JP7385507B2 - 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション - Google Patents

二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション Download PDF

Info

Publication number
JP7385507B2
JP7385507B2 JP2020044246A JP2020044246A JP7385507B2 JP 7385507 B2 JP7385507 B2 JP 7385507B2 JP 2020044246 A JP2020044246 A JP 2020044246A JP 2020044246 A JP2020044246 A JP 2020044246A JP 7385507 B2 JP7385507 B2 JP 7385507B2
Authority
JP
Japan
Prior art keywords
authentication
request
client terminal
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020044246A
Other languages
English (en)
Other versions
JP2021144598A (ja
Inventor
大典 牛山
Original Assignee
株式会社フジミック
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社フジミック filed Critical 株式会社フジミック
Priority to JP2020044246A priority Critical patent/JP7385507B2/ja
Publication of JP2021144598A publication Critical patent/JP2021144598A/ja
Application granted granted Critical
Publication of JP7385507B2 publication Critical patent/JP7385507B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)

Description

本発明は、インターネット等の通信ネットワーク上において、各種クラウドサービスやVPN等の通信サービスを提供する認証対象サービス提供手段 のログイン処理などに対する二要素認証サービスを提供するための二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーションに関するものである。
従来、各種クラウドサービスやVPNサービスへのログイン処理などでは、IDやパスワードなどによりユーザーのアクセス権を認証する認証システムが用いられている。このような通信回線を介した各種クラウドサービス等を利用する場合、各利用者は、通信端末装置から通信回線を介して上記クラウドサーバー等の特定の情報登録先に接続し、所定の認証用情報を送信する。サービス提供者は、クラウドサーバー側に登録されている認証情報に基づいて、アクセスしてきた者を登録された利用者本人であると認証する。
ところで、このような認証処理では、実際に認証情報を送信してきたアクセス者が登録された利用者本人であるかどうかを確認することが重要となってくることから、従前では、スマートフォンや携帯電話など、サービスへのログインを行う情報端末とは別の情報端末をセキュリティートークンとして利用する二要素認証によって、セキュリティー向上させる技術が知られている(例えば、特許文献1参照。)。
この特許文献1に開示された技術では、本人確認又は意思確認に、電話網(同等技術を含む)を利用する。具体的には、ユーザーが所有する情報携帯端末に、サーバー側で生成された文字列と固有IDとを含む情報を送信し、情報携帯端末においてユーザーにより読み上げられた文字列の音声を固有IDへの通信を通じてサーバーに送信し、サーバー側において情報携帯端末から受信した文字列の音声を用いてユーザーの認証を行う。これにより、情報携帯端末で入力された、ユーザーの音声、顔、指紋等の身体的特徴や行動的特徴についての情報を用いて認証を行うことにより、第三者のなりすまし等を防止しつつ本人確認を行うことができる。
特開2015-99470号公報 特許6104439号公報
しかしながら、従前の二要素認証では、上述した特許文献1に開示された技術のように携帯電話を用いて音声によって文字列を入力するなど、2つの端末を使って2段階で認証を行うため、そのそれぞれの段階でパスワードや生体認証情報等の入力が必要であり、この2つの段階でそれぞれの端末に行う操作はユーザーの負担となっていた。これについて、ユーザーの操作を軽減するために、2つの端末間でワンタイムパスワード等の暗号を共有するなどの仕組みも提案されているが(例えば、特許文献2参照)、2つの端末間で情報を共有するためのセキュアなシステム構築や処理が複雑になるとともに、システムを導入及び運用する際のコストや、ユーザーの操作の複雑化が懸念される。
そこで、本発明は以上の問題点に鑑みなされたものであり、システムの構成や動作が複雑になりすぎるのを回避するとともにユーザーへの負担を軽減し、システムの導入・運用を容易なものにしつつ、二要素認証によってセキュリティーを向上させることのできる二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーションを提供することを目的とする。
(二要素認証システム)
上記課題を解決するために、本発明は、通信ネットワーク上に配置されて、信頼された認証サーバーの認証結果によってログイン処理を実行する認証対象サービス提供手段と、ユーザーが使用し、当該ユーザーによる操作を受け付けるクライアント端末と、クライアント端末 を通じてユーザーのアクセス権限に対する認証を第2の認証処理として実行する認証サーバーとを含む認証システムであって、
(1)クライアント端末からの第2の認証処理を要求する先行認証要求、のいずれかを認証要求として取得する認証要求取得部と、
(2)認証サーバーにおいて、認証要求の取得に応じて任意の認証コードを生成する認証コード生成部と、
(3)生成された認証コードと、認証対象サービスにおいてユーザーに固有のユーザー特定情報とを、関連付けて保存する認証用情報保存部と、
(4)作成された認証コードを認証サーバーからクライアント端末へ送信する認証情報送信部と、
(5)クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された認証コードを認証操作情報として認証サーバーに対して送信する認証操作部と、
(6)クライアント端末から認証操作情報を取得した時刻からの経過時間を計測する計時部と、
(7)クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードと、認証用情報保存部に保存された認証コードとに基づいて、第2の認証処理を行う認証実行部と、
(8)計時部によって計測された経過時間に基づいて、認証実行部による第2の認証処理が成功した旨を認証要求に関する認証回答として認証対象サービス提供手段に送出する認証回答部と
を備える。
上記発明において、認証要求取得部は、クライアント端末からの認証操作情報より先行して認証対象サービス提供手段から認証要求を取得した場合、当該認証要求を認証要求として取得し、認証回答部は、クライアント端末 から認証操作情報を取得した時刻からの経過時間が所定時間内である場合に、第2の認証処理が成功した旨の認証回答を認証対象サービス提供手段に送出することが好ましい。
上記発明において、認証実行部は第2の認証処理の結果を一時的に保持する機能をさらに備え、認証要求取得部は、認証対象サービス提供手段からの認証要求より先行してクライアント端末からの認証操作情報を取得した場合、当該認証操作情報を認証要求として取得し、認証回答部は、認証要求よりも先行してクライアント端末からの認証操作情報の取得後に認証対象サービス提供手段から認証要求を取得した場合であって、認証操作情報を取得した時刻からの経過時間が所定時間内であるときに、一時的に保持された第2の認証処理の結果を認証回答として認証対象サービス提供手段に送出することが好ましい。
上記発明において、計時部によって計測された経過時間が所定時間以上である場合に、認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行することが好ましい。上記発明において、認証操作部は、クライアント端末上で実行される認証操作用アプリケーションであり、認証操作用アプリケーションは、文字列の入力、生体認証などを含むユーザーを特定するための認証情報を実行する機能を有することが好ましい。
(二要素認証方法)
本発明は、通信ネットワーク上に配置されて、信頼された認証サーバーの認証結果によってログイン処理を実行する認証対象サービス提供手段と、ユーザーが使用し、当該ユーザーによる操作を受け付けるクライアント端末と、クライアント端末を通じてユーザーのアクセス権限に対する認証を第2の認証処理として実行する認証サーバーとを含む認証システムを用いた二要素認証方法であって、
(1)クライアント端末からの第2の認証処理を要求する先行認証要求を認証要求取得部が認証要求として取得するとともに、認証要求の取得に応じて任意の認証コードを認証コード生成部が生成する認証コード生成ステップと、
(2)生成された認証コードと、認証対象サービスにおいてユーザーに固有のユーザー特定情報とを関連付けて認証用情報保存部が保存するとともに、作成された認証コードを認証情報送信部が認証サーバーからクライアント端末へ送信する認証情報送信ステップと、
(3)クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された認証コードを認証操作情報として認証操作部が認証サーバーに対して送信する認証操作ステップと、
(4)クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードを検証した認証コードと、認証用情報保存部に保存された認証コードとに基づいて、認証実行部が第2の認証処理を行う認証実行ステップと、
(5)認証要求を取得した時刻からの経過時間、且つクライアント端末から認証操作情報を取得した時刻からの経過時間に基づいて、認証実行部による第2の認証処理が成功した旨を認証要求に関する認証回答として認証回答部が認証対象サービス提供手段に送出する認証回答ステップとを備える。
上記発明において、認証コード生成ステップにおいて認証要求取得部が、クライアント端末からの認証操作情報より先行して認証対象サービス提供手段から認証要求を取得した場合、当該認証要求を認証要求として取得し、認証回答ステップにおいて認証回答部は、認証要求を取得した時刻からの経過時間が所定時間内である場合に、第2の認証処理が成功した旨の認証回答を認証対象サービス提供手段に送出することが好ましい。
上記発明において、認証コード生成ステップにおいて認証要求取得部が、認証対象サービス提供手段からの認証要求より先行してクライアント端末からの認証操作情報を取得した場合、当該認証操作情報を認証要求として取得し、認証実行ステップにおいて認証実行部は、第2の認証処理の結果を一時的に保持し、認証回答ステップにおいて認証回答部は、認証要求よりも先行してクライアント端末からの認証操作情報の取得後に認証対象サービス提供手段から認証要求を取得した場合であって、認証操作情報を取得した時刻からの経過時間が所定時間内であるときに、一時的に保持された第2の認証処理の結果を認証回答として認証対象サービス提供手段に送出することが好ましい。
上記発明において、計時部によって計測された経過時間が所定時間以上である場合に、認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行することが好ましい。また、上記発明において、認証操作部は、クライアント端末上で実行される認証操作用アプリケーションであり、認証操作用アプリケーションは、文字列の入力又は生体認証のいずれかを含むユーザーを特定するための認証情報を実行する機能を有することが好ましい。
(二要素認証プログラム)
また、上述した本発明に係る認証サーバー、及び携帯端末は、所定の言語で記述されたプログラムをコンピューター上で実行することにより実現することができる。
すなわち、上記発明において、請求項1に記載の二要素認証システムにおいて、認証サーバーを、
(1)クライアント端末 からの第2の認証処理を要求する先行認証要求を認証要求として取得する認証要求取得部と、
(2)認証サーバーにおいて、認証要求の取得に応じて任意の認証コードを生成する認証コード生成部と、
(3)生成された認証コードと、認証対象サービスにおいてユーザーに固有のユーザー特定情報とを、関連付けて保存する認証用情報保存部と、
(4)作成された認証コードを認証サーバーからクライアント端末へ送信する認証情報送信部と、
(5)認証要求を取得した時刻からの経過時間、且つクライアント端末から認証操作情報を取得した時刻からの経過時間を計測する計時部と、
(6)クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードと、認証用情報保存部に保存された認証コードとに基づいて、第2の認証処理を行う認証実行部と、
(7)計時部によって計測された経過時間に基づいて、認証実行部による第2の認証処理が成功した旨を認証要求に関する認証回答として認証対象サービス提供手段に送出する認証回答部
として機能させることを特徴とする二要素認証プログラム。
上記発明において、認証要求取得部は、クライアント端末からの認証操作情報より先行して認証対象サービス提供手段から認証要求を取得した場合、当該認証要求を認証要求として取得し、認証回答部は、認証要求を取得した時刻からの経過時間が所定時間内である場合に、第2の認証処理が成功した旨の認証回答を認証対象サービス提供手段に送出することが好ましい。
上記発明において、認証実行部は第2の認証処理の結果を一時的に保持する機能をさらに備え、認証要求取得部は、認証対象サービス提供手段からの認証要求より先行してクライアント端末からの認証操作情報を取得した場合、当該認証操作情報を認証要求として取得し、認証回答部は、認証要求よりも先行してクライアント端末からの認証操作情報の取得後に認証対象サービス提供手段から認証要求を取得した場合であって、認証操作情報を取得した時刻からの経過時間が所定時間内であるときに、一時的に保持された第2の認証処理の結果を認証回答として認証対象サービス提供手段に送出することが好ましい。また、上記発明において、計時部によって計測された経過時間が所定時間以上である場合に、認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行することが好ましい。
上記発明において、クライアント端末上で実行される認証操作用アプリケーションであって、クライアント端末を、クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された認証コードを認証操作情報として認証サーバーに対して送信する認証操作部として機能させることを特徴とする認証操作用アプリケーション。なお、上記発明において、認証操作部は、文字列の入力又は生体認証のいずれかを含むユーザーを特定するための認証情報の入力を受け付ける機能を有することが好ましい。
このようなプログラムを、ユーザー端末やWebサーバー等のコンピューターやICチップにインストールし、CPU上で実行することにより、上述した各機能を有するシステム、方法、サーバー、及び装置を容易に構築することができる。このプログラムは、例えば、通信回線を通じて配布することが可能であり、また、汎用コンピューターで読み取り可能な記録媒体に記録することにより、スタンドアローンの計算機上で動作するパッケージアプリケーションとして譲渡することができる。記録媒体として、具体的には、フレキシブルディスクやカセットテープ等の磁気記録媒体、若しくはCD-ROMやDVD-ROM等の光ディスクの他、RAMカードなど、種々の記録媒体に記録することができる。そして、このプログラムを記録したコンピューター読み取り可能な記録媒体によれば、汎用のコンピューターや専用コンピューターを用いて、上述したシステム、方法、サーバー、及び装置を簡便に実施することが可能となるとともに、プログラムの保存、運搬及びインストールを容易に行うことができる。
以上述べたように、この発明によれば、システムの構成や動作が複雑になりすぎるのを回避するとともにユーザーへの負担を軽減し、システムの導入・運用を容易なものにしつつ、二要素認証によってセキュリティーを向上させることができる。詳述すると本発明によれば、ログイン端末と認証対象サービス提供手段に信頼された認証サーバー 側で第1の認証処理を実行するとともに、クライアント端末と認証サーバー側で第2の認証処理を実行することから、認証対象サービスへのログイン時におけるセキュリティーを高めることができる。
このとき、第1及び第2の認証処理を所定の時間内に行うことを条件としたうえで、ログイン端末側又はクライアント端末側のいずれからも認証操作を開始することができるため、ユーザーの使用環境に柔軟に対応させることができる。さらに、本実施形態によれば、認証対象サービス提供手段側と認証サーバー側とのやりとりは認証要求とそれに関する認証回答のみであり、さらにログイン端末に対する認証サーバー(又はクライアント端末)との連携処理を必要としないため、対象サービス側の既存の処理や仕組みを大きく変更することなく認証サービスによる二要素認証サービスを受けることができる。
実施形態に係るシステムの全体構成を示す概念図である。 実施形態に係るクライアント端末の内部構成を示すブロック図である。 実施形態に係るログイン端末の内部構成を示すブロック図である。 第1実施形態に係る認証サーバー及びクラウドサービスサーバーの内部構成を示すブロック図である。 実施形態に係る認証処理(ログイン端末主導)のアルゴリズム概要を説明するシーケンス図である。 実施形態に係る認証処理(クライアント端末主導)のアルゴリズム概要を説明するシーケンス図である。
(二要素認証システムの概要)
以下に添付図面を参照して、本発明に係る二要素認証システムの実施形態を詳細に説明する。図1は本実施形態に係る二要素認証システムの全体構成を示す概念図である。
図1に示すように、本実施形態に係る二要素認証システムは、通信ネットワーク5上に配置されるクラウドサービスサーバー3及び認証サーバー2と、これらのサーバーに通信ネットワーク5を通じて接続可能な、ユーザーUが使用するクライアント端末1及びログイン端末4との間で当該ユーザーUの認証を行うシステムである。具体的に、本二要素認証システムでは、ログイン端末4を用いてクラウドサービスサーバー3にアクセスして各種のクラウドサービスを受ける際に、ログイン端末における第1の認証処理と合わせて、スマートフォン等のクライアント端末1における第2の認証処理を実行する。
通信ネットワーク5は、電話回線やISDN回線、ADSL回線、光回線などの公衆回線、専用回線、3G回線、LTE、5G回線、Wifi(登録商標)、Bluetooth(登録商標)などの無線通信回線などの種々の通信回線を相互に接続して構築される通信網であり、インターネットなどの通信プロトコルTCP/IPを用いたIP網が含まれ、このIP網にはイントラネット(企業内ネットワーク)や家庭内ネットワークなどのLANなども含まれる。
認証サーバー2は、通信ネットワーク5上に配置され、ユーザーが使用するクライアント端末1との間で、第2の認証処理によって当該ユーザーUの認証を行うサーバー装置である。
クラウドサービスサーバー3は、ユーザーに対して各種クラウドサービスを提供するサーバー装置であり、例えば、グループウェアの運用サービスなど提供している。本実施形態においてクラウドサービスサーバー3は、信頼された認証サーバーの認証結果によってログイン処理を実行する認証対象サービス提供手段であり、例えば、認証対象となるサービスに対するアクセス者のアクセス権限に対する認証を第1の認証処理として実行し、これによりログイン処理を実行する。具体的にクラウドサービスサーバー3には、ユーザーデータベースが接続されており、ユーザーデータベース内には、ユーザー登録している各ユーザーに関する詳細な情報として氏名、住所、電話番号、メールアドレス、年齢、勤務先、商品の送付先(住所と異なる場合)、決済情報(クレジットカード番号、引落し口座番号等)の他、サービスの提供を受けるためのログイン認証情報が登録されている。
なお、各種のサーバーは、単一のサーバー装置の他、Webサーバーやデータベースサーバーなど複数種のサーバー群から構成されることも可能であり、また、装置や機器等のハードウェアのみならず、その機能を持ったソフトウェア、又はこれらの組み合わせなどによっても構成することができる。また、データベースも単一のデータベース装置の他、リレーションシップ機能により連携される複数のデータベース群で構成することもできる。
クライアント端末1は、ユーザーが使用し、通信ネットワーク5上に配置される認証サーバー2との間で、当該ユーザーの第2の認証処理を行う機能を有する携帯端末であって、具体的には、CPUを備えた演算処理装置であり、無線通信機能を有した携帯可能なモバイルコンピューターや携帯電話機、スマートフォン、タブレットPC等である。このクライアント端末1は、基地局等の中継点と無線で通信し、通話やデータ通信等の通信サービスを移動しつつ受けることができる。また、このクライアント端末1は、デジタルカメラ機能、アプリケーションソフトの実行機能、或いはGPS機能等の機能が搭載されている。
このクライアント端末1は、二要素認証アプリケーションがインストールされており、この二要素認証アプリケーションを実行させることで認証操作できるようになっている。なお、この二要素認証アプリケーションは、認証サーバー2などインターネット側からダウンロードしたり、他の媒体を通じてインストールしたりすることで、クライアント端末1に実装することができる。
(各装置の内部構造)
次いで、上述した二要素認証システムを構成する各装置の内部構造について説明する。図2は本実施形態に係るクライアント端末1の内部構成を示すブロック図であり、図3は本実施形態に係るログイン端末の内部構成を示すブロック図である。また、図4は本実施形態に係る認証サーバー2及びクラウドサービスサーバー3の内部構成を示すブロック図である。なお、説明中で用いられる「モジュール」とは、装置や機器等のハードウェア、或いはその機能を持ったソフトウェア、又はこれらの組み合わせなどによって構成され、所定の動作を達成するための機能単位を示す。
(1)クライアント端末1
先ず、クライアント端末1の内部構成について説明する。図2に示すように、クライアント端末1は、ユーザーUが携帯して使用し、当該ユーザーUによる操作を受け付ける動端末であり、無線インターフェース11、メモリ15と、アプリケーション実行部14と、出力インターフェース13と、入力インターフェース12とを備えている。無線インターフェース11は、通話を行うための移動通信用のプロトコルによる無線通信と、例えば無線LAN等のデータ通信用のプロトコルによる無線通信とを実行する機能を備えている。また、この無線インターフェース11は、無線LAN接続を行うためにIEEE 802.11bに準拠した送受信装置とすることができ、スマートフォンやモバイルコンピューターであるときには無線LANアダプタ等により実現することもできる。
入力インターフェース12は、操作ボタンやタッチパネルなどユーザー操作を入力するデバイスであり、ここではカメラ12aやマイク等の入力デバイスが接続されている。また、出力インターフェース13は、ディスプレイやスピーカーなど、映像や音響を出力するデバイスである。特に、この出力インターフェース13には、液晶ディスプレイなどの表示部13aが含まれている。
メモリ15は、OS(Operating System)や各種のアプリケーション用のプログラム(ワンタイムパスワード生成ソフトウェア等)、その他のデータ等などを記憶する記憶装置であり、このメモリ15には、デバイス情報などのクライアント端末1に固有の端末固有識別子、第2の認証処理において生成されたランダム文字列等の認証コードなどが生成されたファイル内にシリアライズして保存される。なお、ここでの端末固有識別子は、ユーザーに固有のユーザー特定情報の1つであり、シリアルナンバーやMACアドレスその他のユーザー端末の製造時に付与された1つのユーザー端末に固有且つ単一の端末識別子である。なお、端末固有識別子に代わるユーザー特定情報としては、ユーザーごとに付与されるユーザー固有のユーザー識別子や、アプリケーションに固有のID、サービスに固有のID、又はこれらを組み合わせて定められるユニークな値など、1つの端末に複数付与される識別子を用いることもできる。そして、これらのユーザー特定情報は、ユーザーが操作して入力するものでもよく、自動的に入力又は送信されるものであってもよい。
アプリケーション実行部14は、一般のOSやブラウザソフトなどのアプリケーションを実行するモジュールであり、通常はCPU等により実現される。このアプリケーション実行部14において、本発明の認証操作用アプリケーション140が実行されることで、操作要求取得部141と、電子署名処理部142と、認証操作情報生成部144と、第2認証要求送信部143と、認証操作部145とが仮想的に構築される。
操作要求取得部141は、認証サーバー2から送信される操作要求を、無線インターフェース11を通じて受信して取得するモジュールである。この操作要求は、認証サーバー2で生成された認証コードであるランダム文字列が含まれており、操作要求取得部141は受信された操作要求からこのランダム文字列を抽出して、電子署名処理部142に入力する。なお、操作要求には認証の対象となっているサービスやアプリケーション、サーバー装置などを特定した識別子が含まれており、識別子によって複数の認証対象サービスを区別することによりそれぞれの対象サービスに対して二要素認証を行えるようになっている。
電子署名処理部142は、認証操作部145における認証操作を受けて、操作要求取得部141が抽出したランダム文字列に電子署名を付与して認証操作情報生成部144に入力するモジュールである。認証サーバー2側では秘密鍵を保持しており、電子署名処理部142ではこの秘密鍵を用いて電子署名が付与される。この電子署名処理部142によって電子署名が付与されたランダム文字列は認証操作情報生成部144へ受け渡される。
認証操作情報生成部144は、電子署名処理部142が電子署名を施したランダム文字列と、当該クライアント端末1又はユーザーUを特定するための端末固有識別子やユーザー特定情報とを含む認証操作情報を生成し、無線インターフェース11を通じて認証サーバー2へ送信するモジュールである。なお、認証操作情報には端末に固有の端末固有識別子やユーザー固有のユーザー識別子の他、アプリケーションに固有のID、サービスに固有のID、又はこれらを組み合わせて定められるユニークな値など、1つの端末に複数付与される識別子を含めることができる。
第2認証要求送信部143は、クライアント端末1における認証操作を、ログイン端末4におけるログイン操作よりも先行させて行う場合に、クライアント端末1側を主導として第2の認証処理を実行させるために先行第2認証要求を認証サーバー2に対して送信するモジュールである。具体的にこの先行第2認証要求送信部143は、例えば認証操作用アプリケーション140においてユーザーによる、第2の認証操作の開始を意図する明示の操作に応じて、認証コードであるランダム文字列の生成を要求する先行第2認証要求を認証サーバー2に対して送信する。この先行第2認証要求には、クライアント端末若しくはユーザーを特定する端末に固有の端末固有識別子やユーザー固有のユーザー識別子の他、アプリケーションに固有のID、サービスに固有のID、又はこれらを組み合わせて定められるユニークな値など、1つの端末に複数付与される識別子などが含まれる。この先行第2認証要求を受信した認証サーバー2側では、ランダム文字列を生成し、生成されたこのランダム文字列を含む認証操作要求を、認証サーバー2から当該クライアント端末1側へ送信する。この認証操作要求を操作要求取得部141で取得することで、ログイン端末4側を主導とした場合と同様の手順によって、第2の認証処理を実行することができる。
認証操作部145は、クライアント端末1においてユーザーUによる認証操作を、入力インターフェース12等を通じて受け付けるモジュールであり、認証操作に基づいて電子署名処理部142による電子署名を実行させる。この電子署名処理部142で電子署名が付与された認証コードであるランダム文字列は、認証操作情報生成部144で認証操作情報に含められ、無線インターフェース11を通じて認証サーバーに対して送信される。なお、本実施形態において認証操作部145は、クライアント端末1上で実行される認証操作用アプリケーションであり、認証操作用アプリケーション140は文字列の入力又は生体認証などのユーザーUを特定するための認証情報を実行する機能を有する。
(2)ログイン端末
次いで、ログイン端末の内部構成について説明する。図3は、ログイン端末4の内部構成を示すブロック図である。ログイン端末4は、通信ネットワーク5上に配置されて、ユーザーUが使用し、クラウドサービスサーバー3に対してアクセスし、認証対象となるクラウドサービスなど、各種サービスの提供を受ける情報処理端末である。クラウドサービスサーバー3が提供する各種クラウドサービスの提供を受けるためにユーザーUは、このログイン端末4を通じて、クラウドサービスサーバー3にアクセスし、そのサービスに対するアクセス権限に対する第1の認証処理を実行する。
このログイン端末4は汎用的なコンピューターによって実現することができ、ブラウザ等のアプリケーションを実行してクラウドサービスサーバー3にアクセスが可能となっている。具体的には、図3に示すように、ログイン端末4は、制御部44と、メモリ45と、通信インターフェース41と、入力インターフェース42と、出力インターフェース43とを備えている。
通信インターフェース41は、データをパケットとして送受信するモジュールであり、入力インターフェース42は、キーボードやテンキーなどユーザー操作を入力するデバイスである。また、出力インターフェース43は、ディスプレイやスピーカーなど映像や音響を出力するデバイスである。特に、この出力インターフェース43には、液晶ディスプレイなどの表示部43aが含まれる。メモリ45は、OS(Operating System)や会計処理プログラム、その他のデータ等などを記憶する記憶装置である。
制御部44は、CPUやDSP(Digital Signal Processor)等のプロセッサ、メモリ、及びその他の電子回路等のハードウェア、或いはその機能を持ったプログラム等のソフトウェア、又はこれらの組み合わせなどによって構成された演算モジュールであり、各部の動作制御、ユーザー操作に対する種々の処理を行っている。この制御部44は、アプリケーション実行手段としての機能を果たし、この制御部44でブラウザソフトを実行することによりブラウザ部441が構築され、このブラウザ部441によってクラウドサービスサーバー3にアクセスすることにより、ブラウザ部441がログイン操作部442及び認証情報入力部443が仮想的に構築される。ログイン操作部442は、認証サーバーが配信するのログイン画面等であり、第1の認証処理を実行するモジュールである。このログイン操作部442としてのログイン画面には、第1の認証処理におけるユーザーIDやパスワードが入力される認証情報入力部443が設けられている。
(3)認証サーバー2の内部構成
認証サーバー2は、認証対象サービス提供手段からの要求を受けて、クライアント端末1を通じてユーザーUのアクセス権限に対する認証を第2の認証処理として実行するサーバー装置であり、本実施形態では、図4に示すように、第2認証用情報データベース2aと、ユーザーデータベース2bとが接続されている。第2認証用情報データベース2aは、第2の認証処理に関する情報を蓄積するデータベースであり、本実施形態では、ユーザー特定情報にパスワードなどが関連付けられて蓄積されている。
なお、認証サーバー2のユーザーデータベース2bに蓄積されるユーザー特定情報としては、シリアルナンバーやMACアドレスその他のユーザー端末の製造時に付与された1つのユーザー端末に固有且つ単一のデバイスIDの他、ユーザーごとに付与されるユーザー固有のユーザーIDや、アプリケーションに固有のAPPID、クラウドサービスサーバー3側で用いられる第1の認証処理に対するアクセス権限に固有のアクセスID、又はこれらを組み合わせて定められるユニークな値などが含まれる。また、第2認証用情報データベース2aには、各対象サービスにおける第1の認証処理に関するトランザクション情報が含まれている。このトランザクション情報とは、アクセス者による1回ごとのアクセスに関する不可分な一連のデータ送受信に関する情報であり、このトランザクション情報には、トランザクションを識別するトランザクションIDに、使用されたランダム文字列、アクセス日時及びユーザーIDが関連付けて記憶されている。
認証サーバー2には、制御部20と通信インターフェース27と、計時部28とを備えられている。通信インターフェース27は、通信ネットワークを通じてデータ通信を行うための通信インターフェースである。計時部28は、現在時刻を計測するモジュールであり、認証要求を取得した時刻からの経過時間、且つクライアント端末から認証操作情報を取得した時刻からの経過時間を計測する他、ログイン端末4側におけるログイン処理の開始時刻、クライアント端末1側における認証操作の開始(或いは完了)時刻からの経過時間などを計測する。
制御部20は、CPU等の演算処理装置であり、メモリに格納されたOS(Operating System:基本ソフト)や、ファームウェア等が実行されることにより、各種の機能モジュールが仮想的に構築される。本実施形態では、本発明の二要素認証アプリケーションが実行されることにより、二要素認証システムに必要な各モジュールが構築される。本実施形態において具体的に制御部20には、認証要求取得部21と、認証コード生成部22と、認証情報保存部23と、認証情報送信部24と、認証実行部25と、認証回答部26とが構築される。
認証要求取得部21は、クライアント端末1からの第2の認証処理を要求する第2認証要求を認証要求として取得するモジュールである。本実施形態において、認証要求取得部21は、クライアント端末1からの第2認証要求より先行して、第1認証要求をクラウドサービスサーバー3側から取得した場合は当該第1認証要求を認証要求として取得し、一方、クラウドサービスサーバー3側からの第1認証要求より先行してクライアント端末1からの第2認証要求を取得した場合には、当該第2認証要求を認証要求として取得する。認証要求取得部21は、認証要求を取得した後、認証要求(認証要求若しくは認証操作情報)から、端末に固有の端末固有識別子やユーザー固有のユーザー識別子、アプリケーションに固有のID、サービスに固有のIDなどを抽出し、認証コード生成部22に認証コード(ランダム文字列)の生成を指示する。
認証コード生成部22は、認証サーバー2側において任意の認証コードであるランダム文字列を生成するモジュールである。認証情報保存部23は、生成されたランダム文字列(認証コード)と、認証対象サービスにおいて各ユーザーに固有のユーザー特定情報とを関連付けて第2認証用情報データベース2aに保存させるモジュールである。認証情報送信部24は、作成されたランダム文字列を認証サーバー2からクライアント端末1へ送信するモジュールである。
認証実行部25は、クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードを検証した認証コードと、認証情報保存部23に保存された認証コードとに基づいて第2の認証処理を行うモジュールである。また、この認証実行部25は第2の認証処理の結果を一時的に保持する機能を有しており、認証要求よりも先行してクライアント端末1から第2認証要求を取得した場合に、その第2認証要求を取得した時刻からその後第1認証要求までの経過時間が所定時間内であるとき、第2認証が成功した胸を含む認証回答をクラウドサービスサーバー3に送出する。
認証回答部26は、計時部28によって計測された経過時間が所定時間内である場合に、認証実行部25による第2の認証処理の結果を認証要求に関する認証回答としてクラウドサービスサーバー3に送出するモジュールである。また、認証回答部26は、クラウドサービスサーバー3からの第1認証要求、或いはクライアント端末1からの第2認証要求のうち、先行して受信された方を、認証実行中の先行認証要求としてフラグを付与し、フラグが立てられた実行中の先行認証要求が受信された時刻から、他方の認証要求が受信されるまでの経過時間が所定時間内である場合に、第2の認証要求が成功した旨の認証回答を認証対象サービス提供手段に送出する。例えば、認証回答部26は、第1認証要求よりも先行してクライアント端末1から第2認証要求を取得した場合、第2認証要求を取得した時刻から他方の第1認証要求が取得されるまでの経過時間が所定時間内であるときには、二要素認証が成功した旨の認証回答をクラウドサービスサーバー3に送出する。一方、計時部28によって計測された経過時間が第2認証要求を取得した時刻から他方の第1認証級が取得されるまでの経過時間が所定時間以上であるときには、認証回答部26は、第2の認証処理が実行されない旨の通知を含むエラー処理を実行する。
(4)クラウドサービスサーバー3の内部構成
このクラウドサービスサーバー3は、各種クラウドサービスやVPNサービスなどを提供するサーバー装置であり、ユーザー管理機能や、各種サービスを提供するアプリケーション実行機能、コンテンツ配信機能を有し、単一のサーバーでもよく複数の機能を分散させたサーバー群でも実現可能となっている。
このクラウドサービスサーバー3には第1認証データベース3aが接続されている。第1認証データベース3aは、第1の認証処理を実行するために必要なユーザーごとの認証情報が蓄積されている。また、クラウドサービスサーバー3は、サービス実行部31と、ログイン処理部32と、認証処理部33とを備えている。
サービス実行部31は、アプリケーションサーバーの機能により、コンテンツを配信するモジュールであり、本実施形態では、例えばWebサーバー等で構成される。このサービス実行部31としては、WWW(World Wide Web)等のドキュメントシステムにおいて、HTML(HyperText Markup Language)ファイルや画像ファイル、音楽ファイルなどの情報送信を行うサーバーコンピューター或いはその機能を持ったソフトウェアであり、HTML文書や画像などの情報を蓄積しておき、ログイン端末4からの要求に応じて、通信ネットワーク5を通じて、これらの情報を送信する。このサービス実行部31によって配信されるコンテンツ等はログイン端末4側のブラウザ部441によって閲覧可能となる。
ログイン処理部32は、各ログイン端末4からのアクセスを受け付け、ログイン用画面(ログインページ)を配信し、このログイン用画面を通じて、ログイン端末4側で入力された情報を取得し、取得された情報を認証処理部33に引き渡す。また、認証処理部33側で認証処理が成功した場合には、ログイン処理部32は、サービス実行部31が提供するサービス提供用ページへログインページから遷移させる。
認証処理部33は、ログイン処理部32を通じて、各ログイン端末4と通信セッションを確立させ、その確立された通信セッションごとに認証処理を行うモジュールである。この認証処理としては、アクセス者である利用者のログイン端末4からログイン処理部32を通じて第1認証情報を取得し、第1認証データベース3aを参照して利用者等を特定し、それらの権限を認証する。この第1の認証処理に伴い第2の認証処理が実行され、第2の認証処理による認証が成功した場合に第1の認証処理を進める。
具体的に、認証処理部33は、認証要求送信部33aと、認証回答取得部33bとを備えている。認証要求送信部33aは、クラウドサービスサーバー3側から認証サーバー2に対して認証要求を送出するモジュールである。一方、認証回答取得部33bは、認証サーバー2側の認証実行部25による第2の認証処理の結果を認証要求に関する認証回答として取得するモジュールである。認証要求送信部33aは、ログイン処理部32において第1認証処理が成功した際に認証要求を認証サーバー2の認証要求取得部21に送信し、認証サーバー2側における第2の認証処理が終了した後にその結果である認証回答を認証回答取得部33bにおいて取得する。認証処理部33は認証回答に含まれている第2の認証処理の結果が成功している場合にログイン処理が実行される。認証回答に含まれている第2の認証処理の結果が失敗している場合にはログイン処理をそのまま終了してエラー処理に移行させる。なお、これらの認証処理部33による認証結果(ユーザーID、認証時刻、セッションID等)は、ログイン処理部32及びサービス実行部31に送出されるとともに、第1認証データベース3aに認証履歴として蓄積される。
(二要素認証方法)
以上の構成を有する二要素認証システムを動作させることで、本発明の二要素認証方法を実施することができる。図5及び図6は、本実施形態に係る二要素認証方法を示すフローチャート図である。
(1)ログイン端末主導時の動作
先ず、ログイン端末4主導による二要素認証を行う場合を説明する。ここではログイン端末4からのアクセス処理を契機に二要素認証を開始する。図5に示すように、ログイン端末4からクラウドサービスサーバー3にアクセスを開始する(S101)と、このクラウドサービスサーバー3側におけるアクセスの開始に応じて第1の認証処理であるログイン処理を一旦保留して、第1の認証要求を認証サーバー2に送信する(S102)。この第1認証要求は、認証サーバー2側によって先行認証要求として受信され第1認証ログイン画面が、ログイン端末側で表示される(S104及びS105)。そして、ログイン画面がログイン端末4のブラウザ部441によって表示される。ログイン操作にて第1認証ログイン情報を送信するとともに、先行認証要求が送信及び受信された時点からの経過時間の計測がログイン端末4側で開始される(S106)。
認証サーバー2側にて第1の認証ログイン情報を受信し(S107)、認証情報の判定処理をする。第1の認証に成功したとき(S108における「Y」)、第1認証有効時間を保存する(S109)。この第1認証有効時間に基づいて第2の認証要求が受信されるまでの経過時間が算出され、算出された経過時間が所定の時間内であるかどうかがステップS124において判断される。なお、このステップS108において第1認証が失敗したときには(S108における「N」)、エラー処理が実行され(S108a)、再度第1認証ログイン画面の提示を行う(S104)。
このログイン端末4からのアクセスと併せてユーザーUは、クライアント端末1において認証操作用アプリケーション140を起動して操作を開始し、その開始操作を受けて認証操作用アプリケーション140は、認証サーバー2に対して第2認証要求を送信する(S110)。この第2認証要求を受信した認証サーバー2側では(S111)、第2認証要求の認証情報に基づいて、第2認証用情報データベース2aを検索して、第2の認証情報に紐付けられたユーザー情報や第1の認証情報を抽出し、ログイン端末4によるアクセス者(ユーザー)及び当該二要素認証に係る対象サービスの認証情報(第1認証)を特定する(S112)。そして、認証サーバー2では、ランダム文字列を生成する認証コード生成ステップを実行し、特定されたユーザー情報に含まれるユーザーIDなどのユーザー特定情報に紐付けてランダム文字列を保存する(S113)。これと合わせて、認証サーバー2では、生成されたランダム文字列を操作要求とともにクライアント端末1に送信する認証情報送信ステップを実行する(S114)。この送信先となるクライアント端末1は、特定されたユーザー情報に紐付けられた端末IDやアプリケーションID等に基づいて決定される。
この操作要求を受信したクライアント端末1側では、ユーザーUに対して第2の認証処理に対する認証操作を要求してユーザーによる認証操作を受け付ける認証操作ステップを実行する(S115)。この第2の認証操作を促す処理としては、自動的に認証操作用アプリケーション140を自動的に起動させたり、或いは起動を要求するメッセージやアラートを出力するなどが挙げられる。ユーザーによる認証操作が正当であり第2の認証処理が成功された場合には、ステップS115で受信したランダム文字列に対して、秘密鍵を用いて電子署名を付与して認証サーバーに送信する(S116)。このクライアント端末1におけるユーザー認証が失敗された場合には、ユーザーに対して再入力を要求したり、第1及び第2の認証処理が中止される旨のメッセージを出力したり等のエラー処理を実行してもよい。
クライアント端末1において第2の認証処理が成功され、クライアント端末1から電子署名が付与されたランダム文字列が送信されたとき、これを受信した認証サーバー側では(S117)、受信したランダム文字列の電子署名を検証する。このランダム文字列の電子署名の検証は、クライアント端末1側に用いられた秘密鍵と対になっている公開鍵を用いて行い、受信され電子署名の検証が成功したランダム文字列と、第2認証用情報データベース2aに保存されたランダム文字列とを比較し、一致・不一致を確認する(S118)。
ステップS118における照合の結果、電子署名の検証したランダム文字列と、ユーザーDBに保存されたランダム文字列が一致した場合には、第2の認証処理が成功したとしてステップS120に移行し(S118における「Y」)、電子署名の検証が失敗したり或いはランダム文字列同士が不一致の場合には(S118における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する(S118a)。このエラー処理としては、第2の認証処理が失敗した旨の認証回答を生成し、この生成された認証回答をクライアント端末1に送信するとともに(S120)、ステップS125においてクラウドサービスサーバー3側に送信するために当該認証回答を一旦保存し、タイマーによる経過時間の計測を開始する(S119)。
ステップS120における認証回答を受信(S121)したクライアント端末1側では、認証が成功したとき(S122における「Y」)、認証処理が成功した旨の認証完了処理及び認証結果の表示を実行する(S123)。一方、認証が失敗したときには(S122における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する(S122a)。このエラー処理としては、認証が失敗した旨のエラーメッセージ等を出力するなどが挙げられる(S123)。
認証サーバー2側においてステップS118において電子署名の検証及びランダム文字列の照合が成功した場合(S118における「Y」)、ステップS106においてタイマーによる計測が開始された時刻からステップS106においてクライアント端末1からの認証要求が受信されるまでの経過時間が所定の時間長以内であるかどうかを判断する(S124)。その経過時間が所定時間内である場合には(S124における「Y」)、第2の認証処理が所定の時間内に成功して完了した旨の認証回答を生成し、この生成された認証回答をステップS125においてクラウドサービスサーバー3側に送信する。このとき既に認証回答がデータベースに保存されているかどうかを検索し、認証回答が既に保存されていたときには、所定の時間内に成功した旨及び既に保存されている認証結果(第2の認証処理の成功又は失敗)を追記した認証回答が生成される。
他方、所定時間以上が経過していた場合には(S124における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する(S124a)。このエラー処理としては、認証が失敗した旨の認証回答を生成し、この生成された認証回答をステップS125においてクラウドサービスサーバー3側に送信する。このとき既に第2の認証結果である認証回答がデータベースに保存されているかどうかを検索し、認証処理が失敗した旨の認証回答が既に保存されていたときには、所定の時間内に成功しなかった旨及び第2の認証処理結果を追記した認証回答が生成される。
なお、本実施形態ではステップS106のログイン画面表示及びステップS118における電子署名検証成功を契機にタイマーによる計時を開始し、ステップS124における時間経過の判定を行うようにしたが、ログイン端末4側におけるログイン開始からクライアント端末1側における第2の認証処理の成功が確認されるまでの時間経過を適正に計れるタイミングであれば自由に設定することができる。
認証サーバー2から認証回答を受信(S126)したクラウドサービスサーバー3側では、ログイン認証処理を再開する。この認証処理では、認証サーバー2における第1及び第2の認証処理が成功されていることが前提となっており、認証処理が成功したときには(S127における「Y」)、アクセス者がユーザーUであると同定され、ログインが許可される(S128及びS129)。
一方、第2の認証処理がエラー処理で終わり、第2の認証処理が失敗した旨の認証回答を受信している場合には(S127における「N」)、ログイン認証処理は中断され、エラー処理が実行される(S127a)。このエラー処理としては、ログインが許可されなかった旨の通知と、第2の認証の失敗や、第1の認証処理の失敗、若しくは所定時間内に操作がされなかったことなど、エラー処理の原因を通知するメッセージを出力するなどが挙げられ、再度のログイン操作を要求してもよく、また、ログイン操作が所定回数以上失敗された場合にはログイン画面をロックするようにしてもよい。
また、本実施形態ではステップS106のログイン画面表示からの経過時間についても所定の時間内に第1及び第2の認証処理が完了したか否かについても判断している(S130)。ステップS106からの経過時間が所定の時間長を超えている場合には(S130における「N」)、タイムアップ(時間切れ)が発生したとしてエラー処理が実行される(S130a)。このエラー処理としては、一定時間愛に第1若しくは第2の認証処理が完了されなかったことなど、エラー処理の原因を通知するメッセージを出力するなどが挙げられ、再度のログイン操作を要求してもよく、また、ログイン操作が所定回数以上失敗された場合にはログイン画面をロックするようにしてもよい。
なお、本実施形態ではステップS106のログイン画面表示を契機に開始されてからの経過時間についても所定の時間内に第1及び第2の認証処理が完了したか否かについても判断している(S130)。ステップS106からの経過時間が所定の時間長を超えている場合には(S130における「N」)、タイムアップ(時間切れ)が発生したとしてエラー処理が実行される(S130a)。このエラー処理としては、一定時間愛に第1若しくは第2の認証処理が完了されなかったことなど、エラー処理の原因を通知するメッセージを出力するなどが挙げられ、再度のログイン操作を要求してもよく、また、ログイン操作が所定回数以上失敗された場合にはログイン画面をロックするようにしてもよい。ステップS106から所定時間内に、第1及び第2の認証処理が完了された場合には(S130における「Y」)、ステップS128におけるログイン許可を受けて、ログインが実行可能となる(S129)。
(2)クライアント端末主導時の動作
次いで、クライアント端末1主導による二要素認証を行う場合を説明する。ここではクライアント端末1における第2の認証処理の開始を契機に二要素認証を開始する。具体的には、図6に示すように、クライアント端末1側において認証操作用アプリケーション140を起動して操作を開始すると、クライアント端末1から第2認証要求が認証サーバー2に対して送信される(S201)。この第2認証要求は、認証サーバー2側によって先行認証要求として受信され、認証処理が実行中の先行認証要求としてのフラグが付与される。また、第2認証要求にはクライアント端末若しくはユーザーを特定可能な情報が含まれており、この第2認証要求の受信(S202)した認証サーバー2側では、第2認証要求に含まれるユーザー特定情報に基づいて、認証サーバー2側では第2認証用情報データベース2aを検索して、ユーザー特定情報に紐付けられたユーザー情報を抽出し、ログイン端末4によるアクセス者(ここではユーザーU)を特定する(S203)。
そして、認証サーバー2側では、このクライアント端末に対するランダム文字列を生成し、特定されたユーザー情報に含まれるユーザーIDなどのユーザー特定情報に紐付けてランダム文字列を保存する(S204)。これと合わせて、生成されたランダム文字列がクライアント端末1に送信される(S205)。この送信先となるクライアント端末1は特定されたユーザー情報に紐付けられた端末IDやアプリケーションID等に基づいて決定される。
このランダム文字列を受信したクライアント端末1側では(S206)、ユーザーUに対して第2の認証処理に対する認証操作を要求してユーザーによる認証操作を受け付ける。この第2の認証操作を促す処理としては、自動的に認証操作用アプリケーション140を自動的に起動させたり、或いは起動を要求するメッセージやアラートを出力するなどが挙げられる。このユーザーによる認証操作が正当であり第2の認証処理が成功された場合には、ステップS206で受信したランダム文字列に対して、秘密鍵を用いて電子署名を付与して認証サーバーに送信する(S207)。このクライアント端末1においてユーザー認証が失敗された場合には、ユーザーに対して再入力を要求したり、第1及び第2の認証処理が中止される旨のメッセージを出力したり等のエラー処理を実行してもよい。
クライアント端末1において第2の認証処理が成功され、クライアント端末1から電子署名が付与されたランダム文字列が送信されたとき(S207)、これを受信した認証サーバー側では(S208)、受信したランダム文字列の電子署名を検証する(S209)。この受信されたランダム文字列の電子署名の検証は、クライアント端末1側に用いられた秘密鍵と対になっている公開鍵を用いて行い、受診され電子署名の検証が成功したランダム文字列と、第2認証用情報データベース2aに保存されたランダム文字列とを比較し、一致・不一致を確認する。
ステップS209における照合の結果、電子署名の検証が成功し且つランダム文字列が一致した場合には、第2の認証処理が成功したとしてステップS211に移行し(S209における「Y」)、電子署名の検証が失敗したり或いはランダム文字列同士が不一致の場合には(S209における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する(S209a)。このエラー処理としては、第2の認証処理が失敗した旨の認証回答を生成し、この生成された認証回答をクライアント端末1に送信するとともに、ステップS210においてクラウドサービスサーバー3側に送信するために当該認証回答を一旦保存し、タイマーによる経過時間の計測を開始する(S210及びS211)。本実施形態では、この先行認証要求に対する認証回答が送信された時点から、クラウドサービスサーバー3側から第1の認証要求が受信されるまでの経過時間が所定の時間内であるかどうかがステップS224において判断される。
他方、ステップS211における認証回答を受信(S212)したクライアント端末1側では、認証が成功したとき(S213における「Y」)、認証処理が成功した旨の認証完了処理及び認証結果の表示を実行する(S215)。一方、認証が失敗したときには(S213における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する。このエラー処理としては、認証が失敗した旨のエラーメッセージ等を出力するなどが挙げられる(S214)。
他方、ユーザーUは、このクライアント端末1と認証サーバー2とにおける第2の認証処理の開始後且つ所定時間内にログイン端末4側においてログイン処理を開始する。具体的には、ログイン端末4からクラウドサービスサーバー3にアクセスを開始する(S215)と、このクラウドサービスサーバー3側におけるアクセスの開始に応じて第1の認証処理であるログイン処理を一旦保留して、認証要求を認証サーバー2に送信する(S216)。この認証要求を受信した認証サーバー2によってログイン画面が提示される(S217及びS218)。このログイン画面はログイン端末4のブラウザ部441によって表示されるとともに、このログイン画面にはブラウザ部441に対してタイマー機能を起動させるスクリプトが含まれており、このスクリプトによってログイン画面が提示された時点からの経過時間の計測が開始され(S220)、その経過時間が所定の時間内であるかどうかがステップS222において判断される。
認証サーバー2側において認証要求が受信されると(S217)、認証サーバー2側から配信される第1認証ログイン画面が、ログイン端末側で表示される(S218及びS219)。そして、ログイン画面がログイン端末4のブラウザ部441によって表示される。次いで、ユーザーによるログイン操作によって第1認証ログイン情報を送信するとともに、先行認証要求が送信及び受信された時点からの経過時間の計測がログイン端末4側で開始される(S220)。
そして、認証サーバー2側にて第1の認証ログイン情報が受信され(S221)、認証情報の判定処理をする(S222)。第1の認証に成功したとき(S222における「Y」)、第1認証有効時間を保存する(S223)。この第1認証有効時間に基づいて第2の認証要求が受信されるまでの経過時間が算出され、算出された経過時間が所定の時間内であるかどうかがステップS224において判断される。なお、このステップS222において第1認証が失敗したときには(S222における「N」)、エラー処理が実行され(S222a)、再度第1認証ログイン画面の提示を行う(S218)。
ステップS224では、ステップS210においてタイマーによる計測が開始された時刻からステップS217において認証要求が受信されるまでの経過時間が所定の時間長以内であるかどうかを判断する。その経過時間が所定時間内である場合には(S224における「Y」)、第2の認証処理が所定の時間内に成功して完了した旨の認証回答を生成する。このとき既に認証回答がデータベースに保存されているかどうかを検索し、認証回答が既に保存されていたときには、所定の時間内に成功した旨及び既に保存されている認証結果(第2の認証処理の成功又は失敗)を追記した認証回答が生成される。例えば、ステップS209において認証が成功と判断されているとき(S209における「Y」)には第2の認証処理が成功した旨の認証結果が認証回答としてデータベースに保存されており、認証が失敗したと判断されているとき(S209における「N」)には第2の認証処理が失敗した旨の認証結果が認証回答としてデータベースに保存されており、データベースから検出された認証結果につき、第2の認証処理が所定の時間内に完了した旨が追記された認証回答が生成される。
他方、所定時間以上が経過していた場合には(S224における「N」)、第2の認証処理が失敗したとしてエラー処理を実行する(S224a)。このエラー処理としては、認証が失敗した旨の認証回答を生成する。このとき既に第2の認証処理結果としての認証回答がデータベースに保存されているかどうかを検索し、認証結果が既に保存されていたときには、その認証結果と併せて所定の時間内に成功しなかった旨を追記した認証回答が生成される。例えば、ステップS209において認証が成功と判断されているとき(S209における「Y」)には第2の認証処理が成功した旨の認証結果が第2認証用情報データベース2aに保存されており、認証が失敗したと判断されているとき(S209における「N」)には第2の認証処理が失敗した旨の認証結果が第2認証用情報データベース2aに保存されており、データベースから検出された認証結果につき、第2の認証処理が所定の時間内に完了した旨が付記した認証回答が生成される。なお、ここでは、第2認証用情報データベース2aを検索して第2の認証結果の成否の通知とともにタイムアップにより認証が失敗した旨のエラーメッセージを認証回答として生成したが、第2認証用情報データベース2aを検索し検出することなく第1の認証処理が所定内に開始されずタイムアップが発生したことを理由により認証が失敗した旨のエラーメッセージを認証回答として生成するようにしてもよい。
その後、これら生成された認証回答をクラウドサービスサーバー3側に送信する(S225)。なお、本実施形態ではステップS222のログイン画面表示及びステップS215における電子署名検証成功を契機にタイマーによる計時を開始し、ステップS224において時間経過の判定を行うようにしたが、クライアント端末1側における第2の認証処理の成功からログイン端末4側における認証操作開始までの時間経過を適正に計れるタイミングであれば自由に設定することができる。
そして、認証サーバー2から認証回答を受信(S226)したクラウドサービスサーバー3側では、ログイン認証理を再開する。この認証処理では、認証サーバー2における第1及び第2の認証処理が成功されていることが前提となっており、認証処理が成功したときには(S227における「Y」)、アクセス者がユーザーUであると同定され、ログインが許可される(S228及びS229)。
一方、第2の認証処理がエラー処理で終わり、第2の認証処理が失敗した旨、或いは時間内に操作がされなかった旨の認証回答を受信している場合には(S227における「N」)、ログイン認証処理は中断され、エラー処理が実行される(227a)。このエラー処理としては、ログインが許可されなかった旨の通知と、第2の認証の失敗や、第1の認証処理の失敗、若しくは所定時間内に操作がされなかったことなど、エラー処理の原因を通知するメッセージを出力するなどが挙げられ、再度のログイン操作を要求してもよく、また、ログイン操作が所定回数以上失敗された場合にはログイン画面をロックするようにしてもよい。
また、本実施形態ではステップS219のログイン画面表示からの経過時間についても所定の時間内に第1及び第2の認証処理が完了したか否かについても判断している(S230)。ステップS219からの経過時間が所定の時間長を超えている場合には(S230における「N」)、タイムアップ(時間切れ)が発生したとしてエラー処理が実行される(S230a)。このエラー処理としては、一定時間愛に第1若しくは第2の認証処理が完了されなかったことなど、エラー処理の原因を通知するメッセージを出力するなどが挙げられ、再度のログイン操作を要求してもよく、また、ログイン操作が所定回数以上失敗された場合にはログイン画面をロックするようにしてもよい。
(二要素認証プログラム)
上述した実施形態に係る二要素認証システム、及びワンタイム認証方法は、所定のコンピューター言語で記述されたプログラムをコンピューター上で実行することにより実現することができる。また、本実施形態にかかるシステムを構成するクライアント端末1上で実行される認証操作用アプリケーション140や、認証サーバー2で実行される認証プログラムなども、所定のコンピューター言語で記述されたプログラムをコンピューター上で実行することにより実現することができる。
すなわち、これらの各プログラムを、ユーザーUのクライアント端末やWebサーバー等のコンピューター、ICチップにインストールし、CPU上で実行することにより、上述した各機能を有するシステム及び装置を容易に構築することができる。これらのプログラムは、例えば、通信回線を通じて配布することが可能であり、またスタンドアローンの計算機上で動作するパッケージアプリケーションとして譲渡することができる。そして、このようなプログラムは、パーソナルコンピューターで読み取り可能な記録媒体に記録することができ、汎用のコンピューターや専用コンピューターを用いて、上述したシステム、装置、サーバー、及びオブジェクト制御方法を実施することが可能となるとともに、プログラムの保存、運搬及びインストールを容易に行うことができる。
(作用・効果)
このような本実施形態によれば、ログイン端末4とクラウドサービスサーバー3側で第1の認証処理を実行するとともに、クライアント端末1と認証サーバー2側で第2の認証処理を実行することから、対象サービスへのログイン時におけるセキュリティーを高めることができる。このとき、第1及び第2の認証処理を所定の時間内に行うことを条件としたうえで、ログイン端末4側又はクライアント端末1側のいずれからも認証操作を開始することができるため、ユーザーの使用環境に柔軟に対応させることができる。さらに、本実施形態によれば、対象サービス側と認証サーバー2側とのやりとりは認証要求とそれに関する認証回答のみであり、さらにログイン端末に対する認証サーバー2又はクライアント端末1との連携処理を必要としないため、対象サービス側の既存の処理や仕組みを大きく変更することなく認証サービスによる二要素認証サービスを受けることができる。
なお、本発明は、上記した各実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合せにより、種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。
U…ユーザー
1…クライアント端末
2…認証サーバー
2a…第2認証用情報データベース
2b…ユーザーデータベース
3…クラウドサービスサーバー
3a…第1認証データベース
4…ログイン端末
5…通信ネットワーク
11…無線インターフェース
12…入力インターフェース
12a…カメラ
13…出力インターフェース
13a…表示部
14…アプリケーション実行部
15…メモリ
20…制御部
21…認証要求取得部
22…認証コード生成部
23…認証情報保存部
24…認証情報送信部
25…認証実行部
26…認証回答部
27…通信インターフェース
28…計時部
31…サービス実行部
32…ログイン処理部
33…認証処理部
33a…認証要求送信部
33b…認証回答取得部
140…認証操作用アプリケーション
141…操作要求取得部
142…電子署名処理部
143…第2認証要求送信部
144…認証操作情報生成部
145…認証操作部
441…ブラウザ部
442…ログイン操作部
443…認証情報入力部

Claims (16)

  1. 通信ネットワーク上に配置されて、信頼された認証サーバーの認証結果によってログイン処理を実行する認証対象サービス提供手段と、
    ユーザーが使用し、当該ユーザーによる操作を受け付けるクライアント端末と、
    前記認証対象サービス提供手段からの要求を受けて、前記クライアント端末を通じて前記ユーザーのアクセス権限に対する認証を第2の認証処理として実行する認証サーバーと
    を含む認証システムであって、
    前記認証対象サービス提供手段から前記認証サーバーに対して送出されて第1の認証処理を要求する第1認証要求、又は前記クライアント端末からの第2の認証処理を要求する第2認証要求、のいずれかを認証要求として取得する認証要求取得部と、
    前記認証サーバーにおいて、前記認証要求の取得に応じて任意の認証コードを生成する認証コード生成部と、
    生成された認証コードと、認証対象サービスにおいて前記ユーザーに固有のユーザー特定情報とを、関連付けて保存する認証用情報保存部と、
    作成された前記認証コードを前記認証サーバーから前記クライアント端末へ送信する認証情報送信部と、
    前記クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された前記認証コードを認証操作情報として前記認証サーバーに対して送信する認証操作部と、
    前記認証要求を取得した時刻からの経過時間、又は前記クライアント端末から前記認証操作情報を取得した時刻からの経過時間を計測する計時部と、
    前記クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードを検証した認証コードと、前記認証用情報保存部に保存された認証コードとに基づいて、前記第2の認証処理を行う認証実行部と、
    前記計時部によって計測された経過時間に基づいて、前記認証実行部による前記第2の認証処理が成功した旨を前記認証要求に関する認証回答として前記認証対象サービス提供手段に送出する認証回答部と
    を備えることを特徴とする二要素認証システム。
  2. 前記認証要求取得部は、前記クライアント端末からの前記第2認証要求より先行して前記認証対象サービス提供手段から前記第1認証要求を取得した場合、当該第1認証要求を前記認証要求として取得し、
    前記認証回答部は、前記第2認証要求を取得した時刻からの経過時間が所定時間内である場合に、前記第2の認証処理が成功した旨の認証回答を前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項1に記載の二要素認証システム。
  3. 前記認証実行部は前記第2の認証処理の結果を一時的に保持する機能をさらに備え、
    前記認証要求取得部は、前記認証対象サービス提供手段からの第1認証要求より先行して前記クライアント端末からの前記第2認証要求を取得した場合、当該先行認証要求を前記認証要求として取得し、
    前記認証回答部は、前記第1認証要求よりも先行して前記クライアント端末からの第2認証要求を取得した場合であって、前記第2認証要求を取得した時刻から前記第1認証要求を取得するまでの経過時間が所定時間内であるときに、前記一時的に保持された第2の認証処理の結果を前記認証回答として前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項1に記載の二要素認証システム。
  4. 前記計時部によって計測された経過時間が所定時間以上である場合に、前記認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行する
    ことを特徴とする請求項1乃至3のいずれかに記載の二要素認証システム。
  5. 前記認証操作部は、クライアント端末上で実行される認証操作用アプリケーションであり、
    前記認証操作用アプリケーションは、文字列の入力又は生体認証のいずれかを含むユーザーを特定するための認証情報を実行する機能を有する
    ことを特徴とする請求項1乃至4のいずれかに記載の二要素認証システム。
  6. 通信ネットワーク上に配置されて、信頼された認証サーバーの認証結果によってログイン処理を実行する認証対象サービス提供手段と、
    ユーザーが使用し、当該ユーザーによる操作を受け付けるクライアント端末と、
    前記認証対象サービス提供手段からの要求を受けて、前記クライアント端末を通じて前記ユーザーのアクセス権限に対する認証を第2の認証処理として実行する認証サーバーと
    を含む認証システムを用いた二要素認証方法であって、
    前記認証サーバーにおいて、前記認証対象サービス提供手段から前記認証サーバーに対して送出されて第1の認証処理を要求する第1認証要求、又は前記クライアント端末からの第2の認証処理を要求する第2認証要求、のいずれかを認証要求取得部が認証要求として取得するとともに、前記認証要求の取得に応じて任意の認証コードを認証コード生成部が生成する認証コード生成ステップと、
    生成された認証コードと、認証対象サービスにおいて前記ユーザーに固有のユーザー特定情報とを関連付けて認証用情報保存部が保存するとともに、作成された前記認証コードを認証情報送信部が前記認証サーバーから前記クライアント端末へ送信する認証情報送信ステップと、
    前記クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された前記認証コードを認証操作情報として認証操作部が前記認証サーバーに対して送信する認証操作ステップと、
    前記クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードと、前記認証用情報保存部に保存された認証コードとに基づいて、認証実行部が前記第2の認証処理を行う認証実行ステップと、
    前記認証要求を取得した時刻からの経過時間、又は前記クライアント端末から前記認証操作情報を取得した時刻からの経過時間に基づいて、前記認証実行部による前記第2の認証処理が成功した旨を前記認証要求に関する認証回答として認証回答部が前記認証対象サービス提供手段に送出する認証回答ステップと
    を備えることを特徴とする二要素認証方法。
  7. 前記認証コード生成ステップにおいて前記認証要求取得部が、前記クライアント端末からの先行認証要求より先行して前記認証対象サービス提供手段から前記認証要求を取得した場合、当該認証要求を前記認証要求として取得し、
    前記認証回答ステップにおいて前記認証回答部は、前記認証要求を取得した時刻からの経過時間が所定時間内である場合に、前記第2の認証処理が成功した旨の認証回答を前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項6に記載の二要素認証方法。
  8. 前記認証コード生成ステップにおいて前記認証要求取得部が、前記認証対象サービス提供手段からの認証要求より先行して前記クライアント端末からの先行認証要求を取得した場合、当該先行認証要求を前記認証要求として取得し、
    前記認証実行ステップにおいて前記認証実行部は、前記第2の認証処理の結果を一時的に保持し、
    前記認証回答ステップにおいて前記認証回答部は、前記認証要求よりも先行して前記クライアント端末からの前記先行認証要求の取得後に前記認証対象サービス提供手段から認証要求を取得した場合であって、前記認証操作情報を取得した時刻からの経過時間が所定時間内であるときに、前記一時的に保持された第2の認証処理の結果を前記認証回答として前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項6に記載の二要素認証方法。
  9. 計時部によって計測された経過時間が所定時間以上である場合に、前記認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行する
    ことを特徴とする請求項6乃至8のいずれかに記載の二要素認証方法。
  10. 前記認証操作部は、クライアント端末上で実行される認証操作用アプリケーションであり、
    前記認証操作用アプリケーションは、文字列の入力又は生体認証のいずれかを含むユーザーを特定するための認証情報を実行する機能を有する
    ことを特徴とする請求項6乃至9のいずれかに記載の二要素認証方法。
  11. 請求項1に記載の二要素認証システムにおいて、前記認証サーバーを、
    前記認証対象サービス提供手段から前記認証サーバーに対して送出されて前記第1の認証処理を要求する第1認証要求、又は前記クライアント端末からの第2の認証処理を要求する第2認証要求、のいずれかを認証要求として取得する認証要求取得部と、
    前記認証サーバーにおいて、前記認証要求の取得に応じて任意の認証コードを生成する認証コード生成部と、
    生成された認証コードと、認証対象サービスにおいて前記ユーザーに固有のユーザー特定情報とを、関連付けて保存する認証用情報保存部と、
    作成された前記認証コードを前記認証サーバーから前記クライアント端末へ送信する認証情報送信部と、
    前記認証要求を取得した時刻からの経過時間、又は前記クライアント端末から前記認証操作情報を取得した時刻からの経過時間を計測する計時部と、
    前記クライアント端末から取得された認証操作情報に含まれる電子署名が付与された認証コードと、前記認証用情報保存部に保存された認証コードとに基づいて、前記第2の認証処理を行う認証実行部と、
    前記計時部によって計測された経過時間に基づいて、前記認証実行部による前記第2の認証処理が成功した旨を前記認証要求に関する認証回答として前記認証対象サービス提供手段に送出する認証回答部
    として機能させることを特徴とする二要素認証プログラム。
  12. 前記認証要求取得部は、前記クライアント端末からの前記第2認証要求より先行して前記認証対象サービス提供手段から前記第1認証要求を取得した場合、当該第1認証要求を前記認証要求として取得し、
    前記認証回答部は、前記認証要求を取得した時刻からの経過時間が所定時間内である場合に、前記第2の認証処理が成功した旨の認証回答を前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項11に記載の二要素認証プログラム。
  13. 前記認証実行部は前記第2の認証処理の結果を一時的に保持する機能をさらに備え、
    前記認証要求取得部は、前記認証対象サービス提供手段からの認証要求より先行して前記クライアント端末からの先行認証要求を取得した場合、当該先行認証要求を前記認証要求として取得し、
    前記認証回答部は、前記認証要求よりも先行して前記クライアント端末からの前記先行認証要求の取得後に前記認証対象サービス提供手段から認証要求を取得した場合であって、前記認証操作情報を取得した時刻からの経過時間が所定時間内であるときに、前記一時的に保持された第2の認証処理の結果を前記認証回答として前記認証対象サービス提供手段に送出する
    ことを特徴とする請求項11に記載の二要素認証プログラム。
  14. 前記計時部によって計測された経過時間が所定時間以上である場合に、前記認証回答部は、第2の認証処理が失敗した旨の通知を含むエラー処理を実行する
    ことを特徴とする請求項11乃至13のいずれかに記載の二要素認証プログラム。
  15. 請求項1に記載の二要素認証システムにおいてクライアント端末上で実行される認証操作用アプリケーションであって、前記クライアント端末を、
    前記クライアント端末において、ユーザーによる認証操作に基づいて電子署名が付与された前記認証コードを認証操作情報として前記認証サーバーに対して送信する認証操作部として機能させることを特徴とする認証操作用アプリケーション。
  16. 前記認証操作部は、文字列の入力又は生体認証のいずれかを含むユーザーを特定するための認証情報の入力を受け付ける機能を有することを特徴とする請求項15に記載の認証操作用アプリケーション。
JP2020044246A 2020-03-13 2020-03-13 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション Active JP7385507B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020044246A JP7385507B2 (ja) 2020-03-13 2020-03-13 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020044246A JP7385507B2 (ja) 2020-03-13 2020-03-13 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション

Publications (2)

Publication Number Publication Date
JP2021144598A JP2021144598A (ja) 2021-09-24
JP7385507B2 true JP7385507B2 (ja) 2023-11-22

Family

ID=77766804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020044246A Active JP7385507B2 (ja) 2020-03-13 2020-03-13 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション

Country Status (1)

Country Link
JP (1) JP7385507B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094803B (zh) * 2023-01-10 2024-06-11 中国联合网络通信集团有限公司 登录方法、装置及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015179501A (ja) 2014-02-28 2015-10-08 株式会社エヌ・ティ・ティ・データ 認証支援装置、本人認証システム、認証支援方法、およびプログラム
WO2019239591A1 (ja) 2018-06-15 2019-12-19 Capy株式会社 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015179501A (ja) 2014-02-28 2015-10-08 株式会社エヌ・ティ・ティ・データ 認証支援装置、本人認証システム、認証支援方法、およびプログラム
WO2019239591A1 (ja) 2018-06-15 2019-12-19 Capy株式会社 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム

Also Published As

Publication number Publication date
JP2021144598A (ja) 2021-09-24

Similar Documents

Publication Publication Date Title
US7606918B2 (en) Account creation via a mobile device
US20090031405A1 (en) Authentication system and authentication method
US20230106348A1 (en) Method and system for authenticating a secure credential transfer to a device
US20130254857A1 (en) Preventing Unauthorized Account Access Using Compromised Login Credentials
US20100212000A1 (en) System, method and program for user authentication, and recording medium on which the program is recorded
US20080118041A1 (en) Secure access to restricted resource
US20090138947A1 (en) Provisioning a network appliance
US11811750B2 (en) Mobile device enabled desktop tethered and tetherless authentication
US8875270B2 (en) ID authentication system, ID authentication method, and non-transitory computer readable medium storing ID authentication program
JP5991817B2 (ja) ネットワークシステム
CN113746811A (zh) 登录方法、装置、设备及可读存储介质
JP2006031064A (ja) セッション管理システム及び管理方法
JP7385507B2 (ja) 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション
US8689304B2 (en) Multiple independent authentications for enhanced security
JP2002007345A (ja) ユーザ認証方法
CN112565172A (zh) 控制方法、信息处理设备以及信息处理***
US8510845B1 (en) Method and apparatus for monitoring identity misrepresentation by a user on a network
JP4914725B2 (ja) 認証システム、認証プログラム
JP2014225096A (ja) 認証サーバ、認証システム及びプログラム
JP3914152B2 (ja) 認証サーバ、認証システムおよび認証プログラム
CN113194082B (zh) 基于区块链的身份验证方法、区块链平台及运营商平台
JP2004070814A (ja) サーバセキュリティ管理方法及び装置並びにプログラム
JP2002229952A (ja) ユーザ認証システムおよびユーザ認証方法
JP4172548B2 (ja) パスワード通知方法及びシステム
CN111277571A (zh) 一种基于零知识证明的企业app登录管理***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230210

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231031

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231110

R150 Certificate of patent or registration of utility model

Ref document number: 7385507

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150