Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6505573B2 - Authentication system, authentication server, business server and user terminal - Google Patents
[go: Go Back, main page]

JP6505573B2 - Authentication system, authentication server, business server and user terminal - Google Patents

Authentication system, authentication server, business server and user terminal Download PDF

Info

Publication number
JP6505573B2
JP6505573B2 JP2015199273A JP2015199273A JP6505573B2 JP 6505573 B2 JP6505573 B2 JP 6505573B2 JP 2015199273 A JP2015199273 A JP 2015199273A JP 2015199273 A JP2015199273 A JP 2015199273A JP 6505573 B2 JP6505573 B2 JP 6505573B2
Authority
JP
Japan
Prior art keywords
authentication
point
service
information
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015199273A
Other languages
Japanese (ja)
Other versions
JP2017072979A (en
Inventor
陽基 太田
陽基 太田
渡辺 龍
龍 渡辺
清本 晋作
晋作 清本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2015199273A priority Critical patent/JP6505573B2/en
Publication of JP2017072979A publication Critical patent/JP2017072979A/en
Application granted granted Critical
Publication of JP6505573B2 publication Critical patent/JP6505573B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、サービスを利用する際の認証を行う認証システムに関する。   The present invention relates to an authentication system that performs authentication when using a service.

従来、通信ネットワークを介して様々なサービスが提供されている。これらのサービスには、なりすまし等を防ぐため、利用者の本人性を確認する本人認証技術が採用されている。本人認証技術には、多種多様な認証方式が存在するが、いずれの認証方式を採用するかは、通常、サービス提供事業者が決定している。   Conventionally, various services are provided via a communication network. In these services, in order to prevent impersonation etc., the personal identification technology which confirms the identity of the user is adopted. There are a wide variety of authentication methods in the personal authentication technology, but the service provider usually decides which authentication method to use.

特許文献1では、セキュリティ対象毎にセキュリティレベルを設定・管理し、このレベルに応じて認証時に使用する認証方式を選択する技術が提案されている。
特許文献2では、利用者自身が選択した認証方式を用いて認証を行い、この認証方式の認証ポイントがサービス事業者の要求する認証レベルに達しているか否かを判定する技術が提案されている。
Patent Document 1 proposes a technique for setting and managing a security level for each security target, and selecting an authentication method to be used at the time of authentication according to this level.
Patent Document 2 proposes a technique for performing authentication using an authentication method selected by the user itself, and determining whether an authentication point of this authentication method has reached an authentication level required by a service provider. .

特開2005−227934号公報JP 2005-227934 A 特開2010−67124号公報JP, 2010-67124, A

ところで、提供されるサービスのそれぞれにおいて、必要とする認証のレベルは様々であり、これらを適切に設定することは難しかった。また、必要とする認証のレベルに応じて、適切な認証方式の組み合わせを選択することは難しかった。   By the way, in each of the provided services, the level of authentication required varies, and it was difficult to set these appropriately. In addition, it was difficult to select an appropriate combination of authentication methods according to the level of authentication required.

本発明は、サービスに応じた認証方式の組み合わせを適切に決定できる認証システム、認証サーバ、事業者サーバ及び利用者端末を提供することを目的とする。   An object of the present invention is to provide an authentication system, an authentication server, an operator server, and a user terminal capable of appropriately determining a combination of authentication methods according to services.

本発明に係る認証システムは、サービスを利用する利用者端末、前記サービスを提供する事業者サーバ及び利用者の認証を行う認証サーバを有する認証システムであって、前記利用者端末は、前記サービスの要求を行う認証要求部と、前記認証サーバにおいて決定された認証方式それぞれに対する認証情報を送信する認証情報送信部と、を備え、前記事業者サーバは、前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出された、前記サービスが必要とする認証の安全性を示すサービスポイントを管理するサービスポイント管理部を備え、前記認証サーバは、前記認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された、前記認証方式の組み合わせにより得られる安全性を示す認証ポイントを管理する認証ポイント管理部と、前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定する認証方式決定部と、前記認証方式決定部により決定された認証方式の組み合わせそれぞれに対して、前記認証情報を受信し、認証処理を行う認証処理部と、を備える。   An authentication system according to the present invention is an authentication system including a user terminal using a service, an enterprise server providing the service, and an authentication server performing authentication of the user, wherein the user terminal is a part of the service. An authentication request unit for making a request, and an authentication information transmission unit for transmitting authentication information for each of the authentication methods determined in the authentication server, wherein the business entity server is configured for each type of damage contents assumed in the service. Service point management that manages the service points that indicate the security of the authentication required by the service, calculated by integrating the volume of the damage content and the index based on the difficulty of recovery or deletion of the damage content The authentication server, in addition to security points indicating security against attacks for each authentication method, one-time, An authentication point management unit that manages an authentication point indicating security obtained by a combination of the authentication methods, which is calculated based on at least one of the indicators of property authentication and multi-factority; An authentication method determination unit that preferentially determines a combination having a small difference between the authentication point and the service point among combinations of the authentication methods that are equal to or higher than the service point, and an authentication method determined by the authentication method determination unit And an authentication processing unit that receives the authentication information for each combination and performs an authentication process.

前記利用者端末は、認証実行時の時刻情報、位置情報、周辺情報及び移動手段情報のうち、少なくともいずれかの端末情報を取得する取得部と、前記端末情報を送信する端末情報送信部と、を備え、前記認証サーバは、前記認証方式毎の利用者の利便性を示すユーザビリティポイント及び前記端末情報に基づいて、認証実行時における前記認証方式の組み合わせの優先度を示す状況ポイントを算出する状況ポイント決定部を備え、前記認証方式決定部は、前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記状況ポイントが大きい組み合わせを優先して決定してもよい。   The user terminal includes an acquisition unit that acquires terminal information of at least one of time information at the time of authentication execution, position information, peripheral information, and moving means information, and a terminal information transmission unit that transmits the terminal information; The authentication server calculates a status point indicating the priority of the combination of the authentication methods at the time of performing authentication based on the terminal information and the usability point indicating the convenience of the user for each of the authentication methods. A point determination unit may be provided, and among the combinations of the authentication methods in which the authentication point is at least the service point, the authentication method determination unit may preferentially determine a combination in which the situation point is large.

前記状況ポイント決定部は、前記端末情報をパラメータとする、前記認証方式毎に異なる関数を用いて前記状況ポイントを算出してもよい。   The situation point determination unit may calculate the situation point using a function different from one authentication method to another using the terminal information as a parameter.

前記利用者端末は、前記認証方式毎に、前記利用者が選択する優先順位若しくはポイント、登録・認証手続きに要する時間、及び登録・認証失敗の頻度に基づく指標のうち、少なくともいずれかの入力情報を受け付ける入力部と、前記入力情報を送信する入力情報送信部と、を備え、前記認証サーバは、前記認証方式毎に、前記入力情報に基づいて、前記ユーザビリティポイントを算出するユーザビリティポイント決定部を備えてもよい。   The user terminal, for each of the authentication methods, at least one of input information among priorities or points selected by the user, time required for registration and authentication procedures, and indicators based on the frequency of registration and authentication failures. And the input information transmission unit for transmitting the input information, and the authentication server determines the usability point determination unit for calculating the usability point based on the input information for each of the authentication methods. You may have.

前記状況ポイント決定部は、前記認証方式の組み合わせがAND、OR又は重み付けのいずれのパターンであるかに応じて、それぞれ異なる計算式を用いて前記状況ポイントを算出してもよい。   The situation point determination unit may calculate the situation point using different calculation formulas depending on whether the combination of the authentication methods is an AND, an OR, or a weighting pattern.

前記認証方式の組み合わせにおいて、各認証方式の実行順は、前記パターン毎に当該認証方式の単独での状況ポイントの大きさにより決定されてもよい。   In the combination of the authentication methods, the execution order of each authentication method may be determined according to the size of a single situation point of the authentication method for each of the patterns.

前記安全性ポイントは、前記攻撃の種別毎の攻撃成功確率、攻撃に要する費用及び時間のうち、少なくともいずれかに基づいて算出されてもよい。   The security point may be calculated based on at least one of an attack success probability for each type of the attack, a cost required for the attack, and a time.

前記安全性ポイントは、全数攻撃の成功確率に基づく指標と、前記全数攻撃以外の特殊攻撃のうち攻撃成功確率が最大の攻撃に関する当該攻撃成功確率、攻撃に要する費用及び時間に基づく指標とを統合して算出されてもよい。   The security point combines an index based on the success probability of the 100% attack, and an attack success probability regarding an attack having the highest attack success probability among the special attacks other than the 100% attack, an index based on cost and time required for the attack It may be calculated.

前記認証ポイントは、前記認証方式の組み合わせがAND、OR又は重み付けのいずれであるかに応じて、それぞれ異なる計算式を用いて算出されてもよい。   The authentication point may be calculated using different calculation formulas depending on whether the combination of the authentication methods is AND, OR, or weighting.

本発明に係る認証サーバは、事業者サーバにより提供されるサービスを利用する利用者の認証を行う認証サーバであって、前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出され前記事業者サーバにおいて管理されている、前記サービスが必要とする認証の安全性を示すサービスポイントを、利用者端末を経由して受信するサービスポイント取得部と、認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された、前記認証方式の組み合わせにより得られる安全性を示す認証ポイントを管理する認証ポイント管理部と、前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定する認証方式決定部と、前記認証方式決定部により決定された認証方式の組み合わせそれぞれに対して、前記利用者端末から認証情報を受信し、認証処理を行う認証処理部と、を備える。   An authentication server according to the present invention is an authentication server for authenticating a user who uses a service provided by a business entity server, and the quantity of the damage contents for each type of damage contents assumed in the service, And a service point indicating the security of the authentication required by the service, calculated by integrating an index based on the difficulty of recovery or deletion of the damage content and managed by the business server, the user terminal Based on at least one of the one-time property, the property authentication property and the multifactorial index, in addition to the service point acquisition unit received via the network and the security point indicating security against an attack for each authentication method. An authentication point management unit that manages an authentication point indicating security obtained by the combination of the authentication methods calculated by the authentication method; An authentication method determination unit that preferentially determines a combination having a small difference between the authentication point and the service point among combinations of the authentication methods that are equal to or higher than the service point, and an authentication method determined by the authentication method determination unit And an authentication processing unit that receives authentication information from the user terminal for each combination and performs an authentication process.

本発明に係る事業者サーバは、認証サーバにより認証された利用者端末にサービスを提供する事業者サーバであって、前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出された、前記サービスが必要とする認証の安全性を示すサービスポイントを管理するサービスポイント管理部と、前記利用者端末からの前記サービスの要求に応じて、前記サービスポイントを提供し、前記認証サーバへリダイレクトさせる要求処理部と、前記認証サーバにおいて、認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された前記認証方式の組み合わせにより得られる安全性を示す認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定した後、当該決定された認証方式の組み合わせに対して認証が成功したことを示す通知を受けたことに応じて、前記利用者端末へサービスの提供を開始するサービス提供部と、を備える。   The provider server according to the present invention is a provider server that provides a service to a user terminal authenticated by the authentication server, and the quantity of the damage content for each type of damage content assumed in the service, and A service point management unit that manages a service point indicating the security of the authentication required by the service, which is calculated by integrating an index based on the difficulty of recovery or deletion of the damage content; A request processing unit that provides the service point in response to a request for the service and redirects to the authentication server, and the authentication server, in addition to security points indicating security against attacks for each authentication method, one time Combination of the authentication methods calculated based on at least one of the property, the property authentication property, and the multi-factor property index Among the combinations of authentication methods in which an authentication point indicating security obtained from the above is the service point or more, after a priority is given to a combination having a small difference between the authentication point and the service point, the determined authentication method And a service providing unit that starts providing a service to the user terminal in response to receiving a notification indicating that the authentication is successful for the combination.

本発明に係る利用者端末は、事業者サーバにより提供されるサービスを利用する利用者端末であって、前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出され前記事業者サーバにおいて管理されている、前記サービスが必要とする認証の安全性を示すサービスポイントを取得し、認証サーバに対して認証要求を行う認証要求部と、前記認証サーバにおいて、認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された前記認証方式の組み合わせにより得られる安全性を示す認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定した後、当該決定された認証方式それぞれに対する認証情報を送信する認証情報送信部と、を備える。   The user terminal according to the present invention is a user terminal that uses a service provided by the business entity server, and the quantity of the damage contents for each type of damage contents assumed in the service, and the damage contents The service point is obtained by integrating the index based on the difficulty of collection or deletion of data, and managed by the business server, and indicates the security of the authentication required by the service, and authenticates it to the authentication server At least one of the one-time property, the property authentication property, and the multifactorial property, in addition to the authentication request unit which makes a request, and the security point indicating the security against the attack for each authentication method in the authentication server In the authentication method, the authentication point indicating the security obtained by the combination of the authentication methods calculated based on Of combined seen, after determining with priority combinations difference of the authentication point and the service point is small, and an authentication information transmitting unit for transmitting the authentication information for each authentication method the determined.

本発明によれば、サービスに応じた認証方式の組み合わせを適切に決定できる。   According to the present invention, it is possible to appropriately determine the combination of authentication methods according to services.

実施形態に係る認証システムの構成を示す図である。It is a figure showing the composition of the attestation system concerning an embodiment. 実施形態に係る認証方式の組み合わせを決定する手順を示す図である。It is a figure which shows the procedure which determines the combination of the authentication method which concerns on embodiment. 実施形態に係る認証方式の組み合わせ決定処理の一例を示すフローチャートである。It is a flowchart which shows an example of the combination determination process of the authentication method which concerns on embodiment. 実施形態に係る入力情報の登録処理を示すシーケンス図である。It is a sequence diagram which shows the registration process of the input information which concerns on embodiment. 実施形態に係る認証方式を利用するための照合情報登録処理を示すシーケンス図である。It is a sequence diagram which shows the collation information registration process for utilizing the authentication system which concerns on embodiment. 実施形態に係る認証方式の選定及び認証の処理を示すシーケンス図である。It is a sequence diagram showing processing of selection and attestation of an authentication method concerning an embodiment.

以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る認証システム1の構成を示す図である。
Hereinafter, an example of the embodiment of the present invention will be described.
FIG. 1 is a diagram showing the configuration of an authentication system 1 according to the present embodiment.

認証システム1は、サービスを利用する利用者端末10と、サービスを提供する事業者サーバ20と、利用者の認証を行う認証サーバ30とを備える。   The authentication system 1 includes a user terminal 10 that uses a service, an enterprise server 20 that provides a service, and an authentication server 30 that authenticates a user.

利用者端末10、事業者サーバ20及び認証サーバ30は、互いにネットワークを介して接続されている。利用者端末10において利用者がサービスを利用する際に、サービス要求は認証サーバ30へリダイレクトされ、利用者の正当性が認証された後、事業者サーバ20によりサービスが提供される。   The user terminal 10, the provider server 20, and the authentication server 30 are connected to one another via a network. When the user uses the service in the user terminal 10, the service request is redirected to the authentication server 30, and after the legitimacy of the user is authenticated, the business server 20 provides the service.

利用者端末10は、認証要求部11と、入力部12と、入力情報送信部13と、端末情報取得部14と、端末情報送信部15と、認証情報送信部16とを備える。   The user terminal 10 includes an authentication request unit 11, an input unit 12, an input information transmission unit 13, a terminal information acquisition unit 14, a terminal information transmission unit 15, and an authentication information transmission unit 16.

認証要求部11は、事業者サーバ20に対してサービスの要求を行う。
入力部12は、認証方式毎に、利用者が選択する優先順位若しくはポイント、登録・認証手続きに要する時間、及び登録・認証失敗の頻度に基づく指標のうち、少なくともいずれかの入力情報を受け付ける。
入力情報送信部13は、入力部12により受け付けられた入力情報を、認証方式毎の利用者の利便性を示すユーザビリティポイント算出のために認証サーバ30へ送信する。
The authentication request unit 11 requests the provider server 20 for a service.
The input unit 12 receives, for each authentication method, at least one of input information selected from the priority or point selected by the user, the time required for the registration / authentication procedure, and the index based on the frequency of registration / authentication failure.
The input information transmission unit 13 transmits the input information accepted by the input unit 12 to the authentication server 30 for usability point calculation indicating the convenience of the user for each authentication method.

端末情報取得部14は、認証実行時の時刻情報、位置情報、周辺情報及び移動手段情報のうち、少なくともいずれかの端末情報を取得する。
端末情報送信部15は、端末情報取得部14により取得された端末情報を、認証実行時における認証方式の組み合わせの優先度を示す状況ポイント算出のために認証サーバ30へ送信する。
The terminal information acquisition unit 14 acquires terminal information of at least one of time information at the time of authentication execution, position information, peripheral information, and moving means information.
The terminal information transmission unit 15 transmits the terminal information acquired by the terminal information acquisition unit 14 to the authentication server 30 for calculating a status point indicating the priority of the combination of authentication methods at the time of execution of authentication.

認証情報送信部16は、認証サーバ30において決定された認証方式それぞれに対する認証情報を送信する。   The authentication information transmission unit 16 transmits authentication information for each of the authentication methods determined in the authentication server 30.

事業者サーバ20は、サービスポイント管理部21と、要求処理部22と、サービス提供部23とを備える。   The provider server 20 includes a service point management unit 21, a request processing unit 22, and a service providing unit 23.

サービスポイント管理部21は、認証サーバ30において後述のサービスポイント決定処理により算出された、サービスが必要とする認証の安全性を示すサービスポイントを記憶、管理する。   The service point management unit 21 stores and manages a service point indicating the security of the authentication required by the service, which is calculated by the service point determination process described later in the authentication server 30.

要求処理部22は、利用者端末10からのサービスの要求に応じて、サービスポイント管理部21により管理されているサービスポイントを提供し、認証サーバ30へリダイレクトさせる。   The request processing unit 22 provides a service point managed by the service point management unit 21 in response to a request for service from the user terminal 10, and redirects the service point to the authentication server 30.

サービス提供部23は、認証サーバ30において認証方式の組み合わせが決定された後、この決定された認証方式の組み合わせに対して認証が成功したことを示す通知を受けたことに応じて、利用者端末10へサービスの提供を開始する。   After the service providing unit 23 determines the combination of the authentication methods in the authentication server 30, the service providing unit 23 receives the notification indicating that the authentication for the determined combination of authentication methods is successful. Start providing services to 10

認証サーバ30は、サービスポイント取得部31と、認証ポイント管理部32と、ユーザビリティポイント決定部33と、状況ポイント決定部34と、認証方式決定部35と、認証処理部36とを備える。   The authentication server 30 includes a service point acquisition unit 31, an authentication point management unit 32, a usability point determination unit 33, a status point determination unit 34, an authentication method determination unit 35, and an authentication processing unit 36.

サービスポイント取得部31は、事業者サーバ20において管理されているサービスポイントを、利用者端末10を経由して受信する。   The service point acquisition unit 31 receives the service point managed by the provider server 20 via the user terminal 10.

認証ポイント管理部32は、後述の認証ポイント決定処理により算出した、認証方式の組み合わせにより得られる安全性を示す認証ポイントを記憶、管理する。   The authentication point management unit 32 stores and manages an authentication point indicating security obtained by a combination of authentication methods, which is calculated by an authentication point determination process described later.

ユーザビリティポイント決定部33は、認証方式毎に、利用者端末10から受信した入力情報に基づいて、後述のユーザビリティポイント決定処理によりユーザビリティポイントを算出する。
状況ポイント決定部34は、ユーザビリティポイント、及び利用者端末10から受信した端末情報に基づいて、後述の状況ポイント決定処理により状況ポイントを算出する。
The usability point determination unit 33 calculates usability points by usability point determination processing described later based on the input information received from the user terminal 10 for each authentication method.
The situation point determination unit 34 calculates a situation point by the situation point determination process described later, based on the usability points and the terminal information received from the user terminal 10.

認証方式決定部35は、認証ポイント、サービスポイント及び状況ポイントに基づいて、後述の認証方式決定処理により認証方式の組み合わせを決定する。
認証処理部36は、認証方式決定部35により決定された認証方式の組み合わせそれぞれに対して、利用者端末10から認証情報を受信し、認証処理を行う。
The authentication method determination unit 35 determines a combination of authentication methods by an authentication method determination process described later, based on the authentication point, the service point, and the status point.
The authentication processing unit 36 receives authentication information from the user terminal 10 for each combination of authentication methods determined by the authentication method determination unit 35, and performs an authentication process.

図2は、本実施形態に係る認証システム1において、多種多様に存在する認証方式の中から最適な認証方式の組み合わせを自動的に決定する手順を示す図である。
ここで、本実施形態において対象とする認証方式は、例えば以下が挙げられるが、これらには限られず、様々な認証方式が用いられてよい。
・パスワード認証
・4桁の暗証番号認証
・8桁の暗証番号認証
・パターン認証
・秘密の質問を用いた認証
・ワンタイムパスワード認証
・ワンタイムパターン認証
・SIM認証
・機器認証
・秘密鍵を用いた署名による認証
・乱数表による認証
・掌紋認証
・指紋認証
・顔認証
・てのひら静脈認証
・指静脈認証
・虹彩認証
・音声認証
・署名認証
・多要素認証
・画像認証(CAPTCHA)
・位置認証
・リスクベース認証
・多経路認証
FIG. 2 is a diagram showing a procedure for automatically determining an optimum combination of authentication methods from among the authentication methods existing in a wide variety of types in the authentication system 1 according to the present embodiment.
Here, for example, although the following authentication methods may be mentioned in the present embodiment, the present invention is not limited thereto, and various authentication methods may be used.
・ Password authentication ・ 4 digit password authentication ・ 8 digit password authentication ・ Pattern authentication ・ Authentication using secret question ・ One-time password authentication ・ One-time pattern authentication ・ SIM authentication ・ Device authentication ・ Use secret key Authentication by signature ・ Authentication by random number table ・ Handprint authentication ・ Fingerprint authentication ・ Face authentication ・ Uranium vein authentication ・ Finger vein authentication ・ Iris authentication ・ Voice authentication ・ Signature authentication ・ Multi-factor authentication ・ Image authentication (CAPTCHA)
-Position authentication-Risk based authentication-Multi-path authentication

(サービスポイント決定処理)
サービスポイント決定処理では、認証サーバ30又は事業者サーバ20の管理者が入力する次の3種類の項目から、対象となるサービスがどの程度の安全性を必要とするのかが決定される。
(Service point determination process)
In the service point determination process, it is determined from the following three types of items input by the administrator of the authentication server 30 or the provider server 20 how much the required service is required.

(a)被害内容の種別
サービス事業者の提供するサービスにおいて、不正者によるなりすましが行われた場合、どのような種類の被害を受けるかを想定し、被害内容の種別として、金銭、個人情報等の項目が入力される。
(A) Type of damage content In the service provided by the service provider, assuming that the type of damage will be suffered if a spoofer is spoofed, money, personal information, etc. will be used as the type of damage content. The item of is input.

(b)被害内容の数量
サービス事業者の提供するサービスにおいて、不正者によるなりすましが行われた場合、どの程度の被害を受けるかを想定し、被害内容の数量として、金額(金銭の場合)、件数(個人情報の場合)等の項目が入力される。
(B) Quantity of damage contents In the service provided by the service provider, assuming that the damage will be incurred if the spoofing by fraudsters is performed, the amount of damage contents will be the amount of money (in the case of money), Items such as the number (in the case of personal information) are input.

(c)被害内容の回収・削除困難性
サービス事業者の提供するサービスにおいて、不正者によるなりすましが行われた場合、受けた被害の回収又は削除がどの程度困難であるかを想定し、被害内容の回収・削除困難性として、回収困難率(金銭の場合)、削除困難率(個人情報の場合)等の項目が入力される。
(C) Difficulty in recovery and deletion of damage content In the service provided by the service provider, assuming that it is difficult to collect or delete the damage received, if the spoofing by an unauthorized person is performed, the damage content Items such as the collection difficulty rate (in the case of money) and the deletion difficulty rate (in the case of personal information) are input as the collection / deletion difficulty of

このとき、サービスポイントは下記の数式により算出される。
サービスポイント
=「金銭」における「金額」×「回収困難率」×Psr1
+「個人情報」における「件数」×「削除困難率」×Psr2
+「その他」における「数量」×「回収・削除困難率」×Psr3
At this time, the service point is calculated by the following equation.
Service Point = "Money""Money" x "Recovery ratio" x Psr1
+ "Number" in "Personal Information" × "Destruction difficulty rate" × Psr2
+ "Quantity" in "Others" × "Intractability / deletion ratio" × Psr3

ただし、Psr1、Psr2、Psr3は、以下を意味している。
・Psr1:「金銭」に関する被害内容を正規化するためのパラメータ
・Psr2:「個人情報」に関する被害内容を正規化するためのパラメータ
・Psr3:「その他」に関する被害内容を正規化するためのパラメータ
However, Psr1, Psr2, Psr3 mean the following.
・ Psr1: Parameter for normalizing the damage content on “Money” Psr2: Parameter for normalizing the damage content on “Personal Information” Psr3: Parameter for normalizing the damage content on “Others”

(ユーザビリティポイント決定処理)
ユーザビリティポイント決定処理では、サービスの利用者が入力する次の3種類の項目から、利用者がどの認証方式を優先的に使用したいのかが決定される。
(Usability point determination process)
In the usability point determination process, it is determined which authentication method the user wants to use preferentially from the following three items input by the service user.

(a)利用者選択の優先順位又はポイント
サービス事業者の提供するサービスを利用する上で、利用者がどの認証方式を優先的に選択したいのかを示す項目として、選択可能な認証方式と、その優先順位又はポイント(例えば、0〜100)等が入力される。
なお、優先順位が入力された場合には、所定の規則によりポイントに変換されてもよい。例えば、4種類の認証方式に1位から4位までの優先順位が指定された場合、1位が100ポイント、2位が75ポイント、3位が50ポイント、4位が25ポイントのように変換されてもよい。
また、特定の認証方式のみが優先される場合、例えば、この認証方式に対して100ポイントが入力され、他の認証方式には0ポイントが入力されてもよい。
(A) Priority of user selection or point In using services provided by a service provider, an authentication method that can be selected as an item indicating which authentication method the user wishes to select preferentially, and Priorities or points (for example, 0 to 100) are input.
When the priority is input, it may be converted into points according to a predetermined rule. For example, when the first to fourth priorities are specified for the four authentication methods, the first place is converted to 100 points, the second place to 75 points, the third place to 50 points, and the fourth place to 25 points. It may be done.
Moreover, when only a specific authentication method is prioritized, for example, 100 points may be input for this authentication method, and 0 points may be input for another authentication method.

(b)登録・認証経過時間
サービス事業者の提供するサービスを使用する上で、利用者が選択可能な認証方式において、パスワード又は生体情報等の認証に用いる情報の登録、及び認証処理にどのくらいの時間を要するかを示す項目として、選択可能な認証方式における登録・認証経過時間が入力される。
入力されるデータは、具体的な時間(分又は秒)でもよいし、段階的なレベル値でもよい。
(B) Registration / Authentication Elapsed Time In using the service provided by the service provider, in the authentication method selectable by the user, how long is it for registration of information used for authentication such as password or biometric information, and authentication processing? As an item indicating whether time is required, the registration / authentication elapsed time in the selectable authentication method is input.
The data to be input may be a specific time (minute or second) or a graded level value.

(c)登録・認証失敗回数
サービス事業者の提供するサービスを使用する上で、利用者が選択可能な認証方式において、登録・認証に成功するまでにどのくらいの回数失敗したのかを示す想定項目として、選択可能な認証方式における登録・認証失敗回数が入力される。
(C) Registration / Authentication Failure Count In using the service provided by the service provider, in the authentication method that can be selected by the user, it is an assumed item indicating how many times failed before registration / authentication succeeds The number of registration / authentication failures in the selectable authentication method is input.

このとき、ユーザビリティポイントは、主観的な指標である利用者選択のポイントと、客観的な指標である登録・認証経過時間及び登録・認証失敗回数とを用いて、例えば下記の数式により算出される。
ユーザビリティポイント
=認証方式における「利用者選択のポイント」×Pus1
+Pus2/(当該認証方式における「登録・認証経過時間」)
+Pus3/(当該認証方式における「登録・認証失敗回数」)
At this time, the usability point is calculated, for example, according to the following equation, using the user selection point, which is a subjective index, and the registration / authentication elapsed time and the registration / authentication failure frequency, which are objective indices. .
Usability point = "Point of user selection" in authentication method × Pus 1
+ Pus 2 / ("Registration / Authentication elapsed time" in the relevant authentication method)
+ Pus 3 / (Number of registration / authentication failures in this authentication method)

ただし、Pus1、Pus2、Pus3は、以下を意味している。
・Pus1:「利用者選択のポイント」を正規化するためのパラメータ
・Pus2:「登録・認証経過時間」を正規化するためのパラメータ
・Pus3:「登録・認証失敗回数」を正規化するためのパラメータ
However, Pus1, Pus2, and Pus3 mean the following.
-Pus1: Parameter for normalizing "point of user selection"-Pus2: Parameter for normalizing "registration and authentication elapsed time"-Pus3: for normalizing "number of registration and authentication failure" Parameter

(状況ポイント決定処理)
状況ポイント決定処理では、次の5種類の入力項目から、利用者が現在どのような状況に置かれているのかに応じて、どの認証方式の組み合わせを優先的に使用すべきかが決定される。
(Status point determination process)
In the situation point determination process, it is determined which combination of authentication methods should be preferentially used according to what situation the user is currently in, from the following five types of input items.

(a)ユーザビリティポイント
選択可能な認証方式と、この認証方式に対してユーザビリティポイント決定処理により算出されたユーザビリティポイントとが入力される。
(A) Usability point The selectable authentication method and the usability point calculated by the usability point determination process with respect to this authentication method are input.

(b)時間情報
サービス事業者の提供するサービスを使用する上で、利用者が対象の認証方式をいつ使用しようとしているのかを示す時間情報が入力される。
(B) Time information In using the service provided by the service provider, time information indicating when the user intends to use the target authentication method is input.

(c)位置情報
サービス事業者の提供するサービスを使用する上で、利用者が対象の認証方式をどこで使用しようとしているのかを示す位置情報が入力される。
(C) Location information In using the service provided by the service provider, location information indicating where the user intends to use the target authentication method is input.

(d)周辺情報
サービス事業者の提供するサービスを使用する上で、利用者が対象の認証方式をどのような状況で使用しようとしているのかを示す周辺情報が入力される。
周辺情報は、例えば、明るい場所なのか暗い場所なのか、静かな場所なのか騒がしい場所なのか、近くに人がいるのかいないのか等、選択される認証方式によって好都合又は不都合となり得る状況を表す項目である。
(D) Peripheral information In using the service provided by the service provider, peripheral information indicating the user's intention to use the target authentication method is input.
The peripheral information is an item that represents a situation that may be convenient or inconvenient depending on the selected authentication method, for example, whether it is a bright place or a dark place, a quiet place or a noisy place, or there are no people nearby. It is.

(e)移動手段情報
サービス事業者の提供するサービスを使用する上で、利用者が対象の認証方式をどのように移動しながら使用しようとしているのかを示す移動手段情報が入力される。
移動手段情報は、例えば、電車、歩き、静止等の種別を表す。
(E) Mobile Means Information In using the service provided by the service provider, mobile means information is input indicating how the user intends to use the target authentication method while moving.
The moving means information indicates, for example, the type of train, walking, stationary, and the like.

このとき、1つの認証方式における状況ポイントは、下記の数式により算出される。
1つの認証方式における状況ポイント
=「ユーザビリティポイント」
×f(Pst1,Pst2,Pst3,Pst4)×Pst5
At this time, the situation point in one authentication method is calculated by the following equation.
Status point in one authentication method = "usability point"
× f (Pst1, Pst2, Pst3, Pst4) × Pst5

ただし、f、Pst1、Pst2、Pst3、Pst4、Pst5は、以下を意味している。
・f:時間情報、位置情報、周辺情報、移動手段情報をパラメータとする関数
・Pst1:対象の認証方式が使用される時間情報を表すパラメータ
・Pst2:対象の認証方式が使用される位置情報を表すパラメータ
・Pst3:対象の認証方式が使用される周辺情報を表すパラメータ
・Pst4:対象の認証方式が使用される移動手段情報を表すパラメータ
・Pst5:対象の認証方式における状況ポイントを正規化するためのパラメータ
However, f, Pst1, Pst2, Pst3, Pst4, and Pst5 mean the following.
F: function using time information, position information, surrounding information, moving means information as parameters Pst1: parameter indicating time information when the target authentication method is used Pst 2: position information where the target authentication method is used Parameters representing Pst3: Parameter representing peripheral information in which the target authentication method is used Pst4: parameter representing transport means information in which the target authentication method is used Pst5: for normalizing status points in the target authentication method Parameters of

なお、fは、認証方式毎に異なる関数である。
例えば、音声認証であれば周辺情報としての周囲の音量(静かな場所なのか騒がしい場所なのか)が重要であるし、パスワード認証であれば、近くに人がいるかいないか(覗き見のリスクがあるかないか)が重要である。また、認証方式によって、時間情報、位置情報、周辺情報、移動手段情報それぞれの重要度が異なる。
このため、認証方式毎に、各情報の重み付けが適宜設定され、それぞれ異なる関数が設けられる。
Note that f is a function that differs for each authentication method.
For example, in the case of voice authentication, it is important to use the volume of the surrounding area (quiet place or noisy place) as the peripheral information, and in the case of password authentication, there may be people nearby (risk of watching) Is important). Further, the importance of time information, position information, surrounding information, and moving means information differs depending on the authentication method.
Therefore, the weighting of each information is appropriately set for each authentication method, and different functions are provided.

ここで、複数の認証方式を組み合わせる方法として、AND、OR、重み付けの3種類がある。認証方式の組み合わせに対する状況ポイントの算出方法、及び認証方式の実行順は次のようになる。
なお、以降の数式中で、M、n、Wiは、以下を意味している。
・M:状況ポイントを正規化する際の最大値
・n:認証方式を複数組み合わせた場合の認証方式の個数
・Wi:認証方式iにおける重み
Here, there are three methods of combining a plurality of authentication methods: AND, OR, and weighting. The calculation method of the situation point for the combination of authentication methods and the execution order of the authentication methods are as follows.
In the following formulas, M, n and Wi mean the following.
M: Maximum value when normalizing status points n: Number of authentication methods in the case of combining multiple authentication methods Wi: Weight in authentication method i

(ア)ANDの場合
組み合わせ方法がANDの場合における状況ポイントの算出方法は以下の通りである。

Figure 0006505573
(A) In the case of AND The method of calculating the situation point when the combination method is AND is as follows.
Figure 0006505573

ANDの場合における複数の認証方式は、状況ポイントが低い認証方式から順に、すなわち、利便性の低い認証方式から順に実行され、認証失敗時に要した手間が最小となるようにしてよい。   The plurality of authentication methods in the case of AND may be executed in order from the authentication method with the lowest status point, that is, from the authentication method with the least convenience, and the effort required at the time of authentication failure may be minimized.

(イ)ORの場合
組み合わせ方法がORの場合における状況ポイントの算出方法は以下の通りである。

Figure 0006505573
(A) In the case of OR The method of calculating the situation point when the combination method is OR is as follows.
Figure 0006505573

ORの場合における複数の認証方式は、状況ポイントが高い認証方式から順に、すなわち、利便性の高い認証方式から順に実行され、認証成功時に要した手間が最小となるようにしてよい。   The plurality of authentication methods in the case of OR may be executed in order from the authentication method in which the status point is high, that is, in order from the authentication method in high convenience, and the time required for successful authentication may be minimized.

(ウ)重み付けの場合
重み付けとは、例えば、以下のような方式である。
2種類の認証方式A及びBにおいて、認証方式Aの閾値に対して90%の照合率で認証失敗し、認証方式Bの閾値Bに対して150%の照合率で認証成功している場合を想定する。このとき、認証方式Aを0.6、認証方式Bを0.4の重み付けとした場合、照合率は、それぞれ54%及び60%に重み付けされ、両方共に重み付けされた平均の閾値50%を超え、認証成功となる。
(C) Weighting Weighting is, for example, the following method.
In the two types of authentication methods A and B, the case where authentication fails with a verification rate of 90% with respect to the threshold of authentication method A, and when authentication with a verification rate of 150% with respect to threshold B of authentication method B is successful. Suppose. At this time, assuming that the authentication method A is weighted by 0.6 and the authentication method B is weighted by 0.4, the collation rates are weighted at 54% and 60%, respectively, and both exceed 50% of the weighted average threshold , Authentication success.

組み合わせ方法が重み付けの場合における状況ポイントの算出方法は以下の通りである。

Figure 0006505573
The method of calculating the situation point when the combination method is weighting is as follows.
Figure 0006505573

重み付けの場合における複数の認証方式は、状況ポイントが低い認証方式から順に、すなわち、利便性の低い認証方式から順に実行され、認証失敗時に要した手間が最小となるようにしてよい。   The plurality of authentication methods in the case of weighting may be executed in order from the authentication method with the lowest status point, that is, from the authentication method with the low convenience, and the effort required at the time of authentication failure may be minimized.

(安全性ポイント決定処理)
安全性ポイント決定処理では、認証サーバ30の管理者が入力する次の4種類の項目から、各認証方式が単独で使用される場合にどの程度の安全性を有するのかが決定される。
(Safety point determination process)
In the security point determination process, from the following four types of items input by the administrator of the authentication server 30, it is determined what degree of security each authentication method has when used alone.

(a)全数攻撃の成功確率
各認証方式が単独で使用される場合、攻撃者が全数攻撃にどの程度の確率で成功するのかを示す全数攻撃の成功確率が入力される。全数攻撃とは、例えば、パスワード認証に対して、入力可能な全てのパスワードのパターンを試行する攻撃である。
(A) Success probability of an exhaustive attack When each authentication method is used alone, the success probability of the exhaustive attack indicating the probability with which the attacker succeeds in the exhaustive attack is input. The exhaustive attack is, for example, an attack that tries all possible password patterns for password authentication.

(b)特殊攻撃の成功確率
各認証方式が単独で使用される場合、攻撃者が全数攻撃以外の特殊攻撃にどの程度の確率で成功するのかを示す特殊攻撃の成功確率が特殊攻撃の種別と共に入力される。
(B) Success probability of special attack When each authentication method is used alone, the success probability of the special attack, which indicates the probability that the attacker succeeds in special attacks other than 100% attack, together with the special attack type It is input.

(c)攻撃費用
各認証方式が単独で使用される場合、攻撃者が各攻撃にどの程度の費用を要するのかを示す攻撃費用が攻撃の種別と共に入力される。
(C) Attack Cost When each authentication method is used alone, an attack cost indicating the cost of the attacker for each attack is input along with the type of attack.

(d)攻撃時間
各認証方式が単独で使用される場合、攻撃者が各攻撃にどの程度の時間を要するのかを示す攻撃時間が攻撃の種別と共に入力される。
(D) Attack time When each authentication method is used alone, an attack time that indicates how long an attacker requires for each attack is input along with the type of attack.

このとき、安全性ポイントは、下記の数式により算出される。
1つの認証方式における安全性ポイント
=Psc1/「全数攻撃の成功確率」
+Psc2/max(「特殊攻撃の種別」に対する「特殊攻撃の成功確率」)
+(上記の「特殊攻撃の種別」に対する「攻撃費用」)×Psc3
+(上記の「特殊攻撃の種別」に対する「攻撃時間」)×Psc4
At this time, the safety point is calculated by the following equation.
Security point in one authentication method = Psc 1 / "Probability probability of 100% attack"
+ Psc2 / max (“Probability of special attack success” against “type of special attack”)
+ ("Attack cost" for the "special attack type" above) × Psc3
+ ("Attack time" for the above "special attack type") × Psc4

ただし、Psc1、Psc2、Psc3、Psc4は、以下を意味している。
・Psc1:「全数攻撃の成功確率」を正規化するためのパラメータ
・Psc2:「特殊攻撃の成功確率」を正規化するためのパラメータ
・Psc3:「攻撃費用」を正規化するためのパラメータ
・Psc4:「攻撃時間」を正規化するためのパラメータ
However, Psc1, Psc2, Psc3 and Psc4 mean the following.
Psc1: Parameter for normalizing “success probability of 100% attack” Psc2: Parameter for normalizing “success probability of special attack” Psc3: Parameter for normalizing “attack cost” Psc4 : Parameter to normalize "attack time"

なお、成功確率が最も高い特殊攻撃が複数存在する場合には、安全性ポイント決定処理では、以下の順序で、特殊攻撃の絞込みが行われる。
(1)「攻撃費用」が少ない特殊攻撃。
(2)(1)において「攻撃費用」が同じ特殊攻撃が存在する場合、「攻撃時間」が短い特殊攻撃。
(3)(2)において「攻撃時間」も同じ特殊攻撃が存在する場合、最初に記述されている特殊攻撃。
When there are multiple special attacks with the highest success probability, in the security point determination process, the special attacks are narrowed down in the following order.
(1) Special attack with low "attack cost".
(2) If there is a special attack having the same "attack cost" in (1), the special attack whose "attack time" is short.
(3) The special attack described at the beginning when the same special attack exists in the “attack time” in (2).

(認証ポイント決定処理)
認証ポイント決定処理では、認証サーバ30の管理者が入力する次の4種類の項目から、各認証方式が他の方式と組み合わされて使用される場合にどの程度の安全性を有するのかが決定される。
(Authentication point determination process)
In the authentication point determination process, from the following four types of items input by the administrator of the authentication server 30, it is determined what degree of security each authentication method has when used in combination with other methods. Ru.

(a)安全性ポイント
選択可能な認証方式と、この認証方式に対して安全性ポイント決定処理により算出された安全性ポイントとが入力される。
(A) Security Point A selectable authentication method and a security point calculated by the security point determination process for this authentication method are input.

(b)ワンタイム性
各認証方式が一時的な情報を使用するか固定された情報を使用するかを示すワンタイム性が入力される。ワンタイム性は、例えば0〜1の値であり、情報が複数回使用される場合は0と1との間の値となる。
(B) One-time property One-time property indicating whether each authentication method uses temporary information or fixed information is input. The one-time property is, for example, a value of 0 to 1 and is a value between 0 and 1 when the information is used a plurality of times.

(c)所有物認証性
各認証方式が利用者の所有物による認証であるか否かを示す所有物認証性が入力される。
所有物による認証では、利用者が対象物を持っているか否かにより本人性を確認するので、対象物を盗まれるリスクがあるが、他の認証方式と組み合わせることにより安全性が高まる。そこで、認証ポイント決定処理では、この所有物認証性により、認証方式の組み合わせに対する安全性ポイントが調整される。
(C) Ownership authentication property Ownership authentication is input indicating whether each authentication method is authentication by the user's possession.
In the case of the authentication by possession, since the identity is confirmed based on whether or not the user has the object, there is a risk that the object is stolen, but the security is enhanced by combining with other authentication methods. Therefore, in the authentication point determination process, the security point for the combination of authentication methods is adjusted by the possession item authentication property.

(d)多要素性
各認証方式が複数の認証方式を組み合わせて使用されるか否かを示す多要素性が入力される。
(D) Multi-factor property Multi-factor property indicating whether each authentication scheme is used in combination of a plurality of authentication schemes is input.

このとき、認証方式i(認証ポイントi)と認証方式j(認証ポイントj)とを組み合わせた場合の認証ポイント(i,j)は、下記の数式により算出される。
(ア)認証方式i∧認証方式jの場合
認証ポイント(i,j)=max(認証ポイントi,認証ポイントj)
(イ)認証方式i∨認証方式jの場合
認証ポイント(i,j)=min(認証ポイントi,認証ポイントj)
(ウ)各認証方式に重みがある場合
認証ポイント(i,j)=認証ポイントi×Wi+認証ポイントj×Wj
At this time, an authentication point (i, j) when the authentication method i (authentication point i) and the authentication method j (authentication point j) are combined is calculated by the following equation.
(A) In the case of authentication method i 認証 authentication method j Authentication point (i, j) = max (authentication point i, authentication point j)
(A) In the case of authentication method i∨ authentication method j Authentication point (i, j) = min (authentication point i, authentication point j)
(C) When each authentication method has a weight Authentication point (i, j) = authentication point i x Wi + authentication point j x Wj

なお、各認証方式における認証ポイントk(k=iのときk’=j、k=jのときk’=iとする)の算出方法は、以下の通りである。
認証ポイントk
=「安全性ポイント」
×(1+「ワンタイム性」)
×(1+「所有物認証性」×Pau1)
×(1+「多要素性」×Pau2)
×Pau3
The method of calculating the authentication point k (k ′ = j when k = i and k ′ = i when k = j) in each authentication method is as follows.
Authentication point k
= "Safety point"
× (1 + "one-time")
× (1 + "authentic property authentic" × Pau 1)
× (1 + "multiple elements" × Pau 2)
× Pau3

ただし、Pau1、Pau2、Pau3は、以下を意味している。
・Pau1:認証方式kが所有物認証であり、かつ認証方式k’が所有物認証でない場合のみ1になるパラメータ
・Pau2:認証方式kが多要素認証可能であり、かつ、認証方式k’も多要素認証可能である場合のみ1になるパラメータ
・Pau3:各認証方式における認証ポイントを正規化するためのパラメータ
However, Pau1, Pau2 and Pau3 mean the following.
Pau1: A parameter which becomes 1 only when the authentication method k is the possessed object authentication and the authentication method k 'is not the possessed object authentication. Pau 2: the multi-factor authentication of the authentication method k is possible, and Parameter that becomes 1 only when multi-factor authentication is possible Pau 3: Parameter for normalizing the authentication point in each authentication method

(認証方式決定処理)
認証方式決定処理では、サービスポイント、状況ポイント及び認証ポイントの各ポイントを入力として、利便性及び安全性に関して最もバランスのとれた認証方式の組み合わせが決定される。
(Authentication method determination process)
In the authentication method determination process, the service point, the status point and each point of the authentication point are input, and a combination of the most balanced authentication methods in terms of convenience and security is determined.

図3は、本実施形態に係る認証方式の組み合わせ決定処理の一例を示すフローチャートである。
なお、予め対象サービスのサービスポイントと、想定される認証方式の組み合わせ毎の状況ポイント及び認証ポイントとが決定されているものとする。
FIG. 3 is a flowchart showing an example of an authentication method combination determination process according to the present embodiment.
In addition, it is assumed that the service point of the target service and the situation point and the authentication point for each combination of the assumed authentication methods are determined in advance.

ステップS1において、認証サーバ30は、状況ポイントが0より大きい認証方式の組み合わせを抽出する。   In step S1, the authentication server 30 extracts a combination of authentication methods whose status points are greater than zero.

ステップS2において、認証サーバ30は、ステップS1で抽出された組み合わせのうち、認証ポイントがサービスポイント以上である認証方式の組み合わせを抽出する。   In step S2, the authentication server 30 extracts, from among the combinations extracted in step S1, a combination of authentication methods in which the authentication point is equal to or higher than the service point.

ステップS3において、認証サーバ30は、ステップS2で抽出された組み合わせのうち、認証ポイントとサービスポイントとの差が最小のもの、すなわち、サービスポイントに比べて認証ポイントが高過ぎない認証方式の組み合わせを抽出する。   In step S3, the authentication server 30 selects a combination of authentication methods in which the difference between the authentication point and the service point is the smallest among the combinations extracted in step S2, that is, the authentication point is not too high compared to the service point. Extract.

ステップS4において、認証サーバ30は、ステップS3で抽出された組み合わせのうち、状況ポイントが最大のもの、すなわち、利用者の利便性が高い認証方式の組み合わせを抽出する。   In step S4, the authentication server 30 extracts, among the combinations extracted in step S3, one having the largest status point, that is, a combination of authentication methods with high user convenience.

本処理では、認証サーバ30は、ステップS3において、「認証ポイントとサービスポイントとの差が最小」という条件で認証方式の絞り込みを行ったが、これには限られず、例えば、差が所定以内の認証方式の組み合わせを複数抽出してもよい。   In this process, the authentication server 30 narrows down the authentication method on the condition that “the difference between the authentication point and the service point is minimum” in step S3, but this is not a limitation. For example, the difference is within a predetermined range A plurality of combinations of authentication methods may be extracted.

次に、認証システム1において利用者端末10がサービスの提供を受けるまでに、各装置(利用者端末10、事業者サーバ20、認証サーバ30)間で連携される処理の流れを詳述する。   Next, the flow of processing performed in cooperation among the respective devices (the user terminal 10, the business server 20, the authentication server 30) until the user terminal 10 receives the provision of the service in the authentication system 1 will be described.

図4は、本実施形態に係る入力情報の登録処理を示すシーケンス図である。
本処理では、利用者端末10に対応する前述のユーザビリティポイントを決定するために、利用者端末10が認証方式の優先順位若しくはポイント、登録・認証経過時間及び登録・認証失敗回数の少なくともいずれかを含む入力情報を認証サーバ30に登録する。
FIG. 4 is a sequence diagram showing registration processing of input information according to the present embodiment.
In this processing, in order to determine the above-mentioned usability points corresponding to the user terminal 10, the user terminal 10 has at least one of the priority or point of the authentication method, the registration / authentication elapsed time, and the number of registration / authentication failures. The input information to be included is registered in the authentication server 30.

ステップS11において、利用者端末10は、認証サーバ30に認証方式の優先順位登録要求を送信する。   In step S11, the user terminal 10 transmits, to the authentication server 30, a priority registration request of the authentication method.

ステップS12において、認証サーバ30は、ステップS11で受け取った要求に対して、認証方式の優先順位登録応答を利用者端末10に送信する。   In step S12, in response to the request received in step S11, the authentication server 30 transmits a priority registration response of the authentication method to the user terminal 10.

ステップS13において、利用者端末10は、各認証方式に対する優先順位又はポイント、登録・認証経過時間及び登録・認証失敗回数の入力情報を受け付ける。   In step S13, the user terminal 10 receives input information of priority or points for each authentication method, registration / authentication elapsed time, and registration / authentication failure number.

ステップS14において、利用者端末10は、ステップS13で受け付けた入力情報の記載ファイルを認証サーバ30に送信する。   In step S14, the user terminal 10 transmits the description file of the input information accepted in step S13 to the authentication server 30.

ステップS15において、認証サーバ30は、ステップS14で受信したファイルのフォーマット及び数値データの範囲等の正当性を検証し、検証OKならば入力情報を登録し、検証NGならば登録しない。   In step S15, the authentication server 30 verifies the legitimacy of the format of the file and the range of numerical data received in step S14, registers the input information if the verification is OK, and does not register the verification NG.

ステップS16において、認証サーバ30は、ステップS15の検証及び登録の結果(OK/NG)を利用者端末に送信する。   In step S16, the authentication server 30 transmits the result (OK / NG) of the verification and registration of step S15 to the user terminal.

ステップS17において、利用者端末10は、ステップS16で受信した登録結果に対し、登録OKならばステップS14で送信したファイルを保存し、登録NGならば当該ファイルを保存しない。   In step S17, the user terminal 10 saves the file transmitted in step S14 if registration is OK for the registration result received in step S16, and does not save the file if registration is NG.

図5は、本実施形態に係る認証方式を利用するための照合情報登録処理を示すシーケンス図である。
本処理では、認証サーバ30で認証を実施するために、利用者端末10が認証方式毎のパスワード又は生体情報等の照合情報を認証サーバ30に登録する。
FIG. 5 is a sequence diagram showing collation information registration processing for using the authentication method according to the present embodiment.
In this process, the user terminal 10 registers verification information such as a password for each authentication method or biometric information in the authentication server 30 in order to perform authentication in the authentication server 30.

ステップS21において、利用者端末10は、認証サーバ30に認証方式の情報登録要求を送信する。   In step S21, the user terminal 10 transmits an authentication method information registration request to the authentication server 30.

ステップS22において、認証サーバ30は、ステップS21で受信した要求に対して、認証方式の情報登録応答と認証方式リスト要求とを利用者端末10に送信する。   In step S22, the authentication server 30 transmits an authentication method information registration response and an authentication method list request to the user terminal 10 in response to the request received in step S21.

ステップS23において、利用者端末10は、ステップS22で受信した要求に対し、情報を登録する認証方式のリストを認証サーバ30に送信する。   In step S23, in response to the request received in step S22, the user terminal 10 transmits, to the authentication server 30, a list of authentication methods for registering information.

ステップS24において、認証サーバ30は、ステップS23で受信した認証方式リストに応じて、認証方式の登録情報要求を利用者端末10に送信する。   In step S24, the authentication server 30 transmits an authentication method registration information request to the user terminal 10 according to the authentication method list received in step S23.

ステップS25において、利用者端末10は、各認証方式に対する登録情報の入力を受け付ける。   In step S25, the user terminal 10 receives an input of registration information for each authentication method.

ステップS26において、利用者端末10は、ステップS25で受け付けた登録情報を認証サーバ30に送信する。   In step S26, the user terminal 10 transmits the registration information accepted in step S25 to the authentication server 30.

ステップS27において、認証サーバ30は、ステップS26で受信した登録情報が有効なデータであることを検証し、検証OKならば登録情報を登録し、検証NGならば当該情報を登録しない。   In step S27, the authentication server 30 verifies that the registration information received in step S26 is valid data, registers the registration information if the verification is OK, and does not register the information if the verification is NG.

ステップS28において、認証サーバ30は、ステップS27の登録結果(OK/NG)を利用者端末10に送信する。認証サーバ30は、ステップS23で受信した認証方式リストに記載されている全ての認証方式の情報が登録されていればステップS29に処理を進め、登録されていなければステップS24〜S28を繰り返す。   In step S28, the authentication server 30 transmits the registration result (OK / NG) of step S27 to the user terminal 10. If the information of all the authentication methods described in the authentication method list received in step S23 is registered, the authentication server 30 proceeds to step S29. If not registered, the authentication server 30 repeats steps S24 to S28.

ステップS29において、認証サーバ30は、登録完了応答を利用者端末10に送信する。   In step S29, the authentication server 30 transmits a registration completion response to the user terminal 10.

図6は、本実施形態に係る認証方式の選定及び認証の処理を示すシーケンス図である。
本処理では、利用者端末10、事業者サーバ20及び認証サーバ30の3者間の連携により、認証方式の選定と選定された方式による認証とが実施される。
FIG. 6 is a sequence diagram showing processing of selection of an authentication method and authentication according to the present embodiment.
In this process, selection of an authentication method and authentication according to the selected method are carried out by cooperation between the user terminal 10, the business server 20, and the authentication server 30.

ステップS31において、利用者端末10は、事業者サーバ20にサービス要求を送信する。   In step S31, the user terminal 10 transmits a service request to the business server 20.

ステップS32において、事業者サーバ20は、ステップS31で受信した要求に対して、サービス応答と前述のサービスポイントとを利用者端末10に送信する。   In step S32, in response to the request received in step S31, the provider server 20 transmits a service response and the service point described above to the user terminal 10.

ステップS33において、利用者端末10は、ステップS32で受信した応答に対して、認証サーバ30にサービスリダイレクト応答と共にサービスポイントを送信する。   In step S33, in response to the response received in step S32, the user terminal 10 transmits the service point along with the service redirect response to the authentication server 30.

ステップS34において、認証サーバ30は、ステップS33で受信した応答に対して、利用者端末10に端末情報要求を送信する。   In step S34, the authentication server 30 sends a terminal information request to the user terminal 10 in response to the response received in step S33.

ステップS35において、利用者端末10は、端末情報として、前述の状況ポイントを算出するための時間情報、位置情報、周辺情報及び移動手段情報を取得する。   In step S35, the user terminal 10 acquires, as terminal information, time information, position information, surrounding information, and moving means information for calculating the aforementioned situation points.

ステップS36において、利用者端末10は、ステップS34で受信した要求に対して、認証サーバ30に端末情報を送信する。   In step S36, the user terminal 10 transmits terminal information to the authentication server 30 in response to the request received in step S34.

ステップS37において、認証サーバ30は、ステップS33で受信したサービスポイント、ステップS36で受信した端末情報に基づいて算出される状況ポイント、及び認証ポイントから認証方式を自動的に選定する。   In step S37, the authentication server 30 automatically selects an authentication method from the service point received in step S33, the status point calculated based on the terminal information received in step S36, and the authentication point.

ステップS38において、認証サーバ30は、ステップS37で選定した認証方式毎に、利用者端末10に認証要求を送信する。
なお、複数の認証方式を組み合わせる場合には、組み合わせ方として、AND、OR、重み付けの3種類がある。AND又は重み付けの場合は、状況ポイントが低い認証方式から順に実施し、ORの場合は、状況ポイントが高い認証方式から実施する。
In step S38, the authentication server 30 transmits an authentication request to the user terminal 10 for each of the authentication methods selected in step S37.
When combining a plurality of authentication methods, there are three types of combining, AND, OR, and weighting. In the case of AND or weighting, the authentication method is performed in order from the authentication method with the lowest status point, and in the case of OR, the authentication method is performed with the highest status point.

ステップS39において、利用者端末10は、各認証方式に対する認証情報の入力を受け付ける。   In step S39, the user terminal 10 receives an input of authentication information for each authentication method.

ステップS40において、利用者端末10は、ステップS39で受け付けた認証情報を認証サーバ30に送信する。   In step S40, the user terminal 10 transmits the authentication information accepted in step S39 to the authentication server 30.

ステップS41において、認証サーバ30は、ステップS40で受信した認証情報と、事前に登録した登録情報とを照合する。   In step S41, the authentication server 30 collates the authentication information received in step S40 with the registration information registered in advance.

ステップS42において、認証サーバ30は、ステップS41で行った照合の結果(OK/NG)を利用者端末10に送信する。認証サーバ30は、ステップS37で選定された認証方式による認証が完了していればステップS43に処理を進め、完了していなければステップS38〜S42を繰り返す。   In step S42, the authentication server 30 transmits the result (OK / NG) of the collation performed in step S41 to the user terminal 10. If the authentication by the authentication method selected in step S37 is completed, the authentication server 30 advances the process to step S43, and if not completed, repeats steps S38 to S42.

ステップS43において、認証サーバ30は、ステップS38〜S42で繰り返し行った照合結果から得られた認証結果(OK/NG)を利用者端末10に送信する。   In step S43, the authentication server 30 transmits, to the user terminal 10, the authentication result (OK / NG) obtained from the collation result repeatedly performed in steps S38 to S42.

ステップS44において、利用者端末10は、ステップS43で得られた認証結果が認証OKならば事業者サーバ20に認証成功リダイレクト応答を送信し、認証NGならば強制終了する。   In step S44, the user terminal 10 transmits an authentication success redirect response to the business server 20 if the authentication result obtained in step S43 is authentication OK, and forcibly terminates if the authentication NG.

ステップS45において、事業者サーバ20は、ステップS44で受信した応答を検証し、検証OKならば認証サーバ30にトークン要求を送信し、検証NGならば強制終了する。   In step S45, the provider server 20 verifies the response received in step S44, and if the verification is OK, transmits a token request to the authentication server 30, and if the verification is NG, the process is forcibly terminated.

ステップS46において、認証サーバ30は、ステップS45で受信した要求を検証し、要求元が認証に成功した利用者端末10である(検証OK)ならばトークンを発行し、検証NGならば強制終了する。   In step S46, the authentication server 30 verifies the request received in step S45, issues a token if the request source is the user terminal 10 that has succeeded in the authentication (verification OK), and forcibly terminates if the verification is NG .

ステップS47において、認証サーバ30は、ステップS46で発行したトークンを事業者サーバ20に送信する。   In step S47, the authentication server 30 transmits the token issued in step S46 to the business server 20.

ステップS48において、事業者サーバ20は、ステップS47で受信した応答を検証し、検証OKならば利用者端末10にサービスを提供し、検証NGならば強制終了する。   In step S48, the provider server 20 verifies the response received in step S47, and if the verification is OK, the service is provided to the user terminal 10, and if the verification is NG, the process is forcibly terminated.

本実施形態によれば、利用者端末10、事業者サーバ20、認証サーバ30の3者間において、多種多様に存在する認証方式を統合するための認証システム1を実現した。
認証システム1は、サービス毎にサービスポイントを管理し、認証方式の組み合わせ毎に認証ポイントを管理する。そして、認証システム1は、認証ポイントがサービスポイント以上である認証方式の組み合わせのうち、認証ポイント及びサービスポイントの差分が小さい組み合わせを優先して決定する。したがって、認証システム1は、サービスに応じて必要とされる安全性を満たし、かつ、サービスポイントに比べて認証ポイントが高過ぎない認証方式の組み合わせを適切に決定できる。
According to the present embodiment, the authentication system 1 for integrating various authentication methods among the three of the user terminal 10, the business server 20, and the authentication server 30 is realized.
The authentication system 1 manages service points for each service, and manages authentication points for each combination of authentication methods. Then, the authentication system 1 preferentially determines a combination having a small difference between the authentication point and the service point among the combinations of authentication methods in which the authentication point is equal to or higher than the service point. Therefore, the authentication system 1 can appropriately determine the combination of authentication methods that satisfy the security required for the service and that the authentication point is not too high compared to the service point.

また、認証システム1は、認証方式の組み合わせ毎に状況ポイントを算出し、この状況ポイントが大きい組み合わせを優先して決定する。したがって、認証システム1は、サービスに応じて必要とされる安全性を満たし、かつ、サービスポイントに比べて認証ポイントが高過ぎない、さらに、利用者の利便性が高いものを優先して、認証方式の組み合わせを適切に決定できる。
このとき、認証システム1は、時刻情報、位置情報、周辺情報及び移動手段情報をパラメータとする認証方式毎に異なる関数を用いて状況ポイントを算出するので、認証時点におけるユーザの状況を認証方式に応じて適切に評価し、認証方式の組み合わせを適切に決定できる。
Further, the authentication system 1 calculates a situation point for each combination of authentication methods, and prioritizes and determines a combination having a large situation point. Therefore, the authentication system 1 satisfies the security required according to the service, and the authentication point is not too high compared to the service point, and the authentication is given priority in preference to the user having high convenience. The combination of methods can be properly determined.
At this time, the authentication system 1 calculates the situation point using a different function for each authentication method using the time information, the position information, the surrounding information, and the moving means information as parameters, so the user's situation at the time of authentication becomes the authentication method. It is possible to appropriately evaluate and decide the combination of authentication methods appropriately.

また、認証システム1は、ユーザの入力情報に基づいてユーザビリティポイントを算出することにより、ユーザの利便性をより適切に評価して、認証方式の組み合わせを適切に決定できる。
さらに、認証システム1は、認証方式の組み合わせのパターン(AND、OR又は重み付け)に応じて、それぞれ異なる計算式により状況ポイント及び認証ポイントを算出する。したがって、認証システム1は、認証方式の組み合わせ方を区別して、各ポイントをより適切に求めることができ、認証方式の組み合わせを適切に決定できる。
Further, the authentication system 1 can appropriately determine the combination of the authentication methods by more appropriately evaluating the convenience of the user by calculating the usability points based on the input information of the user.
Furthermore, the authentication system 1 calculates the situation point and the authentication point according to different calculation formulas according to the combination pattern (AND, OR or weighting) of the authentication scheme. Therefore, the authentication system 1 can distinguish each combination method of the authentication method, can obtain each point more appropriately, and can appropriately determine the combination of the authentication method.

また、認証システム1は、状況ポイントの大きさにより認証方式の実行順を決定するので、複数の認証方式を組み合わせた際の利用者の負担を低減できる。   In addition, since the authentication system 1 determines the execution order of the authentication method based on the size of the situation point, the burden on the user when combining a plurality of authentication methods can be reduced.

また、認証システム1は、攻撃の種別毎の成功確率、費用又は時間に基づいて安全性ポイントを算出するので、様々な攻撃を想定して認証方式の安全性をより適切に評価し、認証方式の組み合わせを適切に決定できる。
このとき、認証システム1は、全数攻撃と特殊攻撃とを区別し、さらに、攻撃成功確率が最大の特殊攻撃の情報を用いて安全性ポイントを算出するので、認証方式毎の安全性をより適切に評価でき、この結果、認証方式の組み合わせを適切に決定できる。
In addition, since the authentication system 1 calculates security points based on the success probability, cost, or time for each type of attack, the security of the authentication method is more appropriately evaluated on the assumption of various attacks, and the authentication method is performed. The combination of can be properly determined.
At this time, the authentication system 1 distinguishes between an exhaustive attack and a special attack, and further calculates security points using information on the special attack with the highest probability of successful attack, so the security for each authentication method is more appropriate. As a result, the combination of authentication methods can be properly determined.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not limited to embodiment mentioned above. Further, the effects described in the present embodiment only list the most preferable effects arising from the present invention, and the effects according to the present invention are not limited to those described in the present embodiment.

本実施形態では、利用者端末10から受信した情報に基づいて認証サーバ30がユーザビリティポイント及び状況ポイントを算出したが、これには限られない。例えば、利用者端末10がユーザビリティポイント及び状況ポイントを算出し、認証サーバ30へ提供してもよい。   In the present embodiment, the authentication server 30 calculates the usability points and the situation points based on the information received from the user terminal 10. However, the present invention is not limited to this. For example, the user terminal 10 may calculate usability points and situation points and provide them to the authentication server 30.

本実施形態では、事業者サーバ20により提供されるサービスについての認証を認証サーバ30が実施したが、事業者サーバ20と認証サーバ30とが同一、すなわち事業者サーバ20が認証サーバ30の機能を備えていてもよい。   In this embodiment, the authentication server 30 carries out the authentication of the service provided by the business server 20. However, the business server 20 and the authentication server 30 are identical, that is, the business server 20 has the function of the authentication server 30. You may have.

認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(利用者端末10、事業者サーバ20、認証サーバ30)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータ(利用者端末10、事業者サーバ20、認証サーバ30)に提供されてもよい。   The authentication method by the authentication system 1 is realized by software. When realized by software, a program that configures this software is installed in the information processing apparatus (user terminal 10, business server 20, authentication server 30). Also, these programs may be recorded on removable media such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Furthermore, these programs may be provided to the user's computer (user terminal 10, business server 20, authentication server 30) as a Web service via a network without being downloaded.

1 認証システム
10 利用者端末
11 認証要求部
12 入力部
13 入力情報送信部
14 端末情報取得部
15 端末情報送信部
16 認証情報送信部
20 事業者サーバ
21 サービスポイント管理部
22 要求処理部
23 サービス提供部
30 認証サーバ
31 サービスポイント取得部
32 認証ポイント管理部
33 ユーザビリティポイント決定部
34 状況ポイント決定部
35 認証方式決定部
36 認証処理部
DESCRIPTION OF SYMBOLS 1 authentication system 10 user terminal 11 authentication request part 12 input part 13 input information transmission part 14 terminal information acquisition part 15 terminal information transmission part 16 authentication information transmission part 20 provider server 21 service point management part 22 request processing part 23 service provision Part 30 authentication server 31 service point acquisition part 32 authentication point management part 33 usability point determination part 34 status point determination part 35 authentication method determination part 36 authentication processing part

Claims (10)

サービスを利用する利用者端末、前記サービスを提供する事業者サーバ及び利用者の認証を行う認証サーバを有する認証システムであって、
前記利用者端末は、
前記サービスの要求を行う認証要求部と、
前記認証サーバにおいて決定された認証方式それぞれに対する認証情報を送信する認証情報送信部と、を備え、
前記事業者サーバは、
前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出された、前記サービスが必要とする認証の安全性を示すサービスポイントを管理するサービスポイント管理部を備え、
前記認証サーバは、
前記認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された、前記認証方式の組み合わせにより得られる安全性を示す認証ポイントを管理する認証ポイント管理部と、
前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定する認証方式決定部と、
前記認証方式決定部により決定された認証方式の組み合わせそれぞれに対して、前記認証情報を受信し、認証処理を行う認証処理部と、を備える認証システム。
An authentication system comprising: a user terminal that uses a service; an enterprise server that provides the service; and an authentication server that authenticates the user,
The user terminal is
An authentication request unit for requesting the service;
An authentication information transmission unit for transmitting authentication information for each of the authentication methods determined in the authentication server;
The operator server is
The security of the authentication required by the service, calculated by integrating the number of damage contents and the index based on the difficulty of recovery or deletion of the damage contents for each type of damage contents assumed in the service It has a service point management unit that manages service points that
The authentication server is
A combination of the authentication methods calculated based on at least one of the one-time property, the property authentication property, and the multifactorial index, in addition to the security point indicating the security against the attack for each authentication method. An authentication point management unit that manages an authentication point indicating security obtained by the
An authentication method determination unit that preferentially determines a combination having a small difference between the authentication point and the service point among combinations of the authentication methods in which the authentication point is the service point or more;
An authentication processing unit that receives the authentication information for each combination of authentication methods determined by the authentication method determination unit, and performs an authentication process.
前記利用者端末は、
認証実行時の時刻情報、位置情報、周辺情報及び移動手段情報のうち、少なくともいずれかの端末情報を取得する取得部と、
前記端末情報を送信する端末情報送信部と、を備え、
前記認証サーバは、
前記認証方式毎の利用者の利便性を示すユーザビリティポイント及び前記端末情報に基づいて、認証実行時における前記認証方式の組み合わせの優先度を示す状況ポイントを算出する状況ポイント決定部を備え、
前記認証方式決定部は、前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記状況ポイントが大きい組み合わせを優先して決定する請求項1に記載の認証システム。
The user terminal is
An acquisition unit for acquiring at least one of terminal information among time information at the time of authentication execution, position information, peripheral information, and moving means information;
A terminal information transmission unit that transmits the terminal information;
The authentication server is
The situation point determination unit calculates a situation point indicating the priority of the combination of the authentication methods at the time of performing authentication based on the usability information indicating convenience of the user for each authentication method and the terminal information.
The authentication system according to claim 1, wherein the authentication method determination unit prioritizes and determines a combination in which the status point is large among combinations of the authentication methods in which the authentication point is the service point or more.
前記状況ポイント決定部は、前記端末情報をパラメータとする、前記認証方式毎に異なる関数を用いて前記状況ポイントを算出する請求項2に記載の認証システム。   The authentication system according to claim 2, wherein the situation point determination unit calculates the situation point using a function different from one authentication method to another using the terminal information as a parameter. 前記利用者端末は、
前記認証方式毎に、前記利用者が選択する優先順位若しくはポイント、登録・認証手続きに要する時間、及び登録・認証失敗の頻度に基づく指標のうち、少なくともいずれかの入力情報を受け付ける入力部と、
前記入力情報を送信する入力情報送信部と、を備え、
前記認証サーバは、
前記認証方式毎に、前記入力情報に基づいて、前記ユーザビリティポイントを算出するユーザビリティポイント決定部を備える請求項2又は請求項3に記載の認証システム。
The user terminal is
An input unit that receives input information of at least one of a priority or a point selected by the user, a time required for a registration / authentication procedure, and an index based on a frequency of registration / authentication failure for each authentication method;
An input information transmission unit for transmitting the input information;
The authentication server is
The authentication system according to claim 2, further comprising: a usability point determination unit that calculates the usability point based on the input information for each of the authentication methods.
前記状況ポイント決定部は、前記認証方式の組み合わせがAND、OR又は重み付けのいずれのパターンであるかに応じて、それぞれ異なる計算式を用いて前記状況ポイントを算出する請求項2から請求項4のいずれかに記載の認証システム。   The situation point determination unit calculates the situation point using different calculation formulas depending on whether the combination of the authentication methods is an AND, an OR, or a weighting pattern. The authentication system described in any one. 前記認証方式の組み合わせにおいて、各認証方式の実行順は、前記パターン毎に当該認証方式の単独での状況ポイントの大きさにより決定される請求項5に記載の認証システム。   The authentication system according to claim 5, wherein in the combination of the authentication methods, the execution order of each authentication method is determined for each of the patterns by the size of a single situation point of the authentication method. 前記安全性ポイントは、前記攻撃の種別毎の攻撃成功確率、攻撃に要する費用及び時間のうち、少なくともいずれかに基づいて算出される請求項1から請求項6のいずれかに記載の認証システム。   The authentication system according to any one of claims 1 to 6, wherein the security point is calculated based on at least one of an attack success probability for each type of attack, a cost required for an attack, and a time. 前記安全性ポイントは、全数攻撃の成功確率に基づく指標と、前記全数攻撃以外の特殊攻撃のうち攻撃成功確率が最大の攻撃に関する当該攻撃成功確率、攻撃に要する費用及び時間に基づく指標とを統合して算出される請求項7に記載の認証システム。   The security point combines an index based on the success probability of the 100% attack, and an attack success probability regarding an attack having the highest attack success probability among the special attacks other than the 100% attack, an index based on cost and time required for the attack The authentication system according to claim 7, which is calculated. 前記認証ポイントは、前記認証方式の組み合わせがAND、OR又は重み付けのいずれであるかに応じて、それぞれ異なる計算式を用いて算出される請求項1から請求項8のいずれかに記載の認証システム。   The authentication system according to any one of claims 1 to 8, wherein the authentication point is calculated using different calculation formulas depending on whether the combination of the authentication methods is AND, OR or weighting. . 事業者サーバにより提供されるサービスを利用する利用者の認証を行う認証サーバであって、
前記サービスにおいて想定される被害内容の種別毎の、当該被害内容の数量、及び当該被害内容の回収又は削除の困難性に基づく指標を統合して算出され前記事業者サーバにおいて管理されている、前記サービスが必要とする認証の安全性を示すサービスポイントを、利用者端末を経由して受信するサービスポイント取得部と、
認証方式毎の攻撃に対する安全性を示す安全性ポイントに加えて、ワンタイム性、所有物認証性及び多要素性の指標のうち、少なくともいずれかに基づいて算出された、前記認証方式の組み合わせにより得られる安全性を示す認証ポイントを管理する認証ポイント管理部と、
前記認証ポイントが前記サービスポイント以上である前記認証方式の組み合わせのうち、前記認証ポイント及び前記サービスポイントの差分が小さい組み合わせを優先して決定する認証方式決定部と、
前記認証方式決定部により決定された認証方式の組み合わせそれぞれに対して、前記利用者端末から認証情報を受信し、認証処理を行う認証処理部と、を備える認証サーバ。
An authentication server for authenticating a user who uses a service provided by a business entity server, comprising:
The number of damage contents and the index based on the difficulty of collecting or deleting the damage contents for each type of damage contents assumed in the service are integrated and calculated and managed in the business server A service point acquisition unit that receives a service point indicating the security of the authentication required by the service via the user terminal;
In addition to security points indicating security against attacks for each authentication method, a combination of the authentication methods calculated based on at least one of the one-time property, the property authentication property, and the multifactorial index. An authentication point management unit that manages an authentication point indicating security obtained;
An authentication method determination unit that preferentially determines a combination having a small difference between the authentication point and the service point among combinations of the authentication methods in which the authentication point is the service point or more;
An authentication processing unit that receives authentication information from the user terminal for each of the combinations of authentication methods determined by the authentication method determination unit, and performs an authentication process.
JP2015199273A 2015-10-07 2015-10-07 Authentication system, authentication server, business server and user terminal Expired - Fee Related JP6505573B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015199273A JP6505573B2 (en) 2015-10-07 2015-10-07 Authentication system, authentication server, business server and user terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015199273A JP6505573B2 (en) 2015-10-07 2015-10-07 Authentication system, authentication server, business server and user terminal

Publications (2)

Publication Number Publication Date
JP2017072979A JP2017072979A (en) 2017-04-13
JP6505573B2 true JP6505573B2 (en) 2019-04-24

Family

ID=58537180

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015199273A Expired - Fee Related JP6505573B2 (en) 2015-10-07 2015-10-07 Authentication system, authentication server, business server and user terminal

Country Status (1)

Country Link
JP (1) JP6505573B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6916762B2 (en) * 2018-06-21 2021-08-11 Kddi株式会社 Method determination device, method determination method and method determination program
JP2020201716A (en) * 2019-06-10 2020-12-17 富士電機株式会社 Authentication system and authentication method
CN112492597B (en) * 2020-12-14 2023-03-24 中国联合网络通信集团有限公司 Authentication method and device
CN117349811B (en) * 2023-10-18 2024-04-05 广州元沣智能科技有限公司 Information authentication system based on user identity

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3668175B2 (en) * 2001-10-24 2005-07-06 株式会社東芝 Personal authentication method, personal authentication device, and personal authentication system
JP4082028B2 (en) * 2001-12-28 2008-04-30 ソニー株式会社 Information processing apparatus, information processing method, and program
JP2013073416A (en) * 2011-09-28 2013-04-22 Hitachi Ltd Authentication repeating apparatus, authentication repeating system and authentication repeating method
CN105144656A (en) * 2013-04-26 2015-12-09 交互数字专利控股公司 Multi-factor authentication to achieve required authentication assurance level

Also Published As

Publication number Publication date
JP2017072979A (en) 2017-04-13

Similar Documents

Publication Publication Date Title
US10708059B2 (en) System and method for device registration and authentication
KR102413638B1 (en) System and method for authentication service
KR102369228B1 (en) Risk analysis apparatus and method for risk based authentication
JP6538821B2 (en) System and method for performing authentication using data analysis techniques
CN106991317B (en) Security verification method, platform, device and system
JP4111810B2 (en) Personal authentication terminal, personal authentication method, and computer program
US20200074070A1 (en) Risk based time-based one-time password (totp) authenticator
KR20170040122A (en) Enhanced security for registration of authentication devices
CN106301778A (en) Auth method, device, system and user terminal
JP6505573B2 (en) Authentication system, authentication server, business server and user terminal
KR101212510B1 (en) System and method for service security based on location
JP4334515B2 (en) Service providing server, authentication server, and authentication system
JP6555983B2 (en) Apparatus, method, and program for determining authentication method
KR20140011795A (en) Method of subscription, authentication and payment without resident registration number
KR101333006B1 (en) System and method of confirming a login
KR101576075B1 (en) Mobile payment system, mobile terminal, and mobile payment method
JP5688127B2 (en) Transfer processing system and method by action pattern authentication
JP6916762B2 (en) Method determination device, method determination method and method determination program
KR101195027B1 (en) System and method for service security
JP4162668B2 (en) Personal authentication system, personal authentication method, and computer program
KR20140117079A (en) Mobile payment system, mobile terminal, and mobile payment method
JP2017059153A (en) Recovery system, server device, terminal device, recovery method, and recovery program
CN114710355B (en) Login management method and system
JP4156605B2 (en) Personal authentication terminal, personal authentication method, and computer program
KR102068098B1 (en) System and method for user identifying

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190327

R150 Certificate of patent or registration of utility model

Ref document number: 6505573

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees