JP2009122921A - Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program - Google Patents
Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program Download PDFInfo
- Publication number
- JP2009122921A JP2009122921A JP2007295693A JP2007295693A JP2009122921A JP 2009122921 A JP2009122921 A JP 2009122921A JP 2007295693 A JP2007295693 A JP 2007295693A JP 2007295693 A JP2007295693 A JP 2007295693A JP 2009122921 A JP2009122921 A JP 2009122921A
- Authority
- JP
- Japan
- Prior art keywords
- access
- authentication
- authentication information
- processing server
- access terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、認証用機器で入力された認証情報を、リモートアクセス対象の情報処理サーバに送信する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムに関する。 The present invention relates to an authentication information transmission system, a remote access management device, an authentication information relay method, and an authentication information relay program for transmitting authentication information input by an authentication device to an information processing server to be remotely accessed.
モバイル機器とモバイルネットワークの普及により、社外のモバイルネットワークなどの外部ネットワークから社内のイントラネットにアクセスする機会が増えてきている。このとき、業務に必要なデータやプログラムなどをモバイル機器内に蓄積していると、モバイル機器を紛失したときに情報漏洩の危険性があるため、業務に必要なものは全てイントラネット内のメールサーバやファイルサーバなどの情報処理サーバにおいておき、外部ネットワークからそれらにアクセスするリモートアクセスを用いる手法が広まってきている。 With the spread of mobile devices and mobile networks, opportunities to access the company intranet from external networks such as external mobile networks are increasing. At this time, if data and programs necessary for work are stored in the mobile device, there is a risk of information leakage if the mobile device is lost, so everything necessary for the work is a mail server in the intranet. In an information processing server such as a file server or a file server, a method using remote access for accessing them from an external network has become widespread.
このような、リモートアクセスには、WWW(World Wide Web)ブラウザを用いる方法や、画面転送型のシンクライアントを用いる方法が広く用いられている。 For such remote access, a method using a WWW (World Wide Web) browser and a method using a screen transfer type thin client are widely used.
しかし、イントラネット内の情報処理サーバにリモートアクセスする際に利用するアクセス用端末は、インターネットカフェなど公共の場に備えられているPC(Personal Computer)であることも珍しくなく、そのようなアクセス用端末にはキーロガーなどの悪意のあるプログラムが備えられている可能性がある。そのため、リモートアクセス対象の情報処理サーバから、アクセス用端末からのリモートアクセスを認証するリモートアクセス認証に用いる、アクセス用端末を使用しているユーザを証明する認証情報を要求された際に、アクセス用端末から認証情報の入力をおこなうと、キーロガーにより認証情報を盗まれる危険性がある。 However, it is not uncommon for an access terminal used for remote access to an information processing server in an intranet to be a PC (Personal Computer) provided in a public place such as an Internet cafe. May have malicious programs such as keyloggers. Therefore, when the information processing server for remote access requests authentication information for certifying the user using the access terminal, which is used for remote access authentication for authenticating remote access from the access terminal, When authentication information is input from a terminal, there is a risk that the authentication information is stolen by a key logger.
このような危険性を避けるために、IC(Integrated Circuit)カードやUSB(Universal Serial Bus)メモリなどに、認証情報を記憶した本人認証装置を用いてリモートアクセス認証をおこなう認証方式が存在している。 In order to avoid such a risk, there is an authentication method for performing remote access authentication using a personal authentication device storing authentication information in an IC (Integrated Circuit) card or a USB (Universal Serial Bus) memory. .
例えば、特許文献1には、リモートアクセスに際して、アクセス用端末に接続された本人認証装置を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献1では、リモートアクセス認証をおこなうにあたり、アクセス用端末に本人認証装置を接続し、主認証装置にリモートアクセス認証を要求する。主認証装置は、アクセス用端末を介して、本人認証装置から認証情報を取得し、取得した認証情報を用いて本人認証装置からのリモートアクセス認証をおこない、本人認証装置が接続されているアクセス用端末からのリモートアクセスの可否を判定する。
For example,
また、特許文献2には、リモートアクセスに際して、ユーザが保持する携帯端末機器を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献2では、アクセス用端末と情報処理サーバ間で通信されるデータをプロキシサーバの要領で中継する中継装置が存在する。アクセス用端末から情報処理サーバへのリモートアクセスに際し、中継装置は、携帯端末機器に認証情報の入力を要求し、携帯端末機器から送信されてきた認証情報を用いて情報処理サーバにリモートアクセスを要求し、情報処理サーバから送信されてきたリモートアクセス認証の結果をアクセス用端末に送信する。
しかしながら、特許文献1に記載されているような、リモートアクセス認証にICカードなどの本人認証装置を用いる技術には、本人認証装置を用いた認証方式に対応していない情報処理サーバが存在すると、その情報処理サーバへのリモートアクセスの際には、アクセス用端末から認証情報の入力をおこなう必要があり、キーロガーによる認証情報の漏洩の危険性が依然として存在するという課題がある。
However, in a technique using a personal authentication device such as an IC card for remote access authentication as described in
また、特許文献2に記載されている、リモートアクセス認証に携帯端末機器を用いる技術では、アクセス用端末は中継装置に接続し、情報処理サーバは中継装置からのリモートアクセス認証をおこなうため、中継装置が対応していない認証方式を持つ情報処理サーバにはリモートアクセスできず、任意の認証方式を持つ情報処理サーバに対応できないという課題がある。 Also, in the technology using a mobile terminal device for remote access authentication described in Patent Document 2, the access terminal is connected to the relay device, and the information processing server performs remote access authentication from the relay device. However, there is a problem in that an information processing server having an authentication method that is not supported cannot be accessed remotely and cannot be applied to an information processing server having an arbitrary authentication method.
本発明の目的は、上述した課題を解決する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムを提供することにある。 An object of the present invention is to provide an authentication information transmission system, a remote access management device, an authentication information relay method, and an authentication information relay program that solve the above-described problems.
上記目的を達成するために本発明の認証情報送信システムは、
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。
In order to achieve the above object, the authentication information transmission system of the present invention provides:
An authentication information transmission system for transmitting authentication information to an information processing server targeted for remote access,
An access terminal for remotely accessing the information processing server;
An authentication device that can input the authentication information and does not include a key logger;
Auxiliary communication means for acquiring the authentication information from the authentication device, relaying data communicated between the access terminal and the information processing server, and the authentication information acquired by the auxiliary communication means, A remote access management device comprising: main communication means for converting the data received from the access terminal into the same format as the data received from the access terminal and transmitting the data to the information processing server.
上記目的を達成するために本発明のリモートアクセス管理装置は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とする。
In order to achieve the above object, the remote access management device of the present invention provides:
A remote access management device for relaying authentication information to a remote access target information processing server,
Auxiliary communication means capable of inputting the authentication information and obtaining the authentication information from an authentication device not equipped with a key logger;
While relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, the authentication information acquired by the auxiliary communication means is the same as the data received from the access terminal And a main communication means for converting to a format and transmitting to the information processing server.
上記目的を達成するために本発明の認証情報中継方法は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする。
In order to achieve the above object, the authentication information relay method of the present invention comprises:
An authentication information relay method performed by a remote access management device for relaying authentication information to an information processing server targeted for remote access,
Obtaining the authentication information from an authentication device capable of inputting the authentication information and not including a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a step of transmitting to the information processing server.
上記目的を達成するために本発明の認証情報中継プログラムは、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であってキーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする。
In order to achieve the above object, the authentication information relay program of the present invention provides:
In the remote access management device for relaying authentication information to the remote access target information processing server,
A procedure for acquiring the authentication information from an authentication device that can input the authentication information and does not include a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a procedure of transmitting to the information processing server.
上述のように、本発明によれば、リモートアクセス対象の情報処理サーバに認証情報を送信する際に、認証情報を、キーロガーが備えられている可能性のあるアクセス用端末ではなく、キーロガーを備えない認証用機器から入力するため、安全に認証情報を入力することができる。 As described above, according to the present invention, when transmitting authentication information to a remote access target information processing server, the authentication information is provided not with an access terminal that may be provided with a key logger but with a key logger. Authentication information can be input safely because there is no authentication device.
また、認証用機器で入力された認証情報は、リモートアクセス管理装置にて、アクセス用端末から送信されてきたデータと同じ形式に変換され、情報処理サーバに送信されるため、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができる。 In addition, the authentication information input by the authentication device is converted into the same format as the data transmitted from the access terminal by the remote access management device and transmitted to the information processing server. Remote access to the information processing server is available.
これにより、信頼のおけない環境下でも安全に認証情報を入力し、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができるという効果が得られる。 As a result, it is possible to input authentication information safely even in an unreliable environment and to remotely access an information processing server having an arbitrary authentication method.
以下に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。 The best mode for carrying out the present invention will be described below in detail with reference to the drawings.
(第1の実施形態)
図1に、本発明の第1の実施形態の認証情報送信システムの構成を示す。
(First embodiment)
FIG. 1 shows the configuration of an authentication information transmission system according to the first embodiment of the present invention.
図1に示すように、本実施形態の認証情報送信システムは、サーバ群130に含まれるリモートアクセス対象の情報処理サーバ(メールサーバ131やWWWサーバ132など)に対し、認証情報140を送信するものであり、プログラム制御により動作するリモートアクセス管理装置100と、アクセス用端末110と、認証用機器120と、を有している。なお、サーバ群130に含まれる各情報処理サーバは、それぞれ任意の認証方式を持つものとする。
As shown in FIG. 1, the authentication information transmission system of this embodiment transmits
アクセス用端末110は、本システムのユーザが、サーバ群130に含まれる各情報処理サーバにリモートアクセスするために使用する情報処理装置である。
The
認証用機器120は、アクセス用データ記憶手段121と、入力手段122と、第1通信手段123と、第2通信手段124と、を有し、キーロガーを備えないデバイスである。
The
アクセス用データ記憶手段121は、後述するリモートアクセス管理装置100の主通信手段101がアクセス用端末110からのアクセスを認証するアクセス認証に用いる、アクセス認証用の情報121aを記憶するための手段である。
The access data storage unit 121 is a unit for storing
入力手段122は、サーバ群130に含まれる各情報処理サーバがアクセス用端末110からのリモートアクセスを認証するリモートアクセス認証に用いる、認証情報140を入力するための手段である。
The
第1通信手段123は、後述するリモートアクセス管理装置100の補助通信手段102と通信するための手段である。
The
第2通信手段124は、アクセス用端末110と通信するための手段である。
The
リモートアクセス管理装置100は、主通信手段101と、補助通信手段102と、を有している。
The remote
補助通信手段102は、認証用機器120の第1通信手段123から送信されてきた認証情報140を受信し、主通信手段101に転送する。
The
主通信手段101は、認証用機器120の第2通信手段124を用いて、アクセス用端末110を介して認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、アクセス用端末110からのアクセス認証をおこなう。アクセス認証後は、アクセス用端末110とサーバ群130に含まれるリモートアクセス対象の情報処理サーバ間で通信されるデータの中継をおこなう。また、リモートアクセス認証の際に、補助通信手段102から転送されてきた認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し、サーバ群130に含まれるリモートアクセス対象の情報処理サーバに送信する。
The
なお、主通信手段101とアクセス用端末110間の通信と、補助通信手段102と認証用機器120の第1通信手段123間の通信と、は異なる通信路を用いておこなわれるものとする。
Note that communication between the
以下に、図2の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象の情報処理サーバがサーバ群130のメールサーバ131であるものとして説明する。
The operation of the authentication process in the authentication information transmission system of this embodiment will be described below with reference to the flowchart of FIG. In the following description, it is assumed that the remote access target information processing server is the
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
First, the
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ201)。
Next, the main communication means 101 performs access authentication from the
次に、アクセス用端末110は、主通信手段101を介して、メールサーバ131へのリモートアクセスをおこなう(ステップ202)。
Next, the
メールサーバ131が、リモートアクセス認証に用いる認証情報140を要求した場合(ステップ203)、ユーザは、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ204)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ205)。
When the
補助通信手段102は、第1通信手段123から送信されてきた認証情報140を、主通信手段101に転送する。
The
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し(ステップ206)、メールサーバ131に送信する。
The
メールサーバ131は、主通信手段101から送信されてきた認証情報140を用い、アクセス用端末110からのリモートアクセス認証をおこなう(ステップ207)。
The
次に、本実施形態の効果について説明する。 Next, the effect of this embodiment will be described.
本実施形態では、メールサーバ131にリモートアクセスするための認証情報140は、キーロガーが備えられている可能性のあるアクセス用端末110ではなく、キーロガーを備えない認証用機器120から入力する構成となっているため、安全に認証情報140を入力することができるという効果が得られる。
In this embodiment, the
また、本実施形態では、認証用機器120で入力された認証情報140を、リモートアクセス管理装置100にてアクセス用端末110から送信されてきたデータと同じ形式に変換し、メールサーバ131に送信する構成となっているため、任意の認証方式を持つメールサーバ131にリモートアクセスすることができるという効果が得られる。
In the present embodiment, the
(第2の実施形態)
図3に、本発明の第2の実施形態の認証情報送信システムの構成を示す。
(Second Embodiment)
FIG. 3 shows the configuration of the authentication information transmission system according to the second embodiment of the present invention.
図3に示すように、本実施形態の認証情報送信システムは、第1の実施形態と比較して、アクセス中継手段340を設けた点が異なる。それ以外の構成要素は、第1の実施形態と同様であるため、図1と同一の符号を付し、適宜説明を省略する。
As shown in FIG. 3, the authentication information transmission system of the present embodiment is different from the first embodiment in that an
アクセス中継手段340は、主通信手段101とサーバ群130との間に配置され、アクセス用端末110から主通信手段101を経由して受信した操作データを基にサーバ群130に含まれる各情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、各情報処理サーバから受信した画面データを、主通信手段101を経由してアクセス用端末110に送信する。
The access relay means 340 is arranged between the main communication means 101 and the
以下に、図4の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
The operation of the authentication process in the authentication information transmission system of this embodiment will be described below with reference to the flowchart of FIG. In the following description, it is assumed that the remote access target is the
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されていているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
First, the
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ401)。
Next, the main communication means 101 performs access authentication from the
次に、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し(ステップ402)、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう(ステップ403)。
Next, the
上述したリモート操作は、具体的には、アクセス用端末110は、キーボードの押下データなどの操作データを、主通信手段101を経由して、アクセス中継手段340に送信し、アクセス中継手段340は、受信した操作データに基づいてリモートアクセスを実行し、リモートアクセスの結果としてメールサーバ131から受信した画面データを、主通信手段101を経由して、アクセス用端末110に送信することでおこなわれる。
Specifically, in the remote operation described above, the
メールサーバ131がリモートアクセス認証に用いる認証情報140を要求する場合(ステップ404)、認証情報140を要求する旨の画面データを、アクセス中継手段340に送信し、アクセス中継手段340は、メールサーバ130から送信されてきた画面データをアクセス用端末110に送信し、アクセス用端末110は、アクセス中継手段340から送信されてきた画面データを表示する。
When the
ユーザは、アクセス用端末110に認証情報140を要求する旨の画面データが表示されると、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ405)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ406)。
When the screen data for requesting the
補助通信手段102は、認証用機器120から送信されてきた認証情報140を、主通信手段101に転送する。
The
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきた操作データと同じ形式に変換し(ステップ407)、アクセス中継手段340に送信する。
The
アクセス中継手段340は、主通信手段101から認証情報140が操作データとして送信されてくると、その操作データに基づく処理を実行することで認証情報140を取得し、認証情報140をメールサーバ131に送信する。
When the
メールサーバ131は、アクセス中継手段340から送信されてきた認証情報140を用いて、アクセス中継手段340からのリモートアクセス認証をおこなう(ステップ408)。
The
次に、本実施形態の効果について説明する。 Next, the effect of this embodiment will be described.
本実施形態の認証情報送信システムでは、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう構成となっている。そのため、ユーザは、アクセス用端末110に備えられているコンピュータウイルス等の悪意のあるプログラムにより汚染されている可能性のあるアプリケーションではなく、アクセス中継手段340に備えられている信頼性の高いアプリケーションを使用し、メールサーバ131にリモートアクセスをおこなうことができる。このように、本実施形態では、第1の実施形態で得られる効果に加え、安全なアプリケーションを使用し、リモートアクセスをおこなうことができるという効果が得られる。
In the authentication information transmission system of the present embodiment, the
(第3の実施形態)
図5に、本発明の第3の実施形態の認証情報送信システム構成を示す。
(Third embodiment)
FIG. 5 shows an authentication information transmission system configuration according to the third embodiment of the present invention.
図5に示すように、本実施形態の認証情報送信システムは、第2の実施形態と比較して、リモートアクセス管理装置100、アクセス用端末110、および認証用機器120の代わりに、それぞれ、リモートアクセス管理装置500、アクセス用端末510、および認証用機器520を設けた点が異なる。
As shown in FIG. 5, the authentication information transmission system of this embodiment is different from the second embodiment in that each of the remote
以下では、本実施形態の構成および動作のうち、第2の実施形態と異なる点について説明する。 Hereinafter, differences from the second embodiment in the configuration and operation of the present embodiment will be described.
認証用機器520は、アクセス用データ記憶手段521と、入力手段522と、第1通信手段523と、第2通信手段524と、を有し、キーロガーを備えないデバイスである。
The
第1通信手段523は、後述するリモートアクセス管理装置500の補助通信手段502と通信するための手段であり、補助通信手段502に、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aと公開鍵504a)の生成要求を送信するとともに、補助通信手段502から送信されてきた秘密鍵521aを受信する。
The
アクセス用データ記憶手段521は、補助通信手段502から第1通信手段523に送信されてきた秘密鍵521aを記憶するための手段である。また、アクセス用データ記憶手段521は、後述するリモートアクセス管理装置500の主通信手段501がアクセス用端末510からのアクセス認証に用いるアクセス認証用の情報121aも記憶しているものとする。
The access
入力手段522は、サーバ群130に含まれる各情報処理サーバがアクセス用端末510からのリモートアクセス認証に用いる認証情報140を入力するための手段である。
The
第2通信手段524は、後述するアクセス用端末510と通信するための手段である。
The
リモートアクセス管理装置500は、主通信手段501および補助通信手段502に加えて、鍵生成手段503と、データ記憶手段504と、を有している。
The remote
鍵生成手段503は、認証用機器520および主通信手段501からの鍵ペアの生成要求を受信し、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aおよび公開鍵504a)を生成する。また、鍵生成手段503は、生成した秘密鍵521aを補助通信手段502から認証用機器520の第1通信手段523に送信するとともに、生成した公開鍵504aをデータ記憶手段504に記憶する。
The
補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた、鍵ペアの生成要求を受信し、鍵生成手段503に転送し、鍵生成手段503が生成した秘密鍵521aを、第1通信手段523に送信する。また、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。
The
主通信手段501は、アクセス用端末510がアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、アクセス用端末510からのアクセス認証をおこなう。また、主通信手段501は、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、鍵生成手段503に新たな鍵ペア(新たな秘密鍵521bおよび公開鍵504b)の生成要求を送信する。その後、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
The main communication unit 501 obtains the
アクセス用端末510は、本システムのユーザが、メールサーバ131にリモートアクセスするために使用する情報処理装置である。アクセス用端末510は、認証用機器520のアクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化する。また、アクセス用端末510は、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する。さらに、アクセス用端末510は、アクセス認証後、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、アクセス用データ記憶手段521に記憶されている秘密鍵521aが秘密鍵521bに更新されているかを確認する。アクセス用端末510は、秘密鍵521aが更新されていれば、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。アクセス用端末510は、秘密鍵521aが更新されていなければ、主通信手段501との通信を終了する。
The
以下に、図6および図7の流れ図を参照して本実施形態の認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
The operation of the authentication process according to this embodiment will be described below with reference to the flowcharts of FIGS. In the following description, it is assumed that the remote access target is the
最初に、リモートアクセス管理装置500におけるアクセス認証処理の動作について図6を用いて説明する。
First, the operation of access authentication processing in the remote
まず、認証用機器520は、第1通信手段523から、鍵ペアの生成要求を補助通信手段502に送信する。
First, the
次に、補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた鍵ペアの生成要求を受信し、鍵生成手段503に転送する。
Next, the
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペア(秘密鍵521aと公開鍵504a)を生成する(ステップ601)。また、鍵生成手段503は、生成した公開鍵504aをデータ記憶手段504に記憶する。
Next, the
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう(ステップ602)。補助通信手段502は、認証用機器520が利用可能な認証用機器である場合、鍵生成手段503が生成した秘密鍵521aを第1通信手段523に送信する(ステップ603)。
Next, the
次に、主通信手段501は、アクセス用端末510が認証用機器520のアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したアクセス認証用の情報121aを用いて、アクセス用端末510からのアクセス認証をおこなう(ステップ604)。
Next, the main communication unit 501 uses the
次に、主通信手段501は、アクセス用端末510とアクセス中継手段340間で通信されるデータの中継をおこなうとともに(ステップ605)、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると(ステップ606)、鍵生成手段503に新たな鍵ペアの生成要求を送信する。
Next, the main communication unit 501 relays data communicated between the
次に、鍵生成手段503は、主通信手段501から送信されてきた鍵ペアの生成要求を受信し、新たな鍵ペア(秘密鍵521bと公開鍵504b)を生成する(ステップ607)。また、鍵生成手段503は、生成した秘密鍵521bを補助通信手段502から第1通信手段523に送信するとともに(ステップ608)、データ記憶手段504に記憶されている公開鍵504aを生成した公開鍵504bに更新する。
Next, the
その後、主通信手段510は、アクセス用端末510と通信したデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
Thereafter, after the amount of data communicated with the
以降、主通信手段501は、アクセス用端末510との通信が行われている間、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとにステップ605以降の動作を繰り返す。
Thereafter, the main communication means 501 counts the amount of data communicated with the
次に、アクセス用端末510および認証用機器520におけるアクセス認証処理の動作について図7を用いて説明する。
Next, the operation of access authentication processing in the
まず、認証用機器520は、第2通信手段524を用いてアクセス用端末510と接続するとともに、第1通信手段523から、補助通信手段502に鍵ペアの生成要求を送信する(ステップ701)。
First, the
次に、認証用機器520は、補助通信手段502から送信されてきた鍵生成手段503が生成した秘密鍵521aを、アクセス用データ記憶手段521に記憶する。
Next, the
次に、アクセス用端末510は、アクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化し、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する(ステップ702)。
Next, the
次に、アクセス用端末510は、主通信手段501を介して、アクセス中継手段340とリモート接続し(ステップ703)、アクセス中継手段340をリモート操作して、メールサーバ131にリモートアクセスする(ステップ704)。
Next, the
ユーザは、メールサーバ131から、リモートアクセス認証に用いる認証情報140を要求された場合、第2の実施形態と同様に、認証用機器520の入力手段522を用いて認証情報140を入力し(ステップ709)、入力した認証情報140を第1通信手段523から補助通信手段502に送信する(ステップ710)。
When the user
アクセス用端末510は、アクセス認証後、アクセス中継手段340とリモート接続し、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達したかを判定する(ステップ705)。
The
アクセス用端末510は、カウントしたデータ量が一定量に達していない場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ706)。
If the counted data amount has not reached a certain amount, the
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信に異常が生じたと判断し通信を終了する。
When the secret key 521a has been updated, the
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信は正常であると判断し通信を継続する。
If the secret key 521a has not been updated, the
アクセス用端末510は、カウントしたデータ量が一定量に達している場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ707)。
When the counted data amount reaches a certain amount, the
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信は正常であると判断し、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する(ステップ708)。
When the secret key 521a is updated, the
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じた判断し通信を終了する。
If the secret key 521a has not been updated, the
以降、アクセス用端末510は、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、ステップ704以降の動作を繰り返す。
Thereafter, the
次に、本実施形態の効果について説明する。 Next, the effect of this embodiment will be described.
本実施形態の認証情報送信システムでは、主通信手段501は、アクセス用端末510と通信したデータ量が一定量に達するごとに、アクセス認証用の情報121aを暗号化および複合化するための鍵ペアを更新し、鍵ペアを更新するごとに、新たな鍵ペアを用いたアクセス認証を必要とし、新たな鍵ペアを用いたアクセス認証がおこなわれない場合、アクセス用端末510との通信を終了する構成となっている。そのため、秘密鍵521aがアクセス用端末510から不正にコピーされ、他のシステムで利用された場合でも、秘密鍵521aの更新の有無から不正利用を検出し、その通信を終了することができる構成となっている。このように本実施形態では、第1および第2の実施形態の効果に加え、不正なアクセスを検知し、その通信を終了することができるという効果が得られる。
In the authentication information transmission system of the present embodiment, the main communication unit 501 encrypts and decrypts the
上述した第1〜第3の実施形態の認証情報送信システムは、一例であり、その構成及び動作は、発明の主旨を逸脱しない範囲で、適宜に変更可能である。 The authentication information transmission system of the first to third embodiments described above is an example, and the configuration and operation thereof can be changed as appropriate without departing from the gist of the invention.
例えば、第1〜第3の実施形態では、認証用機器120(または520)の入力手段122(または522)を用いて認証情報140の入力をおこなっているが、あらかじめ認証情報140をアクセス用データ記憶手段121(または521)に記憶しておき、リモートアクセス対象の情報処理サーバがリモートアクセス認証に用いる認証情報140を要求した場合、アクセス用データ記憶手段121(または521)に記憶されている認証情報140を、リモートアクセス管理装置100(または500)を経由して、情報処理サーバに送信するようにしてもよい。
For example, in the first to third embodiments, the
また、例えば、第1〜第3の実施形態では、最小構成のためアクセス用端末110(または510)と、認証用機器120(または520)と、はシステム中に各1台しか存在しないので、リモートアクセス管理装置100(または500)では、これらの結びつけをおこなう手段は必要としないが、リモートアクセス管理装置100(または500)に、アクセス用端末110(または510)と認証用機器120(または520)を結び付ける情報を記憶する手段(例えば、データベースや、第3の実施形態であればデータ記憶手段504など)を設けることで、複数のアクセス用端末および認証用機器が利用できるようにしてもよい。 Further, for example, in the first to third embodiments, there is only one access terminal 110 (or 510) and authentication device 120 (or 520) in the system because of the minimum configuration. The remote access management device 100 (or 500) does not require means for linking these, but the access terminal 110 (or 510) and the authentication device 120 (or 520) are connected to the remote access management device 100 (or 500). ) (For example, a database or a data storage unit 504 in the third embodiment) may be provided so that a plurality of access terminals and authentication devices can be used. .
次に、具体的な実施例を用いて本発明を実施するための最良の形態を説明する。 Next, the best mode for carrying out the present invention will be described using specific examples.
(実施例1)
本実施例は、図3に示した第2の実施形態の認証情報送信システムを、具体化したものである。
Example 1
The present embodiment is a concrete implementation of the authentication information transmission system of the second embodiment shown in FIG.
本実施例では、アクセス用端末110として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末110をPC110と称する。
In the present embodiment, a PC provided in a public place such as an Internet cafe is used as the
また、本実施例では、認証用機器120として、PC110を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器120を携帯電話120と称し、アクセス用データ記憶手段121をメモリ121と称する。また、アクセス認証用の情報121aとしては、ユーザ証明書、パスワード、携帯電話固有の機器IDなどを用いることができるが、本実施例では、ユーザ証明書を用いるものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、第2通信手段124としては、例えば、USB通信のような有線通信もしくはBluetoothのような無線通信のいずれも使用できるが、本実施例では、USB通信を使用するものとする。
In this embodiment, the
また、本実施例では、アクセス中継手段340として、シンクライアントサーバを備えたイントラネット内のPCを使用するものとし、以下では、アクセス中継手段340をPC340と称する。
In this embodiment, a PC in an intranet having a thin client server is used as the
また、本実施例では、PC110は、PC340にリモート接続するための手段として、例えば、当業者によく知られたVNC(Virtual Networc Computing:http://www.realvnc.comなどから取得可能)を使用するものとし、PC340には、PC110からのリモート接続を受け付けるシンクライアントサーバであるVNCサーバが備えられているものとする。
Further, in the present embodiment, the
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
The operation of the authentication process in the authentication information transmission system of this embodiment will be described below. In the following description, it is assumed that the remote access target is the
まず、PC110は、携帯電話120のメモリ121に記憶されているユーザ証明書121aを取得し、主通信手段101に送信する。
First, the
次に、主通信手段101は、PC110から送信されてきたユーザ証明書121aを用いて、例えば、当業者によく知られたアクセス認証手順である、TLS(Transport Layer Security:TLSの詳細な認証手順についてはRFC2246を参照)プロトコルに従い、PC110からのアクセス認証をおこなう。TLS以外に、同じく当業者によく知られたパスワード認証や、あらかじめ接続可能なPC110を特定するための機器ID情報を主通信手段101内に登録しておき、PC110から送られてくる機器IDと一致するかどうかでアクセス認証をおこなうようにしても良い。
Next, the
アクセス認証に成功した場合、主通信手段101は、PC110とVPN(Virtual Private Netwrok)を形成する。
When the access authentication is successful, the
PC110は、アクセス認証後は、このVPNを経由して主通信手段101と通信をおこなう。
After the access authentication, the
次に、PC110は、VNCを用いて、PC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。
Next, the
PC110は、PC340をリモート操作するに当たり、キーボードやマウスなどの入力手段に入力された操作データを送信し、PC340は、受信した操作データに基づいてメールサーバ131へのリモートアクセスを実行し、その結果としてメールサーバ131から送信されてきた画面データをPC110に送信し、PC110は受信した画面データをディスプレイなどの出力装置に表示する。すなわち、ユーザには、PC110上であたかもPC340を直接操作しているかのような、リモート操作環境が提供される。
When the
次に、リモートアクセスをおこなっているメールサーバ131が、メール取得の可否を判定するために、リモートアクセス認証に用いる認証情報140を要求した場合、ユーザは、PC110ではなく、携帯電話120の入力手段122へのキー入力により認証情報140の入力をおこなう。ここでは、パスワードを要求されたものとし、以下では、認証情報140をパスワード140と称する。
Next, when the
次に、携帯電話120は、ユーザにより入力されたパスワード140を、例えば、携帯電話網のような、比較的盗聴などの危険性が低い通信路を用いて、補助通信手段102に送信する。
Next, the
次に、補助通信手段102は携帯電話120から送信されてきたパスワード140を、主通信手段101に転送する。
Next, the
次に、主通信手段101は、補助通信手段102から転送されたパスワード140を、PC110から送信されてきた操作データと同じ形式に変換し、PC340に送信する。
Next, the
より具体的には、パスワード140は、PC110の入力手段に入力された操作データ、例えば、キーボードの押下データや、マウスの移動データ、またはマウスのクリックイベントデータなどの形式に変換され、PC340に送信される。これにより、PC340は、あたかもPC110でパスワード140の入力がおこなわれたかのように、パスワード140の操作データを受信することができる。
More specifically, the
その後、PC340は、パスワード140をメールサーバ131に送信し、メールサーバ131は、PC340から送信されてきたパスワード140を用いてPC340からのリモートアクセス認証をおこなう。
Thereafter, the
また、本実施例では、パスワード140を要求された際に、携帯電話120の入力手段122からパスワード140の入力をおこなうとなっているが、パスワード140をあらかじめ携帯電話120のメモリ121に記憶しておき、パスワード140が要求された際には、例えば、携帯電話120の入力手段122であるキーのいずれかにパスワード送信の動作を割り振り、そのキーを押すことにより、メモリ121に記憶されているパスワード140を補助通信手段102に送信するようにしても良い。このようにすると、携帯電話120の入力手段122でパスワード140を直接入力することがなくなるため、パスワード140の入力の手間を削減できるだけでなく、パスワード140入力時の盗み見を防止することができるようになるという効果が得られる。
In this embodiment, when the
(実施例2)
本実施例は、図5に示した第3の実施形態の認証情報送信システムを、具体化したものである。
(Example 2)
The present embodiment is a concrete implementation of the authentication information transmission system of the third embodiment shown in FIG.
本実施例では、アクセス用端末510として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末510をPC510と称する。また、PC510で、アクセス認証に必要な動作をおこなう必要があるため、PC510に、アクセス認証に必要な動作を実行させるアクセス認証用のプログラムを、PC510上で実行する必要がある。ここでは、アクセス認証用のプログラムを、あらかじめ認証用機器520のアクセス用データ記憶手段521やUSBメモリなどに記憶しておき、リモートアクセスの際に、PC510にそれらを接続し、PC510上でアクセス認証用のプログラム実行することで、主通信手段501にアクセス認証を要求するものとする。
In this embodiment, it is assumed that a PC provided in a public place such as an Internet cafe is used as the
また、本実施例では、認証用機器520として、PC510を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器520を携帯電話520と称し、アクセス用データ記憶手段521をメモリ521と称する。また、本実施例では、アクセス認証用の情報121aとして、ユーザ証明書を使用するものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、本実施例では、第2通信手段524として、USB通信を使用するものとする。
In this embodiment, a mobile phone in which a user certificate that proves a user using the
また、本実施例では、実施例1と同様に、アクセス中継手段340をPC340と称し、また、PC510は、PC340にリモート接続するための手段としてVNCを使用するものとする。
In this embodiment, as in the first embodiment, the
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
The operation of the authentication process in the authentication information transmission system of this embodiment will be described below. In the following description, it is assumed that the remote access target is the
まず、携帯電話520は、補助通信手段502に鍵ペアの生成要求を送信する。
First, the
次に、補助通信手段502は、携帯電話520から送信されてきた鍵ペアの生成要求を鍵生成手段503に転送する。
Next, the
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペアを生成する。
Next, the
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた携帯電話520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。なお、携帯電話520を識別するための機器IDや電話番号といった識別データは、あらかじめリモートアクセス管理装置500が有するデータ記憶手段504などの記憶装置に記憶されているものとする。
Next, the
鍵ペアの生成要求を送信してきた携帯電話520が、利用可能な認証用機器であった場合、鍵生成手段503は、補助通信手段502から携帯電話520に秘密鍵521aを送信し、携帯電話520は、受信した秘密鍵521aをメモリ521に記憶する。
When the
なお、携帯電話520と補助通信手段502間の通信は、比較的盗聴などの危険性の少ない携帯電話網などの通信路を用いておこなわれるものとする。
It is assumed that communication between the
次に、PC540は、携帯電話520のメモリ521に記憶されている秘密鍵521aおよびユーザ証明書121aを取得し、秘密鍵521aを用いてユーザ証明書121aを暗号化する。
Next, the PC 540 acquires the private key 521a and the
次に、PC510は、暗号化したユーザ証明書121aを主通信手段501に送信し、アクセス認証を要求する。
Next, the
主通信手段501は、PC510から送信されてきた暗号化されたユーザ証明書121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したユーザ証明書121aを用いて、PC510からのアクセス認証をおこなう。
The main communication unit 501 decrypts the
なお、主通信手段501でおこなうアクセス認証には、公開鍵方式を利用できる任意の認証方式を用いるものとする。 It is assumed that an arbitrary authentication method that can use the public key method is used for the access authentication performed by the main communication unit 501.
アクセス認証が成功した場合、主通信手段501は、実施例1と同様に、PC510とVPNを形成する。PC510は、アクセス認証後は、このVPNを経由して主通信手段501と通信をおこない、VNCを用いてPC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。なお、以降のメールサーバ131へのリモートアクセス動作は、上述した実施例1と同様のため、説明を省略する。
When the access authentication is successful, the main communication unit 501 forms a VPN with the
次に、アクセス認証後の動作について説明する。 Next, the operation after access authentication will be described.
最初に、リモートアクセス管理装置500における動作について説明する。
First, the operation in the remote
アクセス認証後、主通信手段501は、PC510と通信したデータ量が一定量に達するごとに、鍵生成手段503を用いて、新たな鍵ペアを生成する。
After the access authentication, the main communication unit 501 uses the
鍵生成手段503は、新たな鍵ペア(秘密鍵521bおよび公開鍵504b)を生成するごとに、秘密鍵521bを補助通信手段502から携帯電話520に送信するとともに、データ記憶手段504に記憶されている公開鍵504aを公開鍵504bに更新する。
Every time a new key pair (secret key 521b and public key 504b) is generated, the
その後、主通信手段501は、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、PC510から、秘密鍵521bで暗号化されたユーザ証明書121aが送信されてこない場合、PC510との通信を終了する。
After that, the main communication means 501 transmits the
次に、PC510および携帯電話520における動作、について説明する。
Next, operations in
アクセス認証後、携帯電話520は、補助通信手段502から秘密鍵521bを受信するたびに、メモリ521に記憶されている秘密鍵521aを受信した秘密鍵521bに更新する。
After the access authentication, the
PC510は、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、携帯電話520のメモリ521に記憶されている秘密鍵521aが密秘密521bに更新されているかを確認する。
The
PC510は、秘密鍵521aが更新されている場合、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。
If the secret key 521a has been updated, the
また、PC510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じたと判断し、通信を終了する。
If the secret key 521a has not been updated, the
なお、本発明のリモートアクセス管理装置100(または500)は、上述のように専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをリモートアクセス管理装置100(または500)に読み込ませ、実行するものであっても良い。リモートアクセス管理装置100(または500)で読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、リモートアクセス管理装置100(または500)に内蔵されるハードディスク装置等の記憶装置を指す。さらに、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にリモートアクセス管理装置100(または500)内部の揮発性メモリのように一定時間プログラムを保持しているものを含む。 Note that the remote access management apparatus 100 (or 500) of the present invention, in addition to the one realized by dedicated hardware as described above, stores a program for realizing its function in the remote access management apparatus 100 (or 500). The remote access management device 100 (or 500) may read and execute the program recorded on the recording medium that can be read by the remote access management device. The recording medium readable by the remote access management device 100 (or 500) includes a recording medium such as a floppy disk, a magneto-optical disk, and a CD-ROM, and a hard disk device built in the remote access management device 100 (or 500). Refers to a storage device. Furthermore, the recording medium readable by the remote access management apparatus 100 (or 500) is dynamically stored in the remote access management apparatus 100 (or 500) for a short period of time as in the case of transmitting a program via the Internet. Such as a volatile memory that holds a program for a certain period of time.
本発明は、認証情報を情報処理サーバに送信する用途に利用できる。 The present invention can be used for the purpose of transmitting authentication information to an information processing server.
100 リモートアクセス管理装置
101 主通信手段
102 補助通信手段
110 アクセス用端末
120 認証用機器
121 アクセス用データ記憶手段
121a アクセス認証用の情報
122 入力手段
123 第1通信手段
124 第2通信手段
130 サーバ群
131 メールサーバ
132 WWWサーバ
140 認証情報
340 アクセス中継手段
500 リモートアクセス管理装置
501 主通信手段
502 補助通信手段
503 鍵生成手段
504 データ記憶手段
504a,504b 公開鍵
510 アクセス用端末
520 認証用機器
521 アクセス用データ記憶手段
521a,521b 秘密鍵
522 入力手段
523 第1通信手段
524 第2通信手段
DESCRIPTION OF
Claims (10)
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする認証情報送信システム。 An authentication information transmission system for transmitting authentication information to an information processing server targeted for remote access,
An access terminal for remotely accessing the information processing server;
An authentication device that can input the authentication information and does not include a key logger;
Auxiliary communication means for acquiring the authentication information from the authentication device, relaying data communicated between the access terminal and the information processing server, and the authentication information acquired by the auxiliary communication means, An authentication information transmission system comprising: a remote access management device comprising: main communication means for converting data received from an access terminal into the same format as that of data received from the access terminal and transmitting the data to the information processing server.
前記アクセス用端末からのアクセスを認証するアクセス認証に用いるアクセス認証用の情報を暗号化および復号化するための秘密鍵および公開鍵を生成し、前記秘密鍵を前記補助通信手段から前記認証用機器に送信する鍵生成手段と、
前記公開鍵を記憶するデータ記憶手段と、をさらに有し、
前記認証用機器は、前記アクセス認証用の情報と、前記補助通信手段から送信されてきた前記秘密鍵と、を前記アクセス用データ記憶手段に記憶し、
前記アクセス用端末は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、
前記主通信手段は、前記アクセス用端末から送信されてきた暗号化された前記アクセス認証用の情報を、前記データ記憶手段に記憶されている前記公開鍵を用いて復号化し、前記アクセス用端末からのアクセス認証をおこない、前記アクセス認証後、前記アクセス用端末と通信したデータ量が一定量に達するごとに、前記鍵生成手段を用いて新たな秘密鍵および公開鍵を生成し、前記新たな秘密鍵を前記補助通信手段から前記認証用機器に送信するとともに、前記データ記憶手段に記憶されている前記公開鍵を前記新たな公開鍵に更新し、
前記認証用機器は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を、前記補助通信手段から送信されてきた前記新たな秘密鍵に更新し、
前記アクセス用端末は、前記アクセス認証後、前記主通信手段と通信したデータ量が前記一定量に達するごとに、前記秘密鍵が更新されている場合、前記新たな秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、前記秘密鍵が更新されていない場合、前記主通信手段との通信を終了し、
前記主通信手段は、前記アクセス用端末と通信したデータ量が前記一定量に達した後、あらかじめ設定された待ち時間内に、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてきた場合、再度前記アクセス用端末からの前記アクセス認証を行い、前記待ち時間が経過しても、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてこない場合、前記アクセス用端末との通信を終了する、請求項4に記載の認証情報送信システム。 The remote access management device is:
A secret key and a public key for encrypting and decrypting access authentication information used for access authentication for authenticating access from the access terminal are generated, and the secret key is generated from the auxiliary communication means to the authentication device. A key generation means for transmitting to
Data storage means for storing the public key;
The authentication device stores the access authentication information and the secret key transmitted from the auxiliary communication unit in the access data storage unit,
The access terminal encrypts the access authentication information using the secret key stored in the access data storage means and transmits the encrypted information to the main communication means,
The main communication means decrypts the encrypted access authentication information transmitted from the access terminal using the public key stored in the data storage means, and After the access authentication, every time the amount of data communicated with the access terminal reaches a certain amount, a new secret key and a public key are generated using the key generation means, and the new secret key is generated. A key is transmitted from the auxiliary communication means to the authentication device, and the public key stored in the data storage means is updated to the new public key,
The authentication device updates the secret key stored in the access data storage means to the new secret key transmitted from the auxiliary communication means,
After the access authentication, the access terminal uses the new secret key to update the access authentication when the secret key is updated each time the amount of data communicated with the main communication means reaches the predetermined amount. Information for encryption is transmitted to the main communication means, and if the secret key has not been updated, the communication with the main communication means is terminated,
The main communication means transmits the access authentication information encrypted from the access terminal within a predetermined waiting time after the amount of data communicated with the access terminal reaches the predetermined amount. The access authentication from the access terminal is performed again, and the encrypted access authentication information is not transmitted from the access terminal even when the waiting time elapses. The authentication information transmission system according to claim 4, wherein communication with the access terminal is terminated.
前記補助通信手段は、前記認証用機器との通信路に携帯電話網を用いる請求項1から5のいずれか1項に記載に認証情報送信システム。 The authentication device is a mobile phone,
The authentication information transmission system according to claim 1, wherein the auxiliary communication unit uses a mobile phone network as a communication path with the authentication device.
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とするリモートアクセス管理装置。 A remote access management device for relaying authentication information to a remote access target information processing server,
Auxiliary communication means capable of inputting the authentication information and obtaining the authentication information from an authentication device not equipped with a key logger;
While relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, the authentication information acquired by the auxiliary communication means is the same as the data received from the access terminal And a main communication means for converting to a format and transmitting to the information processing server.
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする認証情報中継方法。 An authentication information relay method performed by a remote access management device for relaying authentication information to an information processing server targeted for remote access,
Obtaining the authentication information from an authentication device capable of inputting the authentication information and not including a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, And a step of transmitting to the information processing server.
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする認証情報中継プログラム。 In the remote access management device for relaying authentication information to the remote access target information processing server,
A procedure for acquiring the authentication information from an authentication device that can input the authentication information and does not include a key logger;
Relaying data communicated between the information processing server and the access terminal that remotely accesses the information processing server, and converting the acquired authentication information into the same format as the data received from the access terminal, An authentication information relay program that executes a procedure for transmission to an information processing server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007295693A JP2009122921A (en) | 2007-11-14 | 2007-11-14 | Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007295693A JP2009122921A (en) | 2007-11-14 | 2007-11-14 | Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009122921A true JP2009122921A (en) | 2009-06-04 |
Family
ID=40815017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007295693A Pending JP2009122921A (en) | 2007-11-14 | 2007-11-14 | Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009122921A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8474439B2 (en) | 2009-05-21 | 2013-07-02 | Aisan Kogyo Kabushiki Kaisha | Fuel vapor processors |
JP2014121076A (en) * | 2012-12-19 | 2014-06-30 | Toshiba Corp | Key management device, communication device, communication system, and program |
WO2022097453A1 (en) * | 2020-11-04 | 2022-05-12 | 日本電気株式会社 | Authentication proxy device, authentication proxy method, and recording medium |
-
2007
- 2007-11-14 JP JP2007295693A patent/JP2009122921A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8474439B2 (en) | 2009-05-21 | 2013-07-02 | Aisan Kogyo Kabushiki Kaisha | Fuel vapor processors |
JP2014121076A (en) * | 2012-12-19 | 2014-06-30 | Toshiba Corp | Key management device, communication device, communication system, and program |
WO2022097453A1 (en) * | 2020-11-04 | 2022-05-12 | 日本電気株式会社 | Authentication proxy device, authentication proxy method, and recording medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7257561B2 (en) | computer-implemented method, host computer, computer-readable medium | |
JP5749236B2 (en) | Key change management device and key change management method | |
JP6012888B2 (en) | Device certificate providing apparatus, device certificate providing system, and device certificate providing program | |
US8271788B2 (en) | Software registration system | |
CN105993146A (en) | Secure session capability using public-key cryptography without access to the private key | |
CN102811211A (en) | Device supporting login certification and method for login certification | |
JP5495194B2 (en) | Account issuing system, account server, service server, and account issuing method | |
JP2016019233A (en) | Communication system, communication device, key managing device and communication method | |
JP2007257500A (en) | Device to be authenticated, program to be authenticated, method to be authenticated, web browser plug-in, and web browser bookmarklet | |
JP2018028786A (en) | Information processing apparatus, information processing program, information processing method, and information processing system | |
JP6192495B2 (en) | Semiconductor device, information terminal, semiconductor element control method, and information terminal control method | |
JP2009122921A (en) | Authentication information transmission system, remote access management device, authentication information relay method and authentication information relay program | |
CN109428725B (en) | Information processing apparatus, control method, and storage medium | |
KR101797571B1 (en) | Client terminal device for generating digital signature and digital signature generation method of the client terminal device, computer readable recording medium and computer program stored in the storage medium | |
WO2016009497A1 (en) | Data falsification detection device, network service providing device, data falsification detection method, network service providing method, and program | |
JP2001325037A (en) | Method and device for writing application in ic card | |
JP2006186807A (en) | Communication support server, method and system | |
KR20190007336A (en) | Method and apparatus for generating end-to-end security channel, and method and apparatus for transmitting/receiving secure information using security channel | |
JP2018010370A (en) | Information processor, information processing system, and information processing method | |
JP6627398B2 (en) | Proxy authentication device, proxy authentication method and proxy authentication program | |
JP6364957B2 (en) | Information processing system, information processing method, and program | |
JP6162611B2 (en) | Communication control server, communication control method, and program | |
JP2018078592A (en) | Communication system, communication device, key management device, and communication method | |
WO2022097453A1 (en) | Authentication proxy device, authentication proxy method, and recording medium | |
JP2006311622A (en) | Method, server and system for communication support |