JP2009071430A - 多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 - Google Patents
多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 Download PDFInfo
- Publication number
- JP2009071430A JP2009071430A JP2007235524A JP2007235524A JP2009071430A JP 2009071430 A JP2009071430 A JP 2009071430A JP 2007235524 A JP2007235524 A JP 2007235524A JP 2007235524 A JP2007235524 A JP 2007235524A JP 2009071430 A JP2009071430 A JP 2009071430A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- factor authentication
- identification information
- terminal
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】多要素認証を行う際に、システム側および利用者側のコストおよび作業負荷を軽減し、多要素認証をより容易に導入することができる。
【解決手段】認証代行装置1は、端末2からの要求を受け付けて、利用資格管理記憶手段13および代行元管理記憶手段14を参照して代行元システム3が要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、端末2に送信する生成手段を有し、端末2は、プロファイルを受信する受信手段と、プロファイルに含まれる認証識別情報に対応する当該端末に設定および入力された認証識別情報を収集する収集手段と、プロファイルの認証識別情報と収集した認証識別情報とを用いて多要素認証を行う認証手段と、多要素認証に成功した場合に代行元システム3にアクセスする接続手段とを有する。
【選択図】図2
【解決手段】認証代行装置1は、端末2からの要求を受け付けて、利用資格管理記憶手段13および代行元管理記憶手段14を参照して代行元システム3が要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、端末2に送信する生成手段を有し、端末2は、プロファイルを受信する受信手段と、プロファイルに含まれる認証識別情報に対応する当該端末に設定および入力された認証識別情報を収集する収集手段と、プロファイルの認証識別情報と収集した認証識別情報とを用いて多要素認証を行う認証手段と、多要素認証に成功した場合に代行元システム3にアクセスする接続手段とを有する。
【選択図】図2
Description
本発明は、複数の要素を用いて認証を行う多要素認証技術に関する。
コンピュータシステムやネットワークなどに対する不正アクセスが、セキュリティ上の重大な脅威となっている。不正アクセスへの対策としては、コンピュータシステムやネットワークなどへのアクセス認証のセキュリティ強度を向上させるために、多要素認証が研究されている。多要素認証は、複数の要素を用いた認証であって、例えば、ID/パスワードを利用した本人情報の他に、利用する通信端末の端末情報(通信端末に接続されたICカード、SIMチップ等の情報を含む)、利用する回線の情報など、複数の認証情報を用いて認証を行うものである(非特許文献1参照)
"不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況"、[online]、平成13年2月9日、経済産業省、[平成19年8月14日検索]、インターネット<URL:http://www.meti.go.jp/kohosys/press/0002361/0/020207access.htm>
"不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況"、[online]、平成13年2月9日、経済産業省、[平成19年8月14日検索]、インターネット<URL:http://www.meti.go.jp/kohosys/press/0002361/0/020207access.htm>
多要素認証を行う場合、利用者の登録に当たっては、ID/パスワードの本人情報だけでなく、個々の通信端末の情報や回線情報などを、事前に調査し、登録する必要がある。そのため、既存のシステムが多要素認証を導入する場合、多要素認証に必要な認証情報を保持できるように、利用者データベースの拡張や、認証処理の改造が必要となる。すなわち、多要素認証を導入には、システムの拡張・改造コストが発生するとともにシステム管理コストが増大し、また、システム管理者の大きな作業負荷が発生する。
一方、利用者にとっても、複数のシステムを利用する場合、各システムがそれぞれ要求する多要素認証に必要な認証情報を個別に登録する必要があり、利用者側の手間や負担が発生する。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、多要素認証を行う際に、システム側および利用者側のコストおよび作業負荷を軽減し、多要素認証をより容易に導入できる多要素認証技術を提供することにある。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末と、を有する多要素認証システムであって、前記認証代行装置は、前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、前記端末からの要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有し、前記端末は、前記プロファイルを受信する受信手段と、前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集手段と、前記プロファイルの認証識別情報と、前記収集手段が収集した認証識別情報とを用いて多要素認証を行う認証手段と、前記多要素認証に成功した場合、前記代行元システムにアクセスする接続手段と、を有する。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末と、を有する多要素認証システムであって、前記認証代行装置は、前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、 前記端末からのログイン要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有し、前記端末は、前記ログイン要求を、前記認証代行装置に送信する送信手段と、認証用プログラムを実行する実行手段を、有し、前記実行手段は、前記認証プログラムを実行することにより、前記プロファイルを受信する受信ステップと、前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、 前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を実行する。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、認証代行装置であって、前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、前記端末からの要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有する。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、端末であって、前記認証代行装置が生成した、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを受信する受信手段と、前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集手段と、前記プロファイルの認証識別情報と、前記収集手段が収集した認証識別情報とを用いて多要素認証を行う認証手段と、前記多要素認証に成功した場合、前記代行元システムにアクセスする接続手段と、を有する。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、前記端末が実行する多要素認証プログラムであって、前記端末に、前記認証代行装置が生成した、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを受信する受信ステップと、 前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を実行させる。
本発明は、多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とが行う多要素認証方法であって、前記認証代行装置は、前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶部と、前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶部と、を有し、前記端末からの要求を受けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成する生成ステップと、前記プロファイルを、前記端末に送信する送信ステップと、を行い、前記端末は、前記プロファイルを受信する受信ステップと、前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を行う。
本発明によれば、多要素認証を行う際に、システム側および利用者側のコストおよび作業負荷を軽減し、多要素認証をより容易に導入することができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の実施形態が適用された多要素認証システムのシステム構成図である。
図示する多要素認証システムは、利用者端末2と、認証代行サーバ1と、少なくと1つの代行元システム3とを有する。
本実施形態では、認証代行サーバ1は、第1のネットワーク5を介して利用者端末2と接続され、また、第2のネットワーク4を介して代行元システム3と接続されるものとする。第1および第2のネットワークは、例えば、ローカルネットワーク、インターネットなどである。なお、第1および第2のネットワークは、同一のネットワークであってもよい。
利用者端末2は、代行元システム3にアクセスする前に、認証代行サーバ1にアクセスして多要素認証を行い、多要素認証に成功した場合にのみ、代行元システム3にアクセスすることができる。
代行元システム3は、例えば、Webサーバなどのサーバシステム、または、ローカルネットワークの接続点に設置されるネットワーク認証スイッチなどが考えられる。代行元システム3が、ネットワーク認証スイッチの場合、利用者端末2は、ネットワーク認証スイッチを介して、ローカルネットワーク外からローカルネットワーク内にアクセスするものとする。
認証代行サーバ1は、多要素認証に必要な認証識別情報を管理し、利用者端末2が代行元システム3へアクセスする際に、代行元システム3に代わって多要素認証の支援・代行を行う。
図2は、本実施形態の利用者端末2、認証代行サーバ1および代行元システム3のブロック図である。
認証代行サーバ1は、ログイン情報判別部11と、認証用プログラム送信部15と、プロファイル生成部16と、ログイン情報データベース12と、利用資格管理データベース13と、代行元管理データベース14とを有する。
ログイン情報判別部11は、ログイン情報データベース12を参照し、利用者端末2から送信されたログイン情報を認証する。認証用プログラム送信部15は、認証代行サーバ1にあらかじめ保持された認証用プログラム(多要素認証プログラム)を、利用者端末2に送信する。プロファイル生成部16は、利用資格管理データベース13および代行元管理データベース14を参照し、代行元システム3が要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、利用者端末2に送信する。プロファイルは、所望の代行元システムにアクセスするための認証識別情報や接続情報が設定されるファイルである。
ログイン情報データベース12には、本多要素認証システムを利用可能な各利用者のログイン情報が記憶されている。なお、本実施形態では、ログイン情報として、IDおよびパスワードを用いるものとするが、これに限定されない。
利用資格管理データベース13には、利用者毎に、多要素認証を行うための認証識別情報、および、代行元システム3側での認証に必要な代行元認証情報が記憶されている。代行元管理データベース14には、代行元システム3毎に、当該代行元システム3が要求する多要素認証に必要な認証識別情報種別が記憶されている。なお、利用資格管理データベース13および代行元管理データベース14については、後述する。
利用者端末2は、ログイン情報を送信するログイン情報送信部21と、認証用プログラムを受信する認証用プログラム受信部22と、認証用プログラムを実行する実行部23とを有する。
利用者端末2は、ログイン情報を送信するログイン情報送信部21と、認証用プログラムを受信する認証用プログラム受信部22と、認証用プログラムを実行する実行部23とを有する。
代行元システム3は、利用者端末2からのアクセス要求に対してユーザ認証を行うユーザ認証部31と、ユーザ認証情報を記憶するユーザ管理データベース32とを有する。なお、ユーザ管理データベース32で管理するユーザ認証情報は、利用資格管理データベース13の代行元認証情報と同期させることが望ましい。
以上説明した、認証代行サーバ1、利用者端末2および代行元システム3は、いずれも、例えばCPUと、メモリと、HDD等の外部記憶装置と、キーボードなどの入力装置と、ディスプレイやプリンタなどの出力装置と、ネットワークと接続するための通信制御装置と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。なお、入力装置および出力装置については、各装置が必要に応じて備えるものとする。
次に、利用資格管理データベース13および代行元管理データベース14について説明する。
図3は、利用資格管理データベース13のデータ構造の一例を示す図である。本実施形態の利用資格管理データベースは、利用者毎に図示する利用資格データ(レコード)131が記憶されるものとする。そして、利用資格データ131は、利用者を識別するための利用資格管理IDと、多要素認証で使用される多要素認証識別情報と、代行元認証情報とを有する。なお、本実施形態では、ログイン情報データベース12に記憶されるIDと、利用資格管理IDとは、同じもの(共通のID)を用いることとする。
本実施形態の多要素認証識別情報としては、本人識別情報(例えば、OSロク゛インID、ICカート情報など)、回線識別情報(例えば、電話番号、回線IDなど)、端末識別情報(例えば、MACアト゛レス、SIM情報など)などを用いるものとするが、これに限定されるものではない。利用者の環境を識別可能な情報であれば、どのような情報を多要素識別情報として用いてもよい。
代行元認証情報には、代行元システム3側で行われるユーザ認証のための認証情報が設定される。本実施形態では、利用者は、少なくとも1つの代行元システムにユーザ登録をし、ユーザ登録した代行元システムへのアクセスが許可されているものとする。代行元認証情報には、ユーザ登録した代行元システム毎に、代行元システムの代行元管理ID、代行元認証情報(代行元本人ID、パスワード等)が、記憶されている。
図4は、代行元管理データベース14のデータ構造の一例を示す図である。本実施形態の代行元管理データベース14は、代行元システム3毎に図示する代行元データ(レコード)141が記憶されるものとする。そして、代行元データ141は、代行元管理IDと、代行元接続情報と、多要素認証利用情報と、を有する。代行元接続情報には、代行元システムへアクセスするための情報が設定される。図示する例では、代行元接続情報としてURL(Uniform Resource Locator)が設定されているが、これに限定されない。
多要素認証利用情報には、当該代行元システムが要求・指定する多要素認証処理において、必要とされる認証情報の種別が設定されている。すなわち、利用資格管理データベース13の多要素認証識別情報各々について、当該代行元システムの多要素認証で利用するか(Employed)、または、利用しないか(Unemployed)が設定されている。
このように代行元管理データベース14を構成することにより、代行元システム3毎に利用する多要素認証を容易に指定することができる。
次に、本実施形態の多要素認証システムの処理について説明する。
図2に示すように、利用者端末2のログイン情報送信部21は、利用者の指示を受け付けて、ログイン情報(ID、パスワード等)を認証代行サーバ1に送信する(S11)。
認証代行サーバ1のログイン情報判別部11は、ログイン情報を受信すると、ログイン情報データベース12を参照し、当該ログイン情報を送信した利用者が認証代行サーバ1へのアクセス権を有する正当な利用者か否かを判別する。すなわち、ログイン情報判別部11は、受信したログイン情報が、ログイン情報データベース12に存在するか否かを判別する。なお、本実施形態では、ログイン情報として、ID、パスワードを用いるが、これらに限定されるものではなく、ワンタイムパスワードや電子証明書などを利用することとしてもよい。
ログイン情報判別部11が認証代行サーバ1へのアクセス権を有する正当な利用者であると判別した場合、すなわち、ログイン情報の認証に成功した場合、認証用プログラム送信部15は、メモリなどの記憶装置に記憶された認証用プログラム151を、利用者端末2に送信する(S13)。利用者端末2の認証用プログラム受信部22は、受信した認証用プログラムを利用者端末2にインストールし、実行可能な状態にする。
なお、認証用プログラムを送信するタイミングは、ログイン情報の認証に成功した後(S13)に限定されず、例えば、あらかじめ利用者端末2に認証用プログラムを送信し、インストールしておくこととしてもよい。あるいは、CD(コンハ゜クトテ゛ィスク)やFD(フレキシフ゛ルテ゛ィスク)等のなど記録媒体をあらかじめ利用者端末2に配布し、インストールしておくこととしてもよい。これにより、通信速度が遅い回線においても、通信に必要な時間を削減することができる。また、認証用プログラムをインストールした利用者端末2が盗難または紛失した場合であっても、プロファイルがなければ、当該認証用プログラムが実行されないため、不正に利用されるリスクが生じない。
また、ログイン情報の認証に成功した場合、プロファイル生成部16は、利用資格管理データベース13および代行元管理データベースを参照し、ログイン情報を送信した利用者端末2用のプロファイルを生成する。
図5は、生成されるプロファイルの一例と、利用者端末2で実行される認証用プログラムのフローチャートとを示したものである。図示するプロファイル230は、代行元管理ID毎(すなわち、代行元システム毎)に生成され、代行元多要素認証情報と、代行元接続情報と、代行元認証情報などを有する。
プロファイル生成部16は、ログイン情報に含まれるID(本実施形態では利用資格管理ID)に対応する利用資格データ131を、利用資格管理データベース13から特定する。そして、プロファイル生成部16は、特定した利用資格データ131の代行元認証情報に設定された代行元管理ID毎に、図5に示すようなプロファイル230を生成する。
具体的には、プロファイル生成部16は、利用資格データ131の代行元管理IDに対応する代行元データ141を代行元管理データベース14から特定する。そして、プロファイル生成部16は、特定した代行元データ141の多要素認証利用情報で「利用する(Employed)」が設定された各識別情報種別の識別データを、特定した利用資格データ131の多要素認証識別情報から抽出する。そして、プロファイル生成部16は、「利用する(Employed)」が設定された識別情報種別と抽出した識別データとを対応づけて、プロファイル230の代行元多要素認証情報に設定する。また、プロファイル生成部16は、特定した代行元データ141の代行元接続情報をプロファイル230に設定する。なお、プロファイル生成部16は、生成したプロファイルに、対応する代行元管理IDを付加するものとする。
そして、プロファイル生成部16は、生成したプロファイルを暗号化し、利用者端末2に送信する(S15)。
利用者端末2の実行部23は、S13で受信した認証用プログラムを実行することにより、図5に示す処理を行う。すなわち、実行部23は、認証代行サーバ1から暗号化されたプロファイル230を受信し(S231)、当該暗号化されたプロファイル230を復号化する(S232)。復号鍵は、認証用プログラム内に埋め込まれている場合、または、事前に各利用者端末2に配布している場合などが考えられる。また、プロファイルに設定された情報は、利用者に対して秘匿にすることが望ましい。
そして、実行部23は、復号化したプロファイルから代行元多要素認証情報を読み込む(S233)。また、実行部23は、プロファイルから取得した代行元多要素認証情報の識別情報種別に対応する識別情報データを、利用者端末2に設定された設定情報および/または利用者から入力された情報などから取得する(S235)。
そして、実行部23は、S233で読み込んだ代行元多要素認証情報と、S235で収集した識別情報データとを比較することにより、代行元システムの多要素認証を行う(S236)。両者が一致する場合、実行部23は、多要素認証が成功したと判別し(正当な利用者であると判別し)、プロファイルの代行元接続情報および代行元認証情報を読み出す(S236)。そして、実行部23は、代行元接続情報を用いて、代行元認証情報を含むアクセス要求を代行元システム3に送信する(S237、図2:S17)。なお、多要素認証に失敗した場合、代行元システム3へのアクセス要求は行われない。
代行元システム3のユーザ認証部31は、利用者端末2からの代行元認証情報(代行元本人ID、パスワード等)を受信すると、ユーザ管理データベース32を参照して、ユーザ認証を行う。すなわち、ユーザ認証部31は、受信した代行元認証情報が、ユーザ管理データベース32に存在する場合、送信元の利用者端末2の利用者が正当なユーザであると判別する。ユーザ認証に成功した場合、利用者端末2から代行元システム3へのアクセスが許可される。
次に、多要素認証識別情報を利用した簡易的なワンタイムパスワード(OTP)を用いた処理について説明する。代行元システムの代行元認証情報を利用者または第三者に対して秘匿にすることで、不正アクセスに対するセキュリティ強度をより高めることができる。そのため、本実施形態では、上述した多要素認証システムの処理に、多要素認証識別情報を利用した簡易的なワンタイムパスワードを、さらに導入することとしてもよい。
図6は、ワンタイムパスワードを用いた多要素認証のフローチャートである。
なお、図示するフローチャートは、図2に示す、利用者端末2がログイン情報を認証代行サーバ1に送信し(S11)、認証代行サーバ1のログイン情報判別部11がログイン情報の正当性を判別し、認証用プログラム送信部15が認証用プログラム151を利用者端末2に送信(S13)した後の処理が記載されている。
ログイン情報の認証に成功した場合、プロファイル生成部16は、まず、乱数キーを生成する(S611)。ここでいう乱数キーは、利用資格管理データベース13に格納されている少なくとも1つの多要素認証識別情報を指定する情報と、乱数発生された文字列とからなる。また、乱数発生の方法は、一般的な乱数発生の手法によるもののほか、時刻や日付などプロファイル生成のタイミングでユニークなものであれば、なんでもよい。
そして、プロファイル生成部16は、前述したように、利用資格管理データベース13および代行元管理データベース14を参照し、ログイン情報の送信元の利用者端末2用のプロファイルを生成する(S612)。そして、プロファイル生成部16は、生成したプロファイルにS611の乱数キーを書き込み、当該プロファイルを利用者端末2に送信する(S613)。なお、プロファイルを暗号化して送信してもよい。
また、プロファイル生成部16は、乱数キーに基づいて利用資格管理データベース13から多要素認証識別情報を取得し(S614)、取得した多要素認証識別情報と乱数発生させた文字列とを合成してサーバ側ワンタイムパスワードを生成する(S615)。合成の方法としては、ハッシュ関数を利用するなど各種方法を用いることが可能である。
そして、プロファイル生成部16は、生成したサーバ側ワンタイムパスワードと、利用資格管理データベース13に設定された対応する代行元本人IDとを、代行元システム3に送信する(S616)。代行元システム3は、認証代行サーバ1から送信された情報に基づいて、ユーザ管理データベース32を更新する。すなわち、代行元システム3は、送信された代行元本人IDに対応するユーザ管理データベース32のパスワードを、サーバ側ワンタイムパスワードに更新する(S631)。
一方、利用者端末2の実行部23は、認証用プログラムを実行することにより、以下の処理を行う。すなわち、実行部23は、プロファイルを受信・復号化し(S621)、図5のS233からS235で説明した多要素認証を行う(S622)。そして、多要素認証に成功した場合、実行部23は、プロファイルに記述された乱数キーに基づいて、利用者端末2に設定または利用者が入力した認証識別情報を取得し、S615と同様の方法で端末側ワンタイムパスワードを生成する(S623)。
そして、実行部23は、代行元接続情報を用いて、プロファイルの代行元本人ID(代行元認証情報)および端末側ワンタイムパスワードを含むアクセス要求を代行元システム3に送信する(S624、図2:S17)。
代行元システム3のユーザ認証部31は、利用者端末2から代行元本人IDおよび端末側ワンタイムパスワードを受信し(S632)、ユーザ管理データベース32を参照して、ユーザ認証を行う。すなわち、ユーザ認証部31は、受信した代行元本人IDの端末側ワンタイムパスワードが、ユーザ管理データベース32に記憶されたサーバ側ワンタイムパスワードと一致する場合、送信元の利用者端末2の利用者が正当なユーザであると判別する。ユーザ認証に成功した場合、利用者端末2から代行元システム3へのアクセスが許可される。
以上説明した本実施形態では、認証代行サーバから利用者端末へ送信されるプロファイルに設定される多要素認証識別情報と、利用者端末に設定・入力された認証識別情報とを比較して多要素認証を行い、多要素認証に成功した場合にのみ、利用者端末から代行元システムへのアクセスが許可される。これにより、代行元システムへの不正アクセスを排除するとともに、多要素認証処理を認証代行サーバおよび利用者端末に代行させることができる。
また、本実施形態では、認証代行サーバが利用資格管理データベースおよび代行元管理データベースを有し、多要素認証に必要な情報を一元管理する。これにより、各代行元システムが、多要素認証に必要な情報を個別に保有する必要がなく、また、多要素認証を行わないため、代行元システム側での個別のシステム開発コストおよび作業負荷を軽減し、多要素認証をより容易に導入することができる。
また、代行元システムにおいて接続先のURLや代行元本人パスワードなどのアクセス情報を変更した場合、利用時にはこれらの変更内容が反映されたプロファイルが利用者端末に送信(ダウンロード)される。このため、代行元システムから変更の都度、利用者に変更内容を通知する必要がなくなるため、代行元システムにおける管理作業を低減することができる。
また、本実施形態では、認証代行サーバでのログイン認証後に多要素認証に関するプロファルが利用者端末に送信されるため、利用者は、代行元システム毎の多要素認証に必要な認証識別情報や、代行元システム毎の代行元認証情報を管理する必要がなくなる。また、利用者端末の盗難・紛失による第三者への認証情報漏洩の危険性を低減することができる。また、利用者は、認証代行サーバのみに多要素認証の認証識別情報を登録すればよいため、利用者側の手間や負担を軽減させることができる。
また、本実施形態の認証代行サーバは、ログイン情報の認証に成功した場合にのみ、プロファイルおよび認証用プログラムを利用者端末に送信する。これにより、利用者端末が盗難・紛失にあった場合でも、不正なログイン情報ではプロファイル等が送信されないため、代行元システムのアクセスを行うことはできない。
また、本実施形態では、利用者端末が代行元システムへアクセスを行う際に、認証代行サーバからプロファイルが送信され、多要素認証の成功後、代行元認証情報を含むアクセス要求が代行元システムに送信される。すなわち、利用者は、代行元認証情報を知る必要がないため、何らの方法により代行元認証情報を利用者に秘匿の状態にしてくことが望ましい。これにより、代行元認証情報の漏洩を防止し、認証代行サーバを経由することなく、直接、代行元システムへ不正アクセスされることを防止することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
1 認証代行サーバ
11 ログイン情報判別部
12 ログイン情報データベース
13 利用資格管理データベース
14 代行元管理データベース
15 認証用プログラム送信部
16 プロファイル生成部
2 利用者端末
21 ログイン情報送信部
22 認証用プログラム受信部
23 実行部
3 代行元システム
31 ユーザ認証部
32 ユーザ管理データベース
11 ログイン情報判別部
12 ログイン情報データベース
13 利用資格管理データベース
14 代行元管理データベース
15 認証用プログラム送信部
16 プロファイル生成部
2 利用者端末
21 ログイン情報送信部
22 認証用プログラム受信部
23 実行部
3 代行元システム
31 ユーザ認証部
32 ユーザ管理データベース
Claims (10)
- 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末と、を有する多要素認証システムであって、
前記認証代行装置は、
前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、
前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、
前記端末からの要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有し、
前記端末は、
前記プロファイルを受信する受信手段と、
前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集手段と、
前記プロファイルの認証識別情報と、前記収集手段が収集した認証識別情報とを用いて多要素認証を行う認証手段と、
前記多要素認証に成功した場合、前記代行元システムにアクセスする接続手段と、を有すること
を特徴とする多要素認証システム。 - 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末と、を有する多要素認証システムであって、
前記認証代行装置は、
前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、
前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、
前記端末からのログイン要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有し、
前記端末は、
前記ログイン要求を、前記認証代行装置に送信する送信手段と、
認証用プログラムを実行する実行手段を、有し、
前記実行手段は、前記認証プログラムを実行することにより、
前記プロファイルを受信する受信ステップと、
前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、
前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、
前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を実行することこと
を特徴とする多要素認証システム。 - 請求項2記載の多要素認証システムであって、
前記認証代行装置は、
前記ログイン情報の認証を行う認証手段と、
前記ログイン情報の認証に成功した場合、前記認証用プログラムを送信するプログラム送信手段と、をさらに有すること
を特徴とする多要素認証システム。 - 請求項2または請求項3記載の多要素認証システムであって、
前記代行元システムをさらに有し、
前記認証代行装置の生成手段は、前記多要素認証に必要な認証識別情報の少なくとも1つを用いて第1のワンタイムパスワードを生成し、前記代行元システムに送信し、
前記端末は、前記収集ステップで収集した認証識別情報の少なくとも1つを用いて第2のワンタイムパスワードを生成し、前記代行元システムに送信し、
前記代行元システムは、第1のワンタイムパスワードと第2のワンタイムパスワードとが一致するか否かを認証すること
を特徴とする多要素認証システム。 - 請求項1から請求項4記載のいずれか1項に記載の多要素認証システムであって、
前記認証代行装置の生成手段は、前記生成したプロファイルを暗号化して、前記端末に送信すること
を特徴とする多要素認証システム。 - 請求項1から請求項5記載のいずれか1項に記載の多要素認証システムであって、
前記代行元システムには、ローカルネットワークの接続点に設置されたネットワーク認証スイッチが含まれ、
前記端末は、前記ネットワーク認証スイッチを介して、ローカルネットワーク外からローカルネットワーク内にアクセスすること
を特徴とする多要素認証システム。 - 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、認証代行装置であって、
前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶手段と、
前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶手段と、
前記端末からの要求を受け付けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成し、前記端末に送信する生成手段と、を有すること
を特徴とする認証代行装置。 - 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、端末であって、
前記認証代行装置が生成した、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを受信する受信手段と、
前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集手段と、
前記プロファイルの認証識別情報と、前記収集手段が収集した認証識別情報とを用いて多要素認証を行う認証手段と、
前記多要素認証に成功した場合、前記代行元システムにアクセスする接続手段と、を有すること
を特徴とする端末。 - 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とを有する多要素認証システムにおける、前記端末が実行する多要素認証プログラムであって、
前記端末に、
前記認証代行装置が生成した、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを受信する受信ステップと、
前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、
前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、
前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を実行させること
を特徴とする多要素認証プログラム。 - 多要素認証を代行する認証代行装置と、多要素認証の代行元システムにアクセスする端末とが行う多要素認証方法であって、
前記認証代行装置は、
前記端末の利用者毎に、多要素の認証識別情報を記憶した利用資格管理記憶部と、
前記代行元システムが要求する多要素認証に必要な認証識別情報種別が記憶された代行元管理記憶部と、を有し、
前記端末からの要求を受けて、前記利用資格管理記憶手段および代行元管理記憶手段を参照し、前記代行元システムが要求する多要素認証に必要な認証識別情報を含むプロファイルを生成する生成ステップと、
前記プロファイルを、前記端末に送信する送信ステップと、を行い、
前記端末は、
前記プロファイルを受信する受信ステップと、
前記プロファイルに含まれる認証識別情報に対応する、当該端末に設定および/または入力された認証識別情報を収集する収集ステップと、
前記プロファイルの認証識別情報と、前記収集ステップが収集した認証識別情報とを用いて多要素認証を行う多要素認証ステップと、
前記多要素認証に成功した場合、前記代行元システムにアクセスする接続ステップと、を行うこと
を特徴とする多要素認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007235524A JP2009071430A (ja) | 2007-09-11 | 2007-09-11 | 多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007235524A JP2009071430A (ja) | 2007-09-11 | 2007-09-11 | 多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009071430A true JP2009071430A (ja) | 2009-04-02 |
Family
ID=40607264
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007235524A Pending JP2009071430A (ja) | 2007-09-11 | 2007-09-11 | 多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009071430A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011060233A (ja) * | 2009-09-14 | 2011-03-24 | Ntt Communications Kk | 認証システム、認証方法、認証装置、プログラム |
JP2012210263A (ja) * | 2011-03-30 | 2012-11-01 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
JP2012210267A (ja) * | 2011-03-30 | 2012-11-01 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
JP2013094249A (ja) * | 2011-10-28 | 2013-05-20 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
JP2015144026A (ja) * | 2011-08-02 | 2015-08-06 | クアルコム,インコーポレイテッド | デバイスにおけるセキュリティ強化のために多要素パスワードまたは動的パスワードを使うための方法および装置 |
US11288351B2 (en) | 2018-04-25 | 2022-03-29 | Google Llc | Delayed two-factor authentication in a networked environment |
-
2007
- 2007-09-11 JP JP2007235524A patent/JP2009071430A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011060233A (ja) * | 2009-09-14 | 2011-03-24 | Ntt Communications Kk | 認証システム、認証方法、認証装置、プログラム |
JP2012210263A (ja) * | 2011-03-30 | 2012-11-01 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
JP2012210267A (ja) * | 2011-03-30 | 2012-11-01 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
JP2015144026A (ja) * | 2011-08-02 | 2015-08-06 | クアルコム,インコーポレイテッド | デバイスにおけるセキュリティ強化のために多要素パスワードまたは動的パスワードを使うための方法および装置 |
US9659164B2 (en) | 2011-08-02 | 2017-05-23 | Qualcomm Incorporated | Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device |
US9892245B2 (en) | 2011-08-02 | 2018-02-13 | Qualcomm Incorporated | Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device |
JP2013094249A (ja) * | 2011-10-28 | 2013-05-20 | Sankyo Co Ltd | 遊技用システムおよび遊技用装置 |
US11288351B2 (en) | 2018-04-25 | 2022-03-29 | Google Llc | Delayed two-factor authentication in a networked environment |
US11921833B2 (en) | 2018-04-25 | 2024-03-05 | Google Llc | Delayed two-factor authentication in a networked environment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5852265B2 (ja) | 計算装置、コンピュータプログラム及びアクセス許否判定方法 | |
CN105095696B (zh) | 对应用程序进行安全认证的方法、***及设备 | |
JP6282349B2 (ja) | ウェブサイトにログインしている端末がモバイル端末であるかどうかを決定するための方法およびシステム | |
US10103894B2 (en) | Creating a digital certificate for a service using a local certificate authority | |
JP2020523806A (ja) | モノのインターネット(iot)デバイスの管理 | |
JP4790574B2 (ja) | 複数の認証書を管理する装置および方法 | |
CN113661681B (zh) | 向远程服务器进行认证的***和方法 | |
US20090327696A1 (en) | Authentication with an untrusted root | |
WO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
US9608966B2 (en) | Information handling device, information output device, and recording medium | |
EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
JP4533935B2 (ja) | ライセンス認証システム及び認証方法 | |
CN102404314A (zh) | 远程资源单点登录 | |
US20190068568A1 (en) | Distributed profile and key management | |
Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
US8638932B2 (en) | Security method and system and computer-readable medium storing computer program for executing the security method | |
JP2009071430A (ja) | 多要素認証システム、認証代行装置、端末、多要素認証プログラムおよび多要素認証方法 | |
US11443023B2 (en) | Distributed profile and key management | |
JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
JP2015104020A (ja) | 通信端末装置、通信端末関連付けシステム、通信端末関連付け方法、及びコンピュータプログラム | |
JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
Lim et al. | AuthChain: a decentralized blockchain-based authentication system | |
JP2009212625A (ja) | 会員認証システム及び携帯端末装置 |