JP7245032B2 - 情報処理装置、システム、時刻修正方法、および、プログラム - Google Patents
情報処理装置、システム、時刻修正方法、および、プログラム Download PDFInfo
- Publication number
- JP7245032B2 JP7245032B2 JP2018218488A JP2018218488A JP7245032B2 JP 7245032 B2 JP7245032 B2 JP 7245032B2 JP 2018218488 A JP2018218488 A JP 2018218488A JP 2018218488 A JP2018218488 A JP 2018218488A JP 7245032 B2 JP7245032 B2 JP 7245032B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- request
- server
- token
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Description
[システム構成]
本実施形態において、インターネット上の各サーバーにアプリケーションが設置されている構成を例に挙げて説明する。アプリケーションは、クライアント端末と連携し、様々な機能を提供する。このような機能を提供する実体を「サービス」と称し、機能をクライアント端末に提供することを「サービスの提供」と称する。
図2は、本実施形態に係る、認可サーバー110、リソースサーバー120、およびクライアント端末130に適用可能な情報処理装置の一般的なハードウェア構成である。なお、ここではいずれも同じハードウェア構成として説明するが、それぞれが異なるハードウェア構成を備えてよい。
図3は本実施形態に係る、認可サーバー110、リソースサーバー120、クライアント端末130のソフトウェア構成の例を示す図である。なお、ここで示すソフトウェアは、本実施形態に関係する部分のみを示し、他のソフトウェアモジュールが更に含まれてもよい。
図6は、本実施形態に係るクライアント端末130におけるクライアント端末時刻合わせ処理のフローチャートである。本処理フローは、クライアント端末130のクライアントアプリケーション131の起動時、および、クライアント端末130のコントローラーファームウェア133のNTPクライアント402のNTPサーバー時刻取得処理動作時に定期的に実行される。NTPクライアント402によるNTPサーバー時刻取得処理の定期実行間隔は、図5に示した入力フィールド502のポーリング間隔(数値、分単位)に相当する設定に従う。本実施形態では、一つのクライアント端末130において、トークンプロバイダー132のトークン取得時と、クライアントアプリケーション131のイベントログ記録動作時の、2つの場合において異なる時刻合わせを行う。以下、その2つの時刻合わせについて説明する。なお、本実施形態では、認可シーケンスとして、JWT(JSON Web Token)を用いたOAuth2.0の認証フレームワークに準拠した方法を前提として説明するが、これに限定するものではない。
本実施形態において、クライアント端末130のトークンプロバイダー132がJWT形式のアサーション(以下、JWTアサーション)を用いて認可サーバー110に認可要求を送り、認可サーバー110で認可要求の検証の後、その検証結果に応じて認可トークンを取得する。その際、JWTアサーションの意図しない再利用などのいわゆるリプレイ攻撃への対策のため、JWTアサーションの有効期限は5分としている。もし、クライアント端末130の時刻が認可サーバー110の時刻と比較して5分以上遅れており、かつ、その遅れた時刻を利用してトークンプロバイダー132がJWTアサーションを作成し、認可サーバー110に認可トークン取得要求を送ったとする。この場合、トークンプロバイダー132は、認可サーバー110から認可トークンが取得できなくなる。すなわち、有効期限を5分以上過ぎた認可トークン要求のJWTアサーションを受信した認可サーバー110は、JWTアサーションの検証において有効期限外と判定し、無効なJWTアサーションとしてトークン発行を拒否することになる。
一方、本実施形態に係るクライアント端末130のクライアントアプリケーション131のイベントコレクター405は、コントローラーファームウェア133の各種イベントログを収集する。各種イベントログでは、クライアント端末130で発生するイベント、例えば、ジョブイベント、トナー量が一定値以下となった場合のトナーローイベント、装置各部の異常検知イベント、交換部品の寿命経過イベント等の発生時の時刻が記録されている。この時刻は、クライアント端末130の時刻が使用される。このイベントログの発生時刻は、イベント発生順を正しく記録する必要がある。本実施形態においては、クライアントアプリケーション131のイベントコレクター405の収集した各種イベントログを定期的にリソースサーバー120に送信している。クライアント端末130の各種イベントログを収集した本実施形態のリソースサーバー120は、例えば、各種イベントを解析し、消耗部品発注、故障等不具合予測を行うことができる。なお、収集したログの用途やリソースサーバー120が提供するサービスは上記に限定するものではなく、他のサービスで会ってよい。
以下、図6のS609の工程におけるトークン取得処理について、図7、図8を用いて詳述する。
図7は、本実施形態に係るトークン取得時の時刻修正において認可サーバー110でのJWT形式のアサーションの検証およびトークンの発行処理のフローチャートである。
{ “iss”:”aaa.inc”,
“sub”:”client.id”,
“aud”:”https://xxx.aaa/service-xxx”,
“iat”:1514732400,
“exp”:1514732700
}
ここでは、「iss」としてクライアント端末130の識別子、「sub」としてユーザー識別子、利用を想定する主体の識別子(aud)、発行時刻(iat)、有効期限(exp)が含まれる構成とする。この検証用情報に対してクライアント端末130の秘密鍵で行った署名とヘッダ情報を加えてJWTアサーションを構成する。
図8は、本実施形態に係るトークン取得時の時刻修正においてクライアント端末130(トークンプロバイダー132)がJWTアサーションを用いて認可トークンを取得処理のフローチャートである。
続いて、本実施形態に係るNTP時刻修正処理について、図9~図11を用いて詳述する。なお、本動作は、図6のS611の工程にて行われる動作に相当する。
図10は、NTPサーバー401の時刻よりシステムクロック902が示す時刻が遅れていた場合の、NTPクライアント402がシステムクロック902を修正する修正動作を説明するための図である。
図11は、NTPサーバー401の時刻よりシステムクロック902が進んでいた場合の、NTPクライアント402がシステムクロック902を修正する修正動作を説明するための図である。
本発明の第2の実施形態について説明する。本実施形態では、トークン取得時の時刻修正の方法が第1の実施形態とは異なる形態について説明する。なお、第1の実施形態と重複する構成については、説明を省略する。本実施形態では、クライアント端末130は、時計もしくはクライアント起動時からのカウントを取得するカウンターを保持しているものとする。
(認可トークン取得処理)
図12は、本実施形態に係るトークン取得時の時刻修正の実施形態においてクライアント端末130がJWTアサーションを用いて認可トークンを取得処理のフローチャートである。第1の実施形態の図8の代わりに実行され、図8と同じ処理については、同じ参照番号を付している。
本実施形態の上記の例では、クライアント端末130が時計を保有していることを想定しているが、時計を持たない端末においてもクライアント端末のカウンター値をUNIX時刻として処理を行うことで同様に補正することができる。以下の表2は、カウンター値での時刻補正を行う場合の時刻補正テーブルの構成例を示す。
本発明は上述の実施形態の1以上の機能を実現するプログラムをネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピューターにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
Claims (11)
- 認可サーバーおよびリソースサーバーと通信可能に接続された情報処理装置であって、
前記リソースサーバーが提供するサービスを利用するためのトークンの要求を、前記情報処理装置の時刻に基づいて生成された有効期限を含めて前記認可サーバーに送信する要求手段と、
前記要求手段による要求の応答として前記認可サーバーの時刻情報を受信した場合、前記トークンの要求を、当該認可サーバーの時刻情報に基づいて生成された有効期限を含めて再送する送信手段と、
前記要求に対する応答として取得した前記トークンを用いて、前記リソースサーバーに対して前記リソースサーバーの時刻情報を要求し、当該リソースサーバーの時刻情報に基づいて前記情報処理装置の時刻を修正する修正手段と
を有することを特徴とする情報処理装置。 - 前記修正手段は、前記情報処理装置の時刻を前記リソースサーバーの時刻に段階的に近づけて時刻を合わせるように修正することを特徴とする請求項1に記載の情報処理装置。
- 前記要求手段による要求の応答として受信された前記認可サーバーの時刻情報は、前記情報処理装置の時刻を修正するための情報としては用いられないことを特徴とする請求項1または2に記載の情報処理装置。
- 時刻の修正に関する設定を受け付ける設定手段を更に有し、
時刻の修正を行わない設定が指定されている際に、前記リソースサーバーが提供するサービスを利用する場合、前記設定手段は、前記時刻の修正を行う設定に変更することを特徴とする請求項1乃至3のいずれか一項に記載の情報処理装置。 - 前記修正手段は、前記設定手段にて時刻の修正を行う設定が指定され、かつ、時刻情報の参照先が指定されている場合、当該参照先にて提供される時刻情報に基づいて前記情報処理装置の時刻を修正することを特徴とする請求項4に記載の情報処理装置。
- 前記リソースサーバーが提供するサービスは、前記情報処理装置にて時刻と対応づけて記録されたログの収集を含むことを特徴とする請求項1乃至5のいずれか一項に記載の情報処理装置。
- 前記要求手段による要求の応答として前記認可サーバーの時刻情報を受信した場合、当該認可サーバーの時刻情報と前記情報処理装置の時刻との差を補正情報として保持する保持手段を更に有し、
前記送信手段は、前記情報処理装置の時刻を前記補正情報を用いて補正した時刻を用いて生成された有効期限を含めて、前記トークンの要求を再送することを特徴とする請求項1乃至6のいずれか一項に記載の情報処理装置。 - 情報処理装置、認可サーバー、およびリソースサーバーが通信可能に接続されたシステムであって、
前記情報処理装置は、
前記リソースサーバーが提供するサービスを利用するためのトークンの要求を、前記情報処理装置の時刻に基づいて生成された有効期限を含めて前記認可サーバーに送信する要求手段と、
前記要求手段による要求の応答として前記認可サーバーの時刻情報を受信した場合、前記トークンの要求を、当該認可サーバーの時刻情報に基づいて生成された有効期限を含めて再送する送信手段と、
前記要求に対する応答として取得した前記トークンを用いて、前記リソースサーバーに対して前記リソースサーバーの時刻情報を要求し、当該リソースサーバーの時刻情報に基づいて前記情報処理装置の時刻を修正する修正手段と
を有し、
前記認可サーバーは、
リソースサーバーが提供するサービスを利用するためのトークンの要求を前記情報処理装置から受け付けた場合、当該要求の検証を行う検証手段と、
前記検証手段による検証結果に応じて前記トークンを発行する発行手段と
を有し、
前記発行手段は、前記検証手段により前記要求に含まれる当該要求の有効期限の設定が前記認可サーバーの時刻に基づいて定義される範囲に含まれないと判定された場合、前記認可サーバーの時刻情報を前記情報処理装置に送信することを特徴とするシステム。 - 認可サーバーおよびリソースサーバーと通信可能に接続された情報処理装置における時刻修正方法であって、
前記リソースサーバーが提供するサービスを利用するためのトークンの要求を、前記情報処理装置の時刻に基づいて生成された有効期限を含めて前記認可サーバーに送信する要求工程と、
前記要求工程による要求の応答として前記認可サーバーの時刻情報を受信した場合、前記トークンの要求を、当該認可サーバーの時刻情報に基づいて生成された有効期限を含めて再送する送信工程と、
前記要求に対する応答として取得した前記トークンを用いて、前記リソースサーバーに対して前記リソースサーバーの時刻情報を要求し、当該リソースサーバーの時刻情報に基づいて前記情報処理装置の時刻を修正する修正工程と
を有することを特徴とする時刻修正方法。 - 情報処理装置、認可サーバー、およびリソースサーバーが通信可能に接続されたシステムにおける前記情報処理装置の時刻修正方法であって、
前記情報処理装置において、
前記リソースサーバーが提供するサービスを利用するためのトークンの要求を、前記情報処理装置の時刻に基づいて生成された有効期限を含めて前記認可サーバーに送信する要求工程と、
前記要求工程による要求の応答として前記認可サーバーの時刻情報を受信した場合、前記トークンの要求を、当該認可サーバーの時刻情報に基づいて生成された有効期限を含めて再送する送信工程と、
前記要求に対する応答として取得した前記トークンを用いて、前記リソースサーバーに対して前記リソースサーバーの時刻情報を要求し、当該リソースサーバーの時刻情報に基づいて前記情報処理装置の時刻を修正する修正工程と
を有し、
前記認可サーバーにおいて、
リソースサーバーが提供するサービスを利用するためのトークンの要求を前記情報処理装置から受け付けた場合、当該要求の検証を行う検証工程と、
前記検証工程による検証結果に応じて前記トークンを発行する発行工程と
を有し、
前記発行工程において、前記検証工程により前記要求に含まれる当該要求の有効期限の設定が前記認可サーバーの時刻に基づいて定義される範囲に含まれないと判定された場合、前記認可サーバーの時刻情報を前記情報処理装置に送信することを特徴とする時刻修正方法。 - コンピューターを、
リソースサーバーが提供するサービスを利用するためのトークンの要求を、前記コンピューターの時刻に基づいて生成された有効期限を含めて認可サーバーに送信する要求手段、
前記要求手段による要求の応答として前記認可サーバーの時刻情報を受信した場合、前記トークンの要求を、当該認可サーバーの時刻情報に基づいて生成された有効期限を含めて再送する送信手段、
前記要求に対する応答として取得した前記トークンを用いて、前記リソースサーバーに対して前記リソースサーバーの時刻情報を要求し、当該リソースサーバーの時刻情報に基づいて前記コンピューターの時刻を修正する修正手段
として機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018218488A JP7245032B2 (ja) | 2018-11-21 | 2018-11-21 | 情報処理装置、システム、時刻修正方法、および、プログラム |
US16/683,664 US11388154B2 (en) | 2018-11-21 | 2019-11-14 | Information processing apparatus, system, and non-transitory computer-readable storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018218488A JP7245032B2 (ja) | 2018-11-21 | 2018-11-21 | 情報処理装置、システム、時刻修正方法、および、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020086783A JP2020086783A (ja) | 2020-06-04 |
JP7245032B2 true JP7245032B2 (ja) | 2023-03-23 |
Family
ID=70727000
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018218488A Active JP7245032B2 (ja) | 2018-11-21 | 2018-11-21 | 情報処理装置、システム、時刻修正方法、および、プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US11388154B2 (ja) |
JP (1) | JP7245032B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6983685B2 (ja) * | 2018-01-31 | 2021-12-17 | キヤノン株式会社 | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム |
US11074064B1 (en) | 2020-03-10 | 2021-07-27 | Dell Products, L.P. | Safe window for creating a firmware update package |
CN113489657B (zh) * | 2021-06-29 | 2022-09-09 | 中国银联股份有限公司 | 一种分布式流速控制系统及其运行方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009069892A (ja) | 2007-09-10 | 2009-04-02 | Ricoh Co Ltd | ログ時刻調整方法、サーバおよび情報処理システム |
JP5754206B2 (ja) * | 2011-03-29 | 2015-07-29 | 富士通株式会社 | アドホックネットワークにおける時刻同期方法および装置 |
US9887992B1 (en) * | 2012-07-11 | 2018-02-06 | Microstrategy Incorporated | Sight codes for website authentication |
US9910419B2 (en) * | 2013-09-09 | 2018-03-06 | Harnischfeger Technologies, Inc. | System and method of synchronizing time between multiple systems |
WO2016144709A1 (en) * | 2015-03-06 | 2016-09-15 | Gatekeeper Systems, Inc. | Low-energy consumption location of movable objects |
KR102424055B1 (ko) * | 2015-12-08 | 2022-07-25 | 한국전자통신연구원 | 두 개의 api 토큰을 이용한 api 인증 장치 및 방법 |
EP3488590B1 (en) * | 2016-10-14 | 2022-01-12 | PerimeterX, Inc. | Securing ordered resource access |
US10812473B2 (en) * | 2018-06-15 | 2020-10-20 | Oracle International Corporation | Auto inline enrollment of time-based one-time password (TOTP) for multi-factor authentication |
-
2018
- 2018-11-21 JP JP2018218488A patent/JP7245032B2/ja active Active
-
2019
- 2019-11-14 US US16/683,664 patent/US11388154B2/en active Active
Non-Patent Citations (1)
Title |
---|
RFC 4120 - The Kerberos Network Authentication Service (V5) 日本語訳,2005年07月,https://tex2e.github.io/rfc-translater/html/rfc4120.html |
Also Published As
Publication number | Publication date |
---|---|
US11388154B2 (en) | 2022-07-12 |
US20200162441A1 (en) | 2020-05-21 |
JP2020086783A (ja) | 2020-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11838430B2 (en) | Information processing apparatus, method of controlling the same, and storage medium | |
JP7245032B2 (ja) | 情報処理装置、システム、時刻修正方法、および、プログラム | |
US11277404B2 (en) | System and data processing method | |
US11003400B2 (en) | Resource service system, control method, and storage medium | |
RU2719297C1 (ru) | Устройство для обработки информации, способ для управления устройством для обработки информации и носитель данных | |
US20180359101A1 (en) | Information processing apparatus, setting apparatus, control method for information processing apparatus, control method for setting apparatus, and storage medium | |
JP2020177537A (ja) | 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム | |
US11570126B2 (en) | System, client terminal, control method, and storage medium | |
US20220345319A1 (en) | Information processing apparatus, control method for information processing apparatus, and storage medium | |
US20200007347A1 (en) | Information processing apparatus, control method for information processing apparatus, and storage medium | |
US11212116B2 (en) | Information processing apparatus, control method for controlling information processing apparatus, and storage medium | |
EP2107493A1 (en) | Business management system | |
JP7409618B2 (ja) | 情報処理装置およびその制御方法とプログラム | |
US20190386835A1 (en) | Information processing apparatus, method for controlling the same, and program therefor | |
US11108563B2 (en) | Information processing system, client device, authentication and authorization server, control method, and storage medium | |
US20200287847A1 (en) | System and control method | |
JP2007028049A (ja) | 証明書管理装置、方法及びプログラム | |
JP2017191997A (ja) | 管理装置、撮影装置およびそれらの制御方法、撮影システム、プログラム | |
JP2016072757A (ja) | 情報処理装置、その制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20210103 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210113 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220830 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220912 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221025 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230210 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230310 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7245032 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |