Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6438256B2 - Terminal device, authentication server, authentication system, authentication method, and authentication program - Google Patents
[go: Go Back, main page]

JP6438256B2 - Terminal device, authentication server, authentication system, authentication method, and authentication program - Google Patents

Terminal device, authentication server, authentication system, authentication method, and authentication program Download PDF

Info

Publication number
JP6438256B2
JP6438256B2 JP2014199052A JP2014199052A JP6438256B2 JP 6438256 B2 JP6438256 B2 JP 6438256B2 JP 2014199052 A JP2014199052 A JP 2014199052A JP 2014199052 A JP2014199052 A JP 2014199052A JP 6438256 B2 JP6438256 B2 JP 6438256B2
Authority
JP
Japan
Prior art keywords
script
terminal device
transmission
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014199052A
Other languages
Japanese (ja)
Other versions
JP2016071542A (en
Inventor
田淵 純一
純一 田淵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2014199052A priority Critical patent/JP6438256B2/en
Publication of JP2016071542A publication Critical patent/JP2016071542A/en
Application granted granted Critical
Publication of JP6438256B2 publication Critical patent/JP6438256B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、機密情報を送信する端末装置、認証システム、認証サーバ、認証方法及び認証プログラムに関する。   The present invention relates to a terminal device that transmits confidential information, an authentication system, an authentication server, an authentication method, and an authentication program.

従来、ユーザが端末装置のブラウザからネットワークを介してサービスサイトにアクセスした際には、入力されたID及びパスワードが認証サーバにより登録情報と照合され、このユーザが正規の会員であることが認証される。
この場合、認証サーバは、ユーザを特定するための認証情報を発行してブラウザのクッキー(HTTP cookie)に保存させる。すると、同一のサイトへの2回目以降のアクセスに対しては、端末装置がクッキーに保存された認証情報を認証サーバへ送信することにより、ユーザによる入力の手間が省かれる(例えば、特許文献1参照)。
Conventionally, when a user accesses a service site via a network from a browser of a terminal device, the entered ID and password are checked against registration information by an authentication server, and the user is authenticated as a legitimate member. The
In this case, the authentication server issues authentication information for specifying the user and stores the authentication information in a browser cookie (HTTP cookie). Then, for the second and subsequent accesses to the same site, the terminal device transmits the authentication information stored in the cookie to the authentication server, thereby saving the user from input (for example, Patent Document 1). reference).

図5は、従来のクッキーを利用したユーザ認証の流れを示す図である。
ユーザが端末装置(Device)においてID及びパスワードを入力すると(1)、認証サーバ(WebServer)において、認証情報(Cookie Key)が発行され(2)、HTMLファイルを媒介してブラウザのクッキーに記憶される(3)。端末装置がURLを指定して認証サーバへアクセスすると、このURLに関連付けられた認証情報が自動的に付加される(4)。これにより、認証サーバは、認証情報によりユーザを特定し、特定したユーザに固有のサービス(HTMLページ)を提供する(5)。
FIG. 5 is a diagram showing a flow of user authentication using a conventional cookie.
When the user inputs an ID and password in the terminal device (Device) (1), authentication information (Cookie Key) is issued in the authentication server (WebServer) (2) and stored in the browser cookie via an HTML file. (3). When the terminal device designates a URL and accesses the authentication server, authentication information associated with this URL is automatically added (4). As a result, the authentication server identifies the user based on the authentication information, and provides a service (HTML page) unique to the identified user (5).

また、ブラウザは、上述のクッキーを含む複数の記憶領域を備えており、例えば、HTML5に対応したブラウザが有するローカルストレージ(localStorage)を利用したサービスの提供手法が提案されている(例えば、特許文献2及び3参照)。   In addition, the browser includes a plurality of storage areas including the above-described cookies. For example, a method for providing a service using a local storage (local storage) included in a browser compatible with HTML5 has been proposed (for example, Patent Documents). 2 and 3).

特表2003−527646号公報JP-T-2003-527646 特開2014−085812号公報JP 2014-085812 A 特開2012−069087号公報JP 2012-069087 A

ところで、クッキー内の情報は、外部からのアクセス攻撃により漏洩するリスクがあるため、安全性に課題があった。このため、定期的に(例えば、2週間に1度)ID及びパスワードをユーザに再入力させ、クッキーを更新する運用が求められる。   By the way, the information in the cookie has a risk of leakage due to an access attack from the outside. For this reason, it is required to periodically update the cookie by allowing the user to re-enter the ID and password (for example, once every two weeks).

本発明は、機密情報を安全に特定の宛先へ送信できる端末装置、認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。   An object of the present invention is to provide a terminal device, an authentication server, an authentication system, an authentication method, and an authentication program that can safely transmit confidential information to a specific destination.

本発明に係る端末装置は、特定の送信先へ送信可能な機密情報を記憶する端末装置であって、前記機密情報を送信するための命令、及び前記機密情報の少なくとも一部が記述された送信スクリプトを記憶し、当該送信スクリプトの用途を実行に限定する第1の記憶部と、前記送信スクリプトを実行することにより、前記機密情報を前記送信先へ送信する送信処理部と、を備える。   A terminal device according to the present invention is a terminal device for storing confidential information that can be transmitted to a specific destination, and a command for transmitting the confidential information and a transmission in which at least a part of the confidential information is described A first storage unit that stores a script and limits the use of the transmission script to execution, and a transmission processing unit that transmits the confidential information to the transmission destination by executing the transmission script.

前記第1の記憶部は、ブラウザキャッシュであってもよい。   The first storage unit may be a browser cache.

前記機密情報の他の一部は、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、前記命令は、前記第2の記憶部から前記機密情報の他の一部を読み込み、前記機密情報の全部を前記送信先へ送信するためのものであってもよい。   The other part of the confidential information is stored in a second storage unit where at least the domain of the access source is restricted, and the instruction reads the other part of the confidential information from the second storage unit, The entire confidential information may be transmitted to the transmission destination.

前記送信先のアドレスは、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、前記命令は、前記第2の記憶部から前記送信先のアドレスを読み込み、前記機密情報を前記送信先のアドレスへ送信するためのものであってもよい。   The address of the transmission destination is stored in a second storage unit where at least the domain of the access source is limited, and the instruction reads the address of the transmission destination from the second storage unit and transmits the confidential information It may be for transmission to a previous address.

前記第2の記憶部は、HTML5に規定されるlocalStorageであってもよい。   The second storage unit may be a local Storage defined in HTML5.

前記送信スクリプトは、さらに、前記送信先のアドレスが記述されたものであってもよい。   The transmission script may further describe the destination address.

前記命令は、前記機密情報を暗号化して送信するためのものであってもよい。   The instructions may be for encrypting and transmitting the confidential information.

前記機密情報は、前記端末装置のユーザを特定する認証情報であり、前記送信先は、前記認証情報により前記ユーザの正当性を認証する認証サーバであってもよい。   The confidential information may be authentication information that identifies a user of the terminal device, and the transmission destination may be an authentication server that authenticates the validity of the user based on the authentication information.

本発明に係る認証サーバは、端末装置のユーザを特定する認証情報により当該ユーザの正当性を認証する認証サーバであって、前記認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成部と、前記送信スクリプト、及び当該送信スクリプトを前記端末装置においてスクリプトの用途が実行に限定された第1の記憶部に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信部と、前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信し、前記送信スクリプトを起動させる第2の送信部と、を備える。   An authentication server according to the present invention is an authentication server that authenticates the legitimacy of a user of the terminal device using authentication information, and generates the authentication information and transmits the authentication information to the authentication server. A generation unit that generates a transmission script for the terminal device, a storage script for storing the transmission script, and the transmission script in a first storage unit whose use of the script is limited to execution in the terminal device; A first transmission unit that transmits to the terminal device, and a second transmission unit that activates the transmission script to transmit the activation script for activating the transmission script to the terminal device in response to access from the terminal device And comprising.

前記生成部は、前記端末装置から第1の認証情報を受信した後に、当該第1の認証情報に対応付けて第2の認証情報を生成してもよい。   The generation unit may generate second authentication information in association with the first authentication information after receiving the first authentication information from the terminal device.

前記生成部は、前記端末装置から端末固有情報を受信した後に、当該端末固有情報に対応付けて前記認証情報を生成してもよい。   The generation unit may generate the authentication information in association with the terminal specific information after receiving the terminal specific information from the terminal device.

前記生成部は、前記認証情報として、ランダムな値を生成してもよい。   The generation unit may generate a random value as the authentication information.

前記認証サーバは、同一ユーザの前記認証情報を再生成した場合に、新旧の認証情報が紐付けられる情報を受け付けて記憶してもよい。   The authentication server may accept and store information associated with old and new authentication information when the authentication information of the same user is regenerated.

本発明に係る認証システムは、ユーザを特定する認証情報により当該ユーザの正当性を認証する認証サーバ、及び前記認証情報を当該認証サーバへ送信する端末装置を有する認証システムであって、前記認証サーバは、前記認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成部と、前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信部と、前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信部と、を備え、前記端末装置は、記憶されているスクリプトの用途を実行に限定する第1の記憶部と、前記記憶スクリプトを実行し、前記送信スクリプトを前記第1の記憶部に記憶する記憶処理部と、前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する送信処理部と、を備える。   An authentication system according to the present invention is an authentication system including an authentication server that authenticates the legitimacy of the user by authentication information that identifies the user, and a terminal device that transmits the authentication information to the authentication server, the authentication server Generates the authentication information, generates a transmission script for transmitting the authentication information to the authentication server, stores the transmission script, and the transmission script in a predetermined storage area in the terminal device. A first transmission unit that transmits a storage script to the terminal device, and a second transmission unit that transmits a start script for starting the transmission script to the terminal device in response to an access from the terminal device. A first storage unit that limits the use of the stored script to execution; A storage processing unit that executes the storage script and stores the transmission script in the first storage unit; and a transmission that executes the activation script to activate the transmission script and transmits the authentication information to the authentication server. A processing unit.

本発明に係る認証方法は、認証サーバが端末装置のユーザの正当性を認証する認証方法であって、前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を含む。   An authentication method according to the present invention is an authentication method in which an authentication server authenticates the legitimacy of a user of a terminal device, wherein the authentication server generates authentication information for specifying the user, and the authentication information is A generation step for generating a transmission script for transmission to the authentication server, and a storage script for the authentication server to store the transmission script and the transmission script in a predetermined storage area in the terminal device to the terminal device. A first transmission step of transmitting; a storage step in which the terminal device executes the storage script; and the transmission script is stored in a first storage unit whose use of the script is limited to execution; and the authentication server includes: In response to access from the terminal device, an activation script for activating the transmission script is sent to the terminal device. Including a second transmission step of signal, the terminal device starts the transmission script executes the start script, and a third transmission step of transmitting the authentication information to the authentication server, the.

本発明に係る認証プログラムは、認証サーバにより端末装置のユーザの正当性を認証させるための認証プログラムであって、前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を実行させる。   An authentication program according to the present invention is an authentication program for authenticating the legitimacy of a user of a terminal device by an authentication server, wherein the authentication server generates authentication information for specifying the user, and the authentication information Generating a transmission script for transmitting the transmission script to the authentication server, the transmission script for the authentication server and a storage script for storing the transmission script in a predetermined storage area in the terminal device, A first transmission step of transmitting to a device; a storage step in which the terminal device executes the storage script; and storing the transmission script in a first storage unit limited to execution of the script; and the authentication An activation script for the server to activate the transmission script in response to access from the terminal device. A second transmission step of transmitting a message to the terminal device; a third transmission step of transmitting the authentication information to the authentication server by the terminal device executing the activation script to activate the transmission script; , Execute.

本発明によれば、機密情報を安全に特定の宛先へ送信できる。   According to the present invention, confidential information can be safely transmitted to a specific destination.

実施形態に係る認証システムの機能構成を示す図である。It is a figure which shows the function structure of the authentication system which concerns on embodiment. 実施形態に係る認証サーバへの初回アクセス時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of the first access to the authentication server which concerns on embodiment. 実施形態に係る認証サーバへ2回目以降にアクセスした時の処理の流れを示す図である。It is a figure which shows the flow of a process when accessing the authentication server which concerns on embodiment after 2nd time. 実施形態に係る認証システムの外部からの攻撃に対する耐性を示す図である。It is a figure which shows the tolerance with respect to the attack from the outside of the authentication system which concerns on embodiment. 従来のクッキーを利用したユーザ認証の流れを示す図である。It is a figure which shows the flow of the user authentication using the conventional cookie.

以下、本発明の実施形態の一例について説明する。
セキュリティ技術のレイヤには、OSレイヤ、ハードウェアレイヤ、アプリケーションレイヤ等があるが、本発明はアプリケーションレイヤでのセキュリティ技術に該当する。本実施形態は、特にブラウザ上で実行される第三者のスクリプトの働きにより第三者が機密情報を取得することを防ぐために好適なものである。
Hereinafter, an example of an embodiment of the present invention will be described.
The security technology layer includes an OS layer, a hardware layer, an application layer, and the like. The present invention corresponds to a security technology in the application layer. This embodiment is particularly suitable for preventing a third party from acquiring confidential information by the action of a third party script executed on the browser.

図1は、本実施形態に係る認証システム1の機能構成を示す図である。
認証システム1は、認証サーバ10と端末装置20とを備え、端末装置20のユーザの正当性を、このユーザを特定する認証情報に基づいて認証サーバ10によって認証する。
FIG. 1 is a diagram illustrating a functional configuration of an authentication system 1 according to the present embodiment.
The authentication system 1 includes an authentication server 10 and a terminal device 20, and authenticates the legitimacy of the user of the terminal device 20 by the authentication server 10 based on authentication information that identifies the user.

認証サーバ10は、生成部11と、第1の送信部12と、第2の送信部13と、認証部14と、記憶部15(第3の記憶部)とを備えた情報処理装置である。
端末装置20は、第1の記憶部21と、第2の記憶部22と、記憶処理部23と、送信処理部24(第3の送信部)とを備える情報処理装置である。これら各機能部は、例えば、Webサービスを利用するためのブラウザアプリケーションによって実装される。端末装置20は、例えば単一のユーザにより利用される携帯電話機、スマートフォン又はタブレット端末等の携帯端末であってよい。
The authentication server 10 is an information processing apparatus including a generation unit 11, a first transmission unit 12, a second transmission unit 13, an authentication unit 14, and a storage unit 15 (third storage unit). .
The terminal device 20 is an information processing device that includes a first storage unit 21, a second storage unit 22, a storage processing unit 23, and a transmission processing unit 24 (third transmission unit). Each of these functional units is implemented by, for example, a browser application for using a Web service. The terminal device 20 may be a mobile terminal such as a mobile phone, a smartphone, or a tablet terminal used by a single user, for example.

生成部11は、端末装置20からの初回のアクセスに応じて、ユーザを特定するための認証情報を生成すると共に、この認証情報を端末装置20から前記認証サーバへ送信するための送信スクリプトを生成する。送信スクリプトには、認証情報、認証サーバのアドレス、及びこのアドレスへ認証情報を送信する命令が記述されている。
認証情報は、例えば、以下の手順により生成される。
The generation unit 11 generates authentication information for specifying a user in response to the first access from the terminal device 20 and generates a transmission script for transmitting the authentication information from the terminal device 20 to the authentication server. To do. The transmission script describes authentication information, an address of the authentication server, and a command for transmitting the authentication information to this address.
The authentication information is generated by the following procedure, for example.

(1)生成部11は、端末装置20から第1の認証情報(例えば、ID及びパスワード)を受信した後に、この第1の認証情報に対応付けて第2の認証情報(ID及びKEY)を生成する。なお、第2の認証情報におけるIDは、第1の認証情報のIDとは異なっていてもよい。KEY(認証鍵)は、IDに基づいて生成される。
(2)生成部11は、端末装置20から端末固有情報を受信した後に、この端末固有情報に対応付けて認証情報(ID及びKEY)を生成する。
(3)生成部11は、認証情報として、ランダムな値(ID及びKEY)を生成する。
(1) After receiving the first authentication information (for example, ID and password) from the terminal device 20, the generation unit 11 associates the first authentication information with the second authentication information (ID and KEY). Generate. Note that the ID in the second authentication information may be different from the ID of the first authentication information. The KEY (authentication key) is generated based on the ID.
(2) After receiving the terminal specific information from the terminal device 20, the generation unit 11 generates authentication information (ID and KEY) in association with the terminal specific information.
(3) The generation unit 11 generates random values (ID and KEY) as authentication information.

第1の送信部12は、生成部11により生成された送信スクリプト、及びこの送信スクリプトを端末装置20における所定の記憶領域に記憶するための記憶スクリプトを、端末装置20へ送信する。
第2の送信部13は、端末装置20からの2回目以降のアクセスに応じて、送信スクリプトを起動するための起動スクリプトを、端末装置20へ送信する。
なお、送信スクリプト、記憶スクリプト及び指示スクリプトは、例えば、JavaScript(登録商標)であってよい。また、送信スクリプト、記憶スクリプト及び指示スクリプトのうちのいずれか2つ又は3つ全てが一体であってもよい。
The first transmission unit 12 transmits the transmission script generated by the generation unit 11 and the storage script for storing the transmission script in a predetermined storage area in the terminal device 20 to the terminal device 20.
The second transmission unit 13 transmits an activation script for activating the transmission script to the terminal device 20 in response to the second and subsequent accesses from the terminal device 20.
Note that the transmission script, the storage script, and the instruction script may be, for example, JavaScript (registered trademark). Further, any two or all three of the transmission script, the storage script, and the instruction script may be integrated.

認証部14は、生成部11により生成された認証情報と、端末装置20から受信した認証情報とを照合し、端末装置20のユーザが正当であることを認証する。   The authentication unit 14 verifies the authentication information generated by the generation unit 11 and the authentication information received from the terminal device 20 and authenticates that the user of the terminal device 20 is valid.

記憶部15は、ユーザそれぞれの認証情報に対応付けて、各ユーザへ提供されるサービスに関する情報を記憶する。
さらに、記憶部15は、機種変更等により複数の端末装置20に対して同一ユーザの認証情報を再生成した場合に、新旧の認証情報が紐付けられる情報を受け付けて記憶する。例えば、認証サーバ10は、ID及びパスワードによる紐付け、又はグループの指定入力に基づくグループIDの発行により、同一ユーザの複数の認証情報を識別する。
The storage unit 15 stores information related to services provided to each user in association with the authentication information of each user.
Furthermore, when the same user authentication information is regenerated for a plurality of terminal devices 20 due to model change or the like, the storage unit 15 receives and stores information associated with old and new authentication information. For example, the authentication server 10 identifies a plurality of pieces of authentication information of the same user by linking with an ID and a password or issuing a group ID based on a group designation input.

第1の記憶部21は、記憶されているスクリプトの用途がこのスクリプトの実行に限定された記憶領域であり、例えばブラウザキャッシュである。第1の記憶部21に記憶されたスクリプトは、実行以外のアクセス方法が制限又は禁止される。すなわち、第1の記憶部21に記憶されたスクリプトは、アクセスされるとスクリプト内の命令を実行し、外部からスクリプト内のデータを取得できない性質を持つ。このため、第三者が認証情報を取得すること、送信先アドレスを改竄すること等が防止される。   The first storage unit 21 is a storage area in which the use of the stored script is limited to the execution of this script, and is, for example, a browser cache. An access method other than execution is restricted or prohibited for the script stored in the first storage unit 21. That is, the script stored in the first storage unit 21 has a property that, when accessed, executes a command in the script and cannot acquire data in the script from the outside. This prevents a third party from acquiring the authentication information and falsifying the destination address.

第2の記憶部22は、少なくともアクセス元のドメインが制限された記憶領域であり、例えばHTML5に規定されたlocalStorageである。localStorageは、オリジン(「プロトコル://ドメイン名:ポート番号」)が制限され、認証サーバとは異なる攻撃者のドメインからのアクセス(データの記憶及び取り出し)ができない。   The second storage unit 22 is a storage area in which at least the domain of the access source is limited, and is, for example, a local Storage defined in HTML5. The local Storage is restricted in origin (“protocol: // domain name: port number”) and cannot be accessed (data storage and retrieval) from an attacker's domain different from the authentication server.

記憶処理部23は、認証サーバ10から受信した記憶スクリプトを実行し、送信スクリプトを、第1の記憶領域21に記憶する。
さらに、記憶処理部23は、送信スクリプトにより読み込まれる認証情報の一部を、第2の記憶領域に記憶してもよい。これにより、第三者による送信スクリプトの実行が抑制される。
The storage processing unit 23 executes the storage script received from the authentication server 10 and stores the transmission script in the first storage area 21.
Further, the storage processing unit 23 may store a part of the authentication information read by the transmission script in the second storage area. Thereby, execution of the transmission script by a third party is suppressed.

送信処理部24は、起動スクリプトを介して送信スクリプトを実行し、この送信スクリプトに含まれているURLにより特定される認証サーバ10へ、認証情報を送信する。
ここで、送信処理部24は、送信スクリプトによって、認証情報を所定のプロトコルにより暗号化して送信してもよい。
The transmission processing unit 24 executes the transmission script via the activation script, and transmits the authentication information to the authentication server 10 specified by the URL included in the transmission script.
Here, the transmission processing unit 24 may encrypt the authentication information using a transmission script and transmit it using a predetermined protocol.

図2は、本実施形態に係る認証サーバ10への初回アクセス時の処理の流れを示す図である。   FIG. 2 is a diagram illustrating a processing flow at the time of the first access to the authentication server 10 according to the present embodiment.

ユーザが端末装置20においてID及びパスワードを入力してログインすると(1)、認証サーバ10は、入力されたID及びパスワードに基づいて又は無関係に認証情報(例えば、ID及びKEY)を生成する(2)。
このとき、同一セッションを保証するためのセッションキーが発行され、HTMLファイルを媒介してブラウザのクッキーに記憶される。なお、同一セッションを保証するための仕組みはこれには限られず、既存の技術が利用可能である。
When the user inputs an ID and password in the terminal device 20 and logs in (1), the authentication server 10 generates authentication information (for example, ID and KEY) based on or regardless of the input ID and password (2). ).
At this time, a session key for guaranteeing the same session is issued and stored in a browser cookie via an HTML file. Note that the mechanism for guaranteeing the same session is not limited to this, and an existing technology can be used.

生成された認証情報の少なくとも一部(例えば、ID)、認証サーバ10のURL、及び認証情報を端末装置20から認証サーバ10へ送信するための命令を含む送信スクリプトAが、記憶スクリプトBを実行することにより、第1の記憶部21(ブラウザキャッシュ)に記憶される。さらに、認証情報の残りの一部(例えば、KEY)は、第2の記憶部22(HTML5 localStorage)に記憶される(3)。   The transmission script A including at least part of the generated authentication information (for example, ID), the URL of the authentication server 10, and a command for transmitting the authentication information from the terminal device 20 to the authentication server 10 executes the storage script B By doing so, it is stored in the first storage unit 21 (browser cache). Further, the remaining part of the authentication information (for example, KEY) is stored in the second storage unit 22 (HTML5 local Storage) (3).

図3は、本実施形態に係る認証サーバ10へ2回目以降にアクセスした時の処理の流れを示す図である。   FIG. 3 is a diagram showing a flow of processing when the authentication server 10 according to the present embodiment is accessed for the second time and thereafter.

ユーザが端末装置20においてURLを指定して、ID及びパスワードを入力することなく認証サーバ10へアクセスすると(1)、認証サーバ10は、送信スクリプトAを起動するための起動スクリプトCを、HTMLファイル上に又はHTMLファイルに付随して端末装置20へ送信する(2)。   When the user designates a URL on the terminal device 20 and accesses the authentication server 10 without inputting an ID and password (1), the authentication server 10 generates an activation script C for activating the transmission script A as an HTML file. It is transmitted to the terminal device 20 above or accompanying the HTML file (2).

端末装置20は、起動スクリプトCを実行することにより、第1の記憶部21(ブラウザキャッシュ)に記憶されている送信スクリプトAにアクセスすると、この送信スクリプトAが実行される(3)。
端末装置20は、送信スクリプトAに記述されている送信命令によって、第2の記憶部22(HTML5 localStorage)に記憶されている認証情報の一部(例えば、KEY)を取得すると(4)、認証情報の全体を暗号化し、送信スクリプトAに埋め込まれているURLを宛先にして、暗号化データを認証サーバ10へ送信する(5)。
When the terminal device 20 accesses the transmission script A stored in the first storage unit 21 (browser cache) by executing the startup script C, the transmission script A is executed (3).
When the terminal device 20 acquires a part of the authentication information (for example, KEY) stored in the second storage unit 22 (HTML5 localStorage) by the transmission command described in the transmission script A (4), the authentication is performed. The entire information is encrypted, and the encrypted data is transmitted to the authentication server 10 with the URL embedded in the transmission script A as the destination (5).

図4は、本実施形態に係る認証システム1の外部からの攻撃に対する耐性を示す図である。   FIG. 4 is a diagram showing resistance to an attack from the outside of the authentication system 1 according to the present embodiment.

認証システム1は、例えば、MITM(man−in−the−middle)又はXSS(cross site scripting)による攻撃が想定される。   The authentication system 1 is assumed to be an attack by, for example, MITM (man-in-the-middle) or XSS (cross site scripting).

MITM攻撃に対しては、暗号化によって、通信経路200において認証情報そのものを取得される可能性が低減される。さらに、例えば、ワンタイムのキーを用いて送受信される暗号情報を固定しない方式を採用することにより、第三者により取得された暗号情報が不正利用される可能性が低減される。   For MITM attacks, the possibility of acquiring authentication information itself in the communication path 200 is reduced by encryption. Furthermore, for example, by adopting a method that does not fix encryption information transmitted and received using a one-time key, the possibility of unauthorized use of encryption information acquired by a third party is reduced.

また、XSS攻撃によって、たとえブラウザキャッシュの送信スクリプトAにアクセスされたとしても、この送信スクリプトAが実行されることにより、認証情報は、正規の認証サーバ10に対してのみ送信される。   Even if the browser cache transmission script A is accessed by the XSS attack, the transmission information is transmitted only to the authorized authentication server 10 by executing the transmission script A.

具体的には、例えば、端末装置20は、第三者のサーバ100が用意した攻撃スクリプトDを実行し(1)、認証サーバ10へ接続した場合(2)、起動スクリプトCを受信して(3)、送信スクリプトAにアクセスしたとしても(4)、この送信スクリプトAを実行した結果、認証情報は第三者へは提供されず、正規の認証サーバ10に対してのみ送信される(5)。
また、攻撃スクリプトDによって直接、送信スクリプトAにアクセスされた場合であっても、認証情報は正規の認証サーバ10に対してのみ送信される。さらに、認証情報の一部(KEY)が第2の記憶部22(localStorage)に記憶されていると、この情報は認証サーバ10とは異なるサーバ100のドメインからは取得されず、認証情報の送信自体がされない。
したがって、認証情報を第三者に不正利用される可能性が低減される。
Specifically, for example, when the terminal device 20 executes the attack script D prepared by the third-party server 100 (1) and connects to the authentication server 10 (2), the terminal device 20 receives the activation script C ( 3) Even if the transmission script A is accessed (4), as a result of executing this transmission script A, the authentication information is not provided to a third party and is transmitted only to the authorized authentication server 10 (5 ).
Even if the transmission script A is directly accessed by the attack script D, the authentication information is transmitted only to the authorized authentication server 10. Furthermore, when a part of the authentication information (KEY) is stored in the second storage unit 22 (local Storage), this information is not acquired from the domain of the server 100 different from the authentication server 10, and the authentication information is transmitted. Itself is not done.
Therefore, the possibility of unauthorized use of authentication information by a third party is reduced.

以上のように、本実施形態によれば、端末装置20は、機密情報(認証情報)及びこの機密情報を送信するための命令が記述された送信スクリプトを、第1の記憶部21(ブラウザキャッシュ)に記憶して、この送信スクリプトにアクセスする際の用途をスクリプトの実行に制限する。
ブラウザ上で実行される第三者のスクリプトが、第1の記憶部21に格納されたスクリプト(送信スクリプト)にアクセスする場合、ブラウザが規定するアクセス制限及びインタフェースに従う。すなわち、第三者のスクリプトは、たとえ送信スクリプトを実行することが可能だとしても、送信スクリプトの記述内容を、インタフェースの規定外で直接読み込むことは不可能である。また、送信スクリプトには、送信スクリプトを起動したスクリプトへ認証情報を提供する命令は記述されていない。したがって、送信スクリプトは、特定の宛先である認証サーバ10に対してのみ認証情報を送信する。このため、第三者のスクリプトが送信スクリプトを実行しても、正規の認証サーバ10以外が認証情報を受け取ることはない。
このように、端末装置20は、機密情報を安全に特定の宛先へ送信できる。
As described above, according to the present embodiment, the terminal device 20 stores the transmission script in which the confidential information (authentication information) and the instruction for transmitting the confidential information are described in the first storage unit 21 (browser cache). ) And restrict the use of accessing this transmission script to the execution of the script.
When a third-party script executed on the browser accesses a script (transmission script) stored in the first storage unit 21, it follows the access restrictions and interface defined by the browser. That is, even if a third-party script can execute the transmission script, it is impossible to directly read the description content of the transmission script outside the interface specification. Further, the transmission script does not describe an instruction for providing authentication information to the script that started the transmission script. Therefore, the transmission script transmits authentication information only to the authentication server 10 that is a specific destination. For this reason, even if a third-party script executes the transmission script, authentication information other than the authorized authentication server 10 will not be received.
In this way, the terminal device 20 can safely transmit confidential information to a specific destination.

特に、認証システム1は、ブラウザキャッシュに記憶した送信スクリプトによって、ユーザを特定するための認証情報を端末装置20から特定の認証サーバ10にのみ送信する。したがって、認証システム1は、認証情報を端末装置20に保存してユーザによる認証情報の入力操作の負担を軽減できる。さらに、記憶された認証情報は、正規の認証サーバ10へ送信する用途に限ってアクセス可能であるため、認証システム1は、安全性の高いユーザ認証を実現できる。   In particular, the authentication system 1 transmits authentication information for specifying a user from the terminal device 20 only to a specific authentication server 10 using a transmission script stored in the browser cache. Accordingly, the authentication system 1 can save the authentication information in the terminal device 20 and reduce the burden of the user on the authentication information input operation. Furthermore, since the stored authentication information can be accessed only for the purpose of transmission to the regular authentication server 10, the authentication system 1 can realize highly secure user authentication.

認証システム1は、認証情報の一部を、アクセス元(オリジン)が制限されるHTML5のlocalStorageに記憶するので、例えば異なるドメインからのアクセスを拒否し、送信スクリプトの不正な実行を抑制できる。   Since the authentication system 1 stores a part of the authentication information in the local storage of HTML5 in which the access source (origin) is restricted, for example, access from a different domain can be rejected and unauthorized execution of the transmission script can be suppressed.

認証システム1は、認証情報を暗号化して認証サーバ10へ送信するので、通信経路において認証情報そのものが読み取られる可能性を低減できる。   Since the authentication system 1 encrypts the authentication information and transmits it to the authentication server 10, the possibility that the authentication information itself is read in the communication path can be reduced.

また、認証システム1は、初回のユーザから第1の認証情報(ID及びパスワード)の入力を受け付けた後、この第1の認証情報に対応付けて管理される第2の認証情報を生成し、端末装置20に記憶させることができる。これにより、認証システム1は、ユーザが管理する第1の認証情報によってユーザを特定しつつ、新たに発行された第2の認証情報によって安全性の高いユーザ認証を実現できる。   Further, the authentication system 1 receives the input of the first authentication information (ID and password) from the first user, and then generates the second authentication information managed in association with the first authentication information, It can be stored in the terminal device 20. As a result, the authentication system 1 can realize highly secure user authentication with the newly issued second authentication information while specifying the user with the first authentication information managed by the user.

また、認証システム1は、端末固有情報に対応づけて管理される第2の認証情報を生成し、端末装置20に記憶させることができる。これにより、認証システム1は、ユーザによる入力操作をさらに削減しつつも、ユーザの端末装置20を特定し、新たに発行された第2の認証情報によって安全性の高いユーザ認証を実現できる。   Further, the authentication system 1 can generate second authentication information that is managed in association with the terminal specific information, and store the second authentication information in the terminal device 20. As a result, the authentication system 1 can identify the user terminal device 20 while further reducing input operations by the user, and can realize highly secure user authentication by the newly issued second authentication information.

また、認証システム1は、認証情報としてランダムな値を生成し、端末装置20に記憶させることができる。これにより、認証システム1は、端末装置20からユーザ又は端末装置20を特定することなく、同一端末からアクセスしたユーザであることを認証できる。   Further, the authentication system 1 can generate a random value as the authentication information and store it in the terminal device 20. Thereby, the authentication system 1 can authenticate that it is a user who accessed from the same terminal, without specifying the user or the terminal device 20 from the terminal device 20.

認証システム1は、認証サーバ10によって生成された認証情報(第2の認証情報)のみでユーザを特定できない。このため、認証サーバ10は、例えば機種変更等によって同一ユーザの新たな端末装置20に対して認証情報を再発行すると、認証情報のそれぞれに対応付けて管理されている管理情報を同一ユーザのものとして相互に関連付ける必要がある。そこで、認証サーバ10は、複数の認証情報をグループ化する情報(例えば、パスワード)を受け付けて記憶する。これにより、複数の認証情報を紐付けて、同一ユーザの情報を管理できる。   The authentication system 1 cannot identify the user only with the authentication information (second authentication information) generated by the authentication server 10. For this reason, when the authentication server 10 reissues authentication information to a new terminal device 20 of the same user, for example, due to a model change or the like, the management information associated with each of the authentication information is managed by the same user. Need to be associated with each other. Therefore, the authentication server 10 receives and stores information (for example, a password) that groups a plurality of pieces of authentication information. Thereby, a plurality of pieces of authentication information can be linked to manage the same user information.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.

前述の実施形態では、端末装置20に記憶される情報はユーザの認証情報であり、この認証情報を認証サーバ10に送信する認証システム1を説明したが、本発明はこれには限られない。端末装置20は、認証情報に限らず他の機密情報を、第1の記憶部21及び第2の記憶部22に対して認証情報と同様の構成により記憶し、特定の宛先へ送信する構成であってもよい。   In the above-described embodiment, the information stored in the terminal device 20 is user authentication information, and the authentication system 1 that transmits this authentication information to the authentication server 10 has been described. However, the present invention is not limited to this. The terminal device 20 stores not only the authentication information but also other confidential information in the first storage unit 21 and the second storage unit 22 with the same configuration as the authentication information, and transmits it to a specific destination. There may be.

また、前述の実施形態では、端末装置20は、ブラウザアプリケーションの機能を用いて認証情報の送信を行ったが、これには限られず、所定のアプリケーションからアクセス可能な第1の記憶部21を備える構成として実現されてよい。   In the above-described embodiment, the terminal device 20 transmits the authentication information by using the function of the browser application. However, the terminal device 20 is not limited thereto, and includes the first storage unit 21 that can be accessed from a predetermined application. It may be realized as a configuration.

また、第2の記憶部22に記憶される情報は、認証情報の一部の他、送信先(認証サーバ10のアドレス)であってもよいし、これらの両方であってもよい。これにより、端末装置20が認証情報を送信するためには、送信スクリプトの命令によって第2の記憶部から情報を読取る必要があるので、既定のドメインから送信スクリプトへアクセスしなければならない。したがって、送信スクリプトの不正が実行が抑制され安全性が向上する。   Moreover, the information memorize | stored in the 2nd memory | storage part 22 may be a transmission destination (address of the authentication server 10) other than a part of authentication information, and may be both of these. Thereby, in order for the terminal device 20 to transmit the authentication information, it is necessary to read the information from the second storage unit according to the instruction of the transmission script, so the transmission script must be accessed from a predetermined domain. Accordingly, execution of transmission script fraud is suppressed and safety is improved.

認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(認証サーバ10及び端末装置20)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてコンピュータに提供されてもよい。   The authentication method by the authentication system 1 is realized by software. When realized by software, a program constituting the software is installed in the information processing apparatus (the authentication server 10 and the terminal device 20). These programs may be recorded on a removable medium such as a CD-ROM and distributed to users, or may be distributed by downloading to a computer via a network. Furthermore, these programs may be provided to a computer as a Web service via a network without being downloaded.

A 送信スクリプト
B 記憶スクリプト
C 起動スクリプト
1 認証システム
10 認証サーバ
11 生成部
12 第1の送信部
13 第2の送信部
14 認証部
15 記憶部(第3の記憶部)
20 端末装置
21 第1の記憶部
22 第2の記憶部
23 記憶処理部
24 送信処理部(第3の送信部)
A transmission script B storage script C activation script 1 authentication system 10 authentication server 11 generation unit 12 first transmission unit 13 second transmission unit 14 authentication unit 15 storage unit (third storage unit)
20 terminal device 21 first storage unit 22 second storage unit 23 storage processing unit 24 transmission processing unit (third transmission unit)

Claims (15)

特定の送信先へ送信可能な機密情報を記憶する端末装置であって、
前記機密情報を送信するための命令、及び前記機密情報の少なくとも一部が記述され、用途が実行に限定された送信スクリプトを記憶する第1の記憶部と、
前記送信先から受信した起動スクリプトにより前記送信スクリプトを起動し、前記送信スクリプトを実行することにより、前記機密情報を前記送信先へ送信する送信処理部と、を備える端末装置。
A terminal device that stores confidential information that can be transmitted to a specific destination,
And wherein the instructions for sending sensitive information, and wherein at least a portion of said confidential information is written, the first storage unit you memorize the transmission script usage is limited to run,
Wherein the startup script received from the transmission destination to start the transmission script, by executing the transmission script, the transmission processing unit and, Bei obtain terminal device that transmits the confidential information to the destination.
前記第1の記憶部は、ブラウザキャッシュである請求項1に記載の端末装置。   The terminal device according to claim 1, wherein the first storage unit is a browser cache. 前記機密情報の他の一部は、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、The other part of the confidential information is stored in a second storage unit in which at least the access source domain is restricted,
前記命令は、前記第2の記憶部から前記機密情報の他の一部を読み込み、前記機密情報の全部を前記送信先へ送信するためのものである請求項1又は請求項2に記載の端末装置。The terminal according to claim 1 or 2, wherein the command is for reading another part of the confidential information from the second storage unit and transmitting all of the confidential information to the transmission destination. apparatus.
前記送信先のアドレスは、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、
前記命令は、前記第2の記憶部から前記送信先のアドレスを読み込み、前記機密情報を前記送信先のアドレスへ送信するためのものである請求項1から請求項3のいずれかに記載の端末装置。
The destination address is stored in a second storage unit in which at least the access source domain is restricted ,
4. The terminal according to claim 1 , wherein the command is for reading the address of the transmission destination from the second storage unit and transmitting the confidential information to the address of the transmission destination. 5. apparatus.
前記第2の記憶部は、HTML5に規定されるlocalStorageである請求項3又は請求項に記載の端末装置。 The terminal device according to claim 3 or 4 , wherein the second storage unit is a local storage defined in HTML5. 前記送信スクリプトは、さらに、前記送信先のアドレスが記述されたものである請求項1から請求項3のいずれかに記載の端末装置。 The transmission script, further terminal device according to any one of claims 1 to 3 in which the address of the destination is written. 前記命令は、前記機密情報を暗号化して送信するためのものである請求項1から請求項のいずれかに記載の端末装置。 The instructions, terminal device according to claim 6 wherein the confidential information from the claim 1 is for sending encrypted. 前記機密情報は、前記端末装置のユーザを特定する認証情報であり、
前記送信先は、前記認証情報により前記ユーザの正当性を認証する認証サーバである請求項1から請求項のいずれかに記載の端末装置。
The confidential information is authentication information that identifies a user of the terminal device,
The destination terminal device according to any one of claims 1 to 7 by the authentication information is authentication server to authenticate the user.
端末装置のユーザを特定する認証情報により当該ユーザの正当性を認証する認証サーバであって、
前記認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成部と、
前記送信スクリプト、及び当該送信スクリプトを前記端末装置においてスクリプトの用途が実行に限定された第1の記憶部に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信部と、
前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信し、前記送信スクリプトを起動させる第2の送信部と、を備える認証サーバ。
An authentication server that authenticates the legitimacy of the user by authentication information that identifies the user of the terminal device,
Generating the authentication information and generating a transmission script for transmitting the authentication information to the authentication server;
A first transmission unit for transmitting to the terminal device a storage script for storing the transmission script and the transmission script in a first storage unit whose use of the script is limited to execution in the terminal device;
An authentication server comprising: a second transmission unit that transmits an activation script for activating the transmission script to the terminal device in response to access from the terminal device, and activates the transmission script.
前記生成部は、前記端末装置から第1の認証情報を受信した後に、当該第1の認証情報に対応付けて第2の認証情報を生成する請求項に記載の認証サーバ。 The authentication server according to claim 9 , wherein the generation unit generates second authentication information in association with the first authentication information after receiving the first authentication information from the terminal device. 前記生成部は、前記端末装置から端末固有情報を受信した後に、当該端末固有情報に対応付けて前記認証情報を生成する請求項に記載の認証サーバ。 The authentication server according to claim 9 , wherein the generation unit generates the authentication information in association with the terminal specific information after receiving the terminal specific information from the terminal device. 前記生成部は、前記認証情報として、ランダムな値を生成する請求項に記載の認証サーバ。 The authentication server according to claim 9 , wherein the generation unit generates a random value as the authentication information. 前記認証サーバは、同一ユーザの前記認証情報を再生成した場合に、新旧の認証情報が紐付けられる情報を受け付けて記憶する第3の記憶部を備える請求項11又は請求項12に記載の認証サーバ。 The authentication according to claim 11 or 12 , wherein the authentication server includes a third storage unit that receives and stores information associated with old and new authentication information when the authentication information of the same user is regenerated. server. 認証サーバが端末装置のユーザの正当性を認証する認証方法であって、
前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、
前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、
前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、
前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、
前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を含む認証方法。
An authentication method in which an authentication server authenticates the validity of a user of a terminal device,
A step of generating authentication information for the authentication server to identify the user and generating a transmission script for transmitting the authentication information to the authentication server;
A first transmission step in which the authentication server transmits the transmission script and a storage script for storing the transmission script in a predetermined storage area in the terminal device to the terminal device;
A storage step in which the terminal device executes the storage script, and the transmission script is stored in a first storage unit whose use of the script is limited to execution;
A second transmission step in which the authentication server transmits an activation script for activating the transmission script to the terminal device in response to an access from the terminal device;
And a third transmission step in which the terminal device executes the activation script to activate the transmission script and transmits the authentication information to the authentication server.
認証サーバにより端末装置のユーザの正当性を認証させるための認証プログラムであって、
前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、
前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、
前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、
前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、
前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を実行させるための認証プログラム。
An authentication program for authenticating the validity of a user of a terminal device by an authentication server,
A step of generating authentication information for the authentication server to identify the user and generating a transmission script for transmitting the authentication information to the authentication server;
A first transmission step in which the authentication server transmits the transmission script and a storage script for storing the transmission script in a predetermined storage area in the terminal device to the terminal device;
A storage step in which the terminal device executes the storage script, and the transmission script is stored in a first storage unit whose use of the script is limited to execution;
A second transmission step in which the authentication server transmits an activation script for activating the transmission script to the terminal device in response to an access from the terminal device;
An authentication program for causing the terminal device to execute the startup script to start the transmission script and to transmit the authentication information to the authentication server.
JP2014199052A 2014-09-29 2014-09-29 Terminal device, authentication server, authentication system, authentication method, and authentication program Expired - Fee Related JP6438256B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014199052A JP6438256B2 (en) 2014-09-29 2014-09-29 Terminal device, authentication server, authentication system, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014199052A JP6438256B2 (en) 2014-09-29 2014-09-29 Terminal device, authentication server, authentication system, authentication method, and authentication program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018215667A Division JP6722746B2 (en) 2018-11-16 2018-11-16 Terminal

Publications (2)

Publication Number Publication Date
JP2016071542A JP2016071542A (en) 2016-05-09
JP6438256B2 true JP6438256B2 (en) 2018-12-12

Family

ID=55866954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014199052A Expired - Fee Related JP6438256B2 (en) 2014-09-29 2014-09-29 Terminal device, authentication server, authentication system, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP6438256B2 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002328904A (en) * 2001-03-01 2002-11-15 Appresso:Kk System for managing application service providers
EP2385679B1 (en) * 2010-05-07 2014-08-20 BlackBerry Limited Locally stored phishing countermeasure

Also Published As

Publication number Publication date
JP2016071542A (en) 2016-05-09

Similar Documents

Publication Publication Date Title
Li et al. The {Emperor’s} new password manager: Security analysis of web-based password managers
CA3112194C (en) Systems and methods for integrated service discovery for network applications
Lodderstedt et al. OAuth 2.0 threat model and security considerations
CA2689847C (en) Network transaction verification and authentication
JP6335280B2 (en) User and device authentication in enterprise systems
US9344426B2 (en) Accessing enterprise resources while providing denial-of-service attack protection
US8332647B2 (en) System and method for dynamic multi-attribute authentication
JP6374947B2 (en) Recoverable and recoverable dynamic device identification
WO2017069915A1 (en) Systems and methods for providing confidentiality and privacy of user data for web browsers
Bui et al. {Man-in-the-Machine}: Exploiting {Ill-Secured} Communication Inside the Computer
US10045212B2 (en) Method and apparatus for providing provably secure user input/output
JP2017097542A (en) Authentication control program, authentication control device, and authentication control method
Bursztein et al. Sessionjuggler: secure web login from an untrusted terminal using session hijacking
Bai et al. All your sessions are belong to us: Investigating authenticator leakage through backup channels on android
Yang et al. Breaking and fixing mobile app authentication with OAuth2. 0-based protocols
TW201508538A (en) Proof of possession for web browser cookie based security tokens
KR101619928B1 (en) Remote control system of mobile
KR20150049457A (en) Method and apparatus for managing authentication information
JP6438256B2 (en) Terminal device, authentication server, authentication system, authentication method, and authentication program
JP6722746B2 (en) Terminal
JP7403430B2 (en) Authentication device, authentication method and authentication program
King Android application security with owasp mobile top 10 2014
Bodak et al. Secure Authentication Model for Public Clients
Urban Zabezpečení distribuovaných cloudových systémů
JP2012169983A (en) Data processing apparatus and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181116

R150 Certificate of patent or registration of utility model

Ref document number: 6438256

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees