知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-01
(45)【発行日】2023-05-12
(54)【発明の名称】認証装置、認証方法及び認証プログラム
(51)【国際特許分類】
G06F 21/42 20130101AFI20230502BHJP
【FI】
G06F21/42
【請求項の数】
5
(21)【出願番号】P 2020127621
(22)【出願日】2020-07-28
(65)【公開番号】P2022024816
(43)【公開日】2022-02-09
【審査請求日】2022-07-06
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】田淵 純一
【審査官】平井 誠
(56)【参考文献】
【文献】特開2020-067988(JP,A)
【文献】特表2015-531910(JP,A)
【文献】米国特許出願公開第2014/0237563(US,A1)
【文献】特開2007-193762(JP,A)
【文献】特開2007-025791(JP,A)
【文献】特開2018-182589(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/42
(57)【特許請求の範囲】
【請求項1】
第1の端末で動作する第1のアプリケーションからのアクセスに応じて、仮IDを発行し、当該仮IDに対する認証情報を生成する仮ID発行部と、前記仮IDと紐付けられたデータに変換可能なデータ画像を含み、前記仮IDにコンテンツ保護機能のライセンスを付与した動画を生成する動画生成部と、
前記動画を再生するためのログイン画面のデータ及び前記認証情報を、前記第1の端末へ送信する動画送信部と、
前記第1の端末から前記認証情報と共に動画再生の要求を受け付けると、当該認証情報に対応する前記仮IDに付与されたライセンス情報を送信するライセンス送信部と、
第2の端末で読み取られた前記データ画像を変換したデータ、及び前記第2の端末で動作する認証済みのアプリケーションの鍵情報を受信すると、前記データ画像を変換したデータに紐づけられている前記仮ID、及び前記鍵情報により示される本IDを対応付けて取得し、当該仮IDを発行した前記第1の端末へ認証完了要求を送信する完了要求送信部と、
前記認証完了要求に応じて前記第1の端末から前記ライセンス情報を受信すると、当該ライセンス情報が付与されている前記仮IDに対応付けられている前記本IDに対して、前記第1のアプリケーションの鍵情報を生成し、前記第1の端末へ送信する鍵生成部と、を備える認証装置。
【請求項2】
前記動画生成部は、再生時間の一部のみに前記データ画像を含む動画を生成する請求項1に記載の認証装置。
【請求項3】
前記動画生成部は、フレームの一部の領域に前記データ画像を合成した動画を生成する請求項1又は請求項2に記載の認証装置。
【請求項4】
第1の端末で動作する第1のアプリケーションからのアクセスに応じて、仮IDを発行し、当該仮IDに対する認証情報を生成する仮ID発行ステップと、前記仮IDと紐付けられたデータに変換可能なデータ画像を含み、前記仮IDにコンテンツ保護機能のライセンスを付与した動画を生成する動画生成ステップと、
前記動画を再生するためのログイン画面のデータ及び前記認証情報を、前記第1の端末へ送信する動画送信ステップと、
前記第1の端末から前記認証情報と共に動画再生の要求を受け付けると、当該認証情報に対応する前記仮IDに付与されたライセンス情報を送信するライセンス送信ステップと、
第2の端末で読み取られた前記データ画像を変換したデータ、及び前記第2の端末で動作する認証済みのアプリケーションの鍵情報を受信すると、前記データ画像を変換したデータに紐づけられている前記仮ID、及び前記鍵情報により示される本IDを対応付けて取得し、当該仮IDを発行した前記第1の端末へ認証完了要求を送信する完了要求送信ステップと、
前記認証完了要求に応じて前記第1の端末から前記ライセンス情報を受信すると、当該ライセンス情報が付与されている前記仮IDに対応付けられている前記本IDに対して、前記第1のアプリケーションの鍵情報を生成し、前記第1の端末へ送信する鍵生成ステップと、をコンピュータが実行する認証方法。
【請求項5】
請求項1から請求項3のいずれかに記載の認証装置としてコンピュータを機能させるための認証プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィッシングによる不正アクセスを防止する認証システムに関する。
【背景技術】
【0002】
従来、第三者による不正アクセスを防止するユーザ認証の仕組みとして、2段階認証が利用されている。2段階認証では、ユーザがアカウントにログインする際に、ID及びパスワードの入力に加えて、例えば、登録してある電話番号又はメールアドレス等を利用して別の端末に届く通知に対して承認を行う(例えば、セキュリティコードを入力する)ことで、ログインが完了する(例えば、特許文献1参照)。
また、例えば、アクセス元の端末に表示させた二次元バーコードを、登録済みの携帯端末等で読み取ることによりログインを承認する手法も提案されている(例えば、特許文献2参照)。
また、例えば、アクセス元の端末に表示させた二次元バーコードを、登録済みの携帯端末等で読み取ることによりログインを承認する手法も提案されている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2007-058469号公報
【文献】特開2011-238036号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の認証システムにおいて表示されるログイン画面は、スクリーンショット等の画面撮影機能、又はリモートデスクトップ等の画面転送機能により容易にフィッシングサイトが作成される可能性があった。攻撃者は、このフィッシングサイトにより、2段階認証におけるユーザの承認をも実行させ、ユーザに発行された鍵情報を詐取できていた。
【0005】
本発明は、フィッシングサイトの作成が困難な認証システムを構築できる認証装置、認証方法及び認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る認証装置は、第1の端末で動作する第1のアプリケーションからのアクセスに応じて、仮IDを発行し、当該仮IDに対する認証情報を生成する仮ID発行部と、前記仮IDと紐付けられたデータに変換可能なデータ画像を含み、前記仮IDにコンテンツ保護機能のライセンスを付与した動画を生成する動画生成部と、前記動画を再生するためのログイン画面のデータ及び前記認証情報を、前記第1の端末へ送信する動画送信部と、前記第1の端末から前記認証情報と共に動画再生の要求を受け付けると、当該認証情報に対応する前記仮IDに付与されたライセンス情報を送信するライセンス送信部と、第2の端末で読み取られた前記データ画像を変換したデータ、及び前記第2の端末で動作する認証済みのアプリケーションの鍵情報を受信すると、前記データ画像を変換したデータに紐づけられている前記仮ID、及び前記鍵情報により示される本IDを対応付けて取得し、当該仮IDを発行した前記第1の端末へ認証完了要求を送信する完了要求送信部と、前記認証完了要求に応じて前記第1の端末から前記ライセンス情報を受信すると、当該ライセンス情報が付与されている前記仮IDに対応付けられている前記本IDに対して、前記第1のアプリケーションの鍵情報を生成し、前記第1の端末へ送信する鍵生成部と、を備える。
【0007】
前記動画生成部は、再生時間の一部のみに前記データ画像を含む動画を生成してもよい。
【0008】
前記動画生成部は、フレームの一部の領域に前記データ画像を合成した動画を生成してもよい。
【0009】
本発明に係る認証方法は、第1の端末で動作する第1のアプリケーションからのアクセスに応じて、仮IDを発行し、当該仮IDに対する認証情報を生成する仮ID発行ステップと、前記仮IDと紐付けられたデータに変換可能なデータ画像を含み、前記仮IDにコンテンツ保護機能のライセンスを付与した動画を生成する動画生成ステップと、前記動画を再生するためのログイン画面のデータ及び前記認証情報を、前記第1の端末へ送信する動画送信ステップと、前記第1の端末から前記認証情報と共に動画再生の要求を受け付けると、当該認証情報に対応する前記仮IDに付与されたライセンス情報を送信するライセンス送信ステップと、第2の端末で読み取られた前記データ画像を変換したデータ、及び前記第2の端末で動作する認証済みのアプリケーションの鍵情報を受信すると、前記データ画像を変換したデータに紐づけられている前記仮ID、及び前記鍵情報により示される本IDを対応付けて取得し、当該仮IDを発行した前記第1の端末へ認証完了要求を送信する完了要求送信ステップと、前記認証完了要求に応じて前記第1の端末から前記ライセンス情報を受信すると、当該ライセンス情報が付与されている前記仮IDに対応付けられている前記本IDに対して、前記第1のアプリケーションの鍵情報を生成し、前記第1の端末へ送信する鍵生成ステップと、をコンピュータが実行する。
【0010】
本発明に係る認証プログラムは、前記認証装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0011】
本発明によれば、フィッシングサイトの作成が困難な認証システムを構成できる。
【図面の簡単な説明】
【0012】
【図1】実施形態における認証方法でユーザに提示される画面の遷移を示す図である。
【図2】実施形態における認証装置の機能構成を示す図である。
【図3】実施形態における認証方法による処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態の一例について説明する。
本実施形態の認証システムでは、2段階認証において、ログイン画面に表示される二次元バーコード等、所定のデータ列に一意に変換可能なデータ画像を、別端末で動作する認証済みのアプリケーションで撮像することにより読み取らせる。データ画像は、規格化された一次元又は二次元のバーコードには限られず、独自の変換手法によりデータ列を取得可能な画像、あるいは、データ列自体を画像認識により取得可能な画像等であってもよい。以下、一例として、データ画像が二次元バーコードであるとして説明する。
二次元バーコードは、DRM(Digital Rights Management)でコンテンツ保護された動画により再生されることで、画面撮影又は画面転送によるフィッシングサイトの作成が制限される。
本実施形態の認証システムでは、2段階認証において、ログイン画面に表示される二次元バーコード等、所定のデータ列に一意に変換可能なデータ画像を、別端末で動作する認証済みのアプリケーションで撮像することにより読み取らせる。データ画像は、規格化された一次元又は二次元のバーコードには限られず、独自の変換手法によりデータ列を取得可能な画像、あるいは、データ列自体を画像認識により取得可能な画像等であってもよい。以下、一例として、データ画像が二次元バーコードであるとして説明する。
二次元バーコードは、DRM(Digital Rights Management)でコンテンツ保護された動画により再生されることで、画面撮影又は画面転送によるフィッシングサイトの作成が制限される。
【0014】
図1は、本実施形態における認証方法でユーザに提示される画面の遷移を示す図である。
パーソナルコンピュータ又はモバイル端末等から認証システムへのアクセスに応じて、ログイン画面に二次元バーコードが動画内に表示される。ログイン画面においては、まず、ユーザのID及びパスワードの入力による1段階目の認証後に、二次元バーコードを含む動画が配信されてよい。
パーソナルコンピュータ又はモバイル端末等から認証システムへのアクセスに応じて、ログイン画面に二次元バーコードが動画内に表示される。ログイン画面においては、まず、ユーザのID及びパスワードの入力による1段階目の認証後に、二次元バーコードを含む動画が配信されてよい。
【0015】
ユーザは、認証用の端末上の認証済みのアプリケーションを用いて動画に表示された二次元バーコードを読み取り、認証済みの鍵情報と紐づけることで、認証を完了させる。
これにより、ログイン中の端末でログイン画面が更新されると、ログイン完了となる。
これにより、ログイン中の端末でログイン画面が更新されると、ログイン完了となる。
【0016】
図2は、本実施形態における認証装置1の機能構成を示す図である。
認証装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
認証装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
【0017】
制御部10は、認証装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0018】
記憶部20は、ハードウェア群を認証装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(認証プログラム)、及びユーザの登録情報等を記憶する。
【0019】
制御部10は、仮ID発行部11と、動画生成部12と、動画送信部13と、ライセンス送信部14と、完了要求送信部15と、鍵生成部16とを備える。
【0020】
仮ID発行部11は、ユーザXが保持するユーザ端末X-UE(第1の端末)で動作するアプリケーションX-UE-A1(第1のアプリケーション)からのアクセスに応じて、仮の識別情報であるID-Tを発行し、このID-Tに対する認証情報を生成する。
【0021】
動画生成部12は、ID-Tと紐付けられたデータを表す二次元バーコードを含み、ID-Tにコンテンツ保護機能のライセンスを付与した動画を生成する。
ここで、動画生成部12は、再生時間の一部のみに二次元バーコードを含む動画を生成してよい。また、二次元バーコードは、動画を構成するフレーム画像の一部の領域に合成されてもよい。
ここで、動画生成部12は、再生時間の一部のみに二次元バーコードを含む動画を生成してよい。また、二次元バーコードは、動画を構成するフレーム画像の一部の領域に合成されてもよい。
【0022】
動画送信部13は、動画生成部12により生成された動画を再生するためのログイン画面のデータと、仮ID発行部11により生成された認証情報を、アクセス元であるユーザ端末X-UEのアプリケーションX-UE-A1へ送信する。
【0023】
ライセンス送信部14は、ユーザ端末X-UEから認証情報と共に動画再生の要求を受け付けると、この認証情報に対応するID-Tに付与されたライセンス情報をアプリケーションX-UE-A1に送信する。
【0024】
完了要求送信部15は、ユーザ端末X-UE2(第2の端末)で動作する認証済みのアプリケーションX-UE2-A2で読み取られた二次元バーコードが表すデータ、及びアプリケーションX-UE2-A2の鍵情報を受信すると、二次元バーコードが表すデータに紐づけられているID-Tと、鍵情報により示される本IDであるXとを対応付けて取得する。そして、完了要求送信部15は、このID-Tを発行したユーザ端末X-UEのアプリケーションX-UE-A1へ認証完了要求を送信する。
【0025】
鍵生成部16は、認証完了要求に応じてユーザ端末X-UEのアプリケーションX-UE-A1からライセンス情報を受信すると、このライセンス情報が付与されているID-Tに対応付けられているIDのXに対して、アプリケーションX-UE-A1の鍵情報を生成し、ユーザ端末X-UEのアプリケーションX-UE-A1へ送信する。
【0026】
図3は、本実施形態における認証方法による処理の流れを示すシーケンス図である。
ここでは、ユーザXが保有するユーザ端末X-UE上のアプリケーションX-UE-A1に対して、認証装置1が鍵情報X-TOKENを発行する。
なお、ユーザXは、ユーザ端末X-UE2上に、認証済みのアプリケーションX-UE2-A2を既に保有しており、認証装置1において識別子Xと紐付けられた鍵情報X-UE2-A2-TOKENを保持している。
ここでは、ユーザXが保有するユーザ端末X-UE上のアプリケーションX-UE-A1に対して、認証装置1が鍵情報X-TOKENを発行する。
なお、ユーザXは、ユーザ端末X-UE2上に、認証済みのアプリケーションX-UE2-A2を既に保有しており、認証装置1において識別子Xと紐付けられた鍵情報X-UE2-A2-TOKENを保持している。
【0027】
ステップS1において、ユーザ端末X-UEは、アプリケーションX-UE-A1によって、認証装置1にアクセスする。
ステップS2において、認証装置1は、アクセス元のユーザの仮の識別情報としてID-Tを生成し、アプリケーションX-UE-A1に対して、ID-Tの認証情報を生成する。また、認証装置1は、ID-Tにライセンスを付与したうえで、コンテンツ保護機能を有効にした動画ファイルUを生成する。動画ファイルUには、ID-Tと紐付けられたデータを表す二次元バーコードHが表示内容として含まれる。
ステップS2において、認証装置1は、アクセス元のユーザの仮の識別情報としてID-Tを生成し、アプリケーションX-UE-A1に対して、ID-Tの認証情報を生成する。また、認証装置1は、ID-Tにライセンスを付与したうえで、コンテンツ保護機能を有効にした動画ファイルUを生成する。動画ファイルUには、ID-Tと紐付けられたデータを表す二次元バーコードHが表示内容として含まれる。
【0028】
ステップS3において、認証装置1は、アプリケーションX-UE-A1に対して、ログイン画面のデータと、ID-Tの認証情報を送信する。ログイン画面には、動画ファイルUの表示指示が含まれる。
【0029】
ステップS4において、ユーザ端末X-UEは、アプリケーションX-UE-A1によりログイン画面を表示する。
ステップS5において、ユーザ端末X-UEは、アプリケーションX-UE-A1により、ログイン画面のデータに含まれる指示に基づいて、動画ファイルUを認証装置1に要求し表示を開始する。
ステップS5において、ユーザ端末X-UEは、アプリケーションX-UE-A1により、ログイン画面のデータに含まれる指示に基づいて、動画ファイルUを認証装置1に要求し表示を開始する。
【0030】
ステップS6において、ユーザ端末X-UEは、アプリケーションX-UE-A1により、動画ファイルUを表示するために、ID-Tの認証情報を認証装置1に送信してライセンス情報を要求する。
ステップS7において、ユーザ端末X-UEは、アプリケーションX-UE-A1により、認証装置1からライセンス情報Pを受信し、動画ファイルUを再生する。
ステップS7において、ユーザ端末X-UEは、アプリケーションX-UE-A1により、認証装置1からライセンス情報Pを受信し、動画ファイルUを再生する。
【0031】
ステップS8において、ユーザは、ログイン画面に表示された動画に含まれる二次元バーコードHを、ユーザ端末X-UE2のアプリケーションX-UE2-A2で読み込む。
ステップS9において、ユーザ端末X-UE2は、アプリケーションX-UE2-A2により、二次元バーコードHが表すデータと、予め保持しているユーザXに対するアプリケーションX-UE2-A2の鍵情報X-UE2-A2-TOKENを、認証装置1に送信する。
ステップS9において、ユーザ端末X-UE2は、アプリケーションX-UE2-A2により、二次元バーコードHが表すデータと、予め保持しているユーザXに対するアプリケーションX-UE2-A2の鍵情報X-UE2-A2-TOKENを、認証装置1に送信する。
【0032】
ステップS10において、認証装置1は、鍵情報X-UE2-A2-TOKENからログイン対象のユーザID:Xを取得する。さらに、認証装置1は、二次元バーコードHが表すデータからID-Tを取得し、Xと対応付ける。
【0033】
ステップS11において、認証装置1は、ID-Tを付与したユーザ端末X-UEのアプリケーションX-UE-A1に対して、認証完了要求を送信する。
ステップS12において、ユーザ端末X-UEは、認証完了要求に応じて、アプリケーションX-UE-A1により、ライセンス情報Pを認証装置1に送信する。
ステップS13において、認証装置1は、ライセンス情報Pの発行対象である動画ファイルUに含まれる二次元バーコードHが表すデータに紐づけられたID-Tを特定すると、ID-Tに対応付けられたユーザID:Xに対して、鍵情報X-TOKENを生成してユーザ端末X-UEに送信する。
ステップS12において、ユーザ端末X-UEは、認証完了要求に応じて、アプリケーションX-UE-A1により、ライセンス情報Pを認証装置1に送信する。
ステップS13において、認証装置1は、ライセンス情報Pの発行対象である動画ファイルUに含まれる二次元バーコードHが表すデータに紐づけられたID-Tを特定すると、ID-Tに対応付けられたユーザID:Xに対して、鍵情報X-TOKENを生成してユーザ端末X-UEに送信する。
【0034】
本実施形態によれば、認証装置1は、二次元バーコードを表示内容に含む動画に対して、DRMによるコンテンツ保護を施し、アクセス元に付与した仮IDに対してライセンス情報を発行する。この仮IDの認証情報及びライセンス情報に基づいて表示される二次元バーコードは、DRMのコンテンツ保護機能により、画面撮影及び画面転送等が制限されるため、攻撃者は、二次元バーコードを再表示させてフィッシングサイトを作成することが困難となる。
したがって、認証済みの端末により二次元バーコードを読み取ることで、認証装置1は、仮IDに認証済みの本IDを対応付けて認証することができる。また、ログイン中の端末は、仮IDに対して発行されたライセンス情報をキーとして、ログインを完了させることができる。
このように、認証装置1においてユーザ認証のシーケンスにライセンス認証のシーケンスを融合させることにより、DRMのセキュリティ強度に応じて、フィッシングサイトの作成が困難な認証システムが構築される。
したがって、認証済みの端末により二次元バーコードを読み取ることで、認証装置1は、仮IDに認証済みの本IDを対応付けて認証することができる。また、ログイン中の端末は、仮IDに対して発行されたライセンス情報をキーとして、ログインを完了させることができる。
このように、認証装置1においてユーザ認証のシーケンスにライセンス認証のシーケンスを融合させることにより、DRMのセキュリティ強度に応じて、フィッシングサイトの作成が困難な認証システムが構築される。
【0035】
二次元バーコードは、コンテンツ保護された動画の再生時間のうち、一部のみに表示されることにより、また、フレーム画像の一部の領域に合成されることにより、認証装置1は、フィッシングサイトに再現することを困難にし、安全性を高めることができる。
【0036】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0037】
認証装置1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0038】
1 認証装置
10 制御部
11 仮ID発行部
12 動画生成部
13 動画送信部
14 ライセンス送信部
15 完了要求送信部
16 鍵生成部
20 記憶部
10 制御部
11 仮ID発行部
12 動画生成部
13 動画送信部
14 ライセンス送信部
15 完了要求送信部
16 鍵生成部
20 記憶部
【図1】
【図2】
【図3】