JP2008299457A - Authentication system, authentication method, and authentication socket device - Google Patents
Authentication system, authentication method, and authentication socket device Download PDFInfo
- Publication number
- JP2008299457A JP2008299457A JP2007142746A JP2007142746A JP2008299457A JP 2008299457 A JP2008299457 A JP 2008299457A JP 2007142746 A JP2007142746 A JP 2007142746A JP 2007142746 A JP2007142746 A JP 2007142746A JP 2008299457 A JP2008299457 A JP 2008299457A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- identification information
- information
- socket device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークにおける情報端末の認証および同情報端末の操作者の認証を行う認証技術に関するものである。 The present invention relates to an authentication technique for performing authentication of an information terminal in a network and authentication of an operator of the information terminal.
従来のネットワークアクセスの利用者認証方式は、ID/パスワード、生体認証といったものが主流であり、端末認証としてはLANの認証規格であるIEEE802.1x認証などを利用したものや、イーサネット(登録商標)の物理アドレスであるMAC(Media Access Control)アドレスなどで情報端末を認証する方法がある。また、特許文献1(の要約)には、USB等を用いて個人の認証を行うシステムが記載されている。更に特許文献2の段落0004〜0020には、トラステッド・プラットフォーム・モジュール(TPM)を用いた暗号化・復号化の技術が記載されている。
Conventional user authentication methods for network access are mainly ID / password, biometric authentication, etc., and terminal authentication uses IEEE802.1x authentication, which is a LAN authentication standard, or Ethernet (registered trademark). There is a method of authenticating an information terminal with a MAC (Media Access Control) address or the like which is a physical address. Patent Document 1 (summary) describes a system for performing personal authentication using a USB or the like. Further, paragraphs 0004 to 0020 of
従来のネットワークアクセスの利用者認証方法は、正規IDを持つ悪意のある利用者によって、私用で持ち込んだパーソナルコンピュータ、その他情報端末(以下、PCと呼ぶ)をネットワークへ接続することが可能であり、情報漏洩の危険性があった。 The conventional network access user authentication method allows a malicious user having a regular ID to connect a personal computer brought in for private use and other information terminals (hereinafter referred to as a PC) to the network. There was a risk of information leakage.
また、IEEE802.1x認証のネットワークを構築する場合には、サーバ、ネットワーク機器、情報端末内ソフトウェアまで同一のアーキテクチャで再構築しなければならないため、導入コスト(スケジュール・費用)が膨らみ、なかなか導入に踏み切れないケースが多い。 Also, when building an IEEE802.1x-authenticated network, the server, network equipment, and software in the information terminal must be rebuilt using the same architecture, which increases the introduction cost (schedule / expense), and it is quite easy to introduce it. There are many cases that cannot be stepped on.
サーバ1箇所集中管理型の認証システムにおいては、ネットワークへのトラフィックの集中が起こり、サーバダウン時には認証システム自体が停止する問題がある。 In the one-site centralized management type authentication system, there is a problem that traffic concentrates on the network and the authentication system itself stops when the server goes down.
MACアドレスは偽装可能であり、上述の端末認証においてはMACアドレスの偽装に対応不可能である。
このような背景の下、本発明は、上述の問題点の少なくとも1つ以上を解消し、既存のネットワーク構成をなるべく変更せずに、ネットワークにおける不正な通信アクセスを遮断しうる技術を提供することを目的とする。 Under such a background, the present invention provides a technique capable of eliminating at least one of the above-mentioned problems and blocking unauthorized communication access in a network without changing an existing network configuration as much as possible. With the goal.
本発明は、正当な端末デバイスを接続する正当な利用者のみがアクセス可能となるよう、端末デバイスとネットワークとの間に認証ソケット装置を介在させることを特徴とする。この認証ソケット装置は、端末デバイスの識別情報と利用者の識別情報の二つを用いて認証を行なうことにより、端末デバイスのネットワークアクセスを制御する。利用者の識別情報は、例えばUSBトークンやRFIDタグのような、利用者が容易に携帯できる通信機内蔵型の小型デバイスに格納することが好ましく、適当な通信手段によって、携帯デバイスから認証ソケット装置へ供給されるように構成する。 The present invention is characterized in that an authentication socket device is interposed between a terminal device and a network so that only a legitimate user who connects the legitimate terminal device can access. This authentication socket device controls network access of a terminal device by performing authentication using the identification information of the terminal device and the identification information of the user. The user identification information is preferably stored in a communication device built-in small device that can be easily carried by the user, such as a USB token or an RFID tag. To be supplied to.
本発明によれば、認証ソケット装置を端末デバイスとネットワークとの間に接続するだけで、ネットワークアクセスのための認証を行うことができるので、専用の認証サーバを必要とせず、認証システムの導入のために既存のネットワーク構成を殆ど(又は全く!)変更する必要がない。また、端末の認証と利用者の認証という二重の認証を行っているので、信頼性が極めて高く、私物で持ち込んだパソコンなどの無権限の端末デバイスが、ネットワーク上の情報資産へアクセスすることを確実に防止することができる。これらの利点のため、本発明によれば、ネットワークアクセスのための強固な認証システムを、極めて容易に導入することが可能となる。 According to the present invention, authentication for network access can be performed simply by connecting an authentication socket device between a terminal device and a network, so that a dedicated authentication server is not required, and an authentication system can be introduced. Therefore, there is little (or no!) Change in the existing network configuration. In addition, because of the double authentication of terminal authentication and user authentication, it is extremely reliable, and unauthorized terminal devices such as personal computers brought in personal property can access information assets on the network. Can be reliably prevented. Because of these advantages, according to the present invention, a strong authentication system for network access can be introduced very easily.
本発明の実施形態において、認証ソケット装置は、端末のネットワークアクセスを許可しないときは、端末とネットワークとの通信を、物理層レベルで切断するように構成することが望ましい。物理層レベルで通信を切断することにより、ネットワークへの不正アクセスを確実に遮断することができる。 In the embodiment of the present invention, the authentication socket device is preferably configured to disconnect communication between the terminal and the network at the physical layer level when the network access of the terminal is not permitted. By disconnecting communication at the physical layer level, unauthorized access to the network can be reliably blocked.
本発明の実施形態において、認証ソケット装置は、自身の識別情報を生成し、それをネットワークへ送信する手段を備えることが好ましい。本明細書において、認証ソケット装置自身の識別情報を、通信識別情報と称することがある。本発明の実施形態において、認証ソケット装置は、ネットワーク上の他の認証ソケット装置から送信された通信識別情報を認証し、その認証結果に基づいて、当該他の認証ソケット装置(及び当該他の認証ソケット装置に接続されている端末機器)との通信を許可又は不許可するように構成されることが好ましい。 In the embodiment of the present invention, the authentication socket device preferably includes means for generating its own identification information and transmitting it to the network. In this specification, the identification information of the authentication socket device itself may be referred to as communication identification information. In the embodiment of the present invention, the authentication socket device authenticates communication identification information transmitted from another authentication socket device on the network, and based on the authentication result, the other authentication socket device (and the other authentication). It is preferable that communication with a terminal device connected to the socket device is permitted or not permitted.
このような実施形態によれば、予め承認されている認証ソケット装置を通さない通信を遮断することができるので、無許可の端末がネットワーク内の情報資産にアクセスすることが極めて困難になる。しかも、かかる強固なアクセス制御機構を、既存のネットワーク構成を変更せずに、認証ソケット装置を各端末とネットワークとの間に設置するだけで行うことができ、非常に簡単に導入することが可能である。 According to such an embodiment, since communication that does not pass through a pre-approved authentication socket device can be blocked, it becomes extremely difficult for an unauthorized terminal to access information assets in the network. Moreover, such a robust access control mechanism can be implemented simply by installing an authentication socket device between each terminal and the network without changing the existing network configuration, and can be introduced very easily. It is.
すなわち本発明の認証アーキテクチャによれば、無許可の情報端末および無許可者のネットワーク接続を遮断し、情報端末と情報端末の利用者を認証する認証装置を提供するという認証機構を、既存のネットワーク構成を変更せずにサーバレスで実現することができる。 In other words, according to the authentication architecture of the present invention, an authentication mechanism for blocking an unauthorized information terminal and an unauthorized person's network connection and providing an authentication device for authenticating the information terminal and the user of the information terminal is replaced with an existing network. It can be realized without changing the configuration without a server.
本発明による認証アーキテクチャは、認証サーバを必要とせず、端末ごとに認証のための専用装置を設けるという意味で、アドホックな認証アーキテクチャ、N:Nの認証アーキテクチャと表現できる。このようなアーキテクチャにおいては、認証サーバを必要とする認証アーキテクチャのように、サーバ1カ所で認証トラフィックが集中し認証処理が遅延するような事態は発生しないため、認証処理がスムーズに行われ得る。また、端末ごとに認証装置が必要となるので、私物で持ち込んだパソコンなどの無権限の端末デバイスがネットワーク上の各情報資産にアクセスすることが極めて困難となり、ネットワークへの不正アクセスを確実に排除することができる。 The authentication architecture according to the present invention can be expressed as an ad hoc authentication architecture or N: N authentication architecture in the sense that a dedicated device for authentication is provided for each terminal without requiring an authentication server. In such an architecture, unlike the authentication architecture that requires an authentication server, a situation in which authentication traffic is concentrated and authentication processing is delayed at one server location does not occur, so that authentication processing can be performed smoothly. In addition, since an authentication device is required for each terminal, it becomes extremely difficult for an unauthorized terminal device such as a personal computer brought in personal property to access each information asset on the network, and unauthorized access to the network is reliably eliminated. can do.
添付の特許請求の範囲には、現在のところ好適と思われる本発明の実施形態が定義されている。しかし本発明の範囲は、特許請求の範囲に定義される範囲に限られるものではなく、本明細書に記載され又は示唆される、様々な新規の特徴及び組み合わせ、並びに顕著な効果を有する特徴及び組み合わせをも、その範囲に含むことに留意されたい。 The appended claims define the presently preferred embodiments of the invention. However, the scope of the present invention is not limited to the scope defined in the claims, but various novel features and combinations and features with significant effects described or suggested herein. Note that combinations are also included in the scope.
本発明の特定の実施形態では、耐タンパ性を有するハードウェアデバイスを備え、情報端末と、情報端末の利用者の認証を行う認証システムであって、端末識別情報を記憶するRFIDタグを備えた情報端末と、情報端末ネットワーク上の情報資産へのアクセスを制限できる利用者の識別情報をあらかじめ記憶したセキュリティトークンと、RFIDタグから端末識別情報を受信し、受信した端末識別情報およびセキュリティトークンの利用者識別情報との間で認証処理を行う認証ソケット装置とで構成され、認証処理の結果に基づいて、認証ソケット装置に接続された情報端末と、ネットワークとの通信を制御する。 In a specific embodiment of the present invention, a hardware device having tamper resistance is provided, and an authentication system for authenticating an information terminal and a user of the information terminal, comprising an RFID tag for storing terminal identification information Information terminal, security token that stores user identification information that can limit access to information assets on information terminal network, and terminal identification information received from RFID tag, and use of received terminal identification information and security token And an authentication socket device that performs an authentication process with the user identification information, and controls communication between the information terminal connected to the authentication socket device and the network based on the result of the authentication process.
この認証ソケット装置は、RFIDタグから端末識別情報を受信するアンテナ部と、受信した端末識別情報を記憶させるメモリ部と、鍵生成エンジン、乱数生成エンジンおよびハッシュ値計算エンジンを有するハードウェアデバイスとを備え、受信した端末識別情報をハードウェアデバイスの持つ鍵で暗号化して記憶するように構成され得る。 The authentication socket device includes an antenna unit that receives terminal identification information from an RFID tag, a memory unit that stores the received terminal identification information, and a hardware device that includes a key generation engine, a random number generation engine, and a hash value calculation engine. The received terminal identification information may be encrypted and stored with a key of the hardware device.
かかる実施形態においては、情報端末に固有の識別情報をハードウェアデバイスの持つ鍵で暗号化して記憶させるよう構成したので、認証情報の偽装を防止することができる。 In such an embodiment, the identification information unique to the information terminal is configured to be encrypted and stored with the key of the hardware device, so that the authentication information can be prevented from being camouflaged.
また、上記認証ソケット装置は、セキュリティトークンを着脱可能なポートコネクタを備え、セキュリティトークン内に記憶された利用者識別情報と、ハードウェアデバイス内に記憶している利用者識別情報とを比較することにより行われる認証結果に基づいて、認証ソケット装置に接続された情報端末と、ネットワークとの通信を制御する制御手段を備えることができる。このような構成によれば、正当な利用者の認証を行うことができる。 The authentication socket device includes a port connector to which the security token can be attached and detached, and compares the user identification information stored in the security token with the user identification information stored in the hardware device. On the basis of the authentication result performed by the above, it is possible to provide a control means for controlling communication between the information terminal connected to the authentication socket device and the network. According to such a configuration, a valid user can be authenticated.
また、上記認証ソケット装置は、セキュリティトークンを取り外したときに、認証ソケット装置に接続された情報端末と、ネットワークとの通信を物理的に遮断するように構成され得る。このような構成によれば、不正な利用者のネットワークへのアクセスを防止することができる。 The authentication socket device may be configured to physically block communication between the information terminal connected to the authentication socket device and the network when the security token is removed. According to such a configuration, it is possible to prevent unauthorized users from accessing the network.
また、上記認証ソケット装置は、ネットワーク上の他の端情報端末とデータを送受信する際に、認証ソケット装置のハードウェアデバイスにおいて計算される固有の認証情報(通信識別情報)を通信データに付加して送信するように構成され得る。このような構成によれば、正当な他の情報端末に対し認証情報を送信することができる。 The authentication socket device adds unique authentication information (communication identification information) calculated in the hardware device of the authentication socket device to the communication data when transmitting / receiving data to / from other end information terminals on the network. May be configured to transmit. According to such a configuration, authentication information can be transmitted to other legitimate information terminals.
また、上記認証ソケット装置は、ネットワーク上の他の情報端末から受信した通信識別情報と、認証ソケット装置のハードウェアデバイスにおいて計算した通信識別情報を比較することにより認証処理を行い、認証結果によって他の情報端末との通信を制御するように構成され得る。このような構成によれば、不正な情報端末からのアクセスを遮断することができる。 The authentication socket device performs authentication processing by comparing the communication identification information received from other information terminals on the network with the communication identification information calculated in the hardware device of the authentication socket device. May be configured to control communication with other information terminals. According to such a configuration, access from unauthorized information terminals can be blocked.
本発明の好適な実施形態の一つに、情報端末及び該情報端末の利用者の認証を行う認証システムであって、情報端末の識別情報である端末識別情報を格納する端末識別情報記憶手段と、情報端末とネットワークとの間に接続される認証ソケット装置と、情報端末の利用者の識別情報である利用者識別情報を格納するメモリと、認証ソケット装置に利用者識別情報を送信しうる送信回路を有するセキュリティトークンと、を備える認証システムがある。この認証システムにおいて、認証ソケット装置は、端末識別情報記憶手段から端末識別情報を受信するとともに該受信した端末識別情報に基づいて情報端末を認証し、更に、セキュリティトークンから利用者識別情報を受信するとともに該受信した利用者識別情報に基づいてセキュリティトークンを認証するように構成される。またこの認証システムは、情報端末および/またはセキュリティトークンについての認証処理の結果に基づいて、情報端末とネットワークとの間の通信を制御する制御手段を備える。 One of preferred embodiments of the present invention is an authentication system for authenticating an information terminal and a user of the information terminal, the terminal identification information storage means for storing terminal identification information that is identification information of the information terminal; An authentication socket device connected between the information terminal and the network, a memory storing user identification information which is identification information of the user of the information terminal, and a transmission capable of transmitting the user identification information to the authentication socket device There is an authentication system comprising a security token having a circuit. In this authentication system, the authentication socket device receives the terminal identification information from the terminal identification information storage means, authenticates the information terminal based on the received terminal identification information, and further receives the user identification information from the security token. In addition, the security token is authenticated based on the received user identification information. The authentication system further includes control means for controlling communication between the information terminal and the network based on the result of the authentication process for the information terminal and / or the security token.
上記の認証ソケット装置は、情報端末やセキュリティトークンとは別個のハードウェアであることが好ましい。これは、企業の部署内ネットワークなどの既存のITインフラに、上記の認証ソケット装置を容易に追加できるようにするためである。 The authentication socket device is preferably hardware separate from the information terminal and the security token. This is because the authentication socket device can be easily added to an existing IT infrastructure such as a corporate intra-department network.
実施形態によっては、上記制御手段による制御は、上記認証処理の結果に基づいて、情報端末とネットワークとの間の通信を許可又は不許可することとなり得る。 Depending on the embodiment, the control by the control means may permit or disallow communication between the information terminal and the network based on the result of the authentication process.
実施形態によっては、上記制御手段による制御は、上記認証処理の結果に基づいて、情報端末とネットワークとの間の通信を、物理層レベルで接続又は切断することとなり得る。 Depending on the embodiment, the control by the control means may connect or disconnect the communication between the information terminal and the network at the physical layer level based on the result of the authentication process.
実施形態によっては、上記認証ソケット装置は、該認証ソケット装置内に予め格納されている情報を受信した端末識別情報と照合することにより、情報端末を認証するように構成され得る。 In some embodiments, the authentication socket device may be configured to authenticate the information terminal by comparing information stored in advance in the authentication socket device with the received terminal identification information.
実施形態によっては、上記認証ソケット装置は、該認証ソケット装置内に予め格納されている情報を受信した利用者識別情報と照合することにより、セキュリティトークンを認証するように構成され得る。 In some embodiments, the authentication socket device may be configured to authenticate the security token by comparing information stored in the authentication socket device with the received user identification information.
実施形態によっては、上記認証ソケット装置は、鍵生成エンジン、乱数生成エンジンおよびハッシュ値計算エンジンを有するハードウェアデバイスを備え、受信した端末識別情報をハードウェアデバイスの持つ鍵で暗号化して記憶するように構成され得る。このような構成によれば、より強固なセキュリティが実現できる。 In some embodiments, the authentication socket device includes a hardware device having a key generation engine, a random number generation engine, and a hash value calculation engine, and stores the received terminal identification information by encrypting it with a key of the hardware device. Can be configured. According to such a configuration, stronger security can be realized.
上記セキュリティトークンは、情報端末や認証ソケット装置とは別個のハードウェアであることが好ましく、利用者が持ち運べるような小型軽量なものであることが好ましい。例えばUSBメモリや、RFIDタグなどを利用することができる。 The security token is preferably hardware separate from the information terminal and the authentication socket device, and is preferably small and light so that the user can carry it. For example, a USB memory or an RFID tag can be used.
実施形態によっては、上記認証ソケット装置は、セキュリティトークンを着脱可能なポートコネクタを備え、セキュリティトークンがポートコネクタから取り外されると、情報端末とネットワークとの間の通信を物理的に遮断するように構成され得る。このような構成によれば、利用者は、席を離れるなどする際に、セキュリティトークンを認証ソケット装置から抜くだけで、ネットワークへのアクセスを容易に防止することができる。 In some embodiments, the authentication socket device includes a port connector to which a security token can be attached and detached, and is configured to physically block communication between the information terminal and the network when the security token is removed from the port connector. Can be done. According to such a configuration, the user can easily prevent access to the network by simply removing the security token from the authentication socket device when leaving the seat.
実施形態によっては、上記セキュリティトークンがRFIDを備えるとともに認証ソケット装置がRFIDリーダーを備え、RFIDリーダーがRFIDと通信できなくなると、認証ソケット装置は、情報端末とネットワークとの間の通信を物理的に遮断するように構成され得る。これにより、セキュリティトークンを携帯するユーザが認証ソケット装置から遠ざかると、情報端末とネットワークとの間の通信を自動的に遮断することができ、非常に強固なセキュリティが実現される。 In some embodiments, when the security token includes an RFID and the authentication socket device includes an RFID reader, and the RFID reader cannot communicate with the RFID, the authentication socket device physically communicates between the information terminal and the network. Can be configured to block. Thereby, when the user carrying the security token moves away from the authentication socket device, the communication between the information terminal and the network can be automatically cut off, and very strong security is realized.
実施形態によっては、上記認証ソケット装置は、ネットワークへ送信する通信データに、該認証ソケット装置のハードウェアデバイスにおいて計算される固有の認証情報である通信識別情報を付加するように構成され得る。この通信識別情報は、他のネットワークデバイスによって、当該認証ソケット装置が正当なアクセス権限を有しているか否かの確認に用いられ得る。 Depending on the embodiment, the authentication socket device may be configured to add communication identification information, which is unique authentication information calculated in a hardware device of the authentication socket device, to communication data to be transmitted to the network. This communication identification information can be used by other network devices to confirm whether or not the authentication socket device has a legitimate access authority.
実施形態によっては、上記認証ソケット装置は、ネットワーク上の他の認証ソケット装置から、該他の認証ソケット装置において計算された通信識別情報を受信すると共に、受信した通信識別情報を、自身のハードウェアデバイスによって計算した通信識別情報と照合し、この照合の結果に基づいて、他の認証ソケット装置との通信を許可または不許可するように構成され得る。このような実施形態によれば、ネットワーク上の各端末は、正当なアクセス権限を有する認証ソケット装置を介さなければ通信することができなくなるため、不正アクセス者がネットワーク上の資産へアクセすることが非常に困難になる。また、かかる強固なセキュリティを実現するためにネットワークへ加えなければならない変更は、各端末とネットワークとの間に上記認証ソケット装置を接続することだけであり、極めて容易に導入が可能であることも強調しておきたい。 In some embodiments, the authentication socket device receives the communication identification information calculated in the other authentication socket device from another authentication socket device on the network, and uses the received communication identification information as its own hardware. The communication identification information calculated by the device can be verified, and based on the result of this verification, communication with other authentication socket devices can be permitted or not permitted. According to such an embodiment, since each terminal on the network cannot communicate without passing through an authentication socket device having a legitimate access right, an unauthorized access person can access assets on the network. It becomes very difficult. In addition, the only change that must be made to the network in order to realize such strong security is to connect the authentication socket device between each terminal and the network, which can be introduced very easily. I want to stress.
実施形態によっては、上記認証ソケット装置は、ユーザ入力手段を更に備えると共に、ユーザ入力手段によって入力される第2の利用者認証情報をセキュリティトークンに送信しうるように構成され、セキュリティトークンは、送信された第2の利用者認証情報が正当なものである場合に、端末識別情報を認証ソケット装置に送信するように構成され得る。このユーザ入力手段は、例えばPINパッドや生体情報読み取り機構であり得る。これにより、さらに強固なセキュリティを提供することができる。 In some embodiments, the authentication socket device further includes user input means, and is configured to be able to transmit the second user authentication information input by the user input means to the security token. If the second user authentication information is valid, the terminal identification information may be transmitted to the authentication socket device. This user input means can be, for example, a PIN pad or a biometric information reading mechanism. Thereby, stronger security can be provided.
実施形態によっては、上記端末識別情報記憶手段は、情報端末に貼り付けるための貼付手段を有するRFIDタグで構成され得る。端末識別情報はRFIDタグのメモリ部分に格納され、認証ソケット装置が備えるRFIDリーダーによって読み取られる。このRFIDタグを既存のコンピュータなどに貼り付けることにより、既存のコンピュータに上記端末識別情報記憶機能を簡単に与えることができるため、上記の実施形態による認証システムを、既存のコンピュータ・ネットワーク環境に容易に導入することができる。 Depending on the embodiment, the terminal identification information storage means may be constituted by an RFID tag having an attaching means for attaching to the information terminal. The terminal identification information is stored in the memory portion of the RFID tag and is read by the RFID reader provided in the authentication socket device. By pasting the RFID tag on an existing computer or the like, the terminal identification information storage function can be easily given to the existing computer. Therefore, the authentication system according to the above embodiment can be easily applied to an existing computer network environment. Can be introduced.
実施形態によっては、上記RFIDタグは剥離検知型のRFIDタグであり、情報端末から剥がされたときに剥離検知情報をRFIDタグ内のメモリに記憶するように構成されると共に、剥離検知情報を認証ソケット装置に送信し得るように構成される。この場合、認証ソケット装置は、RFIDタグから受信した剥離検知情報に基づいて情報端末を認証するように構成され得る。このような構成によれば、RFIDタグを不正に剥がしてネットワークにアクセスしようとするような、なりすましを防止することができる。 In some embodiments, the RFID tag is a peeling detection type RFID tag, configured to store the peeling detection information in a memory in the RFID tag when it is peeled off from the information terminal, and authenticate the peeling detection information. It is configured to be able to transmit to a socket device. In this case, the authentication socket device may be configured to authenticate the information terminal based on the peeling detection information received from the RFID tag. According to such a configuration, it is possible to prevent impersonation such as unauthorized removal of the RFID tag to access the network.
実施形態によっては、端末識別情報記憶手段は、いわゆるトラステッド・プラットフォーム・モジュール(TPM)で構成され得る。最近のコンピュータには、予めTPMが内蔵されていることも多いので、そのTMPに合わせて認証ソケット装置を設定することもできる。また、上記の認証システムのさらに具体的な実施形態には、TPMやRFIDタグその他の端末識別情報記憶手段を内蔵する情報端末を含むものがあり得る。 In some embodiments, the terminal identification information storage means may be configured by a so-called trusted platform module (TPM). Since recent computers often have a built-in TPM in advance, an authentication socket device can be set in accordance with the TMP. Further, a more specific embodiment of the above authentication system may include an information terminal including a TPM, an RFID tag, or other terminal identification information storage means.
本発明の好適な実施形態には、情報端末とネットワークとの間に接続する認証ソケット装置および認証ソケット装置と通信可能なセキュリティトークンを用いて、情報端末及び該情報端末の利用者の認証を行う認証方法が含まれる。この方法は、認証ソケット装置の受信手段が、情報端末の識別情報である端末識別情報を情報端末から受信する第1ステップと、認証ソケット装置の処理手段が、受信した端末識別情報と認証ソケット装置に格納されている情報とを比較することにより情報端末を認証する第2ステップと、認証ソケット装置の処理手段が、利用者の識別情報である利用者識別情報を格納するセキュリティトークンを認識する第3ステップと、認証ソケット装置の受信手段が、利用者識別情報をセキュリティトークンから受信する第4ステップと、認証ソケット装置の処理手段が、受信した利用者識別情報と認証ソケット装置に予め格納されている情報とを比較することによりセキュリティトークンを認証する第5ステップと、認証ソケット装置の処理手段が、情報端末および/またはセキュリティトークンの認証結果に基づいて、情報端末とネットワークとの通信を許可又は不許可する第6ステップと、を有することを特徴とする。 In a preferred embodiment of the present invention, an authentication socket device connected between an information terminal and a network and a security token communicable with the authentication socket device are used to authenticate the information terminal and the user of the information terminal. Includes authentication methods. This method includes a first step in which the receiving means of the authentication socket device receives terminal identification information, which is identification information of the information terminal, from the information terminal, and the terminal identification information received by the processing means of the authentication socket device and the authentication socket device. A second step of authenticating the information terminal by comparing with information stored in the authentication socket, and a processing means of the authentication socket device for recognizing a security token storing user identification information which is user identification information. 3 steps, a fourth step in which the receiving means of the authentication socket device receives user identification information from the security token, and a processing means of the authentication socket device is stored in advance in the received user identification information and the authentication socket device. A fifth step of authenticating the security token by comparing the stored information with the processing means of the authentication socket device, Information based on the authentication result of the terminal and / or security token, the sixth step to allow or disallow the communication between the information terminal and a network, characterized by having a.
本発明の好適な実施形態には、情報端末とネットワークとの間に接続され、情報端末及び該情報端末の利用者の認証を行うための認証ソケット装置が含まれる。この装置は、情報端末の識別情報である端末識別情報を格納する端末識別情報記憶手段と通信する手段と、端末識別情報記憶手段から端末識別情報を受信する手段と、情報端末の利用者の識別情報である利用者識別情報を格納するセキュリティトークンと通信する手段と、セキュリティトークンから利用者識別情報を受信する手段と、受信した端末識別情報を認証ソケット装置内に予め格納されている情報と比較することにより、情報端末を認証する手段と、受信した利用者識別情報を認証ソケット装置内に予め格納されている情報と比較することにより、セキュリティトークンを認証する手段と、を備え、情報端末および/またはセキュリティトークンの認証結果に基づいて、情報端末とネットワークとの通信を許可又は不許可するように構成されることを特徴とする。 A preferred embodiment of the present invention includes an authentication socket device connected between an information terminal and a network for authenticating the information terminal and a user of the information terminal. The apparatus includes means for communicating with terminal identification information storage means for storing terminal identification information which is identification information of an information terminal, means for receiving terminal identification information from the terminal identification information storage means, and identification of a user of the information terminal Means for communicating with the security token storing the user identification information, information, means for receiving the user identification information from the security token, and comparing the received terminal identification information with information stored in advance in the authentication socket device Means for authenticating the information terminal, and means for authenticating the security token by comparing the received user identification information with information stored in advance in the authentication socket device, and the information terminal and Based on the authentication result of the security token, allow or disallow communication between the information terminal and the network Characterized in that it is made.
本発明の好適な実施形態には、情報端末の識別情報である端末識別情報を格納し、上記認証ソケット装置に端末識別情報を送信するように適合される端末識別情報格納手段や、この端末識別情報格納手段を備える情報端末が含まれる。 In a preferred embodiment of the present invention, terminal identification information storage means adapted to store terminal identification information which is identification information of an information terminal and to transmit the terminal identification information to the authentication socket device, or the terminal identification An information terminal comprising information storage means is included.
本発明の好適な実施形態には、情報端末の利用者の識別情報である利用者識別情報を格納し、上記認証ソケット装置に利用者識別情報を送信するように適合される、セキュリティトークンが含まれる。 A preferred embodiment of the present invention includes a security token adapted to store user identification information that is identification information of a user of an information terminal and to transmit the user identification information to the authentication socket device. It is.
以下、本発明の好適な実施例を、添付図面を参照しつつ更に詳細に説明する。 Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings.
図1は、ここで説明される実施例の認証システムの概要を示す図である。同図に示すように、本認証システムは、認証ソケット装置100と、認証ソケット装置100に対して情報端末に固有の識別情報(以下、端末識別情報と呼ぶ)を送信するデバイス210を有する情報端末200と、認証ソケット装置100に対して利用者に固有の識別情報(以下、利用者識別情報と呼ぶ)を入力するデバイス300とを用いて認証処理を行う。なお、利用者識別情報を入力するデバイス300の代わりに利用者の生体情報を使用し、認証ソケット装置100に生体情報読み取り機構を構成して認証処理を行うこととしてもよいが、ここでは利用者識別情報を入力するデバイス300を使用して認証処理を行う。情報端末200としてはPCやサーバ装置が挙げられるが、ここではPCを例に挙げる。また、端末識別情報を送信するデバイス210は、外部から触れられぬ態様でPC200に搭載されている。
FIG. 1 is a diagram showing an outline of an authentication system according to an embodiment described here. As shown in the figure, the authentication system includes an
ここで端末識別情報を送信するデバイス210とは、情報端末を一意に識別する情報を持つデバイスであり、例えばRFIDタグを使用する。RFIDとは識別情報を埋め込んだタグから、電磁波などを用いた近距離の無線通信によってデータを読み出す技術である。さらに、RFIDタグとして剥離検知型のRFIDタグを用いることとする。こうすることで、PC200からRFIDタグが剥がされたとき、剥離検知情報がRFIDタグ内のメモリに記憶されるため、認証ソケット装置を介してタグ剥離検知情報を取得できることから、PC200のなりすましをより確実に防止することができる。
Here, the
また、利用者識別情報を入力するデバイス300は、利用者識別情報を記憶可能なデバイスであればよく、いわゆるUSBトークンのようなメモリを持つデバイスが相当する。以下、このデバイスをセキュリティトークンと呼ぶ。なお、利用者が持つデバイスをUSBトークンとしたので、あらかじめ利用者識別情報をUSBトークン内の公開鍵で暗号化して、USBトークンの耐タンパ領域に格納しておくものとする。耐タンパ領域とは不正アクセスや改竄への耐性を持つメモリ領域である。これにより利用者識別情報の不正読み取りを防止し、セキュリティを向上することができる。
The
また、かかる認証ソケット装置100には、端末識別情報を内部のメモリにあらかじめ記憶させることとし、特定のPC200に認証ソケット装置100を対応させるものとする。そして、ペアになるPCと認証ソケット装置との間で認証を行うことによりPCが正当であるか否かを認証する。以下、この認証処理を「端末認証」と呼ぶ。
Further, in the
また、本実施例では、かかる認証ソケット装置には、端末識別情報のハッシュ値を暗号化して内部のメモリにあらかじめ記憶させる。ハッシュ値とは、ハッシュ関数(一方向関数)により得られる値であり、元の値が異なれば計算される値も異なり、ハッシュ値から元の値を求めることが困難であるという特徴をもつ。これによりRFIDタグの識別情報の類推を防止し、セキュリティを向上することができる。 In this embodiment, the authentication socket device encrypts the hash value of the terminal identification information and stores it in the internal memory in advance. The hash value is a value obtained by a hash function (one-way function). If the original value is different, the calculated value is different, and it is difficult to obtain the original value from the hash value. Thereby, analogy of identification information of the RFID tag can be prevented and security can be improved.
また、認証ソケット装置100には、利用者識別情報を内部のメモリにあらかじめ記憶させることとし、特定の利用者に認証ソケット装置100を対応させるものとする。そして、ペアになる利用者が持つデバイス300と認証ソケット装置100との間で認証を行うことにより利用者が正当であるか否かを認証する。以下、この認証処理を「利用者認証」と呼ぶ。
In the
さらに、本実施例では利用者識別情報を暗号化して内部のメモリにあらかじめ記憶させる。これにより利用者識別情報の漏洩を防止し、セキュリティを向上することができる。 Furthermore, in this embodiment, user identification information is encrypted and stored in advance in an internal memory. Thereby, leakage of user identification information can be prevented and security can be improved.
本認証システムの第1の実施形態について、図2〜図4を用いて説明する。 A first embodiment of the authentication system will be described with reference to FIGS.
図2は、第1の実施形態における認証ソケット装置100の構成を示す機能ブロック図である。認証ソケット装置100は、セキュリティチップ110と、制御部120と、アンテナ130と、USBコネクタ140と、PINパッド150と、LANポート160と、物理スイッチ(アナログスイッチ)170とを備えている。そして、セキュリティチップ110は、メモリ部111と、計算エンジン112とを備え、メモリ部111は端末認証情報111aと、利用者認証情報111bとを備え、計算エンジン112は鍵生成エンジン112aと、乱数生成エンジン112bと、ハッシュ値計算エンジン112cとを備え、制御部120は、端末認証処理部121と、利用者認証処理部122と、通信制御部124とを備え、LANポート160は、LAN側ポート161と、情報端末側ポート162とを備えている。
FIG. 2 is a functional block diagram illustrating a configuration of the
セキュリティチップ110は、メモリ部111および計算エンジン112を有するハードウェアチップであり、TPM(Trusted Platform Module)と呼ばれるハードウェア耐タンパ性をもつセキュリティチップである。
The
メモリ部111は、セキュリティチップ110が備え、フラッシュメモリなどの不揮発性メモリによって構成されるメモリであり、端末認証情報111aと、利用者認証情報111bを予め記憶している。
The
端末認証情報111aは、情報端末を認証し、特定するための一意の数字あるいは文字列といったIDであり、PC200に搭載されたRFIDタグ210が記憶する端末識別情報と対応している。
The
RFIDタグ210が記憶する端末識別情報の類推を防止するために、端末識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ値計算したものを使用する。以下、ハッシュ化された端末識別情報を端末識別値と呼ぶ。
In order to prevent analogy of the terminal identification information stored in the
端末識別値の漏洩を防止するために、端末識別値を、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したIDを端末認証情報111aとしてあらかじめ記憶しておくこととする。
In order to prevent leakage of the terminal identification value, the terminal identification value is encrypted using the public key generated by the
利用者認証情報111bは、利用者を特定するための一意の数字あるいは文字列といったIDであり、第1の実施形態ではPC200のMACアドレスと対応している。
The user authentication information 111b is an ID such as a unique number or a character string for specifying the user, and corresponds to the MAC address of the
MACアドレスの類推を防止するために、セキュリティチップ110が備えるハッシュ値計算エンジン112cによってハッシュ値計算した値を利用者認証情報111bの作成に利用する。
In order to prevent analogization of the MAC address, the value calculated by the hash
利用者認証情報111bの漏洩を防止するために、ハッシュ化されたMACアドレスを、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したハッシュ化されたMACアドレスを利用者認証情報111bとしてあらかじめ記憶しておくこととする。
In order to prevent the leakage of the user authentication information 111b, the hashed MAC address is encrypted using the public key generated by the
制御部120は、PC200に搭載されているRFIDタグ210からアンテナ130を介して受信した剥離検知情報および端末識別情報に基づき端末認証処理を行い、USBコネクタ140を介して接続されるUSBトークン300から入力した利用者識別情報に基づき利用者認証処理を行い、端末認証処理、利用者認証処理結果に基づいて物理スイッチ170をオン・オフすることにより、PC200とネットワークをOSI参照モデルの物理層レベルで接続・切断処理を行う。
The
端末認証処理部121は、PC200に搭載されているRFIDタグ210から受信した剥離検知情報が存在するか否かの確認を行うことで、正当なRFIDタグの認証を行う。さらに、RFIDタグ210から受信した端末識別情報のハッシュ値が、メモリ部111の端末認証情報111aを復号化した値と一致しているか否かにより、認証ソケット装置100とペアとなるPC200を識別する処理を行う。
The terminal
具体的には、PC200に搭載されたRFIDタグ210にはタグごとに一意な識別情報が記憶されているため、本実施形態ではRFIDタグの識別情報を取得して、これを端末識別情報として利用する。また、認証対象PC200のRFIDタグ210が持つ端末識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ化した値を端末識別値とし、当該端末識別値をセキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵で暗号化して内部のメモリ部111にあらかじめ記憶している。
Specifically, since the
この端末認証処理部121は、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値が「0001」であり、メモリ部111から読み出した端末認証情報111aを、セキュリティチップ110によって端末識別値を暗号化したときに使用した公開鍵のペアとなる秘密鍵で復号し、復号化した端末識別値も「0001」である場合には、PC200と認証ソケット100とが正当なペアであると判定する。
This terminal
また、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値とメモリ部111から読み出した端末認証情報111aを復号した端末識別値が異なる場合には認証ソケット100とペアになるPC200が不正であると判定することになる。
If the terminal identification value obtained by hashing the terminal identification information received from the
利用者認証処理部122は、USBコネクタ140を介してUSBトークン300から入力した利用者識別情報が、メモリ部111の利用者認証情報111bを復号した値と一致しているか否かによりペアとなる利用者を識別する処理を行う。
The user
具体的には、この利用者認証処理部122は、USBトークン300が認証ソケット装置100のUSBポート140に接続されたことを検出すると、USBトークン300の耐タンパ領域の活性化指示を行う。このとき、USBトークン300は自デバイス内の耐タンパな領域に格納された識別情報を読み出すために、暗証番号PIN(Personal Identity Number)の入力を利用者認証処理部122に要求する。ここで、利用者認証処理部122は、利用者に対して、認証ソケット装置100に設けられたPINパッド150でのPINの入力を促す。
Specifically, when the user
利用者はPINパッド150を用いてPINを入力すると、利用者認証処理部122は、USBトークン300にPINを通知する。USBトークン300は通知されたPINを検証し、PINが正しいことが検証された場合に、USBトークン300内の耐タンパ領域に記憶されている暗号化された利用者識別情報を読み出す。
When the user inputs the PIN using the
利用者認証処理部122は、USBトークン300に暗号化された利用者識別情報の復号指示を行い、USBトークン300は自デバイスが持ち、利用者識別情報を暗号化したときに使用した公開鍵のペアとなる秘密鍵で、前述した利用者識別情報を復号する。
The user
また、利用者認証処理部122は、USBトークン300より得られた利用者識別情報と、メモリ部111から読み出した利用者認証情報111bをセキュリティチップ110の秘密鍵で復号して得られた利用者識別情報とを比較し、一致する場合にはUSBトークン300と認証ソケット100とが正当なペアであると判定する。また、上記によって得られた利用者識別情報とメモリ部111から読み出した利用者認証情報111bが異なる場合には認証ソケット100とペアになるUSBトークン300が不正であると判定する。
The user
通信制御部124は、PC200とネットワーク、LAN400との通信を開始又は切断する処理部である。
The
具体的には、PC200とLAN400との通信が停止している状態のときに、端末認証処理部121から端末認証成功の指示を受け付け、利用者認証処理部122から利用者認証成功の指示を受け付けると、LAN400への接続を開始する。PC200とLAN400が通信状態のときに、端末認証処理部121から端末認証失敗の指示を受け付けるか又は利用者認証処理部122から利用者認証失敗の指示を受け付けると、PC200とLAN400との通信を、物理スイッチ170を使用して物理層レベルで切断する。
Specifically, when communication between the
アンテナ部130は、PC200に搭載されたRFIDタグ210との通信を行うためのデバイスである。また、USBコネクタ140は、USBトークン300との通信を行うためのデバイスである。
The
USBコネクタ140は、USB規格に準拠したコネクタであり、USBトークン300を差込むためのコネクタである。
The
PINパッド150は、USBトークン300のPINを入力するためのデバイスであり、テンキーが設けられている。
The
LANポート160はOSI参照モデルのデータリンク層のフレームを送受信することができる通信ケーブルを繋ぐためのポートである。LAN側ポート161は認証ソケット装置100とLAN400との間でフレームを送受信するポートであり、情報端末側ポート162はPC200と認証ソケット装置100との間でフレームを送受信するポートである。
The
物理スイッチ170は、伝送線路をOSI参照モデルの物理層レベルで切断するスイッチであり、アナログスイッチを使用する。
The
次に、第1の実施形態に係る認証ソケット装置100で行われる端末認証処理手順について図3を用いて説明する。ここで、あらかじめメモリ部111には端末認証情報111aが記憶されている。
Next, a terminal authentication processing procedure performed by the
図3は、認証ソケット装置100の端末認証手順を示すシーケンス図である。同図に示すように、認証ソケット装置100が接続されたPC200において、認証ソケット装置100のアンテナ部130は、PC200に搭載されたRFIDタグ210を認識すると(ステップS101)、端末認証処理部121に対してRFIDタグ210を認識した旨を通知する(ステップS102)。
FIG. 3 is a sequence diagram showing a terminal authentication procedure of the
通知を受けた端末認証処理部121は、アンテナ部130を介して剥離検知情報の問い合わせを行い(ステップS103)、RFIDタグ210に対してコマンドを送信する(ステップS104)。
Upon receiving the notification, the terminal
RFIDタグ210は、自身が保持する剥離検知情報をアンテナ部130へ応答し(ステップS105)、端末認証処理部121に通知される(ステップS106)。
The
剥離検知情報を取得した端末認証処理部121は、剥離検知情報が存在するか否かの確認を行い(ステップS107)、剥離検知情報が存在する場合は通信制御部124にネットワークの物理切断を指示し(ステップS108)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS109)。
The terminal
剥離検知情報が存在しない場合は、端末認証処理部121は、アンテナ部130を介して端末識別情報の読み取りを指示し(ステップS110)、RFIDタグ210に対してコマンドを送信する(ステップS111)。
When the peeling detection information does not exist, the terminal
RFIDタグ210は、自身が保持する端末識別情報をアンテナ部130へ応答し(ステップS112)、端末認証処理部121に通知される(ステップS113)。
The
端末識別情報を受信した端末認証処理部121は、セキュリティチップ110の計算エンジン112に対して、受信した端末識別情報のハッシュ値計算指示を行い(ステップS114)、セキュリティチップ110の計算エンジン112は端末識別情報のハッシュ値計算を行い(ステップS115)、端末認証処理部121に応答する(ステップS116)。
The terminal
端末識別値を取得した端末認証処理部121は、次に、メモリ部111に記憶されている端末認証情報111aの読み出しを指示し(ステップS117)、メモリ部111は、自身が保持する端末認証情報111aを端末認証処理部121へ応答する(ステップS118)。
The terminal
端末認証処理部121は、取得した端末認証情報111aの復号化をセキュリティチップ110に指示し(ステップS119)、セキュリティチップ110は端末識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、端末認証情報111aの復号化を行い(ステップS120)、端末認証処理部121に応答する(ステップS121)。
The terminal
端末認証処理部121はアンテナ部130より受信した端末識別値と、前記によりセキュリティチップ110により復号化した端末識別値との比較を行い(ステップS122)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS123)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS124)。
The terminal
ステップS122において端末識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS125)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS126)、LANポート160(情報端末側162)を介したフレームの転送を行う(ステップS127)。
If the terminal identification values match in step S122, the
このように、第1の実施形態に係る端末認証では、RFIDタグを備えたPC等の情報端末を認証し、ネットワークの接続制御を行うことができる。 As described above, in terminal authentication according to the first embodiment, an information terminal such as a PC provided with an RFID tag can be authenticated and network connection control can be performed.
次に、第1の実施形態に係る認証ソケット装置100で行われる利用者認証処理手順について図4を用いて説明する。ここで、あらかじめメモリ部111には利用者認証情報111bが記憶されている。
Next, a user authentication processing procedure performed in the
図4は、認証ソケット装置100の利用者認証手順を示すシーケンス図である。同図に示すように、利用者が認証ソケット装置100のUSBコネクタ140にUSBトークン300を差し込むと(ステップS201)、利用者認証処理部122に対してUSBトークン300を認識した旨を通知する(ステップS202)。
FIG. 4 is a sequence diagram showing a user authentication procedure of the
通知を受けた利用者認証処理部122はUSBトークン300の耐タンパ領域を活性化するために、PIN入力指示をPINパッド150に通知し、PIN入力待ち状態となる(ステップS203)。
Upon receiving the notification, the user
利用者がPINパッド150を用いてPINを入力すると(ステップS204)、利用者認証処理部122は入力されたPINをもとにUSBトークン300に通知し耐タンパ領域を活性化する(ステップS205)。
When the user inputs a PIN using the PIN pad 150 (step S204), the user
USBトークン300はPINの照合が取れると、自身が保持する利用者識別情報を利用者認証処理部122へ応答する(ステップS206)。
When the
利用者認証処理部122は、取得した利用者識別情報の復号化をUSBトークン300に指示し(ステップS207)、USBトークン300は利用者識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、利用者識別情報の復号化を行い(ステップS208)、利用者認証処理部122に応答する(ステップS209)。
The user
利用者識別値を取得した利用者認証処理部122は、次に、メモリ部111に記憶されている利用者認証情報111bの読み出しを指示し(ステップS210)、メモリ部111は、自身が保持する利用者認証情報111bを利用者認証処理部122へ応答する(ステップS211)。
The user
利用者認証処理部122は、取得した利用者認証情報111bの復号化をセキュリティチップ110に指示し(ステップS212)、セキュリティチップ110は利用者識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、利用者認証情報111bの復号化を行い(ステップS213)、利用者認証処理部122に応答する(ステップS214)。
The user
利用者認証処理部122はUSBトークン300より復号して得られた利用者識別値と、前記によりセキュリティチップ110により復号化した利用者識別値との比較を行い(ステップS215)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS216)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS217)。
The user
ステップS215において利用者識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS218)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS219)、LANポート160(情報端末側162)を介したフレームの転送を行う(ステップS220)。
If the user identification values match in step S215, the
このように、第1の実施形態に係る利用者認証では、正当なUSBトークンを持つ利用者を認証し、ネットワークの接続制御を行うことができる。また制御部120は、認証ソケット装置よりUSBトークンが抜かれたことを検出すると、物理スイッチ170を制御してライン物理接続を制御し、ネットワークを遮断するように構成される。したがって利用者は、離席する際に、USBトークンを認証ソケット装置から抜くことで、ネットワークへの不正アクセスを容易に防止することができる。
As described above, in the user authentication according to the first embodiment, a user having a valid USB token can be authenticated and network connection control can be performed. Further, when detecting that the USB token has been removed from the authentication socket device, the
以上説明したように、端末認証および利用者認証が成功した場合には、PCが繋がるネットワークを物理層レベルで接続し、端末認証もしくは利用者認証が失敗した場合には、PCが繋がるネットワークを物理層レベルで切断する。 As described above, when terminal authentication and user authentication are successful, the network to which the PC is connected is connected at the physical layer level, and when terminal authentication or user authentication fails, the network to which the PC is connected is physically connected. Cut at the layer level.
第2の実施形態では、利用者識別情報を送信するデバイスに別デバイスを使用した場合について図5〜図8を用いて説明する。 In the second embodiment, a case where another device is used as a device that transmits user identification information will be described with reference to FIGS.
第1の実施形態においては、セキュリティトークンとしてUSBトークン300を使用し、認証ソケット装置100との間の利用者認証を、USBコネクタ140を介して行うこととしたが、これに限らず、他の通信デバイスを用いることとしてもよい。第2の実施形態ではこのUSBトークンの代わりに利用者識別情報を記憶するRFIDタグを使用し、当該RFIDタグを搭載したカード310と認証ソケット装置100の間でアンテナ部130を介して利用者認証を行うこととする。なお、この利用者識別情報を記憶するRFIDタグは利用者本人が所有することで利用者本人の認証とするので、剥離検知機能を有さずとも良い。
In the first embodiment, the
図5は、第2の実施形態に係る認証システムの概要を示す図である。同図に示すように、第2の実施形態では、認証ソケット装置100と、認証ソケット装置100に対し端末識別情報を送信するRFIDタグ210を有するPC200と、認証ソケット装置100に対し利用者識別情報を送信するRFID付きカード310とを用いて認証処理を行う。
FIG. 5 is a diagram illustrating an outline of an authentication system according to the second embodiment. As shown in the figure, in the second embodiment, the
また、かかる認証ソケット装置100には、端末識別情報を内部のメモリにあらかじめ記憶させることとし、特定のPC200に認証ソケット装置100を対応させるものとする。そして、ペアになるPCと認証ソケット装置との間で認証を行うことによりPCが正当であるか否かを認証する。
Further, in the
第2の実施形態では、かかる認証ソケット装置には、端末識別情報のハッシュ値を暗号化して内部のメモリにあらかじめ記憶させる。これによりRFIDタグ210の識別情報の類推を防止し、セキュリティを向上することができる。
In the second embodiment, the authentication socket device encrypts the hash value of the terminal identification information and stores it in the internal memory in advance. Thereby, analogy of identification information of the
また、認証ソケット装置100には、利用者識別情報を内部のメモリにあらかじめ記憶させることとし、特定の利用者に認証ソケット装置100を対応させるものとする。そして、ペアになる利用者が持つデバイス310と認証ソケット装置100との間で認証を行うことにより利用者が正当であるか否かを認証する。
In the
第2の実施形態では、かかる認証ソケット装置には、利用者識別情報のハッシュ値を暗号化して内部のメモリにあらかじめ記憶させる。これによりRFID付きカード310の持つ識別情報の類推を防止し、セキュリティを向上することができる。
In the second embodiment, the authentication socket device encrypts the hash value of the user identification information and stores it in the internal memory in advance. As a result, the analogy of the identification information held by the
図6は、第2の実施形態における認証ソケット装置100の構成を示す機能ブロック図である。認証ソケット装置100は、セキュリティチップ110と、制御部120と、アンテナ130と、LANポート160と、物理スイッチ170とを備えている。そして、セキュリティチップ110は、メモリ部111と、計算エンジン112とを備え、メモリ部111は端末認証情報111aと、利用者認証情報111bとを備え、計算エンジン112は鍵生成エンジン112aと、乱数生成エンジン112bと、ハッシュ値計算エンジン112cとを備え、制御部120は、端末認証処理部121と、利用者認証処理部122と、通信制御部124とを備え、LANポート160は、LAN側ポート161と、情報端末側ポート162とを備えている。
FIG. 6 is a functional block diagram illustrating a configuration of the
セキュリティチップ110は、メモリ部111および計算エンジン112を有するハードウェアチップであり、第2の実施形態においても、第1の実施形態と同様にTPMを使用する。
The
メモリ部111は、セキュリティチップ110が備え、フラッシュメモリなどの不揮発性メモリによって構成されるメモリであり、端末認証情報111aと、利用者認証情報111bを予め記憶している。
The
端末認証情報111aは、情報端末を認証し、特定するための一意の数字あるいは文字列といったIDであり、PC200に搭載されたRFIDタグ210が記憶する端末識別情報と対応している。
The
RFIDタグ210が記憶する端末識別情報の類推を防止するために、端末識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ値計算したもの(端末識別値)を使用する。
In order to prevent analogy of the terminal identification information stored in the
端末識別値の漏洩を防止するために、端末識別値を、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したIDを端末認証情報111aとしてあらかじめ記憶しておくこととする。
In order to prevent leakage of the terminal identification value, the terminal identification value is encrypted using the public key generated by the
利用者認証情報111bは、利用者を認証し、特定するための一意の数字あるいは文字列といったIDであり、第2の実施形態ではRFID付きカード310が記憶する利用者識別情報と対応している。
The user authentication information 111b is an ID such as a unique number or character string for authenticating and specifying the user, and corresponds to the user identification information stored in the
RFID付きカード310が記憶する利用者識別情報の類推を防止するために、利用者識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ値計算したものを使用する。以下、ハッシュ化された利用者識別情報を利用者識別値と呼ぶ。
In order to prevent the analogy of the user identification information stored in the RFID-added
利用者識別値の漏洩を防止するために、利用者識別値を、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したIDを利用者認証情報111bとしてあらかじめ記憶しておくこととする。
In order to prevent the leakage of the user identification value, the user identification value is encrypted using the public key generated by the
制御部120は、PC200に搭載されているRFIDタグ210からアンテナ130を介して受信した端末識別情報に基づき端末認証処理を行い、RFID付きカード310からアンテナ130を介して受信した利用者識別情報に基づき利用者認証処理を行い、端末認証処理、利用者認証処理結果に基づいて、PC200とネットワークをOSI参照モデルの物理層レベルで接続・切断処理を行う。
The
端末認証処理部121は、PC200に搭載されているRFIDタグ210から受信した剥離検知情報が存在するか否かの確認を行うことで、正当なRFIDタグの認証を行う。さらに、RFIDタグ210から受信した端末識別情報のハッシュ値が、メモリ部111の端末認証情報111aを復号化した値と一致しているか否かにより、認証ソケット装置100とペアとなるPC200を識別する処理を行う。
The terminal
具体的には、PC200に搭載されたRFIDタグ210にはタグごとに一意な識別情報が記憶されているため、本実施形態ではRFIDタグの識別情報を取得して、これを端末識別情報として利用する。また、認証対象PC200のRFIDタグ210が持つ端末識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ化した値を端末識別値とし、当該端末識別値をセキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵で暗号化して内部のメモリ部111にあらかじめ記憶している。
Specifically, since the
この端末認証処理部121は、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値が「0001」であり、メモリ部111から読み出した端末認証情報111aを、セキュリティチップ110によって端末識別値を暗号化したときに使用した公開鍵のペアとなる秘密鍵で復号し、復号した端末識別値も「0001」である場合には、PC200と認証ソケット100とが正当なペアであると判定する。
This terminal
また、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値とメモリ部111から読み出した端末認証情報111aを復号した端末識別値が異なる場合には認証ソケット100とペアになるPC200が不正であると判定することになる。
If the terminal identification value obtained by hashing the terminal identification information received from the
利用者認証処理部122は、RFID付きカード310から受信した利用者識別情報のハッシュ値が、メモリ部111の利用者認証情報111bを復号化した値と一致しているか否かにより、認証ソケット装置100とペアとなる利用者を識別する処理を行う。
The user
具体的には、RFID付きカード310にはタグごとに一意な識別情報が記憶されているため、本実施形態ではRFID付きカード310の識別情報を取得して、これを利用者識別情報として利用する。また、認証対象RFID付きカード310が持つ利用者識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ化した値を利用者識別値とし、当該利用者識別値をセキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵で暗号化して内部のメモリ部111にあらかじめ記憶している。
Specifically, since identification information unique to each tag is stored in the
この利用者認証処理部122は、RFID付きカード310から受信した利用者識別情報をハッシュ化した利用者識別値が「0002」であり、メモリ部111から読み出した利用者認証情報111bを、セキュリティチップ110によって利用者識別値を暗号化したときに使用した公開鍵のペアとなる秘密鍵で復号し、復号化した利用者識別値も「0002」である場合には、利用者と認証ソケット100とが正当なペアであると判定する。
This user
また、RFID付きカード310から受信した利用者識別情報をハッシュ化した利用者識別値とメモリ部111から読み出した利用者認証情報111bを復号した利用者識別値が異なる場合には認証ソケット100とペアになる利用者が不正であると判定することになる。
When the user identification value obtained by hashing the user identification information received from the RFID-added
通信制御部124は、PC200とLAN400との通信を開始又は切断する処理部である。
The
具体的には、PC200とLAN400との通信が停止している状態のときに、端末認証処理部121から端末認証成功の指示を受け付け、利用者認証処理部122から利用者認証成功の指示を受け付けると、LAN400への接続を開始する。PC200とLAN400が通信状態のときに、端末認証処理部121から端末認証失敗の指示を受け付けるか又は利用者認証処理部122から利用者認証失敗の指示を受け付けると、PC200とLAN400との通信を、物理スイッチ170を使用して物理層レベルで切断する。
Specifically, when communication between the
アンテナ部130は、PC200に搭載されたRFIDタグ210およびRFID付きカード310と通信を行うためのデバイスである。
The
LANポート160はOSI参照モデルのデータリンク層のフレームを送受信することができる通信ケーブルを繋ぐためのポートである。LAN側ポート161は認証ソケット装置100とLAN400との間でフレームを送受信するポートであり、情報端末側ポート162はPC200と認証ソケット装置100との間でフレームを送受信するポートである。
The
物理スイッチ170は、伝送線路をOSI参照モデルの物理層レベルで切断するスイッチであり、アナログスイッチを使用する。
The
次に、第2の実施形態に係る認証ソケット装置で行われる端末認証処理手順について図7を用いて説明する。ここで、あらかじめメモリ部111には端末認証情報111aが記憶されている。
Next, a terminal authentication processing procedure performed by the authentication socket device according to the second embodiment will be described with reference to FIG. Here, the
図7は、認証ソケット装置100の端末認証手順を示すシーケンス図である。同図に示すように、認証ソケット装置100が接続されたPC200において、認証ソケット装置100のアンテナ部130は、PC200に搭載されたRFIDタグ210を認識すると(ステップS301)、端末認証処理部121に対してRFIDタグ210を認識した旨を通知する(ステップS302)。
FIG. 7 is a sequence diagram showing a terminal authentication procedure of the
通知を受けた端末認証処理部121は、アンテナ部130を介して剥離検知情報の問い合わせを行い(ステップS303)、RFIDタグ210に対してコマンドを送信する(ステップS304)。
Upon receiving the notification, the terminal
RFIDタグ210は、自身が保持する剥離検知情報をアンテナ部130へ応答し(ステップS305)、端末認証処理部121に通知される(ステップS306)。
The
剥離検知情報を取得した端末認証処理部121は、剥離検知情報が存在するか否かの確認を行い(ステップS307)、剥離検知情報が存在する場合は通信制御部124にネットワークの物理切断を指示し(ステップS308)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS309)。
The terminal
剥離検知情報が存在しない場合は、端末認証処理部121は、アンテナ部130を介して端末識別情報の読み取りを指示し(ステップS310)、RFIDタグ210に対してコマンドを送信する(ステップS311)。
If the peeling detection information does not exist, the terminal
RFIDタグ210は、自身が保持する端末識別情報をアンテナ部130へ応答し(ステップS312)、端末認証処理部121に通知される(ステップS313)。
The
端末識別情報を受信した端末認証処理部121は、セキュリティチップ110の計算エンジン112に対して、受信した端末識別情報のハッシュ値計算指示を行い(ステップS314)、セキュリティチップ110の計算エンジン112は端末識別情報のハッシュ値計算を行い(ステップS315)、端末認証処理部121に応答する(ステップS316)。
Upon receiving the terminal identification information, the terminal
端末識別値を取得した端末認証処理部121は、次に、メモリ部111に記憶されている端末認証情報111aの読み出しを指示し(ステップS317)、メモリ部111は、自身が保持する端末認証情報111aを端末認証処理部121へ応答する(ステップS318)。
The terminal
端末認証処理部121は、取得した端末認証情報111aの復号化をセキュリティチップ110に指示し(ステップS319)、セキュリティチップ110は端末識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、端末認証情報111aの復号化を行い(ステップS320)、端末認証処理部121に応答する(ステップS321)。
The terminal
端末認証処理部121はアンテナ部130より受信した端末識別値と、前記によりセキュリティチップ110により復号化した端末識別値との比較を行い(ステップS322)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS323)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS324)。
The terminal
ステップS322において端末識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS325)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS326)、LANポート160(情報端末側162)を介したフレームの転送を行う(ステップS327)。
If the terminal identification values match in step S322, the
このように、第2の実施形態に係る端末認証では、RFIDタグを備えたPC等の情報端末を認証し、ネットワークの接続制御を行うことができる。 As described above, in terminal authentication according to the second embodiment, an information terminal such as a PC having an RFID tag can be authenticated and network connection control can be performed.
次に、第2の実施形態に係る認証ソケット装置で行われる利用者認証処理手順について図8を用いて説明する。ここで、あらかじめメモリ部111には利用者認証情報111bが記憶されている。
Next, a user authentication processing procedure performed by the authentication socket device according to the second embodiment will be described with reference to FIG. Here, user authentication information 111b is stored in the
図8は、認証ソケット装置100の利用者認証手順を示すシーケンス図である。制御部120は、RFIDタグが読み取り可能範囲内にあるか否かを、アンテナ部130から定期的に読み取り電波を放射することによって調査する。RFIDタグ付きカード310を保持する利用者が認証ソケット装置100に近づき、読み取り可能範囲内に入ったことを制御部120が検出すると(ステップS401)、利用者認証処理部122に対してRFIDタグ310を認識した旨を通知する(ステップS402)。
FIG. 8 is a sequence diagram showing a user authentication procedure of the
通知を受けた利用者認証処理部122は、アンテナ部130を介して利用者識別情報の問い合わせを行い(ステップS403)、RFIDタグ付きカード310に対してコマンドを送信する(ステップS404)。
Upon receiving the notification, the user
RFIDタグ付きカード310は、自身が保持する利用者識別情報をアンテナ部130へ応答し(ステップS405)、利用者認証処理部122に通知される(ステップS406)。
The RFID-tagged
利用者識別情報を取得した利用者認証処理部122は、セキュリティチップ110の計算エンジン112に対して、受信した利用者識別情報のハッシュ値計算指示を行い(ステップS407)、セキュリティチップ110の計算エンジン112は利用者識別情報のハッシュ値計算を行い(ステップS408)、利用者認証処理部122に応答する(ステップS409)。
The user
利用者識別値を取得した利用者認証処理部122は、次に、メモリ部111に記憶されている利用者認証情報111bの読み出しを指示し(ステップS410)、メモリ部111は、自身が保持する利用者認証情報111bを利用者認証処理部122へ応答する(ステップS411)。
The user
利用者認証処理部122は、取得した利用者認証情報111bの復号化をセキュリティチップ110に指示し(ステップS412)、セキュリティチップ110は利用者識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、利用者認証情報111bの復号化を行い(ステップS413)、利用者認証処理部122に応答する(ステップS414)。
The user
利用者認証処理部122はアンテナ部130より受信した利用者識別値と、前記によりセキュリティチップ110により復号化した利用者識別値との比較を行い(ステップS415)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS416)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS417)。
The user
ステップS415において端末識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS418)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS419)、LANポート160(情報端末側162)を介したフレームの転送を行う(ステップS420)。
If the terminal identification values match in step S415, the
このように、第2の実施形態に係る利用者認証では、RFIDタグ付きカードを持つ利用者を認証し、ネットワークの接続制御を行うことができる。 As described above, in the user authentication according to the second embodiment, it is possible to authenticate a user having a card with an RFID tag and perform network connection control.
以上説明したように、端末認証もしくは利用者認証が失敗した場合には、PCが繋がるネットワークを物理層レベルで切断する。PCとネットワークとの通信が許可されている間であっても、制御部120は、RFIDタグが読み取り可能範囲内にあるか否かを定期的に調査する。利用者が席を離れるなどして、RFIDタグ付きカード310が読み取り可能範囲にないことを検出すると、通信制御部124が物理スイッチ170を使用してライン物理接続を制御し、PCとネットワークとの通信を物理層レベルで遮断する。従って、24時間常時接続利用者がPCオペレート時以外のネットワークよりの侵入、アタックをブロックしたい場合に有効である。
As described above, when terminal authentication or user authentication fails, the network to which the PC is connected is disconnected at the physical layer level. Even while communication between the PC and the network is permitted, the
第3の実施形態では、LAN上において通信させる情報端末間で認証ソケット装置をペアで配置することにより、通信相手が正当であるか否かを認証する実施形態について図9〜図13を用いて説明する。 In the third embodiment, an embodiment for authenticating whether or not a communication partner is valid by arranging authentication socket devices in pairs between information terminals to be communicated on a LAN will be described with reference to FIGS. 9 to 13. explain.
図9は、第3の実施形態に係る認証システムの概要を示す図である。同図に示すように、認証ソケット装置100をLANと送信側のPC200の間に配置し、認証ソケット装置500をLANと受信側のPC600の間に配置する構成をとり、認証ソケット装置100が発信した通信識別情報を認証ソケット装置500が受信し、認証ソケット装置間で認証を行うことにより通信相手が正当であるか否かを認証する。以下、この認証処理を「通信認証」と呼ぶ。
FIG. 9 is a diagram illustrating an outline of an authentication system according to the third embodiment. As shown in the figure, the
また、認証ソケット装置100には、端末識別情報を内部のメモリにあらかじめ記憶させることとし、特定のPC200に認証ソケット装置100を対応させるものとする。そして、ペアになるPCと認証ソケット装置との間で認証を行うことによりPCが正当であるか否かを認証する。
In the
第3の実施形態では、かかる認証ソケット装置には、端末識別情報のハッシュ値を暗号化して内部のメモリにあらかじめ記憶させる。これによりRFIDタグ210の識別情報の類推を防止し、セキュリティを向上することができる。
In the third embodiment, the authentication socket device encrypts the hash value of the terminal identification information and stores it in the internal memory in advance. Thereby, analogy of identification information of the
また、認証ソケット装置100には、利用者識別情報を内部のメモリにあらかじめ記憶させることとし、特定の利用者に認証ソケット装置100を対応させるものとする。そして、ペアになる利用者が持つデバイス300と認証ソケット装置100との間で認証を行うことにより利用者が正当であるか否かを認証する。
In the
第3の実施形態では、利用者識別情報を暗号化して内部のメモリにあらかじめ記憶させる。これにより利用者識別情報の漏洩を防止し、セキュリティを向上することができる。 In the third embodiment, user identification information is encrypted and stored in advance in an internal memory. Thereby, leakage of user identification information can be prevented and security can be improved.
図10は、第3の実施形態における認証ソケット装置100の構成を示す機能ブロック図である。認証ソケット装置100は、セキュリティチップ110と、制御部120と、アンテナ130と、USBコネクタ140と、PINパッド150と、LANポート160と、物理スイッチ170とを備えている。そして、セキュリティチップ110は、メモリ部111と、計算エンジン112とを備え、メモリ部111は端末認証情報111aと、利用者認証情報111bと、通信認証情報111cと、共通鍵111dとを備え、計算エンジン112は鍵生成エンジン112aと、乱数生成エンジン112bと、ハッシュ値計算エンジン112cとを備え、制御部120は、端末認証処理部121と、利用者認証処理部122と、通信認証処理部123と、通信制御部124とを備え、LANポート160は、LAN側ポート161と、情報端末側ポート162とを備えている。
FIG. 10 is a functional block diagram illustrating a configuration of the
セキュリティチップ110は、メモリ部111および計算エンジン112を有するハードウェアチップであり、第3の実施形態においても、第1の実施形態と同様にTPMを使用する。
The
メモリ部111は、セキュリティチップ110が備え、フラッシュメモリなどの不揮発性メモリによって構成されるメモリであり、端末認証情報111aと、利用者認証情報111bと、通信認証情報111cと、共通鍵111dを予め記憶している。
The
端末認証情報111aは、情報端末を認証し、特定するための一意の数字あるいは文字列といったIDであり、PC200に搭載されたRFIDタグ210が記憶する端末識別情報と対応している。
The
RFIDタグ210が記憶する端末識別情報の類推を防止するために、端末識別情報をセキュリティチップ110のハッシュ値計算エンジン112cによりハッシュ値計算したもの(端末識別値)を使用する。
In order to prevent analogy of the terminal identification information stored in the
端末識別値の漏洩を防止するために、端末識別値を、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したIDを端末認証情報111aとしてあらかじめ記憶しておくこととする。
In order to prevent leakage of the terminal identification value, the terminal identification value is encrypted using the public key generated by the
利用者認証情報111bは、利用者を特定するための一意の数字あるいは文字列といったIDであり、第3の実施形態ではPC200のMACアドレスと対応している。
The user authentication information 111b is an ID such as a unique number or character string for specifying the user, and corresponds to the MAC address of the
MACアドレスの類推を防止するために、セキュリティチップ110が備えるハッシュ値計算エンジン112cによってハッシュ値計算した値を利用者認証情報111bの作成に利用する。
In order to prevent analogization of the MAC address, the value calculated by the hash
利用者認証情報111bの漏洩を防止するために、ハッシュ化されたMACアドレスを、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したハッシュ化されたMACアドレスを利用者認証情報111bとしてあらかじめ記憶しておくこととする。
In order to prevent the leakage of the user authentication information 111b, the hashed MAC address is encrypted using the public key generated by the
通信認証情報111cは、通信相手に送信元機器の正当性を送付する情報であり、セキュリティチップ110の計算エンジン112から得られる乱数と、この乱数及び共通鍵111dから計算されるハッシュ値とからなる。通信認証情報111cは、通信の開始時点で計算されてメモリ部111に記憶されるが、通信が終了するとメモリ部111から消去される。
The
共通鍵111dは、通信相手間で共有される値であり、通信認証情報111cを生成する際に使用される。
The
制御部120は、PC200に搭載されているRFIDタグ210からアンテナ130を介して受信した端末識別情報に基づき端末認証処理を行い、USBコネクタ140を介して接続されるUSBトークン300から入力した利用者識別情報に基づき利用者認証処理を行い、LANポート160よりLAN400を介して接続される端末600との間に設置された認証ソケット装置500との間で通信認証処理を行うとともに、端末認証処理、利用者認証処理および通信認証処理結果に基づいて、PC200とネットワークをOSI参照モデルの物理層レベルで接続・切断処理を行う。
The
端末認証処理部121は、PC200に搭載されているRFIDタグ210から受信した剥離検知情報が存在するか否かの確認を行うことで、正当なRFIDタグの認証を行う。さらに、RFIDタグ210から受信した端末識別情報のハッシュ値が、メモリ部111の端末認証情報111aを復号化した値と一致しているか否かにより、認証ソケット装置100とペアとなるPC200を識別する処理を行う。
The terminal
具体的には、PC200に搭載されたRFIDタグ210にはタグごとに一意な識別情報が記憶されているため、本実施形態ではRFIDタグの識別情報を取得して、これを端末識別情報として利用する。また、認証対象PC200のRFIDタグ210が持つ端末識別情報をセキュリティチップ110が備えるハッシュ値計算エンジン112cによりハッシュ化した値を端末識別値とし、当該端末識別値をセキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵で暗号化して内部のメモリ部111にあらかじめ記憶している。
Specifically, since the
この端末認証処理部121は、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値が「0001」であり、メモリ部111から読み出した端末認証情報111aを、セキュリティチップ110によって端末識別値を暗号化したときに使用した公開鍵のペアとなる秘密鍵で復号し、復号した端末識別値も「0001」である場合には、PC200と認証ソケット100とが正当なペアであると判定する。
This terminal
また、PC200に搭載されたRFIDタグ210から受信した端末識別情報をハッシュ化した端末識別値とメモリ部111から読み出した端末認証情報111aを復号した端末識別値が異なる場合には認証ソケット100とペアになるPC200が不正であると判定することになる。
If the terminal identification value obtained by hashing the terminal identification information received from the
利用者認証処理部122は、USBコネクタ140を介してUSBトークン300から入力した利用者識別情報が、メモリ部111の利用者認証情報111bを復号した値と一致しているか否かによりペアとなる利用者を識別する処理を行う。
The user
具体的には、この利用者認証処理部122は、USBトークン300が認証ソケット装置100のUSBポート140に接続されたことを検出すると、USBトークン300の耐タンパ領域の活性化指示を行う。このとき、USBトークン300は自デバイス内の耐タンパな領域に格納された識別情報を読み出すために、暗証番号PINの入力を利用者認証処理部122に要求する。ここで、利用者認証処理部122は、利用者に対して、認証ソケット装置100に設けられたPINパッド150でのPINの入力を促す。
Specifically, when the user
利用者はPINパッド150を用いてPINを入力すると、利用者認証処理部122は、USBトークン300にPINを通知する。USBトークン300は通知されたPINを検証し、PINが正しいことが検証された場合に、USBトークン300内の耐タンパ領域に記憶されている暗号化された利用者識別情報を読み出す。
When the user inputs the PIN using the
利用者認証処理部122は、USBトークン300に暗号化された利用者識別情報の復号指示を行い、USBトークン300は自デバイスが持ち、利用者識別情報を暗号化したときに使用した公開鍵のペアとなる秘密鍵で、前述した利用者識別情報を復号する。
The user
また、利用者認証処理部122は、USBトークン300より得られた利用者識別情報と、メモリ部111から読み出した利用者認証情報111bをセキュリティチップ110の秘密鍵で復号して得られた利用者識別情報とを比較し、一致する場合にはUSBトークン300と認証ソケット100とが正当なペアであると判定する。また、上記によって得られた利用者識別情報とメモリ部111から読み出した利用者認証情報111bが異なる場合には認証ソケット100とペアになるUSBトークン300が不正であると判定する。
The user
通信認証処理部123は、LAN400を介してLANポート160より受信した通信が正当な相手からのものかを認証する処理部である。すなわち、送信側の認証ソケット装置から送信した通信識別情報が、受信側の認証ソケット装置が計算した通信識別情報と一致しているか否かにより通信元の認証ソケットを識別する処理を行う。
The communication
通信制御部124は、PC200とネットワーク、LAN400との通信を開始又は切断する処理部である。
The
具体的には、PC200とLAN400との通信が停止している状態のときに、端末認証処理部121から端末認証成功の指示を受け付け、利用者認証処理部122から利用者認証成功の指示を受け付けると、LAN400への接続を開始する。PC200とLAN400が通信状態のときに、端末認証処理部121から端末認証失敗の指示を受け付けるか又は利用者認証処理部122から利用者認証失敗の指示を受け付けると、PC200とLAN400との通信を、物理スイッチ170を使用した伝送線路を物理層レベルで切断する。さらに、PC200とLAN400が通信状態のときに、通信認証処理部123から通信認証失敗の指示を受け付けると、PC200とLAN400との通信を、物理スイッチ170を使用して物理層レベルで切断する。
Specifically, when communication between the
アンテナ部130は、PC200に搭載されたRFIDタグ210との通信を行うためのデバイスである。また、USBコネクタ140は、USBトークン300との通信を行うためのデバイスである。
The
USBコネクタ140は、USB規格に準拠したコネクタであり、USBトークン300を差込むためのコネクタである。
The
PINパッド150は、USBトークン300のPINを入力するためのデバイスであり、テンキーが設けられている。
The
LANポート160はOSI参照モデルのデータリンク層のフレームを送受信することができる通信ケーブルを繋ぐためのポートである。LAN側ポート161は認証ソケット装置100とLAN400との間でフレームを送受信するポートであり、情報端末側ポート162はPC200と認証ソケット装置100との間でフレームを送受信するポートである。
The
物理スイッチ170は、伝送線路をOSI参照モデルの物理層レベルで切断するスイッチであり、アナログスイッチを使用する。
The
ここで、上述した「通信認証」について図11〜図13を用いてさらに詳細に説明する。図11は、通信認証時に送信されるデータの概要を示した図であり、図12は、第3の実施形態に係る送信側認証ソケット装置の通信認証手順を示すシーケンス図であり、図13は、第3の実施形態に係る受信側認証ソケット装置の通信認証手順を示すシーケンス図である。また、認証ソケット装置100を送信側、認証ソケット装置500を受信側とし、それぞれの装置において、端末認証および利用者認証が完了しているものとする。
Here, the above-mentioned “communication authentication” will be described in more detail with reference to FIGS. FIG. 11 is a diagram illustrating an outline of data transmitted at the time of communication authentication, FIG. 12 is a sequence diagram illustrating a communication authentication procedure of the transmission-side authentication socket device according to the third embodiment, and FIG. FIG. 10 is a sequence diagram showing a communication authentication procedure of the receiving side authentication socket device according to the third embodiment. Further, it is assumed that the
端末認証および利用者認証が完了している状況下の図12で、PC200からLANへの接続要求をLANポート160(情報端末側162)を介して受信すると(ステップS501)、通信認証処理部123に対してLAN接続要求を通知する(ステップS502)。
When terminal authentication and user authentication are completed in FIG. 12, when a connection request to the LAN from the
通信認証処理部123はセキュリティチップ110の計算エンジン112に対して、乱数計算指示を行い(ステップS503)、セキュリティチップ110の計算エンジン112は乱数Mの計算を行い(ステップS504)、通信認証処理部123に応答する(ステップS505)。
The communication
通信認証処理部123は、次に、メモリ部111に記憶されている共通鍵111dの読み出しを指示し(ステップS506)、メモリ部111は、自身が保持する共通鍵111dを通信認証処理部123へ応答する(ステップS507)。以下、読み出した共通鍵111dをKとする。
Next, the communication
通信認証処理部123はセキュリティチップ110の計算エンジン112に対して、受信した共通鍵Kと生成した乱数Mの組を引数とするハッシュ値計算指示を行い(ステップS508)、セキュリティチップ110の計算エンジン112は共通鍵Kと乱数Mの組を引数とするハッシュ値計算を行い(ステップS509)、通信認証処理部123に応答する(ステップS510)。以下、ステップS510によって計算されたハッシュ値をh(M,K)とする。
The communication
通信認証処理部123は、乱数Mおよび上記により計算したハッシュ値h(M,K)を通信認証情報としてメモリ部111に記憶する(ステップS511)。
The communication
通信認証処理部123は、LANに送信するデータリンク層のフレームに通信識別情報を認証データとする認証ヘッダを付加してフレームを作成し(ステップS512)、通信制御部124に対して前記作成したフレームの転送指示を行う(ステップS513)。
The communication
指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS514)、LAN側ポート161にフレームの転送を行い(ステップS515)、LAN400に送信する(ステップS516)。
Upon receiving the instruction, the
図13で、認証ソケット装置500は、LAN400よりLANポート160(LAN側161)を介して、認証ソケット装置100から転送されたフレームを受信すると(ステップS601)、通信認証処理部123に対してフレームを送信する(ステップS602)。
In FIG. 13, when the
通信認証処理部123は受信したフレームから通信識別情報を取り出し、乱数Mとハッシュ値h(M,K)を抽出する(ステップS603)。
The communication
認証ソケット装置500は、次に、自装置(認証ソケット装置500)のメモリ部111に保有されている共通鍵111dの読み出しを指示し(ステップS604)、メモリ部111は、自身が保持する共通鍵111dを通信認証処理部123へ応答する(ステップS605)。この読み出した共通鍵は通信相手の認証ソケット装置(認証ソケット装置100)と同じ値となるため、共通鍵Kと表現できる。
Next, the
通信認証処理部123はセキュリティチップ110の計算エンジン112に対して、読み出した共通鍵Kと受信した乱数Mの組を引数とするハッシュ値計算指示を行い(ステップS606)、セキュリティチップ110の計算エンジン112は共通鍵Kと乱数Mの組を引数とするハッシュ値計算を行い(ステップS607)、通信認証処理部123に応答する(ステップS608)。以下、ステップS608によって計算されたハッシュ値をh´(M,K)とする。
The communication
通信認証処理部123は、受信したハッシュ値h(M,K)と、自装置(認証ソケット装置500)が計算したハッシュ値h´(M,K)を比較し(ステップS609)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS610)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS611)。
The communication
ステップS609においてハッシュ値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS612)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS613)、情報端末側ポート162にフレームの転送を行い(ステップS614)、PC600に送信する(ステップS615)。
If the hash values match in step S609, the
以上のような構成例をとることにより、LAN上の通信を保護すべき対象の情報端末間に認証ソケット装置を対にして配置するだけで、認証された通信のみを許可することができる。 By taking the configuration example as described above, only authenticated communication can be permitted only by arranging a pair of authentication socket devices between information terminals to be protected on LAN.
第4の実施形態では、端末識別情報を送信するデバイスに別デバイスを使用した場合について図14〜図17を用いて説明する。 In the fourth embodiment, a case where another device is used as a device that transmits terminal identification information will be described with reference to FIGS.
これまでの実施形態においては、端末識別情報を送信するデバイスとして剥離検知型のRFIDタグ210を使用し、認証ソケット装置100との間の端末認証を、アンテナ130を介して行うこととしたが、これに限らず、他のデバイスを用いることとしてもよい。第4の実施形態ではこの剥離検知型RFIDタグの代わりに、予めマザーボードにTPMを搭載したPCを使用し、当該TPM220を搭載したPC200と認証ソケット装置100の間でLANポート160を介して端末認証を行うこととする。TPM220はPC200の構成情報の計測値を使用して、PC200のハードウェア的およびソフトウェア的な改ざんを検知可能なため、セキュリティを向上することができる。
In the previous embodiments, the peeling detection
図14は、第4の実施形態に係る認証システムの概要を示す図である。同図に示すように、第4の実施形態では、認証ソケット装置100と、端末識別情報を記憶するTPM220を有し、認証ソケット装置100に対し端末識別情報を送信するPC200と、認証ソケット装置100に対し利用者識別情報を入力するUSBトークン300とを用いて認証処理を行う。
FIG. 14 is a diagram showing an outline of an authentication system according to the fourth embodiment. As shown in the figure, in the fourth embodiment, there is an
また、かかる認証ソケット装置100には、端末識別情報を内部のメモリにあらかじめ記憶させることとし、特定のPC200に認証ソケット装置100を対応させるものとする。そして、ペアになるPCと認証ソケット装置との間で認証を行うことによりPCが正当であるか否かを認証する。
Further, in the
第4の実施形態では、かかる認証ソケット装置には、端末識別情報を暗号化して内部のメモリにあらかじめ記憶させる。これにより端末識別情報の漏洩を防止し、セキュリティを向上することができる。 In the fourth embodiment, the authentication socket device encrypts terminal identification information and stores it in an internal memory in advance. Thereby, leakage of terminal identification information can be prevented and security can be improved.
また、認証ソケット装置100には、利用者識別情報を内部のメモリにあらかじめ記憶させることとし、特定の利用者に認証ソケット装置100を対応させるものとする。そして、ペアになる利用者が持つUSBトークン300と認証ソケット装置100との間で認証を行うことにより利用者が正当であるか否かを認証する。
In the
第4の実施形態では、かかる認証ソケット装置には、利用者識別情報を暗号化して内部のメモリにあらかじめ記憶させる。これにより利用者識別情報の漏洩を防止し、セキュリティを向上することができる。 In the fourth embodiment, the authentication socket device encrypts the user identification information and stores it in the internal memory in advance. Thereby, leakage of user identification information can be prevented and security can be improved.
図15は、第4の実施形態における認証ソケット装置100の構成を示す機能ブロック図である。認証ソケット装置100は、セキュリティチップ110と、制御部120と、USBコネクタ140と、PINパッド150と、LANポート160と、物理スイッチ170とを備えている。そして、セキュリティチップ110は、メモリ部111と、計算エンジン112とを備え、メモリ部111は端末認証情報111aと、利用者認証情報111bとを備え、計算エンジン112は鍵生成エンジン112aと、乱数生成エンジン112bと、ハッシュ値計算エンジン112cとを備え、制御部120は、端末認証処理部121と、利用者認証処理部122と、通信制御部124とを備え、LANポート160は、LAN側ポート161と、情報端末側ポート162とを備えている。
FIG. 15 is a functional block diagram illustrating a configuration of the
セキュリティチップ110は、メモリ部111および計算エンジン112を有するハードウェアチップであり、第4の実施形態においても、第1の実施形態と同様にTPMを使用する。
The
メモリ部111は、セキュリティチップ110が備え、フラッシュメモリなどの不揮発性メモリによって構成されるメモリであり、端末認証情報111aと、利用者認証情報111bを予め記憶している。
The
端末認証情報111aは、情報端末を認証し、特定するための一意の数字あるいは文字列といったIDであり、PC200から送信される端末識別情報と対応している。当該端末識別情報としては、PC200に搭載されたTPM220が記憶するPCR(Platform Configuration Registers)値を使用する。PCR値とは、PC200の起動時にOSによって計測されるPC200の構成情報をTPM220がハッシュ値計算した値であり、PC200の完全性を保証するものである。また、当該PCR値はTPM220の耐タンパな領域に記憶され、不正な読み取りが不可能となっている。
The
端末識別情報の漏洩を防止するために、端末識別情報(PCR値)を、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化した端末識別情報を端末認証情報111aとしてあらかじめ記憶しておくこととする。
In order to prevent leakage of the terminal identification information, the terminal identification information (PCR value) is encrypted using the public key generated by the
利用者認証情報111bは、利用者を特定するための一意の数字あるいは文字列といったIDであり、第4の実施形態ではPC200のMACアドレスと対応している。
The user authentication information 111b is an ID such as a unique number or a character string for specifying the user, and corresponds to the MAC address of the
MACアドレスの類推を防止するために、セキュリティチップ110が備えるハッシュ値計算エンジン112cによってハッシュ値計算した値を利用者認証情報111bの作成に利用する。
In order to prevent analogization of the MAC address, the value calculated by the hash
利用者認証情報111bの漏洩を防止するために、ハッシュ化されたMACアドレスを、セキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵を用いて暗号化し、暗号化したハッシュ化されたMACアドレスを利用者認証情報111bとしてあらかじめ記憶しておくこととする。
In order to prevent the leakage of the user authentication information 111b, the hashed MAC address is encrypted using the public key generated by the
制御部120は、PC200からLANポート160を介して受信した端末識別情報に基づき端末認証処理を行い、USBコネクタ140を介して接続されるUSBトークン300から入力した利用者識別情報に基づき利用者認証処理を行い、端末認証処理、利用者認証処理結果に基づいて、PC200とネットワークをOSI参照モデルの物理層レベルで接続・切断処理を行う。
The
端末認証処理部121は、PC200から受信した端末識別情報が、メモリ部111の端末認証情報111aを復号化した値と一致しているか否かにより、認証ソケット装置100とペアとなるPC200を識別する処理を行う。
The terminal
具体的には、PC200に搭載されたTPM220にはPCごとに一意な識別情報(PCR値)が記憶されているため、本実施形態ではTPM220のPCR値を取得して、これを端末識別情報として利用する。また、認証対象PC200のTPM220が持つPCR値をセキュリティチップ110が備える鍵生成エンジン112aによって生成した公開鍵で暗号化して内部のメモリ部111にあらかじめ記憶している。
Specifically, since the
この端末認証処理部121は、PC200から受信した端末識別情報(PCR値)と、メモリ部111から読み出した端末認証情報111aを、セキュリティチップ110によってPCR値を暗号化したときに使用した公開鍵のペアとなる秘密鍵で復号して得られた端末識別情報とを比較し、一致する場合にはPC200と認証ソケット100とが正当なペアであると判定する。
The terminal
また、上記によって得られた端末識別情報とメモリ部111から読み出した端末認証情報111aを復号した端末識別情報が異なる場合には認証ソケット100とペアになるPC200が不正であると判定することになる。
If the terminal identification information obtained as described above is different from the terminal identification information obtained by decrypting the
利用者認証処理部122は、USBコネクタ140を介してUSBトークン300から入力した利用者識別情報が、メモリ部111の利用者認証情報111bを復号した値と一致しているか否かによりペアとなる利用者を識別する処理を行う。
The user
具体的には、この利用者認証処理部122は、USBトークン300が認証ソケット装置100のUSBポート140に接続されたことを検出すると、USBトークン300の耐タンパ領域の活性化指示を行う。このとき、USBトークン300は自デバイス内の耐タンパな領域に格納された識別情報を読み出すために、暗証番号PINコードの入力を利用者認証処理部122に要求する。ここで、利用者認証処理部122は、利用者に対して、認証ソケット装置100に設けられたPINパッド150でのPINの入力を促す。
Specifically, when the user
利用者はPINパッド150を用いてPINを入力すると、利用者認証処理部122は、USBトークン300にPINを通知する。USBトークン300は通知されたPINを検証し、PINが正しいことが検証された場合に、USBトークン300内の耐タンパ領域に記憶されている暗号化された利用者識別情報を読み出す。
When the user inputs the PIN using the
利用者認証処理部122は、USBトークン300に暗号化された利用者識別情報の復号指示を行い、USBトークン300は自デバイスが持ち、利用者識別情報を暗号化したときに使用した公開鍵のペアとなる秘密鍵で、前述した利用者識別情報を復号する。
The user
また、利用者認証処理部122は、USBトークン300より得られた利用者識別情報と、メモリ部111から読み出した利用者認証情報111bをセキュリティチップ110の秘密鍵で復号して得られた利用者識別情報とを比較し、一致する場合にはUSBトークン300と認証ソケット100とが正当なペアであると判定する。また、上記によって得られた利用者識別情報とメモリ部111から読み出した利用者認証情報111bが異なる場合には認証ソケット100とペアになるUSBトークン300が不正であると判定する。
The user
通信制御部124は、PC200とネットワーク、LAN400との通信を開始又は切断する処理部である。
The
具体的には、PC200とLAN400との通信が停止している状態のときに、端末認証処理部121から端末認証成功の指示を受け付け、利用者認証処理部122から利用者認証成功の指示を受け付けると、LAN400への接続を開始する。PC200とLAN400が通信状態のときに、端末認証処理部121から端末認証失敗の指示を受け付けるか又は利用者認証処理部122から利用者認証失敗の指示を受け付けると、PC200とLAN400との通信を、物理スイッチ170を使用して物理層レベルで切断する。
Specifically, when communication between the
USBコネクタ140は、USB規格に準拠したコネクタであり、USBトークン300を差込むためのコネクタである。
The
PINパッド150は、USBトークン300のPINを入力するためのデバイスであり、テンキーが設けられている。
The
LANポート160はOSI参照モデルのデータリンク層のフレームを送受信することができる通信ケーブルを繋ぐためのポートである。LAN側ポート161は認証ソケット装置100とLAN400との間でフレームを送受信するポートであり、情報端末側ポート162はPC200と認証ソケット装置100との間でフレームを送受信するポートである。
The
物理スイッチ170は、通信をOSI参照モデルの物理層レベルで切断するスイッチであり、アナログスイッチを使用する。
The
次に、第4の実施形態に係る認証ソケット装置100で行われる端末認証処理手順について図16を用いて説明する。ここで、あらかじめメモリ部111には端末認証情報111aが記憶されている。
Next, a terminal authentication processing procedure performed by the
図16は、認証ソケット装置100の端末認証手順を示すシーケンス図である。同図に示すように、認証ソケット装置100が接続されたPC200において、PC200が起動されると(ステップS701)、TPM220はPC200のハードウェアやソフトウェアの構成情報を取得する(ステップS702)。
FIG. 16 is a sequence diagram illustrating a terminal authentication procedure of the
TPM220は取得した構成情報のハッシュ値計算を行い、TPM220内のPCRに格納する(ステップS703)。
The
PC200はTPM220よりPCR値を取得し(ステップS704)、当該PCR値を端末識別情報として、LANポート160(情報端末側162)を介して送信を行い(ステップS705)、端末認証処理部121に端末識別情報を送信する(ステップS706)。
The
端末識別情報を取得した端末認証処理部121は、次に、メモリ部111に記憶されている端末認証情報111aの読み出しを指示し(ステップS707)、メモリ部111は、自身が保持する端末認証情報111aを端末認証処理部121へ応答する(ステップS708)。
The terminal
端末認証処理部121は、取得した端末認証情報111aの復号化をセキュリティチップ110に指示し(ステップS709)、セキュリティチップ110は端末識別情報を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、端末認証情報111aの復号化を行い(ステップS710)、端末認証処理部121に応答する(ステップS711)。
The terminal
端末認証処理部121はPC200より受信した端末識別情報と、前記によりセキュリティチップ110により復号化した端末識別情報との比較を行い(ステップS712)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS713)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS714)。
The terminal
ステップS712において端末識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS715)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS716)、LANポート160(情報端末側162)を介したフレームの転送を開始する(ステップS717)。
If the terminal identification values match in step S712, the
このように、第4の実施形態に係る端末認証では、TPMを備えたPCを認証し、ネットワークの接続制御を行うことができる。 As described above, in terminal authentication according to the fourth embodiment, a PC having a TPM can be authenticated and network connection control can be performed.
次に、第4の実施形態に係る認証ソケット装置100で行われる利用者認証処理手順について図17を用いて説明する。ここで、あらかじめメモリ部111には利用者認証情報111bが記憶されている。
Next, a user authentication processing procedure performed by the
図17は、認証ソケット装置100の利用者認証手順を示すシーケンス図である。同図に示すように、利用者が認証ソケット装置100のUSBコネクタ140にUSBトークン300を差し込むと(ステップS801)、利用者認証処理部122に対してUSBトークン300を認識した旨を通知する(ステップS802)。
FIG. 17 is a sequence diagram illustrating a user authentication procedure of the
通知を受けた利用者認証処理部122はUSBトークン300の耐タンパ領域を活性化するために、PIN入力指示をPINパッド150に通知し、PIN入力待ち状態となる(ステップS803)。
Upon receiving the notification, the user
利用者がPINパッド150を用いてPINを入力すると(ステップS804)、利用者認証処理部122は入力されたPINをもとにUSBトークン300に通知し耐タンパ領域を活性化する(ステップS805)。
When the user inputs a PIN using the PIN pad 150 (step S804), the user
USBトークン300はPINの照合が取れると、自身が保持する利用者識別情報を利用者認証処理部122へ応答する(ステップS806)。
When the
利用者認証処理部122は、取得した利用者識別情報の復号化をUSBトークン300に指示し(ステップS807)、USBトークン300は利用者識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、利用者識別情報の復号化を行い(ステップS808)、利用者認証処理部122に応答する(ステップS809)。
The user
利用者識別値を取得した利用者認証処理部122は、次に、メモリ部111に記憶されている利用者認証情報111bの読み出しを指示し(ステップS810)、メモリ部111は、自身が保持する利用者認証情報111bを利用者認証処理部122へ応答する(ステップS811)。
The user
利用者認証処理部122は、取得した利用者認証情報111bの復号化をセキュリティチップ110に指示し(ステップS812)、セキュリティチップ110は利用者識別値を暗号化したときに使用した公開鍵とペアになる秘密鍵を使用して、利用者認証情報111bの復号化を行い(ステップS813)、利用者認証処理部122に応答する(ステップS814)。
The user
利用者認証処理部122はUSBトークン300より復号して得られた利用者識別値と、前記によりセキュリティチップ110により復号化した利用者識別値との比較を行い(ステップS815)、両者が一致していなければ通信制御部124にネットワークの物理切断を指示し(ステップS816)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理切断を行う(ステップS817)。
The user
ステップS815において利用者識別値が一致していれば、通信制御部124にネットワークの物理接続指示を行い(ステップS818)、指示を受けた通信制御部124は、物理スイッチ170を使用してライン物理接続を行い(ステップS819)、LANポート160(情報端末側162)を介したフレームの転送を行う(ステップS820)。
If the user identification values match in step S815, the
このように、第4の実施形態に係る利用者認証では、正当なUSBトークンを持つ利用者を認証し、ネットワークの接続制御を行うことができる。 As described above, in the user authentication according to the fourth embodiment, a user having a valid USB token can be authenticated, and network connection control can be performed.
以上説明したように、端末認証もしくは利用者認証が失敗した場合には、PCが繋がるネットワークを物理層レベルで切断する。これは、ハードウェア構成やソフトウェア構成等PC200の構成情報に変動があった場合、端末認証が失敗することによりネットワークが物理層レベルで切断されることを意味する。これにより、許可していないハードウェアやソフトウェアを搭載しているPCのネットワークへのアクセスを遮断することができる。
As described above, when terminal authentication or user authentication fails, the network to which the PC is connected is disconnected at the physical layer level. This means that when there is a change in the configuration information of the
以上のように、本発明に係る認証システムおよび認証ソケット装置は、PCなどからの情報漏洩防止に有用であり、特に大掛かりな認証システムを導入したくない環境において認証処理を簡易に導入したい場合に適している。
As described above, the authentication system and the authentication socket device according to the present invention are useful for preventing information leakage from a PC or the like, and particularly when it is desired to easily introduce authentication processing in an environment where a large-scale authentication system is not desired to be introduced. Is suitable.
100 認証ソケット装置
110 セキュリティチップ
111 メモリ部
111a 端末認証情報
111b 利用者認証情報
111c 通信認証情報
111d 共通鍵
112 計算エンジン
112a 鍵生成エンジン
112b 乱数生成エンジン
112c ハッシュ値計算エンジン
120 制御部
121 端末認証処理部
122 利用者認証処理部
123 通信認証処理部
124 通信制御部
130 アンテナ
140 USBコネクタ
150 PINパッド
160 LANポート
161 LAN側ポート
162 情報端末側ポート
200 PC
210 RFIDタグ
220 TPM
300 USBトークン
310 RFID付きカード
400 LAN
500 認証ソケット装置
550 PINパッド
600 PC
610 RFIDタグ
700 USBトークン
DESCRIPTION OF
210
300
500
610
Claims (19)
前記情報端末の識別情報である端末識別情報を格納する端末識別情報記憶手段と、
前記情報端末と前記ネットワークとの間に接続される認証ソケット装置と、
前記情報端末の利用者の識別情報である利用者識別情報を格納するメモリと、前記認証ソケット装置に前記利用者識別情報を送信しうる送信回路を有するセキュリティトークンと、
を備え、さらに、
前記認証ソケット装置は、前記端末識別情報記憶手段から前記端末識別情報を受信するとともに該受信した前記端末識別情報に基づいて前記情報端末を認証し、更に、前記セキュリティトークンから前記利用者識別情報を受信するとともに該受信した前記利用者識別情報に基づいて前記セキュリティトークンを認証するように構成され、
前記認証システムは、前記情報端末および/または前記セキュリティトークンについての前記認証処理の結果に基づいて、前記情報端末と前記ネットワークとの間の通信を制御する制御手段を備える、認証システム。 An authentication system for authenticating an information terminal and a user of the information terminal,
Terminal identification information storage means for storing terminal identification information which is identification information of the information terminal;
An authentication socket device connected between the information terminal and the network;
A memory storing user identification information which is identification information of a user of the information terminal, a security token having a transmission circuit capable of transmitting the user identification information to the authentication socket device,
In addition,
The authentication socket device receives the terminal identification information from the terminal identification information storage means, authenticates the information terminal based on the received terminal identification information, and further acquires the user identification information from the security token. Configured to receive and authenticate the security token based on the received user identification information;
The authentication system includes a control unit that controls communication between the information terminal and the network based on a result of the authentication process for the information terminal and / or the security token.
前記セキュリティトークンは、前記送信された前記第2の利用者認証情報が正当なものである場合に、前記端末識別情報を前記認証ソケット装置に送信するように構成される、
請求項1から8のいずれかに記載の認証システム。 The authentication socket device further includes user input means, and is configured to transmit second user authentication information input by the user input means to the security token,
The security token is configured to transmit the terminal identification information to the authentication socket device when the transmitted second user authentication information is valid.
The authentication system according to claim 1.
前記認証ソケット装置は、前記RFIDタグから受信した前記剥離検知情報に基づいて前記情報端末を認証するように構成される、請求項11に記載の認証システム。 The RFID tag is a peeling detection type RFID tag, and is configured to store peeling detection information in a memory in the RFID tag when peeled from the information terminal, and the peeling detection information is stored in the authentication socket device. Configured to be able to send to
The authentication system according to claim 11, wherein the authentication socket device is configured to authenticate the information terminal based on the peeling detection information received from the RFID tag.
前記認証ソケット装置の受信手段が、前記情報端末の識別情報である端末識別情報を、前記情報端末から受信する第1ステップと、
前記認証ソケット装置の処理手段が、前記受信した端末識別情報と、前記認証ソケット装置に格納されている情報とを比較することにより、前記情報端末を認証する第2ステップと、
前記認証ソケット装置の処理手段が、前記利用者の識別情報である利用者識別情報を格納するセキュリティトークンを認識する第3ステップと、
前記認証ソケット装置の受信手段が、前記利用者識別情報を前記セキュリティトークンから受信する第4ステップと、
前記認証ソケット装置の処理手段が、前記受信した利用者識別情報と、前記認証ソケット装置に予め格納されている情報とを比較することにより、前記セキュリティトークンを認証する第5ステップと、
前記認証ソケット装置の処理手段が、前記情報端末および/または前記セキュリティトークンの認証結果に基づいて、前記情報端末と前記ネットワークとの通信を許可又は不許可する第6ステップと、
を有する認証方法。 An authentication method for authenticating the information terminal and a user of the information terminal using an authentication socket device connected between the information terminal and a network, and a security token communicable with the authentication socket device,
A first step in which receiving means of the authentication socket device receives terminal identification information, which is identification information of the information terminal, from the information terminal;
A second step in which the processing means of the authentication socket device authenticates the information terminal by comparing the received terminal identification information with information stored in the authentication socket device;
A third step in which the processing means of the authentication socket device recognizes a security token storing user identification information which is identification information of the user;
A fourth step in which the receiving means of the authentication socket device receives the user identification information from the security token;
A fifth step in which the processing means of the authentication socket device authenticates the security token by comparing the received user identification information with information stored in advance in the authentication socket device;
A sixth step in which processing means of the authentication socket device permits or disallows communication between the information terminal and the network based on an authentication result of the information terminal and / or the security token;
An authentication method.
前記情報端末の識別情報である端末識別情報を格納する端末識別情報記憶手段と通信する手段と、
前記端末識別情報記憶手段から前記端末識別情報を受信する手段と、
前記情報端末の利用者の識別情報である利用者識別情報を格納するセキュリティトークンと通信する手段と、
前記セキュリティトークンから前記利用者識別情報を受信する手段と、
前記受信した前記端末識別情報を前記認証ソケット装置内に予め格納されている情報と比較することにより、前記情報端末を認証する手段と、
前記受信した前記利用者識別情報を前記認証ソケット装置内に予め格納されている情報と比較することにより、前記セキュリティトークンを認証する手段と、
を備え、前記情報端末および/または前記セキュリティトークンの認証結果に基づいて、前記情報端末と前記ネットワークとの通信を許可又は不許可するように構成される、認証ソケット装置。 An authentication socket device connected between an information terminal and a network, for authenticating the information terminal and a user of the information terminal,
Means for communicating with terminal identification information storage means for storing terminal identification information which is identification information of the information terminal;
Means for receiving the terminal identification information from the terminal identification information storage means;
Means for communicating with a security token storing user identification information which is identification information of a user of the information terminal;
Means for receiving the user identification information from the security token;
Means for authenticating the information terminal by comparing the received terminal identification information with information prestored in the authentication socket device;
Means for authenticating the security token by comparing the received user identification information with information pre-stored in the authentication socket device;
And an authentication socket device configured to allow or disallow communication between the information terminal and the network based on an authentication result of the information terminal and / or the security token.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007142746A JP2008299457A (en) | 2007-05-30 | 2007-05-30 | Authentication system, authentication method, and authentication socket device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007142746A JP2008299457A (en) | 2007-05-30 | 2007-05-30 | Authentication system, authentication method, and authentication socket device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008299457A true JP2008299457A (en) | 2008-12-11 |
Family
ID=40172955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007142746A Pending JP2008299457A (en) | 2007-05-30 | 2007-05-30 | Authentication system, authentication method, and authentication socket device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008299457A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010068073A2 (en) * | 2008-12-12 | 2010-06-17 | (주)이바이언 | Method for providing service using device-identification data, device for same, and computer-readable medium on which program for same is recorded |
EP2383674A1 (en) * | 2010-04-30 | 2011-11-02 | S2Mi | Secured and/or securing removable device, corresponding server and method for locking a computer entity |
JP2012524479A (en) * | 2009-04-15 | 2012-10-11 | インターデイジタル パテント ホールディングス インコーポレイテッド | Device justification and / or authentication for communication with the network |
WO2015068304A1 (en) * | 2013-11-11 | 2015-05-14 | 三菱電機株式会社 | Access-level control device |
US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
JP2020510901A (en) * | 2017-01-26 | 2020-04-09 | ウエストマイヤー,ポール | Cyber retro reflector technology |
CN111479976A (en) * | 2017-12-14 | 2020-07-31 | 松下知识产权经营株式会社 | Determination system, electronic lock control system, door with electronic lock, determination method, and program |
WO2022176023A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Remote approval control system, resource access device, authentication device, remote approval control method, and program |
-
2007
- 2007-05-30 JP JP2007142746A patent/JP2008299457A/en active Pending
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010068073A2 (en) * | 2008-12-12 | 2010-06-17 | (주)이바이언 | Method for providing service using device-identification data, device for same, and computer-readable medium on which program for same is recorded |
WO2010068073A3 (en) * | 2008-12-12 | 2010-09-10 | (주)이바이언 | Method for providing service using device-identification data, device for same, and computer-readable medium on which program for same is recorded |
JP2012524479A (en) * | 2009-04-15 | 2012-10-11 | インターデイジタル パテント ホールディングス インコーポレイテッド | Device justification and / or authentication for communication with the network |
US8701205B2 (en) | 2009-04-15 | 2014-04-15 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with network |
EP2383674A1 (en) * | 2010-04-30 | 2011-11-02 | S2Mi | Secured and/or securing removable device, corresponding server and method for locking a computer entity |
FR2959577A1 (en) * | 2010-04-30 | 2011-11-04 | S2Mi | SECURE AND / OR SECURITY REMOVABLE DEVICE, SERVER, AND METHOD FOR LOCKING CORRESPONDING COMPUTER ENTITY |
CN105723289A (en) * | 2013-11-11 | 2016-06-29 | 三菱电机株式会社 | Access-level control device |
JP5752325B1 (en) * | 2013-11-11 | 2015-07-22 | 三菱電機株式会社 | Access level control device |
WO2015068304A1 (en) * | 2013-11-11 | 2015-05-14 | 三菱電機株式会社 | Access-level control device |
CN105723289B (en) * | 2013-11-11 | 2017-12-12 | 三菱电机株式会社 | Access level control device |
US9904276B2 (en) | 2013-11-11 | 2018-02-27 | Mitsubishi Electric Corporation | Access-level control apparatus |
US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
JP2020510901A (en) * | 2017-01-26 | 2020-04-09 | ウエストマイヤー,ポール | Cyber retro reflector technology |
JP7208904B2 (en) | 2017-01-26 | 2023-01-19 | ウエストマイヤー,ポール | Cyber retroreflector technology |
CN111479976A (en) * | 2017-12-14 | 2020-07-31 | 松下知识产权经营株式会社 | Determination system, electronic lock control system, door with electronic lock, determination method, and program |
WO2022176023A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Remote approval control system, resource access device, authentication device, remote approval control method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101958909B1 (en) | Method of using one device to unlock another device | |
CN102215221B (en) | Methods and systems for secure remote wake, boot, and login to a computer from a mobile device | |
JP4803145B2 (en) | Key sharing method and key distribution system | |
JP2008299457A (en) | Authentication system, authentication method, and authentication socket device | |
WO2005091149A1 (en) | Backup device, backed-up device, backup intermediation device, backup system, backup method, data restoration method, program, and recording medium | |
CN102119542A (en) | Portable device association | |
US8990887B2 (en) | Secure mechanisms to enable mobile device communication with a security panel | |
CN111052674A (en) | Communication control system and communication control device | |
JP4833745B2 (en) | Data protection method for sensor node, computer system for distributing sensor node, and sensor node | |
US11178137B2 (en) | System for IoT devices communicating with server using a tentative common key | |
US20230299981A1 (en) | Method and System for Authentication of a Computing Device | |
JP5937545B2 (en) | Mobile terminal, server device, information terminal, and shared terminal management system | |
JP6479724B2 (en) | Secret key synchronization system, user terminal, and secret key synchronization method | |
JP4018584B2 (en) | Wireless connection device authentication method and wireless connection device | |
JP2006268228A (en) | Authentication system using biological information | |
JP5545433B2 (en) | Portable electronic device and operation control method for portable electronic device | |
KR20100074698A (en) | System for authenticating user web site and method therefor | |
KR101719063B1 (en) | System and method for controlling device | |
KR101490638B1 (en) | Method of authenticating smart card, server performing the same and system performint the same | |
US20220407843A1 (en) | Communication system and communication method | |
US20040225709A1 (en) | Automatically configuring security system | |
RU2274899C2 (en) | Portable device and method for accessing device activated by key data | |
KR101804972B1 (en) | A mobile communication device authentication system and method thereof | |
TWI633231B (en) | Smart lock and smart lock control method | |
CN115426109A (en) | Encryption mobile storage system with access control function |