JP5377717B1 - Information processing apparatus, information processing system, information processing method, and program - Google Patents

Information processing apparatus, information processing system, information processing method, and program Download PDF

Info

Publication number
JP5377717B1
JP5377717B1 JP2012150728A JP2012150728A JP5377717B1 JP 5377717 B1 JP5377717 B1 JP 5377717B1 JP 2012150728 A JP2012150728 A JP 2012150728A JP 2012150728 A JP2012150728 A JP 2012150728A JP 5377717 B1 JP5377717 B1 JP 5377717B1
Authority
JP
Japan
Prior art keywords
information
request message
terminal device
information processing
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012150728A
Other languages
Japanese (ja)
Other versions
JP2014013502A (en
Inventor
隆也 嘉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MUFG Bank Ltd
Original Assignee
Bank of Tokyo Mitsubishi UFJ Trust Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of Tokyo Mitsubishi UFJ Trust Co filed Critical Bank of Tokyo Mitsubishi UFJ Trust Co
Priority to JP2012150728A priority Critical patent/JP5377717B1/en
Application granted granted Critical
Publication of JP5377717B1 publication Critical patent/JP5377717B1/en
Publication of JP2014013502A publication Critical patent/JP2014013502A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させること。
【解決手段】本発明の情報処理装置は、リクエスト電文を端末装置から受信する受信手段と、リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された第1暗号値が記述されたクッキー情報を含むレスポンス電文を、リクエスト電文の応答として端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報がリクエスト電文に含まれる場合に、第2暗号値と、当該リクエスト電文から抽出された抽出情報を用いて算出された第1暗号値とを照合する照合手段と、照合手段による照合の結果に基づく処理を実行する実行手段とを備える。
【選択図】図3Communication security is improved even if a part of information used for authentication of a terminal device is not stored in advance in an information processing device such as a server.
An information processing apparatus according to the present invention uses a reception unit that receives a request message from a terminal device, an extraction unit that acquires predetermined extraction information included in the request message, and a predetermined number using the extraction information. Encryption means for calculating the first cipher value by the calculated algorithm, transmission means for transmitting a response message including cookie information describing the calculated first cipher value to the terminal device as a response to the request message, Collating means for collating the second cipher value and the first cipher value calculated using the extracted information extracted from the request message when the request message includes cookie information in which two cipher values are described; And executing means for executing processing based on the result of matching by the matching means.
[Selection] Figure 3

Description

本発明は、通信のセキュリティを向上する技術に関する。   The present invention relates to a technique for improving communication security.

インターネットなどのネットワークを介したサーバとクライアント(端末装置)との通信によるセキュリティを向上させることが望まれている。例えば、インターネットバンキング、オンラインショッピングなど金銭のやり取りが発生するようなサービスを提供する場合には、サーバは、一般的にユーザ固有のID(以下、UIDという)とパスワードを用いて、ユーザ本人からのアクセスであるかを認証する。しかしながら、UIDおよびパスワードが漏洩した場合、他のユーザからのアクセスも容易となる。そのため、他の情報をユーザの認証に用いることにより、さらなるセキュリティの向上をすることが検討されている。   It is desired to improve security by communication between a server and a client (terminal device) via a network such as the Internet. For example, when providing a service such as Internet banking or online shopping where money exchange occurs, the server generally uses a user-specific ID (hereinafter referred to as UID) and a password from the user himself / herself. Authenticate whether it is access. However, when the UID and password are leaked, access from other users is facilitated. Therefore, it has been studied to further improve security by using other information for user authentication.

例えば、特許文献1では、端末装置のCPU(Central Processing Unit)のシリアル番号とユーザ固有のID(以下、UIDという)とを組み合わせてクッキー(Cookie)ファイルを生成する。サーバは、端末装置から受信したクッキーと、サーバにおいて既に受信したクッキーに基づいて記録されたCPUのシリアル番号とを照合することで、ユーザが利用できる端末装置を限定することができる。   For example, in Patent Document 1, a cookie file is generated by combining a serial number of a CPU (Central Processing Unit) of a terminal device and a user-specific ID (hereinafter referred to as UID). The server can limit the terminal devices that can be used by the user by comparing the cookie received from the terminal device with the CPU serial number recorded based on the cookie already received by the server.

特開2006−190059号公報JP 2006-190059 A

特許文献1に開示された技術では、ユーザの認証の際に行われる照合のために、CPUのシリアル番号をUIDと対応付けて予めサーバに記憶しておく必要がある。そのため、サーバ上のデータが漏洩した場合や通信経路上でクッキーが読み取られた場合には、クッキーに記述されるCPUのシリアル番号を改ざんすることで、別の端末装置からでもユーザになりすましてアクセスすることが可能となってしまう。   In the technique disclosed in Patent Document 1, it is necessary to store a CPU serial number in advance in a server in association with a UID for verification performed at the time of user authentication. Therefore, if data on the server is leaked or a cookie is read on the communication path, the CPU serial number described in the cookie is altered to impersonate the user from another terminal device. It becomes possible to do.

本発明は、端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させることを目的とする。   An object of the present invention is to improve communication security even if part of information used for authentication of a terminal device is not stored in advance in an information processing device such as a server.

本発明の一実施形態によると、リクエスト電文を端末装置から受信する受信手段と、前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、前記照合手段による照合の結果に基づく処理を実行する実行手段とを備える情報処理装置が提供される。   According to an embodiment of the present invention, a receiving unit that receives a request message from a terminal device, an extracting unit that acquires predetermined extraction information included in the request message, and a predetermined number using the extraction information. Encryption means for calculating the first cipher value by the algorithm, and transmission means for transmitting a response message including cookie information in which the calculated first cipher value is described to the terminal device as a response to the request message. When the cookie information describing the second cipher value is included in the request message, the second cipher value and the first cipher value calculated using the extracted information extracted from the request message There is provided an information processing apparatus including a matching unit that matches the above and an execution unit that executes a process based on a result of the matching by the matching unit.

本発明の一実施形態によると、上記の情報処理装置と、端末装置とを備え、前記端末装置は、前記情報処理装置からレスポンス電文を受信する受信手段と、受信した前記レスポンス電文に含まれる前記クッキー情報を記憶する記憶手段と、リクエスト電文を送信する送信手段であって、送信先から受信したレスポンス電文に含まれていた前記クッキー情報が前記記憶手段に記憶されている場合に当該クッキー情報を含むリクエスト電文を送信する送信手段とを備えることを特徴とする情報処理システムが提供される。   According to an embodiment of the present invention, the information processing device includes a terminal device, the terminal device receiving a response message from the information processing device, and the response message included in the received response message A storage unit that stores cookie information; and a transmission unit that transmits a request message. When the cookie information included in the response message received from the transmission destination is stored in the storage unit, the cookie information is stored. There is provided an information processing system comprising transmission means for transmitting a request message including the information.

本発明の一実施形態によると、第1リクエスト電文を端末装置から受信し、前記第1リクエスト電文に含まれる抽出情報を取得し、前記第1リクエスト電文から取得された抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出し、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記第1リクエスト電文の応答として前記端末装置に送信し、第2暗号値が記述されたクッキー情報を含む第2リクエスト電文を端末装置から受信し、前記第2リクエスト電文に含まれる予め決められた抽出情報を取得し、前記第2リクエスト電文から取得された抽出情報を用いて、前記アルゴリズムにより第3暗号値を算出し、前記第2暗号値と、前記第3暗号値とを照合し、前記第2暗号値と前記第3暗号値とを照合した結果に基づく処理を実行する情報処理方法が提供される。   According to an embodiment of the present invention, the first request message is received from the terminal device, the extraction information included in the first request message is acquired, and the extraction information acquired from the first request message is used in advance. A first encryption value is calculated by a determined algorithm, a response message including cookie information in which the calculated first encryption value is described is transmitted to the terminal device as a response to the first request message, and a second The second request message including the cookie information in which the encrypted value is described is received from the terminal device, the predetermined extracted information included in the second request message is acquired, and the extracted information acquired from the second request message A third cipher value is calculated by the algorithm, the second cipher value is compared with the third cipher value, and the second cipher value and the third cipher value An information processing method for executing processing based on the result of the matching is provided.

本発明の一実施形態によると、コンピュータを、リクエスト電文を端末装置から受信する受信手段と、前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、前記照合手段による照合の結果に基づく処理を実行する実行手段として機能させるためのプログラムが提供される。   According to an embodiment of the present invention, the computer uses a receiving unit that receives a request message from a terminal device, an extracting unit that acquires predetermined extraction information included in the request message, and the extraction information. An encryption unit for calculating the first cipher value by a predetermined algorithm and a response message including cookie information in which the calculated first cipher value is described are transmitted to the terminal device as a response to the request message. When the request message includes cookie information in which the transmission means and the second encrypted value are described, the first encrypted value is calculated using the second encrypted value and the extracted information extracted from the request message. A program for functioning as a collating unit that collates with an encrypted value and an execution unit that executes processing based on the result of collation by the collating unit There is provided.

本発明によれば、端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させることができる。   ADVANTAGE OF THE INVENTION According to this invention, even if some information used for the authentication of a terminal device is not memorize | stored beforehand in information processing apparatuses, such as a server, the security of communication can be improved.

本発明の実施形態に係る情報処理システム1000の構成を示す概略図である。It is the schematic which shows the structure of the information processing system 1000 which concerns on embodiment of this invention. 本発明の実施形態に係る情報処理装置1のハードウエア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the information processing apparatus 1 which concerns on embodiment of this invention. 本発明の実施形態に係る情報処理装置1の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the information processing apparatus 1 which concerns on embodiment of this invention. 本発明の実施形態に係る端末装置2のハードウエア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the terminal device 2 which concerns on embodiment of this invention. 本発明の実施形態に係る端末装置2の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the terminal device 2 which concerns on embodiment of this invention. 本発明の実施形態に係る情報処理装置1および端末装置2の処理を示す通信フロー図である。It is a communication flow figure showing processing of information processor 1 and terminal unit 2 concerning an embodiment of the present invention. 本発明の変形例1に係る情報処理システム1000Aの構成を示す概略図である。It is the schematic which shows the structure of information processing system 1000A which concerns on the modification 1 of this invention. 本発明の変形例1に係る参照サーバ6に記憶された変換テーブルを説明する図である。It is a figure explaining the conversion table memorize | stored in the reference server 6 which concerns on the modification 1 of this invention. 本発明の変形例2に係る参照サーバ6に記憶されたアドレス指定情報を説明する図である。It is a figure explaining the address specification information memorize | stored in the reference server 6 which concerns on the modification 2 of this invention. 本発明の変形例2に係る位置情報を取得する処理を示すフローチャートである。It is a flowchart which shows the process which acquires the positional information which concerns on the modification 2 of this invention. 本発明の変形例3に係る位置情報を取得する処理を示すフローチャートである。It is a flowchart which shows the process which acquires the positional information which concerns on the modification 3 of this invention.

以下、本発明の一実施形態に係る情報処理システムについて、図面を参照しながら詳細に説明する。なお、以下に示す実施形態は本発明の実施形態の一例であって、本発明はこれらの実施形態に限定されるものではない。   Hereinafter, an information processing system according to an embodiment of the present invention will be described in detail with reference to the drawings. In addition, embodiment shown below is an example of embodiment of this invention, and this invention is not limited to these embodiment.

<実施形態>
本発明の一実施形態に係る情報処理システムについて、図面を参照しながら詳細に説明する。 <Embodiment>
An information processing system according to an embodiment of the present invention will be described in detail with reference to the drawings.

[全体構成]
図1は、本発明の実施形態に係る情報処理システム1000の構成を示す概略図である。情報処理システム1000は、インターネットなどのネットワークNWに接続された情報処理装置1、およびネットワークNWおよび基地局5を介して情報処理装置1と接続する端末装置2を有する。 [overall structure]
FIG. 1 is a schematic diagram showing a configuration of an information processing system 1000 according to an embodiment of the present invention. The information processing system 1000 includes an information processing device 1 connected to a network NW such as the Internet, and a terminal device 2 connected to the information processing device 1 via the network NW and the base station 5.

情報処理装置1は、例えば、インターネットバンキングなどのサービスを、端末装置2のユーザに提供するサーバ装置である。なお、以下に説明する情報処理装置1の各種機能については、1台のサーバ装置のみで実現されるだけでなく、複数のサーバ装置により協働して実現されるようにしてもよい。   The information processing device 1 is a server device that provides services such as Internet banking to the user of the terminal device 2. Various functions of the information processing apparatus 1 described below may be realized not only by one server apparatus but also by a plurality of server apparatuses in cooperation.

端末装置2は、携帯電話、スマートフォン、ノートパソコンなどユーザによって利用される装置であり、基地局5を介して情報処理装置1と情報の送受信をする。   The terminal device 2 is a device used by a user such as a mobile phone, a smartphone, or a laptop computer, and transmits and receives information to and from the information processing device 1 via the base station 5.

情報処理装置1と端末装置2とは、この例では、HTTP(HyperText Transfer Protocol)に準拠したプロトコルを用いて情報の通信を行う。この情報の通信に際して、情報処理装置1は、端末装置2に対して送信するHTTPレスポンス電文(以下、単にレスポンス電文という)に含めてクッキー(Cookie)(以下、クッキー情報という)を発行する。一方、クッキー情報が発行された端末装置2は、情報処理装置1に対して送信するHTTPリクエスト電文(以下、単にリクエスト電文という)にクッキー情報を含める。本発明は、以下に詳述する暗号値が記述されたクッキー情報を用いることにより、セキュリティを向上させることができる。なお、このように、リクエスト電文を送信するときにクッキー情報を含めて送信する方式であれば、HTTPに準拠したプロトコルを用いなくてもよい。   In this example, the information processing apparatus 1 and the terminal apparatus 2 communicate information using a protocol that is compliant with HTTP (HyperText Transfer Protocol). When communicating this information, the information processing apparatus 1 issues a cookie (hereinafter referred to as cookie information) included in an HTTP response message (hereinafter simply referred to as a response message) to be transmitted to the terminal device 2. On the other hand, the terminal device 2 to which the cookie information is issued includes the cookie information in an HTTP request message (hereinafter simply referred to as a request message) transmitted to the information processing device 1. The present invention can improve security by using cookie information in which an encryption value described in detail below is described. Note that, as long as the request message is transmitted in such a manner as to include cookie information, a protocol based on HTTP may not be used.

基地局5は、いわゆる3G(3rd Generation)、LTE(Long Term Evolution)といった携帯電話の情報通信規格(IEEE規格非準拠)により通信を行う基地局、無線LAN(Local Area Network)に用いられる情報通信規格(IEEE規格準拠)により通信を行うアクセスポイントといわれる基地局などを含む概念であり、端末装置2と無線通信を行い、端末装置2をネットワークNWに接続する。   The base station 5 is a base station that performs communication according to a mobile phone information communication standard (non-IEEE standard) such as 3G (3rd Generation) or LTE (Long Term Evolution), and information communication used for a wireless LAN (Local Area Network). This is a concept including a base station called an access point that performs communication according to a standard (compliant with the IEEE standard), and performs wireless communication with the terminal device 2 to connect the terminal device 2 to the network NW.

端末装置2が基地局5を介して情報処理装置1と通信するときには、通信経路上において、その基地局5を識別する情報が通信されるデータに付加される。例えば、基地局5に割り当てられたIP(Internet Protocol)アドレスがIPヘッダに付加されたり、基地局5に割り当てられたMAC(Media Access Control)アドレスがMACヘッダに付加されたりする。また、携帯電話の情報通信規格においては、HTTPリクエストボディ部に、基地局5の位置を示す位置情報が付加される。   When the terminal device 2 communicates with the information processing device 1 via the base station 5, information for identifying the base station 5 is added to the data to be communicated on the communication path. For example, an IP (Internet Protocol) address assigned to the base station 5 is added to the IP header, or a MAC (Media Access Control) address assigned to the base station 5 is added to the MAC header. In the information communication standard for mobile phones, position information indicating the position of the base station 5 is added to the HTTP request body part.

[情報処理装置1の構成]
図2は、本発明の実施形態に係る情報処理装置1のハードウエア構成を示すブロック図である。情報処理装置1は、制御部11、記憶部12および通信部13を有する。制御部11は、CPUおよびメモリを有する。制御部11は、記憶部12またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部11によって実現される各種機能により、情報処理装置1の各構成が制御される。記憶部12は、ハードディスクなどであり、各種機能を実現するために必要な情報を記憶する。通信部13は、ネットワークNWを介して他の装置と情報の送受信を行う。 [Configuration of Information Processing Apparatus 1]
FIG. 2 is a block diagram showing a hardware configuration of the information processing apparatus 1 according to the embodiment of the present invention. The information processing apparatus 1 includes a control unit 11, a storage unit 12, and a communication unit 13. The control unit 11 has a CPU and a memory. The control part 11 implement | achieves various functions, such as a communication control function mentioned later, by running the program memorize | stored in the memory | storage part 12 or memory. Each component of the information processing apparatus 1 is controlled by various functions realized by the control unit 11. The storage unit 12 is a hard disk or the like and stores information necessary for realizing various functions. The communication unit 13 transmits / receives information to / from other devices via the network NW.

図3は、本発明の実施形態に係る情報処理装置1の機能構成を示すブロック図である。情報処理装置1は、受信部110、抽出部120、暗号化部130、暗号関数140、照合部150、実行部160および送信部170により、通信制御機能を実現する。   FIG. 3 is a block diagram showing a functional configuration of the information processing apparatus 1 according to the embodiment of the present invention. The information processing apparatus 1 implements a communication control function by the reception unit 110, the extraction unit 120, the encryption unit 130, the cryptographic function 140, the verification unit 150, the execution unit 160, and the transmission unit 170.

受信部110は、端末装置2からリクエスト電文を受信する。このリクエスト電文には、クッキー情報が含まれる場合と含まれない場合がある。   The receiving unit 110 receives a request message from the terminal device 2. This request message may or may not include cookie information.

抽出部120は、受信したリクエスト電文から、抽出情報を取得する。抽出情報とは、この例では、UIDおよび位置関連情報である。抽出情報は、情報処理装置1にアクセスする端末装置2が変わった場合、端末装置2が通信時に接続する基地局5が変わった場合など、通信の状況が変わったときに変化する情報が含まれている。   The extraction unit 120 acquires extraction information from the received request message. In this example, the extracted information is a UID and position related information. The extracted information includes information that changes when the communication status changes, such as when the terminal device 2 that accesses the information processing device 1 changes, or when the base station 5 to which the terminal device 2 connects during communication changes. ing.

位置関連情報とは、通信経路上の基地局5の位置に関連した情報であり、この例では、MACアドレスまたはIPアドレスである。したがって、位置関連情報は、端末装置2の位置が変わって、別の基地局5に接続された場合にはアドレスが変化する。なお、位置関連情報は、HTTPパケットのうち、MACアドレスである場合にはMACヘッダから取得され、IPアドレスである場合にはIPヘッダから取得される。   The position related information is information related to the position of the base station 5 on the communication path, and in this example, is a MAC address or an IP address. Accordingly, the position-related information changes its address when the position of the terminal device 2 changes and is connected to another base station 5. The location-related information is acquired from the MAC header of the HTTP packet when it is a MAC address, and is acquired from the IP header when it is an IP address.

ユーザを識別する識別情報であるUIDは、リクエスト電文の一部に記述され、例えば、HTTPメソッドとしてGETメソッドが用いられていれば、リクエストラインに記述されるURL(Uniform Resource Locator)の最後に、「https://www.xxx.yyy.jp/members.php?uid=aa12345」といったように記述されることになる。この場合、UIDは「aa12345」となる。   The UID that is identification information for identifying the user is described in a part of the request message. For example, if the GET method is used as the HTTP method, the UID is described at the end of the URL (Uniform Resource Locator) described in the request line. It will be described as “https://www.xxx.yyy.jp/members.php?uid=aa12345”. In this case, the UID is “aa12345”.

暗号化部130は、暗号関数140を用いて、抽出情報から暗号値を算出する。暗号関数140は、例えば、ハッシュ関数である。この場合には、暗号値は、抽出部120により取得されたUIDおよびMACアドレスをキーとして用いて算出されるハッシュ値である。算出された暗号値は、情報処理装置1から端末装置2に対して発行されるクッキー情報に記述される。なお、キーとしては、さらに別の要素が組み合わさってもよいし、UIDおよびMACアドレスのいずれか一方を用いてもよい。また、UIDの一部とMACアドレスの一部とをキーとして用いてもよい。   The encryption unit 130 uses the encryption function 140 to calculate an encryption value from the extracted information. The cryptographic function 140 is, for example, a hash function. In this case, the encryption value is a hash value calculated using the UID and MAC address acquired by the extraction unit 120 as keys. The calculated encryption value is described in the cookie information issued from the information processing device 1 to the terminal device 2. As a key, another element may be combined, or any one of UID and MAC address may be used. Further, a part of the UID and a part of the MAC address may be used as keys.

また、暗号関数140は、ハッシュ関数にかぎらず、抽出情報を入力値として他の値を算出するためのアルゴリズムを規定する関数であれば、他の関数であってもよい。すなわち、暗号値は、抽出情報(入力値)を用いて予め決められたアルゴリズムにより算出される、入力値とは別の値であればよい。また、この暗号関数は、復号が不可能な不可逆の暗号化をする関数であることが望ましいが、復号が可能な可逆の暗号化をする関数であってもよい。   The cryptographic function 140 is not limited to the hash function, and may be any other function as long as it specifies an algorithm for calculating another value using the extracted information as an input value. That is, the encryption value may be a value different from the input value calculated by a predetermined algorithm using the extracted information (input value). The encryption function is preferably a function that performs irreversible encryption that cannot be decrypted, but may be a function that performs reversible encryption that can be decrypted.

照合部150は、受信部110において受信したリクエスト電文にクッキー情報が含まれている場合に、そのクッキー情報に記述された暗号値を取得する。照合部150は、クッキー情報から取得した暗号値と、暗号化部130において算出された暗号値とを照合し、双方の暗号値が一致しているか不一致であるかを判定する。なお、クッキー情報がリクエスト電文に含まれているにもかかわらず、そのクッキー情報に暗号値が記述されていない場合には、照合部150は、暗号値が不一致であると判定すればよい。   When the request message received by the reception unit 110 includes cookie information, the collation unit 150 acquires an encrypted value described in the cookie information. The collation unit 150 collates the encryption value acquired from the cookie information with the encryption value calculated by the encryption unit 130, and determines whether the two encryption values match or do not match. If the cookie information is included in the request message but the encrypted value is not described in the cookie information, the collation unit 150 may determine that the encrypted values do not match.

実行部160は、照合部150による照合結果に基づいて、送信部170から送信されるレスポンス電文の記述内容を決定する処理を実行する。実行部160は、例えば、クッキー情報から取得した暗号値と、暗号化部130において算出された暗号値とが一致している場合には、端末装置2からのアクセスをしたユーザを認証して、リクエスト電文の要求に対応したレスポンス電文を、リクエスト電文の応答として送信部170から送信させる。   The execution unit 160 executes processing for determining the description content of the response message transmitted from the transmission unit 170 based on the collation result by the collation unit 150. For example, when the encryption value acquired from the cookie information matches the encryption value calculated by the encryption unit 130, the execution unit 160 authenticates the user who has accessed from the terminal device 2, A response message corresponding to the request message request is transmitted from the transmission unit 170 as a response to the request message.

一方、双方の暗号値が一致していない場合には、UIDが一致していても別の基地局5を経由している場合など、直前まで通信をしていた端末装置2とは異なる端末装置2からのアクセスである(本来の端末装置2に発行したクッキー情報を別の端末装置2が偽装して用いている)可能性が高い。そのため、アクセスをしたユーザを認証せず、その端末装置2からのアクセスを受け付けないことを通知するレスポンス電文を、リクエスト電文の応答として送信部170から送信させる。なお、その後、一定期間、その端末装置2からのアクセスを遮断してもよい。また、情報処理装置1の管理者に不正アクセスに関する情報が通知されるようにしてもよい。管理者の通知先(電子メールアドレスなど)は情報処理装置1に予め設定されていればよい。不正アクセスに関する情報は、予め決められた定形文を用いた情報であってもよいし、不一致となった要因となったリクエスト電文に関する情報が含まれていてもよい。   On the other hand, if the encryption values of the two do not match, the terminal device is different from the terminal device 2 that has been communicating until just before, such as when the UID matches but passes through another base station 5. There is a high possibility that the access is from 2 (the cookie information issued to the original terminal device 2 is impersonated by another terminal device 2). Therefore, the transmission unit 170 transmits a response message notifying that the accessing user is not authenticated and not accepting access from the terminal device 2 as a response to the request message. After that, access from the terminal device 2 may be blocked for a certain period. Further, information regarding unauthorized access may be notified to the administrator of the information processing apparatus 1. An administrator's notification destination (e-mail address or the like) may be set in the information processing apparatus 1 in advance. The information regarding unauthorized access may be information using a predetermined fixed sentence, or may include information regarding a request message that has caused a mismatch.

受信部110において受信したリクエスト電文にクッキー情報が含まれていない場合には、送信部170は、暗号化部130において算出された暗号値が記述されたクッキー情報を発行し、そのクッキー情報をレスポンス電文に含めて、リクエスト電文の応答として送信する。このクッキー情報には、暗号値のみが記述されるのではなく、その他公知の情報について記述されてもよい。なお、受信部110において受信したリクエスト電文にクッキー情報が含まれていない場合には、所定のURL(サービスの入り口など)がリクエストされたときと同じ状態に誘導するように、レスポンス電文を送信してもよい。   When the cookie information is not included in the request message received by the reception unit 110, the transmission unit 170 issues cookie information in which the encrypted value calculated by the encryption unit 130 is described, and returns the cookie information as a response. Included in the message and sent as a response to the request message. In the cookie information, not only the encrypted value but also other known information may be described. If the request message received by the receiving unit 110 does not include cookie information, a response message is transmitted so that a predetermined URL (such as a service entrance) is guided to the same state as when the request message is requested. May be.

受信部110において受信したリクエスト電文にクッキー情報が含まれている場合には、送信部170は、実行部160の指示に基づいてリクエスト電文の応答となるレスポンス電文を送信する。このとき情報処理装置1は、端末装置2に新たにクッキー情報を発行してもよいし発行しなくてもよい。   When the request message received by the reception unit 110 includes cookie information, the transmission unit 170 transmits a response message as a response to the request message based on an instruction from the execution unit 160. At this time, the information processing device 1 may or may not newly issue cookie information to the terminal device 2.

[端末装置2の構成]
図4は、本発明の実施形態に係る端末装置2のハードウエア構成を示すブロック図である。端末装置2は、制御部21、記憶部22、通信部23およびタッチパネル24を有する。制御部21は、CPUおよびメモリを有する。制御部21は、記憶部22またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部21によって実現される各種機能により、端末装置2の各構成が制御される。 [Configuration of Terminal Device 2]
FIG. 4 is a block diagram showing a hardware configuration of the terminal device 2 according to the embodiment of the present invention. The terminal device 2 includes a control unit 21, a storage unit 22, a communication unit 23, and a touch panel 24. The control unit 21 has a CPU and a memory. The control unit 21 realizes various functions such as a communication control function described later by executing a program stored in the storage unit 22 or the memory. Each component of the terminal device 2 is controlled by various functions realized by the control unit 21.

記憶部22は、半導体メモリなどであり、各種機能を実現するために必要な情報を記憶する。通信部23は、基地局5と無線により接続し、ネットワークNWを介して他の装置と情報の送受信を行う。タッチパネル24は、受信したレスポンス電文に応じた画面を表示させるディスプレイと、ディスプレイ表面へのユーザの接触を検知して、ユーザの操作を受け付け、操作に応じた信号を出力するタッチセンサとを有する。ユーザによる操作がタッチパネル24によって受け付けられると、操作の内容に応じてリクエスト電文が情報処理装置1に送信される。このように、ユーザの指示は、タッチパネル24への操作により端末装置2に入力される。   The storage unit 22 is a semiconductor memory or the like, and stores information necessary for realizing various functions. The communication unit 23 is wirelessly connected to the base station 5 and transmits / receives information to / from other devices via the network NW. The touch panel 24 includes a display that displays a screen corresponding to the received response message, and a touch sensor that detects a user's contact with the display surface, accepts the user's operation, and outputs a signal corresponding to the operation. When an operation by the user is accepted by the touch panel 24, a request message is transmitted to the information processing apparatus 1 according to the content of the operation. Thus, the user's instruction is input to the terminal device 2 by an operation on the touch panel 24.

図5は、本発明の実施形態に係る端末装置2の機能構成を示すブロック図である。端末装置2は、受信部210、クッキー情報記憶部230および送信部270により、通信制御機能を実現する。   FIG. 5 is a block diagram showing a functional configuration of the terminal device 2 according to the embodiment of the present invention. The terminal device 2 implements a communication control function by the reception unit 210, the cookie information storage unit 230, and the transmission unit 270.

受信部210は、情報処理装置1から送信されたレスポンス電文を受信する。これにより、受信したレスポンス電文に対応する画面がタッチパネル24に表示される場合がある。   The receiving unit 210 receives a response message transmitted from the information processing apparatus 1. As a result, a screen corresponding to the received response message may be displayed on the touch panel 24.

クッキー情報記憶部230は、端末装置2に対して発行されたクッキー情報がレスポンス電文に含まれる場合に、このクッキー情報を記憶する。   The cookie information storage unit 230 stores the cookie information when the cookie information issued to the terminal device 2 is included in the response message.

送信部270は、タッチパネル24へのユーザの操作などに基づいて、情報処理装置1にリクエスト電文を送信する。リクエスト電文により指定されるURLに対応するクッキー情報がクッキー情報記憶部230に記憶されている場合には、このクッキー情報がリクエスト電文に含めて送信される。   The transmission unit 270 transmits a request message to the information processing apparatus 1 based on a user operation on the touch panel 24 or the like. When the cookie information corresponding to the URL specified by the request message is stored in the cookie information storage unit 230, the cookie information is included in the request message and transmitted.

[通信フロー]
図6は、本発明の実施形態に係る情報処理装置1および端末装置2の処理を示す通信フロー図である。まず、端末装置2は、特定のサービス(インターネットバンキングなど)のリクエスト指示がユーザから入力される(ステップS101)。端末装置2は、リクエストの指示にもとづいてリクエスト電文を生成して送信する(ステップS102)。このリクエスト電文には、上記サービスを受けるためのユーザを識別するUIDが含まれている。また、通信経路上において、端末装置2が無線で接続する基地局5を識別する情報(この例ではMACアドレス)が付加される。 [Communication flow]
FIG. 6 is a communication flow diagram showing processing of the information processing device 1 and the terminal device 2 according to the embodiment of the present invention. First, the terminal device 2 receives a request instruction for a specific service (such as Internet banking) from the user (step S101). The terminal device 2 generates and transmits a request message based on the request instruction (step S102). This request message includes a UID that identifies a user for receiving the service. Further, information (MAC address in this example) for identifying the base station 5 to which the terminal device 2 is connected wirelessly is added on the communication path.

情報処理装置1は、リクエスト電文を受信すると、MACヘッダからMACアドレスを取得し(ステップS121)、リクエストラインからUIDを取得する(ステップS122)。情報処理装置1は、取得したMACアドレスとUIDとをキーとし、ハッシュ関数を用いて暗号値を算出する(ステップS123)。情報処理装置1において受信したリクエスト電文にはクッキー情報が含まれていないため、情報処理装置1は、算出した暗号値が少なくとも記述されたクッキー情報を端末装置2に発行するために生成する(ステップS124)。情報処理装置1は、生成したクッキー情報を含むレスポンス電文を生成し(ステップS125)、生成したレスポンス電文をリクエスト電文の応答として端末装置2に送信する(ステップS126)。   When receiving the request message, the information processing apparatus 1 acquires the MAC address from the MAC header (step S121), and acquires the UID from the request line (step S122). The information processing apparatus 1 uses the acquired MAC address and UID as keys to calculate a cryptographic value using a hash function (step S123). Since the request message received by the information processing device 1 does not include cookie information, the information processing device 1 generates the cookie information in which at least the calculated encryption value is described to be issued to the terminal device 2 (step) S124). The information processing device 1 generates a response message including the generated cookie information (step S125), and transmits the generated response message to the terminal device 2 as a response to the request message (step S126).

端末装置2は、レスポンス電文を受信すると、タッチパネル24にレスポンス電文に応じた画面を表示させる一方、レスポンス電文に含まれるクッキー情報を記憶する(ステップS131)。端末装置2は、ユーザからリクエスト指示が入力される(ステップS132)。端末装置2は、リクエストの指示にもとづいてリクエスト電文を生成して送信する(ステップS133)。このリクエスト電文には、上述同様に、UIDが含まれ、また、通信経路上においてMACアドレスが付加される。   When the terminal device 2 receives the response message, the terminal device 2 displays a screen corresponding to the response message on the touch panel 24, while storing the cookie information included in the response message (step S131). The terminal device 2 receives a request instruction from the user (step S132). The terminal device 2 generates and transmits a request message based on the request instruction (step S133). This request message includes a UID as described above, and a MAC address is added on the communication path.

情報処理装置1は、リクエスト電文を受信すると、MACヘッダからMACアドレスを取得し(ステップS141)、リクエストラインからUIDを取得する(ステップS142)。情報処理装置1は、取得したMACアドレスとUIDとをキーとし、ハッシュ関数を用いて暗号値を算出する(ステップS143)。情報処理装置1は、受信したリクエスト電文に含まれるクッキー情報に記述された暗号値を取得し、ステップS143において算出した暗号値と照合する(ステップS144)。   When receiving the request message, the information processing apparatus 1 acquires a MAC address from the MAC header (step S141), and acquires a UID from the request line (step S142). The information processing apparatus 1 calculates an encryption value using a hash function using the acquired MAC address and UID as a key (step S143). The information processing apparatus 1 acquires the encrypted value described in the cookie information included in the received request message, and collates it with the encrypted value calculated in step S143 (step S144).

このとき、双方の暗号値が一致している場合には、ステップS102においてリクエスト電文を送信した端末装置2(以下、端末装置2aという)と、ステップS133においてリクエスト電文を送信した端末装置2(以下、端末装置2bという)とが同じである可能性が高い。したがって、ステップS133において送信されたリクエスト電文が、端末装置2aからの電文であると判定し、情報処理装置1は、リクエスト電文の要求に応じたレスポンス電文を生成し(ステップS145)、端末装置2にリクエスト電文の応答として送信する(ステップS146)。   At this time, if the two encrypted values match, the terminal device 2 that transmitted the request message in step S102 (hereinafter referred to as terminal device 2a) and the terminal device 2 that transmitted the request message in step S133 (hereinafter referred to as “terminal device 2a”). The terminal device 2b) is likely to be the same. Therefore, the request message transmitted in step S133 is determined to be a message from the terminal device 2a, and the information processing device 1 generates a response message in response to the request message request (step S145), and the terminal device 2 As a response to the request message (step S146).

一方、双方の暗号値が一致していない場合には、端末装置2aと端末装置2bとが異なっている可能性が高い。したがって、ステップS133において送信されたリクエスト電文が、端末装置2aを偽装した別の端末装置2からの送信であると判定し、情報処理装置1は、アクセスを受け付けないことを通知するレスポンス電文を生成し(ステップS145)、リクエスト電文の応答として送信する(ステップS146)。   On the other hand, if the two encryption values do not match, there is a high possibility that the terminal device 2a and the terminal device 2b are different. Therefore, it is determined that the request message transmitted in step S133 is a transmission from another terminal device 2 disguised as the terminal device 2a, and the information processing device 1 generates a response message notifying that access is not accepted. (Step S145), and is transmitted as a response to the request message (step S146).

双方の暗号値が一致しない場合としては、例えば、ステップS126において送信されたレスポンス電文に含まれるクッキー情報を傍受して、端末装置2bがそのクッキー情報を用いることで、端末装置2aになりすましている場合がある。この場合であっても、端末装置2bと端末装置2aとが異なる基地局5に接続して情報処理装置1にアクセスする場合、リクエスト電文のMACヘッダから取得されるMACアドレスが異なることになる。   In the case where the two encrypted values do not match, for example, the cookie information included in the response message transmitted in step S126 is intercepted and the terminal device 2b uses the cookie information to impersonate the terminal device 2a. There is a case. Even in this case, when the terminal device 2b and the terminal device 2a are connected to different base stations 5 to access the information processing device 1, the MAC addresses acquired from the MAC header of the request message are different.

したがって、情報処理装置1においては、端末装置2aから送信されたリクエスト電文に基づいて算出された暗号値(クッキー情報に記述された暗号値)と、端末装置2bから送信されたリクエスト電文に基づいて算出された暗号値とが異なることとなり、端末装置2aと端末装置2bとが異なっていることを判定することができる。したがって、情報処理装置1は、端末装置2bのユーザを認証しないようにすることができる。   Therefore, in the information processing device 1, based on the encrypted value (encrypted value described in the cookie information) calculated based on the request message transmitted from the terminal device 2a and the request message transmitted from the terminal device 2b. The calculated encryption value is different, and it can be determined that the terminal device 2a and the terminal device 2b are different. Therefore, the information processing apparatus 1 can be configured not to authenticate the user of the terminal device 2b.

また、情報処理装置1は、暗号値をクッキー情報に含めて端末装置2と電文の送受信をする。そのため、情報処理装置1において、暗号関数140が記憶されていれば、端末装置2毎の暗号値が記憶されている必要がなく、それぞれの端末装置2においてクッキー情報として必要な暗号値が記憶されていればよい。   Further, the information processing apparatus 1 transmits and receives a message with the terminal apparatus 2 by including the encrypted value in the cookie information. Therefore, if the cryptographic function 140 is stored in the information processing apparatus 1, it is not necessary to store the encryption value for each terminal device 2, and the encryption value necessary as cookie information is stored in each terminal device 2. It only has to be.

このように、本発明の一実施形態に係る情報処理システム1000においては、情報処理装置1が端末装置2に対して発行するクッキー情報に、端末装置2を認証するための暗号値を記述しておく。これにより、情報処理装置1において暗号値を記憶しておかなくても、情報処理装置1は、端末装置2が別の端末装置2になりすましているかどうかを判定することができ、セキュリティの向上が可能である。   As described above, in the information processing system 1000 according to the embodiment of the present invention, the encryption value for authenticating the terminal device 2 is described in the cookie information issued to the terminal device 2 by the information processing device 1. deep. Thereby, even if the encryption value is not stored in the information processing apparatus 1, the information processing apparatus 1 can determine whether or not the terminal device 2 is impersonating another terminal device 2, thereby improving security. Is possible.

<変形例>
以上、本発明の実施形態およびその実施例について説明したが、本発明は以下のように、様々な態様で実施可能である。 <Modification>
As mentioned above, although embodiment and the Example of this invention were described, this invention can be implemented in various aspects as follows.

[変形例1]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、例えば基地局5の所在地を示す位置情報であってもよい。位置情報としては、例えば、経緯度で表された情報であってもよいし、市町村などの行政区画により表された情報であってもよい。この場合には、IPアドレスまたはMACアドレスから変換された位置情報を用いてもよい。以下、変形例1に係る情報システムの具体的な構成について説明する。 [Modification 1]
In the embodiment described above, the IP address or the MAC address is used for the position related information in the extracted information. However, for example, the position information indicating the location of the base station 5 may be used. The position information may be, for example, information expressed by longitude and latitude, or may be information expressed by administrative divisions such as municipalities. In this case, position information converted from the IP address or MAC address may be used. Hereinafter, a specific configuration of the information system according to Modification 1 will be described.

図7は、本発明の変形例1に係る情報処理システム1000Aの構成を示す概略図である。情報処理システム1000Aは、実施形態に係る情報処理システム1000に対して、ネットワークNWに接続された参照サーバ6が加わっている。参照サーバ6は、IPアドレスまたはMACアドレスと位置情報とを対応付けた変換テーブルを記憶している。また、実施形態に係る情報処理装置1に代えて、暗号値を算出するときに参照サーバ6を用いる情報処理装置1AがネットワークNWに接続されている。   FIG. 7 is a schematic diagram showing a configuration of an information processing system 1000A according to the first modification of the present invention. In the information processing system 1000A, the reference server 6 connected to the network NW is added to the information processing system 1000 according to the embodiment. The reference server 6 stores a conversion table in which IP addresses or MAC addresses are associated with position information. Further, instead of the information processing apparatus 1 according to the embodiment, an information processing apparatus 1A that uses the reference server 6 when calculating an encryption value is connected to the network NW.

図8は、本発明の変形例1に係る参照サーバ6に記憶された変換テーブルを説明する図である。図8に示す変換テーブルの例では、MACアドレス(アドレスA、B、C、・・・)と位置情報(位置A、B、C、・・・)との対応関係を定めている。   FIG. 8 is a diagram for explaining a conversion table stored in the reference server 6 according to the first modification of the present invention. In the example of the conversion table shown in FIG. 8, the correspondence between the MAC address (addresses A, B, C,...) And the position information (positions A, B, C,...) Is defined.

情報処理装置1Aの抽出部120は、リクエスト電文からIPアドレスまたはMACアドレスを取得すると、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得し、位置関連情報として用いる。暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する。暗号値を算出した後は、実施形態と同様に処理が行われる。   When acquiring the IP address or the MAC address from the request message, the extraction unit 120 of the information processing apparatus 1A refers to the conversion table stored in the reference server 6, acquires the position information, and uses it as position related information. The encryption unit 130 uses the position information acquired by the extraction unit 120 as position related information, and calculates an encryption value in the same manner as in the embodiment. After the encryption value is calculated, processing is performed as in the embodiment.

ここで、取得した位置情報が経緯度である場合には、位置関連情報としては、例えば小数第2位以下の値を切り捨てるなどして用いれば、所定範囲内の基地局5については同じ位置関連情報とすることができる。同じ位置情報であれば、算出される暗号値も同じであるから、端末装置2が移動している場合に生じる基地局5の切り替えが生じることに対して、冗長性を持たせることもできる。位置情報が行政区画であっても同様にして、例えば、市町村よりも細かい区画については位置関連情報として用いなければ、同一市町村においては同じ位置関連情報とすることができる。   Here, when the acquired position information is longitude and latitude, the position related information may be the same position related information for the base stations 5 within a predetermined range by using, for example, truncating the value of the second decimal place or less. It can be information. If the position information is the same, the calculated encryption value is also the same, so that it is possible to provide redundancy against the switching of the base station 5 that occurs when the terminal device 2 is moving. Similarly, even if the position information is an administrative section, for example, if the section smaller than the municipality is not used as the position related information, the same position related information can be obtained in the same municipality.

[変形例2]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。 [Modification 2]
In the embodiment described above, the IP address or the MAC address is used for the position related information in the extracted information, but the position information may be the same as in the first modification. In this case, position information described in the HTTP request body part may be used.

変形例2に係る情報システムの構成については、変形例1と同様な構成であり、変換テーブルに加えて、アドレス指定情報が参照サーバ6に記憶されている。なお、変換テーブルとアドレス指定情報とが異なるサーバに記憶されていてもよい。   About the structure of the information system which concerns on the modification 2, it is the structure similar to the modification 1, and address designation information is memorize | stored in the reference server 6 in addition to the conversion table. Note that the conversion table and the addressing information may be stored in different servers.

アドレス指定情報とは、所定条件を満たすアドレスを指定する情報であって、例えば、携帯電話の情報通信規格(IEEE規格非準拠)の基地局5のIPアドレスを指定する情報である。   The address designation information is information for designating an address satisfying a predetermined condition, for example, information for designating the IP address of the base station 5 of the cellular phone information communication standard (non-IEEE standard).

図9は、本発明の変形例2に係る参照サーバ6に記憶されたアドレス指定情報を説明する図である。図9に示すアドレス指定情報の例では、IPアドレスとプレフィックス値との組み合わせにより、IPアドレスの範囲を指定している。この範囲に含まれるIPアドレスが割り当てられた基地局5は、携帯電話の情報通信規格(IEEE規格非準拠)で通信している。この基地局5を介してリクエスト電文が送信されるときには、HTTPリクエストボディ部に、基地局5の位置を示す位置情報が付加される。本変形例では、このように付加される位置情報を利用するものである。   FIG. 9 is a diagram for explaining address designation information stored in the reference server 6 according to the second modification of the present invention. In the example of the address designation information shown in FIG. 9, the range of the IP address is designated by a combination of the IP address and the prefix value. The base station 5 to which the IP address included in this range is assigned communicates with the mobile phone information communication standard (non-IEEE standard). When a request message is transmitted via the base station 5, position information indicating the position of the base station 5 is added to the HTTP request body part. In this modification, the position information added in this way is used.

図10は、本発明の変形例2に係る位置情報を取得する処理を示すフローチャートである。まず、抽出部120は、リクエスト電文からIPアドレスを取得し、アドレス指定情報を参照して、取得したIPアドレスが含まれているかどうかを判定する(ステップS211)。IPアドレスが含まれている場合(ステップS211;Yes)には、HTTPリクエストボディ部に記述された位置情報を取得する(ステップS213)。一方、IPアドレスが含まれていない場合(ステップS211;No)には、リクエスト電文からMACアドレス(またはIPアドレス)を取得し、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得する(ステップS212)。そして、暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する(ステップS214)。暗号値を算出した後は、実施形態と同様に処理が行われる。   FIG. 10 is a flowchart showing processing for acquiring position information according to the second modification of the present invention. First, the extraction unit 120 acquires an IP address from the request message, and refers to the address designation information to determine whether the acquired IP address is included (step S211). If the IP address is included (step S211; Yes), the position information described in the HTTP request body part is acquired (step S213). On the other hand, if the IP address is not included (step S211; No), the MAC address (or IP address) is acquired from the request message, and the location information is obtained by referring to the conversion table stored in the reference server 6. Is acquired (step S212). Then, the encryption unit 130 uses the position information acquired by the extraction unit 120 as position related information, and calculates an encryption value in the same manner as in the embodiment (step S214). After the encryption value is calculated, processing is performed as in the embodiment.

[変形例3]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1、2と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。 [Modification 3]
In the above-described embodiment, the IP address or the MAC address is used for the position related information in the extracted information. However, the position information may be the same as in the first and second modifications. In this case, position information described in the HTTP request body part may be used.

変形例3に係る情報システムの構成については、変形例1と同様な構成である。また、変形例3は、変形例2と同様に、携帯電話の情報通信規格(IEEE規格非準拠)の基地局5を介してリクエスト電文が送信されるときに、HTTPリクエストボディ部に付加される位置情報を利用するものである。変形例2では、アドレス指定情報を用いて、基地局5が携帯電話の情報通信規格を用いているかどうかを判定していたが、変形例3においては、別の方法で判定する場合について説明する。   The configuration of the information system according to Modification 3 is the same as that of Modification 1. Similarly to Modification 2, Modification 3 is added to the HTTP request body portion when a request message is transmitted via the base station 5 of the mobile phone information communication standard (non-IEEE standard). It uses location information. In the second modification, it is determined whether or not the base station 5 uses the mobile phone information communication standard using the addressing information. In the third modification, a case where the determination is made by another method will be described. .

図11は、本発明の変形例3に係る位置情報を取得する処理を示すフローチャートである。まず、抽出部120は、リクエスト電文のMACヘッダを参照し、MACアドレスの記述があるかどうか判定する(ステップS311)。MACアドレスが記述されている場合(ステップS311;Yes)には、リクエスト電文からMACアドレス(またはIPアドレス)を取得し、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得する(ステップS312)。一方、MACアドレスが記述されていない場合(ステップS311;No)には、HTTPリクエストボディ部に記述された位置情報を取得する(ステップS313)。そして、暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する(ステップS314)。暗号値を算出した後は、実施形態と同様に処理が行われる。   FIG. 11 is a flowchart showing processing for acquiring position information according to the third modification of the present invention. First, the extraction unit 120 refers to the MAC header of the request message and determines whether there is a description of the MAC address (step S311). When the MAC address is described (step S311; Yes), the MAC address (or IP address) is acquired from the request message, and the location information is acquired by referring to the conversion table stored in the reference server 6. (Step S312). On the other hand, when the MAC address is not described (step S311; No), the position information described in the HTTP request body part is acquired (step S313). Then, the encryption unit 130 uses the position information acquired by the extraction unit 120 as position related information, and calculates an encryption value in the same manner as in the embodiment (step S314). After the encryption value is calculated, processing is performed as in the embodiment.

[変形例4]
上述した実施形態においては、暗号関数140は、予め決められた一の暗号関数を用いていたが、複数の暗号関数が設けられていてもよい。この場合には、暗号化部130は、いずれかの暗号関数を用いて暗号値を算出する。暗号化部130は、暗号地の算出に用いる暗号関数を、リクエスト電文に含まれる情報(例えばUIDなど)、クッキー情報の発行時刻、パスワードの文字数などを利用した所定の演算に基づいていずれかに決定すればよい。 [Modification 4]
In the above-described embodiment, the cryptographic function 140 uses one predetermined cryptographic function, but a plurality of cryptographic functions may be provided. In this case, the encryption unit 130 calculates a cryptographic value using any cryptographic function. The encryption unit 130 selects one of the cryptographic functions used for calculating the cipher location based on a predetermined calculation using information (for example, UID) included in the request message, cookie information issuance time, the number of characters of the password, and the like. Just decide.

[変形例5]
上述した実施形態においては、抽出情報は、UIDおよび位置関連情報を用いたが、別の情報を用いてもよいし、さらにこれらを組み合わせて用いてもよい。別の情報としては、例えば、HTTPヘッダの内容、端末装置2に記憶されて端末装置2を識別する端末識別情報(CPUのシリアル番号、端末装置2の機種など)がある。 [Modification 5]
In the embodiment described above, the UID and the position related information are used as the extraction information. However, other information may be used or a combination thereof may be used. Other information includes, for example, the content of the HTTP header, and terminal identification information (CPU serial number, terminal device 2 model, etc.) that is stored in the terminal device 2 and identifies the terminal device 2.

1,1A…情報処理装置、2…端末装置、5…基地局、11…制御部、12…記憶部、13…通信部、21…制御部、22…記憶部、23…通信部、24…タッチパネル、110…受信部、120…抽出部、130…暗号化部、140…暗号関数、150…照合部、160…実行部、170…送信部、210…受信部、230…クッキー情報記憶部、270…送信部、1000,1000A…情報処理システム DESCRIPTION OF SYMBOLS 1,1A ... Information processing apparatus, 2 ... Terminal device, 5 ... Base station, 11 ... Control part, 12 ... Memory | storage part, 13 ... Communication part, 21 ... Control part, 22 ... Memory | storage part, 23 ... Communication part, 24 ... Touch panel, 110 ... receiving unit, 120 ... extracting unit, 130 ... encrypting unit, 140 ... cryptographic function, 150 ... collating unit, 160 ... executing unit, 170 ... transmitting unit, 210 ... receiving unit, 230 ... cookie information storage unit, 270: Transmitter, 1000, 1000A ... Information processing system

Claims (12)

リクエスト電文を端末装置から受信する受信手段と、
前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、
前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、
第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、
前記照合手段による照合の結果に基づく処理を実行する実行手段と
を備える情報処理装置。 Receiving means for receiving a request message from the terminal device;
Extraction means for acquiring predetermined extraction information included in the request message;
An encryption means for calculating a first encryption value by a predetermined algorithm using the extracted information;
Transmitting means for transmitting a response message including cookie information in which the calculated first encrypted value is described to the terminal device as a response to the request message;
When cookie information describing a second cipher value is included in the request message, the second cipher value and the first cipher value calculated using the extracted information extracted from the request message Matching means for matching;
An information processing apparatus comprising: execution means for executing processing based on a result of collation by the collation means. 前記抽出情報は、前記端末装置からの通信経路上の基地局の位置に関連した位置関連情報を含む請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the extracted information includes position related information related to a position of a base station on a communication path from the terminal apparatus. 前記抽出手段は、前記通信経路上において前記リクエスト電文に付加された前記基地局のMACアドレスまたはIPアドレス取得し、
前記位置関連情報は、取得された前記MACアドレスまたは前記IPアドレスを含む請求項2に記載の情報処理装置。 The extraction unit obtains the MAC address or IP address of the base station added to the request message on the communication path,
The information processing apparatus according to claim 2, wherein the position related information includes the acquired MAC address or the IP address. 前記抽出手段は、MACアドレスと位置情報とを対応付けたテーブルを参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のMACアドレスに対応する位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 The extraction means refers to a table in which MAC addresses and position information are associated with each other, acquires position information corresponding to the MAC address of the base station added to the request message on the communication path,
The information processing apparatus according to claim 2, wherein the position related information includes the acquired position information. 前記抽出手段は、IPアドレスと位置情報とを対応付けたテーブルを参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のIPアドレスに対応する位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 The extraction means refers to a table in which IP addresses and position information are associated with each other, acquires position information corresponding to the IP address of the base station added to the request message on the communication path,
The information processing apparatus according to claim 2, wherein the position related information includes the acquired position information. 前記抽出手段は、所定条件を満たすIPアドレスを指定する情報を参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のIPアドレスが前記所定条件を満たす場合に、前記リクエスト電文のボディ部に記述された位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 The extraction means refers to information designating an IP address that satisfies a predetermined condition, and when the IP address of the base station added to the request message on the communication path satisfies the predetermined condition, Get the position information described in the body part,
The information processing apparatus according to claim 2, wherein the position related information includes the acquired position information. 前記抽出手段は、前記通信経路上において前記リクエスト電文に付加されるMACヘッダにMACアドレスが記述されていない場合に、前記リクエスト電文のボディ部に記述された位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 When the MAC address is not described in the MAC header added to the request message on the communication path, the extraction unit acquires the position information described in the body part of the request message,
The information processing apparatus according to claim 2, wherein the position related information includes the acquired position information. 前記実行手段は、前記照合手段による照合の結果が不一致となった場合に、不正アクセスに関する情報を管理者に通知する請求項1乃至請求項7のいずれかに記載の情報処理装置。   The information processing apparatus according to any one of claims 1 to 7, wherein the execution unit notifies the administrator of information related to unauthorized access when a result of verification by the verification unit does not match. 前記抽出情報は、前記端末装置のユーザを識別するユーザ識別情報を含む請求項1乃至請求項8のいずれかに記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the extraction information includes user identification information that identifies a user of the terminal device. 請求項1乃至請求項9のいずれかに記載の情報処理装置と、
前記端末装置とを備え、
前記端末装置は、
前記情報処理装置からレスポンス電文を受信する受信手段と、
受信した前記レスポンス電文に含まれる前記クッキー情報を記憶する記憶手段と、
リクエスト電文を送信する送信手段であって、送信先から受信したレスポンス電文に含まれていた前記クッキー情報が前記記憶手段に記憶されている場合に当該クッキー情報を含むリクエスト電文を送信する送信手段と
を備えることを特徴とする情報処理システム。 An information processing apparatus according to any one of claims 1 to 9,
The terminal device,
The terminal device
Receiving means for receiving a response message from the information processing apparatus;
Storage means for storing the cookie information included in the received response message;
A transmission means for transmitting a request message, wherein the cookie information included in the response message received from the transmission destination is stored in the storage means; and a transmission means for transmitting a request message including the cookie information; An information processing system comprising: 第1リクエスト電文を端末装置から受信し、
前記第1リクエスト電文に含まれる抽出情報を取得し、
前記第1リクエスト電文から取得された抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出し、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記第1リクエスト電文の応答として前記端末装置に送信し、
第2暗号値が記述されたクッキー情報を含む第2リクエスト電文を端末装置から受信し、
前記第2リクエスト電文に含まれる予め決められた抽出情報を取得し、
前記第2リクエスト電文から取得された抽出情報を用いて、前記アルゴリズムにより第3暗号値を算出し、
前記第2暗号値と、前記第3暗号値とを照合し、
前記第2暗号値と前記第3暗号値とを照合した結果に基づく処理を実行する情報処理方法。 Receiving the first request message from the terminal device;
Obtaining the extraction information contained in the first request message;
Using the extracted information acquired from the first request message, a first encryption value is calculated by a predetermined algorithm,
A response message including cookie information in which the calculated first encrypted value is described is transmitted to the terminal device as a response to the first request message;
Receiving a second request message including cookie information in which the second encrypted value is described from the terminal device;
Obtaining predetermined extraction information included in the second request message;
Using the extracted information acquired from the second request message, a third cipher value is calculated by the algorithm,
Collating the second cryptographic value with the third cryptographic value;
An information processing method for executing processing based on a result of collating the second encryption value and the third encryption value. コンピュータを、
リクエスト電文を端末装置から受信する受信手段と、
前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、
前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、
第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、
前記照合手段による照合の結果に基づく処理を実行する実行手段として機能させるためのプログラム。 Computer
Receiving means for receiving a request message from the terminal device;
Extraction means for acquiring predetermined extraction information included in the request message;
An encryption means for calculating a first encryption value by a predetermined algorithm using the extracted information;
Transmitting means for transmitting a response message including cookie information in which the calculated first encrypted value is described to the terminal device as a response to the request message;
When cookie information describing a second cipher value is included in the request message, the second cipher value and the first cipher value calculated using the extracted information extracted from the request message Matching means for matching;
The program for functioning as an execution means which performs the process based on the result of collation by the collation means.
JP2012150728A 2012-07-04 2012-07-04 Information processing apparatus, information processing system, information processing method, and program Active JP5377717B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012150728A JP5377717B1 (en) 2012-07-04 2012-07-04 Information processing apparatus, information processing system, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012150728A JP5377717B1 (en) 2012-07-04 2012-07-04 Information processing apparatus, information processing system, information processing method, and program

Publications (2)

Publication Number Publication Date
JP5377717B1 true JP5377717B1 (en) 2013-12-25
JP2014013502A JP2014013502A (en) 2014-01-23

Family

ID=49955008

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012150728A Active JP5377717B1 (en) 2012-07-04 2012-07-04 Information processing apparatus, information processing system, information processing method, and program

Country Status (1)

Country Link
JP (1) JP5377717B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7215732B2 (en) * 2019-04-25 2023-01-31 株式会社カセットミュージアム Audio guide authentication system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5149909B2 (en) * 2006-12-06 2013-02-20 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Data access control with RFID devices
JP5027097B2 (en) * 2008-11-18 2012-09-19 ヤフー株式会社 Agent access management system
JP2011199596A (en) * 2010-03-19 2011-10-06 Ads Co Ltd Communication authentication method
CN102972004B (en) * 2010-06-25 2016-01-20 日本电气株式会社 Confidential information is revealed the leakage of anti-locking system, confidential information leak-preventing method and confidential information and is prevented program

Also Published As

Publication number Publication date
JP2014013502A (en) 2014-01-23

Similar Documents

Publication Publication Date Title
CN110324287B (en) Access authentication method, device and server
JP6612358B2 (en) Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point
US10554420B2 (en) Wireless connections to a wireless access point
EP3420677B1 (en) System and method for service assisted mobile pairing of password-less computer login
EP3308499B1 (en) Service provider certificate management
WO2012158803A1 (en) Trusted mobile device based security
CN102577301A (en) Method and apparatus for trusted authentication and logon
JP6122924B2 (en) Providing device, terminal device, providing method, providing program, and authentication processing system
KR102171377B1 (en) Method of login control
JP5377717B1 (en) Information processing apparatus, information processing system, information processing method, and program
CN109729045B (en) Single sign-on method, system, server and storage medium
JP2018041188A (en) Address management device, data management system and program
CN112087467A (en) Information encryption transmission method and system based on web system
JP2009122921A (en) Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program
US20230216850A1 (en) Remotely Accessing an Endpoint Device Using a Distributed Systems Architecture
US11949772B2 (en) Optimized authentication system for a multiuser device
KR20140023085A (en) A method for user authentication, a authentication server and a user authentication system
JP2012138729A (en) Data processing device, program and data processing system
JP6240349B2 (en) Providing device, providing method, providing program, and authentication processing system
JP5873772B2 (en) Information processing apparatus, information processing method, and program
JPWO2016017324A1 (en) User information management system, user information management method, management server program and recording medium recording the same, user terminal program and recording medium recording the same, service server program and recording medium recording the same
JP5940398B2 (en) Information processing apparatus, information processing method, and program
KR20140072279A (en) Authentication method, authentication apparatus and authentication system for portable terminal
JP2019047429A (en) Information processing apparatus, information processing method, server, and computer program

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130924

R150 Certificate of patent or registration of utility model

Ref document number: 5377717

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250