Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7519979B2 - Authentication system, authentication terminal, authentication server, and authentication program - Google Patents
[go: Go Back, main page]

JP7519979B2 - Authentication system, authentication terminal, authentication server, and authentication program - Google Patents

Authentication system, authentication terminal, authentication server, and authentication program Download PDF

Info

Publication number
JP7519979B2
JP7519979B2 JP2021195450A JP2021195450A JP7519979B2 JP 7519979 B2 JP7519979 B2 JP 7519979B2 JP 2021195450 A JP2021195450 A JP 2021195450A JP 2021195450 A JP2021195450 A JP 2021195450A JP 7519979 B2 JP7519979 B2 JP 7519979B2
Authority
JP
Japan
Prior art keywords
authentication
response
terminal
user
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021195450A
Other languages
Japanese (ja)
Other versions
JP2023081604A (en
Inventor
純一 田淵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2021195450A priority Critical patent/JP7519979B2/en
Publication of JP2023081604A publication Critical patent/JP2023081604A/en
Application granted granted Critical
Publication of JP7519979B2 publication Critical patent/JP7519979B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Description

本発明は、SMSを用いた多段階の認証システムに関する。 The present invention relates to a multi-stage authentication system using SMS.

従来、ユーザ認証時のセキュリティ向上のため、携帯端末に通知するSMSを用いた2段階認証が多く採用されているが(例えば、特許文献1参照)、近年、マルウェアによるSMS盗聴を用いた攻撃による被害が増加している。
こうした攻撃に対策するため、Authenticatorアプリによる認証や、FIDO(登録商標)による認証など、SMS以外の手段を用いた2段階認証が提案されている。
Conventionally, in order to improve security during user authentication, two-step authentication using SMS notification to a mobile terminal has been widely adopted (for example, see Patent Literature 1). However, in recent years, damage caused by attacks using malware that eavesdrop on SMS has been increasing.
In order to counter such attacks, two-step authentication using means other than SMS, such as authentication using an Authenticator app or FIDO (registered trademark), has been proposed.

特開2007-058469号公報JP 2007-058469 A

しかしながら、Authenticatorアプリによる認証、又はFIDOによる認証といった従来の認証方式は、端末紛失時にログイン不可となることから、端末紛失時向けの認証手段を別途提供しなければならないため、プライマリの認証手段とはなり得ない。また、SMSは、様々な端末での実現性、利便性、費用などの観点で優位性があるため、他の認証手段へ切り替えることは難しかった。 However, conventional authentication methods such as authentication using the Authenticator app or FIDO cannot be used as a primary authentication method because login is not possible when the device is lost, and a separate authentication method must be provided for when the device is lost. In addition, SMS has advantages in terms of feasibility on various devices, convenience, and cost, making it difficult to switch to other authentication methods.

本発明は、SMS認証の安全性を向上した多段階の認証システムを提供することを目的とする。 The present invention aims to provide a multi-stage authentication system that improves the security of SMS authentication.

本発明に係る認証システムは、認証端末及び認証サーバを備え、前記認証端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication system according to the present invention includes an authentication terminal and an authentication server, and the authentication server authenticates an access from the authentication terminal in response to the access including a user ID. The authentication terminal includes a message receiving unit that receives an authentication message sent from the authentication server and presents the access to the user, an authentication request unit that accepts the input of a password described in the authentication message and transmits it to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specific application to a sender of the push notification. The authentication server includes a message sending unit that sends the authentication message to the authentication terminal using a telephone number associated with the user ID in response to the access, a request receiving unit that receives the password entered into the authentication terminal, a response receiving unit that sends the push notification to the specific application using identification information associated with the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the password and the sender IP address of the response are at least in the same subnet.

本発明に係る認証システムは、ログイン端末、認証端末及び認証サーバを備え、前記ログイン端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証するシステムであって、前記認証端末は、前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記認証サーバは、前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication system according to the present invention comprises a login terminal, an authentication terminal, and an authentication server, and in response to an access from the login terminal accompanied by a user ID, the authentication server authenticates the access. The authentication terminal comprises a message receiving unit that receives an authentication message sent from the authentication server and presents the access to the user, an authentication request unit that accepts a confirmation input from the user for a page based on a URL described in the authentication message and transmits confirmation information to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specified application to a sender of the push notification. The authentication server comprises a message sending unit that transmits the authentication message to the authentication terminal by a telephone number linked to the user ID in response to the access, a request receiving unit that transmits a page based on the URL to the authentication terminal in response to a request and receives the confirmation information, a response receiving unit that issues the push notification to the specified application by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the confirmation information and the sender IP address of the response are at least in the same subnet.

前記送信元検証部は、前記送信元IPアドレスの全体が一致する場合に前記アクセスを認証してもよい。 The source verification unit may authenticate the access if the entire source IP address matches.

本発明に係る認証端末は、ユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される。 The authentication terminal according to the present invention includes a message receiving unit that receives an authentication message sent from an authentication server by a telephone number linked to a user ID in response to an access involving a user ID and presents the message to the user, an authentication request unit that accepts input of a password written in the authentication message and sends the password to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a specific application using identification information linked to the telephone number, to a sender of the push notification. When the password and the sender IP address of the response are in at least the same subnet, the access is authenticated by the authentication server.

本発明に係る認証端末は、ログイン端末からのユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる。 The authentication terminal according to the present invention includes a message receiving unit that receives an authentication message sent from an authentication server by a telephone number linked to a user ID in response to an access involving a user ID from a login terminal and presents the message to the user, an authentication request unit that accepts a confirmation input from the user for a page sent from the authentication server based on a URL described in the authentication message and transmits confirmation information to the authentication server, and a notification response unit that responds to a push notification from the authentication server for a predetermined application using identification information linked to the telephone number to a sender of the push notification, and has the authentication server authenticate the access when the confirmation information and the sender IP address of the response are at least in the same subnet.

本発明に係る認証サーバは、認証端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ、パスワードが記載された認証用メッセージを送信するメッセージ送信部と、前記認証端末に入力された前記パスワードを受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication server according to the present invention includes a message sending unit that sends an authentication message containing a password to the authentication terminal by a telephone number linked to the user ID in response to an access involving a user ID from an authentication terminal, a request receiving unit that receives the password entered into the authentication terminal, a response receiving unit that sends a push notification to a specific application running on the authentication terminal by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the password and the sender IP address of the response are at least in the same subnetwork.

本発明に係る認証サーバは、ログイン端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により認証端末へ認証用メッセージを送信するメッセージ送信部と、前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える。 The authentication server according to the present invention includes a message sending unit that sends an authentication message to an authentication terminal by a telephone number linked to a user ID in response to an access involving a user ID from a login terminal, a request receiving unit that sends a page in response to a request based on a URL described in the authentication message and receives confirmation information in response to a confirmation input from a user, a response receiving unit that sends a push notification to a specific application running on the authentication terminal by identification information linked to the telephone number and receives a response to the push notification, and a sender verification unit that authenticates the access when the confirmation information and the sender IP address of the response are at least in the same subnet.

本発明に係る認証プログラムは、前記認証サーバとしてコンピュータを機能させるためのものである。 The authentication program according to the present invention is for causing a computer to function as the authentication server.

本発明によれば、多段階の認証システムにおいて、SMS認証の安全性を向上できる。 The present invention can improve the security of SMS authentication in a multi-stage authentication system.

認証端末がログイン端末と同一の場合の認証システムの機能構成を示す図である。11 is a diagram showing a functional configuration of an authentication system in which the authentication terminal is the same as the login terminal. 認証端末がログイン端末と同一の場合の認証手順を示すシーケンス図である。11 is a sequence diagram showing an authentication procedure when the authentication terminal is the same as the login terminal. FIG. 認証端末がログイン端末と異なる場合の認証システムの機能構成を示す図である。FIG. 11 is a diagram illustrating a functional configuration of an authentication system in which an authentication terminal is different from a login terminal. 認証端末がログイン端末と異なる場合の認証手順を示すシーケンス図である。11 is a sequence diagram showing an authentication procedure when an authentication terminal is different from a login terminal. FIG.

以下、本発明の実施形態の一例について説明する。
本実施形態の認証システムは、SMSを用いてワンタイムパスワード又はURLを認証端末に送信して2段階認証を行う際に、このSMSに伴う通信と、別途のプッシュ通信に伴う通信とで、IPアドレスが同一であることを追加で検証することにより、SMSの盗聴による攻撃を抑制する。
なお、IPアドレスが同一であるとは、IPアドレスの全体が一致することとしてもよいが、例えば、24ビット~8ビットなどのサブネットマスクが設定されている場合に、このサブネットが同一であることとしてもよい。
An example of an embodiment of the present invention will now be described.
In the authentication system of this embodiment, when two-step authentication is performed by sending a one-time password or URL to an authentication terminal using SMS, the authentication system additionally verifies that the IP address is the same for the communication accompanying the SMS and the communication accompanying the separate push communication, thereby preventing attacks through SMS eavesdropping.
In addition, the term "IP addresses are the same" may mean that the entire IP address matches, but it may also mean that the subnetworks are the same when a subnet mask of, for example, 24 bits to 8 bits is set.

ここで、SMSを用いた2段階認証が実施されるとき、次の二通りの場合が存在する。
ケースA: ログインしようとしている端末(ログイン端末)と、SMSの送受信が行われる端末(認証端末)とが同一の場合。
ケースB: ログイン端末と認証端末とが異なる場合。
When two-step authentication using SMS is performed, there are the following two cases.
Case A: When the terminal attempting to log in (login terminal) and the terminal sending and receiving SMS (authentication terminal) are the same.
Case B: The login terminal and authentication terminal are different.

ログインの開始時点において、ユーザに明示的に選択させることなく、この2つのケースを正確に判別することは困難である。しかしながら、ユーザが利用中の端末(ログイン端末)の機種又は画面サイズなどから、おおよその判別をすることが可能である。つまり、機種がスマートフォンの場合にはケースAの可能性が高く、また、画面サイズが小型の場合にはケースAの可能性が高いと判別することができる。
本実施形態では、認証サーバは、ユーザに明示的に選択させる、あるいは、端末の機種又は画面サイズから判別するなどして、ログイン開始時においてケースA又はBのいずれであるかを判別した後、それぞれのシーケンスによりログイン認証を行う。
It is difficult to accurately distinguish between these two cases without having the user explicitly select at the start of login. However, it is possible to roughly distinguish between the two cases based on the model or screen size of the terminal (login terminal) that the user is using. In other words, it can be determined that the possibility of case A is high when the model is a smartphone, and that the possibility of case A is high when the screen size is small.
In this embodiment, the authentication server determines whether the login is in case A or B at the start of the login by having the user explicitly select it or by determining it from the terminal model or screen size, and then performs login authentication using the respective sequence.

図1は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証システム1Aの機能構成を示す図である。
認証システム1Aは、認証端末20(ログイン端末)が認証サーバ10へアクセスする際にSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
FIG. 1 is a diagram showing the functional configuration of an authentication system 1A in case A of this embodiment, that is, in the case where the authentication terminal is the same as the login terminal.
The authentication system 1A is configured to perform SMS authentication and additional authentication when an authentication terminal 20 (login terminal) accesses an authentication server 10. Information including the telephone number of the authentication terminal 20 held by a user is registered in advance in the authentication server 10 in association with a user ID.

認証端末20は、認証サーバ10にログインするとともに、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。 The authentication terminal 20 is an information processing device that can log in to the authentication server 10 and receive messages (hereinafter referred to as SMS) based on a telephone number for two-step authentication, and corresponds to a mobile terminal such as a smartphone.

認証端末20では、認証サーバ10にアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、追加認証のため、認証端末20には、所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
In addition to an application (hereinafter referred to as a browser application) for accessing the authentication server 10, an application (hereinafter referred to as an SMS application) for receiving SMS runs on the authentication terminal 20. Furthermore, a specific application (application X) is pre-installed in the authentication terminal 20 for additional authentication.
This application X is an application that can receive push notifications from the authentication server 10, and identification information for notifications is associated with a telephone number and registered in the authentication server 10.

認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。 The control unit 11 of the authentication server 10 executes software (authentication program) stored in the memory unit 12, thereby functioning as a message sending unit 111, a request receiving unit 112, a response receiving unit 113, and a sender verification unit 114.

メッセージ送信部111は、認証端末20(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、ワンタイムパスワードが記載された認証用のSMSを送信する。 In response to access with a user ID from the authentication terminal 20 (browser application), the message sending unit 111 sends an authentication SMS containing a one-time password to the authentication terminal 20 using the telephone number associated with the user ID.

要求受信部112は、認証端末20(ブラウザアプリ)に入力されたワンタイムパスワードを受信する。 The request receiving unit 112 receives the one-time password entered into the authentication terminal 20 (browser application).

応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。 The response receiving unit 113 sends a push notification to a specific application (app X) using the identification information linked to the telephone number of the authentication terminal 20, and receives a response to this push notification.

送信元検証部114は、要求受信部112が受信したワンタイムパスワード、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、認証端末20からのアクセスを認証し、ログインを完了させる。 If the one-time password received by the request receiving unit 112 and the source IP address of the response received by the response receiving unit 113 are identical, the sender verification unit 114 authenticates the access from the authentication terminal 20 and completes the login.

認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。 The control unit 21 of the authentication terminal 20 functions as a message receiving unit 211, an authentication request unit 212, and a notification response unit 213 by executing software (browser app, SMS app, app X) stored in the memory unit 22.

メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのワンタイムパスワードが記載されており、このワンタイムパスワードは、ブラウザアプリにユーザが手入力、又は自動で入力される。
The message receiving unit 211 receives an SMS for authentication sent from the authentication server 10 by an SMS application, and presents the SMS to the user.
This SMS contains a one-time password as authentication information, and this one-time password is manually input by the user or automatically input into the browser application.

認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたワンタイムパスワードの入力を受け付け、認証サーバ10へ送信する。 The authentication request unit 212 accepts input of the one-time password written in the authentication SMS via the browser application and transmits it to the authentication server 10.

通知応答部213は、認証端末20の電話番号に紐付けられた識別情報(例えば、端末番号)によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。 The notification response unit 213 responds to the sender of a push notification from the authentication server 10 for app X using identification information (e.g., a terminal number) linked to the telephone number of the authentication terminal 20.

図2は、本実施形態のケースA、すなわち認証端末がログイン端末と同一の場合の認証手順を示すシーケンス図である。 Figure 2 is a sequence diagram showing the authentication procedure for case A of this embodiment, i.e., when the authentication terminal is the same as the login terminal.

ステップS1において、ユーザは、認証端末20で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS2において、認証端末20(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページを認証端末20に返却する。
In step S<b>1 , the user performs an operation to start logging in to the authentication server 10 on the browser running on the authentication terminal 20 .
In step S2, the authentication terminal 20 (browser) accesses the authentication server 10 and requests a login page.
In step S3, the authentication server 10 returns the login page to the authentication terminal 20.

ステップS4において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS5において、認証端末20(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、2段階認証の開始ページを認証端末20に返却する。
In step S4, the user enters an ID (and password) on the displayed login page.
In step S 5 , the authentication terminal 20 (browser) transmits the input ID (and password) to the authentication server 10 .
In step S6, the authentication server 10 returns the start page for the two-step authentication to the authentication terminal 20.

ステップS7において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、ワンタイムパスワードを含むSMSを送信する。 In step S7, the authentication server 10 extracts the telephone number associated with the user's ID from the user information database stored in the memory unit 12, and sends an SMS including the one-time password to the authentication terminal 20 having this telephone number.

ステップS8において、ユーザは、送信されたSMSを閲覧し、記載されたワンタイムパスワードを読み取る。
ステップS9において、ユーザは、認証端末20(ブラウザ)に、読み取ったワンタイムパスワードを入力する。なお、このワンタイムパスワードの読み取り及び入力は、自動で行われてもよい。
ステップS10において、認証端末20(ブラウザ)は、入力されたワンタイムパスワードを認証サーバ10に送信する。
In step S8, the user views the sent SMS and reads the one-time password contained therein.
In step S9, the user inputs the read one-time password into the authentication terminal 20 (browser). Note that the reading and input of the one-time password may be performed automatically.
In step S 10 , the authentication terminal 20 (browser) transmits the input one-time password to the authentication server 10 .

ステップS11において、認証サーバ10は、ステップS7で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS12において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
In step S11, the authentication server 10 sends a push notification to the terminal number associated with the telephone number used in step S7.
In step S12, the authentication terminal 20 (application X) responds to the received push notification and accesses the sender.

ステップS13において、認証サーバ10は、ステップS10におけるワンタイムパスワードの送信元IPアドレスと、ステップS12におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS14において、認証サーバ10は、認証端末20に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
In step S13, the authentication server 10 confirms that the source IP address of the one-time password in step S10 is the same as the source IP address of the access in step S12.
In step S14, the authentication server 10 transmits a post-login completion page and authentication information to the authentication terminal 20, thereby completing the login.

図3は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証システム1Bの機能構成を示す図である。
認証システム1Bは、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用してSMS認証及び追加認証を実施するための構成である。認証サーバ10には、予めユーザが保有する認証端末20の電話番号を含む情報がユーザIDと紐付けて登録されている。
FIG. 3 is a diagram showing the functional configuration of an authentication system 1B in case B of this embodiment, that is, when the authentication terminal is different from the login terminal.
The authentication system 1B is configured to perform SMS authentication and additional authentication using the authentication terminal 20 when the login terminal 30 accesses the authentication server 10. Information including the telephone number of the authentication terminal 20 held by the user is registered in advance in the authentication server 10 in association with the user ID.

認証端末20は、ログイン端末30が認証サーバ10にログインする際に、2段階認証のために電話番号に基づくメッセージ(以下、SMSとする)を受信可能な情報処理装置であり、スマートフォンなどの携帯端末が該当する。 The authentication terminal 20 is an information processing device capable of receiving a message (hereinafter referred to as SMS) based on a telephone number for two-step authentication when the login terminal 30 logs in to the authentication server 10, and corresponds to a mobile terminal such as a smartphone.

認証端末20では、SMSを受信するアプリケーション(以下、SMSアプリという)が動作する。さらに、認証端末20には、URLにアクセスするためのアプリケーション(以下、ブラウザアプリという)の他、追加認証のため所定のアプリケーション(アプリX)が予めインストールされている。
このアプリXは、認証サーバ10からプッシュ通知が可能なアプリケーションであり、通知のための識別情報が電話番号に紐付けて認証サーバ10に登録される。
An application for receiving SMS (hereinafter referred to as an SMS application) runs on the authentication terminal 20. Furthermore, the authentication terminal 20 has pre-installed therein an application for accessing a URL (hereinafter referred to as a browser application) and a specific application (application X) for additional authentication.
This application X is an application that can receive push notifications from the authentication server 10, and identification information for notifications is associated with a telephone number and registered in the authentication server 10.

認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、メッセージ送信部111、要求受信部112、応答受信部113、送信元検証部114として機能する。 The control unit 11 of the authentication server 10 executes software (authentication program) stored in the memory unit 12, thereby functioning as a message sending unit 111, a request receiving unit 112, a response receiving unit 113, and a sender verification unit 114.

メッセージ送信部111は、ログイン端末30(ブラウザアプリ)からのユーザIDを伴うアクセスに応じて、ユーザIDに紐づく電話番号により認証端末20へ、URLが記載された認証用のSMSを送信する。 In response to access with a user ID from the login terminal 30 (browser application), the message sending unit 111 sends an authentication SMS containing a URL to the authentication terminal 20 using the telephone number associated with the user ID.

要求受信部112は、認証用のSMSに記載されたURLに基づく認証端末20(ブラウザアプリ)からの要求に応じて、対応するページを送信し、ユーザからの確認入力に応じた確認情報を受信する。 The request receiving unit 112 sends a corresponding page in response to a request from the authentication terminal 20 (browser application) based on the URL stated in the authentication SMS, and receives confirmation information according to the confirmation input from the user.

応答受信部113は、認証端末20の電話番号に紐付けられた識別情報により所定のアプリケーション(アプリX)に対してプッシュ通知を行い、このプッシュ通知に対する応答を受信する。 The response receiving unit 113 sends a push notification to a specific application (app X) using the identification information linked to the telephone number of the authentication terminal 20, and receives a response to this push notification.

送信元検証部114は、要求受信部112が受信した確認情報、及び応答受信部113が受信した応答の送信元IPアドレスが同一である場合に、ログイン端末30からのアクセスを認証し、ログインを完了させる。 If the confirmation information received by the request receiving unit 112 and the source IP address of the response received by the response receiving unit 113 are the same, the source verification unit 114 authenticates the access from the login terminal 30 and completes the login.

認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(ブラウザアプリ、SMSアプリ、アプリX)を実行することにより、メッセージ受信部211、認証要求部212、通知応答部213として機能する。 The control unit 21 of the authentication terminal 20 functions as a message receiving unit 211, an authentication request unit 212, and a notification response unit 213 by executing software (browser app, SMS app, app X) stored in the memory unit 22.

メッセージ受信部211は、SMSアプリにより、認証サーバ10から送信された認証用のSMSを受信してユーザに提示する。
このSMSには、認証情報としてのURLが記載されており、このURLによりブラウザアプリが起動される。
The message receiving unit 211 receives an SMS for authentication sent from the authentication server 10 by an SMS application, and presents the SMS to the user.
This SMS contains a URL as authentication information, and a browser application is started by this URL.

認証要求部212は、ブラウザアプリにより、認証用のSMSに記載されたURLのページを認証サーバ10に要求し、返却された確認ページに対してユーザの確認入力を受け付け、認証サーバ10へ確認情報を送信する。 The authentication request unit 212 uses a browser application to request the page with the URL listed in the authentication SMS from the authentication server 10, accepts the user's confirmation input for the returned confirmation page, and transmits the confirmation information to the authentication server 10.

通知応答部213は、認証端末20の電話番号に紐付けられた識別情報によるアプリXに対する認証サーバ10からのプッシュ通知に対して、このプッシュ通知の送信元へ応答する。 The notification response unit 213 responds to the sender of a push notification from the authentication server 10 for app X using identification information linked to the telephone number of the authentication terminal 20.

図4は、本実施形態のケースB、すなわち認証端末がログイン端末と異なる場合の認証手順を示すシーケンス図である。 Figure 4 is a sequence diagram showing the authentication procedure for case B of this embodiment, i.e., when the authentication terminal is different from the login terminal.

ステップS21において、ユーザは、ログイン端末30で動作するブラウザにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS22において、ログイン端末30(ブラウザ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS23において、認証サーバ10は、ログインページをログイン端末30に返却する。
In step S21, the user performs an operation to start logging in to the authentication server 10 using a browser running on the login terminal 30.
In step S22, the login terminal 30 (browser) accesses the authentication server 10 and requests a login page.
In step S23, the authentication server 10 returns the login page to the login terminal 30.

ステップS24において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS25において、ログイン端末30(ブラウザ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS26において、認証サーバ10は、2段階認証の開始ページをログイン端末30に返却する。
In step S24, the user enters an ID (and password) on the displayed login page.
In step S25, the login terminal 30 (browser) transmits the input ID (and password) to the authentication server 10.
In step S26, the authentication server 10 returns a start page for the two-step authentication to the login terminal 30.

ステップS27において、認証サーバ10は、記憶部12に格納されているユーザ情報データベースから、ユーザのIDに紐づく電話番号を抽出し、この電話番号を有する認証端末20に対して、2段階認証用のURLを含むSMSを送信する。 In step S27, the authentication server 10 extracts the telephone number associated with the user's ID from the user information database stored in the memory unit 12, and sends an SMS including a URL for two-step authentication to the authentication terminal 20 having this telephone number.

ステップS28において、ユーザは、送信されたSMSに記載されたURLを選択(タップ)し、認証端末20のブラウザにこのURLのページを開くことを要求する。
ステップS29において、認証端末20(ブラウザ)は、指定されたURLのページを認証サーバ10に要求する。
ステップS30において、認証サーバ10は、2段階認証の確認ページを認証端末20に返却する。
In step S28, the user selects (tap) the URL written in the sent SMS, and requests the browser of the authentication terminal 20 to open the page of this URL.
In step S29, the authentication terminal 20 (browser) requests the authentication server 10 for the page of the specified URL.
In step S30, the authentication server 10 returns a two-step authentication confirmation page to the authentication terminal 20.

ステップS31において、ユーザは、認証端末20のブラウザに表示された確認ページにおいて確認操作を行う(ボタンをタップする)。
ステップS32において、認証端末20(ブラウザ)は、ユーザから確認操作があったことを示す確認情報を認証サーバ10に送信する。
ステップS33において、認証サーバ10は、2段階認証の確認完了ページを認証端末20に返却する。
In step S31, the user performs a confirmation operation (tap a button) on the confirmation page displayed on the browser of the authentication terminal 20.
In step S32, the authentication terminal 20 (browser) transmits to the authentication server 10 confirmation information indicating that a confirmation operation has been performed by the user.
In step S33, the authentication server 10 returns a two-step authentication confirmation completion page to the authentication terminal 20.

ステップS34において、認証サーバ10は、ステップS27で使用した電話番号と紐付けられている端末番号に対して、プッシュ通知を行う。
ステップS35において、認証端末20(アプリX)は、受信したプッシュ通知に応答して、送信元へアクセスする。
In step S34, the authentication server 10 sends a push notification to the terminal number associated with the telephone number used in step S27.
In step S35, the authentication terminal 20 (application X) responds to the received push notification and accesses the sender.

ステップS36において、認証サーバ10は、ステップS32における確認情報の送信元IPアドレスと、ステップS35におけるアクセス元のIPアドレスとが同一であることを確認する。
ステップS37において、ユーザは、2段階認証の開始ページを更新(ボタンをタップ)、又は自動更新を待つ。これにより、ログイン端末30(ブラウザ)は、認証サーバ10に認証の状態を確認する。
ステップS38において、認証サーバ10は、ログイン端末30に対してログイン完了後のページと、認証情報とを送信しログインを完了する。
In step S36, the authentication server 10 confirms that the source IP address of the confirmation information in step S32 is the same as the source IP address of the access in step S35.
In step S37, the user refreshes the two-step authentication start page (tap the button) or waits for an automatic refresh, whereby the login terminal 30 (browser) checks the authentication status with the authentication server 10.
In step S38, the authentication server 10 transmits a page for after login completion and the authentication information to the login terminal 30, thereby completing the login.

なお、ケースAのシーケンス(図2)又はケースBのシーケンス(図4)において、追加認証(破線枠内)の通信は、ユーザIDの入力(ステップS5又はS25)後、送信元の検証(ステップS13又はS36)までの任意のタイミングで実施されてよい。 In the sequence of Case A (Figure 2) or the sequence of Case B (Figure 4), the communication for additional authentication (within the dashed frame) may be performed at any time after the input of the user ID (step S5 or S25) and before the verification of the sender (step S13 or S36).

本実施形態によれば、認証システム1(1A又は1B)は、SMS認証に伴う認証サーバ10に対するアクセス元のIPアドレスが、予め認証端末20にインストールされたアプリXに対するプッシュ通知の応答と同一のサブネットであることを検証することにより、認証強度を向上させる。すなわち、攻撃者が認証端末20に送信されたSMSを盗聴し不正ログインを試みた場合に、アクセス元のIPアドレスのサブネットがアプリXのIPアドレスと一致しないためログインに失敗する。
したがって、認証システム1は、多段階の認証システムにおいて、SMS認証の安全性を向上できる。
さらに、認証システム1は、IPアドレスの全体の一致を検証することで、端末が同一であることをより厳密に検証し、安全性を高めることができる。
According to this embodiment, the authentication system 1 (1A or 1B) improves the authentication strength by verifying that the IP address of the access source to the authentication server 10 accompanying the SMS authentication is the same subnet as the response of the push notification to the application X pre-installed in the authentication terminal 20. That is, when an attacker intercepts the SMS transmitted to the authentication terminal 20 and attempts unauthorized login, the login fails because the subnet of the IP address of the access source does not match the IP address of the application X.
Therefore, the authentication system 1 can improve the security of SMS authentication in a multi-stage authentication system.
Furthermore, the authentication system 1 can more strictly verify that the terminals are the same by verifying that the IP addresses match entirely, thereby improving security.

また、SMSの送受信が行われる認証端末20と、ログイン端末30とが異なるケースBの場合、ケースAと同様にワンタイムパスワードをログイン端末30に入力させると、認証端末20から認証サーバ10への認証要求の通信が発生しないため、認証サーバ10は、追加認証のためのIPアドレスを取得できない。
したがって、認証サーバ10は、SMS認証においてURLを認証端末20に通知し、確認画面からの通信を発生させることで、ケースBの場合であってもIPアドレスの同一性を検証することができる。
In addition, in case B, where the authentication terminal 20 used for sending and receiving SMS is different from the login terminal 30, if a one-time password is entered into the login terminal 30 as in case A, no communication of an authentication request from the authentication terminal 20 to the authentication server 10 occurs, and therefore the authentication server 10 cannot obtain an IP address for additional authentication.
Therefore, the authentication server 10 can verify the identity of the IP address even in case B by notifying the authentication terminal 20 of the URL in SMS authentication and generating communication from the confirmation screen.

なお、前述の実施形態により、例えば、マルウェア攻撃に強いSMS認証を実現し不正アクセス被害を低減できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。 The above-mentioned embodiment can, for example, realize SMS authentication that is resistant to malware attacks and reduce the damage caused by unauthorized access, which can contribute to Goal 9 of the United Nations-led Sustainable Development Goals (SDGs), which is to "build resilient infrastructure, promote sustainable industrialization and foster innovation."

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Furthermore, the effects described in the above-described embodiments are merely a list of the most favorable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the embodiments.

前述の実施形態では、認証端末20から認証サーバ10への認証要求の通信(ワンタイムパスワード又は確認情報)と、アプリXからの通信とでIPアドレスの同一性を検証したが、これには限られない。ケースAの場合、認証端末20から認証サーバ10への通信は複数発生するため、認証サーバ10は、アプリXからの通信と、他のいずれかの通信とでIPアドレスの同一性を検証してもよい。 In the above embodiment, the identity of the IP address is verified between the authentication request communication (one-time password or confirmation information) from the authentication terminal 20 to the authentication server 10 and the communication from application X, but this is not limited to the above. In case A, multiple communications occur from the authentication terminal 20 to the authentication server 10, so the authentication server 10 may verify the identity of the IP address between the communication from application X and any other communication.

また、前述の実施形態では、アプリXをSMSアプリとは異なるアプリケーションとしているが、例えば、認証端末20でRCS機能を持つSMSアプリを利用中の場合には、アプリXとSMSアプリとが同一であってもよい。また、この場合、プッシュ通知がSMSの送信を兼ねても、あるいは、SMS送信がプッシュ通知を兼ねてもよい。 In the above embodiment, app X is an application different from the SMS app, but for example, if an SMS app with an RCS function is being used on the authentication terminal 20, app X and the SMS app may be the same. In this case, the push notification may also serve as the transmission of an SMS, or the transmission of an SMS may also serve as the push notification.

前述の実施形態では、ケースA又はケースBのいずれであるかが予め判定されているものとして説明したが、次のように誤認される場合があり得る。
ケースBと判定したがAであった場合、ユーザのUXは多少悪化するものの認証自体は成功する。
ケースAと判定したがBであった場合、ユーザは正しく操作しているにもかかわらず認証に失敗する。したがって、認証サーバ10は、認証失敗時に、セキュリティ強化のため追加認証が必要になっている旨をユーザに提示し、通話認証など、より強度の高い2段階認証を追加で要求する。
In the above embodiment, it has been described that whether the case is case A or case B is determined in advance, but there are cases where this is misinterpreted as follows.
If the case is determined to be B but is actually A, the user's UX will be somewhat worsened but the authentication itself will be successful.
If the case is determined to be A but is actually B, authentication fails even though the user is performing the correct operation. Therefore, when authentication fails, the authentication server 10 notifies the user that additional authentication is required to strengthen security, and requests an additional two-step authentication with higher strength, such as telephone authentication.

また、HTTPプロクシ又はNATなどを原因としてIPアドレスの同一判定に失敗した場合についても、ユーザは正しく操作しているにもかかわらず認証に失敗するため、同様に、認証サーバ10は、別の追加認証を要求して対処する。 In addition, if the IP address identity determination fails due to an HTTP proxy or NAT, etc., authentication will fail even if the user is operating correctly, and the authentication server 10 will similarly handle this by requesting additional authentication.

認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The authentication method by authentication system 1 is realized by software. When realized by software, the programs that make up this software are installed in an information processing device (computer). These programs may be recorded on removable media such as CD-ROM and distributed to users, or may be distributed by being downloaded to the user's computer via a network. Furthermore, these programs may be provided to the user's computer as a web service via a network without being downloaded.

1、1A、1B 認証システム
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 メッセージ送信部
112 要求受信部
113 応答受信部
114 送信元検証部
211 メッセージ受信部
212 認証要求部
213 通知応答部
Reference Signs List 1, 1A, 1B Authentication system 10 Authentication server 11 Control unit 12 Storage unit 20 Authentication terminal 21 Control unit 22 Storage unit 30 Login terminal 111 Message transmission unit 112 Request reception unit 113 Response reception unit 114 Transmission source verification unit 211 Message reception unit 212 Authentication request unit 213 Notification response unit

Claims (9)

認証端末及び認証サーバを備え、前記認証端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証する認証システムであって、
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。
An authentication system comprising an authentication terminal and an authentication server, the authentication server authenticating an access accompanied by a user ID from the authentication terminal,
The authentication terminal includes:
a message receiving unit that receives an authentication message transmitted from the authentication server and presents the message to a user;
an authentication request unit that receives an input of a password described in the authentication message and transmits the password to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application,
The authentication server,
a message sending unit that sends the authentication message to the authentication terminal by a telephone number associated with the user ID in response to the access;
a request receiving unit for receiving the password input to the authentication terminal;
a response receiving unit that sends the push notification to the predetermined application using identification information associated with the telephone number and receives a response to the push notification;
and a source verification unit that authenticates the access when the password and a source IP address of the response are at least in the same subnet.
ログイン端末、認証端末及び認証サーバを備え、前記ログイン端末からのユーザIDを伴うアクセスに応じて、認証サーバが当該アクセスを認証する認証システムであって、
前記認証端末は、
前記認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたURLに基づくページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記認証サーバは、
前記アクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ前記認証用メッセージを送信するメッセージ送信部と、
要求に応じて前記認証端末へ前記URLに基づくページを送信し、前記確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により前記所定のアプリケーションに対して前記プッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証システム。
An authentication system comprising a login terminal, an authentication terminal, and an authentication server, wherein the authentication server authenticates an access accompanied by a user ID from the login terminal,
The authentication terminal includes:
a message receiving unit that receives an authentication message transmitted from the authentication server and presents the message to a user;
an authentication request unit that receives a confirmation input from the user for a page based on a URL described in the authentication message and transmits the confirmation information to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application,
The authentication server,
a message sending unit that sends the authentication message to the authentication terminal by a telephone number associated with the user ID in response to the access;
a request receiving unit that transmits a page based on the URL to the authentication terminal in response to a request and receives the confirmation information;
a response receiving unit that sends the push notification to the predetermined application using identification information associated with the telephone number and receives a response to the push notification;
a source verification unit that authenticates the access when the source IP address of the confirmation information and the response are at least in the same subnetwork.
前記送信元検証部は、前記送信元IPアドレスの全体が一致する場合に前記アクセスを認証する請求項1又は請求項2に記載の認証システム。 The authentication system according to claim 1 or 2, wherein the sender verification unit authenticates the access if the entire sender IP address matches. ユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたパスワードの入力を受け付け、前記認証サーバへ送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスが認証される認証端末。
a message receiving unit that receives an authentication message transmitted from an authentication server by a telephone number associated with the user ID in response to an access using the user ID, and presents the message to the user;
an authentication request unit that receives an input of a password described in the authentication message and transmits the password to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application using identification information associated with the telephone number,
An authentication terminal, the access of which is authenticated by the authentication server when the password and the source IP address of the response are at least in the same subnetwork.
ログイン端末からのユーザIDを伴うアクセスに応じて、当該ユーザIDに紐づく電話番号により認証サーバから送信される認証用メッセージを受信してユーザに提示するメッセージ受信部と、
前記認証用メッセージに記載されたURLに基づき前記認証サーバから送信されたページに対して、前記ユーザの確認入力を受け付け、前記認証サーバへ確認情報を送信する認証要求部と、
前記電話番号に紐付けられた識別情報による所定のアプリケーションに対する前記認証サーバからのプッシュ通知に対して、当該プッシュ通知の送信元へ応答する通知応答部と、を備え、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に、前記認証サーバにより前記アクセスを認証させる認証端末。
a message receiving unit that receives an authentication message transmitted from an authentication server by a telephone number associated with a user ID in response to an access from a login terminal using the user ID, and presents the message to the user;
an authentication request unit that receives a confirmation input from the user for a page transmitted from the authentication server based on a URL described in the authentication message, and transmits the confirmation information to the authentication server;
a notification response unit that responds to a sender of a push notification from the authentication server for a predetermined application using identification information associated with the telephone number,
an authentication terminal that causes the authentication server to authenticate the access when the source IP addresses of the confirmation information and the response are at least in the same subnetwork;
認証端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により前記認証端末へ、パスワードが記載された認証用メッセージを送信するメッセージ送信部と、
前記認証端末に入力された前記パスワードを受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記パスワード及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。
a message sending unit that sends an authentication message including a password to the authentication terminal by a telephone number associated with the user ID in response to an access from the authentication terminal including the user ID;
a request receiving unit for receiving the password input to the authentication terminal;
a response receiving unit that sends a push notification to a predetermined application running on the authentication terminal using identification information associated with the telephone number, and receives a response to the push notification;
an origin verification unit that authenticates the access when the password and the origin IP address of the response are at least in the same subnetwork.
ログイン端末からのユーザIDを伴うアクセスに応じて、前記ユーザIDに紐づく電話番号により認証端末へ認証用メッセージを送信するメッセージ送信部と、
前記認証用メッセージに記載されたURLに基づく要求に応じてページを送信し、ユーザからの確認入力に応じた確認情報を受信する要求受信部と、
前記電話番号に紐付けられた識別情報により、前記認証端末で動作する所定のアプリケーションに対してプッシュ通知を行い、当該プッシュ通知に対する応答を受信する応答受信部と、
前記確認情報及び前記応答の送信元IPアドレスが少なくとも同一のサブネットである場合に前記アクセスを認証する送信元検証部と、を備える認証サーバ。
a message sending unit that sends an authentication message to an authentication terminal by a telephone number associated with the user ID in response to an access from a login terminal accompanied by the user ID;
a request receiving unit that transmits a page in response to a request based on a URL described in the authentication message and receives confirmation information in response to a confirmation input from a user;
a response receiving unit that sends a push notification to a predetermined application running on the authentication terminal using identification information associated with the telephone number, and receives a response to the push notification;
an origin verification unit that authenticates the access when the confirmation information and the source IP address of the response are at least in the same subnetwork.
請求項6に記載の認証サーバとしてコンピュータを機能させるための認証プログラム。 An authentication program for causing a computer to function as the authentication server according to claim 6. 請求項7に記載の認証サーバとしてコンピュータを機能させるための認証プログラム。 An authentication program for causing a computer to function as the authentication server according to claim 7.
JP2021195450A 2021-12-01 2021-12-01 Authentication system, authentication terminal, authentication server, and authentication program Active JP7519979B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021195450A JP7519979B2 (en) 2021-12-01 2021-12-01 Authentication system, authentication terminal, authentication server, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021195450A JP7519979B2 (en) 2021-12-01 2021-12-01 Authentication system, authentication terminal, authentication server, and authentication program

Publications (2)

Publication Number Publication Date
JP2023081604A JP2023081604A (en) 2023-06-13
JP7519979B2 true JP7519979B2 (en) 2024-07-22

Family

ID=86728206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021195450A Active JP7519979B2 (en) 2021-12-01 2021-12-01 Authentication system, authentication terminal, authentication server, and authentication program

Country Status (1)

Country Link
JP (1) JP7519979B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2025021854A (en) * 2023-08-01 2025-02-14 光浩 松尾 Login system, login lock method and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010117988A (en) 2008-11-14 2010-05-27 Aya Echo:Kk System and method for high-level authentication and formation of secure virtual network
WO2011083867A1 (en) 2010-01-08 2011-07-14 Hishinuma Noboru Authentication device, authentication method, and program
JP2015082140A (en) 2013-10-21 2015-04-27 株式会社りーふねっと One-time password issuing device, program, and one-time password issuing method
JP2019517087A (en) 2016-04-25 2019-06-20 イーストーム カンパニー,リミテッド Authentication method and system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010117988A (en) 2008-11-14 2010-05-27 Aya Echo:Kk System and method for high-level authentication and formation of secure virtual network
WO2011083867A1 (en) 2010-01-08 2011-07-14 Hishinuma Noboru Authentication device, authentication method, and program
JP2015082140A (en) 2013-10-21 2015-04-27 株式会社りーふねっと One-time password issuing device, program, and one-time password issuing method
JP2019517087A (en) 2016-04-25 2019-06-20 イーストーム カンパニー,リミテッド Authentication method and system

Also Published As

Publication number Publication date
JP2023081604A (en) 2023-06-13

Similar Documents

Publication Publication Date Title
CN108901022B (en) A unified authentication method and gateway for microservices
US8875232B2 (en) User authentication
EP2919435B1 (en) Communication terminal and secure log-in method and program
US8510811B2 (en) Network transaction verification and authentication
US10122697B2 (en) Native authentication experience with failover
CN104144163B (en) Auth method, apparatus and system
KR102001544B1 (en) Apparatus and method to enable a user authentication in a communication system
CN113341798A (en) Method, system, device, equipment and storage medium for remotely accessing application
US9787678B2 (en) Multifactor authentication for mail server access
CN105847245A (en) Electronic mail box login authentication method and device
US11165768B2 (en) Technique for connecting to a service
CN110166453A (en) A kind of interface authentication method, system and storage medium based on SE chip
JP2008181310A (en) Authentication server and authentication program
CN112929388A (en) Network identity cross-device application rapid authentication method and system, and user agent device
JP4914725B2 (en) Authentication system, authentication program
JP7519979B2 (en) Authentication system, authentication terminal, authentication server, and authentication program
TWI643086B (en) Method for binding by scanning two-dimensional barcode
US12348957B2 (en) Core network transformation authenticator
CN117579402B (en) Platform secondary authentication login system and method
EP3582469B1 (en) Authentication using a mobile network operator system
JP7519977B2 (en) Authentication system, authentication terminal and authentication program
CN117792785A (en) Access control method, device, equipment and storage medium of WeChat applet
JP7611805B2 (en) Authentication system, authentication terminal, authentication server, and authentication program
KR20180099992A (en) Consolidated Authentication Method based on Certificate
JP7403430B2 (en) Authentication device, authentication method and authentication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240605

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240709

R150 Certificate of patent or registration of utility model

Ref document number: 7519979

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150