ウェブブラウザ拡張機能と携帯電話によるウェブサイト·ユーザ間相互認証システム

摘要

ウェブアクセス時におけるクライアント認証方式として，ユーザID入力による知識認証に加え，ワンタイムパスワード方式や，ユーザに紐づいた携帯電話に付与された固有情報を利用した二要素認証方式等，なりすましの危険性が低減する方式が提案されてきた．しかしこれらの方式は不正なユーザが正常なサーバとユーザPC の間に入り込み認証に必要な情報のみを中継し，正規ユーザとしてログインする中間者攻撃に対しては効果がない．そこで本稿では，拡張機能をブラウザに付加することにより中間者攻撃が行われているか否かを検証し，携帯電話またはブラウザエクステンション上でのホワイトリストの参照により正規のウェブサーバであることを確認することにより不正なサーバへのアクセスを検知する仕組みと，携帯電話に付与された固有情報により携帯電話の所持認証を行うことによりクライアントの二要素認証を行うシステムを提案する．