情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ
【課題】簡素かつセキュアな構成で本人認証を行うことが可能な、新規かつ改良された情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバを提供する。
【解決手段】インターネット800を介してWebサーバ400にアクセスする際に、アクセス先のURLをWebサーバ400へ送信するアクセス先情報送信部310と、アクセス先のURLへログインする際に必要なログイン情報をWebサーバ400へ提供するログイン情報提供サーバに対して、暗号化された通信路を介してログイン情報を送信するログイン情報送信部312と、SAMサーバ400によって提供されたログイン情報を用いてWebサーバ400でログインが実行されたアクセス先の情報をWebサーバ400から受信する受信処理部314と、を備える。
【解決手段】インターネット800を介してWebサーバ400にアクセスする際に、アクセス先のURLをWebサーバ400へ送信するアクセス先情報送信部310と、アクセス先のURLへログインする際に必要なログイン情報をWebサーバ400へ提供するログイン情報提供サーバに対して、暗号化された通信路を介してログイン情報を送信するログイン情報送信部312と、SAMサーバ400によって提供されたログイン情報を用いてWebサーバ400でログインが実行されたアクセス先の情報をWebサーバ400から受信する受信処理部314と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ。
【背景技術】
【0002】
従来、例えば下記の特許文献1には、通信ネットワーク上の仮想店舗の電子商取引サーバに接続して商品を購入するシステムが記載されている。特許文献1には、クレジットカード機能を有するICカード内の独自番号データを要求して、受信した独自番号を変換して作成した与信可否データを電子商取引サーバへ送信する電子商取引支援サーバを備えたシステムが記載されている。
【0003】
また、特許文献2には、クレジットカード番号などの情報を加盟店端末からカード発行会社へ転送し、与信依頼をかける仲介システムが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−366868号公報
【特許文献2】特開2002−366859号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来の技術においては、与信または本人認証はいずれも代行サーバで実施し、その結果を本来の取引先である電子商取引サーバ、加盟店端末へ戻す処理を行っている。この方法では、代行サーバの構成が複雑になり、システムが大規模になるため、システムの構築に多大なコストが必要になるという問題がある。
【0006】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、 簡素かつセキュアな構成で本人認証を行うことが可能な、新規かつ改良された情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバを提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明のある観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報を送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信処理部と、を備える情報処理装置が提供される。
【0008】
また、前記アクセス先情報送信部は、前記アクセス先のURLとともに前記ログイン情報提供サーバのURLを前記情報提供サーバへ送信するものであってもよい。
【0009】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える情報提供サーバが提供される。
【0010】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得する手段、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインする手段、前記アクセス先の情報を前記情報処理装置に送信する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0011】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、前記情報処理装置から前記ログイン情報を取得し、取得した前記ログイン情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、を備える、通信システムが提供される。
【0012】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報とともに前記識別情報を送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置が提供される。
【0013】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信する手段、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する手段、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記識別情報を含む前記ログイン情報を送信する手段、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0014】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、前記識別情報とともに、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報及び前記識別情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報及び前記識別情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、前記情報処理装置から前記ログイン情報及び前記識別情報を取得し、取得した前記ログイン情報及び前記識別情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、を備える、通信システムが提供される。
【0015】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLをログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置が提供される。
【0016】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバが提供される。
【0017】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信する手段、前記ログイン情報を用いて前記アクセス先のURLにログインする手段、ログインした前記アクセス先の情報を前記情報処理装置へ送信する手段、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0018】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して前記情報提供サーバにアクセスする際に、アクセス先のURLを前記ログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記ログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバと、前記ログイン情報提供サーバによるログインを受けて、前記アクセス先の情報を前記ログイン情報提供サーバへ送信する情報提供サーバと、を備える通信システムが提供される。
【発明の効果】
【0019】
本発明によれば、簡素かつセキュアな構成で本人認証を行うことが可能な情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバを提供することが可能となる。
【図面の簡単な説明】
【0020】
【図1】第1の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図2】本発明の第1の実施形態に係るシステムの構成を示す模式図である。
【図3】第1の実施形態のシステムで行われる処理について説明するためのシーケンス図である。
【図4】図3のステップS28における、SAMサーバと非接触通信カードとの間のログイン情報取得手順の詳細を示すシーケンス図である。
【図5】第1の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図6】第1の実施形態に係るWebサーバの構成を示す機能ブロック図である。
【図7】第2の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図8】第2の実施形態のシステムで行われる処理を示すシーケンス図である。
【図9】ステップS88の処理を示すシーケンス図である。
【図10】第2の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図11】第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図12】第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図13】第3の実施形態の処理を示すシーケンス図である。
【図14】図13のステップS158のローカルアクセス処理の詳細を示すシーケンス図である。
【図15】SAMサーバによるローカルへのアクセス処理(ステップS228以降)を説明するためのフローチャートである。
【図16】第3の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図17】第3の実施形態に係るSAMサーバの構成を示す機能ブロック図である。
【発明を実施するための形態】
【0021】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0022】
なお、説明は以下の順序で行うものとする。
1.第1の実施の形態(SAMサーバからログイン情報を取得する構成例)
2.第2の実施の形態(ログインを識別するためのセッション番号を付与する例)
3.第3の実施の形態(SAMサーバの仮想ウェブ上でアクセス先URLに接続する例)
【0023】
<1.第1の実施形態>
図1は、第1の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。図1の概念図に示すように、本実施形態のシステムは、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0024】
図1に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、パーソナルコンピュータ300のブラウザが起動し、Webサーバ400と通信を行うことにより、非接触通信カード100のフリー領域に格納されていたURLが開かれる。
【0025】
Webサーバ400のURLが開かれると、ユーザ名、パスワードなどのログイン情報が要求される。Webサーバ400は、これらのログイン情報をSAMサーバ500に対して要求する。SAMサーバ500は、非接触通信カード100のセキュア領域の読取り要求を、Webサーバ400、パーソナルコンピュータ(PC)300、カードリーダライタ200を経由して非接触通信カード100に要求し、ログイン情報を取得する。そして、SAMサーバ500は、取得したログイン情報をWebサーバ400に送信する。Webサーバ400は、受信したログイン情報によりURLへログインする。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、Webサーバ400のURLにアクセスすることが可能となる。
【0026】
次に、本実施形態のシステムについて、図2〜図4に基づいて詳細に説明する。図2は、本発明の第1の実施形態に係るシステムの構成を示す模式図である。図2に示すように、本実施形態のシステムは、非接触通信カード100、カードリーダライタ(R/W)200、パーソナルコンピュータ(PC)300、WEBサーバ400、SAM(Secure Application Module)サーバ500を備える。パーソナルコンピュータ300、WEBサーバ400及びSAMサーバ500は、インターネット800を介して相互に通信可能に接続されている。
【0027】
非接触通信カード100は、RF部102、CPU104、メモリ106を備える。RF部102は、カードリーダライタ200が発生する13.56MHz帯の搬送波(RF信号)から、マンチェスター方式にて重畳されたベースバンド信号を抽出しデータを受信する。また、RF部102は、またこの搬送波に対して自機器のベースバンド信号を重畳させることによってカードリーダライタ200にデータを送信する。CPU104は、これら通信制御とカード内のメモリ106へのアクセス制御、およびデータの暗号化、復号化処理を行う。メモリ106は、サービス毎に領域が分割され、それぞれ書き込み/読み込み可能の属性が設定されている。具体的には、メモリ106の領域は、主に、認証および暗号化によるアクセスが必要である領域(以下、セキュア領域という)と、アクセスを制限しない領域(以下、フリー領域という)との2つに属性が決められている。
【0028】
カードリーダライタ200は、RF部202、CPU204を備える。RF部202は、13.56MHz帯の搬送波を発生させ、送信波へのベースバンド信号の重畳及び受信波からのベースバンド信号の抽出によって、非接触通信カード100と通信を行う。CPU204は、パーソナルコンピュータ300から受信した通信制御コマンドをベースバンド信号化してRF部202に送信する。また、CPU204は、RF部202から受信したベースバンド信号をPC用の通信制御コマンドフォーマットに成形してパーソナルコンピュータ300へ送信する。
【0029】
パーソナルコンピュータ300は、カード制御部302、通信部304、ユーザインタフェース(UI)部306、CPU308を備える。カード制御部302は、カード制御コマンドを発行し、カードカードリーダライタ200と送受信を行う。通信部304は、SAMサーバ500、WEBサーバ400等のインターネット800上のサーバとの通信を行う。ユーザインタフェース部306は、キーボード、マウス等によるユーザからの指示入力手段、また、ディスプレイ、音出力などのユーザへの出力手段としての機能を備える。CPU308は、サーバより得られたhtml情報からWebブラウザの表示および制御を行う。また、CPU308は、サーバとの暗号化設定情報から、インターネット通信路の暗号化を行い、SAMサーバ500からカードリーダライタ200への制御信号を変換する。
【0030】
次に、図3のシーケンス図に基づいて、第1の実施形態のシステムで行われる処理について説明する。先ず、カードの読み込みについて説明する。パーソナルコンピュータ300は、非接触通信カード100のフリー領域の情報を読み込むため、読み込み制御信号をカードリーダライタ200に送信する(ステップS10)。
【0031】
次に、カードリーダライタ200は、ポーリングを行う(ステップS12)。ここでは、カードリーダライタ200は、搬送波を発信してカードの捕捉を行う。非接触通信カード100のアンテナが搬送波を受信し、その電力によってCPU104が活性化されると、非接触通信カード100は、固有識別子(IDm)、カードの種別(システムコード)を返信する。
【0032】
(1.2)フリー領域読み込み)
カードの捕捉に成功したカードリーダライタ200は、非接触通信カード100のアクセスフリー領域にアクセスする。カードリーダライタ200は、パーソナルコンピュータ300のWEBブラウザがインターネットに接続する際の接続先URL(起動URL)と、SAM(Secure Application Module)を搭載したSAMサーバ500のURLを読み込む(ステップS14)。これにより、WEBブラウザの接続先URLと、SAMサーバ500のURLは、カードリーダライタ200へ送られ、(ステップS16)、更にパーソナルコンピュータ300へ送られる(ステップS18)。
【0033】
2)Webブラウザ起動
パーソナルコンピュータ300は、Webサーバ400から受信したhtmlファイルを表示するWebブラウザを起動する(ステップS20)。なお、Webブラウザとしては、例えばInternet Explorer、Firefoxなどを用いることができる。
【0034】
3)http_get(起動URL、SAM_URL)コマンドの送信
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URL、SAMサーバ500のURLを含む)を送信し(ステップS22)、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続する。パーソナルコンピュータ300のWebブラウザは、SAMサーバ500のURLをWebサーバ400に渡す。そして、パーソナルコンピュータ300のWebブラウザは、http_getコマンドにより取得したhttpフォーマットの受信データを解析し、ログイン画面を表示する。ここで、http_getコマンドには引数としてSAMサーバ500のアドレス(URL)を付加する。http_getコマンドにおける、SAMサーバのアドレス(URL)の付加は、例えばhttps://www.sample_web_server.co.jp/sam_login.cgi?URL=https://www.sam_server.co.jpなどのようにして行うことができる。
【0035】
3.1)通信路の暗号化
Webサーバ400は、パーソナルコンピュータ300からhttp_getコマンドを受けると、CGIを動作させ、SAMサーバ500との通信路をSSL等によって暗号化する(ステップS24)。その後、Webサーバ400は、パーソナルコンピュータ300から取得したSAMサーバ500のURLを用いてSAMサーバ500へのアクセスを行う。
【0036】
3.2)ログイン情報要求
Webサーバ400は、SAMサーバ500へログイン情報要求を行う(ステップS26)。SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報(ユーザ名およびパスワード)を取得し(ステップS28)Webサーバ500にログインを行う。ステップS28の処理は、以下に詳細に説明する。
【0037】
3.2.1)ログイン情報取得の詳細
図4は、図3のステップS28における、SAMサーバ500と非接触通信カード100との間のログイン情報取得手順の詳細を示すシーケンス図である。
【0038】
1)セキュアクライアント起動要求
SAMサーバ500は、Webサーバ400にパーソナルコンピュータ300へのセキュリティクライアント要求コマンドを送信する(ステップS40)。
【0039】
1.1)転送(セキュアクライアント起動要求)
先ず、SAMサーバ500は、Webサーバ400に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS40)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。Webサーバ400は、http_getコマンドで接続しているパーソナルコンピュータ300に対して、セキュアクライアントの要求コマンドを転送する(ステップS42)。
【0040】
1.1.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS44)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、このクライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行う。これにより、パーソナルコンピュータ300からWebサーバ400を経由してSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
【0041】
2)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS46)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
【0042】
2.1)転送(認証要求)
SAMサーバ500から認証要求コマンドを受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS48)。
【0043】
2.1.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS50)。
【0044】
2.1.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS52)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、パーソナルコンピュータ300、及びWebサーバ400を経由してSAMサーバ500に返信される。
【0045】
3)、4)共有鍵生成
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS54,S56)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS46からステップS56に至る共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
【0046】
5)セキュリティ領域読出し(Read)要求
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得するため、暗号化された通信路を用いて、Webサーバ400を経由して、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS58)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
【0047】
5.1)転送(セキュア領域Read要求)
セキュア領域の読出し(Read)要求をSAMサーバ500から受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS60)。
【0048】
5.1.1)セキュア領域Read要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換し、カードリーダライタ200へ送信する(ステップS62)。
【0049】
5.1.1.1)セキュア領域アクセス
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS64)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS66)。
【0050】
6)ログイン情報の復号
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS68)。
【0051】
以上説明した図4のシーケンスにより、SAMサーバ500は、図3のステップS28において、非接触通信カード100からログイン情報を取得することができる。
【0052】
SAMサーバ500は、復号したログイン情報ををWebサーバ400へ送る(図3のステップS30)。Webサーバ400は、受信した復号されたログイン情報によりログインを行う。これにより、Webサーバ400へのログインが完了し(ステップS30)、パーソナルコンピュータ300の画面には、ログイン後の画面が表示される。従って、ユーザは、パーソナルコンピュータ300のWebブラウザの画面上で、ログイン画面に入ったことを確かめることができる。
【0053】
従って、ユーザは、ログイン画面にユーザ名、パスワード等を入力しなくても、非接触通信カード100のセキュア領域のログイン情報がSAMサーバ500からWebサーバ400へ送信されることから、Webサーバ400に自動的にログインすることができる。
【0054】
図5は、第1の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図5に示すように、パーソナルコンピュータ300は、アクセス先情報送信部310、ログイン情報送信部312、受信処理部314を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0055】
また、図6は、第1の実施形態に係るWebサーバ400の構成を示す機能ブロック図である。図6に示すように、Webサーバ400は、アクセス先情報取得部410、ログイン情報取得部412、ログイン実行部414、送信処理部416を備える。各機能ブロックは、Webサーバ400が備えるハードウエア、CPU402とこれを機能させるためのプログラムによって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0056】
以上説明したように第1の実施形態によれば、暗号化された伝送路からSAMサーバ500に送られたログイン情報をSAMサーバ500がWebサーバ500に送ってログインする。これにより、ユーザが非接触通信カード100をカードリーダライタ200にかざすのみで簡単にログインすることが可能となる。
【0057】
<2.第2の実施形態>
次に、本発明の第2の実施形態について説明する。第2の実施形態は、セッション番号を利用した、SAMサーバ500経由のログインに関するものである。
【0058】
図7は、第2の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。図7の概念図に示すように、本実施形態のシステムも、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0059】
図7に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、パーソナルコンピュータ300のブラウザが起動し、Webサーバ400と通信を行うことにより、非接触通信カード100のフリー領域に格納されていたURLが開かれる。
【0060】
Webサーバ400のURLが開かれると、ユーザ名、パスワードなどのログイン情報が要求される。パーソナルコンピュータ300は、これらのログイン情報をSAMサーバ500に対して要求する。SAMサーバ500は、非接触通信カード100のセキュア領域の読取り要求を、パーソナルコンピュータ(PC)300、カードリーダライタ200を経由して非接触通信カード100に要求し、ログイン情報を取得する。そして、SAMサーバ500は、取得したログイン情報をWebサーバ400に送信する。Webサーバ400は、受信したログイン情報によりURLへログインする。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、Webサーバ400のURLにアクセスすることが可能となる。
【0061】
次に、本実施形態のシステムについて、図8、図9に基づいて詳細に説明する。第2の実施形態に係るシステム構成、及び非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAMサーバ500の構成は、図2と同様である。
【0062】
図8は、第2の実施形態のシステムで行われる処理を示すシーケンス図である。先ず、パーソナルコンピュータ300は、非接触通信カードの読み込みを行う(ステップS70〜S78)。そして、パーソナルコンピュータ300は、Webブラウザを起動する(ステップS80)。ステップS70〜S80の処理は、図3のステップS10〜S20の処理と同様である。
【0063】
3)http_get(起動URL)コマンドの送信
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URLを含む)を送信する(ステップS82)。そして。Webブラウザは、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続し、http_getコマンドにより取得したhttpフォーマットの受信データを解析してログイン画面を表示する。
【0064】
4)https_get(セッション番号要求)
パーソナルコンピュータ300は、Webサーバ400への通信路をSSLで暗号化した後、Webサーバ400へアクセスを行い、サーバに対してセッション番号の払い出し要求を行う(ステップS84)。ここで、Webサーバ400が払い出すセッション番号は、乱数などを用いて他ユーザのログイン用セッション番号との区別ができるものとし、また所定の有効期限が過ぎた場合は無効化されるものとする。後述するが、セッション番号は、ユーザによるログインを確認するために使用される番号であり、固有(ユニーク)の番号とされる。
【0065】
例えば、パーソナルコンピュータ300は、”https://www.web_server.co.jp/login.html+get_session_number.cgi”をhttps_getコマンドで送信する。Webサーバ400は、実行コード(cgiスクリプト等)で生成したセッション番号をhtmlフォーマットで記載し、https_getへ返信する(ステップS85)。
【0066】
5)https_get(SAM_URL、ログイン_URL、セッション番号)
パーソナルコンピュータ300は、SAMサーバ500への通信路をSSLで暗号化した後にアクセスを行い、SAMサーバ500に対してWebサーバ400へのログイン要求コマンドを送信する(ステップS86)。このとき、要求コマンドにはログイン先のWebサーバ400のURL、SAMサーバ500のURL、及びステップS85でWebサーバ400から取得したセッション番号情報が引数として付加される。なお、ログイン先のURL、SAMサーバ500のURLは、非接触通信カード100のメモリから読取られたものである。
【0067】
例えば、パーソナルコンピュータ300は、”https://www.sam_server.co.jp/remote_login.cgi?URL=www.web_server.co.jp?session=XXX”をhttps_getコマンドで送信し、SAMサーバ500はログイン情報取得用の実行コード(cgiスクリプト等)を起動する。
5.1)ログイン情報取得
次に、SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報を取得する(ステップS88)。ここでの取得方法は、第1の実施形態の図4で説明した処理と同様であるが、SAMサーバ500とパーソナルコンピュータ300との間にはWebサーバ400が仲介をしていない。第2の実施形態は、SAMサーバ500とパーソナルコンピュータ300が直接通信する点で第1の実施形態と相違する。
【0068】
9は、ステップS88の処理を示すシーケンス図である。
【0069】
1)セキュアクライアント起動要求
先ず、SAMサーバ500は、パーソナルコンピュータ300に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS100)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。
【0070】
1.1.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS102)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化し、またSAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行うプログラムである。これにより、パーソナルコンピュータ300からSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
【0071】
2)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS104)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
【0072】
2.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS106)。
【0073】
2.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS108)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、及びパーソナルコンピュータ300を経由してSAMサーバ500に返信される(ステップS109)。
【0074】
3)、4)共有鍵生成
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS110,S112)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS104からステップS112に至る共有鍵の生成は、第1の実施形態と同様、ディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる一般的手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
【0075】
5)セキュリティ領域読出し(Read)要求
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得する。このため、SAMサーバ500は、暗号化された通信路を用いて、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS114)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
【0076】
5.1)セキュア領域読出し(Read)要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換する。そして、セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS116)。
【0077】
5.1.1)セキュア領域アクセス
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS118)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS120)。
【0078】
6)ログイン情報の復号
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS122)。
【0079】
以上説明した図9のシーケンスにより、SAMサーバ500は、図8のステップS88において、非接触通信カード100からログイン情報を取得することができる。
【0080】
5.2)通信路の暗号化
ログイン情報を取得したSAMサーバ500は、図8のステップS86で取得したログインURLで指定されるWebサーバ400と接続を行い、SSL等の処理で通信路を暗号化する(図8のステップS90)。
【0081】
5.3)ログイン要求(ログイン情報、セッション番号)
SAMサーバ500は、Webサーバ400へログイン情報(ユーザ名、パスワード、セッション番号等)を含むコマンドを送信する(ステップS92)。Webサーバ400は、セッション番号を受信することにより、SAMサーバ500からのログインが、どのセッションに対するログインであるかを判別することが可能である。Webサーバ400はログイン情報の真偽をチェックした後、真であればログインを行い、ログイン完了通知をSAMサーバ500に送信する(ステップS94)。ログイン完了を受信したSAMサーバ500は、同様にログイン完了通知をパーソナルコンピュータ300に返信する(ステップS95)。
【0082】
6.https_get(ログイン確認、セッション番号)
パーソナルコンピュータ300は、ログイン完了通知を受信すると、Webサーバ400にセッション番号を送信し(ステップS96)、SAMサーバ500からのログインが完了したことを確認する。例えば、パーソナルコンピュータ300は、”https://www.sample_web_server.co.jp/sam_login_cfm.cgi?session=YYY”をhttps_getコマンドで送信し、Webサーバ400はログイン結果を返信する。これにより、パーソナルコンピュータ300の画面には、ログイン後の画面が表示される。従って、ユーザは、パーソナルコンピュータ300のWebブラウザの画面上で、ログイン画面に入ったことを確かめることができる。
【0083】
図10は、第2の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図10に示すように、パーソナルコンピュータ300は、アクセス先情報送信部320、識別情報取得部322、ログイン情報送信部324、受信処理部326を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0084】
以上説明したように第2の実施形態によれば、パーソナルコンピュータ300のWebブラウザ上でWebサーバ400のURLを表示する際に、セッション番号を用いることで、Webサーバ400とSAMサーバ500を並列動作させることが可能となる。従って、Webサーバ400とSAMサーバ500を並列動作させた状態で、セッション番号に基づいてログインしたアクセス先の情報をパーソナルコンピュータ300に表示させることが可能となる。
【0085】
<3.第3の実施形態>
次に、本発明の第3の実施形態について説明する。第3の実施形態は、セキュア領域をローカル化した仮想ブラウザに関するものである。
【0086】
図11及び図12は、第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。本実施形態のシステムも、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0087】
図11及び図12に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、SAMサーバ500のブラウザが起動する。更にSAMサーバ500がWebサーバ400と通信を行うことにより、SAMサーバ500のブラウザ(仮想ブラウザ)にWebサーバ400のURLが表示された状態でパーソナルコンピュータ300に表示が行われる。
【0088】
Webサーバ400のURLがユーザ名、パスワードなどのログイン情報を要求する場合は、図12に示すように、SAMサーバ500が暗号化された通信路を介して非接触通信カード100からログイン情報を取得する。
【0089】
また、Webサーバ400がローカルアクセス要求を出した場合、SAMサーバ500は、ローカル情報へのアクセスを行う。この際、図12に示すように、ユーザの選択に応じて、パーソナルコンピュータ300が備えるハードディスクドライブなどの記憶媒体、または非接触通信カード100のセキュア領域に対して、SAMサーバ500はアクセスし、キャッシュ情報などの書き込みまたは読出しを行う。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、SAMサーバ500上の仮想ブラウザを介してWebサーバ400のURLにアクセスすることが可能となる。
【0090】
次に、本実施形態のシステムについて、図13〜図15に基づいて詳細に説明する。第3の実施形態に係るシステム構成、及び非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAMサーバ500の構成は、図2と同様である。図13は、第3の実施形態の処理を示すシーケンス図である。
【0091】
1)非接触通信カード100の読み込み
先ず、パーソナルコンピュータ300は、非接触通信カードの読み込みを行う(ステップS130〜S138)。そして、パーソナルコンピュータ300は、Webブラウザを起動する(ステップS140)。ステップS130〜S138の処理は、図3のステップS10〜S20の処理と同様である。
【0092】
3)仮想ブラウザ起動
パーソナルコンピュータ300のWebブラウザは、SAMサーバ500の接続先URLにインターネット800経由で接続し、http_getコマンドによりSAMサーバ500に仮想ブラウザの起動要求を送信する(ステップS142)。これにより、SAMサーバ500において、Webブラウザ(仮想ブラウザ)が立ち上がる。以後、仮想ブラウザがWebサーバ400から受信するhtmlデータは、基本的にパーソナルコンピュータ300に転送され、パーソナルコンピュータ300のWebブラウザは受信データを解析して画面表示を行なう。従って、図11に示すように、パーソナルコンピュータ300の表示画面には、パーソナルコンピュータ300のWebブラウザにSAMサーバ500の仮想ブラウザが表示され、仮想ブラウザ上にWebサーバ400のURLで指定される情報が表示される。
【0093】
4)Webアクセス要求
パーソナルコンピュータ300は、ステップS138でカードより取得した接続先のURL情報を付加して、SAMサーバ500にWebアクセスの要求コマンドを送信する(ステップS144)。
【0094】
4.1)http_get(起動URL)
SAMサーバ500は、受信したURLを含むhttp_getコマンドをWebサーバ400に送信し(ステップS146)、受信したhttpデータをパーソナルコンピュータ300に転送する。これにより、パーソナルコンピュータ300の表示画面には、Webサーバ400のURLが表示される。
【0095】
5)ログイン要求
ここで起動先のWebサーバ400がログイン画面を表示する場合は、パーソナルコンピュータ300はSAMサーバ500にログイン要求コマンドを送信する(ステップS148)。
【0096】
5.1)ログイン情報(ユーザ名、パスワード)取得
SAMサーバ500は、ログイン要求コマンドを受信すると、ログイン情報を取得する処理を行う(ステップS150)。ログイン情報は、図9で説明した第2の実施形態と同様な手順によって非接触通信カード100のセキュア領域から取得される。
【0097】
5.2)ログイン要求
SAMサーバ500は、ステップS150で取得したログイン情報を用いて、ステップS130〜S138で非接触通信カード100から読み取ったURLのWebサーバ400にログイン要求を行なう(ステップS152)。
【0098】
6)ローカルアクセス要求
Webサーバ400によっては、ログインの際に、ログイン情報の他に、当該Webサーバ400へのログイン履歴と、ユーザのパーソナルコンピュータ300のローカルな記憶媒体に記録されたログイン履歴(Cookie内に保存されている)とのマッチングを行い、ユーザ(ログイン)認証を行なう場合がある。この場合、Webサーバ400は、ローカル(パーソナルコンピュータ300)へのアクセス要求を出す(ステップS156)。また、ユーザは、パーソナルコンピュータ300のローカルハードディスクドライブ(HDD)に保存された「お気に入り(Favorite)」の中から表示するURLを選択することができる。これらの情報は、Webサーバ400からSAMサーバ500の仮想ブラウザを経由してパーソナルコンピュータ300に通知される。なお、ローカルアクセス先は、上述したCookie、Favoriteに限定されるものではなく、Historyなどブラウザがパーソナルコンピュータ300のローカルHDDに保存する全ての情報が対象となり得る。
【0099】
6.1)ローカルアクセス処理
SAMサーバ500は、ローカルアクセス要求を受けると、ローカルアクセス処理を行う(ステップS158)。ローカル情報の読み書き先は、ハードディスクなどパーソナルコンピュータ300自体が内包する記憶媒体、または、セキュリティ領域を有する外部の非接触通信カード10の2つから選択することができる。
【0100】
図14は、ステップS158のローカルアクセス処理の詳細を示すシーケンス図である。
【0101】
1)ローカルアクセス要求
先ず、SAMサーバ500は、パーソナルコンピュータ300に対してローカルアクセス要求を出す(ステップS170)。
【0102】
2)ユーザ確認
Webサーバ400からのローカルアクセス要求を受信したパーソナルコンピュータ300は、アクセスが可能な保存媒体の一覧(非接触通信カード100を含む)を作成する。また、ローカルアクセス要求を受信したパーソナルコンピュータ300は、ユーザに対して「ローカルアクセスの許可または不許可」の確認画面を表示する。「許可」が選択された場合は、アクセス先の候補として「パーソナルコンピュータ300のローカルのHDDまたは非接触通信カード100(セキュア領域)」のいずれか一方をユーザに選択させるための画面表示を行う(ステップS172)。そして、ユーザからのアクセス先選択結果をSAMサーバ500に送信する。
【0103】
図14に戻って、ステップS172において、HDDが選択された場合は、Webサーバ400が要求するローカル情報へのアクセス先にHDDを設定し、以後の読み書きはHDDに対して行なう。なお、パーソナルコンピュータ300のローカルアクセス先は、HDDに限定されるものではなく、フラッシュメモリ(NVM)等、パーソナルコンピュータ300が内包する、またはパーソナルコンピュータ300に接続される全ての記憶媒体が含まれる。
【0104】
4)セキュアクライアント起動要求
一方、ステップS172で非接触通信カード100が選択された場合、SAMサーバ500は、パーソナルコンピュータ300に対してセキュアクライアント起動の要求コマンドを送信する(ステップS176)。
【0105】
4.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS178)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、クライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して、非接触通信カード100のカード制御を行う。
【0106】
5)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS182)。このコマンドには、乱数N1および秘密鍵Aより生成された公開情報1が含まれる。
【0107】
5.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200に送信する(ステップS184)。
【0108】
5.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する。非接触通信カード100には秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報2を生成し、パーソナルコンピュータ300を経由してSAMサーバ500に公開情報2を返信する(ステップS188)。
【0109】
6)、7)共有鍵生成
非接触通信カード100、及びSAMサーバ500は、送受信した公開情報1,2より両者で同一の鍵である共有鍵を生成する(ステップS190,S192)。以後、非接触通信カード100のセキュリティ設定領域が必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。第1、第2の実施形態と同様、共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。
【0110】
8)Write情報の暗号化(共通鍵)
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が書き込み(Write)であった場合、書き込みデータを共通鍵で暗号化する(ステップS194)。
【0111】
9)セキュリティ領域R/W要求
SAMサーバ500は、パーソナルコンピュータ300へセキュリティ領域の読出し(Read)または書き込み(Write)要求を送信する(ステップS196)。セキュリティ領域へのReadまたはWrite要求にはアクセスする領域(サービスエリア)の情報が含まれている。
【0112】
9.1)セキュア領域Read/Write要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)または書き込み(Write)要求をカードリーダライタ200用のコマンドフォーマットに変換する。セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS198)。
【0113】
9.1.1)セキュア領域アクセス
カードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスを行う(ステップS200)。セキュア領域へのアクセスは、読出し(Read)または書き込み(Write)要求に分類される。書き込み(Write)情報は共通鍵で復号された後、適切なサービスエリアに書き込みが行われる。また、指定されたサービスエリアから読み出された読出し(Read)情報は、共通鍵で暗号化されSAMサーバ500に返信される(ステップS202)。
【0114】
10)Read情報の復号(共通鍵)
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が読出し(Read)であった場合、ステップS202で受信した読出し(Read)データを共通鍵で復号する。
【0115】
図15は、図13及び図14で説明した処理において、SAMサーバ500によるローカルへのアクセス処理(ステップS228以降)を説明するためのフローチャートである。図15に基づいて処理を説明すると、ステップS220では、非接触通信カード100とカードリーダライタ200が通信を開始する。次にステップS222では、パーソナルコンピュータ300のWebブラウザが起動し、次のステップS224ではWebブラウザ内で仮想ブラウザが起動される。次のステップS226では、Webブラウザからローカルアクセス要求が出される。
【0116】
ステップS228以降では、SAMサーバ500がローカルへのアクセス処理を行う。ステップS228では、ローカル情報のアクセスがユーザによって許可されたか否かが判定され、アクセスが許可された場合はステップS230へ進む。ステップS230では、ユーザによりアクセス先が選択される。一方、ステップS228でアクセスが不許可の場合は、アクセスが失敗した旨を返信する。
【0117】
アクセス先が非接触通信カード100の場合、ステップS232へ進み、非接触通信カード100のセキュア領域を仮想的にローカルのHDDとする。次にステップS234では、Cookie等の情報を非接触通信カード100に書き込む。ここでの処理は、図14のステップS194〜S204に対応する。例えば、ユーザがネットカフェ等に設置されたパーソナルコンピュータ300を使用する場合、個人的情報がパーソナルコンピュータ300のHDDに書き込まれてしまうのは好ましくない。このため、アクセス先を非接触通信カード100とすることで、個人的情報をカード100のセキュア領域に書き込むことができる。この際、非接触通信カード100とSAMサーバ500の間には暗号化された伝送路が構築されているため、安全にカード100に情報を書き込むことが可能である。
【0118】
一方、ステップS230でHDDが選択された場合は、Cookie等の情報をパーソナルコンピュータ300のHDDに書き込む。ここでの処理は、図14のステップS174に対応する。ステップS234,S236の後はステップS238へ進み、アクセス情報の返信を行う。
【0119】
図16は、第3の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図16に示すように、パーソナルコンピュータ300は、アクセス先情報送信部330、ログイン情報送信部332、受信処理部334を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0120】
図17は、第3の実施形態に係るSAMサーバ500の構成を示す機能ブロック図である。図17に示すように、SAMサーバ500は、アクセス先情報取得部520、ログイン情報受信部522、ログイン実行部524、アクセス先情報送信部526、ローカルアクセス部528を備える。各機能ブロックは、SAMサーバ500が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、SAMサーバ500が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0121】
以上のように第3の実施形態では、パーソナルコンピュータ300は、基本的にSAMサーバ500上の仮想ブラウザを表示する機能と、ユーザによる選択をSAMサーバ500に伝える機能を果たしている。つまり、パーソナルコンピュータ300は、ユーザがSAMサーバ500の仮想ブラウザを閲覧する際の中継としての役割を果たしている。そして、仮想ブラウザを閲覧している際に、ユーザの個人情報の読み出し、またはクッキー情報等の保存が必要となる場合は、ユーザの選択に応じて、パーソナルコンピュータ300の記憶媒体、または非接触通信カード100のセキュア領域にアクセスすることが可能である。
【0122】
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0123】
310 アクセス先情報送信部
312 ログイン情報送信部
314 受信処理部
410 アクセス先情報取得部
412 ログイン情報取得部
414 ログイン実行部
416 情報送信部
322 識別情報取得部
520 アクセス先情報取得部
522 ログイン情報受信部
524 ログイン実行部
526 アクセス先情報送信部
528 ローカルアクセス部
【技術分野】
【0001】
本発明は、情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ。
【背景技術】
【0002】
従来、例えば下記の特許文献1には、通信ネットワーク上の仮想店舗の電子商取引サーバに接続して商品を購入するシステムが記載されている。特許文献1には、クレジットカード機能を有するICカード内の独自番号データを要求して、受信した独自番号を変換して作成した与信可否データを電子商取引サーバへ送信する電子商取引支援サーバを備えたシステムが記載されている。
【0003】
また、特許文献2には、クレジットカード番号などの情報を加盟店端末からカード発行会社へ転送し、与信依頼をかける仲介システムが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−366868号公報
【特許文献2】特開2002−366859号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来の技術においては、与信または本人認証はいずれも代行サーバで実施し、その結果を本来の取引先である電子商取引サーバ、加盟店端末へ戻す処理を行っている。この方法では、代行サーバの構成が複雑になり、システムが大規模になるため、システムの構築に多大なコストが必要になるという問題がある。
【0006】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、 簡素かつセキュアな構成で本人認証を行うことが可能な、新規かつ改良された情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバを提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明のある観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報を送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信処理部と、を備える情報処理装置が提供される。
【0008】
また、前記アクセス先情報送信部は、前記アクセス先のURLとともに前記ログイン情報提供サーバのURLを前記情報提供サーバへ送信するものであってもよい。
【0009】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える情報提供サーバが提供される。
【0010】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得する手段、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインする手段、前記アクセス先の情報を前記情報処理装置に送信する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0011】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、前記情報処理装置から前記ログイン情報を取得し、取得した前記ログイン情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、を備える、通信システムが提供される。
【0012】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報とともに前記識別情報を送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置が提供される。
【0013】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信する手段、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する手段、前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記識別情報を含む前記ログイン情報を送信する手段、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0014】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、前記識別情報とともに、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報及び前記識別情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報及び前記識別情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、前記情報処理装置から前記ログイン情報及び前記識別情報を取得し、取得した前記ログイン情報及び前記識別情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、を備える、通信システムが提供される。
【0015】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLをログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置が提供される。
【0016】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバが提供される。
【0017】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信する手段、前記ログイン情報を用いて前記アクセス先のURLにログインする手段、ログインした前記アクセス先の情報を前記情報処理装置へ送信する手段、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行する手段、としてコンピュータを機能させるためのプログラムが提供される。
【0018】
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、ネットワークを介して前記情報提供サーバにアクセスする際に、アクセス先のURLを前記ログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置と、ネットワークを介して接続された前記情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記ログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバと、前記ログイン情報提供サーバによるログインを受けて、前記アクセス先の情報を前記ログイン情報提供サーバへ送信する情報提供サーバと、を備える通信システムが提供される。
【発明の効果】
【0019】
本発明によれば、簡素かつセキュアな構成で本人認証を行うことが可能な情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバを提供することが可能となる。
【図面の簡単な説明】
【0020】
【図1】第1の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図2】本発明の第1の実施形態に係るシステムの構成を示す模式図である。
【図3】第1の実施形態のシステムで行われる処理について説明するためのシーケンス図である。
【図4】図3のステップS28における、SAMサーバと非接触通信カードとの間のログイン情報取得手順の詳細を示すシーケンス図である。
【図5】第1の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図6】第1の実施形態に係るWebサーバの構成を示す機能ブロック図である。
【図7】第2の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図8】第2の実施形態のシステムで行われる処理を示すシーケンス図である。
【図9】ステップS88の処理を示すシーケンス図である。
【図10】第2の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図11】第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図12】第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。
【図13】第3の実施形態の処理を示すシーケンス図である。
【図14】図13のステップS158のローカルアクセス処理の詳細を示すシーケンス図である。
【図15】SAMサーバによるローカルへのアクセス処理(ステップS228以降)を説明するためのフローチャートである。
【図16】第3の実施形態に係るパーソナルコンピュータの構成を示す機能ブロック図である。
【図17】第3の実施形態に係るSAMサーバの構成を示す機能ブロック図である。
【発明を実施するための形態】
【0021】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0022】
なお、説明は以下の順序で行うものとする。
1.第1の実施の形態(SAMサーバからログイン情報を取得する構成例)
2.第2の実施の形態(ログインを識別するためのセッション番号を付与する例)
3.第3の実施の形態(SAMサーバの仮想ウェブ上でアクセス先URLに接続する例)
【0023】
<1.第1の実施形態>
図1は、第1の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。図1の概念図に示すように、本実施形態のシステムは、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0024】
図1に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、パーソナルコンピュータ300のブラウザが起動し、Webサーバ400と通信を行うことにより、非接触通信カード100のフリー領域に格納されていたURLが開かれる。
【0025】
Webサーバ400のURLが開かれると、ユーザ名、パスワードなどのログイン情報が要求される。Webサーバ400は、これらのログイン情報をSAMサーバ500に対して要求する。SAMサーバ500は、非接触通信カード100のセキュア領域の読取り要求を、Webサーバ400、パーソナルコンピュータ(PC)300、カードリーダライタ200を経由して非接触通信カード100に要求し、ログイン情報を取得する。そして、SAMサーバ500は、取得したログイン情報をWebサーバ400に送信する。Webサーバ400は、受信したログイン情報によりURLへログインする。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、Webサーバ400のURLにアクセスすることが可能となる。
【0026】
次に、本実施形態のシステムについて、図2〜図4に基づいて詳細に説明する。図2は、本発明の第1の実施形態に係るシステムの構成を示す模式図である。図2に示すように、本実施形態のシステムは、非接触通信カード100、カードリーダライタ(R/W)200、パーソナルコンピュータ(PC)300、WEBサーバ400、SAM(Secure Application Module)サーバ500を備える。パーソナルコンピュータ300、WEBサーバ400及びSAMサーバ500は、インターネット800を介して相互に通信可能に接続されている。
【0027】
非接触通信カード100は、RF部102、CPU104、メモリ106を備える。RF部102は、カードリーダライタ200が発生する13.56MHz帯の搬送波(RF信号)から、マンチェスター方式にて重畳されたベースバンド信号を抽出しデータを受信する。また、RF部102は、またこの搬送波に対して自機器のベースバンド信号を重畳させることによってカードリーダライタ200にデータを送信する。CPU104は、これら通信制御とカード内のメモリ106へのアクセス制御、およびデータの暗号化、復号化処理を行う。メモリ106は、サービス毎に領域が分割され、それぞれ書き込み/読み込み可能の属性が設定されている。具体的には、メモリ106の領域は、主に、認証および暗号化によるアクセスが必要である領域(以下、セキュア領域という)と、アクセスを制限しない領域(以下、フリー領域という)との2つに属性が決められている。
【0028】
カードリーダライタ200は、RF部202、CPU204を備える。RF部202は、13.56MHz帯の搬送波を発生させ、送信波へのベースバンド信号の重畳及び受信波からのベースバンド信号の抽出によって、非接触通信カード100と通信を行う。CPU204は、パーソナルコンピュータ300から受信した通信制御コマンドをベースバンド信号化してRF部202に送信する。また、CPU204は、RF部202から受信したベースバンド信号をPC用の通信制御コマンドフォーマットに成形してパーソナルコンピュータ300へ送信する。
【0029】
パーソナルコンピュータ300は、カード制御部302、通信部304、ユーザインタフェース(UI)部306、CPU308を備える。カード制御部302は、カード制御コマンドを発行し、カードカードリーダライタ200と送受信を行う。通信部304は、SAMサーバ500、WEBサーバ400等のインターネット800上のサーバとの通信を行う。ユーザインタフェース部306は、キーボード、マウス等によるユーザからの指示入力手段、また、ディスプレイ、音出力などのユーザへの出力手段としての機能を備える。CPU308は、サーバより得られたhtml情報からWebブラウザの表示および制御を行う。また、CPU308は、サーバとの暗号化設定情報から、インターネット通信路の暗号化を行い、SAMサーバ500からカードリーダライタ200への制御信号を変換する。
【0030】
次に、図3のシーケンス図に基づいて、第1の実施形態のシステムで行われる処理について説明する。先ず、カードの読み込みについて説明する。パーソナルコンピュータ300は、非接触通信カード100のフリー領域の情報を読み込むため、読み込み制御信号をカードリーダライタ200に送信する(ステップS10)。
【0031】
次に、カードリーダライタ200は、ポーリングを行う(ステップS12)。ここでは、カードリーダライタ200は、搬送波を発信してカードの捕捉を行う。非接触通信カード100のアンテナが搬送波を受信し、その電力によってCPU104が活性化されると、非接触通信カード100は、固有識別子(IDm)、カードの種別(システムコード)を返信する。
【0032】
(1.2)フリー領域読み込み)
カードの捕捉に成功したカードリーダライタ200は、非接触通信カード100のアクセスフリー領域にアクセスする。カードリーダライタ200は、パーソナルコンピュータ300のWEBブラウザがインターネットに接続する際の接続先URL(起動URL)と、SAM(Secure Application Module)を搭載したSAMサーバ500のURLを読み込む(ステップS14)。これにより、WEBブラウザの接続先URLと、SAMサーバ500のURLは、カードリーダライタ200へ送られ、(ステップS16)、更にパーソナルコンピュータ300へ送られる(ステップS18)。
【0033】
2)Webブラウザ起動
パーソナルコンピュータ300は、Webサーバ400から受信したhtmlファイルを表示するWebブラウザを起動する(ステップS20)。なお、Webブラウザとしては、例えばInternet Explorer、Firefoxなどを用いることができる。
【0034】
3)http_get(起動URL、SAM_URL)コマンドの送信
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URL、SAMサーバ500のURLを含む)を送信し(ステップS22)、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続する。パーソナルコンピュータ300のWebブラウザは、SAMサーバ500のURLをWebサーバ400に渡す。そして、パーソナルコンピュータ300のWebブラウザは、http_getコマンドにより取得したhttpフォーマットの受信データを解析し、ログイン画面を表示する。ここで、http_getコマンドには引数としてSAMサーバ500のアドレス(URL)を付加する。http_getコマンドにおける、SAMサーバのアドレス(URL)の付加は、例えばhttps://www.sample_web_server.co.jp/sam_login.cgi?URL=https://www.sam_server.co.jpなどのようにして行うことができる。
【0035】
3.1)通信路の暗号化
Webサーバ400は、パーソナルコンピュータ300からhttp_getコマンドを受けると、CGIを動作させ、SAMサーバ500との通信路をSSL等によって暗号化する(ステップS24)。その後、Webサーバ400は、パーソナルコンピュータ300から取得したSAMサーバ500のURLを用いてSAMサーバ500へのアクセスを行う。
【0036】
3.2)ログイン情報要求
Webサーバ400は、SAMサーバ500へログイン情報要求を行う(ステップS26)。SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報(ユーザ名およびパスワード)を取得し(ステップS28)Webサーバ500にログインを行う。ステップS28の処理は、以下に詳細に説明する。
【0037】
3.2.1)ログイン情報取得の詳細
図4は、図3のステップS28における、SAMサーバ500と非接触通信カード100との間のログイン情報取得手順の詳細を示すシーケンス図である。
【0038】
1)セキュアクライアント起動要求
SAMサーバ500は、Webサーバ400にパーソナルコンピュータ300へのセキュリティクライアント要求コマンドを送信する(ステップS40)。
【0039】
1.1)転送(セキュアクライアント起動要求)
先ず、SAMサーバ500は、Webサーバ400に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS40)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。Webサーバ400は、http_getコマンドで接続しているパーソナルコンピュータ300に対して、セキュアクライアントの要求コマンドを転送する(ステップS42)。
【0040】
1.1.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS44)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、このクライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行う。これにより、パーソナルコンピュータ300からWebサーバ400を経由してSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
【0041】
2)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS46)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
【0042】
2.1)転送(認証要求)
SAMサーバ500から認証要求コマンドを受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS48)。
【0043】
2.1.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS50)。
【0044】
2.1.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS52)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、パーソナルコンピュータ300、及びWebサーバ400を経由してSAMサーバ500に返信される。
【0045】
3)、4)共有鍵生成
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS54,S56)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS46からステップS56に至る共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
【0046】
5)セキュリティ領域読出し(Read)要求
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得するため、暗号化された通信路を用いて、Webサーバ400を経由して、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS58)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
【0047】
5.1)転送(セキュア領域Read要求)
セキュア領域の読出し(Read)要求をSAMサーバ500から受信したWebサーバ400は、コマンドをそのままパーソナルコンピュータ300に転送する(ステップS60)。
【0048】
5.1.1)セキュア領域Read要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換し、カードリーダライタ200へ送信する(ステップS62)。
【0049】
5.1.1.1)セキュア領域アクセス
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS64)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS66)。
【0050】
6)ログイン情報の復号
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS68)。
【0051】
以上説明した図4のシーケンスにより、SAMサーバ500は、図3のステップS28において、非接触通信カード100からログイン情報を取得することができる。
【0052】
SAMサーバ500は、復号したログイン情報ををWebサーバ400へ送る(図3のステップS30)。Webサーバ400は、受信した復号されたログイン情報によりログインを行う。これにより、Webサーバ400へのログインが完了し(ステップS30)、パーソナルコンピュータ300の画面には、ログイン後の画面が表示される。従って、ユーザは、パーソナルコンピュータ300のWebブラウザの画面上で、ログイン画面に入ったことを確かめることができる。
【0053】
従って、ユーザは、ログイン画面にユーザ名、パスワード等を入力しなくても、非接触通信カード100のセキュア領域のログイン情報がSAMサーバ500からWebサーバ400へ送信されることから、Webサーバ400に自動的にログインすることができる。
【0054】
図5は、第1の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図5に示すように、パーソナルコンピュータ300は、アクセス先情報送信部310、ログイン情報送信部312、受信処理部314を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0055】
また、図6は、第1の実施形態に係るWebサーバ400の構成を示す機能ブロック図である。図6に示すように、Webサーバ400は、アクセス先情報取得部410、ログイン情報取得部412、ログイン実行部414、送信処理部416を備える。各機能ブロックは、Webサーバ400が備えるハードウエア、CPU402とこれを機能させるためのプログラムによって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0056】
以上説明したように第1の実施形態によれば、暗号化された伝送路からSAMサーバ500に送られたログイン情報をSAMサーバ500がWebサーバ500に送ってログインする。これにより、ユーザが非接触通信カード100をカードリーダライタ200にかざすのみで簡単にログインすることが可能となる。
【0057】
<2.第2の実施形態>
次に、本発明の第2の実施形態について説明する。第2の実施形態は、セッション番号を利用した、SAMサーバ500経由のログインに関するものである。
【0058】
図7は、第2の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。図7の概念図に示すように、本実施形態のシステムも、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0059】
図7に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、パーソナルコンピュータ300のブラウザが起動し、Webサーバ400と通信を行うことにより、非接触通信カード100のフリー領域に格納されていたURLが開かれる。
【0060】
Webサーバ400のURLが開かれると、ユーザ名、パスワードなどのログイン情報が要求される。パーソナルコンピュータ300は、これらのログイン情報をSAMサーバ500に対して要求する。SAMサーバ500は、非接触通信カード100のセキュア領域の読取り要求を、パーソナルコンピュータ(PC)300、カードリーダライタ200を経由して非接触通信カード100に要求し、ログイン情報を取得する。そして、SAMサーバ500は、取得したログイン情報をWebサーバ400に送信する。Webサーバ400は、受信したログイン情報によりURLへログインする。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、Webサーバ400のURLにアクセスすることが可能となる。
【0061】
次に、本実施形態のシステムについて、図8、図9に基づいて詳細に説明する。第2の実施形態に係るシステム構成、及び非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAMサーバ500の構成は、図2と同様である。
【0062】
図8は、第2の実施形態のシステムで行われる処理を示すシーケンス図である。先ず、パーソナルコンピュータ300は、非接触通信カードの読み込みを行う(ステップS70〜S78)。そして、パーソナルコンピュータ300は、Webブラウザを起動する(ステップS80)。ステップS70〜S80の処理は、図3のステップS10〜S20の処理と同様である。
【0063】
3)http_get(起動URL)コマンドの送信
パーソナルコンピュータ300のWebブラウザは、http_getコマンド(起動URLを含む)を送信する(ステップS82)。そして。Webブラウザは、http_getコマンドによりWebサーバ400のURLにインターネット800経由で接続し、http_getコマンドにより取得したhttpフォーマットの受信データを解析してログイン画面を表示する。
【0064】
4)https_get(セッション番号要求)
パーソナルコンピュータ300は、Webサーバ400への通信路をSSLで暗号化した後、Webサーバ400へアクセスを行い、サーバに対してセッション番号の払い出し要求を行う(ステップS84)。ここで、Webサーバ400が払い出すセッション番号は、乱数などを用いて他ユーザのログイン用セッション番号との区別ができるものとし、また所定の有効期限が過ぎた場合は無効化されるものとする。後述するが、セッション番号は、ユーザによるログインを確認するために使用される番号であり、固有(ユニーク)の番号とされる。
【0065】
例えば、パーソナルコンピュータ300は、”https://www.web_server.co.jp/login.html+get_session_number.cgi”をhttps_getコマンドで送信する。Webサーバ400は、実行コード(cgiスクリプト等)で生成したセッション番号をhtmlフォーマットで記載し、https_getへ返信する(ステップS85)。
【0066】
5)https_get(SAM_URL、ログイン_URL、セッション番号)
パーソナルコンピュータ300は、SAMサーバ500への通信路をSSLで暗号化した後にアクセスを行い、SAMサーバ500に対してWebサーバ400へのログイン要求コマンドを送信する(ステップS86)。このとき、要求コマンドにはログイン先のWebサーバ400のURL、SAMサーバ500のURL、及びステップS85でWebサーバ400から取得したセッション番号情報が引数として付加される。なお、ログイン先のURL、SAMサーバ500のURLは、非接触通信カード100のメモリから読取られたものである。
【0067】
例えば、パーソナルコンピュータ300は、”https://www.sam_server.co.jp/remote_login.cgi?URL=www.web_server.co.jp?session=XXX”をhttps_getコマンドで送信し、SAMサーバ500はログイン情報取得用の実行コード(cgiスクリプト等)を起動する。
5.1)ログイン情報取得
次に、SAMサーバ500は、非接触通信カード100のセキュア領域よりログイン情報を取得する(ステップS88)。ここでの取得方法は、第1の実施形態の図4で説明した処理と同様であるが、SAMサーバ500とパーソナルコンピュータ300との間にはWebサーバ400が仲介をしていない。第2の実施形態は、SAMサーバ500とパーソナルコンピュータ300が直接通信する点で第1の実施形態と相違する。
【0068】
9は、ステップS88の処理を示すシーケンス図である。
【0069】
1)セキュアクライアント起動要求
先ず、SAMサーバ500は、パーソナルコンピュータ300に対して、http_getコマンドなどを送信することにより、セキュアクライアントの起動要求を出す(ステップS100)。セキュアクライアントは、パーソナルコンピュータ300が有するプログラムである。
【0070】
1.1.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS102)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化し、またSAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して非接触通信カード100のカード制御を行うプログラムである。これにより、パーソナルコンピュータ300からSAMサーバ500に至る経路が暗号化され、SAMサーバ500〜パーソナルコンピュータ300間で送受信されるパケットが暗号化される。従って、非接触通信カード100に対してどのようなコマンドを送信したのかを隠すことができる。
【0071】
2)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、非接触通信カード100に対して暗号化の認証を要求するため、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS104)。このコマンドには乱数N1および秘密鍵Aより生成された公開情報(公開鍵)1が含まれる。認証要求は、SAMサーバ500〜パーソナルコンピュータ300間で既に暗号化されている伝送路の中で行われる。なお、この時点で非接触通信カード100は、カードリーダライタ200と接近または接触した状態にあり、カードリーダライタ200と通信可能であるものとする。
【0072】
2.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200へ送信する(ステップS106)。
【0073】
2.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する(ステップS108)。非接触通信カード100には、秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報(公開鍵)2を生成する。公開情報2は、カードリーダライタ200、及びパーソナルコンピュータ300を経由してSAMサーバ500に返信される(ステップS109)。
【0074】
3)、4)共有鍵生成
非接触通信カード100とSAMサーバ500のそれぞれでは、公開情報1,2を送受信して交換したことにより、両者で同一の鍵である共有鍵(秘密鍵)を生成し(ステップS110,S112)、共有鍵を共有する。共有鍵を生成した後は、非接触通信カード100のセキュア領域からの必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。なお、ステップS104からステップS112に至る共有鍵の生成は、第1の実施形態と同様、ディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる一般的手法により行うことができる。以上のようにしてSAMサーバ500から非接触通信カード100に至る暗号化された伝送路が形成され、SAMサーバ500と非接触通信カード100がセキュアに通信できる状態となる。
【0075】
5)セキュリティ領域読出し(Read)要求
SAMサーバ500は、非接触通信カード100のセキュア領域に書き込まれているログイン情報(ユーザ名、パスワード等)を取得する。このため、SAMサーバ500は、暗号化された通信路を用いて、パーソナルコンピュータ300へ非接触通信カード100のセキュア領域の読出し(Read)要求を送信する(ステップS114)。セキュア領域への読出し(Read)要求には、非接触通信カード100のメモリ106のアクセスする領域(サービスエリア)の情報が含まれている。
【0076】
5.1)セキュア領域読出し(Read)要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)要求を受信すると、セキュア領域への読出し(Read)要求をカードリーダライタ200用のコマンドフォーマットに変換する。そして、セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS116)。
【0077】
5.1.1)セキュア領域アクセス
セキュア領域への読出し(Read)要求を受けたカードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスする(ステップS118)。非接触通信カード100は、セキュア領域に格納されたログイン情報(ユーザ名およびパスワード)を共有鍵で暗号化し、暗号化された伝送路を経由して、SAMサーバ500に返信する(ステップS120)。
【0078】
6)ログイン情報の復号
SAMサーバ500は、暗号化された伝送路から非接触通信カード100のログイン情報を受信すると、共通鍵を用いて暗号化されているログイン情報を復号する(ステップS122)。
【0079】
以上説明した図9のシーケンスにより、SAMサーバ500は、図8のステップS88において、非接触通信カード100からログイン情報を取得することができる。
【0080】
5.2)通信路の暗号化
ログイン情報を取得したSAMサーバ500は、図8のステップS86で取得したログインURLで指定されるWebサーバ400と接続を行い、SSL等の処理で通信路を暗号化する(図8のステップS90)。
【0081】
5.3)ログイン要求(ログイン情報、セッション番号)
SAMサーバ500は、Webサーバ400へログイン情報(ユーザ名、パスワード、セッション番号等)を含むコマンドを送信する(ステップS92)。Webサーバ400は、セッション番号を受信することにより、SAMサーバ500からのログインが、どのセッションに対するログインであるかを判別することが可能である。Webサーバ400はログイン情報の真偽をチェックした後、真であればログインを行い、ログイン完了通知をSAMサーバ500に送信する(ステップS94)。ログイン完了を受信したSAMサーバ500は、同様にログイン完了通知をパーソナルコンピュータ300に返信する(ステップS95)。
【0082】
6.https_get(ログイン確認、セッション番号)
パーソナルコンピュータ300は、ログイン完了通知を受信すると、Webサーバ400にセッション番号を送信し(ステップS96)、SAMサーバ500からのログインが完了したことを確認する。例えば、パーソナルコンピュータ300は、”https://www.sample_web_server.co.jp/sam_login_cfm.cgi?session=YYY”をhttps_getコマンドで送信し、Webサーバ400はログイン結果を返信する。これにより、パーソナルコンピュータ300の画面には、ログイン後の画面が表示される。従って、ユーザは、パーソナルコンピュータ300のWebブラウザの画面上で、ログイン画面に入ったことを確かめることができる。
【0083】
図10は、第2の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図10に示すように、パーソナルコンピュータ300は、アクセス先情報送信部320、識別情報取得部322、ログイン情報送信部324、受信処理部326を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0084】
以上説明したように第2の実施形態によれば、パーソナルコンピュータ300のWebブラウザ上でWebサーバ400のURLを表示する際に、セッション番号を用いることで、Webサーバ400とSAMサーバ500を並列動作させることが可能となる。従って、Webサーバ400とSAMサーバ500を並列動作させた状態で、セッション番号に基づいてログインしたアクセス先の情報をパーソナルコンピュータ300に表示させることが可能となる。
【0085】
<3.第3の実施形態>
次に、本発明の第3の実施形態について説明する。第3の実施形態は、セキュア領域をローカル化した仮想ブラウザに関するものである。
【0086】
図11及び図12は、第3の実施形態に係るシステム構成と、情報のやり取りを模式的に示した概念図である。本実施形態のシステムも、非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAM(Secure Application Module)サーバ500を備える。
【0087】
図11及び図12に基づいて、本実施形態の情報のやり取りの概念を説明すると、非接触通信カード100は、そのメモリ内にフリー領域とセキュア領域を備えている。フリー領域には、URLなどの情報が格納され、セキュア領域にはユーザ名、パスワードなどのログイン情報が格納されている。非接触通信カード100をカードリーダライタ200に接触または接近させると、SAMサーバ500のブラウザが起動する。更にSAMサーバ500がWebサーバ400と通信を行うことにより、SAMサーバ500のブラウザ(仮想ブラウザ)にWebサーバ400のURLが表示された状態でパーソナルコンピュータ300に表示が行われる。
【0088】
Webサーバ400のURLがユーザ名、パスワードなどのログイン情報を要求する場合は、図12に示すように、SAMサーバ500が暗号化された通信路を介して非接触通信カード100からログイン情報を取得する。
【0089】
また、Webサーバ400がローカルアクセス要求を出した場合、SAMサーバ500は、ローカル情報へのアクセスを行う。この際、図12に示すように、ユーザの選択に応じて、パーソナルコンピュータ300が備えるハードディスクドライブなどの記憶媒体、または非接触通信カード100のセキュア領域に対して、SAMサーバ500はアクセスし、キャッシュ情報などの書き込みまたは読出しを行う。これにより、ユーザは、非接触通信カード100をカードリーダライタ200と接触または接近させるのみで、SAMサーバ500上の仮想ブラウザを介してWebサーバ400のURLにアクセスすることが可能となる。
【0090】
次に、本実施形態のシステムについて、図13〜図15に基づいて詳細に説明する。第3の実施形態に係るシステム構成、及び非接触通信カード100、カードリーダライタ200、パーソナルコンピュータ300、Webサーバ400、SAMサーバ500の構成は、図2と同様である。図13は、第3の実施形態の処理を示すシーケンス図である。
【0091】
1)非接触通信カード100の読み込み
先ず、パーソナルコンピュータ300は、非接触通信カードの読み込みを行う(ステップS130〜S138)。そして、パーソナルコンピュータ300は、Webブラウザを起動する(ステップS140)。ステップS130〜S138の処理は、図3のステップS10〜S20の処理と同様である。
【0092】
3)仮想ブラウザ起動
パーソナルコンピュータ300のWebブラウザは、SAMサーバ500の接続先URLにインターネット800経由で接続し、http_getコマンドによりSAMサーバ500に仮想ブラウザの起動要求を送信する(ステップS142)。これにより、SAMサーバ500において、Webブラウザ(仮想ブラウザ)が立ち上がる。以後、仮想ブラウザがWebサーバ400から受信するhtmlデータは、基本的にパーソナルコンピュータ300に転送され、パーソナルコンピュータ300のWebブラウザは受信データを解析して画面表示を行なう。従って、図11に示すように、パーソナルコンピュータ300の表示画面には、パーソナルコンピュータ300のWebブラウザにSAMサーバ500の仮想ブラウザが表示され、仮想ブラウザ上にWebサーバ400のURLで指定される情報が表示される。
【0093】
4)Webアクセス要求
パーソナルコンピュータ300は、ステップS138でカードより取得した接続先のURL情報を付加して、SAMサーバ500にWebアクセスの要求コマンドを送信する(ステップS144)。
【0094】
4.1)http_get(起動URL)
SAMサーバ500は、受信したURLを含むhttp_getコマンドをWebサーバ400に送信し(ステップS146)、受信したhttpデータをパーソナルコンピュータ300に転送する。これにより、パーソナルコンピュータ300の表示画面には、Webサーバ400のURLが表示される。
【0095】
5)ログイン要求
ここで起動先のWebサーバ400がログイン画面を表示する場合は、パーソナルコンピュータ300はSAMサーバ500にログイン要求コマンドを送信する(ステップS148)。
【0096】
5.1)ログイン情報(ユーザ名、パスワード)取得
SAMサーバ500は、ログイン要求コマンドを受信すると、ログイン情報を取得する処理を行う(ステップS150)。ログイン情報は、図9で説明した第2の実施形態と同様な手順によって非接触通信カード100のセキュア領域から取得される。
【0097】
5.2)ログイン要求
SAMサーバ500は、ステップS150で取得したログイン情報を用いて、ステップS130〜S138で非接触通信カード100から読み取ったURLのWebサーバ400にログイン要求を行なう(ステップS152)。
【0098】
6)ローカルアクセス要求
Webサーバ400によっては、ログインの際に、ログイン情報の他に、当該Webサーバ400へのログイン履歴と、ユーザのパーソナルコンピュータ300のローカルな記憶媒体に記録されたログイン履歴(Cookie内に保存されている)とのマッチングを行い、ユーザ(ログイン)認証を行なう場合がある。この場合、Webサーバ400は、ローカル(パーソナルコンピュータ300)へのアクセス要求を出す(ステップS156)。また、ユーザは、パーソナルコンピュータ300のローカルハードディスクドライブ(HDD)に保存された「お気に入り(Favorite)」の中から表示するURLを選択することができる。これらの情報は、Webサーバ400からSAMサーバ500の仮想ブラウザを経由してパーソナルコンピュータ300に通知される。なお、ローカルアクセス先は、上述したCookie、Favoriteに限定されるものではなく、Historyなどブラウザがパーソナルコンピュータ300のローカルHDDに保存する全ての情報が対象となり得る。
【0099】
6.1)ローカルアクセス処理
SAMサーバ500は、ローカルアクセス要求を受けると、ローカルアクセス処理を行う(ステップS158)。ローカル情報の読み書き先は、ハードディスクなどパーソナルコンピュータ300自体が内包する記憶媒体、または、セキュリティ領域を有する外部の非接触通信カード10の2つから選択することができる。
【0100】
図14は、ステップS158のローカルアクセス処理の詳細を示すシーケンス図である。
【0101】
1)ローカルアクセス要求
先ず、SAMサーバ500は、パーソナルコンピュータ300に対してローカルアクセス要求を出す(ステップS170)。
【0102】
2)ユーザ確認
Webサーバ400からのローカルアクセス要求を受信したパーソナルコンピュータ300は、アクセスが可能な保存媒体の一覧(非接触通信カード100を含む)を作成する。また、ローカルアクセス要求を受信したパーソナルコンピュータ300は、ユーザに対して「ローカルアクセスの許可または不許可」の確認画面を表示する。「許可」が選択された場合は、アクセス先の候補として「パーソナルコンピュータ300のローカルのHDDまたは非接触通信カード100(セキュア領域)」のいずれか一方をユーザに選択させるための画面表示を行う(ステップS172)。そして、ユーザからのアクセス先選択結果をSAMサーバ500に送信する。
【0103】
図14に戻って、ステップS172において、HDDが選択された場合は、Webサーバ400が要求するローカル情報へのアクセス先にHDDを設定し、以後の読み書きはHDDに対して行なう。なお、パーソナルコンピュータ300のローカルアクセス先は、HDDに限定されるものではなく、フラッシュメモリ(NVM)等、パーソナルコンピュータ300が内包する、またはパーソナルコンピュータ300に接続される全ての記憶媒体が含まれる。
【0104】
4)セキュアクライアント起動要求
一方、ステップS172で非接触通信カード100が選択された場合、SAMサーバ500は、パーソナルコンピュータ300に対してセキュアクライアント起動の要求コマンドを送信する(ステップS176)。
【0105】
4.1)セキュアクライアント起動
セキュリティクライアントの起動コマンドを取得したパーソナルコンピュータ300内部のCPU308は、セキュリティクライアントを起動する(ステップS178)。このクライアントプログラムは、SAMサーバ500とパーソナルコンピュータ300との通信路を暗号化する。また、クライアントプログラムは、SAMサーバ500から受信したカード制御コマンドをカードリーダライタ200の制御コマンドに変換して、非接触通信カード100のカード制御を行う。
【0106】
5)認証要求(公開情報1)
暗号化通信路を確立したSAMサーバ500は、パーソナルコンピュータ300に対して認証要求コマンドを送信する(ステップS182)。このコマンドには、乱数N1および秘密鍵Aより生成された公開情報1が含まれる。
【0107】
5.1)認証要求(公開情報1)
パーソナルコンピュータ300は、認証要求コマンドをカードリーダライタ200用に変換した後、カードリーダライタ200に送信する(ステップS184)。
【0108】
5.1.1)認証要求(公開情報1)
カードリーダライタ200は、認証要求コマンドをRF信号に変換した後、非接触通信カード100へ送信する。非接触通信カード100には秘密鍵Aが格納されているので、非接触通信カード100は、この鍵Aと乱数N2より公開情報2を生成し、パーソナルコンピュータ300を経由してSAMサーバ500に公開情報2を返信する(ステップS188)。
【0109】
6)、7)共有鍵生成
非接触通信カード100、及びSAMサーバ500は、送受信した公開情報1,2より両者で同一の鍵である共有鍵を生成する(ステップS190,S192)。以後、非接触通信カード100のセキュリティ設定領域が必要な領域の読み出し値は、この共通鍵で暗号化された状態で送信される。第1、第2の実施形態と同様、共有鍵の生成は、一般にディフィーへルマン(Diffie-Hellman)鍵交換と呼ばれる手法により行うことができる。
【0110】
8)Write情報の暗号化(共通鍵)
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が書き込み(Write)であった場合、書き込みデータを共通鍵で暗号化する(ステップS194)。
【0111】
9)セキュリティ領域R/W要求
SAMサーバ500は、パーソナルコンピュータ300へセキュリティ領域の読出し(Read)または書き込み(Write)要求を送信する(ステップS196)。セキュリティ領域へのReadまたはWrite要求にはアクセスする領域(サービスエリア)の情報が含まれている。
【0112】
9.1)セキュア領域Read/Write要求
パーソナルコンピュータ300上のセキュリティクライアントは、セキュア領域への読出し(Read)または書き込み(Write)要求をカードリーダライタ200用のコマンドフォーマットに変換する。セキュリティクライアントは、変換したコマンドフォーマットをカードリーダライタ200へ送信する(ステップS198)。
【0113】
9.1.1)セキュア領域アクセス
カードリーダライタ200は、非接触通信カード100のセキュア領域にアクセスを行う(ステップS200)。セキュア領域へのアクセスは、読出し(Read)または書き込み(Write)要求に分類される。書き込み(Write)情報は共通鍵で復号された後、適切なサービスエリアに書き込みが行われる。また、指定されたサービスエリアから読み出された読出し(Read)情報は、共通鍵で暗号化されSAMサーバ500に返信される(ステップS202)。
【0114】
10)Read情報の復号(共通鍵)
SAMサーバ500は、Webサーバ400からの非接触通信カード100へのアクセス種別が読出し(Read)であった場合、ステップS202で受信した読出し(Read)データを共通鍵で復号する。
【0115】
図15は、図13及び図14で説明した処理において、SAMサーバ500によるローカルへのアクセス処理(ステップS228以降)を説明するためのフローチャートである。図15に基づいて処理を説明すると、ステップS220では、非接触通信カード100とカードリーダライタ200が通信を開始する。次にステップS222では、パーソナルコンピュータ300のWebブラウザが起動し、次のステップS224ではWebブラウザ内で仮想ブラウザが起動される。次のステップS226では、Webブラウザからローカルアクセス要求が出される。
【0116】
ステップS228以降では、SAMサーバ500がローカルへのアクセス処理を行う。ステップS228では、ローカル情報のアクセスがユーザによって許可されたか否かが判定され、アクセスが許可された場合はステップS230へ進む。ステップS230では、ユーザによりアクセス先が選択される。一方、ステップS228でアクセスが不許可の場合は、アクセスが失敗した旨を返信する。
【0117】
アクセス先が非接触通信カード100の場合、ステップS232へ進み、非接触通信カード100のセキュア領域を仮想的にローカルのHDDとする。次にステップS234では、Cookie等の情報を非接触通信カード100に書き込む。ここでの処理は、図14のステップS194〜S204に対応する。例えば、ユーザがネットカフェ等に設置されたパーソナルコンピュータ300を使用する場合、個人的情報がパーソナルコンピュータ300のHDDに書き込まれてしまうのは好ましくない。このため、アクセス先を非接触通信カード100とすることで、個人的情報をカード100のセキュア領域に書き込むことができる。この際、非接触通信カード100とSAMサーバ500の間には暗号化された伝送路が構築されているため、安全にカード100に情報を書き込むことが可能である。
【0118】
一方、ステップS230でHDDが選択された場合は、Cookie等の情報をパーソナルコンピュータ300のHDDに書き込む。ここでの処理は、図14のステップS174に対応する。ステップS234,S236の後はステップS238へ進み、アクセス情報の返信を行う。
【0119】
図16は、第3の実施形態に係るパーソナルコンピュータ300の構成を示す機能ブロック図である。図16に示すように、パーソナルコンピュータ300は、アクセス先情報送信部330、ログイン情報送信部332、受信処理部334を備える。各機能ブロックは、パーソナルコンピュータ300が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、パーソナルコンピュータ300が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0120】
図17は、第3の実施形態に係るSAMサーバ500の構成を示す機能ブロック図である。図17に示すように、SAMサーバ500は、アクセス先情報取得部520、ログイン情報受信部522、ログイン実行部524、アクセス先情報送信部526、ローカルアクセス部528を備える。各機能ブロックは、SAMサーバ500が備えるハードウエア、CPU308とこれを機能させるためのソフトウェア(プログラム)によって構成されることができる。そのプログラムは、SAMサーバ500が備えるハードディスク、またはパーソナルコンピュータ300の会部から接続されるメモリなどの記録媒体に格納されることができる。
【0121】
以上のように第3の実施形態では、パーソナルコンピュータ300は、基本的にSAMサーバ500上の仮想ブラウザを表示する機能と、ユーザによる選択をSAMサーバ500に伝える機能を果たしている。つまり、パーソナルコンピュータ300は、ユーザがSAMサーバ500の仮想ブラウザを閲覧する際の中継としての役割を果たしている。そして、仮想ブラウザを閲覧している際に、ユーザの個人情報の読み出し、またはクッキー情報等の保存が必要となる場合は、ユーザの選択に応じて、パーソナルコンピュータ300の記憶媒体、または非接触通信カード100のセキュア領域にアクセスすることが可能である。
【0122】
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0123】
310 アクセス先情報送信部
312 ログイン情報送信部
314 受信処理部
410 アクセス先情報取得部
412 ログイン情報取得部
414 ログイン実行部
416 情報送信部
322 識別情報取得部
520 アクセス先情報取得部
522 ログイン情報受信部
524 ログイン実行部
526 アクセス先情報送信部
528 ローカルアクセス部
【特許請求の範囲】
【請求項1】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報を送信するログイン情報送信部と、
前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信処理部と、
を備える情報処理装置。
【請求項2】
前記アクセス先情報送信部は、前記アクセス先のURLとともに前記ログイン情報提供サーバのURLを前記情報提供サーバへ送信する、請求項1に記載の情報処理装置。
【請求項3】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、
前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得するログイン情報取得部と、
前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、
前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、
を備える情報提供サーバ。
【請求項4】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、
前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得する手段、
前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインする手段、
前記アクセス先の情報を前記情報処理装置に送信する手段、
としてコンピュータを機能させるためのプログラム。
【請求項5】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、
前記情報処理装置から前記ログイン情報を取得し、取得した前記ログイン情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、
を備える、通信システム。
【請求項6】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、
前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報とともに前記識別情報を送信するログイン情報送信部と、
前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、
を備える情報処理装置。
【請求項7】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信する手段、
前記アクセスを識別するための識別情報を前記情報提供サーバから取得する手段、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記識別情報を含む前記ログイン情報を送信する手段、
前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する手段、
としてコンピュータを機能させるためのプログラム。
【請求項8】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、前記識別情報とともに、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報及び前記識別情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報及び前記識別情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、
前記情報処理装置から前記ログイン情報及び前記識別情報を取得し、取得した前記ログイン情報及び前記識別情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、
を備える、通信システム。
【請求項9】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLをログイン情報提供サーバへ送信するアクセス先情報送信部と、
暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、
前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、
を備える情報処理装置。
【請求項10】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、
暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信するログイン情報受信部と、
前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、
ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、
前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、
を備えるログイン情報提供サーバ。
【請求項11】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、
暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信する手段、
前記ログイン情報を用いて前記アクセス先のURLにログインする手段、
ログインした前記アクセス先の情報を前記情報処理装置へ送信する手段、
前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行する手段、
としてコンピュータを機能させるためのプログラム。
【請求項12】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して前記情報提供サーバにアクセスする際に、アクセス先のURLを前記ログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記ログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバと、
前記ログイン情報提供サーバによるログインを受けて、前記アクセス先の情報を前記ログイン情報提供サーバへ送信する情報提供サーバと、
を備える通信システム。
【請求項1】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報を送信するログイン情報送信部と、
前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信処理部と、
を備える情報処理装置。
【請求項2】
前記アクセス先情報送信部は、前記アクセス先のURLとともに前記ログイン情報提供サーバのURLを前記情報提供サーバへ送信する、請求項1に記載の情報処理装置。
【請求項3】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、
前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得するログイン情報取得部と、
前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、
前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、
を備える情報提供サーバ。
【請求項4】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、
前記アクセス先のURLへログインする際に必要となるログイン情報を、暗号化された通信路を介して前記情報処理装置と通信するログイン情報提供サーバから取得する手段、
前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインする手段、
前記アクセス先の情報を前記情報処理装置に送信する手段、
としてコンピュータを機能させるためのプログラム。
【請求項5】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、
前記情報処理装置から前記ログイン情報を取得し、取得した前記ログイン情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、
を備える、通信システム。
【請求項6】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、
前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記ログイン情報とともに前記識別情報を送信するログイン情報送信部と、
前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、
を備える情報処理装置。
【請求項7】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLを前記情報提供サーバへ送信する手段、
前記アクセスを識別するための識別情報を前記情報提供サーバから取得する手段、
前記アクセス先のURLへログインする際に必要なログイン情報を前記情報提供サーバへ提供するログイン情報提供サーバに対して、暗号化された通信路を介して前記識別情報を含む前記ログイン情報を送信する手段、
前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する手段、
としてコンピュータを機能させるためのプログラム。
【請求項8】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して情報提供サーバにアクセスする際に、前記カードリーダライタから取得した前記アクセス先のURLを前記情報提供サーバへ送信するアクセス先情報送信部と、前記アクセスを識別するための識別情報を前記情報提供サーバから取得する識別情報取得部と、前記アクセス先のURLへログインする際に必要な前記ログイン情報を、前記識別情報とともに、暗号化された通信路を介して前記ログイン情報提供サーバへ送信するログイン情報送信部と、前記ログイン情報提供サーバによって提供された前記ログイン情報及び前記識別情報を用いて前記情報提供サーバでログインが実行された前記アクセス先の情報を前記情報提供サーバから受信する受信部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記アクセス先のURLを取得するアクセス先情報取得部と、前記アクセス先のURLへログインする際に必要となるログイン情報及び前記識別情報を、前記ログイン情報提供サーバから取得するログイン情報取得部と、前記ログイン情報提供サーバから取得した前記ログイン情報及び前記識別情報を用いて前記アクセス先のURLにログインするログイン実行部と、前記アクセス先の情報を前記情報処理装置に送信する情報送信部と、を備える前記情報提供サーバと、
前記情報処理装置から前記ログイン情報及び前記識別情報を取得し、取得した前記ログイン情報及び前記識別情報を前記情報提供サーバへ送信する前記ログイン情報提供サーバと、
を備える、通信システム。
【請求項9】
ネットワークを介して情報提供サーバにアクセスする際に、アクセス先のURLをログイン情報提供サーバへ送信するアクセス先情報送信部と、
暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、
前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、
を備える情報処理装置。
【請求項10】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、
暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信するログイン情報受信部と、
前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、
ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、
前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、
を備えるログイン情報提供サーバ。
【請求項11】
ネットワークを介して接続された情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得する手段、
暗号化された通信路を介して、前記アクセス先のURLにログインする際に必要なログイン情報を前記情報処理装置から受信する手段、
前記ログイン情報を用いて前記アクセス先のURLにログインする手段、
ログインした前記アクセス先の情報を前記情報処理装置へ送信する手段、
前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行する手段、
としてコンピュータを機能させるためのプログラム。
【請求項12】
ネットワークを介して情報提供サーバにアクセスする際のアクセス先のURLと、ログイン情報を前記情報提供サーバに提供するログイン情報提供サーバのURLとを格納したメモリを有する非接触情報通信カードと、
前記非接触通信カードと通信を行うことで前記アクセス先のURL及び前記ログイン情報提供サーバのURLを取得するカードリーダライタと、
ネットワークを介して前記情報提供サーバにアクセスする際に、アクセス先のURLを前記ログイン情報提供サーバへ送信するアクセス先情報送信部と、暗号化された通信路を介して、前記アクセス先のURLへログインする際に必要なログイン情報を前記ログイン情報提供サーバに送信するログイン情報送信部と、前記ログイン情報提供サーバが前記ログイン情報を用いて情報提供サーバにログインを実行することにより取得した前記アクセス先の情報を前記ログイン情報提供サーバから取得する情報取得部と、を備える情報処理装置と、
ネットワークを介して接続された前記情報処理装置から、前記情報処理装置がアクセスを要求するアクセス先のURLを取得するアクセス先情報取得部と、前記ログイン情報を前記情報処理装置から受信するログイン情報受信部と、前記ログイン情報を用いて前記アクセス先のURLにログインするログイン実行部と、ログインした前記アクセス先の情報を前記情報処理装置へ送信するアクセス先情報送信部と、前記情報処理装置との情報の送受信に応じて、前記情報処理装置の記憶媒体に対して情報の書き込みまたは読み出しを実行するローカルアクセス部と、を備えるログイン情報提供サーバと、
前記ログイン情報提供サーバによるログインを受けて、前記アクセス先の情報を前記ログイン情報提供サーバへ送信する情報提供サーバと、
を備える通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2011−28687(P2011−28687A)
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願番号】特願2009−176573(P2009−176573)
【出願日】平成21年7月29日(2009.7.29)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願日】平成21年7月29日(2009.7.29)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]