[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4698751B2 - アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム - Google Patents

アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム Download PDF

Info

Publication number
JP4698751B2
JP4698751B2 JP2009222441A JP2009222441A JP4698751B2 JP 4698751 B2 JP4698751 B2 JP 4698751B2 JP 2009222441 A JP2009222441 A JP 2009222441A JP 2009222441 A JP2009222441 A JP 2009222441A JP 4698751 B2 JP4698751 B2 JP 4698751B2
Authority
JP
Japan
Prior art keywords
authentication
information
address
packet
time password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009222441A
Other languages
English (en)
Other versions
JP2011070513A (ja
Inventor
直伸 八津川
弘光 信岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biprogy Inc
Original Assignee
Nihon Unisys Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nihon Unisys Ltd filed Critical Nihon Unisys Ltd
Priority to JP2009222441A priority Critical patent/JP4698751B2/ja
Priority to PCT/JP2010/066682 priority patent/WO2011037226A1/ja
Priority to CN201080051700.3A priority patent/CN102667799B/zh
Publication of JP2011070513A publication Critical patent/JP2011070513A/ja
Application granted granted Critical
Publication of JP4698751B2 publication Critical patent/JP4698751B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。
従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、IDとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のIDとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。
これに対して、1回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている(例えば、特許文献1参照)。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。
しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたIDとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。
一方、IDとパスワードに加え、本人が使用するユーザ端末に固有のIPアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている(例えば、特許文献2参照)。この特許文献2に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のIPアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがIPアドレスをパケットから抽出し、認証サーバに記憶しておいたIPアドレスとの同一性を判定することで、本人性を確認している。
特許第3595109号公報 特開2006−113624号公報
しかしながら、特許文献2に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからIPアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。
また、特許文献2に記載の発明では、IDとパスワードとIPアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してIPアドレスを抽出するとともに、その偽サイトで入力させたIDとパスワードを盗用することにより、IPアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。
本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。
上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら2者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。
本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。
本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。
上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて2回の認証(事前認証と本認証)が行われ、2回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。
さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる1度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる2度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。 本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。 本実施形態のIPアドレステーブルの構成例を示す図である。 本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。 本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図2は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
図1に示すように、本実施形態のアクセス制御システム100は、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム1は、情報通信サービスの提供を行うサービス提供サーバ11と、サービス提供サーバ11へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ12と、当該認証サーバ12とユーザ端末2との間に配置された中間サーバ13とを備えている。
ユーザ端末2は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末2は、インターネットなどの外部ネットワーク3でサービス提供サーバ11および中間サーバ13とそれぞれ接続されており、それらとの間でSSL(Secure Socket Layer)による暗号化通信を行う。
サービス提供サーバ11、認証サーバ12および中間サーバ13は、情報通信サービス提供者(銀行など)の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク4で接続されている。本実施形態においてサービス提供サーバ11とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。
なお、図示はしないが、認証サーバ12は通常、ファイアウォール(内部ネットワーク4と外部ネットワーク3との間の通信を制限し、内部ネットワーク4に接続するコンピュータの安全を維持する仕組み)で外部ネットワーク3から防御されており、ユーザ端末2は認証サーバ12と直接通信することができない。このため、本実施形態では、ユーザ端末2は、サービス提供サーバ11経由または中間サーバ13経由で認証サーバ12と通信する構成としている。
インターネットなどのネットワーク通信では、1本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるIPアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するID(以下、ユーザIDという)およびパスワードから成る認証情報に加え、パケット送信元(ユーザ端末2)のIPアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。
図2に示すように、ユーザ端末2は、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23を備えている。ワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部21に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザIDと種情報は、ユーザが事前に認証サーバ12に対してアカウントを設定する際に登録しておく。
事前認証制御部21は、中間サーバ13のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持しており、そのIPアドレスを用いて中間サーバ13との通信を確立してユーザの認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を送信する。具体的には、事前認証制御部21は、認証要求が発生したときに、中間サーバ13のIPアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部23によりワンタイムパスワードが生成された直後に、事前認証制御部21の機能として自動的に発生する。
本認証制御部22は、ウェブブラウザの機能を含み、サービス提供サーバ11のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持している。本認証制御部22は、認証要求が発生したときに、事前認証制御部21が中間サーバ13のIPアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ11のIPアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部21が認証情報を送信したことに応答して認証サーバ12から認証成功の通知が送られてきた後(後述する事前認証に成功した後)、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ11へアクセスしたときに発生する。
中間サーバ13は、認証要求部131およびパケット解析部132を備えている。認証要求部131は、ユーザ端末2の事前認証制御部21からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ12に送信して認証要求を行う。パケット解析部132は、認証要求部131が受信した通信パケットを解析して、認証情報とユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当)とを抽出する。上述の認証要求部131は、認証サーバ12に対して認証情報と共にIPアドレス(以下、第1の送信元IPアドレスと称する)を送信する。
認証サーバ12は、事前認証処理部121、記憶処理部122、IPアドレステーブル123(本発明のアドレステーブルに相当)、事前認証結果通知部124、アドレス判定部125、本認証処理部126、本認証結果通知部127および認証データベース128を備えている。
事前認証処理部121は、ユーザ端末2の事前認証制御部21から送信された認証情報を中間サーバ13を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部121は、受信した認証情報に含まれるユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部23がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部121は、自身が生成したワンタイムパスワードと、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ13を介して同じ認証情報(ユーザIDおよびワンタイムパスワード)にて認証要求が送られてきたときは、事前認証処理部121での事前認証は失敗となる。
なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部121は、事前認証に成功したときはそのワンタイムパスワードを認証データベース128に登録しておく。事前認証処理部121は、中間サーバ13から受信したワンタイムパスワードについて、認証データベース128に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回(2回目以降)の事前認証を失敗とする。
記憶処理部122は、事前認証処理部121による事前認証が成功した場合に、認証要求部131より送信された第1の送信元IPアドレス(すなわち、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された第1の送信元IPアドレス)を、当該パケットより抽出された認証情報と対応付けてIPアドレステーブル123に記憶させる。
図3は、IPアドレステーブル123の構成例を示す図である。図3に示すように、IPアドレステーブル123は、認証情報であるユーザIDおよびワンタイムパスワードとIPアドレスとを対応付けて記憶する構成となっている。ユーザIDおよびワンタイムパスワードの項目には、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された認証情報が記憶される。また、IPアドレスの項目には、同じパケットよりパケット解析部132にて抽出された第1の送信元IPアドレスが記憶される。
事前認証結果通知部124は、事前認証処理部121による事前認証の成否(認証成功または認証失敗)を、中間サーバ13を介してユーザ端末2に通知する。具体的には、事前認証結果通知部124は、事前認証処理部121による事前認証の成否を中間サーバ13の認証要求部131に通知する。認証要求部131は、事前認証結果通知部124から受けた通知をユーザ端末2の事前認証制御部21に転送する。この通知を受けた事前認証制御部21は、例えば認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して、事前認証処理を終了する。
認証サーバ12の残りの構成(アドレス判定部125、本認証処理部126および本認証結果通知部127)については、サービス提供サーバ11の構成を先に説明した後に説明する。サービス提供サーバ11は、サービス提供部111、認証要求部112およびパケット解析部113を備えている。
サービス提供部111は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末2に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部111は、ユーザ端末2の本認証制御部22から送信されてくるパケットを受信すると、これを認証要求部112に転送する。
認証要求部112がサービス提供部111からパケットを受信したときに、パケット解析部113は、認証要求部112が受信したパケットを解析し、認証情報(事前認証時と同じもの)と、ユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当。以下、これを第2の送信元IPアドレスと称する)とを抽出する。認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う。
認証サーバ12のアドレス判定部125は、認証要求部112より送られた第2の送信元IPアドレス(すなわち、本認証制御部22からサービス提供サーバ11に向けて送信されたパケットよりパケット解析部113にて抽出された第2の送信元IPアドレス)と、当該パケットより抽出された認証情報に対応付けてIPアドレステーブル123に記憶されているアドレス情報(第1の送信元IPアドレス)とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。
本認証処理部126は、アドレス判定部125によりアドレス情報が一致すると判定された場合に、本認証制御部22からサービス提供サーバ11に送信され本認証処理部126に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部126は、サービス提供サーバ11から受信した認証情報に含まれるユーザIDをキーとして認証データベース128を参照し、認証データベース128上のワンタイムパスワードと、サービス提供サーバ11から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが1回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部126は、本認証の成功後に認証データベース128からワンタイムパスワードを削除する。
本認証結果通知部127は、アドレス判定部125および本認証処理部126による本認証の成否を、サービス提供サーバ11を介してユーザ端末2に通知する。具体的には、本認証結果通知部127は、アドレス判定部125によるアドレス情報の一致判定の結果または本認証処理部126による認証の結果を、本認証の成否としてサービス提供サーバ11の認証要求部112に通知する。認証要求部112は、本認証結果通知部127から受けた通知を、サービス提供部111を介してユーザ端末2の本認証制御部22に転送する。
本認証に失敗したことが通知された場合、本認証制御部22は、例えば認証に失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部22に通知された場合、それ以降ユーザ端末2は、サービス提供サーバ11のサービス提供部111による情報通信サービスを受けられる状態となる。
以上に説明した本実施形態による認証サーバシステム1の機能構成およびユーザ端末2の機能構成は、ハードウェア、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム1およびユーザ端末2は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。
したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、認証サーバシステム1やユーザ端末2のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末2のプログラムは、認証サーバシステム1からダウンロードするようにしてもよい。
次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図4は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図5は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
最初に、事前認証時の動作を説明する。図4において、まず、ユーザ端末2のワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する(ステップS1)。そして、事前認証制御部21は、認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を中間サーバ13に送信する(ステップS2)。中間サーバ13の認証要求部131がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部132は、その通信パケットを解析し、認証情報および第1の送信元IPアドレスを抽出する(ステップS3)。そして、認証要求部131は、パケット解析部132により抽出された認証情報と第1の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS4)。
認証サーバ12の事前認証処理部121は、中間サーバ13から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う(ステップS5)。ここで、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードによる認証が1回目で、かつ、そのワンタイムパスワードと事前認証処理部121によりワンタイムパスワード生成部23と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が2回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。
事前認証処理部121は、事前認証に成功したか否かを判定し(ステップS6)、認証成功と判定した場合は、ワンタイムパスワードを認証データベース128に登録するとともに、認証に成功した旨を記憶処理部122および事前認証結果通知部124に通知する。一方、事前認証処理部121は、認証失敗と判定した場合は、その旨を事前認証結果通知部124に通知する。記憶処理部122は、事前認証処理部121から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第1の送信元IPアドレスをIPアドレステーブル123に記録する(ステップS7)。上述のように、これ以降事前認証処理部121は、中間サーバ13からの同一の認証情報による認証要求(事前認証)の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部122によるステップS7の処理は行わない。
事前認証結果通知部124は、事前認証処理部121から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ13へ送信する(ステップS8)。また、中間サーバ13は、事前認証結果通知部124から受け取った認証結果をユーザ端末2へ送信する(ステップS9)。このようにして認証サーバ12から中間サーバ13を介して事前認証の結果の通知を受け取ったユーザ端末2において、事前認証処理部121は、事前認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS10)、事前認証処理を終了する。
次に、本認証の動作を説明する。図5において、まず、ユーザ端末2の本認証制御部22は、ウェブブラウザの機能を利用してサービス提供サーバ11にアクセスしてユーザ端末2の表示装置(図示せず)に認証画面を表示する。そして、ユーザ端末2のユーザが認証画面から認証情報(事前認証時と同じユーザIDおよびワンタイムパスワード)を入力し、送信ボタンを押すと、本認証制御部22は、当該入力された認証情報をサービス提供サーバ11に送信する(ステップS21)。
サービス提供サーバ11のサービス提供部111がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部113は、その通信パケットを解析し、認証情報および第2の送信元IPアドレスを抽出する(ステップS22)。そして、認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS23)。
認証サーバ12においてサービス提供サーバ11から認証情報を受信すると、アドレス判定部125は、サービス提供サーバ11から送られてくる第2の送信元IPアドレスと、サービス提供サーバ11から送られてくる認証情報に対応付けてIPアドレステーブル123に記憶されている第1の送信元IPアドレスとを比較し(ステップS24)、両者が一致するか否かを判定する(ステップS25)。
具体的には、アドレス判定部125は、認証情報に含まれるユーザIDをキーとしてIPアドレステーブル123を参照する。そして、IPアドレステーブル123にそのユーザIDに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザIDに該当するレコードがあれば、アドレス判定部125は、そのレコードに記憶されている第1の送信元IPアドレスと、サービス提供サーバ11から送られてきた第2の送信元IPアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部125はその旨を本認証結果通知部127に通知する。
一方、第1の送信元IPアドレスと第2の送信元IPアドレスとが一致した場合、アドレス判定部125はその旨を本認証処理部126に通知する。本認証処理部126はこの通知を受けて、サービス提供サーバ11から受信した認証情報に基づいて本認証を行う(ステップS26)。なお、ステップS25のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。
本認証処理部126は、本認証に成功したか否かを判定する(ステップS27)。そして、認証成功と判定した場合は、その旨を本認証結果通知部127に通知するとともに、ワンタイムパスワードを無効化する(ステップS28)。ワンタイムパスワードの無効化は、例えば、認証データベース128からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザIDのレコードをIPアドレステーブル123から削除することによって行う。一方、本認証処理部126は、認証失敗と判定した場合は、その旨を本認証結果通知部127に通知する。なお、本認証に失敗した場合は、ステップS28の処理は行わない。
本認証結果通知部127は、アドレス判定部125から認証失敗の通知を受けて、あるいは、本認証処理部126から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ11へ送信する(ステップS29)。また、サービス提供サーバ11は、本認証結果通知部127から受け取った認証結果をユーザ端末2へ送信する(ステップS30)。
このようにして認証サーバ12からサービス提供サーバ11を介して本認証の結果の通知を受け取ったユーザ端末2において、本認証制御部22は、本認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS31)、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ11はそれ以降、ユーザ端末2からのアクセスを許可する。
以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
また、本実施形態では、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ11に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、IPアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にIPアドレスの比較も行っている。この場合、第三者の端末のIPアドレスがIPアドレステーブル123に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
万が一、第三者が中間サーバ13の存在と事前認証の仕組みを知っていたとして、第三者の端末のIPアドレスを認証サーバ12に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ13へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のIPアドレスがIPアドレステーブル123に登録されることはない。
ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末2から中間サーバ13へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ12へ送られ、1回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ13へ送ったとしても、2回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
なお、第三者が正当なユーザより先に認証情報を中間サーバ13に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末2から中間サーバ13への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ13に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末2から中間サーバ13への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ13へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。
なお、上記実施形態では、ユーザ端末2と認証サーバ12との間に中間サーバ13を置いているが、これは認証サーバ12がファイアウォールで外部ネットワーク3から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ13を用いない場合、例えば、認証要求部131の機能をユーザ端末2に設け、パケット解析部132の機能を認証サーバ12に設けるようにしても良い。
また、上記実施形態では、パケット送信元端末のアドレス情報としてIPアドレスを用いているが、本発明はこれに限定されない。例えば、MACアドレスを用いてもよい。
また、上記実施形態では、事前認証を行った後に、ユーザ端末2からサービス提供サーバ11にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部21が認証サーバ12から中間サーバ13を介して受信したときに、本認証制御部22がサービス提供サーバ11のIPアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。
また、上記実施形態では、認証サーバシステム1は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを1回ずつ有効とするように事前認証処理部121および本認証処理部126を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部23は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部126も自らワンタイムパスワードを生成して事前認証処理部121と同様の認証を行う。したがって、事前認証処理部121は、事前認証の成功時にワンタイムパスワードを認証データベース128に登録する必要はない。
また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献1に記載された方法を適用しても良い。
また、上記実施形態では、ユーザIDを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末2を識別するデバイスIDを用いても良い。あるいは、ユーザ端末2に装着して使用するUSBメモリ等のデバイスIDを用いても良い。USBメモリを用いる場合、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23の機能を当該USBメモリに持たせるようにしても良い。このようにすれば、ユーザ端末2に対するソフトウェアの事前インストールは不要となる。
その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
1 認証サーバシステム
2 ユーザ端末
11 サービス提供サーバ
12 認証サーバ
13 中間サーバ
21 事前認証制御部
22 本認証制御部
23 ワンタイムパスワード生成部
113 パケット解析部
121 事前認証処理部
122 記憶処理部
123 IPアドレステーブル
125 アドレス判定部
126 本認証処理部
128 認証データベース
132 パケット解析部

Claims (9)

  1. 情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
    上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
    上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
    上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
    上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
    上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
    上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。
  2. 上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
    上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
    上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
    上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
    上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
    上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項1に記載のアクセス制御システム。
  3. 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項1に記載のアクセス制御システム。
  4. 上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
    上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項3に記載のアクセス制御システム。
  5. 情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
    上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
    上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
    上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
    上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。
  6. 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項5に記載の認証サーバシステム。
  7. 情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
    上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
    上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
    上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
    上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
    上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
    上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
    としてコンピュータを機能させるためのアクセス制御プログラム。
  8. 上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
    上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項7に記載のアクセス制御プログラム。
  9. 上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項8に記載のアクセス制御プログラム。
JP2009222441A 2009-09-28 2009-09-28 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム Active JP4698751B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009222441A JP4698751B2 (ja) 2009-09-28 2009-09-28 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
PCT/JP2010/066682 WO2011037226A1 (ja) 2009-09-28 2010-09-27 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CN201080051700.3A CN102667799B (zh) 2009-09-28 2010-09-27 访问控制系统和认证服务器系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009222441A JP4698751B2 (ja) 2009-09-28 2009-09-28 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム

Publications (2)

Publication Number Publication Date
JP2011070513A JP2011070513A (ja) 2011-04-07
JP4698751B2 true JP4698751B2 (ja) 2011-06-08

Family

ID=43795967

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009222441A Active JP4698751B2 (ja) 2009-09-28 2009-09-28 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム

Country Status (3)

Country Link
JP (1) JP4698751B2 (ja)
CN (1) CN102667799B (ja)
WO (1) WO2011037226A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5708445B2 (ja) * 2011-10-31 2015-04-30 富士通株式会社 登録方法、登録プログラムおよび登録装置
JP5773902B2 (ja) * 2012-02-03 2015-09-02 Kddi株式会社 端末間で権限情報を転送する権限情報転送方法及びシステム
SG11201501852RA (en) * 2012-09-14 2015-05-28 Toshiba Kk Vpn connection authentication system, user terminal,authentication server, biometric authentication resultevidence information verification server, vpn connectionserver, and program
US10574647B2 (en) * 2014-09-01 2020-02-25 Passlogy Co., Ltd. User authentication method and system for implementing same
JP2017045347A (ja) * 2015-08-28 2017-03-02 日本電気株式会社 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム
JP6651570B2 (ja) * 2018-04-23 2020-02-19 株式会社オルツ ユーザの認証を行うユーザ認証装置、ユーザ認証装置において実行されるプログラム、ユーザの認証を行うための入力デバイスにおいて実行されるプログラム、ユーザ認証装置および入力デバイスを備えたコンピュータシステム
JP7283232B2 (ja) 2019-06-03 2023-05-30 オムロン株式会社 情報提供方法および情報提供システム
CN110519257B (zh) * 2019-08-22 2022-04-01 北京天融信网络安全技术有限公司 一种网络信息的处理方法及装置
JP7510340B2 (ja) * 2020-12-14 2024-07-03 Kddi株式会社 認証装置、認証方法及び認証プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000322353A (ja) * 1999-05-13 2000-11-24 Nippon Telegr & Teleph Corp <Ntt> 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体
JP2002073561A (ja) * 2000-09-01 2002-03-12 Toyota Motor Corp 通信網を介してアクセスするユーザの認証方法及び認証システム、並びに、これらを利用した情報処理システム
JP3616570B2 (ja) * 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続方式
JP4303952B2 (ja) * 2002-12-24 2009-07-29 株式会社コムスクエア 多重認証システム、コンピュータプログラムおよび多重認証方法
JP2005018421A (ja) * 2003-06-26 2005-01-20 Mitsubishi Electric Corp 管理装置及びサービス提供装置及び通信システム
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
JP4983197B2 (ja) * 2006-10-19 2012-07-25 富士ゼロックス株式会社 認証システム、認証サービス提供装置、および認証サービス提供プログラム
JP5148961B2 (ja) * 2007-09-27 2013-02-20 ニフティ株式会社 ユーザ認証機構

Also Published As

Publication number Publication date
CN102667799A (zh) 2012-09-12
JP2011070513A (ja) 2011-04-07
CN102667799B (zh) 2016-05-25
WO2011037226A1 (ja) 2011-03-31

Similar Documents

Publication Publication Date Title
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CA2689847C (en) Network transaction verification and authentication
US8275984B2 (en) TLS key and CGI session ID pairing
US10445487B2 (en) Methods and apparatus for authentication of joint account login
TWI543574B (zh) 使用瀏覽器認證線上交易的方法
JP4861417B2 (ja) 拡張ワンタイム・パスワード方法および装置
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
US8266683B2 (en) Automated security privilege setting for remote system users
KR101482564B1 (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
US20100217975A1 (en) Method and system for secure online transactions with message-level validation
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
JP2017521934A (ja) クライアントとサーバとの間の相互検証の方法
CN110933078B (zh) 一种h5未登录用户会话跟踪方法
US9954853B2 (en) Network security
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
JP2004151886A (ja) セキュア通信システム、方法及びプログラム
Deeptha et al. Extending OpenID connect towards mission critical applications
US20080060060A1 (en) Automated Security privilege setting for remote system users
EP2530618B1 (en) Sign-On system with distributed access
TWI778319B (zh) 跨平台授權存取資源方法及授權存取系統
JP2005227993A (ja) ネットワークシステムのアクセス認証方法
JP2017220769A (ja) 通信システム及び方法、クライアント端末並びにプログラム
TWI394420B (zh) 用於線上交易的ip位址安全多通道認證
WO2008025137A1 (en) Automated security privilege setting for remote system users

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110301

R150 Certificate of patent or registration of utility model

Ref document number: 4698751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250