記乱数を含むデータのハッシュ値を検証用として算出し、前記サーバ装置からのハッシュ値との同一性に基づき前記サーバ装置を認証することを特徴とする請求項1に記載の装置認証方法。 The client device is
A storage step of storing shared data shared with the server device;
A generation step for generating a random number;
A transmission step of transmitting the random number to the server device,
In the authentication step of the client device,
2. The apparatus according to claim 1, wherein a hash value of the shared data and data including the random number is calculated for verification, and the server apparatus is authenticated based on the identity with the hash value from the server apparatus. Authentication method. 前記サーバ装置は、
前記共有データを記憶しておく記憶ステップと、
前記共有データと前記乱数を含むデータのハッシュ値をパス名とするワンタイム型のURLを生成する生成ステップと、
前記URLを前記クライアント装置へ送信する送信ステップと、を更に有し、
前記クライアント装置の認証ステップでは、
前記URLのパス名と前記検証用のハッシュ値との同一性に基づき前記サーバ装置を認証することを特徴とする請求項2に記載の装置認証方法。 The server device
A storage step for storing the shared data;
Generating a one-time type URL having a path name that is a hash value of data including the shared data and the random number;
A transmission step of transmitting the URL to the client device;
In the authentication step of the client device,
The apparatus authentication method according to claim 2, wherein the server apparatus is authenticated based on the identity of the path name of the URL and the hash value for verification. クライアント装置とサーバ装置を備えた装置認証システムにおいて、
前記クライアント装置は、
前記サーバ装置からの認証用データを受信する受信手段と、
記憶手段から読み出した検証用データを用いて前記サーバ装置を認証する認証手段と、を有し、
前記サーバ装置は、
前記クライアント装置からの認証用データを受信する受信手段と、
記憶手段から読み出した検証用データを用いて前記クライアント装置を認証する認証手段と、
を有することを特徴とする装置認証システム。 In a device authentication system comprising a client device and a server device,
The client device is
Receiving means for receiving authentication data from the server device;
Authentication means for authenticating the server device using verification data read from the storage means,
The server device
Receiving means for receiving authentication data from the client device;
Authentication means for authenticating the client device using verification data read from the storage means;
A device authentication system comprising: 前記クライアント装置は、
前記サーバ装置との間で共有する共有データを記憶しておく記憶手段と、
乱数を生成する生成手段と、
前記乱数を前記サーバ装置へ送信する送信手段と、を更に有し、
前記クライアント装置の認証手段は、
前記共有データと前記乱数を含むデータのハッシュ値を検証用として算出し、前記サーバ装置からのハッシュ値との同一性に基づき前記サーバ装置を認証することを特徴とする請求項4に記載の装置認証システム。 The client device is
Storage means for storing shared data shared with the server device;
Generating means for generating a random number;
Transmission means for transmitting the random number to the server device,
The authentication unit of the client device includes:
5. The apparatus according to claim 4, wherein a hash value of the shared data and data including the random number is calculated for verification, and the server apparatus is authenticated based on the identity with the hash value from the server apparatus. Authentication system. 前記サーバ装置は、
前記共有データを記憶しておく記憶手段と、
前記共有データと前記乱数を含むデータのハッシュ値をパス名とするワンタイム型のURLを生成する生成手段と、
前記URLを前記クライアント装置へ送信する送信手段と、を更に有し、
前記クライアント装置の認証手段は、
前記URLのパス名と前記検証用のハッシュ値との同一性に基づき前記サーバ装置を認証することを特徴とする請求項5に記載の装置認証システム。 The server device
Storage means for storing the shared data;
Generating means for generating a one-time type URL having a path name that is a hash value of data including the shared data and the random number;
Transmission means for transmitting the URL to the client device,
The authentication unit of the client device includes:
6. The apparatus authentication system according to claim 5, wherein the server apparatus is authenticated based on the identity of the path name of the URL and the hash value for verification. 請求項1乃至3のいずれかに記載の装置認証方法をコンピュータに実行させることを特徴とする装置認証プログラム。   A device authentication program for causing a computer to execute the device authentication method according to claim 1.
JP2014117264A 2014-06-06 2014-06-06 Device authentication method, device authentication system, and device authentication program Pending JP2015231177A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014117264A JP2015231177A (en) 2014-06-06 2014-06-06 Device authentication method, device authentication system, and device authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014117264A JP2015231177A (en) 2014-06-06 2014-06-06 Device authentication method, device authentication system, and device authentication program

Publications (1)

Publication Number Publication Date
JP2015231177A true JP2015231177A (en) 2015-12-21

Family

ID=54887752

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014117264A Pending JP2015231177A (en) 2014-06-06 2014-06-06 Device authentication method, device authentication system, and device authentication program

Country Status (1)

Country Link
JP (1) JP2015231177A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6473879B1 (en) * 2017-10-12 2019-02-27 宜浩 川村 Client server system
JP2020135197A (en) * 2019-02-15 2020-08-31 株式会社リコー Information processing apparatus
EP4104478A4 (en) * 2020-03-20 2023-07-26 Crenno Bilisim Hizmetleri AR-GE San. Tic. Ltd. Sti Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area
WO2024090461A1 (en) * 2022-10-27 2024-05-02 株式会社ZK Corporation Key system, electronic lock device, electronic key device, and information communication system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11316729A (en) * 1997-12-08 1999-11-16 Nippon Telegr & Teleph Corp <Ntt> Internet charging method/system and medium for recording internet charging program
JP2003123008A (en) * 2001-10-18 2003-04-25 Nippon Telegr & Teleph Corp <Ntt> Charging method and system, purchase control terminal, authentication charging server, sales server, charging program and storage medium storing charging program
JP2004070463A (en) * 2002-08-02 2004-03-04 Sony Corp Information processing system and method, information processing apparatus and method, recording medium, and program
JP2009296190A (en) * 2008-06-04 2009-12-17 Panasonic Corp Confidential communication method
JP2010271766A (en) * 2009-05-19 2010-12-02 Hitachi Software Eng Co Ltd Login authentication system
US8495735B1 (en) * 2008-12-30 2013-07-23 Uab Research Foundation System and method for conducting a non-exact matching analysis on a phishing website

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11316729A (en) * 1997-12-08 1999-11-16 Nippon Telegr & Teleph Corp <Ntt> Internet charging method/system and medium for recording internet charging program
JP2003123008A (en) * 2001-10-18 2003-04-25 Nippon Telegr & Teleph Corp <Ntt> Charging method and system, purchase control terminal, authentication charging server, sales server, charging program and storage medium storing charging program
JP2004070463A (en) * 2002-08-02 2004-03-04 Sony Corp Information processing system and method, information processing apparatus and method, recording medium, and program
JP2009296190A (en) * 2008-06-04 2009-12-17 Panasonic Corp Confidential communication method
US8495735B1 (en) * 2008-12-30 2013-07-23 Uab Research Foundation System and method for conducting a non-exact matching analysis on a phishing website
JP2010271766A (en) * 2009-05-19 2010-12-02 Hitachi Software Eng Co Ltd Login authentication system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
本人認証技術の現状に関する調査報告書, JPN6012044734, March 2003 (2003-03-01), JP, pages 13 - 18, ISSN: 0003590315 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6473879B1 (en) * 2017-10-12 2019-02-27 宜浩 川村 Client server system
WO2019074127A1 (en) * 2017-10-12 2019-04-18 宜浩 川村 Client server system
JP2019075089A (en) * 2017-10-12 2019-05-16 宜浩 川村 Client server system
US11222100B2 (en) 2017-10-12 2022-01-11 Yoshihiro Kawamura Client server system
JP2020135197A (en) * 2019-02-15 2020-08-31 株式会社リコー Information processing apparatus
JP7302193B2 (en) 2019-02-15 2023-07-04 株式会社リコー Information processing equipment
EP4104478A4 (en) * 2020-03-20 2023-07-26 Crenno Bilisim Hizmetleri AR-GE San. Tic. Ltd. Sti Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area
WO2024090461A1 (en) * 2022-10-27 2024-05-02 株式会社ZK Corporation Key system, electronic lock device, electronic key device, and information communication system

Similar Documents

Publication Publication Date Title
Chang et al. Untraceable dynamic‐identity‐based remote user authentication scheme with verifiable password update
US10313136B2 (en) Method and a system for verifying the authenticity of a certificate in a web browser using the SSL/TLS protocol in an encrypted internet connection to an HTTPS website
Kumari et al. Cryptanalysis and improvement of ‘a robust smart‐card‐based remote user password authentication scheme’
US7562222B2 (en) System and method for authenticating entities to users
US9124576B2 (en) Configuring a valid duration period for a digital certificate
US20090307486A1 (en) System and method for secured network access utilizing a client .net software component
US20090055642A1 (en) Method, system and computer program for protecting user credentials against security attacks
JP2008312048A (en) Authentication method of information terminal
US20100031041A1 (en) Method and system for securing internet communication from hacking attacks
JP2013509840A (en) User authentication method and system
TW201347499A (en) Web authentication using client platform root of trust
CN105657474A (en) Anti-stealing link method and system using identity-based signature in video application
JP2015194879A (en) Authentication system, method, and provision device
WO2015158228A1 (en) Server, user equipment, and method for user equipment to interact with server
JP2015231177A (en) Device authentication method, device authentication system, and device authentication program
Perez et al. Improving end-to-end verifiable voting systems with blockchain technologies
US20170230416A1 (en) System and methods for preventing phishing attack using dynamic identifier
JP2010505334A (en) System and method for facilitating secure online transactions
US20230188345A1 (en) System and methods for interactive document sharing and authentication with privacy guarantee
KR101371054B1 (en) Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password
EP2916509A1 (en) Network authentication method for secure user identity verification
Oktian et al. Twochain: Leveraging blockchain and smart contract for two factor authentication
JP2010028689A (en) Server, method, and program for providing open parameter, apparatus, method, and program for performing encoding process, and apparatus, method, and program for executing signature process
JP5793593B2 (en) Network authentication method for securely verifying user identification information
WO2005094264A2 (en) Method and apparatus for authenticating entities by non-registered users

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170823

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180116