JP2006128873A - Url authentication system and url authentication method - Google Patents

Url authentication system and url authentication method Download PDF

Info

Publication number
JP2006128873A
JP2006128873A JP2004312084A JP2004312084A JP2006128873A JP 2006128873 A JP2006128873 A JP 2006128873A JP 2004312084 A JP2004312084 A JP 2004312084A JP 2004312084 A JP2004312084 A JP 2004312084A JP 2006128873 A JP2006128873 A JP 2006128873A
Authority
JP
Japan
Prior art keywords
server
url
client
time url
authentication code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004312084A
Other languages
Japanese (ja)
Inventor
Takahiro Aoyama
恭弘 青山
Tsutomu Kito
勉 鬼頭
Tomoharu Kaneko
友晴 金子
Tomohiro Iwama
智大 岩間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004312084A priority Critical patent/JP2006128873A/en
Priority to PCT/JP2005/019580 priority patent/WO2006046548A1/en
Publication of JP2006128873A publication Critical patent/JP2006128873A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a URL authentication system and a URL authentication method with which unauthorized access with forgery or alteration of an OTU can be prevented, even in the case of physical difference between an issuer and a receiver of the OTU. <P>SOLUTION: A service providing server 103 informs an intermediary server 101 of a connection method, and the intermediary server 101 informs the service providing server 103 of a common key Kc. When a client 102 informs the intermediary server 101 of a request for connection to the service providing server 103, the intermediary server 101 uses the common key Kc to generate an authentication code and issues an OTU to which the generated authentication code is added to a URL. The client 102 traces the OTU to connect to the service providing server 103, and the service providing server 103 confirms validity of the OTU presented from the client 102 by the common key Kc and provides a service to the client 102 in response to confirmation of the validity of the OTU. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、URL認証システム及びURL認証方法に関し、特に、One Time URLの認証を行うURL認証システム及びURL認証方法に関する。   The present invention relates to a URL authentication system and a URL authentication method, and more particularly to a URL authentication system and a URL authentication method for authenticating a One Time URL.

一般に、One Time URL(以下、「OTU」と省略する)は、ユーザが公衆ネットワーク上の特定コンテンツにアクセスしようとする度に異なるURLを発行してコンテンツを視聴させる仕組であり、一旦URLが使用された場合、あるいは一定時間が経過した場合は発行済みURLが無効となる。また、有料コンテンツなど利用者を限定するコンテンツを提供する場合、既に行っている認証システムと連動させて不正アクセスの防止を補完する(例えば、特許文献1参照)。例えば、コンサートライブストリーミングに事前に申し込みをしておくと、開演直前にユーザ毎に異なるURLを発行する。このようなOTUの特徴により、特定のユーザを特定のWebページに誘導したり、URLを取得していること自体が本人認証を兼ねることから簡易なユーザ認証機能を実現したり、特定Webページへのアクセス回数やアクセス期間等を制限したりすることができる。   In general, One Time URL (hereinafter abbreviated as “OTU”) is a mechanism for issuing a different URL each time a user tries to access specific content on a public network and viewing the content. If issued or when a certain time has elapsed, the issued URL becomes invalid. Further, when providing content that limits users such as paid content, prevention of unauthorized access is complemented in conjunction with an authentication system that has already been performed (see, for example, Patent Document 1). For example, if an application is made in advance for concert live streaming, a different URL is issued for each user immediately before the performance. Due to such OTU features, a specific user is guided to a specific Web page, and the fact that the URL itself is acquired also serves as personal authentication, thereby realizing a simple user authentication function, or to a specific Web page. The number of accesses, the access period, etc. can be limited.

特に、OTUは、ユーザ認証の補完的意味合いで用いられることが多い。OTUはWebサーバが特定ユーザに対して必要に応じて随時発行するという性質のものであるため、それを知っていること、すなわち、そのOTUを辿って特定のWebページに到達できるということ自体がそのまま認証的な機能を実現することになり、このような用い方が一般的である。例えば、昨今の会員登録制Webサービスでは、ユーザ登録情報の変更の際に予め登録していたメールアドレスへOTUが送信され、そのユーザ固有の登録情報変更画面へユーザを誘導するという例が多く見られる。具体的には、ユーザ情報変更のためのフロントページでユーザIDとパスワードを入力するとユーザ情報変更用メインページのOTUがメールで送られてくるというものである。   In particular, OTU is often used in a complementary sense of user authentication. Since the OTU has the property that a Web server issues it to a specific user as needed, knowing it, that is, tracing the OTU to reach a specific Web page itself. An authentication function is realized as it is, and such usage is common. For example, in recent member registration system Web services, there are many examples in which an OTU is transmitted to an email address registered in advance when changing user registration information, and the user is directed to a registration information change screen unique to the user. It is done. Specifically, when the user ID and password are entered on the front page for changing user information, the OTU of the main page for changing user information is sent by mail.

図5は、OTUの一例を示す図である。この図において、“https://server.~php”のA1部分が位置情報(接続される装置、アクセス用TCPポート番号(図では8080)及びアクセス対象とするサーバ上のコンテンツ情報)を示しており、“Param1~ZZZZ”のA2部分がURLパラメータといわれ、HTTPプロトコルによるアクセス時にクライアントからサーバに渡されるパラメータ群である。このURLの構成は一般にインターネットで使用されるURLのデータ構造そのものであり、インターネットを構成するIPネットワークは、OTUの前半部分A1から接続すべきサーバの位置を把握し、クライアントからサーバへのパケット伝達経路の自立解決を図る。   FIG. 5 is a diagram illustrating an example of an OTU. In this figure, the A1 part of “http: //server.~php” indicates location information (connected device, TCP port number for access (8080 in the figure) and content information on the server to be accessed). The A2 portion of “Param1 to ZZZZ” is referred to as a URL parameter, and is a parameter group that is passed from the client to the server during access using the HTTP protocol. The configuration of this URL is the data structure itself of the URL generally used on the Internet, and the IP network configuring the Internet grasps the position of the server to be connected from the first half A1 of the OTU, and transmits the packet from the client to the server. We will try to resolve the route independently.

OTUの一般的な使用方法としては、図5のXXXやYYYYにはアクセス制限情報(ユーザ情報やアクセス制限数等)を記載し、ZZZZには暗号化した認証コードを記載するといった形態が多く見られる。ここで、ZZZZはOTUの信憑性を証明するための文字列であり、OTU全体から“ADM=ZZZZ”を除いた文字列(図5のA3部分)に対して、サーバが保持する秘密鍵を用いてハッシュ演算を行った結果である。   As a general usage method of OTU, access restriction information (user information, access restriction number, etc.) is described in XXX and YYYY in FIG. 5, and an encrypted authentication code is described in ZZZZ. It is done. Here, ZZZZ is a character string for proving the authenticity of the OTU, and the secret key held by the server for the character string excluding “ADM = ZZZZ” from the entire OTU (part A3 in FIG. 5). It is the result of having performed a hash operation using.

なお、ここでは、One Time URLという表現を用いているが、一般的に同種のURLの使用制限はサーバ側の設定に依存するものであり、その使用が1回のみに限定される場合もあれば、一定期限内に複数回の使用が許可される場合もあり得る。   Note that although the expression “One Time URL” is used here, the use restriction of the same type of URL generally depends on the setting on the server side, and its use may be limited to one time only. For example, a plurality of uses may be permitted within a certain period.

次に、上述したOTUを用いたサーバ、クライアント間の接続処理について図6を用いて説明する。図6において、サーバはクライアントからサービス提供の要求(OTU発行要求)を受けると、URLパラメータを選択し、選択したURLパラメータを図5に示したOTUのA1部分に付加する。そして、OTUのA3部分に共通鍵Kcでハッシュ演算を行うことにより得られる認証コードZZZZをOTUのA3部分に付加し、クライアントにOTUが発行される。   Next, a connection process between the server and the client using the above-described OTU will be described with reference to FIG. In FIG. 6, when the server receives a service provision request (OTU issuance request) from the client, the server selects a URL parameter, and adds the selected URL parameter to the A1 portion of the OTU shown in FIG. Then, an authentication code ZZZZ obtained by performing a hash operation on the A3 part of the OTU with the common key Kc is added to the A3 part of the OTU, and the OTU is issued to the client.

クライアントは、サーバから発行されたOTUを取得し、取得したOTUにてサーバにアクセスする。クライアントからOTUにてアクセスを受けたサーバは、OTUのA3部分に共通鍵Kcでハッシュ演算を行って認証コードGGGGを計算する。最後に、認証コードGGGGとOTUに付加されていたZZZZが同一であることを認識して、アクセスに用いられたOTUが偽造及び改竄されたものではないこと、すなわち、OTUの正当性を認識する。このように、OTUの発行と受け付けは、通常、物理的に同一のサーバで行うものである。   The client acquires the OTU issued from the server, and accesses the server using the acquired OTU. The server that has received access from the client through the OTU calculates the authentication code GGGG by performing a hash operation on the A3 portion of the OTU with the common key Kc. Finally, it recognizes that the authentication code GGGG and the ZZZZ added to the OTU are the same, and recognizes that the OTU used for access has not been forged or falsified, that is, the validity of the OTU. . As described above, the issuance and acceptance of the OTU is usually performed by the same physically server.

ところで、近年、インターネットの常時接続環境の普及が進み、DVDレコーダ、ネットワークカメラ、白物家電といった様々な電化機器(以下、「宅内機器」という)がネットワークに接続するようになってきた。企業や家庭におけるこれらのネットワーク環境(以下、「宅内ローカルネットワーク」という)は、NAT(Network Address Translation)あるいはNAPT(Network Address Port Translation)機能を有するルータによってインターネットに接続しているのが一般的である。   By the way, in recent years, the widespread use of the always-on Internet environment has led to various electrical appliances (hereinafter referred to as “home appliances”) such as DVD recorders, network cameras, and white goods being connected to the network. These network environments in companies and homes (hereinafter referred to as “in-home local network”) are generally connected to the Internet by routers having NAT (Network Address Translation) or NAPT (Network Address Port Translation) functions. is there.

このため、宅外から特定の宅内機器への接続を想定した場合、IPトラバーサルの問題、いわゆるNAT越えの問題を解消する必要がある。すなわち、宅内機器の大部分はローカルアドレス空間に設置されているため、位置情報(IPアドレス)のみを指定しても宅外から特定の宅内機器への経路を決定することができず、位置情報とポート番号の双方を指定する必要がある。   For this reason, when a connection from outside the house to a specific in-house device is assumed, it is necessary to solve the IP traversal problem, so-called NAT traversal problem. That is, since most of the home devices are installed in the local address space, it is impossible to determine the route from outside the home to a specific home device even if only the location information (IP address) is specified. And port number must be specified.

一方、NAT越しにアクセスする際のポート番号を宅外から知得することは困難であり、このため、図7に示すように、常に宅内機器(サービス提供サーバ)と同期しながらポート番号を把握する接続仲介者(仲介サーバ)が必要となる。   On the other hand, it is difficult to obtain the port number for accessing over the NAT from outside the house, and as a result, as shown in FIG. 7, the port number is always grasped while synchronizing with the in-home device (service providing server). A connection mediator (mediation server) is required.

このようなシステムにおいて、位置情報とポート番号の双方を明示的に用いて、簡便に接続のリダイレクトが可能なOTUが用いられている。例えば、宅内のHDDプレイヤ(宅内機器)に蓄積された映像コンテンツを宅外の携帯電話(クライアント)で視聴しようとするユーザは、特定サービスASP(仲介サーバ)と契約を行い、ASP管理の仲介サーバにHDDプレイヤへの接続方法(接続用OTU)を動的に管理・発行させる。
特開2003−150492号公報
In such a system, an OTU that can easily redirect connections by explicitly using both position information and a port number is used. For example, a user who wants to view video content stored in a home HDD player (home device) on a mobile phone (client) outside the home makes a contract with a specific service ASP (mediation server), and the mediation server for ASP management Allows the HDD player to dynamically manage and issue a connection method (connection OTU).
JP 2003-150492 A

しかしながら、OTUの発行者(OTUを発行する装置)とOTUの受付者(OTUにてアクセスされる装置)が物理的に異なる場合、OTUそれ自体の正当性、すなわち、当該OTUが正しい発行者のもとで作られたことの証明、及び、当該OTUの一部が改竄されていないことの証明、すなわち、OTUの正当性を確認する手立てが確立されていない。   However, if the issuer of the OTU (device that issues the OTU) and the acceptor of the OTU (device that is accessed by the OTU) are physically different, the validity of the OTU itself, that is, the issuer of the correct issuer Proof that it was originally created and that part of the OTU has not been tampered with, that is, a method for confirming the validity of the OTU has not been established.

本発明はかかる点に鑑みてなされたものであり、OTUの発行者とOTUの受付者が物理的に異なる場合でも、OTUの偽造又は改竄による不正アクセスを防止するURL認証システム及びURL認証方法を提供することを目的とする。   The present invention has been made in view of the above points, and there is provided a URL authentication system and a URL authentication method for preventing unauthorized access due to forgery or falsification of an OTU even when the issuer of the OTU and the acceptor of the OTU are physically different. The purpose is to provide.

本発明の第1の態様は、自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを含め、認証コードを含むOne Time URLを発行する仲介サーバと、前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続するクライアントと、前記クライアントが接続に用いたOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供する、前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバと、を具備するURL認証システムである。   In the first aspect of the present invention, the One Time URL including the authentication code including the authentication code for proving the validity of the One Time URL itself is included in the One Time URL for guiding the connection to another server different from the own server. An intermediary server to issue, a One Time URL issued by the intermediary server, and a client connected to another server different from the intermediary server by tracing the acquired One Time URL; URL authentication comprising: a service providing server as another server different from the mediation server, which confirms the validity of the used One Time URL and provides a service to a client for which the validity of the One Time URL is confirmed. System.

本発明の第2の態様は、上記態様において、前記サービス提供サーバが、前記仲介サーバが認証コードの生成に用いる暗号鍵を共有し、共有した暗号鍵を用いて認証コードの正当性を確認するURL認証システムである。   According to a second aspect of the present invention, in the above aspect, the service providing server shares an encryption key used by the mediation server for generating an authentication code, and confirms the validity of the authentication code using the shared encryption key. This is a URL authentication system.

これらの構成によれば、クライアントが仲介サーバによって発行されたOne Time URLを辿ることにより仲介サーバとは異なる他のサービス提供サーバに接続し、サービス提供サーバがOne Time URLの正当性が確認されたクライアントにサービスを提供することにより、One Time URLの発行者とOne Time URLの受付者が物理的に異なる場合でも、One Time URLの偽造又は改竄による不正アクセスを防止することができる。   According to these configurations, the client connected to another service providing server different from the mediation server by tracing the One Time URL issued by the mediation server, and the validity of the One Time URL was confirmed by the service provision server. By providing a service to the client, even if the publisher of the One Time URL and the receiver of the One Time URL are physically different, unauthorized access due to forgery or falsification of the One Time URL can be prevented.

本発明の第3の態様は、上記態様において、前記仲介サーバと前記サービス提供サーバとの間にセキュアな通信路を備え、前記通信路を介して前記暗号鍵を共有するURL認証システムである。   A third aspect of the present invention is the URL authentication system according to the above aspect, wherein a secure communication path is provided between the mediation server and the service providing server, and the encryption key is shared via the communication path.

この構成によれば、仲介サーバとサービス提供サーバとの間に備えられたセキュアな通信路を介して暗号鍵を共有することにより、暗号鍵の漏洩を防止することができる。   According to this configuration, it is possible to prevent leakage of the encryption key by sharing the encryption key via the secure communication path provided between the mediation server and the service providing server.

本発明の第4の態様は、自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを公開鍵暗号方式に基づく鍵対の一方である秘密鍵を用いて生成し、生成した認証コードを含むOne Time URLを発行する仲介サーバと、前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続するクライアントと、前記クライアントが接続に用いたOne Time URLの認証コードに前記秘密鍵と鍵対をなす公開鍵を用いてOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供する、前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバと、を具備するURL認証システムである。   According to a fourth aspect of the present invention, an authentication code that proves the validity of the One Time URL itself is attached to the One Time URL that induces a connection to another server different from the own server. By using a secret key that is generated and issuing a One Time URL including the generated authentication code, and obtaining the One Time URL issued by the mediation server, tracing the acquired One Time URL, Check the validity of the One Time URL using a client that connects to another server different from the mediation server, and a public key that forms a key pair with the private key in the authentication code of the One Time URL that the client used for connection The URL authentication system includes a service providing server as another server different from the mediation server that provides a service to a client whose One Time URL is confirmed to be valid.

この構成によれば、クライアントが仲介サーバによって発行されたOne Time URLを辿ることにより仲介サーバとは異なる他のサービス提供サーバに接続し、サービス提供サーバがOne Time URLの正当性が確認されたクライアントにサービスを提供することにより、One Time URLの発行者とOne Time URLの受付者が物理的に異なる場合でも、One Time URLの偽造又は改竄による不正アクセスを防止することができる。   According to this configuration, the client connects to another service providing server different from the mediation server by tracing the One Time URL issued by the mediation server, and the service provision server confirms the validity of the One Time URL. By providing the service, even if the One Time URL issuer and the One Time URL acceptor are physically different, unauthorized access due to forgery or falsification of the One Time URL can be prevented.

本発明の第5の態様は、自サーバとは異なる他のサーバへの接続を誘導するOne Time URLの正当性を証明する認証コードの生成に第1暗号鍵を用いる認証コード生成手段と、前記認証コード生成手段によって生成された認証コードを含めたOne Time URLを生成するOne Time URL生成手段と、前記認証コード生成手段で用いられた第1暗号鍵に応じた第2暗号鍵を前記自サーバとは異なる他のサーバに通知する通知手段と、を具備する仲介サーバである。   According to a fifth aspect of the present invention, there is provided an authentication code generation means that uses a first encryption key to generate an authentication code that proves the validity of the One Time URL that guides connection to another server different from the own server; One Time URL generation means for generating a One Time URL including the authentication code generated by the authentication code generation means, and a second encryption key corresponding to the first encryption key used in the authentication code generation means And a notifying means for notifying another different server.

この構成によれば、認証コードの生成に用いられた第1暗号鍵に応じた第2暗号鍵を仲介サーバとは異なる他のサーバに通知することにより、他のサーバは仲介サーバで生成されたOne Time URLの正当性を仲介サーバから通知された第2暗号鍵を用いて確認することができる。   According to this configuration, the other server is generated by the mediation server by notifying the second encryption key corresponding to the first encryption key used for generating the authentication code to another server different from the mediation server. The validity of the One Time URL can be confirmed using the second encryption key notified from the mediation server.

本発明の第6の態様は、上記態様の仲介サーバから通知された第2暗号鍵を用いて、クライアントが接続に用いたOne Time URLの正当性を検証するOne Time URL検証手段と、前記One Time URL検証手段によってOne Time URLの正当性が検証されたクライアントにサービスを提供するサービス提供手段と、を具備するサービス提供サーバである。   According to a sixth aspect of the present invention, there is provided One Time URL verification means for verifying the validity of the One Time URL used for connection by the client, using the second encryption key notified from the intermediary server of the above aspect; A service providing server comprising service providing means for providing a service to a client whose validity of the One Time URL has been verified by the Time URL verification means.

この構成によれば、One Time URLの正当性を検証されたクライアントにサービスを提供することにより、仲介サーバから発行されたOne Time URLを辿って接続したクライアントに対してのみサービスを提供することになるので、One Time URLの偽造又は改竄による不正アクセスを防止することができる。   According to this configuration, by providing a service to a client whose validity of the One Time URL has been verified, the service is provided only to a client connected by following the One Time URL issued from the mediation server. Therefore, unauthorized access due to forgery or falsification of the One Time URL can be prevented.

本発明の第7の態様は、仲介サーバが、自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを含め、認証コードを含むOne Time URLを発行し、クライアントが、前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続し、前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバが、前記クライアントが接続に用いたOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供するURL認証方法である。   In a seventh aspect of the present invention, the intermediary server includes an authentication code including an authentication code that proves the validity of the One Time URL itself in the One Time URL that induces connection to another server different from the own server. Issuing a One Time URL, the client obtains the One Time URL issued by the mediation server, traces the acquired One Time URL, and connects to another server different from the mediation server, and the mediation server A URL authentication method in which a service providing server as another server different from the server confirms the validity of the One Time URL used by the client for connection and provides the service to the client for which the validity of the One Time URL is confirmed. is there.

この方法によれば、クライアントが仲介サーバによって発行されたOne Time URLを辿ることにより仲介サーバとは異なる他のサービス提供サーバに接続し、サービス提供サーバがOne Time URLの正当性が確認されたクライアントにサービスを提供することにより、One Time URLの発行者とOne Time URLの受付者が物理的に異なる場合でも、One Time URLの偽造又は改竄による不正アクセスを防止することができる。   According to this method, the client connects to another service providing server different from the mediation server by tracing the One Time URL issued by the mediation server, and the service provision server confirms the validity of the One Time URL. By providing the service, even if the One Time URL issuer and the One Time URL acceptor are physically different, unauthorized access due to forgery or falsification of the One Time URL can be prevented.

本発明によれば、サービスを提供するサーバとは異なる仲介サーバがOTU自体の正当性を証明する認証コードを含むOTUを発行し、サービス提供サーバがOTUの正当性を検証することにより、OTUの発行者とOTUの受付者が物理的に異なる場合でも、OTUの偽造又は改竄による不正アクセスを防止するURL認証システム及びURL認証方法を提供することができる。   According to the present invention, an intermediary server different from a server that provides a service issues an OTU that includes an authentication code that proves the validity of the OTU itself, and the service providing server verifies the validity of the OTU. Even when the issuer and the OTU recipient are physically different, it is possible to provide a URL authentication system and a URL authentication method for preventing unauthorized access due to forgery or falsification of the OTU.

以下、本発明の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

(実施の形態1)
図1は、本発明の実施の形態1に係るURL認証システム100の構成を示すブロック図である。この図において、仲介サーバ101、クライアント102及びサービス提供サーバ103は、それぞれ一般的な公衆IPネットワークであるインターネット等の通信ネットワーク104に接続されている。
(Embodiment 1)
FIG. 1 is a block diagram showing a configuration of a URL authentication system 100 according to Embodiment 1 of the present invention. In this figure, an intermediary server 101, a client 102, and a service providing server 103 are each connected to a communication network 104 such as the Internet, which is a general public IP network.

仲介サーバ101は、サービス提供サーバ103と定期的に接続及び情報交換を行うことにより、サービス提供サーバ103への接続方法を把握し、把握した接続方法をOne Time URL(以下、「OTU」と省略する)にてクライアント102に通知する。   The mediation server 101 periodically connects and exchanges information with the service providing server 103 to grasp the connection method to the service providing server 103, and the grasped connection method is abbreviated as “One Time URL” (hereinafter abbreviated as “OTU”). To the client 102.

クライアント102は、仲介サーバ101からOTUを取得し、取得したOTUを辿ることによりサービス提供サーバ103に接続し、HTTPプロトコルを介してサービス提供サーバ103からコンテンツを受信したり、サービス提供サーバ103に特定の処理を実行させたりする。   The client 102 acquires an OTU from the mediation server 101, connects to the service providing server 103 by tracing the acquired OTU, receives content from the service providing server 103 via the HTTP protocol, or specifies the service providing server 103. To execute the process.

サービス提供サーバ103は、例えば、HDDプレイヤ等の宅内機器であり、クライアント102から提示されたOTUの認証コード部分を検証することにより、OTUの正当性を確認し、クライアント102へのコンテンツの提供、あるいはクライアント102からの指示に応じた特定の処理を実行するなどのサービスを提供する。   The service providing server 103 is, for example, a home device such as an HDD player. The service providing server 103 verifies the authentication code portion of the OTU presented from the client 102 to confirm the validity of the OTU and provides content to the client 102. Alternatively, a service such as executing a specific process according to an instruction from the client 102 is provided.

図2は、仲介サーバ101、クライアント102及びサービス提供サーバ103の内部構成を示すブロック図である。まず、仲介サーバ101について説明する。図2において、サーバ間通信部111は、通信ネットワーク104を介してサービス提供サーバ103のサーバ間通信部131と接続し、サービス提供サーバ103から定期的にアドレス情報(サービス提供サーバのアドレス情報及びアクセス用TCPポート番号)の通知を受け、通知されたアドレス情報を情報記憶部112に出力する。また、情報記憶部112に記憶されている共通鍵Kcをサービス提供サーバ103に通知する。   FIG. 2 is a block diagram illustrating the internal configuration of the mediation server 101, the client 102, and the service providing server 103. First, the mediation server 101 will be described. In FIG. 2, the inter-server communication unit 111 is connected to the inter-server communication unit 131 of the service providing server 103 via the communication network 104, and periodically receives address information (address information and access information of the service providing server) from the service providing server 103. (TCP port number), and the notified address information is output to the information storage unit 112. Further, the service providing server 103 is notified of the common key Kc stored in the information storage unit 112.

情報記憶部112は、サーバ間通信部111から出力されたアドレス情報を記憶すると共に、共通鍵Kcを記憶している。   The information storage unit 112 stores address information output from the inter-server communication unit 111 and also stores a common key Kc.

HTTPサーバ機能部113は、通信ネットワーク104を介してクライアント102のHTTPクライアント機能部121と接続し、クライアント102からのアクセスを受ける。HTTPサーバ機能部113は、クライアント102からのアクセスを受けるとクライアント認証を行い、認証が正しければ、クライアント102からサービス提供サーバ103への接続要求を受ける。また、後述するOTU生成部114で生成されたOTUをHTMLページ上の情報として、クライアント102側のHTTPクライアント機能部121で直接認識できるようにクライアント102に通知する。   The HTTP server function unit 113 is connected to the HTTP client function unit 121 of the client 102 via the communication network 104 and receives access from the client 102. When receiving an access from the client 102, the HTTP server function unit 113 performs client authentication. If the authentication is correct, the HTTP server function unit 113 receives a connection request from the client 102 to the service providing server 103. Further, the client 102 is notified of the OTU generated by the OTU generation unit 114 (described later) as information on the HTML page so that the HTTP client function unit 121 on the client 102 side can directly recognize the information.

OTU生成部114は、クライアント102から受けた接続要求に従って、情報記憶部112に記憶されたサービス提供サーバのアドレス情報と、サービスメニュー等のサービス制約条件とからサービス提供サーバ接続用のURLを生成し、生成したURLをハッシュ演算部115に出力する。また、後述するハッシュ演算部115で生成された認証コードをサービス提供サーバ接続用のURLに付加することによりOTUを生成し、生成したOTUをHTTPサーバ機能部113に通知する。   In accordance with the connection request received from the client 102, the OTU generation unit 114 generates a service providing server connection URL from the service providing server address information stored in the information storage unit 112 and service constraint conditions such as a service menu. The generated URL is output to the hash calculation unit 115. In addition, an OTU is generated by adding an authentication code generated by a hash calculation unit 115 to be described later to a URL for connecting to a service providing server, and the generated OTU is notified to the HTTP server function unit 113.

ハッシュ演算部115は、OTU生成部114から出力されたURLに対して情報記憶部112に記憶された共通鍵Kcを用いてハッシュ演算を行い、認証コードを生成する。生成された認証コードはOTU生成部114に出力される。なお、ハッシュ演算部115は認証コード生成手段として機能する。   The hash calculation unit 115 performs a hash calculation on the URL output from the OTU generation unit 114 using the common key Kc stored in the information storage unit 112, and generates an authentication code. The generated authentication code is output to the OTU generator 114. The hash calculation unit 115 functions as an authentication code generation unit.

次に、クライアント102について説明する。図2において、HTTPクライアント機能部121は、通信ネットワーク104を介して仲介サーバ101のHTTPサーバ機能部113及びサービス提供サーバ103のHTTPサーバ機能部133に接続し、仲介サーバ101にアクセスすると、クライアント102は仲介サーバ101からクライアント認証を受ける。クライアント認証は、HTMLメニューに従ってユーザID及びパスワードを入力することにより行われる。そして、クライアント102は接続先のサービス提供サーバ103及びサービスメニュー等の選択を行う。また、仲介サーバ101から通知されたサービス提供サーバ接続用のOTUを情報記憶部122に記憶させる。さらに、情報記憶部122に記憶したOTUを用いて、サービス提供サーバ103にアクセスする。   Next, the client 102 will be described. In FIG. 2, when the HTTP client function unit 121 connects to the HTTP server function unit 113 of the mediation server 101 and the HTTP server function unit 133 of the service providing server 103 via the communication network 104 and accesses the mediation server 101, the client 102 Receives client authentication from the mediation server 101. Client authentication is performed by inputting a user ID and a password according to the HTML menu. Then, the client 102 selects a connection destination service providing server 103, a service menu, and the like. In addition, the service providing server connection OTU notified from the mediation server 101 is stored in the information storage unit 122. Further, the service providing server 103 is accessed using the OTU stored in the information storage unit 122.

次に、サービス提供サーバ103について説明する。図2において、サーバ間通信部131は、定期的にアドレス情報を仲介サーバ101に通知する一方、仲介サーバ101から共通鍵Kcを取得し、取得した共通鍵Kcを情報記憶部132に記憶させる。   Next, the service providing server 103 will be described. In FIG. 2, the inter-server communication unit 131 periodically notifies the mediation server 101 of address information, acquires the common key Kc from the mediation server 101, and stores the acquired common key Kc in the information storage unit 132.

サービス提供サーバ103のHTTPサーバ機能部133は、クライアント102からのアクセスに応じて、アクセスに用いられたOTUをOTU検証部134に通知する。   The HTTP server function unit 133 of the service providing server 103 notifies the OTU verification unit 134 of the OTU used for the access in response to the access from the client 102.

OTU検証部134は、HTTPサーバ機能部133から通知されたOTUの認証コード以外の部分をハッシュ演算部135に出力し、後述するハッシュ演算部135から通知された結果(ハッシュ値)がOTUに付加されている認証コードと一致するか否かを確認する。   The OTU verification unit 134 outputs a part other than the OTU authentication code notified from the HTTP server function unit 133 to the hash calculation unit 135, and adds a result (hash value) notified from the hash calculation unit 135 described later to the OTU. Check whether it matches the authentication code that is registered.

ハッシュ演算部135は、OTUの認証コード以外の部分に対して、情報記憶部132に記憶された共通鍵Kcを用いてハッシュ演算を行い、その結果(ハッシュ値)をOTU検証部134に出力する。なお、OTU検証部134及びハッシュ演算部135はOne Time URL検証手段として機能する。   The hash calculation unit 135 performs a hash calculation on the portion other than the authentication code of the OTU using the common key Kc stored in the information storage unit 132, and outputs the result (hash value) to the OTU verification unit 134. . The OTU verification unit 134 and the hash calculation unit 135 function as a One Time URL verification unit.

OTU検証部134において、ハッシュ値がOTUに付加されている認証コードと一致しないと確認された場合、HTTPサーバ機能部133はクライアントからのHTTPアクセスを拒否する。一方、ハッシュ値がOTUに付加されている認証コードと一致すると確認された場合、HTTPサーバ機能部133はクライアントからHTTPアクセスを許可し、情報記憶部132に記憶されたHTTPサーバ提供コンテンツをクライアントに提供する。なお、HTTPサーバ機能部133はサービス提供手段として機能する。   When the OTU verification unit 134 confirms that the hash value does not match the authentication code added to the OTU, the HTTP server function unit 133 rejects HTTP access from the client. On the other hand, when it is confirmed that the hash value matches the authentication code added to the OTU, the HTTP server function unit 133 permits the HTTP access from the client, and the content provided by the HTTP server stored in the information storage unit 132 is sent to the client. provide. The HTTP server function unit 133 functions as a service providing unit.

次に、上記構成を有する仲介サーバ101、クライアント102及びサービス提供サーバ103の動作について図3を用いて説明する。図3において、ステップ(以下、「ST」と省略する)141では、サービス提供サーバ103が仲介サーバ101に定期的(例えば、5秒間隔)に通信パケットを送出(キープアライブ通信)することにより、サービス提供サーバ103が稼動状態であることと、サービス提供サーバ103の接続方法(IPアドレスやアクセスポート番号等)を通知する。   Next, operations of the mediation server 101, the client 102, and the service providing server 103 having the above configuration will be described with reference to FIG. In FIG. 3, in step (hereinafter abbreviated as “ST”) 141, the service providing server 103 sends communication packets to the mediation server 101 periodically (for example, at intervals of 5 seconds) (keep-alive communication). It notifies that the service providing server 103 is in operation and the connection method (IP address, access port number, etc.) of the service providing server 103.

ST142では、仲介サーバ101がサービス開始当初の所定のタイミングでサービス提供サーバ103にOTUの認証コード生成及び認証コード検証に用いる共通鍵Kcを通知する。これにより、仲介サーバ101とサービス提供サーバ103は同一の共通鍵Kcを有することになる。なお、共通鍵Kcの通知はサーバ間に別途設けるセキュアな通信路で行うことにより、共通鍵Kcの漏洩を防止することが望ましい。   In ST142, the mediation server 101 notifies the service providing server 103 of the common key Kc used for OTU authentication code generation and authentication code verification at a predetermined timing at the start of service. Thereby, the mediation server 101 and the service providing server 103 have the same common key Kc. Note that it is desirable to prevent leakage of the common key Kc by notifying the common key Kc through a secure communication path separately provided between servers.

ST143では、クライアント102が仲介サーバ101の固定アドレスにアクセスし、サービス提供サーバ103への接続要求を通知し、ST144では、仲介サーバ101がサービスメニュー又はユーザの要望に応じたアクセス制限情報をURLパラメータとして図5に示すA1部分のURLに付加し、共通鍵Kcを用いて認証コードを生成し、認証コードを図5に示すA3部分に付加する。   In ST143, the client 102 accesses the fixed address of the mediation server 101 and notifies a connection request to the service providing server 103. In ST144, the mediation server 101 displays access restriction information according to the service menu or the user's request as a URL parameter. Is added to the URL of the A1 portion shown in FIG. 5, an authentication code is generated using the common key Kc, and the authentication code is added to the A3 portion shown in FIG.

ST145では、仲介サーバ101がパスワード等の所望のクライアント認証を行った後、OTUにてサービス提供サーバ103への接続方法をクライアント102に通知する。このとき、OTUの通知方法は、予め仲介サーバ101が把握するクライアント102のメールアドレス宛に電子メールで通知してもよいし、HTTPプロトコル上でHTMLページ上の情報として通知してもよい。   In ST145, after the mediation server 101 performs desired client authentication such as a password, the OTU notifies the client 102 of a connection method to the service providing server 103. At this time, as a notification method of the OTU, notification may be made by e-mail to the mail address of the client 102 grasped in advance by the mediation server 101, or may be notified as information on the HTML page on the HTTP protocol.

ST146では、仲介サーバ101から通知されたOTUをクライアント102が辿ることにより、サービス提供サーバ103に接続する。通常、この接続はウェブブラウザ又はメーラ上でURLリンク部分をクリックするだけの簡便なユーザインタフェースにより実現される。   In ST146, the client 102 follows the OTU notified from the mediation server 101 to connect to the service providing server 103. Usually, this connection is realized by a simple user interface by simply clicking a URL link portion on a web browser or mailer.

ST147では、サービス提供サーバ103がクライアント102から提示されたOTUの認証コード部分を共通鍵Kcで検証することにより、OTUの正当性を確認し、ST148では、クライアント102が所望するサービス提供サーバ103へのHTTPアクセスを実現する。   In ST147, the service providing server 103 verifies the authentication code portion of the OTU presented from the client 102 with the common key Kc, thereby confirming the validity of the OTU. In ST148, the client 102 determines the desired service providing server 103. HTTP access is realized.

このように実施の形態1によれば、サービス提供サーバとは異なる別の仲介サーバを設け、仲介サーバがサービス提供サーバのアドレス情報を定期的に取得し、サービス提供サーバのアドレス情報からOTU用の認証コードを生成する際に用いる暗号鍵をサービス提供サーバが共有し、サービス提供サーバは、共有する暗号鍵を用いて認証コードの正当性を確認することにより、OTUの発行者とOTUの受付者が物理的に異なる場合でも、OTUの偽造又は改竄による不正アクセスを防止することができる。   As described above, according to the first embodiment, another mediation server different from the service providing server is provided, the mediation server periodically acquires the address information of the service providing server, and the OTU-use information is obtained from the address information of the service providing server. The service providing server shares the encryption key used when generating the authentication code, and the service providing server confirms the validity of the authentication code using the shared encryption key, so that the issuer of the OTU and the acceptor of the OTU Even if they are physically different, unauthorized access due to forgery or alteration of the OTU can be prevented.

なお、本実施の形態では、OTUの発行方法をHTML上で直接通知することにより行っているが、本発明はこれに限らず、電子メールによる通知、携帯電話のショートメッセージサービスによる通知、PC端末のインスタントメッセージングによる通知、さらには、口頭伝達等のオフラインによる通知でもよい。   In this embodiment, the OTU issuance method is directly notified on HTML. However, the present invention is not limited to this, but notification by e-mail, notification by a short message service of a mobile phone, PC terminal Notification by instant messaging or offline notification such as verbal transmission may be used.

また、本実施の形態では、HTTPプロトコルによるサーバアクセスを前提にしているが、本発明はこれに限らず、URLによるロケーションの指定はHTTPSプロトコル又はFTPプロトコルを用いてもよい。   In this embodiment, server access based on the HTTP protocol is assumed. However, the present invention is not limited to this, and the location specification by URL may use the HTTPS protocol or the FTP protocol.

また、本実施の形態におけるハッシュ演算関数は、不可逆な一方向性関数であればその種別は問わず、また、URLのハッシュ演算対象範囲も任意に設定してよい。ただし、URLのハッシュ演算対象範囲はサービス提供サーバと仲介サーバとで一致させなければならない。   In addition, the hash calculation function in the present embodiment may be any type as long as it is an irreversible one-way function, and the URL calculation target range of the URL may be arbitrarily set. However, the hash calculation target range of the URL must be matched between the service providing server and the mediation server.

また、本実施の形態では、クライアントが仲介サーバに接続する際に、ユーザID及びパスワードによるライアント認証を行っているが、本発明はこれに限らず、クライアント認証を行うか否かを任意に選択可能であり、クライアント認証を行う場合にはその認証方法の種別は問わない。   In this embodiment, when a client connects to a mediation server, client authentication is performed using a user ID and a password. However, the present invention is not limited to this, and whether or not to perform client authentication is arbitrarily selected. The type of authentication method is not limited when client authentication is performed.

(実施の形態2)
図4は、本発明の実施の形態2に係るクライアント、仲介サーバ及びサービス提供サーバの内部構成を示すブロック図である。ただし、図4が図2と共通する部分には図2と同一の符号を付し、その詳しい説明は省略する。
(Embodiment 2)
FIG. 4 is a block diagram showing the internal configuration of the client, the mediation server, and the service providing server according to Embodiment 2 of the present invention. However, the parts in FIG. 4 common to those in FIG. 2 are denoted by the same reference numerals as those in FIG.

まず、仲介サーバ101について説明する。図4において、鍵対生成部151は、予め公開鍵暗号方式に基づく鍵対を生成し、一方を秘密鍵Ks、他方を公開鍵Kpとして情報記憶部152に記憶させる。   First, the mediation server 101 will be described. In FIG. 4, a key pair generation unit 151 generates a key pair based on a public key cryptosystem in advance, and stores one in the information storage unit 152 as a secret key Ks and the other as a public key Kp.

サーバ間通信部153は、情報記憶部152に記憶されている共通鍵Kc及び公開鍵Kpを通信ネットワーク104を介してサービス提供サーバ103のサーバ間通信部161に通知する。   The inter-server communication unit 153 notifies the inter-server communication unit 161 of the service providing server 103 via the communication network 104 of the common key Kc and the public key Kp stored in the information storage unit 152.

暗号化処理部154は、ハッシュ演算部115で共通鍵Kcを用いて得られたハッシュ演算結果に対し、情報記憶部152に記憶された秘密鍵Ksを用いて暗号化処理を行い、暗号化処理結果を認証コードとしてOTU生成部155に出力する。   The encryption processing unit 154 performs encryption processing on the hash calculation result obtained by using the common key Kc by the hash calculation unit 115 using the secret key Ks stored in the information storage unit 152, and performs encryption processing The result is output to the OTU generation unit 155 as an authentication code.

OTU生成部155は、暗号化処理部154から出力された認証コードをサービス提供サーバ接続用のURLに付加することによりOTUを生成し、生成したOTUをHTTPサーバ機能部113に通知する。なお、ハッシュ演算部115及び暗号化処理部154は認証コード生成手段として機能する。   The OTU generation unit 155 generates an OTU by adding the authentication code output from the encryption processing unit 154 to the service providing server connection URL, and notifies the HTTP server function unit 113 of the generated OTU. The hash calculation unit 115 and the encryption processing unit 154 function as an authentication code generation unit.

次に、サービス提供サーバ103について説明する。図4において、サーバ間通信部161は、仲介サーバ101から共通鍵Kc及び公開鍵Kpを取得し、取得した共通鍵Kc及び公開鍵Kpを情報記憶部162に記憶させる。ここで、サービス提供サーバ103は、公開鍵暗号方式に基づく公開鍵Kpを仲介サーバ101から取得するため、実施の形態1で説明したようなサーバ間のセキュアな通信路を設ける必要がない。   Next, the service providing server 103 will be described. 4, the inter-server communication unit 161 acquires the common key Kc and the public key Kp from the mediation server 101, and stores the acquired common key Kc and public key Kp in the information storage unit 162. Here, since the service providing server 103 acquires the public key Kp based on the public key cryptosystem from the mediation server 101, there is no need to provide a secure communication path between the servers as described in the first embodiment.

復号化処理部163は、後述するOTU検証部164からOTUに記載された認証コードを取得し、取得した認証コードに対して、情報記憶部162に記憶された公開鍵Kpを用いて復号化処理を行い、復号化処理結果をOTU検証部164に通知する。   The decryption processing unit 163 acquires an authentication code described in the OTU from an OTU verification unit 164 described later, and performs a decryption process using the public key Kp stored in the information storage unit 162 for the acquired authentication code. To notify the OTU verification unit 164 of the result of the decoding process.

OTU検証部164は、HTTPサーバ機能部133から通知されたOTUの認証コード以外の部分ハッシュ演算部135に出力し、ハッシュ演算部135において情報記憶部162に記憶された共通鍵Kcを用いて行われたハッシュ演算結果(ハッシュ値)を取得し、演算結果(ハッシュ値)が復号化処理部163から通知された認証コードの復号処理結果と一致するか否かを確認する。   The OTU verification unit 164 outputs to the partial hash calculation unit 135 other than the OTU authentication code notified from the HTTP server function unit 133, and uses the common key Kc stored in the information storage unit 162 in the hash calculation unit 135. The obtained hash calculation result (hash value) is acquired, and it is confirmed whether or not the calculation result (hash value) matches the decryption result of the authentication code notified from the decryption processing unit 163.

ハッシュ値が認証コードの復号処理結果と一致しない場合、HTTPサーバ機能部133はクライアント102からのHTTPアクセスを拒否する。これは、秘密鍵Ksを知り得る仲介サーバ101でなければ正しい認証コードを生成することができず、サービス提供サーバ103においてOTUの正当性が確認されない場合、第三者によってOTUが改竄されたか、仲介サーバ101に関する詐称(なりすまし)攻撃があったとみなすことができるためである。   If the hash value does not match the decryption result of the authentication code, the HTTP server function unit 133 rejects HTTP access from the client 102. This is because a correct authentication code cannot be generated unless the mediation server 101 can know the secret key Ks, and if the validity of the OTU is not confirmed in the service providing server 103, whether the OTU has been tampered with by a third party, This is because it can be considered that there has been a spoofing (spoofing) attack related to the mediation server 101.

一方、ハッシュ値がOTUに付加されている認証コードと一致する場合、HTTPサーバ機能部133はクライアント102からHTTPアクセスを許可し、情報記憶部162に記憶されたHTTPサーバ提供コンテンツをクライアントに提供する。   On the other hand, if the hash value matches the authentication code added to the OTU, the HTTP server function unit 133 permits HTTP access from the client 102 and provides the HTTP server provided content stored in the information storage unit 162 to the client. .

このように実施の形態2によれば、サービス提供サーバとは異なる別の仲介サーバを設け、仲介サーバがサービス提供サーバから定期的に取得したアドレス情報に対して共通鍵でハッシュ演算を行い、公開鍵暗号方式に利用可能な鍵対の一方である秘密鍵を用いてハッシュ演算結果を暗号化処理してOTU用の認証コードを生成し、サービス提供サーバは、仲介サーバと共有する共通鍵を用いてOTUの認証コード以外の部分に対してハッシュ演算を行うと共に、仲介サーバが暗号化処理に用いた秘密鍵と鍵対をなす公開鍵を用いて認証コードを復号化処理し、ハッシュ演算結果と復号化処理結果とを比較して認証コードの正当性を確認することにより、OTUの発行者とOTUの受付者が物理的に異なる場合でも、OTUの偽造又は改竄による不正アクセスを防止することができる。   As described above, according to the second embodiment, another mediation server different from the service providing server is provided, and the mediation server performs a hash operation on the address information periodically acquired from the service providing server with the common key, and makes it public. Using the secret key that is one of the key pairs that can be used for the key encryption method, the hash calculation result is encrypted to generate an authentication code for OTU, and the service providing server uses a common key shared with the mediation server And the hash calculation result for the portion other than the authentication code of the OTU, and the decryption processing of the authentication code using the public key that is paired with the secret key used for the encryption processing by the mediation server, Even if the issuer of the OTU and the acceptor of the OTU are physically different by comparing the decryption processing result and confirming the validity of the authentication code, the OTU is forged or altered. That it is possible to prevent unauthorized access.

なお、本実施の形態では、公開鍵の配信方法として、仲介サーバからサービス提供サーバへ直接通知する方法を採用しているが、本発明はこれに限らず、一般的な公開鍵の流布機構としてPKIプロトコルで定義されている第三者機関によって間接的に配信する方法でもよく、要は、公開鍵が仲介サーバからサービス提供サーバに配信されればどんな方法でもよい。   In the present embodiment, as a public key distribution method, a method of notifying directly from the intermediary server to the service providing server is adopted. However, the present invention is not limited to this, and is a general public key distribution mechanism. A method of distributing indirectly by a third-party organization defined by the PKI protocol may be used. In short, any method may be used as long as the public key is distributed from the mediation server to the service providing server.

また、本実施の形態における公開鍵暗号方式は、非対称暗号鍵対を用いる暗号方式であれば、その種別は問わない。   Moreover, the public key cryptosystem in this Embodiment will not ask | require the type, if it is a cryptosystem using an asymmetric encryption key pair.

本発明にかかるURL認証システム及びURL認証方法は、OTUの発行者とOTUの受付者が物理的に異なる場合でも、OTUの偽造又は改竄による不正アクセスを防止するという効果を有し、例えば、宅内ローカルネットワーク内の宅内機器及び携帯電話等の携帯端末に適用することができる。   The URL authentication system and the URL authentication method according to the present invention have an effect of preventing unauthorized access due to forgery or falsification of the OTU even when the issuer of the OTU and the acceptor of the OTU are physically different. It can be applied to in-home devices in a local network and mobile terminals such as mobile phones.

本発明の実施の形態1に係るURL認証システムの構成を示すブロック図1 is a block diagram showing a configuration of a URL authentication system according to Embodiment 1 of the present invention. 図1に示す仲介サーバ、クライアント及びサービス提供サーバの内部構成を示すブロック図The block diagram which shows the internal structure of the mediation server shown in FIG. 1, a client, and a service provision server. 図1に示す仲介サーバ、クライアント、及びサービス提供サーバの動作を示すシーケンス図The sequence diagram which shows operation | movement of the mediation server shown in FIG. 1, a client, and a service provision server 本発明の実施の形態2に係る仲介サーバ、クライアント及びサービス提供サーバの内部構成を示すブロック図The block diagram which shows the internal structure of the mediation server, client, and service provision server which concern on Embodiment 2 of this invention. OTUの一例を示す図Diagram showing an example of OTU OTUを用いたサーバ、クライアント間の接続処理の説明に供する図Diagram for explaining connection processing between server and client using OTU 仲介サーバを備えた通信システムの構成を示すブロック図The block diagram which shows the structure of the communication system provided with the mediation server

符号の説明Explanation of symbols

101 仲介サーバ
102 クライアント
103 サービス提供サーバ
104 通信ネットワーク
111、131、153、161 サーバ間通信部
112、122、132、152、162 情報記憶部
113、133 HTTPサーバ機能部
114、155 OTU生成部
115、135 ハッシュ演算部
121 HTTPクライアント機能部
134、164 OTU検証部
151 鍵対生成部
154 暗号化処理部
163 復号化処理部
DESCRIPTION OF SYMBOLS 101 Mediation server 102 Client 103 Service providing server 104 Communication network 111, 131, 153, 161 Inter-server communication unit 112, 122, 132, 152, 162 Information storage unit 113, 133 HTTP server function unit 114, 155 OTU generation unit 115, 135 Hash Calculation Unit 121 HTTP Client Function Unit 134, 164 OTU Verification Unit 151 Key Pair Generation Unit 154 Encryption Processing Unit 163 Decryption Processing Unit

Claims (7)

自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを含め、認証コードを含むOne Time URLを発行する仲介サーバと、
前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続するクライアントと、
前記クライアントが接続に用いたOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供する、前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバと、
を具備することを特徴とするURL認証システム。
An intermediary server that issues the One Time URL including the authentication code, including the authentication code that proves the validity of the One Time URL itself in the One Time URL that induces connection to another server different from its own server,
A client that connects to another server different from the mediation server by acquiring the One Time URL issued by the mediation server and tracing the acquired One Time URL;
A service providing server as a server different from the mediation server, which confirms the validity of the One Time URL used by the client for connection and provides a service to the client for which the validity of the One Time URL is confirmed;
A URL authentication system comprising:
前記サービス提供サーバは、前記仲介サーバが認証コードの生成に用いる暗号鍵を共有し、共有した暗号鍵を用いて認証コードの正当性を確認することを特徴とする請求項1に記載のURL認証システム。   2. The URL authentication according to claim 1, wherein the service providing server shares an encryption key used by the mediation server for generating an authentication code, and verifies the validity of the authentication code using the shared encryption key. system. 前記仲介サーバと前記サービス提供サーバとの間にセキュアな通信路を備え、前記通信路を介して前記暗号鍵を共有することを特徴とする請求項2に記載のURL認証システム。   The URL authentication system according to claim 2, wherein a secure communication path is provided between the mediation server and the service providing server, and the encryption key is shared via the communication path. 自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを公開鍵暗号方式に基づく鍵対の一方である秘密鍵を用いて生成し、生成した認証コードを含むOne Time URLを発行する仲介サーバと、
前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続するクライアントと、
前記クライアントが接続に用いたOne Time URLの認証コードに前記秘密鍵と鍵対をなす公開鍵を用いてOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供する、前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバと、
を具備することを特徴とするURL認証システム。
An authentication code that proves the validity of the One Time URL itself is generated using the secret key that is one of the key pairs based on the public key cryptosystem for the One Time URL that induces connection to another server different from the local server. , A mediation server that issues a One Time URL containing the generated authentication code,
A client that connects to another server different from the mediation server by acquiring the One Time URL issued by the mediation server and tracing the acquired One Time URL;
The client confirms the validity of the One Time URL by using the public key that forms a key pair with the secret key in the One Time URL authentication code used by the client to connect to the client. A service providing server as another server different from the mediation server,
A URL authentication system comprising:
自サーバとは異なる他のサーバへの接続を誘導するOne Time URLの正当性を証明する認証コードの生成に第1暗号鍵を用いる認証コード生成手段と、
前記認証コード生成手段によって生成された認証コードを含めたOne Time URLを生成するOne Time URL生成手段と、
前記認証コード生成手段で用いられた第1暗号鍵に応じた第2暗号鍵を前記自サーバとは異なる他のサーバに通知する通知手段と、
を具備することを特徴とする仲介サーバ。
An authentication code generating means that uses the first encryption key to generate an authentication code that proves the validity of the One Time URL that guides connection to another server different from the own server;
One Time URL generating means for generating a One Time URL including the authentication code generated by the authentication code generating means;
Notification means for notifying the second encryption key corresponding to the first encryption key used in the authentication code generation means to another server different from the own server;
A mediation server comprising:
請求項5に記載の仲介サーバから通知された第2暗号鍵を用いて、クライアントが接続に用いたOne Time URLの正当性を検証するOne Time URL検証手段と、
前記One Time URL検証手段によってOne Time URLの正当性が検証されたクライアントにサービスを提供するサービス提供手段と、
を具備することを特徴とするサービス提供サーバ。
One Time URL verification means for verifying the validity of the One Time URL used by the client for connection using the second encryption key notified from the mediation server according to claim 5;
Service providing means for providing a service to a client whose validity of the One Time URL has been verified by the One Time URL verification means;
A service providing server comprising:
仲介サーバが、自サーバとは異なる他のサーバへの接続を誘導するOne Time URLにOne Time URL自体の正当性を証明する認証コードを含め、認証コードを含むOne Time URLを発行し、
クライアントが、前記仲介サーバによって発行されたOne Time URLを取得し、取得したOne Time URLを辿ることにより、前記仲介サーバとは異なる他のサーバに接続し、
前記仲介サーバとは異なる他のサーバとしてのサービス提供サーバが、前記クライアントが接続に用いたOne Time URLの正当性を確認し、One Time URLの正当性が確認されたクライアントにサービスを提供する
ことを特徴とするURL認証方法。
The intermediary server issues a One Time URL including the authentication code, including the authentication code that proves the validity of the One Time URL itself in the One Time URL that induces connection to another server different from its own server,
The client acquires the One Time URL issued by the mediation server, and connects to another server different from the mediation server by tracing the acquired One Time URL.
A service providing server as another server different from the mediation server confirms the validity of the One Time URL used by the client for connection, and provides the service to the client for which the validity of the One Time URL is confirmed. A URL authentication method characterized by the above.
JP2004312084A 2004-10-27 2004-10-27 Url authentication system and url authentication method Pending JP2006128873A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004312084A JP2006128873A (en) 2004-10-27 2004-10-27 Url authentication system and url authentication method
PCT/JP2005/019580 WO2006046548A1 (en) 2004-10-27 2005-10-25 Url authentication system and url authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004312084A JP2006128873A (en) 2004-10-27 2004-10-27 Url authentication system and url authentication method

Publications (1)

Publication Number Publication Date
JP2006128873A true JP2006128873A (en) 2006-05-18

Family

ID=36227788

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004312084A Pending JP2006128873A (en) 2004-10-27 2004-10-27 Url authentication system and url authentication method

Country Status (2)

Country Link
JP (1) JP2006128873A (en)
WO (1) WO2006046548A1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008059550A (en) * 2006-08-01 2008-03-13 Nippon Telegr & Teleph Corp <Ntt> Information browsing system and method thereof
US20090234702A1 (en) * 2008-03-12 2009-09-17 Chester James S Method of process control for widely distributed manufacturing processes
JP2014002435A (en) * 2012-06-15 2014-01-09 Digital Forest Inc Authentication code issuing system and authentication system
JP2016530850A (en) * 2013-09-25 2016-09-29 アマゾン テクノロジーズ インコーポレイテッド Resource locator with key
US10037428B2 (en) 2013-09-25 2018-07-31 Amazon Technologies, Inc. Data security using request-supplied keys
JP2019036347A (en) * 2018-10-24 2019-03-07 キヤノン株式会社 Information processing apparatus, method for controlling information processing apparatus, information processing system, and computer program
KR20220111027A (en) * 2021-02-01 2022-08-09 주식회사 엘지유플러스 Server for mediating fast identity online 2 authentication, and operating method thereof

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008009864A (en) * 2006-06-30 2008-01-17 Ntt Comware Corp Authentication system, authentication method and authentication management device
JP4937021B2 (en) * 2007-07-12 2012-05-23 株式会社エヌ・ティ・ティ・ドコモ Content distribution method and communication system
JP6091230B2 (en) * 2013-01-31 2017-03-08 三菱重工業株式会社 Authentication system and authentication method
JP6409901B2 (en) * 2017-04-24 2018-10-24 株式会社リコー Information processing apparatus, authentication method, program, and authentication system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003066836A (en) * 2001-08-28 2003-03-05 Hitachi Ltd Electronic signature method
JP2004070463A (en) * 2002-08-02 2004-03-04 Sony Corp Information processing system and method, information processing apparatus and method, recording medium, and program

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008059550A (en) * 2006-08-01 2008-03-13 Nippon Telegr & Teleph Corp <Ntt> Information browsing system and method thereof
US20090234702A1 (en) * 2008-03-12 2009-09-17 Chester James S Method of process control for widely distributed manufacturing processes
JP2014002435A (en) * 2012-06-15 2014-01-09 Digital Forest Inc Authentication code issuing system and authentication system
US10412059B2 (en) 2013-09-25 2019-09-10 Amazon Technologies, Inc. Resource locators with keys
JP7175550B2 (en) 2013-09-25 2022-11-21 アマゾン テクノロジーズ インコーポレイテッド resource locator with key
US10037428B2 (en) 2013-09-25 2018-07-31 Amazon Technologies, Inc. Data security using request-supplied keys
JP2018137802A (en) * 2013-09-25 2018-08-30 アマゾン テクノロジーズ インコーポレイテッド Resource locators with keys
US12135796B2 (en) 2013-09-25 2024-11-05 Amazon Technologies, Inc. Data security using request-supplied keys
JP2016530850A (en) * 2013-09-25 2016-09-29 アマゾン テクノロジーズ インコーポレイテッド Resource locator with key
JP2020184800A (en) * 2013-09-25 2020-11-12 アマゾン テクノロジーズ インコーポレイテッド Resource locator with key
US10936730B2 (en) 2013-09-25 2021-03-02 Amazon Technologies, Inc. Data security using request-supplied keys
US11146538B2 (en) 2013-09-25 2021-10-12 Amazon Technologies, Inc. Resource locators with keys
US11777911B1 (en) 2013-09-25 2023-10-03 Amazon Technologies, Inc. Presigned URLs and customer keying
US9819654B2 (en) 2013-09-25 2017-11-14 Amazon Technologies, Inc. Resource locators with keys
JP2019036347A (en) * 2018-10-24 2019-03-07 キヤノン株式会社 Information processing apparatus, method for controlling information processing apparatus, information processing system, and computer program
KR102484660B1 (en) 2021-02-01 2023-01-04 주식회사 엘지유플러스 Server for mediating fast identity online 2 authentication, and operating method thereof
KR20220111027A (en) * 2021-02-01 2022-08-09 주식회사 엘지유플러스 Server for mediating fast identity online 2 authentication, and operating method thereof

Also Published As

Publication number Publication date
WO2006046548A1 (en) 2006-05-04

Similar Documents

Publication Publication Date Title
US8144874B2 (en) Method for obtaining key for use in secure communications over a network and apparatus for providing same
US8179818B2 (en) Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method
JP5021215B2 (en) Reliable third-party authentication for web services
US20060280191A1 (en) Method for verifying and creating highly secure anonymous communication path in peer-to-peer anonymous proxy
US20060143442A1 (en) Automated issuance of SSL certificates
TW200409502A (en) Home terminal apparatus and communication system
CN102077546A (en) Remote access between UPnP devices
CN102217270A (en) Using authentication tokens to authorize a firewall to open a pinhole
JP2006128873A (en) Url authentication system and url authentication method
WO2008095382A1 (en) A method, system and apparatus for establishing transport layer security connection
WO2016112580A1 (en) Service processing method and device
US9553863B2 (en) Computer implemented method and system for an anonymous communication and computer program thereof
Gill et al. Secure remote access to home automation networks
KR101241864B1 (en) System for User-Centric Identity management and method thereof
JP2007334753A (en) Access management system and method
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
Sciancalepore PARFAIT: Privacy-preserving, secure, and low-delay service access in fog-enabled IoT ecosystems
JP2007181123A (en) Digital certificate exchange method, terminal device, and program
JP2008017055A (en) Gateway server
Zhou et al. An Approach for Multi-Level Visibility Scoping of IoT Services in Enterprise Environments
Meddahi et al. Enabling secure third party control on wireless home networks
Alharbi Network Attacks and Defenses for IoT Environments
JP2005244573A (en) Network connection device, network connection method, network connection program and storage medium storing program
JP2005142719A (en) System, method, and program for message verification
Yang et al. mVoIP for P2P service based authentication system using AA authentication server