WO2011037226A1

WO2011037226A1 - アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム

Info

Publication number: WO2011037226A1
Application number: PCT/JP2010/066682
Authority: WO
Inventors: 直伸八津川; 弘光信岡
Original assignee: 日本ユニシス株式会社
Priority date: 2009-09-28
Filing date: 2010-09-27
Publication date: 2011-03-31
Also published as: CN102667799A; JP4698751B2; JP2011070513A; CN102667799B

Abstract

　情報通信サービス提供者の認証サーバシステム１と、情報通信サービス利用者のユーザ端末２とによりアクセス制御システムを構成し、これら２者間の通信によって認証処理を行うことにより、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないようにして、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要をなくす。また、ユーザ端末２から認証サーバ１２に対して同じ認証情報を送信して２回の認証（事前認証および本認証）を行い、２回目の本認証の際には認証情報の送信元端末を示すＩＰアドレスの一致判定も行うことにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができるようにする。

Description

アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム

　本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をＩＤとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。

　従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、ＩＤとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のＩＤとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。

　これに対して、１回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている（例えば、特許文献１参照）。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。

　しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたＩＤとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。

　一方、ＩＤとパスワードに加え、本人が使用するユーザ端末に固有のＩＰアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている（例えば、特許文献２参照）。この特許文献２に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のＩＰアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがＩＰアドレスをパケットから抽出し、認証サーバに記憶しておいたＩＰアドレスとの同一性を判定することで、本人性を確認している。

特許第３５９５１０９号公報特開２００６－１１３６２４号公報

　しかしながら、特許文献２に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからＩＰアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。

　また、特許文献２に記載の発明では、ＩＤとパスワードとＩＰアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してＩＰアドレスを抽出するとともに、その偽サイトで入力させたＩＤとパスワードを盗用することにより、ＩＰアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。

　本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。

　上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら２者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。

　本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。

　本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。

　上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。

　また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて２回の認証（事前認証と本認証）が行われ、２回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。

　また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。

　さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる１度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる２度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。

本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。本実施形態のＩＰアドレステーブルの構成例を示す図である。本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。

　以下、本発明の一実施形態を図面に基づいて説明する。図１は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図２は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。

　図１に示すように、本実施形態のアクセス制御システム１００は、情報通信サービス提供者の認証サーバシステム１と、情報通信サービス利用者のユーザ端末２とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム１は、情報通信サービスの提供を行うサービス提供サーバ１１と、サービス提供サーバ１１へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ１２と、当該認証サーバ１２とユーザ端末２との間に配置された中間サーバ１３とを備えている。

　ユーザ端末２は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末２は、インターネットなどの外部ネットワーク３でサービス提供サーバ１１および中間サーバ１３とそれぞれ接続されており、それらとの間でＳＳＬ（Secure Socket Layer）による暗号化通信を行う。

　サービス提供サーバ１１、認証サーバ１２および中間サーバ１３は、情報通信サービス提供者（銀行など）の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク４で接続されている。本実施形態においてサービス提供サーバ１１とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。

　なお、図示はしないが、認証サーバ１２は通常、ファイアウォール（内部ネットワーク４と外部ネットワーク３との間の通信を制限し、内部ネットワーク４に接続するコンピュータの安全を維持する仕組み）で外部ネットワーク３から防御されており、ユーザ端末２は認証サーバ１２と直接通信することができない。このため、本実施形態では、ユーザ端末２は、サービス提供サーバ１１経由または中間サーバ１３経由で認証サーバ１２と通信する構成としている。

　インターネットなどのネットワーク通信では、１本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるＩＰアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するＩＤ（以下、ユーザＩＤという）およびパスワードから成る認証情報に加え、パケット送信元（ユーザ端末２）のＩＰアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。

　図２に示すように、ユーザ端末２は、事前認証制御部２１、本認証制御部２２およびワンタイムパスワード生成部２３を備えている。ワンタイムパスワード生成部２３は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部２１に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザＩＤに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザＩＤと種情報は、ユーザが事前に認証サーバ１２に対してアカウントを設定する際に登録しておく。

　事前認証制御部２１は、中間サーバ１３のＩＰアドレス（認証サーバシステム１のあらかじめ決められた送信先アドレス）を保持しており、そのＩＰアドレスを用いて中間サーバ１３との通信を確立してユーザの認証情報（ユーザＩＤおよびワンタイムパスワード生成部２３により生成されたワンタイムパスワード）を送信する。具体的には、事前認証制御部２１は、認証要求が発生したときに、中間サーバ１３のＩＰアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部２３によりワンタイムパスワードが生成された直後に、事前認証制御部２１の機能として自動的に発生する。

　本認証制御部２２は、ウェブブラウザの機能を含み、サービス提供サーバ１１のＩＰアドレス（認証サーバシステム１のあらかじめ決められた送信先アドレス）を保持している。本認証制御部２２は、認証要求が発生したときに、事前認証制御部２１が中間サーバ１３のＩＰアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ１１のＩＰアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部２１が認証情報を送信したことに応答して認証サーバ１２から認証成功の通知が送られてきた後（後述する事前認証に成功した後）、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ１１へアクセスしたときに発生する。

　中間サーバ１３は、認証要求部１３１およびパケット解析部１３２を備えている。認証要求部１３１は、ユーザ端末２の事前認証制御部２１からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ１２に送信して認証要求を行う。パケット解析部１３２は、認証要求部１３１が受信した通信パケットを解析して、認証情報とユーザ端末２のＩＰアドレス（パケット送信元端末のアドレス情報に相当）とを抽出する。上述の認証要求部１３１は、認証サーバ１２に対して認証情報と共にＩＰアドレス（以下、第１の送信元ＩＰアドレスと称する）を送信する。

　認証サーバ１２は、事前認証処理部１２１、記憶処理部１２２、ＩＰアドレステーブル１２３（本発明のアドレステーブルに相当）、事前認証結果通知部１２４、アドレス判定部１２５、本認証処理部１２６、本認証結果通知部１２７および認証データベース１２８を備えている。

　事前認証処理部１２１は、ユーザ端末２の事前認証制御部２１から送信された認証情報を中間サーバ１３を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部１２１は、受信した認証情報に含まれるユーザＩＤに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部２３がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部１２１は、自身が生成したワンタイムパスワードと、中間サーバ１３から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。

　本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ１３を介して同じ認証情報（ユーザＩＤおよびワンタイムパスワード）にて認証要求が送られてきたときは、事前認証処理部１２１での事前認証は失敗となる。

　なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部１２１は、事前認証に成功したときはそのワンタイムパスワードを認証データベース１２８に登録しておく。事前認証処理部１２１は、中間サーバ１３から受信したワンタイムパスワードについて、認証データベース１２８に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回（２回目以降）の事前認証を失敗とする。

　記憶処理部１２２は、事前認証処理部１２１による事前認証が成功した場合に、認証要求部１３１より送信された第１の送信元ＩＰアドレス（すなわち、事前認証制御部２１から送信されたパケットよりパケット解析部１３２にて抽出された第１の送信元ＩＰアドレス）を、当該パケットより抽出された認証情報と対応付けてＩＰアドレステーブル１２３に記憶させる。

　図３は、ＩＰアドレステーブル１２３の構成例を示す図である。図３に示すように、ＩＰアドレステーブル１２３は、認証情報であるユーザＩＤおよびワンタイムパスワードとＩＰアドレスとを対応付けて記憶する構成となっている。ユーザＩＤおよびワンタイムパスワードの項目には、事前認証制御部２１から送信されたパケットよりパケット解析部１３２にて抽出された認証情報が記憶される。また、ＩＰアドレスの項目には、同じパケットよりパケット解析部１３２にて抽出された第１の送信元ＩＰアドレスが記憶される。

　事前認証結果通知部１２４は、事前認証処理部１２１による事前認証の成否（認証成功または認証失敗）を、中間サーバ１３を介してユーザ端末２に通知する。具体的には、事前認証結果通知部１２４は、事前認証処理部１２１による事前認証の成否を中間サーバ１３の認証要求部１３１に通知する。認証要求部１３１は、事前認証結果通知部１２４から受けた通知をユーザ端末２の事前認証制御部２１に転送する。この通知を受けた事前認証制御部２１は、例えば認証に成功または失敗したことをユーザ端末２の表示装置（図示せず）の画面上に表示して、事前認証処理を終了する。

　認証サーバ１２の残りの構成（アドレス判定部１２５、本認証処理部１２６および本認証結果通知部１２７）については、サービス提供サーバ１１の構成を先に説明した後に説明する。サービス提供サーバ１１は、サービス提供部１１１、認証要求部１１２およびパケット解析部１１３を備えている。

　サービス提供部１１１は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末２に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部１１１は、ユーザ端末２の本認証制御部２２から送信されてくるパケットを受信すると、これを認証要求部１１２に転送する。

　認証要求部１１２がサービス提供部１１１からパケットを受信したときに、パケット解析部１１３は、認証要求部１１２が受信したパケットを解析し、認証情報（事前認証時と同じもの）と、ユーザ端末２のＩＰアドレス（パケット送信元端末のアドレス情報に相当。以下、これを第２の送信元ＩＰアドレスと称する）とを抽出する。認証要求部１１２は、パケット解析部１１３により抽出された認証情報と第２の送信元ＩＰアドレスとを認証サーバ１２に送信して認証要求を行う。

　認証サーバ１２のアドレス判定部１２５は、認証要求部１１２より送られた第２の送信元ＩＰアドレス（すなわち、本認証制御部２２からサービス提供サーバ１１に向けて送信されたパケットよりパケット解析部１１３にて抽出された第２の送信元ＩＰアドレス）と、当該パケットより抽出された認証情報に対応付けてＩＰアドレステーブル１２３に記憶されているアドレス情報（第１の送信元ＩＰアドレス）とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。

　本認証処理部１２６は、アドレス判定部１２５によりアドレス情報が一致すると判定された場合に、本認証制御部２２からサービス提供サーバ１１に送信され本認証処理部１２６に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部１２６は、サービス提供サーバ１１から受信した認証情報に含まれるユーザＩＤをキーとして認証データベース１２８を参照し、認証データベース１２８上のワンタイムパスワードと、サービス提供サーバ１１から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。

　上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが１回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部１２６は、本認証の成功後に認証データベース１２８からワンタイムパスワードを削除する。

　本認証結果通知部１２７は、アドレス判定部１２５および本認証処理部１２６による本認証の成否を、サービス提供サーバ１１を介してユーザ端末２に通知する。具体的には、本認証結果通知部１２７は、アドレス判定部１２５によるアドレス情報の一致判定の結果または本認証処理部１２６による認証の結果を、本認証の成否としてサービス提供サーバ１１の認証要求部１１２に通知する。認証要求部１１２は、本認証結果通知部１２７から受けた通知を、サービス提供部１１１を介してユーザ端末２の本認証制御部２２に転送する。

　本認証に失敗したことが通知された場合、本認証制御部２２は、例えば認証に失敗したことをユーザ端末２の表示装置（図示せず）の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部２２に通知された場合、それ以降ユーザ端末２は、サービス提供サーバ１１のサービス提供部１１１による情報通信サービスを受けられる状態となる。

　以上に説明した本実施形態による認証サーバシステム１の機能構成およびユーザ端末２の機能構成は、ハードウェア、ＤＳＰ、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム１およびユーザ端末２は、実際にはコンピュータのＣＰＵあるいはＭＰＵ、ＲＡＭ、ＲＯＭなどを備えて構成され、ＲＡＭやＲＯＭに記憶されたプログラムが動作することによって実現できる。

　したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばＣＤ－ＲＯＭのような記録媒体に記録し、認証サーバシステム１やユーザ端末２のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、ＣＤ－ＲＯＭ以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、ＤＶＤ、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末２のプログラムは、認証サーバシステム１からダウンロードするようにしてもよい。

　次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図４は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図５は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。

　最初に、事前認証時の動作を説明する。図４において、まず、ユーザ端末２のワンタイムパスワード生成部２３は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する（ステップＳ１）。そして、事前認証制御部２１は、認証情報（ユーザＩＤおよびワンタイムパスワード生成部２３により生成されたワンタイムパスワード）を中間サーバ１３に送信する（ステップＳ２）。中間サーバ１３の認証要求部１３１がユーザ端末２から認証情報の通信パケットを受信すると、パケット解析部１３２は、その通信パケットを解析し、認証情報および第１の送信元ＩＰアドレスを抽出する（ステップＳ３）。そして、認証要求部１３１は、パケット解析部１３２により抽出された認証情報と第１の送信元ＩＰアドレスとを認証サーバ１２に送信して認証要求を行う（ステップＳ４）。

　認証サーバ１２の事前認証処理部１２１は、中間サーバ１３から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う（ステップＳ５）。ここで、中間サーバ１３から受信した認証情報に含まれるワンタイムパスワードによる認証が１回目で、かつ、そのワンタイムパスワードと事前認証処理部１２１によりワンタイムパスワード生成部２３と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が２回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。

　事前認証処理部１２１は、事前認証に成功したか否かを判定し（ステップＳ６）、認証成功と判定した場合は、ワンタイムパスワードを認証データベース１２８に登録するとともに、認証に成功した旨を記憶処理部１２２および事前認証結果通知部１２４に通知する。一方、事前認証処理部１２１は、認証失敗と判定した場合は、その旨を事前認証結果通知部１２４に通知する。記憶処理部１２２は、事前認証処理部１２１から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第１の送信元ＩＰアドレスをＩＰアドレステーブル１２３に記録する（ステップＳ７）。上述のように、これ以降事前認証処理部１２１は、中間サーバ１３からの同一の認証情報による認証要求（事前認証）の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部１２２によるステップＳ７の処理は行わない。

　事前認証結果通知部１２４は、事前認証処理部１２１から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ１３へ送信する（ステップＳ８）。また、中間サーバ１３は、事前認証結果通知部１２４から受け取った認証結果をユーザ端末２へ送信する（ステップＳ９）。このようにして認証サーバ１２から中間サーバ１３を介して事前認証の結果の通知を受け取ったユーザ端末２において、事前認証処理部１２１は、事前認証に成功または失敗したことをユーザ端末２の表示装置（図示せず）の画面上に表示して（ステップＳ１０）、事前認証処理を終了する。

　次に、本認証の動作を説明する。図５において、まず、ユーザ端末２の本認証制御部２２は、ウェブブラウザの機能を利用してサービス提供サーバ１１にアクセスしてユーザ端末２の表示装置（図示せず）に認証画面を表示する。そして、ユーザ端末２のユーザが認証画面から認証情報（事前認証時と同じユーザＩＤおよびワンタイムパスワード）を入力し、送信ボタンを押すと、本認証制御部２２は、当該入力された認証情報をサービス提供サーバ１１に送信する（ステップＳ２１）。

　サービス提供サーバ１１のサービス提供部１１１がユーザ端末２から認証情報の通信パケットを受信すると、パケット解析部１１３は、その通信パケットを解析し、認証情報および第２の送信元ＩＰアドレスを抽出する（ステップＳ２２）。そして、認証要求部１１２は、パケット解析部１１３により抽出された認証情報と第２の送信元ＩＰアドレスとを認証サーバ１２に送信して認証要求を行う（ステップＳ２３）。

　認証サーバ１２においてサービス提供サーバ１１から認証情報を受信すると、アドレス判定部１２５は、サービス提供サーバ１１から送られてくる第２の送信元ＩＰアドレスと、サービス提供サーバ１１から送られてくる認証情報に対応付けてＩＰアドレステーブル１２３に記憶されている第１の送信元ＩＰアドレスとを比較し（ステップＳ２４）、両者が一致するか否かを判定する（ステップＳ２５）。

　具体的には、アドレス判定部１２５は、認証情報に含まれるユーザＩＤをキーとしてＩＰアドレステーブル１２３を参照する。そして、ＩＰアドレステーブル１２３にそのユーザＩＤに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザＩＤに該当するレコードがあれば、アドレス判定部１２５は、そのレコードに記憶されている第１の送信元ＩＰアドレスと、サービス提供サーバ１１から送られてきた第２の送信元ＩＰアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部１２５はその旨を本認証結果通知部１２７に通知する。

　一方、第１の送信元ＩＰアドレスと第２の送信元ＩＰアドレスとが一致した場合、アドレス判定部１２５はその旨を本認証処理部１２６に通知する。本認証処理部１２６はこの通知を受けて、サービス提供サーバ１１から受信した認証情報に基づいて本認証を行う（ステップＳ２６）。なお、ステップＳ２５のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。

　本認証処理部１２６は、本認証に成功したか否かを判定する（ステップＳ２７）。そして、認証成功と判定した場合は、その旨を本認証結果通知部１２７に通知するとともに、ワンタイムパスワードを無効化する（ステップＳ２８）。ワンタイムパスワードの無効化は、例えば、認証データベース１２８からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザＩＤのレコードをＩＰアドレステーブル１２３から削除することによって行う。一方、本認証処理部１２６は、認証失敗と判定した場合は、その旨を本認証結果通知部１２７に通知する。なお、本認証に失敗した場合は、ステップＳ２８の処理は行わない。

　本認証結果通知部１２７は、アドレス判定部１２５から認証失敗の通知を受けて、あるいは、本認証処理部１２６から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ１１へ送信する（ステップＳ２９）。また、サービス提供サーバ１１は、本認証結果通知部１２７から受け取った認証結果をユーザ端末２へ送信する（ステップＳ３０）。

　このようにして認証サーバ１２からサービス提供サーバ１１を介して本認証の結果の通知を受け取ったユーザ端末２において、本認証制御部２２は、本認証に成功または失敗したことをユーザ端末２の表示装置（図示せず）の画面上に表示して（ステップＳ３１）、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ１１はそれ以降、ユーザ端末２からのアクセスを許可する。

　以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム１と、情報通信サービス利用者のユーザ端末２とによりアクセス制御システムを構成し、これら２者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。

　また、本実施形態では、ユーザ端末２から認証サーバ１２に対して同じ認証情報を送信して２回の認証（事前認証および本認証）を行い、２回目の本認証の際には認証情報の送信元端末を示すＩＰアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。

　すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ１１に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、ＩＰアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にＩＰアドレスの比較も行っている。この場合、第三者の端末のＩＰアドレスがＩＰアドレステーブル１２３に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。

　万が一、第三者が中間サーバ１３の存在と事前認証の仕組みを知っていたとして、第三者の端末のＩＰアドレスを認証サーバ１２に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ１３へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のＩＰアドレスがＩＰアドレステーブル１２３に登録されることはない。

　ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末２から中間サーバ１３へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ１２へ送られ、１回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ１３へ送ったとしても、２回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。

　なお、第三者が正当なユーザより先に認証情報を中間サーバ１３に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末２から中間サーバ１３への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ１３に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末２から中間サーバ１３への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ１３へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。

　なお、上記実施形態では、ユーザ端末２と認証サーバ１２との間に中間サーバ１３を置いているが、これは認証サーバ１２がファイアウォールで外部ネットワーク３から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ１３を用いない場合、例えば、認証要求部１３１の機能をユーザ端末２に設け、パケット解析部１３２の機能を認証サーバ１２に設けるようにしても良い。

　また、上記実施形態では、パケット送信元端末のアドレス情報としてＩＰアドレスを用いているが、本発明はこれに限定されない。例えば、ＭＡＣアドレスを用いてもよい。

　また、上記実施形態では、事前認証を行った後に、ユーザ端末２からサービス提供サーバ１１にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部２１が認証サーバ１２から中間サーバ１３を介して受信したときに、本認証制御部２２がサービス提供サーバ１１のＩＰアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。

　また、上記実施形態では、認証サーバシステム１は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを１回ずつ有効とするように事前認証処理部１２１および本認証処理部１２６を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部２３は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部１２６も自らワンタイムパスワードを生成して事前認証処理部１２１と同様の認証を行う。したがって、事前認証処理部１２１は、事前認証の成功時にワンタイムパスワードを認証データベース１２８に登録する必要はない。

　また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献１に記載された方法を適用しても良い。

　また、上記実施形態では、ユーザＩＤを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末２を識別するデバイスＩＤを用いても良い。あるいは、ユーザ端末２に装着して使用するＵＳＢメモリ等のデバイスＩＤを用いても良い。ＵＳＢメモリを用いる場合、事前認証制御部２１、本認証制御部２２およびワンタイムパスワード生成部２３の機能を当該ＵＳＢメモリに持たせるようにしても良い。このようにすれば、ユーザ端末２に対するソフトウェアの事前インストールは不要となる。

　その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。

　本発明は、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をＩＤとパスワードとを用いた認証処理により行うシステムに利用可能である。

Claims

情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
　上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
　上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
　上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
　上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
　上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
　上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。
上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
　上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
　上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
　上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
　上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
　上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項１に記載のアクセス制御システム。
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項１に記載のアクセス制御システム。
上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
　上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項３に記載のアクセス制御システム。
情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
　上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
　上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
　上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
　上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項５に記載の認証サーバシステム。
情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
　上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
　上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
　上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
　上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
　上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
　上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
としてコンピュータを機能させるためのアクセス制御プログラム。
上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
　上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項７に記載のアクセス制御プログラム。
上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項８に記載のアクセス制御プログラム。