JP6068908B2 - Authentication information transfer system and web server - Google Patents

Authentication information transfer system and web server Download PDF

Info

Publication number
JP6068908B2
JP6068908B2 JP2012219766A JP2012219766A JP6068908B2 JP 6068908 B2 JP6068908 B2 JP 6068908B2 JP 2012219766 A JP2012219766 A JP 2012219766A JP 2012219766 A JP2012219766 A JP 2012219766A JP 6068908 B2 JP6068908 B2 JP 6068908B2
Authority
JP
Japan
Prior art keywords
mobile terminal
authentication information
information
user
contract number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012219766A
Other languages
Japanese (ja)
Other versions
JP2014071840A (en
Inventor
健史 大熊
健史 大熊
淳史 藤田
淳史 藤田
勤 越智
勤 越智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
MUFG Bank Ltd
Original Assignee
NTT Communications Corp
Bank of Tokyo Mitsubishi UFJ Trust Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp, Bank of Tokyo Mitsubishi UFJ Trust Co filed Critical NTT Communications Corp
Priority to JP2012219766A priority Critical patent/JP6068908B2/en
Publication of JP2014071840A publication Critical patent/JP2014071840A/en
Application granted granted Critical
Publication of JP6068908B2 publication Critical patent/JP6068908B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認証情報を承継するシステム及びウェブサーバに関する。   The present invention relates to a system for inheriting authentication information and a web server.

近年、スマートフォン、タブレット、携帯電話などの通信機能を備えた携帯端末が普及してきている。ユーザは、携帯端末を用いてインターネットなどのネットワークに接続し、ネットワーク上のサーバなどと通信することによって、各種サービスを利用することができる。   In recent years, mobile terminals having communication functions such as smartphones, tablets, and mobile phones have become widespread. A user can use various services by connecting to a network such as the Internet using a mobile terminal and communicating with a server on the network.

一般に、このような携帯端末は、携帯性を向上させるため、パーソナルコンピュータなどと比較して小型化されている。このため、ウェブブラウザなどのパーソナルコンピュータ上での利用を前提として開発された機能は、携帯端末上ではユーザにとって、視認性やタッチパネルの操作性などの観点において使いづらいこともある。このため、「アプリ」と呼ばれる携帯端末の小型の画面上で閲覧及び操作するのに適したアプリケーションが開発されてきている。このようなアプリは、スマートフォン用のiphoneアプリやアンドロイドアプリなどとして商用化され、「スマートフォンアプリ」と呼ばれることもある。   In general, such a portable terminal is downsized in comparison with a personal computer or the like in order to improve portability. For this reason, functions developed on the premise of use on a personal computer such as a web browser may be difficult for a user on the mobile terminal in terms of visibility and touch panel operability. For this reason, an application called “application” suitable for browsing and operating on a small screen of a mobile terminal has been developed. Such an app is commercialized as an iphone app for smartphones, an android app, or the like, and is sometimes called a “smartphone app”.

このような携帯端末の普及に伴って、コンテンツプロバイダは、パーソナルコンピュータ上での利用を前提としたウェブサイトを介したサービスを提供するだけでなく、携帯端末上での閲覧及び操作に適したアプリを介して同様のサービスを提供するようになってきている。各種ウェブサイトのうち、登録されたユーザにアクセスが限定されているタイプのウェブサイトを運営するコンテンツプロバイダは、アプリにおいても登録されたユーザのみにサービスの利用をしばしば限定している。   Along with the widespread use of such mobile terminals, content providers not only provide services via websites that are supposed to be used on personal computers, but are also suitable for viewing and operating on mobile terminals. Similar services are being provided through the Internet. Among various websites, content providers who operate websites whose types are limited to registered users often limit the use of services only to registered users in applications.

特開2007−172119JP2007-172119A

一般に、ウェブブラウザは、パーソナルコンピュータ上でユーザが閲覧及び操作するのに適した画面を構成するのに対し、アプリは、相対的に小型の携帯端末上でユーザが閲覧及び操作するのに適した画面を構成する。同一のコンテンツプロバイダがウェブサイトとアプリの双方でサービスを提供している場合、アプリで提供されるサービスは、ウェブサイトで提供されるサービスの一部であるケースが多く、ウェブサイト上では利用可能であるが、アプリでは利用できないサービスがある可能性がある。このようなケースにおいて、携帯端末上でアプリを起動中のユーザが、ウェブサイト上でしか利用できないサービスを利用することを所望した場合、ユーザは、ウェブブラウザを起動し、ウェブサーバから受信したウェブページ上で所望のサービスを利用しなければならない。   In general, a web browser constitutes a screen suitable for a user to browse and operate on a personal computer, whereas an app is suitable for a user to browse and operate on a relatively small mobile terminal. Configure the screen. If the same content provider provides services on both the website and the app, the services provided by the app are often part of the services provided on the website and can be used on the website However, there may be services that are not available in the app. In such a case, when the user who is starting up the application on the mobile terminal desires to use a service that can be used only on the website, the user starts the web browser and receives the web received from the web server. The desired service must be used on the page.

従来のコンピュータシステムでは、認証されたユーザのみが利用可能なアプリの実行中にユーザがアプリでは提供されず、ウェブサイトでしか提供されないサービスを所望した場合、ユーザは、ウェブブラウザを起動した後に、ウェブサーバから提供されるログイン画面上でユーザIDやパスワードなどの認証情報を再入力する必要がある。すなわち、従来のコンピュータシステムでは、アプリのセッションとウェブブラウザのセッションとの間で認証情報を承継することはできなかった。   In a conventional computer system, when an application that can only be used by an authenticated user is running, if the user desires a service that is not provided by the app but only provided by the website, the user can It is necessary to re-enter authentication information such as a user ID and password on the login screen provided from the web server. That is, in the conventional computer system, the authentication information cannot be inherited between the application session and the web browser session.

上記問題点に鑑み、本発明の一課題は、入力済みの認証情報をセッション間で安全に承継することを可能にする技術を提供することである。   In view of the above-described problems, an object of the present invention is to provide a technique that makes it possible to safely transfer input authentication information between sessions.

上記課題を解決するため、本発明の一態様は、検索キー情報に対応する認証情報を取得する取得部と、端末から画面URLと前記検索キー情報とを含むブラウザ起動要求電文を受信し、前記受信した検索キー情報に対応する認証情報を含む画面情報を前記端末に送信する送受信部とを有する情報処理装置に関する。 In order to solve the above-described problem, an aspect of the present invention receives an acquisition unit that acquires authentication information corresponding to search key information, a browser activation request message including a screen URL and the search key information from a terminal, The present invention relates to an information processing apparatus including a transmission / reception unit that transmits screen information including authentication information corresponding to received search key information to the terminal .

本発明の他の態様は、認証情報を承継するシステムであって、上述した情報処理装置と、前記端末とを有し、前記端末は、前記認証情報が入力される入力部と、アプリ使用中にブラウザ起動ボタンが押下されると、前記画面URLと前記検索キー情報とを含む前記ブラウザ起動要求電文を前記情報処理装置に送信し、前記情報処理装置から前記認証情報を含む画面情報を受信する送受信部と、前記受信した認証情報を含む画面情報を表示する表示部と、を有するシステムに関する。
Another aspect of the present invention is a system for inheriting authentication information, comprising the information processing apparatus described above and the terminal, wherein the terminal is using an input unit to which the authentication information is input, and an application is being used. When the browser activation button is pressed, the browser activation request message including the screen URL and the search key information is transmitted to the information processing apparatus, and the screen information including the authentication information is received from the information processing apparatus. The present invention relates to a system including a transmission / reception unit and a display unit that displays screen information including the received authentication information .

本発明によると、入力済みの認証情報をセッション間で安全に承継することが可能になる。   According to the present invention, input authentication information can be safely inherited between sessions.

図1は、本発明の一実施例によるシステムを概略的に示す。FIG. 1 schematically illustrates a system according to one embodiment of the present invention. 図2は、本発明の一実施例による携帯端末のハードウェア構成を示す。FIG. 2 shows a hardware configuration of a mobile terminal according to an embodiment of the present invention. 図3は、本発明の一実施例によるサーバのハードウェア構成を示す。FIG. 3 shows a hardware configuration of a server according to an embodiment of the present invention. 図4は、本発明の一実施例による携帯端末の機能構成を示す。FIG. 4 shows a functional configuration of a mobile terminal according to an embodiment of the present invention. 図5は、本発明の一実施例による中継サーバの機能構成を示す。FIG. 5 shows a functional configuration of a relay server according to an embodiment of the present invention. 図6は、本発明の一実施例によるウェブサーバの機能構成を示す。FIG. 6 shows a functional configuration of a web server according to an embodiment of the present invention. 図7は、本発明の一実施例によるアプリにおける認証情報処理を示すシーケンス図である。FIG. 7 is a sequence diagram showing authentication information processing in an application according to an embodiment of the present invention. 図8は、本発明の一実施例によるアプリからウェブサービスへの認証情報承継処理を示すシーケンス図である。FIG. 8 is a sequence diagram showing authentication information transfer processing from an application to a web service according to an embodiment of the present invention. 図9は、本発明の一実施例による認証情報処理の画面例を示す。FIG. 9 shows a screen example of authentication information processing according to an embodiment of the present invention. 図10は、本発明の一実施例による認証情報処理の画面例を示す。FIG. 10 shows a screen example of authentication information processing according to an embodiment of the present invention. 図11は、本発明の一実施例による認証情報承継処理の画面例を示す。FIG. 11 shows an example of an authentication information transfer process screen according to an embodiment of the present invention.

以下、図面を参照して本発明の実施の形態を説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1〜6を参照して、本発明の一実施例によるシステムの構成を説明する。本実施例のシステムでは、携帯端末は、各種サービスを提供する携帯端末用のアプリケーション(「アプリ」と呼ばれる)を実行可能であると共に、ウェブサイトから提供されるウェブページを表示及び操作するためのウェブブラウザを実行可能である。本実施例では、コンテンツプロバイダがウェブサイトとアプリとの双方によりサービスを提供している場合、本システムは、アプリ実行中の携帯端末が同一のコンテンツプロバイダのウェブサイトに移行するとき、アプリ実行中に入力された認証情報をウェブサービスに承継し、ユーザに認証情報の少なくとも一部を再入力させることなくウェブサイトにアクセスすることを可能にする。   With reference to FIGS. 1-6, the structure of the system by one Example of this invention is demonstrated. In the system of the present embodiment, the mobile terminal can execute applications for mobile terminals that provide various services (referred to as “apps”), and display and operate web pages provided from websites. A web browser can be executed. In this embodiment, when a content provider provides a service by both a website and an application, this system is executing an application when a mobile terminal that is executing the application moves to the same content provider's website. The authentication information input in step S3 is succeeded to the web service, and the user can access the website without having the user re-enter at least part of the authentication information.

このような認証情報の承継を実現するため、携帯端末は、アプリ起動時にユーザにより認証情報が入力されると、入力された認証情報をサーバに送信する。ユーザ認証が成功すると、携帯端末は、サーバから認証情報に関連付けされた検索キー情報を取得する。アプリ実行中にユーザがウェブブラウザを起動するよう要求すると、携帯端末は、取得した検索キー情報と認証情報の一部を含むブラウザ起動要求電文をサーバに送信する。サーバは、関連付けて記憶されている検索キー情報と認証情報の一部から、受信したブラウザ起動要求電文の検索キー情報に対応する認証情報を抽出し、抽出した認証情報が埋め込まれたウェブブラウザ画面などの画面情報を要求元の携帯端末に送信する。これにより、携帯端末は、認証情報が埋め込まれた画面情報を表示することが可能となり、ユーザは、ウェブブラウザ起動時に認証情報の一部を再入力することなく、ウェブサイトにアクセスすることが可能となる。   In order to realize such succession of authentication information, the portable terminal transmits the input authentication information to the server when the authentication information is input by the user when the application is activated. When the user authentication is successful, the mobile terminal acquires search key information associated with the authentication information from the server. When the user requests to start the web browser during the execution of the application, the mobile terminal transmits a browser start request message including a part of the acquired search key information and authentication information to the server. The server extracts authentication information corresponding to the search key information of the received browser activation request message from a part of the search key information and authentication information stored in association with each other, and the web browser screen in which the extracted authentication information is embedded Or other screen information is transmitted to the requesting mobile terminal. As a result, the mobile terminal can display the screen information in which the authentication information is embedded, and the user can access the website without re-inputting part of the authentication information when the web browser is activated. It becomes.

図1は、本発明の一実施例によるシステムを概略的に示す。図1に示されるように、システム10は、1以上の携帯端末100と、中継サーバ200と、ウェブサーバ300と、ネットワーク400とを有する。   FIG. 1 schematically illustrates a system according to one embodiment of the present invention. As shown in FIG. 1, the system 10 includes one or more mobile terminals 100, a relay server 200, a web server 300, and a network 400.

携帯端末100は、典型的には、スマートフォン、タブレット、携帯電話などであり、インターネット上のウェブページを表示及び操作可能なウェブブラウザと、携帯端末用の「アプリ」と呼ばれる各種サービスを提供するアプリケーションとを有する。一般に、ウェブブラウザは、パーソナルコンピュータ上でユーザが閲覧及び操作するのに適した画面を構成するのに対し、アプリは、相対的に小型の携帯端末上でユーザが閲覧及び操作するのに適した画面を構成する。同一のコンテンツプロバイダがウェブサイトとアプリの双方を提供している場合、アプリで提供されるサービスは、ウェブサイトで提供されるサービスの一部であるケースが多く、ウェブサイト上では利用可能であるが、アプリでは利用できないサービスがある可能性がある。このような場合、携帯端末100上でアプリを起動中のユーザが、ウェブサイト上でしか利用できないサービスを利用することを所望すると、ユーザは、ウェブブラウザを起動して、ウェブサイトにアクセスする必要がある。   The mobile terminal 100 is typically a smartphone, a tablet, a mobile phone, and the like, a web browser capable of displaying and operating a web page on the Internet, and an application that provides various services called “apps” for the mobile terminal. And have. In general, a web browser constitutes a screen suitable for a user to browse and operate on a personal computer, whereas an app is suitable for a user to browse and operate on a relatively small mobile terminal. Configure the screen. When the same content provider provides both a website and an app, the service provided by the app is often part of the service provided by the website and can be used on the website. However, there may be services that are not available in the app. In such a case, if the user who is starting up the application on the mobile terminal 100 desires to use a service that can be used only on the website, the user needs to start the web browser and access the website. There is.

本実施例によるシステムでは、携帯端末100のユーザがアプリを実行して各種サービスを受信するときには、携帯端末100は、中継サーバ200と通信し、中継サーバ200を介しウェブサーバ300との間で情報をやりとりする。他方、携帯端末100のユーザがウェブブラウザを実行して各種サービスを受信するときには、携帯端末100は、中継サーバ200を介することなく、ウェブサーバ300との間で直接やりとりする。   In the system according to the present embodiment, when the user of the mobile terminal 100 executes an application and receives various services, the mobile terminal 100 communicates with the relay server 200 and communicates information with the web server 300 via the relay server 200. Communicate. On the other hand, when the user of the mobile terminal 100 executes a web browser and receives various services, the mobile terminal 100 directly communicates with the web server 300 without going through the relay server 200.

中継サーバ200は、携帯端末100においてアプリが実行されているとき、アプリ上で要求されたユーザのサービス要求をウェブサーバ300に送信すると共に、当該サービス要求に応答してウェブサーバ300から提供される各種データをアプリ用のデータ形式に変換し、携帯端末100に提供する。本実施例では、ユーザの認証処理に関して、中継サーバ200は、携帯端末100からユーザIDとパスワードなどの認証情報を受信すると、受信した認証情報をウェブサーバ300に転送すると共に、ユーザIDの一部など認証情報の一部を記憶する。さらに、中継サーバ200は、ユーザ認証が成功すると、実行中のアプリのセッションに対してマッチングキーを生成し、生成したマッチングキーを携帯端末100に送信する。また、中継サーバ200は、生成したマッチングキーを当該ユーザの認証情報の一部と関連付けて記憶する。   When an application is being executed on the mobile terminal 100, the relay server 200 transmits a user service request requested on the application to the web server 300, and is provided from the web server 300 in response to the service request. Various data is converted into a data format for an application and provided to the mobile terminal 100. In the present embodiment, regarding the user authentication process, when the relay server 200 receives authentication information such as a user ID and a password from the mobile terminal 100, the relay server 200 transfers the received authentication information to the web server 300 and a part of the user ID. A part of the authentication information is stored. Further, when the user authentication is successful, the relay server 200 generates a matching key for the session of the application that is being executed, and transmits the generated matching key to the mobile terminal 100. Further, the relay server 200 stores the generated matching key in association with a part of the user authentication information.

ウェブサーバ300は、ウェブ画面を介したサービスを提供すると共に、アプリのための各種データを中継サーバ200を介し携帯端末100に提供する。本実施例では、ウェブサーバ300は、予め登録されたユーザの認証情報を保持し、ウェブサイト及びアプリにアクセスすることを要求するユーザが、登録されたユーザであるか判断する。具体的には、ウェブサーバ300は、ウェブサイト及びアプリにアクセスしようとする携帯端末100から受信した認証情報が、登録されたユーザの認証情報と一致するか判断することによって、当該ユーザを認証する。ユーザ認証が成功すると、ウェブサーバ300は、アプリ実行中の携帯端末100には中継サーバ200を介しサービスを提供し、ウェブブラウザ実行中の携帯端末100には中継サービス200を介することなく、サービスを直接提供する。さらに、アプリ実行中の携帯端末100がウェブブラウザ起動要求を送信すると、中継サーバ200から受信したユーザの契約番号とマッチングキーとを関連付けて記憶する。その後、携帯端末100上で起動されたウェブブラウザからマッチングキーを受信すると、ウェブサーバ300は、受信したマッチングキーに対応する契約番号を埋め込んだログイン画面を生成し、生成したログイン画面を携帯端末100に送信する。   The web server 300 provides a service via the web screen and also provides various data for the application to the mobile terminal 100 via the relay server 200. In this embodiment, the web server 300 holds user authentication information registered in advance, and determines whether a user who requests to access a website and an application is a registered user. Specifically, the web server 300 authenticates the user by determining whether the authentication information received from the mobile terminal 100 trying to access the website and the application matches the registered user authentication information. . If the user authentication is successful, the web server 300 provides the service to the mobile terminal 100 that is executing the application via the relay server 200, and provides the service to the mobile terminal 100 that is executing the web browser without using the relay service 200. Provide directly. Further, when the mobile terminal 100 that is executing the application transmits a web browser activation request, the user contract number received from the relay server 200 and the matching key are stored in association with each other. After that, when receiving a matching key from a web browser activated on the mobile terminal 100, the web server 300 generates a login screen in which a contract number corresponding to the received matching key is embedded, and the generated login screen is displayed on the mobile terminal 100. Send to.

ネットワーク400は、携帯端末100、中継サーバ200及びウェブサーバ300を通信接続する。携帯端末100は、ネットワーク400に無線接続する場合、ネットワーク400の基地局(図示せず)やアクセスポイント(図示せず)などの無線装置に無線接続し、この無線装置を介し中継サーバ200やウェブサーバ300などのネットワーク装置に接続する。しかしながら、本発明はこれに限定されるものでなく、例えば、携帯端末100は、ネットワーク400に有線接続してもよい。   The network 400 communicatively connects the mobile terminal 100, the relay server 200, and the web server 300. When the mobile terminal 100 is wirelessly connected to the network 400, the mobile terminal 100 is wirelessly connected to a wireless device such as a base station (not shown) or an access point (not shown) of the network 400, and the relay server 200 or the web is connected via the wireless device. Connect to a network device such as server 300. However, the present invention is not limited to this, and for example, the mobile terminal 100 may be connected to the network 400 by wire.

なお、上述した実施例では、中継サーバ200がアプリ版のサービスを携帯端末100に提供し、ウェブサーバ300がウェブサイト版のサービスを携帯端末100に提供するが、本発明はこれに限定されるものでない。例えば、ウェブサーバ300が、アプリ版のサービスとウェブサイト版のサービスとの双方を携帯端末100に提供するようにしてもよい。   In the embodiment described above, the relay server 200 provides the application version service to the mobile terminal 100, and the web server 300 provides the website version service to the mobile terminal 100. However, the present invention is limited to this. Not a thing. For example, the web server 300 may provide the mobile terminal 100 with both an application version service and a website version service.

図2は、本発明の一実施例による携帯端末のハードウェア構成を示す。図2に示されるように、携帯端末100は、バスBを介し相互接続されるドライブ装置101、補助記憶装置102、メモリ装置103、CPU(Central Processing Unit)104、通信装置105、表示装置106及び入力装置107を有する。   FIG. 2 shows a hardware configuration of a mobile terminal according to an embodiment of the present invention. As shown in FIG. 2, the mobile terminal 100 includes a drive device 101, an auxiliary storage device 102, a memory device 103, a CPU (Central Processing Unit) 104, a communication device 105, a display device 106, and an interconnected device via a bus B. An input device 107 is included.

携帯端末100における後述される各種機能及び処理を実現するプログラムは、ネットワーク400を介してサーバなどからダウンロードされる。あるいは、プログラムは、メモリカードなどの記録媒体108によって提供されてもよい。プログラムを記憶した記録媒体108がドライブ装置101にセットされると、プログラムが記録媒体108からドライブ装置101を介して補助記憶装置102にインストールされる。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。   Programs that realize various functions and processes described later in the portable terminal 100 are downloaded from a server or the like via the network 400. Alternatively, the program may be provided by a recording medium 108 such as a memory card. When the recording medium 108 storing the program is set in the drive device 101, the program is installed from the recording medium 108 to the auxiliary storage device 102 via the drive device 101. The auxiliary storage device 102 stores the installed program and also stores necessary files and data.

メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムやデータを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるような携帯端末100の各種機能及び処理を実行する。   The memory device 103 reads the program and data from the auxiliary storage device 102 and stores them when there is an instruction to start the program. The CPU 104 executes various functions and processes of the portable terminal 100 as described later according to various data such as a program stored in the memory device 103 and parameters necessary for executing the program.

通信装置105は、ネットワーク400に無線及び/又は有線接続するための通信インタフェースとして用いられる。通信装置105は、送信対象のデータを適切な信号に変換し、ネットワーク400に送信する。また、通信装置105は、ネットワーク400から受信した信号を適切なデータに変換し、メモリ装置103などの適切な装置に提供する。   The communication device 105 is used as a communication interface for wireless and / or wired connection to the network 400. The communication device 105 converts the transmission target data into an appropriate signal and transmits it to the network 400. In addition, the communication device 105 converts a signal received from the network 400 into appropriate data and provides it to an appropriate device such as the memory device 103.

表示装置106は、CPU104による処理結果などを表示するのに用いられ、例えば、液晶ディスプレイ、ブラウン管ディスプレイ(CRT)、プラズマディスプレイなどの各種ディスプレイにより実現される。入力装置107は、ユーザが携帯端末100に命令やデータなどを入力するのに用いられ、例えば、タッチパネル、キーボード、スタイラス、マイクロフォンなどにより実現される。   The display device 106 is used to display the processing result by the CPU 104, and is realized by various displays such as a liquid crystal display, a cathode ray tube display (CRT), and a plasma display. The input device 107 is used when a user inputs a command or data to the mobile terminal 100, and is realized by, for example, a touch panel, a keyboard, a stylus, a microphone, or the like.

図3は、本発明の一実施例によるサーバのハードウェア構成を示す。本実施例によるシステム10の中継サーバ200とウェブサーバ300とは、同様のハードウェア構成を有するものであってもよく、ここでは、中継サーバ200に着目する。図3に示されるように、中継サーバ200は、バスBを介し相互接続されるドライブ装置201、補助記憶装置202、メモリ装置203、CPU(Central Processing Unit)204、及びインタフェース装置205を有する。   FIG. 3 shows a hardware configuration of a server according to an embodiment of the present invention. The relay server 200 and the web server 300 of the system 10 according to the present embodiment may have the same hardware configuration. Here, the relay server 200 is focused on. As illustrated in FIG. 3, the relay server 200 includes a drive device 201, an auxiliary storage device 202, a memory device 203, a CPU (Central Processing Unit) 204, and an interface device 205 that are interconnected via a bus B.

中継サーバ200及びウェブサーバ300における後述される各種機能及び処理を実現するプログラムは、CD−ROM(Compact Disk−Read Only Memory)などの記録媒体206によって提供されてもよい。プログラムを記憶した記録媒体206がドライブ装置201にセットされると、プログラムが記録媒体206からドライブ装置201を介して補助記憶装置202にインストールされる。但し、プログラムのインストールは必ずしも記録媒体206により行う必要はなく、ネットワーク400を介して他のサーバからダウンロードするようにしてもよい。補助記憶装置202は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。   Programs for realizing various functions and processes described later in the relay server 200 and the web server 300 may be provided by a recording medium 206 such as a CD-ROM (Compact Disk-Read Only Memory). When the recording medium 206 storing the program is set in the drive device 201, the program is installed from the recording medium 206 to the auxiliary storage device 202 via the drive device 201. However, it is not always necessary to install the program using the recording medium 206, and the program may be downloaded from another server via the network 400. The auxiliary storage device 202 stores the installed program and necessary files and data.

メモリ装置203は、プログラムの起動指示があった場合に、補助記憶装置202からプログラムやデータを読み出して格納する。CPU204は、メモリ装置203に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるようなサーバの各種機能及び処理を実行する。インタフェース装置205は、ネットワーク400に接続するための通信インタフェースとして用いられる。   The memory device 203 reads and stores the program and data from the auxiliary storage device 202 when there is an instruction to start the program. The CPU 204 executes various functions and processing of the server as described later according to various data such as a program stored in the memory device 203 and parameters necessary for executing the program. The interface device 205 is used as a communication interface for connecting to the network 400.

図4は、本発明の一実施例による携帯端末の機能構成を示す。図4に示されるように、携帯端末100は、表示部110、入力部120及び送受信部130を有する。携帯端末100は、中継サーバ200との通信により各種サービスを提供する携帯端末用のアプリケーション(「アプリ」と呼ばれる)と共に、ウェブサーバ300から提供されるウェブページを表示及び操作するためのウェブブラウザとを実行可能である。   FIG. 4 shows a functional configuration of a mobile terminal according to an embodiment of the present invention. As illustrated in FIG. 4, the mobile terminal 100 includes a display unit 110, an input unit 120, and a transmission / reception unit 130. The mobile terminal 100 includes an application for a mobile terminal that provides various services by communication with the relay server 200 (referred to as an “app”), a web browser for displaying and operating a web page provided from the web server 300, and Can be executed.

表示部110は、アプリにより提供されるアプリ画面と、ウェブブラウザにより提供されるブラウザ画面とを表示する。一般に、ウェブブラウザは、パーソナルコンピュータ上でユーザが閲覧及び操作するのに適した画面を構成するのに対し、アプリは、スマートフォン、タブレット、携帯電話などの相対的に小型の携帯端末上でユーザが閲覧及び操作するのに適した画面を構成する。同一のコンテンツプロバイダがウェブサイトとアプリとの双方を提供する場合、アプリで提供されるサービスは、ウェブサイトで提供されるサービスの一部であるケースが多く、アプリでは利用できないウェブサイト上のサービスがある可能性がある。携帯端末100上でアプリを起動中のユーザが、ウェブサイト上にしかないサービスを利用することを所望した場合、ユーザは、ウェブブラウザを起動し、ウェブサーバ300から受信したウェブページ上で所望のサービスを利用しなければならない。このため、アプリ画面は、当該コンテンツプロバイダにより提供されるウェブサイトに移るためのウェブブラウザ起動ボタンを有している。アプリ実行中のユーザが、アプリ画面上のウェブブラウザ起動ボタンを押下すると、携帯端末100は、ウェブブラウザを起動し、移行先のウェブサイトからウェブページを取得する。後述されるように、取得したウェブページには、アプリ起動時に入力及び認証されたユーザのユーザID(契約番号)などの認証情報がすでに埋め込まれており、表示部110は、認証情報を含む画面を表示することができる。これにより、ユーザは、契約番号を再入力する必要なく、パスワードのみを入力することによってウェブサイトにアクセスすることが可能となる。   The display unit 110 displays an application screen provided by an application and a browser screen provided by a web browser. In general, a web browser constitutes a screen suitable for a user to browse and operate on a personal computer, while an app is used by a user on a relatively small portable terminal such as a smartphone, a tablet, or a mobile phone. Configure a screen suitable for browsing and operating. If the same content provider provides both a website and an app, the services provided by the app are often part of the services provided by the website, and services on the website that cannot be used by the app There is a possibility. When a user who is running an application on the mobile terminal 100 desires to use a service that is only available on the website, the user activates the web browser and performs a desired service on the web page received from the web server 300. Must be used. For this reason, the application screen has a web browser activation button for moving to a website provided by the content provider. When the user who is executing the application presses the web browser activation button on the application screen, the mobile terminal 100 activates the web browser and acquires a web page from the migration destination website. As will be described later, authentication information such as the user ID (contract number) of the user input and authenticated at the time of starting the application is already embedded in the acquired web page, and the display unit 110 is a screen including authentication information. Can be displayed. Thus, the user can access the website by inputting only the password without having to re-enter the contract number.

入力部120は、ユーザにより入力された契約番号やパスワードなどの認証情報を取得する。本実施例では、入力部120は、以降の利用のため、アプリの初回起動時に取得した認証情報のすべて又は一部を保持するよう構成される。例えば、入力部120は、ユーザが入力した契約番号を保持してもよい。   The input unit 120 acquires authentication information such as a contract number and a password input by the user. In the present embodiment, the input unit 120 is configured to hold all or part of the authentication information acquired at the first activation of the application for subsequent use. For example, the input unit 120 may hold a contract number input by the user.

送受信部130は、中継サーバ200及びウェブサーバ300との間で各種データを送受信する。送受信部130は、アプリ実行中にウェブブラウザの起動ボタンが押下されると、移行先のウェブサイトの画面URL(Uniform Resource Locator)と、後述されるマッチングキーとを含むブラウザ起動要求電文をウェブサーバ300に送信し、ウェブサーバ300から契約番号が埋め込まれたウェブブラウザログイン画面を受信する。送受信部130は、要求されるセキュリティレベルに適した送信手法によりデータを送信するようにしてもよい。例えば、契約番号やパスワードなどの認証情報を送信する際には、送受信部130は、送信データを中継するルータなどにおける認証情報の傍受を防ぐため、POSTメソッドを利用して認証情報を送信する。他方、後述されるマッチングキーなど傍受されてもあまり影響がない情報を送信する際には、送受信部130は、GETメソッドを利用するようにしてもよい。   The transmission / reception unit 130 transmits / receives various data to / from the relay server 200 and the web server 300. When the start button of the web browser is pressed during execution of the application, the transmission / reception unit 130 sends a browser start request message including a screen URL (Uniform Resource Locator) of the transfer destination website and a matching key to be described later to the web server And the web browser login screen in which the contract number is embedded is received from the web server 300. The transmission / reception unit 130 may transmit data by a transmission method suitable for the required security level. For example, when transmitting authentication information such as a contract number or a password, the transmission / reception unit 130 transmits authentication information using a POST method in order to prevent interception of the authentication information in a router or the like that relays transmission data. On the other hand, the transmitter / receiver 130 may use the GET method when transmitting information such as a matching key, which will be described later, that does not affect much even if it is intercepted.

図5は、本発明の一実施例による中継サーバの機能構成を示す。本実施例では、中継サーバ200は、携帯端末100のアプリ用のサービスを提供するため、携帯端末100とウェブサーバ300との間を仲介する。具体的には、中継サーバ200は、ウェブサーバ300から受信したデータをアプリ用のデータ形式に変換し、変換したデータを携帯端末100に送信する。図5に示されるように、中継サーバ200は、送受信部210、記憶部220、マッチングキー生成部230及び契約番号復元部240を有する。   FIG. 5 shows a functional configuration of a relay server according to an embodiment of the present invention. In the present embodiment, the relay server 200 mediates between the mobile terminal 100 and the web server 300 in order to provide an application service for the mobile terminal 100. Specifically, the relay server 200 converts the data received from the web server 300 into a data format for an application, and transmits the converted data to the mobile terminal 100. As illustrated in FIG. 5, the relay server 200 includes a transmission / reception unit 210, a storage unit 220, a matching key generation unit 230, and a contract number restoration unit 240.

送受信部210は、携帯端末100及びウェブサーバ300との間で各種データを送受信する。送受信部210は、携帯端末100上で起動されたアプリから各種処理要求を受信すると、受信した処理要求をウェブサーバ300に転送し、ウェブサーバ300からの処理結果をアプリ用のデータ形式に変換し、携帯端末100に送信する。本実施例では、ユーザ認証を要するアプリが携帯端末100において始めて起動されると、送受信部210は、携帯端末100からユーザID(契約番号)とパスワードなどの認証情報を受信する。送受信部210は、受信した認証情報をウェブサーバ300に転送すると共に、契約番号の一部を記憶部220に格納する。送受信部210は、要求されるセキュリティレベルに適した送信手法によりデータを送信するようにしてもよい。例えば、契約番号やパスワードなどの認証情報を送信する際には、送受信部210は、送信データを中継するルータなどにおける認証情報の傍受を防ぐため、POSTメソッドを利用して認証情報を送信する。他方、後述されるマッチングキーなど傍受されてもあまり影響がない情報を送信する際には、送受信部210は、GETメソッドを利用するようにしてもよい。   The transmission / reception unit 210 transmits / receives various data between the mobile terminal 100 and the web server 300. When the transmission / reception unit 210 receives various processing requests from the application activated on the mobile terminal 100, the transmission / reception unit 210 transfers the received processing request to the web server 300, and converts the processing result from the web server 300 into a data format for the application. To the mobile terminal 100. In the present embodiment, when an application requiring user authentication is activated for the first time on the mobile terminal 100, the transmission / reception unit 210 receives authentication information such as a user ID (contract number) and a password from the mobile terminal 100. The transmission / reception unit 210 transfers the received authentication information to the web server 300 and stores a part of the contract number in the storage unit 220. The transmission / reception unit 210 may transmit data by a transmission method suitable for the required security level. For example, when transmitting authentication information such as a contract number or a password, the transmission / reception unit 210 transmits authentication information using a POST method in order to prevent interception of the authentication information in a router or the like that relays transmission data. On the other hand, the transmitter / receiver 210 may use a GET method when transmitting information such as a matching key, which will be described later, that has little influence even when intercepted.

記憶部220は、携帯端末100から送信されるユーザの認証情報の一部と、後述される送信元の携帯端末100のアプリにより実行されているセッションのためのマッチングキーとを関連付けて記憶する。一般に、中継サーバ200が、ユーザの認証情報のすべてを保持することは、セキュリティの観点から好ましくなく、認証情報の一部のみを保持するように構成される。本実施例では、記憶部220は、ユーザの契約番号の一部を記憶し、例えば、契約番号が10桁の英数字から構成される場合、中継サーバ200は、このうちの下7桁のみを保持するよう構成されてもよい。しかしながら、本発明は、これに限定されるものでなく、記憶部220は、認証情報の何れか適切な一部を記憶するようにしてもよい。   The storage unit 220 stores a part of user authentication information transmitted from the mobile terminal 100 and a matching key for a session executed by an application of the transmission-source mobile terminal 100 to be described later. In general, it is not preferable for the relay server 200 to hold all the user authentication information from the viewpoint of security, and the relay server 200 is configured to hold only a part of the authentication information. In this embodiment, the storage unit 220 stores a part of the contract number of the user. For example, when the contract number is composed of 10-digit alphanumeric characters, the relay server 200 stores only the last 7 digits. It may be configured to hold. However, the present invention is not limited to this, and the storage unit 220 may store any appropriate part of the authentication information.

マッチングキー生成部230は、ウェブサーバ300によってユーザ認証が成功すると、当該アプリのセッションに対するマッチングキーを生成する。マッチングキー生成部230は、例えば、擬似乱数発生手段などを用いてランダムにマッチングキーを生成してもよい。好ましくは、マッチングキー生成部230は、アプリが起動される毎に新たなマッチングキーを生成する。この場合、以前に生成されたマッチングキーは無効とされ、無効とされたマッチングキーは、記憶部220から削除される。   When the web server 300 succeeds in user authentication, the matching key generation unit 230 generates a matching key for the application session. The matching key generation unit 230 may generate a matching key randomly using, for example, a pseudo random number generation unit. Preferably, the matching key generation unit 230 generates a new matching key every time the application is activated. In this case, the previously generated matching key is invalidated, and the invalidated matching key is deleted from the storage unit 220.

契約番号復元部240は、携帯端末100のアプリ実行中にブラウザ起動ボタンが押下され、中継サーバ200が保持する契約番号の残りの部分(上述の例では、契約番号の上3桁)と、アプリ実行中に携帯端末100に送信したマッチングキーとを受信すると、受信したマッチングキーに対応する契約番号の下7桁を抽出し、受信した契約番号の上3桁と抽出した契約番号の下7桁とを合成することによって10桁の契約番号を復元する。しかしながら、本発明は、これに限定されるものでなく、携帯端末100から受信する契約番号の一部と中継サーバ200に保持される契約番号の一部とから、契約番号を復元することを可能にする何れか適切な方法を用いて、契約番号を分割するようにしてもよい。   The contract number restoration unit 240 is configured such that the browser activation button is pressed while the application of the mobile terminal 100 is being executed, the remaining part of the contract number held by the relay server 200 (in the above example, the first three digits of the contract number), the application When the matching key transmitted to the mobile terminal 100 is received during execution, the last 7 digits of the contract number corresponding to the received matching key are extracted, and the upper 3 digits of the received contract number and the last 7 digits of the extracted contract number are extracted. Are combined to restore the 10-digit contract number. However, the present invention is not limited to this, and the contract number can be restored from a part of the contract number received from the mobile terminal 100 and a part of the contract number held in the relay server 200. The contract number may be divided using any appropriate method.

図6は、本発明の一実施例によるウェブサーバの機能構成を示す。図6に示されるように、ウェブサーバ300は、送受信部310、マッチングキー・契約番号記憶部320、ウェブページ生成部330及び認証部340を有する。   FIG. 6 shows a functional configuration of a web server according to an embodiment of the present invention. As illustrated in FIG. 6, the web server 300 includes a transmission / reception unit 310, a matching key / contract number storage unit 320, a web page generation unit 330, and an authentication unit 340.

送受信部310は、携帯端末100及び中継サーバ200との間で認証情報を含む各種データを送受信する。   The transmission / reception unit 310 transmits / receives various data including authentication information between the mobile terminal 100 and the relay server 200.

マッチングキー・契約番号記憶部320は、中継サーバ200から受信した契約番号とマッチングキーとを関連付けて記憶する。中継サーバ200が携帯端末100においてアプリが起動される毎に新たなマッチングキーを生成する場合、マッチングキー・契約番号記憶部320は、以前のマッチングキーを新たに生成されたマッチングキーにより更新するようにしてもよい。   The matching key / contract number storage unit 320 stores the contract number received from the relay server 200 in association with the matching key. When the relay server 200 generates a new matching key each time an app is activated on the mobile terminal 100, the matching key / contract number storage unit 320 updates the previous matching key with the newly generated matching key. It may be.

また、マッチングキー・契約番号記憶部320は、契約番号とマッチングキーとに関連付けて、当該レコードの作成日時、当該レコードの使用履歴を示すステータスなどの付加情報を格納してもよい。例えば、付加情報として作成日時が記憶されている場合、マッチングキー・契約番号記憶部320は、所定の期間(10分など)が経過すると、マッチングキーを無効にし、当該レコードを削除するようにしてもよい。また、付加情報としてステータスが記憶されている場合、マッチングキー・契約番号記憶部320は、当該マッチングキーが所定の回数(1回など)を超えて使用されると、マッチングキーを無効にし、当該レコードを削除するようにしてもよい。これにより、マッチングキーの不正利用のリスクを低下させることが可能となる。   Further, the matching key / contract number storage unit 320 may store additional information such as the date and time of creation of the record and the status indicating the use history of the record in association with the contract number and the matching key. For example, when the creation date and time is stored as additional information, the matching key / contract number storage unit 320 invalidates the matching key and deletes the record after a predetermined period (such as 10 minutes) has elapsed. Also good. When the status is stored as additional information, the matching key / contract number storage unit 320 invalidates the matching key when the matching key is used more than a predetermined number of times (such as once), The record may be deleted. This can reduce the risk of unauthorized use of the matching key.

ウェブページ生成部330は、携帯端末100のウェブブラウザ上に表示するウェブページを生成する。ウェブブラウザを起動した携帯端末100からログイン画面URLとマッチングキーとを受信すると、ウェブページ生成部330は、受信したマッチングキーに対応する契約番号を抽出し、抽出した契約番号を埋め込んだログイン画面を生成する。生成されたログイン画面は、送受信部310を介し携帯端末100に提供される。   The web page generation unit 330 generates a web page to be displayed on the web browser of the mobile terminal 100. When receiving the login screen URL and the matching key from the mobile terminal 100 that starts the web browser, the web page generation unit 330 extracts the contract number corresponding to the received matching key, and displays the login screen in which the extracted contract number is embedded. Generate. The generated login screen is provided to the mobile terminal 100 via the transmission / reception unit 310.

認証部340は、携帯端末100或いは中継サーバ200から受信した契約番号及びパスワードに基づき、ログイン要求したユーザを認証する。具体的には、認証部340は、コンテンツプロバイダがユーザに予め付与した契約番号とパスワードとが、受信した契約番号とパスワードとにそれぞれ一致するか判断することによって、ユーザを認証する。   The authentication unit 340 authenticates the user who made the login request based on the contract number and password received from the mobile terminal 100 or the relay server 200. Specifically, the authentication unit 340 authenticates the user by determining whether the contract number and the password previously given to the user by the content provider match the received contract number and the password, respectively.

次に、図7〜11を参照して、本発明の一実施例による認証情報承継処理を説明する。本実施例では、アプリによる認証情報処理と、当該認証情報処理により取得した認証情報を承継するための認証情報承継処理とを説明する。なお、インターネットバンキングを提供するアプリ及びウェブサイトの画面例を参照して認証情報処理及び認証情報承継処理を説明するが、本発明はこれに限定されるものでない。   Next, an authentication information succession process according to an embodiment of the present invention will be described with reference to FIGS. In this embodiment, an authentication information process by an application and an authentication information transfer process for transferring the authentication information acquired by the authentication information process will be described. The authentication information processing and authentication information transfer processing will be described with reference to screen examples of an application and website that provide Internet banking, but the present invention is not limited to this.

図7は、本発明の一実施例によるアプリにおける認証情報処理を示すシーケンス図である。本実施例では、アプリにおける認証情報処理は、アプリを利用するユーザの携帯端末100、携帯端末100とウェブサーバ300との間を中継し、コンテンツプロバイダにより提供されるサービスをアプリ版に変換する中継サーバ200、及びコンテンツプロバイダのウェブサイトを提供するウェブサーバ300により実現される。なお、本実施例では、コンテンツプロバイダにより提供されるサービスが、アプリ版のサービスを提供する中継サーバ200と、ウェブサイト版のサービスを提供するウェブサーバ300とに分けて提供されるが、本発明はこれに限定されるものでない。例えば、ウェブサーバ300が、アプリ版のサービスとウェブサイト版のサービスとの双方を携帯端末100に提供するようにしてもよい。   FIG. 7 is a sequence diagram showing authentication information processing in an application according to an embodiment of the present invention. In this embodiment, the authentication information processing in the application is relayed between the mobile terminal 100 of the user who uses the application, between the mobile terminal 100 and the web server 300, and the service provided by the content provider is converted into the application version. This is realized by the server 200 and the web server 300 that provides the website of the content provider. In this embodiment, the service provided by the content provider is provided separately to the relay server 200 that provides the application version service and the web server 300 that provides the website version service. Is not limited to this. For example, the web server 300 may provide the mobile terminal 100 with both an application version service and a website version service.

図7に示されるように、ステップS101において、携帯端末100のユーザが、ウェブサーバ300のコンテンツプロバイダにより提供されているアプリを起動する。本実施例によるアプリは、コンテンツプロバイダに予め登録されたユーザのみが利用可能とされる。コンテンツプロバイダのアプリ及びウェブサイトを利用するのに必要なユーザの認証情報は、何れかセキュアな方法によりコンテンツプロバイダから付与される。例えば、ユーザの認証情報は、ユーザがコンテンツプロバイダに登録した際に、ネットワークを介してユーザに提供されてもよい。あるいは、より好ましくは、ユーザの認証情報は、郵送などネットワーク経由と異なる方法によりユーザに提供されてもよい。コンテンツプロバイダからダウンロードしたアプリを最初に起動する場合、ユーザは、コンテンツプロバイダから提供された契約番号及びパスワードなどの認証情報を入力することによって、サービスを利用することが可能となる。   As shown in FIG. 7, in step S <b> 101, the user of the mobile terminal 100 activates an application provided by the content provider of the web server 300. The application according to this embodiment can be used only by users registered in advance with the content provider. User authentication information necessary for using the content provider application and website is provided from the content provider by any secure method. For example, user authentication information may be provided to a user via a network when the user registers with a content provider. Alternatively, more preferably, the user authentication information may be provided to the user by a method different from that via a network such as mail. When the application downloaded from the content provider is activated first, the user can use the service by inputting authentication information such as a contract number and a password provided from the content provider.

ステップS102において、起動されたアプリは、ユーザに契約番号及びパスワードを入力するよう要求する。例えば、アプリは、初回起動時には、図9(a)に示されるような初回起動時の画面を表示し、ユーザに契約番号とパスワードとを入力するよう要求する。   In step S102, the activated application requests the user to input a contract number and a password. For example, when the application is activated for the first time, a screen for the first activation as shown in FIG. 9A is displayed and the user is requested to input a contract number and a password.

ステップS103において、携帯端末100は、入力された契約番号とパスワードとを中継サーバ200に送信する。例えば、図9(b)に示されるように、ユーザが契約番号とパスワードとを入力すると、携帯端末100は、入力された契約番号とパスワードとを中継サーバ200に送信する。好ましくは、契約番号とマッチングキーとは、SSL(Secure Socket Layer)などの何れかセキュアな方法により送信される。図9(a)及び(b)に示されるように、入力されたパスワードは、何れか適切な方法により画面上に表示されないようにしてもよい。また、ユーザが以降におけるアプリへの契約番号の再入力を省略したい場合、携帯端末100は、入力された契約番号またはその一部を保存してもよい。   In step S <b> 103, the mobile terminal 100 transmits the input contract number and password to the relay server 200. For example, as illustrated in FIG. 9B, when the user inputs a contract number and a password, the mobile terminal 100 transmits the input contract number and password to the relay server 200. Preferably, the contract number and the matching key are transmitted by any secure method such as SSL (Secure Socket Layer). As shown in FIGS. 9A and 9B, the input password may not be displayed on the screen by any appropriate method. In addition, when the user wants to omit re-input of the contract number to the application thereafter, the mobile terminal 100 may store the input contract number or a part thereof.

ステップS104において、中継サーバ200は、受信した契約番号の一部を記憶する。上述したように、中継サーバ200が、契約番号の全体を保持することはセキュリティの観点から好ましくないためである。本実施例では、契約番号は10桁の英数字から構成され、中継サーバ200は、受信した契約番号の下7桁を記憶する。   In step S104, the relay server 200 stores a part of the received contract number. As described above, it is not preferable that the relay server 200 holds the entire contract number from the viewpoint of security. In this embodiment, the contract number is composed of 10-digit alphanumeric characters, and the relay server 200 stores the last seven digits of the received contract number.

ステップS105において、中継サーバ200は、受信した契約番号とパスワードとをウェブサーバ300に転送する。   In step S <b> 105, the relay server 200 transfers the received contract number and password to the web server 300.

ステップS106において、ウェブサーバ300は、受信した契約番号とパスワードとに基づき携帯端末100のユーザを認証する。具体的には、ウェブサーバ300は、コンテンツプロバイダが付与した契約番号とパスワードとが、受信した契約番号とパスワードとにそれぞれ一致するか判断することによって、ユーザを認証する。   In step S106, the web server 300 authenticates the user of the mobile terminal 100 based on the received contract number and password. Specifically, the web server 300 authenticates the user by determining whether the contract number and password assigned by the content provider match the received contract number and password, respectively.

ステップS107において、ユーザ認証が成功すると、ウェブサーバ300は、ログイン応答を中継サーバ200に送信する。例えば、ウェブサーバ300は、ユーザ認証が成功したことを示すログイン応答と共に、当該ユーザに関する基本情報(インターネットバンキングの例では、ユーザ名や残高合計など)を送信するようにしてもよい。   In step S107, when the user authentication is successful, the web server 300 transmits a login response to the relay server 200. For example, the web server 300 may transmit basic information (in the example of Internet banking, a user name, a balance total, etc.) regarding the user together with a login response indicating that the user authentication is successful.

ステップS108において、中継サーバ200は、ログイン応答を受信すると、当該アプリのセッションに対してマッチングキーを生成し、ステップS104において記憶された契約番号の下7桁と関連付けて生成したマッチングキーを記憶する。マッチングキーは、擬似乱数発生手段などを用いてランダムに生成するなど、何れか適切な方法により生成されてもよい。   In step S108, when receiving the login response, the relay server 200 generates a matching key for the application session, and stores the matching key generated in association with the last seven digits of the contract number stored in step S104. . The matching key may be generated by any suitable method, such as randomly generating using a pseudo-random number generating means or the like.

ステップS109において、中継サーバ200は、ログイン応答と生成したマッチングキーとを携帯端末100に送信する。また、ユーザに関する基本情報を受信している場合、中継サーバ200は、受信した基本情報も携帯端末100に送信するようにしてもよい。   In step S109, the relay server 200 transmits the login response and the generated matching key to the mobile terminal 100. In addition, when receiving basic information about a user, the relay server 200 may transmit the received basic information to the mobile terminal 100.

ステップS110において、携帯端末100は、ログイン応答を受信すると、認証が成功したことを確認し、ログイン後のアプリのトップ画面を表示すると共に、受信したマッチングキーを記憶する。携帯端末100がユーザの基本情報を受信している場合、例えば図9(c)に示される画面例のようなログイン後のトップ画面が表示される。ユーザは、表示されたトップ画面を操作して、所望のサービスを利用することが可能となる。ここで、図9に示されるインターネットバンキングのアプリの実施例では、各種インターネットバンキングサービスのうち、「振込」、「残高照会」及び「入出金明細照会」サービスを提供している。ウェブサイトでは、その他の取引サービスも提供されており、ユーザが、「振込」、「残高照会」及び「入出金明細照会」サービス以外のサービスを所望し、「その他の取引(ブラウザ起動)」ボタンを押下すると、携帯端末100は、ウェブブラウザを起動し、当該コンテンツプロバイダのウェブサイトに移行することができる。   In step S110, when receiving the login response, the mobile terminal 100 confirms that the authentication is successful, displays the top screen of the application after login, and stores the received matching key. When the mobile terminal 100 receives basic user information, a top screen after login such as the screen example shown in FIG. 9C is displayed. The user can use the desired service by operating the displayed top screen. Here, in the embodiment of the internet banking application shown in FIG. 9, among the various internet banking services, “transfer”, “balance inquiry”, and “payment / withdrawal statement inquiry” services are provided. The website also provides other transaction services, where the user desires a service other than the "transfer", "balance inquiry", and "payment and withdrawal details inquiry" services, and the "other transaction (browser activation)" button When is pressed, the portable terminal 100 can start a web browser and shift to the website of the content provider.

上述した処理は、最初にアプリを起動する際の認証処理であり、2回目以降の起動では、ユーザの利便性を考慮して入力操作を軽減するようにしてもよい。例えば、携帯端末100は、アプリの最初の起動の際にステップS101で入力された契約番号あるいはその一部を記憶し、2回目以降の起動では、ステップS102において、アプリは、図10の画面例に示されるように、ユーザにパスワードのみを入力させるようにしてもよい。   The above-described process is an authentication process when the application is first activated. In the second and subsequent activations, input operations may be reduced in consideration of user convenience. For example, the mobile terminal 100 stores the contract number or part of the contract number input in step S101 at the first activation of the application. In the second and subsequent activations, the application displays the screen example in FIG. As shown in FIG. 4, the user may be allowed to input only the password.

また、アプリの最初の起動時には、ステップS103において、携帯端末100は、契約番号とパスワードとを中継サーバ200に送信したが、2回目以降の起動では、携帯端末100は、前回のアプリ起動時に中継サーバ200から受信したマッチングキーと、中継サーバ200に保持されていない契約番号の残りの部分とを送信するようにしてもよい。図示された実施例では、契約番号は10桁の英数字から構成され、中継サーバ200はこのうち下7桁の契約番号を保持している。この場合、携帯端末100は、前回受信したマッチングキーと、下7桁の契約番号に対応する上3桁の契約番号とを中継サーバ200に送信するようにしてもよい。中継サーバ200は、受信したマッチングキーに対応する下7桁の契約番号と受信した上3桁の契約番号とから10桁の契約番号を復元し、ステップS105において、ウェブサーバ300に送信することができる。   At the first activation of the application, in step S103, the mobile terminal 100 transmits the contract number and the password to the relay server 200. However, at the second and subsequent activations, the mobile terminal 100 relays at the previous application activation. The matching key received from the server 200 and the remaining part of the contract number not held in the relay server 200 may be transmitted. In the illustrated embodiment, the contract number is composed of 10-digit alphanumeric characters, and the relay server 200 holds the last 7-digit contract number. In this case, the mobile terminal 100 may transmit the previously received matching key and the upper 3 digit contract number corresponding to the lower 7 digit contract number to the relay server 200. The relay server 200 may restore the 10-digit contract number from the lower 7-digit contract number corresponding to the received matching key and the received upper 3-digit contract number, and transmit it to the web server 300 in step S105. it can.

図8は、本発明の一実施例によるアプリからウェブサービスへの認証情報承継処理を示すシーケンス図である。本実施例では、アプリからウェブサービスへの認証情報承継処理は、携帯端末100、中継サーバ200及びウェブサーバ300により実現されるアプリにおける処理と、携帯端末100及びウェブサーバ300により実現されるウェブサービスにおける処理とから構成される。   FIG. 8 is a sequence diagram showing authentication information transfer processing from an application to a web service according to an embodiment of the present invention. In the present embodiment, authentication information transfer processing from an application to a web service includes processing in an application realized by the mobile terminal 100, the relay server 200, and the web server 300, and web service realized by the mobile terminal 100 and the web server 300. And processing.

図8に示されるように、ステップS201において、アプリ実行中、ユーザは、アプリでは提供されていないが、当該コンテンツプロバイダのウェブサイトでは提供されているサービスを利用することを所望し、ブラウザ起動ボタンを押下する。図11(a)に示される例では、ユーザは、「その他の取引(ブラウザ起動)」ボタンを押下する。   As shown in FIG. 8, in step S201, while the application is being executed, the user desires to use the service that is not provided by the application but is provided by the content provider website, and the browser activation button. Press. In the example shown in FIG. 11A, the user presses the “other transaction (browser activation)” button.

ステップS202において、携帯端末100は、保持している契約番号の一部、本実施例では、契約番号の上3桁と、保持しているマッチングキーとを中継サーバ200に送信する。   In step S <b> 202, the mobile terminal 100 transmits a part of the contract number held, in the present embodiment, the first three digits of the contract number and the matching key held to the relay server 200.

ステップS203において、中継サーバ200は、受信したマッチングキーに対応する契約番号の下7桁を抽出し、受信した契約番号の上3桁と抽出した契約番号の下7桁とから10桁の契約番号を復元する。   In step S203, the relay server 200 extracts the last 7 digits of the contract number corresponding to the received matching key, and the 10-digit contract number from the upper 3 digits of the received contract number and the last 7 digits of the extracted contract number. To restore.

ステップS204において、中継サーバ200は、復元した契約番号と受信したマッチングキーとをウェブサーバ300に送信する。好ましくは、この送信は、POSTメソッドにより実行され、中継サーバ200は、POSTメソッドのボディ部に契約番号とマッチングキーとを埋め込むことによって、契約番号とマッチングキーとをセキュアに送信することができる。   In step S <b> 204, the relay server 200 transmits the restored contract number and the received matching key to the web server 300. Preferably, this transmission is executed by the POST method, and the relay server 200 can securely transmit the contract number and the matching key by embedding the contract number and the matching key in the body portion of the POST method.

ステップS205において、ウェブサーバ300は、中継サーバ200から契約番号とマッチングキーとを受信すると、受信した契約番号とマッチングキーとを関連付けて記憶する。ウェブサーバ300は、契約番号とマッチングキーとに関連付けて、当該レコードの作成日時、当該レコードの使用履歴を示すステータスなどの付加情報を格納してもよい。例えば、付加情報として作成日時が記憶されている場合、ウェブサーバ300は、所定の期間(10分など)が経過すると、マッチングキーを無効にし、当該レコードを削除するようにしてもよい。また、付加情報としてステータスが記憶されている場合、ウェブサーバ300は、当該マッチングキーが所定の回数(1回など)を超えて使用されると、マッチングキーを無効にし、当該レコードを削除するようにしてもよい。これにより、マッチングキーの不正利用のリスクを低下させることが可能となる。   In step S205, when the web server 300 receives the contract number and the matching key from the relay server 200, the web server 300 associates and stores the received contract number and the matching key. The web server 300 may store additional information such as the creation date and time of the record and the status indicating the use history of the record in association with the contract number and the matching key. For example, when the creation date is stored as additional information, the web server 300 may invalidate the matching key and delete the record when a predetermined period (such as 10 minutes) elapses. When the status is stored as additional information, the web server 300 invalidates the matching key and deletes the record when the matching key is used more than a predetermined number of times (such as once). It may be. This can reduce the risk of unauthorized use of the matching key.

ステップS206において、ウェブサーバ300は、携帯端末100によるアプリからウェブサービスへの移行を許可するブラウザリダイレクト応答を中継サーバ200に送信する。   In step S <b> 206, the web server 300 transmits to the relay server 200 a browser redirect response that permits the mobile terminal 100 to shift from the application to the web service.

ステップS207において、中継サーバ200は、受信したブラウザリダイレクト応答を携帯端末100に転送し、携帯端末100との間のアプリのセッションを終了してもよい。   In step S <b> 207, the relay server 200 may transfer the received browser redirect response to the mobile terminal 100, and terminate the application session with the mobile terminal 100.

ステップS208において、携帯端末100は、ブラウザリダイレクト応答を中継サーバ200から受信すると、中継サーバ200とのアプリのセッションを終了すると共に、ウェブブラウザを起動して当該コンテンツプロバイダのウェブサイトにリダイレクトする。   In step S208, when the mobile terminal 100 receives the browser redirect response from the relay server 200, the mobile terminal 100 terminates the application session with the relay server 200 and activates the web browser to redirect to the website of the content provider.

ステップS209において、携帯端末100は、リダイレクトしたウェブサイトのログイン画面URLと保持しているマッチングキーとをウェブサーバ300に送信する。この送信は、GETメソッドにより実行されてもよい。マッチングキーの有効期限及び/又は有効使用回数が制限されている場合、マッチングキーがGETメソッドによりログイン画面URLに付属され、中継するルータ上で傍受されたとしても、セキュリティ上の大きな影響を受けないと考えられるためである。   In step S <b> 209, the mobile terminal 100 transmits the login screen URL of the redirected website and the matching key held to the web server 300. This transmission may be executed by a GET method. When the expiration date and / or the number of effective use of the matching key are limited, even if the matching key is attached to the login screen URL by the GET method and intercepted on the relay router, it is not greatly affected by security. It is because it is considered.

ステップS210において、ウェブサーバ300は、受信したマッチングキーに対応する契約番号を抽出し、抽出した契約番号が埋め込まれたログイン画面を生成する。例えば、ウェブサーバ300は、図11(b)に示されるようなウェブブラウザログイン画面を生成するようにしてもよい。   In step S210, the web server 300 extracts a contract number corresponding to the received matching key, and generates a login screen in which the extracted contract number is embedded. For example, the web server 300 may generate a web browser login screen as shown in FIG.

ステップS211において、ウェブサーバ300は、生成された契約番号が埋め込まれたログイン画面を携帯端末100に送信する。   In step S211, the web server 300 transmits a login screen in which the generated contract number is embedded to the mobile terminal 100.

ステップS212において、携帯端末100は、図11(b)に示されるような画面を表示することによって、契約番号が埋め込まれたログイン画面にパスワードを入力するようユーザに要求する。   In step S212, the portable terminal 100 requests the user to input a password on the login screen in which the contract number is embedded by displaying a screen as shown in FIG. 11B.

ステップS213において、携帯端末100は、埋め込まれた契約番号とユーザにより入力されたパスワードとをウェブサーバ300に送信する。ステップS204と同様に、当該送信は、好ましくはPOSTメソッドにより実行され、契約番号とパスワードとをセキュアに送信するようにしてもよい。   In step S213, the mobile terminal 100 transmits the embedded contract number and the password input by the user to the web server 300. Similar to step S204, the transmission is preferably executed by the POST method, and the contract number and the password may be transmitted securely.

ステップS214において、ウェブサーバ300は、受信した契約番号とパスワードとに基づき、ユーザを認証する。具体的には、ウェブサーバ300は、コンテンツプロバイダが付与した契約番号とパスワードとが、受信した契約番号とパスワードとにそれぞれ一致するか判断することによって、ユーザを認証する。   In step S214, the web server 300 authenticates the user based on the received contract number and password. Specifically, the web server 300 authenticates the user by determining whether the contract number and password assigned by the content provider match the received contract number and password, respectively.

ステップS215において、ウェブサーバ300は、ユーザ認証が成功すると、携帯端末100にログイン応答を送信する。携帯端末100は、認証成功したことを確認し、ログイン後のウェブサイトのトップ画面を表示する。ユーザは、ウェブブラウザ上に表示されたトップ画面を操作して、所望のページにアクセスすることが可能となる。   In step S215, when the user authentication is successful, the web server 300 transmits a login response to the mobile terminal 100. The mobile terminal 100 confirms that the authentication has succeeded, and displays the top screen of the website after login. The user can access a desired page by operating the top screen displayed on the web browser.

以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to the specific embodiment mentioned above, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

10 システム
100 携帯端末
200 中継サーバ
300 ウェブサーバ
400 ネットワーク 10 System 100 Mobile Terminal 200 Relay Server 300 Web Server 400 Network

Claims (5)

検索キー情報に対応する認証情報を取得する取得部と、An acquisition unit for acquiring authentication information corresponding to the search key information;
端末から画面URLと前記検索キー情報とを含むブラウザ起動要求電文を受信し、前記受信した検索キー情報に対応する認証情報を含む画面情報を前記端末に送信する送受信部と、  A transmission / reception unit that receives a browser activation request message including a screen URL and the search key information from a terminal, and transmits screen information including authentication information corresponding to the received search key information to the terminal;
を有する情報処理装置。An information processing apparatus. 前記検索キー情報は、アプリのセッション毎に生成される、請求項1記載の情報処理装置。The information processing apparatus according to claim 1, wherein the search key information is generated for each session of an application. 前記検索キー情報は、当該情報処理装置によって生成される、請求項1又は2記載の情報処理装置。The information processing apparatus according to claim 1, wherein the search key information is generated by the information processing apparatus. 前記検索キー情報と前記認証情報の一部とを前記端末から受信すると、前記取得部は、前記検索キー情報と前記認証情報の一部とに基づき前記認証情報を復元する、請求項1乃至3何れか一項記載の情報処理装置。4. When receiving the search key information and a part of the authentication information from the terminal, the acquisition unit restores the authentication information based on the search key information and a part of the authentication information. The information processing apparatus according to any one of claims. 認証情報を承継するシステムであって、A system that inherits authentication information,
請求項1乃至4何れか一項記載の情報処理装置と、  An information processing apparatus according to any one of claims 1 to 4,
前記端末と、  The terminal;
を有し、Have
前記端末は、The terminal
前記認証情報が入力される入力部と、  An input unit for inputting the authentication information;
アプリ使用中にブラウザ起動ボタンが押下されると、前記画面URLと前記検索キー情報とを含む前記ブラウザ起動要求電文を前記情報処理装置に送信し、前記情報処理装置から前記認証情報を含む画面情報を受信する送受信部と、  When a browser activation button is pressed during use of an application, the browser activation request message including the screen URL and the search key information is transmitted to the information processing apparatus, and the screen information including the authentication information from the information processing apparatus A transmission / reception unit for receiving,
前記受信した認証情報を含む画面情報を表示する表示部と、  A display unit for displaying screen information including the received authentication information;
を有するシステム。Having a system.
JP2012219766A 2012-10-01 2012-10-01 Authentication information transfer system and web server Active JP6068908B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012219766A JP6068908B2 (en) 2012-10-01 2012-10-01 Authentication information transfer system and web server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012219766A JP6068908B2 (en) 2012-10-01 2012-10-01 Authentication information transfer system and web server

Publications (2)

Publication Number Publication Date
JP2014071840A JP2014071840A (en) 2014-04-21
JP6068908B2 true JP6068908B2 (en) 2017-01-25

Family

ID=50746932

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012219766A Active JP6068908B2 (en) 2012-10-01 2012-10-01 Authentication information transfer system and web server

Country Status (1)

Country Link
JP (1) JP6068908B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6451498B2 (en) * 2015-05-21 2019-01-16 富士通株式会社 Program, information processing terminal, information processing method, and information processing system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002215582A (en) * 2000-12-28 2002-08-02 Morgan Stanley Dean Witter Japan Ltd Method and device for authentication
JP4589200B2 (en) * 2005-08-23 2010-12-01 日本電信電話株式会社 Authentication method, authentication cooperation device, program thereof, and program recording medium in broadcast communication cooperation service
JP2007179213A (en) * 2005-12-27 2007-07-12 Kosugi Masami Network confidential information control system
JP5345432B2 (en) * 2009-03-24 2013-11-20 株式会社日立システムズ Web logon control method, system and program
US8468360B2 (en) * 2009-09-04 2013-06-18 Panasonic Corporation Client terminal, server, server-client system, cooperation processing method, program and recording medium
JP5569284B2 (en) * 2010-09-14 2014-08-13 株式会社リコー Information processing apparatus, authentication control method, and authentication control program

Also Published As

Publication number Publication date
JP2014071840A (en) 2014-04-21

Similar Documents

Publication Publication Date Title
US11361065B2 (en) Techniques for authentication via a mobile device
JP5462021B2 (en) Authentication system, authentication method, and authentication program
JP2014529837A (en) ID authentication management apparatus and method
JP2006107316A (en) Authentication system and authentication method
JP2018197997A (en) System, information processing device, method, and program
JP6430689B2 (en) Authentication method, terminal and program
CN112292845B (en) Information processing apparatus, information processing method, and program
JP2015130028A (en) Proxy log-in device, terminal, control method and program
JP6068908B2 (en) Authentication information transfer system and web server
JP5197681B2 (en) Login seal management system and management server
JP6325654B2 (en) Network service providing apparatus, network service providing method, and program
JP6307610B2 (en) Data falsification detection device, data falsification detection method, and program
WO2017010170A1 (en) Information communicating medium, information communicating method, and information communicating system
JP2019046133A (en) Information processing device, control method, and program
JP6354382B2 (en) Authentication system, authentication method, authentication apparatus, and program
JP6115884B1 (en) Service providing system, authentication device, and program
JP5770354B1 (en) Server system and request execution control method
JP6778988B2 (en) Authentication information generation program, authentication information generation device, and authentication information generation method
JP2016062189A (en) Personal authentication system
WO2017134922A1 (en) Service provision system, authentication device, and program
JP2017084399A (en) Relay device, relay method, and program
JP5937362B2 (en) Browsing registration system, system operator server, and content providing server
EP4064082A1 (en) Data injection system and method thereof
TWM635540U (en) System for log-in and authorization
KR20170029942A (en) Payment service providing apparatus and method using authentication based on web, system and computer readable medium having computer program recorded thereon

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160729

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161226

R150 Certificate of patent or registration of utility model

Ref document number: 6068908

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250