JP2019175197A - 認証装置,認証装置の制御方法およびそのプログラム - Google Patents

認証装置,認証装置の制御方法およびそのプログラム Download PDF

Info

Publication number
JP2019175197A
JP2019175197A JP2018063409A JP2018063409A JP2019175197A JP 2019175197 A JP2019175197 A JP 2019175197A JP 2018063409 A JP2018063409 A JP 2018063409A JP 2018063409 A JP2018063409 A JP 2018063409A JP 2019175197 A JP2019175197 A JP 2019175197A
Authority
JP
Japan
Prior art keywords
user
time
authentication
authentication device
date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018063409A
Other languages
English (en)
Other versions
JP6368062B1 (ja
Inventor
和夫 木鋪
Kazuo Kishiki
和夫 木鋪
秀介 荻原
Shusuke Ogiwara
秀介 荻原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lavague Co Ltd
Original Assignee
Lavague Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lavague Co Ltd filed Critical Lavague Co Ltd
Priority to JP2018063409A priority Critical patent/JP6368062B1/ja
Application granted granted Critical
Publication of JP6368062B1 publication Critical patent/JP6368062B1/ja
Publication of JP2019175197A publication Critical patent/JP2019175197A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】不正アクセスをさらに抑制する。【解決手段】認証装置にはユーザIDに関連付けてそのユーザのアクセスを許す場所を特定するアクセス許可エリアが記憶されている。ログイン要求が行われると,認証装置では,ログイン要求のタイミングから60秒間にわたって,そのユーザのアクセス許可エリアのそれぞれについて,アクセス許可エリア,ユーザの登録端末固有キーおよび日時データのそれぞれを用いて多数のワンタイムパスワードが生成される。ログイン要求するユーザの携帯端末では現在日時,端末固有キーおよび測位される現在位置を用いて一つのワンタイムパスワードが生成される。ユーザの携帯端末で生成されたワンタイムパスワードに一致するものが認証装置で生成された複数のワンタイムパスワードに含まれていると,ログインが許可される。【選択図】図9

Description

この発明は認証装置,認証装置の制御方法およびそのプログラムに関する。
ネットワーク接続されるコンピュータ・システムでは,ユーザIDおよびパスワードを用いてユーザ認証を行うことが多い。ユーザ認証に成功するとたとえばネットワーク内の電子データにアクセスすることができる。しかしながら,ユーザIDおよびパスワードが他人に盗まれると,その他人によってネットワーク内の電子データが不正にアクセスされてしまう。
特許文献1はワンタイムパスワードを用いたユーザ認証を記載する。RADIUSサーバおよびユーザが所持するハードトークンのそれぞれにおいて同じワンタイムパスワードが生成され,ワンタイムパスワードを用いたユーザ認証が行われる。
特開2011−164837号公報
ワンタイムパスワードはユーザ認証が行われるたびに生成される。ワンタイムパスワードを用いることで固定的なパスワードを用いる場合に比べると不正アクセスに対するセキュリティは高められる。しかしながら,認証画面の改ざんやハードトークンの窃盗などが発生すると,やはり不正アクセスが生じる危険がある。
この発明は,不正アクセスを効果的に抑制することを目的とする。
この発明はまた,ユーザの勤務実態を把握できるようにすることを目的とする。
この発明による認証装置は,ユーザごとのアクセス許可エリアを記憶する許可エリア記憶手段,ログイン要求するユーザについて定められるアクセス許可エリア,およびログイン要求のタイミングを基準にした将来の日時を含む複数の日時データのそれぞれを用いて複数の第1のワンタイムパスワードを生成する第1のワンタイムパスワード生成手段,上記ログイン要求するユーザの携帯端末において現在日時および測位される現在位置を用いて生成される第2のワンタイムパスワードを受信する第2のワンタイムパスワード受信手段,ならびに上記第2のワンタイムパスワード受信手段によって受信される第2のワンタイムパスワードに一致する第1のワンタイムパスワードが上記生成された複数の第1のワンタイムパスワードに含まれるかどうかに基づいて,上記ユーザのログイン要求の可否を制御する認証手段を備えている。
第1,第2のワンタイムパスワードの生成に位置情報が用いられることから,第1,第2のワンタイムパスワードは位置情報によって変化する。すなわち,アクセス許可エリア内の場所で生成される,より具体的にはアクセス許可エリア内の場所に存在するユーザの携帯端末を用いて生成される第2のワンタイムパスワードと,アクセス許可エリア外の場所で生成される第2のワンタイムパスワードは異なるものになる。
第1,第2のワンタイムパスワードを用いた認証が成功すると,それは第2のワンタイムパスワードが生成された場所がアクセス許可エリア内であること,すなわちログイン要求(接続要求)するユーザがそのユーザについて定められたアクセス許可エリア内からログイン要求(アクセス)しようとしていることが推認される。他方,第2のワンタイムパスワードがアクセス許可エリア外の場所で生成されると,生成された第2のワンタイムパスワードに一致する第1のワンタイムパスワードは存在せず,ログイン要求するユーザがそのユーザについて定められたアクセス許可エリア外の場所からログイン要求(アクセス)しようとしていることが推認される。この発明によると,アクセス許可エリア外の場所からのログイン要求(アクセス)を効果的に防止することができるので,不正アクセスを防ぐことができる。
さらにこの発明によると,第1,第2のワンタイムパスワードは日時にも依存して生成され,生成日時が異なれば生成される第1,第2のワンタイムパスワードは異なるものとなる。生成される第1,第2のパスワードにいわば有効期限が設定されることになるので,ログインに用いられる第1,第2のワンタイムパスワードをより強固なものとすることができる。
ユーザの携帯端末において生成される第2のワンタイムパスワードは一つである。他方,認証装置において生成される第1のワンタイムパスワードは複数であり,ログイン要求のタイミングを基準にした将来の日時を含む複数の日時データのそれぞれを用いて生成される。認証装置における第1のワンタイムパスワードの生成タイミングと携帯端末における第2のワンタイムパスワードの生成タイミングとにずれがあっても,携帯端末における第2のワンタイムパスワードの生成に用いられる日時と同一の日時を用いて生成される第1のワンタイムパスワードを,認証装置において生成される複数の第1のワンタイムパスワードに含ませることができる。第1のワンタイムパスワードは任意の時間にわたって任意の遅延時間間隔で生成される。たとえば60秒間にわたって1秒ごとの遅延時間を用いて,すなわち将来の時刻(日時データ)を用いて,60個の第1のワンタイムパスワードが生成され,この場合には生成される60個の第1のワンタイムパスワード中に第2のワンタイムパスワードに一致するものが存在するかどうかが認証装置において判断される。
ログイン要求するユーザについて定められるアクセス許可エリアは一エリアであっても複数のエリアであってもよい。複数のアクセス許可エリアが定められている場合には,複数のアクセス許可エリアのそれぞれについて複数の第1のワンタイムパスワードが認証装置において生成される。
好ましくは,上記認証装置は上記ユーザに固有のユーザIDを受信するユーザID受信手段を備え,上記アクセス許可エリア記憶手段に上記ユーザIDに関連付けられて上記アクセス許可エリアが記憶されている。ユーザIDごとに,すなわち複数のユーザのそれぞれについてアクセス許可エリアを設定することができ,ユーザIDによって特定のユーザについてのアクセス許可エリアを特定することができる。ユーザIDに加えてパスワード(固定パスワード)をユーザに要求してもよい。固定パスワードと,第1,第2のワンタイムパスワードとの2つを用いた2要素認証を実行することができる。
一実施態様では,上記許可エリア記憶手段に上記携帯端末を特定する固有キーがさらに記憶されており,上記第1のワンタイムパスワード生成手段が,上記アクセス許可エリア,複数の日時データおよび上記ログイン要求するユーザの携帯端末を特定する上記固有キーを用いて複数の第1のワンタイムパスワードを生成するものであり,上記ログイン要求するユーザの携帯端末において生成される第2のワンタイムパスワードが,現在日時,測位される現在位置および上記ユーザの携帯端末の固有キーを用いて生成されるものである。あらかじめ定められる特定の携帯端末を用いることが求められるので,セキュリティをさらに高めることができる。
上記ユーザの携帯端末における第2のワンタイムパスワードの生成に用いられる現在位置には,基本的にはログイン要求のときに上記携帯端末によって測位される現在位置が用いられる。もっとも,たとえば上記固有キーを認証装置の許可エリア記憶手段に記憶させるときに事前に上記携帯端末によって測位され,かつあらかじめ上記携帯端末の記憶装置に記憶されている位置を,現在位置として第2のワンタイムパスワードの生成に用いてもよい。ログイン要求のときに携帯端末が現在位置を測位することができない事態が発生しても,第2のワンタイムパスワードを生成することができる。
好ましくは,認証装置は,少なくともログイン日時,ログオフ日時および上記測位位置を含むログ情報を記憶するログ情報記憶制御手段を備えている。業務開始および業務終了時にそれぞれログインおよびログオフすることをユーザに求めることで,セキュリティの向上のみならず,ユーザの勤務実態を把握することができ,勤怠管理に上記認証装置を利用することができる。
この発明は,上述した認証装置の制御に適する制御方法,およびこの方法をコンピュータに実行させるためのプログラムも提供する。
業務運用システムの概略的構成を示すブロック図である。 ユーザテーブルを示す。 アクセス許可情報テーブルを示す。 認証ログテーブルを示す。 端末固有キーの登録処理を示すフローチャートである。 業務サーバ・システムの利用開始時のユーザ端末および認証装置の処理を示すフローチャートである。 携帯端末におけるOTPWの生成処理を示すフローチャートである。 認証装置におけるOTPWsの生成処理を示すフローチャートである。 携帯端末おいて生成されるOTPWと認証装置において生成されるOTPWsを示す。 ユーザIDおよびパスワードの入力画面である。 OTPWの入力画面である。 OTPWの表示画面である。
図1は業務運用システムの概略的構成を示すブロック図である。
業務運用システム1は,ネットワーク2によって接続された業務サーバ・システム10とクライアント端末3,4を含む。業務運用システム1には一般に複数のクライアント端末3,4が含まれるが,ここでは1台(1セット)のクライアント端末3,4が示されている。ネットワーク2はインターネット,エクストラネット,イントラネット等を含む。
この実施例において,業務サーバ・システム10は特定の企業(企業群でもよい)において用いられる社内システムを想定しており,異なる機能をそれぞれが有する複数の業務サーバ12A,12B,12C・・・を含む。業務サーバ12A,12B,12C・・・は,具体的にはファイルサーバ,メールサーバ,WEBサーバ,グループウエアサーバ,DNSサーバ等であり,後述する認証装置11による認証を経ることによって,クライアント端末3,4を用いて業務サーバ12A,12B,12C・・・の機能を利用する(ログインする,アクセスする)ことができる。社内の業務サーバに代えてまたは加えて,認証装置11による認証を経ることによって,クライアント端末3,4を用いて社内システム外のクラウド・システム(図示略)の機能を利用できるようにしてもよい。
クライアント端末3,4は,ここではパーソナル・コンピュータ等のユーザ端末3と携帯端末(たとえばスマートフォン)4とを含む。ユーザ端末3はブラウザ(通信プログラム)を備え,以下に詳述するように,ネットワーク2を通じて業務サーバ12A,12B,12C・・・に接続される。ユーザ端末3を業務サーバ12A,12B,12C・・・に接続する前に認証処理が行われ,このときに携帯端末4が用いられる(詳細は後述する)。
業務サーバ・システム10は,上述した複数の業務サーバ12A,12B,12C・・・に加えて認証処理を実行する認証装置11,ならびに認証装置11が備える記憶装置中に作成される認証情報データベース13および認証ログ・データベース14を備えている。業務サーバ12A,12B,12C・・・および認証装置11は,いずれもCPU,メモリ,記憶装置,通信装置等を備えるコンピュータ装置から構成される。認証装置11はまたワンタイムパスワード(OTPW)生成部11aおよび時計(ハードウエアクロック)11bを備え,これらを用いて認証装置11においてワンタイムタイムパスワード(以下,OTPWという)が生成される。OTPW生成部11aはハードウエアでもソフトウエアでもよい。認証装置11におけるOTPW生成処理,認証処理,認証情報データベース13および認証ログ・データベース14の内容の詳細は後述する。
ユーザ端末3および携帯端末4も,CPU(中央演算処理装置),メモリ,通信装置,記憶装置,入力装置,表示装置等を備えるコンピュータ装置である。図1には携帯端末4が備える構成要素4Aが階層的に示されている。携帯端末4は,上述したように,CPU(中央演算処理装置),メモリ,通信装置,記憶装置,入力装置,表示装置等のハードウエアを備えるとともに,その記憶装置に様々なソフトウエアが記憶されている。携帯端末4のハードウエアにも時計(ハードウエアクロック)が含まれている。携帯端末4の記憶装置には,携帯端末4が備える複数のハードウエア間のデータの入出力等を実行するオペレーティングシステム(OS)が記憶され,さらにワンタイムパスワード生成アプリケーション・プログラム(OTPWアプリ),およびGPS(Global Positioning System )アプリケーション・プログラム(GPSアプリ)も記憶されている。これらのプログラムの処理の詳細は後述する。
図2および図3は,認証装置11が備える認証情報データベース13に記憶されているユーザテーブル13Aおよびアクセス許可情報テーブル13Bをそれぞれ示している。
図2を参照して,ユーザテーブル13Aには,業務サーバ・システム10を利用可能なユーザ(たとえば従業員)のそれぞれについて,ユーザ名,ユーザごとに異なるユーザIDおよびパスワードの組が記憶されている。ユーザIDおよびパスワードの組を特にユーザ認証情報と呼ぶ。ユーザ認証情報は業務サーバ・システム10(認証装置11)の管理者によってユーザテーブル13Aに記憶される。もっともユーザが設定(作成)するユーザIDおよびパスワードを,ユーザ名に関連付けてユーザテーブル13Aに記憶してもよい。
図3を参照して,アクセス許可情報テーブル13Bは,ユーザテーブル13Aにも記憶されるユーザIDに加え,ユーザIDに関連付けられて登録端末固有キーおよびアクセス許可エリアが記憶されている。
登録端末固有キーは,ユーザのそれぞれが所持する携帯端末4に固有のキー(ID)である。後述するように,携帯端末4において端末固有キーが生成され,生成された端末固有キーが業務サーバ・システム10に送信されることでアクセス許可情報テーブル13Bに記憶(登録)される。
業務運用システム1は,業務サーバ・システム10(業務サーバ12A,12B,12C・・・)を利用するユーザが業務サーバ・システム10にアクセス可能な場所を制限し,あらかじめ定められた場所からのユーザによるアクセスのみを許可し,それ以外の場所(エリア)からのアクセスは,たとえ正当なユーザであっても拒否する。アクセス許可エリアは,ユーザのそれぞれについて業務サーバ・システム10の管理者によってあらかじめ設定される,ユーザがアクセス可能な場所(アクセスが許されるユーザの所在(地理的場所))を表すデータである。もちろん管理者より許可を得ているユーザについては,ユーザ自身がアクセス許可エリアを設定できるようにしてもよい。アクセス許可エリアにはたとえばメッシュコードが用いられる。メッシュコードは,1次メッシュコードであってもよいし,2次または3次メッシュコードでもよい。1/2地域メッシュ,1/4地域メッシュ,1/8地域メッシュ等でもよい。
アクセス許可エリアは,一人のユーザについて一カ所(一エリア)のみ登録してもよいし,一人のユーザについて複数カ所のアクセス許可エリアを登録してもよい。複数のアクセス許可エリアが登録されているユーザは,複数の場所,たとえば会社と自宅とから業務サーバ・システム10にアクセスすることが許されていることを意味する。図3に示すように,アクセス許可情報テーブル13Bに一人のユーザについて一つのレコードを登録し,そのレコードに2つ,3つ等の複数のアクセス許可エリアを登録してもよいし,一人のユーザについて複数のレコードを登録し,そのそれぞれに互いに異なるアクセス許可エリアを登録してもよい。
図4は認証装置11が備える認証ログ・データベース14に記憶されている認証ログテーブル14Aを示している。
認証ログテーブル14Aには,業務サーバ・システム10にアクセスがあるたびにログが記録される。ユーザID,IPアドレス,ログイン日時,ログオフ日時,アクセス日時,アクセスプレイス(上述したメッシュコード)などが,認証ログテーブル14Aに逐次記憶される。
図5は上述した端末固有キーの登録処理を示すフローチャートである。
端末固有キーの登録処理は,ユーザが業務運用システム1の利用を開始するときに1回行われる。
はじめにユーザは,管理者によってアクセス許可エリアとして登録(指定)されている場所,たとえば会社内や自宅において,自己が所持する携帯端末4を用いてOTPWアプリを起動する(ステップ22)。初回起動されたOTPWアプリは携帯端末4に固有のキーを生成し,生成した固有キーを携帯端末4の記憶装置に記憶する(ステップ23)。固有キーは典型的には重複が生じないアルゴリズムによって生成される。もっとも単純には乱数を固有キーとして用いることができる。たとえば122ビットの乱数であれば230京回に1回既存の乱数と同じ乱数が生成される確率になるが,特に問題ではない。
携帯端末4が備える通信装置に割り当てられているMACアドレス(Media Access Control address)を固有キーとして用いてもよい。この場合には固有キーの生成および記憶(ステップ23)はスキップされる。MACアドレスに代えてSIMカード(Subscriber Identity Module Card)に割り当てられるIMEI(International Mobile Equipment Identifier)やIMSI(International Mobile Subscriber Identity )等を固有キーとして用いてもよい。
携帯端末4から業務サーバ・システム10の認証装置11に端末登録要求が送信される(ステップ24)。端末登録要求を受信した認証装置11は,携帯端末4に位置情報をリクエストする(ステップ31)。
携帯端末4は上述したようにGPSアプリを備え,携帯端末4の現在位置を定期的に測位している。位置情報リクエストを受信した携帯端末4は,GPSアプリによって測位された現在位置に関する情報(たとえば上述したメッシュコード)を認証装置11に送信する(ステップ25)。なお,携帯端末4がGPS測位対応機種でない場合には,携帯端末4の現在位置情報として携帯端末4が接続されている基地局の現在位置情報を認証装置11に送信するようにしてもよい。
携帯端末4の現在位置情報を受信した認証装置11は,受信した現在位置情報が上述したアクセス許可エリア(図3参照)内であるかを判断する(ステップ32)。GPSアプリによって測位される現在位置(携帯端末4を操作しているユーザの現在の所在地)がアクセス許可エリアの外であれば,認証装置11は端末固有キーの登録を拒否し,処理を終了する(ステップ32でNO)。認証装置11は,端末固有キーの登録を拒否する場合,その旨を表すデータを携帯端末4に送信し,携帯端末4においても端末固有キーの登録処理が終了する(ステップ26で拒否)。このとき「アクセス許可エリアから再度登録処理を行ってください。」というメッセージを携帯端末4の表示画面に表示させてもよい。
携帯端末4の現在位置がアクセス許可エリア内であれば(ステップ32でYES ,ステップ26で許可),ユーザに対してユーザIDおよびパスワードの入力が求められる。ユーザは自分のユーザIDおよびパスワードを携帯端末4に入力し,認証装置11に送信する(ステップ27)。
認証装置11では,受信したユーザIDおよびパスワードの組に一致するユーザ認証情報がユーザテーブル13A(図2参照)に記憶されているかどうかを判断することによってユーザ認証処理を行う(ステップ33)。受信したユーザIDおよびパスワードの組がユーザテーブル13Aに記憶されていればユーザ認証は許可され(ステップ33でYES ),その旨が認証装置11から携帯端末4に送信される(ステップ28で許可)。携帯端末4の記憶装置に記憶されている端末固有キーが携帯端末4から認証装置11に送信される(ステップ29)。認証装置11は,受信した端末固有キーをユーザIDに関連付けてアクセス許可情報テーブル13B(図3)に記憶する(ステップ34)。また,携帯端末4は,認証装置11に送信した現在位置情報と同じ位置情報(メッシュコード)を,携帯端末4の記憶装置に記憶する(ステップ30)。これによって業務運用システム1の利用準備が整うことになる。
上述したように,ユーザごとにアクセス許可エリアは異ならせることができる。携帯端末4の現在位置が複数のアクセス許可エリアのうちの一つのエリア内を示すとしても,そのエリアが上記ユーザIDによって特定されるユーザについて許可されているアクセス許可エリア(アクセス許可情報テーブル13Bにあらかじめ登録されているエリア)ではないときには,認証装置11は端末固有キーの登録を拒否することになる。
ユーザIDおよびパスワードの組がユーザテーブル13Aに記憶されていなければ(ユーザIDの入力の誤りまたはパスワードの入力の誤りを含む),ユーザ認証は拒否されて認証装置11および携帯端末4の双方における登録処理が終了する(ステップ33でNO,ステップ28で拒否)。
次に,上述の端末固有キーの登録処理を終えたユーザが業務サーバ・システム10を利用するときの処理を,図6〜図12を参照して説明する。
図6は業務サーバ・システム10を利用するときのユーザ端末3および認証装置11の処理を示すフローチャートである。
ユーザ端末(パーソナル・コンピュータ)3が用いられて業務サーバ・システム10に対する接続要求(ログイン要求)が送信される(ステップ41)。たとえばユーザ端末3においてブラウザが起動され,業務サーバ・システム10(WEBサーバ)のURLが入力される。
接続要求を受信した認証装置11はユーザ端末3に対してユーザIDおよびパスワード(ユーザ認証情報)をリクエストする(ステップ51)。図10はリクエストを受信したユーザ端末3の表示画面3aの一例を示している。表示画面3aを用いて入力されたユーザIDおよびパスワードは,ユーザ端末3から認証装置11に送信される(ステップ42)。
認証装置11においてユーザ認証が行われる。ユーザIDおよびパスワードが正しくなければ(ユーザテーブル13Aに一致したものがない),認証装置11およびユーザ端末3の双方において接続処理は終了する(ステップ52でNO,ステップ43で拒否)。認証装置11は,たとえば未知のユーザ( Unknownユーザ)からアクセスがあった旨を認証ログテーブル14A(図4)に記憶する(ステップ59)。
ユーザ認証が成功すると(ステップ52でYES ,ステップ43で許可),認証装置11はユーザIDを含む認証ログを認証ログテーブル14Aに登録し(ステップ53),ユーザ端末3に対してOTPWをリクエストし(ステップ54),さらにOTPWの生成処理に進む(ステップ55)。
図11はOTPWリクエストを受信したユーザ端末3の表示画面3bの一例を示している。図7は携帯端末4におけるOTPWの生成処理を示している。
認証装置11からOTPWのリクエストを受信したユーザ端末3にはOTPWの作成および入力を促す表示画面3b(図11)が表示される。ユーザは,画面指示にしたがって,携帯端末4にインストールされているOTPWアプリを起動する(図7,ステップ61)。
携帯端末4がGPS(GPSアプリ)から現在位置情報(メッシュコード)を取得できるかどうかが判断される(ステップ62)。GPSアプリから現在位置情報を取得できる場合であれば(ステップ62でYES ),起動されたOTPWアプリは,携帯端末4の記憶装置に記憶されている端末固有キー,GPSアプリによって測位された携帯端末4の現在位置情報(メッシュコード),および時計によって計時されている現在日時(西暦,月,日,時,分および秒)を用いてOTPWを生成する(ステップ63,65)。OTPWの生成には,たとえばTOTP(Time-Based One-Time Password Algorithm)と呼ばれる既知のアルゴリズムを用いることができる。
たとえばユーザが室内に居ること等を要因にして携帯端末4のGPSアプリが現在位置情報を取得できないことがある。この場合(ステップ62でNO)には,携帯端末4の記憶装置にあらかじめ記憶されている位置情報(上述したように,携帯端末4の記憶装置には,固有IDの登録処理のときにあらかじめGPS位置情報が記憶されている(図5,ステップ30))が読み出されて,読み出された位置情報が現在位置情報として用いられてOTPWが生成される(ステップ64,65)。携帯端末4が現在位置情報を取得できない場合であってもOTPWを生成することができる。
生成されたOTPWは携帯端末4の表示画面に表示される(ステップ66)。図12はOTPWが表示されている携帯端末4を示している。
図6に戻って,携帯端末4において生成されたOTPWは表示画面3bを用いてユーザ端末3に入力され,ユーザ端末3から認証装置11に送信される(ステップ44)。
図8は認証装置11におけるOTPWsの生成処理(ステップ55の詳細)を示している。
認証装置11では,上述したユーザ認証(ステップ52)に成功したユーザのユーザIDに関連付けられてアクセス許可情報テーブル13B(図3)に記憶されている登録端末固有キーおよびアクセス許可エリア(メッシュコード)を読み出し(ステップ71),読み出した固有キー,アクセス許可エリアデータおよび時計11bによって計時される日時を用いてOTPWを生成する。ここで,上述した携帯端末4と異なり,認証装置11では複数の日時のそれぞれを用いて複数のOTPWsを生成する処理が行われる(ステップ72〜74)。
はじめにOTPWの生成時間,たとえば60秒が設定される(ステップ72)。固有キー,アクセス許可エリアデータ,および現在日時(n=0)を用いてOTPWが生成される(ステップ73)。さらに設定時間に到達するまで,現在時刻に1秒を加えた時刻を用いて,OTPWの生成が繰り返される(ステップ74,ステップ73,n=1,2...)。設定される生成時間が60秒であれば60個のOTPWsが生成される。
アクセス許可情報テーブル13B(図3)において複数のアクセス許可エリアが記憶されているユーザであれば,アクセス許可エリアごとにもOTPWが生成される。たとえばアクセス許可情報テーブル13Bに2箇所のアクセス許可エリアが記憶されているユーザであれば,60×2=120個のOTPWsが生成される。
図9は,2箇所のアクセス許可エリアがアクセス許可情報テーブル13Bに記憶されているユーザについて,携帯端末4で生成されるOTPWと認証装置11で生成されるOTPWsとを模式的に示している。
上述したように携帯端末4では,携帯端末4の端末固有キー,GPSに基づく現在位置データ(メッシュコード)および現在日時を用いて1個のOTPWが生成される。
他方,認証装置11では,登録されているアクセス許可エリアごとに,それぞれ複数個(たとえば60個)のOTPWを生成する。認証装置11において最初のOTPWの生成に用いる現在日時は,ユーザ端末3にOTPWリクエストを送信したタイミングの日時であってもよいし,ユーザ端末3におけるOTPWの生成や送信に要する時間を考慮して,OTPWリクエストを送信したタイミングの日時から所定時間だけ遅延した日時を現在日時として用いてもよい。いずれにしても,最初のOTPWの生成に用いられる日時は,ユーザ端末3からの接続要求(ログイン要求)(ステップ41)を契機とし,この接続要求のタイミング以降のタイミングとなる。このように認証装置11では将来の日時を含む複数の日時データのそれぞれを用いて複数のOTPWsが生成される。
図6に戻って,認証装置11は,ユーザ端末3から受信したOTPWに一致するOTPWが,生成した複数のOTPWs中に含まれているかどうかを判断する(ステップ56,図9参照)。
携帯端末4から受信したOTPWが認証装置11によって生成された複数のOTPWs中に含まれている場合,ユーザはあらかじめ許可されたアクセス許可エリア内から接続要求していると考えられる。以下ではステップ56の判断を「プレイス認証」と呼ぶ。プレイス認証が成功すると(ステップ56でYES ),認証装置11はユーザがアクセスしている場所(プレイス)(携帯端末4の測位位置)を含む認証ログを認証ログテーブル14Aに登録し(ステップ57),業務サーバ12A,12B,12C・・・に対する接続処理(ログイン処理)を実行する(ステップ58)。ユーザ端末3と業務サーバ12A,12B,12C・・・との通信が開始される(ステップ45で許可,ステップ46)。
ユーザがたとえばアクセス許可エリア外にいる場合,携帯端末4において生成され,ユーザ端末3から認証装置11に送信されるOTPWは,認証装置11において生成される複数のOTPWsのいずれにも一致しない。この場合,プレイス認証は拒否される(ステップ56でNO)。プレイス認証できなかった旨を含む認証ログが認証ログテーブル14Aに登録される(ステップ59)。ユーザ端末3と業務サーバ12A,12B,12C・・・との通信が拒否される(ステップ45で拒否)。
フローチャート上の図示は省略するが,ログイン後にユーザがログオフ(ログアウト)したとき(たとえばブラウザを閉じたとき)にも,認証ログは認証ログテーブル14Aに登録される。
上述したプレイス認証を用いることで,あらかじめ許可されている場所からのアクセスでなければ接続拒否される。このため,ユーザID,パスワードがたとえ他人に知られたとしても,それだけでは業務サーバ12A,12B,12C・・・にアクセスすることはできず,不正アクセスを効果的に防止することができる。
また,近年では,働き方改革によるテレワーク(場所や時間にとらわれない柔軟な働き方)やユーザが営業活動などで社外に滞在しているときにネットワーク内の電子データにアクセスするケースが増加している。認証ログ・データベース14に登録される認証ログにユーザ(従業員)のアクセス場所,ログイン日時,ログオフ日時等が記録されるので,ユーザの勤務実態の把握も行うことができる。
1 業務運用システム
2 ネットワーク
3 ユーザ端末
4 携帯端末
10 業務サーバ・システム
11 認証装置
11a ワンタイムパスワード生成部
11b 時計
12A,12B,12C業務サーバ
13 認証情報データベース
13A ユーザテーブル
13B アクセス許可情報テーブル
14 認証ログ・データベース
14A 認証ログテーブル

Claims (8)

  1. ユーザごとのアクセス許可エリアを記憶する許可エリア記憶手段,
    ログイン要求するユーザについて定められるアクセス許可エリア,およびログイン要求のタイミングを基準にした将来の日時を含む複数の日時データのそれぞれを用いて複数の第1のワンタイムパスワードを生成する第1のワンタイムパスワード生成手段,
    上記ログイン要求するユーザの携帯端末において現在日時および測位される現在位置を用いて生成される第2のワンタイムパスワードを受信する第2のワンタイムパスワード受信手段,ならびに
    上記第2のワンタイムパスワード受信手段によって受信される第2のワンタイムパスワードに一致する第1のワンタイムパスワードが上記生成された複数の第1のワンタイムパスワードに含まれるかどうかに基づいて,上記ユーザのログインの可否を制御する認証手段,
    を備えている認証装置。
  2. 第1のワンタイムパスワード生成手段は,所定の遅延時間間隔ごとに第1のワンタイムパスワードを生成するものである,請求項1に記載の認証装置。
  3. 上記ユーザに固有のユーザIDを受信するユーザID受信手段を備え,
    上記許可エリア記憶手段に,上記ユーザIDに関連付けられて上記アクセス許可エリアが記憶されている,
    請求項1または2に記載の認証装置。
  4. 上記許可エリア記憶手段に上記携帯端末を特定する固有キーがさらに記憶されており,
    上記第1のワンタイムパスワード生成手段が,上記アクセス許可エリア,複数の日時データおよび上記ログイン要求するユーザの携帯端末を特定する上記固有キーを用いて複数の第1のワンタイムパスワードを生成するものであり,
    上記ログイン要求するユーザの携帯端末において生成される第2のワンタイムパスワードが,現在日時,測位される現在位置および上記ユーザの携帯端末の固有キーを用いて生成されるものである,
    請求項1から3のいずれか一項に記載の認証装置。
  5. 上記ユーザの携帯端末における第2のワンタイムパスワードの生成に用いられる現在位置が,ログイン要求のときに上記携帯端末によって測位される位置,または事前に上記携帯端末によって測位され,かつあらかじめ上記携帯端末の記憶装置に記憶されている位置である,
    請求項1から4のいずれか一項に記載の認証装置。
  6. 少なくともログイン日時,ログオフ日時および上記測位位置を含むログ情報を記憶するログ情報記憶制御手段をさらに備えている,
    請求項1から5のいずれか一項に記載の認証装置。
  7. 許可エリア記憶手段にユーザごとのアクセス許可エリアを記憶させておき,
    第1のワンタイムパスワード生成手段が,ログイン要求するユーザについて定められるアクセス許可エリア,およびログイン要求のタイミングを基準にした将来の日時を含む複数の日時データのそれぞれを用いて複数の第1のワンタイムパスワードを生成し,
    第2のワンタイムパスワード受信手段が,上記ログイン要求するユーザの携帯端末において現在日時および測位される現在位置を用いて生成される第2のワンタイムパスワードを受信し,
    認証手段が,上記第2のワンタイムパスワード受信手段によって受信される第2のワンタイムパスワードに一致する第1のワンタイムパスワードが上記生成された複数の第1のワンタイムパスワードに含まれるかどうかに基づいて,上記ユーザのログインの可否を制御する,
    認証装置の制御方法。
  8. コンピュータに,請求項7に記載の認証装置の制御方法を実行させる,
    プログラム。
JP2018063409A 2018-03-29 2018-03-29 認証装置,認証装置の制御方法およびそのプログラム Active JP6368062B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018063409A JP6368062B1 (ja) 2018-03-29 2018-03-29 認証装置,認証装置の制御方法およびそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018063409A JP6368062B1 (ja) 2018-03-29 2018-03-29 認証装置,認証装置の制御方法およびそのプログラム

Publications (2)

Publication Number Publication Date
JP6368062B1 JP6368062B1 (ja) 2018-08-01
JP2019175197A true JP2019175197A (ja) 2019-10-10

Family

ID=63036822

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018063409A Active JP6368062B1 (ja) 2018-03-29 2018-03-29 認証装置,認証装置の制御方法およびそのプログラム

Country Status (1)

Country Link
JP (1) JP6368062B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021186867A1 (ja) * 2020-03-18 2021-09-23

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102291919B1 (ko) * 2019-10-04 2021-08-23 에스지에이 주식회사 복제와 다중 등록의 방지를 위한 위치 인증 및 세션 정보 기반 otp 등록 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005145351A (ja) * 2003-11-18 2005-06-09 Tokai Rika Co Ltd 車両盗難防止装置
JP2008108084A (ja) * 2006-10-26 2008-05-08 Hitachi Systems & Services Ltd ログオン認証システム
JP2008234096A (ja) * 2007-03-19 2008-10-02 Dainippon Printing Co Ltd Icカードを用いて時刻同期方式のワンタイムパスワードを生成する方法、ワンタイムパスワードの認証方法、icカードシステム、インターフェースデバイスおよびicカード
JP2014072843A (ja) * 2012-10-01 2014-04-21 Sakura Information Systems Co Ltd ワンタイムパスワード装置、システム及びプログラム
JPWO2015092860A1 (ja) * 2013-12-16 2017-03-16 楽天株式会社 訪問管理システム、プログラム、及び訪問管理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6268516B2 (ja) * 2013-11-13 2018-01-31 パナソニックIpマネジメント株式会社 作物育成システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005145351A (ja) * 2003-11-18 2005-06-09 Tokai Rika Co Ltd 車両盗難防止装置
JP2008108084A (ja) * 2006-10-26 2008-05-08 Hitachi Systems & Services Ltd ログオン認証システム
JP2008234096A (ja) * 2007-03-19 2008-10-02 Dainippon Printing Co Ltd Icカードを用いて時刻同期方式のワンタイムパスワードを生成する方法、ワンタイムパスワードの認証方法、icカードシステム、インターフェースデバイスおよびicカード
JP2014072843A (ja) * 2012-10-01 2014-04-21 Sakura Information Systems Co Ltd ワンタイムパスワード装置、システム及びプログラム
JPWO2015092860A1 (ja) * 2013-12-16 2017-03-16 楽天株式会社 訪問管理システム、プログラム、及び訪問管理方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021186867A1 (ja) * 2020-03-18 2021-09-23
WO2021186867A1 (ja) * 2020-03-18 2021-09-23 日立Astemo株式会社 照合装置
JP7344369B2 (ja) 2020-03-18 2023-09-13 日立Astemo株式会社 照合装置

Also Published As

Publication number Publication date
JP6368062B1 (ja) 2018-08-01

Similar Documents

Publication Publication Date Title
US9450939B2 (en) Method and apparatus for service login based on third party's information
US8213583B2 (en) Secure access to restricted resource
JP6054457B2 (ja) 制御された情報開示によるプライベート解析
US20130227661A1 (en) Systems and methods for generating and authenticating one time dynamic password based on context information
US9699656B2 (en) Systems and methods of authenticating and controlling access over customer data
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
CN108259502A (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
US20170279798A1 (en) Multi-factor authentication system and method
JP2007264835A (ja) 認証方法およびシステム
US20140053251A1 (en) User account recovery
US20230388304A1 (en) Decentralized application authentication
CN104159225A (zh) 一种基于无线网络的实名制管理方法及系统
EP3937040B1 (en) Systems and methods for securing login access
CN107872440B (zh) 身份鉴权方法、装置和系统
JP2011215753A (ja) 認証システムおよび認証方法
JP6368062B1 (ja) 認証装置,認証装置の制御方法およびそのプログラム
JP2002007345A (ja) ユーザ認証方法
US20180227298A1 (en) Selectively permitting a receiver device to access a message based on authenticating the receiver device
CN109460647B (zh) 一种多设备安全登录的方法
JP6279643B2 (ja) ログイン管理システム、ログイン管理方法及びログイン管理プログラム
KR20190011595A (ko) 공유계정 인증방법 및 그 장치
JP2002318785A (ja) 認証装置および認証方法
CN111814130A (zh) 单点登录方法及系统
JP2019075140A (ja) 認証サーバ、認証システム及びプログラム
US11416586B2 (en) Secure communication application registration process

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180329

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180329

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180705

R150 Certificate of patent or registration of utility model

Ref document number: 6368062

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250