JP2005092499A - Application control device and application control method - Google Patents
Application control device and application control method Download PDFInfo
- Publication number
- JP2005092499A JP2005092499A JP2003324662A JP2003324662A JP2005092499A JP 2005092499 A JP2005092499 A JP 2005092499A JP 2003324662 A JP2003324662 A JP 2003324662A JP 2003324662 A JP2003324662 A JP 2003324662A JP 2005092499 A JP2005092499 A JP 2005092499A
- Authority
- JP
- Japan
- Prior art keywords
- application
- card
- application control
- user
- identification number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、アプリケーションの実行を制御するアプリケーション制御装置に関する。 The present invention relates to an application control apparatus that controls execution of an application.
近年、アプリケーション実行時の安全性を確保し、不正にアプリケーションが実行されてしまうことを防止するために、アプリケーションの実行の際に所定の認証を行うことが一般的になりつつある。認証方法としては、利用者に付与された暗号鍵を利用した方法がある(例えば、特許文献1参照)。 In recent years, in order to ensure safety during execution of an application and prevent an application from being executed illegally, it is becoming common to perform predetermined authentication during execution of the application. As an authentication method, there is a method using an encryption key given to a user (see, for example, Patent Document 1).
公開鍵基盤(PKI:Public Key Infrastructure)における認証もその1つである。このPKIにおける認証では、秘密鍵が利用される。秘密鍵は、一般に利用者が保有するICカードに記憶されている。利用者がパーソナルコンピュータ等にICカードを挿入し、当該ICカードに対応する暗証番号(PIN:Personal Identification Number)を入力すると、ICカードは、暗証番号の認証を行い、認証が成功した場合に秘密鍵を利用した電子署名を生成する。 Authentication in a public key infrastructure (PKI) is one of them. In authentication in this PKI, a secret key is used. The secret key is generally stored in an IC card held by the user. When a user inserts an IC card into a personal computer or the like and enters a personal identification number (PIN) corresponding to the IC card, the IC card authenticates the personal identification number, and if the authentication is successful, it is secret. Generate an electronic signature using the key.
パーソナルコンピュータ等に実装された、暗号機能を提供するプログラムである暗号モジュールは、ICカードにおける暗証番号の認証が成功したことを確認する。その後は、アプリケーション等が電子署名に基づく利用者の認証を行い、利用者の認証が成功した場合には、当該アプリケーションの利用が可能となる。
しかしながら、上述したアプリケーションの制御方法では、一度、アプリケーションが利用可能になった後は、当該アプリケーションの利用は何ら規制されない。このため、利用者がアプリケーションを終了させることなく、パーソナルコンピュータ等からICカードを取り出して立ち去ったような場合でも、アプリケーションが継続して利用可能な状態となり、不正利用される恐れがある。 However, in the application control method described above, once the application becomes available, the use of the application is not restricted at all. For this reason, even if the user removes the IC card from a personal computer or the like without leaving the application, the application remains in a usable state and may be illegally used.
本発明は、上述した問題を解決するものであり、アプリケーション実行時の更なる安全性の向上を図ったアプリケーション制御装置及びアプリケーション制御方法を提供することを課題とする。 The present invention solves the above-described problems, and an object of the present invention is to provide an application control apparatus and an application control method that are intended to further improve safety during application execution.
上述した課題を解決するために、本発明は請求項1に記載されるように、利用者が保有するICカードへ暗証番号を出力する暗証番号出力手段と、前記ICカードにおいて前記暗証番号の認証が成功し、該ICカードの利用が可能になった場合に、前記利用者の認証を行う利用者認証手段と、前記利用者認証手段により利用者の認証が成功し、アプリケーションが利用可能になった後に、所定の条件が満たされたか否かを判定する条件判定手段と、前記所定の条件が満たされた場合に、前記アプリケーションの利用を規制するアプリケーション規制手段とを備えるアプリケーション制御装置である。 In order to solve the above-described problems, the present invention provides a personal identification number output means for outputting a personal identification number to an IC card held by a user, and authentication of the personal identification number in the IC card. Is successful and the IC card can be used, the user authentication means for authenticating the user and the user authentication by the user authentication means are successful and the application can be used. An application control apparatus comprising: a condition determination unit that determines whether or not a predetermined condition is satisfied; and an application restriction unit that restricts use of the application when the predetermined condition is satisfied.
また、本発明は請求項2に記載されるように、請求項1に記載のアプリケーション制御装置において、前記利用者認証手段は、前記ICカードに記憶された暗号鍵を利用して生成される電子署名に基づく利用者の認証を行う。 According to a second aspect of the present invention, in the application control device according to the first aspect, the user authentication means is an electronic device generated using an encryption key stored in the IC card. User authentication is performed based on the signature.
また、本発明は請求項3に記載されるように、請求項1又は2に記載のアプリケーション制御装置において、前記ICカードの挿入口を備え、前記条件判定手段は、前記ICカードの挿入口から前記ICカードが取り出されたか否かを判定する。 According to a third aspect of the present invention, in the application control device according to the first or second aspect, the IC card insertion port includes the IC card insertion port, and the condition determination unit is connected to the IC card insertion port. It is determined whether or not the IC card has been removed.
また、本発明は請求項4に記載されるように、請求項1乃至3の何れかに記載のアプリケーション制御装置において、前記条件判定手段は、入力装置の無操作が所定時間継続したか否かを判定する。 Further, according to a fourth aspect of the present invention, in the application control device according to any one of the first to third aspects, the condition determination unit is configured to determine whether or not the input device has not been operated for a predetermined time. Determine.
また、本発明は請求項5に記載されるように、請求項1乃至4の何れかに記載のアプリケーション制御装置において、前記アプリケーション規制手段は、前記利用者の指示に応じたアプリケーションの利用の規制を行う。 Further, according to a fifth aspect of the present invention, in the application control device according to any one of the first to fourth aspects, the application restricting unit restricts the use of the application in accordance with the instruction from the user. I do.
また、本発明は請求項6に記載されるように、請求項1乃至5の何れかに記載のアプリケーション制御装置において、前記アプリケーション規制手段は、前記アプリケーションの終了及び一時停止の何れかを行う。 Further, according to a sixth aspect of the present invention, in the application control apparatus according to any one of the first to fifth aspects, the application restricting unit performs either termination or temporary suspension of the application.
また、本発明は請求項7に記載されるように、利用者が保有するICカードへ暗証番号を出力し、前記ICカードにおいて前記暗証番号の認証が成功した場合に、前記利用者の認証を行い、前記利用者の認証が成功し、アプリケーションが利用可能となった後に、所定の条件が満たされたか否かを判定し、前記所定の条件が満たされた場合に、前記アプリケーションの利用を規制するアプリケーション制御方法である。 According to the present invention, the personal identification number is output to an IC card held by the user, and the user authentication is performed when the personal identification number is successfully authenticated in the IC card. After the user authentication is successful and the application becomes usable, it is determined whether or not a predetermined condition is satisfied, and the use of the application is restricted when the predetermined condition is satisfied. This is an application control method.
本発明では、暗証番号の認証が成功し、更に利用者の認証が成功してアプリケーションが利用可能となった後も、所定の条件が満たされた場合に、アプリケーションの利用が規制される。このため、アプリケーション実行時の安全性を従来以上に高めることが可能となる。 In the present invention, even after the authentication of the personal identification number is successful and the user is successfully authenticated and the application can be used, the use of the application is restricted when a predetermined condition is satisfied. For this reason, it becomes possible to improve the safety | security at the time of application execution more than before.
本発明によれば、アプリケーション実行時の更なる安全性の向上が可能となる。 According to the present invention, it is possible to further improve safety when executing an application.
以下、図面を参照しながら本発明の実施するための最良の形態を説明する。 The best mode for carrying out the present invention will be described below with reference to the drawings.
図1は、本実施形態に係るアプリケーション制御装置としての情報処理装置の構成例を示す図である。同図に示す情報処理装置100は、例えばパーソナルコンピュータであり、アプリケーション制御部102、暗号モジュール記憶部104と、記憶部106、リーダライタ112、キーボード114、マウス116及び表示部118を備える。
FIG. 1 is a diagram illustrating a configuration example of an information processing apparatus as an application control apparatus according to the present embodiment. An
記憶部106は、アプリケーション108と、公開鍵暗号方式における暗号機能を提供するプログラムであるICカード用暗号モジュール110とを記憶している。アプリケーション制御部102は、記憶部106が記憶するアプリケーション108の実行を制御する。暗号モジュール制御部104は、記憶部106が記憶するICカード用暗号モジュール110の実行を制御する。リーダライタ112は、利用者が保有するICカード200の挿入口を有し、当該挿入口にICカード200が挿入された場合に、ICカード200からの情報を情報処理装置100内へ入力したり、情報処理装置100内からの情報をICカード200へ出力する処理を行う。
The
図2は、情報処理装置100におけるプログラム構造を示す図である。同図に示すようにオペレーションシステム151は、資源管理モジュール152を有している。更に、この資源管理モジュール152は、ICカード用暗号モジュール110と、ICカード200以外の記憶装置(例えばハードディスク)に記憶された暗号鍵を利用した暗号機能を提供する暗号モジュール153とを有する。アプリケーション108は、オペレーションシステム151の制御により実行される。
FIG. 2 is a diagram illustrating a program structure in the
次に、情報処理装置100及びICカード200の動作を説明する。図3は、情報処理装置100及びICカード200の動作を示すシーケンス図である。なお、以下においては、当初、情報処理装置100内のリーダライタ112にICカード200が挿入されているものとする。
Next, operations of the
情報処理装置100内のアプリケーション制御部102は、記憶部106が記憶するアプリケーション108の実行に際し、暗号モジュール制御部104に対して利用者認証の要求を行う(ステップ201)。暗号モジュール制御部104は、記憶部106に記憶されたICカード用暗号モジュール110を起動している。この暗号モジュール制御部104は、アプリケーション制御部102からの利用者認証の要求を受けると、リーダライタ112を介して、ICカード200に対し、アクセス権の確認を要求する(ステップ202)。
When executing the
ICカード200は、このアクセス権の確認が要求されると、暗証番号(PIN)の認証が未実行であるため、利用不可である旨を、情報処理装置100内のリーダライタ112を介して暗号モジュール制御部104へ通知する(ステップ203)。
When confirmation of this access right is requested, the
情報処理装置100内の暗号モジュール制御部104は、ICカード200からの利用不可の通知を受けると、表示部118に、利用者に対して暗証番号の入力を促す画面(暗証番号入力画面)を表示する処理を行う(ステップ204)。
When the cryptographic
図4は、暗証番号入力画面の一例を示す図である。同図に示す暗証番号入力画面は、利用者に暗証番号を入力させるための暗証番号入力欄301と、ICカード200がリーダライタ112から取り出された場合に、アプリケーション108をどのように規制するかを、利用者に選択させるための規制選択欄302によって構成される。
FIG. 4 is a diagram illustrating an example of a password input screen. The personal identification number input screen shown in the figure is how to restrict the personal identification
再び、図3に戻って説明する。表示部118に、暗証番号入力画面が表示され、更に、利用者がキーボード114やマウス116の操作により、暗証番号の入力と、アプリケーション108の規制方法の選択を行うと、暗号モジュール制御部104は、入力された暗証番号を、リーダライタ112を介して、ICカード200へ出力する(ステップ205)。
Again, referring back to FIG. When the password input screen is displayed on the
ICカード200は、情報処理装置100内の暗号モジュール制御部104からの暗証番号が入力されると、当該暗証番号の認証を行う(ステップ206)。具体的には、ICカード200は、予め記憶している、利用者に対応する暗証番号と、入力された暗証番号とを比較し、一致する場合には、暗証番号の認証が成功したと判断する。なお、暗証番号の認証が失敗した場合には、ICカード200は、再度、ステップ203における利用不可の通知を行う。一方、情報処理装置100内の暗号モジュール制御部104は、再度、ステップ204における暗証番号入力画面を表示する処理を行い、更に、ステップ205における、入力された暗証番号の出力を行う。そして、ICカード200は、再度、ステップ206における暗証番号の認証を行う。但し、ICカード200における暗証番号の認証が所定回数連続して失敗した場合には、一連の動作が終了する。
When the personal identification number is input from the cryptographic
暗証番号の認証が成功した場合、ICカード200は、予め記憶している秘密鍵を利用した電子署名を生成する(ステップ207)。具体的には、ICカード200は、所定のデータを秘密鍵で暗号化して電子署名を生成する。
When the authentication of the personal identification number is successful, the
更に、ICカード200は、生成した電子署名を、情報処理装置100内のリーダライタ112を介して暗号モジュール制御部104へ出力する(ステップ208)。
Further, the
ICカード200が電子署名を出力すると、情報処理装置100内の暗号モジュール制御部104は、ICカード200の利用が可能になったことを確認する(ステップ209)。ICカード200の利用が可能になった場合、暗号モジュール制御部104は、アプリケーション制御部102に対して、その旨を通知する(ステップ210)。
When the
アプリケーション制御部102は、暗号モジュール制御部104からのICカード200の利用が可能になった旨の通知を受けると、利用者の認証を行う(ステップ211)。具体的には、アプリケーション制御部102は、入力される電子署名を、ICカード200に記憶されている秘密鍵に対応する公開鍵により復号化する。そして、アプリケーション制御部102は、正しく復号化された場合には、利用者の認証が成功したと判断する。利用者の認証が失敗した場合には、一連の動作が終了する。アプリケーション制御部102は、利用者の認証が成功した場合、アプリケーション108を利用可能とする(ステップ212)。
Upon receiving a notification from the cryptographic
暗号モジュール制御部104は、ステップ212において、アプリケーションが利用可能になった後、所定の周期で、ICカード200を監視する(ステップ213)。例えば、リーダライタ112の挿入口がUSB(Universal Serial Bus)のインタフェースを有し、当該USBのインタフェースによりICカード200が接続されている場合には、暗号モジュール制御部104は、リーダライタ112に対してUSBトークンの送信を指示する。リーダライタ112は、この指示に応じて、所定の周期で、ICカード200に向けてUSBトークンを送信する。そして、この送信したUSBトークンに対する応答が返ってこない場合には、リーダライタ112は、その旨を暗号モジュール制御部104へ通知する。暗号モジュール制御部104は、この通知を受けた場合に、ICカード200がリーダライタ112から取り外されたと判断する。
The cryptographic
暗号モジュール制御部104は、ICカード200がリーダライタ112から取り外された場合(ステップ214)、これを検知すると、アプリケーション制御部102に対して、アプリケーション108の規制命令を出力する(ステップ215)。
When the
アプリケーション制御部102は、この規制命令に応じて、ステップ211において利用可能としたアプリケーション108の利用を規制する(ステップ216)。この際、利用者が、図4に示す暗証番号入力画面において、暗証番号の入力とともに、アプリケーション108の規制方法を選択している場合には、アプリケーション制御部104は、その選択に応じて、アプリケーション108を強制的に終了させたり、一時停止(ロック)させる。アプリケーション108が一時停止した場合には、アプリケーション制御部102は、例えば、表示部118にスクリーンセーバーの画像を表示する処理を行う。そして、アプリケーション制御部102は、利用者がスクリーンセーバーの画像表示を解消するための暗証番号を入力し、当該暗証番号の認証が成功した場合には、アプリケーション108を再起動する。
In response to the restriction command, the
このように、情報処理装置100では、ICカード200による暗証番号の認証と、アプリケーション制御部102による利用者の認証とが成功し、アプリケーション108の利用が可能になった後、暗号モジュール制御部104がICカード200を監視し、当該ICカード200がリーダライタ112から取り出された場合には、アプリケーション制御部102が利用可能となっているアプリケーション108の利用を規制する。このため、例えば、利用者がアプリケーション108を終了させることなく、情報処理装置100からICカード200を取り出して立ち去ったような場合に、アプリケーション108が継続して利用可能な状態となることを防止し、アプリケーション実行時の安全性を向上させることができる。
As described above, in the
ところで、上述した実施形態では、ICカード200がリーダライタ112から取り出されるという条件が満たされた場合に、アプリケーション108の利用が規制されたが、他の条件が満たされた場合に、アプリケーション108の利用が規制されるようにしても良い。
By the way, in the above-described embodiment, the use of the
具体的には、暗号モジュール制御部104は、アプリケーション108が利用可能になった後、入力装置であるキーボード114やマウス116の操作を監視する。そして、暗号モジュール制御部104は、これらキーボード114やマウス116が所定時間以上操作されなかった場合には、利用者が立ち去ったものと判断して、アプリケーション制御部102に対して、アプリケーション108の規制命令を出力する。アプリケーション制御部102は、この規制命令に応じて、アプリケーション108の利用を規制する。
Specifically, after the
この場合には、例えば、利用者がアプリケーション108を終了させることなく、且つ、情報処理装置100からICカード200を取り出すことなく立ち去ったような場合に、アプリケーション108が継続して利用可能な状態となることを防止し、アプリケーション実行時の安全性を向上させることができる。
In this case, for example, when the user leaves the
100 情報処理装置
102 アプリケーション制御部
104 暗号モジュール制御部
106 記憶部
108 アプリケーション
110 ICカード用暗号モジュール
112 リーダライタ
114 キーボード
116 マウス
118 表示部
200 ICカード
DESCRIPTION OF
Claims (7)
前記ICカードにおいて前記暗証番号の認証が成功し、該ICカードの利用が可能になった場合に、前記利用者の認証を行う利用者認証手段と、
前記利用者認証手段により利用者の認証が成功し、アプリケーションが利用可能になった場合に、所定の条件が満たされたか否かを判定する条件判定手段と、
前記所定の条件が満たされた場合に、前記アプリケーションの利用を規制するアプリケーション規制手段と、
を備えるアプリケーション制御装置。 A personal identification number output means for outputting the personal identification number to an IC card held by the user;
User authentication means for authenticating the user when the authentication of the personal identification number is successful in the IC card and the IC card can be used;
Condition determining means for determining whether or not a predetermined condition is satisfied when the user authentication by the user authenticating means is successful and the application becomes usable;
Application restriction means for restricting the use of the application when the predetermined condition is satisfied;
An application control device comprising:
前記利用者認証手段は、前記ICカードに記憶された暗号鍵を利用して生成される電子署名に基づく利用者の認証を行うアプリケーション制御装置。 The application control device according to claim 1,
The user authentication unit is an application control apparatus that performs user authentication based on an electronic signature generated using an encryption key stored in the IC card.
前記ICカードの挿入口を備え、
前記条件判定手段は、前記ICカードの挿入口から前記ICカードが取り出されたか否かを判定するアプリケーション制御装置。 In the application control device according to claim 1 or 2,
An insertion slot for the IC card;
The condition determining means is an application control apparatus that determines whether or not the IC card has been removed from the IC card insertion slot.
前記条件判定手段は、入力装置の無操作が所定時間継続したか否かを判定するアプリケーション制御装置。 In the application control apparatus according to any one of claims 1 to 3,
The condition determining means is an application control apparatus that determines whether or not no operation of the input device has continued for a predetermined time.
前記アプリケーション規制手段は、前記利用者の指示に応じたアプリケーションの利用の規制を行うアプリケーション制御装置。 In the application control device according to any one of claims 1 to 4,
The application control unit is an application control device that controls the use of an application according to an instruction from the user.
前記アプリケーション規制手段は、前記アプリケーションの終了及び一時停止の何れかを行うアプリケーション制御装置。 In the application control device according to any one of claims 1 to 5,
The application control unit is an application control device that performs either termination or temporary suspension of the application.
前記ICカードにおいて前記暗証番号の認証が成功した場合に、前記利用者の認証を行い、
前記利用者の認証が成功し、アプリケーションが利用可能となった後に、所定の条件が満たされたか否かを判定し、
前記所定の条件が満たされた場合に、前記アプリケーションの利用を規制するアプリケーション制御方法。 The PIN is output to the IC card held by the user,
When the authentication of the personal identification number is successful in the IC card, the user is authenticated,
After the user authentication is successful and the application is available, it is determined whether a predetermined condition is satisfied,
An application control method for restricting use of the application when the predetermined condition is satisfied.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003324662A JP2005092499A (en) | 2003-09-17 | 2003-09-17 | Application control device and application control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003324662A JP2005092499A (en) | 2003-09-17 | 2003-09-17 | Application control device and application control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005092499A true JP2005092499A (en) | 2005-04-07 |
Family
ID=34455351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003324662A Pending JP2005092499A (en) | 2003-09-17 | 2003-09-17 | Application control device and application control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005092499A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007128277A (en) * | 2005-11-04 | 2007-05-24 | Dainippon Printing Co Ltd | Information processor and information processing system |
JP2008040599A (en) * | 2006-08-02 | 2008-02-21 | Toppan Printing Co Ltd | Electronic data split and holding device, electronic data split and holding system, and electronic data split and holding method |
-
2003
- 2003-09-17 JP JP2003324662A patent/JP2005092499A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007128277A (en) * | 2005-11-04 | 2007-05-24 | Dainippon Printing Co Ltd | Information processor and information processing system |
JP2008040599A (en) * | 2006-08-02 | 2008-02-21 | Toppan Printing Co Ltd | Electronic data split and holding device, electronic data split and holding system, and electronic data split and holding method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4526574B2 (en) | Cryptographic data management system and cryptographic data management method | |
US10848304B2 (en) | Public-private key pair protected password manager | |
EP2071484B1 (en) | Information processor and information management method | |
CN111034120B (en) | Encryption key management based on identity information | |
EP2486505B1 (en) | Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device. | |
WO1997021290A1 (en) | An apparatus and method for cryptographic companion imprinting | |
EP3333742B1 (en) | System and method for trusted presentation of information on untrusted user devices | |
JP2007325274A (en) | System and method for inter-process data communication | |
US9959403B2 (en) | Information processing system for mutual authentication between communication device and storage | |
IL176378A (en) | Method for activation of an access to a computer system or to a program | |
JP4893167B2 (en) | Authentication method | |
JP2009053808A (en) | Image forming apparatus, authentication information management method, and program | |
JP2008191942A (en) | Authentication device, authentication method and program | |
US20050144446A1 (en) | Authentication method, program for implementing the method, and storage medium storing the program | |
CN115629824B (en) | GPU starting method, device, equipment, storage medium and program product | |
CN110674525A (en) | Electronic equipment and file processing method thereof | |
JP2005092499A (en) | Application control device and application control method | |
JP6203556B2 (en) | Information processing system | |
CN113055157B (en) | Biological characteristic verification method and device, storage medium and electronic equipment | |
JP2000232442A (en) | Information processing method/system | |
JP6069120B2 (en) | Information processing system | |
EP4329241A1 (en) | Data management system, data management method, and non-transitory recording medium | |
US8914901B2 (en) | Trusted storage and display | |
JPH11272563A (en) | Security system for information processor and security method in information processor | |
JP2015014839A (en) | Information processing system |