JP2008146351A - Gateway system - Google Patents
Gateway system Download PDFInfo
- Publication number
- JP2008146351A JP2008146351A JP2006332764A JP2006332764A JP2008146351A JP 2008146351 A JP2008146351 A JP 2008146351A JP 2006332764 A JP2006332764 A JP 2006332764A JP 2006332764 A JP2006332764 A JP 2006332764A JP 2008146351 A JP2008146351 A JP 2008146351A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication data
- information
- client
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
本発明は、認証データを利用した認証システムの導入に先駆けた作業を簡易化させ、さらに、認証データ失効から認証装置に適用するまでの時間を無くすことで、構築・保守にかかる負担の軽減及びセキュリティを向上させるゲートウェイシステムを提供する。
【解決手段】
認証ゲートウェイには、基幹ネットワークの内外のどちらからのアクセスかを判別する手段を備え、基幹ネットワーク内部からのアクセスに対しては、Password認証を実行し、認証成立後、認証データの生成・失効等の機能の利用を許可する。また、認証デバイスへ認証データ搭載要求を受付ける。基幹ネットワーク外部からのアクセスに対しては、認証データを用いた認証を実行し、認証成立後、基幹ネットワークへのアクセスのみ許可し、認証データ生成など内部アクセス時の機能の利用を制限する。
【選択図】 図2【Task】
The present invention simplifies the work prior to the introduction of an authentication system using authentication data, and further reduces the burden on construction and maintenance by eliminating the time from authentication data expiration to application to an authentication device. Provide a gateway system that improves security.
[Solution]
The authentication gateway has a means to determine whether the access is from inside or outside the backbone network. For access from inside the backbone network, password authentication is executed, and after authentication is established, authentication data is generated and revoked. Allow use of the function. In addition, the authentication device receives a request for loading authentication data. For access from outside the backbone network, authentication using authentication data is executed. After authentication is established, only access to the backbone network is permitted, and use of functions during internal access such as authentication data generation is restricted.
[Selection] Figure 2
Description
本発明は、インターネットを含むネットワークを介して、イントラネットなどの基幹ネットワークへアクセスする際のアクセス制御の技術に関する。特に、アクセス可否の判断要因となる認証データの生成及び管理を認証装置で可能とする技術に関する。 The present invention relates to a technology for access control when accessing a backbone network such as an intranet via a network including the Internet. In particular, the present invention relates to a technology that enables authentication data to be generated and managed as an access permission determination factor.
近年、インターネットや企業内のイントラネットなどネットワークを介した通信における一人当たりのデータ転送帯域が広域化しており、企業内部の機器から外部のサーバへのアクセスはもちろん、家庭やホテル、ホットスポットなど企業外部から企業内部の機器へ数Mbpsから数十Mbpsの帯域でアクセス可能となっている。また、モバイル用途のパーソナルコンピュータ(PC)やPDA、携帯電話などの情報機器の低価格化が進み、従業員に情報端末を配布し、企業外部からも業務を行わせるようにしている企業も増えている。多くの企業が、迅速な業務遂行のために、出張先や自宅、移動中のオフィスなどのオフィス外で情報機器を利用し、企業内部のPCやサーバなどの機器にアクセスすることを許可するようになっている。一方、なりすましや不正アクセスなど、正当なアクセス権限を持たない利用者によって、企業内部の情報を閲覧、破壊、持出しなどの情報漏えいの被害も多数報告されている。このため、企業外から企業内の情報機器へのアクセスを許可するための安全な認証手段が必要となっている。 In recent years, the per-capita data transfer bandwidth for communications over the Internet, corporate intranets, and other networks has become widespread, and access to external servers from internal devices, as well as outside companies such as homes, hotels, and hotspots. Can access devices inside the company in a bandwidth of several Mbps to several tens of Mbps. In addition, the price of information devices such as personal computers (PCs), PDAs, and mobile phones for mobile use has been lowered, and an increasing number of companies are distributing information terminals to employees and allowing them to work from outside the company. ing. To allow many companies to use information devices outside the office, such as business trips, homes, and moving offices, and to access devices such as PCs and servers inside the company for quick business execution It has become. On the other hand, there have been many reports of information leakage damage such as browsing, destroying, and taking out information inside a company by users who do not have a legitimate access authority, such as impersonation and unauthorized access. For this reason, there is a need for a secure authentication means for permitting access from outside the company to information equipment inside the company.
インターネット上で安全にデータをやりとりするための技術に「公開鍵暗号技術」というものがある。これは、「公開鍵」と「秘密鍵」という二つの鍵でデータを守る方法で、公開鍵とその所有者本人を「電子証明書」によって結びつけている。公開鍵暗号技術の特性によって公開鍵や電子証明書を他者に公開しても他者が不正利用できないような仕組みになっている。公開鍵暗号技術による認証は、パスワード認証に比べて盗難や推測が困難であり、電子証明書そのものを持っていなければ本人確認ができないなど、IDとパスワードに比べて非常に安全性が高い認証方法である。この公開鍵暗号技術を使ってインターネット上で安全なデータのやりとりができる環境を作るためのインフラが「PKI(Public Key Infrastructure、公開鍵暗号基盤)」である。PKIによる認証では、電子証明書は重要な役割を持ち、その電子証明書を発行する機関が「認証局」である。認証局は、電子証明書の用途に合わせてデータベースや書類によりユーザの身元を確認し、電子証明書を発行する。
オフィス外から企業内部の情報機器へのアクセスを制御する認証装置では、電子証明書の有効性を検証する機能を持ち、正当な権限を有する証明書を保持する利用者に対してのみ、出張先(モバイルデータ通信、無線LANスポット、その他)、自宅などからのアクセス許可を与えることで、企業内への安全な通信を実現している。
There is a technique called “public key encryption technology” for safely exchanging data on the Internet. In this method, data is protected with two keys, a “public key” and a “private key”, and the public key and its owner are linked by an “electronic certificate”. Due to the characteristics of public key cryptography, even if a public key or electronic certificate is disclosed to another person, the other person cannot use it illegally. Authentication using public key cryptography is more secure than ID and password, as it is difficult to steal or guess compared to password authentication, and the identity cannot be verified without an electronic certificate itself. It is. The infrastructure for creating an environment in which secure data can be exchanged over the Internet using this public key encryption technology is “PKI (Public Key Infrastructure)”. In authentication by PKI, an electronic certificate has an important role, and an authority that issues the electronic certificate is a “certification authority”. The certificate authority confirms the identity of the user with a database or documents according to the use of the electronic certificate, and issues the electronic certificate.
An authentication device that controls access to information equipment inside the company from outside the office has a function to verify the validity of the electronic certificate, and only for users who hold a certificate with a legitimate authority. (Mobile data communication, wireless LAN spot, etc.) By giving access permission from home, etc., secure communication within the company has been realized.
前述した(企業)特定の組織(もしくはイントラネットなどの特定のネットワーク)外部から(企業)特定の組織(もしくはイントラネットなどの特定のネットワーク)内部の情報機器へのアクセスは、電子証明書を利用した認証を行うことで、信頼性の高い認証が可能である。しかし、実際に認証システムを構築、運用していくためには、その前提となる装置(認証局)の設置や、稼動後の運用にかかる負担が大きいことが問題となっている。具体的に、電子証明書を利用した認証システムを構築するためには、認証装置の設置とは別に認証局(電子証明書の発行や失効を制御、管理)及び失効情報を各認証装置に送信するシステム、また、認証デバイスに電子証明書を搭載する場合、その搭載システムが必要となり、それぞれのシステム構築にかかるコスト及び運用負担が各企業におけるPKI認証システム導入を躊躇させる原因となっている。 Access to the information devices inside the (corporate) specific organization (or a specific network such as an intranet) from outside the (corporate) specific organization (or a specific network such as an intranet) described above is authenticated using an electronic certificate By performing the above, it is possible to perform authentication with high reliability. However, in order to actually construct and operate an authentication system, there is a problem that the burden on installation of the device (certificate authority) which is the prerequisite and operation after operation is large. Specifically, in order to build an authentication system using electronic certificates, apart from the installation of the authentication device, the certificate authority (control and management of issuance and revocation of electronic certificates) and revocation information are sent to each authentication device When an electronic certificate is mounted on an authentication device or an authentication device, the mounted system is necessary, and the cost and operational burden for building each system are a cause of reluctance to introduce a PKI authentication system in each company.
本発明は、上記事情を鑑みてなされたもので、企業におけるPKI認証システム導入に必要な装置、作業を簡易化することができ、それにより、構築・保守にかかる負担を軽減させること、さらに、従来のシステムで発生していた、認証局が発行する電子証明書失効リストを各認証装置に適用するまでのタイムラグを無くすことができる認証ゲートウェイシステムを提供することを目的としている。 The present invention has been made in view of the above circumstances, and can simplify the apparatus and work necessary for introducing a PKI authentication system in a company, thereby reducing the burden on construction and maintenance, An object of the present invention is to provide an authentication gateway system that can eliminate a time lag that occurs in a conventional system until an electronic certificate revocation list issued by a certificate authority is applied to each authentication device.
上記目的を達成するために、本願は、基幹ネットワークと公開セグメント間に設置されるユーザ認証ゲートウェイ装置に認証データ生成機能、認証データ失効機能、認証データを認証デバイスに搭載する機能のうち少なくとも1つを備えるよう制御する。すなわち、ゲートウェイ機能を持った認証装置に、基幹ネットワークからのアクセス可能なCA局機能を実装させ、証明書の発行・管理を実施する。また、認証装置にトークンを装着する(装着したPCでアクセスも可)ことで証明書をトークンに搭載してもよい。また、証明書管理のためのCRL(証明書失効リスト)を持たせてもよい。さらに、ネットワーク情報設定情報をゲートウェイ内で生成、トークン格納してもよい。 In order to achieve the above object, the present application provides at least one of an authentication data generation function, an authentication data revocation function, and a function of mounting authentication data in an authentication device in a user authentication gateway apparatus installed between a backbone network and a public segment. Control to include. In other words, a CA station function that can be accessed from the backbone network is mounted on an authentication device having a gateway function, and certificate issuance and management are performed. In addition, the certificate may be mounted on the token by mounting the token on the authentication device (access is possible with the mounted PC). A CRL (Certificate Revocation List) for certificate management may be provided. Furthermore, network information setting information may be generated and stored in the gateway.
より詳細には、以下の態様を含む。
基幹ネットワークと公開セグメント間に設置されるユーザ認証ゲートウェイ装置であって、前記基幹ネットワーク外部のクライアントが当該ゲートウェイを通過する際のアクセス制御に利用する認証データの認証データ生成手段と、前記クライアントが当該ゲートウェイ装置にアクセスする際に、前記認証データを用いた認証によるアクセス制御を行う認証手段と、前記認証データ生成手段によって生成された認証データの情報である認証データ情報を管理する認証データ保持手段と当該認証データ情報を制御する認証データ管理手段と、前記クライアントに接続された専用ハードウェアである認証デバイスに前記認証データを搭載する認証データ搭載手段と、前記認証デバイスのデバイス情報を管理するデバイス情報保持手段と当該デバイス情報を制御するデバイス管理手段と、当該ゲートウェイは基幹ネットワーク外部のクライアントのアクセス要求に対し、前記認証データ生成手段、前記認証データ搭載手段の実行を制限する制限手段とを備えたゲートウェイ装置。
More specifically, the following aspects are included.
A user authentication gateway device installed between a backbone network and a public segment, wherein authentication data generating means for authentication data used for access control when a client outside the backbone network passes through the gateway, and the client An authentication unit that performs access control by authentication using the authentication data when accessing the gateway device; and an authentication data holding unit that manages authentication data information that is authentication data information generated by the authentication data generation unit; Authentication data management means for controlling the authentication data information, authentication data mounting means for mounting the authentication data in an authentication device that is dedicated hardware connected to the client, and device information for managing device information of the authentication device Holding means and the device A device management means for controlling the information, the gateway to the backbone network outside the client's access request, said authentication data generation means, the authentication data gateway device and a limiting means for limiting the execution of the mounting means.
また、このゲートウェイ装置において、前記基幹ネットワーク内部のクライアントから認証データ生成要求を受信する手段をさらに有し、前記認証データ生成手段は、前記クライアントが認証データ生成権限を有する場合、当該クライアントに対して、認証データを生成するゲートウェイ装置も本発明に含まれる。 The gateway apparatus further includes means for receiving an authentication data generation request from a client inside the backbone network, and the authentication data generation means is configured to send an authentication data generation authority to the client when the client has authentication data generation authority. A gateway device that generates authentication data is also included in the present invention.
また、これらのゲートウェイ装置において、前記認証手段は、前記公開セグメントのクライアントから送信された認証要求を当該ゲートウェイ装置が受信した場合、前記公開セグメントのクライアントに対し、認証データの送信を指示し、その指示に従って送信された認証データの有効性を検証し、
前記認証要求元の公開セグメントのクライアントが保持する認証データが有効性を保持すると検証した場合、公開セグメントのクライアントが基幹ネットワークへアクセスすることを許可するゲートウェイ装置も本発明に含まれる。
Further, in these gateway devices, when the gateway device receives the authentication request transmitted from the public segment client, the authentication unit instructs the public segment client to transmit authentication data. Verify the validity of the authentication data sent in accordance with the instructions,
A gateway device that permits the public segment client to access the backbone network when it is verified that the authentication data held by the public segment client of the authentication request source holds validity is also included in the present invention.
また、これらのゲートウェイ装置において、前記認証データ管理手段は、前記認証データ生成手段によって認証データが生成された際に、生成された認証データを特定する認証データ情報を前記認証データ保持手段に登録し、前記認証データ情報に変更が生じる度に前記認証データ保持手段に登録された当該認証データ情報を更新するゲートウェイ装置も本発明に含まれる。 In these gateway devices, the authentication data management means registers authentication data information for identifying the generated authentication data in the authentication data holding means when the authentication data is generated by the authentication data generation means. A gateway device that updates the authentication data information registered in the authentication data holding means every time the authentication data information is changed is also included in the present invention.
また、これらのゲートウェイ装置において、認証データ搭載手段は、前記基幹ネットワーク内部のクライアントから送信される認証データ搭載要求を受信した場合、前記認証データ搭載要求の送信元である基幹ネットワーク内部のクライアントの利用者及び基幹ネットワーク内部のクライアントに接続されている専用ハードウェアである認証デバイスが認証データ搭載権限を有する場合、当該認証デバイスに対して、認証データを搭載するよう制御するゲートウェイ装置も本発明に含まれる。 Further, in these gateway devices, when the authentication data mounting means receives an authentication data mounting request transmitted from a client inside the backbone network, the use of the client inside the backbone network that is the transmission source of the authentication data mounting request When the authentication device, which is dedicated hardware connected to the client and the client inside the backbone network, has authentication data loading authority, the gateway device that controls the authentication device to load the authentication data is also included in the present invention. It is.
また、このゲートウェイ装置において、前記認証デバイス管理手段は、前記認証デバイスが接続された基幹ネットワーク内部のクライアントが当該ゲートウェイ装置にアクセスした際に、当該認証デバイスを特定する情報であるデバイス情報を前記デバイス情報保持手段に登録し、前記デバイス情報に変更が生じる度に前記デバイス情報保持手段に登録された当該デバイス情報を更新し、前記デバイス情報保持手段は、前記認証データ搭載手段から前記認証デバイスに搭載する認証データ情報をさらに保持し、前記認証デバイス管理手段は、前記認証データ搭載手段から認証データ搭載通知を受け取ると、前記デバイス情報保持手段を更新するゲートウェイ装置も本発明に含まれる。 Further, in this gateway device, the authentication device management means sends device information that is information for specifying the authentication device when a client in the backbone network to which the authentication device is connected accesses the gateway device. The device information is registered in the information holding unit, and the device information registered in the device information holding unit is updated every time the device information is changed. The device information holding unit is loaded from the authentication data loading unit into the authentication device. Further, the present invention also includes a gateway apparatus that holds the authentication data information to be updated, and the authentication device management means updates the device information holding means when receiving the authentication data loading notification from the authentication data loading means.
また、これらのゲートウェイ装置において、前記認証データ管理手段は、前記基幹ネットワーク内部のクライアントから送信される認証データ失効要求を受信した場合、前記ゲートウェイが前記要求を受け付けると、前記認証データ保持手段の当該クライアントに対応する認証データ情報を失効状態に更新するゲートウェイ装置も本発明に含まれる。 Further, in these gateway devices, when the authentication data management means receives an authentication data revocation request transmitted from a client inside the backbone network, when the gateway accepts the request, the authentication data holding means A gateway device that updates authentication data information corresponding to a client to an invalid state is also included in the present invention.
また、これらのゲートウェイ装置において、前記公開セグメントのクライアントが、当該ゲートウェイ装置にアクセスする際に利用するネットワーク上で当該ゲートウェイ装置の位置を特定するアドレス情報および当該ゲートウェイの自己署名がされた認証データ情報を保持するするネットワーク接続情報保持手段、前記基幹ネットワーク内部のクライアントから送信されるネットワーク接続情報取得要求を受信した場合、当該ネットワーク接続情報を当該クライアントに送信する手段をさらに有するゲートウェイ装置も本発明に含まれる。なお、本発明には、これらのゲートウェイ装置での処理方法や処理方法を実行するためのプログラムも含まれる。 Further, in these gateway devices, address information for specifying the position of the gateway device on the network used when the client of the public segment accesses the gateway device, and authentication data information in which the gateway is self-signed A gateway apparatus further comprising means for transmitting network connection information to the client when receiving a network connection information acquisition request transmitted from a client in the backbone network. included. Note that the present invention includes a processing method in these gateway devices and a program for executing the processing method.
本発明によれば、認証データを利用した認証システム導入に先駆けた認証局の設置作業を簡易化することができ、さらに認証データ失効処理から認証装置に適用するまでの時間を無くすことから、構築・保守にかかる負担を軽減させることができる。 According to the present invention, it is possible to simplify the installation work of the certificate authority prior to the introduction of the authentication system using the authentication data, and further eliminate the time from the authentication data revocation processing to the application to the authentication device. -The burden on maintenance can be reduced.
以下、本発明の実施形態について添付図面を参照しながら、詳細に説明する。
図1は、本実施形態の認証ゲートウェイシステムの詳細なシステム構成図の一例である。本実施形態の認証ゲートウェイシステムは、認証ゲートウェイ101、基幹ネットワーク111と基幹ネットワーク111内部のクライアント装置(PC-A131、PC-B132、PC-C133)、インターネット121、インターネット121に接続するクライアント装置(PC-D134、PC-E135、PC-F136)を備える。本実施形態では、クライアント装置(PC-A131、PC-B132、PC-C133,PC-D134、PC-E135、PC-F136)には、認証デバイス(認証デバイス-A141、認証デバイス-B142、認証デバイス-C143、認証デバイス-D144、認証デバイス-E145、認証デバイス-F146)が接続されている例を示す。
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
FIG. 1 is an example of a detailed system configuration diagram of the authentication gateway system of the present embodiment. The authentication gateway system of the present embodiment includes an
認証ゲートウェイ101は、基幹ネットワーク111とインターネット121間に設置されるユーザ認証ゲートウェイ装置であり、基幹ネットワーク111内外からのアクセスに対するアクセス制御と、アクセス制御に利用する認証データの生成と失効、認証デバイスへの認証データ搭載、これら情報の管理を行う。認証ゲートウェイ101がこれらを実現するために保持する各種データについては、後述する。
The
基幹ネットワーク111は、認証ゲートウェイ101、PC-A131、PC-B132、PC-C133を相互に接続する。本実施形態では、TCP/IPプロトコルを用いて通信を行うネットワークとして以下に説明するが、TCP/IPプロトコル以外のプロトコルに従った通信を行うものであっても良い。なお、実施形態のPC-A131、PC-B132、PC-C133は、PCと記述しているが、サーバやワークステーションでも組み込み機器でも記録媒体に格納しているOSやアプリケーションをメモリとCPU上で実行する情報機器であれば特に限定しない。また、本実施形態では、基幹ネットワーク111内部のクライアント装置としてPC-A131、PC-B132、PC-C133を備える場合を例に挙げて説明する。
The backbone network 111 connects the
PC-A131は、利用者の指示に従って演算を行い、必要に応じてデバイスを利用し、演算結果を利用者に提示する情報処理装置である。PC-A131は、基幹ネットワーク111に図示しないネットワークインタフェースを介して接続している。PC-A131は、図示しないハードディスクドライブもしくはフラッシュメモリなどのストレージやメモリ及びCPUを備え、利用者の指示に従って演算を行う。演算結果は、PC-A131に接続されている図示しないディスプレイに表示される。利用者からの指示は、図示しないキーボードやマウスといったユーザインタフェースを介してPC-A131に送信される。以後、特にPC-A131、PC-B132、PC-C133を区別する必要がない場合、PC-A131を代表として説明する。
The PC-
次に、インターネット121を介し認証ゲートウェイ101にアクセスするクライアント装置について説明する。
Next, a client device that accesses the
本実施形態では、インターネット121を介して接続するクライアント装置としてPC-D134、PC-E135、PC-F136を備える場合を例に挙げて説明する。各クライアント装置は、これに限定しない。
In the present embodiment, a case where PC-D134, PC-E135, and PC-F136 are provided as client devices connected via the
PC-D134は、利用者の指示に従って演算を行い、必要に応じてデバイスを利用し、演算結果を利用者に提示する情報処理装置である。PC-D134は、インターネット121に図示しないネットワークインタフェースを介して接続している。PC-D134は、図示しないハードディスクドライブもしくはフラッシュメモリなどのストレージやメモリ及びCPUを備え、利用者の指示に従って演算を行う。演算結果は、PC-D134に接続されている図示しないディスプレイに表示される。利用者からの指示は、図示しないキーボードやマウスといったユーザインタフェースを介してPC-D134に送信される。以後、特にPC-D134、PC-E135、PC-F136を区別する必要がない場合、PC-D134を代表として説明する。
The PC-
デバイス接続用インタフェースは、例えばユニバーサルシリアルデバイス(USB)、ワイヤレスUSB、近距離無線通信インタフェース、赤外線通信インタフェース、シリアルポートインタフェース、パラレルポートインタフェース、IEEE1394インタフェース、PS/2インタフェース、オーディオインタフェースといったデバイスをPCに接続するためのインタフェースが考えられる。本実施形態では、PC-A131と認証デバイス-A141を接続するインタフェースがUSBである場合を例に挙げて説明を行うが、インタフェースはこれに限定しない。
Interfaces for device connection include devices such as universal serial devices (USB), wireless USB, short-range wireless communication interfaces, infrared communication interfaces, serial port interfaces, parallel port interfaces, IEEE1394 interfaces, PS / 2 interfaces, and audio interfaces to PCs. An interface for connection can be considered. In this embodiment, the case where the interface connecting the PC-
認証デバイス-A141は、電子証明書やその公開鍵ペアをセキュアに保管するためのICカードやUSBトークンが考えられる。本実施形態では、認証デバイス-A141は、ICカード機能とフラッシュメモリ機能を搭載した認証デバイスである場合を例に挙げて、説明を行うが、その他に、ICカードやUSBトークンといった認証デバイスであっても良く、さらにこれらに限定しない。本実施形態ではPC-A131と接続されている図示しない認証デバイス読取装置に装着し、PC-A131と接続される。認証デバイス-A141は、図示しない認証デバイス読取装置を介しPC-A131の指示に従って演算を行い、演算結果をPC-A131に提示する。認証デバイス-B142、認証デバイス-C143、認証デバイス-D144、認証デバイス-E145、認証デバイス-F146も認証デバイス-A141と同様の構成を備える。以後、特に認証デバイス-A141、認証デバイス-B142、認証デバイス-C143、認証デバイス-D144、認証デバイス-E145、認証デバイス-F146を区別する理由がない場合、認証デバイス-A141を代表として説明する。
The authentication device-A141 can be an IC card or USB token for securely storing an electronic certificate and its public key pair. In the present embodiment, the authentication device-A141 will be described as an example of an authentication device having an IC card function and a flash memory function. In addition, the authentication device-A141 is an authentication device such as an IC card or a USB token. However, the present invention is not limited to these. In this embodiment, it is attached to an authentication device reader (not shown) connected to the PC-
図2は、認証ゲートウェイ101の構成を示すブロック図の一例である。本図に示すように、認証ゲートウェイ101は、制御部201、通信ポート-A202、通信ポート-B203、Password認証部204、PKI(Public Key Infrastructure)認証部205、CA(Certificate Authority)機能部206を備える。制御部201は、認証ゲートウェイ101に送信されたデータを受信し、要求元のアクセス経路(通信ポート-A202、通信ポート-B203)を判別、制御部201に相互に接続された各部位(Password認証部204、PKI認証部205、CA機能部206)にデータを転送する手段を備えた部位である。また、認証ゲートウェイ101外部からのデータだけでなく、内部(Password認証部204、PKI認証部205、CA機能部206、通信ポート-A202、通信ポート-B03)のデータ転送も制御部201で行われる。通信ポート-A202、通信ポート-B203は、通信用経路のポートである。本実施形態では、通信ポートA-202は、基幹ネットワーク111の内部との間でデータの送受信を行うポートであり、通信ポート-B203は、インターネット121を介して接続するクライアント(PC-D134)の間でデータの送受信を行うポートである場合を例に挙げて説明を行う。Password認証部204は、利用者を利用者IDとPasswordで特定するID/Password認証を行う手段を備える部位である。PKI認証部205は、認証データを利用したPKI認証を行う手段を備える部位である。本実施形態では、Password認証及びPKI認証を例にとって説明するが、認証方法はこれに限定しない。CA機能部206は、アクセス要求に応じて、認証データ生成機能、認証データ失効機能、認証データを認証デバイスに搭載する機能を実現する処理を行う機能を備えた部位である。本実施形態で備える各機能については、後述する。また、本実施形態では、CA機能部206が備える機能として、前記の認証データ生成機能、認証データ失効機能、認証データを認証デバイスに搭載する機能を例に説明するが、これに限定しない。
次に、認証ゲートウェイ101が保持する、認証デバイス管理テーブル300、認証データ管理テーブル400、認証デバイスマスタ500、ネットワーク接続情報マスタ600、利用者情報マスタ700について説明する。
FIG. 2 is an example of a block diagram showing the configuration of the
Next, the authentication device management table 300, the authentication data management table 400, the
認証デバイステーブル300は、PC-A131に接続される認証デバイス-A141のデバイス情報を管理するテーブルであり、認証ゲートウェイ101によって生成された認証データを当該認証デバイスに搭載する際に、認証データを搭載する認証デバイスを特定する情報として、認証デバイス管理テーブルに登録される。
The authentication device table 300 is a table for managing device information of the authentication device-A141 connected to the PC-A131. When the authentication data generated by the
図3に認証デバイス管理テーブル300の一例を示す。本図に示すように認証デバイス管理テーブル300は、認証デバイス管理Noレコード301、利用者IDレコード302、デバイスIDレコード303、デバイスシリアル番号レコード304、登録日レコード305、認証データ引当てレコード306、認証データ管理Noレコード307が記録される。認証デバイス管理テーブル300のレコードは、これらに限定せず、その他のレコードが記録されていても良い。
FIG. 3 shows an example of the authentication device management table 300. As shown in the figure, the authentication device management table 300 includes an authentication device management No
認証デバイス管理Noレコード301は、認証ゲートウェイ101によって認証デバイス情報が登録された際、各認証デバイス情報に自動的に付与される識別番号(例えば、通番)であり、認証デバイステーブルに登録された認証デバイス情報を一意に特定する情報である。
The authentication device management No
利用者IDレコード302は、認証データを保持している利用者を特定するIDが登録される。この情報は、認証ゲートウェイ101によって認証データが当該デバイスに搭載された際に登録される。
In the
デバイスIDレコード303は、認証デバイスマスタ500に登録された認証デバイス情報を一意に特定するためのIDである。
The
デバイスシリアル番号レコード304は、デバイス自体に予め付与されているデバイスの識別番号である。各認証デバイスは、後述する認証デバイスマスタ500に記録される製品IDレコード503、ベンダ名レコード504とデバイスシリアル番号レコード304の組によって一意に識別される。認証デバイスマスタ500には、デバイスIDレコード303をキーとすることで、照会できる。デバイスシリアル番号レコード304は、製品一つ一つに個別に付けられた番号である。
The device
登録日レコード305は、認証デバイス情報が、認証デバイス管理テーブル300に登録された日付である。
The
認証データ引当レコード306は、認証デバイスに認証ゲートウェイ101から生成された認証データが搭載されているかを判別するための情報であり、「有」、「無」の値が設定される。
本情報は、認証ゲートウェイによって、認証デバイスに認証データが搭載された場合に「有」の設定値に、また、失効された場合は、「無」の設定値に登録・更新される。
The authentication
This information is registered / updated by the authentication gateway to a setting value of “present” when authentication data is installed in the authentication device, and to a setting value of “none” when the authentication data is invalidated.
認証データ管理Noレコード307は、認証デバイスに搭載された認証データ情報が格納されている認証データ管理テーブル400の管理番号である。認証データ管理Noレコード307をキーとして、認証データ管理テーブル400から、当該認証デバイスに搭載されている認証データ情報を抽出することができる。
The authentication data
認証データ管理テーブル400は、インターネット121を介して接続するクライアント(PC-D134)から基幹ネットワーク111内部の機器へのアクセス要求があった場合、アクセス要求元の利用者がアクセス許可の権限を保持しているか否かを判定(認証)するために利用する認証データ情報が登録される。例えば、認証データの有効性、認証データが搭載されている認証デバイスのデバイスシリアル番号、認証データの保持者を特定する情報などが記録される。本実施形態では、認証データとして電子証明書を利用した例を挙げて説明するが、認証データはこれに限らない。本テーブルは、認証ゲートウェイ101により、認証データが生成された際に登録され、それ以降、認証デバイスに認証データを搭載した場合や、認証データを失効した場合など認証データに関する情報に変更があった場合、適宜更新される。
In the authentication data management table 400, when a client (PC-D134) connected via the
図4に、認証データ管理テーブル400の一例を示す。本図に示すように認証データ管理テーブル400は、認証データ管理Noレコード401、利用者IDレコード402、ステータスレコード403、認証デバイス管理Noレコード404、Versionレコード405、Signatureレコード406、Issuer レコード407、有効開始日時レコード408、有効終了日時レコード409、Subjectレコード 410、SubjectUniqueIDレコード411、公開鍵のアルゴリズムレコード412、鍵の長さレコード413、鍵用途レコード414が記録される。認証データ管理テーブル400のレコードは、これらに限定せず、その他のレコードが記録されていても良い。
FIG. 4 shows an example of the authentication data management table 400. As shown in the figure, the authentication data management table 400 includes an authentication data
認証データ管理Noレコード401は、認証ゲートウェイ101によって認証データが生成され、認証データテーブル400に認証データ情報が登録される際、各認証データ情報に自動的に付与される識別番号(例えば、通番)であり、認証データテーブルに登録された認証データ情報を一意に特定する情報である。
The authentication data
利用者IDレコード402は、認証データを保持している利用者を特定するIDが登録される。利用者IDレコード402は認証ゲートウェイ101にアクセスする際に、クライアント装置(PC-A131)から認証ゲートウェイに送信される情報であり、利用者マスタテーブル700と照合することで、利用者を特定する情報である。利用者IDレコード402は、認証ゲートウェイ101によって認証データが生成された際に登録される。
In the
ステータスレコード403は、認証データの有効性を表す情報であり、「有効」、「無効(期限切れ)」、「無効(失効)」の値が設定される。ステータスレコード403は、認証ゲートウェイ101により認証データが生成された際に「有効」の設定値で登録される。後述する認証データの有効終了日時レコード409の設定値が過ぎた場合、「無効(有効期限切れ)」の設定値に設定(更新)され、また、認証ゲートウェイ101により認証データが失効された場合に、「無効(失効)」の設定値に設定(更新)する。Versionレコード405は、認証データのバージョンを示す情報である。Signatureレコード406は、認証データ生成者(認証ゲートウェイ101)が署名する際に利用する暗号アルゴリズムを示す情報である。Issuerレコード407は、認証データを生成した機関を示す情報であり、本実施形態では、認証ゲートウェイ101が該当する。有効開始日時レコード408は、認証データが有効となる日時を示す情報である。有効終了日時レコード409は、認証データが無効となる日時を示す情報である。Subject410レコードは、認証データの保持者(所有者)の名称を示す情報である。SubjectUniqueIDレコード411は、認証データの保持者(所有者)を特定するユニークなIDを示す情報である。
The status record 403 is information indicating the validity of the authentication data, and values of “valid”, “invalid (expired)”, and “invalid (expired)” are set. The status record 403 is registered with a setting value of “valid” when the authentication data is generated by the
公開鍵のアルゴリズムレコード412は、認証データに含まれる公開鍵アルゴリズムを特定する情報である。鍵の長さレコード413は、認証データに含まれる公開鍵の鍵長を示す情報である。 The public key algorithm record 412 is information for specifying the public key algorithm included in the authentication data. The key length record 413 is information indicating the key length of the public key included in the authentication data.
鍵用途レコード414は、認証データに含まれる公開鍵の使用目的を示す情報である。Versionレコード405、signatureレコード406、issuerレコード407、有効開始日時レコード408、有効終了日時レコード409 、subjectレコード410、 SubjectUniqueIDレコード411、公開鍵のアルゴリズムレコード412、鍵の長さレコード413、鍵用途レコード414は認証データに格納されている情報であり、認証ゲートウェイ101によって認証データが生成された際、当該認証データから読み出し、認証データ管理テーブル400に登録される。
The key usage record 414 is information indicating the purpose of use of the public key included in the authentication data.
認証デバイスマスタ500は、認証ゲートウェイ101により生成された認証データを搭載する認証デバイス(本認証デバイス-A141)として利用可能なデバイスであるかを判別するための情報である。本実施形態では、認証デバイスマスタ500は、予め管理者により登録されるものとして説明するが、利用者が登録可能な形態をとっても良い。
The
図5に、認証デバイスマスタ500の一例を示す。本図に示すようにデバイスIDレコード501、デバイス名レコード502、製品IDレコード503、ベンダ名レコード504が記録される。認証デバイスマスタ500のレコードは、これらに限定せず、その他のレコードが記録されていても良い。
FIG. 5 shows an example of the
デバイスIDレコード501は、管理者が認証デバイスマスタを登録する際に各認証デバイスマスタ情報に付与する識別番号(例えば、通番)であり、認証デバイスマスタ500に登録された認証デバイスマスタ情報を一意に特定する情報である。
デバイス名レコード502は、デバイスを呼びやすくするための名称を示す情報である。
The
The
製品IDレコード503は、予めデバイスに付与されているデバイスの識別番号であり、製品ごとに一意につけられるIDである。ベンダ名レコード504は、当該デバイスのベンダ名を示す情報である。
The
ネットワーク接続情報マスタ600は、利用者が認証ゲートウェイ101にアクセスするために必要なアドレス情報や認証ゲートウェイ101の自己署名の認証データ(本実施形態では、以後、ルート証明書という)等の認証ゲートウェイ101にアクセスするためのネットワーク接続情報が登録される。ネットワーク接続情報マスタの情報は、利用者から送信要求を受けて、認証ゲートウェイ101から利用者に送信される。また、本実施形態では、ネットワーク接続情報マスタには、複数のネットワーク情報を管理者が予め登録し、利用者からの送信要求に対して、どの情報を送信するかも予め管理者によって設定しておく形態をとるが、ネットワーク情報の登録及び、どの情報を送信するかを利用者が登録、選択する形態をとってもよい。
The network
図6に、ネットワーク接続情報マスタ600の一例を示す。本図に示すようにネットワーク接続情報マスタ600は、接続情報管理Noレコード601、ルート証明書保存先レコード602、ゲートウェイアドレスレコード603、ゲートウェイポート番号レコード604が記録される。ネットワーク接続情報マスタ600のレコードは、これらに限定せず、Proxyサーバアドレスやそのポート番号など、その他のレコードが記録されていても良い。
FIG. 6 shows an example of the network
接続情報管理Noレコード601は、管理者によってネットワーク接続情報が登録された際に自動的に付与される識別番号(例えば、通番)であり、ネットワーク接続情報マスタに登録されたネットワーク接続情報を一意に特定する番号である。
The connection information
ルート証明書保存先レコード602は、認証ゲートウェイ101のルート証明書の格納先を示した情報である。ネットワーク接続情報の送信要求を受けた際、他のアドレス情報と共に保存先のルート証明書を送信する。
The root certificate
ゲートウェイアドレスレコード603は、認証ゲートウェイ101のネットワーク上の位置を特定するアドレス情報である。ゲートウェイポート番号レコード604は、認証ゲートウェイ101の利用するサービスを特定するポート番号である。
The
利用者マスタ700は、基幹ネットワーク111に接続可能な利用者を特定する情報が記録される。利用者マスタ700は、管理者によって予め登録がされている。
In the
図7に利用者マスタ700の一例を示す。本図に示すように利用者IDレコード701、利用者名レコード702、利用者パスワードレコード703、所属グループIDレコード704、所属グループ名レコード705、所属部署IDレコード706、所属部署名707レコードが記録される。利用者IDレコード701は、利用者を特定するユニークなIDを示す情報である。利用者名レコード702は、利用者ID701に対応した利用者の名称を示す情報である。利用者パスワードレコード703は、正当な利用者であることを示すパスワードを示す情報である。
FIG. 7 shows an example of the
所属グループIDレコード704、所属グループ名レコード705は、それぞれ利用者が所属するグループを特定するID、そのグループ名称を示す情報である。所属部署IDレコード706、所属部署名レコード707は、それぞれ利用者が所属する部署を特定するID、その部署名称を示す情報である。
The affiliation group ID record 704 and the affiliation
また、利用者マスタ700のレコードは、これらに限定せず、その他のレコードが記録されていても良い。
Further, the records of the
次に、認証デバイス-A141が保持するPIN(Personal Identification Number)格納テーブル800について説明する。 Next, a PIN (Personal Identification Number) storage table 800 held by the authentication device-A 141 will be described.
PIN格納テーブル800は、認証デバイス-A141の正当な保持者であることを示すPIN情報が記録される。利用者が認証デバイス-A141にアクセスし、認証デバイス-A141に格納されているデータや機能を利用する際に、利用者は、当該認証デバイス-A141の正当な保持者であることを示すPINをクライアント(PC-A131)を介して、認証デバイス-A141に送信する。認証デバイス-A141では、送信されたPINを受け取ると、認証デバイス-A141内部でPINの照合を行い、その照合結果をクライアント(PC-A131)に送信する。PIN照合に成功しないと、認証デバイス-A141内部のデータ及び機能を利用することはできない。 PIN storage table 800 records PIN information indicating that the device is a valid holder of authentication device-A141. When a user accesses an authentication device-A141 and uses data or functions stored in the authentication device-A141, the user enters a PIN indicating that the user is a valid holder of the authentication device-A141. It transmits to the authentication device-A141 via the client (PC-A131). Upon receiving the transmitted PIN, the authentication device-A 141 verifies the PIN within the authentication device-A 141 and transmits the verification result to the client (PC-A 131). If the PIN verification is not successful, the data and functions inside the authentication device-A141 cannot be used.
図8に、PIN格納テーブル800の一例を示す。本図に示すようにPIN格納テーブル800は、PINエリアNoレコード801、PINレコード802、LimitCounterレコード803、TryCounterレコード804が記録される。PIN格納テーブル800のレコードは、これらに限定せず、その他のレコードが記録されていても良い。PINエリアNoレコード801は、PIN情報を格納するエリアの識別番号であり、PIN格納テーブル800の情報を一意に特定する番号である。PINレコード802は、当該認証デバイス-A141の正当な保持者であることを示す情報である。
FIG. 8 shows an example of the PIN storage table 800. As shown in the figure, the PIN storage table 800 records a PIN area No
LimitCounterレコード803は、利用者が認証デバイス-A141に誤ったPINを送信した際に、閉塞するまでの回数を示した情報であるTryCounterレコード804は、誤ったPINを送信した回数を示した情報である。誤ったPINを送信するたびに加算される。TryCounterレコード804の設定値とLimitCounterレコード803の設定値が同値となると当該認証デバイス-A141は閉塞する。また、TryCounterレコード804の設定値は、後述する閉塞解除処理を行った後、クリアされる。
本実施形態ではPIN格納テーブル800は、予めデフォルト値が設定されているものとして説明する。
In the present embodiment, the PIN storage table 800 will be described assuming that default values are set in advance.
次に、図9〜17のフローチャートに基づいて図1及び図2の動作を説明する。
図9は、基幹ネットワーク111内部から認証ゲートウェイ101へのアクセスがあった際に、制御部201で行われるアクセス制御処理を表している。
Next, the operation of FIGS. 1 and 2 will be described based on the flowcharts of FIGS.
FIG. 9 shows an access control process performed by the
まず、認証ゲートウェイ101に認証要求(ステップ901、ステップ902、ステップ903)があると、制御部201は、基幹ネットワーク111の内部と外部のどちらから認証要求があったかを判別するため、認証要求元の通信ポートを確認する(ステップ904)。本実施形態では、通信ポートの確認にMacアドレスによって確認する方法で説明するが、通信ポート-A202及び通信ポート-B203を判別可能であれば、IPアドレス等の他の識別情報であっても良い。認証要求が通信ポート-A202からのものであれば、基幹ネットワーク111内部からの認証要求と判断し、データをPassword認証部204に送信する(ステップ905)。Password認証部204では、制御部201から認証要求を受け取ると、送信元に対して、ID/Password要求を送信する(ステップ906、ステップ907、ステップ908、ステップ909)。利用者からID/Passwordを受け取ると(ステップ910、ステップ911、ステップ912、ステップ913)、利用者情報マスタ700を参照し、送信されたID/Passwordの照合を行う(ステップ914)。照合結果は、制御部201に送信する(ステップ915)。ID/Password認証の結果がTrueであった場合(ステップ916)、制御部201はCA機能部206にCA機能部206が保持するデータを送信するように指示する(ステップ917、ステップ918、ステップ919、ステップ920)し、以後、CA機能部201の機能を利用可能となり、正常終了する(ステップ921)。一方、ID/Password認証の結果がFalseであった場合(ステップ914)、制御部201は”認証が失敗しました”とのメッセージを利用者に送信し(ステップ922、ステップ923)、不正終了とする(ステップ924)。
First, when there is an authentication request (Step 901, Step 902, Step 903) in the
図10は、インターネット121を介して接続するクライアント(PC-D134)から認証ゲートウェイ101への認証要求があった際に、制御部201で行われるアクセス制御処理を表している。
まず、認証ゲートウェイ101に認証要求(ステップ1001、ステップ1002、ステップ1003)があると、制御部201は、基幹ネットワーク111の内部と外部のどちらから認証要求があったかを判別するため、認証要求もとの通信ポートを確認する(ステップ1004)。認証要求が通信ポート-B203からのものであれば、インターネット121を介して接続するクライアント(PC-D134)からのアクセスと判断し、データをPKI認証部205に送信する(ステップ1005)。PKI認証部205では、制御部201から認証要求を受け取ると、送信元に対して、認証データ要求を送信する(ステップ1006、ステップ1007、ステップ1008)。クライアント(PC-A131)では、認証データ要求を受け取ると、認証デバイス-A141から認証データを取得するため、認証デバイス-A141のPIN入力を利用者に要求し(ステップ1009、ステップ1010)、認証デバイス-A141にPIN及び認証データ要求を行う(ステップ1011)。認証デバイス-A141では、認証デバイス-A141が保持するPIN格納テーブル800を参照し、PIN照合を行う(ステップ1012)。PIN照合結果がTrueであれば、認証データをクライアント(PC-A131)を介して、認証ゲートウェイ101に送信する(ステップ1013、ステップ1014、ステップ1015、ステップ1016)。PIN認証結果がFalseであれば、“PINが誤っています”とのエラーメッセージを出力して(ステップ1027)、不正終了します(ステップ1028)。認証ゲートウェイ101のPKI認証部205では、利用者から送信された認証データを受け取ると、PKI認証処理を行う(ステップ1017)。照合結果は、制御部201に送信する(ステップ1018)。PKI認証の結果が、Trueであった場合(ステップ1019)、制御部201は、認証結果をクライアント(PC-A131)に送信し(ステップ1020、ステップ1021)、以後、クライアント(PC-A131)からのデータを通信ポート-A202に転送し(ステップ1022)、正常終了とする(ステップ1023)。PKI認証の結果がFalseであった場合(ステップ1019)、制御部201は”認証が失敗しました”とのメッセージを利用者に送信し(ステップ1024、ステップ1025)、不正終了とする(ステップ1026)。
FIG. 10 shows an access control process performed by the
First, when there is an authentication request (
次に、認証ゲートウェイ101のCA機能部206の処理について説明する。図11、12は、CA機能部206が制御する各機能へのアクセス制御を表している。CA機能部206に認証データ生成要求があった場合(ステップ1101)、アクセス要求送信元のクライアント(PC-A131)に認証デバイス-A141が接続されているか接続確認を行う(ステップ1201)。認証デバイス-A141が未接続の場合(ステップ1202)、“認証デバイス-A141が接続されていません。”とのメッセージを送信する(ステップ1209)。このメッセージは、接続されていないことを示せばよく、表現は問わない。
Next, processing of the
一方、認証デバイス-A141が接続されている場合(ステップ1202)、当該クライアントの利用者が認証デバイス-A141の正当な保持者であることを特定するために認証デバイス-A141のPINを要求する(ステップ1203)。利用者は、PIN要求に対して、PIN情報をクライアント(PC-A131)を介して認証デバイス-A141に送付する。認証デバイス-A141では、PIN照合処理を行い、その照合結果をクライアント(PC-A131)を介して、認証ゲートウェイ101に送付する。認証デバイス101のCA機能部206では、PIN照合結果がTrueであった場合(ステップ1204)、利用者からの要求に応じて、後述する認証データ生成処理を開始する(ステップ1205)。一方、PIN照合結果がFalseであった場合(ステップ1204)、PIN照合結果から、当該認証デバイス-A141の閉塞状態を確認し、閉塞状態の場合(ステップ1206)、“入力されたPINは誤っています。認証デバイス-A141は閉塞しました”とのメッセージを送信する(ステップ1207)。また、閉塞状態にない場合(ステップ1206)、”入力されたPINは誤っています。”とのメッセージを送信する(ステップ1208)。
On the other hand, when the authentication device-A141 is connected (step 1202), a request for the PIN of the authentication device-A141 is made to specify that the user of the client is a valid holder of the authentication device-A141 ( Step 1203). In response to the PIN request, the user sends PIN information to the authentication device-A 141 via the client (PC-A 131). The authentication device-A141 performs a PIN verification process and sends the verification result to the
CA機能部206に、認証データ失効要求があった場合(ステップ1102)、閉塞解除要求があった場合(ステップ1104)、利用者情報送付要求があった場合(ステップ1106)、後述する認証データ失効処理(ステップ1103)、閉塞解除処理(ステップ1105)、利用者情報送付処理を行う(ステップ1107)。 When there is an authentication data revocation request in the CA function unit 206 (step 1102), when there is a request for releasing the block (step 1104), when there is a request for sending user information (step 1106), the authentication data revocation to be described later Processing (step 1103), blockage release processing (step 1105), and user information sending processing are performed (step 1107).
次に認証データ生成処理と、認証デバイスへの当該認証データ搭載処理について説明する。図13、14は、認証データ生成処理と認証デバイス-A141への当該認証データ搭載処理を表している。 Next, the authentication data generation process and the authentication data loading process to the authentication device will be described. 13 and 14 show the authentication data generation process and the authentication data loading process in the authentication device-A 141.
認証データ生成要求を受け取ると、アクセス要求元の認証デバイス-A141が認証ゲートウェイ101に登録されているか確認を行うため、認証ゲートウェイ101が保持する認証デバイス管理テーブル300を参照して、アクセス要求もとの認証デバイス-A141のデバイスシリアル番号とデバイス管理テーブル300のデバイスシリアル番号レコード306を照合する(1301)。照合結果がTrueである場合(ステップ1302)、続いて、当該認証デバイス-A141に対して認証データを生成・搭載済みか確認を行う(ステップ1303)。本実施形態では、認証ゲートウェイ101が保持する認証デバイス管理テーブル300の認証データ引当レコード308を参照する。さらに、当該認証デバイス-A141に対して認証データが生成・搭載済みであった場合(ステップ1304)、当該認証データが失効されているか確認を行う(ステップ1305)。本実施形態では、認証デバイス管理テーブル300の認証データ管理Noレコード307をキーとして、当該認証ゲートウェイ101が保持する認証データテーブル400のステータスレコード403を参照する。さらに、当該認証データが失効されていない場合(ステップ1305)、当該認証データの有効期限が切れているかを確認する(ステップ1306)。本実施形態では、認証データテーブル400のステータスレコード403を参照し、有効期限切れを確認する。当該認証データの有効期限が切れていない場合(ステップ1307)、“有効な認証データが既に搭載済みです”とのメッセージをクライアント(PC-A131)に送信し、後述するネットワーク接続情報搭載処理を行う。
When the authentication data generation request is received, the access request source authentication device-A 141 is checked with reference to the authentication device management table 300 held by the
認証デバイスのシリアル番号が未登録の場合(ステップ1302)、又は、当該認証データが失効されている場合(ステップ1305)、有効期限が切れている場合(ステップ1306)で且つ、利用者より認証データを発行(再発行)要求があった場合(ステップ1401)、認証データを生成し(ステップ1402)、当該認証デバイス-A141のIC部に当該認証データ搭載を行う(ステップ1403)。利用者より認証データを発行(再発行)要求がなかった場合(ステップ1401)、CA機能利用メニューを送信する(ステップ1409)。 When the serial number of the authentication device has not been registered (step 1302), the authentication data has been revoked (step 1305), the expiration date has expired (step 1306), and the authentication data from the user Is issued (reissue) request (step 1401), authentication data is generated (step 1402), and the authentication data is loaded on the IC part of the authentication device-A141 (step 1403). When there is no request for issuing (reissuing) authentication data from the user (step 1401), a CA function use menu is transmitted (step 1409).
認証データ搭載後、認証デバイス管理テーブル300及び認証データ管理テーブル400の各レコードを更新する(ステップ1404)。 After loading the authentication data, each record in the authentication device management table 300 and the authentication data management table 400 is updated (step 1404).
次に、ネットワーク接続情報搭載処理について説明する。認証データの生成・搭載処理の後、“ネットワーク接続情報の設定を行いますか?”とのメッセージを送信し(ステップ1405)、利用者から、ネットワーク接続情報の設定要求を受け取った場合(ステップ1406)、ネットワーク接続情報マスタ600からネットワーク接続情報をクライアント(PC-A131)を介して、認証デバイス-A141のフラッシュメモリ部に送信し(ステップ1407)、その後、CA機能利用メニューを送信する(ステップ1408)。利用者がネットワーク接続情報の設定を行わない場合(ステップ1406)、CA機能利用メニューを送信する。(ステップ1408)。
Next, network connection information loading processing will be described. After generating and loading authentication data, a message “Do you want to set network connection information?” Is sent (step 1405), and a request for setting network connection information is received from the user (step 1406) ), The network connection information is transmitted from the network
次に、認証データを失効する認証データ失効処理について説明する。認証データが有効期限内であるにも関わらず、認証データの資格が失われた場合は、その認証データを利用できないようにする必要がある。認証データの資格が失われた場合とは、例えば、認証データが格納された認証デバイスを紛失した場合など秘密鍵を紛失し第三者に悪用されることが予測される場合や認証データに記載した事項の変化などの場合であるが、これらに限定しない。図15は、認証ゲートウェイ101が利用者によって認証データ失効要求を受けた際の認証データ失効処理を表している。
Next, authentication data revocation processing for revoking authentication data will be described. If the qualification of the authentication data is lost even though the authentication data is within the validity period, it is necessary to make the authentication data unavailable. When the qualification of the authentication data is lost, for example, when the authentication device that stores the authentication data is lost or when the private key is expected to be misused by a third party or described in the authentication data However, the present invention is not limited to these cases. FIG. 15 shows an authentication data revocation process when the
認証ゲートウェイ101は、認証データ失効要求を受け取ると、認証データ管理テーブル400を参照し、アクセス要求元の利用者の利用者IDから当該利用者IDに割当てられている認証データを特定し(ステップ1501)、当該認証データの失効処理を行う(ステップ1502)。失効処理後、認証データ管理テーブル400を更新し(ステップ1503)、CA機能利用メニューを送信する(ステップ1504)。本実施形態では、認証データ失効要求を送信した利用者の認証データのみ失効できる例で説明しているが、利用者情報マスタ700に当該利用者が失効可能な当該利用者以外の利用者に対する認証データ失効権限を保持させ、例えば、管理者権限を設置して、当該利用者以外の利用者に対する認証データを管理者が一括して失効できる機能を持たせても良い。
Upon receiving the authentication data revocation request, the
次に、認証デバイス-A141の閉塞解除処理について説明する。図16は、認証デバイス-A141が閉塞した際の閉塞解除処理について表している。 Next, the block release process of the authentication device-A 141 will be described. FIG. 16 illustrates the block release processing when the authentication device-A 141 is blocked.
CA機能部206は、閉塞解除処理要求を受け取ると、アクセス要求送信元のクライアント(PC-A131)に認証デバイス-A141が接続されているか接続確認を行う(ステップ1601)。認証デバイス-A141が未接続の場合(ステップ1602)、“認証デバイス-A141が接続されていません。”とのメッセージを送信する(ステップ1607)。一方、認証デバイス-A141が接続されている場合(ステップ1602)、クライアント(PC-A131)を介して、認証デバイス-A141に閉塞解除要求を送信する(ステップ1603)。認証デバイス-A141は、認証ゲートウェイ101から、閉塞解除要求を受け取ると、閉塞解除処理を行い、処理結果をクライアント(PC-A131)を介して、認証ゲートウェイ101に送信する。認証ゲートウェイ101のCA機能部206は、認証デバイス-A141からの閉塞解除処理結果を受け取り、閉塞解除の成否を確認する。認証デバイス-A141からの閉塞解除処理結果がTrueであった場合(ステップ1604)、閉塞解除が正常に実行されたと判断し、処理を正常終了する(ステップ1605)。また、閉塞解除結果がFalseであった場合、“閉塞解除処理に失敗しました。管理者にお問合せください”とのメッセージを送信する(ステップ1606)。
Upon receiving the block release processing request, the
次に、利用者が保持している認証デバイス及び認証データの情報を認証ゲートウェイ101から利用者に送信する利用者情報送信処理について説明する。図17は、認証ゲートウェイ101のCA機能部206が利用者によって利用者情報送信要求を受けた際の処理について表している。
Next, a user information transmission process for transmitting the authentication device and authentication data information held by the user from the
CA機能部206は、利用者情報送信要求を受け取ると、認証デバイス管理テーブル300及び認証データ管理テーブル400を参照・抽出し(ステップ1701)、利用者情報をクライアント(PC-A131)に送信する(ステップ1702)。
Upon receiving the user information transmission request, the
本実施形態では、認証にPKI認証、認証デバイスにIC機能搭フラッシュメモリを例に説明したが、OTP(One Time Password)認証や生態認証(指静脈認証、指紋認証、手形認証、網膜認証、虹彩認証、顔認証、血管認証、署名認証、タイピング習慣認証、音声・声紋認証)を利用した認証方法でも適用可能あり、また、認証デバイスとして、ICカードやUSBトークンといった認証デバイスもあっても良く、さらにこれらに限定しない。 In this embodiment, PKI authentication is used for authentication, and an IC function built-in flash memory is used as an authentication device. However, OTP (One Time Password) authentication and biometric authentication (finger vein authentication, fingerprint authentication, bill authentication, retina authentication, iris, etc.) Authentication, face authentication, blood vessel authentication, signature authentication, typing habit authentication, voice / voice print authentication) can also be applied, and authentication devices such as IC cards and USB tokens may be used as authentication devices. Furthermore, it is not limited to these.
101:認証ゲートウェイ装置
111:基幹ネットワーク
112:インターネット
131:PC
132:PC
133:PC
134:PC
135:PC
136:PC
141:認証デバイス
142:認証デバイス
143:認証デバイス
144:認証デバイス
145:認証デバイス
146:認証デバイス
201:制御部
202:通信ポート
203:通信ポート
204:Password認証部
205:PKI認証部
206:CA機能部
101: Authentication gateway device
111: Core network
112: Internet
131: PC
132: PC
133: PC
134: PC
135: PC
136: PC
141: Authentication device
142: Authentication device
143: Authentication device
144: Authentication device
145: Authentication device
146: Authentication device
201: Control unit
202: Communication port
203: Communication port
204: Password authentication section
205: PKI Authentication Department
206: CA function
Claims (8)
前記基幹ネットワーク外部のクライアントが当該ゲートウェイを通過する際のアクセス制御に利用する認証データの認証データ生成手段と、
前記クライアントが当該ゲートウェイ装置にアクセスする際に、前記認証データを用いた認証によるアクセス制御を行う認証手段と、
前記認証データ生成手段によって生成された認証データの情報である認証データ情報を管理する認証データ保持手段と当該認証データ情報を制御する認証データ管理手段と、
前記クライアントに接続された専用ハードウェアである認証デバイスに前記認証データを搭載する認証データ搭載手段と、
前記認証デバイスのデバイス情報を管理するデバイス情報保持手段と当該デバイス情報を制御するデバイス管理手段と、
当該ゲートウェイは基幹ネットワーク外部のクライアントのアクセス要求に対し、前記認証データ生成手段、前記認証データ搭載手段の実行を制限する制限手段とを備えたことを特徴とするゲートウェイ装置。 A user authentication gateway device installed between a backbone network and a public segment,
Authentication data generation means for authentication data used for access control when a client outside the backbone network passes through the gateway;
An authentication means for performing access control by authentication using the authentication data when the client accesses the gateway device;
Authentication data holding means for managing authentication data information that is authentication data information generated by the authentication data generating means; authentication data management means for controlling the authentication data information;
Authentication data loading means for loading the authentication data in an authentication device that is dedicated hardware connected to the client;
Device information holding means for managing device information of the authentication device; device management means for controlling the device information;
The gateway device comprising a gateway for restricting execution of the authentication data generation means and the authentication data loading means in response to an access request from a client outside the backbone network.
前記基幹ネットワーク内部のクライアントから認証データ生成要求を受信する手段をさらに有し、
前記認証データ生成手段は、前記クライアントが認証データ生成権限を有する場合、当該クライアントに対して、認証データを生成することを特徴とするゲートウェイ装置。 The gateway device according to claim 1, wherein
Means for receiving an authentication data generation request from a client inside the backbone network;
The gateway device according to claim 1, wherein the authentication data generation means generates authentication data for the client when the client has an authority to generate authentication data.
前記認証手段は、
前記公開セグメントのクライアントから送信された認証要求を当該ゲートウェイ装置が受信した場合、前記公開セグメントのクライアントに対し、認証データの送信を指示し、その指示に従って送信された認証データの有効性を検証し、
前記認証要求元の公開セグメントのクライアントが保持する認証データが有効性を保持すると検証した場合、公開セグメントのクライアントが基幹ネットワークへアクセスすることを許可することを特徴とするゲートウェイ装置。 The gateway device according to claim 1, wherein
The authentication means includes
When the gateway apparatus receives the authentication request transmitted from the public segment client, the public segment client is instructed to transmit the authentication data, and the validity of the authentication data transmitted in accordance with the instruction is verified. ,
The gateway device, wherein when it is verified that the authentication data held by the client of the public segment of the authentication request source holds validity, the client of the public segment is permitted to access the backbone network.
前記認証データ管理手段は、
前記認証データ生成手段によって認証データが生成された際に、生成された認証データを特定する認証データ情報を前記認証データ保持手段に登録し、
前記認証データ情報に変更が生じる度に前記認証データ保持手段に登録された当該認証データ情報を更新することを特徴とするゲートウェイ装置。 The gateway device according to claim 1, wherein
The authentication data management means includes:
When the authentication data is generated by the authentication data generating means, the authentication data information for specifying the generated authentication data is registered in the authentication data holding means,
A gateway device, wherein the authentication data information registered in the authentication data holding means is updated every time the authentication data information is changed.
認証データ搭載手段は、
前記基幹ネットワーク内部のクライアントから送信される認証データ搭載要求を受信した場合、前記認証データ搭載要求の送信元である基幹ネットワーク内部のクライアントの利用者及び基幹ネットワーク内部のクライアントに接続されている専用ハードウェアである認証デバイスが認証データ搭載権限を有する場合、当該認証デバイスに対して、認証データを搭載するよう制御することを特徴とするゲートウェイ装置。 The gateway device according to claim 1, wherein
Authentication data loading means
When the authentication data loading request transmitted from the client inside the backbone network is received, the dedicated hardware connected to the client user inside the backbone network and the client inside the backbone network that is the transmission source of the authentication data loading request When the authentication device which is the hardware has the authorization to mount the authentication data, the gateway device controls the authentication device to mount the authentication data.
前記認証デバイス管理手段は、
前記認証デバイスが接続された基幹ネットワーク内部のクライアントが当該ゲートウェイ装置にアクセスした際に、当該認証デバイスを特定する情報であるデバイス情報を前記デバイス情報保持手段に登録し、前記デバイス情報に変更が生じる度に前記デバイス情報保持手段に登録された当該デバイス情報を更新し、
前記デバイス情報保持手段は、前記認証データ搭載手段から前記認証デバイスに搭載する認証データ情報をさらに保持し、
前記認証デバイス管理手段は、前記認証データ搭載手段から認証データ搭載通知を受け取ると、前記デバイス情報保持手段を更新することを特徴とするゲートウェイ装置。 The gateway device according to claim 5, wherein
The authentication device management means includes:
When a client in the backbone network to which the authentication device is connected accesses the gateway device, device information that is information for specifying the authentication device is registered in the device information holding unit, and the device information is changed. Update the device information registered in the device information holding means each time,
The device information holding means further holds authentication data information mounted on the authentication device from the authentication data mounting means,
The gateway device according to claim 1, wherein the authentication device management unit updates the device information holding unit when receiving the authentication data mounting notification from the authentication data mounting unit.
前記認証データ管理手段は、
前記基幹ネットワーク内部のクライアントから送信される認証データ失効要求を受信した場合、前記ゲートウェイが前記要求を受け付けると、前記認証データ保持手段の当該クライアントに対応する認証データ情報を失効状態に更新することを特徴としたゲートウェイ装置。 In the gateway device according to claim 1,
The authentication data management means includes:
When an authentication data revocation request transmitted from a client inside the backbone network is received, when the gateway accepts the request, the authentication data information corresponding to the client of the authentication data holding means is updated to a revocation state. A featured gateway device.
前記公開セグメントのクライアントが、当該ゲートウェイ装置にアクセスする際に利用するネットワーク上で当該ゲートウェイ装置の位置を特定するアドレス情報および当該ゲートウェイの自己署名がされた認証データ情報を保持するするネットワーク接続情報保持手段、
前記基幹ネットワーク内部のクライアントから送信されるネットワーク接続情報取得要求を受信した場合、当該ネットワーク接続情報を当該クライアントに送信する手段をさらに有することを特徴とするゲートウェイ装置。 The gateway device according to claim 1, wherein
Network connection information holding for holding address information for specifying the location of the gateway device on the network used when the client of the public segment accesses the gateway device and self-signed authentication data information for the gateway device means,
The gateway device further comprising means for transmitting the network connection information to the client when a network connection information acquisition request transmitted from the client in the backbone network is received.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006332764A JP2008146351A (en) | 2006-12-11 | 2006-12-11 | Gateway system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006332764A JP2008146351A (en) | 2006-12-11 | 2006-12-11 | Gateway system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008146351A true JP2008146351A (en) | 2008-06-26 |
Family
ID=39606466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006332764A Pending JP2008146351A (en) | 2006-12-11 | 2006-12-11 | Gateway system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008146351A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015226292A (en) * | 2014-05-29 | 2015-12-14 | ブラザー工業株式会社 | Relay device, service execution system and program |
| JP2019176369A (en) * | 2018-03-29 | 2019-10-10 | 西日本電信電話株式会社 | Communication system, communication device, communication method and communication program |
-
2006
- 2006-12-11 JP JP2006332764A patent/JP2008146351A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015226292A (en) * | 2014-05-29 | 2015-12-14 | ブラザー工業株式会社 | Relay device, service execution system and program |
| JP2019176369A (en) * | 2018-03-29 | 2019-10-10 | 西日本電信電話株式会社 | Communication system, communication device, communication method and communication program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6643373B2 (en) | Information processing system, control method and program therefor | |
| CN109428947B (en) | Authority transfer system, control method thereof and storage medium | |
| RU2297037C2 (en) | Method for controlling protected communication line in dynamic networks | |
| US8683562B2 (en) | Secure authentication using one-time passwords | |
| CN101605137B (en) | Safe distribution file system | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| JP6609788B1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
| CN109428725B (en) | Information processing apparatus, control method, and storage medium | |
| US7975293B2 (en) | Authentication system, authentication method and terminal device | |
| JP2010531516A (en) | Device provisioning and domain join emulation over insecure networks | |
| KR20150029679A (en) | Method and device for control of a lock mechanism using a mobile terminal | |
| JP2005050308A (en) | Personal authentication device and system and method thereof | |
| EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| JP2007110377A (en) | Network system | |
| JP2017152880A (en) | Authentication system, key processing linkage method, and key processing linkage program | |
| JP2018037987A (en) | Secret key management system and secret key management method | |
| WO2011037226A1 (en) | Access control system, authentication server system, and access control program | |
| JP2009277024A (en) | Connection control method, communication system and terminal | |
| KR101996317B1 (en) | Block chain based user authentication system using authentication variable and method thereof | |
| JP4833745B2 (en) | Data protection method for sensor node, computer system for distributing sensor node, and sensor node | |
| JP4018450B2 (en) | Document management system, document management apparatus, authentication method, computer readable program, and storage medium | |
| KR102288445B1 (en) | On-boarding method, apparatus and program of authentication module for organization | |
| JP4018584B2 (en) | Wireless connection device authentication method and wireless connection device | |
| KR20080052088A (en) | Wireless RF medical device access control method that extends wireless LAN security standard technology | |
| JP2008146351A (en) | Gateway system |