JP7519977B2 - 認証システム、認証端末及び認証プログラム - Google Patents
認証システム、認証端末及び認証プログラム Download PDFInfo
- Publication number
- JP7519977B2 JP7519977B2 JP2021186556A JP2021186556A JP7519977B2 JP 7519977 B2 JP7519977 B2 JP 7519977B2 JP 2021186556 A JP2021186556 A JP 2021186556A JP 2021186556 A JP2021186556 A JP 2021186556A JP 7519977 B2 JP7519977 B2 JP 7519977B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- processing server
- terminal
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 91
- 230000004044 response Effects 0.000 claims description 36
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
こうした攻撃に対策するため、Authenticatorアプリによる認証やFIDO(登録商標)による認証などが提案されている。
本実施形態の認証方法は、ID及びパスワードなどによる第1の認証に続いて、認証用の端末に対してSMSで通知されたワンタイムパスワード(OTP)を入力するといった複数段階のユーザ認証を行うシステムに対して適用される。
すなわち、SMSを受信した特定のアプリケーションに対してユーザ自身が承認操作をすると、アクセス先において、この特定のアプリケーションの正当性を検証することで追加認証が実施される。
認証システム1は、ログイン端末10が処理サーバ20へアクセスする際の追加ユーザ認証を実施するための構成として、処理サーバ20と、この処理サーバ20に登録されているユーザが保有する認証端末30とを備えている。
また、認証端末30では、SMSを受信する所定のアプリケーション(以下、SMS認証アプリという)が動作する。このSMS認証アプリは、認証サーバ40との間で相互認証され、二者間で安全に通信できる。
なお、記憶部22には、予め、信頼できる特定のアプリケーションの識別情報が記録されているものとする。
認証要求送信部312は、認証情報受信部311が認証用のSMSを受信したことに応じて、送信元である処理サーバ20に宛てて自端末(認証端末30)の電話番号を伴う追加認証要求を送信する。
なお、この電話番号の送信は、SMS認証アプリの認証サーバ40経由であってもよい。
なお、処理サーバ20は、対応可否を明示的に通知してもよいが、単に応答した事実を対応可であることとしてもよい。
なお、これらのデータの送信経路は、処理サーバ20へ直接、又は認証サーバ40経由であってもよい。
https://[host]/sms-otp-configuration
{
"sms-otp-start" : "https://[host]/api/sms-otp-start",
"sms-otp-confirm" : "https://[host]/api/sms-otp-confirm",
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
具体的には、認証端末30(SMS認証アプリ)は、処理サーバ20に対して次のようにアクセスする。
https://[host]/api/sms-otp-start?
nonce=AAAA
&msisdn=XXXXXXXXXXXX
&appdomain=****.com
&domainsign=YYYYYYYYY
次に、処理サーバ20は、アプリドメイン(appdomain)に基づいて、SMS認証アプリの提供者が提供する認証サーバ40に次のようにアクセスする。
https://[appdomain]/sms-otp-sender-configration
{
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
{
"auth-status" : "OK",
"useragent" : "XXXXXXXX",
"from" : "Japan"
}
すなわち、認証端末30は、「nonce+MSISDNのハッシュ値及びnonce」と「nonce+MSISDN+OTPのハッシュ値及びnonce」を送信してもよい。また、処理サーバ20が前述のアクセス元情報の返却時にトークンを返却し、このトークンを「nonce+MSISDNのハッシュ値及びnonce」の代わりに用いることもできる。
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、自身の電話番号、OTP及びアプリ名を送信する。
処理サーバ20は、アプリ名により安全性を判定する。
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、アプリドメイン、自身の電話番号、OTP、及びアプリ内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」を送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、アプリドメイン、電話番号、OTP、及び認証サーバ40内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」をSMS認証アプリに送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、電話番号とOTPとを送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アクセス元である認証サーバ40のIPアドレス、又はSSLサーバ証明書/クライアント証明書などにより安全性を判定する。
また、追加認証に非対応の認証端末であっても、従来のシーケンスによりSMS認証を完了できる。
なお、処理サーバ20は、追加認証のシーケンスと従来のシーケンスとの出し分けを行う場合、SMS認証アプリからのアクセスの可能性がある一定時間はログインを完了させないことが好ましい。
また、認証サーバ40を経由して処理サーバ20へデータ送信することで、SMS認証アプリと相互認証済みの認証サーバ40から、追加認証のための情報を安全に提供できる。
10 ログイン端末
20 処理サーバ
21 制御部
22 記憶部
30 認証端末
31 制御部
32 記憶部
40 認証サーバ
211 認証メッセージ送信部
212 対応通知送信部
213 追加認証部
311 認証情報受信部
312 認証要求送信部
313 承認画面表示部
314 認証情報送信部
Claims (6)
- ログイン端末からアクセスされる処理サーバと、当該処理サーバに登録されたユーザの認証端末と、を備えた認証システムであって、
前記処理サーバは、
前記ログイン端末からのユーザIDを伴うアクセスに対して、認証用のメッセージを当該ユーザIDに紐づく電話番号により前記認証端末へ送信する認証メッセージ送信部と、
前記認証端末からの追加認証要求に応じて、対応可能であることを示すメッセージを前記電話番号により前記認証端末へ送信する対応通知送信部と、
前記認証端末から、前記認証用のメッセージに基づく認証情報とともに、送信元のアプリケーションを特定する情報を受信すると、当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証する追加認証部と、を備え、
前記認証端末は、
前記認証用のメッセージを所定のアプリケーションにより受信する認証情報受信部と、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて自端末の電話番号を伴う前記追加認証要求を送信する認証要求送信部と、
前記処理サーバから前記対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションにより前記ユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信する認証情報送信部と、を備える認証システム。 - 前記認証情報送信部は、前記認証情報及び前記所定のアプリケーションを特定する情報を、当該アプリケーションに固有の秘密鍵による署名を付加して送信し、
前記追加認証部は、前記所定のアプリケーションの認証サーバにおいて提供される前記秘密鍵に対応した公開鍵を取得することで、当該アプリケーションの正当性を検証する請求項1に記載の認証システム。 - 前記認証情報送信部は、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記認証サーバを経由して前記処理サーバへ送信する請求項2に記載の認証システム。
- 前記対応通知送信部は、前記対応可能であることを示すメッセージを送信するとともに、前記ログイン端末に対して、前記所定のアプリケーションへの承認操作を求める画面を表示させる請求項1から請求項3のいずれかに記載の認証システム。
- ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを、所定のアプリケーションにより受信する認証情報受信部と、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信部と、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションによりユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信部と、を備える認証端末。 - ユーザの認証端末が有する認証プログラムであって、
ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを受信する認証情報受信ステップと、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信ステップと、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、ユーザに対して承認画面を表示する承認画面表示ステップと、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記認証プログラムを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該認証プログラムが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信ステップと、を前記認証端末に実行させるための認証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021186556A JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021186556A JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023073844A JP2023073844A (ja) | 2023-05-26 |
JP7519977B2 true JP7519977B2 (ja) | 2024-07-22 |
Family
ID=86425696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021186556A Active JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7519977B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011054120A (ja) | 2009-09-04 | 2011-03-17 | Konica Minolta Business Technologies Inc | 画像処理装置、画像処理システムおよびユーザ認証方法 |
JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
JP2012527703A (ja) | 2009-05-22 | 2012-11-08 | マイクロソフト コーポレーション | モデルベース多段階認証方法及びシステム |
JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
-
2021
- 2021-11-16 JP JP2021186556A patent/JP7519977B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
JP2012527703A (ja) | 2009-05-22 | 2012-11-08 | マイクロソフト コーポレーション | モデルベース多段階認証方法及びシステム |
JP2011054120A (ja) | 2009-09-04 | 2011-03-17 | Konica Minolta Business Technologies Inc | 画像処理装置、画像処理システムおよびユーザ認証方法 |
JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
Also Published As
Publication number | Publication date |
---|---|
JP2023073844A (ja) | 2023-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9979719B2 (en) | System and method for converting one-time passcodes to app-based authentication | |
JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
US10136315B2 (en) | Password-less authentication system, method and device | |
US8893251B2 (en) | System and method for embedded authentication | |
US9628282B2 (en) | Universal anonymous cross-site authentication | |
US8943573B2 (en) | Authentication system and process | |
JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
US8474014B2 (en) | Methods for the secure use of one-time passwords | |
KR101214836B1 (ko) | 인증 방법 및 그 시스템 | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
US20150222435A1 (en) | Identity generation mechanism | |
JP2017521934A (ja) | クライアントとサーバとの間の相互検証の方法 | |
US20090006861A1 (en) | Method and Apparatus for Preventing Internet Phishing Attacks | |
US20100199086A1 (en) | Network transaction verification and authentication | |
US20170230416A1 (en) | System and methods for preventing phishing attack using dynamic identifier | |
WO2018141219A1 (zh) | 认证服务器、认证系统及方法 | |
KR20140081041A (ko) | 전화번호를 이용한 인터넷 사이트 서비스 접속 인증 방법 및 시스템 | |
KR101537097B1 (ko) | 에스엠에스를 이용한 일회용 패스워드 인증 방법 및 인증 시스템 | |
US11968531B2 (en) | Token, particularly OTP, based authentication system and method | |
JP7519977B2 (ja) | 認証システム、認証端末及び認証プログラム | |
JP3914152B2 (ja) | 認証サーバ、認証システムおよび認証プログラム | |
KR20100008893A (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 | |
JP7403430B2 (ja) | 認証装置、認証方法及び認証プログラム | |
JP7519979B2 (ja) | 認証システム、認証端末、認証サーバ及び認証プログラム | |
CN117041976A (zh) | 防护短信验证码本地窃取攻击的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240605 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240611 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240709 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7519977 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |