JP2017168005A - 情報処理システム、情報処理装置及び情報処理プログラム - Google Patents
情報処理システム、情報処理装置及び情報処理プログラム Download PDFInfo
- Publication number
- JP2017168005A JP2017168005A JP2016054709A JP2016054709A JP2017168005A JP 2017168005 A JP2017168005 A JP 2017168005A JP 2016054709 A JP2016054709 A JP 2016054709A JP 2016054709 A JP2016054709 A JP 2016054709A JP 2017168005 A JP2017168005 A JP 2017168005A
- Authority
- JP
- Japan
- Prior art keywords
- authorization information
- information
- module
- information processing
- access token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 109
- 238000013475 authorization Methods 0.000 claims abstract description 190
- 238000004891 communication Methods 0.000 claims abstract description 75
- 238000012545 processing Methods 0.000 claims abstract description 66
- 238000000034 method Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 31
- 230000004044 response Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000007726 management method Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 15
- 238000004590 computer program Methods 0.000 description 6
- 230000007704 transition Effects 0.000 description 4
- PUMGFEMNXBLDKD-UHFFFAOYSA-N 3,6-diaminoacridine-9-carbonitrile Chemical compound C1=CC(N)=CC2=NC3=CC(N)=CC=C3C(C#N)=C21 PUMGFEMNXBLDKD-UHFFFAOYSA-N 0.000 description 3
- 101710190440 Cytotoxin 1 Proteins 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
【解決手段】情報処理システムの記憶手段は、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶し、生成手段は、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成し、送信手段は、前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信し、受信手段は、前記第2のデバイスからデータと前記第2の認可情報とを受信し、要求手段は、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する。
【選択図】図1
Description
しかし、使用ユーザーに処理の権限があったとしても、利用しているデバイスの機能や運用上の環境によっては、処理の要求を行えない場合がある。例えば、当該デバイスに認可情報の取得を要求するためのユーザーインターフェイスがない場合や、セキュリティ上の理由から運用として認可情報の取得を行えるデバイスが限定されている場合などがある。
本発明では、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる。
請求項1の発明は、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信する送信手段と、前記第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、を有する情報処理システムである。
<第1の実施の形態>
図1は、第1の実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、又はそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という意味を有する記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
IoT(Internet of Things:モノのインターネット)が普及し、これまで想定されていなかったデバイス(機器)が通信回線(いわゆるネットワークを含む)に接続するようになってきている。例えば、通信可能で電子的な情報の入出力(入力のみ、出力のみであってもよい)ができる、ペン、ノート、ホワイトボード、プロジェクター等がある。
情報の創出、又は既存情報の更新を担うデバイスが、それら情報を適切な権限の下に保存・共有したいというニーズが増えてきている。例えば、ホワイトボードに描画した図等はその後参照することが多い。しかし、現在では、ホワイトボード上の図等を記録する手法としては、カメラ等のホワイトボード以外のデバイスを使って取得(撮影)し、取得者(撮影者)が自分のPCへ保存、さらにメールで関係者に共有していることが多い。電子ボードのように描画した図等を電子データ化して送信する機能もあるが、電子ボードに複雑なユーザーインターフェイス(UI:User Interface)を装備する必要がある。例えば、キーボード等のユーザーインターフェイスが必要である。
情報の保存・共有のためにこれまでよりも手間を減らしつつも、セキュリティレベルを下げない方法が望まれている。
しかし、この技術は、認証のみの伝播又は委譲であり、認可情報が含まれていない。つまり、伝播又は委譲先のデバイス上で、認証後に行使する権限の確認又は選択が必要であり、デバイスがその手段となるユーザーインターフェイスを具備しなければならないが、前述のペン、ノート、ホワイトボード、プロジェクター等のデバイスにおいて、ユーザーインターフェイスを実装(具備)することは困難であり、実装したとしても操作性を著しく損なう場合が多い。
専有デバイス100を持つ利用者の操作にしたがって、一時的に利用する一時利用デバイス120に対して権限を一時的に付与する。そして、一時利用デバイス120は、情報処理装置140を経由してアプリサーバー160に対する処理を実施させる。
そのために、以下の処理が行われる。
ユーザーの主利用となる専有デバイス100は、情報処理装置140による認証を受けると第1の認可情報の払い出しを受ける。
情報処理装置140は、この第1の認可情報より第2の認可情報を生成する。そして、専有デバイス100は、第2の認可情報を一時利用デバイス120へ配布する。
一時利用デバイス120は、利用データを情報処理装置140へ送付する際に、第2の認可情報を付与する。
一時利用デバイス120は、認可情報を要求するためのユーザーインターフェイスを備えていてもよいが、認可情報を要求するためのユーザーインターフェイスを備えていない場合であってもよい。一時利用デバイス120は、例えば、前述したように、通信可能で電子的な情報の入出力(入力のみ、出力のみであってもよい)ができる、ペン、ノート、ホワイトボード、プロジェクター等があり、IoTサービスの対象となる(と考えられる)デバイスである。少なくとも専有デバイス100と通信することが可能である。なお、備えていないのは「認可情報を要求するためのユーザーインターフェイス」であって、簡素なユーザーインターフェイス(例えば、ボタン1つ等)は備えていてもよい。また、一切ユーザーインターフェイを有していない形態であってもよい。もちろんのことながら、一時利用デバイス120は、専有デバイス100とは異なるデバイスである。
トークン取得モジュール105は、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。トークン取得モジュール105は、情報処理装置140から、アプリサーバー160に対する処理(操作等を含む)を実施するための第1の認可情報を取得する。
認可情報配布モジュール110は、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール125と接続されている。認可情報配布モジュール110は、第2の認可情報を、専有デバイス100の近傍に存在する一時利用デバイス120に送信する。この送信のタイミングは、専有デバイス100のユーザーの操作に応じて送信してもよいし、自動的に(例えば、予め定められたプログラムが起動すると)送信してもよい。
認可情報受領モジュール125は、通信回線198を介して、専有デバイス100の認可情報配布モジュール110と接続されている。認可情報受領モジュール125は、専有デバイス100から配布された第2の認可情報を受信する。これによって、アプリサーバー160で行使する操作権の情報を専有デバイス100から受け取ることができる。認可情報受領モジュール125は、例えば、ポーリングによる自動待受、又は、オンデマンドなユーザーの操作によって受信する。
利用モジュール130は、通信回線198を介して、情報処理装置140の代行モジュール150と接続されている。利用モジュール130は、アプリサーバー160の機能を利用するために、第2の認可情報と処理対象であるデータを、情報処理装置140に送信する。
なお、第1の認可情報の生成は、アプリサーバー160に依頼してもよい。また、トークン発行モジュール145が生成してもよい。
そして、トークン発行モジュール145は、専有デバイス100を利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する。
次に、トークン発行モジュール145は、第2の認可情報を、専有デバイス100に送信する。その後、専有デバイス100の認可情報配布モジュール110は、第2の認可情報を、一時利用デバイス120に送信する。
ここで「第1の認可情報」とは、一般的にアクセストークン(Access Token、以下、第1の認可情報をアクセストークンともいう)といわれており、専有デバイス100(又は専有デバイス100を利用するユーザー)が、アプリサーバー160の機能を利用するために必要な情報である。例えば、そのユーザーが専有デバイス100等にログインする場合のアカウント情報を暗号化したもの等が該当する。
「第2の認可情報」(以下、子アクセストークンともいう)とは、第1の認可情報から派生して作成された認可情報であり、一時利用デバイス120(又は一時利用デバイス120を利用するユーザー)が、アプリサーバー160の機能を利用するために必要な情報である。
なお、専有デバイス100のトークン取得モジュール105が、専有デバイス100と一時利用デバイス120の距離が予め定められた距離未満又は以下になったことに応じ、第2の認可情報を生成するように、情報処理装置140に依頼してもよい。
なお、専有デバイス100のトークン取得モジュール105が、専有デバイス100と一時利用デバイス120の距離が予め定められた距離より遠くに又は以上離れたことに応じ、第2の認可情報を無効化するように情報処理装置140に依頼してもよい。
代行モジュール150は、一時利用デバイス120からデータと第2の認可情報とを受信する。
そして、代行モジュール150は、第2の認可情報に基づき、アプリサーバー160に対してデータを用いた処理の実行を要求する。ここでの「第2の認可情報に基づき」として、例えば、その第2の認可情報に対応したアプリサーバー160を抽出することが該当する。その後、アプリサーバー160は、第2の認可情報を確認し、そのデータを用いた処理を実行する。
なお、この代行モジュール150の機能は、専有デバイス100が有していてもよい。具体的には、一時利用デバイス120からデータと第2の認可情報とを受信し、その第2の認可情報に基づき、アプリサーバー160に対してデータを用いた処理の実行を要求するようにしてもよい。
また、代行モジュール150は、第2の認可情報の生成に用いられた第1の認可情報とデータをアプリサーバー160に送信することにより、処理の実行を要求するようにしてもよい。例えば、第2の認可情報に対応する第1の認可情報を抽出し、その第1の認可情報とデータをアプリサーバー160に送信するようにしてもよい。
また、代行モジュール150は、第1の認可情報と対応付けられたアプリサーバー160にその第1の認可情報とデータを送信することにより、処理の実行を要求するようにしてもよい。例えば、第1の認可情報に対応するアプリサーバー160を抽出し、その第1の認可情報とデータをそのアプリサーバー160に送信するようにしてもよい。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。トークン発行モジュール165は、情報処理装置140からの要求によって、アプリサーバー160での処理を実施するための第1の認可情報を生成する。なお、通信回線199は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット、イントラネット等であってもよい。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。サービス提供モジュール170は、情報処理装置140から要求された処理を実施する。例えば、翻訳、データの格納等の処理がある。要求には、第1の認可情報が含まれており、トークン発行モジュール165によって生成された第1の認可情報であるか否かを判断する。トークン発行モジュール165によって生成された第1の認可情報であるならば、その処理を実施し、異なっていたならば、その処理は実施しないでエラー処理(認可情報がないことのメッセージの送信、管理者への報告等)を行う。
専有デバイス100A、専有デバイス100B、専有デバイス100C、一時利用デバイス120A、一時利用デバイス120B、一時利用デバイス120C、情報処理装置140、アプリサーバーA:160A、アプリサーバーB:160Bは、通信回線290を介してそれぞれ接続されている。通信回線290は、通信回線198、通信回線199に対応する。なお、前述したように、専有デバイス100と一時利用デバイス120は、近距離無線通信であってもよい。また、アプリサーバーA:160A、アプリサーバーB:160Bによる機能は、クラウドサービスとして実現してもよい。
専有デバイス100Aのユーザーは、一時利用デバイス120A、一時利用デバイス120Bも利用して、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。そのために、専有デバイス100Aは、子アクセストークンを情報処理装置140に生成させ、一時利用デバイス120A、一時利用デバイス120Bに配布する。そして、一時利用デバイス120A、一時利用デバイス120Bは、その子アクセストークンを用いて、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。
専有デバイス100B、専有デバイス100Cの2人のユーザーは、一時利用デバイス120Cも利用して、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。そのために、専有デバイス100B、専有デバイス100Cは、子アクセストークンを情報処理装置140にそれぞれ生成させ、一時利用デバイス120Cに配布する。そして、一時利用デバイス120Cは、その子アクセストークンを用いて、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。
専有デバイス100AとしてノートPC、専有デバイス100Bとしてスマートフォン、一時利用デバイス120Aとしてホワイトボード、一時利用デバイス120Bとして電子ペンの例を示したものである。アプリサーバーC:160Cは、例えば、クラウドストレージサービスを提供しており、各デバイスからコンテンツをアップロードする場合を示している。
図3(a)に示す例は、クラウドストレージサービスへの認証済みのデバイスである専有デバイス100A、専有デバイス100Bは、それぞれ、アクセストークン310A、アクセストークン310Bを有しているので、アプリサーバーC:160Cによるクラウドストレージサービスを受けることができる。
しかし、本実施の形態を用いない場合、つまり、未認証の(又は認証機能のない)デバイスである一時利用デバイス120A、一時利用デバイス120Bはアクセストークンを有していないので、アプリサーバーC:160Cによるクラウドストレージサービスを受けることができない。
図3(b)に示す例は、本実施の形態を用いた場合を示している。例えば、認証済みデバイス(専有デバイス100A、専有デバイス100B)のアクセストークン(アクセストークン310A、アクセストークン310B)を元に子アクセストークン(子アクセストークン320A、子アクセストークン320B)を生成し、未認証のデバイス(一時利用デバイス120A、一時利用デバイス120B)へ配布することで、子アクセストークン(子アクセストークン320A、子アクセストークン320B)を使って、クラウドストレージサービスを受けることができるようになる。例えば、この場合は、一時利用デバイス120Bによる紙上での文字等のデータ(軌跡データ)、一時利用デバイス120Aに記載されたボードの撮影画像が、アプリサーバーC:160Cに記憶される。
ステップS402では、専有デバイス100Bは、情報処理装置140に対して、アプリ(アプリサーバー160)と操作を指定する。
ステップS404では、情報処理装置140は、専有デバイス100Bに対して、アクセストークン(アクセストークン310B、子アクセストークン320B)を配布する。
ステップS406では、専有デバイス100Bは、一時利用デバイス120Bに対して、子アクセストークン320Bを配布する。
ステップS410では、一時利用デバイス120Bは、情報処理装置140に対して、子アクセストークン320Bと利用するデータ410を送付する。
ステップS412では、情報処理装置140は、一時利用デバイス120Bから受信した子アクセストークン320Bからアプリ(アプリサーバー160)と操作(処理)を特定する。
ステップS414では、情報処理装置140は、特定されたアプリサーバー160に対して、呼び出しを行う。具体的には、データ410を送信して、処理を行わせる。
ステップS502では、専有デバイス100は、情報処理装置140に対して、アクセストークン取得を要求する。具体的に、送信するデータとして(認証情報,アプリA,操作X)がある。例えば、認証情報として、「ユーザーID=U1」、操作Xとして「操作ID=P1」である。アプリAは、アプリサーバー160を特定するための情報である。
ステップS504では、情報処理装置140は、アプリサーバーA:160Aに対して、アクセストークン発行を要求する。具体的に、送信するデータとして(認証情報,操作X)がある。
この時点562では、アプリサーバーA:160A内のアクセストークン管理テーブル600は、図6の例に示す通りのものである。図6は、アクセストークン管理テーブル600のデータ構造例を示す説明図である。アクセストークン管理テーブル600は、アクセストークンID欄610、ユーザーID欄620、操作ID欄630、発行日時欄640を有している。アクセストークンID欄610は、本実施の形態において、アクセストークンを一意に識別するための情報(アクセストークンID:IDentification)を記憶している。ユーザーID欄620は、本実施の形態において、ユーザーを一意に識別するための情報(ユーザーID)を記憶している。操作ID欄630は、本実施の形態において、操作を一意に識別するための情報(操作ID)を記憶している。発行日時欄640は、そのアクセストークンを発行した日時(年、月、日、時、分、秒、秒以下、又はこれらの組み合わせであってもよい)を記憶している。
この時点564では、情報処理装置140内のアクセストークン管理テーブル700は、図7の例に示す通りのものである。図7は、アクセストークン管理テーブル700のデータ構造例を示す説明図である。アクセストークン管理テーブル700は、図6の例に示すアクセストークン管理テーブル600にアプリ欄720を付加したものである。アクセストークン管理テーブル700は、アクセストークンID欄710、アプリ欄720、ユーザーID欄730、操作ID欄740、発行日時欄750を有している。アクセストークンID欄710は、アクセストークンIDを記憶している。アプリ欄720は、アプリ(ここでは、アプリサーバーA:160Aを特定するための情報)を記憶している。ユーザーID欄730は、ユーザーIDを記憶している。操作ID欄740は、操作IDを記憶している。発行日時欄750は、発行日時を記憶している。
ステップS510では、情報処理装置140は、専有デバイス100に対して、成功と回答し、アクセストークンTA1を送信する。
時点862では、情報処理装置140のアクセストークン管理テーブル700は、図7の例に示した通りのものである。図5の例に示した時点564における状態と同じである。
ステップS802では、専有デバイス100は、情報処理装置140に対して、子アクセストークン発行を通知する。具体的に、送信するデータとして(アクセストークンID,子アクセストークンID)がある。
ステップS804では、情報処理装置140は、子アクセストークンIDを登録する。
時点864では、情報処理装置140の子アクセストークン管理テーブル900は、図9の例に示す通りのものである。図9は、子アクセストークン管理テーブル900のデータ構造例を示す説明図である。子アクセストークン管理テーブル900は、子アクセストークンID欄910、アクセストークンID欄920、発行日時欄930を有している。子アクセストークンID欄910は、本実施の形態において、子アクセストークンを一意に識別するための情報(子アクセストークンID)を記憶している。アクセストークンID欄920は、その子アクセストークンに対応するアクセストークンIDを記憶している。発行日時欄930は、その子アクセストークンIDを発行した日時を記憶している。
ステップS806では、情報処理装置140は、専有デバイス100に対して、成功と回答する。
ステップS1002では、専有デバイス100は、認可情報の配布を開始する。例えば、ユーザーの操作にしたがう。
ステップS1004では、一時利用デバイス120は、認可情報の受領を開始する。例えば、ユーザーの操作にしたがう。ステップS1002、ステップS1004の処理は、いずれを先に行ってもよい(もちろんのことながら、同時であってもよい)。
ステップS1006では、専有デバイス100は、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID)がある。
ステップS1008では、一時利用デバイス120は、子アクセストークンを保存する。
ステップS1010では、一時利用デバイス120は、専有デバイス100に対して、成功と回答する。
ステップS1012では、専有デバイス100は、認可情報の配布を終了する。
ステップS1014では、一時利用デバイス120は、認可情報の受領を終了する。
時点1162では、情報処理装置140内のアクセストークン管理テーブル700は、図11(a)の例に示した通りのものである。図5の例に示した時点564と同じ状態である。
時点1164では、情報処理装置140内の子アクセストークン管理テーブル900は、図11(b)の例に示す通りのものである。図8の例に示した時点864と同じ状態である。
ステップS1104では、一時利用デバイス120は、情報処理装置140に対して、サービスの実行を要求する。具体的に、送信するデータとして(子アクセストークンID,データ)がある。例えば、子アクセストークンIDとして「CT1」がある。
ステップS1106では、情報処理装置140は、子アクセストークンをアクセストークンに変換する。例えば、「CT1」から「TA1」に変換する。
ステップS1108では、情報処理装置140は、アプリサーバーA:160Aに対して、サービス実行要求に対応した代行機能の実施を依頼する。具体的に、送信するデータとして(TA1,データ)がある。
ステップS1110では、アプリサーバーA:160Aは、アクセストークンを確認し、サービス(代行機能に対応するサービス)を実行する。
ステップS1112では、アプリサーバーA:160Aは、情報処理装置140に対して、実行結果を送信する。
ステップS1114では、情報処理装置140は、一時利用デバイス120に対して、実行結果を送信する。
認可情報配布モジュール110によって専有デバイス100が子トークン配布状態に、かつ、認可情報受領モジュール125によって一時利用デバイス120が待受状態に、それぞれ移行することで配布が開始される。
どちらか一方だけが状態移行しただけでは配布は開始されず、片方の状態移行をもう片方が検知して状態移行することもない。
特にセキュリティが気になるエリアでは、近距離無線通信を使う方式としてもよい。例えば、FeliCa/NFC等のいわゆる「かざす」操作を行う必要がある距離とすればよい。
子アクセストークンは、
(1)専有デバイス100に対するユーザーの明示的な操作にしたがって、つまり、専有デバイス100から情報処理装置140への指示にしたがって無効化される。
(2)予め定められた無効化期限になると一時利用デバイス120から情報処理装置140への指示にしたがって無効化される。なお、この無効化期限は、ユーザーの操作によって指定できるものとしてもよい。
(3)専有デバイス100と一時利用デバイス120が予め定められた距離以上に離れ、予め定められた時間以上に再接近しなかった(つまり、予め定められた距離未満とならなかった)と判断した場合、専有デバイス100から情報処理装置140への指示にしたがって無効化される。なお、この距離、時間は、ユーザーの操作によって指定できるものとしてもよい。
(4)子アクセストークン自体に、無効化期限を設定でき、その期限になると情報処理装置140によって無効化される。
(5)操作実行回数制限を設定でき、回数制限になると情報処理装置140によって無効化される。
図12は、第2の実施の形態の構成例についての概念的なモジュール構成図である。なお、前述の実施の形態と同種の部位には同一符号を付し重複した説明を省略する(以下、同様)。
認可共有システム155は、専有デバイス100X、専有デバイス100Y、一時利用デバイス120、情報処理装置140を有している。
専有デバイス100Xは、トークン取得モジュール105X、認可情報配布モジュール110Xを有している。
専有デバイス100Yは、トークン取得モジュール105Y、認可情報配布モジュール110Yを有している。
一時利用デバイス120は、認可情報受領モジュール1225、利用モジュール130を有している。
情報処理装置140は、トークン発行モジュール145、代行モジュール150を有している。情報処理装置140は、アクセス管理の機能を有する。
アプリサーバー160は、トークン発行モジュール165、サービス提供モジュール170を有している。
トークン取得モジュール105Xは、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。
トークン取得モジュール105Yは、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。なお、トークン取得モジュール105X、トークン取得モジュール105Yは、トークン取得モジュール105と同等の機能を有している。
認可情報配布モジュール110Xは、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール1225と接続されている。
認可情報配布モジュール110Yは、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール1225と接続されている。なお、認可情報配布モジュール110X、認可情報配布モジュール110Yは、認可情報配布モジュール110と同等の機能を有している。
トークン発行モジュール145は、通信回線198を介して、専有デバイス100のトークン取得モジュール105と接続されおり、通信回線199を介して、アプリサーバー160のトークン発行モジュール165と接続されている。
代行モジュール150は、通信回線198を介して、一時利用デバイス120の利用モジュール130と接続されおり、通信回線199を介して、アプリサーバー160のサービス提供モジュール170と接続されている。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。
ステップS1302では、専有デバイス100Xは、認可情報の配布を開始する。
ステップS1304では、一時利用デバイス120は、認可情報の受領を開始する。
ステップS1306では、専有デバイス100Xは、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID:CTX1)がある。
ステップS1308では、一時利用デバイス120は、子アクセストークンを保存する。
この時点1362での一時利用デバイス120の子アクセストークン管理配列は、CT={CTX1}である。
ステップS1310では、一時利用デバイス120は、専有デバイス100Xに対して、成功と回答する。
ステップS1314では、専有デバイス100Yは、認可情報の配布を開始する。
ステップS1316では、専有デバイス100Yは、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID:CTY1)がある。
ステップS1318では、一時利用デバイス120は、子アクセストークンを保存する。
この時点1364での一時利用デバイス120の子アクセストークン管理配列は、CT={CTX1,CTY1}である。
ステップS1320では、一時利用デバイス120は、専有デバイス100Yに対して、成功と回答する。
ステップS1324では、一時利用デバイス120は、終了操作を行う。
ステップS1326では、一時利用デバイス120は、認可情報の受領を終了する。
一時利用デバイス120において、ステップS1304からステップS1324までの間であれば、複数の専有デバイス100から子アクセストークンの配布を受けることができる。
図14は、第3の実施の形態の構成例についての概念的なモジュール構成図である。
認可共有システム155は、専有デバイス100、一時利用デバイス120、情報処理装置140を有している。
専有デバイス100は、トークン取得モジュール105、認可情報配布モジュール110、関連付けモジュール1405を有している。
一時利用デバイス120は、認可情報受領モジュール125、利用モジュール130を有している。
情報処理装置140は、トークン発行モジュール145、代行モジュール150を有している。情報処理装置140は、アクセス管理の機能を有する。
アプリサーバー160は、トークン発行モジュール165、サービス提供モジュール170を有している。
トークン取得モジュール105は、関連付けモジュール1405と接続されており、また、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。
認可情報配布モジュール110は、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール125と接続されている。
利用モジュール130は、通信回線198を介して、情報処理装置140の代行モジュール150と接続されている。
トークン発行モジュール145は、通信回線198を介して、専有デバイス100のトークン取得モジュール105と接続されおり、通信回線199を介して、アプリサーバー160のトークン発行モジュール165と接続されている。
代行モジュール150は、通信回線198を介して、一時利用デバイス120の利用モジュール130と接続されおり、通信回線199を介して、アプリサーバー160のサービス提供モジュール170と接続されている。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。
ステップS1502では、専有デバイス100は、情報処理装置140に対して、アクセストークンの取得を要求する。具体的に、送信するデータとして(認証情報,アプリA,操作X)がある。
ステップS1504では、情報処理装置140は、アプリサーバーA:160Aに対して、アクセストークンの発行を要求する。具体的に、送信するデータとして(認証情報,操作X)がある。
ステップS1506では、アプリサーバーA:160Aは、認証後、アクセストークンTA1を発行する。
ステップS1510では、情報処理装置140は、専有デバイス100に対して、成功と回答し、アクセストークンTA1を送信する。
ステップS1512では、専有デバイス100は、ソフトウェア関連付け画面を表示する。
ステップS1514では、専有デバイス100は、関連付けを選択する。
この時点1562では、専有デバイス100のソフトウェア・アクセストークン関連付テーブル1600は、図16の例に示す通りのものである。図16は、ソフトウェア・アクセストークン関連付テーブル1600のデータ構造例を示す説明図である。ソフトウェア・アクセストークン関連付テーブル1600は、ソフトウェア欄1610、アクセストークンID欄1620を有している。ソフトウェア欄1610は、ソフトウェアを記憶している。アクセストークンID欄1620は、そのソフトウェアに対応するアクセストークンIDを記憶している。
ステップS1702では、専有デバイス100は、情報処理装置140に対して、子アクセストークン発行を通知する。具体的に、送信するデータとして(アクセストークンID,子アクセストークンID)がある。
ステップS1704では、情報処理装置140は、子アクセストークンIDを登録する。
ステップS1706では、情報処理装置140は、専有デバイス100に対して、成功と回答する。
ステップS1712では、専有デバイス100は、ソフトウェア関連付け画面を表示する。
この時点1762では、専有デバイス100のソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、図18の例に示す通りのものである。図18は、ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800のデータ構造例を示す説明図である。ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、図16の例に示したソフトウェア・アクセストークン関連付テーブル1600に子アクセストークンID欄1830を付加したものである。
ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、ソフトウェア欄1810、アクセストークンID欄1820、子アクセストークンID欄1830を有している。ソフトウェア欄1810は、ソフトウェアを記憶している。アクセストークンID欄1820は、そのソフトウェアに対応するアクセストークンIDを記憶している。子アクセストークンID欄1830は、そのソフトウェアに対応する子アクセストークンIDを記憶している。
また、前述の実施の形態の説明内での比較処理において、「以上」、「以下」、「より大きい」、「より小さい(未満)」としたものは、その組み合わせに矛盾が生じない限り、それぞれ「より大きい」、「より小さい(未満)」、「以上」、「以下」としてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラムの全体又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分又は全部であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
105…トークン取得モジュール
110…認可情報配布モジュール
120…一時利用デバイス
125…認可情報受領モジュール
130…利用モジュール
140…情報処理装置
145…トークン発行モジュール
150…代行モジュール
155…認可共有システム
160…アプリサーバー
165…トークン発行モジュール
170…サービス提供モジュール
198…通信回線
199…通信回線
290…通信回線
1225…認可情報受領モジュール
1405…関連付けモジュール
Claims (8)
- ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信する送信手段と、
前記第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、
を有する情報処理システム。 - 前記要求手段は、第2の認可情報の生成に用いられた第1の認可情報とデータを前記サーバーに送信することにより、前記処理の実行を要求する、
請求項1に記載の情報処理システム。 - 前記要求手段は、前記第1の認可情報と対応付けられたサーバーに該第1の認可情報と前記データを送信することにより、前記処理の実行を要求する、
請求項2に記載の情報処理システム。 - 第1のデバイスは認可情報を要求するためのユーザーインターフェイスを備え、第2のデバイスは認可情報を要求するためのユーザーインターフェイスを備えない、
請求項1に記載の情報処理システム。 - 前記生成手段は、前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離未満又は以下になったことに応じ、前記第2の認可情報を生成する、
請求項4に記載の情報処理システム。 - 前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離より遠くに又は以上離れたことに応じ、前記第2の認可情報を無効化する無効化手段をさらに有する、
請求項4に記載の情報処理システム。 - ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、
前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、
を有する情報処理装置。 - コンピュータを、
ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、
前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段
として機能させるための情報処理プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016054709A JP6720606B2 (ja) | 2016-03-18 | 2016-03-18 | 情報処理システム |
US15/219,880 US10382439B2 (en) | 2016-03-18 | 2016-07-26 | Information processing system, information processing apparatus, information processing method, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016054709A JP6720606B2 (ja) | 2016-03-18 | 2016-03-18 | 情報処理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017168005A true JP2017168005A (ja) | 2017-09-21 |
JP6720606B2 JP6720606B2 (ja) | 2020-07-08 |
Family
ID=59856092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016054709A Expired - Fee Related JP6720606B2 (ja) | 2016-03-18 | 2016-03-18 | 情報処理システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10382439B2 (ja) |
JP (1) | JP6720606B2 (ja) |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040139028A1 (en) * | 2001-03-23 | 2004-07-15 | Fishman Jayme Matthew | System, process and article for conducting authenticated transactions |
JP4663315B2 (ja) | 2004-12-28 | 2011-04-06 | Kddi株式会社 | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
KR100630935B1 (ko) * | 2005-06-01 | 2006-10-02 | 삼성전자주식회사 | 디스플레이장치, 디스플레이 시스템 및 디스플레이장치의사용 인증방법 |
US8838477B2 (en) * | 2011-06-09 | 2014-09-16 | Golba Llc | Method and system for communicating location of a mobile device for hands-free payment |
US8793509B1 (en) * | 2008-02-12 | 2014-07-29 | Google Inc. | Web authorization with reduced user interaction |
US8437742B2 (en) * | 2009-10-16 | 2013-05-07 | At&T Intellectual Property I, L.P. | Systems and methods for providing location-based application authentication using a location token service |
US8763095B2 (en) * | 2012-04-12 | 2014-06-24 | Sap Ag | Authorization sharing |
JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
US20140189799A1 (en) * | 2012-12-28 | 2014-07-03 | Gemalto Sa | Multi-factor authorization for authorizing a third-party application to use a resource |
WO2015013548A1 (en) * | 2013-07-24 | 2015-01-29 | Visa International Service Association | Systems and methods for interoperable network token processing |
US10212143B2 (en) * | 2014-01-31 | 2019-02-19 | Dropbox, Inc. | Authorizing an untrusted client device for access on a content management system |
GB2547300A (en) * | 2014-05-29 | 2017-08-16 | Singh Sethi Ranvir | System and method for generating a location specific taken |
US10764621B2 (en) * | 2015-06-29 | 2020-09-01 | Rakuten, Inc. | Authentic server, user terminal, content server, control method for these, and computer program |
US10104084B2 (en) * | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
US20170076366A1 (en) * | 2015-09-11 | 2017-03-16 | Bank Of America Corporation | Universal tokenization system |
-
2016
- 2016-03-18 JP JP2016054709A patent/JP6720606B2/ja not_active Expired - Fee Related
- 2016-07-26 US US15/219,880 patent/US10382439B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20170272438A1 (en) | 2017-09-21 |
JP6720606B2 (ja) | 2020-07-08 |
US10382439B2 (en) | 2019-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10048915B2 (en) | Method of processing workflow in which a function of an image forming apparatus and a function of a mobile device are combined and mobile device for performing the method | |
JP6439370B2 (ja) | 情報処理システム、情報処理方法、情報処理装置及びプログラム | |
CN102611555B (zh) | 数据处理设备 | |
CN109074440B (zh) | 用于多因素事件授权的配置 | |
JP2013257859A (ja) | 情報処理システム、情報処理装置、プログラム及び認証方法 | |
KR101560246B1 (ko) | 클라우드 프린팅 시스템 및 이를 이용한 클라우드 프린팅 서비스 방법 | |
JP2018018318A (ja) | 画像形成装置、印刷システム、および印刷方法 | |
JP2020119342A (ja) | 情報処理システム、認証基盤、認可情報検証方法、及びプログラム | |
EP2990986B1 (en) | Output system, output apparatus, and output method | |
JP6413686B2 (ja) | 情報処理システム、情報処理装置、及び情報処理方法 | |
KR20180000527A (ko) | 화상 형성 장치, 모바일 단말 및 그 장치들의 로컬 로그인 처리 방법 | |
JP7103083B2 (ja) | 通信システム、登録仲介サーバのためのコンピュータプログラム、及び、サービス提供サーバのためのコンピュータプログラム | |
US10389913B2 (en) | Information management control apparatus, image processing apparatus, and information management control system | |
JP6720606B2 (ja) | 情報処理システム | |
KR20130040065A (ko) | 전자 장치 및 그 암호화 방법 | |
EP3985497A1 (en) | Information processing system, output system, output method, and recording medium | |
JP2019061324A (ja) | 情報処理装置及び情報処理プログラム | |
JP2014191455A (ja) | 情報処理装置、情報処理システム及び情報処理プログラム | |
US20150381622A1 (en) | Authentication system, authentication method, authentication apparatus, and recording medium | |
JP7040215B2 (ja) | アクセス制御装置、アクセス制御プログラムおよびアクセス制御システム | |
JP6123367B2 (ja) | 情報処理システム及び出力制御方法 | |
JP2020086794A (ja) | 情報処理システム、情報処理方法、情報処理装置、及びプログラム | |
US11616828B2 (en) | System and method for remote support, and web application server for executing the same | |
JP2019023838A (ja) | 情報処理装置、情報処理方法、およびプログラム | |
JP2022053955A (ja) | 方法、プログラム、情報処理装置、認証サーバ、および情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190123 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200519 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200601 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6720606 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |