アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
【課題】プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにする。
【解決手段】情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うことにより、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないようにして、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要をなくす。また、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うことにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができるようにする。
【解決手段】情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うことにより、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないようにして、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要をなくす。また、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うことにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。
【背景技術】
【0002】
従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、IDとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のIDとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。
【0003】
これに対して、1回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている(例えば、特許文献1参照)。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。
【0004】
しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたIDとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。
【0005】
一方、IDとパスワードに加え、本人が使用するユーザ端末に固有のIPアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている(例えば、特許文献2参照)。この特許文献2に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のIPアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがIPアドレスをパケットから抽出し、認証サーバに記憶しておいたIPアドレスとの同一性を判定することで、本人性を確認している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第3595109号公報
【特許文献2】特開2006−113624号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献2に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからIPアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。
【0008】
また、特許文献2に記載の発明では、IDとパスワードとIPアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してIPアドレスを抽出するとともに、その偽サイトで入力させたIDとパスワードを盗用することにより、IPアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。
【0009】
本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら2者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。
【0011】
本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。
【0012】
本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。
【発明の効果】
【0013】
上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
【0014】
また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて2回の認証(事前認証と本認証)が行われ、2回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0015】
また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。
【0016】
さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる1度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる2度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
【図面の簡単な説明】
【0017】
【図1】本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。
【図2】本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
【図3】本実施形態のIPアドレステーブルの構成例を示す図である。
【図4】本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。
【図5】本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図2は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
【0019】
図1に示すように、本実施形態のアクセス制御システム100は、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム1は、情報通信サービスの提供を行うサービス提供サーバ11と、サービス提供サーバ11へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ12と、当該認証サーバ12とユーザ端末2との間に配置された中間サーバ13とを備えている。
【0020】
ユーザ端末2は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末2は、インターネットなどの外部ネットワーク3でサービス提供サーバ11および中間サーバ13とそれぞれ接続されており、それらとの間でSSL(Secure Socket Layer)による暗号化通信を行う。
【0021】
サービス提供サーバ11、認証サーバ12および中間サーバ13は、情報通信サービス提供者(銀行など)の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク4で接続されている。本実施形態においてサービス提供サーバ11とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。
【0022】
なお、図示はしないが、認証サーバ12は通常、ファイアウォール(内部ネットワーク4と外部ネットワーク3との間の通信を制限し、内部ネットワーク4に接続するコンピュータの安全を維持する仕組み)で外部ネットワーク3から防御されており、ユーザ端末2は認証サーバ12と直接通信することができない。このため、本実施形態では、ユーザ端末2は、サービス提供サーバ11経由または中間サーバ13経由で認証サーバ12と通信する構成としている。
【0023】
インターネットなどのネットワーク通信では、1本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるIPアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するID(以下、ユーザIDという)およびパスワードから成る認証情報に加え、パケット送信元(ユーザ端末2)のIPアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。
【0024】
図2に示すように、ユーザ端末2は、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23を備えている。ワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部21に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザIDと種情報は、ユーザが事前に認証サーバ12に対してアカウントを設定する際に登録しておく。
【0025】
事前認証制御部21は、中間サーバ13のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持しており、そのIPアドレスを用いて中間サーバ13との通信を確立してユーザの認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を送信する。具体的には、事前認証制御部21は、認証要求が発生したときに、中間サーバ13のIPアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部23によりワンタイムパスワードが生成された直後に、事前認証制御部21の機能として自動的に発生する。
【0026】
本認証制御部22は、ウェブブラウザの機能を含み、サービス提供サーバ11のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持している。本認証制御部22は、認証要求が発生したときに、事前認証制御部21が中間サーバ13のIPアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ11のIPアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部21が認証情報を送信したことに応答して認証サーバ12から認証成功の通知が送られてきた後(後述する事前認証に成功した後)、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ11へアクセスしたときに発生する。
【0027】
中間サーバ13は、認証要求部131およびパケット解析部132を備えている。認証要求部131は、ユーザ端末2の事前認証制御部21からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ12に送信して認証要求を行う。パケット解析部132は、認証要求部131が受信した通信パケットを解析して、認証情報とユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当)とを抽出する。上述の認証要求部131は、認証サーバ12に対して認証情報と共にIPアドレス(以下、第1の送信元IPアドレスと称する)を送信する。
【0028】
認証サーバ12は、事前認証処理部121、記憶処理部122、IPアドレステーブル123(本発明のアドレステーブルに相当)、事前認証結果通知部124、アドレス判定部125、本認証処理部126、本認証結果通知部127および認証データベース128を備えている。
【0029】
事前認証処理部121は、ユーザ端末2の事前認証制御部21から送信された認証情報を中間サーバ13を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部121は、受信した認証情報に含まれるユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部23がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部121は、自身が生成したワンタイムパスワードと、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
【0030】
本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ13を介して同じ認証情報(ユーザIDおよびワンタイムパスワード)にて認証要求が送られてきたときは、事前認証処理部121での事前認証は失敗となる。
【0031】
なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部121は、事前認証に成功したときはそのワンタイムパスワードを認証データベース128に登録しておく。事前認証処理部121は、中間サーバ13から受信したワンタイムパスワードについて、認証データベース128に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回(2回目以降)の事前認証を失敗とする。
【0032】
記憶処理部122は、事前認証処理部121による事前認証が成功した場合に、認証要求部131より送信された第1の送信元IPアドレス(すなわち、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された第1の送信元IPアドレス)を、当該パケットより抽出された認証情報と対応付けてIPアドレステーブル123に記憶させる。
【0033】
図3は、IPアドレステーブル123の構成例を示す図である。図3に示すように、IPアドレステーブル123は、認証情報であるユーザIDおよびワンタイムパスワードとIPアドレスとを対応付けて記憶する構成となっている。ユーザIDおよびワンタイムパスワードの項目には、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された認証情報が記憶される。また、IPアドレスの項目には、同じパケットよりパケット解析部132にて抽出された第1の送信元IPアドレスが記憶される。
【0034】
事前認証結果通知部124は、事前認証処理部121による事前認証の成否(認証成功または認証失敗)を、中間サーバ13を介してユーザ端末2に通知する。具体的には、事前認証結果通知部124は、事前認証処理部121による事前認証の成否を中間サーバ13の認証要求部131に通知する。認証要求部131は、事前認証結果通知部124から受けた通知をユーザ端末2の事前認証制御部21に転送する。この通知を受けた事前認証制御部21は、例えば認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して、事前認証処理を終了する。
【0035】
認証サーバ12の残りの構成(アドレス判定部125、本認証処理部126および本認証結果通知部127)については、サービス提供サーバ11の構成を先に説明した後に説明する。サービス提供サーバ11は、サービス提供部111、認証要求部112およびパケット解析部113を備えている。
【0036】
サービス提供部111は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末2に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部111は、ユーザ端末2の本認証制御部22から送信されてくるパケットを受信すると、これを認証要求部112に転送する。
【0037】
認証要求部112がサービス提供部111からパケットを受信したときに、パケット解析部113は、認証要求部112が受信したパケットを解析し、認証情報(事前認証時と同じもの)と、ユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当。以下、これを第2の送信元IPアドレスと称する)とを抽出する。認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う。
【0038】
認証サーバ12のアドレス判定部125は、認証要求部112より送られた第2の送信元IPアドレス(すなわち、本認証制御部22からサービス提供サーバ11に向けて送信されたパケットよりパケット解析部113にて抽出された第2の送信元IPアドレス)と、当該パケットより抽出された認証情報に対応付けてIPアドレステーブル123に記憶されているアドレス情報(第1の送信元IPアドレス)とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。
【0039】
本認証処理部126は、アドレス判定部125によりアドレス情報が一致すると判定された場合に、本認証制御部22からサービス提供サーバ11に送信され本認証処理部126に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部126は、サービス提供サーバ11から受信した認証情報に含まれるユーザIDをキーとして認証データベース128を参照し、認証データベース128上のワンタイムパスワードと、サービス提供サーバ11から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
【0040】
上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが1回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部126は、本認証の成功後に認証データベース128からワンタイムパスワードを削除する。
【0041】
本認証結果通知部127は、アドレス判定部125および本認証処理部126による本認証の成否を、サービス提供サーバ11を介してユーザ端末2に通知する。具体的には、本認証結果通知部127は、アドレス判定部125によるアドレス情報の一致判定の結果または本認証処理部126による認証の結果を、本認証の成否としてサービス提供サーバ11の認証要求部112に通知する。認証要求部112は、本認証結果通知部127から受けた通知を、サービス提供部111を介してユーザ端末2の本認証制御部22に転送する。
【0042】
本認証に失敗したことが通知された場合、本認証制御部22は、例えば認証に失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部22に通知された場合、それ以降ユーザ端末2は、サービス提供サーバ11のサービス提供部111による情報通信サービスを受けられる状態となる。
【0043】
以上に説明した本実施形態による認証サーバシステム1の機能構成およびユーザ端末2の機能構成は、ハードウェア、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム1およびユーザ端末2は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。
【0044】
したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、認証サーバシステム1やユーザ端末2のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末2のプログラムは、認証サーバシステム1からダウンロードするようにしてもよい。
【0045】
次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図4は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図5は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
【0046】
最初に、事前認証時の動作を説明する。図4において、まず、ユーザ端末2のワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する(ステップS1)。そして、事前認証制御部21は、認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を中間サーバ13に送信する(ステップS2)。中間サーバ13の認証要求部131がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部132は、その通信パケットを解析し、認証情報および第1の送信元IPアドレスを抽出する(ステップS3)。そして、認証要求部131は、パケット解析部132により抽出された認証情報と第1の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS4)。
【0047】
認証サーバ12の事前認証処理部121は、中間サーバ13から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う(ステップS5)。ここで、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードによる認証が1回目で、かつ、そのワンタイムパスワードと事前認証処理部121によりワンタイムパスワード生成部23と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が2回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。
【0048】
事前認証処理部121は、事前認証に成功したか否かを判定し(ステップS6)、認証成功と判定した場合は、ワンタイムパスワードを認証データベース128に登録するとともに、認証に成功した旨を記憶処理部122および事前認証結果通知部124に通知する。一方、事前認証処理部121は、認証失敗と判定した場合は、その旨を事前認証結果通知部124に通知する。記憶処理部122は、事前認証処理部121から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第1の送信元IPアドレスをIPアドレステーブル123に記録する(ステップS7)。上述のように、これ以降事前認証処理部121は、中間サーバ13からの同一の認証情報による認証要求(事前認証)の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部122によるステップS7の処理は行わない。
【0049】
事前認証結果通知部124は、事前認証処理部121から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ13へ送信する(ステップS8)。また、中間サーバ13は、事前認証結果通知部124から受け取った認証結果をユーザ端末2へ送信する(ステップS9)。このようにして認証サーバ12から中間サーバ13を介して事前認証の結果の通知を受け取ったユーザ端末2において、事前認証処理部121は、事前認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS10)、事前認証処理を終了する。
【0050】
次に、本認証の動作を説明する。図5において、まず、ユーザ端末2の本認証制御部22は、ウェブブラウザの機能を利用してサービス提供サーバ11にアクセスしてユーザ端末2の表示装置(図示せず)に認証画面を表示する。そして、ユーザ端末2のユーザが認証画面から認証情報(事前認証時と同じユーザIDおよびワンタイムパスワード)を入力し、送信ボタンを押すと、本認証制御部22は、当該入力された認証情報をサービス提供サーバ11に送信する(ステップS21)。
【0051】
サービス提供サーバ11のサービス提供部111がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部113は、その通信パケットを解析し、認証情報および第2の送信元IPアドレスを抽出する(ステップS22)。そして、認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS23)。
【0052】
認証サーバ12においてサービス提供サーバ11から認証情報を受信すると、アドレス判定部125は、サービス提供サーバ11から送られてくる第2の送信元IPアドレスと、サービス提供サーバ11から送られてくる認証情報に対応付けてIPアドレステーブル123に記憶されている第1の送信元IPアドレスとを比較し(ステップS24)、両者が一致するか否かを判定する(ステップS25)。
【0053】
具体的には、アドレス判定部125は、認証情報に含まれるユーザIDをキーとしてIPアドレステーブル123を参照する。そして、IPアドレステーブル123にそのユーザIDに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザIDに該当するレコードがあれば、アドレス判定部125は、そのレコードに記憶されている第1の送信元IPアドレスと、サービス提供サーバ11から送られてきた第2の送信元IPアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部125はその旨を本認証結果通知部127に通知する。
【0054】
一方、第1の送信元IPアドレスと第2の送信元IPアドレスとが一致した場合、アドレス判定部125はその旨を本認証処理部126に通知する。本認証処理部126はこの通知を受けて、サービス提供サーバ11から受信した認証情報に基づいて本認証を行う(ステップS26)。なお、ステップS25のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。
【0055】
本認証処理部126は、本認証に成功したか否かを判定する(ステップS27)。そして、認証成功と判定した場合は、その旨を本認証結果通知部127に通知するとともに、ワンタイムパスワードを無効化する(ステップS28)。ワンタイムパスワードの無効化は、例えば、認証データベース128からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザIDのレコードをIPアドレステーブル123から削除することによって行う。一方、本認証処理部126は、認証失敗と判定した場合は、その旨を本認証結果通知部127に通知する。なお、本認証に失敗した場合は、ステップS28の処理は行わない。
【0056】
本認証結果通知部127は、アドレス判定部125から認証失敗の通知を受けて、あるいは、本認証処理部126から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ11へ送信する(ステップS29)。また、サービス提供サーバ11は、本認証結果通知部127から受け取った認証結果をユーザ端末2へ送信する(ステップS30)。
【0057】
このようにして認証サーバ12からサービス提供サーバ11を介して本認証の結果の通知を受け取ったユーザ端末2において、本認証制御部22は、本認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS31)、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ11はそれ以降、ユーザ端末2からのアクセスを許可する。
【0058】
以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
【0059】
また、本実施形態では、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0060】
すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ11に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、IPアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にIPアドレスの比較も行っている。この場合、第三者の端末のIPアドレスがIPアドレステーブル123に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0061】
万が一、第三者が中間サーバ13の存在と事前認証の仕組みを知っていたとして、第三者の端末のIPアドレスを認証サーバ12に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ13へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のIPアドレスがIPアドレステーブル123に登録されることはない。
【0062】
ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末2から中間サーバ13へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ12へ送られ、1回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ13へ送ったとしても、2回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
【0063】
なお、第三者が正当なユーザより先に認証情報を中間サーバ13に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末2から中間サーバ13への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ13に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末2から中間サーバ13への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ13へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。
【0064】
なお、上記実施形態では、ユーザ端末2と認証サーバ12との間に中間サーバ13を置いているが、これは認証サーバ12がファイアウォールで外部ネットワーク3から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ13を用いない場合、例えば、認証要求部131の機能をユーザ端末2に設け、パケット解析部132の機能を認証サーバ12に設けるようにしても良い。
【0065】
また、上記実施形態では、パケット送信元端末のアドレス情報としてIPアドレスを用いているが、本発明はこれに限定されない。例えば、MACアドレスを用いてもよい。
【0066】
また、上記実施形態では、事前認証を行った後に、ユーザ端末2からサービス提供サーバ11にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部21が認証サーバ12から中間サーバ13を介して受信したときに、本認証制御部22がサービス提供サーバ11のIPアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。
【0067】
また、上記実施形態では、認証サーバシステム1は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを1回ずつ有効とするように事前認証処理部121および本認証処理部126を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部23は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部126も自らワンタイムパスワードを生成して事前認証処理部121と同様の認証を行う。したがって、事前認証処理部121は、事前認証の成功時にワンタイムパスワードを認証データベース128に登録する必要はない。
【0068】
また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献1に記載された方法を適用しても良い。
【0069】
また、上記実施形態では、ユーザIDを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末2を識別するデバイスIDを用いても良い。あるいは、ユーザ端末2に装着して使用するUSBメモリ等のデバイスIDを用いても良い。USBメモリを用いる場合、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23の機能を当該USBメモリに持たせるようにしても良い。このようにすれば、ユーザ端末2に対するソフトウェアの事前インストールは不要となる。
【0070】
その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
【符号の説明】
【0071】
1 認証サーバシステム
2 ユーザ端末
11 サービス提供サーバ
12 認証サーバ
13 中間サーバ
21 事前認証制御部
22 本認証制御部
23 ワンタイムパスワード生成部
113 パケット解析部
121 事前認証処理部
122 記憶処理部
123 IPアドレステーブル
125 アドレス判定部
126 本認証処理部
128 認証データベース
132 パケット解析部
【技術分野】
【0001】
本発明は、アクセス制御システム、認証サーバシステムおよびアクセス制御プログラムに関し、特に、ユーザ端末から情報通信サービス提供用のネットワークへのアクセス制御をIDとパスワードとを用いた認証処理により行うシステムに用いて好適なものである。
【背景技術】
【0002】
従来、ネットバンキングのような情報通信サービスにおいては、正当なユーザに対してのみサービス利用のためのアクセスを許可するために、サービスを受けようとする実体が正当な本人であるか否かを確認するための認証が行われている。これにつき一般的には、IDとパスワードなど、本人性を確認するための情報を用いた認証が行われていることが多い。ところが、他人のIDとパスワードを盗用し、本人のふりをして情報通信サービスの利用を行う「なりすまし」という不正が横行している。なりすましが行われると、なりすましされた本人は、覚えのないサービス利用に対する課金を受けたり、本人しか知らない機密情報や個人情報が盗み出されたりするといった損害を被ってしまう。
【0003】
これに対して、1回の認証にしか使えないようにした使い捨てのワンタイムパスワードを用いることで、なりすましの問題に対処する方法が提供されている(例えば、特許文献1参照)。ワンタイムパスワードであれば、繰り返し使われることなく正当な本人による使用後は無効となるため、万が一第三者に盗用されたとしても、高い安全性が保持できる。
【0004】
しかし、ワンタイムパスワードを用いたとしても、いわゆるフィッシング詐欺でワンタイムパスワードを不正に入手した悪意の第三者によるなりすましを防ぐことはできない。フィッシング詐欺とは、ユーザを偽サイトに誘導し、そこで入力させたIDとパスワードを正規のサイトに中継する手法である。フィッシング詐欺を行う第三者は、その時点で有効なワンタイムパスワードを偽サイトで正当なユーザに入力させ、それを正規のサイトに使用する。そのため、正規のサイトでは一度だけの認証を行うことになり、ワンタイムパスワードを使用していても、なりすましが可能となってしまう。
【0005】
一方、IDとパスワードに加え、本人が使用するユーザ端末に固有のIPアドレスを用いて認証を行うことで、なりすましを防止する方法も提案されている(例えば、特許文献2参照)。この特許文献2に記載の発明では、認証サーバとの間でネットワーク接続の認証を行うプロバイダのゲートウェイ装置と、認証サーバとの間でサービス利用の認証を行うウェブサーバとを備えている。そして、最初のネットワーク接続の認証時にゲートウェイ装置がユーザ端末のIPアドレスをパケットから抽出して認証サーバに記憶させ、その後のサービス利用の認証時にウェブサーバがIPアドレスをパケットから抽出し、認証サーバに記憶しておいたIPアドレスとの同一性を判定することで、本人性を確認している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第3595109号公報
【特許文献2】特開2006−113624号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献2に記載の発明では、情報通信サービスを提供するウェブサーバとは異なるプロバイダのゲートウェイ装置に対して、パケットからIPアドレスを抽出して認証サーバに記憶させるための仕組みを設けることが必要となる。すなわち、情報通信サービスの提供者だけでアクセス制御のシステムを組むことができず、プロバイダの協力を得てゲートウェイ装置にも特別な仕組みを設けなければならないという問題があった。
【0008】
また、特許文献2に記載の発明では、IDとパスワードとIPアドレスとをフィッシング詐欺で不正に入手した悪意の第三者によるなりすましを防ぐことができないという問題もあった。すなわち、ユーザを偽サイトに誘導してIPアドレスを抽出するとともに、その偽サイトで入力させたIDとパスワードを盗用することにより、IPアドレスを用いた認証であっても本人になりすましてサービス利用の許可を得ることが可能となってしまう。
【0009】
本発明は、このような問題を解決するために成されたものであり、プロバイダによるシステム構成の協力を得る必要なく、なりすましによる不正なアクセスを確実に防止できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
上記した課題を解決するために、本発明では、情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とによりアクセス制御システムを構成し、これら2者間の通信によって以下のような認証処理を行うようにしている。すなわち、ユーザ端末から認証サーバシステムに認証情報をパケット送信し、その際にパケット送信元端末のアドレス情報を抽出する。そして、認証サーバシステムが認証情報に基づいて事前認証を行い、事前認証に成功した場合にはパケット送信元端末のアドレス情報を認証情報と対応付けてアドレステーブルに記憶させる。ユーザ端末はその後、認証サーバシステムに認証情報を再送信する。認証サーバシステムは、再度抽出したパケット送信元端末のアドレス情報とアドレステーブルに記憶されているアドレス情報とが一致するか否かを判定し、一致すると判定した場合には再送信された認証情報に基づいて本認証を行う。
【0011】
本発明の他の態様では、ユーザ端末から認証サーバシステムに送信する認証情報をワンタイムパスワードにより構成している。
【0012】
本発明のさらに別の態様では、ユーザ端末にてワンタイムパスワードが生成されたときに、あらかじめ決められた送信先アドレスを自動的に指定して、ワンタイムパスワードを含む認証情報を事前認証のために送信するようにしている。
【発明の効果】
【0013】
上記のように構成した本発明によれば、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
【0014】
また、本発明によれば、ユーザ端末から認証サーバシステムに対して認証情報が送信されて2回の認証(事前認証と本認証)が行われ、2回目の本認証の際にはパケット送信元端末のアドレス情報の一致判定も行われる。そのため、正当なユーザが本認証を行おうとしている際にフィッシング行為により認証情報が第三者により不正入手され、第三者の端末から認証サーバシステムに認証情報が本認証のために送信されたとしても、第三者の端末のアドレス情報が認証サーバシステムに登録されていないため、認証が成功することはない。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0015】
また、ユーザ端末から認証サーバシステムに送信する認証情報としてワンタイムパスワードを用いた場合には、仮に第三者が事前認証の仕組みを知っていて、上述のフィッシング行為により窃取した認証情報を用いてまず事前認証を受けようとしても、認証に成功することはない。すなわち、フィッシング行為により認証情報が窃取される前に、正当なユーザにより既にワンタイムパスワードを用いた事前認証が行われているため、第三者の事前認証は二度目の認証となって認証失敗となる。そのため、第三者の端末のアドレス情報が認証サーバシステムに登録されないので、その後に本認証を受けようとしても失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましをより確実に防ぐことができる。
【0016】
さらに、事前認証の際にユーザ端末から認証サーバシステムへ自動的にアドレス指定してワンタイムパスワードによる認証情報を送信するようにした場合には、事前認証の際にユーザが偽サイトに誘導されることはない。そのため、認証情報が窃取されるとしたら通信路上での傍受となるが、傍受によって認証情報が窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバシステムへ送られ、ワンタイムパスワードによる1度目の事前認証を受けることになる。よって、その後に第三者が同じ認証情報を認証サーバシステムへ送ったとしても、ワンタイムパスワードによる2度目の認証となるので認証失敗となり、第三者の端末のアドレス情報は登録されない。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
【図面の簡単な説明】
【0017】
【図1】本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。
【図2】本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
【図3】本実施形態のIPアドレステーブルの構成例を示す図である。
【図4】本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。
【図5】本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態によるアクセス制御システムの全体構成例を示すブロック図である。図2は、本実施形態によるアクセス制御システムの機能構成例を示すブロック図である。
【0019】
図1に示すように、本実施形態のアクセス制御システム100は、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とが、インターネット等の通信ネットワークを介して接続されて構成されている。認証サーバシステム1は、情報通信サービスの提供を行うサービス提供サーバ11と、サービス提供サーバ11へのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバ12と、当該認証サーバ12とユーザ端末2との間に配置された中間サーバ13とを備えている。
【0020】
ユーザ端末2は、例えばネットバンキングのような情報通信サービスを受けるユーザの端末であり、個人のコンピュータなどにより構成される。ユーザ端末2は、インターネットなどの外部ネットワーク3でサービス提供サーバ11および中間サーバ13とそれぞれ接続されており、それらとの間でSSL(Secure Socket Layer)による暗号化通信を行う。
【0021】
サービス提供サーバ11、認証サーバ12および中間サーバ13は、情報通信サービス提供者(銀行など)の設備であり、それぞれが情報通信サービス提供者の内部ネットワーク4で接続されている。本実施形態においてサービス提供サーバ11とは、情報通信サービスを提供するために必要な複数のサーバ群を意味し、実際にはウェブサーバ、アプリケーションサーバ、データベースサーバ等を含んでいる。
【0022】
なお、図示はしないが、認証サーバ12は通常、ファイアウォール(内部ネットワーク4と外部ネットワーク3との間の通信を制限し、内部ネットワーク4に接続するコンピュータの安全を維持する仕組み)で外部ネットワーク3から防御されており、ユーザ端末2は認証サーバ12と直接通信することができない。このため、本実施形態では、ユーザ端末2は、サービス提供サーバ11経由または中間サーバ13経由で認証サーバ12と通信する構成としている。
【0023】
インターネットなどのネットワーク通信では、1本の回線を複数のコンピュータで共有しており、データをパケットに分けて通信している。これはパケット通信と呼ばれる。各パケットには、送信元と送信先を示すアドレス情報が付加されており、回線を共有する他のコンピュータとの間でデータの取り違いが起こらないようになっている。インターネットで一般的な通信プロトコルにおいては、ネットワーク上の位置を示す情報であるIPアドレスが、送信元と送信先を示すアドレス情報として使用される。本実施形態では、情報通信サービス利用者を識別するID(以下、ユーザIDという)およびパスワードから成る認証情報に加え、パケット送信元(ユーザ端末2)のIPアドレスを検証することで「なりすまし」を検知する。また、本実施形態では、パスワードとしてワンタイムパスワードを用いる。
【0024】
図2に示すように、ユーザ端末2は、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23を備えている。ワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成して事前認証制御部21に供給する。ここで、ワンタイムパスワードは公知の方法により生成することが可能である。一例として、ユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。なお、ユーザIDと種情報は、ユーザが事前に認証サーバ12に対してアカウントを設定する際に登録しておく。
【0025】
事前認証制御部21は、中間サーバ13のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持しており、そのIPアドレスを用いて中間サーバ13との通信を確立してユーザの認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を送信する。具体的には、事前認証制御部21は、認証要求が発生したときに、中間サーバ13のIPアドレスに向けて、ユーザに固有の認証情報をパケット通信により送信する。ここでの認証要求は、ワンタイムパスワード生成部23によりワンタイムパスワードが生成された直後に、事前認証制御部21の機能として自動的に発生する。
【0026】
本認証制御部22は、ウェブブラウザの機能を含み、サービス提供サーバ11のIPアドレス(認証サーバシステム1のあらかじめ決められた送信先アドレス)を保持している。本認証制御部22は、認証要求が発生したときに、事前認証制御部21が中間サーバ13のIPアドレスに向けて送信したものと同じ認証情報を、サービス提供サーバ11のIPアドレスに向けてパケット通信により送信する。ここでの認証要求は、事前認証制御部21が認証情報を送信したことに応答して認証サーバ12から認証成功の通知が送られてきた後(後述する事前認証に成功した後)、ユーザが自身でウェブブラウザを立ち上げてサービス提供サーバ11へアクセスしたときに発生する。
【0027】
中間サーバ13は、認証要求部131およびパケット解析部132を備えている。認証要求部131は、ユーザ端末2の事前認証制御部21からパケット通信により認証情報を受信したときに、当該認証情報を認証サーバ12に送信して認証要求を行う。パケット解析部132は、認証要求部131が受信した通信パケットを解析して、認証情報とユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当)とを抽出する。上述の認証要求部131は、認証サーバ12に対して認証情報と共にIPアドレス(以下、第1の送信元IPアドレスと称する)を送信する。
【0028】
認証サーバ12は、事前認証処理部121、記憶処理部122、IPアドレステーブル123(本発明のアドレステーブルに相当)、事前認証結果通知部124、アドレス判定部125、本認証処理部126、本認証結果通知部127および認証データベース128を備えている。
【0029】
事前認証処理部121は、ユーザ端末2の事前認証制御部21から送信された認証情報を中間サーバ13を介して受信し、当該受信した認証情報に基づいて事前認証を行う。例えば、事前認証処理部121は、受信した認証情報に含まれるユーザIDに対応してあらかじめ決められた種情報と、ワンタイムパスワードを生成する度に変動する変動情報とを用いて所定の規則に従いワンタイムパスワードを生成する。ここで用いる変動情報は、ワンタイムパスワード生成部23がワンタイムパスワードを生成する際に用いたものと同じとなるように同期がとられている。そして、事前認証処理部121は、自身が生成したワンタイムパスワードと、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
【0030】
本実施形態で用いるパスワードは、ワンタイムパスワードである。そのため、事前認証に一度成功した後は、中間サーバ13を介して同じ認証情報(ユーザIDおよびワンタイムパスワード)にて認証要求が送られてきたときは、事前認証処理部121での事前認証は失敗となる。
【0031】
なお、後述するように、ワンタイムパスワードは後に本認証を行う際にも使用する。そのため、事前認証処理部121は、事前認証に成功したときはそのワンタイムパスワードを認証データベース128に登録しておく。事前認証処理部121は、中間サーバ13から受信したワンタイムパスワードについて、認証データベース128に同一のワンタイムパスワードが登録されているか否かを見ることによって事前認証が既に行われているかどうかを判定し、既に行われている場合には今回(2回目以降)の事前認証を失敗とする。
【0032】
記憶処理部122は、事前認証処理部121による事前認証が成功した場合に、認証要求部131より送信された第1の送信元IPアドレス(すなわち、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された第1の送信元IPアドレス)を、当該パケットより抽出された認証情報と対応付けてIPアドレステーブル123に記憶させる。
【0033】
図3は、IPアドレステーブル123の構成例を示す図である。図3に示すように、IPアドレステーブル123は、認証情報であるユーザIDおよびワンタイムパスワードとIPアドレスとを対応付けて記憶する構成となっている。ユーザIDおよびワンタイムパスワードの項目には、事前認証制御部21から送信されたパケットよりパケット解析部132にて抽出された認証情報が記憶される。また、IPアドレスの項目には、同じパケットよりパケット解析部132にて抽出された第1の送信元IPアドレスが記憶される。
【0034】
事前認証結果通知部124は、事前認証処理部121による事前認証の成否(認証成功または認証失敗)を、中間サーバ13を介してユーザ端末2に通知する。具体的には、事前認証結果通知部124は、事前認証処理部121による事前認証の成否を中間サーバ13の認証要求部131に通知する。認証要求部131は、事前認証結果通知部124から受けた通知をユーザ端末2の事前認証制御部21に転送する。この通知を受けた事前認証制御部21は、例えば認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して、事前認証処理を終了する。
【0035】
認証サーバ12の残りの構成(アドレス判定部125、本認証処理部126および本認証結果通知部127)については、サービス提供サーバ11の構成を先に説明した後に説明する。サービス提供サーバ11は、サービス提供部111、認証要求部112およびパケット解析部113を備えている。
【0036】
サービス提供部111は、本認証の許可が出された場合に、ネットバンキング等の情報通信サービスをユーザ端末2に提供する。サービス提供を行う前の本認証の実行時に、サービス提供部111は、ユーザ端末2の本認証制御部22から送信されてくるパケットを受信すると、これを認証要求部112に転送する。
【0037】
認証要求部112がサービス提供部111からパケットを受信したときに、パケット解析部113は、認証要求部112が受信したパケットを解析し、認証情報(事前認証時と同じもの)と、ユーザ端末2のIPアドレス(パケット送信元端末のアドレス情報に相当。以下、これを第2の送信元IPアドレスと称する)とを抽出する。認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う。
【0038】
認証サーバ12のアドレス判定部125は、認証要求部112より送られた第2の送信元IPアドレス(すなわち、本認証制御部22からサービス提供サーバ11に向けて送信されたパケットよりパケット解析部113にて抽出された第2の送信元IPアドレス)と、当該パケットより抽出された認証情報に対応付けてIPアドレステーブル123に記憶されているアドレス情報(第1の送信元IPアドレス)とが一致するか否かを判定する。ここで、アドレス情報が一致しなければ認証失敗である。
【0039】
本認証処理部126は、アドレス判定部125によりアドレス情報が一致すると判定された場合に、本認証制御部22からサービス提供サーバ11に送信され本認証処理部126に転送された認証情報に基づいて本認証を行う。例えば、本認証処理部126は、サービス提供サーバ11から受信した認証情報に含まれるユーザIDをキーとして認証データベース128を参照し、認証データベース128上のワンタイムパスワードと、サービス提供サーバ11から受信した認証情報に含まれるワンタイムパスワードとが同一であるか否かを検査する。パスワードが同一であれば認証成功、同一でなければ認証失敗である。
【0040】
上述したように、本実施形態ではワンタイムパスワードを用いているが、事前認証と本認証とで同じワンタイムパスワードが1回ずつ有効となるように管理している。すなわち、事前認証で一度使用した認証情報は、事前認証においては二度と使えなくなるが、本認証においては未だ有効である。ワンタイムパスワードは、事前認証と本認証との双方が終了した時点で、完全に無効となる。ワンタイムパスワードを完全に無効にするために、本認証処理部126は、本認証の成功後に認証データベース128からワンタイムパスワードを削除する。
【0041】
本認証結果通知部127は、アドレス判定部125および本認証処理部126による本認証の成否を、サービス提供サーバ11を介してユーザ端末2に通知する。具体的には、本認証結果通知部127は、アドレス判定部125によるアドレス情報の一致判定の結果または本認証処理部126による認証の結果を、本認証の成否としてサービス提供サーバ11の認証要求部112に通知する。認証要求部112は、本認証結果通知部127から受けた通知を、サービス提供部111を介してユーザ端末2の本認証制御部22に転送する。
【0042】
本認証に失敗したことが通知された場合、本認証制御部22は、例えば認証に失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して認証処理を終了する。一方、本認証に成功したことが本認証制御部22に通知された場合、それ以降ユーザ端末2は、サービス提供サーバ11のサービス提供部111による情報通信サービスを受けられる状態となる。
【0043】
以上に説明した本実施形態による認証サーバシステム1の機能構成およびユーザ端末2の機能構成は、ハードウェア、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態の認証サーバシステム1およびユーザ端末2は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。
【0044】
したがって、コンピュータが上記本実施形態の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、認証サーバシステム1やユーザ端末2のコンピュータに読み込ませることによって実現できるものである。上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。例えばユーザ端末2のプログラムは、認証サーバシステム1からダウンロードするようにしてもよい。
【0045】
次に、上記のように構成した本実施形態によるアクセス制御システムの動作を説明する。図4は、本実施形態によるアクセス制御システムの事前認証時における動作例を示すフローチャートである。図5は、本実施形態によるアクセス制御システムの本認証時における動作例を示すフローチャートである。
【0046】
最初に、事前認証時の動作を説明する。図4において、まず、ユーザ端末2のワンタイムパスワード生成部23は、ユーザからの指示によって起動されると、ワンタイムパスワードを自動生成する(ステップS1)。そして、事前認証制御部21は、認証情報(ユーザIDおよびワンタイムパスワード生成部23により生成されたワンタイムパスワード)を中間サーバ13に送信する(ステップS2)。中間サーバ13の認証要求部131がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部132は、その通信パケットを解析し、認証情報および第1の送信元IPアドレスを抽出する(ステップS3)。そして、認証要求部131は、パケット解析部132により抽出された認証情報と第1の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS4)。
【0047】
認証サーバ12の事前認証処理部121は、中間サーバ13から認証情報を受信すると、その受信した認証情報に基づいて事前認証を行う(ステップS5)。ここで、中間サーバ13から受信した認証情報に含まれるワンタイムパスワードによる認証が1回目で、かつ、そのワンタイムパスワードと事前認証処理部121によりワンタイムパスワード生成部23と同じ情報を用いて同じ方法で生成されたワンタイムパスワードとが同一であれば、認証成功となる。一方、ワンタイムパスワードによる認証が2回目以降である場合、または上述のように比較したワンタイムパスワードが同一でない場合は、認証失敗となる。
【0048】
事前認証処理部121は、事前認証に成功したか否かを判定し(ステップS6)、認証成功と判定した場合は、ワンタイムパスワードを認証データベース128に登録するとともに、認証に成功した旨を記憶処理部122および事前認証結果通知部124に通知する。一方、事前認証処理部121は、認証失敗と判定した場合は、その旨を事前認証結果通知部124に通知する。記憶処理部122は、事前認証処理部121から認証成功の通知を受けて、事前認証に用いた認証情報と対応付けて第1の送信元IPアドレスをIPアドレステーブル123に記録する(ステップS7)。上述のように、これ以降事前認証処理部121は、中間サーバ13からの同一の認証情報による認証要求(事前認証)の結果はすべて失敗とする。なお、事前認証に失敗した場合は、記憶処理部122によるステップS7の処理は行わない。
【0049】
事前認証結果通知部124は、事前認証処理部121から認証成功または認証失敗の通知を受けて、その認証結果を中間サーバ13へ送信する(ステップS8)。また、中間サーバ13は、事前認証結果通知部124から受け取った認証結果をユーザ端末2へ送信する(ステップS9)。このようにして認証サーバ12から中間サーバ13を介して事前認証の結果の通知を受け取ったユーザ端末2において、事前認証処理部121は、事前認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS10)、事前認証処理を終了する。
【0050】
次に、本認証の動作を説明する。図5において、まず、ユーザ端末2の本認証制御部22は、ウェブブラウザの機能を利用してサービス提供サーバ11にアクセスしてユーザ端末2の表示装置(図示せず)に認証画面を表示する。そして、ユーザ端末2のユーザが認証画面から認証情報(事前認証時と同じユーザIDおよびワンタイムパスワード)を入力し、送信ボタンを押すと、本認証制御部22は、当該入力された認証情報をサービス提供サーバ11に送信する(ステップS21)。
【0051】
サービス提供サーバ11のサービス提供部111がユーザ端末2から認証情報の通信パケットを受信すると、パケット解析部113は、その通信パケットを解析し、認証情報および第2の送信元IPアドレスを抽出する(ステップS22)。そして、認証要求部112は、パケット解析部113により抽出された認証情報と第2の送信元IPアドレスとを認証サーバ12に送信して認証要求を行う(ステップS23)。
【0052】
認証サーバ12においてサービス提供サーバ11から認証情報を受信すると、アドレス判定部125は、サービス提供サーバ11から送られてくる第2の送信元IPアドレスと、サービス提供サーバ11から送られてくる認証情報に対応付けてIPアドレステーブル123に記憶されている第1の送信元IPアドレスとを比較し(ステップS24)、両者が一致するか否かを判定する(ステップS25)。
【0053】
具体的には、アドレス判定部125は、認証情報に含まれるユーザIDをキーとしてIPアドレステーブル123を参照する。そして、IPアドレステーブル123にそのユーザIDに該当するレコードがない場合は、事前認証が行われていないものとみなし、認証失敗とする。ユーザIDに該当するレコードがあれば、アドレス判定部125は、そのレコードに記憶されている第1の送信元IPアドレスと、サービス提供サーバ11から送られてきた第2の送信元IPアドレスとを比較し、両者が一致しない場合は認証失敗とする。認証失敗とした場合、アドレス判定部125はその旨を本認証結果通知部127に通知する。
【0054】
一方、第1の送信元IPアドレスと第2の送信元IPアドレスとが一致した場合、アドレス判定部125はその旨を本認証処理部126に通知する。本認証処理部126はこの通知を受けて、サービス提供サーバ11から受信した認証情報に基づいて本認証を行う(ステップS26)。なお、ステップS25のアドレス一致判定で認証失敗と判断した場合は、本認証は行わない。
【0055】
本認証処理部126は、本認証に成功したか否かを判定する(ステップS27)。そして、認証成功と判定した場合は、その旨を本認証結果通知部127に通知するとともに、ワンタイムパスワードを無効化する(ステップS28)。ワンタイムパスワードの無効化は、例えば、認証データベース128からワンタイムパスワードを削除するとともに、事前認証にて記録した該当ユーザIDのレコードをIPアドレステーブル123から削除することによって行う。一方、本認証処理部126は、認証失敗と判定した場合は、その旨を本認証結果通知部127に通知する。なお、本認証に失敗した場合は、ステップS28の処理は行わない。
【0056】
本認証結果通知部127は、アドレス判定部125から認証失敗の通知を受けて、あるいは、本認証処理部126から認証成功または認証失敗の通知を受けて、その認証結果をサービス提供サーバ11へ送信する(ステップS29)。また、サービス提供サーバ11は、本認証結果通知部127から受け取った認証結果をユーザ端末2へ送信する(ステップS30)。
【0057】
このようにして認証サーバ12からサービス提供サーバ11を介して本認証の結果の通知を受け取ったユーザ端末2において、本認証制御部22は、本認証に成功または失敗したことをユーザ端末2の表示装置(図示せず)の画面上に表示して(ステップS31)、本認証処理を終了する。ここで、本認証に成功した場合には、サービス提供サーバ11はそれ以降、ユーザ端末2からのアクセスを許可する。
【0058】
以上詳しく説明したように、本実施形態では、情報通信サービス提供者の認証サーバシステム1と、情報通信サービス利用者のユーザ端末2とによりアクセス制御システムを構成し、これら2者間の通信によって認証処理を行うようにしている。すなわち、情報通信サービスへのアクセス制御のための一連の認証処理にプロバイダのゲートウェイ装置が関与しないので、プロバイダの協力を得てゲートウェイ装置に特別な仕組みを設ける必要がない。そのため、情報通信サービス提供者だけでアクセス制御のためのシステムを組むことができる。
【0059】
また、本実施形態では、ユーザ端末2から認証サーバ12に対して同じ認証情報を送信して2回の認証(事前認証および本認証)を行い、2回目の本認証の際には認証情報の送信元端末を示すIPアドレスの一致判定も行うようにしている。これにより、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0060】
すなわち、正当なユーザが本認証を行おうとしている際に、悪意の第三者が偽サイトへの誘導で認証情報を窃取し、第三者の端末からサービス提供サーバ11に認証情報を送って本認証を試みたとする。このとき、正当なユーザが本認証を行っていないと、ワンタイムパスワードは本認証では未だ有効で、IPアドレスの一致判定がなければ第三者の認証が成功してしまう。これが、通常のフィッシング詐欺である。しかし、本実施形態では、本認証の際にIPアドレスの比較も行っている。この場合、第三者の端末のIPアドレスがIPアドレステーブル123に登録されていないので、認証は失敗となる。よって、フィッシング行為を用いた悪意の第三者によるなりすましを確実に防ぐことができる。
【0061】
万が一、第三者が中間サーバ13の存在と事前認証の仕組みを知っていたとして、第三者の端末のIPアドレスを認証サーバ12に登録するために、偽サイトへの誘導で窃取した認証情報を最初に中間サーバ13へ送ったとする。この場合でも、正当なユーザの事前認証が既に行われていて、事前認証に関してはワンタイムパスワードが既に無効になっているので認証失敗となり、第三者のIPアドレスがIPアドレステーブル123に登録されることはない。
【0062】
ところで、認証情報の窃取は、偽サイトへの誘導によるフィッシング行為のみならず、正当なユーザが事前認証を行う際にユーザ端末2から中間サーバ13へアクセスする通信路上での盗聴により行われることもある。仮に、通信路上での盗聴により認証情報が第三者により窃取されたとしても、正当なユーザが送信した認証情報はそのまま認証サーバ12へ送られ、1回目の事前認証を受けることになる。本実施形態では認証情報としてワンタイムパスワードを用いているため、その後に第三者が同じ認証情報を中間サーバ13へ送ったとしても、2回目の事前認証となるので認証は失敗となる。これにより、通信路上の盗聴を用いたなりすましによる不正なアクセスも確実に防ぐことができる。
【0063】
なお、第三者が正当なユーザより先に認証情報を中間サーバ13に送ってしまえば、第三者が事前認証を受けられることになる。しかし、ユーザ端末2から中間サーバ13への接続は自動的に行われるため、事前認証の際にユーザが偽サイトへ誘導される可能性はない。よって、正当なユーザが送信した認証情報が、中間サーバ13に到達しない形で窃取される可能性はない。窃取されるとしたら、ユーザ端末2から中間サーバ13への通信路上での送信内容の傍受であるが、上述しようように、通信路上で認証情報を傍受した第三者が正当なユーザよりも先に中間サーバ13へ認証情報を送れる可能性は事実上ない。これにより、なりすましによる不正なアクセスを確実に拒否する高セキュリティなネットワークシステムを構築することができる。
【0064】
なお、上記実施形態では、ユーザ端末2と認証サーバ12との間に中間サーバ13を置いているが、これは認証サーバ12がファイアウォールで外部ネットワーク3から防御されていることを考慮したものであり、本発明にとって必須の構成ではない。中間サーバ13を用いない場合、例えば、認証要求部131の機能をユーザ端末2に設け、パケット解析部132の機能を認証サーバ12に設けるようにしても良い。
【0065】
また、上記実施形態では、パケット送信元端末のアドレス情報としてIPアドレスを用いているが、本発明はこれに限定されない。例えば、MACアドレスを用いてもよい。
【0066】
また、上記実施形態では、事前認証を行った後に、ユーザ端末2からサービス提供サーバ11にアクセスして認証画面を表示し、ユーザが認証情報を入力するようにしているが、本発明はこれに限定されない。例えば、事前認証に成功した旨の通知を事前認証制御部21が認証サーバ12から中間サーバ13を介して受信したときに、本認証制御部22がサービス提供サーバ11のIPアドレスを自動的に指定して、事前認証時と同じ認証情報を自動的に送信するようにしてもよい。このようにすれば、本認証の際に偽サイトに誘導されるリスクもなくすことができる。
【0067】
また、上記実施形態では、認証サーバシステム1は、事前認証および本認証のそれぞれについて同一のワンタイムパスワードを1回ずつ有効とするように事前認証処理部121および本認証処理部126を動作させるようにしているが、本発明はこれに限定されない。例えば、事前認証と本認証とで別々のワンタイムパスワードを用いるようにしても良い。この場合、ワンタイムパスワード生成部23は、事前認証時と本認証時との両方において異なるワンタイムパスワードを生成する。また、本認証処理部126も自らワンタイムパスワードを生成して事前認証処理部121と同様の認証を行う。したがって、事前認証処理部121は、事前認証の成功時にワンタイムパスワードを認証データベース128に登録する必要はない。
【0068】
また、上記実施形態では、ワンタイムパスワードの生成方法と当該ワンタイムパスワードによる認証方法との一例を示したが、本発明はこれに限定されない。すなわち、これ以外の公知の方法を適用することが可能である。例えば、特許文献1に記載された方法を適用しても良い。
【0069】
また、上記実施形態では、ユーザIDを認証情報の一部として用いる例について説明したが、本発明はこれに限定されない。例えば、ユーザ端末2を識別するデバイスIDを用いても良い。あるいは、ユーザ端末2に装着して使用するUSBメモリ等のデバイスIDを用いても良い。USBメモリを用いる場合、事前認証制御部21、本認証制御部22およびワンタイムパスワード生成部23の機能を当該USBメモリに持たせるようにしても良い。このようにすれば、ユーザ端末2に対するソフトウェアの事前インストールは不要となる。
【0070】
その他、上記実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
【符号の説明】
【0071】
1 認証サーバシステム
2 ユーザ端末
11 サービス提供サーバ
12 認証サーバ
13 中間サーバ
21 事前認証制御部
22 本認証制御部
23 ワンタイムパスワード生成部
113 パケット解析部
121 事前認証処理部
122 記憶処理部
123 IPアドレステーブル
125 アドレス判定部
126 本認証処理部
128 認証データベース
132 パケット解析部
【特許請求の範囲】
【請求項1】
情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。
【請求項2】
上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項1に記載のアクセス制御システム。
【請求項3】
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項1に記載のアクセス制御システム。
【請求項4】
上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項3に記載のアクセス制御システム。
【請求項5】
情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。
【請求項6】
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項5に記載の認証サーバシステム。
【請求項7】
情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
としてコンピュータを機能させるためのアクセス制御プログラム。
【請求項8】
上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項7に記載のアクセス制御プログラム。
【請求項9】
上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項8に記載のアクセス制御プログラム。
【請求項1】
情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムであって、
上記ユーザ端末は、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御部と、
上記事前認証制御部が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御部とを備え、
上記認証サーバシステムは、上記事前認証制御部から送信された上記認証情報に基づいて上記事前認証を行う事前認証処理部と、
上記事前認証処理部による上記事前認証が成功した場合に、上記事前認証制御部により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記本認証制御部から送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証制御部から送信された上記認証情報に基づいて上記本認証を行う本認証処理部とを備えたことを特徴とするアクセス制御システム。
【請求項2】
上記認証サーバシステムは、上記情報通信サービスの提供を行うサービス提供サーバと、上記サービス提供サーバへのアクセス者が正当なユーザであるか否かを確認するための認証を行う認証サーバと、上記ユーザ端末と上記認証サーバとの間に配置された中間サーバとを備え、
上記事前認証処理部、上記記憶処理部、上記アドレス判定部および上記本認証処理部は上記認証サーバに備えられ、
上記事前認証制御部は、上記認証情報を上記中間サーバに向けてパケット送信するようになされ、
上記本認証制御部は、上記認証情報を上記サービス提供サーバに向けてパケット送信するようになされ、
上記中間サーバは、上記事前認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされ、
上記サービス提供サーバは、上記本認証制御部から送られた上記認証情報を上記認証サーバに転送して認証要求を行うようになされていることを特徴とする請求項1に記載のアクセス制御システム。
【請求項3】
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項1に記載のアクセス制御システム。
【請求項4】
上記ユーザ端末は、上記ワンタイムパスワードを生成するワンタイムパスワード生成部と、
上記ワンタイムパスワード生成部により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項3に記載のアクセス制御システム。
【請求項5】
情報通信サービス利用者のユーザ端末と通信ネットワークを介して接続された情報通信サービス提供者の認証サーバシステムであって、
上記ユーザ端末から事前認証のために送信されたパケットより抽出された認証情報に基づいて事前認証を行う事前認証処理部と、
上記事前認証処理部による認証が成功した場合に、上記事前認証のために上記ユーザ端末から送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けてアドレステーブルに記憶させる記憶処理部と、
上記ユーザ端末から本認証のために送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを判定するアドレス判定部と、
上記アドレス判定部によりアドレス情報が一致すると判定された場合に、上記本認証のために送信されたパケットより抽出された上記認証情報に基づいて本認証を行う本認証処理部とを備えたことを特徴とする認証サーバシステム。
【請求項6】
上記認証情報はワンタイムパスワードを含むことを特徴とする請求項5に記載の認証サーバシステム。
【請求項7】
情報通信サービス提供者の認証サーバシステムと、情報通信サービス利用者のユーザ端末とが通信ネットワークを介して接続されたアクセス制御システムにおいて動作するコンピュータ読み取り可能なアクセス制御プログラムであって、
上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、認証情報を事前認証のためにパケット送信する事前認証制御手段、
上記事前認証制御手段が上記認証情報を送信したことに応答して上記認証サーバシステムから事前認証成功が通知された後に、上記ユーザ端末から上記認証サーバシステムのあらかじめ決められた送信先アドレスに向けて、上記認証情報を本認証のためにパケット送信する本認証制御手段、
上記事前認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記事前認証を行う事前認証処理手段、
上記事前認証処理手段による上記事前認証が成功した場合に、上記事前認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報を、当該パケットより抽出された上記認証情報と対応付けて上記認証サーバシステムのアドレステーブルに記憶させる記憶処理手段、
上記本認証制御手段により送信されたパケットより抽出されたパケット送信元端末のアドレス情報と、当該パケットより抽出された上記認証情報に対応付けて上記アドレステーブルに記憶されているアドレス情報とが一致するか否かを上記認証サーバシステムにおいて判定するアドレス判定手段、および
上記アドレス判定手段によりアドレス情報が一致すると判定された場合に、上記本認証制御手段により送信された上記認証情報に基づいて上記認証サーバシステムにおいて上記本認証を行う本認証処理手段
としてコンピュータを機能させるためのアクセス制御プログラム。
【請求項8】
上記ユーザ端末においてワンタイムパスワードを生成するワンタイムパスワード生成手段を更に備え、
上記事前認証制御手段および上記本認証制御手段は、上記ワンタイムパスワード生成手段により生成された上記ワンタイムパスワードを上記認証情報として送信することを特徴とする請求項7に記載のアクセス制御プログラム。
【請求項9】
上記事前認証制御手段は、上記ワンタイムパスワード生成手段により上記ワンタイムパスワードが生成されたときに、上記あらかじめ決められた送信先アドレスを自動的に指定して、上記ワンタイムパスワードを含む上記認証情報をパケット送信することを特徴とする請求項8に記載のアクセス制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−70513(P2011−70513A)
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願番号】特願2009−222441(P2009−222441)
【出願日】平成21年9月28日(2009.9.28)
【出願人】(591030237)日本ユニシス株式会社 (38)
【Fターム(参考)】
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願日】平成21年9月28日(2009.9.28)
【出願人】(591030237)日本ユニシス株式会社 (38)
【Fターム(参考)】
[ Back to top ]