JP2012247992A - 情報処理装置及び情報処理方法 - Google Patents

情報処理装置及び情報処理方法 Download PDF

Info

Publication number
JP2012247992A
JP2012247992A JP2011119124A JP2011119124A JP2012247992A JP 2012247992 A JP2012247992 A JP 2012247992A JP 2011119124 A JP2011119124 A JP 2011119124A JP 2011119124 A JP2011119124 A JP 2011119124A JP 2012247992 A JP2012247992 A JP 2012247992A
Authority
JP
Japan
Prior art keywords
url
client
registration information
hash value
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011119124A
Other languages
English (en)
Other versions
JP5411204B2 (ja
Inventor
Tatsuya Tobioka
辰哉 飛岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MUFG Bank Ltd
Original Assignee
Bank of Tokyo Mitsubishi UFJ Trust Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of Tokyo Mitsubishi UFJ Trust Co filed Critical Bank of Tokyo Mitsubishi UFJ Trust Co
Priority to JP2011119124A priority Critical patent/JP5411204B2/ja
Priority to US13/237,601 priority patent/US20120303830A1/en
Publication of JP2012247992A publication Critical patent/JP2012247992A/ja
Application granted granted Critical
Publication of JP5411204B2 publication Critical patent/JP5411204B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザにおける負担が増すことなく、かつサーバ側において登録ユーザの認証情報を保持することなく認証を行うための情報処理装置及び情報処理方法を提供する。
【解決手段】クライアントから送信された登録情報を受信する登録情報受信手段と、登録情報を含むURLを生成するURL生成手段と、URLをクライアントへと通知するURL通知手段と、クライアントからURLを受信し、クライアントにURLに対応するログイン画面を表示させるとともに登録情報をURLから抽出するログインURL処理手段と、クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、登録情報と第2の登録情報とが一致するか否かによりクライアントの認証の可否を判断する認証実行手段とを有することを特徴とする情報処理装置。
【選択図】図1

Description

本発明は、認証を行う装置及び方法に関し、より詳細には、セキュリティを高めてシステムにおいてクライアントの認証を行う装置及び方法に関する。
従来、サーバとクライアントとを備えるシステムにおいて、クライアントを使用するユーザの認証を行なうには、ユーザのIDとパスワードとの組み合わせなどの認証情報をサーバに記憶しておき、クライアントから送信された認証情報と、サーバに記憶している認証情報と、を比較することが行なわれている。
特開2007−310630号公報
しかしながら、ユーザの数が増えると、サーバに記憶する認証情報の数が増加することになる。このため、サーバに記憶されておる認証情報が漏洩すると、多数のユーザに対して不正アクセスなどの危機が発生することとなる。
そこで、本発明は、ユーザにおける負担が増すことなく、かつサーバ側において登録ユーザの認証情報を保持することなく認証を行うための情報処理装置及び情報処理方法を提供することを目的とする。
本発明の一実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
また、本発明の他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記ハッシュ値を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントにログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL受信手段と、前記クライアントから送信された認証要求を受信する認証要求受信手段と、前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
また、本発明のさらに他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
また、本発明の一実施形態に係る情報処理方法は、クライアントから送信された登録情報を受信し、前記登録情報をキーとして用いてハッシュ値を算出し、前記ハッシュ値を含むURLを生成し、生成した前記URLを前記クライアントへと通知し、前記クライアントからの前記URLを含む認証要求を受信し、前記認証要求に含まれる前記URLから前記ハッシュ値を抽出し、前記クライアントの認証を行うことを特徴とする。
本発明により、クライアント側において特別なプログラムを導入するなどの手続きが不要で、かつ情報処理装置、すなわちサーバ側において認証情報を保持することが不要な認証を行うことのできる情報処理装置が提供される。
本発明の一実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。 本発明の一実施形態に係る情報処理システムにおけるデータの流れを説明するシーケンス図である。 登録部110におけるデータの流れをより詳細に説明するシーケンス図である。 本発明の一実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。 認証部120におけるデータの流れをより詳細に説明するシーケンス図である。 認証部120におけるデータの流れをより詳細に説明するシーケンス図である。 本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。 本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。 本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。 本発明の他の実施形態に係る情報処理システムにおけるデータの流れを示すシーケンス図である。 本発明の他の実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。 本発明の他の実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
以下、本発明を実施するための形態をいくつかの実施形態として説明する。なお、本発明は、これらの実施形態に限定されることなく、種々の変形を加えて実施することが可能である。
(実施形態1)
図1は、本発明の一実施形態に係る情報処理システムの機能ブロック図である。
図1を参照すると、本発明の一実施形態に係る情報処理システムは、情報処理装置100とクライアント200とを備え、通信網を介して通信を行なう。情報処理装置100は、登録部110と、認証部120とを有する。情報処理装置100は、例えば1台以上のネットワークに接続可能なサーバであり、クライアント200とネットワーク接続されている。クライアント200は、利用者が操作する端末装置である。クライアント200は、パーソナルコンピュータ、PDA、携帯電話、スマートフォンなどのCPU(中央演算公知)を有する機器にプログラムがインストールされるなどして実現される。
登録部110は、クライアント200において、情報処理装置100が提供するサービスを利用するための利用登録に用いるコンポーネントであって、登録情報受信手段111、計算手段112、URL生成手段113、URL通知手段114を有する。また、認証部120は、利用登録後、クライアント200がサービス利用のためにログインを行う際に認証を行う。認証部120は、ログインURL処理手段121、認証要求受信手段122、認証実行手段123を有する。
登録情報受信手段111は、クライアント200より送信された登録情報10を受信する。登録情報10は、例えばサービス利用時に用いるユーザIDとパスワードである。また、ユーザIDのみクライアント200において入力させてもよく、ユーザIDに対応するパスワードを情報処理装置100において生成してもよい。また、クライアント200には、利用者の氏名、住所などの利用者を特定する情報を登録情報として入力し、クライアント200に入力された情報に対応するユーザIDとパスワードとを情報処理装置100において生成してもよい。生成された結果は、登録情報10に対する返信としてのウェブページに記載されてもよいし、登録情報10に含まれる電子メールアドレスや住所に返送されるようになっていてもよい。
計算手段112は、ハッシュ関数を用い、登録情報10のハッシュ値15を算出する。算出に用いられるハッシュ関数は例えばMD5やSHA−1、SHA−256などであり、その他のハッシュ関数を用いてもよい。また、登録情報10に、salt値を加えたもののハッシュ値15を算出してもよく、これにより、ハッシュ値15の逆算を、salt値を用いない場合よりも困難とし、登録情報10がハッシュ値15から第三者により逆算されて漏洩することを困難とし、漏洩を防止することができる。
URL生成手段113は、計算手段112において算出されたハッシュ値15を含むログインURL20を生成する。具体的には、例えば、「http://www.example.co.jp/login.html」といったURLに、ハッシュ値15を追加し、「http://www.example.co.jp/login.html?q=ハッシュ値」といったログインURL20を生成する。ハッシュ値は、例えば、この例に示すようにURLにおけるクエリ部分として追加してもよい。これにより、ユーザの数に関わらず実際のアクセスするログイン画面の位置を特定するURLとしては、1つ用意すればよい。この例の場合には、ログイン画面の位置を特定するURLは、「http://www.example.co.jp/login.html」となり、このURLに「?q=ハッシュ値」というクエリ部分が付加されている。
なお、ハッシュ値15をそのままログインURL20に含めるのではなく、別途ハッシュ値を暗号化する手段を設け、同手段によりハッシュ値15を暗号化した後に、暗号化されたハッシュ値15をログインURL20に含めてもよい。
登録情報10からログインURL20を生成する1つの具体例を示す。登録情報10の内容がユーザID及びパスワードであり、ユーザIDが「user1」、パスワードが「password1」、salt値が「ty」である場合に、これらを組み合わせて、「user1password1ty」をキーとし、ハッシュ関数としてMD5を使用してハッシュ値を計算すると、ハッシュ値15は「6f2ca242c40b3589b0fdf03f04da719a」となる。ログイン画面が表示されるURLが「http://www.example.co.jp/login.html」であるとき、ハッシュ値15を用いてログインURL20を作成すると、「http://www.example.co.jp/login.html?q=6f2ca242c40b3589b0fdf03f04da719a」となる。
URL通知手段114は、URL生成手段113において生成されたログインURL20を、クライアント200へと通知する。URL通知手段114は、クライアント200への通知方法として、電子メールで送信してもよく、クライアント200のWebブラウザ上に表示してもよく、またはその他の方法によってもよい。一例としては、登録完了の通知として、クライアント200においてユーザが指定した電子メールアドレスへと、登録内容とともに、生成したログインURL20が記載された電子メールを送信する方法により行ってもよい。また、情報処理装置100においてユーザIDおよびパスワードのいずれか一以上が生成される場合には、生成されたユーザIDおよびパスワードのいずれか一以上が、生成されたURLと同じ経路、あるいは異なる経路でユーザに通知される。例えば、ユーザIDおよびパスワードは、郵便やファクシミリなどによりユーザに通知され、生成されたURLは電子メールでユーザに通知される。
次に、クライアント200が、URL通知手段114により通知されたログインURLを用いて情報処理装置におけるサービス利用のためのログインを行う際の認証部120の動作について説明する。
認証要求のために、例えばクライアント200のWebブラウザにおいて、登録時に通知されたログインURL20を入力し、情報処理装置100へと送信する。例えば、Webブラウザのブックマークに、通知されたURLを格納しておき、ブックマークを読み出して、通知されたURLに対するアクセスを行なう。あるいは、通知されたURLが電子メールにより通知されている場合には、メーラの表示画面にその通知を行なうメールを表示させ、通知されたURLのクリックなどを行なう。
ログインURL20を受信すると、認証部120のログインURL処理手段121はクライアント200にログイン画面30として使用されるウェブページを表示する。クライアント200の利用者がログイン画面30に認証情報を入力し、情報処理装置100に認証要求の送信を行なうと、認証部120は、ログインURL20に含まれるハッシュ値15を抽出してもよい。
認証部120による、ハッシュ値15の抽出の方法としては、ログインURL処理手段121において、受信したログインURL20から抽出する方法があるが、他に、例えばログインURL20を、リファラ(referer)として認証部120が認識する方法がある。すなわち、情報処理装置100は、クライアント200においてログインURL20に対応するログイン画面30として使用されるウェブページを表示させる。例えば、クライアント200は、ログイン画面30において、認証情報、例えばユーザIDとパスワードとを入力し、認証要求40を情報処理装置100へと送信する。この送信時に、アドレス遷移元のURL、すなわちリファラとしてログイン画面30として使用されるウェブページのURLであるログインURL20とともに、認証要求40を情報処理装置100へと送信する。ログインURL20をリファラとして認識させる場合においても、ユーザは、クライアント200のWebブラウザにおいてログインURL20を入力、送信するだけでよく、入力送信したURLをリファラとして遷移後のページの処理において参照することは、Web技術における標準的なプロトコルにより実現可能であるから、クライアント200に特別なプログラムを導入することを不要とすることができる。例えばリファラの値は、CGI(Common Gateway Interface)において、環境変数HTTP_REFERERを介して参照することができる。
ログイン画面30においてユーザにより入力され、クライアント200から送信された認証要求40は、認証要求受信手段122において受信される。認証要求受信手段122は、受信した認証要求40を認証実行手段123へと出力する。認証要求40には、ユーザが登録部110において登録した登録情報10と同様の内容、例えばユーザIDやパスワードが含まれ得るが、認証要求受信手段122は、認証要求40から、認証実行手段122において認証に用いる情報のみを抽出して認証実行手段123へと出力してもよい。ログインURL20がリファラとして認証要求40とともに送信された場合には、認証要求受信手段122が、ログインURL20についても受信してもよい。
認証実行手段123において、受信した認証要求40に基づいて、クライアント200のログイン認証を実行し、認証の可否を判断する。
認証実行手段123における認証の可否の判断は、以下のように行われる。まず、認証要求40のうち、ハッシュ値15の算出に用いた登録情報10に対応する情報、典型的にはユーザIDとパスワードとを用いて、ハッシュ値を算出する。このハッシュ値を、ここでは第2のハッシュ値と称する。そして、算出された第2のハッシュ値を、ログインURL20内に含まれるハッシュ値15と比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
以上の本発明の一実施形態に係る情報処理装置により、情報処理装置側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムや電子証明書を導入するなどの煩雑な作業を不要としつつユーザ認証が行われる。
なお、より簡略化された情報処理装置においては、計算手段112を含まず、ログインURL生成手段113において、登録情報10を平文で含んだログインURL20を生成し、かかるログインURL20を後続の手続きにおいて用いてもよい。この場合、ログインURL20から、容易に登録情報10を知ることが可能となり、セキュリティの点ではハッシュ値15を用いる場合よりも劣るが、計算手段112が不要となり、より簡易でコストがかからない認証を行うことのできる情報処理装置が提供される。また、ハッシュ値15に関する計算が行われない分、高速な認証を行うことが可能となる。
次に、図2乃至図4を参照して、本発明の一実施形態に係る情報処理装置の登録部110における処理の流れ及びデータの流れを説明する。
図2は、本発明の一実施形態に係る情報処理装置におけるデータの流れを説明するシーケンス図である。また、図3は、登録部110におけるデータの流れをより詳細に説明するシーケンス図である。そして、図4は、本発明の一実施形態に係る情報処理装置において、クライアント200によるサービス利用のための利用登録の流れを説明するためのフローチャートである。
図2乃至図4を参照すると、まず、クライアント200には登録情報を入力するための登録画面が表示される(ステップS110)。
クライアント200に表示された登録画面において、入力した登録情報10が登録部110へと送信され、登録部110の登録情報受信手段111において当該登録情報10を受信する(s10、ステップS120)。登録情報受信手段111は、受信した登録情報10から、計算手段112へと登録情報10を出力する(s11)。
計算手段112において、登録情報10を含むキーにより、ハッシュ関数を用いてハッシュ値15を算出する(ステップS130)。算出したハッシュ値15をURL生成手段113へと出力する(s12)。
URL生成手段113において、ハッシュ値15を用いてログインURL20を生成し(ステップS140)、生成したログインURL20をURL通知手段114へと出力する(s13)。ただし、上述したように、ハッシュ値15を算出して出力することは必須ではなく、登録情報を平文として含むログインURLを生成して出力してもよい。
URL通知手段114は、ログインURL20を、クライアント200へと所定の形式により通知する(s20、ステップS150)。
次に、図2、図5A及び図6Aを参照して、本発明の一実施形態に係る情報処理装置の認証部120における処理の流れ及びデータの流れを説明する。
なお、登録情報の入力はユーザがクライアントを用いて行なうのではなく、例えば銀行口座の申し込みや証券取引口座の申し込みなどの場合には、銀行や証券会社がユーザに代行して行ない、生成されたログインURL20を銀行や証券会社などがユーザに対して郵便や電子メールを用いて通知するようしてもよい。
図5Aは、図2のうち認証部120におけるデータの流れをより詳細に説明するシーケンス図である。図6Aは、本発明の一実施形態に係る情報処理装置において、クライアント200によりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
図2、図5A及び図6Aを参照すると、クライアント200は、URL通知手段114より通知されたログインURL20へとアクセスを行う(s30)。ログインURL20をログインURL処理手段121が受信する(ステップS210)。
ログインURL処理手段121は、ログインURL20からハッシュ値15を抽出し(ステップS220)、認証実行手段へと出力する(s31)。
また、ログインURL処理手段121は、ログイン画面30をクライアント200へと送信し(s40)、クライアント200にログイン画面30が表示される(ステップS230)。
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、ログインURL処理手段121は、図5B及び図6Bに示されるように、ログインURL20からハッシュ値15を抽出するステップS220を行わず、認証実行手段へのハッシュ値の出力(s31)も行わない。ログインURL処理手段121は、ログインURLを受信し(ステップS210)、ログイン画面30をクライアント200へと送信し(s40)、ログイン画面を表示する(ステップS230)。
クライアント200は、表示されたログイン画面30において、登録情報10、たとえばユーザID及びパスワードを入力し、認証要求40を認証要求受信手段122へと送信する(s50)。認証要求受信手段122は、認証要求40を受信する(ステップS240)。認証要求受信手段122は、受信した認証要求040を、認証実行手段123へと出力する(s51)。
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、クライアント200は、表示されたログイン画面30において、登録情報10を入力し、認証要求40を、リファラとともに認証要求受信手段122へと送信する(s50b)。このとき、リファラはログインURL20である。認証要求受信手段122は、認証要求40およびリファラであるログインURL20を受信する(ステップS240b)。認証要求受信手段122は、リファラとして受信したログインURL20からハッシュ値15を抽出し(ステップS220b)、受信した認証要求40とともに、認証実行手段123へと出力する(s51b)。
認証実行手段123において、認証要求40に含まれる登録情報10からハッシュ値を算出し(ステップS250)、この算出したハッシュ値とハッシュ値15とを照合し(ステップS260)、適合するか否かにより、認証の可否を判断する(ステップS270)。適合しなかった場合には、ログイン失敗と判断し(ステップS280)、適合した場合には、ログイン成功と判断する(ステップS290)。ログイン失敗の場合には、再試行を行うなどの後続処理を行ってもよい。認証実行手段123は、認証の可否を、認証結果50として、クライアント200へと出力する(s60)。また、ログイン成功の場合には、サービスを開始する。
以上のように、本発明の一実施形態に係る情報処理装置100によれば、サーバ側において認証情報を保持しなくても、クライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要となる認証方法が提供される。
(実施形態2)
次に、本発明の他の実施形態に係る情報処理装置300について、図7を参照して説明する。図7は、本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
図7を参照すると、情報処理装置300においても、基本的な構成は、図1を参照して上述した情報処理装置300と同様であり、登録部110及び認証部120を有する。ただ、情報処理装置300においては、情報処理装置300は、登録部110において、登録情報10を暗号化する暗号化手段115を有し、認証部120において、ログインURL処理手段125及び認証実行手段126がログインURL処理手段121及び認証実行手段123と若干異なる処理を行い、かつ認証要求受信手段122を備えなくともよい点において異なる。
暗号化手段115は、登録情報10の暗号化を行う。暗号化は、認証部120での後続の手続きにおいて復号可能な形式で行われればよく、共通鍵暗号方式及び公開鍵暗号方式のいずれでもよく、一般的な暗号方式を用いることができる。
URL生成手段113は、暗号化手段115において暗号化された登録情報10を、ハッシュ値15とともにURLへと追加し、ログインURL20を生成する。
ログインURL処理手段125は、ログインURL処理手段121と同様、クライアント200からログインURL20を受信し、ハッシュ値15を抽出し、認証実行手段126へと出力する。さらに、ログインURL処理手段125は、ログインURL20から暗号化された登録情報10を抽出し、認証実行手段126へと出力する。
認証実行手段126において、暗号化された登録情報10から登録情報10を復号化する。復号化された登録情報10をキーとして、第2のハッシュ値を算出する。この場合のキーに対するハッシュ値15の算出にsalt値を用いた場合には、同じsalt値が用いられる。算出された第2のハッシュ値と、ハッシュ値15とを比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
以上の本発明の他の実施形態に係る情報処理装置300により、情報処理装置300側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムを導入するなどの煩雑な作業が不要な、簡便なログイン認証が行われる。さらに、ユーザは通知されたログインURL20へとアクセスするのみで、情報処理装置300におけるユーザのログイン認証が行われ、ユーザの少ない操作によってログイン認証を行うことができる。
本発明の他の実施形態に係る情報処理装置300における認証手段は、単独で用いた場合においても、簡易な認証手段として有用であるが、他の認証手段とも簡易に組み合わせることが可能である。このような組合せにより、他の認証手段におけるよりもセキュリティを向上することができる。他の認証手段と組み合わせた場合においても、ログイン時、ユーザがクライアント200において単にログインURL20にアクセスするだけで本実施形態における認証手段を実現できるから、ユーザにおいて追加で何らかの入力を行う必要もない。
次に、本発明の他の実施形態に係る情報処理装置における処理の流れ及びデータの流れを説明する。
図8は、情報処理装置300におけるデータの流れを示すシーケンス図である。また、図9は、情報処理装置300における登録部110の処理の流れを示すフローチャートであり、図10は認証部の処理の流れを示すフローチャートである。
図8及び図9を参照すると、登録部110とクライアント200との間の処理及びデータの流れとして、情報処理装置300が登録画面をクライアント200へと表示させ(ステップS110)、クライアント200から送信された登録情報10を登録部110が受信する点(ステップS120、s10)、受信した登録情報10に基づきハッシュ値15を計算する点(ステップS130)、及びログインURL20をクライアント200へと通知する点(ステップS150、s20)は図2乃至図4を参照して説明した情報処理装置100の登録部110における処理の流れと同様である。情報処理装置300が、情報処理装置100と異なるのは、登録部110が登録情報10を暗号化し(ステップS135)、暗号化した登録情報10をハッシュ値15とともにURLへと追加してログインURL20を生成する(ステップS145)点である。
次に、認証部120における処理の流れおよびデータの流れを説明する。図8及び図10を参照すると、ログインURL20を受信し、ログインURL20からハッシュ値15を抽出する点(s30、ステップS310、ステップS320)は同様であるが、情報処理装置300においては、ログインURL20から暗号化された登録情報を抽出し、登録情報10を復号化し(ステップS330)、復号化された登録情報10をキーとして、ハッシュ値を算出する(ステップS340)。算出されたハッシュ値と、ハッシュ値15を照合し(ステップS350)、ハッシュ値が適合するか否かを判定するステップS360以降のステップは、ステップS270〜ステップS290と同様である。ログイン失敗の場合には、別のログイン方法による認証を行ってもよい。
以上のように、本発明の他の実施形態に係る情報処理装置300によれば、サーバ側において認証情報を保持すること無くクライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要で、ログイン時にユーザIDやパスワードの入力が不要な認証方法が提供される。
100 情報処理装置、110 登録部、111 登録情報受信手段、112 計算手段、113 URL生成手段、114 URL通知手段、120 認証部、121 ログインURL処理手段、122 認証要求受信手段、123 認証実行手段

Claims (10)

  1. クライアントから送信された登録情報を受信する登録情報受信手段と、
    前記登録情報を含むURLを生成するURL生成手段と、
    前記URLを前記クライアントへと通知するURL通知手段と、
    前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、
    前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、
    前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
    を有することを特徴とする情報処理装置。
  2. 前記URL生成手段は、前記登録情報を除く部分を共通させてURLを生成することを特徴とする請求項1に記載の情報処理装置。
  3. 前記URL生成手段が生成するURLのうち前記登録情報を除く部分が前記ログイン画面に対応することを特徴とする請求項2に記載の情報処理装置。
  4. クライアントから送信された登録情報を受信する登録情報受信手段と、
    前記登録情報のハッシュ値を算出する計算手段と、
    前記ハッシュ値を含むURLを生成するURL生成手段と、
    前記URLを前記クライアントへと通知するURL通知手段と、
    前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL処理手段と、
    前記クライアントから送信された認証要求を受信する認証要求受信手段と、
    前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
    を有することを特徴とする情報処理装置。
  5. 前記認証要求受信手段において、前記URLは、リファラとして受信されることを特徴とする請求項1から4のいずれかに記載の情報処理装置。
  6. 前記URL生成手段は、前記ハッシュ値を除く部分を共通させてURLを生成することを特徴とする請求項4または5に記載の情報処理装置。
  7. 前記URL生成手段が生成するURLのうち前記ハッシュ値を除く部分が前記ログイン画面に対応することを特徴とする請求項6に記載の情報処理装置。
  8. クライアントから送信された登録情報を受信する登録情報受信手段と、
    前記登録情報をキーのハッシュ値を算出する計算手段と、
    前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、
    前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、
    前記URLを前記クライアントへと通知するURL通知手段と、
    前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、
    前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
    を有することを特徴とする情報処理装置。
  9. 前記URL情報通知手段は、電子メールにより前記URLをクライアントへと通知することを特徴とする請求項1から8のいずれかに記載の情報処理装置。
  10. クライアントから送信された登録情報を受信し、
    前記登録情報をキーとして用いてハッシュ値を算出し、
    前記ハッシュ値を含むURLを生成し、
    生成した前記URLを前記クライアントへと通知し、
    前記クライアントからの前記URLを受信し、
    前記クライアントにログイン画面を表示し、
    前記ハッシュ値を前記URLから抽出し、
    前記クライアントから認証要求を受信し、
    前記認証要求から第2のハッシュ値を算出し、
    前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する
    ことを特徴とする情報処理方法。
JP2011119124A 2011-05-27 2011-05-27 情報処理装置及び情報処理方法 Active JP5411204B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011119124A JP5411204B2 (ja) 2011-05-27 2011-05-27 情報処理装置及び情報処理方法
US13/237,601 US20120303830A1 (en) 2011-05-27 2011-09-20 Data processing device and data processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011119124A JP5411204B2 (ja) 2011-05-27 2011-05-27 情報処理装置及び情報処理方法

Publications (2)

Publication Number Publication Date
JP2012247992A true JP2012247992A (ja) 2012-12-13
JP5411204B2 JP5411204B2 (ja) 2014-02-12

Family

ID=47220021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011119124A Active JP5411204B2 (ja) 2011-05-27 2011-05-27 情報処理装置及び情報処理方法

Country Status (2)

Country Link
US (1) US20120303830A1 (ja)
JP (1) JP5411204B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6163222B1 (ja) * 2016-03-18 2017-07-12 ヤフー株式会社 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516563B2 (en) * 2011-06-29 2013-08-20 Infosys Technologies, Ltd. Methods for authenticating a user without personal information and devices thereof
US9015857B2 (en) * 2011-11-14 2015-04-21 Wave Systems Corp. Security systems and methods for encoding and decoding digital content
US9166979B2 (en) * 2012-10-01 2015-10-20 International Business Machines Corporation Protecting online meeting access using secure personal universal resource locators
WO2015167544A1 (en) * 2014-04-30 2015-11-05 Hewlett-Packard Development Company, Lp Verification request
US10680957B2 (en) 2014-05-28 2020-06-09 Cavium International Method and apparatus for analytics in a network switch
RU2589861C2 (ru) * 2014-06-20 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ шифрования данных пользователя
DK3257226T3 (en) * 2015-04-30 2018-10-29 Palmaso Aps Procedure for identifying unauthorized access to an account for an online service
US10523525B2 (en) * 2015-09-21 2019-12-31 Ruby Tech Corporation Network switch, device management system, and device management method thereof
US10009392B2 (en) * 2016-01-22 2018-06-26 Level 3 Communications, Llc System health and integration monitoring system
JP6852324B2 (ja) * 2016-09-16 2021-03-31 富士ゼロックス株式会社 情報処理装置、情報処理システム及びプログラム
CN106485618A (zh) * 2016-09-26 2017-03-08 辽宁石油化工大学 一种校园综合信息服务平台及实现方法
US11290466B2 (en) * 2017-08-16 2022-03-29 Cable Television Laboratories, Inc. Systems and methods for network access granting
US10904314B2 (en) * 2018-10-31 2021-01-26 Salesforce.Com, Inc. Endpoint URL generation and management
US11281640B2 (en) * 2019-07-02 2022-03-22 Walmart Apollo, Llc Systems and methods for interleaving search results
US11438378B1 (en) * 2019-12-18 2022-09-06 NortonLifeLock Inc. Systems and methods for protecting against password attacks by concealing the use of honeywords in password files

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11340967A (ja) * 1998-05-26 1999-12-10 Nippon Telegr & Teleph Corp <Ntt> 認証情報作成方法、検証方法と同装置および同方法を実施するプログラムを記録した記録媒体
JP2001285286A (ja) * 2000-04-03 2001-10-12 Mitsubishi Electric Corp 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置
JP2006163582A (ja) * 2004-12-03 2006-06-22 Canon Inc ログイン処理方法、ログイン処理プログラム及びログイン処理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030061520A1 (en) * 2001-09-21 2003-03-27 Zellers Mark H. Method and system to securely change a password in a distributed computing system
US8015598B2 (en) * 2007-11-16 2011-09-06 Arcot Systems, Inc. Two-factor anti-phishing authentication systems and methods
US8301876B2 (en) * 2008-05-16 2012-10-30 Emc Corporation Techniques for secure network communication
US8839357B2 (en) * 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11340967A (ja) * 1998-05-26 1999-12-10 Nippon Telegr & Teleph Corp <Ntt> 認証情報作成方法、検証方法と同装置および同方法を実施するプログラムを記録した記録媒体
JP2001285286A (ja) * 2000-04-03 2001-10-12 Mitsubishi Electric Corp 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置
JP2006163582A (ja) * 2004-12-03 2006-06-22 Canon Inc ログイン処理方法、ログイン処理プログラム及びログイン処理装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6163222B1 (ja) * 2016-03-18 2017-07-12 ヤフー株式会社 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム
JP2017173889A (ja) * 2016-03-18 2017-09-28 ヤフー株式会社 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム

Also Published As

Publication number Publication date
US20120303830A1 (en) 2012-11-29
JP5411204B2 (ja) 2014-02-12

Similar Documents

Publication Publication Date Title
JP5411204B2 (ja) 情報処理装置及び情報処理方法
US10129254B2 (en) Automated provisioning of a network appliance
KR101071131B1 (ko) 메시지 암호화 방법, 메시지 암호화를 돕기 위한 방법 및 컴퓨터 프로그램 프로덕트
US10554417B2 (en) Script verification using a hash
EP4024809A1 (en) Application access method and apparatus, and electronic device and storage medium
WO2016177052A1 (zh) 一种用户认证方法和装置
US10333716B2 (en) Script verification using a digital signature
US20110264913A1 (en) Method and apparatus for interworking with single sign-on authentication architecture
CN108322416B (zh) 一种安全认证实现方法、装置及系统
JP2015528149A (ja) 企業トリガ式2chk関連付けの起動
JP2015526784A (ja) 問い合わせ型トランザクションによる強化された2chk認証セキュリティ
KR20060100920A (ko) 웹 서비스를 위한 신뢰되는 제3자 인증
CN108040065A (zh) 网页跳转后的免登录方法、装置、计算机设备和存储介质
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
US20180130056A1 (en) Method and system for transaction security
CN114500054B (zh) 服务访问方法、服务访问装置、电子设备以及存储介质
US20140289531A1 (en) Communication system, relay device, and non-transitory computer readable medium
CN103414727A (zh) 针对input密码输入框的加密保护系统及其使用方法
US20240187420A1 (en) Securing browser cookies
CN111444551A (zh) 账户的注册与登录方法、装置、电子设备及可读存储介质
EP3242444A1 (en) Service processing method and device
CN111049789B (zh) 域名访问的方法和装置
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
JP2022504575A (ja) ブロックチェーンを用いたメッセージの伝送および取得のためのシステムおよび方法
US20230188364A1 (en) Partial payload encryption with integrity protection

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130617

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130926

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20131003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131022

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131107

R150 Certificate of patent or registration of utility model

Ref document number: 5411204

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250