JP2019020903A - 認証サーバ、認証コアシステム、認証システム及び認証方法 - Google Patents
認証サーバ、認証コアシステム、認証システム及び認証方法 Download PDFInfo
- Publication number
- JP2019020903A JP2019020903A JP2017137095A JP2017137095A JP2019020903A JP 2019020903 A JP2019020903 A JP 2019020903A JP 2017137095 A JP2017137095 A JP 2017137095A JP 2017137095 A JP2017137095 A JP 2017137095A JP 2019020903 A JP2019020903 A JP 2019020903A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- authentication
- token
- server
- telephone number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術を提供する。
【解決手段】認証サーバは、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、第1のトークンと第2のトークンが一致するか否かを判定し、第1のトークンと第2のトークンが一致する場合に、SMS受信装置から第2の端末の利用者を特定する電話番号を取得し、電話番号が、アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、電話番号が、アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、アプリケーションサーバに対し、第1の端末からのアクセス要求を許可するログイン許可を送信する。
【選択図】図2
【解決手段】認証サーバは、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、第1のトークンと第2のトークンが一致するか否かを判定し、第1のトークンと第2のトークンが一致する場合に、SMS受信装置から第2の端末の利用者を特定する電話番号を取得し、電話番号が、アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、電話番号が、アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、アプリケーションサーバに対し、第1の端末からのアクセス要求を許可するログイン許可を送信する。
【選択図】図2
Description
本発明は、認証サーバ、認証コアシステム、認証システム及び認証方法に関する。
不正なアクセス等の防止のため、セキュリティの強固な認証方法が求められている。その一方で、一般に用いられている認証方法においては、パスワードや生体認証情報等の入力が必要であり、煩雑な操作が必要になることも多い。
特許文献1は、少なくとも2台の端末を組み合わせたプッシュ認証を採用した認証システムを開示している。これにより、セキュリティを高めつつ平易な操作による認証の実現を目指している。
特許文献1に開示された様な認証システムは、その認証の信頼性が、端末の固有の識別情報である端末IDに依存している。このような端末IDは偽装の防止に限界があり、偽装がされてしまうとセキュリティが低下するおそれがある。
本発明は、平易な認証操作と高度なセキュリティを両立し得る認証技術を提供する。
本発明の認証サーバは、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、前記第1のトークンと前記第2のトークンが一致するか否かを判定し、前記第1のトークンと前記第2のトークンが一致する場合に、前記SMS受信装置から前記第2の端末の利用者を特定する電話番号を取得し、前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する。
本発明の認証サーバが実施する認証方法は、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、前記第1のトークンと前記第2のトークンが一致するか否かを判定し、前記第1のトークンと前記第2のトークンが一致する場合に、前記SMS受信装置から前記第2の端末の利用者を特定する電話番号を取得し、前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する。
本発明の認証技術は、ユーザ操作の負担を抑制しつつも、より安全性を高めるとともに、通信処理の負担を抑制することが可能となる。
以下、図面を用いて、本発明に係る通信方法の具体的な実施の形態について詳述する。特許文献1に記載された従来技術は、その認証の信頼性が、第2の端末4の固有の識別情報である端末IDに依存している。このような端末IDは、偽装(例えば他人の端末のMACアドレスの複製など)に対する防衛策に限界があり、ある程度の偽装の可能性が否定できないという意味から、依然として安全性に懸念が残る。
また、第1の端末3の操作を契機とする第2の端末4へのプッシュ通知が、任意のタイミングで発生する可能性があるため、第2の端末4に対して、常時ログインの許可がなされている状態を維持するための通信が必要となる。これにより、通信シーケンス、通信コストの増加といった通信負担の増加を招くおそれがある。
図1は、本発明の一実施形態の認証システム100の概要図であり、上述した様な課題の解消を実現するものである。図示した認証システム100はあくまで一実施形態であり、本発明が適用される認証システムはこのような形態に限定されるものではない。実施形態の認証システム100は、第1の端末10と、第2の端末20と、アプリケーションサーバ(APサーバ)30と、認証サーバ40と、SMS(Short Message Service)受信装置50と、を含む。また、認証サーバ40とSMS受信装置50は、認証コアシステム60を構成する。尚、本明細書において、「サーバ」は、1つのサーバのみならず、複数のサーバにより構成されるものも含む。
第1の端末10及び第2の端末20は、PC、スマートフォン、タブレット端末、ICカードリーダライタを備える端末、携帯端末と通信可能な端末等の任意の適切な端末を用いることができる。ここで、少なくとも第2の端末20は、LTE(Long Term Evolution)通信が可能であり、通信プロトコルとしてLTEプロトコルのデータ(具体的にはパケットデータ)を通信対象としたLTE通信システム下で通信を行う端末である。LTEは、3GPP(Third Generation Partnership Project)により制定された、第3世代移動体通信規格(3G)を更に高速化させたものであり、3.9Gまたは4Gと呼ばれる。
また、第2の端末20は撮影機能を持つ撮影装置(カメラ)を有している。撮影装置は、第2の端末20の内部に組み込まれるものであっても、第2の端末20とは別体で、第2の端末20に接続されるものであってもよい。
アプリケーションサーバ(APサーバ)30は、ユーザが第1の端末10を用いてアクセスを要求するアプリケーション(サイト等)を記憶するサーバであり、アプリケーションによるサービスを提供する事業者等が設置する。本発明による認証後に、第1の端末10は、アプリケーションサーバ30に実質的にアクセス可能となる。
認証サーバ40は、認証の実行主体となるサーバであり、本実施形態ではアプリケーションサーバ30にログインを試みる端末がアクセスを許可されたものか否かを判定(認証)し、ひいては不正なアクセスを防止するためのものである。アプリケーションサーバ30は、上述したサービスの事業者等が設置することが多い。アプリケーションサーバ30と認証サーバ40は一体になって提供されてもよい。
認証サーバ40は、認証処理部41と、利用者情報管理部42とを含む。認証処理部41は認証サーバ40による認証処理の主要部分を担う制御部である。利用者情報管理部42は、個々の端末固有のID(例えば端末のMACアドレスの様な物理アドレス)ではなく、認証システム100の利用者、特にアプリケーションサーバ30が提供するアプリケーションを利用するため、アプリケーションサーバ30へのアクセスが予め許可された利用者を特定する情報(アプリケーション利用者情報)を記憶し、管理する。すなわち、利用者情報管理部42は、アプリケーション利用者情報のデータベースとして機能する。本例での利用者情報は、少なくとも電話番号を含む。
SMS受信装置50は、スマートフォン、携帯電話、PHS間でテキストのショートメッセージを送受信するSMSにおいて、主にショートメッセージの受信を担う装置(サーバ)であるが、送信装置と一体にされてもよい。また、SMS受信装置50は、認証サーバ40と一体になって提供されてもよい。尚、第2の端末20がLTE通信システム下で通信を行う端末(スマートフォン、携帯電話等)である場合、ショートメッセージはLTE通信システムを経由して送受信される。
SMS受信装置50は、認証サーバ40の認証処理部41と接続され、認証サーバ40の利用者情報管理部42と同様に、利用者情報の一つである第2の端末20の電話番号が少なくとも登録された記憶装置を有している。ここでの電話番号は、端末そのものを特定する端末固有のIDではなく、むしろ第2の端末の利用者を特定する利用者情報である。
図2は、実施形態の認証システム100が実行するシーケンスを示すシーケンス図である。まず、ユーザがPCの如き第1の端末10を利用して、アプリケーションサーバ30に対し、提供するアプリケーションのサイトにアクセスするため、ログインの要求を試みる(ステップS101)。この要求を受けたアプリケーションサーバ30は、認証サーバ40に対し、このログイン要求を通知して問い合わせる(ステップS102)。認証サーバ40の認証処理部41は、ログインのための第1のトークンを生成し、ログイン要求元の第1の端末10に対し送信する(ステップS103)。ここでのトークンは、認証サーバ40等の装置が生成する、一度の認証処理のみに利用可能なワンタイムパスワードに相当し、認証に必要な情報を意味する。
第1のトークンを受信した第1の端末10は、トークンをQRコード(登録商標)等のような、外部の撮影装置等が読み取り可能な表示形式に変換し、その表示画面に表示する(ステップS104)。ユーザは、スマートフォンの如き第2の端末20の撮影装置を用いて、表示されたQRコード等を読取り、撮影し、第1のトークンを第2の端末20に収納する(ステップS105)。第2の端末20は、撮影した第1のトークンに基づき、実質的に同一の第2のトークンをSMS受信装置50に送信する(ステップS106)。
SMS受信装置は、第2のトークンの送信元である第2の端末の利用者を特定する電話番号を認証サーバ40に送信する(ステップS107)。認証サーバ40の認証処理部41は、第2の端末20から発信され、SMS受信装置50を経由して(ステップS106参照)送信された第2のトークンと、自らが生成し、第1の端末に送信した第1のトークン(ステップS103参照)とが一致するか否かを判定する(ステップS108)。第1のトークンと第2のトークンが一致した場合、認証処理部41は、アプリケーション利用者情報のデータベースである利用者情報管理部42に対し、受信した電話番号を問い合わせて、少なくとも当該電話番号が、利用者情報管理部42へのログインを許可されている番号か否か(または利用者情報管理部42への登録そのもの)を確認する(ステップS109)。
利用者情報管理部42において、問い合わせた電話番号のログイン許可(または利用者情報管理部42における当該電話番号の登録)が確認されたら(ステップS110)、認証処理部41は、アプリケーションサーバ30に対し、第1の端末10からのアクセス要求(ログイン要求)を許可するログイン許可を送信する(ステップS111)。ログイン許可を受信したアプリケーションサーバ30は、ログイン後の画面を表示、すなわち第1の端末10をログイン後の画面にリダイレクトする(ステップS112)。これにより、ユーザは、第1の端末10を用いてアプリケーションサーバ30にアクセス可能となる。
本発明においては、SMS受信装置がトークンを送信する第2の端末の利用者情報である電話番号を管理しており、認証はこの電話番号とアプリケーション利用者情報に基づいて実行される。よって、本発明によれば、端末固有の端末ID、特に第2の端末の固有IDに依存した認証処理を排除することができ、より安全に認証を行うことが可能となる。
本発明においては、認証サーバが第2の端末から送信されるトークンの受信を契機として認証を開始するため、第2の端末に対するプッシュ通知を削除することが可能となり、通信シーケンス、通信コストを削減することが可能となる。
よって、本発明によれば、二つの端末を通じたトークンによる認証により、ユーザ操作の負担を抑制しつつも、より安全性を高め、通信処理の負担を抑制することが可能となる。
尚、本発明は、上述した実施形態に限定されるものではなく、適宜、変形、改良、等が可能である。その他、上述した実施形態における各構成要素の材質、形状、寸法、数値、形態、数、配置箇所、等は本発明を達成できるものであれば任意であり、限定されない。
本発明によれば、平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術が提供され得る。
10 第1の端末
20 第2の端末
30 アプリケーションサーバ(APサーバ)
40 認証サーバ
41 認証処理部
42 利用者情報管理部(アプリケーション利用者情報のデータベース)
50 SMS受信装置
60 認証コアシステム
100 認証システム
20 第2の端末
30 アプリケーションサーバ(APサーバ)
40 認証サーバ
41 認証処理部
42 利用者情報管理部(アプリケーション利用者情報のデータベース)
50 SMS受信装置
60 認証コアシステム
100 認証システム
Claims (4)
- 認証サーバであって、
アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、
第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、
前記第1のトークンと前記第2のトークンが一致するか否かを判定し、
前記第1のトークンと前記第2のトークンが一致する場合に、前記SMS受信装置から前記第2の端末の利用者を特定する電話番号を取得し、
前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、
前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する、
認証サーバ。 - 請求項1に記載の認証サーバと、前記SMS受信装置とを含む認証コアシステム。
- 請求項2に記載の認証コアシステムと、前記第1の端末と、前記第2の端末と、前記アプリケーションサーバと、を含み、
前記第2の端末は、前記第1の端末が表示する前記第1のトークンを撮影可能であって、撮影した前記第1のトークンに基づき、前記第2のトークンを前記SMS受信装置に送信する、認証システム。 - 認証サーバが実施する認証方法であって、
アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、
第2の端末から発信され、SMS受信装置を経由して送信された第2のトークンを受信し、
前記第1のトークンと前記第2のトークンが一致するか否かを判定し、
前記第1のトークンと前記第2のトークンが一致する場合に、前記SMS受信装置から前記第2の端末の利用者を特定する電話番号を取得し、
前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、
前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する、
認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017137095A JP2019020903A (ja) | 2017-07-13 | 2017-07-13 | 認証サーバ、認証コアシステム、認証システム及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017137095A JP2019020903A (ja) | 2017-07-13 | 2017-07-13 | 認証サーバ、認証コアシステム、認証システム及び認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019020903A true JP2019020903A (ja) | 2019-02-07 |
Family
ID=65354306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017137095A Pending JP2019020903A (ja) | 2017-07-13 | 2017-07-13 | 認証サーバ、認証コアシステム、認証システム及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2019020903A (ja) |
-
2017
- 2017-07-13 JP JP2017137095A patent/JP2019020903A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10237732B2 (en) | Mobile device authentication in heterogeneous communication networks scenario | |
| EP3223549B1 (en) | Wireless network access method and access apparatus, client and storage medium | |
| JP4301997B2 (ja) | 携帯電話による情報家電向け認証方法 | |
| EP2779723B1 (en) | Method and related device for accessing access point | |
| US10743180B2 (en) | Method, apparatus, and system for authenticating WIFI network | |
| WO2013135898A1 (en) | Mobile phone takeover protection system and method | |
| DK2924944T3 (en) | Presence authentication | |
| US20180248892A1 (en) | Location-Based Continuous Two-Factor Authentication | |
| CN104811939A (zh) | 移动装置和无线配对方法 | |
| CN108028755B (zh) | 用于认证的方法及装置 | |
| KR20070037541A (ko) | 이동통신 단말기와 그 제어 방법 및 이동통신 서비스 제어방법 | |
| JP6901922B2 (ja) | 認証サーバ、認証コアシステム、認証システム及び認証方法 | |
| KR101294805B1 (ko) | 2-채널 앱인증 방법 및 시스템 | |
| JP5988841B2 (ja) | 通信装置、通信システム、情報処理方法及びプログラム | |
| KR102422719B1 (ko) | 유심 정보를 이용한 사용자 인증 방법 및 이를 수행하는 사용자 인증 장치 | |
| KR101739446B1 (ko) | 사용자 인증 시스템 및 인증 방법 | |
| US9648495B2 (en) | Method and device for transmitting a verification request to an identification module | |
| CN103227991A (zh) | Mtc设备的触发方法、装置及系统 | |
| JP2011192129A (ja) | 携帯電話端末を用いたログイン認証システム | |
| JP2019020903A (ja) | 認証サーバ、認証コアシステム、認証システム及び認証方法 | |
| WO2012041781A1 (en) | Fraud prevention system and method using unstructured supplementary service data (ussd) | |
| EP3840322A1 (en) | Method to facilitate user authenticating in a wireless network | |
| KR101745565B1 (ko) | 다채널 인증 시스템 및 방법 | |
| KR101595099B1 (ko) | 보안코드 서비스 제공 방법 | |
| JP7311200B2 (ja) | 通信システム |