JP2021170695A - Information processing system, information processing device, and information processing method - Google Patents
Information processing system, information processing device, and information processing method Download PDFInfo
- Publication number
- JP2021170695A JP2021170695A JP2020072078A JP2020072078A JP2021170695A JP 2021170695 A JP2021170695 A JP 2021170695A JP 2020072078 A JP2020072078 A JP 2020072078A JP 2020072078 A JP2020072078 A JP 2020072078A JP 2021170695 A JP2021170695 A JP 2021170695A
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication
- transmission path
- check
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、情報処理システム、情報処理装置、及び情報処理方法に関する。 The present invention relates to an information processing system, an information processing device, and an information processing method.
ユーザID及びパスワードなどによる認証を行った後に、別の伝送経路により認証先から取得したワンタイムパスワードなどによる認証を行う二段階認証による認証技術が知られている(例えば、特許文献1を参照)。このような認証技術では、ユーザID及びパスワードなどが漏洩した場合でも、ワンタイムパスワードなどを利用する二段階の認証を行うことで認証先への不正なアクセスを防止することが可能である。 There is known a two-step verification authentication technique in which authentication is performed using a user ID and password, and then authentication is performed using a one-time password obtained from an authentication destination via another transmission path (see, for example, Patent Document 1). .. With such an authentication technology, even if a user ID and password are leaked, it is possible to prevent unauthorized access to the authentication destination by performing two-step authentication using a one-time password or the like.
ところで、近年、DNS(Domain Name System)サーバやDNSキャッシュサーバが乗っ取られて、正規サイトのIPアドレスを、偽装サイトのIPアドレスに書き換えて、偽装サイトに誘導するマン・イン・ザ・ミドル攻撃(中間者攻撃)が知られている。しかしながら、上述した従来技術では、このようなマン・イン・ザ・ミドル攻撃を防止することが困難であった。 By the way, in recent years, DNS (Domain Name System) servers and DNS cache servers have been hijacked, and the IP address of the legitimate site is rewritten to the IP address of the spoofed site, leading to a man-in-the-middle attack ( Man-in-the-middle attack) is known. However, it has been difficult to prevent such a man-in-the-middle attack with the above-mentioned prior art.
本発明は、上記問題を解決すべくなされたもので、その目的は、マン・イン・ザ・ミドル攻撃による不正なアクセスを低減することができる情報処理システム、情報処理装置、及び情報処理方法を提供することにある。 The present invention has been made to solve the above problems, and an object of the present invention is to provide an information processing system, an information processing device, and an information processing method capable of reducing unauthorized access due to a man-in-the-middle attack. To provide.
上記問題を解決するために、本発明の一態様は、情報処理装置と、ユーザにサービスを提供するサーバ装置とを備え、前記情報処理装置は、予め定められた第1認証情報を、前記対象サーバ装置宛に送信する第1認証処理部と、前記サーバ装置が受信した、少なくとも前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により取得する取得処理部と、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するチェック情報生成部と、前記取得処理部が取得した前記第1チェック情報と、前記チェック情報生成部が生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定する第2認証処理部とを備える情報処理システムである。 In order to solve the above problem, one aspect of the present invention includes an information processing device and a server device that provides a service to a user, and the information processing device receives a predetermined first authentication information. The first authentication processing unit to be transmitted to the server device, at least the transmission time of the first authentication information received by the server device, the source information indicating the source of the first authentication information, and the transmission path identification information. Based on any of these, the first check information generated by a predetermined generation process and the second authentication information generated by the server device, which is different from the first authentication information, are transmitted to the first authentication information. The predetermined generation based on an acquisition processing unit acquired by a second transmission path different from the first transmission path, and at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. When the check information generation unit that generates the second check information by the processing, the first check information acquired by the acquisition processing unit, and the second check information generated by the check information generation unit match. The second authentication information is transmitted to the server device by the first transmission path, and when the first check information and the second check information do not match, it is determined that there is an abnormality in the first transmission path. It is an information processing system including a second authentication processing unit.
また、本発明の一態様は、上記の情報処理システムにおいて、前記第2認証処理部は、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第2認証情報の送信を中止し、前記第1伝送経路に異常があることを示す警告を出力するようにしてもよい。 Further, in one aspect of the present invention, in the above information processing system, the second authentication processing unit transmits the second authentication information when the first check information and the second check information do not match. May be stopped and a warning indicating that there is an abnormality in the first transmission path may be output.
また、本発明の一態様は、上記の情報処理システムにおいて、前記サーバ装置は、前記情報処理装置から前記サーバ装置宛に送信された前記第1認証情報の正当性が確認された場合に、前記第1チェック情報と、前記第2認証情報とを前記第2伝送経路により送信し、前記第2伝送経路により送信した前記第2認証情報を、前記情報処理装置から前記第1伝送経路により受信した場合に、前記情報処理装置が正当であると判定するようにしてもよい。 Further, one aspect of the present invention is that in the above information processing system, the server device is said to be said when the validity of the first authentication information transmitted from the information processing device to the server device is confirmed. The first check information and the second authentication information are transmitted by the second transmission path, and the second authentication information transmitted by the second transmission path is received from the information processing apparatus by the first transmission path. In some cases, the information processing apparatus may be determined to be legitimate.
また、本発明の一態様は、上記の情報処理システムにおいて、前記所定の生成処理は、一方向関数を用いた生成処理であり、前記サーバ装置は、少なくとも受信した前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記一方向関数を用いて、前記第1チェック情報を生成し、前記チェック情報生成部は、前記情報処理装置が保持する、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記一方向関数を用いて、前記第2チェック情報を生成するようにしてもよい。 Further, one aspect of the present invention is that in the above information processing system, the predetermined generation process is a generation process using a one-way function, and the server device has at least the transmission time of the first authentication information received. The first check information is generated from the information including any of the source information and the transmission path identification information by using the one-way function, and the check information generation unit is held by the information processing apparatus. The second check information is generated by using the one-way function from the information including at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. May be good.
また、本発明の一態様は、上記の情報処理システムにおいて、前記所定の生成処理は、暗号処理を用いた生成処理であり、前記サーバ装置は、少なくとも受信した前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記暗号処理を用いて、前記第1チェック情報を生成し、前記チェック情報生成部は、前記情報処理装置が保持する、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記暗号処理を用いて、前記第2チェック情報を生成するにしてもよい。 Further, one aspect of the present invention is that in the above information processing system, the predetermined generation process is a generation process using a cryptographic process, and the server device has at least the transmission time of the first authentication information received. The first check information is generated from the information including either the source information or the transmission path identification information by using the encryption process, and the check information generation unit is held by the information processing apparatus. The second check information may be generated by using the encryption process from information including at least one of the transmission time of the first authentication information, the transmission source information, and the transmission path identification information.
また、本発明の一態様は、上記の情報処理システムにおいて、前記サーバ装置は、前記第1認証情報に応じて、前記サーバ装置が提供する対象ウェブサイトの表示情報を変更し、少なくとも受信した前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかと、前記表示情報とを含む情報に基づいて、前記第1チェック情報を生成し、前記チェック情報生成部は、少なくとも第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかと、前記表示情報とを含む情報に基づいて、前記第2チェック情報を生成するようにしてもよい。 Further, in one aspect of the present invention, in the above-mentioned information processing system, the server device changes the display information of the target website provided by the server device according to the first authentication information, and at least receives the above-mentioned information. The first check information is generated based on the information including the transmission time of the first authentication information, the source information, the transmission path identification information, and the display information, and the check information generation unit generates the first check information. The second check information may be generated based on information including at least one of the transmission time of the first authentication information, the source information, the transmission path identification information, and the display information.
また、本発明の一態様は、上記の情報処理システムにおいて、前記サーバ装置は、前記第1チェック情報と、前記第2認証情報と、前記第2認証情報とは異なる第3認証情報とを、前記第2伝送経路により前記情報処理装置に送信し、前記第2認証処理部は、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第3認証情報を前記第1伝送経路により前記サーバ装置宛に送信するようにしてもよい。 Further, in one aspect of the present invention, in the above information processing system, the server device provides the first check information, the second authentication information, and the third authentication information different from the second authentication information. When the first check information and the second check information do not match, the second authentication processing unit transmits the third authentication information to the information processing apparatus by the second transmission path. It may be transmitted to the server device by the transmission path.
また、本発明の一態様は、上記の情報処理システムにおいて、前記サーバ装置は、前記情報処理装置から前記第2認証情報を受信した場合に、前記第1伝送経路が正常であり、且つ、前記情報処理装置が正当であると判定し、前記情報処理装置から前記第3認証情報を受信した場合に、前記第1伝送経路に異常があると判定するようにしてもよい。 Further, in one aspect of the present invention, in the above information processing system, when the server device receives the second authentication information from the information processing device, the first transmission path is normal and the first transmission path is described. When it is determined that the information processing apparatus is legitimate and the third authentication information is received from the information processing apparatus, it may be determined that there is an abnormality in the first transmission path.
また、本発明の一態様は、予め定められた第1認証情報を、ユーザにサービスを提供するサーバ装置宛に送信する第1認証処理部と、前記サーバ装置が受信した、少なくとも前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により取得する取得処理部と、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するチェック情報生成部と、前記取得処理部が取得した前記第1チェック情報と、前記チェック情報生成部が生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定する第2認証処理部とを備える情報処理装置である。 Further, one aspect of the present invention includes a first authentication processing unit that transmits predetermined first authentication information to a server device that provides a service to a user, and at least the first authentication received by the server device. The first check information generated by a predetermined generation process and the server device generate it based on any of the information transmission time, the source information indicating the source of the first authentication information, and the transmission path identification information. The acquisition processing unit that acquires the second authentication information different from the first authentication information by the second transmission path different from the first transmission path that transmitted the first authentication information, and at least the first authentication information. A check information generation unit that generates second check information by the predetermined generation processing based on any of the transmission time, the transmission source information, and the transmission path identification information, and the first acquisition processing unit acquired by the acquisition processing unit. When the 1 check information and the 2nd check information generated by the check information generation unit match, the 2nd authentication information is transmitted to the server device by the 1st transmission path, and the 1st check information is transmitted. The information processing device includes the second authentication processing unit that determines that there is an abnormality in the first transmission path when the second check information does not match.
また、本発明の一態様は、情報処理装置と、ユーザにサービスを提供するサーバ装置とを備える情報処理システムの情報処理方法であって、前記情報処理装置が、予め定められた第1認証情報を、前記サーバ装置宛に送信するステップと、前記サーバ装置が、少なくとも受信した前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により送信するステップと、前記情報処理装置が、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するステップと、前記情報処理装置が、前記第2伝送経路により受信した前記第1チェック情報と、生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記対象サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定するステップとを含む情報処理方法である。 Further, one aspect of the present invention is an information processing method of an information processing system including an information processing device and a server device that provides a service to a user, and the information processing device provides a predetermined first authentication information. The step of transmitting the information to the server device, at least the transmission time of the first authentication information received by the server device, the source information indicating the source of the first authentication information, and the transmission path identification information. Based on the above, the first check information generated by the predetermined generation process and the second authentication information different from the first authentication information generated by the server device are transmitted to the first authentication information. The step of transmitting by a second transmission path different from the transmission path, and the information processing apparatus, based on at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. When the step of generating the second check information by the predetermined generation process and the first check information received by the information processing apparatus by the second transmission path and the generated second check information match. When the second authentication information is transmitted to the target server device by the first transmission path and the first check information and the second check information do not match, there is an abnormality in the first transmission path. It is an information processing method including a step of determining.
本発明の上記態様によれば、マン・イン・ザ・ミドル攻撃(中間者攻撃)による不正なアクセスを低減することができる。 According to the above aspect of the present invention, unauthorized access due to a man-in-the-middle attack (man-in-the-middle attack) can be reduced.
以下、本発明の一実施形態による情報処理システム、情報処理装置、及び情報処理方法について、図面を参照して説明する。 Hereinafter, an information processing system, an information processing apparatus, and an information processing method according to an embodiment of the present invention will be described with reference to the drawings.
[第1の実施形態]
図1は、第1の実施形態による情報処理システム1の一例を示すブロック図である。
図1に示すように、情報処理システム1は、情報処理装置10と、サーバ装置20とを備える。また、情報処理装置10と、サーバ装置20とは、ネットワークNW1を介して、接続可能である。なお、本実施形態では、情報処理システム1及び情報処理装置10を使用するユーザをユーザU1として説明する。
[First Embodiment]
FIG. 1 is a block diagram showing an example of the information processing system 1 according to the first embodiment.
As shown in FIG. 1, the information processing system 1 includes an
サーバ装置20は、例えば、ウェブサイトを実現するウェブサーバであり、例えば、ネットワークNW1を介して接続された情報処理装置10(ユーザU1)の正当性を判定する認証処理を実行する。サーバ装置20は、NW(ネットワーク)通信部21と、サーバ記憶部22と、サーバ制御部23とを備える。
The
NW通信部21は、ネットワークNW1に接続し、ネットワークNW1を介して、各種通信を行う。NW通信部21は、例えば、情報処理装置10からのユーザID及びパスワードやOTP(One Time Password)の受信や、電子メールやSMS(Short Message Service)によるOTP及びチェック情報のユーザU1(情報処理装置10)への送信などに利用される。
The
サーバ記憶部22は、サーバ装置20が利用する各種情報を記憶する。サーバ記憶部22は、例えば、ユーザ情報記憶部221と、OTP記憶部222とを備える。
The
ユーザ情報記憶部221は、サーバ装置20に登録されているユーザU1に関する情報であるユーザ情報を記憶する。ここで、ユーザ情報には、例えば、ユーザU1を識別する識別情報であるユーザIDやパスワードなどが含まれる。ここで、図2を参照して、ユーザ情報記憶部221のデータ例について説明する。
The user
図2は、本実施形態におけるユーザ情報記憶部221のデータ例を示す図である。
図2に示すように、ユーザ情報記憶部221は、ユーザIDと、パスワードと、メールアドレスと、携帯電話番号とを対応付けて記憶する。
ここで、ユーザID及びパスワードは、予め登録されており、ユーザU1のパスワード認証の際に利用される。なお、ユーザID及びパスワードは、二段階認証の1段階目の認証に使用される第1認証情報の一例である。
FIG. 2 is a diagram showing a data example of the user
As shown in FIG. 2, the user
Here, the user ID and password are registered in advance and are used for password authentication of the user U1. The user ID and password are examples of the first authentication information used for the first stage authentication of the two-step authentication.
また、メールアドレスは、ユーザU1の電子メールアドレスであり、携帯電話番号は、ユーザU1が保有する携帯電話の携帯電話番号である。電子メールアドレスは、二段階認証の2段階目の認証において、チェック情報及びOTPを送付する際のユーザ宛先情報として使用される。 The e-mail address is the e-mail address of the user U1, and the mobile phone number is the mobile phone number of the mobile phone owned by the user U1. The e-mail address is used as the check information and the user destination information when sending the OTP in the second step of the two-step verification.
例えば、図2に示す例では、ユーザIDが“U0001”であるユーザU1のパスワードが“12345678”であり、メールアドレスが“abcd@efgh.com”であることを示している。また、このユーザU1の携帯電話番号が“080−XXX−XXXX”であることを示している。 For example, in the example shown in FIG. 2, the password of the user U1 whose user ID is "U0001" is "123456878", and the e-mail address is "abcd@efgh.com". It also indicates that the mobile phone number of this user U1 is "080-XXX-XXXXX".
図1の説明に戻り、OTP記憶部222は、後述するOTP生成部234が生成したOTPを記憶する。ここで、図3を参照して、OTP記憶部222のデータ例について説明する。
Returning to the description of FIG. 1, the
図3は、本実施形態におけるOTP記憶部222のデータ例を示す図である。
図3に示すように、OTP記憶部222は、ユーザIDと、OTPとを対応付けて記憶する。なお、OTPは、二段階認証の2段階目の認証に使用される第2認証情報の一例である。
例えば、図3に示す例では、ユーザIDが“U0001”に対応するOTPが“XXXXXXXX”であることを示している。
FIG. 3 is a diagram showing a data example of the
As shown in FIG. 3, the
For example, in the example shown in FIG. 3, it is shown that the OTP corresponding to the user ID “U0001” is “XXXXXXXXX”.
再び、図1の説明に戻り、サーバ制御部23は、例えば、CPU(Central Processing Unit)などを含むプロセッサであり、サーバ装置20を統括的に制御する。サーバ制御部23は、情報処理装置10に対して、各種取引処理、及びサービスを提供するウェブサイトを実現するとともに、ユーザU1(情報処理装置10)の認証処理を実行する。サーバ制御部23は、例えば、ウェブ処理部231と、認証処理部232と、チェック情報生成部233と、OTP生成部234とを備える。
Returning to the description of FIG. 1, the
ウェブ処理部231は、URL(Uniform Resource Locator)に基づいて接続された情報処理装置10に対して、ウェブサービスを提供する処理を実行する。
認証処理部232は、ユーザU1が所有する情報処理装置10に対する認証処理を実行する。認証処理部232は、例えば、ユーザID及びパスワードによる認証処理と、OTPによる認証処理とによる二段階認証の処理を実行する。
The
The
認証処理部232は、ユーザID及びパスワードによる認証処理を実行する場合に、NW通信部21を介して取得したユーザID及びパスワードの組と、ユーザ情報記憶部221が記憶しているユーザID及びパスワードの組とが一致するか否かを判定する。なお、認証処理部232は、ネットワークNW1を介した伝送経路RT1(第1伝送経路)により、ユーザID及びパスワードの組を取得する。認証処理部232は、取得したユーザID及びパスワードの組と、記憶しているユーザID及びパスワードの組とが一致しない場合に、ユーザU1及び情報処理装置10が正当でない不正アクセスであると判定する。
When the
また、認証処理部232は、取得したユーザID及びパスワードの組と、記憶しているユーザID及びパスワードの組とが一致した場合に、OTPによる認証処理を実行する。認証処理部232は、OTPによる認証処理において、まず、後述するOTP生成部234が生成したOTPを取得し、当該OTPと、ユーザIDとを対応付けて、OTP記憶部222に記憶させる。また、認証処理部232は、後述するチェック情報生成部233が生成したチェック情報を取得し、当該チェック情報とOTPとを、上述した伝送経路RT1(第1伝送経路)とは異なる伝送経路RT2(第2伝送経路)によりユーザU1が所有する情報処理装置10に送信する。
Further, the
認証処理部232は、例えば、ユーザID及びパスワードによる認証処理を実行したユーザIDに対応するユーザ宛先情報(メールアドレス、又は携帯電話番号)をユーザ情報記憶部221から取得し、当該ユーザ宛先情報に基づく伝送経路RT2(第2伝送経路)によりユーザU1が所有する情報処理装置10に、チェック情報及びOTPを送信する。具体的には、認証処理部232は、例えば、ユーザU1のメールアドレス宛に、チェック情報及びOTPを含む電子メールを送信する。また、認証処理部232は、例えば、ユーザU1の携帯電話番号宛に、チェック情報及びOTPを含むSMSを送信してもよい。
The
チェック情報及びOTPを伝送経路RT2により送信した後に、認証処理部232は、上述した伝送経路RT1によりNW通信部21を介して情報処理装置10からOTPを取得し、取得した当該OTPと、OTP記憶部222が記憶するOTPとが一致するか否かを判定する。認証処理部232は、取得した当該OTPと、OTP記憶部222が記憶するOTPとが一致する場合に、ユーザU1及び情報処理装置10が正当である(正当なアクセスである)と判定する。また、認証処理部232は、取得した当該OTPと、OTP記憶部222が記憶するOTPとが一致しない場合に、ユーザU1及び情報処理装置10が正当でない不正アクセスであると判定する。
After transmitting the check information and the OTP via the transmission path RT2, the
チェック情報生成部233は、ユーザID及びパスワードの送信時刻と、ユーザID及びパスワードの送信元を示す送信元情報と、セッションIDとの少なくともいずれか1つに基づいて、所定の生成処理により、伝送経路RT1の異常を検出するためのチェック情報を生成する。ここで、送信時刻及び送信元情報は、ユーザID及びパスワードを受信する際のパケットに含まれる送信時刻(タイムスタンプ)及び送信元IPアドレスなどである。また、セッションIDは、情報処理装置10とサーバ装置20との間の状態を含む一意性を保証する識別情報であり、送信路の一意性を保証する送信路識別情報の一例である。
The check
所定の生成処理は、例えば、ハッシュ関数(一方向関数)を用いた生成処理であり、チェック情報生成部233は、例えば、送信時刻及び送信元情報をまとめた情報をハッシュ関数により変換して、チェック情報を生成する。チェック情報生成部233は、生成したチェック情報を認証処理部232に供給する。
The predetermined generation process is, for example, a generation process using a hash function (one-way function), and the check
なお、本実施形態によいて、サーバ装置20が生成したチェック情報を第1チェック情報とし、後述する情報処理装置10が生成したチェック情報を第2チェック情報とする。
また、チェック情報の生成方法である所定の処理は、情報処理装置10とサーバ装置20との間で共有されているものとする。
According to the present embodiment, the check information generated by the
Further, it is assumed that the predetermined process, which is the method of generating the check information, is shared between the
OTP生成部234は、例えば、乱数値などに基づいて、毎回異なるOTPを生成する。OTP生成部234は、生成したOTPを認証処理部232に供給する。
The
情報処理装置10は、ユーザU1が所有する装置であり、例えば、PC(Personal Computer)、タブレット端末装置、スマートフォンなどである。情報処理装置10は、例えば、サーバ装置20が提供するウェブサービスを利用する際に、認証処理を実行する。情報処理装置10は、NW通信部11と、入力部12と、表示部13と、記憶部14と、制御部15とを備える。なお、本実施形態では、サーバ装置20がユーザU1に提供するサービスをウェブサイトとし、サーバ装置20が提供するウェブサイトを認証処理の対象のウェブサイトである対象ウェブサイトとする。
The
NW通信部11は、無線LAN(Local Area Network)通信、有線LAN通信、4G(第4世代移動通信システム)などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部11は、例えば、ネットワークNW1を介して、サーバ装置20に接続し、サーバ装置20との間で、各種通信を行う。
The
NW通信部11は、例えば、伝送経路RT1により、サーバ装置20と接続し、ユーザID、パスワード、及びOTPなどをサーバ装置20に送信する。また、NW通信部11は、例えば、伝送経路RT2により、サーバ装置20が生成したOTP及びチェック情報や、サーバ装置20によって実現されるウェブサイトから提供される各種情報を受信する。
The
入力部12は、例えば、キーボードやタッチパネルなどの入力装置であり、ユーザU1による操作によりユーザU1による各種入力情報を受け付ける。入力部12は、例えば、ユーザID、パスワード、OTPなどの入力を受け付ける。入力部12は、受け付けた各種入力情報を制御部15に出力する。
The
表示部13(出力部の一例)は、例えば、液晶ディスプレイ装置などであり、各種情報を表示する。表示部13は、例えば、サーバ装置20によって実現されるウェブサイトの種情報や、伝送経路RT1に異常があることを検知した場合の警告などを表示する。
The display unit 13 (an example of an output unit) is, for example, a liquid crystal display device or the like, and displays various information. The
記憶部14は、情報処理装置10が利用する各種情報を記憶する。記憶部14は、例えば、サーバ装置20にユーザID及びパスワードを送信する際に付与された、送信時刻、送信元情報、及びセッションIDを記憶する。
The
制御部15は、例えば、CPUなどを含むプロセッサであり、情報処理装置10を統括的に制御する。制御部15は、例えば、サーバ装置20の対象ウェブサイトの閲覧及び各種処理を実行するとともに、対象ウェブサイトに対するユーザU1(ユーザU1が所有する情報処理装置10)の認証処理を実行する。制御部15は、例えば、パスワード認証部151と、取得処理部152と、チェック情報生成部153と、OTP認証部154とを備える。
The
パスワード認証部151(第1認証処理部の一例)は、二段階認証のうちのユーザID及びパスワード(第1認証情報)による1段階目の認証処理を実行する。パスワード認証部151は、予め定められたユーザID及びパスワードを第1認証情報として、対象ウェブサイト宛(サーバ装置20のウェブサイト宛)に送信する。パスワード認証部151は、例えば、入力部12がユーザU1から受け付けたユーザID及びパスワードを、NW通信部11を介して、サーバ装置20のウェブサイト宛に送信する。
The password authentication unit 151 (an example of the first authentication processing unit) executes the first-stage authentication process using the user ID and password (first authentication information) of the two-step authentication. The
また、パスワード認証部151は、ユーザID及びパスワードを送信した際の送信時刻、送信元情報(例えば、送信元IPアドレス)、及びセッションIDを記憶部14に記憶させる。
Further, the
取得処理部152は、対象ウェブサイトが受信したチェック情報(第1チェック情報)と、OTP(第2認証情報)とを伝送経路RT2(第2伝送経路)により取得する。取得処理部152は、例えば、NW通信部11を介してチェック情報及びOTPを取得する。
The
なお、伝送経路RT2は、例えば、電子メールのメールサーバや、SMSのメールサーバを経由した経路である。また、伝送経路RT2は、ユーザU1の入力部12の操作による受け付ける経路を含んでもよい。すなわち、取得処理部152は、例えば、電子メール又はSMSのメッセージに含まれるチェック情報及びOTPを自動的に取得するようにしてもよいし、ユーザU1が電子メール又はSMSのメッセージを見て、入力部12の操作により受け付けたものを取得するようにしてもよい。
また、以下の説明において、伝送経路RT2により取得(受信)したチェック情報(第1チェック情報)を受信チェック情報とする。
The transmission path RT2 is, for example, a route that has passed through an e-mail mail server or an SMS mail server. Further, the transmission path RT2 may include a path accepted by the operation of the
Further, in the following description, the check information (first check information) acquired (received) by the transmission path RT2 is used as the reception check information.
チェック情報生成部153は、記憶部14が記憶する送信時刻、送信元情報、及びセッションIDの少なくともいずれか1つに基づいて、所定の生成処理により、チェック情報(第2チェック情報)を生成する。チェック情報生成部153は、サーバ装置20と同一の生成方法により、チェック情報を生成する。チェック情報生成部153は、例えば、送信時刻及び送信元情報をまとめた情報をハッシュ関数により変換して、チェック情報を生成する。チェック情報生成部153は、生成したチェック情報をOTP認証部154に供給する。なお、以下の説明において、チェック情報生成部153が生成したチェック情報(第2チェック情報)を生成チェック情報とする。
The check
OTP認証部154(第2認証処理部の一例)は、二段階認証のうちのOTP(第2認証情報)による2段階目の認証処理を実行する。OTP認証部154は、取得処理部152が取得した受信チェック情報と、チェック情報生成部153が生成した生成チェック情報とが一致する場合に、取得処理部152が取得したOTPを伝送経路RT1により対象ウェブサイト宛に送信する。
The OTP authentication unit 154 (an example of the second authentication processing unit) executes the second-stage authentication process by the OTP (second authentication information) of the two-stage authentication. When the reception check information acquired by the
また、OTP認証部154は、受信チェック情報と、生成チェック情報とが一致しない場合に、OTPの送信を中止し、伝送経路RT1に異常があることを示す警告を出力する。OTP認証部154は、例えば、伝送経路RT1に異常があることを示す警告メッセージを表示部13に表示させる。
Further, when the reception check information and the generation check information do not match, the
次に、図面を参照して、本実施形態による情報処理システム1の動作について説明する。
図4は、本実施形態におけるサーバ装置20の認証処理の一例を示すフローチャートである。
Next, the operation of the information processing system 1 according to the present embodiment will be described with reference to the drawings.
FIG. 4 is a flowchart showing an example of the authentication process of the
図4に示すように、サーバ装置20は、認証処理の際に、まず、ユーザID及びパスワードを取得する(ステップS101)。サーバ装置20の認証処理部232は、例えば、NW通信部21を介して、伝送経路RT1により、情報処理装置10から受信したユーザID及びパスワードを取得する。
As shown in FIG. 4, the
次に、認証処理部232は、ユーザID及びパスワードが登録されているユーザID及びパスワードと一致するか否かを判定する(ステップS102)。すなわち、認証処理部232は、取得したユーザID及びパスワードの組が、ユーザ情報記憶部221が記憶するユーザID及びパスワードの組と一致するか否かを判定する。認証処理部232は、ユーザID及びパスワードが一致する場合(ステップS102:YES)に、処理をステップS103に進める。また、認証処理部232は、ユーザID及びパスワードが一致しない場合(ステップS102:NO)に、処理をステップS109に進める。
Next, the
ステップS103において、サーバ装置20は、送信時刻及び送信元情報に基づいて、チェック情報を生成する。サーバ装置20のチェック情報生成部233は、例えば、ユーザID及びパスワードを含むパケットに含まれる送信時刻及び送信元情報を取得し、当該送信時刻及び送信元情報をまとめた情報を、ハッシュ関数により変換して、チェック情報を生成する。
In step S103, the
次に、サーバ装置20は、OTPを生成し、OTP記憶部222に記憶させる(ステップS104)。すなわち、サーバ装置20のOTP生成部234は、例えば、乱数値などを利用して、OTPを生成する。そして、認証処理部232は、OTP生成部234が生成したOTPを取得し、当該OTPと、ユーザIDとを対応付けて、OTP記憶部222に記憶させる。
Next, the
次に、認証処理部232は、OTP及びチェック情報を、パスワードとは別の伝送経路RT2でユーザU1宛に送信する(ステップS105)。認証処理部232は、ユーザ情報記憶部221から取得したユーザIDに対応するユーザ宛先情報(例えば、メールアドレスや携帯電話番号)を取得し、ユーザ宛先情報に基づいて、OTP生成部234が生成したOTPと、チェック情報生成部233が生成したチェック情報とを、ユーザU1宛に送信する。例えば、認証処理部232は、電子メール又はSMSにより、OTP及びチェック情報を、NW通信部21を介して、ユーザU1宛に送信する。
Next, the
次に、認証処理部232は、OTPを取得する(ステップS106)。認証処理部232は、例えば、NW通信部21を介して、伝送経路RT1により、情報処理装置10から受信したOTPを取得する。
Next, the
次に、認証処理部232は、受信したOTPと、生成したOTPとが一致するか否かを判定する(ステップS107)。認証処理部232は、情報処理装置10からOTPと、OTP記憶部222が記憶する当該ユーザIDに対応するOTPとが一致するか否かを判定する。認証処理部232は、2つのOTPが一致する場合(ステップS107:YES)に、処理をステップS108に進める。また、認証処理部232は、2つのOTPが一致しない場合(ステップS107:NO)に、処理をステップS109に進める。
Next, the
ステップS108において、認証処理部232は、正当なユーザであると判定する。すなわち、認証処理部232は、ユーザU1及び情報処理装置10が、受信したユーザIDに対応する正当なユーザであると判定し、以降の処理(例えば、取引処理や登録情報の変更などの処理)の実行を許可する。ステップS108の処理後に、認証処理部232は、認証処理を終了する。
In step S108, the
また、ステップS109において、認証処理部232は、不正なユーザであると判定する。すなわち、認証処理部232は、ユーザU1及び情報処理装置10が、受信したユーザIDに対応する正当なユーザではなく、不正なユーザであと判定し、以降の処理(例えば、取引処理や登録情報の変更などの処理)の実行を禁止する。ステップS109の処理後に、認証処理部232は、認証処理を終了する。
Further, in step S109, the
このように、サーバ装置20は、情報処理装置10から対象ウェブサイト宛に送信されたユーザID及びパスワードの正当性が確認された場合に、チェック情報と、OTPとを伝送経路RT2により送信し、伝送経路RT2により送信したOTPを、情報処理装置10から伝送経路RT1により受信した場合に、情報処理装置10(ユーザU1)が正当であると判定する。
In this way, when the validity of the user ID and password transmitted from the
次に、図5を参照して、本実施形態における情報処理装置10の動作について説明する。
図5は、本実施形態における情報処理装置10の認証処理の一例を示すフローチャートである。
Next, the operation of the
FIG. 5 is a flowchart showing an example of the authentication process of the
図5に示すように、情報処理装置10は、認証処理の際に、まず、ユーザID及びパスワードを対象ウェブサイト宛に送信する(ステップS201)。情報処理装置10のパスワード認証部151は、例えば、入力部12がユーザU1から受け付けたユーザID及びパスワードを、NW通信部11を介して、サーバ装置20のウェブサイト宛に送信する。
As shown in FIG. 5, the
次に、パスワード認証部151は、送信時刻、送信元情報、及びセッションIDを記憶部14に記憶させる(ステップS202)。パスワード認証部151は、ユーザID及びパスワードをサーバ装置20のウェブサイト宛に送信した送信時刻、送信元情報(例えば、送信元IPアドレス)、及びセッションIDを、記憶部14に記憶させる。
Next, the
次に、情報処理装置10は、OTP及びチェック情報をパスワードとは別の伝送経路RT2で受信する(ステップS203)。情報処理装置10の取得処理部152は、NW通信部11を介して、サーバ装置20から受信したOTP及び受信チェック情報を取得する。取得処理部152は、例えば、電子メール又はSMSのメッセージに含まれるチェック情報及びOTPを取得する。
Next, the
次に、情報処理装置10は、送信時刻及び送信元情報に基づいて、チェック情報を生成する(ステップS204)。情報処理装置10のチェック情報生成部153は、送信時刻及び送信元情報を記憶部14から取得し、例えば、送信時刻及び送信元情報をまとめた情報をハッシュ関数により変換して、チェック情報(生成チェック情報)を生成する。
Next, the
情報処理装置10は、受信したチェック情報と、生成したチェック情報とが一致するか否かを判定する(ステップS205)。情報処理装置10のOTP認証部154は、上述した受信チェック情報と生成チェック情報とが一致するか否かを判定する。OTP認証部154は、受信チェック情報と生成チェック情報とが一致する場合(ステップS205:YES)に、処理をステップS206に進める。また、OTP認証部154は、受信チェック情報と生成チェック情報とが一致しない場合(ステップS205:NO)に、処理をステップS207に進める。
The
ステップS206において、OTP認証部154は、OTPを対象ウェブサイト宛に送信する。すなわち、OTP認証部154は、伝送経路RT2によりサーバ装置20から受信(取得)したOTPを、NW通信部11を介して、伝送経路RT1により、サーバ装置20のウェブサイト宛に送信する。ステップS206の処理後に、OTP認証部154は、認証処理を終了する。
In step S206, the
また、ステップS207において、OTP認証部154は、伝送経路RT1に異常があるり判定し、伝送経路RT1の異常を示す警告を出力する(ステップS208)。OTP認証部154は、OTPの送信を中止し、例えば、伝送経路RT1に異常があることを示す警告メッセージを表示部13に表示させる。ステップS208の処理後に、OTP認証部154は、認証処理を終了する。
Further, in step S207, the
次に、図6を参照して、伝送経路RT1が正常な場合の情報処理システム1の動作について説明する。
図6は、本実施形態による情報処理システム1の正常な伝送経路RT1における動作の一例を示す図である。
なお、伝送経路RT1は、情報処理装置10が、不図示のDNSサーバやDNSキャッシュサーバを利用することで、サーバ装置20の対象ウェブサイトのURLから対象ウェブサイトのIPアドレスを取得して、当該IPアドレスにより対象ウェブサイトした伝送経路である。
Next, with reference to FIG. 6, the operation of the information processing system 1 when the transmission path RT1 is normal will be described.
FIG. 6 is a diagram showing an example of operation in the normal transmission path RT1 of the information processing system 1 according to the present embodiment.
In the transmission path RT1, the
図6において、伝送経路RT1は、正常なDNSサーバやDNSキャッシュサーバを利用した場合であり、正常な伝送経路RT1−OKとする。
図6に示すように、情報処理システム1の情報処理装置10は、ユーザID及びパスワードを、伝送経路RT1−OKによりサーバ装置20に送信する(ステップS11)。
In FIG. 6, the transmission path RT1 is a case where a normal DNS server or DNS cache server is used, and the normal transmission path RT1-OK is assumed.
As shown in FIG. 6, the
次に、サーバ装置20が、OTP及びチェック情報を、伝送経路RT1−OKとは異なる伝送経路RT2により、情報処理装置10に送信する(ステップS12)。ここで、サーバ装置20は、受信したユーザID及びパスワードの組と、ユーザ情報記憶部221が記憶するユーザID及びパスワードの組とが一致した場合に、OTP及びチェック情報を生成し、生成したOTP及びチェック情報を伝送経路RT2により、情報処理装置10に送信する。
Next, the
次に、情報処理装置10は、OTPを、伝送経路RT1−OKによりサーバ装置20に送信する(ステップS13)。すなわち、情報処理装置10は、受信チェック情報と生成チェック情報とが一致する場合に、伝送経路RT1−OKが正常であると判定し、サーバ装置20から伝送経路RT2により受信したOTPを、伝送経路RT1−OKによりサーバ装置20に送信する。これにより、情報処理システム1における二段階認証処理が完了する。
Next, the
次に、図7及び図8を参照して、本実施形態による情報処理システム1における不正な伝送経路RT1における動作(マン・イン・ザ・ミドル攻撃における動作)について説明する。
ここでは、本実施形態による情報処理システム1との比較のために、図7を参照して、従来技術による不正な伝送経路における動作(マン・イン・ザ・ミドル攻撃における動作)について説明する。
Next, with reference to FIGS. 7 and 8, the operation in the illegal transmission path RT1 (operation in the man-in-the-middle attack) in the information processing system 1 according to the present embodiment will be described.
Here, for comparison with the information processing system 1 according to the present embodiment, an operation in an illegal transmission path (operation in a man-in-the-middle attack) according to the prior art will be described with reference to FIG. 7.
図7は、従来技術の情報処理システムの不正な伝送経路における動作の一例を示す図である。
図7おいて、従来技術の情報処理装置30と、従来技術のサーバ装置40との間に、不正サーバ50が存在する場合について説明する。
FIG. 7 is a diagram showing an example of operation in an illegal transmission path of the information processing system of the prior art.
In FIG. 7, a case where an
この場合、不図示のDNSサーバやDNSキャッシュサーバが乗っ取られており、情報処理装置30は、不図示のDNSサーバやDNSキャッシュサーバを利用することで、サーバ装置40の対象ウェブサイトのURLから不正サーバ50のIPアドレスを取得して、当該IPアドレスによ対象ウェブサイトを偽装した偽装ウェブサイトに接続する。また、不正サーバ50は、偽装ウェブサイトを利用して取得した情報(例えば、ユーザID、パスワード、OTPなど)を、サーバ装置40に送信する。そのため、この図における伝送経路RT1は、不正な伝送経路RT1−NGとする。
In this case, the DNS server and DNS cache server (not shown) have been hijacked, and the
図7に示すように、従来技術の情報処理装置30は、まず、ユーザID及びパスワードを伝送経路RT1−NGにより送信すると(ステップS21)、不正サーバ50が、ユーザID及びパスワードを、従来技術のサーバ装置40に転送する(ステップS22)。
As shown in FIG. 7, when the
次に、サーバ装置40は、OTPを生成し、生成したOTPを、伝送経路RT2により、情報処理装置30に送信する(ステップS23)。
次に、情報処理装置30は、受信したOTPを伝送経路RT1−NGにより送信すると(ステップS24)、不正サーバ50が、OTPを、従来技術のサーバ装置40に転送する(ステップS25)。
これにより、従来技術の情報処理システムにおける認証処理が完了し、不正サーバ50は、サーバ装置40に対して不正アクセスが可能になる。
Next, the
Next, when the
As a result, the authentication process in the information processing system of the prior art is completed, and the
次に、図8を参照して、本実施形態による情報処理システム1の不正な伝送経路における動作(マン・イン・ザ・ミドル攻撃における動作)について説明する。
図8は、本実施形態による情報処理システム1の不正な伝送経路における動作の一例を示す図である。
Next, with reference to FIG. 8, the operation in the illegal transmission path of the information processing system 1 according to the present embodiment (operation in the man-in-the-middle attack) will be described.
FIG. 8 is a diagram showing an example of operation in an illegal transmission path of the information processing system 1 according to the present embodiment.
図8において、伝送経路RT1は、上述した図7と同様に、不正サーバ50を経由する不正な伝送経路RT1−NGである。
図8に示す本実施形態による情報処理システム1では、情報処理装置10は、まず、ユーザID及びパスワードを伝送経路RT1−NGにより送信すると(ステップS31)、不正サーバ50が、ユーザID及びパスワードを、サーバ装置20に転送する(ステップS32)。
In FIG. 8, the transmission path RT1 is an illegal transmission path RT1-NG via the
In the information processing system 1 according to the present embodiment shown in FIG. 8, when the
次に、サーバ装置20は、OTP及びチェック情報を生成し、生成したOTP及びチェック情報を、伝送経路RT2により、情報処理装置10に送信する(ステップS33)。
次に、情報処理装置10は、OTPの送信を中止し(ステップS34)、伝送経路RT1−NGに異常があることを示す警告を出力する(ステップS35)。
Next, the
Next, the
この場合、不正サーバ50がユーザID及びパスワードをサーバ装置20に送信しているため、サーバ装置20が受信した送信時刻及び送信元情報が、情報処理装置10の記憶部14が記憶するものと異なる。そのため、受信チェック情報と生成チェック情報とが不一致になり、情報処理装置10のOTP認証部154は、伝送経路RT1−NGに異常があると判定する。
これにより、不正サーバ50は、二段階認証処理が完了することができず、サーバ装置20に対して不正アクセスを行うことができない。
In this case, since the
As a result, the
なお、上記の説明では、チェック情報を、送信時刻及び送信元情報に基づいて生成する例を説明したが、送信時刻及び送信元情報の代わり、又は送信時刻及び送信元情報のいずれかの代わりに、セッションID(送信路識別情報)を用いてもよい。また、チェック情報を、送信時刻、送信元情報、及びセッションID(送信路識別情報)に基づいて生成するようにしてもよい。 In the above description, an example of generating check information based on the transmission time and the source information has been described, but instead of the transmission time and the source information, or instead of either the transmission time and the source information. , Session ID (transmission path identification information) may be used. Further, the check information may be generated based on the transmission time, the transmission source information, and the session ID (transmission path identification information).
また、サーバ装置20がサービスの一例として、ウェブサイトを提供する例を説明したが、これに限定されるものではなく、FTPサイトやメールなどを提供するものであってもよい。すなわち、サーバ装置20は、httpプロトコルの他に、FTP、POP3プロトコル、SMTPプロトコルなどの他のプロトコルを扱うサーバであってもよい。
Further, although the example in which the
以上説明したように、本実施形態にうよる情報処理システム1は、情報処理装置10と、ユーザU1にサービスを提供するサーバ装置20(対象ウェブサイトを実現するサーバ装置20)とを備える。情報処理装置10は、パスワード認証部151(第1認証処理部)と、取得処理部152と、チェック情報生成部153と、OTP認証部154(第2認証処理部)とを備える。パスワード認証部151は、予め定められた第1認証情報(例えば、ユーザID及びパスワード)を、対象ウェブサイト宛(サーバ装置20宛)に送信する。取得処理部152は、受信チェック情報(第1チェック情報)と、第2認証情報(例えば、OTP)とを、伝送経路RT2(第2伝送経路)により取得する。ここで、受信チェック情報は、対象ウェブサイトが受信した、少なくともユーザID及びパスワードの送信時刻と、ユーザID及びパスワードの送信元を示す送信元情報と、セッションID(送信路識別情報)とのいずれかに基づいて、所定の生成処理により生成されたチェック情報である。また、OTPは、対象ウェブサイトが生成した第1認証情報(例えば、ユーザID及びパスワード)とは異なる第2認証情報である。チェック情報生成部153は、少なくともユーザID及びパスワードの送信時刻、送信元情報、及びセッションIDのいずれかに基づいて、所定の生成処理により、生成チェック情報(第2チェック情報)を生成する。OTP認証部154は、取得処理部152が取得した受信チェック情報と、チェック情報生成部153が生成した生成チェック情報とが一致する場合に、OTPを伝送経路RT1により対象ウェブサイト宛に送信する。また、OTP認証部154は、受信チェック情報と、生成チェック情報とが一致しない場合に、伝送経路RT1に異常があると判定する。
As described above, the information processing system 1 according to the present embodiment includes the
これにより、本実施形態による情報処理システム1は、チェック情報を利用して伝送経路RT1に異常があることを検出することができるため、マン・イン・ザ・ミドル攻撃(中間者攻撃)による不正なアクセスを低減することができる。 As a result, the information processing system 1 according to the present embodiment can detect that there is an abnormality in the transmission path RT1 by using the check information, and thus is fraudulent due to a man-in-the-middle attack (man-in-the-middle attack). Access can be reduced.
また、本実施形態では、OTP認証部154は、受信チェック情報と、生成チェック情報とが一致しない場合に、OTPの送信を中止し、伝送経路RT1に異常があることを示す警告を出力する。
これにより、本実施形態による情報処理システム1は、ユーザU1が、伝送経路RT1に異常があることを迅速に認知することができるため、例えば、サーバ装置20が提供するサービスを停止させたり、ユーザID及びパスワードを変更する、等の不正アクセスに対する対応を迅速に行うことができる。
Further, in the present embodiment, when the reception check information and the generation check information do not match, the
As a result, the information processing system 1 according to the present embodiment can quickly recognize that the user U1 has an abnormality in the transmission path RT1. Therefore, for example, the service provided by the
また、本実施形態では、サーバ装置20は、情報処理装置10から対象ウェブサイト宛に送信されたユーザID及びパスワードの正当性が確認された場合に、第1チェック情報と、OTPとを伝送経路RT2により送信する。そして、サーバ装置20は、伝送経路RT2により送信したOTPを、情報処理装置10から伝送経路RT1により受信した場合に、情報処理装置10が正当であると判定する。
Further, in the present embodiment, the
これにより、本実施形態による情報処理システム1は、ユーザID及びパスワードと、OTPとの二段階認証処理により、ユーザID及びパスワードが漏洩した場合であっても、不正なアクセスを適切に抑制することができる。 As a result, the information processing system 1 according to the present embodiment appropriately suppresses unauthorized access even if the user ID and password are leaked by the two-step authentication process of the user ID and password and the OTP. Can be done.
また、本実施形態では、所定の生成処理は、一方向関数(ハッシュ関数)を用いた生成処理である。サーバ装置20は、受信した第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及びセッションIDの少なくともいずれかを含む情報から、一方向関数を用いて、受信チェック情報(第1チェック情報)を生成する。また、チェック情報生成部153は、情報処理装置10が保持する、少なくとも第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及びセッションIDのいずれかを含む情報から、一方向関数を用いて、生成チェック情報(第2チェック情報)を生成する。
Further, in the present embodiment, the predetermined generation process is a generation process using a one-way function (hash function). The
これにより、本実施形態による情報処理システム1は、簡易な手法により、一意な(ユニークな)チェック情報を生成することができ、適切に、伝送経路RT1の異常を判定することができる。 As a result, the information processing system 1 according to the present embodiment can generate unique (unique) check information by a simple method, and can appropriately determine an abnormality in the transmission path RT1.
また、本実施形態による情報処理装置10は、上述したパスワード認証部151と、取得処理部152と、チェック情報生成部153と、OTP認証部154とを備える。
これにより、本実施形態による情報処理装置10は、上述した情報処理システム1と同様の効果を奏し、マン・イン・ザ・ミドル攻撃(中間者攻撃)による不正なアクセスを低減することができる。
Further, the
As a result, the
また、本実施形態による情報処理方法は、情報処理装置10と、ユーザU1にサービスを提供するサーバ装置20とを備える情報処理システム1の情報処理方法であって、第1送信ステップと、第2送信ステップと、生成ステップと、判定ステップとを含む。第1送信ステップにおいて、情報処理装置10が、予め定められた第1認証情報(ユーザID及びパスワード)を、対象ウェブサイト宛(サーバ装置20宛)に送信する。第2送信ステップにおいて、サーバ装置20が、少なくとも受信した第1認証情報(ユーザID及びパスワード)の送信時刻と、ユーザID及びパスワードの送信元を示す送信元情報と、セッションID(送信路識別情報)とのいずれかに基づいて、所定の生成処理により生成された第1チェック情報(受信チェック情報)と、対象ウェブサイトが生成した、第1認証情報(ユーザID及びパスワード)とは異なる第2認証情報(OTP)とを、第1認証情報(ユーザID及びパスワード)を送信した伝送経路RT1とは異なる伝送経路RT2により送信する。生成ステップにおいて、情報処理装置10が、少なくとも第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及びセッションIDのいずれかに基づいて、所定の生成処理により、第2チェック情報(生成チェック情報)を生成する。判定ステップにおいて、情報処理装置10が、伝送経路RT2により受信した第1チェック情報(受信チェック情報)と、生成した第2チェック情報(生成チェック情報)とが一致する場合に、第2認証情報(OTP)を伝送経路RT1により対象ウェブサイト宛に送信し、第1チェック情報(受信チェック情報)と、第2チェック情報(生成チェック情報)とが一致しない場合に、伝送経路RT1に異常があると判定する。
Further, the information processing method according to the present embodiment is an information processing method of an information processing system 1 including an
これにより、本実施形態による情報処理方法は、上述した情報処理システム1と同様の効果を奏し、マン・イン・ザ・ミドル攻撃(中間者攻撃)による不正なアクセスを低減することができる。 As a result, the information processing method according to the present embodiment has the same effect as the information processing system 1 described above, and can reduce unauthorized access due to a man-in-the-middle attack (man-in-the-middle attack).
なお、本実施形態において、OTPとチェック情報とは、一体化させてもよい。例えば、文字列の特定範囲はOTPを示し、それ以外はチェック情報を表すようにしてもよい。このようにすれば、入力部12を介してコードを入力する場合、ユーザ視点ではこれまでと同様に1つのOTPを入力するような手順となり馴染みがあるため、利便性を向上させることができる。
In this embodiment, the OTP and the check information may be integrated. For example, a specific range of the character string may indicate OTP, and other than that, check information may be indicated. In this way, when the code is input via the
[第2の実施形態]
次に、図面を参照して、第2の実施形態による情報処理システム1aについて説明する。
図9は、本実施形態による情報処理システム1aの一例を示すブロック図である。
[Second Embodiment]
Next, the
FIG. 9 is a block diagram showing an example of the
図9に示すように、情報処理システム1aは、情報処理装置10aと、サーバ装置20aとを備える。また、情報処理装置10aと、サーバ装置20aとは、ネットワークNW1を介して、接続可能である。なお、本実施形態では、情報処理システム1a及び情報処理装置10aを使用するユーザをユーザU1として説明する。
なお、図9において、上述した図1に示す構成と同一の構成には、同一の符号を付与し、ここではその説明を省略する。
As shown in FIG. 9, the
In FIG. 9, the same reference numerals are given to the same configurations as those shown in FIG. 1 described above, and the description thereof will be omitted here.
サーバ装置20aは、例えば、ウェブサイトを実現するウェブサーバであり、例えば、ネットワークNW1を介して接続された情報処理装置10a(ユーザU1)の正当性を判定する認証処理を実行する。サーバ装置20aは、NW通信部21と、サーバ記憶部22aと、サーバ制御部23aとを備える。
The
サーバ記憶部22aは、サーバ装置20aが利用する各種情報を記憶する。サーバ記憶部22aは、例えば、ユーザ情報記憶部221と、OTP記憶部222aとを備える。
The
OTP記憶部222aは、後述するOTP生成部234aが生成したOTPを記憶する。なお、本実施形態では、OTP生成部234aが2種類のOTPを生成し、OTP記憶部222aは、2種類のOTPを記憶する。ここで、図10を参照して、OTP記憶部222aのデータ例について説明する。
The
図10は、本実施形態におけるOTP記憶部222aのデータ例を示す図である。
図10に示すように、OTP記憶部222aは、ユーザIDと、正常時用OTPと、異常時用OTPとを対応付けて記憶する。なお、正常時用OTPは、二段階認証の2段階目の認証に使用される第2認証情報の一例であり、異常時用OTPは、伝送経路RT1に異常があった場合に、伝送経路RT1の異常をサーバ装置20aに知らせるための第3認証情報の一例である。
FIG. 10 is a diagram showing a data example of the
As shown in FIG. 10, the
例えば、図10に示す例では、ユーザIDが“U0001”に対応する正常時用OTPが“AAAAAAAA”であり、異常時用OTPが“BBBBBBBB”であることを示している。 For example, in the example shown in FIG. 10, it is shown that the normal OTP corresponding to the user ID “U0001” is “AAAAAAAA” and the abnormal OTP is “BBBBBBBBB”.
図9の説明に戻り、サーバ制御部23aは、例えば、CPUなどを含むプロセッサであり、サーバ装置20aを統括的に制御する。サーバ制御部23aは、例えば、ウェブ処理部231と、認証処理部232aと、チェック情報生成部233と、OTP生成部234aとを備える。
Returning to the description of FIG. 9, the
OTP生成部234aは、例えば、乱数値などに基づいて、毎回異なる正常時用OTP及び異常時用OTPを生成する。OTP生成部234aは、生成した正常時用OTP及び異常時用OTPを認証処理部232aに供給する。
The
認証処理部232aの基本的な機能は、上述した第1の実施形態の認証処理部232と同様である。認証処理部232aは、チェック情報生成部233が生成したチェック情報と、正常時用OTP(第2認証情報)と、正常時用OTPとは異なる異常時用OTP(第3認証情報)とを、伝送経路RT2により情報処理装置10aに送信する点が異なる。
The basic function of the
また、認証処理部232aは、図10に示すように、ユーザIDと、OTP生成部234aが生成した正常時用OTP(第2認証情報)と、異常時用OTP(第3認証情報)とを対応付けてOTP記憶部222aに記憶させる。
また、認証処理部232aは、情報処理装置10aから正常時用OTPを受信した場合に、伝送経路RT1が正常であり、且つ、情報処理装置10aが正当であると判定する。また、認証処理部232aは、情報処理装置10aから異常時用OTPを受信した場合に、伝送経路RT1に異常があると判定する。
Further, as shown in FIG. 10, the
Further, when the
情報処理装置10aは、ユーザU1が所有する装置であり、例えば、PC(Personal Computer)、タブレット端末装置、スマートフォンなどである。情報処理装置10aは、NW通信部11と、入力部12と、表示部13と、記憶部14と、制御部15aとを備える。なお、本実施形態では、サーバ装置20aが実現するウェブサイトを認証処理の対象のウェブサイトである対象ウェブサイトとする。
The
制御部15aは、例えば、CPUなどを含むプロセッサであり、情報処理装置10aを統括的に制御する。制御部15aは、例えば、パスワード認証部151と、取得処理部152aと、チェック情報生成部153と、OTP認証部154aとを備える。
The
取得処理部152aは、サーバ装置20aから伝送経路RT2により、受信チェック情報、正常時用OTP(第2認証情報)、及び異常時用OTP(第3認証情報)を取得する。
OTP認証部154a(第2認証処理部の一例)は、二段階認証のうちのOTP(第2認証情報)による2段階目の認証処理を実行する。OTP認証部154aは、受信チェック情報(第1チェック情報)と、生成チェック情報(第2チェック情報)とが一致した場合に、正常時用OTP(第2認証情報)を、伝送経路RT1により対象ウェブサイト宛(サーバ装置20a)に送信する。
The
The
また、OTP認証部154aは、受信チェック情報(第1チェック情報)と、生成チェック情報(第2チェック情報)とが一致しない場合に、異常時用OTP(第3認証情報)を、伝送経路RT1により対象ウェブサイト宛(サーバ装置20a)に送信する。
Further, when the reception check information (first check information) and the generation check information (second check information) do not match, the
次に、図面を参照して、本実施形態による情報処理システム1aの動作について、説明する。
図11は、本実施形態におけるサーバ装置20aの認証処理の一例を示すフローチャートである。
Next, the operation of the
FIG. 11 is a flowchart showing an example of the authentication process of the
図11において、ステップS301からステップS303までの処理は、上述した図4に示すステップS101からステップS103までの処理と同様であるため、ここではその説明を省略する。 In FIG. 11, the processes from step S301 to step S303 are the same as the processes from step S101 to step S103 shown in FIG. 4 described above, and thus the description thereof will be omitted here.
ステップS304において、サーバ装置20aは、正常時用OTPと、異常時用OTPとを生成し、OTP記憶部222aに記憶させる。すなわち、サーバ装置20aのOTP生成部234aは、例えば、乱数値などを利用して、正常時用OTPと、異常時用OTPとを生成する。そして、認証処理部232aは、OTP生成部234aが生成した正常時用OTP及び異常時用OTPを取得し、当該正常時用OTP及び異常時用OTPと、ユーザIDとを対応付けて、OTP記憶部222aに記憶させる。
In step S304, the
次に、認証処理部232aは、正常時用OTP、異常時用OTP、及びチェック情報を、パスワードとは別の伝送経路RT2でユーザU1宛に送信する(ステップS305)。認証処理部232aは、ユーザ情報記憶部221から取得したユーザIDに対応するユーザ宛先情報(例えば、メールアドレスや携帯電話番号)を取得し、ユーザ宛先情報に基づいて、OTP生成部234aが生成した正常時用OTP及び異常時用OTPと、チェック情報生成部233が生成したチェック情報とを、ユーザU1宛に送信する。
Next, the
次に、認証処理部232aは、OTPを取得する(ステップS306)。認証処理部232aは、例えば、NW通信部21を介して、伝送経路RT1により、情報処理装置10aから受信したOTP(正常時用OTP及び異常時用OTPのいずれか)を取得する。
Next, the
次に、認証処理部232aは、受信したOTPと、正常時用OTPとが一致するか否かを判定する(ステップS307)。認証処理部232aは、受信したOTPと、OTP記憶部222aが記憶する正常時用OTPとが一致する場合(ステップS307:YES)に、処理をステップS308に進める。また、認証処理部232aは、受信したOTPと、OTP記憶部222aが記憶する正常時用OTPとが一致しない場合(ステップS307:NO)に、処理をステップS309に進める。
Next, the
ステップS308において、認証処理部232aは、伝送経路RT1が正常であり、且つ、正当なユーザであると判定する。ステップS308の処理後に、認証処理部232aは、認証処理を終了する。
In step S308, the
また、ステップS309において、認証処理部232aは、受信したOTPと、異常時用OTPとが一致するか否かを判定する。認証処理部232aは、受信したOTPと、OTP記憶部222aが記憶する異常時用OTPとが一致する場合(ステップS309:YES)に、処理をステップS310に進める。また、認証処理部232aは、受信したOTPと、OTP記憶部222aが記憶する異常時用OTPとが一致しない場合(ステップS309:NO)に、処理をステップS311に進める。
Further, in step S309, the
ステップS310において、認証処理部232aは、伝送経路RT1が異常である判定する。ステップS310の処理後に、認証処理部232aは、認証処理を終了する。
また、ステップS311において、認証処理部232aは、不正なユーザであると判定する。ステップS311の処理後に、認証処理部232aは、認証処理を終了する。
In step S310, the
Further, in step S311 the
次に、図12を参照して、本実施形態による情報処理装置10aの動作について説明する。
図12は、本実施形態における情報処理装置10aの認証処理の一例を示すフローチャートである。
Next, the operation of the
FIG. 12 is a flowchart showing an example of the authentication process of the
図12において、ステップS401及びステップS402の処理は、上述した図5に示すステップS201及びステップS202の処理と同様であるため、ここではその説明を省略する。
ステップS403において、情報処理装置10aは、正常時用OTP、異常時用OTP、及びチェック情報をパスワードとは別の伝送経路RT2で受信する。情報処理装置10aの取得処理部152aは、NW通信部11を介して、サーバ装置20aから受信した正常時用OTP、異常時用OTP、及び受信チェック情報を取得する。
In FIG. 12, the processes of steps S401 and S402 are the same as the processes of steps S201 and S202 shown in FIG. 5 described above, and thus the description thereof will be omitted here.
In step S403, the
続く、ステップS404及びステップS405の処理は、上述した図5に示すステップS204及びステップS205の処理と同様であるため、ここではその説明を省略する。
なお、ステップS205において、OTP認証部154aは、受信チェック情報と生成チェック情報とが一致する場合(ステップS405:YES)に、処理をステップS406に進める。また、OTP認証部154aは、受信チェック情報と生成チェック情報とが一致しない場合(ステップS405:NO)に、処理をステップS407に進める。
Since the subsequent processes of steps S404 and S405 are the same as the processes of steps S204 and S205 shown in FIG. 5 described above, the description thereof will be omitted here.
In step S205, the
ステップS406において、OTP認証部154aは、正常時用OTPを対象ウェブサイト宛に送信する。ステップS406の処理後に、OTP認証部154aは、認証処理を終了する。
In step S406, the
また、ステップS407及びステップS407の処理は、上述した図5に示すステップS207及びステップS208の処理と同様であるため、ここではその説明を省略する。
次に、OTP認証部154aは、異常時用OTPを対象ウェブサイト宛に送信する(ステップS409)。ステップS409の処理後に、OTP認証部154aは、認証処理を終了する。
Further, since the processing of step S407 and step S407 is the same as the processing of step S207 and step S208 shown in FIG. 5 described above, the description thereof will be omitted here.
Next, the
次に、図13及び図14を参照して、情報処理システム1aの動作について説明する。
図13は、本実施形態による情報処理システム1aの正常な伝送経路RT1における動作の一例を示す図である。
Next, the operation of the
FIG. 13 is a diagram showing an example of operation in the normal transmission path RT1 of the
図13に示すように、情報処理システム1aの情報処理装置10aは、ユーザID及びパスワードを、伝送経路RT1−OKによりサーバ装置20aに送信する(ステップS41)。
As shown in FIG. 13, the
次に、サーバ装置20aが、正常時用OTP、異常時用OTP、及びチェック情報を、伝送経路RT1−OKとは異なる伝送経路RT2により、情報処理装置10aに送信する(ステップS42)。ここで、サーバ装置20aは、受信したユーザID及びパスワードの組と、ユーザ情報記憶部221が記憶するユーザID及びパスワードの組とが一致した場合に、正常時用OTP、異常時用OTP、及びチェック情報を生成し、生成した正常時用OTP、異常時用OTP、及びチェック情報を伝送経路RT2により、情報処理装置10aに送信する。
Next, the
次に、情報処理装置10aは、正常時用OTPを、伝送経路RT1−OKによりサーバ装置20aに送信する(ステップS43)。すなわち、情報処理装置10aは、受信チェック情報と生成チェック情報とが一致する場合に、伝送経路RT1−OKが正常であると判定し、サーバ装置20aから伝送経路RT2により受信した正常時用OTPを、伝送経路RT1−OKによりサーバ装置20aに送信する。これにより、情報処理システム1aにおける二段階認証処理が完了する。
Next, the
次に、図14を参照して、本実施形態による情報処理システム1aの不正な伝送経路における動作(マン・イン・ザ・ミドル攻撃における動作)について説明する。
図14は、本実施形態による情報処理システム1aの不正な伝送経路における動作の一例を示す図である。
Next, with reference to FIG. 14, the operation of the
FIG. 14 is a diagram showing an example of operation in an illegal transmission path of the
図14において、伝送経路RT1は、上述した図8と同様に、不正サーバ50を経由する不正な伝送経路RT1−NGである。
図14に示す本実施形態による情報処理システム1aでは、情報処理装置10aは、まず、ユーザID及びパスワードを伝送経路RT1−NGにより送信すると(ステップS51)、不正サーバ50が、ユーザID及びパスワードを、サーバ装置20aに転送する(ステップS52)。
In FIG. 14, the transmission path RT1 is an illegal transmission path RT1-NG via the
In the
次に、サーバ装置20aは、正常時用OTP、異常時用OTP、及びチェック情報を生成し、生成したOTP及びチェック情報を、伝送経路RT2により、情報処理装置10aに送信する(ステップS53)。
Next, the
次に、情報処理装置10aは、伝送経路RT1−NGに異常があることを示す警告を出力する(ステップS54)。また、情報処理装置10aは、異常時用OTPを、伝送経路RT1−NGにより送信する(ステップS55)。すなわち、情報処理装置10aは、受信チェック情報と生成チェック情報とが一致しない場合に、伝送経路RT1−NGが異常であると判定し、サーバ装置20aから伝送経路RT2により受信した異常時用OTPを、伝送経路RT1−NGにより送信すると、不正サーバ50が、異常時用OTPを、サーバ装置20aに転送する(ステップS56)。これにより、情報処理システム1aにおける二段階認証処理が完了する。
この場合、サーバ装置20aは、異常時用OTPを受信したことにより、伝送経路RT1−NGに異常があることを検出することができる。
Next, the
In this case, the
以上説明したように、本実施形態による情報処理システム1aでは、サーバ装置20aは、受信チェック情報(第1チェック情報)と、正常時用OTP(第2認証情報)と、正常時用OTPとは異なる異常時用OTP(第3認証情報)とを、伝送経路RT2により情報処理装置10aに送信する。情報処理装置10aのOTP認証部154aは、受信チェック情報(第1チェック情報)と、生成チェック情報(第2チェック情報)とが一致しない場合に、異常時用OTP(第3認証情報)を伝送経路RT1により対象ウェブサイト宛に送信する。
As described above, in the
これにより、本実施形態による情報処理システム1aは、異常時用OTPを受信することで、サーバ装置20a側で、伝送経路RT1に異常があることを検出することができる。そのため、本実施形態による情報処理システム1aは、安全性(セキュリティ)をさらに向上させることができる。
As a result, the
また、本実施形態では、サーバ装置20aは、情報処理装置10aから正常時用OTPを受信した場合に、伝送経路RT1が正常であり、且つ、情報処理装置10aが正当であると判定する。また、サーバ装置20aは、情報処理装置10aから異常時用OTPを受信した場合に、伝送経路RT1に異常があると判定する。
これにより、本実施形態による情報処理システム1aは、容易に伝送経路RT1に異常があることを検出することができ、不正サーバ50により不正なアクセスをサーバ装置20a側で防衛することができる。
Further, in the present embodiment, when the
As a result, the
また、本実施形態において、本実施形態による情報処理システム1aは、異常時用OTPを別途生成、記憶、及び送信する代わりに、正常時用OTPから、異常時用OTPを生成するようにしてもよい。例えば、異常時用OTPは、正常時用OTPを再度ハッシュ変換して生成することとして、情報処理装置10aとサーバ装置20aとで生成方法を共有しておく。このようにすることで、本実施形態による情報処理システム1aは、ユーザの入力作業を軽減することができる。
Further, in the present embodiment, the
なお、本発明は、上記の各実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。 The present invention is not limited to each of the above embodiments, and can be modified without departing from the spirit of the present invention.
例えば、上記の各実施形態において、チェック情報を生成する所定の生成処理が、一方向関数を用いた生成処理である例を説明したがこれに限定されるものではない。例えば、所定の生成処理は、暗号処理を用いた生成処理であってもよい。この場合、サーバ装置20(20a)は、少なくとも受信した第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及び送信路識別情報のいずれかを含む情報から、暗号処理を用いて、第1チェック情報を生成する。また、チェック情報生成部153は、情報処理装置10(10a)が保持する、少なくとも第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及び送信路識別情報のいずれかを含む情報から、暗号処理を用いて、第2チェック情報を生成する。
For example, in each of the above embodiments, an example in which the predetermined generation process for generating check information is a generation process using a one-way function has been described, but the present invention is not limited to this. For example, the predetermined generation process may be a generation process using a cryptographic process. In this case, the server device 20 (20a) uses encryption processing from information including at least one of the transmission time, the source information, and the transmission path identification information of the received first authentication information (user ID and password). , Generate the first check information. Further, the check
この場合も、上記の各実施形態と同様に、チェック情報を利用して、容易に伝送経路RT1の異常を検出することができ、マン・イン・ザ・ミドル攻撃(中間者攻撃)による不正なアクセスを低減することができる。 In this case as well, as in each of the above embodiments, the check information can be used to easily detect an abnormality in the transmission path RT1 and is illegal due to a man-in-the-middle attack (man-in-the-middle attack). Access can be reduced.
また、サーバ装置20(20a)のウェブ処理部231は、ユーザID及びパスワードに応じて、サーバ装置20aが提供する対象ウェブサイトの表示情報を変更し、少なくとも受信したユーザID及びパスワードの送信時刻と、送信元情報と、送信路識別情報とのいずれかと、表示情報とを含む情報に基づいて、第1チェック情報を生成するようにしてもよい。また、この場合、チェック情報生成部153は、少なくとも第1認証情報(ユーザID及びパスワード)の送信時刻、送信元情報、及び送信路識別情報のいずれかと、伝送経路RT1を介して取得した表示情報(例えば、HTML(Hyper Text Markup Language)情報)とを含む情報に基づいて、第2チェック情報を生成するようにする。
Further, the
これにより、チェック情報(第1チェック情報及び第2チェック情報)の生成方法がより複雑になるため、情報処理システム1(1a)は、安全性(セキュリティ)をさらに高めることができる。 As a result, the method of generating the check information (first check information and the second check information) becomes more complicated, so that the information processing system 1 (1a) can further enhance the safety (security).
また、上記の各実施形態において、サーバ装置20(20a)が、一台の装置である例を説明したが、これに限定されるものではなく、サーバ装置20(20a)は、複数の装置により構成されてもよい。 Further, in each of the above embodiments, the example in which the server device 20 (20a) is one device has been described, but the present invention is not limited to this, and the server device 20 (20a) is based on a plurality of devices. It may be configured.
また、上記の各実施形態において、チェック情報を、送信時刻と送信元情報との両方に基づいて生成する例を説明したが、これに限定されるものではない。チェック情報を、送信元情報、及び送信路識別情報のいずれかに基づいて生成されてもよいし、セッションキーなどの、サーバ装置20(20a)と情報処理装置10(10a)との間で共有する情報に基づいて生成されてもよい。 Further, in each of the above embodiments, an example in which check information is generated based on both the transmission time and the transmission source information has been described, but the present invention is not limited to this. The check information may be generated based on either the source information or the transmission path identification information, and may be shared between the server device 20 (20a) and the information processing device 10 (10a) such as a session key. It may be generated based on the information to be processed.
また、上記の各実施形態において、伝送経路RT2が、電子メールやSMSによる伝送経路である例を説明したが、これに限定されるものではなく、例えば、スマートフォンのプッシュ通信による伝送経路であってもよいし、他の伝送経路であってもよい。 Further, in each of the above embodiments, an example in which the transmission path RT2 is a transmission path by e-mail or SMS has been described, but the present invention is not limited to this, and for example, it is a transmission path by push communication of a smartphone. It may be another transmission path.
なお、上述した情報処理システム1(1a)が備える各構成は、内部に、コンピュータシステムを有している。そして、上述した情報処理システム1(1a)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した情報処理システム1(1a)が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。 Each configuration included in the above-mentioned information processing system 1 (1a) has a computer system inside. Then, a program for realizing the functions of each configuration included in the above-mentioned information processing system 1 (1a) is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the computer system. By executing the processing, the processing in each configuration provided in the information processing system 1 (1a) described above may be performed. Here, "loading and executing a program recorded on a recording medium into a computer system" includes installing the program in the computer system. The term "computer system" as used herein includes hardware such as an OS and peripheral devices.
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。 Further, the "computer system" may include a plurality of computer devices connected via a network including a communication line such as the Internet, WAN, LAN, and a dedicated line. Further, the "computer-readable recording medium" refers to a portable medium such as a flexible disk, a magneto-optical disk, a ROM, or a CD-ROM, or a storage device such as a hard disk built in a computer system. As described above, the recording medium in which the program is stored may be a non-transient recording medium such as a CD-ROM.
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に情報処理システム1(1a)が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The recording medium also includes an internal or external recording medium that can be accessed from the distribution server to distribute the program. Even if the program is divided into a plurality of programs, downloaded at different timings, and then combined with each configuration provided in the information processing system 1 (1a), or the distribution server that distributes each of the divided programs is different. good. Furthermore, a "computer-readable recording medium" is a volatile memory (RAM) inside a computer system that serves as a server or client when a program is transmitted via a network, and holds the program for a certain period of time. It shall also include things. Further, the above program may be for realizing a part of the above-mentioned functions. Further, it may be a so-called difference file (difference program) that can realize the above-mentioned function in combination with a program already recorded in the computer system.
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。 Further, a part or all of the above-mentioned functions may be realized as an integrated circuit such as LSI (Large Scale Integration). Each of the above-mentioned functions may be made into a processor individually, or a part or all of them may be integrated into a processor. Further, the method of making an integrated circuit is not limited to the LSI, and may be realized by a dedicated circuit or a general-purpose processor. Further, when an integrated circuit technology that replaces an LSI appears due to advances in semiconductor technology, an integrated circuit based on this technology may be used.
1、1a 情報処理システム
10、10a 情報処理装置
11、21 NW通信部
12 入力部
13 表示部
14 記憶部
15、15a 制御部
20、20a サーバ装置
22、22a サーバ記憶部
23、23a サーバ制御部
50 不正サーバ
151 パスワード認証部
152、152a 取得処理部
153、233 チェック情報生成部
154、154a OTP認証部
221 ユーザ情報記憶部
222、222a OTP記憶部
231 ウェブ処理部
232、232a 認証処理部
234、234a OTP生成部
NW1 ネットワーク
RT1、RT2 伝送経路
U1 ユーザ
1, 1a
Claims (10)
前記情報処理装置は、
予め定められた第1認証情報を、前記サーバ装置宛に送信する第1認証処理部と、
前記サーバ装置が受信した、少なくとも前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により取得する取得処理部と、
少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するチェック情報生成部と、
前記取得処理部が取得した前記第1チェック情報と、前記チェック情報生成部が生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定する第2認証処理部と
を備える情報処理システム。 It is equipped with an information processing device and a server device that provides services to users.
The information processing device
A first authentication processing unit that transmits predetermined first authentication information to the server device, and
It is generated by a predetermined generation process based on at least one of the transmission time of the first authentication information, the source information indicating the source of the first authentication information, and the transmission path identification information received by the server device. The first check information and the second authentication information different from the first authentication information generated by the server device are acquired by a second transmission path different from the first transmission path for transmitting the first authentication information. Acquisition processing department and
A check information generation unit that generates a second check information by the predetermined generation process based on at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information.
When the first check information acquired by the acquisition processing unit and the second check information generated by the check information generation unit match, the second authentication information is sent to the server device by the first transmission path. An information processing system including a second authentication processing unit that determines that there is an abnormality in the first transmission path when the first check information and the second check information do not match.
請求項1に記載の情報処理システム。 When the first check information and the second check information do not match, the second authentication processing unit stops the transmission of the second authentication information and indicates that there is an abnormality in the first transmission path. The information processing system according to claim 1, which outputs a warning.
前記情報処理装置から前記サーバ装置宛に送信された前記第1認証情報の正当性が確認された場合に、前記第1チェック情報と、前記第2認証情報とを前記第2伝送経路により送信し、
前記第2伝送経路により送信した前記第2認証情報を、前記情報処理装置から前記第1伝送経路により受信した場合に、前記情報処理装置が正当であると判定する
請求項1又は請求項2に記載の情報処理システム。 The server device
When the validity of the first authentication information transmitted from the information processing device to the server device is confirmed, the first check information and the second authentication information are transmitted by the second transmission path. ,
The first or second aspect of claim 1 or 2, which determines that the information processing apparatus is valid when the second authentication information transmitted by the second transmission path is received from the information processing apparatus by the first transmission path. The information processing system described.
前記サーバ装置は、少なくとも受信した前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記一方向関数を用いて、前記第1チェック情報を生成し、
前記チェック情報生成部は、前記情報処理装置が保持する、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記一方向関数を用いて、前記第2チェック情報を生成する
請求項1から請求項3のいずれか一項に記載の情報処理システム。 The predetermined generation process is a generation process using a one-way function.
The server device uses the one-way function to obtain the first check information from information including at least one of the received transmission time of the first authentication information, the source information, and the transmission path identification information. Generate and
The check information generation unit uses the one-way function from the information held by the information processing apparatus, including at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. The information processing system according to any one of claims 1 to 3, which generates the second check information.
前記サーバ装置は、少なくとも受信した前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記暗号処理を用いて、前記第1チェック情報を生成し、
前記チェック情報生成部は、前記情報処理装置が保持する、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかを含む情報から、前記暗号処理を用いて、前記第2チェック情報を生成する
請求項1から請求項3のいずれか一項に記載の情報処理システム。 The predetermined generation process is a generation process using an encryption process.
The server device uses the encryption process to generate the first check information from information including at least one of the received transmission time of the first authentication information, the source information, and the transmission path identification information. death,
The check information generation unit uses the encryption process from information held by the information processing apparatus, including at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. The information processing system according to any one of claims 1 to 3, which generates the second check information.
前記チェック情報生成部は、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかと、前記表示情報とを含む情報に基づいて、前記第2チェック情報を生成する
請求項1から請求項5のいずれか一項に記載の情報処理システム。 The server device changes the display information of the target website provided by the server device according to the first authentication information, and at least the transmission time of the first authentication information received, the source information, and the transmission. The first check information is generated based on the information including any of the road identification information and the display information.
The check information generation unit generates the second check information based on information including at least one of the transmission time of the first authentication information, the source information, the transmission path identification information, and the display information. The information processing system according to any one of claims 1 to 5.
前記第2認証処理部は、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第3認証情報を前記第1伝送経路により前記サーバ装置宛に送信する
請求項1から請求項6のいずれか一項に記載の情報処理システム。 The server device transmits the first check information, the second authentication information, and the third authentication information different from the second authentication information to the information processing device by the second transmission path.
From claim 1, the second authentication processing unit transmits the third authentication information to the server device by the first transmission path when the first check information and the second check information do not match. The information processing system according to any one of claim 6.
前記情報処理装置から前記第2認証情報を受信した場合に、前記第1伝送経路が正常であり、且つ、前記情報処理装置が正当であると判定し、
前記情報処理装置から前記第3認証情報を受信した場合に、前記第1伝送経路に異常があると判定する
請求項7に記載の情報処理システム。 The server device
When the second authentication information is received from the information processing device, it is determined that the first transmission path is normal and the information processing device is valid.
The information processing system according to claim 7, wherein when the third authentication information is received from the information processing device, it is determined that there is an abnormality in the first transmission path.
前記サーバ装置が受信した、少なくとも前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により取得する取得処理部と、
少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するチェック情報生成部と、
前記取得処理部が取得した前記第1チェック情報と、前記チェック情報生成部が生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定する第2認証処理部と
を備える情報処理装置。 A first authentication processing unit that sends predetermined first authentication information to a server device that provides services to users, and
It is generated by a predetermined generation process based on at least one of the transmission time of the first authentication information, the source information indicating the source of the first authentication information, and the transmission path identification information received by the server device. The first check information and the second authentication information different from the first authentication information generated by the server device are acquired by a second transmission path different from the first transmission path for transmitting the first authentication information. Acquisition processing department and
A check information generation unit that generates a second check information by the predetermined generation process based on at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information.
When the first check information acquired by the acquisition processing unit and the second check information generated by the check information generation unit match, the second authentication information is sent to the server device by the first transmission path. An information processing device including a second authentication processing unit that determines that there is an abnormality in the first transmission path when the first check information and the second check information do not match.
前記情報処理装置が、予め定められた第1認証情報を、前記サーバ装置宛に送信するステップと、
前記サーバ装置が、少なくとも受信した前記第1認証情報の送信時刻、前記第1認証情報の送信元を示す送信元情報、及び送信路識別情報のいずれかに基づいて、所定の生成処理により生成された第1チェック情報と、前記サーバ装置が生成した前記第1認証情報とは異なる第2認証情報とを、前記第1認証情報を送信した第1伝送経路とは異なる第2伝送経路により送信するステップと、
前記情報処理装置が、少なくとも前記第1認証情報の送信時刻、前記送信元情報、及び前記送信路識別情報のいずれかに基づいて、前記所定の生成処理により、第2チェック情報を生成するステップと、
前記情報処理装置が、前記第2伝送経路により受信した前記第1チェック情報と、生成した前記第2チェック情報とが一致する場合に、前記第2認証情報を前記第1伝送経路により前記サーバ装置宛に送信し、前記第1チェック情報と、前記第2チェック情報とが一致しない場合に、前記第1伝送経路に異常があると判定するステップと
を含む情報処理方法。 It is an information processing method of an information processing system including an information processing device and a server device that provides a service to a user.
A step in which the information processing device transmits a predetermined first authentication information to the server device, and
The server device is generated by a predetermined generation process based on at least one of the received transmission time of the first authentication information, source information indicating the source of the first authentication information, and transmission path identification information. The first check information and the second authentication information different from the first authentication information generated by the server device are transmitted by a second transmission path different from the first transmission path to which the first authentication information is transmitted. Steps and
A step in which the information processing device generates second check information by the predetermined generation process based on at least one of the transmission time of the first authentication information, the source information, and the transmission path identification information. ,
When the information processing device matches the first check information received by the second transmission path with the generated second check information, the second authentication information is transmitted to the server device by the first transmission path. An information processing method including a step of transmitting to an address and determining that there is an abnormality in the first transmission path when the first check information and the second check information do not match.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020072078A JP7051930B2 (en) | 2020-04-14 | 2020-04-14 | Information processing system, information processing device, and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020072078A JP7051930B2 (en) | 2020-04-14 | 2020-04-14 | Information processing system, information processing device, and information processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021170695A true JP2021170695A (en) | 2021-10-28 |
JP7051930B2 JP7051930B2 (en) | 2022-04-11 |
Family
ID=78149882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020072078A Active JP7051930B2 (en) | 2020-04-14 | 2020-04-14 | Information processing system, information processing device, and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7051930B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10341224A (en) * | 1997-04-29 | 1998-12-22 | Kim Schmitz | Authentication method in data transmission system and system to execute the authentication method |
JP2002140302A (en) * | 2000-10-30 | 2002-05-17 | Naoki Hori | Method and device for authentication and terminal device |
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2009020650A (en) * | 2007-07-11 | 2009-01-29 | Chugoku Electric Power Co Inc:The | Personal authentication method and personal authentication system |
JP2016194902A (en) * | 2015-03-31 | 2016-11-17 | ブラザー工業株式会社 | Information input device and program |
-
2020
- 2020-04-14 JP JP2020072078A patent/JP7051930B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10341224A (en) * | 1997-04-29 | 1998-12-22 | Kim Schmitz | Authentication method in data transmission system and system to execute the authentication method |
JP2002140302A (en) * | 2000-10-30 | 2002-05-17 | Naoki Hori | Method and device for authentication and terminal device |
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2009020650A (en) * | 2007-07-11 | 2009-01-29 | Chugoku Electric Power Co Inc:The | Personal authentication method and personal authentication system |
JP2016194902A (en) * | 2015-03-31 | 2016-11-17 | ブラザー工業株式会社 | Information input device and program |
Also Published As
Publication number | Publication date |
---|---|
JP7051930B2 (en) | 2022-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9979719B2 (en) | System and method for converting one-time passcodes to app-based authentication | |
US8019995B2 (en) | Method and apparatus for preventing internet phishing attacks | |
CN104519042B (en) | Detect and prevent the man-in-the-middle attack on encryption connection | |
US8005965B2 (en) | Method and system for secure server-based session management using single-use HTTP cookies | |
AU2009294201B2 (en) | Authorization of server operations | |
JP5411204B2 (en) | Information processing apparatus and information processing method | |
CN107295011B (en) | Webpage security authentication method and device | |
US20080284565A1 (en) | Apparatus, System and Methods for Supporting an Authentication Process | |
JP2007058469A (en) | Authentication system, authentication server, authentication method, and authentication program | |
CN108322416B (en) | Security authentication implementation method, device and system | |
CN101495956A (en) | Extended one-time password method and apparatus | |
WO2006017105A2 (en) | Apparatus for partial authentication of messages | |
JP2007102778A (en) | User authentication system and method therefor | |
CN105450413B (en) | A kind of setting method of password, device and system | |
US11611551B2 (en) | Authenticate a first device based on a push message to a second device | |
JP6740545B2 (en) | Information processing device, verification device, information processing system, information processing method, and program | |
JP2008048135A (en) | Two-dimensional code-using system | |
CN107548542B (en) | User authentication method with enhanced integrity and security | |
CN103368918A (en) | Method, device and system for dynamic password authentication | |
CN109729045B (en) | Single sign-on method, system, server and storage medium | |
KR20090097036A (en) | Otp generating method for using the sms, and personal identification method and system for using the same | |
JP7051930B2 (en) | Information processing system, information processing device, and information processing method | |
JPWO2019234801A1 (en) | Service provision system and service provision method | |
KR20200067987A (en) | Method of login control | |
Varshney et al. | A new secure authentication scheme for web login using BLE smart devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210322 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220209 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220322 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220330 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7051930 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |