JP4698751B2 - Access control system, authentication server system, and access control program - Google Patents

Access control system, authentication server system, and access control program Download PDF

Info

Publication number
JP4698751B2
JP4698751B2 JP2009222441A JP2009222441A JP4698751B2 JP 4698751 B2 JP4698751 B2 JP 4698751B2 JP 2009222441 A JP2009222441 A JP 2009222441A JP 2009222441 A JP2009222441 A JP 2009222441A JP 4698751 B2 JP4698751 B2 JP 4698751B2
Authority
JP
Japan
Prior art keywords
authentication
information
address
packet
time password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009222441A
Other languages
Japanese (ja)
Other versions
JP2011070513A (en
Inventor
直伸 八津川
弘光 信岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nihon Unisys Ltd
Original Assignee
Nihon Unisys Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nihon Unisys Ltd filed Critical Nihon Unisys Ltd
Priority to JP2009222441A priority Critical patent/JP4698751B2/en
Priority to PCT/JP2010/066682 priority patent/WO2011037226A1/en
Priority to CN201080051700.3A priority patent/CN102667799B/en
Publication of JP2011070513A publication Critical patent/JP2011070513A/en
Application granted granted Critical
Publication of JP4698751B2 publication Critical patent/JP4698751B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。   The present invention relates to an access control system, an authentication server system, and an access control program, and is particularly suitable for use in a system in which access control from a user terminal to an information communication service providing network is performed by an authentication process using an ID and a password. It is a thing.

従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、IDとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のIDとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。   Conventionally, in information communication services such as net banking, in order to allow access only for legitimate users to use the service, it is confirmed whether the entity that wants to receive the service is the legitimate person Authentication has been performed. In general, authentication using information for confirming the identity such as an ID and a password is often performed. However, the fraud of “spoofing” that steals someone else's ID and password and pretends to use the information communication service is rampant. If impersonation is carried out, the impersonated person will suffer damages such as being charged for service usage that he / she does not remember or stealing confidential information or personal information known only to the person himself / herself.

これに対して、1回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている(例えば、特許文献1参照)。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。   On the other hand, there has been provided a method for dealing with the problem of impersonation by using a disposable one-time password that can be used only for one authentication (see, for example, Patent Document 1). If it is a one-time password, it is invalid after being used by a legitimate person without being repeatedly used, and even if it is stolen by a third party, high security can be maintained.

しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたIDとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。   However, even if a one-time password is used, it is not possible to prevent spoofing by a malicious third party who obtained a one-time password illegally by so-called phishing. Phishing fraud is a technique of guiding a user to a fake site and relaying the ID and password entered there to a legitimate site. A third party who performs a phishing scam causes a legitimate user to input a valid one-time password at that time on a fake site and uses it for a legitimate site. For this reason, a legitimate site performs authentication only once, and even if a one-time password is used, impersonation becomes possible.

一方、IDとパスワードに加え、本人が使用するユーザ端末に固有のIPアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている(例えば、特許文献2参照)。この特許文献2に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のIPアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがIPアドレスをパケットから抽出し、認証サーバに記憶しておいたIPアドレスとの同一性を判定することで、本人性を確認している。   On the other hand, a method for preventing impersonation by performing authentication using an IP address unique to a user terminal used by the user in addition to an ID and a password has been proposed (for example, see Patent Document 2). The invention described in Patent Document 2 includes a provider gateway device that performs network connection authentication with an authentication server, and a web server that performs service use authentication with the authentication server. Then, the gateway device extracts the IP address of the user terminal from the packet and stores it in the authentication server at the time of the first network connection authentication, and the web server extracts the IP address from the packet at the time of authentication of the subsequent service use and sends it to the authentication server. The identity is confirmed by determining the identity with the stored IP address.

特許第3595109号公報Japanese Patent No. 3595109 特開2006−113624号公報JP 2006-113624 A

しかしながら、特許文献2に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからIPアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。   However, in the invention described in Patent Document 2, a mechanism for extracting the IP address from the packet and storing it in the authentication server can be provided for the gateway device of the provider different from the web server that provides the information communication service. Necessary. That is, there is a problem that an access control system cannot be built only by the information communication service provider, and a special mechanism must be provided in the gateway device with the cooperation of the provider.

また、特許文献2に記載の発明では、IDとパスワードとIPアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してIPアドレスを抽出するとともに、その偽サイトで入力させたIDとパスワードを盗用することにより、IPアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。   Further, the invention described in Patent Document 2 has a problem in that it cannot prevent spoofing by a malicious third party who illegally obtained an ID, a password, and an IP address by phishing. In other words, by guiding the user to a fake site and extracting the IP address, and stealing the ID and password entered at the fake site, even if authentication using the IP address is performed, the identity of the person is impersonated It will be possible to obtain permission.

本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。   The present invention has been made to solve such problems, and it is an object of the present invention to reliably prevent unauthorized access by impersonation without having to obtain cooperation of a system configuration by a provider.

上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら2者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。   In order to solve the above-described problems, in the present invention, an access control system is configured by an authentication server system of an information communication service provider and a user terminal of an information communication service user, and the following communication is performed between the two parties. Such authentication processing is performed. That is, the authentication information is packet-transmitted from the user terminal to the authentication server system, and the address information of the packet transmission source terminal is extracted at that time. Then, the authentication server system performs pre-authentication based on the authentication information. When the pre-authentication is successful, the address information of the packet transmission source terminal is stored in the address table in association with the authentication information. The user terminal then retransmits the authentication information to the authentication server system. The authentication server system determines whether or not the address information of the packet source terminal extracted again matches the address information stored in the address table, and if it matches, the authentication information is retransmitted. Based on this authentication.

本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。   In another aspect of the present invention, authentication information transmitted from the user terminal to the authentication server system is constituted by a one-time password.

本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。   In yet another aspect of the present invention, when a one-time password is generated at a user terminal, a predetermined transmission destination address is automatically specified, and authentication information including the one-time password is used for pre-authentication. To send to.

上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。   According to the present invention configured as described above, the provider gateway device is not involved in a series of authentication processes for controlling access to the information communication service, and thus a special mechanism is provided in the gateway device with the cooperation of the provider. There is no need. Therefore, a system for access control can be assembled only by the information communication service provider.

また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて2回の認証(事前認証と本認証)が行われ、2回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。   Further, according to the present invention, authentication information is transmitted from the user terminal to the authentication server system, and two authentications (pre-authentication and main authentication) are performed. The terminal address information match determination is also performed. Therefore, when a legitimate user is trying to perform this authentication, the authentication information is illegally obtained by a third party due to phishing, and the authentication information is sent from the third-party terminal to the authentication server system for this authentication. However, since the address information of the third party's terminal is not registered in the authentication server system, the authentication does not succeed. Therefore, it is possible to reliably prevent spoofing by a malicious third party using a phishing act.

また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。   In addition, when a one-time password is used as authentication information transmitted from the user terminal to the authentication server system, it is assumed that a third party knows the pre-authentication mechanism and uses the authentication information stolen by the above phishing act. Even if you try to receive pre-authentication, authentication will not succeed. That is, before authentication information is stolen by phishing, pre-authentication using a one-time password has already been performed by a legitimate user. It becomes. For this reason, the address information of the third party's terminal is not registered in the authentication server system, so that subsequent attempts to receive this authentication fail. Therefore, spoofing by a malicious third party using a phishing act can be prevented more reliably.

さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる1度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる2度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。   In addition, when pre-authentication is performed, address information is automatically specified from the user terminal to the authentication server system and authentication information using a one-time password is transmitted, and the user is guided to a fake site during pre-authentication. There is nothing. Therefore, if authentication information is stolen, it will be intercepted on the communication path, but even if authentication information is stolen by interception, the authentication information sent by the legitimate user will be sent to the authentication server system as it is, and the one-time password Will receive the first pre-authentication. Therefore, even if a third party subsequently sends the same authentication information to the authentication server system, authentication is failed because the second authentication is performed using a one-time password, and the address information of the third party's terminal is not registered. As a result, unauthorized access due to spoofing using wiretapping on the communication path can be reliably prevented.

本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。It is a block diagram which shows the example of whole structure of the access control system by this embodiment. 本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。It is a block diagram which shows the function structural example of the access control system by this embodiment. 本実施形態のIPアドレステーブルの構成例を示す図である。It is a figure which shows the structural example of the IP address table of this embodiment. 本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。It is a flowchart which shows the operation example at the time of the pre-authentication of the access control system by this embodiment. 本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。It is a flowchart which shows the operation example at the time of this authentication of the access control system by this embodiment.

以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図2は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an example of the overall configuration of the access control system according to the present embodiment. FIG. 2 is a block diagram illustrating a functional configuration example of the access control system according to the present embodiment.

図1に示すように、本実施形態のアクセス制御システム100は、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム1は、情報通信サービスの提供を行うサービス提供サーバ11と、サービス提供サーバ11へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ12と、当該認証サーバ12とユーザ端末2との間に配置された中間サーバ13とを備えている。   As shown in FIG. 1, an access control system 100 according to the present embodiment connects an authentication server system 1 of an information communication service provider and a user terminal 2 of an information communication service user via a communication network such as the Internet. Has been configured. The authentication server system 1 includes a service providing server 11 that provides an information communication service, an authentication server 12 that performs authentication for confirming whether an accesser to the service providing server 11 is a valid user, An intermediate server 13 disposed between the authentication server 12 and the user terminal 2 is provided.

ユーザ端末2は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末2は、インターネットなどの外部ネットワーク3でサービス提供サーバ11および中間サーバ13とそれぞれ接続されており、それらとの間でSSL(Secure Socket Layer)による暗号化通信を行う。   The user terminal 2 is a user terminal that receives an information communication service such as net banking, and is configured by a personal computer or the like. The user terminal 2 is connected to a service providing server 11 and an intermediate server 13 via an external network 3 such as the Internet, and performs encrypted communication using SSL (Secure Socket Layer) with them.

サービス提供サーバ11、認証サーバ12および中間サーバ13は、情報通信サービス提供者(銀行など)の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク4で接続されている。本実施形態においてサービス提供サーバ11とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。   The service providing server 11, the authentication server 12, and the intermediate server 13 are facilities of an information communication service provider (such as a bank), and are connected to each other via the internal network 4 of the information communication service provider. In the present embodiment, the service providing server 11 means a plurality of servers necessary for providing an information communication service, and actually includes a web server, an application server, a database server, and the like.

なお、図示はしないが、認証サーバ12は通常、ファイアウォール(内部ネットワーク4と外部ネットワーク3との間の通信を制限し、内部ネットワーク4に接続するコンピュータの安全を維持する仕組み)で外部ネットワーク3から防御されており、ユーザ端末2は認証サーバ12と直接通信することができない。このため、本実施形態では、ユーザ端末2は、サービス提供サーバ11経由または中間サーバ13経由で認証サーバ12と通信する構成としている。   Although not shown, the authentication server 12 is usually connected from the external network 3 by a firewall (a mechanism for restricting communication between the internal network 4 and the external network 3 and maintaining the safety of the computer connected to the internal network 4). It is protected and the user terminal 2 cannot communicate directly with the authentication server 12. For this reason, in this embodiment, the user terminal 2 is configured to communicate with the authentication server 12 via the service providing server 11 or the intermediate server 13.

インターネットなどのネットワーク通信では、1本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるIPアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するID(以下、ユーザIDという)およびパスワードから成る認証情報に加え、パケット送信元(ユーザ端末2)のIPアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。   In network communications such as the Internet, a single line is shared by a plurality of computers, and data is communicated in packets. This is called packet communication. Address information indicating the transmission source and the transmission destination is added to each packet, so that no data is exchanged with other computers sharing the line. In a general communication protocol on the Internet, an IP address, which is information indicating a position on a network, is used as address information indicating a transmission source and a transmission destination. In the present embodiment, “spoofing” is performed by verifying the IP address of the packet transmission source (user terminal 2) in addition to authentication information including an ID (hereinafter referred to as a user ID) and a password for identifying an information communication service user. Detect. In this embodiment, a one-time password is used as the password.

図2に示すように、ユーザ端末2は、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23を備えている。ワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部21に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザIDと種情報は、ユーザが事前に認証サーバ12に対してアカウントを設定する際に登録しておく。   As shown in FIG. 2, the user terminal 2 includes a pre-authentication control unit 21, a main authentication control unit 22, and a one-time password generation unit 23. When the one-time password generation unit 23 is activated by an instruction from the user, the one-time password generation unit 23 automatically generates a one-time password and supplies it to the pre-authentication control unit 21. Here, the one-time password can be generated by a known method. As an example, a one-time password is generated according to a predetermined rule using seed information determined in advance corresponding to a user ID and variable information that varies every time a one-time password is generated. The user ID and seed information are registered when the user sets an account for the authentication server 12 in advance.

事前認証制御部21は、中間サーバ13のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持しており、そのIPアドレスを用いて中間サーバ13との通信を確立してユーザの認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を送信する。具体的には、事前認証制御部21は、認証要求が発生したときに、中間サーバ13のIPアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部23によりワンタイムパスワードが生成された直後に、事前認証制御部21の機能として自動的に発生する。   The pre-authentication control unit 21 holds the IP address of the intermediate server 13 (a predetermined transmission destination address of the authentication server system 1), and establishes communication with the intermediate server 13 using the IP address. Authentication information (user ID and one-time password generated by the one-time password generation unit 23) is transmitted. Specifically, the pre-authentication control unit 21 transmits authentication information unique to the user to the IP address of the intermediate server 13 by packet communication when an authentication request is generated. The authentication request here is automatically generated as a function of the pre-authentication control unit 21 immediately after the one-time password generation unit 23 generates the one-time password.

本認証制御部22は、ウェブブラウザの機能を含み、サービス提供サーバ11のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持している。本認証制御部22は、認証要求が発生したときに、事前認証制御部21が中間サーバ13のIPアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ11のIPアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部21が認証情報を送信したことに応答して認証サーバ12から認証成功の通知が送られてきた後(後述する事前認証に成功した後)、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ11へアクセスしたときに発生する。   The authentication control unit 22 includes a web browser function, and holds the IP address of the service providing server 11 (a predetermined transmission destination address of the authentication server system 1). The authentication control unit 22 sends the same authentication information that the pre-authentication control unit 21 transmits to the IP address of the intermediate server 13 to the IP address of the service providing server 11 when an authentication request is generated. Send by communication. The authentication request here is made after the notification of successful authentication is sent from the authentication server 12 in response to the transmission of the authentication information by the pre-authentication control unit 21 (after successful pre-authentication described later), Occurs when the web browser is started up and the service providing server 11 is accessed.

中間サーバ13は、認証要求部131およびパケット解析部132を備えている。認証要求部131は、ユーザ端末2の事前認証制御部21からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ12に送信して認証要求を行う。パケット解析部132は、認証要求部131が受信した通信パケットを解析して、認証情報とユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当)とを抽出する。上述の認証要求部131は、認証サーバ12に対して認証情報と共にIPアドレス(以下、第1の送信元IPアドレスと称する)を送信する。   The intermediate server 13 includes an authentication request unit 131 and a packet analysis unit 132. When the authentication request unit 131 receives authentication information from the pre-authentication control unit 21 of the user terminal 2 by packet communication, the authentication request unit 131 sends the authentication information to the authentication server 12 to make an authentication request. The packet analysis unit 132 analyzes the communication packet received by the authentication request unit 131 and extracts the authentication information and the IP address of the user terminal 2 (corresponding to the address information of the packet transmission source terminal). The authentication request unit 131 described above transmits an IP address (hereinafter referred to as a first transmission source IP address) to the authentication server 12 together with authentication information.

認証サーバ12は、事前認証処理部121、記憶処理部122、IPアドレステーブル123(本発明のアドレステーブルに相当)、事前認証結果通知部124、アドレス判定部125、本認証処理部126、本認証結果通知部127および認証データベース128を備えている。   The authentication server 12 includes a pre-authentication processing unit 121, a storage processing unit 122, an IP address table 123 (corresponding to the address table of the present invention), a pre-authentication result notification unit 124, an address determination unit 125, a main authentication processing unit 126, a main authentication. A result notification unit 127 and an authentication database 128 are provided.

事前認証処理部121は、ユーザ端末2の事前認証制御部21から送信された認証情報を中間サーバ13を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部121は、受信した認証情報に含まれるユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部23がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部121は、自身が生成したワンタイムパスワードと、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。   The pre-authentication processing unit 121 receives the authentication information transmitted from the pre-authentication control unit 21 of the user terminal 2 via the intermediate server 13 and performs pre-authentication based on the received authentication information. For example, the pre-authentication processing unit 121 uses predetermined seed information corresponding to the user ID included in the received authentication information and variation information that varies every time a one-time password is generated, according to a predetermined rule. Generate a one-time password. The fluctuation information used here is synchronized so as to be the same as that used when the one-time password generator 23 generates the one-time password. Then, the pre-authentication processing unit 121 checks whether or not the one-time password generated by itself and the one-time password included in the authentication information received from the intermediate server 13 are the same. If the password is the same, the authentication is successful. If the password is not the same, the authentication is unsuccessful.

本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ13を介して同じ認証情報(ユーザIDおよびワンタイムパスワード)にて認証要求が送られてきたときは、事前認証処理部121での事前認証は失敗となる。   The password used in this embodiment is a one-time password. Therefore, after successful pre-authentication, when an authentication request is sent with the same authentication information (user ID and one-time password) via the intermediate server 13, the pre-authentication in the pre-authentication processing unit 121 is It will be a failure.

なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部121は、事前認証に成功したときはそのワンタイムパスワードを認証データベース128に登録しておく。事前認証処理部121は、中間サーバ13から受信したワンタイムパスワードについて、認証データベース128に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回(2回目以降)の事前認証を失敗とする。   As will be described later, the one-time password is also used when performing this authentication later. Therefore, the pre-authentication processing unit 121 registers the one-time password in the authentication database 128 when the pre-authentication is successful. The pre-authentication processing unit 121 determines whether the pre-authentication has already been performed by checking whether the same one-time password is registered in the authentication database 128 for the one-time password received from the intermediate server 13. If it has already been performed, the pre-authentication at this time (after the second time) is regarded as a failure.

記憶処理部122は、事前認証処理部121による事前認証が成功した場合に、認証要求部131より送信された第1の送信元IPアドレス(すなわち、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された第1の送信元IPアドレス)を、当該パケットより抽出された認証情報と対応付けてIPアドレステーブル123に記憶させる。   When the pre-authentication by the pre-authentication processing unit 121 is successful, the storage processing unit 122 transmits a packet from the first transmission source IP address transmitted from the authentication request unit 131 (that is, from the packet transmitted from the pre-authentication control unit 21). The first transmission source IP address extracted by the analysis unit 132 is associated with the authentication information extracted from the packet and stored in the IP address table 123.

図3は、IPアドレステーブル123の構成例を示す図である。図3に示すように、IPアドレステーブル123は、認証情報であるユーザIDおよびワンタイムパスワードとIPアドレスとを対応付けて記憶する構成となっている。ユーザIDおよびワンタイムパスワードの項目には、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された認証情報が記憶される。また、IPアドレスの項目には、同じパケットよりパケット解析部132にて抽出された第1の送信元IPアドレスが記憶される。   FIG. 3 is a diagram illustrating a configuration example of the IP address table 123. As shown in FIG. 3, the IP address table 123 is configured to store the user ID and the one-time password, which are authentication information, and the IP address in association with each other. In the items of user ID and one-time password, authentication information extracted by the packet analysis unit 132 from the packet transmitted from the pre-authentication control unit 21 is stored. The IP address item stores the first transmission source IP address extracted by the packet analysis unit 132 from the same packet.

事前認証結果通知部124は、事前認証処理部121による事前認証の成否(認証成功または認証失敗)を、中間サーバ13を介してユーザ端末2に通知する。具体的には、事前認証結果通知部124は、事前認証処理部121による事前認証の成否を中間サーバ13の認証要求部131に通知する。認証要求部131は、事前認証結果通知部124から受けた通知をユーザ端末2の事前認証制御部21に転送する。この通知を受けた事前認証制御部21は、例えば認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して、事前認証処理を終了する。   The pre-authentication result notifying unit 124 notifies the user terminal 2 of the success or failure of the pre-authentication by the pre-authentication processing unit 121 (authentication success or authentication failure) via the intermediate server 13. Specifically, the pre-authentication result notification unit 124 notifies the authentication request unit 131 of the intermediate server 13 of the success or failure of the pre-authentication by the pre-authentication processing unit 121. The authentication request unit 131 transfers the notification received from the pre-authentication result notification unit 124 to the pre-authentication control unit 21 of the user terminal 2. Upon receiving this notification, the pre-authentication control unit 21 displays, for example, success or failure of the authentication on the screen of the display device (not shown) of the user terminal 2 and ends the pre-authentication process.

認証サーバ12の残りの構成(アドレス判定部125、本認証処理部126および本認証結果通知部127)については、サービス提供サーバ11の構成を先に説明した後に説明する。サービス提供サーバ11は、サービス提供部111、認証要求部112およびパケット解析部113を備えている。   The remaining configuration of the authentication server 12 (the address determination unit 125, the main authentication processing unit 126, and the main authentication result notification unit 127) will be described after the configuration of the service providing server 11 is described first. The service providing server 11 includes a service providing unit 111, an authentication request unit 112, and a packet analysis unit 113.

サービス提供部111は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末2に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部111は、ユーザ端末2の本認証制御部22から送信されてくるパケットを受信すると、これを認証要求部112に転送する。   The service providing unit 111 provides an information communication service such as net banking to the user terminal 2 when this authentication is permitted. When the main authentication is performed before the service is provided, the service providing unit 111 receives a packet transmitted from the main authentication control unit 22 of the user terminal 2 and transfers the packet to the authentication request unit 112.

認証要求部112がサービス提供部111からパケットを受信したときに、パケット解析部113は、認証要求部112が受信したパケットを解析し、認証情報(事前認証時と同じもの)と、ユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当。以下、これを第2の送信元IPアドレスと称する)とを抽出する。認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う。   When the authentication requesting unit 112 receives a packet from the service providing unit 111, the packet analysis unit 113 analyzes the packet received by the authentication requesting unit 112, the authentication information (the same as that at the time of pre-authentication), and the user terminal 2 IP address (corresponding to the address information of the packet transmission source terminal, hereinafter referred to as a second transmission source IP address). The authentication request unit 112 sends the authentication information extracted by the packet analysis unit 113 and the second source IP address to the authentication server 12 to make an authentication request.

認証サーバ12のアドレス判定部125は、認証要求部112より送られた第2の送信元IPアドレス(すなわち、本認証制御部22からサービス提供サーバ11に向けて送信されたパケットよりパケット解析部113にて抽出された第2の送信元IPアドレス)と、当該パケットより抽出された認証情報に対応付けてIPアドレステーブル123に記憶されているアドレス情報(第1の送信元IPアドレス)とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。   The address determination unit 125 of the authentication server 12 includes a packet analysis unit 113 based on the second transmission source IP address transmitted from the authentication request unit 112 (that is, the packet transmitted from the authentication control unit 22 to the service providing server 11). The second source IP address extracted in step 2) matches the address information (first source IP address) stored in the IP address table 123 in association with the authentication information extracted from the packet. It is determined whether or not to do. Here, if the address information does not match, authentication fails.

本認証処理部126は、アドレス判定部125によりアドレス情報が一致すると判定された場合に、本認証制御部22からサービス提供サーバ11に送信され本認証処理部126に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部126は、サービス提供サーバ11から受信した認証情報に含まれるユーザIDをキーとして認証データベース128を参照し、認証データベース128上のワンタイムパスワードと、サービス提供サーバ11から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。   The authentication processing unit 126 is based on the authentication information transmitted from the authentication control unit 22 to the service providing server 11 and transferred to the authentication processing unit 126 when the address determination unit 125 determines that the address information matches. Perform this authentication. For example, the authentication processing unit 126 refers to the authentication database 128 using the user ID included in the authentication information received from the service providing server 11 as a key, and receives the one-time password on the authentication database 128 and the service providing server 11. It is checked whether or not the one-time password included in the authentication information is the same. If the password is the same, the authentication is successful. If the password is not the same, the authentication is unsuccessful.

上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが1回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部126は、本認証の成功後に認証データベース128からワンタイムパスワードを削除する。   As described above, the one-time password is used in the present embodiment, but management is performed so that the same one-time password is valid once for the pre-authentication and the main authentication. That is, the authentication information once used in the pre-authentication cannot be used again in the pre-authentication, but is still valid in the main authentication. The one-time password is completely invalidated when both the pre-authentication and the main authentication are completed. In order to completely invalidate the one-time password, the authentication processing unit 126 deletes the one-time password from the authentication database 128 after the main authentication is successful.

本認証結果通知部127は、アドレス判定部125および本認証処理部126による本認証の成否を、サービス提供サーバ11を介してユーザ端末2に通知する。具体的には、本認証結果通知部127は、アドレス判定部125によるアドレス情報の一致判定の結果または本認証処理部126による認証の結果を、本認証の成否としてサービス提供サーバ11の認証要求部112に通知する。認証要求部112は、本認証結果通知部127から受けた通知を、サービス提供部111を介してユーザ端末2の本認証制御部22に転送する。   The authentication result notification unit 127 notifies the user terminal 2 of the success or failure of the authentication by the address determination unit 125 and the authentication processing unit 126 via the service providing server 11. Specifically, the authentication result notification unit 127 uses the result of address information match determination by the address determination unit 125 or the result of authentication by the authentication processing unit 126 as the success or failure of the authentication, and the authentication request unit of the service providing server 11. 112 is notified. The authentication request unit 112 transfers the notification received from the authentication result notification unit 127 to the authentication control unit 22 of the user terminal 2 via the service providing unit 111.

本認証に失敗したことが通知された場合、本認証制御部22は、例えば認証に失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部22に通知された場合、それ以降ユーザ端末2は、サービス提供サーバ11のサービス提供部111による情報通信サービスを受けられる状態となる。   When notified that the main authentication has failed, the authentication control unit 22 displays, for example, that the authentication has failed on the screen of the display device (not shown) of the user terminal 2 and ends the authentication process. On the other hand, when the authentication control unit 22 is notified that the main authentication is successful, the user terminal 2 is in a state where it can receive the information communication service by the service providing unit 111 of the service providing server 11 thereafter.

以上に説明した本実施形態による認証サーバシステム1の機能構成およびユーザ端末2の機能構成は、ハードウェア、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム1およびユーザ端末2は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。   The functional configuration of the authentication server system 1 and the functional configuration of the user terminal 2 according to the present embodiment described above can be realized by any of hardware, DSP, and software. For example, when realized by software, the authentication server system 1 and the user terminal 2 of the present embodiment are actually configured to include a CPU or MPU of a computer, RAM, ROM, etc., and a program stored in the RAM or ROM operates. It can be realized by doing.

したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、認証サーバシステム1やユーザ端末2のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末2のプログラムは、認証サーバシステム1からダウンロードするようにしてもよい。   Therefore, it can be realized by recording a program that causes the computer to perform the functions of the above-described embodiment on a recording medium such as a CD-ROM and reading the program into the computer of the authentication server system 1 or the user terminal 2. is there. As a recording medium for recording the program, a flexible disk, a hard disk, a magnetic tape, an optical disk, a magneto-optical disk, a DVD, a nonvolatile memory card, and the like can be used in addition to the CD-ROM. It can also be realized by downloading the program to a computer via a network such as the Internet. For example, the program of the user terminal 2 may be downloaded from the authentication server system 1.

次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図4は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図5は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。   Next, the operation of the access control system configured as described above according to the present embodiment will be described. FIG. 4 is a flowchart showing an operation example at the time of pre-authentication of the access control system according to the present embodiment. FIG. 5 is a flowchart showing an operation example of the access control system according to the present embodiment at the time of the main authentication.

最初に、事前認証時の動作を説明する。図4において、まず、ユーザ端末2のワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する(ステップS1)。そして、事前認証制御部21は、認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を中間サーバ13に送信する(ステップS2)。中間サーバ13の認証要求部131がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部132は、その通信パケットを解析し、認証情報および第1の送信元IPアドレスを抽出する(ステップS3)。そして、認証要求部131は、パケット解析部132により抽出された認証情報と第1の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS4)。   First, the operation at the time of pre-authentication will be described. In FIG. 4, first, the one-time password generation unit 23 of the user terminal 2 automatically generates a one-time password when activated by an instruction from the user (step S1). Then, the pre-authentication control unit 21 transmits the authentication information (the user ID and the one-time password generated by the one-time password generation unit 23) to the intermediate server 13 (Step S2). When the authentication request unit 131 of the intermediate server 13 receives the communication packet of the authentication information from the user terminal 2, the packet analysis unit 132 analyzes the communication packet and extracts the authentication information and the first transmission source IP address (step S3). Then, the authentication request unit 131 sends the authentication information extracted by the packet analysis unit 132 and the first transmission source IP address to the authentication server 12 to make an authentication request (step S4).

認証サーバ12の事前認証処理部121は、中間サーバ13から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う(ステップS5)。ここで、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードによる認証が1回目で、かつ、そのワンタイムパスワードと事前認証処理部121によりワンタイムパスワード生成部23と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が2回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。   When receiving the authentication information from the intermediate server 13, the pre-authentication processing unit 121 of the authentication server 12 performs pre-authentication based on the received authentication information (step S5). Here, the authentication using the one-time password included in the authentication information received from the intermediate server 13 is the first time, and the same information is used by the one-time password and the pre-authentication processing unit 121 using the same information as the one-time password generation unit 23. If the one-time password generated by the method is the same, the authentication is successful. On the other hand, if the one-time password is authenticated for the second time or later, or if the compared one-time passwords are not the same, the authentication fails.

事前認証処理部121は、事前認証に成功したか否かを判定し(ステップS6)、認証成功と判定した場合は、ワンタイムパスワードを認証データベース128に登録するとともに、認証に成功した旨を記憶処理部122および事前認証結果通知部124に通知する。一方、事前認証処理部121は、認証失敗と判定した場合は、その旨を事前認証結果通知部124に通知する。記憶処理部122は、事前認証処理部121から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第1の送信元IPアドレスをIPアドレステーブル123に記録する(ステップS7)。上述のように、これ以降事前認証処理部121は、中間サーバ13からの同一の認証情報による認証要求(事前認証)の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部122によるステップS7の処理は行わない。   The pre-authentication processing unit 121 determines whether or not the pre-authentication is successful (step S6). If it is determined that the authentication is successful, the pre-authentication processing unit 121 registers the one-time password in the authentication database 128 and stores that the authentication is successful. The processing unit 122 and the pre-authentication result notification unit 124 are notified. On the other hand, if the pre-authentication processing unit 121 determines that the authentication has failed, the pre-authentication processing unit 121 notifies the pre-authentication result notification unit 124 to that effect. The storage processing unit 122 receives a notification of successful authentication from the pre-authentication processing unit 121, and records the first transmission source IP address in the IP address table 123 in association with the authentication information used for the pre-authentication (step S7). . As described above, the pre-authentication processing unit 121 thereafter fails all the results of authentication requests (pre-authentication) using the same authentication information from the intermediate server 13. Note that if the pre-authentication fails, the storage processing unit 122 does not perform the process of step S7.

事前認証結果通知部124は、事前認証処理部121から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ13へ送信する(ステップS8)。また、中間サーバ13は、事前認証結果通知部124から受け取った認証結果をユーザ端末2へ送信する(ステップS9)。このようにして認証サーバ12から中間サーバ13を介して事前認証の結果の通知を受け取ったユーザ端末2において、事前認証処理部121は、事前認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS10)、事前認証処理を終了する。   The pre-authentication result notifying unit 124 receives a notification of authentication success or authentication failure from the pre-authentication processing unit 121, and transmits the authentication result to the intermediate server 13 (step S8). Further, the intermediate server 13 transmits the authentication result received from the pre-authentication result notifying unit 124 to the user terminal 2 (step S9). In the user terminal 2 that has received the notification of the result of the pre-authentication from the authentication server 12 via the intermediate server 13 in this way, the pre-authentication processing unit 121 indicates that the pre-authentication has succeeded or failed. It displays on the screen of (not shown) (step S10), and a pre-authentication process is complete | finished.

次に、本認証の動作を説明する。図5において、まず、ユーザ端末2の本認証制御部22は、ウェブブラウザの機能を利用してサービス提供サーバ11にアクセスしてユーザ端末2の表示装置(図示せず)に認証画面を表示する。そして、ユーザ端末2のユーザが認証画面から認証情報(事前認証時と同じユーザIDおよびワンタイムパスワード)を入力し、送信ボタンを押すと、本認証制御部22は、当該入力された認証情報をサービス提供サーバ11に送信する(ステップS21)。   Next, the operation of this authentication will be described. In FIG. 5, first, the authentication control unit 22 of the user terminal 2 accesses the service providing server 11 using the function of the web browser and displays an authentication screen on a display device (not shown) of the user terminal 2. . Then, when the user of the user terminal 2 inputs authentication information (the same user ID and one-time password as in pre-authentication) from the authentication screen and presses the send button, the authentication control unit 22 displays the input authentication information. It transmits to the service providing server 11 (step S21).

サービス提供サーバ11のサービス提供部111がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部113は、その通信パケットを解析し、認証情報および第2の送信元IPアドレスを抽出する(ステップS22)。そして、認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS23)。   When the service providing unit 111 of the service providing server 11 receives the communication packet of the authentication information from the user terminal 2, the packet analyzing unit 113 analyzes the communication packet and extracts the authentication information and the second transmission source IP address ( Step S22). Then, the authentication request unit 112 sends the authentication information extracted by the packet analysis unit 113 and the second transmission source IP address to the authentication server 12 to make an authentication request (step S23).

認証サーバ12においてサービス提供サーバ11から認証情報を受信すると、アドレス判定部125は、サービス提供サーバ11から送られてくる第2の送信元IPアドレスと、サービス提供サーバ11から送られてくる認証情報に対応付けてIPアドレステーブル123に記憶されている第1の送信元IPアドレスとを比較し(ステップS24)、両者が一致するか否かを判定する(ステップS25)。   When the authentication server 12 receives the authentication information from the service providing server 11, the address determination unit 125 receives the second transmission source IP address sent from the service providing server 11 and the authentication information sent from the service providing server 11. Is compared with the first source IP address stored in the IP address table 123 (step S24), and it is determined whether or not they match (step S25).

具体的には、アドレス判定部125は、認証情報に含まれるユーザIDをキーとしてIPアドレステーブル123を参照する。そして、IPアドレステーブル123にそのユーザIDに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザIDに該当するレコードがあれば、アドレス判定部125は、そのレコードに記憶されている第1の送信元IPアドレスと、サービス提供サーバ11から送られてきた第2の送信元IPアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部125はその旨を本認証結果通知部127に通知する。   Specifically, the address determination unit 125 refers to the IP address table 123 using the user ID included in the authentication information as a key. If there is no record corresponding to the user ID in the IP address table 123, it is assumed that pre-authentication has not been performed, and authentication fails. If there is a record corresponding to the user ID, the address determination unit 125 uses the first transmission source IP address stored in the record and the second transmission source IP address sent from the service providing server 11. If they do not match, authentication fails. If authentication fails, the address determination unit 125 notifies the authentication result notification unit 127 to that effect.

一方、第1の送信元IPアドレスと第2の送信元IPアドレスとが一致した場合、アドレス判定部125はその旨を本認証処理部126に通知する。本認証処理部126はこの通知を受けて、サービス提供サーバ11から受信した認証情報に基づいて本認証を行う(ステップS26)。なお、ステップS25のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。   On the other hand, when the first transmission source IP address matches the second transmission source IP address, the address determination unit 125 notifies the authentication processing unit 126 to that effect. Upon receiving this notification, the main authentication processing unit 126 performs main authentication based on the authentication information received from the service providing server 11 (step S26). If it is determined in the address match determination in step S25 that the authentication has failed, this authentication is not performed.

本認証処理部126は、本認証に成功したか否かを判定する(ステップS27)。そして、認証成功と判定した場合は、その旨を本認証結果通知部127に通知するとともに、ワンタイムパスワードを無効化する(ステップS28)。ワンタイムパスワードの無効化は、例えば、認証データベース128からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザIDのレコードをIPアドレステーブル123から削除することによって行う。一方、本認証処理部126は、認証失敗と判定した場合は、その旨を本認証結果通知部127に通知する。なお、本認証に失敗した場合は、ステップS28の処理は行わない。   The main authentication processing unit 126 determines whether the main authentication is successful (step S27). If it is determined that the authentication is successful, the authentication result notifying unit 127 is notified of the fact and the one-time password is invalidated (step S28). The invalidation of the one-time password is performed, for example, by deleting the one-time password from the authentication database 128 and deleting the record of the corresponding user ID recorded by the pre-authentication from the IP address table 123. On the other hand, if the authentication processing unit 126 determines that the authentication has failed, the authentication processing unit 126 notifies the authentication result notification unit 127 to that effect. If this authentication fails, step S28 is not performed.

本認証結果通知部127は、アドレス判定部125から認証失敗の通知を受けて、あるいは、本認証処理部126から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ11へ送信する(ステップS29)。また、サービス提供サーバ11は、本認証結果通知部127から受け取った認証結果をユーザ端末2へ送信する(ステップS30)。   The authentication result notification unit 127 receives an authentication failure notification from the address determination unit 125 or receives an authentication success or authentication failure notification from the authentication processing unit 126 and transmits the authentication result to the service providing server 11. (Step S29). Further, the service providing server 11 transmits the authentication result received from the authentication result notifying unit 127 to the user terminal 2 (step S30).

このようにして認証サーバ12からサービス提供サーバ11を介して本認証の結果の通知を受け取ったユーザ端末2において、本認証制御部22は、本認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS31)、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ11はそれ以降、ユーザ端末2からのアクセスを許可する。   In this way, in the user terminal 2 that has received the notification of the result of the main authentication from the authentication server 12 via the service providing server 11, the main authentication control unit 22 displays that the main authentication has succeeded or failed. It is displayed on the screen of an apparatus (not shown) (step S31), and this authentication process is terminated. Here, when the main authentication is successful, the service providing server 11 permits access from the user terminal 2 thereafter.

以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。   As described above in detail, in this embodiment, an authentication server system 1 of the information communication service provider and the user terminal 2 of the information communication service user constitute an access control system, and authentication is performed by communication between these two parties. Processing is performed. That is, since the provider gateway device is not involved in a series of authentication processes for controlling access to the information communication service, it is not necessary to provide a special mechanism for the gateway device with the cooperation of the provider. Therefore, a system for access control can be assembled only by the information communication service provider.

また、本実施形態では、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。   In the present embodiment, the same authentication information is transmitted from the user terminal 2 to the authentication server 12 to perform two authentications (pre-authentication and main authentication). A match determination of the IP address indicating the transmission source terminal is also performed. This can reliably prevent spoofing by a malicious third party using a phishing act.

すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ11に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、IPアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にIPアドレスの比較も行っている。この場合、第三者の端末のIPアドレスがIPアドレステーブル123に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。   That is, when a legitimate user is trying to perform this authentication, a malicious third party steals authentication information by guiding to a fake site, and sends the authentication information from the third party terminal to the service providing server 11. Suppose this authentication is attempted. At this time, if a legitimate user has not performed the main authentication, the one-time password is still valid in the main authentication, and if there is no IP address matching determination, the third-party authentication will succeed. This is a normal phishing scam. However, in this embodiment, comparison of IP addresses is also performed at the time of this authentication. In this case, since the IP address of the third party's terminal is not registered in the IP address table 123, the authentication fails. Therefore, it is possible to reliably prevent spoofing by a malicious third party using a phishing act.

万が一、第三者が中間サーバ13の存在と事前認証の仕組みを知っていたとして、第三者の端末のIPアドレスを認証サーバ12に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ13へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のIPアドレスがIPアドレステーブル123に登録されることはない。   In the unlikely event that a third party knew the existence of the intermediate server 13 and the pre-authentication mechanism, the authentication information stolen by directing to a fake site to register the IP address of the third party's terminal in the authentication server 12 Is first sent to the intermediate server 13. Even in this case, the pre-authentication of the legitimate user has already been performed, and the pre-authentication has already been invalidated, so the authentication has failed and the third party's IP address is registered in the IP address table 123. Never happen.

ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末2から中間サーバ13へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ12へ送られ、1回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ13へ送ったとしても、2回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。   By the way, the stealing of authentication information is not only performed by phishing by guiding to a fake site but also by eavesdropping on a communication path for accessing the intermediate server 13 from the user terminal 2 when a legitimate user performs pre-authentication. is there. Even if the authentication information is stolen by a third party by eavesdropping on the communication path, the authentication information transmitted by the legitimate user is sent to the authentication server 12 as it is and undergoes the first pre-authentication. In this embodiment, since the one-time password is used as the authentication information, even if a third party subsequently sends the same authentication information to the intermediate server 13, the authentication fails because it is the second pre-authentication. As a result, unauthorized access due to spoofing using wiretapping on the communication path can be reliably prevented.

なお、第三者が正当なユーザより先に認証情報を中間サーバ13に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末2から中間サーバ13への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ13に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末2から中間サーバ13への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ13へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。   In addition, if a third party sends authentication information to the intermediate server 13 before a legitimate user, the third party can receive pre-authentication. However, since the connection from the user terminal 2 to the intermediate server 13 is automatically performed, there is no possibility that the user is guided to a fake site during the pre-authentication. Therefore, there is no possibility that authentication information transmitted by a legitimate user is stolen without reaching the intermediate server 13. If it is stolen, it is the interception of the transmission content on the communication path from the user terminal 2 to the intermediate server 13, but as described above, the third party who intercepted the authentication information on the communication path is ahead of the legitimate user. There is virtually no possibility of sending authentication information to the intermediate server 13. As a result, it is possible to construct a high-security network system that reliably denies unauthorized access due to impersonation.

なお、上記実施形態では、ユーザ端末2と認証サーバ12との間に中間サーバ13を置いているが、これは認証サーバ12がファイアウォールで外部ネットワーク3から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ13を用いない場合、例えば、認証要求部131の機能をユーザ端末2に設け、パケット解析部132の機能を認証サーバ12に設けるようにしても良い。   In the above embodiment, the intermediate server 13 is placed between the user terminal 2 and the authentication server 12, but this is because the authentication server 12 is protected from the external network 3 by a firewall. This is not an essential configuration for the present invention. When the intermediate server 13 is not used, for example, the function of the authentication request unit 131 may be provided in the user terminal 2 and the function of the packet analysis unit 132 may be provided in the authentication server 12.

また、上記実施形態では、パケット送信元端末のアドレス情報としてIPアドレスを用いているが、本発明はこれに限定されない。例えば、MACアドレスを用いてもよい。   Moreover, in the said embodiment, although an IP address is used as address information of a packet transmission source terminal, this invention is not limited to this. For example, a MAC address may be used.

また、上記実施形態では、事前認証を行った後に、ユーザ端末2からサービス提供サーバ11にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部21が認証サーバ12から中間サーバ13を介して受信したときに、本認証制御部22がサービス提供サーバ11のIPアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。   In the above embodiment, after the pre-authentication is performed, the user terminal 2 accesses the service providing server 11 to display the authentication screen, and the user inputs the authentication information. It is not limited. For example, when the pre-authentication control unit 21 receives a notification that the pre-authentication is successful from the authentication server 12 via the intermediate server 13, the authentication control unit 22 automatically specifies the IP address of the service providing server 11. Then, the same authentication information as that at the time of pre-authentication may be automatically transmitted. In this way, the risk of being guided to a fake site during this authentication can be eliminated.

また、上記実施形態では、認証サーバシステム1は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを1回ずつ有効とするように事前認証処理部121および本認証処理部126を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部23は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部126も自らワンタイムパスワードを生成して事前認証処理部121と同様の認証を行う。したがって、事前認証処理部121は、事前認証の成功時にワンタイムパスワードを認証データベース128に登録する必要はない。   In the above embodiment, the authentication server system 1 operates the pre-authentication processing unit 121 and the main authentication processing unit 126 so that the same one-time password is validated once for each of the pre-authentication and the main authentication. However, the present invention is not limited to this. For example, separate one-time passwords may be used for pre-authentication and main authentication. In this case, the one-time password generation unit 23 generates different one-time passwords at both the pre-authentication and the main authentication. The authentication processing unit 126 also generates a one-time password by itself and performs the same authentication as the pre-authentication processing unit 121. Therefore, the pre-authentication processing unit 121 does not need to register the one-time password in the authentication database 128 when the pre-authentication is successful.

また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献1に記載された方法を適用しても良い。   Moreover, although the example of the one-time password generation method and the one-time password authentication method has been described in the above embodiment, the present invention is not limited to this. That is, other known methods can be applied. For example, the method described in Patent Document 1 may be applied.

また、上記実施形態では、ユーザIDを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末2を識別するデバイスIDを用いても良い。あるいは、ユーザ端末2に装着して使用するUSBメモリ等のデバイスIDを用いても良い。USBメモリを用いる場合、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23の機能を当該USBメモリに持たせるようにしても良い。このようにすれば、ユーザ端末2に対するソフトウェアの事前インストールは不要となる。   Moreover, although the said embodiment demonstrated the example which uses user ID as a part of authentication information, this invention is not limited to this. For example, a device ID that identifies the user terminal 2 may be used. Alternatively, a device ID such as a USB memory used by being mounted on the user terminal 2 may be used. When the USB memory is used, the USB memory may have the functions of the pre-authentication control unit 21, the main authentication control unit 22, and the one-time password generation unit 23. In this way, it is not necessary to install software in advance on the user terminal 2.

その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。   In addition, the said embodiment is only what showed the example in implementation in implementing this invention, and, as a result, the technical scope of this invention should not be interpreted limitedly. In other words, the present invention can be implemented in various forms without departing from the spirit or main features thereof.

1 認証サーバシステム
2 ユーザ端末
11 サービス提供サーバ
12 認証サーバ
13 中間サーバ
21 事前認証制御部
22 本認証制御部
23 ワンタイムパスワード生成部
113 パケット解析部
121 事前認証処理部
122 記憶処理部
123 IPアドレステーブル
125 アドレス判定部
126 本認証処理部
128 認証データベース
132 パケット解析部 DESCRIPTION OF SYMBOLS 1 Authentication server system 2 User terminal 11 Service provision server 12 Authentication server 13 Intermediate server 21 Pre-authentication control part 22 This authentication control part 23 One-time password generation part 113 Packet analysis part 121 Pre-authentication processing part 122 Storage processing part 123 IP address table 125 Address determination unit 126 Authentication processing unit 128 Authentication database 132 Packet analysis unit

Claims (9)

情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。 An access control system in which an authentication server system of an information communication service provider and a user terminal of an information communication service user are connected via a communication network,
The user terminal, a pre-authentication control unit that transmits a packet of authentication information for pre-authentication toward a predetermined destination address of the authentication server system;
In response to the fact that the pre-authentication control unit has transmitted the authentication information, the authentication server system is notified of pre-authentication success, and then the authentication information is directed toward a predetermined destination address of the authentication server system. And a main authentication control unit for transmitting a packet for the main authentication,
The authentication server system includes a pre-authentication processing unit that performs the pre-authentication based on the authentication information transmitted from the pre-authentication control unit;
When the pre-authentication by the pre-authentication processing unit is successful, the address information of the packet transmission source terminal extracted from the packet transmitted by the pre-authentication control unit is associated with the authentication information extracted from the packet A storage processing unit to be stored in the address table,
The address information of the packet source terminal extracted from the packet transmitted from the authentication control unit matches the address information stored in the address table in association with the authentication information extracted from the packet. An address determination unit for determining whether or not
An access comprising: a main authentication processing unit that performs the main authentication based on the authentication information transmitted from the main authentication control unit when the address determination unit determines that the address information matches. Control system. 上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項1に記載のアクセス制御システム。 The authentication server system includes a service providing server that provides the information communication service, an authentication server that performs authentication to confirm whether an accesser to the service providing server is a valid user, and the user An intermediate server disposed between the terminal and the authentication server,
The pre-authentication processing unit, the storage processing unit, the address determination unit, and the main authentication processing unit are provided in the authentication server,
The pre-authentication control unit is configured to transmit the authentication information to the intermediate server as a packet.
The authentication control unit is configured to packet-transmit the authentication information to the service providing server,
The intermediate server makes an authentication request by transferring the authentication information sent from the pre-authentication control unit to the authentication server,
The access control system according to claim 1, wherein the service providing server is configured to make an authentication request by transferring the authentication information sent from the authentication control unit to the authentication server. 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項1に記載のアクセス制御システム。 The access control system according to claim 1, wherein the authentication information includes a one-time password. 上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項3に記載のアクセス制御システム。 The user terminal includes a one-time password generation unit that generates the one-time password;
When the one-time password is generated by the one-time password generation unit, the predetermined transmission destination address is automatically specified, and the authentication information including the one-time password is packet-transmitted. The access control system according to claim 3. 情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。 An information communication service provider authentication server system connected to a user terminal of an information communication service user via a communication network,
A pre-authentication processing unit that performs pre-authentication based on authentication information extracted from a packet transmitted for pre-authentication from the user terminal;
When the authentication by the pre-authentication processing unit is successful, the address information of the packet transmission source terminal extracted from the packet transmitted from the user terminal for the pre-authentication, and the authentication information extracted from the packet and A storage processing unit that associates and stores in the address table;
Address information of a packet transmission source terminal extracted from a packet transmitted for the main authentication from the user terminal, address information stored in the address table in association with the authentication information extracted from the packet, and An address determination unit for determining whether or not match,
A main authentication processing unit that performs main authentication based on the authentication information extracted from the packet transmitted for the main authentication when the address determination unit determines that the address information matches. A featured authentication server system. 上記認証情報はワンタイムパスワードを含むことを特徴とする請求項5に記載の認証サーバシステム。 The authentication server system according to claim 5, wherein the authentication information includes a one-time password. 情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
としてコンピュータを機能させるためのアクセス制御プログラム。 A computer-readable access control program that operates in an access control system in which an authentication server system of an information communication service provider and a user terminal of an information communication service user are connected via a communication network,
Pre-authentication control means for packet-transmitting authentication information for pre-authentication from the user terminal toward a predetermined destination address of the authentication server system;
In response to the fact that the pre-authentication control means has transmitted the authentication information, the pre-authentication success is notified from the authentication server system, and then from the user terminal toward a predetermined destination address of the authentication server system. , Authentication control means for transmitting the authentication information packet for the authentication,
Pre-authentication processing means for performing the pre-authentication in the authentication server system based on the authentication information transmitted by the pre-authentication control means;
When the pre-authentication by the pre-authentication processing unit is successful, the address information of the packet transmission source terminal extracted from the packet transmitted by the pre-authentication control unit is associated with the authentication information extracted from the packet Storage processing means for storing in the address table of the authentication server system,
The address information of the packet source terminal extracted from the packet transmitted by the authentication control unit matches the address information stored in the address table in association with the authentication information extracted from the packet. Address determining means for determining whether or not the address information matches in the authentication server system, and the authentication server based on the authentication information transmitted by the authentication control means when it is determined that the address information matches. An access control program for causing a computer to function as main authentication processing means for performing the main authentication in the system. 上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項7に記載のアクセス制御プログラム。 A one-time password generating means for generating a one-time password in the user terminal;
8. The access control program according to claim 7, wherein the pre-authentication control unit and the main authentication control unit transmit the one-time password generated by the one-time password generation unit as the authentication information. 上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項8に記載のアクセス制御プログラム。 The pre-authentication control means automatically designates the predetermined destination address when the one-time password is generated by the one-time password generation means, and the authentication information including the one-time password 9. The access control program according to claim 8, wherein packet is transmitted.
JP2009222441A 2009-09-28 2009-09-28 Access control system, authentication server system, and access control program Active JP4698751B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009222441A JP4698751B2 (en) 2009-09-28 2009-09-28 Access control system, authentication server system, and access control program
PCT/JP2010/066682 WO2011037226A1 (en) 2009-09-28 2010-09-27 Access control system, authentication server system, and access control program
CN201080051700.3A CN102667799B (en) 2009-09-28 2010-09-27 Access control system and certificate server system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009222441A JP4698751B2 (en) 2009-09-28 2009-09-28 Access control system, authentication server system, and access control program

Publications (2)

Publication Number Publication Date
JP2011070513A JP2011070513A (en) 2011-04-07
JP4698751B2 true JP4698751B2 (en) 2011-06-08

Family

ID=43795967

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009222441A Active JP4698751B2 (en) 2009-09-28 2009-09-28 Access control system, authentication server system, and access control program

Country Status (3)

Country Link
JP (1) JP4698751B2 (en)
CN (1) CN102667799B (en)
WO (1) WO2011037226A1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5708445B2 (en) * 2011-10-31 2015-04-30 富士通株式会社 Registration method, registration program, and registration apparatus
JP5773902B2 (en) * 2012-02-03 2015-09-02 Kddi株式会社 Authority information transfer method and system for transferring authority information between terminals
CN104620251A (en) * 2012-09-14 2015-05-13 株式会社东芝 VPN connection authentication system, user terminal, authentication server, biometric-authentication result evidence-information validation server, VPN connection server, and program
JP6190538B2 (en) * 2014-09-01 2017-08-30 パスロジ株式会社 User authentication method and system for realizing the same
JP2017045347A (en) * 2015-08-28 2017-03-02 日本電気株式会社 Information management device, communication management system, information communication device, information management method, and information management program
JP6651570B2 (en) * 2018-04-23 2020-02-19 株式会社オルツ User authentication device for authenticating a user, a program executed in the user authentication device, a program executed in an input device for authenticating the user, a user authentication device, and a computer system including the input device
JP7283232B2 (en) 2019-06-03 2023-05-30 オムロン株式会社 Information provision method and information provision system
CN110519257B (en) * 2019-08-22 2022-04-01 北京天融信网络安全技术有限公司 Network information processing method and device

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000322353A (en) * 1999-05-13 2000-11-24 Nippon Telegr & Teleph Corp <Ntt> Information providing device, information providing service authenticating method and recording medium for recording information providing service authentication program
JP2002073561A (en) * 2000-09-01 2002-03-12 Toyota Motor Corp Method and system for authenticating user to perform access through communication network and information processing system utilizing the same
JP3616570B2 (en) * 2001-01-04 2005-02-02 日本電気株式会社 Internet relay connection method
JP4303952B2 (en) * 2002-12-24 2009-07-29 株式会社コムスクエア Multiple authentication system, computer program, and multiple authentication method
JP2005018421A (en) * 2003-06-26 2005-01-20 Mitsubishi Electric Corp Management device, service providing device, and communication system
JP2006011989A (en) * 2004-06-28 2006-01-12 Ntt Docomo Inc Authentication method, terminal device, repeater, and authentication server
JP4983197B2 (en) * 2006-10-19 2012-07-25 富士ゼロックス株式会社 Authentication system, authentication service providing apparatus, and authentication service providing program
JP5148961B2 (en) * 2007-09-27 2013-02-20 ニフティ株式会社 User authentication mechanism

Also Published As

Publication number Publication date
WO2011037226A1 (en) 2011-03-31
CN102667799A (en) 2012-09-12
JP2011070513A (en) 2011-04-07
CN102667799B (en) 2016-05-25

Similar Documents

Publication Publication Date Title
CA2689847C (en) Network transaction verification and authentication
US8275984B2 (en) TLS key and CGI session ID pairing
TWI543574B (en) Method for authenticatiing online transactions using a browser
JP4861417B2 (en) Extended one-time password method and apparatus
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
JP4698751B2 (en) Access control system, authentication server system, and access control program
US8266683B2 (en) Automated security privilege setting for remote system users
US10445487B2 (en) Methods and apparatus for authentication of joint account login
KR101482564B1 (en) Method and apparatus for trusted authentication and logon
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
US20100217975A1 (en) Method and system for secure online transactions with message-level validation
JP2017521934A (en) Method of mutual verification between client and server
JP2004185623A (en) Method and system for authenticating user associated with sub-location in network location
CN110933078B (en) H5 unregistered user session tracking method
US9954853B2 (en) Network security
JP5186648B2 (en) System and method for facilitating secure online transactions
JP2004151886A (en) Secure communication system and method and its program
US20080060060A1 (en) Automated Security privilege setting for remote system users
Deeptha et al. Extending OpenID connect towards mission critical applications
EP2530618B1 (en) Sign-On system with distributed access
TWI778319B (en) Method for cross-platform authorizing access to resources and authorization system thereof
JP2017220769A (en) Communication system and method, client terminal and program
JP2005227993A (en) Access authentication method for network system
JP2007049649A (en) Communication medium apparatus, data providing apparatus, and data providing system
TWI394420B (en) Ip address secure multi-channel authentication for online transactions

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110301

R150 Certificate of patent or registration of utility model

Ref document number: 4698751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250