JP2023118166A - 認証システム及びコンピュータプログラム - Google Patents
認証システム及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2023118166A JP2023118166A JP2022020952A JP2022020952A JP2023118166A JP 2023118166 A JP2023118166 A JP 2023118166A JP 2022020952 A JP2022020952 A JP 2022020952A JP 2022020952 A JP2022020952 A JP 2022020952A JP 2023118166 A JP2023118166 A JP 2023118166A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user terminal
- authentication code
- url
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004590 computer program Methods 0.000 title claims description 5
- 230000005540 biological transmission Effects 0.000 claims abstract description 27
- 230000010365 information processing Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 230000007704 transition Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
1.攻撃者からユーザに偽のSMS(フィッシングSMS)が送られる。
2.ユーザはフィッシングSMSに表示されている偽サイト(フィッシングサイト)へアクセスする。
3.正規サイトを装ったフィッシングサイトにおいて、ユーザはID及びパスワードを入力する。続いて認証番号の入力が求められる。
4.攻撃者はフィッシングサイトにおいてユーザのID及びパスワードを取得し、これらを使用して正規サイトにログインする。
5.正規サイトからユーザに認証番号が送られる。
6.ユーザは送られてきた認証番号をフィッシングサイトの認証番号入力画面に入力する。
7.攻撃者はフィッシングサイトにおいて認証番号を取得し、これを取引パスワード入力画面に入力して正規サイトで各種の手続き(例えば送金など)を行う。
ユーザが使用するユーザ端末にインストールされているアプリケーションソフトウェアの利用時又はWebサービスを提供するサーバへアクセスして前記Webサービスを利用する時に前記ユーザ端末に係るユーザを認証する認証システムであって、
前記サーバに対する前記ユーザ端末への認証コードの送信要求を受け付ける認証コード送信要求受付手段と、
前記認証コードの送信要求を受け付け、前記認証コードが付帯した認証用URLを前記ユーザ端末に送信する認証用URL生成手段と、
前記ユーザ端末に表示される前記認証用URLの選択操作に基づいて、前記認証用URLの生成元の前記サーバに対する前記認証コードの認証実行要求を受け付ける認証コード認証実行要求受付手段と、
前記認証用URLにおいて前記認証コードの認証実行要求に係る認証コードを認証する認証手段と、を備える
ことを特徴とする認証システム。
[1]に記載した認証システムとしてコンピュータを機能させるためのコンピュータプログラム。
ユーザ端末2は、金融機関が提供するサービスを利用するユーザが使用する端末であって、パーソナルコンピュータ、スマートフォン、タブレット、等の端末である。図示していないが、ユーザ端末2は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、サーバ3と各種情報の送受信を行う通信部と、サーバ3へアクセスし金融機関が提供するWebサービスを利用するためのウェブブラウザを備えている。
サーバ3は、金融機関が管理する各種サーバで構成される。一例として、金融機関がユーザに対して各種サービスを提供するため、アクセスしてきたユーザ端末2に対して金融機関のサービスに係るWebサイトを提供するWebサーバとしての機能を含むサーバである。図示していないが、サーバ3は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、ユーザ端末2と各種情報の送受信を行う通信部と、を備えている。また、サーバについては一もしくは複数の機器から構成してもよく、又はクラウド上で実現されるサーバであってもよい。
図2及び図3を参照して、本実施形態の認証システム1の処理フローの一例を説明する。
ユーザ端末2においてアプリケーションソフトウェア5が起動すると、画面遷移制御手段はユーザ端末2の表示画面を所定のログイン画面へと遷移する処理を行う。要素認証実行要求受付手段6は、サーバ3に対するユーザの認証要素の認証実行要求を受け付ける処理を行う。本実施形態では前記ログイン画面において、図3(a)に示すようなログインID及びパスワードといった認証要素の入力をユーザ端末2に求める。ユーザがユーザ端末2を操作してログインID及びパスワードといった認証要素を入力すると、要素認証実行要求受付手段6は、入力された認証要素をサーバ3に送信し、認証実行を要求する。
サーバ3では、認証手段10は、要素認証実行要求受付手段6が受け付けた認証要素を認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。
要素認証が正常に行われた場合、ユーザ端末2では、認証コード送信要求受付手段7は、サーバ3に対するユーザ端末2への認証コードの送信要求を受け付ける処理を行う。本実施形態では、例えば入出金サービスを利用する際に取引パスワードが要求される場合において、図3(b)に示すようなSMSによる認証コードの送信要求を受け付けるアイコンが表示される。ユーザがユーザ端末2を操作して前記アイコンを選択すると、認証コード送信要求受付手段7は、ユーザ端末2に対して認証コードをショートメッセージで送信するようサーバ3へ要求する。画面遷移制御手段はユーザ端末2の表示画面を図3(c)に示すような認証コード送信要求完了画面へと遷移する処理を行う。
サーバ3では、認証用URL生成手段8は、認証コード送信要求受付手段7からのユーザ端末2への認証コードの送信要求を受け付け、認証コード及び当該認証コードが付帯した認証用URLを生成する処理を行う。本実施形態では、認証用URL生成手段8は、認証コード送信要求に対して所定の認証コードを生成するとともに、前記認証コードが付帯し、認証用Webサイトへのリンク先となる認証用URLを生成する。前記認証用URLは一例としてユニバーサルリンクを採用することができる。認証用URL生成手段8は、生成した認証用URLを認証コード送信要求に係るユーザ端末2へ送信する。
セッション管理手段11は、認証コード生成・送信処理に係るユーザ端末2とサーバ3間の情報処理についてのセッションに紐づくセッションIDを生成する。生成されたセッションIDは前記認証用URLとともにユーザ端末2に送信される。セッション管理手段11は、認証用URL生成手段8が生成した認証用URLの有効期限を定め、有効期限を過ぎた認証用URLを使用した場合、ユーザ端末2とサーバ3間のセッションを終了するようにセッションIDに条件を設定する。
画面遷移制御手段はユーザ端末2の表示画面を図3(d)に示すような認証用URL送信完了画面へと遷移する処理を行う。なお、認証用URL生成手段8は上述した処理に加え、図3(d)に示すようなフィッシング攻撃に対する警告メッセージをユーザ端末2に送信する処理を行うこととしてもよい。
ユーザ端末2では、ユーザがユーザ端末2を操作して認証用URLを選択すると、認証コード認証実行要求受付手段9は、選択された認証用URLを生成したサーバ3に対する認証コードの認証実行要求を受け付ける処理を行う。本実施形態では、図3(d)に示すような認証用URL12が選択されると、認証コード認証実行要求受付手段9は、選択された認証用URL12に付帯している認証コードと、前記セッションIDとを受け付け、これらをサーバ3に送信する。画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証処理中画面へと遷移する処理を行う。
サーバ3では、認証手段10は、認証コード認証実行要求受付手段9が受け付けた認証コードの認証実行要求に係る認証コードを認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。本実施形態では、認証手段10は、ユーザ端末2から取得した認証コード認証実行要求に係る認証コードを、認証用URL生成手段8が生成した認証用URLに付帯している認証コードと照合する。また、認証手段10は、ユーザ端末2から取得したセッションIDを、セッション管理手段11がS104の認証コード生成・送信処理時に生成したセッションIDと照合する。
認証手段10は認証結果をユーザ端末2に送信する。認証コードの認証処理が正常に行われた場合、画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証完了画面へと遷移する処理を行い、ユーザは引き続きアプリケーションソフトウェアの機能を利用して各種の手続き、例えば入出金サービスを利用することができる。認証コードの認証処理に不備があった場合、画面遷移制御手段はユーザ端末の表示画面を所定のエラー画面へと遷移する処理を行う。
4 通信ネットワーク
12 認証用URL
Claims (3)
- ユーザが使用するユーザ端末にインストールされているアプリケーションソフトウェアの利用時又はWebサービスを提供するサーバへアクセスして前記Webサービスを利用する時に前記ユーザ端末に係るユーザを認証する認証システムであって、
前記サーバに対する前記ユーザ端末への認証コードの送信要求を受け付ける認証コード送信要求受付手段と、
前記認証コードの送信要求を受け付け、前記認証コードが付帯した認証用URLを前記ユーザ端末に送信する認証用URL生成手段と、
前記ユーザ端末に表示される前記認証用URLの選択操作に基づいて、前記認証用URLの生成元の前記サーバに対する前記認証コードの認証実行要求を受け付ける認証コード認証実行要求受付手段と、
前記認証用URLにおいて前記認証コードの認証実行要求に係る認証コードを認証する認証手段と、を備える
ことを特徴とする認証システム。 - 前記認証用URLとともに前記ユーザ端末に送信される、前記ユーザ端末と前記サーバ間の情報処理についてのセッションに紐づくセッションIDを生成するセッション管理手段をさらに備え、
前記認証コード認証実行要求受付手段は、前記認証コードの認証実行要求を受け付ける際に、前記認証用URLに付帯している前記認証コードを前記セッションIDとともに受付け、
前記認証手段は、前記認証コード認証実行要求受付手段が受け付けた前記認証コード認証実行要求に係る認証コードを、前記認証用URL生成手段が生成した認証用URLに付帯している認証コードと照合し、前記認証コード認証実行要求受付手段が受け付けた前記セッションIDを、前記セッション管理手段が生成したセッションIDと照合する
ことを特徴とする請求項1記載の認証システム。 - 請求項1又は2に記載した認証システムとしてコンピュータを機能させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022020952A JP2023118166A (ja) | 2022-02-15 | 2022-02-15 | 認証システム及びコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022020952A JP2023118166A (ja) | 2022-02-15 | 2022-02-15 | 認証システム及びコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023118166A true JP2023118166A (ja) | 2023-08-25 |
Family
ID=87663007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022020952A Pending JP2023118166A (ja) | 2022-02-15 | 2022-02-15 | 認証システム及びコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023118166A (ja) |
-
2022
- 2022-02-15 JP JP2022020952A patent/JP2023118166A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200336310A1 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
US8938784B2 (en) | Authorization of server operations | |
JP4856755B2 (ja) | カスタマイズ可能なサインオンサービス | |
US9225712B2 (en) | Enhanced security for electronic communications | |
US20090064311A1 (en) | Secure web interactions using a desktop agent | |
JP4334515B2 (ja) | サービス提供サーバ、認証サーバ、および認証システム | |
JP2011204169A (ja) | 認証システム、認証装置、認証方法および認証プログラム | |
KR20170140215A (ko) | 거래 시큐리티를 위한 방법 및 시스템 | |
JP5317795B2 (ja) | 認証システムおよび認証方法 | |
EP2602735A1 (en) | Secure authentication | |
JP2023118166A (ja) | 認証システム及びコンピュータプログラム | |
JP4895288B2 (ja) | 認証システム及び認証方法 | |
JP4964048B2 (ja) | 非接触icと携帯情報端末を使用した認証システム及び認証方法 | |
TW201516902A (zh) | 交易確認方法與系統 | |
JP2003264551A (ja) | 通信端末とサーバとのセキュリティ確保方法 | |
KR101405832B1 (ko) | 이동통신기기를 이용한 로그인 인증 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230330 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240305 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240507 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240611 |