JP2017134623A - Management device, management method, program, terminal device, and control method - Google Patents

Management device, management method, program, terminal device, and control method Download PDF

Info

Publication number
JP2017134623A
JP2017134623A JP2016013900A JP2016013900A JP2017134623A JP 2017134623 A JP2017134623 A JP 2017134623A JP 2016013900 A JP2016013900 A JP 2016013900A JP 2016013900 A JP2016013900 A JP 2016013900A JP 2017134623 A JP2017134623 A JP 2017134623A
Authority
JP
Japan
Prior art keywords
terminal device
information
communication unit
unit
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016013900A
Other languages
Japanese (ja)
Other versions
JP6285474B2 (en
Inventor
渉 大神
Wataru Ogami
渉 大神
秀仁 五味
Hidehito Gomi
秀仁 五味
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yahoo Japan Corp
Original Assignee
Yahoo Japan Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yahoo Japan Corp filed Critical Yahoo Japan Corp
Priority to JP2016013900A priority Critical patent/JP6285474B2/en
Publication of JP2017134623A publication Critical patent/JP2017134623A/en
Application granted granted Critical
Publication of JP6285474B2 publication Critical patent/JP6285474B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a management device, a management method, a program, and a terminal device, which prevent secondary use of a service usage right.SOLUTION: A management device 200 has a communication unit 210 for communicating with terminal devices. When a request to execute a service usage right is received from a terminal device 100, the management device controls the communication unit 210 to send, to the terminal device 100, information for making the terminal device 100 send environment-dependent information thereof, and grants the execution of the service usage right on the basis of the environment-dependent information of the terminal device 100 received from the terminal device 100 by the communication unit 210.SELECTED DRAWING: Figure 1

Description

本発明は、管理装置、管理方法、プログラム、および端末装置に関する。   The present invention relates to a management device, a management method, a program, and a terminal device.

従来、サービスを提供する際に、そのサービスを受ける利用者の端末装置と通信して、正規な利用者であるか否かを認証する技術が知られている。一例として、サービス提供のリクエストにおいて指定されるサービスの識別情報が、Webブラウザのプラグイン拡張モジュールが保持するポリシー識別情報に関するレコードに登録されている場合に、サービスをWebブラウザに提供する技術が知られている。   2. Description of the Related Art Conventionally, when providing a service, a technique for authenticating whether the user is a legitimate user by communicating with a terminal device of a user who receives the service is known. As an example, a technique for providing a service to a Web browser when the service identification information specified in the service provision request is registered in a record relating to policy identification information held by the plug-in extension module of the Web browser is known. It has been.

特開2014−52692号公報JP 2014-52692 A

しかしながら、従来の技術では、同一の端末装置からの認証要求であるか否かを十分に確認することができない場合があった。この結果、サービスの利用権の二次利用を効果的に抑制することができない場合があった。   However, in the related art, there is a case where it cannot be sufficiently confirmed whether or not the authentication request is from the same terminal device. As a result, there are cases where secondary use of the service usage right cannot be effectively suppressed.

本発明は、このような事情を考慮してなされたものであり、サービスの利用権の二次利用を抑制することができる管理装置、管理方法、プログラム、および端末装置を提供することを目的の一つとする。   The present invention has been made in view of such circumstances, and an object of the present invention is to provide a management device, a management method, a program, and a terminal device that can suppress secondary usage of service usage rights. One.

本発明の一態様は、端末装置と通信する通信部と、前記通信部により、前記端末装置からサービスの利用権を行使する要求が受信された場合、前記端末装置の環境に依存する情報を送信させるための情報を、前記通信部を制御して前記端末装置に送信し、前記通信部により前記端末装置から受信された、前記端末装置の環境に依存する情報に基づいて、前記サービスの利用権の行使を許可する許可部と、を備える管理装置である。   According to an aspect of the present invention, when a communication unit that communicates with a terminal device and the communication unit receives a request for exercising the right to use a service from the terminal device, information that depends on an environment of the terminal device is transmitted. Information to be transmitted to the terminal device by controlling the communication unit, and based on information received from the terminal device by the communication unit depending on the environment of the terminal device, the right to use the service And a permission unit that permits the exercise of.

本発明の一態様によれば、サービスの利用権の二次利用を抑制することができる。   According to one aspect of the present invention, secondary use of service usage rights can be suppressed.

第1実施形態の端末装置100と管理装置200とを含む管理システム1の構成の一例を示す図である。It is a figure which shows an example of a structure of the management system 1 containing the terminal device 100 and the management apparatus 200 of 1st Embodiment. 電子チケットの購入時に実行される処理の流れの一例を示すシーケンス図である。It is a sequence diagram which shows an example of the flow of the process performed at the time of the purchase of an electronic ticket. 利用者情報242の内容の一例を示す図である。It is a figure which shows an example of the content of the user information. 記憶部240に記憶される情報の一例を示す図である。It is a figure which shows an example of the information memorize | stored in the memory | storage part 240. FIG. 電子チケットの使用時(サービスの利用権の行使時)に実行される処理の流れの一例を示すシーケンス図である。It is a sequence diagram which shows an example of the flow of the process performed when using an electronic ticket (at the time of exercising the use right of a service). 第2実施形態の端末装置100Aと管理装置200Aとを含む管理システム2の構成の一例を示す図である。It is a figure which shows an example of a structure of the management system 2 containing the terminal device 100A and management apparatus 200A of 2nd Embodiment. 第3実施形態の端末装置100Bと管理装置200Bとを含む管理システム3の構成の一例を示す図である。It is a figure which shows an example of a structure of the management system 3 containing the terminal device 100B and the management apparatus 200B of 3rd Embodiment. 第3実施形態において電子チケットの購入時に実行される処理の流れの一例を示すシーケンス図である。It is a sequence diagram which shows an example of the flow of the process performed at the time of the purchase of an electronic ticket in 3rd Embodiment. 第3実施形態において電子チケットの使用時(サービスの利用権の行使時)に実行される処理の流れの一例を示すシーケンス図である。It is a sequence diagram which shows an example of the flow of the process performed when using an electronic ticket (at the time of exercising the use right of a service) in 3rd Embodiment. 第4実施形態の端末装置100Cと管理装置200Cとを含む管理システム4の構成の一例を示す図である。It is a figure which shows an example of a structure of the management system 4 containing the terminal device 100C and management apparatus 200C of 4th Embodiment. 端末装置並びに管理装置のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of a terminal device and a management apparatus.

以下、図面を参照し、本発明の管理装置、管理方法、プログラム、および端末装置の実施形態について説明する。   Hereinafter, embodiments of a management device, a management method, a program, and a terminal device according to the present invention will be described with reference to the drawings.

実施形態の端末装置および管理装置が構成する管理システムは、サービスを受ける利用者が、サービスの利用権の購入時と行使時で、同じ端末装置を使用したことが確認された場合に、サービスの利用を許可するシステムである。サービスの利用権は、例えば電子チケットで具現化され、利用者は、端末装置により表示された電子チケットを提示することで、サービスが利用可能となる(サービスの利用権を行使することができる)。以下の実施形態では、これを前提として説明する。   The management system configured by the terminal device and the management device according to the embodiment is configured so that the user who receives the service can confirm that the service has been used when the user uses the same terminal device when purchasing and exercising the right to use the service. It is a system that permits use. The right to use the service is embodied by an electronic ticket, for example, and the user can use the service by presenting the electronic ticket displayed by the terminal device (the right to use the service can be exercised). . The following embodiment will be described on the assumption of this.

上記の処理によって、管理システムは、二次利用を抑制することができる。二次利用とは、例えば、購入者と異なる人が電子チケットを提示してサービスを受けることをいう。   By the above processing, the management system can suppress secondary usage. Secondary use refers to, for example, a person who is different from the purchaser presents an electronic ticket and receives a service.

<第1実施形態>
[構成]
図1は、第1実施形態の端末装置100と管理装置200とを含む管理システム1の構成の一例を示す図である。管理システム1は、管理装置200と通信する一以上の端末装置100を含む。 <First Embodiment>
[Constitution]
FIG. 1 is a diagram illustrating an example of a configuration of a management system 1 including a terminal device 100 and a management device 200 according to the first embodiment. The management system 1 includes one or more terminal devices 100 that communicate with the management device 200.

端末装置100は、管理装置200が管理するサービスを利用する利用者によって使用される端末装置である。端末装置100は、スマートフォンなどの携帯電話、タブレット端末、PDA(Personal Digital Assistant)、パーソナルコンピュータなどである。端末装置100は、上記列挙したものに限らず、図1に示す各機能を実現可能なものであれば、如何なるものであってもよい。   The terminal device 100 is a terminal device used by a user who uses a service managed by the management device 200. The terminal device 100 is a mobile phone such as a smartphone, a tablet terminal, a PDA (Personal Digital Assistant), a personal computer, or the like. The terminal device 100 is not limited to those listed above, and any terminal device 100 may be used as long as each function shown in FIG. 1 can be realized.

図1に示すように、端末装置100は、端末側通信部110と、入力部120と、表示部130と、制御部140とを含んでよいが、これに限定されない。端末側通信部110は、ネットワークNWを介して管理装置200の管理装置側通信部210と通信する。ネットワークNWは、セルラー網やWi−Fi網などを形成する無線基地局、各種LAN(Local Area Network)、通信回線、プロバイダ装置、およびインターネットなどのうち一部または全部を含む。   As illustrated in FIG. 1, the terminal device 100 may include a terminal-side communication unit 110, an input unit 120, a display unit 130, and a control unit 140, but is not limited thereto. The terminal side communication unit 110 communicates with the management apparatus side communication unit 210 of the management apparatus 200 via the network NW. The network NW includes a part or all of a wireless base station that forms a cellular network or a Wi-Fi network, various local area networks (LANs), communication lines, provider devices, and the Internet.

端末側通信部100は、ネットワークNWに接続するためのハードウェアを有する。例えば、端末側通信部100は、アンテナおよび送受信装置、またはNIC(Network Interface Card)などを有する。   The terminal-side communication unit 100 has hardware for connecting to the network NW. For example, the terminal-side communication unit 100 includes an antenna and a transmission / reception device, a NIC (Network Interface Card), or the like.

入力部120は、表示部130と一体として形成されるタッチパネル、各種キー、ボタン、ダイヤルスイッチ、マウスなどのうち一部または全部を含む。   The input unit 120 includes a part or all of a touch panel, various keys, buttons, dial switches, a mouse, and the like that are formed integrally with the display unit 130.

表示部130は、LCD(Liquid Crystal Display)や有機EL(Electroluminescence)表示装置などである。   The display unit 130 is an LCD (Liquid Crystal Display), an organic EL (Electroluminescence) display device, or the like.

制御部140は、表示制御部142と、認証要求部144と、FP(Fingerprinting)実行部146とを含んでよいが、これに限定されない。制御部140の各機能部は、CPU(Central Processing Unit)などのプロセッサがプログラムを実行することにより実現されてよい。実行されるプログラムは、予め端末装置100の記憶部(不図示)に記憶されたブラウザ、ブラウザによって管理装置200からダウンロードしたウェブページに包含されたスクリプト、アプリケーションプログラムの提供サーバ(不図示)からダウンロードされたアプリケーションプログラムなどのうち一部または全部を含む。例えば、FP実行部146は、ウェブページに包含されるFingerprintingスクリプトを実行することで実現される。また、ブラウザが実行される場合、表示制御部142と認証要求部144とは明確に区別されず、一体として動作してよい。   The control unit 140 may include a display control unit 142, an authentication request unit 144, and an FP (Fingerprinting) execution unit 146, but is not limited thereto. Each functional unit of the control unit 140 may be realized by a processor such as a CPU (Central Processing Unit) executing a program. A program to be executed is downloaded from a browser stored in a storage unit (not shown) of the terminal device 100 in advance, a script included in a web page downloaded from the management device 200 by the browser, or an application program providing server (not shown). Some or all of the application programs that have been executed are included. For example, the FP execution unit 146 is realized by executing a Fingerprinting script included in the web page. When the browser is executed, the display control unit 142 and the authentication request unit 144 are not clearly distinguished and may operate as one unit.

記憶部として、端末装置100は、RAM(Random Access Memory)やROM(Read Only Memory)、SSD(Solid State Drive)などのフラッシュメモリ、HDD(Hard Disk Drive)などを備える。   As a storage unit, the terminal device 100 includes a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory such as an SSD (Solid State Drive), an HDD (Hard Disk Drive), and the like.

表示制御部142は、入力部120に対してなされた操作に応じて、管理装置200その他から画像情報をダウンロードし、表示部130に表示させる。認証要求部144は、入力部120に対してなされた操作に応じて、管理装置200に対して認証要求を行う。FP実行部146は、管理装置200との間で行われる認証の過程で、Fingerprinting処理(以下、FP処理と称する)を実行する。これらの機能部の処理の詳細については後述する。   The display control unit 142 downloads image information from the management apparatus 200 and others according to an operation performed on the input unit 120 and causes the display unit 130 to display the image information. The authentication request unit 144 makes an authentication request to the management apparatus 200 in response to an operation performed on the input unit 120. The FP execution unit 146 executes Fingerprinting processing (hereinafter referred to as FP processing) in the course of authentication performed with the management apparatus 200. Details of the processing of these functional units will be described later.

管理装置200は、端末装置100に提供するサービスを管理する。管理装置200は、例えば、CPUなどのプロセッサを備える情報処理装置である。また、管理装置200は、インターネットを介してアクセス可能なウェブサーバであってよい。   The management device 200 manages services provided to the terminal device 100. The management device 200 is an information processing device including a processor such as a CPU, for example. The management device 200 may be a web server accessible via the Internet.

図1に示すように、管理装置200は、管理装置側通信部210と、購入処理部220と、許可部230と、記憶部240とを備える。   As illustrated in FIG. 1, the management apparatus 200 includes a management apparatus side communication unit 210, a purchase processing unit 220, a permission unit 230, and a storage unit 240.

管理装置側通信部210は、例えば、NICを含む。購入処理部220および許可部230は、CPUなどのプロセッサがプログラムを実行することにより実現されてよい。プログラムは、例えば、記憶部240に記憶されている。   The management device side communication unit 210 includes, for example, a NIC. The purchase processing unit 220 and the permission unit 230 may be realized by a processor such as a CPU executing a program. The program is stored in the storage unit 240, for example.

購入処理部220は、管理装置側通信部210により、端末装置100から電子チケットを購入する要求が受信された場合、端末装置100の環境に依存するFP処理によってFP結果を生成させるためのFingerprintingスクリプトおよび作成用権限情報244を、管理装置側通信部210を制御して端末装置100に送信する。購入要求の際のFingerprintingスクリプトおよび作成用権限情報244は、第1の情報の一例であり、FP結果は、第1の認証用情報の一例である。また、購入処理部220は、管理装置側通信部210により、端末装置100からFP結果が受信された場合、受信されたFP結果を記憶部240に記憶させる。   When the management device communication unit 210 receives a request to purchase an electronic ticket from the terminal device 100, the purchase processing unit 220 generates a FP result by FP processing depending on the environment of the terminal device 100. The creation authority information 244 is transmitted to the terminal device 100 by controlling the management device side communication unit 210. The Fingerprinting script and the creation authority information 244 at the time of purchase request are an example of the first information, and the FP result is an example of the first authentication information. In addition, when the management apparatus side communication unit 210 receives an FP result from the terminal device 100, the purchase processing unit 220 stores the received FP result in the storage unit 240.

許可部230は、管理装置側通信部210により、端末装置100から電子チケットの表示要求が受信された場合、端末装置100の環境に依存するFP処理によってFP結果を生成させるためのFingerprintingスクリプトおよび作成用権限情報244を、管理装置側通信部210を制御して端末装置100に送信する。この電子チケットの表示要求は、サービスの利用権を行使する要求の一例である。また、表示要求の際のFingerprintingスクリプトおよび作成用権限情報244は、第2の情報の一例であり、FP結果は、第2の認証用情報の一例である。また、許可部230は、管理装置側通信部210により、端末装置100からFP結果が受信された場合、記憶部240に記憶されたFP結果と、受信されたFP結果との比較に基づいて、電子チケットの表示を許可する。   The permission unit 230 generates and generates a Fingerprinting script for generating an FP result by FP processing depending on the environment of the terminal device 100 when the management device-side communication unit 210 receives an electronic ticket display request from the terminal device 100. The authority information 244 for use is transmitted to the terminal device 100 by controlling the communication device 210 on the management device side. This electronic ticket display request is an example of a request for exercising the right to use the service. Further, the Fingerprinting script and the creation authority information 244 at the time of the display request are examples of second information, and the FP result is an example of second authentication information. In addition, when the FP result is received from the terminal device 100 by the management device side communication unit 210, the permission unit 230, based on the comparison between the FP result stored in the storage unit 240 and the received FP result, Allow display of electronic tickets.

記憶部240には、上記プログラムの他、利用者情報242、作成用権限情報244、FP結果246、および券面情報248などの情報が記憶される。記憶部240として、管理装置200は、RAMやROM、SSDなどのフラッシュメモリ、HDDなどを備える。記憶部240は、管理装置200がLANやインターネットなどのネットワークを介してアクセス可能なNAS(Network Attached Storage)装置などを含んでもよい。すなわち、上記の各種情報のうち一部または全部は、管理装置200の外部の記憶装置に記憶されてもよい。   In addition to the above programs, the storage unit 240 stores information such as user information 242, creation authority information 244, FP results 246, and ticket information 248. As the storage unit 240, the management apparatus 200 includes a RAM, a ROM, a flash memory such as an SSD, an HDD, and the like. The storage unit 240 may include a NAS (Network Attached Storage) device that the management device 200 can access via a network such as a LAN or the Internet. That is, some or all of the various types of information described above may be stored in a storage device external to the management device 200.

ネットワークNWには、更に、決済サーバ300が接続される。決済サーバ300は、管理装置200からの指示に応じて、電子チケットの購入者に課金処理を行う。課金処理は、クレジットカードのシステムやインターネットバンキングを利用して行われてもよいし、端末装置100が携帯電話である場合には、端末装置100の利用料に加算することで行われてもよい。   A payment server 300 is further connected to the network NW. The settlement server 300 performs a billing process for the purchaser of the electronic ticket in accordance with an instruction from the management device 200. The charging process may be performed using a credit card system or Internet banking, or may be performed by adding to the usage fee of the terminal device 100 when the terminal device 100 is a mobile phone. .

[購入時の処理]
以下、管理システム1において実行される処理について、より具体的に説明する。図2は、電子チケットの購入時に実行される処理の流れの一例を示すシーケンス図である。なお、以下の説明では、端末装置100の制御部140は、ブラウザによって実現されるものとする。 [Purchase process]
Hereinafter, the process executed in the management system 1 will be described more specifically. FIG. 2 is a sequence diagram illustrating an example of a flow of processing executed when an electronic ticket is purchased. In the following description, it is assumed that the control unit 140 of the terminal device 100 is realized by a browser.

まず、端末装置100では、利用者の操作によってブラウザが起動する(S1)。ブラウザによって実現される表示制御部142は、ログイン画面を要求する情報(HTTPリクエスト)を管理装置200に送信する(S2)。管理装置200は、これに応答して、ログイン画面のウェブページを送信する(S3)。   First, in the terminal device 100, a browser is started by a user operation (S1). The display control unit 142 realized by the browser transmits information requesting a login screen (HTTP request) to the management apparatus 200 (S2). In response to this, the management device 200 transmits a web page of a login screen (S3).

次に、端末装置100では、ログイン画面に対して利用者のID(識別情報)およびパスワードの入力が行われる(S4)。端末装置100の認証要求部144は、入力された情報を管理装置200に送信する(S5)。   Next, in the terminal device 100, a user ID (identification information) and a password are input to the login screen (S4). The authentication request unit 144 of the terminal device 100 transmits the input information to the management device 200 (S5).

管理装置200の購入処理部220は、利用者情報242を参照することで、受信したIDおよびパスワードが、予め登録された利用者のIDおよびパスワードであるか否かを確認する(S6)。なお、IDおよびパスワードを用いた認証に限らず、SMS(ショートメッセージサービス)認証のような、他の種類の認証を行ってもよい。後述する第2、第3実施形態を含め、以下の説明において同様である。「他の種類の認証」とは、例えば、利用者に何らかの入力を要求することで行われる認証である。   The purchase processing unit 220 of the management apparatus 200 refers to the user information 242 to confirm whether or not the received ID and password are a user ID and password registered in advance (S6). It should be noted that other types of authentication such as SMS (Short Message Service) authentication may be performed in addition to authentication using an ID and a password. The same applies to the following description, including second and third embodiments to be described later. “Other types of authentication” is, for example, authentication performed by requesting a user for some input.

図3は、利用者情報242の内容の一例を示す図である。図3に示す利用者情報242には、利用者を識別するための情報の一例として、利用者のIDおよびパスワードが、互いに対応付けられて登録されているが、利用者情報242の内容はこれに限定されない。予め登録された利用者のIDおよびパスワードであることが確認されると、購入処理部220は、ログイン済画面を表示するためのウェブページを端末装置100に送信する(S7)。なお、当該利用者がログイン済であることがクッキーやWeb Storage機能などによって確認されている場合、S2〜S7の処理は省略されてよい。   FIG. 3 is a diagram illustrating an example of the contents of the user information 242. In the user information 242 shown in FIG. 3, as an example of information for identifying a user, a user ID and a password are registered in association with each other. It is not limited to. If it is confirmed that the user ID and password are registered in advance, the purchase processing unit 220 transmits a web page for displaying a logged-in screen to the terminal device 100 (S7). Note that if it is confirmed by the cookie or the Web Storage function that the user has been logged in, the processes of S2 to S7 may be omitted.

端末装置100では、表示制御部142により制御される表示画面に従って、購入される電子チケットの内容が利用者により決定され、その内容を示す購入情報が管理装置200に送信される(S8)。   In the terminal device 100, the content of the electronic ticket to be purchased is determined by the user according to the display screen controlled by the display control unit 142, and purchase information indicating the content is transmitted to the management device 200 (S8).

管理装置200の購入処理部220は、端末装置100から受信した購入情報に基づいて、作成用権限情報244を生成する(S9)。図2に示すように、作成用権限情報244は、任意のテキストまたは数値などによって生成されてよい。購入処理部220は、作成用権限情報244を端末装置100に送信する(S10)。ここで、購入処理部220は、例えば、購入を受け付けた旨を表示するためのウェブページに、作成用権限情報244とFingerprintingスクリプトとを包含させて端末装置100に送信する。   The purchase processing unit 220 of the management device 200 generates the creation authority information 244 based on the purchase information received from the terminal device 100 (S9). As shown in FIG. 2, the creation authority information 244 may be generated by arbitrary text or numerical values. The purchase processing unit 220 transmits the creation authority information 244 to the terminal device 100 (S10). Here, for example, the purchase processing unit 220 includes the creation authority information 244 and the Fingerprinting script in a web page for displaying that the purchase is accepted, and transmits the information to the terminal device 100.

Fingerprintingスクリプトが実行されることで、端末装置100のFP実行部146が起動する。FP実行部146は、以下に説明するFP処理を実行する(S11)。   When the Fingerprinting script is executed, the FP execution unit 146 of the terminal device 100 is activated. The FP execution unit 146 executes the FP process described below (S11).

FP実行部146は、端末装置100のハードウェアおよび/またはソフトウェアに関する環境の下で、管理装置200から受信した作成用権限情報244に基づいて、Canvas APIを利用してレンダリングを行い、画像データを生成する。この場合、FingerprintingスクリプトはCanvas Fingerprintingスクリプトである(またはCanvas Fingerprintingスクリプトを含む)。例えば、FP実行部146は、管理装置200から受信した作成用権限情報244を描画要素として、画像データを生成する。そして、FP実行部146は、画像データと、端末装置100のハードウェアおよび/またはソフトウェアに関する環境を示す情報とのハッシュ値を求めることで、FP結果を得る。ある情報のハッシュ値を求める(ハッシュ化する)ことは、所定の関数に上記情報を入力して符号化することの一例であり、後述する第2、第3、第4実施形態でも同様である。端末装置100のハードウェアおよび/またはソフトウェアに関する環境を示す情報には、例えば、UA(User Agent;ブラウザなど)、言語、色の深さ、解像度、タイムゾーン、セッションストレージの有無、ローカルストレージの有無、indexed DBの有無、open databaseの種類、CPUの種類、プラットフォーム、Do Not Trackの有無、インストールされているプラグインといった情報が含まれる。なお、FP実行部146は、画像データのハッシュ値と環境を示す情報のハッシュ値をそれぞれ求めてもよいし、これらを結合した情報のハッシュ値を求めてもよい。   The FP execution unit 146 performs rendering using the Canvas API based on the creation authority information 244 received from the management apparatus 200 under the environment related to the hardware and / or software of the terminal apparatus 100, and outputs image data. Generate. In this case, the Fingerprinting script is a Canvas Fingerprinting script (or includes a Canvas Fingerprinting script). For example, the FP execution unit 146 generates image data using the creation authority information 244 received from the management apparatus 200 as a drawing element. Then, the FP execution unit 146 obtains an FP result by obtaining a hash value of the image data and information indicating an environment related to the hardware and / or software of the terminal device 100. Obtaining (hashing) a hash value of certain information is an example of inputting the information into a predetermined function and encoding it, and the same applies to the second, third, and fourth embodiments described later. . Examples of information indicating the environment related to the hardware and / or software of the terminal device 100 include UA (User Agent; browser, etc.), language, color depth, resolution, time zone, presence / absence of session storage, presence / absence of local storage. , The presence / absence of indexed DB, open database type, CPU type, platform, presence / absence of Do Not Track, and installed plug-ins. Note that the FP execution unit 146 may obtain a hash value of image data and a hash value of information indicating an environment, or may obtain a hash value of information obtained by combining these.

作成用権限情報244は、例えば、ログインをしている利用者の情報と、後述する券面情報248の内容の一部とを含む。また、作成用権限情報244は、これのみを提示してもサービスの利用権を行使することができず、専ら券面情報248を端末装置100において表示可能にするために用いられる情報である。   The creation authority information 244 includes, for example, information of a logged-in user and a part of the contents of ticket surface information 248 described later. Also, the creation authority information 244 is information used to make it possible for the terminal device 100 to display the ticket face information 248 without exercising the right to use the service even if only this is presented.

レンダリングによって生成される画像データは、表示部130によって表示されず、専ら端末装置100の内部で処理されてよい(表示されても構わないが、特段の意味を持たない)。   The image data generated by the rendering may not be displayed by the display unit 130 but may be processed exclusively inside the terminal device 100 (may be displayed, but has no particular meaning).

ハッシュ値の元データとして採用される「環境を示す情報」は、FP結果のエントロピーが所望の値となるように、予め適宜選択されている。所望の値とは、FP結果が偶然に重複する可能性が十分に小さくなり、認証としての信頼度を確保できる程度の値である。また、これらの元データからは、ユーザによる端末装置100の設定変更に応じて変化しやすいものが除外されると好適である。   The “information indicating the environment” employed as the original data of the hash value is appropriately selected in advance so that the entropy of the FP result becomes a desired value. The desired value is a value with which the possibility that the FP results are accidentally duplicated is sufficiently small and the reliability as authentication can be secured. In addition, it is preferable that data that is likely to change according to a setting change of the terminal device 100 by the user is excluded from these original data.

FP実行部146は、FP結果を管理装置200に送信する(S12)。管理装置200の購入処理部220は、FP結果を記憶部240に記憶させる(S13)。また、購入処理部220は、券面情報248を生成し(S14)、端末装置100に送信する(S15)。図2に示すように、券面情報248は、サービスの一例であるコンサートの日時、アーティスト名、座席などの情報を含む。端末装置100の表示制御部142は、利用者が確認できるように、券面情報248の内容を表示部130に表示させる(S16)。   The FP execution unit 146 transmits the FP result to the management apparatus 200 (S12). The purchase processing unit 220 of the management device 200 stores the FP result in the storage unit 240 (S13). Further, the purchase processing unit 220 generates ticket face information 248 (S14) and transmits it to the terminal device 100 (S15). As illustrated in FIG. 2, the ticket information 248 includes information such as the date and time of a concert, an artist name, and a seat as an example of a service. The display control unit 142 of the terminal device 100 displays the contents of the ticket surface information 248 on the display unit 130 so that the user can check (S16).

管理装置200では、作成用権限情報244、FP結果246、および券面情報248を、例えば利用者情報242のIDに対応付けて記憶部240に記憶させる。図4は、記憶部240に記憶される情報の一例を示す図である。記憶部240に記憶される情報は、図4の例に限定されない。なお、これらの情報は、利用者情報242のテーブルに追加される形で記憶されてもよい。   In the management apparatus 200, the creation authority information 244, the FP result 246, and the ticket face information 248 are stored in the storage unit 240 in association with the ID of the user information 242, for example. FIG. 4 is a diagram illustrating an example of information stored in the storage unit 240. The information stored in the storage unit 240 is not limited to the example of FIG. These pieces of information may be stored in a form added to the user information 242 table.

[行使時の処理]
図5は、電子チケットの使用時(サービスの利用権の行使時)に実行される処理の流れの一例を示すシーケンス図である。 [Processing when exercising]
FIG. 5 is a sequence diagram illustrating an example of a flow of processing executed when an electronic ticket is used (when a service usage right is exercised).

まず、購入時と同様に、端末装置100では、利用者の操作によってブラウザが起動し(S21)、ブラウザによって実現される表示制御部142は、ログイン画面を要求する情報(HTTPリクエスト)を管理装置200に送信する(S22)。管理装置200は、これに応答して、ログイン画面のウェブページを送信する(S23)。   First, similarly to the purchase, in the terminal device 100, a browser is activated by a user's operation (S21), and the display control unit 142 realized by the browser stores information (HTTP request) for requesting a login screen as a management device. 200 (S22). In response to this, the management device 200 transmits a web page of the login screen (S23).

次に、端末装置100では、ログイン画面に対して利用者のID(識別情報)およびパスワードの入力が行われる(S24)。端末装置100の認証要求部144は、入力された情報を管理装置200に送信する(S25)。   Next, in the terminal device 100, a user ID (identification information) and a password are input on the login screen (S24). The authentication request unit 144 of the terminal device 100 transmits the input information to the management device 200 (S25).

管理装置200の購入処理部220は、利用者情報242を参照することで、受信したIDおよびパスワードが、予め登録された利用者のIDおよびパスワードであるか否かを確認する(S26)。予め登録された利用者のIDおよびパスワードであることが確認されると、購入処理部220は、ログイン済画面を表示するためのウェブページを端末装置100に送信する(S27)。なお、当該利用者がログイン済であることがクッキー等によって確認されている場合、S22〜S27の処理は省略されてよい。   The purchase processing unit 220 of the management apparatus 200 refers to the user information 242 to confirm whether or not the received ID and password are a user ID and password registered in advance (S26). When it is confirmed that the user ID and password are registered in advance, the purchase processing unit 220 transmits a web page for displaying the logged-in screen to the terminal device 100 (S27). Note that when it is confirmed by a cookie or the like that the user has logged in, the processing of S22 to S27 may be omitted.

次に、利用者によって電子チケットを表示するための操作がなされると、端末装置100の認証要求部144は、作成用権限情報244の送信を管理装置200に要求する(S28)。管理装置200の許可部230は、ログインしている利用者のIDに対応する作成用権限情報244を記憶部240から読出し、端末装置100に送信する(S29)。ここで、許可部230は、例えば、認証処理中であることを表示するためのウェブページに、作成用権限情報244とFingerprintingスクリプトとを包含させて端末装置100に送信する。   Next, when the user performs an operation for displaying an electronic ticket, the authentication requesting unit 144 of the terminal device 100 requests the management device 200 to transmit the creation authority information 244 (S28). The permission unit 230 of the management device 200 reads the creation authority information 244 corresponding to the ID of the logged-in user from the storage unit 240 and transmits it to the terminal device 100 (S29). Here, for example, the permission unit 230 includes the creation authority information 244 and the Fingerprinting script in a web page for displaying that the authentication process is being performed, and transmits the information to the terminal device 100.

Fingerprintingスクリプトが実行されることで、端末装置100のFP実行部146が起動する。FP実行部146は、購入時と同様に、端末装置100のハードウェアおよび/またはソフトウェアに関する環境の下で、管理装置200から受信した作成用権限情報244とを元に、Canvas APIを利用してレンダリングを行い、画像データを生成し、画像データの各画素値のハッシュ値を求め、データ量を低減させた指紋データ(FP結果)を得るFP処理を実行する(S30)。この場合、FingerprintingスクリプトはCanvas Fingerprintingスクリプトである(またはCanvas Fingerprintingスクリプトを含む)。   When the Fingerprinting script is executed, the FP execution unit 146 of the terminal device 100 is activated. The FP execution unit 146 uses the Canvas API based on the creation authority information 244 received from the management apparatus 200 under the environment related to the hardware and / or software of the terminal apparatus 100 as in the purchase. Rendering is performed to generate image data, a hash value of each pixel value of the image data is obtained, and FP processing for obtaining fingerprint data (FP result) with a reduced data amount is executed (S30). In this case, the Fingerprinting script is a Canvas Fingerprinting script (or includes a Canvas Fingerprinting script).

FP実行部146は、FP結果を管理装置200に送信する(S31)。管理装置200の許可部230は、端末装置100から受信したFP結果を、記憶部240に記憶された当該利用者のIDに対応するFP結果と比較して、これらが合致するか否かを確認(判定)する(S32)。なお、「合致する」とは、完全に一致することと、一致する必要のある一部が一致することとの双方を含んでよい。これらが合致する場合、許可部230は、利用者のIDに対応する券面情報248に基づいて、電子チケットの画像を表示するための情報を端末装置100に送信する(S33)。端末装置100の表示制御部142は、電子チケットを表示部130に表示させる(S34)。これによって、利用者は、電子チケットを提示してサービスを受けることが可能となる。なお、電子チケットには、機械によって読み取り可能な二次元コードやバーコードなどのコード情報が含まれてよい。   The FP execution unit 146 transmits the FP result to the management apparatus 200 (S31). The permission unit 230 of the management device 200 compares the FP result received from the terminal device 100 with the FP result corresponding to the user ID stored in the storage unit 240 and confirms whether or not they match. (Determine) (S32). Note that “match” may include both a complete match and a part that needs to match. If they match, the permission unit 230 transmits information for displaying an image of the electronic ticket to the terminal device 100 based on the ticket surface information 248 corresponding to the user ID (S33). The display control unit 142 of the terminal device 100 displays the electronic ticket on the display unit 130 (S34). As a result, the user can receive the service by presenting the electronic ticket. The electronic ticket may include code information such as a two-dimensional code and a bar code that can be read by a machine.

[効果]
以上説明した処理によって、第1の実施形態の管理装置200は、同一の端末装置100からの認証要求であるか否かを確認することができる。FP処理は、端末装置100の環境に基づいてFP結果を生成するものであるため、異なる端末装置100によって生成されたFP結果は、異なる可能性が高いからである。この結果、電子チケットその他で表されるサービスの利用権の二次利用がなされるのを抑制することができる。 [effect]
Through the processing described above, the management apparatus 200 according to the first embodiment can confirm whether or not the authentication request is from the same terminal apparatus 100. This is because the FP process generates an FP result based on the environment of the terminal device 100, and therefore, the FP results generated by different terminal devices 100 are likely to be different. As a result, secondary use of the right to use the service represented by an electronic ticket or the like can be suppressed.

また、第1の実施形態の端末装置100は、管理装置200に、同一の端末装置100からの認証要求であるか否かを確認させることができる。   Further, the terminal device 100 according to the first embodiment can cause the management device 200 to confirm whether or not the request is an authentication request from the same terminal device 100.

また、第1の実施形態の端末装置100と管理装置200で構成する管理システム1によれば、サービスの利用権を行使する際に利用者に要求される操作が、IDおよびパスワードの入力と、利用権の行使を要求する操作とで済むため、利用者が煩わしさを覚えるのを抑制することができる。また、管理システム1によれば、上記説明した手順がFingerprintingスクリプトをウェブページに包含させることで実現可能であるため、導入コストや運用コストを少なくすることができる。   Further, according to the management system 1 configured by the terminal device 100 and the management device 200 of the first embodiment, an operation required for the user when exercising the right to use the service is performed by inputting an ID and a password, Since the operation for requesting the use right is sufficient, it is possible to prevent the user from feeling troublesome. Moreover, according to the management system 1, since the procedure described above can be realized by including the Fingerprinting script in the web page, the introduction cost and the operation cost can be reduced.

また、管理システム1によれば、FP結果による認証処理に先立って、例えばIDおよびパスワードを用いた認証を行い、IDに対応付けられた作成用権限情報144を用いてFP処理を行うため、偶然に同じFP結果を得ることで不当にサービスが享受されるといった事態が生じるのを抑制することができる。また、これによって、偶然に同じFP結果を得た異なる利用者が不当にトラッキングされるのを抑制することができる。   Further, according to the management system 1, since authentication using, for example, an ID and a password is performed prior to the authentication process based on the FP result, and the FP process is performed using the creation authority information 144 associated with the ID, it is a coincidence. It is possible to suppress the occurrence of an unjustly enjoyed service by obtaining the same FP result. In addition, this makes it possible to prevent different users who accidentally obtained the same FP result from being unfairly tracked.

<第2実施形態>
以下、第2実施形態について説明する。第2実施形態における第1実施形態と同様の機能を有する部分については、第1実施形態と同一の符号を付し、重複した説明を省略する場合がある。 Second Embodiment
Hereinafter, a second embodiment will be described. In the second embodiment, portions having the same functions as those in the first embodiment are denoted by the same reference numerals as those in the first embodiment, and redundant description may be omitted.

[構成]
図6は、第2実施形態の端末装置100Aと管理装置200Aとを含む管理システム2の構成の一例を示す図である。管理システム2は、管理装置200Aと通信する一以上の端末装置100Aを含む。 [Constitution]
FIG. 6 is a diagram illustrating an example of a configuration of the management system 2 including the terminal device 100A and the management device 200A according to the second embodiment. The management system 2 includes one or more terminal devices 100A that communicate with the management device 200A.

端末装置100Aは、管理装置200Aが管理するサービスを利用する利用者によって使用される端末装置である。端末装置100Aは、スマートフォンなどの携帯電話、タブレット端末、PDA、パーソナルコンピュータなどである。端末装置100Aは、上記列挙したものに限らず、図6に示す各機能を実現可能なものであれば、如何なるものであってもよい。   The terminal device 100A is a terminal device used by a user who uses a service managed by the management device 200A. The terminal device 100A is a mobile phone such as a smartphone, a tablet terminal, a PDA, or a personal computer. The terminal device 100 </ b> A is not limited to those listed above, and may be any device as long as it can realize the functions illustrated in FIG. 6.

図6に示すように、端末装置100Aは、端末側通信部110と、入力部120と、表示部130と、制御部140と、記憶部150とを含んでよいが、これに限定されない。記憶部150として、端末装置100Aは、RAMやROM、SSDなどのフラッシュメモリ、HDDなどを備える。記憶部150には、検証用秘密鍵152などの情報が記憶される。検証用秘密鍵152は、例えば、管理装置200Aが管理するサービスへの加入時に管理装置200Aから取得されてもよいし、端末装置100Aの購入時に予め記憶部150に格納されていてもよい。   As illustrated in FIG. 6, the terminal device 100A may include a terminal-side communication unit 110, an input unit 120, a display unit 130, a control unit 140, and a storage unit 150, but is not limited thereto. As the storage unit 150, the terminal device 100A includes a RAM, a ROM, a flash memory such as an SSD, an HDD, and the like. Information such as the verification private key 152 is stored in the storage unit 150. For example, the verification private key 152 may be acquired from the management device 200A when subscribing to a service managed by the management device 200A, or may be stored in the storage unit 150 in advance when the terminal device 100A is purchased.

制御部140は、表示制御部142と、認証要求部144と、FP実行部146とを含んでよいが、これに限定されない。制御部140の各機能部は、CPUなどのプロセッサがプログラムを実行することにより実現されてよい。実行されるプログラムは、予め端末装置100Aの記憶部150に記憶されたブラウザ、ブラウザによって管理装置200Aからダウンロードしたウェブページに包含されたスクリプト、アプリケーションプログラムの提供サーバ(不図示)からダウンロードされたアプリケーションプログラムなどのうち一部または全部を含む。例えば、FP実行部146は、ウェブページに包含されるFingerprintingスクリプトを実行することで実現される。また、ブラウザが実行される場合、表示制御部142と認証要求部144とは明確に区別されず、一体として動作してよい。   The control unit 140 may include a display control unit 142, an authentication request unit 144, and an FP execution unit 146, but is not limited thereto. Each functional unit of the control unit 140 may be realized by a processor such as a CPU executing a program. The program to be executed includes a browser stored in advance in the storage unit 150 of the terminal device 100A, a script included in a web page downloaded from the management device 200A by the browser, and an application downloaded from an application program providing server (not shown). Includes some or all of the program. For example, the FP execution unit 146 is realized by executing a Fingerprinting script included in the web page. When the browser is executed, the display control unit 142 and the authentication request unit 144 are not clearly distinguished and may operate as one unit.

表示制御部142は、入力部120に対してなされた操作に応じて、管理装置200Aその他から画像情報をダウンロードし、表示部130に表示させる。認証要求部144は、入力部120に対してなされた操作に応じて、管理装置200Aに対して認証要求を行う。FP実行部146は、管理装置200Aとの間で行われる認証の過程で、Fingerprinting処理(以下、FP処理と称する)を実行する。これらの機能部の処理の詳細については後述する。   The display control unit 142 downloads image information from the management apparatus 200 </ b> A and others according to an operation performed on the input unit 120, and causes the display unit 130 to display the image information. The authentication request unit 144 makes an authentication request to the management apparatus 200A in response to an operation performed on the input unit 120. The FP execution unit 146 executes Fingerprinting processing (hereinafter referred to as FP processing) in the course of authentication performed with the management apparatus 200A. Details of the processing of these functional units will be described later.

管理装置200Aは、端末装置100Aに提供するサービスを管理する。管理装置200Aは、例えば、CPUなどのプロセッサを備える情報処理装置である。また、管理装置200Aは、インターネットを介してアクセス可能なウェブサーバであってよい。   The management device 200A manages services provided to the terminal device 100A. 200 A of management apparatuses are information processing apparatuses provided with processors, such as CPU, for example. Further, the management apparatus 200A may be a web server accessible via the Internet.

図6に示すように、管理装置200Aは、管理装置側通信部210と、購入処理部220と、許可部230と、記憶部240とを備える。   As illustrated in FIG. 6, the management apparatus 200 </ b> A includes a management apparatus side communication unit 210, a purchase processing unit 220, a permission unit 230, and a storage unit 240.

管理装置側通信部210は、例えば、NICを含む。購入処理部220および許可部230は、CPUなどのプロセッサがプログラムを実行することにより実現されてよい。プログラムは、例えば、記憶部240に記憶されている。   The management device side communication unit 210 includes, for example, a NIC. The purchase processing unit 220 and the permission unit 230 may be realized by a processor such as a CPU executing a program. The program is stored in the storage unit 240, for example.

購入処理部220は、管理装置側通信部210により、端末装置100Aから電子チケットを購入する要求が受信された場合、端末装置100Aが保有する検証用秘密鍵152を用いてFP結果を生成させるためのFingerprintingスクリプト、および作成用権限情報244を、管理装置側通信部210を制御して端末装置100Aに送信する。購入要求の際のFingerprintingスクリプトおよび作成用権限情報244は、第1の情報の一例であり、FP結果は、第1の認証用情報の一例である。また、購入処理部220は、管理装置側通信部210により、端末装置100AからFP結果が受信された場合、受信されたFP結果を記憶部240に記憶させる。   When the management device side communication unit 210 receives a request to purchase an electronic ticket from the terminal device 100A, the purchase processing unit 220 generates an FP result using the verification private key 152 held by the terminal device 100A. The fingerprinting script and the creation authority information 244 are transmitted to the terminal device 100 </ b> A by controlling the management device side communication unit 210. The Fingerprinting script and the creation authority information 244 at the time of purchase request are an example of the first information, and the FP result is an example of the first authentication information. In addition, when the management apparatus side communication unit 210 receives an FP result from the terminal device 100 </ b> A, the purchase processing unit 220 stores the received FP result in the storage unit 240.

許可部230は、管理装置側通信部210により、端末装置100Aから電子チケットを表示する要求が受信された場合、端末装置100Aが保有する検証用秘密鍵152を用いてFP結果を生成させためのFingerprintingスクリプト、および作成用権限情報244を、管理装置側通信部210を制御して端末装置100Aに送信する。表示要求の際のFingerprintingスクリプトおよび作成用権限情報244は、第2の情報の一例であり、FP結果は、第2の認証用情報の一例である。また、許可部230は、購入時の処理によって記憶部240に記憶されたFP結果246、検証用公開鍵250、および管理装置側通信部210により受信されたFP結果に基づいて検証を行い、検証結果に基づいて電子チケットの表示を許可する。   When the management device side communication unit 210 receives a request to display an electronic ticket from the terminal device 100A, the permission unit 230 uses the verification private key 152 held by the terminal device 100A to generate an FP result. The fingerprint printing script and the creation authority information 244 are transmitted to the terminal device 100A by controlling the management device side communication unit 210. The Fingerprinting script and the creation authority information 244 at the time of the display request are examples of second information, and the FP result is an example of second authentication information. In addition, the permission unit 230 performs verification based on the FP result 246 stored in the storage unit 240 by the process at the time of purchase, the verification public key 250, and the FP result received by the management apparatus-side communication unit 210. Allows display of electronic tickets based on the results.

記憶部240には、上記プログラムの他、利用者情報242、作成用権限情報244、FP結果246、券面情報248、および検証用公開鍵250などの情報が記憶される。記憶部240として、管理装置200Aは、RAMやROM、SSDなどのフラッシュメモリ、HDDなどを備える。記憶部240は、管理装置200AがLANやインターネットなどのネットワークを介してアクセス可能なNAS装置などを含んでもよい。すなわち、上記の各種情報のうち一部または全部は、管理装置200Aの外部の記憶装置に記憶されてもよい。   In addition to the above programs, the storage unit 240 stores information such as user information 242, creation authority information 244, FP result 246, bill face information 248, and verification public key 250. As the storage unit 240, the management apparatus 200A includes a RAM, a ROM, a flash memory such as an SSD, an HDD, and the like. The storage unit 240 may include a NAS device that can be accessed by the management device 200A via a network such as a LAN or the Internet. That is, some or all of the various types of information may be stored in a storage device external to the management device 200A.

ネットワークNWには、更に、決済サーバ300が接続される。決済サーバ300は、管理装置200Aからの指示に応じて、電子チケットの購入者に課金処理を行う。課金処理は、クレジットカードのシステムやインターネットバンキングを利用して行われてもよいし、端末装置100Aが携帯電話である場合には、端末装置100Aの利用料に加算することで行われてもよい。   A payment server 300 is further connected to the network NW. The settlement server 300 performs an accounting process for the purchaser of the electronic ticket in accordance with an instruction from the management device 200A. The billing process may be performed using a credit card system or Internet banking, or may be performed by adding to the usage fee of the terminal device 100A when the terminal device 100A is a mobile phone. .

[FP処理および検証]
第2実施形態の管理システム2において実行される処理の流れは、第1実施形態において図2および図5を用いて説明したものと、処理順に関して同様であるため、これを援用することとして詳細な説明を省略する。 [FP processing and verification]
The flow of processing executed in the management system 2 of the second embodiment is the same as that described in the first embodiment with reference to FIGS. 2 and 5 in terms of the processing order. The detailed explanation is omitted.

第2実施形態において、端末装置100AによりFP処理(図2のS11または図5のS30)として実行される処理は、第1実施形態と異なる。以下、これについて説明する。   In the second embodiment, processing executed as FP processing (S11 in FIG. 2 or S30 in FIG. 5) by the terminal device 100A is different from that in the first embodiment. This will be described below.

第2実施形態におけるFP実行部146は、購入時と、行使時の双方において、端末装置100Aのハードウェアおよび/またはソフトウェアに関する環境を示す情報、および/または作成用権限情報244をハッシュ化し、端末装置に固有の検証用秘密鍵152を用いてハッシュ値に署名したデータをFP結果として管理装置200Aに送信する。なお、FP実行部146は、環境を示す情報のハッシュ値と作成用権限情報244のハッシュ値をそれぞれ求めてもよいし、これらを結合した情報のハッシュ値を求めてもよい。環境を示す情報については、第1実施形態で例示したものと同様である。   The FP execution unit 146 in the second embodiment hashes the information indicating the hardware and / or software environment of the terminal device 100A and / or the creation authority information 244 both at the time of purchase and at the time of purchase. The data signed in the hash value using the verification private key 152 unique to the apparatus is transmitted to the management apparatus 200A as the FP result. The FP execution unit 146 may obtain the hash value of the information indicating the environment and the hash value of the creation authority information 244, or may obtain the hash value of information obtained by combining these. The information indicating the environment is the same as that exemplified in the first embodiment.

第2実施形態における購入処理部220は、第1実施形態と同様、購入時の処理において端末装置100Aから受信したFP結果を、FP結果246として記憶部240に記憶させる。あるいは、第2実施形態における購入処理部220は、FP結果を検証用公開鍵250で検証した結果をFP結果246として記憶部240に記憶させてもよい。   Similar to the first embodiment, the purchase processing unit 220 in the second embodiment causes the storage unit 240 to store the FP result received from the terminal device 100A in the process at the time of purchase as the FP result 246. Alternatively, the purchase processing unit 220 in the second embodiment may store the result of verifying the FP result with the verification public key 250 in the storage unit 240 as the FP result 246.

また、第2実施形態における許可部230は、行使時の処理において端末装置100Aから受信したFP結果と、記憶部240に記憶されたFP結果246と、検証用公開鍵250とに基づいて、サービスの利用権の行使を許可する。より具体的には、第2実施形態における許可部230は、端末装置100Aから受信したFP結果に対して検証用公開鍵250を用いて検証を行い、記憶部240に記憶させたFP結果246と比較して、端末装置100Aの環境を示す情報に変化が無いことが確認された場合に、サービスの利用権の行使を許可する。   In addition, the permission unit 230 in the second embodiment performs a service based on the FP result received from the terminal device 100A in the processing at the time of exercise, the FP result 246 stored in the storage unit 240, and the verification public key 250. Allows the use of the right to use More specifically, the permission unit 230 in the second embodiment verifies the FP result received from the terminal device 100A using the verification public key 250, and stores the FP result 246 stored in the storage unit 240. In comparison, when it is confirmed that there is no change in the information indicating the environment of the terminal device 100A, the right to use the service is permitted.

[効果]
以上説明した処理によって、第2の実施形態の管理装置200Aは、同一の端末装置100Aからの認証要求であるか否かを確認することができる。端末装置100Aにおいて実行される各種情報の生成処理は、端末装置100Aの環境に基づいて行われるものであるため、異なる端末装置100Aによって生成された各種情報は、異なる可能性が高いからである。この結果、電子チケットその他で表されるサービスの利用権の二次利用がなされるのを抑制することができる。 [effect]
Through the processing described above, the management device 200A of the second embodiment can confirm whether or not the authentication request is from the same terminal device 100A. This is because the various information generation processing executed in the terminal device 100A is performed based on the environment of the terminal device 100A, and thus various types of information generated by different terminal devices 100A are likely to be different. As a result, secondary use of the right to use the service represented by an electronic ticket or the like can be suppressed.

また、第2の実施形態の端末装置100Aは、管理装置200Aに、同一の端末装置100Aからの認証要求であるか否かを確認させることができる。   Further, the terminal device 100A of the second embodiment can cause the management device 200A to confirm whether or not the authentication request is from the same terminal device 100A.

また、第2の実施形態の端末装置100Aと管理装置200Aで構成する管理システム2によれば、サービスの利用権を行使する際に利用者に要求される操作が、IDおよびパスワードの入力と、利用権の行使を要求する操作とで済むため、利用者が煩わしさを覚えるのを抑制することができる。   Further, according to the management system 2 configured by the terminal device 100A and the management device 200A of the second embodiment, an operation required for the user when exercising the right to use the service is performed by inputting an ID and a password, Since the operation for requesting the use right is sufficient, it is possible to prevent the user from feeling troublesome.

<第3実施形態>
以下、第3実施形態について説明する。第3実施形態における第1実施形態または第2実施形態と同様の機能を有する部分については、第1実施形態または第2実施形態と同一の符号を付し、重複した説明を省略する場合がある。 <Third Embodiment>
Hereinafter, the third embodiment will be described. In the third embodiment, portions having the same functions as those in the first embodiment or the second embodiment are denoted by the same reference numerals as those in the first embodiment or the second embodiment, and redundant description may be omitted. .

[構成]
図7は、第3実施形態の端末装置100Bと管理装置200Bとを含む管理システム3の構成の一例を示す図である。管理システム3は、管理装置200Bと通信する一以上の端末装置100Bを含む。第2実施形態と比較すると、管理装置200Bの記憶部240には、FP結果246に代えて端末環境情報252が記憶されている点で相違する。端末環境情報252は、管理装置200Bにアクセスする可能性がある端末装置100Bのハードウェアおよび/またはソフトウェアに関する環境を示す情報である。端末環境情報252は、例えば、管理装置200Bが管理するサービスへの加入時に、端末装置100Bから管理装置200Bに送信されて登録されてもよいし、端末装置100Bの購入時に自動的に管理装置200Bに登録されてもよい。 [Constitution]
FIG. 7 is a diagram illustrating an example of a configuration of the management system 3 including the terminal device 100B and the management device 200B according to the third embodiment. The management system 3 includes one or more terminal devices 100B that communicate with the management device 200B. Compared with the second embodiment, the storage unit 240 of the management apparatus 200B is different in that terminal environment information 252 is stored instead of the FP result 246. The terminal environment information 252 is information indicating an environment related to hardware and / or software of the terminal device 100B that may access the management device 200B. The terminal environment information 252 may be transmitted and registered from the terminal device 100B to the management device 200B when, for example, joining a service managed by the management device 200B, or automatically when the terminal device 100B is purchased. May be registered.

[処理の流れ]
図8は、第3実施形態において電子チケットの購入時に実行される処理の流れの一例を示すシーケンス図である。なお、以下の説明では、端末装置100Bの制御部140は、ブラウザによって実現されるものとする。 [Process flow]
FIG. 8 is a sequence diagram illustrating an example of a flow of processing executed when an electronic ticket is purchased in the third embodiment. In the following description, it is assumed that the control unit 140 of the terminal device 100B is realized by a browser.

まず、端末装置100Bでは、利用者の操作によってブラウザが起動する(S41)。ブラウザによって実現される表示制御部142は、ログイン画面を要求する情報(HTTPリクエスト)を管理装置200Bに送信する(S42)。管理装置200Bは、これに応答して、ログイン画面のウェブページを送信する(S43)。   First, in the terminal device 100B, a browser is activated by a user operation (S41). The display control unit 142 realized by the browser transmits information requesting a login screen (HTTP request) to the management apparatus 200B (S42). In response to this, the management device 200B transmits the web page of the login screen (S43).

次に、端末装置100Bでは、ログイン画面に対して利用者のID(識別情報)およびパスワードの入力が行われる(S44)。端末装置100Bの認証要求部144は、入力された情報を管理装置200Bに送信する(S45)。   Next, in the terminal device 100B, a user ID (identification information) and a password are input to the login screen (S44). The authentication request unit 144 of the terminal device 100B transmits the input information to the management device 200B (S45).

管理装置200Bの購入処理部220は、利用者情報242を参照することで、受信したIDおよびパスワードが、予め登録された利用者のIDおよびパスワードであるか否かを確認する(S46)。なお、IDおよびパスワードを用いた認証に限らず、SMS(ショートメッセージサービス)認証のような、他の種類の認証を行ってもよい。以下の説明においても同様である。「他の種類の認証」とは、例えば、利用者に何らかの入力を要求することで行われる認証である。   The purchase processing unit 220 of the management apparatus 200B refers to the user information 242 to confirm whether or not the received ID and password are a user ID and password registered in advance (S46). It should be noted that other types of authentication such as SMS (Short Message Service) authentication may be performed in addition to authentication using an ID and a password. The same applies to the following description. “Other types of authentication” is, for example, authentication performed by requesting a user for some input.

購入処理部220は、ログイン済画面を表示するためのウェブページを端末装置100Bに送信する(S47)。なお、当該利用者がログイン済であることがクッキーやWeb Storage機能などによって確認されている場合、S42〜S47の処理は省略されてよい。   The purchase processing unit 220 transmits a web page for displaying the logged-in screen to the terminal device 100B (S47). If it is confirmed by the cookie or the Web Storage function that the user has been logged in, the processes of S42 to S47 may be omitted.

端末装置100Bでは、表示制御部142により制御される表示画面に従って、購入される電子チケットの内容が利用者により決定され、その内容を示す購入情報が管理装置200Bに送信される(S48)。   In the terminal device 100B, the content of the electronic ticket to be purchased is determined by the user according to the display screen controlled by the display control unit 142, and purchase information indicating the content is transmitted to the management device 200B (S48).

管理装置200Bの購入処理部220は、端末装置100Bから受信した購入情報に基づいて、作成用権限情報244を生成する(S49)。購入処理部220は、作成用権限情報244を端末装置100Bに送信する(S50)。作成用権限情報244は第1実施形態と同様の内容であってよい。   The purchase processing unit 220 of the management device 200B generates the creation authority information 244 based on the purchase information received from the terminal device 100B (S49). The purchase processing unit 220 transmits the creation authority information 244 to the terminal device 100B (S50). The creation authority information 244 may have the same contents as in the first embodiment.

端末装置100Bの認証要求部144は、管理装置200Bから受信した作成用権限情報244を記憶部150に記憶させる(S51)。これによって、購入時の処理が終了する。なお、端末装置100Bにおいて、作成用権限情報244に基づく券面情報の確認画面が表示されてもよい。   The authentication request unit 144 of the terminal device 100B stores the creation authority information 244 received from the management device 200B in the storage unit 150 (S51). Thereby, the process at the time of purchase ends. In the terminal device 100B, a check screen for the ticket information based on the creation authority information 244 may be displayed.

[行使時の処理]
図9は、第3実施形態において電子チケットの使用時(サービスの利用権の行使時)に実行される処理の流れの一例を示すシーケンス図である。 [Processing when exercising]
FIG. 9 is a sequence diagram illustrating an example of a flow of processing executed when the electronic ticket is used (when the service usage right is exercised) in the third embodiment.

まず、購入時と同様に、端末装置100Bでは、利用者の操作によってブラウザが起動し(S61)、ブラウザによって実現される表示制御部142は、ログイン画面を要求する情報(HTTPリクエスト)を管理装置200Bに送信する(S62)。管理装置200Bは、これに応答して、ログイン画面のウェブページを送信する(S63)。   First, in the terminal device 100B, as in the purchase, the browser is activated by the user's operation (S61), and the display control unit 142 realized by the browser manages the information (HTTP request) for requesting the login screen. It transmits to 200B (S62). In response to this, the management apparatus 200B transmits a web page of the login screen (S63).

次に、端末装置100Bでは、ログイン画面に対して利用者のID(識別情報)およびパスワードの入力が行われる(S64)。端末装置100Bの認証要求部144は、入力された情報を管理装置200Bに送信する(S65)。   Next, in the terminal device 100B, a user ID (identification information) and a password are input on the login screen (S64). The authentication request unit 144 of the terminal device 100B transmits the input information to the management device 200B (S65).

管理装置200Bの購入処理部220は、利用者情報242を参照することで、受信したIDおよびパスワードが、予め登録された利用者のIDおよびパスワードであるか否かを確認する(S66)。予め登録された利用者のIDおよびパスワードであることが確認されると、購入処理部220は、ログイン済画面を表示するためのウェブページを端末装置100Bに送信する(S67)。なお、当該利用者がログイン済であることがクッキー等によって確認されている場合、S62〜S67の処理は省略されてよい。   The purchase processing unit 220 of the management apparatus 200B refers to the user information 242 to confirm whether or not the received ID and password are a user ID and password registered in advance (S66). If it is confirmed that the user ID and password are registered in advance, the purchase processing unit 220 transmits a web page for displaying the logged-in screen to the terminal device 100B (S67). If it is confirmed by a cookie or the like that the user has been logged in, the processes of S62 to S67 may be omitted.

次に、利用者によって電子チケットを表示するための操作がなされると、端末装置100BのFP実行部144は、端末装置100Bのハードウェアおよび/またはソフトウェアに関する環境を示す情報、および/または作成用権限情報244をハッシュ化し、検証用秘密鍵152を用いてハッシュ値に署名する(S68:FP処理)。そして、FP実行部144は、署名したデータをFP結果として管理装置200Bに送信する(S69)。   Next, when an operation for displaying an electronic ticket is performed by the user, the FP execution unit 144 of the terminal device 100B displays information indicating the hardware and / or software environment of the terminal device 100B and / or creation. The authority information 244 is hashed and the hash value is signed using the verification private key 152 (S68: FP processing). Then, the FP execution unit 144 transmits the signed data as an FP result to the management apparatus 200B (S69).

管理装置200Bの許可部230は、受信したFP結果に対して、検証用公開鍵250を用いて検証を行い、検証結果が、予め当該端末装置100Bについて取得されている端末環境情報252、および/または作成用権限情報244を、端末装置100Bと同じ手法で(例えば同じハッシュ関数で)ハッシュ化したハッシュ値と合致するか否かを判定する(S70)。これらが合致する場合、許可部230は、利用者のIDに対応する券面情報248に基づいて、電子チケットの画像を表示するための情報を端末装置100に送信する(S71)。端末装置100の表示制御部142は、電子チケットを表示部130に表示させる(S72)。これによって、利用者は、電子チケットを提示してサービスを受けることが可能となる。なお、電子チケットには、機械によって読み取り可能な二次元コードやバーコードなどのコード情報が含まれてよい。   The permission unit 230 of the management apparatus 200B verifies the received FP result using the verification public key 250, and the verification result is obtained in advance for the terminal environment information 252 acquired for the terminal apparatus 100B, and / or Alternatively, it is determined whether or not the creation authority information 244 matches the hash value hashed by the same method as the terminal device 100B (for example, by the same hash function) (S70). If they match, the permission unit 230 transmits information for displaying an image of the electronic ticket to the terminal device 100 based on the ticket surface information 248 corresponding to the user ID (S71). The display control unit 142 of the terminal device 100 displays the electronic ticket on the display unit 130 (S72). As a result, the user can receive the service by presenting the electronic ticket. The electronic ticket may include code information such as a two-dimensional code and a bar code that can be read by a machine.

[効果]
以上説明した処理によって、第3の実施形態の管理装置200Bは、同一の端末装置100Bからの認証要求であるか否かを確認することができる。FP処理は、端末装置100Bの環境に基づいてFP結果を生成するものであるため、異なる端末装置100Bによって生成されたFP結果は、異なる可能性が高いからである。この結果、電子チケットその他で表されるサービスの利用権の二次利用がなされるのを抑制することができる。 [effect]
Through the processing described above, the management device 200B of the third embodiment can confirm whether or not the authentication request is from the same terminal device 100B. This is because the FP process generates an FP result based on the environment of the terminal device 100B, and therefore, the FP results generated by different terminal devices 100B are likely to be different. As a result, secondary use of the right to use the service represented by an electronic ticket or the like can be suppressed.

また、第3の実施形態の端末装置100Bは、管理装置200Bに、同一の端末装置100Bからの認証要求であるか否かを確認させることができる。   Further, the terminal device 100B of the third embodiment can cause the management device 200B to confirm whether or not the authentication request is from the same terminal device 100B.

また、第3の実施形態の端末装置100Bと管理装置200Bで構成する管理システム3によれば、サービスの利用権を行使する際に利用者に要求される操作が、IDおよびパスワードの入力と、利用権の行使を要求する操作とで済むため、利用者が煩わしさを覚えるのを抑制することができる。   Further, according to the management system 3 configured by the terminal device 100B and the management device 200B of the third embodiment, an operation required for the user when exercising the right to use the service is performed by inputting an ID and a password, Since the operation for requesting the use right is sufficient, it is possible to prevent the user from feeling troublesome.

また、第3の実施形態の管理システム3によれば、利用者の意図した範囲内での二次利用を許容することも可能となる。この場合、管理装置200Bの記憶部240に登録される端末環境情報252として、サービスの利用権を購入した利用者とは異なる利用者の端末装置の環境を示す情報を登録しておけばよい。これによって、サービスの利用権を相手にプレゼントするといった利用態様を実現すると共に、その相手以外の第三者による二次利用を抑制することができる。すなわち、相手を厳格に指定した二次利用(サービスの利用権の譲渡)を実現することができる。   Further, according to the management system 3 of the third embodiment, it is possible to allow secondary usage within the range intended by the user. In this case, as terminal environment information 252 registered in the storage unit 240 of the management apparatus 200B, information indicating the environment of the terminal device of a user different from the user who purchased the service usage right may be registered. As a result, it is possible to realize a usage mode in which the right to use the service is presented to the other party and to suppress secondary usage by a third party other than the other party. That is, it is possible to realize secondary use (transfer of service usage rights) in which a partner is strictly specified.

<第4実施形態>
以下、第4実施形態について説明する。第4実施形態における第1から第3実施形態と同様の機能を有する部分については、第1から第3実施形態と同一の符号を付し、重複した説明を省略する場合がある。 <Fourth embodiment>
The fourth embodiment will be described below. Parts having the same functions as those in the first to third embodiments in the fourth embodiment are denoted by the same reference numerals as those in the first to third embodiments, and redundant description may be omitted.

図10は、第4実施形態の端末装置100Cと管理装置200Cとを含む管理システム4の構成の一例を示す図である。管理システム4は、管理装置200Cと通信する一以上の端末装置100Cを含む。第3実施形態と比較すると、管理装置200Cの記憶部240には、端末環境情報252が記憶されている必要が無い点で相違する。   FIG. 10 is a diagram illustrating an example of a configuration of the management system 4 including the terminal device 100C and the management device 200C according to the fourth embodiment. The management system 4 includes one or more terminal devices 100C that communicate with the management device 200C. Compared with the third embodiment, the storage unit 240 of the management device 200C is different in that the terminal environment information 252 does not need to be stored.

第4実施形態の管理システム4において実行される処理の流れは、第3実施形態において図8および図9を用いて説明したものと、処理順に関して同様であるため、これを援用することとして詳細な説明を省略する。   The flow of processing executed in the management system 4 of the fourth embodiment is the same as that described with reference to FIGS. 8 and 9 in the third embodiment with respect to the processing order. The detailed explanation is omitted.

第4実施形態におけるFP実行部146は、サービスの利用権の行使時において、端末装置100Cのハードウェアおよび/またはソフトウェアに関する環境を示す情報、および/または作成用権限情報244をハッシュ化して第1のハッシュ値を求め、端末装置に固有の検証用秘密鍵152を用いて第1のハッシュ値に署名した署名データと、環境を示す情報および/または作成用権限情報244とをFP結果として管理装置200Cに送信する。なお、FP実行部146は、環境を示す情報のハッシュ値と作成用権限情報244のハッシュ値をそれぞれ求めてもよいし、これらを結合した情報のハッシュ値を求めてもよい。環境を示す情報については、第1実施形態で例示したものと同様である。   In the fourth embodiment, the FP execution unit 146 hashes the information indicating the hardware and / or software environment of the terminal device 100C and / or the creation authority information 244 at the time of exercising the right to use the service. The management apparatus uses the signature data obtained by signing the first hash value using the verification private key 152 unique to the terminal device and the environment information and / or creation authority information 244 as the FP result. Send to 200C. The FP execution unit 146 may obtain the hash value of the information indicating the environment and the hash value of the creation authority information 244, or may obtain the hash value of information obtained by combining these. The information indicating the environment is the same as that exemplified in the first embodiment.

第4実施形態における許可部230は、行使時の処理において端末装置100Cから受信したFP結果に含まれる、環境を示す情報および/または作成用権限情報244を、端末装置100Cと同じ手法で(例えば同じハッシュ関数で)ハッシュ化して第2のハッシュ値を求める。そして許可部230は、FP結果に含まれる署名データを検証用公開鍵250を用いて検証して得られる第1のハッシュ値と、第2のハッシュ値とが合致する場合に、サービスの利用権の行使を許可する。   In the fourth embodiment, the permission unit 230 uses the same technique as that for the terminal device 100C to display the environment information and / or the creation authority information 244 included in the FP result received from the terminal device 100C during the exercise process (for example, Hashing (with the same hash function) to obtain a second hash value. When the first hash value obtained by verifying the signature data included in the FP result using the verification public key 250 matches the second hash value, the permission unit 230 uses the right to use the service. Allow the exercise of.

[効果]
以上説明した処理によって、第4の実施形態の管理装置200Cは、同一の端末装置100Cからの認証要求であるか否かを確認することができる。端末装置100Cにおいて実行される各種情報の生成処理は、端末装置100Cの環境に基づいて行われるものであるため、異なる端末装置100Cによって生成された各種情報は、異なる可能性が高いからである。この結果、電子チケットその他で表されるサービスの利用権の二次利用がなされるのを抑制することができる。 [effect]
Through the processing described above, the management apparatus 200C of the fourth embodiment can confirm whether or not the request is an authentication request from the same terminal apparatus 100C. This is because the various information generation processing executed in the terminal device 100C is performed based on the environment of the terminal device 100C, and thus various information generated by different terminal devices 100C is highly likely to be different. As a result, secondary use of the right to use the service represented by an electronic ticket or the like can be suppressed.

また、第4の実施形態の端末装置100Cは、管理装置200Cに、同一の端末装置100Cからの認証要求であるか否かを確認させることができる。   In addition, the terminal device 100C of the fourth embodiment can cause the management device 200C to check whether or not the authentication request is from the same terminal device 100C.

また、第4の実施形態の端末装置100Cと管理装置200Cで構成する管理システム4によれば、サービスの利用権を行使する際に利用者に要求される操作が、IDおよびパスワードの入力と、利用権の行使を要求する操作とで済むため、利用者が煩わしさを覚えるのを抑制することができる。   Further, according to the management system 4 configured by the terminal device 100C and the management device 200C of the fourth embodiment, an operation required for the user when exercising the right to use the service is performed by inputting an ID and a password, Since the operation for requesting the use right is sufficient, it is possible to prevent the user from feeling troublesome.

<ハードウェア構成>
図11は、端末装置100、100A、100B、または100C(以下、端末装置)、並びに管理装置200、200A、200B、または200C(以下、管理装置)のハードウェア構成を示す図である。本図は、端末装置がスマートフォンなどの携帯電話である例を示している。端末装置は、CPU100−1、RAM100−2、ROM100−3、フラッシュメモリなどの二次記憶装置100−4、タッチパネル100−5、および無線通信モジュール100−6が、内部バスあるいは専用通信線によって相互に接続された構成となっている。無線通信モジュール100−6は端末側通信部110に対応し、タッチパネル100−5は入力部120および表示部130に対応する。また、二次記憶装置100−4に記憶されたプログラムがDMA(Direct Memory Access)コントローラ(不図示)などによってRAM100−2に展開され、CPU100−1によって実行されることで、制御部140の一部または全部、或いは制御部150の一部または全部が実現される。 <Hardware configuration>
FIG. 11 is a diagram illustrating a hardware configuration of the terminal device 100, 100A, 100B, or 100C (hereinafter, terminal device) and the management device 200, 200A, 200B, or 200C (hereinafter, management device). This figure shows an example in which the terminal device is a mobile phone such as a smartphone. The terminal device includes a CPU 100-1, a RAM 100-2, a ROM 100-3, a secondary storage device 100-4 such as a flash memory, a touch panel 100-5, and a wireless communication module 100-6, which are mutually connected by an internal bus or a dedicated communication line. It is the composition connected to. The wireless communication module 100-6 corresponds to the terminal-side communication unit 110, and the touch panel 100-5 corresponds to the input unit 120 and the display unit 130. In addition, the program stored in the secondary storage device 100-4 is expanded in the RAM 100-2 by a DMA (Direct Memory Access) controller (not shown) or the like and executed by the CPU 100-1, so that Part or all, or part or all of the control unit 150 is realized.

管理装置は、NIC200−1、CPU200−2、RAM200−3、ROM200−4、フラッシュメモリやHDDなどの二次記憶装置200−5、およびドライブ装置200−6が、内部バスあるいは専用通信線によって相互に接続された構成となっている。ドライブ装置200−6には、光ディスクなどの可搬型記憶媒体が装着される。二次記憶装置200−5、またはドライブ装置200−6に装着された可搬型記憶媒体に記憶されたプログラムがDMAコントローラ(不図示)などによってRAM200−3に展開され、CPU200−2によって実行されることで、購入処理部220および許可部230の一方または双方が実現される。   The management device includes a NIC 200-1, a CPU 200-2, a RAM 200-3, a ROM 200-4, a secondary storage device 200-5 such as a flash memory and an HDD, and a drive device 200-6, which are mutually connected by an internal bus or a dedicated communication line. It is the composition connected to. The drive device 200-6 is loaded with a portable storage medium such as an optical disk. A program stored in a portable storage medium attached to the secondary storage device 200-5 or the drive device 200-6 is expanded in the RAM 200-3 by a DMA controller (not shown) or the like and executed by the CPU 200-2. Thus, one or both of the purchase processing unit 220 and the permission unit 230 are realized.

以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何など限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。   As mentioned above, although the form for implementing this invention was demonstrated using embodiment, this invention is not limited to such embodiment at all, In the range which does not deviate from the summary of this invention, various deformation | transformation and Substitutions can be added.

1、2、3、4 管理システム
100、100A、100B、100C 端末装置
110 端末側通信部
120 入力部
130 表示部
140、150 制御部
160 ローカル認証用デバイス
170 記憶部
172 登録用秘密鍵
174 認証用秘密鍵
200、200A、200B、200C 管理装置
210 管理装置側通信部
220 購入処理部
230 許可部
240、250 記憶部
244 作成用権限情報
246 FP結果
248、258 券面情報
254 登録用公開鍵
256 認証用公開鍵
NW ネットワーク 1, 2, 3, 4 Management system 100, 100A, 100B, 100C Terminal device 110 Terminal side communication unit 120 Input unit 130 Display unit 140, 150 Control unit 160 Local authentication device 170 Storage unit 172 Registration private key 174 For authentication Secret key 200, 200A, 200B, 200C Management device 210 Management device side communication unit 220 Purchase processing unit 230 Authorization unit 240, 250 Storage unit 244 Creation authority information 246 FP result 248, 258 Sheet information 254 Registration public key 256 For authentication Public key network

本発明は、管理装置、管理方法、プログラム、端末装置、および制御方法に関する。
The present invention relates to a management device, a management method, a program, a terminal device, and a control method.

Claims (19)

端末装置と通信する通信部と、
前記通信部により、前記端末装置からサービスの利用権を行使する要求が受信された場合、前記端末装置の環境に依存する情報を送信させるための情報を、前記通信部を制御して前記端末装置に送信し、前記通信部により前記端末装置から受信された、前記端末装置の環境に依存する情報に基づいて、前記サービスの利用権の行使を許可する許可部と、
を備える管理装置。 A communication unit that communicates with the terminal device;
When the communication unit receives a request for exercising the right to use a service from the terminal device, the terminal device controls the communication unit with information for transmitting information dependent on the environment of the terminal device. Based on the information depending on the environment of the terminal device received from the terminal device by the communication unit, and a permission unit that permits the use of the right to use the service,
A management device comprising: 前記通信部により、前記端末装置からサービスの利用権を購入する要求が受信された場合、前記端末装置の環境を示す情報を符号化させるための第1の情報を、前記通信部を制御して前記端末装置に送信し、前記通信部により前記端末装置から受信された、前記端末装置の環境を示す情報を符号化した第1の認証用情報を記憶部に記憶させる購入処理部を更に備え、
前記許可部は、
前記通信部により、前記端末装置からサービスの利用権を行使する要求が受信された場合、前記端末装置の環境を示す情報を符号化させるための第2の情報を、前記通信部を制御して前記端末装置に送信し、前記通信部により受信された、前記端末装置の環境を示す情報を符号化した第2の認証用情報と、前記記憶部に記憶された前記第1の認証用情報とに基づいて、前記サービスの利用権の行使を許可する、
請求項1記載の管理装置。 When the communication unit receives a request to purchase a right to use a service from the terminal device, the communication unit controls the communication unit with first information for encoding information indicating an environment of the terminal device. A purchase processing unit that stores in the storage unit first authentication information that is encoded from information indicating the environment of the terminal device that is transmitted to the terminal device and received from the terminal device by the communication unit;
The permission unit is
When the communication unit receives a request for exercising the right to use a service from the terminal device, the communication unit controls the communication unit with second information for encoding information indicating the environment of the terminal device. Second authentication information encoded by information indicating the environment of the terminal device, transmitted to the terminal device and received by the communication unit; and the first authentication information stored in the storage unit; Permit the use of the right to use the service based on
The management apparatus according to claim 1. 前記第1の情報は、前記端末装置に、画像データを生成させ、生成させた画像データを含む情報を符号化させ、前記第1の認証用情報として前記管理装置に送信させる第1のスクリプトを含み、
前記第2の情報は、前記端末装置に、画像データを生成させ、生成させた画像データを含む情報を符号化させ、前記第2の認証用情報として前記管理装置に送信させる第2のスクリプトを含む、
請求項2記載の管理装置。 The first information is a first script that causes the terminal device to generate image data, encode information including the generated image data, and transmit the information to the management device as the first authentication information. Including
The second information is a second script that causes the terminal device to generate image data, encode information including the generated image data, and transmit the information to the management device as the second authentication information. Including,
The management device according to claim 2. 前記第1のスクリプトは、前記端末装置に、前記生成させた画像データと、前記端末装置の環境を示す情報とを符号化させ、前記第1の認証用情報として前記管理装置に送信させ、
前記第2のスクリプトは、前記端末装置に、前記生成させた画像データと、前記端末装置の環境を示す情報とを符号化させ、前記第2の認証用情報として前記管理装置に送信させる、
請求項3記載の管理装置。 The first script causes the terminal device to encode the generated image data and information indicating the environment of the terminal device, and transmit the encoded information to the management device as the first authentication information.
The second script causes the terminal device to encode the generated image data and information indicating the environment of the terminal device, and transmit the encoded information to the management device as the second authentication information.
The management device according to claim 3. 前記第1の情報は、前記第1のスクリプトと、前記第1のスクリプトにより前記生成させる画像データの描画要素となる所定の情報を含み、
前記第2の情報は、前記第2のスクリプトと、前記第2のスクリプトにより前記生成させる画像データの描画要素となる前記所定の情報を含む、
請求項3または4記載の管理装置。 The first information includes the first script and predetermined information serving as a drawing element of the image data generated by the first script,
The second information includes the second script and the predetermined information that is a drawing element of the image data generated by the second script.
The management device according to claim 3 or 4. 前記第1の情報は、前記端末装置に、前記端末装置の環境を示す情報を前記端末装置に固有の秘密鍵を用いて符号化させ、前記第1の認証用情報として前記管理装置に送信させる第1のスクリプトを含み、
前記第2の情報は、前記端末装置に、前記端末装置の環境を示す情報を前記端末装置に固有の秘密鍵を用いて符号化させ、前記第2の認証用情報として前記管理装置に送信させる第2のスクリプトを含む、
請求項2記載の管理装置。 The first information causes the terminal device to encode information indicating the environment of the terminal device using a secret key unique to the terminal device and transmit the information to the management device as the first authentication information. Including a first script,
The second information causes the terminal device to encode information indicating the environment of the terminal device using a secret key unique to the terminal device and transmit the information to the management device as the second authentication information. Including a second script,
The management device according to claim 2. 前記許可部は、前記第1の認証用情報、前記第2の認証用情報、および前記端末装置に固有の秘密鍵に対応する公開鍵に基づいて、前記サービスの利用権の行使を許可する、
請求項6記載の管理装置。 The permission unit permits the use of the right to use the service based on the first authentication information, the second authentication information, and a public key corresponding to a secret key unique to the terminal device;
The management device according to claim 6. 前記通信部により、前記端末装置からサービスの利用権を購入する要求が受信された場合、所定の情報を、前記通信部を制御して前記端末装置に送信する購入処理部を更に備え、
前記許可部は、前記通信部により前記端末装置から受信された、前記所定の情報を前記端末装置に固有の秘密鍵で符号化した情報と、前記端末装置に固有の秘密鍵に対応する公開鍵とに基づいて、前記サービスの利用権の行使を許可する、
請求項1記載の管理装置。 When the communication unit receives a request to purchase a right to use a service from the terminal device, the communication unit further includes a purchase processing unit that controls the communication unit to transmit the predetermined information to the terminal device.
The permission unit includes information obtained by encoding the predetermined information with a secret key unique to the terminal device received from the terminal device by the communication unit, and a public key corresponding to the secret key unique to the terminal device Permit the use of the right to use the service based on
The management apparatus according to claim 1. 前記許可部は、前記通信部により前記端末装置から受信された、前記所定の情報および前記端末装置の環境を示す情報を前記端末装置に固有の秘密鍵で符号化した情報と、前記端末装置に固有の秘密鍵に対応する公開鍵とに基づいて、前記サービスの利用権の行使を許可する、
請求項8記載の管理装置。 The permission unit includes information obtained by encoding the predetermined information and information indicating an environment of the terminal device received by the communication unit from the terminal device with a secret key unique to the terminal device, and the terminal device. Permit the use of the right to use the service based on a public key corresponding to a unique private key;
The management device according to claim 8. 端末装置と通信する通信部を備える管理装置のコンピュータが、
前記通信部により、前記端末装置からサービスの利用権を行使する要求が受信された場合、前記端末装置の環境に依存する情報を送信させるための情報を、前記通信部を制御して前記端末装置に送信し、
前記通信部により前記端末装置から受信された、前記端末装置の環境に依存する情報に基づいて、前記サービスの利用権の行使を許可する、
管理方法。 A computer of a management device including a communication unit that communicates with a terminal device,
When the communication unit receives a request for exercising the right to use a service from the terminal device, the terminal device controls the communication unit with information for transmitting information dependent on the environment of the terminal device. To
Permit the use of the right to use the service based on information received from the terminal device by the communication unit and depending on the environment of the terminal device;
Management method. 端末装置と通信する通信部を備える管理装置のコンピュータに、
前記通信部により、前記端末装置からサービスの利用権を行使する要求が受信された場合、前記端末装置の環境に依存する情報を送信させるための情報を、前記通信部を制御して前記端末装置に送信する処理と、
前記通信部により前記端末装置から受信された、前記端末装置の環境に依存する情報に基づいて、前記サービスの利用権の行使を許可する処理と、
を実行させるプログラム。 In the computer of the management device provided with a communication unit that communicates with the terminal device,
When the communication unit receives a request for exercising the right to use a service from the terminal device, the terminal device controls the communication unit with information for transmitting information dependent on the environment of the terminal device. Processing to send to
Based on information received from the terminal device by the communication unit and depending on the environment of the terminal device, processing for permitting the use of the right to use the service;
A program that executes 管理装置と通信する通信部と、
利用者の入力操作を受け付ける入力部と、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、自装置の環境に依存する情報を生成し、前記通信部を制御して前記生成した情報を前記管理装置に送信する制御部と、
を備える端末装置。 A communication unit communicating with the management device;
An input unit that accepts user input operations;
When an input operation for exercising the right to use the service is performed on the input unit, information that depends on the environment of the own device is generated, and the generated information is controlled by the communication unit to the management device. A control unit to transmit;
A terminal device comprising: 前記制御部は、前記入力部に対して、サービスの利用権を購入する入力操作がなされた場合、前記端末装置の環境を示す情報を符号化して第1の認証用情報を生成し、前記生成した第1の認証用情報を、前記通信部を制御して前記管理装置に送信し、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、前記端末装置の環境を示す情報を符号化して第2の認証用情報を生成し、前記生成した前記第2の認証用情報を、前記通信部を制御して前記管理装置に送信する、
請求項12記載の端末装置。 When an input operation for purchasing a right to use a service is performed on the input unit, the control unit generates information for first authentication by encoding information indicating an environment of the terminal device. The first authentication information transmitted to the management device by controlling the communication unit,
When an input operation for exercising the right to use the service is performed on the input unit, information indicating the environment of the terminal device is encoded to generate second authentication information, and the generated second The authentication information is transmitted to the management device by controlling the communication unit.
The terminal device according to claim 12. 前記制御部は、
前記入力部に対して、サービスの利用権を購入する入力操作がなされた場合、画像データを生成し、前記生成した画像データを符号化して前記第1の認証用情報を生成し、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、画像データを生成し、前記生成した画像データを符号化して前記第2の認証用情報を生成する、
請求項13記載の端末装置。 The controller is
When an input operation for purchasing a right to use a service is performed on the input unit, image data is generated, the generated image data is encoded to generate the first authentication information,
When an input operation for exercising the right to use the service is performed on the input unit, image data is generated, and the generated image data is encoded to generate the second authentication information.
The terminal device according to claim 13. 前記制御部は、
前記入力部に対して、サービスの利用権を購入する入力操作がなされた場合、前記生成した画像データと、前記端末装置の環境を示す情報とを符号化して前記第1の認証用情報を生成し、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、前記生成した画像データと、前記端末装置の環境を示す情報とを符号化して前記第2の認証用情報を生成する、
請求項14記載の端末装置。 The controller is
When an input operation for purchasing a right to use a service is performed on the input unit, the first authentication information is generated by encoding the generated image data and information indicating the environment of the terminal device. And
When an input operation for exercising the right to use the service is performed on the input unit, the generated image data and information indicating the environment of the terminal device are encoded to obtain the second authentication information. Generate,
The terminal device according to claim 14. 前記制御部は、前記通信部により前記管理装置から受信された所定の情報を描画要素として前記画像データを生成する、
請求項14または15記載の端末装置。 The control unit generates the image data by using predetermined information received from the management device by the communication unit as a drawing element.
The terminal device according to claim 14 or 15. 前記制御部は、
前記入力部に対して、サービスの利用権を購入する入力操作がなされた場合、前記端末装置の環境を示す情報を前記端末装置に固有の秘密鍵を用いて符号化して前記第1の認証用情報を生成し、
前記入力部に対して、サービスの利用権を行使する入力操作がなされた場合、前記端末装置の環境を示す情報を前記端末装置に固有の秘密鍵を用いて符号化して前記第2の認証用情報を生成する、
請求項13記載の端末装置。 The controller is
When an input operation for purchasing a right to use a service is performed on the input unit, information indicating the environment of the terminal device is encoded using a secret key unique to the terminal device, and the first authentication is performed. Generate information,
When an input operation for exercising the right to use a service is performed on the input unit, information indicating the environment of the terminal device is encoded using a secret key unique to the terminal device, and the second authentication is performed. Generate information,
The terminal device according to claim 13. 前記制御部は、
前記入力部に対して、サービスの利用権を購入する入力操作がなされた場合、前記通信部により前記管理装置から受信された所定の情報を記憶部に記憶させ、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、前記所定の情報を前記端末装置に固有の秘密鍵で符号化し、前記通信部を制御して前記符号化した情報を前記管理装置に送信する、
請求項12記載の端末装置。 The controller is
When an input operation for purchasing a right to use a service is performed on the input unit, the communication unit stores predetermined information received from the management device in the storage unit,
When an input operation for exercising the right to use the service is performed on the input unit, the predetermined information is encoded with a secret key unique to the terminal device, and the encoding is performed by controlling the communication unit. Sending information to the management device;
The terminal device according to claim 12. 管理装置と通信する通信部と、利用者の入力操作を受け付ける入力部とを備える端末装置のコンピュータに、
前記入力部に対して、前記サービスの利用権を行使する入力操作がなされた場合、自装置の環境に依存する情報を生成する処理と、
前記通信部を制御して前記生成した情報を前記管理装置に送信する処理と、
を実行させるプログラム。 In the computer of the terminal device including a communication unit that communicates with the management device and an input unit that accepts a user's input operation,
When an input operation for exercising the right to use the service is performed on the input unit, a process of generating information depending on the environment of the own device;
Processing for controlling the communication unit and transmitting the generated information to the management device;
A program that executes
JP2016013900A 2016-01-28 2016-01-28 Management device, management method, program, terminal device, and control method Active JP6285474B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016013900A JP6285474B2 (en) 2016-01-28 2016-01-28 Management device, management method, program, terminal device, and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016013900A JP6285474B2 (en) 2016-01-28 2016-01-28 Management device, management method, program, terminal device, and control method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017020681A Division JP6338721B2 (en) 2017-02-07 2017-02-07 Management device, management method, program, terminal device, and control method

Publications (2)

Publication Number Publication Date
JP2017134623A true JP2017134623A (en) 2017-08-03
JP6285474B2 JP6285474B2 (en) 2018-02-28

Family

ID=59504986

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016013900A Active JP6285474B2 (en) 2016-01-28 2016-01-28 Management device, management method, program, terminal device, and control method

Country Status (1)

Country Link
JP (1) JP6285474B2 (en)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1055340A (en) * 1996-05-20 1998-02-24 Fujitsu Ltd Security protection system
JPH11213068A (en) * 1998-01-27 1999-08-06 Ntt Data Corp Electronic ticket system, withdrawal terminal, service providing terminal, user terminal, electronic ticket withdrawing method, and recording medium
JP2002109574A (en) * 2000-09-29 2002-04-12 Yamaha Corp Method and system for authentication of permission for entry
JP2003006366A (en) * 2001-06-19 2003-01-10 Victor Co Of Japan Ltd E-ticket issuing system, e-ticket certification system, and e-ticket delivery system
JP2004032220A (en) * 2002-06-24 2004-01-29 Accessticket Systems Inc Access right management device using electronic ticket
JP2004355258A (en) * 2003-05-28 2004-12-16 Ntt Communications Kk Distribution method of digital contents, distribution server, and program
JP2007179087A (en) * 2005-12-26 2007-07-12 Fujitsu Ltd Data use restricting system, data use restricting method, and data use restricting program
JP2012073890A (en) * 2010-09-29 2012-04-12 Dainippon Printing Co Ltd Server device, ticket information display program and electronic ticket providing method, or the like
JP2012208941A (en) * 2012-05-18 2012-10-25 Bank Of Tokyo-Mitsubishi Ufj Ltd User confirmation device, method and program
JP2012243233A (en) * 2011-05-24 2012-12-10 Shoji Kodama Authentication system and method
JP2015515762A (en) * 2012-01-06 2015-05-28 ソニック アイピー, インコーポレイテッド System and method for accessing digital content using electronic tickets and ticket tokens

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1055340A (en) * 1996-05-20 1998-02-24 Fujitsu Ltd Security protection system
JPH11213068A (en) * 1998-01-27 1999-08-06 Ntt Data Corp Electronic ticket system, withdrawal terminal, service providing terminal, user terminal, electronic ticket withdrawing method, and recording medium
JP2002109574A (en) * 2000-09-29 2002-04-12 Yamaha Corp Method and system for authentication of permission for entry
JP2003006366A (en) * 2001-06-19 2003-01-10 Victor Co Of Japan Ltd E-ticket issuing system, e-ticket certification system, and e-ticket delivery system
JP2004032220A (en) * 2002-06-24 2004-01-29 Accessticket Systems Inc Access right management device using electronic ticket
JP2004355258A (en) * 2003-05-28 2004-12-16 Ntt Communications Kk Distribution method of digital contents, distribution server, and program
JP2007179087A (en) * 2005-12-26 2007-07-12 Fujitsu Ltd Data use restricting system, data use restricting method, and data use restricting program
JP2012073890A (en) * 2010-09-29 2012-04-12 Dainippon Printing Co Ltd Server device, ticket information display program and electronic ticket providing method, or the like
JP2012243233A (en) * 2011-05-24 2012-12-10 Shoji Kodama Authentication system and method
JP2015515762A (en) * 2012-01-06 2015-05-28 ソニック アイピー, インコーポレイテッド System and method for accessing digital content using electronic tickets and ticket tokens
JP2012208941A (en) * 2012-05-18 2012-10-25 Bank Of Tokyo-Mitsubishi Ufj Ltd User confirmation device, method and program

Also Published As

Publication number Publication date
JP6285474B2 (en) 2018-02-28

Similar Documents

Publication Publication Date Title
US11361065B2 (en) Techniques for authentication via a mobile device
US8745401B1 (en) Authorizing actions performed by an online service provider
US9098850B2 (en) System and method for transaction security responsive to a signed authentication
US9231948B1 (en) Techniques for providing remote computing services
Sanda et al. Proposal of new authentication method in Wi-Fi access using Bitcoin 2.0
US8681642B2 (en) Equipment-information transmitting apparatus, service control apparatus, equipment-information transmitting method, and computer products
US10045210B2 (en) Method, server and system for authentication of a person
US20110239281A1 (en) Method and apparatus for authentication of services
CN105659558A (en) Multiple resource servers with single, flexible, pluggable OAuth server and OAuth-protected RESTful OAuth consent management service, and mobile application single sign on OAuth service
CN105027107A (en) Secure virtual machine migration
EP3579595B1 (en) Improved system and method for internet access age-verification
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP2008047022A (en) Information sharing system by portable terminal device
WO2014068862A1 (en) Information processing apparatus, information processing system, information processing method and computer program
JP2006244482A (en) System, method, and program for authenticating document processing transaction
GB2582578A (en) Apparatus and methods for secure access to remote content
JP7269486B2 (en) Information processing device, information processing method and information processing program
CN106888200B (en) Identification association method, information sending method and device
JP2007128310A (en) Service provision server and service provision system
CN116915493A (en) Secure login method, device, system, computer equipment and storage medium
JP6714551B2 (en) Authentication key sharing system and inter-terminal key copying method
Stajano et al. Bootstrapping adoption of the pico password replacement system
JP6338721B2 (en) Management device, management method, program, terminal device, and control method
JP6285474B2 (en) Management device, management method, program, terminal device, and control method
JPWO2017029708A1 (en) Personal authentication system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170629

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171211

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20171220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180201

R150 Certificate of patent or registration of utility model

Ref document number: 6285474

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250