JP2009122921A - Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program - Google Patents

Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program Download PDF

Info

Publication number
JP2009122921A
JP2009122921A JP2007295693A JP2007295693A JP2009122921A JP 2009122921 A JP2009122921 A JP 2009122921A JP 2007295693 A JP2007295693 A JP 2007295693A JP 2007295693 A JP2007295693 A JP 2007295693A JP 2009122921 A JP2009122921 A JP 2009122921A
Authority
JP
Japan
Prior art keywords
access
authentication
authentication information
processing server
access terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007295693A
Other languages
Japanese (ja)
Inventor
Kazuo Ishida
和生 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007295693A priority Critical patent/JP2009122921A/en
Publication of JP2009122921A publication Critical patent/JP2009122921A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To perform remote access to an information processing server having an optional authentication system by safely inputting authentication information even under an unreliable environment. <P>SOLUTION: This authentication information transmission system for transmitting authentication information to an information processing server being the object of remote access is provided with: a terminal for access for remotely performing access to an information processing server; equipment for authentication configured to input authentication information, and not equipped with any key logger; and a remote access management device having an auxiliary communication means for acquiring the authentication information from the equipment for authentication, and a main communication means for relaying data to be communicated between the terminal for access and the information processing server, and for converting the authentication information acquired by the auxiliary communication means into the same format of data received from the terminal for access, and for transmitting the converted authentication information to the information processing server. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、認証用機器で入力された認証情報を、リモートアクセス対象の情報処理サーバに送信する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムに関する。   The present invention relates to an authentication information transmission system, a remote access management device, an authentication information relay method, and an authentication information relay program for transmitting authentication information input by an authentication device to an information processing server to be remotely accessed.

モバイル機器とモバイルネットワークの普及により、社外のモバイルネットワークなどの外部ネットワークから社内のイントラネットにアクセスする機会が増えてきている。このとき、業務に必要なデータやプログラムなどをモバイル機器内に蓄積していると、モバイル機器を紛失したときに情報漏洩の危険性があるため、業務に必要なものは全てイントラネット内のメールサーバやファイルサーバなどの情報処理サーバにおいておき、外部ネットワークからそれらにアクセスするリモートアクセスを用いる手法が広まってきている。   With the spread of mobile devices and mobile networks, opportunities to access the company intranet from external networks such as external mobile networks are increasing. At this time, if data and programs necessary for work are stored in the mobile device, there is a risk of information leakage if the mobile device is lost, so everything necessary for the work is a mail server in the intranet. In an information processing server such as a file server or a file server, a method using remote access for accessing them from an external network has become widespread.

このような、リモートアクセスには、WWW(World Wide Web)ブラウザを用いる方法や、画面転送型のシンクライアントを用いる方法が広く用いられている。   For such remote access, a method using a WWW (World Wide Web) browser and a method using a screen transfer type thin client are widely used.

しかし、イントラネット内の情報処理サーバにリモートアクセスする際に利用するアクセス用端末は、インターネットカフェなど公共の場に備えられているPC(Personal Computer)であることも珍しくなく、そのようなアクセス用端末にはキーロガーなどの悪意のあるプログラムが備えられている可能性がある。そのため、リモートアクセス対象の情報処理サーバから、アクセス用端末からのリモートアクセスを認証するリモートアクセス認証に用いる、アクセス用端末を使用しているユーザを証明する認証情報を要求された際に、アクセス用端末から認証情報の入力をおこなうと、キーロガーにより認証情報を盗まれる危険性がある。   However, it is not uncommon for an access terminal used for remote access to an information processing server in an intranet to be a PC (Personal Computer) provided in a public place such as an Internet cafe. May have malicious programs such as keyloggers. Therefore, when the information processing server for remote access requests authentication information for certifying the user using the access terminal, which is used for remote access authentication for authenticating remote access from the access terminal, When authentication information is input from a terminal, there is a risk that the authentication information is stolen by a key logger.

このような危険性を避けるために、IC(Integrated Circuit)カードやUSB(Universal Serial Bus)メモリなどに、認証情報を記憶した本人認証装置を用いてリモートアクセス認証をおこなう認証方式が存在している。   In order to avoid such a risk, there is an authentication method for performing remote access authentication using a personal authentication device storing authentication information in an IC (Integrated Circuit) card or a USB (Universal Serial Bus) memory. .

例えば、特許文献1には、リモートアクセスに際して、アクセス用端末に接続された本人認証装置を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献1では、リモートアクセス認証をおこなうにあたり、アクセス用端末に本人認証装置を接続し、主認証装置にリモートアクセス認証を要求する。主認証装置は、アクセス用端末を介して、本人認証装置から認証情報を取得し、取得した認証情報を用いて本人認証装置からのリモートアクセス認証をおこない、本人認証装置が接続されているアクセス用端末からのリモートアクセスの可否を判定する。   For example, Patent Document 1 describes a technique for performing remote access authentication using a personal authentication device connected to an access terminal during remote access. In this patent document 1, when performing remote access authentication, a personal authentication device is connected to an access terminal, and remote access authentication is requested from a main authentication device. The main authentication device acquires authentication information from the personal authentication device via the access terminal, performs remote access authentication from the personal authentication device using the acquired authentication information, and is used for access to which the personal authentication device is connected. Determines whether remote access from the terminal is possible.

また、特許文献2には、リモートアクセスに際して、ユーザが保持する携帯端末機器を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献2では、アクセス用端末と情報処理サーバ間で通信されるデータをプロキシサーバの要領で中継する中継装置が存在する。アクセス用端末から情報処理サーバへのリモートアクセスに際し、中継装置は、携帯端末機器に認証情報の入力を要求し、携帯端末機器から送信されてきた認証情報を用いて情報処理サーバにリモートアクセスを要求し、情報処理サーバから送信されてきたリモートアクセス認証の結果をアクセス用端末に送信する。
特開2004−023166号公報 特開2006−202052号公報 Patent Document 2 describes a technique for performing remote access authentication using a mobile terminal device held by a user during remote access. In Patent Document 2, there is a relay device that relays data communicated between an access terminal and an information processing server in the manner of a proxy server. During remote access from the access terminal to the information processing server, the relay device requests input of authentication information from the mobile terminal device, and requests remote access from the information processing server using the authentication information transmitted from the mobile terminal device. The remote access authentication result transmitted from the information processing server is transmitted to the access terminal.
JP 2004-023166 A JP 2006-202052 A

しかしながら、特許文献1に記載されているような、リモートアクセス認証にICカードなどの本人認証装置を用いる技術には、本人認証装置を用いた認証方式に対応していない情報処理サーバが存在すると、その情報処理サーバへのリモートアクセスの際には、アクセス用端末から認証情報の入力をおこなう必要があり、キーロガーによる認証情報の漏洩の危険性が依然として存在するという課題がある。   However, in a technique using a personal authentication device such as an IC card for remote access authentication as described in Patent Document 1, if there is an information processing server that does not support an authentication method using the personal authentication device, At the time of remote access to the information processing server, it is necessary to input authentication information from the access terminal, and there is a problem that the risk of leakage of authentication information by a key logger still exists.

また、特許文献2に記載されている、リモートアクセス認証に携帯端末機器を用いる技術では、アクセス用端末は中継装置に接続し、情報処理サーバは中継装置からのリモートアクセス認証をおこなうため、中継装置が対応していない認証方式を持つ情報処理サーバにはリモートアクセスできず、任意の認証方式を持つ情報処理サーバに対応できないという課題がある。   Also, in the technology using a mobile terminal device for remote access authentication described in Patent Document 2, the access terminal is connected to the relay device, and the information processing server performs remote access authentication from the relay device. However, there is a problem in that an information processing server having an authentication method that is not supported cannot be accessed remotely and cannot be applied to an information processing server having an arbitrary authentication method.

本発明の目的は、上述した課題を解決する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムを提供することにある。   An object of the present invention is to provide an authentication information transmission system, a remote access management device, an authentication information relay method, and an authentication information relay program that solve the above-described problems.

上記目的を達成するために本発明の認証情報送信システムは、
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。 In order to achieve the above object, the authentication information transmission system of the present invention provides:
An authentication information transmission system for transmitting authentication information to an information processing server targeted for remote access,
An access terminal for remotely accessing the information processing server;
An authentication device that can input the authentication information and does not include a key logger;
Auxiliary communication means for acquiring the authentication information from the authentication device, relaying data communicated between the access terminal and the information processing server, and the authentication information acquired by the auxiliary communication means, A remote access management device comprising: main communication means for converting the data received from the access terminal into the same format as the data received from the access terminal and transmitting the data to the information processing server.

上記目的を達成するために本発明のリモートアクセス管理装置は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とする。 In order to achieve the above object, the remote access management device of the present invention provides:
A remote access management device for relaying authentication information to a remote access target information processing server,
Auxiliary communication means capable of inputting the authentication information and obtaining the authentication information from an authentication device not equipped with a key logger;
While relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, the authentication information acquired by the auxiliary communication means is the same as the data received from the access terminal And a main communication means for converting to a format and transmitting to the information processing server.

上記目的を達成するために本発明の認証情報中継方法は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする。 In order to achieve the above object, the authentication information relay method of the present invention comprises:
An authentication information relay method performed by a remote access management device for relaying authentication information to an information processing server targeted for remote access,
Obtaining the authentication information from an authentication device capable of inputting the authentication information and not including a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a step of transmitting to the information processing server.

上記目的を達成するために本発明の認証情報中継プログラムは、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であってキーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする。 In order to achieve the above object, the authentication information relay program of the present invention provides:
In the remote access management device for relaying authentication information to the remote access target information processing server,
A procedure for acquiring the authentication information from an authentication device that can input the authentication information and does not include a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a procedure of transmitting to the information processing server.

上述のように、本発明によれば、リモートアクセス対象の情報処理サーバに認証情報を送信する際に、認証情報を、キーロガーが備えられている可能性のあるアクセス用端末ではなく、キーロガーを備えない認証用機器から入力するため、安全に認証情報を入力することができる。   As described above, according to the present invention, when transmitting authentication information to a remote access target information processing server, the authentication information is provided not with an access terminal that may be provided with a key logger but with a key logger. Authentication information can be input safely because there is no authentication device.

また、認証用機器で入力された認証情報は、リモートアクセス管理装置にて、アクセス用端末から送信されてきたデータと同じ形式に変換され、情報処理サーバに送信されるため、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができる。   In addition, the authentication information input by the authentication device is converted into the same format as the data transmitted from the access terminal by the remote access management device and transmitted to the information processing server. Remote access to the information processing server is available.

これにより、信頼のおけない環境下でも安全に認証情報を入力し、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができるという効果が得られる。   As a result, it is possible to input authentication information safely even in an unreliable environment and to remotely access an information processing server having an arbitrary authentication method.

以下に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。   The best mode for carrying out the present invention will be described below in detail with reference to the drawings.

(第1の実施形態)
図1に、本発明の第1の実施形態の認証情報送信システムの構成を示す。 (First embodiment)
FIG. 1 shows the configuration of an authentication information transmission system according to the first embodiment of the present invention.

図1に示すように、本実施形態の認証情報送信システムは、サーバ群130に含まれるリモートアクセス対象の情報処理サーバ(メールサーバ131やWWWサーバ132など)に対し、認証情報140を送信するものであり、プログラム制御により動作するリモートアクセス管理装置100と、アクセス用端末110と、認証用機器120と、を有している。なお、サーバ群130に含まれる各情報処理サーバは、それぞれ任意の認証方式を持つものとする。   As shown in FIG. 1, the authentication information transmission system of this embodiment transmits authentication information 140 to a remote access target information processing server (such as a mail server 131 or a WWW server 132) included in the server group 130. A remote access management apparatus 100 that operates under program control, an access terminal 110, and an authentication device 120. Each information processing server included in the server group 130 has an arbitrary authentication method.

アクセス用端末110は、本システムのユーザが、サーバ群130に含まれる各情報処理サーバにリモートアクセスするために使用する情報処理装置である。   The access terminal 110 is an information processing apparatus used by a user of this system to remotely access information processing servers included in the server group 130.

認証用機器120は、アクセス用データ記憶手段121と、入力手段122と、第1通信手段123と、第2通信手段124と、を有し、キーロガーを備えないデバイスである。   The authentication device 120 includes an access data storage unit 121, an input unit 122, a first communication unit 123, and a second communication unit 124, and is a device that does not include a key logger.

アクセス用データ記憶手段121は、後述するリモートアクセス管理装置100の主通信手段101がアクセス用端末110からのアクセスを認証するアクセス認証に用いる、アクセス認証用の情報121aを記憶するための手段である。   The access data storage unit 121 is a unit for storing access authentication information 121 a that is used for access authentication in which the main communication unit 101 of the remote access management device 100 described later authenticates access from the access terminal 110. .

入力手段122は、サーバ群130に含まれる各情報処理サーバがアクセス用端末110からのリモートアクセスを認証するリモートアクセス認証に用いる、認証情報140を入力するための手段である。   The input unit 122 is a unit for inputting authentication information 140 used for remote access authentication in which each information processing server included in the server group 130 authenticates remote access from the access terminal 110.

第1通信手段123は、後述するリモートアクセス管理装置100の補助通信手段102と通信するための手段である。   The first communication unit 123 is a unit for communicating with the auxiliary communication unit 102 of the remote access management apparatus 100 described later.

第2通信手段124は、アクセス用端末110と通信するための手段である。   The second communication unit 124 is a unit for communicating with the access terminal 110.

リモートアクセス管理装置100は、主通信手段101と、補助通信手段102と、を有している。   The remote access management device 100 includes a main communication unit 101 and an auxiliary communication unit 102.

補助通信手段102は、認証用機器120の第1通信手段123から送信されてきた認証情報140を受信し、主通信手段101に転送する。   The auxiliary communication unit 102 receives the authentication information 140 transmitted from the first communication unit 123 of the authentication device 120 and transfers it to the main communication unit 101.

主通信手段101は、認証用機器120の第2通信手段124を用いて、アクセス用端末110を介して認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、アクセス用端末110からのアクセス認証をおこなう。アクセス認証後は、アクセス用端末110とサーバ群130に含まれるリモートアクセス対象の情報処理サーバ間で通信されるデータの中継をおこなう。また、リモートアクセス認証の際に、補助通信手段102から転送されてきた認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し、サーバ群130に含まれるリモートアクセス対象の情報処理サーバに送信する。   The main communication unit 101 uses the second communication unit 124 of the authentication device 120 to store the access authentication information 121a stored in the access data storage unit 121 of the authentication device 120 via the access terminal 110. Obtaining and performing access authentication from the access terminal 110. After the access authentication, data communicated between the access terminal 110 and the remote access target information processing server included in the server group 130 is relayed. Further, at the time of remote access authentication, the authentication information 140 transferred from the auxiliary communication unit 102 is converted into the same format as the data transmitted from the access terminal 110, and the remote access target included in the server group 130 is converted. Send to the information processing server.

なお、主通信手段101とアクセス用端末110間の通信と、補助通信手段102と認証用機器120の第1通信手段123間の通信と、は異なる通信路を用いておこなわれるものとする。   Note that communication between the main communication unit 101 and the access terminal 110 and communication between the auxiliary communication unit 102 and the first communication unit 123 of the authentication device 120 are performed using different communication paths.

以下に、図2の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象の情報処理サーバがサーバ群130のメールサーバ131であるものとして説明する。   The operation of the authentication process in the authentication information transmission system of this embodiment will be described below with reference to the flowchart of FIG. In the following description, it is assumed that the remote access target information processing server is the mail server 131 of the server group 130.

まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。   First, the access terminal 110 acquires the access authentication information 121a stored in the access data storage unit 121 of the authentication device 120, and transmits the acquired access authentication information 121a to the main communication unit 101. Request access authentication.

次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ201)。   Next, the main communication means 101 performs access authentication from the access terminal 110 using the access authentication information 121a transmitted from the access terminal 110 (step 201).

次に、アクセス用端末110は、主通信手段101を介して、メールサーバ131へのリモートアクセスをおこなう(ステップ202)。   Next, the access terminal 110 performs remote access to the mail server 131 via the main communication means 101 (step 202).

メールサーバ131が、リモートアクセス認証に用いる認証情報140を要求した場合(ステップ203)、ユーザは、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ204)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ205)。   When the mail server 131 requests the authentication information 140 used for the remote access authentication (step 203), the user inputs the authentication information 140 using the input unit 122 of the authentication device 120 (step 204), and the input authentication. Information 140 is transmitted from the first communication means 123 to the auxiliary communication means 102 (step 205).

補助通信手段102は、第1通信手段123から送信されてきた認証情報140を、主通信手段101に転送する。   The auxiliary communication unit 102 transfers the authentication information 140 transmitted from the first communication unit 123 to the main communication unit 101.

主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し(ステップ206)、メールサーバ131に送信する。   The main communication unit 101 converts the authentication information 140 transferred from the auxiliary communication unit 102 into the same format as the data transmitted from the access terminal 110 (step 206), and transmits it to the mail server 131.

メールサーバ131は、主通信手段101から送信されてきた認証情報140を用い、アクセス用端末110からのリモートアクセス認証をおこなう(ステップ207)。   The mail server 131 uses the authentication information 140 transmitted from the main communication unit 101 to perform remote access authentication from the access terminal 110 (step 207).

次に、本実施形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施形態では、メールサーバ131にリモートアクセスするための認証情報140は、キーロガーが備えられている可能性のあるアクセス用端末110ではなく、キーロガーを備えない認証用機器120から入力する構成となっているため、安全に認証情報140を入力することができるという効果が得られる。   In this embodiment, the authentication information 140 for remote access to the mail server 131 is input from the authentication device 120 that does not have a key logger, instead of the access terminal 110 that may have a key logger. Therefore, the effect that the authentication information 140 can be input safely is obtained.

また、本実施形態では、認証用機器120で入力された認証情報140を、リモートアクセス管理装置100にてアクセス用端末110から送信されてきたデータと同じ形式に変換し、メールサーバ131に送信する構成となっているため、任意の認証方式を持つメールサーバ131にリモートアクセスすることができるという効果が得られる。   In the present embodiment, the authentication information 140 input by the authentication device 120 is converted into the same format as the data transmitted from the access terminal 110 by the remote access management device 100 and transmitted to the mail server 131. Since it is configured, it is possible to remotely access the mail server 131 having an arbitrary authentication method.

(第2の実施形態)
図3に、本発明の第2の実施形態の認証情報送信システムの構成を示す。 (Second Embodiment)
FIG. 3 shows the configuration of the authentication information transmission system according to the second embodiment of the present invention.

図3に示すように、本実施形態の認証情報送信システムは、第1の実施形態と比較して、アクセス中継手段340を設けた点が異なる。それ以外の構成要素は、第1の実施形態と同様であるため、図1と同一の符号を付し、適宜説明を省略する。   As shown in FIG. 3, the authentication information transmission system of the present embodiment is different from the first embodiment in that an access relay unit 340 is provided. Since the other components are the same as those in the first embodiment, the same reference numerals as those in FIG.

アクセス中継手段340は、主通信手段101とサーバ群130との間に配置され、アクセス用端末110から主通信手段101を経由して受信した操作データを基にサーバ群130に含まれる各情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、各情報処理サーバから受信した画面データを、主通信手段101を経由してアクセス用端末110に送信する。   The access relay means 340 is arranged between the main communication means 101 and the server group 130, and each information processing included in the server group 130 based on operation data received from the access terminal 110 via the main communication means 101. Remote access to the server is executed, and the screen data received from each information processing server is transmitted to the access terminal 110 via the main communication means 101 as a result of the remote access.

以下に、図4の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。   The operation of the authentication process in the authentication information transmission system of this embodiment will be described below with reference to the flowchart of FIG. In the following description, it is assumed that the remote access target is the mail server 131 of the server group 130.

まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されていているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。   First, the access terminal 110 acquires the access authentication information 121a stored in the access data storage unit 121 of the authentication device 120, and transmits the acquired access authentication information 121a to the main communication unit 101. And request access authentication.

次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ401)。   Next, the main communication means 101 performs access authentication from the access terminal 110 using the access authentication information 121a transmitted from the access terminal 110 (step 401).

次に、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し(ステップ402)、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう(ステップ403)。   Next, the access terminal 110 remotely connects to the access relay unit 340 via the main communication unit 101 (step 402), and remotely accesses the mail server 131 by remotely operating the access relay unit 340 ( Step 403).

上述したリモート操作は、具体的には、アクセス用端末110は、キーボードの押下データなどの操作データを、主通信手段101を経由して、アクセス中継手段340に送信し、アクセス中継手段340は、受信した操作データに基づいてリモートアクセスを実行し、リモートアクセスの結果としてメールサーバ131から受信した画面データを、主通信手段101を経由して、アクセス用端末110に送信することでおこなわれる。   Specifically, in the remote operation described above, the access terminal 110 transmits operation data such as keyboard pressing data to the access relay unit 340 via the main communication unit 101, and the access relay unit 340 The remote access is executed based on the received operation data, and the screen data received from the mail server 131 as a result of the remote access is transmitted to the access terminal 110 via the main communication means 101.

メールサーバ131がリモートアクセス認証に用いる認証情報140を要求する場合(ステップ404)、認証情報140を要求する旨の画面データを、アクセス中継手段340に送信し、アクセス中継手段340は、メールサーバ130から送信されてきた画面データをアクセス用端末110に送信し、アクセス用端末110は、アクセス中継手段340から送信されてきた画面データを表示する。   When the mail server 131 requests authentication information 140 used for remote access authentication (step 404), screen data indicating that the authentication information 140 is requested is transmitted to the access relay unit 340, and the access relay unit 340 Is transmitted to the access terminal 110, and the access terminal 110 displays the screen data transmitted from the access relay means 340.

ユーザは、アクセス用端末110に認証情報140を要求する旨の画面データが表示されると、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ405)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ406)。   When the screen data for requesting the authentication information 140 is displayed on the access terminal 110, the user inputs the authentication information 140 using the input unit 122 of the authentication device 120 (step 405), and the input authentication information. 140 is transmitted from the first communication means 123 to the auxiliary communication means 102 (step 406).

補助通信手段102は、認証用機器120から送信されてきた認証情報140を、主通信手段101に転送する。   The auxiliary communication unit 102 transfers the authentication information 140 transmitted from the authentication device 120 to the main communication unit 101.

主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきた操作データと同じ形式に変換し(ステップ407)、アクセス中継手段340に送信する。   The main communication unit 101 converts the authentication information 140 transferred from the auxiliary communication unit 102 into the same format as the operation data transmitted from the access terminal 110 (step 407), and transmits it to the access relay unit 340.

アクセス中継手段340は、主通信手段101から認証情報140が操作データとして送信されてくると、その操作データに基づく処理を実行することで認証情報140を取得し、認証情報140をメールサーバ131に送信する。   When the authentication information 140 is transmitted as operation data from the main communication unit 101, the access relay unit 340 acquires the authentication information 140 by executing a process based on the operation data, and sends the authentication information 140 to the mail server 131. Send.

メールサーバ131は、アクセス中継手段340から送信されてきた認証情報140を用いて、アクセス中継手段340からのリモートアクセス認証をおこなう(ステップ408)。   The mail server 131 performs remote access authentication from the access relay unit 340 using the authentication information 140 transmitted from the access relay unit 340 (step 408).

次に、本実施形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施形態の認証情報送信システムでは、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう構成となっている。そのため、ユーザは、アクセス用端末110に備えられているコンピュータウイルス等の悪意のあるプログラムにより汚染されている可能性のあるアプリケーションではなく、アクセス中継手段340に備えられている信頼性の高いアプリケーションを使用し、メールサーバ131にリモートアクセスをおこなうことができる。このように、本実施形態では、第1の実施形態で得られる効果に加え、安全なアプリケーションを使用し、リモートアクセスをおこなうことができるという効果が得られる。   In the authentication information transmission system of the present embodiment, the access terminal 110 is remotely connected to the access relay unit 340 via the main communication unit 101, and remotely accesses the mail server 131 by remotely operating the access relay unit 340. It is the composition which performs. Therefore, the user does not use an application that may be contaminated by a malicious program such as a computer virus provided in the access terminal 110, but a highly reliable application provided in the access relay unit 340. It can be used to remotely access the mail server 131. As described above, in this embodiment, in addition to the effect obtained in the first embodiment, an effect that a remote application can be performed using a secure application is obtained.

(第3の実施形態)
図5に、本発明の第3の実施形態の認証情報送信システム構成を示す。 (Third embodiment)
FIG. 5 shows an authentication information transmission system configuration according to the third embodiment of the present invention.

図5に示すように、本実施形態の認証情報送信システムは、第2の実施形態と比較して、リモートアクセス管理装置100、アクセス用端末110、および認証用機器120の代わりに、それぞれ、リモートアクセス管理装置500、アクセス用端末510、および認証用機器520を設けた点が異なる。   As shown in FIG. 5, the authentication information transmission system of this embodiment is different from the second embodiment in that each of the remote access management device 100, the access terminal 110, and the authentication device 120 is replaced by a remote device. The difference is that an access management device 500, an access terminal 510, and an authentication device 520 are provided.

以下では、本実施形態の構成および動作のうち、第2の実施形態と異なる点について説明する。   Hereinafter, differences from the second embodiment in the configuration and operation of the present embodiment will be described.

認証用機器520は、アクセス用データ記憶手段521と、入力手段522と、第1通信手段523と、第2通信手段524と、を有し、キーロガーを備えないデバイスである。   The authentication device 520 is a device that includes an access data storage unit 521, an input unit 522, a first communication unit 523, and a second communication unit 524, and does not include a key logger.

第1通信手段523は、後述するリモートアクセス管理装置500の補助通信手段502と通信するための手段であり、補助通信手段502に、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aと公開鍵504a)の生成要求を送信するとともに、補助通信手段502から送信されてきた秘密鍵521aを受信する。   The first communication unit 523 is a unit for communicating with an auxiliary communication unit 502 of the remote access management device 500 described later, and the auxiliary communication unit 502 has a key for encrypting and decrypting the access authentication information 121a. A request for generating a pair (secret key 521a and public key 504a) is transmitted, and the secret key 521a transmitted from the auxiliary communication unit 502 is received.

アクセス用データ記憶手段521は、補助通信手段502から第1通信手段523に送信されてきた秘密鍵521aを記憶するための手段である。また、アクセス用データ記憶手段521は、後述するリモートアクセス管理装置500の主通信手段501がアクセス用端末510からのアクセス認証に用いるアクセス認証用の情報121aも記憶しているものとする。   The access data storage unit 521 is a unit for storing the secret key 521 a transmitted from the auxiliary communication unit 502 to the first communication unit 523. Further, it is assumed that the access data storage unit 521 also stores access authentication information 121a used for access authentication from the access terminal 510 by the main communication unit 501 of the remote access management device 500 described later.

入力手段522は、サーバ群130に含まれる各情報処理サーバがアクセス用端末510からのリモートアクセス認証に用いる認証情報140を入力するための手段である。   The input unit 522 is a unit for inputting authentication information 140 used by each information processing server included in the server group 130 for remote access authentication from the access terminal 510.

第2通信手段524は、後述するアクセス用端末510と通信するための手段である。   The second communication unit 524 is a unit for communicating with an access terminal 510 described later.

リモートアクセス管理装置500は、主通信手段501および補助通信手段502に加えて、鍵生成手段503と、データ記憶手段504と、を有している。   The remote access management device 500 includes a key generation unit 503 and a data storage unit 504 in addition to the main communication unit 501 and the auxiliary communication unit 502.

鍵生成手段503は、認証用機器520および主通信手段501からの鍵ペアの生成要求を受信し、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aおよび公開鍵504a)を生成する。また、鍵生成手段503は、生成した秘密鍵521aを補助通信手段502から認証用機器520の第1通信手段523に送信するとともに、生成した公開鍵504aをデータ記憶手段504に記憶する。   The key generation unit 503 receives a key pair generation request from the authentication device 520 and the main communication unit 501, and encrypts and decrypts the access authentication information 121a (a secret key 521a and a public key). 504a). The key generation unit 503 transmits the generated secret key 521a from the auxiliary communication unit 502 to the first communication unit 523 of the authentication device 520 and stores the generated public key 504a in the data storage unit 504.

補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた、鍵ペアの生成要求を受信し、鍵生成手段503に転送し、鍵生成手段503が生成した秘密鍵521aを、第1通信手段523に送信する。また、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。   The auxiliary communication unit 502 receives the key pair generation request transmitted from the first communication unit 523 of the authentication device 520, transfers it to the key generation unit 503, and uses the secret key 521 a generated by the key generation unit 503. , To the first communication means 523. Further, the auxiliary communication unit 502 identifies whether the authentication device 520 that has transmitted the key pair generation request is an authentication device that can use the remote access management device 500.

主通信手段501は、アクセス用端末510がアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、アクセス用端末510からのアクセス認証をおこなう。また、主通信手段501は、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、鍵生成手段503に新たな鍵ペア(新たな秘密鍵521bおよび公開鍵504b)の生成要求を送信する。その後、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。   The main communication unit 501 obtains the access authentication information 121a encrypted by the access terminal 510 using the secret key 521a stored in the access data storage unit 521 from the access terminal 510, and acquires the obtained encryption. The encrypted access authentication information 121 a is decrypted using the public key 504 a stored in the data storage unit 504, and access authentication from the access terminal 510 is performed. The main communication means 501 counts the amount of data communicated with the access terminal 510 after access authentication. When the counted data amount reaches a certain amount, the main communication means 501 sends a new key pair (new secret key). 521b and public key 504b) generation request is transmitted. After that, after the counted amount of data reaches a certain amount, the access authentication information 121a encrypted using the secret key 521b is transmitted from the access terminal 510 even if a preset waiting time elapses. If not, the communication with the access terminal 510 is terminated.

アクセス用端末510は、本システムのユーザが、メールサーバ131にリモートアクセスするために使用する情報処理装置である。アクセス用端末510は、認証用機器520のアクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化する。また、アクセス用端末510は、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する。さらに、アクセス用端末510は、アクセス認証後、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、アクセス用データ記憶手段521に記憶されている秘密鍵521aが秘密鍵521bに更新されているかを確認する。アクセス用端末510は、秘密鍵521aが更新されていれば、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。アクセス用端末510は、秘密鍵521aが更新されていなければ、主通信手段501との通信を終了する。   The access terminal 510 is an information processing apparatus that is used by a user of this system to remotely access the mail server 131. The access terminal 510 acquires the access authentication information 121a and the secret key 521a stored in the access data storage unit 521 of the authentication device 520, and encrypts the access authentication information 121a using the secret key 521a. Turn into. Further, the access terminal 510 transmits the encrypted access authentication information 121a to the main communication unit 501 and requests access authentication. Further, the access terminal 510 counts the amount of data communicated with the main communication unit 501 after access authentication. When the counted data amount reaches a certain amount, the secret key 521a stored in the access data storage unit 521 is counted. Is updated to the private key 521b. If the secret key 521a has been updated, the access terminal 510 encrypts the access authentication information 121a using the secret key 521b, transmits it to the main communication means 501, and requests access authentication again. If the secret key 521a has not been updated, the access terminal 510 ends communication with the main communication unit 501.

以下に、図6および図7の流れ図を参照して本実施形態の認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。   The operation of the authentication process according to this embodiment will be described below with reference to the flowcharts of FIGS. In the following description, it is assumed that the remote access target is the mail server 131 of the server group 130.

最初に、リモートアクセス管理装置500におけるアクセス認証処理の動作について図6を用いて説明する。   First, the operation of access authentication processing in the remote access management device 500 will be described with reference to FIG.

まず、認証用機器520は、第1通信手段523から、鍵ペアの生成要求を補助通信手段502に送信する。   First, the authentication device 520 transmits a key pair generation request from the first communication unit 523 to the auxiliary communication unit 502.

次に、補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた鍵ペアの生成要求を受信し、鍵生成手段503に転送する。   Next, the auxiliary communication unit 502 receives the key pair generation request transmitted from the first communication unit 523 of the authentication device 520 and transfers it to the key generation unit 503.

次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペア(秘密鍵521aと公開鍵504a)を生成する(ステップ601)。また、鍵生成手段503は、生成した公開鍵504aをデータ記憶手段504に記憶する。   Next, the key generation unit 503 receives the key pair generation request transferred from the auxiliary communication unit 502, and generates a key pair (secret key 521a and public key 504a) (step 601). The key generation unit 503 stores the generated public key 504a in the data storage unit 504.

次に、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう(ステップ602)。補助通信手段502は、認証用機器520が利用可能な認証用機器である場合、鍵生成手段503が生成した秘密鍵521aを第1通信手段523に送信する(ステップ603)。   Next, the auxiliary communication unit 502 identifies whether the authentication device 520 that has transmitted the key pair generation request is an authentication device that can use the remote access management device 500 (step 602). If the authentication device 520 is an available authentication device, the auxiliary communication unit 502 transmits the secret key 521a generated by the key generation unit 503 to the first communication unit 523 (step 603).

次に、主通信手段501は、アクセス用端末510が認証用機器520のアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したアクセス認証用の情報121aを用いて、アクセス用端末510からのアクセス認証をおこなう(ステップ604)。   Next, the main communication unit 501 uses the access authentication information 121a encrypted by the access terminal 510 using the secret key 521a stored in the access data storage unit 521 of the authentication device 520, as the access terminal. 510, the obtained encrypted access authentication information 121a is decrypted using the public key 504a stored in the data storage unit 504, and the decrypted access authentication information 121a is used. Access authentication from the access terminal 510 is performed (step 604).

次に、主通信手段501は、アクセス用端末510とアクセス中継手段340間で通信されるデータの中継をおこなうとともに(ステップ605)、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると(ステップ606)、鍵生成手段503に新たな鍵ペアの生成要求を送信する。   Next, the main communication unit 501 relays data communicated between the access terminal 510 and the access relay unit 340 (step 605), and counts the amount of data communicated with the access terminal 510 after access authentication. When the counted data amount reaches a certain amount (step 606), a new key pair generation request is transmitted to the key generation means 503.

次に、鍵生成手段503は、主通信手段501から送信されてきた鍵ペアの生成要求を受信し、新たな鍵ペア(秘密鍵521bと公開鍵504b)を生成する(ステップ607)。また、鍵生成手段503は、生成した秘密鍵521bを補助通信手段502から第1通信手段523に送信するとともに(ステップ608)、データ記憶手段504に記憶されている公開鍵504aを生成した公開鍵504bに更新する。   Next, the key generation unit 503 receives the key pair generation request transmitted from the main communication unit 501 and generates a new key pair (secret key 521b and public key 504b) (step 607). The key generation unit 503 transmits the generated secret key 521b from the auxiliary communication unit 502 to the first communication unit 523 (step 608), and also generates the public key 504a stored in the data storage unit 504. Update to 504b.

その後、主通信手段510は、アクセス用端末510と通信したデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。   Thereafter, after the amount of data communicated with the access terminal 510 reaches a certain amount, the main communication means 510 performs encryption using the secret key 521b from the access terminal 510 even if a preset waiting time elapses. If the access authentication information 121a is not transmitted, the communication with the access terminal 510 is terminated.

以降、主通信手段501は、アクセス用端末510との通信が行われている間、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとにステップ605以降の動作を繰り返す。   Thereafter, the main communication means 501 counts the amount of data communicated with the access terminal 510 while the communication with the access terminal 510 is being performed, and every time the counted data amount reaches a certain amount, the steps after step 605 are performed. Repeat the operation.

次に、アクセス用端末510および認証用機器520におけるアクセス認証処理の動作について図7を用いて説明する。   Next, the operation of access authentication processing in the access terminal 510 and the authentication device 520 will be described with reference to FIG.

まず、認証用機器520は、第2通信手段524を用いてアクセス用端末510と接続するとともに、第1通信手段523から、補助通信手段502に鍵ペアの生成要求を送信する(ステップ701)。   First, the authentication device 520 connects to the access terminal 510 using the second communication unit 524, and transmits a key pair generation request from the first communication unit 523 to the auxiliary communication unit 502 (step 701).

次に、認証用機器520は、補助通信手段502から送信されてきた鍵生成手段503が生成した秘密鍵521aを、アクセス用データ記憶手段521に記憶する。   Next, the authentication device 520 stores the secret key 521 a generated by the key generation unit 503 transmitted from the auxiliary communication unit 502 in the access data storage unit 521.

次に、アクセス用端末510は、アクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化し、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する(ステップ702)。   Next, the access terminal 510 acquires the access authentication information 121a and the secret key 521a stored in the access data storage unit 521, encrypts the access authentication information 121a using the secret key 521a, The encrypted access authentication information 121a is transmitted to the main communication means 501 to request access authentication (step 702).

次に、アクセス用端末510は、主通信手段501を介して、アクセス中継手段340とリモート接続し(ステップ703)、アクセス中継手段340をリモート操作して、メールサーバ131にリモートアクセスする(ステップ704)。   Next, the access terminal 510 remotely connects to the access relay unit 340 via the main communication unit 501 (step 703), and remotely operates the access relay unit 340 to remotely access the mail server 131 (step 704). ).

ユーザは、メールサーバ131から、リモートアクセス認証に用いる認証情報140を要求された場合、第2の実施形態と同様に、認証用機器520の入力手段522を用いて認証情報140を入力し(ステップ709)、入力した認証情報140を第1通信手段523から補助通信手段502に送信する(ステップ710)。   When the user requests authentication information 140 used for remote access authentication from the mail server 131, the user inputs the authentication information 140 using the input unit 522 of the authentication device 520 (step 2). 709), the inputted authentication information 140 is transmitted from the first communication means 523 to the auxiliary communication means 502 (step 710).

アクセス用端末510は、アクセス認証後、アクセス中継手段340とリモート接続し、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達したかを判定する(ステップ705)。   The access terminal 510 remotely connects to the access relay unit 340 after access authentication, and counts the amount of data communicated with the main communication unit 501 while remotely accessing the mail server 131, and the counted data amount is a fixed amount. Is determined (step 705).

アクセス用端末510は、カウントしたデータ量が一定量に達していない場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ706)。   If the counted data amount has not reached a certain amount, the access terminal 510 checks whether the secret key 521a of the access data storage unit 521 has been updated to the secret key 521b (step 706).

アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信に異常が生じたと判断し通信を終了する。   When the secret key 521a has been updated, the access terminal 510 determines that an abnormality has occurred in communication with the main communication unit 501, and ends the communication.

アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信は正常であると判断し通信を継続する。   If the secret key 521a has not been updated, the access terminal 510 determines that communication with the main communication unit 501 is normal and continues communication.

アクセス用端末510は、カウントしたデータ量が一定量に達している場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ707)。   When the counted data amount reaches a certain amount, the access terminal 510 checks whether or not the secret key 521a of the access data storage unit 521 is updated to the secret key 521b (step 707).

アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信は正常であると判断し、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する(ステップ708)。   When the secret key 521a is updated, the access terminal 510 determines that the communication with the main communication unit 501 is normal, encrypts the access authentication information 121a using the secret key 521b, and the main communication unit 501 to request access authentication again (step 708).

アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じた判断し通信を終了する。   If the secret key 521a has not been updated, the access terminal 510 determines that an abnormality has occurred in communication with the main communication unit 501 and ends the communication.

以降、アクセス用端末510は、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、ステップ704以降の動作を繰り返す。   Thereafter, the access terminal 510 counts the amount of data communicated with the main communication means 501 during remote access to the mail server 131, and performs the operations after step 704 each time the counted data amount reaches a certain amount. repeat.

次に、本実施形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施形態の認証情報送信システムでは、主通信手段501は、アクセス用端末510と通信したデータ量が一定量に達するごとに、アクセス認証用の情報121aを暗号化および複合化するための鍵ペアを更新し、鍵ペアを更新するごとに、新たな鍵ペアを用いたアクセス認証を必要とし、新たな鍵ペアを用いたアクセス認証がおこなわれない場合、アクセス用端末510との通信を終了する構成となっている。そのため、秘密鍵521aがアクセス用端末510から不正にコピーされ、他のシステムで利用された場合でも、秘密鍵521aの更新の有無から不正利用を検出し、その通信を終了することができる構成となっている。このように本実施形態では、第1および第2の実施形態の効果に加え、不正なアクセスを検知し、その通信を終了することができるという効果が得られる。   In the authentication information transmission system of the present embodiment, the main communication unit 501 encrypts and decrypts the access authentication information 121a every time the amount of data communicated with the access terminal 510 reaches a certain amount. Each time the key pair is updated, access authentication using a new key pair is required. When access authentication using a new key pair is not performed, communication with the access terminal 510 is terminated. It has a configuration. Therefore, even when the secret key 521a is illegally copied from the access terminal 510 and used in another system, the unauthorized use is detected from the presence or absence of the update of the secret key 521a, and the communication can be terminated. It has become. As described above, in this embodiment, in addition to the effects of the first and second embodiments, an effect of detecting unauthorized access and terminating the communication can be obtained.

上述した第1〜第3の実施形態の認証情報送信システムは、一例であり、その構成及び動作は、発明の主旨を逸脱しない範囲で、適宜に変更可能である。   The authentication information transmission system of the first to third embodiments described above is an example, and the configuration and operation thereof can be changed as appropriate without departing from the gist of the invention.

例えば、第1〜第3の実施形態では、認証用機器120(または520)の入力手段122(または522)を用いて認証情報140の入力をおこなっているが、あらかじめ認証情報140をアクセス用データ記憶手段121(または521)に記憶しておき、リモートアクセス対象の情報処理サーバがリモートアクセス認証に用いる認証情報140を要求した場合、アクセス用データ記憶手段121(または521)に記憶されている認証情報140を、リモートアクセス管理装置100(または500)を経由して、情報処理サーバに送信するようにしてもよい。   For example, in the first to third embodiments, the authentication information 140 is input using the input unit 122 (or 522) of the authentication device 120 (or 520). The authentication stored in the storage unit 121 (or 521) and stored in the access data storage unit 121 (or 521) when the remote access target information processing server requests the authentication information 140 used for remote access authentication. The information 140 may be transmitted to the information processing server via the remote access management device 100 (or 500).

また、例えば、第1〜第3の実施形態では、最小構成のためアクセス用端末110(または510)と、認証用機器120(または520)と、はシステム中に各1台しか存在しないので、リモートアクセス管理装置100(または500)では、これらの結びつけをおこなう手段は必要としないが、リモートアクセス管理装置100(または500)に、アクセス用端末110(または510)と認証用機器120(または520)を結び付ける情報を記憶する手段(例えば、データベースや、第3の実施形態であればデータ記憶手段504など)を設けることで、複数のアクセス用端末および認証用機器が利用できるようにしてもよい。   Further, for example, in the first to third embodiments, there is only one access terminal 110 (or 510) and authentication device 120 (or 520) in the system because of the minimum configuration. The remote access management device 100 (or 500) does not require means for linking these, but the access terminal 110 (or 510) and the authentication device 120 (or 520) are connected to the remote access management device 100 (or 500). ) (For example, a database or a data storage unit 504 in the third embodiment) may be provided so that a plurality of access terminals and authentication devices can be used. .

次に、具体的な実施例を用いて本発明を実施するための最良の形態を説明する。   Next, the best mode for carrying out the present invention will be described using specific examples.

(実施例1)
本実施例は、図3に示した第2の実施形態の認証情報送信システムを、具体化したものである。 Example 1
The present embodiment is a concrete implementation of the authentication information transmission system of the second embodiment shown in FIG.

本実施例では、アクセス用端末110として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末110をPC110と称する。   In the present embodiment, a PC provided in a public place such as an Internet cafe is used as the access terminal 110, and the access terminal 110 is hereinafter referred to as a PC 110.

また、本実施例では、認証用機器120として、PC110を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器120を携帯電話120と称し、アクセス用データ記憶手段121をメモリ121と称する。また、アクセス認証用の情報121aとしては、ユーザ証明書、パスワード、携帯電話固有の機器IDなどを用いることができるが、本実施例では、ユーザ証明書を用いるものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、第2通信手段124としては、例えば、USB通信のような有線通信もしくはBluetoothのような無線通信のいずれも使用できるが、本実施例では、USB通信を使用するものとする。   In this embodiment, the authentication device 120 is a mobile phone in which a user certificate for certifying the user who uses the PC 110 is stored in the memory. Hereinafter, the authentication device 120 is a mobile phone. The access data storage unit 121 is referred to as a memory 121. In addition, as the information 121a for access authentication, a user certificate, a password, a device ID unique to a mobile phone, and the like can be used. In this embodiment, a user certificate is used. The information 121a is referred to as a user certificate 121a. In addition, as the second communication unit 124, for example, wired communication such as USB communication or wireless communication such as Bluetooth can be used, but in this embodiment, USB communication is used.

また、本実施例では、アクセス中継手段340として、シンクライアントサーバを備えたイントラネット内のPCを使用するものとし、以下では、アクセス中継手段340をPC340と称する。   In this embodiment, a PC in an intranet having a thin client server is used as the access relay unit 340. Hereinafter, the access relay unit 340 is referred to as a PC 340.

また、本実施例では、PC110は、PC340にリモート接続するための手段として、例えば、当業者によく知られたVNC(Virtual Networc Computing:http://www.realvnc.comなどから取得可能)を使用するものとし、PC340には、PC110からのリモート接続を受け付けるシンクライアントサーバであるVNCサーバが備えられているものとする。   Further, in the present embodiment, the PC 110 can acquire VNC (Virtual Network Computing: http://www.realvnc.com, etc.) well known to those skilled in the art as means for remotely connecting to the PC 340, for example. It is assumed that the PC 340 is provided with a VNC server that is a thin client server that accepts a remote connection from the PC 110.

以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。   The operation of the authentication process in the authentication information transmission system of this embodiment will be described below. In the following description, it is assumed that the remote access target is the mail server 131 of the server group 130.

まず、PC110は、携帯電話120のメモリ121に記憶されているユーザ証明書121aを取得し、主通信手段101に送信する。   First, the PC 110 acquires the user certificate 121 a stored in the memory 121 of the mobile phone 120 and transmits it to the main communication unit 101.

次に、主通信手段101は、PC110から送信されてきたユーザ証明書121aを用いて、例えば、当業者によく知られたアクセス認証手順である、TLS(Transport Layer Security:TLSの詳細な認証手順についてはRFC2246を参照)プロトコルに従い、PC110からのアクセス認証をおこなう。TLS以外に、同じく当業者によく知られたパスワード認証や、あらかじめ接続可能なPC110を特定するための機器ID情報を主通信手段101内に登録しておき、PC110から送られてくる機器IDと一致するかどうかでアクセス認証をおこなうようにしても良い。   Next, the main communication unit 101 uses the user certificate 121a transmitted from the PC 110, for example, a TLS (Transport Layer Security: TLS detailed authentication procedure) which is an access authentication procedure well known to those skilled in the art. (Refer to RFC2246 for authentication) Access authentication from the PC 110 is performed according to the protocol. In addition to TLS, password authentication, well known to those skilled in the art, and device ID information for specifying the PC 110 that can be connected in advance are registered in the main communication means 101, and the device ID sent from the PC 110 and You may make it perform access authentication by whether it corresponds.

アクセス認証に成功した場合、主通信手段101は、PC110とVPN(Virtual Private Netwrok)を形成する。   When the access authentication is successful, the main communication unit 101 forms a VPN (Virtual Private Network) with the PC 110.

PC110は、アクセス認証後は、このVPNを経由して主通信手段101と通信をおこなう。   After the access authentication, the PC 110 communicates with the main communication means 101 via this VPN.

次に、PC110は、VNCを用いて、PC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。   Next, the PC 110 remotely connects to the PC 340 using the VNC, and remotely accesses the mail server 131 by remotely operating the PC 340.

PC110は、PC340をリモート操作するに当たり、キーボードやマウスなどの入力手段に入力された操作データを送信し、PC340は、受信した操作データに基づいてメールサーバ131へのリモートアクセスを実行し、その結果としてメールサーバ131から送信されてきた画面データをPC110に送信し、PC110は受信した画面データをディスプレイなどの出力装置に表示する。すなわち、ユーザには、PC110上であたかもPC340を直接操作しているかのような、リモート操作環境が提供される。   When the PC 110 remotely operates the PC 340, the PC 110 transmits operation data input to input means such as a keyboard and a mouse. The PC 340 executes remote access to the mail server 131 based on the received operation data, and the result The screen data transmitted from the mail server 131 is transmitted to the PC 110, and the PC 110 displays the received screen data on an output device such as a display. That is, the user is provided with a remote operation environment as if the PC 340 is directly operated on the PC 110.

次に、リモートアクセスをおこなっているメールサーバ131が、メール取得の可否を判定するために、リモートアクセス認証に用いる認証情報140を要求した場合、ユーザは、PC110ではなく、携帯電話120の入力手段122へのキー入力により認証情報140の入力をおこなう。ここでは、パスワードを要求されたものとし、以下では、認証情報140をパスワード140と称する。   Next, when the mail server 131 performing remote access requests the authentication information 140 used for remote access authentication in order to determine whether or not mail can be acquired, the user is not the PC 110 but the input means of the mobile phone 120. Authentication information 140 is input by key input to 122. Here, it is assumed that a password is requested, and in the following, the authentication information 140 is referred to as a password 140.

次に、携帯電話120は、ユーザにより入力されたパスワード140を、例えば、携帯電話網のような、比較的盗聴などの危険性が低い通信路を用いて、補助通信手段102に送信する。   Next, the mobile phone 120 transmits the password 140 input by the user to the auxiliary communication means 102 using a communication path with a relatively low risk of eavesdropping such as a mobile phone network.

次に、補助通信手段102は携帯電話120から送信されてきたパスワード140を、主通信手段101に転送する。   Next, the auxiliary communication unit 102 transfers the password 140 transmitted from the mobile phone 120 to the main communication unit 101.

次に、主通信手段101は、補助通信手段102から転送されたパスワード140を、PC110から送信されてきた操作データと同じ形式に変換し、PC340に送信する。   Next, the main communication unit 101 converts the password 140 transferred from the auxiliary communication unit 102 into the same format as the operation data transmitted from the PC 110 and transmits it to the PC 340.

より具体的には、パスワード140は、PC110の入力手段に入力された操作データ、例えば、キーボードの押下データや、マウスの移動データ、またはマウスのクリックイベントデータなどの形式に変換され、PC340に送信される。これにより、PC340は、あたかもPC110でパスワード140の入力がおこなわれたかのように、パスワード140の操作データを受信することができる。   More specifically, the password 140 is converted into a format such as operation data input to the input means of the PC 110, such as keyboard pressing data, mouse movement data, or mouse click event data, and is transmitted to the PC 340. Is done. As a result, the PC 340 can receive the operation data of the password 140 as if the password 140 had been input on the PC 110.

その後、PC340は、パスワード140をメールサーバ131に送信し、メールサーバ131は、PC340から送信されてきたパスワード140を用いてPC340からのリモートアクセス認証をおこなう。   Thereafter, the PC 340 transmits the password 140 to the mail server 131, and the mail server 131 performs remote access authentication from the PC 340 using the password 140 transmitted from the PC 340.

また、本実施例では、パスワード140を要求された際に、携帯電話120の入力手段122からパスワード140の入力をおこなうとなっているが、パスワード140をあらかじめ携帯電話120のメモリ121に記憶しておき、パスワード140が要求された際には、例えば、携帯電話120の入力手段122であるキーのいずれかにパスワード送信の動作を割り振り、そのキーを押すことにより、メモリ121に記憶されているパスワード140を補助通信手段102に送信するようにしても良い。このようにすると、携帯電話120の入力手段122でパスワード140を直接入力することがなくなるため、パスワード140の入力の手間を削減できるだけでなく、パスワード140入力時の盗み見を防止することができるようになるという効果が得られる。   In this embodiment, when the password 140 is requested, the password 140 is input from the input unit 122 of the mobile phone 120. However, the password 140 is stored in the memory 121 of the mobile phone 120 in advance. When the password 140 is requested, for example, the password transmission operation is assigned to one of the keys that are the input means 122 of the mobile phone 120, and the password stored in the memory 121 is pressed by pressing the key. 140 may be transmitted to the auxiliary communication means 102. In this way, since the password 140 is not directly input by the input means 122 of the mobile phone 120, not only can the labor of inputting the password 140 be reduced, but also the snooping when the password 140 is input can be prevented. The effect of becoming is obtained.

(実施例2)
本実施例は、図5に示した第3の実施形態の認証情報送信システムを、具体化したものである。 (Example 2)
The present embodiment is a concrete implementation of the authentication information transmission system of the third embodiment shown in FIG.

本実施例では、アクセス用端末510として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末510をPC510と称する。また、PC510で、アクセス認証に必要な動作をおこなう必要があるため、PC510に、アクセス認証に必要な動作を実行させるアクセス認証用のプログラムを、PC510上で実行する必要がある。ここでは、アクセス認証用のプログラムを、あらかじめ認証用機器520のアクセス用データ記憶手段521やUSBメモリなどに記憶しておき、リモートアクセスの際に、PC510にそれらを接続し、PC510上でアクセス認証用のプログラム実行することで、主通信手段501にアクセス認証を要求するものとする。   In this embodiment, it is assumed that a PC provided in a public place such as an Internet cafe is used as the access terminal 510, and the access terminal 510 is hereinafter referred to as a PC 510. Further, since it is necessary to perform an operation necessary for access authentication on the PC 510, an access authentication program for causing the PC 510 to perform an operation necessary for access authentication needs to be executed on the PC 510. Here, an access authentication program is stored in advance in the access data storage means 521 of the authentication device 520, a USB memory, or the like, and is connected to the PC 510 for remote access, and the access authentication is performed on the PC 510. It is assumed that access authentication is requested to the main communication means 501 by executing the program for the above.

また、本実施例では、認証用機器520として、PC510を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器520を携帯電話520と称し、アクセス用データ記憶手段521をメモリ521と称する。また、本実施例では、アクセス認証用の情報121aとして、ユーザ証明書を使用するものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、本実施例では、第2通信手段524として、USB通信を使用するものとする。   In this embodiment, a mobile phone in which a user certificate that proves a user using the PC 510 is stored in the memory as the authentication device 520. In the following description, the authentication device 520 is a mobile phone. The access data storage unit 521 is referred to as a memory 521. In this embodiment, a user certificate is used as the information 121a for access authentication. Hereinafter, the information 121a for access authentication is referred to as a user certificate 121a. In this embodiment, USB communication is used as the second communication means 524.

また、本実施例では、実施例1と同様に、アクセス中継手段340をPC340と称し、また、PC510は、PC340にリモート接続するための手段としてVNCを使用するものとする。   In this embodiment, as in the first embodiment, the access relay unit 340 is referred to as a PC 340, and the PC 510 uses a VNC as a unit for remotely connecting to the PC 340.

以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。   The operation of the authentication process in the authentication information transmission system of this embodiment will be described below. In the following description, it is assumed that the remote access target is the mail server 131 of the server group 130.

まず、携帯電話520は、補助通信手段502に鍵ペアの生成要求を送信する。   First, the mobile phone 520 transmits a key pair generation request to the auxiliary communication unit 502.

次に、補助通信手段502は、携帯電話520から送信されてきた鍵ペアの生成要求を鍵生成手段503に転送する。   Next, the auxiliary communication unit 502 transfers the key pair generation request transmitted from the mobile phone 520 to the key generation unit 503.

次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペアを生成する。   Next, the key generation unit 503 receives the key pair generation request transferred from the auxiliary communication unit 502 and generates a key pair.

次に、補助通信手段502は、鍵ペアの生成要求を送信してきた携帯電話520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。なお、携帯電話520を識別するための機器IDや電話番号といった識別データは、あらかじめリモートアクセス管理装置500が有するデータ記憶手段504などの記憶装置に記憶されているものとする。   Next, the auxiliary communication unit 502 identifies whether the mobile phone 520 that has transmitted the key pair generation request is an authentication device that can use the remote access management device 500. It is assumed that identification data such as a device ID and a telephone number for identifying the mobile phone 520 is stored in advance in a storage device such as the data storage unit 504 included in the remote access management device 500.

鍵ペアの生成要求を送信してきた携帯電話520が、利用可能な認証用機器であった場合、鍵生成手段503は、補助通信手段502から携帯電話520に秘密鍵521aを送信し、携帯電話520は、受信した秘密鍵521aをメモリ521に記憶する。   When the mobile phone 520 that has transmitted the key pair generation request is an available authentication device, the key generation unit 503 transmits the secret key 521a from the auxiliary communication unit 502 to the mobile phone 520, and the mobile phone 520 Stores the received secret key 521 a in the memory 521.

なお、携帯電話520と補助通信手段502間の通信は、比較的盗聴などの危険性の少ない携帯電話網などの通信路を用いておこなわれるものとする。   It is assumed that communication between the mobile phone 520 and the auxiliary communication unit 502 is performed using a communication channel such as a mobile phone network with relatively little risk of eavesdropping.

次に、PC540は、携帯電話520のメモリ521に記憶されている秘密鍵521aおよびユーザ証明書121aを取得し、秘密鍵521aを用いてユーザ証明書121aを暗号化する。   Next, the PC 540 acquires the private key 521a and the user certificate 121a stored in the memory 521 of the mobile phone 520, and encrypts the user certificate 121a using the private key 521a.

次に、PC510は、暗号化したユーザ証明書121aを主通信手段501に送信し、アクセス認証を要求する。   Next, the PC 510 transmits the encrypted user certificate 121a to the main communication unit 501 and requests access authentication.

主通信手段501は、PC510から送信されてきた暗号化されたユーザ証明書121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したユーザ証明書121aを用いて、PC510からのアクセス認証をおこなう。   The main communication unit 501 decrypts the encrypted user certificate 121a transmitted from the PC 510 using the public key 504a stored in the data storage unit 504, and uses the decrypted user certificate 121a. , Access authentication from the PC 510 is performed.

なお、主通信手段501でおこなうアクセス認証には、公開鍵方式を利用できる任意の認証方式を用いるものとする。   It is assumed that an arbitrary authentication method that can use the public key method is used for the access authentication performed by the main communication unit 501.

アクセス認証が成功した場合、主通信手段501は、実施例1と同様に、PC510とVPNを形成する。PC510は、アクセス認証後は、このVPNを経由して主通信手段501と通信をおこない、VNCを用いてPC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。なお、以降のメールサーバ131へのリモートアクセス動作は、上述した実施例1と同様のため、説明を省略する。   When the access authentication is successful, the main communication unit 501 forms a VPN with the PC 510 as in the first embodiment. After the access authentication, the PC 510 communicates with the main communication unit 501 via this VPN, remotely connects to the PC 340 using the VNC, and remotely accesses the mail server 131 by remotely operating the PC 340. Since the subsequent remote access operation to the mail server 131 is the same as that in the first embodiment, the description thereof is omitted.

次に、アクセス認証後の動作について説明する。   Next, the operation after access authentication will be described.

最初に、リモートアクセス管理装置500における動作について説明する。   First, the operation in the remote access management device 500 will be described.

アクセス認証後、主通信手段501は、PC510と通信したデータ量が一定量に達するごとに、鍵生成手段503を用いて、新たな鍵ペアを生成する。   After the access authentication, the main communication unit 501 uses the key generation unit 503 to generate a new key pair every time the amount of data communicated with the PC 510 reaches a certain amount.

鍵生成手段503は、新たな鍵ペア(秘密鍵521bおよび公開鍵504b)を生成するごとに、秘密鍵521bを補助通信手段502から携帯電話520に送信するとともに、データ記憶手段504に記憶されている公開鍵504aを公開鍵504bに更新する。   Every time a new key pair (secret key 521b and public key 504b) is generated, the key generation unit 503 transmits the secret key 521b from the auxiliary communication unit 502 to the mobile phone 520 and is stored in the data storage unit 504. The existing public key 504a is updated to the public key 504b.

その後、主通信手段501は、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、PC510から、秘密鍵521bで暗号化されたユーザ証明書121aが送信されてこない場合、PC510との通信を終了する。   After that, the main communication means 501 transmits the user certificate 121a encrypted with the private key 521b from the PC 510 even if the preset waiting time elapses after the counted data amount reaches a certain amount. If not, the communication with the PC 510 is terminated.

次に、PC510および携帯電話520における動作、について説明する。   Next, operations in PC 510 and mobile phone 520 will be described.

アクセス認証後、携帯電話520は、補助通信手段502から秘密鍵521bを受信するたびに、メモリ521に記憶されている秘密鍵521aを受信した秘密鍵521bに更新する。   After the access authentication, the mobile phone 520 updates the secret key 521a stored in the memory 521 to the received secret key 521b every time the secret key 521b is received from the auxiliary communication unit 502.

PC510は、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、携帯電話520のメモリ521に記憶されている秘密鍵521aが密秘密521bに更新されているかを確認する。   The PC 510 counts the amount of data communicated with the main communication means 501, and every time the counted data amount reaches a certain amount, the secret key 521a stored in the memory 521 of the mobile phone 520 is updated to the secret secret 521b. Make sure that

PC510は、秘密鍵521aが更新されている場合、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。   If the secret key 521a has been updated, the PC 510 encrypts the access authentication information 121a using the secret key 521b, transmits it to the main communication means 501, and requests access authentication again.

また、PC510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じたと判断し、通信を終了する。   If the secret key 521a has not been updated, the PC 510 determines that an abnormality has occurred in communication with the main communication unit 501 and ends the communication.

なお、本発明のリモートアクセス管理装置100(または500)は、上述のように専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをリモートアクセス管理装置100(または500)に読み込ませ、実行するものであっても良い。リモートアクセス管理装置100(または500)で読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、リモートアクセス管理装置100(または500)に内蔵されるハードディスク装置等の記憶装置を指す。さらに、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にリモートアクセス管理装置100(または500)内部の揮発性メモリのように一定時間プログラムを保持しているものを含む。   Note that the remote access management apparatus 100 (or 500) of the present invention, in addition to the one realized by dedicated hardware as described above, stores a program for realizing its function in the remote access management apparatus 100 (or 500). The remote access management device 100 (or 500) may read and execute the program recorded on the recording medium that can be read by the remote access management device. The recording medium readable by the remote access management device 100 (or 500) includes a recording medium such as a floppy disk, a magneto-optical disk, and a CD-ROM, and a hard disk device built in the remote access management device 100 (or 500). Refers to a storage device. Furthermore, the recording medium readable by the remote access management apparatus 100 (or 500) is dynamically stored in the remote access management apparatus 100 (or 500) for a short period of time as in the case of transmitting a program via the Internet. Such as a volatile memory that holds a program for a certain period of time.

本発明は、認証情報を情報処理サーバに送信する用途に利用できる。   The present invention can be used for the purpose of transmitting authentication information to an information processing server.

本発明の第1の実施形態の認証情報送信システムの構成を示すブロック図である。It is a block diagram which shows the structure of the authentication information transmission system of the 1st Embodiment of this invention. 図1に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。It is a flowchart explaining operation | movement of the authentication process in the authentication information transmission system shown in FIG. 本発明の第2の実施形態の認証情報送信システムの構成を示すプロック図である。It is a block diagram which shows the structure of the authentication information transmission system of the 2nd Embodiment of this invention. 図3に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。It is a flowchart explaining operation | movement of the authentication process in the authentication information transmission system shown in FIG. 本発明の第3の実施形態の認証情報送信システムの構成を示すプロック図である。It is a block diagram which shows the structure of the authentication information transmission system of the 3rd Embodiment of this invention. 図5に示したリモートアクセス管理装置におけるアクセス認証処理の動作を説明する流れ図である。6 is a flowchart for explaining the operation of access authentication processing in the remote access management device shown in FIG. 5. 図5に示したアクセス用端末および認証用機器におけるアクセス認証処理の動作を説明する流れ図である。6 is a flowchart for explaining an operation of access authentication processing in the access terminal and the authentication device shown in FIG. 5.

符号の説明Explanation of symbols

100 リモートアクセス管理装置
101 主通信手段
102 補助通信手段
110 アクセス用端末
120 認証用機器
121 アクセス用データ記憶手段
121a アクセス認証用の情報
122 入力手段
123 第1通信手段
124 第2通信手段
130 サーバ群
131 メールサーバ
132 WWWサーバ
140 認証情報
340 アクセス中継手段
500 リモートアクセス管理装置
501 主通信手段
502 補助通信手段
503 鍵生成手段
504 データ記憶手段
504a,504b 公開鍵
510 アクセス用端末
520 認証用機器
521 アクセス用データ記憶手段
521a,521b 秘密鍵
522 入力手段
523 第1通信手段
524 第2通信手段 DESCRIPTION OF SYMBOLS 100 Remote access management apparatus 101 Main communication means 102 Auxiliary communication means 110 Access terminal 120 Authentication apparatus 121 Access data storage means 121a Information for access authentication 122 Input means 123 First communication means 124 Second communication means 130 Server group 131 Mail server 132 WWW server 140 Authentication information 340 Access relay means 500 Remote access management device 501 Main communication means 502 Auxiliary communication means 503 Key generation means 504 Data storage means 504a, 504b Public key 510 Access terminal 520 Authentication device 521 Access data Storage means 521a, 521b Private key 522 Input means 523 First communication means 524 Second communication means

Claims (10)

リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする認証情報送信システム。 An authentication information transmission system for transmitting authentication information to an information processing server targeted for remote access,
An access terminal for remotely accessing the information processing server;
An authentication device that can input the authentication information and does not include a key logger;
Auxiliary communication means for acquiring the authentication information from the authentication device, relaying data communicated between the access terminal and the information processing server, and the authentication information acquired by the auxiliary communication means, An authentication information transmission system comprising: a remote access management device comprising: main communication means for converting data received from an access terminal into the same format as that of data received from the access terminal and transmitting the data to the information processing server. 前記リモートアクセス管理装置は、前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項1に記載の認証情報送信システム。   The authentication information transmission according to claim 1, wherein the remote access management device uses different communication paths for communication between the main communication unit and the access terminal and communication between the auxiliary communication unit and the authentication device. system. 前記主通信手段と前記情報処理サーバとの間に配置され、前記アクセス用端末から前記主通信手段を経由して受信した操作データを基に前記情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、前記情報処理サーバから受信した画面データを、前記主通信手段を経由して前記アクセス用端末に送信するアクセス中継手段をさらに有する、請求項1または2に記載の認証情報送信システム。   Remote access to the information processing server is performed between the main communication means and the information processing server, and executes remote access to the information processing server based on operation data received from the access terminal via the main communication means. The authentication information transmission system according to claim 1, further comprising an access relay unit that transmits the screen data received from the information processing server to the access terminal via the main communication unit. 前記認証用機器は、前記認証情報をあらかじめ記憶しておく前記アクセス用データ記憶手段を有し、前記情報処理サーバからの前記認証情報の送信要求に応じて、前記アクセス用データ記憶手段に記憶されている前記認証情報を前記補助通信手段に送信する、請求項1から3のいずれか1項に記載の認証情報送信システム。   The authentication device includes the access data storage unit that stores the authentication information in advance, and is stored in the access data storage unit in response to a transmission request for the authentication information from the information processing server. The authentication information transmission system according to claim 1, wherein the authentication information is transmitted to the auxiliary communication unit. 前記リモートアクセス管理装置は、
前記アクセス用端末からのアクセスを認証するアクセス認証に用いるアクセス認証用の情報を暗号化および復号化するための秘密鍵および公開鍵を生成し、前記秘密鍵を前記補助通信手段から前記認証用機器に送信する鍵生成手段と、
前記公開鍵を記憶するデータ記憶手段と、をさらに有し、
前記認証用機器は、前記アクセス認証用の情報と、前記補助通信手段から送信されてきた前記秘密鍵と、を前記アクセス用データ記憶手段に記憶し、
前記アクセス用端末は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、
前記主通信手段は、前記アクセス用端末から送信されてきた暗号化された前記アクセス認証用の情報を、前記データ記憶手段に記憶されている前記公開鍵を用いて復号化し、前記アクセス用端末からのアクセス認証をおこない、前記アクセス認証後、前記アクセス用端末と通信したデータ量が一定量に達するごとに、前記鍵生成手段を用いて新たな秘密鍵および公開鍵を生成し、前記新たな秘密鍵を前記補助通信手段から前記認証用機器に送信するとともに、前記データ記憶手段に記憶されている前記公開鍵を前記新たな公開鍵に更新し、
前記認証用機器は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を、前記補助通信手段から送信されてきた前記新たな秘密鍵に更新し、
前記アクセス用端末は、前記アクセス認証後、前記主通信手段と通信したデータ量が前記一定量に達するごとに、前記秘密鍵が更新されている場合、前記新たな秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、前記秘密鍵が更新されていない場合、前記主通信手段との通信を終了し、
前記主通信手段は、前記アクセス用端末と通信したデータ量が前記一定量に達した後、あらかじめ設定された待ち時間内に、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてきた場合、再度前記アクセス用端末からの前記アクセス認証を行い、前記待ち時間が経過しても、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてこない場合、前記アクセス用端末との通信を終了する、請求項4に記載の認証情報送信システム。 The remote access management device is:
A secret key and a public key for encrypting and decrypting access authentication information used for access authentication for authenticating access from the access terminal are generated, and the secret key is generated from the auxiliary communication means to the authentication device. A key generation means for transmitting to
Data storage means for storing the public key;
The authentication device stores the access authentication information and the secret key transmitted from the auxiliary communication unit in the access data storage unit,
The access terminal encrypts the access authentication information using the secret key stored in the access data storage means and transmits the encrypted information to the main communication means,
The main communication means decrypts the encrypted access authentication information transmitted from the access terminal using the public key stored in the data storage means, and After the access authentication, every time the amount of data communicated with the access terminal reaches a certain amount, a new secret key and a public key are generated using the key generation means, and the new secret key is generated. A key is transmitted from the auxiliary communication means to the authentication device, and the public key stored in the data storage means is updated to the new public key,
The authentication device updates the secret key stored in the access data storage means to the new secret key transmitted from the auxiliary communication means,
After the access authentication, the access terminal uses the new secret key to update the access authentication when the secret key is updated each time the amount of data communicated with the main communication means reaches the predetermined amount. Information for encryption is transmitted to the main communication means, and if the secret key has not been updated, the communication with the main communication means is terminated,
The main communication means transmits the access authentication information encrypted from the access terminal within a predetermined waiting time after the amount of data communicated with the access terminal reaches the predetermined amount. The access authentication from the access terminal is performed again, and the encrypted access authentication information is not transmitted from the access terminal even when the waiting time elapses. The authentication information transmission system according to claim 4, wherein communication with the access terminal is terminated. 前記認証用機器は、携帯電話であり、
前記補助通信手段は、前記認証用機器との通信路に携帯電話網を用いる請求項1から5のいずれか1項に記載に認証情報送信システム。 The authentication device is a mobile phone,
The authentication information transmission system according to claim 1, wherein the auxiliary communication unit uses a mobile phone network as a communication path with the authentication device. リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とするリモートアクセス管理装置。 A remote access management device for relaying authentication information to a remote access target information processing server,
Auxiliary communication means capable of inputting the authentication information and obtaining the authentication information from an authentication device not equipped with a key logger;
While relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, the authentication information acquired by the auxiliary communication means is the same as the data received from the access terminal And a main communication means for converting to a format and transmitting to the information processing server. 前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項7に記載のリモートアクセス管理装置。   The remote access management apparatus according to claim 7, wherein different communication paths are used for communication between the main communication unit and the access terminal and communication between the auxiliary communication unit and the authentication device. リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする認証情報中継方法。 An authentication information relay method performed by a remote access management device for relaying authentication information to an information processing server targeted for remote access,
Obtaining the authentication information from an authentication device capable of inputting the authentication information and not including a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a step of transmitting to the information processing server. リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする認証情報中継プログラム。 In the remote access management device for relaying authentication information to the remote access target information processing server,
A procedure for acquiring the authentication information from an authentication device that can input the authentication information and does not include a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, An authentication information relay program that executes a procedure for transmission to an information processing server.
JP2007295693A 2007-11-14 2007-11-14 Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program Pending JP2009122921A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007295693A JP2009122921A (en) 2007-11-14 2007-11-14 Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007295693A JP2009122921A (en) 2007-11-14 2007-11-14 Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program

Publications (1)

Publication Number Publication Date
JP2009122921A true JP2009122921A (en) 2009-06-04

Family

ID=40815017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007295693A Pending JP2009122921A (en) 2007-11-14 2007-11-14 Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program

Country Status (1)

Country Link
JP (1) JP2009122921A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8474439B2 (en) 2009-05-21 2013-07-02 Aisan Kogyo Kabushiki Kaisha Fuel vapor processors
JP2014121076A (en) * 2012-12-19 2014-06-30 Toshiba Corp Key management device, communication device, communication system, and program
WO2022097453A1 (en) * 2020-11-04 2022-05-12 日本電気株式会社 Authentication proxy device, authentication proxy method, and recording medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8474439B2 (en) 2009-05-21 2013-07-02 Aisan Kogyo Kabushiki Kaisha Fuel vapor processors
JP2014121076A (en) * 2012-12-19 2014-06-30 Toshiba Corp Key management device, communication device, communication system, and program
WO2022097453A1 (en) * 2020-11-04 2022-05-12 日本電気株式会社 Authentication proxy device, authentication proxy method, and recording medium

Similar Documents

Publication Publication Date Title
JP7257561B2 (en) computer-implemented method, host computer, computer-readable medium
JP5749236B2 (en) Key change management device and key change management method
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
US8271788B2 (en) Software registration system
CN105993146A (en) Secure session capability using public-key cryptography without access to the private key
CN102811211A (en) Device supporting login certification and method for login certification
JP5495194B2 (en) Account issuing system, account server, service server, and account issuing method
JP2016019233A (en) Communication system, communication device, key managing device and communication method
JP2007257500A (en) Device to be authenticated, program to be authenticated, method to be authenticated, web browser plug-in, and web browser bookmarklet
JP2018028786A (en) Information processing apparatus, information processing program, information processing method, and information processing system
JP6192495B2 (en) Semiconductor device, information terminal, semiconductor element control method, and information terminal control method
JP2009122921A (en) Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program
CN109428725B (en) Information processing apparatus, control method, and storage medium
KR101797571B1 (en) Client terminal device for generating digital signature and digital signature generation method of the client terminal device, computer readable recording medium and computer program stored in the storage medium
WO2016009497A1 (en) Data falsification detection device, network service providing device, data falsification detection method, network service providing method, and program
JP2001325037A (en) Method and device for writing application in ic card
JP2006186807A (en) Communication support server, method and system
KR20190007336A (en) Method and apparatus for generating end-to-end security channel, and method and apparatus for transmitting/receiving secure information using security channel
JP2018010370A (en) Information processor, information processing system, and information processing method
JP6627398B2 (en) Proxy authentication device, proxy authentication method and proxy authentication program
JP6364957B2 (en) Information processing system, information processing method, and program
JP6162611B2 (en) Communication control server, communication control method, and program
JP2018078592A (en) Communication system, communication device, key management device, and communication method
WO2022097453A1 (en) Authentication proxy device, authentication proxy method, and recording medium
JP2006311622A (en) Method, server and system for communication support