JP7510340B2 - 認証装置、認証方法及び認証プログラム - Google Patents
認証装置、認証方法及び認証プログラム Download PDFInfo
- Publication number
- JP7510340B2 JP7510340B2 JP2020206779A JP2020206779A JP7510340B2 JP 7510340 B2 JP7510340 B2 JP 7510340B2 JP 2020206779 A JP2020206779 A JP 2020206779A JP 2020206779 A JP2020206779 A JP 2020206779A JP 7510340 B2 JP7510340 B2 JP 7510340B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- login
- authentication
- terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 35
- 238000012795 verification Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000014759 maintenance of location Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
以下、本発明の第1実施形態について説明する。
本実施形態の認証方法では、ログイン中のユーザに対し、このユーザが利用中の端末に過去に配布していたログイン済認証情報と、発信元のIPアドレスとに基づいて、フィッシングサイトからのアクセスが疑われる状況を判定してブロックを行う。
ここで、ユーザ認証の手順は限定されず、既存のログインシーケンスに対して、認証装置1により新たな機能が追加され、認証システムが構成される。
「ログイン中間地点」は、ログインのシーケンス中で、ログイン試行中のユーザを識別するIDを特定可能なアクセスを、ログイン端末から認証装置1が受け付ける段階とし、特に、ログインシーケンス毎に、正規の端末からのアクセスと推定可能な地点が所定の中間地点として認証方式に応じて予め決定される。
認証装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
ここで、ユーザが過去に「ログイン完了」した端末に対して、ログイン済であることを示すログイン済認証情報が配布されているものとする。
認証情報の検証は、ログイン済認証情報が過去に認証システムが生成したデータであることを確認する手順であり、データベースによる照合、電子署名の検証、及びハッシュ値の照合の一部又は全部で行われる。
ここで、一時保持したデータとは、データベースに保存時刻又は有効期限を含めて保持し、保存から一定期間を過ぎたものを削除するか、又は一定期間を過ぎた次の参照時に利用しないこととして保存したものである。
この一連の処理は、ログインシーケンスにおいてログイン端末と認証装置1とがデータ通信するタイミングで都度、実行される。
この例は、特願2020-186412において提案されたワンタイムドメイン認証方式を示している。
これにより、ユーザは、受信した認証情報を用いて、ログイン端末Xでサービスが利用可能となる。
これらのステップの中で、7-2が最も本来の正当なユーザからのアクセスである可能性が高いポイントであるため、7-2をIPアドレスの一時保持を行う所定のログイン中間地点とする。
すなわち、ステップ7-2においてIPアドレスがホワイトリストとして一時保持されると、一定期間IPレンジ(サブネット)を外れた発信元からのログインが行えなくなる。この結果、一度ログインしたユーザは、フィッシングサイト等で更なる指示を受けた場合でも再度フィッシングにかかることはなくなる。
この例は、特願2020-127621において提案されたDRM(Digital Rights Management)を適用した二次元バーコードによる認証方式を示している。
この動画ファイルには、ユーザと紐付けられたURLを表す二次元バーコードが表示内容として含まれる。
認証サーバは、認証済みの認証端末Yのユーザを特定すると、画面データを認証端末Yに返送し(6-2)、ログイン端末Xのスクリプトからの要求に応じて(7)、ライセンス情報と二次元バーコードが表すURLとの紐づけにより、ログイン端末Xのユーザに対して鍵情報を生成してログインが完了する。
これらのステップの中で、3-1が最も本来の正当なユーザからのアクセスである可能性が高いポイントであるため、3-1をIPアドレスの一時保持を行う所定のログイン中間地点とする。そして、ステップ6-1又は7において攻撃者(フィッシングサイト)からのアクセスがあった場合、アドレス部分一致が成り立たないため、認証装置1は、ログインを失敗させる。
したがって、認証装置1は、一定期間は部分一致したIPアドレスからしかログインできないように制御して、同一のサブネットに属していない発信元からのログインの試行を失敗させ、不正ログインを抑制してフィッシングの困難な認証システムを構築できる。
1.まず、目の前の画面に表示された指示に従う。
2.それでもフィッシングサイトのログインが進まなかった場合には、フィッシングサイトの指示に従う。
3.いかなる警告にもひるまず、フィッシングサイトへのログインが成功するまでしつこくログインを試みる。
本実施形態では、ログイン済認証情報及びIPアドレスがホワイトリストとして登録されるので、認証装置1は、正規の端末からのログインのみを安全に受け付けることができる。
以下、本発明の第2実施形態について説明する。
本実施形態では、認証装置1は、第1実施形態におけるログイン済認証情報に加えて、過去にログインに利用したネットワークを示す情報を、ホワイトリストとして登録し、同一ユーザによる同一ネットワークからの新しい端末でのログインを許可する。
認証装置1の制御部10は、第1実施形態における機能部に加えて、ログイン済アドレス登録部16と、ネットワーク検証部17とを備える。
一方、ログイン済アドレス登録部16により登録されるIPアドレスは、ユーザが正常にログインした際のIPアドレスと同一のサブネットからのログインを許可するための情報である。すなわち、このIPアドレスのリストは、過去にログインに利用したネットワーク内で新しい端末からログインしようとした際のホワイトリストとして用いられる。
この時点で、認証システム側は、フィッシングサイトを検知したと認識しているものの、実際には、システム側の不具合でログインできていない可能性、又はユーザが不可解な操作(例えば、複数のPCで同時にログイン操作)をした可能性を排除できないことから、フィッシングサイトである可能性を警告することはできても、悪質なサイトと断定し、該当のサイトは利用できない旨を告知する文言を表示することはできない。
なお、この時点で、ユーザは、頭がフィッシングサイトの魅力的な誘い(例えば、激安商品の購入等)に加熱しており、いかなる警告を表示しても一切関知せず、フィッシング検知の表示に激怒していることが考えられるが、どうしても目的を達成したいため、面倒な報告フォームにも対応してくれると期待できる。
したがって、ユーザに対して、次回の利用時に、又は電話連絡等で、利用中のサイトが悪質なサイトであることを断定的に伝えることができる。数日が経っていれば、ユーザは冷静になっており、警告が素直に受け入れられることが期待できる。
10 制御部
11 認証情報送信部
12 認証情報受信部
13 認証情報検証部
14 アドレス保持部
15 アドレス照合部
16 ログイン済アドレス登録部
17 ネットワーク検証部
20 記憶部
Claims (7)
- ログイン端末が所定のサービスへのログインを試行する際に、ログインシーケンスにおいて予め設定されている、前記ログイン端末からユーザIDを特定可能なアクセスを受け付ける所定の中間地点において、前記ログイン端末のIPアドレスを前記ユーザIDと紐づけて所定期間だけ有効に保持するアドレス保持部と、
前記アドレス保持部に前記ログイン端末のIPアドレスが保持された後、新たに任意のアクセスを受け付けた際に、当該アクセスを受け付けたIPアドレスが、前記アドレス保持部に保持されている同一のユーザIDのIPアドレスと同一のサブネットに属していない場合に、当該アクセスに基づくログインを失敗させるアドレス照合部と、を備える認証装置。 - ログインを完了した端末へ、ログイン済認証情報を送信する認証情報送信部と、
前記ログインシーケンスで規定された所定の情報と共に、前記ログイン端末が前記ログイン済認証情報を保持している場合にのみ、当該ログイン済認証情報を受信する認証情報受信部と、
前記認証情報受信部が受信した前記ログイン済認証情報の正当性を検証する認証情報検証部と、を備え、
前記アドレス照合部は、前記認証情報受信部が前記ログイン済認証情報を受信しなかった場合に、前記IPアドレスの照合を行う請求項1に記載の認証装置。 - 前記中間地点として、前記ログインシーケンス毎に、正規の端末からのアクセスと推定可能な地点が予め設定される請求項1又は請求項2に記載の認証装置。
- 前記アドレス照合部は、前記アクセスを受け付けたIPアドレスが、前記アドレス保持部に保持されている同一のユーザIDのIPアドレスと同一のサブネットに属している場合に、前記ログイン端末に対して当該アクセスの直前に利用していたサイトの入力を要求する請求項1から請求項3のいずれかに記載の認証装置。
- ログインを完了した端末のIPアドレスを、当該ログイン時のユーザIDと紐づけて登録するログイン済アドレス登録部と、
前記アクセスを受け付けたIPアドレスが、前記ログイン済アドレス登録部により登録されている同一のユーザIDのIPアドレスと同一のサブネットに属した正当なものであることを検証するネットワーク検証部と、を備える請求項1から請求項4のいずれかに記載の認証装置。 - ログイン端末が所定のサービスへのログインを試行する際に、ログインシーケンスにおいて予め設定されている、前記ログイン端末からユーザIDを特定可能なアクセスを受け付ける所定の中間地点において、前記ログイン端末のIPアドレスを前記ユーザIDと紐づけて所定期間だけ有効に保持するアドレス保持ステップと、
前記アドレス保持ステップにおいて前記ログイン端末のIPアドレスが保持された後、新たに任意のアクセスを受け付けた際に、当該アクセスを受け付けたIPアドレスが、前記アドレス保持ステップにおいて保持されている同一のユーザIDのIPアドレスと同一のサブネットに属していない場合に、当該アクセスに基づくログインを失敗させるアドレス照合ステップと、をコンピュータが実行する認証方法。 - 請求項1から請求項5のいずれかに記載の認証装置としてコンピュータを機能させるための認証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020206779A JP7510340B2 (ja) | 2020-12-14 | 2020-12-14 | 認証装置、認証方法及び認証プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020206779A JP7510340B2 (ja) | 2020-12-14 | 2020-12-14 | 認証装置、認証方法及び認証プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022094009A JP2022094009A (ja) | 2022-06-24 |
JP7510340B2 true JP7510340B2 (ja) | 2024-07-03 |
Family
ID=82091486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020206779A Active JP7510340B2 (ja) | 2020-12-14 | 2020-12-14 | 認証装置、認証方法及び認証プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7510340B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7483103B1 (ja) | 2023-06-29 | 2024-05-14 | PayPay株式会社 | 情報処理装置、情報処理方法および情報処理プログラム |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011070513A (ja) | 2009-09-28 | 2011-04-07 | Nippon Yunishisu Kk | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
JP2013504821A (ja) | 2009-09-15 | 2013-02-07 | シマンテック コーポレーション | 評判システムにおける調整されただまし行為を防ぐためのセキュリティトークン内のメタデータの使用 |
JP2013137588A (ja) | 2011-12-27 | 2013-07-11 | Toshiba Corp | 認証連携システムおよびidプロバイダ装置 |
JP2014225096A (ja) | 2013-05-15 | 2014-12-04 | 株式会社Hde | 認証サーバ、認証システム及びプログラム |
JP2017102754A (ja) | 2015-12-02 | 2017-06-08 | デジタル・アドバタイジング・コンソーシアム株式会社 | 広告処理装置、及び、プログラム |
US20180084008A1 (en) | 2016-09-16 | 2018-03-22 | Salesforce.Com, Inc. | Phishing detection and prevention |
US20200052896A1 (en) | 2018-08-13 | 2020-02-13 | Google Llc | Location-based access to controlled access resources |
JP2020071620A (ja) | 2018-10-30 | 2020-05-07 | ウイングアーク1st株式会社 | 認証システム、認証サーバおよび認証方法 |
-
2020
- 2020-12-14 JP JP2020206779A patent/JP7510340B2/ja active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013504821A (ja) | 2009-09-15 | 2013-02-07 | シマンテック コーポレーション | 評判システムにおける調整されただまし行為を防ぐためのセキュリティトークン内のメタデータの使用 |
JP2011070513A (ja) | 2009-09-28 | 2011-04-07 | Nippon Yunishisu Kk | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム |
JP2013137588A (ja) | 2011-12-27 | 2013-07-11 | Toshiba Corp | 認証連携システムおよびidプロバイダ装置 |
JP2014225096A (ja) | 2013-05-15 | 2014-12-04 | 株式会社Hde | 認証サーバ、認証システム及びプログラム |
JP2017102754A (ja) | 2015-12-02 | 2017-06-08 | デジタル・アドバタイジング・コンソーシアム株式会社 | 広告処理装置、及び、プログラム |
US20180084008A1 (en) | 2016-09-16 | 2018-03-22 | Salesforce.Com, Inc. | Phishing detection and prevention |
US20200052896A1 (en) | 2018-08-13 | 2020-02-13 | Google Llc | Location-based access to controlled access resources |
JP2020071620A (ja) | 2018-10-30 | 2020-05-07 | ウイングアーク1st株式会社 | 認証システム、認証サーバおよび認証方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2022094009A (ja) | 2022-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220147601A1 (en) | Systems and Methods for Providing Real Time Security and Access Monitoring of a Removable Media Device | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
EP2410452B1 (en) | Protection against malware on web resources | |
US11425166B2 (en) | Identifier-based application security | |
CN105939326A (zh) | 处理报文的方法及装置 | |
US9237143B1 (en) | User authentication avoiding exposure of information about enumerable system resources | |
US7930745B2 (en) | Network security system and method | |
CN114553540B (zh) | 基于零信任的物联网***、数据访问方法、装置及介质 | |
WO2009115029A1 (zh) | 一种修复数据的方法、***和装置 | |
WO2019123665A1 (ja) | 照合サーバ、照合方法及びコンピュータプログラム | |
JP5722778B2 (ja) | 少なくとも1つのサービスを提供するためのサーバシステムおよびその方法 | |
US10834074B2 (en) | Phishing attack prevention for OAuth applications | |
CN115242546A (zh) | 一种基于零信任架构的工业控制***访问控制方法 | |
JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
CN111131244B (zh) | 防止恶意内容侵染网站页面的方法和***以及存储介质 | |
US20220353081A1 (en) | User authentication techniques across applications on a user device | |
JP7510340B2 (ja) | 認証装置、認証方法及び認証プログラム | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
US8261328B2 (en) | Trusted electronic communication through shared vulnerability | |
Tsow | Phishing with Consumer Electronics-Malicious Home Routers. | |
CN106878233A (zh) | 安全数据的读取方法、安全服务器、终端及*** | |
US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
CN114978544A (zh) | 一种访问认证方法、装置、***、电子设备及介质 | |
JP2004070814A (ja) | サーバセキュリティ管理方法及び装置並びにプログラム | |
CN113542287A (zh) | 网络请求的管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230306 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231212 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240528 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240621 |