JP6435456B1 - Authentication server, program and method using two-stage URL - Google Patents
Authentication server, program and method using two-stage URL Download PDFInfo
- Publication number
- JP6435456B1 JP6435456B1 JP2018071238A JP2018071238A JP6435456B1 JP 6435456 B1 JP6435456 B1 JP 6435456B1 JP 2018071238 A JP2018071238 A JP 2018071238A JP 2018071238 A JP2018071238 A JP 2018071238A JP 6435456 B1 JP6435456 B1 JP 6435456B1
- Authority
- JP
- Japan
- Prior art keywords
- user
- url
- terminal
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
【課題】ユーザにコード(ユーザIDやパスワード、パスコード)を一切入力させることなく、2段階のユーザ認証を実行することができる認証サーバ等を提供する。【解決手段】端末を操作するユーザを認証する認証サーバにおいて、ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する登録テーブルと、第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第2のURL生成手段と、第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のメッセージ送信手段と、端末から第2のURLに向けた第2のページ要求を受信した際に、端末に対して当該ユーザIDの認証成功とする認証手段とを有する。【選択図】図1An authentication server and the like capable of executing two-stage user authentication without requiring a user to input a code (user ID, password, passcode) at all. In an authentication server for authenticating a user who operates a terminal, for each user ID, a registration table that stores an address, a first URL that can identify the user, and a first URL directed to the first URL A second URL generation unit that identifies a user ID and generates a second URL that can identify the user ID when receiving a page request of the first page, and a second URL in which the second URL is described. When receiving a second message transmission means for transmitting a message with the address of the user ID as a destination and a second page request directed to the second URL from the terminal, authentication of the user ID to the terminal And a successful authentication means. [Selection] Figure 1
Description
本発明は、認証サーバが、端末を操作するユーザを認証する技術に関する。 The present invention relates to a technique in which an authentication server authenticates a user who operates a terminal.
一般に、Webサイトにアクセスするユーザを認証するために、ユーザには、ユーザID(IDentifier)及びパスワードを端末に入力することが求められる。このような方法は、高いセキュリティを要する商取引サイトであっても同様である。 Generally, in order to authenticate a user who accesses a Web site, the user is required to input a user ID (IDentifier) and a password to the terminal. Such a method is the same even for a commercial transaction site requiring high security.
これに対し、例えば仮想通貨取引サイトの場合、ユーザが管理するウォレットにアクセスするために、2段階でユーザを認証する技術が適用されている(例えば非特許文献1参照)。この技術によれば、以下のようなシーケンスをとる。
(S11)ユーザは、端末のログイン画面に、「ウォレットID(IDentifier)」と「パスワード」を入力する。
(S12)サイトサーバは、入力されたウォレットID及びパスワードからユーザを認証し、そのユーザのメールボックスへ、ログイン状態(時刻、IPアドレス、ブラウザ、OS等)が記述されたメールを送信する。
(S13)ユーザは、メールのログイン状態を確認し、ログイン許可のURL(Uniform Resource Locator)ボタンをクリックする。
これによって、サイトサーバは、端末を操作するユーザに対して、第1の認証成功とする。
(S21)次に、サイトサーバは、5桁のパスコードを一時的に生成し、そのパスコードを記述したSMS(Short Messaging Service)メッセージを、ユーザのスマートフォン(携帯端末)へ発信する。
(S22)ユーザは、SMSメッセージをスマートフォンで確認し、そのメッセージに記述されたパスコードを、端末のログイン画面に入力する。
これによって、サイトサーバは、端末を操作するユーザに対して、第2の認証成功とする。
このような2段階認証を実行することによって、高いセキュリティを確保し、悪意の第三者からのアクセスを排除しようとしている。
On the other hand, for example, in the case of a virtual currency trading site, in order to access a wallet managed by the user, a technique for authenticating the user in two stages is applied (for example, see Non-Patent Document 1). According to this technique, the following sequence is taken.
(S11) The user inputs “wallet ID (IDentifier)” and “password” on the login screen of the terminal.
(S12) The site server authenticates the user from the input wallet ID and password, and transmits a mail describing the login state (time, IP address, browser, OS, etc.) to the user's mailbox.
(S13) The user confirms the login state of the mail, and clicks a URL (Uniform Resource Locator) button that permits login.
As a result, the site server sets the first authentication success for the user operating the terminal.
(S21) Next, the site server temporarily generates a five-digit passcode and sends an SMS (Short Messaging Service) message describing the passcode to the user's smartphone (mobile terminal).
(S22) The user confirms the SMS message with the smartphone, and inputs the passcode described in the message on the login screen of the terminal.
As a result, the site server sets the second authentication success for the user operating the terminal.
By executing such two-step authentication, high security is secured and access from a malicious third party is excluded.
他の従来技術として、ユーザは、端末に表示されたURLをタップするだけで、メッセージを送信することができる技術もある(例えば特許文献1参照)。この技術によれば、URLは、送信元ユーザ及び宛先ユーザを識別可能なものとなっている。サーバは、URLに向けたページ要求を受信した際に、当該URLで識別された送信元ユーザに基づくアドレスを送信元アドレスとし、当該URLで識別された宛先ユーザに基づくアドレスを宛先アドレスとして、所定メッセージを送信する。 As another conventional technique, there is a technique in which a user can transmit a message by simply tapping a URL displayed on a terminal (see, for example, Patent Document 1). According to this technique, the URL can identify the transmission source user and the destination user. When a server receives a page request for a URL, the server uses a source address identified by the URL as a source address, and an address based on the destination user identified by the URL as a destination address. Send a message.
また、送信元端末の位置を表示した地図情報を、一時的に、宛先端末へ通知する技術もある(例えば特許文献2参照)。この技術によれば、サーバは、送信元端末と宛先端末とを識別可能な第1のURLに対する第1のページを記憶する。サーバは、送信元端末から第1のURLに向けたページ要求を受信した際に、第1のページを送信元端末へ返信する。第1のページを再生した送信元端末は、自らの位置情報をサーバへ送信する。これに対し、サーバは、送信元端末の位置をプロットした地図を描画した第2のページを生成し、第2のページにおける第2のURLを含むメッセージを、第1のURLによって識別された宛先端末へ送信する。 There is also a technique for temporarily notifying the destination terminal of map information displaying the position of the transmission source terminal (see, for example, Patent Document 2). According to this technique, the server stores a first page for a first URL that can identify a transmission source terminal and a destination terminal. When the server receives a page request directed to the first URL from the transmission source terminal, the server returns the first page to the transmission source terminal. The transmission source terminal that has reproduced the first page transmits its position information to the server. On the other hand, the server generates a second page in which a map in which the position of the transmission source terminal is plotted is drawn, and a message including the second URL in the second page is identified by the first URL. Send to the terminal.
前述した非特許文献1の技術によれば、ユーザは、第1の認証時に、端末の画面にログインID及びパスワードを入力すると共に、第2の認証時に、端末の画面にスマートフォンで受信したパスコードを入力する必要がある。このような2段階認証の場合、ユーザは、3回ものコードを、端末の画面に入力する必要がある。
According to the technology of Non-Patent
これに対し、本願の発明者らは、全てのユーザが同一のログイン画面のURLに対してアクセスしているために、ユーザ認証に要するコード(ユーザID、パスワード、パスコード)を複数回も入力する必要があるのではないか、と考えた。 On the other hand, the inventors of the present application input a code (user ID, password, passcode) required for user authentication multiple times since all users access the same login screen URL. I thought it was necessary.
そこで、本発明は、ユーザにコードを一切入力させることなく、2段階のユーザ認証を実行することができる認証サーバ、プログラム及び方法を提供することを目的とする。 Therefore, an object of the present invention is to provide an authentication server, a program, and a method capable of executing two-step user authentication without causing the user to input any code.
本発明によれば、端末を操作するユーザを認証する認証サーバにおいて、
ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する登録テーブルと、
端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第2のURL生成手段と、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のメッセージ送信手段と、
端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする認証手段と
を有することを特徴とする。
According to the present invention, in an authentication server for authenticating a user who operates a terminal,
For each user ID, a registration table that stores an address and a first URL that can identify the user;
A second URL generating means for identifying a user ID and generating a second URL capable of identifying the user ID when receiving a first page request directed to the first URL from the terminal;
Second message transmitting means for transmitting a second message in which a second URL is described, with the address of the user ID as a destination;
And an authentication unit that makes the authentication of the user ID successful when a second page request directed to the second URL is received from the terminal.
本発明の認証サーバにおける他の実施形態によれば、
第1のURLを記述した第1のメッセージを、当該第1のURLで識別されるユーザIDのアドレスを宛先として送信する第1のメッセージ送信手段を
更に有することも好ましい。
According to another embodiment of the authentication server of the present invention,
It is also preferable to further include a first message transmission means for transmitting the first message describing the first URL, with the address of the user ID identified by the first URL as a destination.
本発明の認証サーバにおける他の実施形態によれば、
第2のURL生成手段は、同一のユーザIDであっても、第1のページ要求を受信する毎に、ワンタイムURLとして異なる第2のURLを生成することも好ましい。
According to another embodiment of the authentication server of the present invention,
It is also preferable that the second URL generation means generates a second URL that is different as a one-time URL every time a first page request is received, even for the same user ID.
本発明の認証サーバにおける他の実施形態によれば、
認証手段は、第2のメッセージ送信手段によって第2のメッセージを送信してから、第2のページ要求を受信するまでの時間が、所定時間以下となっている場合にのみ、当該ユーザIDの認証成功とすることも好ましい。
According to another embodiment of the authentication server of the present invention,
The authentication unit authenticates the user ID only when the time from when the second message is transmitted by the second message transmission unit to when the second page request is received is equal to or shorter than a predetermined time. It is also preferable to succeed.
本発明の認証サーバにおける他の実施形態によれば、
第2のURL生成手段は、端末から第1のページ要求を受信した際に、HTTP(HyperText Transfer Protocol) cookieプロトコルにおけるクッキー値を生成し、当該クッキー値を端末へ応答し、第1のURLで識別されるユーザIDに対応付けて、当該クッキー値を登録テーブルに登録し、
認証手段は、第2のページ要求に含まれたクッキー値と、登録テーブルに登録された当該ユーザに基づくクッキー値とが一致する場合に、端末に対して当該ユーザIDの認証成功とすることも好ましい。
According to another embodiment of the authentication server of the present invention,
When receiving the first page request from the terminal, the second URL generating means generates a cookie value in HTTP (HyperText Transfer Protocol) cookie protocol, responds to the terminal with the cookie value, and uses the first URL. In association with the identified user ID, register the cookie value in the registration table,
If the cookie value included in the second page request and the cookie value based on the user registered in the registration table match, the authentication means may determine that the user ID has been successfully authenticated to the terminal. preferable.
本発明の認証サーバにおける他の実施形態によれば、
端末のアドレスは、メールアドレス、電話番号又はアカウントであり、
第2のメッセージは、
メールアドレスに基づく電子メール、
電話番号に基づくSMSのプッシュメッセージ、又は、
アカウントに基づくSNS(Social Networking Service)のメッセージ
であることも好ましい。
According to another embodiment of the authentication server of the present invention,
The device address is an email address, phone number or account,
The second message is
Email based on email address,
SMS push message based on phone number, or
An SNS (Social Networking Service) message based on an account is also preferable.
本発明の認証サーバにおける他の実施形態によれば、
ユーザIDは、商取引サイト若しくはブロックチェーンサイトのユーザID、又は、仮想通貨のウォレットIDであり、
パスワードを用いることなく、ユーザIDを認証する
ことも好ましい。
According to another embodiment of the authentication server of the present invention,
The user ID is a user ID of a commerce site or a block chain site, or a wallet ID of virtual currency,
It is also preferable to authenticate the user ID without using a password.
本発明によれば、端末を操作するユーザを認証する認証サーバに搭載されたコンピュータを機能させるプログラムにおいて、
ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する登録テーブルと、
端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第2のURL生成手段と、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のメッセージ送信手段と、
端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする認証手段と
してコンピュータを機能させることを特徴とする。
According to the present invention, in a program for causing a computer installed in an authentication server to authenticate a user who operates a terminal to
For each user ID, a registration table that stores an address and a first URL that can identify the user;
A second URL generating means for identifying a user ID and generating a second URL capable of identifying the user ID when receiving a first page request directed to the first URL from the terminal;
Second message transmitting means for transmitting a second message in which a second URL is described, with the address of the user ID as a destination;
When a second page request directed to the second URL is received from the terminal, the computer is caused to function as an authentication unit that makes the authentication of the user ID successful.
本発明によれば、端末を操作するユーザを認証する認証サーバの2段階認証方法であって、
認証サーバは、
ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶しており、
端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第1のステップと、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のステップと、
端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする第3のステップと
を実行することを特徴とする。
According to the present invention, there is provided a two-step authentication method of an authentication server for authenticating a user who operates a terminal,
The authentication server
For each user ID, an address and a first URL that can identify the user are stored,
A first step of generating a second URL capable of identifying a user ID and identifying the user ID when receiving a first page request directed to the first URL from a terminal;
A second step of transmitting a second message in which a second URL is described with the address of the user ID as a destination;
When a second page request directed to the second URL is received from the terminal, a third step of performing authentication success of the user ID is executed.
本発明の認証サーバ、プログラム及び方法によれば、ユーザにコード(ユーザIDやパスワード、パスコード)を一切入力させることなく、2段階のユーザ認証を実行することができる。 According to the authentication server, program, and method of the present invention, two-step user authentication can be executed without requiring the user to input any code (user ID, password, passcode).
以下、本発明の実施の形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明におけるシーケンス図である。 FIG. 1 is a sequence diagram according to the present invention.
図1によれば、ユーザAは、所定サービスを受けるために、認証サーバ1に対して端末2から自己認証を実行する。所定サービスとしては、高いセキュリティの確保が要求される、例えば商取引サイト若しくはブロックチェーンサイトや、仮想通貨のウォレットであってもよい。
本発明の認証サーバ1は、端末2に対して、メッセージやメールの送信元装置となると共に、Webサイトとしても機能する。
また、認証サーバ1は、WebサイトのURLを公開することによって、そのURLに基づくページ要求を受信することができる。
According to FIG. 1, the user A performs self-authentication from the
The
Further, the
図1によれば、本発明の認証サーバ1は、登録テーブル100を有する。
[登録テーブル100]
登録テーブル100は、ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する。アドレスは、前述したメッセージ又はメールに対応した、メールアドレス、電話番号又はアカウントである。登録テーブル100には、例えば以下のように登録されている。
[ユーザID]<->[アドレス] [第1のURL]
A A@aaa.com http://www.SM.co.jp/A
B B@bbb.com http://www.SM.co.jp/B
C C@ccc.com http://www.SM.co.jp/C
According to FIG. 1, the
[Registration Table 100]
The registration table 100 stores an address and a first URL that can identify the user for each user ID. The address is an email address, a telephone number, or an account corresponding to the message or email described above. For example, the registration table 100 is registered as follows.
[User ID] <-> [Address] [First URL]
AA@aaa.com http://www.SM.co.jp/A
BB@bbb.com http://www.SM.co.jp/B
CC@ccc.com http://www.SM.co.jp/C
[S0:第0のステップ]
認証サーバ1は、第1のURL(http://www.SM.co.jp/A)を記述した第1のメッセージを、当該第1のURLで識別されるユーザAのアドレス(A@aaa.com)を宛先として送信する。第1のURL(http://www.SM.co.jp/A)は、ユーザA専用のものであって、ユーザAが認識していればよく、第1のメッセージの送信を必須の構成要素とするものではない。
[S0: 0th step]
The
[S1:第1のステップ]
(S11)タッチパネルディスプレイを搭載した端末2には、ユーザAの第1のURL(http://www.SM.co.jp/A)が表示され、ユーザAは、その第1のURLに対して発動操作(タップ又はクリック)をすることができる。
これによって、端末2は、第1のURLに向けてページ要求(GET Request)を送信する。
[S1: First step]
(S11) The first URL (http://www.SM.co.jp/A) of the user A is displayed on the
As a result, the
図2は、本発明における第1の認証時のタップ操作画面を表す説明図である。 FIG. 2 is an explanatory diagram showing a tap operation screen at the time of the first authentication according to the present invention.
図2(a)によれば、ユーザは、S0で受信したメッセージに記述された第1のURL(http://www.SM.co.jp/A)をタップしている。このURLは、ドメイン名に続いて、ユーザを識別可能とする識別子"A"が付与されており、端末2に対するユーザA専用のページとして認識される。
According to FIG. 2A, the user has tapped the first URL (http://www.SM.co.jp/A) described in the message received in S0. This URL is given an identifier “A” for identifying the user following the domain name, and is recognized as a page dedicated to the user A for the
図2(b)によれば、ユーザは、HTML(HyperText Markup Language)コードがブラウザ上に表示された操作ボタンをタップしている。これは単に、ユーザAに対して、第1のURL(http://www.SM.co.jp/A)を、視覚的なボタン表示にしたものである。 According to FIG. 2B, the user is tapping an operation button on which an HTML (HyperText Markup Language) code is displayed on the browser. This is simply a visual button display of the first URL (http://www.SM.co.jp/A) for user A.
(S12)認証サーバ1は、第1のURLに向けた第1のページ要求を受信した際に、当該第1のURLが登録テーブル100に登録されているか否かを判定する。偽(未登録)と判定された場合、そのページ要求は無視する。
図1によれば、第1のURL(http://www.SM.co.jp/A)に向けたページ要求(HTTP Get Request)を受信した際に、登録テーブル100に登録されたユーザAを識別する。
(S12) When receiving the first page request for the first URL, the
According to FIG. 1, when a page request (HTTP Get Request) directed to the first URL (http://www.SM.co.jp/A) is received, the user A registered in the registration table 100 is received. Identify
(S13)S12によって真(登録済み)と判定された場合、当該ユーザIDを識別可能な第2のURLを生成する。
このとき、同一のユーザIDであっても、例えば以下のように第1のURLと第2のURLとを異なるものとする。
(第1のURL) http://www.SM.co.jp/A
(第2のURL) http://www.SM.co.jp/Axx
また、第2のURLは、同一のユーザIDであっても、第1のページ要求を受信する毎に、ワンタイムURLとして、異なる第2のURLを生成する。
(時刻iに生成した第2のURL) http://www.SM.co.jp/Axi
(時刻jに生成した第2のURL) http://www.SM.co.jp/Axj
生成された第2のURLは、ユーザIDに対応付けて、登録テーブル100に一時的に登録する。
(S13) If it is determined to be true (registered) in S12, a second URL that can identify the user ID is generated.
At this time, even for the same user ID, for example, the first URL and the second URL are different as follows.
(First URL) http://www.SM.co.jp/A
(Second URL) http://www.SM.co.jp/Axx
Even if the second URL is the same user ID, a different second URL is generated as a one-time URL each time a first page request is received.
(Second URL generated at time i) http://www.SM.co.jp/Axi
(Second URL generated at time j) http://www.SM.co.jp/Axj
The generated second URL is temporarily registered in the registration table 100 in association with the user ID.
[S2:第2のステップ]
認証サーバ1は、第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する。
図1によれば、第2のメッセージの宛先アドレスは、第1のURLで識別されたユーザのアドレス(A@aaa.com)に設定される。
[S2: Second step]
The
According to FIG. 1, the destination address of the second message is set to the address (A@aaa.com) of the user identified by the first URL.
メッセージが、例えばメールアドレスに基づく電子メールである場合、認証サーバ1は、メールクライアント機能を有し、外部のSMTPサーバに対してメールを送信する。
メッセージが、例えば電話番号に基づくSMSのプッシュメッセージである場合、認証サーバ1は、電話発呼機能を有し、携帯電話網の呼接続シーケンスを実行し、ショートメッセージを発信する。この場合、端末2は、呼接続可能なスマートフォンや携帯端末であることを要する。
メッセージが、例えばアカウントに基づくSNSのメッセージである場合、認証サーバ1は、SNSサイトに対するログイン機能を有し、当該サイトを介してメッセージを通知する。
When the message is an e-mail based on a mail address, for example, the
When the message is, for example, an SMS push message based on a telephone number, the
When the message is, for example, an SNS message based on an account, the
図3は、本発明における第2の認証時のタップ操作画面を表す説明図である。 FIG. 3 is an explanatory diagram showing a tap operation screen at the time of second authentication in the present invention.
図3は、端末2のディスプレイに、受信した第2のメッセージに記述されたテキストが表示されている。そのメッセージには、第2のURLが記述されており、ユーザに対して発動操作(タップ又はクリック)を促す。
(第2のURL) http://www.SM.co.jp/Axx
第2のURLは、認証サーバ1に対するユーザA専用のページとして認識される。
In FIG. 3, the text described in the received second message is displayed on the display of the
(Second URL) http://www.SM.co.jp/Axx
The second URL is recognized as a page dedicated to the user A for the
[S3:第3のステップ]
(S31)ユーザAが、第2のURL(http://www.SM.co.jp/Axx)をタップした際に、端末2は、認証サーバ1へ第2のページ要求(GET Request)を送信する。
(S32)認証サーバ1は、端末2から第2のページ要求を受信した際に、その第2のULが登録テーブル100に登録されているか否かを判定する。真(登録済み)と判定された場合、当該ユーザIDの認証成功とする。
認証サーバ1は、ユーザAの操作する端末2へ、認証成功の旨を、ページ応答によって返信するものであってもよい。
これによって、端末2を操作するユーザAは、認証後の所定サービスの提供を受けることができる。
[S3: Third step]
(S31) When the user A taps the second URL (http://www.SM.co.jp/Axx), the
(S32) When receiving the second page request from the
The
Thereby, the user A who operates the
他の実施形態として、認証サーバ1は、S2で、第2のメッセージを送信した際に、タイマをスタートさせる。そして、端末2から第2のページ要求を受信するまでの時間が、所定時間以下となっている場合にのみ、当該ユーザIDの認証成功とする。この所定時間は、ワンタイムURLの有効期間として設定したものである。
As another embodiment, the
<ブラウザに基づくクッキー値の照合>
前述した図1〜図3によれば、端末2は、第1のURL及び第2のURLの両方で、認証サーバ1へページ要求を送信し、認証サーバ1からページ応答を受信する。即ち、第1の認証時に起動したブラウザに第1のページを表示すると共に、第2の認証時にも同じブラウに第2のページを表示している。
そこで、認証サーバ1は、第1の認証時の第1のページ応答によって表示されるブラウザに、ユーザ固有のクッキー値を記憶させる。そして、端末2は、第2の認証時に、そのクッキー値を含む第2のページ要求を、認証サーバ1へ送信する。認証サーバ1は、第2のページ要求に含まれるクッキー値が、第1の認証時に登録テーブル100に記憶されたものか否かを判定する。真と判定した場合、認証成功とするが、偽(登録テーブル100にそのクッキー値が記憶されていない)と判定した場合、認証失敗と判定することができる。
<Matching cookie values based on browser>
1 to 3, the
Therefore, the
図4は、端末のクッキー値に基づいて認証を判定する第1のシーケンス図である。 FIG. 4 is a first sequence diagram for determining authentication based on the cookie value of the terminal.
図4によれば、図1と比較して、S12のシーケンスのみが異なる。
(S121)認証サーバ1は、http://www.SM.co.jp/Aに向けたHTTP Get Requestを受信した際に、そのURLが、登録テーブル100に登録されているか否かを判定する。
(S122)認証サーバ1は、S121で真と判定された場合、ユーザAに対するクッキー値(A1B2C3D4)を生成する。クッキー値は、認証サーバ1によってユーザ固有に決定されるものである。
(S123)認証サーバ1は、S122で生成した「クッキー値」を含めた第1のページ応答を、端末2へ返信する。これによって、端末2は、ブラウザを起動させると共に、そのブラウザに、クッキー値を記憶させる。
そして、認証サーバ1は、クッキー値(A1B2C3D4)を、ユーザAに対応させて、登録テーブル100に登録する。
According to FIG. 4, compared with FIG. 1, only the sequence of S12 is different.
(S121) Upon receiving an HTTP Get Request for http://www.SM.co.jp/A, the
(S122) The
(S123) The
Then, the
図5は、図4に続く、第2のシーケンス図である。 FIG. 5 is a second sequence diagram subsequent to FIG.
図5によれば、図1と比較して、S31及びS32のシーケンスのみが異なる。
(S31)端末2は、http://www.SM.co.jp/Axxに向けたHTTP Get Requestを送信する際に、S123で起動したブラウザに記憶されているクッキー値(A1B2C3D4)を含める。
(S32)認証サーバ1は、HTTP Get Requestを受信した際に、そのURL(http://www.SM.co.jp/Axx)とそのクッキー値(A1B2C3D4)とが、登録テーブル100に登録されているか否かを判定する。真と判定した場合、認証成功とするが、偽(登録テーブル100にそのクッキー値が記憶されていない)と判定した場合、認証失敗と判定する。
According to FIG. 5, compared with FIG. 1, only the sequence of S31 and S32 is different.
(S31) When the
(S32) When the
図6は、本発明における認証サーバの機能構成図である。 FIG. 6 is a functional configuration diagram of the authentication server in the present invention.
図6によれば、認証サーバ1は、登録テーブル100と、第1のメッセージ送信部101と、第2のURL生成部11と、第2のメッセージ送信部12と、認証部13とを有する。これら機能構成部は、サーバに搭載されたコンピュータを機能させるプログラムを実行することによって実現される。また、これら機能構成部の処理の流れは、認証方法としても理解できる。
According to FIG. 6, the
登録テーブル100は、ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する(前述した図1参照)。
第1のメッセージ送信部101は、第1のURLを記述した第1のメッセージを、当該第1のURLで識別されるユーザIDのアドレスを宛先として送信する(前述した図1のS0参照)。
第2のURL生成部11は、端末2から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する(図1のS1参照)。
第2のメッセージ送信部12は、第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する(図1のS2参照)。
認証部13は、端末2から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする(図1のS3参照)。
The registration table 100 stores an address and a first URL that can identify the user for each user ID (see FIG. 1 described above).
The first
When receiving the first page request for the first URL from the
The second
When the authentication unit 13 receives the second page request for the second URL from the
以上、詳細に説明したように、本発明の認証サーバ、プログラム及び方法によれば、ユーザにコード(ユーザIDやパスワード、パスコード)を一切入力させることなく、2段階のユーザ認証を実行することができる。 As described above in detail, according to the authentication server, program, and method of the present invention, two-step user authentication is performed without requiring the user to input any code (user ID, password, passcode). Can do.
前述したように、本発明によれば、2段階のURLタップのみでユーザ認証を実行することができる。ここで、非特許文献1の作用効果と、本発明の作用効果とを比較して考える。
(1)非特許文献1によれば、第1の認証時に、ユーザIDとパスワードとを入力しているが、本発明は、ユーザID専用の第1のURLをタップするだけである。これは、ユーザIDとパスワードをユーザのみが知ることと同様であって、第1のURLは、ユーザ専用であってそのユーザしか知り得ないものである(第1のステップ)。
(2)非特許文献1によれば、第2の認証時に、ユーザのスマートフォンへ電話発呼によるSMSメッセージを送信しているが、この点では、本発明のメッセージ送信も同様である(第2のステップ)。
(3)非特許文献1によれば、第2の認証時に、SMSメッセージのパスコードをサイトに入力しているが、本発明は、ユーザID専用のワンタイムの第2のURLをタップするだけである。これは、パスコードをワンタイムで有効にすることと同様であって、第2のURLも、ワンタイムでしか有効とならないものである(第3のステップ)。
As described above, according to the present invention, user authentication can be executed with only two stages of URL taps. Here, the operational effect of
(1) According to
(2) According to
(3) According to
尚、本発明によれば、S1とS3との両方で、ユーザID専用の異なる認証URLを用いている。これは、非特許文献1に照らせば、ユーザID及びパスワードの異なる入力操作を2回していることに相当する。これは、セキュリティ確保の点で、本発明は非特許文献1よりも有利となり得る。
According to the present invention, different authentication URLs dedicated to user IDs are used in both S1 and S3. In light of
また、本発明によれば、ユーザID専用の第1のURLが漏洩したとしても、ワンタイムの第2のURLを含むメッセージは、真のユーザの端末2にしか到達しない。このように、本発明によれば、ユーザID及びパスワードを、ユーザID専用の第1のURL及び第2のURLによって隠蔽したこととなり、ユーザ認証のセキュリティを高めることができる。
Further, according to the present invention, even if the first URL dedicated to the user ID leaks, the message including the one-time second URL reaches only the
更に、本発明によれば、ユーザは、端末2に表示された2つの認証URLをタップするだけであり、端末2に対して特定のアプリケーションを起動する必要もなく、且つ、別途のWebサイトにアクセスする必要もない。
Furthermore, according to the present invention, the user only taps two authentication URLs displayed on the
このように、本発明は、非特許文献1と比較して同等以上の高いセキュリティを確保するにも拘わらず、ユーザに対して、第1のURLと第2のURLとを2回タップするのみの操作しか要求しない。
As described above, the present invention only taps the first URL and the second URL twice with respect to the user, despite ensuring the same or higher security as compared with
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 Various changes, modifications, and omissions of the above-described various embodiments of the present invention can be easily made by those skilled in the art. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.
1 認証サーバ
100 登録テーブル
101 第1のメッセージ送信部
11 第2のURL生成部
12 第2のメッセージ送信部
13 認証部
2 端末
DESCRIPTION OF
Claims (9)
ユーザID(IDentifier)毎に、アドレスと、当該ユーザを識別可能な第1のURL(Uniform Resource Locator)とを記憶する登録テーブルと、
前記端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第2のURL生成手段と、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のメッセージ送信手段と、
前記端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする認証手段と
を有することを特徴とする認証サーバ。 In the authentication server that authenticates the user who operates the terminal,
For each user ID (IDentifier), a registration table that stores an address and a first URL (Uniform Resource Locator) that can identify the user;
A second URL generating means for identifying a user ID and generating a second URL that can identify the user ID when receiving a first page request for the first URL from the terminal;
Second message transmitting means for transmitting a second message in which a second URL is described, with the address of the user ID as a destination;
An authentication server, comprising: an authentication unit that makes the authentication of the user ID successful when a second page request directed to the second URL is received from the terminal.
更に有することを特徴とする請求項1に記載の認証サーバ。 The first message transmitting means for transmitting the first message describing the first URL to the address of the user ID identified by the first URL as a destination. Authentication server.
ことを特徴とする請求項1又は2に記載の認証サーバ。 3. The second URL generation means generates a second URL different as a one-time URL every time a first page request is received even for the same user ID. Authentication server described in.
ことを特徴とする請求項1から3のいずれか1項に記載の認証サーバ。 The authenticating means only receives the user ID when the time from when the second message transmitting means transmits the second message to when the second page request is received is equal to or shorter than a predetermined time. The authentication server according to any one of claims 1 to 3, wherein the authentication is successful.
前記認証手段は、第2のページ要求に含まれたクッキー値と、前記登録テーブルに登録された当該ユーザに基づくクッキー値とが一致する場合に、前記端末に対して当該ユーザIDの認証成功とする
ことを特徴とする請求項1から4のいずれか1項に記載の認証サーバ。 When receiving the first page request from the terminal, the second URL generation means generates a cookie value in HTTP (HyperText Transfer Protocol) cookie protocol, responds to the cookie value to the terminal, In association with the user ID identified by the URL, the cookie value is registered in the registration table,
If the cookie value included in the second page request matches the cookie value based on the user registered in the registration table, the authentication means determines that the user ID has been successfully authenticated to the terminal. The authentication server according to any one of claims 1 to 4, characterized in that:
第2のメッセージは、
前記メールアドレスに基づく電子メール、
前記電話番号に基づくSMS(Short Message Service)のプッシュメッセージ、又は、
前記アカウントに基づくSNS(Social Networking Service)のメッセージ
であることを特徴とする請求項1から5のいずれか1項に記載の認証サーバ。 The address of the terminal is an email address, a phone number or an account,
The second message is
An email based on the email address;
SMS (Short Message Service) push message based on the phone number, or
6. The authentication server according to claim 1, wherein the authentication server is an SNS (Social Networking Service) message based on the account.
パスワードを用いることなく、ユーザIDを認証する
ことを特徴とする請求項1から6のいずれか1項に記載の認証サーバ。 The user ID is a user ID of a commercial transaction site or a block chain site, or a wallet ID of a virtual currency,
The authentication server according to claim 1, wherein the user ID is authenticated without using a password.
ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶する登録テーブルと、
前記端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第2のURL生成手段と、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のメッセージ送信手段と、
前記端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする認証手段と
してコンピュータを機能させることを特徴とするプログラム。 In a program for causing a computer mounted on an authentication server to authenticate a user who operates a terminal to function,
For each user ID, a registration table that stores an address and a first URL that can identify the user;
A second URL generating means for identifying a user ID and generating a second URL that can identify the user ID when receiving a first page request for the first URL from the terminal;
Second message transmitting means for transmitting a second message in which a second URL is described, with the address of the user ID as a destination;
A program for causing a computer to function as an authentication means for successful authentication of a user ID when receiving a second page request for a second URL from the terminal.
前記認証サーバは、
ユーザID毎に、アドレスと、当該ユーザを識別可能な第1のURLとを記憶しており、
前記端末から第1のURLに向けた第1のページ要求を受信した際に、ユーザIDを識別すると共に、当該ユーザIDを識別可能な第2のURLを生成する第1のステップと、
第2のURLが記述された第2のメッセージを、当該ユーザIDのアドレスを宛先として送信する第2のステップと、
前記端末から第2のURLに向けた第2のページ要求を受信した際に、当該ユーザIDの認証成功とする第3のステップと
を実行することを特徴とする認証サーバの2段階認証方法。
An authentication server two-step authentication method for authenticating a user operating a terminal,
The authentication server is
For each user ID, an address and a first URL that can identify the user are stored,
A first step of identifying a user ID and generating a second URL capable of identifying the user ID when receiving a first page request for the first URL from the terminal;
A second step of transmitting a second message in which a second URL is described with the address of the user ID as a destination;
A two-step authentication method for an authentication server, wherein, when a second page request directed to a second URL is received from the terminal, a third step of making the authentication of the user ID successful is executed.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018071238A JP6435456B1 (en) | 2018-04-03 | 2018-04-03 | Authentication server, program and method using two-stage URL |
PCT/JP2019/014604 WO2019194170A1 (en) | 2018-04-03 | 2019-04-02 | Server implementing authentication using two-stage url, program recording medium, and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018071238A JP6435456B1 (en) | 2018-04-03 | 2018-04-03 | Authentication server, program and method using two-stage URL |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6435456B1 true JP6435456B1 (en) | 2018-12-12 |
JP2019185146A JP2019185146A (en) | 2019-10-24 |
Family
ID=64655826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018071238A Active JP6435456B1 (en) | 2018-04-03 | 2018-04-03 | Authentication server, program and method using two-stage URL |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6435456B1 (en) |
WO (1) | WO2019194170A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020135197A (en) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | Information processing apparatus |
JP7081773B1 (en) | 2022-03-31 | 2022-06-07 | 株式会社エルブズ | Authentication method, authentication program and authentication system |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003016349A (en) * | 2001-07-05 | 2003-01-17 | J-Phone East Co Ltd | Electronic commerce supporting method, article buying method, electronic commerce supporting information processor, information communication terminal, and program |
JP2008171087A (en) * | 2007-01-09 | 2008-07-24 | Taito Corp | Authentication system, and authentication program |
JP2010079795A (en) * | 2008-09-29 | 2010-04-08 | Fujifilm Corp | Client authentication system |
JP2010262532A (en) * | 2009-05-08 | 2010-11-18 | Yahoo Japan Corp | Server, method and program for managing login |
JP2013088877A (en) * | 2011-10-13 | 2013-05-13 | Nomura Research Institute Ltd | Access control system, access control method, and computer program |
JP2015103194A (en) * | 2013-11-28 | 2015-06-04 | キヤノン株式会社 | Mail address control system |
JP2017175227A (en) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | Certificate management system, certificate management method, and program |
-
2018
- 2018-04-03 JP JP2018071238A patent/JP6435456B1/en active Active
-
2019
- 2019-04-02 WO PCT/JP2019/014604 patent/WO2019194170A1/en active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003016349A (en) * | 2001-07-05 | 2003-01-17 | J-Phone East Co Ltd | Electronic commerce supporting method, article buying method, electronic commerce supporting information processor, information communication terminal, and program |
JP2008171087A (en) * | 2007-01-09 | 2008-07-24 | Taito Corp | Authentication system, and authentication program |
JP2010079795A (en) * | 2008-09-29 | 2010-04-08 | Fujifilm Corp | Client authentication system |
JP2010262532A (en) * | 2009-05-08 | 2010-11-18 | Yahoo Japan Corp | Server, method and program for managing login |
JP2013088877A (en) * | 2011-10-13 | 2013-05-13 | Nomura Research Institute Ltd | Access control system, access control method, and computer program |
JP2015103194A (en) * | 2013-11-28 | 2015-06-04 | キヤノン株式会社 | Mail address control system |
JP2017175227A (en) * | 2016-03-18 | 2017-09-28 | 株式会社リコー | Certificate management system, certificate management method, and program |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020135197A (en) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | Information processing apparatus |
JP7302193B2 (en) | 2019-02-15 | 2023-07-04 | 株式会社リコー | Information processing equipment |
JP7081773B1 (en) | 2022-03-31 | 2022-06-07 | 株式会社エルブズ | Authentication method, authentication program and authentication system |
JP2023150848A (en) * | 2022-03-31 | 2023-10-16 | 株式会社エルブズ | Authentication method, authentication program, and authentication system |
Also Published As
Publication number | Publication date |
---|---|
JP2019185146A (en) | 2019-10-24 |
WO2019194170A1 (en) | 2019-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9923876B2 (en) | Secure randomized input | |
EP3404875B1 (en) | Electronic device providing dialog contents, server and method thereof | |
US20110055562A1 (en) | Public key certificate based social website account authentication | |
US20080005119A1 (en) | Remotely updating a user status on a presence server | |
TW201635181A (en) | On demand passwords | |
EP4152188B1 (en) | Methods, systems, and apparatuses for improved multi-factor authentication in a multi-app communication system | |
US9197646B2 (en) | Verifying source of email | |
US20150365420A1 (en) | A secure user interaction method performing defined actions on web resources over a separate channel and a system thereof | |
US11165768B2 (en) | Technique for connecting to a service | |
EP2218239A1 (en) | Authentication system and method | |
US10951616B2 (en) | Proximity-based device authentication | |
JP6435456B1 (en) | Authentication server, program and method using two-stage URL | |
KR20140081041A (en) | Authentication Method and System for Service Connection of Internet Site using Phone Number | |
JP2015130028A (en) | Proxy log-in device, terminal, control method and program | |
JP2009301446A (en) | Method and server for user authentication using a plurality of terminals, and program | |
KR20170055665A (en) | User authentication system and user authentication method therefor | |
US20220400103A1 (en) | User authentication via telephonic communication | |
CN104301285A (en) | Method for logging in web system | |
TW202105205A (en) | Authentication system and authentication method | |
JP4961058B1 (en) | Authentication system | |
KR20070092917A (en) | The method and system for transferring personal secret information and authenticating internet user via mobile telecommunication network | |
JP6214781B2 (en) | Connection system and connection method | |
KR102324825B1 (en) | Server and system for authentication processing, and control method thereof | |
EP3582469B1 (en) | Authentication using a mobile network operator system | |
AU2014101079A4 (en) | Secure communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180521 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180521 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180801 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180821 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180830 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6435456 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |