情報処理装置及び情報処理方法
【課題】ユーザにおける負担が増すことなく、かつサーバ側において登録ユーザの認証情報を保持することなく認証を行うための情報処理装置及び情報処理方法を提供する。
【解決手段】クライアントから送信された登録情報を受信する登録情報受信手段と、登録情報を含むURLを生成するURL生成手段と、URLをクライアントへと通知するURL通知手段と、クライアントからURLを受信し、クライアントにURLに対応するログイン画面を表示させるとともに登録情報をURLから抽出するログインURL処理手段と、クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、登録情報と第2の登録情報とが一致するか否かによりクライアントの認証の可否を判断する認証実行手段とを有することを特徴とする情報処理装置。
【解決手段】クライアントから送信された登録情報を受信する登録情報受信手段と、登録情報を含むURLを生成するURL生成手段と、URLをクライアントへと通知するURL通知手段と、クライアントからURLを受信し、クライアントにURLに対応するログイン画面を表示させるとともに登録情報をURLから抽出するログインURL処理手段と、クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、登録情報と第2の登録情報とが一致するか否かによりクライアントの認証の可否を判断する認証実行手段とを有することを特徴とする情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証を行う装置及び方法に関し、より詳細には、セキュリティを高めてシステムにおいてクライアントの認証を行う装置及び方法に関する。
【背景技術】
【0002】
従来、サーバとクライアントとを備えるシステムにおいて、クライアントを使用するユーザの認証を行なうには、ユーザのIDとパスワードとの組み合わせなどの認証情報をサーバに記憶しておき、クライアントから送信された認証情報と、サーバに記憶している認証情報と、を比較することが行なわれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−310630号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、ユーザの数が増えると、サーバに記憶する認証情報の数が増加することになる。このため、サーバに記憶されておる認証情報が漏洩すると、多数のユーザに対して不正アクセスなどの危機が発生することとなる。
【0005】
そこで、本発明は、ユーザにおける負担が増すことなく、かつサーバ側において登録ユーザの認証情報を保持することなく認証を行うための情報処理装置及び情報処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明の一実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0007】
また、本発明の他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記ハッシュ値を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントにログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL受信手段と、前記クライアントから送信された認証要求を受信する認証要求受信手段と、前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0008】
また、本発明のさらに他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0009】
また、本発明の一実施形態に係る情報処理方法は、クライアントから送信された登録情報を受信し、前記登録情報をキーとして用いてハッシュ値を算出し、前記ハッシュ値を含むURLを生成し、生成した前記URLを前記クライアントへと通知し、前記クライアントからの前記URLを含む認証要求を受信し、前記認証要求に含まれる前記URLから前記ハッシュ値を抽出し、前記クライアントの認証を行うことを特徴とする。
【発明の効果】
【0010】
本発明により、クライアント側において特別なプログラムを導入するなどの手続きが不要で、かつ情報処理装置、すなわちサーバ側において認証情報を保持することが不要な認証を行うことのできる情報処理装置が提供される。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【図2】本発明の一実施形態に係る情報処理システムにおけるデータの流れを説明するシーケンス図である。
【図3】登録部110におけるデータの流れをより詳細に説明するシーケンス図である。
【図4】本発明の一実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【図5A】認証部120におけるデータの流れをより詳細に説明するシーケンス図である。
【図5B】認証部120におけるデータの流れをより詳細に説明するシーケンス図である。
【図6A】本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【図6B】本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【図7】本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【図8】本発明の他の実施形態に係る情報処理システムにおけるデータの流れを示すシーケンス図である。
【図9】本発明の他の実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【図10】本発明の他の実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【発明を実施するための形態】
【0012】
以下、本発明を実施するための形態をいくつかの実施形態として説明する。なお、本発明は、これらの実施形態に限定されることなく、種々の変形を加えて実施することが可能である。
【0013】
(実施形態1)
図1は、本発明の一実施形態に係る情報処理システムの機能ブロック図である。
【0014】
図1を参照すると、本発明の一実施形態に係る情報処理システムは、情報処理装置100とクライアント200とを備え、通信網を介して通信を行なう。情報処理装置100は、登録部110と、認証部120とを有する。情報処理装置100は、例えば1台以上のネットワークに接続可能なサーバであり、クライアント200とネットワーク接続されている。クライアント200は、利用者が操作する端末装置である。クライアント200は、パーソナルコンピュータ、PDA、携帯電話、スマートフォンなどのCPU(中央演算公知)を有する機器にプログラムがインストールされるなどして実現される。
【0015】
登録部110は、クライアント200において、情報処理装置100が提供するサービスを利用するための利用登録に用いるコンポーネントであって、登録情報受信手段111、計算手段112、URL生成手段113、URL通知手段114を有する。また、認証部120は、利用登録後、クライアント200がサービス利用のためにログインを行う際に認証を行う。認証部120は、ログインURL処理手段121、認証要求受信手段122、認証実行手段123を有する。
【0016】
登録情報受信手段111は、クライアント200より送信された登録情報10を受信する。登録情報10は、例えばサービス利用時に用いるユーザIDとパスワードである。また、ユーザIDのみクライアント200において入力させてもよく、ユーザIDに対応するパスワードを情報処理装置100において生成してもよい。また、クライアント200には、利用者の氏名、住所などの利用者を特定する情報を登録情報として入力し、クライアント200に入力された情報に対応するユーザIDとパスワードとを情報処理装置100において生成してもよい。生成された結果は、登録情報10に対する返信としてのウェブページに記載されてもよいし、登録情報10に含まれる電子メールアドレスや住所に返送されるようになっていてもよい。
【0017】
計算手段112は、ハッシュ関数を用い、登録情報10のハッシュ値15を算出する。算出に用いられるハッシュ関数は例えばMD5やSHA−1、SHA−256などであり、その他のハッシュ関数を用いてもよい。また、登録情報10に、salt値を加えたもののハッシュ値15を算出してもよく、これにより、ハッシュ値15の逆算を、salt値を用いない場合よりも困難とし、登録情報10がハッシュ値15から第三者により逆算されて漏洩することを困難とし、漏洩を防止することができる。
【0018】
URL生成手段113は、計算手段112において算出されたハッシュ値15を含むログインURL20を生成する。具体的には、例えば、「http://www.example.co.jp/login.html」といったURLに、ハッシュ値15を追加し、「http://www.example.co.jp/login.html?q=ハッシュ値」といったログインURL20を生成する。ハッシュ値は、例えば、この例に示すようにURLにおけるクエリ部分として追加してもよい。これにより、ユーザの数に関わらず実際のアクセスするログイン画面の位置を特定するURLとしては、1つ用意すればよい。この例の場合には、ログイン画面の位置を特定するURLは、「http://www.example.co.jp/login.html」となり、このURLに「?q=ハッシュ値」というクエリ部分が付加されている。
【0019】
なお、ハッシュ値15をそのままログインURL20に含めるのではなく、別途ハッシュ値を暗号化する手段を設け、同手段によりハッシュ値15を暗号化した後に、暗号化されたハッシュ値15をログインURL20に含めてもよい。
【0020】
登録情報10からログインURL20を生成する1つの具体例を示す。登録情報10の内容がユーザID及びパスワードであり、ユーザIDが「user1」、パスワードが「password1」、salt値が「ty」である場合に、これらを組み合わせて、「user1password1ty」をキーとし、ハッシュ関数としてMD5を使用してハッシュ値を計算すると、ハッシュ値15は「6f2ca242c40b3589b0fdf03f04da719a」となる。ログイン画面が表示されるURLが「http://www.example.co.jp/login.html」であるとき、ハッシュ値15を用いてログインURL20を作成すると、「http://www.example.co.jp/login.html?q=6f2ca242c40b3589b0fdf03f04da719a」となる。
【0021】
URL通知手段114は、URL生成手段113において生成されたログインURL20を、クライアント200へと通知する。URL通知手段114は、クライアント200への通知方法として、電子メールで送信してもよく、クライアント200のWebブラウザ上に表示してもよく、またはその他の方法によってもよい。一例としては、登録完了の通知として、クライアント200においてユーザが指定した電子メールアドレスへと、登録内容とともに、生成したログインURL20が記載された電子メールを送信する方法により行ってもよい。また、情報処理装置100においてユーザIDおよびパスワードのいずれか一以上が生成される場合には、生成されたユーザIDおよびパスワードのいずれか一以上が、生成されたURLと同じ経路、あるいは異なる経路でユーザに通知される。例えば、ユーザIDおよびパスワードは、郵便やファクシミリなどによりユーザに通知され、生成されたURLは電子メールでユーザに通知される。
【0022】
次に、クライアント200が、URL通知手段114により通知されたログインURLを用いて情報処理装置におけるサービス利用のためのログインを行う際の認証部120の動作について説明する。
【0023】
認証要求のために、例えばクライアント200のWebブラウザにおいて、登録時に通知されたログインURL20を入力し、情報処理装置100へと送信する。例えば、Webブラウザのブックマークに、通知されたURLを格納しておき、ブックマークを読み出して、通知されたURLに対するアクセスを行なう。あるいは、通知されたURLが電子メールにより通知されている場合には、メーラの表示画面にその通知を行なうメールを表示させ、通知されたURLのクリックなどを行なう。
【0024】
ログインURL20を受信すると、認証部120のログインURL処理手段121はクライアント200にログイン画面30として使用されるウェブページを表示する。クライアント200の利用者がログイン画面30に認証情報を入力し、情報処理装置100に認証要求の送信を行なうと、認証部120は、ログインURL20に含まれるハッシュ値15を抽出してもよい。
【0025】
認証部120による、ハッシュ値15の抽出の方法としては、ログインURL処理手段121において、受信したログインURL20から抽出する方法があるが、他に、例えばログインURL20を、リファラ(referer)として認証部120が認識する方法がある。すなわち、情報処理装置100は、クライアント200においてログインURL20に対応するログイン画面30として使用されるウェブページを表示させる。例えば、クライアント200は、ログイン画面30において、認証情報、例えばユーザIDとパスワードとを入力し、認証要求40を情報処理装置100へと送信する。この送信時に、アドレス遷移元のURL、すなわちリファラとしてログイン画面30として使用されるウェブページのURLであるログインURL20とともに、認証要求40を情報処理装置100へと送信する。ログインURL20をリファラとして認識させる場合においても、ユーザは、クライアント200のWebブラウザにおいてログインURL20を入力、送信するだけでよく、入力送信したURLをリファラとして遷移後のページの処理において参照することは、Web技術における標準的なプロトコルにより実現可能であるから、クライアント200に特別なプログラムを導入することを不要とすることができる。例えばリファラの値は、CGI(Common Gateway Interface)において、環境変数HTTP_REFERERを介して参照することができる。
【0026】
ログイン画面30においてユーザにより入力され、クライアント200から送信された認証要求40は、認証要求受信手段122において受信される。認証要求受信手段122は、受信した認証要求40を認証実行手段123へと出力する。認証要求40には、ユーザが登録部110において登録した登録情報10と同様の内容、例えばユーザIDやパスワードが含まれ得るが、認証要求受信手段122は、認証要求40から、認証実行手段122において認証に用いる情報のみを抽出して認証実行手段123へと出力してもよい。ログインURL20がリファラとして認証要求40とともに送信された場合には、認証要求受信手段122が、ログインURL20についても受信してもよい。
【0027】
認証実行手段123において、受信した認証要求40に基づいて、クライアント200のログイン認証を実行し、認証の可否を判断する。
【0028】
認証実行手段123における認証の可否の判断は、以下のように行われる。まず、認証要求40のうち、ハッシュ値15の算出に用いた登録情報10に対応する情報、典型的にはユーザIDとパスワードとを用いて、ハッシュ値を算出する。このハッシュ値を、ここでは第2のハッシュ値と称する。そして、算出された第2のハッシュ値を、ログインURL20内に含まれるハッシュ値15と比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
【0029】
以上の本発明の一実施形態に係る情報処理装置により、情報処理装置側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムや電子証明書を導入するなどの煩雑な作業を不要としつつユーザ認証が行われる。
【0030】
なお、より簡略化された情報処理装置においては、計算手段112を含まず、ログインURL生成手段113において、登録情報10を平文で含んだログインURL20を生成し、かかるログインURL20を後続の手続きにおいて用いてもよい。この場合、ログインURL20から、容易に登録情報10を知ることが可能となり、セキュリティの点ではハッシュ値15を用いる場合よりも劣るが、計算手段112が不要となり、より簡易でコストがかからない認証を行うことのできる情報処理装置が提供される。また、ハッシュ値15に関する計算が行われない分、高速な認証を行うことが可能となる。
【0031】
次に、図2乃至図4を参照して、本発明の一実施形態に係る情報処理装置の登録部110における処理の流れ及びデータの流れを説明する。
【0032】
図2は、本発明の一実施形態に係る情報処理装置におけるデータの流れを説明するシーケンス図である。また、図3は、登録部110におけるデータの流れをより詳細に説明するシーケンス図である。そして、図4は、本発明の一実施形態に係る情報処理装置において、クライアント200によるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【0033】
図2乃至図4を参照すると、まず、クライアント200には登録情報を入力するための登録画面が表示される(ステップS110)。
【0034】
クライアント200に表示された登録画面において、入力した登録情報10が登録部110へと送信され、登録部110の登録情報受信手段111において当該登録情報10を受信する(s10、ステップS120)。登録情報受信手段111は、受信した登録情報10から、計算手段112へと登録情報10を出力する(s11)。
【0035】
計算手段112において、登録情報10を含むキーにより、ハッシュ関数を用いてハッシュ値15を算出する(ステップS130)。算出したハッシュ値15をURL生成手段113へと出力する(s12)。
【0036】
URL生成手段113において、ハッシュ値15を用いてログインURL20を生成し(ステップS140)、生成したログインURL20をURL通知手段114へと出力する(s13)。ただし、上述したように、ハッシュ値15を算出して出力することは必須ではなく、登録情報を平文として含むログインURLを生成して出力してもよい。
【0037】
URL通知手段114は、ログインURL20を、クライアント200へと所定の形式により通知する(s20、ステップS150)。
【0038】
次に、図2、図5A及び図6Aを参照して、本発明の一実施形態に係る情報処理装置の認証部120における処理の流れ及びデータの流れを説明する。
【0039】
なお、登録情報の入力はユーザがクライアントを用いて行なうのではなく、例えば銀行口座の申し込みや証券取引口座の申し込みなどの場合には、銀行や証券会社がユーザに代行して行ない、生成されたログインURL20を銀行や証券会社などがユーザに対して郵便や電子メールを用いて通知するようしてもよい。
【0040】
図5Aは、図2のうち認証部120におけるデータの流れをより詳細に説明するシーケンス図である。図6Aは、本発明の一実施形態に係る情報処理装置において、クライアント200によりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【0041】
図2、図5A及び図6Aを参照すると、クライアント200は、URL通知手段114より通知されたログインURL20へとアクセスを行う(s30)。ログインURL20をログインURL処理手段121が受信する(ステップS210)。
【0042】
ログインURL処理手段121は、ログインURL20からハッシュ値15を抽出し(ステップS220)、認証実行手段へと出力する(s31)。
【0043】
また、ログインURL処理手段121は、ログイン画面30をクライアント200へと送信し(s40)、クライアント200にログイン画面30が表示される(ステップS230)。
【0044】
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、ログインURL処理手段121は、図5B及び図6Bに示されるように、ログインURL20からハッシュ値15を抽出するステップS220を行わず、認証実行手段へのハッシュ値の出力(s31)も行わない。ログインURL処理手段121は、ログインURLを受信し(ステップS210)、ログイン画面30をクライアント200へと送信し(s40)、ログイン画面を表示する(ステップS230)。
【0045】
クライアント200は、表示されたログイン画面30において、登録情報10、たとえばユーザID及びパスワードを入力し、認証要求40を認証要求受信手段122へと送信する(s50)。認証要求受信手段122は、認証要求40を受信する(ステップS240)。認証要求受信手段122は、受信した認証要求040を、認証実行手段123へと出力する(s51)。
【0046】
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、クライアント200は、表示されたログイン画面30において、登録情報10を入力し、認証要求40を、リファラとともに認証要求受信手段122へと送信する(s50b)。このとき、リファラはログインURL20である。認証要求受信手段122は、認証要求40およびリファラであるログインURL20を受信する(ステップS240b)。認証要求受信手段122は、リファラとして受信したログインURL20からハッシュ値15を抽出し(ステップS220b)、受信した認証要求40とともに、認証実行手段123へと出力する(s51b)。
【0047】
認証実行手段123において、認証要求40に含まれる登録情報10からハッシュ値を算出し(ステップS250)、この算出したハッシュ値とハッシュ値15とを照合し(ステップS260)、適合するか否かにより、認証の可否を判断する(ステップS270)。適合しなかった場合には、ログイン失敗と判断し(ステップS280)、適合した場合には、ログイン成功と判断する(ステップS290)。ログイン失敗の場合には、再試行を行うなどの後続処理を行ってもよい。認証実行手段123は、認証の可否を、認証結果50として、クライアント200へと出力する(s60)。また、ログイン成功の場合には、サービスを開始する。
【0048】
以上のように、本発明の一実施形態に係る情報処理装置100によれば、サーバ側において認証情報を保持しなくても、クライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要となる認証方法が提供される。
【0049】
(実施形態2)
次に、本発明の他の実施形態に係る情報処理装置300について、図7を参照して説明する。図7は、本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【0050】
図7を参照すると、情報処理装置300においても、基本的な構成は、図1を参照して上述した情報処理装置300と同様であり、登録部110及び認証部120を有する。ただ、情報処理装置300においては、情報処理装置300は、登録部110において、登録情報10を暗号化する暗号化手段115を有し、認証部120において、ログインURL処理手段125及び認証実行手段126がログインURL処理手段121及び認証実行手段123と若干異なる処理を行い、かつ認証要求受信手段122を備えなくともよい点において異なる。
【0051】
暗号化手段115は、登録情報10の暗号化を行う。暗号化は、認証部120での後続の手続きにおいて復号可能な形式で行われればよく、共通鍵暗号方式及び公開鍵暗号方式のいずれでもよく、一般的な暗号方式を用いることができる。
【0052】
URL生成手段113は、暗号化手段115において暗号化された登録情報10を、ハッシュ値15とともにURLへと追加し、ログインURL20を生成する。
【0053】
ログインURL処理手段125は、ログインURL処理手段121と同様、クライアント200からログインURL20を受信し、ハッシュ値15を抽出し、認証実行手段126へと出力する。さらに、ログインURL処理手段125は、ログインURL20から暗号化された登録情報10を抽出し、認証実行手段126へと出力する。
【0054】
認証実行手段126において、暗号化された登録情報10から登録情報10を復号化する。復号化された登録情報10をキーとして、第2のハッシュ値を算出する。この場合のキーに対するハッシュ値15の算出にsalt値を用いた場合には、同じsalt値が用いられる。算出された第2のハッシュ値と、ハッシュ値15とを比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
【0055】
以上の本発明の他の実施形態に係る情報処理装置300により、情報処理装置300側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムを導入するなどの煩雑な作業が不要な、簡便なログイン認証が行われる。さらに、ユーザは通知されたログインURL20へとアクセスするのみで、情報処理装置300におけるユーザのログイン認証が行われ、ユーザの少ない操作によってログイン認証を行うことができる。
【0056】
本発明の他の実施形態に係る情報処理装置300における認証手段は、単独で用いた場合においても、簡易な認証手段として有用であるが、他の認証手段とも簡易に組み合わせることが可能である。このような組合せにより、他の認証手段におけるよりもセキュリティを向上することができる。他の認証手段と組み合わせた場合においても、ログイン時、ユーザがクライアント200において単にログインURL20にアクセスするだけで本実施形態における認証手段を実現できるから、ユーザにおいて追加で何らかの入力を行う必要もない。
【0057】
次に、本発明の他の実施形態に係る情報処理装置における処理の流れ及びデータの流れを説明する。
【0058】
図8は、情報処理装置300におけるデータの流れを示すシーケンス図である。また、図9は、情報処理装置300における登録部110の処理の流れを示すフローチャートであり、図10は認証部の処理の流れを示すフローチャートである。
【0059】
図8及び図9を参照すると、登録部110とクライアント200との間の処理及びデータの流れとして、情報処理装置300が登録画面をクライアント200へと表示させ(ステップS110)、クライアント200から送信された登録情報10を登録部110が受信する点(ステップS120、s10)、受信した登録情報10に基づきハッシュ値15を計算する点(ステップS130)、及びログインURL20をクライアント200へと通知する点(ステップS150、s20)は図2乃至図4を参照して説明した情報処理装置100の登録部110における処理の流れと同様である。情報処理装置300が、情報処理装置100と異なるのは、登録部110が登録情報10を暗号化し(ステップS135)、暗号化した登録情報10をハッシュ値15とともにURLへと追加してログインURL20を生成する(ステップS145)点である。
【0060】
次に、認証部120における処理の流れおよびデータの流れを説明する。図8及び図10を参照すると、ログインURL20を受信し、ログインURL20からハッシュ値15を抽出する点(s30、ステップS310、ステップS320)は同様であるが、情報処理装置300においては、ログインURL20から暗号化された登録情報を抽出し、登録情報10を復号化し(ステップS330)、復号化された登録情報10をキーとして、ハッシュ値を算出する(ステップS340)。算出されたハッシュ値と、ハッシュ値15を照合し(ステップS350)、ハッシュ値が適合するか否かを判定するステップS360以降のステップは、ステップS270〜ステップS290と同様である。ログイン失敗の場合には、別のログイン方法による認証を行ってもよい。
【0061】
以上のように、本発明の他の実施形態に係る情報処理装置300によれば、サーバ側において認証情報を保持すること無くクライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要で、ログイン時にユーザIDやパスワードの入力が不要な認証方法が提供される。
【符号の説明】
【0062】
100 情報処理装置、110 登録部、111 登録情報受信手段、112 計算手段、113 URL生成手段、114 URL通知手段、120 認証部、121 ログインURL処理手段、122 認証要求受信手段、123 認証実行手段
【技術分野】
【0001】
本発明は、認証を行う装置及び方法に関し、より詳細には、セキュリティを高めてシステムにおいてクライアントの認証を行う装置及び方法に関する。
【背景技術】
【0002】
従来、サーバとクライアントとを備えるシステムにおいて、クライアントを使用するユーザの認証を行なうには、ユーザのIDとパスワードとの組み合わせなどの認証情報をサーバに記憶しておき、クライアントから送信された認証情報と、サーバに記憶している認証情報と、を比較することが行なわれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−310630号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、ユーザの数が増えると、サーバに記憶する認証情報の数が増加することになる。このため、サーバに記憶されておる認証情報が漏洩すると、多数のユーザに対して不正アクセスなどの危機が発生することとなる。
【0005】
そこで、本発明は、ユーザにおける負担が増すことなく、かつサーバ側において登録ユーザの認証情報を保持することなく認証を行うための情報処理装置及び情報処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明の一実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0007】
また、本発明の他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記ハッシュ値を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記クライアントにログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL受信手段と、前記クライアントから送信された認証要求を受信する認証要求受信手段と、前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0008】
また、本発明のさらに他の実施形態に係る情報処理装置は、クライアントから送信された登録情報を受信する登録情報受信手段と、前記登録情報をキーとして用いてハッシュ値を算出する計算手段と、前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、前記URLを前記クライアントへと通知するURL通知手段と、前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが適合するか否かにより前記クライアントの認証の可否を判断する認証実行手段とを有することを特徴とする。
【0009】
また、本発明の一実施形態に係る情報処理方法は、クライアントから送信された登録情報を受信し、前記登録情報をキーとして用いてハッシュ値を算出し、前記ハッシュ値を含むURLを生成し、生成した前記URLを前記クライアントへと通知し、前記クライアントからの前記URLを含む認証要求を受信し、前記認証要求に含まれる前記URLから前記ハッシュ値を抽出し、前記クライアントの認証を行うことを特徴とする。
【発明の効果】
【0010】
本発明により、クライアント側において特別なプログラムを導入するなどの手続きが不要で、かつ情報処理装置、すなわちサーバ側において認証情報を保持することが不要な認証を行うことのできる情報処理装置が提供される。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【図2】本発明の一実施形態に係る情報処理システムにおけるデータの流れを説明するシーケンス図である。
【図3】登録部110におけるデータの流れをより詳細に説明するシーケンス図である。
【図4】本発明の一実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【図5A】認証部120におけるデータの流れをより詳細に説明するシーケンス図である。
【図5B】認証部120におけるデータの流れをより詳細に説明するシーケンス図である。
【図6A】本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【図6B】本発明の一実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【図7】本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【図8】本発明の他の実施形態に係る情報処理システムにおけるデータの流れを示すシーケンス図である。
【図9】本発明の他の実施形態に係る情報処理装置において、クライアントによるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【図10】本発明の他の実施形態に係る情報処理装置において、クライアントによりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【発明を実施するための形態】
【0012】
以下、本発明を実施するための形態をいくつかの実施形態として説明する。なお、本発明は、これらの実施形態に限定されることなく、種々の変形を加えて実施することが可能である。
【0013】
(実施形態1)
図1は、本発明の一実施形態に係る情報処理システムの機能ブロック図である。
【0014】
図1を参照すると、本発明の一実施形態に係る情報処理システムは、情報処理装置100とクライアント200とを備え、通信網を介して通信を行なう。情報処理装置100は、登録部110と、認証部120とを有する。情報処理装置100は、例えば1台以上のネットワークに接続可能なサーバであり、クライアント200とネットワーク接続されている。クライアント200は、利用者が操作する端末装置である。クライアント200は、パーソナルコンピュータ、PDA、携帯電話、スマートフォンなどのCPU(中央演算公知)を有する機器にプログラムがインストールされるなどして実現される。
【0015】
登録部110は、クライアント200において、情報処理装置100が提供するサービスを利用するための利用登録に用いるコンポーネントであって、登録情報受信手段111、計算手段112、URL生成手段113、URL通知手段114を有する。また、認証部120は、利用登録後、クライアント200がサービス利用のためにログインを行う際に認証を行う。認証部120は、ログインURL処理手段121、認証要求受信手段122、認証実行手段123を有する。
【0016】
登録情報受信手段111は、クライアント200より送信された登録情報10を受信する。登録情報10は、例えばサービス利用時に用いるユーザIDとパスワードである。また、ユーザIDのみクライアント200において入力させてもよく、ユーザIDに対応するパスワードを情報処理装置100において生成してもよい。また、クライアント200には、利用者の氏名、住所などの利用者を特定する情報を登録情報として入力し、クライアント200に入力された情報に対応するユーザIDとパスワードとを情報処理装置100において生成してもよい。生成された結果は、登録情報10に対する返信としてのウェブページに記載されてもよいし、登録情報10に含まれる電子メールアドレスや住所に返送されるようになっていてもよい。
【0017】
計算手段112は、ハッシュ関数を用い、登録情報10のハッシュ値15を算出する。算出に用いられるハッシュ関数は例えばMD5やSHA−1、SHA−256などであり、その他のハッシュ関数を用いてもよい。また、登録情報10に、salt値を加えたもののハッシュ値15を算出してもよく、これにより、ハッシュ値15の逆算を、salt値を用いない場合よりも困難とし、登録情報10がハッシュ値15から第三者により逆算されて漏洩することを困難とし、漏洩を防止することができる。
【0018】
URL生成手段113は、計算手段112において算出されたハッシュ値15を含むログインURL20を生成する。具体的には、例えば、「http://www.example.co.jp/login.html」といったURLに、ハッシュ値15を追加し、「http://www.example.co.jp/login.html?q=ハッシュ値」といったログインURL20を生成する。ハッシュ値は、例えば、この例に示すようにURLにおけるクエリ部分として追加してもよい。これにより、ユーザの数に関わらず実際のアクセスするログイン画面の位置を特定するURLとしては、1つ用意すればよい。この例の場合には、ログイン画面の位置を特定するURLは、「http://www.example.co.jp/login.html」となり、このURLに「?q=ハッシュ値」というクエリ部分が付加されている。
【0019】
なお、ハッシュ値15をそのままログインURL20に含めるのではなく、別途ハッシュ値を暗号化する手段を設け、同手段によりハッシュ値15を暗号化した後に、暗号化されたハッシュ値15をログインURL20に含めてもよい。
【0020】
登録情報10からログインURL20を生成する1つの具体例を示す。登録情報10の内容がユーザID及びパスワードであり、ユーザIDが「user1」、パスワードが「password1」、salt値が「ty」である場合に、これらを組み合わせて、「user1password1ty」をキーとし、ハッシュ関数としてMD5を使用してハッシュ値を計算すると、ハッシュ値15は「6f2ca242c40b3589b0fdf03f04da719a」となる。ログイン画面が表示されるURLが「http://www.example.co.jp/login.html」であるとき、ハッシュ値15を用いてログインURL20を作成すると、「http://www.example.co.jp/login.html?q=6f2ca242c40b3589b0fdf03f04da719a」となる。
【0021】
URL通知手段114は、URL生成手段113において生成されたログインURL20を、クライアント200へと通知する。URL通知手段114は、クライアント200への通知方法として、電子メールで送信してもよく、クライアント200のWebブラウザ上に表示してもよく、またはその他の方法によってもよい。一例としては、登録完了の通知として、クライアント200においてユーザが指定した電子メールアドレスへと、登録内容とともに、生成したログインURL20が記載された電子メールを送信する方法により行ってもよい。また、情報処理装置100においてユーザIDおよびパスワードのいずれか一以上が生成される場合には、生成されたユーザIDおよびパスワードのいずれか一以上が、生成されたURLと同じ経路、あるいは異なる経路でユーザに通知される。例えば、ユーザIDおよびパスワードは、郵便やファクシミリなどによりユーザに通知され、生成されたURLは電子メールでユーザに通知される。
【0022】
次に、クライアント200が、URL通知手段114により通知されたログインURLを用いて情報処理装置におけるサービス利用のためのログインを行う際の認証部120の動作について説明する。
【0023】
認証要求のために、例えばクライアント200のWebブラウザにおいて、登録時に通知されたログインURL20を入力し、情報処理装置100へと送信する。例えば、Webブラウザのブックマークに、通知されたURLを格納しておき、ブックマークを読み出して、通知されたURLに対するアクセスを行なう。あるいは、通知されたURLが電子メールにより通知されている場合には、メーラの表示画面にその通知を行なうメールを表示させ、通知されたURLのクリックなどを行なう。
【0024】
ログインURL20を受信すると、認証部120のログインURL処理手段121はクライアント200にログイン画面30として使用されるウェブページを表示する。クライアント200の利用者がログイン画面30に認証情報を入力し、情報処理装置100に認証要求の送信を行なうと、認証部120は、ログインURL20に含まれるハッシュ値15を抽出してもよい。
【0025】
認証部120による、ハッシュ値15の抽出の方法としては、ログインURL処理手段121において、受信したログインURL20から抽出する方法があるが、他に、例えばログインURL20を、リファラ(referer)として認証部120が認識する方法がある。すなわち、情報処理装置100は、クライアント200においてログインURL20に対応するログイン画面30として使用されるウェブページを表示させる。例えば、クライアント200は、ログイン画面30において、認証情報、例えばユーザIDとパスワードとを入力し、認証要求40を情報処理装置100へと送信する。この送信時に、アドレス遷移元のURL、すなわちリファラとしてログイン画面30として使用されるウェブページのURLであるログインURL20とともに、認証要求40を情報処理装置100へと送信する。ログインURL20をリファラとして認識させる場合においても、ユーザは、クライアント200のWebブラウザにおいてログインURL20を入力、送信するだけでよく、入力送信したURLをリファラとして遷移後のページの処理において参照することは、Web技術における標準的なプロトコルにより実現可能であるから、クライアント200に特別なプログラムを導入することを不要とすることができる。例えばリファラの値は、CGI(Common Gateway Interface)において、環境変数HTTP_REFERERを介して参照することができる。
【0026】
ログイン画面30においてユーザにより入力され、クライアント200から送信された認証要求40は、認証要求受信手段122において受信される。認証要求受信手段122は、受信した認証要求40を認証実行手段123へと出力する。認証要求40には、ユーザが登録部110において登録した登録情報10と同様の内容、例えばユーザIDやパスワードが含まれ得るが、認証要求受信手段122は、認証要求40から、認証実行手段122において認証に用いる情報のみを抽出して認証実行手段123へと出力してもよい。ログインURL20がリファラとして認証要求40とともに送信された場合には、認証要求受信手段122が、ログインURL20についても受信してもよい。
【0027】
認証実行手段123において、受信した認証要求40に基づいて、クライアント200のログイン認証を実行し、認証の可否を判断する。
【0028】
認証実行手段123における認証の可否の判断は、以下のように行われる。まず、認証要求40のうち、ハッシュ値15の算出に用いた登録情報10に対応する情報、典型的にはユーザIDとパスワードとを用いて、ハッシュ値を算出する。このハッシュ値を、ここでは第2のハッシュ値と称する。そして、算出された第2のハッシュ値を、ログインURL20内に含まれるハッシュ値15と比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
【0029】
以上の本発明の一実施形態に係る情報処理装置により、情報処理装置側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムや電子証明書を導入するなどの煩雑な作業を不要としつつユーザ認証が行われる。
【0030】
なお、より簡略化された情報処理装置においては、計算手段112を含まず、ログインURL生成手段113において、登録情報10を平文で含んだログインURL20を生成し、かかるログインURL20を後続の手続きにおいて用いてもよい。この場合、ログインURL20から、容易に登録情報10を知ることが可能となり、セキュリティの点ではハッシュ値15を用いる場合よりも劣るが、計算手段112が不要となり、より簡易でコストがかからない認証を行うことのできる情報処理装置が提供される。また、ハッシュ値15に関する計算が行われない分、高速な認証を行うことが可能となる。
【0031】
次に、図2乃至図4を参照して、本発明の一実施形態に係る情報処理装置の登録部110における処理の流れ及びデータの流れを説明する。
【0032】
図2は、本発明の一実施形態に係る情報処理装置におけるデータの流れを説明するシーケンス図である。また、図3は、登録部110におけるデータの流れをより詳細に説明するシーケンス図である。そして、図4は、本発明の一実施形態に係る情報処理装置において、クライアント200によるサービス利用のための利用登録の流れを説明するためのフローチャートである。
【0033】
図2乃至図4を参照すると、まず、クライアント200には登録情報を入力するための登録画面が表示される(ステップS110)。
【0034】
クライアント200に表示された登録画面において、入力した登録情報10が登録部110へと送信され、登録部110の登録情報受信手段111において当該登録情報10を受信する(s10、ステップS120)。登録情報受信手段111は、受信した登録情報10から、計算手段112へと登録情報10を出力する(s11)。
【0035】
計算手段112において、登録情報10を含むキーにより、ハッシュ関数を用いてハッシュ値15を算出する(ステップS130)。算出したハッシュ値15をURL生成手段113へと出力する(s12)。
【0036】
URL生成手段113において、ハッシュ値15を用いてログインURL20を生成し(ステップS140)、生成したログインURL20をURL通知手段114へと出力する(s13)。ただし、上述したように、ハッシュ値15を算出して出力することは必須ではなく、登録情報を平文として含むログインURLを生成して出力してもよい。
【0037】
URL通知手段114は、ログインURL20を、クライアント200へと所定の形式により通知する(s20、ステップS150)。
【0038】
次に、図2、図5A及び図6Aを参照して、本発明の一実施形態に係る情報処理装置の認証部120における処理の流れ及びデータの流れを説明する。
【0039】
なお、登録情報の入力はユーザがクライアントを用いて行なうのではなく、例えば銀行口座の申し込みや証券取引口座の申し込みなどの場合には、銀行や証券会社がユーザに代行して行ない、生成されたログインURL20を銀行や証券会社などがユーザに対して郵便や電子メールを用いて通知するようしてもよい。
【0040】
図5Aは、図2のうち認証部120におけるデータの流れをより詳細に説明するシーケンス図である。図6Aは、本発明の一実施形態に係る情報処理装置において、クライアント200によりサービス利用のために情報処理装置にログインを行う流れを説明するためのフローチャートである。
【0041】
図2、図5A及び図6Aを参照すると、クライアント200は、URL通知手段114より通知されたログインURL20へとアクセスを行う(s30)。ログインURL20をログインURL処理手段121が受信する(ステップS210)。
【0042】
ログインURL処理手段121は、ログインURL20からハッシュ値15を抽出し(ステップS220)、認証実行手段へと出力する(s31)。
【0043】
また、ログインURL処理手段121は、ログイン画面30をクライアント200へと送信し(s40)、クライアント200にログイン画面30が表示される(ステップS230)。
【0044】
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、ログインURL処理手段121は、図5B及び図6Bに示されるように、ログインURL20からハッシュ値15を抽出するステップS220を行わず、認証実行手段へのハッシュ値の出力(s31)も行わない。ログインURL処理手段121は、ログインURLを受信し(ステップS210)、ログイン画面30をクライアント200へと送信し(s40)、ログイン画面を表示する(ステップS230)。
【0045】
クライアント200は、表示されたログイン画面30において、登録情報10、たとえばユーザID及びパスワードを入力し、認証要求40を認証要求受信手段122へと送信する(s50)。認証要求受信手段122は、認証要求40を受信する(ステップS240)。認証要求受信手段122は、受信した認証要求040を、認証実行手段123へと出力する(s51)。
【0046】
これと異なり、ログインURL20をリファラとして認識部120において認識させる場合には、クライアント200は、表示されたログイン画面30において、登録情報10を入力し、認証要求40を、リファラとともに認証要求受信手段122へと送信する(s50b)。このとき、リファラはログインURL20である。認証要求受信手段122は、認証要求40およびリファラであるログインURL20を受信する(ステップS240b)。認証要求受信手段122は、リファラとして受信したログインURL20からハッシュ値15を抽出し(ステップS220b)、受信した認証要求40とともに、認証実行手段123へと出力する(s51b)。
【0047】
認証実行手段123において、認証要求40に含まれる登録情報10からハッシュ値を算出し(ステップS250)、この算出したハッシュ値とハッシュ値15とを照合し(ステップS260)、適合するか否かにより、認証の可否を判断する(ステップS270)。適合しなかった場合には、ログイン失敗と判断し(ステップS280)、適合した場合には、ログイン成功と判断する(ステップS290)。ログイン失敗の場合には、再試行を行うなどの後続処理を行ってもよい。認証実行手段123は、認証の可否を、認証結果50として、クライアント200へと出力する(s60)。また、ログイン成功の場合には、サービスを開始する。
【0048】
以上のように、本発明の一実施形態に係る情報処理装置100によれば、サーバ側において認証情報を保持しなくても、クライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要となる認証方法が提供される。
【0049】
(実施形態2)
次に、本発明の他の実施形態に係る情報処理装置300について、図7を参照して説明する。図7は、本発明の他の実施形態に係る情報処理装置を含む情報処理システムの構成を示す機能ブロック図である。
【0050】
図7を参照すると、情報処理装置300においても、基本的な構成は、図1を参照して上述した情報処理装置300と同様であり、登録部110及び認証部120を有する。ただ、情報処理装置300においては、情報処理装置300は、登録部110において、登録情報10を暗号化する暗号化手段115を有し、認証部120において、ログインURL処理手段125及び認証実行手段126がログインURL処理手段121及び認証実行手段123と若干異なる処理を行い、かつ認証要求受信手段122を備えなくともよい点において異なる。
【0051】
暗号化手段115は、登録情報10の暗号化を行う。暗号化は、認証部120での後続の手続きにおいて復号可能な形式で行われればよく、共通鍵暗号方式及び公開鍵暗号方式のいずれでもよく、一般的な暗号方式を用いることができる。
【0052】
URL生成手段113は、暗号化手段115において暗号化された登録情報10を、ハッシュ値15とともにURLへと追加し、ログインURL20を生成する。
【0053】
ログインURL処理手段125は、ログインURL処理手段121と同様、クライアント200からログインURL20を受信し、ハッシュ値15を抽出し、認証実行手段126へと出力する。さらに、ログインURL処理手段125は、ログインURL20から暗号化された登録情報10を抽出し、認証実行手段126へと出力する。
【0054】
認証実行手段126において、暗号化された登録情報10から登録情報10を復号化する。復号化された登録情報10をキーとして、第2のハッシュ値を算出する。この場合のキーに対するハッシュ値15の算出にsalt値を用いた場合には、同じsalt値が用いられる。算出された第2のハッシュ値と、ハッシュ値15とを比較する。比較の結果、ハッシュ値が適合(例えば一致)すれば、ログインが成功したものとして、クライアント200へのサービス提供を開始する。一方、ハッシュ値が適合しなければ、ログイン失敗として、ログイン失敗をクライアント200に通知する。ログイン失敗の場合、ユーザID及びパスワードの再入力を求めたり、別の認証方法へと移行したりしてもよい。
【0055】
以上の本発明の他の実施形態に係る情報処理装置300により、情報処理装置300側においてユーザの認証に必要な情報を保持することなく、ユーザ認証を行うことができる。また、ユーザにおいて、特別なプログラムを導入するなどの煩雑な作業が不要な、簡便なログイン認証が行われる。さらに、ユーザは通知されたログインURL20へとアクセスするのみで、情報処理装置300におけるユーザのログイン認証が行われ、ユーザの少ない操作によってログイン認証を行うことができる。
【0056】
本発明の他の実施形態に係る情報処理装置300における認証手段は、単独で用いた場合においても、簡易な認証手段として有用であるが、他の認証手段とも簡易に組み合わせることが可能である。このような組合せにより、他の認証手段におけるよりもセキュリティを向上することができる。他の認証手段と組み合わせた場合においても、ログイン時、ユーザがクライアント200において単にログインURL20にアクセスするだけで本実施形態における認証手段を実現できるから、ユーザにおいて追加で何らかの入力を行う必要もない。
【0057】
次に、本発明の他の実施形態に係る情報処理装置における処理の流れ及びデータの流れを説明する。
【0058】
図8は、情報処理装置300におけるデータの流れを示すシーケンス図である。また、図9は、情報処理装置300における登録部110の処理の流れを示すフローチャートであり、図10は認証部の処理の流れを示すフローチャートである。
【0059】
図8及び図9を参照すると、登録部110とクライアント200との間の処理及びデータの流れとして、情報処理装置300が登録画面をクライアント200へと表示させ(ステップS110)、クライアント200から送信された登録情報10を登録部110が受信する点(ステップS120、s10)、受信した登録情報10に基づきハッシュ値15を計算する点(ステップS130)、及びログインURL20をクライアント200へと通知する点(ステップS150、s20)は図2乃至図4を参照して説明した情報処理装置100の登録部110における処理の流れと同様である。情報処理装置300が、情報処理装置100と異なるのは、登録部110が登録情報10を暗号化し(ステップS135)、暗号化した登録情報10をハッシュ値15とともにURLへと追加してログインURL20を生成する(ステップS145)点である。
【0060】
次に、認証部120における処理の流れおよびデータの流れを説明する。図8及び図10を参照すると、ログインURL20を受信し、ログインURL20からハッシュ値15を抽出する点(s30、ステップS310、ステップS320)は同様であるが、情報処理装置300においては、ログインURL20から暗号化された登録情報を抽出し、登録情報10を復号化し(ステップS330)、復号化された登録情報10をキーとして、ハッシュ値を算出する(ステップS340)。算出されたハッシュ値と、ハッシュ値15を照合し(ステップS350)、ハッシュ値が適合するか否かを判定するステップS360以降のステップは、ステップS270〜ステップS290と同様である。ログイン失敗の場合には、別のログイン方法による認証を行ってもよい。
【0061】
以上のように、本発明の他の実施形態に係る情報処理装置300によれば、サーバ側において認証情報を保持すること無くクライアントの認証を行うことができ、かつクライアント側において特別なプログラムなどの導入が不要で、ログイン時にユーザIDやパスワードの入力が不要な認証方法が提供される。
【符号の説明】
【0062】
100 情報処理装置、110 登録部、111 登録情報受信手段、112 計算手段、113 URL生成手段、114 URL通知手段、120 認証部、121 ログインURL処理手段、122 認証要求受信手段、123 認証実行手段
【特許請求の範囲】
【請求項1】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、
前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、
前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項2】
前記URL生成手段は、前記登録情報を除く部分を共通させてURLを生成することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記URL生成手段が生成するURLのうち前記登録情報を除く部分が前記ログイン画面に対応することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報のハッシュ値を算出する計算手段と、
前記ハッシュ値を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL処理手段と、
前記クライアントから送信された認証要求を受信する認証要求受信手段と、
前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項5】
前記認証要求受信手段において、前記URLは、リファラとして受信されることを特徴とする請求項1から4のいずれかに記載の情報処理装置。
【請求項6】
前記URL生成手段は、前記ハッシュ値を除く部分を共通させてURLを生成することを特徴とする請求項4または5に記載の情報処理装置。
【請求項7】
前記URL生成手段が生成するURLのうち前記ハッシュ値を除く部分が前記ログイン画面に対応することを特徴とする請求項6に記載の情報処理装置。
【請求項8】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報をキーのハッシュ値を算出する計算手段と、
前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、
前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、
前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項9】
前記URL情報通知手段は、電子メールにより前記URLをクライアントへと通知することを特徴とする請求項1から8のいずれかに記載の情報処理装置。
【請求項10】
クライアントから送信された登録情報を受信し、
前記登録情報をキーとして用いてハッシュ値を算出し、
前記ハッシュ値を含むURLを生成し、
生成した前記URLを前記クライアントへと通知し、
前記クライアントからの前記URLを受信し、
前記クライアントにログイン画面を表示し、
前記ハッシュ値を前記URLから抽出し、
前記クライアントから認証要求を受信し、
前記認証要求から第2のハッシュ値を算出し、
前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する
ことを特徴とする情報処理方法。
【請求項1】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記登録情報を前記URLから抽出するログインURL処理手段と、
前記クライアントから送信された第2の登録情報を含む認証要求を受信する認証要求受信手段と、
前記登録情報と前記第2の登録情報とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項2】
前記URL生成手段は、前記登録情報を除く部分を共通させてURLを生成することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記URL生成手段が生成するURLのうち前記登録情報を除く部分が前記ログイン画面に対応することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報のハッシュ値を算出する計算手段と、
前記ハッシュ値を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記クライアントに前記URLに対応するログイン画面を表示させるとともに前記ハッシュ値を前記URLから抽出するログインURL処理手段と、
前記クライアントから送信された認証要求を受信する認証要求受信手段と、
前記認証要求をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項5】
前記認証要求受信手段において、前記URLは、リファラとして受信されることを特徴とする請求項1から4のいずれかに記載の情報処理装置。
【請求項6】
前記URL生成手段は、前記ハッシュ値を除く部分を共通させてURLを生成することを特徴とする請求項4または5に記載の情報処理装置。
【請求項7】
前記URL生成手段が生成するURLのうち前記ハッシュ値を除く部分が前記ログイン画面に対応することを特徴とする請求項6に記載の情報処理装置。
【請求項8】
クライアントから送信された登録情報を受信する登録情報受信手段と、
前記登録情報をキーのハッシュ値を算出する計算手段と、
前記登録情報を暗号化して暗号化登録情報を生成する暗号化手段と、
前記ハッシュ値及び前記暗号化登録情報を含むURLを生成するURL生成手段と、
前記URLを前記クライアントへと通知するURL通知手段と、
前記クライアントから前記URLを受信し、前記ハッシュ値を前記URLから抽出するとともに前記URLから前記暗号化登録情報を抽出するログインURL処理手段と、
前記暗号化登録情報を前記登録情報へと復号化し、復号化した前記登録情報をキーとして第2のハッシュ値を算出し、前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する認証実行手段と
を有することを特徴とする情報処理装置。
【請求項9】
前記URL情報通知手段は、電子メールにより前記URLをクライアントへと通知することを特徴とする請求項1から8のいずれかに記載の情報処理装置。
【請求項10】
クライアントから送信された登録情報を受信し、
前記登録情報をキーとして用いてハッシュ値を算出し、
前記ハッシュ値を含むURLを生成し、
生成した前記URLを前記クライアントへと通知し、
前記クライアントからの前記URLを受信し、
前記クライアントにログイン画面を表示し、
前記ハッシュ値を前記URLから抽出し、
前記クライアントから認証要求を受信し、
前記認証要求から第2のハッシュ値を算出し、
前記ハッシュ値と前記第2のハッシュ値とが一致するか否かにより前記クライアントの認証の可否を判断する
ことを特徴とする情報処理方法。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−247992(P2012−247992A)
【公開日】平成24年12月13日(2012.12.13)
【国際特許分類】
【出願番号】特願2011−119124(P2011−119124)
【出願日】平成23年5月27日(2011.5.27)
【出願人】(598049322)株式会社三菱東京UFJ銀行 (200)
【Fターム(参考)】
【公開日】平成24年12月13日(2012.12.13)
【国際特許分類】
【出願日】平成23年5月27日(2011.5.27)
【出願人】(598049322)株式会社三菱東京UFJ銀行 (200)
【Fターム(参考)】
[ Back to top ]