访问控制系统、认证服务器系统及访问控制程序

摘要

通过信息通信服务提供者的认证服务器系统(1)和信息通信服务利用者的用户终端(2)构成访问控制系统，通过这两者之间的通信进行认证处理，由此供应商的网关装置不参与向信息通信服务的访问控制用的一连串认证处理，从而无需获得供应商的协作并在网关装置中设置特别的构造；另外，从用户终端(2)向认证服务器(12)发送相同的认证信息而进行2次的认证(预认证和正式认证)，在第2次的正式认证时也进行表示认证信息的发送源终端的IP地址的一致判定，由此能够可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。

说明书

技术领域

本发明涉及访问控制系统、认证服务器系统及访问控制程序，特 别是适用于通过采用了ID和口令的认证处理来进行从用户终端向信 息通信服务提供用的网络访问的访问控制的系统。

背景技术

以往，在网上银行这样的信息通信服务中，为了仅针对正当用户 许可用于服务利用的访问，进行用于确认欲接受服务的实体是否是正 当本人的认证。为此一般大多数情况下进行采用了ID和口令等、用 于确认本人身份的信息的认证。但是，盗用他人的ID和口令，假装 本人来利用信息通信服务的被称为“电子欺骗”的不当行为正在横行。 当受到了电子欺骗时，被电子欺骗的本人会遭受到收到针对没有记忆 的服务利用的核款、或者被盗取只有本人知道的机密信息或个人信息 等的损失。

对此，提供了一种通过采用仅使用于一次认证中的一次性的一次 性口令来处理电子欺骗问题的方法(例如，参照专利文献1)。如果为 一次性口令，则由于不会重复使用，且在正当的本人使用之后变为无 效，所以即使万一被第三者盗用，也能保持高的安全性。

但是，即使采用了一次性口令，也无法防止以所谓的网络钓鱼的 方式不当获得一次性口令的来自恶意第三者的电子欺骗。网络钓鱼是 指，将用户诱导至假冒网站，将在此输入的ID和口令中继至正规网 站的方法。进行网络钓鱼的第三者，使正当用户将现阶段有效的一次 性口令在假冒网站输入，并将其使用于正规网站。因此，在正规网站 中仅进行一次认证，即使使用一次性口令也有可能被电子欺骗。

另一方面，还提出了一种除了ID和口令之外，还采用本人使用 的用户终端所固有的IP地址进行认证来防止电子欺骗的方法(例如， 参照专利文献2)。在该专利文献2记载的发明中，具备：在与认证服 务器之间进行网络连接的认证的供应商的网关装置；和在与认证服务 器之间进行服务利用的认证的Web服务器。并且，在最初的网络连接 的认证时网关装置从数据包中提取用户终端的IP地址并将其存储于 认证服务器中，在之后的服务利用的认证时Web服务器从数据包中提 取IP地址，通过判定与认证服务器中所存储的IP地址的一致性来确 认本人身份。

专利文献1：日本特许第3595109号公报

专利文献2：日本特开2006-113624号公报

发明内容

但是，在专利文献2所记载的发明中，需要在与提供信息通信服 务的Web服务器不同的供应商的网关装置中，设置用于从数据包中提 取IP地址并将其存储于认证服务器中的构造。即、仅由信息通信服务 的提供者无法组成访问控制的系统，因而存在着需要得到供应商的协 作而在网关装置中也设置特别构造的问题。

另外，在专利文献2所记载的发明中，也存在无法防止以网络钓 鱼的方式不当地获得ID、口令和IP地址的来自恶意第三者的电子欺 骗的问题。即、通过将用户诱导至假冒网站来提取IP地址，并且盗用 在该假冒网站中输入的ID和口令，由此即使是采用了IP地址的认证， 也可以冒充本人而获得服务利用的许可。

本发明是为了解决这种问题而完成的，其目的在于不需要获得供 应商的系统构成的协作也能够可靠地防止基于电子欺骗的不当访问。

为了解决上述的课题，在本发明中，通过信息通信服务提供者的 认证服务器系统和信息通信服务利用者的用户终端构成访问控制系 统，并通过这两者之间的通信进行以下的认证处理。即、以数据包的 形式从用户终端向认证服务器系统发送认证信息，此时提取数据包发 送源终端的地址信息。然后，认证服务器系统基于认证信息进行预认 证，并在预认证成功的情况下，将数据包发送源终端的地址信息与认 证信息对应起来存储于地址表。然后，用户终端再次向认证服务器系 统发送认证信息。认证服务器系统判定再次提取出的数据包发送源终 端的地址信息和存储于地址表的地址信息是否一致，在判定出一致的 情况下，基于再次发送的认证信息进行正式认证。

在本发明的另一方式中，通过一次性口令构成从用户终端向认证 服务器系统发送的认证信息。

在本发明的又一方式中，在由用户终端生成了一次性口令时，自 动地指定预先决定的发送目标地址，为了预认证发送包括一次性口令 的认证信息。

根据采用了上述构成的本发明，因为供应商的网关装置不参与向 信息通信服务的访问控制用的一连串认证处理，所以无需获得供应商 的协作并在网关装置中设置特别的构造。因此，仅由信息通信服务提 供者就能组成访问控制用的系统。

另外，根据本发明，从用户终端向认证服务器系统发送认证信息 而进行两次认证(预认证和正式认证)，在第2次的正式认证时也进 行数据包发送源终端的地址信息的一致判定。因此，即使在正当用户 欲进行正式认证时第三者通过钓鱼行为不当地获得认证信息，并且为 了进行正式认证而从第三者的终端向认证服务器系统发送了认证信 息，由于第三者的终端的地址信息未注册于认证服务器系统，所以认 证不会成功。由此，能够可靠地防止采用了钓鱼行为的来自恶意第三 者的电子欺骗。

另外，在作为从用户终端向认证服务器系统发送的认证信息而采 用了一次性口令的情况下，假设第三者获知预认证的构造，欲利用通 过上述的钓鱼行为窃取到的认证信息先接受预认证，认证也不会成 功。即、由于在通过钓鱼行为被窃取认证信息之前，正当用户已经进 行了采用一次性口令的预认证，因此第三者的预认证成为第二次的认 证而认证失败。因此，由于第三者的终端的地址信息未注册于认证服 务器系统，所以即使之后欲接受正式认证也会失败。由此，能够进一 步可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。

进而，在预认证时从用户终端向认证服务器系统自动地进行地址 指定，并发送基于一次性口令的认证信息的情况下，在预认证时用户 不会被诱导至假冒网站。因此，有可能通过通信路上的监听而窃取认 证信息，但是即使通过监听而窃取了认证信息，正当用户发送的认证 信息也会原封不动地发送至认证服务器系统，并接受基于一次性口令 的第1次的预认证。由此，即使之后第三者将相同的认证信息发送至 认证服务器系统，因为此认证成为基于一次性口令的第2次认证而认 证失败，第三者的终端的地址信息不会被注册。由此，也能够可靠地 防止采用了通信路上的窃听的基于电子欺骗的不当访问。

附图说明

图1是表示本实施方式涉及的访问控制系统的整体构成例的框 图。

图2是表示本实施方式涉及的访问控制系统的功能构成例的框 图。

图3是表示本实施方式的IP地址表的构成例的图。

图4是表示本实施方式涉及的访问控制系统的预认证时的动作例 的流程图。

图5是表示本实施方式涉及的访问控制系统的正式认证时的动作 例的流程图。

具体实施方式

以下，根据附图说明本发明的一实施方式。图1是表示本实施方 式涉及的访问控制系统的整体构成例的框图。图2是表示本实施方式 涉及的访问控制系统的功能构成例的框图。

如图1所示，本实施方式的访问控制系统100是经由因特网等的 通信网络连接信息通信服务提供者的认证服务器系统1和信息通信服 务利用者的用户终端2而构成。认证服务器系统1具备：服务提供服 务器11，其进行信息通信服务的提供；认证服务器12，其进行用于确 认向服务提供服务器11访问的访问者是否为正当用户的认证；和中间 服务器13，其配置于该认证服务器12与用户终端2之间。

用户终端2是接受例如网上银行这样的信息通信服务的用户的终 端，其由个人计算机等构成。用户终端2通过因特网等的外部网络3 分别与服务提供服务器11和中间服务器13连接，在与它们之间进行 基于SSL(Secure Socket Layer、安全套接层)的加密通信。

服务提供服务器11、认证服务器12及中间服务器13是信息通信 服务提供者(银行等)的设备，分别通过信息通信服务提供者的内部 网络4进行连接。在本实施方式中，服务提供服务器11是指为了提供 信息通信服务所需的多个服务器组，实际上包括Web服务器、应用服 务器、数据库服务器等。

另外，虽然未图示，但是通常认证服务器12通过防火墙(限制 内部网络4与外部网络3之间的通信，维持与内部网络4连接的计算 机安全的构造)来防御外部网路3，用户终端2无法与认证服务器12 直接通信。因此，在本实施方式中，用户终端2构成为：经由服务提 供服务器11或者经由中间服务器13与认证服务器12进行通信。

在因特网等的网络通信中，在多个计算机中共有一条线路，将数 据划分成数据包来进行通信。将此通信称为数据包通信。在各数据包 中附加有表示发送源和发送目标的地址信息，不会在与共有线路的其 他计算机之间引起数据的获取错误。在因特网中通用的通信协议中， 作为表示网络上位置的信息的IP地址被作为表示发送源和发送目标 的地址信息而使用。在本实施方式中，除了验证包括识别信息通信服 务利用者的ID(以下称为用户ID)和口令的认证信息之外，还通过 验证数据包发送源(用户终端2)的IP地址来检测“电子欺骗”。另 外，在本实施方式中，作为口令而采用一次性口令。

如图2所示，用户终端2具备：预认证控制部21、正式认证控制 部22及一次性口令生成部23。一次性口令生成部23在根据用户的指 示被起动时，自动地生成一次性口令并供给至预认证控制部21。在此， 也可以通过公知的方法生成一次性口令。作为一例，利用对应于用户 ID而预先决定的种类信息和在每次生成一次性口令时变动的变动信 息，按照规定的规则生成一次性口令。另外，用户ID和种类信息是 在用户对认证服务器12设定账户时预先注册的。

预认证控制部21保持有中间服务器13的IP地址(认证服务器系 统1的预先决定的发送目标地址)，利用该IP地址确立与中间服务器 13的通信并发送用户的认证信息(用户ID及通过一次性口令生成部 23生成的一次性口令)。具体而言，预认证控制部21在产生了认证请 求时，通过数据包通信向中间服务器13的IP地址发送用户固有的认 证信息。这里的认证请求在通过一次性口令生成部23生成了一次性 口令之后不久作为预认证控制部21的功能而自动产生。

正式认证控制部22包括Web浏览器的功能，其保持有服务提供 服务器11的IP地址(认证服务器系统1的预先决定的发送目标地址)。 正式认证控制部22在产生了认证请求时，通过数据包通信向服务提 供服务器11的IP地址发送与预认证控制部21向中间服务器13的IP 地址发送的信息相同的认证信息。这里的认证请求在响应于预认证控 制部21发送认证信息的情况而从认证服务器12发送来认证成功的通 知之后(在后述的预认证成功后)，在用户自身启动Web浏览器而向 服务提供服务器11访问之时产生。

中间服务器13具备认证请求部131和数据包解析部132。认证请 求部131在通过数据包通信从用户终端2的预认证控制部21接收了 认证信息之时，将该认证信息发送至认证服务器12而进行认证请求。 数据包解析部132解析认证请求部131接收到的通信数据包，并提取 认证信息和用户终端2的IP地址(相当于数据包发送源终端的地址信 息)。上述的认证请求部131将IP地址(以下称为第1发送源IP地址) 与认证信息一起向认证服务器12发送。

认证服务器12具备：预认证处理部121、存储处理部122、IP地 址表123(相当于本发明的地址表)、预认证结果通知部124、地址判 定部125、正式认证处理部126、正式认证结果通知部127及认证数 据库128。

预认证处理部121经由中间服务器13接收从用户终端2的预认 证控制部21发送来的认证信息，并基于该接收到的认证信息进行预 认证。例如，预认证处理部121利用接收到的认证信息中包含的对应 于用户ID而预先决定的种类信息和在每次生成一次性口令时变动的 变动信息，按照规定的规则生成一次性口令。这里使用的变动信息按 照与一次性口令生成部23生成一次性口令时所使用的信息相同的方 式取得同步。然后，预认证处理部121检查自身生成的一次性口令和 从中间服务器13接收到的认证信息中包含的一次性口令是否相同。 若口令相同则认证成功，若不相同则认证失败。

在本实施方式中采用的口令是一次性口令。因此，在预认证成功 一次之后，在经由中间服务器13以相同的认证信息(用户ID及一次 性口令)送来了认证请求时，预认证处理部121中的预认证失败。

另外，如后所述，在之后进行正式认证时也使用一次性口令。因 此，在预认证成功时，预认证处理部121将该一次性口令预先注册于 认证数据库128。预认证处理部121针对从中间服务器13接收到的一 次性口令，通过观看在认证数据库128中是否注册有相同的一次性口 令来判定是否已经进行了预认证，在已经进行了预认证的情况下将本 次(第2次以后)的预认证设为失败。

存储处理部122在利用预认证处理部121进行的预认证成功的情 况下，将由认证请求部131发送的第1发送源IP地址(即、通过数据 包解析部132由从预认证控制部21发送的数据包所提取的第1发送 源IP地址)与由该数据包所提取的认证信息对应起来存储于IP地址 表123。

图3是表示IP地址表123的构成例的图。如图3所示，IP地址 表123构成为：将作为认证信息的用户ID及一次性口令与IP地址对 应起来进行存储。在用户ID及一次性口令的项目中，存储有通过数 据包解析部132由从预认证控制部21发送的数据包所提取的认证信 息。另外，在IP地址的项目中，存储有通过数据包解析部132由相同 的数据包所提取的第1发送源IP地址。

预认证结果通知部124经由中间服务器13向用户终端2通知利 用预认证处理部121进行的预认证的成功与否(认证成功或者认证失 败)。具体而言，预认证结果通知部124向中间服务器13的认证请求 部131通知利用预认证处理部121进行的预认证的成功与否。认证请 求部131将从预认证结果通知部124接受到的通知转送至用户终端2 的预认证控制部21。接受了该通知的预认证控制部21，例如将认证 成功或者失败的情况显示于用户终端2的显示装置(未图示)的画面 上，并结束预认证处理。

在首先说明了服务提供服务器11的构成之后再说明认证服务器 12的余下构成(地址判定部125、正式认证处理部126及正式认证结 果通知部127)。服务提供服务器11具备：服务提供部111、认证请求 部112及数据包解析部113。

在正式认证被许可的情况下，服务提供部111向用户终端2提供 网上银行等的信息通信服务。在提供服务之前的正式认证执行时，当 接收到从用户终端2的正式认证控制部22发送来的数据包时，服务 提供部111将该数据包转送至认证请求部112。

在认证请求部112从服务提供部111接收了数据包时，数据包解 析部113解析认证请求部112接收到的数据包，并提取认证信息(与 预认证时相同的信息)和用户终端2的IP地址(相当于数据包发送源 终端的地址信息。以下将其称为第2发送源IP地址)。认证请求部112 将通过数据包解析部113所提取的认证信息和第2发送源IP地址发送 至认证服务器12而进行认证请求。

认证服务器12的地址判定部125判定从认证请求部112发送来的 第2发送源IP地址(即、通过数据包解析部113由从正式认证控制部 22向服务提供服务器11发送的数据包所提取的第2发送源IP地址) 和与从该数据包所提取的认证信息对应起来存储于IP地址表123的地 址信息(第1发送源IP地址)是否一致。在此，若地址信息不一致则 认证失败。

在通过地址判定部125判定为地址信息一致的情况下，正式认证 处理部126基于从正式认证控制部22向服务提供服务器11发送并转 送至正式认证处理部126的认证信息，进行正式认证。例如，正式认 证处理部126将从服务提供服务器11接收到的认证信息中包含的用户 ID作为密钥(key)而参照认证数据库128，检查认证数据库128上 的一次性口令和从服务提供服务器11接收到的认证信息中包含的一 次性口令是否相同。若口令相同则认证成功，若不相同则认证失败。

如上所述，虽然在本实施方式中采用一次性口令，但是按照在预 认证和正式认证中相同的一次性口令各有效一次的方式进行管理。 即、在预认证中使用一次的认证信息在预认证中不能再次使用，但是 在正式认证中仍然有效。一次性口令在预认证和正式认证的双方结束 时完全无效。为了使一次性口令完全无效，正式认证处理部126在正 式认证成功之后从认证数据库128中删除一次性口令。

正式认证结果通知部127经由服务提供服务器11向用户终端2 通知利用地址判定部125及正式认证处理部126进行的正式认证的成 功与否。具体而言，正式认证结果通知部127将利用地址判定部125 进行的地址信息的一致判定的结果或者利用正式认证处理部126进行 的认证的结果作为正式认证的成功与否，通知给服务提供服务器11 的认证请求部112。认证请求部112经由服务提供部111将从正式认 证结果通知部127接受到的通知转送至用户终端2的正式认证控制部 22。

在被通知了正式认证失败的情况下，正式认证控制部22例如将 认证失败的情况显示于用户终端2的显示装置(未图示)的画面上， 并结束认证处理。另一方面，在向正式认证控制部22通知了正式认 证成功的情况下，在其之后用户终端2处于能够通过服务提供服务器 11的服务提供部111接受信息通信服务的状态。

以上所说明的本实施方式涉及的认证服务器系统1的功能构成及 用户终端2的功能构成也可以通过硬件、DSP(digital signal processor、 数字信号处理器)、软件的任意一种来实现。例如，在通过软件实现 的情况下，本实施方式的认证服务器系统1及用户终端2实际上具备 计算机的CPU(中央处理器)或者MPU(微处理器)、RAM(随机存 取存储器)、ROM(只读存储器)等而构成，并能够通过RAM或ROM 中存储的程序进行动作而实现。

因此，能够通过将使计算机以发挥上述本实施方式的功能的方式 动作的程序记录于例如CD-ROM(只读光盘存储器)这样的记录介 质，并读入认证服务器系统1或用户终端2的计算机而实现。作为记 录上述程序的记录介质，除了CD-ROM以外，还能够采用软盘、硬 盘、磁带、光盘、光磁盘、DVD、非易失性存储卡等。另外，也可以 通过将上述程序经由因特网等的网络下载于计算机中而实现。例如， 用户终端2的程序也可以从认证服务器系统1下载。

接着，说明如上构成的本实施方式涉及的访问控制系统的动作。 图4是表示本实施方式涉及的访问控制系统的预认证时的动作例的流 程图。图5是表示本实施方式涉及的访问控制系统的正式认证时的动 作例的流程图。

首先，说明预认证时的动作。在图4中，首先，用户终端2的一 次性口令生成部23在根据用户的指示被起动时，自动地生成一次性 口令(步骤S1)。然后，预认证控制部21向中间服务器13发送认证 信息(用户ID及通过一次性口令生成部23生成的一次性口令)(步 骤S2)。当中间服务器13的认证请求部131从用户终端2接收到认证 信息的通信数据包时，数据包解析部132解析该通信数据包，并提取 认证信息及第1发送源IP地址(步骤S3)。然后，认证请求部131向 认证服务器12发送通过数据包解析部132所提取的认证信息和第1 发送源IP地址而进行认证请求(步骤S4)。

当从中间服务器13接收认证信息时，认证服务器12的预认证处 理部121基于该接收到的认证信息进行预认证(步骤S5)。在此，若 利用从中间服务器13接收到的认证信息中包含的一次性口令进行的 认证为第一次认证、并且该一次性口令和通过预认证处理部121利用 与一次性口令生成部23相同的信息以相同的方法所生成的一次性口 令相同，则认证成功。另一方面，在利用一次性口令进行的认证为第 2次以后的认证的情况下、或者如上所述比较的一次性口令不相同的 情况下，认证失败。

预认证处理部121判定预认证是否成功(步骤S6)，在判定为认 证成功的情况下，将一次性口令注册于认证数据库128，并且向存储 处理部122及预认证结果通知部124通知认证成功。另一方面，在判 定为认证失败的情况下，预认证处理部121向预认证结果通知部124 通知认证失败。存储处理部122从预认证处理部121接受认证成功的 通知后，将第1发送源IP地址与预认证中使用的认证信息对应起来存 储于IP地址表123(步骤S7)。如上所述，之后预认证处理部121将 利用来自中间服务器13的相同的认证信息进行的认证请求(预认证) 的结果都设为失败。另外，在预认证失败的情况下，不进行通过存储 处理部122的步骤S7的处理。

预认证结果通知部124从预认证处理部121接受认证成功或者认 证失败的通知，并将该认证结果发送至中间服务器13(步骤S8)。另 外，中间服务器13向用户终端2发送从预认证结果通知部124收到 的认证结果(步骤S9)。在这样从认证服务器12经由中间服务器13 收到预认证结果的通知的用户终端2中，预认证处理部121将预认证 成功或者失败的情况显示于用户终端2的显示装置(未图示)的画面 上(步骤S10)，并结束预认证处理。

接着，说明正式认证的动作。在图5中，首先，用户终端2的正 式认证控制部22利用Web浏览器的功能访问服务提供服务器11，并 在用户终端2的显示装置(未图示)上显示认证画面。然后，当用户 终端2的用户从认证画面输入认证信息(与预认证时相同的用户ID 及一次性口令)并按压发送按钮时，正式认证控制部22向服务提供 服务器11发送该输入的认证信息(步骤S21)。

当服务提供服务器11的服务提供部111从用户终端2接收到认证 信息的通信数据包时，数据包解析部113解析该通信数据包，并提取 认证信息及第2发送源IP地址(步骤S22)。然后，认证请求部112 向认证服务器12发送通过数据包解析部113所提取的认证信息和第2 发送源IP地址而进行认证请求(步骤S23)。

当在认证服务器12中从服务提供服务器11接收到认证信息时， 地址判定部125比较从服务提供服务器11发送来的第2发送源IP地 址和与从服务提供服务器11发送来的认证信息对应起来存储于IP地 址表123的第1发送源IP地址(步骤S24)，判定两者是否一致(步 骤S25)。

具体而言，地址判定部125将认证信息中包含的用户ID作为密 钥，参照IP地址表123。然后，在IP地址表123中没有与该用户ID 符合的记录的情况下，视作未进行预认证，从而认证失败。如果有与 用户ID符合的记录，则地址判定部125比较在该记录中存储的第1 发送源IP地址和从服务提供服务器11发送来的第2发送源IP地址， 在两者不一致的情况下认证失败。在认证失败的情况下，地址判定部 125通知正式认证结果通知部127认证失败。

另一方面，在第1发送源IP地址和第2发送源IP地址一致的情 况下，地址判定部125将该情况通知给正式认证处理部126。正式认 证处理部126接受该通知，并基于从服务提供服务器11接收到的认证 信息进行正式认证(步骤S26)。另外，在步骤S25的地址一致判定中 判断为认证失败的情况下，不进行正式认证。

正式认证处理部126判定正式认证是否成功(步骤S27)。然后， 在判定为认证成功的情况下，通知正式认证结果通知部127认证成功， 并且使一次性口令无效化(步骤S28)。一次性口令的无效化例如是通 过从认证数据库128中删除一次性口令并且从IP地址表123中删除在 预认证中记录的相应用户ID的记录而进行的。另一方面，在判定为 认证失败的情况下，正式认证处理部126通知正式认证结果通知部127 认证失败。另外，在正式认证失败的情况下，不进行步骤S28的处理。

正式认证结果通知部127从地址判定部125接受认证失败的通 知，或者从正式认证处理部126接受认证成功或认证失败的通知，并 向服务提供服务器11发送该认证结果(步骤S 29)。另外，服务提供 服务器11向用户终端2发送从正式认证结果通知部127收到的认证结 果(步骤S30)。

在这样从认证服务器12经由服务提供服务器11接收到正式认证 结果的通知的用户终端2中，正式认证控制部22将正式认证成功或 者失败的情况显示于用户终端2的显示装置(未图示)的画面上(步 骤S31)，并结束正式认证处理。在此，在正式认证成功的情况下，服 务提供服务器11许可之后来自用户终端2的访问。

如以上详细的说明，在本实施方式中，通过信息通信服务提供者 的认证服务器系统1和信息通信服务利用者的用户终端2构成访问控 制系统，并通过这两者之间的通信来进行认证处理。即、因为供应商 的网关装置不参与向信息通信服务的访问控制用的一连串认证处理， 所以无需获得供应商的协作并在网关装置中设置特别的构造。因此， 仅由信息通信服务提供者就能够组成访问控制用的系统。

另外，在本实施方式中，从用户终端2向认证服务器12发送相 同的认证信息而进行2次的认证(预认证及正式认证)，并在进行第2 次的正式认证时也进行表示认证信息的发送源终端的IP地址的一致 判定。由此，能够可靠地防止采用了钓鱼行为的来自恶意第三者的电 子欺骗。

即、在正当用户欲进行正式认证时，恶意的第三者通过向假冒网 站的诱导来窃取认证信息，并从第三者的终端向服务提供服务器11 发送认证信息来尝试正式认证。此时，当正当用户未进行正式认证时， 一次性口令在正式认证中仍然有效，因此若没有IP地址的一致判定则 第三者的认证会成功。这就是通常的网络钓鱼。但是，在本实施方式 中，在正式认证时也进行IP地址的比较。这种情况下，因为第三者的 终端的IP地址未注册于IP地址表123，所以认证失败。由此，能够 可靠地防止采用了钓鱼行为的来自恶意第三者的电子欺骗。

万一第三者获知中间服务器13的存在和预认证的构造，为了将 第三者的终端的IP地址注册于认证服务器12，将通过向假冒网站的 诱导而窃取到的认证信息最初发送至中间服务器13。即使在这种情况 下，因为正当用户的预认证已经进行，关于预认证而言一次性口令已 经变为无效，所以认证失败，第三者的IP地址不会注册于IP地址表 123。

但是，认证信息的窃取不仅限于向假冒网站诱导的钓鱼行为，也 存在通过在正当用户进行预认证时从用户终端2向中间服务器13访 问的通信路上的窃听而进行的情况。即使第三者通过通信路上的窃听 而窃取了认证信息，正当用户发送的认证信息也会原封不动地发送至 认证服务器12，并接受第1次的预认证。在本实施方式中作为认证信 息而采用了一次性口令，因此即使之后第三者向中间服务器13发送 相同的认证信息，由于该认证成为第2次的预认证，所以认证失败。 由此，也能够可靠地防止基于采用了通信路上的窃听的电子欺骗的不 当访问。

另外，若第三者先于正当用户向中间服务器13发送认证信息， 则第三者会接受预认证。但是，由于从用户终端2向中间服务器13 的连接是自动进行的，所以在预认证时用户不会被诱导至假冒网站。 由此，正当用户发送的认证信息不可能以不到达中间服务器13的方 式被窃取。有可能通过从用户终端2向中间服务器13的通信路上监 听发送内容而被窃取，但是如上所述，事实上在通信路上监听了认证 信息的第三者不可能先于正当用户向中间服务器13发送认证信息。 由此，能够构建可靠地拒绝基于电子欺骗的不当访问的高安全性的网 络系统。

另外，在上述实施方式中，将中间服务器13置于用户终端2与 认证服务器12之间，这是考虑到认证服务器12通过防火墙防御外部 网络3的缘故，因而对于本发明而言不是必要构成。在未采用中间服 务器13的情况下，例如也可以将认证请求部131的功能设置于用户 终端2，将数据包解析部132的功能设置于认证服务器12。

另外，在上述实施方式中，作为数据包发送源终端的地址信息而 采用了IP地址，但是本发明并不限定于此。例如，也可以采用MAC (Media Access Control、介质访问控制)地址。

另外，在上述实施方式中，在进行了预认证之后，从用户终端2 向服务提供服务器11访问并显示认证画面，用户输入认证信息，但是 本发明并不限定于此。例如，也可以在预认证控制部21从认证服务 器12经由中间服务器13接收了预认证成功的通知时，正式认证控制 部22自动地指定服务提供服务器11的IP地址，并自动地发送与预认 证时相同的认证信息。这样进行的话，也能够消除在正式认证时诱导 至假冒网站的风险。

另外，在上述实施方式中，认证服务器系统1按照针对预认证及 正式认证的各个认证使相同的一次性口令各一次有效的方式，使预认 证处理部121及正式认证处理部126动作，但是本发明并不限定于此。 例如，也可以在预认证和正式认证中分别使用各自的一次性口令。这 种情况下，一次性口令生成部23在预认证时和正式认证时的两次认 证时生成不同的一次性口令。另外，正式认证处理部126也自己生成 一次性口令，并进行与预认证处理部121同样的认证。因此，预认证 处理部121无需在预认证成功时将一次性口令注册于认证数据库128。

另外，在上述实施方式中，示出了一次性口令的生成方法和利用 该一次性口令进行的认证方法的一例，但是本发明并不限定于此。即、 可以应用除此之外的公知方法。例如，也可以应用专利文献1记载的 方法。

另外，在上述实施方式中，说明了将用户ID作为认证信息的一 部分而使用的例子，但是本发明并不限定于此。例如，也可以采用识 别用户终端2的设备ID。或者，也可以采用安装于用户终端2而使用 的USB存储器等的设备ID。在使用USB存储器的情况下，也可以使 该USB存储器具备预认证控制部21、正式认证控制部22及一次性口 令生成部23的功能。这样的话，不需要对用户终端2预先安装软件。

除此之外，上述实施方式只是示出了实施本发明时的具体化的一 例，但是并非由此限定性解释本发明的技术范围。即、本发明在不脱 离其主旨或者其主要特征的范围内可以以各种方式进行实施。 (工业上的可利用性)

本发明可以利用于通过采用了ID和口令的认证处理来进行从用 户终端向信息通信服务提供用的网络访问的访问控制的系统。