JP4816920B2 - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP4816920B2
JP4816920B2 JP2006088270A JP2006088270A JP4816920B2 JP 4816920 B2 JP4816920 B2 JP 4816920B2 JP 2006088270 A JP2006088270 A JP 2006088270A JP 2006088270 A JP2006088270 A JP 2006088270A JP 4816920 B2 JP4816920 B2 JP 4816920B2
Authority
JP
Japan
Prior art keywords
security
authentication
network
information
network connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006088270A
Other languages
Japanese (ja)
Other versions
JP2007264962A (en
Inventor
勝 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006088270A priority Critical patent/JP4816920B2/en
Publication of JP2007264962A publication Critical patent/JP2007264962A/en
Application granted granted Critical
Publication of JP4816920B2 publication Critical patent/JP4816920B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワーク接続装置がネットワークへ接続する際の認証システムおよび方法に関し、特に、現在のインシデント情報とネットワーク接続端末の脆弱性評価に基づいたセキュリティ認証を行うシステムおよび方法に関する。   The present invention relates to an authentication system and method when a network connection device connects to a network, and more particularly to a system and method for performing security authentication based on current incident information and vulnerability assessment of a network connection terminal.

ネットワークを利用する利用者の認証を行うシステムとしては、特許文献1(特開2004−86880号公報)や特許文献2(特開2005−293088号公報)に開示される技術がある。   As a system for authenticating a user who uses a network, there are techniques disclosed in Patent Document 1 (Japanese Patent Laid-Open No. 2004-86880) and Patent Document 2 (Japanese Patent Laid-Open No. 2005-293088).

この種の従来のネットワーク認証システムは、ネットワーク接続装置と、ネットワーク認証装置と、ID/パスワード登録データベース装置と、セキュリティ認証データベース装置、とから構成されていて、以下の動作を行うものが一般的である。   A conventional network authentication system of this type is composed of a network connection device, a network authentication device, an ID / password registration database device, and a security authentication database device, and generally performs the following operations. is there.

利用者が使用する端末に含まれるネットワーク接続装置がネットワークへ接続する際に、ネットワーク認証装置へ端末利用者が入力したID/パスワードとセキュリティ状況情報を送信して、接続認証を要求する。   When a network connection device included in a terminal used by a user connects to the network, the ID / password and security status information input by the terminal user are transmitted to the network authentication device to request connection authentication.

ネットワーク認証装置は、ID/パスワード登録データベース内に登録されたID/パスワードと送られてきたID/パスワードとを照合し、これらが一致していればネットワーク接続装置を認証する。次に、ネットワーク認証装置は、ネットワーク接続装置のセキュリティ状況情報をセキュリティ認証データベース装置と照合して、セキュリティ状況情報が適切であれば、正規のネットワーク接続情報を提供する。   The network authentication device collates the ID / password registered in the ID / password registration database with the sent ID / password, and authenticates the network connection device if they match. Next, the network authentication device collates the security status information of the network connection device with the security authentication database device, and provides the regular network connection information if the security status information is appropriate.

ネットワーク接続装置は、ネットワーク認証装置から提供されたネットワーク接続情報を元にネットワークへの接続を行う。ネットワーク認証装置はネットワーク接続端末から送信されたID/パスワードがID/パスワード登録データベース内のいづれのID/パスワードとも一致しない場合には、接続要求を拒否し、ネットワーク接続情報を提供しない。また、セキュリティ状況情報が適切でなければ、特定のネットワークにのみ接続できるネットワーク接続情報を提供し、特定のネットワーク内でセキュリティ状況情報を適切に修正することを可能としている。
特開2004−86880号公報 特開2005−293088号公報 The network connection device connects to the network based on the network connection information provided from the network authentication device. If the ID / password transmitted from the network connection terminal does not match any ID / password in the ID / password registration database, the network authentication device rejects the connection request and does not provide network connection information. Further, if the security status information is not appropriate, network connection information that can be connected only to a specific network is provided, and the security status information can be appropriately corrected in the specific network.
JP 2004-86880 A JP 2005-293088 A

上述した従来の技術では以下のような問題点がある。   The conventional techniques described above have the following problems.

第1の問題点は、セキュリティ情報データベースを最新の状態に保つことが困難である、ということである。その理由は、ネットワーク認証装置に付加する形でセキュリティ情報データベースが構築されているため、ネットワーク認証システムごとにセキュリティ情報データベースを保有しなければならない構成となっているためである。また、セキュリティ情報の流通量が多くなったことや、頻度が速くなったこと、対応するネットワーク接続装置の種類や台数が増えたためである。   The first problem is that it is difficult to keep the security information database up to date. The reason is that the security information database is constructed so as to be added to the network authentication device, and therefore the network must have a security information database for each network authentication system. This is also because the amount of distribution of security information has increased, the frequency has increased, and the types and number of corresponding network connection devices have increased.

第2の問題点は、セキュリティ状況情報を最新の状態にしても防げない脅威が発生してしまう、ということである。その理由は、セキュリティ情報データベースが最新の状態になるよりも速く脅威が侵入するためである。これは第1の問題点で挙げた管理者の作業量が増えたことにも関連するが、それ以上に脅威の侵入が速くなったことに起因している。   The second problem is that a threat that cannot be prevented even if the security status information is updated. The reason is that the threat enters faster than the security information database is up to date. This is related to the increase in the amount of work of the administrator mentioned in the first problem, but it is caused by the fact that the intrusion of threats is faster than that.

第3の問題点は、セキュリティ認証システムの構築に対する投資が膨大であった、ということである。その理由は、セキュリティ認証システムがネットワーク認証システムに付加して構築されていたため、ネットワーク認証システムによってセキュリティ状況情報の整合を判断する基準が異なっていた場合に、別々のセキュリティ認証システムを保有しなければならないためである。   The third problem is that the investment for constructing the security authentication system was enormous. The reason is that the security authentication system was built in addition to the network authentication system, so if the criteria for judging the consistency of security status information differ depending on the network authentication system, a separate security authentication system must be held. This is because it must not.

第4の問題点は、セキュリティ情報がID/パスワード情報の管理と同一に扱われて非効率であった、ということである。その理由は、ID/パスワードによる利用者認証とセキュリティ状況情報によるセキュリティ認証の2つを同時に実現しているため、ID/パスワード登録データベースとセキュリティ情報データベースの2つを保有し運用しなければならないためである。   The fourth problem is that the security information is handled in the same way as the management of ID / password information and is inefficient. The reason is that the user authentication by ID / password and the security authentication by security status information are realized at the same time, so the ID / password registration database and the security information database must be owned and operated. It is.

本発明は上述したような従来の技術が有する問題点に鑑みてなされたものであって、ネットワーク接続装置の脆弱性に関わるセキュリティ情報に加えて外部の脅威に関わるインシデント情報を活用したセキュリティ情報データベースを独立に運用して、複数のネットワーク認証システムによって共有できるセキュリティ認証システムを提供することを目的とする。   The present invention has been made in view of the problems of the prior art as described above, and uses a security information database that utilizes incident information related to external threats in addition to security information related to network connection device vulnerabilities. It is an object to provide a security authentication system that can be operated independently and shared by a plurality of network authentication systems.

本発明の他の目的は、複数の企業・団体がセキュリティ情報データベースを共有してセキュリティ認証を受けることができるセキュリティ認証サービスを提供することにある。   Another object of the present invention is to provide a security authentication service in which a plurality of companies / organizations can share a security information database and receive security authentication.

本発明の認証システムは、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムであって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。 An authentication system according to the present invention includes a network connection device , an authentication device, a vulnerability disclosed by a manufacturer of the network connection device or an application, and a security information providing site for publishing security information on a countermeasure method for the vulnerability. Because
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then The security authentication information sent is compared with security information published by the security information providing site, and the network connection device is connected to the network according to the comparison result.

この場合、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備え、
前記認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。 In this case, an incident information providing organization that provides incident information indicating a threat occurring in the current network via the network is provided.
The authentication device may compare the security authentication information with security information and the incident information published by the security information providing site, and connect the network connection device to the network according to the comparison result.

本発明のネットワーク接続装置は、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとともに認証システムを構成するネットワーク接続装置であって、
セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出する。 Network network connection device of the present invention, the authentication device, configuring the network connection device and applications both authentication system and security information providing site to publish security information countermeasures vulnerability and to it the manufacturer has published a A connecting device,
Security information is collected as security authentication information in its own device, data is transmitted to and received from the authentication device, and when a connection request to the network is made, a connection request is made by assigning its own identifier. In response, the security authentication information is sent to the authentication device.

本発明の認証装置は、ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとともに認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置にセキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。 Authentication apparatus of the present invention, network connection device, configuring the network connection device and applications both authentication system and security information providing site to publish security information countermeasures vulnerability and to it by the manufacturer exposes Authentication A device,
When sending / receiving data to / from the network connection device and receiving a connection request to the network, the network connection device is requested to send security authentication information to the network connection device in accordance with an assigned identifier, and the security sent thereafter The authentication information is compared with the security information published by the security information providing site, and the network connection device is connected to the network according to the comparison result.

この場合、ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。 In this case, it consists of a network authentication device and a security authentication device,
The network authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier given when receiving a connection request to the network, Then, send the security authentication information sent to the security authentication device,
The security authentication device may compare the security authentication information with security information published by the security information providing site, and connect the network connection device to the network according to the comparison result.

本発明の他の形態による認証装置は、ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とともに認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置にセキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。 An authentication device according to another aspect of the present invention includes a network connection device, a security information providing site for disclosing security information on vulnerabilities disclosed by the manufacturer of the network connection device and the application, and a countermeasure against the vulnerability, and a current network the incident information indicating a threat occurring in the inner an authentication device constituting together an authentication system and incident information providers to provide through the network,
When sending / receiving data to / from the network connection device and receiving a connection request to the network, the network connection device is requested to send security authentication information to the network connection device in accordance with an assigned identifier, and the security sent thereafter The authentication information is compared with the security information published by the security information providing site and the incident information, and the network connection device is connected to the network according to the comparison result.

この場合、ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。 In this case, it consists of a network authentication device and a security authentication device,
The network authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier given when receiving a connection request to the network, Then, send the security authentication information sent to the security authentication device,
The security authentication device may compare the security authentication information with security information published by the security information providing site and the incident information, and connect the network connection device to the network according to the comparison result.

本発明の認証方法は、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。 An authentication method according to the present invention includes a network connection device , an authentication device, a vulnerability disclosed by a manufacturer of the network connection device or an application, and a security information providing site for publishing security information of a countermeasure method for the vulnerability. The authentication method performed in
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then The security authentication information sent is compared with security information published by the security information providing site, and the network connection device is connected to the network according to the comparison result.

本発明の他の形態による認証方法は、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。 An authentication method according to another embodiment of the present invention includes a network connection device , an authentication device, a security information providing site that discloses security information on a vulnerability disclosed by a manufacturer of the network connection device and the application, and a countermeasure for the vulnerability, An authentication method performed by an authentication system including an incident information provider that provides incident information indicating a threat occurring in the current network via the network,
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then The security authentication information sent is compared with the security information and the incident information published by the security information providing site, and the network connection device is connected to the network according to the comparison result.

本発明のセキュリティ認証システムでは、具体的にはネットワーク接続装置の脆弱性に関わるセキュリティ情報に加えて外部の脅威に関わるインシデント情報を登録し、セキュリティ認証装置がネットワーク認証装置に対して個別にセキュリティ状況情報の整合性を判断する基準を保有して、ネットワーク認証装置個別の基準に従ってセキュリティ認証装置が整合性を判断し、結果をネットワーク認証装置に提供するよう動作する。   In the security authentication system of the present invention, specifically, incident information related to external threats is registered in addition to security information related to the vulnerability of the network connection device, and the security authentication device individually checks the security status with respect to the network authentication device. The security authentication apparatus operates in such a manner that the security authentication apparatus determines the consistency and provides the result to the network authentication apparatus in accordance with the standard for each network authentication apparatus.

このような構成を採用し、セキュリティ認証装置が、ネットワーク認証装置から送信されたネットワーク接続装置のセキュリティ状況情報を、ネットワーク認証装置個別の基準に従って、判断し、一致した場合には認証許可の情報を、不一致の場合には認証不許可の情報をネットワーク認証装置へ送信することにより、本発明の目的を達成することができる。   Adopting such a configuration, the security authentication device determines the security status information of the network connection device transmitted from the network authentication device according to the standard of the network authentication device, and if it matches, the authentication permission information is displayed. In the case of a mismatch, the object of the present invention can be achieved by transmitting authentication disapproval information to the network authentication device.

第1の効果は、セキュリティ認証データベースの更新作業を省力化できることにある。   The first effect is that labor for updating the security authentication database can be saved.

その理由は、セキュリティ認証データベースを独立して運用することにより、複数のネットワーク認証システムにおいても、ネットワーク接続装置の脆弱性に関するセキュリティ情報を更新する作業が一元的に独立して実施できるためである。また独立した運用になることにより、これを外部の独立した機関によるサービスとして企業や団体に提供することが可能となる。この場合はセキュリティ認証データベースの更新作業を各企業や団体が個別に実施する必要が無くなるため、大幅に作業が省力化できる。   The reason is that, by operating the security authentication database independently, even in a plurality of network authentication systems, the work of updating the security information related to the vulnerability of the network connection device can be performed in an integrated manner. Moreover, by becoming an independent operation, it becomes possible to provide this to companies and organizations as a service by an external independent organization. In this case, since it is not necessary for each company or organization to individually update the security authentication database, the work can be saved greatly.

第2の効果は、セキュリティ認証データベースのセキュリティ情報が最新になる前の脅威に対しても対応できることにある。   The second effect is that it is possible to cope with a threat before the security information in the security authentication database becomes the latest.

その理由は、セキュリティ認証データベースにはネットワーク接続装置の脆弱性に関わるセキュリティ情報だけでなく、外部の脅威に関するインシデント情報を登録しているため、セキュリティ情報が提供される前に、対策が実行できるためである。   The reason is that the security authentication database contains not only security information related to vulnerabilities of network connection devices, but also incident information related to external threats, so measures can be taken before security information is provided. It is.

第3の効果は、投資が最小化できることにある。   The third effect is that the investment can be minimized.

その理由は、セキュリティ認証装置がネットワーク認証装置個別にセキュリティ情報の整合性を判断する基準を保有できるので、セキュリティ認証システムを個別に構築する必要が無いためである。   The reason is that the security authentication apparatus can have a standard for judging the consistency of security information for each network authentication apparatus, and it is not necessary to individually construct a security authentication system.

第4の効果は、セキュリティ認証システムのサービス化が容易になることにある。   The fourth effect is that the security authentication system can be easily serviced.

その理由は、ID/パスワード登録データベースとセキュリティ情報データベースを独立して管理できることにより、ネットワーク認証に必要なID/パスワードなどの個人情報を保有する必要がないためである。   This is because the ID / password registration database and the security information database can be managed independently, so that it is not necessary to hold personal information such as ID / password necessary for network authentication.

次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。   Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings.

図1を参照すると、本発明の第1の実施の形態は、ネットワーク接続を要求するネットワーク(NW)接続装置100と、ネットワーク接続を認証するネットワーク認証装置200とネットワーク認証装置と連携するネットワーク認証データベース(DB)300と、セキュリティ状況情報を認証するセキュリティ認証装置400と、セキュリティ認証装置400と連携して動作するセキュリティ認証データベース(DB)500と、セキュリティ情報提供サイト600と、インシデント情報提供機関700と、から構成されている。   Referring to FIG. 1, the first embodiment of the present invention is a network (NW) connection device 100 that requests network connection, a network authentication device 200 that authenticates network connection, and a network authentication database that cooperates with the network authentication device. (DB) 300, security authentication device 400 for authenticating security status information, security authentication database (DB) 500 operating in cooperation with security authentication device 400, security information providing site 600, and incident information providing organization 700 , Is composed of.

ネットワーク接続装置100、ネットワーク認証装置200、セキュリティ認証装置400、セキュリティ情報提供サイト600およびインシデント情報提供サイト700はネットワークを介して接続されている。   The network connection device 100, the network authentication device 200, the security authentication device 400, the security information providing site 600, and the incident information providing site 700 are connected via a network.

セキュリティ情報提供サイト600はアプリケーションの製造者が運営する情報提供サイトであり、セキュリティ情報提供サイト600にはネットワーク接続装置100やアプリケーションの製造者が公開している脆弱性の情報とそれに対する対策方法の情報が蓄積され、ネットワークを介して蓄積した情報を公開している。   The security information providing site 600 is an information providing site operated by an application manufacturer. The security information providing site 600 includes information on vulnerabilities disclosed by the network connection device 100 and the application manufacturer and countermeasures for the information. Information is accumulated and the accumulated information is made public via the network.

インシデント情報提供機関700は、現在のネットワーク内において発生している脅威の情報をネットワークを介して提供している。   Incident information providing organization 700 provides information on threats occurring in the current network via the network.

ネットワーク接続装置100は、ネットワーク認証装置200とデータの送受信を行う手段101と、自装置内のセキュリティ状況情報を収集する手段102と、ネットワークへ接続する手段103と、を含む。   The network connection apparatus 100 includes means 101 for transmitting / receiving data to / from the network authentication apparatus 200, means 102 for collecting security status information in the own apparatus, and means 103 for connecting to the network.

これらの各手段はそれぞれ概略つぎのように動作する。   Each of these means generally operates as follows.

ネットワーク認証装置200とデータの送受信を行う手段101は、ネットワーク接続装置100からネットワーク認証装置200のあて先を指定したデータを送信し、データの送受信を行うことを要求する。ネットワーク認証装置200側では送信元であるネットワーク接続装置100に対して送受信可能であることを応答し、データの送受信を始める。   The means 101 for transmitting / receiving data to / from the network authentication device 200 transmits data specifying the destination of the network authentication device 200 from the network connection device 100 and requests to transmit / receive data. The network authentication device 200 side responds that transmission / reception is possible to the network connection device 100 that is the transmission source, and starts data transmission / reception.

自装置内のセキュリティ状況情報を収集する手段102は、ネットワーク接続装置が起動すると、あらかじめ指定された自装置内のファイルや設定情報を確認して、セキュリティ状況情報として集約する。   When the network connection device is activated, the means 102 for collecting the security status information in the own device confirms the files and setting information in the own device specified in advance and aggregates them as security status information.

ネットワークへ接続する手段103は、ネットワーク認証装置200から入手したネットワーク情報を利用して、ネットワークで接続されている任意の端末とデータの送受信を行う。   The means 103 for connecting to the network uses the network information obtained from the network authentication device 200 to transmit / receive data to / from any terminal connected via the network.

ネットワーク認証装置200は、ネットワーク接続装置100とデータの送受信を行う手段201と、ネットワーク認証データベース300とデータの送受信を行う手段202と、自装置個別の基準を作成する手段203とを含む。   The network authentication apparatus 200 includes means 201 for transmitting / receiving data to / from the network connection apparatus 100, means 202 for transmitting / receiving data to / from the network authentication database 300, and means 203 for creating a reference for each individual apparatus.

これらの手段はそれぞれ概略つぎのように動作する。   Each of these means generally operates as follows.

ネットワーク接続装置100とデータの送受信を行う手段201は、ネットワーク接続装置100からのデータの送受信要求に対して、必要なリソースを割り当てて、ネットワーク接続装置100に対して送受信可能であることを応答する。   The means 201 for transmitting / receiving data to / from the network connection apparatus 100 allocates necessary resources to the data transmission / reception request from the network connection apparatus 100 and responds that transmission / reception to / from the network connection apparatus 100 is possible. .

ネットワーク認証データベース300とデータの送受信を行う手段202は、ネットワーク接続装置100から受信したID/パスワードをネットワーク認証データベース300へ転送し、照合の結果情報をネットワーク認証データベース300から受信する。   The means 202 for transmitting / receiving data to / from the network authentication database 300 transfers the ID / password received from the network connection apparatus 100 to the network authentication database 300 and receives verification result information from the network authentication database 300.

自装置個別の基準を作成する手段203は、ネットワーク認証装置200にて定義されたセキュリティ基準情報に、自装置固有のIDを付加して自装置個別の基準を作成する。   The means 203 for creating a reference for the own apparatus creates an individual reference for the own apparatus by adding an ID unique to the own apparatus to the security reference information defined by the network authentication apparatus 200.

ネットワーク認証データベース300は、ID/パスワード情報を保有する手段301と、ネットワーク認証装置200からの処理を実行する手段302とを含む。   The network authentication database 300 includes means 301 that holds ID / password information and means 302 that executes processing from the network authentication apparatus 200.

これらの手段はそれぞれ概略つぎのように動作する。   Each of these means generally operates as follows.

ID/パスワード情報を保有する手段301は、IDとパスワードの情報を一対として保有する。   The means 301 for holding ID / password information holds a pair of ID and password information.

ネットワーク認証装置200からの処理を実行する手段302は、ネットワーク認証装置200から受信したID/パスワードから、自データベース内でIDを検索し、一致するIDがあった場合には一対で保有しているパスワードを照合し、正しいかどうかを判断し、結果をネットワーク認証装置200へ送信する。   The means 302 for executing the processing from the network authentication device 200 searches for the ID in its own database from the ID / password received from the network authentication device 200, and holds a pair if there is a matching ID. The password is verified to determine whether it is correct, and the result is transmitted to the network authentication apparatus 200.

セキュリティ認証装置400は、ネットワーク認証装置200とデータの送受信を行う手段401と、セキュリティ認証データベース500とデータの送受信を行う手段402と、セキュリティ情報を収集する手段403と、インシデント情報を収集する手段404と、ネットワーク認証装置個別の基準をネットワーク認証装置の識別番号と共に保有する手段405とを含む。   The security authentication device 400 includes means 401 for transmitting / receiving data to / from the network authentication device 200, means 402 for transmitting / receiving data to / from the security authentication database 500, means 403 for collecting security information, and means 404 for collecting incident information. And means 405 for holding a network authentication device specific reference together with an identification number of the network authentication device.

これらの手段はそれぞれ概略つぎのように動作する。   Each of these means generally operates as follows.

ネットワーク認証装置200とデータの送受信を行う手段401は、ネットワーク認証装置200からネットワーク認証装置200の識別番号とネットワーク接続装置100のセキュリティ状況情報を受信し、セキュリティ認証結果をネットワーク認証装置200へ送信する。   The means 401 for transmitting / receiving data to / from the network authentication device 200 receives the identification number of the network authentication device 200 and the security status information of the network connection device 100 from the network authentication device 200, and transmits the security authentication result to the network authentication device 200. .

セキュリティ認証データベースとデータの送受信を行う手段402は、ネットワーク接続装置のセキュリティ状況情報を送信し、セキュリティ認証データベース内に登録されている情報と整合している箇所と整合していない箇所の情報を受信する。   The means 402 for transmitting / receiving data to / from the security authentication database transmits the security status information of the network connection device, and receives the information of the location that does not match the location that matches the information registered in the security authentication database. To do.

セキュリティ情報を収集する手段403は、ネットワーク接続装置100やアプリケーションの製造者が公開している脆弱性の情報とそれに対する対策方法の情報を製造者のセキュリティ情報提供サイト600から定期的に入手し、セキュリティ認証データベース500へ転送する。   The means 403 for collecting security information periodically obtains information on the vulnerabilities disclosed by the network connection device 100 and application manufacturers and information on countermeasures against them from the manufacturer's security information providing site 600, Transfer to the security authentication database 500.

インシデント情報を収集する手段404は、現在のインターネット内おいて発生している脅威の情報を提供しているインシデント情報提供機関700からインシデント情報を定期的に入手し、セキュリティ認証データベース500へ転送する。   The means 404 for collecting incident information periodically obtains incident information from the incident information providing organization 700 that provides information on threats occurring in the current Internet, and transfers the incident information to the security authentication database 500.

ネットワーク認証装置個別の基準をネットワーク認証装置の識別番号と共に保有する手段405は、ネットワーク認証装置200から受信した識別番号とセキュリティ基準情報を一対として保有する。   The means 405 for holding the individual network authentication device standard together with the identification number of the network authentication device holds the identification number received from the network authentication device 200 and the security standard information as a pair.

セキュリティ認証データベース500は、ネットワーク接続装置の脆弱性に関わるセキュリティ情報を保有する手段501と、外部の脅威に関するインシデント情報を保有する手段502と、セキュリティ認証装置からの処理を実行する手段503とを含む。   The security authentication database 500 includes means 501 for holding security information related to the vulnerability of the network connection device, means 502 for holding incident information related to external threats, and means 503 for executing processing from the security authentication device. .

これらの手段はそれぞれ概略つぎのように動作する。   Each of these means generally operates as follows.

ネットワーク接続装置の脆弱性に関わるセキュリティ情報を保有する手段501は、セキュリティ認証装置400から受信したセキュリティ情報を常に最新の情報だけを保存し、古い情報は削除する。   The means 501 that holds security information related to the vulnerability of the network connection device always stores only the latest information on the security information received from the security authentication device 400 and deletes old information.

外部の脅威に関するインシデント情報を保有する手段502は、セキュリティ認証装置400から受信したインシデント情報を常に最新の情報だけを保存し、古い情報は削除する。   The means 502 for storing incident information related to external threats always stores only the latest information on the incident information received from the security authentication device 400 and deletes old information.

セキュリティ認証装置400からの処理を実行する手段503は、セキュリティ認証装置400から受信したネットワーク接続装置100のセキュリティ状況情報を、保有しているセキュリティ情報と照合して、最新状態かどうかを判断し、結果をセキュリティ認証装置400へ送信する。   The means 503 for executing the processing from the security authentication device 400 compares the security status information of the network connection device 100 received from the security authentication device 400 with the security information held to determine whether it is the latest status, The result is transmitted to the security authentication device 400.

なお、本実施例のネットワーク接続装置100、ネットワーク認証装置200、ネットワーク認証データベース300、セキュリティ認証装置400、セキュリティ認証データベース500のそれぞれは、制御装置、記憶装置、入力装置および表示装置からなる一般的なコンピュータにより構成されるものである。これらの各部については図示しない。上記の各手段は、記憶装置に格納されたプログラムにより動作する制御装置により、ROM、RAMなどの記憶装置上に構築されて制御装置により制御される。   Note that each of the network connection device 100, the network authentication device 200, the network authentication database 300, the security authentication device 400, and the security authentication database 500 according to the present embodiment is a general device including a control device, a storage device, an input device, and a display device. It is composed of a computer. These parts are not shown. Each means described above is constructed on a storage device such as a ROM and a RAM by a control device that operates according to a program stored in the storage device, and is controlled by the control device.

ネットワーク認証装置200、ネットワーク認証データベース300は一つの装置として構成されてもよく、同様に、セキュリティ認証装置400、セキュリティ認証データベース500も一つの装置として構成してもよい。また、ネットワーク認証装置200、ネットワーク認証データベース300、セキュリティ認証装置400、セキュリティ認証データベース500をネットワークおよびセキュリティの認証を行う一つの装置として構成してもよい。   The network authentication device 200 and the network authentication database 300 may be configured as one device. Similarly, the security authentication device 400 and the security authentication database 500 may be configured as one device. Further, the network authentication device 200, the network authentication database 300, the security authentication device 400, and the security authentication database 500 may be configured as one device that performs network and security authentication.

図2は本実施の形態の動作を示すフローチャートであり、図3はネットワーク接続装置100にて生成されるセキュリティ状況情報の例を示す図、図4(a),(b)は、セキュリティ認証データベース500にて保有されるセキュリティ情報とインシデント情報の例を示す図である。   FIG. 2 is a flowchart showing the operation of the present embodiment, FIG. 3 is a diagram showing an example of security status information generated by the network connection apparatus 100, and FIGS. 4A and 4B are security authentication databases. 5 is a diagram showing an example of security information and incident information held at 500. FIG.

以下に、図1ないし図4を参照して本実施の形態の全体の動作について詳細に説明する。   The overall operation of the present embodiment will be described in detail below with reference to FIGS.

まず、セキュリティ認証装置400は、セキュリティ情報提供サイト600から図4(a)に示す内容のセキュリティ情報を、インシデント情報提供機関700から図4(b)に示す内容のインシデント情報を入手し、セキュリティ認証データベース500へ登録しており、セキュリティ認証データベース500には最新のセキュリティ情報とインシデント情報が保有されている。   First, the security authentication device 400 obtains the security information having the contents shown in FIG. 4A from the security information providing site 600 and the incident information having the contents shown in FIG. 4B from the incident information providing organization 700, and performs security authentication. It is registered in the database 500, and the security authentication database 500 holds the latest security information and incident information.

始めに、ネットワーク接続装置100がネットワーク接続要求としてID/パスワード情報をネットワーク認証装置200へ送信する(ステップA1)。   First, the network connection device 100 transmits ID / password information to the network authentication device 200 as a network connection request (step A1).

次に、ネットワーク認証装置200が受信したID/パスワード情報をネットワーク認証データベース300内の情報と照合して、一致するかどうかを判断する(ステップA2)。これらが一致しない場合、ネットワーク認証装置200はネットワーク接続装置100のネットワーク接続要求を拒否するメッセージをネットワーク接続装置100へ送信する(ステップA3)。一致した場合には、ネットワーク認証装置200はネットワーク接続装置100へセキュリティ状況情報の送信を要求する(ステップA4)。   Next, the ID / password information received by the network authentication device 200 is checked against information in the network authentication database 300 to determine whether or not they match (step A2). If they do not match, the network authentication device 200 transmits a message rejecting the network connection request of the network connection device 100 to the network connection device 100 (step A3). If they match, the network authentication device 200 requests the network connection device 100 to transmit security status information (step A4).

ネットワーク接続装置100は図3に示す内容の自装置内のセキュリティ状況情報を収集し、ネットワーク認証装置200へ送信する(ステップA5)。   The network connection apparatus 100 collects the security status information in its own apparatus with the contents shown in FIG. 3 and transmits it to the network authentication apparatus 200 (step A5).

ネットワーク認証装置200は、受信したセキュリティ状況情報をネットワーク認証装置識別番号と一緒にセキュリティ認証装置400へ送信し、セキュリティ認証を要求する(ステップA6)。   The network authentication device 200 transmits the received security status information together with the network authentication device identification number to the security authentication device 400, and requests security authentication (step A6).

セキュリティ認証装置400は受信したネットワーク認証装置識別番号に対応した個別の基準に基づいて、受信したセキュリティ状況情報をセキュリティ認証データベース500内の情報と照合する(ステップA7)。   The security authentication device 400 compares the received security status information with the information in the security authentication database 500 based on the individual criteria corresponding to the received network authentication device identification number (step A7).

セキュリティ認証装置400は、受信したセキュリティ状況情報とセキュリティ認証データベース500内のセキュリティ情報とが一致しない場合や、セキュリティ状況情報がセキュリティ認証データベース500内のインシデント情報に該当するものである場合には、ネットワーク認証装置200へ照合結果と情報を送信し、ネットワーク認証装置200はネットワーク接続装置をある特定のネットワークへ接続制御したり、セキュリティ状況の改善制御を実施したりする(ステップA8)。   If the received security status information does not match the security information in the security authentication database 500, or if the security status information corresponds to the incident information in the security authentication database 500, the security authentication device 400 The verification result and the information are transmitted to the authentication device 200, and the network authentication device 200 controls connection of the network connection device to a specific network and implements security state improvement control (step A8).

受信したセキュリティ状況情報とセキュリティ認証データベース500内のセキュリティ情報とが一致し、セキュリティ状況情報がセキュリティ認証データベース500内のインシデント情報に該当しないものである場合には、セキュリティ認証装置400は、ネットワーク認証装置200へ照合結果を送信し、ネットワーク認証装置はネットワーク接続端末のネットワーク接続要求を許可し、ネットワーク接続に必要な情報を送信する(ステップA9)。   When the received security status information matches the security information in the security authentication database 500, and the security status information does not correspond to the incident information in the security authentication database 500, the security authentication device 400 is a network authentication device. The verification result is transmitted to 200, and the network authentication device permits the network connection request of the network connection terminal, and transmits information necessary for network connection (step A9).

次に、本実施の形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施の形態では、ネットワーク認証装置は個別の識別番号によって区別され、セキュリティ認証装置は識別番号に対応した個別の基準を保有しているため、複数のネットワーク認証装置に対して1つのセキュリティ認証装置がセキュリティ認証サービスを提供することができる。これにより、セキュリティ認証データベースの更新作業が一元化され、更新作業の負荷は最低限に抑えられる。また、本実施の形態では、ネットワーク認証装置とセキュリティ認証装置とが独立して動作するように構成されているため、セキュリティ認証装置の運用をサービス化することができる。その際に、IDやパスワード情報をセキュリティ認証装置側では意識することが無いこともサービス化の重要なポイントである。   In the present embodiment, the network authentication devices are distinguished by individual identification numbers, and the security authentication devices have individual standards corresponding to the identification numbers, so one security authentication device for a plurality of network authentication devices. Can provide security authentication services. As a result, the update work of the security authentication database is unified, and the load of the update work is minimized. In the present embodiment, since the network authentication device and the security authentication device are configured to operate independently, the operation of the security authentication device can be serviced. At that time, it is also an important point of service that the security authentication apparatus does not care about ID and password information.

本発明によれば、社内ネットワークに直接接続している端末を自宅に持ち帰ってインターネット経由で接続した場合に、社内ネットワークに直接接続している時よりも厳しい条件でセキュリティ認証を行い、同一のセキュリティ認証システムでコストを最小限に抑えながら、社内ネットワークを守り利便性を高めるといった用途に適用できる。また、リモートアクセスサービスを複数企業に提供している企業が、各企業ごとに違った基準でセキュリティ認証を実施できる付加価値サービスとしてセキュリティ認証サービスを提供するといった用途にも適用可能である。   According to the present invention, when a terminal directly connected to an in-house network is brought home and connected via the Internet, security authentication is performed under conditions that are stricter than when the terminal is directly connected to the in-house network, and the same security is provided. It can be applied to applications such as protecting the internal network and increasing convenience while minimizing costs with the authentication system. Further, the present invention can also be applied to a case where a company providing a remote access service to a plurality of companies provides a security authentication service as a value-added service that can perform security authentication according to different standards for each company.

本発明を実施するための最良の形態の構成を示すブロック図である。It is a block diagram which shows the structure of the best form for implementing this invention. 本発明を実施するための最良の形態の動作を示す流れ図である。It is a flowchart which shows operation | movement of the best form for implementing this invention. 本発明を実施するためのセキュリティ状況情報の具体例を示す図である。It is a figure which shows the specific example of the security status information for implementing this invention. 本発明を実施するためのセキュリティ情報およびインシデント情報の具体例を示す図である。It is a figure which shows the specific example of the security information for implementing this invention, and incident information.

符号の説明Explanation of symbols

100 ネットワーク接続装置
200 ネットワーク認証装置
300 ネットワーク認証データベース
400 セキュリティ認証装置
500 セキュリティ認証データベース DESCRIPTION OF SYMBOLS 100 Network connection apparatus 200 Network authentication apparatus 300 Network authentication database 400 Security authentication apparatus 500 Security authentication database

Claims (9)

ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムであって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証システム。 An authentication system comprising a network connection device , an authentication device, a security information providing site for publishing security information on a vulnerability disclosed by a manufacturer of the network connection device or an application and a countermeasure against the vulnerability,
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then An authentication system that compares the received security authentication information with security information published by the security information providing site, and connects the network connection device to the network according to the comparison result. 請求項1記載の認証システムにおいて、
現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備え、
前記認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証システム。 The authentication system according to claim 1,
An incident information provider that provides incident information indicating threats occurring in the current network via the network;
The authentication apparatus compares the security authentication information with security information published by the security information providing site and the incident information, and connects the network connection apparatus to a network according to the comparison result. 認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとともに認証システムを構成するネットワーク接続装置であって、
セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出するネットワーク接続装置。 Authentication device, a network connection device together constitute a certification system and security information providing site to publish security information of the network connection device and application countermeasures vulnerability and to it by the manufacturer is public,
Security information is collected as security authentication information in its own device, data is transmitted to and received from the authentication device, and when a connection request to the network is made, a connection request is made by assigning its own identifier. In response, a network connection device that sends the security authentication information to the authentication device. ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとともに認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置にセキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。 Network connection device, a authentication device constituting the network connection device and applications both authentication system and security information providing site to publish security information countermeasures vulnerability and to it by the manufacturer is public,
When sending / receiving data to / from the network connection device and receiving a connection request to the network, the network connection device is requested to send security authentication information to the network connection device in accordance with an assigned identifier, and the security sent thereafter An authentication device that compares authentication information with security information published by the security information providing site, and connects the network connection device to the network according to the comparison result. ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とともに認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置にセキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。 Network connection device, security information providing site that discloses security information on vulnerabilities published by the manufacturers of the network connection device and applications and countermeasures against them, incident information indicating threats occurring in the current network the an authentication device constituting together an authentication system and incident information providers to provide through the network,
When sending / receiving data to / from the network connection device and receiving a connection request to the network, the network connection device is requested to send security authentication information to the network connection device in accordance with an assigned identifier, and the security sent thereafter An authentication device that compares authentication information with security information published by the security information providing site and the incident information, and connects the network connection device to the network according to the comparison result. 請求項4記載の認証装置において、
ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。 The authentication device according to claim 4, wherein
It consists of a network authentication device and a security authentication device,
The network authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier given when receiving a connection request to the network, Then, send the security authentication information sent to the security authentication device,
The security authentication device compares the security authentication information with security information published by the security information providing site, and connects the network connection device to the network according to the comparison result. 請求項5記載の認証装置において、
ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。 The authentication device according to claim 5, wherein
It consists of a network authentication device and a security authentication device,
The network authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier given when receiving a connection request to the network, Then, send the security authentication information sent to the security authentication device,
The security authentication device compares the security authentication information with security information published by the security information providing site and the incident information, and connects the network connection device to the network according to the comparison result. ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証方法。 An authentication method performed by an authentication system comprising a network connection device , an authentication device, a vulnerability disclosed by a manufacturer of the network connection device or an application, and a security information providing site that discloses security information on a countermeasure for the vulnerability. And
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then An authentication method in which the security authentication information sent is compared with security information published by the security information providing site, and the network connection device is connected to the network according to the comparison result. ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証方法。 Network connection devices , authentication devices, security information providing sites that disclose security information on vulnerabilities published by the manufacturers of the network connection devices and applications, and countermeasures against them, threats occurring in the current network An authentication method performed by an authentication system including an incident information provider that provides incident information to be shown via a network,
The network connection device collects security information in its own device as security authentication information, performs data transmission / reception with the authentication device, gives a connection request by giving its own identifier when requesting connection to the network, Sending the security authentication information to the authentication device in response to a request from the authentication device;
The authentication device transmits / receives data to / from the network connection device, and requests to transmit the security authentication information to the network connection device according to an identifier assigned when receiving a connection request to the network, and then An authentication method for comparing the security authentication information sent to the security information and the incident information published by the security information providing site, and connecting the network connection device to the network according to the comparison result.
JP2006088270A 2006-03-28 2006-03-28 Authentication system and authentication method Expired - Fee Related JP4816920B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006088270A JP4816920B2 (en) 2006-03-28 2006-03-28 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006088270A JP4816920B2 (en) 2006-03-28 2006-03-28 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2007264962A JP2007264962A (en) 2007-10-11
JP4816920B2 true JP4816920B2 (en) 2011-11-16

Family

ID=38637898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006088270A Expired - Fee Related JP4816920B2 (en) 2006-03-28 2006-03-28 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP4816920B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6690469B2 (en) 2016-08-26 2020-04-28 富士通株式会社 Control program, control method, and information processing apparatus

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004054706A (en) * 2002-07-22 2004-02-19 Sofutekku:Kk Security risk management system, program, and recording medium thereof

Also Published As

Publication number Publication date
JP2007264962A (en) 2007-10-11

Similar Documents

Publication Publication Date Title
CN108200050B (en) Single sign-on server, method and computer readable storage medium
JP5036140B2 (en) Personal information distribution management system, personal information distribution management method, personal information provision program, and personal information utilization program
EP3438902B1 (en) System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same
US8417964B2 (en) Software module management device and program
EP2200217B1 (en) Server certificate issuance system
CN1287305C (en) Network system
US9591480B2 (en) Method and device for secure communication of a component of a vehicle with an external communication partner via a wireless communication link
US20190044957A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
JP5100286B2 (en) Cryptographic module selection device and program
CN1881879B (en) Public key framework and method for checking user
KR100970771B1 (en) Dynamic negotiation of security arrangements between web services??? ??
JP4758095B2 (en) Certificate invalidation device, communication device, certificate invalidation system, program, and recording medium
US20140289521A1 (en) Reoccurring Keying System
JP2008022526A (en) Attribute certificate verification method, attribute authority apparatus, service providing apparatus, and attribute certificate verification system
KR20000016949A (en) Method and apparatus for providing access control to local services of mobile devices
EP1788778A1 (en) Network system, proxy server, session management method, and respective program
US20190349347A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
JP4607602B2 (en) How to provide access
EP2110981A1 (en) Personal information managing device for preventing personal information form being falsely altered and preventing personal information from being denied
CN113872940B (en) Access control method, device and equipment based on NC-Link
US20160323266A1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
JP4816920B2 (en) Authentication system and authentication method
CN102972005A (en) Consigning authentication method
CN103069767A (en) Consigning authentication method
KR20070009490A (en) System and method for authenticating a user based on the internet protocol address

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110803

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110816

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140909

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees