JP6076890B2 - Authentication method, authentication system, Web server, authentication program, and recording medium - Google Patents

Authentication method, authentication system, Web server, authentication program, and recording medium Download PDF

Info

Publication number
JP6076890B2
JP6076890B2 JP2013254355A JP2013254355A JP6076890B2 JP 6076890 B2 JP6076890 B2 JP 6076890B2 JP 2013254355 A JP2013254355 A JP 2013254355A JP 2013254355 A JP2013254355 A JP 2013254355A JP 6076890 B2 JP6076890 B2 JP 6076890B2
Authority
JP
Japan
Prior art keywords
user terminal
web server
authentication
password
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013254355A
Other languages
Japanese (ja)
Other versions
JP2015114714A (en
Inventor
公洋 山越
公洋 山越
田中 政志
政志 田中
泰典 和田
泰典 和田
鈴木 勝彦
勝彦 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013254355A priority Critical patent/JP6076890B2/en
Publication of JP2015114714A publication Critical patent/JP2015114714A/en
Application granted granted Critical
Publication of JP6076890B2 publication Critical patent/JP6076890B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、セッション鍵を用いて認証を行う、利用者の認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体に関する。   The present invention relates to a user authentication method, an authentication system, a Web server, an authentication program, and a recording medium that perform authentication using a session key.

従来、Web認証では、Basic認証が知られている(例えば、非特許文献1参照。)Basic認証では、まず利用者は端末からWebサーバにアクセスし、サーバ証明書を取得して署名検証を行う。問題なければ利用者端末は、暗号化通信用の鍵を生成し証明書の公開鍵で鍵共有を行い、Webサーバとの間でSSLセッションを張る。利用者は、初回登録時、Webサーバからのユーザ情報登録要求に対して利用者端末からID及びパスワードを入力し、それをWebサーバに送信することでユーザ登録を完了する。パスワードの代わりに、ハッシュ化又は暗号化したパスワードが照合データとしてWebサーバに登録されることもある。ユーザ登録後のユーザ認証では、まず利用者はユーザ登録時と同様の方法でSSLセッションを張る。次に、利用者は、WebサーバからのID及びパスワード要求に対して、ID及びパスワードを入力してWebサーバに送信する。Webサーバは、送信されたID及びパスワードと、ユーザ登録されていたID及びパスワードとを照合してユーザ認証の判定を行う。   Conventionally, Basic authentication is known as Web authentication (see, for example, Non-Patent Document 1). In Basic authentication, a user first accesses a Web server from a terminal, obtains a server certificate, and performs signature verification. . If there is no problem, the user terminal generates a key for encrypted communication, shares the key with the public key of the certificate, and establishes an SSL session with the Web server. At the time of initial registration, the user inputs the ID and password from the user terminal in response to a user information registration request from the Web server, and transmits the ID and password to the Web server to complete the user registration. Instead of a password, a hashed or encrypted password may be registered in the Web server as verification data. In user authentication after user registration, the user first establishes an SSL session in the same manner as during user registration. Next, in response to an ID and password request from the Web server, the user inputs the ID and password and transmits them to the Web server. The Web server determines user authentication by comparing the transmitted ID and password with the ID and password registered by the user.

“HTTP Authentication: Basic and Digest Access Authentication”、Network Working Group、[Online]、[平成25年11月22日検索]、インターネット<http://www.ietf.org/rfc/rfc2617.txt>“HTTP Authentication: Basic and Digest Access Authentication”, Network Working Group, [Online], [November 22, 2013 Search], Internet <http://www.ietf.org/rfc/rfc2617.txt>

しかしながら、Basic認証では、Webサーバの利用者のパスワードが一度漏洩してしまうと、それらがリスト化され悪意のある第三者間で使いまわされるおそれがある。その結果、利用者がなりすまされて損害を被るケースや、サービス提供者が利用者の損害の保障を請求されるケースも発生している。万一パスワードが漏洩した場合に備え、利用者がWebサーバ毎に異なるパスワードを設定することが推奨されているが、利便性の観点から現実には実行が難しい。   However, in the basic authentication, once the password of the user of the Web server is leaked, they may be listed and used by a malicious third party. As a result, there are cases where the user is impersonated and suffers damage, and the service provider is requested to guarantee the damage of the user. In case the password is leaked, it is recommended that the user set a different password for each Web server, but it is actually difficult to execute from the viewpoint of convenience.

本発明は、このような従来の課題を解決するためになされたものであり、その目的とするところは、ユーザが複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすまし認証を回避することができる認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体を提供することにある。   The present invention has been made in order to solve such a conventional problem, and the object of the present invention is even when the user has set the same password for a plurality of Web servers. Another object of the present invention is to provide an authentication method, an authentication system, a Web server, an authentication program, and a recording medium that can avoid spoofing authentication by a malicious third party using a password list.

上記課題を解決するため、本発明の認証システムによる認証方法は、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、前記第1の利用者端末が、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信するステップと、前記Webサーバが、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合するステップと、前記Webサーバが、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行するステップと、を含み、前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、前記Webサーバが、前記第1の利用者端末の要求に応じて仮パスワードを発行するステップと、前記Webサーバが、前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録するステップと、を更に含むことを特徴とする。 In order to solve the above problems, an authentication method using an authentication system according to the present invention is an authentication method in an authentication system including a first user terminal and a Web server that communicates with the first user terminal through a network. The first user terminal transmits an authentication ID, password, and session key to the Web server, and the Web server receives the ID, password, and password received from the first user terminal. The session key is collated with the ID and password registered in advance for the first user terminal and the first session key issued during the previous authentication performed by the user of the first user terminal. And when the web server authenticates successfully as a result of the collation, the second set used for the next authentication is sent to the first user terminal. Viewed contains a step of issuing a tio down key, wherein the authentication system further includes a second user terminal communicating through the Web server and the network, the Web server, the first user terminal Issuing a temporary password in response to the request of the second user terminal, wherein the Web server transmits the ID and password of the second user terminal and the temporary password within a predetermined period from the issue Is registered as an additional terminal of the first user terminal.

上記課題を解決するため、本発明の認証システムは、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、前記第1の利用者端末は、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信する手段を備え、前記Webサーバは、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、を備え、前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、前記Webサーバは、更に、前記第1の利用者端末の要求に応じて仮パスワードを発行する手段と、前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録する手段と、を備えることを特徴とする。 In order to solve the above-described problem, an authentication system of the present invention is an authentication system including a first user terminal and a Web server that communicates with the first user terminal through a network. The user terminal includes means for transmitting an ID, password and session key for authentication to the Web server, and the Web server includes the ID, password and session key received from the first user terminal, Means for collating an ID and a password registered in advance with respect to the first user terminal and a first session key issued at the time of previous authentication by the user of the first user terminal; result of the collation, if the authentication is successful, and means for issuing a second session key used for next authentication in the first user terminal, wherein the authentication system, A second user terminal that communicates with the Web server via the network, the Web server further issuing means for issuing a temporary password in response to a request from the first user terminal; Means for registering the second user terminal that has transmitted the ID and password of the second user terminal and the temporary password within a predetermined period as an additional terminal of the first user terminal. It is characterized by.

上記課題を解決するため、本発明のWebサーバは、第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、前記第1の利用者端末の要求に応じて仮パスワードを発行する手段と、前記発行から所定期間内に第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録する手段と、を備えることを特徴とする。 In order to solve the above-described problem, the Web server of the present invention includes an ID, a password, and a session key received from the first user terminal, an ID and a password registered in advance for the first user terminal, and the first Means for verifying the first session key issued at the time of previous authentication by the user of the user terminal, and if the authentication is successful as a result of the verification, the first user terminal Means for issuing a second session key used for next authentication, means for issuing a temporary password in response to a request from the first user terminal, and a second user terminal within a predetermined period from the issue. Means for registering the second user terminal that has transmitted the ID and password and the temporary password as an additional terminal of the first user terminal.

本発明によれば、利用者が複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすまし認証を回避することができる。   According to the present invention, even when a user sets the same password for a plurality of Web servers, it is possible to avoid spoof authentication by a malicious third party using a password list or the like. it can.

本発明の一実施形態に係る認証システムの概略構成を示す図である。It is a figure which shows schematic structure of the authentication system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証システムにおける第1の利用者端末の機能ブロック図である。It is a functional block diagram of the 1st user terminal in the authentication system concerning one embodiment of the present invention. 本発明の一実施形態に係る認証システムにおける第2の利用者端末の機能ブロック図である。It is a functional block diagram of the 2nd user terminal in the authentication system concerning one embodiment of the present invention. 本発明の一実施形態に係る認証システムにおけるWebサーバの機能ブロック図である。It is a functional block diagram of the Web server in the authentication system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the authentication system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the authentication system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the authentication system which concerns on one Embodiment of this invention. 本発明の変形例に係る認証システムの動作フローを示す図である。It is a figure which shows the operation | movement flow of the authentication system which concerns on the modification of this invention. 本発明の一実施形態に係る認証システムにおける利用者情報DB及び追加端末要求情報DBの一例を示す図である。It is a figure which shows an example of user information DB and additional terminal request information DB in the authentication system which concerns on one Embodiment of this invention.

以下、本発明の一実施形態を図面に基づいて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

[システム構成]
図1は、本発明の一実施形態に係る認証システム1の概略構成を示す図である。本実施形態においては、ネットワークNWを介して第1の利用者端末11、第2の利用者端末12及びWebサーバ13が接続されている。ネットワークNWに接続される利用者端末の数は2つに限定されず、3つ以上であってよい。端末の形態は、図1に図示されているような設置型の端末でも、利用者が持ち運ぶことができる携帯型の端末であってもよい。 [System configuration]
FIG. 1 is a diagram showing a schematic configuration of an authentication system 1 according to an embodiment of the present invention. In the present embodiment, a first user terminal 11, a second user terminal 12, and a Web server 13 are connected via a network NW. The number of user terminals connected to the network NW is not limited to two and may be three or more. The terminal may be a stationary terminal as illustrated in FIG. 1 or a portable terminal that can be carried by a user.

以下、より具体的に第1の利用者端末11、第2の利用者端末12及びWebサーバ13の構成について説明する。   Hereinafter, the configurations of the first user terminal 11, the second user terminal 12, and the Web server 13 will be described more specifically.

図2は、本発明の一実施形態に係る認証システム1における第1の利用者端末11の機能ブロック図である。第1の利用者端末11は、ブラウザ処理部111と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部112と、利用者が操作するユーザインタフェース113aからの入力を制御するユーザインタフェース制御部113と、Webサーバ13が提供するWebコンテンツを表示するための表示装置114aを制御する表示制御部114と、記憶部115とを備える。ブラウザ処理部111は、Webプロトコル処理部1111と、リクエスト情報生成部1112と、Web表示制御部1113とを備える。本発明に係るブラウザ処理部111の各機能を説明するが、第1の利用者端末11が備える他の機能を排除することを意図したものではないことに留意されたい。第1の利用者端末11は、コンピュータとして構成することができる。第1の利用者端末11は、ブラウザ処理部111の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部115に格納し、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。   FIG. 2 is a functional block diagram of the first user terminal 11 in the authentication system 1 according to the embodiment of the present invention. The first user terminal 11 includes a browser processing unit 111, a communication control unit 112 that constitutes an interface for performing web communication with the web server 13, and a user interface that controls input from a user interface 113a operated by the user. The control part 113, the display control part 114 which controls the display apparatus 114a for displaying the web content which the web server 13 provides, and the memory | storage part 115 are provided. The browser processing unit 111 includes a Web protocol processing unit 1111, a request information generation unit 1112, and a Web display control unit 1113. Each function of the browser processing unit 111 according to the present invention will be described, but it should be noted that it is not intended to exclude other functions provided in the first user terminal 11. The first user terminal 11 can be configured as a computer. The first user terminal 11 stores a program describing processing contents for realizing each function of the browser processing unit 111 in the storage unit 115 of the computer, and the program is executed by a central processing unit (CPU) of the computer. Can be realized by reading out and executing.

Webプロトコル処理部1111は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1111は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。   The web protocol processing unit 1111 has a function of establishing web communication with the web server 13. In particular, the web protocol processing unit 1111 has a function of starting a web application such as a web browser and executing authentication processing on the web server 13 through the network NW.

リクエスト情報生成部1112は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のリクエスト情報を生成する機能を有する。   The request information generation unit 1112 has a function of generating request information when transmitting a login ID and password input by a user through a Web browser to the Web server 13 and a function of generating request information at the time of logout.

Web表示制御部1113は、Webサーバ13によって認証処理が行われた後に、該当URLのWebコンテンツを、表示制御部114を介して表示装置114aに表示させる機能を有する。   The web display control unit 1113 has a function of causing the display device 114 a to display the web content of the URL after the authentication processing is performed by the web server 13 via the display control unit 114.

図3は、本発明の一実施形態に係る認証システム1における第2の利用者端末12の機能ブロック図である。第2の利用者端末12は、ブラウザ処理部121と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部122と、利用者が操作するユーザインタフェース123aからの入力を制御するユーザインタフェース制御部123と、Webサーバ13が提供するWebコンテンツを表示するための表示装置124aを制御する表示制御部124と、記憶部125とを備える。ブラウザ処理部121は、Webプロトコル処理部1211と、リクエスト情報生成部1212と、Web表示制御部1213とを備える。本発明に係るブラウザ処理部121の各機能を説明するが、第2の利用者端末12が備える他の機能を排除することを意図したものではないことに留意されたい。第2の利用者端末12は、コンピュータとして構成することができる。そして、第2の利用者端末12は、ブラウザ処理部121の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部125に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。   FIG. 3 is a functional block diagram of the second user terminal 12 in the authentication system 1 according to an embodiment of the present invention. The second user terminal 12 includes a browser processing unit 121, a communication control unit 122 that configures an interface for performing Web communication with the Web server 13, and a user interface that controls input from a user interface 123a operated by the user. A control unit 123, a display control unit 124 that controls a display device 124 a for displaying Web content provided by the Web server 13, and a storage unit 125 are provided. The browser processing unit 121 includes a Web protocol processing unit 1211, a request information generation unit 1212, and a Web display control unit 1213. Each function of the browser processing unit 121 according to the present invention will be described, but it should be noted that it is not intended to exclude other functions provided in the second user terminal 12. The second user terminal 12 can be configured as a computer. And the 2nd user terminal 12 stores the program which described the processing content which implement | achieves each function of the browser process part 121 in the memory | storage part 125 of the said computer, The central processing unit (CPU) of the said computer This can be realized by reading and executing this program.

Webプロトコル処理部1211は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1211は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。   The web protocol processing unit 1211 has a function of establishing web communication with the web server 13. In particular, the web protocol processing unit 1211 has a function of starting a web application such as a web browser and executing authentication processing for the web server 13 through the network NW.

リクエスト情報生成部1212は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のIDを含むリクエスト情報を生成する機能を有する。   The request information generation unit 1212 has a function of generating request information when transmitting a login ID and password input by a user through a Web browser to the Web server 13 and a function of generating request information including an ID at the time of logout. .

Web表示制御部1213は、Webサーバ13によって認証処理が行われた後に該当URLのWebコンテンツを、表示制御部124を介して表示装置124aに表示させる機能を有する。   The Web display control unit 1213 has a function of causing the display device 124 a to display the Web content of the URL after the authentication process is performed by the Web server 13 via the display control unit 124.

図4は、本発明の一実施形態に係る認証システム1におけるWebサーバ13の機能ブロック図である。   FIG. 4 is a functional block diagram of the Web server 13 in the authentication system 1 according to an embodiment of the present invention.

Webサーバ13は、制御部131と、第1の利用者端末11及び/又は第2の利用者端末12に対してWeb通信を行うインタフェースを構成する通信制御部132と、利用者情報DB133(図9(a))と、追加端末要求情報DB134(図9(b))と、記憶部135とを備える。利用者情報DB133(図9(a))と、追加端末要求情報DB134(図9(b))は、Webサーバ13の外部に格納され、Webサーバ13によって必要なときにアクセスされてもよい。制御部131は、Web処理部(Webプロトコル処理部1311及びセッション鍵発行部1312を備える。)と、照合部1313と、仮パスワード発行部1314と、タイマ処理部1315とを備える。本発明に係る制御部131の各機能を説明するが、Webサーバ13が備える他の機能を排除することを意図したものではないことに留意されたい。Webサーバ13は、コンピュータとして構成することができる。Webサーバ13は、制御部131の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部135に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。   The Web server 13 includes a control unit 131, a communication control unit 132 that configures an interface for performing Web communication with the first user terminal 11 and / or the second user terminal 12, and a user information DB 133 (see FIG. 9 (a)), an additional terminal request information DB 134 (FIG. 9 (b)), and a storage unit 135. The user information DB 133 (FIG. 9A) and the additional terminal request information DB 134 (FIG. 9B) may be stored outside the Web server 13 and accessed by the Web server 13 when necessary. The control unit 131 includes a Web processing unit (including a Web protocol processing unit 1311 and a session key issuing unit 1312), a verification unit 1313, a temporary password issuing unit 1314, and a timer processing unit 1315. Although each function of the control unit 131 according to the present invention will be described, it should be noted that it is not intended to exclude other functions provided in the Web server 13. The Web server 13 can be configured as a computer. The Web server 13 stores a program describing the processing contents for realizing each function of the control unit 131 in the storage unit 135 of the computer, and reads out the program by a central processing unit (CPU) of the computer. It can be realized by executing.

Web処理部におけるWebプロトコル処理部1311は、第1の利用者端末11及び/又は第2の利用者端末12とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1311は、リクエスト情報に基づくセッション情報を生成する機能を有する。   The web protocol processing unit 1311 in the web processing unit has a function of establishing web communication with the first user terminal 11 and / or the second user terminal 12. In particular, the Web protocol processing unit 1311 has a function of generating session information based on request information.

Web処理部におけるセッション鍵発行部1312は、認証が成功した利用者端末にセッション鍵を発行し、その利用者端末にセッション鍵を共有(送信)し、そしてセッション鍵を、その利用者端末のIDに対応付けて利用者情報DB133に登録する機能を有する。登録と共有の順番は逆でもよい。   A session key issuing unit 1312 in the Web processing unit issues a session key to a user terminal that has been successfully authenticated, shares (transmits) the session key to the user terminal, and uses the session key as the ID of the user terminal. In association with the user information DB 133. The order of registration and sharing may be reversed.

照合部1313は、利用者端末から受信したリクエスト情報を解析する機能を有する。具体的には、照合部1313は、利用者端末から受信したID、パスワード及びセッション鍵の情報が、利用者情報DB133に予め登録され記憶されているID、パスワード及び最新セッション鍵の情報と一致するか照合する機能を有する。一致する場合には、照合部1313は、認証が成功したとして利用者のログインを許可し、そうでない場合はログインを許可しない。   The collation unit 1313 has a function of analyzing request information received from the user terminal. Specifically, the collation unit 1313 matches the ID, password, and session key information received from the user terminal with the ID, password, and latest session key information registered and stored in the user information DB 133 in advance. It has a function to collate. If they match, the collation unit 1313 permits the login of the user as successful authentication, and does not permit the login otherwise.

また、照合部1313は、第2の利用者端末12から受信した端末名、ID、パスワード及び仮パスワードの情報が、利用者情報DB133及び追加端末要求情報DB134においてIDに対応付けて登録され記憶されている端末名、ID、パスワード及び仮パスワードの情報と一致するか照合する機能をも有する。一致し且つ第2の利用者端末12が送信を行ったタイミング(タイマ値(T))が後述するタイマ期限以内であれば、照合部1313は、第2の利用者端末12を第1の利用者端末11の追加端末として認証し、例えば利用者情報DB133の追加端末名の列に第2の利用者端末12の端末名を登録する。第2の利用者端末12が送信を行ったタイミングではなく、Webサーバ13が受信したタイミングや、他の何らかのタイミングを用いて照合してもよい。   The collation unit 1313 registers and stores the terminal name, ID, password, and temporary password information received from the second user terminal 12 in association with the ID in the user information DB 133 and the additional terminal request information DB 134. It also has a function of checking whether the information matches the terminal name, ID, password, and temporary password information. If the timing coincides and the transmission timing (timer value (T)) of the second user terminal 12 is within the time limit described later, the collation unit 1313 uses the second user terminal 12 for the first use. For example, the terminal name of the second user terminal 12 is registered in the additional terminal name column of the user information DB 133. You may collate using not the timing which the 2nd user terminal 12 transmitted, but the timing which the web server 13 received, and some other timing.

上記では同一の照合部1313がセッション鍵等の照合も仮パスワード等の照合も行う場合を説明したが、別々の照合部によりそれらの照合を行ってもよい。   Although the case where the same verification unit 1313 performs verification of a session key or the like and verification of a temporary password or the like has been described above, these verifications may be performed by different verification units.

仮パスワード発行部1314は、第1の利用者端末11から端末追加要求を受信した場合に、第1の利用者端末11に対して仮パスワードを発行する機能を有する。発行された仮パスワードは、第1の利用者端末11の表示装置114aに表示し、又は予め第1の利用者端末11の利用者が登録したメールアドレス宛に送信することで通知する。   The temporary password issuing unit 1314 has a function of issuing a temporary password to the first user terminal 11 when receiving a terminal addition request from the first user terminal 11. The issued temporary password is displayed on the display device 114a of the first user terminal 11 or notified by sending it to an e-mail address registered in advance by the user of the first user terminal 11.

タイマ処理部1315は、第1の利用者端末11から端末追加要求を受信した場合に、タイマを起動し、追加端末要求情報DB134に、第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名、仮パスワード発行部1314が発行した仮パスワード及び第1の利用者端末11の追加端末の追加を許可する期限であるタイマ期限を登録する。タイマ期限は仮パスワードを発行してから例えば数分から数十分という一定時間とする。   When the timer processing unit 1315 receives a terminal addition request from the first user terminal 11, the timer processing unit 1315 activates a timer, and the additional terminal request information DB 134 stores the ID of the first user terminal 11 and the first user. The additional terminal name received from the terminal 11, the temporary password issued by the temporary password issuing unit 1314, and the timer time limit that is a time limit for adding the additional terminal of the first user terminal 11 are registered. The timer expiration is set to a certain time, for example, from several minutes to several tens of minutes after issuing the temporary password.

[システム動作]
図5から図8は、本発明の一実施形態に係る認証システム1の動作フローを示す図である。 [System operation]
5 to 8 are diagrams showing an operation flow of the authentication system 1 according to the embodiment of the present invention.

図5は、Webサーバ13に未登録の利用者端末の利用者が利用者登録を行うフローを示す図である。図5では一例として第1の利用者端末11が未登録の利用者端末である場合を説明する。   FIG. 5 is a diagram illustrating a flow in which a user of a user terminal not registered in the Web server 13 performs user registration. FIG. 5 illustrates a case where the first user terminal 11 is an unregistered user terminal as an example.

図5を参照するに、Webサーバ13に未登録の第1の利用者端末11の利用者は、第1の利用者端末11のユーザインタフェース113aを介してWebブラウザを起動させ(ステップS1)、Webサーバ13に接続要求を送信する(ステップS2)。そして、第1の利用者端末11は、サーバ証明書をWebサーバ13から取得して(ステップS3)、署名検証を行い(ステップS4)、問題なければ暗号化通信用の鍵を生成し(ステップS5)、証明書の公開鍵で鍵共有を行ってWebサーバ13との間でSSLセッションを張る(ステップS6)。ステップS1からステップS6までの処理を接続処理と呼ぶ。   Referring to FIG. 5, the user of the first user terminal 11 that is not registered in the Web server 13 activates the Web browser via the user interface 113a of the first user terminal 11 (step S1). A connection request is transmitted to the Web server 13 (step S2). Then, the first user terminal 11 acquires a server certificate from the Web server 13 (step S3), performs signature verification (step S4), and generates a key for encrypted communication if there is no problem (step S4). S5) The key is shared with the public key of the certificate, and an SSL session is established with the Web server 13 (step S6). The process from step S1 to step S6 is called a connection process.

次に、Webサーバ13は、第1の利用者端末11へ、登録するIDとパスワードを要求する(ステップS7)。この時点ではまだ第1の利用者端末11はWebサーバ13に未登録であるため、第1の利用者端末11の利用者は、ユーザインタフェース113aを介して任意のID及びパスワードを入力し(ステップS8)、通信制御部112を介してそれらの情報をWebサーバ13に送信する(ステップS9)。Webサーバ13は、第1の利用者端末11からID及びパスワードを受信すると、利用者情報DB133にそれらを登録する(ステップS10)。ステップS7からステップ10までの処理を登録処理と呼ぶ。   Next, the Web server 13 requests the ID and password to be registered from the first user terminal 11 (step S7). At this point, since the first user terminal 11 is not yet registered in the Web server 13, the user of the first user terminal 11 inputs an arbitrary ID and password via the user interface 113a (step In step S9, the information is transmitted to the web server 13 via the communication control unit 112 (step S9). When receiving the ID and password from the first user terminal 11, the Web server 13 registers them in the user information DB 133 (step S10). The processing from step S7 to step 10 is called registration processing.

そして、Webサーバ13は、第1の利用者端末11に固有のセッション鍵を発行し(ステップS11)、それを第1の利用者端末11に共有(送信)した後(ステップS12)、第1の利用者端末11のIDに対応付けて、そのセッション鍵を最新セッション鍵として利用者情報DB133に登録する(ステップS13)。図9(a)の端末名の欄に示すように、利用者情報DB133には、第1の利用者端末11の端末名をも対応付けて記憶してもよい。第1の利用者端末11は、セッション鍵を受信すると、記憶部115等の記憶部にセッション鍵を登録する(ステップS14)。Webサーバ13は、セッション鍵の共有の前にセッション鍵の登録を行ってもよい。ステップS11からステップS14までの処理をセッション鍵発行・共有・登録処理と呼ぶ。   Then, the Web server 13 issues a unique session key to the first user terminal 11 (step S11), and shares (transmits) it to the first user terminal 11 (step S12). The session key is registered in the user information DB 133 as the latest session key in association with the ID of the user terminal 11 (step S13). As shown in the terminal name column of FIG. 9A, the user information DB 133 may also store the terminal name of the first user terminal 11 in association with each other. When receiving the session key, the first user terminal 11 registers the session key in a storage unit such as the storage unit 115 (step S14). The Web server 13 may register the session key before sharing the session key. The processing from step S11 to step S14 is referred to as session key issuance / sharing / registration processing.

図6は、Webサーバ13に登録済の利用者がWebサーバ13へログインを行うフローを示す図である。図6では、一例として第1の利用者端末11が登録済の利用者端末である場合を説明する。   FIG. 6 is a diagram illustrating a flow in which a user registered in the Web server 13 logs in to the Web server 13. In FIG. 6, a case where the first user terminal 11 is a registered user terminal will be described as an example.

図6を参照するに、Webサーバ13に登録済の第1の利用者端末11の利用者は、図6のステップS21からステップS26に示す接続処理を行う。接続処理の説明は、図5における接続処理の説明(ステップS1からステップS6)と重複するため省略する。   Referring to FIG. 6, the user of the first user terminal 11 registered in the Web server 13 performs the connection process shown in steps S21 to S26 in FIG. The description of the connection process is omitted because it overlaps with the description of the connection process (steps S1 to S6) in FIG.

次に、Webサーバ13は、ID及びパスワードを第1の利用者端末11に要求する(ステップS27)。この時点ではすでに第1の利用者端末11はWebサーバ13に登録済であるから、第1の利用者端末11の利用者は、ユーザインタフェース113aを介して自身が登録したID及びパスワードを入力する(ステップS28)。そして、第1の利用者端末11は、記憶部115に記憶しておいた第1のセッション鍵(後述するステップS33で発行されるセッション鍵と区別するために、便宜的に第1のセッション鍵と呼ぶ。)を読み出すと(ステップS29)、ステップS28で入力されたID及びパスワードと共にステップS29で読み出された第1のセッション鍵をWebサーバ13に送信する(ステップS30)。Webサーバ13は、第1の利用者端末11からID、パスワード及び第1のセッション鍵を受信すると、利用者情報DB133に登録されたID、パスワード、最新セッション鍵と一致するか照合する(ステップS31及びステップS32)。ステップS27からステップS32までの処理をログイン処理と呼ぶ。   Next, the Web server 13 requests an ID and a password from the first user terminal 11 (Step S27). Since the first user terminal 11 has already been registered in the Web server 13 at this time, the user of the first user terminal 11 inputs the ID and password registered by the user through the user interface 113a. (Step S28). Then, the first user terminal 11 uses the first session key stored in the storage unit 115 (for the sake of convenience, the first session key is distinguished from the session key issued in step S33 described later). Is read (step S29), the first session key read in step S29 is transmitted to the web server 13 together with the ID and password input in step S28 (step S30). When receiving the ID, password, and first session key from the first user terminal 11, the Web server 13 checks whether the ID, password, and latest session key registered in the user information DB 133 match (Step S31). And step S32). The process from step S27 to step S32 is called a login process.

照合の結果、一致する場合には、Webサーバ13は、認証が成功したとして第1の利用者端末11に第2のセッション鍵を発行する(ステップS33)。そして、Webサーバ13は、第2のセッション鍵を第1の利用者端末11に共有(送信)し(ステップS34)、第2のセッション鍵を利用者情報DB133において、最新セッション鍵として登録する(ステップS35)。図9(a)ではセッション鍵は最新のものしか登録されていないが、過去に発行されたセッション鍵の全部又は一部を登録しておいてもよい。第1の利用者端末11は第1のセッション鍵を受信すると、記憶部115に記憶する(ステップS36)。セッション鍵が記憶された後は、第1の利用者端末11とWebサーバ13との間でオンライン決済等の何らかの処理が行われる(ステップS37)。第1の利用者端末11の利用者が再度Webサーバ13にログインしようとするときは、図6のフローが繰り返される。   If they match as a result of the collation, the Web server 13 issues a second session key to the first user terminal 11 assuming that the authentication is successful (step S33). Then, the Web server 13 shares (transmits) the second session key to the first user terminal 11 (step S34), and registers the second session key as the latest session key in the user information DB 133 ( Step S35). Although only the latest session key is registered in FIG. 9A, all or a part of session keys issued in the past may be registered. When receiving the first session key, the first user terminal 11 stores the first session key in the storage unit 115 (step S36). After the session key is stored, some processing such as online payment is performed between the first user terminal 11 and the Web server 13 (step S37). When the user of the first user terminal 11 tries to log in to the Web server 13 again, the flow of FIG. 6 is repeated.

図7は、Webサーバ13の利用者が、2つの利用者端末のうち一方を、他方の追加端末として追加登録するフローを示す図である。図7では、一例として第2の利用者端末12を第1の利用者端末11の追加端末として追加登録する場合を説明する。   FIG. 7 is a diagram illustrating a flow in which the user of the Web server 13 additionally registers one of the two user terminals as the other additional terminal. In FIG. 7, the case where the 2nd user terminal 12 is additionally registered as an additional terminal of the 1st user terminal 11 as an example is demonstrated.

図7を参照するに、Webサーバ13に登録済の第1の利用者端末11の利用者は、Webサーバ13との間でログイン処理を行う。ログイン処理は図6において説明したもの(ステップS27からステップS32)と同一であるため、説明を省略する。次に、第1の利用者端末11は、Webサーバ13へ、追加端末名(任意)及び端末追加要求を送信する(ステップS41)。端末追加要求を受信したWebサーバ13は、仮パスワードを発行し第1の利用者端末11へ共有(送信)する(ステップS42)。そして、Webサーバ13は、端末追加処理タイマを起動し(ステップS43)、タイマ期限を設定する。Webサーバ13は、端末追加要求を送信した第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名(任意)、ステップS42で発行された仮パスワード及びタイマ期限を、追加端末要求情報DB134に登録する。タイマ期限は、Webサーバ13が仮パスワードを発行してから数分から数十分程度の一定時間(タイマ期限)に設定する。一例を図9(b)に示す。   Referring to FIG. 7, the user of the first user terminal 11 registered in the Web server 13 performs login processing with the Web server 13. The login process is the same as that described with reference to FIG. 6 (steps S27 to S32), and thus description thereof is omitted. Next, the first user terminal 11 transmits an additional terminal name (arbitrary) and a terminal addition request to the Web server 13 (step S41). Receiving the terminal addition request, the Web server 13 issues a temporary password and shares (transmits) it to the first user terminal 11 (step S42). Then, the Web server 13 activates a terminal addition processing timer (step S43) and sets a timer expiration date. The Web server 13 obtains the ID of the first user terminal 11 that transmitted the terminal addition request, the name of the additional terminal received from the first user terminal 11 (optional), the temporary password issued in step S42, and the timer expiration date. And is registered in the additional terminal request information DB 134. The timer deadline is set to a fixed time (timer deadline) of several minutes to several tens of minutes after the Web server 13 issues the temporary password. An example is shown in FIG.

一方で第1の利用者端末11の利用者は、第2の利用者端末12を用いてWebサーバ13との間で接続処理を行う。接続処理は図5及び6で説明したもの(ステップS1からステップS6及びステップS21からステップS26)と同一であるため、説明を省略する。そして、Webサーバ13は、第2の利用者端末12へ、追加端末名(任意)、ID、パスワード(任意)及び仮パスワードを要求する(ステップS44)。第2の利用者端末12は、ユーザインタフェース123aを介して、端末名(任意)、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS42で発行された仮パスワードを入力し、Webサーバ13に送信する(ステップS45)。ステップS45において、第1の利用者端末11に発行された仮パスワードを第2の利用者端末12に受け渡す方法は、第1の利用者端末の利用者による手入力ではなく、例えば、第1の利用者端末11及び第2の利用者端末12のNFC(近距離無線通信)やBluetooth(登録商標)などの機能を利用してもよい。   On the other hand, the user of the first user terminal 11 performs connection processing with the Web server 13 using the second user terminal 12. Since the connection process is the same as that described in FIGS. 5 and 6 (steps S1 to S6 and steps S21 to S26), description thereof is omitted. Then, the Web server 13 requests the second user terminal 12 for the additional terminal name (arbitrary), ID, password (arbitrary), and temporary password (step S44). The second user terminal 12 receives the terminal name (arbitrary), the ID of the second user terminal 12 (common to the ID of the first user terminal 11), the second user via the user interface 123a. The password of the terminal 12 (common with the password of the first user terminal 11) (optional) and the temporary password issued in step S42 are input and transmitted to the Web server 13 (step S45). In step S45, the method of transferring the temporary password issued to the first user terminal 11 to the second user terminal 12 is not manual input by the user of the first user terminal, for example, first The user terminal 11 and the second user terminal 12 may use functions such as NFC (Near Field Communication) and Bluetooth (registered trademark).

Webサーバ13は、ステップS45で受信した情報が、利用者情報DB133及び追加端末要求情報DB134に登録された、第2の利用者端末12の端末名(任意)、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS42で発行された仮パスワードと一致するかどうか照合する(ステップS46及びステップS47)。照合の結果、一致し且つステップS45の送信が行われた日時(タイマ値(T))がタイマ期限以内であれば、Webサーバ13は、第2の利用者端末12を第1の利用者端末11の追加端末として利用者情報DB133に登録する。タイマ値(T)がタイマ期限より後であればタイムアウトとする。ID:001且つ端末名:PC001の追加端末として、端末名:PC123の端末が登録された例を図9(a)に示す。図9(a)は追加端末が1つのみである場合を示しているが、任意の数の追加端末を登録可能である。   The Web server 13 includes the terminal name (optional) of the second user terminal 12 registered in the user information DB 133 and the additional terminal request information DB 134 and the information of the second user terminal 12 received in step S45. ID (common with the ID of the first user terminal 11), password of the second user terminal 12 (common with the password of the first user terminal 11) (optional), and the temporary password issued in step S42 Whether or not they match is checked (steps S46 and S47). As a result of the collation, if the date and time (timer value (T)) at which the transmission of step S45 is performed are within the timer limit, the Web server 13 changes the second user terminal 12 to the first user terminal. 11 are registered in the user information DB 133 as additional terminals. If the timer value (T) is after the timer expiration, a timeout is set. FIG. 9A shows an example in which a terminal with terminal name: PC123 is registered as an additional terminal with ID: 001 and terminal name: PC001. FIG. 9A shows a case where there is only one additional terminal, but any number of additional terminals can be registered.

次に、Webサーバ13と第2の利用者端末12との間でセッション鍵発行・共有・登録処理が行われる。セッション鍵発行・共有・登録処理は図5及び6で説明したもの(ステップS11からステップS14及びステップS33からステップS37)と同一であるため、説明を省略する。   Next, a session key issuance / sharing / registration process is performed between the Web server 13 and the second user terminal 12. The session key issuance / sharing / registration process is the same as that described with reference to FIGS. 5 and 6 (steps S11 to S14 and steps S33 to S37), and thus description thereof is omitted.

[本発明の変形例の説明]
次に、上述した実施形態の変形例について説明する。 [Description of Modification of the Present Invention]
Next, a modification of the above-described embodiment will be described.

図8は、図5から図7で説明した接続処理及びセッション鍵発行・共有・登録処理を、Webサーバ13のセキュア領域及び利用者端末(第1の利用者端末11又は第2の利用者端末12)のセキュア領域を用いて行うフローを示す図である。ここでは、一例として第1の利用者端末11とWebサーバ13との間で接続処理及びセッション鍵発行・共有・登録処理が行われる場合を説明する。   FIG. 8 shows the connection process and session key issuance / sharing / registration process described with reference to FIGS. 5 to 7 performed in the secure area of the Web server 13 and the user terminal (first user terminal 11 or second user terminal). It is a figure which shows the flow performed using the secure area | region of 12). Here, as an example, a case where connection processing and session key issuance / sharing / registration processing are performed between the first user terminal 11 and the Web server 13 will be described.

図8を参照するに、第1の利用者端末11のブラウザ処理部111は、第1の利用者端末11の通信制御部112を介してWebサーバ13のWeb処理部に接続要求を行う(ステップS51)。Webサーバ13は、接続要求を受信すると、セキュア領域においてサーバ証明書を発行し、Webサーバ13のWeb処理部を介してそれを第1の利用者端末11に送信する(ステップS52及びステップS53)。第1の利用者端末11は、サーバ証明書を受信すると、セキュア領域においてサーバ証明書を検証する(ステップS54及びステップS55)。次に、第1の利用者端末11はセキュア領域において暗号化通信用の鍵を生成し(ステップS56)、サーバ公開鍵を第1の利用者端末11のブラウザ処理部111に渡す(ステップS57)。そして、Webサーバ13と第1の利用者端末11との間でSSL通信が開始される(ステップS58)。   Referring to FIG. 8, the browser processing unit 111 of the first user terminal 11 makes a connection request to the Web processing unit of the Web server 13 via the communication control unit 112 of the first user terminal 11 (step S51). When receiving the connection request, the Web server 13 issues a server certificate in the secure area, and transmits it to the first user terminal 11 via the Web processing unit of the Web server 13 (Step S52 and Step S53). . When receiving the server certificate, the first user terminal 11 verifies the server certificate in the secure area (steps S54 and S55). Next, the first user terminal 11 generates a key for encrypted communication in the secure area (step S56), and passes the server public key to the browser processing unit 111 of the first user terminal 11 (step S57). . Then, SSL communication is started between the Web server 13 and the first user terminal 11 (step S58).

次に、Webサーバ13と第1の利用者端末11との間で登録処理やログイン処理が行われると、セッション鍵発行・共有・登録処理が行われる。図8においては、セッション鍵をWebサーバ13と第1の利用者端末11それぞれのセキュア領域に登録・記憶する場合を説明する。この場合、Webサーバ13と第1の利用者端末11のそれぞれのセキュア領域間では、Webサーバ13の公開鍵を用いて、ステップS58で用いた暗号化鍵とは異なる暗号化鍵による暗号化通信が開始される(ステップS59)。Webサーバ13がそのセキュア領域においてセッション鍵を発行すると(ステップS60)、Webサーバ13のセキュア領域と第1の利用者端末11のセキュア領域との間でそのセッション鍵を共有し(ステップS61)、それぞれのセキュア領域にてセッション鍵を登録・記憶する(ステップS62及びステップS63)。   Next, when registration processing and login processing are performed between the Web server 13 and the first user terminal 11, session key issuance / sharing / registration processing is performed. In FIG. 8, a case where the session key is registered and stored in the secure areas of the Web server 13 and the first user terminal 11 will be described. In this case, encrypted communication between the secure areas of the Web server 13 and the first user terminal 11 using an encryption key different from the encryption key used in step S58, using the public key of the Web server 13. Is started (step S59). When the web server 13 issues a session key in the secure area (step S60), the session key is shared between the secure area of the web server 13 and the secure area of the first user terminal 11 (step S61). A session key is registered and stored in each secure area (step S62 and step S63).

図8に示す変形例によれば、複数の端末を利用して共通のID及びパスワードでログインできる利便性が損なわれない。そして、万一ID及びパスワードが漏洩した場合であっても、端末毎に発行されるセッション鍵や端末名を用いて利用者の認証を行うことで、不正ログインを防ぐことができる。また、利用者が利用者端末を紛失し、又は利用者端末が盗難された場合でも、Webサーバに対してパスワード等の照合が必要であるため、不正ログインや不正利用を一定期間防ぐことができる。紛失や盗難の発覚後、遠隔制御により利用者端末の利用を直ちに停止することも可能である。   According to the modification shown in FIG. 8, the convenience of logging in with a common ID and password using a plurality of terminals is not impaired. Even if the ID and password are leaked, unauthorized login can be prevented by authenticating the user using the session key or terminal name issued for each terminal. Also, even if the user loses the user terminal or the user terminal is stolen, it is necessary to verify the password etc. against the Web server, so that unauthorized login and unauthorized use can be prevented for a certain period of time. . After the loss or theft is detected, the user terminal can be immediately stopped by remote control.

これらの本発明に係る第1の利用者端末11、第2の利用者端末12、及びWebサーバ13をコンピュータで構成した場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。従って、本発明は、前述した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において組み合わせたり一部削除したりするなどして種々変更可能である。   When the first user terminal 11, the second user terminal 12, and the Web server 13 according to the present invention are configured by a computer, a program describing processing contents for realizing each function is stored in the computer. Alternatively, it can be realized by storing the program in an external storage unit and reading and executing the program by a central processing unit (CPU) of the computer. In addition, such a program can be distributed by selling, transferring, or lending a portable recording medium such as a DVD or a CD-ROM, and such a program is stored in a storage unit of a server on a network, for example. And the program can be distributed by transferring the program from the server to another computer via the network. In addition, a computer that executes such a program can temporarily store, for example, a program recorded on a portable recording medium or a program transferred from a server in its own storage unit. As another embodiment of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and each time the program is transferred from the server to the computer. In addition, the processing according to the received program may be executed sequentially. Therefore, the present invention is not limited to the above-described embodiments, and various modifications can be made by combining or partially deleting the same without departing from the spirit of the present invention.

本発明によれば、パスワードリストなどを用いた悪意のある第三者によるなりすまし認証を回避できるため、何らかのWebコンテンツを提供する際等の利用者端末の認証に有用である。   According to the present invention, impersonation authentication by a malicious third party using a password list or the like can be avoided, which is useful for authentication of a user terminal when providing some Web content.

1 認証システム
11 第1の利用者端末
12 第2の利用者端末
13 Webサーバ
111 ブラウザ処理部
112 通信制御部
113 ユーザインタフェース制御部
113a ユーザインタフェース
114 表示制御部
114a 表示装置
115 記憶部
121 ブラウザ処理部
122 通信制御部
123 ユーザインタフェース制御部
123a ユーザインタフェース
124 表示制御部
124a 表示装置
125 記憶部
131 制御部
132 通信制御部
133 利用者情報DB
134 追加端末要求情報DB
135 記憶部
1111 Webプロトコル処理部
1112 リクエスト情報生成部
1113 Web表示制御部
1211 Webプロトコル処理部
1212 リクエスト情報生成部
1213 Web表示制御部
1311 Webプロトコル処理部
1312 セッション鍵発行部
1313 照合部
1314 仮パスワード発行部
1315 タイマ処理部 DESCRIPTION OF SYMBOLS 1 Authentication system 11 1st user terminal 12 2nd user terminal 13 Web server 111 Browser processing part 112 Communication control part 113 User interface control part 113a User interface 114 Display control part 114a Display apparatus 115 Storage part 121 Browser processing part 122 communication control unit 123 user interface control unit 123a user interface 124 display control unit 124a display device 125 storage unit 131 control unit 132 communication control unit 133 user information DB
134 Additional terminal request information DB
135 Storage Unit 1111 Web Protocol Processing Unit 1112 Request Information Generation Unit 1113 Web Display Control Unit 1211 Web Protocol Processing Unit 1212 Request Information Generation Unit 1213 Web Display Control Unit 1311 Web Protocol Processing Unit 1312 Session Key Issuing Unit 1313 Verification Unit 1314 Temporary Password Issuing Part 1315 Timer processing part

Claims (5)

第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、
前記第1の利用者端末が、認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信するステップと、
前記Webサーバが、前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合するステップと、
前記Webサーバが、前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行するステップと、
を含み、
前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
前記Webサーバが、前記第1の利用者端末の要求に応じて仮パスワードを発行するステップと、
前記Webサーバが、前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録するステップと、
を更に含むことを特徴とする認証方法。 An authentication method in an authentication system comprising a first user terminal and a Web server that communicates with the first user terminal through a network,
The first user terminal transmitting an authentication ID, password, and session key to the Web server;
The Web server receives the ID, password, and session key received from the first user terminal, the ID and password registered in advance for the first user terminal, and the user of the first user terminal. Collating the first session key issued during the previous authentication;
The Web server issuing a second session key used for the next authentication to the first user terminal when the authentication is successful as a result of the verification;
Only including,
The authentication system further includes a second user terminal that communicates with the Web server through the network,
The Web server issuing a temporary password in response to a request from the first user terminal;
The second user terminal to which the Web server has transmitted the ID and password of the second user terminal and the temporary password within a predetermined period from the issue is used as an additional terminal of the first user terminal. Registering, and
An authentication method further comprising: 第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、
前記第1の利用者端末は、
認証のためのID、パスワード及びセッション鍵を前記Webサーバに送信する手段を備え、
前記Webサーバは、
前記第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、
前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、
を備え
前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
前記Webサーバは、更に、
前記第1の利用者端末の要求に応じて仮パスワードを発行する手段と、
前記発行から所定期間内に前記第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録する手段と、
を備えることを特徴とする認証システム。 An authentication system comprising a first user terminal and a web server that communicates with the first user terminal through a network,
The first user terminal is
Means for transmitting an authentication ID, password and session key to the Web server;
The web server
The ID, password and session key received from the first user terminal, the ID and password registered in advance for the first user terminal, and the authentication performed previously by the user of the first user terminal. Means for verifying the first session key issued at the time,
If the authentication is successful as a result of the verification, means for issuing a second session key used for the next authentication to the first user terminal;
Equipped with a,
The authentication system further includes a second user terminal that communicates with the Web server through the network,
The web server further includes:
Means for issuing a temporary password in response to a request from the first user terminal;
Means for registering the second user terminal that has transmitted the ID and password of the second user terminal and the temporary password within a predetermined period from the issue as an additional terminal of the first user terminal;
An authentication system comprising: 第1の利用者端末から受信したID、パスワード及びセッション鍵と、当該第1の利用者端末について予め登録されたID及びパスワード並びに当該第1の利用者端末の利用者が前回行った認証の際に発行された第1のセッション鍵と、を照合する手段と、
前記照合の結果、認証が成功した場合、前記第1の利用者端末に次回の認証に用いる第2のセッション鍵を発行する手段と、
前記第1の利用者端末の要求に応じて仮パスワードを発行する手段と、
前記発行から所定期間内に第2の利用者端末のID及びパスワード並びに前記仮パスワードを送信した前記第2の利用者端末を、前記第1の利用者端末の追加端末として登録する手段と、
を備えることを特徴とするWebサーバ。 ID, password, and session key received from the first user terminal, ID and password registered in advance for the first user terminal, and the previous authentication performed by the user of the first user terminal Means for verifying with the first session key issued to
If the authentication is successful as a result of the verification, means for issuing a second session key used for the next authentication to the first user terminal;
Means for issuing a temporary password in response to a request from the first user terminal;
Means for registering the second user terminal that has transmitted the ID and password of the second user terminal and the temporary password within a predetermined period from the issue as an additional terminal of the first user terminal;
A web server comprising: コンピュータを、請求項に記載のWebサーバとして機能させることを特徴とする認証プログラム。 An authentication program for causing a computer to function as the Web server according to claim 3 . 請求項に記載の認証プログラムを記録した記録媒体。 A recording medium on which the authentication program according to claim 4 is recorded.
JP2013254355A 2013-12-09 2013-12-09 Authentication method, authentication system, Web server, authentication program, and recording medium Active JP6076890B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013254355A JP6076890B2 (en) 2013-12-09 2013-12-09 Authentication method, authentication system, Web server, authentication program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013254355A JP6076890B2 (en) 2013-12-09 2013-12-09 Authentication method, authentication system, Web server, authentication program, and recording medium

Publications (2)

Publication Number Publication Date
JP2015114714A JP2015114714A (en) 2015-06-22
JP6076890B2 true JP6076890B2 (en) 2017-02-08

Family

ID=53528503

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013254355A Active JP6076890B2 (en) 2013-12-09 2013-12-09 Authentication method, authentication system, Web server, authentication program, and recording medium

Country Status (1)

Country Link
JP (1) JP6076890B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6701011B2 (en) * 2016-06-29 2020-05-27 株式会社エヌ・ティ・ティ・データ Terminal registration method and terminal registration system
JP7403430B2 (en) 2020-11-09 2023-12-22 Kddi株式会社 Authentication device, authentication method and authentication program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63159094A (en) * 1986-12-24 1988-07-01 富士通株式会社 Id card forgery preventive method
JP2002157224A (en) * 2000-09-08 2002-05-31 Kddi Corp Illegal access preventing system and server
JP2003271809A (en) * 2002-03-14 2003-09-26 Canon Inc Profile managing server, managing device and product managing server
JP2007293868A (en) * 2007-05-01 2007-11-08 Buffalo Inc Download system using wireless lan and information service system

Also Published As

Publication number Publication date
JP2015114714A (en) 2015-06-22

Similar Documents

Publication Publication Date Title
JP6643373B2 (en) Information processing system, control method and program therefor
CN107302539B (en) Electronic identity registration and authentication login method and system
CN100581103C (en) Securely processing of client credentials used for WEB-based access to resources
JP4886508B2 (en) Method and system for stepping up to certificate-based authentication without interrupting existing SSL sessions
US8510811B2 (en) Network transaction verification and authentication
CN112491881B (en) Cross-platform single sign-on method, system, electronic equipment and storage medium
EP3175367B1 (en) System and method for implementing a hosted authentication service
US20070067620A1 (en) Systems and methods for third-party authentication
CN109561066A (en) Data processing method and device, terminal and access point computer
JP5296726B2 (en) Web content providing system, web server, content providing method, and programs thereof
US9942200B1 (en) End user authentication using a virtual private network
WO2019239591A1 (en) Authentication system, authentication method, application provision device, authentication device, and authentication program
JP2019046060A (en) Delegation-of-authority system, control method and program
CN110278179B (en) Single sign-on method, device and system and electronic equipment
JP2010531516A (en) Device provisioning and domain join emulation over insecure networks
JP2019046059A (en) Delegation-of-authority system, control method and program
JP2014503094A (en) Communication method between server and client, and corresponding client, server, and system
US20070255951A1 (en) Token Based Multi-protocol Authentication System and Methods
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP5991817B2 (en) Network system
JP3833652B2 (en) Network system, server device, and authentication method
EP2775658A2 (en) A password based security method, systems and devices
JP2010086175A (en) Remote access management system and method
KR102372503B1 (en) Method for providing authentification service by using decentralized identity and server using the same
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170111

R150 Certificate of patent or registration of utility model

Ref document number: 6076890

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150