JP2014086079A - Server device - Google Patents

Abstract

Translated fromJapanese

【課題】 ユーザビリティを著しく損なうことなく不正なログインを抑制する。
【解決手段】 実施形態に係るサーバ装置は、情報を記憶する情報記憶部と、端末装置からのログイン画面の表示要求に応答してログイン認証用の情報を生成する情報生成部と、端末装置にログイン画面を表示させるためのログイン画面データを送信する送信部と、端末装置からログイン情報を受信する受信部と、受信したログイン情報に基づいてログインの許否を判定する判定部とを備える。ログイン画面データには、ログイン認証用の情報を変換する処理の実行命令が含まれる。
【選択図】 図３PROBLEM TO BE SOLVED: To suppress unauthorized login without significantly impairing usability.
A server device according to an embodiment includes an information storage unit that stores information, an information generation unit that generates login authentication information in response to a display request for a login screen from the terminal device, and a terminal device. A transmission unit that transmits login screen data for displaying a login screen, a reception unit that receives login information from the terminal device, and a determination unit that determines whether or not to log in based on the received login information. The login screen data includes an execution instruction for processing for converting information for login authentication.
[Selection] Figure 3

Description

Translated fromJapanese

本発明は、サーバ装置に関し、詳しくは、複数のクライアント端末と通信可能に接続されたサーバ装置に関する。  The present invention relates to a server device, and more particularly, to a server device that is communicably connected to a plurality of client terminals.

従来、この種のサーバ装置としては、インターネットなどのネットワークを介して接続されたクライアント端末のユーザに対して電子商取引などの様々なサービスを提供するサーバ装置が知られており、ユーザは、ユーザＩＤやパスワードを用いてサーバ装置にログインすることにより様々なサービスを利用することができる。例えば、電子商取引においてはクレジットカード情報などのユーザにとって秘匿性の高い情報が取り扱われることが多いこともあり、悪意のある第三者による不正ログインを防止する必要性がある。こうした不正ログインは、不正ログイン専用のプログラムツールを用いて行われることが多く、その対応策として、同一のＩＰアドレスからの連続的なログイン試行を制限するＩＰアドレス制限や画面上に表示された画像に含まれる文字列などをユーザが視認して入力する画像認証、ワンタイムパスワード生成装置によって発行される一時的に有効なパスワードを用いてログインする方法などが提案されている（例えば、特許文献１参照）。  Conventionally, as this type of server device, a server device that provides various services such as electronic commerce to a user of a client terminal connected via a network such as the Internet is known. Various services can be used by logging in to the server device using a password or password. For example, in electronic commerce, information that is highly confidential to users, such as credit card information, is often handled, and there is a need to prevent unauthorized login by a malicious third party. Such unauthorized login is often performed using a program tool dedicated to unauthorized login. As a countermeasure, IP address restriction that restricts continuous login attempts from the same IP address or an image displayed on the screen. There are proposed image authentication in which a user visually recognizes and inputs a character string included in the password, a method of logging in using a temporarily valid password issued by a one-time password generation device (for example, Patent Document 1) reference).

特開２０１２−２７５３０号公報JP 2012-27530 A

しかしながら、ＩＰアドレス制限は、ボットネットなどを利用してＩＰアドレスにランダム性を持たせることによって回避される可能性があり、また、過剰に制限してしまうと通常のユーザによるログインまで制限してしまう恐れが生じる。また、前述した画像認証やワンタイムパスワード生成装置による認証を採用すると、画像に含まれる文字列を視認して入力する必要が生じたり、ワンタイムパスワード生成装置の携帯をユーザに強いることになり、ユーザビリティの低下に繋がってしまう。  However, there is a possibility that IP address restriction may be avoided by giving randomness to the IP address using a botnet or the like, and if it is restricted excessively, it will restrict login to a normal user. There is a risk that it will end up. In addition, if the above-described image authentication or authentication by the one-time password generation device is adopted, it becomes necessary to visually input a character string included in the image, or the user is forced to carry the one-time password generation device. It will lead to deterioration of usability.

本発明は、ユーザビリティを著しく損なうことなく不正なログインを抑制することを目的の一つとする。本発明の他の目的は、本明細書全体を参照することにより明らかとなる。  An object of the present invention is to suppress unauthorized login without significantly impairing usability. Other objects of the present invention will become apparent by referring to the entire specification.

本発明の一実施形態に係るサーバ装置は、複数のクライアント端末と通信可能に接続されたサーバ装置であって、前記クライアント端末からの要求に応答して、ログインページを当該クライアント端末に表示させるための情報であって、所定のパラメータの値と、当該所定のパラメータの値を所定のルールに基づき変換する処理の実行命令とを含むログインページ情報を当該クライアント端末に送信する送信手段と、前記ログインページ情報を受信したクライアント端末から、前記実行命令に応じた前記処理の実行によって変換された前記所定のパラメータの値を少なくとも含むログイン要求を受信する受信手段と、当該受信した前記所定のパラメータの値に少なくとも基づいて前記クライアント端末によるログインの許否を判定する判定手段と、を備える。  A server device according to an embodiment of the present invention is a server device that is communicably connected to a plurality of client terminals, and displays a login page on the client terminal in response to a request from the client terminal. Transmitting means for transmitting login page information to the client terminal including a value of a predetermined parameter and an execution instruction for processing for converting the value of the predetermined parameter based on a predetermined rule; and the login Receiving means for receiving a login request including at least the value of the predetermined parameter converted by execution of the processing according to the execution command from the client terminal that has received page information; and the value of the received predetermined parameter A determination unit for determining whether the client terminal is permitted to log in based on at least And, equipped with a.

本発明の一実施形態に係るシステムは、上述した本発明の一実施形態に係る第１のサーバ装置と上述した本発明の一実施形態に係る第２のサーバ装置とを備えるシステムであっ
て、前記第１のサーバ装置は、前記所定のルールとして第１のルールを適用し、前記第２のサーバ装置は、前記所定のルールとして前記第１のルールとは異なる第２のルールを適用する。A system according to an embodiment of the present invention includes a first server device according to an embodiment of the present invention described above and a second server device according to an embodiment of the present invention described above, The first server device applies a first rule as the predetermined rule, and the second server device applies a second rule different from the first rule as the predetermined rule.

本発明の一実施形態に係るログイン判定方法は、クライアント端末によるログインの許否を判定するログイン判定方法であって、（ａ）前記クライアント端末からの要求に応答して、ログインページを当該クライアント端末に表示させるための情報であって、所定のパラメータの値と、当該所定のパラメータの値を所定のルールに基づき変換する処理の実行命令とを含むログインページ情報を当該クライアント端末に送信し、（ｂ）前記ログインページ情報を受信したクライアント端末から、前記実行命令に応じた前記処理の実行によって変換された前記所定のパラメータの値を少なくとも含むログイン要求を受信し、（ｃ）当該受信した前記所定のパラメータの値に少なくとも基づいて前記クライアント端末によるログインの許否を判定する。  A login determination method according to an embodiment of the present invention is a login determination method for determining whether or not a client terminal can log in. (A) In response to a request from the client terminal, a login page is sent to the client terminal. Login page information including information to be displayed and including a value of a predetermined parameter and an execution instruction of processing for converting the value of the predetermined parameter based on a predetermined rule to the client terminal; ) Receiving a login request including at least the value of the predetermined parameter converted by the execution of the process according to the execution command from the client terminal that has received the login page information; Whether to permit login by the client terminal based on at least a parameter value .

本発明の様々な実施形態によって、ユーザビリティを著しく損なうことなく不正なログインを抑制することができる。  Various embodiments of the present invention can suppress unauthorized logins without significantly impairing usability.

本発明の一実施形態に係るサーバ装置を含むシステムのネットワーク構成を概略的に示すブロック図。1 is a block diagram schematically showing a network configuration of a system including a server device according to an embodiment of the present invention.一実施形態における端末装置のアーキテクチャを概略的に示すブロック図。The block diagram which shows roughly the architecture of the terminal device in one Embodiment.一実施形態に係るサーバ装置の機能を示すブロック図。The block diagram which shows the function of the server apparatus which concerns on one Embodiment.一実施形態におけるトークン管理テーブルの一例を示す説明図。Explanatory drawing which shows an example of the token management table in one Embodiment.一実施形態におけるログイン処理を示すフロー図。The flowchart which shows the login process in one Embodiment.一実施形態におけるログイン画面データの一例を示す説明図。Explanatory drawing which shows an example of the login screen data in one Embodiment.一実施形態におけるログイン画面の一例を示す説明図。Explanatory drawing which shows an example of the login screen in one Embodiment.

以下、適宜図面を参照し、本発明の様々な実施形態を説明する。なお、図面において共通する構成要素には同一の参照符号が付されている。  Hereinafter, various embodiments of the present invention will be described with reference to the drawings as appropriate. In addition, the same referential mark is attached | subjected to the component which is common in drawing.

図１は、本発明の一実施形態としてのサーバ装置１０−１、１０−２（以下、「サーバ装置１０」と総称することがある）を含む本発明の一実施形態としてのシステム１００を概略的に示すブロック図である。図１に示すように、一実施形態におけるシステム１００は、サーバ装置１０−１、１０−２を備え、インターネット等の通信網２０を介して、通信機能を備える複数の端末装置３０−１、３０−２、・・・、３０−Ｎ（以下、「端末装置３０」と総称することがある）と通信可能に接続されている。  FIG. 1 schematically shows asystem 100 according to an embodiment of the present invention including server apparatuses 10-1 and 10-2 (hereinafter may be collectively referred to as “server apparatus 10”) as an embodiment of the present invention. FIG. As illustrated in FIG. 1, asystem 100 according to an embodiment includes server devices 10-1 and 10-2 and a plurality of terminal devices 30-1 and 30-30 having a communication function via acommunication network 20 such as the Internet. ,..., 30-N (hereinafter, sometimes collectively referred to as “terminal device 30”).

一実施形態におけるサーバ装置１０は、図示のとおり、ＣＰＵ１１と、メインメモリ１２と、ユーザＩ／Ｆ１３と、通信Ｉ／Ｆ１４と、外部メモリ１５と、ディスクドライブ１６とを含み、これらの各構成要素がバス１７を介して互いに電気的に接続されている。ＣＰＵ１１は、外部メモリ１５からオペレーティングシステムや様々なプログラムをメインメモリ１２にロードし、ロードしたプログラムに含まれる命令を実行する。メインメモリ１２は、ＣＰＵ１１が実行するプログラムを格納するために用いられ、例えば、ＤＲＡＭによって構成される。  As illustrated, theserver device 10 according to the embodiment includes a CPU 11, a main memory 12, a user I /F 13, a communication I /F 14, anexternal memory 15, and adisk drive 16. Are electrically connected to each other via a bus 17. The CPU 11 loads an operating system and various programs from theexternal memory 15 to the main memory 12 and executes instructions included in the loaded programs. The main memory 12 is used for storing a program executed by the CPU 11, and is constituted by, for example, a DRAM.

ユーザＩ／Ｆ１３は、例えば、オペレータの入力を受け付けるキーボードやマウス等の情報入力装置と、ＣＰＵ１１の演算結果を出力する液晶ディスプレイ等の情報出力装置とを含む。通信Ｉ／Ｆ１４は、ハードウェア、ファームウェア、又はＴＣＰ／ＩＰドライバ
やＰＰＰドライバ等の通信用ソフトウェア又はこれらの組み合わせとして実装され、通信網２０を介して端末装置３０と通信可能に構成される。The user I /F 13 includes, for example, an information input device such as a keyboard and a mouse that accepts an operator input, and an information output device such as a liquid crystal display that outputs a calculation result of the CPU 11. The communication I / F 14 is implemented as hardware, firmware, communication software such as a TCP / IP driver or a PPP driver, or a combination thereof, and is configured to be able to communicate with theterminal device 30 via thecommunication network 20.

外部メモリ１５は、例えば磁気ディスクドライブで構成され、様々なプログラムが記憶される。また、外部メモリ１５には、各種データも記憶され得る。外部メモリ１５に記憶され得る各種データは、サーバ装置１０と通信可能に接続される、サーバ装置１０とは物理的に別体のデータベースサーバに格納されてもよい。ディスクドライブ１６は、ＣＤ−ＲＯＭ、ＤＶＤ−ＲＯＭ、ＤＶＤ−Ｒ等の各種の記憶メディアに格納されたデータを読み込み、又は、これらの記憶メディアにデータを書き込む。例えば、記憶メディアに格納されたアプリケーションやデータは、ディスクドライブ１６により読み込まれ、外部メモリ１５にインストールされる。  Theexternal memory 15 is composed of a magnetic disk drive, for example, and stores various programs. Theexternal memory 15 can also store various data. Various types of data that can be stored in theexternal memory 15 may be stored in a database server physically connected to theserver apparatus 10 that is communicably connected to theserver apparatus 10. Thedisk drive 16 reads data stored in various storage media such as CD-ROM, DVD-ROM, and DVD-R, or writes data to these storage media. For example, applications and data stored in the storage medium are read by thedisk drive 16 and installed in theexternal memory 15.

一実施形態において、サーバ装置１０は、端末装置３０とＨＴＴＰによる通信を行うウェブサーバとして機能し、階層構造の複数のウェブページから成るウェブサイトを管理すると共に端末装置３０に対して様々なサービスを提供する。端末装置３０は、ウェブページを表示するためのＨＴＭＬデータをサーバ装置１０から取得し、取得したＨＴＭＬデータを解析して、当該ウェブページを端末装置３０のユーザに提示することができる。外部メモリ１５には、このウェブページを表示するためのＨＴＭＬデータも記憶される。ＨＴＭＬデータは、ＨＴＭＬ等のマークアップ言語で記述されたＨＴＭＬ文書から成り、このＨＴＭＬ文書には、様々な画像が関連付けられる。また、ＨＴＭＬ文書には、ＡｃｔｉｏｎＳｃｒｉｐｔやＪａｖａＳｃｒｉｐｔ（登録商標）等のスクリプト言語等で記述されたプログラムが埋め込まれ得る。  In one embodiment, theserver device 10 functions as a web server that performs HTTP communication with theterminal device 30, manages a website including a plurality of hierarchical web pages, and provides various services to theterminal device 30. provide. Theterminal device 30 can acquire HTML data for displaying a web page from theserver device 10, analyze the acquired HTML data, and present the web page to the user of theterminal device 30. Theexternal memory 15 also stores HTML data for displaying this web page. The HTML data is composed of an HTML document described in a markup language such as HTML, and various images are associated with the HTML document. A program written in a script language such as ActionScript or Javascript (registered trademark) can be embedded in the HTML document.

外部メモリ１５には、端末装置３０においてブラウザソフトウェア以外の実行環境上で実行されるアプリケーションも格納され得る。このアプリケーションには、プログラムや当該プログラム実行時に参照される画像データ等の各種データを含めることができる。プログラムは、例えば、Ｏｂｊｅｃｔｉｖｅ−Ｃ、Ｊａｖａ（登録商標）等のオブジェクト指向プログラミング言語で作成される。作成されたプログラムは、各種データとともに、アプリケーションソフトウェアとして外部メモリ１５に記憶される。外部メモリ１５に記憶されたアプリケーションソフトウェアは、配信要求に応じて、端末装置３０に配信される。サーバ装置１０から配信されたアプリケーションソフトウェアは、端末装置３０において、ＣＰＵ３１の制御に従って通信Ｉ／Ｆ３４を介して受信され、受信されたプログラムが外部メモリ３５に送信され記憶される。このアプリケーションソフトウェアは、プレイヤによる端末装置３０の操作に応じて起動され、端末装置３０に実装されたＮｇＣｏｒｅ（商標）やＡｎｄｒｏｉｄ（商標）等のプラットフォーム上で実行される。  Theexternal memory 15 can also store an application executed on the execution environment other than the browser software in theterminal device 30. The application can include various data such as a program and image data referred to when the program is executed. The program is created in an object-oriented programming language such as Objective-C or Java (registered trademark). The created program is stored in theexternal memory 15 as application software together with various data. The application software stored in theexternal memory 15 is distributed to theterminal device 30 in response to the distribution request. The application software distributed from theserver device 10 is received by theterminal device 30 via the communication I /F 34 under the control of theCPU 31, and the received program is transmitted and stored in theexternal memory 35. This application software is activated in response to the operation of theterminal device 30 by the player, and is executed on a platform such as NgCore (trademark) or Android (trademark) installed in theterminal device 30.

このように、サーバ装置１０は、サービスを提供するウェブサイトを管理し、当該ウェブサイトを構成するウェブページを端末装置３０からの要求に応じて配信する。また、サーバ装置１０は、このようなブラウザを介したサービスとは代替的に、又は、ブラウザを介したサービスに加えて、端末装置３０で実行されるアプリケーションとの通信に基づいてサービスを提供することができる。サーバ装置１０は、いずれの態様でサービスを提供するにしても、各ユーザを識別する識別情報ごとにサービスの提供に必要なデータを記憶することができる。サーバ装置１０により提供されるサービスとしては、オンラインゲーム、ソーシャルネットワーキングサービス（ＳＮＳ）、電子商取引、または、音楽、電子書籍、若しくは、動画などのデジタルコンテンツの配信などを挙げることができるが、これらには限れない。  As described above, theserver device 10 manages a website that provides a service, and distributes a web page that constitutes the website in response to a request from theterminal device 30. Further, theserver device 10 provides a service based on communication with an application executed on theterminal device 30 in place of the service via the browser or in addition to the service via the browser. be able to. Theserver device 10 can store data necessary for providing the service for each identification information for identifying each user, regardless of the mode of providing the service. Examples of the services provided by theserver device 10 include online games, social networking services (SNS), electronic commerce, and distribution of digital contents such as music, electronic books, and videos. Is not limited.

端末装置３０は、一実施形態において、サーバ装置１０から取得したウェブページをウェブブラウザ上で表示することができる任意の情報処理装置であり、例えば、携帯電話機、スマートフォン、ゲーム用コンソール、パーソナルコンピュータ、タッチパッド、及び
電子書籍リーダーを含むがこれらには限られない。また、端末装置３０は、アプリケーションを実行するためのアプリケーション実行環境を実装した任意の情報処理装置でもあり得る。In one embodiment, theterminal device 30 is an arbitrary information processing device capable of displaying a web page acquired from theserver device 10 on a web browser. For example, a mobile phone, a smartphone, a game console, a personal computer, Including but not limited to touchpads and electronic book readers. In addition, theterminal device 30 can be any information processing device in which an application execution environment for executing an application is installed.

端末装置３０のアーキテクチャについて図２を参照して説明する。図２は、端末装置３０のアーキテクチャを概念的に示すブロック図である。端末装置３０は、図示のとおり、ＣＰＵ３１と、メインメモリ３２と、ユーザＩ／Ｆ３３と、通信Ｉ／Ｆ３４と、外部メモリ３５と、を含み、これらの各構成要素がバス３６を介して互いに電気的に接続されている。  The architecture of theterminal device 30 will be described with reference to FIG. FIG. 2 is a block diagram conceptually showing the architecture of theterminal device 30. As illustrated, theterminal device 30 includes aCPU 31, amain memory 32, a user I /F 33, a communication I /F 34, and anexternal memory 35, and these components are electrically connected to each other via abus 36. Connected.

ＣＰＵ３１は、外部メモリ３５からオペレーティングシステム等の様々なプログラムをメインメモリ３２にロードし、ロードしたプログラムに含まれる命令を実行する。メインメモリ３２は、ＣＰＵ３１が実行するプログラムを格納するために用いられ、例えば、ＤＲＡＭによって構成される。  TheCPU 31 loads various programs such as an operating system from theexternal memory 35 to themain memory 32 and executes instructions included in the loaded program. Themain memory 32 is used for storing a program executed by theCPU 31, and is constituted by, for example, a DRAM.

ユーザＩ／Ｆ３３は、例えば、ユーザの入力を受け付けるタッチパネル、キーボード、ボタンやマウス等の情報入力装置と、ＣＰＵ３１の演算結果を出力する液晶ディスプレイ等の情報出力装置とを含む。通信Ｉ／Ｆ３４は、ハードウェア、ファームウェア、又は、ＴＣＰ／ＩＰドライバやＰＰＰドライバ等の通信用ソフトウェア又はこれらの組み合わせとして実装され、通信網２０を介してサーバ装置１０と通信可能に構成される。  The user I /F 33 includes, for example, an information input device such as a touch panel that accepts user input, a keyboard, buttons, and a mouse, and an information output device such as a liquid crystal display that outputs the calculation results of theCPU 31. The communication I /F 34 is implemented as hardware, firmware, communication software such as a TCP / IP driver or a PPP driver, or a combination thereof, and is configured to be able to communicate with theserver device 10 via thecommunication network 20.

外部メモリ３５は、例えば磁気ディスクドライブやフラッシュメモリ等により構成され、オペレーティングシステム等の様々なプログラムを記憶する。また、外部メモリ３５は、サーバ装置１０から通信Ｉ／Ｆ３４を介してアプリケーションを受信した場合には、この受信したアプリケーションを記憶する。  Theexternal memory 35 is configured by, for example, a magnetic disk drive, a flash memory, or the like, and stores various programs such as an operating system. Further, when receiving an application from theserver device 10 via the communication I /F 34, theexternal memory 35 stores the received application.

このようなアーキテクチャを有する端末装置３０は、例えば、ＨＴＭＬ形式のファイル（ＨＴＭＬデータ）を解釈して画面表示するためのブラウザソフトウェアを備えており、このブラウザソフトウェアの機能によりサーバ装置１０から取得したＨＴＭＬデータを解釈して、受信したＨＴＭＬデータに対応するウェブページを表示することができる。また、端末装置３０は、ブラウザソフトウェアに組み込まれるプラグインソフト（例えば、アドビシステムズ社から提供されているＦｌａｓｈ Ｐｌａｙｅｒ）を備えており、ＨＴＭＬデータに埋め込まれたＳＷＦ形式のファイルをサーバ装置１０から取得し、当該ＳＷＦ形式のファイルをブラウザソフトウェア及びプラグインソフトを用いて実行することができる。  Theterminal device 30 having such an architecture includes, for example, browser software for interpreting an HTML format file (HTML data) and displaying it on the screen, and the HTML acquired from theserver device 10 by the function of the browser software. The data can be interpreted to display a web page corresponding to the received HTML data. Further, theterminal device 30 includes plug-in software (for example, Flash Player provided by Adobe Systems) incorporated in browser software, and acquires a SWF format file embedded in HTML data from theserver device 10. The SWF format file can be executed using browser software and plug-in software.

次に、図１に示した各構成要素によって実現されるサーバ装置１０の機能について説明する。図３は、本発明の一実施形態に係るサーバ装置１０の機能を示すブロック図である。この実施形態に係るサーバ装置１０は、図に示すように、情報を記憶する情報記憶部５２と、端末装置３０からのログイン画面の表示要求に応答してログイン認証用の情報を生成する情報生成部５３と、端末装置３０にログイン画面を表示させるためのログイン画面データを送信する送信部５４と、端末装置３０からログイン情報を受信する受信部５５と、受信したログイン情報に基づいてログインの許否を判定する判定部５６とを備える。これらの機能は、ＣＰＵ１１やメインメモリ１２、外部メモリ１５に記憶されている各種プログラムやテーブルなどが協働して動作することにより実現される。なお、上述した機能は、一実施形態に係るサーバ装置１０におけるログイン判定に関連する機能であり、これらの機能の他に、サーバ装置１０によって提供されるサービスを実現するための各種の機能を有する。  Next, functions of theserver device 10 realized by the components shown in FIG. 1 will be described. FIG. 3 is a block diagram illustrating functions of theserver device 10 according to the embodiment of the present invention. As shown in the figure, theserver device 10 according to this embodiment includes aninformation storage unit 52 that stores information, and information generation that generates information for login authentication in response to a login screen display request from theterminal device 30.Unit 53, a transmission unit 54 that transmits login screen data for displaying a login screen onterminal device 30, a reception unit 55 that receives login information fromterminal device 30, and whether or not to log in based on the received login information And adetermination unit 56 for determining whether or not. These functions are realized by various programs and tables stored in the CPU 11, the main memory 12, and theexternal memory 15 operating in cooperation. The functions described above are functions related to login determination in theserver device 10 according to an embodiment. In addition to these functions, the functions include various functions for realizing services provided by theserver device 10. .

情報記憶部５２は、ログイン認証用の情報としてのトークンを管理するトークン管理テ
ーブル５２ａを備える。トークン管理テーブル５２ａの一例を図４に示す。トークン管理テーブル５２ａは、図示するように、端末装置３０を識別する端末ＩＤに対応付けて、情報生成部５３によって生成したトークンを記憶する。図４に例示するように、端末ＩＤとトークンは、共に、複数の英数字がランダムに配置された文字列として構成される。Theinformation storage unit 52 includes a token management table 52a that manages tokens as information for login authentication. An example of the token management table 52a is shown in FIG. As illustrated, the token management table 52a stores a token generated by theinformation generation unit 53 in association with a terminal ID that identifies theterminal device 30. As illustrated in FIG. 4, both the terminal ID and the token are configured as a character string in which a plurality of alphanumeric characters are randomly arranged.

次に、こうして構成された本発明の一実施形態としてのサーバ装置１０の動作について説明する。図５は、サーバ装置１０により実行されるログイン処理の一例を示すフロー図である。このログイン処理は、端末装置３０からサーバ装置１０のログイン画面の表示要求があったときに実行される。具体的には、一実施形態においては、サーバ装置３０のＷｅｂブラウザやアプリケーションからサーバ装置１０が提供するサービスのログイン画面のＵＲＬを指定したＨＴＴＰリクエストを受信したときに実行される。ログイン処理では、まず、ログイン画面の表示要求の送信元の端末装置３０を識別する端末ＩＤとログイン認証に用いる認証用情報としてのトークンを発行しトークン管理テーブル５２ａに記憶する（ステップＳ１０２）。端末ＩＤとトークンは、前述したように、複数の英数字がランダムに配置された文字列として構成されており、こうしたランダムな文字列は、乱数生成アルゴリズムを実装したＣＧＩ（Ｃｏｍｍｏｎ Ｇａｔｅｗａｙ Ｉｎｔｅｒｆａｃｅ）などを用いて生成することができる。端末ＩＤは、一実施形態においては、ＨＴＴＰにおけるクライアントとしての端末装置３０を識別する情報であり、サーバ装置１０と端末装置３０とのＨＴＴＰによる通信の際にクッキーとしてやり取りされる情報である。また、一実施形態においては、端末ＩＤとトークンとは別々のアルゴリズムを用いて生成することにより、相互に関連性を持たせないようにした。これは、相互に関連性を持たせると、一方の情報が悪意のある第三者に知られた場合に、もう一方の情報についても知られてしまう可能性が高くなることに基づく。  Next, the operation of theserver device 10 configured as described above as an embodiment of the present invention will be described. FIG. 5 is a flowchart illustrating an example of a login process executed by theserver device 10. This login process is executed when a request to display the login screen of theserver device 10 is received from theterminal device 30. Specifically, in one embodiment, it is executed when an HTTP request specifying a URL of a login screen of a service provided by theserver device 10 is received from a Web browser or an application of theserver device 30. In the login process, first, a terminal ID for identifying theterminal device 30 that is the transmission source of the login screen display request and a token as authentication information used for login authentication are issued and stored in the token management table 52a (step S102). As described above, the terminal ID and the token are configured as a character string in which a plurality of alphanumeric characters are arranged at random. Such a random character string is a CGI (Common Gateway Interface) that implements a random number generation algorithm. Can be used. In one embodiment, the terminal ID is information for identifying theterminal device 30 as a client in HTTP, and is information exchanged as a cookie during communication between theserver device 10 and theterminal device 30 using HTTP. In one embodiment, the terminal ID and the token are generated using different algorithms so that they are not related to each other. This is based on the fact that when one information is known to a malicious third party, there is a high possibility that the other information is also known when the information is related to each other.

端末ＩＤとトークンを発行すると、次に、発行したトークンの値を変換する（ステップＳ１０４）。一実施形態においては、トークンの値の変換は文字列の順序を逆順にすることにより行われる。例えば、トークン「Ｐｆ９４３ｒＷａｄ８Ｑｒｄｃ」は「ｃｄｒＱ８ｄａＷｒ３４９ｆＰ」へと変換される。こうした文字列の順序を逆順にする変換は、文字列の順序を逆順にする文字列操作用の関数などを実装したＣＧＩなどを用いて行なうことができる。  When the terminal ID and token are issued, the issued token value is converted (step S104). In one embodiment, token value conversion is performed by reversing the order of the strings. For example, the token “Pf943rWad8Qrdc” is converted into “cdrQ8daWr349fP”. Such conversion for reversing the order of character strings can be performed using CGI or the like that implements a function for manipulating character strings that reverses the order of character strings.

続いて、値を変換したトークンを埋め込んだログイン画面データを端末装置３０に送信する（ステップＳ１０６）。図６は、サーバ装置１０から端末装置３０に送信されるログイン画面データ６０の一部の一例であり、図７は、ログイン画面データ６０を読み込んだ端末装置３０のＷｅｂブラウザなどによって表示されるログイン画面７０の一例である。この例のログイン画面データ６０は、図示するように、ＨＴＭＬデータとして構成され、ＪａｖａＳｃｒｉｐｔ（登録商標）により記述されたスクリプト・セクション６２と、ユーザによる入力項目などを定義するフォーム・セクション６４とを含む。値を変換したトークンは、スクリプト・セクション６２の「ｖａｒ ｔｏｋｅｎ ＝ “ｃｄｒｑ８ｄａｗｒ３４９ｆｐ”」と記述されている部分に埋め込まれている。また、スクリプト・セクション６２の「ｆｏｒｍ．ｔｏｋｅｎ．ｖａｌｕｅ ＝ ｔｏｋｅｎ．ｓｐｌｉｔ（“”）．ｒｅｖｅｒｓｅ（）．ｊｏｉｎ（“”）；」と記述されている部分は、埋め込まれているトークンを変換する処理の実行命令を定義しており、具体的には、一実施形態においては、トークンの文字列の順序を逆順にする文字列操作の実行命令を定義している。即ち、ステップＳ１０４で文字列の順序を逆順に変換されたトークンは、このスクリプト・セクション６２に定義されてる変換処理が端末装置３０において実行されることによって、再度、文字列の順序が逆順に変換され、この結果、ステップＳ１０２で発行された元のトークンの値に戻されることになる。フォーム・セクション６４は、図７に例示するログイン画面７０における入力項目であるユーザＩＤ入力欄７１およびパスワード入力欄７２やログインボタン７３などを定義し、＜ｉｎｐｕｔ ｔｙｐｅ＝“ｈｉｄｄｅｎ” ｎａｍ
ｅ ＝“ｔｏｋｅｎ” ｖａｌｕｅ＝“”／＞と記述されている部分では、トークンをログイン画面７０には表示されない隠し項目として定義している。隠し項目として定義されているトークンは、ログイン画面７０には表示されないが、ユーザＩＤ入力欄７１やパスワード入力欄７２に入力される値と共に、サーバ装置１０に送信される情報である。Subsequently, the login screen data in which the token whose value has been converted is embedded is transmitted to the terminal device 30 (step S106). 6 is an example of a part of thelogin screen data 60 transmitted from theserver device 10 to theterminal device 30, and FIG. 7 is a login displayed by the Web browser of theterminal device 30 that has read thelogin screen data 60. It is an example of thescreen 70. FIG. As shown in the figure, thelogin screen data 60 in this example is configured as HTML data, and includes ascript section 62 described by JavaScript (registered trademark), and aform section 64 defining user input items and the like. . The token whose value has been converted is embedded in a portion where “var token =“ cdrq8dawr349fp ”” is described in thescript section 62. In thescript section 62, “form.token.value = token.split (“ ”). Reverse (). Join (“ ”);” ”is a process for converting an embedded token. Specifically, in one embodiment, an execution instruction for character string operation that reverses the order of the character strings of tokens is defined. That is, the tokens whose order of the character strings is converted in the reverse order in step S104 are converted again in the reverse order of the character strings by executing the conversion process defined in thescript section 62 in theterminal device 30. As a result, the original token value issued in step S102 is restored. Theform section 64 defines a userID input field 71, apassword input field 72, alogin button 73, and the like, which are input items on thelogin screen 70 illustrated in FIG. 7, and <input type = “hidden” nam
In the portion described as e = “token” value = “” />, the token is defined as a hidden item that is not displayed on thelogin screen 70. The token defined as the hidden item is information that is not displayed on thelogin screen 70 but is transmitted to theserver device 10 together with the values input in the userID input field 71 and thepassword input field 72.

こうしたログイン画面データを端末装置３０が受信すると、端末装置３０のＷｅｂブラウザなどによってログイン画面データが解析されログイン画面７０が表示される。端末装置３０のユーザがログイン画面７０のユーザＩＤ入力欄７１とパスワード入力欄７２にユーザＩＤとパスワードをそれぞれ入力し、ログインボタン７３を押下すると、ログイン画面データ６０のスクリプト・セクション６２に定義されているトークンを変換する処理が実行され、入力されたユーザＩＤとパスワードと共に、この変換されたトークンがサーバ装置１０に送信される。  When theterminal device 30 receives such login screen data, the login screen data is analyzed by the Web browser of theterminal device 30 and thelogin screen 70 is displayed. When the user of theterminal device 30 inputs a user ID and a password in the userID input field 71 and thepassword input field 72 of thelogin screen 70 and presses thelogin button 73, it is defined in thescript section 62 of thelogin screen data 60. The token is converted, and the converted token is transmitted to theserver device 10 together with the input user ID and password.

端末装置３０がユーザＩＤ、パスワード、および、変換されたトークンを送信すると、サーバ装置１０はこれらの情報を受信し（ステップＳ１０８）、まず、受信した変換されたトークンの値に基づく認証を行なう（ステップＳ１１０）。具体的には、端末装置３０の端末ＩＤに対応するトークンをトークン管理テーブル５２ａから取得して端末装置３０から受信した変換されたトークンと比較し、これらのトークンの値が一致する場合には認証ＯＫと判断し、これらのトークンの値が異なる場合には認証ＮＧと判断する。前述したように、トークン管理テーブル５２ａで管理されているトークンは、ステップＳ１０２で発行された元のトークンであり、端末装置３０が送信するトークンは、一旦ステップＳ１０４で文字列の順序が逆順に変換され、その後、ログイン画面データ６０のスクリプト・セクション６２で定義された変換処理の実行命令に応じて端末装置３０によって、再度、文字列の順序が逆順に変換されたものである。従って、上述した手順通りの動作をしていれば、トークン管理テーブル５２ａで管理されているトークンの値と端末装置３０から受信するトークンの値とは一致し、認証ＯＫと判断される。  When theterminal device 30 transmits the user ID, the password, and the converted token, theserver device 10 receives these pieces of information (step S108), and first performs authentication based on the received converted token value (step S108). Step S110). Specifically, the token corresponding to the terminal ID of theterminal device 30 is acquired from the token management table 52a and compared with the converted token received from theterminal device 30, and authentication is performed when the values of these tokens match. If it is determined to be OK and the values of these tokens are different, it is determined to be authentication NG. As described above, the token managed in the token management table 52a is the original token issued in step S102, and the token transmitted by theterminal device 30 is once converted in the reverse order of the character string in step S104. Thereafter, the order of the character strings is again converted in reverse order by theterminal device 30 in accordance with the execution instruction of the conversion process defined in thescript section 62 of thelogin screen data 60. Therefore, if the operation is performed according to the procedure described above, the value of the token managed in the token management table 52a matches the value of the token received from theterminal device 30, and it is determined that the authentication is OK.

ここで、悪意のある第三者がサーバ装置１０への不正ログインを試みる場合について考える。不正ログイン専用のプログラムツールは、一般に、一実施形態におけるサーバ装置１０のログイン画面７０のようなログイン画面のＨＴＭＬデータに基づいて、ユーザＩＤやパスワードなどのログインに必要なログイン情報のサーバ装置への送信方法を解析することにより、ユーザの操作を完全に再現することなくログイン情報を送信することを可能とする（例えば、ログイン画面を介することなくログイン情報を送信することができる）。これにより、例えば、一組のユーザＩＤとパスワードを用いて多数のサイトにログインを試行したり、あるいは、１つのサイトに対して膨大な数のユーザＩＤとパスワードとの組み合わせを用いたログインを試行したりすることができるようになり、その結果、ユーザＩＤとパスワードとが正しい組み合わせとなったときに不正なログインを可能としてしまう。ログイン情報の送信方法の解析は、ＨＴＭＬデータを構成するタグなどの文字列を正規表現を用いた検索などを実行することによって行なわれ、例えば、ログイン画面データ６０の場合には、フォーム・セクション６２の＜ｉｎｐｕｔ ｔｙｐｅ＝“ｈｉｄｄｅｎ” ｎａｍｅ ＝“ｔｏｋｅｎ” ｖａｌｕｅ＝“”／＞との記載に基づき、隠し項目「ｔｏｋｅｎ」が必要なログイン情報の一つとして含まれると解析され、スクリプト・セクション６２の「ｖａｒ ｔｏｋｅｎ ＝ “ｃｄｒｑ８ｄａｗｒ３４９ｆｐ”」との記載に基づき、隠し項目「ｔｏｋｅｎ」の値が「ｃｄｒｑ８ｄａｗｒ３４９ｆｐ」であると解析される。しかし、一実施形態におけるサーバ装置１０では、ログイン画面データ６０に埋め込まれているトークンは、元のトークンの文字列の順序を逆順に変換したものであり、そのままサーバ装置１０へ送信すると、トークン管理テーブル５２ａで管理されているトークンの値と一致しない（上述した例では、プログラムツールから送信されるトークンの値は「ｃｄｒｑ８ｄａｗｒ３４９ｆｐ」であり、トークン管理テーブル５２ａで管理されているトークンの値は「Ｐｆ９４３ｒＷａｄ８Ｑｒｄｃ」である）。この場合、認証
ＮＧと判断され、ログイン処理は強制終了される（ステップＳ１１６）。Here, consider a case where a malicious third party attempts unauthorized login to theserver device 10. Generally, the program tool dedicated to unauthorized login is based on HTML data of a login screen such as thelogin screen 70 of theserver device 10 in one embodiment, and login information necessary for login such as a user ID and a password to the server device. By analyzing the transmission method, login information can be transmitted without completely reproducing the user's operation (for example, login information can be transmitted without going through a login screen). As a result, for example, login to a large number of sites using a set of user IDs and passwords, or login using a huge number of combinations of user IDs and passwords to one site is attempted. As a result, unauthorized login is possible when the user ID and password are in the correct combination. The login information transmission method is analyzed by executing a search using a regular expression for a character string such as a tag constituting HTML data. For example, in the case of thelogin screen data 60, aform section 62 is used. Based on the description of <input type = “hidden” name = “token” value = “” />, it is analyzed that the hidden item “token” is included as one of the necessary login information, and thescript section 62 Based on the description of “var token =“ cdrq8dawr349fp ””, the value of the hidden item “token” is analyzed as “cdrq8dawr349fp”. However, in theserver apparatus 10 according to the embodiment, the token embedded in thelogin screen data 60 is obtained by converting the order of the character string of the original token in the reverse order. It does not match the token value managed in the table 52a (in the above example, the token value transmitted from the program tool is “cdrq8dawr349fp”, and the token value managed in the token management table 52a is “Pf943rWad8Qrdc”. "). In this case, it is determined as authentication NG, and the login process is forcibly terminated (step S116).

トークンの値に基づく認証によって認証ＯＫと判断された場合には、次に、ユーザＩＤとパスワードに基づく認証が行なわれる（ステップＳ１１２）。ユーザＩＤとパスワードに基づく認証は、例えば、サーバ装置１０が提供するサービスのユーザがユーザ登録する際などに入力したユーザＩＤとパスワードとの組み合わせを情報記憶部５２が有する図示しないテーブルなどに記憶しておき、この記憶したユーザＩＤとパスワードとの組み合わせと照合することによって行なうことができる。こうしたユーザＩＤとパスワードに基づく認証は、一般的な処理であるからこれ以上の詳細な説明は省略する。ユーザＩＤとパスワードに基づく認証の結果、認証ＮＧと判断された場合には、ステップＳ１０６に戻り、再度ログイン画面データ６０を送信し、認証ＯＫと判断された場合には、ログイン後の画面（例えば、提供するサービスのトップ画面など）の画面データを端末装置３０に送信し（ステップＳ１１４）、ログイン処理を終了する。  If it is determined that the authentication is OK based on the authentication based on the token value, then the authentication based on the user ID and the password is performed (step S112). In the authentication based on the user ID and the password, for example, a combination of the user ID and the password input when the user of the service provided by theserver device 10 performs user registration is stored in a table (not illustrated) included in theinformation storage unit 52. This can be done by collating with the stored combination of user ID and password. Since such authentication based on the user ID and password is a general process, further detailed description is omitted. As a result of authentication based on the user ID and password, if it is determined as authentication NG, the process returns to step S106, and thelogin screen data 60 is transmitted again. If it is determined as authentication OK, a screen after login (for example, Screen data of the service to be provided) is transmitted to the terminal device 30 (step S114), and the login process is terminated.

ここで、上述したログイン処理では、ステップＳ１０４におけるトークンの変換やステップＳ１０６において端末装置３０に送信するログイン画面データ６０に実行命令として含まれるトークンの変換は、トークンの文字列の順序を逆順にする文字列操作を例示したが、一実施形態に係るシステム１００のサーバ装置１０−１とサーバ装置１０−２とでは、このトークンの変換の処理内容が異なるようになっている。例えば、一方は上述した「トークンの文字列の順序を逆順にする文字列操作」によってトークンの変換を行なうものとし、他方は「予め決められた位置の文字列を交換する（例えば、２番目と５番目を交換し７番目と１２番目を交換する）文字列操作」によってトークンの変換を行なうものとされている。このように、サーバ装置１０−１とサーバ装置１０−２との間でトークンの変換の処理内容を異なるようにすることにより、一方のログイン画面におけるログイン情報の送信方法が解析されてしまった場合に、他方のログイン画面に対する不正ログインが可能となるのを防止することができる。例えば、同一の事業者が、サーバ装置１０−１とサーバ装置１０−２とを異なるサービスを提供するサーバとして運用する場合、一方のサービスに対する不正ログインが可能となっても、他方のサービスに対する不正ログインが可能となるのを防止することができる。  Here, in the login process described above, the token conversion in step S104 and the token conversion included in thelogin screen data 60 transmitted to theterminal device 30 in step S106 as an execution command reverse the order of the token character strings. Although the character string operation is illustrated, the processing contents of the token conversion are different between the server apparatus 10-1 and the server apparatus 10-2 of thesystem 100 according to the embodiment. For example, one side performs token conversion by the above-described “character string operation that reverses the order of token character strings”, and the other “exchanges character strings at predetermined positions (for example, second and It is assumed that token conversion is performed by “character string operation” in which the fifth is exchanged and the seventh and twelfth are exchanged. As described above, when the token conversion process is different between the server device 10-1 and the server device 10-2, the login information transmission method on one login screen has been analyzed. In addition, unauthorized login to the other login screen can be prevented. For example, when the same business operator operates the server device 10-1 and the server device 10-2 as servers that provide different services, even if an unauthorized login for one service is possible, an unauthorized operation for the other service is possible. It is possible to prevent login.

以上説明した本発明の一実施形態におけるサーバ装置１０によれば、端末装置３０からサーバ装置１０のログイン画面の表示要求があったときに、この端末装置３０に対してトークンを発行すると共にトークンの文字列の順序を逆順に変換し、変換したトークンとこの変換したトークンの文字列の順序を再度逆順に変換する処理の実行命令とを含むログイン画面データを端末装置３０に送信し、端末装置３０からログイン情報の一部として再度逆順に変換されたトークンを受信すると、このトークンに基づく認証を行なう。したがって、ログイン画面データに含まれる文字列を検索して解析する一般的な不正ログイン用のプログラムツールなどによる不正ログインを抑制することができる。さらに、端末装置３０のユーザはこうしたログイン判定の仕組みを意識する必要がないから、ユーザビリティを著しく損なうことがない。  According to theserver device 10 in the embodiment of the present invention described above, when theterminal device 30 requests to display the login screen of theserver device 10, the token is issued to theterminal device 30 and the token is displayed. Theterminal screen 30 is transmitted to theterminal device 30 by converting the order of the character strings in reverse order, and transmitting the login screen data including the converted token and the execution instruction of the processing for converting the order of the character strings of the converted tokens again in reverse order. When a token converted again in reverse order is received as a part of the login information, authentication based on this token is performed. Therefore, unauthorized login by a general unauthorized login program tool that searches and analyzes a character string included in login screen data can be suppressed. Further, since the user of theterminal device 30 does not need to be aware of such a login determination mechanism, usability is not significantly impaired.

以上説明した本発明の一実施形態におけるシステム１００によれば、端末装置１０−１と端末装置１０−２との間でトークンの変換の処理内容を異なるようにするから、一方のログイン画面におけるログイン情報の送信方法が解析されてしまった場合に、他方のログイン画面に対する不正ログインが可能となるのを防止することができる。  According to thesystem 100 according to the embodiment of the present invention described above, the token conversion process is made different between the terminal device 10-1 and the terminal device 10-2. When the information transmission method has been analyzed, it is possible to prevent unauthorized login to the other login screen.

一実施形態のサーバ装置１０では、端末装置３０に対してトークンを発行すると共にトークンの文字列の順序を逆順に変換し、変換したトークンをログイン画面データに埋め込んだが、発行したトークンの文字列の順序を逆順に変換することなく、そのままログイン画面データに埋め込むものとしても良い。この場合、端末装置３０からは元のトークンの
文字列の順序が逆順に変換されたトークンが送信されるから、ステップＳ１１０のトークンの値に基づく認証の際には、受信したトークンの値と、発行したトークンの文字列の順序を逆順に変換した値とを比較すれば良い。この態様であっても、不正ログイン用のプログラムツールなどからは発行したトークンがそのまま送信されるから、トークンに基づく認証で検出することができ、不正ログインを抑制することができる。In theserver device 10 according to the embodiment, the token is issued to theterminal device 30 and the order of the token character string is converted in the reverse order, and the converted token is embedded in the login screen data. It may be embedded in the login screen data as it is without converting the order in reverse order. In this case, since the token device in which the order of the character string of the original token is converted in the reverse order is transmitted from theterminal device 30, in the authentication based on the token value in step S110, the received token value, What is necessary is just to compare with the value which converted the order of the character string of the issued token in reverse order. Even in this aspect, since the issued token is transmitted as it is from a program tool for unauthorized login, it can be detected by authentication based on the token, and unauthorized login can be suppressed.

一実施形態のサーバ装置１０では、トークンを変換する処理として、「トークンの文字列の順序を逆順にする文字列操作」や「予め決められた位置の文字列を交換する文字列操作」を例示したが、トークンを変換する処理の内容はこれらに限られない。また、サーバ装置１０側で行なわれるトークンの変換とログイン画面データに含まれる実行命令に応じて端末装置３０側で行なわれるトークンの変換とが同一の処理となるとは限らない。例えば、トークンを変換する処理として「１番目の文字列を３番目とし、３番目の文字列を５番目とし、５番目の文字列を１番目とする」という文字列操作を考える。より具体的に「ＡＢＣＤＥ」という文字列に対してこの文字列操作を行なった場合を考えると、最初の文字列操作では「ＥＢＡＤＣ」となり、この結果に対して再度同じ文字列操作を行なうと「ＣＢＥＤＡ」となり、「ＡＢＣＤＥ」と「ＣＢＥＤＡ」とは一致していない。即ち、ログイン処理におけるサーバ装置１０側でのトークンの変換を「１番目の文字列を３番目とし、３番目の文字列を５番目とし、５番目の文字列を１番目とする」とする場合、ログイン画面データに実行命令として含ませるトークンの変換は「３番目の文字列を１番目とし、５番目の文字列を３番目とし、１番目の文字列を５番目とする」とする必要がある。ようするに、ログイン画面データに実行命令として含まれるトークンの変換によって元のトークンとなるように、サーバ装置１０側で元のトークンを変換してログイン画面データに埋め込むようにすれば良い。言い換えると、ログイン画面データに実行命令として含まれるトークンの変換は、サーバ装置１０側での元のトークンの変換とは逆方向の変換とすれば良い。  In theserver device 10 according to the embodiment, examples of the token conversion process include “character string operation for reversing the order of token character strings” and “character string operation for exchanging character strings at predetermined positions”. However, the content of the token conversion process is not limited to these. Further, the token conversion performed on theserver device 10 side and the token conversion performed on theterminal device 30 side according to the execution command included in the login screen data are not necessarily the same processing. For example, a character string operation of “the first character string is the third, the third character string is the fifth, and the fifth character string is the first” is considered as a token conversion process. More specifically, considering the case where this character string operation is performed on the character string “ABCDE”, the first character string operation results in “EBADC”, and if the same character string operation is performed again on this result, “ “CBDDA”, and “ABCDE” does not match “CBEDA”. That is, when the token conversion on theserver device 10 side in the login process is “the first character string is third, the third character string is fifth, and the fifth character string is first” , The token conversion to be included in the login screen data as an execution command needs to be “the third character string is first, the fifth character string is third, and the first character string is fifth”. is there. In this way, theserver apparatus 10 may convert the original token and embed it in the login screen data so that the token included in the login screen data as an execution command becomes the original token. In other words, the token included in the login screen data as an execution command may be converted in the direction opposite to the original token conversion on theserver device 10 side.

一実施形態のサーバ装置１０では、トークンを複数の英数字がランダムに配置された文字列として構成したが、文字列でなくても構わない。例えば、トークンを数値とする場合には、トークンを変換する処理としては、文字列操作ではなく適当な演算処理などを適用することもできる。  In theserver device 10 according to the embodiment, the token is configured as a character string in which a plurality of alphanumeric characters are randomly arranged. However, the token may not be a character string. For example, when the token is a numerical value, an appropriate arithmetic process or the like can be applied instead of the character string operation as the process for converting the token.

一実施形態のシステム１００では、サーバ装置１０−１とサーバ装置１０−２とを備えるものとしたが、サーバ装置１０の数は２つより多くても構わないのは勿論である。  In thesystem 100 according to the embodiment, the server device 10-1 and the server device 10-2 are provided. However, the number of theserver devices 10 may be more than two.

本明細書で説明された処理及び手順は、実施形態中で明示的に説明されたもの以外にも、ソフトウェア、ハードウェアまたはこれらの任意の組み合わせによって実現される。より具体的には、本明細書で説明される処理及び手順は、集積回路、揮発性メモリ、不揮発性メモリ、磁気ディスク、光ストレージ等の媒体に、当該処理に相当するロジックを実装することによって実現される。また、本明細書で説明される処理及び手順は、それらの処理・手順をコンピュータプログラムとして実装し、各種のコンピュータに実行させることが可能である。  The processes and procedures described in this specification are implemented by software, hardware, or any combination thereof other than those explicitly described in the embodiments. More specifically, the processes and procedures described in this specification are performed by mounting logic corresponding to the processes on a medium such as an integrated circuit, a volatile memory, a nonvolatile memory, a magnetic disk, or an optical storage. Realized. Further, the processes and procedures described in this specification can be implemented as a computer program and executed by various computers.

本明細書中で説明される処理及び手順が単一の装置、ソフトウェア、コンポーネント、モジュールによって実行される旨が説明されたとしても、そのような処理または手順は複数の装置、複数のソフトウェア、複数のコンポーネント、及び／又は複数のモジュールによって実行され得る。また、本明細書中で説明されるデータ、テーブル、又はデータベースが単一のメモリに格納される旨説明されたとしても、そのようなデータ、テーブル、又はデータベースは、単一の装置に備えられた複数のメモリまたは複数の装置に分散して配置された複数のメモリに分散して格納され得る。さらに、本明細書において説明されるソフトウェアおよびハードウェアの要素は、それらをより少ない構成要素に統合して、また
はより多い構成要素に分解することによって実現することも可能である。Even if the processes and procedures described herein are described as being performed by a single device, software, component, or module, such processes or procedures may be performed by multiple devices, multiple software, multiple Component and / or multiple modules. In addition, even though the data, tables, or databases described herein are described as being stored in a single memory, such data, tables, or databases are provided on a single device. Alternatively, the data can be distributed and stored in a plurality of memories or a plurality of memories arranged in a plurality of devices. Further, the software and hardware elements described herein may be implemented by integrating them into fewer components or by decomposing them into more components.

本明細書において、発明の構成要素が単数もしくは複数のいずれか一方として説明された場合、又は、単数もしくは複数のいずれとも限定せずに説明された場合であっても、文脈上別に解すべき場合を除き、当該構成要素は単数又は複数のいずれであってもよい。  In the present specification, when the constituent elements of the invention are described as one or a plurality, or when they are described without being limited to one or a plurality of cases, they should be understood separately in context. The component may be either singular or plural.

１０ サーバ装置
２０ 通信網
３０ 端末装置
５２ 情報記憶部
５３ 情報生成部
５４ 送信部
５５ 受信部
５６ 判定部
６０ ログイン画面データ
７０ ログイン画面
１００ システムDESCRIPTION OFSYMBOLS 10Server apparatus 20Communication network 30Terminal apparatus 52Information storage part 53 Information generation part 54 Transmission part 55Reception part 56Judgment part 60Login screen data 70Login screen 100 System

Claims (6)

Translated fromJapanese

複数のクライアント端末と通信可能に接続されたサーバ装置であって、
前記クライアント端末からの要求に応答して、ログインページを当該クライアント端末に表示させるための情報であって、所定のパラメータの値と、当該所定のパラメータの値を所定のルールに基づき変換する処理の実行命令とを含むログインページ情報を当該クライアント端末に送信する送信手段と、
前記ログインページ情報を受信したクライアント端末から、前記実行命令に応じた前記処理の実行によって変換された前記所定のパラメータの値を少なくとも含むログイン要求を受信する受信手段と、
当該受信した前記所定のパラメータの値に少なくとも基づいて前記クライアント端末によるログインの許否を判定する判定手段と、
を備えるサーバ装置。A server device communicably connected to a plurality of client terminals,
Information for displaying a login page on the client terminal in response to a request from the client terminal, and a process for converting a predetermined parameter value and the predetermined parameter value based on a predetermined rule Transmitting means for transmitting login page information including an execution command to the client terminal;
Receiving means for receiving, from a client terminal that has received the login page information, a login request that includes at least the value of the predetermined parameter converted by executing the process according to the execution command;
Determining means for determining whether or not to allow login by the client terminal based at least on the value of the received predetermined parameter;
A server device comprising: 請求項１記載のサーバ装置であって、
前記クライアント端末からの要求に応答して、当該クライアント端末に対する認証用情報を生成し、当該認証用情報に基づいて、前記所定のルールに基づく変換によって当該認証用情報となるような変換前認証用情報を生成する情報生成手段を備え、
前記送信手段は、前記変換前認証用情報を前記所定のパラメータの値として前記クライアント端末に送信する手段であり、
前記判定手段は、前記受信した前記所定のパラメータの値と前記認証用情報との比較に少なくとも基づいて、前記クライアント端末によるログインの許否を判定する手段である、
サーバ装置。The server device according to claim 1,
In response to a request from the client terminal, authentication information for the client terminal is generated, and based on the authentication information, authentication for pre-conversion that becomes the authentication information by conversion based on the predetermined rule Comprising information generating means for generating information;
The transmission means is means for transmitting the pre-conversion authentication information to the client terminal as the value of the predetermined parameter,
The determination means is means for determining whether or not to permit login by the client terminal based at least on a comparison between the received value of the predetermined parameter and the authentication information.
Server device. 請求項１記載のサーバ装置であって、
前記クライアント端末からの要求に応答して、当該クライアント端末に対する認証用情報を生成する情報生成手段を備え、
前記送信手段は、前記認証用情報を前記所定のパラメータの値として前記クライアント端末に送信する手段であり、
前記判定手段は、前記受信した前記所定のパラメータの値と、前記認証用情報を前記所定のルールに基づいて変換した変換後認証用情報との比較に少なくとも基づいて、前記クライアント端末によるログインの許否を判定する手段である、
サーバ装置。The server device according to claim 1,
In response to a request from the client terminal, comprising information generating means for generating authentication information for the client terminal;
The transmission means is means for transmitting the authentication information to the client terminal as a value of the predetermined parameter,
The determination means determines whether or not the client terminal is permitted to log in based at least on a comparison between the received value of the predetermined parameter and the converted authentication information obtained by converting the authentication information based on the predetermined rule. Is a means of determining
Server device. 請求項１ないし３いずれか記載のサーバ装置であって、
前記所定のパラメータは、文字列を値とするパラメータであり、
前記所定のルールは、文字列操作に関するルールである、
サーバ装置。The server device according to any one of claims 1 to 3,
The predetermined parameter is a parameter having a character string as a value,
The predetermined rule is a rule related to character string operation.
Server device. 請求項１ないし４いずれか記載の第１のサーバ装置と請求項１ないし４いずれか記載の第２のサーバ装置とを備えるシステムであって、
前記第１のサーバ装置は、前記所定のルールとして第１のルールを適用し、
前記第２のサーバ装置は、前記所定のルールとして前記第１のルールとは異なる第２のルールを適用する、
システム。A system comprising the first server device according to any one of claims 1 to 4 and the second server device according to any one of claims 1 to 4,
The first server device applies the first rule as the predetermined rule,
The second server device applies a second rule different from the first rule as the predetermined rule.
system. クライアント端末によるログインの許否を判定するログイン判定方法であって、
（ａ）前記クライアント端末からの要求に応答して、ログインページを当該クライアント端末に表示させるための情報であって、所定のパラメータの値と、当該所定のパラメータ
の値を所定のルールに基づき変換する処理の実行命令とを含むログインページ情報を当該クライアント端末に送信し、
（ｂ）前記ログインページ情報を受信したクライアント端末から、前記実行命令に応じた前記処理の実行によって変換された前記所定のパラメータの値を少なくとも含むログイン要求を受信し、
（ｃ）当該受信した前記所定のパラメータの値に少なくとも基づいて前記クライアント端末によるログインの許否を判定する、
ログイン判定方法。A login determination method for determining whether or not a client terminal can log in,
(A) Information for displaying a login page on the client terminal in response to a request from the client terminal, and converting a predetermined parameter value and the predetermined parameter value based on a predetermined rule Login page information including the execution instruction of the processing to be sent to the client terminal,
(B) receiving a login request including at least the value of the predetermined parameter converted by execution of the process according to the execution command from the client terminal that has received the login page information;
(C) determining whether to permit login by the client terminal based at least on the value of the received predetermined parameter;
Login determination method.

Images