JP2022047506A - Information processing apparatus and control method for the same and program, and system - Google Patents
Information processing apparatus and control method for the same and program, and system Download PDFInfo
- Publication number
- JP2022047506A JP2022047506A JP2021136656A JP2021136656A JP2022047506A JP 2022047506 A JP2022047506 A JP 2022047506A JP 2021136656 A JP2021136656 A JP 2021136656A JP 2021136656 A JP2021136656 A JP 2021136656A JP 2022047506 A JP2022047506 A JP 2022047506A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- region
- user
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、インターネットを介したクライアント端末から受信したリージョン特定要求に対する応答技術に関するものである。 The present invention relates to a technique for responding to a region specifying request received from a client terminal via the Internet.
近年、インターネット上に展開されたクラウドサービスの利用が拡大している。クラウドサービスでは、サーバやネットワーク機器などのIT機器をデータセンターと呼ばれる施設に集約して設置、運用し、利用者にWebアプリケーションサービスを提供している。データセンターは国や地域ごとに設置されており、ワールドワイドにサービスを提供する企業は、必要に応じて複数のデータセンターに同種のサービスを配備している。 In recent years, the use of cloud services deployed on the Internet has been expanding. In cloud services, IT devices such as servers and network devices are centrally installed and operated in facilities called data centers, and Web application services are provided to users. Data centers are set up in each country or region, and companies that provide services worldwide deploy similar services to multiple data centers as needed.
利用者のユーザID、パスワード、並びに、メールアドレスと言ったデータは、個人情報保護の観点から、利用者がアクセスするデータセンターごとに独立して管理される。利用者は、物理的な地域や法制度に応じてアクセスするデータセンターを決めることになるが、データセンターが異なるとデータセンターに配備されたサービスサイトにアクセスするためのURLも異なる。 Data such as a user's user ID, password, and e-mail address are managed independently for each data center accessed by the user from the viewpoint of personal information protection. The user decides the data center to access according to the physical area and the legal system, but different data centers have different URLs for accessing the service sites deployed in the data centers.
かかる点に対し、特許文献1には、利用者が共通のURLでサービスにアクセスできるよう、統合サーバでユーザが登録されているリージョンを特定し、特定されたリージョンの認証サーバに対してWebクライアントが認証要求を送信する方法が開示されている。 In response to this point, Patent Document 1 specifies a region in which a user is registered on an integrated server so that a user can access a service with a common URL, and a Web client is used for an authentication server in the specified region. Discloses how to send an authentication request.
上記の通り、統合サーバはユーザIDの登録されているリージョンを特定し、Webクライアントに応答する。また、統合サーバは、未登録のユーザIDの場合には、リージョンを特定できないので、何らかのエラーを返すことになる。悪意の或る者は、適当なユーザIDで統合サーバにアクセスした場合に、統合サーバからの応答内容に基づき、利用したユーザIDの登録の有無を判別可能となる。したがって、登録されている場合には、そのユーザIDを用いてパスワード総当たり攻撃に利用されるなどの、セキュリティ上の問題がある。 As described above, the integrated server identifies the region where the user ID is registered and responds to the Web client. Further, the integrated server cannot specify the region in the case of an unregistered user ID, and therefore returns some error. When a malicious person accesses the integrated server with an appropriate user ID, it is possible to determine whether or not the used user ID is registered based on the response content from the integrated server. Therefore, if it is registered, there is a security problem such as being used for a password brute force attack using the user ID.
本発明は、上述した問題を解決するためになされたものであり、統合サーバのリージョン特定応答によるユーザIDの登録有無の判別を困難にし、セキュリティリスクを低減する技術を提供しようとするものである。 The present invention has been made to solve the above-mentioned problems, and an object of the present invention is to provide a technique for making it difficult to determine whether or not a user ID is registered by a region-specific response of an integrated server and reducing a security risk. ..
この課題を解決するため、例えば本発明の情報処理装置は以下の構成を備える。すなわち、
インターネットを介したクライアント端末から受信したリージョン特定要求に対し、該当するリージョンを表すリージョン情報を前記クライアント端末に送信する情報処理装置であって、
インターネットと通信する通信手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含むリージョン特定要求を受信した場合、前記管理手段のマッピング情報を照合する照合手段と、
該照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答手段とを有する。
In order to solve this problem, for example, the information processing apparatus of the present invention has the following configuration. That is,
An information processing device that transmits region information representing a corresponding region to the client terminal in response to a region identification request received from a client terminal via the Internet.
Communication means to communicate with the Internet and
A management means for managing mapping information associated with user information and region information,
When a region identification request including user information for identifying a user is received from a client terminal via the communication means, a collation means for collating the mapping information of the management means and a collation means.
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
When the collation result of the collation means indicates that the corresponding user information does not exist in the mapping information, the collation means has a response means for transmitting false region information as a response to the client terminal.
本発明によれば、ユーザIDとリージョンのマッピング情報を管理する統合サーバとして機能し、そして、リージョン特定要求した要求元でのユーザIDの登録有無の判別を困難にし、セキュリティリスクを低減させることが可能となる。 According to the present invention, it functions as an integrated server that manages mapping information between a user ID and a region, makes it difficult to determine whether or not a user ID is registered at a request source that requests region identification, and reduces security risk. It will be possible.
以下、添付図面を参照して実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る発明を限定するものでない。実施形態には複数の特徴が記載されているが、これらの複数の特徴の全てが発明に必須のものとは限らず、また、複数の特徴は任意に組み合わせられてもよい。さらに、添付図面においては、同一若しくは同様の構成に同一の参照番号を付し、重複した説明は省略する。 Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. The following embodiments do not limit the invention according to the claims. Although a plurality of features are described in the embodiment, not all of the plurality of features are essential for the invention, and the plurality of features may be arbitrarily combined. Further, in the attached drawings, the same or similar configurations are given the same reference numbers, and duplicate explanations are omitted.
[第1の実施形態]
本実施形態に係る情報処理システムのネットワーク構成例について、図1のブロック図を用いて説明する。
[First Embodiment]
An example of a network configuration of an information processing system according to this embodiment will be described with reference to the block diagram of FIG.
システムは、インターネット100に接続されるWebクライアント101、統合サーバ130、及び、データセンター110、120を有する。Webクライアント101はWebブラウザの機能を搭載したクライアント端末であり、cookie等のWeb技術を利用することができる。データセンター110、120は互いに独立している。実施形態では、便宜上、データセンターが設置されている地域を元にした識別名でデータセンターを区別することとし、以降、データセンター110をUSリージョン、データセンター120をEUリージョンと呼称する。
The system has a
USリージョン110内のコンピュータネットワーク111には、リバースプロキシサーバ112、認証サーバ113、リソースサーバ114が接続されている。また、EUリージョン120内のコンピュータネットワーク121には、リバースプロキシサーバ122、認証サーバ123、リソースサーバ124が接続されている。なお、リージョンとは国、地域と言ったある一定の範囲を指す用語であり、リージョンの範囲に限定はない。USリージョン110とEUリージョン120には同様のサーバ構成が構築されている。リバースプロキシサーバ112および122は、外部からのアクセス要求をネットワーク内部のサーバに振り分ける役割を持つ。例えば、リバースプロキシサーバは、URLのパス名から認証サーバへ振り分けるのか、リソースサーバへ振り分けるのかを判断する。リバースプロキシサーバ112と122はそれぞれリージョン固有の異なるドメイン名が割り当てられ、URLのドメイン名も異なる。従って、アクセスはリージョン毎に分離されることになる。Webクライアント101からリバースプロキシサーバ112へのアクセスは認証サーバ113およびリソースサーバ114に振り分けられる。一方、Webクライアント101からリバースプロキシサーバ122へのアクセスは、認証サーバ123およびリソースサーバ124に振り分けられる。また、リバースプロキシサーバ112および122がアクセス要求を受信する。このため、認証サーバ113とリソースサーバ114のドメイン名およびドメインは同じになり、同様に認証サーバ123とリソースサーバ124のドメイン名およびドメインも同じになる。認証サーバ113および123は、Webクライアント101からの要求に対して認証を行う。リソースサーバ114は認証サーバ113に認証されたことに応じてWebアプリケーションサービスを提供する。また、リソースサーバ124は、認証サーバ123に認証されたことに応じてWebアプリケーションサービスを提供する。
A
統合サーバ130は、ワールドワイドで共通のURLを受け付けるために用意された、Webクライアント101と通信可能なサーバである。統合サーバ130は、USリージョン110やEUリージョン120とは別のデータセンターに配備されてもよいし、USリージョン110あるいはEUリージョン120に配備されてもよい。また、統合サーバを複数のデータセンターに配備し、GeoDNS(不図示)を用いて共通のURLを付与するようにしてもよい。GeoDNSとはアクセスを要求しているクライアントからネットワーク的に近いサーバへ要求を転送する仕組みである。例えばWebクライアント101が統合サーバの共通URLへアクセスを要求した場合であって、Webクライアント101の配置位置がネットワーク上におけるUSリージョン110に近い場合、USリージョン110に配備された統合サーバ130に要求が転送される。
The
Webクライアント101、各種サーバは、情報処理装置としての基本的な構成を有する。図2は、情報処理装置が有するハードウェア構成を示している。
The
情報処理装置は、CPU200、RAM201、ROM202、ネットワークインタフェース203、外部記憶装置204、表示装置205、入力装置206を備えている。
The information processing device includes a
CPU200は、情報処理装置を構成する各部の動作制御を行うと共に、情報処理装置が行うものとして後述する各種の処理を実行する主体となる。RAM201は、データや制御情報を一時的に格納するメモリであり、CPU200が各種の処理を実行する際に用いるワークエリアとなる。ROM202には、情報処理装置の固定の動作パラメータや動作プログラム等が格納される。
The
ネットワークインタフェース203は、インターネット100、コンピュータネットワーク111および121に接続して通信するための機能を提供するものである。情報処理装置は、このネットワークインタフェース203によって、外部装置とデータの送受信を行うことができる。
The
外部記憶装置204は、データを記憶する装置であり、データの読み書きを行うためのI/Oコマンドを受け付けるインタフェースを持つ。外部記憶装置204は、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、半導体記憶装置またはその他の記憶装置であってもよい。外部記憶装置204は、情報処理装置が行うものとして後述する各処理をCPU200に実行させるためのコンピュータプログラムやデータが格納されている。
The
表示装置205は、例えば、LCD(Liquid Crystal Display)などであり、ユーザに必要な情報を表示する。入力装置206は、例えば、キーボードやマウス、タッチパネルなどであり、ユーザから必要な入力を受け付ける。表示装置205及び入力装置206は、ユーザインタフェースを構成することになる。
The
Webクライアント101や各種サーバ(112乃至114、122乃至124、130)は、上記の通り図2の基本構成を有するが、装置の利用形態に応じた固有の構成を有しても良い。例えばWebクライアント101はスマートフォンであれば、図2の構成に加えて、撮像センサや回線接続の構成を有することになる。ただし、固有な構成の説明は、本実施形態の本質から外れるので、ここでは省略する。
The
次に、本実施形態に係るWebクライアント101の機能構成について、図3のブロック図を用いて説明する。図3に示す構成は、Webクライアント101のCPU200がWebクライアントとしてのプログラムを実行した場合の機能構成を表している。
Next, the functional configuration of the
Webクライアント101は、表示制御部300、入力受付部301、リージョン特定要求送信部302、リージョン特定結果受信部303、認証サーバ決定部304、認証要求送信部305、認証結果受信部306を備える。説明の都合上、Webクライアント101のハードウェアが、図2の構成であるものとする。
The
表示制御部300は、表示装置205にログイン画面を表示する。また、表示制御部300は、表示装置205に、後述する認証結果に応じてログイン成功画面およびログイン失敗画面を表示する。
The
入力受付部301は、表示制御部300によって表示されたログイン画面に対し、入力装置206よりユーザIDとパスワードの入力を受け付ける。
The
リージョン特定要求送信部302は、入力受付部301で受け付けたユーザIDをユーザ情報として含むリージョン特定要求を統合サーバ130へ送信する。
The region specifying
リージョン特定結果受信部303は、統合サーバ130より送信されたリージョン特定結果を受信する。
The region identification
認証サーバ決定部304は、リージョン特定結果受信部303によって受信したリージョンに基づき、認証要求を送信する認証サーバを決定する。
The authentication
認証要求送信部305は、入力受付部301で受け付けたユーザIDとパスワードに基づく認証要求を、認証サーバ決定部304によって決定された認証サーバへ送信する。
The authentication
認証結果受信部306は、認証サーバより送信された認証結果を受信する。
The authentication
次に、本実施形態に係るWebクライアント101のログイン処理時の処理手順を、図4のフローチャートを参照して説明する。
Next, the processing procedure at the time of login processing of the
まず、S400にて、表示制御部300は、統合サーバ130よりログイン画面を取得し、表示装置205に表示する。表示されるログイン画面の一例を図5に示す。ログイン画面500は、ユーザがユーザID入力領域501、パスワード入力領域502、入力した情報を確定するボタン503から構成される。なお、ログイン画面は統合サーバ130からの取得に限らず、例えば外部記憶装置204より取得しても構わない。
First, in S400, the
次に、S401にて、入力受付部301は、ユーザから、ログイン画面に対するユーザIDとパスワードの入力を受け付ける(S401)。ここで、ユーザは入力装置206を使って、ログイン画面500のユーザID入力領域501にユーザIDを、パスワード入力領域502にパスワードを入力し、ボタン503を押下することにより入力を確定する。
Next, in S401, the
ユーザIDとパスワードの入力が確定されたことに応じて、S402にて、リージョン特定要求送信部302は、リージョン特定要求を統合サーバ130へ送信する。ここで、リージョン特定要求には、入力受付部301が受け付けたユーザIDが少なくとも含まれる。統合サーバ130は、受信したリージョン特定要求に基づいて該ユーザIDが登録されているリージョンを特定し、Webクライアント101に応答する。統合サーバ130によるリージョンの特定する処理については後述する。
Upon confirming the input of the user ID and password, the region identification
S403にて、リージョン特定結果受信部303は、統合サーバ130からのリージョン特定結果を受信する。
In S403, the region identification
次に、S404にて、認証サーバ決定部304は、受信したリージョン特定結果に基づき、認証要求の送信対象となる認証サーバを決定する。例えば、該ユーザIDが登録されていると特定されたリージョンがUSリージョン110であった場合、認証サーバ決定部304は、USリージョン110の認証サーバ113を認証要求の送信対象として決定する。同様に、該ユーザIDが登録されていると特定されたリージョンがEUリージョン120であった場合、認証サーバ決定部304は、EUリージョン120の認証サーバ123を認証要求の送信対象として決定する。
Next, in S404, the authentication
S405にて、認証要求送信部305は、送信対象として決定された認証サーバに認証要求を送信する。この認証要求には、入力受付部301が受け付けたユーザIDとパスワードが少なくとも含まれる。送信時に指定するURLは、USリージョン110の認証サーバ113が認証要求の送信対象として決定された場合は、USリージョン110に固有のドメイン名を持ったURLとなる。また、EUリージョン120の認証サーバ123が認証要求の送信対象として決定された場合は、EUリージョン120に固有のドメイン名を持ったURLとなる。認証サーバは、受信した認証要求に含まれるユーザIDおよびパスワードに基づいてユーザを認証し、要求元のWebクライアント101に認証結果を応答する。
In S405, the authentication
S406にて、認証結果受信部306は、認証サーバから送信された認証結果を受信する。そして、S407にて、認証結果受信部306は、受信した認証結果が「成功」、「失敗」のいずれであるかを判定する。成功であった場合(S407がYESの場合)、S408にて、表示制御部300は表示装置205にログイン成功画面を表示する(S408)。また、認証サーバからの応答には、認証トークンをCookieに設定する指示が含まれる。一方、認証結果が「失敗」である場合(S407でNOの場合)、S409にて、表示制御部300は表示装置205にログイン失敗画面を表示する。
In S406, the authentication
次に、本実施形態に係る統合サーバ130の機能構成について、図6のブロック図を用いて説明する。図6に示す構成は、統合サーバ130のCPU200が統合サーバとして機能するためのプログラムを実行した場合の機能構成を表している。説明の都合上、統合サーバ130のハードウェアが、図2の構成であるものとする。
Next, the functional configuration of the
統合サーバ130は、リージョン特定要求受信部600、ユーザID変換部601、マッピング情報管理部602、マッピング情報照合部603、リージョン決定部604、リージョン特定結果送信部605を備える。
The
リージョン特定要求受信部600は、ネットワークインタフェース203を介して、Webクライアント101より送信されるリージョン特定要求を受信する。
The region specifying
ユーザID変換部601は、リージョン特定要求に含まれるユーザIDをハッシュ値に変換する。
The user
マッピング情報管理部602は、各リージョンに登録されているユーザIDのハッシュ値と該ユーザが登録されているリージョンとのマッピング情報を、外部記憶装置204に格納保持し、管理する。ユーザIDのハッシュ値を保管するのは、個人情報になり得るユーザIDを保護するためである。
The mapping
マッピング情報照合部603は、ユーザID変換部によって算出されたユーザIDのハッシュ値をキーにしてマッピング情報管理部602で照合(若しくは検索)し、存在したか否かの判定(照合結果)、並びに存在した場合には該当するリージョンを特定する。
The mapping
リージョン決定部604は、リージョン特定要求に含まれるユーザIDに基づき、虚偽のリージョンを決定する。
The
リージョン特定結果送信部605は、マッピング情報照合部603によって特定されたリージョンまたはリージョン決定部604によって決定された虚偽のリージョンのいずれかを表すリージョン情報を、リージョン特定結果として、ネットワークインタフェース203を介して、Webクライアント101に送信する。
The region identification
次に、本実施形態に係る統合サーバ130のリージョン特定処理を、図7のフローチャートを用いて説明する。
Next, the region specifying process of the
まず、S700にて、リージョン特定要求受信部600は、Webクライアント101より送信されたリージョン特定要求を受信する。そして、S701にて、ユーザID変換部601が、受信したリージョン特定要求に含まれるユーザIDのハッシュ値を算出する。
First, in S700, the region specifying
次に、S702にて、マッピング情報照合部603が、S701で得られたユーザIDのハッシュ値を基に、マッピング情報管理部602からリージョンのマッピング情報を照合する。
Next, in S702, the mapping
マッピング情報管理部602で管理される、ユーザIDのハッシュ値とリージョンのマッピング情報の例を図8に示す。第1フィールドの“user_id_hash”は、ユーザIDのハッシュ値を、第2フィールドの“region”はユーザの登録リージョンである。前述のように、ユーザIDをハッシュ化して管理するのは、ユーザIDが個人情報に該当する場合があるためである。
FIG. 8 shows an example of mapping information between the hash value of the user ID and the region managed by the mapping
S703にて、マッピング情報照合部603は、S701の算出で得たハッシュ値に一致するハッシュ値がマッピング情報に存在するか否かを判定する。換言すれば、マッピング情報照合部603は、ユーザIDが登録されているか否かを判定する。
In S703, the mapping
一致するハッシュ値が見つかった場合(S703がYESの場合)、S704にて、リージョン特定結果送信部605が、一致したハッシュ値に対応付けられたリージョンをリージョン特定結果としてWebクライアント101に送信する。
When a matching hash value is found (YES in S703), in S704, the region identification
一方、マッピング情報が見つからない場合(S703でNOの場合)、S705にて、リージョン決定部604は虚偽のリージョンを決定する。そして、S706にて、リージョン特定結果送信部605が、虚偽のリージョンをリージョン特定結果としてWebクライアント101に送信する。
On the other hand, when the mapping information is not found (NO in S703), the
ここで、S705における虚偽のリージョンの決定方法を、図9のフローチャートを用いて説明する。 Here, a method of determining a false region in S705 will be described with reference to the flowchart of FIG.
まず、リージョン決定部604は、S900にて、リージョン特定要求に含まれていたユーザIDにソルト(所定の値もしくは所定の文字列)を付与する。そして、リージョン決定部604は、S901にて、付与したその文字列を入力としたハッシュ関数の出力をハッシュ値として算出する。そして、リージョン決定部604は、S902にて、算出して得たハッシュ値を数値として見立てて、リージョンの総数で除算し、その剰余値を求める。次に、リージョン決定部604は、S903にて、その剰余値に対応したリージョンを虚偽のリージョンとして決定する。
First, the
例えば、本実施形態においては、リージョンの総数は2であり、剰余値が0であればUSリージョン、剰余値が1であればEUリージョンを虚偽のリージョンとして決定する。これにより、ユーザIDから虚偽のリージョンが一意に定まるため、同じユーザIDについてリージョン特定要求を複数回送信されても毎回同じリージョン特定結果が応答される。よって、ユーザIDがいずれかのリージョンに登録されているか否かの判別を困難にすることができる。 For example, in the present embodiment, the total number of regions is 2, and if the remainder value is 0, the US region is determined, and if the remainder value is 1, the EU region is determined as a false region. As a result, a false region is uniquely determined from the user ID, so that the same region identification result is returned each time even if a region identification request is transmitted multiple times for the same user ID. Therefore, it is possible to make it difficult to determine whether or not the user ID is registered in any region.
なお、ユーザIDから虚偽のリージョンを一意に決定する方法はこれに限らず、例えば、S900のソルトの付与は省略しても構わないし、S901でハッシュ値を算出する代わりに、S701で算出されたユーザIDのハッシュ値を代用しても構わない。また、ユーザIDがいずれかのリージョンに登録されると、その前後で統合サーバ130が応答するリージョン特定結果が虚偽のリージョンから真のリージョンに変化するため、この変化を元にユーザIDの登録されたリージョンを判別される可能性がある。これを解決するため、一部または全てのユーザIDに対してソルトやハッシュ関数、ハッシュ値の算出アルゴリズムを定期的に変更しても構わない。
The method of uniquely determining a false region from the user ID is not limited to this, and for example, the addition of the salt of S900 may be omitted, and the hash value is calculated in S701 instead of being calculated in S901. The hash value of the user ID may be substituted. Also, when the user ID is registered in any region, the region identification result that the
以上説明したように、本実施形態の統合サーバ130は、いずれのリージョンにも登録されていないユーザIDについてのリージョン特定要求に対して、ユーザIDから一意に定まる虚偽のリージョンを応答する。そのため、要求元(Webクライアント)のユーザに対して、リージョン特定要求によるユーザIDの登録有無の判別を困難にすることが可能となる。
As described above, the
なお、本実施形態においては、統合サーバ130はリージョン特定結果としてユーザIDが登録されているリージョンを送信し、Webクライアント101はリージョンから認証サーバを決定するが、これに限定されない。例えば、統合サーバ130はリージョン特定結果として、ユーザIDが登録されているリージョンの認証サーバにアクセスするためのURLおよびドメインを送信しても構わない。これにより、Webクライアント101による認証サーバ決定処理を省略し、統合サーバ130で認証要求の送信先を制御することが可能となる。
In the present embodiment, the
また、本実施形態においては、ユーザが登録されているリージョンを特定するが、これに限定されない。例えば、デバイスやクライアントサービスの認証・認可サーバを決定するために、デバイスやクライアントサービスの登録されているリージョンを特定しても構わない。また、Webクライアントが送信する認証要求の認証対象を制御するために、ユーザが登録されている組織やレルムを特定しても構わない。 Further, in the present embodiment, the region in which the user is registered is specified, but the region is not limited to this. For example, in order to determine the authentication / authorization server of the device or client service, the region where the device or client service is registered may be specified. Further, in order to control the authentication target of the authentication request transmitted by the Web client, the organization or realm in which the user is registered may be specified.
[第2の実施形態]
上記第1の実施形態では、統合サーバ130によるリージョン特定処理において、リージョン特定要求を受信する毎に一意に定まる虚偽のリージョンを決定する方法を説明した。
[Second Embodiment]
In the first embodiment, the method of determining a false region uniquely determined each time a region identification request is received in the region identification process by the
本第2の実施形態では、同じユーザIDについてリージョン特定要求を複数回送信されても毎回同じリージョン特定結果を応答する例を説明する。そして、本第2の実施形態では、統合サーバ130は、第1の実施形態で示したマッピング情報に加えて、ユーザIDと虚偽のリージョン情報を関連付けた虚偽用マッピング情報を利用する例を説明する。なお、ネットワーク構成例、ハードウェア構成例、機能構成例、Webクライアント101によるログイン処理については、第1の実施形態と同様のため説明を省略する。
In the second embodiment, an example will be described in which the same region identification result is returned each time even if the region identification request is transmitted a plurality of times for the same user ID. Then, in the second embodiment, an example will be described in which the
本第2の実施形態における虚偽リージョン決定処理(図7のS705)の詳細を、図10のフローチャートを参照して説明する。 The details of the false region determination process (S705 in FIG. 7) in the second embodiment will be described with reference to the flowchart of FIG.
まず、S1000にて、マッピング情報照合部603は、S701で算出されたユーザIDのハッシュ値をキーに、マッピング情報管理部602における虚偽用マッピング情報を照合する。マッピング情報管理部602で管理される虚偽用マッピング情報(外部記憶装置204に記憶保持される)の例を図11に示す。第1フィールドの“user_id_hash”はユーザIDのハッシュ値を、第2フィールドの“fake_region”は過去に応答したユーザIDのハッシュ値に対応する虚偽のリージョン情報である。
First, in S1000, the mapping
S1001にて、マッピング情報照合部603は、虚偽用マッピング情報に、一致するハッシュ値があったか否かを判定する。
In S1001, the mapping
存在した場合(S1001がYESの場合)、リージョン決定部604は、S1002にて、見つかったハッシュ値に対応付けられたリージョンを虚偽のリージョンとして決定する。
If it exists (YES in S1001), the
一方、一致したハッシュ値が存在しなかった場合(S1001がNOの場合)、リージョン決定部604は、S1003にて、リージョンを例えば無作為に決定する。そして、S1004にて、マッピング情報管理部602が、S1003で決定された虚偽のリージョンとユーザIDのハッシュ値を虚偽用マッピング情報に追加登録する。
On the other hand, when the matching hash value does not exist (when S1001 is NO), the
これにより、所定のユーザIDに対する虚偽のリージョンが一意に定まるため、同じユーザIDについてリージョン特定要求を複数回送信されても毎回同じリージョン特定結果が応答される。よって、ユーザIDがいずれかのリージョンに登録されているか否かの判別を困難にすることができる。なお、S1003においてリージョンを無作為に決定する方法を説明したが、これに限らない。 As a result, a false region for a predetermined user ID is uniquely determined, so that the same region identification result is returned each time even if a region identification request is transmitted multiple times for the same user ID. Therefore, it is possible to make it difficult to determine whether or not the user ID is registered in any region. Although the method of randomly determining the region in S1003 has been described, the present invention is not limited to this.
例えば、S700で受信したリージョン特定要求の送信元IPアドレスを解析し、送信元から地理的に遠いリージョンをマッピング情報として記憶するようにしても良い。一般に、物理的な距離が大きくなると通信速度が低下する傾向が高いので、攻撃者による認証サーバへの認証要求送信の頻度を低下させることが可能となる。 For example, the source IP address of the region identification request received by S700 may be analyzed, and the region geographically distant from the source may be stored as mapping information. In general, as the physical distance increases, the communication speed tends to decrease, so that it is possible to reduce the frequency of sending an authentication request to the authentication server by an attacker.
このように、本実施形態に係る情報処理システムによれば、統合サーバ130が、いずれのリージョンにも登録されていないユーザIDについてのリージョン特定要求に対して、ユーザIDから一意に定まる虚偽のリージョンを応答する。そのため、リージョン特定要求によるユーザIDの登録有無の判別を困難にすることが可能となる。
As described above, according to the information processing system according to the present embodiment, the
[第3の実施形態]
上記第1の実施形態では、統合サーバ130によるリージョン特定処理において、リージョン特定要求を受信する毎に一意に定まる虚偽のリージョンを決定する方法を説明した。
[Third Embodiment]
In the first embodiment, the method of determining a false region uniquely determined each time a region identification request is received in the region identification process by the
本第3の実施形態では、統合サーバが虚偽のリージョンとして、認証処理を行わない疑似認証サーバのリージョンを返却する方法について説明する。なお、ハードウェア構成例については、第1の実施形態と同様のため説明を省略する。 In the third embodiment, a method will be described in which the integrated server returns the region of the pseudo-authentication server that does not perform the authentication process as a false region. Since the hardware configuration example is the same as that of the first embodiment, the description thereof will be omitted.
本実施形態に係る情報処理システムのネットワーク構成例について、図12のブロック図を用いて説明する。 An example of the network configuration of the information processing system according to the present embodiment will be described with reference to the block diagram of FIG.
本実施形態では、第1の実施形態のネットワーク構成に加えて、データセンター1240が追加されており、以降、データセンター1240をANリージョンと呼称する。ANリージョン1240内のコンピュータネットワーク1241には疑似認証サーバ1242が接続されている。
In this embodiment, in addition to the network configuration of the first embodiment, a
本実施形態において、疑似認証サーバはANリージョン1240にのみ存在するが、これに限定するものではない。疑似認証サーバは複数のリージョンに存在してよく、また、認証サーバが存在するリージョンにいてもよい。
In this embodiment, the pseudo-authentication server exists only in the
次に、本実施形態に係る統合サーバ130の機能構成について、図13のブロック図を用いて説明する。図13に示す構成は、統合サーバ130のCPU200が統合サーバとして機能するためのプログラムを実行した場合の機能構成を表している。説明の都合上、統合サーバ130のハードウェアが、図2の構成であるものとする。
Next, the functional configuration of the
統合サーバ130は、第1の実施形態の構成に加えて、攻撃者判定部1306を備える。1300~1305までは600~605と同様のため説明を省略する。攻撃者判定部1306では、Webクライアント101より送信されたリージョン特定要求とその付帯情報をもとに、Webクライアントが攻撃者であるかどうかを判定することを行う。
The
次に、本実施形態に係る疑似認証サーバ1242の機能構成について、図14のブロック図を用いて説明する。図14に示す構成は、疑似認証サーバ1242のCPU200が疑似認証サーバとして機能するためのプログラムを実行した場合の機能構成を表している。説明の都合上、疑似認証サーバ1242のハードウェアが、図2の構成であるものとする。
Next, the functional configuration of the
疑似認証サーバ1242は、認証要求受信部1400、疑似認証部1401、発行部1402、認証結果送信部1403を備える。
The
認証要求受信部1400は、ネットワークインタフェース203を介して、Webクライアント101より送信される認証要求を受信する。
The authentication
疑似認証部1401は、認証要求受信部1400で受信した認証要求に対して、疑似認証を行う。疑似認証は常に認証失敗を返すだけの処理としてもよく、認証要求の形式不正のみ、通常の認証処理と同様に検証してもよい。
The
例えば認証サーバ113、114が認証要求のユーザIDに対して特定文字を含む制約を持ち、認証要求のユーザIDに特定文字が含まれていない場合は、形式不正のエラーをWebクライアントに対して応答するとする。その場合、疑似認証部1401は、認証サーバと同様に認証要求のユーザIDに対して特定文字を含んでいるか検証を行い、含まれていない場合は、形式不正のエラーをWebクライアントに対して応答する。
For example, if the
発行部1402は、疑似認証部1401の結果をもとに疑似認証結果を発行する。認証失敗の場合は認証サーバ113、114における認証失敗時の認証結果と同じ疑似認証結果を発行する。または、疑似認証結果として、認証サーバ113、114の認証成功時に発行される認証トークンと同様の形式を持つ、疑似認証トークンを発行してもよい。疑似認証トークンは、通常の認証トークンと同様にWebクライアント101でCookieに設定されるが、利用はできないトークンである。
The
認証結果送信部1403は、発行部1402によって発行された疑似認証結果を、ネットワークインタフェース203を介して、Webクライアント101に送信する。
The authentication
次に、本実施形態に係る統合サーバ130のリージョン特定処理を、図15のフローチャートを用いて説明する。
Next, the region specifying process of the
S1500からS1502までは、第一の実施形態におけるS700からS702までと同様のため説明を省略する。 Since S1500 to S1502 are the same as S700 to S702 in the first embodiment, the description thereof will be omitted.
S1503にて、攻撃者判定部1306はWebクライアント101が攻撃者か否かを判定する。判定処理にはリージョン特定要求とともに受信した付帯情報が利用される。例えば、リージョン特定要求の送信元情報であるIPアドレスを付帯情報として取得し、特定のIPアドレスまたはIPアドレス範囲であった場合に攻撃者と判定する。また、正規のWebクライアント101にのみ、リージョン特定要求とともに付帯情報として特定の文字列を送信させ、その付帯情報の有無で攻撃者か否かを判定することもできる。
In S1503, the
さらに、攻撃者判定部1306はマッピング情報照合部1303の照合結果と、リージョン特定要求の付帯情報とを関連付けてリージョン特定要求履歴として保存し、攻撃者判定に利用してもよい。付帯情報であるIPアドレスと照合結果を関連付けて保存し、同一IPアドレスで所定時間内に一定回数以上の照合失敗履歴が存在する場合、当該IPアドレスからのリージョン特定要求は攻撃者であると判定してもよい。
Further, the
攻撃者でないと判定された場合(S1503がNOの場合)、S1504にて、マッピング情報照合部1303は、S703と同様にS1501の算出で得たハッシュ値がマッピング情報に存在するか否かを判定する。
When it is determined that the person is not an attacker (when S1503 is NO), in S1504, the mapping
一致するハッシュ値が見つかった場合(S1504がYESの場合)、S1505にて、リージョン特定結果送信部1305が、S704と同様にリージョン特定結果をWebクライアント101に送信する。
When a matching hash value is found (YES in S1504), in S1505, the region identification
一方、攻撃者と判定された場合(S1503がYESの場合)や、マッピング情報が見つからない場合(S1504でNOの場合)、S1506にて、リージョン決定部1304は虚偽のリージョンを決定する。そして、S1507にて、リージョン特定結果送信部1305が、S706と同様に虚偽のリージョンをリージョン特定結果としてWebクライアント101に送信する。
On the other hand, if it is determined to be an attacker (YES in S1503) or if the mapping information cannot be found (NO in S1504), the
ここで、S1506における虚偽のリージョンの決定方法は、図9のフローチャートと同様である。ただしS902およびS903にて、認証サーバのリージョンではなく疑似認証サーバのリージョンを利用する。 Here, the method of determining the false region in S1506 is the same as the flowchart of FIG. However, in S902 and S903, the region of the pseudo authentication server is used instead of the region of the authentication server.
リージョン決定部1304は、S902にて、算出して得たハッシュ値を数値として見立てて、疑似認証サーバのリージョンの総数で除算し、その剰余値を求める。次に、リージョン決定部1304は、S903にて、その剰余値に対応した疑似認証サーバのリージョンを虚偽のリージョンとして決定する。
The
以上説明したように、本実施形態の統合サーバ130は、いずれのリージョンにも登録されていないユーザIDについてのリージョン特定要求に対して、ユーザIDから一意に定まる虚偽のリージョンを応答する。さらに、攻撃者と判定された要求元(Webクライアント)に対しても、虚偽のリージョンを応答する。その際、虚偽のリージョンは疑似認証サーバのリージョンから選択される。そのため、要求元(Webクライアント)のユーザに対して、リージョン特定要求によるユーザIDの登録有無の判別を困難にするとともに、疑似認証サーバを利用することで認証サーバに掛かる負担を軽減できる。
As described above, the
[第4の実施形態]
上記第3の実施形態では、統合サーバ130によるリージョン特定処理において、認証処理を行わない疑似認証サーバのリージョンを虚偽のリージョンとして返却する方法について説明した。
[Fourth Embodiment]
In the third embodiment, the method of returning the region of the pseudo-authentication server that does not perform the authentication process as a false region in the region identification process by the
本第4の実施形態では、統合サーバはWebクライアントが攻撃者であるか否かを判定し、認証サーバへ通知することで、認証サーバの認証処理を省略する方法について説明する。なお、ネットワーク構成例、ハードウェア構成例については、第1の実施形態と同様のため説明を省略する。 In the fourth embodiment, a method will be described in which the integrated server determines whether or not the Web client is an attacker and notifies the authentication server to omit the authentication process of the authentication server. Since the network configuration example and the hardware configuration example are the same as those in the first embodiment, the description thereof will be omitted.
次に、本実施形態に係る統合サーバ130の機能構成について、図16のブロック図を用いて説明する。図16に示す構成は、統合サーバ130のCPU200が統合サーバとして機能するためのプログラムを実行した場合の機能構成を表している。説明の都合上、統合サーバ130のハードウェアが、図2の構成であるものとする。
Next, the functional configuration of the
統合サーバ130は、第3の実施形態の構成に加えて、攻撃者情報通知部1607を備える。1600~1606までは1300~1306と同様のため説明を省略する。攻撃者情報通知部1307では、攻撃者判定部1606で攻撃者と判定されたWebクライアントの情報を、各認証サーバに通知することを行う。通知する情報は攻撃者を特定できる情報であればよく、WebクライアントのIPアドレスの情報などが利用できる。
The
次に、本実施形態に係る統合サーバ130のリージョン特定処理に関しても、図15のフローチャートと同様であるが、一部の処理において異なるため、その処理についてのみ説明する。
Next, the region specifying process of the
S1503にて、攻撃者判定部1606はWebクライアント101が攻撃者か否かを判定する。判定方法は第3の実施形態と同様であるが、攻撃者と判定した場合は、攻撃者情報通知部1607が各認証サーバに対して、攻撃者情報を通知する。
In S1503, the
S1506における虚偽のリージョンの決定方法は、図9のフローチャートと同様であり、第1の実施形態と同様に認証サーバの中から虚偽のリージョンを決定する。 The method of determining the false region in S1506 is the same as the flowchart of FIG. 9, and the false region is determined from the authentication server as in the first embodiment.
次に、本実施形態に係る認証サーバ113、114の機能構成について、図17のブロック図を用いて説明する。
Next, the functional configurations of the
認証サーバ113、123はそれぞれ、認証要求受信部1700、認証情報管理部1701、認証部1702、発行部1703、攻撃者情報利用部1704、疑似認証部1705、認証結果送信部1706を備える。
The
認証要求受信部1700は、ネットワークインタフェース203を介して、Webクライアント101より送信される認証要求を受信する。
The authentication
認証情報管理部1701は、各認証サーバに登録されているユーザのユーザIDとパスワードを関連付けた認証情報を、外部記憶装置204に格納保持し、管理する。
The authentication
認証部1702は、認証要求受信部1700によって受信した認証要求と認証情報管理部1701が管理する認証情報とを照合してユーザを認証する。
The
発行部1703は、ユーザが認証されたことを示す認証トークンを発行する。
Issuing
攻撃者情報利用部1704は、統合サーバ130より通知された攻撃者情報を格納保持する。それに加えて、認証要求を送信したWebクライアント101が攻撃者であるかどうかを、格納した攻撃者情報をもとに判断する。
The attacker
疑似認証部1705は、攻撃者情報利用部1704で攻撃者と判定された認証要求に対して、第3の実施形態における統合サーバの疑似認証部1401と同様に、疑似認証を行う。その場合、発行部1703は、第3の実施形態における統合サーバの発行部1402と同様に、疑似認証部1705の結果をもとに疑似認証結果を発行する。
The
認証結果送信部1706は、発行部1703によって発行された認証トークンまたは疑似認証結果を、ネットワークインタフェース203を介して、Webクライアント101に送信する。
The authentication
次に、本実施形態に係る認証サーバ113、123の認証処理を、図18のフローチャートを用いて説明する。
Next, the authentication process of the
まず、S1800にて、認証要求受信部1700は、Webクライアント101より送信された認証要求を受信する。
First, in S1800, the authentication
次に、S1801にて、攻撃者情報利用部1704が認証要求を送信したWebクライアント101が攻撃者であるか否かを判定する。攻撃者であると判断した場合(S1801でYESの場合)、S1807に進む。攻撃者でないと判断した場合(S1801でNOの場合)は、S1802に進む。
Next, in S1801, the attacker
次に、S1802にて、認証部1702が、S1800で受信した認証要求に含まれるユーザID及びパスワードと、認証情報管理部1701が管理する認証情報とを照合する。
Next, in S1802, the
該ユーザIDが認証情報管理部1701に登録されており、パスワードも一致する場合(S1803がYESの場合)、S1804にて、発行部1703が、認証トークンを発行する。そして、S1805にて、認証結果送信部1706が、認証トークンを認証結果としてWebクライアント101に送信する。一方、パスワードが一致しない場合(S1803がNOの場合)、S1806にて、認証結果送信部1706が、認証結果を認証失敗としてWebクライアント101に送信する。
When the user ID is registered in the authentication
次に、S1807にて、疑似認証部1705で疑似認証を行うとともに、発行部1703にて疑似認証結果を発行する。疑似認証および疑似認証結果の発行は第3の実施形態と同様のため説明を省略する。
Next, in S1807, the
次に、S1808にて、認証結果送信部1706は、発行部1402によって発行された疑似認証結果を、ネットワークインタフェース203を介して、Webクライアント101に送信する。
Next, in S1808, the authentication
以上説明したように、本実施形態においては、統合サーバ130はWebクライアント101が攻撃者であるか否かを判定し、認証サーバ113、123へ通知することで、認証サーバの認証処理の代わりに疑似認証をおこなう。これにより、疑似認証サーバを置くことなく、攻撃者のリクエストに対して各認証サーバに掛かる負荷を低減することが可能となる。
As described above, in the present embodiment, the
[第5の実施形態]
上記第1の実施形態では、統合サーバ130によるリージョン特定処理において、リージョン特定要求を受信する毎に一意に定まる虚偽のリージョンを決定する方法を説明した。
[Fifth Embodiment]
In the first embodiment, the method of determining a false region uniquely determined each time a region identification request is received in the region identification process by the
本第5の実施形態では、統合サーバに代わって認証サーバがリージョンを特定し応答する例を説明する。なお、ネットワーク構成例、ハードウェア構成例については、第1の実施形態と同様のため説明を省略する。 In the fifth embodiment, an example in which the authentication server identifies and responds to a region on behalf of the integrated server will be described. Since the network configuration example and the hardware configuration example are the same as those in the first embodiment, the description thereof will be omitted.
まず、本第5の実施形態に係るWebクライアント101の機能構成について、図19のブロック図を用いて説明する。図19に示す構成は、Webクライアント101のCPU200がWebクライアントとしてのプログラムを実行した場合の機能構成を表している。
First, the functional configuration of the
Webクライアント101は、表示制御部1900、入力受付部1901、認証サーバ決定部1902、認証要求送信部1903、認証結果受信部1904、認証要求再送信部1905を備える。説明の都合上、Webクライアント101のハードウェアが、図2の構成であるものとする。
The
表示制御部1900は、表示装置205にログイン画面を表示する。また、表示制御部1900は、表示装置205に、後述する認証結果に応じてログイン成功画面およびログイン失敗画面を表示する。
The
入力受付部1901は、表示制御部1900によって表示されたログイン画面に対し、入力装置206よりユーザIDとパスワードの入力を受け付ける。
The
認証サーバ決定部1902は、認証要求を送信する第一の認証サーバ、及び、第二の認証サーバを決定する。
The authentication
認証要求送信部1903は、入力受付部1901で受け付けたユーザIDとパスワードに基づく1回目の認証要求を、認証サーバ決定部1902によって決定された第一の認証サーバへ送信する。
The authentication
認証結果受信部1904は、認証サーバより送信された認証結果を受信する。
The authentication
認証要求再送信部1905は、入力受付部1901で受け付けたユーザIDとパスワードに基づく2回目の認証要求を、認証サーバ決定部1902によって決定された第二の認証サーバへ送信する。
The authentication
次に、本第5の実施形態に係るWebクライアント101のログイン処理時の処理手順を、図20のフローチャートを参照して説明する。
Next, the processing procedure at the time of login processing of the
まず、S2000にて、表示制御部1900は、統合サーバ130よりログイン画面を取得し、表示装置205に表示する。表示されるログイン画面については、第1の実施形態と同様のため説明を省略する。
First, in S2000, the
次に、S2001にて、入力受付部1901は、ユーザから、ログイン画面に対するユーザIDとパスワードの入力を受け付ける。ここで、ユーザは入力装置206を使って、ログイン画面500のユーザID入力領域501にユーザIDを、パスワード入力領域502にパスワードを入力し、ボタン503を押下することにより入力を確定する。
Next, in S2001, the
ユーザIDとパスワードの入力が確定されたことに応じて、S2002にて、認証サーバ決定部1902は、認証要求の送信対象となる第一の認証サーバを決定する。例えば、Webクライアント101のIPアドレスがUSリージョン110に近い場合、認証サーバ決定部1902は、USリージョン110の認証サーバ113を第一の認証サーバとして決定する。同様に、Webクライアント101のIPアドレスがEUリージョン120に近い場合、認証サーバ決定部1902は、EUリージョン120の認証サーバ123を第一の認証サーバとして決定する。このように、ユーザが利用するWebクライアントに近い認証サーバを第一の認証サーバとして決定することにより、後述する1回目の認証要求で該ユーザを認証できる可能性が高くなる。
In S2002, the authentication
次に、S2003にて、認証要求送信部1903は、送信対象として決定された第一の認証サーバに1回目の認証要求を送信する。この認証要求には、入力受付部1901が受け付けたユーザIDとパスワードが少なくとも含まれる。送信時に指定するURLは、USリージョン110の認証サーバ113が認証要求の送信対象として決定された場合は、USリージョン110に固有のドメイン名を持ったURLとなる。また、EUリージョン120の認証サーバ123が認証要求の送信対象として決定された場合は、EUリージョン120に固有のドメイン名を持ったURLとなる。認証サーバは、受信した認証要求に含まれるユーザIDおよびパスワードに基づいてユーザを認証、または、リージョンを決定し、要求元のWebクライアント101に認証結果として応答する。認証サーバによるユーザの認証、及び、リージョンの決定処理については後述する。
Next, in S2003, the authentication
S2004にて、認証結果受信部1904は、第一の認証サーバから送信された認証結果を受信する。そして、S2005にて、認証結果受信部1904は、受信した認証結果が認証トークンであるか、リージョンであるかを判定する。認証トークンであった場合(S2005がYESの場合)、S2006にて、表示制御部1900は表示装置205にログイン成功画面を表示する。一方、認証結果がリージョンである場合(S2005がNOの場合)、S2007にて、認証サーバ決定部1902は、受信したリージョンに基づき、認証要求の再送信対象となる第二の認証サーバを決定する。例えば、受信したリージョンがUSリージョン110であった場合、認証サーバ決定部1902は、USリージョン110の認証サーバ113を第二の認証サーバとして決定する。同様に、受信したリージョンがEUリージョン120であった場合、認証サーバ決定部1902は、EUリージョン120の認証サーバ123を第二の認証サーバとして決定する。
In S2004, the authentication
次に、S2008にて、認証要求再送信部1905は、送信対象として決定された第二の認証サーバに2回目の認証要求を送信する。この認証要求には、入力受付部1901が受け付けたユーザIDとパスワードが少なくとも含まれる。送信時に指定するURLは、USリージョン110の認証サーバ113が認証要求の送信対象として決定された場合は、USリージョン110に固有のドメイン名を持ったURLとなる。また、EUリージョン120の認証サーバ123が認証要求の送信対象として決定された場合は、EUリージョン120に固有のドメイン名を持ったURLとなる。認証サーバは、受信した認証要求に含まれるユーザIDおよびパスワードに基づいてユーザを認証、または、リージョンを決定し、要求元のWebクライアント101に認証結果として応答する。
Next, in S2008, the authentication
S2009にて、認証結果受信部1904は、第二の認証サーバから送信された認証結果を受信する。そして、S2010にて、認証結果受信部1904は、受信した認証結果が認証トークンであるか、リージョンであるかを判定する。認証トークンであった場合(S2010がYESの場合)、S2006にて、表示制御部1900は表示装置205にログイン成功画面を表示する。一方、認証結果がリージョンである場合(S2010がNOの場合)、S2011にて、表示制御部1900は表示装置205にログイン失敗画面を表示する。
In S2009, the authentication
次に、本第5の実施形態に係る認証サーバ113、123の機能構成について、図21のブロック図を用いて説明する。図21に示す構成は、認証サーバ113、123のCPU200が認証サーバとして機能するためのプログラムを実行した場合の機能構成を表している。説明の都合上、認証サーバ113、123のハードウェアが、図2の構成であるものとする。
Next, the functional configurations of the
認証サーバ113、123はそれぞれ、認証要求受信部2100、認証情報管理部2101、認証部2102、発行部2103、ユーザID変換部2104、マッピング情報管理部2105、マッピング情報照合部2106、リージョン決定部2107、認証結果送信部2108を備える。
The
認証要求受信部2100は、ネットワークインタフェース203を介して、Webクライアント101より送信される認証要求を受信する。
The authentication
認証情報管理部2101は、各認証サーバに登録されているユーザのユーザIDとパスワードを関連付けた認証情報を、外部記憶装置204に格納保持し、管理する。
The authentication
認証部2102は、認証要求受信部2100によって受信した認証要求と認証情報管理部2101が管理する認証情報とを照合してユーザを認証する。
The
発行部2103は、ユーザが認証されたことを示す認証トークンを発行する。
The
ユーザID変換部2104は、認証要求に含まれるユーザIDをハッシュ値に変換する。
The user
マッピング情報管理部2105は、各リージョンに登録されているユーザIDのハッシュ値と該ユーザが登録されているリージョンとのマッピング情報を、外部記憶装置204に格納保持し、管理する。ユーザIDのハッシュ値を保管するのは、個人情報になり得るユーザIDを保護するためである。
The mapping
マッピング情報照合部2106は、ユーザID変換部によって算出されたユーザIDのハッシュ値をキーにしてマッピング情報管理部2105で照合(若しくは検索)し、存在したか否かの判定(照合結果)、並びに存在した場合には該当するリージョンを特定する。
The mapping
リージョン決定部2107は、認証要求に含まれるユーザIDに基づき、虚偽のリージョンを決定する。
The
認証結果送信部2108は、発行部2103によって発行された認証トークン、またはマッピング情報照合部2106によって特定されたリージョン、またはリージョン決定部2107によって決定された虚偽のリージョンのいずれかを表す認証結果を、ネットワークインタフェース203を介して、Webクライアント101に送信する。
The authentication
次に、本第5の実施形態に係る認証サーバ113、123の認証処理を、図22のフローチャートを用いて説明する。
Next, the authentication process of the
まず、S2200にて、認証要求受信部2100は、Webクライアント101より送信された認証要求を受信する。
First, in S2200, the authentication
次に、S2201にて、認証部2102が、S2200で受信した認証要求に含まれるユーザID及びパスワードと、認証情報管理部2101が管理する認証情報とを照合する。
Next, in S2201, the
該ユーザIDが認証情報管理部2101に登録されており(S2202がYESの場合)、パスワードも一致する場合(S2203がYESの場合)、S2204にて、発行部2103が、認証トークンを発行する。そして、S2205にて、認証結果送信部2108が、認証トークンを認証結果としてWebクライアント101に送信する。一方、パスワードが一致しない場合(S2203がNOの場合)、S2206にて、リージョン決定部2107は虚偽のリージョンを決定する。そして、S2207にて、認証結果送信部2108が、虚偽のリージョンを認証結果としてWebクライアント101に送信する。なお、虚偽のリージョンの決定方法については、第1の実施形態のS705と同様であるため説明を省略する。
If the user ID is registered in the authentication information management unit 2101 (when S2202 is YES) and the passwords match (when S2203 is YES), the
該ユーザIDが認証情報管理部2101に登録されていない場合(S2202がNOの場合)、S2208にて、ユーザID変換部2104が、S2200で受信した認証要求に含まれるユーザIDのハッシュ値を算出する。
When the user ID is not registered in the authentication information management unit 2101 (when S2202 is NO), the user
次に、S2209にて、マッピング情報照合部2106が、S2208で得られたユーザIDのハッシュ値を基に、マッピング情報管理部2105からリージョンのマッピング情報を照合する。リージョンのマッピング情報については、第1の実施形態の例と同様であるため説明を省略する。
Next, in S2209, the mapping
ハッシュ値に一致するマッピング情報が見つかった場合(S2210がYESの場合)、S2211にて、認証結果送信部2108が、一致したハッシュ値に対応付けられたリージョンを認証結果としてWebクライアント101に送信する。
When the mapping information matching the hash value is found (when S2210 is YES), in S2211, the authentication
一方、マッピング情報が見つからない場合(S2210がNOの場合)、S2212にて、リージョン決定部2107は虚偽のリージョンを決定する。そして、S2213にて、認証結果送信部2108が、虚偽のリージョンを認証結果としてWebクライアント101に送信する。なお、虚偽のリージョンの決定方法については、第1の実施形態のS705と同様であるため説明を省略する。
On the other hand, when the mapping information is not found (when S2210 is NO), the
以上説明したように、本第5の実施形態の認証サーバ113、123は、正しいユーザIDとパスワードを含む認証要求に対して、認証トークンを応答する。Webクライアント101が該ユーザIDの登録されている認証サーバを第一の認証サーバとして決定し1回目の認証要求を送信した場合、1回のWebクライアントと認証サーバ間の通信でログインが完了するため、ユーザビリティが向上する。さらに、いずれのリージョンにも登録されていないユーザIDについての認証要求、及び、パスワード誤りの認証要求に対して、ユーザIDから一意に定まる虚偽のリージョンを応答するため、ユーザIDの登録有無の判別を困難にすることも可能となる。
As described above, the
なお、本第5の実施形態においては、認証サーバ113、123は、ユーザIDから一意に定まる虚偽のリージョンを決定し応答するが、この決定方法を認証サーバ間で共通にしても構わない。これにより、ユーザID毎に応答されるリージョンが各認証サーバで一意になるため、ユーザIDの登録有無の判別をさらに困難にすることが可能となる。
In the fifth embodiment, the
(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
(Other examples)
The present invention supplies a program that realizes one or more functions of the above-described embodiment to a system or device via a network or storage medium, and one or more processors in the computer of the system or device reads and executes the program. It can also be realized by the processing to be performed. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.
発明は上記実施形態に制限されるものではなく、発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、発明の範囲を公にするために請求項を添付する。 The invention is not limited to the above embodiment, and various modifications and modifications can be made without departing from the spirit and scope of the invention. Therefore, a claim is attached to publicize the scope of the invention.
100…インターネット、101…Webクライアント、110…USリージョン、120…EPリージョン、112、122…リバースプロキシサーバ、113,123…認証サーバ、114,124…リソースサーバ、130…統合サーバ、600…リージョン特定要求受信部、601…ユーザID変換部、602…マッピング情報管理部、603…マッピング情報照合部、604…リージョン決定部、605…リージョン特定結果送信部 100 ... Internet, 101 ... Web client, 110 ... US region, 120 ... EP region, 112, 122 ... Reverse proxy server, 113, 123 ... Authentication server, 114, 124 ... Resource server, 130 ... Integrated server, 600 ... Region identification Request receiving unit, 601 ... User ID conversion unit, 602 ... Mapping information management unit, 603 ... Mapping information collating unit, 604 ... Region determination unit, 605 ... Region specific result transmission unit
Claims (29)
インターネットと通信する通信手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含むリージョン特定要求を受信した場合、前記管理手段のマッピング情報を照合する照合手段と、
該照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答手段と
を有することを特徴とする情報処理装置。 An information processing device that transmits region information representing a corresponding region to the client terminal in response to a region identification request received from a client terminal via the Internet.
Communication means to communicate with the Internet and
A management means for managing mapping information associated with user information and region information,
When a region identification request including user information for identifying a user is received from a client terminal via the communication means, a collation means for collating the mapping information of the management means and a collation means.
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
Information processing characterized by having a response means for transmitting false region information as a response to the client terminal when the collation result of the collation means indicates that the corresponding user information does not exist in the mapping information. Device.
前記管理手段は、ユーザIDのハッシュ値とリージョン情報とを対にした情報を前記マッピング情報として管理し、
前記照合手段は、受信したリージョン特定要求に含まれるユーザIDからハッシュ値を求め、当該ハッシュ値をキーに前記マッピング情報を検索することで照合を行う
ことを特徴とする請求項1に記載の情報処理装置。 The user information includes a user ID that identifies the user, and includes a user ID.
The management means manages the information obtained by pairing the hash value of the user ID and the region information as the mapping information.
The information according to claim 1, wherein the collation means obtains a hash value from a user ID included in a received region identification request, and performs collation by searching for the mapping information using the hash value as a key. Processing equipment.
ことを特徴とする請求項1に記載の情報処理装置。 When the matching result of the matching means indicates that the mapping information does not have a value matching the hash value of the corresponding user ID, the response means is a falsehood uniquely determined by the numerical value represented by the hash value of the user ID. The information processing apparatus according to claim 1, wherein the region information of the above is transmitted as a response.
ことを特徴とする請求項3に記載の情報処理装置。 The response means responds with information representing a region specified by a residual value when the numerical value represented by the hash value of the user ID is divided by the number of regions managed by the management means as the false region information. The information processing apparatus according to claim 3, wherein the information processing apparatus is to be used.
前記応答手段は、
前記照合手段の照合結果が、前記マッピング情報に該当するユーザIDのハッシュ値に一致する値が存在せず、且つ、前記虚偽用マッピング情報に一致する値が存在することを示す場合には、当該虚偽用マッピング情報における該当する虚偽のリージョン情報を応答し、
前記照合手段の照合結果が、前記マッピング情報に該当するユーザIDのハッシュ値に一致する値が存在せず、且つ、前記虚偽用マッピング情報にも一致する値が存在しないことを示す場合は、前記ユーザIDのハッシュ値と新たな虚偽のリージョン情報の対を前記虚偽用マッピング情報に登録し、前記新たな虚偽のリージョン情報を応答する
ことを特徴とする請求項1に記載の情報処理装置。 The management means further manages false mapping information in which a hash value of a user ID that does not exist in the mapping information and the false region information are paired.
The response means
When the collation result of the collation means does not have a value matching the hash value of the user ID corresponding to the mapping information and there is a value matching the false mapping information, the relevant value is applicable. In response to the relevant false region information in the false mapping information,
When the collation result of the collation means does not have a value matching the hash value of the user ID corresponding to the mapping information and there is no matching value in the false mapping information, the above is described. The information processing apparatus according to claim 1, wherein a pair of a hash value of a user ID and a new false region information is registered in the false mapping information, and the new false region information is returned.
前記応答手段は、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合に加え、前記攻撃者判定手段により前記クライアント端末が攻撃者であると判断された場合にも、虚偽のリージョン情報を応答として送信する
ことを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。 Further having an attacker determination means for determining whether the client terminal is an attacker,
The response means provides false region information even when the attacker determination means determines that the client terminal is an attacker, in addition to indicating that the corresponding user information does not exist in the mapping information. The information processing apparatus according to any one of claims 1 to 5, wherein the information processing apparatus is transmitted as a response.
ことを特徴とする請求項6に記載の情報処理装置。 The information processing device according to claim 6, wherein the attacker determination means determines whether or not the attacker is an attacker based on a region identification request sent from a client terminal and incidental information thereof.
ことを特徴とする請求項6に記載の情報処理装置。 The attacker determination means stores the region identification request sent from the client terminal and its incidental information as a region identification request history associated with the result of the collation means, and determines whether or not the region identification request history is an attacker. The information processing apparatus according to claim 6, wherein the information processing apparatus is used for determination.
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含むリージョン特定要求を受信した場合、前記管理手段のマッピング情報を照合する照合工程と、
該照合工程の照合結果が、該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記照合工程の照合結果が、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答工程と
を有することを特徴とする情報処理装置の制御方法。 It has a communication means for communicating with the Internet and a management means for managing mapping information in which user information and region information are associated with each other, and is a region corresponding to a region identification request received from a client terminal via the communication means. It is a control method of an information processing device that transmits region information representing the above to the client terminal.
When a region identification request including user information for identifying a user is received from a client terminal via the communication means, a collation step for collating the mapping information of the management means and a collation step.
When the collation result of the collation step indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
Information processing characterized by having a response step of transmitting false region information as a response to the client terminal when the collation result of the collation step indicates that the corresponding user information does not exist in the mapping information. How to control the device.
前記統合サーバは、
インターネットと通信する通信手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含むリージョン特定要求を受信した場合、前記管理手段のマッピング情報を照合する照合手段と、
前記クライアント端末が攻撃者であるかどうかを判定する攻撃者判定手段と、
該照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合に加え、前記攻撃者判定手段により前記クライアント端末が攻撃者であると判断された場合にも、疑似認証サーバのリージョン情報を送信する応答手段とを有し、
前記認証サーバは、
インターネットと通信する通信手段と、
前記通信手段を介して、前記クライアント端末から認証要求を受信した場合にユーザを認証する認証手段と、
前記認証手段の認証結果が認証に成功したことを示す場合は、認証トークンを応答とし、認証に失敗した場合は認証失敗を応答として、前記クライアント端末に送信する応答手段とを有し、
前記疑似認証サーバは、
インターネットと通信する通信手段と、
前記通信手段を介して、前記クライアント端末から認証要求を受信した場合にユーザを疑似認証する疑似認証手段と、
前記疑似認証手段の疑似認証結果を応答として前記クライアント端末に送信する応答手段とを有する
ことを特徴とするシステム。 A system that includes an integrated server deployed in one or more regions, an authentication server deployed in one or more regions, and a pseudo-authentication server deployed in one or more regions.
The integrated server is
Communication means to communicate with the Internet and
A management means for managing mapping information associated with user information and region information,
When a region identification request including user information for identifying a user is received from a client terminal via the communication means, a collation means for collating the mapping information of the management means and a collation means.
An attacker determination means for determining whether the client terminal is an attacker,
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
In addition to the case where the collation result of the collation means indicates that the corresponding user information does not exist in the mapping information, the pseudo authentication is also performed when the client terminal is determined to be an attacker by the attacker determination means. It has a response means to send the region information of the server,
The authentication server is
Communication means to communicate with the Internet and
An authentication means that authenticates a user when an authentication request is received from the client terminal via the communication means, and an authentication means.
When the authentication result of the authentication means indicates that the authentication is successful, the authentication token is used as a response, and when the authentication fails, the authentication failure is used as a response and the response means is transmitted to the client terminal.
The pseudo authentication server is
Communication means to communicate with the Internet and
A pseudo-authentication means that pseudo-authenticates a user when an authentication request is received from the client terminal via the communication means, and a pseudo-authentication means.
A system including a response means for transmitting a pseudo-authentication result of the pseudo-authentication means to the client terminal as a response.
ことを特徴とする請求項11に記載のシステム。 The system according to claim 11, wherein the attacker determination means in the integrated server determines whether or not the attacker is an attacker based on a region identification request sent from a client terminal and incidental information thereof. ..
ことを特徴とする請求項11に記載のシステム。 The attacker determination means in the integrated server stores the region identification request sent from the client terminal and its incidental information as a region identification request history associated with the result of the matching means, and determines whether or not the attacker is an attacker. The system according to claim 11, characterized in that it is used.
前記疑似認証サーバにおける前記応答手段は、疑似認証結果として前記認証サーバが認証失敗時に送信する認証失敗を模した結果を応答する
ことを特徴とする請求項11に記載のシステム。 The pseudo-authentication means in the pseudo-authentication server fails authentication regardless of the content of the authentication request sent from the client terminal.
The system according to claim 11, wherein the response means in the pseudo-authentication server responds as a pseudo-authentication result with a result imitating an authentication failure transmitted by the authentication server at the time of authentication failure.
前記疑似認証サーバにおける前記応答手段は、疑似認証結果として前記認証サーバが認証成功時に送信する認証トークンを模した疑似認証トークンを応答する
ことを特徴とする請求項11に記載のシステム。 The pseudo-authentication means in the pseudo-authentication server determines that the authentication is successful regardless of the content of the authentication request sent from the client terminal.
The system according to claim 11, wherein the response means in the pseudo-authentication server responds as a pseudo-authentication result with a pseudo-authentication token imitating an authentication token transmitted by the authentication server when authentication is successful.
前記統合サーバは、
インターネットと通信する通信手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含むリージョン特定要求を受信した場合、前記管理手段のマッピング情報を照合する照合手段と、
前記クライアント端末が攻撃者であるかどうかを判定する攻撃者判定手段と、
該攻撃者判定手段が攻撃者であると判定した場合に、認証サーバに対し前記クライアント端末が攻撃者であることを示す攻撃者情報を、前記通信手段を介して通知する攻撃者情報通知手段と、
前記照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記照合手段の照合結果が、該当するユーザ情報が前記マッピング情報に存在しないことを示す場合に加え、前記攻撃者判定手段により前記クライアント端末が攻撃者であると判断された場合にも、疑似認証サーバのリージョン情報を送信する、応答手段とを有し、
前記認証サーバは、
インターネットと通信する通信手段と、
前記通信手段を介して、前記統合サーバから通知された攻撃者情報を保存し、クライアント端末から認証要求を受信した際に、前記攻撃者情報をもとに前記クライアント端末が攻撃者であるかどうかを判定する攻撃者情報利用手段と、
前記攻撃者情報利用手段が、前記クライアント端末が攻撃者でないと判断した場合に、前記クライアント端末から受信した認証要求を利用してユーザを認証する認証手段と、
前記攻撃者情報利用手段が、前記クライアント端末が攻撃者であると判断した場合に、ユーザを疑似認証する疑似認証手段と、
前記認証手段が認証に成功したことを示す場合は、認証トークンを応答とし、認証に失敗した場合は認証失敗を応答とし、前記疑似認証手段が利用された場合は、疑似認証手段の疑似認証結果を応答として、前記クライアント端末に送信する応答手段とを有する、
ことを特徴とするシステム。 A system that includes an integrated server deployed in one or more regions and an authentication server deployed in one or more regions.
The integrated server is
Communication means to communicate with the Internet and
A management means for managing mapping information associated with user information and region information,
When a region identification request including user information for identifying a user is received from a client terminal via the communication means, a collation means for collating the mapping information of the management means and a collation means.
An attacker determination means for determining whether the client terminal is an attacker,
When the attacker determination means determines that the attacker is an attacker, the attacker information notification means for notifying the authentication server of the attacker information indicating that the client terminal is an attacker via the communication means. ,
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
In addition to the case where the collation result of the collation means indicates that the corresponding user information does not exist in the mapping information, the pseudo authentication is also performed when the client terminal is determined to be an attacker by the attacker determination means. It has a response means to send the region information of the server,
The authentication server is
Communication means to communicate with the Internet and
Whether the client terminal is an attacker based on the attacker information when the attacker information notified from the integrated server is stored via the communication means and an authentication request is received from the client terminal. Attacker information usage means to determine
An authentication means that authenticates a user by using an authentication request received from the client terminal when the attacker information utilization means determines that the client terminal is not an attacker.
When the attacker information utilization means determines that the client terminal is an attacker, the pseudo-authentication means for pseudo-authentication of the user
When the authentication means indicates that the authentication is successful, the authentication token is used as a response, when the authentication fails, the authentication failure is used as the response, and when the pseudo authentication means is used, the pseudo authentication result of the pseudo authentication means is used. As a response, it has a response means for transmitting to the client terminal.
A system characterized by that.
ことを特徴とする請求項16に記載のシステム。 The system according to claim 16, wherein the attacker determination means in the integrated server determines whether or not the attacker is an attacker based on a region identification request sent from a client terminal and incidental information thereof. ..
ことを特徴とする請求項16に記載のシステム。 The attacker determination means in the integrated server stores the region identification request sent from the client terminal and its incidental information as a region identification request history associated with the result of the matching means, and the attacker uses this region identification request history. The system according to claim 16, characterized in that it is used for determining whether or not it exists.
前記認証サーバにおける前記応答手段は、疑似認証結果として認証失敗時に送信する認証失敗を模した結果を応答する
ことを特徴とする請求項16に記載のシステム。 The pseudo-authentication means in the authentication server fails the authentication regardless of the content of the authentication request sent from the client terminal.
The system according to claim 16, wherein the response means in the authentication server responds as a pseudo-authentication result, which is transmitted as a result of imitating an authentication failure.
前記認証サーバにおける前記応答手段は、疑似認証結果として認証成功時に送信する認証トークンを模した疑似認証トークンを応答する
ことを特徴とする請求項16に記載のシステム。 The pseudo-authentication means in the authentication server determines that the authentication is successful regardless of the content of the authentication request sent from the client terminal.
The system according to claim 16, wherein the response means in the authentication server responds with a pseudo authentication token imitating an authentication token transmitted at the time of successful authentication as a pseudo authentication result.
インターネットと通信する通信手段と、
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含む認証要求を受信した場合にユーザを認証する認証手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記認証手段の認証結果がユーザ情報の誤りにより認証に失敗したことを示す場合に、前記管理手段のマッピング情報を照合する照合手段と、
前記認証手段の認証結果が認証に成功したことを示す場合は、認証トークンを応答として前記クライアント端末に送信し、
前記照合手段の照合結果が該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記認証手段の認証結果がユーザ情報の誤りによらず認証に失敗したことを示す場合、または、前記照合手段の照合結果が該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答手段と
を有することを特徴とする情報処理装置。 An information processing device that transmits an authentication result to the client terminal in response to an authentication request received from the client terminal via the Internet.
Communication means to communicate with the Internet and
An authentication means that authenticates a user when an authentication request including user information that identifies the user is received from a client terminal via the communication means.
A management means for managing mapping information associated with user information and region information,
When the authentication result of the authentication means indicates that the authentication has failed due to an error in the user information, the collation means for collating the mapping information of the management means and the collation means.
If the authentication result of the authentication means indicates that the authentication was successful, the authentication token is sent as a response to the client terminal.
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
False if the authentication result of the authentication means indicates that the authentication has failed due to an error in the user information, or if the verification result of the matching means indicates that the corresponding user information does not exist in the mapping information. An information processing apparatus having a response means for transmitting the region information of the above to the client terminal as a response.
前記管理手段は、ユーザIDのハッシュ値とリージョン情報とを対にした情報を前記マッピング情報として管理し、
前記照合手段は、受信した認証要求に含まれるユーザIDからハッシュ値を求め、当該ハッシュ値をキーに前記マッピング情報を検索することで照合を行う
ことを特徴とする請求項21に記載の情報処理装置。 The user information includes a user ID that identifies the user, and includes a user ID.
The management means manages the information obtained by pairing the hash value of the user ID and the region information as the mapping information.
The information processing according to claim 21, wherein the collation means obtains a hash value from a user ID included in a received authentication request, and performs collation by searching for the mapping information using the hash value as a key. Device.
ことを特徴とする請求項21に記載の情報処理装置。 When the matching result of the matching means indicates that the mapping information does not have a value matching the hash value of the corresponding user ID, the response means is a falsehood uniquely determined by the numerical value represented by the hash value of the user ID. 21. The information processing apparatus according to claim 21, wherein the region information of the above is transmitted as a response.
ことを特徴とする請求項23に記載の情報処理装置。 The response means responds with information representing a region specified by a residual value when the numerical value represented by the hash value of the user ID is divided by the number of regions managed by the management means as the false region information. 23. The information processing apparatus according to claim 23.
前記通信手段を介して、クライアント端末からユーザを特定するユーザ情報を含む認証要求を受信した場合にユーザを認証する認証工程と、
前記認証工程の認証結果がユーザ情報の誤りにより認証に失敗したことを示す場合に、前記管理手段のマッピング情報を照合する照合工程と、
前記認証工程の認証結果が認証に成功したことを示す場合は、認証トークンを応答として前記クライアント端末に送信し、
前記照合工程の照合結果が該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記認証工程の認証結果がユーザ情報の誤りによらず認証に失敗したことを示す場合、または、前記照合工程の照合結果が該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答工程と
を有することを特徴とする情報処理装置の制御方法。 It has a communication means for communicating with the Internet and a management means for managing mapping information associated with user information and region information, and in response to an authentication request received from a client terminal via the Internet, the authentication result is sent to the client terminal. It is a control method of the information processing device to send to
An authentication process for authenticating a user when an authentication request including user information for identifying a user is received from a client terminal via the communication means.
When the authentication result of the authentication step indicates that the authentication has failed due to an error in the user information, the collation step for collating the mapping information of the management means and the collation step.
When the authentication result of the authentication process indicates that the authentication was successful, the authentication token is sent as a response to the client terminal.
When the collation result of the collation step indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
False if the authentication result of the authentication process indicates that the authentication failed due to an error in the user information, or if the verification result of the collation process indicates that the corresponding user information does not exist in the mapping information. A control method for an information processing apparatus, which comprises a response process of transmitting the region information of the above to the client terminal as a response.
前記認証サーバは、
インターネットと通信する通信手段と、
前記通信手段を介して、前記クライアント端末からユーザを特定するユーザ情報を含む認証要求を受信した場合にユーザを認証する認証手段と、
ユーザ情報とリージョン情報とが関連付けられたマッピング情報を管理する管理手段と、
前記認証手段の認証結果がユーザ情報の誤りにより認証に失敗したことを示す場合に、前記管理手段のマッピング情報を照合する照合手段と、
前記認証手段の認証結果が認証に成功したことを示す場合は、認証トークンを応答として前記クライアント端末に送信し、
前記照合手段の照合結果が該当するユーザ情報が前記マッピング情報に存在することを示す場合は、対応するリージョン情報を応答として前記クライアント端末に送信し、
前記認証手段の認証結果がユーザ情報の誤りによらず認証に失敗したことを示す場合、または、前記照合手段の照合結果が該当するユーザ情報が前記マッピング情報に存在しないことを示す場合は、虚偽のリージョン情報を応答として前記クライアント端末に送信する応答手段とを有し、
前記クライアント端末は、
1以上のリージョンに配備された認証サーバの内、いずれかの認証サーバへ1回目の認証要求を送信する認証要求送信手段と、
前記認証要求に対してリージョン情報が応答された場合に、そのリージョンの認証サーバへ2回目の認証要求を送信する認証要求再送信手段とを有する
ことを特徴とするシステム。 A system that includes an authentication server deployed in one or more regions and a client terminal that has a Web browser.
The authentication server is
Communication means to communicate with the Internet and
An authentication means that authenticates a user when an authentication request including user information that identifies the user is received from the client terminal via the communication means.
A management means for managing mapping information associated with user information and region information,
When the authentication result of the authentication means indicates that the authentication has failed due to an error in the user information, the collation means for collating the mapping information of the management means and the collation means.
If the authentication result of the authentication means indicates that the authentication was successful, the authentication token is sent as a response to the client terminal.
When the collation result of the collation means indicates that the corresponding user information exists in the mapping information, the corresponding region information is transmitted to the client terminal as a response.
False if the authentication result of the authentication means indicates that the authentication has failed due to an error in the user information, or if the verification result of the matching means indicates that the corresponding user information does not exist in the mapping information. It has a response means for transmitting the region information of the above to the client terminal as a response.
The client terminal is
An authentication request transmission means for transmitting the first authentication request to one of the authentication servers deployed in one or more regions, and
A system comprising: an authentication request retransmission means for transmitting a second authentication request to an authentication server in the region when region information is responded to the authentication request.
ことを特徴とする請求項27に記載のシステム。 27. The response means according to claim 27, wherein the response means determines false region information by a method common to all authentication servers deployed in one or more regions, and transmits the false region information as a response to the client terminal. system.
1以上のリージョンに配備された認証サーバの内、クライアント端末からの近さに基づき認証サーバを決定し、1回目の認証要求を送信する
ことを特徴とする請求項27に記載のシステム。 The authentication request transmission means is
The system according to claim 27, wherein the authentication server is determined based on the proximity to the client terminal among the authentication servers deployed in one or more regions, and the first authentication request is transmitted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/467,669 US20220086168A1 (en) | 2020-09-11 | 2021-09-07 | Information processing apparatus, control method thereof, and non-transitory computer-readable storage medium |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020153175 | 2020-09-11 | ||
JP2020153175 | 2020-09-11 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022047506A true JP2022047506A (en) | 2022-03-24 |
Family
ID=80780364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021136656A Pending JP2022047506A (en) | 2020-09-11 | 2021-08-24 | Information processing apparatus and control method for the same and program, and system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022047506A (en) |
-
2021
- 2021-08-24 JP JP2021136656A patent/JP2022047506A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6643373B2 (en) | Information processing system, control method and program therefor | |
US20210006410A1 (en) | Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them | |
US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP4899853B2 (en) | Authentication program, authentication server, and single sign-on authentication system | |
US7113994B1 (en) | System and method of proxy authentication in a secured network | |
JP4742903B2 (en) | Distributed authentication system and distributed authentication method | |
JP6675163B2 (en) | Authority transfer system, control method of authorization server, authorization server and program | |
JP6929181B2 (en) | Devices and their control methods and programs | |
JP7096736B2 (en) | System and data processing method | |
JP2006260201A (en) | Distributed authentication system and communication controller | |
JP2017004301A (en) | Authentication server system, method, program, and storage medium | |
KR102376254B1 (en) | Method and apparatus for managing decentralized identifier | |
JP2728033B2 (en) | Security method in computer network | |
JP5772011B2 (en) | Information processing system, information processing apparatus, information processing method, and program | |
JP6323163B2 (en) | Relay device, system and program | |
JP2008257492A (en) | Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system | |
JP2017199145A (en) | Server unit, system, information processing method and program | |
CN110489957B (en) | Management method of access request and computer storage medium | |
JP4417132B2 (en) | Privacy information management server, method and program | |
JP2019212017A (en) | Communication device and communication method | |
JP4527491B2 (en) | Content provision system | |
JP2022047506A (en) | Information processing apparatus and control method for the same and program, and system | |
JP2004362189A (en) | User information circulation system | |
JP2005301424A (en) | Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program | |
JP2010152492A (en) | Device, system, and method for providing personal information |