CN102667799B - 访问控制系统和认证服务器系统 - Google Patents
访问控制系统和认证服务器系统 Download PDFInfo
- Publication number
- CN102667799B CN102667799B CN201080051700.3A CN201080051700A CN102667799B CN 102667799 B CN102667799 B CN 102667799B CN 201080051700 A CN201080051700 A CN 201080051700A CN 102667799 B CN102667799 B CN 102667799B
- Authority
- CN
- China
- Prior art keywords
- authentication
- unit
- address
- formal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 45
- 230000005540 biological transmission Effects 0.000 claims abstract description 27
- 239000000284 extract Substances 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 2
- 238000000605 extraction Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 6
- 230000015572 biosynthetic process Effects 0.000 description 3
- 230000006698 induction Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000251468 Actinopterygii Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供访问控制系统和认证服务器系统;在本发明中,通过信息通信服务提供者的认证服务器系统(1)和信息通信服务利用者的用户终端(2)构成访问控制系统,通过这两者之间的通信进行认证处理,由此供应商的网关装置不参与向信息通信服务的访问控制用的一连串认证处理,从而无需获得供应商的协作并在网关装置中设置特别的构造;另外,从用户终端(2)向认证服务器(12)发送相同的认证信息而进行2次的认证(预认证和正式认证),在第2次的正式认证时也进行表示认证信息的发送源终端的IP地址的一致判定,由此能够可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。
Description
技术领域
本发明涉及访问控制系统和认证服务器系统,特别是适用于通过采用了ID和口令的认证处理来进行从用户终端向信息通信服务提供用的网络访问的访问控制的系统。
背景技术
以往,在网上银行这样的信息通信服务中,为了仅针对正当用户许可用于服务利用的访问,进行用于确认欲接受服务的实体是否是正当本人的认证。为此一般大多数情况下进行采用了ID和口令等、用于确认本人身份的信息的认证。但是,盗用他人的ID和口令,假装本人来利用信息通信服务的被称为“电子欺骗”的不当行为正在横行。当受到了电子欺骗时,被电子欺骗的本人会遭受到收到针对没有记忆的服务利用的核款、或者被盗取只有本人知道的机密信息或个人信息等的损失。
对此,提供了一种通过采用仅使用于一次认证中的一次性的一次性口令来处理电子欺骗问题的方法(例如,参照专利文献1)。如果为一次性口令,则由于不会重复使用,且在正当的本人使用之后变为无效,所以即使万一被第三者盗用,也能保持高的安全性。
但是,即使采用了一次性口令,也无法防止以所谓的网络钓鱼的方式不当获得一次性口令的来自恶意第三者的电子欺骗。网络钓鱼是指,将用户诱导至假冒网站,将在此输入的ID和口令中继至正规网站的方法。进行网络钓鱼的第三者,使正当用户将现阶段有效的一次性口令在假冒网站输入,并将其使用于正规网站。因此,在正规网站中仅进行一次认证,即使使用一次性口令也有可能被电子欺骗。
另一方面,还提出了一种除了ID和口令之外,还采用本人使用的用户终端所固有的IP地址进行认证来防止电子欺骗的方法(例如,参照专利文献2)。在该专利文献2记载的发明中,具备:在与认证服务器之间进行网络连接的认证的供应商的网关装置;和在与认证服务器之间进行服务利用的认证的Web服务器。并且,在最初的网络连接的认证时网关装置从数据包中提取用户终端的IP地址并将其存储于认证服务器中,在之后的服务利用的认证时Web服务器从数据包中提取IP地址,通过判定与认证服务器中所存储的IP地址的一致性来确认本人身份。
专利文献1:日本特许第3595109号公报
专利文献2:日本特开2006-113624号公报
发明内容
但是,在专利文献2所记载的发明中,需要在与提供信息通信服务的Web服务器不同的供应商的网关装置中,设置用于从数据包中提取IP地址并将其存储于认证服务器中的构造。即、仅由信息通信服务的提供者无法组成访问控制的系统,因而存在着需要得到供应商的协作而在网关装置中也设置特别构造的问题。
另外,在专利文献2所记载的发明中,也存在无法防止以网络钓鱼的方式不当地获得ID、口令和IP地址的来自恶意第三者的电子欺骗的问题。即、通过将用户诱导至假冒网站来提取IP地址,并且盗用在该假冒网站中输入的ID和口令,由此即使是采用了IP地址的认证,电可以冒充本人而获得服务利用的许可。
本发明是为了解决这种问题而完成的,其目的在于不需要获得供应商的系统构成的协作也能够可靠地防止基于电子欺骗的不当访问。
为了解决上述的课题,在本发明中,通过信息通信服务提供者的认证服务器系统和信息通信服务利用者的用户终端构成访问控制系统,并通过这两者之间的通信进行以下的认证处理。即、以数据包的形式从用户终端向认证服务器系统发送认证信息,此时提取数据包发送源终端的地址信息。然后,认证服务器系统基于认证信息进行预认证,并在预认证成功的情况下,将数据包发送源终端的地址信息与认证信息对应起来存储于地址表。然后,用户终端再次向认证服务器系统发送认证信息。认证服务器系统判定再次提取出的数据包发送源终端的地址信息和存储于地址表的地址信息是否一致,在判定出一致的情况下,基于再次发送的认证信息进行正式认证。
在本发明的另一方式中,通过一次性口令构成从用户终端向认证服务器系统发送的认证信息。
在本发明的又一方式中,在由用户终端生成了一次性口令时,自动地指定预先决定的发送目标地址,为了预认证发送包括一次性口令的认证信息。
根据采用了上述构成的本发明,因为供应商的网关装置不参与向信息通信服务的访问控制用的一连串认证处理,所以无需获得供应商的协作并在网关装置中设置特别的构造。因此,仅由信息通信服务提供者就能组成访问控制用的系统。
另外,根据本发明,从用户终端向认证服务器系统发送认证信息而进行两次认证(预认证和正式认证),在第2次的正式认证时也进行数据包发送源终端的地址信息的一致判定。因此,即使在正当用户欲进行正式认证时第三者通过钓鱼行为不当地获得认证信息,并且为了进行正式认证而从第三者的终端向认证服务器系统发送了认证信息,由于第三者的终端的地址信息未注册于认证服务器系统,所以认证不会成功。由此,能够可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。
另外,在作为从用户终端向认证服务器系统发送的认证信息而采用了一次性口令的情况下,假设第三者获知预认证的构造,欲利用通过上述的钓鱼行为窃取到的认证信息先接受预认证,认证也不会成功。即、由于在通过钓鱼行为被窃取认证信息之前,正当用户已经进行了采用一次性口令的预认证,因此第三者的预认证成为第二次的认证而认证失败。因此,由于第三者的终端的地址信息未注册于认证服务器系统,所以即使之后欲接受正式认证也会失败。由此,能够进一步可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。
进而,在预认证时从用户终端向认证服务器系统自动地进行地址指定,并发送基于一次性口令的认证信息的情况下,在预认证时用户不会被诱导至假冒网站。因此,有可能通过通信路上的监听而窃取认证信息,但是即使通过监听而窃取了认证信息,正当用户发送的认证信息也会原封不动地发送至认证服务器系统,并接受基于一次性口令的第1次的预认证。由此,即使之后第三者将相同的认证信息发送至认证服务器系统,因为此认证成为基于一次性口令的第2次认证而认证失败,第三者的终端的地址信息不会被注册。由此,也能够可靠地防止采用了通信路上的窃听的基于电子欺骗的不当访问。
附图说明
图1是表示本实施方式涉及的访问控制系统的整体构成例的框图。
图2是表示本实施方式涉及的访问控制系统的功能构成例的框图。
图3是表示本实施方式的IP地址表的构成例的图。
图4是表示本实施方式涉及的访问控制系统的预认证时的动作例的流程图。
图5是表示本实施方式涉及的访问控制系统的正式认证时的动作例的流程图。
具体实施方式
以下,根据附图说明本发明的一实施方式。图1是表示本实施方式涉及的访问控制系统的整体构成例的框图。图2是表示本实施方式涉及的访问控制系统的功能构成例的框图。
如图1所示,本实施方式的访问控制系统100是经由因特网等的通信网络连接信息通信服务提供者的认证服务器系统1和信息通信服务利用者的用户终端2而构成。认证服务器系统1具备:服务提供服务器11,其进行信息通信服务的提供;认证服务器12,其进行用于确认向服务提供服务器11访问的访问者是否为正当用户的认证;和中间服务器13,其配置于该认证服务器12与用户终端2之间。
用户终端2是接受例如网上银行这样的信息通信服务的用户的终端,其由个人计算机等构成。用户终端2通过因特网等的外部网络3分别与服务提供服务器11和中间服务器13连接,在与它们之间进行基于SSL(SecureSocketLayer、安全套接层)的加密通信。
服务提供服务器11、认证服务器12及中间服务器13是信息通信服务提供者(银行等)的设备,分别通过信息通信服务提供者的内部网络4进行连接。在本实施方式中,服务提供服务器11是指为了提供信息通信服务所需的多个服务器组,实际上包括Web服务器、应用服务器、数据库服务器等。
另外,虽然未图示,但是通常认证服务器12通过防火墙(限制内部网络4与外部网络3之间的通信,维持与内部网络4连接的计算机安全的构造)来防御外部网路3,用户终端2无法与认证服务器12直接通信。因此,在本实施方式中,用户终端2构成为:经由服务提供服务器11或者经由中间服务器13与认证服务器12进行通信。
在因特网等的网络通信中,在多个计算机中共有一条线路,将数据划分成数据包来进行通信。将此通信称为数据包通信。在各数据包中附加有表示发送源和发送目标的地址信息,不会在与共有线路的其他计算机之间引起数据的获取错误。在因特网中通用的通信协议中,作为表示网络上位置的信息的IP地址被作为表示发送源和发送目标的地址信息而使用。在本实施方式中,除了验证包括识别信息通信服务利用者的ID(以下称为用户ID)和口令的认证信息之外,还通过验证数据包发送源(用户终端2)的IP地址来检测“电子欺骗”。另外,在本实施方式中,作为口令而采用一次性口令。
如图2所示,用户终端2具备:预认证控制部21、正式认证控制部22及一次性口令生成部23。一次性口令生成部23在根据用户的指示被起动时,自动地生成一次性口令并供给至预认证控制部21。在此,也可以通过公知的方法生成一次性口令。作为一例,利用对应于用户ID而预先决定的种类信息和在每次生成一次性口令时变动的变动信息,按照规定的规则生成一次性口令。另外,用户ID和种类信息是在用户对认证服务器12设定账户时预先注册的。
预认证控制部21保持有中间服务器13的IP地址(认证服务器系统1的预先决定的发送目标地址),利用该IP地址确立与中间服务器13的通信并发送用户的认证信息(用户ID及通过一次性口令生成部23生成的一次性口令)。具体而言,预认证控制部21在产生了认证请求时,通过数据包通信向中间服务器13的IP地址发送用户固有的认证信息。这里的认证请求在通过一次性口令生成部23生成了一次性口令之后不久作为预认证控制部21的功能而自动产生。
正式认证控制部22包括Web浏览器的功能,其保持有服务提供服务器11的IP地址(认证服务器系统1的预先决定的发送目标地址)。正式认证控制部22在产生了认证请求时,通过数据包通信向服务提供服务器11的IP地址发送与预认证控制部21向中间服务器13的IP地址发送的信息相同的认证信息。这里的认证请求在响应于预认证控制部21发送认证信息的情况而从认证服务器12发送来认证成功的通知之后(在后述的预认证成功后),在用户自身启动Web浏览器而向服务提供服务器11访问之时产生。
中间服务器13具备认证请求部131和数据包解析部132。认证请求部131在通过数据包通信从用户终端2的预认证控制部21接收了认证信息之时,将该认证信息发送至认证服务器12而进行认证请求。数据包解析部132解析认证请求部131接收到的通信数据包,并提取认证信息和用户终端2的IP地址(相当于数据包发送源终端的地址信息)。上述的认证请求部131将IP地址(以下称为第1发送源IP地址)与认证信息一起向认证服务器12发送。
认证服务器12具备:预认证处理部121、存储处理部122、IP地址表123(相当于本发明的地址表)、预认证结果通知部124、地址判定部125、正式认证处理部126、正式认证结果通知部127及认证数据库128。
预认证处理部121经由中间服务器13接收从用户终端2的预认证控制部21发送来的认证信息,并基于该接收到的认证信息进行预认证。例如,预认证处理部121利用接收到的认证信息中包含的对应于用户ID而预先决定的种类信息和在每次生成一次性口令时变动的变动信息,按照规定的规则生成一次性口令。这里使用的变动信息按照与一次性口令生成部23生成一次性口令时所使用的信息相同的方式取得同步。然后,预认证处理部121检查自身生成的一次性口令和从中间服务器13接收到的认证信息中包含的一次性口令是否相同。若口令相同则认证成功,若不相同则认证失败。
在本实施方式中采用的口令是一次性口令。因此,在预认证成功一次之后,在经由中间服务器13以相同的认证信息(用户ID及一次性口令)送来了认证请求时,预认证处理部121中的预认证失败。
另外,如后所述,在之后进行正式认证时也使用一次性口令。因此,在预认证成功时,预认证处理部121将该一次性口令预先注册于认证数据库128。预认证处理部121针对从中间服务器13接收到的一次性口令,通过观看在认证数据库128中是否注册有相同的一次性口令来判定是否已经进行了预认证,在已经进行了预认证的情况下将本次(第2次以后)的预认证设为失败。
存储处理部122在利用预认证处理部121进行的预认证成功的情况下,将由认证请求部131发送的第1发送源IP地址(即、通过数据包解析部132由从预认证控制部21发送的数据包所提取的第1发送源IP地址)与由该数据包所提取的认证信息对应起来存储于IP地址表123。
图3是表示IP地址表123的构成例的图。如图3所示,IP地址表123构成为:将作为认证信息的用户ID及一次性口令与IP地址对应起来进行存储。在用户ID及一次性口令的项目中,存储有通过数据包解析部132由从预认证控制部21发送的数据包所提取的认证信息。另外,在IP地址的项目中,存储有通过数据包解析部132由相同的数据包所提取的第1发送源IP地址。
预认证结果通知部124经由中间服务器13向用户终端2通知利用预认证处理部121进行的预认证的成功与否(认证成功或者认证失败)。具体而言,预认证结果通知部124向中间服务器13的认证请求部131通知利用预认证处理部121进行的预认证的成功与否。认证请求部131将从预认证结果通知部124接受到的通知转送至用户终端2的预认证控制部21。接受了该通知的预认证控制部21,例如将认证成功或者失败的情况显示于用户终端2的显示装置(未图示)的画面上,并结束预认证处理。
在首先说明了服务提供服务器11的构成之后再说明认证服务器12的余下构成(地址判定部125、正式认证处理部126及正式认证结果通知部127)。服务提供服务器11具备:服务提供部111、认证请求部112及数据包解析部113。
在正式认证被许可的情况下,服务提供部111向用户终端2提供网上银行等的信息通信服务。在提供服务之前的正式认证执行时,当接收到从用户终端2的正式认证控制部22发送来的数据包时,服务提供部111将该数据包转送至认证请求部112。
在认证请求部112从服务提供部111接收了数据包时,数据包解析部113解析认证请求部112接收到的数据包,并提取认证信息(与预认证时相同的信息)和用户终端2的IP地址(相当于数据包发送源终端的地址信息。以下将其称为第2发送源IP地址)。认证请求部112将通过数据包解析部113所提取的认证信息和第2发送源IP地址发送至认证服务器12而进行认证请求。
认证服务器12的地址判定部125判定从认证请求部112发送来的第2发送源IP地址(即、通过数据包解析部113由从正式认证控制部22向服务提供服务器11发送的数据包所提取的第2发送源IP地址)和与从该数据包所提取的认证信息对应起来存储于IP地址表123的地址信息(第1发送源IP地址)是否一致。在此,若地址信息不一致则认证失败。
在通过地址判定部125判定为地址信息一致的情况下,正式认证处理部126基于从正式认证控制部22向服务提供服务器11发送并转送至正式认证处理部126的认证信息,进行正式认证。例如,正式认证处理部126将从服务提供服务器11接收到的认证信息中包含的用户ID作为密钥(key)而参照认证数据库128,检查认证数据库128上的一次性口令和从服务提供服务器11接收到的认证信息中包含的一次性口令是否相同。若口令相同则认证成功,若不相同则认证失败。
如上所述,虽然在本实施方式中采用一次性口令,但是按照在预认证和正式认证中相同的一次性口令各有效一次的方式进行管理。即、在预认证中使用一次的认证信息在预认证中不能再次使用,但是在正式认证中仍然有效。一次性口令在预认证和正式认证的双方结束时完全无效。为了使一次性口令完全无效,正式认证处理部126在正式认证成功之后从认证数据库128中删除一次性口令。
正式认证结果通知部127经由服务提供服务器11向用户终端2通知利用地址判定部125及正式认证处理部126进行的正式认证的成功与否。具体而言,正式认证结果通知部127将利用地址判定部125进行的地址信息的一致判定的结果或者利用正式认证处理部126进行的认证的结果作为正式认证的成功与否,通知给服务提供服务器11的认证请求部112。认证请求部112经由服务提供部111将从正式认证结果通知部127接受到的通知转送至用户终端2的正式认证控制部22。
在被通知了正式认证失败的情况下,正式认证控制部22例如将认证失败的情况显示于用户终端2的显示装置(未图示)的画面上,并结束认证处理。另一方面,在向正式认证控制部22通知了正式认证成功的情况下,在其之后用户终端2处于能够通过服务提供服务器11的服务提供部111接受信息通信服务的状态。
以上所说明的本实施方式涉及的认证服务器系统1的功能构成及用户终端2的功能构成也可以通过硬件、DSP(digitalsignalprocessor、数字信号处理器)、软件的任意一种来实现。例如,在通过软件实现的情况下,本实施方式的认证服务器系统1及用户终端2实际上具备计算机的CPU(中央处理器)或者MPU(微处理器)、RAM(随机存取存储器)、ROM(只读存储器)等而构成,并能够通过RAM或ROM中存储的程序进行动作而实现。
因此,能够通过将使计算机以发挥上述本实施方式的功能的方式动作的程序记录于例如CD-ROM(只读光盘存储器)这样的记录介质,并读入认证服务器系统1或用户终端2的计算机而实现。作为记录上述程序的记录介质,除了CD-ROM以外,还能够采用软盘、硬盘、磁带、光盘、光磁盘、DVD、非易失性存储卡等。另外,也可以通过将上述程序经由因特网等的网络下载于计算机中而实现。例如,用户终端2的程序也可以从认证服务器系统1下载。
接着,说明如上构成的本实施方式涉及的访问控制系统的动作。图4是表示本实施方式涉及的访问控制系统的预认证时的动作例的流程图。图5是表示本实施方式涉及的访问控制系统的正式认证时的动作例的流程图。
首先,说明预认证时的动作。在图4中,首先,用户终端2的一次性口令生成部23在根据用户的指示被起动时,自动地生成一次性口令(步骤S1)。然后,预认证控制部21向中间服务器13发送认证信息(用户ID及通过一次性口令生成部23生成的一次性口令)(步骤S2)。当中间服务器13的认证请求部131从用户终端2接收到认证信息的通信数据包时,数据包解析部132解析该通信数据包,并提取认证信息及第1发送源IP地址(步骤S3)。然后,认证请求部131向认证服务器12发送通过数据包解析部132所提取的认证信息和第1发送源IP地址而进行认证请求(步骤S4)。
当从中间服务器13接收认证信息时,认证服务器12的预认证处理部121基于该接收到的认证信息进行预认证(步骤S5)。在此,若利用从中间服务器13接收到的认证信息中包含的一次性口令进行的认证为第一次认证、并且该一次性口令和通过预认证处理部121利用与一次性口令生成部23相同的信息以相同的方法所生成的一次性口令相同,则认证成功。另一方面,在利用一次性口令进行的认证为第2次以后的认证的情况下、或者如上所述比较的一次性口令不相同的情况下,认证失败。
预认证处理部121判定预认证是否成功(步骤S6),在判定为认证成功的情况下,将一次性口令注册于认证数据库128,并且向存储处理部122及预认证结果通知部124通知认证成功。另一方面,在判定为认证失败的情况下,预认证处理部121向预认证结果通知部124通知认证失败。存储处理部122从预认证处理部121接受认证成功的通知后,将第1发送源IP地址与预认证中使用的认证信息对应起来存储于IP地址表123(步骤S7)。如上所述,之后预认证处理部121将利用来自中间服务器13的相同的认证信息进行的认证请求(预认证)的结果都设为失败。另外,在预认证失败的情况下,不进行通过存储处理部122的步骤S7的处理。
预认证结果通知部124从预认证处理部121接受认证成功或者认证失败的通知,并将该认证结果发送至中间服务器13(步骤S8)。另外,中间服务器13向用户终端2发送从预认证结果通知部124收到的认证结果(步骤S9)。在这样从认证服务器12经由中间服务器13收到预认证结果的通知的用户终端2中,预认证控制部21将预认证成功或者失败的情况显示于用户终端2的显示装置(未图示)的画面上(步骤S10),并结束预认证处理。
接着,说明正式认证的动作。在图5中,首先,用户终端2的正式认证控制部22利用Web浏览器的功能访问服务提供服务器11,并在用户终端2的显示装置(未图示)上显示认证画面。然后,当用户终端2的用户从认证画面输入认证信息(与预认证时相同的用户ID及一次性口令)并按压发送按钮时,正式认证控制部22向服务提供服务器11发送该输入的认证信息(步骤S21)。
当服务提供服务器11的服务提供部111从用户终端2接收到认证信息的通信数据包时,数据包解析部113解析该通信数据包,并提取认证信息及第2发送源IP地址(步骤S22)。然后,认证请求部112向认证服务器12发送通过数据包解析部113所提取的认证信息和第2发送源IP地址而进行认证请求(步骤S23)。
当在认证服务器12中从服务提供服务器11接收到认证信息时,地址判定部125比较从服务提供服务器11发送来的第2发送源IP地址和与从服务提供服务器11发送来的认证信息对应起来存储于IP地址表123的第1发送源IP地址(步骤S24),判定两者是否一致(步骤S25)。
具体而言,地址判定部125将认证信息中包含的用户ID作为密钥,参照IP地址表123。然后,在IP地址表123中没有与该用户ID符合的记录的情况下,视作未进行预认证,从而认证失败。如果有与用户ID符合的记录,则地址判定部125比较在该记录中存储的第1发送源IP地址和从服务提供服务器11发送来的第2发送源IP地址,在两者不一致的情况下认证失败。在认证失败的情况下,地址判定部125通知正式认证结果通知部127认证失败。
另一方面,在第1发送源IP地址和第2发送源IP地址一致的情况下,地址判定部125将该情况通知给正式认证处理部126。正式认证处理部126接受该通知,并基于从服务提供服务器11接收到的认证信息进行正式认证(步骤S26)。另外,在步骤S25的地址一致判定中判断为认证失败的情况下,不进行正式认证。
正式认证处理部126判定正式认证是否成功(步骤S27)。然后,在判定为认证成功的情况下,通知正式认证结果通知部127认证成功,并且使一次性口令无效化(步骤S28)。一次性口令的无效化例如是通过从认证数据库128中删除一次性口令并且从IP地址表123中删除在预认证中记录的相应用户ID的记录而进行的。另一方面,在判定为认证失败的情况下,正式认证处理部126通知正式认证结果通知部127认证失败。另外,在正式认证失败的情况下,不进行步骤S28的处理。
正式认证结果通知部127从地址判定部125接受认证失败的通知,或者从正式认证处理部126接受认证成功或认证失败的通知,并向服务提供服务器11发送该认证结果(步骤S29)。另外,服务提供服务器11向用户终端2发送从正式认证结果通知部127收到的认证结果(步骤S30)。
在这样从认证服务器12经由服务提供服务器11接收到正式认证结果的通知的用户终端2中,正式认证控制部22将正式认证成功或者失败的情况显示于用户终端2的显示装置(未图示)的画面上(步骤S31),并结束正式认证处理。在此,在正式认证成功的情况下,服务提供服务器11许可之后来自用户终端2的访问。
如以上详细的说明,在本实施方式中,通过信息通信服务提供者的认证服务器系统1和信息通信服务利用者的用户终端2构成访问控制系统,并通过这两者之间的通信来进行认证处理。即、因为供应商的网关装置不参与向信息通信服务的访问控制用的一连串认证处理,所以无需获得供应商的协作并在网关装置中设置特别的构造。因此,仅由信息通信服务提供者就能够组成访问控制用的系统。
另外,在本实施方式中,从用户终端2向认证服务器12发送相同的认证信息而进行2次的认证(预认证及正式认证),并在进行第2次的正式认证时也进行表示认证信息的发送源终端的IP地址的一致判定。由此,能够可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。
即、在正当用户欲进行正式认证时,恶意的第三者通过向假冒网站的诱导来窃取认证信息,并从第三者的终端向服务提供服务器11发送认证信息来尝试正式认证。此时,当正当用户未进行正式认证时,一次性口令在正式认证中仍然有效,因此若没有IP地址的一致判定则第三者的认证会成功。这就是通常的网络钓鱼。但是,在本实施方式中,在正式认证时也进行IP地址的比较。这种情况下,因为第三者的终端的IP地址未注册于IP地址表123,所以认证失败。由此,能够可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。
万一第三者获知中间服务器13的存在和预认证的构造,为了将第三者的终端的IP地址注册于认证服务器12,将通过向假冒网站的诱导而窃取到的认证信息最初发送至中间服务器13。即使在这种情况下,因为正当用户的预认证已经进行,关于预认证而言一次性口令已经变为无效,所以认证失败,第三者的IP地址不会注册于IP地址表123。
但是,认证信息的窃取不仅限于向假冒网站诱导的钓鱼行为,也存在通过在正当用户进行预认证时从用户终端2向中间服务器13访问的通信路上的窃听而进行的情况。即使第三者通过通信路上的窃听而窃取了认证信息,正当用户发送的认证信息也会原封不动地发送至认证服务器12,并接受第1次的预认证。在本实施方式中作为认证信息而采用了一次性口令,因此即使之后第三者向中间服务器13发送相同的认证信息,由于该认证成为第2次的预认证,所以认证失败。由此,也能够可靠地防止基于采用了通信路上的窃听的电子欺骗的不当访问。
另外,若第三者先于正当用户向中间服务器13发送认证信息,则第三者会接受预认证。但是,由于从用户终端2向中间服务器13的连接是自动进行的,所以在预认证时用户不会被诱导至假冒网站。由此,正当用户发送的认证信息不可能以不到达中间服务器13的方式被窃取。有可能通过从用户终端2向中间服务器13的通信路上监听发送内容而被窃取,但是如上所述,事实上在通信路上监听了认证信息的第三者不可能先于正当用户向中间服务器13发送认证信息。由此,能够构建可靠地拒绝基于电子欺骗的不当访问的高安全性的网络系统。
另外,在上述实施方式中,将中间服务器13置于用户终端2与认证服务器12之间,这是考虑到认证服务器12通过防火墙防御外部网络3的缘故,因而对于本发明而言不是必要构成。在未采用中间服务器13的情况下,例如也可以将认证请求部131的功能设置于用户终端2,将数据包解析部132的功能设置于认证服务器12。
另外,在上述实施方式中,作为数据包发送源终端的地址信息而采用了IP地址,但是本发明并不限定于此。例如,也可以采用MAC(MediaAccessControl、介质访问控制)地址。
另外,在上述实施方式中,在进行了预认证之后,从用户终端2向服务提供服务器11访问并显示认证画面,用户输入认证信息,但是本发明并不限定于此。例如,也可以在预认证控制部21从认证服务器12经由中间服务器13接收了预认证成功的通知时,正式认证控制部22自动地指定服务提供服务器11的IP地址,并自动地发送与预认证时相同的认证信息。这样进行的话,也能够消除在正式认证时诱导至假冒网站的风险。
另外,在上述实施方式中,认证服务器系统1按照针对预认证及正式认证的各个认证使相同的一次性口令各一次有效的方式,使预认证处理部121及正式认证处理部126动作,但是本发明并不限定于此。例如,也可以在预认证和正式认证中分别使用各自的一次性口令。这种情况下,一次性口令生成部23在预认证时和正式认证时的两次认证时生成不同的一次性口令。另外,正式认证处理部126也自己生成一次性口令,并进行与预认证处理部121同样的认证。因此,预认证处理部121无需在预认证成功时将一次性口令注册于认证数据库128。
另外,在上述实施方式中,示出了一次性口令的生成方法和利用该一次性口令进行的认证方法的一例,但是本发明并不限定于此。即、可以应用除此之外的公知方法。例如,也可以应用专利文献1记载的方法。
另外,在上述实施方式中,说明了将用户ID作为认证信息的一部分而使用的例子,但是本发明并不限定于此。例如,也可以采用识别用户终端2的设备ID。或者,也可以采用安装于用户终端2而使用的USB存储器等的设备ID。在使用USB存储器的情况下,也可以使该USB存储器具备预认证控制部21、正式认证控制部22及一次性口令生成部23的功能。这样的话,不需要对用户终端2预先安装软件。
除此之外,上述实施方式只是示出了实施本发明时的具体化的一例,但是并非由此限定性解释本发明的技术范围。即、本发明在不脱离其主旨或者其主要特征的范围内可以以各种方式进行实施。
(工业上的可利用性)
本发明可以利用于通过采用了ID和口令的认证处理来进行从用户终端向信息通信服务提供用的网络访问的访问控制的系统。
Claims (3)
1.一种访问控制系统,其经由通信网络将信息通信服务提供者的认证服务器系统和信息通信服务利用者的用户终端连接,其特征在于,
所述认证服务器系统具备:
服务提供服务器,其进行所述信息通信服务的提供,
认证服务器,其进行用于确认向所述服务提供服务器访问的访问者是否为正当用户的认证,以及
中间服务器,其配置于所述用户终端与所述认证服务器之间;
并且,所述访问控制系统具备预认证装置和正式认证装置,
所述预认证装置包括:
一次性口令生成单元,其生成一次性口令,
预认证控制单元,其为了进行预认证而以数据包的形式向所述中间服务器的预先决定的发送目标地址发送包括所述一次性口令的认证信息,
第一数据包解析单元,其对从所述预认证控制单元发送来的所述认证信息的数据包进行解析,并提取所述认证信息和第一发送源IP地址,其中,所述第一发送源IP地址是作为数据包发送源的所述用户终端的地址信息,
第一认证请求单元,其将通过所述第一数据包解析单元提取的所述认证信息和所述第一发送源IP地址转送给所述认证服务器而进行认证请求,
预认证处理单元,其基于从所述预认证控制单元经由所述第一认证请求单元发送的所述认证信息进行所述预认证,
存储处理单元,其在利用所述预认证处理单元进行的所述预认证成功的情况下,将通过所述第一数据包解析单元由从所述预认证控制单元发送的数据包所提取的所述第一发送源IP地址与通过所述第一数据包解析单元从该数据包所提取的所述认证信息对应起来存储于地址表,
预认证结果通知单元,其从所述预认证处理单元接收认证成功或认证失败的通知,并将认证的结果发送给所述中间服务器,
预认证结果发送单元,其将从所述预认证结果通知单元收到的所述预认证的结果发送给所述预认证控制单元,
预认证结果显示单元,当从所述预认证结果发送单元收到所述预认证的结果时,所述预认证结果显示单元将所述预认证成功或失败的情况显示于所述用户终端的画面上;
所述正式认证装置包括:
正式认证控制单元,其在响应于所述预认证控制单元发送所述认证信息的情况而从所述中间服务器通知了预认证成功之后,为了进行正式认证而以数据包的形式向所述服务提供服务器的预先决定的发送目标地址发送所述认证信息,
第二数据包解析单元,其对从所述正式认证控制单元发送来的所述认证信息的数据包进行解析,并提取所述认证信息和第二发送源IP地址,其中,所述第二发送源IP地址是作为数据包发送源的所述用户终端的地址信息,
第二认证请求单元,其将通过所述第二数据包解析单元提取的所述认证信息和所述第二发送源IP地址转送给所述认证服务器而进行认证请求,
地址判定单元,其判定通过所述第二数据包解析单元由从所述正式认证控制单元经由所述第二认证请求单元发送的数据包所提取的所述第二发送源IP地址、和与通过所述第二数据包解析单元从该数据包所提取的所述认证信息对应起来存储于所述地址表的所述第一发送源IP地址是否一致,
正式认证处理单元,其在通过所述地址判定单元判定出所述第一发送源IP地址与所述第二发送源IP地址一致的情况下,基于从所述正式认证控制单元经由所述第二认证请求单元发送的所述认证信息进行所述正式认证,并且,当认证成功时,使所述一次性口令无效,
正式认证结果通知单元,其从所述地址判定单元接收认证失败的通知、或者从所述正式认证处理单元接收认证成功或认证失败的通知,并将认证的结果发送给所述服务提供服务器,
正式认证结果发送单元,其将从所述正式认证结果通知单元收到的所述正式认证的结果发送给所述正式认证控制单元,
正式认证结果显示单元,当从所述正式认证结果发送单元收到所述正式认证的结果时,所述正式认证结果显示单元将所述正式认证成功或失败的情况显示于所述用户终端的画面上;
并且,在所述访问控制系统中,
各所述单元中的一次性口令生成单元、预认证控制单元、预认证结果显示单元、正式认证控制单元、正式认证结果显示单元包括在所述用户终端中,
各所述单元中的第一数据包解析单元、第一认证请求单元、预认证结果发送单元包括在所述中间服务器中,
各所述单元中的第二数据包解析单元、第二认证请求单元、正式认证结果发送单元包括在所述服务提供服务器中,
各所述单元中的预认证处理单元、存储处理单元、预认证结果通知单元、地址判定单元、正式认证处理单元、正式认证结果通知单元包括在所述认证服务器中。
2.根据权利要求1所述的访问控制系统,其特征在于,
在通过所述一次性口令生成单元生成了所述一次性口令时,所述预认证控制单元自动地指定所述中间服务器的预先决定的发送目标地址,并以数据包的形式发送包括所述一次性口令的所述认证信息。
3.一种认证服务器系统,其是经由通信网络与信息通信服务利用者的用户终端连接的信息通信服务提供者的认证服务器系统,其特征在于,所述认证服务器系统具备:
服务提供服务器,其进行所述信息通信服务的提供,
认证服务器,其进行用于确认向所述服务提供服务器访问的访问者是否为正当用户的认证,以及
中间服务器,其配置于所述用户终端与所述认证服务器之间;
并且,所述认证服务器系统具备预认证装置和正式认证装置,
所述预认证装置包括:
第一数据包解析单元,其对为了进行预认证而以数据包的形式从所述用户终端发送来的认证信息的数据包进行解析,并提取包括在所述用户终端中生成的一次性口令的所述认证信息和第一发送源IP地址,其中,所述第一发送源IP地址是作为数据包发送源的所述用户终端的地址信息,
第一认证请求单元,其将通过所述第一数据包解析单元提取的所述认证信息和所述第一发送源IP地址转送给所述认证服务器而进行认证请求,
预认证处理单元,其基于由为了进行所述预认证从所述用户终端经由所述中间服务器发送的数据包所提取的认证信息进行预认证,
存储处理单元,其在利用所述预认证处理单元进行的认证成功的情况下,将通过所述第一数据包解析单元由为了进行所述预认证从所述用户终端发送的数据包所提取的所述第一发送源IP地址与通过所述第一数据包解析单元从该数据包所提取的所述认证信息对应起来存储于地址表,
预认证结果通知单元,其从所述预认证处理单元接收认证成功或认证失败的通知,并将认证的结果发送给所述中间服务器,
预认证结果发送单元,其将从所述认证服务器收到的所述预认证的结果发送给所述用户终端;
所述正式认证装置包括:
第二数据包解析单元,其对为了进行正式认证而以数据包的形式从所述用户终端发送来的认证信息的数据包进行解析,并提取所述认证信息和第二发送源IP地址,其中,所述第二发送源IP地址是作为数据包发送源的所述用户终端的地址信息,
第二认证请求单元,其将通过所述第二数据包解析单元提取的所述认证信息和所述第二发送源IP地址转送给所述认证服务器而进行认证请求,
地址判定单元,其判定通过所述第二数据包解析单元由为了进行所述正式认证从所述用户终端经由所述服务提供服务器发送的数据包所提取的所述第二发送源IP地址、和与通过所述第二数据包解析单元从该数据包所提取的所述认证信息对应起来存储于所述地址表的所述第一发送源IP地址是否一致,
正式认证处理单元,其在通过所述地址判定单元判定出所述第一发送源IP地址与所述第二发送源IP地址一致的情况下,基于从为了所述正式认证发送的数据包所提取的所述认证信息进行正式认证,并且,当认证成功时,使所述一次性口令无效,
正式认证结果通知单元,其从所述地址判定单元接收认证失败的通知、或者从所述正式认证处理单元接收认证成功或认证失败的通知,并将认证的结果发送给所述服务提供服务器,
正式认证结果发送单元,其将从所述认证服务器收到的所述正式认证的结果发送给所述用户终端;
并且,在所述认证服务器系统中,
各所述单元中的第一数据包解析单元、第一认证请求单元、预认证结果发送单元包括在所述中间服务器中,
各所述单元中的第二数据包解析单元、第二认证请求单元、正式认证结果发送单元包括在所述服务提供服务器中,
各所述单元中的预认证处理单元、存储处理单元、预认证结果通知单元、地址判定单元、正式认证处理单元、正式认证结果通知单元包括在所述认证服务器中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009-222441 | 2009-09-28 | ||
| JP2009222441A JP4698751B2 (ja) | 2009-09-28 | 2009-09-28 | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
| PCT/JP2010/066682 WO2011037226A1 (ja) | 2009-09-28 | 2010-09-27 | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102667799A CN102667799A (zh) | 2012-09-12 |
| CN102667799B true CN102667799B (zh) | 2016-05-25 |
Family
ID=43795967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080051700.3A Active CN102667799B (zh) | 2009-09-28 | 2010-09-27 | 访问控制系统和认证服务器系统 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP4698751B2 (zh) |
| CN (1) | CN102667799B (zh) |
| WO (1) | WO2011037226A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5708445B2 (ja) * | 2011-10-31 | 2015-04-30 | 富士通株式会社 | 登録方法、登録プログラムおよび登録装置 |
| JP5773902B2 (ja) * | 2012-02-03 | 2015-09-02 | Kddi株式会社 | 端末間で権限情報を転送する権限情報転送方法及びシステム |
| CN104620251A (zh) * | 2012-09-14 | 2015-05-13 | 株式会社东芝 | Vpn连接认证系统、用户终端、认证服务器、生物体认证结果证据信息验证服务器、vpn连接服务器、以及程序 |
| US10574647B2 (en) * | 2014-09-01 | 2020-02-25 | Passlogy Co., Ltd. | User authentication method and system for implementing same |
| JP2017045347A (ja) * | 2015-08-28 | 2017-03-02 | 日本電気株式会社 | 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム |
| JP6651570B2 (ja) * | 2018-04-23 | 2020-02-19 | 株式会社オルツ | ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム |
| JP7283232B2 (ja) | 2019-06-03 | 2023-05-30 | オムロン株式会社 | 情報提供方法および情報提供システム |
| CN110519257B (zh) * | 2019-08-22 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种网络信息的处理方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000322353A (ja) * | 1999-05-13 | 2000-11-24 | Nippon Telegr & Teleph Corp <Ntt> | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 |
| JP2002073561A (ja) * | 2000-09-01 | 2002-03-12 | Toyota Motor Corp | 通信網を介してアクセスするユーザの認証方法及び認証システム、並びに、これらを利用した情報処理システム |
| JP3616570B2 (ja) * | 2001-01-04 | 2005-02-02 | 日本電気株式会社 | インターネット中継接続方式 |
| JP4303952B2 (ja) * | 2002-12-24 | 2009-07-29 | 株式会社コムスクエア | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
| JP2005018421A (ja) * | 2003-06-26 | 2005-01-20 | Mitsubishi Electric Corp | 管理装置及びサービス提供装置及び通信システム |
| JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP4983197B2 (ja) * | 2006-10-19 | 2012-07-25 | 富士ゼロックス株式会社 | 認証システム、認証サービス提供装置、および認証サービス提供プログラム |
| JP5148961B2 (ja) * | 2007-09-27 | 2013-02-20 | ニフティ株式会社 | ユーザ認証機構 |
-
2009
- 2009-09-28 JP JP2009222441A patent/JP4698751B2/ja active Active
-
2010
- 2010-09-27 WO PCT/JP2010/066682 patent/WO2011037226A1/ja active Application Filing
- 2010-09-27 CN CN201080051700.3A patent/CN102667799B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011037226A1 (ja) | 2011-03-31 |
| CN102667799A (zh) | 2012-09-12 |
| JP4698751B2 (ja) | 2011-06-08 |
| JP2011070513A (ja) | 2011-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102667799B (zh) | 访问控制系统和认证服务器系统 | |
| EP3346660B1 (en) | Authentication information update method and device | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| US20170109751A1 (en) | System and method for carrying strong authentication events over different channels | |
| CN110086608A (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
| CN105897424B (zh) | 一种增强身份认证的方法 | |
| US7447910B2 (en) | Method, arrangement and secure medium for authentication of a user | |
| US10339366B2 (en) | System and method for facial recognition | |
| CN107948204A (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| US9118665B2 (en) | Authentication system and method | |
| CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| CN107294900A (zh) | 基于生物特征的身份注册方法和装置 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| CN106302332B (zh) | 用户数据的访问控制方法、装置及系统 | |
| JP6742907B2 (ja) | 識別および/または認証のシステムおよび方法 | |
| TW201816648A (zh) | 業務實現方法和裝置 | |
| CN106411950A (zh) | 基于区块链交易id的认证方法、装置及系统 | |
| CN110149336A (zh) | 单点登录方法、装置以及信息系统 | |
| KR101212509B1 (ko) | 서비스 제어시스템 및 그 방법 | |
| CN112565172A (zh) | 控制方法、信息处理设备以及信息处理系统 | |
| JP6887551B1 (ja) | 認証システム、認証システムの制御方法及び認証装置 | |
| JP2019029975A (ja) | 認証鍵共有システム及び端末間鍵コピー方法 | |
| KR20140024142A (ko) | 모바일기기의 사용자 인증 시스템 및 방법 | |
| JP2007226675A (ja) | 現金取引システム,認証情報生成装置,現金自動預払機の認証方法および認証情報生成方法 | |
| JP4578352B2 (ja) | 通信媒介装置、データ提供装置およびデータ提供システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Japan's eastern Tokyo Dujiang Fengzhou a chome 1 times 1 Patentee after: Biprocchi Co.,Ltd. Address before: Japan's eastern Tokyo Dujiang Fengzhou a chome 1 times 1 Patentee before: NIHON UNISYS, LTD. |
|
| CP01 | Change in the name or title of a patent holder |