JP2008252567A - 特定中継装置認証機能付き通信システム - Google Patents

特定中継装置認証機能付き通信システム Download PDF

Info

Publication number
JP2008252567A
JP2008252567A JP2007091708A JP2007091708A JP2008252567A JP 2008252567 A JP2008252567 A JP 2008252567A JP 2007091708 A JP2007091708 A JP 2007091708A JP 2007091708 A JP2007091708 A JP 2007091708A JP 2008252567 A JP2008252567 A JP 2008252567A
Authority
JP
Japan
Prior art keywords
authentication information
communication path
communication
relay
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007091708A
Other languages
English (en)
Other versions
JP4336803B2 (ja
Inventor
Atsushi Goto
淳 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007091708A priority Critical patent/JP4336803B2/ja
Priority to US12/055,709 priority patent/US20080244716A1/en
Publication of JP2008252567A publication Critical patent/JP2008252567A/ja
Application granted granted Critical
Publication of JP4336803B2 publication Critical patent/JP4336803B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信端末が、不用意にネットワークに接続できないようにして、セキュリティ性能の向上を図る。
【解決手段】ネットワーク3上に通信路を確立する通信路確立手段11を有した通信端末1と、通信路を中継する一つ以上の中継装置2とを備え、通信端末1が、中継装置2に対し認証情報の送信要求を行う認証情報要求手段101と、中継装置2からの認証情報が適正であるときに通信路確立手段11による通信路の確立を許可する確立許可手段102を備え、中継装置2が、通信端末1からの送信要求に応じて認証情報を送信する認証情報送信手段21を備えた。
【選択図】 図1

Description

本発明は、インターネットなどのコンピュータネットワークを用いた特定中継装置認証機能付き通信システムであって、ネットワーク上に通信路を確立する通信路確立手段を有した通信端末を備える特定中継装置認証機能付き通信システム、この通信システムに用いられる通信端末、通信システムを用いた通信方法及び通信システムの通信プログラムに関する。
近年、例えば、インターネットなどのネットワーク網を有した通信システムにおいて、コンピュータウィルスやサーバへの不正な操作による情報漏えい等の情報セキュリティリスクを生じる頻度が高まっている。
一般に、PCなどのクライアントは、社内通信に用いられるイントラネット等のネットワーク内では統一的なセキュリティポリシが適用され監視・管理されている。
従って、常時社内ネットワークに接続されている通信端末は、セキュリティ対策が施されウィルスの感染などの危険性が非常に低い状態にあり、そのため、例えば、ファイルサーバなどから情報漏洩などの危険性が低減された、安全なネットワーク環境の元で運用がなされている。
従来、この種のイントラネットなどのネットワーク上で、サーバと通信端末間の通信を行わせる通信システムの技術としては、例えば、特許文献1に記載の技術が知られている。
この特許文献1には、サーバとこのサーバと通信可能な通信端末とを備え、通信端末に付与された認証IDが予めサーバに登録された認証IDと同じときに、サーバが通信端末に通信する通信システムの技術が記載されている。
また、上記のような通信システムにおいて、ノート型のパーソナルコンピュータのように通信端末の軽量化に伴い、通信端末を、社外に持ち出して社内のネットワーク以外のネットワークで利用したり、社外のアクセスポイントや自宅から、リモートアクセスサーバを介して社内のネットワークに接続したりするなどの利用方法が拡大してきている。
一般に、この種の通信システムとしては、図12に示すように、例えば、インターネットなどのインターネット3上に通信路を確立する通信路確立手段を有した通信端末1と、通信路を中継するブロードバンドルータなどの中継装置(2)とを備える。また、ネットワークには、例えば、図示しないルータを介してイントラネット5が接続されている。
通信端末は、通常は、別のネットワークに接続されて用いられる。また、通信端末は、社外に持ち出されてブロードバンドルータ2などに接続してインターネットにつなげることも可能である。
通信端末1が、ブロードバンドルータ2に接続した状態でイントラネット5内のファイルサーバ50に通信路を確立するときは、リモートアクセスサーバ4を介してこれを行う。
リモートアクセスサーバ4は、ユーザ認証手段4aを備えている。ユーザ認証手段4aは、通信端末1からイントラネット5内のファイルサーバ50へのリモートアクセスの要求を受け付けると、例えば、通信端末1にログインしたユーザのユーザIDとパスワードで認証を行う。そして、リモートアクセスサーバ4は、認証が正しく行われたときに通信端末1からファイルサーバ50に確立しようとする通信路を中継する。
このように、ユーザ認証手段4aにより、部外者が、インターネット3側から社内のネットワークに侵入できないようにしている。
従来、このような社外ネットワークから社内ネットワークと通信を行うための通信システムとしては、例えば、特許文献2及び3に記載の技術が知られている。
特許文献2記載の通信システムは、ユーザネットワークと、転送ネットワークを介してユーザネットワークと通信可能なサービスネットワークを備えている。
そして、サービスネットワークに位置する管理サーバが、ユーザネットワークと転送ネットワークの境界に位置するCPE(Customer Premises Equipment)を経由して送信された通信端末の認証情報を基に、通信端末の認証を行う。
また、管理サーバが、この認証結果を基に、CPEと、サービスネットワークと転送ネットワークの境界に位置するゲートウェイルータとに、フィルタリング、およびトンネルの設定を行うようにしている。
また、特許文献3には、社外ネットワークにあるルータの設定のために、ルータに社内ネットワークのデータを受信させる際、サーバが、ルータの機器IDを読み取って、この機器IDが適正であるときにルータにデータを送信するようにした通信システムの技術の記載がある。
特開2006−268618号公報(段落「0033」〜「0035」) 特開2006−270273号公報(段落「0011」〜「0012」) 特開2004−193988号公報(段落「0016」〜「0018」)
しかしながら、このような従来の通信システムにあっては、運用管理者の意図に反して、社外へ持ち出したノートPCなどの通信端末1が、公衆のLANなどのように、安全性が十分に保証されていないネットワークに不用意に接続されると、ウィルスやスパイウェアに感染するおそれがあった。
そして、ウィルスやスパイウェアに感染した状態で、通信端末1が、イントラネット5に直接接続されたり、リモートアクセスサーバ4を介してイントラネット5と接続されたりして、通信端末1とイントラネット5のファイルサーバ50との通信が行われると、ウィルスやスパイウェアの影響を受けて通信システムのセキュリティが弱められてしまうという問題があった。
すなわち、通信端末は適正な端末であり、社内ネットワークへの接続も適切に行われてしまうので、ウィルスやスパイウェアに感染した通信端末を介してイントラネット内への不正な侵入が行われてしまうおそれがあった。
本発明は、以上のような従来の技術が有する問題を解決するために提案されたものであり、通信端末が、不用意にネットワークに接続できないようにして、セキュリティ性能の向上を図った特定中継装置認証機能付き通信システム、この通信システムに用いられる通信端末、通信システムによる通信方法及び通信システムの通信プログラムの提供を目的とする。
上記目的を達成するため、本発明の特定中継装置認証機能付き通信システムは、ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムであって、前記通信端末が、前記中継装置に対し認証情報の送信要求を行う認証情報要求手段と、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する確立許可手段を備え、前記中継装置が、前記通信端末からの送信要求に応じて前記認証情報を送信する認証情報送信手段を備えている。
このような構成からなる通信システムは、認証情報要求手段で、中継装置に対し認証情報の送信要求を行ない、中継装置は、認証情報を通信端末に送信する。
そして、通信端末は、確立許可手段において認証情報が適正であると判断されたときに、通信路確立手段で通信路の確立が行われる。
一方、確立許可手段において、認証情報が適正でないと判断されたり、認証情報を受信できなかったりするときには、通信端末は、通信路確立手段で通信路を確立できなくなり、他のコンピュータとは通信できなくなる。
これにより、通信端末が、不用意にネットワークに接続しないようにすることができる。そのため、通信端末は、ウィルスやスパイウェアに感染しにくくなり、通信システムのセキュリティ性能を向上させることができる。
また、前記確立許可手段が、接続を許可する中継装置の固有情報が記憶される端末側記憶手段と、前記端末側記憶手段に記憶された固有情報と前記中継装置からの認証情報とが一致したときに該認証情報が適正であるとする適否判断手段と、を備え、前記中継装置が、該中継装置の固有情報が記憶される中継装置側記憶手段を備え、前記認証情報送信手段が、前記中継装置側記憶手段に記憶された固有情報を前記認証情報として送信することが好ましい。
このような構成からなる通信システムにおいては、予め、中継装置よりも通信端末側のネットワークの安全性が十分に確保されている中継装置の固有情報を端末側記憶手段に記憶させておく。
この状態で、通信端末を中継装置に接続すると、適否判断手段で端末側記憶手段に記憶された固有情報と中継装置からの認証情報とが一致したときに認証情報が適正であるとする。これにより、通信端末が、不用意に、安全性が十分でないネットワークに接続しないようにすることができる。
また、この場合、安全性が確保されていれば、通信端末が通信を行うことができるので、通信端末の汎用性を向上できる。
また、前記ネットワークに接続される別のネットワークと、前記ネットワーク側から前記別のネットワーク内のコンピュータに至る通信路を中継可能な中継手段を有したリモートアクセスサーバとを備え、前記通信路確立手段が、前記リモートアクセスサーバに対し、前記別のネットワーク内のコンピュータへの通信路の確立を要求するリモートアクセス要求手段と、前記リモートアクセスサーバに対し、前記中継装置からの認証情報を送信する端末側認証情報送信手段と、を備え、前記リモートアクセスサーバが、前記通信路の中継を許可する中継装置の固有情報が記憶されるサーバ側記憶手段と、前記リモートアクセス要求手段からのリモートアクセス要求及び前記端末側認証情報送信手段からの認証情報を受け付ける受付手段と、該受付手段で受け付けた前記リモートアクセス要求に対応する前記認証情報が、前記サーバ側記憶手段に記憶された固有情報と一致するか否かを判断するサーバ側判断手段と、該サーバ側判断手段が一致を判断したときに、前記中継手段に前記別のネットワーク内のコンピュータへの通信路の中継を許可する中継許可手段と、を備えることが好ましい。
また、リモートアクセスサーバが、サーバ側判断手段を備えるので、通信端末が、別のネットワークの外側から、別のネットワークの内側にアクセスする場合において、リモートアクセスサーバでも中継装置からの認証情報を判断することができる。
すなわち、通信端末側とリモートアクセスサーバ側とで、中継装置よりも通信端末側のネットワークの安全性が、良好であるか否かを二重にチェックする。
これにより、セキュリティの環境が良好な場合にのみ、通信端末から別のネットワーク側への通信路が確立され、これらの間で通信が可能となる。そのため、別のネットワーク側に安全性の低いネットワークからのアクセスが防止され、別のネットワーク側への不正な侵入の防止性能を向上させることができ、通信システムのセキュリティ性能を向上させることができる。
また、前記認証情報要求手段が、任意のトークンを生成して該中継装置に向けて送信する端末側トークン送信手段を備え、前記確立許可手段が、接続を許可する中継装置の公開鍵情報が記憶される端末側記憶手段と、前記中継装置からの認証情報を前記公開鍵情報で復号する端末側復号手段と、該端末側復号手段で復号された認証情報と前記端末側トークン送信手段で送信したトークンとが一致したときに該認証情報が適正であるとする適否判断手段と、を備え、前記中継装置が、該中継装置の秘密鍵情報が記憶される中継装置側記憶手段と、前記通信端末からのトークンを、前記秘密鍵情報で暗号化して暗号化トークンを生成する暗号化手段とを備え、前記認証情報送信手段が、該暗号化手段で生成した暗号化トークンを認証情報として送信することが好ましい。
このような構成からなる通信システムは、公開鍵情報及び秘密鍵情報を用いており、仮に、通信端末が確立した通信路が盗聴されていても、秘密鍵情報が他者に漏えいを防止することができる。
そのため、中継装置があたかも適正な中継装置であるかのように偽って、不正に侵入されにくくなり、通信システムのセキュリティ性能を向上させることができる。
また、前記ネットワークに接続される別のネットワークと、前記ネットワーク側から前記別のネットワーク内のコンピュータに至る通信路を中継可能な中継手段を有したリモートアクセスサーバとを備え、前記リモートアクセスサーバが、前記通信路の中継を許可する中継装置の公開鍵情報が記憶されるサーバ側記憶手段と、前記通信路確立手段からのリモートアクセス要求があったときに、前記通信端末に向けて任意のトークンを生成して該中継装置に向けて送信するサーバ側トークン送信手段と、前記中継装置からの認証情報を前記公開鍵情報で復号するサーバ側復号手段と、該サーバ側復号手段で復号された認証情報と前記サーバ側トークン送信手段で送信したトークンとが一致するか否かを判断するサーバ側判断手段と、該サーバ側判断手段が一致を判断したときに、前記中継手段に前記別のネットワーク内のコンピュータへの通信路の中継を許可する中継許可手段と、を備え、
前記通信路確立手段が、前記リモートアクセスサーバに対し、前記別のネットワーク内のコンピュータへの通信路の確立を要求するリモートアクセス要求手段と、前記リモートアクセスサーバからのトークンを前記中継装置に転送するトークン転送手段と、前記リモートアクセスサーバからのトークンに対応する認証情報を前記リモートアクセスサーバに転送する認証情報転送手段と、を備えることが好ましい。
このような構成からなる通信システムは、公開鍵情報及び秘密鍵情報を用いてしかも、通信端末とリモートアクセスサーバで、中継装置を二重にチェックするので、より一層、通信システムのセキュリティ性能を向上させることができる。
また、前記認証情報要求手段が、前記中継装置のうち、前記通信端末の直近の中継端末に対し送信要求を行うことが好ましい。
通信端末の直近の中継装置に対して認証情報を獲得するようにしており、直近の中継装置であれば、セキュリティ環境を良好にすることも簡単なので、通信システムの設置を容易にすることができる。
また、上記目的を達成するため、本発明の通信端末は、ネットワーク上に通信路を確立する通信路確立手段を有し、当該通信路確立手段で確立された通信路が一つ以上の中継装置で中継される通信端末であって、前記中継装置に対し認証情報の送信要求を行う認証情報要求手段と、該認証情報要求手段からの送信要求に応じて中継装置から送信された前記認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する確立許可手段を備えている。
このような構成からなる通信端末によれば、通信端末は、確立許可手段において認証情報が適正であると判断されたときに、通信路確立手段で通信路の確立が行われる。
一方、確立許可手段において、認証情報が適正でないと判断されたり、認証情報を受信できなかったりするときには、通信端末は、通信路確立手段で通信路を確立できなくなり、他のコンピュータとは通信できなくなる。
これにより、通信端末が、不用意にネットワークに接続しないようにすることができる。そのため、通信端末は、ウィルスやスパイウェアに感染しにくくできる。
また、例えば、通信端末を社内ネットワークに持っていき、これ社内ネットワーク内で用いても、通信端末がウィルスやスパイウェアに感染する危険性が大幅に低減されているので、社内ネットワーク内の他のコンピュータにウィルスやスパイウェアが感染する事態も防止でき、通信システム全体のセキュリティ性能を向上させることができる。
また、上記目的を達成するため、本発明の通信方法は、ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムの通信方法であって、前記通信端末が、前記中継装置に対し認証情報の送信要求を行い、前記中継装置が、前記通信端末からの送信要求に応じて前記認証情報を送信し、前記通信端末が、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する構成としている。
このような構成からなる通信端末によれば、上記通信システムの構成に限定されること無く、通信端末が、不用意にネットワークに接続しないようにすることができる。そのため、通信端末は、ウィルスやスパイウェアに感染しにくくできる。
また、上記目的を達成するため、本発明の通信プログラムは、ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムにおいて、前記通信端末に、前記中継装置に対し認証情報の送信要求を行なわせる機能、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する機能を実現させるとともに、前記中継装置に、前記通信端末からの送信要求に応じて前記認証情報を送信する機能を実現させる構成としている。
このような構成からなる通信端末によれば、通信端末が、不用意にネットワークに接続しないようにすることができる。そのため、通信端末は、ウィルスやスパイウェアに感染しにくくできる。
以上のように、本発明の特定中継装置認証機能付き通信システム、通信端末、通信方法及び通信プログラムによれば、認証情報要求手段で、中継装置に対し認証情報の送信要求を行ない、確立許可手段において認証情報が適正であると判断されたときに、通信路確立手段で通信路の確立を行われるので、通信端末は、その通信路確立手段で通信路を確立できなくなり、他のコンピュータとは通信できなくなる。
これにより、通信端末が、不用意にネットワークに接続されなくなり、セキュリティ性能を向上させることができる。
以下、本発明に係る特定中継装置認証機能付き通信システム、通信端末、通信方法、及び、通信プログラムの好ましい実施形態について説明する。
なお、本発明の実施形態において、通信方法及び通信プログラムは、特定中継装置認証機能付き通信システムにより実現されているので、通信システム及びこの通信システムに用いられる通信端末の実施形態について説明する。
[第一実施形態]
図1及び図2には、本発明の第一実施形態の特定中継装置認証機能付き通信システムを示している。
図1に示すように、本実施形態の通信システムは、ネットワーク(3)上に通信路を確立する通信路確立手段11を有した通信端末1と、通信路を中継する一つ以上の中継装置(2)とを備えている。
また、通信システムは、ネットワーク(3)に接続される別のネットワーク(5)と、ネットワーク(3)側から、別のネットワーク(5)内のコンピュータに至る通信路を中継可能な中継手段40を有したリモートアクセスサーバ4とを備えている。
この通信システムにおいて、上記の通信端末1、中継装置(2)、及び、リモートアクセスサーバ4などのノード間では、通信路が、確立されてから通信が行われる。本実施形態では、通信路の確立は、例えば、TCP/IPなどのプロトコルを用いて行われる。
通信端末1は、例えば、ノート型のパーソナルコンピュータのように持ち運び可能な計算機で構成されており、常時は、別のネットワーク(5)内の端末のクライアントコンピュータとして用いられる。
中継装置は、例えば、ハブやルータなどで構成されており、いわゆる、ルーティング機能、ブリッジ機能、スイッチ機能などを備える機器である。本実施形態では、ブロードバンドルータ2で構成されている。
この中継装置であるブロードバンドルータ2には、予め、製造ベンダでの製造の際に、ブロードバンドルータ2の固有情報が登録されている。
固有情報は、例えば、シリアル番号などの機器IDや、変更不能なブロードバンドルータ2のLAN側ポートのマックアドレスなどのブロードバンドルータ2を一意に識別する機器固有の情報である。本実施形態では、機器ID60を用いている。
ネットワークは、いわゆる、コンピュータネットワークの一つである、インターネット3で構成されている。
リモートアクセスサーバ4は、例えば、ISDN回線を用いて中継するサーバ装置や、既存のネットワーク上にVPN(バーチャルプライベートネットワーク)を形成するVPN装置などの計算機で構成されている。
そして、リモートアクセスサーバ4は、インターネット3側からのアクセスが所定の条件を満たすときに、このアクセスを別のネットワーク(5)側に導く機能を有している。
また、別のネットワークは、インターネット3に図示しないルータを介して接続されている、いわゆる、社内ネットワークなどのイントラネット5である。
また、イントラネット5内のコンピュータは、例えば、ファイルサーバなどのホストコンピュータである。本実施形態においては、このイントラネット5内のコンピュータは、ファイルサーバ50である。
以下に、通信システムの構成を、より詳しく説明する。
図2にも示すように、通信端末1は、図示しないハードディスクドライブなどの記憶装置及びCPUやメモリなどの演算処理装置を備えている。
通信端末1は、インターネット3にアクセスする際に、インターネット3側に確立する通信路を中継するブロードバンドルータ2から認証情報を受信してブロードバンドルータ2の認証を行う端末側ルータ認証手段10と、ネットワーク3側のコンピュータ30との間に通信路を確立可能な通信路確立手段11とを備えるクライアントエージェント1aがインストールされている。
そして、クライアントエージェント1aは、ソフトウェアであって、予め、通信端末1の記憶装置に記憶されている。そして、クライアントエージェント1aは、通信端末1が起動させられると、自動的に、記憶装置から読み出されて演算処理装置で演算処理され、作動させられる。
また、通信端末1の端末側ルータ認証手段10は、ブロードバンドルータ2から認証情報の送信要求を行う認証情報要求手段101と、ブロードバンドルータ2からの認証情報が適正であるときに通信路確立手段11による通信路の確立を許可する確立許可手段102とを備えている。
認証情報要求手段101は、ブロードバンドルータ2にLANケーブルなどの伝送路でつながれたときに、この伝送路上に、ブロードバンドルータ2との通信路を確立し、ブロードバンドルータ2に対して、認証情報の送信を要求する送信要求信号を送信する。そして、認証情報要求手段101は、ブロードバンドルータ2からの認証情報を受信すると、確立許可手段102に認証情報を送る。
また、認証情報要求手段101は、送信情報要求信号を送信しても、認証情報を受信しないときには、所定回数、送信情報要求信号を送信する。
また、認証情報要求手段101は、通信端末1の直近の中継端末に対し送信要求を行なっている。
確立許可手段102は、接続を許可するブロードバンドルータ2の固有情報(機器ID61)が記憶される端末側記憶手段103と、端末側記憶手段103に記憶された固有情報とブロードバンドルータ2からの認証情報とが一致したときに認証情報が適正であるとする適否判断手段104とを備えている。
端末側記憶手段103は、例えば、パーソナルコンピュータ自身が備えるハードディスクドライブなどで構成されている。
また、端末側記憶手段103には、例えば、通信端末1のユーザU自身や、イントラネット5の管理者などが、あらかじめ、ブロードバンドルータ2のLAN側のネットワーク環境を検証しておき、セキュリティが上記イントラネット5並みにあることを確認された場合に、そのブロードバンドルータ2の機器ID61を記憶させる。
この端末側記憶手段103には、このように、安全性が高いネットワークの中継装置の固有情報を複数記憶しておくことができる。例えば、インターネット3及びイントラネット5間に介装されるルータの固有情報も登録しておくことが望ましい。
また、適否判断手段104は、認証情報要求手段101から渡された認証情報が、端末側記憶手段103に記憶されたブロードバンドルータ2の機器IDのいずれかと一致したときに、認証情報が適正であると判断する。
また、適否判断手段104は、認証情報が端末側記憶手段103に記憶された機器IDでなく、適否判断手段104が、不適正と判断したときには、通信路確立手段11による通信路の確立を不許可にして、インターネット3側との通信を不能にする。
また、確立許可手段102は、認証情報を受信できないときにも、通信路確立手段11による通信路の確立を不許可にしてインターネット3側との通信を不能にする。
通信路確立手段11は、リモートアクセスサーバ4に対し、イントラネット5内のコンピュータへの通信路の確立を要求するリモートアクセス要求手段110と、リモートアクセスサーバ4に対し、ブロードバンドルータ2からの認証情報を送信する端末側認証情報送信手段111と、を備えている。
また、通信路確立手段11は、リモートアクセス要求手段110がリモートアクセスサーバ4にリモートアクセスの要求をするときに、インターネット3上にリモートアクセスサーバ4までの通信路を確立する。
リモートアクセス要求手段110は、通信路確立手段11が確立した通信路を用いて、リモートアクセスを要求する要求信号を送出する。
端末側認証情報送信手段111は、リモートアクセス手段が確立したリモートアクセスサーバ4までの通信路を用いて認証情報をリモートアクセスサーバ4に送信する。また、端末側認証情報送信手段111は、ブロードバンドルータ2からの認証情報を一時的に、メモリやハードディスクドライブに記憶しておき、これを、リモートアクセスサーバ4に送信している。
本実施形態においては、リモートアクセス要求手段110が、イントラネット5内のコンピュータ(50)への通信路の確立を要求するときには、端末側認証情報送信手段111は、リモートアクセス要求手段110が送出する要求信号に認証情報を含ませることにより、認証情報を送信している。
ブロードバンドルータ2は、家庭内に設置されている。
このブロードバンドルータ2は、通信端末1からの送信要求に応じて認証情報を送信する認証情報送信手段21と、ブロードバンドルータ2の固有情報が記憶される中継装置側記憶手段20とを備えている。
中継装置側記憶手段20は、例えば、内臓のICからなるROMで構成されている。
認証情報送信手段21は、認証情報の要求信号を通信端末1から受信すると、中継装置側記憶手段20に記憶された固有情報(機器ID60)を認証情報として送信している。
本実施形態においては、認証情報は、通信端末1の通信路確立手段11で確立された通信路を用いて通信端末1に送信される。
リモートアクセスサーバ4は、リモートアクセスの要求をした通信端末1が、セキュリティ環境が整ったネットワーク環境にあるか否かを認証するサーバ側ルータ認証手段41を備えている。
リモートアクセスサーバ4は、そのサーバ側ルータ認証手段41として、通信路の中継を許可するブロードバンドルータ2の機器ID62が記憶されるサーバ側記憶手段410と、リモートアクセス要求手段110からのリモートアクセス要求及び端末側認証情報送信手段111からの認証情報を受け付ける受付手段411と、受付手段411で受け付けたリモートアクセス要求に対応する認証情報が、サーバ側記憶手段410に記憶された固有情報と一致するか否かを判断するサーバ側判断手段412と、サーバ側判断手段412が一致を判断したときに、中継手段40にイントラネット5内のコンピュータ(50)への通信路の中継を許可する中継許可手段413と、を備えている。
サーバ側記憶手段410は、リモートアクセスサーバ4が備えるハードディスクドライブなどで構成されている。そして、サーバ側記憶手段410には、予め、上記の端末側記憶手段103のように、ユーザUやイントラネット5のネットワーク管理者によって、LAN側のネットワークの安全性が十分に確保された中継装置の固有情報(例えば、ブロードバンドルータ2の機器ID62)が記憶されている。
受付手段411は、通信路確立手段11で確立された通信路を介して送られた要求信号を受け取り、要求信号の中から認証情報を取り出している。
また、サーバ側判断手段412は、受付手段411で取り出された認証情報が、サーバ側記憶手段410に記憶されたブロードバンドルータ2の機器IDのうち、これらのいずれかと一致するか否かを判断する。
中継許可手段413は、サーバ側判断手段412が一致を判断したときに、この認証情報に対応するリモートアクセスの要求信号を送出した通信端末1に、イントラネット5内に通信路を確立してよいことを通知するとともに、中継手段40にこの通信端末1のリモートアクセスをイントラネット5内に導くようにしている。
また、リモートアクセスサーバ4が、サーバ側判断手段412が一致を判断した後に、通信端末1から通信端末1にログオンしたユーザUのユーザ認証情報を取得してユーザ認証を行うとともに、ユーザ認証が適正に行われたときに中継許可手段413に中継手段40による通信路の中継を許可させるユーザ認証手段42を備えている。
ユーザ認証手段42は、サーバ側判断手段412が一致を判断した後に、通信端末1に対し、例えば、ユーザUのID及びこのIDに対応するパスワードを送信するように要求する。
そして、ユーザ認証手段42は、ユーザID及びパスワードが通信端末1から送信されたときに、リモートアクセスサーバ4の記憶装置に設けられた、ユーザUの認証情報と照合し、適正であるか否かを判断している。
サーバ側判断手段412が不一致を判断、又は、ユーザ認証手段42が不適を判断したときには、通信端末1に対して、イントラネット5内に通信路の確立ができないことを通知する。
次に、以上のような構成からなる本実施形態の通信システムの動作を、図3〜図5に示すチャートにしたがって説明する。なお、図3は、通信システム全体のシーケンス図、図4は、通信端末1のフローチャート図、図5は、リモートアクセスサーバ4のフローチャート図をそれぞれ示している。
ユーザUが、常時は、イントラネット5内で用いられている通信端末1を、自宅へ持ち帰り、例えば、LANケーブルを用いてブロードバンドルータ2に接続する。
通信端末1は、起動されると、通信端末1のクライアントエージェント1aが、ブロードバンドルータ2につながれたことを認識する。この際、通信端末1のクライアントエージェント1aの通信路確立手段11は、確立許可手段102からの許可が無いので、インターネット3には接続の確立がなされない。
次に、ユーザUの操作で、通信端末1が、ブロードバンドルータ2を介して、インターネット3側と、最初に通信を行う場合には(C1−1,C2−1)、通信端末1は、クライアントエージェント1aが、これを検知し(C1−2)、端末側ルータ認証手段10の認証情報要求手段101が、ルータとの間に通信路を確立し、ブロードバンドルータ2に認証情報を要求する信号を送信する(C1−3,C2−2)。
認証情報を要求する信号を受信したブロードバンドルータ2は(C1−4)、認証情報送信手段21が、中継装置側記憶手段20から機器ID60を取り出し(C1−5)、これを認証情報として通信端末1に送信する(C1−6)。
認証情報を受信すると(C2−3Y)、端末側ルータ認証手段10の適否判断手段104が、認証情報(機器ID60)を端末側記憶手段103に記憶された機器ID61と照合し(C2−4)、端末側記憶手段103に記憶された機器IDと認証情報とが一致するものがあったときに(C2−5Y)、確立許可手段102が、通信路確立手段11にインターネット3及びブロードバンドルータ2のLAN側ネットワークへの通信路の確立を許可する(C1−8,C2−6)。
通信端末1は、通信路確立手段11により、インターネット3側に通信路の確立が可能となり、この通信路を介してインターネット3側と通信を行う(C1−9,C2−7)。
一方、認証情報要求手段101で認証情報の送信要求信号をしたにもかかわらず、認証情報が受信できないときは、再度、送信要求信号を送出する。これを所定の回数繰り返しても、認証情報を受信できないときは(C2−3N)、ブロードバンドルータ2に認証情報送信手段21がないものとみなす。そのため、確立許可手段102は、通信路確立手段11による、インターネット3及びブロードバンドルータ2のLAN側ネットワークへの通信路の確立を不許可とする(C2−17)。
また、適否判断手段104が、認証情報と端末側記憶手段103に記憶された機器IDとを照合して、認証情報と一致する機器IDがなかったときは(C2−4,C2−5N)、確立許可手段102が、ブロードバンドルータ2のLAN側において、セキュリティが十分でないとして、通信路確立手段11によるインターネット3及びブロードバンドルータ2のLAN側ネットワークへの通信路の確立を不許可とする(C2−17)。
次に、ユーザUが、通信端末1でイントラネット5内のファイルサーバ50のファイルを閲覧するなどの場合には(C2−8Y,C2−9)、以下のようになる。この場合、予め、認証情報要求手段101から、端末側認証情報送信手段111に、認証情報(機器ID60)が入力される(C1−10)。
通信路確立手段11は、通信端末1とリモートアクセスサーバ4との間に通信路を確立する(C2−10)。そして、リモートアクセス要求手段110により、ファイルサーバ50と通信を行うために、リモートアクセスサーバ4にリモートアクセスの要求信号を送出する(C1−11,C2−11)。この際、端末側認証情報送信手段111は、要求信号に認証情報を含ませる。
リモートアクセスサーバ4は、通信端末1のリモートアクセス要求手段110からのリモートアクセスの要求信号を受付手段411が受け付けると、受付手段411が要求信号に含まれる認証情報を取り出す(C3−1)。
次に、受付手段411は、取り出した機器IDを、サーバ側ルータ認証手段41のサーバ側判断手段412に出力する(C1−12)。
サーバ側判断手段412は、認証情報が渡されると、認証情報(機器ID60)をサーバ側記憶手段410の機器ID62とを照合する(C1−13,C3−2)。次に、サーバ側記憶手段410に記憶された機器ID62と認証情報(機器ID60)とが一致するものがあったときに(C1−14,C3−3Y)、ユーザ認証手段42が通信端末1に対し、ユーザUのID及びパスワードからなるユーザ認証情報を要求する信号を送出する(C1−15,C3−4)。この信号を、リモートアクセス要求手段110が受信すると、通信端末1の表示画面に、ユーザID及びパスワードの入力ウィンドウを表示し(C1−16)、ユーザUにこれらの入力を要求する(C1−17,C2−12Y)。
ユーザUがユーザID及びパスワードを入力すると(C1−18)、これらからなるユーザ認証情報を、通信路確立手段11に出力する(C1−19)。そして、通信路確立手段11がリモートアクセスサーバ4にユーザ認証情報を送信する(C1−20,C2−13)。
ユーザ認証情報を受信すると、ユーザ認証手段42は、これが適正であるか否かを判断し、適正であるときには(C1−21,C3−5Y)、中継許可手段413が、中継手段40に通信端末1からイントラネット5への通信路を中継することを許可する(C3−6)。
また、リモートアクセスサーバ4のサーバ側ルータ認証手段41は、通信端末1の通信路確立手段11に対し、イントラネット5内のファイルサーバ50に対して通信路を確立可能であることを通知する信号を送出する(C1−22,C3−7)。
そして、通信路確立手段11が、この通知信号を受信すると(C2−14Y)、イントラネット5内のファイルサーバ50に対して通信路を確立し、ファイルサーバ50との通信を行う(C1−23,C2−15)。
また、サーバ側判断手段412において、サーバ側記憶手段410に記憶された機器IDと認証情報とが一致するものがないとき(C3−3N)、及び、ユーザ認証情報が不適正のときは(C3−5N)、中継手段40に対し通信端末1からイントラネット5への通信路を中継することを不許可とし(C3−8)、ユーザ認証手段42が通信端末1に対し、リモートアクセスを拒否する信号を送出する(C1−15,C3−9)。
通信端末1が、リモートアクセス拒否の信号を受信したときは(C2−12N,C2−14N)、その事実を画面に表示するとともに通信路確立手段11がファイルサーバ50に通信路を確立できなくなり、リモートアクセスが不可になる(C2−16)。
以上説明したように、本実施形態に係る通信システムによれば、認証情報要求手段101で、ブロードバンドルータ2に対し認証情報の送信要求を行ない、確立許可手段102でこの認証情報が適正であるときに通信路確立手段11で通信路の確立を行うので、通信端末1は、不用意にインターネット3のコンピュータ30や、ブロードバンドルータ2のLAN側のコンピュータなどと通信できなくなる。
すなわち、ブロードバンドルータ2のLAN側のネットワークの安全性が十分に保証されていない状態では、通信端末1が、通信できないので、ウィルスやスパイウェアに感染しにくくなる。これにより、通信システムのセキュリティ性能を向上させることができる。
また、適否判断手段104で端末側記憶手段103に記憶された固有情報とブロードバンドルータ2からの認証情報とが一致したときに認証情報が適正であるとするので、予め、十分に安全性が確保されたネットワークのブロードバンドルータ2の機器ID61を端末側記憶手段103に記憶させておけば、通信端末1が、ウィルスやスパイウェアに感染する危険性が大幅に低減される。
これにより、例えば、通信端末1を、家庭から会社に持っていき、これを社内のイントラネット5に接続して用いても、通信端末1がウィルスやスパイウェアに感染する危険性が大幅に低減されているので、イントラネット5内のファイルサーバ50や他のコンピュータへの影響がほとんどなくなり、通信システムのセキュリティ性能を向上させることができる。
また、リモートアクセスサーバ4が、サーバ側判断手段412を備えるので、通信端末1が、イントラネット5外から、イントラネット5内にアクセスする場合には、リモートアクセスサーバ4でもブロードバンドルータ2からの認証情報を判断することができる。
すなわち、通信端末1側とリモートアクセスサーバ4側とで、ブロードバンドルータ2よりも通信端末1側のネットワークの安全性が、良好であるか否かを二重にチェックする。
これにより、リモートアクセスサーバ4でも、ブロードバンドルータ2のLAN側ポートのネットワーク環境が良好な場合にのみ、通信端末1からイントラネット5側への通信路の確立できるので、イントラネット5側に安全性の低いネットワークからのアクセスがほとんどなくなる。そのため、イントラネット5側への不正な侵入がほとんどなくなり、セキュリティ性能を向上させることができる。
また、リモートアクセスサーバ4は、通信端末1に設けた端末側認証情報送信手段111により、通信端末1からブロードバンドルータ2の認証情報を受け取るので、ブロードバンドルータ2の構造をあまり複雑にしなくてもよくなる。
すなわち、例えば、ブロードバンドルータ2が、ネットワークに接続されたときに自動的にリモートアクセスサーバ4に認証情報を送るような場合に比較して、リモートアクセスサーバ4は、通信端末1が、リモートアクセスするときのみ認証情報を受信する。そのため、認証情報が部外者に知られにくくなり、例えば、不正な通信端末1がなりすましを行うことにより、このイントラネット5に侵入されるおそれを低減することができる。
さらに、通信端末1の直近のブロードバンドルータ2に対して認証情報を獲得するようにしているので、直近のブロードバンドルータ2であれば、セキュリティ環境を良好にすることも簡単なので、通信システムの設置を容易にすることができる。
また、リモートアクセスサーバ4が、ユーザ認証も行うので、より一層、セキュリティ性能を向上させることができる。
また、通信端末1自体が、不用意にネットワークに接続できなくなるので、通信端末1自体がウィルスやスパイウェアに感染しにくくなる。これにより、通信端末1が、イントラネット5内において、ウィルスやスパイウェアに感染した状態で用いられる事態を防止できる。
[第二実施形態]
図6及び図7には、本発明の第二実施形態の特定中継装置認証機能付き通信システムを示している。
同図に示す本実施形態にかかる通信システムは、上記実施形態と同様に、通信端末1と、ブロードバンドルータ2と、リモートアクセスサーバ4と、インターネット3と、イントラネット5とを備えている。
そして、以下の点で、上述した第一実施形態と異なる。
本実施形態の通信システムは、中継機器の固有情報である機器ID60〜62の代わりに、RSAなどの暗号通信方式で用いられる一対の暗号鍵である、公開鍵情報及び秘密鍵情報71が用いられる。この公開鍵情報及び秘密鍵情報71は、ブロードバンドルータ2の製造ベンダで、予め、作成されている。また、公開鍵情報は、製造ベンダの識別情報、機器を識別するための識別情報などとともに機器証明書70に含まれている。
また、製造ベンダは、ブロードバンドルータ2の製造の際に、ブロードバンドルータ2に設けた鍵ストア22に、予め、機器証明書70及び秘密鍵情報71を記憶させている。
そして、端末側ルータ認証手段12及びサーバ側ルータ認証手段43は、公開鍵情報を含む機器証明書70を用いてブロードバンドルータ2の検証を行っている。
以下に、通信システムの構成をより詳しく説明する。
図7にも示すように、通信端末1の端末側ルータ認証手段12は、第一実施形態と同様に、認証情報要求手段120及び確立許可手段122を備えている。
認証情報要求手段120は、任意のトークンを生成してブロードバンドルータ2に向けて送信する端末側トークン送信手段121を備えている。ここで、トークンとは、任意のビット数のランダムな値からなるパスフレーズである。
この端末側トークン送信手段121は、ブロードバンドルータ2に認証情報を要求する信号を送信する度に、新たなトークンを生成する。
本実施形態においては、端末側トークン送信手段121は、ブロードバンドルータ2に認証情報要求信号を送信する際に、この認証情報要求信号にトークンを含ませて送信する。
また、確立許可手段122は、接続を許可するブロードバンドルータ2の公開鍵情報が記憶される端末側記憶手段123と、ブロードバンドルータ2からの認証情報を公開鍵情報で復号する端末側復号手段124と、端末側復号手段124で復号された認証情報と端末側トークン送信手段121で送信したトークンとが一致したときに認証情報が適正であるとする適否判断手段125とを備えている。
端末側記憶手段123には、LAN側のネットワークの安全性が十分に確保された中継装置であるブロードバンドルータ2の機器証明書72が記憶されている。
また、端末側復号手段124は、認証情報要求手段120が受信した認証情報が渡されると、端末側記憶手段123に記憶された機器証明書70から公開鍵情報を取り出し、認証情報である暗号化トークンを復号する。
端末側復号手段124は、端末側記憶手段123に複数の機器証明書72が記憶されているときは、ユーザUに、どの機器証明書70で復号するかを選択させる。
また、適否判断手段125は、端末側トークン送信手段121で送信されたトークンも受け取り、このトークンと復号された認証情報とが一致するか否かを判断する。
通信路確立手段11は、リモートアクセスサーバ4に対し、別のネットワーク内のコンピュータ(50)への通信路の確立を要求するリモートアクセス要求手段130と、リモートアクセスサーバ4からのトークンをブロードバンドルータ2に転送するトークン転送手段131と、リモートアクセスサーバ4からのトークンに対応する認証情報をリモートアクセスサーバ4に転送する認証情報転送手段132と、を備える。
トークン転送手段131は、後述のサーバ側トークン送信手段430からのトークンを受信すると、これを、ブロードバンドルータ2側に転送する。
詳しくは、リモートアクセスサーバ4から送られてきたトークンを、端末側ルータ認証手段12を介し、ブロードバンドルータ2に転送している。
認証情報転送手段132は、端末側ルータ認証手段12を経由してブロードバンドルータ2から認証情報を受信し、これをリモートアクセスサーバ4へ転送する。
また、通信端末1は、機器証明書70を検証する証明書検証手段(図示せず)を備えている。証明書検証手段は、機器証明書70がブロードバンドルータ2固有のものであるか否かを検証可能となっている。この検証は、通信端末1が、後述の認証局7にアクセスし、これと所定の認証通信を行うことでなされる。
また、中継装置であるブロードバンドルータ2は、鍵ストア22と、認証情報送信手段23とを備えている。
鍵ストア22は、ブロードバンドルータ2の秘密鍵情報71が記憶される中継装置側記憶手段220と、通信端末1からのトークンを、秘密鍵情報71で暗号化して暗号化トークンを生成する暗号化手段221とを備えている。
中継装置側記憶手段220には、秘密鍵情報71のほかにも、機器証明書70が記憶される。
暗号化手段221は、秘密鍵情報71を外部に取り出さずにトークンを標準的暗号計算して、暗号化トークンを算出する。この暗号化手段221で算出された暗号化トークンは、認証情報送信手段23に渡される。
また、鍵ストア22には、図示しない認証手段を有している。認証手段は、パスワードの入力を求め、パスワードが適正であるときに、鍵ストア22自体が、中継装置側記憶手段220の機器証明書70を出力可能としたり、暗号化手段221によるトークンの暗号化を可能としたりする。
中継装置側記憶手段220の機器証明書70は、認証手段にパスワードを入力することにより取り出せる。
なお、鍵ストア22のパスワードは、例えば、ブロードバンドルータ2の取扱説明書に記載されており、ユーザU自身で変更可能なものである。
また、鍵ストア22は、耐タンパ機能を備えている。耐タンパ機能とは、例えば、物理的にデータを取り出すためにブロードバンドルータ2を分解しようとすると、ブロードバンドルータ2記憶手段が破壊されるなどし、取り出すことができないようにする機能である。
この鍵ストア22には、例えば、ICカードやTPM(Trusted Platform Module)などのハードウェアが用いられる。また、鍵ストア22は、ハードウェアのほかに、ブロードバンドルータ2が備える記憶装置に記憶されたソフトウェア及びこのソフトウェアを実行する演算処理装置で実現されてもよい。
そのため、秘密鍵情報71を鍵ストア22の中継装置側記憶手段220に格納すると、秘密鍵情報71を鍵ストア22の外部には、取り出すことができなくなる。
認証情報送信手段23は、通信端末1から認証情報送信要求信号を受信すると、これに含まれるトークンを取り出して鍵ストア22の暗号化手段221に渡す。
また、認証情報送信手段23は、暗号化手段221からの暗号化トークンを認証情報として通信端末1に送信する。
リモートアクセスサーバ4は、第一実施形態と同様の計算機で構成されている。
そして、サーバ側ルータ認証手段41は、通信路の中継を許可するブロードバンドルータ2の機器証明書70が記憶されるサーバ側記憶手段431と、通信路確立手段11からのリモートアクセス要求があったときに、通信端末1に向けて任意のトークンを生成してブロードバンドルータ2に向けて送信するサーバ側トークン送信手段430と、ブロードバンドルータ2からの認証情報を機器証明書73に含まれる公開鍵情報で復号するサーバ側復号手段432と、サーバ側復号手段432で復号された認証情報とサーバ側トークン送信手段430で送信したトークンとが一致するか否かを判断するサーバ側判断手段412と、サーバ側判断手段412が一致を判断したときに、中継手段40に別のネットワーク内のコンピュータ(50)への通信路の中継を許可する中継許可手段413と、を備えている。
サーバ側記憶手段431には、上記と同様に、LAN側のネットワークの安全性が十分に確保された中継装置(ブロードバンドルータ2)の機器証明書70が記憶されている。
サーバ側トークン送信手段430は、通信路確立手段11のリモートアクセス要求手段130から、リモートアクセスの要求信号を受信すると、上記の認証情報要求手段120で生成したトークンと同様のトークンを生成してこれを通信端末1側に送信する。
サーバ側復号手段432は、通信端末1からの認証情報を、例えば、サーバ側記憶手段431に記憶された全ての機器証明書70の公開鍵情報で復号する。
サーバ側判断手段412は、各機器証明書70の公開鍵情報で復号された全ての認証情報とトークンとを比較し、これらの認証情報とトークンとが一致するか否かを判断する。
中継許可手段413は、中継手段40に対し、一致判断がなされた認証情報を送ってきた通信端末1に対応する通信路を中継することを許可する。
また、通信端末1は、通信端末1と同様の証明書検証手段(図示せず)を備えている。
製造ベンダは、インターネット3に接続される認証局7を設けている。認証局7は、製造事業者認証局証明書(図示せず)を発行している。そして、製造事業者認証局証明書は、これを頂点とする、機器証明書70の認証のための認証パスを形成する。
すなわち、この製造事業者認証局証明書は、通信端末1、ブロードバンドルータ2及びリモートアクセスサーバ4に記憶された機器証明書70の検証過程で信頼証明書として用いられる。
従って、その他の構成部分は、第一実施形態と同様となっており、同様の構成部分については、図中で第一実施形態と同一符号を付し、詳細な説明は省略する。
次に、以上のような構成からなる本実施形態の通信システムの動作(作用)を、図8〜図10に示すチャートにしたがって説明する。なお、図8は、通信システム全体のシーケンス図、図9は、通信端末1のフローチャート図、図10は、ブロードバンドルータ2のフローチャート図、図11は、リモートアクセスサーバ4のフローチャート図をそれぞれ示している。
まず、予め、ブロードバンドルータ2のLAN側のネットワークのセキュリティ環境を調査する。そして、安全性が十分に確保されているときには、ブロードバンドルータ2の鍵ストア22にパスワードを入力し機器証明書70を、鍵ストア22の中継装置側記憶手段220から取り出す。
そして、通信端末1の端末側記憶手段123や、リモートアクセスサーバ4のサーバ側記憶手段431に記憶させておく。
次に、ユーザUが、通信端末1を、自宅へ持ち帰り、ブロードバンドルータ2に接続する。
通信端末1は、クライアントエージェント1bが、ブロードバンドルータ2につながれたことを認識する。この際、通信路確立手段11は、確立許可手段122からの許可が無く、インターネット3には接続の確立がなされない。
この状態で、通信端末1が、ブロードバンドルータ2を介して、インターネット3側と、最初に通信を行う場合には(C4−1)、通信端末1は、クライアントエージェント1bが、これを検知し(C4−2,C5−1)、端末側ルータ認証手段12の認証情報要求手段120が、ルータとの間に通信路を確立する。
次に、その端末側トークン送信手段121が、256bitのランダムな値のトークンを生成し(C5−2)、認証情報要求手段120が、ブロードバンドルータ2に、トークンを含む認証情報を要求する信号を送信する(C4−3,C5−3)。
この際、認証情報要求手段120は、鍵ストア22の認証手段のパスワードをユーザUに入力するよう求める。認証情報要求手段120は、入力されたパスワードを認証情報要求信号に含ませる。
ブロードバンドルータ2が認証情報を要求する信号を受信すると(C4−4,C6−1)、認証情報送信手段23は、認証情報要求信号から鍵ストア22のパスワードを取り出し、これを用いて鍵ストア22の認証手段に入力する(C6−2)。
認証手段が入力されたパスワードが正しいと判断したときには(C6−3Y)、認証情報要求信号が、暗号化手段221にトークンを入力する(C4−5,C6−4)。
暗号化手段221は、トークンが入力されると、トークンを中継装置側記憶手段220に記憶された秘密鍵情報71でトークンを暗号化し、暗号化トークンを認証情報要求手段120に出力する(C4−6,C6−5)。
認証情報要求手段120は、暗号化トークンが入力されると、この暗号化トークンを認証情報として通信端末1に送信する(C4−7)。
通信端末1は、認証情報を受信すると、この認証情報を端末側復号手段124に入力する(C5−5)。
復号手段は、端末側記憶手段123に記憶された機器証明書72に含まれる公開鍵情報で認証情報を復号し、復号された認証情報を適否判断手段125に出力する。
適否判断手段125は、予め、端末側トークン送信手段121からブロードバンドルータ2に送信したトークンが入力されており、トークンと復号された認証情報とが一致するか否かを判断する(C4−8,C5−6)。
トークンと復号された認証情報が一致したときは(C5−7Y)、通信端末1は、証明書検証手段で認証局7にアクセスし、機器証明書72がブロードバンドルータ2固有のものであるかを検証する(C5−8)。
そして、機器証明書72がブロードバンドルータ2固有のものであるときは、確立許可手段122が、通信路確立手段11が通信路の確立を許可する(C4−9,C5−9)。
この場合、通信路確立手段11は、インターネット3側への通信路の確率が可能となり、インターネット3側のコンピュータ30と通信可能となる(C4−10,C5−10)。
一方、通信端末1が認証情報を受信できないときは、上記第一実施形態と同様に、再度、送信要求信号を送出する。これを所定の回数繰り返しても、認証情報を受信できないときは(C5−4N)、確立許可手段122は、通信路確立手段11による、インターネット3及びブロードバンドルータ2のLAN側ネットワークへの通信路の確立を不許可とする(C5−11)。
また、ブロードバンドルータ2の認証手段が、パスワードが正しくないことを判断したときは(C6−3N)、ブロードバンドルータ2に接続不可の信号を通信端末1側に送信する(C6−7)。この場合、通信端末1は、確立許可手段122が通信路確立手段11の通信路の確立を不許可にする(C5−4N,C5−12)。
また、適否判断手段125が、トークンと復号された認証情報とが不一致であると判断したとき、又は、証明書検証手段が機器証明書72をブロードバンドルータ2固有のものでないと判断したときは、確立許可手段122が、通信路確立手段11の通信路の確立を不許可にする。そのため、通信端末1は、インターネット3及びブロードバンドルータ2のLAN側のネットワークとの通信がなされない。
次に、ユーザUが、通信端末1でイントラネット5内のファイルサーバ50のファイルを閲覧する場合には(C5−12)、通信路確立手段11が、通信端末1とリモートアクセスサーバ4との間に通信路を確立する(C5−13)。そして、リモートアクセス要求手段130により、ファイルサーバ50と通信を行うために、リモートアクセスサーバ4にリモートアクセスの要求信号を送出する(C4−11,C5−14)。
リモートアクセスサーバ4のサーバ側ルータ検証が、リモートアクセスの要求信号を受信すると(C4−12,C7−1)、サーバ側トークン送信手段430が、256bitのランダムな値のトークンを生成し、このトークンを通信端末1に送信する(C4−13,C7−2)。
次に、通信端末1がリモートアクセスサーバ4からのトークンを受信すると(C4−14,C5−15)、通信路確立手段11のトークン転送手段131が、端末側ルータ認証手段12の認証情報要求手段120を介してブロードバンドルータ2にトークンを転送する(C4−15,C5−16)。
この際、認証情報要求手段120は、端末側トークン送信手段121で生成したトークンのかわりにリモートアクセスサーバ4からのトークンを認証情報要求信号に含ませてブロードバンドルータ2に送信する。
ブロードバンドルータ2がこの認証情報要求信号を受信すると、上記と同様の処理を行って、暗号化手段221でトークンを暗号化し、暗号化トークンを認証情報として通信端末1に送信する(C4−16〜19,C6−1〜6)。
通信端末1の認証情報要求手段120が、リモートアクセスサーバ4からのトークンに対応する認証情報を受信すると(C5−17)、通信路確立手段11の認証情報転送手段132がこれを検知するとともに、この認証情報をリモートアクセスサーバ4に転送する(C4−20,C5−18)。
中継端末の認証情報転送手段132で転送された認証情報を、リモートアクセスサーバ4が受信すると(C4−21,C7−3)、サーバ側記憶手段431で記憶された機器証明書70に含まれる公開鍵情報で、認証情報を復号する(C7−4)。
この際、サーバ側記憶手段431に記憶された機器証明書73が複数ある場合には、サーバ側復号手段432は、全ての機器証明書73に含まれる公開鍵情報で認証情報を復号する。
そして、サーバ側判断手段412は、これら全ての復号された認証情報と、サーバ側トークン送信手段430で送信したトークンとを照合する(C4−22,C7−5)。
サーバ側判断手段412が、復号された認証情報と、サーバ側トークン送信手段430で送信したトークンとが一致すると判断したときは(C7−6Y)、証明書検証手段で、機器証明書73が適正なものであるか否かを検証する。検証が成功すると、上記第一実施形態のユーザ認証と同様にして、通信端末1からユーザ認証情報を受信し、ユーザ認証手段42がユーザUの認証を行う(C4−23,C5−19,C7−8)。
ユーザ認証手段42で、ユーザUの認証が正しく行われたときは、ブロードバンドルータ2が中継することを許可し(C7−9)、中継手段40が通信路を中継可能となる(C7−10)。
また、通信端末1の通信路確立手段11に対し、イントラネット5内のファイルサーバ50に対して通信路を確立可能であることを通知する信号を送出する(C4−24,C7−11)。
そして、通信路確立手段11が、この通知信号を受信すると(C4−23,C5−20Y)、イントラネット5内のファイルサーバ50に対して通信路を確立し、ファイルサーバ50との通信を行う(C4−25,C5−21)。
また、例えば、復号した認証情報が、サーバ側トークン送信手段430で生成したトークンと異なるときなど(C7−6N)、その他の場合には、中継手段40に対し通信端末1からイントラネット5への通信路を中継することを不許可とし、ユーザ認証手段42が通信端末1に対し、リモートアクセスを拒否する信号を送出する。
通信端末1が、リモートアクセス拒否の信号を受信したときは(C5−20N)、通信路確立手段11がファイルサーバ50に通信路を確立できなくなり、リモートアクセスが不可になる。
以上説明したように、本実施形態に係る通信システムによれば、機器証明書70に含まれる公開鍵情報及び秘密鍵情報71を用いており、仮に、通信端末1が確立した通信路が盗聴されていても、秘密鍵情報71が他者に漏えいを防止することができる。
そのため、直近のブロードバンドルータ2あたかも適正なブロードバンドルータ2であるかのように偽る事態が防止される。
また、リモートアクセスサーバ4においても、ブロードバンドルータ2を偽ってリモートアクセスされる事態がほとんど防止されるので、通信システムのセキュリティ性能を向上させることができる。
以上、本発明の装置について、好ましい実施形態を示して説明したが、本発明に係る装置は、上述した実施形態にのみ限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、中継装置は、ブロードバンドルータとしたが、これに限定されるものでなく、ネットワークを介して通信可能なノードに認証情報送信手段を設けて、これらから認証情報を受信するようにし、通信端末がこれらすべてから認証情報を受信するようにしてよい。
また、端末側復号手段は、ユーザに機器証明書を選択させたが、端末側記憶手段に記憶された各機器証明書で復号しておき、適否判断手段で全部の復号された認証情報とトークンとを比較するようにしてよい。
また、サーバ側復号手段は、サーバ側記憶手段に記憶された各機器証明書で復号しておき、サーバ側判断手段で、全部の復号された認証情報とトークンとを比較させたが、これに限定されず、例えば、通信端末からユーザがどの機器証明書を選択したかを予め受信し、これに対応する機器証明書をサーバ側復号手段で復号させるようにしてよい。
本発明の第一実施形態に係る通信システムを示す概略図である。 本発明の第一実施形態に係る通信システムを示すブロック図である。 本発明の第一実施形態に係る通信システムのシーケンス図である。 本発明の第一実施形態に係る通信システムの通信端末のフローチャート図である。 本発明の第一実施形態に係る通信システムのリモートアクセスサーバのフローチャート図である。 本発明の第二実施形態に係る通信システムを示す概略図である。 本発明の第二実施形態に係る通信システムを示すブロック図である。 本発明の第二実施形態に係る通信システムのシーケンス図である。 本発明の第二実施形態に係る通信システムの通信端末のフローチャート図である。 本発明の第二実施形態に係る通信システムの中継装置であるブロードバンドルータのフローチャート図である。 本発明の第一実施形態に係る通信システムのリモートアクセスサーバのフローチャート図である。 従来の通信システムの一例を示す図である。
符号の説明
1 通信端末
1a,1b クライアントエージェント
10,12 端末側ルータ認証手段
101,120 認証情報要求手段
102,122 確立許可手段
103,123 端末側記憶手段
104,125 適否判断手段
11,13 通信路確立手段
110,130 リモートアクセス要求手段
111 端末側認証情報送信手段
121 端末側トークン送信手段
124 端末側復号手段
131 トークン転送手段
132 認証情報転送手段
2ブロードバンドルータ(中継装置)
20,220 中継装置側記憶手段
21,23 認証情報送信手段
22 鍵ストア
221 暗号化手段
3 インターネット(ネットワーク)
30 コンピュータ
4 リモートアクセスサーバ
40 中継手段
41,43 サーバ側ルータ認証手段
410,431 サーバ側記憶手段
411 受付手段
412,433 サーバ側判断手段
413,434 中継許可手段
42,44 ユーザ認証手段
430 サーバ側トークン送信手段
432 サーバ側復号手段
5 イントラネット(別のネットワーク)
50 ファイルサーバ(コンピュータ)
60〜62 機器ID(固有情報)
70,72,73 機器証明書(公開鍵情報)
71 秘密鍵情報

Claims (9)

  1. ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムであって、
    前記通信端末が、前記中継装置に対し認証情報の送信要求を行う認証情報要求手段と、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する確立許可手段を備え、
    前記中継装置が、前記通信端末からの送信要求に応じて前記認証情報を送信する認証情報送信手段を備えることを特徴とする通信システム。
  2. 前記確立許可手段が、接続を許可する中継装置の固有情報が記憶される端末側記憶手段と、前記端末側記憶手段に記憶された固有情報と前記中継装置からの認証情報とが一致したときに該認証情報が適正であるとする適否判断手段と、を備え、
    前記中継装置が、該中継装置の固有情報が記憶される中継装置側記憶手段を備え、
    前記認証情報送信手段が、前記中継装置側記憶手段に記憶された固有情報を前記認証情報として送信することを特徴とする請求項1記載の通信システム。
  3. 前記ネットワークに接続される別のネットワークと、前記ネットワーク側から前記別のネットワーク内のコンピュータに至る通信路を中継可能な中継手段を有したリモートアクセスサーバとを備え、
    前記通信路確立手段が、前記リモートアクセスサーバに対し、前記別のネットワーク内のコンピュータへの通信路の確立を要求するリモートアクセス要求手段と、前記リモートアクセスサーバに対し、前記中継装置からの認証情報を送信する端末側認証情報送信手段と、を備え、
    前記リモートアクセスサーバが、前記通信路の中継を許可する中継装置の固有情報が記憶されるサーバ側記憶手段と、前記リモートアクセス要求手段からのリモートアクセス要求及び前記端末側認証情報送信手段からの認証情報を受け付ける受付手段と、該受付手段で受け付けた前記リモートアクセス要求に対応する前記認証情報が、前記サーバ側記憶手段に記憶された固有情報と一致するか否かを判断するサーバ側判断手段と、該サーバ側判断手段が一致を判断したときに、前記中継手段に前記別のネットワーク内のコンピュータへの通信路の中継を許可する中継許可手段と、を備えることを特徴とする請求項2記載の通信システム。
  4. 前記認証情報要求手段が、任意のトークンを生成して該中継装置に向けて送信する端末側トークン送信手段を備え、
    前記確立許可手段が、接続を許可する中継装置の公開鍵情報が記憶される端末側記憶手段と、前記中継装置からの認証情報を前記公開鍵情報で復号する端末側復号手段と、該端末側復号手段で復号された認証情報と前記端末側トークン送信手段で送信したトークンとが一致したときに該認証情報が適正であるとする適否判断手段と、を備え、
    前記中継装置が、該中継装置の秘密鍵情報が記憶される中継装置側記憶手段と、前記通信端末からのトークンを、前記秘密鍵情報で暗号化して暗号化トークンを生成する暗号化手段とを備え、
    前記認証情報送信手段が、該暗号化手段で生成した暗号化トークンを認証情報として送信することを特徴とする通信システムを備えることを特徴とする請求項1記載の通信システム。
  5. 前記ネットワークに接続される別のネットワークと、前記ネットワーク側から前記別のネットワーク内のコンピュータに至る通信路を中継可能な中継手段を有したリモートアクセスサーバとを備え、
    前記リモートアクセスサーバが、前記通信路の中継を許可する中継装置の公開鍵情報が記憶されるサーバ側記憶手段と、前記通信路確立手段からのリモートアクセス要求があったときに、前記通信端末に向けて任意のトークンを生成して該中継装置に向けて送信するサーバ側トークン送信手段と、前記中継装置からの認証情報を前記公開鍵情報で復号するサーバ側復号手段と、該サーバ側復号手段で復号された認証情報と前記サーバ側トークン送信手段で送信したトークンとが一致するか否かを判断するサーバ側判断手段と、該サーバ側判断手段が一致を判断したときに、前記中継手段に前記別のネットワーク内のコンピュータへの通信路の中継を許可する中継許可手段と、を備え、
    前記通信路確立手段が、前記リモートアクセスサーバに対し、前記別のネットワーク内のコンピュータへの通信路の確立を要求するリモートアクセス要求手段と、前記リモートアクセスサーバからのトークンを前記中継装置に転送するトークン転送手段と、前記リモートアクセスサーバからのトークンに対応する認証情報を前記リモートアクセスサーバに転送する認証情報転送手段と、を備えることを特徴とする請求項4記載の通信システム。
  6. 前記認証情報要求手段が、前記中継装置のうち、前記通信端末の直近の中継端末に対し送信要求を行うことを特徴とする請求項1〜5のいずれか一項に記載の通信システム。
  7. ネットワーク上に通信路を確立する通信路確立手段を有し、当該通信路確立手段で確立された通信路が一つ以上の中継装置で中継される通信端末であって、
    前記中継装置に対し認証情報の送信要求を行う認証情報要求手段と、該認証情報要求手段からの送信要求に応じて中継装置から送信された前記認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する確立許可手段を備えることを特徴とする通信端末。
  8. ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムの通信方法であって、
    前記通信端末が、前記中継装置に対し認証情報の送信要求を行い、
    前記中継装置が、前記通信端末からの送信要求に応じて前記認証情報を送信し、
    前記通信端末が、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可することを特徴とする通信方法。
  9. ネットワーク上に通信路を確立する通信路確立手段を有した通信端末と、前記通信路を中継する一つ以上の中継装置とを備える通信システムにおいて、
    前記通信端末に、前記中継装置に対し認証情報の送信要求を行なわせる機能、前記中継装置からの認証情報が適正であるときに前記通信路確立手段による通信路の確立を許可する機能を実現させるとともに、
    前記中継装置に、前記通信端末からの送信要求に応じて前記認証情報を送信する機能を実現させるためのプログラム。
JP2007091708A 2007-03-30 2007-03-30 特定中継装置認証機能付き通信システム Expired - Fee Related JP4336803B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007091708A JP4336803B2 (ja) 2007-03-30 2007-03-30 特定中継装置認証機能付き通信システム
US12/055,709 US20080244716A1 (en) 2007-03-30 2008-03-26 Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007091708A JP4336803B2 (ja) 2007-03-30 2007-03-30 特定中継装置認証機能付き通信システム

Publications (2)

Publication Number Publication Date
JP2008252567A true JP2008252567A (ja) 2008-10-16
JP4336803B2 JP4336803B2 (ja) 2009-09-30

Family

ID=39796658

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007091708A Expired - Fee Related JP4336803B2 (ja) 2007-03-30 2007-03-30 特定中継装置認証機能付き通信システム

Country Status (2)

Country Link
US (1) US20080244716A1 (ja)
JP (1) JP4336803B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011125638A1 (ja) * 2010-04-08 2011-10-13 株式会社スプリングソフト ネットワークシステム、ポートフォワード形成装置及びリバースプロキシサーバ
JP2011211306A (ja) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpnルータ、通信システムおよび通信プログラム
JP2014215802A (ja) * 2013-04-25 2014-11-17 ビッグローブ株式会社 モバイルネットワーク接続システム、及びモバイルネットワーク接続方法
JP2015045970A (ja) * 2013-08-28 2015-03-12 株式会社日立製作所 計算機システム、シンクライアントの接続方法、シンクライアントシステム
US9167044B2 (en) 2011-09-07 2015-10-20 Brother Kogyo Kabushiki Kaisha Communication system for receiving authentication data from an external service
JP2016524742A (ja) * 2013-05-03 2016-08-18 サイトリックス システムズ,インコーポレイテッド プロキシを使用したリソースへの安全なアクセス

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5406199B2 (ja) * 2008-09-24 2014-02-05 パナソニック株式会社 記録再生システム、記録媒体装置及び記録再生装置
JP6015162B2 (ja) * 2012-06-27 2016-10-26 ソニー株式会社 端末装置、情報処理システム、情報処理方法およびプログラム
US11658848B2 (en) * 2018-09-03 2023-05-23 Nec Corporation Communication system and method of changing a setting
JP2022020143A (ja) * 2020-07-20 2022-02-01 富士通株式会社 通信プログラム、通信装置、及び通信方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
GB0001026D0 (en) * 2000-01-18 2000-03-08 Hewlett Packard Co Configurable connectivity unit and method and system for configuring such a unit

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011211306A (ja) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpnルータ、通信システムおよび通信プログラム
WO2011125638A1 (ja) * 2010-04-08 2011-10-13 株式会社スプリングソフト ネットワークシステム、ポートフォワード形成装置及びリバースプロキシサーバ
JP2011223278A (ja) * 2010-04-08 2011-11-04 Springsoft Inc ネットワークシステム
US9167044B2 (en) 2011-09-07 2015-10-20 Brother Kogyo Kabushiki Kaisha Communication system for receiving authentication data from an external service
JP2014215802A (ja) * 2013-04-25 2014-11-17 ビッグローブ株式会社 モバイルネットワーク接続システム、及びモバイルネットワーク接続方法
JP2016524742A (ja) * 2013-05-03 2016-08-18 サイトリックス システムズ,インコーポレイテッド プロキシを使用したリソースへの安全なアクセス
JP2015045970A (ja) * 2013-08-28 2015-03-12 株式会社日立製作所 計算機システム、シンクライアントの接続方法、シンクライアントシステム

Also Published As

Publication number Publication date
JP4336803B2 (ja) 2009-09-30
US20080244716A1 (en) 2008-10-02

Similar Documents

Publication Publication Date Title
JP4336803B2 (ja) 特定中継装置認証機能付き通信システム
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
ES2595105T3 (es) Autenticación eficaz y segura de sistemas informáticos
US7945779B2 (en) Securing a communications exchange between computers
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
JP6963609B2 (ja) 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法
US10680835B2 (en) Secure authentication of remote equipment
JP2023514736A (ja) 安全な通信のための方法及びシステム
JP4299621B2 (ja) サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
JP2001186122A (ja) 認証システム及び認証方法
JP5990433B2 (ja) ネットワーク接続方法および電子機器
JP5946374B2 (ja) ネットワーク接続方法および電子機器
JP2004158025A (ja) ネットワークシステム、サーバ装置、および認証方法
KR101040543B1 (ko) 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
CN110892695A (zh) 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品
US8355508B2 (en) Information processing apparatus, information processing method, and computer readable recording medium
EP4145763A1 (en) Exporting remote cryptographic keys
JP2018011191A (ja) 機器リスト作成システムおよび機器リスト作成方法
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
JP2005165671A (ja) 認証サーバの多重化システム及びその多重化方法
KR102086739B1 (ko) 보안 소켓 계층 복호화 장치에서 다양한 전자 서명 알고리즘을 지원하기 위한 전자 재서명 방법
CN116074084A (zh) 身份认证方法、装置、设备、介质和程序产品

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090526

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090608

R150 Certificate of patent or registration of utility model

Ref document number: 4336803

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130710

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees