JP7519977B2 - 認証システム、認証端末及び認証プログラム - Google Patents
認証システム、認証端末及び認証プログラム Download PDFInfo
- Publication number
- JP7519977B2 JP7519977B2 JP2021186556A JP2021186556A JP7519977B2 JP 7519977 B2 JP7519977 B2 JP 7519977B2 JP 2021186556 A JP2021186556 A JP 2021186556A JP 2021186556 A JP2021186556 A JP 2021186556A JP 7519977 B2 JP7519977 B2 JP 7519977B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- processing server
- terminal
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 91
- 230000004044 response Effects 0.000 claims description 36
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、SMSを用いた多段階の認証システムに関する。
従来、ユーザ認証時のセキュリティ向上のため、携帯端末のSMSを用いた二段階認証が多く採用されているが(例えば、特許文献1参照)、近年、マルウェアによるSMS盗聴を用いた攻撃による被害が増加している。
こうした攻撃に対策するため、Authenticatorアプリによる認証やFIDO(登録商標)による認証などが提案されている。
こうした攻撃に対策するため、Authenticatorアプリによる認証やFIDO(登録商標)による認証などが提案されている。
しかしながら、Authenticatorアプリによる認証、又はFIDOによる認証といった従来の認証方式は、端末紛失時にログイン不可となることから、端末紛失時向けの認証手段を別途提供しなければならないため、プライマリの認証手段とはなり得ない。
一方、電話番号に紐づくSMSは、端末紛失時でも店頭での復旧が可能であり、キャリア変更時又は機種変更時でも継続されることから重要性が高い。したがって、SMS認証にAuthenticatorアプリによる認証やFIDOによる認証と同等の安全性が求められている。
本発明は、SMS認証の安全性を向上した多段階の認証システムを提供することを目的とする。
本発明に係る認証システムは、ログイン端末からアクセスされる処理サーバと、当該処理サーバに登録されたユーザの認証端末と、を備え、前記処理サーバは、前記ログイン端末からのユーザIDを伴うアクセスに対して、認証用のメッセージを当該ユーザIDに紐づく電話番号により前記認証端末へ送信する認証メッセージ送信部と、前記認証端末からの追加認証要求に応じて、対応可能であることを示すメッセージを前記電話番号により前記認証端末へ送信する対応通知送信部と、前記認証端末から、前記認証用のメッセージに基づく認証情報とともに、送信元のアプリケーションを特定する情報を受信すると、当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証する追加認証部と、を備え、前記認証端末は、前記認証用のメッセージを所定のアプリケーションにより受信する認証情報受信部と、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて自端末の電話番号を伴う前記追加認証要求を送信する認証要求送信部と、前記処理サーバから前記対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションにより前記ユーザに対して承認画面を表示する承認画面表示部と、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信する認証情報送信部と、を備える。
前記認証情報送信部は、前記認証情報及び前記所定のアプリケーションを特定する情報を、当該アプリケーションに固有の秘密鍵による署名を付加して送信し、前記追加認証部は、前記所定のアプリケーションの認証サーバにおいて提供される前記秘密鍵に対応した公開鍵を取得することで、当該アプリケーションの正当性を検証してもよい。
前記認証情報送信部は、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記認証サーバを経由して前記処理サーバへ送信してもよい。
前記対応通知送信部は、前記対応可能であることを示すメッセージを送信するとともに、前記ログイン端末に対して、前記所定のアプリケーションへの承認操作を求める画面を表示させてもよい。
本発明に係る認証端末は、ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを、所定のアプリケーションにより受信する認証情報受信部と、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信部と、前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションによりユーザに対して承認画面を表示する承認画面表示部と、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信部と、を備える。
本発明に係る認証プログラムは、ユーザの認証端末が有する認証プログラムであって、ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを受信する認証情報受信ステップと、前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信ステップと、前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、ユーザに対して承認画面を表示する承認画面表示ステップと、前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記認証プログラムを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該認証プログラムが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信ステップと、を前記認証端末に実行させるためのものである。
本発明によれば、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
以下、本発明の実施形態の一例について説明する。
本実施形態の認証方法は、ID及びパスワードなどによる第1の認証に続いて、認証用の端末に対してSMSで通知されたワンタイムパスワード(OTP)を入力するといった複数段階のユーザ認証を行うシステムに対して適用される。
すなわち、SMSを受信した特定のアプリケーションに対してユーザ自身が承認操作をすると、アクセス先において、この特定のアプリケーションの正当性を検証することで追加認証が実施される。
本実施形態の認証方法は、ID及びパスワードなどによる第1の認証に続いて、認証用の端末に対してSMSで通知されたワンタイムパスワード(OTP)を入力するといった複数段階のユーザ認証を行うシステムに対して適用される。
すなわち、SMSを受信した特定のアプリケーションに対してユーザ自身が承認操作をすると、アクセス先において、この特定のアプリケーションの正当性を検証することで追加認証が実施される。
図1は、本実施形態における認証システム1の機能構成を示す図である。
認証システム1は、ログイン端末10が処理サーバ20へアクセスする際の追加ユーザ認証を実施するための構成として、処理サーバ20と、この処理サーバ20に登録されているユーザが保有する認証端末30とを備えている。
認証システム1は、ログイン端末10が処理サーバ20へアクセスする際の追加ユーザ認証を実施するための構成として、処理サーバ20と、この処理サーバ20に登録されているユーザが保有する認証端末30とを備えている。
ログイン端末10は、例えば、パーソナルコンピュータ又は携帯端末などの情報処理装置であり、処理サーバ20が提供するサービスを利用する。
認証端末30は、ログイン端末10のユーザを認証するために、処理サーバ20に登録された電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
また、認証端末30では、SMSを受信する所定のアプリケーション(以下、SMS認証アプリという)が動作する。このSMS認証アプリは、認証サーバ40との間で相互認証され、二者間で安全に通信できる。
また、認証端末30では、SMSを受信する所定のアプリケーション(以下、SMS認証アプリという)が動作する。このSMS認証アプリは、認証サーバ40との間で相互認証され、二者間で安全に通信できる。
処理サーバ20の制御部21は、記憶部22に記憶されたソフトウェアを実行することにより、認証メッセージ送信部211、対応通知送信部212、追加認証部213として機能する。
認証メッセージ送信部211は、ログイン端末10からのユーザIDを伴うアクセスに対して、認証用のSMSを、このユーザIDに紐づく電話番号により認証端末30へ送信する。
対応通知送信部212は、認証端末30からの追加認証要求に応じて、対応可能であることを示すSMSを電話番号により認証端末30へ送信する。
追加認証部213は、認証端末30から、認証用のSMSに記載された認証情報としてのOTPとともに、送信元のアプリケーションを特定する情報を受信すると、このアプリケーションが予め規定された特定のアプリケーション(SMS認証アプリ)である場合に、ログイン端末10からのアクセスを認証する。
なお、記憶部22には、予め、信頼できる特定のアプリケーションの識別情報が記録されているものとする。
なお、記憶部22には、予め、信頼できる特定のアプリケーションの識別情報が記録されているものとする。
認証端末30の制御部31は、記憶部32に記憶されたSMS認証アプリ(認証プログラム)を実行することにより、認証情報受信部311、認証要求送信部312、承認画面表示部313、認証情報送信部314として機能する。
認証情報受信部311は、認証用のSMSを受信する。
認証要求送信部312は、認証情報受信部311が認証用のSMSを受信したことに応じて、送信元である処理サーバ20に宛てて自端末(認証端末30)の電話番号を伴う追加認証要求を送信する。
認証要求送信部312は、認証情報受信部311が認証用のSMSを受信したことに応じて、送信元である処理サーバ20に宛てて自端末(認証端末30)の電話番号を伴う追加認証要求を送信する。
承認画面表示部313は、処理サーバ20から追加認証に対応可能であることを示すSMSを受信すると、自動で又はユーザ操作に応じて承認画面を表示する。
認証情報送信部314は、承認画面に対するユーザからの承認操作を受け付けると、認証用のSMSに記載された認証情報であるOTPとともに、自身(SMS認証アプリ)を特定する情報を、処理サーバ20に宛てて送信する。
図2は、本実施形態における認証システム1による認証手順を例示するシーケンス図である。
ステップS1において、ユーザは、ログイン端末10で動作するブラウザから、処理サーバ20が提供する対象のサービスにアクセスする。
ステップS2において、ログイン端末10(ブラウザ)は、処理サーバ20にアクセスし、処理サーバ20は、ログインページをログイン端末10に返却する。
ステップS3において、ユーザは、表示されたログインページにID及びパスワードを入力する。
ステップS4において、ログイン端末10(ブラウザ)は、入力されたID及びパスワードを処理サーバ20に送信し、処理サーバ20は、ログイン中ページをログイン端末10に返却する。
ステップS5において、処理サーバ20は、記憶部22に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末30に対してOTP及び送信元ドメインを含むSMSを送信する。
ステップS6において、認証端末30(SMS認証アプリ)は、受信したSMSが「OTP及び送信元ドメインを含むSMS」であった場合、送信元ドメインの処理サーバ20に対し、認証端末30の電話番号を送信する。
なお、この電話番号の送信は、SMS認証アプリの認証サーバ40経由であってもよい。
なお、この電話番号の送信は、SMS認証アプリの認証サーバ40経由であってもよい。
ステップS7において、処理サーバ20は、追加認証への対応可否を認証端末30に返却する。
なお、処理サーバ20は、対応可否を明示的に通知してもよいが、単に応答した事実を対応可であることとしてもよい。
なお、処理サーバ20は、対応可否を明示的に通知してもよいが、単に応答した事実を対応可であることとしてもよい。
ステップS8において、認証端末30(SMS認証アプリ)は、処理サーバ20が追加認証に対応可であった場合、ユーザに承認操作を求める承認画面を自動表示、あるいは、通知に基づいてユーザに承認画面を表示させる。
ステップS9において、ユーザは、承認画面に対して所定の承認操作(例えば、ボタン押下、又はさらにOTPの入力など)を行う。
ステップS10において、認証端末30(SMS認証アプリ)は、送信元ドメインの処理サーバ20に対し、認証端末30を識別する電話番号と認証情報であるOTP、さらには、SMS認証アプリを特定する情報(アプリ名、アプリドメインなど)を送信する。
なお、これらのデータの送信経路は、処理サーバ20へ直接、又は認証サーバ40経由であってもよい。
なお、これらのデータの送信経路は、処理サーバ20へ直接、又は認証サーバ40経由であってもよい。
ステップS11において、ユーザは、ログイン中ページを更新(ボタンを押下)、又は自動更新を待つ。これにより、ログイン端末10(ブラウザ)は、処理サーバ20に認証の状態を確認する。
ステップS12において、処理サーバ20は、受信した電話番号、OTP、及び送信元のSMS認証アプリが正当であることを確認し、ログイン端末10に対して認証情報を送信しログインを完了する。
なお、この処理手順は一例であり、処理サーバ20におけるSMS認証アプリの認証強度を高めるなど、実装上の改変は適宜行われてよい。
例えば、シーケンス(図2)のステップS6について、認証端末30(SMS認証アプリ)は、次のようなURLにアクセスして処理サーバ20の対応状況を事前に確認してもよい。
https://[host]/sms-otp-configuration
https://[host]/sms-otp-configuration
これに対して、処理サーバ20は、例えば返値を次のようにして、電話番号の送信先URL("sms-opt-start")と公開鍵("n")とを記載しておく。
{
"sms-otp-start" : "https://[host]/api/sms-otp-start",
"sms-otp-confirm" : "https://[host]/api/sms-otp-confirm",
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
{
"sms-otp-start" : "https://[host]/api/sms-otp-start",
"sms-otp-confirm" : "https://[host]/api/sms-otp-confirm",
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
認証端末30(SMS認証アプリ)は、通知されたURLに対して電話番号(MSISDN)などの情報を送信するが、電話番号そのままではなく、「nonce+MSISDNのハッシュ値とnonce」の形で送信してもよい。SMSは悪意の送信者が送信元ドメインを偽ることが可能であり、SMS認証アプリに対して意図しない電話番号の送信をさせる可能性があるため、これにより、第三者に対して送信データを秘匿することができる。
さらに、認証端末30(SMS認証アプリ)は、電話番号に加えて、アプリ名又はアプリドメインと、SMS認証アプリの保持する秘密鍵で行った署名を送信してもよい。なお、秘密鍵をSMS認証アプリのバイナリ中ではなく認証サーバ40に保持し、認証端末30(SMS認証アプリ)は、認証サーバ40経由で署名を送信してもよい。
具体的には、認証端末30(SMS認証アプリ)は、処理サーバ20に対して次のようにアクセスする。
https://[host]/api/sms-otp-start?
nonce=AAAA
&msisdn=XXXXXXXXXXXX
&appdomain=****.com
&domainsign=YYYYYYYYY
具体的には、認証端末30(SMS認証アプリ)は、処理サーバ20に対して次のようにアクセスする。
https://[host]/api/sms-otp-start?
nonce=AAAA
&msisdn=XXXXXXXXXXXX
&appdomain=****.com
&domainsign=YYYYYYYYY
処理サーバ20は、現在認証中の電話番号について、nonce+MSISDNのハッシュを計算し、現在認証中であることを確認する。
次に、処理サーバ20は、アプリドメイン(appdomain)に基づいて、SMS認証アプリの提供者が提供する認証サーバ40に次のようにアクセスする。
https://[appdomain]/sms-otp-sender-configration
次に、処理サーバ20は、アプリドメイン(appdomain)に基づいて、SMS認証アプリの提供者が提供する認証サーバ40に次のようにアクセスする。
https://[appdomain]/sms-otp-sender-configration
認証サーバ40は、次のように応答し、署名に用いられた秘密鍵に対応する公開鍵を処理サーバ20に返す。
{
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
{
"key" : {
"e" : "AQAB",
"n" : "**** ... ****"
}
}
処理サーバ20は、この公開鍵を用いて、nonce+appdomainの署名がdomainsignであることを確認する。ここで、処理サーバ20は、appdomainが不正なものでないことを確認し、問題ない場合、次のように返信する。なお、useragent及びfromの国名は、ID及びパスワードを送信してきたアクセス時のアクアセス元情報である。
{
"auth-status" : "OK",
"useragent" : "XXXXXXXX",
"from" : "Japan"
}
{
"auth-status" : "OK",
"useragent" : "XXXXXXXX",
"from" : "Japan"
}
処理サーバ20は、認証用のSMSを送信後、前述のアクセスがあると、認証端末30にSMS認証アプリがインストールされていると判断して、OTPの入力窓ではなく、SMS認証アプリでの承認操作を求める画面をログイン端末10に表示させる。
また、シーケンス(図2)において、ユーザがSMS認証アプリで承認操作を行った後のステップS10について、認証端末30は、処理サーバ20から通知されたURL("sms-otp-confirm")に対して、電話番号及びOTPを送信するが、ここでもステップS6と同様に認証強度を高めることができる。
すなわち、認証端末30は、「nonce+MSISDNのハッシュ値及びnonce」と「nonce+MSISDN+OTPのハッシュ値及びnonce」を送信してもよい。また、処理サーバ20が前述のアクセス元情報の返却時にトークンを返却し、このトークンを「nonce+MSISDNのハッシュ値及びnonce」の代わりに用いることもできる。
すなわち、認証端末30は、「nonce+MSISDNのハッシュ値及びnonce」と「nonce+MSISDN+OTPのハッシュ値及びnonce」を送信してもよい。また、処理サーバ20が前述のアクセス元情報の返却時にトークンを返却し、このトークンを「nonce+MSISDNのハッシュ値及びnonce」の代わりに用いることもできる。
また、ステップS10における追加認証では、SMS認証アプリの検証パターンとして、例えば、次の(1)~(4)のいずれかが採用可能である。
(1)署名なしのパターン:
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、自身の電話番号、OTP及びアプリ名を送信する。
処理サーバ20は、アプリ名により安全性を判定する。
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、自身の電話番号、OTP及びアプリ名を送信する。
処理サーバ20は、アプリ名により安全性を判定する。
(2)SMS認証アプリ内の鍵を利用した署名パターン:
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、アプリドメイン、自身の電話番号、OTP、及びアプリ内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」を送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
認証端末30(SMS認証アプリ)が送信元ドメインの処理サーバ20に対し、アプリドメイン、自身の電話番号、OTP、及びアプリ内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」を送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
(3)認証サーバ40内の鍵を利用した署名パターン:
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、アプリドメイン、電話番号、OTP、及び認証サーバ40内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」をSMS認証アプリに送信する。
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、アプリドメイン、電話番号、OTP、及び認証サーバ40内に保持している秘密鍵を用いて生成した「アプリドメインと電話番号とOTPとを対象に含む署名」をSMS認証アプリに送信する。
SMS認証アプリは、アプリドメイン、電話番号、OTP及び認証サーバ40から受信した「アプリドメインと電話番号とOTPとを対象に含む署名」を、送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
処理サーバ20は、アプリドメインの認証サーバ40から公開鍵を取得して署名を検証し、アプリドメインにより安全性を判定する。
(4)認証サーバ40を中継するパターン:
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、電話番号とOTPとを送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アクセス元である認証サーバ40のIPアドレス、又はSSLサーバ証明書/クライアント証明書などにより安全性を判定する。
認証端末30(SMS認証アプリ)が自身の電話番号とOTPとを、認証サーバ40に送信する。
認証サーバ40は、電話番号とOTPとを送信元ドメインの処理サーバ20に対して送信する。
処理サーバ20は、アクセス元である認証サーバ40のIPアドレス、又はSSLサーバ証明書/クライアント証明書などにより安全性を判定する。
本実施形態によれば、認証システム1は、SMS認証の際に、認証端末30のSMS認証アプリがユーザ自身の承認操作を受け付けたことに応じて、このSMS認証アプリから処理サーバ20に対してOTPを送信する。処理サーバ20は、このSMS認証アプリの正当性を検証する追加認証を行うことにより、多段階の認証システム1において、SMS盗聴マルウェアに対抗でき、SMS認証の安全性を向上できる。
さらに、認証システム1は、処理サーバ20が追加認証に非対応の場合であっても、OTPのみを受け付ける従来のシーケンスによりSMS認証を完了できるので、既存の実装に容易に適合し汎用性が高い。
また、追加認証に非対応の認証端末であっても、従来のシーケンスによりSMS認証を完了できる。
なお、処理サーバ20は、追加認証のシーケンスと従来のシーケンスとの出し分けを行う場合、SMS認証アプリからのアクセスの可能性がある一定時間はログインを完了させないことが好ましい。
また、追加認証に非対応の認証端末であっても、従来のシーケンスによりSMS認証を完了できる。
なお、処理サーバ20は、追加認証のシーケンスと従来のシーケンスとの出し分けを行う場合、SMS認証アプリからのアクセスの可能性がある一定時間はログインを完了させないことが好ましい。
認証システム1は、認証端末30から処理サーバ20に対して、SMS認証アプリを特定する情報に署名を付して送信することにより、認証サーバ40から公開鍵を取得することでSMS認証アプリの正当性を適切に検証できる。
また、認証サーバ40を経由して処理サーバ20へデータ送信することで、SMS認証アプリと相互認証済みの認証サーバ40から、追加認証のための情報を安全に提供できる。
また、認証サーバ40を経由して処理サーバ20へデータ送信することで、SMS認証アプリと相互認証済みの認証サーバ40から、追加認証のための情報を安全に提供できる。
処理サーバ20は、追加認証に対応可能であることを示すメッセージを認証端末30に送信するとともに、ログイン端末10に対して、SMS認証アプリへの承認操作を求める画面を表示させることで、より安全な追加認証の手順をユーザに適切に通知することができる。
なお、前述の実施形態により、例えば、マルウェア攻撃に強いSMS認証を実現し不正アクセス被害を低減できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 認証システム
10 ログイン端末
20 処理サーバ
21 制御部
22 記憶部
30 認証端末
31 制御部
32 記憶部
40 認証サーバ
211 認証メッセージ送信部
212 対応通知送信部
213 追加認証部
311 認証情報受信部
312 認証要求送信部
313 承認画面表示部
314 認証情報送信部
10 ログイン端末
20 処理サーバ
21 制御部
22 記憶部
30 認証端末
31 制御部
32 記憶部
40 認証サーバ
211 認証メッセージ送信部
212 対応通知送信部
213 追加認証部
311 認証情報受信部
312 認証要求送信部
313 承認画面表示部
314 認証情報送信部
Claims (6)
- ログイン端末からアクセスされる処理サーバと、当該処理サーバに登録されたユーザの認証端末と、を備えた認証システムであって、
前記処理サーバは、
前記ログイン端末からのユーザIDを伴うアクセスに対して、認証用のメッセージを当該ユーザIDに紐づく電話番号により前記認証端末へ送信する認証メッセージ送信部と、
前記認証端末からの追加認証要求に応じて、対応可能であることを示すメッセージを前記電話番号により前記認証端末へ送信する対応通知送信部と、
前記認証端末から、前記認証用のメッセージに基づく認証情報とともに、送信元のアプリケーションを特定する情報を受信すると、当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証する追加認証部と、を備え、
前記認証端末は、
前記認証用のメッセージを所定のアプリケーションにより受信する認証情報受信部と、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて自端末の電話番号を伴う前記追加認証要求を送信する認証要求送信部と、
前記処理サーバから前記対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションにより前記ユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信する認証情報送信部と、を備える認証システム。 - 前記認証情報送信部は、前記認証情報及び前記所定のアプリケーションを特定する情報を、当該アプリケーションに固有の秘密鍵による署名を付加して送信し、
前記追加認証部は、前記所定のアプリケーションの認証サーバにおいて提供される前記秘密鍵に対応した公開鍵を取得することで、当該アプリケーションの正当性を検証する請求項1に記載の認証システム。 - 前記認証情報送信部は、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記認証サーバを経由して前記処理サーバへ送信する請求項2に記載の認証システム。
- 前記対応通知送信部は、前記対応可能であることを示すメッセージを送信するとともに、前記ログイン端末に対して、前記所定のアプリケーションへの承認操作を求める画面を表示させる請求項1から請求項3のいずれかに記載の認証システム。
- ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを、所定のアプリケーションにより受信する認証情報受信部と、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信部と、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、前記所定のアプリケーションによりユーザに対して承認画面を表示する承認画面表示部と、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記所定のアプリケーションを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該アプリケーションが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信部と、を備える認証端末。 - ユーザの認証端末が有する認証プログラムであって、
ログイン端末からのユーザIDを伴う処理サーバへのアクセスに対して、当該処理サーバから当該ユーザIDに紐づく電話番号により送信された認証用のメッセージを受信する認証情報受信ステップと、
前記認証用のメッセージを受信したことに応じて、前記処理サーバに宛てて前記電話番号を伴う追加認証要求を送信する認証要求送信ステップと、
前記追加認証要求に応じて前記電話番号により前記処理サーバから送信された、対応可能であることを示すメッセージを受信すると、ユーザに対して承認画面を表示する承認画面表示ステップと、
前記承認画面に対する前記ユーザからの承認操作を受け付けると、前記認証用のメッセージに基づく認証情報とともに、前記認証プログラムを特定する情報を、前記処理サーバに宛てて送信することにより、前記処理サーバにおいて当該認証プログラムが予め規定された特定のアプリケーションである場合に、前記ログイン端末からのアクセスを認証させる認証情報送信ステップと、を前記認証端末に実行させるための認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021186556A JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021186556A JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023073844A JP2023073844A (ja) | 2023-05-26 |
| JP7519977B2 true JP7519977B2 (ja) | 2024-07-22 |
Family
ID=86425696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021186556A Active JP7519977B2 (ja) | 2021-11-16 | 2021-11-16 | 認証システム、認証端末及び認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7519977B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011054120A (ja) | 2009-09-04 | 2011-03-17 | Konica Minolta Business Technologies Inc | 画像処理装置、画像処理システムおよびユーザ認証方法 |
| JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
| JP2012527703A (ja) | 2009-05-22 | 2012-11-08 | マイクロソフト コーポレーション | モデルベース多段階認証方法及びシステム |
| JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
-
2021
- 2021-11-16 JP JP2021186556A patent/JP7519977B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
| JP2012527703A (ja) | 2009-05-22 | 2012-11-08 | マイクロソフト コーポレーション | モデルベース多段階認証方法及びシステム |
| JP2011054120A (ja) | 2009-09-04 | 2011-03-17 | Konica Minolta Business Technologies Inc | 画像処理装置、画像処理システムおよびユーザ認証方法 |
| JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023073844A (ja) | 2023-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9979719B2 (en) | System and method for converting one-time passcodes to app-based authentication | |
| JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
| US10136315B2 (en) | Password-less authentication system, method and device | |
| US8893251B2 (en) | System and method for embedded authentication | |
| US9628282B2 (en) | Universal anonymous cross-site authentication | |
| US8943573B2 (en) | Authentication system and process | |
| JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
| US8474014B2 (en) | Methods for the secure use of one-time passwords | |
| KR101214836B1 (ko) | 인증 방법 및 그 시스템 | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| US20150222435A1 (en) | Identity generation mechanism | |
| JP2017521934A (ja) | クライアントとサーバとの間の相互検証の方法 | |
| US20090006861A1 (en) | Method and Apparatus for Preventing Internet Phishing Attacks | |
| US20100199086A1 (en) | Network transaction verification and authentication | |
| US20170230416A1 (en) | System and methods for preventing phishing attack using dynamic identifier | |
| WO2018141219A1 (zh) | 认证服务器、认证系统及方法 | |
| KR20140081041A (ko) | 전화번호를 이용한 인터넷 사이트 서비스 접속 인증 방법 및 시스템 | |
| KR101537097B1 (ko) | 에스엠에스를 이용한 일회용 패스워드 인증 방법 및 인증 시스템 | |
| US11968531B2 (en) | Token, particularly OTP, based authentication system and method | |
| JP7519977B2 (ja) | 認証システム、認証端末及び認証プログラム | |
| JP3914152B2 (ja) | 認証サーバ、認証システムおよび認証プログラム | |
| KR20100008893A (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 | |
| JP7403430B2 (ja) | 認証装置、認証方法及び認証プログラム | |
| JP7519979B2 (ja) | 認証システム、認証端末、認証サーバ及び認証プログラム | |
| CN117041976A (zh) | 防护短信验证码本地窃取攻击的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7519977 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |