JP5531485B2 - 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ - Google Patents
情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ Download PDFInfo
- Publication number
- JP5531485B2 JP5531485B2 JP2009176573A JP2009176573A JP5531485B2 JP 5531485 B2 JP5531485 B2 JP 5531485B2 JP 2009176573 A JP2009176573 A JP 2009176573A JP 2009176573 A JP2009176573 A JP 2009176573A JP 5531485 B2 JP5531485 B2 JP 5531485B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- server
- unit
- login
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Description
1.第1の実施の形態(SAMサーバからログイン情報を取得する構成例)
2.第2の実施の形態(ログインを識別するためのセッション番号を付与する例)
3.第3の実施の形態(SAMサーバの仮想ウェブ上でアクセス先URLに接続する例)
図1は、第1の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。図1の概念図に示すように、本実施形態のシステムは、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
カードの捕捉に成功したカードリーダライタ200は、非接触通信カード100のアクセスフリー領域にアクセスする。カードリーダライタ200は、パーソナルコンピュータ300のWEBブラウザがインターネットに接続する際の接続先URL(起動URL)と、SAM(Secure Application Module)を搭載したSAMサーバ500のURLを読み込む(ステップS14)。これにより、WEBブラウザの接続先URLと、SAMサーバ500のURLは、カードリーダライタ200へ送られ、(ステップS16)、更にパーソナルコンピュータ300へ送られる(ステップS18)。
パーソナルコンピュータ300は、Webサーバ400から受信したhtmlファイルを表示するWebブラウザを起動する(ステップS20)。なお、Webブラウザとしては、例えばInternet Explorer、Firefoxなどを用いることができる。
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URL、SAMサーバ500のURLを含む)を送信し(ステップS22)、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続する。パーソナルコンピュータ300のWebブラウザは、SAMサーバ500のURLをWebサーバ400に渡す。そして、パーソナルコンピュータ300のWebブラウザは、http_getコマンドにより取得したhttpフォーマットの受信データを解析し、ログイン画面を表示する。ここで、http_getコマンドには引数としてSAMサーバ500のアドレス(URL)を付加する。http_getコマンドにおける、SAMサーバのアドレス(URL)の付加は、例えばhttps://www.sample_web_server.co.jp/sam_login.cgi?URL=https://www.sam_server.co.jpなどのようにして行うことができる。
Webサーバ400は、パーソナルコンピュータ300からhttp_getコマンドを受けると、CGIを動作させ、SAMサーバ500との通信路をSSL等によって暗号化する(ステップS24)。その後、Webサーバ400は、パーソナルコンピュータ300から取得したSAMサーバ500のURLを用いてSAMサーバ500へのアクセスを行う。
Webサーバ400は、SAMサーバ500へログイン情報要求を行う(ステップS26)。SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報(ユーザ名およびパスワード)を取得し(ステップS28)Webサーバ500にログインを行う。ステップS28の処理は、以下に詳細に説明する。
図4は、図3のステップS28における、SAMサーバ500と非接触通信カード100との間のログイン情報取得手順の詳細を示すシーケンス図である。
SAMサーバ500は、Webサーバ400にパーソナルコンピュータ300へのセキュリティクライアント要求コマンドを送信する(ステップS40)。
先ず、SAMサーバ500は、Webサーバ400に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS40)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。Webサーバ400は、http_getコマンドで接続しているパーソナルコンピュータ300に対して、セキュアクライアントの要求コマンドを転送する(ステップS42)。
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS44)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、このクライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行う。これにより、パーソナルコンピュータ300からWebサーバ400を経由してSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS46)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
SAMサーバ500から認証要求コマンドを受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS48)。
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS50)。
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS52)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、パーソナルコンピュータ300、及びWebサーバ400を経由してSAMサーバ500に返信される。
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS54,S56)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS46からステップS56に至る共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得するため、暗号化された通信路を用いて、Webサーバ400を経由して、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS58)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
セキュア領域の読出し(Read)要求をSAMサーバ500から受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS60)。
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換し、カードリーダライタ200へ送信する(ステップS62)。
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS64)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS66)。
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS68)。
次に、本発明の第2の実施形態について説明する。第2の実施形態は、セッション番号を利用した、SAMサーバ500経由のログインに関するものである。
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URLを含む)を送信する(ステップS82)。そして。Webブラウザは、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続し、http_getコマンドにより取得したhttpフォーマットの受信データを解析してログイン画面を表示する。
パーソナルコンピュータ300は、Webサーバ400への通信路をSSLで暗号化した後、Webサーバ400へアクセスを行い、サーバに対してセッション番号の払い出し要求を行う(ステップS84)。ここで、Webサーバ400が払い出すセッション番号は、乱数などを用いて他ユーザのログイン用セッション番号との区別ができるものとし、また所定の有効期限が過ぎた場合は無効化されるものとする。後述するが、セッション番号は、ユーザによるログインを確認するために使用される番号であり、固有(ユニーク)の番号とされる。
パーソナルコンピュータ300は、SAMサーバ500への通信路をSSLで暗号化した後にアクセスを行い、SAMサーバ500に対してWebサーバ400へのログイン要求コマンドを送信する(ステップS86)。このとき、要求コマンドにはログイン先のWebサーバ400のURL、SAMサーバ500のURL、及びステップS85でWebサーバ400から取得したセッション番号情報が引数として付加される。なお、ログイン先のURL、SAMサーバ500のURLは、非接触通信カード100のメモリから読取られたものである。
5.1)ログイン情報取得
次に、SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報を取得する(ステップS88)。ここでの取得方法は、第1の実施形態の図4で説明した処理と同様であるが、SAMサーバ500とパーソナルコンピュータ300との間にはWebサーバ400が仲介をしていない。第2の実施形態は、SAMサーバ500とパーソナルコンピュータ300が直接通信する点で第1の実施形態と相違する。
先ず、SAMサーバ500は、パーソナルコンピュータ300に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS100)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS102)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化し、またSAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行うプログラムである。これにより、パーソナルコンピュータ300からSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS104)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS106)。
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS108)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、及びパーソナルコンピュータ300を経由してSAMサーバ500に返信される(ステップS109)。
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS110,S112)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS104からステップS112に至る共有鍵の生成は、第1の実施形態と同様、ディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる一般的手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得する。このため、SAMサーバ500は、暗号化された通信路を用いて、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS114)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換する。そして、セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS116)。
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS118)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS120)。
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS122)。
ログイン情報を取得したSAMサーバ500は、図8のステップS86で取得したログインURLで指定されるWebサーバ400と接続を行い、SSL等の処理で通信路を暗号化する(図8のステップS90)。
SAMサーバ500は、Webサーバ400へログイン情報(ユーザ名、パスワード、セッション番号等)を含むコマンドを送信する(ステップS92)。Webサーバ400は、セッション番号を受信することにより、SAMサーバ500からのログインが、どのセッションに対するログインであるかを判別することが可能である。Webサーバ400はログイン情報の真偽をチェックした後、真であればログインを行い、ログイン完了通知をSAMサーバ500に送信する(ステップS94)。ログイン完了を受信したSAMサーバ500は、同様にログイン完了通知をパーソナルコンピュータ300に返信する(ステップS95)。
パーソナルコンピュータ300は、ログイン完了通知を受信すると、Webサーバ400にセッション番号を送信し(ステップS96)、SAMサーバ500からのログインが完了したことを確認する。例えば、パーソナルコンピュータ300は、”https://www.sample_web_server.co.jp/sam_login_cfm.cgi?session=YYY”をhttps_getコマンドで送信し、Webサーバ400はログイン結果を返信する。これにより、パーソナルコンピュータ300の画面には、ログイン後の画面が表示される。従って、ユーザは、パーソナルコンピュータ300のWebブラウザの画面上で、ログイン画面に入ったことを確かめることができる。
次に、本発明の第3の実施形態について説明する。第3の実施形態は、セキュア領域をローカル化した仮想ブラウザに関するものである。
先ず、パーソナルコンピュータ300は、非接触通信カードの読み込みを行う(ステップS130〜S138)。そして、パーソナルコンピュータ300は、Webブラウザを起動する(ステップS140)。ステップS130〜S138の処理は、図3のステップS10〜S20の処理と同様である。
パーソナルコンピュータ300のWebブラウザは、SAMサーバ500の接続先URLにインターネット800経由で接続し、http_getコマンドによりSAMサーバ500に仮想ブラウザの起動要求を送信する(ステップS142)。これにより、SAMサーバ500において、Webブラウザ(仮想ブラウザ)が立ち上がる。以後、仮想ブラウザがWebサーバ400から受信するhtmlデータは、基本的にパーソナルコンピュータ300に転送され、パーソナルコンピュータ300のWebブラウザは受信データを解析して画面表示を行なう。従って、図11に示すように、パーソナルコンピュータ300の表示画面には、パーソナルコンピュータ300のWebブラウザにSAMサーバ500の仮想ブラウザが表示され、仮想ブラウザ上にWebサーバ400のURLで指定される情報が表示される。
パーソナルコンピュータ300は、ステップS138でカードより取得した接続先のURL情報を付加して、SAMサーバ500にWebアクセスの要求コマンドを送信する(ステップS144)。
SAMサーバ500は、受信したURLを含むhttp_getコマンドをWebサーバ400に送信し(ステップS146)、受信したhttpデータをパーソナルコンピュータ300に転送する。これにより、パーソナルコンピュータ300の表示画面には、Webサーバ400のURLが表示される。
ここで起動先のWebサーバ400がログイン画面を表示する場合は、パーソナルコンピュータ300はSAMサーバ500にログイン要求コマンドを送信する(ステップS148)。
SAMサーバ500は、ログイン要求コマンドを受信すると、ログイン情報を取得する処理を行う(ステップS150)。ログイン情報は、図9で説明した第2の実施形態と同様な手順によって非接触通信カード100のセキュア領域から取得される。
SAMサーバ500は、ステップS150で取得したログイン情報を用いて、ステップS130〜S138で非接触通信カード100から読み取ったURLのWebサーバ400にログイン要求を行なう(ステップS152)。
Webサーバ400によっては、ログインの際に、ログイン情報の他に、当該Webサーバ400へのログイン履歴と、ユーザのパーソナルコンピュータ300のローカルな記憶媒体に記録されたログイン履歴(Cookie内に保存されている)とのマッチングを行い、ユーザ(ログイン)認証を行なう場合がある。この場合、Webサーバ400は、ローカル(パーソナルコンピュータ300)へのアクセス要求を出す(ステップS156)。また、ユーザは、パーソナルコンピュータ300のローカルハードディスクドライブ(HDD)に保存された「お気に入り(Favorite)」の中から表示するURLを選択することができる。これらの情報は、Webサーバ400からSAMサーバ500の仮想ブラウザを経由してパーソナルコンピュータ300に通知される。なお、ローカルアクセス先は、上述したCookie、Favoriteに限定されるものではなく、Historyなどブラウザがパーソナルコンピュータ300のローカルHDDに保存する全ての情報が対象となり得る。
SAMサーバ500は、ローカルアクセス要求を受けると、ローカルアクセス処理を行う(ステップS158)。ローカル情報の読み書き先は、ハードディスクなどパーソナルコンピュータ300自体が内包する記憶媒体、または、セキュリティ領域を有する外部の非接触通信カード10の2つから選択することができる。
先ず、SAMサーバ500は、パーソナルコンピュータ300に対してローカルアクセス要求を出す(ステップS170)。
Webサーバ400からのローカルアクセス要求を受信したパーソナルコンピュータ300は、アクセスが可能な保存媒体の一覧(非接触通信カード100を含む)を作成する。また、ローカルアクセス要求を受信したパーソナルコンピュータ300は、ユーザに対して「ローカルアクセスの許可または不許可」の確認画面を表示する。「許可」が選択された場合は、アクセス先の候補として「パーソナルコンピュータ300のローカルのHDDまたは非接触通信カード100(セキュア領域)」のいずれか一方をユーザに選択させるための画面表示を行う(ステップS172)。そして、ユーザからのアクセス先選択結果をSAMサーバ500に送信する。
一方、ステップS172で非接触通信カード100が選択された場合、SAMサーバ500は、パーソナルコンピュータ300に対してセキュアクライアント起動の要求コマンドを送信する(ステップS176)。
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS178)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、クライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して、非接触通信カード100のカード制御を行う。
暗号化通信路を確立したSAMサーバ500は、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS182)。このコマンドには、乱数N1および秘密鍵Aより生成された公開情報1が含まれる。
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200に送信する(ステップS184)。
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する。非接触通信カード100には秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報2を生成し、パーソナルコンピュータ300を経由してSAMサーバ500に公開情報2を返信する(ステップS188)。
非接触通信カード100、及びSAMサーバ500は、送受信した公開情報1,2より両者で同一の鍵である共有鍵を生成する(ステップS190,S192)。以後、非接触通信カード100のセキュリティ設定領域が必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。第1、第2の実施形態と同様、共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が書き込み(Write)であった場合、書き込みデータを共通鍵で暗号化する(ステップS194)。
SAMサーバ500は、パーソナルコンピュータ300へセキュリティ領域の読出し(Read)または書き込み(Write)要求を送信する(ステップS196)。セキュリティ領域へのReadまたはWrite要求にはアクセスする領域(サービスエリア)の情報が含まれている。
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)または書き込み(Write)要求をカードリーダライタ200用のコマンドフォーマットに変換する。セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS198)。
カードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスを行う(ステップS200)。セキュア領域へのアクセスは、読出し(Read)または書き込み(Write)要求に分類される。書き込み(Write)情報は共通鍵で復号された後、適切なサービスエリアに書き込みが行われる。また、指定されたサービスエリアから読み出された読出し(Read)情報は、共通鍵で暗号化されSAMサーバ500に返信される(ステップS202)。
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が読出し(Read)であった場合、ステップS202で受信した読出し(Read)データを共通鍵で復号する。
312 ログイン情報送信部
314 受信処理部
410 アクセス先情報取得部
412 ログイン情報取得部
414 ログイン実行部
416 情報送信部
322 識別情報取得部
520 アクセス先情報取得部
522 ログイン情報受信部
524 ログイン実行部
526 アクセス先情報送信部
528 ローカルアクセス部
Claims (22)
- 処理部と、通信部と、記憶部とを備え、
前記処理部は、非接触通信に応じて、前記通信部及び前記記憶部と連携して、
(a)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する記憶装置から前記アドレス情報を取得し、
(b)前記アドレス情報を用いサーバに接続し、
(c)セキュリティサーバに、(i)セキュアな通信路を確立させ、(ii)前記記憶装置から前記アカウント情報を取得させ、(iii)取得した前記アカウント情報を、ユーザの前記アカウント情報を用いた前記サーバへのアクセスを可能とするため、前記サーバに送信させる、
処理を行う、
情報処理装置。 - 前記非接触通信は、通信カードがカードリーダライターに接触または近接したことに応じて行われる、請求項1に記載の情報処理装置。
- 前記処理部は、前記サーバへのアクセスを確認するためのセッション番号を前記サーバに要求する、請求項1に記載の情報処理装置。
- 前記記憶装置は、前記情報処理装置とは異なる非接触通信カードに含まれる、請求項1に記載の情報処理装置。
- 前記アドレス情報はURLを含む、請求項1に記載の情報処理装置。
- 前記アカウント情報はログイン情報を含む、請求項1に記載の情報処理装置。
- 表示装置をさらに備え、
前記処理部は、前記表示装置にログイン画面を表示する、
請求項1に記載の情報処理装置。 - 処理部と、通信部と、記憶部とを備える情報処理装置における情報処理方法であって、
前記処理部は、非接触通信に応じて、前記通信部及び前記記憶部と連携して、
(a)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する第2の記憶部から前記アドレス情報を取得し、
(b)前記アドレス情報を用いサーバに接続し、
(c)セキュリティサーバに、(i)セキュアな通信路を確立させ、(ii)前記第2の記憶部から前記アカウント情報を取得させ、(iii)取得した前記アカウント情報を、ユーザの前記アカウント情報を用いた前記サーバへのアクセスを可能とするため、前記サーバに送信させる、
処理を行う、情報処理方法。 - 処理部と、通信部と、記憶部とを備え、
前記処理部は、前記通信部及び前記記憶部と連携し、
(a)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する記憶装置から前記アドレス情報を取得し当該アドレス情報を用い接続を行う情報処理装置と接続し、
(b)前記記憶装置の前記セキュア領域から前記アカウント情報を取得するセキュリティサーバから前記アカウント情報を取得し、
(c)前記セキュリティサーバから取得した前記アカウント情報を用い、ユーザのアクセスを可能とする、
処理を行う、サーバ。 - 前記記憶部は、前記処理部に、通信カードがカードリーダライターに接触または近接した非接触通信に応じて、前記通信部及び前記記憶部と連携して、前記(a)、(b)、(c)を行う、請求項9に記載のサーバ。
- 前記処理部は、前記サーバへのアクセスを確認するためのセッション番号を前記情報処理装置に送信する、請求項9に記載のサーバ。
- 前記アドレス情報はURLを含む、請求項9に記載のサーバ。
- 前記アカウント情報はログイン情報を含む、請求項9に記載のサーバ。
- 処理部と、通信部と、記憶部とを備えるサーバにおける情報処理方法であって、
前記処理部は、前記通信部及び前記記憶部と連携し、
(a)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する記憶装置から前記アドレス情報を取得し当該アドレス情報を用い接続を行う情報処理装置と接続し、
(b)前記記憶装置の前記セキュア領域から前記アカウント情報を取得するセキュリティサーバから前記アカウント情報を取得し、
(c)前記セキュリティサーバから取得した前記アカウント情報を用い、ユーザのアクセスを可能とする、
処理を行う、情報処理方法。 - 処理部と、通信部と、第1の記憶装置を備え、
前記処理部は、非接触通信に応じて、前記通信部及び前記第1の記憶装置と連携し、
(a)セキュリティサーバのブラウザを起動させ、
(b)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する第2の記憶装置から前記アドレス情報を取得し、
(c)前記セキュリティサーバのブラウザを介し、前記取得したアドレス情報を用いてサーバにアクセスし、
(d)前記セキュリティサーバに、(i)セキュアな通信路を確立させ、(ii)ユーザに第1のアクセス先もしくは第2のアクセス先を選択可能とし、(iii)前記第1のアクセス先が選択されたことに応じて、情報処理装置にアクセスさせ、(iv)前記第2のアクセス先が選択されたことに応じて、前記第2の記憶装置の前記セキュア領域にアクセスさせる、
処理を行う、情報処理装置。 - 前記非接触通信は、通信カードがカードリーダライターに接触または近接したことに応じて行われる、請求項15に記載の情報処理装置。
- リーダライタを更に備える、請求項15に記載の情報処理装置。
- 前記処理部は、前記リーダライタに前記アドレス情報を取得する、請求項17に記載の情報処理装置。
- 前記第2の記憶装置は、前記情報処理装置とは異なる非接触通信カードに含まれる、請求項18に記載の情報処理装置。
- 前記アドレス情報はURLを含む、請求項15に記載の情報処理装置。
- 前記アカウント情報はログイン情報を含む、請求項15に記載の情報処理装置。
- 処理部と、通信部と、第1の記憶装置とを備える情報処理装置における情報処理方法であって、
前記処理部は、非接触通信に応じて、前記通信部及び前記第1の記憶装置と連携し、
(a)セキュリティサーバのブラウザを起動させ、
(b)アドレス情報を保持するフリー領域とアカウント情報を保持するセキュア領域とを有する第2の記憶装置から前記アドレス情報を取得し、
(c)前記セキュリティサーバのブラウザを介し、前記取得したアドレス情報を用いてサーバにアクセスし、
(d)前記セキュリティサーバに、(i)セキュアな通信路を確立させ、(ii)ユーザに第1のアクセス先もしくは第2のアクセス先を選択可能とし、(iii)前記第1のアクセス先が選択されたことに応じて、情報処理装置にアクセスさせ、(iv)前記第2のアクセス先が選択されたことに応じて、前記第2の記憶装置の前記セキュア領域にアクセスさせる、
処理を行う、情報処理方法。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009176573A JP5531485B2 (ja) | 2009-07-29 | 2009-07-29 | 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ |
US12/839,761 US8650626B2 (en) | 2009-07-29 | 2010-07-20 | Information processing apparatus, information providing server, program, communication system, and login information providing server |
EP10170420.3A EP2290626B1 (en) | 2009-07-29 | 2010-07-22 | Information processing apparatus, information providing server, program, communication system, and login information providing server |
CN201310428591.8A CN103546456B (zh) | 2009-07-29 | 2010-07-22 | 信息处理设备、信息提供服务器和登录信息提供服务器 |
CN2010102374260A CN101989998B (zh) | 2009-07-29 | 2010-07-22 | 信息处理设备、信息提供服务器和登录信息提供服务器 |
EP13196473.6A EP2709335B1 (en) | 2009-07-29 | 2010-07-22 | Information processing apparatus, information providing server, program, communication system, and login information providing server |
US14/098,297 US9756038B2 (en) | 2009-07-29 | 2013-12-05 | Information processing apparatus, information providing server, program, communication system, and login information providing server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009176573A JP5531485B2 (ja) | 2009-07-29 | 2009-07-29 | 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2011028687A JP2011028687A (ja) | 2011-02-10 |
JP2011028687A5 JP2011028687A5 (ja) | 2012-09-13 |
JP5531485B2 true JP5531485B2 (ja) | 2014-06-25 |
Family
ID=43465459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009176573A Active JP5531485B2 (ja) | 2009-07-29 | 2009-07-29 | 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ |
Country Status (4)
Country | Link |
---|---|
US (2) | US8650626B2 (ja) |
EP (2) | EP2709335B1 (ja) |
JP (1) | JP5531485B2 (ja) |
CN (2) | CN101989998B (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007041270A1 (de) * | 2007-08-31 | 2009-03-05 | Printed Systems Gmbh | Multimediasystem |
JP5473471B2 (ja) * | 2009-08-11 | 2014-04-16 | キヤノン株式会社 | 通信システム、通信装置およびその制御方法 |
UA109938C2 (uk) | 2011-05-06 | 2015-10-26 | Механічна фіксуюча система для будівельних панелей | |
CN102843359A (zh) * | 2012-08-06 | 2012-12-26 | 鸿富锦精密工业(深圳)有限公司 | 自动登录系统的电子装置及自动登录方法 |
KR101416541B1 (ko) | 2012-12-27 | 2014-07-09 | 주식회사 로웸 | 안전 로그인 시스템과 방법 및 이를 위한 장치 |
JP6330279B2 (ja) * | 2013-09-18 | 2018-05-30 | ソニー株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
US11250421B2 (en) | 2015-02-08 | 2022-02-15 | Apple Inc. | Storing secure credential information in different regions |
DE102015007857A1 (de) | 2015-06-18 | 2016-12-22 | Unify Gmbh & Co. Kg | Verfahren zum Aufbau einer Telekommunikationsverbindung in einem Telekommunikationssystem und Telekommunikationssystem |
CN105516161A (zh) * | 2015-12-18 | 2016-04-20 | 福建天晴数码有限公司 | 安全获取http请求的方法及系统 |
KR101764985B1 (ko) * | 2015-12-30 | 2017-08-23 | 송영상 | 사용자 단말기 잠금 기능 제공을 위한 방법, 태그 및 애플리케이션 |
US11716331B2 (en) | 2017-07-14 | 2023-08-01 | Offpad As | Authentication method, an authentication device and a system comprising the authentication device |
CN108197480A (zh) * | 2017-12-12 | 2018-06-22 | 泰康保险集团股份有限公司 | 访问控制方法、装置及计算机可读存储介质 |
KR102545407B1 (ko) * | 2018-04-20 | 2023-06-20 | 비샬 굽타 | 분산된 문서 및 엔티티 검증 엔진 |
US10771254B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for email-based card activation |
US10541995B1 (en) * | 2019-07-23 | 2020-01-21 | Capital One Services, Llc | First factor contactless card authentication system and method |
US20220217136A1 (en) * | 2021-01-04 | 2022-07-07 | Bank Of America Corporation | Identity verification through multisystem cooperation |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000322383A (ja) * | 1999-05-07 | 2000-11-24 | Ntt Data Corp | ネットワーク情報アクセス装置及び同装置のための情報記憶装置 |
US20020026507A1 (en) * | 2000-08-30 | 2002-02-28 | Sears Brent C. | Browser proxy client application service provider (ASP) interface |
JP2002245011A (ja) * | 2001-02-15 | 2002-08-30 | Tamura Electric Works Ltd | 情報表示制御装置 |
JP4363800B2 (ja) * | 2001-06-11 | 2009-11-11 | ソニー株式会社 | 電子商取引支援装置,電子商取引支援方法およびコンピュータプログラム |
JP2002366869A (ja) | 2001-06-11 | 2002-12-20 | Sony Corp | 電子商取引支援方法及びそれを用いた電子商取引方法 |
JP2002366859A (ja) | 2001-06-11 | 2002-12-20 | Sony Corp | 与信仲介システム、与信仲介装置および方法、記録媒体、並びにプログラム |
US9031880B2 (en) * | 2001-07-10 | 2015-05-12 | Iii Holdings 1, Llc | Systems and methods for non-traditional payment using biometric data |
GB2396707B (en) * | 2002-10-17 | 2004-11-24 | Vodafone Plc | Facilitating and authenticating transactions |
EP2797020A3 (en) * | 2003-09-30 | 2014-12-03 | Broadcom Corporation | Proximity authentication system |
WO2005050457A1 (en) * | 2003-11-21 | 2005-06-02 | Canon Kabushiki Kaisha | Information processing apparatus and information processing method |
JP2006163582A (ja) * | 2004-12-03 | 2006-06-22 | Canon Inc | ログイン処理方法、ログイン処理プログラム及びログイン処理装置 |
EP1856903B1 (en) * | 2005-03-07 | 2018-01-24 | Nokia Technologies Oy | Method and mobile terminal device including smartcard module and near field communications means |
JP5193035B2 (ja) * | 2005-07-08 | 2013-05-08 | サンディスク テクノロジィース インコーポレイテッド | 資格情報の自動化ローディングを用いる大容量記憶装置 |
US8434137B2 (en) * | 2006-03-22 | 2013-04-30 | Gemalto Sa | Method of securely logging into remote servers |
US7743258B2 (en) * | 2006-08-28 | 2010-06-22 | Sandisk Corporation | Method for interacting with a memory device in cryptographic operations |
JP4932413B2 (ja) * | 2006-09-29 | 2012-05-16 | 株式会社日立製作所 | 環境移行システム、端末装置、情報処理装置、管理サーバ、可搬型記憶媒体 |
JP2008225573A (ja) * | 2007-03-08 | 2008-09-25 | Terumo Corp | 代理サーバ、代理サーバのためのプログラム及び代理アクセス方法 |
JP4390817B2 (ja) * | 2007-03-30 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 認証処理システム、移動通信端末、及び認証処理方法 |
EP2165499B1 (en) * | 2007-06-22 | 2013-01-30 | Gemalto SA | A method of preventing web browser extensions from hijacking user information |
JP2009116800A (ja) * | 2007-11-09 | 2009-05-28 | Sharp Corp | 情報処理装置 |
JP2009176573A (ja) | 2008-01-24 | 2009-08-06 | Fuji Electric Holdings Co Ltd | 燃料電池の膜・電極接合体の製造方法 |
US10803515B2 (en) * | 2008-10-31 | 2020-10-13 | First Data Corporation | Systems, methods, and apparatus for using a contactless transaction device reader with a computing system |
-
2009
- 2009-07-29 JP JP2009176573A patent/JP5531485B2/ja active Active
-
2010
- 2010-07-20 US US12/839,761 patent/US8650626B2/en active Active
- 2010-07-22 EP EP13196473.6A patent/EP2709335B1/en active Active
- 2010-07-22 EP EP10170420.3A patent/EP2290626B1/en active Active
- 2010-07-22 CN CN2010102374260A patent/CN101989998B/zh active Active
- 2010-07-22 CN CN201310428591.8A patent/CN103546456B/zh active Active
-
2013
- 2013-12-05 US US14/098,297 patent/US9756038B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP2709335A1 (en) | 2014-03-19 |
US20140096218A1 (en) | 2014-04-03 |
CN103546456A (zh) | 2014-01-29 |
EP2709335B1 (en) | 2019-09-04 |
EP2290626A3 (en) | 2012-01-18 |
US9756038B2 (en) | 2017-09-05 |
CN103546456B (zh) | 2017-11-07 |
EP2290626B1 (en) | 2016-09-28 |
US20110113477A1 (en) | 2011-05-12 |
US8650626B2 (en) | 2014-02-11 |
CN101989998B (zh) | 2013-10-30 |
EP2290626A2 (en) | 2011-03-02 |
JP2011028687A (ja) | 2011-02-10 |
CN101989998A (zh) | 2011-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5531485B2 (ja) | 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ | |
US11665146B2 (en) | Migrating authenticated content towards content consumer | |
US8924714B2 (en) | Authentication with an untrusted root | |
EP2235697B1 (en) | Methods and devices for performing secure electronic transactions | |
JP4589758B2 (ja) | データ通信システム,代行システムサーバ,コンピュータプログラム,およびデータ通信方法 | |
CN105472052B (zh) | 一种跨域服务器的登录方法和系统 | |
US10038681B2 (en) | Method for managing an access from a remote device to data accessible from a local device and corresponding system | |
WO2015074547A1 (zh) | 一种对网页内容进行认证的方法和浏览器 | |
US9276932B2 (en) | Federated identity mapping using delegated authorization | |
JP2005011098A (ja) | 代理認証プログラム、代理認証方法、および代理認証装置 | |
JP4979210B2 (ja) | ログイン情報管理装置及び方法 | |
US20150271170A1 (en) | Information processing apparatus, information processing system, information processing method, and recording medium | |
JP4448167B2 (ja) | 通信デバイス、リモートサーバおよび端末装置 | |
TWI698113B (zh) | 電子裝置之認證方法及系統 | |
JP2009164813A5 (ja) | ||
CN110945503A (zh) | 用户认证服务提供方法、网页服务器及用户终端 | |
US20220407854A1 (en) | Authentication method, corresponding device and program | |
JP6919523B2 (ja) | セキュアエレメント、クライアント端末、情報処理方法及び情報処理プログラム | |
JP2012073888A (ja) | 電子データ授受システム、電子データ授受方法及び電子データ授受プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120726 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120726 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130731 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130813 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131007 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140325 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140407 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5531485 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |