WO2011037226A1 - アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム - Google Patents
アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム Download PDFInfo
- Publication number
- WO2011037226A1 WO2011037226A1 PCT/JP2010/066682 JP2010066682W WO2011037226A1 WO 2011037226 A1 WO2011037226 A1 WO 2011037226A1 JP 2010066682 W JP2010066682 W JP 2010066682W WO 2011037226 A1 WO2011037226 A1 WO 2011037226A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- authentication
- information
- address
- packet
- time password
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Definitions
- the present invention relates to an access control system, an authentication server system, and an access control program, and is particularly suitable for use in a system in which access control from a user terminal to an information communication service providing network is performed by an authentication process using an ID and a password. It is a thing.
- Phishing fraud is a technique of guiding a user to a fake site and relaying the ID and password entered there to a legitimate site.
- a third party who performs a phishing scam causes a legitimate user to input a valid one-time password at that time on a fake site and uses it for a legitimate site. For this reason, a legitimate site performs authentication only once, and even if a one-time password is used, impersonation becomes possible.
- Patent Document 2 a method for preventing spoofing by performing authentication using an IP address unique to the user terminal used by the person in addition to the ID and password has been proposed (see, for example, Patent Document 2).
- the invention described in Patent Document 2 includes a provider gateway device that performs network connection authentication with an authentication server, and a web server that performs service use authentication with the authentication server. Then, the gateway device extracts the IP address of the user terminal from the packet and stores it in the authentication server at the time of the first network connection authentication, and the web server extracts the IP address from the packet at the time of authentication of the subsequent service use and sends it to the authentication server. The identity is confirmed by determining the identity with the stored IP address.
- a mechanism for extracting the IP address from the packet and storing it in the authentication server can be provided for the gateway device of the provider different from the web server that provides the information communication service. Necessary. That is, there is a problem that an access control system cannot be built only by the information communication service provider, and a special mechanism must be provided in the gateway device with the cooperation of the provider.
- Patent Document 2 has a problem that spoofing by a malicious third party who illegally obtained an ID, a password, and an IP address by a phishing scam cannot be prevented.
- spoofing by a malicious third party who illegally obtained an ID, a password, and an IP address by a phishing scam cannot be prevented.
- the identity of the person is impersonated It will be possible to obtain permission.
- the present invention has been made to solve such a problem, and it is an object of the present invention to reliably prevent unauthorized access due to impersonation without requiring cooperation of a system configuration by a provider.
- an access control system is configured by an authentication server system of an information communication service provider and a user terminal of an information communication service user, and the following communication is performed between the two parties.
- Such authentication processing is performed. That is, the authentication information is packet-transmitted from the user terminal to the authentication server system, and the address information of the packet transmission source terminal is extracted at that time. Then, the authentication server system performs pre-authentication based on the authentication information. When the pre-authentication is successful, the address information of the packet transmission source terminal is stored in the address table in association with the authentication information. The user terminal then retransmits the authentication information to the authentication server system. The authentication server system determines whether or not the address information of the packet source terminal extracted again matches the address information stored in the address table, and if it matches, the authentication information is retransmitted. Based on this authentication.
- the authentication information transmitted from the user terminal to the authentication server system is constituted by a one-time password.
- a predetermined transmission destination address is automatically specified, and authentication information including the one-time password is used for pre-authentication. To send to.
- the provider gateway device is not involved in a series of authentication processes for controlling access to the information communication service, and thus a special mechanism is provided in the gateway device with the cooperation of the provider. There is no need. Therefore, a system for access control can be assembled only by the information communication service provider.
- authentication information is transmitted from the user terminal to the authentication server system, and two authentications (pre-authentication and main authentication) are performed.
- the terminal address information match determination is also performed. Therefore, when a legitimate user is trying to perform this authentication, the authentication information is illegally obtained by a third party due to phishing, and the authentication information is sent from the third-party terminal to the authentication server system for this authentication.
- the authentication since the address information of the third party's terminal is not registered in the authentication server system, the authentication does not succeed. Therefore, it is possible to reliably prevent spoofing by a malicious third party using a phishing act.
- FIG. 1 is a block diagram showing an example of the overall configuration of the access control system according to the present embodiment.
- FIG. 2 is a block diagram illustrating a functional configuration example of the access control system according to the present embodiment.
- an access control system 100 connects an authentication server system 1 of an information communication service provider and a user terminal 2 of an information communication service user via a communication network such as the Internet.
- the authentication server system 1 includes a service providing server 11 that provides an information communication service, an authentication server 12 that performs authentication for confirming whether an accesser to the service providing server 11 is a valid user, An intermediate server 13 disposed between the authentication server 12 and the user terminal 2 is provided.
- the user terminal 2 is a user terminal that receives an information communication service such as net banking, and is configured by a personal computer or the like.
- the user terminal 2 is connected to the service providing server 11 and the intermediate server 13 via an external network 3 such as the Internet, and performs encrypted communication using SSL (Secure Socket Layer) between them.
- SSL Secure Socket Layer
- the service providing server 11, the authentication server 12, and the intermediate server 13 are facilities of an information communication service provider (such as a bank), and each is connected by an internal network 4 of the information communication service provider.
- the service providing server 11 means a plurality of servers necessary for providing an information communication service, and actually includes a web server, an application server, a database server, and the like.
- the authentication server 12 is usually connected from the external network 3 by a firewall (a mechanism for restricting communication between the internal network 4 and the external network 3 and maintaining the safety of the computer connected to the internal network 4). It is protected and the user terminal 2 cannot communicate directly with the authentication server 12. For this reason, in this embodiment, the user terminal 2 is configured to communicate with the authentication server 12 via the service providing server 11 or the intermediate server 13.
- IP address which is information indicating a position on a network
- a transmission source and a transmission destination is used as address information indicating a transmission source and a transmission destination.
- “spoofing” is performed by verifying the IP address of the packet transmission source (user terminal 2) in addition to authentication information including an ID (hereinafter referred to as a user ID) and a password for identifying an information communication service user. Detect. In this embodiment, a one-time password is used as the password.
- the user terminal 2 includes a pre-authentication control unit 21, a main authentication control unit 22, and a one-time password generation unit 23.
- the one-time password generation unit 23 When the one-time password generation unit 23 is activated by an instruction from the user, the one-time password generation unit 23 automatically generates a one-time password and supplies it to the pre-authentication control unit 21.
- the one-time password can be generated by a known method.
- a one-time password is generated according to a predetermined rule using seed information determined in advance corresponding to a user ID and variable information that varies every time a one-time password is generated. The user ID and seed information are registered when the user sets an account for the authentication server 12 in advance.
- the pre-authentication control unit 21 holds the IP address of the intermediate server 13 (a predetermined transmission destination address of the authentication server system 1), and establishes communication with the intermediate server 13 using the IP address. Authentication information (user ID and one-time password generated by the one-time password generation unit 23) is transmitted. Specifically, the pre-authentication control unit 21 transmits authentication information unique to the user to the IP address of the intermediate server 13 by packet communication when an authentication request is generated. The authentication request here is automatically generated as a function of the pre-authentication control unit 21 immediately after the one-time password generation unit 23 generates the one-time password.
- the authentication control unit 22 includes a web browser function, and holds the IP address of the service providing server 11 (a predetermined transmission destination address of the authentication server system 1).
- the authentication control unit 22 sends the same authentication information that the pre-authentication control unit 21 transmits to the IP address of the intermediate server 13 to the IP address of the service providing server 11 when an authentication request is generated. Send by communication.
- the authentication request here is made after the notification of successful authentication is sent from the authentication server 12 in response to the transmission of the authentication information by the pre-authentication control unit 21 (after successful pre-authentication described later), Occurs when the web browser is started up and the service providing server 11 is accessed.
- the intermediate server 13 includes an authentication request unit 131 and a packet analysis unit 132.
- the authentication request unit 131 receives authentication information from the pre-authentication control unit 21 of the user terminal 2 by packet communication, the authentication request unit 131 sends the authentication information to the authentication server 12 to make an authentication request.
- the packet analysis unit 132 analyzes the communication packet received by the authentication request unit 131 and extracts the authentication information and the IP address of the user terminal 2 (corresponding to the address information of the packet transmission source terminal).
- the authentication request unit 131 described above transmits an IP address (hereinafter referred to as a first transmission source IP address) to the authentication server 12 together with authentication information.
- the authentication server 12 includes a pre-authentication processing unit 121, a storage processing unit 122, an IP address table 123 (corresponding to the address table of the present invention), a pre-authentication result notification unit 124, an address determination unit 125, a main authentication processing unit 126, a main authentication.
- a result notification unit 127 and an authentication database 128 are provided.
- the pre-authentication processing unit 121 receives the authentication information transmitted from the pre-authentication control unit 21 of the user terminal 2 via the intermediate server 13 and performs pre-authentication based on the received authentication information. For example, the pre-authentication processing unit 121 uses predetermined seed information corresponding to the user ID included in the received authentication information and variation information that varies every time a one-time password is generated, according to a predetermined rule. Generate a one-time password. The fluctuation information used here is synchronized so as to be the same as that used when the one-time password generation unit 23 generates the one-time password.
- the pre-authentication processing unit 121 checks whether or not the one-time password generated by itself and the one-time password included in the authentication information received from the intermediate server 13 are the same. If the password is the same, the authentication is successful. If the password is not the same, the authentication is unsuccessful.
- the password used in this embodiment is a one-time password. Therefore, after successful pre-authentication, when an authentication request is sent with the same authentication information (user ID and one-time password) via the intermediate server 13, the pre-authentication in the pre-authentication processing unit 121 is It will be a failure.
- the pre-authentication processing unit 121 registers the one-time password in the authentication database 128 when the pre-authentication is successful.
- the pre-authentication processing unit 121 determines whether the pre-authentication has already been performed by checking whether the same one-time password is registered in the authentication database 128 for the one-time password received from the intermediate server 13. If it has already been performed, the pre-authentication at this time (after the second time) is regarded as a failure.
- the storage processing unit 122 transmits a packet from the first transmission source IP address transmitted from the authentication request unit 131 (that is, from the packet transmitted from the pre-authentication control unit 21).
- the first transmission source IP address extracted by the analysis unit 132 is associated with the authentication information extracted from the packet and stored in the IP address table 123.
- FIG. 3 is a diagram illustrating a configuration example of the IP address table 123.
- the IP address table 123 is configured to store the user ID and the one-time password, which are authentication information, and the IP address in association with each other.
- authentication information extracted by the packet analysis unit 132 from the packet transmitted from the pre-authentication control unit 21 is stored.
- the IP address item stores the first transmission source IP address extracted by the packet analysis unit 132 from the same packet.
- the pre-authentication result notification unit 124 notifies the user terminal 2 of the success or failure of the pre-authentication by the pre-authentication processing unit 121 (authentication success or authentication failure) via the intermediate server 13. Specifically, the pre-authentication result notification unit 124 notifies the authentication request unit 131 of the intermediate server 13 of the success or failure of the pre-authentication by the pre-authentication processing unit 121. The authentication request unit 131 transfers the notification received from the pre-authentication result notification unit 124 to the pre-authentication control unit 21 of the user terminal 2. Upon receiving this notification, the pre-authentication control unit 21 displays, for example, success or failure of the authentication on the screen of the display device (not shown) of the user terminal 2 and ends the pre-authentication process.
- the remaining configuration of the authentication server 12 (the address determination unit 125, the main authentication processing unit 126, and the main authentication result notification unit 127) will be described after the configuration of the service providing server 11 is described first.
- the service providing server 11 includes a service providing unit 111, an authentication request unit 112, and a packet analysis unit 113.
- the service providing unit 111 provides an information communication service such as net banking to the user terminal 2 when this authentication is permitted.
- the service providing unit 111 receives a packet transmitted from the main authentication control unit 22 of the user terminal 2 and transfers the packet to the authentication request unit 112.
- the packet analysis unit 113 analyzes the packet received by the authentication requesting unit 112, the authentication information (the same as that at the time of pre-authentication), and the user terminal 2 IP address (corresponding to the address information of the packet transmission source terminal, hereinafter referred to as a second transmission source IP address).
- the authentication request unit 112 sends the authentication information extracted by the packet analysis unit 113 and the second source IP address to the authentication server 12 to make an authentication request.
- the address determination unit 125 of the authentication server 12 includes a packet analysis unit 113 based on the second transmission source IP address transmitted from the authentication request unit 112 (that is, the packet transmitted from the authentication control unit 22 to the service providing server 11).
- the second source IP address extracted in step 2) matches the address information (first source IP address) stored in the IP address table 123 in association with the authentication information extracted from the packet. It is determined whether or not to do. Here, if the address information does not match, authentication fails.
- the authentication processing unit 126 is based on the authentication information transmitted from the authentication control unit 22 to the service providing server 11 and transferred to the authentication processing unit 126 when the address determination unit 125 determines that the address information matches. Perform this authentication. For example, the authentication processing unit 126 refers to the authentication database 128 using the user ID included in the authentication information received from the service providing server 11 as a key, and receives the one-time password on the authentication database 128 and the service providing server 11. It is checked whether or not the one-time password included in the authentication information is the same. If the password is the same, the authentication is successful. If the password is not the same, the authentication is unsuccessful.
- the one-time password is used in this embodiment, but the same one-time password is managed once in the pre-authentication and the main authentication. That is, the authentication information once used in the pre-authentication cannot be used again in the pre-authentication, but is still valid in the main authentication.
- the one-time password is completely invalidated when both the pre-authentication and the main authentication are completed.
- the authentication processing unit 126 deletes the one-time password from the authentication database 128 after the main authentication is successful.
- the main authentication result notification unit 127 notifies the user terminal 2 of the success or failure of the main authentication by the address determination unit 125 and the main authentication processing unit 126 via the service providing server 11. Specifically, the authentication result notification unit 127 uses the result of address information match determination by the address determination unit 125 or the result of authentication by the authentication processing unit 126 as the success or failure of the authentication, and the authentication request unit of the service providing server 11. 112 is notified. The authentication request unit 112 transfers the notification received from the authentication result notification unit 127 to the authentication control unit 22 of the user terminal 2 via the service providing unit 111.
- the authentication control unit 22 When notified that the authentication has failed, the authentication control unit 22 displays, for example, that the authentication has failed on the screen of the display device (not shown) of the user terminal 2 and ends the authentication process. On the other hand, when the authentication control unit 22 is notified that the main authentication is successful, the user terminal 2 is in a state where it can receive the information communication service by the service providing unit 111 of the service providing server 11 thereafter.
- the functional configuration of the authentication server system 1 and the functional configuration of the user terminal 2 according to the present embodiment described above can be realized by any of hardware, DSP, and software.
- the authentication server system 1 and the user terminal 2 of the present embodiment are actually configured to include a CPU or MPU of a computer, RAM, ROM, etc., and a program stored in the RAM or ROM operates. It can be realized by doing.
- a program that causes the computer to perform the functions of the above-described embodiment on a recording medium such as a CD-ROM and reading the program into the computer of the authentication server system 1 or the user terminal 2.
- a recording medium for recording the program a flexible disk, a hard disk, a magnetic tape, an optical disk, a magneto-optical disk, a DVD, a nonvolatile memory card, and the like can be used in addition to the CD-ROM.
- It can also be realized by downloading the program to a computer via a network such as the Internet.
- the program of the user terminal 2 may be downloaded from the authentication server system 1.
- FIG. 4 is a flowchart showing an operation example at the time of pre-authentication of the access control system according to the present embodiment.
- FIG. 5 is a flowchart showing an operation example of the access control system according to the present embodiment at the time of the main authentication.
- the one-time password generation unit 23 of the user terminal 2 automatically generates a one-time password when activated by an instruction from the user (step S1). Then, the pre-authentication control unit 21 transmits the authentication information (the user ID and the one-time password generated by the one-time password generation unit 23) to the intermediate server 13 (Step S2).
- the authentication request unit 131 of the intermediate server 13 receives the communication packet of the authentication information from the user terminal 2, the packet analysis unit 132 analyzes the communication packet and extracts the authentication information and the first transmission source IP address (step S3). Then, the authentication request unit 131 sends the authentication information extracted by the packet analysis unit 132 and the first transmission source IP address to the authentication server 12 to make an authentication request (step S4).
- the pre-authentication processing unit 121 of the authentication server 12 When receiving the authentication information from the intermediate server 13, the pre-authentication processing unit 121 of the authentication server 12 performs pre-authentication based on the received authentication information (step S5).
- the authentication using the one-time password included in the authentication information received from the intermediate server 13 is the first time, and the same information is used by the one-time password and the pre-authentication processing unit 121 using the same information as the one-time password generation unit 23. If the one-time password generated by the method is the same, the authentication is successful. On the other hand, if the one-time password is authenticated for the second time or later, or if the compared one-time passwords are not the same, the authentication fails.
- the pre-authentication processing unit 121 determines whether or not the pre-authentication is successful (step S6). If it is determined that the authentication is successful, the pre-authentication processing unit 121 registers the one-time password in the authentication database 128 and stores that the authentication is successful. The processing unit 122 and the pre-authentication result notification unit 124 are notified. On the other hand, if the pre-authentication processing unit 121 determines that the authentication has failed, the pre-authentication processing unit 121 notifies the pre-authentication result notification unit 124 to that effect.
- the storage processing unit 122 receives a notification of successful authentication from the pre-authentication processing unit 121, and records the first transmission source IP address in the IP address table 123 in association with the authentication information used for the pre-authentication (step S7). .
- the pre-authentication processing unit 121 thereafter fails all the results of authentication requests (pre-authentication) using the same authentication information from the intermediate server 13. Note that if the pre-authentication fails, the storage processing unit 122 does not perform the process of step S7.
- the pre-authentication result notifying unit 124 receives the notification of authentication success or authentication failure from the pre-authentication processing unit 121, and transmits the authentication result to the intermediate server 13 (step S8). Further, the intermediate server 13 transmits the authentication result received from the pre-authentication result notifying unit 124 to the user terminal 2 (step S9).
- the pre-authentication processing unit 121 indicates that the pre-authentication has succeeded or failed. It displays on the screen of (not shown) (step S10), and a pre-authentication process is complete
- the authentication control unit 22 of the user terminal 2 accesses the service providing server 11 using the function of the web browser and displays an authentication screen on a display device (not shown) of the user terminal 2. . Then, when the user of the user terminal 2 inputs authentication information (the same user ID and one-time password as in pre-authentication) from the authentication screen and presses the send button, the authentication control unit 22 displays the input authentication information. It transmits to the service providing server 11 (step S21).
- authentication information the same user ID and one-time password as in pre-authentication
- the packet analyzing unit 113 analyzes the communication packet and extracts the authentication information and the second transmission source IP address (Ste S22). Then, the authentication request unit 112 sends the authentication information extracted by the packet analysis unit 113 and the second transmission source IP address to the authentication server 12 to make an authentication request (step S23).
- the address determination unit 125 receives the second transmission source IP address sent from the service providing server 11 and the authentication information sent from the service providing server 11. Is compared with the first source IP address stored in the IP address table 123 (step S24), and it is determined whether or not they match (step S25).
- the address determination unit 125 refers to the IP address table 123 using the user ID included in the authentication information as a key. If there is no record corresponding to the user ID in the IP address table 123, it is assumed that pre-authentication has not been performed, and authentication fails. If there is a record corresponding to the user ID, the address determination unit 125 uses the first transmission source IP address stored in the record and the second transmission source IP address sent from the service providing server 11. If they do not match, authentication fails. If authentication fails, the address determination unit 125 notifies the authentication result notification unit 127 to that effect.
- the address determination unit 125 notifies the authentication processing unit 126 to that effect.
- the main authentication processing unit 126 performs main authentication based on the authentication information received from the service providing server 11 (step S26). If it is determined in the address match determination in step S25 that the authentication has failed, this authentication is not performed.
- the main authentication processing unit 126 determines whether or not the main authentication is successful (step S27). If it is determined that the authentication is successful, the authentication result notifying unit 127 is notified of the fact and the one-time password is invalidated (step S28). The invalidation of the one-time password is performed, for example, by deleting the one-time password from the authentication database 128 and deleting the record of the corresponding user ID recorded by the pre-authentication from the IP address table 123. On the other hand, if the authentication processing unit 126 determines that the authentication has failed, the authentication processing unit 126 notifies the authentication result notification unit 127 to that effect. If this authentication fails, step S28 is not performed.
- the authentication result notification unit 127 receives an authentication failure notification from the address determination unit 125 or receives an authentication success or authentication failure notification from the authentication processing unit 126 and transmits the authentication result to the service providing server 11. (Step S29). Further, the service providing server 11 transmits the authentication result received from the authentication result notifying unit 127 to the user terminal 2 (step S30).
- the main authentication control unit 22 displays that the main authentication has succeeded or failed. It is displayed on the screen of an apparatus (not shown) (step S31), and this authentication process is terminated.
- the service providing server 11 permits access from the user terminal 2 thereafter.
- an authentication server system 1 of the information communication service provider and the user terminal 2 of the information communication service user constitute an access control system, and authentication is performed by communication between these two parties. Processing is performed. That is, since the provider gateway device is not involved in a series of authentication processes for controlling access to the information communication service, it is not necessary to provide a special mechanism for the gateway device with the cooperation of the provider. Therefore, a system for access control can be assembled only by the information communication service provider.
- the same authentication information is transmitted from the user terminal 2 to the authentication server 12 to perform two authentications (pre-authentication and main authentication).
- a match determination of the IP address indicating the transmission source terminal is also performed. This can reliably prevent spoofing by a malicious third party using a phishing act.
- the authentication information stolen by directing to a fake site to register the IP address of the third party's terminal in the authentication server 12 Is first sent to the intermediate server 13. Even in this case, the pre-authentication of the legitimate user has already been performed, and the pre-authentication has already been invalidated, so the authentication has failed and the third party's IP address is registered in the IP address table 123. None happen.
- the stealing of authentication information is not only performed by phishing by guiding to a fake site but also by eavesdropping on a communication path for accessing the intermediate server 13 from the user terminal 2 when a legitimate user performs pre-authentication. is there. Even if the authentication information is stolen by a third party by eavesdropping on the communication path, the authentication information transmitted by the legitimate user is sent to the authentication server 12 as it is and undergoes the first pre-authentication. In this embodiment, since the one-time password is used as the authentication information, even if a third party subsequently sends the same authentication information to the intermediate server 13, the authentication fails because it is the second pre-authentication. As a result, unauthorized access due to spoofing using wiretapping on the communication path can be reliably prevented.
- a third party sends authentication information to the intermediate server 13 before a legitimate user, the third party can receive pre-authentication.
- the connection from the user terminal 2 to the intermediate server 13 is automatically performed, there is no possibility that the user is guided to a fake site during the pre-authentication. Therefore, there is no possibility that authentication information transmitted by a legitimate user is stolen without reaching the intermediate server 13. If it is stolen, it is the interception of the transmission content on the communication path from the user terminal 2 to the intermediate server 13, but as described above, the third party who intercepted the authentication information on the communication path is ahead of the legitimate user. There is virtually no possibility of sending authentication information to the intermediate server 13. As a result, it is possible to construct a high-security network system that reliably denies unauthorized access due to impersonation.
- the intermediate server 13 is placed between the user terminal 2 and the authentication server 12, but this is because the authentication server 12 is protected from the external network 3 by a firewall. This is not an essential configuration for the present invention.
- the function of the authentication request unit 131 may be provided in the user terminal 2 and the function of the packet analysis unit 132 may be provided in the authentication server 12.
- the IP address is used as the address information of the packet transmission source terminal, but the present invention is not limited to this.
- a MAC address may be used.
- the user terminal 2 accesses the service providing server 11 to display the authentication screen, and the user inputs the authentication information. It is not limited.
- the pre-authentication control unit 21 receives a notification that the pre-authentication is successful from the authentication server 12 via the intermediate server 13, the authentication control unit 22 automatically specifies the IP address of the service providing server 11. Then, the same authentication information as that at the time of pre-authentication may be automatically transmitted. In this way, the risk of being guided to a fake site during this authentication can be eliminated.
- the authentication server system 1 operates the pre-authentication processing unit 121 and the main authentication processing unit 126 so that the same one-time password is validated once for each of the pre-authentication and the main authentication.
- the present invention is not limited to this.
- separate one-time passwords may be used for pre-authentication and main authentication.
- the one-time password generation unit 23 generates different one-time passwords at both the pre-authentication and the main authentication.
- the authentication processing unit 126 also generates a one-time password by itself and performs the same authentication as the pre-authentication processing unit 121. Therefore, the pre-authentication processing unit 121 does not need to register the one-time password in the authentication database 128 when the pre-authentication is successful.
- the present invention is not limited to this.
- a device ID that identifies the user terminal 2 may be used.
- a device ID such as a USB memory used by being mounted on the user terminal 2 may be used.
- the USB memory may have the functions of the pre-authentication control unit 21, the main authentication control unit 22, and the one-time password generation unit 23. In this way, it is not necessary to install software in advance on the user terminal 2.
- the present invention can be used in a system that performs access control from a user terminal to a network for providing information communication services by an authentication process using an ID and a password.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うことにより、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないようにして、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要をなくす。また、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うことにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができるようにする。
Description
本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。
従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、IDとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のIDとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。
これに対して、1回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている(例えば、特許文献1参照)。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。
しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたIDとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。
一方、IDとパスワードに加え、本人が使用するユーザ端末に固有のIPアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている(例えば、特許文献2参照)。この特許文献2に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のIPアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがIPアドレスをパケットから抽出し、認証サーバに記憶しておいたIPアドレスとの同一性を判定することで、本人性を確認している。
しかしながら、特許文献2に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからIPアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。
また、特許文献2に記載の発明では、IDとパスワードとIPアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してIPアドレスを抽出するとともに、その偽サイトで入力させたIDとパスワードを盗用することにより、IPアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。
本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。
上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら2者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。
本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。
本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。
上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて2回の認証(事前認証と本認証)が行われ、2回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。
さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる1度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる2度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図2は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
図1に示すように、本実施形態のアクセス制御システム100は、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム1は、情報通信サービスの提供を行うサービス提供サーバ11と、サービス提供サーバ11へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ12と、当該認証サーバ12とユーザ端末2との間に配置された中間サーバ13とを備えている。
ユーザ端末2は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末2は、インターネットなどの外部ネットワーク3でサービス提供サーバ11および中間サーバ13とそれぞれ接続されており、それらとの間でSSL(Secure Socket Layer)による暗号化通信を行う。
サービス提供サーバ11、認証サーバ12および中間サーバ13は、情報通信サービス提供者(銀行など)の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク4で接続されている。本実施形態においてサービス提供サーバ11とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。
なお、図示はしないが、認証サーバ12は通常、ファイアウォール(内部ネットワーク4と外部ネットワーク3との間の通信を制限し、内部ネットワーク4に接続するコンピュータの安全を維持する仕組み)で外部ネットワーク3から防御されており、ユーザ端末2は認証サーバ12と直接通信することができない。このため、本実施形態では、ユーザ端末2は、サービス提供サーバ11経由または中間サーバ13経由で認証サーバ12と通信する構成としている。
インターネットなどのネットワーク通信では、1本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるIPアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するID(以下、ユーザIDという)およびパスワードから成る認証情報に加え、パケット送信元(ユーザ端末2)のIPアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。
図2に示すように、ユーザ端末2は、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23を備えている。ワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部21に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザIDと種情報は、ユーザが事前に認証サーバ12に対してアカウントを設定する際に登録しておく。
事前認証制御部21は、中間サーバ13のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持しており、そのIPアドレスを用いて中間サーバ13との通信を確立してユーザの認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を送信する。具体的には、事前認証制御部21は、認証要求が発生したときに、中間サーバ13のIPアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部23によりワンタイムパスワードが生成された直後に、事前認証制御部21の機能として自動的に発生する。
本認証制御部22は、ウェブブラウザの機能を含み、サービス提供サーバ11のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持している。本認証制御部22は、認証要求が発生したときに、事前認証制御部21が中間サーバ13のIPアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ11のIPアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部21が認証情報を送信したことに応答して認証サーバ12から認証成功の通知が送られてきた後(後述する事前認証に成功した後)、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ11へアクセスしたときに発生する。
中間サーバ13は、認証要求部131およびパケット解析部132を備えている。認証要求部131は、ユーザ端末2の事前認証制御部21からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ12に送信して認証要求を行う。パケット解析部132は、認証要求部131が受信した通信パケットを解析して、認証情報とユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当)とを抽出する。上述の認証要求部131は、認証サーバ12に対して認証情報と共にIPアドレス(以下、第1の送信元IPアドレスと称する)を送信する。
認証サーバ12は、事前認証処理部121、記憶処理部122、IPアドレステーブル123(本発明のアドレステーブルに相当)、事前認証結果通知部124、アドレス判定部125、本認証処理部126、本認証結果通知部127および認証データベース128を備えている。
事前認証処理部121は、ユーザ端末2の事前認証制御部21から送信された認証情報を中間サーバ13を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部121は、受信した認証情報に含まれるユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部23がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部121は、自身が生成したワンタイムパスワードと、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ13を介して同じ認証情報(ユーザIDおよびワンタイムパスワード)にて認証要求が送られてきたときは、事前認証処理部121での事前認証は失敗となる。
なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部121は、事前認証に成功したときはそのワンタイムパスワードを認証データベース128に登録しておく。事前認証処理部121は、中間サーバ13から受信したワンタイムパスワードについて、認証データベース128に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回(2回目以降)の事前認証を失敗とする。
記憶処理部122は、事前認証処理部121による事前認証が成功した場合に、認証要求部131より送信された第1の送信元IPアドレス(すなわち、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された第1の送信元IPアドレス)を、当該パケットより抽出された認証情報と対応付けてIPアドレステーブル123に記憶させる。
図3は、IPアドレステーブル123の構成例を示す図である。図3に示すように、IPアドレステーブル123は、認証情報であるユーザIDおよびワンタイムパスワードとIPアドレスとを対応付けて記憶する構成となっている。ユーザIDおよびワンタイムパスワードの項目には、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された認証情報が記憶される。また、IPアドレスの項目には、同じパケットよりパケット解析部132にて抽出された第1の送信元IPアドレスが記憶される。
事前認証結果通知部124は、事前認証処理部121による事前認証の成否(認証成功または認証失敗)を、中間サーバ13を介してユーザ端末2に通知する。具体的には、事前認証結果通知部124は、事前認証処理部121による事前認証の成否を中間サーバ13の認証要求部131に通知する。認証要求部131は、事前認証結果通知部124から受けた通知をユーザ端末2の事前認証制御部21に転送する。この通知を受けた事前認証制御部21は、例えば認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して、事前認証処理を終了する。
認証サーバ12の残りの構成(アドレス判定部125、本認証処理部126および本認証結果通知部127)については、サービス提供サーバ11の構成を先に説明した後に説明する。サービス提供サーバ11は、サービス提供部111、認証要求部112およびパケット解析部113を備えている。
サービス提供部111は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末2に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部111は、ユーザ端末2の本認証制御部22から送信されてくるパケットを受信すると、これを認証要求部112に転送する。
認証要求部112がサービス提供部111からパケットを受信したときに、パケット解析部113は、認証要求部112が受信したパケットを解析し、認証情報(事前認証時と同じもの)と、ユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当。以下、これを第2の送信元IPアドレスと称する)とを抽出する。認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う。
認証サーバ12のアドレス判定部125は、認証要求部112より送られた第2の送信元IPアドレス(すなわち、本認証制御部22からサービス提供サーバ11に向けて送信されたパケットよりパケット解析部113にて抽出された第2の送信元IPアドレス)と、当該パケットより抽出された認証情報に対応付けてIPアドレステーブル123に記憶されているアドレス情報(第1の送信元IPアドレス)とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。
本認証処理部126は、アドレス判定部125によりアドレス情報が一致すると判定された場合に、本認証制御部22からサービス提供サーバ11に送信され本認証処理部126に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部126は、サービス提供サーバ11から受信した認証情報に含まれるユーザIDをキーとして認証データベース128を参照し、認証データベース128上のワンタイムパスワードと、サービス提供サーバ11から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが1回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部126は、本認証の成功後に認証データベース128からワンタイムパスワードを削除する。
本認証結果通知部127は、アドレス判定部125および本認証処理部126による本認証の成否を、サービス提供サーバ11を介してユーザ端末2に通知する。具体的には、本認証結果通知部127は、アドレス判定部125によるアドレス情報の一致判定の結果または本認証処理部126による認証の結果を、本認証の成否としてサービス提供サーバ11の認証要求部112に通知する。認証要求部112は、本認証結果通知部127から受けた通知を、サービス提供部111を介してユーザ端末2の本認証制御部22に転送する。
本認証に失敗したことが通知された場合、本認証制御部22は、例えば認証に失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部22に通知された場合、それ以降ユーザ端末2は、サービス提供サーバ11のサービス提供部111による情報通信サービスを受けられる状態となる。
以上に説明した本実施形態による認証サーバシステム1の機能構成およびユーザ端末2の機能構成は、ハードウェア、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム1およびユーザ端末2は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。
したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばCD-ROMのような記録媒体に記録し、認証サーバシステム1やユーザ端末2のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、CD-ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末2のプログラムは、認証サーバシステム1からダウンロードするようにしてもよい。
次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図4は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図5は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
最初に、事前認証時の動作を説明する。図4において、まず、ユーザ端末2のワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する(ステップS1)。そして、事前認証制御部21は、認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を中間サーバ13に送信する(ステップS2)。中間サーバ13の認証要求部131がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部132は、その通信パケットを解析し、認証情報および第1の送信元IPアドレスを抽出する(ステップS3)。そして、認証要求部131は、パケット解析部132により抽出された認証情報と第1の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS4)。
認証サーバ12の事前認証処理部121は、中間サーバ13から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う(ステップS5)。ここで、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードによる認証が1回目で、かつ、そのワンタイムパスワードと事前認証処理部121によりワンタイムパスワード生成部23と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が2回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。
事前認証処理部121は、事前認証に成功したか否かを判定し(ステップS6)、認証成功と判定した場合は、ワンタイムパスワードを認証データベース128に登録するとともに、認証に成功した旨を記憶処理部122および事前認証結果通知部124に通知する。一方、事前認証処理部121は、認証失敗と判定した場合は、その旨を事前認証結果通知部124に通知する。記憶処理部122は、事前認証処理部121から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第1の送信元IPアドレスをIPアドレステーブル123に記録する(ステップS7)。上述のように、これ以降事前認証処理部121は、中間サーバ13からの同一の認証情報による認証要求(事前認証)の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部122によるステップS7の処理は行わない。
事前認証結果通知部124は、事前認証処理部121から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ13へ送信する(ステップS8)。また、中間サーバ13は、事前認証結果通知部124から受け取った認証結果をユーザ端末2へ送信する(ステップS9)。このようにして認証サーバ12から中間サーバ13を介して事前認証の結果の通知を受け取ったユーザ端末2において、事前認証処理部121は、事前認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS10)、事前認証処理を終了する。
次に、本認証の動作を説明する。図5において、まず、ユーザ端末2の本認証制御部22は、ウェブブラウザの機能を利用してサービス提供サーバ11にアクセスしてユーザ端末2の表示装置(図示せず)に認証画面を表示する。そして、ユーザ端末2のユーザが認証画面から認証情報(事前認証時と同じユーザIDおよびワンタイムパスワード)を入力し、送信ボタンを押すと、本認証制御部22は、当該入力された認証情報をサービス提供サーバ11に送信する(ステップS21)。
サービス提供サーバ11のサービス提供部111がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部113は、その通信パケットを解析し、認証情報および第2の送信元IPアドレスを抽出する(ステップS22)。そして、認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS23)。
認証サーバ12においてサービス提供サーバ11から認証情報を受信すると、アドレス判定部125は、サービス提供サーバ11から送られてくる第2の送信元IPアドレスと、サービス提供サーバ11から送られてくる認証情報に対応付けてIPアドレステーブル123に記憶されている第1の送信元IPアドレスとを比較し(ステップS24)、両者が一致するか否かを判定する(ステップS25)。
具体的には、アドレス判定部125は、認証情報に含まれるユーザIDをキーとしてIPアドレステーブル123を参照する。そして、IPアドレステーブル123にそのユーザIDに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザIDに該当するレコードがあれば、アドレス判定部125は、そのレコードに記憶されている第1の送信元IPアドレスと、サービス提供サーバ11から送られてきた第2の送信元IPアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部125はその旨を本認証結果通知部127に通知する。
一方、第1の送信元IPアドレスと第2の送信元IPアドレスとが一致した場合、アドレス判定部125はその旨を本認証処理部126に通知する。本認証処理部126はこの通知を受けて、サービス提供サーバ11から受信した認証情報に基づいて本認証を行う(ステップS26)。なお、ステップS25のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。
本認証処理部126は、本認証に成功したか否かを判定する(ステップS27)。そして、認証成功と判定した場合は、その旨を本認証結果通知部127に通知するとともに、ワンタイムパスワードを無効化する(ステップS28)。ワンタイムパスワードの無効化は、例えば、認証データベース128からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザIDのレコードをIPアドレステーブル123から削除することによって行う。一方、本認証処理部126は、認証失敗と判定した場合は、その旨を本認証結果通知部127に通知する。なお、本認証に失敗した場合は、ステップS28の処理は行わない。
本認証結果通知部127は、アドレス判定部125から認証失敗の通知を受けて、あるいは、本認証処理部126から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ11へ送信する(ステップS29)。また、サービス提供サーバ11は、本認証結果通知部127から受け取った認証結果をユーザ端末2へ送信する(ステップS30)。
このようにして認証サーバ12からサービス提供サーバ11を介して本認証の結果の通知を受け取ったユーザ端末2において、本認証制御部22は、本認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS31)、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ11はそれ以降、ユーザ端末2からのアクセスを許可する。
以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
また、本実施形態では、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ11に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、IPアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にIPアドレスの比較も行っている。この場合、第三者の端末のIPアドレスがIPアドレステーブル123に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
万が一、第三者が中間サーバ13の存在と事前認証の仕組みを知っていたとして、第三者の端末のIPアドレスを認証サーバ12に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ13へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のIPアドレスがIPアドレステーブル123に登録されることはない。
ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末2から中間サーバ13へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ12へ送られ、1回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ13へ送ったとしても、2回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
なお、第三者が正当なユーザより先に認証情報を中間サーバ13に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末2から中間サーバ13への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ13に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末2から中間サーバ13への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ13へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。
なお、上記実施形態では、ユーザ端末2と認証サーバ12との間に中間サーバ13を置いているが、これは認証サーバ12がファイアウォールで外部ネットワーク3から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ13を用いない場合、例えば、認証要求部131の機能をユーザ端末2に設け、パケット解析部132の機能を認証サーバ12に設けるようにしても良い。
また、上記実施形態では、パケット送信元端末のアドレス情報としてIPアドレスを用いているが、本発明はこれに限定されない。例えば、MACアドレスを用いてもよい。
また、上記実施形態では、事前認証を行った後に、ユーザ端末2からサービス提供サーバ11にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部21が認証サーバ12から中間サーバ13を介して受信したときに、本認証制御部22がサービス提供サーバ11のIPアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。
また、上記実施形態では、認証サーバシステム1は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを1回ずつ有効とするように事前認証処理部121および本認証処理部126を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部23は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部126も自らワンタイムパスワードを生成して事前認証処理部121と同様の認証を行う。したがって、事前認証処理部121は、事前認証の成功時にワンタイムパスワードを認証データベース128に登録する必要はない。
また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献1に記載された方法を適用しても良い。
また、上記実施形態では、ユーザIDを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末2を識別するデバイスIDを用いても良い。あるいは、ユーザ端末2に装着して使用するUSBメモリ等のデバイスIDを用いても良い。USBメモリを用いる場合、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23の機能を当該USBメモリに持たせるようにしても良い。このようにすれば、ユーザ端末2に対するソフトウェアの事前インストールは不要となる。
その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明は、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに利用可能である。
Claims (9)
- 情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。 - 上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項1に記載のアクセス制御システム。 - 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項1に記載のアクセス制御システム。
- 上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項3に記載のアクセス制御システム。 - 情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。 - 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項5に記載の認証サーバシステム。
- 情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
としてコンピュータを機能させるためのアクセス制御プログラム。 - 上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項7に記載のアクセス制御プログラム。 - 上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項8に記載のアクセス制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201080051700.3A CN102667799B (zh) | 2009-09-28 | 2010-09-27 | 访问控制系统和认证服务器系统 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009222441A JP4698751B2 (ja) | 2009-09-28 | 2009-09-28 | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
JP2009-222441 | 2009-09-28 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2011037226A1 true WO2011037226A1 (ja) | 2011-03-31 |
Family
ID=43795967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2010/066682 WO2011037226A1 (ja) | 2009-09-28 | 2010-09-27 | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP4698751B2 (ja) |
CN (1) | CN102667799B (ja) |
WO (1) | WO2011037226A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016035769A1 (ja) * | 2014-09-01 | 2016-03-10 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
JP2019192184A (ja) * | 2018-04-23 | 2019-10-31 | 株式会社オルツ | ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム |
CN113892064A (zh) * | 2019-06-03 | 2022-01-04 | 欧姆龙株式会社 | 信息提供方法、信息提供系统以及服务器 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5708445B2 (ja) * | 2011-10-31 | 2015-04-30 | 富士通株式会社 | 登録方法、登録プログラムおよび登録装置 |
JP5773902B2 (ja) * | 2012-02-03 | 2015-09-02 | Kddi株式会社 | 端末間で権限情報を転送する権限情報転送方法及びシステム |
WO2014042269A1 (ja) * | 2012-09-14 | 2014-03-20 | 株式会社 東芝 | Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム |
JP2017045347A (ja) * | 2015-08-28 | 2017-03-02 | 日本電気株式会社 | 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム |
CN110519257B (zh) * | 2019-08-22 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种网络信息的处理方法及装置 |
JP7510340B2 (ja) * | 2020-12-14 | 2024-07-03 | Kddi株式会社 | 認証装置、認証方法及び認証プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000322353A (ja) * | 1999-05-13 | 2000-11-24 | Nippon Telegr & Teleph Corp <Ntt> | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 |
JP2004206258A (ja) * | 2002-12-24 | 2004-07-22 | Komu Square:Kk | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
JP2005018421A (ja) * | 2003-06-26 | 2005-01-20 | Mitsubishi Electric Corp | 管理装置及びサービス提供装置及び通信システム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002073561A (ja) * | 2000-09-01 | 2002-03-12 | Toyota Motor Corp | 通信網を介してアクセスするユーザの認証方法及び認証システム、並びに、これらを利用した情報処理システム |
JP3616570B2 (ja) * | 2001-01-04 | 2005-02-02 | 日本電気株式会社 | インターネット中継接続方式 |
JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
JP4983197B2 (ja) * | 2006-10-19 | 2012-07-25 | 富士ゼロックス株式会社 | 認証システム、認証サービス提供装置、および認証サービス提供プログラム |
JP5148961B2 (ja) * | 2007-09-27 | 2013-02-20 | ニフティ株式会社 | ユーザ認証機構 |
-
2009
- 2009-09-28 JP JP2009222441A patent/JP4698751B2/ja active Active
-
2010
- 2010-09-27 CN CN201080051700.3A patent/CN102667799B/zh active Active
- 2010-09-27 WO PCT/JP2010/066682 patent/WO2011037226A1/ja active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000322353A (ja) * | 1999-05-13 | 2000-11-24 | Nippon Telegr & Teleph Corp <Ntt> | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 |
JP2004206258A (ja) * | 2002-12-24 | 2004-07-22 | Komu Square:Kk | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
JP2005018421A (ja) * | 2003-06-26 | 2005-01-20 | Mitsubishi Electric Corp | 管理装置及びサービス提供装置及び通信システム |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016035769A1 (ja) * | 2014-09-01 | 2016-03-10 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
JPWO2016035769A1 (ja) * | 2014-09-01 | 2017-04-27 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
US20170257359A1 (en) * | 2014-09-01 | 2017-09-07 | Passlogy Co., Ltd. | User authentication method and system for implementing same |
JP2017188132A (ja) * | 2014-09-01 | 2017-10-12 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
US10574647B2 (en) | 2014-09-01 | 2020-02-25 | Passlogy Co., Ltd. | User authentication method and system for implementing same |
JP2019192184A (ja) * | 2018-04-23 | 2019-10-31 | 株式会社オルツ | ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム |
CN113892064A (zh) * | 2019-06-03 | 2022-01-04 | 欧姆龙株式会社 | 信息提供方法、信息提供系统以及服务器 |
US11979404B2 (en) | 2019-06-03 | 2024-05-07 | Omron Corporation | Information providing method, information providing system, and server |
Also Published As
Publication number | Publication date |
---|---|
CN102667799B (zh) | 2016-05-25 |
CN102667799A (zh) | 2012-09-12 |
JP2011070513A (ja) | 2011-04-07 |
JP4698751B2 (ja) | 2011-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
CA2689847C (en) | Network transaction verification and authentication | |
TWI543574B (zh) | 使用瀏覽器認證線上交易的方法 | |
US6510523B1 (en) | Method and system for providing limited access privileges with an untrusted terminal | |
JP4861417B2 (ja) | 拡張ワンタイム・パスワード方法および装置 | |
JP6105721B2 (ja) | 企業トリガ式2chk関連付けの起動 | |
US8275984B2 (en) | TLS key and CGI session ID pairing | |
CN102099810B (zh) | 移动设备辅助的安全计算机网络通信 | |
EP2332089B1 (en) | Authorization of server operations | |
US8266683B2 (en) | Automated security privilege setting for remote system users | |
KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
US20120284506A1 (en) | Methods and apparatus for preventing crimeware attacks | |
US9736130B1 (en) | Communications methods and apparatus related to web initiated sessions | |
JP2004185623A (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
JP2001186122A (ja) | 認証システム及び認証方法 | |
JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
Deeptha et al. | Extending OpenID connect towards mission critical applications | |
US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
WO2004099949A1 (en) | Web site security model | |
WO2005094264A2 (en) | Method and apparatus for authenticating entities by non-registered users | |
JP2017220769A (ja) | 通信システム及び方法、クライアント端末並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 201080051700.3 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10818898 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 10818898 Country of ref document: EP Kind code of ref document: A1 |