JP2014102561A - Communication device, communication system, information processing method, and program - Google Patents
Communication device, communication system, information processing method, and program Download PDFInfo
- Publication number
- JP2014102561A JP2014102561A JP2012252405A JP2012252405A JP2014102561A JP 2014102561 A JP2014102561 A JP 2014102561A JP 2012252405 A JP2012252405 A JP 2012252405A JP 2012252405 A JP2012252405 A JP 2012252405A JP 2014102561 A JP2014102561 A JP 2014102561A
- Authority
- JP
- Japan
- Prior art keywords
- token
- communication
- communication device
- temporary
- acquisition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、通信装置、通信システム、情報処理方法及びプログラムに関する。 The present invention relates to a communication device, a communication system, an information processing method, and a program.
近年、インターネット上のコンテンツ共有サービスやコミュニケーションサービス等の外部サービスにアクセスする機能を備えた携帯電話やデジタルカメラが存在する。ユーザは、これらの通信装置を用いることで、撮像した画像コンテンツを写真共有サービスにアップロードする、或いはメッセージを友人に送信することができる。通常、これらの外部サービスは、認可サービスと連携して、外部サービス上のコンテンツやファイル等のリソースへのアクセス権限を管理している。
認可サービスにおいて、アクセス権限の管理を目的としたOAuthプロトコルの利用が増えてきている。OAuthにおいて、まず通信装置は、認可サービスから、所望するリソースに対するアクセス権限を示すアクセストークン、及びアクセストークンを更新するためのリフレッシュトークンを取得する。その後、通信装置は、外部サービスから所望するリソースの取得を要求する際、認可サービスから取得したアクセストークンを合せて提示する。外部サービスは、アクセストークンが有効な場合のみ、通信装置に要求されたリソースを送信する。もしアクセストークンの有効期限が切れた場合、通信装置は、認可サービスにリフレッシュトークンを提示することで、アクセストークンを更新することができる。
In recent years, there are mobile phones and digital cameras having a function of accessing external services such as content sharing services and communication services on the Internet. By using these communication devices, a user can upload captured image content to a photo sharing service or send a message to a friend. Normally, these external services manage access authority to resources such as contents and files on the external services in cooperation with the authorization service.
In authorization services, the use of the OAuth protocol for the purpose of managing access rights is increasing. In OAuth, the communication apparatus first acquires an access token indicating an access right to a desired resource and a refresh token for updating the access token from the authorization service. Thereafter, when requesting acquisition of a desired resource from an external service, the communication device also presents the access token acquired from the authorization service. The external service transmits the requested resource to the communication device only when the access token is valid. If the access token expires, the communication device can update the access token by presenting the refresh token to the authorization service.
一方、認証チケットを利用して、ユーザのアクセス権限を第三者に委譲し、第三者が認可サービスに対してユーザ認証に成功した場合、第三者が委譲されたアクセス権限を利用できる方法が提案されている(特許文献1参照)。
これらの方法を用いて、ユーザは、外部サービスのユーザのリソースに対するアクセス権限を、家族や友人に委譲することで、家族や友人とリソースを共有して楽しむことができる。
On the other hand, when a user's access authority is delegated to a third party using an authentication ticket and the third party succeeds in user authentication for the authorization service, the third party can use the delegated access authority. Has been proposed (see Patent Document 1).
By using these methods, the user can share and enjoy the resource with the family and friends by delegating the access authority to the resource of the user of the external service to the family and friends.
しかしながら、従来の技術では、ユーザの通信装置と友人の通信装置との通信接続の関係に応じて、アクセス権限の委譲の有効期限やアクセス権限の範囲を変えることができなかった。そのため、友人の通信装置との通信接続が一時的であり、ユーザのアクセス権限を一時的に友人に委譲したい場合であっても、ユーザが明示的に有効期限やアクセス権限の範囲を指定する必要があり、ユーザの利便性が損なわれていた。また、ユーザが誤って永続的なアクセス権限の委譲を指定してしまい、セキュリティ上のリスクが生じる恐れがあった。 However, in the conventional technology, it is impossible to change the validity period of access authority delegation and the range of access authority in accordance with the communication connection relationship between the user communication apparatus and the friend communication apparatus. Therefore, even if the communication connection with the friend's communication device is temporary and the user's access authority is to be temporarily transferred to the friend, the user must explicitly specify the expiration date and the range of access authority. As a result, user convenience has been impaired. In addition, there is a possibility that the user mistakenly designates the permanent delegation of access authority, resulting in a security risk.
本発明はこのような問題点に鑑みなされたもので、他の通信装置に、簡単、かつ、安全にアクセス権限を委譲できるようにすることを目的とする。 The present invention has been made in view of such problems, and an object of the present invention is to make it possible to delegate access authority to other communication devices easily and safely.
そこで、本発明は、認可サービスから、前記認可サービスによってアクセス権限を管理されたリソースに対するアクセス権限を示すトークンを取得する際に用いられるトークン取得情報を取得する取得手段と、他の装置との通信が一時的か否かを判断する判断手段と、前記判断手段により前記他の装置との通信が一時的でないと判断された場合、前記取得手段により取得された前記トークン取得情報を前記他の装置に送信する送信手段と、を有する。 Therefore, the present invention provides communication between an acquisition unit for acquiring token acquisition information used when acquiring a token indicating an access right for a resource whose access right is managed by the authorization service, and communication with another device from the authorization service. Determining means for determining whether or not communication with the other apparatus is not temporary by the determining means, the token acquisition information acquired by the acquiring means is used as the other apparatus. And transmitting means for transmitting to.
本発明によれば、他の通信装置に、簡単、かつ、安全にアクセス権限を委譲できるようにすることができる。 According to the present invention, it is possible to delegate access authority to other communication devices easily and safely.
以下、本発明の実施形態について図面に基づいて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<第1実施形態>
図1は、通信システムのシステム構成の一例を示す図である。
第1の通信装置10は、表示機能、操作機能、及びIEEE802.11に則った無線LAN(Local Area Network)通信機能を有する。第1の通信装置10のより具体的な例は、デジタルカメラ、デジタルビデオカメラ、携帯電話、スマートフォン、PC、ノートPC等である。なお、本実施形態では無線LAN通信機能を用いたが、これに限らず、Bluetooth(登録商標)、ZigBee(登録商標)、RFID等の他の無線通信規格を利用しても良い。
第2の通信装置20は、第1の通信装置10と同様である。
<First Embodiment>
FIG. 1 is a diagram illustrating an example of a system configuration of a communication system.
The
The
本実施形態において、第1の通信装置10と、第2の通信装置20とは、互いに通信を行う。通信方法は特に限定されないが、本実施形態において、第1の通信装置10と、第2の通信装置20とは、Wi−Fi Directに従うP2Pグループを介して接続するものとする。なお、Wi−Fi Directの代わりに、WPS(Wi−Fi Protected Setup)、WPSE(WPS Extension)、アドホック接続等を用いることもできる。
無線AP30は、第1の通信装置10、及び第2の通信装置20における無線LAN通信を中継する無線アクセスポイントである。
ネットワーク40は、無線AP30、認可サービス50、及び外部サービス60が接続されるネットワークである。ネットワーク40のより具体的な例は、有線LAN、無線LAN、WAN(Wide Area Network)、インターネット等である。
認可サービス50は、OAuth 2.0に則り、外部サービス60上の第1のリソースへのアクセス権限を管理する。なお、本実施形態ではOAuth 2.0を用いたが、これに限らず、OAuth 1.0、OpenID Connect等の認可規格や、独自の認可方式を利用しても良い。
外部サービス60は、第1の通信装置10を利用する第1のユーザが所有する第1のリソースを管理する。
In the present embodiment, the
The
The
The
The
次に、通信システムの構成要素を詳細に説明する。
図2は、第1の通信装置10のハードウェア構成の一例を示す図である。なお、第2の通信装置20も、第1の通信装置10と同じ構成であるため、以後は第1の通信装置10のみを説明する。
第1の通信装置10は、CPU(Central Processing Unit)201と、ROM(Read Only Memory)202と、RAM(Random Access Memory)203と、補助記憶装置204と、を備える。また、第1の通信装置10は、表示部205と、操作部206と、通信部207と、アンテナ208と、を備える。
CPU201は、第1の通信装置10全体を制御する。
ROM202は、変更を必要としないプログラムやパラメタを格納する。
RAM203は、補助記憶装置204等から供給されるプログラムやデータを一時記憶する。
Next, components of the communication system will be described in detail.
FIG. 2 is a diagram illustrating an example of a hardware configuration of the
The
The
The
The
補助記憶装置204は、プログラムや、無線パラメタ等の設定データ、画像や動画等のコンテンツデータを記憶する。例えば、補助記憶装置204の一例としては、メモリカード、ハードディスク等が挙げられる。
表示部205は、第1のユーザが第1の通信装置10を操作するためのGUI(Graphical User Interface)を表示する。また、表示部205は、認可サービス50から取得した認可承認画面を表示する。
操作部206は、第1のユーザが第1の通信装置10を操作するための入力インタフェースである。
通信部207は、アンテナ208を制御し、無線AP30、又は第2の通信装置20と通信する。
CPU201が、ROM202又は補助記憶装置204に記憶されたプログラムに基づき処理を実行することによって、後述する機能モジュールの構成及びフローチャートやシーケンスに係る処理が実現される。
The
The
The
The
When the
図3は、第1の通信装置10の機能モジュール構成の一例を示す図である。なお、第2の通信装置20も、第1の通信装置10と同じ構成であるため、以後は第1の通信装置10のみを説明する。
第1の通信装置10は、制御部301と、通信制御部302と、表示制御部303と、操作制御部304と、記憶制御部305と、無線パラメタ管理部306と、通信判断部307と、権限管理部308と、認可コード取得部309と、を備える。また、第1の通信装置10は、認可コード送信部310と、送信判断部311と、トークン取得部312と、トークン送信部313と、無効判断部314と、トークン無効部315と、トークン更新部316と、リソース取得部317と、を備える。
制御部301は、第1の通信装置10が備える個々の機能モジュール全体を制御する。
通信制御部302は、通信部207を制御し、無線AP30、又は第2の通信装置20との通信制御を行う。本実施形態において、通信制御部302は、第2の通信装置20との間で、Wi−Fi Directのプッシュボタン方式に従って通信制御を行う。
FIG. 3 is a diagram illustrating an example of a functional module configuration of the
The
The
The
表示制御部303は、表示部205を制御し、第1の通信装置10におけるGUIの表示制御を行う。また、表示制御部303は、認可サービス50から取得した認可承認画面の表示制御を行う。
操作制御部304は、操作部206を制御し、第1の通信装置10における第1のユーザからの操作入力制御を行う。
記憶制御部305は、補助記憶装置204を制御し、画像コンテンツデータや動画コンテンツデータを記憶する。
無線パラメタ管理部306は、通信制御部302における無線通信に使用する無線パラメタ11を管理する。無線パラメタ管理部306は、Wi−Fi Directに必要な情報として、後述する図4に示すSSID401、暗号化方式402、暗号化鍵403、Wi−Fi Direct情報404、を無線パラメタとして管理する。無線パラメタ管理部306は、第2の通信装置20との無線通信の際、第2の通信装置20から取得した無線パラメタ11を、記憶制御部305を用いて記憶する。
The
The
The
The wireless
通信判断部307は、第2の通信装置20との無線通信が一時的か否か、を判断する。本実施形態において、無線通信が一時的であるとは、第1の通信装置10と第2の通信装置20との間の無線通信における接続から切断までの処理を、一回又は数回しか実施しない、又は限定した時間しか実施しない、とする。一方、本実施形態において、無線通信が一時的でないとは、第1の通信装置10と第2の通信装置20との間の無線通信における接続から切断までの処理を、回数を限定せずに実施する、又は時間を限定せずに実施する、とする。
また、通信判断部307は、Wi−Fi Direct情報404に記載されたグループ形態を参照し、グループ形態が一時的である場合に、第2の通信装置20との無線通信が一時的である、と判断する。一方、通信判断部307は、グループ形態が永続的である場合に、第2の通信装置20との無線通信が一時的でない、と判断する。
また、通信判断部307は、第2の通信装置20との無線通信が一時的でないと判断した後、第2の通信装置20との無線通信を継続するか否か、を更に判断する。本実施形態において、通信判断部307は、無線パラメタ管理部306によって、第2の通信装置20との無線通信に使用する無線パラメタ11が削除された場合、第2の通信装置20との無線通信を継続しない、と判断する。
The
Further, the
The
権限管理部308は、第2の通信装置20から、外部サービス60上の第1のリソースに対するアクセス権限の権限委譲の要求を受ける。また、逆に、権限管理部308は、第2の通信装置20に対して、外部サービス60上の第2のリソースに対するアクセス権限の権限委譲を要求する。
認可コード取得部309は、認可サービス50に対して、第1のリソースに対するアクセス権限の認可を要求する。本実施形態において、認可コード取得部309は、認可サービス50に対して、OAuth 2.0に基づく認可リクエストを送信する。そして、認可コード取得部309は、認可サービス50から、前記認可リクエストに対する応答として、OAuth 2.0に基づく認可レスポンスを受信する。認可レスポンスには、アクセストークン、及びリフレッシュトークン、を取得するために必要な認可コード、が含まれる。認可コードは、トークン取得情報の一例である。
アクセストークンは、第1のリソースに対するアクセス権限を示す情報である。アクセストークンは、トークンの一例である。
リフレッシュトークンは、アクセストークンの有効期限が切れた際、アクセストークンを更新するために必要な情報である。リフレッシュトークンは、トークン取得情報の一例である。
また、認可サービス50に対する認可要求において、認可コード取得部309は、認可サービス50に登録された通信装置を示すクライアント識別子を、パラメタとして指定する。本実施形態において、認可コード取得部309が、第1の通信装置10を示す第1のクライアント識別子を指定して第1の認可を要求した場合、認可コード取得部309は、認可サービス50から、第1の認可コードを取得する。同様に、認可コード取得部309が、第2の通信装置20を示す第2のクライアント識別子を指定して第2の認可を要求した場合、認可コード取得部309は、認可サービス50から、第2の認可コードを取得する。
The
The authorization
The access token is information indicating the access authority for the first resource. An access token is an example of a token.
The refresh token is information necessary for updating the access token when the access token expires. The refresh token is an example of token acquisition information.
In the authorization request to the
認可コード送信部310は、第2の通信装置20に対して、認可コード取得部309において取得した認可コードを送信する。
送信判断部311は、第2の通信装置20に、アクセストークン、リフレッシュトークン、又は認可コードを送信するか否かを判断する。本実施形態において、送信判断部311は、通信判断部307によって、第2の通信装置20との無線通信が一時的である、と判断した場合、第2の通信装置20に、第1のアクセストークンを送信する、と判断する。一方、送信判断部311は、通信判断部307によって、第2の通信装置20との無線通信が一時的でない、と判断した場合、第2の通信装置20に、第2の認可コードを送信する、と判断する。
なお、これに限らず、送信判断部311は、第2の通信装置20との無線通信が一時的でない場合、第2の通信装置20に、第2のアクセストークン、及び第2のリフレッシュトークンを送信する、と判断しても良い。
The authorization
The
Not limited to this, the
トークン取得部312は、認可サービス50から、アクセストークン、及びリフレッシュトークン、を取得する。本実施形態において、トークン取得部312は、認可サービス50に対して、OAuth 2.0に基づくアクセストークンリクエストを送信する。そして、トークン取得部312は、認可サービス50から、前記アクセストークンリクエストに対する応答として、OAuth 2.0に基づくアクセストークンレスポンスを受信する。アクセストークンレスポンスには、アクセストークン、リフレッシュトークン、トークン種別、アクセストークンの有効期限、が含まれる。
また、トークン取得部312は、前記アクセストークンリクエストを送信する際、認可コード取得部309において取得した認可コード、及び認可コードを取得する際に指定したクライアント識別子をパラメタとして指定する。アクセストークンリクエストにおいて、トークン取得部312が、第1の認可コードを指定した場合、トークン取得部312は、認可サービス50から、第1のアクセストークン、及び第1のリフレッシュトークンを取得する。同様に、トークン取得部312が、第2の認可コードを指定した場合、トークン取得部312は、認可サービス50から、第2のアクセストークン、及び第2のリフレッシュトークンを取得する。なお、本実施形態において、第1のアクセストークン、及び第2のアクセストークンの有効期限、及びアクセス権限の範囲は同じとする。
The
Further, when transmitting the access token request, the
トークン送信部313は、第2の通信装置20に対して、トークン取得部312において取得したアクセストークン、及び/又はリフレッシュトークン、を送信する。
無効判断部314は、アクセストークン、又はリフレッシュトークン、又は認可コード、を無効化するか否か、を判断する。本実施形態において、通信判断部307によって、第2の通信装置20との無線通信を継続しない、と判断した場合、無効判断部314は、アクセストークン、又はリフレッシュトークン、又は認可コードを無効化する、と判断する。
トークン無効部315は、認可サービス50に対して、アクセストークン、又はリフレッシュトークンの無効化を要求する。本実施形態において、トークン無効部315は、認可サービス50に対して、OAuth 2.0に基づくアクセストークン無効リクエストを送信する。
また、トークン無効部315は、アクセストークン、又はリフレッシュトークンの無効化する際、認可コード取得部309、又はトークン取得部312において指定した同一のクライアント識別子を指定する。
なお、本実施形態において、トークン無効部315は、認可サービス50に対して、アクセストークン、又はリフレッシュトークンを無効化するとしたが、これに限らず、認可コードを無効化しても良い。
The
The
The
Further, the
In this embodiment, the
トークン更新部316は、アクセストークンの有効期限が切れた場合、対応するリフレッシュトークンに基づき、認可サービス50から、更新されたアクセストークンを取得する。本実施形態において、トークン更新部316は、認可サービス50に対して、OAuth 2.0に基づくアクセストークン更新リクエストを送信する。トークン更新部316は、前記アクセストークン更新リクエストを送信する際、リフレッシュトークンをパラメタとして渡す。そして、トークン更新部316は、認可サービス50から、前記アクセストークン更新リクエストに対する応答として、OAuth 2.0に基づくアクセストークン更新レスポンスを受信する。アクセストークン更新レスポンスには、更新されたアクセストークン、リフレッシュトークン、トークン種別、アクセストークンの有効期限、が含まれる。
なお、トークン更新部316は、アクセストークンを更新する際、トークン取得部312においてアクセストークンを取得する際に指定した同一のクライアント識別子を指定する。
リソース取得部317は、外部サービス60から、第1のリソースを取得する。本実施形態において、リソース取得部317は、外部サービス60に対して、第1のリソースの取得要求を送信する際、第1のアクセストークン、又は第2のアクセストークンを指定する。
When the access token expires, the
Note that when updating the access token, the
The
図4は、無線パラメタ11のデータ構成の一例を示す図である。
SSID401は、第1の通信装置10、又は第2の通信装置20、又は無線AP30を示す無線通信に関する識別子である。
暗号化方式402は、暗号化通信方式を示す情報である。
暗号化鍵403は、暗号化通信を実施する際の鍵情報である。
Wi−Fi Direct情報404は、Wi−Fi Directによる無線通信接続に必要な情報である。より具体的には、グループ形態種別(一時的、永続的)、P2PグループID等である。
FIG. 4 is a diagram illustrating an example of a data configuration of the
The
The
The
The Wi-
図5は、第1の通信装置10が、第2の通信装置20と無線通信接続する際の情報処理の一例を示すシーケンス図である。なお、図5における無線パラメタ11は、実際には、第一の通信装置10内の補助記憶装置204に記憶されている。
M501において、第1の通信装置10は、操作制御部304によって、ユーザによるWi−Fi Directのプッシュボタン方式による無線接続開始指示を検知する。
M502において、第2の通信装置20は、操作制御部304によって、ユーザによるWi−Fi Directのプッシュボタン方式による無線接続開始指示を検知する。
M503において、第1の通信装置10は、通信制御部302によって、第2の通信装置20を発見する。
M504において、第1の通信装置10は、通信制御部302によって、第2の通信装置20との間で、Wi−Fi Directによる無線パラメタ11の交換を行う。
M505において、第1の通信装置10は、通信制御部302によって、第2の通信装置20から取得した無線パラメタ11を用いて、第2の通信装置20とWi−Fi Directによる無線通信接続を確立する。
M506において、第1の通信装置10は、無線パラメタ管理部306によって、第2の通信装置20から取得した無線パラメタ11を記憶する。
FIG. 5 is a sequence diagram illustrating an example of information processing when the
In M501, the
In M502, the
In M503, the
In M504, the
In M505, the
In M506, the
図6は、第1の通信装置10が、第2の通信装置20に、第2のアクセストークンを送信する際の情報処理の一例を示すシーケンス図である。なお、本実施形態において、図6は、第1の通信装置10と第2の通信装置20との無線通信が一時的でない場合を想定する。
M601において、第2の通信装置20は、権限管理部308によって、第1の通信装置10に対して、外部サービス60上の第1のリソースに対するアクセス権限の権限委譲を要求する。
M602において、第1の通信装置10は、送信判断部311によって、第2の通信装置20に第1のアクセストークンを送信するか、又は第2の認可コードを送信するか、を判断する。本実施形態において、送信判断部311は、第2の通信装置20との無線通信が一時的でない、と判断し、第2の通信装置20に第2の認可コードを送信する、と判断する。
M603において、第1の通信装置10は、認可コード取得部309によって、認可サービス50に対して、第2のクライアント識別子を指定して、外部サービス60上の第1のリソースに対するアクセス権限の第2の認可を要求する。
FIG. 6 is a sequence diagram illustrating an example of information processing when the
In M <b> 601, the
In M602, the
In M603, the
M604において、認可サービス50は、第1の通信装置10に対して、第2の認可承認を要求する。
M605において、第1の通信装置10は、認可サービス50に対して、第2の認可承認を許可する。
M606において、認可サービス50は、第1の通信装置10に対して、第2の認可コードを送信する。
M607において、第1の通信装置10は、認可コード送信部310によって、M606で、認可サービス50から取得した第2の認可コードを、第2の通信装置20に送信する。一方、第2の通信装置20は、認可コード取得部309によって、第1の通信装置10から、第2の認可コードを受信する。
M608において、第2の通信装置20は、トークン取得部312によって、認可サービス50に対して、第2の認可コード、及び第2のクライアント識別子を指定して、第2のアクセストークンを要求する。
M609において、認可サービス50は、第2の通信装置20に対して、第2の認可コードに基づく、第2のアクセストークン、及び第2のリフレッシュトークンを送信する。
In M604, the
In M605, the
In M606, the
In M607, the
In M608, the
In M609, the
図7は、第1の通信装置10が、第2の通信装置20に、第1のアクセストークンを送信する際の情報処理の一例を示すシーケンス図である。なお、本実施形態において、図7は、第1の通信装置10と第2の通信装置20との無線通信が一時的である場合を想定する。
M701において、第2の通信装置20は、権限管理部308によって、第1の通信装置10に対して、外部サービス60上の第1のリソースに対するアクセス権限の権限委譲を要求する。
M702において、第1の通信装置10は、送信判断部311によって、第2の通信装置20に第1のアクセストークンを送信するか、又は第2の認可コードを送信するか、を判断する。本実施形態において、送信判断部311は、第2の通信装置20との無線通信が一時的である、と判断し、第2の通信装置20に第1のアクセストークンを送信する、と判断する。
M703において、第1の通信装置10は、認可コード取得部309によって、認可サービス50に対して、第1のクライアント識別子を指定して、外部サービス60上の第1のリソースに対するアクセス権限の第1の認可を要求する。
FIG. 7 is a sequence diagram illustrating an example of information processing when the
In M <b> 701, the
In M702, the
In M703, the
M704において、認可サービス50は、第1の通信装置10に対して、第1の認可承認を要求する。
M705において、第1の通信装置10は、認可サービス50に対して、第1の認可承認を許可する。
M706において、認可サービス50は、第1の通信装置10に対して、第1の認可コードを送信する。
M707において、第1の通信装置10は、トークン取得部312によって、認可サービス50に対して、第1の認可コード、及び第1のクライアント識別子を指定して、第1のアクセストークンを要求する。
M708において、認可サービス50は、第1の通信装置10に対して、第1の認可コードに基づく、第1のアクセストークン、及び第1のリフレッシュトークンを送信する。
M709において、第1の通信装置10は、トークン送信部313によって、M708で、認可サービス50から取得した第1のアクセストークンを、第2の通信装置20に送信する。一方、第2の通信装置20は、トークン取得部312によって、第1の通信装置10から、第1のアクセストークンを受信する。
In M704, the
In M705, the
In M706, the
In M707, the
In M708, the
In M709, the
図8は、第2の通信装置20が、第1のリソースを取得する際の情報処理の一例を示すシーケンス図である。なお、本実施形態において、図8における第2の通信装置20は、図6に示す通り、第2のアクセストークン、及び第2のリフレッシュトークンを取得している場合を想定する。更に、図8における第2のアクセストークンは、有効期限が切れている場合を想定する。
M801において、第2の通信装置20は、リソース取得部317によって、外部サービス60に対して、第2のアクセストークンを指定して、第1のリソースの取得を要求する。
M802において、外部サービス60は、第2の通信装置20に対して、第2のアクセストークンの有効期限が切れた旨を通知する。
FIG. 8 is a sequence diagram illustrating an example of information processing when the
In M801, the
In M802, the
M803において、第2の通信装置20は、トークン更新部316によって、認可サービス50に対して、第2のリフレッシュトークン、及び第2のクライアント識別子を指定して、第2のアクセストークンの更新を要求する。
M804において、認可サービス50は、第2の通信装置20に対して、更新された第2のアクセストークン、及びリフレッシュトークンを送信する。
M805において、第2の通信装置20は、リソース取得部317によって、外部サービス60に対して、更新された第2のアクセストークンを指定して、第1のリソースの取得を要求する。
M806において、外部サービス60は、第2の通信装置20に対して、第1のリソースを送信する。
In M803, the
In M804, the
In M805, the
In M806, the
図9は、第1の通信装置10が、第1のアクセストークンを無効化する際の情報処理の一例を示すシーケンス図である。なお、本実施形態において、図9における第1の通信装置10は、図7に示す通り、第2の通信装置20に対して、第1のアクセストークンを送信している場合を想定する。
M901において、第1の通信装置10は、操作制御部304によって、ユーザによる第2の通信装置20から取得した無線パラメタ11の削除指示を検知する。
M902において、第1の通信装置10は、無線パラメタ管理部306によって、無線パラメタ11を削除する。
M903において、第1の通信装置10は、無効判断部314によって、第2の通信装置20に送信した第1のアクセストークン、又は第2の認可コードに基づく第2のアクセストークンを無効化するか否か、を判断する。本実施形態において、M902において、無線パラメタ11が削除されたため、通信判断部307は、第2の通信装置20との無線通信を継続しない、と判断する。したがって、無効判断部314は、第1のアクセストークン、又は第2のアクセストークンを無効化する、と判断する。
FIG. 9 is a sequence diagram illustrating an example of information processing when the
In M901, the
In M902, the
In M903, the
M904において、第1の通信装置10は、無効判断部314によって、第2の通信装置20に対して、第2の認可コードを送信したか否か、を判断する。本実施形態において、第1の通信装置10は、第2の通信装置20に対して、第2の認可コードを送信していない、と判断する。
M905において、第1の通信装置10は、トークン無効部315によって、認可サービス50に対して、第1のクライアント識別子を指定して、第1のアクセストークンの無効化を要求する。
M906において、認可サービス50は、第1の通信装置10に対して、第1のアクセストークンの無効化要求の結果を送信する。
In M904, the
In M905, the
In M906, the
図10は、第1の通信装置10が、アクセストークン、又は認可コードを送信する動作の手順を示すフローチャートである。
ステップS1101において、権限管理部308は、第2の通信装置20から、外部サービス60上の第1のリソースに対するアクセス権限の権限委譲の要求を受信したか否か、を判断する。権限委譲要求を受信した場合(S1101;YES)、権限管理部308は、ステップS1102に処理を進める。一方、権限委譲要求を受信していない場合(S1101;NO)、権限管理部308は、処理を終了する。
ステップS1202において、通信判断部307は、第2の通信装置20との無線通信が一時的か否か、を判断する。一時的であると判断した場合(S1102;YES)、送信判断部311は、第2の通信装置20に対して、第1のアクセストークンを送信すると判断し、ステップS1103に処理を進める。一方、一時的でないと判断した場合(S1102;NO)、送信判断部311は、第2の通信装置20に対して、第2の認可コードを送信すると判断し、ステップS1108に処理を進める。
FIG. 10 is a flowchart illustrating a procedure of an operation in which the
In step S <b> 1101, the
In step S1202, the
ステップS1103において、認可コード取得部309は、認可サービス50に対して、第1のクライアント識別子を指定して、外部サービス60上の第1のリソースに対するアクセス権限の第1の認可を要求する。
ステップS1104において、認可コード取得部309は、認可サービス50からの第1の認可承認の要求に対して、第1の認可承認を許可する。
ステップS1105において、認可コード取得部309は、認可サービス50から第1の認可コードを取得する。
ステップS1106において、トークン取得部312は、認可サービス50に対して、第1の認可コード、及び第1のクライアント識別子を指定して、第1のアクセストークンを要求する。そして、トークン取得部312は、認可サービス50から、第1のアクセストークン、及び第1のリフレッシュトークンを取得する。
ステップS1107において、トークン送信部313は、第2の通信装置20に対して、第1のアクセストークンを送信し、処理を終了する。
In step S <b> 1103, the authorization
In step S 1104, the authorization
In step S <b> 1105, the authorization
In step S <b> 1106, the
In step S1107, the
ステップS1108において、認可コード取得部309は、認可サービス50に対して、第2のクライアント識別子を指定して、外部サービス60上の第1のリソースに対するアクセス権限の第2の認可を要求する。
ステップS1109において、認可コード取得部309は、認可サービス50からの第2の認可承認の要求に対して、第2の認可承認を許可する。
ステップS1110において、認可コード取得部309は、認可サービス50から第2の認可コードを取得する。
ステップS1111において、認可コード送信部310は、第2の通信装置20に対して、第2の認可コードを送信し、処理を終了する。
In step S <b> 1108, the authorization
In step S 1109, the authorization
In step S1110, the authorization
In step S <b> 1111, the authorization
図11は、第2の通信装置20が、リソースを取得する動作の手順を示すフローチャートである。
ステップS1201において、リソース取得部317は、外部サービス60に対して、所有するアクセストークンを指定して、第1のリソース取得を要求する。本実施形態において、第2の通信装置20が所有するアクセストークンは、第1のアクセストークンか、第2のアクセストークンの何れかである。
ステップS1202において、リソース取得部317は、外部サービス60から第1のリソースを取得できたか否か、を判断する。リソースを取得できた場合(S1202;YES)、リソース取得部317は、リソース取得に成功したとして、処理を終了する。一方、リソースを取得できなかった場合(S1202;NO)、リソース取得部317は、ステップS1203に処理を進める。
ステップS1203において、トークン更新部316は、所有するアクセストークンの有効期限が切れたか否か、を判断する。本実施形態において、トークン更新部316は、ステップS1201での第1のリソース取得において、外部サービス60からの応答に、アクセストークンの有効期限が切れた旨を示す情報が有るか否かで判断する。アクセストークンの有効期限が切れた場合(S1203;YES)、トークン更新部316は、ステップS1204に処理を進める。一方、アクセストークンの有効期限が切れていない場合(S1203;NO)、トークン更新部316(又はリソース取得部317)は、リソース取得に失敗したとして、処理を終了する。
FIG. 11 is a flowchart illustrating a procedure of an operation in which the
In step S <b> 1201, the
In step S <b> 1202, the
In step S1203, the
ステップS1204において、トークン更新部316は、ステップS1203において有効期限が切れたと判断したアクセストークンを更新するためのリフレッシュトークンを保持しているか否か、を判断する。リフレッシュトークンを保持している場合(ステップS1204;YES)、トークン更新部316は、ステップS1205に処理を進める。一方、リフレッシュトークンを保持していない場合(S1204;NO)、トークン更新部316(又はリソース取得部317)は、リソース取得に失敗したとして、処理を終了する。
ステップS1205において、トークン更新部316は、認可サービス50に対して、リフレッシュトークン、及びクライアント識別子を指定して、有効期限が切れたアクセストークンの更新を要求する。
ステップS1206において、トークン更新部316は、認可サービス50から、更新されたアクセストークンを取得できたか否か、を判断する。更新されたアクセストークンを取得できた場合(S1206;YES)、再度、外部サービス60から第1のリソースを取得するために、トークン更新部316は、ステップS1201処理を戻す。一方、更新されたアクセストークンを取得できなかった場合(S1206;NO)、トークン更新部316(又はリソース取得部317)は、リソース取得に失敗したとして、処理を終了する。
In step S1204, the
In step S1205, the
In step S <b> 1206, the
図12は、第1の通信装置10が、アクセストークンを無効化する動作の手順を示すフローチャートである。
ステップS1301において、通信判断部307は、無線パラメタ管理部306によって、第2の通信装置20から取得した無線パラメタ11が削除されたか否か、を判断する。無線パラメタを削除された場合(S1301;YES)、通信判断部307は、第2の通信装置20との無線通信を継続しない、と判断し、ステップS1302に処理を進める。一方、無線パラメタを削除されていない場合(S1301;NO)、通信判断部307は、第2の通信装置20との無線通信を継続する、と判断し、処理を終了する。
FIG. 12 is a flowchart illustrating a procedure of an operation in which the
In step S <b> 1301, the
ステップS1302において、無効判断部314は、第2の通信装置20に対して、第2の認可コードを送信したか否か、を判断する。第2の認可コードを送信した場合(ステップS1302;YES)、無効判断部314は、第2のアクセストークン、及び第2のリフレッシュトークンを無効化する、と判断し、ステップS1304に処理を進める。一方、第2の認可コードを送信していない場合(ステップS1302;NO)、無効判断部314は、第1のアクセストークンを無効化する、と判断し、ステップS1303に処理を進める。
ステップS1303において、トークン無効部315は、認可サービス50に対して、第1のクライアント識別子を指定して、第1のアクセストークンの無効化を要求し、処理を終了する。
ステップS1304において、トークン無効部315は、認可サービス50に対して、第2のクライアント識別子を指定して、第2のアクセストークン、及び第2のリフレッシュトークンの無効化を要求し、処理を終了する。
In step S <b> 1302, the
In step S1303, the
In step S1304, the
図13Aは、第1の通信装置10が、認可サービス50へ送信する認可リクエストの例を示す図である。
認可リクエスト1400は、OAuth 2.0に基づく認可リクエストを示すHTTPリクエストメッセージである。
認可リクエストヘッダ1401は、認可リクエスト1400中のHTTPリクエストヘッダである。パラメタresponse_typeは、認可リクエストに対応する認可レスポンスの種別を示し、パラメタ値codeは認可コードを示す。パラメタclient_idは、クライアント識別子を示す。
図13Bは、第1の通信装置10が、認可サービス50から受信する認可レスポンスの例を示す図である。
認可レスポンス1500は、OAuth 2.0に基づく認可レスポンスを示すHTTPレスポンスメッセージである。
認可レスポンスヘッダ1501は、認可レスポンス1500中のHTTPレスポンスヘッダである。パラメタcodeは、認可コードを示す。そして、そのパラメタ値は、実際の認可コードの値を示す。
FIG. 13A is a diagram illustrating an example of an authorization request that the
The
The
FIG. 13B is a diagram illustrating an example of an authorization response received from the
The
The
図14Aは、第1の通信装置10が、認可サービス50へ送信するアクセストークンリクエストの例を示す図である。
アクセストークンリクエスト1600は、OAuth 2.0に基づくアクセストークンリクエストを示すHTTPリクエストメッセージである。
アクセストークンリクエストヘッダ1601は、アクセストークンリクエスト1600中のHTTPリクエストヘッダである。ヘッダAuthorization中のスキームBasicは、当該アクセストークンリクエストがHTTPベーシック認証であることを示す。本実施形態において、HTTPベーシック認証のユーザIDとして、当該アクセストークンリクエストにおいて指定すべきクライアント識別子が用いられる。
アクセストークンリクエストボディ1602は、アクセストークンリクエスト1600中のHTTPリクエストボディである。パラメタgrant_typeは、認可グラント種別を示し、パラメタ値authorization_codeは、認可コードに基づくアクセストークンリクエストであることを示す。パラメタcodeは、認可コードを示す。そして、そのパラメタ値は、実際の認可コードの値を示す。
FIG. 14A is a diagram illustrating an example of an access token request transmitted from the
The access
The access
The access
図14Bは、第1の通信装置10が、認可サービス50から受信するアクセストークンレスポンスの例を示す図である。
アクセストークンレスポンス1700は、OAuth 2.0に基づくアクセストークンレスポンスを示すHTTPレスポンスメッセージである。
アクセストークンレスポンスヘッダ1701は、アクセストークンレスポンス1700中のHTTPレスポンスヘッダである。
アクセストークンレスポンスボディ1702は、アクセストークンレスポンス1700中のHTTPレスポンスボディである。パラメタaccess_tokenは、アクセストークンを示す。そして、そのパラメタ値は、実際のアクセストークンの値を示す。パラメタtoken_typeは、アクセストークンの種別を示す。パラメタexpires_inは、アクセストークンの有効期限を示す。そして、そのパラメタ値は、実際の有効期限の値を秒単位で示す。パラメタrefresh_tokenは、リフレッシュトークンを示す。そして、そのパラメタ値は、実際のリフレッシュトークンの値を示す。
FIG. 14B is a diagram illustrating an example of an access token response that the
An access
An access
An access
図15Aは、第2の通信装置20が、認可サービス50へ送信するアクセストークン更新リクエストの例を示す図である。
アクセストークン更新リクエスト1800は、OAuth 2.0に基づくアクセストークン更新リクエストを示すHTTPリクエストメッセージである。
アクセストークン更新リクエストヘッダ1801は、アクセストークン更新リクエスト1800中のHTTPリクエストヘッダである。ヘッダAuthorization中のスキームBasicは、当該アクセストークンリクエストがHTTPベーシック認証であることを示す。本実施形態において、HTTPベーシック認証のユーザIDとして、当該アクセストークン更新リクエストにおいて指定すべきクライアント識別子が用いられる。
アクセストークン更新リクエストボディ1802は、アクセストークン更新リクエスト1800中のHTTPリクエストボディである。パラメタgrant_typeは、認可グラント種別を示す。パラメタ値refresh_tokenは、リフレッシュトークンに基づくアクセストークン更新リクエストであることを示す。パラメタrefresh_tokenは、リフレッシュトークンを示す。そして、そのパラメタ値は、更新対象となる実際のリフレッシュトークンの値を示す。
FIG. 15A is a diagram illustrating an example of an access token update request transmitted from the
The access
The access token
The access token
図15Bは、第2の通信装置20が、認可サービス50から受信するアクセストークン更新レスポンスの例を示す図である。
アクセストークン更新レスポンス1900は、OAuth 2.0に基づくアクセストークン更新レスポンスを示すHTTPレスポンスメッセージである。
アクセストークン更新レスポンスヘッダ1901は、アクセストークン更新レスポンス1900中のHTTPレスポンスヘッダである。
アクセストークン更新レスポンスボディ1902は、アクセストークン更新レスポンス1900中のHTTPレスポンスボディである。パラメタaccess_tokenは、アクセストークンを示す。そして、そのパラメタ値は、実際のアクセストークンの値を示す。パラメタtoken_typeは、アクセストークンの種別を示す。パラメタexpires_inは、アクセストークンの有効期限を示す。そして、そのパラメタ値は、実際の有効期限の値を秒単位で示す。パラメタrefresh_tokenは、リフレッシュトークンを示す。そして、そのパラメタ値は、実際のリフレッシュトークンの値を示す。
FIG. 15B is a diagram illustrating an example of an access token update response received from the
The access
The access token
An access token
図16Aは、第1の通信装置10が、認可サービス50へ送信するアクセストークン無効リクエストの例を示す図である。
アクセストークン無効リクエスト2000は、OAuth 2.0に基づくアクセストークン無効リクエストを示すHTTPリクエストメッセージである。
アクセストークン無効リクエストヘッダ2001は、アクセストークン無効リクエスト2000中のHTTPリクエストヘッダである。ヘッダAuthorization中のスキームBasicは、当該アクセストークンリクエストがHTTPベーシック認証であることを示す。本実施形態において、HTTPベーシック認証のユーザIDとして、当該アクセストークン無効リクエストにおいて指定すべきクライアント識別子が用いられる。
アクセストークン無効リクエストボディ2002は、アクセストークン無効リクエスト2000中のHTTPリクエストボディである。パラメタtypeは、アクセストークンを示す。そして、そのパラメタ値は、無効化対象となる実際のアクセストークンの値を示す。
FIG. 16A is a diagram illustrating an example of an access token invalid request transmitted from the
The access token
The access token
The access token
図16Bは、第1の通信装置10が、認可サービス50から受信するアクセストークン無効レスポンスの例を示す図である。
アクセストークン無効レスポンス2100は、OAuth 2.0に基づくアクセストークン無効レスポンスを示すHTTPレスポンスメッセージである。
アクセストークン無効レスポンスヘッダ2101は、アクセストークン無効レスポンス2100中のHTTPレスポンスヘッダである。
FIG. 16B is a diagram illustrating an example of an access token invalid response received from the
The access token
The access token
以上、説明したように、第1の通信装置10は、第2の通信装置20からの権限委譲要求に対して、第2の通信装置20との無線通信接続か一時的か否か、を判断する。もし、無線通信接続が一時的な場合、第1の通信装置10は、第2の通信装置20に対して、トークン取得情報の一つである第2の認可コードを送信せず、第1のアクセストークンのみを送信する。
第2の通信装置20は、第2の認可コードがなければ、認可サービス50から、第2のリフレッシュトークンを取得することができない。第2の通信装置20は、第2のリフレッシュトークンがなければ、アクセストークンの有効期限が切れた場合に、アクセストークンを更新できない。もし、アクセストークンの有効期限が切れた場合、第2の通信装置20は、外部サービス60上の第1のリソースを取得できない。結果的に、第1の通信装置10は、第2の通信装置20に対して、一時的なアクセス権限の委譲が可能となる。
これによって、第1の通信装置10は、ユーザによる明示的な有効期限やアクセス権限の範囲の指定といったアクセス権限の委譲に伴う煩雑な操作を簡略化することができ、ユーザの利便性が向上する。更に、第1の通信装置10は、ユーザの操作ミスによって、一時的ではない永続的なアクセス権限の委譲が指定されてしまうことを防ぐことができ、セキュリティ上のリスクも軽減する。
As described above, the
The
As a result, the
一方、無線通信接続が一時的でない場合、第1の通信装置10は、第2の通信装置20に対して、第2の認可コードを送信する。第2の通信装置20は、第1の通信装置10から、第2の認可コードを取得した後、認可サービス50から、第2の認可コードに基づいて、第2のアクセストークン、及び第2のリフレッシュトークンを取得する。第2の通信装置20は、第2のリフレッシュトークンを保持していれば、第2のアクセストークンの有効期限が切れた場合でも、第2のアクセストークンを更新することができる。結果的に、第1の通信装置10は、第2の通信装置20に対して、一時的ではない永続的なアクセス権限の委譲が可能となる。
これによって、第1の通信装置10は、ユーザによる明示的な有効期限や権限範囲の指定といったアクセス権限の委譲に伴う煩雑な操作を簡略化することができ、ユーザの利便性が向上する。
更に、本実施形態において、第1のアクセストークンと第2のアクセストークンの有効期限、及びアクセス権限の範囲は同じとしたが、これに限らず、有効期限を別にしても良い。例えば、第1のアクセストークンの有効期限を、第2のアクセストークンより短くしても良い。また、第1のアクセストークンのアクセス権限の範囲を、第2のアクセストークンより狭くしても良い。これによって、第1の通信装置10は、第2の通信装置20に対して、更に限定的なアクセス権限の委譲が可能となり、ユーザの利便性が更に向上し、セキュリティ上のリスクが更に軽減する。
On the other hand, if the wireless communication connection is not temporary, the
As a result, the
Further, in the present embodiment, the first access token and the second access token have the same expiration date and the range of access authority. However, the present invention is not limited to this, and the expiration dates may be different. For example, the expiration date of the first access token may be shorter than that of the second access token. Further, the range of access authority of the first access token may be narrower than that of the second access token. As a result, the
また通常、OAuth 2.0における第2の認可要求の内容は、ステップS1101において、第2の通信装置20から受信した権限委譲要求に含まれている。第1の通信装置10は、HTTPリダイレクト等の手法を用いて、第2の認可要求を、認可サービス50にそのまま送信する。つまり、第2の認可要求は、第2の通信装置20が希望する内容であり、第2の通信装置20にとって都合の良い内容となるため、必要以上に広範囲なアクセス権限を与えてしまう可能性がある。
それに対して、本実施形態では、ステップS1102において、第2の通信装置20との無線通信が一時的である場合、送信判断部311は、第2の通信装置20に対して、第1のアクセストークンを送信すると判断する。そして、ステップS1103において、認可コード取得部309は、認可サービス50に対して、第1のクライアント識別子を指定して、外部サービス60上の第1のリソースに対するアクセス権限の第1の認可を要求する。つまり、第1の認可要求の内容は、第1の通信装置10が決定するため、必要十分な最小限の範囲のアクセス権限を指定することができ、ユーザの利便性が更に向上し、セキュリティ上のリスクが更に軽減する。
Normally, the content of the second authorization request in OAuth 2.0 is included in the authority delegation request received from the
On the other hand, in this embodiment, when the wireless communication with the
更に、本実施形態における認可サービス50には、OAuth 2.0において推奨されている次の2つの制限を想定する。
1つ目は、認可サービス50に対する認可要求、アクセストークン取得、及びアクセストークン更新において、指定するクライアント識別子は、すべて同一である必要がある。例えば、認可サービス50に対して、第2のクライアント識別子を指定して、第2の認可要求を行った場合、第2のアクセストークン取得、及び第2のアクセストークン更新でも、第2のクライアント識別子を指定する必要がある。
2つ目は、認可サービス50に対するアクセストークン取得、及びアクセストークン更新において、指定したクライアント識別子に関するクライアント認証が必要となる。そのため、第1の通信装置10は、認可サービス50に対して、第2のクライアント識別子を指定して、第2のアクセストークン取得を要求しても、クライアント認証に失敗し、第2のアクセストークンを取得することができない。逆に、第2の通信装置20は、たとえ第1の通信装置10から第1の認可コードを取得しても、認可サービス50から、第1のアクセストークンを取得することができない。
これに対して、第1の通信装置10は、第2の通信装置20との無線通信が一時的な場合、ステップS1106〜ステップS1107において、自身で第1のアクセストークンを取得して送信する。一方、無線通信が一時的でない場合、第2の通信装置20に第2のアクセストークンを更新させるため、第1の通信装置10は、第2の認可コードをそのまま送信する。これによって、第1の通信装置10は、認可サービス50との相互接続性を向上することができる。
Furthermore, the following two restrictions recommended in OAuth 2.0 are assumed for the
First, in the authorization request to the
Second, client authentication related to a specified client identifier is required in access token acquisition and access token update for the
In contrast, when the wireless communication with the
一方、以上の制限がない認可サービス50に対しては、第1の通信装置10は、第2の通信装置20に代わって、第2のアクセストークン、第2のリフレッシュトークンを、直接、取得しても良い。この場合、ステップS1111において、トークン送信部313は、第2の通信装置20に対して、第2のアクセストークン、第2のリフレッシュトークンを送信する。これによって、第2の通信装置20の処理負荷を軽減することができる。
更に、例えば、ステップS1102において、第2の通信装置20との無線通信が一時的でない場合、送信判断部311は、第2の通信装置20に対して、第2の認可コードを送信した場合を想定する。このとき、第2の通信装置20は、第2の認可コードに基づき、認可サービス50から、第2のリフレッシュトークンを取得することができるため、第1のリソースに対する永続的なアクセス権限を持つことになる。その後、第1の通信装置10のユーザが、第2の通信装置20との無線通信を今後行わないと考え、第2の通信装置20との無線通信で使用していた無線パラメタ11を削除したとする。
このとき、本実施形態において、通信判断部307は、無線パラメタ管理部306によって、第2の通信装置20から取得した無線パラメタ11が削除された場合、第2の通信装置20との無線通信を継続しない、と判断する。そして、無効判断部314は、第2の通信装置20に対して委譲していたアクセストークンを無効化する、と判断し、認可サービス50に対して、アクセストークン無効化を要求する。
これによって、第1の通信装置10は、ユーザによるアクセス権限の無効化に伴う煩雑な操作を簡略化することができ、ユーザの利便性が向上する。更に、第1の通信装置10は、ユーザの操作忘れによって、いつまでもアクセス権限が委譲したままにすることを防ぐことができ、セキュリティ上のリスクも軽減する。
On the other hand, for the
Further, for example, when the wireless communication with the
At this time, in this embodiment, when the wireless
As a result, the
更に、本実施形態において、通信判断部307は、第2の通信装置20との無線通信が一時的か否か、を判断していたが、これに限らず、他の通信方式において一時的か否か、を判断しても良い。例えば、公衆無線通信、近接無線通信、NFC(Near Field Communication)、有線通信、遠隔通信、リモートアクセス等でも良い。
同様に、通信判断部307は、第2の通信装置20から取得した無線パラメタ11が削除された場合、第2の通信装置20との無線通信を継続しない、と判断したが、これに限らない。例えば、通信パラメタ、通信情報等、第2の通信装置20との通信接続に用いる情報等でも良い。
Furthermore, in the present embodiment, the
Similarly, the
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
<Other embodiments>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.
以上、上述した各実施形態においては、通信装置間の通信接続が一時的な場合、第1の通信装置は、第2の通信装置に、トークン取得情報を送信しない。一方、通信接続が一時的でない場合、つまり永続的な通信接続の場合、第1の通信装置は、第2の通信装置に、トークン取得情報を送信する。
これによって、アクセス権限の委譲に伴う煩雑なユーザ操作を簡単化する事ができ、ユーザの利便性が向上する。更に、ユーザの操作ミスに伴うセキュリティ上のリスクも軽減する。
As mentioned above, in each embodiment mentioned above, when the communication connection between communication apparatuses is temporary, the 1st communication apparatus does not transmit token acquisition information to the 2nd communication apparatus. On the other hand, when the communication connection is not temporary, that is, in the case of a permanent communication connection, the first communication device transmits token acquisition information to the second communication device.
As a result, it is possible to simplify complicated user operations associated with delegation of access authority, and the convenience of the user is improved. Furthermore, security risks associated with user operation errors are reduced.
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 The preferred embodiments of the present invention have been described in detail above, but the present invention is not limited to such specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims.・ Change is possible.
306 無線パラメタ管理部、307 通信判断部、308 権限管理部、309 認可コード取得部、310 認可コード送信部、311 送信判断部、312 トークン取得部、313 トークン送信部、314 無効判断部、315 トークン無効部、316 トークン更新部、317 リソース取得部 306 Wireless parameter management unit, 307 communication determination unit, 308 authority management unit, 309 authorization code acquisition unit, 310 authorization code transmission unit, 311 transmission determination unit, 312 token acquisition unit, 313 token transmission unit, 314 invalidity determination unit, 315 token Invalid part, 316 token update part, 317 resource acquisition part
Claims (10)
他の装置との通信が一時的か否かを判断する判断手段と、
前記判断手段により前記他の装置との通信が一時的でないと判断された場合、前記取得手段により取得された前記トークン取得情報を前記他の装置に送信する送信手段と、
を有する通信装置。 An acquisition means for acquiring token acquisition information used when acquiring a token indicating an access authority for a resource whose access authority is managed by the authorization service, from an authorization service;
Determining means for determining whether or not communication with another device is temporary;
A transmission means for transmitting the token acquisition information acquired by the acquisition means to the other apparatus when the determination means determines that communication with the other apparatus is not temporary;
A communication device.
前記送信手段は、前記判断手段により前記他の装置との通信が一時的であると判断された場合、前記トークン取得手段により取得された前記トークンを前記他の装置に送信する請求項1記載の通信装置。 When the determination unit determines that communication with the other device is temporary, the determination unit further includes a token acquisition unit that acquires the token using the token acquisition information acquired by the acquisition unit;
2. The transmission unit according to claim 1, wherein the transmission unit transmits the token acquired by the token acquisition unit to the other device when the determination unit determines that communication with the other device is temporary. Communication device.
前記第1の通信装置は、
認可サービスから、前記認可サービスによってアクセス権限を管理されたリソースに対するアクセス権限を示すトークンを取得する際に用いられるトークン取得情報を取得する取得手段と、
前記第2の通信装置との通信が一時的か否かを判断する判断手段と、
前記判断手段により前記第2の通信装置との通信が一時的でないと判断された場合、前記取得手段により取得された前記トークン取得情報を前記第2の通信装置に送信する送信手段と、
を有し、
前記第2の通信装置は、
前記トークン取得情報を前記第1の通信装置より受信すると、前記トークン取得情報を用いて前記認可サービスより前記トークンを取得するトークン取得手段と、
前記トークン取得手段により取得された前記トークンを用いて前記リソースに対してアクセスを行うアクセス手段と、
を有する通信システム。 A communication system including a first communication device and a second communication device,
The first communication device is:
An acquisition means for acquiring token acquisition information used when acquiring a token indicating an access authority for a resource whose access authority is managed by the authorization service, from an authorization service;
Determining means for determining whether communication with the second communication device is temporary;
A transmission unit that transmits the token acquisition information acquired by the acquisition unit to the second communication device when the determination unit determines that communication with the second communication device is not temporary;
Have
The second communication device is:
Upon receiving the token acquisition information from the first communication device, token acquisition means for acquiring the token from the authorization service using the token acquisition information;
Access means for accessing the resource using the token obtained by the token obtaining means;
A communication system.
前記判断手段により前記第2の装置との通信が一時的であると判断された場合、前記取得手段により取得された前記トークン取得情報を用いて前記トークンを取得するトークン取得手段を更に有し、
前記送信手段は、前記判断手段により前記第2の装置との通信が一時的であると判断された場合、前記トークン取得手段により取得された前記トークンを前記第2の装置に送信し、
前記トークン取得手段は、前記第1の通信装置からトークンが送信されてきた場合は、前記トークンを取得する請求項6記載の通信システム。 The first communication device is:
If the determination unit determines that communication with the second device is temporary, the determination unit further includes a token acquisition unit that acquires the token using the token acquisition information acquired by the acquisition unit;
The transmission means transmits the token acquired by the token acquisition means to the second apparatus when the determination means determines that communication with the second apparatus is temporary,
The communication system according to claim 6, wherein the token acquisition unit acquires the token when the token is transmitted from the first communication device.
認可サービスから、前記認可サービスによってアクセス権限を管理されたリソースに対するアクセス権限を示すトークンを取得する際に用いられるトークン取得情報を取得する取得ステップと、
他の装置との通信が一時的か否かを判断する判断ステップと、
前記判断ステップにより前記他の装置との通信が一時的でないと判断された場合、前記取得ステップにより取得された前記トークン取得情報を前記他の装置に送信する送信ステップと、
を含む情報処理方法。 An information processing method executed by a communication device,
An acquisition step of acquiring token acquisition information used when acquiring a token indicating an access authority for a resource whose access authority is managed by the authorization service from the authorization service;
A determination step of determining whether or not communication with another device is temporary;
If the determination step determines that communication with the other device is not temporary, a transmission step of transmitting the token acquisition information acquired by the acquisition step to the other device;
An information processing method including:
前記第1の通信装置が、認可サービスから、前記認可サービスによってアクセス権限を管理されたリソースに対するアクセス権限を示すトークンを取得する際に用いられるトークン取得情報を取得する取得ステップと、
前記第1の通信装置が、前記第2の通信装置との通信が一時的か否かを判断する判断ステップと、
前記第1の通信装置が、前記判断ステップにより前記第2の通信装置との通信が一時的でないと判断された場合、前記取得ステップにより取得された前記トークン取得情報を前記第2の通信装置に送信する送信ステップと、
前記第2の通信装置が、前記トークン取得情報を前記第1の通信装置より受信すると、前記トークン取得情報を用いて前記認可サービスより前記トークンを取得するトークン取得ステップと、
前記第2の通信装置が、前記トークン取得ステップにより取得された前記トークンを用いて前記リソースに対してアクセスを行うアクセスステップと、
を含む情報処理方法。 An information processing method in a communication system including a first communication device and a second communication device,
An acquisition step in which the first communication device acquires token acquisition information used when acquiring a token indicating an access authority to a resource whose access authority is managed by the authorization service from the authorization service;
A determination step in which the first communication device determines whether or not communication with the second communication device is temporary;
When the first communication device determines that the communication with the second communication device is not temporary in the determination step, the token acquisition information acquired in the acquisition step is transmitted to the second communication device. A sending step to send;
When the second communication device receives the token acquisition information from the first communication device, the token acquisition step of acquiring the token from the authorization service using the token acquisition information;
An access step in which the second communication device accesses the resource using the token acquired in the token acquisition step;
An information processing method including:
認可サービスから、前記認可サービスによってアクセス権限を管理されたリソースに対するアクセス権限を示すトークンを取得する際に用いられるトークン取得情報を取得する取得ステップと、
他の装置との通信が一時的か否かを判断する判断ステップと、
前記判断ステップにより前記他の装置との通信が一時的でないと判断された場合、前記取得ステップにより取得された前記トークン取得情報を前記他の装置に送信する送信ステップと、
を実行させるためのプログラム。 On the computer,
An acquisition step of acquiring token acquisition information used when acquiring a token indicating an access authority for a resource whose access authority is managed by the authorization service from the authorization service;
A determination step of determining whether or not communication with another device is temporary;
If the determination step determines that communication with the other device is not temporary, a transmission step of transmitting the token acquisition information acquired by the acquisition step to the other device;
A program for running
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012252405A JP5988841B2 (en) | 2012-11-16 | 2012-11-16 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012252405A JP5988841B2 (en) | 2012-11-16 | 2012-11-16 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014102561A true JP2014102561A (en) | 2014-06-05 |
JP2014102561A5 JP2014102561A5 (en) | 2015-09-17 |
JP5988841B2 JP5988841B2 (en) | 2016-09-07 |
Family
ID=51025051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012252405A Active JP5988841B2 (en) | 2012-11-16 | 2012-11-16 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5988841B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017027459A (en) * | 2015-07-24 | 2017-02-02 | キヤノン株式会社 | Authority delegation system, method of controlling the same, authorization server, and program |
JP2017107343A (en) * | 2015-12-08 | 2017-06-15 | キヤノン株式会社 | Authentication cooperation system, authentication cooperation method, authorization server, and program |
CN107077544A (en) * | 2014-10-29 | 2017-08-18 | 株式会社理光 | Information processing system, information processor and information processing method |
JP2018173778A (en) * | 2017-03-31 | 2018-11-08 | ブラザー工業株式会社 | Communication device |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007233705A (en) * | 2006-03-01 | 2007-09-13 | Nec Corp | Token transfer method, token transfer system, and authority authentication permission server |
JP2009087044A (en) * | 2007-09-28 | 2009-04-23 | Ntt Docomo Inc | Communication terminal device and community management device |
JP2009129214A (en) * | 2007-11-26 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | Authority transfer system, authority transfer method and authority transfer program |
WO2011112345A1 (en) * | 2010-03-12 | 2011-09-15 | Alcatel-Lucent Usa Inc. | Secure dynamic authority delegation |
-
2012
- 2012-11-16 JP JP2012252405A patent/JP5988841B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007233705A (en) * | 2006-03-01 | 2007-09-13 | Nec Corp | Token transfer method, token transfer system, and authority authentication permission server |
JP2009087044A (en) * | 2007-09-28 | 2009-04-23 | Ntt Docomo Inc | Communication terminal device and community management device |
JP2009129214A (en) * | 2007-11-26 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | Authority transfer system, authority transfer method and authority transfer program |
WO2011112345A1 (en) * | 2010-03-12 | 2011-09-15 | Alcatel-Lucent Usa Inc. | Secure dynamic authority delegation |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107077544A (en) * | 2014-10-29 | 2017-08-18 | 株式会社理光 | Information processing system, information processor and information processing method |
CN107077544B (en) * | 2014-10-29 | 2020-05-01 | 株式会社理光 | Information processing system, information processing apparatus, and information processing method |
JP2017027459A (en) * | 2015-07-24 | 2017-02-02 | キヤノン株式会社 | Authority delegation system, method of controlling the same, authorization server, and program |
JP2017107343A (en) * | 2015-12-08 | 2017-06-15 | キヤノン株式会社 | Authentication cooperation system, authentication cooperation method, authorization server, and program |
JP2018173778A (en) * | 2017-03-31 | 2018-11-08 | ブラザー工業株式会社 | Communication device |
Also Published As
Publication number | Publication date |
---|---|
JP5988841B2 (en) | 2016-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230154262A1 (en) | Decentralized virtual trustless database for access control | |
US11387978B2 (en) | Systems and methods for securing access rights to resources using cryptography and the blockchain | |
US9978023B2 (en) | System and method for using unique device identifiers to enhance security | |
US10102393B2 (en) | System and method for using unique device identifiers to enhance security | |
US11516200B2 (en) | Controlled token distribution to protect against malicious data and resource access | |
US20220067187A1 (en) | Enhanced processing and verification of digital access rights | |
US9319413B2 (en) | Method for establishing resource access authorization in M2M communication | |
US9319412B2 (en) | Method for establishing resource access authorization in M2M communication | |
US10841304B2 (en) | Device-to-device communication method including device-to-device authentication using hash chain | |
EP3050280B1 (en) | Network access | |
EP2285049B1 (en) | Communication system having management apparatus and user apparatus, management apparatus, user apparatus, and method of controlling the same | |
CN116074792A (en) | Automatic service registration in a machine-to-machine communication network | |
JP5988841B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, INFORMATION PROCESSING METHOD, AND PROGRAM | |
JP2020119458A (en) | Management device and control method thereof | |
EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
JP6385100B2 (en) | Information processing apparatus, information processing system, information processing apparatus control method, and computer program | |
JP6037434B2 (en) | Communications system | |
US11843594B2 (en) | Controlled token distribution to protect against malicious data and resource access | |
US20210150837A1 (en) | Decentralized virtual trustless database for access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150804 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150804 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160615 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160712 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160809 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5988841 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |