JP5836188B2 - 認証装置、認証方法、認証プログラム - Google Patents
認証装置、認証方法、認証プログラム Download PDFInfo
- Publication number
- JP5836188B2 JP5836188B2 JP2012102838A JP2012102838A JP5836188B2 JP 5836188 B2 JP5836188 B2 JP 5836188B2 JP 2012102838 A JP2012102838 A JP 2012102838A JP 2012102838 A JP2012102838 A JP 2012102838A JP 5836188 B2 JP5836188 B2 JP 5836188B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- message
- user terminal
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
<第1の実施形態>
図1は、本実施形態によるクラウドシステム1の構成を示すブロック図である。クラウドシステム1は、複数の物理マシン10(物理マシン10−1、物理マシン10−2、物理マシン10−3、・・・)と、クラウドサーバ20と、ユーザ端末30とのコンピュータ装置を備えており、これらのコンピュータ装置はネットワークを介して接続されている。複数の物理マシン10(物理マシン10−1、物理マシン10−2、物理マシン10−3、・・・)は同様の構成であり、特に区別しない場合には「−1」、「−2」等を省略して物理マシン10として説明する。ここでは、3台の物理マシン10を示しているが、任意の台数の物理マシン10が接続されていてもよい。
第1の認証部24は、ユーザ端末30からのメッセージを通信部22が受信すると、そのユーザ端末30のユーザIDに対応する共通鍵(Ks)をユーザ情報記憶部21から読み出し、メッセージに含まれるメッセージの原文(m)と、読み出した共通鍵(Ks)とに基づいて、予め定められた一方向性ハッシュ関数によりHMAC値を算出する。一方向性ハッシュ関数のアルゴリズムは、第1の認証部24の記憶領域に予め記憶されているものとする。そして、算出したHMAC値と、通信部22がユーザ端末30から受信したメッセージに含まれるHMAC値とを比較し、一致すれば認証成功と判定し、一致しなければ認証失敗と判定する。
制御部28は、クラウドサーバ20が備える各部を制御する。
ユーザ端末30は、ユーザからの入力に応じて、メッセージ(Msg=m||H(m、Ks))を生成する(ステップS1)。ユーザ端末30は、生成したメッセージ(Msg)をクラウドサーバ20に送信する(ステップS2)。クラウドサーバ20の通信部22が、ユーザ端末30から送信したメッセージ(Msg)を受信すると、制御部28は、メッセージ(Msg)の認証要求を認証部23に送信する(ステップS3)。認証部23は、メッセージ(Msg)に含まれるパラメータであるユーザID(UserID)に対応するユーザ情報を、ユーザ情報記憶部21から読み出す(ステップS4、5)。ここで認証部23がユーザ情報記憶部21から読み出すユーザ情報には、共通鍵(Ks)と最終リクエスト時刻(Tl)とが含まれる。
また、ユーザ端末30は、チャレンジ/レスポンス方式によるノンスの取得のような通信をする必要がないため、リプレイ攻撃への対策のために通信回数が増えることがない。
また、本実施形態によれば、タイムスタンプを用いてリプレイ攻撃を検知するため、タイムスタンプが含まれるようなメッセージにより操作要求を行っている既存のシステムに対して、メッセージのパラメータを増やしたり、通信のシーケンスを変更したりすることなく、効率良くリプレイ攻撃を防ぐ機能を実装することができる。
次に、本発明の第2の実施形態について説明する。本実施形態によるクラウドシステム1の構成は第1の実施形態と同様であるため、本実施形態において特徴的な点について説明する。第1の実施形態によれば、リプレイ攻撃を防ぐことができるが、正当なユーザのユーザ端末30から同時刻に複数のメッセージがクラウドサーバ20に送信される場合、最初のメッセージのみが認証成功し、その後のメッセージは認証失敗となる。例えば、第1の実施形態では、タイムスタンプの時刻を秒単位で記憶しているため、図7に示すように、1秒以内の同時刻に複数のメッセージが送信された場合、2回目以降に送信されたメッセージは認証失敗となる。例えば、ユーザ端末30からクラウドサーバ20に対するメッセージの送信処理を、スクリプトやツール等により自動化している場合は、このように1秒以内に複数のメッセージが送信されることも考えられる。タイムスタンプのフォーマットをミリ秒単位に発生しても、1ミリ秒以内に複数のメッセージが送信されれば、同様に認証失敗となる。
このようにすれば、ユーザ端末30は、ひとつのメッセージに複数の操作要求を含ませることにより、限られた時間内(例えば、1秒)に複数の操作要求をクラウドサーバ20に送信し、実行させることが可能となる。
次に、本発明の第3の実施形態について説明する。本実施形態によるクラウドシステム1の構成は第1の実施形態と同様であるため、本実施形態において特徴的な点について説明する。第1の実施形態では、ユーザ端末30から送信されたメッセージがそのユーザIDに対応するユーザ端末30から既に送信されたメッセージに一致するか否かを認証するための認証情報としてタイムスタンプ(Ts)を適用する例を説明した。これに対し、本実施形態においては、認証情報として、メッセージに含まれるパラメータに基づく署名値であるHMAC値を適用する。HMAC値は、タイムスタンプ(Ts)が含まれるメッセージの原文(m)に基づいて生成されるものであるため、HMAC値を比較することによっても、リプレイ攻撃を検知することができる。すなわち、同一のメッセージが複数回送信された場合、そのメッセージに含まれるHMAC値は同一であるため、同一のHMAC値が対応付けられた2回目以降のメッセージは、リプレイ攻撃により送信された可能性が高いと推定できる。
図11は、本実施形態によりクラウドサーバ20に送信されるメッセージに応じた処理結果の別の例を示す図である。ここでは、符号aに示すメッセージのHMAC値と符号bに示すメッセージのHMAC値とは異なるため、認証成功と判定される。符号cに示すメッセージのHMAC値と符号aに示すメッセージのHMAC値とが同一であり、符号dに示すメッセージのHMAC値と符号bに示すメッセージのHMAC値とが同一であるため、認証失敗と判定され、操作要求に対応する処理は実行されない。
これによれば、第1の実施形態に比べて、同一のタイムスタンプが付加されたメッセージであっても、他のパラメータが異なれば、処理を実行することができる。
なお、本実施形態においても、第2の実施形態と同様に、ひとつのメッセージに複数の操作要求を含ませるようにしてもよい。
10 物理マシン
20 クラウドサーバ
21 ユーザ情報記憶部
22 通信部
23 認証部
24 第1の認証部
25 第2の認証部
26 認証情報登録部
27 クラウドコントローラ部
28 制御部
30 ユーザ端末
Claims (7)
- ユーザを識別するユーザIDと、当該ユーザIDに対応するユーザ端末から送信された認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定するための認証情報とが対応付けられたユーザ情報を記憶するユーザ情報記憶部と、
前記ユーザ端末から、複数の操作要求と、当該操作要求に付加された、当該ユーザ端末がメッセージを送信した時刻を示すタイムスタンプとが含まれるメッセージを受信する受信部と、
前記受信部が受信した前記メッセージと、当該メッセージを送信した前記ユーザ端末に対応する前記ユーザIDに対応付けられて前記ユーザ情報記憶部に記憶されている前記認証情報とに基づいて、前記受信部が受信した前記認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定する認証処理を行う認証部と、
前記認証部によって、前記受信部によって受信された前記認証情報が前記ユーザIDに対応するユーザ端末から既に送信された認証情報に一致しないと判定された場合、当該メッセージに対応する認証情報を、前記ユーザ情報記憶部に記憶させる認証情報登録部と、
を備えることを特徴とする認証装置。 - 前記認証部によって、前記受信部によって受信された前記認証情報が前記ユーザIDに対応するユーザ端末から既に送信された認証情報に一致しないと判定された場合、当該メッセージに含まれる複数の操作要求に対応する処理を実行する実行部を備えることを特徴とする請求項1に記載の認証装置。
- 前記ユーザ端末から複数の操作要求が含まれるメッセージを受信した場合には、当該メッセージに含まれる複数の操作要求を処理するうちは、前記複数の操作要求が付加されたタイムスタンプを前記ユーザ情報記憶部に記憶させないことを特徴とする請求項2に記載の認証装置。
- 前記認証情報は、前記タイムスタンプであり、前記認証部は、前記受信部が受信した前記メッセージに含まれるタイムスタンプが示す時刻が、前記ユーザ情報記憶部に記憶されたタイムスタンプが示す時刻より後であれば一致しないと判定することを特徴とする請求項1から請求項3のいずれか1項に記載の認証装置。
- 前記認証情報は、前記メッセージに含まれるパラメータに基づく署名値であることを特徴とする請求項1または請求項2に記載の認証装置。
- ユーザを識別するユーザIDと、当該ユーザIDに対応するユーザ端末から送信された認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定するための認証情報とが対応付けられたユーザ情報を記憶するユーザ情報記憶部を備える認証装置の認証方法であって、
前記ユーザ端末から、複数の操作要求と、当該操作要求に付加された、当該ユーザ端末がメッセージを送信した時刻を示すタイムスタンプとが含まれるメッセージを受信するステップと、
受信した前記メッセージと、当該メッセージを送信した前記ユーザ端末に対応する前記ユーザIDに対応付けられて前記ユーザ情報記憶部に記憶されている前記認証情報とに基づいて、前記受信部が受信した前記認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定する認証処理を行うステップと、
受信した前記認証情報が前記ユーザIDに対応するユーザ端末から既に送信された認証情報に一致しないと判定された場合、当該メッセージに対応する認証情報を、前記ユーザ情報記憶部に記憶させるステップと、
を備えることを特徴とする認証方法。 - ユーザを識別するユーザIDと、当該ユーザIDに対応するユーザ端末から送信された認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定するための認証情報とが対応付けられたユーザ情報を記憶するユーザ情報記憶部を備える認証装置のコンピュータに、
前記ユーザ端末から、複数の操作要求と、当該操作要求に付加された、当該ユーザ端末がメッセージを送信した時刻を示すタイムスタンプとが含まれるメッセージを受信するステップと、
受信した前記メッセージと、当該メッセージを送信した前記ユーザ端末に対応する前記ユーザIDに対応付けられて前記ユーザ情報記憶部に記憶されている前記認証情報とに基づいて、前記受信部が受信した前記認証情報が当該ユーザIDに対応するユーザ端末から既に送信された認証情報に一致するか否かを判定する認証処理を行うステップと、
受信した前記認証情報が前記ユーザIDに対応するユーザ端末から既に送信された認証情報に一致しないと判定された場合、当該メッセージに対応する認証情報を、前記ユーザ情報記憶部に記憶させるステップと、
を実行させる認証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012102838A JP5836188B2 (ja) | 2012-04-27 | 2012-04-27 | 認証装置、認証方法、認証プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012102838A JP5836188B2 (ja) | 2012-04-27 | 2012-04-27 | 認証装置、認証方法、認証プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013232729A JP2013232729A (ja) | 2013-11-14 |
JP5836188B2 true JP5836188B2 (ja) | 2015-12-24 |
Family
ID=49678830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012102838A Expired - Fee Related JP5836188B2 (ja) | 2012-04-27 | 2012-04-27 | 認証装置、認証方法、認証プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5836188B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016095597A (ja) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | 配備制御プログラム、配備制御装置及び配備制御方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5102701B2 (ja) * | 2008-05-27 | 2012-12-19 | パナソニック株式会社 | 秘密鍵配布方法、秘密鍵配布システム |
KR101000693B1 (ko) * | 2008-10-21 | 2010-12-10 | 엘지전자 주식회사 | 디지털 저작권 관리에서 사용권리 이동 방법 |
JP2010226570A (ja) * | 2009-03-25 | 2010-10-07 | Panasonic Corp | 中継通信装置及び中継通信方法 |
-
2012
- 2012-04-27 JP JP2012102838A patent/JP5836188B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013232729A (ja) | 2013-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10277577B2 (en) | Password-less authentication system and method | |
CN108768970B (zh) | 一种智能设备的绑定方法、身份认证平台及存储介质 | |
US10904758B2 (en) | Secure method for configuring internet of things (IOT) devices through wireless technologies | |
US8079076B2 (en) | Detecting stolen authentication cookie attacks | |
US9264420B2 (en) | Single sign-on for network applications | |
CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
EP2316097B1 (en) | Protocol for device to station association | |
CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
EP2779524A1 (en) | Secure data transmission method, device and system | |
CN109167802B (zh) | 防止会话劫持的方法、服务器以及终端 | |
RU2008114665A (ru) | Защищенная обработка мандата клиентской системы для доступа к ресурсам на основе web | |
US10148636B2 (en) | Authentication methods and apparatus | |
EP3182673A1 (en) | Main stream connection establishment method and device based on mptcp | |
EP2993859B1 (en) | Secure communication method | |
US20140237627A1 (en) | Protecting data in a mobile environment | |
CN105656854B (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
JP5836188B2 (ja) | 認証装置、認証方法、認証プログラム | |
JP2013134530A (ja) | 認証システム、認証方法及び認証プログラム | |
EP4062616B1 (en) | Configuring a target device | |
CN111711628B (zh) | 网络通信身份认证方法、装置、系统、设备及存储介质 | |
EP4356634A1 (en) | Digest access authentication for a client device | |
CN117061140A (zh) | 一种渗透防御方法和相关装置 | |
CN113099443A (zh) | 设备认证方法、装置、设备和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140827 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150224 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151006 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151102 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5836188 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |