JP7519979B2 - Authentication system, authentication terminal, authentication server, and authentication program - Google Patents
Authentication system, authentication terminal, authentication server, and authentication program Download PDFInfo
- Publication number
- JP7519979B2 JP7519979B2 JP2021195450A JP2021195450A JP7519979B2 JP 7519979 B2 JP7519979 B2 JP 7519979B2 JP 2021195450 A JP2021195450 A JP 2021195450A JP 2021195450 A JP2021195450 A JP 2021195450A JP 7519979 B2 JP7519979 B2 JP 7519979B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- response
- terminal
- user
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、SMSを用いた多段階の認証システムに関する。 The present invention relates to a multi-stage authentication system using SMS.
従来、ユーザ認証時のセキュリティ向上のため、携帯端末に通知するSMSを用いた2段階認証が多く採用されているが(例えば、特許文献1参照)、近年、マルウェアによるSMS盗聴を用いた攻撃による被害が増加している。
こうした攻撃に対策するため、Authenticatorアプリによる認証や、FIDO(登録商標)による認証など、SMS以外の手段を用いた2段階認証が提案されている。
Conventionally, in order to improve security during user authentication, two-step authentication using SMS notification to a mobile terminal has been widely adopted (for example, see Patent Literature 1). However, in recent years, damage caused by attacks using malware that eavesdrop on SMS has been increasing.
In order to counter such attacks, two-step authentication using means other than SMS, such as authentication using an Authenticator app or FIDO (registered trademark), has been proposed.
しかしながら、Authenticatorアプリによる認証、又はFIDOによる認証といった従来の認証方式は、端末紛失時にログイン不可となることから、端末紛失時向けの認証手段を別途提供しなければならないため、プライマリの認証手段とはなり得ない。また、SMSは、様々な端末での実現性、利便性、費用などの観点で優位性があるため、他の認証手段へ切り替えることは難しかった。 However, conventional authentication methods such as authentication using the Authenticator app or FIDO cannot be used as a primary authentication method because login is not possible when the device is lost, and a separate authentication method must be provided for when the device is lost. In addition, SMS has advantages in terms of feasibility on various devices, convenience, and cost, making it difficult to switch to other authentication methods.
本発明は、SMS認証の安全性を向上した多段階の認証システムを提供することを目的とする。 The present invention aims to provide a multi-stage authentication system that improves the security of SMS authentication.
本発明に係る認証システムは、認証端末及び認証サーバを備え、前記認証端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication system according to the present invention includes an authentication terminal and an authentication server, and the authentication server authenticates an access from the authentication terminal in response to the access including a user ID. The authentication terminal includes a message receiving unit that receives an authentication message sent from the authentication server and presents the access to the user, an authentication request unit that accepts the input of a password described in the authentication message and transmits it to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specific application to a sender of the push notification. The authentication server includes a message sending unit that sends the authentication message to the authentication terminal using a telephone number associated with the user ID in response to the access, a request receiving unit that receives the password entered into the authentication terminal, a response receiving unit that sends the push notification to the specific application using identification information associated with the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the password and the sender IP address of the response are at least in the same subnet.
本発明に係る認証システムは、ログイン端末、認証端末及び認証サーバを備え、前記ログイン端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication system according to the present invention comprises a login terminal, an authentication terminal, and an authentication server, and in response to an access from the login terminal accompanied by a user ID, the authentication server authenticates the access. The authentication terminal comprises a message receiving unit that receives an authentication message sent from the authentication server and presents the access to the user, an authentication request unit that accepts a confirmation input from the user for a page based on a URL described in the authentication message and transmits confirmation information to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specified application to a sender of the push notification. The authentication server comprises a message sending unit that transmits the authentication message to the authentication terminal by a telephone number linked to the user ID in response to the access, a request receiving unit that transmits a page based on the URL to the authentication terminal in response to a request and receives the confirmation information, a response receiving unit that issues the push notification to the specified application by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the confirmation information and the sender IP address of the response are at least in the same subnet.
前記送信元検証部は、前記送信元IPアドレスの全体が一致する場合に前記アクセスを認証してもよい。 The source verification unit may authenticate the access if the entire source IP address matches.
本発明に係る認証端末は、ユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される。 The authentication terminal according to the present invention includes a message receiving unit that receives an authentication message sent from an authentication server by a telephone number linked to a user ID in response to an access involving a user ID and presents the message to the user, an authentication request unit that accepts input of a password written in the authentication message and sends the password to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specific application using identification information linked to the telephone number, to a sender of the push notification. When the password and the sender IP address of the response are in at least the same subnet, the access is authenticated by the authentication server.
本発明に係る認証端末は、ログイン端末からのユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる。 The authentication terminal according to the present invention includes a message receiving unit that receives an authentication message sent from an authentication server by a telephone number linked to a user ID in response to an access involving a user ID from a login terminal and presents the message to the user, an authentication request unit that accepts a confirmation input from the user for a page sent from the authentication server based on a URL described in the authentication message and transmits confirmation information to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a predetermined application using identification information linked to the telephone number to a sender of the push notification, and has the authentication server authenticate the access when the confirmation information and the sender IP address of the response are at least in the same subnet.
本発明に係る認証サーバは、認証端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ、パスワードが記載された認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication server according to the present invention includes a message sending unit that sends an authentication message containing a password to the authentication terminal by a telephone number linked to the user ID in response to an access involving a user ID from an authentication terminal, a request receiving unit that receives the password entered into the authentication terminal, a response receiving unit that sends a push notification to a specific application running on the authentication terminal by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the password and the sender IP address of the response are at least in the same subnetwork.
本発明に係る認証サーバは、ログイン端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により認証端末へ認証用メッセージを送信するメッセージ送信部と、前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication server according to the present invention includes a message sending unit that sends an authentication message to an authentication terminal by a telephone number linked to a user ID in response to an access involving a user ID from a login terminal, a request receiving unit that sends a page in response to a request based on a URL described in the authentication message and receives confirmation information in response to a confirmation input from a user, a response receiving unit that sends a push notification to a specific application running on the authentication terminal by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the confirmation information and the sender IP address of the response are at least in the same subnet.
本発明に係る認証プログラムは、前記認証サーバとしてコンピュータを機能させるためのものである。 The authentication program according to the present invention is for causing a computer to function as the authentication server.
本発明によれば、多段階の認証システムにおいて、SMS認証の安全性を向上できる。 The present invention can improve the security of SMS authentication in a multi-stage authentication system.
以下、本発明の実施形態の一例について説明する。
本実施形態の認証システムは、SMSを用いてワンタイムパスワード又はURLを認証端末に送信して2段階認証を行う際に、このSMSに伴う通信と、別途のプッシュ通信に伴う通信とで、IPアドレスが同一であることを追加で検証することにより、SMSの盗聴による攻撃を抑制する。
なお、IPアドレスが同一であるとは、IPアドレスの全体が一致することとしてもよいが、例えば、24ビット~8ビットなどのサブネットマスクが設定されている場合に、このサブネットが同一であることとしてもよい。
An example of an embodiment of the present invention will now be described.
In the authentication system of this embodiment, when two-step authentication is performed by sending a one-time password or URL to an authentication terminal using SMS, the authentication system additionally verifies that the IP address is the same for the communication accompanying the SMS and the communication accompanying the separate push communication, thereby preventing attacks through SMS eavesdropping.
In addition, the term "IP addresses are the same" may mean that the entire IP address matches, but it may also mean that the subnetworks are the same when a subnet mask of, for example, 24 bits to 8 bits is set.
ここで、SMSを用いた2段階認証が実施されるとき、次の二通りの場合が存在する。
ケースA: ログインしようとしている端末(ログイン端末)と、SMSの送受信が行われる端末(認証端末)とが同一の場合。
ケースB: ログイン端末と認証端末とが異なる場合。
When two-step authentication using SMS is performed, there are the following two cases.
Case A: When the terminal attempting to log in (login terminal) and the terminal sending and receiving SMS (authentication terminal) are the same.
Case B: The login terminal and authentication terminal are different.
ログインの開始時点において、ユーザに明示的に選択させることなく、この2つのケースを正確に判別することは困難である。しかしながら、ユーザが利用中の端末(ログイン端末)の機種又は画面サイズなどから、おおよその判別をすることが可能である。つまり、機種がスマートフォンの場合にはケースAの可能性が高く、また、画面サイズが小型の場合にはケースAの可能性が高いと判別することができる。
本実施形態では、認証サーバは、ユーザに明示的に選択させる、あるいは、端末の機種又は画面サイズから判別するなどして、ログイン開始時においてケースA又はBのいずれであるかを判別した後、それぞれのシーケンスによりログイン認証を行う。
It is difficult to accurately distinguish between these two cases without having the user explicitly select at the start of login. However, it is possible to roughly distinguish between the two cases based on the model or screen size of the terminal (login terminal) that the user is using. In other words, it can be determined that the possibility of case A is high when the model is a smartphone, and that the possibility of case A is high when the screen size is small.
In this embodiment, the authentication server determines whether the login is in case A or B at the start of the login by having the user explicitly select it or by determining it from the terminal model or screen size, and then performs login authentication using the respective sequence.
図1は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証システム1Aの機能構成を示す図である。
認証システム1Aは、認証端末20(ログイン端末)が認証サーバ10へアクセスする際にSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
FIG. 1 is a diagram showing the functional configuration of an
The
認証端末20は、認証サーバ10にログインするとともに、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
The
認証端末20では、認証サーバ10にアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、追加認証のため、認証端末20には、所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
In addition to an application (hereinafter referred to as a browser application) for accessing the
This application X is an application that can receive push notifications from the
認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。
The
メッセージ送信部111は、認証端末20(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、ワンタイムパスワードが記載された認証用のSMSを送信する。
In response to access with a user ID from the authentication terminal 20 (browser application), the message sending unit 111 sends an authentication SMS containing a one-time password to the
要求受信部112は、認証端末20(ブラウザアプリ)に入力されたワンタイムパスワードを受信する。
The
応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。
The
送信元検証部114は、要求受信部112が受信したワンタイムパスワード、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、認証端末20からのアクセスを認証し、ログインを完了させる。
If the one-time password received by the
認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。
The
メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのワンタイムパスワードが記載されており、このワンタイムパスワードは、ブラウザアプリにユーザが手入力、又は自動で入力される。
The message receiving unit 211 receives an SMS for authentication sent from the
This SMS contains a one-time password as authentication information, and this one-time password is manually input by the user or automatically input into the browser application.
認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたワンタイムパスワードの入力を受け付け、認証サーバ10へ送信する。
The
通知応答部213は、認証端末20の電話番号に紐付けられた識別情報(例えば、端末番号)によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。
The
図2は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証手順を示すシーケンス図である。 Figure 2 is a sequence diagram showing the authentication procedure for case A of this embodiment, i.e., when the authentication terminal is the same as the login terminal.
ステップS1において、ユーザは、認証端末20で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS2において、認証端末20(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページを認証端末20に返却する。
In step S<b>1 , the user performs an operation to start logging in to the
In step S2, the authentication terminal 20 (browser) accesses the
In step S3, the
ステップS4において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS5において、認証端末20(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、2段階認証の開始ページを認証端末20に返却する。
In step S4, the user enters an ID (and password) on the displayed login page.
In step S 5 , the authentication terminal 20 (browser) transmits the input ID (and password) to the
In step S6, the
ステップS7において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、ワンタイムパスワードを含むSMSを送信する。
In step S7, the
ステップS8において、ユーザは、送信されたSMSを閲覧し、記載されたワンタイムパスワードを読み取る。
ステップS9において、ユーザは、認証端末20(ブラウザ)に、読み取ったワンタイムパスワードを入力する。なお、このワンタイムパスワードの読み取り及び入力は、自動で行われてもよい。
ステップS10において、認証端末20(ブラウザ)は、入力されたワンタイムパスワードを認証サーバ10に送信する。
In step S8, the user views the sent SMS and reads the one-time password contained therein.
In step S9, the user inputs the read one-time password into the authentication terminal 20 (browser). Note that the reading and input of the one-time password may be performed automatically.
In
ステップS11において、認証サーバ10は、ステップS7で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS12において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
In step S11, the
In step S12, the authentication terminal 20 (application X) responds to the received push notification and accesses the sender.
ステップS13において、認証サーバ10は、ステップS10におけるワンタイムパスワードの送信元IPアドレスと、ステップS12におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS14において、認証サーバ10は、認証端末20に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
In step S13, the
In step S14, the
図3は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証システム1Bの機能構成を示す図である。
認証システム1Bは、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用してSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
FIG. 3 is a diagram showing the functional configuration of an
The
認証端末20は、ログイン端末30が認証サーバ10にログインする際に、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。
The
認証端末20では、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、認証端末20には、URLにアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、追加認証のため所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
An application for receiving SMS (hereinafter referred to as an SMS application) runs on the
This application X is an application that can receive push notifications from the
認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。
The
メッセージ送信部111は、ログイン端末30(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、URLが記載された認証用のSMSを送信する。
In response to access with a user ID from the login terminal 30 (browser application), the message sending unit 111 sends an authentication SMS containing a URL to the
要求受信部112は、認証用のSMSに記載されたURLに基づく認証端末20(ブラウザアプリ)からの要求に応じて、対応するページを送信し、ユーザからの確認入力に応じた確認情報を受信する。
The
応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。
The
送信元検証部114は、要求受信部112が受信した確認情報、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、ログイン端末30からのアクセスを認証し、ログインを完了させる。
If the confirmation information received by the
認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。
The
メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのURLが記載されており、このURLによりブラウザアプリが起動される。
The message receiving unit 211 receives an SMS for authentication sent from the
This SMS contains a URL as authentication information, and a browser application is started by this URL.
認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたURLのページを認証サーバ10に要求し、返却された確認ページに対してユーザの確認入力を受け付け、認証サーバ10へ確認情報を送信する。
The
通知応答部213は、認証端末20の電話番号に紐付けられた識別情報によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。
The
図4は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証手順を示すシーケンス図である。 Figure 4 is a sequence diagram showing the authentication procedure for case B of this embodiment, i.e., when the authentication terminal is different from the login terminal.
ステップS21において、ユーザは、ログイン端末30で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS22において、ログイン端末30(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS23において、認証サーバ10は、ログインページをログイン端末30に返却する。
In step S21, the user performs an operation to start logging in to the
In step S22, the login terminal 30 (browser) accesses the
In step S23, the
ステップS24において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS25において、ログイン端末30(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS26において、認証サーバ10は、2段階認証の開始ページをログイン端末30に返却する。
In step S24, the user enters an ID (and password) on the displayed login page.
In step S25, the login terminal 30 (browser) transmits the input ID (and password) to the
In step S26, the
ステップS27において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、2段階認証用のURLを含むSMSを送信する。
In step S27, the
ステップS28において、ユーザは、送信されたSMSに記載されたURLを選択(タップ)し、認証端末20のブラウザにこのURLのページを開くことを要求する。
ステップS29において、認証端末20(ブラウザ)は、指定されたURLのページを認証サーバ10に要求する。
ステップS30において、認証サーバ10は、2段階認証の確認ページを認証端末20に返却する。
In step S28, the user selects (tap) the URL written in the sent SMS, and requests the browser of the
In step S29, the authentication terminal 20 (browser) requests the
In step S30, the
ステップS31において、ユーザは、認証端末20のブラウザに表示された確認ページにおいて確認操作を行う(ボタンをタップする)。
ステップS32において、認証端末20(ブラウザ)は、ユーザから確認操作があったことを示す確認情報を認証サーバ10に送信する。
ステップS33において、認証サーバ10は、2段階認証の確認完了ページを認証端末20に返却する。
In step S31, the user performs a confirmation operation (tap a button) on the confirmation page displayed on the browser of the
In step S32, the authentication terminal 20 (browser) transmits to the
In step S33, the
ステップS34において、認証サーバ10は、ステップS27で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS35において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
In step S34, the
In step S35, the authentication terminal 20 (application X) responds to the received push notification and accesses the sender.
ステップS36において、認証サーバ10は、ステップS32における確認情報の送信元IPアドレスと、ステップS35におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS37において、ユーザは、2段階認証の開始ページを更新(ボタンをタップ)、又は自動更新を待つ。これにより、ログイン端末30(ブラウザ)は、認証サーバ10に認証の状態を確認する。
ステップS38において、認証サーバ10は、ログイン端末30に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
In step S36, the
In step S37, the user refreshes the two-step authentication start page (tap the button) or waits for an automatic refresh, whereby the login terminal 30 (browser) checks the authentication status with the
In step S38, the
なお、ケースAのシーケンス(図2)又はケースBのシーケンス(図4)において、追加認証(破線枠内)の通信は、ユーザIDの入力(ステップS5又はS25)後、送信元の検証(ステップS13又はS36)までの任意のタイミングで実施されてよい。 In the sequence of Case A (Figure 2) or the sequence of Case B (Figure 4), the communication for additional authentication (within the dashed frame) may be performed at any time after the input of the user ID (step S5 or S25) and before the verification of the sender (step S13 or S36).
本実施形態によれば、認証システム1(1A又は1B)は、SMS認証に伴う認証サーバ10に対するアクセス元のIPアドレスが、予め認証端末20にインストールされたアプリXに対するプッシュ通知の応答と同一のサブネットであることを検証することにより、認証強度を向上させる。すなわち、攻撃者が認証端末20に送信されたSMSを盗聴し不正ログインを試みた場合に、アクセス元のIPアドレスのサブネットがアプリXのIPアドレスと一致しないためログインに失敗する。
したがって、認証システム1は、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
さらに、認証システム1は、IPアドレスの全体の一致を検証することで、端末が同一であることをより厳密に検証し、安全性を高めることができる。
According to this embodiment, the authentication system 1 (1A or 1B) improves the authentication strength by verifying that the IP address of the access source to the
Therefore, the authentication system 1 can improve the security of SMS authentication in a multi-stage authentication system.
Furthermore, the authentication system 1 can more strictly verify that the terminals are the same by verifying that the IP addresses match entirely, thereby improving security.
また、SMSの送受信が行われる認証端末20と、ログイン端末30とが異なるケースBの場合、ケースAと同様にワンタイムパスワードをログイン端末30に入力させると、認証端末20から認証サーバ10への認証要求の通信が発生しないため、認証サーバ10は、追加認証のためのIPアドレスを取得できない。
したがって、認証サーバ10は、SMS認証においてURLを認証端末20に通知し、確認画面からの通信を発生させることで、ケースBの場合であってもIPアドレスの同一性を検証することができる。
In addition, in case B, where the
Therefore, the
なお、前述の実施形態により、例えば、マルウェア攻撃に強いSMS認証を実現し不正アクセス被害を低減できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。 The above-mentioned embodiment can, for example, realize SMS authentication that is resistant to malware attacks and reduce the damage caused by unauthorized access, which can contribute to Goal 9 of the United Nations-led Sustainable Development Goals (SDGs), which is to "build resilient infrastructure, promote sustainable industrialization and foster innovation."
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Furthermore, the effects described in the above-described embodiments are merely a list of the most favorable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the embodiments.
前述の実施形態では、認証端末20から認証サーバ10への認証要求の通信(ワンタイムパスワード又は確認情報)と、アプリXからの通信とでIPアドレスの同一性を検証したが、これには限られない。ケースAの場合、認証端末20から認証サーバ10への通信は複数発生するため、認証サーバ10は、アプリXからの通信と、他のいずれかの通信とでIPアドレスの同一性を検証してもよい。
In the above embodiment, the identity of the IP address is verified between the authentication request communication (one-time password or confirmation information) from the
また、前述の実施形態では、アプリXをSMSアプリとは異なるアプリケーションとしているが、例えば、認証端末20でRCS機能を持つSMSアプリを利用中の場合には、アプリXとSMSアプリとが同一であってもよい。また、この場合、プッシュ通知がSMSの送信を兼ねても、あるいは、SMS送信がプッシュ通知を兼ねてもよい。
In the above embodiment, app X is an application different from the SMS app, but for example, if an SMS app with an RCS function is being used on the
前述の実施形態では、ケースA又はケースBのいずれであるかが予め判定されているものとして説明したが、次のように誤認される場合があり得る。
ケースBと判定したがAであった場合、ユーザのUXは多少悪化するものの認証自体は成功する。
ケースAと判定したがBであった場合、ユーザは正しく操作しているにもかかわらず認証に失敗する。したがって、認証サーバ10は、認証失敗時に、セキュリティ強化のため追加認証が必要になっている旨をユーザに提示し、通話認証など、より強度の高い2段階認証を追加で要求する。
In the above embodiment, it has been described that whether the case is case A or case B is determined in advance, but there are cases where this is misinterpreted as follows.
If the case is determined to be B but is actually A, the user's UX will be somewhat worsened but the authentication itself will be successful.
If the case is determined to be A but is actually B, authentication fails even though the user is performing the correct operation. Therefore, when authentication fails, the
また、HTTPプロクシ又はNATなどを原因としてIPアドレスの同一判定に失敗した場合についても、ユーザは正しく操作しているにもかかわらず認証に失敗するため、同様に、認証サーバ10は、別の追加認証を要求して対処する。
In addition, if the IP address identity determination fails due to an HTTP proxy or NAT, etc., authentication will fail even if the user is operating correctly, and the
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The authentication method by authentication system 1 is realized by software. When realized by software, the programs that make up this software are installed in an information processing device (computer). These programs may be recorded on removable media such as CD-ROM and distributed to users, or may be distributed by being downloaded to the user's computer via a network. Furthermore, these programs may be provided to the user's computer as a web service via a network without being downloaded.
1、1A、1B 認証システム
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 メッセージ送信部
112 要求受信部
113 応答受信部
114 送信元検証部
211 メッセージ受信部
212 認証要求部
213 通知応答部
Claims (9)
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。 An authentication system comprising an authentication terminal and an authentication server, the authentication server authenticating an access accompanied by a user ID from the authentication terminal,
The authentication terminal includes:
a message receiving unit that receives an authentication message transmitted from the authentication server and presents the message to a user;
an authentication request unit that receives an input of a password described in the authentication message and transmits the password to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application,
The authentication server,
a message sending unit that sends the authentication message to the authentication terminal by a telephone number associated with the user ID in response to the access;
a request receiving unit for receiving the password input to the authentication terminal;
a response receiving unit that sends the push notification to the predetermined application using identification information associated with the telephone number and receives a response to the push notification;
and a source verification unit that authenticates the access when the password and a source IP address of the response are at least in the same subnet.
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。 An authentication system comprising a login terminal, an authentication terminal, and an authentication server, wherein the authentication server authenticates an access accompanied by a user ID from the login terminal,
The authentication terminal includes:
a message receiving unit that receives an authentication message transmitted from the authentication server and presents the message to a user;
an authentication request unit that receives a confirmation input from the user for a page based on a URL described in the authentication message and transmits the confirmation information to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application,
The authentication server,
a message sending unit that sends the authentication message to the authentication terminal by a telephone number associated with the user ID in response to the access;
a request receiving unit that transmits a page based on the URL to the authentication terminal in response to a request and receives the confirmation information;
a response receiving unit that sends the push notification to the predetermined application using identification information associated with the telephone number and receives a response to the push notification;
a source verification unit that authenticates the access when the source IP address of the confirmation information and the response are at least in the same subnetwork.
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される認証端末。 a message receiving unit that receives an authentication message transmitted from an authentication server by a telephone number associated with the user ID in response to an access using the user ID, and presents the message to the user;
an authentication request unit that receives an input of a password described in the authentication message and transmits the password to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application using identification information associated with the telephone number,
An authentication terminal, the access of which is authenticated by the authentication server when the password and the source IP address of the response are at least in the same subnetwork.
前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる認証端末。 a message receiving unit that receives an authentication message transmitted from an authentication server by a telephone number associated with a user ID in response to an access from a login terminal using the user ID, and presents the message to the user;
an authentication request unit that receives a confirmation input from the user for a page transmitted from the authentication server based on a URL described in the authentication message, and transmits the confirmation information to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application using identification information associated with the telephone number,
an authentication terminal that causes the authentication server to authenticate the access when the source IP addresses of the confirmation information and the response are at least in the same subnetwork;
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。 a message sending unit that sends an authentication message including a password to the authentication terminal by a telephone number associated with the user ID in response to an access from the authentication terminal including the user ID;
a request receiving unit for receiving the password input to the authentication terminal;
a response receiving unit that sends a push notification to a predetermined application running on the authentication terminal using identification information associated with the telephone number, and receives a response to the push notification;
an origin verification unit that authenticates the access when the password and the origin IP address of the response are at least in the same subnetwork.
前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。 a message sending unit that sends an authentication message to an authentication terminal by a telephone number associated with the user ID in response to an access from a login terminal accompanied by the user ID;
a request receiving unit that transmits a page in response to a request based on a URL described in the authentication message and receives confirmation information in response to a confirmation input from a user;
a response receiving unit that sends a push notification to a predetermined application running on the authentication terminal using identification information associated with the telephone number, and receives a response to the push notification;
an origin verification unit that authenticates the access when the confirmation information and the source IP address of the response are at least in the same subnetwork.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021195450A JP7519979B2 (en) | 2021-12-01 | 2021-12-01 | Authentication system, authentication terminal, authentication server, and authentication program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021195450A JP7519979B2 (en) | 2021-12-01 | 2021-12-01 | Authentication system, authentication terminal, authentication server, and authentication program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023081604A JP2023081604A (en) | 2023-06-13 |
| JP7519979B2 true JP7519979B2 (en) | 2024-07-22 |
Family
ID=86728206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021195450A Active JP7519979B2 (en) | 2021-12-01 | 2021-12-01 | Authentication system, authentication terminal, authentication server, and authentication program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7519979B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2025021854A (en) * | 2023-08-01 | 2025-02-14 | 光浩 松尾 | Login system, login lock method and program |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010117988A (en) | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | System and method for high-level authentication and formation of secure virtual network |
| WO2011083867A1 (en) | 2010-01-08 | 2011-07-14 | Hishinuma Noboru | Authentication device, authentication method, and program |
| JP2015082140A (en) | 2013-10-21 | 2015-04-27 | 株式会社りーふねっと | One-time password issuing device, program, and one-time password issuing method |
| JP2019517087A (en) | 2016-04-25 | 2019-06-20 | イーストーム カンパニー,リミテッド | Authentication method and system |
-
2021
- 2021-12-01 JP JP2021195450A patent/JP7519979B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010117988A (en) | 2008-11-14 | 2010-05-27 | Aya Echo:Kk | System and method for high-level authentication and formation of secure virtual network |
| WO2011083867A1 (en) | 2010-01-08 | 2011-07-14 | Hishinuma Noboru | Authentication device, authentication method, and program |
| JP2015082140A (en) | 2013-10-21 | 2015-04-27 | 株式会社りーふねっと | One-time password issuing device, program, and one-time password issuing method |
| JP2019517087A (en) | 2016-04-25 | 2019-06-20 | イーストーム カンパニー,リミテッド | Authentication method and system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023081604A (en) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108901022B (en) | A unified authentication method and gateway for microservices | |
| US8875232B2 (en) | User authentication | |
| EP2919435B1 (en) | Communication terminal and secure log-in method and program | |
| US8510811B2 (en) | Network transaction verification and authentication | |
| US10122697B2 (en) | Native authentication experience with failover | |
| CN104144163B (en) | Auth method, apparatus and system | |
| KR102001544B1 (en) | Apparatus and method to enable a user authentication in a communication system | |
| CN113341798A (en) | Method, system, device, equipment and storage medium for remotely accessing application | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| CN105847245A (en) | Electronic mail box login authentication method and device | |
| US11165768B2 (en) | Technique for connecting to a service | |
| CN110166453A (en) | A kind of interface authentication method, system and storage medium based on SE chip | |
| JP2008181310A (en) | Authentication server and authentication program | |
| CN112929388A (en) | Network identity cross-device application rapid authentication method and system, and user agent device | |
| JP4914725B2 (en) | Authentication system, authentication program | |
| JP7519979B2 (en) | Authentication system, authentication terminal, authentication server, and authentication program | |
| TWI643086B (en) | Method for binding by scanning two-dimensional barcode | |
| US12348957B2 (en) | Core network transformation authenticator | |
| CN117579402B (en) | Platform secondary authentication login system and method | |
| EP3582469B1 (en) | Authentication using a mobile network operator system | |
| JP7519977B2 (en) | Authentication system, authentication terminal and authentication program | |
| CN117792785A (en) | Access control method, device, equipment and storage medium of WeChat applet | |
| JP7611805B2 (en) | Authentication system, authentication terminal, authentication server, and authentication program | |
| KR20180099992A (en) | Consolidated Authentication Method based on Certificate | |
| JP7403430B2 (en) | Authentication device, authentication method and authentication program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7519979 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |