JP7525465B2 - 認証システム、認証端末、認証サーバ及び認証プログラム - Google Patents
認証システム、認証端末、認証サーバ及び認証プログラム Download PDFInfo
- Publication number
- JP7525465B2 JP7525465B2 JP2021199092A JP2021199092A JP7525465B2 JP 7525465 B2 JP7525465 B2 JP 7525465B2 JP 2021199092 A JP2021199092 A JP 2021199092A JP 2021199092 A JP2021199092 A JP 2021199092A JP 7525465 B2 JP7525465 B2 JP 7525465B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- response
- unit
- additional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、認証アプリを用いた多段階の認証システムに関する。
従来、ユーザの端末に特定のアプリケーション(認証アプリ)をインストールさせ、この認証アプリによって生成されるワンタイムパスワード(OTP)、又は認証アプリを用いた承認操作をログインの際に求める2段階認証が普及している(例えば、特許文献1参照)。
しかしながら、このような認証アプリをインストールした端末が紛失又は故障などで利用不能となった場合に、ログイン不能となってしまう問題があった。また、認証アプリが利用不能となった際に、認証アプリを用いずにログインを可能とする、すなわち認証アプリを無効化する方法が存在する場合、この方法に認証アプリ以上の認証強度がないことが問題となっていた。
本発明は、認証端末の認証アプリによる追加認証を安全に無効化できる認証システムを提供することを目的とする。
本発明に係る認証システムは、ログイン端末、認証端末及び認証サーバを備えた認証システムであって、前記認証サーバは、認証済みの前記認証端末が有する認証アプリへのプッシュ通知のための識別情報を受信し、ユーザIDと紐付けて登録するアプリ登録部と、前記ログイン端末からのユーザIDを伴うログイン要求のアクセスに応じて、前記認証端末での前記認証アプリの動作を要する追加認証シーケンスを実行する追加認証部と、前記認証アプリへの通知に対して、当該認証アプリを特定する情報を含む応答を待ち受ける端末応答受信部と、を備え、前記追加認証部は、前記認証端末から所定時間内に前記応答がない場合に、前記追加認証シーケンスを無効化し、前記認証端末は、前記識別情報を、認証情報とともに前記認証サーバへ送信する識別情報送信部と、前記認証サーバから前記認証アプリにより受信した通知に対して、前記応答を送信する応答送信部と、前記追加認証シーケンスが要する前記認証アプリの動作を実行する認証動作部と、を備える。
前記端末応答受信部は、前記追加認証部が前記ログイン端末から前記追加認証シーケンスの無効化要求を受け付けた場合に、前記認証アプリへ前記通知を送信し前記応答を待ち受けてもよい。
前記認証サーバは、前記追加認証部により前記追加認証シーケンスが無効化されると、無効化された状態のまま、再度ユーザ端末にログイン操作を要求してもよい。
前記認証動作部は、前記追加認証シーケンスにおいてログイン端末に入力されるワンタイムパスワードを、前記認証アプリにより発行してもよい。
前記認証サーバは、前記応答がない場合に、前記ユーザIDに紐づく電話番号に対して確認用メッセージを送信し、当該確認用メッセージに対する確認情報を受信する無効化確認部を備え、前記追加認証部は、前記確認情報を受信した場合に、前記追加認証シーケンスを無効化してもよい。
前記端末応答受信部は、前記通知を複数回繰り返し、前記追加認証部は、前記応答が一度もない場合に、前記追加認証シーケンスを無効化してもよい。
前記認証端末は、前記通知に応じて、前記認証アプリによりユーザの無効化承認操作を受け付け、前記認証サーバへ承認情報を通知する無効化承認部を備え、前記追加認証部は、前記承認情報を受け付けると、前記追加認証シーケンスを無効化してもよい。
前記端末応答受信部は、前記応答をセルラー通信でのみ受け付けてもよい。
本発明に係る認証端末は、自端末が有する認証アプリへのプッシュ通知のための識別情報を、認証情報とともに認証サーバへ送信し、ユーザIDと紐付けて登録させる識別情報送信部と、ログイン端末から前記認証サーバへのユーザIDを伴うログイン要求のアクセスに応じて、前記認証アプリの動作を要する追加認証シーケンスを実行する認証動作部と、前記認証サーバから前記認証アプリにより受信した通知に対して、当該認証アプリを特定する情報を含む応答を送信することで、前記認証サーバにおける前記追加認証シーケンスの無効化を拒否する応答送信部と、を備える。
本発明に係る認証サーバは、認証済みの認証端末が有する認証アプリへのプッシュ通知のための識別情報を受信し、ユーザIDと紐付けて登録するアプリ登録部と、ログイン端末からのユーザIDを伴うログイン要求のアクセスに応じて、前記認証端末での前記認証アプリの動作を要する追加認証シーケンスを実行する追加認証部と、前記認証アプリへの通知に対して、当該認証アプリを特定する情報を含む応答を待ち受ける端末応答受信部と、を備え、前記追加認証部は、前記認証端末から所定時間内に前記応答がない場合に、前記追加認証シーケンスを無効化する。
本発明に係る認証プログラムは、前記認証サーバとしてコンピュータを機能させるためのものである。
本発明によれば、認証端末の認証アプリによる追加認証を安全に無効化できる。
[第1実施形態]
以下、本発明の第1実施形態について説明する。
本実施形態の認証方法は、認証端末(スマートフォン)における認証アプリの無効化に関する方法である。ユーザのログインを認証するサーバは、認証アプリの無効化が要求された際に、認証アプリに対して通知を行い、一定時間応答がなかった場合に無効化を許可することにより、認証アプリを安全に無効化する。
以下、本発明の第1実施形態について説明する。
本実施形態の認証方法は、認証端末(スマートフォン)における認証アプリの無効化に関する方法である。ユーザのログインを認証するサーバは、認証アプリの無効化が要求された際に、認証アプリに対して通知を行い、一定時間応答がなかった場合に無効化を許可することにより、認証アプリを安全に無効化する。
ここで、スマートフォンは、多くの場合、常時電源ONで利用されている。したがって、認証アプリの無効化要求が悪意のある攻撃者によるものであった際にも電源が入っている可能性が高い。このため、本実施形態では、認証アプリに、通知があった場合速やかに認証サーバにアクセスを行う機能を付加しておくことで、認証サーバは、認証アプリから一定時間応答がない場合に限り認証アプリの無効化を行う。
図1は、本実施形態における認証システム1の各装置の機能構成を示す図である。
認証システム1は、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用した追加認証を実施するための構成である。
認証システム1は、ログイン端末30が認証サーバ10へアクセスする際に、認証端末20を利用した追加認証を実施するための構成である。
認証端末20は、追加認証シーケンスに要する認証アプリが予めインストールされている。例えば、認証アプリは、ユーザがログイン端末に入力するためのワンタイムパスワード(OTP)を発行するアプリケーションである。
認証アプリは、認証サーバ10からのプッシュ通知を受信するための固有の識別情報(アプリ識別子)を有しており、他の手段により認証されたユーザによってユーザIDと紐付けて認証サーバ10に登録される。
認証アプリは、認証サーバ10からのプッシュ通知を受信するための固有の識別情報(アプリ識別子)を有しており、他の手段により認証されたユーザによってユーザIDと紐付けて認証サーバ10に登録される。
認証サーバ10の制御部11は、記憶部12に記憶されたソフトウェア(認証プログラム)を実行することにより、アプリ登録部111、追加認証部112、及び端末応答受信部113として機能する。
アプリ登録部111は、認証済みの認証端末20が有する認証アプリへのプッシュ通知のためのアプリ識別子を受信し、ユーザIDと紐付けて登録する。
追加認証部112は、ログイン端末30からのユーザIDを伴うログイン要求のアクセスに応じて、認証端末20での認証アプリの動作を要する追加認証シーケンスを実行する。
例えば、追加認証部112は、ログイン端末30にOTP入力ページを提示し、認証アプリが発行するOTPの入力を受け付け、ログインを完了させる。
例えば、追加認証部112は、ログイン端末30にOTP入力ページを提示し、認証アプリが発行するOTPの入力を受け付け、ログインを完了させる。
ここで、追加認証部112は、この追加認証シーケンス中に、ログイン端末30から追加認証シーケンスの無効化要求を受け付けると、端末応答受信部113を動作させ、認証端末20から所定時間(例えば、数秒~数分程度)内に応答がない場合に、追加認証シーケンスを無効化してログイン端末30からのアクセスを認証する。
端末応答受信部113は、ログイン端末30からのログイン要求に応じて、あるいは、追加認証部112がログイン端末30から追加認証シーケンスの無効化要求を受け付けると、認証アプリへのプッシュ通知に対して、この認証アプリを特定する情報を含む応答を待ち受け、応答があったこと、又は応答がないことを追加認証部112へ通知する。
ここで、さらに認証の強度を高める必要がある場合、端末応答受信部113は、認証アプリへのプッシュ通知を複数回繰り返してもよく、この場合、追加認証部112は、認証端末20からの応答が一度もない場合に、追加認証シーケンスを無効化する。
また、追加認証部112は、認証端末20からの応答を待機する期間を、1日~数日程度まで延長してもよい。
さらに、端末応答受信部113は、応答をセルラー通信でのみ、すなわち特定のアクセス元IPからの応答のみを受け付けてもよい。この場合、認証端末20は、通信経路を指定又は通信経路が限定されるような通信方法(例えば、MPTCP)を利用する。
また、追加認証部112は、認証端末20からの応答を待機する期間を、1日~数日程度まで延長してもよい。
さらに、端末応答受信部113は、応答をセルラー通信でのみ、すなわち特定のアクセス元IPからの応答のみを受け付けてもよい。この場合、認証端末20は、通信経路を指定又は通信経路が限定されるような通信方法(例えば、MPTCP)を利用する。
認証端末20の制御部21は、記憶部22に記憶されたソフトウェア(認証アプリ)を実行することにより、識別情報送信部211、応答送信部212、及び認証動作部213として機能する。
識別情報送信部211は、認証端末20が有する認証アプリへのプッシュ通知のためのアプリ識別子を、認証情報(認証サーバ10から払い出された認証情報、又は認証アプリで発行されたOTP)とともに認証サーバ10へ送信し、ユーザIDと紐付けて登録させる。
応答送信部212は、ログイン端末30から認証サーバ10への追加認証シーケンスの無効化要求に応じて、認証サーバ10から認証アプリにより受信したプッシュ通知に対して、認証アプリを特定する情報を含む応答を送信することで、認証サーバ10における追加認証シーケンスの無効化を拒否する。
認証動作部213は、追加認証シーケンスが要する認証アプリの動作を実行する。例えば、認証動作部213は、追加認証シーケンスにおいてログイン端末30に入力されるOTPを、認証アプリにより発行し、ユーザに提示する。
図2は、本実施形態における認証アプリを用いた2段階認証が行われる場合のシーケンスを示す図である。
この例では、ID及びパスワードによる認証に続いて、認証アプリにより発行されるOTPによる追加認証が行われる。
この例では、ID及びパスワードによる認証に続いて、認証アプリにより発行されるOTPによる追加認証が行われる。
ステップS1において、ユーザは、ログイン端末30で動作するブラウザアプリにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS2において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS2において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS3において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS4において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS5において、ログイン端末30(ブラウザアプリ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、ID(及びパスワード)を確認後、OTPの入力ページをログイン端末30に返却する。
ステップS5において、ログイン端末30(ブラウザアプリ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS6において、認証サーバ10は、ID(及びパスワード)を確認後、OTPの入力ページをログイン端末30に返却する。
ステップS7において、ユーザは、認証端末20の認証アプリを動作させ、OTPを取得する。
ステップS8において、ユーザは、取得したOTPをログイン端末30のOTP入力ページに入力する。
ステップS8において、ユーザは、取得したOTPをログイン端末30のOTP入力ページに入力する。
ステップS9において、ログイン端末30(ブラウザアプリ)は、入力されたOTPを認証サーバ10に送信する。
ステップS10において、認証サーバ10は、受信したOTPの正当性を確認すると、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
ステップS10において、認証サーバ10は、受信したOTPの正当性を確認すると、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
図3は、本実施形態における追加認証を行うための認証端末20の登録シーケンスを示す図である。
ここでは、認証サーバ10において認証アプリの無効化を可能とするために、プッシュ通知の宛先を識別するためのアプリ識別子が合わせて登録される。
ここでは、認証サーバ10において認証アプリの無効化を可能とするために、プッシュ通知の宛先を識別するためのアプリ識別子が合わせて登録される。
ステップS11において、ユーザは、ログイン端末30で動作するブラウザアプリにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS12において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS13において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS12において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS13において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS14において、ユーザは、表示されたログインページにID及びパスワードを入力する。
ステップS15において、ログイン端末30(ブラウザアプリ)は、入力されたID及びパスワードを認証サーバ10に送信する。
ステップS16において、認証サーバ10は、受信したID及びパスワードの正当性を確認すると、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
ステップS15において、ログイン端末30(ブラウザアプリ)は、入力されたID及びパスワードを認証サーバ10に送信する。
ステップS16において、認証サーバ10は、受信したID及びパスワードの正当性を確認すると、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
ステップS17において、ユーザは、ログイン端末30(ブラウザアプリ)において、認証アプリの登録ページにアクセスする。
ステップS18において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、認証アプリの登録要求を行う。
ステップS19において、認証サーバ10は、認証アプリを登録するための認証情報をログイン端末30に返却する。
ステップS18において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、認証アプリの登録要求を行う。
ステップS19において、認証サーバ10は、認証アプリを登録するための認証情報をログイン端末30に返却する。
ステップS20において、ユーザは、ログイン端末30(ブラウザアプリ)に提示された認証情報を閲覧し、認証端末20において、認証アプリの所定の画面に入力する。
ステップS21において、認証端末20(認証アプリ)は、プッシュ通知用の情報として、認証アプリで発行したOTP又は入力された認証情報と、固有のアプリ識別子とを、認証サーバ10に送信する。
ステップS22において、認証サーバ10は、OTP又は認証情報により特定されるユーザIDと紐付けて、アプリ識別子を登録する。
ステップS21において、認証端末20(認証アプリ)は、プッシュ通知用の情報として、認証アプリで発行したOTP又は入力された認証情報と、固有のアプリ識別子とを、認証サーバ10に送信する。
ステップS22において、認証サーバ10は、OTP又は認証情報により特定されるユーザIDと紐付けて、アプリ識別子を登録する。
なお、ログイン完了までのシーケンス(ステップS11~S16)は、これに限られず、例えば次のような様々な認証手段が採用され得る。
・SMS OTPを用いた2段階認証
・SMS URLを用いた2段階認証
・通話を用いた2段階認証
・アプリを用いた承認フローを用いた2段階認証
・SMS OTPを用いた2段階認証
・SMS URLを用いた2段階認証
・通話を用いた2段階認証
・アプリを用いた承認フローを用いた2段階認証
図4は、本実施形態における追加認証シーケンスの無効化シーケンスを示す図である。
この例では、ユーザID及びパスワードによる認証の後、OTP入力による追加認証シーケンスの無効化が要求される。
この例では、ユーザID及びパスワードによる認証の後、OTP入力による追加認証シーケンスの無効化が要求される。
ステップS31において、ユーザは、ログイン端末30で動作するブラウザアプリにおいて、認証サーバ10へのログインの開始操作を行う。
ステップS32において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS33において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS32において、ログイン端末30(ブラウザアプリ)は、認証サーバ10にアクセスし、ログインページを要求する。
ステップS33において、認証サーバ10は、ログインページをログイン端末30に返却する。
ステップS34において、ユーザは、表示されたログインページにID(及びパスワード)を入力する。
ステップS35において、ログイン端末30(ブラウザアプリ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS36において、認証サーバ10は、受信したID(及びパスワード)の正当性を確認すると、追加認証のためのOTPの入力ページをログイン端末30に返却する。
ステップS35において、ログイン端末30(ブラウザアプリ)は、入力されたID(及びパスワード)を認証サーバ10に送信する。
ステップS36において、認証サーバ10は、受信したID(及びパスワード)の正当性を確認すると、追加認証のためのOTPの入力ページをログイン端末30に返却する。
ステップS37において、ユーザは、OTPの入力ページに対して、OTPを入力する代わりに、OTPによる追加認証シーケンスの無効化を要求する操作をし、認証サーバ10に通知する。
ステップS38において、認証サーバ10は、ユーザIDに紐づけられているアプリ識別子を用いて、認証端末20に対してプッシュ通知を行う。
ここで、認証端末20が利用可能な場合、ステップS39において、認証端末20は、受信したプッシュ通知に対して、OTP、認証情報又はアプリ識別子を含む応答を送信する。この場合、認証サーバ10は、追加認証シーケンスの無効化を許可せず、引き続きログイン端末30からのOTPの送信を待ち受ける。
一方、認証端末20が紛失又は故障のため利用できない場合、ステップS38のプッシュ通知に対するステップS39の応答が得られない。この場合、認証サーバ10は、一定時間応答がないことを確認後、認証アプリを用いた追加認証シーケンスを無効化し、ログイン端末30からのログインを認証する。
そして、ステップS40において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
そして、ステップS40において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
なお、本実施形態における追加認証は、例示したような、認証アプリにより発行されるOTPを入力ページに入力するシーケンスには限られず、ユーザが認証アプリを動作させるものであればよい。例えば、認証アプリにユーザが認証操作を行う2段階認証の場合であれば、ステップS36においてログイン端末30に返却されるページは、認証アプリでの操作を要求する旨を表示したページとなり、シーケンスは適宜変更される。
また、本実施形態では、ステップS40において、追加認証シーケンスを無効化したままログイン端末30のユーザを認証しログインを完了しているが、これには限られない。例えば、認証サーバ10は、追加認証シーケンスを無効化した状態で再度ログインページを提示し、ユーザにログイン操作をやり直させてもよい。
[第2実施形態]
以下、本発明の第2実施形態について説明する。
本実施形態では、認証サーバ10は、プッシュ通知に対する応答がないユーザに対して、追加認証シーケンスの無効化を許可するための再確認を要求する。
以下、本発明の第2実施形態について説明する。
本実施形態では、認証サーバ10は、プッシュ通知に対する応答がないユーザに対して、追加認証シーケンスの無効化を許可するための再確認を要求する。
図5は、本実施形態における認証システム1の各装置の機能構成を示す図である。
第1実施形態と比べて、認証サーバ10の制御部11は、新たに、無効化確認部114を備え、追加認証部112の機能が追加される。
第1実施形態と比べて、認証サーバ10の制御部11は、新たに、無効化確認部114を備え、追加認証部112の機能が追加される。
無効化確認部114は、認証端末20から応答がない場合に、ユーザIDに紐づく電話番号に対して確認用メッセージ(SMS)を送信し、このSMSに対するユーザ操作に基づく確認情報を受信する。
例えば、ユーザは、SMSに記載されたOTPをログイン端末30から認証サーバ10へ送信、あるいは、SMSに記載されたURLにアクセスすることで、追加認証シーケンスの無効化を許可する。
そして、追加認証部112は、認証端末20から確認情報を受信した場合に、追加認証シーケンスを無効化する。
例えば、ユーザは、SMSに記載されたOTPをログイン端末30から認証サーバ10へ送信、あるいは、SMSに記載されたURLにアクセスすることで、追加認証シーケンスの無効化を許可する。
そして、追加認証部112は、認証端末20から確認情報を受信した場合に、追加認証シーケンスを無効化する。
図6は、本実施形態における追加認証シーケンスの無効化シーケンスを示す図である。
このシーケンスでは、ステップS31~S38まで、第1実施形態(図4)と同じ処理手順である。
このシーケンスでは、ステップS31~S38まで、第1実施形態(図4)と同じ処理手順である。
ここで、認証端末20が紛失又は故障のため利用できない場合、ステップS38のプッシュ通知に対するステップS39の応答が得られない。
この場合、ステップS41において、認証サーバ10は、一定時間応答がないことを確認後、ユーザへの再確認用のSMSをユーザの電話番号に対して送信する。
この場合、ステップS41において、認証サーバ10は、一定時間応答がないことを確認後、ユーザへの再確認用のSMSをユーザの電話番号に対して送信する。
なお、送信されたSMSを受信する端末は、本来の認証端末20を紛失などして機種変更をした場合には新たな端末であり、初期化などで認証アプリ自体又は認証アプリの保持する認証情報を喪失したような場合には同一の認証端末20である。
ステップS42において、ユーザは、認証端末20又は新たな端末で受信したSMSに対して、再確認の操作(URLへのアクセス、OTPの入力など)を行い、認証サーバ10へ確認情報を送信する。
ステップS43において、認証サーバ10は、確認情報を受信すると、認証アプリを用いた追加認証シーケンスを無効化し、ログイン端末30からのログインを認証する。
そして、ステップS44において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
なお、認証サーバ10は、確認情報を得られない場合、無効化を許可せず、ステップS39と同様に、引き続き追加認証のためにログイン端末30からのOTPを待ち受ける。
そして、ステップS44において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
なお、認証サーバ10は、確認情報を得られない場合、無効化を許可せず、ステップS39と同様に、引き続き追加認証のためにログイン端末30からのOTPを待ち受ける。
[第3実施形態]
以下、本発明の第3実施形態について説明する。
本実施形態では、認証サーバ10は、プッシュ通知に対する応答があった認証アプリから、別途ユーザの操作に基づく承認情報を受け付けた場合に、追加認証シーケンスを無効化する。
以下、本発明の第3実施形態について説明する。
本実施形態では、認証サーバ10は、プッシュ通知に対する応答があった認証アプリから、別途ユーザの操作に基づく承認情報を受け付けた場合に、追加認証シーケンスを無効化する。
図7は、本実施形態における認証システム1の各装置の機能構成を示す図である。
第1実施形態と比べて、認証端末20の制御部21は、新たに、無効化承認部214を備え、認証サーバ10の追加認証部112に対して機能が追加される。
第1実施形態と比べて、認証端末20の制御部21は、新たに、無効化承認部214を備え、認証サーバ10の追加認証部112に対して機能が追加される。
無効化承認部214は、認証サーバ10からのプッシュ通知に応じて、認証アプリによりユーザの無効化承認操作を受け付け、認証サーバ10へ承認情報を通知する。
認証サーバ10の追加認証部112は、この承認情報を受け付けると、追加認証シーケンスを無効化する。
認証サーバ10の追加認証部112は、この承認情報を受け付けると、追加認証シーケンスを無効化する。
図8は、本実施形態における追加認証シーケンスの無効化シーケンスを示す図である。
このシーケンスでは、ステップS31~S39まで、第1実施形態(図4)と同じ処理手順である。
認証端末20が利用可能なため、ステップS39において、認証端末20は、受信したプッシュ通知に対して、OTP、認証情報又はアプリ識別子を含む応答を送信する。したがって、認証サーバ10は、この時点では追加認証シーケンスの無効化を許可しない。
このシーケンスでは、ステップS31~S39まで、第1実施形態(図4)と同じ処理手順である。
認証端末20が利用可能なため、ステップS39において、認証端末20は、受信したプッシュ通知に対して、OTP、認証情報又はアプリ識別子を含む応答を送信する。したがって、認証サーバ10は、この時点では追加認証シーケンスの無効化を許可しない。
ステップS51において、認証端末20(認証アプリ)は、ログイン端末30から無効化要求があったことをユーザに通知する。
ステップS52において、ユーザは、認証アプリに対して無効化を承認する操作を行う。
ステップS53において、認証端末20(認証アプリ)は、承認情報として、OTP又は認証情報を認証サーバ10に送信する。
ステップS52において、ユーザは、認証アプリに対して無効化を承認する操作を行う。
ステップS53において、認証端末20(認証アプリ)は、承認情報として、OTP又は認証情報を認証サーバ10に送信する。
ステップS54において、認証サーバ10は、承認情報を受信すると、認証アプリを用いた追加認証シーケンスを無効化し、ログイン端末30からのログインを認証する。
そして、ステップS55において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
そして、ステップS55において、認証サーバは、ログイン端末30に対してログイン完了後のページと認証情報とを返却し、ログインを完了する。
前述の実施形態によれば、認証システム1は、認証端末20の認証アプリに対して、プッシュ通知に常に応答する機能を付加することにより、この認証アプリへのプッシュ通知に対する応答がない場合に限り、追加認証の無効化を許可する。
これにより、例えば、追加認証に必要な認証端末20が紛失又は故障した際の復旧手段として、一般的なSMSを用いた手段に代えて、認証サーバ10は、認証アプリが応答できなくなった状態を判断することで、認証端末20の認証アプリによる追加認証を安全に無効化できる。
これにより、例えば、追加認証に必要な認証端末20が紛失又は故障した際の復旧手段として、一般的なSMSを用いた手段に代えて、認証サーバ10は、認証アプリが応答できなくなった状態を判断することで、認証端末20の認証アプリによる追加認証を安全に無効化できる。
さらに、認証サーバ10は、ログイン端末30から追加認証シーケンスの無効化要求を受け付けた場合に限りプッシュ通知を行ってもよく、これにより、無用な通信処理を削減できる。
また、追加認証が無効化された場合、認証サーバ10は、無効化された状態のまま、再度ユーザ端末30にログイン操作を要求してもよく、これにより、さらに安全性を担保できる。
また、追加認証が無効化された場合、認証サーバ10は、無効化された状態のまま、再度ユーザ端末30にログイン操作を要求してもよく、これにより、さらに安全性を担保できる。
また、認証サーバ10は、認証アプリからの応答がない場合に、ユーザIDに紐づく電話番号に対して確認用メッセージ(SMS)を送信し、このSMSに対する確認情報を受信した場合に、追加認証シーケンスを無効化してもよい。
これにより、例えば、認証端末20がオフライン又は故障したなど、認証アプリが動作しない状況となった際にも、SMSに対する応答があった場合にのみ追加認証が無効化されるので、攻撃者による不正利用をさらに抑制できる。
これにより、例えば、認証端末20がオフライン又は故障したなど、認証アプリが動作しない状況となった際にも、SMSに対する応答があった場合にのみ追加認証が無効化されるので、攻撃者による不正利用をさらに抑制できる。
また、認証サーバ10は、認証アプリへのプッシュ通知を複数回繰り返し、応答が一度もない場合に、追加認証を無効化してもよい。
これにより、認証システム1は、追加認証の無効化に際して、安全性をより向上させることができる。
これにより、認証システム1は、追加認証の無効化に際して、安全性をより向上させることができる。
また、認証端末20は、認証アプリによりユーザの無効化承認操作を受け付け、認証サーバ10へ承認情報を通知することで、追加認証シーケンスを無効化させてもよい。
これにより、ユーザは、認証端末20が手元にある場合でも、任意に追加認証を無効化でき、例えば他の端末を追加認証用に再登録したい場合など、利便性が向上する。
これにより、ユーザは、認証端末20が手元にある場合でも、任意に追加認証を無効化でき、例えば他の端末を追加認証用に再登録したい場合など、利便性が向上する。
また、認証アプリによる認証サーバ10への応答は、セルラー通信のみに限定されてもよい。
これにより、例えば、紛失した認証端末20に対する給電、及びWiFi(登録商標)などの通信が与えられたまま動作し続けている場合であっても、セルラー通信を停止させることはできるため、追加認証の無効化が可能となる。
これにより、例えば、紛失した認証端末20に対する給電、及びWiFi(登録商標)などの通信が与えられたまま動作し続けている場合であっても、セルラー通信を停止させることはできるため、追加認証の無効化が可能となる。
なお、前述の実施形態により、例えば、認証用端末の紛失又は故障などに伴う認証アプリの安全な再セットアップ手段を提供できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 認証システム
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 アプリ登録部
112 追加認証部
113 端末応答受信部
114 無効化確認部
211 識別情報送信部
212 応答送信部
213 認証動作部
214 無効化承認部
10 認証サーバ
11 制御部
12 記憶部
20 認証端末
21 制御部
22 記憶部
30 ログイン端末
111 アプリ登録部
112 追加認証部
113 端末応答受信部
114 無効化確認部
211 識別情報送信部
212 応答送信部
213 認証動作部
214 無効化承認部
Claims (11)
- ログイン端末、認証端末及び認証サーバを備えた認証システムであって、
前記認証サーバは、
認証済みの前記認証端末が有する認証アプリへのプッシュ通知のための識別情報を受信し、ユーザIDと紐付けて登録するアプリ登録部と、
前記ログイン端末からのユーザIDを伴うログイン要求のアクセスに応じて、前記認証端末での前記認証アプリの動作を要する追加認証シーケンスを実行する追加認証部と、
前記認証アプリへの通知に対して、当該認証アプリを特定する情報を含む応答を待ち受ける端末応答受信部と、を備え、
前記追加認証部は、前記認証端末から所定時間内に前記応答がない場合に、前記追加認証シーケンスを無効化し、
前記認証端末は、
前記識別情報を、認証情報とともに前記認証サーバへ送信する識別情報送信部と、
前記認証サーバから前記認証アプリにより受信した通知に対して、前記応答を送信する応答送信部と、
前記追加認証シーケンスが要する前記認証アプリの動作を実行する認証動作部と、を備える認証システム。 - 前記端末応答受信部は、前記追加認証部が前記ログイン端末から前記追加認証シーケンスの無効化要求を受け付けた場合に、前記認証アプリへ前記通知を送信し前記応答を待ち受ける請求項1に記載の認証システム。
- 前記認証サーバは、前記追加認証部により前記追加認証シーケンスが無効化されると、無効化された状態のまま、再度ユーザ端末にログイン操作を要求する請求項1又は請求項2に記載の認証システム。
- 前記認証動作部は、前記追加認証シーケンスにおいてログイン端末に入力されるワンタイムパスワードを、前記認証アプリにより発行する請求項1から請求項3のいずれかに記載の認証システム。
- 前記認証サーバは、前記応答がない場合に、前記ユーザIDに紐づく電話番号に対して確認用メッセージを送信し、当該確認用メッセージに対する確認情報を受信する無効化確認部を備え、
前記追加認証部は、前記確認情報を受信した場合に、前記追加認証シーケンスを無効化する請求項1から請求項4のいずれかに記載の認証システム。 - 前記端末応答受信部は、前記通知を複数回繰り返し、
前記追加認証部は、前記応答が一度もない場合に、前記追加認証シーケンスを無効化する請求項1から請求項5のいずれかに記載の認証システム。 - 前記認証端末は、前記通知に応じて、前記認証アプリによりユーザの無効化承認操作を受け付け、前記認証サーバへ承認情報を通知する無効化承認部を備え、
前記追加認証部は、前記承認情報を受け付けると、前記追加認証シーケンスを無効化する請求項1から請求項6のいずれかに記載の認証システム。 - 前記端末応答受信部は、前記応答をセルラー通信でのみ受け付ける請求項1から請求項7のいずれかに記載の認証システム。
- 自端末が有する認証アプリへのプッシュ通知のための識別情報を、認証情報とともに認証サーバへ送信し、ユーザIDと紐付けて登録させる識別情報送信部と、
ログイン端末から前記認証サーバへのユーザIDを伴うログイン要求のアクセスに応じて、前記認証アプリの動作を要する追加認証シーケンスを実行する認証動作部と、
前記認証サーバから前記認証アプリにより受信した通知に対して、当該認証アプリを特定する情報を含む応答を送信することで、前記認証サーバにおける前記追加認証シーケンスの無効化を拒否する応答送信部と、を備える認証端末。 - 認証済みの認証端末が有する認証アプリへのプッシュ通知のための識別情報を受信し、ユーザIDと紐付けて登録するアプリ登録部と、
ログイン端末からのユーザIDを伴うログイン要求のアクセスに応じて、前記認証端末での前記認証アプリの動作を要する追加認証シーケンスを実行する追加認証部と、
前記認証アプリへの通知に対して、当該認証アプリを特定する情報を含む応答を待ち受ける端末応答受信部と、を備え、
前記追加認証部は、前記認証端末から所定時間内に前記応答がない場合に、前記追加認証シーケンスを無効化する認証サーバ。 - 請求項10に記載の認証サーバとしてコンピュータを機能させるための認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021199092A JP7525465B2 (ja) | 2021-12-08 | 2021-12-08 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021199092A JP7525465B2 (ja) | 2021-12-08 | 2021-12-08 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023084795A JP2023084795A (ja) | 2023-06-20 |
| JP7525465B2 true JP7525465B2 (ja) | 2024-07-30 |
Family
ID=86775438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021199092A Active JP7525465B2 (ja) | 2021-12-08 | 2021-12-08 | 認証システム、認証端末、認証サーバ及び認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7525465B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009099086A (ja) | 2007-10-19 | 2009-05-07 | Seiko Epson Corp | サービス提供システム、サービス提供装置、およびサービス提供システムの管理方法 |
| JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
| JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
| US10466698B1 (en) | 2017-08-09 | 2019-11-05 | Uber Technologies, Inc. | Systems and methods to enable an autonomous mode of an autonomous vehicle |
| US20210331647A1 (en) | 2019-03-18 | 2021-10-28 | Lg Electronics Inc. | In-vehicle complex biometric authentication system and operation method thereof |
-
2021
- 2021-12-08 JP JP2021199092A patent/JP7525465B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009099086A (ja) | 2007-10-19 | 2009-05-07 | Seiko Epson Corp | サービス提供システム、サービス提供装置、およびサービス提供システムの管理方法 |
| JP2012506594A (ja) | 2008-10-20 | 2012-03-15 | マイクロソフト コーポレーション | ユーザ認証の管理 |
| JP2016521899A (ja) | 2013-06-24 | 2016-07-25 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 2要素認証 |
| US10466698B1 (en) | 2017-08-09 | 2019-11-05 | Uber Technologies, Inc. | Systems and methods to enable an autonomous mode of an autonomous vehicle |
| US20210331647A1 (en) | 2019-03-18 | 2021-10-28 | Lg Electronics Inc. | In-vehicle complex biometric authentication system and operation method thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023084795A (ja) | 2023-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10531297B2 (en) | Authentication method and server, and computer storage medium | |
| KR102544113B1 (ko) | 5g 코어 시스템의 네트워크 기능 인증 방법 | |
| CN111131242A (zh) | 一种权限控制方法、装置和系统 | |
| US20140052638A1 (en) | Method and system for providing a card payment service using a mobile phone number | |
| CN1852094B (zh) | 网络业务应用账户的保护方法和系统 | |
| CN106341234B (zh) | 一种授权方法及装置 | |
| US11823007B2 (en) | Obtaining device posture of a third party managed device | |
| WO2018000834A1 (zh) | 一种wifi热点信息修改方法及装置 | |
| WO2012100615A1 (zh) | 失效移动终端关联应用记住密码的系统、服务器及方法 | |
| CN105227536A (zh) | 一种二维码登录方法和设备 | |
| EP2951950B1 (en) | Methods for activation of an application on a user device | |
| CN108259431A (zh) | 多应用间共享账号信息的方法、装置及系统 | |
| US11222100B2 (en) | Client server system | |
| KR20250099091A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| JP4914725B2 (ja) | 認証システム、認証プログラム | |
| CN106059776A (zh) | 网站登录方法及装置 | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| US11968531B2 (en) | Token, particularly OTP, based authentication system and method | |
| US10251064B1 (en) | Unlock of a mobile communication device in a locked state using a 2-dimensional barcode | |
| KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
| JP6155237B2 (ja) | ネットワークシステムとその端末登録方法 | |
| KR20130055116A (ko) | 자동 로그인 기능을 제공하는 방법 및 서버 | |
| JP7525465B2 (ja) | 認証システム、認証端末、認証サーバ及び認証プログラム | |
| KR101739446B1 (ko) | 사용자 인증 시스템 및 인증 방법 | |
| CN118842617A (zh) | 跨设备登录方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240702 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240703 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240718 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7525465 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |