JP2017091235A - Authentication system, electronic apparatus, authentication method, and authentication program - Google Patents
Authentication system, electronic apparatus, authentication method, and authentication program Download PDFInfo
- Publication number
- JP2017091235A JP2017091235A JP2015220940A JP2015220940A JP2017091235A JP 2017091235 A JP2017091235 A JP 2017091235A JP 2015220940 A JP2015220940 A JP 2015220940A JP 2015220940 A JP2015220940 A JP 2015220940A JP 2017091235 A JP2017091235 A JP 2017091235A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- information
- processing apparatus
- connection request
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Facsimiles In General (AREA)
Abstract
Description
本発明は、認証システム、電子機器、認証方法及び認証プログラムに関する。 The present invention relates to an authentication system, an electronic device, an authentication method, and an authentication program.
従来、利便性の向上のために、画像形成装置等の電子機器をネットワークに接続し、PC(Personal Computer)等の情報処理装置からリモートで利用する技術が知られている。例えば、かかる技術では、電子機器にWebサーバが組み込まれており、電子機器によって生成されたWeb画面を利用して、情報処理装置でログイン操作を行なうことにより、電子機器のリモート操作を実現している。 2. Description of the Related Art Conventionally, a technique for connecting an electronic device such as an image forming apparatus to a network and using it remotely from an information processing apparatus such as a PC (Personal Computer) has been known for improving convenience. For example, in such a technique, a Web server is incorporated in an electronic device, and a remote operation of the electronic device is realized by performing a login operation on the information processing apparatus using a Web screen generated by the electronic device. Yes.
しかしながら、従来技術は、セキュリティの確保が困難であるという問題がある。具体的には、従来技術は、ログイン可能なユーザの情報が電子機器に予め設定されており、初期状態においては誰でもログインが可能であるため、第三者によって不正にログインされる可能性がある。 However, the conventional technique has a problem that it is difficult to ensure security. Specifically, in the prior art, information on a user who can log in is preset in an electronic device, and anyone can log in in the initial state, so there is a possibility that a third party may log in illegally. is there.
本発明は、上記に鑑みてなされたものであって、煩わしい操作をさせることなく、電子機器をリモート操作する際のセキュリティを確保することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to ensure security when remotely operating an electronic device without causing troublesome operations.
上述した課題を解決し、目的を達成するため、本発明に係る認証システムは、電子機器を操作する情報処理装置から第1の接続要求を受け付ける第1の接続要求受付部と、前記第1の接続要求の受け付けに応じて、前記情報処理装置からの接続を許可する指示を受け付ける接続許可受付部と、前記情報処理装置からの接続を許可する指示が受け付けられた場合に、前記情報処理装置から前記電子機器に対する接続で使用可能な接続情報を生成する接続情報生成部と、前記第1の接続要求に対して、生成された前記接続情報を含む第1の接続許可情報を応答する第1の応答部と、前記情報処理装置から前記接続情報を使用した第2の接続要求を受け付ける第2の接続要求受付部と、前記第2の接続要求で使用された接続情報に基づき認証処理を実行する認証処理部と、前記認証処理により認証が成功した場合に、前記第2の接続要求に対して、第2の接続許可情報を応答する第2の応答部とを有する。 In order to solve the above-described problems and achieve the object, an authentication system according to the present invention includes a first connection request receiving unit that receives a first connection request from an information processing apparatus that operates an electronic device, and the first connection request In response to accepting a connection request, when a connection permission accepting unit that accepts an instruction to permit connection from the information processing device and an instruction that authorizes connection from the information processing device are received from the information processing device A connection information generation unit that generates connection information that can be used for connection to the electronic device, and a first connection permission information that includes the generated connection information in response to the first connection request. A response unit, a second connection request accepting unit that accepts a second connection request using the connection information from the information processing device, and an authentication process based on the connection information used in the second connection request. When the authentication processing unit rows to, the authentication by the authentication process is successful, to the second connection request, and a second response unit for responding a second connection permission information.
本発明の一つの様態によれば、煩わしい操作をさせることなく、電子機器をリモート操作する際のセキュリティを確保することができるという効果を奏する。 According to one aspect of the present invention, there is an effect that it is possible to ensure security when remotely operating an electronic device without causing troublesome operations.
以下に添付図面を参照して、本発明に係る認証システム、電子機器、認証方法及び認証プログラムの実施の形態を説明する。なお、以下の実施の形態により本発明が限定されるものではない。なお、各実施の形態は、内容を矛盾させない範囲で適宜組み合わせることができる。 Embodiments of an authentication system, an electronic device, an authentication method, and an authentication program according to the present invention will be described below with reference to the accompanying drawings. In addition, this invention is not limited by the following embodiment. It should be noted that the embodiments can be appropriately combined as long as the contents are not contradictory.
(実施の形態1)
[実施の形態1に係るシステム構成]
図1を用いて、実施の形態1に係る認証システムのシステム構成を説明する。図1は、実施の形態1に係る認証システムのシステム構成例を示す図である。
(Embodiment 1)
[System Configuration According to Embodiment 1]
The system configuration of the authentication system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating a system configuration example of an authentication system according to the first embodiment.
図1に示すように、認証システム1には、電子機器100と、情報処理装置200とが含まれる。各装置は、図示した台数に限られるものではなく、複数台存在しても良い。また、各装置は、LAN(Local Area Network)等を介して、インターネット等のネットワークに接続することができる。本実施の形態において、電子機器100は、情報処理装置200によるリモート操作の対象機器である。以下では、電子機器100は、MFP(Multi‐Function Printer)等の画像形成装置である場合を例に挙げて説明する。また、情報処理装置200が、PC(Personal Computer)等のリモート装置である場合を例に挙げて説明する。
As shown in FIG. 1, the authentication system 1 includes an
上述した構成において、電子機器100は、通常はリモート装置である情報処理装置200からのログイン要求や接続要求の受け付け待ちの状態となる。ユーザは、情報処理装置200を利用して電子機器100をリモート操作するために、ログイン要求のための操作を行なう。ログイン要求のための操作を受け付けた情報処理装置200は、電子機器100に対してhttps(Hypertext Transfer Protocol Secure)接続し、ログインを要求する。情報処理装置200からログイン要求を受け付けた電子機器100は、ログイン画面を生成し、ログイン要求に対して、生成したログイン画面を応答する。ログイン画面には、ユーザ識別情報であるログイン名や、任意の文字列等をログイン情報として入力するためのオブジェクトが含まれる。情報処理装置200は、ログイン画面を受信し、受信したログイン画面を表示部に表示する。
In the configuration described above, the
ユーザは、情報処理装置200を利用してログイン情報を入力するとともに、電子機器100に接続するための操作を行なう。ログイン情報のうち、任意の文字列を入力するためのオブジェクトには、ユーザ個人を特定できる情報が入力されることが好ましい。例えば、ユーザは、個人名や電話番号等のユーザ個人を特定できる情報を入力する。情報処理装置200は、入力されたログイン情報を電子機器100に対して送信し、接続を要求する。以下では、情報処理装置200から電子機器100への初回の接続要求を、「第1の接続要求」と呼ぶ場合がある。これにより、電子機器100は、第1の接続要求を受け付ける。第1の接続要求を受け付けた電子機器100は、ログイン情報に含まれるログイン名と任意の文字列とを表示部に表示する。
The user uses the
電子機器100の管理者は、ログイン名と任意の文字列を確認し、正当なユーザであると判断した場合に、該当する情報処理装置200からの接続を許可するための操作を行なう。例えば、管理者は、ユーザ個人を特定できる情報に基づき、ユーザ本人に直接確認したのちに接続を許可するための操作を行なう。これにより、第三者によるなりすましを防止することができる。管理者による接続許可の操作により、電子機器100は、情報処理装置200からの接続を許可する指示を受け付ける。そして、電子機器100は、情報処理装置200からの接続を許可する指示を受け付けた場合に、情報処理装置200から電子機器100に対する以降の接続で使用可能な接続情報を生成する。例えば、接続情報は、情報処理装置200から電子機器100に対して接続する際に使用する接続用URL(Uniform Resource locator)である。
When the administrator of the
続いて、電子機器100は、情報処理装置200からの第1の接続要求に対して、生成した接続用URLを含む接続許可情報を応答する。また、電子機器100は、接続用URLを、情報処理装置200による以降の接続時の認証処理のために保存しておく。以下では、電子機器100から情報処理装置200へ応答される初回の接続許可情報を、「第1の接続許可情報」と呼ぶ場合がある。これにより、第1の接続許可情報を受信した情報処理装置200は、電子機器100のリモート操作が可能となる。また、情報処理装置200は、第1の接続許可情報に含まれる接続用URLを、以降の接続で使用するために保存しておく。
Next, the
第1の接続許可情報が受信されたことによって可能となったリモート操作の終了後、ユーザは、情報処理装置200を利用して電子機器100を再度リモート操作するために、ログインのための操作を行なう。これにより、情報処理装置200は、保存された接続用URLを使用して電子機器100に接続を要求する。ここで、情報処理装置200は、電子機器100に対する2回目以降の接続で、第1の接続許可情報に含まれる接続用URLを使用するため、ログイン名等のログイン情報をユーザに入力させなくて良い。以下では、情報処理装置200から電子機器100への2回目以降の接続要求を、「第2の接続要求」と呼ぶ場合がある。電子機器100は、第2の接続要求を受け付けると、第2の接続要求で使用された接続用URLに基づき認証処理を実行する。
After the remote operation enabled by receiving the first connection permission information, the user performs an operation for login in order to remotely operate the
例えば、電子機器100は、保存しておいた接続用URLと、第2の接続要求で使用された接続用URLとを照合することで、認証処理を実行する。ここで、電子機器100は、接続用URLの一致により認証が成功した場合に、情報処理装置200からの第2の接続要求に対して、接続許可情報を応答する。以下では、電子機器100から情報処理装置200へ応答される2回目以降の接続許可情報を、「第2の接続許可情報」と呼ぶ場合がある。これにより、第2の接続許可情報を受信した情報処理装置200は、電子機器100のリモート操作が可能となる。
For example, the
つまり、認証システム1は、接続を許可した情報処理装置200に対し、以降の接続で使用可能な接続情報を通知し、接続情報を使用した情報処理装置200からの接続に対し、接続情報に基づき認証処理を実行する。この結果、認証システム1は、煩わしい操作をさせることなく、電子機器100をリモート操作する際のセキュリティを確保することができる。
In other words, the authentication system 1 notifies the
[実施の形態1に係る情報処理装置のハードウェア構成]
次に、図2を用いて、実施の形態1に係る情報処理装置200のハードウェア構成を説明する。図2は、実施の形態1に係る情報処理装置200のハードウェア構成例を示すブロック図である。
[Hardware Configuration of Information Processing Apparatus According to Embodiment 1]
Next, the hardware configuration of the
図2に示すように、情報処理装置200は、CPU(Central Processing Unit)202と、RAM(Random Access Memory)203と、ROM(Read Only Memory)204と、通信I/F205と、表示I/F206と、操作I/F207とを有する。上記各部は、バス201を介して互いに接続される。
As shown in FIG. 2, the
CPU202は、情報処理装置200全体の動作を制御する。CPU202は、ROM204等に記憶されたプログラムを、RAM203等を作業領域として実行することで、情報処理装置200全体の動作を制御する。ROM204は、情報処理装置200による処理を実現するためのプログラムを記憶する。RAM203は、ROM204等に格納されたプログラムの実行時の作業領域である。通信I/F205は、電子機器100等との通信を制御するインタフェースである。表示I/F206は、表示装置に接続され、CPU202による制御に従い表示装置を制御するインタフェースである。操作I/F207は、マウスやキーボード等の操作機器に接続され、CPU202による制御に従い操作機器を制御するインタフェースである。
The
[実施の形態1に係る電子機器のハードウェア構成]
次に、図3を用いて、実施の形態1に係る電子機器100のハードウェア構成を説明する。図3は、実施の形態1に係る電子機器100のハードウェア構成例を示すブロック図である。上述したように、本実施の形態では、電子機器100がMFP等の画像形成装置である場合を例に挙げる。
[Hardware Configuration of Electronic Device According to Embodiment 1]
Next, the hardware configuration of the
図3に示すように、MFPとしての電子機器100は、コントローラ10と、エンジン(Engine)部60とがPCIバスで接続された構成を有する。コントローラ10は、電子機器100全体の制御と描画、通信、各種入力を制御するコントローラである。エンジン部60は、PCIバスに接続可能なプリンタエンジン等であり、例えば、白黒プロッタ、1ドラムカラープロッタ、4ドラムカラープロッタ、スキャナ又はファックスユニット等である。なお、エンジン部60には、プロッタ等のいわゆるエンジン部分に加えて、誤差拡散やガンマ変換等の画像処理部分が含まれる。
As shown in FIG. 3, an
コントローラ10は、CPU11と、ノースブリッジ(NB)13と、システムメモリ(MEM‐P)12と、サウスブリッジ(SB)14と、ローカルメモリ(MEM‐C)17と、ASIC16と、ハードディスクドライブ(HDD)18とを有し、ノースブリッジ13とASIC16との間がAGP(Accelerated Graphics Port)バス15で接続された構成となる。また、MEM−P12は、ROM12aと、RAM12bとをさらに有する。
The
CPU11は、電子機器100の全体制御を行なうものであり、ノースブリッジ13、MEM−P12及びサウスブリッジ14を含むチップセットを有し、このチップセットを介して他の機器と接続される。ノースブリッジ13は、CPU11と、MEM−P12と、サウスブリッジ14と、AGPバス15とを接続するためのブリッジであり、MEM−P12に対する読み書き等を制御するメモリコントローラ、PCIマスタ及びAGPターゲットを有する。
The CPU 11 performs overall control of the
MEM−P12は、プログラムやデータの格納用メモリ、プログラムやデータの展開用メモリ、プリンタの描画用メモリ等として用いられるシステムメモリであり、ROM12aとRAM12bとを有する。ROM12aは、プログラムやデータの格納用メモリとして用いられる読み出し専用のメモリである。RAM12bは、プログラムやデータの展開用メモリ、プリンタの描画用メモリ等として用いられる書き込み及び読み出し可能なメモリである。サウスブリッジ14は、ノースブリッジ13とPCIデバイス、周辺デバイスとを接続するためのブリッジである。このサウスブリッジ14は、PCIバスを介してノースブリッジ13と接続されており、このPCIバスには、ネットワークインタフェース部等も接続される。
The MEM-P 12 is a system memory used as a memory for storing programs and data, a memory for developing programs and data, a drawing memory for printers, and the like, and includes a
ASIC16は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス15、PCIバス、HDD18及びMEM−C17をそれぞれ接続するブリッジの役割を有する。このASIC16は、PCIターゲット及びAGPマスタと、ASIC16の中核をなすアービタ(ARB)と、MEM−C17を制御するメモリコントローラと、ハードウェアロジック等により画像データの回転等を行なう複数のDMAC(Direct Memory Access Controller)と、エンジン部60との間でPCIバスを介したデータ転送を行なうPCIユニットとを含む。このASIC16には、PCIバスを介してFCU(Facsimile Control Unit)30、USB(Universal Serial Bus)40、IEEE1394(the Institute of Electrical and Electronics Engineers 1394)インタフェース50が接続される。操作表示部20は、ASIC16に直接接続されている。
The ASIC 16 is an IC (Integrated Circuit) for image processing having hardware elements for image processing, and has a role of a bridge for connecting the
MEM−C17は、コピー用画像バッファ、符号バッファとして用いるローカルメモリであり、HDD(Hard Disk Drive)18は、画像データの蓄積、プログラムの蓄積、フォントデータの蓄積、フォームの蓄積を行なうためのストレージである。AGPバス15は、グラフィック処理を高速化するために提案されたグラフィックアクセラレータカード用のバスインタフェースであり、MEM−P12に高スループットで直接アクセスすることにより、グラフィックアクセラレータカードを高速にするものである。
The MEM-C 17 is a local memory used as a copy image buffer and a code buffer, and an HDD (Hard Disk Drive) 18 is a storage for storing image data, programs, font data, and forms. It is. The
[実施の形態1に係る各装置の機能構成]
次に、図4を用いて、実施の形態1に係る各装置の機能構成を説明する。図4は、実施の形態1に係る電子機器100及び情報処理装置200の機能構成例を示すブロック図である。
[Functional configuration of each device according to Embodiment 1]
Next, the functional configuration of each apparatus according to Embodiment 1 will be described with reference to FIG. FIG. 4 is a block diagram illustrating a functional configuration example of the
図4に示すように、電子機器100は、通信部110と、画面生成部111と、画面送信制御部112と、操作表示制御部113と、第1の接続要求受付部114と、接続許可受付部115と、接続拒否受付部116とを有する。加えて、電子機器100は、接続情報生成部117と、第1の応答部118と、記憶部119と、第2の接続要求受付部120と、認証処理部121と、第2の応答部122とを有する。これらのうち、通信部110及び記憶部119以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As shown in FIG. 4, the
通信部110は、各種情報の送受信を制御する。画面生成部111は、通信部110を介して、情報処理装置200からログイン要求が受け付けられた場合に、ログイン情報を入力するためのログイン画面を生成する。画面送信制御部112は、画面生成部111によって生成されたログイン画面を、通信部110を介して、ログイン要求を行なった情報処理装置200に対して送信する。これらにより、ログイン要求を行なった情報処理装置200は、電子機器100からログイン画面を受信する。そして、情報処理装置200は、ログイン画面を表示し、ログイン情報の入力に応じて、ログイン情報を含む第1の接続要求を電子機器100に対して行なう。例えば、ログイン情報には、ログイン名や任意の文字列(メッセージ)が含まれる。
The
操作表示制御部113は、操作表示部20における入力処理や表示処理を制御する。第1の接続要求受付部114は、通信部110を介して、電子機器100をリモート操作する情報処理装置200から、ログイン名や任意の文字列(メッセージ)等のログイン情報を含む第1の接続要求を受け付ける。これにより、操作表示制御部113は、第1の接続要求受付部114によって受け付けられたログイン名と任意の文字列(メッセージ)とを、操作表示部20に表示出力する。接続許可受付部115は、第1の接続要求の受け付けに応じて、情報処理装置200からの接続を許可する指示を受け付ける。より具体的には、接続許可受付部115は、操作表示部20に対する管理者の操作に応じて、接続を許可する指示を受け付ける。接続拒否受付部116は、第1の接続要求の受け付けに応じて、情報処理装置200からの接続を拒否する指示を受け付ける。より具体的には、接続拒否受付部116は、操作表示部20に対する管理者の操作に応じて、接続を拒否する指示を受け付ける。
The operation
図5は、実施の形態1に係る操作表示部20の構成例を示す図である。例えば、図5に示すように、操作表示部20には、コピー、スキャナ、プリンタ及びネットワーク等の初期設定のためのタッチキーの他に、接続許可タッチキーと、接続拒否タッチキーとが表示される。また、操作表示部20には、操作表示制御部113による制御により、接続要求に応じて、ログイン名やメッセージ等が表示される。電子機器100の管理者は、ログイン名やメッセージを確認し、情報処理装置200からの接続を許可すると判断した場合に、接続許可タッチキーをタップする。これにより、接続許可受付部115は、接続を許可する指示を受け付ける。そして、電子機器100は、後述するように、接続許可情報を情報処理装置200に対して送信する。接続許可情報を受信した情報処理装置200は、電子機器100のリモート操作が可能となる。
FIG. 5 is a diagram illustrating a configuration example of the
一方、電子機器100の管理者は、ログイン名やメッセージを確認し、情報処理装置200からの接続を許可しないと判断した場合に、接続拒否タッチキーをタップする。これにより、接続拒否受付部116は、接続を拒否する指示を受け付ける。そして、電子機器100は、後述するように、接続拒否情報を情報処理装置200に対して送信する。接続拒否情報を受信した情報処理装置200は、電子機器100のリモート操作を行なうことができない。管理者による接続許可や接続拒否の判断については、ログイン名やメッセージに表示されたユーザ個人を特定できる情報等に基づき行なわれれば良い。例えば、管理者は、ユーザ個人を特定する個人名や電話番号等に基づき、ユーザ本人に直接確認をとることで、接続許可や接続拒否の判断を行なうことができる。
On the other hand, when the administrator of the
接続情報生成部117は、接続を許可する指示が受け付けられた場合に、情報処理装置200から電子機器100に対する以降の接続で使用可能な接続情報を生成する。より具体的には、接続情報生成部117は、接続許可受付部115によって、情報処理装置200からの接続を許可する指示が受け付けられた場合に、該情報処理装置200から電子機器100に対する以降の接続で使用可能な接続用URLを生成する。図6は、実施の形態1に係る接続用URLの生成例を説明する図である。図6に示すように、接続情報生成部117は、固有の秘密鍵と、第1の接続要求に含まれるログイン情報のログイン名(ユーザ識別情報)とを組み合わせた文字列からハッシュ値を算出し、算出したハッシュ値を含む接続用URLを生成する。電子機器100は、固有の秘密鍵を予め保持しているものとする。
The connection
一般に、ハッシュ値から元の文字列を推定することは困難である。従って、第三者が他人のログイン名を認識していたとしても、固有の秘密鍵を含む文字列から算出されたハッシュ値を含む接続用URLであれば、推定されることはない。これらから、以降の接続では、ハッシュ値を含む接続用URLを使用して電子機器100に接続させ、そのときの認証処理に、この接続用URLを利用することができる。なお、図6では、160ビット長の数値を出力するハッシュ関数であるSHA−1を採用した例を示している。使用するハッシュ関数は、これに限定されるものではない。
In general, it is difficult to estimate an original character string from a hash value. Therefore, even if a third party recognizes the login name of another person, the URL is not estimated if it is a connection URL including a hash value calculated from a character string including a unique secret key. Accordingly, in the subsequent connection, the connection URL including the hash value is used to connect to the
例を挙げて説明すると、接続情報生成部117は、秘密鍵「secret」と、ログイン名「Soumu01」とを組み合わせて、文字列「secretSoumu01」を生成する。そして、接続情報生成部117は、生成した文字列「secretSoumu01」からSHA−1を用いて、ハッシュ値「d932762c9f8b8806910a944cacd10e952a089e58」を算出する。接続情報生成部117によって算出されたハッシュ値は、以降の接続で使用可能な接続情報である接続用URLとして、接続を許可された情報処理装置200に通知される。また、接続情報生成部117は、生成した接続用URLを記憶部119に格納する。
For example, the connection
第1の応答部118は、第1の接続要求に対して、生成された接続情報を含む第1の接続許可情報を応答する。より具体的には、第1の応答部118は、第1の接続要求受付部114によって受け付けられた第1の接続要求に対して、接続情報生成部117によって生成された接続用URLを含む接続許可情報である第1の接続許可情報を、通信部110を介して、情報処理装置200に応答する。また、接続拒否受付部116によって接続を拒否する指示が受け付けられた場合に、第1の応答部118は、第1の接続要求受付部114によって受け付けられた第1の接続要求に対して、接続拒否情報を、通信部110を介して、情報処理装置200に応答する。
The
第2の接続要求受付部120は、通信部110を介して、電子機器100をリモート操作する情報処理装置200から、接続用URLを使用した第2の接続要求を受け付ける。本実施の形態において、第2の接続要求には、第1の接続要求とは異なり、ログイン名や任意の文字列(メッセージ)等のログイン情報は含まれていなくても良い。
The second connection
認証処理部121は、第2の接続要求で使用された接続用URLに基づき認証処理を実行する。より具体的には、認証処理部121は、第2の接続要求受付部120によって第2の接続要求が受け付けられた際に使用された接続用URLと、接続情報生成部117によって生成され、記憶部119に格納された接続用URLとを照合することで、認証処理を実行する。接続用URLの照合により、一致する接続用URLが存在すれば認証は成功し、一致する接続用URLが存在しなければ認証は失敗する。そして、認証処理部121は、認証結果を第2の応答部122に対して出力する。なお、認証処理は、接続用URLの照合を行なう認証処理プログラムの実行により実現されても良い。
The
第2の応答部122は、認証処理により認証が成功した場合に、第2の接続要求に対して、第2の接続許可情報を応答する。より具体的には、第2の応答部122は、認証処理部121による認証処理が成功した場合に、第2の接続要求受付部120によって受け付けられた第2の接続要求に対して、接続許可情報である第2の接続許可情報を、通信部110を介して、情報処理装置200に応答する。また、認証処理部121による認証処理が失敗した場合に、第2の応答部122は、第2の接続要求受付部120によって受け付けられた第2の接続要求に対して、接続拒否情報を、通信部110を介して、情報処理装置200に応答する。
The
また、図4に示すように、情報処理装置200は、操作受付部210と、表示制御部211と、記憶部212と、送信制御部213と、通信部214と、受信制御部215とを有する。これらのうち、記憶部212及び通信部214以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As illustrated in FIG. 4, the
操作受付部210は、マウスやキーボード等を用いた各種操作を、操作I/F207を介して受け付ける。例えば、操作受付部210は、電子機器100に対するログイン要求・接続要求のための操作や、ログイン画面に対するログイン情報の入力操作、接続要求に関する情報やログイン情報等の各種情報を電子機器100に送信するための操作等を受け付ける。表示制御部211は、表示I/F206を介して、各種画面を表示装置に表示するための制御を行なう。例えば、表示制御部211は、ログイン画面の表示やログイン情報の入力に応じた表示、電子機器100への接続の許可又は拒否に関する情報等の表示を制御する。
The
送信制御部213は、電子機器100に対する各種情報の送信を制御する。例えば、送信制御部213は、操作受付部210によってログイン要求のための操作が受け付けられた場合に、通信部214を介して、電子機器100に対してログイン要求に関する情報を送信する。また、送信制御部213は、操作受付部210によってログイン情報の入力や送信のための操作が受け付けられた場合に、通信部214を介して、電子機器100に対してログイン情報を含む第1の接続要求に関する情報を送信する。また、送信制御部213は、操作受付部210によって接続用URLを使用した接続要求のための操作が受け付けられた場合に、通信部214を介して、電子機器100に対して第2の接続要求に関する情報を送信する。
The
受信制御部215は、電子機器100からの各種情報の受信を制御する。例えば、受信制御部215は、送信制御部213によるログイン要求に関する情報の送信に対する電子機器100からの応答として、通信部214を介して、ログイン画面を受信する。受信されたログイン画面は、表示制御部211によって表示装置に表示出力される。また、受信制御部215は、送信制御部213による第1の接続要求に関する情報の送信に対する電子機器100からの応答として、通信部214を介して、接続用URLを含む第1の接続許可情報、又は、接続拒否情報を受信する。
The
受信制御部215によって第1の接続許可情報が受信された場合に、表示制御部211は、電子機器100への接続が許可されたことを表示装置に表示出力する。受信制御部215によって接続拒否情報が受信された場合に、表示制御部211は、電子機器100への接続が拒否されたことを表示装置に表示出力する。なお、接続用URLについては、ブックマーク等の方法で記憶部212に記憶され、次回以降の接続で指定されることにより、電子機器100への接続要求を実現することができる。
When the first connection permission information is received by the
また、受信制御部215は、送信制御部213による接続用URLを使用した第2の接続要求に関する情報の送信に対する電子機器100からの応答として、通信部214を介して、第2の接続許可情報、又は、接続拒否情報を受信する。受信制御部215によって第2の接続許可情報が受信された場合に、表示制御部211は、電子機器100への接続が許可されたことを表示装置に表示出力する。受信制御部215によって接続拒否情報が受信された場合に、表示制御部211は、電子機器100への接続が拒否されたことを表示装置に表示出力する。
Also, the
図7は、実施の形態1に係るログイン画面の例を示す図である。図7に示すように、ログイン画面には、ログイン名や任意の文字列であるメッセージを入力するためのUIと、ログイン情報を電子機器100に対して送信するためのログインボタンと、ログイン操作をキャンセルするためのキャンセルボタンとが表示される。また、ログイン画面には、接続先となる電子機器100のURL(例えば、「https://192.168.10.20/login」)が表示される。ログイン要求を行なった後にログイン画面が表示された場合に、ユーザは、ログイン名とメッセージとを入力し、ログインボタンを押下する。これにより、送信制御部213は、ログイン情報を含む第1の接続要求を行なう。なお、上述したように、第2の接続要求が行われる場合には、接続用URL(例えば、「https://192.168.10.20/d932762c9f8b8806910a944cacd10e952a089e58」)が使用される。
FIG. 7 is a diagram illustrating an example of a login screen according to the first embodiment. As shown in FIG. 7, the login screen includes a UI for inputting a message that is a login name or an arbitrary character string, a login button for transmitting login information to the
[実施の形態1に係る接続時の処理シーケンス]
次に、図8及び図9を用いて、実施の形態1に係る接続時の処理の流れを説明する。図8は、実施の形態1に係る初回接続時の処理の流れの例を示すシーケンス図である。図9は、実施の形態1に係る2回目以降の接続時の処理の流れの例を示すシーケンス図である。
[Processing sequence at the time of connection according to Embodiment 1]
Next, the flow of processing at the time of connection according to the first embodiment will be described with reference to FIGS. FIG. 8 is a sequence diagram illustrating an example of a flow of processing at the time of initial connection according to the first embodiment. FIG. 9 is a sequence diagram illustrating an example of a processing flow at the time of the second and subsequent connections according to the first embodiment.
図8に示すように、情報処理装置200は、電子機器100に対するログイン要求のための操作を受け付けた場合に、電子機器100に対してログイン要求を行なう(ステップS101)。例えば、ログイン要求時に使用されるURLは、「https://192.168.10.20/login」である。情報処理装置200からログイン要求を受け付けた電子機器100は、ログイン名や任意の文字列(メッセージ)を入力可能なログイン画面を生成する(ステップS102)。そして、電子機器100は、生成したログイン画面を情報処理装置200に対して送信する(ステップS103)。
As illustrated in FIG. 8, the
ログイン画面を受信した情報処理装置200は、ログイン画面を表示し、ログイン情報の入力等に応じて、電子機器100に対してログイン情報を含む第1の接続要求を行なう(ステップS104)。例えば、ログイン名は「Soumu01」であり、メッセージは「総務の田中」である。ログイン情報を含む第1の接続要求を受け付けた電子機器100は、ログイン名やメッセージ等のログイン情報を操作表示部20に表示出力する(ステップS105)。そして、電子機器100は、管理者による操作により、情報処理装置200からの接続を許可する指示を受け付ける(ステップS106)。
The
続いて、電子機器100は、接続を許可する指示が受け付けられた場合に、情報処理装置200から電子機器100に対する以降の接続で使用可能な接続用URLを生成する(ステップS107)。例えば、接続用URLには、固有の秘密鍵「secret」と、第1の接続要求に含まれるログイン情報のログイン名「Soumu01」とを組み合わせた文字列から算出されたハッシュ値「d932762c9f8b8806910a944cacd10e952a089e58」が利用される。その後、電子機器100は、生成された接続用URLを含む接続許可情報である第1の接続許可情報を、情報処理装置200に応答する(ステップS108)。これらにより、情報処理装置200は、電子機器100のリモート操作を行なうことができる。
Subsequently, when an instruction to permit connection is received, the
図9に示すように、情報処理装置200は、電子機器100に対する接続を要求するための操作等に応じて、電子機器100に対して、接続用URLを使用した第2の接続要求を行なう(ステップS201)。接続用URLを使用した第2の接続要求を受け付けた電子機器100は、使用された接続用URLと、情報処理装置200からの初回の接続時に生成した接続用URLとを照合することで、認証処理を実行する(ステップS202)。そして、電子機器100は、認証処理が成功した場合に、接続許可情報である第2の接続許可情報を、情報処理装置200に応答する(ステップS203)。これらにより、情報処理装置200は、電子機器100のリモート操作を行なうことができる。
As illustrated in FIG. 9, the
上述したように、認証システム1は、接続を許可された情報処理装置200が電子機器100への以降の接続で使用可能な接続情報を生成し、接続情報を使用した情報処理装置200からの接続要求に対し、接続情報に基づき認証処理を実行する。この結果、実施の形態1による効果として、煩わしい操作をさせることなく、電子機器100をリモート操作する際のセキュリティを確保することができる。
As described above, the authentication system 1 generates connection information that can be used by the
(実施の形態2)
上記実施の形態1では、初回の接続要求時に生成した接続用URLと、2回目以降の接続要求時に使用された接続用URLとを照合する認証処理を実行する場合を説明した。実施の形態2では、2回目以降の接続要求時の認証処理において、接続用URLを再生成し、再生成した接続用URLと、接続要求で使用された接続用URLとを照合する認証処理を実行する場合を説明する。
(Embodiment 2)
In the first embodiment, the case has been described in which the authentication process for comparing the connection URL generated at the first connection request with the connection URL used at the second and subsequent connection requests is executed. In the second embodiment, in the authentication process at the time of the second and subsequent connection requests, the connection URL is regenerated, and the authentication process for verifying the regenerated connection URL and the connection URL used in the connection request is performed. The case of executing will be described.
なお、実施の形態2では、実施の形態1と重複する記載は、その詳細な説明を省略する場合がある。例えば、実施の形態2に係る認証システムのシステム構成は、図1に示したシステム構成と同様である。また、実施の形態2に係る情報処理装置200aのハードウェア構成は、図2に示したハードウェア構成と同様である。また、実施の形態2に係る電子機器100aのハードウェア構成は、図3に示したハードウェア構成と同様である。
In the second embodiment, detailed description of the same description as in the first embodiment may be omitted. For example, the system configuration of the authentication system according to
[実施の形態2に係る各装置の機能構成]
図10を用いて、実施の形態2に係る各装置の機能構成を説明する。図10は、実施の形態2に係る電子機器100a及び情報処理装置200aの機能構成例を示すブロック図である。実施の形態2では、実施の形態1に係る各装置の機能構成と同様の構成については同一の符号を付し、その詳細な説明を省略する場合がある。具体的には、以下で説明する接続情報生成部117a、第2の接続要求受付部120a、認証処理部121a、操作受付部210a及び送信制御部213a以外の機能及び構成、処理は実施の形態1と同様である。
[Functional configuration of each apparatus according to Embodiment 2]
The functional configuration of each device according to the second embodiment will be described with reference to FIG. FIG. 10 is a block diagram illustrating a functional configuration example of the
図10に示すように、電子機器100aは、通信部110と、画面生成部111と、画面送信制御部112と、操作表示制御部113と、第1の接続要求受付部114と、接続許可受付部115と、接続拒否受付部116とを有する。加えて、電子機器100aは、接続情報生成部117aと、第1の応答部118と、記憶部119と、第2の接続要求受付部120aと、認証処理部121aと、第2の応答部122とを有する。これらのうち、通信部110及び記憶部119以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As illustrated in FIG. 10, the
第2の接続要求受付部120aは、通信部110を介して、電子機器100aをリモート操作する情報処理装置200aから、ユーザ識別情報であるログイン名を含む第2の接続要求を受け付ける。すなわち、本実施の形態において、第2の接続要求には、ユーザ識別情報であるログイン名が含まれる。なお、情報処理装置200aは、実施の形態1と同様に、電子機器100aへの2回目以降の接続要求で、電子機器100aへの初回の接続時に受信した接続用URLを使用する。
The second connection
接続情報生成部117aは、第2の接続要求が受け付けられた後、情報処理装置200aから電子機器100aに対する接続毎に、ハッシュ値を含む接続情報を再生成する。より具体的には、接続情報生成部117aは、第2の接続要求受付部120aによって、接続用URLを使用した情報処理装置200aからのログイン名を含む第2の接続要求が受け付けられた場合に、固有の秘密鍵と、ログイン名とを組み合わせた文字列からハッシュ値を算出し、算出したハッシュ値を含む接続用URLを再生成する。なお、本実施の形態において、接続情報生成部117aは、情報処理装置200aから電子機器100aへの初回の接続時に生成した接続用URLを記憶部119に格納しなくても良い。
After receiving the second connection request, the connection
認証処理部121aは、第2の接続要求で使用された接続情報と、再生成された接続情報とを照合する認証処理を実行する。より具体的には、認証処理部121aは、第2の接続要求受付部120aによって第2の接続要求が受け付けられた際に使用された接続用URLと、接続情報生成部117aによって再生成された接続用URLとを照合することで、認証処理を実行する。すなわち、電子機器100aは、2回目以降の接続要求において、接続用URLを再生成し、再生成した接続用URLを認証処理に利用することで、接続用URLが漏えいした場合であっても、ログイン名が漏えいしなければ第三者による不正な接続を防止することができる。
The
また、図10に示すように、情報処理装置200aは、操作受付部210aと、表示制御部211と、記憶部212と、送信制御部213aと、通信部214と、受信制御部215とを有する。これらのうち、記憶部212及び通信部214以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As illustrated in FIG. 10, the information processing apparatus 200 a includes an
操作受付部210aは、実施の形態1と同様に、電子機器100aに対する接続要求のための操作を受け付ける。実施の形態2において、操作受付部210aは、接続用URLを使用した接続要求のための操作の際に、ユーザ識別情報であるログイン名の入力を受け付ける。かかる接続要求は、第2の接続要求を指す。
The
送信制御部213aは、実施の形態1と同様に、電子機器100aに対する各種情報の送信を制御する。実施の形態2において、送信制御部213aは、操作受付部210aによって、接続用URLを使用した第2の接続要求のための操作が受け付けられた場合に、通信部214を介して、電子機器100aに対してログイン名を含む第2の接続要求に関する情報を送信する。これらにより、電子機器100aでは、第2の接続要求に含まれるログイン名と秘密鍵とから接続用URLが再生成され、再生成された接続用URLと、第2の接続要求で使用された接続用URLとに基づき認証処理が実行される。
The
[実施の形態2に係る接続時の処理シーケンス]
次に、図11を用いて、実施の形態2に係る接続時の処理の流れを説明する。図11は、実施の形態2に係る2回目以降の接続時の処理の流れの例を示すシーケンス図である。なお、実施の形態2に係る初回接続時の処理の流れは、実施の形態1と同様である。
[Processing sequence at the time of connection according to Embodiment 2]
Next, the flow of processing at the time of connection according to
図11に示すように、情報処理装置200aは、電子機器100aに対する接続を要求するための操作等に応じて、電子機器100aに対して、接続用URLを使用し、ログイン名を含む第2の接続要求を行なう(ステップS301)。第2の接続要求を受け付けた電子機器100aは、第2の接続要求に含まれるログイン名と、固有の秘密鍵とを組み合わせた文字列からハッシュ値を算出し、接続用URLを再生成する(ステップS302)。そして、電子機器100aは、再生成した接続用URLと、第2の接続要求で使用された接続用URLとを照合することで、認証処理を実行する(ステップS303)。続いて、電子機器100aは、認証処理が成功した場合に、接続許可情報である第2の接続許可情報を、情報処理装置200aに応答する(ステップS304)。これらにより、情報処理装置200aは、電子機器100aのリモート操作を行なうことができる。
As illustrated in FIG. 11, the information processing apparatus 200 a uses the connection URL to the
認証システム1は、情報処理装置200aからの接続要求時に、ログイン名と秘密鍵とから接続用URLを再生成し、再生成した接続用URLと、使用された接続用URLとを照合する認証処理を実行する。この結果、実施の形態2による効果として、接続用URLが第三者に漏えいしたとしても、第三者による不正な接続を防止することができる。 The authentication system 1 regenerates a connection URL from a login name and a secret key when a connection request is made from the information processing apparatus 200a, and performs an authentication process for verifying the regenerated connection URL and the used connection URL Execute. As a result, as an effect of the second embodiment, even if the connection URL leaks to a third party, unauthorized connection by the third party can be prevented.
(実施の形態3)
上記実施の形態1では、初回の接続要求時に生成した接続用URLと、2回目以降の接続要求時に使用された接続用URLとを照合する認証処理を実行する場合を説明した。実施の形態3では、初回の接続要求時に、情報処理装置200bを識別する識別情報を生成し、2回目以降の接続要求時の認証処理において、さらに識別情報に基づき認証処理を実行する場合を説明する。
(Embodiment 3)
In the first embodiment, the case has been described in which the authentication process for comparing the connection URL generated at the first connection request with the connection URL used at the second and subsequent connection requests is executed. In the third embodiment, a case is described in which identification information for identifying the
なお、実施の形態3では、実施の形態1と重複する記載は、その詳細な説明を省略する場合がある。例えば、実施の形態3に係る認証システムのシステム構成は、図1に示したシステム構成と同様である。また、実施の形態3に係る情報処理装置200bのハードウェア構成は、図2に示したハードウェア構成と同様である。また、実施の形態3に係る電子機器100bのハードウェア構成は、図3に示したハードウェア構成と同様である。
In the third embodiment, a detailed description of the description overlapping that of the first embodiment may be omitted. For example, the system configuration of the authentication system according to
[実施の形態3に係る各装置の機能構成]
図12を用いて、実施の形態3に係る各装置の機能構成を説明する。図12は、実施の形態3に係る電子機器100b及び情報処理装置200bの機能構成例を示すブロック図である。実施の形態3では、実施の形態1に係る各装置の機能構成と同様の構成については同一の符号を付し、その詳細な説明を省略する場合がある。具体的には、以下で説明する第1の応答部118b、第2の接続要求受付部120b、認証処理部121b、識別情報生成部123b、送信制御部213b及び受信制御部215b以外の機能及び構成、処理は実施の形態1と同様である。
[Functional configuration of each device according to Embodiment 3]
The functional configuration of each device according to
図12に示すように、電子機器100bは、通信部110と、画面生成部111と、画面送信制御部112と、操作表示制御部113と、第1の接続要求受付部114と、接続許可受付部115と、接続拒否受付部116とを有する。加えて、電子機器100bは、接続情報生成部117と、第1の応答部118bと、記憶部119と、第2の接続要求受付部120bと、認証処理部121bと、第2の応答部122と、識別情報生成部123bとを有する。これらのうち、通信部110及び記憶部119以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As illustrated in FIG. 12, the
識別情報生成部123bは、情報処理装置200bからの接続を許可する指示が受け付けられた場合に、情報処理装置200bを識別するための識別情報を生成する。より具体的には、識別情報生成部123bは、接続許可受付部115によって、情報処理装置200bからの接続を許可する指示が受け付けられた場合に、該情報処理装置200bを識別するための識別情報(例えば、HTTP cookie等)を生成する。また、識別情報生成部123bは、生成したHTTP cookieを記憶部119に格納する。
The identification
第1の応答部118bは、第1の接続要求に対して、生成された識別情報をさらに含む第1の接続許可情報を応答する。より具体的には、第1の応答部118bは、第1の接続要求受付部114によって受け付けられた第1の接続要求に対して、識別情報生成部123bによって生成されたHTTP cookieをさらに含む接続許可情報である第1の接続許可情報を、通信部110を介して、情報処理装置200bに応答する。すなわち、本実施の形態において、第1の接続許可情報には、接続情報生成部117によって生成された接続用URLに加え、識別情報生成部123bによって生成されたHTTP cookieが含まれる。
The first response unit 118b responds to the first connection request with the first connection permission information further including the generated identification information. More specifically, the first response unit 118b further includes an HTTP cookie generated by the identification
第2の接続要求受付部120bは、通信部110を介して、電子機器100bをリモート操作する情報処理装置200bから、識別情報であるHTTP cookieを含む第2の接続要求を受け付ける。本実施の形態において、第2の接続要求には、ログイン名や任意の文字列(メッセージ)等のログイン情報は含まれていなくても良い。なお、情報処理装置200bは、接続用URLを使用して第2の接続要求を行なう。
The second connection
認証処理部121bは、第2の接続要求に含まれる識別情報であるHTTP cookieに基づき認証処理を実行する。より具体的には、認証処理部121bは、第2の接続要求受付部120bによって第2の接続要求が受け付けられた場合に、第2の接続要求に含まれるHTTP cookieと、識別情報生成部123bによって生成され、記憶部119に格納されたHTTP cookieとを照合することで、認証処理を実行する。
The
また、認証処理部121bは、実施の形態1と同様に、第2の接続要求受付部120bによって第2の接続要求が受け付けられた際に使用された接続用URLと、接続情報生成部117によって生成され、記憶部119に格納された接続用URLとを照合する認証処理も実行する。すなわち、本実施の形態では、接続用URLの照合に加え、HTTP cookieの照合も行われる。これらの情報の照合により、一致すれば認証は成功し、一致しなければ認証が失敗する。そして、認証処理部121bは、認証結果を第2の応答部122に対して出力する。
Similarly to the first embodiment, the
また、図12に示すように、情報処理装置200bは、操作受付部210と、表示制御部211と、記憶部212と、送信制御部213bと、通信部214と、受信制御部215bとを有する。これらのうち、記憶部212及び通信部214以外の各部は、ソフトウェア(プログラム)で実現されても良いし、ハードウェア回路で実現されても良い。
As illustrated in FIG. 12, the
受信制御部215bは、実施の形態1と同様に、電子機器100bからの各種情報の受信を制御する。実施の形態3において、受信制御部215bは、送信制御部213bによる第1の接続要求に関する情報の送信に対する電子機器100bからの応答として、通信部214を介して、接続用URLやHTTP cookieを含む第1の接続許可情報、又は、接続拒否情報を受信する。なお、接続用URLやHTTP cookieは、記憶部212に記憶され、次回以降の接続で利用される。
The
送信制御部213bは、実施の形態1と同様に、電子機器100bに対する各種情報の送信を制御する。実施の形態3において、送信制御部213bは、操作受付部210によって接続用URLを使用した接続要求のための操作が受け付けられた場合に、通信部214を介して、電子機器100bに対してHTTP cookieを含む第2の接続要求に関する情報を送信する。これにより、電子機器100bでは、接続用URLやHTTP cookieに基づき認証処理が実行される。
The
[実施の形態3に係る接続時の処理シーケンス]
次に、図13及び図14を用いて、実施の形態3に係る接続時の処理の流れを説明する。図13は、実施の形態3に係る初回接続時の処理の流れの例を示すシーケンス図である。図14は、実施の形態3に係る2回目以降の接続時の処理の流れの例を示すシーケンス図である。
[Processing sequence upon connection according to Embodiment 3]
Next, a processing flow at the time of connection according to
図13に示すように、情報処理装置200bは、電子機器100bに対するログイン要求のための操作を受け付けた場合に、電子機器100bに対してログイン要求を行なう(ステップS401)。例えば、ログイン要求時に使用されるURLは、「https://192.168.10.20/login」である。情報処理装置200bからログイン要求を受け付けた電子機器100bは、ログイン名や任意の文字列(メッセージ)を入力可能なログイン画面を生成する(ステップS402)。そして、電子機器100bは、生成したログイン画面を情報処理装置200bに対して送信する(ステップS403)。
As illustrated in FIG. 13, when the
ログイン画面を受信した情報処理装置200bは、ログイン画面を表示し、ログイン情報の入力等に応じて、電子機器100bに対してログイン情報を含む第1の接続要求を行なう(ステップS404)。例えば、ログイン名は「Soumu01」であり、メッセージは「総務の田中」である。ログイン情報を含む第1の接続要求を受け付けた電子機器100bは、ログイン名やメッセージ等のログイン情報を操作表示部20に表示出力する(ステップS405)。そして、電子機器100bは、管理者による操作により、情報処理装置200bからの接続を許可する指示を受け付ける(ステップS406)。
The
続いて、電子機器100bは、接続を許可する指示が受け付けられた場合に、情報処理装置200bから電子機器100bに対する以降の接続で使用可能な接続用URLを生成する(ステップS407)。例えば、接続用URLには、固有の秘密鍵「secret」と、第1の接続要求に含まれるログイン情報のログイン名「Soumu01」とを組み合わせた文字列から算出されたハッシュ値「d932762c9f8b8806910a944cacd10e952a089e58」が利用される。また、電子機器100bは、接続を許可する指示が受け付けられた場合に、情報処理装置200bを識別するための識別情報であるHTTP cookieを生成する(ステップS408)。例えば、HTTP cookieは、「remote12345」である。その後、電子機器100bは、生成された接続用URL及びHTTP cookieを含む接続許可情報である第1の接続許可情報を、情報処理装置200bに応答する(ステップS409)。これらにより、情報処理装置200bは、電子機器100bのリモート操作を行なうことができる。
Subsequently, when an instruction to permit connection is received, the
図14に示すように、情報処理装置200bは、電子機器100bに対する接続を要求するための操作等に応じて、電子機器100bに対して、接続用URLを使用し、HTTP cookieを含む第2の接続要求を行なう(ステップS501)。接続用URLが使用され、HTTP cookieを含む第2の接続要求を受け付けた電子機器100bは、接続用URLの照合と、HTTP cookieの照合とを行なうことで、認証処理を実行する(ステップS502)。そして、電子機器100bは、認証処理が成功した場合に、接続許可情報である第2の接続許可情報を、情報処理装置200bに応答する(ステップS503)。これらにより、情報処理装置200bは、電子機器100bのリモート操作を行なうことができる。
As illustrated in FIG. 14, the
認証システム1は、接続を許可された情報処理装置200bが電子機器100bへの以降の接続で送信する識別情報を生成し、情報処理装置200bからの識別情報を含む接続要求に対し、識別情報に基づき認証処理を実行する。この結果、実施の形態3による効果として、接続用URLが第三者に漏えいした場合でも、不正な接続を防止することができ、認証処理の信頼性を向上することができる。
The authentication system 1 generates identification information that the
(実施の形態4)
さて、これまで本発明に係る認証システム1の実施の形態について説明したが、上述した実施の形態以外にも種々の異なる形態にて実施されて良いものである。そこで、(1)構成、(2)プログラム、について異なる実施の形態を説明する。
(Embodiment 4)
Now, although the embodiment of the authentication system 1 according to the present invention has been described so far, it may be implemented in various different forms other than the above-described embodiment. Therefore, different embodiments of (1) configuration and (2) program will be described.
(1)構成
上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報は、特記する場合を除いて任意に変更することができる。また、図示した装置の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、装置の分散又は統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況等に応じて、任意の単位で機能的又は物理的に、分散又は統合することができる。
(1) Configuration Information including processing procedures, control procedures, specific names, various data, parameters, and the like shown in the above documents and drawings can be arbitrarily changed unless otherwise specified. Each component of the illustrated apparatus is functionally conceptual and does not necessarily need to be physically configured as illustrated. That is, the specific form of the distribution or integration of the devices is not limited to the illustrated one, and all or a part of the distribution or integration is functionally or physically distributed or arbitrarily in any unit according to various burdens or usage conditions. Can be integrated.
上記実施の形態では、電子機器100が、MFPをはじめとする画像形成装置である場合を例に挙げて説明した。画像形成装置は、MFPに限られるものではなく、LP(レーザープリンタ)やファクシミリ、スキャナ等であっても良い。また、電子機器100は、プロジェクタ、テレビ会議システム、デジタルカメラ等の画像形成装置以外の電子機器であっても良い。同様に、情報処理装置200は、PCに限られるものではなく、タブレット端末やスマートフォン等であっても良い。
In the above embodiment, the case where
(2)プログラム
また、電子機器100や情報処理装置200で実行されるプログラムは、一つの様態として、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。また、電子機器100や情報処理装置200で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するようにしても良い。また、電子機器100や情報処理装置200で実行されるプログラムをインターネット等のネットワーク経由で提供又は配布するように構成しても良い。また、電子機器100や情報処理装置200で実行されるプログラムを、ROM等に予め組み込んで提供するように構成しても良い。
(2) Program The program executed by the
電子機器100で実行されるプログラムは、上述した各部(第1の接続要求受付部114、接続許可受付部115、接続情報生成部117、第1の応答部118、第2の接続要求受付部120、認証処理部121、第2の応答部122)を含むモジュール構成となっており、実際のハードウェアとしてはCPUが記憶媒体からプログラムを読み出して実行することにより、上記各部が主記憶装置上にロードされ、第1の接続要求受付部114、接続許可受付部115、接続情報生成部117、第1の応答部118、第2の接続要求受付部120、認証処理部121、第2の応答部122が主記憶装置上に生成されるようになっている。
The program executed by the
また、情報処理装置200で実行されるプログラムは、上述した各部(操作受付部210、表示制御部211、送信制御部213、受信制御部215)を含むモジュール構成となっており、実際のハードウェアとしてはCPUが記憶媒体からプログラムを読み出して実行することにより、上記各部が主記憶装置上にロードされ、操作受付部210、表示制御部211、送信制御部213、受信制御部215が主記憶装置上に生成されるようになっている。
The program executed by the
1 認証システム
100 電子機器
110 通信部
111 画面生成部
112 画面送信制御部
113 操作表示制御部
114 第1の接続要求受付部
115 接続許可受付部
116 接続拒否受付部
117 接続情報生成部
118 第1の応答部
119 記憶部
120 第2の接続要求受付部
121 認証処理部
122 第2の応答部
200 情報処理装置
210 操作受付部
211 表示制御部
212 記憶部
213 送信制御部
214 通信部
215 受信制御部
DESCRIPTION OF SYMBOLS 1
Claims (7)
前記第1の接続要求の受け付けに応じて、前記情報処理装置からの接続を許可する指示を受け付ける接続許可受付部と、
前記情報処理装置からの接続を許可する指示が受け付けられた場合に、前記情報処理装置から前記電子機器に対する接続で使用可能な接続情報を生成する接続情報生成部と、
前記第1の接続要求に対して、生成された前記接続情報を含む第1の接続許可情報を応答する第1の応答部と、
前記情報処理装置から前記接続情報を使用した第2の接続要求を受け付ける第2の接続要求受付部と、
前記第2の接続要求で使用された接続情報に基づき認証処理を実行する認証処理部と、
前記認証処理により認証が成功した場合に、前記第2の接続要求に対して、第2の接続許可情報を応答する第2の応答部と
を有することを特徴とする認証システム。 A first connection request receiving unit that receives a first connection request from an information processing apparatus that operates an electronic device;
A connection permission receiving unit that receives an instruction to permit connection from the information processing apparatus in response to reception of the first connection request;
A connection information generating unit that generates connection information that can be used for connection from the information processing apparatus to the electronic device when an instruction to permit connection from the information processing apparatus is received;
A first response unit for responding to the first connection request with first connection permission information including the generated connection information;
A second connection request receiving unit that receives a second connection request using the connection information from the information processing apparatus;
An authentication processing unit that executes an authentication process based on the connection information used in the second connection request;
An authentication system comprising: a second response unit that responds to the second connection request with second connection permission information when authentication is successful by the authentication process.
前記接続情報生成部は、前記ログイン情報に含まれるユーザ識別情報と、予め保持された秘密鍵とを組み合わせた文字列からハッシュ値を算出し、算出した前記ハッシュ値を含む前記接続情報を生成することを特徴とする請求項1に記載の認証システム。 The first connection request accepting unit accepts the first connection request including login information,
The connection information generation unit calculates a hash value from a character string obtained by combining user identification information included in the login information and a secret key held in advance, and generates the connection information including the calculated hash value The authentication system according to claim 1, wherein:
前記接続情報生成部は、前記第2の接続要求が受け付けられた後、前記情報処理装置から前記電子機器に対する接続毎に、前記ハッシュ値を含む接続情報を再生成し、
前記認証処理部は、前記第2の接続要求で使用された接続情報と、再生成された接続情報とを照合する前記認証処理を実行することを特徴とする請求項2に記載の認証システム。 The second connection request accepting unit accepts the second connection request including the user identification information;
The connection information generation unit regenerates connection information including the hash value for each connection from the information processing apparatus to the electronic device after the second connection request is received,
3. The authentication system according to claim 2, wherein the authentication processing unit executes the authentication process for comparing the connection information used in the second connection request with the regenerated connection information.
前記第1の応答部は、生成された前記識別情報を含む前記第1の接続許可情報を応答し、
前記第2の接続要求受付部は、前記識別情報を含む前記第2の接続要求を受け付け、
前記認証処理部は、前記識別情報に基づき前記認証処理を実行することを特徴とする請求項1〜3の何れか一つに記載の認証システム。 An identification information generating unit that generates identification information for identifying the information processing apparatus when an instruction to permit connection from the information processing apparatus is received;
The first response unit responds to the first connection permission information including the generated identification information,
The second connection request accepting unit accepts the second connection request including the identification information,
The authentication system according to claim 1, wherein the authentication processing unit executes the authentication process based on the identification information.
前記電子機器を操作する情報処理装置から第1の接続要求を受け付ける第1の接続要求受付部と、
前記第1の接続要求の受け付けに応じて、前記情報処理装置からの接続を許可する指示を受け付ける接続許可受付部と、
前記情報処理装置からの接続を許可する指示が受け付けられた場合に、前記情報処理装置から前記電子機器に対する接続で使用可能な接続情報を生成する接続情報生成部と、
前記第1の接続要求に対して、生成された前記接続情報を含む第1の接続許可情報を応答する第1の応答部と、
前記情報処理装置から前記接続情報を使用した第2の接続要求を受け付ける第2の接続要求受付部と、
前記第2の接続要求で使用された接続情報に基づき認証処理を実行する認証処理部と、
前記認証処理により認証が成功した場合に、前記第2の接続要求に対して、第2の接続許可情報を応答する第2の応答部と
を有することを特徴とする電子機器。 Electronic equipment,
A first connection request accepting unit that accepts a first connection request from an information processing apparatus that operates the electronic device;
A connection permission receiving unit that receives an instruction to permit connection from the information processing apparatus in response to reception of the first connection request;
A connection information generating unit that generates connection information that can be used for connection from the information processing apparatus to the electronic device when an instruction to permit connection from the information processing apparatus is received;
A first response unit for responding to the first connection request with first connection permission information including the generated connection information;
A second connection request receiving unit that receives a second connection request using the connection information from the information processing apparatus;
An authentication processing unit that executes an authentication process based on the connection information used in the second connection request;
An electronic apparatus comprising: a second response unit that responds to the second connection request with second connection permission information when authentication is successful by the authentication process.
前記第1の接続要求の受け付けに応じて、前記情報処理装置からの接続を許可する指示を受け付けるステップと、
前記情報処理装置からの接続を許可する指示が受け付けられた場合に、前記情報処理装置から前記電子機器に対する接続で使用可能な接続情報を生成するステップと、
前記第1の接続要求に対して、生成された前記接続情報を含む第1の接続許可情報を応答するステップと、
前記情報処理装置から前記接続情報を使用した第2の接続要求を受け付けるステップと、
前記第2の接続要求で使用された接続情報に基づき認証処理を実行するステップと、
前記認証処理により認証が成功した場合に、前記第2の接続要求に対して、第2の接続許可情報を応答するステップと
を含むことを特徴とする認証方法。 Receiving a first connection request from an information processing apparatus operating the electronic device;
Accepting an instruction to permit connection from the information processing apparatus in response to accepting the first connection request;
When an instruction to permit connection from the information processing apparatus is received, generating connection information usable for connection to the electronic device from the information processing apparatus;
Responding to the first connection request with first connection permission information including the generated connection information;
Receiving a second connection request using the connection information from the information processing apparatus;
Executing an authentication process based on the connection information used in the second connection request;
Responding to the second connection request with second connection permission information when authentication is successful by the authentication process.
前記第1の接続要求の受け付けに応じて、前記情報処理装置からの接続を許可する指示を受け付けるステップと、
前記情報処理装置からの接続を許可する指示が受け付けられた場合に、前記情報処理装置から前記電子機器に対する接続で使用可能な接続情報を生成するステップと、
前記第1の接続要求に対して、生成された前記接続情報を含む第1の接続許可情報を応答するステップと、
前記情報処理装置から前記接続情報を使用した第2の接続要求を受け付けるステップと、
前記第2の接続要求で使用された接続情報に基づき認証処理を実行するステップと、
前記認証処理により認証が成功した場合に、前記第2の接続要求に対して、第2の接続許可情報を応答するステップと
をコンピュータに実行させるための認証プログラム。 Receiving a first connection request from an information processing apparatus operating the electronic device;
Accepting an instruction to permit connection from the information processing apparatus in response to accepting the first connection request;
When an instruction to permit connection from the information processing apparatus is received, generating connection information usable for connection to the electronic device from the information processing apparatus;
Responding to the first connection request with first connection permission information including the generated connection information;
Receiving a second connection request using the connection information from the information processing apparatus;
Executing an authentication process based on the connection information used in the second connection request;
An authentication program for causing a computer to execute a step of responding to the second connection request with second connection permission information when authentication is successful by the authentication process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015220940A JP2017091235A (en) | 2015-11-11 | 2015-11-11 | Authentication system, electronic apparatus, authentication method, and authentication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015220940A JP2017091235A (en) | 2015-11-11 | 2015-11-11 | Authentication system, electronic apparatus, authentication method, and authentication program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017091235A true JP2017091235A (en) | 2017-05-25 |
Family
ID=58771557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015220940A Pending JP2017091235A (en) | 2015-11-11 | 2015-11-11 | Authentication system, electronic apparatus, authentication method, and authentication program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017091235A (en) |
-
2015
- 2015-11-11 JP JP2015220940A patent/JP2017091235A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2879070B1 (en) | Authentification device, authentification method and image forming apparatus | |
CN104517055B (en) | The image processing apparatus and its control method of security strategy can be applied | |
US8965806B2 (en) | Image imaging apparatus, image managing method, and computer readable recording medium | |
US8555399B2 (en) | Information processing apparatus and method and storage medium | |
CN104469056A (en) | Information processing system, device, and information processing method | |
JP2013164836A (en) | Information processing system, network system and information processing method | |
US10389913B2 (en) | Information management control apparatus, image processing apparatus, and information management control system | |
JP2007329916A (en) | User authentication system of document processing apparatus, and method therefor | |
JP2007141230A (en) | System, method and program for validating new security authentication information | |
US11614904B2 (en) | Printing device, information processing device, and control method and medium for the same | |
US11645027B2 (en) | Information processing system and method for processing data output requests and identification information | |
JP5779987B2 (en) | Selection program, image processing apparatus, and computer | |
JP2019061324A (en) | Information processing device and information processing program | |
US9041964B2 (en) | Image forming apparatus, computer-readable non-transitory storage medium with uploading program stored thereon, and uploading system | |
JP2017091235A (en) | Authentication system, electronic apparatus, authentication method, and authentication program | |
US20140289361A1 (en) | Communication system, information processing apparatus, and non-transitory computer readable medium | |
JP2021086341A (en) | User authentication system, user authentication method, and user authentication program | |
JP6743622B2 (en) | Relay server and system | |
JP2009188446A (en) | Image forming apparatus, method, and program | |
JP6682933B2 (en) | Image processing apparatus, image processing method and program | |
JP6142679B2 (en) | Image forming system and image forming method | |
JP2012203820A (en) | Authentication system and authentication method | |
JP7283058B2 (en) | Information processing system, information processing device, information processing method, information processing program | |
JP6728706B2 (en) | Information processing system, information processing apparatus, and information processing program | |
JP2016218521A (en) | Authentication system, electronic device, authentication method and authentication program |