JP6438256B2 - 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム - Google Patents
端末装置、認証サーバ、認証システム、認証方法及び認証プログラム Download PDFInfo
- Publication number
- JP6438256B2 JP6438256B2 JP2014199052A JP2014199052A JP6438256B2 JP 6438256 B2 JP6438256 B2 JP 6438256B2 JP 2014199052 A JP2014199052 A JP 2014199052A JP 2014199052 A JP2014199052 A JP 2014199052A JP 6438256 B2 JP6438256 B2 JP 6438256B2
- Authority
- JP
- Japan
- Prior art keywords
- script
- terminal device
- transmission
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この場合、認証サーバは、ユーザを特定するための認証情報を発行してブラウザのクッキー(HTTP cookie)に保存させる。すると、同一のサイトへの2回目以降のアクセスに対しては、端末装置がクッキーに保存された認証情報を認証サーバへ送信することにより、ユーザによる入力の手間が省かれる(例えば、特許文献1参照)。
ユーザが端末装置(Device)においてID及びパスワードを入力すると(1)、認証サーバ(WebServer)において、認証情報(Cookie Key)が発行され(2)、HTMLファイルを媒介してブラウザのクッキーに記憶される(3)。端末装置がURLを指定して認証サーバへアクセスすると、このURLに関連付けられた認証情報が自動的に付加される(4)。これにより、認証サーバは、認証情報によりユーザを特定し、特定したユーザに固有のサービス(HTMLページ)を提供する(5)。
セキュリティ技術のレイヤには、OSレイヤ、ハードウェアレイヤ、アプリケーションレイヤ等があるが、本発明はアプリケーションレイヤでのセキュリティ技術に該当する。本実施形態は、特にブラウザ上で実行される第三者のスクリプトの働きにより第三者が機密情報を取得することを防ぐために好適なものである。
認証システム1は、認証サーバ10と端末装置20とを備え、端末装置20のユーザの正当性を、このユーザを特定する認証情報に基づいて認証サーバ10によって認証する。
端末装置20は、第1の記憶部21と、第2の記憶部22と、記憶処理部23と、送信処理部24(第3の送信部)とを備える情報処理装置である。これら各機能部は、例えば、Webサービスを利用するためのブラウザアプリケーションによって実装される。端末装置20は、例えば単一のユーザにより利用される携帯電話機、スマートフォン又はタブレット端末等の携帯端末であってよい。
認証情報は、例えば、以下の手順により生成される。
(2)生成部11は、端末装置20から端末固有情報を受信した後に、この端末固有情報に対応付けて認証情報(ID及びKEY)を生成する。
(3)生成部11は、認証情報として、ランダムな値(ID及びKEY)を生成する。
第2の送信部13は、端末装置20からの2回目以降のアクセスに応じて、送信スクリプトを起動するための起動スクリプトを、端末装置20へ送信する。
なお、送信スクリプト、記憶スクリプト及び指示スクリプトは、例えば、JavaScript(登録商標)であってよい。また、送信スクリプト、記憶スクリプト及び指示スクリプトのうちのいずれか2つ又は3つ全てが一体であってもよい。
さらに、記憶部15は、機種変更等により複数の端末装置20に対して同一ユーザの認証情報を再生成した場合に、新旧の認証情報が紐付けられる情報を受け付けて記憶する。例えば、認証サーバ10は、ID及びパスワードによる紐付け、又はグループの指定入力に基づくグループIDの発行により、同一ユーザの複数の認証情報を識別する。
さらに、記憶処理部23は、送信スクリプトにより読み込まれる認証情報の一部を、第2の記憶領域に記憶してもよい。これにより、第三者による送信スクリプトの実行が抑制される。
ここで、送信処理部24は、送信スクリプトによって、認証情報を所定のプロトコルにより暗号化して送信してもよい。
このとき、同一セッションを保証するためのセッションキーが発行され、HTMLファイルを媒介してブラウザのクッキーに記憶される。なお、同一セッションを保証するための仕組みはこれには限られず、既存の技術が利用可能である。
端末装置20は、送信スクリプトAに記述されている送信命令によって、第2の記憶部22(HTML5 localStorage)に記憶されている認証情報の一部(例えば、KEY)を取得すると(4)、認証情報の全体を暗号化し、送信スクリプトAに埋め込まれているURLを宛先にして、暗号化データを認証サーバ10へ送信する(5)。
また、攻撃スクリプトDによって直接、送信スクリプトAにアクセスされた場合であっても、認証情報は正規の認証サーバ10に対してのみ送信される。さらに、認証情報の一部(KEY)が第2の記憶部22(localStorage)に記憶されていると、この情報は認証サーバ10とは異なるサーバ100のドメインからは取得されず、認証情報の送信自体がされない。
したがって、認証情報を第三者に不正利用される可能性が低減される。
ブラウザ上で実行される第三者のスクリプトが、第1の記憶部21に格納されたスクリプト(送信スクリプト)にアクセスする場合、ブラウザが規定するアクセス制限及びインタフェースに従う。すなわち、第三者のスクリプトは、たとえ送信スクリプトを実行することが可能だとしても、送信スクリプトの記述内容を、インタフェースの規定外で直接読み込むことは不可能である。また、送信スクリプトには、送信スクリプトを起動したスクリプトへ認証情報を提供する命令は記述されていない。したがって、送信スクリプトは、特定の宛先である認証サーバ10に対してのみ認証情報を送信する。このため、第三者のスクリプトが送信スクリプトを実行しても、正規の認証サーバ10以外が認証情報を受け取ることはない。
このように、端末装置20は、機密情報を安全に特定の宛先へ送信できる。
B 記憶スクリプト
C 起動スクリプト
1 認証システム
10 認証サーバ
11 生成部
12 第1の送信部
13 第2の送信部
14 認証部
15 記憶部(第3の記憶部)
20 端末装置
21 第1の記憶部
22 第2の記憶部
23 記憶処理部
24 送信処理部(第3の送信部)
Claims (15)
- 特定の送信先へ送信可能な機密情報を記憶する端末装置であって、
前記機密情報を送信するための命令、及び前記機密情報の少なくとも一部が記述され、用途が実行に限定された送信スクリプトを記憶する第1の記憶部と、
前記送信先から受信した起動スクリプトにより前記送信スクリプトを起動し、前記送信スクリプトを実行することにより、前記機密情報を前記送信先へ送信する送信処理部と、を備える端末装置。 - 前記第1の記憶部は、ブラウザキャッシュである請求項1に記載の端末装置。
- 前記機密情報の他の一部は、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、
前記命令は、前記第2の記憶部から前記機密情報の他の一部を読み込み、前記機密情報の全部を前記送信先へ送信するためのものである請求項1又は請求項2に記載の端末装置。 - 前記送信先のアドレスは、少なくともアクセス元のドメインが制限される第2の記憶部に記憶され、
前記命令は、前記第2の記憶部から前記送信先のアドレスを読み込み、前記機密情報を前記送信先のアドレスへ送信するためのものである請求項1から請求項3のいずれかに記載の端末装置。 - 前記第2の記憶部は、HTML5に規定されるlocalStorageである請求項3又は請求項4に記載の端末装置。
- 前記送信スクリプトは、さらに、前記送信先のアドレスが記述されたものである請求項1から請求項3のいずれかに記載の端末装置。
- 前記命令は、前記機密情報を暗号化して送信するためのものである請求項1から請求項6のいずれかに記載の端末装置。
- 前記機密情報は、前記端末装置のユーザを特定する認証情報であり、
前記送信先は、前記認証情報により前記ユーザの正当性を認証する認証サーバである請求項1から請求項7のいずれかに記載の端末装置。 - 端末装置のユーザを特定する認証情報により当該ユーザの正当性を認証する認証サーバであって、
前記認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成部と、
前記送信スクリプト、及び当該送信スクリプトを前記端末装置においてスクリプトの用途が実行に限定された第1の記憶部に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信部と、
前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信し、前記送信スクリプトを起動させる第2の送信部と、を備える認証サーバ。 - 前記生成部は、前記端末装置から第1の認証情報を受信した後に、当該第1の認証情報に対応付けて第2の認証情報を生成する請求項9に記載の認証サーバ。
- 前記生成部は、前記端末装置から端末固有情報を受信した後に、当該端末固有情報に対応付けて前記認証情報を生成する請求項9に記載の認証サーバ。
- 前記生成部は、前記認証情報として、ランダムな値を生成する請求項9に記載の認証サーバ。
- 前記認証サーバは、同一ユーザの前記認証情報を再生成した場合に、新旧の認証情報が紐付けられる情報を受け付けて記憶する第3の記憶部を備える請求項11又は請求項12に記載の認証サーバ。
- 認証サーバが端末装置のユーザの正当性を認証する認証方法であって、
前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、
前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、
前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、
前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、
前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を含む認証方法。 - 認証サーバにより端末装置のユーザの正当性を認証させるための認証プログラムであって、
前記認証サーバが前記ユーザを特定するための認証情報を生成すると共に、当該認証情報を前記認証サーバへ送信するための送信スクリプトを生成する生成ステップと、
前記認証サーバが前記送信スクリプト、及び当該送信スクリプトを前記端末装置における所定の記憶領域に記憶するための記憶スクリプトを、前記端末装置へ送信する第1の送信ステップと、
前記端末装置が前記記憶スクリプトを実行し、前記送信スクリプトを、スクリプトの用途が実行に限定された第1の記憶部に記憶する記憶ステップと、
前記認証サーバが前記端末装置からのアクセスに応じて、前記送信スクリプトを起動するための起動スクリプトを、前記端末装置へ送信する第2の送信ステップと、
前記端末装置が前記起動スクリプトを実行して前記送信スクリプトを起動し、前記認証情報を前記認証サーバへ送信する第3の送信ステップと、を実行させるための認証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014199052A JP6438256B2 (ja) | 2014-09-29 | 2014-09-29 | 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014199052A JP6438256B2 (ja) | 2014-09-29 | 2014-09-29 | 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018215667A Division JP6722746B2 (ja) | 2018-11-16 | 2018-11-16 | 端末装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016071542A JP2016071542A (ja) | 2016-05-09 |
JP6438256B2 true JP6438256B2 (ja) | 2018-12-12 |
Family
ID=55866954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014199052A Expired - Fee Related JP6438256B2 (ja) | 2014-09-29 | 2014-09-29 | 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6438256B2 (ja) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002328904A (ja) * | 2001-03-01 | 2002-11-15 | Appresso:Kk | アプリケーションサービスプロバイダ管理システム |
CA2739313C (en) * | 2010-05-07 | 2016-06-28 | Research In Motion Limited | Locally stored phishing countermeasure |
-
2014
- 2014-09-29 JP JP2014199052A patent/JP6438256B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2016071542A (ja) | 2016-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | The {Emperor’s} new password manager: Security analysis of web-based password managers | |
US10462135B2 (en) | Systems and methods for providing confidentiality and privacy of user data for web browsers | |
CA3112194C (en) | Systems and methods for integrated service discovery for network applications | |
JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
Lodderstedt et al. | OAuth 2.0 threat model and security considerations | |
US9344426B2 (en) | Accessing enterprise resources while providing denial-of-service attack protection | |
CA2689847C (en) | Network transaction verification and authentication | |
US8332647B2 (en) | System and method for dynamic multi-attribute authentication | |
JP6374947B2 (ja) | 回復機能を有し、かつ復元可能な動的装置識別 | |
CN108234519A (zh) | 检测和防止加密连接上的中间人攻击 | |
JP2011175394A (ja) | シングル・サインオン・システムを構成するウェブ・サーバならびにその動作制御方法およびその動作制御プログラム | |
US10045212B2 (en) | Method and apparatus for providing provably secure user input/output | |
Bui et al. | {Man-in-the-Machine}: Exploiting {Ill-Secured} Communication Inside the Computer | |
JP2017097542A (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
Bursztein et al. | Sessionjuggler: secure web login from an untrusted terminal using session hijacking | |
Bai et al. | All your sessions are belong to us: Investigating authenticator leakage through backup channels on android | |
JP6722746B2 (ja) | 端末装置 | |
JP6438256B2 (ja) | 端末装置、認証サーバ、認証システム、認証方法及び認証プログラム | |
KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
TW201508538A (zh) | 用於基於網頁瀏覽器網路餅乾的安全符記的擁有證明 | |
JP7403430B2 (ja) | 認証装置、認証方法及び認証プログラム | |
King | Android application security with owasp mobile top 10 2014 | |
Bodak et al. | Secure Authentication Model for Public Clients | |
Urban | Zabezpečení distribuovaných cloudových systémů | |
JP2012169983A (ja) | データ処理装置およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170310 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180116 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180710 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180809 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181023 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181116 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6438256 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |