特開 2019-20903 認証サーバ、認証コアシステム、認証システム及び認証方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】特開2019-20903(P2019-20903A)

(43)【公開日】2019年2月7日

(54)【発明の名称】認証サーバ、認証コアシステム、認証システム及び認証方法

(51)【国際特許分類】

   G06F 21/43 20130101AFI20190111BHJP

   H04M 11/00 20060101ALI20190111BHJP

   G06F 21/33 20130101ALI20190111BHJP

【ＦＩ】

   G06F21/43

   H04M11/00 302

   G06F21/33

【審査請求】未請求

【請求項の数】4

【出願形態】ＯＬ

【全頁数】7

(21)【出願番号】特願2017-137095(P2017-137095)

(22)【出願日】2017年7月13日

(71)【出願人】

【識別番号】516290748

【氏名又は名称】株式会社ＬＴＥ−Ｘ

(74)【代理人】

【識別番号】110002000

【氏名又は名称】特許業務法人栄光特許事務所

(72)【発明者】

【氏名】江副 浩

(72)【発明者】

【氏名】伊藤 可久

【テーマコード（参考）】

5K201

【Ｆターム（参考）】

5K201AA09

5K201CA09

5K201CB05

5K201CB12

5K201DC02

5K201EA07

5K201EC06

5K201ED05

5K201EE08

5K201EF05

(57)【要約】

【課題】平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術を提供する。
【解決手段】認証サーバは、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、第２の端末から発信され、ＳＭＳ受信装置を経由して送信された第２のトークンを受信し、第１のトークンと第２のトークンが一致するか否かを判定し、第１のトークンと第２のトークンが一致する場合に、ＳＭＳ受信装置から第２の端末の利用者を特定する電話番号を取得し、電話番号が、アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、電話番号が、アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、アプリケーションサーバに対し、第１の端末からのアクセス要求を許可するログイン許可を送信する。
【選択図】図２

【特許請求の範囲】

【請求項1】

認証サーバであって、
アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、
第２の端末から発信され、ＳＭＳ受信装置を経由して送信された第２のトークンを受信し、
前記第１のトークンと前記第２のトークンが一致するか否かを判定し、
前記第１のトークンと前記第２のトークンが一致する場合に、前記ＳＭＳ受信装置から前記第２の端末の利用者を特定する電話番号を取得し、
前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、
前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する、
認証サーバ。

【請求項2】

請求項１に記載の認証サーバと、前記ＳＭＳ受信装置とを含む認証コアシステム。

【請求項3】

請求項２に記載の認証コアシステムと、前記第１の端末と、前記第２の端末と、前記アプリケーションサーバと、を含み、
前記第２の端末は、前記第１の端末が表示する前記第１のトークンを撮影可能であって、撮影した前記第１のトークンに基づき、前記第２のトークンを前記ＳＭＳ受信装置に送信する、認証システム。

【請求項4】

認証サーバが実施する認証方法であって、
アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、
第２の端末から発信され、ＳＭＳ受信装置を経由して送信された第２のトークンを受信し、
前記第１のトークンと前記第２のトークンが一致するか否かを判定し、
前記第１のトークンと前記第２のトークンが一致する場合に、前記ＳＭＳ受信装置から前記第２の端末の利用者を特定する電話番号を取得し、
前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、
前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する、
認証方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、認証サーバ、認証コアシステム、認証システム及び認証方法に関する。

【背景技術】

【0002】

不正なアクセス等の防止のため、セキュリティの強固な認証方法が求められている。その一方で、一般に用いられている認証方法においては、パスワードや生体認証情報等の入力が必要であり、煩雑な操作が必要になることも多い。

【0003】

特許文献１は、少なくとも２台の端末を組み合わせたプッシュ認証を採用した認証システムを開示している。これにより、セキュリティを高めつつ平易な操作による認証の実現を目指している。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特許第６１０４４３９号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

特許文献１に開示された様な認証システムは、その認証の信頼性が、端末の固有の識別情報である端末ＩＤに依存している。このような端末ＩＤは偽装の防止に限界があり、偽装がされてしまうとセキュリティが低下するおそれがある。

【0006】

本発明は、平易な認証操作と高度なセキュリティを両立し得る認証技術を提供する。

【課題を解決するための手段】

【0007】

本発明の認証サーバは、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、第２の端末から発信され、ＳＭＳ受信装置を経由して送信された第２のトークンを受信し、前記第１のトークンと前記第２のトークンが一致するか否かを判定し、前記第１のトークンと前記第２のトークンが一致する場合に、前記ＳＭＳ受信装置から前記第２の端末の利用者を特定する電話番号を取得し、前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する。

【0008】

本発明の認証サーバが実施する認証方法は、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、第２の端末から発信され、ＳＭＳ受信装置を経由して送信された第２のトークンを受信し、前記第１のトークンと前記第２のトークンが一致するか否かを判定し、前記第１のトークンと前記第２のトークンが一致する場合に、前記ＳＭＳ受信装置から前記第２の端末の利用者を特定する電話番号を取得し、前記電話番号が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている番号か否かを判定し、前記電話番号が、前記アプリケーション利用者情報のデータベースへのログインが許可されている番号である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する。

【発明の効果】

【0009】

本発明の認証技術は、ユーザ操作の負担を抑制しつつも、より安全性を高めるとともに、通信処理の負担を抑制することが可能となる。

【図面の簡単な説明】

【0010】

【図1】本発明の一実施形態である認証システムの概要図。

【図2】実施形態の認証システムが実行するシーケンスを示すシーケンス図。

【発明を実施するための形態】

【0011】

以下、図面を用いて、本発明に係る通信方法の具体的な実施の形態について詳述する。特許文献１に記載された従来技術は、その認証の信頼性が、第２の端末４の固有の識別情報である端末ＩＤに依存している。このような端末ＩＤは、偽装（例えば他人の端末のＭＡＣアドレスの複製など）に対する防衛策に限界があり、ある程度の偽装の可能性が否定できないという意味から、依然として安全性に懸念が残る。

【0012】

また、第１の端末３の操作を契機とする第２の端末４へのプッシュ通知が、任意のタイミングで発生する可能性があるため、第２の端末４に対して、常時ログインの許可がなされている状態を維持するための通信が必要となる。これにより、通信シーケンス、通信コストの増加といった通信負担の増加を招くおそれがある。

【0013】

図１は、本発明の一実施形態の認証システム１００の概要図であり、上述した様な課題の解消を実現するものである。図示した認証システム１００はあくまで一実施形態であり、本発明が適用される認証システムはこのような形態に限定されるものではない。実施形態の認証システム１００は、第１の端末１０と、第２の端末２０と、アプリケーションサーバ（ＡＰサーバ）３０と、認証サーバ４０と、ＳＭＳ（Short Message Service）受信装置５０と、を含む。また、認証サーバ４０とＳＭＳ受信装置５０は、認証コアシステム６０を構成する。尚、本明細書において、「サーバ」は、１つのサーバのみならず、複数のサーバにより構成されるものも含む。

【0014】

第１の端末１０及び第２の端末２０は、ＰＣ、スマートフォン、タブレット端末、ＩＣカードリーダライタを備える端末、携帯端末と通信可能な端末等の任意の適切な端末を用いることができる。ここで、少なくとも第２の端末２０は、ＬＴＥ（Long Term Evolution）通信が可能であり、通信プロトコルとしてＬＴＥプロトコルのデータ（具体的にはパケットデータ）を通信対象としたＬＴＥ通信システム下で通信を行う端末である。ＬＴＥは、３ＧＰＰ（Third Generation Partnership Project）により制定された、第３世代移動体通信規格（３Ｇ）を更に高速化させたものであり、３．９Ｇまたは４Ｇと呼ばれる。

【0015】

また、第２の端末２０は撮影機能を持つ撮影装置（カメラ）を有している。撮影装置は、第２の端末２０の内部に組み込まれるものであっても、第２の端末２０とは別体で、第２の端末２０に接続されるものであってもよい。

【0016】

アプリケーションサーバ（ＡＰサーバ）３０は、ユーザが第１の端末１０を用いてアクセスを要求するアプリケーション（サイト等）を記憶するサーバであり、アプリケーションによるサービスを提供する事業者等が設置する。本発明による認証後に、第１の端末１０は、アプリケーションサーバ３０に実質的にアクセス可能となる。

【0017】

認証サーバ４０は、認証の実行主体となるサーバであり、本実施形態ではアプリケーションサーバ３０にログインを試みる端末がアクセスを許可されたものか否かを判定（認証）し、ひいては不正なアクセスを防止するためのものである。アプリケーションサーバ３０は、上述したサービスの事業者等が設置することが多い。アプリケーションサーバ３０と認証サーバ４０は一体になって提供されてもよい。

【0018】

認証サーバ４０は、認証処理部４１と、利用者情報管理部４２とを含む。認証処理部４１は認証サーバ４０による認証処理の主要部分を担う制御部である。利用者情報管理部４２は、個々の端末固有のＩＤ（例えば端末のＭＡＣアドレスの様な物理アドレス）ではなく、認証システム１００の利用者、特にアプリケーションサーバ３０が提供するアプリケーションを利用するため、アプリケーションサーバ３０へのアクセスが予め許可された利用者を特定する情報（アプリケーション利用者情報）を記憶し、管理する。すなわち、利用者情報管理部４２は、アプリケーション利用者情報のデータベースとして機能する。本例での利用者情報は、少なくとも電話番号を含む。

【0019】

ＳＭＳ受信装置５０は、スマートフォン、携帯電話、ＰＨＳ間でテキストのショートメッセージを送受信するＳＭＳにおいて、主にショートメッセージの受信を担う装置（サーバ）であるが、送信装置と一体にされてもよい。また、ＳＭＳ受信装置５０は、認証サーバ４０と一体になって提供されてもよい。尚、第２の端末２０がＬＴＥ通信システム下で通信を行う端末（スマートフォン、携帯電話等）である場合、ショートメッセージはＬＴＥ通信システムを経由して送受信される。

【0020】

ＳＭＳ受信装置５０は、認証サーバ４０の認証処理部４１と接続され、認証サーバ４０の利用者情報管理部４２と同様に、利用者情報の一つである第２の端末２０の電話番号が少なくとも登録された記憶装置を有している。ここでの電話番号は、端末そのものを特定する端末固有のＩＤではなく、むしろ第２の端末の利用者を特定する利用者情報である。

【0021】

図２は、実施形態の認証システム１００が実行するシーケンスを示すシーケンス図である。まず、ユーザがＰＣの如き第１の端末１０を利用して、アプリケーションサーバ３０に対し、提供するアプリケーションのサイトにアクセスするため、ログインの要求を試みる（ステップＳ１０１）。この要求を受けたアプリケーションサーバ３０は、認証サーバ４０に対し、このログイン要求を通知して問い合わせる（ステップＳ１０２）。認証サーバ４０の認証処理部４１は、ログインのための第１のトークンを生成し、ログイン要求元の第１の端末１０に対し送信する（ステップＳ１０３）。ここでのトークンは、認証サーバ４０等の装置が生成する、一度の認証処理のみに利用可能なワンタイムパスワードに相当し、認証に必要な情報を意味する。

【0022】

第１のトークンを受信した第１の端末１０は、トークンをＱＲコード（登録商標）等のような、外部の撮影装置等が読み取り可能な表示形式に変換し、その表示画面に表示する（ステップＳ１０４）。ユーザは、スマートフォンの如き第２の端末２０の撮影装置を用いて、表示されたＱＲコード等を読取り、撮影し、第１のトークンを第２の端末２０に収納する（ステップＳ１０５）。第２の端末２０は、撮影した第１のトークンに基づき、実質的に同一の第２のトークンをＳＭＳ受信装置５０に送信する（ステップＳ１０６）。

【0023】

ＳＭＳ受信装置は、第２のトークンの送信元である第２の端末の利用者を特定する電話番号を認証サーバ４０に送信する（ステップＳ１０７）。認証サーバ４０の認証処理部４１は、第２の端末２０から発信され、ＳＭＳ受信装置５０を経由して（ステップＳ１０６参照）送信された第２のトークンと、自らが生成し、第１の端末に送信した第１のトークン（ステップＳ１０３参照）とが一致するか否かを判定する（ステップＳ１０８）。第１のトークンと第２のトークンが一致した場合、認証処理部４１は、アプリケーション利用者情報のデータベースである利用者情報管理部４２に対し、受信した電話番号を問い合わせて、少なくとも当該電話番号が、利用者情報管理部４２へのログインを許可されている番号か否か（または利用者情報管理部４２への登録そのもの）を確認する（ステップＳ１０９）。

【0024】

利用者情報管理部４２において、問い合わせた電話番号のログイン許可（または利用者情報管理部４２における当該電話番号の登録）が確認されたら（ステップＳ１１０）、認証処理部４１は、アプリケーションサーバ３０に対し、第１の端末１０からのアクセス要求（ログイン要求）を許可するログイン許可を送信する（ステップＳ１１１）。ログイン許可を受信したアプリケーションサーバ３０は、ログイン後の画面を表示、すなわち第１の端末１０をログイン後の画面にリダイレクトする（ステップＳ１１２）。これにより、ユーザは、第１の端末１０を用いてアプリケーションサーバ３０にアクセス可能となる。

【0025】

本発明においては、ＳＭＳ受信装置がトークンを送信する第２の端末の利用者情報である電話番号を管理しており、認証はこの電話番号とアプリケーション利用者情報に基づいて実行される。よって、本発明によれば、端末固有の端末ＩＤ、特に第２の端末の固有ＩＤに依存した認証処理を排除することができ、より安全に認証を行うことが可能となる。

【0026】

本発明においては、認証サーバが第２の端末から送信されるトークンの受信を契機として認証を開始するため、第２の端末に対するプッシュ通知を削除することが可能となり、通信シーケンス、通信コストを削減することが可能となる。

【0027】

よって、本発明によれば、二つの端末を通じたトークンによる認証により、ユーザ操作の負担を抑制しつつも、より安全性を高め、通信処理の負担を抑制することが可能となる。

【0028】

尚、本発明は、上述した実施形態に限定されるものではなく、適宜、変形、改良、等が可能である。その他、上述した実施形態における各構成要素の材質、形状、寸法、数値、形態、数、配置箇所、等は本発明を達成できるものであれば任意であり、限定されない。

【産業上の利用可能性】

【0029】

本発明によれば、平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術が提供され得る。

【符号の説明】

【0030】

１０ 第１の端末
２０ 第２の端末
３０ アプリケーションサーバ（ＡＰサーバ）
４０ 認証サーバ
４１ 認証処理部
４２ 利用者情報管理部（アプリケーション利用者情報のデータベース）
５０ ＳＭＳ受信装置
６０ 認証コアシステム
１００ 認証システム

【図1】

【図2】