JP2017010494A - Industrial device functioning as web server - Google Patents

Industrial device functioning as web server Download PDF

Info

Publication number
JP2017010494A
JP2017010494A JP2015128476A JP2015128476A JP2017010494A JP 2017010494 A JP2017010494 A JP 2017010494A JP 2015128476 A JP2015128476 A JP 2015128476A JP 2015128476 A JP2015128476 A JP 2015128476A JP 2017010494 A JP2017010494 A JP 2017010494A
Authority
JP
Japan
Prior art keywords
session
access
web server
unit
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015128476A
Other languages
Japanese (ja)
Other versions
JP6537017B2 (en
Inventor
聡雄 高橋
Satoo Takahashi
聡雄 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2015128476A priority Critical patent/JP6537017B2/en
Publication of JP2017010494A publication Critical patent/JP2017010494A/en
Application granted granted Critical
Publication of JP6537017B2 publication Critical patent/JP6537017B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent session hijack by simple processing in an industrial device functioning as a Web server.SOLUTION: An industrial device functioning as a Web server comprises: a session management unit which identifies a series of access processing by using a session ID and, when picking up the session ID, records the session ID and device specification information of an access source in association with each other; and a determination unit which, with respect to an access for which a session ID is specified, determines whether device specification information of an access source of this access coincides with device specification information associated with the session ID or not. If the determination unit determines non-coincidence, the session management unit determines the access to be unauthorized.SELECTED DRAWING: Figure 1

Description

本発明は、Webサーバとして機能する工業用機器におけるセッション管理に関する。   The present invention relates to session management in industrial equipment that functions as a Web server.

コンピュータネットワークに接続し、Webサーバとして機能するペーパレスレコーダ、データロガー、波形表示装置等の工業用機器が実用化されている。Webサーバとして機能する工業用機器を用いることで、PC等の端末装置で動作する汎用的なWebブラウザを介して工業用機器のモニタリングを行なったり、工業用機器に対する各種設定を行なったりすることができるようになる。   Industrial equipment such as a paperless recorder, a data logger, and a waveform display device that are connected to a computer network and function as a Web server has been put into practical use. By using an industrial device that functions as a Web server, it is possible to monitor the industrial device or make various settings for the industrial device via a general-purpose Web browser that operates on a terminal device such as a PC. become able to.

一般に、工業用機器では、コンピュータネットワークにおけるコンテンツ送受信の標準的なプロトコルであるHTTP(Hypertext Transfer Protocol)を用いてWebサービスを提供しているが、HTTPはステートレスなプロトコルであり、一回のリクエストとレスポンスにより処理が完結する。このため、一連の処理であることを識別する仕組みは別途用意しなければならない。   In general, industrial equipment provides a web service using HTTP (Hypertext Transfer Protocol), which is a standard protocol for content transmission and reception in a computer network. HTTP is a stateless protocol, Processing is completed by response. For this reason, a mechanism for identifying a series of processes must be prepared separately.

ネットショッピング等の電子商取引を提供するWebサーバ等では、特定のWebクライアントとの一連の処理を管理する必要があることから、一連の処理をセッションIDで識別するセッション管理が広く行なわれている。セッション管理は、例えば、Cookieと呼ばれる仕組みが用いられている。   In a Web server or the like that provides electronic commerce such as online shopping, it is necessary to manage a series of processes with a specific Web client. Therefore, session management for identifying a series of processes by a session ID is widely performed. For session management, for example, a mechanism called Cookie is used.

Cookieを利用した従来のセッション管理について図4のブロック図および図5のフロー図を参照して説明する。図4に示すように、サーバ装置430と端末装置410とがコンピュータネットワーク480で接続しているものとする。端末装置410では、汎用的なWebブラウザ部420が動作していて、サーバ装置430が提供するWebサイトにアクセスしている。   Conventional session management using Cookie will be described with reference to the block diagram of FIG. 4 and the flowchart of FIG. As shown in FIG. 4, it is assumed that a server device 430 and a terminal device 410 are connected via a computer network 480. In the terminal device 410, a general-purpose web browser unit 420 is operating and accessing a web site provided by the server device 430.

サーバ装置430は、Webサーバ部440とログイン処理部450とユーザ管理部460とコマンド処理部470とを備えており、Webフロントエンドとして機能するWebサーバ部440には、セッション管理部441が設けられている。ユーザ管理部460では、登録ユーザのユーザIDとパスワードとを管理している。   The server device 430 includes a web server unit 440, a login processing unit 450, a user management unit 460, and a command processing unit 470. The web server unit 440 functioning as a web front end is provided with a session management unit 441. ing. The user management unit 460 manages user IDs and passwords of registered users.

端末装置410のユーザが、Webブラウザ部420を利用してアクセスしたWebサイト上で、入力要求にしたがってユーザIDとパスワードとを入力すると(図5:S401)、サーバ装置430のユーザ管理部460がユーザ認証を行なう(S402)。ここでは、端末装置410のユーザはユーザ登録を済ませており、ユーザとして認証されるものとする。   When a user of the terminal device 410 inputs a user ID and a password according to an input request on a Web site accessed using the Web browser unit 420 (FIG. 5: S401), the user management unit 460 of the server device 430 displays the user ID and password. User authentication is performed (S402). Here, it is assumed that the user of the terminal device 410 has completed user registration and is authenticated as a user.

セッション管理部441は、このアクセスに関する一連の処理を識別するためのセッションIDを採番し(S403)、所定の記憶領域に保存する(S404)。セッションIDは、例えば、テーブル形式で保存する。テーブルには、セッションIDの他に、例えば、タイムアウト時間、有効期限、使用/未使用フラグ等を記録しておく。テーブル形式ではなく、セッションID毎の個別ファイルで保存してもよい。   The session management unit 441 assigns a session ID for identifying a series of processes related to this access (S403), and stores it in a predetermined storage area (S404). The session ID is stored in a table format, for example. In addition to the session ID, for example, a timeout time, an expiration date, a used / unused flag, etc. are recorded in the table. Instead of the table format, the file may be stored as an individual file for each session ID.

そして、Webサーバ部440が、採番したセッションIDをCookieにセットし(S405)、ユーザ認証のレスポンスとしてCookieを含めた情報をWebブラウザ部420に送信する(S406)。Webブラウザ部420は、レスポンスに対応したWebページを表示するとともに、Cookieを記憶する。   Then, the Web server unit 440 sets the numbered session ID in Cookie (S405), and transmits information including Cookie as a response to user authentication to the Web browser unit 420 (S406). The web browser unit 420 displays a web page corresponding to the response and stores a cookie.

ユーザが、Webページ上でメニュークリック等の操作を行なうと、Webブラウザ部420は、操作に対応したコマンドとCookieにセットされたセッションIDをWebサーバ部440に送信する(S407)。   When the user performs an operation such as menu click on the Web page, the Web browser unit 420 transmits a command corresponding to the operation and a session ID set in Cookie to the Web server unit 440 (S407).

Webサーバ部440のセッション管理部441は、セッション管理用のテーブルを参照し、受信したセッションIDによりセッションを識別して、一連の処理であることを認識する(S408)。この際に、有効期限、タイムアウト等のチェックも行なう。そして、コマンド処理部470が、識別したセッションに対応したコマンド処理を行なって(S409)、Webサーバ部440が、セッションIDを含むレスポンスをWebブラウザ部420に送信する(S410)。   The session management unit 441 of the Web server unit 440 refers to the session management table, identifies the session based on the received session ID, and recognizes that this is a series of processing (S408). At this time, the expiration date, timeout, etc. are also checked. Then, the command processing unit 470 performs command processing corresponding to the identified session (S409), and the Web server unit 440 transmits a response including the session ID to the Web browser unit 420 (S410).

このように、Cookieを利用することによりセッション管理を行なうことができ、サーバ装置430は、セッションIDによりセッションを識別し、同一セッションIDであれば同一ユーザの同一のセッションが継続中であると判断することができる。   In this way, session management can be performed by using Cookie, and the server device 430 identifies the session by the session ID, and determines that the same session of the same user is continuing if the session ID is the same. can do.

特開2009−140163号公報JP 2009-140163 A 特開2015−52883号公報JP2015-52883A

セッションIDを用いることで、Webアクセスのセッション管理を行なうことができるが、工業用機器では、モニタリングを行なったり、各種設定を行なったりする程度のWebアクセスであることから、セッション管理の必要性に乏しく、従来、セッション管理は行なっていなかった。   Session management of Web access can be performed by using the session ID. However, in industrial equipment, since it is Web access to perform monitoring and various settings, it is necessary to manage sessions. In the past, session management was not performed.

しかしながら、近年のセキュリティ意識の高まりや、業界として遵守すべき標準規則の要求等から、工業用機器でもセッション管理の必要性が認識されるようになっている。例えば、工業用機器でセッション管理を行なうことで、コンピュータネットワークを介して受け付けたユーザ別の操作ログを記録することができるようになり、安全管理上有益な情報を蓄積することが可能となる。   However, due to the recent increase in security awareness and the requirement of standard rules to be observed by the industry, the necessity of session management has been recognized even for industrial equipment. For example, by performing session management with an industrial device, an operation log for each user accepted via a computer network can be recorded, and information useful for safety management can be accumulated.

ところで、工業用機器でセッション管理を行なうとすると、セッション管理の信頼性を高めるために、セッション管理に対する攻撃を考慮しなければならない。セッション管理に対する攻撃としては、セッションIDを不正に取得し、取得したセッションIDを用いて当事者になりすまして通信を行なうセッションハイジャックが代表的である。   By the way, if session management is performed with an industrial device, an attack on session management must be considered in order to increase the reliability of session management. A typical session attack is a session hijack in which a session ID is illegally acquired and communication is performed by impersonating a party using the acquired session ID.

セッションハイジャックを防ぐための技術として、例えば、特許文献1には、クライアントからの要求のたびにセッションIDを採番することが開示され、特許文献2には、サーバ側が管理する条件でセッションIDを採番することが開示されている。   As a technique for preventing session hijacking, for example, Patent Literature 1 discloses that a session ID is assigned for each request from a client, and Patent Literature 2 discloses a session ID under conditions managed by the server side. Is disclosed.

これらの技術をWebサーバとして機能する工業用機器に適用することでセッションハイジャックを防止することができるが、工業用機器におけるセッションID管理処理が煩雑となる。工業用機器では、測定、記録といった本来の処理に影響を与えないために、セッション管理の負荷は少ない方が好ましい。   Session hijacking can be prevented by applying these technologies to industrial equipment functioning as a Web server, but the session ID management processing in the industrial equipment becomes complicated. In industrial equipment, it is preferable that the load of session management is small in order not to affect the original processing such as measurement and recording.

そこで、本発明は、Webサーバとして機能する工業用機器において、簡易な処理でセッションハイジャックを防止できるようにすることを目的とする。   Therefore, an object of the present invention is to prevent session hijacking with a simple process in an industrial device that functions as a Web server.

上記課題を解決するため、本発明のWebサーバとして機能する工業用機器は、セッションIDを用いて一連のアクセス処理を識別するとともに、前記セッションIDの採番の際に、前記セッションIDとアクセス元の機器特定情報とを関連付けて記録するセッション管理部と、セッションIDが特定されたアクセスに対して、アクセス元の機器特定情報が、当該セッションIDと関連付けられた機器特定情報と一致するかどうかを判定する判定部とを備え、前記セッション管理部は、前記判定部が一致しないと判定した場合に当該アクセスを不正と判断することを特徴とする。
ここで、前記機器特定情報は、例えば、IPアドレスとすることができる。 In order to solve the above problems, an industrial device functioning as a Web server of the present invention identifies a series of access processing using a session ID, and at the time of numbering the session ID, the session ID and the access source A session management unit that records the device identification information in association with each other, and whether the device identification information of the access source matches the device identification information associated with the session ID for the access for which the session ID is identified. A determination unit that determines that the access is illegal when the determination unit determines that the determination units do not match.
Here, the device specifying information may be an IP address, for example.

本発明によれば、Webサーバとして機能する工業用機器において、簡易な処理でセッションハイジャックを防止できるようになる。   According to the present invention, session hijacking can be prevented with a simple process in an industrial device functioning as a Web server.

本実施形態の工業用機器を含んだネットワーク構成例を示すブロック図である。It is a block diagram which shows the network structural example containing the industrial apparatus of this embodiment. セッション管理用テーブルの構成例を示す図である。It is a figure which shows the structural example of the table for session management. 本実施形態の工業用機器の動作を説明するフロー図である。It is a flowchart explaining operation | movement of the industrial equipment of this embodiment. Cookieを利用した従来のセッション管理を説明するブロック図である。It is a block diagram explaining the conventional session management using Cookie. Cookieを利用した従来のセッション管理を説明するフロー図である。It is a flowchart explaining the conventional session management using Cookie.

本発明の実施の形態について図面を参照して説明する。図1は、本実施形態の工業用機器100を含んだネットワーク構成例を示すブロック図である。本図に示すように、Webサーバとして機能する工業用機器100と端末装置200とがコンピュータネットワーク300を介して接続しているものとする。   Embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram illustrating an example of a network configuration including the industrial device 100 of the present embodiment. As shown in this figure, it is assumed that an industrial device 100 functioning as a Web server and a terminal device 200 are connected via a computer network 300.

工業用機器100は、例えば、ペーパレスレコーダ、データロガー、波形表示装置等の計装機器とすることができるが、工業用途の機器であれば、これらの機器に限られない。   The industrial device 100 can be, for example, an instrument device such as a paperless recorder, a data logger, or a waveform display device, but is not limited to these devices as long as it is a device for industrial use.

端末装置200では、汎用的なWebブラウザ部210が動作していて、工業用機器100にアクセス可能となっている。端末装置200は、デスクトップ型コンピュータ、ノート型コンピュータ、タブレット型コンピュータ、スマートフォン等の一般的な情報処理装置を用いることができる。   In the terminal device 200, a general-purpose web browser unit 210 is operating and can access the industrial device 100. As the terminal device 200, a general information processing device such as a desktop computer, a notebook computer, a tablet computer, or a smartphone can be used.

工業用機器100は、Webサーバ部110とログイン処理部120とユーザ管理部130とコマンド処理部140とを備えている。なお、工業用機器100としての本来の動作である測定処理、記録処理等を行なうブロックは省略している。   The industrial device 100 includes a Web server unit 110, a login processing unit 120, a user management unit 130, and a command processing unit 140. Note that blocks for performing measurement processing, recording processing, and the like, which are the original operations of the industrial equipment 100, are omitted.

Webフロントエンドとして機能するWebサーバ部110には、セッション管理部111とIPアドレス判定部112とが設けられている。セッション管理部111は、端末装置200からのアクセスを受け付けると、セッションIDを採番してセッション管理用テーブルに記録する。   The web server unit 110 that functions as a web front end is provided with a session management unit 111 and an IP address determination unit 112. When receiving an access from the terminal device 200, the session management unit 111 assigns a session ID and records it in the session management table.

このとき、アクセス元の端末装置200のIPアドレスを取得して、採番したセッションIDと関連付けてセッション管理用テーブルに記録する。ただし、セッション管理用テーブル形式ではなく、セッション毎に個別のファイルに記録してもよい。   At this time, the IP address of the terminal device 200 as the access source is acquired and recorded in the session management table in association with the numbered session ID. However, instead of the session management table format, each session may be recorded in a separate file.

図2は、セッション管理用テーブルの構成例を示す図である。本図に示すように、セッション管理用テーブルは、セッションID、IPアドレス、タイムアウトカウントを関連付けて記録するテーブルである。さらに、ログイン情報、ユーザ権限、使用/未使用等の他の情報を関連付けて記録してもよい。セッション管理用テーブルは、Webサーバ部110が参照可能な所定の記憶領域に格納される。   FIG. 2 is a diagram illustrating a configuration example of a session management table. As shown in the figure, the session management table is a table that records a session ID, an IP address, and a timeout count in association with each other. Furthermore, other information such as login information, user authority, and used / unused information may be associated and recorded. The session management table is stored in a predetermined storage area that can be referred to by the Web server unit 110.

なお、タイムアウトカウントは、Webブラウザ部210からの次回アクセスまでのタイムアウトタイミングを内部タイマーのカウント値で表したものである。もちろん、タイムアウトカウントに限られず、有効期限を設けたり、タイムアウト時間を設定したりしてもよいし、タイムアウトを設定しないようにしてもよい。   The time-out count is a time-out timing until the next access from the web browser unit 210, which is represented by a count value of an internal timer. Of course, it is not limited to the timeout count, an expiration date may be set, a timeout time may be set, or a timeout may not be set.

セッション管理部111は、端末装置200からセッションIDを含んだアクセスを受け付けると、受け付けたセッションIDとセッション管理用テーブルとからセッションを特定する。受け付けたセッションIDがセッション管理用テーブルに登録されていない場合には、セッションIDが特定できないとしてアクセスを拒否する。あるいは、新たなアクセスとして取り扱って、セッションIDを採番してもよい。   When receiving an access including a session ID from the terminal device 200, the session management unit 111 identifies a session from the received session ID and the session management table. If the accepted session ID is not registered in the session management table, access is denied because the session ID cannot be specified. Or you may handle as new access and number session ID.

IPアドレス判定部112は、セッションIDが特定されたアクセスに係るIPアドレスが、セッション管理用テーブルでそのセッションIDに関連付けられているIPアドレスと一致するかどうかを判定する。セッション管理部111は、IPアドレス判定部112の判定の結果、IPアドレスが一致しない場合には、セッションハイジャックのおそれのある不正アクセスであると判断する。不正アクセスであると判断した場合には、例えば、コマンドを処理せずに、エラーのレスポンスを返す。あるいは、アクセスに対するレスポンスを返さないようにセッションを終了したり、不正である旨のレスポンスを行なうようにしてもよい。さらには、コマンドを処理せずに、送られてきたセッションIDを削除するようCookieに設定し、レスポンスを返してもよい。   The IP address determination unit 112 determines whether or not the IP address related to the access for which the session ID is specified matches the IP address associated with the session ID in the session management table. If the IP addresses do not match as a result of the determination by the IP address determination unit 112, the session management unit 111 determines that the access is an unauthorized access that may cause session hijacking. If it is determined that the access is unauthorized, for example, an error response is returned without processing the command. Alternatively, the session may be terminated so as not to return a response to access, or an invalid response may be sent. Further, the Cookie may be set so as to delete the transmitted session ID without processing the command, and a response may be returned.

ユーザ管理部130は、登録ユーザのユーザIDとパスワードとを管理する。ユーザ名、ユーザ属性等の情報を加えてもよい。コマンド処理部140は、端末装置200のWebブラウザ部210を介してユーザから受け付けたコマンドに対する処理を行なう。   The user management unit 130 manages the user ID and password of the registered user. Information such as a user name and user attributes may be added. The command processing unit 140 performs processing for a command received from the user via the Web browser unit 210 of the terminal device 200.

次に、本実施形態の工業用機器100の動作について図3のフロー図を参照して説明する。   Next, operation | movement of the industrial equipment 100 of this embodiment is demonstrated with reference to the flowchart of FIG.

端末装置200のユーザが、Webサーバ部110が提供するログイン画面でユーザIDとパスワードとを入力すると(S101)、工業用機器100のユーザ管理部130がユーザ認証を行なう(S102)。ここでは、端末装置200のユーザはユーザ登録を済ませており、ユーザとして認証されるものとする。   When the user of the terminal device 200 inputs the user ID and password on the login screen provided by the Web server unit 110 (S101), the user management unit 130 of the industrial device 100 performs user authentication (S102). Here, it is assumed that the user of the terminal device 200 has completed user registration and is authenticated as a user.

セッション管理部111は、このアクセスに関する一連の処理を識別するためのセッションIDを採番する(S103)。そして、アクセス元の端末装置200のIPアドレスと採番したセッションIDとを関連付けてセッション管理用テーブルに記録する(S104)。   The session management unit 111 assigns a session ID for identifying a series of processes related to this access (S103). Then, the IP address of the access source terminal device 200 is associated with the assigned session ID and recorded in the session management table (S104).

Webサーバ部110が、採番したセッションIDをCookieにセットし(S105)、ユーザ認証のレスポンスとしてCookieを含めた情報をWebブラウザ部210に送信する(S106)。Webブラウザ部210は、レスポンスに対応したWebページを表示するとともに、Cookieを記憶する。   The Web server unit 110 sets the numbered session ID in Cookie (S105), and transmits information including Cookie to the Web browser unit 210 as a user authentication response (S106). The web browser unit 210 displays a web page corresponding to the response and stores a cookie.

ユーザが、Webページ上でメニュークリック等の操作を行なうと、Webブラウザ部210は、操作に対応したコマンドとCookieにセットされたセッションIDをWebサーバ部110に送信する(S107)。   When the user performs an operation such as menu click on the Web page, the Web browser unit 210 transmits a command corresponding to the operation and a session ID set in Cookie to the Web server unit 110 (S107).

Webサーバ部110のセッション管理部111は、セッション管理用テーブルを参照し、受信したセッションIDによりセッションを識別して、一連の処理であることを認識する(S108)。具体的には、受信したセッションIDと一致するセッションIDがセッション管理用テーブルに記録されていれば、一連の処理であると判定する。   The session management unit 111 of the Web server unit 110 refers to the session management table, identifies the session based on the received session ID, and recognizes that this is a series of processing (S108). Specifically, if a session ID that matches the received session ID is recorded in the session management table, it is determined that the processing is a series of processes.

セッションIDによりセッションを識別すると、IPアドレス判定部112が、このアクセスのIPアドレスが、セッション管理用テーブルで識別されたセッションIDに関連付けられているIPアドレスと一致するかどうかを判定する(S109)。   When the session is identified by the session ID, the IP address determination unit 112 determines whether the IP address of this access matches the IP address associated with the session ID identified in the session management table (S109). .

その結果、IPアドレスが一致している場合には(S109:Yes)、セッションハイジャックのおそれがないものとして、コマンド処理部140が、識別したセッションに対応したコマンド処理を行なって(S110)、Webサーバ部110が、セッションIDを含むレスポンスをWebブラウザ部210に送信する(S111)。なお、タイムアウト等の他の条件は満たしているものとする。   As a result, if the IP addresses match (S109: Yes), the command processing unit 140 performs command processing corresponding to the identified session (S110), assuming that there is no possibility of session hijacking (S110). The Web server unit 110 transmits a response including the session ID to the Web browser unit 210 (S111). It is assumed that other conditions such as timeout are satisfied.

一方、IPアドレスが一致しない場合には(S109:No)、セッション管理部111は、セッションハイジャックのおそれのある不正アクセスであると判断する。そして、Webサーバ部110は、コマンドを処理せず、エラーのレスポンスを返す(S112)。   On the other hand, if the IP addresses do not match (S109: No), the session management unit 111 determines that the access is an unauthorized access that may cause session hijacking. Then, the Web server unit 110 does not process the command and returns an error response (S112).

このように、本実施形態の工業用機器100は、セッションIDとIPアドレスとを関連付けて記録し、セッションIDが識別されると、アクセス元のIPアドレスが、識別されたセッションIDに関連付けられて記録されているIPアドレスと一致するかどうかの判定を行なう。そして、IPアドレスが一致しない場合には不正アクセスとして判断する。これにより、簡易な処理でセッションハイジャックを防止することができる。   As described above, the industrial device 100 according to the present embodiment records the session ID and the IP address in association with each other, and when the session ID is identified, the access source IP address is associated with the identified session ID. It is determined whether or not it matches the recorded IP address. If the IP addresses do not match, it is determined as unauthorized access. Thereby, session hijacking can be prevented with simple processing.

なお、本発明の工業用機器は、上記の実施形態に限られず種々の変形が可能である。例えば、セッションハイジャックのおそれがあることの判断材料としてIPアドレスを利用したが、IPアドレスに限られず、アクセス元の通信機器を特定する情報であれば利用することができる。このため、IPアドレスに代えて、あるいは、IPアドレスに加えて、MACアドレス等の機器固有の識別子をセッション管理用テーブルに記録して一致不一致を判定するようにしてもよい。   In addition, the industrial apparatus of this invention is not restricted to said embodiment, A various deformation | transformation is possible. For example, the IP address is used as a material for determining that there is a possibility of session hijacking. However, the IP address is not limited to the IP address, and any information that identifies the access source communication device can be used. For this reason, instead of the IP address or in addition to the IP address, a device-specific identifier such as a MAC address may be recorded in the session management table to determine a match / mismatch.

また、工業用機器100に、あらかじめ登録されたIPアドレス以外からのアクセスを拒否する機能を持たせることで、さらに、安全管理を徹底させることができる。この場合、許可IPアドレスを登録した許可IPアドレステーブルを別途設けるとともに、アクセス要求があった際に、そのアクセスに係るIPアドレスが許可IPアドレステーブルに登録されている場合のみアクセスを許可する許可IPアドレス管理部を工業用機器100内に設ければよい。   Further, by providing the industrial device 100 with a function of denying access from other than IP addresses registered in advance, it is possible to further ensure safety management. In this case, a permission IP address table in which the permission IP address is registered is separately provided, and when an access request is made, the permission IP is permitted only when the IP address related to the access is registered in the permission IP address table. An address management unit may be provided in the industrial device 100.

また、上述の実施形態では、セッションハイジャックを防止するために、セッションIDとIPアドレスとを関連付けて記録するようにしていたが、さらに、アクセスの際のリンク元を示すリファラ情報を関連付けて記録するようにしてもよい。   In the above-described embodiment, in order to prevent session hijacking, the session ID and the IP address are recorded in association with each other. However, the referrer information indicating the link source at the time of access is recorded in association with each other. You may make it do.

リファラ情報を記録することにより、同一セッションID、同一IPアドレスであっても、リファラが異なるアクセスを拒否することで、クロスサイトリクエストフォージェリ対策を行なうことができるようになる。   By recording the referrer information, even if the same session ID and the same IP address are used, cross referral request forgery measures can be taken by the referrer refusing different accesses.

また、移動体端末装置のようにログイン後にIPアドレスが変化する可能性があるアクセス形態に対応するため、IPアドレス判定部112におけるIPアドレスの一致判定機能は、管理者の設定により停止できるようにしてもよい。   In addition, in order to cope with an access mode in which an IP address may change after login, such as a mobile terminal device, the IP address match determination function in the IP address determination unit 112 can be stopped by an administrator setting. May be.

100…工業用機器、110…サーバ部、111…セッション管理部、112…アドレス判定部、120…ログイン処理部、130…ユーザ管理部、140…コマンド処理部、200…端末装置、210…Webブラウザ部、300…コンピュータネットワーク DESCRIPTION OF SYMBOLS 100 ... Industrial equipment, 110 ... Server part, 111 ... Session management part, 112 ... Address determination part, 120 ... Login processing part, 130 ... User management part, 140 ... Command processing part, 200 ... Terminal apparatus, 210 ... Web browser 300, computer network

Claims (2)

Webサーバとして機能する工業用機器であって、
セッションIDを用いて一連のアクセス処理を識別するとともに、前記セッションIDの採番の際に、前記セッションIDとアクセス元の機器特定情報とを関連付けて記録するセッション管理部と、
セッションIDが特定されたアクセスに対して、アクセス元の機器特定情報が、当該セッションIDと関連付けられた機器特定情報と一致するかどうかを判定する判定部とを備え、
前記セッション管理部は、前記判定部が一致しないと判定した場合に当該アクセスを不正と判断することを特徴とする工業用機器。 An industrial device that functions as a Web server,
A session management unit that identifies a series of access processes using a session ID, and records the session ID and the device identification information of the access source in association with each other when the session ID is numbered,
A determination unit that determines whether or not the device identification information of the access source matches the device identification information associated with the session ID with respect to the access for which the session ID is identified;
The industrial device according to claim 1, wherein the session management unit determines that the access is illegal when it is determined that the determination units do not match. 前記機器特定情報は、IPアドレスであることを特徴とする請求項1に記載の工業用機器。   The industrial device according to claim 1, wherein the device identification information is an IP address.
JP2015128476A 2015-06-26 2015-06-26 Industrial equipment that functions as a web server Active JP6537017B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015128476A JP6537017B2 (en) 2015-06-26 2015-06-26 Industrial equipment that functions as a web server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015128476A JP6537017B2 (en) 2015-06-26 2015-06-26 Industrial equipment that functions as a web server

Publications (2)

Publication Number Publication Date
JP2017010494A true JP2017010494A (en) 2017-01-12
JP6537017B2 JP6537017B2 (en) 2019-07-03

Family

ID=57761575

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015128476A Active JP6537017B2 (en) 2015-06-26 2015-06-26 Industrial equipment that functions as a web server

Country Status (1)

Country Link
JP (1) JP6537017B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021077122A (en) * 2019-11-08 2021-05-20 株式会社グレスアベイル Program, information processor and information processing method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094473A (en) * 2002-08-30 2004-03-25 Hitachi Ltd Controller and its control method
JP2004213067A (en) * 2002-12-26 2004-07-29 Ricoh Co Ltd Service providing device, image forming device, service providing method and unauthorized use prevention method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094473A (en) * 2002-08-30 2004-03-25 Hitachi Ltd Controller and its control method
JP2004213067A (en) * 2002-12-26 2004-07-29 Ricoh Co Ltd Service providing device, image forming device, service providing method and unauthorized use prevention method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021077122A (en) * 2019-11-08 2021-05-20 株式会社グレスアベイル Program, information processor and information processing method
JP7027647B2 (en) 2019-11-08 2022-03-02 Egセキュアソリューションズ株式会社 Programs, information processing equipment and information processing methods

Also Published As

Publication number Publication date
JP6537017B2 (en) 2019-07-03

Similar Documents

Publication Publication Date Title
CN109428947B (en) Authority transfer system, control method thereof and storage medium
US9553858B2 (en) Hardware-based credential distribution
US20180351958A1 (en) System, method for the system, and storage medium for the method
CN109428891A (en) Permission transfer system and its control method and client
JP4718216B2 (en) Program, client authentication request method, server authentication request processing method, client, and server
US20130254857A1 (en) Preventing Unauthorized Account Access Using Compromised Login Credentials
US9178874B2 (en) Method, device and system for logging in through a browser application at a client terminal
CN104468553A (en) Method, device and system for login of public account
US11165768B2 (en) Technique for connecting to a service
JP2005234729A (en) Unauthorized access protection system and its method
US10277579B2 (en) Information processing system that provides a resource to an application of a terminal through a network
CN113051035A (en) Remote control method, device and system and host machine
JP2017049745A (en) Authentication server, authentication method and program
CN113812125B (en) Verification method and device for login behavior, system, storage medium and electronic device
JP6537017B2 (en) Industrial equipment that functions as a web server
JP3707381B2 (en) Login control method, login control system, and information recording medium recording login control program
JP6184316B2 (en) Login relay server device, login relay method, and program
US20220078307A1 (en) Apparatus, method, and program for processing job
JP6570090B2 (en) Router device and router device filtering method
JP2010187223A (en) Authentication server
JP5300794B2 (en) Content server and access control system
JP6080282B1 (en) Authentication processing system, authentication auxiliary server, and web display program
JP2008040590A (en) Computer system and access control method to computer
JP6611249B2 (en) Authentication server and authentication server program
US9992164B2 (en) User based stateless IPv6 RA-guard

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190513

R150 Certificate of patent or registration of utility model

Ref document number: 6537017

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190526