JP2014027494A - ユーザ認証システム、ユーザ認証方法およびネットワーク機器 - Google Patents
ユーザ認証システム、ユーザ認証方法およびネットワーク機器 Download PDFInfo
- Publication number
- JP2014027494A JP2014027494A JP2012166490A JP2012166490A JP2014027494A JP 2014027494 A JP2014027494 A JP 2014027494A JP 2012166490 A JP2012166490 A JP 2012166490A JP 2012166490 A JP2012166490 A JP 2012166490A JP 2014027494 A JP2014027494 A JP 2014027494A
- Authority
- JP
- Japan
- Prior art keywords
- password
- authentication
- url
- key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 50
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 19
- 238000006243 chemical reaction Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 28
- 230000006870 function Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 11
- 238000003384 imaging method Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
【課題】ユーザ端末でパスワードを検証する方法において、パスワード認証に成功した場合に移動するページのURLを容易に知られない方法を提供する。
【解決手段】ネットワークを介してユーザ端末により認証を行うユーザ認証システムにおいて、ユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて認証の許可を判断するパスワード認証ページは、認証が許可されると判断される場合にネットワークを介してユーザ端末が接続可能な非公開ページURLと、認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、非公開ページURLキーと入力パスワードとを暗号アルゴリズムの逆変換により変換し、非公開ページURLを求めるURL復元処理コードと、を有し、認証が許可されると判断される場合には、URL復元処理コードを用いて非公開ページURLを取得する。
【選択図】図5
【解決手段】ネットワークを介してユーザ端末により認証を行うユーザ認証システムにおいて、ユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて認証の許可を判断するパスワード認証ページは、認証が許可されると判断される場合にネットワークを介してユーザ端末が接続可能な非公開ページURLと、認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、非公開ページURLキーと入力パスワードとを暗号アルゴリズムの逆変換により変換し、非公開ページURLを求めるURL復元処理コードと、を有し、認証が許可されると判断される場合には、URL復元処理コードを用いて非公開ページURLを取得する。
【選択図】図5
Description
本発明は、ユーザ認証システム、ユーザ認証方法およびネットワーク機器に関する。
ネットワークに接続する機器の設定を、同ネットワークに接続するPC(Personal Computer)等のユーザ端末上で動作するWEBブラウザーを使用して行うことがある。この場合、機器がWEBサーバーを持ち、WEBブラウザーが機器のWEBサーバーに接続して、操作画面のページ情報を取得し、それを画面上に表示して、ユーザーからの操作等により入力された設定値を機器に送ることによって、機器の設定を行う。
このとき、特定の操作画面は保守員のみが使用する秘密のページとし、一般ユーザーが容易に使用できないようにしたい場合がある。そこで、一般ユーザーが容易に使用できないようにするために、パスワードを設定し、ページを表示するためにパスワード認証を行う。パスワード認証の方法の1つとして、WEBブラウザーに入力されたパスワードを機器側に送り機器側で検証する方法がある。この方法は、パスワードを検証するための情報が機器側から出てこないため、パスワードを知られにくいメリットがある。しかしながら、機器側で検証を行うため、機器側に負荷をかけてしまうデメリットがある。機器の本来の性能を損なわないために、機器側に余分な負荷はかけたくない。
そこで、他のパスワード認証の方法として、WEBブラウザーに入力されたパスワードをWEBブラウザー側で検証する方法がある。この方法は機器側への負荷が低い点がメリットであるが、WEBブラウザー側にパスワードを検証するための情報を送るため、そこから正しいパスワードを知られてしまう可能性がある。
そこで、特開2001−60185号公報(特許文献1)では、パスワード一致判定をするためにパスワードを含むHTML(HyperText Markup Language)ファイル1をWEBブラウザー画面2に読み込んだ直後に、パスワード入力プロンプト3を「作業ウィンドウ固定」で表示する。これにより、パスワード入力プロンプト3表示中はWEBブラウザー画面2へフォーカスを移動できない。また、パスワード入力後、一致判定の結果に従い、WEBブラウザー画面2を他のURLへ移動するため、パスワードを知られない。以上により、HTMLファイル1のソースを表示できず、パスワードを知られない。これにより、パスワードをWEBブラウザー側で検証する方法でも、正しいパスワードを知られてしまう可能性を低減している。
しかしながら、特許文献1の方法では、パスワードを含むHTMLファイル自体はネットワークを介して送受信されるため、ネットワーク上を流れるデータを監視することによりHTMLファイルの内容を知られ、そこからパスワードを知られてしまう可能性は残る。
また、パスワード認証に成功した場合に移動する秘密のページのURL(Uniform Resource Locator)も同様に容易に知られてしまい、パスワード認証を回避して、秘密のページのURLを直接指定して、秘密のページを表示されてしまう可能性がある。
そこで、本発明はこのような課題に鑑みてなされたものであって、ユーザ端末でパスワードを検証する方法であっても、パスワードや、パスワード認証に成功した場合に移動するページのURLを容易に知られない方法を提供することを目的とする。
上記課題を解決するために、例えば特許請求の範囲に記載の構成を採用する。
本願は上記課題を解決する手段を複数含んでいるが、その一例を挙げるな
らば、ネットワークを介してユーザ端末により認証を行うユーザ認証システムにおいて、ユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて認証の許可を判断するパスワード認証ページは、認証が許可されると判断される場合にネットワークを介してユーザ端末が接続可能な非公開ページURLと、認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、非公開ページURLキーと入力パスワードとを暗号アルゴリズムの逆変換により変換し、非公開ページURLを求めるURL復元処理コードと、を有し、認証が許可されると判断される場合には、URL復元処理コードを用いて非公開ページURLを取得することを特徴とする。
らば、ネットワークを介してユーザ端末により認証を行うユーザ認証システムにおいて、ユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて認証の許可を判断するパスワード認証ページは、認証が許可されると判断される場合にネットワークを介してユーザ端末が接続可能な非公開ページURLと、認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、非公開ページURLキーと入力パスワードとを暗号アルゴリズムの逆変換により変換し、非公開ページURLを求めるURL復元処理コードと、を有し、認証が許可されると判断される場合には、URL復元処理コードを用いて非公開ページURLを取得することを特徴とする。
ユーザ端末側で認証を行う場合に、認証用ページから認証成功時の接続URLを知られることが無いため、非公開の機能を容易に利用されることが無い。
以下、実施例を図面を用いて説明する。
<ネットワークカメラへの適用>
本実施例では、PC160上のWEBブラウザー161からネットワーク150を介して各種設定を行うネットワークカメラ100の例を説明する。
本実施例では、PC160上のWEBブラウザー161からネットワーク150を介して各種設定を行うネットワークカメラ100の例を説明する。
<全体構成>
図1は、実施例1の全体構成を示す構成図である。
図1は、実施例1の全体構成を示す構成図である。
図において、ネットワークカメラ100は、レンズ101と、撮像部102と、エンコーダー103と、設定部104と、RTPサーバー105と、HTTPサーバー106と、ネットワーク部107と、記憶部111と、設定情報108と、公開ページ情報109と、非公開ページ情報110と、認証用ページ情報200とから構成され、ネットワーク150に接続される。
PC160は、WEBブラウザー161と、ネットワーク部162と、から構成され、ネットワーク150に接続される。PC160は、例えば、WEBブラウザー161の動作する一般的なPCや端末が挙げられる。
ネットワーク150は、ネットワークカメラ100と、PC160を接続する。ネットワーク150は、例えば、機器と機器とを接続する回線、即ちLAN(Local Area Network)やインターネット、USB(Universal Serial Bus)、RS232Cによるシリアル通信等である。
撮像部102は、レンズ101を透過した被写体からの光束を光電変換し、デジタル信号に変換し、映像データとする。
エンコーダー103は、撮像部102が撮影した映像データを圧縮する。
設定部104は、HTTPサーバー106を介してPC160のWEBブラウザー161から受信したネットワークカメラ110の設定情報108を、記憶部111に記録する。ここで設定情報108とは、例えばネットワークカメラ110から送信される画質や映像の圧縮率等の設定に関する情報である。さらに、記憶部111から設定情報108を読み出しHTTPサーバー106に出力する。
RTPサーバー105は、エンコーダー103が圧縮した映像データをネットワーク部107を介して出力する。
HTTPサーバー106は、エンコーダー103が圧縮した映像データをネットワーク部107を介して送信する。さらに、ネットワークカメラ100の設定情報108と、公開ページ情報109と、非公開ページ情報110と、認証用ページ情報200と、をネットワーク部107を介して、PC160のWEBブラウザー161と送受信する。
ネットワーク部107は、ネットワーク150と接続し、RTPサーバー105、HTTPサーバー106の情報を送受信する。
記憶部111は、設定情報108と、公開ページ情報109と、非公開ページ情報110と、認証用ページ情報200と、を記憶する。記憶部111の一例としては、半導体メモリーが挙げられる。
設定情報108は、ネットワークカメラ100を制御するために設定する、撮像部102、エンコーダー103、RTPサーバー105、HTTPサーバー106、ネットワーク部107で使用する設定パラメーターを含む情報である。
公開ページ情報109は、パスワード認証を行わずにWEBブラウザー161に表示するための画面情報である。設定情報108の一部や、設定情報108を設定変更するための情報を含む。一例としては、HTMLとスクリプト言語で記述される。
非公開ページ情報110は、パスワード認証に成功した場合にWEBブラウザー161に表示するための画面情報である。画面情報には、設定情報108の一部や、設定情報108を設定変更するための情報を含む。一例としては、HTMLとスクリプト言語で記述される。
認証用ページ情報200は、非公開ページ情報110をWEBブラウザー161に表示することの可否を判定するパスワード認証を行うための画面情報である。一例としては、HTMLとスクリプト言語で記述される。
<認証用ページ情報>
図2は、実施例1の認証用ページ情報200の構成を示す構成図である。
図2は、実施例1の認証用ページ情報200の構成を示す構成図である。
図において、認証用ページ情報200は、パスワード入力処理コード201と、パスワード検証処理コード202と、URL復元処理コード203と、パスワードキー205と、非公開ページURLキー206と、で構成される。
例として、認証用ページ情報200はHTMLで記述され、パスワード入力処理コード201と、パスワード検証処理コード202と、URL復元処理コード203は、HTMLとスクリプト言語で記述される。
パスワード入力処理コード201は、WEBブラウザー161上でパスワード入力を行うための処理を記述したコードである。
パスワード検証処理コード202は、WEBブラウザー161上でパスワード検証処理(S600)を行うための処理を記述したコードである。
URL復元処理コード203は、WEBブラウザー161上でURL復元処理(S700)を行うための処理を記述したコードである。
パスワードキー205は、WEBブラウザー161上で行うパスワード検証処理(S600)において、入力されたパスワードが認証パスワードと整合性を有するか否かを検証するための情報であり、認証パスワードに基づいて決定されるものである。
非公開ページURLキー206は、WEBブラウザー161上でURL復元処理(S700)を行う際に使用される情報であり、非公開ページURLに基づいて決定されるものである。
図3は、従来の認証用ページ200に含まれるHTMLファイルに含まれる情報を示す。図の下線部は、パスワード及び非公開ページのURLの一部を示している。すなわち、従来のHTMLファイルには、パスワード認証において使用する認証パスワードおよび非公開ページURLが含まれているので、パスワードおよび非公開ページURLが第3者に知られてしまう可能性がある。
図4は、実施例1の認証用ページに含まれるHTMLファイルにおいて、パスワードキー205および非公開URL206が表示されている場合のHTMLファイルに含まれる情報を示す。図の下線部に示すように、パスワードおよび非公開ページURLは、それぞれパスワードキー205および非公開ページURLキー206としてHTMLファイルの情報に含まれている。つまり、パスワード認証において使用する認証パスワードおよび非公開ページURLがHTMLファイルの情報として含まれていないので、認証ページにおいてパスワードおよび非公開ページのURLが不正に取得される恐れがなく、秘匿することが可能である。
なお、非公開ページURLキー206は、非公開ページのURLに基づいて予め決定するようにしてもよい。
<全体処理フロー>
図5は、実施例1の全体処理の処理フロー図である。
図5は、実施例1の全体処理の処理フロー図である。
図において、WEBブラウザー161は、公開ページ情報109をネットワークカメラ100に要求する(S301)。
ネットワークカメラ100は、要求に応じて公開ページ情報109をWEBブラウザー161に送信する(S302)。公開ページ情報109は認証用ページURLを含む。
WEBブラウザー161は、受信した公開ページ情報109を元に公開ページを表示する(S303)。
さらに、公開ページには非公開ページへの移動を促すボタン等が表示される(S304)。非公開ページへ移動する場合、WEBブラウザー161は、認証用ページURLを指定して認証用ページ情報200をネットワークカメラ100に要求する(S305)。
ネットワークカメラ100は、要求に応じて認証用ページ情報200をWEBブラウザー161に送信する(S306)。認証用ページ情報200は、パスワード入力処理コード201と、パスワード検証処理コード202と、URL復元処理コード203と、パスワードキー205と、非公開ページURLキー206と、で構成される。
WEBブラウザー161は、受信した認証用ページ情報200を元に認証用ページを表示する(S307)。認証用ページにはパスワード入力を促す入力欄があり、入力欄に入力されたパスワードをパスワード入力処理コード201によって取得する(S308)。
WEBブラウザー161は、入力されたパスワードとパスワードキー205を入力としてパスワード検証処理(S600)を行い、検証結果をパスワード検証処理コード202によって判断する(S310)。失敗の場合は、再度S307から繰り返す。一方、成功の場合は、WEBブラウザー161は、URL復元処理コードによって、入力されたパスワードと非公開ページURLキー206とを一方向性関数の逆変換により変換しURL復元処理(S700)を行い、非公開ページURLを取得する。
WEBブラウザー161は、入力されたパスワードとパスワードキー205を入力としてパスワード検証処理(S600)を行い、検証結果をパスワード検証処理コード202によって判断する(S310)。失敗の場合は、再度S307から繰り返す。一方、成功の場合は、WEBブラウザー161は、URL復元処理コードによって、入力されたパスワードと非公開ページURLキー206とを一方向性関数の逆変換により変換しURL復元処理(S700)を行い、非公開ページURLを取得する。
なお、上述のパスワードキー205の生成処理、非公開ページURLキーの生成処理、パスワード検証処理(S600)およびURL復元処理(S700)の詳細は、それぞれ後述の図5〜8において説明する。
URL復元処理(S700)により非公開ページURLを取得した後、非公開ページURLを指定して非公開ページ情報110を要求する(S312)。ネットワークカメラ100は、要求に応じて非公開ページ情報110をWEBブラウザー161に送信する(S313)。WEBブラウザー161は、受信した非公開ページ情報110を元に非公開ページを表示する(S314)。
<パスワードキー生成処理>
図6は、本実施例におけるパスワード検証処理(S600)で使用するパスワードキーを生成するための、パスワードキー生成処理(S400)の処理フロー図である。
図6は、本実施例におけるパスワード検証処理(S600)で使用するパスワードキーを生成するための、パスワードキー生成処理(S400)の処理フロー図である。
図において、パスワードキー生成処理(S400)は、認証用パスワードPWを入力し(S401)、所定値を入力して出力値を算出するのは容易に行うことが出来るが、出力値から入力値を算出することは非常に困難である関数である一方向性関数として、例えば下記式1を用いて認証用パスワードPWからハッシュ値Hを求める(S402)。但し、SHA256()はSHA256(Secure Hash Algorithm 256)によりハッシュ値を求める関数である。さらに、例えば、下記式2によりハッシュ値HからパスワードキーPWKEYを求め(S403)、パスワードキーPWKEYを出力する(S404)。
H=SHA256(PW) (式1)
PWKEY=BASE64ENC(H) (式2)
ここで、BASE64ENC()はBASE64のエンコードを行う関数である。
PWKEY=BASE64ENC(H) (式2)
ここで、BASE64ENC()はBASE64のエンコードを行う関数である。
パスワードキー生成処理(S400)により求めたパスワードキー205は、認証用ページ情報200に含める。
このパスワードキー生成処理(S400)は、非公開ページのURLが確定し、ネットワークカメラ100が認証用ページ情報200を送信する前に、ネットワークカメラ100あるいはネットワークカメラ100の製造装置で行われる。例えば、ネットワークカメラ100の製造時にネットワークカメラ100の製造装置によって行われる。または、WEBブラウザー161が認証用ページURLを指定して認証用ページ情報200をネットワークカメラ100に要求(S305)した後に、ネットワークカメラ100で行われる。
<非公開ページURLキー生成処理>
図7は、本実施例における非公開ページURLキー生成処理(S500)の処理フロー図である。
図7は、本実施例における非公開ページURLキー生成処理(S500)の処理フロー図である。
図において、非公開ページURLキー生成処理(S500)は、認証用パスワードPWと非公開ページURL(URL)を入力し(S501)、例えば、下記式3により認証用パスワードPWに規定の文字列DMYを付加した文字列Xを生成する(S502)。なお、パスワードキーを使用しない場合は、文字列DMYの付加は省略してもよい。
さらに、一方向性関数である下記式4により文字列Xのハッシュ値Hを求め(S503)、下記式5により非公開ページURL(URL)とハッシュ値Hとの排他的論理和Yを求め(S504)、下記式6により排他的論理和Yから非公開ページURLキー(URLKEY)を求め(S505)、非公開ページURLキー(URLKEY)を出力する(S506)。
X=DMY|PW (式3)
H=SHA256(X) (式4)
Y=H xor URL (式5)
URLKEY=BASE64ENC(Y) (式6)
ここで、式3における|は文字列を連接する演算を示す。また、式4のSHA256()はSHA256によりハッシュ値を求める関数である。また、式5のxorは排他的論理和の演算子である。さらに、式6のBASE64ENC()はBASE64のエンコードを行う関数である。
H=SHA256(X) (式4)
Y=H xor URL (式5)
URLKEY=BASE64ENC(Y) (式6)
ここで、式3における|は文字列を連接する演算を示す。また、式4のSHA256()はSHA256によりハッシュ値を求める関数である。また、式5のxorは排他的論理和の演算子である。さらに、式6のBASE64ENC()はBASE64のエンコードを行う関数である。
なお、S504では、非公開ページURL(URL)のデータ長がハッシュ値Hのデータ長より長い場合は、非公開ページURL(URL)のデータ長分ハッシュ値H_INを繰り返す。
このように、非公開ページのURLを非公開ページURLキー生成処理(S500)により求めた非公開ページURLキー206は、認証用ページ情報200に含められる。
URLキー生成処理(S500)は、非公開ページのURLが確定し、ネットワークカメラ100が認証用ページ情報200を送信する前に、ネットワークカメラ100あるいはネットワークカメラ100の製造装置で行われる。例えば、ネットワークカメラ100の製造時にネットワークカメラ100の製造装置によって行われる。または、WEBブラウザー161が認証用ページURLを指定して認証用ページ情報200をネットワークカメラ100に要求(S305)した後にネットワークカメラ100で行われる。
なお、式4でパスワードPWから直接ハッシュ値を求めずに、その前に式3で規定の文字列DMYを付加するのは、文字列を付加しないと式4のハッシュ値Hと、式1のハッシュ値Hが同じ値となるため、パスワードキーとURLキーと同じHTMLに含めた場合、URL=BASE64DEC(URLKEY) xor PWKEYの式により、URLを求められてしまうのを防ぐためである。
また、非公開ページURLを入力し、非公開ページURLキーを生成する際には、URLの全部を入力して非公開ページURLキーを生成しても、URLの一部を入力して非公開ページURLキーを生成してもよい。
<パスワード検証処理>
図8は、本実施例におけるパスワード検証処理(S600)の処理フロー図である。
図8は、本実施例におけるパスワード検証処理(S600)の処理フロー図である。
図において、パスワード検証処理(S600)は、入力パスワードPW_INとパスワードキーPWKEYを入力し(S601)、一方向性関数である下記式7により入力パスワードPW_INからハッシュ値H_INを求め(S602)、下記式8によりハッシュ値H_INから検証値PWKEY_INを求め(S603)、検証値PWKEY_INがパスワードキーPWKEYに一致するか判断し(S604)、一致する場合は成功を出力し(S605)、一致しない場合は失敗を出力する(S606)。
H_IN=SHA256(PW_IN) (式7)
PWKEY_IN=BASE64ENC(H_IN) (式8)
ここで、式7のSHA256()はSHA256によりハッシュ値を求める関数である。また、式8のBASE64ENC()はBASE64のエンコードを行う関数である。
PWKEY_IN=BASE64ENC(H_IN) (式8)
ここで、式7のSHA256()はSHA256によりハッシュ値を求める関数である。また、式8のBASE64ENC()はBASE64のエンコードを行う関数である。
なお、上述のパスワード検証処理においては、式7および式8に基づいてPWKEYとPWKEY_INの一致比較をしているが、式7および下記式8’を用いてHとH_INを比較しても同じ効果が得られる。
H=BASE64DEC(PWKEY) (式8’)
<URL復元処理>
図9は、本実施例におけるURL復元処理(S700)の処理フロー図である。
図9は、本実施例におけるURL復元処理(S700)の処理フロー図である。
図において、URL復元処理(S700)は、入力パスワードPW_INと非公開ページURLキー(URLKEY)を入力し(S701)、例えば、式9によりパスワードPW_INに規定の文字列DMYを付加した文字列X_INを生成する(S702)。さらに、例えば、一方向性関数である式10により文字列X_INのハッシュ値H_INを求め(S703)、式11により非公開ページURLキー(URLKEY)のバイナリ値Zを求め(S704)、式12によりバイナリ値Zとハッシュ値(H_IN)の排他的論理和を求める。最後に、これを接続URL(URL)とし(S705)、接続URL(URL)を出力する(S706)。
X_IN=DMY|PW_IN (式9)
H_IN=SHA256(X_IN) (式10)
Z=BASE64DEC(URLKEY) (式11)
URL=H_IN xor Z (式12)
ここで、式9の|は文字列を連接する演算を示す。また、式10のSHA256()はSHA256によりハッシュ値を求める関数である。また、式11のBASE64DEC()はBASE64のデコードを行う関数である。さらに、式12のxorは排他的論理和の演算子である。
H_IN=SHA256(X_IN) (式10)
Z=BASE64DEC(URLKEY) (式11)
URL=H_IN xor Z (式12)
ここで、式9の|は文字列を連接する演算を示す。また、式10のSHA256()はSHA256によりハッシュ値を求める関数である。また、式11のBASE64DEC()はBASE64のデコードを行う関数である。さらに、式12のxorは排他的論理和の演算子である。
なお、S702でパスワードを使用しない場合は、文字列付加は省略することができる。
また、S705でバイナリ値Zのデータ長がハッシュ値H_INのデータ長より長い場合は、バイナリ値Zのデータ長分ハッシュ値H_INを繰り返す。
また、上記では、ハッシュ値を求める関数としてSHA256を使用したが、SHA1(Secure Hash Algorithm 1)、MD5(Message Digest 5)等の他のハッシュ関数を使用してもよい。
また、BASE64ENC/BASE64DECはパスワードキー、非公開ページURLキーをHTMLに含められるようにテキスト化するために使用したが、JSON(JavaScript(登録商標) Object Notation)等の他のテキスト化手段を使用してもよい。
また、式3、式9で文字列の連接を行ったが、これは、式4により求められる値が異なるようになる変換であれば、他の変換手段を使用してもよい。
以上により、実施例1のネットワークカメラ100がWEBブラウザー161に送信する認証用ページ情報200には、パスワードと非公開ページのURLが含まれないため、パスワードが第3者に知られることや、非公開ページのURLにアクセスする権限がない者が非公開ページのURLを知られることを防ぐことが出来る。
また、WEBブラウザーで行われるパスワードの認証は、入力パスワードと認証用パスワードが一致するかを判断するのではなく、入力パスワードから検証値を求め、この検証値がパスワードキーに一致するかを判断するので、正しいパスワードを知ることは困難である。
さらに、パスワードの認証が成功した場合に、入力パスワードと非公開ページURLキーとから非公開ページURLを求めて非公開ページ情報を要求するので、認証用ページ情報が含むパスワードキーと非公開ページURLキーから、非公開ページURLを求めることは困難であり、パスワードを知らないユーザーが容易に非公開ページを開くことを防止できる。
さらに、ユーザ端末のWEBブラウザーにおいて認証を行うので、機器側に余分な負荷を掛けることなく認証を行うこともできる。また、SSL(Secure Socket Layer)を用いる場合のように認証用ページ情報全体を暗号化により秘匿するのではなく、非公開URLの部分のみを秘匿するため、ユーザー端末の余分な負荷を掛けることなく、非公開URLを秘匿することができる。
<ネットワーク機器への適用>
実施例1では、ネットワークカメラの設定を例に説明したが、本実施例では、PC160上のWEBブラウザー161からネットワーク150を介して、ネットワーク機器800の各種設定を行う例を説明する。
実施例1では、ネットワークカメラの設定を例に説明したが、本実施例では、PC160上のWEBブラウザー161からネットワーク150を介して、ネットワーク機器800の各種設定を行う例を説明する。
図10は、実施例2の全体構成を示す構成図である。
図10のネットワーク機器800のうち、既に説明した図1に示された同一の符号を付された構成と、同一の機能を有する部分については、説明を省略する。
図において、ネットワーク機器800は、設定部104と、HTTPサーバー106と、ネットワーク部107と、記憶部111と、設定情報108と、公開ページ情報109と、非公開ページ情報110と、認証用ページ情報200と、で構成し、ネットワーク150に接続する。
HTTPサーバー106は、ネットワーク機器800の設定情報108と公開ページ情報109と非公開ページ情報110と認証用ページ情報200とをネットワーク部107を介して送受信する。
ネットワーク部107は、ネットワーク150と接続し、HTTPサーバー106の情報を送受信する。
以上により、実施例2のネットワーク機器800が送信する認証用ページ情報200は実施例1と同様に、パスワードと非公開ページのURLは含まず、認証用ページ情報200が含むパスワードキー205と非公開ページURLキー206からパスワードと非公開ページのURLを求めることは困難であるため、パスワードを知らないユーザーが容易に非公開ページを開くことを防止できる。
本実施例では、PC160上のWEBブラウザー161からネットワーク150を介してネットワーク機器800の各種設定を行う例を説明する。
全体構成は図10の構成と同等である。
本実施例では、パスワードキー生成処理(S400)の代わりに、式13によりパスワードPWからパスワードキーPWKEYを生成する。
PWKEY=BASE64ENC(AES_E(STR,PW))・・・(式13) ここで、AES_E(P,K)は平文P、鍵KとしてAES(Advanced Encryption Standard)による暗号化を行う関数、BASE64ENCはBASE64のエンコードを行う関数、STRは既定文字列である。
本実施例では、URLキー生成処理(S500)の代わりに、式14により接続URL(URL)とパスワードPWからURLキー(URLKEY)を生成する。
URLKEY=BASE64ENC(AES_E(URL,PW))・・・(式14)
ここで、AES_E(P,K)は平文P、鍵KとしてAESによる暗号化を行う関数、BASE64ENCはBASE64のエンコードを行う関数である。
ここで、AES_E(P,K)は平文P、鍵KとしてAESによる暗号化を行う関数、BASE64ENCはBASE64のエンコードを行う関数である。
本実施例では、パスワード検証処理(S600)の代わりに、式15により入力パスワードPW_INから検証値PWKEY_INを求め、検証値PWKEY_INとパスワードキーPWKEYと比較することで成否を判断する。
PWKEY_IN=BASE64ENC(AES_E(STR,PW_IN))・・・(式15)
ここで、AES_E(P,K)は平文P、鍵KとしてAESによる暗号化を行う関数、BASE64ENCはBASE64のエンコードを行う関数、STRは既定文字列である。
ここで、AES_E(P,K)は平文P、鍵KとしてAESによる暗号化を行う関数、BASE64ENCはBASE64のエンコードを行う関数、STRは既定文字列である。
式15で求めた検証値PWKEY_INとパスワードキーPWKEYとを比較して一致すれば成功を返し、一致しなれければ失敗を返す。
本実施例では、URL復元処理(S700)の代わりに、式16によりURLキー(URLKEY)と入力パスワードPW_INから接続URL(URL)を取得する。
URL=AES_D(BASE64DEC(URLKEY),PW_IN))・・・(式16)
ここで、AES_D(C,K)は暗号文C、鍵KとしてAESによる復号を行う関数、BASE64DEC()はBASE64のデコードを行う関数である。
なお、上記では、暗号化アルゴリズムとしてAESを使用したが、DES(Data Encryption Standard)等の他の暗号アルゴリズムを使用してもよい。
ここで、AES_D(C,K)は暗号文C、鍵KとしてAESによる復号を行う関数、BASE64DEC()はBASE64のデコードを行う関数である。
なお、上記では、暗号化アルゴリズムとしてAESを使用したが、DES(Data Encryption Standard)等の他の暗号アルゴリズムを使用してもよい。
また、BASE64ENC/BASE64DECはパスワードキー、URLキーをHTMLに含められるようにテキスト化するために使用したが、JSON等の他のテキスト化手段を使用してもよい。
以上のような、暗号化アルゴリズムを用いることにより、暗号化アルゴリズムを処理するハードウェアなどを搭載した機器等で、ハードウェアを利用して高速に処理を行うことができる。また、実施例1における文字列の連接(式3)、ハッシュ値の計算(式4)、排他的論理和(式5)を、暗号化アルゴリズムに置き換えることになるので、処理を簡便にすることが出来る。
100 ネットワークカメラ
101 レンズ
102 撮像部
103 エンコーダー
104 設定部
105 RTPサーバー
106 HTTPサーバー
107 ネットワーク部
108 設定情報
109 公開ページ情報
110 非公開ページ情報
111 記憶部
150 ネットワーク
160 PC(Personal Computer)
161 WEBブラウザー
162 ネットワーク部
200 認証用ページ情報
201 パスワード入力処理コード
202 パスワード検証処理コード
203 URL復元処理コード
205 パスワードキー
206 非公開ページURLキー
800 ネットワーク機器
101 レンズ
102 撮像部
103 エンコーダー
104 設定部
105 RTPサーバー
106 HTTPサーバー
107 ネットワーク部
108 設定情報
109 公開ページ情報
110 非公開ページ情報
111 記憶部
150 ネットワーク
160 PC(Personal Computer)
161 WEBブラウザー
162 ネットワーク部
200 認証用ページ情報
201 パスワード入力処理コード
202 パスワード検証処理コード
203 URL復元処理コード
205 パスワードキー
206 非公開ページURLキー
800 ネットワーク機器
Claims (11)
- ネットワークを介してユーザ端末により認証を行うユーザ認証システムにおいて、
前記ユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて前記認証の許可を判断する認証用ページは、
前記認証が許可されると判断される場合に前記ネットワークを介して前記ユーザ端末が接続可能な非公開ページURLと、前記認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、
前記非公開ページURLキーと前記入力パスワードとを前記暗号アルゴリズムの逆変換により変換し、前記非公開ページURLを求めるURL復元処理コードと、
を有し、
前記認証が許可されると判断される場合には、前記URL復元処理コードを用いて前記非公開ページURLを取得することを特徴とするユーザ認証システム。
- 請求項2に記載のユーザ認証システムにおいて、
前記認証用ページ情報は、
前記認証用パスワードを一方向性関数に基づいて変換したパスワードキーと、
前記入力パスワードを前記一方向性関数を含む処理により変換した検証値と、を比較して、パスワードの整合性の認証を行うパスワード検証処理コードを有することを特徴とするユーザ認証システム。
- 請求項2に記載のユーザ認証システムにおいて、
前記パスワードキーは、前記認証用パスワードのハッシュ値を求め、前記ハッシュ値を文字列化することによって算出されることを特徴とするユーザ認証システム。
- 請求項1に記載のユーザ認証システムにおいて、
前記非公開ページキーは、パスワードに既定の文字列を付加した第1の文字列を生成し、前記第1の文字列のハッシュ値を求め、非公開ページURLと前記ハッシュ値の排他的論理和を求め、前記排他的論理和を文字列化することによって算出されることを特徴とするユーザ認証システム。
- 請求項1に記載のユーザ認証システムにおいて、
前記パスワード認証は、入力パスワードのハッシュ値を求め、前記ハッシュ値を文字列化した値とパスワードキーを比較し、一致した場合に成功を返し、一致しなかった場合に失敗を返すことを特徴とするユーザ認証システム。
- 請求項1に記載のユーザ認証システムにおいて、
前記パスワード認証は、入力パスワードのハッシュ値を求め、前記ハッシュ値とパスワードキーをバイナリ化した値とを比較し、一致した場合に成功を返し、一致しなかった場合に失敗を返すことを特徴とするユーザ認証システム。
- 請求項1に記載のユーザ認証システムにおいて、
前記URL復元処理コードによる非公開ページのURLの復元は、入力パスワードに既定の文字列を付加した第1の文字列を生成し、前期第1の文字列のハッシュ値を求め、URLキーのバイナリ値を求め、前記ハッシュ値と前記バイナリ値の排他的論理和を求めることで、接続URLを取得することを特徴とするユーザ認証システム。
- ユーザ端末によりパスワード認証を行い、ネットワークを介してユーザがアクセスするネットワーク機器において、
前記ネットワーク機器は、
前記パスワード認証が許可されると判断される場合に前記ネットワークを介して前記ユーザが接続可能な非公開ページURLと、前記認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーと、
前記非公開ページURLキーと前記入力パスワードとを前記暗号アルゴリズムの逆変換により変換し、前記非公開ページURLを求めるURL復元処理コードと、
を有することを特徴とするネットワーク機器。
- 請求項1に記載のネットワーク機器において、
前記ネットワーク機器は、
前記パスワード認証を行う場合に、前記ユーザー端末に前記非公開ページUR
Lキーと前記URL復元処理コードとを出力することを特徴とするネットワーク
機器。
- ユーザがユーザ端末から入力される入力パスワードと認証用パスワードとの整合性に基づいて認証を行い、認証の可否を判断するパスワード認証を行うステップと、
前記認証が許可されると判断される場合に前記ネットワークを介して前記ユーザが接続可能な非公開ページURLと、前記認証用パスワードと、を暗号アルゴリズムを用いて変換した非公開ページURLキーを生成するステップと、
前記非公開ページURLキーと前記入力パスワードとを前記暗号アルゴリズムの逆変換により変換し、前記非公開ページURLを求めるURL復元処理コードを生成するステップと、
を有することを特徴とするユーザ認証方法。
- 請求項1、8、10のいずれか1項に記載のユーザ認証システム、ネットワーク機器、ユーザ認証方法において、
前記非公開ページURLキーを生成する際に用いる暗号アルゴリズムおよび前記非公開ページURLを求める際に用いる暗号アルゴリズムの逆変換は、
一方向性関数および排他的論理和に基づいて行われることを特徴とするユーザ認証システム、ネットワーク機器、ユーザ認証方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012166490A JP2014027494A (ja) | 2012-07-27 | 2012-07-27 | ユーザ認証システム、ユーザ認証方法およびネットワーク機器 |
| EP13172514.5A EP2690575A2 (en) | 2012-07-27 | 2013-06-18 | User Authentication System, User Authentication Method and Network Apparatus |
| US13/922,415 US20140033281A1 (en) | 2012-07-27 | 2013-06-20 | User authentication system, user authentication method and network apparatus |
| CN201310318333.4A CN103580865A (zh) | 2012-07-27 | 2013-07-26 | 用户认证系统、用户认证方法以及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012166490A JP2014027494A (ja) | 2012-07-27 | 2012-07-27 | ユーザ認証システム、ユーザ認証方法およびネットワーク機器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014027494A true JP2014027494A (ja) | 2014-02-06 |
Family
ID=48703143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012166490A Pending JP2014027494A (ja) | 2012-07-27 | 2012-07-27 | ユーザ認証システム、ユーザ認証方法およびネットワーク機器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20140033281A1 (ja) |
| EP (1) | EP2690575A2 (ja) |
| JP (1) | JP2014027494A (ja) |
| CN (1) | CN103580865A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453855A (zh) * | 2016-09-23 | 2017-02-22 | 北京数码视讯支付技术有限公司 | 一种基于Html5的数字密码软键盘获取方法和装置 |
| JP2018045261A (ja) * | 2017-12-26 | 2018-03-22 | 株式会社ニコン | 変倍光学系、及び光学装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9647839B2 (en) * | 2013-08-10 | 2017-05-09 | Jim Lucas | Password generation and retrieval system |
| US9521141B2 (en) * | 2014-02-12 | 2016-12-13 | Bank Of America Corporation | Caller validation |
| CN113452678A (zh) * | 2015-09-21 | 2021-09-28 | 华为终端有限公司 | 登录信息输入方法、登录信息保存方法及相关装置 |
| CN105873053B (zh) * | 2016-03-29 | 2020-04-10 | 上海斐讯数据通信技术有限公司 | 一种接入认证页面嵌入网页的方法、系统及无线接入点 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001060185A (ja) * | 1999-08-23 | 2001-03-06 | Casio Comput Co Ltd | Wwwコンテンツの認証方法および認証用スクリプトを含むwwwコンテンツの作成装置ならびに記録媒体 |
| JP2003186841A (ja) * | 2001-12-21 | 2003-07-04 | Kddi Corp | アクセス制御プログラム、アクセス制御方法および通信用端末 |
| JP2005190304A (ja) * | 2003-12-26 | 2005-07-14 | Nomura Research Institute Ltd | 関連情報提供システム |
| JP2012073708A (ja) * | 2010-09-28 | 2012-04-12 | Rakuten Inc | 認証システム、認証方法、認証装置、情報端末、プログラム及び情報記録媒体 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100241865A1 (en) * | 2009-03-19 | 2010-09-23 | Chunghwa Telecom Co., Ltd | One-Time Password System Capable of Defending Against Phishing Attacks |
| CN101924749A (zh) * | 2010-01-28 | 2010-12-22 | 赵路 | 实现网络安全浏览的系统和方法 |
-
2012
- 2012-07-27 JP JP2012166490A patent/JP2014027494A/ja active Pending
-
2013
- 2013-06-18 EP EP13172514.5A patent/EP2690575A2/en not_active Withdrawn
- 2013-06-20 US US13/922,415 patent/US20140033281A1/en not_active Abandoned
- 2013-07-26 CN CN201310318333.4A patent/CN103580865A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001060185A (ja) * | 1999-08-23 | 2001-03-06 | Casio Comput Co Ltd | Wwwコンテンツの認証方法および認証用スクリプトを含むwwwコンテンツの作成装置ならびに記録媒体 |
| JP2003186841A (ja) * | 2001-12-21 | 2003-07-04 | Kddi Corp | アクセス制御プログラム、アクセス制御方法および通信用端末 |
| JP2005190304A (ja) * | 2003-12-26 | 2005-07-14 | Nomura Research Institute Ltd | 関連情報提供システム |
| JP2012073708A (ja) * | 2010-09-28 | 2012-04-12 | Rakuten Inc | 認証システム、認証方法、認証装置、情報端末、プログラム及び情報記録媒体 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453855A (zh) * | 2016-09-23 | 2017-02-22 | 北京数码视讯支付技术有限公司 | 一种基于Html5的数字密码软键盘获取方法和装置 |
| JP2018045261A (ja) * | 2017-12-26 | 2018-03-22 | 株式会社ニコン | 変倍光学系、及び光学装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103580865A (zh) | 2014-02-12 |
| EP2690575A2 (en) | 2014-01-29 |
| US20140033281A1 (en) | 2014-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10362003B2 (en) | Secure delivery and storage of content | |
| US8769618B2 (en) | Method and apparatus for secure authorization | |
| JP2014027494A (ja) | ユーザ認証システム、ユーザ認証方法およびネットワーク機器 | |
| KR100987213B1 (ko) | 바이오 키를 이용하여 VoIP을 기반으로 한 통신을수행하는 방법 및 장치 | |
| US20120266224A1 (en) | Method and system for user authentication | |
| US20150161410A1 (en) | Method for secure storing of a data file via a computer communication network | |
| JP5270894B2 (ja) | 情報処理装置及びその制御方法、情報処理システム、プログラム | |
| JP2008059561A (ja) | 情報処理装置、データ処理装置、および、それらの方法 | |
| CN110213321B (zh) | 互联网应用中提供第三方服务的方法、装置及电子设备 | |
| WO2009146655A1 (zh) | 一种密码输入方法、装置和系统 | |
| Radke et al. | Ceremony analysis: Strengths and weaknesses | |
| CN110611670A (zh) | 一种api请求的加密方法及装置 | |
| JP2017041841A (ja) | 署名生成システム、署名生成装置及び署名生成方法 | |
| Mannan et al. | Mercury: Recovering forgotten passwords using personal devices | |
| KR102068041B1 (ko) | 유저 바이오 데이터를 이용한 유저 인증 및 서명 장치와 방법 | |
| KR102242720B1 (ko) | 클라이언트별 능동적 시각 오프셋 윈도우를 통한 고유 시각 방식의 otp 설정 방법 | |
| KR20150116749A (ko) | 장치들 사이의 세션 키 공유를 위한 장치 및 그의 방법 | |
| WO2017029708A1 (ja) | 個人認証システム | |
| JP2015524633A (ja) | シークレットデータの秘匿性を保つ認証システム | |
| TWI585606B (zh) | 一種身分認證系統及方法 | |
| JP2023532976A (ja) | ユーザの身元の検証のための方法およびシステム | |
| JP2022549671A (ja) | ブラウザアプリケーション用の暗号化サービス | |
| Kindberg et al. | Authenticating ubiquitous services: a study of wireless hotspot access | |
| KR101363865B1 (ko) | 인증서명을 생성하는 영상처리시스템, 단말기 및 방법 | |
| JP2003233586A (ja) | 制御サーバ、サービス機能へのアクセス制御をコンピュータに実行させるためのプログラム、サービス機能の取得をコンピュータに実行させるためのプログラム、およびプログラムを記録したコンピュータ読取り可能な記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140729 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20140806 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150120 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150526 |