JP5736689B2 - Security management system and security management method - Google Patents

Security management system and security management method Download PDF

Info

Publication number
JP5736689B2
JP5736689B2 JP2010184174A JP2010184174A JP5736689B2 JP 5736689 B2 JP5736689 B2 JP 5736689B2 JP 2010184174 A JP2010184174 A JP 2010184174A JP 2010184174 A JP2010184174 A JP 2010184174A JP 5736689 B2 JP5736689 B2 JP 5736689B2
Authority
JP
Japan
Prior art keywords
security token
log
authentication
information processing
processing terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010184174A
Other languages
Japanese (ja)
Other versions
JP2012043208A (en
Inventor
諭史 秋本
諭史 秋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2010184174A priority Critical patent/JP5736689B2/en
Publication of JP2012043208A publication Critical patent/JP2012043208A/en
Application granted granted Critical
Publication of JP5736689B2 publication Critical patent/JP5736689B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、ICカード等のオフラインデバイスに対するセキュリティ攻撃を検知するセキュリティ管理システム等に関する。   The present invention relates to a security management system for detecting a security attack on an offline device such as an IC card.

近年、情報処理装置を安全に起動するために、ICカードやUSBデバイス等をセキュリティトークンとして使用し、ユーザ認証やシステム検証を行った上で装置を起動させる仕組みが提案されている。ここで、セキュリティトークンとは、データを秘匿に記憶でき、装置に脱着可能なものであり、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM、USBメモリ等が含まれる。以下、これらのICカード類やUSBデバイス等をオフラインデバイスと呼ぶ。   In recent years, in order to start an information processing apparatus safely, a mechanism has been proposed in which an IC card, a USB device, or the like is used as a security token, and the apparatus is started after user authentication or system verification. Here, the security token is data that can be stored secretly and can be attached to and detached from the device. IC cards, SIM (Subscriber Identity Module), USIM (Universal Subscriber Identity Module), which are widely used for employee ID cards, Mini SIM, USB memory, etc. are included. Hereinafter, these IC cards and USB devices are called offline devices.

例えば、特許文献1では、USB互換記憶装置を暗号化キーの格納のためのセキュリティトークンとして使用する例が提示されている、
また、特許文献2には、USB用コネクタを有し、SIMを着脱可能に装着するためのSIMホルダーであって、SIMホルダーの内部にISO7816インターフェース(SIMのインターフェース)をUSBインターフェースに変換するICチップや、非接触通信のためのアンテナコイルや、装着したSIMと電気的接続可能なコンタクト端子板等を設けたものが記載されている。特許文献2に示すSIMホルダーに本人認証データが書きこまれたSIMを装着して携帯すれば、ドアゲートや改札ゲート等の非接触磁界に入った場合には、非接触IDモジュールとして使用することが可能となるとともに、PCのUSBコネクタに接続すればUSBインターフェースIDモジュールとして使用することが可能となる(特許文献2の段落[0049])。 For example, Patent Document 1 provides an example in which a USB compatible storage device is used as a security token for storing an encryption key.
Patent Document 2 discloses a SIM holder that has a USB connector and is detachably mounted on a SIM. The IC chip converts an ISO7816 interface (SIM interface) into a USB interface inside the SIM holder. In addition, an antenna coil for non-contact communication, a contact terminal plate that can be electrically connected to a mounted SIM, and the like are described. If the SIM holder shown in Patent Document 2 is equipped with a SIM in which personal authentication data is written and is carried, it can be used as a non-contact ID module when entering a non-contact magnetic field such as a door gate or a ticket gate. In addition, it can be used as a USB interface ID module by connecting to a USB connector of a PC (paragraph [0049] of Patent Document 2).

ところで、本人を認証する方法としては、例えばPIN(Personal Identification Number)認証等が一般に知られている。PIN認証では、上述のオフラインデバイスに4桁数字等のPIN認証情報を格納しておき、このPIN認証情報と、情報処理端末のインターフェースを介して入力されたPINコードとを照合することにより、本人認証が行われる。そして、許容可能な連続失敗回数を超えて照合が失敗した場合には、オフラインデバイスに格納されているPIN認証情報を使用不能にする等の処理を施して、デバイスや機器を保護するようにしている。   By the way, as a method for authenticating an individual, for example, PIN (Personal Identification Number) authentication is generally known. In PIN authentication, PIN authentication information such as a four-digit number is stored in the above-mentioned offline device, and the PIN authentication information is collated with the PIN code input via the interface of the information processing terminal. Authentication is performed. If the verification fails beyond the allowable number of consecutive failures, the PIN authentication information stored in the offline device is disabled to protect the device or device. Yes.

特表2010−517424号公報Special table 2010-517424 特開2004−118771号公報JP 2004-118771 A

しかしながら、上述のセキュリティトークン(オフラインデバイス)は、機器とは別体であるため、オフラインデバイス自体が盗難等に遭うと、攻撃者に不正に使用されてしまうことが想定される。そして多くのPIN認証を行うシステムでは、正当なユーザが一度認証を成功させると、失敗回数がクリアされることとなっている。このため、許容可能な連続失敗回数に達する直前まで攻撃者により不正にPINコードが推測試行されていても、正当なユーザが一旦認証を成功させると、認証失敗の回数がクリアされてしまい、その痕跡を残せない。そのため、正当なユーザは攻撃者によりデバイスが使用されていても気づかず、攻撃者が、このような不正な推測試行を日々繰り返せば、最終的には攻撃者に正しいPINを突き止められてしまうことも考えられる。   However, since the above-described security token (offline device) is separate from the device, if the offline device itself is stolen, it is assumed that it will be used illegally by an attacker. In many systems that perform PIN authentication, once a valid user succeeds in authentication, the number of failures is cleared. For this reason, even if the attacker illegally tries to guess the PIN code until just before the allowable number of consecutive failures is reached, once the legitimate user succeeds in authentication, the number of authentication failures is cleared. I can't leave a trace. Therefore, a legitimate user is unaware of the device being used by the attacker, and if the attacker repeats such illegal guessing attempts every day, the attacker will eventually find the correct PIN. Is also possible.

また、正当な権限を有するユーザが正当にPIN認証を成功させ、セキュリティロックを解除した場合であっても、そのユーザが悪意を持っていれば、オフラインデバイスやシステムに対して不正な操作を行うことが許されてしまう。   Even if a user with a legitimate authority legitimately succeeds in PIN authentication and unlocks the security lock, if the user has malicious intent, he / she performs an illegal operation on the offline device or system. It will be allowed.

本発明は、このような課題に鑑みてなされたもので、その目的とするところは、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、その履歴をユーザや管理者に把握させることが可能なセキュリティ管理システム及びセキュリティ管理方法を提供することである。 The present invention has been made in view of such problems, and the object of the present invention is to detect unauthorized operations and security attacks on offline devices and to allow the user and administrator to grasp the history. it is to provide a security management system and security management how.

前述した課題を解決するため第1の発明は、認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、前記セキュリティトークンは、前記認証情報に基づく認証処理を実行する認証処理実行手段と、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すエラー応答手段と、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するログ記録手段と、を備え、前記情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求するログアップロード要求手段と、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する分析結果処理手段と、前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信する書込要求手段と、を備えることを特徴とするセキュリティ管理システムである。
また、第2の発明は、認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、前記セキュリティトークンは、前記認証情報に基づく認証処理を実行する認証処理実行手段と、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すエラー応答手段と、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するログ記録手段と、を備え、前記情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求するログアップロード要求手段と、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する分析結果処理手段と、を備え、前記セキュリティトークンは、前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込むことを特徴とするセキュリティ管理システムである。 In order to solve the above-described problem, the first invention performs an authentication process using the authentication information between a security token storing authentication information and an information processing terminal capable of communication connection with the security token. In the security management system to perform, the security token includes an authentication process execution unit that executes an authentication process based on the authentication information, and an error response unit that returns an error response to the information processing terminal when the authentication process fails in the authentication process When an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. In case of failure, an authentication failure log is generated, and the corresponding security is returned before returning the error response. Log recording means for recording in a predetermined storage area in the token, and the information processing terminal requests the security token to upload the log when the authentication process is successful. Log analysis means for determining whether or not the security token is illegally used based on a log uploaded from the security token in response to the request, and the security token is illegally used by the log analysis means When it is determined that there is a possibility that the log token has been analyzed, an analysis result processing means for notifying the result of log analysis or requesting to restrict the use of the security token and when the operation is performed on the security token Generate an operation log and record the generated log in the security token. A security management system, characterized in that it comprises, a write request means along with the log write request command transmitted to the security token for causing.
According to a second aspect of the present invention, there is provided a security management system for performing an authentication process using the authentication information between a security token storing the authentication information and an information processing terminal capable of communication connection with the security token. The security token includes: an authentication process executing unit that executes an authentication process based on the authentication information; an error response unit that returns an error response to the information processing terminal if authentication fails in the authentication process; and the security token When an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authentication is performed when authentication fails with the security token. A failure log is generated, and the predetermined token in the security token is returned before returning the error response. Log recording means for recording in a storage area, and when the authentication process is successful, the information processing terminal responds to the request, log upload request means for requesting the security token to upload the log There is a possibility that the security token is illegally used by the log analysis means for determining whether or not the security token is illegally used based on the log uploaded from the security token. Analysis result processing means for notifying the result of log analysis or requesting to restrict the use of the security token, the security token is in a communication state with the information processing terminal. And a communication monitoring program for monitoring command operations. When the communication token enters a communication state, the communication monitoring program is started, the command operation performed on the security token is constantly monitored, and the input command is written as log data in the predetermined storage area. It is a security management system.

ここで、セキュリティトークンとは、情報処理端末との通信機能、メモリ機能、及び情報処理機能を有し、情報処理端末と別体に構成されるデバイスである。例えば、ICカード類、USBメモリ、及びメモリカード等を含む。 Here, the security token is a device that has a communication function with an information processing terminal, a memory function, and an information processing function, and is configured separately from the information processing terminal. For example, an IC card, a USB memory, a memory card, and the like are included.

第1の発明のセキュリティ管理システムによれば、前記セキュリティトークンは、格納されている認証情報に基づく認証処理を実行し、認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返す。また、当該セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録する。情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求し、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定する。前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する。また情報処理端末は、前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信する。
また、第2の発明のセキュリティ管理システムによれば、前記セキュリティトークンは、格納されている認証情報に基づく認証処理を実行し、認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返す。また、当該セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録する。情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求し、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定する。前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する。また前記セキュリティトークンは、前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込む。 According to the security management system of the first invention, the security token executes an authentication process based on the stored authentication information, and returns an error response to the information processing terminal when the authentication process fails in the authentication process. . Also, when an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. If it fails, an authentication failure log is generated and recorded in a predetermined storage area in the security token before returning the error response. When the authentication process is successful, the information processing terminal requests the security token to upload the log, and in response to the request, the security token is invalidated based on the log uploaded from the security token. Determine whether it has been used. When it is determined that there is a possibility that the security token has been used illegally, the result of log analysis is notified or the use of the security token is restricted. The information processing terminal generates an operation log when an operation is performed on the security token, and transmits the generated log to the security token together with a log write request command for recording the generated log in the security token.
According to the security management system of the second invention, the security token executes an authentication process based on the stored authentication information, and if the authentication process fails, an error response is sent to the information processing terminal. return it. Also, when an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. If it fails, an authentication failure log is generated and recorded in a predetermined storage area in the security token before returning the error response. When the authentication process is successful, the information processing terminal requests the security token to upload the log, and in response to the request, the security token is invalidated based on the log uploaded from the security token. Determine whether it has been used. When it is determined that there is a possibility that the security token has been used illegally, the result of log analysis is notified or the use of the security token is restricted. The security token holds a communication monitoring program for monitoring a communication state with the information processing terminal and a command operation. When the security token is in a communication state, the communication token is started, and The command operation performed is monitored, and the input command is written as log data in the predetermined storage area.

これにより、セキュリティトークンに対してなされた操作のログがセキュリティトークン側で生成され、当該セキュリティトークン内の所定の記憶領域に強制的に記録されるため、攻撃者、その他のユーザ、または管理者による操作の履歴を残すことができる。また、当該セキュリティトークンにて認証失敗した場合もセキュリティトークン側で認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するため、例えば、情報処理端末がセキュリティトークンからエラー応答を受信する瞬間にセキュリティトークンを抜き取るような操作が行われた場合にも、セキュリティトークン内にログが既に記録されている。そして、認証を成功させた場合に、セキュリティトークン内のログが強制的に情報処理端末にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、セキュリティトークンの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはセキュリティトークンやシステムを保護することが可能となる。ログはセキュリティトークン内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。 Thus, the log of the operation made to the security token is generated by the security token side, since they are forcibly recorded in a predetermined storage area in the security token, the attacker, other users or by the administrator, An operation history can be kept. In addition, when authentication failure occurs with the security token, an authentication failure log is generated on the security token side and recorded in a predetermined storage area in the security token before returning the error response. Even when an operation for extracting a security token is performed at the moment of receiving an error response from the security token, a log is already recorded in the security token. And, in the case of a successful authentication, or the analysis is uploaded to the log is forced to information processing terminal in the security token, if there is an unauthorized use has been the history (log), the fact is notified, security Since the use of tokens is restricted, users and administrators can know the history of operations from the previous successful authentication to the current successful authentication, or can protect security tokens and systems . Since the log is stored in the security token , a trace can be left even if operated from any information processing terminal.

なお、前記ログ分析手段は、前記情報処理端末において実行されるソフトウエア等にて実現してもよいし、前記情報処理端末からネットワーク等を介して通信接続可能な外部のログサーバの有するログ分析機能を利用するようにしてもよい。
また、不正な使用であるか否かは、例えば、認証失敗回数が多い場合や、情報処理端末から入力された認証情報の一部が規則的または連続的に変更された入力が連続的に行われている場合等を、権限を持たないユーザからの不正な認証試行とみなす。または利用者の権限の範囲を超えたコマンドが多く入力されている場合等も不正な使用に含めるようにしてもよい。 The log analysis means may be realized by software or the like executed in the information processing terminal, or a log analysis included in an external log server that can be connected to the information processing terminal via a network or the like You may make it utilize a function.
In addition, whether or not the information is illegally used is determined, for example, when the number of authentication failures is large or when a part of authentication information input from the information processing terminal is changed regularly or continuously. Is considered an unauthorized authentication attempt from an unauthorized user. Alternatively, a case where many commands exceeding the user's authority range are input may be included in unauthorized use.

また、第1又は第2の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることが望ましい。
これにより、攻撃者が認証を推測試行したログがセキュリティトークン内に格納され、正当なユーザが認証を成功させた場合には強制的にそのログがアップロードされて分析される。このため、正当なユーザは攻撃者により認証の推測試行がなされたことを確認することができる。 In the security management system of the first or second invention, it is preferable that the log recorded in the log recording unit includes an authentication trial operation log.
As a result, the log that the attacker attempted to guess the authentication is stored in the security token, and when a legitimate user succeeds in the authentication, the log is forcibly uploaded and analyzed. For this reason, a legitimate user can confirm that an attacker has attempted an authentication guess.

また、第1又は第2の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証成功後に前記セキュリティトークンに対して行われた操作のログが含まれることが望ましい。
これにより、不正に内部解析がなされた痕跡がある場合等は、正当な権限を持つユーザからの悪意のある攻撃とみなし、セキュリティトークンを使用不可として、システムを保護することが可能となる。 In the security management system of the first or second invention, it is desirable that the log recorded in the log recording unit includes a log of operations performed on the security token after successful authentication.
As a result, when there is a trace of illegal internal analysis, it is regarded as a malicious attack from a user with a legitimate authority, and the system can be protected by disabling the security token.

第3の発明は、認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、前記セキュリティトークンが、前記認証情報に基づく認証処理を実行するステップと、前記セキュリティトークンが、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すステップと、前記セキュリティトークンが、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するステップと、前記認証処理が成功した際、前記情報処理端末が、前記セキュリティトークンに対して前記ログをアップロードするよう要求するステップと、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記セキュリティトークンが不正に使用されたか否かを判定するステップと、前記セキュリティトークンが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求するステップと、前記情報処理端末が、前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信するステップと、を含む処理を行うことを特徴とするセキュリティ管理方法である。
また、第4の発明は、認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、前記セキュリティトークンが、前記認証情報に基づく認証処理を実行するステップと、前記セキュリティトークンが、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すステップと、前記セキュリティトークンが、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するステップと、前記認証処理が成功した際、前記情報処理端末が、前記セキュリティトークンに対して前記ログをアップロードするよう要求するステップと、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記セキュリティトークンが不正に使用されたか否かを判定するステップと、前記セキュリティトークンが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求するステップと、を含む処理を行い、前記セキュリティトークンは、前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込むことを特徴とするセキュリティ管理方法である。 According to a third aspect of the present invention, there is provided a security management method for performing an authentication process using the authentication information between a security token storing authentication information and an information processing terminal capable of communication connection with the security token. A security token performing an authentication process based on the authentication information; if the security token fails authentication in the authentication process; returning an error response to the information processing terminal; When an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authentication fails with the security token. In this case, an authentication failure log is generated and the error response is returned before returning. Recording in a predetermined storage area in the security token, and requesting the information processing terminal to upload the log to the security token when the authentication process is successful, in response to the request Based on a log uploaded from the security token, the information processing terminal or an external server determines whether the security token has been used illegally, and the possibility that the security token has been used illegally The information processing terminal or the server notifies the result of the log analysis or requests to restrict the use of the security token, and the information processing terminal Generate operation logs when operations are performed on tokens A security management method, which comprises carrying out the steps of the generated log with the log write request command for recording to said security token to send to said security token, the process comprising.
According to a fourth aspect of the present invention, there is provided a security management method for performing an authentication process using the authentication information between a security token storing authentication information and an information processing terminal capable of communication connection with the security token. The security token executing an authentication process based on the authentication information; the security token returning an error response to the information processing terminal if the authentication token fails in the authentication process; and the security token However, when an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. If it fails, an authentication failure log is generated and the error response is returned. A step of recording in a predetermined storage area in the security token, a step of requesting the information processing terminal to upload the log to the security token when the authentication process is successful, and a response to the request Then, based on the log uploaded from the security token, the information processing terminal or an external server determines whether the security token has been used illegally, and the security token has been used illegally If it is determined that there is a possibility, the information processing terminal or the server notifies the result of the log analysis or requests to restrict the use of the security token, The security token includes a communication state with the information processing terminal and A communication monitoring program for monitoring command operations is held, and when the security token enters a communication state, the communication monitoring program is activated, and command operations performed on the security token are always monitored, and input commands are logged. In the security management method, the data is written in the predetermined storage area.

第3の発明によれば、前記セキュリティトークンは、格納されている認証情報に基づく認証処理を実行し、認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返す。また、当該セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録する。情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求し、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定し、前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する。また情報処理端末は、前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信する。
また、第4の発明によれば、前記セキュリティトークンは、格納されている認証情報に基づく認証処理を実行し、認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返す。また、当該セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録する。情報処理端末は、前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求し、要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定する。前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する。また前記セキュリティトークンは、前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込む。 According to the third invention, the security token executes an authentication process based on the stored authentication information, and returns an error response to the information processing terminal if the authentication process fails in the authentication process. Also, when an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. If it fails, an authentication failure log is generated and recorded in a predetermined storage area in the security token before returning the error response. When the authentication process is successful, the information processing terminal requests the security token to upload the log, and in response to the request, the security token is invalidated based on the log uploaded from the security token. It is determined whether or not the security token has been used. If it is determined that the security token may have been used illegally, the result of log analysis is notified or the use of the security token is restricted. . The information processing terminal generates an operation log when an operation is performed on the security token, and transmits the generated log to the security token together with a log write request command for recording the generated log in the security token.
According to the fourth invention, the security token executes an authentication process based on the stored authentication information, and returns an error response to the information processing terminal when the authentication process fails in the authentication process. Also, when an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authenticated by the security token. If it fails, an authentication failure log is generated and recorded in a predetermined storage area in the security token before returning the error response. When the authentication process is successful, the information processing terminal requests the security token to upload the log, and in response to the request, the security token is invalidated based on the log uploaded from the security token. Determine whether it has been used. When it is determined that there is a possibility that the security token has been used illegally, the result of log analysis is notified or the use of the security token is restricted. The security token holds a communication monitoring program for monitoring a communication state with the information processing terminal and a command operation. When the security token is in a communication state, the communication token is started, and The command operation performed is monitored, and the input command is written as log data in the predetermined storage area.

これにより、セキュリティトークンに対してなされた操作のログがセキュリティトークン側で生成され、当該セキュリティトークン内の所定の記憶領域に強制的に記録されるため、攻撃者、その他のユーザ、または管理者による操作の履歴を残すことができる。また、当該セキュリティトークンにて認証失敗した場合もセキュリティトークン側で認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するため、例えば、情報処理端末がセキュリティトークンからエラー応答を受信する瞬間にセキュリティトークンを抜き取るような操作が行われた場合にも、セキュリティトークン内にログが既に記録されている。そして、認証を成功させた場合に、セキュリティトークン内のログが強制的に情報処理端末にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、セキュリティトークンの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはセキュリティトークンやシステムを保護することが可能となる。ログはセキュリティトークン内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。 Thus, the log of the operation made to the security token is generated by the security token side, since they are forcibly recorded in a predetermined storage area in the security token, the attacker, other users or by the administrator, An operation history can be kept. In addition, when authentication failure occurs with the security token, an authentication failure log is generated on the security token side and recorded in a predetermined storage area in the security token before returning the error response. Even when an operation for extracting a security token is performed at the moment of receiving an error response from the security token, a log is already recorded in the security token. And, in the case of a successful authentication, or the analysis is uploaded to the log is forced to information processing terminal in the security token, if there is an unauthorized use has been the history (log), the fact is notified, security Since the use of tokens is restricted, users and administrators can know the history of operations from the previous successful authentication to the current successful authentication, or can protect security tokens and systems . Since the log is stored in the security token , a trace can be left even if operated from any information processing terminal.

本発明によれば、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、ユーザや管理者に把握させることが可能なセキュリティ管理システム及びセキュリティ管理方法を提供できる。

According to the present invention, to detect unauthorized operations or security attacks on offline devices can provide security management system and security management how capable of grasping the user or administrator.

本発明に係るセキュリティ管理システム1の全体構成図1 is an overall configuration diagram of a security management system 1 according to the present invention. オフラインデバイス(ICカード2)の内部構成を示すブロック図Block diagram showing the internal configuration of the offline device (IC card 2) 情報処理端末3の内部構成を示すブロック図The block diagram which shows the internal structure of the information processing terminal 3 本発明において、(A)ログ分析をログサーバ5にて行う態様、(B)ログ分析を情報処理端末3にて行う態様を示す図In the present invention, (A) a mode in which log analysis is performed by the log server 5 and (B) a mode in which log analysis is performed by the information processing terminal 3 本発明のセキュリティ管理システム1の各部の動作を示すシーケンス図The sequence diagram which shows operation | movement of each part of the security management system 1 of this invention 情報処理端末3にて実行される処理の流れを説明するフローチャートThe flowchart explaining the flow of the process performed in the information processing terminal 3 ログサーバ5へアップロードされるログデータの構成を示す図The figure which shows the structure of the log data uploaded to the log server 5

以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
まず、図1〜図3を参照して本発明の構成について説明する。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings.
First, the configuration of the present invention will be described with reference to FIGS.

図1は、本発明に係るセキュリティ管理システム1のシステム構成を示す図である。
図1に示すように、セキュリティ管理システム1は、ICカード2(オフラインデバイス)、情報処理端末3、及びログサーバ5により構成される。ログサーバ5は、情報処理端末3とネットワーク9を介して通信接続される。或いは、情報処理端末3がログサーバ5として機能するものとしてもよい。
情報処理端末3にはICカードリーダライタ4が接続され、ICカードリーダライタ4を用いて、ICカード2と情報処理端末3との間のデータの交信が行われる。 FIG. 1 is a diagram showing a system configuration of a security management system 1 according to the present invention.
As shown in FIG. 1, the security management system 1 includes an IC card 2 (offline device), an information processing terminal 3, and a log server 5. The log server 5 is communicatively connected to the information processing terminal 3 via the network 9. Alternatively, the information processing terminal 3 may function as the log server 5.
An IC card reader / writer 4 is connected to the information processing terminal 3, and data communication between the IC card 2 and the information processing terminal 3 is performed using the IC card reader / writer 4.

本実施の形態では、情報処理端末3との通信接続が可能なオフラインデバイスとして、ICカード2を利用するものとする。オフラインデバイスであるICカード2は、情報処理端末3を利用するためのセキュリティトークンとして使用される。セキュリティトークンとは、情報処理端末3を安全に起動するために認証情報を秘匿に格納したデバイスである。ICカード2には、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM等が含まれる。また、ICカード2に代えて、USBメモリ、メモリカード等の情報処理端末3に脱着可能なデバイスとしてもよい。本発明でいうところのオフラインデバイスとは、上述のICカード類、USBメモリ、及びメモリカードのように、情報処理端末3とは別体に構成され、情報処理端末3との通信機能、メモリ機能、及び情報処理機能を有するデバイスを意味するものとする。   In the present embodiment, it is assumed that the IC card 2 is used as an offline device capable of communication connection with the information processing terminal 3. The IC card 2 that is an offline device is used as a security token for using the information processing terminal 3. The security token is a device that stores authentication information in a secret manner in order to start the information processing terminal 3 safely. The IC card 2 includes an IC card, SIM (Subscriber Identity Module), USIM (Universal Subscriber Identity Module), mini-SIM, and the like that are widely used for employee ID cards. Further, instead of the IC card 2, a device such as a USB memory or a memory card that is detachable from the information processing terminal 3 may be used. The offline device referred to in the present invention is configured separately from the information processing terminal 3 like the above-described IC cards, USB memory, and memory card, and has a communication function and a memory function with the information processing terminal 3. And a device having an information processing function.

ここで、ICカード2の内部構成を図2に示す。
図2に示すように、ICカード2は、CPU(Central Processing Unit)21、RAM(Random Access Memory)22、EEPROM(Electrically Erasable Programmable Read Only Memory)23、及びI/F24等を備えて構成される。 Here, the internal structure of the IC card 2 is shown in FIG.
2, the IC card 2 includes a CPU (Central Processing Unit) 21, a RAM (Random Access Memory) 22, an EEPROM (Electrically Erasable Programmable Read Only Memory) 23, an I / F 24, and the like. .

CPU21は、EEPROM23に格納されるプログラムをRAM22上のワークメモリ領域に呼び出して実行する。
RAM22は、ロードしたプログラムやデータを一時的に保持するとともに、CPU21が各種処理を行うために使用するワークエリアを備える。 The CPU 21 calls a program stored in the EEPROM 23 to a work memory area on the RAM 22 and executes it.
The RAM 22 temporarily stores the loaded program and data, and includes a work area used by the CPU 21 to perform various processes.

EEPROM23は、データの書き換えが可能なメモリであり、ICカード2のCPU201が実行するプログラムや認証処理に必要な認証情報23a等を保持する。認証情報は、例えばPIN認証情報や生体認証情報等である。また、上述のプログラムや情報に加え、ICカード2に対して行われた操作のログ23bが保持される。
I/F24は、ICカード用インターフェイスであるISO7816規格に基づいて、情報処理端末3側から送信される信号を受信したり、情報処理端末3側へ送信したりするUART(Universal Asynchronous Receiver Transmitter)等により構成される。 The EEPROM 23 is a rewritable memory, and holds a program executed by the CPU 201 of the IC card 2, authentication information 23a necessary for authentication processing, and the like. The authentication information is, for example, PIN authentication information or biometric authentication information. In addition to the above-described programs and information, a log 23b of operations performed on the IC card 2 is held.
The I / F 24 receives a signal transmitted from the information processing terminal 3 side based on the ISO 7816 standard, which is an IC card interface, or transmits a signal to the information processing terminal 3 side, such as a UART (Universal Asynchronous Receiver Transmitter). Consists of.

情報処理端末3は、オフラインデバイス(図1ではICカード2)との間で通信接続が可能なパーソナルコンピュータ(PC_A、PC_B)やATM(現金自動預払機)、携帯端末、ゲーム機、その他の情報処理装置を含む。   The information processing terminal 3 is a personal computer (PC_A, PC_B), ATM (automated teller machine), portable terminal, game machine, or other information that can be connected to an offline device (IC card 2 in FIG. 1). Includes processing equipment.

ここで、情報処理端末3の内部構成を図3に示す。
図3に示すように、情報処理端末3は、制御部11、記憶部12、メディア入出力部13、通信制御部14、入力部15、表示部16、及び周辺機器I/F部17等がバス18を介して接続されて構成される。 Here, the internal configuration of the information processing terminal 3 is shown in FIG.
As shown in FIG. 3, the information processing terminal 3 includes a control unit 11, a storage unit 12, a media input / output unit 13, a communication control unit 14, an input unit 15, a display unit 16, a peripheral device I / F unit 17, and the like. It is configured to be connected via a bus 18.

制御部11は、CPU、ROM(Read Only Memory)、RAM等により構成される。
CPUは、記憶部12、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス18を介して接続された各部を駆動制御する。ROMは、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持する。RAMは、ロードしたプログラムやデータを一時的に保持するとともに、制御部11が各種処理を行うために使用するワークエリアを備える。 The control unit 11 includes a CPU, a ROM (Read Only Memory), a RAM, and the like.
The CPU calls a program stored in the storage unit 12, ROM, recording medium or the like to a work memory area on the RAM and executes it, and drives and controls each unit connected via the bus 18. The ROM permanently holds a computer boot program, a program such as BIOS, data, and the like. The RAM temporarily holds the loaded program and data, and includes a work area used by the control unit 11 to perform various processes.

記憶部12は、HDD(ハードディスクドライブ)であり、制御部11が実行するプログラムや、プログラム実行に必要なデータ、OS(オペレーティング・システム)等が格納されている。これらのプログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて実行される。   The storage unit 12 is an HDD (hard disk drive), and stores a program executed by the control unit 11, data necessary for program execution, an OS (operating system), and the like. These program codes are read by the control unit 11 as necessary, transferred to the RAM, and read and executed by the CPU.

メディア入出力部13は、例えば、HD(ハードディスク)ドライブ、フロッピー(登録商標)ディスクドライブ、メモリカードドライブ、PDドライブ、CDドライブ、DVDドライブ、MOドライブ等のメディア入出力装置であり、データの入出力を行う。
通信制御部14は、通信制御装置、通信ポート等を有し、ネットワーク9との通信を媒介する通信インターフェイスであり、通信制御を行う。 The media input / output unit 13 is a media input / output device such as an HD (hard disk) drive, floppy (registered trademark) disk drive, memory card drive, PD drive, CD drive, DVD drive, or MO drive. Output.
The communication control unit 14 includes a communication control device, a communication port, and the like, and is a communication interface that mediates communication with the network 9 and performs communication control.

入力部15は、例えば、キーボード、マウス等のポインティング・デバイス、テンキー等の入力装置であり、入力されたデータを制御部11へ出力する。
表示部16は、例えば液晶パネル、CRTモニタ等のディスプレイ装置と、ディスプレイ装置と連携して表示処理を実行するための論理回路(ビデオアダプタ等)で構成され、制御部11の制御により入力された表示情報をディスプレイ装置上に表示させる。 The input unit 15 is an input device such as a keyboard, a pointing device such as a mouse, or a numeric keypad, and outputs input data to the control unit 11.
The display unit 16 includes a display device such as a liquid crystal panel or a CRT monitor, and a logic circuit (video adapter or the like) for executing display processing in cooperation with the display device, and is input under the control of the control unit 11. Display information is displayed on a display device.

周辺機器I/F(インターフェース)部17は、情報処理端末3に周辺機器を接続するためのポートであり、周辺機器I/F部17を介して情報処理端末3は周辺機器とのデータの送受信を行う。周辺機器I/F部17は、USBやIEEE1394やRS−232C等で構成される。ICカードリーダライタ4は、周辺機器I/F部17に接続される。
バス18は、各装置間の制御信号、データ信号等の授受を媒介する経路である。 The peripheral device I / F (interface) unit 17 is a port for connecting a peripheral device to the information processing terminal 3. The information processing terminal 3 transmits and receives data to and from the peripheral device via the peripheral device I / F unit 17. I do. The peripheral device I / F unit 17 is configured by USB, IEEE 1394, RS-232C, or the like. The IC card reader / writer 4 is connected to the peripheral device I / F unit 17.
The bus 18 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.

次に、ICカード2と情報処理端末3との通信の基本動作について説明する。
ICカード2と情報処理端末3との間でICカードリーダライタ4を介して通信が開始されると、情報処理端末3からICカード2に対してコマンド(処理要求)が送信される。また、情報処理端末3からのコマンドに応答してICカード2から情報処理端末3にレスポンスが送信される。ICカード2のCPU21は、受信したコマンドに応じた処理を実行し、処理結果に応じたレスポンスを生成して、I/F24を介して情報処理端末3のICカードリーダライタ4へ送信する。 Next, the basic operation of communication between the IC card 2 and the information processing terminal 3 will be described.
When communication is started between the IC card 2 and the information processing terminal 3 via the IC card reader / writer 4, a command (processing request) is transmitted from the information processing terminal 3 to the IC card 2. Further, a response is transmitted from the IC card 2 to the information processing terminal 3 in response to a command from the information processing terminal 3. The CPU 21 of the IC card 2 executes processing according to the received command, generates a response according to the processing result, and transmits it to the IC card reader / writer 4 of the information processing terminal 3 via the I / F 24.

本実施の形態では、ICカード2の使用開始時にPIN認証処理が実行されるものとする。
PIN認証とは、利用者本人を識別するためのPINコードを用いた認証方法である。ユーザがICカード2を情報処理端末3のICカードリーダライタ4にかざしたり、挿入したりすると、情報処理端末3の制御部11は、表示部16にPINコード入力画面を表示させ、PINコードの入力を受け付ける。ユーザによりPINコードが入力されると、情報処理端末3の制御部11は、入力されたPINコードの認証要求コマンドをICカード2へ送信する。ICカード2のCPU21は、入力されたPINコードとEEPROM23に格納されている認証情報23aとを照合し、一致すれば認証成功のレスポンス、不一致であれば認証失敗のレスポンスを情報処理端末3へ送信する。 In the present embodiment, it is assumed that the PIN authentication process is executed when the use of the IC card 2 is started.
PIN authentication is an authentication method using a PIN code for identifying the user. When the user holds the IC card 2 over the IC card reader / writer 4 of the information processing terminal 3 or inserts it, the control unit 11 of the information processing terminal 3 displays a PIN code input screen on the display unit 16 and displays the PIN code. Accept input. When the PIN code is input by the user, the control unit 11 of the information processing terminal 3 transmits an authentication request command for the input PIN code to the IC card 2. The CPU 21 of the IC card 2 compares the input PIN code with the authentication information 23a stored in the EEPROM 23, and if they match, sends a response of authentication success to the information processing terminal 3 if they do not match. To do.

PIN認証では、許容可能な連続失敗回数を予め設定することが可能であり、この回数を超えて認証が失敗した場合は、ICカード2のEEPROM23内に格納されている認証情報23aを無効としたり、ICカード2の全てまたは一部の機能を閉塞させる等、ICカード2の機能の使用を制限したりすることができる。
PIN認証に成功した場合は、ICカード2の機能や情報処理端末3の機能を利用することが可能となる。 In PIN authentication, an allowable number of consecutive failures can be set in advance. If the authentication fails beyond this number, the authentication information 23a stored in the EEPROM 23 of the IC card 2 can be invalidated. The use of the functions of the IC card 2 can be restricted, such as blocking all or part of the functions of the IC card 2.
When the PIN authentication is successful, the function of the IC card 2 and the function of the information processing terminal 3 can be used.

上述のような基本動作を行うセキュリティ管理システム1において、本発明では、ICカード2に対して情報処理端末3から何らかのコマンドが与えられると、その操作のログ23bがICカード2のEEPROM23に記録されるものとする。
ICカード2に記録されるログには、例えばPIN認証要求コマンドや、認証成功後にICカード2に対して情報処理端末3から送信される処理要求コマンドが含まれるものとする。 In the security management system 1 that performs the basic operation as described above, in the present invention, when any command is given from the information processing terminal 3 to the IC card 2, a log 23b of the operation is recorded in the EEPROM 23 of the IC card 2. Shall be.
The log recorded in the IC card 2 includes, for example, a PIN authentication request command and a processing request command transmitted from the information processing terminal 3 to the IC card 2 after successful authentication.

また、PIN認証が成功した際は、ICカード2のEEPROM23内に格納されているログ23bが情報処理端末3へアップロードされ、ログ分析が行われる。
ログ分析は、例えば、図4(A)に示すように、情報処理端末3を介してログサーバ5へアップロードされ、ログサーバ5にて行われる。または、図4(B)に示すように、ログサーバ5のログ分析機能を情報処理端末3に設けてもよい。この場合、情報処理端末3は、ログ分析ソフトウエアを有し、制御部11がこのログ分析ソフトウエアを実行する。図4(B)の場合は、ログデータをログサーバ5へアップロードする必要はない。 When the PIN authentication is successful, the log 23b stored in the EEPROM 23 of the IC card 2 is uploaded to the information processing terminal 3 and the log analysis is performed.
For example, as shown in FIG. 4A, the log analysis is uploaded to the log server 5 via the information processing terminal 3 and performed in the log server 5. Alternatively, as shown in FIG. 4B, the log analysis function of the log server 5 may be provided in the information processing terminal 3. In this case, the information processing terminal 3 has log analysis software, and the control unit 11 executes the log analysis software. In the case of FIG. 4B, it is not necessary to upload log data to the log server 5.

ログ分析において、ログサーバ5または情報処理端末3は、ICカード2から取得したログ23bに基づいてICカード2が不正に使用されていないかを分析し、カードの使用を許可するか否かを判定して、情報処理端末3に使用可否応答を送信する。情報処理端末3は、「使用不可」の応答を得た場合は、ユーザや管理者にその旨を通知したり、ICカード2に対して使用を制限する要求を送信したりする。「使用可」の応答を得た場合は、ICカード2のセキュリティロックを解除し、ICカード2の機能を使用できるようにする。   In log analysis, the log server 5 or the information processing terminal 3 analyzes whether the IC card 2 is used illegally based on the log 23b acquired from the IC card 2, and determines whether or not to permit the use of the card. A determination is made and a response indicating whether or not the information is usable is transmitted to the information processing terminal 3. When the information processing terminal 3 obtains a “unusable” response, the information processing terminal 3 notifies the user or the manager or transmits a request for restricting the use to the IC card 2. When the response “available” is obtained, the security lock of the IC card 2 is released so that the function of the IC card 2 can be used.

図4(A)は、図1のシステム構成のように、ログサーバ5を情報処理端末3とは別に設けた場合のログデータの流れを示しており、ICカード2から情報処理端末3を介してログサーバ5へ分析対象となるログデータがアップロードされる。通常、ICカード2自体は直接ログサーバ5と通信を行う機能を有しないため、情報処理端末3の通信制御部14を介してログサーバ5へログデータがアップロードされることとなる。   FIG. 4A shows the flow of log data when the log server 5 is provided separately from the information processing terminal 3 as in the system configuration of FIG. The log data to be analyzed is uploaded to the log server 5. Usually, since the IC card 2 itself does not have a function of directly communicating with the log server 5, log data is uploaded to the log server 5 via the communication control unit 14 of the information processing terminal 3.

図4(A)のように、情報処理端末3とは別にログサーバ5を設ける場合は、ログサーバ5はクライアント端末である複数の情報処理端末3(PC_A、PC_B、ATM等)にて使用されたICカード2からログデータを収集できるため、詳細なログ分析を行うことが可能となり、使用可否判定の精度が向上する。
一方、図4(B)のように、情報処理端末3内にログ分析機能を設ける場合は、ログサーバ3へアクセスする必要なく、ローカルな使用環境で簡易にログ分析を行える。本セキュリティ管理システム1を簡素に構成することが可能となる。 When the log server 5 is provided separately from the information processing terminal 3 as shown in FIG. 4A, the log server 5 is used in a plurality of information processing terminals 3 (PC_A, PC_B, ATM, etc.) which are client terminals. Since log data can be collected from the IC card 2, detailed log analysis can be performed, and the accuracy of the usability determination is improved.
On the other hand, when a log analysis function is provided in the information processing terminal 3 as shown in FIG. 4B, log analysis can be easily performed in a local use environment without requiring access to the log server 3. This security management system 1 can be configured simply.

次に、図5〜図7を参照して、本実施の形態におけるセキュリティ管理システム1の動作を説明する。
図5は、セキュリティ管理システム1の各部の動作を示すシーケンス図であり、図6は、情報処理端末3にて実行される処理の流れを説明するフローチャートである。図7は、ICカード2からログサーバ5へアップロードされるログデータ10のデータ構成を示す図である。 Next, the operation of the security management system 1 in the present embodiment will be described with reference to FIGS.
FIG. 5 is a sequence diagram showing the operation of each part of the security management system 1, and FIG. 6 is a flowchart for explaining the flow of processing executed by the information processing terminal 3. FIG. 7 is a diagram illustrating a data configuration of the log data 10 uploaded from the IC card 2 to the log server 5.

以下の例では、正当な権限のない攻撃者が他人のICカード2を無断で使用すべく、ありえそうなPINコードを推測試行する場合を想定する。
また、図5において、PC_Aは、ICカード2について権限のある正当なユーザの使用する情報処理端末3、PC_Bは権限のないユーザの使用する情報処理端末3とする。ここではPIN認証の最大試行回数は3回とし、ICカード2側に許容可能な残試行回数が記録される。すなわち認証失敗する毎に残試行回数が1ずつ減算されて記録される。 In the following example, it is assumed that an attacker without a legitimate authority tries to guess a likely PIN code in order to use another person's IC card 2 without permission.
In FIG. 5, PC_A is an information processing terminal 3 used by a legitimate user who is authorized for the IC card 2, and PC_B is an information processing terminal 3 used by an unauthorized user. Here, the maximum number of trials of PIN authentication is three, and the allowable number of remaining trials is recorded on the IC card 2 side. That is, every time authentication fails, the number of remaining attempts is decremented by one and recorded.

また、各ユーザの使用する情報処理端末3(PC_A、PC_B)は、少なくともICカード2との間でPIN認証やICカード2の機能を使用するための処理を実行するためのプログラムを有し、情報処理端末3の制御部11は、このプログラムに基づいてICカード2のPIN認証処理やその他の処理を実行するものとする。例えば、情報処理端末3におけるPINコード入力画面、処理要求(コマンド)入力画面、応答(レスポンス)表示画面等は、このプログラムにより提供されるものとする。   The information processing terminal 3 (PC_A, PC_B) used by each user has a program for executing a process for using PIN authentication or the function of the IC card 2 at least with the IC card 2, It is assumed that the control unit 11 of the information processing terminal 3 executes the PIN authentication process of the IC card 2 and other processes based on this program. For example, a PIN code input screen, a processing request (command) input screen, a response (response) display screen, etc. in the information processing terminal 3 are provided by this program.

例えば図5に示すように、攻撃者が他人のICカード2を持ち出して、情報処理端末3(PC_B)のICカードリーダライタ4に挿入し、PINコードを推測して入力すると、ICカード2のCPU21はPIN照合処理を実行する(ステップS1)。PIN照合処理にて、ICカード2のCPU21は、ICカード2に格納された認証情報23aと入力されたPINコードとが一致するか判断し、一致しない場合は照合失敗として、認証要求があったことを示すログ23bを生成して、EEPROM23に記憶する(ステップS2)。また、エラーレスポンスを情報処理端末3(PC_B)へ送る。ログ23bは、例えば、入力されたPINコードとエラーコード(ISO7816に基づくエラーコード等)とを含むデータ列とすればよい。情報処理端末3(PC_B)から時刻情報等を取得している場合は、ログ23bに時刻情報を付加してもよい。ICカード2のCPU21は、認証失敗の都度、残試行回数から1を減算する。   For example, as shown in FIG. 5, when an attacker takes out another person's IC card 2, inserts it into the IC card reader / writer 4 of the information processing terminal 3 (PC_B), and guesses and inputs the PIN code, CPU21 performs PIN collation processing (Step S1). In the PIN verification process, the CPU 21 of the IC card 2 determines whether the authentication information 23a stored in the IC card 2 matches the input PIN code, and if it does not match, there is an authentication request as a verification failure. A log 23b indicating this is generated and stored in the EEPROM 23 (step S2). Also, an error response is sent to the information processing terminal 3 (PC_B). The log 23b may be a data string including, for example, an input PIN code and an error code (such as an error code based on ISO7816). When time information or the like is acquired from the information processing terminal 3 (PC_B), time information may be added to the log 23b. The CPU 21 of the IC card 2 subtracts 1 from the number of remaining trials whenever authentication fails.

このようなPIN推測試行が許容回数に達しない回数(残試行回数が「1」になる)まで連続的に行われるものとする。ICカード2のCPU21は、認証要求があったことを示すログ23bをEEPROM23に書き込む(ステップS3〜S4)。   It is assumed that such PIN estimation trials are continuously performed until the allowable number of times is not reached (the remaining number of trials is “1”). The CPU 21 of the IC card 2 writes a log 23b indicating that an authentication request has been made in the EEPROM 23 (steps S3 to S4).

ICカード2へのデータの書き込みは、通常、情報処理端末3からICカード2へのコマンド(要求)に従って書き込まれる。しかし本発明では、ICカード2を使用する情報処理端末3が攻撃者の使用するコンピュータ等を含むことも想定しているため、ICカード2側で強制的にログデータをICカード2の所定の記憶領域(例えば、EEPROM23)に書き込むものとする。すなわち、ICカード2にて認証失敗した場合は、ICカード2のCPU21はそのログを生成し、ICカード2の所定の記憶領域(例えば、EEPROM23)に書き込む。   Data is normally written to the IC card 2 in accordance with a command (request) from the information processing terminal 3 to the IC card 2. However, in the present invention, since it is assumed that the information processing terminal 3 using the IC card 2 includes a computer or the like used by an attacker, the log data is forcibly stored on the IC card 2 side. It is assumed that data is written in a storage area (for example, EEPROM 23). That is, when the authentication fails in the IC card 2, the CPU 21 of the IC card 2 generates the log and writes it in a predetermined storage area (for example, EEPROM 23) of the IC card 2.

このため、例えば、ICカード2のROM22またはEEPROM23に格納されるPIN照合処理プログラム内に、PIN認証失敗時はそのログ23bをEEPROM23に書き込むような処理を組み込めばよい。
このように、ICカード2側で強制的にログを書き込むようにすれば、認証エラー後すぐに確実にICカード2内にログを残すことができ、好適である。例えば、情報処理端末3がICカード2からエラーレスポンスを受信する瞬間にカードを抜き取るような操作が行われた場合にも、ICカード2内にログが既に記録されているため、後段のログ分析(ステップS7)を確実に行えるようになる。 For this reason, for example, in the PIN verification processing program stored in the ROM 22 or the EEPROM 23 of the IC card 2, a process for writing the log 23 b to the EEPROM 23 when PIN authentication fails may be incorporated.
Thus, if the log is forcibly written on the IC card 2 side, it is preferable that the log can be reliably left in the IC card 2 immediately after the authentication error. For example, even when the information processing terminal 3 receives an error response from the IC card 2 and performs an operation for extracting the card, the log is already recorded in the IC card 2, so that the log analysis in the latter stage is performed. (Step S7) can be performed reliably.

ただし、演算処理機能を持たないデバイスをオフラインデバイスとして採用した場合は、情報処理端末3からのコマンド(要求)に従ってデータを書き込ませるようにしてもよい。すなわち、オフラインデバイスのEEPROM23に、通信監視プログラムを実装し、オフラインデバイスのCPU21はオフラインデバイスが活性化(通信している状態)すると、この監視プログラムを起動して常に外部からのコマンド操作を監視し、入力されたコマンドをログデータとしてEEPROM23に書き込むようにしてもよい。この場合、認証のエラーレスポンスを受信した情報処理端末3(PC_B)は、そのログ23bを生成し、書込要求コマンドとともにオフラインデバイスへ送信すれば、オフラインデバイスにログ23bを書き込むことが可能となる。   However, when a device having no arithmetic processing function is adopted as an offline device, data may be written in accordance with a command (request) from the information processing terminal 3. That is, a communication monitoring program is installed in the EEPROM 23 of the offline device, and when the offline device is activated (in a communication state), the CPU 21 of the offline device starts this monitoring program and constantly monitors command operations from the outside. The input command may be written in the EEPROM 23 as log data. In this case, if the information processing terminal 3 (PC_B) that has received the authentication error response generates the log 23b and transmits it to the offline device together with the write request command, the log 23b can be written to the offline device. .

ステップS1〜ステップS4において、情報処理端末3側で実行される処理を、図6を参照して説明する。   Processing executed on the information processing terminal 3 side in steps S1 to S4 will be described with reference to FIG.

図6に示すように、情報処理端末3(PC_B)は、ICカード2との通信を開始すると(ステップS21)、ICカード2からPIN認証の残試行回数の情報を取得する。残試行回数が「0」でなければ(ステップS22;No)、PIN認証画面を情報処理端末3(PC_B)の表示画面に表示し(ステップS23)、PINコードの入力を受け付ける(ステップS24)。情報処理端末3(PC_B)は、PINコードとともに認証要求コマンドを送信する(ステップS25)。このとき、現在時刻情報を付加して送信してもよい。   As illustrated in FIG. 6, when the information processing terminal 3 (PC_B) starts communication with the IC card 2 (step S <b> 21), the information processing terminal 3 (PC_B) acquires information on the number of remaining PIN authentication attempts from the IC card 2. If the number of remaining trials is not “0” (step S22; No), the PIN authentication screen is displayed on the display screen of the information processing terminal 3 (PC_B) (step S23), and the input of the PIN code is accepted (step S24). The information processing terminal 3 (PC_B) transmits an authentication request command together with the PIN code (step S25). At this time, the current time information may be added and transmitted.

入力されたPINコードがICカード2側で照合され、その照合結果のレスポンスを取得する(ステップS26)。レスポンスには残試行回数が含まれる。
ICカード2から認証失敗した旨のレスポンスを受け取った場合は(ステップS27;失敗)、ステップS22へ戻り、レスポンスに含まれる残試行回数を判定する。残試行回数が「0」でなければ(ステップS22;No)、再度PIN認証画面を表示し(ステップS23)、PIN認証画面にて入力されたPINコードと認証要求コマンドをICカード2へ送信する(ステップS24、ステップS25)。
ステップS22において、レスポンスに含まれる残試行回数が「0」に達した場合は(ステップS22;Yes)、エラー画面を表示し(ステップS28)、処理を終了する。ICカード2のEEPROM23には、入力PINとエラーコードを含むログ23bが書き込まれている。 The entered PIN code is collated on the IC card 2 side, and a response of the collation result is acquired (step S26). The response includes the number of remaining attempts.
If a response indicating that the authentication has failed is received from the IC card 2 (step S27; failure), the process returns to step S22 to determine the number of remaining attempts included in the response. If the number of remaining trials is not “0” (step S22; No), the PIN authentication screen is displayed again (step S23), and the PIN code and the authentication request command input on the PIN authentication screen are transmitted to the IC card 2. (Step S24, Step S25).
In step S22, when the number of remaining trials included in the response reaches “0” (step S22; Yes), an error screen is displayed (step S28), and the process ends. In the EEPROM 23 of the IC card 2, a log 23b including an input PIN and an error code is written.

残試行回数が「0」となる前に認証成功すると(ステップS22;No→ステップS23〜ステップS27;成功)、情報処理端末3はICカード2からログを取得する(ステップS29)。   If the authentication succeeds before the remaining number of trials becomes “0” (step S22; No → step S23 to step S27; success), the information processing terminal 3 acquires a log from the IC card 2 (step S29).

図5のステップS5の説明に戻る。
攻撃者によるPIN推測試行が行われたが、許容回数以内でPIN推測試行が中断され、その後、正当なユーザ(PC_A)がICカード2を使用してPIN認証が成功するものとする(ステップS5)。 Returning to the description of step S5 in FIG.
An attacker has made a PIN guessing attempt, but the PIN guessing attempt is interrupted within an allowable number of times, and then a valid user (PC_A) uses the IC card 2 to succeed in PIN authentication (step S5). ).

この段階で、ICカード2のCPU21は、認証成功のレスポンスに加え、ICカード2のEEPROM23内に記憶されているログ23bを強制的にログサーバ5にアップロードする。情報処理端末3(PC_A)は、ICカード2から受信したログ23bをログサーバ5へアップロード(ステップS6)する。ログサーバ5は、ICカード2のログ23b(ログデータ10)を受信すると、ログサーバ5内の記憶領域に保存し、ログ分析を行って、当該ICカード2の使用可否を判定する(ステップS7)。
ログサーバ5によるログ分析の結果は、情報処理端末3(PC_A)へ送信される。情報処理端末3(PC_A)は、ログサーバ5から受け取った使用可否に応じた処理を行う(ステップS8)。 At this stage, the CPU 21 of the IC card 2 forcibly uploads the log 23b stored in the EEPROM 23 of the IC card 2 to the log server 5 in addition to the response of the authentication success. The information processing terminal 3 (PC_A) uploads the log 23b received from the IC card 2 to the log server 5 (step S6). When receiving the log 23b (log data 10) of the IC card 2, the log server 5 stores the log 23b in the storage area in the log server 5, performs log analysis, and determines whether the IC card 2 can be used (step S7). ).
The result of log analysis by the log server 5 is transmitted to the information processing terminal 3 (PC_A). The information processing terminal 3 (PC_A) performs processing in accordance with the availability received from the log server 5 (step S8).

ログサーバ5により使用可と判定された場合は、情報処理端末3はICカード2のセキュリティロックを解除し、ICカード2の使用を許可する(ステップS9)。ログサーバ5により使用不可と判定された場合は、情報処理端末3は、例えばICカード2のEEPROM23に登録されている認証情報を使用不能にする等、ICカード2の使用を制限する。   If the log server 5 determines that the IC card 2 can be used, the information processing terminal 3 releases the security lock of the IC card 2 and permits the use of the IC card 2 (step S9). When it is determined that the log server 5 cannot use the information processing terminal 3, the information processing terminal 3 restricts the use of the IC card 2 by, for example, disabling the authentication information registered in the EEPROM 23 of the IC card 2.

認証成功(図5のステップS5)からログ分析結果応答(図5のステップS9)の処理までの各段階で情報処理端末3(PC_A)が行う処理について、図6を参照して説明する。
図6のステップS26にて認証結果を取得し、PIN認証が成功した場合(ステップS27;成功)、ICカード2からログ23bを取得すると(ステップS29)、情報処理端末3の制御部11は、改竄防止のためにログ23bに電子署名103や検証コード104等を付したログデータ10を生成し(ステップS30)、ログサーバ5へアップロードする(ステップS31)。
またはICカード2内で予め電子署名或いは検証コードを付加し、情報処理端末3は、電子署名或いは検証コードを付加済みのログをアップロードしてログサーバ5に送信してもよい。 Processing performed by the information processing terminal 3 (PC_A) at each stage from authentication success (step S5 in FIG. 5) to log analysis result response (step S9 in FIG. 5) will be described with reference to FIG.
When the authentication result is acquired in step S26 of FIG. 6 and the PIN authentication is successful (step S27; success), when the log 23b is acquired from the IC card 2 (step S29), the control unit 11 of the information processing terminal 3 In order to prevent falsification, the log data 10 with the electronic signature 103 and the verification code 104 added to the log 23b is generated (step S30) and uploaded to the log server 5 (step S31).
Alternatively, an electronic signature or verification code may be added in advance in the IC card 2, and the information processing terminal 3 may upload a log to which the electronic signature or verification code has been added and transmit it to the log server 5.

図7にログサーバ5へアップロードされるログデータ10の一例を説明する。
ログデータ10には、前回のPIN認証成功時から今回のPIN認証成功時までにICカード2に対して行われた全てのログ23bが含まれる。
例えば、認証エラーと判定されたログ(エラーPIN)R1、R2や、PIN認証成功後にICカード2に対して行われたコマンド操作ログR3、R4(後述のステップS11、ステップS13等にて記録するログ)等がログサーバ5にアップロードされる。
ログサーバ5へアップロードするログデータ10に対して、電子署名103や検証コード104を付加することにより、ログサーバ5へのアップロード時におけるデータ漏洩や改竄を防ぐことが可能となる。 FIG. 7 illustrates an example of log data 10 uploaded to the log server 5.
The log data 10 includes all logs 23b performed on the IC card 2 from the previous successful PIN authentication to the current successful PIN authentication.
For example, logs (error PINs) R1 and R2 determined to be authentication errors, and command operation logs R3 and R4 performed on the IC card 2 after successful PIN authentication (recorded in steps S11 and S13 described later) Log) and the like are uploaded to the log server 5.
By adding the electronic signature 103 and the verification code 104 to the log data 10 uploaded to the log server 5, it is possible to prevent data leakage or falsification when uploading to the log server 5.

図5のステップS7のログ分析処理において、ログサーバ5は、取得したログデータ10やこのログデータ10に関連する過去のログデータに基づいて、ICカード2に対して不正な操作がなされているか否かを判定し、判定結果に応じてICカード2の使用可否を決定して、情報処理端末3へ応答する。また、ICカード2からアップロードされたログデータ10を蓄積して保存する。   In the log analysis processing in step S7 of FIG. 5, whether the log server 5 has been illegally operated on the IC card 2 based on the acquired log data 10 or past log data related to the log data 10. Whether or not the IC card 2 can be used is determined according to the determination result, and a response to the information processing terminal 3 is made. Further, the log data 10 uploaded from the IC card 2 is accumulated and stored.

ログ分析処理では、例えば、PIN認証失敗が日々継続的に行われている場合や、入力PINコードが連番で入力されることが継続する場合等、所定の使用可否判定条件に該当するか否かが判定される。使用可否判定条件は、ICカード2の使用環境や求められるセキュリティの強さに応じて設定変更可能であることが望ましい。
また、ログサーバ5には、ICカード2について過去のログが記録されているので、取得したログデータのみならず、過去のログに基づいて不正な操作を推定してもよい。 In the log analysis process, for example, whether or not a predetermined use availability determination condition is satisfied, for example, when PIN authentication failure is continuously performed every day, or when the input PIN code is continuously input as a serial number. Is determined. It is desirable that the usability determination condition can be changed according to the use environment of the IC card 2 and the required security strength.
In addition, since past logs are recorded in the log server 5 for the IC card 2, an unauthorized operation may be estimated based on not only acquired log data but also past logs.

ログサーバ5からICカード2の使用が許可される応答があった場合は(図5のステップS8、S9、図6のステップS32、ステップS33;Yes)、情報処理端末3は、ICカード2のロックを解除し、ICカード2へのコマンド操作を受け付ける(図6のステップS34)。   If there is a response from the log server 5 that the use of the IC card 2 is permitted (steps S8 and S9 in FIG. 5, steps S32 and S33 in FIG. 6; Yes), the information processing terminal 3 The lock is released and a command operation to the IC card 2 is accepted (step S34 in FIG. 6).

一方、ログサーバ5からICカード2の使用を不許可とする応答があった場合は(図5のステップS8、図6のステップS32、ステップS33;No)、不正な操作がされた疑いがある旨をユーザや管理者に通知し(ステップS35)、ICカード2を使用できないようにする(ステップS36)。不正な操作がされた疑いがある旨の通知は、情報処理端末3への表示や、管理者(ログサーバ5)または正当なユーザ宛の電子メール送信等の方法で行われる。このとき、ICカード2に関するログデータ10をユーザや管理者が閲覧できるようにしてもよい。   On the other hand, if there is a response from the log server 5 that denies use of the IC card 2 (step S8 in FIG. 5, step S32 in FIG. 6, step S33; No), there is a suspicion that an unauthorized operation has been performed. This is notified to the user and the manager (step S35), and the IC card 2 is made unusable (step S36). Notification that there is a suspicion that an illegal operation has been performed is performed by a method such as display on the information processing terminal 3 or transmission of an e-mail addressed to an administrator (log server 5) or a legitimate user. At this time, the log data 10 relating to the IC card 2 may be viewed by a user or an administrator.

ICカード機能の利用が許可された場合(図5のステップS9)、ICカード2と情報処理端末3(PC_A)との間で通信を行いながら各種処理が実行される。
例えば、情報処理端末3(PC_A)からコマンドAがICカード2へ送られると、ICカード2にてコマンドAに応じた処理Aが行われ(ステップS10)、コマンドAが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS11)。その後、処理結果がレスポンスAとして情報処理端末3(PC_A)側へ送信される。 When the use of the IC card function is permitted (step S9 in FIG. 5), various processes are executed while communicating between the IC card 2 and the information processing terminal 3 (PC_A).
For example, when the command A is sent from the information processing terminal 3 (PC_A) to the IC card 2, the process A corresponding to the command A is performed in the IC card 2 (step S10), and the log 23b to which the command A is input is displayed. It is recorded in the EEPROM 23 of the IC card 2 (step S11). Thereafter, the processing result is transmitted as a response A to the information processing terminal 3 (PC_A) side.

他のコマンドBが情報処理端末3(PC_A)からICカード2へ送られた場合も同様に、ICカード2にてコマンドBに応じた処理Bが行われ(ステップS12)、コマンドBが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS13)。その後、処理結果がレスポンスBとして情報処理端末3(PC_A)側へ送信される。   Similarly, when another command B is sent from the information processing terminal 3 (PC_A) to the IC card 2, the process B corresponding to the command B is performed in the IC card 2 (step S12), and the command B is input. The log 23b is recorded in the EEPROM 23 of the IC card 2 (step S13). Thereafter, the processing result is transmitted as response B to the information processing terminal 3 (PC_A) side.

PIN認証成功後に記録したログデータ(ステップS11やステップS13で記録したログ23b)は、次回のPIN認証成功時にログサーバ5へアップロードされる。   Log data recorded after successful PIN authentication (log 23b recorded in step S11 or step S13) is uploaded to the log server 5 at the next successful PIN authentication.

ログサーバ5へログデータ10がアップロードされた後は、必ずしもICカード2内にログ23bを残す必要はない。ICカード2内のメモリ容量には限界があるため、使用可否応答を取得した段階でアップロード済みのログ23bをICカード2のEEPROM23から消去してもよい。ただし、ログサーバ5では、ログ分析に用いるために過去のログデータも保持しておくことが望ましい。   After the log data 10 is uploaded to the log server 5, it is not always necessary to leave the log 23b in the IC card 2. Since the memory capacity in the IC card 2 is limited, the uploaded log 23b may be deleted from the EEPROM 23 of the IC card 2 at the stage of obtaining the availability response. However, the log server 5 desirably retains past log data for use in log analysis.

以上説明したように、本実施の形態のセキュリティ管理システム1では、ICカード2のPIN認証時の操作履歴(ログ23b)をICカード2内に保持しておき、認証成功時には、ICカード2内のログ23bを強制的にログサーバ5にアップロードしてログ分析を行い、ICカード2の使用可否を判定する。そのため、権限のないユーザがICカード2を使用した履歴(ログ)を検知できる。   As described above, in the security management system 1 of the present embodiment, the operation history (log 23b) at the time of PIN authentication of the IC card 2 is held in the IC card 2, and when the authentication is successful, The log 23b is forcibly uploaded to the log server 5 and the log analysis is performed to determine whether the IC card 2 can be used. Therefore, an unauthorized user can detect a history (log) of using the IC card 2.

また、認証成功後にICカード2に対して行われた操作についても、ログ23bとしてICカード2に保持しておき、次の認証成功時にログサーバ5にアップロードしてログ分析の対象とする。そのため、権限のあるユーザがICカード2に対して不正なコマンドを実行した履歴やPIN推測試行に成功したユーザによる不正な操作を行った履歴を検出できるため、正当なユーザまたはPINコードを知るに至った攻撃者によるICカード2の不正使用を検知できる。   Also, operations performed on the IC card 2 after successful authentication are also stored in the IC card 2 as the log 23b, and are uploaded to the log server 5 when the next successful authentication is made to be the target of log analysis. Therefore, since it is possible to detect a history of an unauthorized user executing an unauthorized command on the IC card 2 and a history of an unauthorized operation by a user who succeeded in PIN guessing trial, it is possible to know a valid user or PIN code. Unauthorized use of the IC card 2 by an attacker who has arrived can be detected.

なお、本実施の形態では、ICカード2を用いたセキュリティ管理システム1について説明したが、ICカード2以外のオフラインデバイスを利用したセキュリティ管理システムにも適用可能である。
その他、当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 In this embodiment, the security management system 1 using the IC card 2 has been described. However, the present invention can also be applied to a security management system using an offline device other than the IC card 2.
In addition, it is obvious that those skilled in the art can come up with various changes and modifications within the scope of the technical idea disclosed in the present application, and these naturally belong to the technical scope of the present invention. It is understood.

1・・・セキュリティ管理システム
2・・・ICカード
23a・・・認証情報
23b・・・ログ
3・・・情報処理端末
4・・・ICカードリーダライタ
5・・・ログサーバ
9・・・ネットワーク
10・・・アップロードされるログデータ DESCRIPTION OF SYMBOLS 1 ... Security management system 2 ... IC card 23a ... Authentication information 23b ... Log 3 ... Information processing terminal 4 ... IC card reader / writer 5 ... Log server 9 ... Network 10 ... Log data to be uploaded

Claims (6)

認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、
前記セキュリティトークンは、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すエラー応答手段と、
前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するログ記録手段と、を備え、
前記情報処理端末は、
前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求するログアップロード要求手段と、
要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する分析結果処理手段と、
前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信する書込要求手段と、
を備えることを特徴とするセキュリティ管理システム。 In a security management system that performs authentication processing using the authentication information between a security token in which authentication information is stored and an information processing terminal capable of communication connection with the security token,
The security token is
Authentication process execution means for executing an authentication process based on the authentication information;
An error response means for returning an error response to the information processing terminal when authentication fails in the authentication process;
When an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authentication fails with the security token. A log recording means for generating a log of authentication failure in the case, and recording the log in a predetermined storage area in the security token before returning the error response,
The information processing terminal
Log upload requesting means for requesting the security token to upload the log when the authentication process is successful;
Log analysis means for determining whether the security token has been used illegally based on a log uploaded from the security token in response to a request;
Analysis result processing means for notifying the result of log analysis or requesting to restrict the use of the security token when the log analysis means determines that the security token may have been used illegally When,
Write request means for generating an operation log when an operation is performed on the security token, and transmitting the generated log to the security token together with a log write request command for recording the generated log in the security token;
A security management system comprising: 認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、
前記セキュリティトークンは、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すエラー応答手段と、
前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するログ記録手段と、を備え、
前記情報処理端末は、
前記認証処理が成功した際、前記セキュリティトークンに対して前記ログをアップロードするよう要求するログアップロード要求手段と、
要求に応答して前記セキュリティトークンからアップロードされたログに基づいて前記セキュリティトークンが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記セキュリティトークンが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求する分析結果処理手段と、を備え、
前記セキュリティトークンは、
前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、
前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込むこと
特徴とするセキュリティ管理システム。 In a security management system that performs authentication processing using the authentication information between a security token in which authentication information is stored and an information processing terminal capable of communication connection with the security token,
The security token is
Authentication process execution means for executing an authentication process based on the authentication information;
An error response means for returning an error response to the information processing terminal when authentication fails in the authentication process;
When an operation is performed on the security token, an operation log is generated on the security token side, forcibly recorded in a predetermined storage area in the security token, and authentication fails with the security token. A log recording means for generating a log of authentication failure in the case, and recording the log in a predetermined storage area in the security token before returning the error response,
The information processing terminal
Log upload requesting means for requesting the security token to upload the log when the authentication process is successful;
Log analysis means for determining whether the security token has been used illegally based on a log uploaded from the security token in response to a request;
Analysis result processing means for notifying the result of log analysis or requesting to restrict the use of the security token when the log analysis means determines that the security token may have been used illegally And comprising
The security token is
Holding a communication monitoring program for monitoring the communication status and command operation with the information processing terminal;
When the security token enters a communication state, the communication monitoring program is started, the command operation performed on the security token is always monitored, and the input command is written in the predetermined storage area as log data.
Security management system according to claim. 前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることを特徴とする請求項1又は請求項2に記載のセキュリティ管理システム。 Wherein the log recorded in the log recording unit, the security management system according to claim 1 or claim 2, characterized in that includes a log of authentication attempts operations. 前記ログ記録手段に記録されるログには、認証成功後に前記セキュリティトークンに対して行われた操作のログが含まれることを特徴とする請求項1又は請求項2に記載のセキュリティ管理システム。 Said log The log is recorded in the recording means, the security management system according to claim 1 or claim 2, characterized in that includes a log of an operation performed with respect to the security token after successful authentication. 認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、
前記セキュリティトークンが、前記認証情報に基づく認証処理を実行するステップと、
前記セキュリティトークンが、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すステップと、
前記セキュリティトークンが、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するステップと、
前記認証処理が成功した際、前記情報処理端末が、前記セキュリティトークンに対して前記ログをアップロードするよう要求するステップと、
要求に応答して前記セキュリティトークンからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記セキュリティトークンが不正に使用されたか否かを判定するステップと、
前記セキュリティトークンが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求するステップと、
前記情報処理端末が、前記セキュリティトークンに対して操作を行った際に操作のログを生成し、生成したログを前記セキュリティトークンに記録させるためのログ書込要求コマンドとともに前記セキュリティトークンに送信するステップと、
を含む処理を行うことを特徴とするセキュリティ管理方法。 In a security management method for performing authentication processing using the authentication information between a security token storing authentication information and an information processing terminal capable of communication connection with the security token,
The security token performing an authentication process based on the authentication information;
A step of returning an error response to the information processing terminal when the security token fails in the authentication process;
When the security token performs an operation on the security token, an operation log is generated on the security token side, and the log is forcibly recorded in a predetermined storage area in the security token. Generating an authentication failure log in the case of failure in authentication, and recording it in a predetermined storage area in the security token before returning the error response;
Requesting the information processing terminal to upload the log to the security token when the authentication process is successful;
Based on a log uploaded from the security token in response to a request, the information processing terminal or an external server determining whether the security token has been used illegally;
When it is determined that the security token may have been used illegally, the information processing terminal or the server notifies the result of log analysis or requests to restrict the use of the security token. Steps,
A step of generating an operation log when the information processing terminal performs an operation on the security token, and transmitting the generated log to the security token together with a log write request command for recording the generated log in the security token; When,
The security management method characterized by performing the process including this. 認証情報が格納されたセキュリティトークンと、該セキュリティトークンとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、
前記セキュリティトークンが、前記認証情報に基づく認証処理を実行するステップと、
前記セキュリティトークンが、前記認証処理において認証失敗した場合は前記情報処理端末に対してエラー応答を返すステップと、
前記セキュリティトークンが、前記セキュリティトークンに対して操作が行われた際に、操作のログを当該セキュリティトークン側で生成し、当該セキュリティトークン内の所定の記憶領域に強制的に記録し、当該セキュリティトークンにて認証失敗した場合は認証失敗のログを生成し、前記エラー応答を返す前に当該セキュリティトークン内の所定の記憶領域に記録するステップと、
前記認証処理が成功した際、前記情報処理端末が、前記セキュリティトークンに対して前記ログをアップロードするよう要求するステップと、
要求に応答して前記セキュリティトークンからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記セキュリティトークンが不正に使用されたか否かを判定するステップと、
前記セキュリティトークンが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該セキュリティトークンの使用を制限するよう要求するステップと、
を含む処理を行い、
前記セキュリティトークンは、
前記情報処理端末との通信状態及びコマンド操作を監視する通信監視プログラムを保持し、
前記セキュリティトークンが通信状態となると、前記通信監視プログラムを起動し、常に当該セキュリティトークンに対して行われるコマンド操作を監視し、入力されたコマンドをログデータとして前記所定の記憶領域に書き込む
ことを特徴とするセキュリティ管理方法。 In a security management method for performing authentication processing using the authentication information between a security token storing authentication information and an information processing terminal capable of communication connection with the security token,
The security token performing an authentication process based on the authentication information;
A step of returning an error response to the information processing terminal when the security token fails in the authentication process;
When the security token performs an operation on the security token, an operation log is generated on the security token side, and the log is forcibly recorded in a predetermined storage area in the security token. Generating an authentication failure log in the case of failure in authentication, and recording it in a predetermined storage area in the security token before returning the error response;
Requesting the information processing terminal to upload the log to the security token when the authentication process is successful;
Based on a log uploaded from the security token in response to a request, the information processing terminal or an external server determining whether the security token has been used illegally;
When it is determined that the security token may have been used illegally, the information processing terminal or the server notifies the result of log analysis or requests to restrict the use of the security token. Steps,
It performs the processing including,
The security token is
Holding a communication monitoring program for monitoring the communication status and command operation with the information processing terminal;
When the security token enters a communication state, the communication monitoring program is started, command operations performed on the security token are always monitored, and the input command is written as log data in the predetermined storage area. > A security management method characterized by:
JP2010184174A 2010-08-19 2010-08-19 Security management system and security management method Expired - Fee Related JP5736689B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010184174A JP5736689B2 (en) 2010-08-19 2010-08-19 Security management system and security management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010184174A JP5736689B2 (en) 2010-08-19 2010-08-19 Security management system and security management method

Publications (2)

Publication Number Publication Date
JP2012043208A JP2012043208A (en) 2012-03-01
JP5736689B2 true JP5736689B2 (en) 2015-06-17

Family

ID=45899428

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010184174A Expired - Fee Related JP5736689B2 (en) 2010-08-19 2010-08-19 Security management system and security management method

Country Status (1)

Country Link
JP (1) JP5736689B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109391615A (en) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 A kind of server exempts from close login method and system

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6986835B2 (en) * 2016-11-29 2021-12-22 大日本印刷株式会社 Electronic information storage, data processing methods, and data processing programs
US10542036B1 (en) 2018-10-02 2020-01-21 Capital One Services, Llc Systems and methods for signaling an attack on contactless cards
US11190537B2 (en) 2019-06-18 2021-11-30 International Business Machines Corporation Vulnerability management of disconnected endpoints
JP7409024B2 (en) * 2019-11-14 2024-01-09 Toppanホールディングス株式会社 IC card
JP7559492B2 (en) 2020-10-21 2024-10-02 Toppanホールディングス株式会社 IC card, IC card logging information processing method, and program
JP7017185B2 (en) * 2021-02-19 2022-02-08 大日本印刷株式会社 Electronic information storage, data processing methods, and data processing programs
CN113297927A (en) * 2021-05-07 2021-08-24 深圳市艾美视科技有限公司 Face recognition system for bank escort handover
CN113691519B (en) * 2021-08-18 2023-09-01 绿能慧充数字技术有限公司 Off-network equipment centralized control method for unified management of access rights of cloud service
CN114297020A (en) * 2021-12-20 2022-04-08 江苏林洋能源股份有限公司 Enterprise industrial control safety brain platform system and operation method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005332345A (en) * 2004-05-21 2005-12-02 Lightwell Co Ltd Behavioral management system, client terminal, behavioral management server, manager terminal, monitoring program, behavioral management program and restriction setting program
JP5004572B2 (en) * 2006-12-22 2012-08-22 中国電力株式会社 Login management system and login management method
JP4678884B2 (en) * 2008-01-29 2011-04-27 株式会社日立情報システムズ Portable storage media management system
JP5303975B2 (en) * 2008-03-18 2013-10-02 株式会社リコー DATA DISTRIBUTION DEVICE, DATA DISTRIBUTION SYSTEM, ERROR NOTIFICATION METHOD, PROGRAM THEREOF, AND RECORDING MEDIUM CONTAINING THE PROGRAM

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109391615A (en) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 A kind of server exempts from close login method and system

Also Published As

Publication number Publication date
JP2012043208A (en) 2012-03-01

Similar Documents

Publication Publication Date Title
JP5736689B2 (en) Security management system and security management method
US10467832B2 (en) Configurable digital badge holder
US8510572B2 (en) Remote access system, gateway, client device, program, and storage medium
AU2006203517B2 (en) Using Promiscuous and Non-Promiscuous Data to Verify Card and Reader Identity
US8782404B2 (en) System and method of providing trusted, secure, and verifiable operating environment
US6957338B1 (en) Individual authentication system performing authentication in multiple steps
US9117096B2 (en) Protection of safety token against malware
TWI494785B (en) System and method for providing a system management command
US20080120726A1 (en) External storage device
CN111414605B (en) Unlocking method and device of embedded security unit, electronic equipment and storage medium
EP3136356A1 (en) Automatic transaction device and automatic transaction system
WO2001020463A1 (en) Security arrangement
WO2009123079A1 (en) Digital camera connected to a computer using rfid authenti fi cati on
JP5278256B2 (en) Card management system
US20030014642A1 (en) Security arrangement
JP2006277645A (en) Illicit use prevention system and illicit use recording system for computer
RU2573235C2 (en) System and method for checking authenticity of identity of person accessing data over computer network
JP2003263615A (en) Ic card
KR100676086B1 (en) Secure data storage apparatus, and access control method thereof
RU2260840C2 (en) Protection means
EP1610199A1 (en) Controlling access to a secure service by means of a removable security device
US11100215B2 (en) Management of a display of a view of an application on a screen of an electronic data entry device, corresponding method, device and computer program product
JP3561203B2 (en) Memory device
Carlton et al. Alternate authentication mechanisms
JP7423370B2 (en) IC card, IC card logging information processing method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150324

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150406

R150 Certificate of patent or registration of utility model

Ref document number: 5736689

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees