JP2010086175A - Remote access management system and method - Google Patents
Remote access management system and method Download PDFInfo
- Publication number
- JP2010086175A JP2010086175A JP2008252809A JP2008252809A JP2010086175A JP 2010086175 A JP2010086175 A JP 2010086175A JP 2008252809 A JP2008252809 A JP 2008252809A JP 2008252809 A JP2008252809 A JP 2008252809A JP 2010086175 A JP2010086175 A JP 2010086175A
- Authority
- JP
- Japan
- Prior art keywords
- remote computer
- encryption key
- user
- data
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】認証局が発行する証明書を用いることなく、ユーザ認証に利用する暗号鍵の正当性を保証することのできるリモートアクセス管理システムを提供する。
【解決手段】ユーザは被リモートコンピュータ2にパスワードとユーザデータを入力すると(図1のア)、ユーザ認証に利用する暗号鍵とUSBメモリ5のID番号が被リモートコンピュータ2によって生成され、暗号鍵とID番号はUSBメモリ5に記憶されると共に(図1のイ)、パスワードとユーザデータを認証サーバ3に送信する(図1のウ)。リモートコンピュータ4がLAN6へアクセスするとき、暗号鍵を用いた認証コードがUSBメモリ5内で生成され(図1のエ)、認証サーバ3は、USBメモリ5で生成された認証コードを検証することでユーザ認証を行い、被リモートコンピュータ2へのリモートアクセスを管理する(図1のオ)。
【選択図】図1A remote access management system that can guarantee the validity of an encryption key used for user authentication without using a certificate issued by a certificate authority.
When a user inputs a password and user data to a remote computer 2 (a in FIG. 1), an encryption key used for user authentication and an ID number of a USB memory 5 are generated by the remote computer 2, and the encryption key And the ID number are stored in the USB memory 5 (a in FIG. 1), and the password and user data are transmitted to the authentication server 3 (c in FIG. 1). When the remote computer 4 accesses the LAN 6, an authentication code using an encryption key is generated in the USB memory 5 (FIG. 1D), and the authentication server 3 verifies the authentication code generated in the USB memory 5. User authentication is performed to manage remote access to the remote computer 2 (e in FIG. 1).
[Selection] Figure 1
Description
本発明は、セキュリティ管理されたネットワークへの外部コンピュータのリモートアクセスを管理するための技術に関する。 The present invention relates to a technique for managing remote access of an external computer to a security-managed network.
ネットワーク技術の発展に伴い、企業などにおいては、企業情報の流出や盗難などを防ぐために、クライアントに最小限の機能を持たせ、セキュリティ管理されたネットワークに設置されたサーバ側に、情報資源(アプリケーションやデータファイル)を集中させるシンクライアント(Thin Client)システムが普及しつつある。 Along with the development of network technology, in order to prevent the leakage and theft of corporate information, enterprises, etc. have information resources (applications) on the server side installed in the security-managed network by providing clients with the minimum functions. Thin client systems that concentrate data and data files) are becoming popular.
シンクライアントが企業内のLAN(LAN: Local Area Network)内に設置されたサーバやコンピュータにアクセスするとき、Radiusプロトコル(Radius: Remote Access Dial In User authentication Service)に対応した認証サーバによって、シンクライアントを操作するユーザをユーザ認証することが一般的である。 When a thin client accesses a server or computer installed in a LAN (LAN: Local Area Network) in the company, the thin client is connected by an authentication server that supports the Radius protocol (Radius: Remote Access Dial In User Authentication Service). It is common to authenticate the user who operates.
一般的なクライアント−サーバシステムと同様に、シンクライアントシステムにおいても、特許文献1の「従来技術」に記載されているように、ユーザ認証には公開鍵暗号方式が利用されることが多く、ユーザの公開鍵の正当性を証明するために、認証局から発行されたユーザ公開鍵の証明書が利用される。
Similar to a general client-server system, in a thin client system, as described in “Prior Art” of
しかしながら、特許文献1の「発明が解決しようとする課題」に記載されているように、認証局から発行される証明書には有効期限が設けられているため、証明書の発行・更新などの業務などがシステム管理者には負担となり、証明書の発行・更新などの業務負荷を低減するためには特許文献1の発明などを実施する必要があった。
However, since the certificate issued from the certificate authority has an expiration date as described in “Problems to be Solved by the Invention” in
そこで、本発明は、シンクライアントシステムのように、セキュリティ管理されたネットワーク外から、該ネットワークに設置されたサーバやコンピュータにリモートアクセスするときに、認証局が発行する証明書を用いることなく、ユーザ認証に利用する暗号鍵の正当性を保証することのできるリモートアクセス管理システム及び方法を提供することを目的とする。 Therefore, the present invention provides a user without using a certificate issued by a certificate authority when remotely accessing a server or computer installed in the network from outside the security-managed network, as in a thin client system. It is an object of the present invention to provide a remote access management system and method capable of guaranteeing the validity of an encryption key used for authentication.
上述した課題を解決する第1の発明は、セキュリティ管理されたネットワークへのアクセスを管理するリモートアクセス管理システムであって、前記ネットワーク内に設置された被リモートコンピュータは、前記被リモートコンピュータの利用権限を有するユーザが入力された第1のデータからユーザ認証に利用する暗号鍵を生成し、前記暗号鍵を前記ユーザが所持する前記トークンに記憶する共に、前記第1のデータと前記トークンのID番号を前記ネットワーク内に設置された認証サーバに送信するユーザ登録手段を備え、前記トークンは、前記被リモートコンピュータから送信された前記暗号鍵をメモリに記憶するデータ記憶手段と、前記メモリに記憶された前記暗号鍵を利用して認証コードを生成する認証コード生成手段を備え、前記ネットワーク内に設置される前記認証サーバは、前記被リモートコンピュータから前記第1のデータと前記ID番号を受信すると、前記第1のデータから前記暗号鍵を生成し、受信した前記ID番号に紐付けして前記暗号鍵と前記被リモートコンピュータの固有情報をデータ記憶装置に記憶するユーザ情報記憶手段と、前記トークンが生成した前記認証コードと前記ID番号を前記ネットワーク外に設置されたリモートコンピュータから受信したとき、前記ID番号に紐付けられた前記暗号鍵を利用して前記認証コードを検証し、前記認証コードの検証に成功すると、前記固有情報で特定される前記被リモートコンピュータへのアクセスを許可する情報を出力するアクセス管理手段を備えていることを特徴とするリモートアクセス管理システムである。 A first invention for solving the above-mentioned problem is a remote access management system for managing access to a security-managed network, wherein a remote computer installed in the network has an authority to use the remote computer. An encryption key used for user authentication is generated from the first data input by the user having the password, and the encryption key is stored in the token possessed by the user, and the ID number of the first data and the token is stored. A user registration means for sending the token to the authentication server installed in the network, and the token is stored in the memory, a data storage means for storing the encryption key transmitted from the remote computer in a memory Provided with an authentication code generating means for generating an authentication code using the encryption key; When the authentication server installed in the network receives the first data and the ID number from the remote computer, the authentication server generates the encryption key from the first data and associates it with the received ID number. The user information storage means for storing the encryption key and the unique information of the remote computer in a data storage device, and the authentication code and the ID number generated by the token are received from the remote computer installed outside the network When the authentication code is verified using the encryption key associated with the ID number and the authentication code is successfully verified, access to the remote computer specified by the specific information is permitted. Remote access management system, characterized by comprising access management means for outputting information to be transmitted It is a non.
上述した第1の発明のリモートアクセス管理システムによれば、ユーザ認証に利用される前記暗号鍵は、前記ネットワーク内に設置された前記被リモートコンピュータの利用権限を有するユーザ(例えば、企業の従業員)が前記被リモートコンピュータに入力した前記第1のデータから生成されるため、前記暗号鍵の証明書を用いなくとも、前記認証サーバは、前記被リモートコンピュータへのリモートアクセス時に実行するユーザ認証に利用する前記暗号鍵の正当性を保証できるようになる。 According to the remote access management system of the first invention described above, the encryption key used for user authentication is a user having authority to use the remote computer installed in the network (for example, an employee of a company). ) Is generated from the first data input to the remote computer, so that the authentication server can perform user authentication during remote access to the remote computer without using the certificate of the encryption key. The validity of the encryption key to be used can be guaranteed.
なお、ここで、前記トークンとは、USBメモリやICカードなど、演算機能とメモリを備え、携帯可能な媒体を意味する。 Here, the token means a portable medium having a calculation function and a memory such as a USB memory or an IC card.
更に、第2の発明は、第1の発明に記載のリモートアクセス管理システムであって、前記被リモートコンピュータに備えられた前記ユーザ登録手段は、前記暗号鍵に加え、前記ユーザが前記被リモートコンピュータに入力し、前記ユーザ毎に一意である第2のデータからトークンのID番号を生成し、前記暗号鍵及び前記ID番号を前記ユーザが所持する前記トークンに記憶させる共に、前記ID番号の代わりに前記第2のデータを認証サーバに送信する手段で、前記トークンに備えられた前記データ記憶手段は、前記被リモートコンピュータから送信された前記暗号鍵及び前記ID番号をメモリに記憶する手段で、前記認証サーバの前記ユーザ情報記憶手段は、前記被リモートコンピュータから前記第1のデータ及び前記第2のデータを受信すると、前記第1のデータ及び前記第2のデータから前記暗号鍵及び前記ID番号をそれぞれ生成する手段であることを特徴とするリモートアクセス管理システムである。 Further, the second invention is the remote access management system according to the first invention, wherein the user registration means provided in the remote computer is configured so that the user can add the encryption key to the remote computer. The token ID number is generated from the second data unique to each user, and the encryption key and the ID number are stored in the token possessed by the user, and instead of the ID number Means for transmitting the second data to an authentication server, wherein the data storage means provided in the token is means for storing the encryption key and the ID number transmitted from the remote computer in a memory; The user information storage means of the authentication server receives the first data and the second data from the remote computer. Then, a remote access management system, characterized in that from said first data and said second data is a means for generating each said cryptographic key and the ID number.
上述した第2の発明によれば、前記暗号鍵を記憶する前記トークンを識別するための前記ID番号も前記被リモートコンピュータで生成されるため、工場や管理者側でトークンを発行する必要はなくなる。 According to the second invention described above, since the ID number for identifying the token storing the encryption key is also generated by the remote computer, there is no need to issue a token at the factory or the administrator side. .
更に、第3の発明は、第1の発明又は第2の発明に記載のリモートアクセス管理システムであって、前記認証サーバの前記ユーザ情報記憶手段は、前記暗号鍵を少なくとも送信する前記被リモートコンピュータを検証し、検証に成功したときのみ前記暗号鍵を少なくとも演算することを特徴とするリモートアクセス管理システムである。 Further, a third invention is the remote access management system according to the first invention or the second invention, wherein the user information storage means of the authentication server transmits at least the encryption key. The remote access management system is characterized in that at least the encryption key is calculated only when the verification is successful.
上述した第3の発明によれば、前記暗号鍵を少なくとも送信する前記被リモートコンピュータのIPアドレスを確認するなどして検証する手段を前記認証サーバが備えることで、ユーザ登録が確実に前記ネットワークに設置された前記被リモートコンピュータで実施されていることを確認できる。 According to the third invention described above, the authentication server includes means for verifying, for example, by confirming an IP address of the remote computer that transmits at least the encryption key, so that user registration is surely performed in the network. It can be confirmed that the remote computer is installed.
更に、第4の発明は、第1の発明から第3の発明のいずれか一つに記載のリモートアクセス管理システムであって、前記トークンは乱数を利用して前記認証コードを生成し、前記認証サーバは、前記トークンが前記認証コードの生成に利用した乱数を用いて、前記認証コードを検証することを特徴とするリモートアクセス管理システムである。 Further, a fourth invention is the remote access management system according to any one of the first invention to the third invention, wherein the token generates the authentication code using a random number, and the authentication The server is a remote access management system that verifies the authentication code using a random number used by the token for generating the authentication code.
上述した第4の発明によれば、乱数を利用して前記認証コードを生成することで、前記認証コードは毎回異なることになり、前記認証コードの再利用等を防止できる。 According to the fourth aspect described above, by generating the authentication code using a random number, the authentication code becomes different every time, and reuse of the authentication code can be prevented.
上述した課題を解決する第5の発明は、セキュリティ管理されたネットワークへのアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク内に設置された被リモートコンピュータが、前記被リモートコンピュータの利用権限を有するユーザから入力された第1のデータからユーザ認証に利用する暗号鍵を生成するステップa1と、前記被リモートコンピュータが、前記被リモートコンピュータに接続された前記トークンに前記暗号鍵を記憶する共に、前記第1のデータ及び前記トークンのID番号を、前記ネットワークに設置された認証サーバに送信するステップa2、前記認証サーバが、前記第1のデータから前記暗号鍵を生成し、前記ID番号に紐付けして前記暗号鍵及び前記被リモートコンピュータの固有情報を記憶するステップa3が実行されるユーザ登録工程と、前記ネットワーク外に設置されたリモートコンピュータが前記被リモートコンピュータにアクセスするときに、前記リモートコンピュータが、前記リモートコンピュータに接続された前記トークンに前記暗号鍵を利用して認証コードを生成する指示を出し、前記トークンが生成した前記認証コードと前記トークンに記憶された前記ID番号を認証サーバに送信するステップb1と、前記認証サーバが、前記リモートコンピュータから受信した前記ID番号に紐付けられた前記暗号鍵を利用して前記認証コードを検証し、前記認証コードの検証に成功すると、前記ID番号に紐付けられた前記固有情報で特定される前記被リモートコンピュータへのアクセスを許可する情報を出力するステップb2が実行されるリモートアクセス管理工程を含むことを特徴とするリモートアクセス管理方法である。 A fifth invention for solving the above-mentioned problem is a remote access management method for managing access to a security-managed network, in which a remote computer installed in the network is authorized to use the remote computer. A step of generating an encryption key to be used for user authentication from first data input from a user having the following: and the remote computer stores the encryption key in the token connected to the remote computer A step of transmitting the first data and the ID number of the token to an authentication server installed in the network, the authentication server generating the encryption key from the first data, and Link and record the encryption key and the unique information of the remote computer. A user registration step in which step a3 is executed, and when a remote computer installed outside the network accesses the remote computer, the remote computer connects the encryption key to the token connected to the remote computer. A step b1 of sending an authentication code generated using the token and transmitting the authentication code generated by the token and the ID number stored in the token to an authentication server; and The authentication code is verified using the encryption key associated with the received ID number, and when the authentication code is successfully verified, the authentication target specified by the unique information associated with the ID number is obtained. Step that outputs information that permits access to the remote computer b2 is a remote access management method characterized in that it comprises a remote access management process is executed.
上述した課題を解決する第6の発明は、第5の発明に記載のリモートアクセス管理方法であって、前記ユーザ登録工程の前記ステップa1において、前記被リモートコンピュータは、前記暗号鍵に加え、前記ユーザが前記被リモートコンピュータに入力し、前記ユーザ毎に一意である第2のデータからトークンの前記ID番号を生成し、前記ステップa2において、前記被リモートコンピュータは、前記トークンに前記暗号鍵に加え前記ID番号を記憶させる共に、前記ID番号の代わりに前記第2のデータを認証サーバに送信し、前記ステップa3において、前記認証サーバは、前記第1のデータ及び前記第2のデータから前記暗号鍵と前記ID番号を生成することを特徴とするリモートアクセス管理方法である。 A sixth invention for solving the above-described problem is the remote access management method according to the fifth invention, wherein, in the step a1 of the user registration step, the remote computer adds the encryption key, and A user inputs to the remote computer and generates the token ID number from second data that is unique for each user. In step a2, the remote computer adds the encryption key to the token. The ID number is stored, and the second data is transmitted to the authentication server instead of the ID number. In the step a3, the authentication server uses the first data and the second data to perform the encryption. A remote access management method characterized by generating a key and the ID number.
第5の発明及び第6の発明によれば、第1の発明及び第2の発明と同様の効果を得ることができる。 According to the fifth and sixth inventions, the same effects as those of the first and second inventions can be obtained.
このように、本発明におれば、シンクライアントシステムのように、セキュリティ管理されたネットワーク外から、該ネットワークに設置されたサーバやコンピュータにリモートアクセスするときに、認証局が発行する証明書を用いることなく、ユーザ認証に利用する暗号鍵の正当性を保証することのできるリモートアクセス管理システム及び方法を提供できる。 As described above, according to the present invention, a certificate issued by a certificate authority is used when remotely accessing a server or a computer installed in the network from outside the security-managed network as in a thin client system. Therefore, it is possible to provide a remote access management system and method that can guarantee the validity of an encryption key used for user authentication.
ここから、本発明の好適な実施形態について図を参照しながら詳細に説明する。図1は、本実施形態におけるリモートアクセス管理システム1の構成を説明する図である。
Now, preferred embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram illustrating a configuration of a remote
図1で図示したリモートアクセス管理システム1は、シンクライアント用のオペレーティングシステム(OS: Operating System)が記憶され、本発明に係わるトークンとして機能するUSBメモリ5(USB Memory)と、DMZ7(DMZ: DeMilitarized Zone)とLAN6(LAN: Local Area Network)を形成するためのファイヤウォール機器70及びVPN機器71(VPN: Virtual Private Network)と、LAN6内に設置されるルータ60と、ルータ60に接続された被リモートコンピュータ2と、LAN60へアクセスするリモートコンピュータ4を操作するユーザを認証する認証サーバ3とから少なくとも構成されている。
The remote
図1で図示したリモートアクセス管理システム1では、ユーザは被リモートコンピュータ2を操作してユーザ登録を行う。ユーザ登録を行う際に、ユーザが被リモートコンピュータ2に、本発明に係わる第1のデータであるパスワードと本発明に係わる第2のデータであるユーザデータを入力すると(図1のア)、ユーザ認証に利用される情報として、ユーザ認証に利用する暗号鍵と、ユーザ登録したUSBメモリ5を識別するためのID番号が被リモートコンピュータ2によって生成され、被リモートコンピュータ2は、暗号鍵とID番号をUSBメモリ5に記憶すると共に(図1のイ)、パスワードとユーザデータを認証サーバ3に送信する(図1のウ)。
In the remote
ユーザがリモートコンピュータ4からLAN6へアクセスするとき、ユーザ登録を実施したときに生成された暗号鍵を用いた認証コードがUSBメモリ5内で生成され、リモートコンピュータ4から認証サーバ3へ認証コードが送信される(図1のエ)。
When the user accesses the
認証サーバ3は、USBメモリ5で生成された認証コードを検証することでユーザ認証を行い、認証サーバ3はユーザ認証に成功すると、ユーザ登録が実行されたコンピュータ(ここでは、LAN6内の被リモートコンピュータ2)のみに対するアクセスをリモートコンピュータ4に許可する(図1のオ)。
The
このように、本実施形態におけるリモートアクセス管理システム1において、ユーザ認証に利用される暗号鍵は、LAN6内に設置された被リモートコンピュータ2の利用権限を有するユーザ(例えば、企業の従業員)が被リモートコンピュータ2に入力したパスワードから生成されるため、暗号鍵の証明書を用いなくとも、認証サーバ3は、被リモートコンピュータ2へのリモートアクセス時に実行するユーザ認証に利用する暗号鍵の正当性を保証できるようになる。
As described above, in the remote
また、ユーザ登録したUSBメモリ5を識別するためのID番号も、LAN6内に設置された被リモートコンピュータ2で生成されるため、工場や管理者側でUSBメモリ5などのトークンを発行する必要はなくなる。
In addition, since the ID number for identifying the USB memory 5 registered by the user is also generated by the
ここから、図1で図示したリモートアクセス管理システム1で実行される工程について説明する。図2は、ユーザ登録するときに実行されるユーザ登録工程の手順を示したフロー図で、図3は、LAN6外からLAN6内にアクセスするときに実行さえるリモートアクセス管理工程の手順を示したフロー図である。
From here, the process performed by the remote
まず、図2を参照しながらユーザ登録工程について説明する。ユーザ登録するときに実行されるユーザ登録工程において、ユーザが、リモートアクセスする被リモートコンピュータ2(例えば、ユーザの自席のコンピュータ)にインストールされ、ユーザ登録を実行するためのコンピュータプログラムを起動させることで、ユーザ登録が開始される(図2のS1)。 First, the user registration process will be described with reference to FIG. In a user registration process executed when registering a user, the user is installed on a remotely accessed computer 2 (for example, a user's own computer) and starts a computer program for executing user registration. User registration is started (S1 in FIG. 2).
該コンピュータプログラムが起動すると、被リモートコンピュータ2は、パスワードとユーザデータを入力する画面を被リモートコンピュータ2のディスプレイに表示させ、被リモートコンピュータ2は、キーボードなどの入力デバイスを用いてユーザが入力したパスワードとユーザデータを取得する(図2のS2)。
When the computer program is started, the
ユーザが被リモートコンピュータ2に入力するパスワードは暗号鍵のシードとなる情報で、ユーザは任意にパスワードを決定できる。ユーザデータはID番号のシードとなる情報で、ユーザデータはユーザ毎に一意のデータで、例えば、ユーザの社員番号やメールアドレスである。
The password that the user inputs to the
パスワードとユーザデータが被リモートコンピュータ2に入力されると、被リモートコンピュータ2は、予め定められた暗号アルゴリズムを用いて、ユーザ認証に利用する暗号鍵をパスワードから生成し、更に、ユーザ登録するUSBメモリ5を識別するためのID番号をユーザデータから生成する(図2のS3)。
When the password and user data are input to the
なお、暗号鍵を生成する暗号アルゴリズムとID番号を生成する暗号アルゴリズムはそれぞれ異なるアルゴリズムを用いることがセキュリティ的には望ましく、ここでは、パスワードから暗号鍵を生成するときに暗号アルゴリズム(ENC1)を用い、更に、ユーザデータからID番号を生成するときに暗号アルゴリズム(ENC2)を用いるものとする。 Note that it is desirable in terms of security that the encryption algorithm for generating the encryption key and the encryption algorithm for generating the ID number are different from each other, and here, the encryption algorithm (ENC1) is used when generating the encryption key from the password. Furthermore, an encryption algorithm (ENC2) is used when generating an ID number from user data.
被リモートコンピュータ2は、パスワードから暗号鍵を生成し、ユーザデータからID番号を生成すると、LAN6を介して、暗号鍵のシードとなったパスワードとID番号のシードとなったユーザデータを認証サーバ3へ送信する(図2のS4)。
When the
認証サーバ3は、被リモートコンピュータ2からパスワード及びユーザデータが送信されると、認証サーバ3は、被リモートコンピュータ2と同じ暗号アルゴリズムを用いて、ユーザ認証に利用する暗号鍵をパスワードから生成し、更に、ユーザ登録をしたUSBメモリ5のID番号をユーザデータから生成する(図2のS5)。
When the password and user data are transmitted from the
ここでは、被リモートコンピュータ2がパスワードから暗号鍵を生成するときに暗号アルゴリズム(ENC1)を用いるため、認証サーバ3も、パスワードから暗号鍵を生成するときに暗号アルゴリズム(ENC1)を用い、同様な理由で、ユーザデータからID番号が生成するときには暗号アルゴリズム(EC2)を用いる。
Here, since the
認証サーバ3は暗号鍵及びID番号を生成すると、ID番号に紐付けして暗号鍵と被リモートコンピュータ2の固有情報(LAN内のIPアドレスやMACアドレス)をハードディスクなどに記憶し、暗号鍵及びID番号を記憶すると、LAN6を介して、被リモートコンピュータ2に対して、暗号鍵及びID番号の生成が完了したことを示すメッセージを送信する(図2のS6)。
When the
被リモートコンピュータ2は、認証サーバ3から該メッセージを受信すると、被リモートコンピュータ2に接続されているUSBメモリ5に、図2のS3で生成した暗号鍵及びID番号を書き込み、LAN6を介して、認証サーバ3にユーザ登録が完了したことを示すメッセージを送信し、図2で図示したユーザ登録工程は終了する。
When the
次に、図3を参照しながらリモートアクセス管理工程について説明する。ユーザが、リモートコンピュータ4からLAN6に設置された被リモートコンピュータ2にアクセスするとき、ユーザは、ユーザ登録を済ませたUSBメモリ5をリモートコンピュータ4に接続し、LAN6内のコンピュータ(例えば、被リモートコンピュータ2)にアクセスするときに利用するコンピュータプログラムを起動すると、被リモートコンピュータ2へのリモートアクセスに係わる処理が開始される。(図3のS10)。
Next, the remote access management process will be described with reference to FIG. When the user accesses the
被リモートコンピュータ2へのリモートアクセスに係わる処理が開始されると、リモートコンピュータ4は、ユーザ認証に利用する認証コードの基になる乱数Rcを生成するコマンドをUSBメモリ5に送信することで、USBメモリ5に対して、ユーザ認証に利用する認証コードの基になる乱数Rcの生成を要求する(図3のS11)。
When processing related to remote access to the
USBメモリ5は、リモートコンピュータ4から乱数Rcの生成要求を受けると、USBメモリ5の内部で乱数Rcを生成し、生成した乱数Rcをリモートコンピュータ4に返信すると共に、認証コードを生成するまで乱数Rcを内部で保持する(図3のS12)。 When the USB memory 5 receives a request for generating a random number Rc from the remote computer 4, the USB memory 5 generates a random number Rc inside the USB memory 5, returns the generated random number Rc to the remote computer 4, and generates a random number until an authentication code is generated. Rc is held inside (S12 in FIG. 3).
リモートコンピュータ4はUSBメモリ5から乱数Rcを受信すると、乱数Rcを含むメッセージを認証サーバ3に送信し、認証サーバ3に対してユーザ認証を要求する(図3のS13)。
When the remote computer 4 receives the random number Rc from the USB memory 5, the remote computer 4 transmits a message including the random number Rc to the
認証サーバ3は、ユーザ認証の要求をリモートコンピュータ4から受けると、乱数Rsを内部で生成し、ユーザ認証の要求をリモートコンピュータ4に対して乱数Rsを返信する(図3のS14)。なお、認証サーバ3は、ユーザ認証が終了するまで乱数Rc及び乱数Rsを認証サーバ3の内部で保持する。
Upon receiving a user authentication request from the remote computer 4, the
リモートコンピュータ4は、認証サーバ3から乱数Rsを受信すると、乱数Rcと乱数Rsを結合したデータを含み、認証コードを生成するコマンドをUSBメモリ5に送信することで、USBメモリ5に対して認証コードの生成を要求する(図3のS15)。
When the remote computer 4 receives the random number Rs from the
USBメモリ5は、リモートコンピュータ4から該コマンドを受信すると、USBメモリ5に記憶されている暗号鍵を用いて、例えば、ISO/IEC9797-1(1999年)のMACのアルゴリズムなどの所定のアルゴリズムに従い、乱数Rcと乱数Rsを結合したものから認証コードを生成し、生成した認証コードに加え、USBメモリ5に記憶されたID番号をリモートコンピュータ4に返信する(図3のS16)。 When the USB memory 5 receives the command from the remote computer 4, the USB memory 5 uses the encryption key stored in the USB memory 5 and follows a predetermined algorithm such as a MAC algorithm of ISO / IEC9797-1 (1999). Then, an authentication code is generated from the combination of the random number Rc and the random number Rs, and in addition to the generated authentication code, the ID number stored in the USB memory 5 is returned to the remote computer 4 (S16 in FIG. 3).
リモートコンピュータ4は、USBメモリ5から認証コード及びID番号を受信すると、認証コード及びID番号を含むメッセージを送信し、認証サーバ3に対して認証コードの検証を要求する(図3のS17)。
When receiving the authentication code and the ID number from the USB memory 5, the remote computer 4 transmits a message including the authentication code and the ID number, and requests the
認証サーバ3は、リモートコンピュータ4から認証コードの検証要求を受けると、該メッセージに含まれるID番号に紐付けられて記憶されている暗号鍵を用い、USBメモリ5と同じアルゴリズムに従い、認証サーバ3で保持している乱数Rcと乱数Rsを結合したものから参照認証コードを生成し、リモートコンピュータ4から送信された認証コードと参照認証コードを照合することで、リモートコンピュータ4から送信された認証コードを検証する(図3のS18)。
When the
認証サーバ3は、認証コードの正当性を検証すると、検証結果に応じて振る舞いを変更し(図3のS19)、認証コードの検証に成功したときは、ユーザ認証に成功したことを示すメッセージをリモートコンピュータ4に送信すると共に、ID番号に紐付けられて記憶されている固有情報で特定される被リモートコンピュータ2に対するリモートコンピュータ4のアクセスを許可する指示をVPN機器71に対して送信し(図3のS20)、認証コードの検証に失敗したときは、リモートコンピュータ4のアクセスを許可する指示を出すことなく、図3で図示したリモートアクセス管理工程は終了する。
When the
ここから、図1で図示したアクセス管理システム1を構成する被リモートコンピュータ2、認証サーバ3及びUSBメモリ5について、図を参照しながら詳細に説明する。
From here, the
図4は、被リモートコンピュータ2のブロック図で、図4(a)は回路ブロック図、図(b)は機能ブロック図である。
4 is a block diagram of the
図4(a)に図示したように、被リモートコンピュータ2は汎用的なコンピュータで実現され、被リモートコンピュータ2はハードウェアとして、CPU20(Central Processing Unit)、RAM21(Random Access Memory)、データ記憶装置であるハードディスク22、ネットインタフェース23、ディスプレイ24、キーボード25、ポインティングデバイス(例えば、マウス)26などを備えている。
As shown in FIG. 4A, the
更に、図4(b)に図示したように、本発明に係わる被リモートコンピュータとして機能するために、被リモートコンピュータ2には、図4(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、図2のS1〜S4、S7を実行することで、被リモートコンピュータ2に入力されたパスワードとユーザデータから暗号鍵とID番号を生成し、生成した暗号鍵とID番号をUSBメモリ5に記憶すると共に、パスワードとユーザデータを認証サーバ3に送信するユーザ登録手段200を備える。
Further, as shown in FIG. 4B, in order to function as a remote computer according to the present invention, the
図5は、認証サーバ3のブロック図で、図5(a)は回路ブロック図、図5(b)は機能ブロック図である。
5 is a block diagram of the
図5(a)に図示したように、認証サーバ3は汎用的なサーバで実現され、認証サーバ3はハードウェアとして、CPU30(Central Processing Unit)、RAM31(Random Access Memory)、データ記憶装置であるハードディスク32、ネットインタフェース33、ディスプレイ34、キーボード35、ポインティングデバイス(例えば、マウス)36などを備えている。
As shown in FIG. 5A, the
更に、図5(b)に図示したように、本発明に係わる認証サーバとして機能するために、認証サーバ3には、図5(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、ユーザ情報記憶手段300とアクセス管理手段301を備える。
Further, as illustrated in FIG. 5B, in order to function as an authentication server according to the present invention, the
認証サーバ3に備えられたユーザ情報記憶手段300は、図2のS5及びS6を実行することで、被リモートコンピュータ2から受信したパスワード及びユーザデータから暗号鍵とID番号を生成し、ID番号に紐付けして暗号鍵と被リモートコンピュータ2の固有情報をハードディスク32に記憶する手段である。
The user information storage means 300 provided in the
また、認証サーバ3に備えられたアクセス管理手段301は、図3のS14、S18〜S20を実行することで、リモートコンピュータ4が受信したID番号に紐付けて記憶している暗号鍵を用いて、USBメモリ5が生成した乱数Rcと認証サーバ3が生成したRsを結合したデータを基にした参照認証コードを演算し、リモートコンピュータ4から受信した認証コードと認証サーバ3が演算した参照認証コードを照合し、リモートコンピュータ4から受信した認証コードの正当性を検証することでユーザ認証し、ユーザ認証に成功したときのみ、リモートコンピュータ4が受信したID番号に紐付けて記憶している固有情報で特定される被リモートコンピュータ2へのアクセスを許可する指示をVPN機器71に出力する手段である。
Further, the access management means 301 provided in the
図6は、USBメモリ5のブロック図で、図6(a)は回路ブロック図、図6(b)は機能ブロック図である。 FIG. 6 is a block diagram of the USB memory 5, FIG. 6A is a circuit block diagram, and FIG. 6B is a functional block diagram.
図6(a)に図示したように、USBメモリ5には、コンピュータとUSB接続するためのUSBコネクタを有し、USB通信を実現するUSBインターフェース回路50と、USBメモリ5がコンピュータに接続されたとき、CPUなどを有し、USBメモリ5を外部記憶デバイスとして振る舞うように少なくとも制御するコントローラ51と、データやコンピュータプログラムが記憶されるフラッシュメモリ52を備え、フラッシュメモリ52には、コンピュータプログラムとして、USBメモリ5が接続されたコンピュータ(ここでは、リモートコンピュータ4)のRAMに展開されるシンクライアントOS53が記憶されている。
As shown in FIG. 6A, the USB memory 5 has a USB connector for USB connection with a computer, and a
図6(b)に図示したように、発明に係わるトークンとして機能するために、USBメモリ5には、図6(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、暗号鍵やID番号などのデータを記憶するデータ記憶手段301と、認証サーバ3で検証される認証コードを生成する認証コード生成手段300を備え、USBメモリ5のコントローラ51をこれらの手段として機能させるコンピュータプグラムはコントローラ51の不揮発性メモリに書き込まれている。
As shown in FIG. 6 (b), in order to function as a token according to the invention, the USB memory 5 has encryption as means realized by a computer program using the hardware shown in FIG. 6 (a). A computer comprising data storage means 301 for storing data such as a key and an ID number, and an authentication code generating means 300 for generating an authentication code to be verified by the
具体的に、USBメモリ5に備えられたデータ記憶手段301は、図2のS7において、被リモートコンピュータ2から暗号鍵とID番号が送信されると、USBメモリ5に備えられたフラッシュメモリ52に暗号鍵とID番号を書き込む手段である。
Specifically, when the encryption key and the ID number are transmitted from the
また、USBメモリ5に備えられた認証コード生成手段300は、図3のS12及びS16を実行することで、USBメモリ5が生成した乱数Rcと外部コンピュータ(ここでは、リモートコンピュータ4)から受信したRsを結合したデータを基にした認証コードを演算し、演算した認証コードとID番号を外部コンピュータ(ここでは、リモートコンピュータ4)に返信する手段である。 Further, the authentication code generating means 300 provided in the USB memory 5 receives the random number Rc generated by the USB memory 5 and the external computer (here, the remote computer 4) by executing S12 and S16 of FIG. This is means for calculating an authentication code based on the data combined with Rs and returning the calculated authentication code and ID number to an external computer (here, the remote computer 4).
なお、USBメモリ5に記憶されているシンクライアントOS53には、シンクライントOS53がリモートコンピュータ4で起動したとき、図3のS10、S11、S13、S15及びS17を実行する機能が備えられている。
Note that the
図3のS10、S11、S13、S15及びS17を実行する機能を実行する機能はシンクライアントOS以外の手法でも実現でき、例えば、リモートコンピュータ4に該機能を実行させるためのコンピュータプログラムが予めインストールされていてもよく、更に、リモートコンピュータ4から認証サーバ3にアクセスしたときに、認証サーバ3からリモートコンピュータ4に該機能を実行させるコンピュータプログラムを送信するようにすることもできる。
The function for executing the functions for executing S10, S11, S13, S15, and S17 in FIG. 3 can be realized by a method other than the thin client OS. For example, a computer program for causing the remote computer 4 to execute the functions is installed in advance. Further, when the
なお、本発明は、これまで説明した実施の形態に限定されることなく、種々の変形や変更が可能である。 The present invention is not limited to the embodiments described so far, and various modifications and changes can be made.
例えば、USBメモリ5を識別するためのID番号は、被リモートコンピュータ2及び認証サーバ3で生成せずに、予めUSBメモリ5に記憶させておくこともできる。
For example, the ID number for identifying the USB memory 5 can be stored in the USB memory 5 in advance without being generated by the
このとき図2のS2において、ユーザはパスワードのみを被リモートコンピュータ2に入力し、図2のS3において、被リモートコンピュータ2はパスワードから暗号鍵のみを生成し、図2のS4において、被リモートコンピュータ2はUSBメモリ5からID番号を読み取り、生成した暗号鍵と読み取ったID番号を認証サーバ3へ送信する。認証サーバ3は、図2のS5において、暗号鍵のみをパスワードから生成する。
At this time, in S2 of FIG. 2, the user inputs only the password to the
また、図2で図示したユーザ登録工程において、認証サーバ3は、暗号鍵を少なくとも送信する被リモートコンピュータ2のIPアドレスを確認するなどして、ユーザ登録が実行される被リモートコンピュータ2を検証することで、ユーザ登録が確実に前記ネットワークに設置された前記被リモートコンピュータで実施されていることを確認できるようにすることもできる。
Further, in the user registration step illustrated in FIG. 2, the
1 リモートアクセス管理システム
2 被リモートコンピュータ
3 認証サーバ
4 リモートコンピュータ
5 USBメモリ
1 Remote
Claims (6)
6. The remote access management method according to claim 5, wherein, in the step a1 of the user registration step, the remote computer inputs the remote key to the remote computer in addition to the encryption key. The ID number of the token is generated from the second data that is unique to each other. In step a2, the remote computer stores the ID number in addition to the encryption key in the token, and replaces the ID number. The second data is transmitted to an authentication server, and in the step a3, the authentication server generates the encryption key and the ID number from the first data and the second data. Remote access management method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008252809A JP2010086175A (en) | 2008-09-30 | 2008-09-30 | Remote access management system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008252809A JP2010086175A (en) | 2008-09-30 | 2008-09-30 | Remote access management system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010086175A true JP2010086175A (en) | 2010-04-15 |
Family
ID=42250093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008252809A Pending JP2010086175A (en) | 2008-09-30 | 2008-09-30 | Remote access management system and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010086175A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013150186A1 (en) * | 2012-04-05 | 2013-10-10 | Tosibox Oy | Secure method for remote grant of operating rights |
| EP2678978A4 (en) * | 2011-02-22 | 2015-01-28 | Tosibox Oy | METHOD AND DEVICE FOR PERFORMING REMOTE CONTROL OF PROPERTIES |
| JP2015035018A (en) * | 2013-08-07 | 2015-02-19 | 株式会社ミツトヨ | Information processing device, information processing method, program, storage medium and information processing system |
| EP2715983A4 (en) * | 2011-05-24 | 2015-04-15 | Tosibox Oy | DEVICE CONFIGURATION FOR PERFORMING REMOTE CONTROL OF PROPERTIES |
| CN111866873A (en) * | 2014-09-26 | 2020-10-30 | 维萨国际服务协会 | System and method for storing data encrypted by remote server |
| CN114143029A (en) * | 2021-10-29 | 2022-03-04 | 航天信息股份有限公司 | User personal account password generating system and method capable of being repeatedly generated |
| CN116668203A (en) * | 2023-08-02 | 2023-08-29 | 浙江大华技术股份有限公司 | Device authentication method, internet of things device, authentication platform and readable storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002288372A (en) * | 2001-03-27 | 2002-10-04 | Toshiba Corp | Registration certificate creation method, certificate creation device, certificate issuing device, and recording medium |
| JP2002374244A (en) * | 2001-06-13 | 2002-12-26 | Kenwood Corp | Information distribution method |
| JP2006092379A (en) * | 2004-09-24 | 2006-04-06 | Secured Communications:Kk | Authentication method using authentication key including age information, and content delivery system performing automatic charge discount by use of the method |
| JP2007110351A (en) * | 2005-10-12 | 2007-04-26 | Murata Mach Ltd | Digital multifunction machine |
-
2008
- 2008-09-30 JP JP2008252809A patent/JP2010086175A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002288372A (en) * | 2001-03-27 | 2002-10-04 | Toshiba Corp | Registration certificate creation method, certificate creation device, certificate issuing device, and recording medium |
| JP2002374244A (en) * | 2001-06-13 | 2002-12-26 | Kenwood Corp | Information distribution method |
| JP2006092379A (en) * | 2004-09-24 | 2006-04-06 | Secured Communications:Kk | Authentication method using authentication key including age information, and content delivery system performing automatic charge discount by use of the method |
| JP2007110351A (en) * | 2005-10-12 | 2007-04-26 | Murata Mach Ltd | Digital multifunction machine |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2678978A4 (en) * | 2011-02-22 | 2015-01-28 | Tosibox Oy | METHOD AND DEVICE FOR PERFORMING REMOTE CONTROL OF PROPERTIES |
| US9363194B2 (en) | 2011-05-24 | 2016-06-07 | Tosibox Oy | Device arrangement for implementing remote control of properties |
| EP2715983A4 (en) * | 2011-05-24 | 2015-04-15 | Tosibox Oy | DEVICE CONFIGURATION FOR PERFORMING REMOTE CONTROL OF PROPERTIES |
| KR101524659B1 (en) * | 2012-04-05 | 2015-06-01 | 토시박스 오와이 | Secure method for remote grant of operating rights |
| JP2015518316A (en) * | 2012-04-05 | 2015-06-25 | トシボックス・オイ | A secure way to grant operational rights remotely |
| WO2013150186A1 (en) * | 2012-04-05 | 2013-10-10 | Tosibox Oy | Secure method for remote grant of operating rights |
| US9385870B2 (en) | 2012-04-05 | 2016-07-05 | Tosibox Oy | Secure method for remote grant of operating rights |
| JP2015035018A (en) * | 2013-08-07 | 2015-02-19 | 株式会社ミツトヨ | Information processing device, information processing method, program, storage medium and information processing system |
| CN111866873A (en) * | 2014-09-26 | 2020-10-30 | 维萨国际服务协会 | System and method for storing data encrypted by remote server |
| CN111866873B (en) * | 2014-09-26 | 2023-09-05 | 维萨国际服务协会 | Remote server encrypted data storage system and method |
| CN114143029A (en) * | 2021-10-29 | 2022-03-04 | 航天信息股份有限公司 | User personal account password generating system and method capable of being repeatedly generated |
| CN114143029B (en) * | 2021-10-29 | 2024-03-08 | 航天信息股份有限公司 | User personal account password generation system and method capable of repeatedly generating |
| CN116668203A (en) * | 2023-08-02 | 2023-08-29 | 浙江大华技术股份有限公司 | Device authentication method, internet of things device, authentication platform and readable storage medium |
| CN116668203B (en) * | 2023-08-02 | 2023-10-20 | 浙江大华技术股份有限公司 | Device authentication method, internet of things device, authentication platform and readable storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111213147B (en) | Systems and methods for blockchain-based cross-entity authentication | |
| US8438383B2 (en) | User authentication system | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| CN101605137B (en) | Safe distribution file system | |
| KR102410006B1 (en) | Method for creating decentralized identity able to manage user authority and system for managing user authority using the same | |
| US20060059346A1 (en) | Authentication with expiring binding digital certificates | |
| JP2010531516A (en) | Device provisioning and domain join emulation over insecure networks | |
| JP2010505286A (en) | Biometric certificate validation framework | |
| CN102404314A (en) | Remote resources single-point sign on | |
| CN103716292A (en) | Cross-domain single-point login method and device thereof | |
| JP2010086175A (en) | Remote access management system and method | |
| JP2009212731A (en) | Card issuing system, card issuing server, and card issuing method, and program | |
| US20150188916A1 (en) | Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product | |
| CN109862024A (en) | A kind of the network authorization protocol access control method and system of cloud management system | |
| CN114301617A (en) | Identity authentication method and device for multi-cloud application gateway, computer equipment and medium | |
| WO2019156089A1 (en) | Proprietor's identity confirmation system, terminal management server, and proprietor's identity confirmation method | |
| CN114666168A (en) | Decentralized identity certificate verification method and device, and electronic equipment | |
| JP4690779B2 (en) | Attribute certificate verification method and apparatus | |
| JP2020120173A (en) | Electronic signature system, certificate issuing system, certificate issuing method, and program | |
| JP6983685B2 (en) | Information processing system, client device, authentication / authorization server, control method and its program | |
| KR102062851B1 (en) | Single sign on service authentication method and system using token management demon | |
| JP2009003501A (en) | One-time password authentication system | |
| EP2530618A1 (en) | Sign-On system with distributed access | |
| JP2009123154A (en) | Attribute certificate management method and apparatus | |
| WO2014038034A1 (en) | Information processing system, information processing method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130110 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130122 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130521 |