携帯識別暗号化方式及びクッキーとURL埋め込みの自動切換え方式を使ったログイン方式。
【課題】 携帯電話で、IDとパスワードでログインする際に、クッキーを使うとクッキーが使えない機種が存在する現状ではそれを切り捨てなければならない。しかし、URL埋め込みの方式を用いるならセキュリティー上の問題があるので、できるだけクッキーを使うことが望まれる。クッキーが使える携帯機種が増えてきたので、この問題を解決したい。
【解決手段】 クッキーが使えるか否かをプログラムでテストするのは簡単にできる。また、URL埋め込みの方式でも「携帯識別暗号化方式」を用いてある程度セキュリティーを強化することができる。しかし、基本的にはクッキーを使うのが最善なので、クッキーが使える場合にはクッキーを使い、クッキーが使えない場合にはURL埋め込みの方式を使うように、自動で切り替える方式を組み合わせることによりセキュリティーを一層強化できる。
【解決手段】 クッキーが使えるか否かをプログラムでテストするのは簡単にできる。また、URL埋め込みの方式でも「携帯識別暗号化方式」を用いてある程度セキュリティーを強化することができる。しかし、基本的にはクッキーを使うのが最善なので、クッキーが使える場合にはクッキーを使い、クッキーが使えない場合にはURL埋め込みの方式を使うように、自動で切り替える方式を組み合わせることによりセキュリティーを一層強化できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯電話でログイン状態を維持するためのログイン方式の技術に関する。
【背景技術】
【0002】
これまで、携帯電話ではクッキーが使えない機種が多く、ログイン状態を維持するために、IDとパスワードをURL埋め込み方式(POSTとGETとで引き渡す方式)で受け渡していた。しかし、クッキーが使える機種が増えてきた現状では、クッキーを使うのが最善である。
セッション管理の技術でクッキーとURL埋め込み方式を自動で切り替える方法があるが、ここではセッション管理を使わないで、携帯電話に特化したパスワードの暗号化方式を使ったログイン方式を実現したい。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】 「岩本隆史の日記帳」 http://d.hatena.ne.jp/Iwamoto Takashi/20091002/p1
【発明の概要】
【発明が解決しようとする課題】
【0004】
携帯電話で、ログインする際にクッキーを使うと、クッキーが使えない機種が存在する現状ではそれを切り捨てなければならない。しかし、URL埋め込みの方式を用いるならセキュリティー上の問題があるので、その点も考慮しつつ、できるだけクッキーを使うことが望まれる。クッキーが使える携帯機種が増えてきたので、この問題を解決したい。
【課題を解決するための手段】
【0005】
まず、パスワードを携帯固有の情報を使って暗号化する。下記のようにして暗号化Cを生成することをパスワードの「携帯識別暗号化方式」と呼ぶことにする。
会員パスワードを暗号化(ハッシュ化)したものを暗号化A(SHA1では40桁)とする。
下記の情報(1)(2)(3)を合わせて暗号化(ハッシュ化)したものを暗号化B(SHA1では40桁)とする。
(1)携帯電話のUserAgent
(2)携帯電話の識別番号(固体識別番号、サブスクライバID、ユーザーID、シリアル番号など、簡単に取得可能なものはすべて取得する)
(3)ログインした時の時間的な情報(その時刻、その日、その週、その月のいずれか1つを示す情報)
暗号化Aと暗号化Bを適当な規則により組み合わせて、パスワードの暗号化C(SHA1では80桁)を生成する。
また、IDと暗号化されたパスワードの引渡しは次のようにして行なう。クッキーが使えるか否かはプログラムで実際にクッキーの書き込みと読み込みを行なってテストする。クッキーが使える場合にはIDとパスワード(暗号化A)の引渡しにクッキーを使い、クッキーが使えない場合にはURL埋め込み方式でIDとパスワード(暗号化C)を引渡す。これを自動で切り替えて行なう。
【発明の効果】
【0006】
本発明は次のような効果を奏する。
携帯電話でクッキーが使える機種が増加してきている現状で、クッキーをできるだけ利用しつつ、まだクッキーが使えない機種にも対応させることができる。こうすることにより、ほとんどすべての携帯やiPhoneなどにも対応するログイン状態の維持が可能となる。
URL埋め込みの場合でもサイトに外部サイトへのリンクを貼らない限リファラースパムの危険性はない(脆弱性はない)。しかし、最新のドコモのiモードプラウザー2.0はリファラーを送信するので、クッキーを使うならさらにセキュリティーが強化される。
もちろん、仮にパスワードが盗まれても、携帯識別暗号化方式により暗号化されているので他の携帯から悪用される可能性はきわめて低い。UserAgentの種類だけでも相当の数に及ぶからである。加えて、時間的な情報によりパスワードの有効期限(次の週までなど)も設定できる。
さらに、クッキーが使える携帯機種でクッキーがオフの設定になっている場合でもログインできるというメリットもある。
本発明には、携帯電話に固有の暗号化方式「携帯識別暗号化方式」と、クッキーとURL埋め込みの自動切換え方式とを組み合わせることにより、セキュリティーを一層強化できるという効果がある。そして、何よりも、クッキーが使える時には簡単にログインできるという最大のメリットがある。
【発明を実施するための形態】
【0007】
perl言語などでプログラミングするが、クッキーが使えるか否かを判別してURLを出力する。会員IDとパスワードでログインする場合の例を下記に示す。
(1)クッキーが使える場合
IDとパスワード(暗号化A)をクッキーで受け渡す。URLは下記のようになる。
http://*********.cgi?id=guest&pass=secret
ここで、「guest」、「secret」はURL埋め込みではなくクッキーで受け渡していることを表す。もちろん、「id=guest&pass=secret」は表示しなくても良い。
(2)クッキーが使えない場合
IDとパスワード(暗号化C)をURL埋め込みで受け渡す。URLは下記のようになる。
http://*********.cgi?id=(会員ID)&pass=(ハッシュ値−SHA1では80桁)
【技術分野】
【0001】
本発明は、携帯電話でログイン状態を維持するためのログイン方式の技術に関する。
【背景技術】
【0002】
これまで、携帯電話ではクッキーが使えない機種が多く、ログイン状態を維持するために、IDとパスワードをURL埋め込み方式(POSTとGETとで引き渡す方式)で受け渡していた。しかし、クッキーが使える機種が増えてきた現状では、クッキーを使うのが最善である。
セッション管理の技術でクッキーとURL埋め込み方式を自動で切り替える方法があるが、ここではセッション管理を使わないで、携帯電話に特化したパスワードの暗号化方式を使ったログイン方式を実現したい。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】 「岩本隆史の日記帳」 http://d.hatena.ne.jp/Iwamoto Takashi/20091002/p1
【発明の概要】
【発明が解決しようとする課題】
【0004】
携帯電話で、ログインする際にクッキーを使うと、クッキーが使えない機種が存在する現状ではそれを切り捨てなければならない。しかし、URL埋め込みの方式を用いるならセキュリティー上の問題があるので、その点も考慮しつつ、できるだけクッキーを使うことが望まれる。クッキーが使える携帯機種が増えてきたので、この問題を解決したい。
【課題を解決するための手段】
【0005】
まず、パスワードを携帯固有の情報を使って暗号化する。下記のようにして暗号化Cを生成することをパスワードの「携帯識別暗号化方式」と呼ぶことにする。
会員パスワードを暗号化(ハッシュ化)したものを暗号化A(SHA1では40桁)とする。
下記の情報(1)(2)(3)を合わせて暗号化(ハッシュ化)したものを暗号化B(SHA1では40桁)とする。
(1)携帯電話のUserAgent
(2)携帯電話の識別番号(固体識別番号、サブスクライバID、ユーザーID、シリアル番号など、簡単に取得可能なものはすべて取得する)
(3)ログインした時の時間的な情報(その時刻、その日、その週、その月のいずれか1つを示す情報)
暗号化Aと暗号化Bを適当な規則により組み合わせて、パスワードの暗号化C(SHA1では80桁)を生成する。
また、IDと暗号化されたパスワードの引渡しは次のようにして行なう。クッキーが使えるか否かはプログラムで実際にクッキーの書き込みと読み込みを行なってテストする。クッキーが使える場合にはIDとパスワード(暗号化A)の引渡しにクッキーを使い、クッキーが使えない場合にはURL埋め込み方式でIDとパスワード(暗号化C)を引渡す。これを自動で切り替えて行なう。
【発明の効果】
【0006】
本発明は次のような効果を奏する。
携帯電話でクッキーが使える機種が増加してきている現状で、クッキーをできるだけ利用しつつ、まだクッキーが使えない機種にも対応させることができる。こうすることにより、ほとんどすべての携帯やiPhoneなどにも対応するログイン状態の維持が可能となる。
URL埋め込みの場合でもサイトに外部サイトへのリンクを貼らない限リファラースパムの危険性はない(脆弱性はない)。しかし、最新のドコモのiモードプラウザー2.0はリファラーを送信するので、クッキーを使うならさらにセキュリティーが強化される。
もちろん、仮にパスワードが盗まれても、携帯識別暗号化方式により暗号化されているので他の携帯から悪用される可能性はきわめて低い。UserAgentの種類だけでも相当の数に及ぶからである。加えて、時間的な情報によりパスワードの有効期限(次の週までなど)も設定できる。
さらに、クッキーが使える携帯機種でクッキーがオフの設定になっている場合でもログインできるというメリットもある。
本発明には、携帯電話に固有の暗号化方式「携帯識別暗号化方式」と、クッキーとURL埋め込みの自動切換え方式とを組み合わせることにより、セキュリティーを一層強化できるという効果がある。そして、何よりも、クッキーが使える時には簡単にログインできるという最大のメリットがある。
【発明を実施するための形態】
【0007】
perl言語などでプログラミングするが、クッキーが使えるか否かを判別してURLを出力する。会員IDとパスワードでログインする場合の例を下記に示す。
(1)クッキーが使える場合
IDとパスワード(暗号化A)をクッキーで受け渡す。URLは下記のようになる。
http://*********.cgi?id=guest&pass=secret
ここで、「guest」、「secret」はURL埋め込みではなくクッキーで受け渡していることを表す。もちろん、「id=guest&pass=secret」は表示しなくても良い。
(2)クッキーが使えない場合
IDとパスワード(暗号化C)をURL埋め込みで受け渡す。URLは下記のようになる。
http://*********.cgi?id=(会員ID)&pass=(ハッシュ値−SHA1では80桁)
【特許請求の範囲】
【請求項1】
携帯電話でログイン状態を維持する際に、パスワードを「携帯識別暗号化方式」を使って暗号化し、かつ、IDとパスワードの引渡しをクッキーとURL埋め込み方式とを自動で切り替えて行なう方式。
【請求項1】
携帯電話でログイン状態を維持する際に、パスワードを「携帯識別暗号化方式」を使って暗号化し、かつ、IDとパスワードの引渡しをクッキーとURL埋め込み方式とを自動で切り替えて行なう方式。
【公開番号】特開2012−48693(P2012−48693A)
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願番号】特願2010−202437(P2010−202437)
【出願日】平成22年8月24日(2010.8.24)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 平成22年6月17日、7月26日 インターネットアドレス「http://wb−i.net/」「http://mag.wb−i.net/2010_07_26.html」「http://mag.wb−i.net/2010_06_17.html」「http://wb−i.net/security.html」「http://www.value−press.com/pressrelease.php?article_id=61758」に発表
【新規性喪失の例外の表示】特許法第30条第3項適用申請有り
【出願人】(510244064)
【Fターム(参考)】
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願日】平成22年8月24日(2010.8.24)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 平成22年6月17日、7月26日 インターネットアドレス「http://wb−i.net/」「http://mag.wb−i.net/2010_07_26.html」「http://mag.wb−i.net/2010_06_17.html」「http://wb−i.net/security.html」「http://www.value−press.com/pressrelease.php?article_id=61758」に発表
【新規性喪失の例外の表示】特許法第30条第3項適用申請有り
【出願人】(510244064)
【Fターム(参考)】
[ Back to top ]