JP6084258B2 - Authentication system and display program - Google Patents
Authentication system and display program Download PDFInfo
- Publication number
- JP6084258B2 JP6084258B2 JP2015135893A JP2015135893A JP6084258B2 JP 6084258 B2 JP6084258 B2 JP 6084258B2 JP 2015135893 A JP2015135893 A JP 2015135893A JP 2015135893 A JP2015135893 A JP 2015135893A JP 6084258 B2 JP6084258 B2 JP 6084258B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- communication terminal
- authentication key
- key
- display program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Description
この発明は、例えばインターネット等の通信網に接続された通信端末の認証を行う認証技術に関し、より詳細には、機械的ログインプログラムを用いた不正な認証要求を拒否する技術に関する。 The present invention relates to an authentication technique for authenticating a communication terminal connected to a communication network such as the Internet, and more particularly to a technique for rejecting an unauthorized authentication request using a mechanical login program.
従来より、インターネットのウェブサイト等に対して不正にログインする方法の一つとして、リスト型攻撃と称されるものが知られている。 2. Description of the Related Art Conventionally, a so-called list-type attack is known as one of methods for illegally logging in to an Internet website or the like.
リスト型攻撃とは、不正行為者が、あるウェブサイトのログイン認証に使用するユーザID及びパスワードを大量に不正入手し、それらのユーザID及びパスワードを用いて、他のウェブサイトのログイン認証を受けようと試みる不正ログイン方法である。正規ユーザが、複数のウェブサイトについて同一のユーザIDやパスワードを使用している場合、このリスト型攻撃によって不正にログインされるおそれがある。 A list-type attack is where a fraudster illegally obtains a large number of user IDs and passwords used for login authentication of a certain website, and uses those user IDs and passwords to receive login authentication for other websites. It is an unauthorized login method that tries to do so. If a legitimate user uses the same user ID and password for a plurality of websites, there is a risk of unauthorized login by this list type attack.
このようなリスト型攻撃は、一般に、コンピュータに機械的ログインプログラムを実行させることで、行われる。この機械的ログインプログラムは、大量のユーザIDやパスワードについてのログイン認証要求を、様々なウェブサイトに対して、機械的に高速で実行する。機械的ログインプログラムを用いることにより、不正行為者は、多数の不正アクセスを、短時間で自動的に試みることができる。 Such a list-type attack is generally performed by causing a computer to execute a mechanical login program. This mechanical login program mechanically executes login authentication requests for a large number of user IDs and passwords on various websites at high speed. By using a mechanical login program, a fraudster can automatically attempt a large number of unauthorized accesses in a short time.
機械的ログインプログラムを用いた認証要求を拒否する技術としては、例えば、下記特許文献1や2に記載されたものが知られている。 As a technique for rejecting an authentication request using a mechanical login program, for example, those described in Patent Documents 1 and 2 below are known.
特許文献1には、キャプチャ(CAPTCHA)
と称される認証技術が開示されている。この認証技術では、認証を要求した通信端末の認証用ウェブページに任意の文字列を表示するとともに、その通信端末のユーザに、その文字列を手入力するように促す。このとき、その文字列を、人間には識別できるがコンピュータの文字認識プログラムでは識別できないような形態で表示することにより、機械的ログインプログラムによる機械的な認証要求を拒否することができる(特許文献1の図1等参照)。
Patent Document 1 includes a capture (CAPTCHA).
An authentication technique referred to as is disclosed. In this authentication technique, an arbitrary character string is displayed on the authentication web page of the communication terminal that requested authentication, and the user of the communication terminal is prompted to manually input the character string. At this time, by displaying the character string in a form that can be identified by a human but not by a computer character recognition program, a mechanical authentication request by a mechanical login program can be rejected (Patent Literature). 1).
また、特許文献2では、ログイン認証ページにジグソーパズルを表示して、その通信端末のユーザに、そのジグソーパズルを解かせることにより、機械的ログインプログラムによる機械的な認証要求を拒否している(特許文献2の段落[0077]、図8(c)等参照)。 Further, in Patent Document 2, a jigsaw puzzle is displayed on the login authentication page, and the user of the communication terminal is allowed to solve the jigsaw puzzle, thereby rejecting the mechanical authentication request by the mechanical login program (Patent Document). 2 paragraph [0077], FIG. 8 (c), etc.).
しかしながら、上記特許文献1の認証技術(キャプチャ)には、入力する文字列が人間にとっても読み難い場合があるため、正規のユーザにとって使い勝手が悪いという欠点がある。 However, the authentication technique (capture) of Patent Document 1 has a drawback in that it is difficult for legitimate users to use because the input character string may be difficult for humans to read.
同様に、上記特許文献2の認証技術にも、その都度ジグソーパズルを解かなければならないために、正規のユーザにとって使い勝手が悪いという欠点がある。 Similarly, the authentication technique of Patent Document 2 has a drawback that it is not convenient for a legitimate user because the jigsaw puzzle must be solved each time.
この発明は、ユーザの操作負担を増すこと無しに、機械的ログインプログラムによる機械的な認証要求を拒否することができる、ウェブ認証システム及び認証プログラムを提供することを課題とする。 It is an object of the present invention to provide a web authentication system and an authentication program that can reject a mechanical authentication request by a mechanical login program without increasing a user's operation burden.
請求項1の発明は、通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する認証システムであって、第1の認証キーに文字列加工処理を施すことで生成された第2の認証キーを保存するキー保存部と、前記通信端末が前記ウェブサーバへ認証を要求したときに、該通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させるプログラムを、前記認証ページの表示プログラムとして該通信端末宛に送信する送信処理部と、前記通信端末から受信した前記第3の認証キーが前記キー保存部に保存された前記第2の認証キーと一致する場合に、前記表示プログラムが実行されたと判断する比較処理部と、を備える認証システムとしたことを特徴とする。 The invention of claim 1 is an authentication system for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser , wherein a character string is used as a first authentication key. a key storage unit for storing a second authentication key generated by performing processing, when said communication terminal requests an authentication to the web server, and displays the authentication page on a display unit of the communication terminal A display process; a calculation process for generating a third authentication key from the first authentication key by automatically executing the character string processing process; and a return process for returning the third authentication key. the program to be executed by the browser of the terminal, the transmission processing unit for transmitting the authentication page display program addressed to the communication terminal, the third authentication key received from the communication terminal before If there is a match with the second authentication key stored in the key storage unit, characterized in that the authentication system and a comparison processing unit to determine that the display program is executed.
請求項2の発明は、請求項1に記載の構成に加え、前記第1の認証キーは、前記表示プログラム内又は該表示プログラムに付随して送信されるデータ内に埋め込まれた状態で、前記通信端末に送信されることを特徴とする。 According to a second aspect of the present invention, in addition to the configuration of the first aspect, the first authentication key is embedded in the display program or in data transmitted along with the display program. It is transmitted to a communication terminal.
請求項3の発明は、請求項1又は2に記載の構成に加え、前記認証ページは、ユーザID及びパスワードの入力フィールドを含み、且つ、前記表示プログラムの前記返送処理は、該入力フィールドに入力された該ユーザID及び該パスワードと共に、前記第3の認証キーを返送する処理である、ことを特徴とする。 According to a third aspect of the present invention, in addition to the configuration of the first or second aspect, the authentication page includes an input field for a user ID and a password, and the return processing of the display program is input to the input field. The third authentication key is returned together with the user ID and the password that have been sent.
請求項4の発明は、通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する表示プログラムであって、前記通信端末が前記ウェブサーバへ認証を要求したときに、請求項1乃至3の何れかに記載の認証システムから送信され、前記通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させる表示プログラムとしたことを特徴とする。 The invention according to claim 4 is a display program for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser, wherein the communication terminal is connected to the web server. When the authentication is requested, the authentication system according to any one of claims 1 to 3 automatically transmits the display process for displaying the authentication page on the display unit of the communication terminal and the character string processing process. Thus, a calculation program for generating a third authentication key from the first authentication key and a return process for returning the third authentication key are set as a display program for causing the browser of the communication terminal to execute. Features.
請求項1及び4の発明によれば、キー保存部に保存された第2の認証キーと、通信端末のブラウザが表示プログラムを実行することによって自動演算された第3の認証キーとを比較することで認証処理を行う。そのため、表示プログラムを実行しない通信端末は、この認証システムから認証を受けることができない。ここで、通常、機械的ログインプログラムは、表示プログラムを実行しない。従って、請求項1及び4の発明によれば、多くの機械的ログインプログラムによる不正な認証要求(例えばリスト型攻撃の認証要求)を拒否できる。 According to the first and fourth aspects of the present invention, the second authentication key stored in the key storage unit is compared with the third authentication key automatically calculated by the browser of the communication terminal executing the display program. Authentication process. Therefore, a communication terminal that does not execute the display program cannot receive authentication from this authentication system. Here, usually, the mechanical login program does not execute the display program. Therefore, according to the first and fourth aspects of the invention, an unauthorized authentication request (for example, an authentication request for a list type attack) by many mechanical login programs can be rejected.
また、不正行為者が、表示プログラムを実行できる機械的ログインプログラムを開発して使用することも考えられるが、その場合でも、機械的ログインプログラムの開発コストの高騰や処理速度(すなわち、単位時間内に認証要求できる回数)の低下を図ることができ、これにより、不正行為を行い難くすることができる。 It is also conceivable for fraudsters to develop and use a mechanical login program that can execute a display program. Even in this case, however, the development cost of the mechanical login program has increased and the processing speed (that is, within a unit time). The number of times authentication requests can be made is reduced, thereby making it difficult to perform fraudulent acts.
更に、請求項1の発明によれば、第3の認証キーは、通信端末が表示プログラムを実行することによって自動演算されるので、正規ユーザの操作負担を増大させることが無い。 Furthermore, according to the invention of claim 1, since the third authentication key is automatically calculated by the communication terminal executing the display program, the operation burden on the authorized user is not increased.
請求項2の発明によれば、第1の認証キーは、表示プログラム内又は該表示プログラムに付随して送信されるデータ内に埋め込まれた状態で通信端末に送信されるので、その通信端末の機械的ログインプログラムは、その第1の認証キーを、その表示プログラムの中から探し出す必要がある。このため、請求項2の発明によれば、機械的ログインプログラムの開発コストの高騰や処理速度の低下を図ることができ、これにより、不正行為を行い難くすることができる。その一方で、正規ユーザにとっては、第1の認証キーを通信端末に入力する操作が不要なので、操作負担が増大することがない。 According to the invention of claim 2, the first authentication key is transmitted to the communication terminal in a state embedded in the display program or data transmitted accompanying the display program. The mechanical login program needs to find out the first authentication key from the display program. For this reason, according to the invention of claim 2, the development cost of the mechanical login program can be increased and the processing speed can be lowered, thereby making it difficult to perform an illegal act. On the other hand, since the operation for inputting the first authentication key to the communication terminal is unnecessary for the authorized user, the operation burden does not increase.
請求項3の発明によれば、認証システムは、認証ページで入力されたユーザID及びパスワードと共に、第3の認証キーを受け取るので、機械的ログインプログラムによる機械的な認証要求に使用されたユーザID及びパスワードが不正取得された正規のものであっても、その認証を拒否することができる。 According to the invention of claim 3, since the authentication system receives the third authentication key together with the user ID and password entered on the authentication page, the user ID used for the mechanical authentication request by the mechanical login program. Even if the password is a legitimate one obtained illegally, the authentication can be rejected.
[発明の実施の形態1]
以下、この発明の実施の形態1について、図1乃至図5を用いて説明する。
Embodiment 1 of the Invention
Embodiment 1 of the present invention will be described below with reference to FIGS.
図1は、この実施の形態1のネットワーク構成を示す概念図である。 FIG. 1 is a conceptual diagram showing the network configuration of the first embodiment.
図1に示したように、この実施の形態1に係るネットワーク100では、ウェブサーバ200と通信端末300とが、インターネット400を介して通信接続されている。
As shown in FIG. 1, in the
ウェブサーバ200は、この発明の「認証システム」に対応し、ウェブ認証部210と、ウェブページ配信部220とを備えている。
The
ウェブ認証部210は、キー生成部211と、データベース212と、比較処理部213とを備えている。
The
キー生成部211は、例えば疑似乱数や乱数生成器等を用いて、第1の認証キーを生成する。第1の認証キーは、例えば、文字列(数字や記号等を含んでもよい)である。
The
そして、キー生成部211は、この第1の認証キーに、予め用意された文字列加工処理を施すことで、第2の認証キーを生成する。
Then, the
文字列加工処理の内容は特に限定されず、その文字列加工処理を行うのがウェブ認証部210であるか通信端末300のブラウザであるかに拘わらず、常に、同じ第1の認証キーから同じ第2の認証キーを生成できる処理であれば良い。例えば、この文字列加工処理は、SHA(Secure Hash Algorithm)−1 等の暗号学的ハッシュ関数を用いた演算処理であってもよいし、第1の認証キーを特定の文字列で排他的論理和演算する処理であってもよい。
The content of the character string processing process is not particularly limited, and is always the same from the first authentication key regardless of whether the character string processing process is performed by the
文字列加工処理の内容は、適宜変更することが可能である。文字列加工処理の内容を変更可能にすることで、不正行為者が、この文字列加工処理に対応した機械的ログインプログラムを開発し難くすることができる。更には、1回の認証処理毎に、文字列加工処理の内容を変更できるようにしてもよい。 The contents of the character string processing process can be changed as appropriate. By making it possible to change the contents of the character string processing process, it is possible for an unauthorized person to make it difficult to develop a mechanical login program corresponding to the character string processing process. Furthermore, the contents of the character string processing process may be changed for each authentication process.
生成された第1の認証キーは、ウェブページ配信部220に送られる。一方、上述の文字列加工処理で得られた第2の認証キーは、データベース212に送られる。
The generated first authentication key is sent to the web
データベース212は、この発明の「キー保存部」に対応し、キー生成部211から受け取った第2の認証キーを一時保存する。加えて、データベース212は、比較処理部213から第3の認証キーを受け取って、この第3の認証キーと一致する第2の認証キーを検索する(後述)。
The
比較処理部213は、通信端末300からで生成された第3の認証キー(後述)を、ウェブページ配信部220から受け取る。続いて、データベース212に、この第3の認証キーと一致する第2の認証キーの検索を要求する。そして、比較処理部213は、その第3の認証キーと一致する第2の認証キーがデータベース212から発見された場合には、認証成功と判断して、その第2の認証キーをデータベース212から削除させると共に、認証成功をウェブページ配信部220に通知する(後述)。
The
ウェブページ配信部220は、この発明の「送信処理部」に対応し、通信端末300に対して、ウェブ表示プログラムを配信する。ウェブ表示プログラムとは、通信端末300の画面へのウェブページの表示等を行わせるためのプログラムであり、この通信端末300のウェブブラウザ310によって実行される。このウェブ表示プログラムは、例えばHTML(HyperText Markup Language) 等を用いて記述することができる。ウェブページ配信部220が配信するウェブページには、ログイン認証ページが含まれる。
Web
ログイン認証ページ用のウェブ表示プログラムは、通信端末300の使用者にユーザIDを入力させるための入力フィールド320と、該使用者にパスワードを入力させるための入力フィールド330と、これら入力フィールド320,330の入力文字列を送信するためのログインボタン340とを、その通信端末300の表示画面に表示させる。
The login authentication page web display program includes an
更に、ログイン認証ページ用のウェブ表示プログラムは、通信端末300に文字列加工処理を実行させて第1の認証キーから第3の認証キーを生成するための、プログラムコードを含んでいる。この文字列加工処理の内容は、上述したキー生成部211の文字列加工処理と同一である。従って、このウェブ表示プログラムが正常に実行された場合、この第3の認証キーは、キー生成部211の文字列加工処理で生成される第2の認証キーと、同一の文字列となる。
Further, the web display program for the login authentication page includes a program code for causing the
加えて、ウェブページ配信部220は、ログイン認証ページ用のウェブ表示プログラム或いはそのウェブ表示プログラムに付随して配信するデータ内に、この文字列加工処理の対象となる第1の認証キーを埋め込む。この第1の認証キーを埋め込む位置は、そのウェブ表示プログラム内のスクリプトがアクセスできる位置であれば、何処でも良い。例えば、文書構造を定義する記述部分や、スタイルを定義する記述部分に、第1の認証キーを埋め込むことができる。
In addition, the web
加えて、ログイン認証ページ用のウェブ表示プログラムは、ウェブサーバ200のウェブページ配信部220に第3の認証キーを送信するためのプログラムコードを含んでいる。この実施の形態1では、入力フィールド320,330に入力されたユーザID及びパスワードをウェブサーバ200に送信するためのフォーム・タグ内に、この第3の認証キーを、非表示データ(input typeが"hidden"のデータ)として格納する。このフォーム・タグの記述の一例を、以下に示す。
In addition, the web display program for the login authentication page includes a program code for transmitting the third authentication key to the web
<form action="/login"mehtod="post" name="loginForm">
<input type="hidden"name="_token" value="fF7eg6CSD3d636d" />
<input type="text"name="user_id" />
<input type="password"name="password" />
<input id="submit"type="image" src="img/img/login.gif" value="ログイン" />
</form>
また、ウェブページ配信部220は、ユーザID、パスワード及び第3の認証キーを通信端末300から受け取って、後述のような認証処理を行う。
<form action = "/ login" mehtod = "post" name = "loginForm">
<input type = "hidden" name = "_ token" value = "fF7eg6CSD3d636d"/>
<input type = "text" name = "user_id"/>
<input type = "password" name = "password"/>
<input id = "submit" type = "image" src = "img / img / login.gif" value = "login"/>
</ form>
In addition, the web
通信端末300は、インターネット400を介してウェブサーバ200にアクセスできる通信装置であれば何でもよく、例えば、パーソナルコンピュータ、携帯電話機、スマートフォン、タブレット端末等である。正規ユーザの通信端末300には、例えばアプリケーションソフトウエアとして、ウェブブラウザ310がインストールされている。このウェブブラウザ310は、上述のようなウェブ表示プログラムを実行できるものであれば何でもよく、従来のものをそのまま使用できる。
The
次に、この実施の形態1に係るネットワークの全体動作について、図2乃至図5を用いて説明する。 Next, the overall operation of the network according to the first embodiment will be described with reference to FIGS.
まず、通信端末300の使用者が、ウェブブラウザ310を操作して、ウェブサーバ200にアクセスする。そして、このウェブサーバ200のウェブページ配信部220に、所望のウェブページの配信(すなわち、そのウェブページに対応するウェブ表示プログラムの送信)を要求するページ要求信号を送信する(図2のステップS201参照)。
First, the user of the
ウェブページ配信部220は、このページ要求信号を受信すると、ウェブ認証部210に、認証キー要求信号を送信する(図2のステップS202参照)。
Upon receiving this page request signal, the web
ウェブ認証部210のキー生成部211は、この認証キー要求信号を受信すると、以下のような処理を行う(図3参照)。
When receiving the authentication key request signal, the
まず、キー生成部211は、この認証キー要求信号を受信すると(図3のステップS301参照)、第1の認証キーを生成する(図3のステップS302参照)。上述のように、第1の認証キーは、例えば疑似乱数を用いて生成できるが、他の方法であっても良い。
First, when receiving the authentication key request signal (see step S301 in FIG. 3), the
続いて、キー生成部211は、この第1の認証キーを用いた文字列加工処理を行うことで、第2の認証キーを生成する(図3のステップS303参照)。
Subsequently, the
更に、キー生成部211は、この第2の認証キーを用いた認証のタイムアウト時刻を決定し、これら第2の認証キー及びタイムアウト時刻をデータベース212に保存する(図3のステップS304参照)。なお、タイムアウト時刻に代えて、第2の認証キーの生成時刻を、データベース212に保存してもよい。
Further, the
その後、キー生成部211は、第1の認証キーを、ウェブページ配信部220へ送信する(図3のステップS305及び図2のステップS203参照)。
After that, the
ウェブページ配信部220は、ウェブ認証部210から第1の認証キーを受け取ると、その第1の認証キーを、予め用意されたログイン認証ページ用ウェブ表示プログラム(上述)に埋め込む。そして、ウェブページ配信部220は、そのウェブ表示プログラムを、通信端末300へ送信する(図2のステップS204参照)。
Upon receiving the first authentication key from the
通信端末300は、このウェブ表示プログラムを、ウェブブラウザ310に実行させる。これにより、ウェブブラウザ310は、通信端末の表示画面に、ログイン認証ページを表示する。上述のように、このログイン認証ページは、ユーザID用の入力フィールド320と、パスワード用の入力フィールド330と、ログインボタン340とを含んでいる(図1参照)。
The
加えて、ウェブブラウザ310がウェブ表示プログラムを実行することで、上述のようにして、第3の認証キーが生成される(上述)。なお、第3の認証キーを生成するプログラムは、ログイン認証ページの画面表示を行う際(すなわち、入力フィールド320,330及びログインボタン340を表示する際)に実行してもよいが、通信端末のユーザがログインボタン340を操作したタイミング(後述)で実行してもよい。
In addition, when the
その後、通信端末300のユーザが、入力フィールド320,330にユーザID及びパスワードを入力した後で、ログインボタン340を操作すると、これらユーザID、パスワードおよび第3の認証キーを含む認証情報が、ウェブサーバ200に送信される(図2のステップS205参照)。なお、入力フィールド330に入力されたパスワードは、暗号的ハッシュ関数等を用いて暗号化して、送信してもよい。
Thereafter, when the user of the
ウェブサーバ200は、この認証情報を受信すると、以下のような処理を行う(図4及び図5参照)。なお、図4はウェブページ配信部220の動作を示しており、図5はウェブ認証部210に設けられた比較処理部213の動作を示している。
Upon receiving this authentication information, the
ウェブページ配信部220は、認証情報を受信すると(図4のステップS401参照)、その認証情報に格納されたユーザID及びパスワードの正誤をチェックする(図4のステップS402参照)。
When receiving the authentication information (see step S401 in FIG. 4), the web
そして、ユーザID及びパスワードが誤りである場合、ウェブページ配信部220は、認証失敗と判断して、通信端末300のログインを拒否するための処理を行う(図4のステップS403参照)。この処理により、通信端末300には、ログインを拒否したことが通知される(図2のステップS208参照)。
If the user ID and password are incorrect, the web
一方、ステップS402においてユーザID及びパスワードが正しかった場合、ウェブページ配信部220は、認証確認要求に第3の認証キーを格納して、ウェブ認証部210へ送信する(図4のステップS404、図2のステップS206参照)。
On the other hand, if the user ID and password are correct in step S402, the web
比較処理部213は、この認証確認要求を受信すると(図5のステップS501参照)、その認容確認要求から第3の認証キーを取り出す。続いて、比較処理部213は、データベース212に、その第3の認証キーと一致する第2の認証キーを探すように要求する(図5のステップS502参照)。
When receiving the authentication confirmation request (see step S501 in FIG. 5), the
ここで、第3の認証キーと一致する第2の認証キーが存在しなかった場合(図5のステップS503参照)、比較処理部213は、ウェブページ配信部220に、認証に失敗した旨を通知する(図5のステップS504、図2のステップS207参照)。なお、第3の認証キーと一致する第2の認証キーが検索された場合であっても、その検索の時刻がタイムアウト時刻(上述)を超えている場合には、認証失敗と判断すると共に、それら第2の認証キー及びタイムアウト時刻がデータベース212から削除される。なお、タイムアウト時刻に代えて第2の認証キーの生成時刻をデータベース212に保存する場合には、その生成から検索までの経過時間が所定時間を超えている場合に、認証失敗と判断すればよい。
If the second authentication key that matches the third authentication key does not exist (see step S503 in FIG. 5), the
一方、第3の認証キーと一致する第2の認証キーが確認され、且つ、その第2の認証キーが生成されてからの経過時間が所定時間内である場合、比較処理部213は、それら第2の認証キー及びタイムアウト時刻(又は生成時刻)をデータベース212から削除すると共に(図5のステップS505参照)、ウェブページ配信部220に、認証が成功した旨を通知する(図5のステップS506、図2のステップS207参照)。
On the other hand, when the second authentication key that matches the third authentication key is confirmed and the elapsed time since the generation of the second authentication key is within a predetermined time, the
ウェブページ配信部220は、ウェブ認証部210から通知を受信すると、その通知から、認証の成功/失敗を判断する(図4のステップS405参照)。そして、認証に失敗したと判断した場合、ウェブページ配信部220は、通信端末300のログインを拒否するための処理を行う(図4のステップS406参照)。この処理により、通信端末300には、ログインを拒否したことが通知される(図2のステップS208参照)。
When receiving the notification from the
一方、ステップS405で認証に成功したと判断した場合、ウェブページ配信部220は、通信端末300のためのセッションキーを生成すると共に(図4のステップS407参照)、そのセッションキーを通信端末300へ送信する(図4のステップS408、図2のステップS208参照)。このセッションキーにより、通信端末300にログインが許可されると共に、ログインしたあとのセッション管理が行われる。
On the other hand, when it is determined in step S405 that the authentication is successful, the web
以上説明したように、この実施の形態1では、キー生成部211に保存された第2の認証キーと、通信端末300のウェブブラウザ310がウェブ表示プログラムを実行することによって自動演算された第3の認証キーとを比較することで、ログイン認証を行う。このため、ウェブ表示プログラムを実行しない通信端末300は、認証を受けることができない。ここで、通常、機械的ログインプログラムは、ウェブ表示プログラムを実行しない。従って、この実施の形態によれば、多くの機械的ログインプログラムによる不正な認証要求(例えばリスト型攻撃の認証要求)を拒否できる。
As described above, in the first embodiment, the second authentication key stored in the
また、不正行為者が、ウェブ表示プログラムを実行できる機械的ログインプログラムを開発して使用することも考えられるが、その場合でも、機械的ログインプログラムの開発コストの高騰や処理速度(すなわち、単位時間内に認証要求できる回数)の低下を図ることができ、これにより、不正行為を行い難くすることができる。 It is also conceivable for fraudsters to develop and use a mechanical login program that can execute a web display program. Even in this case, however, the development cost of the mechanical login program and the processing speed (that is, unit time) The number of times authentication requests can be made is reduced, thereby making it difficult to perform fraudulent acts.
更に、この実施の形態1によれば、第3の認証キーは、通信端末300がウェブ表示プログラムを実行することによって自動演算されるので、通信端末300のユーザの操作負担を増大させることが無い。
Furthermore, according to the first embodiment, since the third authentication key is automatically calculated by the
また、この実施の形態1によれば、第1の認証キーは、ウェブ表示プログラム内に埋め込まれた状態で通信端末300に送信されるので、その通信端末300の機械的ログインプログラムは、その第1の認証キーを、そのウェブ表示プログラムの中から探し出す必要がある。このため、この実施の形態1によれば、機械的ログインプログラムの開発コストの高騰や処理速度の低下を図ることができ、これにより、不正行為を行い難くすることができる。
Further, according to the first embodiment, the first authentication key is transmitted to the
その一方で、正規ユーザにとっては、第1の認証キーを通信端末に入力等する操作が不要なので、操作負担が増大することがない。 On the other hand, since the operation for inputting the first authentication key to the communication terminal is unnecessary for the authorized user, the operation burden does not increase.
加えて、この実施の形態1によれば、ウェブサーバ200は、認証ページで入力されたユーザID及びパスワードと共に、第3の認証キーを受け取るので、機械的ログインプログラムによる機械的な認証要求に使用されたユーザID及びパスワードが不正取得された正規のものであっても、その認証を拒否することができる。
In addition, according to the first embodiment, the
なお、この実施の形態1では、この発明の認証技術(第2及び第3の認証キーを比較することによる認証技術)をユーザID及びパスワードによる認証技術と併用する場合を例に採って説明したが、この発明の認証技術を他の認証技術と併用してもよく、更には、単独で使用してもよい。 In the first embodiment, the case where the authentication technique of the present invention (authentication technique by comparing the second and third authentication keys) is used in combination with the authentication technique based on the user ID and password has been described as an example. However, the authentication technique of the present invention may be used in combination with other authentication techniques, or may be used alone.
100 ネットワーク
200 ウェブサーバ
210 ウェブ認証部
211 キー生成部
212 データベース
213 比較処理部
220 ウェブページ配信部
300 通信端末
310 ウェブブラウザ
320,330 入力フィールド
340 ログインボタン
400 インターネット
DESCRIPTION OF
Claims (4)
第1の認証キーに文字列加工処理を施すことで生成された第2の認証キーを保存するキー保存部と、
前記通信端末が前記ウェブサーバへ認証を要求したときに、該通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させるプログラムを、前記認証ページの表示プログラムとして該通信端末宛に送信する送信処理部と、
前記通信端末から受信した前記第3の認証キーが前記キー保存部に保存された前記第2の認証キーと一致する場合に、前記表示プログラムが実行されたと判断する比較処理部と、
を備えることを特徴とする認証システム。 An authentication system for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser,
A key storage unit for storing the second authentication key generated by performing the character string processing on the first authentication key;
When the communication terminal requests authentication from the web server, the display process of displaying the authentication page on the display unit of the communication terminal and the character string processing process are executed automatically from the first authentication key. A program for causing the browser of the communication terminal to execute a calculation process for generating a third authentication key and a return process for returning the third authentication key is sent to the communication terminal as the authentication page display program. A transmission processing unit to transmit;
A comparison processing unit that determines that the display program has been executed when the third authentication key received from the communication terminal matches the second authentication key stored in the key storage unit;
An authentication system comprising:
前記表示プログラムの前記返送処理は、該入力フィールドに入力された該ユーザID及び該パスワードと共に、前記第3の認証キーを返送する処理である、
ことを特徴とする請求項1又は2に記載の認証システム。 The authentication page includes input fields for user ID and password, and
The return process of the display program is a process of returning the third authentication key together with the user ID and the password input in the input field.
The authentication system according to claim 1 or 2, characterized in that.
前記通信端末が前記ウェブサーバへ認証を要求したときに、請求項1乃至3の何れかに記載の認証システムから送信され、
前記通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させることを特徴とする表示プログラム。 A display program for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser,
When the communication terminal requests authentication from the web server, it is transmitted from the authentication system according to any one of claims 1 to 3 ,
A display process for displaying the authentication page on the display unit of the communication terminal; an arithmetic process for generating a third authentication key from the first authentication key by automatically executing the character string processing process; A display program for causing the browser of the communication terminal to execute a return process for returning the authentication key .
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015135893A JP6084258B2 (en) | 2015-07-07 | 2015-07-07 | Authentication system and display program |
PCT/JP2016/069772 WO2017006905A1 (en) | 2015-07-07 | 2016-07-04 | Authentication system, authentication method, and program recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015135893A JP6084258B2 (en) | 2015-07-07 | 2015-07-07 | Authentication system and display program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017021396A JP2017021396A (en) | 2017-01-26 |
JP6084258B2 true JP6084258B2 (en) | 2017-02-22 |
Family
ID=57685165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015135893A Active JP6084258B2 (en) | 2015-07-07 | 2015-07-07 | Authentication system and display program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6084258B2 (en) |
WO (1) | WO2017006905A1 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7552476B2 (en) * | 2004-06-25 | 2009-06-23 | Canon Kabushiki Kaisha | Security against replay attacks of messages |
JP4928364B2 (en) * | 2007-06-25 | 2012-05-09 | 日本電信電話株式会社 | Authentication method, registered value generation method, server device, client device, and program |
JP2010061211A (en) * | 2008-09-01 | 2010-03-18 | Ricoh Co Ltd | Information processor, image forming apparatus, authentication method, program, storage medium, and system |
JP6181558B2 (en) * | 2012-01-06 | 2017-08-16 | キャピーインク | Capture providing method and program |
JP5834118B2 (en) * | 2014-08-07 | 2015-12-16 | 株式会社東芝 | Information operation device, information output device, and information operation program |
-
2015
- 2015-07-07 JP JP2015135893A patent/JP6084258B2/en active Active
-
2016
- 2016-07-04 WO PCT/JP2016/069772 patent/WO2017006905A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2017006905A1 (en) | 2017-01-12 |
JP2017021396A (en) | 2017-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9923876B2 (en) | Secure randomized input | |
CN108369615B (en) | Dynamically updating CAPTCHA challenges | |
US9641521B2 (en) | Systems and methods for network connected authentication | |
US8667294B2 (en) | Apparatus and method for preventing falsification of client screen | |
US10225260B2 (en) | Enhanced authentication security | |
US8918853B2 (en) | Method and system for automatic recovery from lost security token on embedded device | |
CA2833969C (en) | System and method for web-based security authentication | |
CN109257333A (en) | User authen method and equipment and security ststem | |
JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
JP2018502410A (en) | Common identification data replacement system and method | |
CN103902477A (en) | 3D cloud lock | |
WO2014161259A1 (en) | Verification code processing method, device, terminal and server | |
WO2008088979A1 (en) | Self validation of user authentication requests | |
JP2009301446A (en) | Method and server for user authentication using a plurality of terminals, and program | |
KR20130085566A (en) | Apparatus and method of authentifying password using captcha | |
US20160366172A1 (en) | Prevention of cross site request forgery attacks | |
KR102164301B1 (en) | System and Method for log in based on server easily | |
US10701105B2 (en) | Method for website authentication and for securing access to a website | |
JP6084258B2 (en) | Authentication system and display program | |
JP2012141870A (en) | Authentication system, authentication method, and program | |
KR101178828B1 (en) | Online money transfer using context-based captcha | |
JP6451498B2 (en) | Program, information processing terminal, information processing method, and information processing system | |
JP7403430B2 (en) | Authentication device, authentication method and authentication program | |
US20240020376A1 (en) | System and method for safely autofilling login fields in computing sources | |
KR20080033682A (en) | Server authentication system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170111 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6084258 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |