JP2015176156A - System and information processing apparatus - Google Patents

System and information processing apparatus Download PDF

Info

Publication number
JP2015176156A
JP2015176156A JP2014049467A JP2014049467A JP2015176156A JP 2015176156 A JP2015176156 A JP 2015176156A JP 2014049467 A JP2014049467 A JP 2014049467A JP 2014049467 A JP2014049467 A JP 2014049467A JP 2015176156 A JP2015176156 A JP 2015176156A
Authority
JP
Japan
Prior art keywords
authentication
information
server
control unit
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014049467A
Other languages
Japanese (ja)
Inventor
雄人 武田
Taketo Takeda
雄人 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2014049467A priority Critical patent/JP2015176156A/en
Publication of JP2015176156A publication Critical patent/JP2015176156A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a system configured to execute authentication processing with sufficient security, without requiring authentication processing that uses an electronic certificate, and to provide an information processing apparatus.SOLUTION: A system includes one or more terminals, and an information processing apparatus to be connected to the one or more terminals. The system includes a transmission control section at least. The transmission control section controls the information processing apparatus to transmit a program for generating authentication information which is to be used for authentication processing that determines whether the terminal has a specific authority or not, to a terminal to which the electronic certificate is to be distributed.

Description

本発明は、システムおよび情報処理装置に関する。   The present invention relates to a system and an information processing apparatus.

インターネット上のスマートデバイスなどの端末が、例えば社内ネットワーク(以下、「イントラネット」と称する場合がある)へリモートアクセスするためには、VPN(Internet Virtual Private Network:インターネットを経由して構築される仮想プライベートネットワーク)クライアントソフトを用いて、ID(ユーザを識別するユーザ情報)、パスワードによる認証処理を行い、認証した場合(イントラネットへアクセスする権限を有していると判断した場合)に、イントラネットへのアクセスを許可することが一般的な手法である。   In order for a terminal such as a smart device on the Internet to remotely access, for example, an in-house network (hereinafter sometimes referred to as an “intranet”), a VPN (Internet Virtual Private Network) is a virtual private network established via the Internet. Network) When the client software is used to perform authentication processing using an ID (user information for identifying a user) and a password and authentication is performed (when it is determined that the user has authority to access the intranet), access to the intranet It is common practice to allow

この場合、第3者がIDとパスワードを入手できれば、不特定多数のスマートデバイスでイントラネットへアクセスすることが可能となり、情報流出事故の原因となるおそれがある。   In this case, if a third party can obtain an ID and a password, it becomes possible to access the intranet with an unspecified number of smart devices, which may cause an information leakage accident.

このような問題を解決するために、端末に電子証明書をインストールすることで、ID、パスワードによる認証処理に加え、電子証明書による認証処理を追加し、全ての認証処理をパスした端末のみにイントラネットへのアクセスを認めることで、不特定多数の端末からのアクセスを防ぐという技術が知られている。また、電子証明書は、おもにMDM(Master Data Management)サービスのオプションとして提供されることが一般的であり、MDMを用いることで、電子証明書の配布および期限、失効を管理することができ、効率良くセキュリティを維持することができる。   In order to solve such problems, by installing an electronic certificate on the terminal, in addition to the authentication process by ID and password, the authentication process by the electronic certificate is added, and only to the terminal that passes all the authentication processes A technique is known that prevents access from an unspecified number of terminals by permitting access to an intranet. In addition, digital certificates are generally provided as an option of MDM (Master Data Management) service. By using MDM, distribution, expiration, and revocation of electronic certificates can be managed. Security can be maintained efficiently.

しかしながら、従来技術においては、イントラネットへアクセス可能な端末(ユーザが使用する端末)を制限するためには、電子証明書による認証処理を実行するための設備を別途用意して、電子証明書による認証処理を実行する必要があった。   However, in the prior art, in order to restrict the terminals that can access the intranet (terminals used by the user), a separate facility for executing authentication processing using an electronic certificate is prepared and authentication using an electronic certificate is performed. It was necessary to execute processing.

本発明は、上記に鑑みてなされたものであって、電子証明書による認証処理を必要とせずに、セキュリティを十分に確保可能な認証処理を実行可能なシステムおよび情報処置装置を提供することを目的とする。   The present invention has been made in view of the above, and provides a system and an information processing apparatus capable of executing authentication processing capable of sufficiently securing security without requiring authentication processing using an electronic certificate. Objective.

上述した課題を解決し、目的を達成するために、本発明は、1以上の端末と、前記端末と接続可能な情報処理装置とを備えるシステムであって、前記情報処理装置が電子証明書を配信する対象となる前記端末に対して、前記端末が特定の権限を有するか否かを判断する認証処理に用いられる認証情報を生成するためのプログラムを送信する制御を行う送信制御部を備える。   In order to solve the above-described problems and achieve the object, the present invention is a system including one or more terminals and an information processing apparatus connectable to the terminals, wherein the information processing apparatus receives an electronic certificate. A transmission control unit that performs control for transmitting a program for generating authentication information used for authentication processing for determining whether or not the terminal has a specific authority to the terminal to be distributed is provided.

本発明によれば、電子証明書による認証処理を必要とせずにセキュリティを十分に確保可能な認証処理を実現することができる。   ADVANTAGE OF THE INVENTION According to this invention, the authentication process which can fully ensure security is possible, without requiring the authentication process by an electronic certificate.

図1は、実施形態のシステムの概略構成例を示すブロック図である。FIG. 1 is a block diagram illustrating a schematic configuration example of a system according to the embodiment. 図2は、実施形態のMDMサーバの機能構成例を示す図である。FIG. 2 is a diagram illustrating a functional configuration example of the MDM server according to the embodiment. 図3は、実施形態のスマートデバイスの機能構成例を示す図である。FIG. 3 is a diagram illustrating a functional configuration example of the smart device according to the embodiment. 図4は、認証情報の一例を説明するための図である。FIG. 4 is a diagram for explaining an example of authentication information. 図5は、システムの動作手順の一例を示すシーケンス図である。FIG. 5 is a sequence diagram illustrating an example of an operation procedure of the system.

以下、添付図面を参照しながら、本発明に係るシステムおよび情報処理装置の実施形態を詳細に説明する。   Hereinafter, embodiments of a system and an information processing apparatus according to the present invention will be described in detail with reference to the accompanying drawings.

図1は、本実施形態のシステム1の概略構成例を示すブロック図である。図1に示すように、システム1は、1以上のスマートデバイス10と、MDMサーバ20とを少なくとも備える。スマートデバイス10は、ユーザが所持する端末であり、請求項の「端末」に対応している。   FIG. 1 is a block diagram illustrating a schematic configuration example of a system 1 according to the present embodiment. As shown in FIG. 1, the system 1 includes at least one smart device 10 and an MDM server 20. The smart device 10 is a terminal owned by the user, and corresponds to a “terminal” in the claims.

MDMサーバ20は、第1ネットワーク(例えばインターネット等の公衆通信網)11を介して、1以上のスマートデバイス10と接続可能である。MDMサーバ20は、1以上のスマートデバイス10を登録し、第1ネットワーク11上からデバイス管理を行う。また、MDMサーバ20は、電子証明書をスマートデバイス10へ配信する機能も有する。この例では、MDMサーバ20は、請求項の「情報処理装置」に対応している。   The MDM server 20 can be connected to one or more smart devices 10 via a first network (for example, a public communication network such as the Internet) 11. The MDM server 20 registers one or more smart devices 10 and performs device management from the first network 11. The MDM server 20 also has a function of distributing an electronic certificate to the smart device 10. In this example, the MDM server 20 corresponds to an “information processing apparatus” in the claims.

図2は、MDMサーバ20の機能構成の一例を示すブロック図である。図2に示すように、MDMサーバ20は、登録情報記憶部21と、配信対象決定部22と、送信制御部23とを有する。なお、図2においては、本発明に係る機能を主に例示しているが、MDMサーバ20が有する機能は、これらに限られるものではない。   FIG. 2 is a block diagram illustrating an example of a functional configuration of the MDM server 20. As illustrated in FIG. 2, the MDM server 20 includes a registration information storage unit 21, a distribution target determination unit 22, and a transmission control unit 23. 2 mainly illustrates the functions according to the present invention, but the functions of the MDM server 20 are not limited to these.

本実施形態では、MDMサーバ20のハードウェア構成は、CPU、ROM、RAM等を備えた通常のコンピュータのハードウェア構成を利用したものであり、CPUがROM等に格納されたプログラムを実行することにより、配信対象決定部22および送信制御部23の各々の機能が実現される。また、登録情報記憶部21は、例えばROMやHDD等により実現可能である。   In this embodiment, the hardware configuration of the MDM server 20 uses a hardware configuration of a normal computer including a CPU, a ROM, a RAM, and the like, and the CPU executes a program stored in the ROM or the like. Thus, the functions of the distribution target determining unit 22 and the transmission control unit 23 are realized. The registration information storage unit 21 can be realized by, for example, a ROM or an HDD.

登録情報記憶部21は、1以上のスマートデバイス10を識別する機器情報(例えばシリアル番号等)ごとに、連絡先を示す情報(この例ではメールアドレス)を少なくとも対応付けて記憶する。配信対象決定部22は、登録情報記憶部21に記憶されたメールアドレスを用いて、MDMサーバ20による管理サービスの提供を受けるか否かを問い合わせる情報を送信する。そして、配信対象決定部22は、スマートデバイス10からの、管理サービスの提供を受けることを示す情報(回答情報)を受信した場合は、当該スマートデバイス10を、MDMサーバ20が発行する電子証明書を配信する対象として決定し、その決定したスマートデバイス10に対して電子証明書を配信するという具合である。   The registration information storage unit 21 stores at least correspondence information (e-mail address in this example) indicating contact information for each piece of device information (for example, a serial number) identifying one or more smart devices 10. The distribution target determining unit 22 transmits information for inquiring whether to receive the management service provided by the MDM server 20 using the mail address stored in the registration information storage unit 21. When the distribution target determining unit 22 receives information (response information) indicating that the management service is provided from the smart device 10, the electronic certificate issued by the MDM server 20 is issued to the smart device 10. And the electronic certificate is distributed to the determined smart device 10.

送信制御部23は、配信対象決定部22により電子証明書を配信する対象(見方を変えれば、MDMサーバ20による管理の対象)として決定されたスマートデバイス10に対して、スマートデバイス10(スマートデバイス10を所持するユーザ)が特定の権限を有するか否かを判断する認証処理に用いられる認証情報を生成するためのソフトウェアトークンを送信する制御を行う。この例では、ソフトウェアトークンは、請求項の「プログラム」に対応している。また、この例では、「特定の権限」とは、スマートデバイス10が、第1ネットワーク11とは異なる第2ネットワーク12に接続する権限である。また、第2ネットワーク12は、社内ネットワークなどのイントラネットである。   The transmission control unit 23 sends the smart device 10 (smart device 10) to the smart device 10 that has been determined by the distribution target determination unit 22 as a target for distributing the electronic certificate (in other words, a management target by the MDM server 20). Control is performed to transmit a software token for generating authentication information used in an authentication process for determining whether or not a user possessing 10 has a specific authority. In this example, the software token corresponds to the “program” in the claims. In this example, the “specific authority” is an authority for the smart device 10 to connect to the second network 12 different from the first network 11. The second network 12 is an intranet such as an in-house network.

図3は、スマートデバイス10の機能構成の一例を示すブロック図である。図3に示すように、スマートデバイス10は、第1ネットワーク11と接続するためのインタフェースである通信I/F15と、認証制御部16とを有する。なお、図3においては、本発明に係る機能を主に例示しているが、スマートデバイス10が有する機能は、これらに限られるものではない。本実施形態では、スマートデバイス10のハードウェア構成は、CPU、ROM、RAM等を備えた通常のコンピュータのハードウェア構成を利用したものである。この例では、スマートデバイス10のCPUが、MDMサーバ20から取得(ダウンロード)したソフトウェアトークンや後述のVPN接続用ソフトを実行することにより、認証制御部16の機能が実現される。   FIG. 3 is a block diagram illustrating an example of a functional configuration of the smart device 10. As illustrated in FIG. 3, the smart device 10 includes a communication I / F 15 that is an interface for connecting to the first network 11, and an authentication control unit 16. In addition, in FIG. 3, although the function which concerns on this invention is mainly illustrated, the function which the smart device 10 has is not restricted to these. In the present embodiment, the hardware configuration of the smart device 10 uses a hardware configuration of a normal computer including a CPU, a ROM, a RAM, and the like. In this example, the function of the authentication control unit 16 is realized by the CPU of the smart device 10 executing a software token acquired (downloaded) from the MDM server 20 or a VPN connection software described later.

認証制御部16は、後述の認証サーバ30に対して、認証情報を用いた認証処理を実行させる制御を行う。この例では、認証情報は、不規則に文字(数字、記号等を含む)が配列された乱数表と、乱数表における位置を予め定めた位置設定情報とから導き出される文字列を示す情報である。例えば図4のような乱数表において、「s」で示されるような位置設定情報が設定されていた場合は、「2922668」を示す文字列が認証情報となるといった具合である。以下の説明では、認証情報を「パスワード」と称する場合がある。上記位置設定情報は、ソフトウェアトークンがダウンロードされたスマートデバイス10のユーザによって決定される。認証制御部16は、ユーザにより決定された位置設定情報を、予め認証サーバ30へ送信しておく機能を有する。   The authentication control unit 16 controls the authentication server 30 described later to execute an authentication process using the authentication information. In this example, the authentication information is information indicating a character string derived from a random number table in which characters (including numbers, symbols, and the like) are irregularly arranged, and position setting information in which a position in the random number table is predetermined. . For example, in the random number table as shown in FIG. 4, when position setting information as indicated by “s” is set, a character string indicating “2922668” becomes authentication information. In the following description, the authentication information may be referred to as “password”. The location setting information is determined by the user of the smart device 10 that has downloaded the software token. The authentication control unit 16 has a function of transmitting the position setting information determined by the user to the authentication server 30 in advance.

また、認証制御部16は、認証サーバ30に対して認証処理を実行させる場合、スマートデバイス10を使用するユーザを識別するユーザ情報(ID)を含み、上述の乱数表を要求する乱数表要求情報を、認証サーバ30に対して送信する機能を有する。そして、認証制御部16は、認証サーバ30から取得した乱数表と、予め設定された位置設定情報とから認証情報を生成し、生成した認証情報を認証サーバ30へ送信する機能を有する。より具体的な内容については後述する。   In addition, when the authentication control unit 16 causes the authentication server 30 to execute an authentication process, the authentication control unit 16 includes user information (ID) for identifying a user who uses the smart device 10, and requests random number table request information for requesting the above random number table. Is transmitted to the authentication server 30. The authentication control unit 16 has a function of generating authentication information from the random number table acquired from the authentication server 30 and preset position setting information and transmitting the generated authentication information to the authentication server 30. More specific contents will be described later.

図1に戻って説明を続ける。本実施形態のシステム1は、スマートデバイス10、MDMサーバ20の他、認証サーバ30、中継サーバ40、アプリ配信サーバ50、VPN装置60、社内サーバ70を備える。認証サーバ30は、スマートデバイス10が特定の権限を有するか否かを判断する認証処理を実行する。認証サーバ30は、1以上のユーザ情報を予め登録しておき、スマートデバイス10(認証制御部16)から上述の乱数表要求情報を受信した場合、その受信した乱数表要求情報に含まれるユーザ情報と、予め保持しているユーザ情報とが一致する場合は、その乱数表要求情報を送信してきたスマートデバイス10(認証制御部16)に対して、乱数表を送信する。この例では、認証サーバ30は、乱数表要求情報を受信するたびに、乱数表を新たに生成する。   Returning to FIG. 1, the description will be continued. The system 1 of this embodiment includes an authentication server 30, a relay server 40, an application distribution server 50, a VPN device 60, and an in-house server 70 in addition to the smart device 10 and the MDM server 20. The authentication server 30 executes an authentication process for determining whether the smart device 10 has a specific authority. When the authentication server 30 registers one or more pieces of user information in advance and receives the above random number table request information from the smart device 10 (authentication control unit 16), the user information included in the received random number table request information If the user information held in advance matches, the random number table is transmitted to the smart device 10 (authentication control unit 16) that has transmitted the random number table request information. In this example, the authentication server 30 newly generates a random number table every time the random number table request information is received.

また、認証サーバ30は、予めスマートデバイス10(認証制御部16)から受信していた位置設定情報と、自身が生成した乱数表とから導かれる認証情報(パスワード)が、スマートデバイス10(認証制御部16)からの認証情報と一致するか否かを判断する認証処理を実行する。より具体的な内容については後述する。   In addition, the authentication server 30 receives the authentication information (password) derived from the position setting information received from the smart device 10 (authentication control unit 16) in advance and the random number table generated by itself, from the smart device 10 (authentication control). An authentication process for determining whether or not the authentication information from the unit 16) matches is executed. More specific contents will be described later.

中継サーバ40は、スマートデバイス10とMDMサーバ20との間の通信を中継するサーバである。アプリ配信サーバ50は、Google、Appleといった、スマートデバイス10のOS(Operating System)を開発した業者の提供するサーバであり、スマートデバイス10で用いるアプリケーション(外販用のアプリケーション)の配信を行う。なお、アプリケーションの配信を行うサーバは、アプリ配信サーバ50に限られるものではなく、例えば中継サーバ40やMDMサーバ20も、アプリケーションの配信を行うことができる。   The relay server 40 is a server that relays communication between the smart device 10 and the MDM server 20. The application distribution server 50 is a server provided by a developer who has developed an OS (Operating System) of the smart device 10 such as Google or Apple, and distributes applications (applications for external sales) used in the smart device 10. The server that distributes the application is not limited to the application distribution server 50. For example, the relay server 40 and the MDM server 20 can also distribute the application.

VPN装置60は、第1ネットワーク11から第2ネットワーク12に接続(アクセス)するための入口となる装置である。この例では、VPN装置60は、請求項の「サーバ装置」に対応している。VPN装置60は、第1ネットワーク11と第2ネットワーク12との中間に介在する第3ネットワーク13を構築する機能を有している。この例では、スマートデバイス10は、アプリ配信サーバ50から配信されるVPN接続用ソフトをインストールして実行することにより、既存の第1ネットワーク11からVPN装置60を経由した通信を行うことができる。   The VPN device 60 is a device serving as an entrance for connection (access) from the first network 11 to the second network 12. In this example, the VPN device 60 corresponds to “server device” in the claims. The VPN device 60 has a function of constructing a third network 13 interposed between the first network 11 and the second network 12. In this example, the smart device 10 can perform communication via the VPN device 60 from the existing first network 11 by installing and executing VPN connection software distributed from the application distribution server 50.

また、図1に示す社内サーバ70は、第2ネットワーク12に接続された装置である。   The in-house server 70 shown in FIG. 1 is a device connected to the second network 12.

図5は、本実施形態のシステム1の動作手順の一例を示すシーケンス図である。まず、MDMサーバ20(配信対象決定部22)は、登録情報記憶部21にメールアドレスが登録されたスマートデバイス10に対して、MDMサーバ20による管理サービスの提供を受けるか否かを問い合わせる情報を送信する(ステップS1)。この情報は、中継サーバ40を経由してスマートデバイス10へ送られる(ステップS2)。この情報を受信したスマートデバイス10のユーザが、MDMサーバ20による管理サービスの提供を希望する場合、当該ユーザの操作に応じて、当該スマートデバイス10から、MDMサーバ20による管理サービスの提供を希望することを示す回答情報が、中継サーバ40を経由してMDMサーバ20へ送信される(ステップS3、ステップS4)。この回答情報を受信したMDMサーバ20(配信対象決定部22)は、当該回答情報を送信してきたスマートデバイス10を、電子証明書の配信対象として決定し、当該スマートデバイス10に対して電子証明書を配信(送信)する(ステップS5)。この電子証明書は、中継サーバ40を経由してスマートデバイス10へ送られる(ステップS6)。   FIG. 5 is a sequence diagram illustrating an example of an operation procedure of the system 1 according to the present embodiment. First, the MDM server 20 (distribution target determining unit 22) asks the smart device 10 whose e-mail address is registered in the registration information storage unit 21 to inquire whether or not to receive the management service provided by the MDM server 20. Transmit (step S1). This information is sent to the smart device 10 via the relay server 40 (step S2). When the user of the smart device 10 receiving this information desires to provide a management service by the MDM server 20, the smart device 10 desires to provide the management service by the MDM server 20 according to the operation of the user. Reply information indicating this is transmitted to the MDM server 20 via the relay server 40 (steps S3 and S4). The MDM server 20 (distribution target determining unit 22) that has received the response information determines the smart device 10 that has transmitted the response information as the distribution target of the electronic certificate, and sends the electronic certificate to the smart device 10. Is distributed (transmitted) (step S5). This electronic certificate is sent to the smart device 10 via the relay server 40 (step S6).

次に、電子証明書の配信を受けたスマートデバイス10は、第1ネットワーク11を介してアプリ配信サーバ50にアクセスし、アプリ配信サーバ50に対してVPN接続用ソフトを要求する(ステップS7)。この要求を受けたアプリ配信サーバ50は、スマートデバイス10に対してVPN接続用ソフトを配信(送信)する(ステップS8)。   Next, the smart device 10 that has received the digital certificate accesses the application distribution server 50 via the first network 11 and requests VPN connection software from the application distribution server 50 (step S7). Upon receiving this request, the application distribution server 50 distributes (transmits) VPN connection software to the smart device 10 (step S8).

次に、MDMサーバ20(送信制御部23)は、電子証明書を配信する対象として決定したスマートデバイス10に対して、ソフトウェアトークンを送信する(ステップS9)。このソフトウェアトークンは、中継サーバ40を経由してスマートデバイス10へ送られる(ステップS10)。次に、MDMサーバ20からのソフトウェアトークンを取得したスマートデバイス10は、そのソフトウェアトークンを起動する。スマートデバイス10がソフトウェアトークンを実行することにより実現される認証制御部16は、上述の乱数表要求情報を認証サーバ30へ送信する(ステップS11)。スマートデバイス10からの乱数表要求情報を受信した認証サーバ30は、乱数表を新たに生成する。そして、認証サーバ30は、当該乱数表要求情報に含まれるユーザ情報と、予め認証サーバ30が保持しているユーザ情報とが一致する場合は、当該乱数表要求情報を送信してきたスマートデバイス10に対して、新たに生成した乱数表を送信する(ステップS12)。   Next, the MDM server 20 (transmission control unit 23) transmits a software token to the smart device 10 that has been determined as an electronic certificate distribution target (step S9). This software token is sent to the smart device 10 via the relay server 40 (step S10). Next, the smart device 10 that has acquired the software token from the MDM server 20 activates the software token. The authentication control unit 16 realized by the smart device 10 executing the software token transmits the random number table request information described above to the authentication server 30 (step S11). Upon receiving the random number table request information from the smart device 10, the authentication server 30 newly generates a random number table. If the user information included in the random number table request information matches the user information held in advance by the authentication server 30, the authentication server 30 notifies the smart device 10 that has transmitted the random number table request information. On the other hand, the newly generated random number table is transmitted (step S12).

認証サーバ30の乱数表を受信したスマートデバイス10は、その受信した乱数表と、予め設定された位置設定情報とから導かれる文字列を認証情報(パスワード)として生成する。そして、スマートデバイス10が上述のVPN接続用ソフトを実行することにより実現される認証制御部16は、生成した認証情報と、当該スマートデバイス10を使用するユーザのユーザ情報とを、VPN装置60へ送信する(ステップS13)。   The smart device 10 that has received the random number table of the authentication server 30 generates a character string derived from the received random number table and preset position setting information as authentication information (password). Then, the authentication control unit 16 realized by the smart device 10 executing the above-described VPN connection software transmits the generated authentication information and user information of the user who uses the smart device 10 to the VPN device 60. Transmit (step S13).

VPN装置60は、スマートデバイス10から受信した認証情報およびユーザ情報を含み、認証処理の実行を要求する認証要求情報を、認証サーバ30へ送信する(ステップS14)。そして、認証サーバ30は、予めスマートデバイス10(認証制御部16)から受信していた位置設定情報と、自身が生成した乱数表とから導かれる認証情報が、VPN装置60から受信した認証要求情報に含まれる認証情報と一致し、かつ、その認証要求情報に含まれるユーザ情報と、予め保持しているユーザ情報とが一致するか否かを判断する認証処理を実行する。認証処理の結果、スマートデバイス10が特定の権限(この例では第2ネットワーク12に接続する権限)を有すると判断した場合(スマートデバイス10を認証した場合)、認証サーバ30は、スマートデバイス10を認証したことを示す情報をVPM装置60へ送信する(ステップS15)。そして、VPN装置60は、この情報をスマートデバイス10へ転送する(ステップS16)。以降、認証されたスマートデバイス10は、既存の第1ネットワーク11からVPN装置60を経由して第2ネットワーク12に接続することができる(ステップS17)。   The VPN device 60 transmits the authentication request information that includes the authentication information and the user information received from the smart device 10 and requests the execution of the authentication process to the authentication server 30 (step S14). Then, the authentication server 30 receives the authentication request information received from the VPN device 60 as the authentication information derived from the position setting information received from the smart device 10 (authentication control unit 16) in advance and the random number table generated by itself. The authentication process is executed to determine whether or not the user information included in the authentication request information matches the user information included in the authentication request information. As a result of the authentication process, when it is determined that the smart device 10 has specific authority (in this example, authority to connect to the second network 12) (when the smart device 10 is authenticated), the authentication server 30 Information indicating authentication is transmitted to the VPM device 60 (step S15). The VPN apparatus 60 transfers this information to the smart device 10 (step S16). Thereafter, the authenticated smart device 10 can be connected to the second network 12 from the existing first network 11 via the VPN device 60 (step S17).

以上に説明したように、本実施形態では、MDMサーバ20(送信制御部23)は、電子証明書を配信する対象となるスマートデバイス10に対してのみ、認証サーバ30による認証処理に用いられる認証情報(パスワード)を生成するためのソフトウェアトークンを送信する制御を行う。これにより、電子証明書による認証処理を必要とせずに、セキュリティを十分に確保可能な認証処理を実現することが可能になるという有利な効果を達成できる。   As described above, in the present embodiment, the MDM server 20 (transmission control unit 23) performs authentication used for authentication processing by the authentication server 30 only for the smart device 10 to which the electronic certificate is to be distributed. Control to send a software token for generating information (password). Accordingly, it is possible to achieve an advantageous effect that it is possible to realize an authentication process capable of sufficiently securing security without requiring an authentication process using an electronic certificate.

以上、本発明の実施形態を説明したが、上述の実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。本発明は、上述の実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上述の実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。   As mentioned above, although embodiment of this invention was described, the above-mentioned embodiment is shown as an example and is not intending limiting the range of invention. The present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above-described embodiments. For example, some components may be deleted from all the components shown in the embodiment.

なお、上述のシステム1で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。さらに、上述のシステム1で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、上述のシステム1で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。   The program executed by the system 1 described above is an installable or executable file and is read by a computer such as a CD-ROM, a flexible disk (FD), a CD-R, or a DVD (Digital Versatile Disk). You may comprise so that it may record on a possible recording medium and provide. Furthermore, the program executed in the system 1 described above may be stored on a computer connected to a network such as the Internet and provided by being downloaded via the network. Further, the program executed by the system 1 may be provided or distributed via a network such as the Internet.

1 システム
10 スマートデバイス
11 第1ネットワーク
12 第2ネットワーク
13 第3ネットワーク
15 通信I/F
16 認証制御部
20 MDMサーバ
21 登録情報記憶部
22 配信対象決定部
23 送信制御部
30 認証サーバ
40 中継サーバ
50 アプリ配信サーバ
60 VPN装置
70 社内サーバ 1 System 10 Smart Device 11 First Network 12 Second Network 13 Third Network 15 Communication I / F
16 Authentication control unit 20 MDM server 21 Registration information storage unit 22 Distribution target determination unit 23 Transmission control unit 30 Authentication server 40 Relay server 50 Application distribution server 60 VPN device 70 In-house server

特開2013−77956号公報JP 2013-77956 A

Claims (8)

1以上の端末と、前記端末と接続可能な情報処理装置とを備えるシステムであって、
前記情報処理装置が電子証明書を配信する対象となる前記端末に対して、前記端末が特定の権限を有するか否かを判断する認証処理に用いられる認証情報を生成するためのプログラムを送信する制御を行う送信制御部を備える、
システム。 A system comprising one or more terminals and an information processing apparatus connectable to the terminals,
The information processing apparatus transmits a program for generating authentication information used for authentication processing for determining whether or not the terminal has a specific authority to the terminal to which the electronic certificate is distributed. A transmission control unit for controlling,
system. 前記プログラムを実行する前記端末は、
前記認証処理を実行する認証サーバに対して、前記認証情報を用いた前記認証処理を実行させる制御を行う認証制御部を備える、
請求項1に記載のシステム。 The terminal that executes the program is:
An authentication control unit that performs control to execute the authentication process using the authentication information with respect to an authentication server that executes the authentication process;
The system of claim 1. 前記認証情報は、不規則に文字が配列された乱数表と、前記乱数表における位置を予め定めた位置設定情報とから導き出される文字列を示す情報であり、
前記認証制御部は、前記位置設定情報を予め前記認証サーバへ送信する、
請求項2に記載のシステム。 The authentication information is information indicating a character string derived from a random number table in which characters are irregularly arranged, and position setting information in which a position in the random number table is predetermined.
The authentication control unit transmits the position setting information to the authentication server in advance.
The system according to claim 2. 前記認証制御部は、前記認証サーバに対して前記認証処理を実行させる場合、前記端末を使用するユーザを識別するユーザ情報を含み、前記乱数表を要求する乱数表要求情報を、前記認証サーバに対して送信し、
前記認証サーバは、前記乱数表要求情報に含まれる前記ユーザ情報が、予め保持している前記ユーザ情報と一致する場合は、前記乱数表要求情報を送信してきた前記認証制御部に対して前記乱数表を送信する、
請求項3に記載のシステム。 When the authentication control unit causes the authentication server to execute the authentication process, the authentication control unit includes user information for identifying a user who uses the terminal, and sends random number table request information for requesting the random number table to the authentication server. Send to
When the user information included in the random number table request information matches the user information held in advance, the authentication server sends the random number to the authentication control unit that has transmitted the random number table request information. Send table,
The system according to claim 3. 前記認証制御部は、前記認証サーバから受信した前記乱数表と、前記位置設定情報とから前記認証情報を生成し、生成した前記認証情報を前記認証サーバへ送信し、
前記認証サーバは、予め前記認証制御部から受信していた前記位置設定情報と、前記乱数表とから導かれる前記認証情報が、前記認証制御部からの前記認証情報と一致するか否かを判断する前記認証処理を実行する、
請求項4に記載のシステム。 The authentication control unit generates the authentication information from the random number table received from the authentication server and the position setting information, and transmits the generated authentication information to the authentication server.
The authentication server determines whether or not the authentication information derived from the location setting information received in advance from the authentication control unit and the random number table matches the authentication information from the authentication control unit. Performing the authentication process
The system according to claim 4. 前記特定の権限は、前記端末が接続可能な第1ネットワークとは異なる第2ネットワークに接続する権限であり、
前記認証制御部は、前記認証サーバから受信した前記乱数表と、前記位置設定情報とから生成した前記認証情報、および、前記ユーザ情報を、前記第1ネットワークから前記第2ネットワークへ接続するための入口となるサーバ装置へ送信し、
前記サーバ装置は、前記認証制御部から受信した前記認証情報および前記ユーザ情報を含み、前記認証処理の実行を要求する認証要求情報を、前記認証サーバへ送信し、
前記認証サーバは、
予め前記認証制御部から受信していた前記位置設定情報と、前記乱数表とから導かれる前記認証情報が、前記サーバ装置から受信した前記認証要求情報に含まれる前記認証情報と一致し、かつ、前記認証要求情報に含まれる前記ユーザ情報と、予め保持している前記ユーザ情報とが一致するか否かを判断する前記認証処理を実行する、
請求項5に記載のシステム。 The specific authority is an authority to connect to a second network different from the first network to which the terminal can connect;
The authentication control unit is configured to connect the authentication information generated from the random number table received from the authentication server and the location setting information, and the user information from the first network to the second network. Send to the server device that becomes the entrance,
The server device includes the authentication information and the user information received from the authentication control unit, and transmits authentication request information for requesting execution of the authentication process to the authentication server.
The authentication server is
The position setting information received from the authentication control unit in advance and the authentication information derived from the random number table match the authentication information included in the authentication request information received from the server device, and Executing the authentication process for determining whether or not the user information included in the authentication request information matches the user information held in advance;
The system according to claim 5. 前記第1ネットワークは公衆通信網であり、
前記第2ネットワークはイントラネットである、
請求項1乃至6のうちの何れか1項に記載のシステム。 The first network is a public communication network;
The second network is an intranet;
The system according to any one of claims 1 to 6. 1以上の端末と接続可能な情報処理装置であって、
電子証明書を配信する対象となる前記端末に対して、前記端末が特定の権限を有するか否かを判断する認証処理に用いられる認証情報を生成するためのプログラムを送信する制御を行う送信制御部を備える、
情報処理装置。 An information processing apparatus connectable to one or more terminals,
Transmission control for controlling transmission of a program for generating authentication information used for authentication processing for determining whether or not the terminal has a specific authority to the terminal to which an electronic certificate is to be distributed Comprising a part,
Information processing device.
JP2014049467A 2014-03-12 2014-03-12 System and information processing apparatus Pending JP2015176156A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014049467A JP2015176156A (en) 2014-03-12 2014-03-12 System and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014049467A JP2015176156A (en) 2014-03-12 2014-03-12 System and information processing apparatus

Publications (1)

Publication Number Publication Date
JP2015176156A true JP2015176156A (en) 2015-10-05

Family

ID=54255358

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014049467A Pending JP2015176156A (en) 2014-03-12 2014-03-12 System and information processing apparatus

Country Status (1)

Country Link
JP (1) JP2015176156A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017094964A (en) * 2015-11-25 2017-06-01 株式会社デンソー On-vehicle system and information processor
CN113709738A (en) * 2021-08-30 2021-11-26 广西爱学生教育科技有限公司 MDM anti-addiction system and anti-addiction method based on electronic fence

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274134A (en) * 2003-03-05 2004-09-30 Matsushita Electric Ind Co Ltd Communication method, communication system using the communication method, server and client
JP2007264839A (en) * 2006-03-27 2007-10-11 Cse:Kk User authentication system and its method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274134A (en) * 2003-03-05 2004-09-30 Matsushita Electric Ind Co Ltd Communication method, communication system using the communication method, server and client
JP2007264839A (en) * 2006-03-27 2007-10-11 Cse:Kk User authentication system and its method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"「スマートフォン向けセキュリティソリューション」セミナー REVIEW 〜待ったなし!ビジネス活用の", 日経NETWORK 第134号, JPN6018000746, 28 May 2011 (2011-05-28), JP, pages 20 - 21, ISSN: 0003833671 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017094964A (en) * 2015-11-25 2017-06-01 株式会社デンソー On-vehicle system and information processor
CN113709738A (en) * 2021-08-30 2021-11-26 广西爱学生教育科技有限公司 MDM anti-addiction system and anti-addiction method based on electronic fence

Similar Documents

Publication Publication Date Title
US11711219B1 (en) PKI-based user authentication for web services using blockchain
US10027670B2 (en) Distributed authentication
US9674699B2 (en) System and methods for secure communication in mobile devices
JP6033990B2 (en) Multiple resource servers with a single flexible and pluggable OAuth server, OAuth protected REST OAuth permission management service, and OAuth service for mobile application single sign-on
US9419962B2 (en) Method and apparatus for sharing server resources using a local group
CN110138718B (en) Information processing system and control method thereof
US9294468B1 (en) Application-level certificates for identity and authorization
EP2705642B1 (en) System and method for providing access credentials
US8572268B2 (en) Managing secure sessions
US8490165B2 (en) Restoring secure sessions
US10564951B2 (en) Managed software as a service deployment utilizing a client key to generate a one-time use reference for delivery
JP6027069B2 (en) VPN access control system, its operating method and program, and VPN router and server
US8136144B2 (en) Apparatus and method for controlling communication through firewall, and computer program product
JP6572750B2 (en) Authentication control program, authentication control device, and authentication control method
US10263789B1 (en) Auto-generation of security certificate
CN105324976A (en) Method to enroll a certificate to a device using scep and respective management application
CN111970240B (en) Cluster receiving and managing method and device and electronic equipment
US11700133B2 (en) Zero-knowledge proof-based certificate service method using blockchain network, certification support server using same, and user terminal using same
TWI569167B (en) Secure unified cloud storage
CN112035822A (en) Multi-application single sign-on method, device, equipment and storage medium
US9515877B1 (en) Systems and methods for enrolling and configuring agents
US20220174058A1 (en) Peer-to-peer notification system
JP2015053069A (en) Authentication method, authentication system, service provision server and authentication server
JP2015176156A (en) System and information processing apparatus
CN107276966B (en) Control method and login system of distributed system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180710