JP2012048693A - 携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 - Google Patents
携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 Download PDFInfo
- Publication number
- JP2012048693A JP2012048693A JP2010202437A JP2010202437A JP2012048693A JP 2012048693 A JP2012048693 A JP 2012048693A JP 2010202437 A JP2010202437 A JP 2010202437A JP 2010202437 A JP2010202437 A JP 2010202437A JP 2012048693 A JP2012048693 A JP 2012048693A
- Authority
- JP
- Japan
- Prior art keywords
- cookies
- url
- cookie
- embedding
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Telephone Function (AREA)
Abstract
【課題】 携帯電話で、IDとパスワードでログインする際に、クッキーを使うとクッキーが使えない機種が存在する現状ではそれを切り捨てなければならない。しかし、URL埋め込みの方式を用いるならセキュリティー上の問題があるので、できるだけクッキーを使うことが望まれる。クッキーが使える携帯機種が増えてきたので、この問題を解決したい。
【解決手段】 クッキーが使えるか否かをプログラムでテストするのは簡単にできる。また、URL埋め込みの方式でも「携帯識別暗号化方式」を用いてある程度セキュリティーを強化することができる。しかし、基本的にはクッキーを使うのが最善なので、クッキーが使える場合にはクッキーを使い、クッキーが使えない場合にはURL埋め込みの方式を使うように、自動で切り替える方式を組み合わせることによりセキュリティーを一層強化できる。
【解決手段】 クッキーが使えるか否かをプログラムでテストするのは簡単にできる。また、URL埋め込みの方式でも「携帯識別暗号化方式」を用いてある程度セキュリティーを強化することができる。しかし、基本的にはクッキーを使うのが最善なので、クッキーが使える場合にはクッキーを使い、クッキーが使えない場合にはURL埋め込みの方式を使うように、自動で切り替える方式を組み合わせることによりセキュリティーを一層強化できる。
Description
本発明は、携帯電話でログイン状態を維持するためのログイン方式の技術に関する。
これまで、携帯電話ではクッキーが使えない機種が多く、ログイン状態を維持するために、IDとパスワードをURL埋め込み方式(POSTとGETとで引き渡す方式)で受け渡していた。しかし、クッキーが使える機種が増えてきた現状では、クッキーを使うのが最善である。
セッション管理の技術でクッキーとURL埋め込み方式を自動で切り替える方法があるが、ここではセッション管理を使わないで、携帯電話に特化したパスワードの暗号化方式を使ったログイン方式を実現したい。
セッション管理の技術でクッキーとURL埋め込み方式を自動で切り替える方法があるが、ここではセッション管理を使わないで、携帯電話に特化したパスワードの暗号化方式を使ったログイン方式を実現したい。
「岩本隆史の日記帳」 http://d.hatena.ne.jp/Iwamoto Takashi/20091002/p1
携帯電話で、ログインする際にクッキーを使うと、クッキーが使えない機種が存在する現状ではそれを切り捨てなければならない。しかし、URL埋め込みの方式を用いるならセキュリティー上の問題があるので、その点も考慮しつつ、できるだけクッキーを使うことが望まれる。クッキーが使える携帯機種が増えてきたので、この問題を解決したい。
まず、パスワードを携帯固有の情報を使って暗号化する。下記のようにして暗号化Cを生成することをパスワードの「携帯識別暗号化方式」と呼ぶことにする。
会員パスワードを暗号化(ハッシュ化)したものを暗号化A(SHA1では40桁)とする。
下記の情報(1)(2)(3)を合わせて暗号化(ハッシュ化)したものを暗号化B(SHA1では40桁)とする。
(1)携帯電話のUserAgent
(2)携帯電話の識別番号(固体識別番号、サブスクライバID、ユーザーID、シリアル番号など、簡単に取得可能なものはすべて取得する)
(3)ログインした時の時間的な情報(その時刻、その日、その週、その月のいずれか1つを示す情報)
暗号化Aと暗号化Bを適当な規則により組み合わせて、パスワードの暗号化C(SHA1では80桁)を生成する。
また、IDと暗号化されたパスワードの引渡しは次のようにして行なう。クッキーが使えるか否かはプログラムで実際にクッキーの書き込みと読み込みを行なってテストする。クッキーが使える場合にはIDとパスワード(暗号化A)の引渡しにクッキーを使い、クッキーが使えない場合にはURL埋め込み方式でIDとパスワード(暗号化C)を引渡す。これを自動で切り替えて行なう。
会員パスワードを暗号化(ハッシュ化)したものを暗号化A(SHA1では40桁)とする。
下記の情報(1)(2)(3)を合わせて暗号化(ハッシュ化)したものを暗号化B(SHA1では40桁)とする。
(1)携帯電話のUserAgent
(2)携帯電話の識別番号(固体識別番号、サブスクライバID、ユーザーID、シリアル番号など、簡単に取得可能なものはすべて取得する)
(3)ログインした時の時間的な情報(その時刻、その日、その週、その月のいずれか1つを示す情報)
暗号化Aと暗号化Bを適当な規則により組み合わせて、パスワードの暗号化C(SHA1では80桁)を生成する。
また、IDと暗号化されたパスワードの引渡しは次のようにして行なう。クッキーが使えるか否かはプログラムで実際にクッキーの書き込みと読み込みを行なってテストする。クッキーが使える場合にはIDとパスワード(暗号化A)の引渡しにクッキーを使い、クッキーが使えない場合にはURL埋め込み方式でIDとパスワード(暗号化C)を引渡す。これを自動で切り替えて行なう。
本発明は次のような効果を奏する。
携帯電話でクッキーが使える機種が増加してきている現状で、クッキーをできるだけ利用しつつ、まだクッキーが使えない機種にも対応させることができる。こうすることにより、ほとんどすべての携帯やiPhoneなどにも対応するログイン状態の維持が可能となる。
URL埋め込みの場合でもサイトに外部サイトへのリンクを貼らない限リファラースパムの危険性はない(脆弱性はない)。しかし、最新のドコモのiモードプラウザー2.0はリファラーを送信するので、クッキーを使うならさらにセキュリティーが強化される。
もちろん、仮にパスワードが盗まれても、携帯識別暗号化方式により暗号化されているので他の携帯から悪用される可能性はきわめて低い。UserAgentの種類だけでも相当の数に及ぶからである。加えて、時間的な情報によりパスワードの有効期限(次の週までなど)も設定できる。
さらに、クッキーが使える携帯機種でクッキーがオフの設定になっている場合でもログインできるというメリットもある。
本発明には、携帯電話に固有の暗号化方式「携帯識別暗号化方式」と、クッキーとURL埋め込みの自動切換え方式とを組み合わせることにより、セキュリティーを一層強化できるという効果がある。そして、何よりも、クッキーが使える時には簡単にログインできるという最大のメリットがある。
携帯電話でクッキーが使える機種が増加してきている現状で、クッキーをできるだけ利用しつつ、まだクッキーが使えない機種にも対応させることができる。こうすることにより、ほとんどすべての携帯やiPhoneなどにも対応するログイン状態の維持が可能となる。
URL埋め込みの場合でもサイトに外部サイトへのリンクを貼らない限リファラースパムの危険性はない(脆弱性はない)。しかし、最新のドコモのiモードプラウザー2.0はリファラーを送信するので、クッキーを使うならさらにセキュリティーが強化される。
もちろん、仮にパスワードが盗まれても、携帯識別暗号化方式により暗号化されているので他の携帯から悪用される可能性はきわめて低い。UserAgentの種類だけでも相当の数に及ぶからである。加えて、時間的な情報によりパスワードの有効期限(次の週までなど)も設定できる。
さらに、クッキーが使える携帯機種でクッキーがオフの設定になっている場合でもログインできるというメリットもある。
本発明には、携帯電話に固有の暗号化方式「携帯識別暗号化方式」と、クッキーとURL埋め込みの自動切換え方式とを組み合わせることにより、セキュリティーを一層強化できるという効果がある。そして、何よりも、クッキーが使える時には簡単にログインできるという最大のメリットがある。
perl言語などでプログラミングするが、クッキーが使えるか否かを判別してURLを出力する。会員IDとパスワードでログインする場合の例を下記に示す。
(1)クッキーが使える場合
IDとパスワード(暗号化A)をクッキーで受け渡す。URLは下記のようになる。
http://*********.cgi?id=guest&pass=secret
ここで、「guest」、「secret」はURL埋め込みではなくクッキーで受け渡していることを表す。もちろん、「id=guest&pass=secret」は表示しなくても良い。
(2)クッキーが使えない場合
IDとパスワード(暗号化C)をURL埋め込みで受け渡す。URLは下記のようになる。
http://*********.cgi?id=(会員ID)&pass=(ハッシュ値−SHA1では80桁)
(1)クッキーが使える場合
IDとパスワード(暗号化A)をクッキーで受け渡す。URLは下記のようになる。
http://*********.cgi?id=guest&pass=secret
ここで、「guest」、「secret」はURL埋め込みではなくクッキーで受け渡していることを表す。もちろん、「id=guest&pass=secret」は表示しなくても良い。
(2)クッキーが使えない場合
IDとパスワード(暗号化C)をURL埋め込みで受け渡す。URLは下記のようになる。
http://*********.cgi?id=(会員ID)&pass=(ハッシュ値−SHA1では80桁)
Claims (1)
- 携帯電話でログイン状態を維持する際に、パスワードを「携帯識別暗号化方式」を使って暗号化し、かつ、IDとパスワードの引渡しをクッキーとURL埋め込み方式とを自動で切り替えて行なう方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010202437A JP2012048693A (ja) | 2010-08-24 | 2010-08-24 | 携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010202437A JP2012048693A (ja) | 2010-08-24 | 2010-08-24 | 携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012048693A true JP2012048693A (ja) | 2012-03-08 |
Family
ID=45903436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010202437A Pending JP2012048693A (ja) | 2010-08-24 | 2010-08-24 | 携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012048693A (ja) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000090022A (ja) * | 1998-09-14 | 2000-03-31 | Nippon Telegr & Teleph Corp <Ntt> | コンピュータネットワーク−ファクシミリ間通信による質問回答システム及びそのセンタ装置及び質問回答方法及びそれらを実現するためのプログラムを記録した記録媒体 |
| JP2002041380A (ja) * | 2000-07-28 | 2002-02-08 | Five Any Inc | データ処理システム及び方法 |
| JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
| JP2005070831A (ja) * | 2003-08-22 | 2005-03-17 | Canon Software Inc | プログラム生成装置およびプログラム生成方法およびプログラムおよび記録媒体 |
| JP2005165418A (ja) * | 2003-11-28 | 2005-06-23 | Nec Soft Ltd | ログイン認証システム。 |
| JP2006113877A (ja) * | 2004-10-15 | 2006-04-27 | Willcom Inc | 接続機器認証システム |
| JP2008077145A (ja) * | 2006-09-19 | 2008-04-03 | Anaheim Engineering Co Ltd | 認証システム、認証サーバ、システム管理サーバ、認証プログラム及びシステム管理プログラム |
| JP2008225573A (ja) * | 2007-03-08 | 2008-09-25 | Terumo Corp | 代理サーバ、代理サーバのためのプログラム及び代理アクセス方法 |
-
2010
- 2010-08-24 JP JP2010202437A patent/JP2012048693A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000090022A (ja) * | 1998-09-14 | 2000-03-31 | Nippon Telegr & Teleph Corp <Ntt> | コンピュータネットワーク−ファクシミリ間通信による質問回答システム及びそのセンタ装置及び質問回答方法及びそれらを実現するためのプログラムを記録した記録媒体 |
| JP2002041380A (ja) * | 2000-07-28 | 2002-02-08 | Five Any Inc | データ処理システム及び方法 |
| JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
| JP2005070831A (ja) * | 2003-08-22 | 2005-03-17 | Canon Software Inc | プログラム生成装置およびプログラム生成方法およびプログラムおよび記録媒体 |
| JP2005165418A (ja) * | 2003-11-28 | 2005-06-23 | Nec Soft Ltd | ログイン認証システム。 |
| JP2006113877A (ja) * | 2004-10-15 | 2006-04-27 | Willcom Inc | 接続機器認証システム |
| JP2008077145A (ja) * | 2006-09-19 | 2008-04-03 | Anaheim Engineering Co Ltd | 認証システム、認証サーバ、システム管理サーバ、認証プログラム及びシステム管理プログラム |
| JP2008225573A (ja) * | 2007-03-08 | 2008-09-25 | Terumo Corp | 代理サーバ、代理サーバのためのプログラム及び代理アクセス方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| KR102074116B1 (ko) | 블록체인 노드 통신 방법 및 장치 | |
| Lang et al. | Security keys: Practical cryptographic second factors for the modern web | |
| Wei et al. | Mobishare: Flexible privacy-preserving location sharing in mobile online social networks | |
| US11070368B2 (en) | System, method, and program for transmitting and receiving any type of secure digital data | |
| US9455830B2 (en) | Method for securing credentials in a remote repository | |
| US9369285B2 (en) | Social network based PKI authentication | |
| JP6655616B2 (ja) | 移動端末間の通信の確立 | |
| US20140013109A1 (en) | Secure delivery of trust credentials | |
| US9225702B2 (en) | Transparent client authentication | |
| US11349659B2 (en) | Transmitting an encrypted communication to a user in a second secure communication network | |
| Nyamtiga et al. | Enhanced security model for mobile banking systems in Tanzania | |
| Wang et al. | Amnesia: A bilateral generative password manager | |
| BRPI0811643A2 (pt) | Protocolo de login seguro | |
| US20230275751A1 (en) | Decentralized Cryptography | |
| Murukutla et al. | Single sign on for cloud | |
| US10791196B2 (en) | Directory lookup for federated messaging with a user from a different secure communication network | |
| CA2813765C (en) | A method for securing credentials in a remote repository | |
| Fahl et al. | Trustsplit: usable confidentiality for social network messaging | |
| Chen et al. | Anonymous end to end encryption group messaging protocol based on asynchronous ratchet tree | |
| Abubakar et al. | Blockchain-based authentication and registration mechanism for sip-based voip systems | |
| Lee et al. | Design and implementation of faith, an experimental system to intercept and manipulate online social informatics | |
| JP2012048693A (ja) | 携帯識別暗号化方式及びクッキーとurl埋め込みの自動切換え方式を使ったログイン方式。 | |
| CN103235910B (zh) | iOS操作系统中基于智能卡实现网络账户保护控制的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121207 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131030 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140311 |