JP2014078173A - 認証処理装置 - Google Patents

認証処理装置 Download PDF

Info

Publication number
JP2014078173A
JP2014078173A JP2012226214A JP2012226214A JP2014078173A JP 2014078173 A JP2014078173 A JP 2014078173A JP 2012226214 A JP2012226214 A JP 2012226214A JP 2012226214 A JP2012226214 A JP 2012226214A JP 2014078173 A JP2014078173 A JP 2014078173A
Authority
JP
Japan
Prior art keywords
information
accessor
authentication
mail
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012226214A
Other languages
English (en)
Inventor
Junichi Hashimoto
純一 橋本
Kazuo Anzui
和男 安隨
Hitoshi Matsumoto
整 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OSAKA GAS SECURITY SERVICE KK
Original Assignee
OSAKA GAS SECURITY SERVICE KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OSAKA GAS SECURITY SERVICE KK filed Critical OSAKA GAS SECURITY SERVICE KK
Priority to JP2012226214A priority Critical patent/JP2014078173A/ja
Publication of JP2014078173A publication Critical patent/JP2014078173A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】情報端末機器を使用するアクセス者の認証を行う認証処理装置を提供する。
【解決手段】認証処理装置10が、電子メールを受け付ける手段11と、有効期限付き固有URIを発行する手段12と、固有URIが記載された電子メールを送付する手段13と、固有URIへのアクセスを受け付けると、固有URIの有効期限が満了せず、及び、固有URIへのアクセス回数が所定アクセス回数未満であり、及び、固有URIへのアクセス時に要求されるID及びパスワードの組み合わせの入力失敗回数が所定失敗回数未満であることの各条件を満たすか否かの検証を行う手段14と、各条件が全て満たされると、ID及びパスワードの入力を要求する手段15と、入力したID及びパスワードの組み合わせがデータベース30に記憶してある情報と一致すればアクセス者を正当な者であると認証する手段16とを備える。
【選択図】図1

Description

本発明は、情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置に関する。
携帯電話や所謂スマートフォンなどの情報端末機器を用いて遠隔地から様々な機器にアクセスできるようなシステムがある。例えば、住宅等に設置された空調装置や照明装置などの機器に対して、情報端末機器を用いて外出先から指令情報(例えば、機器の運転開始・停止などの制御指令情報や運転状況確認のための確認指令情報など)を送信するシステムや、住宅等に設置された警備機器に対して、情報端末機器を用いて外出先から指令情報(警備開始・停止の指令情報や警備状況確認の指令情報など)を送信するシステムなどがある。他にも、情報やプログラムなどを記憶管理している装置に対して、情報端末機器を用いてその情報やプログラムを利用するための指令情報を送信するようなシステムなどもある。このようなシステムでは、情報端末機器からの指令情報を受け入れる機器に対する不正なアクセスを排除するために、アクセス者を認証するための認証処理装置を設ける必要がある。
一般的な認証処理装置は、アクセス者のユーザID及び認証用パスワードの組み合わせでアクセス者が正当な者であることを認証するものである。
他の認証処理装置としては、特許文献1に記載のように、アクセス者に対して有効期限を設定した固有のURI(Uniform Resource Identifier)を伝達し、その固有のURIに対して有効期限内にアクセスすることを要求するような装置もある。この場合、認証処理装置に対するアクセスが、固有URIに設定されている有効期限によって時期的に制限されるので、何時でもアクセスが許可される場合に比べて、認証処理装置の堅牢性を高めることができる。
特開2005−346592号公報
従来の認証処理装置は、ある程度の堅牢性は確保されているものの、完全な堅牢性を備えることは困難である。例えば、アクセス者のユーザID及び認証用パスワードの組み合わせのみによってアクセス者を認証するように構成したとしても、不正なアクセス者がユーザID及び認証用パスワードの組み合わせの入力を何度も試みた場合には、そのような不正なアクセス者であっても正当と認証されてしまう可能性がある。
また、特許文献1に記載の認証処理装置のようにURIに有効期限を設けたとしても、その有効期限内であればURIに何度でもアクセスできる点で問題が残る。
本発明は、上記の課題に鑑みてなされたものであり、その目的は、堅牢性の高い認証処理装置を提供する点にある。
上記目的を達成するための本発明に係る認証処理装置の特徴構成は、情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置であって、
前記アクセス者からの認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、前記アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、前記ユーザID及び前記認証用パスワードの組み合わせがデータベースに記憶されている前記アクセス者から、前記認証受付用電子メールアドレスへの電子メールを受け付ける第1電子メール受付手段と、
前記第1電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者からの前記認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、前記認証受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けてデータベースに記憶する第1固有URI発行手段と、
前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第1電子メール送付手段と、
前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記ユーザID及び前記認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う第1アクセス検証手段と、
前記第1アクセス許可条件が全て満たされると前記第1アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記ユーザID及び前記認証用パスワードを含む認証用情報の入力要求を送信して、前記情報端末機器で前記認証用情報の入力要求を提示させる第1認証用情報要求手段と、
前記第1認証用情報要求手段によって前記情報端末機器に送信された前記認証用情報の入力要求に応じて前記アクセス者が入力した前記ユーザID及び前記認証用パスワードの組み合わせが前記データベースに記憶してある情報と一致すれば、前記アクセス者を正当な者と認証する認証許否判定手段とを備える点にある。
上記特徴構成によれば、アクセス者が正当な者であるか否かを認証するときの判定手順は、第1アクセス許可条件の条件判定、ユーザID及び認証用パスワードの確認の順となる。そして、第1アクセス検証手段は、第1アクセス許可条件として、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、を満たすことを要求する。つまり、固有URIの有効期限が満了していないことを第1アクセス許可条件の一つとして採用することで、認証処理装置に対するアクセスを時期的に制限して、正当なアクセス者以外の第三者からのアクセスを有効に排除できる。また、固有URIへのアクセス回数が所定アクセス回数未満であることを第1アクセス許可条件の一つとして採用することで、例えば、不正なアクセス者が所謂スマートフォンなどの情報端末機器とは別のパーソナルコンピュータなどを用いてユーザID及び認証用パスワードの入力を機械的に多数回試みるために固有URIに多数回のアクセスを同時に行うといった不正を強く疑わせる行為を排除できる。また更に、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であることを第1アクセス許可条件の一つとして要求することで、ユーザID及び認証用パスワードの組み合わせの入力が所定失敗回数失敗した者を、ユーザID及び認証用パスワードの入力機会が更に与えられないようにして有効に排除できる。
更に、最終的には認証許否判定手段によって、アクセス者が入力したユーザID及び認証用パスワードが正当な情報であるか否かに基づいてアクセス者の認証が行われるのであるが、その段階に進む前に、上述した第1アクセス検証手段によって、アクセス者から固有URIへのアクセスが上記各第1アクセス許可条件を満たすか否かの検証を行って、上記各第1アクセス許可条件を全て満足しない者を、ユーザID及び認証用パスワードの入力機会すら与えずに排除している。加えて、アクセス者がアクセスしてくる固有URIは、第1電子メール送付手段がアクセス者の電子メールアドレスへ送付したものであるので、アクセス者以外の第三者が取得できる可能性を低くできる。このように、認証許否判定手段がユーザID及び認証用パスワードに基づいてアクセス者が正当な者であるか否かの認証を行う前に、不正なアクセス者を排除可能な手順を経由させることで、認証処理装置の堅牢性を高めることができる。
本発明に係る認証処理装置の更に別の特徴構成は、情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置であって、
前記アクセス者に関する情報を新たに登録する新規登録認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、前記アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、前記ユーザID及び前記認証用パスワードの組み合わせがデータベースに記憶されている前記アクセス者から、前記認証受付用電子メールアドレスへの電子メールを受け付ける第1電子メール受付手段と、
前記第1電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者からの前記新規登録認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、前記認証受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けてデータベースに記憶する第1固有URI発行手段と、
前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第1電子メール送付手段と、
前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記ユーザID及び前記認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う第1アクセス検証手段と、
前記第1アクセス許可条件が全て満たされると前記第1アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記ユーザID及び前記認証用パスワードを含む認証用情報の入力要求を送信して、前記情報端末機器で前記認証用情報の入力要求を提示させる第1認証用情報要求手段と、
前記第1認証用情報要求手段によって前記情報端末機器に送信された前記認証用情報の入力要求に応じて前記アクセス者が入力した前記ユーザID及び前記認証用パスワードの組み合わせが前記データベースに記憶してある情報と一致すれば、前記アクセス者の前記新規登録認証処理の実施要求を許可する認証許否判定手段と、
前記認証許否判定手段が前記アクセス者の前記新規登録認証処理の実施要求を許可したとき、前記アクセス者の前記情報端末機器に対して新規登録に必要な固有登録情報の入力要求を送信して、前記情報端末機器で前記固有登録情報の入力要求を提示させる固有登録情報要求手段と、
前記固有登録情報要求手段によって前記情報端末機器に送信された前記固有登録情報の入力要求に応じて前記アクセス者が入力した前記固有登録情報を受け付けて前記データベースに記憶する固有登録情報受付手段とを備え、
前記固有登録情報が、前記アクセス者が任意に指定可能な文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列である点にある。
上記特徴構成によれば、アクセス者の新規登録認証処理を実施するか否か判定手順は、第1アクセス許可条件の条件判定、ユーザID及び認証用パスワードの確認の順となる。そして、第1アクセス検証手段は、第1アクセス許可条件として、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、を満たすことを要求する。つまり、固有URIの有効期限が満了していないことを第1アクセス許可条件の一つとして採用することで、認証処理装置に対するアクセスを時期的に制限して、正当なアクセス者以外の第三者からのアクセスを有効に排除できる。また、固有URIへのアクセス回数が所定アクセス回数未満であることを第1アクセス許可条件の一つとして採用することで、例えば、不正なアクセス者が所謂スマートフォンなどの情報端末機器とは別のパーソナルコンピュータなどを用いてユーザID及び認証用パスワードの入力を機械的に多数回試みるために固有URIに多数回のアクセスを同時に行うといった不正を強く疑わせる行為を排除できる。また更に、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であることを第1アクセス許可条件の一つとして要求することで、ユーザID及び認証用パスワードの組み合わせの入力が所定失敗回数失敗した者を、ユーザID及び認証用パスワードの入力機会が更に与えられないようにして有効に排除できる。
更に、最終的には認証許否判定手段によって、アクセス者が入力したユーザID及び認証用パスワードが正当な情報であるか否かに基づいてアクセス者の新規登録認証処理を行なうか否かが判定されるのであるが、その段階に進む前に、上述した第1アクセス検証手段によって、アクセス者から固有URIへのアクセスが上記各第1アクセス許可条件を満たすか否かの検証を行って、上記各第1アクセス許可条件を全て満足しない者を、ユーザID及び認証用パスワードの入力機会すら与えずに排除している。加えて、アクセス者がアクセスしてくる固有URIは、第1電子メール送付手段がアクセス者の電子メールアドレスへ送付したものであるので、アクセス者以外の第三者が取得できる可能性を低くできる。このように、認証許否判定手段がユーザID及び認証用パスワードに基づいてアクセス者の新規登録認証処理を行なうか否かの判定を行う前に、即ち、アクセス者が正当な者であるか否かの認証を行う前に、不正なアクセス者を排除可能な手順を経由させることで、認証処理装置の堅牢性を高めることができる。
加えて、固有登録情報受付手段が受け付けた固有登録情報は、認証許否判定手段によって認証されたアクセス者自身が入力した任意の文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列である固有登録情報、即ち、正当なアクセス者以外の第三者が知り得ない情報であり、その情報が、正当なアクセス者と認証処理装置との間で共有される。その結果、固有登録情報を用いたアクセス者の認証が可能となる。
本発明に係る認証処理装置の更に別の特徴構成は、前記アクセス者から所定の指令対象機器への指令情報を受け付けるために用いられる指令情報受付用電子メールアドレスが予め通知されている前記アクセス者から、前記指令情報受付用電子メールアドレスへの電子メールを受け付ける第2電子メール受付手段と、
前記第2電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者から前記指令情報の受け付けを行うための有効期限付き固有URIを発行し、前記指令情報受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けて前記データベースに記憶する第2固有URI発行手段と、
前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第2電子メール送付手段と、
前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記固有登録情報の入力が失敗した回数が所定失敗回数未満であること、の各第2アクセス許可条件を満たすか否かの検証を行う第2アクセス検証手段と、
前記第2アクセス許可条件が全て満たされると前記第2アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記固有登録情報の入力要求を送信して、前記情報端末機器で前記固有登録情報の入力要求を提示させる第2認証用情報要求手段と、
前記第2認証用情報要求手段によって前記情報端末機器に送信された前記固有登録情報の入力要求に応じて前記アクセス者が入力した前記固有登録情報が前記データベースに記憶してある情報と一致すれば、前記アクセス者から前記指令情報の受け付けを許可する指令受付許否判定手段と、
前記指令受付許否判定手段が前記アクセス者からの前記指令情報の受け付けを許可したとき、前記アクセス者の前記情報端末機器に対して前記指令情報の入力要求を送信して、前記情報端末機器で前記指令情報の入力要求を提示させる指令情報要求手段と、
前記指令情報要求手段によって前記情報端末機器に送信された前記指令情報の入力要求に応じて前記アクセス者が入力した前記指令情報を受け付ける指令情報受付手段とを備える点にある。
上記特徴構成によれば、アクセス者からの指令情報を受け付けるか否かの判定手順は、第2アクセス許可条件の条件判定、固有登録情報の確認の順となる。そして、第2アクセス検証手段は、第2アクセス許可条件として、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求される固有登録情報の入力が失敗した回数が所定失敗回数未満であること、を満たすことを要求する。つまり、固有URIの有効期限が満了していないことを第2アクセス許可条件の一つとして採用することで、認証処理装置に対するアクセスを時期的に制限して、正当なアクセス者以外の第三者からのアクセスを有効に排除できる。また、固有URIへのアクセス回数が所定アクセス回数未満であることを第2アクセス許可条件の一つとして採用することで、例えば、不正なアクセス者が所謂スマートフォンなどの情報端末機器とは別のパーソナルコンピュータなどを用いてユーザID及び認証用パスワードの入力を機械的に多数回試みるために固有URIに多数回のアクセスを同時に行うといった不正を強く疑わせる行為を排除できる。また更に、固有URIへのアクセス時に要求される固有登録情報の入力が失敗した回数が所定失敗回数未満であることを第2アクセス許可条件の一つとして要求することで、固有登録情報の入力が所定失敗回数失敗した者を、固有登録情報の入力機会が更に与えられないようにして有効に排除できる。
更に、最終的には指令受付許否判定手段によって、アクセス者が入力した固有登録情報が正当な情報であるか否かに基づいてアクセス者から指令情報の受け付けを許可するか否かの判定が行われるのであるが、その段階に進む前に、上述した第2アクセス検証手段によって、アクセス者から固有URIへのアクセスが上記各第2アクセス許可条件を満たすか否かの検証を行って、上記各第2アクセス許可条件を全て満足しない者を、固有登録情報の入力機会すら与えずに排除している。加えて、アクセス者がアクセスしてくる固有URIは、第2電子メール送付手段がアクセス者の電子メールアドレスへ送付したものであるので、アクセス者以外の第三者が取得できる可能性を低くできる。このように、指令受付許否判定手段が固有登録情報に基づいて指令情報を受け付けるか否かの判定を行う前に、即ち、アクセス者が正当な者であるか否かの認証を行う前に、不正なアクセス者を排除可能な手順を経由させることで、認証処理装置の堅牢性を高めることができる。
第1実施形態の認証処理装置の構成を説明する図である。 第1実施形態の認証処理装置を用いて行われる認証処理の流れを説明する図である。 情報端末機器の表示部に表示されるユーザID及び認証用パスワードを含む認証用情報の入力要求画面の例を示す図である。 第2実施形態の認証処理装置の構成を説明する図である。 第2実施形態の認証処理装置を用いて行われる新規登録認証の受付処理の流れを説明する図である。 情報端末機器の表示部に表示されるアクセスキー(固有登録情報)の入力要求画面の例を示す図である。 第3実施形態の認証処理装置の構成を説明する図である。 第3実施形態の認証処理装置を用いて行われる指令情報の受付処理の流れを説明する図である。 情報端末機器の表示部に表示されるアクセスキーの入力要求画面の例を示す図である。
<第1実施形態>
以下に図面を参照して第1実施形態の認証処理装置10A(10)について説明する。
図1は、第1実施形態の認証処理装置10Aの構成を説明する図である。認証処理装置10Aは、所謂スマートフォンなどの情報端末機器1を用いてアクセスしてくるユーザ(アクセス者)が正当なユーザであるか否かの認証処理を行なう装置である。情報端末機器1と認証処理装置10Aとの間はインターネットなどの情報通信回線2によって互いに通信可能に接続されている。そして、認証処理装置10Aによって正当なユーザであると認証された特定の者のみに対して、所定のサービスの提供を行うように構成できる。尚、本実施形態で「アクセス者」と記載している場合、それは1人である場合には限らず複数であってもよい。例えば、一つの世帯や一つの会社・部署などの一つのグループに対して、後述するようなユーザID及び認証用パスワードを一組又は複数組伝達しておき、そのグループに属する複数の者(即ち、複数のアクセス者)が、それぞれが所持する情報端末機器1を用いてその一組又は複数組のユーザID及び認証用パスワードを共用するような形態であってもよい。従って、図1では、複数の情報端末機器1を描いている。
上記サービスの具体例としては、図1に例示するように、認証処理装置10A或いはその認証処理装置10Aと共に用いられる他の機器(図示せず)に付随する記憶装置60などに記憶している情報(例えば、文書、画像、動画など)やプログラムなどを、認証されたユーザ(情報端末機器1)が情報通信回線2を介して読み出し・書き込み・変更・削除等できるようにするサービスや、そのような記憶装置60などに、正当なユーザであると認証された特定の者に関する情報を新たに登録する又は情報を追加・更新して登録する又は情報を削除するサービスなどの様々なサービスがある。他にも、住宅等に設置された空調装置や照明装置などの指令対象機器40に対して情報端末機器1を用いて外出先から運転開始・停止等や運転状況の確認等を行えるようにするサービス、住宅等に設置された警備機器及び警備会社のセンター装置等を含む警備システムなどの指令対象機器40に対して情報端末機器1を用いて外出先から警備開始・停止や警備状況・警備履歴の確認等を行えるようにするサービスなどがある。
以下の説明では、認証処理装置10Aに対して、ユーザ(アクセス者)が情報端末機器1を用いてアクセスし、そのアクセス者が正当な者であると認証処理装置10Aが認証した場合には、そのアクセス者へのサービスの提供を許可する場合を例示する。
図1に示すように、認証処理装置10Aは、第1電子メール受付手段11と、第1固有URI発行手段12と、第1電子メール送付手段13と、第1アクセス検証手段14と、第1認証用情報要求手段15と、認証許否判定手段16とを備える。認証処理装置10Aは、コンピュータによって実現可能であり、認証処理装置10Aが備える上記各手段は、コンピュータが備える情報通信機能、情報処理機能などの各種機能によって実現可能である。情報端末機器1は、アクセス者が外出時に利用可能なスマートフォンなどの機器であり、情報通信機能、情報処理機能、情報入出力機能などの各種機能を備えている。
第1電子メール受付手段11は、アクセス者からの認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、前記ユーザID及び前記認証用パスワードの組み合わせがデータベース30に記憶されているアクセス者から、認証受付用電子メールアドレスへの電子メールを受け付ける。
第1固有URI発行手段12は、第1電子メール受付手段11が受け付けた電子メールの送信者であるアクセス者からの認証要求の受け付けを行うための有効期限付き固有URIを発行し、認証受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスと、固有URIと、固有URIの有効期限とを関連付けてデータベース30に記憶する。
第1電子メール送付手段13は、データベース30に記憶しているアクセス者の電子メールアドレスへ、固有URIが記載された電子メールを送付する。
第1アクセス検証手段14は、アクセス者から固有URIへのアクセスを受け付けると、データベース30に記憶している情報に基づいて、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う。
第1認証用情報要求手段15は、上述した第1アクセス許可条件が全て満たされると第1アクセス検証手段14によって判定された場合、アクセス者の情報端末機器1に対してユーザID及び認証用パスワードを含む認証用情報の入力要求を送信して情報端末機器1で認証用情報の入力要求を提示させる。
認証許否判定手段16は、第1認証用情報要求手段15によって情報端末機器1に送信された認証用情報の入力要求に応じてアクセス者が入力したユーザID及び認証用パスワードの組み合わせがデータベース30に記憶してある情報と一致すれば、そのアクセス者が正当な者であると認証して、アクセス者へのサービス提供を許可する。
図2は、ユーザ(アクセス者)が情報端末機器1を用いて認証処理装置10Aにアクセスし、認証処理装置10Aで正当なアクセス者であるか否かの判定が行われるまでの認証処理の流れを説明する図である。
図2に示すように、認証処理装置10Aでは、アクセス者に対して、ユーザID及び認証用パスワードが予め付与されている。また、認証処理装置10Aでは、認証処理の実施要求の受け付けを行なうときに利用する認証受付用電子メールアドレスを予め定めている。そして、サービスの提供を受けることを希望するアクセス者に対して、例えば、ユーザIDと認証用パスワードと認証受付用電子メールアドレスとが記載された書面を郵送などの手段で伝達する。そして、ユーザIDと認証用パスワードと認証受付用電子メールアドレスとが記載された書面を受け取ったアクセス者は、後述する手順で情報端末機器1を用いて認証処理の実施を要求する。
工程#10において、アクセス者は、情報端末機器1を用いて、認証受付用電子メールアドレスへ電子メールを送信する。例えば、アクセス者は、情報端末機器1にインストールされている電子メールソフトウェアを用いてこの電子メールを送信する。このとき、電子メールの本文には何も記載しなくてもよく、所謂、空メールでよい。認証受付用電子メールアドレスへ電子メールを送信することが、認証処理の実施要求の意思表示となる。
この認証受付用電子メールアドレスへ送信された電子メールは、工程#11において、認証処理装置10Aの第1電子メール受付手段11が受け付ける。
更に、工程#11において、認証処理装置10Aの第1固有URI発行手段12は、第1電子メール受付手段11が受け付けた電子メールの送信者であるアクセス者からの認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、認証受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスと、固有URIと、固有URIの有効期限とを関連付けてデータベース30に記憶する。その後、工程#12において、認証処理装置10Aの第1電子メール送付手段13は、アクセス者の電子メールアドレスへ、固有URIが記載された電子メールを送付する。
尚、第1電子メール受付手段11が、認証受付用電子メールアドレス宛に送信されてきた全ての電子メールを無条件に受け付けるのではなく、ファイアウォールによる制限を行う方法、エンベロープFromを参照する方法、メールヘッダーを参照する方法、SPF(Sender Policy Framework)を利用する方法などを用いて、特定の送信元(即ち、正当と見なすことができる送信元)から送信された電子メールのみを受け付ける分別を行なってもよい。例えば、ファイアウォールによる制限を行う方法であれば、ファイアウォール装置による制限を追加して特定の送信元IPアドレス以外からのメール転送を受け付けないようにする。エンベロープFromを参照する方法であれば、メールヘッダー内のFromではなく、メール到着時に使用されるFrom(エンベロープFrom)で拒否設定する。メールヘッダーを参照する方法であれば、メールヘッダー内のFrom、Return−Path等のヘッダーを参照し、拒否設定をする。SPFを利用する方法であれば、メールサーバーが、エンベロープFromまたはReturn−Pathのドメインから正当な送信元IPかどうかをDNSに問い合わせて判定する。
このように、本実施形態では、アクセス者が認証受付用電子メールアドレスに電子メールを送信してきたとき、そのアクセス者が正当な者であるか否かを判定する認証要求の受け付け処理を即座に行なうのではなく、一旦、固有URIをアクセス者に伝達し、その固有URIに対してアクセス者がアクセスしてきたときにその認証要求の受付処理を行なうようにしている。つまり、認証要求の受付処理が、固有URIに付与された有効期限内でのみ行われるように時期的に制限できる。その結果、有効期限外で固有URIにアクセスがあった場合には、そのアクセスを不正な認証要求であると見なすことができる。
アクセス者は、認証処理装置10Aから送信された、固有URIが記載された電子メールを情報端末機器1で受信すると、工程#13においてその固有URIへアクセスする。例えば、情報端末機器1にインストールされているソフトウェア(インターネットブラウザ)を用いて、その固有URIへアクセスする。その結果、情報端末機器1の表示装置には、固有URIにリンクされた情報が表示される。
工程#14において、認証処理装置10Aの第1アクセス検証手段14は、アクセス者から固有URIへのアクセスを受け付けると、データベース30に記憶している情報に基づいて、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う。また、第1アクセス検証手段14は、その固有URIへのアクセス回数を累積してデータベース30に記憶する。
つまり、第1アクセス検証手段14は、固有URIの有効期限が満了していないことを第1アクセス許可条件の一つとして採用することで、認証処理装置10Aに対するアクセスを時期的に制限して、正当なアクセス者以外の第三者からのアクセスを有効に排除できる。また、第1アクセス検証手段14は、固有URIへのアクセス回数が所定アクセス回数未満であることを第1アクセス許可条件の一つとして採用することで、例えば、不正なアクセス者が所謂スマートフォンなどの情報端末機器1とは別のパーソナルコンピュータなどを用いてユーザID及び認証用パスワードの入力を機械的に多数回試みるために固有URIに多数回のアクセスを同時に行うといった不正を強く疑わせる行為を排除できる。また更に、第1アクセス検証手段14は、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であることを第1アクセス許可条件の一つとして要求することで、ユーザID及び認証用パスワードの組み合わせの入力が所定失敗回数失敗した者を、ユーザID及び認証用パスワードの入力機会が更に与えられないようにして有効に排除できる。
そして、工程#14において第1アクセス検証手段14は、上述する各第1アクセス許可条件の全てを満たす場合には次の工程への移行を許可し、上述した各第1アクセス許可条件の何れか一つでも満たされない場合には次の工程への移行を許可せず、認証要求の受付処理を中止する。加えて、上述した各第1アクセス許可条件の何れか一つでも満たされない場合、即ち、不正なアクセスが疑われる場合、それ以後は上記固有URIを利用できなくするように第1アクセス検証手段14がデータベース30の記憶情報を書き換えて、その固有URIへのアクセス自体を拒絶することもできる。
次に、工程#15において第1認証用情報要求手段15は、上述した第1アクセス許可条件が全て満たされると第1アクセス検証手段14によって判定された場合、アクセス者の情報端末機器1に対してユーザID及び認証用パスワードを含む認証用情報の入力要求を送信して、情報端末機器1で認証用情報の入力要求を提示させる。例えば、第1認証用情報要求手段15は、情報端末機器1の表示画面にユーザID及び認証用パスワードを含む認証用情報の入力を要求するウェブページ画面を表示させる。そして、工程#16において情報端末機器1を使用するアクセス者がユーザID及び認証用パスワードの入力を完了すると、その情報が認証処理装置10Aへと送信される。
図3は、情報端末機器1の表示部に表示されるユーザID及び認証用パスワード(図中では「ログインID」及び「パスワード」とそれぞれ表記している)を含む認証用情報の入力要求画面の例を示す図である。この場面においてアクセス者が情報端末機器1の情報入出力機能を用いてユーザID及び認証用パスワードを入力し、「認証」ボタン50を選択入力すると、その情報が認証処理装置10Aへと送信される。
工程#17において認証許否判定手段16は、第1認証用情報要求手段15によって情報端末機器1に送信された認証用情報の入力要求に応じてアクセス者が入力したユーザID及び認証用パスワードの組み合わせがデータベース30に記憶してある情報と一致すれば、アクセス者を正当な者であると認証する。
これに対して、認証許否判定手段16は、工程#17においてアクセス者が入力したユーザID及び認証用パスワードの組み合わせがデータベース30に記憶してある情報と一致しないと判定すると、認証失敗と判定して、その失敗回数をデータベース30に記憶する。
このような一連の手順を経て、認証処理装置10Aに対するアクセス者の認証要求の受付処理が終了する。
以上のように、本実施形態の認証処理装置10Aでは、最終的には認証許否判定手段16によって、アクセス者が入力したユーザID及び認証用パスワードが正当な情報であるか否かに基づいてアクセス者の認証の許否が行われるのであるが、その段階に進む前に、第1アクセス検証手段14によって、アクセス者から固有URIへのアクセスが上記各第1アクセス許可条件を満たすか否かの検証が行われる。更に、アクセス者がアクセスしてくる固有URIは、第1電子メール送付手段13がアクセス者の電子メールアドレスへ送付したものであるので、アクセス者以外の第三者が取得できる可能性を低くできる。このように、認証許否判定手段16がユーザID及び認証用パスワードに基づいてアクセス者の認証を行う前に、不正なアクセス者を排除可能な手順を経由させることで、認証処理装置10Aの堅牢性を高めることができる。
そして、認証処理装置10Aによって正当なユーザであると認証された特定の者に限って、上述したような所定のサービスを提供することができる。
<第2実施形態>
以下に図面を参照して第2実施形態の認証処理装置10B(10)について説明する。
図4は、第2実施形態の認証処理装置10Bの構成を説明する図である。本実施形態において、認証処理装置10Bは、第1実施形態で説明したのと同様の第1電子メール受付手段11と、第1固有URI発行手段12と、第1電子メール送付手段13と、第1アクセス検証手段14と、第1認証用情報要求手段15と、認証許否判定手段16とを用いて、ユーザ(アクセス者)の認証処理を行なった後、その情報端末機器1のユーザ(アクセス者)に対して提供される情報利用サービスとして、アクセス者に関する情報を新たに登録する新規登録認証処理サービスを行う。つまり、本実施形態の認証処理装置10Bは、固有登録情報要求手段17と固有登録情報受付手段18とを更に備え、認証されたユーザが情報端末機器1を利用して認証処理装置10Bにアクセスすることで、アクセス者自身に関する情報を新たに認証処理装置10Bに併設されるデータベース30へ登録することや、既にデータベース30に記憶されている情報の変更・削除を許可するように構成されている。この場合、データベース30に対して、アクセス者自身に関する情報を新たに登録する要求を行うこと、即ち、そのような要求を含んだ指令情報を送信することを許可するように構成されている。つまり、本実施形態では、新規登録認証処理サービスの対象となるデータベース30が指令対象機器となっている。
本実施形態において、第1電子メール受付手段11は、アクセス者に関する情報を新たに登録する新規登録認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、ユーザID及び認証用パスワードの組み合わせがデータベース30に記憶されているアクセス者から、認証受付用電子メールアドレスへの電子メールを受け付ける。
第1固有URI発行手段12は、第1電子メール受付手段11が受け付けた電子メールの送信者であるアクセス者からの新規登録認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、認証受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスと、固有URIと、固有URIの有効期限とを関連付けてデータベース30に記憶する。
第1電子メール送付手段13は、アクセス者の電子メールアドレスへ、固有URIが記載された電子メールを送付する。
第1アクセス検証手段14は、アクセス者から固有URIへのアクセスを受け付けると、データベース30に記憶している情報に基づいて、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求されるユーザID及び認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う。
第1認証用情報要求手段15は、第1アクセス許可条件が全て満たされると第1アクセス検証手段14によって判定された場合、アクセス者の情報端末機器1に対してユーザID及び認証用パスワードを含む認証用情報の入力要求を送信して、情報端末機器1で認証用情報の入力要求を提示させる。
認証許否判定手段16は、第1認証用情報要求手段15によって情報端末機器1に送信された認証用情報の入力要求に応じてアクセス者が入力したユーザID及び認証用パスワードの組み合わせがデータベース30に記憶してある情報と一致すれば、アクセス者の新規登録認証処理の実施要求を許可する。
固有登録情報要求手段17は、認証許否判定手段16がアクセス者の新規登録要求を許可したとき、アクセス者の情報端末機器1に対して新規登録に必要な固有登録情報の入力要求を送信して、情報端末機器1で固有登録情報の入力要求を提示させる。本実施形態では、アクセス者が任意に指定可能な文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列を固有登録情報としている。
固有登録情報受付手段18は、固有登録情報要求手段17によって情報端末機器1に送信された固有登録情報の入力要求に応じてアクセス者が入力した固有登録情報を受け付けてデータベース30に記憶する。
図5は、ユーザ(アクセス者)が情報端末機器1を用いて認証処理装置10Bにアクセスし、認証処理装置10Bで新規アクセス者として認証されて登録されるまでの新規登録認証処理の受け付けの流れを説明する図である。尚、工程#10〜工程#17までは第1実施形態と同様であるので説明を省略する。
工程#17において認証許否判定手段16は、第1認証用情報要求手段15によって情報端末機器1に送信された認証用情報の入力要求に応じてアクセス者が入力したユーザID及び認証用パスワードの組み合わせがデータベース30に記憶してある情報と一致すれば、アクセス者を正当な者であると認証してそのアクセス者の新規登録認証処理の実施要求を許可する。
次に、工程#18において固有登録情報要求手段17は、工程#17において認証許否判定手段16がアクセス者を正当な者であると認証したとき、アクセス者の情報端末機器1に対して新規登録に必要なアクセスキー(固有登録情報)の入力要求を送信して、情報端末機器1で固有登録情報の入力要求を提示させる。ここで言う「新規登録」とは、アクセス者に関する情報をデータベースに新たに記憶登録することを指す。
工程#19において情報端末機器1を使用するアクセス者がアクセスキーの入力を完了すると、その情報が認証処理装置10Bへと送信される。図6は、情報端末機器1の表示部に表示されるアクセスキー(固有登録情報)の入力要求画面の例を示す図である。この場面においてアクセス者が情報端末機器1の情報入出力機能を用いて任意に指定可能な文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列で構成されるアクセスキーを入力し、及び、名前を入力し、「登録」ボタン51を選択入力すると、その情報が認証処理装置10Bへと送信される。この場合、指令対象機器としてのデータベース30に対して、アクセス者自身に関する情報を新たに登録することや、既に記憶されている情報の変更・削除などを要求すること、即ち、そのような要求を含んだ指令情報を送信することを許可するように構成されている。つまり、アクセス者がアクセスキー(固有登録情報)を送信することは、そのアクセスキーという情報の情報書込指令(指令情報)の送信に当たる。
次に、工程#20において認証処理装置10Bの固有登録情報受付手段18は、固有登録情報要求手段17によって情報端末機器1に送信された固有登録情報の入力要求に応じてアクセス者が入力した固有登録情報を受け付けてデータベース30に記憶する。このように、認証許否判定手段16によって新規登録が許可されたアクセス者自身が入力した任意の文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列であるアクセスキー、即ち、正当なアクセス者以外の第三者が知り得ない情報が、その正当なアクセス者と認証処理装置10Bとの間で共有される。その結果、固有登録情報を用いたアクセス者の認証が可能となる。
このような一連の手順を経て、認証処理装置10Bに対するアクセス者の新規登録の受付処理が終了する。
<第3実施形態>
図7は、第3実施形態の認証処理装置10C(10)の構成を説明する図である。本実施形態では、第2実施形態で説明したアクセス者の新規登録認証処理の実施要求の受け付けを行なった後、更に、ユーザ(アクセス者)が情報端末機器1を用いて認証処理装置10Cにアクセスし、指令対象機器40に対する指令情報を認証処理装置10Cに伝達する場合を例示する。
本実施形態の指令対象機器40としては、例えば、住宅等に設置された空調装置や照明装置など、或いは、住宅等に設置された警備機器及び警備会社のセンター装置等を含む警備システムなどである。そして、指令対象機器40が上述した空調装置や照明装置などである場合、それら空調装置や照明機器などに対する運転開始指令・停止指令等や運転状況の確認指令などが上記指令情報となる。また、指令対象機器40が上述した住宅等に設置された警備機器及び警備会社のセンター装置等を含む警備システムなどである場合、その警備システムに対する警備開始指令・停止指令等や警備状況・警備履歴の確認指令などが上記指令情報となる。他にも、指令対象機器40として、情報(例えば、文書、画像、動画、個人情報など)やプログラムなどを記憶している記憶装置(図7に示すデータベース30でもよい)を対象とすることもできる。この場合、そのような記憶装置に、アクセス者自身に関する情報を読み出す要求、新たに登録する要求、既に記憶されている情報を変更する又は削除する要求などを含んだ指令情報といった情報読出指令や情報書込指令や情報削除指令等が上記指令情報となる。
図7に示すように、認証処理装置10Cは、第2電子メール受付手段21と、第2固有URI発行手段22と、第2電子メール送付手段23と、第2アクセス検証手段24と、第2認証用情報要求手段25と、指令受付許否判定手段26と、指令情報要求手段27と、指令情報受付手段28とを、第2実施形態で説明したのと同様の各手段(第1電子メール受付手段11、第1固有URI発行手段12、第1電子メール送付手段13、第1アクセス検証手段14、第1認証用情報要求手段15、認証許否判定手段16、固有登録情報要求手段17、固有登録情報受付手段18)に加えて備える。
第2電子メール受付手段21は、アクセス者から所定の指令対象機器40への指令情報を受け付けるために用いられる指令情報受付用電子メールアドレスが予め通知されているアクセス者から、指令情報受付用電子メールアドレスへの電子メールを受け付ける。ここで、指令情報受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスがデータベース30に記憶されていれば、そのアクセス者が既に上記第2実施形態で例示した新規登録認証処理を完了した者であると判定できる。これに対して、そのアクセス者の電子メールアドレスがデータベース30に記憶されていなければ、上記実施形態で例示した新規登録認証処理を未だ完了していない者であると判定できる。
第2固有URI発行手段22は、第2電子メール受付手段21が受け付けた電子メールの送信者であるアクセス者から指令情報の受け付けを行うための有効期限付き固有URIを発行し、指令情報受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスと、固有URIと、固有URIの有効期限とを関連付けてデータベース30に記憶する。
第2電子メール送付手段23は、アクセス者の電子メールアドレスへ、固有URIが記載された電子メールを送付する。
第2アクセス検証手段24は、アクセス者から固有URIへのアクセスを受け付けると、データベース30に記憶している情報に基づいて、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求される固有登録情報の入力が失敗した回数が所定失敗回数未満であること、の各第2アクセス許可条件を満たすか否かの検証を行う。
第2認証用情報要求手段25は、上述した第2アクセス許可条件が全て満たされると第2アクセス検証手段24によって判定された場合、アクセス者の情報端末機器1に対して固有登録情報の入力要求を送信して、情報端末機器1で固有登録情報(アクセスキー)の入力要求を提示させる。
指令受付許否判定手段26は、第2認証用情報要求手段25によって情報端末機器1に送信された固有登録情報の入力要求に応じてアクセス者が入力した固有登録情報がデータベースに記憶してある情報と一致すれば、アクセス者から指令情報の受け付けを許可する。
指令情報要求手段27は、指令受付許否判定手段26がアクセス者からの指令情報の受け付けを許可したとき、アクセス者の情報端末機器1に対して指令情報の入力要求を送信して、情報端末機器1で指令情報の入力要求を提示させる。
指令情報受付手段28は、指令情報要求手段27によって情報端末機器1に送信された指令情報の入力要求に応じてアクセス者が入力した指令情報を受け付ける。
図8は、図5で説明した新規登録認証処理の受け付けが行なわれた後のユーザ(アクセス者)が、情報端末機器1を用いて認証処理装置10Cにアクセスし、認証処理装置10Cを介して指令対象機器40への指令情報を送信するまでの遠隔制御処理の流れを説明する図である。
図8に示すように、認証処理装置10Cでは、アクセス者に対して、指令対象機器40への指令情報の受付処理を行なう電子メールアドレスを予め定めている。そして、アクセス者に対して、例えば、指令情報受付用電子メールアドレスが記載された書面を郵送などの手段で伝達する。尚、この指令情報受付用電子メールアドレスは、上記認証受付用電子メールアドレスと同じでもよい。そして、指令情報受付用電子メールアドレスが記載された書面を受け取ったアクセス者は、後述する手順で情報端末機器1を用いて指令対象機器40への指令情報の送信を行う。
工程#30において、アクセス者は、情報端末機器1を用いて、指令情報受付用電子メールアドレスへ電子メールを送信する。例えば、アクセス者は、情報端末機器1にインストールされている電子メールソフトウェアを用いてこの電子メールを送信する。このとき、電子メールの本文には何も記載しなくてもよく、所謂、空メールでよい。指令情報受付用電子メールアドレスへ電子メールを送信することが、指令対象機器40への指令情報を行うことの意思表示となる。
この指令情報受付用電子メールアドレスへ送信された電子メールは、工程#31において、認証処理装置10Cの第2電子メール受付手段21が受け付ける。つまり、第2電子メール受付手段21は、アクセス者から所定の指令対象機器40への指令情報を受け付けるために用いられる指令情報受付用電子メールアドレスが予め通知されているアクセス者から、指令情報受付用電子メールアドレスへの電子メールを受け付ける。そして、第2電子メール受付手段21は、指令情報受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスがデータベース30に記憶されていれば、そのアクセス者が既に上記第2実施形態で例示した新規登録認証処理を完了した者であると判定して、次の工程#31に移行する。
これに対して、第2電子メール受付手段21は、そのアクセス者の電子メールアドレスがデータベース30に記憶されていなければ、上記実施形態で例示した新規登録認証処理を未だ完了していない者であると判定する。その結果、工程#31には移行せず、例えば上記第2実施形態で説明した新規登録認証処理を行なわせる工程へ移行させる。
更に、工程#31において、認証処理装置10Cの第2固有URI発行手段22は、第2電子メール受付手段21が受け付けた電子メールの送信者であるアクセス者から指令情報の受け付けを行うための有効期限付き固有URIを発行し、指令情報受付用電子メールアドレスへの電子メールから抽出したアクセス者の電子メールアドレスと、固有URIと、その固有URIの有効期限とを関連付けてデータベース30に記憶する。
その後、工程#32において、認証処理装置10Cの第2電子メール送付手段23は、アクセス者の電子メールアドレスへ、固有URIが記載された電子メールを送付する。
尚、上記第1実施形態で説明したのと同様に、第2電子メール受付手段21が、指令情報受付用電子メールアドレス宛に送信されてきた全ての電子メールを無条件に受け付けるのではなく、ファイアウォールによる制限を行う方法、エンベロープFromを参照する方法、メールヘッダーを参照する方法、SPF(Sender Policy Framework)を利用する方法などを用いて、特定の送信元(即ち、正当と見なすことができる送信元)から送信された電子メールのみを受け付ける分別を行なってもよい。
このように、本実施形態では、アクセス者が指令情報受付用電子メールアドレスに電子メールを送信してきたとき、そのアクセス者による指令情報の受付処理を即座に行なうのではなく、一旦、固有URIをアクセス者に伝達し、その固有URIに対してアクセス者がアクセスしてきたときに指令情報の受付処理を行なうようにしている。つまり、指令情報の受付処理が、固有URIに付与された有効期限内でのみ行われるように時期的に制限できる。その結果、有効期限外で固有URIにアクセスがあった場合には、そのアクセスを不正なものと見なすことができる。
アクセス者は、認証処理装置10Cから送信された、固有URIが記載された電子メールを情報端末機器1で受信すると、工程#33においてその固有URIへアクセスする。例えば、情報端末機器1にインストールされているソフトウェア(インターネットブラウザ)を用いて、その固有URIへアクセスする。その結果、情報端末機器1の表示装置には、固有URIにリンクされた情報が表示される。
工程#34において、認証処理装置10Cの第2アクセス検証手段24は、アクセス者から固有URIへのアクセスを受け付けると、データベース30に記憶している情報に基づいて、固有URIの有効期限が満了していないこと、及び、固有URIへのアクセス回数が所定アクセス回数未満であること、及び、固有URIへのアクセス時に要求される固有登録情報の入力が失敗した回数が所定失敗回数未満であること、の各第2アクセス許可条件を満たすか否かの検証を行う。
つまり、第2アクセス検証手段24は、固有URIの有効期限が満了していないことを第2アクセス許可条件の一つとして採用することで、認証処理装置10Cに対するアクセスを時期的に制限して、正当なアクセス者以外の第三者からのアクセスを有効に排除できる。また、第2アクセス検証手段24は、固有URIへのアクセス回数が所定アクセス回数未満であることを第2アクセス許可条件の一つとして採用することで、例えば、不正なアクセス者が所謂スマートフォンなどの情報端末機器1とは別のパーソナルコンピュータなどを用いてユーザID及び認証用パスワードの入力を機械的に多数回試みるために固有URIに多数回のアクセスを同時に行うといった不正を強く疑わせる行為を排除できる。また更に、第2アクセス検証手段24は、固有URIへのアクセス時に要求される固有登録情報の入力が失敗した回数が所定失敗回数未満であることを第2アクセス許可条件の一つとして要求することで、固有登録情報の入力が所定失敗回数失敗した者を、固有登録情報の入力機会が更に与えられないようにして有効に排除できる。
そして、工程#34において第2アクセス検証手段24は、上述する各第2アクセス許可条件の全てを満たす場合には次の工程への移行を許可し、上述した各第2アクセス許可条件の何れか一つでも満たされない場合には次の工程への移行を許可せず、指令情報の受付処理を中止する。加えて、上述した各第2アクセス許可条件の何れか一つでも満たされない場合、即ち、不正なアクセスが疑われる場合、それ以後は上記固有URIを利用できなくするように第2アクセス検証手段24がデータベース30の記憶情報を書き換えて、その固有URIへのアクセス自体を拒絶することもできる。
次に、工程#35において第2認証用情報要求手段25は、上述した第2アクセス許可条件が全て満たされると第2アクセス検証手段24によって判定された場合、アクセス者の情報端末機器1に対して固有登録情報の入力要求を送信して、情報端末機器1で固有登録情報の入力要求を提示させる。例えば、第2認証用情報要求手段25は、情報端末機器1の表示画面にアクセスキーの入力を要求するウェブページ画面を表示させる。そして、工程#36において情報端末機器1を使用するアクセス者がアクセスキーの入力を完了すると、その情報が認証処理装置10Cへと送信される。
図9は、情報端末機器1の表示部に表示されるアクセスキーの入力要求画面の例を示す図である。この場面においてアクセス者が情報端末機器1の情報入出力機能を用いてアクセスキーを入力し、「ログイン」ボタン52を選択入力すると、その情報が認証処理装置10Cへと送信される。
工程#37において指令受付許否判定手段26は、第2認証用情報要求手段25によって情報端末機器1に送信された固有登録情報の入力要求に応じてアクセス者が入力した固有登録情報がデータベース30に記憶してある情報と一致すれば、アクセス者から指令情報の受け付けを許可する。
そして、工程#38において指令情報要求手段27は、指令受付許否判定手段がアクセス者からの指令情報の受け付けを許可したとき、アクセス者の情報端末機器1に対して指令情報の入力要求を送信して、情報端末機器1で指令情報の入力要求を提示させる。
これに対して、指令受付許否判定手段26は、工程#37においてアクセス者が入力したアクセスキーがデータベース30に記憶してある情報と一致しないと判定すると、認証失敗と判定して、その失敗回数をデータベース30に記憶する。
工程#39において情報端末機器1を使用するアクセス者が指令情報の入力を完了すると、その情報が認証処理装置10Cへと送信される。次に、工程#40において認証処理装置10Cの指令情報受付手段28は、指令情報要求手段27によって情報端末機器1に送信された指令情報の入力要求に応じてアクセス者が入力した指令情報を受け付けてデータベース30に記憶する。
このような一連の手順を経て、認証処理装置10Cに対するアクセス者からの指令情報の受付処理が終了し、認証処理装置10Cから指令対象機器40に対してその指令情報が送信される。
以上のように、本実施形態の認証処理装置10Cでは、最終的には指令受付許否判定手段26によって、アクセス者が入力した固有登録情報が正当な情報であるか否かに基づいてアクセス者から指令情報の受け付けを許可するか否かの判定が行われるのであるが、その段階に進む前に、第2アクセス検証手段24によって、アクセス者から固有URIへのアクセスが上記各第2アクセス許可条件を満たすか否かの検証が行われる。更に、アクセス者がアクセスしてくる固有URIは、第2電子メール送付手段23がアクセス者の電子メールアドレスへ送付したものであるので、アクセス者以外の第三者が取得できる可能性を低くできる。このように、指令受付許否判定手段26が固有登録情報に基づいてアクセス者の認証を行う前に、不正なアクセス者を排除可能な手順を経由させることで、認証処理装置10Cの堅牢性を高めることができる。
<別実施形態>
<1>
上記実施形態では、認証処理装置10が、住宅等に設置された空調装置や照明装置などの指令対象機器に対して情報端末機器1を用いて外出先から運転開始・停止などの指令情報や運転状況確認などを行うシステムや、住宅等に設置された警備機器及び警備会社のセンター装置等を含む警備システムへの警備開始・停止の指令や警備状況確認などを情報端末機器1を用いて行うシステムなどにおいて用いられる場合を例示したが、他の様々なシステムにおいてユーザ(アクセス者)を認証するために利用できる。
<2>
上記実施形態では、認証処理装置10が単一の装置であるように説明したが、認証処理装置10は、複数台のコンピュータによって構成してもよい。また、外部から認証処理装置10へのアクセスを制限するためのファイアウォール機能を別途設けてもよい。
<3>
上記実施形態では、固有URIが、付与された有効期限の間で有効と見なされる場合を例示したが、有効期限が満了する前に固有URIを無効化するようにしてもよい。例えば、第1実施形態の工程#17(図2)でアクセス者の認証が許可されたとき、又は、第2実施形態の工程#17(図5)でアクセス者の認証が許可されたとき、又は、第3実施形態の工程#37(図8)で指令情報の受け付けが許可されたとき、固有URIを無効化するように改変してもよい。そして、認証許否判定手段16又は指令受付許否判定手段26が、固有URIが無効化されたことをデータベース30に記憶させる。
つまり、アクセス者の認証が許可されるということ、或いは、指令情報の受け付けが許可されるということは、固有URIを発行した目的は達せられたということであるので、その後は、固有URIを無効化しても不都合は無くなる。また、このような改変を行った場合、固有URIは有効期限内であっても無効化されるため、第1実施形態の工程#14、第2実施形態の工程#14、第3実施形態の工程#34において、第1アクセス検証手段14又は第2アクセス検証手段24は、固有URIが無効化されていないことを併せて検証する必要がある。
<4>
上記実施形態では、ユーザに送信する電子メールに固有URIを記載する場合を例示したが、固有URIと併せて有効期限を記載した電子メールを送信してもよい。また、第1固有URI発行手段12が発行する固有URIと第2固有URIが発行する固有URIとは互いに異なるものでもよく、或いは、同じものであってもよい。
本発明は、情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置に利用できる。
1 情報端末機器
10(10A、10B、10C) 認証処理装置
11 第1電子メール受付手段
12 第1固有URI発行手段
13 第1電子メール送付手段
14 第1アクセス検証手段
15 第1認証用情報要求手段
16 認証許否判定手段
17 固有登録情報要求手段
18 固有登録情報受付手段
21 第2電子メール受付手段
22 第2固有URI発行手段
23 第2電子メール送付手段
24 第2アクセス検証手段
25 第2認証用情報要求手段
26 指令受付許否判定手段
27 指令情報要求手段
28 指令情報受付手段
30 データベース
40 指令対象機器

Claims (3)

  1. 情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置であって、
    前記アクセス者からの認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、前記アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、前記ユーザID及び前記認証用パスワードの組み合わせがデータベースに記憶されている前記アクセス者から、前記認証受付用電子メールアドレスへの電子メールを受け付ける第1電子メール受付手段と、
    前記第1電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者からの前記認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、前記認証受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けて前記データベースに記憶する第1固有URI発行手段と、
    前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第1電子メール送付手段と、
    前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記ユーザID及び前記認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う第1アクセス検証手段と、
    前記第1アクセス許可条件が全て満たされると前記第1アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記ユーザID及び前記認証用パスワードを含む認証用情報の入力要求を送信して、前記情報端末機器で前記認証用情報の入力要求を提示させる第1認証用情報要求手段と、
    前記第1認証用情報要求手段によって前記情報端末機器に送信された前記認証用情報の入力要求に応じて前記アクセス者が入力した前記ユーザID及び前記認証用パスワードの組み合わせが前記データベースに記憶してある情報と一致すれば、前記アクセス者を正当な者と認証する認証許否判定手段とを備える認証処理装置。
  2. 情報端末機器を使用するアクセス者からのアクセスの認証を行う認証処理装置であって、
    前記アクセス者に関する情報を新たに登録する新規登録認証処理の実施要求を受け付けるために用いられる認証受付用電子メールアドレス、及び、前記アクセス者に付与されたユーザID及び認証用パスワードの組み合わせが予め通知され、前記ユーザID及び前記認証用パスワードの組み合わせがデータベースに記憶されている前記アクセス者から、前記認証受付用電子メールアドレスへの電子メールを受け付ける第1電子メール受付手段と、
    前記第1電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者からの前記新規登録認証処理の実施要求の受け付けを行うための有効期限付き固有URIを発行し、前記認証受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けてデータベースに記憶する第1固有URI発行手段と、
    前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第1電子メール送付手段と、
    前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記ユーザID及び前記認証用パスワードの組み合わせの入力が失敗した回数が所定失敗回数未満であること、の各第1アクセス許可条件を満たすか否かの検証を行う第1アクセス検証手段と、
    前記第1アクセス許可条件が全て満たされると前記第1アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記ユーザID及び前記認証用パスワードを含む認証用情報の入力要求を送信して、前記情報端末機器で前記認証用情報の入力要求を提示させる第1認証用情報要求手段と、
    前記第1認証用情報要求手段によって前記情報端末機器に送信された前記認証用情報の入力要求に応じて前記アクセス者が入力した前記ユーザID及び前記認証用パスワードの組み合わせが前記データベースに記憶してある情報と一致すれば、前記アクセス者の前記新規登録認証処理の実施要求を許可する認証許否判定手段と、
    前記認証許否判定手段が前記アクセス者の前記新規登録認証処理の実施要求を許可したとき、前記アクセス者の前記情報端末機器に対して新規登録に必要な固有登録情報の入力要求を送信して、前記情報端末機器で前記固有登録情報の入力要求を提示させる固有登録情報要求手段と、
    前記固有登録情報要求手段によって前記情報端末機器に送信された前記固有登録情報の入力要求に応じて前記アクセス者が入力した前記固有登録情報を受け付けて前記データベースに記憶する固有登録情報受付手段とを備え、
    前記固有登録情報が、前記アクセス者が任意に指定可能な文字及び数字及び記号の少なくとも一種類以上で構成される文字数字記号列である認証処理装置。
  3. 前記アクセス者から所定の指令対象機器への指令情報を受け付けるために用いられる指令情報受付用電子メールアドレスが予め通知されている前記アクセス者から、前記指令情報受付用電子メールアドレスへの電子メールを受け付ける第2電子メール受付手段と、
    前記第2電子メール受付手段が受け付けた電子メールの送信者である前記アクセス者から前記指令情報の受け付けを行うための有効期限付き固有URIを発行し、前記指令情報受付用電子メールアドレスへの電子メールから抽出した前記アクセス者の電子メールアドレスと、前記固有URIと、前記固有URIの有効期限とを関連付けて前記データベースに記憶する第2固有URI発行手段と、
    前記アクセス者の電子メールアドレスへ、前記固有URIが記載された電子メールを送付する第2電子メール送付手段と、
    前記アクセス者から前記固有URIへのアクセスを受け付けると、前記データベースに記憶している情報に基づいて、前記固有URIの前記有効期限が満了していないこと、及び、前記固有URIへのアクセス回数が所定アクセス回数未満であること、及び、前記固有URIへのアクセス時に要求される前記固有登録情報の入力が失敗した回数が所定失敗回数未満であること、の各第2アクセス許可条件を満たすか否かの検証を行う第2アクセス検証手段と、
    前記第2アクセス許可条件が全て満たされると前記第2アクセス検証手段によって判定された場合、前記アクセス者の前記情報端末機器に対して前記固有登録情報の入力要求を送信して、前記情報端末機器で前記固有登録情報の入力要求を提示させる第2認証用情報要求手段と、
    前記第2認証用情報要求手段によって前記情報端末機器に送信された前記固有登録情報の入力要求に応じて前記アクセス者が入力した前記固有登録情報が前記データベースに記憶してある情報と一致すれば、前記アクセス者から前記指令情報の受け付けを許可する指令受付許否判定手段と、
    前記指令受付許否判定手段が前記アクセス者からの前記指令情報の受け付けを許可したとき、前記アクセス者の前記情報端末機器に対して前記指令情報の入力要求を送信して、前記情報端末機器で前記指令情報の入力要求を提示させる指令情報要求手段と、
    前記指令情報要求手段によって前記情報端末機器に送信された前記指令情報の入力要求に応じて前記アクセス者が入力した前記指令情報を受け付ける指令情報受付手段とを備える請求項2に記載の認証処理装置。
JP2012226214A 2012-10-11 2012-10-11 認証処理装置 Pending JP2014078173A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012226214A JP2014078173A (ja) 2012-10-11 2012-10-11 認証処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012226214A JP2014078173A (ja) 2012-10-11 2012-10-11 認証処理装置

Publications (1)

Publication Number Publication Date
JP2014078173A true JP2014078173A (ja) 2014-05-01

Family

ID=50783418

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012226214A Pending JP2014078173A (ja) 2012-10-11 2012-10-11 認証処理装置

Country Status (1)

Country Link
JP (1) JP2014078173A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017151750A (ja) * 2016-02-25 2017-08-31 シャープ株式会社 ネットワークシステム、ネットワークシステムの処理方法、サーバ、サーバの処理方法、配達管理装置および端末
JP2017182781A (ja) * 2016-03-24 2017-10-05 株式会社オービック アクセス管理装置、アクセス管理方法、および、アクセス管理プログラム
KR101874174B1 (ko) * 2016-04-23 2018-07-03 김진용 네트워크 기반의 상거래에서 본인 인증 방법 및 장치
CN111201527A (zh) * 2017-10-12 2020-05-26 川村宜浩 客户端服务器系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017151750A (ja) * 2016-02-25 2017-08-31 シャープ株式会社 ネットワークシステム、ネットワークシステムの処理方法、サーバ、サーバの処理方法、配達管理装置および端末
JP2017182781A (ja) * 2016-03-24 2017-10-05 株式会社オービック アクセス管理装置、アクセス管理方法、および、アクセス管理プログラム
KR101874174B1 (ko) * 2016-04-23 2018-07-03 김진용 네트워크 기반의 상거래에서 본인 인증 방법 및 장치
CN111201527A (zh) * 2017-10-12 2020-05-26 川村宜浩 客户端服务器系统
CN111201527B (zh) * 2017-10-12 2023-06-02 川村宜浩 客户端服务器系统

Similar Documents

Publication Publication Date Title
US11921839B2 (en) Multiple device credential sharing
US8904494B2 (en) System and method to facilitate compliance with COPPA for website registration
CN109428891B (zh) 权限转移系统及其控制方法和客户端
US8782264B2 (en) System and method for verifying parental approval
US11876807B2 (en) Secure online access control to prevent identification information misuse
JP6818744B2 (ja) 確認情報更新方法及び装置
JP6468013B2 (ja) 認証システム、サービス提供装置、認証装置、認証方法及びプログラム
US10003975B2 (en) Authorized areas of authentication
KR101451359B1 (ko) 사용자 계정 회복
CN110138718A (zh) 信息处理系统及其控制方法
CN103986584A (zh) 基于智能设备的双因子身份验证方法
US11132426B2 (en) Acknowledgment authentication system and method
CN111567013A (zh) 在区块链网络中管理用户认证的方法和装置
US11265360B2 (en) System for managing jointly accessible data
WO2018026109A1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체
JP2014078173A (ja) 認証処理装置
US11658962B2 (en) Systems and methods of push-based verification of a transaction
US11301943B2 (en) Systems and methods for authentication of database transactions with an authentication server
KR101722031B1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체
JP6199506B2 (ja) 複数のサービスシステムを制御するサーバシステム及び方法
JP7115167B2 (ja) 情報処理装置及びプログラム
KR101980828B1 (ko) 공유계정 인증방법 및 그 장치
JP2007323235A (ja) 属性利用承認システム
KR100606489B1 (ko) 인터넷 통합 계정 및 보안관리 시스템 및 방법
CN105141577A (zh) 一种面向信息系统的异步登录方法