JP2023081604A - 認証システム、認証端末、認証サーバ及び認証プログラム - Google Patents
認証システム、認証端末、認証サーバ及び認証プログラム Download PDFInfo
- Publication number
- JP2023081604A JP2023081604A JP2021195450A JP2021195450A JP2023081604A JP 2023081604 A JP2023081604 A JP 2023081604A JP 2021195450 A JP2021195450 A JP 2021195450A JP 2021195450 A JP2021195450 A JP 2021195450A JP 2023081604 A JP2023081604 A JP 2023081604A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- response
- terminal
- user
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims abstract description 15
- 238000012790 confirmation Methods 0.000 claims description 32
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000000034 method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 238000010079 rubber tapping Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】SMS認証の安全性を向上した多段階の認証システムを提供すること。【解決手段】認証サーバ10は、認証端末20からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、パスワードが記載された認証用SMSを送信するメッセージ送信部111と、認証端末20に入力されたパスワードを受信する要求受信部112と、電話番号に紐付けられた識別情報により、認証端末20で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部113と、パスワード及び応答の送信元IPアドレスが少なくとも同一のサブネットである場合にアクセスを認証する送信元検証部114と、を備える。【選択図】図1
Description
本発明は、SMSを用いた多段階の認証システムに関する。
従来、ユーザ認証時のセキュリティ向上のため、携帯端末に通知するSMSを用いた2段階認証が多く採用されているが(例えば、特許文献1参照)、近年、マルウェアによるSMS盗聴を用いた攻撃による被害が増加している。
こうした攻撃に対策するため、Authenticatorアプリによる認証や、FIDO(登録商標)による認証など、SMS以外の手段を用いた2段階認証が提案されている。
こうした攻撃に対策するため、Authenticatorアプリによる認証や、FIDO(登録商標)による認証など、SMS以外の手段を用いた2段階認証が提案されている。
しかしながら、Authenticatorアプリによる認証、又はFIDOによる認証といった従来の認証方式は、端末紛失時にログイン不可となることから、端末紛失時向けの認証手段を別途提供しなければならないため、プライマリの認証手段とはなり得ない。また、SMSは、様々な端末での実現性、利便性、費用などの観点で優位性があるため、他の認証手段へ切り替えることは難しかった。
本発明は、SMS認証の安全性を向上した多段階の認証システムを提供することを目的とする。
本発明に係る認証システムは、認証端末及び認証サーバを備え、前記認証端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。
本発明に係る認証システムは、ログイン端末、認証端末及び認証サーバを備え、前記ログイン端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。
前記送信元検証部は、前記送信元IPアドレスの全体が一致する場合に前記アクセスを認証してもよい。
本発明に係る認証端末は、ユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される。
本発明に係る認証端末は、ログイン端末からのユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる。
本発明に係る認証サーバは、認証端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ、パスワードが記載された認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。
本発明に係る認証サーバは、ログイン端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により認証端末へ認証用メッセージを送信するメッセージ送信部と、前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。
本発明に係る認証プログラムは、前記認証サーバとしてコンピュータを機能させるためのものである。
本発明によれば、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
以下、本発明の実施形態の一例について説明する。
本実施形態の認証システムは、SMSを用いてワンタイムパスワード又はURLを認証端末に送信して2段階認証を行う際に、このSMSに伴う通信と、別途のプッシュ通信に伴う通信とで、IPアドレスが同一であることを追加で検証することにより、SMSの盗聴による攻撃を抑制する。
なお、IPアドレスが同一であるとは、IPアドレスの全体が一致することとしてもよいが、例えば、24ビット~8ビットなどのサブネットマスクが設定されている場合に、このサブネットが同一であることとしてもよい。
本実施形態の認証システムは、SMSを用いてワンタイムパスワード又はURLを認証端末に送信して2段階認証を行う際に、このSMSに伴う通信と、別途のプッシュ通信に伴う通信とで、IPアドレスが同一であることを追加で検証することにより、SMSの盗聴による攻撃を抑制する。
なお、IPアドレスが同一であるとは、IPアドレスの全体が一致することとしてもよいが、例えば、24ビット~8ビットなどのサブネットマスクが設定されている場合に、このサブネットが同一であることとしてもよい。
ここで、SMSを用いた2段階認証が実施されるとき、次の二通りの場合が存在する。
ケースA: ログインしようとしている端末(ログイン端末)と、SMSの送受信が行われる端末(認証端末)とが同一の場合。
ケースB: ログイン端末と認証端末とが異なる場合。
ケースA: ログインしようとしている端末(ログイン端末)と、SMSの送受信が行われる端末(認証端末)とが同一の場合。
ケースB: ログイン端末と認証端末とが異なる場合。
ログインの開始時点において、ユーザに明示的に選択させることなく、この2つのケースを正確に判別することは困難である。しかしながら、ユーザが利用中の端末(ログイン端末)の機種又は画面サイズなどから、おおよその判別をすることが可能である。つまり、機種がスマートフォンの場合にはケースAの可能性が高く、また、画面サイズが小型の場合にはケースAの可能性が高いと判別することができる。
本実施形態では、認証サーバは、ユーザに明示的に選択させる、あるいは、端末の機種又は画面サイズから判別するなどして、ログイン開始時においてケースA又はBのいずれであるかを判別した後、それぞれのシーケンスによりログイン認証を行う。
本実施形態では、認証サーバは、ユーザに明示的に選択させる、あるいは、端末の機種又は画面サイズから判別するなどして、ログイン開始時においてケースA又はBのいずれであるかを判別した後、それぞれのシーケンスによりログイン認証を行う。
図1は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証システム1Aの機能構成を示す図である。
認証システム1Aは、認証端末20(ログイン端末)が認証サーバ10へアクセスする際にSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
認証システム1Aは、認証端末20(ログイン端末)が認証サーバ10へアクセスする際にSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
認証端末20は、認証サーバ10にログインするとともに、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
認証端末20では、認証サーバ10にアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、追加認証のため、認証端末20には、所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。
メッセージ送信部111は、認証端末20(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、ワンタイムパスワードが記載された認証用のSMSを送信する。
要求受信部112は、認証端末20(ブラウザアプリ)に入力されたワンタイムパスワードを受信する。
応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。
送信元検証部114は、要求受信部112が受信したワンタイムパスワード、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、認証端末20からのアクセスを認証し、ログインを完了させる。
認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。
メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのワンタイムパスワードが記載されており、このワンタイムパスワードは、ブラウザアプリにユーザが手入力、又は自動で入力される。
このSMSには、認証情報としてのワンタイムパスワードが記載されており、このワンタイムパスワードは、ブラウザアプリにユーザが手入力、又は自動で入力される。
認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたワンタイムパスワードの入力を受け付け、認証サーバ10へ送信する。
通知応答部213は、認証端末20の電話番号に紐付けられた識別情報(例えば、端末番号)によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。
図2は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証手順を示すシーケンス図である。
ステップS1において、ユーザは、認証端末20で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS2において、認証端末20(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページを認証端末20に返却する。
ステップS2において、認証端末20(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページを認証端末20に返却する。
ステップS4において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS5において、認証端末20(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、2段階認証の開始ページを認証端末20に返却する。
ステップS5において、認証端末20(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、2段階認証の開始ページを認証端末20に返却する。
ステップS7において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、ワンタイムパスワードを含むSMSを送信する。
ステップS8において、ユーザは、送信されたSMSを閲覧し、記載されたワンタイムパスワードを読み取る。
ステップS9において、ユーザは、認証端末20(ブラウザ)に、読み取ったワンタイムパスワードを入力する。なお、このワンタイムパスワードの読み取り及び入力は、自動で行われてもよい。
ステップS10において、認証端末20(ブラウザ)は、入力されたワンタイムパスワードを認証サーバ10に送信する。
ステップS9において、ユーザは、認証端末20(ブラウザ)に、読み取ったワンタイムパスワードを入力する。なお、このワンタイムパスワードの読み取り及び入力は、自動で行われてもよい。
ステップS10において、認証端末20(ブラウザ)は、入力されたワンタイムパスワードを認証サーバ10に送信する。
ステップS11において、認証サーバ10は、ステップS7で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS12において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
ステップS12において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
ステップS13において、認証サーバ10は、ステップS10におけるワンタイムパスワードの送信元IPアドレスと、ステップS12におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS14において、認証サーバ10は、認証端末20に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
ステップS14において、認証サーバ10は、認証端末20に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
図3は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証システム1Bの機能構成を示す図である。
認証システム1Bは、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用してSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
認証システム1Bは、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用してSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
認証端末20は、ログイン端末30が認証サーバ10にログインする際に、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
認証端末20では、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、認証端末20には、URLにアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、追加認証のため所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。
メッセージ送信部111は、ログイン端末30(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、URLが記載された認証用のSMSを送信する。
要求受信部112は、認証用のSMSに記載されたURLに基づく認証端末20(ブラウザアプリ)からの要求に応じて、対応するページを送信し、ユーザからの確認入力に応じた確認情報を受信する。
応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。
送信元検証部114は、要求受信部112が受信した確認情報、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、ログイン端末30からのアクセスを認証し、ログインを完了させる。
認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。
メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのURLが記載されており、このURLによりブラウザアプリが起動される。
このSMSには、認証情報としてのURLが記載されており、このURLによりブラウザアプリが起動される。
認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたURLのページを認証サーバ10に要求し、返却された確認ページに対してユーザの確認入力を受け付け、認証サーバ10へ確認情報を送信する。
通知応答部213は、認証端末20の電話番号に紐付けられた識別情報によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。
図4は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証手順を示すシーケンス図である。
ステップS21において、ユーザは、ログイン端末30で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS22において、ログイン端末30(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS23において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS22において、ログイン端末30(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS23において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS24において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS25において、ログイン端末30(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS26において、認証サーバ10は、2段階認証の開始ページをログイン端末30に返却する。
ステップS25において、ログイン端末30(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS26において、認証サーバ10は、2段階認証の開始ページをログイン端末30に返却する。
ステップS27において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、2段階認証用のURLを含むSMSを送信する。
ステップS28において、ユーザは、送信されたSMSに記載されたURLを選択(タップ)し、認証端末20のブラウザにこのURLのページを開くことを要求する。
ステップS29において、認証端末20(ブラウザ)は、指定されたURLのページを認証サーバ10に要求する。
ステップS30において、認証サーバ10は、2段階認証の確認ページを認証端末20に返却する。
ステップS29において、認証端末20(ブラウザ)は、指定されたURLのページを認証サーバ10に要求する。
ステップS30において、認証サーバ10は、2段階認証の確認ページを認証端末20に返却する。
ステップS31において、ユーザは、認証端末20のブラウザに表示された確認ページにおいて確認操作を行う(ボタンをタップする)。
ステップS32において、認証端末20(ブラウザ)は、ユーザから確認操作があったことを示す確認情報を認証サーバ10に送信する。
ステップS33において、認証サーバ10は、2段階認証の確認完了ページを認証端末20に返却する。
ステップS32において、認証端末20(ブラウザ)は、ユーザから確認操作があったことを示す確認情報を認証サーバ10に送信する。
ステップS33において、認証サーバ10は、2段階認証の確認完了ページを認証端末20に返却する。
ステップS34において、認証サーバ10は、ステップS27で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS35において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
ステップS35において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
ステップS36において、認証サーバ10は、ステップS32における確認情報の送信元IPアドレスと、ステップS35におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS37において、ユーザは、2段階認証の開始ページを更新(ボタンをタップ)、又は自動更新を待つ。これにより、ログイン端末30(ブラウザ)は、認証サーバ10に認証の状態を確認する。
ステップS38において、認証サーバ10は、ログイン端末30に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
ステップS37において、ユーザは、2段階認証の開始ページを更新(ボタンをタップ)、又は自動更新を待つ。これにより、ログイン端末30(ブラウザ)は、認証サーバ10に認証の状態を確認する。
ステップS38において、認証サーバ10は、ログイン端末30に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
なお、ケースAのシーケンス(図2)又はケースBのシーケンス(図4)において、追加認証(破線枠内)の通信は、ユーザIDの入力(ステップS5又はS25)後、送信元の検証(ステップS13又はS36)までの任意のタイミングで実施されてよい。
本実施形態によれば、認証システム1(1A又は1B)は、SMS認証に伴う認証サーバ10に対するアクセス元のIPアドレスが、予め認証端末20にインストールされたアプリXに対するプッシュ通知の応答と同一のサブネットであることを検証することにより、認証強度を向上させる。すなわち、攻撃者が認証端末20に送信されたSMSを盗聴し不正ログインを試みた場合に、アクセス元のIPアドレスのサブネットがアプリXのIPアドレスと一致しないためログインに失敗する。
したがって、認証システム1は、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
さらに、認証システム1は、IPアドレスの全体の一致を検証することで、端末が同一であることをより厳密に検証し、安全性を高めることができる。
したがって、認証システム1は、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
さらに、認証システム1は、IPアドレスの全体の一致を検証することで、端末が同一であることをより厳密に検証し、安全性を高めることができる。
また、SMSの送受信が行われる認証端末20と、ログイン端末30とが異なるケースBの場合、ケースAと同様にワンタイムパスワードをログイン端末30に入力させると、認証端末20から認証サーバ10への認証要求の通信が発生しないため、認証サーバ10は、追加認証のためのIPアドレスを取得できない。
したがって、認証サーバ10は、SMS認証においてURLを認証端末20に通知し、確認画面からの通信を発生させることで、ケースBの場合であってもIPアドレスの同一性を検証することができる。
したがって、認証サーバ10は、SMS認証においてURLを認証端末20に通知し、確認画面からの通信を発生させることで、ケースBの場合であってもIPアドレスの同一性を検証することができる。
なお、前述の実施形態により、例えば、マルウェア攻撃に強いSMS認証を実現し不正アクセス被害を低減できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
前述の実施形態では、認証端末20から認証サーバ10への認証要求の通信(ワンタイムパスワード又は確認情報)と、アプリXからの通信とでIPアドレスの同一性を検証したが、これには限られない。ケースAの場合、認証端末20から認証サーバ10への通信は複数発生するため、認証サーバ10は、アプリXからの通信と、他のいずれかの通信とでIPアドレスの同一性を検証してもよい。
また、前述の実施形態では、アプリXをSMSアプリとは異なるアプリケーションとしているが、例えば、認証端末20でRCS機能を持つSMSアプリを利用中の場合には、アプリXとSMSアプリとが同一であってもよい。また、この場合、プッシュ通知がSMSの送信を兼ねても、あるいは、SMS送信がプッシュ通知を兼ねてもよい。
前述の実施形態では、ケースA又はケースBのいずれであるかが予め判定されているものとして説明したが、次のように誤認される場合があり得る。
ケースBと判定したがAであった場合、ユーザのUXは多少悪化するものの認証自体は成功する。
ケースAと判定したがBであった場合、ユーザは正しく操作しているにもかかわらず認証に失敗する。したがって、認証サーバ10は、認証失敗時に、セキュリティ強化のため追加認証が必要になっている旨をユーザに提示し、通話認証など、より強度の高い2段階認証を追加で要求する。
ケースBと判定したがAであった場合、ユーザのUXは多少悪化するものの認証自体は成功する。
ケースAと判定したがBであった場合、ユーザは正しく操作しているにもかかわらず認証に失敗する。したがって、認証サーバ10は、認証失敗時に、セキュリティ強化のため追加認証が必要になっている旨をユーザに提示し、通話認証など、より強度の高い2段階認証を追加で要求する。
また、HTTPプロクシ又はNATなどを原因としてIPアドレスの同一判定に失敗した場合についても、ユーザは正しく操作しているにもかかわらず認証に失敗するため、同様に、認証サーバ10は、別の追加認証を要求して対処する。
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1、1A、1B 認証システム
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 メッセージ送信部
112 要求受信部
113 応答受信部
114 送信元検証部
211 メッセージ受信部
212 認証要求部
213 通知応答部
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 メッセージ送信部
112 要求受信部
113 応答受信部
114 送信元検証部
211 メッセージ受信部
212 認証要求部
213 通知応答部
Claims (9)
- 認証端末及び認証サーバを備え、前記認証端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証する認証システムであって、
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。 - ログイン端末、認証端末及び認証サーバを備え、前記ログイン端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証する認証システムであって、
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。 - 前記送信元検証部は、前記送信元IPアドレスの全体が一致する場合に前記アクセスを認証する請求項1又は請求項2に記載の認証システム。
- ユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される認証端末。 - ログイン端末からのユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる認証端末。 - 認証端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ、パスワードが記載された認証用メッセージを送信するメッセージ送信部と、
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。 - ログイン端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により認証端末へ認証用メッセージを送信するメッセージ送信部と、
前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。 - 請求項6に記載の認証サーバとしてコンピュータを機能させるための認証プログラム。
- 請求項7に記載の認証サーバとしてコンピュータを機能させるための認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021195450A JP7519979B2 (ja) | 2021-12-01 | 2021-12-01 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021195450A JP7519979B2 (ja) | 2021-12-01 | 2021-12-01 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023081604A true JP2023081604A (ja) | 2023-06-13 |
| JP7519979B2 JP7519979B2 (ja) | 2024-07-22 |
Family
ID=86728206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021195450A Active JP7519979B2 (ja) | 2021-12-01 | 2021-12-01 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7519979B2 (ja) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010117988A (ja) | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法 |
| WO2011083867A1 (ja) | 2010-01-08 | 2011-07-14 | Hishinuma Noboru | 認証装置、認証方法、及び、プログラム |
| JP2015082140A (ja) | 2013-10-21 | 2015-04-27 | 株式会社りーふねっと | ワンタイムパスワード発行装置、プログラムおよびワンタイムパスワード発行方法 |
| KR102035312B1 (ko) | 2016-04-25 | 2019-11-08 | (주)이스톰 | 사용자 중심의 인증 방법 및 시스템 |
-
2021
- 2021-12-01 JP JP2021195450A patent/JP7519979B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP7519979B2 (ja) | 2024-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8510811B2 (en) | Network transaction verification and authentication | |
| US20180295137A1 (en) | Techniques for dynamic authentication in connection within applications and sessions | |
| US10225260B2 (en) | Enhanced authentication security | |
| CN105847245B (zh) | 一种电子邮箱登录认证方法和装置 | |
| JP2008181310A (ja) | 認証サーバおよび認証プログラム | |
| DK2924944T3 (en) | Presence authentication | |
| US11165768B2 (en) | Technique for connecting to a service | |
| CN113434836B (zh) | 一种身份认证方法、装置、设备及介质 | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| EP2392114B1 (en) | Secure web-based service provision | |
| KR101273285B1 (ko) | 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템 | |
| KR20100136572A (ko) | 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 | |
| KR101746745B1 (ko) | 사용자 에이전트, 클라이언트 및 단일 로그인을 지원하기 위한 권한 인가 방법 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| JP4914725B2 (ja) | 認証システム、認証プログラム | |
| CN112966242A (zh) | 一种用户名口令认证方法、装置、设备及可读存储介质 | |
| KR101637155B1 (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 | |
| JP7519977B2 (ja) | 認証システム、認証端末及び認証プログラム | |
| JP2023081604A (ja) | 認証システム、認証端末、認証サーバ及び認証プログラム | |
| US12063215B2 (en) | Method for configuring access to an internet service | |
| JP7017197B2 (ja) | 情報処理システム、情報処理方法、及び情報処理プログラム | |
| KR20130124447A (ko) | 지능형 로그인 인증 시스템 및 그 방법 | |
| CN109962897B (zh) | 一种基于二维码扫描的开放平台认证、访问方法及其系统 | |
| CN113347190B (zh) | 鉴权方法、系统、从站点服务器、客户端、设备和介质 | |
| EP3582469B1 (en) | Authentication using a mobile network operator system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7519979 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |