JP7241939B1 - Information processing system, information processing device, server, and control method - Google Patents

Information processing system, information processing device, server, and control method Download PDF

Info

Publication number
JP7241939B1
JP7241939B1 JP2022010027A JP2022010027A JP7241939B1 JP 7241939 B1 JP7241939 B1 JP 7241939B1 JP 2022010027 A JP2022010027 A JP 2022010027A JP 2022010027 A JP2022010027 A JP 2022010027A JP 7241939 B1 JP7241939 B1 JP 7241939B1
Authority
JP
Japan
Prior art keywords
information processing
information
key information
key
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022010027A
Other languages
Japanese (ja)
Other versions
JP2023108794A (en
Inventor
直幸 荒木
健 佐々木
佑樹 松浦
公智 三田村
涼 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Priority to JP2022010027A priority Critical patent/JP7241939B1/en
Application granted granted Critical
Publication of JP7241939B1 publication Critical patent/JP7241939B1/en
Publication of JP2023108794A publication Critical patent/JP2023108794A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】不正アクセスに対する安全性を高めた情報処理装置を提供すること。【解決手段】情報処理システムは、情報処理装置とサーバとを備える。情報処理装置は、OSのプログラムを実行するプロセッサと、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を操作部から取得し、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて第1キー情報と異なる第2キー情報を生成してプロセッサへ送信するECと、を備える。プロセッサは、第1キー情報を取得せずにECにより生成された第2キー情報に基づくデータをサーバへ送信する。サーバは、情報処理装置から送信された第2キー情報に基づくデータを取得し、取得したデータと、情報処理装置で使用される暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて第1キー情報を得る。【選択図】図1An object of the present invention is to provide an information processing apparatus with enhanced security against unauthorized access. An information processing system includes an information processing device and a server. The information processing apparatus acquires first key information indicating a key operated by a user's operation on an operation unit in which a plurality of keys are arranged and a processor that executes an OS program, from the operation unit. an EC that generates second key information different from the first key information based on the key information and encryption rules that change according to time, and transmits the generated second key information to the processor; The processor transmits to the server data based on the second key information generated by the EC without obtaining the first key information. The server acquires the data based on the second key information transmitted from the information processing device, and the acquired data and the common encryption that performs the same encryption at the same time as the encryption rule used in the information processing device. First key information is obtained based on the conversion rule. [Selection drawing] Fig. 1

Description

本発明は、情報処理システム、情報処理装置、サーバ、及び制御方法に関する。 The present invention relates to an information processing system, an information processing device, a server, and a control method.

PC(パーソナルコンピュータ)、スマートフォンなどの情報処理装置を用いて、銀行、保険会社、ネットショップ(electronic commerce)などをオンラインで利用する際に、ログインや決済などの重要な処理において、IDとパスワードとを使用した認証に加えて、ハードウェアトークンやセキュリティカード(乱数表カード)の文字列を回答させて、二要素認証を行う技術が知られている(例えば、特許文献1)。 When using information processing devices such as PCs (personal computers) and smartphones online at banks, insurance companies, online shops (electronic commerce), etc., IDs and passwords are used for important processes such as login and payment. In addition to authentication using , there is known a technique of performing two-factor authentication by having a character string of a hardware token or a security card (random number table card) answered (for example, Patent Document 1).

特開2018-056928号公報JP 2018-056928 A

しかしながら、ハードウェアトークンやセキュリティカードは、ワンタイム認証に使用される文字列が視認できるため、落としたり紛失したりすると他人に不正アクセスされてしまう懸念がある。 However, hardware tokens and security cards have visible character strings used for one-time authentication.

本発明は、上記した事情に鑑みてなされたもので、不正アクセスに対する安全性を高めた情報処理システム、情報処理装置、サーバ、及び制御方法を提供することを目的の一つとする。 SUMMARY OF THE INVENTION It is an object of the present invention to provide an information processing system, an information processing apparatus, a server, and a control method with enhanced security against unauthorized access.

本発明は上記の課題を解決するためになされたものであり、本発明の第1態様に係る情報処理システムは、情報処理装置と、前記情報処理装置と通信接続されるサーバとを備える情報処理システムであって、前記情報処理装置は、OS(Operating System)のプログラムを一時的に記憶するメモリと、前記OSのプログラムを実行するプロセッサと、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した前記第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するEC(Embedded Controller)と、を備え、前記プロセッサは、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを前記サーバへ送信し、前記サーバは、前記情報処理装置から送信された前記第2キー情報に基づくデータを取得し、取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて前記第1キー情報を得る。 The present invention has been made to solve the above problems, and an information processing system according to a first aspect of the present invention includes an information processing device and a server connected for communication with the information processing device. In the system, the information processing device includes a memory that temporarily stores an OS (Operating System) program, a processor that executes the OS program, and a user's input to an operation unit in which a plurality of keys are arranged. First key information indicating a key operated by an operation is obtained from the operation unit, and a second key different from the first key information is obtained based on the obtained first key information and an encryption rule that changes according to time. an EC (Embedded Controller) that generates 2-key information and transmits it to the processor, wherein the processor generates data based on the second key information generated by the EC without obtaining the first key information. to the server, and the server acquires the data based on the second key information transmitted from the information processing device, and the data based on the acquired second key information and the data used by the information processing device The first key information is obtained on the basis of the encryption rule in which the same encryption is performed at the same time and the common encryption rule in which the same encryption is performed at the same time.

上記情報処理システムにおいて、前記暗号化ルールは、前記操作部に配列されている複数のキーのそれぞれに対応するスキャンコードの時刻に応じた変更ルールであり、前記ECは、前記操作部から取得した前記第1キー情報と前記第1キー情報を取得したときの時刻とに基づいて、当該時刻における前記暗号化ルールに従って前記第1キー情報をスキャンコードに変換して前記第2キー情報を生成してもよい。 In the above information processing system, the encryption rule is a change rule according to the time of the scan code corresponding to each of the plurality of keys arranged in the operation unit, and the EC is acquired from the operation unit. Based on the first key information and the time when the first key information was acquired, the first key information is converted into a scan code according to the encryption rule at the time to generate the second key information. may

上記情報処理システムにおいて、前記サーバは、前記第2キー情報に基づくデータを取得した時刻と前記共通の暗号化ルールとに基づいて前記第2キー情報に基づくデータを複合して認証処理を実行してもよい。 In the above information processing system, the server combines the data based on the second key information based on the time when the data based on the second key information is obtained and the common encryption rule, and executes authentication processing. may

上記情報処理システムにおいて、前記サーバは、前記第2キー情報に基づくデータを取得した時刻と前記共通の暗号化ルールとに基づいて、予め登録された文字列を暗号化した認証用データを生成し、前記認証用データと前記第2キー情報に基づくデータとに基づいて認証処理を実行してもよい。 In the above information processing system, the server generates authentication data by encrypting a pre-registered character string based on the time when the data based on the second key information is acquired and the common encryption rule. , the authentication process may be executed based on the authentication data and the data based on the second key information.

上記情報処理システムにおいて、前記暗号化ルールを示す情報とユーザの識別情報とが関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶されてもよい。 In the above information processing system, the information indicating the encryption rule and the identification information of the user may be associated with each other and stored in the respective storage units of the information processing device and the server.

上記情報処理システムにおいて、複数のユーザそれぞれの識別情報に対して共通の前記暗号化ルールを示す情報が関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶されてもよい。 In the above information processing system, the information indicating the common encryption rule may be associated with the identification information of each of the plurality of users, and stored in the respective storage units of the information processing device and the server.

上記情報処理システムにおいて、一人のユーザの識別情報に対して複数の前記暗号化ルールを示す情報が関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶されてもよい。 In the above information processing system, identification information of one user may be associated with a plurality of pieces of information indicating the encryption rule, and stored in respective storage units of the information processing device and the server.

上記情報処理システムにおいて、前記暗号化ルールを示す情報が情報処理装置の記憶部に記憶された状態で工場から出荷されてもよい。 In the above information processing system, the information indicating the encryption rule may be shipped from the factory in a state in which the information indicating the encryption rule is stored in the storage unit of the information processing device.

上記情報処理システムにおいて、前記情報処理装置における前記暗号化ルールを示す情報は、前記EC内の記憶部に記憶されてもよい。 In the above information processing system, the information indicating the encryption rule in the information processing device may be stored in a storage unit within the EC.

上記情報処理システムにおいて、前記ECは、前記プロセッサで実行されているBIOS(Basic Input Output System)に対して時刻情報を要求し、前記プロセッサは、前記ECからの時刻情報の要求に応じて、前記BIOSの処理により現在時刻の情報を前記ECへ送信してもよい。 In the above information processing system, the EC requests time information from a BIOS (Basic Input Output System) running on the processor, and the processor responds to the request for time information from the EC. Information on the current time may be transmitted to the EC by processing of the BIOS.

上記情報処理システムにおいて、前記ECは、前記操作部に配列されているキーのうちの特定のキーに対するユーザの操作に応じて、前記第1キー情報を前記暗号化ルールに基づいて暗号化する処理モードへ移行してもよい。 In the information processing system, the EC encrypts the first key information based on the encryption rule in response to a user's operation of a specific key among the keys arranged on the operation unit. You can switch to mode.

また、本発明の第2態様に係る情報処理装置は、OS(Operating System)のプログラムを一時的に記憶するメモリと、前記OSのプログラムを実行するプロセッサと、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するEC(Embedded Controller)と、を備え、前記プロセッサは、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを送信する。 Further, an information processing apparatus according to a second aspect of the present invention includes a memory that temporarily stores an OS (Operating System) program, a processor that executes the OS program, and a plurality of keys arranged for operation. First key information indicating a key operated by a user's operation on the unit is acquired from the operation unit, and the first key information is based on the acquired first key information and an encryption rule that changes according to time. and an EC (Embedded Controller) that generates second key information different from the second key information and transmits it to the processor, and the processor receives the second key information generated by the EC without acquiring the first key information Send data based on

また、本発明の第3態様に係る、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成し、生成した前記第2キー情報に基づくデータを送信する情報処理装置と通信接続されるサーバは、前記情報処理装置から送信された前記第2キー情報に基づくデータを取得し、取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の前記暗号化ルールとに基づいて前記第1キー情報を得る。 Further, according to the third aspect of the present invention, first key information indicating a key operated by a user's operation on an operation unit in which a plurality of keys are arranged is acquired from the operation unit, and the acquired first key information and an encryption rule that changes according to the time, and is connected for communication with an information processing device that generates second key information different from the first key information and transmits data based on the generated second key information. The server obtains the data based on the second key information transmitted from the information processing device, and the data based on the obtained second key information is the same as the encryption rule used in the information processing device. The first key information is obtained based on the common encryption rule in which the same encryption is performed at the time.

また、本発明の第4態様に係る、OS(Operating System)のプログラムを一時的に記憶するメモリと前記OSのプログラムを実行するプロセッサとEC(Embedded Controller)とを備える情報処理装置と、前記情報処理装置と通信接続されるサーバとを備える情報処理システムにおける制御方法は、前記情報処理装置において、前記ECが、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得するステップと、前記ECが、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するステップと、前記プロセッサが、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを前記サーバへ送信するステップと、を含み、前記サーバにおいて、前記情報処理装置から送信された前記第2キー情報に基づくデータを取得するステップと、取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の前記暗号化ルールとに基づいて前記第1キー情報を得るステップと、を含む。 Further, according to a fourth aspect of the present invention, an information processing apparatus comprising a memory that temporarily stores an OS (Operating System) program, a processor that executes the OS program, and an EC (Embedded Controller); A control method in an information processing system comprising a server that is communicatively connected to a processing device, wherein, in the information processing device, the EC indicates a key operated by a user on an operation unit in which a plurality of keys are arranged. a step of acquiring first key information from the operation unit; and second key information different from the first key information by the EC based on the acquired first key information and an encryption rule that changes according to time. and transmitting to the processor, and the processor transmitting to the server data based on the second key information generated by the EC without obtaining the first key information. a step of obtaining, in the server, data based on the second key information transmitted from the information processing device; data based on the obtained second key information; and the encryption used in the information processing device. and obtaining the first key information based on an encryption rule and a common encryption rule in which the same encryption is performed at the same time.

本発明の上記態様によれば、不正アクセスに対する安全性を高めた情報処理装置を提供することができる。 According to the above aspect of the present invention, it is possible to provide an information processing apparatus with enhanced security against unauthorized access.

第1の実施形態に係る情報処理システムの構成例を示す図。1 is a diagram showing a configuration example of an information processing system according to a first embodiment; FIG. 第1の実施形態に係るスキャンコードの変更例を示す図。FIG. 5 is a diagram showing a modification example of scan codes according to the first embodiment; 第1の実施形態に係る情報処理装置の外観を示す斜視図。1 is a perspective view showing the appearance of an information processing apparatus according to a first embodiment; FIG. 第1の実施形態に係る情報処理装置のハードウェア構成の一例を示すブロック図。1 is a block diagram showing an example of the hardware configuration of an information processing apparatus according to the first embodiment; FIG. 第1の実施形態に係る認証処理の一例を示すフローチャート。4 is a flowchart showing an example of authentication processing according to the first embodiment; 第1の実施形態に係るパスワード認証の仕組みの他の例の説明図。FIG. 4 is an explanatory diagram of another example of the mechanism of password authentication according to the first embodiment; 第2の実施形態に係る情報処理システムの構成例を示す図。The figure which shows the structural example of the information processing system which concerns on 2nd Embodiment. 第3の実施形態に係る情報処理システムの構成例を示す図。The figure which shows the structural example of the information processing system which concerns on 3rd Embodiment. 第4の実施形態に係る情報処理システムの構成例を示す図。The figure which shows the structural example of the information processing system which concerns on 4th Embodiment.

以下、図面を参照して、本発明の実施形態について説明する。
<第1の実施形態>
まず、第1の実施形態について説明する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<First embodiment>
First, the first embodiment will be described.

図1は、本実施形態に係る情報処理システム1の構成例を示す図であり、本実施形態におけるパスワード認証の仕組みの一例を示している。図示する情報処理システム1は、ネットワークNTを介して通信接続される情報処理装置10と認証サーバ80とを備えている。ネットワークNTは、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどのいずれか又は組み合わせによって構成される通信ネットワークである。情報処理装置10と認証サーバ80とは、それぞれプロセッサ、メモリ、記憶装置、電源回路などを備えるコンピュータ装置である。 FIG. 1 is a diagram showing a configuration example of an information processing system 1 according to this embodiment, and shows an example of a password authentication mechanism according to this embodiment. The illustrated information processing system 1 includes an information processing device 10 and an authentication server 80 that are communicatively connected via a network NT. The network NT is a communication network configured by one or a combination of LAN (Local Area Network), WAN (Wide Area Network), Internet, and the like. The information processing device 10 and the authentication server 80 are computer devices each having a processor, a memory, a storage device, a power supply circuit, and the like.

情報処理装置10は、例えば、PC(パーソナルコンピュータ)、スマートフォンなどのようなユーザが利用する端末装置である。ここでは、情報処理装置10は、クラムシェル型(ノート型)のPCとして説明する。 The information processing device 10 is, for example, a terminal device such as a PC (personal computer) or a smart phone used by a user. Here, the information processing apparatus 10 will be described as a clamshell type (notebook type) PC.

認証サーバ80は、ユーザが情報処理装置10からシステムの利用またはネットワークへの接続(アクセス)などを行う際にユーザ認証を行うサーバ装置である。例えば、認証サーバ80は、銀行、保険会社、ネットショップ(electronic commerce)などのオンラインシステムへのログインや取引、決済などを行う際のユーザ認証、VPN(Virtual Private Network)などのネットワークに接続(アクセス)する際のユーザ認証などの認証処理を行う。 The authentication server 80 is a server device that performs user authentication when a user uses the information processing device 10 to use the system or connect (access) to a network. For example, the authentication server 80 performs user authentication when logging into online systems such as banks, insurance companies, and electronic commerce, making transactions, making payments, etc., and connects (accesses) to networks such as VPNs (Virtual Private Networks). ), performs authentication processing such as user authentication.

認証処理には、例えばパスワード認証などの処理が用いられるが、重要な処理などには、二要素認証の処理が用いられることがある。従来の二要素認証では、IDとパスワードとを使用した認証に加えて、ハードウェアトークンやセキュリティカード(乱数表カード)の文字列を用いる技術がある。しかしながら、ハードウェアトークンやセキュリティカードは、文字列が視認できるため、落としたり紛失したりすると他人に不正アクセスされてしまう懸念がある。 For the authentication processing, for example, processing such as password authentication is used, but two-factor authentication processing may be used for important processing. In conventional two-factor authentication, in addition to authentication using an ID and a password, there is a technique using a hardware token or a character string of a security card (random number table card). However, hardware tokens and security cards have visible character strings, so if they are dropped or lost, there is a risk of unauthorized access by others.

そこで、本実施形態の情報処理システム1では、キーボード32にキー入力されたパスワードの文字列を、時刻に応じて変更される暗号化ルールに基づいて暗号化した暗号化データを用いてワンタイム認証の処理を行う。暗号化ルールとは、キーボード32に配列されている複数のキーのそれぞれに対応するスキャンコードを時刻に応じて変更する変更ルールである。 Therefore, in the information processing system 1 of the present embodiment, one-time authentication is performed using encrypted data obtained by encrypting a character string of a password key-inputted on the keyboard 32 based on an encryption rule that changes according to time. process. The encryption rule is a change rule for changing the scan code corresponding to each of the multiple keys arranged on the keyboard 32 according to time.

図2は、本実施形態に係るスキャンコードの変更例を示す図である。上段の(A)には、規定のキー配列とスキャンコードとの対応関係を示すスキャンコードマップの一例を示している。これに対し、下段の(B)には、時刻に応じてキー配列とスキャンコードとの対応関係を変更したスキャンコードマップの一例を示している。スキャンコードマップが変更されると、同じキーを操作しても異なるスキャンコードが送られることになる。例えば、パスワードとして文字列「ABC」が入力された場合、基準となるスキャンコードマップでは「ABC」のそれぞれキーに対応するスキャンコードが送られるが、スキャンコードマップが変更されると、変更後のスキャンコードマップで「ABC」のそれぞれのキーに対応するスキャンコードが送られることになる。 FIG. 2 is a diagram showing a modification of the scan code according to this embodiment. (A) at the top shows an example of a scan code map showing the correspondence relationship between the specified key layout and the scan codes. On the other hand, (B) at the bottom shows an example of a scan code map in which the correspondence relationship between the keyboard layout and the scan code is changed according to time. If the scancode map is changed, different scancodes will be sent even if the same key is operated. For example, when the character string "ABC" is entered as a password, the scan code corresponding to each key of "ABC" is sent in the standard scan code map, but if the scan code map is changed, the changed A scan code corresponding to each key of "ABC" in the scan code map will be sent.

そのため、パスワードとして入力された文字列「ABC」が、変更後のスキャンコードマップを用いてスキャンコードに変換された時点で、その変更後のスキャンコードマップを使用しない限り入力された文字列が不明となり、暗号化されたことになる。具体的には、例えば「A」のキーに対して操作をしても、規定のスキャンコードマップで「E」のキーに対応するスキャンコードが変更後のスキャンコードマップで「A」のキーに対応付けられている場合には、「E」として暗号化される。暗号化に使用したスキャンコードマップがわからない限り、この暗号化された「E」が「A」であることはわからない。 Therefore, when the character string "ABC" entered as a password is converted to a scan code using the changed scan code map, the entered character string is unknown unless the changed scan code map is used. and it is encrypted. Specifically, for example, even if the "A" key is operated, the scan code corresponding to the "E" key in the prescribed scan code map is changed to the "A" key in the changed scan code map. If it is associated, it is encrypted as "E". Unless you know the scancode map that was used to encrypt it, you don't know that this encrypted "E" is an "A".

時刻に応じて(例えば、30秒毎に)スキャンコードマップを変更していくことにより、パスワードとして入力された文字列に対してワンタイムスキャンコードによる暗号化が可能となる。情報処理システム1は、パスワードによる認証に加えて、パスワードとして入力された文字列をワンタイムスキャンコードで暗号化することにより、二要素認証を行う。以下では、このワンタイムスキャンコードを用いて認証処理を行うモードを「ワンタイムスキャンコードモード」と称する。また、ワンタイムスキャンコードモードにおいて、時刻に応じて(例えば、30秒毎に)変更されるスキャンコードマップのことを、「ワンタイムスキャンコードマップ」と称する。 By changing the scan code map according to time (for example, every 30 seconds), it becomes possible to encrypt a character string input as a password with a one-time scan code. In addition to password-based authentication, the information processing system 1 performs two-factor authentication by encrypting a character string input as a password with a one-time scan code. Hereinafter, the mode in which authentication processing is performed using this one-time scan code is referred to as "one-time scan code mode". Also, in the one-time scan code mode, the scan code map that is changed depending on the time (every 30 seconds, for example) is called a "one-time scan code map".

図1に戻り、情報処理システム1は、内部の記憶領域に「セキュアキー」が記憶されており、この「セキュアキー」と時刻に基づいて、予め設定された時刻ごとに(例えば、30秒毎に)、ワンタイムスキャンコードマップを生成する。「セキュアキー」は、時刻に応じて変更されるワンタイムスキャンコードマップを生成するための暗号化ルールを定めた情報が格納されたデータである。例えば、「セキュアキー」は、時刻に基づいて乱数列を発生し、発生した数値を順番にキー配列の順にしたがって各キーのスキャンコードとして割り当てる。時刻によってワンタイムスキャンコードマップが変化するため、パスワードとして入力された文字列が、時刻ごとに異なる文字列に暗号化される。 Returning to FIG. 1, the information processing system 1 stores a "secure key" in an internal storage area. ) to generate a one-time scan code map. A "secure key" is data that stores information defining encryption rules for generating a one-time scan code map that changes according to time. For example, "secure key" generates a random number sequence based on time, and assigns the generated numerical values as scan codes to each key in order according to the order of the key arrangement. Since the one-time scan code map changes depending on the time, the character string entered as the password is encrypted into a different character string for each time.

図1に示す例において、ワンタイムスキャンコードモードでは、パスワードとして文字列「ABC」が入力された場合、時刻「12:45:10」では文字列「EFG」、時刻「12:45:40」では文字列「AHK」、時刻「12:46:10」では文字列「AHK」などのように異なる文字列に暗号化される。 In the example shown in FIG. 1, in the one-time scan code mode, when the character string "ABC" is input as the password, the character string "EFG" is entered at time "12:45:10" and the time "12:45:40" is entered. is encrypted into different character strings such as the character string "AHK" at time "12:46:10" and the character string "AHK" at time "12:46:10".

情報処理システム1で暗号化された文字列(パスワード)の暗号化データは、情報処理システム1からネットワークNTを介して認証サーバ80へ送信される。認証サーバ80は、情報処理装置10と共通の「セキュアキー」を有している。共通の「セキュアキー」とは、同一時刻において同一の配列のワンタイムスキャンコードマップが生成される同一の暗号化ルールが設定された「セキュアキー」である。異なる「セキュアキー」では、基本的に同一時刻において異なる配列のワンタイムスキャンコードマップが生成される。 The encrypted data of the character string (password) encrypted by the information processing system 1 is transmitted from the information processing system 1 to the authentication server 80 via the network NT. The authentication server 80 has a common “secure key” with the information processing device 10 . A common "secure key" is a "secure key" set with the same encryption rule for generating the one-time scan code map with the same arrangement at the same time. Different "secure keys" generate different sequences of one-time scan code maps at essentially the same time.

認証サーバ80は、情報処理装置10から暗号化データを取得すると、取得した暗号化データを、情報処理装置10と共通の「セキュアキー」を用いて認証処理を実行する。例えば、認証サーバ80は、暗号化データを取得した時刻と「セキュアキー」とに基づいてワンタイムスキャンコードマップを生成し、生成したワンタイムスキャンコードマップを用いて暗号化データを複合する。情報処理装置10が暗号化した時刻と認証サーバ80が暗号化データを取得した時刻とが一致すれば、暗号化に用いたワンタイムスキャンコードマップと複合に用いたワンタイムスキャンコードマップとが同一のスキャンコードの配列であるため、正しく複合することができる。ここで、時刻の一致とは、ワンタイムスキャンコードマップを生成する時間の間隔(例えば、30秒)毎に一致すること指している。 When the authentication server 80 acquires the encrypted data from the information processing device 10 , the authentication server 80 authenticates the acquired encrypted data using the “secure key” shared with the information processing device 10 . For example, the authentication server 80 generates a one-time scan code map based on the time when the encrypted data was obtained and the "secure key", and decrypts the encrypted data using the generated one-time scan code map. If the time when the information processing apparatus 10 encrypts the data and the time when the authentication server 80 acquires the encrypted data match, the one-time scan code map used for encryption and the one-time scan code map used for compounding are the same. is an array of scancodes, so it can be decoded correctly. Here, matching of time refers to matching at each time interval (for example, 30 seconds) for generating the one-time scan code map.

例えば、図1に示す例において、認証サーバ80は、時刻「12:45:10」に暗号化された暗号化データ「EFG」を情報処理装置10から取得すると、取得した時刻が時刻「12:45:10」から30秒以内であれば、時刻「12:45:10」と共通の「セキュアキー」とに基づいて生成したワンタイムスキャンコードマップを用いて文字列「ABC」に複合することができる。同様に、認証サーバ80は、時刻「12:45:40」に暗号化された暗号化データ「AHK」を情報処理装置10から取得すると、取得した時刻が時刻「12:45:40」から30秒以内であれば、時刻「12:45:40」と共通の「セキュアキー」とに基づいて生成したワンタイムスキャンコードマップを用いて文字列「ABC」に複合することができる。同様に、認証サーバ80は、時刻「12:46:10」に暗号化された暗号化データ「S5T」を情報処理装置10から取得すると、取得した時刻が時刻「12:46:10」から30秒以内であれば、時刻「12:46:10」と共通の「セキュアキー」とに基づいて生成したワンタイムスキャンコードマップを用いて文字列「ABC」に複合することができる。 For example, in the example shown in FIG. 1, when the authentication server 80 acquires encrypted data "EFG" encrypted at time "12:45:10" from the information processing apparatus 10, the acquired time is changed to time "12:45:10". 45:10" within 30 seconds, use the one-time scan code map generated based on the time "12:45:10" and the common "secure key" to decode the character string "ABC" can be done. Similarly, when the authentication server 80 acquires the encrypted data “AHK” encrypted at the time “12:45:40” from the information processing device 10, the acquired time is 30 minutes after the time “12:45:40”. Within seconds, it can be decoded into the string "ABC" using a one-time scan code map generated based on the time "12:45:40" and the common "secure key". Similarly, when the authentication server 80 acquires the encrypted data “S5T” encrypted at the time “12:46:10” from the information processing device 10, the acquired time is 30 minutes after the time “12:46:10”. Within seconds, it can be decoded into the string "ABC" using a one-time scan code map generated based on the time "12:46:10" and the common "secure key".

[情報処理装置10の外観構成]
図3は、本実施形態に係る情報処理装置の外観を示す斜視図である。
図示する情報処理装置10は、クラムシェル型のノートPC(Personal Computer)である。情報処理装置10は、表示部14(ディスプレイ)が搭載されたディスプレイ筐体101と、キーボード32が搭載された機器筐体102と、ヒンジ機構103とを備えている。ディスプレイ筐体101及び機器筐体102は、略四角形の板状(例えば、平板状)の筐体である。
[External Configuration of Information Processing Device 10]
FIG. 3 is a perspective view showing the appearance of the information processing apparatus according to this embodiment.
The illustrated information processing apparatus 10 is a clamshell notebook PC (Personal Computer). The information processing apparatus 10 includes a display housing 101 in which a display unit 14 (display) is mounted, a device housing 102 in which a keyboard 32 is mounted, and a hinge mechanism 103 . The display housing 101 and the device housing 102 are substantially rectangular plate-shaped (for example, flat plate-shaped) housings.

ディスプレイ筐体101の側面の一つと機器筐体102の側面の一つとがヒンジ機構103を介して結合(連結)されており、ヒンジ機構103がなす回転軸の周りにディスプレイ筐体101と機器筐体102とが相対的に回動可能である。ディスプレイ筐体101と機器筐体102との回転軸の周りの開き角θが略0°の状態が、ディスプレイ筐体101と機器筐体102とが重なり合って閉じた状態(「閉状態」と称する)である。閉状態に対してディスプレイ筐体101と機器筐体102とが開いた状態のことを「開状態」と称する。開状態とは、開き角θが予め設定された閾値(例えば、10°)より大きくなるまで、ディスプレイ筐体101と機器筐体102とが相対的に回動された状態である。この図1に示す情報処理装置10の外観は、開状態の一例を示している。 One of the side surfaces of the display housing 101 and one of the side surfaces of the device housing 102 are coupled (connected) via a hinge mechanism 103, and the display housing 101 and the device housing are arranged around the rotation axis formed by the hinge mechanism 103. The body 102 is relatively rotatable. A state in which the opening angle θ about the rotation axis between the display housing 101 and the device housing 102 is approximately 0° is a state in which the display housing 101 and the device housing 102 are overlapped and closed (referred to as a “closed state”). ). A state in which the display housing 101 and the device housing 102 are opened with respect to the closed state is referred to as an “open state”. The open state is a state in which the display housing 101 and the device housing 102 are relatively rotated until the opening angle θ becomes larger than a preset threshold value (for example, 10°). The appearance of the information processing apparatus 10 shown in FIG. 1 shows an example of the open state.

ここでは、ディスプレイ筐体101の表示部14が設けられている面をディスプレイ面101a、ディスプレイ面101aに対して反対側の面をトップ面101bと称する。また、機器筐体102のキーボード32が設けられている面をキーボード面102a、キーボード面102aに対して反対側の面をボトム面102bと称する。閉状態においてディスプレイ面101aとキーボード面102aとは互いに対面する側の面である。図示する例において、キーボード32は、ユーザの操作を受け付ける複数のキー(操作子の一例)が配列された物理的なキーボードである。なお、キーボード面102aには、キーボード32以外にタッチパッドなどが設けられてもよい。また、機器筐体102の側面には、電源ボタン35が設けられている。 Here, the surface on which the display unit 14 of the display housing 101 is provided is referred to as a display surface 101a, and the surface opposite to the display surface 101a is referred to as a top surface 101b. The surface of the device housing 102 on which the keyboard 32 is provided is called a keyboard surface 102a, and the surface opposite to the keyboard surface 102a is called a bottom surface 102b. In the closed state, the display surface 101a and the keyboard surface 102a are surfaces facing each other. In the illustrated example, the keyboard 32 is a physical keyboard on which a plurality of keys (an example of manipulators) for accepting user operations are arranged. In addition to the keyboard 32, a touch pad or the like may be provided on the keyboard surface 102a. A power button 35 is provided on the side surface of the device housing 102 .

閉状態では、ディスプレイ筐体101のディスプレイ面101aと機器筐体102のキーボード面102aとが対面して重なり合うため、表示部14が視認できない状態、且つキーボード32への操作ができない状態となる。一方、開状態では、表示部14が視認可能な状態、且つキーボードへの操作が可能な状態となる。 In the closed state, the display surface 101a of the display housing 101 and the keyboard surface 102a of the device housing 102 face each other and overlap each other. On the other hand, in the open state, the display unit 14 is visible and the keyboard can be operated.

[情報処理装置10のハードウェア構成]
図4は、本実施形態に係る情報処理装置10の主要なハードウェア構成の一例を示すブロック図である。図4に示すように、情報処理装置10は、CPU11と、メインメモリ12と、ビデオサブシステム13と、表示部14と、チップセット21と、BIOSメモリ22と、通信部23と、RTC電源25と、エンベデッドコントローラ31と、キーボード32と、電源回路33と、電源ボタン35と、バッテリ60とを備える。なお、この図4において、図2の各部に対応する構成には同一の符号を付しており、その説明を適宜省略する。
[Hardware Configuration of Information Processing Device 10]
FIG. 4 is a block diagram showing an example of the main hardware configuration of the information processing apparatus 10 according to this embodiment. As shown in FIG. 4, the information processing apparatus 10 includes a CPU 11, a main memory 12, a video subsystem 13, a display section 14, a chipset 21, a BIOS memory 22, a communication section 23, and an RTC power supply 25. , an embedded controller 31 , a keyboard 32 , a power supply circuit 33 , a power button 35 and a battery 60 . In addition, in FIG. 4, the same reference numerals are assigned to the configurations corresponding to the respective parts in FIG. 2, and the description thereof will be omitted as appropriate.

CPU11は、プログラム制御により種々の演算処理を実行し、情報処理装置10の全体を制御している。例えば、CPU11は、OS(Operating System)やBIOS(Basic Input Output System)などのプログラムに基づく処理を実行する。 The CPU 11 executes various arithmetic processes under program control and controls the entire information processing apparatus 10 . For example, the CPU 11 executes processing based on programs such as an OS (Operating System) and a BIOS (Basic Input Output System).

メインメモリ12は、CPU11の実行プログラムの読み込み領域として、又は、実行プログラムの処理データを書き込む作業領域として利用される書き込み可能メモリである。メインメモリ12は、例えば、複数個のDRAM(Dynamic Random Access Memory)チップで構成される。この実行プログラムには、OS、周辺機器類をハードウェア操作するための各種ドライバ、各種サービス/ユーティリティ、アプリケーションプログラム等が含まれる。 The main memory 12 is a writable memory used as a read area for the execution program of the CPU 11 or as a work area for writing processing data of the execution program. The main memory 12 is composed of, for example, a plurality of DRAM (Dynamic Random Access Memory) chips. The execution program includes an OS, various drivers for hardware operation of peripheral devices, various services/utilities, application programs, and the like.

ビデオサブシステム13は、画像表示に関連する機能を実現するためのサブシステムであり、ビデオコントローラを含んでいる。このビデオコントローラは、CPU11からの描画命令を処理し、処理した描画情報をビデオメモリに書き込むとともに、ビデオメモリからこの描画情報を読み出して、表示部14に描画データ(表示データ)として出力する。 The video subsystem 13 is a subsystem for realizing functions related to image display, and includes a video controller. The video controller processes drawing commands from the CPU 11, writes the processed drawing information to the video memory, reads the drawing information from the video memory, and outputs it to the display unit 14 as drawing data (display data).

表示部14は、例えば、液晶ディスプレイや有機ELディスプレイであり、ビデオサブシステム13から出力された描画データ(表示データ)に基づく表示画面を表示する。 The display unit 14 is, for example, a liquid crystal display or an organic EL display, and displays a display screen based on drawing data (display data) output from the video subsystem 13 .

チップセット21は、USB(Universal Serial Bus)、シリアルATA(AT Attachment)、SPI(Serial Peripheral Interface)バス、PCI(Peripheral Component Interconnect)バス、PCI-Expressバス、及びLPC(Low Pin Count)バスなどのコントローラを備えており複数のデバイスが接続される。図4では、複数のデバイスの例として、BIOSメモリ22と、エンベデッドコントローラ31と、記憶装置40とがチップセット21に接続されている。また、チップセット21は、時刻を計時するRTC(Real Time Clock)211を備えている。RTC211は、RTC電源25(例えば、コイン電池)からの給電により動作する。 The chipset 21 supports USB (Universal Serial Bus), serial ATA (AT Attachment), SPI (Serial Peripheral Interface) bus, PCI (Peripheral Component Interconnect) bus, PCI-Express bus, and LPC (Low Pin Count) bus. It has a controller and multiple devices are connected. In FIG. 4, a BIOS memory 22, an embedded controller 31, and a storage device 40 are connected to the chipset 21 as examples of multiple devices. The chipset 21 also includes an RTC (Real Time Clock) 211 that measures time. The RTC 211 operates by power supply from the RTC power supply 25 (for example, coin battery).

BIOSメモリ22は、例えば、SPI(Serial Peripheral Interface)フラッシュメモリや、EEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性メモリで構成される。BIOSメモリ22は、BIOSのプログラム、エンベデッドコントローラ31を制御するためのプログラムなどのシステムファームウェアを記憶する。また、BIOSメモリ22は、BIOSのデータやコード、エンベデッドコントローラ31の制御に関するデータなどを記憶する。 The BIOS memory 22 is, for example, a non-volatile memory such as an SPI (Serial Peripheral Interface) flash memory or an EEPROM (Electrically Erasable Programmable Read Only Memory). The BIOS memory 22 stores system firmware such as BIOS programs and programs for controlling the embedded controller 31 . The BIOS memory 22 also stores BIOS data and codes, data related to control of the embedded controller 31, and the like.

通信部23は、無線LANまたは有線LANに対応した通信アダプタを含んで構成され、ネットワークNTを介して認証サーバ80などの外部装置と通信接続する。 The communication unit 23 includes a communication adapter compatible with wireless LAN or wired LAN, and communicates with an external device such as the authentication server 80 via the network NT.

記憶装置40は、SSD(Solid State Drive)、HDD(Hard Disk Drive)などを含んで構成される。例えば、記憶装置40は、OS、各種ドライバ、各種サービス/ユーティリティ、アプリケーションプログラム、及び各種データを記憶する。 The storage device 40 includes an SSD (Solid State Drive), an HDD (Hard Disk Drive), and the like. For example, the storage device 40 stores an OS, various drivers, various services/utilities, application programs, and various data.

エンベデッドコントローラ(EC:Embedded Controller)31は、OSやBIOSの処理を実行するCPU11とは別に設けられているプロセッサである。例えば、エンベデッドコントローラ31は、不図示のCPU、ROM、RAM、フラッシュメモリ、複数チャネルのA/D入力端子、D/A出力端子、タイマ、及びデジタル入出力端子を備えるワンチップマイコン(One-Chip Microcomputer)である。エンベデッドコントローラ31には、それぞれの入力端子を介して、例えば、キーボード32、電源回路33、及び電源ボタン35などが接続されている。また、エンベデッドコントローラ31は、バスを介して接続されているチップセット21を経由して、CPU11とデータの授受を行う。 An embedded controller (EC) 31 is a processor provided separately from the CPU 11 that executes OS and BIOS processing. For example, the embedded controller 31 is a one-chip microcomputer having a CPU, ROM, RAM, flash memory, multiple channels of A/D input terminals, D/A output terminals, timers, and digital input/output terminals (not shown). Microcomputer). For example, a keyboard 32, a power supply circuit 33, a power button 35, and the like are connected to the embedded controller 31 via respective input terminals. The embedded controller 31 also exchanges data with the CPU 11 via the chipset 21 connected via a bus.

例えば、エンベデッドコントローラ31は、電源ボタン35に対するユーザの操作に応じた操作信号を受取り、電源回路33の制御およびシステムの起動の指示などを行う。また、エンベデッドコントローラ31は、キーボード32に対するユーザの操作に応じた操作信号を受取り、当該操作信号に応じた処理を行う。また、エンベデッドコントローラ31は、本実施形態に係るワンタイムスキャンコードモードにおけるパスワードの暗号化処理を実行する。このワンタイムスキャンコードモードにおける処理ついて詳しくは後述する。 For example, the embedded controller 31 receives an operation signal corresponding to a user's operation of the power button 35, and controls the power supply circuit 33 and instructs system startup. The embedded controller 31 also receives an operation signal corresponding to a user's operation on the keyboard 32 and performs processing according to the operation signal. The embedded controller 31 also executes password encryption processing in the one-time scan code mode according to this embodiment. Details of processing in this one-time scan code mode will be described later.

キーボード32は、ユーザの操作を受け付ける複数のキー(操作子の一例)が配列された入力デバイスである。キーボード32は、図1に示すように、機器筐体102のキーボード面102aに設けられている。キーボード32は、ユーザの操作に応じた操作信号をエンベデッドコントローラ31へ出力する。なお、キーボード32以外の入力デバイスとして、ポインティング・デバイス、タッチパッドなどの任意の入力デバイスが任意の場所に設けられてもよい。 The keyboard 32 is an input device in which a plurality of keys (an example of manipulators) for accepting user operations are arranged. The keyboard 32 is provided on the keyboard surface 102a of the device housing 102, as shown in FIG. The keyboard 32 outputs an operation signal to the embedded controller 31 according to the user's operation. As an input device other than the keyboard 32, an arbitrary input device such as a pointing device or a touch pad may be provided at an arbitrary location.

電源回路33は、例えば、DC/DCコンバータ、充放電ユニットなどを含んで構成されている。DC/DCコンバータは、ACアダプタ(外部電源)もしくはバッテリ60から供給される直流電力の電圧を、各部で要求される電圧に変換する。DC/DCコンバータにより電圧が変換された電力が各電源系統を介して各部へ供給される。例えば、電源部400は、エンベデッドコントローラ31による制御に基づいて各電源系統を介して各部に電力を供給する。 The power supply circuit 33 includes, for example, a DC/DC converter, a charging/discharging unit, and the like. The DC/DC converter converts the voltage of DC power supplied from an AC adapter (external power supply) or battery 60 into a voltage required by each part. Electric power whose voltage is converted by the DC/DC converter is supplied to each part via each power supply system. For example, the power supply unit 400 supplies power to each unit through each power supply system based on control by the embedded controller 31 .

[ワンタイムスキャンコードモード]
図1及び図2を参照して説明したワンタイムスキャンコードモードにおけるパスワードの暗号化処理は、主にエンベデッドコントローラ31の制御により実行される。
[One-time scan code mode]
The password encryption processing in the one-time scan code mode described with reference to FIGS. 1 and 2 is mainly executed under the control of the embedded controller 31. FIG.

エンベデッドコントローラ31は、キーボード32に対するユーザの操作により操作されたキーを示すキー情報をキーボード32から取得する。例えば、エンベデッドコントローラ31は、キーボード32に対するユーザの操作により文字列「ABC」が入力された場合、キーボード32における「A」、「B」、及び「C」それぞれのキーの位置を示すキー情報を取得する。そして、エンベデッドコントローラ31は、取得したキー情報を、時刻に応じて変更される暗号化ルールに基づいて暗号化した暗号化データを生成する。 The embedded controller 31 acquires from the keyboard 32 key information indicating the key operated by the user's operation on the keyboard 32 . For example, when the user operates the keyboard 32 to input the character string "ABC", the embedded controller 31 stores key information indicating the positions of the "A", "B", and "C" keys on the keyboard 32. get. Then, the embedded controller 31 generates encrypted data by encrypting the acquired key information based on an encryption rule that changes according to time.

例えば、暗号化ルールは、前述したように、キーボード32に配列されている複数のキーのそれぞれに対応するスキャンコードの時刻に応じた変更ルールである。エンベデッドコントローラ31は、キーボード32から取得したキー情報とキー情報を取得したときの時刻とに基づいて、当該時刻における暗号化ルールに従ってキー情報をスキャンコードに変換して暗号化データを生成する。 For example, the encryption rule is a change rule according to the time of the scan code corresponding to each of the plurality of keys arranged on the keyboard 32, as described above. Based on the key information acquired from the keyboard 32 and the time when the key information was acquired, the embedded controller 31 converts the key information into a scan code according to the encryption rule at that time to generate encrypted data.

具体的には、時刻に応じて変更されるワンタイムスキャンコードマップを生成するための暗号化ルールを定めた「セキュアキー」が、エンベデッドコントローラ31内部の記憶部(例えば、ROM、フラッシュメモリなど)に記憶されている。エンベデッドコントローラ31は、予め設定された時刻ごとに(例えば、30秒毎に)「セキュアキー」に応じて、時刻ごとの暗号化ルールとしてのワンタイムスキャンコードマップを生成する。 Specifically, a "secure key" defining encryption rules for generating a one-time scan code map that changes according to time is stored in a storage unit (eg, ROM, flash memory, etc.) inside the embedded controller 31. stored in The embedded controller 31 generates a one-time scan code map as an encryption rule for each time according to the "secure key" at each preset time (every 30 seconds, for example).

なお、エンベデッドコントローラ31は、CPU11で実行されているBIOSから現在時刻の情報を取得する。 The embedded controller 31 acquires current time information from the BIOS executed by the CPU 11 .

そして、エンベデッドコントローラ31は、キーボード32に対するユーザの操作によりパスワードが入力された場合、入力された文字列に対応するキー情報をキーボード32から取得し、取得したキー情報とキー情報を取得したときの時刻とに基づいて、当該時刻に対応するワンタイムスキャンコードマップに従ってキー情報をスキャンコード(ワンタイムスキャンコード)に変換して暗号化する。エンベデッドコントローラ31は、変換したスキャンコードをCPU11へ出力する。 Then, when a password is input by a user's operation on the keyboard 32, the embedded controller 31 acquires key information corresponding to the input character string from the keyboard 32, and the acquired key information and the key information at the time of acquiring the key information. Based on the time, the key information is converted into a scan code (one-time scan code) according to the one-time scan code map corresponding to the time and encrypted. Embedded controller 31 outputs the converted scan code to CPU 11 .

CPU11は、OSの処理により、エンベデッドコントローラ31から出力されたスキャンコードを取得すると、取得したスキャンコードを規定のスキャンコードマップに基づいて文字列(文字コード)に変換して通信部23を介して認証サーバ80へ送信する。これにより、図1を参照して説明したように、キーボード32に対してパスワードとして文字列「ABC」が入力された場合、時刻によって文字列「EFG」、文字列「AHK」、文字列「S5T」などのように暗号化された文字列(文字コード)のデータが認証サーバ80へ送信される。 When the CPU 11 acquires the scan code output from the embedded controller 31 by the processing of the OS, the CPU 11 converts the acquired scan code into a character string (character code) based on a prescribed scan code map, and transmits the character string through the communication unit 23. Send to authentication server 80 . As a result, as described with reference to FIG. 1, when the character string "ABC" is input to the keyboard 32 as the password, the character string "EFG", the character string "AHK", the character string "S5T", and the character string "S5T" ” or the like is transmitted to the authentication server 80 .

また、CPU11は、BIOSの処理により、エンベデッドコントローラ31からの時刻情報の要求を受けると、現在時刻の情報をRTC211から取得してエンベデッドコントローラ31へ送信する。なお、RTC211で計時されている時刻は、OSの処理に基づいて、ネットワークNTを介して通信接続されるタイムサーバにより随時、正しい現在時刻に調整される。また、認証サーバ80における現在時刻も同様にタイムサーバなどにより随時、正しい現在時刻に調整されている。 Further, when the CPU 11 receives a request for time information from the embedded controller 31 through processing of the BIOS, the CPU 11 acquires current time information from the RTC 211 and transmits it to the embedded controller 31 . The time kept by the RTC 211 is adjusted to the correct current time as needed by a time server connected for communication via the network NT based on the processing of the OS. Also, the current time in the authentication server 80 is similarly adjusted to the correct current time by a time server or the like.

認証サーバ80は、情報処理装置10から暗号化された文字列(文字コード)のデータを受信して取得すると、取得した時刻と「セキュアキー」(情報処理装置10と共通の「セキュアキー」)とにより生成されたワンタイムスキャンコードマップ(共通の暗号化ルール)を用いて、暗号化された文字列(文字コード)のデータを複合して、情報処理装置10でユーザにより入力された元の文字列を得る。そして、認証サーバ80は、認証処理を実行する。例えば、認証サーバ80は、暗号化された文字列(文字コード)のデータを複合し、複合した文字列(情報処理装置10でパスワードとして入力された文字列)と、予めユーザIDと関連付けて登録されているパスワードの文字列とを照合することにより、ユーザ認証を行う。 When the authentication server 80 receives and acquires encrypted character string (character code) data from the information processing device 10, the acquired time and a “secure key” (a “secure key” shared with the information processing device 10) Using the one-time scan code map (common encryption rule) generated by and, the data of the encrypted character string (character code) is compounded, and the original input by the user in the information processing device 10 get a string. The authentication server 80 then executes authentication processing. For example, the authentication server 80 combines encrypted character string (character code) data, and registers the composite character string (character string input as a password in the information processing apparatus 10) in association with the user ID in advance. User authentication is performed by matching with the password character string provided.

[ワンタイムスキャンコードモードによる認証処理]
次に、本実施形態に係る情報処理システム1で実行されるワンタイムスキャンコードモードによる認証処理の動作について説明する。
図5は、本実施形態に係る情報処理システム1における認証処理の一例を示すフローチャートである。
[Authentication processing by one-time scan code mode]
Next, the operation of authentication processing in the one-time scan code mode performed by the information processing system 1 according to this embodiment will be described.
FIG. 5 is a flowchart showing an example of authentication processing in the information processing system 1 according to this embodiment.

(ステップS101)CPU11は、BIOSの起動、及びユーザ認証の後OSの起動処理を実行する。なお、この起動時のユーザ認証は、例えば、パスワード認証、指紋認証、顔認証などの一要素認証であって、ワンタイムスキャンコードモードによる認証とは異なる。システムが起動すると、ステップS103の処理へ進む。 (Step S101) The CPU 11 starts the BIOS, and after user authentication, executes the OS startup process. Note that this user authentication at startup is, for example, one-factor authentication such as password authentication, fingerprint authentication, face authentication, etc., and is different from authentication by the one-time scan code mode. When the system is activated, the process proceeds to step S103.

(ステップS103)エンベデッドコントローラ31は、キーボード32に配列されているキーのうちの特定のキーに対する操作に応じて、ワンタイムスキャンコードモードに移行する。特定のキーに対する操作とは、例えば、「Fn」+「P」などの複数の特定のキーを組み合わせた操作である。なお、エンベデッドコントローラ31は、特定のキーに対する操作に限らず、特定のアプリケーション内における操作によりワンタイムスキャンコードモードに移行してもよいし、特定のアプリケーションが起動することにより自動でワンタイムスキャンコードモードに移行してもよい。そして、ステップS105の処理へ進む。 (Step S103) The embedded controller 31 shifts to the one-time scan code mode in response to an operation on a specific key among the keys arranged on the keyboard 32. FIG. An operation for a specific key is, for example, an operation combining a plurality of specific keys such as "Fn"+"P". Note that the embedded controller 31 may shift to the one-time scan code mode not only by operating a specific key, but also by operating within a specific application. You can switch to mode. Then, the process proceeds to step S105.

(ステップS105)エンベデッドコントローラ31は、CPU11に対して時刻情報を要求する。そして、ステップS107の処理へ進む。 (Step S105) The embedded controller 31 requests the CPU 11 for time information. Then, the process proceeds to step S107.

(ステップS107)CPU11は、BIOSの処理により、エンベデッドコントローラ31からの時刻情報の要求に応じて、現在時刻の情報をエンベデッドコントローラ31へ送信する。エンベデッドコントローラ31は、CPU11(BIOS)から現在時刻の情報を取得する。そして、ステップS109の処理へ進む。 (Step S107) The CPU 11 transmits current time information to the embedded controller 31 in response to a request for time information from the embedded controller 31 by processing the BIOS. The embedded controller 31 acquires current time information from the CPU 11 (BIOS). Then, the process proceeds to step S109.

(ステップS109)エンベデッドコントローラ31は、「セキュアキー」と時刻とに基づいてワンタイムスキャンコードマップを生成する。そして、ステップS111の処理へ進む。 (Step S109) Embedded controller 31 generates a one-time scan code map based on the "secure key" and time. Then, the process proceeds to step S111.

(ステップS111)キーボード32に対するユーザの操作によりパスワードが入力されると、エンベデッドコントローラ31は、入力された文字列に対応するキー情報をキーボード32から取得する。そして、ステップS113の処理へ進む。 (Step S<b>111 ) When a password is input by the user's operation on the keyboard 32 , the embedded controller 31 acquires key information corresponding to the input character string from the keyboard 32 . Then, the process proceeds to step S113.

(ステップS113)エンベデッドコントローラ31は、取得したキー情報とキー情報を取得したときの時刻とに基づいて、当該時刻に対応するワンタイムスキャンコードマップに従ってキー情報(パスワード)をスキャンコード(ワンタイムスキャンコード)に変換して暗号化する。そして、ステップS115の処理へ進む。 (Step S113) Based on the acquired key information and the time when the key information was acquired, the embedded controller 31 scans the key information (password) according to the one-time scan code map corresponding to the time (one-time scan). code) and encrypt it. Then, the process proceeds to step S115.

(ステップS115)エンベデッドコントローラ31は、パスワードを暗号化したスキャンコードをCPU11へ出力する。そして、ステップS117の処理へ進む。 (Step S115) The embedded controller 31 outputs to the CPU 11 a scan code obtained by encrypting the password. Then, the process proceeds to step S117.

(ステップS117)CPU11は、OSの処理により、パスワードを暗号化したスキャンコードを規定のスキャンコードマップに基づいて文字列(文字コード)に変換した暗号化データを生成して、通信部23を介して認証サーバ80へ送信する。そして、ステップS201の処理へ進む。 (Step S<b>117 ) The CPU 11 generates encrypted data by converting the password-encrypted scan code into a character string (character code) based on a prescribed scan code map, and transmits the encrypted data via the communication unit 23 (step S<b>117 ). to the authentication server 80. Then, the process proceeds to step S201.

(ステップS201)認証サーバ80は、情報処理装置10から暗号化データを受信すると、当該暗号化データを取得して、ステップS203の処理へ進む。 (Step S201) When the authentication server 80 receives the encrypted data from the information processing device 10, it acquires the encrypted data and proceeds to the process of step S203.

(ステップS203)認証サーバ80は、情報処理装置10から暗号化データを取得した時刻と情報処理装置10と共通の「セキュアキー」により生成されたワンタイムスキャンコードマップとに基づいて、暗号化データを複合して、情報処理装置10でユーザにより入力された元のパスワードの文字列を取得する。そして、ステップS205の処理へ進む。 (Step S203) Based on the time when the encrypted data was obtained from the information processing device 10 and the one-time scan code map generated by the "secure key" shared with the information processing device 10, the authentication server 80 checks the encrypted data. are combined to obtain the character string of the original password input by the user in the information processing apparatus 10 . Then, the process proceeds to step S205.

(ステップS205)認証サーバ80は、複合したパスワードに基づいて、パスワード認証の処理を実行する。例えば、認証サーバ80は、複合したパスワードの文字列(情報処理装置10でパスワードとして入力された文字列)と、予めユーザIDと関連付けて登録されているパスワードの文字列とを照合することにより、ユーザ認証の処理を実行する。 (Step S205) The authentication server 80 executes password authentication processing based on the compounded password. For example, the authentication server 80 compares the character string of the compounded password (the character string input as the password in the information processing device 10) with the character string of the password registered in advance in association with the user ID. Perform user authentication processing.

[実施形態のまとめ]
以上説明してきたように、本実施形態に係る情報処理システム1は、情報処理装置10と、情報処理装置10と通信接続される認証サーバ80(サーバの一例)とを備えている。情報処理装置10は、OSのプログラムを一時的に記憶するメインメモリ12(メモリの一例)と、OSのプログラムを実行するCPU11(プロセッサの一例)と、CPU11とは別に設けられているプロセッサであるエンベデッドコントローラ31と、認証サーバ80と通信する通信部23(送信部の一例))とを備えている。エンベデッドコントローラ31は、複数のキーが配列されているキーボード32(操作部の一例)に対するユーザの操作により操作されたキーを示すキー情報(第1キー情報の一例)をキーボード32から取得し、取得したキー情報と時刻に応じて変更される暗号化ルール(例えば、時刻と「セキュアキー」とに基づいて生成されるワンタイムスキャンコードマップ)とに基づいて暗号化した暗号化データ(第1キー情報と異なる第2キー情報の一例)を生成してCPU11へ送信する。CPU11は、ユーザの操作により操作されたキーを示すキー情報を取得せずに、エンベデッドコントローラ31により生成された暗号化データに基づくデータを、認証サーバ80へ送信する。認証サーバ80は、情報処理装置10から送信された暗号化データに基づくデータを取得し、取得した暗号化データに基づくデータと、情報処理装置10で使用される暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて、ユーザの操作により操作されたキーを示すキー情報を得る。
[Summary of embodiment]
As described above, the information processing system 1 according to the present embodiment includes the information processing device 10 and the authentication server 80 (an example of a server) that is communicatively connected to the information processing device 10 . The information processing apparatus 10 includes a main memory 12 (an example of a memory) that temporarily stores an OS program, a CPU 11 (an example of a processor) that executes the OS program, and a processor provided separately from the CPU 11 . It includes an embedded controller 31 and a communication section 23 (an example of a transmission section) that communicates with the authentication server 80 . The embedded controller 31 acquires from the keyboard 32 key information (an example of first key information) indicating a key operated by a user on a keyboard 32 (an example of an operation unit) on which a plurality of keys are arranged, and acquires the key information. Encrypted data (first key An example of second key information different from the information) is generated and transmitted to the CPU 11 . The CPU 11 transmits data based on the encrypted data generated by the embedded controller 31 to the authentication server 80 without obtaining key information indicating the key operated by the user. The authentication server 80 acquires data based on the encrypted data transmitted from the information processing device 10, and the data based on the acquired encrypted data and the same encryption rule used in the information processing device 10 at the same time. Based on a common encryption rule for encryption, key information indicating a key operated by a user is obtained.

これにより、情報処理システム1は、情報処理装置10で入力されたパスワードが、情報処理装置10内で時刻に応じて変更される暗号化ルールに基づいて暗号化されて認証サーバ80へ送信されるため、不正アクセスに対する安全性を高めることができる。例えば、情報処理システム1は、従来のハードウェアトークンやセキュリティカードなどのようにワンタイム認証に使用される文字列が視認できるものと異なり、情報処理装置10の内部でパスワードの暗号化が行われる。そのため、情報処理システム1は、従来のハードウェアトークンやセキュリティカードなどのように、落としたり紛失したりすることによる不正アクセスの懸念が無く、不正アクセスに対する安全性を高めることができる。 As a result, the information processing system 1 encrypts the password entered in the information processing device 10 based on the encryption rule that changes according to the time in the information processing device 10, and transmits the encrypted password to the authentication server 80. Therefore, security against unauthorized access can be enhanced. For example, in the information processing system 1, the password is encrypted inside the information processing apparatus 10, unlike conventional hardware tokens and security cards in which the character string used for one-time authentication can be visually recognized. . Therefore, the information processing system 1 can improve security against unauthorized access without fear of unauthorized access due to dropping or loss, unlike conventional hardware tokens or security cards.

例えば、上記暗号化ルールは、キーボード32に配列されている複数のキーのそれぞれに対応するスキャンコードの時刻に応じた変更ルールであり、時刻と「セキュアキー」とに基づいて生成されるワンタイムスキャンコードマップである。エンベデッドコントローラ31は、キーボード32から取得したキー情報(第1キー情報の一例)とキー情報を取得したときの時刻とに基づいて、当該時刻における暗号化ルール(例えば、ワンタイムスキャンコードマップ)に従ってキー情報をスキャンコードに変換して暗号化データ(第2キー情報の一例)を生成する。 For example, the encryption rule is a change rule according to the time of the scan code corresponding to each of the plurality of keys arranged on the keyboard 32, and is a one-time code generated based on the time and the "secure key". Scan code map. Based on the key information (an example of the first key information) acquired from the keyboard 32 and the time when the key information was acquired, the embedded controller 31 follows the encryption rule (for example, one-time scan code map) at that time. The key information is converted into a scan code to generate encrypted data (an example of second key information).

これにより、情報処理装置10は、時刻に応じてワンタイムスキャンコードマップを生成することにより、キーボード32に入力されたパスワードの文字列を、時刻に応じて異なるスキャンコードに変換して暗号化することができる。 As a result, the information processing apparatus 10 generates a one-time scan code map according to the time, thereby converting the character string of the password input to the keyboard 32 into a different scan code according to the time and encrypting it. be able to.

認証サーバ80は、情報処理装置10から暗号化データ(第2キー情報の一例)に基づくデータを取得した時刻と上記の共通の暗号化ルール(例えば、ワンタイムスキャンコードマップ)とに基づいて暗号化データに基づくデータを複合して認証処理を実行する。 The authentication server 80 encrypts the data based on the encrypted data (an example of the second key information) from the information processing device 10 based on the time and the common encryption rule (for example, the one-time scan code map). The authentication process is performed by decrypting the data based on the authentication data.

これにより、認証サーバ80は、情報処理装置10で時刻に応じて異なるスキャンコードに変換して暗号化されたパスワードの文字列を複合して認証処理を実行することができる。 As a result, the authentication server 80 can execute the authentication process by combining the character string of the password that is converted into different scan codes according to the time and encrypted by the information processing device 10 .

なお、本実施形態では、認証サーバ80は、情報処理装置10から取得した暗号化されたパスワードの文字列を共通のワンタイムスキャンコードマップに基づいて複合して認証処理を行う例を説明したが、これに限定されるものではない。例えば、認証サーバ80は、暗号化データ(第2キー情報の一例)に基づくデータを取得した時刻と上記の共通の暗号化ルール(例えば、ワンタイムスキャンコードマップ)とに基づいて、予め登録された文字列(パスワード)を暗号化した認証用データを生成し、認証用データと暗号化データ(第2キー情報の一例)に基づくデータとに基づいて認証処理を実行してもよい。図6を参照して説明する。 In this embodiment, the authentication server 80 combines the encrypted password character string acquired from the information processing device 10 based on the common one-time scan code map to perform the authentication process. , but not limited to. For example, the authentication server 80 is registered in advance based on the time when the data based on the encrypted data (an example of the second key information) was acquired and the common encryption rule (for example, one-time scan code map). Authentication data may be generated by encrypting the character string (password), and authentication processing may be executed based on the authentication data and data based on the encrypted data (an example of the second key information). Description will be made with reference to FIG.

図6は、本実施形態に係るパスワード認証の仕組みの他の例の説明図である。この図において、情報処理装置10におけるワンタイムスキャンコードモードの処理は図1と同様である。認証サーバ80は、予め登録された文字列(パスワード)を、時刻に応じて(例えば、30秒毎に)生成したワンタイムスキャンコードマップに基づいて暗号化して認証用データを生成する。認証用データは、情報処理装置10から送信される暗号化データと照合するためのデータである。 FIG. 6 is an explanatory diagram of another example of the mechanism of password authentication according to this embodiment. In this figure, processing in the one-time scan code mode in the information processing apparatus 10 is the same as in FIG. The authentication server 80 generates authentication data by encrypting a pre-registered character string (password) based on a one-time scan code map generated according to time (every 30 seconds, for example). The authentication data is data for matching with the encrypted data transmitted from the information processing device 10 .

図6に示す例において、情報処理装置10においてパスワードとして文字列「ABC」が入力された場合、時刻「12:45:10」ではワンタイムスキャンコードマップに基づいて文字列「EFG」に暗号化されたデータが認証サーバ80へ送信される。認証サーバ80では、同時刻「12:45:10」において、予め登録された文字列(パスワード)が共通のワンタイムスキャンコードマップに基づいて文字列「EFG」に暗号化された認証用データが生成される。これにより、認証サーバ80は、情報処理装置10から送信された暗号化されたデータ(文字列「EFG」)と、認証用データ(文字列「EFG」)とを照合することにより、ユーザ認証処理を実行する。 In the example shown in FIG. 6, when the character string "ABC" is input as the password in the information processing apparatus 10, at time "12:45:10", it is encrypted into the character string "EFG" based on the one-time scan code map. The received data is transmitted to the authentication server 80 . In the authentication server 80, at the same time "12:45:10", authentication data encrypted into a character string "EFG" based on a common one-time scan code map with pre-registered character strings (passwords) is transmitted. generated. As a result, the authentication server 80 compares the encrypted data (character string “EFG”) transmitted from the information processing device 10 with the authentication data (character string “EFG”), thereby performing user authentication processing. to run.

これにより、情報処理システム1は、情報処理装置10で入力されたパスワードが、情報処理装置10内で時刻に応じて変更される暗号化ルールに基づいて暗号化されて認証サーバ80へ送信され、認証サーバ80においてユーザ認証を行うことができるため、不正アクセスに対する安全性を高めることができる。 As a result, the information processing system 1 encrypts the password entered in the information processing device 10 based on the encryption rule that changes according to the time in the information processing device 10, and transmits the encrypted password to the authentication server 80. Since user authentication can be performed in the authentication server 80, security against unauthorized access can be enhanced.

なお、本実施形態では、情報処理装置10は、キーボード32に対してパスワードとして入力された文字列を暗号化したスキャンコードを規定のスキャンコードマップに基づいて文字列(文字コード)に変換した暗号化データを生成して、通信部23を介して認証サーバ80へ送信する例を説明したが、キーボード32に対してパスワードとして入力された文字列を暗号化したスキャンコードを暗号化データとして通信部23を介して認証サーバ80へ送信してもよい。この場合、認証サーバ80は、情報処理装置10から送信された暗号化されたスキャンコードをワンタイムスキャンコードマップに基づいて複合して認証処理を行ってもよいし、予め登録された文字列(パスワード)が共通のワンタイムスキャンコードマップに基づいて暗号化されたスキャンコードを認証用データとして照合することにより認証処理を行ってもよい。 Note that in the present embodiment, the information processing apparatus 10 converts a scan code obtained by encrypting a character string input to the keyboard 32 as a password into a character string (character code) based on a prescribed scan code map. Although an example has been described in which encrypted data is generated and transmitted to the authentication server 80 via the communication unit 23, a scan code obtained by encrypting a character string entered as a password on the keyboard 32 is used as encrypted data by the communication unit. 23 to the authentication server 80. In this case, the authentication server 80 may perform authentication processing by decoding the encrypted scan code transmitted from the information processing device 10 based on the one-time scan code map, or a pre-registered character string ( The authentication process may be performed by collating a scan code encrypted based on a common one-time scan code map as authentication data.

また、暗号化ルール(例えば、ワンタイムスキャンコードマップ)を示す情報(例えば、「セキュアキー」)とユーザの識別情報(例えば、ユーザID)とが関連付けられて、情報処理装置10及び認証サーバ80のそれぞれの記憶部に記憶されている。 Also, information (eg, “secure key”) indicating encryption rules (eg, one-time scan code map) and user identification information (eg, user ID) are associated with each other so that information processing device 10 and authentication server 80 are stored in respective storage units of .

これにより、情報処理システム1は、ユーザ毎のパスワード認証を、ワンタイムスキャンコードモードを使用した二要素認証の処理として実行することができる。 As a result, the information processing system 1 can perform password authentication for each user as two-factor authentication processing using the one-time scan code mode.

例えば、情報処理装置10における暗号化ルールを示す情報(例えば、「セキュアキー」)は、エンベデッドコントローラ31内の記憶部(例えば、ROM、フラッシュメモリなど)に記憶される。 For example, information indicating encryption rules in the information processing device 10 (for example, “secure key”) is stored in a storage unit (for example, ROM, flash memory, etc.) in the embedded controller 31 .

これにより、情報処理装置10は、ハードウェア内のデータでワンタイム認証を行うことができるため、従来のハードウェアトークンやセキュリティカードなどのように、落としたり紛失したりすることによる不正アクセスの懸念が無く、不正アクセスに対する安全性を高めることができる。 As a result, since the information processing apparatus 10 can perform one-time authentication using data in the hardware, there is concern about unauthorized access due to dropping or loss, unlike conventional hardware tokens and security cards. security against unauthorized access can be enhanced.

なお、情報処理装置10のエンベデッドコントローラ31内の記憶部に「セキュアキー」を記憶させる方法としては、認証サーバ80などの「セキュアキー」を提供するサーバからダウンロードする方法を適用できる。このダウンロードを行う際には、パスワード認証に加えて、ワンタイム認証用メールアドレスに送信されたワンタイムキーを入力するワンタイム認証を用いてもよい。 As a method of storing the "secure key" in the storage unit in the embedded controller 31 of the information processing apparatus 10, a method of downloading from a server such as the authentication server 80 that provides the "secure key" can be applied. When performing this download, in addition to password authentication, one-time authentication for entering a one-time key sent to the one-time authentication e-mail address may be used.

エンベデッドコントローラ31は、CPU11で実行されているBIOSに対して時刻情報を要求する。CPU11は、エンベデッドコントローラ31からの時刻情報の要求に応じて、BIOSの処理により現在時刻の情報をエンベデッドコントローラ31へ送信する。 The embedded controller 31 requests time information from the BIOS executed by the CPU 11 . In response to a request for time information from the embedded controller 31, the CPU 11 transmits current time information to the embedded controller 31 by processing the BIOS.

これにより、情報処理装置10は、正確な時刻に応じてワンタイムスキャンコードマップを生成することができるため、認証サーバ80における認証処理を適切に行うことができる。 As a result, the information processing apparatus 10 can generate the one-time scan code map according to the correct time, so that the authentication processing in the authentication server 80 can be performed appropriately.

エンベデッドコントローラ31は、キーボード32に配列されているキーのうちの特定のキーに対するユーザの操作(例えば、「Fn」+「P」などの複数の特定のキーを組み合わせた操作)に応じて、ワンタイムスキャンコードモード(キー情報を暗号化ルールに基づいて暗号化する処理モード)へ移行する。 The embedded controller 31 responds to a user's operation on a specific key among the keys arranged on the keyboard 32 (for example, an operation combining a plurality of specific keys such as "Fn" + "P"). Shift to time scan code mode (processing mode for encrypting key information based on encryption rules).

これにより、情報処理装置10は、ユーザによる簡単な操作でワンタイムスキャンコードモードを使用した二要素認証の処理を実行することができる。 Thereby, the information processing apparatus 10 can execute two-factor authentication processing using the one-time scan code mode with a simple operation by the user.

なお、前述したように、エンベデッドコントローラ31は、特定のキーに対する操作に限らず、特定のアプリケーション内における操作によりワンタイムスキャンコードモードに移行してもよいし、特定のアプリケーションが起動することにより自動でワンタイムスキャンコードモードに移行してもよい。 As described above, the embedded controller 31 may shift to the one-time scan code mode not only by operating a specific key but also by operating within a specific application. You can switch to the one-time scan code mode with .

また、本実施形態に係る情報処理装置10は、OSのプログラムを一時的に記憶するメインメモリ12(メモリの一例)と、OSのプログラムを実行するCPU11(プロセッサの一例)と、CPU11とは別に設けられているプロセッサであるエンベデッドコントローラ31と、認証サーバ80と通信する通信部23(送信部の一例))とを備えている。エンベデッドコントローラ31は、複数のキーが配列されているキーボード32(操作部の一例)に対するユーザの操作により操作されたキーを示すキー情報(第1キー情報の一例)をキーボード32から取得し、取得したキー情報と時刻に応じて変更される暗号化ルール(例えば、時刻と「セキュアキー」とに基づいて生成されるワンタイムスキャンコードマップ)とに基づいて暗号化した暗号化データ(第1キー情報と異なる第2キー情報の一例)を生成してCPU11へ送信する。CPU11は、ユーザの操作により操作されたキーを示すキー情報を取得せずに、エンベデッドコントローラ31により生成された暗号化データに基づくデータを、認証サーバ80へ送信する。 Further, the information processing apparatus 10 according to the present embodiment includes a main memory 12 (an example of a memory) that temporarily stores an OS program, a CPU 11 (an example of a processor) that executes the OS program, and a It includes an embedded controller 31 that is a processor provided, and a communication section 23 (an example of a transmission section) that communicates with the authentication server 80 . The embedded controller 31 acquires from the keyboard 32 key information (an example of first key information) indicating a key operated by a user on a keyboard 32 (an example of an operation unit) on which a plurality of keys are arranged, and acquires the key information. Encrypted data (first key An example of second key information different from the information) is generated and transmitted to the CPU 11 . The CPU 11 transmits data based on the encrypted data generated by the embedded controller 31 to the authentication server 80 without obtaining key information indicating the key operated by the user.

これにより、情報処理装置10は、キーボード32に入力されたパスワードが、情報処理装置10内で時刻に応じて変更される暗号化ルールに基づいて暗号化して認証サーバ80へ送信するため、不正アクセスに対する安全性を高めることができる。例えば、情報処理装置10は、従来のハードウェアトークンやセキュリティカードなどのようにワンタイム認証に使用される文字列が視認できるものと異なり、情報処理装置10の内部でパスワードの暗号化を行う。そのため、情報処理装置10は、従来のハードウェアトークンやセキュリティカードなどのように、落としたり紛失したりすることによる不正アクセスの懸念が無く、不正アクセスに対する安全性を高めることができる。 As a result, the information processing apparatus 10 encrypts the password input to the keyboard 32 based on the encryption rule that changes according to the time in the information processing apparatus 10 and transmits the encrypted password to the authentication server 80, thereby preventing unauthorized access. can increase the safety against For example, the information processing apparatus 10 encrypts the password inside the information processing apparatus 10, unlike conventional hardware tokens, security cards, etc., in which the character string used for one-time authentication can be visually recognized. Therefore, unlike conventional hardware tokens and security cards, the information processing apparatus 10 is free from concerns about unauthorized access due to dropping or loss, and can improve security against unauthorized access.

また、本実施形態に係る認証サーバ80は、複数のキーが配列されているキーボード32(操作部の一例)に対するユーザの操作により操作されたキーを示すキー情報(第1キー情報の一例)をキーボード32から取得し、取得したキー情報と時刻に応じて変更される暗号化ルール(例えば、時刻と「セキュアキー」とに基づいて生成されるワンタイムスキャンコードマップ)とに基づいて暗号化した暗号化データ(第1キー情報と異なる第2キー情報の一例)に基づくデータを送信する情報処理装置10と通信接続される。認証サーバ80は、情報処理装置10から送信された暗号化データに基づくデータを取得し、取得した暗号化データに基づくデータと、情報処理装置10で使用される暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて、ユーザの操作により操作されたキーを示すキー情報を得る。 Further, the authentication server 80 according to the present embodiment stores key information (an example of first key information) indicating a key operated by a user on the keyboard 32 (an example of an operation unit) on which a plurality of keys are arranged. Obtained from the keyboard 32 and encrypted based on the obtained key information and an encryption rule that changes according to the time (for example, a one-time scan code map generated based on the time and a "secure key") Communication connection is made with an information processing device 10 that transmits data based on encrypted data (an example of second key information different from the first key information). The authentication server 80 acquires data based on the encrypted data transmitted from the information processing device 10, and the data based on the acquired encrypted data and the same encryption rule used in the information processing device 10 at the same time. Based on a common encryption rule for encryption, key information indicating a key operated by a user is obtained.

これにより、認証サーバ80は、情報処理装置10で入力されたパスワードが時刻に応じて変更される暗号化ルールに基づいて暗号化されてから送信されるため、安全性の高い認証処理を行うことができ、不正アクセスに対する安全性を高めることができる。 As a result, the authentication server 80 encrypts the password entered in the information processing device 10 based on the encryption rule that changes according to the time, and then transmits the encrypted password. security against unauthorized access.

また、本実施形態に係る情報処理システム1における制御方法は、情報処理装置10において、エンベデッドコントローラ31が、複数のキーが配列されているキーボード32(操作部の一例)に対するユーザの操作により操作されたキーを示すキー情報(第1キー情報の一例)をキーボード32から取得するステップと、エンベデッドコントローラ31が、取得したキー情報と時刻に応じて変更される暗号化ルール(例えば、時刻と「セキュアキー」とに基づいて生成されるワンタイムスキャンコードマップ)とに基づいて暗号化した暗号化データ(第1キー情報と異なる第2キー情報の一例)を生成してCPU11へ送信するステップと、CPU11が、第1キー情報を取得せずにエンベデッドコントローラ31により生成された第2キー情報に基づくデータを認証サーバ80へ送信するステップと、を含み、認証サーバ80において、情報処理装置10から送信された暗号化データに基づくデータを取得するステップと、取得した暗号化データに基づくデータと、情報処理装置10で使用される暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて、ユーザの操作により操作されたキーを示すキー情報を得るステップと、を含む。 Further, the control method in the information processing system 1 according to the present embodiment is such that in the information processing apparatus 10, the embedded controller 31 is operated by the user's operation on the keyboard 32 (an example of the operation unit) on which a plurality of keys are arranged. a step of acquiring from the keyboard 32 key information (an example of the first key information) indicating the key that has been acquired; and an encryption rule (for example, time and "secure a step of generating encrypted data (an example of second key information different from the first key information) encrypted based on the one-time scan code map generated based on the "key" and transmitting it to the CPU 11; a step in which the CPU 11 transmits data based on the second key information generated by the embedded controller 31 without acquiring the first key information to the authentication server 80, wherein the data is transmitted from the information processing apparatus 10 in the authentication server 80 a step of acquiring data based on the encrypted data; and common encryption in which the same encryption is performed at the same time as the encryption rule used in the information processing apparatus 10 for the data based on the acquired encrypted data. and obtaining key information indicating the key operated by the user's operation based on the rule.

これにより、情報処理システム1は、情報処理装置10で入力されたパスワードが、情報処理装置10内で時刻に応じて変更される暗号化ルールに基づいて暗号化されて認証サーバ80へ送信されるため、不正アクセスに対する安全性を高めることができる。例えば、情報処理システム1は、従来のハードウェアトークンやセキュリティカードなどのようにワンタイム認証に使用される文字列が視認できるものと異なり、情報処理装置10の内部でパスワードの暗号化が行われる。そのため、情報処理システム1は、従来のハードウェアトークンやセキュリティカードなどのように、落としたり紛失したりすることによる不正アクセスの懸念が無く、不正アクセスに対する安全性を高めることができる。 As a result, the information processing system 1 encrypts the password entered in the information processing device 10 based on the encryption rule that changes according to the time in the information processing device 10, and transmits the encrypted password to the authentication server 80. Therefore, security against unauthorized access can be enhanced. For example, in the information processing system 1, the password is encrypted inside the information processing apparatus 10, unlike conventional hardware tokens and security cards in which the character string used for one-time authentication can be visually recognized. . Therefore, the information processing system 1 can improve security against unauthorized access without fear of unauthorized access due to dropping or loss, unlike conventional hardware tokens or security cards.

<第2の実施形態>
次に、本発明の第2の実施形態について説明する。
本実施形態では、1つの「セキュアキー」を複数のユーザが共有して利用することができる態様について説明する。
<Second embodiment>
Next, a second embodiment of the invention will be described.
In this embodiment, a mode will be described in which a plurality of users can share and use one "secure key".

図7は、本実施形態に係る情報処理システム1Aの構成例を示す図である。本実施形態に係る情報処理システム1Aでは、複数のユーザそれぞれの識別情報(例えば、ユーザID)に対して共通の暗号化ルールを示す情報(例えば、「セキュアキー」)が関連付けられて、情報処理装置10及び認証サーバ80のそれぞれの記憶部に記憶されている。 FIG. 7 is a diagram showing a configuration example of an information processing system 1A according to this embodiment. In the information processing system 1A according to the present embodiment, information indicating a common encryption rule (eg, "secure key") is associated with identification information (eg, user ID) of each of a plurality of users, and information processing is performed. It is stored in the respective storage units of the device 10 and the authentication server 80 .

これにより、情報処理システム1Aは、例えば図書館のシステムや会社のシステムなど、複数のユーザが1つのシステム(サービス)を利用する際に、第1の実施形態で説明したワンタイムスキャンコードモードによる認証処理を適用することができる。 As a result, the information processing system 1A can perform authentication using the one-time scan code mode described in the first embodiment when multiple users use one system (service) such as a library system or a company system. Treatment can be applied.

<第3の実施形態>
次に、本発明の第3の実施形態について説明する。
本実施形態では、一人のユーザが複数の「セキュアキー」を利用することができる態様について説明する。
<Third Embodiment>
Next, a third embodiment of the invention will be described.
In this embodiment, a mode in which one user can use a plurality of "secure keys" will be described.

図8は、本実施形態に係る情報処理システム1Bの構成例を示す図である。本実施形態に係る情報処理システム1Bでは、一人のユーザの識別情報(例えば、ユーザID)に対して複数の暗号化ルールを示す情報(例えば、「セキュアキー」)が関連付けられて、情報処理装置10及び認証サーバ80それぞれの記憶部に記憶されている。複数の「セキュアキー」は、銀行、保険会社、ネットショップ、VPNなどの複数のシステム(サービス)それぞれの「セキュアキー」である。複数のシステム(サービス)毎に認証サーバ80が異なる場合には、複数のシステム(サービス)毎の認証サーバ80のそれぞれに、複数のシステム(サービス)それぞれの「セキュアキー」が記憶されている。一方、ユーザが利用する1台の情報処理装置10には、複数のシステム(サービス)のそれぞれの「セキュアキー」が記憶されている。 FIG. 8 is a diagram showing a configuration example of an information processing system 1B according to this embodiment. In the information processing system 1B according to the present embodiment, information indicating a plurality of encryption rules (eg, "secure key") is associated with identification information (eg, user ID) of one user, and the information processing apparatus 10 and authentication server 80 respectively. A plurality of "secure keys" are respective "secure keys" of a plurality of systems (services) such as banks, insurance companies, online shops, and VPNs. When the authentication server 80 is different for each system (service), the authentication server 80 for each system (service) stores a "secure key" for each of the systems (services). On the other hand, one information processing apparatus 10 used by a user stores "secure keys" for each of a plurality of systems (services).

これにより、情報処理システム1Bは、一人のユーザが、銀行、保険会社、ネットショップ、VPNなどの複数のシステム(サービス)を利用する際に、第1の実施形態で説明したワンタイムスキャンコードモードによる認証処理を適用することができる。 As a result, the information processing system 1B can be used in the one-time scan code mode described in the first embodiment when one user uses a plurality of systems (services) such as banks, insurance companies, online shops, and VPNs. can be applied.

<第4の実施形態>
次に、本発明の第4の実施形態について説明する。
本実施形態では、情報処理装置10に「セキュアキー」が記憶されている状態で工場から出荷される態様について説明する。
<Fourth Embodiment>
Next, a fourth embodiment of the invention will be described.
In the present embodiment, a mode in which the information processing apparatus 10 is shipped from the factory with the "secure key" stored therein will be described.

図9は、本実施形態に係る情報処理システム1Cの構成例を示す図である。本実施形態に係る情報処理システム1Cでは、暗号化ルールを示す情報(例えば、「セキュアキー」)が情報処理装置10のエンベデッドコントローラ31内の記憶部(例えば、ROM、フラッシュメモリなど)に記憶された状態で工場90から出荷される。複数のシステム(サービス)それぞれの「セキュアキー」は、クラウド100に記憶されて管理されている。ユーザは、情報処理装置10を購入する際に、利用するシステム(サービス)を選択し、利用するシステム(サービス)の「セキュアキー」とユーザの識別情報(例えば、ユーザID)とを関連付けて、クラウド100が提供するクラウドサービスに登録する。ユーザが購入した情報処理装置10には、選択した「セキュアキー」とユーザの識別情報(例えば、ユーザID)とが記憶されている状態で工場90から出荷され、ユーザの元へ配送される。各システム(サービス)の認証サーバ80は、クラウド100が提供するクラウドサービスにより「セキュアキー」とユーザの識別情報(例えば、ユーザID)とを取得して、認証処理を実行する。 FIG. 9 is a diagram showing a configuration example of an information processing system 1C according to this embodiment. In the information processing system 1C according to the present embodiment, information indicating encryption rules (for example, "secure key") is stored in a storage unit (for example, ROM, flash memory, etc.) in the embedded controller 31 of the information processing apparatus 10. It is shipped from the factory 90 in a state where A “secure key” for each of a plurality of systems (services) is stored and managed in the cloud 100 . When the user purchases the information processing device 10, the user selects the system (service) to be used, associates the "secure key" of the system (service) to be used with the user's identification information (for example, user ID), Register with the cloud service provided by the cloud 100 . The information processing apparatus 10 purchased by the user stores the selected "secure key" and the user's identification information (for example, user ID), and is shipped from the factory 90 and delivered to the user. The authentication server 80 of each system (service) acquires a "secure key" and user identification information (for example, user ID) from the cloud service provided by the cloud 100, and executes authentication processing.

これにより、情報処理システム1Cは、購入した情報処理装置10がユーザの元へ配送された状態で、第1の実施形態で説明したワンタイムスキャンコードモードによる認証処理を利用することができるため利便性が良い。 As a result, the information processing system 1C can use the authentication processing in the one-time scan code mode described in the first embodiment in a state where the purchased information processing apparatus 10 is delivered to the user, which is convenient. Good nature.

以上、この発明の各実施形態について図面を参照して詳述してきたが、具体的な構成は上述の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。例えば、上述の各実施形態において説明した各構成は、任意に組み合わせることができる。 Although each embodiment of the present invention has been described in detail above with reference to the drawings, the specific configuration is not limited to the above-described embodiments, and includes design within the scope of the present invention. . For example, the configurations described in the above embodiments can be combined arbitrarily.

上記実施形態では、情報処理装置10がクラムシェル型のノートPCである例を示したが、デスクトップ型のPC、タブレット型のPCなどであってもよい。また、キーボード32は、情報処理装置10に設けられているものに限らず、情報処理装置10と接続される周辺機器(外部機器)としてもよい。 In the above embodiment, the information processing apparatus 10 is a clamshell notebook PC, but may be a desktop PC, tablet PC, or the like. Moreover, the keyboard 32 is not limited to being provided in the information processing apparatus 10 , and may be a peripheral device (external device) connected to the information processing apparatus 10 .

なお、上述した情報処理装置10は、内部にコンピュータシステムを有している。そして、上述した情報処理装置10が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した情報処理装置10が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD-ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD-ROM等の非一過性の記録媒体であってもよい。 The information processing apparatus 10 described above has a computer system inside. Then, a program for realizing the function of each configuration included in the information processing apparatus 10 described above is recorded in a computer-readable recording medium, and the program recorded in the recording medium is read and executed by a computer system. , the processing in each configuration included in the information processing apparatus 10 described above may be performed. Here, "loading and executing the program recorded on the recording medium into the computer system" includes installing the program in the computer system. The "computer system" here includes hardware such as an OS and peripheral devices. A "computer system" may also include a plurality of computer devices connected via a network including communication lines such as the Internet, WAN, LAN, and dedicated lines. The term "computer-readable recording medium" refers to portable media such as flexible discs, magneto-optical discs, ROMs and CD-ROMs, and storage devices such as hard discs incorporated in computer systems. Thus, the recording medium storing the program may be a non-transitory recording medium such as a CD-ROM.

また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に情報処理装置10が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 Recording media also include internal or external recording media accessible from the distribution server for distributing the program. Note that the program may be divided into a plurality of parts, downloaded at different timings, and then integrated in each structure of the information processing apparatus 10, or the distribution servers that distribute the divided programs may be different. In addition, "computer-readable recording medium" is a volatile memory (RAM) inside a computer system that acts as a server or client when the program is transmitted via a network, and retains the program for a certain period of time. It shall also include things. Further, the program may be for realizing part of the functions described above. Further, it may be a so-called difference file (difference program) that can realize the above functions by combining with a program already recorded in the computer system.

また、上述した実施形態における情報処理装置10が備える各機能の一部、または全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、または汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。 Also, part or all of the functions of the information processing apparatus 10 in the above-described embodiment may be implemented as an integrated circuit such as an LSI (Large Scale Integration). Each function may be individually processorized, or part or all may be integrated and processorized. Also, the method of circuit integration is not limited to LSI, but may be realized by a dedicated circuit or a general-purpose processor. In addition, when an integration circuit technology that replaces LSI appears due to advances in semiconductor technology, an integrated circuit based on this technology may be used.

1,1A,1B,1C 情報処理システム、10 情報処理装置、101 ディスプレイ筐体、101a ディスプレイ面、101b トップ面、102 機器筐体、102a キーボード面、102b ボトム面、103 ヒンジ機構、11 CPU、12 メインメモリ、13 ビデオサブシステム、14 表示部、21 チップセット、211 RTC、22 BIOSメモリ、23 通信部、25 RTC電源、31 エンベデッドコントローラ、32 キーボード、33 電源回路、35 電源ボタン、40 記憶装置、60 バッテリ Reference Signs List 1, 1A, 1B, 1C information processing system 10 information processing device 101 display housing 101a display surface 101b top surface 102 equipment housing 102a keyboard surface 102b bottom surface 103 hinge mechanism 11 CPU 12 main memory, 13 video subsystem, 14 display unit, 21 chipset, 211 RTC, 22 BIOS memory, 23 communication unit, 25 RTC power supply, 31 embedded controller, 32 keyboard, 33 power supply circuit, 35 power button, 40 storage device, 60 battery

Claims (14)

情報処理装置と、前記情報処理装置と通信接続されるサーバとを備える情報処理システムであって、
前記情報処理装置は、
OS(Operating System)のプログラムを一時的に記憶するメモリと、
前記OSのプログラムを実行するプロセッサと、
複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した前記第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するEC(Embedded Controller)と、
を備え、
前記プロセッサは、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを前記サーバへ送信し、
前記サーバは、
前記情報処理装置から送信された前記第2キー情報に基づくデータを取得し、取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の暗号化ルールとに基づいて前記第1キー情報を得る、
情報処理システム。
An information processing system comprising an information processing device and a server connected for communication with the information processing device,
The information processing device is
a memory that temporarily stores an OS (Operating System) program;
a processor that executes the OS program;
First key information indicating a key operated by a user on an operation unit in which a plurality of keys are arranged is acquired from the operation unit, and encryption is changed according to the acquired first key information and time an EC (Embedded Controller) that generates second key information different from the first key information based on a rule and transmits the second key information to the processor;
with
the processor transmits to the server data based on the second key information generated by the EC without obtaining the first key information;
The server is
Acquiring data based on the second key information transmitted from the information processing device, and encrypting the acquired data based on the second key information with the same encryption rule used in the information processing device at the same time obtaining the first key information based on common encryption rules under which encryption is performed;
Information processing system.
前記暗号化ルールは、
前記操作部に配列されている複数のキーのそれぞれに対応するスキャンコードの時刻に応じた変更ルールであり、
前記ECは、
前記操作部から取得した前記第1キー情報と前記第1キー情報を取得したときの時刻とに基づいて、当該時刻における前記暗号化ルールに従って前記第1キー情報をスキャンコードに変換して前記第2キー情報を生成する、
請求項1に記載の情報処理システム。
The encryption rule is
A change rule according to the time of the scan code corresponding to each of the plurality of keys arranged on the operation unit,
The EC is
Based on the first key information acquired from the operation unit and the time when the first key information was acquired, the first key information is converted into a scan code according to the encryption rule at that time, and the first key information is converted into a scan code. 2 Generate key information,
The information processing system according to claim 1.
前記サーバは、
前記第2キー情報に基づくデータを取得した時刻と前記共通の暗号化ルールとに基づいて前記第2キー情報に基づくデータを複合して認証処理を実行する、
請求項1または請求項2に記載の情報処理システム。
The server is
performing an authentication process by combining the data based on the second key information based on the time when the data based on the second key information is acquired and the common encryption rule;
The information processing system according to claim 1 or 2.
前記サーバは、
前記第2キー情報に基づくデータを取得した時刻と前記共通の暗号化ルールとに基づいて、予め登録された文字列を暗号化した認証用データを生成し、前記認証用データと前記第2キー情報に基づくデータとに基づいて認証処理を実行する、
請求項1または請求項2に記載の情報処理システム。
The server is
Authentication data is generated by encrypting a pre-registered character string based on the time when the data based on the second key information is acquired and the common encryption rule, and the authentication data and the second key are generated. perform authentication processes based on informed data;
The information processing system according to claim 1 or 2.
前記暗号化ルールを示す情報とユーザの識別情報とが関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶される、
請求項1から請求項4のいずれか一項に記載の情報処理システム。
The information indicating the encryption rule and the identification information of the user are associated and stored in the respective storage units of the information processing device and the server,
The information processing system according to any one of claims 1 to 4.
複数のユーザそれぞれの識別情報に対して共通の前記暗号化ルールを示す情報が関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶される、
請求項5に記載の情報処理システム。
Information indicating the common encryption rule is associated with the identification information of each of a plurality of users, and stored in the respective storage units of the information processing device and the server,
The information processing system according to claim 5.
一人のユーザの識別情報に対して複数の前記暗号化ルールを示す情報が関連付けられて、前記情報処理装置及び前記サーバのそれぞれの記憶部に記憶される、
請求項5に記載の情報処理システム。
Information indicating a plurality of encryption rules is associated with the identification information of one user and stored in the respective storage units of the information processing device and the server,
The information processing system according to claim 5.
前記暗号化ルールを示す情報が情報処理装置の記憶部に記憶された状態で工場から出荷される、
請求項1から請求項7のいずれか一項に記載の情報処理システム。
The information indicating the encryption rule is shipped from the factory with the information indicating the encryption rule stored in the storage unit of the information processing device.
The information processing system according to any one of claims 1 to 7.
前記情報処理装置における前記暗号化ルールを示す情報は、前記EC内の記憶部に記憶される、
請求項1から請求項8のいずれか一項に記載の情報処理システム。
Information indicating the encryption rule in the information processing device is stored in a storage unit within the EC;
The information processing system according to any one of claims 1 to 8.
前記ECは、
前記プロセッサで実行されているBIOS(Basic Input Output System)に対して時刻情報を要求し、
前記プロセッサは、
前記ECからの時刻情報の要求に応じて、前記BIOSの処理により現在時刻の情報を前記ECへ送信する、
請求項1から請求項9のいずれか一項に記載の情報処理システム。
The EC is
requesting time information from a BIOS (Basic Input Output System) running on the processor;
The processor
Sending current time information to the EC by the processing of the BIOS in response to a request for time information from the EC;
The information processing system according to any one of claims 1 to 9.
前記ECは、
前記操作部に配列されているキーのうちの特定のキーに対するユーザの操作に応じて、前記第1キー情報を前記暗号化ルールに基づいて暗号化する処理モードへ移行する、
請求項1から請求項10のいずれか一項に記載の情報処理システム。
The EC is
shifting to a processing mode in which the first key information is encrypted based on the encryption rule in response to a user's operation on a specific key among the keys arranged on the operation unit;
The information processing system according to any one of claims 1 to 10.
OS(Operating System)のプログラムを一時的に記憶するメモリと、
前記OSのプログラムを実行するプロセッサと、
複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するEC(Embedded Controller)と、
を備え、
前記プロセッサは、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを送信する、
情報処理装置。
a memory that temporarily stores an OS (Operating System) program;
a processor that executes the OS program;
First key information indicating a key operated by a user on an operation unit in which a plurality of keys are arranged is acquired from the operation unit, and the encryption rule is changed according to the acquired first key information and time. an EC (Embedded Controller) that generates second key information different from the first key information based on and transmits to the processor;
with
the processor transmits data based on the second key information generated by the EC without obtaining the first key information;
Information processing equipment.
複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得し、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成し、生成した前記第2キー情報に基づくデータを送信する情報処理装置と通信接続されるサーバであって、
前記情報処理装置から送信された前記第2キー情報に基づくデータを取得し、取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の前記暗号化ルールとに基づいて前記第1キー情報を得る、
サーバ。
First key information indicating a key operated by a user on an operation unit in which a plurality of keys are arranged is acquired from the operation unit, and the encryption rule is changed according to the acquired first key information and time. a server that is communicatively connected to an information processing device that generates second key information different from the first key information based on and transmits data based on the generated second key information,
Acquiring data based on the second key information transmitted from the information processing device, and encrypting the acquired data based on the second key information with the same encryption rule used in the information processing device at the same time obtaining the first key information based on the common encryption rule under which encryption is performed;
server.
OS(Operating System)のプログラムを一時的に記憶するメモリと前記OSのプログラムを実行するプロセッサとEC(Embedded Controller)とを備える情報処理装置と、前記情報処理装置と通信接続されるサーバとを備える情報処理システムにおける制御方法であって、
前記情報処理装置において、
前記ECが、複数のキーが配列されている操作部に対するユーザの操作により操作されたキーを示す第1キー情報を前記操作部から取得するステップと、
前記ECが、取得した第1キー情報と時刻に応じて変更される暗号化ルールとに基づいて前記第1キー情報と異なる第2キー情報を生成して前記プロセッサへ送信するステップと、
前記プロセッサが、前記第1キー情報を取得せずに前記ECにより生成された前記第2キー情報に基づくデータを前記サーバへ送信するステップと、
を含み、
前記サーバにおいて、
前記情報処理装置から送信された前記第2キー情報に基づくデータを取得するステップと、
取得した前記第2キー情報に基づくデータと、前記情報処理装置で使用される前記暗号化ルールと同一時刻において同一の暗号化が行われる共通の前記暗号化ルールとに基づいて前記第1キー情報を得るステップと、
を含む制御方法。
An information processing device including a memory for temporarily storing an OS (Operating System) program, a processor for executing the OS program, and an EC (Embedded Controller); and a server connected for communication with the information processing device. A control method in an information processing system,
In the information processing device,
a step in which the EC acquires, from the operation unit, first key information indicating a key operated by a user's operation on an operation unit in which a plurality of keys are arranged;
a step in which the EC generates second key information different from the first key information based on the acquired first key information and an encryption rule that changes according to time, and transmits the generated second key information to the processor;
a step of the processor transmitting to the server data based on the second key information generated by the EC without acquiring the first key information;
including
at the server,
obtaining data based on the second key information transmitted from the information processing device;
The first key information based on the data based on the obtained second key information and the common encryption rule that performs the same encryption at the same time as the encryption rule used in the information processing device. a step of obtaining
Control method including.
JP2022010027A 2022-01-26 2022-01-26 Information processing system, information processing device, server, and control method Active JP7241939B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022010027A JP7241939B1 (en) 2022-01-26 2022-01-26 Information processing system, information processing device, server, and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022010027A JP7241939B1 (en) 2022-01-26 2022-01-26 Information processing system, information processing device, server, and control method

Publications (2)

Publication Number Publication Date
JP7241939B1 true JP7241939B1 (en) 2023-03-17
JP2023108794A JP2023108794A (en) 2023-08-07

Family

ID=85600321

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022010027A Active JP7241939B1 (en) 2022-01-26 2022-01-26 Information processing system, information processing device, server, and control method

Country Status (1)

Country Link
JP (1) JP7241939B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011527804A (en) 2008-07-08 2011-11-04 アリババ グループ ホールディング リミテッド Information transmission using virtual input layout
US20140245433A1 (en) 2013-02-28 2014-08-28 International Business Machines Corporation Password authentication
JP2016181806A (en) 2015-03-24 2016-10-13 株式会社 ゆうちょ銀行 Information processing device, information processing system, cryptographic device, information processing method and program
JP2017188130A (en) 2017-05-18 2017-10-12 パスロジ株式会社 User authentication method, system for achieving the same and information communication terminal used therefor

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018007196A (en) * 2016-07-08 2018-01-11 有限会社ディーアール Authentication system, authentication device, authentication method, portable terminal program, authentication device program, and authentication server program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011527804A (en) 2008-07-08 2011-11-04 アリババ グループ ホールディング リミテッド Information transmission using virtual input layout
US20140245433A1 (en) 2013-02-28 2014-08-28 International Business Machines Corporation Password authentication
JP2016181806A (en) 2015-03-24 2016-10-13 株式会社 ゆうちょ銀行 Information processing device, information processing system, cryptographic device, information processing method and program
JP2017188130A (en) 2017-05-18 2017-10-12 パスロジ株式会社 User authentication method, system for achieving the same and information communication terminal used therefor

Also Published As

Publication number Publication date
JP2023108794A (en) 2023-08-07

Similar Documents

Publication Publication Date Title
EP3375161B1 (en) Single sign-on identity management between local and remote systems
US8165300B2 (en) System and method for generalized authentication
US10616215B1 (en) Virtual smart card to perform security-critical operations
US8484449B2 (en) Program, communication device, data processing method, and communication system
KR101712784B1 (en) System and method for key management for issuer security domain using global platform specifications
US10171428B2 (en) Confidential data management method and device, and security authentication method and system
US20050138389A1 (en) System and method for making password token portable in trusted platform module (TPM)
US8479011B2 (en) Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device
US20080022099A1 (en) Information transfer
US20140237262A1 (en) System and method for establishing perpetual trust among platform domains
JP2008090493A (en) Information processing system, terminal, information processor and management server
US9053305B2 (en) System and method for generating one-time password for information handling resource
US10037418B2 (en) Pre-boot authentication credential sharing system
US10645077B2 (en) System and method for securing offline usage of a certificate by OTP system
CN110661814A (en) Bidding file encryption and decryption method, device, equipment and medium
JP5086839B2 (en) Authentication device, biometric information management apparatus, authentication system, and authentication method
US10148669B2 (en) Out-of-band encryption key management system
JP2015133567A (en) Portable communication terminal, management server, electronic ticket system, and program
US20200143059A1 (en) Chassis internal device security
US20060129828A1 (en) Method which is able to centralize the administration of the user registered information across networks
JP7241939B1 (en) Information processing system, information processing device, server, and control method
US8387125B2 (en) Device, system and method of performing an administrative operation on a security token
KR102055075B1 (en) System and method of business processing using one-time data
US20240241955A1 (en) Data security for portable storage mediums
US20240236104A1 (en) Providing access control to distributed resources to an information handling system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220126

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230307

R150 Certificate of patent or registration of utility model

Ref document number: 7241939

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350