JP6817707B2 - Authentication system, communication device and authentication data application method - Google Patents

Authentication system, communication device and authentication data application method Download PDF

Info

Publication number
JP6817707B2
JP6817707B2 JP2016019986A JP2016019986A JP6817707B2 JP 6817707 B2 JP6817707 B2 JP 6817707B2 JP 2016019986 A JP2016019986 A JP 2016019986A JP 2016019986 A JP2016019986 A JP 2016019986A JP 6817707 B2 JP6817707 B2 JP 6817707B2
Authority
JP
Japan
Prior art keywords
authentication data
terminal
authentication
encryption
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016019986A
Other languages
Japanese (ja)
Other versions
JP2017139650A (en
Inventor
成伸 寺田
成伸 寺田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2016019986A priority Critical patent/JP6817707B2/en
Publication of JP2017139650A publication Critical patent/JP2017139650A/en
Application granted granted Critical
Publication of JP6817707B2 publication Critical patent/JP6817707B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認証システム、通信装置および認証データ適用方法に関し、特に、通信装置に認証用のデータを保持して認証を行う認証システム、通信装置および認証データ適用方法に関する。 The present invention relates to an authentication system, a communication device, and an authentication data application method, and more particularly to an authentication system, a communication device, and an authentication data application method that holds authentication data in a communication device and performs authentication.

一般的に、ユーザ認証方式であるIEEE(「Institute of Electrical and Electronic Engineers」の略称)802.1X認証や、端末認証方式であるMAC(「Media Access Control」の略称)アドレス認証などは、ネットワーク上に独立した認証サーバを設けることで機能を実現している。 Generally, IEEE (Institute of Electrical and Electronics Engineers) 802.1X authentication, which is a user authentication method, and MAC (abbreviation, "Media Access Control") address authentication, which is a terminal authentication method, are performed on the network. The function is realized by providing an independent authentication server in.

しかし、近年では、ルータやスイッチングハブなどの通信装置の性能向上に伴い、それらの通信装置に認証サーバの機能を分散して実装し、認証処理を行う方法(以降、「ローカル認証」と称する。)を採用するネットワークが増えている。ローカル認証では、通信装置内の記憶装置に認証処理に用いるデータを格納し、そのデータを参照することにより認証処理を行う。 However, in recent years, with the improvement in the performance of communication devices such as routers and switching hubs, a method in which the functions of authentication servers are distributed and implemented in those communication devices to perform authentication processing (hereinafter referred to as "local authentication"). ) Is being adopted by an increasing number of networks. In local authentication, data used for authentication processing is stored in a storage device in a communication device, and the authentication processing is performed by referring to the data.

ローカル認証に関連する技術として、特許文献1に記載の技術では、ルータに接続したUSB(「Universal Serial Bus」の略称)デバイスに対応して予めそのルータ内に保持された設定情報を使用することで、そのUSBデバイスが接続されている期間だけ一時的に、パケットフィルタ等のルータの機能の一部を無効にすることができる。また、管理者以外の人間がルータの管理画面を利用することにより発生する、管理者が意図しない設定変更が行われる可能性を排除することができる。 As a technique related to local authentication, in the technique described in Patent Document 1, the setting information held in advance in the router corresponding to the USB (abbreviation of "Universal Serial Bus") device connected to the router is used. Then, some of the router functions such as the packet filter can be temporarily disabled only for the period when the USB device is connected. In addition, it is possible to eliminate the possibility that a person other than the administrator uses the management screen of the router to change the settings unintentionally by the administrator.

特許文献2に記載の技術では、無線ネットワークを構成する管理端末にメディア(USBデバイスに相当)が接続されている期間に限定して、新規の無線ネットワークが自動で構築される。そして、上記の無線ネットワークを構成するアクセスポイントに新規にアクセスする端末に対しては、上記新規ネットワークへの接続を受け付ける。そして、新規端末の新規ネットワークの利用終了後には、管理端末からメディアが抜かれることにより、新規ネットワークが解消する。これにより、新規端末の新規ネットワークの利用終了後に、新規ネットワークが存在し続けることはなく、さらに、ユーザは、管理端末へのメディアの挿抜さえ行なえばよいため、操作の手間を少なくすることができる。 In the technique described in Patent Document 2, a new wireless network is automatically constructed only during the period when the media (corresponding to the USB device) is connected to the management terminal constituting the wireless network. Then, the terminal that newly accesses the access points constituting the wireless network receives the connection to the new network. Then, after the use of the new network of the new terminal is completed, the new network is canceled by removing the media from the management terminal. As a result, the new network does not continue to exist after the end of use of the new network of the new terminal, and the user only has to insert and remove the media into the management terminal, so that the operation effort can be reduced. ..

特開2012−147214号公報Japanese Unexamined Patent Publication No. 2012-147214 特開2009−253466号公報JP-A-2009-253466

しかしながら、ローカル認証では、認証動作に関する設定情報や認証する端末の情報等の、認証処理に用いる認証用データを、独立した認証サーバではなく通信装置内の記憶装置に格納する。これにより、認証用データが改ざんされた場合のユーザの業務運用に与える影響の長期化(例えば、管理者が通信装置内の認証データを復旧するまで業務が停止する等)や、装置の盗難による端末情報の漏えいなどのリスクが高まっているという問題がある。 However, in local authentication, authentication data used for authentication processing, such as setting information related to authentication operation and information on a terminal to be authenticated, is stored in a storage device in a communication device instead of an independent authentication server. As a result, if the authentication data is tampered with, the impact on the user's business operations will be prolonged (for example, the business will be stopped until the administrator recovers the authentication data in the communication device), or the device will be stolen. There is a problem that the risk of leakage of terminal information is increasing.

さらに、セキュリティ強化の観点から、通信装置の運用は管理者により厳格に実施されるようになっている。そのため、認証用データ以外のデータに関連する軽微な設定変更であっても、作業を管理者に依頼する必要があり、容易に通信装置の設定変更を行うことができないという問題がある。 Furthermore, from the viewpoint of enhancing security, the operation of communication devices is strictly carried out by the administrator. Therefore, even if it is a minor setting change related to data other than the authentication data, it is necessary to request the work from the administrator, and there is a problem that the setting change of the communication device cannot be easily performed.

また、特許文献1および2には、通信装置(すなわち、ルータまたはアクセスポイントに相当する装置)における認証用データの改ざんや、端末情報の漏えいなどのセキュリティ上のリスクを減らすための技術については、何ら記載が無い。 Further, Patent Documents 1 and 2 describe technologies for reducing security risks such as falsification of authentication data in communication devices (that is, devices corresponding to routers or access points) and leakage of terminal information. There is no description.

本発明の目的は、認証用データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことのできる認証システム、通信装置、および認証データ適用方法を提供することにある。 An object of the present invention is an authentication system, a communication device, and a communication device capable of prolonging the influence of falsification of authentication data on a user's business operation and reducing security risks such as leakage of terminal information due to device theft. The purpose is to provide a method for applying authentication data.

本発明の認証システムは、
暗号鍵を生成し、前記暗号鍵を使用して認証データを暗号化した暗号化認証データを、接続された可搬型記憶装置に格納する端末制御手段を含む端末と、
前記暗号化認証データが格納された前記可搬型記憶装置が接続された場合、復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して前記端末を認証する制御手段を含む通信装置と
を備える。 The authentication system of the present invention
A terminal including a terminal control means that generates an encryption key and stores the encrypted authentication data obtained by encrypting the authentication data using the encryption key in a connected portable storage device.
When the portable storage device in which the encryption authentication data is stored is connected, a decryption key is generated, the encryption authentication data is decrypted using the decryption key, and the decrypted decryption authentication data is obtained. Is stored in the temporary storage means, and includes a communication device including a control means for authenticating the terminal by using the decryption authentication data stored in the temporary storage means.

また、本発明の通信装置は、
暗号化認証データが格納された可搬型記憶装置が接続された場合、前記暗号化認証データを復号化する復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して端末を認証する。 Further, the communication device of the present invention is
When a portable storage device in which the encryption authentication data is stored is connected, a decryption key for decrypting the encryption authentication data is generated, and the decryption key is used to decrypt the encryption authentication data. The decrypted decryption authentication data is stored in the temporary storage means, and the terminal is authenticated using the decryption authentication data stored in the temporary storage means.

また、本発明の端末は、
暗号鍵を生成し、前記暗号鍵を使用して認証データを暗号化した暗号化認証データを、接続された可搬型記憶装置に格納する。 Further, the terminal of the present invention is
An encryption key is generated, and the encryption authentication data obtained by encrypting the authentication data using the encryption key is stored in the connected portable storage device.

また、本発明の認証データ適用方法は、
暗号鍵を生成し、前記暗号鍵を使用して第1の認証データを暗号化した第1の暗号化認証データを第1の可搬型記憶装置に格納し、
前記第1の暗号化認証データを復号化する第1の復号鍵を生成し、
前記第1の復号鍵を使用して、前記第1の可搬型記憶装置に格納された前記第1の暗号化認証データを復号化し、
前記復号化した第1の復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記第1の復号化認証データを使用して端末を認証する。 Moreover, the method of applying the authentication data of the present invention is:
An encryption key is generated, and the first encryption authentication data obtained by encrypting the first authentication data using the encryption key is stored in the first portable storage device.
A first decryption key for decrypting the first encryption authentication data is generated, and the first decryption key is generated.
The first decryption key is used to decrypt the first encryption authentication data stored in the first portable storage device.
The decrypted first decryption authentication data is stored in the temporary storage means, and the terminal is authenticated using the first decryption authentication data stored in the temporary storage means.

本発明には、認証用データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。 The present invention has an effect that it is possible to prolong the influence on the business operation of the user due to falsification of authentication data and reduce security risks such as leakage of terminal information due to theft of a device.

本発明の第1の実施形態を示すブロック図である。It is a block diagram which shows the 1st Embodiment of this invention. 第1の実施形態における、端末30の構成を示すブロック図である。It is a block diagram which shows the structure of the terminal 30 in 1st Embodiment. 第1の実施形態における、認証テーブル122の一例を示す図である。It is a figure which shows an example of the authentication table 122 in 1st Embodiment. 第1の実施形態における、認証動作設定テーブル123の一例を示す図である。It is a figure which shows an example of the authentication operation setting table 123 in 1st Embodiment. 第1の実施形態における、端末30の動作を示すフローチャートである。It is a flowchart which shows the operation of the terminal 30 in 1st Embodiment. 第1の実施形態における、通信装置10の動作を示すフローチャートである。It is a flowchart which shows the operation of the communication apparatus 10 in 1st Embodiment. 本発明の第2の実施形態における通信装置10の動作を示すフローチャートである。It is a flowchart which shows the operation of the communication apparatus 10 in the 2nd Embodiment of this invention. 本発明の第3の実施形態を示すブロック図である。It is a block diagram which shows the 3rd Embodiment of this invention.

次に、本発明の実施形態について図面を参照して詳細に説明する。 Next, an embodiment of the present invention will be described in detail with reference to the drawings.

[第1の実施形態]
図1は本発明の第1の実施形態を示すブロック図である。 [First Embodiment]
FIG. 1 is a block diagram showing a first embodiment of the present invention.

図1を参照すると、本システムは、通信装置10と、それぞれを識別する固有の識別情報が割り当てられたUSBデバイス20と、通信装置10とネットワーク40を介して接続された少なくとも1つの端末30とを含む。なお、通信装置10と端末30とを接続するネットワーク40は、有線ネットワークでも無線ネットワークでもよく、また、それらを組み合わせたネットワークでもよい。なお、ネットワーク40と接続する通信装置10のネットワークインターフェース部(図示せず)には、インターフェース識別情報が割り当てられている。 Referring to FIG. 1, the system includes a communication device 10, a USB device 20 to which unique identification information for identifying each device is assigned, and at least one terminal 30 connected to the communication device 10 via a network 40. including. The network 40 connecting the communication device 10 and the terminal 30 may be a wired network, a wireless network, or a network in which they are combined. Interface identification information is assigned to the network interface unit (not shown) of the communication device 10 connected to the network 40.

USBデバイス20には、通信装置10が端末30を認証する際に用いる、認証動作に関する設定情報や認証する端末の情報等のデータ(以降、「認証データ」と言う)が暗号化され、格納される。 Data (hereinafter referred to as "authentication data") such as setting information related to authentication operation and information of the terminal to be authenticated, which is used when the communication device 10 authenticates the terminal 30, is encrypted and stored in the USB device 20. To.

端末30は、ネットワーク40を介して通信装置10に接続し、さらに、通信装置10を介してインターネット等の外部ネットワーク(図示せず)に接続する。また、端末30は、認証データを暗号化し、USBデバイス20に格納する機能を有する。なお、認証データを暗号化しUSBデバイス20に格納する機能は、ネットワーク40に接続していない、単独で動作する他の端末が有していてもよい。 The terminal 30 connects to the communication device 10 via the network 40, and further connects to an external network (not shown) such as the Internet via the communication device 10. Further, the terminal 30 has a function of encrypting the authentication data and storing it in the USB device 20. The function of encrypting the authentication data and storing it in the USB device 20 may be possessed by another terminal that is not connected to the network 40 and operates independently.

通信装置10は、制御部11と、一時記憶部12と、USBインターフェース部13と、端末認証部14とを備える。通信装置10には、それぞれを識別する固有の識別情報(例えば、シリアル番号やMACアドレスなど。)が割り当てられている。 The communication device 10 includes a control unit 11, a temporary storage unit 12, a USB interface unit 13, and a terminal authentication unit 14. Unique identification information (for example, serial number, MAC address, etc.) for identifying each communication device 10 is assigned to the communication device 10.

制御部11は、暗号化され、USBデバイス20に格納された認証データを、復号化するための復号鍵121を生成する。なお、制御部11は、プログラムを記憶する記憶デバイス(図示せず)と、そのプログラムをメモリに読み込んで命令を実行する少なくとも1つのプロセッサ(図示せず)とを含む。 The control unit 11 generates a decryption key 121 for decrypting the authenticated authentication data stored in the USB device 20. The control unit 11 includes a storage device (not shown) for storing the program and at least one processor (not shown) for reading the program into the memory and executing an instruction.

一時記憶部12は、例えば揮発性メモリであり、データを記憶することができるが、通信装置10の電源が切れると記憶されていた情報も消失する。また、一時記憶部12には、復号鍵121と、復号鍵121によって復号化された認証テーブル122および認証動作設定テーブル123とが記憶される。ここで、認証テーブル122と、認証動作設定テーブル123とは認証データに相当する。 The temporary storage unit 12 is, for example, a volatile memory and can store data, but when the power of the communication device 10 is turned off, the stored information is also lost. Further, the temporary storage unit 12 stores the decryption key 121, the authentication table 122 decrypted by the decryption key 121, and the authentication operation setting table 123. Here, the authentication table 122 and the authentication operation setting table 123 correspond to the authentication data.

USBインターフェース部13には、USBデバイス20が接続され、その接続されたUSBデバイス20に格納されたデータの受け渡しを行う。なお、USBインターフェース部13は、USBデバイス20の接続と取り外しが可能なように構成されている。また、USBインターフェース部13は、通信装置10の所定の記憶場所(図示せず)に、通信装置10に接続を許可する少なくとも1つのUSBデバイスの識別情報を事前に登録する。 A USB device 20 is connected to the USB interface unit 13, and data stored in the connected USB device 20 is exchanged. The USB interface unit 13 is configured so that the USB device 20 can be connected and disconnected. Further, the USB interface unit 13 registers in advance the identification information of at least one USB device that is permitted to connect to the communication device 10 in a predetermined storage location (not shown) of the communication device 10.

端末認証部14は、認証テーブル122および認証動作設定テーブル123に含まれる認証データを用いて端末30の認証処理を行う。 The terminal authentication unit 14 performs an authentication process of the terminal 30 using the authentication data included in the authentication table 122 and the authentication operation setting table 123.

図2は、本実施形態における端末30を示すブロック図である。 FIG. 2 is a block diagram showing a terminal 30 in the present embodiment.

図2を参照すると、端末30は、端末制御部31と、一時記憶部32と、USBインターフェース部33と、入出力部34とを備える。 Referring to FIG. 2, the terminal 30 includes a terminal control unit 31, a temporary storage unit 32, a USB interface unit 33, and an input / output unit 34.

端末制御部31は、通信装置10が端末30を認証する際に用いる認証データを、暗号化するときに使用する、暗号鍵321を生成する機能を有する。なお、端末制御部31は、プログラムを記憶する記憶デバイス(図示せず)と、そのプログラムをメモリに読み込んで命令を実行する少なくとも1つのプロセッサ(図示せず)とを含む。 The terminal control unit 31 has a function of generating an encryption key 321 used when encrypting the authentication data used when the communication device 10 authenticates the terminal 30. The terminal control unit 31 includes a storage device (not shown) for storing a program and at least one processor (not shown) for reading the program into a memory and executing an instruction.

一時記憶部32は、例えば揮発性メモリであり、データを記憶することができるが、端末30の電源が切れると記憶されていた情報も消失する。また、一時記憶部32には、暗号鍵321と、認証データを暗号化した暗号化認証テーブル322および暗号化認証動作設定テーブル323とが記憶される。以降、暗号化認証テーブル322と、暗号化認証動作設定テーブル323とを合わせて、「暗号化認証データ」と言う。 The temporary storage unit 32 is, for example, a volatile memory and can store data, but when the power of the terminal 30 is turned off, the stored information is also lost. Further, the temporary storage unit 32 stores the encryption key 321 and the encryption authentication table 322 and the encryption authentication operation setting table 323 in which the authentication data is encrypted. Hereinafter, the encryption authentication table 322 and the encryption authentication operation setting table 323 are collectively referred to as "encryption authentication data".

USBインターフェース部33には、USBデバイス20が接続され、その接続されたUSBデバイス20に格納されたデータの受け渡しを行う。なお、USBインターフェース部33は、USBデバイス20の接続と取り外しが可能なように構成されている。 A USB device 20 is connected to the USB interface unit 33, and data stored in the connected USB device 20 is exchanged. The USB interface unit 33 is configured so that the USB device 20 can be connected and disconnected.

入出力部34には、ユーザが情報を入力するためのキーボード等およびユーザへ情報を表示するための表示画面等を備えた入出力装置(図示せず)が接続される。 An input / output device (not shown) provided with a keyboard or the like for the user to input information and a display screen or the like for displaying the information to the user is connected to the input / output unit 34.

図3は、本実施形態における認証テーブル122の一例を示す図である。 FIG. 3 is a diagram showing an example of the authentication table 122 in the present embodiment.

図3を参照すると、認証テーブル122は、拒否フラグ欄と、利用者識別欄と、パスワード欄と、MACアドレス欄とを含む。そして、認証テーブル122に含まれる1レコードは、通信装置10が1台の端末30の認証時に使用するデータを示す。 Referring to FIG. 3, the authentication table 122 includes a rejection flag field, a user identification field, a password field, and a MAC address field. Then, one record included in the authentication table 122 indicates data used by the communication device 10 at the time of authentication of one terminal 30.

拒否フラグ欄には、そのレコードで認証する端末の接続を拒否するか否かを示す情報が登録される。拒否フラグ欄に「1」が登録されている場合は、そのレコードが示す端末は接続を拒否される。 In the rejection flag column, information indicating whether or not to reject the connection of the terminal authenticated by the record is registered. If "1" is registered in the rejection flag field, the terminal indicated by the record is denied connection.

利用者識別欄には、そのレコードが示す端末を利用する利用者を識別するための情報が登録される。 In the user identification field, information for identifying the user who uses the terminal indicated by the record is registered.

パスワード欄には、そのレコードが示す端末を利用する利用者が設定したパスワードが登録される。 In the password field, the password set by the user who uses the terminal indicated by the record is registered.

MACアドレス欄には、そのレコードが示す端末を識別するために割り当てられたMACアドレスが登録される。 In the MAC address field, the MAC address assigned to identify the terminal indicated by the record is registered.

例えば、図3の1行目のレコードを参照すると、拒否フラグ欄には「1」が登録され、利用者識別欄には「user01」が登録され、パスワード欄には「pass01」が登録され、MACアドレス欄には「01:02:03:04:05:06」が登録されている。すなわち、MACアドレスが「01:02:03:04:05:06」で示される端末を利用する利用者は、利用者識別情報が「user01」であり、パスワードが「pass01」であるが、この端末の接続は拒否されることが判る。 For example, referring to the record in the first line of FIG. 3, "1" is registered in the rejection flag column, "user01" is registered in the user identification column, and "pass01" is registered in the password column. "01:02:03:04:05:06" is registered in the MAC address field. That is, the user who uses the terminal whose MAC address is indicated by "01:02:03:04:05:06" has the user identification information "user01" and the password "pass01". It turns out that the terminal connection is refused.

図4は、本実施形態における認証動作設定テーブル123の一例を示す図である。 FIG. 4 is a diagram showing an example of the authentication operation setting table 123 in the present embodiment.

図4を参照すると、認証動作設定テーブル123は、無効フラグ欄と、インターフェース識別欄と、機能欄と、値欄とを含む。そして、認証動作設定テーブル123に含まれるレコードは、各々が通信装置10の認証時の動作を定義するパラメータを示す。 Referring to FIG. 4, the authentication operation setting table 123 includes an invalid flag column, an interface identification column, a function column, and a value column. The records included in the authentication operation setting table 123 indicate parameters that define the operation of the communication device 10 at the time of authentication.

無効フラグ欄には、そのレコードが示す認証動作が無効か否かを示す情報が登録される。無効フラグ欄に「1」が登録されている場合は、そのレコードが示す認証動作が実行されないことを示す。 In the invalid flag column, information indicating whether or not the authentication operation indicated by the record is invalid is registered. When "1" is registered in the invalid flag column, it indicates that the authentication operation indicated by the record is not executed.

インターフェース識別欄には、そのレコードが示す認証動作が実行されるネットワークインターフェース部を識別するインターフェース識別情報が登録される。すなわち、インターフェース識別欄に登録されたインターフェース識別情報が示すネットワークインターフェース部の認証動作で、そのレコードのパラメータが使用される。 In the interface identification field, interface identification information that identifies the network interface unit on which the authentication operation indicated by the record is executed is registered. That is, the parameter of the record is used in the authentication operation of the network interface unit indicated by the interface identification information registered in the interface identification field.

機能欄には、そのレコードが示す認証動作の内容を表す情報が登録される。 Information indicating the content of the authentication operation indicated by the record is registered in the function column.

値欄には、そのレコードが示す認証動作で用いられる機能に対する設定値が登録される。 In the value column, the setting value for the function used in the authentication operation indicated by the record is registered.

例えば、図4の1行目のレコードを参照すると、無効フラグ欄には何も登録されておらず、インターフェース識別欄には「無線LAN01」(LANは「Local Area Network」の略称。)が登録され、機能欄には「最大サプリカント数」が登録され、値欄には「30」が登録されている。すなわち、通信装置10が、無線LAN01という識別情報が割り当てられた無線LANインターフェースを使用して認証処理を実行するときに、最大サプリカント数に設定される値は30であることが判る。 For example, referring to the record in the first line of FIG. 4, nothing is registered in the invalid flag column, and "wireless LAN01" (LAN is an abbreviation for "Local Area Network") is registered in the interface identification column. The "maximum number of supplicants" is registered in the function column, and "30" is registered in the value column. That is, it can be seen that the value set for the maximum number of supplicants is 30 when the communication device 10 executes the authentication process using the wireless LAN interface to which the identification information of the wireless LAN 01 is assigned.

次に、端末30の動作について図5のフローチャートを参照して説明する。 Next, the operation of the terminal 30 will be described with reference to the flowchart of FIG.

図5は、認証データを暗号化し、USBデバイス20に格納する際の端末30の動作を示すフローチャートである。 FIG. 5 is a flowchart showing the operation of the terminal 30 when the authentication data is encrypted and stored in the USB device 20.

図5を参照すると、まず、端末制御部31は、入出力部34を介して入出力装置(図示せず)から入力された通信装置10の識別情報(例えば、シリアル番号やMACアドレスなど。)に基づいて、暗号鍵321を生成する。そして、端末制御部31は、生成した暗号鍵321を一時記憶部32に記憶する(ステップS101)。 Referring to FIG. 5, first, the terminal control unit 31 first identifies the communication device 10 (for example, serial number, MAC address, etc.) input from the input / output device (not shown) via the input / output unit 34. The encryption key 321 is generated based on the above. Then, the terminal control unit 31 stores the generated encryption key 321 in the temporary storage unit 32 (step S101).

次に、端末制御部31は、入出力部34を介して入出力装置(図示せず)から入力された認証データを示す情報を基に、暗号鍵321を使用して、暗号化認証テーブル322と、暗号化認証動作設定テーブル323とを生成する。そして、端末制御部31は、生成した暗号化認証テーブル322と暗号化認証動作設定テーブル323とを一時記憶部32に記憶する(ステップS102)。ここで、入出力部34を介して入出力装置(図示せず)から入力される、認証データを示す情報は、図3に示す認証テーブル122および図4に示す認証動作設定テーブル123の各項目に対応する情報である。 Next, the terminal control unit 31 uses the encryption key 321 based on the information indicating the authentication data input from the input / output device (not shown) via the input / output unit 34, and uses the encryption key 321 to perform the encryption authentication table 322. And the encryption authentication operation setting table 323 are generated. Then, the terminal control unit 31 stores the generated encryption authentication table 322 and the encryption authentication operation setting table 323 in the temporary storage unit 32 (step S102). Here, the information indicating the authentication data input from the input / output device (not shown) via the input / output unit 34 is each item of the authentication table 122 shown in FIG. 3 and the authentication operation setting table 123 shown in FIG. It is the information corresponding to.

次に、端末制御部31は、暗号化認証テーブル322および暗号化認証動作設定テーブル323を、USBインターフェース部33を介してUSBデバイス20に格納する(ステップS103)。このようにして、USBデバイス20に暗号化認証データが格納される。 Next, the terminal control unit 31 stores the encryption authentication table 322 and the encryption authentication operation setting table 323 in the USB device 20 via the USB interface unit 33 (step S103). In this way, the encrypted authentication data is stored in the USB device 20.

なお、端末制御部31は、生成した暗号化認証テーブル322および暗号化認証動作設定テーブル323を、一時記憶部32に記憶せずに、直接USBデバイス20に格納してもよい。 The terminal control unit 31 may directly store the generated encryption authentication table 322 and the encryption authentication operation setting table 323 in the USB device 20 without storing them in the temporary storage unit 32.

次に、通信装置10の動作について図6のフローチャートを参照して説明する。 Next, the operation of the communication device 10 will be described with reference to the flowchart of FIG.

図6を参照すると、まず、制御部11は、端末認証部14に、全ての端末30の接続を拒否するように指示をする(ステップS201)。 Referring to FIG. 6, first, the control unit 11 instructs the terminal authentication unit 14 to reject the connection of all the terminals 30 (step S201).

次に、制御部11は、USBインターフェース部13にUSBデバイス20が接続されているか否かを問い合わせる(ステップS202)。 Next, the control unit 11 inquires whether or not the USB device 20 is connected to the USB interface unit 13 (step S202).

USBインターフェース部13からUSBデバイス20が接続されていない旨の回答があった場合(ステップS202で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。 When there is a reply from the USB interface unit 13 that the USB device 20 is not connected (when "NO" in step S202), the control unit 11 returns to the start of this flowchart and starts from the process of step S201. repeat.

USBインターフェース部13からUSBデバイス20が接続されている旨の回答があった場合(ステップS202で「YES」の場合)には、制御部11は、そのUSBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれているか否かを判別する(ステップS203)。 When the USB interface unit 13 responds that the USB device 20 is connected (when “YES” in step S202), the control unit 11 determines in advance the identification information of the USB device 20. It is determined whether or not it is included in each identification information of the USB device registered in the storage location (not shown) of the USB device that allows connection to the communication device 10 (step S203).

USBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれていない場合(ステップS203で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。 When the identification information of the USB device 20 is not included in each identification information of the USB device permitted to connect to the communication device 10 registered in advance in a predetermined storage location (not shown) (in step S203, ". In the case of "NO"), the control unit 11 returns to the start of this flowchart and repeats from the process of step S201.

USBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれている場合(ステップS203で「YES」の場合)には、制御部11は、USBインターフェース部13に、その接続されているUSBデバイス20に暗号化認証データが格納されているか否かを問い合わせる(ステップS204)。 When the identification information of the USB device 20 is included in each identification information of the USB device that is registered in advance in a predetermined storage location (not shown) and is permitted to connect to the communication device 10 (in step S203, ". In the case of "YES"), the control unit 11 inquires the USB interface unit 13 whether or not the encrypted authentication data is stored in the connected USB device 20 (step S204).

接続されているUSBデバイス20に暗号化認証データが格納されていない旨の回答があった場合(ステップS204で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。 When there is a reply that the encrypted authentication data is not stored in the connected USB device 20 (in the case of "NO" in step S204), the control unit 11 returns to the start of this flowchart and steps. The process of S201 is repeated.

接続されているUSBデバイス20に暗号化認証データが格納されている旨の回答があった場合(ステップS204で「YES」の場合)には、制御部11は、通信装置10を示す識別情報(例えば、シリアル番号やMACアドレスなど。)に基づいて、復号鍵121を生成する。そして、制御部11は、生成した復号鍵121を一時記憶部12に記憶する(ステップS205)。なお、復号鍵121は、暗号鍵321と同じアルゴリズムで、且つ同じ識別情報に基づいて生成される。したがって、暗号鍵321で暗号化されたデータは復号鍵121で復号化することができる。 When there is a reply that the encrypted authentication data is stored in the connected USB device 20 (when "YES" in step S204), the control unit 11 indicates the identification information (identification information indicating the communication device 10). For example, the decryption key 121 is generated based on the serial number, MAC address, etc.). Then, the control unit 11 stores the generated decryption key 121 in the temporary storage unit 12 (step S205). The decryption key 121 is generated by the same algorithm as the encryption key 321 and based on the same identification information. Therefore, the data encrypted with the encryption key 321 can be decrypted with the decryption key 121.

次に、制御部11は、USBインターフェース部13を介してUSBデバイス20に格納されている暗号化認証データ(すなわち、暗号化認証テーブル322および暗号化認証動作設定テーブル323)を入手する。そして、制御部11は、入手した暗号化認証データを、復号鍵121を使用して復号化する(ステップS206)。 Next, the control unit 11 obtains the encryption authentication data (that is, the encryption authentication table 322 and the encryption authentication operation setting table 323) stored in the USB device 20 via the USB interface unit 13. Then, the control unit 11 decrypts the obtained encryption authentication data by using the decryption key 121 (step S206).

制御部11は、正常に復号化できたか否かを確認(ステップS207)し、正常に復号化できなかった場合(ステップS207で「NO」の場合)には、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。一方、正常に復号化できた場合(ステップS207で「YES」の場合)には、制御部11は、復号化された、認証テーブル122および認証動作設定テーブル123を一時記憶部12に記憶する。そして、制御部11は、端末認証部14に、全端末の接続拒否を解除し、認証テーブル122および認証動作設定テーブル123を使用して端末認証を開始するように指示をする(ステップS208)。 The control unit 11 confirms whether or not the decoding can be performed normally (step S207), and if the decoding cannot be performed normally (when “NO” in step S207), the control unit 11 returns to the start of this flowchart and steps. The process of S201 is repeated. On the other hand, if the authentication can be normally performed (in the case of "YES" in step S207), the control unit 11 stores the decrypted authentication table 122 and the authentication operation setting table 123 in the temporary storage unit 12. Then, the control unit 11 instructs the terminal authentication unit 14 to cancel the connection refusal of all terminals and start the terminal authentication using the authentication table 122 and the authentication operation setting table 123 (step S208).

以降、端末認証部14は、認証テーブル122および認証動作設定テーブル123に含まれる認証データを使用して、ネットワーク40を介して接続しようとする端末30の認証処理を行う。すなわち、端末認証部14は、接続しようとする端末30のMACアドレスを取得し、図3に示す認証テーブル122に含まれるレコードのMACアドレス欄を検索する。同じMACアドレスのレコードがあった場合、端末認証部14は、そのレコードの拒否フラグ欄に「1」が登録されているか否かを判別する。拒否フラグ欄に「1」が登録されている場合は、端末認証部14は、その端末30の接続を拒否する。また、拒否フラグ欄が空白の場合は、端末認証部14は、利用者識別欄の値とパスワード欄の値とを使用し、その端末30を利用する利用者の利用者認証処理を行う。 After that, the terminal authentication unit 14 uses the authentication data included in the authentication table 122 and the authentication operation setting table 123 to perform the authentication process of the terminal 30 to be connected via the network 40. That is, the terminal authentication unit 14 acquires the MAC address of the terminal 30 to be connected and searches the MAC address field of the record included in the authentication table 122 shown in FIG. When there is a record with the same MAC address, the terminal authentication unit 14 determines whether or not "1" is registered in the rejection flag column of the record. When "1" is registered in the refusal flag field, the terminal authentication unit 14 rejects the connection of the terminal 30. If the rejection flag field is blank, the terminal authentication unit 14 uses the value in the user identification field and the value in the password field to perform user authentication processing for the user who uses the terminal 30.

また、端末認証部14は、接続しようとする端末30が使用しているネットワーク40が接続しているネットワークインターフェース部を示すインターフェース識別情報を取得する。そして、端末認証部14は、図4に示す認証動作設定テーブル123に含まれるレコードのうち、取得したインターフェース識別情報と同じ識別情報がインターフェース識別欄に登録されているレコードの、値欄に登録されている設定値の機能を用いて認証動作を行う。 Further, the terminal authentication unit 14 acquires the interface identification information indicating the network interface unit to which the network 40 used by the terminal 30 to be connected is connected. Then, the terminal authentication unit 14 is registered in the value column of the record in which the same identification information as the acquired interface identification information is registered in the interface identification column among the records included in the authentication operation setting table 123 shown in FIG. The authentication operation is performed using the function of the set value.

以上、本実施形態には、通信装置10が端末30を認証する際に用いる認証データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。 As described above, in the present embodiment, the influence on the business operation of the user due to the falsification of the authentication data used when the communication device 10 authenticates the terminal 30 is prolonged, and the terminal information is leaked due to the theft of the device. It has the effect of reducing the risk.

その理由としては、端末30の端末制御部31が、暗号鍵321を生成し、その暗号鍵321を使用して生成した暗号化認証データをUSBデバイス20に格納する。次に、通信装置10の制御部11が、端末制御部31と同じ識別情報に基づいて復号鍵121を生成する。そして、制御部11は、生成した復号鍵121を使用して、USBデバイス20の暗号化認証データを復号化し、一時記憶部12に格納する。以降、端末認証部14は、復号化した認証データを端末30の認証処理に使用する。 The reason is that the terminal control unit 31 of the terminal 30 generates the encryption key 321 and stores the encryption authentication data generated by using the encryption key 321 in the USB device 20. Next, the control unit 11 of the communication device 10 generates the decryption key 121 based on the same identification information as the terminal control unit 31. Then, the control unit 11 decrypts the encryption authentication data of the USB device 20 using the generated decryption key 121 and stores it in the temporary storage unit 12. After that, the terminal authentication unit 14 uses the decrypted authentication data for the authentication process of the terminal 30.

すなわち、不正アクセス等による通信装置10の認証データの改ざんがあっても、通信装置10を再起動(例えば、電源を入れ直す等の操作)し、USBデバイス20を接続するだけで、制御部11が、USBデバイス20に格納されている暗号化認証データを復号化し、適用する。これにより、管理者による復旧作業を待たずに、端末認証部14は、正常な認証データを使用して認証処理を再開できる。さらに、端末30やUSBデバイス20が盗難にあった場合でも、装置内部に格納されている認証データは暗号化されているので、情報漏えいの心配が無い。また、通信装置10が盗難にあった場合においても、復号化した認証データは一時記憶部12に保持されており、電源が切れると当該認証データは消失するので、情報漏えいの心配が無い。 That is, even if the authentication data of the communication device 10 is falsified due to unauthorized access or the like, the control unit 11 can simply restart the communication device 10 (for example, turn the power off and then on again) and connect the USB device 20. , The encryption authentication data stored in the USB device 20 is decrypted and applied. As a result, the terminal authentication unit 14 can restart the authentication process using the normal authentication data without waiting for the recovery work by the administrator. Further, even if the terminal 30 or the USB device 20 is stolen, the authentication data stored in the device is encrypted, so that there is no concern about information leakage. Further, even if the communication device 10 is stolen, the decrypted authentication data is held in the temporary storage unit 12, and the authentication data is lost when the power is turned off, so that there is no concern about information leakage.

[第2の実施形態]
次に、本発明の第2の実施形態について説明する。 [Second Embodiment]
Next, a second embodiment of the present invention will be described.

なお、本実施形態の構成は図1乃至図4に示した第1の実施形態のそれと同一であるため、その説明は省略する。 Since the configuration of this embodiment is the same as that of the first embodiment shown in FIGS. 1 to 4, the description thereof will be omitted.

以下に、本実施形態の動作について説明するが、第1の実施形態の動作と異なる点を中心に説明する。 The operation of the present embodiment will be described below, but the points different from the operation of the first embodiment will be mainly described.

図7は本実施形態の通信装置10の動作を示すフローチャートである。なお、図7は、図6に示す第1の実施形態のフローチャートに、ステップS309の処理を追加したフローチャートである。 FIG. 7 is a flowchart showing the operation of the communication device 10 of the present embodiment. Note that FIG. 7 is a flowchart in which the process of step S309 is added to the flowchart of the first embodiment shown in FIG.

図7を参照すると、まず、制御部11は、端末認証部14に、全ての端末30の接続を拒否するように指示をする(ステップS301)。 Referring to FIG. 7, first, the control unit 11 instructs the terminal authentication unit 14 to reject the connection of all the terminals 30 (step S301).

次に、制御部11は、USBインターフェース部13にUSBデバイス20が接続されているか否かを問い合わせる(ステップS302)。 Next, the control unit 11 inquires whether or not the USB device 20 is connected to the USB interface unit 13 (step S302).

USBインターフェース部13からUSBデバイス20が接続されていない旨の回答があった場合(ステップS302で「NO」の場合)には、制御部11は、予め定めた所定の時間の間、USBデバイス20が新たに接続されたか否かを、USBインターフェース部13に問い合わせる(ステップS309)。 When the USB interface unit 13 responds that the USB device 20 is not connected (when “NO” in step S302), the control unit 11 determines the USB device 20 for a predetermined time. Inquires to the USB interface unit 13 whether or not is newly connected (step S309).

所定の時間内にUSBデバイス20が接続されているという回答があった場合(ステップS309で「YES」の場合)には、制御部11は、ステップS303に進む。 If there is an answer that the USB device 20 is connected within a predetermined time (when “YES” in step S309), the control unit 11 proceeds to step S303.

所定の時間内にUSBデバイス20が接続されているという回答が無かった場合(ステップS309で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS301の処理から繰り返す。 If there is no answer that the USB device 20 is connected within a predetermined time (in the case of "NO" in step S309), the control unit 11 returns to the start of this flowchart and repeats from the process of step S301. ..

一方、ステップS302で、USBインターフェース部13からUSBデバイス20が接続されている旨の回答があった場合(ステップS302で「YES」の場合)には、制御部11は、そのUSBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれているか否かを判別する(ステップS303)。 On the other hand, when there is a reply from the USB interface unit 13 that the USB device 20 is connected in step S302 (when "YES" in step S302), the control unit 11 identifies the USB device 20. It is determined whether or not the information is included in each identification information of the USB device that is registered in advance in a predetermined storage location (not shown) and is permitted to connect to the communication device 10 (step S303).

以降、制御部11は、第1の実施形態と同様に、USBデバイス20の識別情報が事前に所定の記憶場所(図示せず)に登録されていて、且つそのUSBデバイス20に暗号化認証データが格納されている場合、復号鍵121を生成して、USBデバイス20に格納されている暗号化認証データを復号化する。 After that, as in the first embodiment, the control unit 11 has the identification information of the USB device 20 registered in advance in a predetermined storage location (not shown), and the encrypted authentication data is stored in the USB device 20. Is stored, the decryption key 121 is generated to decrypt the encryption authentication data stored in the USB device 20.

そして、制御部11は、端末認証部14に、復号化した認証テーブル122および認証動作設定テーブル123を使用して端末認証を開始するように指示をする。 Then, the control unit 11 instructs the terminal authentication unit 14 to start terminal authentication using the decrypted authentication table 122 and the authentication operation setting table 123.

以上、本実施形態には、第1の実施形態の効果に加え、管理者以外の利用者が、USBデバイスの交換だけで安全、且つ簡単に認証データを変更することができるという効果がある。 As described above, in addition to the effect of the first embodiment, the present embodiment has an effect that a user other than the administrator can safely and easily change the authentication data only by exchanging the USB device.

その理由としては、制御部11が、通信装置10からUSBデバイス20が取り外されても、予め定めた所定の時間が経過するまでは、取り外された時点の認証データを使用して端末認証を継続させる。そして、予め定めた所定の時間内に暗号化認証データを格納したUSBデバイス20が接続されれば、自動的にその暗号化認証データが復号化され、通信装置10に適用されるからである。 The reason is that even if the USB device 20 is removed from the communication device 10, the control unit 11 continues terminal authentication using the authentication data at the time of removal until a predetermined predetermined time elapses. Let me. Then, if the USB device 20 storing the encryption authentication data is connected within a predetermined time, the encryption authentication data is automatically decrypted and applied to the communication device 10.

[第3の実施形態]
次に、本発明の第1の実施形態の基本的な構成を含む、第3の実施形態について説明する。 [Third Embodiment]
Next, a third embodiment including the basic configuration of the first embodiment of the present invention will be described.

図8は本実施形態を示すブロック図である。 FIG. 8 is a block diagram showing the present embodiment.

図8を参照すると、本実施形態のシステムは、通信装置50と、通信装置50に接続された少なくとも1つの端末70とを含む。なお、通信装置50および端末70は、図示されない可搬型記憶装置の接続と取り外しが可能なように構成されている。 Referring to FIG. 8, the system of this embodiment includes a communication device 50 and at least one terminal 70 connected to the communication device 50. The communication device 50 and the terminal 70 are configured so that a portable storage device (not shown) can be connected and disconnected.

可搬型記憶装置には、通信装置50が端末70を認証する際に用いる認証データが暗号化され、格納される。 In the portable storage device, authentication data used when the communication device 50 authenticates the terminal 70 is encrypted and stored.

通信装置50は、復号鍵511が記憶される制御部51と、復号鍵511によって復号化された復号化認証データ521が記憶される一時記憶部52とを備える。 The communication device 50 includes a control unit 51 that stores the decryption key 511 and a temporary storage unit 52 that stores the decryption authentication data 521 decrypted by the decryption key 511.

端末70は、暗号鍵711と暗号鍵711によって暗号化された暗号化認証データ712とが記憶される端末制御部71を備える。 The terminal 70 includes a terminal control unit 71 that stores the encryption key 711 and the encryption authentication data 712 encrypted by the encryption key 711.

端末制御部71は、暗号鍵711を生成する。次に、端末制御部71は、生成した暗号鍵711を使用して認証データを暗号化し、暗号化認証データ712を生成する。そして、端末制御部71は、生成した暗号化認証データ712を、端末70に接続される可搬型記憶装置に格納する。 The terminal control unit 71 generates the encryption key 711. Next, the terminal control unit 71 encrypts the authentication data using the generated encryption key 711, and generates the encrypted authentication data 712. Then, the terminal control unit 71 stores the generated encryption authentication data 712 in the portable storage device connected to the terminal 70.

制御部51は、通信装置50に上述の可搬型記憶装置が接続された場合、復号鍵511を生成する。そして、制御部51は、生成した復号鍵511を使用して、可搬型記憶装置に格納されている暗号化認証データ712を復号化し、復号化認証データ521を生成する。そして、制御部51は、生成した復号化認証データ521を、一時記憶部52に格納する。以降、制御部51は、一時記憶部52に格納した復号化認証データ521を使用して、端末70を認証する。 The control unit 51 generates a decryption key 511 when the above-mentioned portable storage device is connected to the communication device 50. Then, the control unit 51 uses the generated decryption key 511 to decrypt the encryption authentication data 712 stored in the portable storage device, and generates the decryption authentication data 521. Then, the control unit 51 stores the generated decryption authentication data 521 in the temporary storage unit 52. After that, the control unit 51 authenticates the terminal 70 by using the decryption authentication data 521 stored in the temporary storage unit 52.

以上、本実施形態には、第1の実施形態と同様に、通信装置50が端末70を認証する際に用いる認証データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。 As described above, in the present embodiment, as in the first embodiment, the influence of falsification of the authentication data used when the communication device 50 authenticates the terminal 70 on the business operation of the user is prolonged, and the device is stolen. It has the effect of reducing security risks such as leakage of terminal information.

その理由としては、図示されない可搬型記憶装置に、端末制御部71が生成した暗号化認証データ712が格納される。そして、制御部51が、生成した復号鍵511を使用して、可搬型記憶装置に格納されている暗号化認証データ712を復号化する。以降、制御部51は、復号化した復号化認証データ521を端末70の認証処理に使用する。 The reason is that the encrypted authentication data 712 generated by the terminal control unit 71 is stored in a portable storage device (not shown). Then, the control unit 51 decrypts the encryption authentication data 712 stored in the portable storage device by using the generated decryption key 511. After that, the control unit 51 uses the decrypted decryption authentication data 521 for the authentication process of the terminal 70.

すなわち、不正アクセス等による認証データの改ざんがあっても、通信装置50を再起動(例えば、電源を入れ直す等の操作)し、可搬型記憶装置を接続するだけで、制御部51が、可搬型記憶装置に格納されている暗号化認証データ712を復号化し、適用する。これにより、管理者による復旧作業を待たずに、制御部51は、正常な認証データを使用して認証処理を再開できる。さらに、端末70や可搬型記憶装置が盗難にあった場合でも、装置内部に格納されている認証データは暗号化されているので、情報漏えいの心配が無い。また、通信装置50が盗難にあった場合においても、復号化した復号化認証データ521は一時記憶部52に保持されており、電源が切れると当該認証データは消失するので、情報漏えいの心配が無い。 That is, even if the authentication data is falsified due to unauthorized access or the like, the control unit 51 can be made portable simply by restarting the communication device 50 (for example, turning the power off and then on again) and connecting the portable storage device. The encrypted authentication data 712 stored in the storage device is decrypted and applied. As a result, the control unit 51 can restart the authentication process using the normal authentication data without waiting for the recovery work by the administrator. Further, even if the terminal 70 or the portable storage device is stolen, the authentication data stored in the device is encrypted, so that there is no concern about information leakage. Further, even if the communication device 50 is stolen, the decrypted decryption authentication data 521 is held in the temporary storage unit 52, and the authentication data is lost when the power is turned off, so that there is a concern about information leakage. There is no.

10 通信装置
11 制御部
12 一時記憶部
13 USBインターフェース部
14 端末認証部
20 USBデバイス
30 端末
31 端末制御部
32 一時記憶部
33 USBインターフェース部
34 入出力部
40 ネットワーク
50 通信装置
51 制御部
52 一時記憶部
70 端末
71 端末制御部
121 復号鍵
122 認証テーブル
123 認証動作設定テーブル
321 暗号鍵
322 暗号化認証テーブル
323 暗号化認証動作設定テーブル
511 復号鍵
521 復号化認証データ
711 暗号鍵
712 暗号化認証データ 10 Communication device 11 Control unit 12 Temporary storage unit 13 USB interface unit 14 Terminal authentication unit 20 USB device 30 Terminal 31 Terminal control unit 32 Temporary storage unit 33 USB interface unit 34 Input / output unit 40 Network 50 Communication device 51 Control unit 52 Temporary storage Unit 70 Terminal 71 Terminal control unit 121 Decryption key 122 Authentication table 123 Authentication operation setting table 321 Encryption key 322 Encryption authentication table 323 Encryption authentication operation setting table 511 Decryption key 521 Decryption authentication data 711 Encryption key 712 Encryption authentication data

Claims (7)

暗号鍵を生成し、前記暗号鍵を使用して認証データを暗号化した暗号化認証データを、接続された可搬型記憶装置に格納する端末制御手段と、入力手段と、を含む端末と、
前記暗号化認証データが格納された前記可搬型記憶装置が接続された場合、復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して前記端末を認証する制御手段を含む通信装置と
を備え
前記認証データと、前記暗号鍵を生成するための前記通信装置に割り当てられた識別情報とが、前記入力手段から入力され、
前記端末は、入力された前記識別情報を基に前記暗号鍵を生成する、
認証システム。 A terminal including a terminal control means, an input means, and a terminal that generates an encryption key and stores the encrypted authentication data obtained by encrypting the authentication data using the encryption key in a connected portable storage device.
When the portable storage device in which the encryption authentication data is stored is connected, a decryption key is generated, the encryption authentication data is decrypted using the decryption key, and the decrypted decryption authentication data is obtained. Is stored in the temporary storage means, and the communication device including the control means for authenticating the terminal by using the decryption authentication data stored in the temporary storage means is provided .
The authentication data and the identification information assigned to the communication device for generating the encryption key are input from the input means.
The terminal generates the encryption key based on the input identification information.
Authentication system. 前記暗号鍵および前記復号鍵は、前記通信装置に割り当てられたそれぞれを識別する固有の前記識別情報に基づいて生成される
請求項1に記載の認証システム。 Authentication system according to claim 1 wherein the encryption key and the decryption key generated based on specific the identification information for identifying each assigned to the communication device. 前記制御手段は、前記復号化認証データを使用して前記端末を認証しているときに、前記可搬型記憶装置が取り外されても、前記端末の認証に前記認証データを使用し、The control means uses the authentication data for authentication of the terminal even if the portable storage device is removed when the terminal is authenticated using the decryption authentication data.
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before the predetermined time elapses, the second encryption authentication data stored in the second portable storage device is decrypted. The decryption key of 2 is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used to decrypt the terminal. Authenticate and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the terminal is not authenticated.
請求項1または2に記載の認証システム。The authentication system according to claim 1 or 2. 端末の認証データが暗号鍵で暗号化され、暗号化認証データとして格納されている可搬型記憶装置が接続された場合、前記暗号化認証データを復号化する復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して前記端末を認証する制御手段を含み、When the authentication data of the terminal is encrypted with the encryption key and a portable storage device stored as the encryption authentication data is connected, a decryption key for decrypting the encryption authentication data is generated, and the decryption key is used. Control to decrypt the encrypted authentication data by using, store the decrypted decryption authentication data in the temporary storage means, and authenticate the terminal by using the decryption authentication data stored in the temporary storage means. Including means
前記制御手段は、前記復号化認証データを使用して前記端末を認証しているときに、前記可搬型記憶装置が取り外されても、前記端末の認証に前記認証データを使用し、The control means uses the authentication data for authentication of the terminal even if the portable storage device is removed when the terminal is authenticated using the decryption authentication data.
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before the predetermined time elapses, the second encryption authentication data stored in the second portable storage device is decrypted. The decryption key of 2 is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used to decrypt the terminal. Authenticate and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the terminal is not authenticated.
通信装置。Communication device. それぞれを識別する固有の識別情報が割り当てられ、前記復号鍵は、前記識別情報に基づいて生成されるUnique identification information for identifying each is assigned, and the decryption key is generated based on the identification information.
請求項4に記載の通信装置。The communication device according to claim 4. 入力手段を備える端末において、第1の認証データと、暗号鍵を生成するための通信装置に割り当てられた識別情報とが前記入力手段から入力され、In the terminal provided with the input means, the first authentication data and the identification information assigned to the communication device for generating the encryption key are input from the input means.
前記端末において、入力された前記識別情報を基に暗号鍵を生成し、前記暗号鍵を使用して前記第1の認証データを暗号化した第1の暗号化認証データを第1の可搬型記憶装置に格納し、In the terminal, an encryption key is generated based on the input identification information, and the first encryption authentication data obtained by encrypting the first authentication data using the encryption key is stored in the first portable storage. Store in the device
前記通信装置において、前記第1の暗号化認証データを復号化する第1の復号鍵を生成し、前記第1の復号鍵を使用して、前記第1の可搬型記憶装置に格納された前記第1の暗号化認証データを復号化し、前記復号化した第1の復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記第1の復号化認証データを使用して前記端末を認証するIn the communication device, the first decryption key for decrypting the first encryption authentication data is generated, and the first decryption key is used to store the first decryption key in the first portable storage device. The first encryption authentication data is decrypted, the decrypted first decryption authentication data is stored in the temporary storage means, and the first decryption authentication data stored in the temporary storage means is used. Authenticate the terminal
認証データ適用方法。Authentication data application method. 前記通信装置において、前記第1の復号化認証データを使用して前記端末を認証しているときに、前記第1の可搬型記憶装置が取り外されても、前記端末の認証に前記第1の認証データを使用し、Even if the first portable storage device is removed while the terminal is being authenticated using the first decryption authentication data in the communication device, the first method is used to authenticate the terminal. Using authentication data,
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記通信装置において、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before a predetermined time has elapsed, the second encrypted authentication data stored in the second portable storage device in the communication device. A second decryption key for decrypting the data is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used. Use to authenticate the terminal and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記通信装置において、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the communication device does not authenticate the terminal.
請求項6に記載の認証データ適用方法。The authentication data application method according to claim 6.
JP2016019986A 2016-02-04 2016-02-04 Authentication system, communication device and authentication data application method Active JP6817707B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016019986A JP6817707B2 (en) 2016-02-04 2016-02-04 Authentication system, communication device and authentication data application method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016019986A JP6817707B2 (en) 2016-02-04 2016-02-04 Authentication system, communication device and authentication data application method

Publications (2)

Publication Number Publication Date
JP2017139650A JP2017139650A (en) 2017-08-10
JP6817707B2 true JP6817707B2 (en) 2021-01-20

Family

ID=59566909

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016019986A Active JP6817707B2 (en) 2016-02-04 2016-02-04 Authentication system, communication device and authentication data application method

Country Status (1)

Country Link
JP (1) JP6817707B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6744030B2 (en) * 2018-03-02 2020-08-19 Necプラットフォームズ株式会社 Home gateway device, connection terminal access management method, and connection terminal access management program

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04107793A (en) * 1990-08-29 1992-04-09 N T T Data Tsushin Kk Data access method and ic card for execution
JP2002271318A (en) * 2001-03-06 2002-09-20 Mitsubishi Materials Corp Radio communication equipment and certification managing server
CN100508448C (en) * 2001-10-12 2009-07-01 松下电器产业株式会社 Content processing apparatus and content protection program
JP2004302921A (en) * 2003-03-31 2004-10-28 Toshiba Corp Device authenticating apparatus using off-line information and device authenticating method
JP2007323553A (en) * 2006-06-05 2007-12-13 Hitachi Ltd Adapter device performing encrypted communication on network and ic card
JP2007328663A (en) * 2006-06-09 2007-12-20 Ricoh Co Ltd Image forming apparatus and control method thereof
JP2008003782A (en) * 2006-06-21 2008-01-10 Ricoh Co Ltd Authentication device, program of terminal device, image forming apparatus, terminal device control method, and image forming apparatus control method
JP2009116677A (en) * 2007-11-07 2009-05-28 Mitsubishi Electric Corp Network authentication system, ic chip, access device, and network authentication method

Also Published As

Publication number Publication date
JP2017139650A (en) 2017-08-10

Similar Documents

Publication Publication Date Title
US10447705B2 (en) Cloud-based device information storage
US8462955B2 (en) Key protectors based on online keys
US11469885B2 (en) Remote grant of access to locked data storage device
JP4816161B2 (en) Wireless communication apparatus, MAC address management system, wireless communication method, and wireless communication program
US8509449B2 (en) Key protector for a storage volume using multiple keys
JP5564453B2 (en) Information processing system and information processing method
US9762548B2 (en) Controlling encrypted data stored on a remote storage device
JP5613596B2 (en) Authentication system, terminal device, authentication server, and program
US20160014112A1 (en) Wireless communication of a user identifier and encrypted time-sensitive data
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
US11831752B2 (en) Initializing a data storage device with a manager device
WO2012174726A1 (en) Chip and safety protection method for chip
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
JP2015536061A (en) Method and apparatus for registering a client with a server
CN114175574A (en) Wireless security protocol
CN112559991A (en) System secure login method, device, equipment and storage medium
CN106992978B (en) Network security management method and server
WO2013182112A1 (en) Method and device for protecting privacy data of mobile terminal user
WO2019019153A1 (en) Scheme for generating, storing and using private key
JP6817707B2 (en) Authentication system, communication device and authentication data application method
CN111901312A (en) Method, system, equipment and readable storage medium for network access control
WO2013042412A1 (en) Communication system, communication method, and computer readable recording medium
KR101133210B1 (en) Mobile Authentication System and Central Control System
JPWO2020166066A1 (en) Token protection methods, authorization systems, devices, and program recording media
KR101636802B1 (en) File management method and system for preventing security incident by portable memory

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200128

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200908

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201225

R150 Certificate of patent or registration of utility model

Ref document number: 6817707

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150