JP7403430B2 - Authentication device, authentication method and authentication program - Google Patents
Authentication device, authentication method and authentication program Download PDFInfo
- Publication number
- JP7403430B2 JP7403430B2 JP2020186412A JP2020186412A JP7403430B2 JP 7403430 B2 JP7403430 B2 JP 7403430B2 JP 2020186412 A JP2020186412 A JP 2020186412A JP 2020186412 A JP2020186412 A JP 2020186412A JP 7403430 B2 JP7403430 B2 JP 7403430B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- terminal
- user
- destination information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 11
- 230000004044 response Effects 0.000 claims description 17
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 2
- 238000003825 pressing Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、フィッシングによる不正アクセスを防止する認証システムに関する。 The present invention relates to an authentication system that prevents unauthorized access due to phishing.
従来、第三者による不正アクセスを防止するユーザ認証の仕組みとして、2段階認証が利用されている。2段階認証では、ユーザがアカウントにログインする際に、ID及びパスワードの入力に加えて、登録してある電話番号又はメールアドレス等を利用して別の端末に届く通知に対して承認を行う(例えば、セキュリティコードを入力する)ことで、ログインが完了する(例えば、特許文献1参照)。 Conventionally, two-step authentication has been used as a user authentication mechanism to prevent unauthorized access by third parties. With two-step authentication, when a user logs into their account, in addition to entering their ID and password, they also use their registered phone number or email address to approve notifications sent to another device ( For example, by inputting a security code, the login is completed (see, for example, Patent Document 1).
しかしながら、従来の認証システムにおいて表示されるログイン画面は、容易に模倣され、ユーザを騙すフィッシングサイトが作成される可能性があった。このフィッシングサイトは、ユーザの入力を正規の認証システムへ中継することにより正規の通知を出力させ、この通知をユーザに承認させることにより認証システムが返送する鍵情報を詐取でき、なりすまし被害の発生原因の一つとなっていた。 However, the login screen displayed in conventional authentication systems can be easily imitated, and there is a possibility that phishing sites can be created to deceive users. This phishing site outputs a legitimate notification by relaying the user's input to the official authentication system, and by having the user approve this notification, it is able to steal the key information returned by the authentication system, which is the cause of the spoofing damage. It was one of the
本発明は、フィッシングの困難な認証システムを構築できる認証装置、認証方法及び認証プログラムを提供することを目的とする。 An object of the present invention is to provide an authentication device, an authentication method, and an authentication program that can construct an authentication system that is difficult to phish.
本発明に係る認証装置は、認証済みの第1の端末に対して、ユーザIDと紐づけてランダムに生成される第1のキーを含む宛先情報を共有する第1キー共有部と、第2の端末に入力された前記宛先情報に基づくアクセスに応じて、当該宛先情報に含まれる前記第1のキーに紐づけられている前記ユーザIDと紐づけて、ランダムに生成した第2のキーを当該第2の端末へ送信する第2キー送信部と、前記第1の端末に入力された前記第2のキー、及び共有された前記宛先情報を前記第1の端末から受信するキー受信部と、前記キー受信部により受信された前記宛先情報に含まれる前記第1のキー、及び前記第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認すると、前記第2の端末に対して、当該ユーザIDの認証情報を送信してログインを完了させる認証情報送信部と、を備える。 The authentication device according to the present invention includes a first key sharing unit that shares destination information including a first key that is randomly generated in association with a user ID with an authenticated first terminal; In response to access based on the destination information input to the terminal, a randomly generated second key is linked to the user ID that is linked to the first key included in the destination information. a second key transmitter that transmits to the second terminal; a key receiver that receives the second key input to the first terminal and the shared destination information from the first terminal; , upon confirming that the user IDs associated with each of the first key and the second key included in the destination information received by the key receiving unit are the same, a message is sent to the second terminal. and an authentication information transmitter that transmits authentication information for the user ID to complete login.
前記第1キー共有部は、前記第2の端末からのログイン要求に応じて、前記第1の端末へ前記宛先情報を示す通知を行ってもよい。 The first key sharing unit may notify the first terminal indicating the destination information in response to a login request from the second terminal.
前記認証情報送信部は、前記ログイン要求を受けた際のセッションキーと、前記宛先情報に基づくアクセスを受けた際のセッションキーとが同一であることを確認してもよい。 The authentication information transmitter may confirm that the session key used when receiving the login request and the session key used when access based on the destination information is received are the same.
前記第1キー共有部は、前記第1の端末からの要求に応じて、前記第1の端末へ前記宛先情報を示す通知を行ってもよい。 The first key sharing unit may notify the first terminal indicating the destination information in response to a request from the first terminal.
前記第1キー共有部は、予め前記第1の端末と共有された鍵に基づいて、前記第1の端末と同期して互いに前記第1のキーを生成してもよい。 The first key sharing unit may mutually generate the first key in synchronization with the first terminal based on a key shared with the first terminal in advance.
前記宛先情報は、URLであり、前記第2の端末で動作するブラウザのアドレスバーにユーザにより入力されてもよい。 The destination information may be a URL, and may be input by the user into an address bar of a browser running on the second terminal.
本発明に係る認証方法は、認証済みの第1の端末に対して、ユーザIDと紐づけてランダムに生成される第1のキーを含む宛先情報を共有する第1キー共有ステップと、第2の端末に入力された前記宛先情報に基づくアクセスに応じて、当該宛先情報に含まれる前記第1のキーに紐づけられている前記ユーザIDと紐づけて、ランダムに生成した第2のキーを当該第2の端末へ送信する第2キー送信ステップと、前記第1の端末に入力された前記第2のキー、及び共有された前記宛先情報を前記第1の端末から受信するキー受信ステップと、前記キー受信ステップにおいて受信された前記宛先情報に含まれる前記第1のキー、及び前記第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認すると、前記第2の端末に対して、当該ユーザIDの認証情報を送信してログインを完了させる認証情報送信ステップと、をコンピュータが実行する。 The authentication method according to the present invention includes a first key sharing step of sharing destination information including a first key randomly generated in association with a user ID with an authenticated first terminal; In response to access based on the destination information input to the terminal, a randomly generated second key is linked to the user ID that is linked to the first key included in the destination information. a second key transmitting step of transmitting the second key to the second terminal; a key receiving step of receiving the second key input to the first terminal and the shared destination information from the first terminal; , upon confirming that the user IDs associated with each of the first key and the second key included in the destination information received in the key receiving step are the same, the information is sent to the second terminal. Then, the computer executes an authentication information sending step of sending the authentication information of the user ID to complete the login.
本発明に係る認証プログラムは、前記認証装置としてコンピュータを機能させるためのものである。 The authentication program according to the present invention is for causing a computer to function as the authentication device.
本発明によれば、フィッシングの困難な認証システムが構築される。 According to the present invention, an authentication system that is difficult to phish is constructed.
以下、本発明の実施形態の一例について説明する。
本実施形態の認証システムは、ワンタイムのランダムなキーを含む宛先情報(ワンタイムドメイン)を認証済みの端末に表示し、新たな端末からユーザにこの宛先へアクセスさせた上で認証を行うことにより、フィッシングサイトがワンタイムパスワードを入手できないようにすることでフィッシングの困難な認証を行う。
An example of an embodiment of the present invention will be described below.
The authentication system of this embodiment displays destination information (one-time domain) including a one-time random key on an authenticated terminal, allows the user to access this destination from a new terminal, and then performs authentication. This makes authentication difficult for phishing by preventing phishing sites from obtaining one-time passwords.
図1は、本実施形態における認証方法で各端末に提示される画面の遷移例を示す図である。
まず、ユーザがパーソナルコンピュータ又はモバイル端末等のユーザ端末Xから、ブラウザを利用してログイン先のサイト(認証装置)にアクセスすると、端末Xにはログイン準備画面が表示される。
FIG. 1 is a diagram showing an example of transition of screens presented to each terminal in the authentication method according to the present embodiment.
First, when a user accesses a login destination site (authentication device) using a browser from a user terminal X such as a personal computer or a mobile terminal, a login preparation screen is displayed on the terminal X.
ログイン準備画面でユーザIDを入力後、ログインボタンが押下されると(1)、ユーザ端末Xには、ログイン説明画面が表示される。また、別途、認証済みモバイル端末等のユーザ端末Yに認証装置から通知が送信され、この通知に基づいてログイン許可画面が表示される。 After inputting the user ID on the login preparation screen, when the login button is pressed (1), a login explanation screen is displayed on the user terminal X. Separately, a notification is sent from the authentication device to the user terminal Y, such as an authenticated mobile terminal, and a login permission screen is displayed based on this notification.
ログイン許可画面には、ワンタイムドメインが表示され、ユーザは、この文字列を読み取り、動作中のブラウザのアドレスバーに入力することで、ワンタイムドメインにユーザ端末Xからアクセスする(2)。 The one-time domain is displayed on the login permission screen, and the user accesses the one-time domain from user terminal X by reading this character string and inputting it into the address bar of the active browser (2).
このアクセスに応じて、認証装置は、ワンタイムパスワードを含む再認証画面を、アクセス元であるユーザ端末Xに表示させ、ユーザは、このワンタイムパスワードをユーザ端末Yへ入力して承認ボタンを押下する。
これにより、認証装置は、ユーザ端末Xにおけるユーザを認証し、ログインを完了させる。
In response to this access, the authentication device displays a re-authentication screen containing a one-time password on user terminal X, which is the access source, and the user enters this one-time password into user terminal Y and presses the approval button. do.
Thereby, the authentication device authenticates the user at user terminal X and completes the login.
図2は、本実施形態における認証装置1の機能構成を示す図である。
認証装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
FIG. 2 is a diagram showing the functional configuration of the
The
制御部10は、認証装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
The
記憶部20は、ハードウェア群を認証装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(認証プログラム)の他、ユーザのIDと生成したキーとの紐付け情報等を記憶する。
The
制御部10は、第1キー共有部11と、第2キー送信部12と、キー受信部13と、認証情報送信部14とを備える。
The
第1キー共有部11は、認証済みのユーザ端末Y(第1の端末)に対して、ユーザIDと紐づけてランダムに生成される第1のキー(文字列)を含む宛先情報を共有する。
ここで、宛先情報は、例えばURL(ワンタイムドメイン)であってよく、第1のキーに、予め設定される所定のドメイン名が連結されて生成される。この宛先情報は、ユーザ端末Yに表示され、ユーザ端末X(第2の端末)で動作するブラウザのアドレスバーにユーザにより入力される。
宛先情報の共有手段は、例えば、次に挙げる手法が採用可能である。
The first
Here, the destination information may be, for example, a URL (one-time domain), and is generated by linking a predetermined domain name to a first key. This destination information is displayed on user terminal Y and is input by the user into the address bar of the browser operating on user terminal X (second terminal).
For example, the following methods can be adopted as the destination information sharing means.
(A)第1キー共有部11は、ユーザ端末Xからのログイン要求に応じて、ユーザ端末Yへ宛先情報を示す通知を行う。
この場合、ユーザ端末Xに表示されたログイン準備画面において、IDの入力を受け付けることにより、第1キー共有部11は、このIDに紐づく第1のキーを生成する。このとき、第1キー共有部11は、IDに紐づいたパスワードの入力を更に受け付け、パスワードの正当性を検証してもよい。
なお、ユーザ端末Xへは、ユーザ端末Yに通知を行った旨のデータ送信、あるいは、ログイン準備画面をログイン説明画面に遷移させ、第1の端末に通知を行った旨を説明する表示が行われてもよい。
(A) The first
In this case, upon receiving an ID input on the login preparation screen displayed on the user terminal X, the first
Note that data is sent to user terminal It's okay to be hurt.
(B)第1キー共有部11は、ユーザ端末Yからの要求に応じて、ユーザ端末Yへ宛先情報を示す通知を行う。
この場合、ユーザは、ユーザ端末Yへの通知、若しくはユーザ端末Xのログイン説明画面の指示に従って、又は自発的にユーザ端末Yを操作して、アクセスした認証装置1から通知を受信する。
(B) The first
In this case, the user receives the notification from the
(C)第1キー共有部11は、予めユーザ端末Yと共有されたユーザID毎の鍵に基づいて、ユーザ端末Yと同期して互いに第1のキーを生成する。
この場合、ユーザ端末Yは、例えば、RFC6238等で規定されているアルゴリズムを用いてワンタイムパスワードを生成し、予め設定されているドメイン名を付加して、宛先情報とする。第1キー共有部11は、ユーザ端末Yにおける第1のキーの生成タイミング、又は宛先情報によるユーザ端末Xからのアクセスのタイミングに基づいて、ユーザ端末Yと同期して第1のキーを生成し共有してよい。
(C) The first
In this case, the user terminal Y generates a one-time password using, for example, an algorithm defined in RFC6238 or the like, adds a preset domain name, and uses the password as destination information. The first
なお、宛先情報を示す通知とは、宛先情報が記述された通知、宛先情報が記述されたログイン許可画面を表示する画面データを含む通知、宛先情報が記述されたログイン許可画面を表示するためのURLを含む通知等であってよい。
あるいは、単に通知のみがユーザ端末Yに送信され、ユーザ端末Yは、自端末の識別子を用いて認証装置1から宛先情報、宛先情報を含むログイン許可画面のデータ、又は宛先情報を含むログイン許可画面を表示するためのURLを取得してもよい。
Note that notifications indicating destination information include notifications that include destination information, notifications that include screen data for displaying a login permission screen that includes destination information, and notifications that include screen data for displaying a login permission screen that includes destination information. It may be a notification that includes a URL.
Alternatively, only a notification is sent to the user terminal Y, and the user terminal Y receives the destination information from the
第2キー送信部12は、ユーザ端末Xに入力された宛先情報に基づくアクセスに応じて、この宛先情報に含まれる第1のキーに紐づけられているユーザIDと紐づけて、ランダムに生成した第2のキー(ワンタイムパスワード)をユーザ端末Xへ送信する。
The
キー受信部13は、ユーザ端末Yに入力された第2のキー、及び共有された宛先情報をユーザ端末Yから受信する。
The
認証情報送信部14は、キー受信部13により受信された宛先情報に含まれる第1のキー、及び第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認すると、ユーザ端末Xに対して、このユーザIDの認証情報を送信してログインを完了させる。
このとき、認証情報送信部14は、ログイン準備画面においてログイン要求を受けた際のセッションキーと、宛先情報に基づくアクセスを受けた際のセッションキーとが同一であることを確認することにより、正規のログイン準備画面からログイン操作が行われたことを確認してもよい。そして、セッションキーが異なる場合、フィッシングサイトが表示されたことを示す警告が表示されてもよい。
When the authentication
At this time, the
図3は、本実施形態における認証方法による処理の流れを例示するシーケンス図である。
この例は、ユーザが保持し既に認証装置1に登録済みのユーザ端末Yを用いて、新たに利用するユーザ端末Xにおいてサービスを利用可能とするまでの流れである。
認証装置1は、ユーザを識別するユーザIDとユーザが持つ端末Yの識別子との紐付けを保持しているものとし、認証装置1は、端末Yの識別子を用いて端末Yに対して通知を送ることができるものとする。
なお、認証装置1は、ユーザIDと紐づくパスワード、又はパスワードの正しさを検証可能な値(例えば、ハッシュ値等)を保持していてもよい。
FIG. 3 is a sequence diagram illustrating the flow of processing according to the authentication method in this embodiment.
This example is a flow of using a user terminal Y held by a user and already registered in the
It is assumed that the
Note that the
ステップS1において、ユーザ端末Xは、ユーザの操作に応じて、認証装置1にアクセスする。
In step S1, the user terminal X accesses the
ステップS2において、認証装置1は、ユーザ端末Xに対して、ログイン準備画面を表示するための画面データを送信する。
In step S2, the
ステップS3において、ユーザ端末Xは、ユーザからユーザIDの入力を受け付け、ログインボタンの押下に応じて、認証装置1に送信する。
In step S3, the user terminal X receives a user ID input from the user, and transmits it to the
ステップS4において、認証装置1(第1キー共有部11)は、ユーザIDに対するパスワードの正当性を検証した後、第1のキーKをランダムに生成し、ユーザIDと紐づける。また、認証装置1は、第1のキーKに所定のドメイン情報を付加して宛先情報(ワンタイムドメイン)とする。
In step S4, after verifying the validity of the password for the user ID, the authentication device 1 (first key sharing unit 11) randomly generates a first key K and associates it with the user ID. Further, the
ステップS5において、認証装置1(第1キー共有部11)は、ワンタイムドメインを示す通知をユーザ端末Yに送信すると共に、ユーザ端末Xのログイン準備画面をログイン説明画面に遷移させ、ユーザ端末Yに通知を送信した旨を表示して、ユーザに対してアドレスバーへのワンタイムドメインの入力を促す。 In step S5, the authentication device 1 (first key sharing unit 11) transmits a notification indicating the one-time domain to the user terminal Y, transitions the login preparation screen of the user terminal prompt the user to enter the one-time domain in the address bar.
ステップS6において、ユーザ端末Yは、通知に基づいてログイン許可画面を表示し、ワンタイムドメインをユーザに提示する。 In step S6, the user terminal Y displays a login permission screen based on the notification and presents the one-time domain to the user.
ステップS7において、ユーザは、ユーザ端末Yに表示されたワンタイムドメインを読み、ユーザ端末Xでブラウザのアドレスバーに入力することにより、ユーザ端末Xは、認証装置1にアクセスする。
In step S7, the user reads the one-time domain displayed on the user terminal Y and inputs it into the address bar of the browser on the user terminal X, so that the user terminal X accesses the
ステップS8において、認証装置1(第2キー送信部12)は、ワンタイムドメインに対してのアクセスに対し、第2のキーLをランダムに生成し、ワンタイムドメインに含まれる第1のキーKに紐づけられていたユーザIDと紐付ける。そして、認証装置1は、ワンタイムパスワードとして、第2のキーLを記述した再認証画面を表示するための画面データを、ユーザ端末Xに送信する。
ユーザ端末Xは、再認証画面を表示し、ワンタイムパスワードをユーザに提示する。
In step S8, the authentication device 1 (second key transmitting unit 12) randomly generates a second key L for accessing the one-time domain, and generates a first key K included in the one-time domain. Link it with the user ID that was linked to. Then, the
User terminal X displays a re-authentication screen and presents a one-time password to the user.
ステップS9において、ユーザは、読み取ったワンタイムパスワードを、ユーザ端末Yのログイン許可画面に入力し、承認ボタンを押下する。ユーザ端末Yは、入力されたワンタイムパスワードと共に、ワンタイムドメインを、認証装置1に送信する。
In step S9, the user inputs the read one-time password into the login permission screen of user terminal Y and presses the approval button. The user terminal Y transmits the one-time domain along with the input one-time password to the
ステップS10において、認証装置1(キー受信部13)は、ユーザ端末Yからワンタイムパスワード及びワンタイムドメインを受信する。そして、認証装置1(認証情報送信部14)は、受信したワンタイムパスワード、すなわち第2のキーLに紐づけられているユーザIDと、ワンタイムドメインに含まれる第1のキーKに紐づけられているユーザIDとが同一であることを確認する。ユーザIDが同一である場合、認証装置1は、このユーザIDに関する再認証画面を表示したユーザ端末Xに対して、ユーザIDの認証情報を送信してログインを完了させる。
これにより、ユーザは、受信した認証情報を用いて、ユーザ端末Xでサービスが利用可能となる。
In step S10, the authentication device 1 (key receiving unit 13) receives a one-time password and a one-time domain from the user terminal Y. The authentication device 1 (authentication information transmitting unit 14) then links the received one-time password, that is, the user ID linked to the second key L, to the first key K included in the one-time domain. Make sure that the user ID specified is the same as the user ID. If the user IDs are the same, the
This allows the user to use the service at the user terminal X using the received authentication information.
本実施形態によれば、認証装置1は、認証済みのユーザ端末Yとの間で、ユーザIDと紐づけてランダムに生成される第1のキーを含む宛先情報を共有し、ユーザ端末Xに入力された宛先情報に基づくアクセスに応じて、この宛先情報に含まれる第1のキーに紐づけられているユーザIDと紐づけて、ランダムに生成した第2のキーをユーザ端末Xへ送信する。
そして、認証装置1は、ユーザ端末Yに入力された第2のキー、及び共有された宛先情報をユーザ端末Yから受信すると、宛先情報に含まれる第1のキー、及び第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認し、ユーザ端末Xに対して、ユーザIDの認証情報を送信してログインを完了させる。
According to the present embodiment, the
When the
従来の認証システムでは、攻撃者がログイン準備画面を模倣したフィッシングサイトを用いて入手したID及びパスワードを用いて、正規サイトを利用してユーザ端末に通知を送信させることにより、ユーザは正規サイトからの通知で知ったワンタイムパスワードを再度フィッシングサイトに送信してしまう問題があった。
これに対して、本実施形態の認証システムは、通知を受けるユーザ端末Yに宛先情報(ワンタイムドメイン)を表示することにより、たとえユーザがフィッシングサイトにアクセス中であっても、新たに正規サイトにアクセスさせることができるため、フィッシングを防ぐことができる。したがって、本実施形態の認証装置1を用いることにより、フィッシングの困難な認証システムが構築される。
In conventional authentication systems, the attacker uses the ID and password obtained from a phishing site that mimics the login preparation screen to send a notification to the user terminal using the legitimate site, allowing the user to log in from the legitimate site. There was an issue where the one-time password learned from the notification was sent again to the phishing site.
In contrast, the authentication system of this embodiment displays the destination information (one-time domain) on the user terminal Y that receives the notification, so that even if the user is currently accessing a phishing site, a new legitimate site can be accessed. phishing can be prevented. Therefore, by using the
また、認証装置1は、ワンタイムドメイン及びワンタイムパスワードの2度のキー入力をユーザに求めている。
ワンタイムパスワードを用いない場合、ワンタイムドメインを総当たり攻撃から守るためには十分なデータ長を持たせる必要があるが、これはユーザの操作負担を増加させてしまう。本実施形態では、2度に分けることで、ワンタイムドメインを人が目視で入力しやすい長さとすることができる。
さらに、ワンタイムドメインの手入力には誤入力のリスクがあり、特にドメイン名の部分を誤入力するとフィッシングサイトに接続されてしまう可能性がある。このとき、認証装置1は、2つ目のキー入力を求めることにより、漏洩したキーのみから不正に認証情報を取得されるのを防ぐことができる。
Furthermore, the
If a one-time password is not used, it is necessary to have sufficient data length to protect the one-time domain from brute force attacks, but this increases the operational burden on the user. In this embodiment, by dividing the one-time domain into two parts, the one-time domain can be set to a length that is easy for a person to input visually.
Furthermore, manually entering a one-time domain carries the risk of errors, especially if you enter the domain name incorrectly, which could lead to a connection to a phishing site. At this time, by requesting the second key input, the
認証装置1は、認証の手順として、特に第1キーをユーザ端末Yと共有する手順として、様々なバリエーションを提供できる。
例えば、認証装置1は、ユーザ端末Xからのログイン要求に応じて、ユーザ端末Yへ宛先情報を示す通知を行ってもよいし、ユーザ端末Yからの要求に応じて、ユーザ端末Yへ宛先情報を示す通知を行ってもよい。
あるいは、認証装置1は、予めユーザ端末Yと共有された鍵に基づいて、ユーザ端末Yと同期してそれぞれが第1のキーを生成してもよい。これにより、認証装置1と端末との通信負荷が低減される。
The
For example, the
Alternatively, the
認証装置1は、ログイン要求を受けた際のセッションキーと、宛先情報に基づくアクセスを受けた際のセッションキーとが同一であることを確認することにより、例えばログイン準備画面が正規のサイトであったことを確認できる。
The
本実施形態において、宛先情報をURLとすることにより、ユーザ端末Xで動作するブラウザのアドレスバーへ入力させることで確実にユーザを正規サイトへ誘導することができる。 In this embodiment, by using a URL as the destination information, the user can be reliably guided to the authorized site by inputting the URL into the address bar of the browser running on the user terminal X.
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the embodiments described above. Further, the effects described in the embodiments described above are merely a list of the most preferable effects resulting from the present invention, and the effects according to the present invention are not limited to those described in the embodiments.
本実施形態において、宛先情報がURLである場合について主に説明したが、これには限られず、例えば、電話番号、メールアドレス等、認証装置1にアクセス可能な情報であればよい。
また、ログイン準備画面で入力されるユーザIDは、ユーザ端末Yに通知を送信するための識別情報であり、ユーザ端末Yを識別する電話番号又はメールアドレス等であってもよい。
In this embodiment, the case where the destination information is a URL has been mainly described, but the destination information is not limited to this, and any information that can be accessed by the
Further, the user ID input on the login preparation screen is identification information for sending a notification to the user terminal Y, and may be a telephone number, an e-mail address, etc. that identifies the user terminal Y.
認証装置1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
The authentication method by the
1 認証装置
10 制御部
11 第1キー共有部
12 第2キー送信部
13 キー受信部
14 認証情報送信部
20 記憶部
1
Claims (8)
第2の端末に入力された前記宛先情報に基づくアクセスに応じて、当該宛先情報に含まれる前記第1のキーに紐づけられている前記ユーザIDと紐づけて、ランダムに生成した第2のキーを当該第2の端末へ送信する第2キー送信部と、
前記第1の端末に入力された前記第2のキー、及び共有された前記宛先情報を前記第1の端末から受信するキー受信部と、
前記キー受信部により受信された前記宛先情報に含まれる前記第1のキー、及び前記第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認すると、前記第2の端末に対して、当該ユーザIDの認証情報を送信してログインを完了させる認証情報送信部と、を備える認証装置。 a first key sharing unit that shares destination information including a first key that is randomly generated in association with a user ID with the authenticated first terminal;
In response to access based on the destination information input to the second terminal, a second randomly generated second key is linked to the user ID that is linked to the first key included in the destination information. a second key transmitter that transmits the key to the second terminal;
a key receiving unit that receives the second key input to the first terminal and the shared destination information from the first terminal;
When it is confirmed that the user IDs associated with each of the first key and the second key included in the destination information received by the key receiving unit are the same, a message is sent to the second terminal. , an authentication information transmitter that transmits authentication information of the user ID to complete login.
第2の端末に入力された前記宛先情報に基づくアクセスに応じて、当該宛先情報に含まれる前記第1のキーに紐づけられている前記ユーザIDと紐づけて、ランダムに生成した第2のキーを当該第2の端末へ送信する第2キー送信ステップと、
前記第1の端末に入力された前記第2のキー、及び共有された前記宛先情報を前記第1の端末から受信するキー受信ステップと、
前記キー受信ステップにおいて受信された前記宛先情報に含まれる前記第1のキー、及び前記第2のキーのそれぞれに紐づけられたユーザIDが等しいことを確認すると、前記第2の端末に対して、当該ユーザIDの認証情報を送信してログインを完了させる認証情報送信ステップと、をコンピュータが実行する認証方法。 a first key sharing step of sharing destination information including a first key randomly generated in association with a user ID with the authenticated first terminal;
In response to access based on the destination information input to the second terminal, a second randomly generated second key is linked to the user ID that is linked to the first key included in the destination information. a second key sending step of sending the key to the second terminal;
a key receiving step of receiving the second key input into the first terminal and the shared destination information from the first terminal;
When it is confirmed that the user IDs associated with each of the first key and the second key included in the destination information received in the key receiving step are the same, the second key is sent to the second terminal. , an authentication information sending step of transmitting authentication information for the user ID to complete login.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020186412A JP7403430B2 (en) | 2020-11-09 | 2020-11-09 | Authentication device, authentication method and authentication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020186412A JP7403430B2 (en) | 2020-11-09 | 2020-11-09 | Authentication device, authentication method and authentication program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022076134A JP2022076134A (en) | 2022-05-19 |
JP7403430B2 true JP7403430B2 (en) | 2023-12-22 |
Family
ID=81606701
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020186412A Active JP7403430B2 (en) | 2020-11-09 | 2020-11-09 | Authentication device, authentication method and authentication program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7403430B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007058469A (en) | 2005-08-23 | 2007-03-08 | Nomura Research Institute Ltd | Authentication system, authentication server, authentication method, and authentication program |
JP2007304974A (en) | 2006-05-12 | 2007-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Service providing server, authentication server, and authentication system |
JP2015114714A (en) | 2013-12-09 | 2015-06-22 | 日本電信電話株式会社 | Authentication method, authentication system, web server, authentication program, and recording medium |
JP2017017559A (en) | 2015-07-01 | 2017-01-19 | e−Janネットワークス株式会社 | Communication system and program |
JP2020067988A (en) | 2018-10-26 | 2020-04-30 | 楽天銀行株式会社 | Authentication system, terminal, method for authentication, and program |
-
2020
- 2020-11-09 JP JP2020186412A patent/JP7403430B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007058469A (en) | 2005-08-23 | 2007-03-08 | Nomura Research Institute Ltd | Authentication system, authentication server, authentication method, and authentication program |
JP2007304974A (en) | 2006-05-12 | 2007-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Service providing server, authentication server, and authentication system |
JP2015114714A (en) | 2013-12-09 | 2015-06-22 | 日本電信電話株式会社 | Authentication method, authentication system, web server, authentication program, and recording medium |
JP2017017559A (en) | 2015-07-01 | 2017-01-19 | e−Janネットワークス株式会社 | Communication system and program |
JP2020067988A (en) | 2018-10-26 | 2020-04-30 | 楽天銀行株式会社 | Authentication system, terminal, method for authentication, and program |
Also Published As
Publication number | Publication date |
---|---|
JP2022076134A (en) | 2022-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2385679B1 (en) | Locally stored phishing countermeasure | |
US9780950B1 (en) | Authentication of PKI credential by use of a one time password and pin | |
CN104519042B (en) | Detect and prevent the man-in-the-middle attack on encryption connection | |
CN101227468B (en) | Method, device and system for authenticating user to network | |
TW201914256A (en) | Identity verification method and device, electronic equipment | |
CN110149328B (en) | Interface authentication method, device, equipment and computer readable storage medium | |
JP2016063533A (en) | Network authentication method for electronic transactions | |
CN101507233A (en) | Method and apparatus for providing trusted single sign-on access to applications and internet-based services | |
BRPI0919158B1 (en) | AUTHORIZATION DEVICE, APPLIANCE FOR OPERATION CONTROL OF A SERVER, SERVER FOR PERFORMING OPERATIONS AND DATA COMMUNICATION SYSTEM | |
CN112425114A (en) | Password manager protected by public-private key pair | |
CN112989426B (en) | Authorization authentication method and device, and resource access token acquisition method | |
US9807071B2 (en) | Information processing apparatus, information processing system, information processing method and computer program | |
CN109740319B (en) | Digital identity verification method and server | |
CN112699404A (en) | Method, device and equipment for verifying authority and storage medium | |
JP4914725B2 (en) | Authentication system, authentication program | |
JP2007058807A (en) | Authentication system and method | |
JP7403430B2 (en) | Authentication device, authentication method and authentication program | |
JP5665592B2 (en) | Server apparatus, computer system, and login method thereof | |
JP2008176429A (en) | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program | |
JP6532505B2 (en) | Authentication server, authentication system and program | |
KR20100008893A (en) | Method for enrollment and authentication using private internet access devices and system | |
JP7266560B2 (en) | Authentication device, authentication method and authentication program | |
US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
KR101405832B1 (en) | Login system and method through an authentication of user's mobile telecommunication | |
Ahmad et al. | Enhancing the Authentication Mechanism of Social Media Websites using Face Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230306 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231212 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7403430 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |