JP2023073844A - Authentication system, authentication terminal, and authentication program - Google Patents
Authentication system, authentication terminal, and authentication program Download PDFInfo
- Publication number
- JP2023073844A JP2023073844A JP2021186556A JP2021186556A JP2023073844A JP 2023073844 A JP2023073844 A JP 2023073844A JP 2021186556 A JP2021186556 A JP 2021186556A JP 2021186556 A JP2021186556 A JP 2021186556A JP 2023073844 A JP2023073844 A JP 2023073844A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- processing server
- terminal
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 94
- 230000005540 biological transmission Effects 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Abstract
Description
本発明は、SMSを用いた多段階の認証システムに関する。 The present invention relates to a multi-step authentication system using SMS.
従来、ユーザ認証時のセキュリティ向上のため、携帯端末のSMSを用いた二段階認証が多く採用されているが(例えば、特許文献1参照)、近年、マルウェアによるSMS盗聴を用いた攻撃による被害が増加している。
こうした攻撃に対策するため、Authenticatorアプリによる認証やFIDO(登録商標)による認証などが提案されている。
Conventionally, two-step authentication using SMS on mobile terminals has been widely adopted to improve security at the time of user authentication (see, for example, Patent Document 1). It has increased.
As countermeasures against such attacks, authentication using an Authenticator application, authentication using FIDO (registered trademark), and the like have been proposed.
しかしながら、Authenticatorアプリによる認証、又はFIDOによる認証といった従来の認証方式は、端末紛失時にログイン不可となることから、端末紛失時向けの認証手段を別途提供しなければならないため、プライマリの認証手段とはなり得ない。 However, conventional authentication methods such as authentication by an Authenticator application or authentication by FIDO make it impossible to log in when a device is lost. can't be
一方、電話番号に紐づくSMSは、端末紛失時でも店頭での復旧が可能であり、キャリア変更時又は機種変更時でも継続されることから重要性が高い。したがって、SMS認証にAuthenticatorアプリによる認証やFIDOによる認証と同等の安全性が求められている。 On the other hand, SMS linked to a phone number is highly important because it can be recovered at the store even when the terminal is lost, and can be continued even when the carrier is changed or the model is changed. Therefore, SMS authentication is required to have security equivalent to authentication by an Authenticator application or authentication by FIDO.
本発明は、SMS認証の安全性を向上した多段階の認証システムを提供することを目的とする。 SUMMARY OF THE INVENTION It is an object of the present invention to provide a multi-step authentication system that improves the security of SMS authentication.
本発明に係る認証システムは、ログイン端末からアクセスされる処理サーバと、当該処理サーバに登録されたユーザの認証端末と、を備え、前記処理サーバは、前記ログイン端末からのユーザIDを伴うアクセスに対して、認証用のメッセージを当該ユーザIDに紐づく電話番号により前記認証端末へ送信する認証メッセージ送信部と、前記認証端末からの追加認証要求に応じて、対応可能であることを示すメッセージを前記電話番号により前記認証端末へ送信する対応通知送信部と、前記認証端末から、前記認証用のメッセージに基づく認証情報とともに、送信元のアプリケーションを特定する情報を受信すると、当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証する追加認証部と、を備え、前記認証端末は、前記認証用のメッセージを所定のアプリケーションにより受信する認証情報受信部と、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて自端末の電話番号を伴う前記追加認証要求を送信する認証要求送信部と、前記処理サーバから前記対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションにより前記ユーザに対して承認画面を表示する承認画面表示部と、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信する認証情報送信部と、を備える。 An authentication system according to the present invention comprises a processing server accessed from a login terminal, and an authentication terminal of a user registered in the processing server. In response to this, an authentication message transmission unit that transmits an authentication message to the authentication terminal using a telephone number associated with the user ID, and a message indicating that it is possible to respond to an additional authentication request from the authentication terminal. When receiving from the authentication terminal, together with authentication information based on the authentication message, authentication information based on the authentication message and information specifying a transmission source application, the application is defined in advance. an additional authentication unit that authenticates access from the login terminal when the application is a specific application, the authentication terminal includes an authentication information reception unit that receives the message for authentication by a predetermined application; an authentication request transmitting unit for transmitting the additional authentication request accompanied by the telephone number of the terminal to the processing server in response to receiving the message for authentication; and the processing server indicating that the response is possible. an approval screen display unit for displaying an approval screen to the user by the predetermined application when the message is received; and an authentication information transmitting unit configured to transmit information specifying the predetermined application to the processing server.
前記認証情報送信部は、前記認証情報及び前記所定のアプリケーションを特定する情報を、当該アプリケーションに固有の秘密鍵による署名を付加して送信し、前記追加認証部は、前記所定のアプリケーションの認証サーバにおいて提供される前記秘密鍵に対応した公開鍵を取得することで、当該アプリケーションの正当性を検証してもよい。 The authentication information transmission unit transmits the authentication information and information specifying the predetermined application with a signature using a private key unique to the application, and the additional authentication unit is an authentication server for the predetermined application. The validity of the application may be verified by obtaining a public key corresponding to the private key provided in .
前記認証情報送信部は、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記認証サーバを経由して前記処理サーバへ送信してもよい。 The authentication information transmission unit may transmit information specifying the predetermined application to the processing server via the authentication server together with authentication information based on the authentication message.
前記対応通知送信部は、前記対応可能であることを示すメッセージを送信するとともに、前記ログイン端末に対して、前記所定のアプリケーションへの承認操作を求める画面を表示させてもよい。 The response notification transmission unit may transmit the message indicating that the response is possible, and cause the login terminal to display a screen requesting an approval operation for the predetermined application.
本発明に係る認証端末は、ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを、所定のアプリケーションにより受信する認証情報受信部と、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信部と、前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションによりユーザに対して承認画面を表示する承認画面表示部と、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信部と、を備える。 The authentication terminal according to the present invention, in response to access to a processing server with a user ID from a login terminal, sends an authentication message sent from the processing server by a telephone number associated with the user ID to a predetermined application. an authentication information receiving unit that receives the authentication message from the above; an authentication request sending unit that sends an additional authentication request accompanied by the telephone number to the processing server in response to receiving the authentication message; an approval screen display unit for displaying an approval screen to the user by the predetermined application upon receiving a message indicating that the processing server is ready to respond, which is transmitted from the processing server using the telephone number in response to the request; When the approval operation from the user is received, information identifying the predetermined application is transmitted to the processing server together with authentication information based on the authentication message, so that the application is pre-registered in the processing server. an authentication information transmitting unit that authenticates access from the login terminal when the application is a prescribed specific application.
本発明に係る認証プログラムは、ユーザの認証端末が有する認証プログラムであって、ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを受信する認証情報受信ステップと、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信ステップと、前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、ユーザに対して承認画面を表示する承認画面表示ステップと、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記認証プログラムを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該認証プログラムが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信ステップと、を前記認証端末に実行させるためのものである。 An authentication program according to the present invention is an authentication program possessed by a user's authentication terminal, and in response to access to a processing server with a user ID from a login terminal, the processing server uses a telephone number linked to the user ID. an authentication information receiving step of receiving the transmitted authentication message; and an authentication request sending step of sending an additional authentication request accompanied by the telephone number to the processing server in response to receiving the authentication message. an approval screen display step of displaying an approval screen to a user upon receiving a message indicating that the processing server can respond to the additional authentication request by using the telephone number; When an approval operation is received from the user on the screen, information specifying the authentication program is sent to the processing server together with authentication information based on the authentication message, so that the authentication program in the processing server is a predetermined specific application, an authentication information transmission step for authenticating access from the login terminal is performed by the authentication terminal.
本発明によれば、多段階の認証システムにおいて、SMS認証の安全性を向上できる。 According to the present invention, the security of SMS authentication can be improved in a multi-step authentication system.
以下、本発明の実施形態の一例について説明する。
本実施形態の認証方法は、ID及びパスワードなどによる第1の認証に続いて、認証用の端末に対してSMSで通知されたワンタイムパスワード(OTP)を入力するといった複数段階のユーザ認証を行うシステムに対して適用される。
すなわち、SMSを受信した特定のアプリケーションに対してユーザ自身が承認操作をすると、アクセス先において、この特定のアプリケーションの正当性を検証することで追加認証が実施される。
An example of an embodiment of the present invention will be described below.
The authentication method of this embodiment performs multi-step user authentication such as inputting a one-time password (OTP) notified by SMS to a terminal for authentication, following first authentication using an ID and a password. applied to the system.
That is, when the user himself/herself approves a specific application that has received an SMS, additional authentication is performed by verifying the legitimacy of this specific application at the access destination.
図1は、本実施形態における認証システム1の機能構成を示す図である。
認証システム1は、ログイン端末10が処理サーバ20へアクセスする際の追加ユーザ認証を実施するための構成として、処理サーバ20と、この処理サーバ20に登録されているユーザが保有する認証端末30とを備えている。
FIG. 1 is a diagram showing the functional configuration of an
The
ログイン端末10は、例えば、パーソナルコンピュータ又は携帯端末などの情報処理装置であり、処理サーバ20が提供するサービスを利用する。
The
認証端末30は、ログイン端末10のユーザを認証するために、処理サーバ20に登録された電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
また、認証端末30では、SMSを受信する所定のアプリケーション(以下、SMS認証アプリという)が動作する。このSMS認証アプリは、認証サーバ40との間で相互認証され、二者間で安全に通信できる。
The
Further, in the
処理サーバ20の制御部21は、記憶部22に記憶されたソフトウェアを実行することにより、認証メッセージ送信部211、対応通知送信部212、追加認証部213として機能する。
The
認証メッセージ送信部211は、ログイン端末10からのユーザIDを伴うアクセスに対して、認証用のSMSを、このユーザIDに紐づく電話番号により認証端末30へ送信する。
The authentication message sending unit 211 sends an SMS for authentication to the
対応通知送信部212は、認証端末30からの追加認証要求に応じて、対応可能であることを示すSMSを電話番号により認証端末30へ送信する。
In response to the additional authentication request from the
追加認証部213は、認証端末30から、認証用のSMSに記載された認証情報としてのOTPとともに、送信元のアプリケーションを特定する情報を受信すると、このアプリケーションが予め規定された特定のアプリケーション(SMS認証アプリ)である場合に、ログイン端末10からのアクセスを認証する。
なお、記憶部22には、予め、信頼できる特定のアプリケーションの識別情報が記録されているものとする。
When
It is assumed that identification information of a specific reliable application is recorded in advance in the
認証端末30の制御部31は、記憶部32に記憶されたSMS認証アプリ(認証プログラム)を実行することにより、認証情報受信部311、認証要求送信部312、承認画面表示部313、認証情報送信部314として機能する。
By executing the SMS authentication application (authentication program) stored in the
認証情報受信部311は、認証用のSMSを受信する。
認証要求送信部312は、認証情報受信部311が認証用のSMSを受信したことに応じて、送信元である処理サーバ20に宛てて自端末(認証端末30)の電話番号を伴う追加認証要求を送信する。
The authentication
In response to the authentication
承認画面表示部313は、処理サーバ20から追加認証に対応可能であることを示すSMSを受信すると、自動で又はユーザ操作に応じて承認画面を表示する。
When the approval
認証情報送信部314は、承認画面に対するユーザからの承認操作を受け付けると、認証用のSMSに記載された認証情報であるOTPとともに、自身(SMS認証アプリ)を特定する情報を、処理サーバ20に宛てて送信する。
Upon receiving an approval operation from the user on the approval screen, the authentication
図2は、本実施形態における認証システム1による認証手順を例示するシーケンス図である。
FIG. 2 is a sequence diagram illustrating an authentication procedure by the
ステップS1において、ユーザは、ログイン端末10で動作するブラウザから、処理サーバ20が提供する対象のサービスにアクセスする。
In step S<b>1 , the user accesses a target service provided by the
ステップS2において、ログイン端末10(ブラウザ)は、処理サーバ20にアクセスし、処理サーバ20は、ログインページをログイン端末10に返却する。
In step S<b>2 , the login terminal 10 (browser) accesses the
ステップS3において、ユーザは、表示されたログインページにID及びパスワードを入力する。 In step S3, the user enters an ID and password on the displayed login page.
ステップS4において、ログイン端末10(ブラウザ)は、入力されたID及びパスワードを処理サーバ20に送信し、処理サーバ20は、ログイン中ページをログイン端末10に返却する。
In step S<b>4 , the login terminal 10 (browser) transmits the input ID and password to the
ステップS5において、処理サーバ20は、記憶部22に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末30に対してOTP及び送信元ドメインを含むSMSを送信する。
In step S5, the
ステップS6において、認証端末30(SMS認証アプリ)は、受信したSMSが「OTP及び送信元ドメインを含むSMS」であった場合、送信元ドメインの処理サーバ20に対し、認証端末30の電話番号を送信する。
なお、この電話番号の送信は、SMS認証アプリの認証サーバ40経由であってもよい。
In step S6, the authentication terminal 30 (SMS authentication application) sends the phone number of the
This phone number may be sent via the
ステップS7において、処理サーバ20は、追加認証への対応可否を認証端末30に返却する。
なお、処理サーバ20は、対応可否を明示的に通知してもよいが、単に応答した事実を対応可であることとしてもよい。
In step S7, the
Note that the
ステップS8において、認証端末30(SMS認証アプリ)は、処理サーバ20が追加認証に対応可であった場合、ユーザに承認操作を求める承認画面を自動表示、あるいは、通知に基づいてユーザに承認画面を表示させる。
In step S8, if the
ステップS9において、ユーザは、承認画面に対して所定の承認操作(例えば、ボタン押下、又はさらにOTPの入力など)を行う。 In step S9, the user performs a predetermined approval operation (for example, pressing a button or further inputting an OTP) on the approval screen.
ステップS10において、認証端末30(SMS認証アプリ)は、送信元ドメインの処理サーバ20に対し、認証端末30を識別する電話番号と認証情報であるOTP、さらには、SMS認証アプリを特定する情報(アプリ名、アプリドメインなど)を送信する。
なお、これらのデータの送信経路は、処理サーバ20へ直接、又は認証サーバ40経由であってもよい。
In step S10, the authentication terminal 30 (SMS authentication application) sends the
The transmission path of these data may be directly to the
ステップS11において、ユーザは、ログイン中ページを更新(ボタンを押下)、又は自動更新を待つ。これにより、ログイン端末10(ブラウザ)は、処理サーバ20に認証の状態を確認する。
In step S11, the user updates the login page (by pressing a button) or waits for automatic update. As a result, the login terminal 10 (browser) confirms the authentication status with the
ステップS12において、処理サーバ20は、受信した電話番号、OTP、及び送信元のSMS認証アプリが正当であることを確認し、ログイン端末10に対して認証情報を送信しログインを完了する。
In step S12, the
なお、この処理手順は一例であり、処理サーバ20におけるSMS認証アプリの認証強度を高めるなど、実装上の改変は適宜行われてよい。
It should be noted that this processing procedure is only an example, and modifications in terms of implementation, such as increasing the authentication strength of the SMS authentication application in the
例えば、シーケンス(図2)のステップS6について、認証端末30(SMS認証アプリ)は、次のようなURLにアクセスして処理サーバ20の対応状況を事前に確認してもよい。
https://[host]/sms-otp-configuration
For example, in step S6 of the sequence (FIG. 2), the authentication terminal 30 (SMS authentication application) may access the following URL and check the support status of the
https://[host]/sms-otp-configuration
これに対して、処理サーバ20は、例えば返値を次のようにして、電話番号の送信先URL("sms-opt-start")と公開鍵("n")とを記載しておく。
{
"sms-otp-start" : "https://[host]/api/sms-otp-start",
"sms-otp-confirm" : "https://[host]/api/sms-otp-confirm",
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
In response to this, the
{
"sms-otp-start" : "https://[host]/api/sms-otp-start",
"sms-otp-confirm" : "https://[host]/api/sms-otp-confirm",
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
認証端末30(SMS認証アプリ)は、通知されたURLに対して電話番号(MSISDN)などの情報を送信するが、電話番号そのままではなく、「nonce+MSISDNのハッシュ値とnonce」の形で送信してもよい。SMSは悪意の送信者が送信元ドメインを偽ることが可能であり、SMS認証アプリに対して意図しない電話番号の送信をさせる可能性があるため、これにより、第三者に対して送信データを秘匿することができる。 The authentication terminal 30 (SMS authentication application) transmits information such as the telephone number (MSISDN) to the notified URL, but not the telephone number as it is, but in the form of "nonce + hash value of MSISDN and nonce". good too. With SMS, malicious senders can spoof the source domain and can cause SMS authentication apps to send unintended phone numbers. can be kept secret.
さらに、認証端末30(SMS認証アプリ)は、電話番号に加えて、アプリ名又はアプリドメインと、SMS認証アプリの保持する秘密鍵で行った署名を送信してもよい。なお、秘密鍵をSMS認証アプリのバイナリ中ではなく認証サーバ40に保持し、認証端末30(SMS認証アプリ)は、認証サーバ40経由で署名を送信してもよい。
具体的には、認証端末30(SMS認証アプリ)は、処理サーバ20に対して次のようにアクセスする。
https://[host]/api/sms-otp-start?
nonce=AAAA
&msisdn=XXXXXXXXXXXX
&appdomain=****.com
&domainsign=YYYYYYYYY
Furthermore, the authentication terminal 30 (SMS authentication application) may transmit an application name or an application domain and a signature made with a secret key held by the SMS authentication application in addition to the phone number. Note that the private key may be held in the
Specifically, the authentication terminal 30 (SMS authentication application) accesses the
https://[host]/api/sms-otp-start?
nonce=AAAA
&msisdn=XXXXXXXXXXXX
&appdomain=****.com
&domainsign=YYYYYYYYY
処理サーバ20は、現在認証中の電話番号について、nonce+MSISDNのハッシュを計算し、現在認証中であることを確認する。
次に、処理サーバ20は、アプリドメイン(appdomain)に基づいて、SMS認証アプリの提供者が提供する認証サーバ40に次のようにアクセスする。
https://[appdomain]/sms-otp-sender-configration
The
Next, the
https://[appdomain]/sms-otp-sender-configuration
認証サーバ40は、次のように応答し、署名に用いられた秘密鍵に対応する公開鍵を処理サーバ20に返す。
{
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
The
{
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
処理サーバ20は、この公開鍵を用いて、nonce+appdomainの署名がdomainsignであることを確認する。ここで、処理サーバ20は、appdomainが不正なものでないことを確認し、問題ない場合、次のように返信する。なお、useragent及びfromの国名は、ID及びパスワードを送信してきたアクセス時のアクアセス元情報である。
{
"auth-status" : "OK",
"useragent" : "XXXXXXXX",
"from" : "Japan"
}
The
{
"auth-status" : "OK",
"useragent" : "XXXXXXXX",
"from" : "Japan"
}
処理サーバ20は、認証用のSMSを送信後、前述のアクセスがあると、認証端末30にSMS認証アプリがインストールされていると判断して、OTPの入力窓ではなく、SMS認証アプリでの承認操作を求める画面をログイン端末10に表示させる。
After sending the SMS for authentication, the
また、シーケンス(図2)において、ユーザがSMS認証アプリで承認操作を行った後のステップS10について、認証端末30は、処理サーバ20から通知されたURL("sms-otp-confirm")に対して、電話番号及びOTPを送信するが、ここでもステップS6と同様に認証強度を高めることができる。
すなわち、認証端末30は、「nonce+MSISDNのハッシュ値及びnonce」と「nonce+MSISDN+OTPのハッシュ値及びnonce」を送信してもよい。また、処理サーバ20が前述のアクセス元情報の返却時にトークンを返却し、このトークンを「nonce+MSISDNのハッシュ値及びnonce」の代わりに用いることもできる。
Further, in the sequence (FIG. 2), the
That is, the
また、ステップS10における追加認証では、SMS認証アプリの検証パターンとして、例えば、次の(1)~(4)のいずれかが採用可能である。 Further, in the additional authentication in step S10, for example, any one of the following (1) to (4) can be adopted as the verification pattern of the SMS authentication application.
(1)署名なしのパターン:
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、自身の電話番号、OTP及びアプリ名を送信する。
処理サーバ20は、アプリ名により安全性を判定する。
(1) Unsigned pattern:
The authentication terminal 30 (SMS authentication application) transmits its own telephone number, OTP, and application name to the
The
(2)SMS認証アプリ内の鍵を利用した署名パターン:
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、アプリドメイン、自身の電話番号、OTP、及びアプリ内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」を送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
(2) Signature pattern using the key in the SMS authentication app:
The authentication terminal 30 (SMS authentication application) sends the "application domain and phone number and OTP”.
The
(3)認証サーバ40内の鍵を利用した署名パターン:
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、アプリドメイン、電話番号、OTP、及び認証サーバ40内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」をSMS認証アプリに送信する。
(3) Signature pattern using the key in the authentication server 40:
Authentication terminal 30 (SMS authentication application) transmits its own phone number and OTP to
The
SMS認証アプリは、アプリドメイン、電話番号、OTP及び認証サーバ40から受信した「アプリドメインと電話番号とOTPとを対象に含む署名」を、送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
The SMS authentication application transmits the application domain, the telephone number, the OTP, and the "signature including the application domain, the telephone number, and the OTP" received from the
The
(4)認証サーバ40を中継するパターン:
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、電話番号とOTPとを送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アクセス元である認証サーバ40のIPアドレス、又はSSLサーバ証明書/クライアント証明書などにより安全性を判定する。
(4) Pattern for relaying authentication server 40:
Authentication terminal 30 (SMS authentication application) transmits its own phone number and OTP to
The
The
本実施形態によれば、認証システム1は、SMS認証の際に、認証端末30のSMS認証アプリがユーザ自身の承認操作を受け付けたことに応じて、このSMS認証アプリから処理サーバ20に対してOTPを送信する。処理サーバ20は、このSMS認証アプリの正当性を検証する追加認証を行うことにより、多段階の認証システム1において、SMS盗聴マルウェアに対抗でき、SMS認証の安全性を向上できる。
According to the present embodiment, the
さらに、認証システム1は、処理サーバ20が追加認証に非対応の場合であっても、OTPのみを受け付ける従来のシーケンスによりSMS認証を完了できるので、既存の実装に容易に適合し汎用性が高い。
また、追加認証に非対応の認証端末であっても、従来のシーケンスによりSMS認証を完了できる。
なお、処理サーバ20は、追加認証のシーケンスと従来のシーケンスとの出し分けを行う場合、SMS認証アプリからのアクセスの可能性がある一定時間はログインを完了させないことが好ましい。
Furthermore, even if the
Also, even if the authentication terminal does not support additional authentication, SMS authentication can be completed by the conventional sequence.
Note that when the
認証システム1は、認証端末30から処理サーバ20に対して、SMS認証アプリを特定する情報に署名を付して送信することにより、認証サーバ40から公開鍵を取得することでSMS認証アプリの正当性を適切に検証できる。
また、認証サーバ40を経由して処理サーバ20へデータ送信することで、SMS認証アプリと相互認証済みの認証サーバ40から、追加認証のための情報を安全に提供できる。
The
In addition, by transmitting data to the
処理サーバ20は、追加認証に対応可能であることを示すメッセージを認証端末30に送信するとともに、ログイン端末10に対して、SMS認証アプリへの承認操作を求める画面を表示させることで、より安全な追加認証の手順をユーザに適切に通知することができる。
The
なお、前述の実施形態により、例えば、マルウェア攻撃に強いSMS認証を実現し不正アクセス被害を低減できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。 In addition, according to the above-described embodiment, for example, SMS authentication that is resistant to malware attacks can be realized and unauthorized access damage can be reduced. It will be possible to contribute to the promotion of sustainable industrialization and the expansion of innovation.
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Moreover, the effects described in the above-described embodiments are merely enumerations of the most suitable effects produced by the present invention, and the effects of the present invention are not limited to those described in the embodiments.
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
An authentication method by the
1 認証システム
10 ログイン端末
20 処理サーバ
21 制御部
22 記憶部
30 認証端末
31 制御部
32 記憶部
40 認証サーバ
211 認証メッセージ送信部
212 対応通知送信部
213 追加認証部
311 認証情報受信部
312 認証要求送信部
313 承認画面表示部
314 認証情報送信部
1
Claims (6)
前記処理サーバは、
前記ログイン端末からのユーザIDを伴うアクセスに対して、認証用のメッセージを当該ユーザIDに紐づく電話番号により前記認証端末へ送信する認証メッセージ送信部と、
前記認証端末からの追加認証要求に応じて、対応可能であることを示すメッセージを前記電話番号により前記認証端末へ送信する対応通知送信部と、
前記認証端末から、前記認証用のメッセージに基づく認証情報とともに、送信元のアプリケーションを特定する情報を受信すると、当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証する追加認証部と、を備え、
前記認証端末は、
前記認証用のメッセージを所定のアプリケーションにより受信する認証情報受信部と、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて自端末の電話番号を伴う前記追加認証要求を送信する認証要求送信部と、
前記処理サーバから前記対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションにより前記ユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信する認証情報送信部と、を備える認証システム。 An authentication system comprising a processing server accessed from a login terminal and a user authentication terminal registered in the processing server,
The processing server is
an authentication message sending unit that sends an authentication message to the authentication terminal using a telephone number associated with the user ID in response to access from the login terminal with the user ID;
a response notification transmission unit that transmits a message indicating that it is possible to respond to an additional authentication request from the authentication terminal to the authentication terminal using the telephone number;
When receiving from the authentication terminal, authentication information based on the authentication message and information specifying a source application, if the application is a predetermined specific application, access from the login terminal is prohibited. an additional authenticator that authenticates,
The authentication terminal is
an authentication information receiving unit for receiving the authentication message by a predetermined application;
an authentication request transmission unit that transmits the additional authentication request accompanied by the phone number of the terminal to the processing server in response to receiving the authentication message;
an approval screen display unit for displaying an approval screen to the user by the predetermined application when receiving the message indicating that the response is possible from the processing server;
an authentication information transmitting unit configured to transmit information identifying the predetermined application together with authentication information based on the authentication message to the processing server when an approval operation is received from the user on the approval screen; authentication system.
前記追加認証部は、前記所定のアプリケーションの認証サーバにおいて提供される前記秘密鍵に対応した公開鍵を取得することで、当該アプリケーションの正当性を検証する請求項1に記載の認証システム。 The authentication information transmission unit transmits the authentication information and the information specifying the predetermined application with a signature using a private key unique to the application, and
2. The authentication system according to claim 1, wherein said additional authentication unit verifies the validity of said application by acquiring a public key corresponding to said private key provided by an authentication server of said predetermined application.
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信部と、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションによりユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信部と、を備える認証端末。 an authentication information receiving unit that receives, by a predetermined application, an authentication message sent from the processing server by a telephone number associated with the user ID in response to access to the processing server with the user ID from the login terminal; ,
an authentication request transmission unit that transmits an additional authentication request accompanied by the telephone number to the processing server in response to receiving the authentication message;
an approval screen display unit for displaying an approval screen to a user by the predetermined application upon receiving a message indicating that the processing server can respond, which is transmitted from the processing server through the telephone number in response to the additional authentication request; ,
Upon receiving an approval operation from the user on the approval screen, authentication information based on the authentication message and information specifying the predetermined application are transmitted to the processing server, thereby causing the processing server to: an authentication information transmitting unit that authenticates access from the login terminal when the application is a predetermined specific application.
ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを受信する認証情報受信ステップと、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信ステップと、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、ユーザに対して承認画面を表示する承認画面表示ステップと、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記認証プログラムを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該認証プログラムが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信ステップと、を前記認証端末に実行させるための認証プログラム。 An authentication program possessed by a user's authentication terminal,
an authentication information receiving step of receiving an authentication message sent from the processing server by a telephone number associated with the user ID in response to access to the processing server with the user ID from the login terminal;
an authentication request transmission step of transmitting an additional authentication request accompanied by the telephone number to the processing server in response to receiving the authentication message;
an approval screen display step of displaying an approval screen to a user upon receipt of a message indicating that the processing server is ready to respond, which is transmitted from the processing server through the telephone number in response to the additional authentication request;
When an approval operation is received from the user on the approval screen, authentication information based on the authentication message and information specifying the authentication program are transmitted to the processing server, thereby allowing the processing server to perform the authentication. and an authentication information transmission step for authenticating access from the login terminal when the authentication program is a predetermined specific application.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021186556A JP2023073844A (en) | 2021-11-16 | 2021-11-16 | Authentication system, authentication terminal, and authentication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021186556A JP2023073844A (en) | 2021-11-16 | 2021-11-16 | Authentication system, authentication terminal, and authentication program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023073844A true JP2023073844A (en) | 2023-05-26 |
Family
ID=86425696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021186556A Pending JP2023073844A (en) | 2021-11-16 | 2021-11-16 | Authentication system, authentication terminal, and authentication program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023073844A (en) |
-
2021
- 2021-11-16 JP JP2021186556A patent/JP2023073844A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9979719B2 (en) | System and method for converting one-time passcodes to app-based authentication | |
JP5719871B2 (en) | Method and apparatus for preventing phishing attacks | |
US8893251B2 (en) | System and method for embedded authentication | |
US20170353442A1 (en) | Proximity-based authentication | |
US8510811B2 (en) | Network transaction verification and authentication | |
EP3208732A1 (en) | Method and system for authentication | |
US20110219427A1 (en) | Smart Device User Authentication | |
JP5844471B2 (en) | How to control access to Internet-based applications | |
JP2017521934A (en) | Method of mutual verification between client and server | |
WO2015007231A1 (en) | Method and device for identification of malicious url | |
KR20090089394A (en) | Secure password distribution to a client device of a network | |
JPWO2011083867A1 (en) | Authentication device, authentication method, and program | |
KR20210116407A (en) | Cross authentication method and system between online service server and client | |
US20170230416A1 (en) | System and methods for preventing phishing attack using dynamic identifier | |
JP3914152B2 (en) | Authentication server, authentication system, and authentication program | |
JP2023073844A (en) | Authentication system, authentication terminal, and authentication program | |
CN112966242A (en) | User name and password authentication method, device and equipment and readable storage medium | |
JP7403430B2 (en) | Authentication device, authentication method and authentication program | |
JP2019075140A (en) | Authentication server, authentication system, and program | |
JP2015176167A (en) | Network authentication method for secure user identification information verification | |
KR101405832B1 (en) | Login system and method through an authentication of user's mobile telecommunication | |
US11968531B2 (en) | Token, particularly OTP, based authentication system and method | |
CN114640460B (en) | User login method, device, equipment and medium in application program | |
JP2023081604A (en) | Authentication system, authentication terminal, authentication server, and authentication program | |
JP2007304974A (en) | Service providing server, authentication server, and authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |