JP2014013502A - 情報処理装置、情報処理システム、情報処理方法およびプログラム - Google Patents
情報処理装置、情報処理システム、情報処理方法およびプログラム Download PDFInfo
- Publication number
- JP2014013502A JP2014013502A JP2012150728A JP2012150728A JP2014013502A JP 2014013502 A JP2014013502 A JP 2014013502A JP 2012150728 A JP2012150728 A JP 2012150728A JP 2012150728 A JP2012150728 A JP 2012150728A JP 2014013502 A JP2014013502 A JP 2014013502A
- Authority
- JP
- Japan
- Prior art keywords
- information
- request message
- terminal device
- information processing
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させること。
【解決手段】本発明の情報処理装置は、リクエスト電文を端末装置から受信する受信手段と、リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された第1暗号値が記述されたクッキー情報を含むレスポンス電文を、リクエスト電文の応答として端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報がリクエスト電文に含まれる場合に、第2暗号値と、当該リクエスト電文から抽出された抽出情報を用いて算出された第1暗号値とを照合する照合手段と、照合手段による照合の結果に基づく処理を実行する実行手段とを備える。
【選択図】図3
【解決手段】本発明の情報処理装置は、リクエスト電文を端末装置から受信する受信手段と、リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された第1暗号値が記述されたクッキー情報を含むレスポンス電文を、リクエスト電文の応答として端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報がリクエスト電文に含まれる場合に、第2暗号値と、当該リクエスト電文から抽出された抽出情報を用いて算出された第1暗号値とを照合する照合手段と、照合手段による照合の結果に基づく処理を実行する実行手段とを備える。
【選択図】図3
Description
本発明は、通信のセキュリティを向上する技術に関する。
インターネットなどのネットワークを介したサーバとクライアント(端末装置)との通信によるセキュリティを向上させることが望まれている。例えば、インターネットバンキング、オンラインショッピングなど金銭のやり取りが発生するようなサービスを提供する場合には、サーバは、一般的にユーザ固有のID(以下、UIDという)とパスワードを用いて、ユーザ本人からのアクセスであるかを認証する。しかしながら、UIDおよびパスワードが漏洩した場合、他のユーザからのアクセスも容易となる。そのため、他の情報をユーザの認証に用いることにより、さらなるセキュリティの向上をすることが検討されている。
例えば、特許文献1では、端末装置のCPU(Central Processing Unit)のシリアル番号とユーザ固有のID(以下、UIDという)とを組み合わせてクッキー(Cookie)ファイルを生成する。サーバは、端末装置から受信したクッキーと、サーバにおいて既に受信したクッキーに基づいて記録されたCPUのシリアル番号とを照合することで、ユーザが利用できる端末装置を限定することができる。
特許文献1に開示された技術では、ユーザの認証の際に行われる照合のために、CPUのシリアル番号をUIDと対応付けて予めサーバに記憶しておく必要がある。そのため、サーバ上のデータが漏洩した場合や通信経路上でクッキーが読み取られた場合には、クッキーに記述されるCPUのシリアル番号を改ざんすることで、別の端末装置からでもユーザになりすましてアクセスすることが可能となってしまう。
本発明は、端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させることを目的とする。
本発明の一実施形態によると、リクエスト電文を端末装置から受信する受信手段と、前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、前記照合手段による照合の結果に基づく処理を実行する実行手段とを備える情報処理装置が提供される。
本発明の一実施形態によると、上記の情報処理装置と、端末装置とを備え、前記端末装置は、前記情報処理装置からレスポンス電文を受信する受信手段と、受信した前記レスポンス電文に含まれる前記クッキー情報を記憶する記憶手段と、リクエスト電文を送信する送信手段であって、送信先から受信したレスポンス電文に含まれていた前記クッキー情報が前記記憶手段に記憶されている場合に当該クッキー情報を含むリクエスト電文を送信する送信手段とを備えることを特徴とする情報処理システムが提供される。
本発明の一実施形態によると、第1リクエスト電文を端末装置から受信し、前記第1リクエスト電文に含まれる抽出情報を取得し、前記第1リクエスト電文から取得された抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出し、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記第1リクエスト電文の応答として前記端末装置に送信し、第2暗号値が記述されたクッキー情報を含む第2リクエスト電文を端末装置から受信し、前記第2リクエスト電文に含まれる予め決められた抽出情報を取得し、前記第2リクエスト電文から取得された抽出情報を用いて、前記アルゴリズムにより第3暗号値を算出し、前記第2暗号値と、前記第3暗号値とを照合し、前記第2暗号値と前記第3暗号値とを照合した結果に基づく処理を実行する情報処理方法が提供される。
本発明の一実施形態によると、コンピュータを、リクエスト電文を端末装置から受信する受信手段と、前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、前記照合手段による照合の結果に基づく処理を実行する実行手段として機能させるためのプログラムが提供される。
本発明によれば、端末装置の認証に用いる情報の一部を、サーバ等の情報処理装置において予め記憶しなくても、通信のセキュリティを向上させることができる。
以下、本発明の一実施形態に係る情報処理システムについて、図面を参照しながら詳細に説明する。なお、以下に示す実施形態は本発明の実施形態の一例であって、本発明はこれらの実施形態に限定されるものではない。
<実施形態>
本発明の一実施形態に係る情報処理システムについて、図面を参照しながら詳細に説明する。
本発明の一実施形態に係る情報処理システムについて、図面を参照しながら詳細に説明する。
[全体構成]
図1は、本発明の実施形態に係る情報処理システム1000の構成を示す概略図である。情報処理システム1000は、インターネットなどのネットワークNWに接続された情報処理装置1、およびネットワークNWおよび基地局5を介して情報処理装置1と接続する端末装置2を有する。
図1は、本発明の実施形態に係る情報処理システム1000の構成を示す概略図である。情報処理システム1000は、インターネットなどのネットワークNWに接続された情報処理装置1、およびネットワークNWおよび基地局5を介して情報処理装置1と接続する端末装置2を有する。
情報処理装置1は、例えば、インターネットバンキングなどのサービスを、端末装置2のユーザに提供するサーバ装置である。なお、以下に説明する情報処理装置1の各種機能については、1台のサーバ装置のみで実現されるだけでなく、複数のサーバ装置により協働して実現されるようにしてもよい。
端末装置2は、携帯電話、スマートフォン、ノートパソコンなどユーザによって利用される装置であり、基地局5を介して情報処理装置1と情報の送受信をする。
情報処理装置1と端末装置2とは、この例では、HTTP(HyperText Transfer Protocol)に準拠したプロトコルを用いて情報の通信を行う。この情報の通信に際して、情報処理装置1は、端末装置2に対して送信するHTTPレスポンス電文(以下、単にレスポンス電文という)に含めてクッキー(Cookie)(以下、クッキー情報という)を発行する。一方、クッキー情報が発行された端末装置2は、情報処理装置1に対して送信するHTTPリクエスト電文(以下、単にリクエスト電文という)にクッキー情報を含める。本発明は、以下に詳述する暗号値が記述されたクッキー情報を用いることにより、セキュリティを向上させることができる。なお、このように、リクエスト電文を送信するときにクッキー情報を含めて送信する方式であれば、HTTPに準拠したプロトコルを用いなくてもよい。
基地局5は、いわゆる3G(3rd Generation)、LTE(Long Term Evolution)といった携帯電話の情報通信規格(IEEE規格非準拠)により通信を行う基地局、無線LAN(Local Area Network)に用いられる情報通信規格(IEEE規格準拠)により通信を行うアクセスポイントといわれる基地局などを含む概念であり、端末装置2と無線通信を行い、端末装置2をネットワークNWに接続する。
端末装置2が基地局5を介して情報処理装置1と通信するときには、通信経路上において、その基地局5を識別する情報が通信されるデータに付加される。例えば、基地局5に割り当てられたIP(Internet Protocol)アドレスがIPヘッダに付加されたり、基地局5に割り当てられたMAC(Media Access Control)アドレスがMACヘッダに付加されたりする。また、携帯電話の情報通信規格においては、HTTPリクエストボディ部に、基地局5の位置を示す位置情報が付加される。
[情報処理装置1の構成]
図2は、本発明の実施形態に係る情報処理装置1のハードウエア構成を示すブロック図である。情報処理装置1は、制御部11、記憶部12および通信部13を有する。制御部11は、CPUおよびメモリを有する。制御部11は、記憶部12またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部11によって実現される各種機能により、情報処理装置1の各構成が制御される。記憶部12は、ハードディスクなどであり、各種機能を実現するために必要な情報を記憶する。通信部13は、ネットワークNWを介して他の装置と情報の送受信を行う。
図2は、本発明の実施形態に係る情報処理装置1のハードウエア構成を示すブロック図である。情報処理装置1は、制御部11、記憶部12および通信部13を有する。制御部11は、CPUおよびメモリを有する。制御部11は、記憶部12またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部11によって実現される各種機能により、情報処理装置1の各構成が制御される。記憶部12は、ハードディスクなどであり、各種機能を実現するために必要な情報を記憶する。通信部13は、ネットワークNWを介して他の装置と情報の送受信を行う。
図3は、本発明の実施形態に係る情報処理装置1の機能構成を示すブロック図である。情報処理装置1は、受信部110、抽出部120、暗号化部130、暗号関数140、照合部150、実行部160および送信部170により、通信制御機能を実現する。
受信部110は、端末装置2からリクエスト電文を受信する。このリクエスト電文には、クッキー情報が含まれる場合と含まれない場合がある。
抽出部120は、受信したリクエスト電文から、抽出情報を取得する。抽出情報とは、この例では、UIDおよび位置関連情報である。抽出情報は、情報処理装置1にアクセスする端末装置2が変わった場合、端末装置2が通信時に接続する基地局5が変わった場合など、通信の状況が変わったときに変化する情報が含まれている。
位置関連情報とは、通信経路上の基地局5の位置に関連した情報であり、この例では、MACアドレスまたはIPアドレスである。したがって、位置関連情報は、端末装置2の位置が変わって、別の基地局5に接続された場合にはアドレスが変化する。なお、位置関連情報は、HTTPパケットのうち、MACアドレスである場合にはMACヘッダから取得され、IPアドレスである場合にはIPヘッダから取得される。
ユーザを識別する識別情報であるUIDは、リクエスト電文の一部に記述され、例えば、HTTPメソッドとしてGETメソッドが用いられていれば、リクエストラインに記述されるURL(Uniform Resource Locator)の最後に、「https://www.xxx.yyy.jp/members.php?uid=aa12345」といったように記述されることになる。この場合、UIDは「aa12345」となる。
暗号化部130は、暗号関数140を用いて、抽出情報から暗号値を算出する。暗号関数140は、例えば、ハッシュ関数である。この場合には、暗号値は、抽出部120により取得されたUIDおよびMACアドレスをキーとして用いて算出されるハッシュ値である。算出された暗号値は、情報処理装置1から端末装置2に対して発行されるクッキー情報に記述される。なお、キーとしては、さらに別の要素が組み合わさってもよいし、UIDおよびMACアドレスのいずれか一方を用いてもよい。また、UIDの一部とMACアドレスの一部とをキーとして用いてもよい。
また、暗号関数140は、ハッシュ関数にかぎらず、抽出情報を入力値として他の値を算出するためのアルゴリズムを規定する関数であれば、他の関数であってもよい。すなわち、暗号値は、抽出情報(入力値)を用いて予め決められたアルゴリズムにより算出される、入力値とは別の値であればよい。また、この暗号関数は、復号が不可能な不可逆の暗号化をする関数であることが望ましいが、復号が可能な可逆の暗号化をする関数であってもよい。
照合部150は、受信部110において受信したリクエスト電文にクッキー情報が含まれている場合に、そのクッキー情報に記述された暗号値を取得する。照合部150は、クッキー情報から取得した暗号値と、暗号化部130において算出された暗号値とを照合し、双方の暗号値が一致しているか不一致であるかを判定する。なお、クッキー情報がリクエスト電文に含まれているにもかかわらず、そのクッキー情報に暗号値が記述されていない場合には、照合部150は、暗号値が不一致であると判定すればよい。
実行部160は、照合部150による照合結果に基づいて、送信部170から送信されるレスポンス電文の記述内容を決定する処理を実行する。実行部160は、例えば、クッキー情報から取得した暗号値と、暗号化部130において算出された暗号値とが一致している場合には、端末装置2からのアクセスをしたユーザを認証して、リクエスト電文の要求に対応したレスポンス電文を、リクエスト電文の応答として送信部170から送信させる。
一方、双方の暗号値が一致していない場合には、UIDが一致していても別の基地局5を経由している場合など、直前まで通信をしていた端末装置2とは異なる端末装置2からのアクセスである(本来の端末装置2に発行したクッキー情報を別の端末装置2が偽装して用いている)可能性が高い。そのため、アクセスをしたユーザを認証せず、その端末装置2からのアクセスを受け付けないことを通知するレスポンス電文を、リクエスト電文の応答として送信部170から送信させる。なお、その後、一定期間、その端末装置2からのアクセスを遮断してもよい。また、情報処理装置1の管理者に不正アクセスに関する情報が通知されるようにしてもよい。管理者の通知先(電子メールアドレスなど)は情報処理装置1に予め設定されていればよい。不正アクセスに関する情報は、予め決められた定形文を用いた情報であってもよいし、不一致となった要因となったリクエスト電文に関する情報が含まれていてもよい。
受信部110において受信したリクエスト電文にクッキー情報が含まれていない場合には、送信部170は、暗号化部130において算出された暗号値が記述されたクッキー情報を発行し、そのクッキー情報をレスポンス電文に含めて、リクエスト電文の応答として送信する。このクッキー情報には、暗号値のみが記述されるのではなく、その他公知の情報について記述されてもよい。なお、受信部110において受信したリクエスト電文にクッキー情報が含まれていない場合には、所定のURL(サービスの入り口など)がリクエストされたときと同じ状態に誘導するように、レスポンス電文を送信してもよい。
受信部110において受信したリクエスト電文にクッキー情報が含まれている場合には、送信部170は、実行部160の指示に基づいてリクエスト電文の応答となるレスポンス電文を送信する。このとき情報処理装置1は、端末装置2に新たにクッキー情報を発行してもよいし発行しなくてもよい。
[端末装置2の構成]
図4は、本発明の実施形態に係る端末装置2のハードウエア構成を示すブロック図である。端末装置2は、制御部21、記憶部22、通信部23およびタッチパネル24を有する。制御部21は、CPUおよびメモリを有する。制御部21は、記憶部22またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部21によって実現される各種機能により、端末装置2の各構成が制御される。
図4は、本発明の実施形態に係る端末装置2のハードウエア構成を示すブロック図である。端末装置2は、制御部21、記憶部22、通信部23およびタッチパネル24を有する。制御部21は、CPUおよびメモリを有する。制御部21は、記憶部22またはメモリに記憶されているプログラムを実行することにより、後述する通信制御機能などの各種機能を実現する。制御部21によって実現される各種機能により、端末装置2の各構成が制御される。
記憶部22は、半導体メモリなどであり、各種機能を実現するために必要な情報を記憶する。通信部23は、基地局5と無線により接続し、ネットワークNWを介して他の装置と情報の送受信を行う。タッチパネル24は、受信したレスポンス電文に応じた画面を表示させるディスプレイと、ディスプレイ表面へのユーザの接触を検知して、ユーザの操作を受け付け、操作に応じた信号を出力するタッチセンサとを有する。ユーザによる操作がタッチパネル24によって受け付けられると、操作の内容に応じてリクエスト電文が情報処理装置1に送信される。このように、ユーザの指示は、タッチパネル24への操作により端末装置2に入力される。
図5は、本発明の実施形態に係る端末装置2の機能構成を示すブロック図である。端末装置2は、受信部210、クッキー情報記憶部230および送信部270により、通信制御機能を実現する。
受信部210は、情報処理装置1から送信されたレスポンス電文を受信する。これにより、受信したレスポンス電文に対応する画面がタッチパネル24に表示される場合がある。
クッキー情報記憶部230は、端末装置2に対して発行されたクッキー情報がレスポンス電文に含まれる場合に、このクッキー情報を記憶する。
送信部270は、タッチパネル24へのユーザの操作などに基づいて、情報処理装置1にリクエスト電文を送信する。リクエスト電文により指定されるURLに対応するクッキー情報がクッキー情報記憶部230に記憶されている場合には、このクッキー情報がリクエスト電文に含めて送信される。
[通信フロー]
図6は、本発明の実施形態に係る情報処理装置1および端末装置2の処理を示す通信フロー図である。まず、端末装置2は、特定のサービス(インターネットバンキングなど)のリクエスト指示がユーザから入力される(ステップS101)。端末装置2は、リクエストの指示にもとづいてリクエスト電文を生成して送信する(ステップS102)。このリクエスト電文には、上記サービスを受けるためのユーザを識別するUIDが含まれている。また、通信経路上において、端末装置2が無線で接続する基地局5を識別する情報(この例ではMACアドレス)が付加される。
図6は、本発明の実施形態に係る情報処理装置1および端末装置2の処理を示す通信フロー図である。まず、端末装置2は、特定のサービス(インターネットバンキングなど)のリクエスト指示がユーザから入力される(ステップS101)。端末装置2は、リクエストの指示にもとづいてリクエスト電文を生成して送信する(ステップS102)。このリクエスト電文には、上記サービスを受けるためのユーザを識別するUIDが含まれている。また、通信経路上において、端末装置2が無線で接続する基地局5を識別する情報(この例ではMACアドレス)が付加される。
情報処理装置1は、リクエスト電文を受信すると、MACヘッダからMACアドレスを取得し(ステップS121)、リクエストラインからUIDを取得する(ステップS122)。情報処理装置1は、取得したMACアドレスとUIDとをキーとし、ハッシュ関数を用いて暗号値を算出する(ステップS123)。情報処理装置1において受信したリクエスト電文にはクッキー情報が含まれていないため、情報処理装置1は、算出した暗号値が少なくとも記述されたクッキー情報を端末装置2に発行するために生成する(ステップS124)。情報処理装置1は、生成したクッキー情報を含むレスポンス電文を生成し(ステップS125)、生成したレスポンス電文をリクエスト電文の応答として端末装置2に送信する(ステップS126)。
端末装置2は、レスポンス電文を受信すると、タッチパネル24にレスポンス電文に応じた画面を表示させる一方、レスポンス電文に含まれるクッキー情報を記憶する(ステップS131)。端末装置2は、ユーザからリクエスト指示が入力される(ステップS132)。端末装置2は、リクエストの指示にもとづいてリクエスト電文を生成して送信する(ステップS133)。このリクエスト電文には、上述同様に、UIDが含まれ、また、通信経路上においてMACアドレスが付加される。
情報処理装置1は、リクエスト電文を受信すると、MACヘッダからMACアドレスを取得し(ステップS141)、リクエストラインからUIDを取得する(ステップS142)。情報処理装置1は、取得したMACアドレスとUIDとをキーとし、ハッシュ関数を用いて暗号値を算出する(ステップS143)。情報処理装置1は、受信したリクエスト電文に含まれるクッキー情報に記述された暗号値を取得し、ステップS143において算出した暗号値と照合する(ステップS144)。
このとき、双方の暗号値が一致している場合には、ステップS102においてリクエスト電文を送信した端末装置2(以下、端末装置2aという)と、ステップS133においてリクエスト電文を送信した端末装置2(以下、端末装置2bという)とが同じである可能性が高い。したがって、ステップS133において送信されたリクエスト電文が、端末装置2aからの電文であると判定し、情報処理装置1は、リクエスト電文の要求に応じたレスポンス電文を生成し(ステップS145)、端末装置2にリクエスト電文の応答として送信する(ステップS146)。
一方、双方の暗号値が一致していない場合には、端末装置2aと端末装置2bとが異なっている可能性が高い。したがって、ステップS133において送信されたリクエスト電文が、端末装置2aを偽装した別の端末装置2からの送信であると判定し、情報処理装置1は、アクセスを受け付けないことを通知するレスポンス電文を生成し(ステップS145)、リクエスト電文の応答として送信する(ステップS146)。
双方の暗号値が一致しない場合としては、例えば、ステップS126において送信されたレスポンス電文に含まれるクッキー情報を傍受して、端末装置2bがそのクッキー情報を用いることで、端末装置2aになりすましている場合がある。この場合であっても、端末装置2bと端末装置2aとが異なる基地局5に接続して情報処理装置1にアクセスする場合、リクエスト電文のMACヘッダから取得されるMACアドレスが異なることになる。
したがって、情報処理装置1においては、端末装置2aから送信されたリクエスト電文に基づいて算出された暗号値(クッキー情報に記述された暗号値)と、端末装置2bから送信されたリクエスト電文に基づいて算出された暗号値とが異なることとなり、端末装置2aと端末装置2bとが異なっていることを判定することができる。したがって、情報処理装置1は、端末装置2bのユーザを認証しないようにすることができる。
また、情報処理装置1は、暗号値をクッキー情報に含めて端末装置2と電文の送受信をする。そのため、情報処理装置1において、暗号関数140が記憶されていれば、端末装置2毎の暗号値が記憶されている必要がなく、それぞれの端末装置2においてクッキー情報として必要な暗号値が記憶されていればよい。
このように、本発明の一実施形態に係る情報処理システム1000においては、情報処理装置1が端末装置2に対して発行するクッキー情報に、端末装置2を認証するための暗号値を記述しておく。これにより、情報処理装置1において暗号値を記憶しておかなくても、情報処理装置1は、端末装置2が別の端末装置2になりすましているかどうかを判定することができ、セキュリティの向上が可能である。
<変形例>
以上、本発明の実施形態およびその実施例について説明したが、本発明は以下のように、様々な態様で実施可能である。
以上、本発明の実施形態およびその実施例について説明したが、本発明は以下のように、様々な態様で実施可能である。
[変形例1]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、例えば基地局5の所在地を示す位置情報であってもよい。位置情報としては、例えば、経緯度で表された情報であってもよいし、市町村などの行政区画により表された情報であってもよい。この場合には、IPアドレスまたはMACアドレスから変換された位置情報を用いてもよい。以下、変形例1に係る情報システムの具体的な構成について説明する。
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、例えば基地局5の所在地を示す位置情報であってもよい。位置情報としては、例えば、経緯度で表された情報であってもよいし、市町村などの行政区画により表された情報であってもよい。この場合には、IPアドレスまたはMACアドレスから変換された位置情報を用いてもよい。以下、変形例1に係る情報システムの具体的な構成について説明する。
図7は、本発明の変形例1に係る情報処理システム1000Aの構成を示す概略図である。情報処理システム1000Aは、実施形態に係る情報処理システム1000に対して、ネットワークNWに接続された参照サーバ6が加わっている。参照サーバ6は、IPアドレスまたはMACアドレスと位置情報とを対応付けた変換テーブルを記憶している。また、実施形態に係る情報処理装置1に代えて、暗号値を算出するときに参照サーバ6を用いる情報処理装置1AがネットワークNWに接続されている。
図8は、本発明の変形例1に係る参照サーバ6に記憶された変換テーブルを説明する図である。図8に示す変換テーブルの例では、MACアドレス(アドレスA、B、C、・・・)と位置情報(位置A、B、C、・・・)との対応関係を定めている。
情報処理装置1Aの抽出部120は、リクエスト電文からIPアドレスまたはMACアドレスを取得すると、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得し、位置関連情報として用いる。暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する。暗号値を算出した後は、実施形態と同様に処理が行われる。
ここで、取得した位置情報が経緯度である場合には、位置関連情報としては、例えば小数第2位以下の値を切り捨てるなどして用いれば、所定範囲内の基地局5については同じ位置関連情報とすることができる。同じ位置情報であれば、算出される暗号値も同じであるから、端末装置2が移動している場合に生じる基地局5の切り替えが生じることに対して、冗長性を持たせることもできる。位置情報が行政区画であっても同様にして、例えば、市町村よりも細かい区画については位置関連情報として用いなければ、同一市町村においては同じ位置関連情報とすることができる。
[変形例2]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。
変形例2に係る情報システムの構成については、変形例1と同様な構成であり、変換テーブルに加えて、アドレス指定情報が参照サーバ6に記憶されている。なお、変換テーブルとアドレス指定情報とが異なるサーバに記憶されていてもよい。
アドレス指定情報とは、所定条件を満たすアドレスを指定する情報であって、例えば、携帯電話の情報通信規格(IEEE規格非準拠)の基地局5のIPアドレスを指定する情報である。
図9は、本発明の変形例2に係る参照サーバ6に記憶されたアドレス指定情報を説明する図である。図9に示すアドレス指定情報の例では、IPアドレスとプレフィックス値との組み合わせにより、IPアドレスの範囲を指定している。この範囲に含まれるIPアドレスが割り当てられた基地局5は、携帯電話の情報通信規格(IEEE規格非準拠)で通信している。この基地局5を介してリクエスト電文が送信されるときには、HTTPリクエストボディ部に、基地局5の位置を示す位置情報が付加される。本変形例では、このように付加される位置情報を利用するものである。
図10は、本発明の変形例2に係る位置情報を取得する処理を示すフローチャートである。まず、抽出部120は、リクエスト電文からIPアドレスを取得し、アドレス指定情報を参照して、取得したIPアドレスが含まれているかどうかを判定する(ステップS211)。IPアドレスが含まれている場合(ステップS211;Yes)には、HTTPリクエストボディ部に記述された位置情報を取得する(ステップS213)。一方、IPアドレスが含まれていない場合(ステップS211;No)には、リクエスト電文からMACアドレス(またはIPアドレス)を取得し、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得する(ステップS212)。そして、暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する(ステップS214)。暗号値を算出した後は、実施形態と同様に処理が行われる。
[変形例3]
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1、2と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。
上述した実施形態においては、抽出情報のうち位置関連情報については、IPアドレスまたはMACアドレスを用いていたが、変形例1、2と同様に位置情報であってもよい。この場合には、HTTPリクエストボディ部に記述された位置情報を用いてもよい。
変形例3に係る情報システムの構成については、変形例1と同様な構成である。また、変形例3は、変形例2と同様に、携帯電話の情報通信規格(IEEE規格非準拠)の基地局5を介してリクエスト電文が送信されるときに、HTTPリクエストボディ部に付加される位置情報を利用するものである。変形例2では、アドレス指定情報を用いて、基地局5が携帯電話の情報通信規格を用いているかどうかを判定していたが、変形例3においては、別の方法で判定する場合について説明する。
図11は、本発明の変形例3に係る位置情報を取得する処理を示すフローチャートである。まず、抽出部120は、リクエスト電文のMACヘッダを参照し、MACアドレスの記述があるかどうか判定する(ステップS311)。MACアドレスが記述されている場合(ステップS311;Yes)には、リクエスト電文からMACアドレス(またはIPアドレス)を取得し、参照サーバ6に記憶されている変換テーブルを参照して、位置情報を取得する(ステップS312)。一方、MACアドレスが記述されていない場合(ステップS311;No)には、HTTPリクエストボディ部に記述された位置情報を取得する(ステップS313)。そして、暗号化部130は、抽出部120が取得した位置情報を位置関連情報として用いて、実施形態と同様にして暗号値を算出する(ステップS314)。暗号値を算出した後は、実施形態と同様に処理が行われる。
[変形例4]
上述した実施形態においては、暗号関数140は、予め決められた一の暗号関数を用いていたが、複数の暗号関数が設けられていてもよい。この場合には、暗号化部130は、いずれかの暗号関数を用いて暗号値を算出する。暗号化部130は、暗号地の算出に用いる暗号関数を、リクエスト電文に含まれる情報(例えばUIDなど)、クッキー情報の発行時刻、パスワードの文字数などを利用した所定の演算に基づいていずれかに決定すればよい。
上述した実施形態においては、暗号関数140は、予め決められた一の暗号関数を用いていたが、複数の暗号関数が設けられていてもよい。この場合には、暗号化部130は、いずれかの暗号関数を用いて暗号値を算出する。暗号化部130は、暗号地の算出に用いる暗号関数を、リクエスト電文に含まれる情報(例えばUIDなど)、クッキー情報の発行時刻、パスワードの文字数などを利用した所定の演算に基づいていずれかに決定すればよい。
[変形例5]
上述した実施形態においては、抽出情報は、UIDおよび位置関連情報を用いたが、別の情報を用いてもよいし、さらにこれらを組み合わせて用いてもよい。別の情報としては、例えば、HTTPヘッダの内容、端末装置2に記憶されて端末装置2を識別する端末識別情報(CPUのシリアル番号、端末装置2の機種など)がある。
上述した実施形態においては、抽出情報は、UIDおよび位置関連情報を用いたが、別の情報を用いてもよいし、さらにこれらを組み合わせて用いてもよい。別の情報としては、例えば、HTTPヘッダの内容、端末装置2に記憶されて端末装置2を識別する端末識別情報(CPUのシリアル番号、端末装置2の機種など)がある。
1,1A…情報処理装置、2…端末装置、5…基地局、11…制御部、12…記憶部、13…通信部、21…制御部、22…記憶部、23…通信部、24…タッチパネル、110…受信部、120…抽出部、130…暗号化部、140…暗号関数、150…照合部、160…実行部、170…送信部、210…受信部、230…クッキー情報記憶部、270…送信部、1000,1000A…情報処理システム
Claims (12)
- リクエスト電文を端末装置から受信する受信手段と、
前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、
前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、
第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、
前記照合手段による照合の結果に基づく処理を実行する実行手段と
を備える情報処理装置。 - 前記抽出情報は、前記端末装置からの通信経路上の基地局の位置に関連した位置関連情報を含む請求項1に記載の情報処理装置。
- 前記抽出手段は、前記通信経路上において前記リクエスト電文に付加された前記基地局のMACアドレスまたはIPアドレス取得し、
前記位置関連情報は、取得された前記MACアドレスまたは前記IPアドレスを含む請求項2に記載の情報処理装置。 - 前記抽出手段は、MACアドレスと位置情報とを対応付けたテーブルを参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のMACアドレスに対応する位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 - 前記抽出手段は、IPアドレスと位置情報とを対応付けたテーブルを参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のIPアドレスに対応する位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 - 前記抽出手段は、所定条件を満たすIPアドレスを指定する情報を参照し、前記通信経路上において前記リクエスト電文に付加された前記基地局のIPアドレスが前記所定条件を満たす場合に、前記リクエスト電文のボディ部に記述された位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 - 前記抽出手段は、前記通信経路上において前記リクエスト電文に付加されるMACヘッダにMACアドレスが記述されていない場合に、前記リクエスト電文のボディ部に記述された位置情報を取得し、
前記位置関連情報は、取得した前記位置情報を含む請求項2または請求項3に記載の情報処理装置。 - 前記実行手段は、前記照合手段による照合の結果が不一致となった場合に、不正アクセスに関する情報を管理者に通知する請求項1乃至請求項7のいずれかに記載の情報処理装置。
- 前記抽出情報は、前記端末装置のユーザを識別するユーザ識別情報を含む請求項1乃至請求項8のいずれかに記載の情報処理装置。
- 請求項1乃至請求項9のいずれかに記載の情報処理装置と、
前記端末装置とを備え、
前記端末装置は、
前記情報処理装置からレスポンス電文を受信する受信手段と、
受信した前記レスポンス電文に含まれる前記クッキー情報を記憶する記憶手段と、
リクエスト電文を送信する送信手段であって、送信先から受信したレスポンス電文に含まれていた前記クッキー情報が前記記憶手段に記憶されている場合に当該クッキー情報を含むリクエスト電文を送信する送信手段と
を備えることを特徴とする情報処理システム。 - 第1リクエスト電文を端末装置から受信し、
前記第1リクエスト電文に含まれる抽出情報を取得し、
前記第1リクエスト電文から取得された抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出し、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記第1リクエスト電文の応答として前記端末装置に送信し、
第2暗号値が記述されたクッキー情報を含む第2リクエスト電文を端末装置から受信し、
前記第2リクエスト電文に含まれる予め決められた抽出情報を取得し、
前記第2リクエスト電文から取得された抽出情報を用いて、前記アルゴリズムにより第3暗号値を算出し、
前記第2暗号値と、前記第3暗号値とを照合し、
前記第2暗号値と前記第3暗号値とを照合した結果に基づく処理を実行する情報処理方法。 - コンピュータを、
リクエスト電文を端末装置から受信する受信手段と、
前記リクエスト電文に含まれる予め決められた抽出情報を取得する抽出手段と、
前記抽出情報を用いて、予め決められたアルゴリズムにより第1暗号値を算出する暗号化手段と、
算出された前記第1暗号値が記述されたクッキー情報を含むレスポンス電文を、前記リクエスト電文の応答として前記端末装置に送信する送信手段と、
第2暗号値が記述されたクッキー情報が前記リクエスト電文に含まれる場合に、前記第2暗号値と、当該リクエスト電文から抽出された前記抽出情報を用いて算出された前記第1暗号値とを照合する照合手段と、
前記照合手段による照合の結果に基づく処理を実行する実行手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012150728A JP5377717B1 (ja) | 2012-07-04 | 2012-07-04 | 情報処理装置、情報処理システム、情報処理方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012150728A JP5377717B1 (ja) | 2012-07-04 | 2012-07-04 | 情報処理装置、情報処理システム、情報処理方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5377717B1 JP5377717B1 (ja) | 2013-12-25 |
| JP2014013502A true JP2014013502A (ja) | 2014-01-23 |
Family
ID=49955008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012150728A Active JP5377717B1 (ja) | 2012-07-04 | 2012-07-04 | 情報処理装置、情報処理システム、情報処理方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5377717B1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020181366A (ja) * | 2019-04-25 | 2020-11-05 | 株式会社カセットミュージアム | 音声ガイド認証システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010511953A (ja) * | 2006-12-06 | 2010-04-15 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | Rfid装置とのデータ・アクセス制御 |
| JP2010122798A (ja) * | 2008-11-18 | 2010-06-03 | Yahoo Japan Corp | エージェントアクセス管理システム |
| JP2011199596A (ja) * | 2010-03-19 | 2011-10-06 | Ads Co Ltd | 通信認証方法 |
| WO2011162079A1 (ja) * | 2010-06-25 | 2011-12-29 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
-
2012
- 2012-07-04 JP JP2012150728A patent/JP5377717B1/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010511953A (ja) * | 2006-12-06 | 2010-04-15 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | Rfid装置とのデータ・アクセス制御 |
| JP2010122798A (ja) * | 2008-11-18 | 2010-06-03 | Yahoo Japan Corp | エージェントアクセス管理システム |
| JP2011199596A (ja) * | 2010-03-19 | 2011-10-06 | Ads Co Ltd | 通信認証方法 |
| WO2011162079A1 (ja) * | 2010-06-25 | 2011-12-29 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020181366A (ja) * | 2019-04-25 | 2020-11-05 | 株式会社カセットミュージアム | 音声ガイド認証システム |
| JP7215732B2 (ja) | 2019-04-25 | 2023-01-31 | 株式会社カセットミュージアム | 音声ガイド認証システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5377717B1 (ja) | 2013-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324287B (zh) | 接入认证方法、装置及服务器 | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| US8532620B2 (en) | Trusted mobile device based security | |
| EP3308499B1 (en) | Service provider certificate management | |
| US10374800B1 (en) | Cryptography algorithm hopping | |
| JP6122924B2 (ja) | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| US10567434B1 (en) | Communication channel security enhancements | |
| JP5377717B1 (ja) | 情報処理装置、情報処理システム、情報処理方法およびプログラム | |
| CN116232599A (zh) | 一种物联网身份认证方法、物联网终端及服务器 | |
| CN112087467A (zh) | 一种基于web系统的信息加密传输方法及系统 | |
| JP2009122921A (ja) | 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム | |
| US20230216850A1 (en) | Remotely Accessing an Endpoint Device Using a Distributed Systems Architecture | |
| US11949772B2 (en) | Optimized authentication system for a multiuser device | |
| JP2012138729A (ja) | データ処理装置、プログラム、およびデータ処理システム | |
| JP5873772B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP5940398B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP2019047429A (ja) | 情報処理装置、情報処理方法、サーバ、およびコンピュータプログラム | |
| JP2017073835A (ja) | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130903 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130924 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5377717 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |