JP2021043675A - 制御方法、制御プログラム、情報処理装置及び情報処理システム - Google Patents
制御方法、制御プログラム、情報処理装置及び情報処理システム Download PDFInfo
- Publication number
- JP2021043675A JP2021043675A JP2019164811A JP2019164811A JP2021043675A JP 2021043675 A JP2021043675 A JP 2021043675A JP 2019164811 A JP2019164811 A JP 2019164811A JP 2019164811 A JP2019164811 A JP 2019164811A JP 2021043675 A JP2021043675 A JP 2021043675A
- Authority
- JP
- Japan
- Prior art keywords
- program
- authenticator
- authentication
- terminal device
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims description 56
- 230000010365 information processing Effects 0.000 title claims description 44
- 230000005540 biological transmission Effects 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 30
- 230000004044 response Effects 0.000 claims description 28
- 238000013475 authorization Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 7
- 230000000052 comparative effect Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000004397 blinking Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】不正なプログラムに対して認証器の認証結果を送信するのを防止する【解決手段】外部認証器400は、サービスの認証画面を端末装置100のモニタに表示するブラウザ20から認証依頼のコマンドを受け付けたときに(1)、提供サーバ200に対してプログラムを送信する(2)。そして、提供サーバ200は、受信したプログラムを端末装置100のブラウザ20に送信する((3)、(4))。このプログラムは、認証画面を識別可能に表示させるプログラムであるため、ユーザは、どのブラウザが認証依頼のコマンドを送信してきたものであるかを確認することができる。【選択図】図7
Description
本発明は、制御方法、制御プログラム、情報処理装置及び情報処理システムに関する。
従来、オンラインバンキングやネットショッピングなどインターネットを経由してサービスにログインするために本人確認が行われるケースがある。近年、FIDO Alliance(Fast IDentity Online Alliance)により、生体認証などを利用した新しいオンライン認証技術の標準化が進められており、オンラインバンキングサービスなどにおいて採用されている。FIDO Allianceにより標準化が進められている認証方式では、生体情報などを用いたローカル認証とネットワークを経由した公開鍵暗号による署名検証の組み合わせにより、インターネットに生体情報などの機密情報を流さずにセキュアな認証を実現している。なお、ローカル認証は、ユーザが利用している端末やスマートフォンなどの外部認証器(ローカル)に登録データを保持し、端末や外部認証器内で行う認証を意味する。
FIDO2.0に準拠した認証(非特許文献2)において生体認証を行うためにブラウザのJavaScript(登録商標)から認証器にアクセスする場合、CTAP(Client-to-Authenticator Protocol)プロトコルを用い、認証器に対してUSB(Universal Serial Bus)/BLE(Bluetooth(登録商標) Low Energy)/NFC(Near Field Communication)のようなブリッジインタフェースを経由して接続できる。
"FIDO Alliance"、[Online]、[平成30年11月22日検索]、インターネット<https://fidoalliance.org/specifications/overview/>
"FIDO Alliance"、[Online]、[平成30年11月22日検索]、インターネット<https://fidoalliance.org/fido2/>
上記のようにブラウザがブリッジインタフェースを経由して認証器に接続する場合、正当なブラウザと認証器とが安全に接続を確立する必要があり、不正なプログラムに対して認証器の認証結果を送信するのを防止する必要がある。
1つの側面では、本発明は、不正なプログラムに対して認証器の認証結果を送信するのを防止することが可能な制御方法、制御プログラム、情報処理装置及び情報処理システムを提供することを目的とする。
一つの態様では、制御方法は、サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、処理をコンピュータが実行する制御方法である。
不正なプログラムに対して認証器の認証結果を送信するのを防止することができる。
以下、一実施形態に係る認証システムついて、図1〜図13に基づいて詳細に説明する。図1は、一実施形態に係る情報処理システム10の構成の一例を示す図である。
図1に示すように、本実施形態の情報処理システム10は、端末装置100と、認証器としての外部認証器400と、情報処理装置としての提供サーバ200と、FIDOサーバ300とを有する。なお、情報処理システム10では、端末装置100、外部認証器400、提供サーバ200およびFIDOサーバ300の数は限定されず、任意の数の端末装置100、外部認証器400、提供サーバ200およびFIDOサーバ300を有することとしてもよい。端末装置100と提供サーバ200との間、端末装置100とFIDOサーバ300との間、および、提供サーバ200とFIDOサーバ300との間は、ネットワークNを介して、相互に通信可能に接続される。かかるネットワークNには、有線または無線を問わず、インターネットを始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。また、ネットワークNを介する通信は、例えば、TLS(Transport Layer Security)/SSL(Secure Sockets Layer)等によって暗号化される。また、端末装置100と外部認証器400は、NFC(Near Field Communication)、BLE(Bluetooth(登録商標) Low Energy)、USB(Universal Serial Bus)などにより接続される。
情報処理システム10は、提供サーバ200が提供するサービス(例えば、オンラインバンキングのサービス)を端末装置100においてユーザが利用する際に、端末装置100に接続された外部認証器400でユーザの生体情報を照合することでユーザ認証処理を行う。そして、外部認証器400は、認証結果に署名をしてFIDOサーバ300に送信し、署名検証に問題が無ければ、提供サーバ200がユーザに対してサービスを提供する。ここで、端末装置100は、提供サーバ200が提供するサービスをユーザが利用するための情報処理装置である。端末装置100は、例えば、生体センサ等が内蔵されていない据え置き型のパーソナルコンピュータなどであるものとする。なお、端末装置100は、不特定多数のユーザにより利用されるATM(Automatic Teller Machine)などのキオスク端末であってもよい。外部認証器400は、例えば指紋センサなどを有するスマートフォンであるものとする。
本実施形態の情報処理システム10では、上述したユーザ認証処理を行う機能とは別に、端末装置100にインストールされた不正なプログラム(アプリ)が外部認証器400による認証結果を用いて、悪意のある操作を行うのを防止する機能を備えている。不正なプログラムは、例えば、ユーザの生体認証結果を不正に取得して、オンラインバンキングにおいて、ユーザが意図しない振込先へ金銭を振り込み等するプログラムであるものとする。
図2には、情報処理システム10が有する各装置の構成が示されている。
図2に示すように、端末装置100では、ブラウザ20においてJavaScript(登録商標)などのアプリが実行されることにより、情報送受信部22及び表示制御部24としての機能が実現されている。情報送受信部22及び表示制御部24の具体的な機能については、後述する。ブラウザ20は、ブリッジインタフェース28を経由して外部認証器400と接続する。なお、ブラウザは複数のタブ画面(タブ)を有する場合があるが、本実施形態においては、説明の便宜上、1つ1つのタブが別々のブラウザであると見做して説明する。なお、ブラウザ20は、提供サーバ200のサービスの画面を表示部193上に表示するソフトウェアの一例である。
ここで、端末装置100は、例えば、図12(a)に示すようなハードウェア構成を有する。端末装置100は、各種演算処理を実行するCPU(Central Processing Unit)190と、データ入力を受け付ける入力装置195と、表示部としてのモニタ193とを有する。また、端末装置100は、可搬型記憶媒体191からプログラム等を読み取る可搬型記憶媒体用ドライブ199と、他の情報処理装置等と有線または無線により接続するための通信装置197とを有する。また、端末装置100は、ROM(Read Only Memory)192、RAM(Random Access Memory)194、HDD(Hard Disk Drive)196を有する。これら端末装置100に含まれる各装置は、バス198に接続される。
ROM192には、図2に示した各部の機能を有する制御プログラムが記憶される。入力装置195は、例えば、端末装置100のユーザから操作情報等の各種情報の入力を受け付ける。モニタ193は、例えば、端末装置100のユーザに対して表示画面等の各種画面を表示する。通信装置197は、例えば、ネットワークNと接続され、他の情報処理装置等と各種情報をやりとりする。
CPU190は、ROM192に記憶された制御プログラムを読み出して、RAM194に展開して実行することで、各種の処理を行う。また、制御プログラムは、端末装置100を図2に示した各部として機能させることができる。
なお、上記制御プログラムは、必ずしもROM192に記憶されている必要はない。例えば、端末装置100が読み取り可能な可搬型記憶媒体191に記憶されたプログラムを、端末装置100が読み出して実行するようにしてもよい。可搬型記憶媒体191としては、例えば、CD−ROMやDVD(Digital Versatile Disc)、USBメモリ等が挙げられる。また、公衆回線、インターネット、LAN等に接続された装置にこの制御プログラムを記憶させておき、端末装置100がこれらから制御プログラムを読み出して実行するようにしてもよい。
図2に戻り、外部認証器400は、CTAP接続インタフェース40、証明書・鍵管理部42、署名部44、GUI(Graphical User Interface)制御部46、データ生成部48、生体認証ライブラリ50、FIDO処理部52を有する。
CTAP接続インタフェース40は、ブリッジインタフェース28を介して、CTAPプロトコルを用いて端末装置100と接続する。なお、CTAPプロトコルは、FIDO2.0から採用される認証器にアクセスするためのプロトコルである。
証明書・鍵管理部42は、外部認証器400の秘密鍵や提供サーバ200から受信したTLS証明書(公開鍵を含む)を管理する。署名部44は、提供サーバ200からブラウザ20を経由して署名要求が送信されてきたときに、署名処理を実行する。署名部44は、ユーザ認証処理において、後述するデータ生成部48が認証OKと判定した場合に、証明書・鍵管理部42で管理されている外部認証器400の秘密鍵を用いて署名を行う。そして、署名部44は、ユーザ認証処理結果としての署名を、端末装置100を介してFIDOサーバ300に送信する。
GUI制御部46は、生体認証の入力用ダイアログをモニタ293上に表示する。また、GUI制御部46は、外部認証器400に対して認証依頼を出しているサービスを表示するブラウザ(タブ)を識別可能に表示するためのプログラムを複数表示し、ユーザに対して選択を促す。ここで、ブラウザを識別可能に表示するプログラムには、例えば、ブラウザに所定の数字(例えば「123」)を表示するプログラム、ブラウザを点滅させるプログラム、ブラウザを所定色の枠(例えば赤枠)で表示するプログラム、ブラウザを最前面に表示するプログラム等が含まれる。
データ生成部48は、外部認証器400が有する生体センサ289(図12(b)参照)から取得した画像から照合用データを生成する。また、データ生成部48は、ユーザ認証処理において、生体認証ライブラリ50に格納されている生体データと、生成した照合用データとを比較して、認証OK/NGを判定する。
FIDO処理部52は、不正なプログラムによる悪意のある操作を防止するための各種処理を実行する。例えば、FIDO処理部52は、ユーザが選択したプログラムをブラウザ20を介して提供サーバ200に送信する。
ここで、外部認証器400は、例えば、図12(b)に示すようなハードウェア構成を有する。外部認証器400は、上述した端末装置100と同様、CPU290、ROM292、RAM294、HDD296、入力装置295、モニタ293、通信装置297を有する。また、外部認証器400は、可搬型記憶媒体291からプログラム等を読み取る可搬型記憶媒体用ドライブ299を有する。更に、外部認証器400は、指紋センサや静脈センサなどの生体センサ289を有する。これら外部認証器400に含まれる各装置は、バス298に接続される。CPU290は、例えば、ROM192に記憶された各プログラムを読み出して、RAM294に展開して実行することで、図2に示す外部認証器400の各部として機能させることができる。
提供サーバ200は、各種サービスを提供するサーバである。提供サーバ200は、後述する外部認証器400による認証処理の結果(認証結果)に問題ないことがFIDOサーバ300において検証された場合に、ユーザ専用のサービスを提供するためのWebページを端末装置100に送信する。なお、本実施形態では、一例として、提供サーバ200のドメイン名が「abc.com」であるものとする。ここで、提供サーバ200は、送受信部32と、プログラム抽出部34を有している。送受信部32は、端末装置100やFIDOサーバ300との間で、情報のやり取りを行う。プログラム抽出部34は、外部認証器400のFIDO処理部52から送信されてきたレスポンスからブラウザを識別可能に表示するためのプログラムを抽出する。プログラム抽出部34が抽出したプログラムは、送受信部32によって、端末装置100のブラウザ20に送信される。これにより、プログラムを受信したブラウザ20は、プログラムの内容通りに識別可能に表示される。なお、本実施形態では、送受信部32がプログラムを受信する受信部として機能しており、送受信部32とプログラム抽出部34とにより、プログラムをブラウザ20に対して送信する送信部として機能している。
FIDOサーバ300は、外部認証器400を用いた認証処理を制御するサーバである。FIDOサーバ300は、事前登録部66と、検証部60と、を有している。事前登録部66は、外部認証器400の登録処理を実行する。事前登録部66による登録処理には、ユーザのメールアドレスとユーザID(userid)との紐づけ処理や、外部認証器400の公開鍵の登録処理が含まれる。検証部60は、外部認証器400から端末装置100を経由して認証結果を取得すると、認証結果を検証し、問題が無ければ、提供サーバ200にユーザの情報(ユーザのメールアドレス)を送信する。この場合、提供サーバ200は、ユーザのメールアドレスに対応するWebページ(ユーザ専用のWebページ)をブラウザ20に送信し、ユーザに対するサービス提供を開始する。ここで、FIDOサーバ300は、ユーザDB62と、公開鍵repository64とを有する。ユーザDB62においては、ユーザが入力したメールアドレスと、ユーザID(userid)と、登録された外部認証器400の情報と、が紐付けられている。公開鍵repository64には、外部認証器400の公開鍵がユーザIDに紐付けて格納されている。
提供サーバ200及びFIDOサーバ300は、例えば、図13に示すようなハードウェア構成を有する。提供サーバ200及びFIDOサーバ300は、CPU90、ROM92、RAM94、HDD96、通信装置97を有する。また、提供サーバ200及びFIDOサーバ300は、可搬型記憶媒体91からプログラム等を読み取る可搬型記憶媒体用ドライブ99を有する。これら提供サーバ200及びFIDOサーバ300に含まれる各装置は、バス98に接続される。提供サーバ200のCPU90は、例えば、ROM92に記憶された制御プログラムを読み出して、RAM94に展開して実行することで、図2に示す提供サーバ200の各部として機能させることができる。また、FIDOサーバ300のCPU90もプログラムを同様にして実行することで、図2に示すFIDOサーバ300の各部として機能させることができる。
(情報処理システム10の処理について)
以下、情報処理システム10の処理について、図3、図5に基づいて詳細に説明する。図3は、外部認証器400の登録時の処理を示しており、図5は、サービス利用時の処理を示している。
以下、情報処理システム10の処理について、図3、図5に基づいて詳細に説明する。図3は、外部認証器400の登録時の処理を示しており、図5は、サービス利用時の処理を示している。
(登録時の処理)
図3の処理の前提として、端末装置100のモニタ193に表示されているブラウザ20には、図4(a)に示すような登録画面が表示されているものとする。図4(a)の登録画面には、メールアドレスの入力欄と、登録ボタンが含まれる。この図4(a)の登録画面は、提供サーバ200のサービス(abc.com)を利用する際にユーザ認証に用いる外部認証器400の情報をFIDOサーバ300に登録するとともに、ユーザの情報(メールアドレス)を提供サーバ200に登録するための画面である。
図3の処理の前提として、端末装置100のモニタ193に表示されているブラウザ20には、図4(a)に示すような登録画面が表示されているものとする。図4(a)の登録画面には、メールアドレスの入力欄と、登録ボタンが含まれる。この図4(a)の登録画面は、提供サーバ200のサービス(abc.com)を利用する際にユーザ認証に用いる外部認証器400の情報をFIDOサーバ300に登録するとともに、ユーザの情報(メールアドレス)を提供サーバ200に登録するための画面である。
図3の処理においては、まず、ユーザが、自己のメールアドレス(以下、「メールアドレスyy」と表記する)を入力するとともに、登録ボタンを押す(S10)。これに対し、ブラウザ20の情報送受信部22は、提供サーバ200の送受信部32に対して、入力されたメールアドレスyyを用いて、サービス利用に関する登録要求を送信する(S12)。
次いで、提供サーバ200の送受信部32は、メールアドレスyyを確認し(S14)、メールアドレスyyに対してメールを送信する(S16)。このメールには、外部認証器400を登録するためのリンク(URL)が表示されているものとする。ユーザが端末装置100のメールアプリを用いてメールを開き、メール内のリンクをクリックすると(S18)、メールアプリから提供サーバ200の送受信部32に対して通知が行われる。この場合、提供サーバ200の送受信部32は、FIDOサーバ300の事前登録部66に対し、メールアドレスyyに関して、Level2(生体)登録を促すコマンドの送信を要求する(S20)。
FIDOサーバ300の事前登録部66は、提供サーバ200の送受信部32から上述した要求を受信すると、ユーザDB62においてメールアドレスyyとユーザID(userid)とを紐づける(S22)。また、送受信部32は、ブラウザ20の情報送受信部22に対してコマンドを送信する(S24)。このコマンドには、userid、乱数、提供サーバ200のドメイン名(abc.com)、Level2(生体)を促すpolicyが含まれる。ここで、乱数は、FIDOサーバ300の事前登録部66が有する乱数生成機能により生成される。なお、ユーザIDは、ユーザが事前に入力した識別情報であるものとする。
ブラウザ20の情報送受信部22は、提供サーバ200からコマンドを受信すると、表示制御部24に通知し、表示制御部24は、外部認証器400の接続を要求する表示を行う(S26)。この場合、ブラウザ20には、図4(b)に示すようなメッセージが表示されるものとする。ユーザは、このメッセージを確認したタイミングで、外部認証器400を端末装置100に対して接続する(S28)。
ユーザにより外部認証器400の接続が行われると、ブラウザ20の情報送受信部22は、ステップS24で受信したコマンドのうちの一部を含むコマンドを外部認証器400のFIDO処理部52に送信する(S30)。ここで送信されるコマンドには、乱数と提供サーバ200のドメイン名(abc.com)が含まれる。
外部認証器400のFIDO処理部52は、受信したコマンドに対して、レスポンスを送信する(S32)。このレスポンスには、pendingの情報と、提供サーバ200(abc.com)の証明書の送付要求が含まれる。提供サーバ200の送受信部32は、このレスポンスを受けて、外部認証器400のFIDO処理部52に対してコマンドを送信する(S34)。このコマンドには、乱数、提供サーバ200のドメイン名(abc.com)、サービス(abc.com)のTLS証明書が含まれる。
次いで、外部認証器400は、コマンドに含まれるサービス(abc.com)のTLS証明書を証明書・鍵管理部42に保存する(S36)。なお、外部認証器400は、コマンドに含まれる乱数がステップS30で受信したコマンドに含まれる乱数と一致しているかを確認し、一致している場合に、ステップS36の処理を行うことができる。これにより、コマンドが送信されてくる途中で改ざんされていないかをチェックした上で、ステップS36の処理を行うことができる。
そして、ユーザが、外部認証器400の生体センサ289を用いて生体情報を提供すると(S38)、生体認証ライブラリ50が生体情報を登録する。この段階で、証明書・鍵管理部42は、認証用の鍵ペア(公開鍵、秘密鍵)を生成し、秘密鍵を保存する。そして、外部認証器400のFIDO処理部52は、ブラウザ20を介してレスポンスをFIDOサーバ300の事前登録部66に送信する(S40)。このレスポンスには、提供サーバ200のドメイン名(abc.com)、乱数、外部認証器400の公開鍵を署名したものが含まれる。FIDOサーバ300の事前登録部66は、署名及び外部認証器400がLevel2(生体)を満たすこと(真正性)をチェックし、真正性が確認できたら、useridと紐づけて、公開鍵repository64に公開鍵を登録する(S42)。なお、事前登録部66は、ステップS42の後に、ユーザDB62に登録したメールアドレスyyを提供サーバ200に通知する。これにより、提供サーバ200では、サービスの提供を受けるユーザの情報としてメールアドレスyyを登録することができるので、提供サーバ200では、メールアドレスyyのユーザに対して、専用のサービスを提供することが可能となる。
以上により、登録処理が終了する。
(サービス利用時の処理)
次に、図5に基づいて、ユーザがサービスを利用するときの情報処理システム10の処理について、説明する。なお、図5の処理が開始される前提として、ブラウザ20には、図6(a)に示すような提供サーバ200のサービス(abc.com)に対する認証画面が表示されているものとする。
次に、図5に基づいて、ユーザがサービスを利用するときの情報処理システム10の処理について、説明する。なお、図5の処理が開始される前提として、ブラウザ20には、図6(a)に示すような提供サーバ200のサービス(abc.com)に対する認証画面が表示されているものとする。
ユーザが図6(a)の画面においてログインボタンを押すと(S50)、ブラウザ20の情報送受信部22は、ログイン要求を提供サーバ200の送受信部32に対して送信する(S52)。提供サーバ200の送受信部32は、ログイン要求を受信すると、FIDOサーバ300の検証部60に対して、Level2(生体)での認証を要求する(S54)。
FIDOサーバ300の検証部60では、Level2の登録済み外部認証器400を呼び出すコマンドをブラウザ20の情報送受信部22に対して送信する(S56)。このコマンドには、検証部60が生成した乱数と、提供サーバ200のドメイン名(abc.com)が含まれている。ブラウザ20の情報送受信部22は、コマンドを受信すると、表示制御部24にその旨を通知し、表示制御部24は、外部認証器400の接続を要求する表示を行う(S58)。この場合、図4(b)と同様のメッセージを表示するものとする。
この表示を見たユーザが、端末装置100に外部認証器400を接続すると(S60)、ブラウザ20の情報送受信部22は、認証依頼のコマンド(第1の認証依頼)を外部認証器400のFIDO処理部52に送信する(S61)。このコマンドには、ステップS56でブラウザ20の情報送受信部22が受信した乱数と、提供サーバ200のドメイン名(abc.com)が含まれる。
これに対し、外部認証器400のFIDO処理部52は、コマンドに含まれるドメイン名(abc.com)に対応するTLS証明書を証明書・鍵管理部42から取り出す(S62)。また、ユーザは、このタイミングで、認証依頼を行ったブラウザを識別可能に表示させるためのプログラムを選択する(S63)。この場合、例えば、外部認証器400のモニタ293には、図6(b)に示すように複数のプログラムの内容が表示される。図6(b)の例では、ブラウザに数字「123」を表示するプログラムの内容と、ブラウザを赤枠で表示するプログラムの内容が表示されており、ユーザは、いずれかのプログラムを選択可能になっている。本実施形態では、ユーザは、一例として、ブラウザを赤枠で表示するプログラムを選択したものとする。なお、ユーザは、プログラムの選択を事前に行っておいてもよい。
ユーザがプログラムを選択すると、外部認証器400のFIDO処理部52は、ブラウザ20経由で、提供サーバ200の送受信部32にレスポンスを送信する(S64)。このレスポンスには、pendingの情報と、TLS証明書の公開鍵で暗号化した乱数及びプログラムと、が含まれる。
提供サーバ200のプログラム抽出部34は、TLS証明書の秘密鍵を用いてレスポンスからプログラムを抽出し(S66)、送受信部32は、抽出したプログラムを含む内容でサービス(abc.com)のWebページを更新する(S68)。すなわち、送受信部32は、サービス(abc.com)を表示するブラウザ20に対してプログラムを送信する。これにより、サービス(abc.com)を表示するブラウザ20の表示制御部24がプログラムを実行することで、認証依頼を行ったブラウザ20が赤枠で表示されるようになっている。
また、提供サーバ200の送受信部32は、外部認証器400に対して認証依頼のコマンド(第2の認証依頼)を送信する(S70)。この場合のコマンドには、乱数と、提供サーバ200のドメイン名(abc.com)が含まれる。外部認証器400のデータ生成部48は、コマンドに含まれる乱数が、ステップS61で受信した乱数と同一であれば、コマンドの改ざんが行われていないとみなし、外部認証器400を用いたユーザの生体認証を許可する。ユーザは、自分自身が外部認証器400において選択したプログラムに従って表示されている(赤枠で表示されている)ブラウザが、自分自身がログインしようとしているサービスを表示するブラウザであるかを確認する。
そして、ユーザは、自分自身がログインボタンしようとしているサービスを表示するブラウザであると確認できた場合に、外部認証器400の生体センサ289から指紋情報等の生体情報を提供する(S72)。これにより、外部認証器400では、認証処理が実行される(S74)。この認証処理においては、データ生成部48が、生体センサから取得した画像から照合用データを生成し、生体認証ライブラリ50に格納されている生体データと比較して、認証OK/NGを判定する。そして、外部認証器400の署名部44は、認証OKと判定された場合に、証明書・鍵管理部42で管理されている外部認証器400の秘密鍵を用いて署名を行い、レスポンスをブラウザ20を介してFIDOサーバ300の検証部60に送信する。このレスポンスには、提供サーバ200のドメイン名(abc.com)、乱数、userid、外部認証器400の秘密鍵での署名が含まれる。
FIDOサーバ300の検証部60は、公開鍵repository64からレスポンスに含まれるuseridに対応する公開鍵を読み出して署名検証し、検証に成功した場合にuseridを抽出する(S78)。そして、検証部60は、ユーザDB62を参照して、抽出したuseridに対応するメールアドレスyyを検索する(S80)。
その後、FIDOサーバ300の検証部60は、チェック結果(メールアドレスyy)を提供サーバ200の送受信部32に送信する(S82)。そして、提供サーバ200の送受信部32は、メールアドレスyyのユーザが利用可能な、専用のサービス画面をブラウザ20の情報送受信部22に送信する(S84)。これにより、表示制御部24は、ログインしたユーザ専用のサービス画面を表示するため、ユーザは、表示されたサービス画面を利用することが可能となる。
図7は、本実施形態における情報処理システム10の、サービス利用時の処理の主要部分を簡略化して示す図である。
図7に示すように、本実施形態では、(1)提供サーバ200からの認証依頼のコマンド(第1の認証依頼)がブラウザ20を介して外部認証器400に送られると、(2)外部認証器400は、レスポンスを提供サーバ200に送信する。このレスポンスには、ユーザが選択したプログラムと乱数をTLS証明書の公開鍵で暗号化したものが含まれる。そして、(3)提供サーバ200は、レスポンスから暗号鍵を用いてプログラムと乱数を復号するとともに、プログラムを分離(抽出)し、(4)プログラムをブラウザ20に送信する。これにより、認証依頼を行ったサービスを表示するブラウザがプログラム通りに表示されるため、ユーザは、当該ブラウザに表示されているサービスに対して認証処理が行われることを認識できる。また、(5)提供サーバ200は、乱数を用いた認証依頼のコマンド(第2の認証依頼)をブラウザ20を介して外部認証器400に送信し、(6)外部認証器400において、ユーザの生体認証を実行する。ユーザの生体認証を実行した後は、(7)外部認証器400は、レスポンス(認証結果)をFIDOサーバ300に送信する。
このようにすることで、ユーザは、自身がログインしようとしているサービスに対して認証結果を確実に渡すことが可能となるため、悪意のある不正なプログラムに対して認証結果を渡すのを防止することができる。このため、悪意のあるプログラムにより悪意のある操作が実行されるのを防止し、ユーザが悪意のあるプログラムから被害を受けるのを防止することができる。
ここで、図8(a)〜図10には、図7の(2)〜(5)の処理が実行されない場合の(比較例の)端末装置100(モニタ193)の状態変化が模式的に示されている。なお、図8(a)〜図10の例においては、端末装置100に不正プログラム(悪意のあるプログラム)がインストールされている(動作している)ものとする。
図8(a)に示すように、端末装置100において、ユーザがブラウザ20を起動して提供サーバ200(abc.com)にアクセスし、ブラウザ20上に表示されている認証画面のログインボタンをクリックしたとする。この場合、不正プログラムは、ブラウザ20の動作を確認して、ブラウザ20の動作を真似して、図8(b)に示すようにブラウザ20と同じように提供サーバ200にアクセスし、ログイン要求をする。また、図9(a)に示すようにブラウザ20が外部認証器400の接続要求を表示すると、ユーザは外部認証器400を端末装置100に接続する。このとき、不正プログラムは、図9(b)に示すように、外部認証器400が接続されたのを検知して、ブラウザ20よりも早く認証依頼のコマンドを送信したり、ブラウザ20と外部認証器400が通信するのを邪魔したりする。
この図9(b)の状態で、外部認証器400を用いて生体認証を行うと、図10に示すように、不正プログラムが認証結果を取得してしまうため、不正プログラムは提供サーバ200にアクセスできるようになる。このため、不正プログラムが悪意ある操作を行ってしまうおそれがある。
一方、図11(a)、図11(b)には、本実施形態のように、図7の(1)〜(7)の処理を実行した場合の端末装置100(モニタ193)の状態変化が模式的に示されている。
本実施形態の場合であっても、図11(a)に示すように、不正プログラムは、外部認証器400に対してブラウザ20よりも早くコマンドを送信したり、ブラウザ20と外部認証器400が通信するのを邪魔したりする。
しかるに、本実施形態では、図11(b)に示すように、外部認証器400においてユーザが生体認証を行う前にプログラムを選択し、外部認証器400が不正プログラムに対して選択されたプログラムを送信する。この場合、サービス(abc.com)を表示するブラウザはプログラム通りに変化しない。したがって、ユーザは、この状態で認証処理を行ってしまうと、認証結果が不正プログラムに悪用される可能性があると判断することができる。これにより、ユーザは、図11(a)のような状況下で、生体情報を外部認証器400に提供しないようにすることができるので、不正プログラムによって悪意ある操作が行われるのを防止することができる。
なお、本実施形態において図示した各部は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。また、図示した各処理は、上記の順番に限定されるものでなく、処理内容を矛盾させない範囲において、同時に実施してもよく、順序を入れ替えて実施してもよい。
さらに、各装置で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウェア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。
以上、詳細に説明したように、本実施形態によると、外部認証器400は、サービスの認証画面を端末装置100のモニタに表示するブラウザ20から認証依頼のコマンド(第1の認証依頼)を受け付けたときに(S61)、提供サーバ200に対してプログラムを送信する(S64)。そして、提供サーバ200は、受信したプログラムを端末装置100のブラウザ20に送信する(S68)。このプログラムは、認証画面を識別可能に表示させるプログラムである。これにより、認証依頼のコマンドを外部認証器400に送信したブラウザを識別可能に表示することができるため、ユーザは、どのブラウザに対して認証結果が送信されるかを認識しながら、生体情報を外部認証器400に提供することができる。したがって、悪意のある不正プログラムに対して認証結果を送信するのを防止することができるので、不正プログラムによる悪意のある操作の実行を防止することができる。また、本実施形態では、ブラウザ20と外部認証器400が安全に接続するために暗証番号入力(PIN入力)を行う必要がないため、ユーザの手間を省略することができる。
また、本実施形態では、提供サーバ200は、ブラウザ20にプログラムを送信する際に、外部認証器400に対して認証依頼のコマンド(第2の認証依頼)を送信し(S70)、外部認証器400に認証処理を行わせる。これにより、ブラウザ20が認識可能に表示された適切なタイミングで、外部認証器400において認証処理を行うことができるようになる。
また、本実施形態では、提供サーバ200は、外部認証器400からレスポンスとしてプログラムとともに乱数が送信されてくると(S64)、外部認証器400にコマンドを送信する際(S70)に、受信した乱数を含むコマンドを送信する。これにより、外部認証器400では、乱数が同一か否かをチェックすることで、コマンドが送信されてくる間にコマンドが改ざんされていないかを確認することができる。
なお、上記実施形態では、外部認証器400から提供サーバ200に送信するプログラムをユーザが選択する場合について説明したが、これに限られるものではない。例えば、プログラムの内容は予め定められていてもよい。また、外部認証器400において自動的にプログラムが選択され、選択されたプログラムの内容が外部認証器400のモニタ293上に表示されてもよい。
なお、上記実施形態では、コマンドに含まれる乱数を確認することで、コマンドが送信途中で改ざんされていないかを確認する場合について説明したが、これに限られるものではない。例えば、外部認証器400は、ステップS64において提供サーバ200にレスポンスを送信する際に、プログラムとセッション鍵(乱数)をTLS公開鍵で暗号化してもよい。この場合、提供サーバ200は、レスポンスからプログラムとセッション鍵を取り出し(S66)、ステップS70において、セッション鍵で認証依頼コマンドを暗号化して外部認証器400に送信してもよい。このようにすることで、コマンドが送信途中で改ざんされるのを防止することができる。
なお、上記実施形態では、外部認証器400がスマートフォンである場合について説明したが、これに限らず、その他のBluetooth(登録商標)機器、NFC搭載デバイス、USBトークンなどを用いることもできる。例えば、外部認証器400がスマートフォン以外である場合には、モニタに代えて、プログラムを選択するためのボタンやダイヤルを搭載してもよい。
なお、上記実施形態において端末装置100が認証器(生体センサ)を有している場合には、当該認証器を外部認証器400の代わりに用いることとしてもよい。
なお、上記実施形態で説明したブラウザ20の機能を、端末装置100上で動作するアプリが有していてもよい。このようにしても、認証処理を行うアプリの画面をプログラムに従って認識可能に表示することで、上記実施形態と同様の作用効果を得ることができる。
なお、上記実施形態では、提供サーバ200とFIDOサーバ300が別の装置である場合について説明したが、これに限られるものではない。例えば、提供サーバ200がFIDOサーバ300の機能を有していてもよい。この場合、図3、図5に示したFIDOサーバ300の処理を提供サーバ200が行うようにすればよい。
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
なお、以上の実施形態の説明に関して、更に以下の付記を開示する。
(付記1) サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータが実行することを特徴とする制御方法。
(付記2) 前記送信する処理では、前記ソフトウェアに対して前記プログラムを送信するとともに、前記認証器に対して第2の認証依頼を送信して、前記認証器における認証処理の実行を依頼する、ことを特徴とする付記1に記載の制御方法。
(付記3) 前記受信する処理では、前記プログラムとともに前記認証器から送信されてくる乱数を受信し、
前記第2の認証依頼を送信する際に前記乱数を用いる、ことを特徴とする付記2に記載の制御方法。
(付記4) 前記プログラムは、予め定められている態様で前記認証画面を表示させるプログラム、又は前記認証器において選択された態様で前記認証画面を表示させるプログラムである、ことを特徴とする付記1〜3のいずれかに記載の制御方法。
(付記5) サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータに実行させるための制御プログラム。
(付記6) サービスを提供する情報処理装置であって、
前記サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信する受信部と、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する送信部と、
を備える情報処理装置。
(付記7) 前記送信部は、前記ソフトウェアに対して前記プログラムを送信するとともに、前記認証器に対して第2の認証依頼を送信して、前記認証器における認証処理の実行を依頼する、ことを特徴とする付記6に記載の情報処理装置。
(付記8) 前記受信部は、前記プログラムとともに前記認証器から送信されてくる乱数を受信し、
前記送信部は、前記第2の認証依頼を送信する際に前記乱数を用いる、ことを特徴とする付記7に記載の情報処理装置。
(付記9) 前記プログラムは、予め定められている態様で前記認証画面を表示させるプログラム、又は前記認証器において選択された態様で前記認証画面を表示させるプログラムである、ことを特徴とする付記6〜8のいずれかに記載の情報処理装置。
(付記10) サービスを提供する情報処理装置と、
前記サービスの認証画面を表示する表示部を有する端末装置と、
前記端末装置に内蔵又は接続され、認証処理を実行して認証結果を前記情報処理装置又は前記情報処理装置に接続された認証用の装置に送信する認証器と、を備え、
前記端末装置は、前記認証画面を前記表示部に表示させるソフトウェアを有し、
前記認証器は、前記ソフトウェアから第1の認証依頼を受け付けたことに応じて、前記認証画面を識別可能に表示させるプログラムを前記情報処理装置に送信し、
前記情報処理装置は、受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
ことを特徴とする情報処理システム。
(付記1) サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータが実行することを特徴とする制御方法。
(付記2) 前記送信する処理では、前記ソフトウェアに対して前記プログラムを送信するとともに、前記認証器に対して第2の認証依頼を送信して、前記認証器における認証処理の実行を依頼する、ことを特徴とする付記1に記載の制御方法。
(付記3) 前記受信する処理では、前記プログラムとともに前記認証器から送信されてくる乱数を受信し、
前記第2の認証依頼を送信する際に前記乱数を用いる、ことを特徴とする付記2に記載の制御方法。
(付記4) 前記プログラムは、予め定められている態様で前記認証画面を表示させるプログラム、又は前記認証器において選択された態様で前記認証画面を表示させるプログラムである、ことを特徴とする付記1〜3のいずれかに記載の制御方法。
(付記5) サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータに実行させるための制御プログラム。
(付記6) サービスを提供する情報処理装置であって、
前記サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信する受信部と、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する送信部と、
を備える情報処理装置。
(付記7) 前記送信部は、前記ソフトウェアに対して前記プログラムを送信するとともに、前記認証器に対して第2の認証依頼を送信して、前記認証器における認証処理の実行を依頼する、ことを特徴とする付記6に記載の情報処理装置。
(付記8) 前記受信部は、前記プログラムとともに前記認証器から送信されてくる乱数を受信し、
前記送信部は、前記第2の認証依頼を送信する際に前記乱数を用いる、ことを特徴とする付記7に記載の情報処理装置。
(付記9) 前記プログラムは、予め定められている態様で前記認証画面を表示させるプログラム、又は前記認証器において選択された態様で前記認証画面を表示させるプログラムである、ことを特徴とする付記6〜8のいずれかに記載の情報処理装置。
(付記10) サービスを提供する情報処理装置と、
前記サービスの認証画面を表示する表示部を有する端末装置と、
前記端末装置に内蔵又は接続され、認証処理を実行して認証結果を前記情報処理装置又は前記情報処理装置に接続された認証用の装置に送信する認証器と、を備え、
前記端末装置は、前記認証画面を前記表示部に表示させるソフトウェアを有し、
前記認証器は、前記ソフトウェアから第1の認証依頼を受け付けたことに応じて、前記認証画面を識別可能に表示させるプログラムを前記情報処理装置に送信し、
前記情報処理装置は、受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
ことを特徴とする情報処理システム。
10 情報処理システム
20 ブラウザ(ソフトウェア)
32 送受信部(受信部、送信部の一部)
34 プログラム抽出部(送信部の一部)
100 端末装置
193 モニタ(表示部)
200 提供サーバ(情報処理装置)
400 外部認証器(認証器)
20 ブラウザ(ソフトウェア)
32 送受信部(受信部、送信部の一部)
34 プログラム抽出部(送信部の一部)
100 端末装置
193 モニタ(表示部)
200 提供サーバ(情報処理装置)
400 外部認証器(認証器)
Claims (7)
- サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータが実行することを特徴とする制御方法。 - 前記送信する処理では、前記ソフトウェアに対して前記プログラムを送信するとともに、前記認証器に対して第2の認証依頼を送信して、前記認証器における認証処理の実行を依頼する、ことを特徴とする請求項1に記載の制御方法。
- 前記受信する処理では、前記プログラムとともに前記認証器から送信されてくる乱数を受信し、
前記第2の認証依頼を送信する際に前記乱数を用いる、ことを特徴とする請求項2に記載の制御方法。 - 前記プログラムは、予め定められている態様で前記認証画面を表示させるプログラム、又は前記認証器において選択された態様で前記認証画面を表示させるプログラムである、ことを特徴とする請求項1〜3のいずれか一項に記載の制御方法。
- サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信し、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
処理をコンピュータに実行させるための制御プログラム。 - サービスを提供する情報処理装置であって、
前記サービスの認証画面を端末装置の表示部に表示させるソフトウェアから認証器が第1の認証依頼を受け付けたことに応じて、前記認証器から送信される前記認証画面を識別可能に表示させるプログラムを受信する受信部と、
受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する送信部と、
を備える情報処理装置。 - サービスを提供する情報処理装置と、
前記サービスの認証画面を表示する表示部を有する端末装置と、
前記端末装置に内蔵又は接続され、認証処理を実行して認証結果を前記情報処理装置又は前記情報処理装置に接続された認証用の装置に送信する認証器と、を備え、
前記端末装置は、前記認証画面を前記表示部に表示させるソフトウェアを有し、
前記認証器は、前記ソフトウェアから第1の認証依頼を受け付けたことに応じて、前記認証画面を識別可能に表示させるプログラムを前記情報処理装置に送信し、
前記情報処理装置は、受信した前記プログラムを前記端末装置の前記ソフトウェアに送信する、
ことを特徴とする情報処理システム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019164811A JP2021043675A (ja) | 2019-09-10 | 2019-09-10 | 制御方法、制御プログラム、情報処理装置及び情報処理システム |
| EP20191714.3A EP3793163B1 (en) | 2019-09-10 | 2020-08-19 | Control method, information processing apparatus, control program, and information processing system |
| US16/998,244 US11563738B2 (en) | 2019-09-10 | 2020-08-20 | Control method and information processing apparatus |
| CN202010922064.2A CN112565172B (zh) | 2019-09-10 | 2020-09-04 | 控制方法、信息处理设备以及信息处理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019164811A JP2021043675A (ja) | 2019-09-10 | 2019-09-10 | 制御方法、制御プログラム、情報処理装置及び情報処理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021043675A true JP2021043675A (ja) | 2021-03-18 |
Family
ID=72147980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019164811A Ceased JP2021043675A (ja) | 2019-09-10 | 2019-09-10 | 制御方法、制御プログラム、情報処理装置及び情報処理システム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11563738B2 (ja) |
| EP (1) | EP3793163B1 (ja) |
| JP (1) | JP2021043675A (ja) |
| CN (1) | CN112565172B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022178680A (ja) * | 2021-05-20 | 2022-12-02 | ヤフー株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7232863B2 (ja) * | 2021-04-19 | 2023-03-03 | ヤフー株式会社 | 情報処理装置、情報処理方法および情報処理プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006318224A (ja) * | 2005-05-12 | 2006-11-24 | Nomura Research Institute Ltd | 正規サイト通知プログラムおよび方法 |
| US20100058064A1 (en) * | 2008-08-27 | 2010-03-04 | Microsoft Corporation | Login authentication using a trusted device |
| JP2013211020A (ja) * | 2007-09-19 | 2013-10-10 | Alcatel-Lucent Usa Inc | フィッシング攻撃を防ぐ方法および装置 |
| JP2018074205A (ja) * | 2016-10-24 | 2018-05-10 | 富士通株式会社 | プログラム、情報処理装置、情報処理システム、及び情報処理方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11187008A (ja) | 1997-12-17 | 1999-07-09 | Card Call Service Kk | 暗号鍵の配送方法 |
| US9191215B2 (en) * | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| JP4867486B2 (ja) * | 2006-06-12 | 2012-02-01 | 富士ゼロックス株式会社 | 制御プログラムおよび通信システム |
| JP2009118110A (ja) | 2007-11-06 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 |
| US20120260192A1 (en) * | 2011-04-11 | 2012-10-11 | Detweiler Sean D | Automated browser mode based on user and access point |
| JP2015170117A (ja) * | 2014-03-06 | 2015-09-28 | キヤノン株式会社 | 情報処理装置、制御方法およびプログラム |
| US20150281225A1 (en) * | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
| US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| CN108027853B (zh) | 2015-09-21 | 2023-05-26 | 万思伴国际有限公司 | 多用户强认证令牌 |
| JP6438901B2 (ja) | 2016-02-24 | 2018-12-19 | 日本電信電話株式会社 | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム |
| US10742648B2 (en) * | 2016-06-09 | 2020-08-11 | Logmein, Inc. | Mobile device access to a protected machine |
| US10411907B2 (en) * | 2017-01-25 | 2019-09-10 | Salesforce.Com, Inc. | Secure remote user authentication leveraging public key cryptography and key splitting |
| JP7269486B2 (ja) * | 2018-12-06 | 2023-05-09 | 富士通株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
-
2019
- 2019-09-10 JP JP2019164811A patent/JP2021043675A/ja not_active Ceased
-
2020
- 2020-08-19 EP EP20191714.3A patent/EP3793163B1/en active Active
- 2020-08-20 US US16/998,244 patent/US11563738B2/en active Active
- 2020-09-04 CN CN202010922064.2A patent/CN112565172B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006318224A (ja) * | 2005-05-12 | 2006-11-24 | Nomura Research Institute Ltd | 正規サイト通知プログラムおよび方法 |
| JP2013211020A (ja) * | 2007-09-19 | 2013-10-10 | Alcatel-Lucent Usa Inc | フィッシング攻撃を防ぐ方法および装置 |
| US20100058064A1 (en) * | 2008-08-27 | 2010-03-04 | Microsoft Corporation | Login authentication using a trusted device |
| JP2018074205A (ja) * | 2016-10-24 | 2018-05-10 | 富士通株式会社 | プログラム、情報処理装置、情報処理システム、及び情報処理方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022178680A (ja) * | 2021-05-20 | 2022-12-02 | ヤフー株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565172B (zh) | 2023-08-15 |
| US11563738B2 (en) | 2023-01-24 |
| US20210075784A1 (en) | 2021-03-11 |
| EP3793163B1 (en) | 2023-05-10 |
| CN112565172A (zh) | 2021-03-26 |
| EP3793163A1 (en) | 2021-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6703151B2 (ja) | ブルートゥースインタフェースを備える認証装置 | |
| JP6992105B2 (ja) | 認証能力を決定するためのクエリシステム及び方法 | |
| US10404754B2 (en) | Query system and method to determine authentication capabilities | |
| US9219732B2 (en) | System and method for processing random challenges within an authentication framework | |
| CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
| EP3195108B1 (en) | System and method for integrating an authentication service within a network architecture | |
| US9306754B2 (en) | System and method for implementing transaction signing within an authentication framework | |
| US9015482B2 (en) | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices | |
| EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
| US9083689B2 (en) | System and method for implementing privacy classes within an authentication framework | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP5940671B2 (ja) | Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム | |
| EP3663946A1 (en) | Information processing apparatus, information processing method, and information processing program | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| JP7269486B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| EP3793163B1 (en) | Control method, information processing apparatus, control program, and information processing system | |
| KR102313868B1 (ko) | Otp를 이용한 상호 인증 방법 및 시스템 | |
| KR20180034199A (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| US11716331B2 (en) | Authentication method, an authentication device and a system comprising the authentication device | |
| KR102123405B1 (ko) | 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법 | |
| US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
| JP2015534406A (ja) | 安全装置と安全なデータ送信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220517 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230324 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230718 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230926 |
|
| A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20240130 |