JP2015114714A - 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体 - Google Patents

認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体 Download PDF

Info

Publication number
JP2015114714A
JP2015114714A JP2013254355A JP2013254355A JP2015114714A JP 2015114714 A JP2015114714 A JP 2015114714A JP 2013254355 A JP2013254355 A JP 2013254355A JP 2013254355 A JP2013254355 A JP 2013254355A JP 2015114714 A JP2015114714 A JP 2015114714A
Authority
JP
Japan
Prior art keywords
user terminal
authentication
web server
password
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013254355A
Other languages
English (en)
Other versions
JP6076890B2 (ja
Inventor
公洋 山越
Koyo Yamakoshi
公洋 山越
田中 政志
Masashi Tanaka
政志 田中
泰典 和田
Taisuke Wada
泰典 和田
鈴木 勝彦
Katsuhiko Suzuki
勝彦 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013254355A priority Critical patent/JP6076890B2/ja
Publication of JP2015114714A publication Critical patent/JP2015114714A/ja
Application granted granted Critical
Publication of JP6076890B2 publication Critical patent/JP6076890B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザが複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすまし認証を回避する。【解決手段】認証方法は、第1の利用者端末と、第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおいて、第1の利用者端末が、認証のためのID、パスワード及びセッション鍵をWebサーバに送信するステップと、Webサーバが、第1の利用者端末から受信したID、パスワード及びセッション鍵と、第1の利用者端末について予め登録されたID及びパスワード並びに第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合するステップと、Webサーバが、照合の結果、認証が成功した場合、第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行するステップと、を含むことを特徴とする。【選択図】図6

Description

本発明は、セッション鍵を用いて認証を行う、利用者の認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体に関する。
従来、Web認証では、Basic認証が知られている(例えば、非特許文献1参照。)Basic認証では、まず利用者は端末からWebサーバにアクセスし、サーバ証明書を取得して署名検証を行う。問題なければ利用者端末は、暗号化通信用の鍵を生成し証明書の公開鍵で鍵共有を行い、Webサーバとの間でSSLセッションを張る。利用者は、初回登録時、Webサーバからのユーザ情報登録要求に対して利用者端末からID及びパスワードを入力し、それをWebサーバに送信することでユーザ登録を完了する。パスワードの代わりに、ハッシュ化又は暗号化したパスワードが照合データとしてWebサーバに登録されることもある。ユーザ登録後のユーザ認証では、まず利用者はユーザ登録時と同様の方法でSSLセッションを張る。次に、利用者は、WebサーバからのID及びパスワード要求に対して、ID及びパスワードを入力してWebサーバに送信する。Webサーバは、送信されたID及びパスワードと、ユーザ登録されていたID及びパスワードとを照合してユーザ認証の判定を行う。
"HTTP Authentication: Basic and Digest Access Authentication"、Network Working Group、[Online]、[平成25年11月22日検索]、インターネット<http://www.ietf.org/rfc/rfc2617.txt>
しかしながら、Basic認証では、Webサーバの利用者のパスワードが一度漏洩してしまうと、それらがリスト化され悪意のある第三者間で使いまわされるおそれがある。その結果、利用者がなりすまされて損害を被るケースや、サービス提供者が利用者の損害の保障を請求されるケースも発生している。万一パスワードが漏洩した場合に備え、利用者がWebサーバ毎に異なるパスワードを設定することが推奨されているが、利便性の観点から現実には実行が難しい。
本発明は、このような従来の課題を解決するためになされたものであり、その目的とするところは、ユーザが複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすまし認証を回避することができる認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体を提供することにある。
上記課題を解決するため、本発明の認証システムによる認証方法は、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、前記第1の利用者端末が、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信するステップと、前記Webサーバが、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合するステップと、前記Webサーバが、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行するステップと、を含むことを特徴とする。
また、上記課題を解決するため、本発明の認証システムは、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、前記第1の利用者端末は、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信する手段を備え、前記Webサーバは、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、を備えることを特徴とする。
また、上記課題を解決するため、本発明のWebサーバは、第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、を備えることを特徴とする。
本発明によれば、利用者が複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすまし認証を回避することができる。
本発明の一実施形態に係る認証システムの概略構成を示す図である。 本発明の一実施形態に係る認証システムにおける第1の利用者端末の機能ブロック図である。 本発明の一実施形態に係る認証システムにおける第2の利用者端末の機能ブロック図である。 本発明の一実施形態に係る認証システムにおけるWebサーバの機能ブロック図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の変形例に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムにおける利用者情報DB及び追加端末要求情報DBの一例を示す図である。
以下、本発明の一実施形態を図面に基づいて説明する。
[システム構成]
図1は、本発明の一実施形態に係る認証システム1の概略構成を示す図である。本実施形態においては、ネットワークNWを介して第1の利用者端末11、第2の利用者端末12及びWebサーバ13が接続されている。ネットワークNWに接続される利用者端末の数は2つに限定されず、3つ以上であってよい。端末の形態は、図1に図示されているような設置型の端末でも、利用者が持ち運ぶことができる携帯型の端末であってもよい。
以下、より具体的に第1の利用者端末11、第2の利用者端末12及びWebサーバ13の構成について説明する。
図2は、本発明の一実施形態に係る認証システム1における第1の利用者端末11の機能ブロック図である。第1の利用者端末11は、ブラウザ処理部111と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部112と、利用者が操作するユーザインタフェース113aからの入力を制御するユーザインタフェース制御部113と、Webサーバ13が提供するWebコンテンツを表示するための表示装置114aを制御する表示制御部114と、記憶部115とを備える。ブラウザ処理部111は、Webプロトコル処理部1111と、リクエスト情報生成部1112と、Web表示制御部1113とを備える。本発明に係るブラウザ処理部111の各機能を説明するが、第1の利用者端末11が備える他の機能を排除することを意図したものではないことに留意されたい。第1の利用者端末11は、コンピュータとして構成することができる。第1の利用者端末11は、ブラウザ処理部111の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部115に格納し、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
Webプロトコル処理部1111は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1111は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。
リクエスト情報生成部1112は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のリクエスト情報を生成する機能を有する。
Web表示制御部1113は、Webサーバ13によって認証処理が行われた後に、該当URLのWebコンテンツを、表示制御部114を介して表示装置114aに表示させる機能を有する。
図3は、本発明の一実施形態に係る認証システム1における第2の利用者端末12の機能ブロック図である。第2の利用者端末12は、ブラウザ処理部121と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部122と、利用者が操作するユーザインタフェース123aからの入力を制御するユーザインタフェース制御部123と、Webサーバ13が提供するWebコンテンツを表示するための表示装置124aを制御する表示制御部124と、記憶部125とを備える。ブラウザ処理部121は、Webプロトコル処理部1211と、リクエスト情報生成部1212と、Web表示制御部1213とを備える。本発明に係るブラウザ処理部121の各機能を説明するが、第2の利用者端末12が備える他の機能を排除することを意図したものではないことに留意されたい。第2の利用者端末12は、コンピュータとして構成することができる。そして、第2の利用者端末12は、ブラウザ処理部121の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部125に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
Webプロトコル処理部1211は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1211は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。
リクエスト情報生成部1212は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のIDを含むリクエスト情報を生成する機能を有する。
Web表示制御部1213は、Webサーバ13によって認証処理が行われた後に該当URLのWebコンテンツを、表示制御部124を介して表示装置124aに表示させる機能を有する。
図4は、本発明の一実施形態に係る認証システム1におけるWebサーバ13の機能ブロック図である。
Webサーバ13は、制御部131と、第1の利用者端末11及び/又は第2の利用者端末12に対してWeb通信を行うインタフェースを構成する通信制御部132と、利用者情報DB133(図9(a))と、追加端末要求情報DB134(図9(b))と、記憶部135とを備える。利用者情報DB133(図9(a))と、追加端末要求情報DB134(図9(b))は、Webサーバ13の外部に格納され、Webサーバ13によって必要なときにアクセスされてもよい。制御部131は、Web処理部(Webプロトコル処理部1311及びセッション鍵発行部1312を備える。)と、照合部1313と、仮パスワード発行部1314と、タイマ処理部1315とを備える。本発明に係る制御部131の各機能を説明するが、Webサーバ13が備える他の機能を排除することを意図したものではないことに留意されたい。Webサーバ13は、コンピュータとして構成することができる。Webサーバ13は、制御部131の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部135に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
Web処理部におけるWebプロトコル処理部1311は、第1の利用者端末11及び/又は第2の利用者端末12とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1311は、リクエスト情報に基づくセッション情報を生成する機能を有する。
Web処理部におけるセッション鍵発行部1312は、認証が成功した利用者端末にセッション鍵を発行し、その利用者端末にセッション鍵を共有(送信)し、そしてセッション鍵を、その利用者端末のIDに対応付けて利用者情報DB133に登録する機能を有する。登録と共有の順番は逆でもよい。
照合部1313は、利用者端末から受信したリクエスト情報を解析する機能を有する。具体的には、照合部1313は、利用者端末から受信したID、パスワード及びセッション鍵の情報が、利用者情報DB133に予め登録され記憶されているID、パスワード及び最新セッション鍵の情報と一致するか照合する機能を有する。一致する場合には、照合部1313は、認証が成功したとして利用者のログインを許可し、そうでない場合はログインを許可しない。
また、照合部1313は、第2の利用者端末12から受信した端末名、ID、パスワード及び仮パスワードの情報が、利用者情報DB133及び追加端末要求情報DB134においてIDに対応付けて登録され記憶されている端末名、ID、パスワード及び仮パスワードの情報と一致するか照合する機能をも有する。一致し且つ第2の利用者端末12が送信を行ったタイミング(タイマ値(T))が後述するタイマ期限以内であれば、照合部1313は、第2の利用者端末12を第1の利用者端末11の追加端末として認証し、例えば利用者情報DB133の追加端末名の列に第2の利用者端末12の端末名を登録する。第2の利用者端末12が送信を行ったタイミングではなく、Webサーバ13が受信したタイミングや、他の何らかのタイミングを用いて照合してもよい。
上記では同一の照合部1313がセッション鍵等の照合も仮パスワード等の照合も行う場合を説明したが、別々の照合部によりそれらの照合を行ってもよい。
仮パスワード発行部1314は、第1の利用者端末11から端末追加要求を受信した場合に、第1の利用者端末11に対して仮パスワードを発行する機能を有する。発行された仮パスワードは、第1の利用者端末11の表示装置114aに表示し、又は予め第1の利用者端末11の利用者が登録したメールアドレス宛に送信することで通知する。
タイマ処理部1315は、第1の利用者端末11から端末追加要求を受信した場合に、タイマを起動し、追加端末要求情報DB134に、第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名、仮パスワード発行部1314が発行した仮パスワード及び第1の利用者端末11の追加端末の追加を許可する期限であるタイマ期限を登録する。タイマ期限は仮パスワードを発行してから例えば数分から数十分という一定時間とする。
[システム動作]
図5から図8は、本発明の一実施形態に係る認証システム1の動作フローを示す図である。
図5は、Webサーバ13に未登録の利用者端末の利用者が利用者登録を行うフローを示す図である。図5では一例として第1の利用者端末11が未登録の利用者端末である場合を説明する。
図5を参照するに、Webサーバ13に未登録の第1の利用者端末11の利用者は、第1の利用者端末11のユーザインタフェース113aを介してWebブラウザを起動させ(ステップS1)、Webサーバ13に接続要求を送信する(ステップS2)。そして、第1の利用者端末11は、サーバ証明書をWebサーバ13から取得して(ステップS3)、署名検証を行い(ステップS4)、問題なければ暗号化通信用の鍵を生成し(ステップS5)、証明書の公開鍵で鍵共有を行ってWebサーバ13との間でSSLセッションを張る(ステップS6)。ステップS1からステップS6までの処理を接続処理と呼ぶ。
次に、Webサーバ13は、第1の利用者端末11へ、登録するIDとパスワードを要求する(ステップS7)。この時点ではまだ第1の利用者端末11はWebサーバ13に未登録であるため、第1の利用者端末11の利用者は、ユーザインタフェース113aを介して任意のID及びパスワードを入力し(ステップS8)、通信制御部112を介してそれらの情報をWebサーバ13に送信する(ステップS9)。Webサーバ13は、第1の利用者端末11からID及びパスワードを受信すると、利用者情報DB133にそれらを登録する(ステップS10)。ステップS7からステップ10までの処理を登録処理と呼ぶ。
そして、Webサーバ13は、第1の利用者端末11に固有のセッション鍵を発行し(ステップS11)、それを第1の利用者端末11に共有(送信)した後(ステップS12)、第1の利用者端末11のIDに対応付けて、そのセッション鍵を最新セッション鍵として利用者情報DB133に登録する(ステップS13)。図9(a)の端末名の欄に示すように、利用者情報DB133には、第1の利用者端末11の端末名をも対応付けて記憶してもよい。第1の利用者端末11は、セッション鍵を受信すると、記憶部115等の記憶部にセッション鍵を登録する(ステップS14)。Webサーバ13は、セッション鍵の共有の前にセッション鍵の登録を行ってもよい。ステップS11からステップS14までの処理をセッション鍵発行・共有・登録処理と呼ぶ。
図6は、Webサーバ13に登録済の利用者がWebサーバ13へログインを行うフローを示す図である。図6では、一例として第1の利用者端末11が登録済の利用者端末である場合を説明する。
図6を参照するに、Webサーバ13に登録済の第1の利用者端末11の利用者は、図6のステップS21からステップS26に示す接続処理を行う。接続処理の説明は、図5における接続処理の説明(ステップS1からステップS6)と重複するため省略する。
次に、Webサーバ13は、ID及びパスワードを第1の利用者端末11に要求する(ステップS27)。この時点ではすでに第1の利用者端末11はWebサーバ13に登録済であるから、第1の利用者端末11の利用者は、ユーザインタフェース113aを介して自身が登録したID及びパスワードを入力する(ステップS28)。そして、第1の利用者端末11は、記憶部115に記憶しておいた第1のセッション鍵(後述するステップS33で発行されるセッション鍵と区別するために、便宜的に第1のセッション鍵と呼ぶ。)を読み出すと(ステップS29)、ステップS28で入力されたID及びパスワードと共にステップS29で読み出された第1のセッション鍵をWebサーバ13に送信する(ステップS30)。Webサーバ13は、第1の利用者端末11からID、パスワード及び第1のセッション鍵を受信すると、利用者情報DB133に登録されたID、パスワード、最新セッション鍵と一致するか照合する(ステップS31及びステップS32)。ステップS27からステップS32までの処理をログイン処理と呼ぶ。
照合の結果、一致する場合には、Webサーバ13は、認証が成功したとして第1の利用者端末11に第2のセッション鍵を発行する(ステップS33)。そして、Webサーバ13は、第2のセッション鍵を第1の利用者端末11に共有(送信)し(ステップS34)、第2のセッション鍵を利用者情報DB133において、最新セッション鍵として登録する(ステップS35)。図9(a)ではセッション鍵は最新のものしか登録されていないが、過去に発行されたセッション鍵の全部又は一部を登録しておいてもよい。第1の利用者端末11は第1のセッション鍵を受信すると、記憶部115に記憶する(ステップS36)。セッション鍵が記憶された後は、第1の利用者端末11とWebサーバ13との間でオンライン決済等の何らかの処理が行われる(ステップS37)。第1の利用者端末11の利用者が再度Webサーバ13にログインしようとするときは、図6のフローが繰り返される。
図7は、Webサーバ13の利用者が、2つの利用者端末のうち一方を、他方の追加端末として追加登録するフローを示す図である。図7では、一例として第2の利用者端末12を第1の利用者端末11の追加端末として追加登録する場合を説明する。
図7を参照するに、Webサーバ13に登録済の第1の利用者端末11の利用者は、Webサーバ13との間でログイン処理を行う。ログイン処理は図6において説明したもの(ステップS27からステップS32)と同一であるため、説明を省略する。次に、第1の利用者端末11は、Webサーバ13へ、追加端末名(任意)及び端末追加要求を送信する(ステップS41)。端末追加要求を受信したWebサーバ13は、仮パスワードを発行し第1の利用者端末11へ共有(送信)する(ステップS42)。そして、Webサーバ13は、端末追加処理タイマを起動し(ステップS43)、タイマ期限を設定する。Webサーバ13は、端末追加要求を送信した第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名(任意)、ステップS42で発行された仮パスワード及びタイマ期限を、追加端末要求情報DB134に登録する。タイマ期限は、Webサーバ13が仮パスワードを発行してから数分から数十分程度の一定時間(タイマ期限)に設定する。一例を図9(b)に示す。
一方で第1の利用者端末11の利用者は、第2の利用者端末12を用いてWebサーバ13との間で接続処理を行う。接続処理は図5及び6で説明したもの(ステップS1からステップS6及びステップS21からステップS26)と同一であるため、説明を省略する。そして、Webサーバ13は、第2の利用者端末12へ、追加端末名(任意)、ID、パスワード(任意)及び仮パスワードを要求する(ステップS44)。第2の利用者端末12は、ユーザインタフェース123aを介して、端末名(任意)、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS42で発行された仮パスワードを入力し、Webサーバ13に送信する(ステップS45)。ステップS45において、第1の利用者端末11に発行された仮パスワードを第2の利用者端末12に受け渡す方法は、第1の利用者端末の利用者による手入力ではなく、例えば、第1の利用者端末11及び第2の利用者端末12のNFC(近距離無線通信)やBluetooth(登録商標)などの機能を利用してもよい。
Webサーバ13は、ステップS45で受信した情報が、利用者情報DB133及び追加端末要求情報DB134に登録された、第2の利用者端末12の端末名(任意)、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS42で発行された仮パスワードと一致するかどうか照合する(ステップS46及びステップS47)。照合の結果、一致し且つステップS45の送信が行われた日時(タイマ値(T))がタイマ期限以内であれば、Webサーバ13は、第2の利用者端末12を第1の利用者端末11の追加端末として利用者情報DB133に登録する。タイマ値(T)がタイマ期限より後であればタイムアウトとする。ID:001且つ端末名:PC001の追加端末として、端末名:PC123の端末が登録された例を図9(a)に示す。図9(a)は追加端末が1つのみである場合を示しているが、任意の数の追加端末を登録可能である。
次に、Webサーバ13と第2の利用者端末12との間でセッション鍵発行・共有・登録処理が行われる。セッション鍵発行・共有・登録処理は図5及び6で説明したもの(ステップS11からステップS14及びステップS33からステップS37)と同一であるため、説明を省略する。
[本発明の変形例の説明]
次に、上述した実施形態の変形例について説明する。
図8は、図5から図7で説明した接続処理及びセッション鍵発行・共有・登録処理を、Webサーバ13のセキュア領域及び利用者端末(第1の利用者端末11又は第2の利用者端末12)のセキュア領域を用いて行うフローを示す図である。ここでは、一例として第1の利用者端末11とWebサーバ13との間で接続処理及びセッション鍵発行・共有・登録処理が行われる場合を説明する。
図8を参照するに、第1の利用者端末11のブラウザ処理部111は、第1の利用者端末11の通信制御部112を介してWebサーバ13のWeb処理部に接続要求を行う(ステップS51)。Webサーバ13は、接続要求を受信すると、セキュア領域においてサーバ証明書を発行し、Webサーバ13のWeb処理部を介してそれを第1の利用者端末11に送信する(ステップS52及びステップS53)。第1の利用者端末11は、サーバ証明書を受信すると、セキュア領域においてサーバ証明書を検証する(ステップS54及びステップS55)。次に、第1の利用者端末11はセキュア領域において暗号化通信用の鍵を生成し(ステップS56)、サーバ公開鍵を第1の利用者端末11のブラウザ処理部111に渡す(ステップS57)。そして、Webサーバ13と第1の利用者端末11との間でSSL通信が開始される(ステップS58)。
次に、Webサーバ13と第1の利用者端末11との間で登録処理やログイン処理が行われると、セッション鍵発行・共有・登録処理が行われる。図8においては、セッション鍵をWebサーバ13と第1の利用者端末11それぞれのセキュア領域に登録・記憶する場合を説明する。この場合、Webサーバ13と第1の利用者端末11のそれぞれのセキュア領域間では、Webサーバ13の公開鍵を用いて、ステップS58で用いた暗号化鍵とは異なる暗号化鍵による暗号化通信が開始される(ステップS59)。Webサーバ13がそのセキュア領域においてセッション鍵を発行すると(ステップS60)、Webサーバ13のセキュア領域と第1の利用者端末11のセキュア領域との間でそのセッション鍵を共有し(ステップS61)、それぞれのセキュア領域にてセッション鍵を登録・記憶する(ステップS62及びステップS63)。
図8に示す変形例によれば、複数の端末を利用して共通のID及びパスワードでログインできる利便性が損なわれない。そして、万一ID及びパスワードが漏洩した場合であっても、端末毎に発行されるセッション鍵や端末名を用いて利用者の認証を行うことで、不正ログインを防ぐことができる。また、利用者が利用者端末を紛失し、又は利用者端末が盗難された場合でも、Webサーバに対してパスワード等の照合が必要であるため、不正ログインや不正利用を一定期間防ぐことができる。紛失や盗難の発覚後、遠隔制御により利用者端末の利用を直ちに停止することも可能である。
これらの本発明に係る第1の利用者端末11、第2の利用者端末12、及びWebサーバ13をコンピュータで構成した場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。従って、本発明は、前述した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において組み合わせたり一部削除したりするなどして種々変更可能である。
本発明によれば、パスワードリストなどを用いた悪意のある第三者によるなりすまし認証を回避できるため、何らかのWebコンテンツを提供する際等の利用者端末の認証に有用である。
1 認証システム
11 第1の利用者端末
12 第2の利用者端末
13 Webサーバ
111 ブラウザ処理部
112 通信制御部
113 ユーザインタフェース制御部
113a ユーザインタフェース
114 表示制御部
114a 表示装置
115 記憶部
121 ブラウザ処理部
122 通信制御部
123 ユーザインタフェース制御部
123a ユーザインタフェース
124 表示制御部
124a 表示装置
125 記憶部
131 制御部
132 通信制御部
133 利用者情報DB
134 追加端末要求情報DB
135 記憶部
1111 Webプロトコル処理部
1112 リクエスト情報生成部
1113 Web表示制御部
1211 Webプロトコル処理部
1212 リクエスト情報生成部
1213 Web表示制御部
1311 Webプロトコル処理部
1312 セッション鍵発行部
1313 照合部
1314 仮パスワード発行部
1315 タイマ処理部

Claims (7)

  1. 第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、
    前記第1の利用者端末が、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信するステップと、
    前記Webサーバが、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合するステップと、
    前記Webサーバが、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行するステップと、
    を含むことを特徴とする認証方法。
  2. 請求項1に記載の認証方法であって、
    前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
    前記Webサーバが、前記第1の利用者端末の要求に応じて仮パスワードを発行するステップと、
    前記Webサーバが、前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録するステップと、
    を更に含むことを特徴とする認証方法。
  3. 第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、
    前記第1の利用者端末は、
    認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信する手段を備え、
    前記Webサーバは、
    前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、
    前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、
    を備えることを特徴とする認証システム。
  4. 請求項3に記載の認証システムであって、
    前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
    前記Webサーバは、更に、
    前記第1の利用者端末の要求に応じて仮パスワードを発行する手段と、
    前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録する手段と、
    を備えることを特徴とする認証システム。
  5. 第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、
    前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、
    を備えることを特徴とするWebサーバ。
  6. コンピュータを、請求項5に記載のWebサーバとして機能させることを特徴とする認証プログラム。
  7. 請求項6に記載の認証プログラムを記録した記録媒体。
JP2013254355A 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体 Expired - Fee Related JP6076890B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013254355A JP6076890B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013254355A JP6076890B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体

Publications (2)

Publication Number Publication Date
JP2015114714A true JP2015114714A (ja) 2015-06-22
JP6076890B2 JP6076890B2 (ja) 2017-02-08

Family

ID=53528503

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013254355A Expired - Fee Related JP6076890B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体

Country Status (1)

Country Link
JP (1) JP6076890B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018006896A (ja) * 2016-06-29 2018-01-11 株式会社エヌ・ティ・ティ・データ 端末登録方法、及び端末登録システム
JP2022076134A (ja) * 2020-11-09 2022-05-19 Kddi株式会社 認証装置、認証方法及び認証プログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63159094A (ja) * 1986-12-24 1988-07-01 富士通株式会社 Idカ−ド偽造防止方法
JP2002157224A (ja) * 2000-09-08 2002-05-31 Kddi Corp 不正アクセス防止システム及びサーバ
JP2003271809A (ja) * 2002-03-14 2003-09-26 Canon Inc プロファイル管理サーバ、管理装置及び製品管理サーバ
JP2007293868A (ja) * 2007-05-01 2007-11-08 Buffalo Inc 無線lanを利用したダウンロードシステム、および、情報サービスシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63159094A (ja) * 1986-12-24 1988-07-01 富士通株式会社 Idカ−ド偽造防止方法
JP2002157224A (ja) * 2000-09-08 2002-05-31 Kddi Corp 不正アクセス防止システム及びサーバ
JP2003271809A (ja) * 2002-03-14 2003-09-26 Canon Inc プロファイル管理サーバ、管理装置及び製品管理サーバ
JP2007293868A (ja) * 2007-05-01 2007-11-08 Buffalo Inc 無線lanを利用したダウンロードシステム、および、情報サービスシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018006896A (ja) * 2016-06-29 2018-01-11 株式会社エヌ・ティ・ティ・データ 端末登録方法、及び端末登録システム
JP2022076134A (ja) * 2020-11-09 2022-05-19 Kddi株式会社 認証装置、認証方法及び認証プログラム
JP7403430B2 (ja) 2020-11-09 2023-12-22 Kddi株式会社 認証装置、認証方法及び認証プログラム

Also Published As

Publication number Publication date
JP6076890B2 (ja) 2017-02-08

Similar Documents

Publication Publication Date Title
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
CN107302539B (zh) 一种电子身份注册及认证登录的方法及其系统
CN100581103C (zh) 安全地处理被用于基于web的资源访问的客户证书
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN112491881B (zh) 跨平台单点登录方法、系统、电子设备及存储介质
EP3175367B1 (en) System and method for implementing a hosted authentication service
US20070067620A1 (en) Systems and methods for third-party authentication
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP2019046060A (ja) 権限委譲システム、制御方法、およびプログラム
JP2019046059A (ja) 権限委譲システム、制御方法、およびプログラム
US9942200B1 (en) End user authentication using a virtual private network
CN110278179B (zh) 单点登录方法、装置和系统以及电子设备
CA2689847A1 (en) Network transaction verification and authentication
US20070255951A1 (en) Token Based Multi-protocol Authentication System and Methods
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JP7100561B2 (ja) 認証システム、認証サーバおよび認証方法
JP5991817B2 (ja) ネットワークシステム
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
EP2775658A2 (en) A password based security method, systems and devices
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
CN109981677A (zh) 一种授信管理方法及装置
JP6076890B2 (ja) 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体
JP2011145754A (ja) シングルサインオンシステムと方法、認証サーバ、ユーザ端末、サービスサーバ、プログラム
CN112653676B (zh) 一种跨认证系统的身份认证方法和设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170111

R150 Certificate of patent or registration of utility model

Ref document number: 6076890

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees