JP6084258B2 - Authentication system and display program - Google Patents

Authentication system and display program Download PDF

Info

Publication number
JP6084258B2
JP6084258B2 JP2015135893A JP2015135893A JP6084258B2 JP 6084258 B2 JP6084258 B2 JP 6084258B2 JP 2015135893 A JP2015135893 A JP 2015135893A JP 2015135893 A JP2015135893 A JP 2015135893A JP 6084258 B2 JP6084258 B2 JP 6084258B2
Authority
JP
Japan
Prior art keywords
authentication
communication terminal
authentication key
key
display program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015135893A
Other languages
Japanese (ja)
Other versions
JP2017021396A (en
Inventor
杉浦 隆幸
隆幸 杉浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NetAgent Co Ltd
Original Assignee
NetAgent Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NetAgent Co Ltd filed Critical NetAgent Co Ltd
Priority to JP2015135893A priority Critical patent/JP6084258B2/en
Priority to PCT/JP2016/069772 priority patent/WO2017006905A1/en
Publication of JP2017021396A publication Critical patent/JP2017021396A/en
Application granted granted Critical
Publication of JP6084258B2 publication Critical patent/JP6084258B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Description

この発明は、例えばインターネット等の通信網に接続された通信端末の認証を行う認証技術に関し、より詳細には、機械的ログインプログラムを用いた不正な認証要求を拒否する技術に関する。   The present invention relates to an authentication technique for authenticating a communication terminal connected to a communication network such as the Internet, and more particularly to a technique for rejecting an unauthorized authentication request using a mechanical login program.

従来より、インターネットのウェブサイト等に対して不正にログインする方法の一つとして、リスト型攻撃と称されるものが知られている。   2. Description of the Related Art Conventionally, a so-called list-type attack is known as one of methods for illegally logging in to an Internet website or the like.

リスト型攻撃とは、不正行為者が、あるウェブサイトのログイン認証に使用するユーザID及びパスワードを大量に不正入手し、それらのユーザID及びパスワードを用いて、他のウェブサイトのログイン認証を受けようと試みる不正ログイン方法である。正規ユーザが、複数のウェブサイトについて同一のユーザIDやパスワードを使用している場合、このリスト型攻撃によって不正にログインされるおそれがある。   A list-type attack is where a fraudster illegally obtains a large number of user IDs and passwords used for login authentication of a certain website, and uses those user IDs and passwords to receive login authentication for other websites. It is an unauthorized login method that tries to do so. If a legitimate user uses the same user ID and password for a plurality of websites, there is a risk of unauthorized login by this list type attack.

このようなリスト型攻撃は、一般に、コンピュータに機械的ログインプログラムを実行させることで、行われる。この機械的ログインプログラムは、大量のユーザIDやパスワードについてのログイン認証要求を、様々なウェブサイトに対して、機械的に高速で実行する。機械的ログインプログラムを用いることにより、不正行為者は、多数の不正アクセスを、短時間で自動的に試みることができる。   Such a list-type attack is generally performed by causing a computer to execute a mechanical login program. This mechanical login program mechanically executes login authentication requests for a large number of user IDs and passwords on various websites at high speed. By using a mechanical login program, a fraudster can automatically attempt a large number of unauthorized accesses in a short time.

機械的ログインプログラムを用いた認証要求を拒否する技術としては、例えば、下記特許文献1や2に記載されたものが知られている。   As a technique for rejecting an authentication request using a mechanical login program, for example, those described in Patent Documents 1 and 2 below are known.

特許文献1には、キャプチャ(CAPTCHA)
と称される認証技術が開示されている。この認証技術では、認証を要求した通信端末の認証用ウェブページに任意の文字列を表示するとともに、その通信端末のユーザに、その文字列を手入力するように促す。このとき、その文字列を、人間には識別できるがコンピュータの文字認識プログラムでは識別できないような形態で表示することにより、機械的ログインプログラムによる機械的な認証要求を拒否することができる(特許文献1の図1等参照)。 Patent Document 1 includes a capture (CAPTCHA).
An authentication technique referred to as is disclosed. In this authentication technique, an arbitrary character string is displayed on the authentication web page of the communication terminal that requested authentication, and the user of the communication terminal is prompted to manually input the character string. At this time, by displaying the character string in a form that can be identified by a human but not by a computer character recognition program, a mechanical authentication request by a mechanical login program can be rejected (Patent Literature). 1).

また、特許文献2では、ログイン認証ページにジグソーパズルを表示して、その通信端末のユーザに、そのジグソーパズルを解かせることにより、機械的ログインプログラムによる機械的な認証要求を拒否している(特許文献2の段落[0077]、図8(c)等参照)。   Further, in Patent Document 2, a jigsaw puzzle is displayed on the login authentication page, and the user of the communication terminal is allowed to solve the jigsaw puzzle, thereby rejecting the mechanical authentication request by the mechanical login program (Patent Document). 2 paragraph [0077], FIG. 8 (c), etc.).

特表2014−515516号公報Special table 2014-515516 gazette 特開2015−109097号公報Japanese Patent Laying-Open No. 2015-109097

しかしながら、上記特許文献1の認証技術(キャプチャ)には、入力する文字列が人間にとっても読み難い場合があるため、正規のユーザにとって使い勝手が悪いという欠点がある。   However, the authentication technique (capture) of Patent Document 1 has a drawback in that it is difficult for legitimate users to use because the input character string may be difficult for humans to read.

同様に、上記特許文献2の認証技術にも、その都度ジグソーパズルを解かなければならないために、正規のユーザにとって使い勝手が悪いという欠点がある。   Similarly, the authentication technique of Patent Document 2 has a drawback that it is not convenient for a legitimate user because the jigsaw puzzle must be solved each time.

この発明は、ユーザの操作負担を増すこと無しに、機械的ログインプログラムによる機械的な認証要求を拒否することができる、ウェブ認証システム及び認証プログラムを提供することを課題とする。   It is an object of the present invention to provide a web authentication system and an authentication program that can reject a mechanical authentication request by a mechanical login program without increasing a user's operation burden.

請求項1の発明は、通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する認証システムであって、第1の認証キーに文字列加工処理を施すことで生成された第2の認証キーを保存するキー保存部と、前記通信端末が前記ウェブサーバへ認証を要求したときに、該通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させるプログラムを、前記認証ページの表示プログラムとして該通信端末宛に送信する送信処理部と、前記通信端末から受信した前記第3の認証キーが前記キー保存部に保存された前記第2の認証キーと一致する場合に、前記表示プログラムが実行されたと判断する比較処理部と、を備える認証システムとしたことを特徴とする。 The invention of claim 1 is an authentication system for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser , wherein a character string is used as a first authentication key. a key storage unit for storing a second authentication key generated by performing processing, when said communication terminal requests an authentication to the web server, and displays the authentication page on a display unit of the communication terminal A display process; a calculation process for generating a third authentication key from the first authentication key by automatically executing the character string processing process; and a return process for returning the third authentication key. the program to be executed by the browser of the terminal, the transmission processing unit for transmitting the authentication page display program addressed to the communication terminal, the third authentication key received from the communication terminal before If there is a match with the second authentication key stored in the key storage unit, characterized in that the authentication system and a comparison processing unit to determine that the display program is executed.

請求項2の発明は、請求項1に記載の構成に加え、前記第1の認証キーは、前記表示プログラム内又は該表示プログラムに付随して送信されるデータ内に埋め込まれた状態で、前記通信端末に送信されることを特徴とする。   According to a second aspect of the present invention, in addition to the configuration of the first aspect, the first authentication key is embedded in the display program or in data transmitted along with the display program. It is transmitted to a communication terminal.

請求項3の発明は、請求項1又は2に記載の構成に加え、前記認証ページは、ユーザID及びパスワードの入力フィールドを含み、且つ、前記表示プログラムの前記返送処理は、該入力フィールドに入力された該ユーザID及び該パスワードと共に、前記第3の認証キーを返送する処理である、ことを特徴とする。   According to a third aspect of the present invention, in addition to the configuration of the first or second aspect, the authentication page includes an input field for a user ID and a password, and the return processing of the display program is input to the input field. The third authentication key is returned together with the user ID and the password that have been sent.

請求項4の発明は、通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する表示プログラムであって、前記通信端末が前記ウェブサーバへ認証を要求したときに、請求項1乃至3の何れかに記載の認証システムから送信され、前記通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させる表示プログラムとしたことを特徴とする。 The invention according to claim 4 is a display program for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser, wherein the communication terminal is connected to the web server. When the authentication is requested, the authentication system according to any one of claims 1 to 3 automatically transmits the display process for displaying the authentication page on the display unit of the communication terminal and the character string processing process. Thus, a calculation program for generating a third authentication key from the first authentication key and a return process for returning the third authentication key are set as a display program for causing the browser of the communication terminal to execute. Features.

請求項1及び4の発明によれば、キー保存部に保存された第2の認証キーと、通信端末のブラウザが表示プログラムを実行することによって自動演算された第3の認証キーとを比較することで認証処理を行う。そのため、表示プログラムを実行しない通信端末は、この認証システムから認証を受けることができない。ここで、通常、機械的ログインプログラムは、表示プログラムを実行しない。従って、請求項1及び4の発明によれば、多くの機械的ログインプログラムによる不正な認証要求(例えばリスト型攻撃の認証要求)を拒否できる。   According to the first and fourth aspects of the present invention, the second authentication key stored in the key storage unit is compared with the third authentication key automatically calculated by the browser of the communication terminal executing the display program. Authentication process. Therefore, a communication terminal that does not execute the display program cannot receive authentication from this authentication system. Here, usually, the mechanical login program does not execute the display program. Therefore, according to the first and fourth aspects of the invention, an unauthorized authentication request (for example, an authentication request for a list type attack) by many mechanical login programs can be rejected.

また、不正行為者が、表示プログラムを実行できる機械的ログインプログラムを開発して使用することも考えられるが、その場合でも、機械的ログインプログラムの開発コストの高騰や処理速度(すなわち、単位時間内に認証要求できる回数)の低下を図ることができ、これにより、不正行為を行い難くすることができる。   It is also conceivable for fraudsters to develop and use a mechanical login program that can execute a display program. Even in this case, however, the development cost of the mechanical login program has increased and the processing speed (that is, within a unit time). The number of times authentication requests can be made is reduced, thereby making it difficult to perform fraudulent acts.

更に、請求項1の発明によれば、第3の認証キーは、通信端末が表示プログラムを実行することによって自動演算されるので、正規ユーザの操作負担を増大させることが無い。   Furthermore, according to the invention of claim 1, since the third authentication key is automatically calculated by the communication terminal executing the display program, the operation burden on the authorized user is not increased.

請求項2の発明によれば、第1の認証キーは、表示プログラム内又は該表示プログラムに付随して送信されるデータ内に埋め込まれた状態で通信端末に送信されるので、その通信端末の機械的ログインプログラムは、その第1の認証キーを、その表示プログラムの中から探し出す必要がある。このため、請求項2の発明によれば、機械的ログインプログラムの開発コストの高騰や処理速度の低下を図ることができ、これにより、不正行為を行い難くすることができる。その一方で、正規ユーザにとっては、第1の認証キーを通信端末に入力する操作が不要なので、操作負担が増大することがない。   According to the invention of claim 2, the first authentication key is transmitted to the communication terminal in a state embedded in the display program or data transmitted accompanying the display program. The mechanical login program needs to find out the first authentication key from the display program. For this reason, according to the invention of claim 2, the development cost of the mechanical login program can be increased and the processing speed can be lowered, thereby making it difficult to perform an illegal act. On the other hand, since the operation for inputting the first authentication key to the communication terminal is unnecessary for the authorized user, the operation burden does not increase.

請求項3の発明によれば、認証システムは、認証ページで入力されたユーザID及びパスワードと共に、第3の認証キーを受け取るので、機械的ログインプログラムによる機械的な認証要求に使用されたユーザID及びパスワードが不正取得された正規のものであっても、その認証を拒否することができる。   According to the invention of claim 3, since the authentication system receives the third authentication key together with the user ID and password entered on the authentication page, the user ID used for the mechanical authentication request by the mechanical login program. Even if the password is a legitimate one obtained illegally, the authentication can be rejected.

この発明の実施の形態1に係るネットワーク構成を示す概念図である。It is a conceptual diagram which shows the network structure which concerns on Embodiment 1 of this invention. 同実施の形態1に係る認証システムの動作を説明するための概念図である。It is a conceptual diagram for demonstrating operation | movement of the authentication system which concerns on the same Embodiment 1. FIG. 同実施の形態1に係る認証システムの動作を説明するための概略フローチャートである。4 is a schematic flowchart for explaining the operation of the authentication system according to the first embodiment. 同実施の形態1に係る認証システムの動作を説明するための概略フローチャートである。4 is a schematic flowchart for explaining the operation of the authentication system according to the first embodiment. 同実施の形態1に係る認証システムの動作を説明するための概略フローチャートである。4 is a schematic flowchart for explaining the operation of the authentication system according to the first embodiment.

[発明の実施の形態1]
以下、この発明の実施の形態1について、図1乃至図5を用いて説明する。 Embodiment 1 of the Invention
Embodiment 1 of the present invention will be described below with reference to FIGS.

図1は、この実施の形態1のネットワーク構成を示す概念図である。   FIG. 1 is a conceptual diagram showing the network configuration of the first embodiment.

図1に示したように、この実施の形態1に係るネットワーク100では、ウェブサーバ200と通信端末300とが、インターネット400を介して通信接続されている。   As shown in FIG. 1, in the network 100 according to the first embodiment, the web server 200 and the communication terminal 300 are communicatively connected via the Internet 400.

ウェブサーバ200は、この発明の「認証システム」に対応し、ウェブ認証部210と、ウェブページ配信部220とを備えている。   The web server 200 corresponds to the “authentication system” of the present invention, and includes a web authentication unit 210 and a web page distribution unit 220.

ウェブ認証部210は、キー生成部211と、データベース212と、比較処理部213とを備えている。   The web authentication unit 210 includes a key generation unit 211, a database 212, and a comparison processing unit 213.

キー生成部211は、例えば疑似乱数や乱数生成器等を用いて、第1の認証キーを生成する。第1の認証キーは、例えば、文字列(数字や記号等を含んでもよい)である。   The key generation unit 211 generates a first authentication key using, for example, a pseudo random number or a random number generator. The first authentication key is, for example, a character string (may include numbers and symbols).

そして、キー生成部211は、この第1の認証キーに、予め用意された文字列加工処理を施すことで、第2の認証キーを生成する。   Then, the key generation unit 211 generates a second authentication key by applying a character string processing process prepared in advance to the first authentication key.

文字列加工処理の内容は特に限定されず、その文字列加工処理を行うのがウェブ認証部210であるか通信端末300のブラウザであるかに拘わらず、常に、同じ第1の認証キーから同じ第2の認証キーを生成できる処理であれば良い。例えば、この文字列加工処理は、SHA(Secure Hash Algorithm)−1 等の暗号学的ハッシュ関数を用いた演算処理であってもよいし、第1の認証キーを特定の文字列で排他的論理和演算する処理であってもよい。   The content of the character string processing process is not particularly limited, and is always the same from the first authentication key regardless of whether the character string processing process is performed by the web authentication unit 210 or the browser of the communication terminal 300. Any process that can generate the second authentication key may be used. For example, the character string processing process may be an arithmetic process using a cryptographic hash function such as SHA (Secure Hash Algorithm) -1, or the first authentication key may be exclusively logically expressed with a specific character string. Processing that performs a sum operation may be used.

文字列加工処理の内容は、適宜変更することが可能である。文字列加工処理の内容を変更可能にすることで、不正行為者が、この文字列加工処理に対応した機械的ログインプログラムを開発し難くすることができる。更には、1回の認証処理毎に、文字列加工処理の内容を変更できるようにしてもよい。   The contents of the character string processing process can be changed as appropriate. By making it possible to change the contents of the character string processing process, it is possible for an unauthorized person to make it difficult to develop a mechanical login program corresponding to the character string processing process. Furthermore, the contents of the character string processing process may be changed for each authentication process.

生成された第1の認証キーは、ウェブページ配信部220に送られる。一方、上述の文字列加工処理で得られた第2の認証キーは、データベース212に送られる。   The generated first authentication key is sent to the web page distribution unit 220. On the other hand, the second authentication key obtained by the above-described character string processing is sent to the database 212.

データベース212は、この発明の「キー保存部」に対応し、キー生成部211から受け取った第2の認証キーを一時保存する。加えて、データベース212は、比較処理部213から第3の認証キーを受け取って、この第3の認証キーと一致する第2の認証キーを検索する(後述)。   The database 212 corresponds to the “key storage unit” of the present invention, and temporarily stores the second authentication key received from the key generation unit 211. In addition, the database 212 receives the third authentication key from the comparison processing unit 213, and searches for a second authentication key that matches the third authentication key (described later).

比較処理部213は、通信端末300からで生成された第3の認証キー(後述)を、ウェブページ配信部220から受け取る。続いて、データベース212に、この第3の認証キーと一致する第2の認証キーの検索を要求する。そして、比較処理部213は、その第3の認証キーと一致する第2の認証キーがデータベース212から発見された場合には、認証成功と判断して、その第2の認証キーをデータベース212から削除させると共に、認証成功をウェブページ配信部220に通知する(後述)。   The comparison processing unit 213 receives a third authentication key (described later) generated from the communication terminal 300 from the web page distribution unit 220. Subsequently, the database 212 is requested to search for a second authentication key that matches the third authentication key. When the second authentication key that matches the third authentication key is found from the database 212, the comparison processing unit 213 determines that the authentication is successful, and obtains the second authentication key from the database 212. At the same time, the authentication is notified to the web page distribution unit 220 (described later).

ウェブページ配信部220は、この発明の「送信処理部」に対応し、通信端末300に対して、ウェブ表示プログラムを配信する。ウェブ表示プログラムとは、通信端末300の画面へのウェブページの表示等を行わせるためのプログラムであり、この通信端末300のウェブブラウザ310によって実行される。このウェブ表示プログラムは、例えばHTML(HyperText Markup Language) 等を用いて記述することができる。ウェブページ配信部220が配信するウェブページには、ログイン認証ページが含まれる。   Web page distribution unit 220 corresponds to the “transmission processing unit” of the present invention, and distributes a web display program to communication terminal 300. The web display program is a program for displaying a web page on the screen of the communication terminal 300 and is executed by the web browser 310 of the communication terminal 300. This web display program can be described using, for example, HTML (HyperText Markup Language). The web page distributed by the web page distribution unit 220 includes a login authentication page.

ログイン認証ページ用のウェブ表示プログラムは、通信端末300の使用者にユーザIDを入力させるための入力フィールド320と、該使用者にパスワードを入力させるための入力フィールド330と、これら入力フィールド320,330の入力文字列を送信するためのログインボタン340とを、その通信端末300の表示画面に表示させる。   The login authentication page web display program includes an input field 320 for allowing the user of the communication terminal 300 to input a user ID, an input field 330 for allowing the user to input a password, and these input fields 320 and 330. The login button 340 for transmitting the input character string is displayed on the display screen of the communication terminal 300.

更に、ログイン認証ページ用のウェブ表示プログラムは、通信端末300に文字列加工処理を実行させて第1の認証キーから第3の認証キーを生成するための、プログラムコードを含んでいる。この文字列加工処理の内容は、上述したキー生成部211の文字列加工処理と同一である。従って、このウェブ表示プログラムが正常に実行された場合、この第3の認証キーは、キー生成部211の文字列加工処理で生成される第2の認証キーと、同一の文字列となる。   Further, the web display program for the login authentication page includes a program code for causing the communication terminal 300 to execute a character string processing process and generating a third authentication key from the first authentication key. The contents of the character string processing process are the same as the character string processing process of the key generation unit 211 described above. Therefore, when the web display program is normally executed, the third authentication key is the same character string as the second authentication key generated by the character string processing of the key generation unit 211.

加えて、ウェブページ配信部220は、ログイン認証ページ用のウェブ表示プログラム或いはそのウェブ表示プログラムに付随して配信するデータ内に、この文字列加工処理の対象となる第1の認証キーを埋め込む。この第1の認証キーを埋め込む位置は、そのウェブ表示プログラム内のスクリプトがアクセスできる位置であれば、何処でも良い。例えば、文書構造を定義する記述部分や、スタイルを定義する記述部分に、第1の認証キーを埋め込むことができる。   In addition, the web page distribution unit 220 embeds a first authentication key to be subjected to the character string processing process in the web display program for the login authentication page or the data distributed along with the web display program. The position for embedding the first authentication key may be anywhere as long as the script in the web display program can be accessed. For example, the first authentication key can be embedded in a description part that defines a document structure or a description part that defines a style.

加えて、ログイン認証ページ用のウェブ表示プログラムは、ウェブサーバ200のウェブページ配信部220に第3の認証キーを送信するためのプログラムコードを含んでいる。この実施の形態1では、入力フィールド320,330に入力されたユーザID及びパスワードをウェブサーバ200に送信するためのフォーム・タグ内に、この第3の認証キーを、非表示データ(input typeが"hidden"のデータ)として格納する。このフォーム・タグの記述の一例を、以下に示す。   In addition, the web display program for the login authentication page includes a program code for transmitting the third authentication key to the web page distribution unit 220 of the web server 200. In the first embodiment, the third authentication key is displayed in the form tag for transmitting the user ID and password input in the input fields 320 and 330 to the web server 200, and the non-display data (input type is set). stored as "hidden" data). An example of this form tag description is shown below.

<form action="/login"mehtod="post" name="loginForm">
<input type="hidden"name="_token" value="fF7eg6CSD3d636d" />
<input type="text"name="user_id" />
<input type="password"name="password" />
<input id="submit"type="image" src="img/img/login.gif" value="ログイン" />
</form>
また、ウェブページ配信部220は、ユーザID、パスワード及び第3の認証キーを通信端末300から受け取って、後述のような認証処理を行う。 <form action = "/ login" mehtod = "post" name = "loginForm">
<input type = "hidden" name = "_ token" value = "fF7eg6CSD3d636d"/>
<input type = "text" name = "user_id"/>
<input type = "password" name = "password"/>
<input id = "submit" type = "image" src = "img / img / login.gif" value = "login"/>
</ form>
In addition, the web page distribution unit 220 receives the user ID, password, and third authentication key from the communication terminal 300, and performs an authentication process as described below.

通信端末300は、インターネット400を介してウェブサーバ200にアクセスできる通信装置であれば何でもよく、例えば、パーソナルコンピュータ、携帯電話機、スマートフォン、タブレット端末等である。正規ユーザの通信端末300には、例えばアプリケーションソフトウエアとして、ウェブブラウザ310がインストールされている。このウェブブラウザ310は、上述のようなウェブ表示プログラムを実行できるものであれば何でもよく、従来のものをそのまま使用できる。   The communication terminal 300 may be any communication device that can access the web server 200 via the Internet 400, such as a personal computer, a mobile phone, a smartphone, or a tablet terminal. For example, a web browser 310 is installed in the communication terminal 300 of the authorized user as application software. The web browser 310 may be anything as long as it can execute the web display program as described above, and a conventional one can be used as it is.

次に、この実施の形態1に係るネットワークの全体動作について、図2乃至図5を用いて説明する。   Next, the overall operation of the network according to the first embodiment will be described with reference to FIGS.

まず、通信端末300の使用者が、ウェブブラウザ310を操作して、ウェブサーバ200にアクセスする。そして、このウェブサーバ200のウェブページ配信部220に、所望のウェブページの配信(すなわち、そのウェブページに対応するウェブ表示プログラムの送信)を要求するページ要求信号を送信する(図2のステップS201参照)。   First, the user of the communication terminal 300 accesses the web server 200 by operating the web browser 310. Then, a page request signal for requesting distribution of a desired web page (that is, transmission of a web display program corresponding to the web page) is transmitted to the web page distribution unit 220 of the web server 200 (step S201 in FIG. 2). reference).

ウェブページ配信部220は、このページ要求信号を受信すると、ウェブ認証部210に、認証キー要求信号を送信する(図2のステップS202参照)。   Upon receiving this page request signal, the web page distribution unit 220 transmits an authentication key request signal to the web authentication unit 210 (see step S202 in FIG. 2).

ウェブ認証部210のキー生成部211は、この認証キー要求信号を受信すると、以下のような処理を行う(図3参照)。   When receiving the authentication key request signal, the key generation unit 211 of the web authentication unit 210 performs the following processing (see FIG. 3).

まず、キー生成部211は、この認証キー要求信号を受信すると(図3のステップS301参照)、第1の認証キーを生成する(図3のステップS302参照)。上述のように、第1の認証キーは、例えば疑似乱数を用いて生成できるが、他の方法であっても良い。   First, when receiving the authentication key request signal (see step S301 in FIG. 3), the key generation unit 211 generates a first authentication key (see step S302 in FIG. 3). As described above, the first authentication key can be generated using, for example, a pseudo random number, but other methods may be used.

続いて、キー生成部211は、この第1の認証キーを用いた文字列加工処理を行うことで、第2の認証キーを生成する(図3のステップS303参照)。   Subsequently, the key generation unit 211 generates a second authentication key by performing a character string processing process using the first authentication key (see step S303 in FIG. 3).

更に、キー生成部211は、この第2の認証キーを用いた認証のタイムアウト時刻を決定し、これら第2の認証キー及びタイムアウト時刻をデータベース212に保存する(図3のステップS304参照)。なお、タイムアウト時刻に代えて、第2の認証キーの生成時刻を、データベース212に保存してもよい。   Further, the key generation unit 211 determines a timeout time for authentication using the second authentication key, and stores the second authentication key and the timeout time in the database 212 (see step S304 in FIG. 3). Note that the generation time of the second authentication key may be stored in the database 212 instead of the timeout time.

その後、キー生成部211は、第1の認証キーを、ウェブページ配信部220へ送信する(図3のステップS305及び図2のステップS203参照)。   After that, the key generation unit 211 transmits the first authentication key to the web page distribution unit 220 (see step S305 in FIG. 3 and step S203 in FIG. 2).

ウェブページ配信部220は、ウェブ認証部210から第1の認証キーを受け取ると、その第1の認証キーを、予め用意されたログイン認証ページ用ウェブ表示プログラム(上述)に埋め込む。そして、ウェブページ配信部220は、そのウェブ表示プログラムを、通信端末300へ送信する(図2のステップS204参照)。   Upon receiving the first authentication key from the web authentication unit 210, the web page distribution unit 220 embeds the first authentication key in a login authentication page web display program (described above) prepared in advance. And the web page delivery part 220 transmits the web display program to the communication terminal 300 (refer step S204 of FIG. 2).

通信端末300は、このウェブ表示プログラムを、ウェブブラウザ310に実行させる。これにより、ウェブブラウザ310は、通信端末の表示画面に、ログイン認証ページを表示する。上述のように、このログイン認証ページは、ユーザID用の入力フィールド320と、パスワード用の入力フィールド330と、ログインボタン340とを含んでいる(図1参照)。   The communication terminal 300 causes the web browser 310 to execute this web display program. Thereby, the web browser 310 displays a login authentication page on the display screen of the communication terminal. As described above, this login authentication page includes the input field 320 for user ID, the input field 330 for password, and the login button 340 (see FIG. 1).

加えて、ウェブブラウザ310がウェブ表示プログラムを実行することで、上述のようにして、第3の認証キーが生成される(上述)。なお、第3の認証キーを生成するプログラムは、ログイン認証ページの画面表示を行う際(すなわち、入力フィールド320,330及びログインボタン340を表示する際)に実行してもよいが、通信端末のユーザがログインボタン340を操作したタイミング(後述)で実行してもよい。   In addition, when the web browser 310 executes the web display program, the third authentication key is generated as described above (described above). The program for generating the third authentication key may be executed when the login authentication page is displayed (that is, when the input fields 320 and 330 and the login button 340 are displayed). You may perform at the timing (after-mentioned) that the user operated the login button 340. FIG.

その後、通信端末300のユーザが、入力フィールド320,330にユーザID及びパスワードを入力した後で、ログインボタン340を操作すると、これらユーザID、パスワードおよび第3の認証キーを含む認証情報が、ウェブサーバ200に送信される(図2のステップS205参照)。なお、入力フィールド330に入力されたパスワードは、暗号的ハッシュ関数等を用いて暗号化して、送信してもよい。   Thereafter, when the user of the communication terminal 300 operates the login button 340 after inputting the user ID and password in the input fields 320 and 330, the authentication information including the user ID, the password, and the third authentication key is displayed on the web. It is transmitted to the server 200 (see step S205 in FIG. 2). Note that the password input in the input field 330 may be transmitted after being encrypted using a cryptographic hash function or the like.

ウェブサーバ200は、この認証情報を受信すると、以下のような処理を行う(図4及び図5参照)。なお、図4はウェブページ配信部220の動作を示しており、図5はウェブ認証部210に設けられた比較処理部213の動作を示している。   Upon receiving this authentication information, the web server 200 performs the following processing (see FIGS. 4 and 5). 4 shows the operation of the web page distribution unit 220, and FIG. 5 shows the operation of the comparison processing unit 213 provided in the web authentication unit 210.

ウェブページ配信部220は、認証情報を受信すると(図4のステップS401参照)、その認証情報に格納されたユーザID及びパスワードの正誤をチェックする(図4のステップS402参照)。   When receiving the authentication information (see step S401 in FIG. 4), the web page distribution unit 220 checks whether the user ID and password stored in the authentication information are correct (see step S402 in FIG. 4).

そして、ユーザID及びパスワードが誤りである場合、ウェブページ配信部220は、認証失敗と判断して、通信端末300のログインを拒否するための処理を行う(図4のステップS403参照)。この処理により、通信端末300には、ログインを拒否したことが通知される(図2のステップS208参照)。   If the user ID and password are incorrect, the web page distribution unit 220 determines that authentication has failed and performs processing for rejecting login of the communication terminal 300 (see step S403 in FIG. 4). Through this process, the communication terminal 300 is notified that login has been refused (see step S208 in FIG. 2).

一方、ステップS402においてユーザID及びパスワードが正しかった場合、ウェブページ配信部220は、認証確認要求に第3の認証キーを格納して、ウェブ認証部210へ送信する(図4のステップS404、図2のステップS206参照)。   On the other hand, if the user ID and password are correct in step S402, the web page distribution unit 220 stores the third authentication key in the authentication confirmation request and transmits it to the web authentication unit 210 (step S404 in FIG. 4, FIG. 4). 2 step S206).

比較処理部213は、この認証確認要求を受信すると(図5のステップS501参照)、その認容確認要求から第3の認証キーを取り出す。続いて、比較処理部213は、データベース212に、その第3の認証キーと一致する第2の認証キーを探すように要求する(図5のステップS502参照)。   When receiving the authentication confirmation request (see step S501 in FIG. 5), the comparison processing unit 213 extracts the third authentication key from the acceptance confirmation request. Subsequently, the comparison processing unit 213 requests the database 212 to search for a second authentication key that matches the third authentication key (see step S502 in FIG. 5).

ここで、第3の認証キーと一致する第2の認証キーが存在しなかった場合(図5のステップS503参照)、比較処理部213は、ウェブページ配信部220に、認証に失敗した旨を通知する(図5のステップS504、図2のステップS207参照)。なお、第3の認証キーと一致する第2の認証キーが検索された場合であっても、その検索の時刻がタイムアウト時刻(上述)を超えている場合には、認証失敗と判断すると共に、それら第2の認証キー及びタイムアウト時刻がデータベース212から削除される。なお、タイムアウト時刻に代えて第2の認証キーの生成時刻をデータベース212に保存する場合には、その生成から検索までの経過時間が所定時間を超えている場合に、認証失敗と判断すればよい。   If the second authentication key that matches the third authentication key does not exist (see step S503 in FIG. 5), the comparison processing unit 213 informs the web page distribution unit 220 that the authentication has failed. Notification is made (see step S504 in FIG. 5 and step S207 in FIG. 2). Even when the second authentication key that matches the third authentication key is searched, if the search time exceeds the timeout time (described above), it is determined that the authentication has failed, The second authentication key and timeout time are deleted from the database 212. If the generation time of the second authentication key is stored in the database 212 instead of the timeout time, it may be determined that the authentication has failed when the elapsed time from the generation to the search exceeds a predetermined time. .

一方、第3の認証キーと一致する第2の認証キーが確認され、且つ、その第2の認証キーが生成されてからの経過時間が所定時間内である場合、比較処理部213は、それら第2の認証キー及びタイムアウト時刻(又は生成時刻)をデータベース212から削除すると共に(図5のステップS505参照)、ウェブページ配信部220に、認証が成功した旨を通知する(図5のステップS506、図2のステップS207参照)。   On the other hand, when the second authentication key that matches the third authentication key is confirmed and the elapsed time since the generation of the second authentication key is within a predetermined time, the comparison processing unit 213 The second authentication key and the timeout time (or generation time) are deleted from the database 212 (see step S505 in FIG. 5), and the web page distribution unit 220 is notified that the authentication has been successful (step S506 in FIG. 5). , See step S207 in FIG. 2).

ウェブページ配信部220は、ウェブ認証部210から通知を受信すると、その通知から、認証の成功/失敗を判断する(図4のステップS405参照)。そして、認証に失敗したと判断した場合、ウェブページ配信部220は、通信端末300のログインを拒否するための処理を行う(図4のステップS406参照)。この処理により、通信端末300には、ログインを拒否したことが通知される(図2のステップS208参照)。   When receiving the notification from the web authentication unit 210, the web page distribution unit 220 determines the success / failure of the authentication from the notification (see step S405 in FIG. 4). When it is determined that the authentication has failed, the web page distribution unit 220 performs a process for rejecting the login of the communication terminal 300 (see step S406 in FIG. 4). Through this process, the communication terminal 300 is notified that login has been refused (see step S208 in FIG. 2).

一方、ステップS405で認証に成功したと判断した場合、ウェブページ配信部220は、通信端末300のためのセッションキーを生成すると共に(図4のステップS407参照)、そのセッションキーを通信端末300へ送信する(図4のステップS408、図2のステップS208参照)。このセッションキーにより、通信端末300にログインが許可されると共に、ログインしたあとのセッション管理が行われる。   On the other hand, when it is determined in step S405 that the authentication is successful, the web page distribution unit 220 generates a session key for the communication terminal 300 (see step S407 in FIG. 4) and transmits the session key to the communication terminal 300. Transmit (see step S408 in FIG. 4 and step S208 in FIG. 2). With this session key, login to the communication terminal 300 is permitted, and session management after login is performed.

以上説明したように、この実施の形態1では、キー生成部211に保存された第2の認証キーと、通信端末300のウェブブラウザ310がウェブ表示プログラムを実行することによって自動演算された第3の認証キーとを比較することで、ログイン認証を行う。このため、ウェブ表示プログラムを実行しない通信端末300は、認証を受けることができない。ここで、通常、機械的ログインプログラムは、ウェブ表示プログラムを実行しない。従って、この実施の形態によれば、多くの機械的ログインプログラムによる不正な認証要求(例えばリスト型攻撃の認証要求)を拒否できる。   As described above, in the first embodiment, the second authentication key stored in the key generation unit 211 and the third computation automatically calculated by the web browser 310 of the communication terminal 300 executing the web display program. Login authentication is performed by comparing with the authentication key. For this reason, the communication terminal 300 that does not execute the web display program cannot receive authentication. Here, usually, the mechanical login program does not execute the web display program. Therefore, according to this embodiment, an unauthorized authentication request (for example, an authentication request for a list-type attack) by many mechanical login programs can be rejected.

また、不正行為者が、ウェブ表示プログラムを実行できる機械的ログインプログラムを開発して使用することも考えられるが、その場合でも、機械的ログインプログラムの開発コストの高騰や処理速度(すなわち、単位時間内に認証要求できる回数)の低下を図ることができ、これにより、不正行為を行い難くすることができる。   It is also conceivable for fraudsters to develop and use a mechanical login program that can execute a web display program. Even in this case, however, the development cost of the mechanical login program and the processing speed (that is, unit time) The number of times authentication requests can be made is reduced, thereby making it difficult to perform fraudulent acts.

更に、この実施の形態1によれば、第3の認証キーは、通信端末300がウェブ表示プログラムを実行することによって自動演算されるので、通信端末300のユーザの操作負担を増大させることが無い。   Furthermore, according to the first embodiment, since the third authentication key is automatically calculated by the communication terminal 300 executing the web display program, the operation burden on the user of the communication terminal 300 is not increased. .

また、この実施の形態1によれば、第1の認証キーは、ウェブ表示プログラム内に埋め込まれた状態で通信端末300に送信されるので、その通信端末300の機械的ログインプログラムは、その第1の認証キーを、そのウェブ表示プログラムの中から探し出す必要がある。このため、この実施の形態1によれば、機械的ログインプログラムの開発コストの高騰や処理速度の低下を図ることができ、これにより、不正行為を行い難くすることができる。   Further, according to the first embodiment, the first authentication key is transmitted to the communication terminal 300 in an embedded state in the web display program, so that the mechanical login program of the communication terminal 300 is the first authentication key. It is necessary to search for one authentication key in the web display program. For this reason, according to the first embodiment, the development cost of the mechanical login program can be increased and the processing speed can be lowered, thereby making it difficult to perform an illegal act.

その一方で、正規ユーザにとっては、第1の認証キーを通信端末に入力等する操作が不要なので、操作負担が増大することがない。   On the other hand, since the operation for inputting the first authentication key to the communication terminal is unnecessary for the authorized user, the operation burden does not increase.

加えて、この実施の形態1によれば、ウェブサーバ200は、認証ページで入力されたユーザID及びパスワードと共に、第3の認証キーを受け取るので、機械的ログインプログラムによる機械的な認証要求に使用されたユーザID及びパスワードが不正取得された正規のものであっても、その認証を拒否することができる。   In addition, according to the first embodiment, the web server 200 receives the third authentication key together with the user ID and password input on the authentication page, so that it is used for a mechanical authentication request by the mechanical login program. Even if the obtained user ID and password are legitimate ones obtained illegally, the authentication can be rejected.

なお、この実施の形態1では、この発明の認証技術(第2及び第3の認証キーを比較することによる認証技術)をユーザID及びパスワードによる認証技術と併用する場合を例に採って説明したが、この発明の認証技術を他の認証技術と併用してもよく、更には、単独で使用してもよい。   In the first embodiment, the case where the authentication technique of the present invention (authentication technique by comparing the second and third authentication keys) is used in combination with the authentication technique based on the user ID and password has been described as an example. However, the authentication technique of the present invention may be used in combination with other authentication techniques, or may be used alone.

100 ネットワーク
200 ウェブサーバ
210 ウェブ認証部
211 キー生成部
212 データベース
213 比較処理部
220 ウェブページ配信部
300 通信端末
310 ウェブブラウザ
320,330 入力フィールド
340 ログインボタン
400 インターネット DESCRIPTION OF SYMBOLS 100 Network 200 Web server 210 Web authentication part 211 Key production | generation part 212 Database 213 Comparison processing part 220 Web page delivery part 300 Communication terminal 310 Web browser 320,330 Input field 340 Login button 400 Internet

Claims (4)

通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する認証システムであって、
第1の認証キーに文字列加工処理を施すことで生成された第2の認証キーを保存するキー保存部と、
前記通信端末が前記ウェブサーバへ認証を要求したときに、該通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させるプログラムを、前記認証ページの表示プログラムとして該通信端末宛に送信する送信処理部と、
前記通信端末から受信した前記第3の認証キーが前記キー保存部に保存された前記第2の認証キーと一致する場合に、前記表示プログラムが実行されたと判断する比較処理部と、
を備えることを特徴とする認証システム。 An authentication system for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser,
A key storage unit for storing the second authentication key generated by performing the character string processing on the first authentication key;
When the communication terminal requests authentication from the web server, the display process of displaying the authentication page on the display unit of the communication terminal and the character string processing process are executed automatically from the first authentication key. A program for causing the browser of the communication terminal to execute a calculation process for generating a third authentication key and a return process for returning the third authentication key is sent to the communication terminal as the authentication page display program. A transmission processing unit to transmit;
A comparison processing unit that determines that the display program has been executed when the third authentication key received from the communication terminal matches the second authentication key stored in the key storage unit;
An authentication system comprising: 前記第1の認証キーは、前記表示プログラム内に埋め込まれた状態で、前記通信端末に送信されることを特徴とする請求項1に記載の認証システム。   The authentication system according to claim 1, wherein the first authentication key is transmitted to the communication terminal in a state of being embedded in the display program. 前記認証ページは、ユーザID及びパスワードの入力フィールドを含み、且つ、
前記表示プログラムの前記返送処理は、該入力フィールドに入力された該ユーザID及び該パスワードと共に、前記第3の認証キーを返送する処理である、
ことを特徴とする請求項1又は2に記載の認証システム。 The authentication page includes input fields for user ID and password, and
The return process of the display program is a process of returning the third authentication key together with the user ID and the password input in the input field.
The authentication system according to claim 1 or 2, characterized in that. 通信端末が、ブラウザに認証ページを表示させる処理を実行すること無しにウェブサーバから認証を受けることを、防止する表示プログラムであって、
前記通信端末が前記ウェブサーバへ認証を要求したときに、請求項1乃至3の何れかに記載の認証システムから送信され
前記通信端末の表示部に前記認証ページを表示させる表示処理と、前記文字列加工処理を自動実行することによって前記第1の認証キーから第3の認証キーを生成する演算処理と、該第3の認証キーを返送させる返送処理とを、該通信端末の前記ブラウザに実行させることを特徴とする表示プログラム。 A display program for preventing a communication terminal from receiving authentication from a web server without executing processing for displaying an authentication page on a browser,
When the communication terminal requests authentication from the web server, it is transmitted from the authentication system according to any one of claims 1 to 3 ,
A display process for displaying the authentication page on the display unit of the communication terminal; an arithmetic process for generating a third authentication key from the first authentication key by automatically executing the character string processing process; A display program for causing the browser of the communication terminal to execute a return process for returning the authentication key .
JP2015135893A 2015-07-07 2015-07-07 Authentication system and display program Active JP6084258B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015135893A JP6084258B2 (en) 2015-07-07 2015-07-07 Authentication system and display program
PCT/JP2016/069772 WO2017006905A1 (en) 2015-07-07 2016-07-04 Authentication system, authentication method, and program recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015135893A JP6084258B2 (en) 2015-07-07 2015-07-07 Authentication system and display program

Publications (2)

Publication Number Publication Date
JP2017021396A JP2017021396A (en) 2017-01-26
JP6084258B2 true JP6084258B2 (en) 2017-02-22

Family

ID=57685165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015135893A Active JP6084258B2 (en) 2015-07-07 2015-07-07 Authentication system and display program

Country Status (2)

Country Link
JP (1) JP6084258B2 (en)
WO (1) WO2017006905A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7552476B2 (en) * 2004-06-25 2009-06-23 Canon Kabushiki Kaisha Security against replay attacks of messages
JP4928364B2 (en) * 2007-06-25 2012-05-09 日本電信電話株式会社 Authentication method, registered value generation method, server device, client device, and program
JP2010061211A (en) * 2008-09-01 2010-03-18 Ricoh Co Ltd Information processor, image forming apparatus, authentication method, program, storage medium, and system
JP6181558B2 (en) * 2012-01-06 2017-08-16 キャピーインク Capture providing method and program
JP5834118B2 (en) * 2014-08-07 2015-12-16 株式会社東芝 Information operation device, information output device, and information operation program

Also Published As

Publication number Publication date
WO2017006905A1 (en) 2017-01-12
JP2017021396A (en) 2017-01-26

Similar Documents

Publication Publication Date Title
US9923876B2 (en) Secure randomized input
CN108369615B (en) Dynamically updating CAPTCHA challenges
US9641521B2 (en) Systems and methods for network connected authentication
US8667294B2 (en) Apparatus and method for preventing falsification of client screen
US10225260B2 (en) Enhanced authentication security
US8918853B2 (en) Method and system for automatic recovery from lost security token on embedded device
CA2833969C (en) System and method for web-based security authentication
CN109257333A (en) User authen method and equipment and security ststem
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP2018502410A (en) Common identification data replacement system and method
CN103902477A (en) 3D cloud lock
WO2014161259A1 (en) Verification code processing method, device, terminal and server
WO2008088979A1 (en) Self validation of user authentication requests
JP2009301446A (en) Method and server for user authentication using a plurality of terminals, and program
KR20130085566A (en) Apparatus and method of authentifying password using captcha
US20160366172A1 (en) Prevention of cross site request forgery attacks
KR102164301B1 (en) System and Method for log in based on server easily
US10701105B2 (en) Method for website authentication and for securing access to a website
JP6084258B2 (en) Authentication system and display program
JP2012141870A (en) Authentication system, authentication method, and program
KR101178828B1 (en) Online money transfer using context-based captcha
JP6451498B2 (en) Program, information processing terminal, information processing method, and information processing system
JP7403430B2 (en) Authentication device, authentication method and authentication program
US20240020376A1 (en) System and method for safely autofilling login fields in computing sources
KR20080033682A (en) Server authentication system and method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170124

R150 Certificate of patent or registration of utility model

Ref document number: 6084258

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250