認証システム及び認証プログラム
【課題】よりセキュリティ性の高い認証技術を提供することを目的とする。
【解決手段】認証システムによる認証機能を導入したサーバ装置(登録サーバ)に、予め所定の期間分の認証ファイルを格納しておく。また、クライアント側の装置には、予めサーバ認証プログラムと共に、登録サーバの情報が格納されている。閲覧を希望するWebサイトにアクセスすると、そのサイトを提供するサーバから、アクセス先の情報を取得する。取得したURL、IPアドレス、に基づいて、該当サーバのSEEDパラメータを特定し、このSEEDパラメータと時刻情報に基づいて、認証ファイルを決定する。そして決定した認証ファイルと、Webサイトを提供するサーバから取得した認証ファイルとを比較する。両認証ファイルが一致した場合、該Webサイトが正当サイトであると判断し、一致しない場合、不当サイトであると判断する。
【解決手段】認証システムによる認証機能を導入したサーバ装置(登録サーバ)に、予め所定の期間分の認証ファイルを格納しておく。また、クライアント側の装置には、予めサーバ認証プログラムと共に、登録サーバの情報が格納されている。閲覧を希望するWebサイトにアクセスすると、そのサイトを提供するサーバから、アクセス先の情報を取得する。取得したURL、IPアドレス、に基づいて、該当サーバのSEEDパラメータを特定し、このSEEDパラメータと時刻情報に基づいて、認証ファイルを決定する。そして決定した認証ファイルと、Webサイトを提供するサーバから取得した認証ファイルとを比較する。両認証ファイルが一致した場合、該Webサイトが正当サイトであると判断し、一致しない場合、不当サイトであると判断する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システム及び認証プログラムに関し、例えば、インターネット上のWebサイトにアクセスした際に、当該Webサイトの正当性を検証する技術に関する。
【背景技術】
【0002】
オンラインバンキングやショッピングサイトなどへログイン(ログオン)する際には、一般にIDとパスワードを端末装置からタイプ入力させて、その入力内容に基づいて認証処理が行われている。
ところが最近では、金融機関などからの正規のメールやWebサイトを装い、IDやパスワードの情報を不正に詐取するフィッシングと呼ばれる手法を用いた犯罪が広がっている。
従来、このようなフィッシング詐欺による被害を防止するための技術が、下記の特許文献に提案されている。
【特許文献1】特開2006−338486公報
【0003】
特許文献1には、URL情報検証部において、利用者がWebサイトに送信する情報を入力する前に、送信先のWebサイトが正当なサイトであるか否かを、正当なサイト情報が記録されたホワイトリストを用いて判断し、その判断結果を利用者に通知する技術が提案されている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1で提案されているような、サイトのURLをホワイトリストと照合する認証手法では、URLの成りすましが行われた場合、適切な認証を行うことができないおそれがある。
そこで本発明は、フィッシングによる情報の不正詐取の防止を考慮した、よりセキュリティ性の高い認証技術を提供することを目的とする。
【課題を解決するための手段】
【0005】
(1)前記目的を達成するために、請求項1に記載の発明では、時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う認証システムであって、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶手段と、ネットワークを介して対象サーバにアクセスするアクセス手段と、前記アクセスした対象サーバの識別情報を取得する識別情報取得手段と、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出手段と、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出手段と、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得手段と、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断手段と、前記判断手段により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示手段と、を具備することを特徴とする認証システムを提供する。
(2)請求項2に記載の発明では、前記取得した対象サーバの識別情報と、前記データテーブルにおける登録サーバの識別情報とを照合する照合手段を備え、前記固有パラメータ読出手段は、前記照合手段により、前記対象サーバの識別情報と、前記登録サーバの識別情報とが一致すると判断された場合、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出すことを特徴とする請求項1記載の認証システムを提供する。
(3)請求項3に記載の発明では、前記対象サーバの時刻情報を取得する対象サーバ時刻取得手段を備え、前記時間係数は、前記所定の時刻として、前記取得した対象サーバの時刻情報に基づいて設定される現在の時刻から決定されることを特徴とする請求項1又は請求項2記載の認証システムを提供する。
(4)前記目的を達成するために、請求項4に記載の発明では、時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う際に用いられる認証プログラムであって、記憶手段、アクセス手段、識別情報取得手段、固有パラメータ読出手段、認証情報算出手段、認証情報取得手段、判断手段、表示手段を具備する認証システムに、前記記憶手段が、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶機能と、前記アクセス手段が、ネットワークを介して対象サーバにアクセスするアクセス機能と、前記識別情報取得手段が、前記アクセスした対象サーバの識別情報を取得する識別情報取得機能と、前記固有パラメータ読出手段が、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出機能と、前記認証情報算出手段が、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出機能と、前記認証情報取得手段が、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得機能と、前記判断手段が、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断機能と、前記表示手段が、前記判断機能により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示機能と、を実現させるためのコンピュータ読み取り可能な認証プログラムを提供する。
【発明の効果】
【0006】
本発明によれば、登録サーバへアクセスした際に、所定の時刻から決定される時間係数及びデータテーブルに格納されている固有パラメータから算出した認証情報と、登録サーバに記憶されている所定の時刻に対応する認証情報と、に基づいて該登録サーバの正当性を判断することにより、よりセキュリティ性の高いサーバ認証を行うことができる。
【発明を実施するための最良の形態】
【0007】
(1)本実施形態の概要
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
本実施形態では、ユーザがアクセスしたWebサイトが正当なサイトであるか否かを判断するサイトの認証技術について説明する。
認証システムによる認証機能を導入したサーバ装置(登録サーバ)に、予め所定の期間分の認証ファイルを格納しておく。なお、認証ファイルの名称及びその内容は、登録サーバ毎に固有のSEEDパラメータ及び時間係数に基づいて決定される。
また、クライアント側の装置には、予めサーバ認証プログラムと共に、登録サーバの情報(IPアドレス、URL、SEEDパラメータなど)が格納されている。
【0008】
クライアント装置は、閲覧を希望するWebサイトにアクセスすると、そのサイトを提供するサーバから、URL、IPアドレス、時刻情報、認証ファイルなどアクセス先の情報を取得する。
クライアント装置は、取得したURL、IPアドレス、に基づいて、該当サーバのSEEDパラメータを特定し、このSEEDパラメータと時刻情報に基づいて、認証ファイルを決定する。
そしてクライアント装置は、決定した認証ファイルと、Webサイトを提供するサーバから取得した認証ファイルとを比較する。両認証ファイルが一致した場合、該Webサイトが正当サイトであると判断し、一致しない場合、不当サイトであると判断する。
【0009】
(2)本実施形態の詳細
図1は、本実施の形態に係る認証システムの概略構成を示した図である。
図1に示すように、認証システムは、クライアント端末装置1、Webサーバ2、アップデートサーバ3を備え、これらの装置は、インターネットなどのネットワーク4を介して接続されている。
認証システム提供企業5は、当該認証システムを提供する企業であり、Webサーバ2に記憶する認証ファイルセット271の提供、また、アップデートサーバ3のデータの更新を、オンライン又はオフラインで行う機能を有する。
【0010】
図2(a)は、本実施の形態に係るクライアント端末装置1の概略構成を示した図である。
図2(a)に示すように、クライアント端末装置1は、CPU(中央演算処理装置)11、ROM(リード・オンリ・メモリ)12、RAM(ランダム・アクセス・メモリ)13、入力装置14、出力装置15、通信装置16、記憶装置17を備えている。
これらのデバイスは、データや制御信号などを送受信する際の伝送媒体として機能するバスラインを介して接続されている。
【0011】
CPU11は、ROM12や記憶装置17に記憶されているプログラムなどに従って、各種の処理、計算、条件判断、ディスプレイなどの各種デバイスの制御を行う。
ROM12は、クライアント端末装置1を機能させるための基本的なプログラムやパラメータなどが記憶された読み取り専用メモリである。
RAM13は、CPU11が各種の処理を行う上で必要なプログラムやデータを記憶するワーク領域として機能するメモリであり、CPU11によってデータの書込み及び消去を行うことができる。
【0012】
入力装置14は、例えばキーボードやマウスなどの装置から構成されている。入力装置14は、クライアント端末装置1に対して文字や数字などの各種データを入力するための装置であり、ユーザが検索文字列を入力したりなどクライアント端末装置1に対して所定の入力操作を行う際に使用する。
キーボードは、カナや英文字などを入力するためのキーや数字を入力するためのテンキー、各種機能キー、カーソルキー及びその他のキーによって構成されている。
マウスは、ポインティングデバイスである。GUI(Graphical User Interface)などを用いてクライアント端末装置1を操作する場合、ディスプレイ上に表示されたボタンやアイコンなどをマウスでクリックすることにより、所定の情報の入力を行うことができる。
また、入力装置14として、手書き文字認識機能を有する装置を用いるようにしてもよい。これは、タブレットなどに特殊なペン(スタイラスペンなど)で書いた文字を認識し、入力する機能を備えた装置である。
【0013】
出力装置15は、例えば、入力装置14からの入力情報、Webサイトの認証結果、ブラウザソフトの処理結果などCPU11の処理結果を出力する装置であり、本実施形態では、例えばCRT(ブラウン管)、液晶ディスプレイ、プラズマディスプレイなどのディスプレイによって構成されている。また、出力装置15として、Webサイトの認証結果などを音声で出力するスピーカや、処理データを印字出力するプリンタを別途設けるようにしてもよい。
通信装置16は、クライアント端末装置1をネットワーク4に接続するデバイスである。クライアント端末装置1を公衆回線に接続する場合はモデムなどで構成する。クライアント端末装置1は、通信装置16を介してネットワーク4に接続することによって、Webサーバ2やアップデートサーバ3と接続することができる。
【0014】
記憶装置17は、大容量のハードディスクなどの記憶媒体により構成された、様々なプログラムやデータを記憶する装置である。
記憶装置17には、例えば、認証システムにおける各種処理を実行する際に用いられるサーバ認証プログラム171、認証用データテーブル172、その他、ブラウザソフト、通信(接続)プログラム、OS(オペレーティング・システム)や、外部からの不正アクセスを防止するプログラム、又は管理者がメンテナンスに使用するプログラムなどが記憶されている。
【0015】
サーバ認証プログラム171は、認証システム提供企業5から提供されるプログラムであり、例えば、認証システム提供企業5の運営するサイトなどからダウンロードすることによりクライアント端末装置1にインストールすることができる。
このサーバ認証プログラム171において、認証ファイルの名称や内容データを算出する特定のアルゴリズムが定義されている。
認証用データテーブル172は、認証システムによる認証機能を導入したサーバ装置(以下、登録サーバとする)に関するデータを格納したテーブルであり、サーバ認証プログラム171と共に認証システム提供企業5から提供される。
【0016】
図2(b)は、認証用データテーブル172の一例を示した図である。
図2(b)に示すように、認証用データテーブル172には、登録サーバの識別子であるサーバID、登録サーバのIPアドレス、登録サーバの提供するWebサイトのURL、認証システム提供企業5から与えられるSEED(シード)パラメータなどのデータが登録サーバごとに格納されている。
SEEDパラメータは、固有のパラメータであり、各登録サーバに割り付けられた、例えば、数十桁の文字列で定義されている。
なお、認証用データテーブル172は、セキュリティを向上させるために、暗号化して格納することが好ましい。
【0017】
認証用データテーブル172は、追加登録されたサーバのデータをアップデートサーバ3からダウンロードすることによって更新される。
ここで、認証用データテーブル172の更新処理について簡単に説明する。
クライアント端末装置1のCPU11は、例えば、クライアント端末装置1においてブラウザソフトが起動されるタイミングにおいて、ネットワーク4を介してアップデートサーバ3にアクセスする。
そして、CPU11は、アップデートサーバ3に格納されている最新の登録サーバリストと、クライアント端末装置1に格納されている認証用データテーブル172とを比較し、新たに追加された登録サーバに関する情報(更新情報)が存在するか否かを判断する。
更新情報が存在する場合には、CPU11は、アップデータ(差分データ)をダウンロードし、認証用データテーブル172の内容を更新する。
【0018】
図2(a)の説明に戻り、記憶装置17に記憶されているブラウザソフトは、HTML形式のファイルをディスプレイに表示するソフトウェアである。なお、HTML形式のファイルは、タグ(予約語の一種)などを用いて、文書の構造、画像などのある場所、リンク先などを記述したファイルである。
通信(接続)プログラムは、クライアント端末装置1をネットワーク4(プロバイダを介してインターネットに接続する場合はプロバイダ)に接続するためのプログラムである。通信(接続)プログラムによって、クライアント端末装置1とネットワーク(通信網)との接続を制御することができる。
【0019】
図3(a)は、本実施の形態に係るWebサーバ2の概略構成を示した図である。
図3(a)に示すように、Webサーバ2は、CPU21、ROM22、RAM23、入力装置24、出力装置25、通信装置26、記憶装置27を備えている。
これらのデバイスは、データや制御信号などを送受信する際の伝送媒体として機能するバスラインを介して接続されている。
なお、Webサーバ2のCPU21、ROM22、RAM23、入力装置24、出力装置25、通信装置26は、上述したクライアント端末装置1における各装置と同様の機能、構成を有するため、詳細な説明は省略する。
【0020】
Webサーバ2における記憶装置27は、大容量のハードディスクなどの記憶媒体により構成された、様々なプログラムやデータを記憶する装置である。
記憶装置27には、例えば、認証システムにおける各種処理を実行する際に用いられる認証ファイルセット271や当該Webサーバ2の提供するコンテンツを格納するコンテンツデータベース272、その他、ブラウザソフト、通信(接続)プログラム、OS(オペレーティング・システム)や、外部からの不正アクセスを防止するプログラム、又は管理者がメンテナンスに使用するプログラムなどが記憶されている。
【0021】
認証ファイルセット271は、サーバの認証処理の際、アクセスしたクライアント端末装置1へ送信する、所定の時間帯において有効な認証ファイルが、所定の期間分(例えば、2年分)用意されたファイル群である。
認証ファイルは、その名称と内容(テキストデータ)が、時刻情報に基づいて特定される時間係数と、各登録サーバに割り付けられたSEEDパラメータとを用いて、特定のアルゴリズムに従って算出(生成)されたファイルである。
各認証ファイルは、算出する際に用いた時刻情報に基づいて該ファイルが認証処理において有効となる時間帯が定義されている。
認証システム提供企業5は、認証ファイルセット271を作成(生成)した後、この認証ファイルセット271を該当する登録サーバ(Webサーバ2)へ、オンライン又はオフラインで提供する。
【0022】
図3(b)は、認証ファイルセット271の構造の一例を示した図である。
図3(b)に示すように、日付単位で作成された各フォルダの内部に、時間(1時間)単位に作成された24のフォルダが設けられている。そして、各24の時間フォルダには、該当する時間帯において有効な認証ファイルが格納されている。
本実施形態では、有効な認証ファイルの変更を15分ごとに行うために、各時間フォルダには、4つの認証ファイルが格納されている。
なお、各認証ファイルの有効時間帯は、認証ファイルの名称を所定のアルゴリズムに基づいて解析することにより求めることができる。
本実施形態では、1つの認証ファイルが有効な時間間隔を15分に設定しているが、この認証ファイルの有効時間間隔はこれに限定されるものではなく、任意の値に設定することができる。
【0023】
次に、このように構成された認証システムにおける認証処理の動作について説明する。
図4は、本実施の形態に係る認証システムにおけるクライアント端末装置1によるWebサイトの認証処理の手順を示したフローチャートである。
クライアント端末装置1において、ブラウザソフトが起動すると、CPU11は、ユーザから特定のWebサイトへのアクセス要求の入力の有無を監視する(ステップ11)。
ユーザは、例えば、アクセスを希望するWebサイトのURLを指定することによって、アクセス要求を入力することができる。
【0024】
特定のWebサイトへのアクセス要求の入力が検出されない場合(ステップ11;N)、CPU11は、引き続きアクセス要求の入力の監視を行う。
特定のWebサイトへのアクセス要求の入力が検出された場合(ステップ11;Y)、CPU11は、入力されたアクセス要求を受け付け、該アクセス要求において指定されたWebサイトへアクセスする(ステップ12)。詳しくは、CPU11は、指定されたWebサイトを提供するWebサーバ2へ、アクセス要求を送信する。このときCPU11は、クライアント端末装置1のIPアドレスの情報をアクセス要求と共に送信する。
【0025】
Webサーバ2のCPU21は、クライアント端末装置1から送信されたアクセス要求を受信する(ステップ31)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、WebサイトのURL、及び、Webサーバ2のIPアドレスの情報を所定の記憶領域から読み出し、アクセス要求と共に受信したIPアドレスで特定されるクライアント端末装置1へ送信する(ステップ32)。
【0026】
クライアント端末装置1のCPU11は、Webサーバ2から送信されたWebサイトのURL、及び、Webサーバ2のIPアドレスの情報を受信する(ステップ13)。CPU21は、受信したURL、IPアドレスの情報をRAM13に格納する。
続いてCPU11は、記憶装置17から認証用データテーブル172を読み出し、この認証用データテーブル172と、受信したWebサイトのURL、及び、Webサーバ2のIPアドレスとを照合する。
そしてCPU11は、この照合結果に基づいて、アクセス要求の送信先のWebサイトを提供しているWebサーバ2が登録サーバで有るか否かを判断する(ステップ14)。
【0027】
ここでCPU11は、WebサイトのURL、及び、Webサーバ2のIPアドレスの双方が一致するサーバIDが存在する場合、アクセス要求の送信先のWebサイトを提供しているWebサーバは、登録サーバで有ると判断する。
なお、本実施形態では、WebサイトのURL、及び、Webサーバ2のIPアドレスの双方が一致した場合のみ、登録サーバで有ると判断し、WebサイトのURL、及び、Webサーバ2のIPアドレスのいずれか一方が異なる場合には、登録サーバでないと判断する。
【0028】
Webサーバ2が登録サーバでない場合(ステップ14;N)、CPU11は、そのままメインルーチンにリターンする。
Webサーバ2が登録サーバである場合(ステップ14;Y)、CPU11は、該Webサーバ2に対応する登録サーバ(サーバID)のSEEDパラメータを認証用データテーブル172から読み出し、RAM13に格納する。
続いて、CPU11は、Webサーバ2に設定されている時刻情報を確認するための時刻確認要求をWebサーバ2へ送信する(ステップ15)。
【0029】
Webサーバ2のCPU21は、クライアント端末装置1から送信された時刻確認要求を受信する(ステップ33)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、Webサーバ2に設定されている時刻情報をクライアント端末装置1へ送信する(ステップ34)。
【0030】
クライアント端末装置1のCPU11は、Webサーバ2から送信された時刻情報を受信する(ステップ16)。CPU11は、受信したWebサーバ2の時刻情報をRAM13に格納する。
そしてCPU11は、Webサーバ2の時刻情報に基づいて特定される時間係数と、該Webサーバ2に割り付けられたSEEDパラメータとを用いて、特定のアルゴリズムに従い、認証ファイルの名称と内容(テキストデータ)を決定する(ステップ17)。
なお、認証ファイルの名称と内容は、それぞれ異なるアルゴリズムに従って算出することにより決定される。
ここで用いられるアルゴリズムは、認証システム提供企業5が認証ファイルセット271の個々の認証ファイルを生成する際に用いられたアルゴリズムと同じである。
CPU11は、Webサーバ2に格納されている認証ファイルセット271における現在の時刻に対応する認証ファイルの送信要求をWebサーバ2へ送信する(ステップ18)。
【0031】
Webサーバ2のCPU21は、クライアント端末装置1から送信された認証ファイルの送信要求を受信する(ステップ35)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、現在の時刻に対応(該当)する認証ファイルを認証ファイルセット271から読み出す(ステップ36)。CPU21は、読み出した認証ファイルをRAM23に格納する。
CPU21は、この認証ファイルをクライアント端末装置1へ送信し(ステップ37)、そしてメインルーチンにリターンする。
【0032】
クライアント端末装置1のCPU11は、Webサーバ2から送信された認証ファイルを受信する(ステップ19)。CPU11は、受信した認証ファイルをRAM13に格納する。
続いてCPU11は、Webサーバ2から受信した認証ファイルと、先のステップ17の処理で決定した認証ファイルとを照合する。
そしてCPU11は、この照合結果に基づいて、Webサーバ2が正当な登録サーバであるか否か、つまり、Webサーバ2の提供するWebサイトが正当であるか否かを判断する(ステップ20)。
ここでCPU11は、Webサーバ2から受信した認証ファイルと、先のステップ17の処理で決定した認証ファイルとが一致する場合、Webサーバ2は正当な登録サーバであり、該Webサーバ2の提供するWebサイトが正当であると判断する。
【0033】
Webサイトが正当である場合(ステップ20;Y)、CPU11は、該Webサイトが正当なサイトである旨を示す正当サイトマークをディスプレイ上に表示し(ステップ21)、メインルーチンにリターンする。
図5(a)は、正当サイトマーク表示の一例を示した図である。
Webサイトが正当である場合には、図5(a)に示すような、当該サイトが安全であることを示す3つの緑(グリーン)のランプが点灯するように構成される。
図5(a)に示す3のランプは、認証用データテーブル172におけるWebサイトのURL、IPアドレスが一致し、さらに、認証ファイルが一致したことを示す。
なお、Webサイトの安全性を示すマークは、ブラウザの表示画面の上部、下部、右端又は左端などディスプレイ上の任意の位置に表示することができる。
また、Webサイトの安全性を示すマークの表記方法は、3つのランプ表記に限定されるものではなく、例えば、1つ又は2つのランプ表記を用いるようにしてもよい。
【0034】
Webサイトが正当でない場合(ステップ20;N)、CPU11は、該Webサイトが正当なサイトでない旨を示すアラート(警告)マークをディスプレイ上に表示し(ステップ22)、メインルーチンにリターンする。
図5(b)は、アラートマーク表示の一例を示した図である。
Webサイトが正当でない場合には、図5(b)に示すような、当該サイトが正当な登録サーバから提供されていないことを示す3つの赤(レッド)のランプが点灯するように構成される。
なお、ここでは、認証ファイルが一致しない場合には、認証用データテーブル172におけるWebサイトのURL、IPアドレスが一致した場合であっても、3つ全てのランプを赤色表示させ、ユーザに注意を促す。
【0035】
このように本実施形態では、Webサーバ2から送信された、認証ファイルと、クライアント端末装置1で決定(算出)した認証ファイルとにおける名称及びその内容が一致した場合に、該Webサーバ2が正当な登録サーバであると判断する。
これにより、登録サーバのURLやIPアドレスに成りすました不当なサーバを見破ることができる。これにより、登録サーバの認証精度を向上させることができる。
また、本実施形態では、正当な登録サーバの提供するWebサイトを表示する際に、正当サイトマークをディスプレイ上に表示し、不当なサーバの提供するWebサイトを表示する際に、アラートマークをディスプレイ上に表示することにより、ユーザは容易に閲覧中(アクセス中)のWebサイトの安全性を認識することができる。
【0036】
上述した本実施形態では、Webサーバ2への時刻確認要求と、認証ファイル要求を別々のタイミングで行っているが、これらの情報の要求処理は、例えば、同じタイミング(同時)に行うようにしてもよい。
この場合、クライアント端末装置1のCPU11は、Webサーバ2から時刻情報を受信した後に、認証ファイルの決定(算出)処理を行い、そして、Webサーバ2から認証ファイルを受信した後に、Webサイトの正当性の判断処理を行う。
【0037】
上述した本実施形態では、認証用データテーブル172において、登録サーバのIPアドレスと登録サーバの提供するWebサイトのURLとが一対一の対応を有しているが、認証用データテーブル172におけるIPアドレスとWebサイトのURLとの対応関係はこれに限定されるものではない。
例えば、1つのIPアドレスに対して複数のWebサイトのURLを対応付けて登録することも可能であり、また、1つのWebサイトのURLに対して複数のIPアドレスを対応付けて登録することも可能である。
【0038】
また、上述した本実施形態では、認証用データテーブル172において、登録サーバのIPアドレスと登録サーバの提供するWebサイトのURLとの双方が格納されているが、認証用データテーブル172の構成はこれに限定されるものではない。
例えば、サーバIDに対して、登録サーバのIPアドレスと、登録サーバの提供するWebサイトのURLのうちのいずれか一方が関連付けられている構成であってもよい。
この場合、クライアント端末装置1のCPU11は、ステップ14の処理において、登録サーバのIPアドレスと、登録サーバの提供するWebサイトのURLのうちのいずれか一方(対応情報があるもの)に基づいて、アクセス要求の送信先のWebサイトを提供しているWebサーバ2が登録サーバで有るか否かを判断するようにする。
【図面の簡単な説明】
【0039】
【図1】本実施の形態に係る認証システムの概略構成を示した図である。
【図2】(a)は本実施の形態に係るクライアント端末装置の概略構成を示した図であり、(b)は認証用データテーブルの一例を示した図である。
【図3】(a)は本実施の形態に係るWebサーバの概略構成を示した図であり、(b)は認証ファイルセットの構造の一例を示した図である。
【図4】本実施の形態に係る認証システムにおけるクライアント装置によるWebサイトの認証処理の手順を示したフローチャートである。
【図5】(a)は正当サイトマーク表示の一例を示した図であり、(b)はアラートマーク表示の一例を示した図である。
【符号の説明】
【0040】
1 クライアント端末装置
2 Webサーバ
3 アップデートサーバ
4 ネットワーク
5 認証システム提供企業
11 CPU
12 ROM
13 RAM
14 入力装置
15 出力装置
16 通信装置
17 記憶装置
21 CPU
22 ROM
23 RAM
24 入力装置
25 出力装置
26 通信装置
27 記憶装置
171 サーバ認証プログラム
172 認証用データテーブル
271 認証ファイルセット
272 コンテンツデータベース
【技術分野】
【0001】
本発明は、認証システム及び認証プログラムに関し、例えば、インターネット上のWebサイトにアクセスした際に、当該Webサイトの正当性を検証する技術に関する。
【背景技術】
【0002】
オンラインバンキングやショッピングサイトなどへログイン(ログオン)する際には、一般にIDとパスワードを端末装置からタイプ入力させて、その入力内容に基づいて認証処理が行われている。
ところが最近では、金融機関などからの正規のメールやWebサイトを装い、IDやパスワードの情報を不正に詐取するフィッシングと呼ばれる手法を用いた犯罪が広がっている。
従来、このようなフィッシング詐欺による被害を防止するための技術が、下記の特許文献に提案されている。
【特許文献1】特開2006−338486公報
【0003】
特許文献1には、URL情報検証部において、利用者がWebサイトに送信する情報を入力する前に、送信先のWebサイトが正当なサイトであるか否かを、正当なサイト情報が記録されたホワイトリストを用いて判断し、その判断結果を利用者に通知する技術が提案されている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1で提案されているような、サイトのURLをホワイトリストと照合する認証手法では、URLの成りすましが行われた場合、適切な認証を行うことができないおそれがある。
そこで本発明は、フィッシングによる情報の不正詐取の防止を考慮した、よりセキュリティ性の高い認証技術を提供することを目的とする。
【課題を解決するための手段】
【0005】
(1)前記目的を達成するために、請求項1に記載の発明では、時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う認証システムであって、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶手段と、ネットワークを介して対象サーバにアクセスするアクセス手段と、前記アクセスした対象サーバの識別情報を取得する識別情報取得手段と、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出手段と、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出手段と、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得手段と、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断手段と、前記判断手段により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示手段と、を具備することを特徴とする認証システムを提供する。
(2)請求項2に記載の発明では、前記取得した対象サーバの識別情報と、前記データテーブルにおける登録サーバの識別情報とを照合する照合手段を備え、前記固有パラメータ読出手段は、前記照合手段により、前記対象サーバの識別情報と、前記登録サーバの識別情報とが一致すると判断された場合、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出すことを特徴とする請求項1記載の認証システムを提供する。
(3)請求項3に記載の発明では、前記対象サーバの時刻情報を取得する対象サーバ時刻取得手段を備え、前記時間係数は、前記所定の時刻として、前記取得した対象サーバの時刻情報に基づいて設定される現在の時刻から決定されることを特徴とする請求項1又は請求項2記載の認証システムを提供する。
(4)前記目的を達成するために、請求項4に記載の発明では、時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う際に用いられる認証プログラムであって、記憶手段、アクセス手段、識別情報取得手段、固有パラメータ読出手段、認証情報算出手段、認証情報取得手段、判断手段、表示手段を具備する認証システムに、前記記憶手段が、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶機能と、前記アクセス手段が、ネットワークを介して対象サーバにアクセスするアクセス機能と、前記識別情報取得手段が、前記アクセスした対象サーバの識別情報を取得する識別情報取得機能と、前記固有パラメータ読出手段が、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出機能と、前記認証情報算出手段が、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出機能と、前記認証情報取得手段が、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得機能と、前記判断手段が、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断機能と、前記表示手段が、前記判断機能により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示機能と、を実現させるためのコンピュータ読み取り可能な認証プログラムを提供する。
【発明の効果】
【0006】
本発明によれば、登録サーバへアクセスした際に、所定の時刻から決定される時間係数及びデータテーブルに格納されている固有パラメータから算出した認証情報と、登録サーバに記憶されている所定の時刻に対応する認証情報と、に基づいて該登録サーバの正当性を判断することにより、よりセキュリティ性の高いサーバ認証を行うことができる。
【発明を実施するための最良の形態】
【0007】
(1)本実施形態の概要
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
本実施形態では、ユーザがアクセスしたWebサイトが正当なサイトであるか否かを判断するサイトの認証技術について説明する。
認証システムによる認証機能を導入したサーバ装置(登録サーバ)に、予め所定の期間分の認証ファイルを格納しておく。なお、認証ファイルの名称及びその内容は、登録サーバ毎に固有のSEEDパラメータ及び時間係数に基づいて決定される。
また、クライアント側の装置には、予めサーバ認証プログラムと共に、登録サーバの情報(IPアドレス、URL、SEEDパラメータなど)が格納されている。
【0008】
クライアント装置は、閲覧を希望するWebサイトにアクセスすると、そのサイトを提供するサーバから、URL、IPアドレス、時刻情報、認証ファイルなどアクセス先の情報を取得する。
クライアント装置は、取得したURL、IPアドレス、に基づいて、該当サーバのSEEDパラメータを特定し、このSEEDパラメータと時刻情報に基づいて、認証ファイルを決定する。
そしてクライアント装置は、決定した認証ファイルと、Webサイトを提供するサーバから取得した認証ファイルとを比較する。両認証ファイルが一致した場合、該Webサイトが正当サイトであると判断し、一致しない場合、不当サイトであると判断する。
【0009】
(2)本実施形態の詳細
図1は、本実施の形態に係る認証システムの概略構成を示した図である。
図1に示すように、認証システムは、クライアント端末装置1、Webサーバ2、アップデートサーバ3を備え、これらの装置は、インターネットなどのネットワーク4を介して接続されている。
認証システム提供企業5は、当該認証システムを提供する企業であり、Webサーバ2に記憶する認証ファイルセット271の提供、また、アップデートサーバ3のデータの更新を、オンライン又はオフラインで行う機能を有する。
【0010】
図2(a)は、本実施の形態に係るクライアント端末装置1の概略構成を示した図である。
図2(a)に示すように、クライアント端末装置1は、CPU(中央演算処理装置)11、ROM(リード・オンリ・メモリ)12、RAM(ランダム・アクセス・メモリ)13、入力装置14、出力装置15、通信装置16、記憶装置17を備えている。
これらのデバイスは、データや制御信号などを送受信する際の伝送媒体として機能するバスラインを介して接続されている。
【0011】
CPU11は、ROM12や記憶装置17に記憶されているプログラムなどに従って、各種の処理、計算、条件判断、ディスプレイなどの各種デバイスの制御を行う。
ROM12は、クライアント端末装置1を機能させるための基本的なプログラムやパラメータなどが記憶された読み取り専用メモリである。
RAM13は、CPU11が各種の処理を行う上で必要なプログラムやデータを記憶するワーク領域として機能するメモリであり、CPU11によってデータの書込み及び消去を行うことができる。
【0012】
入力装置14は、例えばキーボードやマウスなどの装置から構成されている。入力装置14は、クライアント端末装置1に対して文字や数字などの各種データを入力するための装置であり、ユーザが検索文字列を入力したりなどクライアント端末装置1に対して所定の入力操作を行う際に使用する。
キーボードは、カナや英文字などを入力するためのキーや数字を入力するためのテンキー、各種機能キー、カーソルキー及びその他のキーによって構成されている。
マウスは、ポインティングデバイスである。GUI(Graphical User Interface)などを用いてクライアント端末装置1を操作する場合、ディスプレイ上に表示されたボタンやアイコンなどをマウスでクリックすることにより、所定の情報の入力を行うことができる。
また、入力装置14として、手書き文字認識機能を有する装置を用いるようにしてもよい。これは、タブレットなどに特殊なペン(スタイラスペンなど)で書いた文字を認識し、入力する機能を備えた装置である。
【0013】
出力装置15は、例えば、入力装置14からの入力情報、Webサイトの認証結果、ブラウザソフトの処理結果などCPU11の処理結果を出力する装置であり、本実施形態では、例えばCRT(ブラウン管)、液晶ディスプレイ、プラズマディスプレイなどのディスプレイによって構成されている。また、出力装置15として、Webサイトの認証結果などを音声で出力するスピーカや、処理データを印字出力するプリンタを別途設けるようにしてもよい。
通信装置16は、クライアント端末装置1をネットワーク4に接続するデバイスである。クライアント端末装置1を公衆回線に接続する場合はモデムなどで構成する。クライアント端末装置1は、通信装置16を介してネットワーク4に接続することによって、Webサーバ2やアップデートサーバ3と接続することができる。
【0014】
記憶装置17は、大容量のハードディスクなどの記憶媒体により構成された、様々なプログラムやデータを記憶する装置である。
記憶装置17には、例えば、認証システムにおける各種処理を実行する際に用いられるサーバ認証プログラム171、認証用データテーブル172、その他、ブラウザソフト、通信(接続)プログラム、OS(オペレーティング・システム)や、外部からの不正アクセスを防止するプログラム、又は管理者がメンテナンスに使用するプログラムなどが記憶されている。
【0015】
サーバ認証プログラム171は、認証システム提供企業5から提供されるプログラムであり、例えば、認証システム提供企業5の運営するサイトなどからダウンロードすることによりクライアント端末装置1にインストールすることができる。
このサーバ認証プログラム171において、認証ファイルの名称や内容データを算出する特定のアルゴリズムが定義されている。
認証用データテーブル172は、認証システムによる認証機能を導入したサーバ装置(以下、登録サーバとする)に関するデータを格納したテーブルであり、サーバ認証プログラム171と共に認証システム提供企業5から提供される。
【0016】
図2(b)は、認証用データテーブル172の一例を示した図である。
図2(b)に示すように、認証用データテーブル172には、登録サーバの識別子であるサーバID、登録サーバのIPアドレス、登録サーバの提供するWebサイトのURL、認証システム提供企業5から与えられるSEED(シード)パラメータなどのデータが登録サーバごとに格納されている。
SEEDパラメータは、固有のパラメータであり、各登録サーバに割り付けられた、例えば、数十桁の文字列で定義されている。
なお、認証用データテーブル172は、セキュリティを向上させるために、暗号化して格納することが好ましい。
【0017】
認証用データテーブル172は、追加登録されたサーバのデータをアップデートサーバ3からダウンロードすることによって更新される。
ここで、認証用データテーブル172の更新処理について簡単に説明する。
クライアント端末装置1のCPU11は、例えば、クライアント端末装置1においてブラウザソフトが起動されるタイミングにおいて、ネットワーク4を介してアップデートサーバ3にアクセスする。
そして、CPU11は、アップデートサーバ3に格納されている最新の登録サーバリストと、クライアント端末装置1に格納されている認証用データテーブル172とを比較し、新たに追加された登録サーバに関する情報(更新情報)が存在するか否かを判断する。
更新情報が存在する場合には、CPU11は、アップデータ(差分データ)をダウンロードし、認証用データテーブル172の内容を更新する。
【0018】
図2(a)の説明に戻り、記憶装置17に記憶されているブラウザソフトは、HTML形式のファイルをディスプレイに表示するソフトウェアである。なお、HTML形式のファイルは、タグ(予約語の一種)などを用いて、文書の構造、画像などのある場所、リンク先などを記述したファイルである。
通信(接続)プログラムは、クライアント端末装置1をネットワーク4(プロバイダを介してインターネットに接続する場合はプロバイダ)に接続するためのプログラムである。通信(接続)プログラムによって、クライアント端末装置1とネットワーク(通信網)との接続を制御することができる。
【0019】
図3(a)は、本実施の形態に係るWebサーバ2の概略構成を示した図である。
図3(a)に示すように、Webサーバ2は、CPU21、ROM22、RAM23、入力装置24、出力装置25、通信装置26、記憶装置27を備えている。
これらのデバイスは、データや制御信号などを送受信する際の伝送媒体として機能するバスラインを介して接続されている。
なお、Webサーバ2のCPU21、ROM22、RAM23、入力装置24、出力装置25、通信装置26は、上述したクライアント端末装置1における各装置と同様の機能、構成を有するため、詳細な説明は省略する。
【0020】
Webサーバ2における記憶装置27は、大容量のハードディスクなどの記憶媒体により構成された、様々なプログラムやデータを記憶する装置である。
記憶装置27には、例えば、認証システムにおける各種処理を実行する際に用いられる認証ファイルセット271や当該Webサーバ2の提供するコンテンツを格納するコンテンツデータベース272、その他、ブラウザソフト、通信(接続)プログラム、OS(オペレーティング・システム)や、外部からの不正アクセスを防止するプログラム、又は管理者がメンテナンスに使用するプログラムなどが記憶されている。
【0021】
認証ファイルセット271は、サーバの認証処理の際、アクセスしたクライアント端末装置1へ送信する、所定の時間帯において有効な認証ファイルが、所定の期間分(例えば、2年分)用意されたファイル群である。
認証ファイルは、その名称と内容(テキストデータ)が、時刻情報に基づいて特定される時間係数と、各登録サーバに割り付けられたSEEDパラメータとを用いて、特定のアルゴリズムに従って算出(生成)されたファイルである。
各認証ファイルは、算出する際に用いた時刻情報に基づいて該ファイルが認証処理において有効となる時間帯が定義されている。
認証システム提供企業5は、認証ファイルセット271を作成(生成)した後、この認証ファイルセット271を該当する登録サーバ(Webサーバ2)へ、オンライン又はオフラインで提供する。
【0022】
図3(b)は、認証ファイルセット271の構造の一例を示した図である。
図3(b)に示すように、日付単位で作成された各フォルダの内部に、時間(1時間)単位に作成された24のフォルダが設けられている。そして、各24の時間フォルダには、該当する時間帯において有効な認証ファイルが格納されている。
本実施形態では、有効な認証ファイルの変更を15分ごとに行うために、各時間フォルダには、4つの認証ファイルが格納されている。
なお、各認証ファイルの有効時間帯は、認証ファイルの名称を所定のアルゴリズムに基づいて解析することにより求めることができる。
本実施形態では、1つの認証ファイルが有効な時間間隔を15分に設定しているが、この認証ファイルの有効時間間隔はこれに限定されるものではなく、任意の値に設定することができる。
【0023】
次に、このように構成された認証システムにおける認証処理の動作について説明する。
図4は、本実施の形態に係る認証システムにおけるクライアント端末装置1によるWebサイトの認証処理の手順を示したフローチャートである。
クライアント端末装置1において、ブラウザソフトが起動すると、CPU11は、ユーザから特定のWebサイトへのアクセス要求の入力の有無を監視する(ステップ11)。
ユーザは、例えば、アクセスを希望するWebサイトのURLを指定することによって、アクセス要求を入力することができる。
【0024】
特定のWebサイトへのアクセス要求の入力が検出されない場合(ステップ11;N)、CPU11は、引き続きアクセス要求の入力の監視を行う。
特定のWebサイトへのアクセス要求の入力が検出された場合(ステップ11;Y)、CPU11は、入力されたアクセス要求を受け付け、該アクセス要求において指定されたWebサイトへアクセスする(ステップ12)。詳しくは、CPU11は、指定されたWebサイトを提供するWebサーバ2へ、アクセス要求を送信する。このときCPU11は、クライアント端末装置1のIPアドレスの情報をアクセス要求と共に送信する。
【0025】
Webサーバ2のCPU21は、クライアント端末装置1から送信されたアクセス要求を受信する(ステップ31)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、WebサイトのURL、及び、Webサーバ2のIPアドレスの情報を所定の記憶領域から読み出し、アクセス要求と共に受信したIPアドレスで特定されるクライアント端末装置1へ送信する(ステップ32)。
【0026】
クライアント端末装置1のCPU11は、Webサーバ2から送信されたWebサイトのURL、及び、Webサーバ2のIPアドレスの情報を受信する(ステップ13)。CPU21は、受信したURL、IPアドレスの情報をRAM13に格納する。
続いてCPU11は、記憶装置17から認証用データテーブル172を読み出し、この認証用データテーブル172と、受信したWebサイトのURL、及び、Webサーバ2のIPアドレスとを照合する。
そしてCPU11は、この照合結果に基づいて、アクセス要求の送信先のWebサイトを提供しているWebサーバ2が登録サーバで有るか否かを判断する(ステップ14)。
【0027】
ここでCPU11は、WebサイトのURL、及び、Webサーバ2のIPアドレスの双方が一致するサーバIDが存在する場合、アクセス要求の送信先のWebサイトを提供しているWebサーバは、登録サーバで有ると判断する。
なお、本実施形態では、WebサイトのURL、及び、Webサーバ2のIPアドレスの双方が一致した場合のみ、登録サーバで有ると判断し、WebサイトのURL、及び、Webサーバ2のIPアドレスのいずれか一方が異なる場合には、登録サーバでないと判断する。
【0028】
Webサーバ2が登録サーバでない場合(ステップ14;N)、CPU11は、そのままメインルーチンにリターンする。
Webサーバ2が登録サーバである場合(ステップ14;Y)、CPU11は、該Webサーバ2に対応する登録サーバ(サーバID)のSEEDパラメータを認証用データテーブル172から読み出し、RAM13に格納する。
続いて、CPU11は、Webサーバ2に設定されている時刻情報を確認するための時刻確認要求をWebサーバ2へ送信する(ステップ15)。
【0029】
Webサーバ2のCPU21は、クライアント端末装置1から送信された時刻確認要求を受信する(ステップ33)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、Webサーバ2に設定されている時刻情報をクライアント端末装置1へ送信する(ステップ34)。
【0030】
クライアント端末装置1のCPU11は、Webサーバ2から送信された時刻情報を受信する(ステップ16)。CPU11は、受信したWebサーバ2の時刻情報をRAM13に格納する。
そしてCPU11は、Webサーバ2の時刻情報に基づいて特定される時間係数と、該Webサーバ2に割り付けられたSEEDパラメータとを用いて、特定のアルゴリズムに従い、認証ファイルの名称と内容(テキストデータ)を決定する(ステップ17)。
なお、認証ファイルの名称と内容は、それぞれ異なるアルゴリズムに従って算出することにより決定される。
ここで用いられるアルゴリズムは、認証システム提供企業5が認証ファイルセット271の個々の認証ファイルを生成する際に用いられたアルゴリズムと同じである。
CPU11は、Webサーバ2に格納されている認証ファイルセット271における現在の時刻に対応する認証ファイルの送信要求をWebサーバ2へ送信する(ステップ18)。
【0031】
Webサーバ2のCPU21は、クライアント端末装置1から送信された認証ファイルの送信要求を受信する(ステップ35)。CPU21は、受信したデータをRAM23に格納する。
そして、CPU21は、現在の時刻に対応(該当)する認証ファイルを認証ファイルセット271から読み出す(ステップ36)。CPU21は、読み出した認証ファイルをRAM23に格納する。
CPU21は、この認証ファイルをクライアント端末装置1へ送信し(ステップ37)、そしてメインルーチンにリターンする。
【0032】
クライアント端末装置1のCPU11は、Webサーバ2から送信された認証ファイルを受信する(ステップ19)。CPU11は、受信した認証ファイルをRAM13に格納する。
続いてCPU11は、Webサーバ2から受信した認証ファイルと、先のステップ17の処理で決定した認証ファイルとを照合する。
そしてCPU11は、この照合結果に基づいて、Webサーバ2が正当な登録サーバであるか否か、つまり、Webサーバ2の提供するWebサイトが正当であるか否かを判断する(ステップ20)。
ここでCPU11は、Webサーバ2から受信した認証ファイルと、先のステップ17の処理で決定した認証ファイルとが一致する場合、Webサーバ2は正当な登録サーバであり、該Webサーバ2の提供するWebサイトが正当であると判断する。
【0033】
Webサイトが正当である場合(ステップ20;Y)、CPU11は、該Webサイトが正当なサイトである旨を示す正当サイトマークをディスプレイ上に表示し(ステップ21)、メインルーチンにリターンする。
図5(a)は、正当サイトマーク表示の一例を示した図である。
Webサイトが正当である場合には、図5(a)に示すような、当該サイトが安全であることを示す3つの緑(グリーン)のランプが点灯するように構成される。
図5(a)に示す3のランプは、認証用データテーブル172におけるWebサイトのURL、IPアドレスが一致し、さらに、認証ファイルが一致したことを示す。
なお、Webサイトの安全性を示すマークは、ブラウザの表示画面の上部、下部、右端又は左端などディスプレイ上の任意の位置に表示することができる。
また、Webサイトの安全性を示すマークの表記方法は、3つのランプ表記に限定されるものではなく、例えば、1つ又は2つのランプ表記を用いるようにしてもよい。
【0034】
Webサイトが正当でない場合(ステップ20;N)、CPU11は、該Webサイトが正当なサイトでない旨を示すアラート(警告)マークをディスプレイ上に表示し(ステップ22)、メインルーチンにリターンする。
図5(b)は、アラートマーク表示の一例を示した図である。
Webサイトが正当でない場合には、図5(b)に示すような、当該サイトが正当な登録サーバから提供されていないことを示す3つの赤(レッド)のランプが点灯するように構成される。
なお、ここでは、認証ファイルが一致しない場合には、認証用データテーブル172におけるWebサイトのURL、IPアドレスが一致した場合であっても、3つ全てのランプを赤色表示させ、ユーザに注意を促す。
【0035】
このように本実施形態では、Webサーバ2から送信された、認証ファイルと、クライアント端末装置1で決定(算出)した認証ファイルとにおける名称及びその内容が一致した場合に、該Webサーバ2が正当な登録サーバであると判断する。
これにより、登録サーバのURLやIPアドレスに成りすました不当なサーバを見破ることができる。これにより、登録サーバの認証精度を向上させることができる。
また、本実施形態では、正当な登録サーバの提供するWebサイトを表示する際に、正当サイトマークをディスプレイ上に表示し、不当なサーバの提供するWebサイトを表示する際に、アラートマークをディスプレイ上に表示することにより、ユーザは容易に閲覧中(アクセス中)のWebサイトの安全性を認識することができる。
【0036】
上述した本実施形態では、Webサーバ2への時刻確認要求と、認証ファイル要求を別々のタイミングで行っているが、これらの情報の要求処理は、例えば、同じタイミング(同時)に行うようにしてもよい。
この場合、クライアント端末装置1のCPU11は、Webサーバ2から時刻情報を受信した後に、認証ファイルの決定(算出)処理を行い、そして、Webサーバ2から認証ファイルを受信した後に、Webサイトの正当性の判断処理を行う。
【0037】
上述した本実施形態では、認証用データテーブル172において、登録サーバのIPアドレスと登録サーバの提供するWebサイトのURLとが一対一の対応を有しているが、認証用データテーブル172におけるIPアドレスとWebサイトのURLとの対応関係はこれに限定されるものではない。
例えば、1つのIPアドレスに対して複数のWebサイトのURLを対応付けて登録することも可能であり、また、1つのWebサイトのURLに対して複数のIPアドレスを対応付けて登録することも可能である。
【0038】
また、上述した本実施形態では、認証用データテーブル172において、登録サーバのIPアドレスと登録サーバの提供するWebサイトのURLとの双方が格納されているが、認証用データテーブル172の構成はこれに限定されるものではない。
例えば、サーバIDに対して、登録サーバのIPアドレスと、登録サーバの提供するWebサイトのURLのうちのいずれか一方が関連付けられている構成であってもよい。
この場合、クライアント端末装置1のCPU11は、ステップ14の処理において、登録サーバのIPアドレスと、登録サーバの提供するWebサイトのURLのうちのいずれか一方(対応情報があるもの)に基づいて、アクセス要求の送信先のWebサイトを提供しているWebサーバ2が登録サーバで有るか否かを判断するようにする。
【図面の簡単な説明】
【0039】
【図1】本実施の形態に係る認証システムの概略構成を示した図である。
【図2】(a)は本実施の形態に係るクライアント端末装置の概略構成を示した図であり、(b)は認証用データテーブルの一例を示した図である。
【図3】(a)は本実施の形態に係るWebサーバの概略構成を示した図であり、(b)は認証ファイルセットの構造の一例を示した図である。
【図4】本実施の形態に係る認証システムにおけるクライアント装置によるWebサイトの認証処理の手順を示したフローチャートである。
【図5】(a)は正当サイトマーク表示の一例を示した図であり、(b)はアラートマーク表示の一例を示した図である。
【符号の説明】
【0040】
1 クライアント端末装置
2 Webサーバ
3 アップデートサーバ
4 ネットワーク
5 認証システム提供企業
11 CPU
12 ROM
13 RAM
14 入力装置
15 出力装置
16 通信装置
17 記憶装置
21 CPU
22 ROM
23 RAM
24 入力装置
25 出力装置
26 通信装置
27 記憶装置
171 サーバ認証プログラム
172 認証用データテーブル
271 認証ファイルセット
272 コンテンツデータベース
【特許請求の範囲】
【請求項1】
時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う認証システムであって、
登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶手段と、
ネットワークを介して対象サーバにアクセスするアクセス手段と、
前記アクセスした対象サーバの識別情報を取得する識別情報取得手段と、
前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出手段と、
所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出手段と、
前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得手段と、
前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断手段と、
前記判断手段により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示手段と、
を具備することを特徴とする認証システム。
【請求項2】
前記取得した対象サーバの識別情報と、前記データテーブルにおける登録サーバの識別情報とを照合する照合手段を備え、
前記固有パラメータ読出手段は、前記照合手段により、前記対象サーバの識別情報と、前記登録サーバの識別情報とが一致すると判断された場合、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出すことを特徴とする請求項1記載の認証システム。
【請求項3】
前記対象サーバの時刻情報を取得する対象サーバ時刻取得手段を備え、
前記時間係数は、前記所定の時刻として、前記取得した対象サーバの時刻情報に基づいて設定される現在の時刻から決定されることを特徴とする請求項1又は請求項2記載の認証システム。
【請求項4】
時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う際に用いられる認証プログラムであって、
記憶手段、アクセス手段、識別情報取得手段、固有パラメータ読出手段、認証情報算出手段、認証情報取得手段、判断手段、表示手段を具備する認証システムに、
前記記憶手段が、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶機能と、
前記アクセス手段が、ネットワークを介して対象サーバにアクセスするアクセス機能と、
前記識別情報取得手段が、前記アクセスした対象サーバの識別情報を取得する識別情報取得機能と、
前記固有パラメータ読出手段が、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出機能と、
前記認証情報算出手段が、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出機能と、
前記認証情報取得手段が、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得機能と、
前記判断手段が、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断機能と、
前記表示手段が、前記判断機能により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示機能と、
を実現させるためのコンピュータ読み取り可能な認証プログラム。
【請求項1】
時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う認証システムであって、
登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶手段と、
ネットワークを介して対象サーバにアクセスするアクセス手段と、
前記アクセスした対象サーバの識別情報を取得する識別情報取得手段と、
前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出手段と、
所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出手段と、
前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得手段と、
前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断手段と、
前記判断手段により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示手段と、
を具備することを特徴とする認証システム。
【請求項2】
前記取得した対象サーバの識別情報と、前記データテーブルにおける登録サーバの識別情報とを照合する照合手段を備え、
前記固有パラメータ読出手段は、前記照合手段により、前記対象サーバの識別情報と、前記登録サーバの識別情報とが一致すると判断された場合、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出すことを特徴とする請求項1記載の認証システム。
【請求項3】
前記対象サーバの時刻情報を取得する対象サーバ時刻取得手段を備え、
前記時間係数は、前記所定の時刻として、前記取得した対象サーバの時刻情報に基づいて設定される現在の時刻から決定されることを特徴とする請求項1又は請求項2記載の認証システム。
【請求項4】
時刻情報から決定される時間係数、及び、各登録サーバに割り付けられた固有パラメータを用いて、特定のアルゴリズムにより生成される認証情報を、予め所定の期間分記憶した登録サーバに対する認証を行う際に用いられる認証プログラムであって、
記憶手段、アクセス手段、識別情報取得手段、固有パラメータ読出手段、認証情報算出手段、認証情報取得手段、判断手段、表示手段を具備する認証システムに、
前記記憶手段が、登録サーバの識別情報と固有パラメータとを関連付けたデータテーブルと、前記特定のアルゴリズムの情報と、を記憶する記憶機能と、
前記アクセス手段が、ネットワークを介して対象サーバにアクセスするアクセス機能と、
前記識別情報取得手段が、前記アクセスした対象サーバの識別情報を取得する識別情報取得機能と、
前記固有パラメータ読出手段が、前記データテーブルから該対象サーバの識別情報と一致する登録サーバの固有パラメータを読み出す固有パラメータ読出機能と、
前記認証情報算出手段が、所定の時刻から決定される時間係数、及び、前記読み出した固有パラメータを用いて、前記特定のアルゴリズムにより対象サーバの認証情報を算出する認証情報算出機能と、
前記認証情報取得手段が、前記対象サーバの記憶する前記所定の時刻に対応する認証情報を取得する認証情報取得機能と、
前記判断手段が、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致するか否かを判断する判断機能と、
前記表示手段が、前記判断機能により、前記対象サーバから取得した認証情報と、前記算出した対象サーバの認証情報とが一致すると判断された場合、該対象サーバは正当である旨の表示を行う表示機能と、
を実現させるためのコンピュータ読み取り可能な認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−269096(P2008−269096A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−108552(P2007−108552)
【出願日】平成19年4月17日(2007.4.17)
【出願人】(504377367)株式会社セキュアブレイン (6)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年4月17日(2007.4.17)
【出願人】(504377367)株式会社セキュアブレイン (6)
【Fターム(参考)】
[ Back to top ]