JP6817707B2 - Authentication system, communication device and authentication data application method - Google Patents
Authentication system, communication device and authentication data application method Download PDFInfo
- Publication number
- JP6817707B2 JP6817707B2 JP2016019986A JP2016019986A JP6817707B2 JP 6817707 B2 JP6817707 B2 JP 6817707B2 JP 2016019986 A JP2016019986 A JP 2016019986A JP 2016019986 A JP2016019986 A JP 2016019986A JP 6817707 B2 JP6817707 B2 JP 6817707B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication data
- terminal
- authentication
- encryption
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、認証システム、通信装置および認証データ適用方法に関し、特に、通信装置に認証用のデータを保持して認証を行う認証システム、通信装置および認証データ適用方法に関する。 The present invention relates to an authentication system, a communication device, and an authentication data application method, and more particularly to an authentication system, a communication device, and an authentication data application method that holds authentication data in a communication device and performs authentication.
一般的に、ユーザ認証方式であるIEEE(「Institute of Electrical and Electronic Engineers」の略称)802.1X認証や、端末認証方式であるMAC(「Media Access Control」の略称)アドレス認証などは、ネットワーク上に独立した認証サーバを設けることで機能を実現している。 Generally, IEEE (Institute of Electrical and Electronics Engineers) 802.1X authentication, which is a user authentication method, and MAC (abbreviation, "Media Access Control") address authentication, which is a terminal authentication method, are performed on the network. The function is realized by providing an independent authentication server in.
しかし、近年では、ルータやスイッチングハブなどの通信装置の性能向上に伴い、それらの通信装置に認証サーバの機能を分散して実装し、認証処理を行う方法(以降、「ローカル認証」と称する。)を採用するネットワークが増えている。ローカル認証では、通信装置内の記憶装置に認証処理に用いるデータを格納し、そのデータを参照することにより認証処理を行う。 However, in recent years, with the improvement in the performance of communication devices such as routers and switching hubs, a method in which the functions of authentication servers are distributed and implemented in those communication devices to perform authentication processing (hereinafter referred to as "local authentication"). ) Is being adopted by an increasing number of networks. In local authentication, data used for authentication processing is stored in a storage device in a communication device, and the authentication processing is performed by referring to the data.
ローカル認証に関連する技術として、特許文献1に記載の技術では、ルータに接続したUSB(「Universal Serial Bus」の略称)デバイスに対応して予めそのルータ内に保持された設定情報を使用することで、そのUSBデバイスが接続されている期間だけ一時的に、パケットフィルタ等のルータの機能の一部を無効にすることができる。また、管理者以外の人間がルータの管理画面を利用することにより発生する、管理者が意図しない設定変更が行われる可能性を排除することができる。
As a technique related to local authentication, in the technique described in
特許文献2に記載の技術では、無線ネットワークを構成する管理端末にメディア(USBデバイスに相当)が接続されている期間に限定して、新規の無線ネットワークが自動で構築される。そして、上記の無線ネットワークを構成するアクセスポイントに新規にアクセスする端末に対しては、上記新規ネットワークへの接続を受け付ける。そして、新規端末の新規ネットワークの利用終了後には、管理端末からメディアが抜かれることにより、新規ネットワークが解消する。これにより、新規端末の新規ネットワークの利用終了後に、新規ネットワークが存在し続けることはなく、さらに、ユーザは、管理端末へのメディアの挿抜さえ行なえばよいため、操作の手間を少なくすることができる。 In the technique described in Patent Document 2, a new wireless network is automatically constructed only during the period when the media (corresponding to the USB device) is connected to the management terminal constituting the wireless network. Then, the terminal that newly accesses the access points constituting the wireless network receives the connection to the new network. Then, after the use of the new network of the new terminal is completed, the new network is canceled by removing the media from the management terminal. As a result, the new network does not continue to exist after the end of use of the new network of the new terminal, and the user only has to insert and remove the media into the management terminal, so that the operation effort can be reduced. ..
しかしながら、ローカル認証では、認証動作に関する設定情報や認証する端末の情報等の、認証処理に用いる認証用データを、独立した認証サーバではなく通信装置内の記憶装置に格納する。これにより、認証用データが改ざんされた場合のユーザの業務運用に与える影響の長期化(例えば、管理者が通信装置内の認証データを復旧するまで業務が停止する等)や、装置の盗難による端末情報の漏えいなどのリスクが高まっているという問題がある。 However, in local authentication, authentication data used for authentication processing, such as setting information related to authentication operation and information on a terminal to be authenticated, is stored in a storage device in a communication device instead of an independent authentication server. As a result, if the authentication data is tampered with, the impact on the user's business operations will be prolonged (for example, the business will be stopped until the administrator recovers the authentication data in the communication device), or the device will be stolen. There is a problem that the risk of leakage of terminal information is increasing.
さらに、セキュリティ強化の観点から、通信装置の運用は管理者により厳格に実施されるようになっている。そのため、認証用データ以外のデータに関連する軽微な設定変更であっても、作業を管理者に依頼する必要があり、容易に通信装置の設定変更を行うことができないという問題がある。 Furthermore, from the viewpoint of enhancing security, the operation of communication devices is strictly carried out by the administrator. Therefore, even if it is a minor setting change related to data other than the authentication data, it is necessary to request the work from the administrator, and there is a problem that the setting change of the communication device cannot be easily performed.
また、特許文献1および2には、通信装置(すなわち、ルータまたはアクセスポイントに相当する装置)における認証用データの改ざんや、端末情報の漏えいなどのセキュリティ上のリスクを減らすための技術については、何ら記載が無い。
Further,
本発明の目的は、認証用データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことのできる認証システム、通信装置、および認証データ適用方法を提供することにある。 An object of the present invention is an authentication system, a communication device, and a communication device capable of prolonging the influence of falsification of authentication data on a user's business operation and reducing security risks such as leakage of terminal information due to device theft. The purpose is to provide a method for applying authentication data.
本発明の認証システムは、
暗号鍵を生成し、前記暗号鍵を使用して認証データを暗号化した暗号化認証データを、接続された可搬型記憶装置に格納する端末制御手段を含む端末と、
前記暗号化認証データが格納された前記可搬型記憶装置が接続された場合、復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して前記端末を認証する制御手段を含む通信装置と
を備える。
The authentication system of the present invention
A terminal including a terminal control means that generates an encryption key and stores the encrypted authentication data obtained by encrypting the authentication data using the encryption key in a connected portable storage device.
When the portable storage device in which the encryption authentication data is stored is connected, a decryption key is generated, the encryption authentication data is decrypted using the decryption key, and the decrypted decryption authentication data is obtained. Is stored in the temporary storage means, and includes a communication device including a control means for authenticating the terminal by using the decryption authentication data stored in the temporary storage means.
また、本発明の通信装置は、
暗号化認証データが格納された可搬型記憶装置が接続された場合、前記暗号化認証データを復号化する復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して端末を認証する。
Further, the communication device of the present invention is
When a portable storage device in which the encryption authentication data is stored is connected, a decryption key for decrypting the encryption authentication data is generated, and the decryption key is used to decrypt the encryption authentication data. The decrypted decryption authentication data is stored in the temporary storage means, and the terminal is authenticated using the decryption authentication data stored in the temporary storage means.
また、本発明の端末は、
暗号鍵を生成し、前記暗号鍵を使用して認証データを暗号化した暗号化認証データを、接続された可搬型記憶装置に格納する。
Further, the terminal of the present invention is
An encryption key is generated, and the encryption authentication data obtained by encrypting the authentication data using the encryption key is stored in the connected portable storage device.
また、本発明の認証データ適用方法は、
暗号鍵を生成し、前記暗号鍵を使用して第1の認証データを暗号化した第1の暗号化認証データを第1の可搬型記憶装置に格納し、
前記第1の暗号化認証データを復号化する第1の復号鍵を生成し、
前記第1の復号鍵を使用して、前記第1の可搬型記憶装置に格納された前記第1の暗号化認証データを復号化し、
前記復号化した第1の復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記第1の復号化認証データを使用して端末を認証する。
Moreover, the method of applying the authentication data of the present invention is:
An encryption key is generated, and the first encryption authentication data obtained by encrypting the first authentication data using the encryption key is stored in the first portable storage device.
A first decryption key for decrypting the first encryption authentication data is generated, and the first decryption key is generated.
The first decryption key is used to decrypt the first encryption authentication data stored in the first portable storage device.
The decrypted first decryption authentication data is stored in the temporary storage means, and the terminal is authenticated using the first decryption authentication data stored in the temporary storage means.
本発明には、認証用データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。 The present invention has an effect that it is possible to prolong the influence on the business operation of the user due to falsification of authentication data and reduce security risks such as leakage of terminal information due to theft of a device.
次に、本発明の実施形態について図面を参照して詳細に説明する。 Next, an embodiment of the present invention will be described in detail with reference to the drawings.
[第1の実施形態]
図1は本発明の第1の実施形態を示すブロック図である。
[First Embodiment]
FIG. 1 is a block diagram showing a first embodiment of the present invention.
図1を参照すると、本システムは、通信装置10と、それぞれを識別する固有の識別情報が割り当てられたUSBデバイス20と、通信装置10とネットワーク40を介して接続された少なくとも1つの端末30とを含む。なお、通信装置10と端末30とを接続するネットワーク40は、有線ネットワークでも無線ネットワークでもよく、また、それらを組み合わせたネットワークでもよい。なお、ネットワーク40と接続する通信装置10のネットワークインターフェース部(図示せず)には、インターフェース識別情報が割り当てられている。
Referring to FIG. 1, the system includes a
USBデバイス20には、通信装置10が端末30を認証する際に用いる、認証動作に関する設定情報や認証する端末の情報等のデータ(以降、「認証データ」と言う)が暗号化され、格納される。
Data (hereinafter referred to as "authentication data") such as setting information related to authentication operation and information of the terminal to be authenticated, which is used when the
端末30は、ネットワーク40を介して通信装置10に接続し、さらに、通信装置10を介してインターネット等の外部ネットワーク(図示せず)に接続する。また、端末30は、認証データを暗号化し、USBデバイス20に格納する機能を有する。なお、認証データを暗号化しUSBデバイス20に格納する機能は、ネットワーク40に接続していない、単独で動作する他の端末が有していてもよい。
The
通信装置10は、制御部11と、一時記憶部12と、USBインターフェース部13と、端末認証部14とを備える。通信装置10には、それぞれを識別する固有の識別情報(例えば、シリアル番号やMACアドレスなど。)が割り当てられている。
The
制御部11は、暗号化され、USBデバイス20に格納された認証データを、復号化するための復号鍵121を生成する。なお、制御部11は、プログラムを記憶する記憶デバイス(図示せず)と、そのプログラムをメモリに読み込んで命令を実行する少なくとも1つのプロセッサ(図示せず)とを含む。
The
一時記憶部12は、例えば揮発性メモリであり、データを記憶することができるが、通信装置10の電源が切れると記憶されていた情報も消失する。また、一時記憶部12には、復号鍵121と、復号鍵121によって復号化された認証テーブル122および認証動作設定テーブル123とが記憶される。ここで、認証テーブル122と、認証動作設定テーブル123とは認証データに相当する。
The
USBインターフェース部13には、USBデバイス20が接続され、その接続されたUSBデバイス20に格納されたデータの受け渡しを行う。なお、USBインターフェース部13は、USBデバイス20の接続と取り外しが可能なように構成されている。また、USBインターフェース部13は、通信装置10の所定の記憶場所(図示せず)に、通信装置10に接続を許可する少なくとも1つのUSBデバイスの識別情報を事前に登録する。
A
端末認証部14は、認証テーブル122および認証動作設定テーブル123に含まれる認証データを用いて端末30の認証処理を行う。
The
図2は、本実施形態における端末30を示すブロック図である。 FIG. 2 is a block diagram showing a terminal 30 in the present embodiment.
図2を参照すると、端末30は、端末制御部31と、一時記憶部32と、USBインターフェース部33と、入出力部34とを備える。
Referring to FIG. 2, the terminal 30 includes a
端末制御部31は、通信装置10が端末30を認証する際に用いる認証データを、暗号化するときに使用する、暗号鍵321を生成する機能を有する。なお、端末制御部31は、プログラムを記憶する記憶デバイス(図示せず)と、そのプログラムをメモリに読み込んで命令を実行する少なくとも1つのプロセッサ(図示せず)とを含む。
The
一時記憶部32は、例えば揮発性メモリであり、データを記憶することができるが、端末30の電源が切れると記憶されていた情報も消失する。また、一時記憶部32には、暗号鍵321と、認証データを暗号化した暗号化認証テーブル322および暗号化認証動作設定テーブル323とが記憶される。以降、暗号化認証テーブル322と、暗号化認証動作設定テーブル323とを合わせて、「暗号化認証データ」と言う。
The
USBインターフェース部33には、USBデバイス20が接続され、その接続されたUSBデバイス20に格納されたデータの受け渡しを行う。なお、USBインターフェース部33は、USBデバイス20の接続と取り外しが可能なように構成されている。
A
入出力部34には、ユーザが情報を入力するためのキーボード等およびユーザへ情報を表示するための表示画面等を備えた入出力装置(図示せず)が接続される。
An input / output device (not shown) provided with a keyboard or the like for the user to input information and a display screen or the like for displaying the information to the user is connected to the input /
図3は、本実施形態における認証テーブル122の一例を示す図である。 FIG. 3 is a diagram showing an example of the authentication table 122 in the present embodiment.
図3を参照すると、認証テーブル122は、拒否フラグ欄と、利用者識別欄と、パスワード欄と、MACアドレス欄とを含む。そして、認証テーブル122に含まれる1レコードは、通信装置10が1台の端末30の認証時に使用するデータを示す。
Referring to FIG. 3, the authentication table 122 includes a rejection flag field, a user identification field, a password field, and a MAC address field. Then, one record included in the authentication table 122 indicates data used by the
拒否フラグ欄には、そのレコードで認証する端末の接続を拒否するか否かを示す情報が登録される。拒否フラグ欄に「1」が登録されている場合は、そのレコードが示す端末は接続を拒否される。 In the rejection flag column, information indicating whether or not to reject the connection of the terminal authenticated by the record is registered. If "1" is registered in the rejection flag field, the terminal indicated by the record is denied connection.
利用者識別欄には、そのレコードが示す端末を利用する利用者を識別するための情報が登録される。 In the user identification field, information for identifying the user who uses the terminal indicated by the record is registered.
パスワード欄には、そのレコードが示す端末を利用する利用者が設定したパスワードが登録される。 In the password field, the password set by the user who uses the terminal indicated by the record is registered.
MACアドレス欄には、そのレコードが示す端末を識別するために割り当てられたMACアドレスが登録される。 In the MAC address field, the MAC address assigned to identify the terminal indicated by the record is registered.
例えば、図3の1行目のレコードを参照すると、拒否フラグ欄には「1」が登録され、利用者識別欄には「user01」が登録され、パスワード欄には「pass01」が登録され、MACアドレス欄には「01:02:03:04:05:06」が登録されている。すなわち、MACアドレスが「01:02:03:04:05:06」で示される端末を利用する利用者は、利用者識別情報が「user01」であり、パスワードが「pass01」であるが、この端末の接続は拒否されることが判る。 For example, referring to the record in the first line of FIG. 3, "1" is registered in the rejection flag column, "user01" is registered in the user identification column, and "pass01" is registered in the password column. "01:02:03:04:05:06" is registered in the MAC address field. That is, the user who uses the terminal whose MAC address is indicated by "01:02:03:04:05:06" has the user identification information "user01" and the password "pass01". It turns out that the terminal connection is refused.
図4は、本実施形態における認証動作設定テーブル123の一例を示す図である。 FIG. 4 is a diagram showing an example of the authentication operation setting table 123 in the present embodiment.
図4を参照すると、認証動作設定テーブル123は、無効フラグ欄と、インターフェース識別欄と、機能欄と、値欄とを含む。そして、認証動作設定テーブル123に含まれるレコードは、各々が通信装置10の認証時の動作を定義するパラメータを示す。
Referring to FIG. 4, the authentication operation setting table 123 includes an invalid flag column, an interface identification column, a function column, and a value column. The records included in the authentication operation setting table 123 indicate parameters that define the operation of the
無効フラグ欄には、そのレコードが示す認証動作が無効か否かを示す情報が登録される。無効フラグ欄に「1」が登録されている場合は、そのレコードが示す認証動作が実行されないことを示す。 In the invalid flag column, information indicating whether or not the authentication operation indicated by the record is invalid is registered. When "1" is registered in the invalid flag column, it indicates that the authentication operation indicated by the record is not executed.
インターフェース識別欄には、そのレコードが示す認証動作が実行されるネットワークインターフェース部を識別するインターフェース識別情報が登録される。すなわち、インターフェース識別欄に登録されたインターフェース識別情報が示すネットワークインターフェース部の認証動作で、そのレコードのパラメータが使用される。 In the interface identification field, interface identification information that identifies the network interface unit on which the authentication operation indicated by the record is executed is registered. That is, the parameter of the record is used in the authentication operation of the network interface unit indicated by the interface identification information registered in the interface identification field.
機能欄には、そのレコードが示す認証動作の内容を表す情報が登録される。 Information indicating the content of the authentication operation indicated by the record is registered in the function column.
値欄には、そのレコードが示す認証動作で用いられる機能に対する設定値が登録される。 In the value column, the setting value for the function used in the authentication operation indicated by the record is registered.
例えば、図4の1行目のレコードを参照すると、無効フラグ欄には何も登録されておらず、インターフェース識別欄には「無線LAN01」(LANは「Local Area Network」の略称。)が登録され、機能欄には「最大サプリカント数」が登録され、値欄には「30」が登録されている。すなわち、通信装置10が、無線LAN01という識別情報が割り当てられた無線LANインターフェースを使用して認証処理を実行するときに、最大サプリカント数に設定される値は30であることが判る。
For example, referring to the record in the first line of FIG. 4, nothing is registered in the invalid flag column, and "wireless LAN01" (LAN is an abbreviation for "Local Area Network") is registered in the interface identification column. The "maximum number of supplicants" is registered in the function column, and "30" is registered in the value column. That is, it can be seen that the value set for the maximum number of supplicants is 30 when the
次に、端末30の動作について図5のフローチャートを参照して説明する。 Next, the operation of the terminal 30 will be described with reference to the flowchart of FIG.
図5は、認証データを暗号化し、USBデバイス20に格納する際の端末30の動作を示すフローチャートである。
FIG. 5 is a flowchart showing the operation of the terminal 30 when the authentication data is encrypted and stored in the
図5を参照すると、まず、端末制御部31は、入出力部34を介して入出力装置(図示せず)から入力された通信装置10の識別情報(例えば、シリアル番号やMACアドレスなど。)に基づいて、暗号鍵321を生成する。そして、端末制御部31は、生成した暗号鍵321を一時記憶部32に記憶する(ステップS101)。
Referring to FIG. 5, first, the
次に、端末制御部31は、入出力部34を介して入出力装置(図示せず)から入力された認証データを示す情報を基に、暗号鍵321を使用して、暗号化認証テーブル322と、暗号化認証動作設定テーブル323とを生成する。そして、端末制御部31は、生成した暗号化認証テーブル322と暗号化認証動作設定テーブル323とを一時記憶部32に記憶する(ステップS102)。ここで、入出力部34を介して入出力装置(図示せず)から入力される、認証データを示す情報は、図3に示す認証テーブル122および図4に示す認証動作設定テーブル123の各項目に対応する情報である。
Next, the
次に、端末制御部31は、暗号化認証テーブル322および暗号化認証動作設定テーブル323を、USBインターフェース部33を介してUSBデバイス20に格納する(ステップS103)。このようにして、USBデバイス20に暗号化認証データが格納される。
Next, the
なお、端末制御部31は、生成した暗号化認証テーブル322および暗号化認証動作設定テーブル323を、一時記憶部32に記憶せずに、直接USBデバイス20に格納してもよい。
The
次に、通信装置10の動作について図6のフローチャートを参照して説明する。
Next, the operation of the
図6を参照すると、まず、制御部11は、端末認証部14に、全ての端末30の接続を拒否するように指示をする(ステップS201)。
Referring to FIG. 6, first, the
次に、制御部11は、USBインターフェース部13にUSBデバイス20が接続されているか否かを問い合わせる(ステップS202)。
Next, the
USBインターフェース部13からUSBデバイス20が接続されていない旨の回答があった場合(ステップS202で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。
When there is a reply from the
USBインターフェース部13からUSBデバイス20が接続されている旨の回答があった場合(ステップS202で「YES」の場合)には、制御部11は、そのUSBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれているか否かを判別する(ステップS203)。
When the
USBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれていない場合(ステップS203で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。
When the identification information of the
USBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれている場合(ステップS203で「YES」の場合)には、制御部11は、USBインターフェース部13に、その接続されているUSBデバイス20に暗号化認証データが格納されているか否かを問い合わせる(ステップS204)。
When the identification information of the
接続されているUSBデバイス20に暗号化認証データが格納されていない旨の回答があった場合(ステップS204で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。
When there is a reply that the encrypted authentication data is not stored in the connected USB device 20 (in the case of "NO" in step S204), the
接続されているUSBデバイス20に暗号化認証データが格納されている旨の回答があった場合(ステップS204で「YES」の場合)には、制御部11は、通信装置10を示す識別情報(例えば、シリアル番号やMACアドレスなど。)に基づいて、復号鍵121を生成する。そして、制御部11は、生成した復号鍵121を一時記憶部12に記憶する(ステップS205)。なお、復号鍵121は、暗号鍵321と同じアルゴリズムで、且つ同じ識別情報に基づいて生成される。したがって、暗号鍵321で暗号化されたデータは復号鍵121で復号化することができる。
When there is a reply that the encrypted authentication data is stored in the connected USB device 20 (when "YES" in step S204), the
次に、制御部11は、USBインターフェース部13を介してUSBデバイス20に格納されている暗号化認証データ(すなわち、暗号化認証テーブル322および暗号化認証動作設定テーブル323)を入手する。そして、制御部11は、入手した暗号化認証データを、復号鍵121を使用して復号化する(ステップS206)。
Next, the
制御部11は、正常に復号化できたか否かを確認(ステップS207)し、正常に復号化できなかった場合(ステップS207で「NO」の場合)には、本フローチャートの開始に戻り、ステップS201の処理から繰り返す。一方、正常に復号化できた場合(ステップS207で「YES」の場合)には、制御部11は、復号化された、認証テーブル122および認証動作設定テーブル123を一時記憶部12に記憶する。そして、制御部11は、端末認証部14に、全端末の接続拒否を解除し、認証テーブル122および認証動作設定テーブル123を使用して端末認証を開始するように指示をする(ステップS208)。
The
以降、端末認証部14は、認証テーブル122および認証動作設定テーブル123に含まれる認証データを使用して、ネットワーク40を介して接続しようとする端末30の認証処理を行う。すなわち、端末認証部14は、接続しようとする端末30のMACアドレスを取得し、図3に示す認証テーブル122に含まれるレコードのMACアドレス欄を検索する。同じMACアドレスのレコードがあった場合、端末認証部14は、そのレコードの拒否フラグ欄に「1」が登録されているか否かを判別する。拒否フラグ欄に「1」が登録されている場合は、端末認証部14は、その端末30の接続を拒否する。また、拒否フラグ欄が空白の場合は、端末認証部14は、利用者識別欄の値とパスワード欄の値とを使用し、その端末30を利用する利用者の利用者認証処理を行う。
After that, the
また、端末認証部14は、接続しようとする端末30が使用しているネットワーク40が接続しているネットワークインターフェース部を示すインターフェース識別情報を取得する。そして、端末認証部14は、図4に示す認証動作設定テーブル123に含まれるレコードのうち、取得したインターフェース識別情報と同じ識別情報がインターフェース識別欄に登録されているレコードの、値欄に登録されている設定値の機能を用いて認証動作を行う。
Further, the
以上、本実施形態には、通信装置10が端末30を認証する際に用いる認証データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。
As described above, in the present embodiment, the influence on the business operation of the user due to the falsification of the authentication data used when the
その理由としては、端末30の端末制御部31が、暗号鍵321を生成し、その暗号鍵321を使用して生成した暗号化認証データをUSBデバイス20に格納する。次に、通信装置10の制御部11が、端末制御部31と同じ識別情報に基づいて復号鍵121を生成する。そして、制御部11は、生成した復号鍵121を使用して、USBデバイス20の暗号化認証データを復号化し、一時記憶部12に格納する。以降、端末認証部14は、復号化した認証データを端末30の認証処理に使用する。
The reason is that the
すなわち、不正アクセス等による通信装置10の認証データの改ざんがあっても、通信装置10を再起動(例えば、電源を入れ直す等の操作)し、USBデバイス20を接続するだけで、制御部11が、USBデバイス20に格納されている暗号化認証データを復号化し、適用する。これにより、管理者による復旧作業を待たずに、端末認証部14は、正常な認証データを使用して認証処理を再開できる。さらに、端末30やUSBデバイス20が盗難にあった場合でも、装置内部に格納されている認証データは暗号化されているので、情報漏えいの心配が無い。また、通信装置10が盗難にあった場合においても、復号化した認証データは一時記憶部12に保持されており、電源が切れると当該認証データは消失するので、情報漏えいの心配が無い。
That is, even if the authentication data of the
[第2の実施形態]
次に、本発明の第2の実施形態について説明する。
[Second Embodiment]
Next, a second embodiment of the present invention will be described.
なお、本実施形態の構成は図1乃至図4に示した第1の実施形態のそれと同一であるため、その説明は省略する。 Since the configuration of this embodiment is the same as that of the first embodiment shown in FIGS. 1 to 4, the description thereof will be omitted.
以下に、本実施形態の動作について説明するが、第1の実施形態の動作と異なる点を中心に説明する。 The operation of the present embodiment will be described below, but the points different from the operation of the first embodiment will be mainly described.
図7は本実施形態の通信装置10の動作を示すフローチャートである。なお、図7は、図6に示す第1の実施形態のフローチャートに、ステップS309の処理を追加したフローチャートである。
FIG. 7 is a flowchart showing the operation of the
図7を参照すると、まず、制御部11は、端末認証部14に、全ての端末30の接続を拒否するように指示をする(ステップS301)。
Referring to FIG. 7, first, the
次に、制御部11は、USBインターフェース部13にUSBデバイス20が接続されているか否かを問い合わせる(ステップS302)。
Next, the
USBインターフェース部13からUSBデバイス20が接続されていない旨の回答があった場合(ステップS302で「NO」の場合)には、制御部11は、予め定めた所定の時間の間、USBデバイス20が新たに接続されたか否かを、USBインターフェース部13に問い合わせる(ステップS309)。
When the
所定の時間内にUSBデバイス20が接続されているという回答があった場合(ステップS309で「YES」の場合)には、制御部11は、ステップS303に進む。
If there is an answer that the
所定の時間内にUSBデバイス20が接続されているという回答が無かった場合(ステップS309で「NO」の場合)には、制御部11は、本フローチャートの開始に戻り、ステップS301の処理から繰り返す。
If there is no answer that the
一方、ステップS302で、USBインターフェース部13からUSBデバイス20が接続されている旨の回答があった場合(ステップS302で「YES」の場合)には、制御部11は、そのUSBデバイス20の識別情報が、事前に所定の記憶場所(図示せず)に登録してある、通信装置10に接続を許可するUSBデバイスの各識別情報に含まれているか否かを判別する(ステップS303)。
On the other hand, when there is a reply from the
以降、制御部11は、第1の実施形態と同様に、USBデバイス20の識別情報が事前に所定の記憶場所(図示せず)に登録されていて、且つそのUSBデバイス20に暗号化認証データが格納されている場合、復号鍵121を生成して、USBデバイス20に格納されている暗号化認証データを復号化する。
After that, as in the first embodiment, the
そして、制御部11は、端末認証部14に、復号化した認証テーブル122および認証動作設定テーブル123を使用して端末認証を開始するように指示をする。
Then, the
以上、本実施形態には、第1の実施形態の効果に加え、管理者以外の利用者が、USBデバイスの交換だけで安全、且つ簡単に認証データを変更することができるという効果がある。 As described above, in addition to the effect of the first embodiment, the present embodiment has an effect that a user other than the administrator can safely and easily change the authentication data only by exchanging the USB device.
その理由としては、制御部11が、通信装置10からUSBデバイス20が取り外されても、予め定めた所定の時間が経過するまでは、取り外された時点の認証データを使用して端末認証を継続させる。そして、予め定めた所定の時間内に暗号化認証データを格納したUSBデバイス20が接続されれば、自動的にその暗号化認証データが復号化され、通信装置10に適用されるからである。
The reason is that even if the
[第3の実施形態]
次に、本発明の第1の実施形態の基本的な構成を含む、第3の実施形態について説明する。
[Third Embodiment]
Next, a third embodiment including the basic configuration of the first embodiment of the present invention will be described.
図8は本実施形態を示すブロック図である。 FIG. 8 is a block diagram showing the present embodiment.
図8を参照すると、本実施形態のシステムは、通信装置50と、通信装置50に接続された少なくとも1つの端末70とを含む。なお、通信装置50および端末70は、図示されない可搬型記憶装置の接続と取り外しが可能なように構成されている。
Referring to FIG. 8, the system of this embodiment includes a
可搬型記憶装置には、通信装置50が端末70を認証する際に用いる認証データが暗号化され、格納される。
In the portable storage device, authentication data used when the
通信装置50は、復号鍵511が記憶される制御部51と、復号鍵511によって復号化された復号化認証データ521が記憶される一時記憶部52とを備える。
The
端末70は、暗号鍵711と暗号鍵711によって暗号化された暗号化認証データ712とが記憶される端末制御部71を備える。
The terminal 70 includes a
端末制御部71は、暗号鍵711を生成する。次に、端末制御部71は、生成した暗号鍵711を使用して認証データを暗号化し、暗号化認証データ712を生成する。そして、端末制御部71は、生成した暗号化認証データ712を、端末70に接続される可搬型記憶装置に格納する。
The
制御部51は、通信装置50に上述の可搬型記憶装置が接続された場合、復号鍵511を生成する。そして、制御部51は、生成した復号鍵511を使用して、可搬型記憶装置に格納されている暗号化認証データ712を復号化し、復号化認証データ521を生成する。そして、制御部51は、生成した復号化認証データ521を、一時記憶部52に格納する。以降、制御部51は、一時記憶部52に格納した復号化認証データ521を使用して、端末70を認証する。
The
以上、本実施形態には、第1の実施形態と同様に、通信装置50が端末70を認証する際に用いる認証データの改ざんによるユーザの業務運用に与える影響の長期化や、装置の盗難による端末情報の漏えいなどのセキュリティ上のリスクを減らすことができるという効果がある。
As described above, in the present embodiment, as in the first embodiment, the influence of falsification of the authentication data used when the
その理由としては、図示されない可搬型記憶装置に、端末制御部71が生成した暗号化認証データ712が格納される。そして、制御部51が、生成した復号鍵511を使用して、可搬型記憶装置に格納されている暗号化認証データ712を復号化する。以降、制御部51は、復号化した復号化認証データ521を端末70の認証処理に使用する。
The reason is that the
すなわち、不正アクセス等による認証データの改ざんがあっても、通信装置50を再起動(例えば、電源を入れ直す等の操作)し、可搬型記憶装置を接続するだけで、制御部51が、可搬型記憶装置に格納されている暗号化認証データ712を復号化し、適用する。これにより、管理者による復旧作業を待たずに、制御部51は、正常な認証データを使用して認証処理を再開できる。さらに、端末70や可搬型記憶装置が盗難にあった場合でも、装置内部に格納されている認証データは暗号化されているので、情報漏えいの心配が無い。また、通信装置50が盗難にあった場合においても、復号化した復号化認証データ521は一時記憶部52に保持されており、電源が切れると当該認証データは消失するので、情報漏えいの心配が無い。
That is, even if the authentication data is falsified due to unauthorized access or the like, the
10 通信装置
11 制御部
12 一時記憶部
13 USBインターフェース部
14 端末認証部
20 USBデバイス
30 端末
31 端末制御部
32 一時記憶部
33 USBインターフェース部
34 入出力部
40 ネットワーク
50 通信装置
51 制御部
52 一時記憶部
70 端末
71 端末制御部
121 復号鍵
122 認証テーブル
123 認証動作設定テーブル
321 暗号鍵
322 暗号化認証テーブル
323 暗号化認証動作設定テーブル
511 復号鍵
521 復号化認証データ
711 暗号鍵
712 暗号化認証データ
10
Claims (7)
前記暗号化認証データが格納された前記可搬型記憶装置が接続された場合、復号鍵を生成し、前記復号鍵を使用して前記暗号化認証データを復号化し、前記復号化した復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記復号化認証データを使用して前記端末を認証する制御手段を含む通信装置と
を備え、
前記認証データと、前記暗号鍵を生成するための前記通信装置に割り当てられた識別情報とが、前記入力手段から入力され、
前記端末は、入力された前記識別情報を基に前記暗号鍵を生成する、
認証システム。 A terminal including a terminal control means, an input means, and a terminal that generates an encryption key and stores the encrypted authentication data obtained by encrypting the authentication data using the encryption key in a connected portable storage device.
When the portable storage device in which the encryption authentication data is stored is connected, a decryption key is generated, the encryption authentication data is decrypted using the decryption key, and the decrypted decryption authentication data is obtained. Is stored in the temporary storage means, and the communication device including the control means for authenticating the terminal by using the decryption authentication data stored in the temporary storage means is provided .
The authentication data and the identification information assigned to the communication device for generating the encryption key are input from the input means.
The terminal generates the encryption key based on the input identification information.
Authentication system.
請求項1に記載の認証システム。 Authentication system according to claim 1 wherein the encryption key and the decryption key generated based on specific the identification information for identifying each assigned to the communication device.
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before the predetermined time elapses, the second encryption authentication data stored in the second portable storage device is decrypted. The decryption key of 2 is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used to decrypt the terminal. Authenticate and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the terminal is not authenticated.
請求項1または2に記載の認証システム。The authentication system according to claim 1 or 2.
前記制御手段は、前記復号化認証データを使用して前記端末を認証しているときに、前記可搬型記憶装置が取り外されても、前記端末の認証に前記認証データを使用し、The control means uses the authentication data for authentication of the terminal even if the portable storage device is removed when the terminal is authenticated using the decryption authentication data.
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before the predetermined time elapses, the second encryption authentication data stored in the second portable storage device is decrypted. The decryption key of 2 is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used to decrypt the terminal. Authenticate and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the terminal is not authenticated.
通信装置。Communication device.
請求項4に記載の通信装置。The communication device according to claim 4.
前記端末において、入力された前記識別情報を基に暗号鍵を生成し、前記暗号鍵を使用して前記第1の認証データを暗号化した第1の暗号化認証データを第1の可搬型記憶装置に格納し、In the terminal, an encryption key is generated based on the input identification information, and the first encryption authentication data obtained by encrypting the first authentication data using the encryption key is stored in the first portable storage. Store in the device
前記通信装置において、前記第1の暗号化認証データを復号化する第1の復号鍵を生成し、前記第1の復号鍵を使用して、前記第1の可搬型記憶装置に格納された前記第1の暗号化認証データを復号化し、前記復号化した第1の復号化認証データを一時記憶手段に記憶し、前記一時記憶手段に記憶した前記第1の復号化認証データを使用して前記端末を認証するIn the communication device, the first decryption key for decrypting the first encryption authentication data is generated, and the first decryption key is used to store the first decryption key in the first portable storage device. The first encryption authentication data is decrypted, the decrypted first decryption authentication data is stored in the temporary storage means, and the first decryption authentication data stored in the temporary storage means is used. Authenticate the terminal
認証データ適用方法。Authentication data application method.
予め定めた所定の時間が経過する前に、第2の可搬型記憶装置が接続された場合は、前記通信装置において、前記第2の可搬型記憶装置に格納された第2の暗号化認証データを復号化する第2の復号鍵を生成し、前記第2の復号鍵を使用して、前記第2の暗号化認証データを復号化し、以降、前記復号化した第2の復号化認証データを使用して前記端末を認証し、If the second portable storage device is connected before a predetermined time has elapsed, the second encrypted authentication data stored in the second portable storage device in the communication device. A second decryption key for decrypting the data is generated, the second decryption key is used to decrypt the second encryption authentication data, and thereafter, the decrypted second decryption authentication data is used. Use to authenticate the terminal and
予め定めた所定の時間が経過するまでに、前記第2の可搬型記憶装置が接続されない場合は、前記通信装置において、前記端末の認証を行わないIf the second portable storage device is not connected by the elapse of a predetermined time, the communication device does not authenticate the terminal.
請求項6に記載の認証データ適用方法。The authentication data application method according to claim 6.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016019986A JP6817707B2 (en) | 2016-02-04 | 2016-02-04 | Authentication system, communication device and authentication data application method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016019986A JP6817707B2 (en) | 2016-02-04 | 2016-02-04 | Authentication system, communication device and authentication data application method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017139650A JP2017139650A (en) | 2017-08-10 |
JP6817707B2 true JP6817707B2 (en) | 2021-01-20 |
Family
ID=59566909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016019986A Active JP6817707B2 (en) | 2016-02-04 | 2016-02-04 | Authentication system, communication device and authentication data application method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6817707B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6744030B2 (en) * | 2018-03-02 | 2020-08-19 | Necプラットフォームズ株式会社 | Home gateway device, connection terminal access management method, and connection terminal access management program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04107793A (en) * | 1990-08-29 | 1992-04-09 | N T T Data Tsushin Kk | Data access method and ic card for execution |
JP2002271318A (en) * | 2001-03-06 | 2002-09-20 | Mitsubishi Materials Corp | Radio communication equipment and certification managing server |
CN100508448C (en) * | 2001-10-12 | 2009-07-01 | 松下电器产业株式会社 | Content processing apparatus and content protection program |
JP2004302921A (en) * | 2003-03-31 | 2004-10-28 | Toshiba Corp | Device authenticating apparatus using off-line information and device authenticating method |
JP2007323553A (en) * | 2006-06-05 | 2007-12-13 | Hitachi Ltd | Adapter device performing encrypted communication on network and ic card |
JP2007328663A (en) * | 2006-06-09 | 2007-12-20 | Ricoh Co Ltd | Image forming apparatus and control method thereof |
JP2008003782A (en) * | 2006-06-21 | 2008-01-10 | Ricoh Co Ltd | Authentication device, program of terminal device, image forming apparatus, terminal device control method, and image forming apparatus control method |
JP2009116677A (en) * | 2007-11-07 | 2009-05-28 | Mitsubishi Electric Corp | Network authentication system, ic chip, access device, and network authentication method |
-
2016
- 2016-02-04 JP JP2016019986A patent/JP6817707B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017139650A (en) | 2017-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10447705B2 (en) | Cloud-based device information storage | |
US8462955B2 (en) | Key protectors based on online keys | |
US11469885B2 (en) | Remote grant of access to locked data storage device | |
JP4816161B2 (en) | Wireless communication apparatus, MAC address management system, wireless communication method, and wireless communication program | |
US8509449B2 (en) | Key protector for a storage volume using multiple keys | |
JP5564453B2 (en) | Information processing system and information processing method | |
US9762548B2 (en) | Controlling encrypted data stored on a remote storage device | |
JP5613596B2 (en) | Authentication system, terminal device, authentication server, and program | |
US20160014112A1 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
JP6012888B2 (en) | Device certificate providing apparatus, device certificate providing system, and device certificate providing program | |
US11831752B2 (en) | Initializing a data storage device with a manager device | |
WO2012174726A1 (en) | Chip and safety protection method for chip | |
US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
JP2015536061A (en) | Method and apparatus for registering a client with a server | |
CN114175574A (en) | Wireless security protocol | |
CN112559991A (en) | System secure login method, device, equipment and storage medium | |
CN106992978B (en) | Network security management method and server | |
WO2013182112A1 (en) | Method and device for protecting privacy data of mobile terminal user | |
WO2019019153A1 (en) | Scheme for generating, storing and using private key | |
JP6817707B2 (en) | Authentication system, communication device and authentication data application method | |
CN111901312A (en) | Method, system, equipment and readable storage medium for network access control | |
WO2013042412A1 (en) | Communication system, communication method, and computer readable recording medium | |
KR101133210B1 (en) | Mobile Authentication System and Central Control System | |
JPWO2020166066A1 (en) | Token protection methods, authorization systems, devices, and program recording media | |
KR101636802B1 (en) | File management method and system for preventing security incident by portable memory |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200128 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200326 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200908 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201109 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201208 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201225 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6817707 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |