JP5940671B2 - Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム - Google Patents

Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム Download PDF

Info

Publication number
JP5940671B2
JP5940671B2 JP2014535620A JP2014535620A JP5940671B2 JP 5940671 B2 JP5940671 B2 JP 5940671B2 JP 2014535620 A JP2014535620 A JP 2014535620A JP 2014535620 A JP2014535620 A JP 2014535620A JP 5940671 B2 JP5940671 B2 JP 5940671B2
Authority
JP
Japan
Prior art keywords
server
authentication
unit
vpn connection
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014535620A
Other languages
English (en)
Other versions
JPWO2014042269A1 (ja
Inventor
朝彦 山田
朝彦 山田
竜朗 池田
竜朗 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Application granted granted Critical
Publication of JP5940671B2 publication Critical patent/JP5940671B2/ja
Publication of JPWO2014042269A1 publication Critical patent/JPWO2014042269A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、VPN接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、VPN接続サーバ、およびプログラムに関する。
モバイルコンピューティングにおける企業内ネットワークへの接続においては、VPN(Virtual Private network)接続が利用される。ユーザは、VPN接続において、当該ユーザが接続できる権限を有する者であるか否かの認証としてのユーザ認証を求められる。当該ユーザ認証には、第1または第2の認証機能だけを使うことができる。第1の認証機能はVPN製品が提供する認証機能である。第2の認証機能は、VPN製品以外の製品が提供する認証機能で、VPN製品が連携を可能にする認証機能である。
VPN製品では、パスワード認証、PKI(Public Key Infrastructure)を使った認証が提供される。VPN製品と連携する認証機能を持つ製品では、ワンタイムパスワードを生成する認証用装置を使う。この装置は、認証用装置に表示されたワンタイムパスワードをVPN製品のパスワードとしてVPN接続クライアントからVPN接続サーバに送信する。この装置は、VPN接続サーバが認証機能を持つ製品に、パスワードとして送信されたワンタイムパスワードを検証させる。
また、生体情報を用いてユーザを特定する生体認証を行なう生体認証製品もある。この製品は、VPNのユーザ認証用パスワードを格納し、生体認証が成功した場合に生体認証製品がVPNのユーザ認証用パスワードを取り出して、VPN接続クライアントに渡してVPN接続のユーザ認証を行う。
特開2001−14276号公報 特開2005−316660号公報 特開2006−215875号公報
ユーザ認証においては、セキュリティとユーザ利便性との両立が望まれる。しかしながら、パスワード認証にはパスワード盗難などの多くのセキュリティ脅威が存在しており、セキュリティ面での問題がある。PKIを使った認証を用いた場合は、ネットワーク上のセキュリティは向上する。しかし、PKIを使った認証では、格納された秘密鍵を利用可能にするために暗証番号などが利用される。このため、クライアントにおけるセキュリティはパスワード認証と同様である。
ワンタイムパスワードを生成する認証用装置を使った認証では、ワンタイムパスワードを用いるため、セキュリティの強度は向上する。しかし、ワンタイムパスワードは通常のパスワードより文字数が多い。また、ユーザは認証用装置に表示されたワンタイムパスワードを入力しなければならない。このため、ユーザ利便性が低下するという問題があった。
生体認証製品は、VPNのユーザ認証用パスワードを格納する。生体認証製品は、生体認証が成功した場合に生体認証製品がVPNのユーザ認証用パスワードを取り出して、VPN接続クライアントに渡してVPN接続のユーザ認証を行う。この場合には、ユーザの利便性は向上する。しかし、ネットワーク上のセキュリティはパスワード認証と同様である。
本発明が解決しようとする課題は、ワンタイムパスワードを生成する認証用装置を使った場合のようなワンタイムパスワードの入力を不要とし、パスワード認証よりもセキュリティを向上させることができ、ユーザの本人確認を実行し得るVPN接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、およびVPN接続サーバを提供することである。
実施形態のVPN接続認証システムは、ユーザが用いるユーザ端末と、前記ユーザ端末と通信可能に接続する認証サーバと、前記認証サーバに内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバと、前記認証サーバから書き込み可能である認証情報管理DBと、前記ユーザ端末とVPNで通信可能に接続するVPN接続サーバとを有する。
前記ユーザ端末は、前記認証サーバ及び前記VPN接続サーバの間で通信する通信部を有する
前記ユーザ端末は、前記ユーザに前記認証サーバへのVPN接続要求を表示する表示部を有する。
前記ユーザ端末は、前記表示部によって表示された前記認証サーバへのVPN接続要求を前記ユーザが決定する入力部を有する。
前記ユーザ端末は、前記認証サーバからのチャレンジ値を受け取り、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成し、前記認証サーバへ返却する生体認証処理部を有する。
前記ユーザ端末は、前記認証サーバでの認証が成功した場合に、前記認証サーバから受信するID、トークンから、前記ID及び前記トークンを前記VPN接続サーバへの認証を要求するための形式を持った情報に生成する送信内容生成部を有する。
前記ユーザ端末は、前記認証サーバ又は前記VPN接続サーバと前記ユーザ端末との間の通信内容に応じた処理を、前記表示部、前記入力部、前記生体認証処理部、前記送信内容生成部、前記VPN接続部によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ又は前記VPN接続サーバに送信する制御部を有する。
前記認証サーバは、前記ユーザ端末及び前記生体認証結果証拠情報検証サーバと前記認証サーバとの間で通信する通信部有する。
前記認証サーバは、前記ユーザ端末からのVPN接続要求に対して、前記ユーザ端末に送信する前記チャレンジ値を生成するチャレンジ値生成部を有する。
前記認証サーバは、前記生体認証結果証拠情報検証サーバでの検証が成功した場合に、前記トークンを生成するトークン生成部を有する。
前記認証サーバは、前記認証情報管理DBへ前記トークンを書き込むDB処理部を有する。
前記認証サーバは、制御部を有する。この制御部は、前記ユーザ端末又は前記生体認証結果証拠情報検証サーバと前記認証サーバとの間の通信内容に応じた処理を、前記チャレンジ値生成部、前記トークン生成部、前記DB処理部よって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ又は前記VPN接続サーバに送信する。
前記生体認証結果証拠情報検証サーバは、前記認証サーバと前記生体認証結果証拠情報検証サーバとの間で通信する通信部を有する。
前記生体認証結果証拠情報検証サーバは、生体認証結果証拠情報検証部を有する。この生体認証結果証拠情報検証部は、前記ユーザ端末の前記生体認証処理部によって生成され、前記認証サーバを経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバに返却する。
前記認証情報管理DBは、各前記ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバを利用するユーザの前記ID及び前記トークンを格納する
前記VPN接続サーバは、前記ユーザ端末と前記VPN接続サーバとの間で通信する通信部を有する。
前記VPN接続サーバは、前記認証情報管理DBから前記IDと前記トークンとの対を読み出すDB処理部を有する。
前記VPN接続サーバは、前記ユーザ端末から受信した前記IDと前記トークンのうちの前記トークンと、前記IDをキーとして前記認証情報管理DBから読み出したトークンとの一致を判定するトークン判定部を有する。
前記VPN接続サーバは、前記ユーザ端末と前記VPN接続サーバとの間でのVPN通信を可能にするVPN接続部を有する。
前記VPN接続サーバは、前記ユーザ端末から前記IDと前記トークンを受信すると、前記DB処理部、前記トークン判定部、前記VPN接続部を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末に送信する制御部を有する。
図1は、実施形態に係るVPN接続認証システムの構成を示す模式図である。 図2は、同実施形態における処理プロセスを説明するための模式図である。 図3は、同実施形態におけるステップST1乃至ST15の動作を説明するためのフローチャートである。 図4は、同実施形態におけるステップST16乃至ST33の動作を説明するためのフローチャートである。 図5は、同実施形態における認証情報管理DB40を説明するための模式図である。
以下、実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能である。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
図1は、実施形態に係るVPN接続認証システムの構成を示す模式図である。図2は、同システムにおける処理プロセスを説明するための模式図である。処理プロセスは、図2に示すように、VPN接続要求、第1の認証プロセス、第2の認証プロセス、VPN接続から構成される。
認証処理とは、認証したい対象(人、装置等)が正当である事を確認するための処理である。また、正当である事とは、検証者が正しいと認めるための基準を、認証したい対象が満たした場合を意味する。
以下においては、ユーザは、生体認証処理に係るユーザ識別子、及びVPN接続サーバを利用するユーザのIDを持つものとする。ユーザ識別子とIDとは別であってもよいし、同一であってもよい。
実施形態に係るVPN接続認証システムは、ユーザ端末10、認証サーバ20、生体認証結果証拠情報検証サーバ30、認証情報管理DB(Data Base)40、VPN接続サーバ50を備える。
ユーザ端末10は、ユーザが用いる端末であり、認証サーバ20及びVPN接続サーバ50と接続して通信可能である。
認証サーバ20は、ユーザ端末10及び認証情報管理DB40と接続する。また、認証サーバ20は、生体認証結果証拠情報検証サーバ30を内蔵してもよいし、又は、図1に示すように、生体認証結果証拠情報検証サーバ30と外部で接続して通信可能としてもよい。
生体認証結果証拠情報検証サーバ30は、認証サーバ20に内蔵されてもよいし、又は、図1に示すように、認証サーバ20と外部で接続して通信可能としてもよい。
認証情報管理DB40は、認証サーバ20及びVPN接続サーバ50に接続して通信可能である。
VPN接続サーバ50は、ユーザ端末10及び認証情報管理DB40と接続して通信可能である。
ここで、ユーザ端末10は、通常のコンピュータ機能を有する。ユーザ端末10は、例えば、通信部11、制御部12、表示部13、入力部14、生体認証処理部15、送信内容生成部16及びVPN接続クライアント機能部17を備える。そして、ユーザ端末10は、例えば、携帯電話(フィーチャーフォン)、スマートフォン、タブレット端末であってもよい。以下では、ユーザ端末10の各構成を説明する。
通信部11は、ユーザ端末10と認証サーバ20,VPN接続サーバ50との間の通信インタフェースである。以下の説明では、全ての場合に当てはまるため、通信のときに通信部11を経由する旨の記述を省略する。
制御部12は、認証サーバ20又はVPN接続サーバ50との通信内容に応じた1つまたは複数の処理を、表示部13、入力部14、生体認証処理部15、送信内容生成部16、VPN接続クライアント機能部17に実行させる。そして、制御部12は、それらの処理の結果を必要に応じて認証サーバ20又はVPN接続サーバ50に送信する。制御部12は、例えば、以下の機能(f12-1)〜(f12-4)を有する。
(f12-1) 認証サーバ20に対して、VPN接続認証の要求を送信するVPN接続要求送信機能。
(f12-2) ユーザに対して、認証サーバ20により生成された要求としての生体認証の実行を要求する認証要求と認証サーバ20により生成されたランダムなチャレンジ値とを当該認証サーバ20から受け取ると、チャレンジ値に対応して生体認証処理部15が生成する生体認証結果証拠情報に基づいて、送信内容生成部16が生成した送信内容を生体認証結果証拠情報として認証サーバ20に送信する生体認証結果証拠情報送信機能。
(f12-3) 認証サーバ20からの認証結果、ID、及びトークンを受け取ると、送信内容生成部16が当該ID及び当該トークンに基づいて送信内容生成部16が生成した送信内容をVPN接続サーバ50に送信するID・トークン送信機能。
(f12-4) ID及びトークンをVPN接続サーバ50へ送信した結果、VPN接続がVPN接続サーバ50で許可された場合に、このVPN接続サーバ50とのVPN通信のための送受信内容の処理を実行する処理結果としての、VPN接続クライアント機能部17での処理結果を送信するVPN接続通信機能。
ここで、トークンとは上記で実施する生体認証に利用する情報である。トークンは、一時的に生成されるワンタイムパスワードなどを含む。
表示部13は、表示機能を有する。この表示機能は、例えば、認証サーバ20へのVPN接続要求、認証サーバ20からの認証要求、生体認証処理部15からの操作指示、認証サーバ20での認証結果、VPN接続サーバ50とのVPN接続状況を表示する。
入力部14は、例えば、表示部13に表示された認証サーバ20へのVPN接続要求をユーザが決定するための入力機能を有する。
生体認証処理部15は、例えば、指紋センサやCCDカメラ等の生体認証に用いる機器が適宜使用可能である。認証サーバ20へのVPN接続要求があった場合には、この認証サーバ20からのチャレンジ値をユーザ端末10が受信すると、生体認証処理部15は、当該チャレンジ値とともに、ユーザ端末10内での生体認証の実行を要求する実行要求を制御部12から受け取り、生体認証処理を実行する。そして、生体認証処理部15は、当該チャレンジ値を含む生体認証結果証拠情報を生成し、生成結果を制御部12に返す。
送信内容生成部16は、認証サーバ20から受信した認証結果、ID、トークンに基づいて、当該ID及び当該トークンをVPN接続サーバ50への認証要求のための形式の情報を生成する。
VPN接続クライアント機能部17は、VPN接続サーバ50で認証が成功した後に、VPN接続サーバ50との間のVPN接続を実行する。
認証サーバ20は、通信部21、制御部22、チャレンジ値生成部23、トークン生成部24、DB処理部25を備える。以下では、認証サーバ20の各構成を説明する。
通信部21は、認証サーバ20との間、ユーザ端末10との間、及び生体認証結果証拠情報検証サーバ30との間の通信インタフェースである。以下の説明では、全ての場合に当てはまるため、通信のときに通信部21を経由する旨の記述を省略する。
制御部22は、ユーザ端末10又は生体認証結果証拠情報検証サーバ30との通信内容に応じた処理を、チャレンジ値生成部23、トークン生成部24、DB処理部25に実行させる。そして、制御部22は、それらの結果を必要に応じてユーザ端末10又は生体認証結果証拠情報検証サーバ30に送信する。制御部22は、例えば、以下の機能(f22-1)〜(f22-4)を有する。
(f22-1) ユーザ端末10からのVPN接続要求に対して、チャレンジ値生成部23にチャレンジ値を生成させ、この生成したチャレンジ値をユーザ端末10に送信するチャレンジ値送信機能。
(f22-2) ユーザ端末10から送信された生体認証結果証拠情報の検証を、生体認証結果証拠情報検証サーバ30に対して要求する生体認証結果証拠情報検証要求機能。
(f22-3) 生体認証結果証拠情報の内容に不整合がなく正しいと生体認証結果証拠情報検証サーバ30により判断され、その結果、生体認証が正しく実行されて成功した場合に、生体認証結果証拠情報検証サーバ30から送信される検証結果及びユーザ識別子に対して、トークン生成部24にトークンを生成させるとともに、認証情報管理DB40の当該ユーザ識別子のレコードに対して、当該トークンをDB処理部25に書き込ませるトークン書き込み機能。
(f22-4) (f22-2)が終了した後に、(f22-2)による検証結果をユーザ端末10に対して送信し、併せて、(f22-2)による生体認証結果証拠情報の検証が成功した場合で、さらに(f22-3)も終了した後に、(f22-2)の検証結果に加えて、ユーザ識別子に対応するIDをDB処理部25に検索させて得られたIDとトークンとをユーザ端末10に対して送信する検証結果送信機能。
チャレンジ値生成部23は、ユーザ端末10から認証サーバ20がVPN接続要求を受け取ると、制御部22からの処理要求によって、ユーザ端末10に送信するためのチャンレンジを生成する機能を有する。
トークン生成部24は、生体認証結果証拠情報検証サーバ30からの検証結果が成功である事を示す場合に、制御部22からの処理要求によってトークンを生成する機能を有する。このトークンは、認証情報管理DB40へ書き込まれた後にユーザ端末10に送信される。
DB処理部25は、トークン生成部24によって生成されたトークンを、生体認証結果証拠情報検証サーバ30から検証結果とともに返されたユーザ識別子に対応づけて認証情報管理DB40に書き込む機能を有する。
生体認証結果証拠情報検証サーバ30は、通信部31と生体認証結果証拠情報検証部32とを備える。
通信部31は、認証サーバ20との間の通信インタフェースである。以下の説明では、全ての場合に当てはまるため、通信のときに通信部31を経由する旨の記述を省略する。
生体認証結果証拠情報検証部32は、ユーザ端末10の生体認証処理部15で生成された生体認証結果証拠情報を検証する。生体認証結果証拠情報検証部32は、生体認証結果証拠情報の内容に不整合がなく正しいと判断し、その結果、生体認証が正しく実行されて検証が成功した場合に、検証結果とともに認証サーバ20へ送信するための識別子としての、生体認証結果証拠情報に含まれるユーザ識別子を抽出する機能を有する。
図5に示すように、認証情報管理DB40は、認証情報40aを格納する。認証情報40aは、各ユーザに対応して、生体認証処理に係るユーザ識別子、VPN接続サーバを利用するユーザのID及びトークンを格納する。この認証情報管理DB40は、ユーザ識別子及びIDのそれぞれをキーとして、認証サーバ20によってトークンが書き込まれる機能を有する。同じく、認証情報管理DB40は、VPN接続サーバ50によりトークンが読み出される機能を有する。なお、認証情報管理DB40は、通信機能を有するDB管理サーバであってもよいし、LDAP(Lightweight Directory Access Protocol)サーバであってもよい。
VPN接続サーバ50は、通信部51、制御部52、DB処理部53、トークン判定部54、VPN接続サーバ機能部55を備える。以下では、VPN接続サーバ50の各構成を説明する。
通信部51は、ユーザ端末10との間の通信を行なうための通信インタフェースである。以下の説明では、全ての場合に当てはまるため、通信のときに通信部51を経由する旨の記述を省略する。
制御部52は、ユーザ端末10からのIDとトークンとを受信すると、DB処理部53、トークン判定部54、VPN接続サーバ機能部55を実行させ、それらの結果を必要に応じてユーザ端末10に送信する。制御部52は、例えば、以下の機能(f52-1)〜(f52-4)を有する。
(f52-1) ユーザ端末10からIDとトークンとを受信すると、認証情報管理DB40の中のトークン読出しを、当該IDをキーとしてDB処理部53に実行させるトークン読出し機能。
(f52-2) ユーザ端末10から受信したトークンと(f52-1)で読み出したトークンとが一致するか否かの判定をトークン判定部54に実行させるトークン判定機能。
(f52-3) (f52-2)での判定の結果、トークン同士が一致した場合に、ユーザ端末10とVPN接続サーバ50との間のVPN接続を許可すると共に、ユーザ端末10との間でVPNによる通信を行なうための送受信内容の処理を実行するVPN接続サーバ機能部55での処理結果を送信するVPN接続通信機能。
送受信内容の処理を実行する事とは、ユーザ端末10とVPN接続サーバ50との間の通信データの授受の前後(送る場合は前、受ける場合は後)で行なう暗号化等の処理を実行する事である。この事は、VPN接続サーバ機能部55の機能でもあるし、翻って、VPN接続クライアント機能部17の機能でもある。なお、通信自体は通信部51が実行する。
DB処理部53は、ユーザ端末10から受信したIDをキーとして認証情報管理DB40の中のトークンを読み出す機能を有する。
トークン判定部54は、ユーザ端末10から受信したトークンとDB処理部53が認証情報管理DB40から読み出したトークンとが一致するか否かを判定する機能を有する。
VPN接続サーバ機能部55は、VPN接続サーバ50で認証が成功した後に、ユーザ端末10のVPN接続クライアント機能部17との間のVPN接続を実行する機能をも有する。
次に、以上のように構成されたVPN接続認証システムの動作を図2乃至図4のフローチャートを用いて説明する。
ユーザ端末10においては、図3に示すように、表示部13に表示された画面に従い、ユーザが入力部14からVPN接続要求を選択することによって(ST2)、ユーザ端末10から認証サーバ20にVPN接続要求が送信される(ST3)。これにより、第1の認証プロセスが開始される。
認証サーバ20においては、通信部21がVPN接続要求を受信すると(ST4)、制御部22が、予め決められた又はVPN接続要求で指定された認証方法に従い、以後の認証処理を実行する。
制御部22は、乱数等からなるチャレンジ値をチャレンジ値生成部23に生成させて(ST5)、チャレンジ値を保持するとともに、このチャレンジ値と認証要求とをユーザ端末10に送信する(ST6)。ここで、認証要求には、例えば、認証処理を指定する情報や、いくつかの照合アルゴリズムを指定する情報が含まれてもよい。
ユーザ端末10では、チャレンジ値と認証要求とを受信すると(ST7)、制御部12が生体認証処理部15にチャレンジ値及び生体認証処理実行要求を渡す(ST8)。
生体認証処理部15は、チャレンジ値及び生体認証処理実行要求を受けると、生体認証処理を実行し、チャレンジ値を含む生体認証結果証拠情報を生成し(ST8)、当該生体認証結果証拠情報を認証サーバ20に送信する(ST9)。ここで、「生体認証結果証拠情報」とは、生体認証で使用された生体認証製品の情報や、予め登録されて使用された生体情報の証明書等である。
認証サーバ20は、ユーザ端末10から生体認証結果証拠情報を受信すると(ST10)、当該生体認証結果証拠情報を生体認証結果証拠情報検証サーバ30へ送信する(ST11)。
生体認証結果証拠情報検証サーバ30は、認証サーバ20から生体認証結果証拠情報を受信すると(ST12)、生体認証結果証拠情報検証部32に生体認証結果証拠情報を検証させる。
生体認証結果証拠情報検証部32は、生体認証結果証拠情報を検証すると共に、生体認証結果証拠情報に含まれるユーザ識別子を抽出する(ST13)。
生体認証結果証拠情報検証サーバ30は、生体認証結果証拠情報の検証結果を認証サーバ20に送信する。生体認証結果証拠情報検証部32での検証に成功した場合は、生体認証結果証拠情報検証サーバ30は、検証結果と併せて、ユーザ識別子も認証サーバ20に送信する(ST14)。
認証サーバ20は、生体認証結果証拠情報検証部32での検証結果を生体認証結果証拠情報検証サーバ30から受信する(ST15)。そして、この検証に成功した場合には、トークン生成部24は、トークンを生成する(ST16)。これにより、第2の認証プロセスが開始される。
DB処理部25は、生体認証結果証拠情報検証サーバ30から認証サーバ20へ検証結果と共に返されたユーザ識別子に対して、認証情報管理DB40に当該トークンを書き込む。この書き込みと共に、DB処理部25は、トークンに対応するIDを認証情報管理DB40に問い合わせる(ST17)。
認証情報管理DB40は、DB処理部25を通じて認証サーバ20から指定されたユーザ識別子に対応するトークンを書き込む(ST18)。そして、認証情報管理DB40は、ユーザ識別子に対応するIDを検索し、この検索したIDをトークンの書込み結果とともに認証サーバ20に返す(ST19)。
認証サーバ20は、認証情報管理DB40から返却された、トークンの書込み結果とIDとを受け取る(ST20)。そして、認証サーバ20は、当該IDとST16で生成されたトークンとをユーザ端末10に送信する(ST21)。
ユーザ端末10は、IDとトークンとを認証サーバ20から受け取る(ST22)。そして、送信内容生成部16は、当該IDと当該トークンに基づいてVPN接続サーバ50に送信する内容を生成して、この生成結果を通信部21を通じてVPN接続サーバ50に送信する(ST23)。
VPN接続サーバ50は、ユーザ端末10からのIDとトークンとを受信する(ST24)。すると、DB処理部53は、認証情報管理DB40に格納されたIDに対するトークンの読出しを認証情報管理DB40に対して要求する(ST25)。
認証情報管理DB40は、VPN接続サーバ50からの読出し要求に対して、指定されたIDに対するトークンを読み出し(ST26)、この読み出したトークンをVPN接続サーバ50返却する(ST27)。
VPN接続サーバ50は、認証情報管理DB40からトークンを受け取る(ST28)。すると、トークン判定部54は、このトークンがST24でユーザ端末10から受け取ったトークンと一致するか否かを判定する(ST29)。そして、双方のトークンが一致した場合は、VPN接続サーバ50は認証成功を示す信号をユーザ端末10に送信する。また、双方のトークンが一致しなかった場合は、VPN接続サーバ50は認証失敗を示す信号をユーザ端末10に送信する(ST30)。
ユーザ端末10は、VPN接続サーバ50から認証結果を受信する(ST31)。受信した認証結果が成功の場合は、VPN接続クライアント機能部17は、VPN接続サーバ50のVPN接続サーバ機能部55との間のVPN接続を確立して(ST32)、VPN接続認証の処理を終了する(ST33)。
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
ここまでで実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。この実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10…ユーザ端末、20…認証サーバ、30…生体認証結果証拠情報検証サーバ、40…認証情報管理DB、50…VPN接続サーバ、11,21,31,51…通信部、12,22,52…制御部、13…入力部、14…表示部、15…生体認証処理部、16…送信内容生成部、17…VPN接続クライアント機能部、23…チャレンジ値生成部、24…トークン生成部、25…DB処理部、32…生体認証結果証拠情報検証部,53…DB処理部、54…トークン生成部、55…VPN接続サーバ機能部、40a…認証情報。

Claims (7)

  1. ユーザが用いるユーザ端末(10)と、前記ユーザ端末(10)と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバ(30)と、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末(10)とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えたVPN接続認証システムであって、
    前記ユーザ端末(10)は、
    前記認証サーバ(20)及び前記VPN接続サーバ(50)の間で通信する通信部(11)と、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)と、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ(20)又は前記VPN接続サーバ(50)と前記ユーザ端末(10)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(12)と、
    を備え、
    前記認証サーバ(20)は、
    前記ユーザ端末(10)及び前記生体認証結果証拠情報検証サーバ(30)との間で通信する通信部(21)と、
    前記ユーザ端末(10)からのVPN接続要求に対して、前記ユーザ端末(10)に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバ(30)での検証が成功した場合に、前記トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末(10)又は前記生体認証結果証拠情報検証サーバ(30)と前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備え、
    前記生体認証結果証拠情報検証サーバ(30)は、
    前記認証サーバ(20)との間で通信する通信部(31)と、
    前記ユーザ端末(10)の前記生体認証処理部(15)によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末(10)との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末(10)から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末(10)と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末(10)から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末(10)に送信する制御部(52)と、
    を備えたことを特徴とするVPN接続認証システム。
  2. ユーザが用いるユーザ端末と、前記ユーザ端末と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバ(30)と、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えて、
    前記認証サーバ(20)は、
    前記ユーザ端末からのVPN接続要求に対して、前記ユーザ端末に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバ(30)での検証が成功した場合に、トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末又は前記生体認証結果証拠情報検証サーバ(30)と前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備え、
    前記生体認証結果証拠情報検証サーバ(30)は、
    前記認証サーバ(20)との間で通信する通信部(31)と、
    前記ユーザ端末によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末に送信する制御部(52)と、
    を有するVPN接続認証システムに用いられるユーザ端末であって、
    前記認証サーバ(20)及び前記VPN接続サーバ(50)の間で通信する通信部(11)と、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)と、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ(20)又は前記VPN接続サーバ(50)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(12)と、
    を備えたことを特徴とするユーザ端末。
  3. ユーザが用いるユーザ端末(10)と、前記ユーザ端末(10)と通信可能に接続する認証サーバと、前記認証サーバに内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバ(30)と、前記認証サーバから書き込み可能である認証情報管理DB(40)と、前記ユーザ端末(10)とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えて、
    前記ユーザ端末(10)は、
    前記認証サーバ及び前記VPN接続サーバ(50)の間で通信する通信部(11)と、
    前記認証サーバへのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバからのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバへ返却する生体認証処理部(15)と、
    前記認証サーバでの認証が成功した場合に、前記認証サーバから受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ又は前記VPN接続サーバ(50)と前記ユーザ端末(10)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ又は前記VPN接続サーバ(50)に送信する制御部(12)と、
    を備え、
    前記生体認証結果証拠情報検証サーバ(30)は、
    前記認証サーバとの間で通信する通信部(31)と、
    前記ユーザ端末(10)の前記生体認証処理部(15)によって生成され、前記認証サーバを経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバに返却する生体認証結果証拠情報検証部(32)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末(10)との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末(10)から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末(10)と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末(10)から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末(10)に送信する制御部(52)と、
    を有するVPN接続認証システムに用いられる認証サーバであって、
    前記ユーザ端末(10)及び前記生体認証結果証拠情報検証サーバ(30)との間で通信する通信部(21)と、
    前記ユーザ端末(10)からのVPN接続要求に対して、前記ユーザ端末(10)に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバ(30)での検証が成功した場合に、前記トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末(10)又は前記生体認証結果証拠情報検証サーバ(30)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備えたことを特徴とする認証サーバ。
  4. ユーザが用いるユーザ端末(10)と、前記ユーザ端末(10)と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバと、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末(10)とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えて、
    前記ユーザ端末(10)は、
    前記認証サーバ(20)及び前記VPN接続サーバ(50)の間で通信する通信部(11)と、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)と、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ(20)又は前記VPN接続サーバ(50)と前記ユーザ端末(10)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(12)と、
    を備え、
    前記認証サーバ(20)は、
    前記ユーザ端末(10)及び前記生体認証結果証拠情報検証サーバとの間で通信する通信部(21)と、
    前記ユーザ端末(10)からのVPN接続要求に対して、前記ユーザ端末(10)に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバでの検証が成功した場合に、前記トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末(10)又は前記生体認証結果証拠情報検証サーバと前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末(10)との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末(10)から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末(10)と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末(10)から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末(10)に送信する制御部(52)と、
    を備えたVPN接続認証システムに用いられる生体認証結果証拠情報検証サーバであって、
    前記認証サーバ(20)との間で通信する通信部(31)と、
    前記ユーザ端末(10)の前記生体認証処理部(15)によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)と、
    を備えたことを特徴とする生体認証結果証拠情報検証サーバ。
  5. ユーザが用いるユーザ端末(10)と、前記ユーザ端末(10)と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバ(30)と、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末(10)とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバとを備えて、
    前記ユーザ端末(10)は、
    前記認証サーバ(20)及び前記VPN接続サーバの間で通信する通信部(11)と、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)と、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバへの認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ(20)又は前記VPN接続サーバと前記ユーザ端末(10)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバに送信する制御部(12)と、
    を備え、
    前記認証サーバ(20)は、
    前記ユーザ端末(10)及び前記生体認証結果証拠情報検証サーバ(30)との間で通信する通信部(21)と、
    前記ユーザ端末(10)からのVPN接続要求に対して、前記ユーザ端末(10)に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバ(30)での検証が成功した場合に、前記トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末(10)又は前記生体認証結果証拠情報検証サーバ(30)と前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記認証サーバ(20)又は前記VPN接続サーバに送信する制御部(22)と、
    を備え、
    前記生体認証結果証拠情報検証サーバ(30)は、
    前記認証サーバ(20)との間で通信する通信部(31)と、
    前記ユーザ端末(10)の前記生体認証処理部(15)によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバを利用するユーザのID及びトークンを格納するVPN接続認証システムに用いられるVPN接続サーバであって
    前記ユーザ端末(10)との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末(10)から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末(10)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末(10)から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末(10)に送信する制御部(52)と、
    を備えたことを特徴とするVPN接続サーバ。
  6. ユーザが用いるユーザ端末と、前記ユーザ端末と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバ(30)と、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えて、
    前記認証サーバ(20)は、
    前記ユーザ端末からのVPN接続要求に対して、前記ユーザ端末に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバ(30)での検証が成功した場合に、トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末又は前記生体認証結果証拠情報検証サーバ(30)と前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備え、
    前記生体認証結果証拠情報検証サーバ(30)は、
    前記認証サーバ(20)との間で通信する通信部(31)と、
    前記ユーザ端末によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末に送信する制御部(52)と、
    を有するVPN接続認証システムに用いられるユーザ端末としてのコンピュータを、
    前記認証サーバ(20)及び前記VPN接続サーバ(50)の間で通信する通信部(11)、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)、
    前記認証サーバ(20)又は前記VPN接続サーバ(50)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(12)
    として機能させるためのプログラム。
  7. ユーザが用いるユーザ端末(10)と、前記ユーザ端末(10)と通信可能に接続する認証サーバ(20)と、前記認証サーバ(20)に内蔵され又は通信可能に接続する生体認証結果証拠情報検証サーバと、前記認証サーバ(20)から書き込み可能である認証情報管理DB(40)と、前記ユーザ端末(10)とVPN(Virtual Private network)で通信可能に接続するVPN接続サーバ(50)とを備えて、
    前記ユーザ端末(10)は、
    前記認証サーバ(20)及び前記VPN接続サーバ(50)の間で通信する通信部(11)と、
    前記認証サーバ(20)へのVPN接続要求を表示する表示部(13)と、
    前記表示部(13)によって表示されたVPN接続要求を決定するための入力を受け付ける入力部(14)と、
    前記認証サーバ(20)からのチャレンジ値を受け取り、このチャレンジ値に対応して、前記ユーザの生体認証を実行して生体認証結果証拠情報を生成して前記認証サーバ(20)へ返却する生体認証処理部(15)と、
    前記認証サーバ(20)での認証が成功した場合に、前記認証サーバ(20)から受信するID及びトークンに基づいて、これらID及びトークンが前記VPN接続サーバ(50)への認証を要求するための形式を有する情報を生成する送信内容生成部(16)と、
    前記認証サーバ(20)又は前記VPN接続サーバ(50)と前記ユーザ端末(10)との間の通信内容に応じた処理を、前記表示部(13)、前記入力部(14)、前記生体認証処理部(15)、前記送信内容生成部(16)、前記VPN接続部(17)によって実行させ、それらの実行の結果を必要に応じて、前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(12)と、
    を備え、
    前記認証サーバ(20)は、
    前記ユーザ端末(10)及び前記生体認証結果証拠情報検証サーバとの間で通信する通信部(21)と、
    前記ユーザ端末(10)からのVPN接続要求に対して、前記ユーザ端末(10)に送信するためのチャレンジ値を生成するチャレンジ値生成部(23)と、
    前記生体認証結果証拠情報検証サーバでの検証が成功した場合に、前記トークンを生成するトークン生成部(24)と、
    前記認証情報管理DB(40)へ前記トークンを書き込むDB処理部(25)と、
    前記ユーザ端末(10)又は前記生体認証結果証拠情報検証サーバと前記認証サーバ(20)との間の通信内容に応じた処理を、前記チャレンジ値生成部(23)、前記トークン生成部(24)、前記DB処理部(25)によって実行させ、これらの実行の結果を必要に応じて前記認証サーバ(20)又は前記VPN接続サーバ(50)に送信する制御部(22)と、
    を備え、
    前記認証情報管理DB(40)は、
    各ユーザに対応して、生体認証処理に係るユーザ識別子、前記VPN接続サーバ(50)を利用するユーザのID及びトークンを格納し、
    前記VPN接続サーバ(50)は、
    前記ユーザ端末(10)との間で通信する通信部(51)と、
    前記認証情報管理DB(40)から前記IDと前記トークンとの対を読み出すDB処理部(53)と、
    前記ユーザ端末(10)から受信したトークンと、前記IDをキーとして前記認証情報管理DB(40)から読み出したトークンとが一致するか否かを判定するトークン判定部(54)と、
    前記ユーザ端末(10)と前記VPN接続サーバ(50)との間でのVPN通信を可能にするVPN接続部(55)と、
    前記ユーザ端末(10)から前記IDと前記トークンとを受信すると、前記DB処理部(53)、前記トークン判定部(54)、前記VPN接続部(55)を実行させて、それらの実行の結果を必要に応じて前記ユーザ端末(10)に送信する制御部(52)と、
    を備えたVPN接続認証システムに用いられる生体認証結果証拠情報検証サーバとしてのコンピュータを、
    前記認証サーバ(20)との間で通信する通信部(31)、
    前記ユーザ端末(10)の前記生体認証処理部(15)によって生成され、前記認証サーバ(20)を経由して受信する生体認証結果証拠情報を検証して、この検証が成功した場合に、前記検証の結果と生体認証結果証拠情報に含まれるユーザ識別子とを前記認証サーバ(20)に返却する生体認証結果証拠情報検証部(32)
    として機能させるためのプログラム。
JP2014535620A 2012-09-14 2013-09-17 Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム Active JP5940671B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012202931 2012-09-14
JP2012202931 2012-09-14
PCT/JP2013/074989 WO2014042269A1 (ja) 2012-09-14 2013-09-17 Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム

Publications (2)

Publication Number Publication Date
JP5940671B2 true JP5940671B2 (ja) 2016-06-29
JPWO2014042269A1 JPWO2014042269A1 (ja) 2016-08-18

Family

ID=50278372

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014535620A Active JP5940671B2 (ja) 2012-09-14 2013-09-17 Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム

Country Status (5)

Country Link
US (1) US20150188916A1 (ja)
JP (1) JP5940671B2 (ja)
CN (1) CN104620251A (ja)
SG (1) SG11201501852RA (ja)
WO (1) WO2014042269A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635234B (zh) * 2014-11-29 2020-02-21 华为技术有限公司 一种管理人体设备的方法及装置
CN106022042A (zh) * 2016-05-20 2016-10-12 中山市厚源电子科技有限公司 一种互联网安全网技术
JP6910887B2 (ja) * 2016-09-26 2021-07-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 撮影制御方法、撮影制御システム及び撮影制御サーバ
JP6658628B2 (ja) * 2017-03-13 2020-03-04 京セラドキュメントソリューションズ株式会社 画像形成システム
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
CN109698833B (zh) * 2018-12-28 2021-08-27 北京天易数聚科技有限公司 一种在互联网内进行识别信息的协同认证的方法及系统
CN110401641B (zh) * 2019-07-09 2022-06-28 杭州迪普科技股份有限公司 用户认证方法、装置、电子设备
TWI725696B (zh) * 2020-01-07 2021-04-21 緯創資通股份有限公司 行動裝置、驗證終端裝置及身分驗證方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070107061A1 (en) * 2004-07-30 2007-05-10 Lehman Brothers Inc. System and method for secure network connectivity
JP2007200276A (ja) * 2005-12-28 2007-08-09 Quality Kk 管理システム,管理サーバおよび管理プログラム
JP2009071435A (ja) * 2007-09-11 2009-04-02 Toshiba Corp アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム
JP2009211374A (ja) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn多重帰属システムおよび認証制御方法
US20100154050A1 (en) * 2008-12-15 2010-06-17 Prakash Umasankar Mukkara Identity driven peer-to-peer (p2p) virtual private network (vpn)
JP2011023854A (ja) * 2009-07-14 2011-02-03 Sony Corp 情報処理装置、情報処理方法およびプログラム
JP2012019455A (ja) * 2010-07-09 2012-01-26 Panasonic Corp Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体
US8132242B1 (en) * 2006-02-13 2012-03-06 Juniper Networks, Inc. Automated authentication of software applications using a limited-use token

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7487130B2 (en) * 2000-11-07 2009-02-03 Grdn. Net Solutions, Llc Consumer-controlled limited and constrained access to a centrally stored information account
JP4698751B2 (ja) * 2009-09-28 2011-06-08 日本ユニシス株式会社 アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
US8510820B2 (en) * 2010-12-02 2013-08-13 Duo Security, Inc. System and method for embedded authentication
US8598981B2 (en) * 2011-02-18 2013-12-03 Tore Etholm Idsøe Key fob with protected biometric sensor

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070107061A1 (en) * 2004-07-30 2007-05-10 Lehman Brothers Inc. System and method for secure network connectivity
JP2007200276A (ja) * 2005-12-28 2007-08-09 Quality Kk 管理システム,管理サーバおよび管理プログラム
US8132242B1 (en) * 2006-02-13 2012-03-06 Juniper Networks, Inc. Automated authentication of software applications using a limited-use token
JP2009071435A (ja) * 2007-09-11 2009-04-02 Toshiba Corp アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム
JP2009211374A (ja) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn多重帰属システムおよび認証制御方法
US20100154050A1 (en) * 2008-12-15 2010-06-17 Prakash Umasankar Mukkara Identity driven peer-to-peer (p2p) virtual private network (vpn)
JP2011023854A (ja) * 2009-07-14 2011-02-03 Sony Corp 情報処理装置、情報処理方法およびプログラム
JP2012019455A (ja) * 2010-07-09 2012-01-26 Panasonic Corp Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016014091; 森 良哉: '企業活動のグローバル化を支えるために先進技術を次々と研究開発し、実用化' T-SOUL Vol. 2, 20110731, pp. 10-13 *

Also Published As

Publication number Publication date
SG11201501852RA (en) 2015-05-28
WO2014042269A1 (ja) 2014-03-20
CN104620251A (zh) 2015-05-13
US20150188916A1 (en) 2015-07-02
JPWO2014042269A1 (ja) 2016-08-18

Similar Documents

Publication Publication Date Title
JP5940671B2 (ja) Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム
US11658961B2 (en) Method and system for authenticated login using static or dynamic codes
US11323272B2 (en) Electronic identification verification methods and systems with storage of certification records to a side chain
JP6882254B2 (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
CN106575416B (zh) 用于向装置验证客户端的系统和方法
CN113114624B (zh) 基于生物特征的身份认证方法和装置
WO2018145127A1 (en) Electronic identification verification methods and systems with storage of certification records to a side chain
JP2007149066A (ja) 認証システム、装置及びプログラム
JP5456172B1 (ja) 生体参照情報登録システム、装置及びプログラム
US11012233B1 (en) Method for providing authentication service by using decentralized identity and server using the same
JP2005535989A (ja) 分散型認証処理
JP6134371B1 (ja) 利用者情報管理装置、利用者情報管理方法及び利用者情報管理プログラム
KR20130107188A (ko) 사운드 코드를 이용한 인증 서버 및 인증방법
CN113711560A (zh) 用于有效质询-响应验证的系统和方法
US11777942B2 (en) Transfer of trust between authentication devices
TWM595792U (zh) 跨平台授權存取資源的授權存取系統
US8176533B1 (en) Complementary client and user authentication scheme
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
CN112565172A (zh) 控制方法、信息处理设备以及信息处理系统
JP2024522281A (ja) コードベースの二要素認証
JP2019161405A (ja) 認証サーバ装置、認証システム及び認証方法
KR102521684B1 (ko) 다중 생체인증 기반의 통합 거래인증 연동 메타버스 플랫폼 시스템
TWI778319B (zh) 跨平台授權存取資源方法及授權存取系統
JP5127469B2 (ja) サーバ装置、リファレンス保管装置及びリファレンス生成装置
JP6398308B2 (ja) 情報処理システム、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160518

R150 Certificate of patent or registration of utility model

Ref document number: 5940671

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150