端末装置、接続条件判定装置、セキュリティ保全システム及びセキュリティ保全方法
【課題】ネットワークに接続するための端末装置が、適切なセキュリティの条件を満たしている場合に接続を許す。
【解決手段】本セキュリティ保全システムは、自身のセキュリティ状態情報を収集する情報収集部304と、電子証明書を記憶したカード306を接続するカード接続部と、カードから電子証明書を得て所定のネットワークへの接続条件を問合せる情報を送信し、応答情報により適合を判断し、適合と判断すると、応答情報付で所定のネットワークへの接続を要求するプロセッサ301aと、を備えた端末装置300と、ユーザ毎に対応する電子証明書を管理する管理部322と、端末装置から所定のネットワークへの接続要求が来ると、管理部が管理している電子証明書を用いて端末装置のセキュリティ状態情報の所定のネットワークへの接続条件との適合を判断して接続を許可する認証判断部323と、を備えた認証装置320と、により構成される。
【解決手段】本セキュリティ保全システムは、自身のセキュリティ状態情報を収集する情報収集部304と、電子証明書を記憶したカード306を接続するカード接続部と、カードから電子証明書を得て所定のネットワークへの接続条件を問合せる情報を送信し、応答情報により適合を判断し、適合と判断すると、応答情報付で所定のネットワークへの接続を要求するプロセッサ301aと、を備えた端末装置300と、ユーザ毎に対応する電子証明書を管理する管理部322と、端末装置から所定のネットワークへの接続要求が来ると、管理部が管理している電子証明書を用いて端末装置のセキュリティ状態情報の所定のネットワークへの接続条件との適合を判断して接続を許可する認証判断部323と、を備えた認証装置320と、により構成される。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、外部からの攻撃に強く、健全であることが証明される、所定の端末にのみシステムへの接続を認める、コンピュータウィルス汚染防止のための端末装置、セキュリティ保全システム、方法に関するものである。
【背景技術】
【0002】
従来のセキュリティ保全システムとして、特許文献1で記載の「セキュリティ保全システム及びUSBキー」によれば、USBキーにコンピュータのOSの状態をチェックし、OS(オペレーティング・システム)に関する情報をウェブサーバに提供し、ウェブサーバではコンピュータで使用できる設定ファイルやOSのパッチを当てるためのガイダンスを提供することでコンピュータのセキュリティを向上させることを行っていた。
これは該当装置に最新のパッチを当てて防御状態を高めるよう指示することを目的としている。
従来はこのように、個々の装置にそれぞれ自主的に最新防御体制を要請するだけであり、ウィルス汚染の波及をシステムとして組織的に防ぐことを目的にするものまでは考えられていなかった。
【特許文献1】特開2003−303114号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来のセキュリティ保全システムは、以上に述べたような構成であり、ユーザにOSのパッチを当てさせる際のガイダンスを提供するなど、ユーザが正しくシステムを運用する場合に操作性を向上させる効果はある。しかし、セキュリティ保全システムを正しく運用しないユーザがセキュリティ上で問題があるコンピュータを社内ネットワーク等に接続して、他のコンピュータにウィルスを感染させる、等の不具合を防止出来ない、という課題がある。
【0004】
この発明は上記のような課題を解決するためになされたもので、内部ネットワークに接続するための端末装置が、セキュリティの条件を満たしていない場合には、内部ネットワークへの接続を防止し、適切な状態である場合にのみ接続を許すようにすることを目的とする。
【課題を解決するための手段】
【0005】
この発明に係るセキュリティ保全システムは、
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、A2)電子証明書を記憶したカードを接続するカード接続部と、A3)上記カード接続部に接続されたカードから上記電子証明書を取得し、取得したこの電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、この問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する電子証明書を管理する管理部と、B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理部が管理している電子証明書を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、を備えた認証装置と、により構成される。
問合せ情報は、所定のネットワークへの接続条件の送信要求である場合もあり、逆に端末装置のセキュリティ状態情報を送信して所定のネットワークへの接続条件との適合可否を問合せる場合もある。対応して、応答情報は所定のネットワークへの接続条件の送信である場合があり、逆に適合可否の結果応答である場合もある。
【発明の効果】
【0006】
この発明の端末、システム、方法によれば、外部からの攻撃を避けられる強い端末装置の状態情報を得て、内部ネットワークへの接続の可否を判定するので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末、外部攻撃にさらされたコンピュータが内部ネットワークへ接続して、汚染を広げることを防止する効果がある。
【発明を実施するための最良の形態】
【0007】
実施の形態1.
端末が外部からの攻撃にさらされず、しかも最新の適切なセキュリティが保証される状態でのみ、内部システムと接続が出来る端末、認証装置、システムを説明する。
図1は、この発明の実施の形態1における端末装置、認証装置、及びセキュリティ保全システムの構成を示す図である。図において、(耐ウィルス)端末装置100は、内部に入力部102、表示部103、情報収集部104、VPN(Virtual Private Network 仮想私設網)接続部105(ネットワーク接続部の例)、カード接続部106bを含むICカード106を備えている。もちろんICカードは端末装置から抜き出して保存が可能であり、その内部に暗号化部107を備えており、また暗号化鍵108を持っている。端末装置100は、外部ネットワーク114を経由してVPN接続装置110に接続されている。
更に認証装置120が内部ネットワーク115を経由して、VPN接続装置110に接続されている。認証装置120は、内部に接続条件記憶部121、管理部122、認証判定部123を備えている。
【0008】
セキュリティが高くない端末装置の接続を防ぐため、単に最新のウィルス保全状態になっているだけでは不十分である。と言うのは、通常の無防備な端末装置に対しては、外部から密かに侵入して、例え暗号化部があっても、ウィルス等により内部状態を調べて、情報を改ざんすることが容易である。従ってこうした外部侵入による改ざんを防ぐ機構が端末装置に備わっていなければならない。そしてセキュリティ保全システムを正しく運用しないユーザが端末を内部ネットワークに接続することも防がねばならない。言い換えれば、改ざんを受けない、正しい状態で、最新の保全状態にある端末のみが接続できるようにする。
図2は、接続条件記憶部121が記憶する接続条件の一例を示す図である。
図3は、管理部122が記憶する登録情報201の例を示ず図であり、図中でユーザID2022と、暗号化鍵203が対で記憶されていることを示している。
図4は、端末装置100の内部ネットワークへの接続が拒否された場合に、その表示部103に表示されるエラー理由の例を示す図である。
【0009】
図5は、端末装置100がプロセッサ101a等を用いてVPN接続装置110に接続するに先だって、状態報告を行い、接続の認証を得るまでの動作処理を示すフローチャートである。
図6は、認証装置120が行うVPN接続装置110から端末に関する認証要求が送られてきた際に実行される、認証の操作処理を示すフローチャートである。
上記のフローチャートを用いて、図1の構成によるシステムの動作を説明する。
まず端末装置100から内部ネットワーク側にある認証装置120に対して接続許可を求める動作を説明する。図5のステップ(以下、ステップの記述を省略する)S101で、入力部102においてユーザからユーザIDを受け付ける。次に端末装置100はS102で、情報収集部104により端末装置100のセキュリティ状態情報として、OSのバージョン、OS適用パッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次に端末装置100はS103で、ICカード106内の暗号化部107を用いて、収集した上記の状態情報を暗号化鍵108(暗号鍵の一例)で暗号化した認証データを生成する。そしてS104で、VPN接続部105からユーザIDと認証データを含む認証要求(問合わせ情報の一例)をVPN装置109に対して送信する。
【0010】
端末装置は以上のように構成されていて、暗号化部をICカード106内部に持つので、外部から端末装置内の情報を盗まれて改ざんされることが無い。そして端末装置100から認証装置120に送られる認証のために収集した状態情報は、暗号化で内容を保護されており、安全に送信できる。
S105で、これに対する認証応答を受信すると、S106で受信した認証応答(応答情報の一例)をチェックし、認証応答がOKの場合には、VPN接続装置110とのVPN接続を確立し(S107)、表示部103に接続の完了を表示し(S108)て、接続の処理を終了する。
一方、ステップS106において、認証応答がNGの場合には、認証応答に含まれるエラー理由を表示部103に表示し(S109)、接続の処理を終了する。
【0011】
一方、認証装置120では、図6のS201でVPN装置からユーザIDと認証データを含む認証要求を受け付けると、S202で受信したユーザIDにユーザID202が一致している登録情報201が管理部122に登録されているかを検索する。S202で、管理部122にS201で受信したユーザIDと一致している登録情報201が登録されている場合には、暗号化鍵203を取り出す(S203)。更に、暗号化鍵203で認証データを復号して状態情報を得る(S204)。次に、状態情報が接続条件記憶部121に記憶されている各接続条件を満たすかを認証判定部123でチェックする(S205)。全ての接続条件がOKかを確認し(S206)、全ての条件がOKの場合には、VPN接続装置110に対して端末装置100の接続の許可を通知して(S207)、認証の処理を終了する。一方、ステップS206において、1つでも接続条件に適合しないものがある場合には、不具合となった理由を示すエラー理由を伴ってVPN接続装置110に端末装置100の接続の拒否を通知し(S208)、認証の処理を終了する。また、S202においてS201で受信したユーザIDにユーザID202が一致する登録情報201が管理部111に登録されていない場合にも、接続の拒否を通知し(S208)、認証の処理を終了する。
【0012】
以上述べたように、端末とは別のカードに設けた情報に基づいて端末装置の状態情報を内部ネットワークへ通知して、接続の可否を判定するようにしたので、外部からの端末への攻撃を防ぎ、かつ内部ネットワークに接続するために正しいセキュリティ条件を満たした耐ウィルス端末装置のみを内部ネットワークへ接続することが可能となる。
なお、本実施の形態では、情報収集部104をハードウェア構成要素であるとして説明したが、これを図1に示すように、メモリ101bに上記の動作を行う機能を記述したプログラムを記憶して、マイクロプロセッサ101aでこれらのプログラムを読取り実行する構成としてもよい。または、ICカード106内のメモリにマイクロプロセッサにより実行可能な情報収集プログラムとして格納し、認証処理を実行する際にICカード106内から端末装置100上のメモリ101bにこの情報収集プログラムを転送して記憶し、耐ウィルス端末装置が認証要求時に、この情報収集部の機能をマイクロプロセッサ101aで実行する構成とすることもできる。この場合には、情報収集プログラムが実行されるまでは、ICカード106内に記憶されるため、端末装置100上でウイルスの影響を受けることなく、汚染のない状態で端末の状態情報の収集が可能である。その場合も、セキュリティ条件を満たしている端末装置のみを内部ネットワークへ接続するよう、制限することが可能である。
また、本実施の形態ではVPN接続部105もハードウェアであるとしたが、情報収集部104と同様に、メモリ101bの他の領域に接続動作を行う機能を記述したプログラムを記憶して、マイクロプロセッサ101aでプログラムを読取り実行する構成であってもよく、また端末装置100上で実行可能なVPN接続プログラムとしてICカード106内に格納し、VPN接続を実行する際にICカード106内から端末装置100のメモリ101bに転送して、そのプログラムを実行する構成であってもよい。
更に、暗号化部は端末装置内にあって、暗号化鍵108のみをカード内に記憶して、この暗号化鍵を読み出して暗号化を行うようにしてもよい。また、本実施の形態では、暗号化部107はハードウェア構成要素であるとして説明したが、ICカード106上で実行されるプログラムとして格納し、ICカード106で実行される構成であってもよい。
【0013】
実施の形態2.
内部ネットワークへ正規の端末装置が接続することを認証する機能を認証装置が備えることは、通常行われていることである。またVPN装置は、パスワード等の簡単な認証チェックは行うが、暗号化に対応する復号処理を行った後、チェックを行う等の複雑な処理機能は、通常は持っていない。本実施の形態では、こうした通常のシステムが備えている機能を生かして、しかも先の実施の形態と同様な最新で安全な端末装置の内部ネットワークへの接続認証を行う構成を説明する。
本実施の形態においては、認証を2段に分けて、一つは外部攻撃を受けていなくて、最新のセキュリティ対策を持つ健全な正規端末であることを、接続条件判定装置を設けて確認する。もう一つは健全な正規端末であることをパスワードで表した端末装置に対して、認証装置で確認して後、ネットワークへの接続を許すことにする。
図7は本実施の形態における端末装置、接続条件判定装置、セキュリティ保全システムを示す構成図である。図において、端末装置300は、入力部302、表示部303、情報収集部304、VPN接続部305、抜き出して保存が可能なICカード306を含むカード接続部306bを備えることは図1の構成と同様である。証明書307はICカード306に書き込まれている。端末装置300は、外部ネットワーク314を経由してVPN接続装置310に接続される。更に内部ネットワーク315を経由して、認証装置320に接続される。認証装置320は、内部に管理部322と認証判断部323を備えている。
【0014】
本実施の形態での新しい構成は、認証装置から切り離した接続条件判定装置330を備えたことである。接続条件判定装置330は、内部に接続条件記憶部331、カード認証部332、接続条件判定部333、パスワード生成部334を備えている。
つまり、ICカードの証明書を用いて外部ネットワーク経由で接続した接続条件判定装置により接続条件判定を行った後に、パスワードを得て、VPN接続装置との接続認証を行う。
接続条件判定装置330内の接続条件記憶部331が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
図8は、認証装置320内の管理部322が記憶する登録情報401を示しており、ユーザID402とパスワード403のペア構成を記憶する。
図9は、接続条件判定が条件を満たさないでNGとなった場合に、端末装置300の表示部303に表示される接続判定エラーの一例を示す図である。
【0015】
次に動作について説明する。
図10は、端末装置300が、プロセッサ301a等により、先ず接続条件判定装置330に対して接続条件の判定を依頼する際の処理を示すフローチャートである。このように、端末装置が行う動作としてプロセッサを用いてフローに記載の機能プログラムを実行することは、他の実施の形態でも同様である。
まずS301で、入力部302よりユーザからユーザIDを伴った接続条件判定の実行指示を受け付ける。次にS302で、ICカード306内の証明書307を用いて接続条件判定装置330のカード認証部332との間でSSL(Secure Sockets
Layer)による通信を確立する。次にS303で、情報収集部304で端末装置300の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。S304において、先のS302で確立したSSL通信により接続条件判定装置330に対してS301で受け付けたユーザIDとS303で取得した状態情報を含む端末条件判定要求を送信する。S305で、端末条件判定結果を受信する。そしてS306で、受信した端末条件判定結果をチェックし、判定結果がOKの場合には、接続判定結果に含まれるパスワードを表示部303に次回接続の際のワンタイムパスワードとして表示し(S307)、処理を終了する。一方S306において、認証応答がNGの場合には、判定結果に含まれるエラー理由を表示部303に表示し(S308)、接続の処理を終了する。
【0016】
図11は、接続条件判定装置330が端末装置300から接続判定要求を受信した際に行う処理を示すフローチャートである。
まずS401で、カード認証部332において端末装置300との間でSSLによる通信を確立する。次にS402で、S401で確立したSSL通信により端末装置300からユーザID(Identifier 識別子)と端末装置300の状態情報を含む接続判定要求を受信する。次にS403で、受信した状態情報が、接続条件記憶部331で記憶する接続条件を満たすかを接続条件判定部333でチェックする。S404で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード生成部334においてワンタイムパスワードを生成し(S405)、認証装置320に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する(S406)。次にS407で、接続条件判定OKの結果とS405で生成したワンタイムパスワードを含む端末条件判定結果を端末装置300に対して送信し、処理を終了する。
一方、S404において、1つでも接続条件がOKとならないものがある場合には、S408で端末装置300に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0017】
図12は、端末装置300がVPN接続装置310に接続する際に行う処理を示すフローチャートである。
まずS501で、入力部302においてユーザからユーザIDとS307で表示したワンタイムパスワードの入力を受け付ける。次にS502で、VPN接続装置310に対してユーザIDとワンタイムパスワードを含む認証要求を送信する。S503で、これに対する認証応答を受信する。次にS504で受信した認証応答をチェックし、認証応答がOKの場合には、VPN接続装置310とのVPN接続を確立し(S505)、表示部303に接続の完了を表示し(S506)、接続の処理を終了する。
一方、S504において認証応答がNGの場合には、表示部303に認証の失敗を表示し(S507)、接続の処理を終了する。
図13は、認証装置320が接続条件判定装置330からユーザIDとワンタイムパスワードを含むパスワード設定要求を受信した際に行う処理を示すフローチャートである。
まずS601で、パスワード設定要求を受け付けると、S602で受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されているかを検索する。S602で、受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されている場合には、パスワード403にS601で受信したワンタイムパスワードを格納し(S603)、パスワード登録の処理を終了する。
一方、S602において受信したユーザIDにユーザID402が一致する登録情報401が管理部322に登録されていない場合には、何もせずにパスワード登録の処理を終了する。
【0018】
図14は、認証装置320がVPN接続装置310から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS701で、認証装置320は、VPN接続装置310からユーザIDとパスワードを含む認証要求を受け付けると、S702で受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されているかを検索する。S702で、管理部322に受信したユーザIDにユーザID402が一致している登録情報401が登録されている場合には、管理部322よりパスワード403を取り出し(S703)、S701で受信したパスワードと一致するかをチェックする(S704)。S704のチェックでパスワードが一致している場合には、VPN接続装置310に対して端末装置300の接続の許可を通知し(S705)、パスワード403を削除し(S706)て、認証の処理を終了する。
一方、S704のチェックにおいてパスワードが一致していない場合には、VPN接続装置310に対して端末装置300の接続の拒否を通知し(S707)、認証の処理を終了する。また、S702において、ステップS701で受信したユーザIDにユーザID402が一致する登録情報401が管理部322に登録されていない場合には、VPN接続装置310に対して端末装置300の接続の拒否を通知し(S707)、認証の処理を終了する。
【0019】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要なワンタイムパスワードをシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
なお、本実施の形態では、情報収集部304をハードウェアとして説明したが、実施の形態1と同様に、端末装置300のメモリ301bにマイクロプロセッサ301aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置300上で実行可能な情報収集プログラムとしてICカード306内に格納し、認証処理を実行する際にICカード内から端末装置300のメモリ301bに転送して記憶し、認証要求時にマイクロプロセッサ301aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード306内に記憶されるため、端末装置300上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置300内のVPN接続部305もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ301bに記憶してマイクロプロセッサ301aで実行してもよいし、端末装置300上で実行可能なVPN接続プログラムをICカード306内に格納し、VPN接続を実行する際にICカード内から端末装置300のメモリ301bに転送して実行する構成とすることもできる。
また更に、接続条件判定装置330から送られてくるワンタイムパスワードを、端末装置300経由でICカード306内パスワード309として記憶し、VPN接続装置310経由で認証装置320との間の認証に際して、ICカードからこのパスワード309を読み出して使用するようにしてもよい。こうすれば外部攻撃から更に安全になる。
【0020】
実施の形態3.
接続条件の判定をネットワーク上で行う代わりにカードに設けた判定部で行う構成としてもよい。即ち先の実施の形態2では、接続条件の判定を端末装置から外部ネットワークを経由して接続した接続条件判定装置で行うようにしたが、この実施の形態ではICカード内で接続条件の判定を行う場合を示す。
図15は、実施の形態3における端末装置、接続条件提供装置、セキュリティ保全システムを示す構成図である。図において、端末装置500は、内部に入力部502、表示部503、情報収集部504、VPN接続部505、抜き出して保存が可能なICカード506を含むカード接続部506bを備えている。ICカード506は内部に暗号化部507を持ち、この暗号化のための暗号化鍵508を備えている。またカードには、証明書509、後で説明するパスワード513と接続条件511を記憶し、更に接続条件判定部512を備えている。
認証装置520は、内部に管理部522と認証判断部523を備えている。
【0021】
一方、接続条件提供装置530は、内部に接続条件記憶部531、カード認証部532、パスワード生成部534を備えている。接続条件記憶部531が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵508は秘密鍵とし、これに対応する公開鍵が証明書509に含まれているものとする。
また、ICカード506内の接続条件判定部512で接続条件判定がNGとなった場合に端末装置500の表示部503に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
図16は、認証装置520の管理部522が記憶する登録情報601を示しており、ユーザID602とパスワード603のペアが記憶される。
【0022】
次に動作について説明する。
図17は、端末装置500が接続条件提供装置530に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS801で、その入力部502でユーザIDの入力と接続条件判定の実行指示を受け付ける。次にS802で、ICカード506内の証明書509を用いて接続条件提供装置530との間でSSLによる通信を確立する。次にS803で、この確立したSSL通信により接続条件提供装置530に受け付けたユーザIDを含む接続条件要求を送信する。S804で暗号化されたパスワードと暗号化された接続条件を含む接続条件応答を受信する。次にS805で、受信した暗号化されたパスワードと接続条件を暗号化部507で暗号化鍵508を使って復号し、S806で復号により得られたパスワードをパスワード513として、得られた端末条件を接続条件511として、ICカード506に格納する。こうして接続条件提供装置530から最新のセキュリティ情報が端末装置へ送られてくる。次にS807で情報収集部504は,端末装置500の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次にS808で、得られた端末装置500の状態情報がICカード506に格納されている接続条件提供装置530から受信した接続条件511を満たすかを接続条件判定部512でチェックする。S809で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード513を表示部503にワンタイムパスワードとして表示し(S810)、処理を終了する。一方、S809において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部503に表示し(S811)、終了する。
【0023】
図18は、接続条件提供装置530が、端末装置500から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS901で、そのカード認証部532は、端末装置500との間でSSLによる通信を確立する。次にS902で、この確立したSSL通信により端末装置501からユーザIDを含む接続条件要求を受信する。次にS903で、SSLを確立する際に使用した証明書509で公開鍵を取得する。次にS904で、パスワード生成部534でワンタイムパスワードを生成し、S905で認証装置520に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS906で、接続条件記憶部531が記憶する接続条件とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S907で、これらの暗号化データを含む端末条件要求結果を端末装置500に送信し、処理を終了する。
端末装置500が、VPN接続装置510に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置520において、接続条件提供装置530からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置520が、VPN接続装置510から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
なお、カードに備えた接続条件判定部512をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件511と情報収集部504が収集したセキュリティ状態情報と比較するようにしてもよい。
【0024】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部504とVPN接続部505をハードウェアでは無く、端末装置500上で実行可能な情報収集プログラムとしてICカード506内に格納し、認証処理を実行する際にICカード内から端末装置500上に取り出して実行する構成とすることもできる。この場合に、情報収集プログラムが実行されるまでは、ICカード506内に記憶されるため、端末装置500上のウイルスの影響を受けることなく端末の状態情報の収集が可能である。
また、本実施の形態では、暗号化部507および接続条件判定部512はハードウェア構成要素であるとして説明したが、ICカード506上で実行されるプログラムとして格納し、ICカード106で実行される構成であってもよい。
【0025】
実施の形態4.
実施の形態1における認証装置120、実施の形態2における接続条件判定装置330、実施の形態3における接続条件提供装置530は、それぞれ専用のハードウェア装置であるとして説明した。しかし、それら装置を、それぞれの図6、図11、図18に示すような機能を持つプログラムをメモリに記憶させて、プロセッサでそのプログラムを読取って実行する汎用計算機を用いて構成してもよい。
その場合には、上記フローチャートで表される方法を行うことにより、上記各実施の形態で記述した効果が得られる。
【0026】
実施の形態5.
実施の形態1におけるバリエーションの一つとして述べたように、図1に示す構成において、暗号化部を端末装置100内に設けて、図5の動作をさせるようにしてもよい。
図19は、本実施の形態においてユーザが入力するIDと、端末装置100、VPN接続装置110、認証装置120の間でのデータの流れを示す図である。ユーザが端末装置100へIDを送信する(S1000)。その後、端末装置100がVPN接続装置110へIDと認証データを送信し(S1001)、VPN接続装置110はS1001で受信したIDと認証データを認証装置120へ送信する(S1002)。
その後、認証装置120がVPN接続装置110へ認証応答を送信し(S1003)、VPN接続装置110はS1003で受信した認証応答を端末装置100へ送信する(S1004)。認証応答がOKの場合には、端末装置100とVPN接続装置110との間で、VPN接続確立のためにデータのやりとりを行い(S1005)、S1005でのデータのやりとりが終了すると、結果をユーザに表示(S1006)して終了する。
この実施の形態におけるシステムは、実施の形態1と同様の効果を持つ。
【0027】
本実施の形態の構成に対して、実施の形態1の暗号化部107をICカード106内に持つ構成は、図20のシーケンス図で示されるセキュリティ保全システムにおけるデータの流れを持つ。
即ち、ユーザがICカード106用の認証情報を送信する(S1050)と、端末装置100はこれを受取り、マイクロプロセッサ101aは、カード接続部106b(図1では直接にICカード106のみが表示されている)に接続されたICカード106の暗号化部に認証をさせ、認証結果をユーザに送信する(S1051)。その後、ユーザが端末装置100へIDを送信する(S1052)。その後、プロセッサ101aは端末装置100からICカード106へセキュリティ状態情報を送信し(S1053)、ICカード106の暗号化部107から認証データを端末装置100へ送信する(S1054)。その後、端末装置100がVPN接続装置110へIDと認証データを送信し(S1055)、VPN接続装置110はS1055で受信したIDと認証データを認証装置120へ送信する(S1056)。
【0028】
その後、認証装置120がVPN接続装置110へ認証応答を送信し(S1057)、VPN接続装置110はS1057で受信した認証応答を端末装置100へ送信する(S1058)。認証応答がOKの場合には、端末装置100とVPN接続装置110との間で、VPN接続確立のためにデータのやりとりを行い(S1059)、S1059でのデータのやりとりが終了すると、結果をユーザに表示(S1060)して終了する。
このように実施の形態1では、ICカードとの間でそのICカードが正規ユーザのものであるかとの認証に成功しないとVPN接続処理が行えないため、ICカードを持つ、正規のユーザ以外が端末装置を不正利用することを防ぐことができる。
なお実施の形態1において、ICカードとの間でユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上するため、複数回連続して正規ユーザのカードであるとの認証に失敗した場合に処理を終了するようにしてもよい。複数回連続で認証に失敗した場合に処理を終了することは、他の実施の形態にも適用できる。また実施の形態1と実施の形態5において、認証判定部123で接続条件の判定とVPN接続の処理と2つの処理を行っているが、これを図21に示すように、判定部と認証部に分けてもよい。
【0029】
実施の形態6.
実施の形態2では、接続条件判定装置がワンタイムパスワードを生成してから、認証装置がユーザによって入力されたIDとワンタイムパスワードを受信するまでの時間については、何も記述していない。時間制限をすることで、更に安全性を高める構成を説明する。即ちこの実施の形態では、有効時間(ワンタイムパスワードが使用可能な時間)を用いて接続条件の判定を行う場合を示す。
図22は、本実施の形態における端末装置、接続条件判定装置、セキュリティ保全システムの構成を示す図である。図において、端末装置600は、入力部602a、表示部603a、情報収集部604、VPN接続部605、抜き出して保存が可能なICカード606を含むカード接続部606bを備えることは図7の構成と同様である。証明書607はICカード606に書き込まれている。端末装置600は、外部ネットワーク614を経由してVPN接続装置610に接続される。更に内部ネットワーク615を経由して、認証装置620に接続される。認証装置620は、内部に管理部622と認証判断部623と時刻取得部624を備えている。
接続条件判定装置630は、内部に接続条件記憶部631、カード認証部632、接続条件判定部633、パスワード生成部634と、更に有効時間生成部635を備えている。
【0030】
本実施の形態での新しい構成は、認証装置620の内部に時刻取得部624を、接続条件判定装置630の内部に有効時間生成部635を備えたことである。
接続条件判定装置630内の接続条件記憶部631が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
図23は、認証装置620内の管理部622が記憶する登録情報701を示しており、ユーザID702とパスワード703と有効時間704のペア構成を記憶する。
接続条件判定が条件を満たさないでNGとなった場合に、端末装置600の表示部603aに表示される接続判定エラーの一例は実施の形態2の図9に示す図と同様である。
図24は、ワンタイムパスワードの有効期限が切れてNGとなった場合に、端末装置600の表示部603aに表示される接続判定エラーの一例を示す図である。
【0031】
次に動作について説明する。なお、本実施の形態において、接続条件判定装置630と認証装置620は時間同期をしているものとする。
端末装置600が、プロセッサ601a等により、接続条件判定装置630に対して接続条件の判定を依頼する際の処理は、実施の形態2の図10に示した処理と同様である。
図25は、接続条件判定装置630が端末装置600から接続判定要求を受信した際に行う処理を示すフローチャートである。
まずS1201で、カード認証部632において端末装置600との間でSSLによる通信を確立する。次にS1202で、S1201で確立したSSL通信により、以下いずれも接続条件判定装置630は、端末装置600からICカード606を経由してユーザIDと端末装置600の状態情報を含む接続条件判定要求を受信する。次にS1203で、受信した状態情報が、接続条件記憶部631で記憶する接続条件を満たすかを接続条件判定部633でチェックする。S1204で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード生成部634においてワンタイムパスワードを生成し(S1205)、有効時間生成部635においてワンタイムパスワードの有効時間を生成する(S1206)。次に、認証装置620に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する(S1207)。次にS1208で、接続条件判定OKの結果とS1205で生成したワンタイムパスワードを含む端末条件判定結果をICカード606に対して送信し、処理を終了する。
一方、S1204において、1つでも接続条件がOKとならないものがある場合には、接続条件判定装置630は、S1209でICカード606に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0032】
端末装置600がVPN接続装置610に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
図26は、認証装置620が接続条件判定装置630からユーザIDとワンタイムパスワードと有効時間を含むパスワード設定要求を受信した際に行う処理を示すフローチャートである。
まずS1301で、以下いずれも認証装置620は、パスワード設定要求を受け付けると、S1302で、認証判断部623は受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されているかを検索する。S1302で、受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されている場合には、認証判断部623はパスワード703にS1301で受信したワンタイムパスワードを格納し(S1303)、有効時間704にS1301で受信した有効時間を格納し(S1304)、パスワードと有効時間の登録処理を終了する。
一方、S1302において受信したユーザIDにユーザID702が一致する登録情報701が管理部622に登録されていない場合には、何もせずにパスワード登録の処理を終了する。
【0033】
図27は、認証装置620がVPN接続装置610から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS1401で、以下いずれも認証装置620は、VPN接続装置610からユーザIDとパスワードを含む認証要求を受け付けると、S1402で時刻取得部624が現在の時刻を取得する。次に、S1403で受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されているかを検索する。S1403で、管理部622に受信したユーザIDにユーザID702が一致している登録情報701が登録されている場合には、認証判断部623は管理部622より有効時間704を取り出し(S1404)、S1402で取得した時刻を用いてワンタイムパスワードが有効であるかどうかをチェックする(S1405)。S1405でワンタイムパスワードが有効である場合には、認証判断部623は管理部622よりパスワード703を取り出し(S1406)、S1401で受信したパスワードと一致するかをチェックする(S1407)。S1407のチェックでパスワードが一致している場合には、VPN接続装置610に対して端末装置600の接続の許可を通知し(S1408)、パスワード703と有効時間704を削除し(S1409)て、認証の処理を終了する。
一方、S1407のチェックにおいてパスワードが一致していない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。また、S1403において、ステップS1401で受信したユーザIDにユーザID702が一致する登録情報701が管理部622に登録されていない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。また、S1405において、ワンタイムパスワードが有効でない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。
【0034】
この発明の実施の形態6におけるセキュリティ保全システムのデータの流れを示すシーケンス図を図28に示す。
先ずユーザが端末装置600に向けてICカード606用の認証情報を送信する(S1100)と、端末装置600は、ICカード606からの認証結果をユーザに送信する(S1101)。その後、ユーザが端末装置600へ接続条件判定実行指示を送信する(S1102)。その後、端末装置600がICカード606へSSL通信確立要求を送信する(S1103)と、ICカード606と接続条件判定装置630との間で、SSL接続確立のためにデータのやりとりを行い(S1104)、S1104でのデータのやりとりが終了すると、結果を端末装置600に送信する(S1105)。その後、端末装置600はICカード606に接続条件判定要求を送信し(S1106)、ICカード606はS1106で受信した接続条件判定要求を接続条件判定装置630に送信する(S1107)。その後、接続条件判定装置630はIDとワンタイムパスワードを含むパスワード設定要求を認証装置620へ送信し(S1108)、ワンタイムパスワードを含む端末条件判定結果を端末装置600へICカード606用に送信する(S1109)。
【0035】
端末装置600はICカード606から判定結果を受取り(S1110)、判定結果がOKの場合には、端末装置600は、ワンタイムパスワードをユーザに表示する(S1111)。
その後、ユーザからの入力に従って、端末装置600からVPN接続装置610へIDと認証データを含む認証要求を送信し(S1113)、VPN接続装置610はS1113で受信したIDと認証データを含む認証要求を認証装置620へ送信する(S1114)。その後、認証装置620がVPN接続装置610へ認証応答を送信し(S1115)、VPN接続装置610はS1115で受信した認証応答を端末装置600へ送信する(S1116)。認証応答がOKの場合には、端末装置600とVPN接続装置610との間で、VPN接続確立のためにデータのやりとりを行い(S1117)、S1117でのデータのやりとりが終了すると、結果をユーザに表示(S1118)して終了する。
上記のシーケンス図は、実施の形態2にも適用されるが、本実施の形態においては、シーケンス図の図28において、パスワード設定要求(S1108)に有効時間が含まれることになる。
【0036】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要なワンタイムパスワードをシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
また、更にワンタイムパスワードに有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
【0037】
なお、本実施の形態では、情報収集部604をハードウェアとして説明したが、実施の形態3と同様に、端末装置600のメモリ601bにマイクロプロセッサ601aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置600上で実行可能な情報収集プログラムとしてICカード606内に格納し、認証処理を実行する際にICカード内から端末装置600のメモリ601bに転送して記憶し、認証要求時にマイクロプロセッサ601aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード606内に記憶されるため、端末装置600上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置600内のVPN接続部605もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ601bに記憶してマイクロプロセッサ601aで実行してもよいし、端末装置600上で実行可能なVPN接続プログラムをICカード606内に格納し、VPN接続を実行する際にICカード内から端末装置600のメモリ601bに転送して実行する構成とすることもできる。
【0038】
また更に、接続条件判定装置630から送られてくるワンタイムパスワードを、端末装置600経由でICカード606内のパスワード609として記憶し、VPN接続装置610経由で認証装置620との間の認証に際して、ICカードからこのパスワード609を読み出して使用するようにしてもよい。こうすれば外部攻撃から更に安全になる。
また、本実施の形態では認証装置620がVPN接続装置610から認証要求が送られてきた際に行う認証の処理でワンタイムパスワードと有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置620が接続条件判定装置630から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0039】
実施の形態7.
これまでは認証装置がVPN接続装置から認証要求が送られてきた際に行う認証にワンタイムパスワードを使用したが、この実施の形態では署名を用いて認証装置が認証を行う場合を示す。
図29は本実施の形態7における端末装置、接続条件判定装置、セキュリティ保全システムの構成を示す図である。図において、端末装置800は、入力部802、表示部803、情報収集部804、VPN接続部805、抜き出して保存が可能なICカード806を含むカード接続部806bを備えることは図21の構成と同様である。証明書807はICカード806に書き込まれている。端末装置800は、外部ネットワーク814を経由してVPN接続装置810に接続される。更に内部ネットワーク815を経由して、認証装置820に接続される。認証装置820は、内部に管理部822と認証判断部823と時刻取得部824と鍵管理部825を備えている。
接続条件判定装置830は、内部に接続条件記憶部831、カード認証部832、接続条件判定部833、認証情報生成部834、有効時間生成部835を備えている。
【0040】
本実施の形態での新しい構成は、接続条件判定装置830の内部に認証情報生成部834を備えたことである。認証情報生成部834では署名(接続許可署名)を生成する。ICカード806の公開鍵が真正であることを証明する証明書807と違い、前記署名は接続条件がOKであることを、端末のIDと署名の有効時間を接続条件判定装置830の秘密鍵で暗号化(署名生成)し,認証装置820が接続条件判定装置830の公開鍵で復号(署名検証)に成功することで保証するものである。ワンタイムパスワードを用いる場合と違い、事前に接続条件判定装置830から認証装置820へ署名を渡す必要がなくなり、それぞれ独立した構成とすることができる。また、認証情報生成部834で生成された署名はICカード806内に認証情報809として格納され、認証情報取得部808でICカード806から認証情報809を取り出す。
接続条件判定装置830内の接続条件記憶部831が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
接続条件判定が条件を満たさないでNGとなった場合に、端末装置800の表示部803に表示される接続判定エラーの一例は実施の形態2の図9に示す図と同様である。
図30は、署名の検証が正しく処理されなった場合に、端末装置800の表示部803に表示される接続判定エラーの一例である。
図31は接続条件判定が条件を満たしてOKとなった場合に、端末装置800の表示部803に表示される接続許可通知の一例である。
【0041】
次に上記構成のシステムの動作について説明する。なお、本実施の形態において、接続条件判定装置830と認証装置820は時間同期をしているものとする。また、認証装置820は接続条件判定装置830の公開鍵を持っており、接続条件判定装置830が使用する署名アルゴリズムを知っているとする。
図32は、端末装置800が、プロセッサ801a等により、接続条件判定装置830に対して接続条件の判定を依頼する際に行う処理を示すフローチャートである。
まずS1500で、ユーザが端末装置800にICカード806を装着し、ユーザとICカード806との間で認証を行う。ユーザが入力した情報とカードに記憶されている情報とが一致してS1501で認証に成功すると、以下いずれも端末装置800は、S1502で入力部802よりユーザからユーザIDを伴った接続条件判定の実行指示を受け付ける。次にS1503で、ICカード806内の証明書807を用いて接続条件判定装置830のカード認証部832との間でSSLによる通信を確立する。次にS1504で、情報収集部804で端末装置800のセキュリティ状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。
【0042】
S1505において端末装置800は、先のS1502で確立したSSL通信によりカード接続部806bから接続条件判定装置830に対してS1502で受け付けたユーザIDと、S1504で取得した状態情報を含む端末条件判定要求を送信する。S1506で、ICカード806は端末条件判定結果を受信する。S1507で端末条件判定結果に含まれる接続許可署名をICカード806内に認証情報809として記憶する。
そしてS1508で、受信した端末条件判定結果をチェックし、判定結果がOKの場合には、接続判定結果に含まれる接続許可通知を表示部803に表示し(S1509)、処理を終了する。一方S1508において、認証応答がNGの場合には、判定結果に含まれるエラー理由を表示部803に表示し(S1510)、接続の処理を終了する。
【0043】
図33は、接続条件判定装置830が端末装置800から接続判定要求を受信した際に行う処理を示すフローチャートである。
まず以下いずれも接続条件判定装置830は、S1601でカード認証部832において端末装置800との間でSSLによる通信を確立する。次にS1602で、S1601で確立したSSL通信により端末装置800からICカード806を経由してユーザIDと端末装置800の状態情報を含む接続条件判定要求を受信する。次にS1603で、受信した状態情報が、接続条件記憶部831で記憶する接続条件を満たすかを接続条件判定部833でチェックする。S1604で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、有効時間生成部835において接続許可署名の有効時間を生成する(S1605)。次に認証情報生成部834において接続条件判定装置830の秘密鍵を用いて接続許可署名を生成する(S1606)。なお、接続許可署名とは、S1602で受信したユーザIDとS1605で受信した有効時間をまとめたものを署名したものである。次にS1607で、接続条件判定OKの結果とS1606で生成した接続許可署名を含む端末条件判定結果をICカード806に対して送信し、処理を終了する。
一方、S1604において、1つでも接続条件がOKとならないものがある場合には、S1608でICカード806に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0044】
図34は、端末装置800がVPN接続装置810に接続する際に行う処理を示すフローチャートである。
まず以下いずれも端末装置800は、S1701で入力部802においてユーザからVPN接続指示を受け付ける。ここでVPN接続指示とは、ICカード内の認証情報809を用いてVPN接続処理を始めるための指示である。次に端末装置800のVPN接続部805はICカード806の認証情報取得部808に署名取得要求を送信し(S1702)、VPN接続部805はICカード806の認証情報取得部808から認証情報809として記憶された接続許可署名を取得する(S1703)。
次にS1704で、VPN接続装置810に対してVPN接続部805は、接続許可署名を含む認証要求を送信する。S1705で、VPN接続部805は、これに対する認証応答を受信する。次にS1706でVPN接続部805は、受信した認証応答をチェックし、認証応答がOKの場合には、VPN接続装置810とのVPN接続を確立し(S1707)、表示部803に接続の完了を表示し(S1708)、接続の処理を終了する。
一方、S1706において認証応答がNGの場合には、表示部803に認証の失敗を表示し(S1709)、接続の処理を終了する。
【0045】
図35は、認証装置820がVPN接続装置810から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS1801で、認証装置820は、VPN接続装置810から接続許可署名を含む認証要求を受け付けると、S1802で時刻取得部824が現在の時刻を取得する。次に以下いずれも認証装置820は、S1803で鍵管理部825に格納されている接続条件判定装置830の公開鍵を用いて接続許可署名の検証を行う。S1804で検証処理が正常に行われた場合には、S1803で得られたユーザIDが管理部822に登録されているかを検索する(S1805)。なお、S1804で検証処理が正常に行われたことで、認証装置820は、端末装置800は接続条件判定装置830から接続許可を受けていると判定する。S1805で、管理部822にS1803で得られたユーザIDが登録されている場合には、認証判断部823はS1803で得られた有効時間を取り出し(S1806)、S1802で取得した時刻を用いて接続許可署名が有効であるかどうかをチェックする(S1807)。S1807で接続許可署名が有効である場合には、VPN接続装置810に対して端末装置800の接続の許可を通知し(S1808)、接続許可署名と有効時間を削除し(S1809)て、認証の処理を終了する。
一方、S1807のチェックにおいて接続許可署名が有効でない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。また、S1804において、検証処理が正常に行われない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。また、S1805において、S1803で得られたユーザIDが管理部822に登録されていない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。
【0046】
図36はこの発明の実施の形態7におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置800を経由してICカード806用の認証情報を送信する(S1900)と、端末装置800は、ICカード806からの認証結果をユーザに送信する(S1901)。その後、ユーザが端末装置800へ接続条件判定実行指示を送信する(S1902)。その後、端末装置800がICカード806へSSL通信確立要求を送信する(S1903)と、ICカード806と接続条件判定装置830との間で、SSL接続確立のためにデータのやりとりを行い(S1904)、S1904でのデータのやりとりが終了すると、結果を端末装置800に送信する(S1905)。その後、端末装置800はICカード806に接続条件判定要求を送信し(S1906)、ICカード806はS1906で受信した接続条件判定要求を接続条件判定装置830に送信する(S1907)。その後、接続許可署名を含む端末条件判定結果をICカード806へ送信する(S1908)。ICカード806から判定結果を端末装置800に送信し(S1909)、判定結果がOKの場合には、端末装置800は、接続許可通知をユーザに表示する(S1910)。その後、ユーザが端末装置800へVPN接続指示を送信すると(S1911)、端末装置800がICカード806へ署名取得要求を送信し(S1912)、ICカード806は端末装置800へ接続許可署名を送信する(S1913)。その後、端末装置800がVPN接続装置810へ接続許可署名を含む認証要求を送信し(S1914)、VPN接続装置810はS1914で受信した接続許可署名を含む認証要求を認証装置820へ送信する(S1915)。
その後、認証装置820がVPN接続装置810へ認証応答を送信し(S1916)、VPN接続装置810はS1916で受信した認証応答を端末装置800へ送信する(S1917)。認証応答がOKの場合には、端末装置800とVPN接続装置810との間で、VPN接続確立のためにデータのやりとりを行い(S1918)、S1918でのデータのやりとりが終了すると、結果をユーザに表示(S1919)して終了する。
【0047】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要な接続許可署名をシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
また、更に接続許可署名に有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
また、本実施の形態では、接続条件判定装置と認証装置との間で通信は発生していないので、接続条件判定装置を運営する組織と認証装置と運営する組織とを独立することができる。このため、大きなシステムが構築できない組織に対しても、接続条件判定装置を用いたサービスを提供することができ、組織の規模を問わず、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
【0048】
なお、本実施の形態では、情報収集部804をハードウェアとして説明したが、実施の形態3と同様に、端末装置800のメモリ801bにマイクロプロセッサ801aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置800上で実行可能な情報収集プログラムとしてICカード806内に格納し、認証処理を実行する際にICカード内から端末装置800のメモリ801bに転送して記憶し、認証要求時にマイクロプロセッサ801aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード806内に記憶されるため、端末装置800上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置800内のVPN接続部805もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ801bに記憶してマイクロプロセッサ801aで実行してもよいし、端末装置800上で実行可能なVPN接続プログラムをICカード806内に格納し、VPN接続を実行する際にICカード806内から端末装置800のメモリ801bに転送して実行する構成とすることもできる。
また、本実施の形態では認証装置820がVPN接続装置810から認証要求が送られてきた際に行う認証の処理で接続許可署名の検証と有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置820が接続条件判定装置830から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0049】
実施の形態8.
実施の形態3では、接続条件提供装置がワンタイムパスワードを生成してから、認証装置がユーザによって入力されたIDとワンタイムパスワードを受信するまでの時間については何も記述されていない場合があった。この実施の形態では、有効時間(ワンタイムパスワードが使用可能な時間)を用いて接続条件の判定を行う場合を示す。
図37は、実施の形態8における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1100は、内部に入力部1102、表示部1103、情報収集部1104、VPN接続部1105、抜き出して保存が可能なICカード1106を含むカード接続部1106b(図37では省略)を備えている。ICカード1106は内部に暗号化部1107を持ち、この暗号化のための暗号化鍵1108を備えている。またカードには、証明書1109、後で説明するパスワード1113と接続条件1111を記憶し、更に接続条件判定部1112を備えている。
認証装置1120は、内部に管理部1122と認証判断部1123と時刻取得部1124を備えている。
【0050】
一方、接続条件提供装置1130は、内部に接続条件記憶部1131、カード認証部1132、パスワード生成部1134、有効時間生成部1135を備えている。接続条件記憶部1131が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1108は秘密鍵とし、これに対応する公開鍵が証明書1109に含まれているものとする。
また、ICカード1106内の接続条件判定部1112で接続条件判定がNGとなった場合に端末装置1100の表示部1103に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、ワンタイムパスワードの有効期限が切れてNGとなった場合に、端末装置600の表示部603に表示される接続判定エラーの一例は実施の形態6の図24と同様である。
本実施の形態での新しい構成は、認証装置1120の内部に時刻取得部1124を、接続条件提供装置1130の内部に有効時間生成部1135を備えたことである。
図38は、認証装置1120の管理部1122が記憶する登録情報1201を示しており、ユーザID1202とパスワード1203と有効時間1204のペアが記憶される。
【0051】
次に動作について説明する。なお、本実施の形態において、接続条件提供装置1130と認証装置1120は時間同期をしているものとする。
端末装置1100が接続条件提供装置1130に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理は、実施の形態3の図17と同様である。
図39は、接続条件提供装置1130が、端末装置1100から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2301で、カード認証部1132は、ICカード1106との間でSSLによる通信を確立する。次に以下いずれも接続条件提供装置1130は、S2302で、この確立したSSL通信により、カード認証部1132は、端末装置1100からICカード1106を経由してユーザIDを含む接続条件要求を受信する。次にS2303で、SSLを確立する際に使用した証明書1109で公開鍵を取得する。次にS2304で、パスワード生成部1134でワンタイムパスワードを生成し、S2305で有効時間生成部1135においてワンタイムパスワードの有効時間を生成する。次に、S2306で認証装置1120に対してユーザIDとワンタイムパスワードと有効時間を含むパスワード設定要求を送信する。次にS2307で、接続条件記憶部1131が記憶する接続条件とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S2308で、これらの暗号化データを含む端末条件要求結果を端末装置1100経由でICカード1106に送信し、処理を終了する。
【0052】
端末装置1100が、VPN接続装置1110に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1120において、接続条件提供装置1130からパスワード設定要求を受信した際に行う処理は、実施の形態6の図26に示した処理と同様である。
さらに、認証装置1120が、VPN接続装置1110から認証要求が送られてきた際に行う認証の処理は、実施の形態6の図27に示した処理と同様である。
この発明の実施の形態8におけるセキュリティ保全システムのデータの流れを示すシーケンス図を図40に示す。
先ずユーザが端末装置1100に向けてICカード1106用の認証情報を送信する(S2200)と、端末装置1100は、ICカード1106からの認証結果をユーザに送信する(S2201)。その後、ユーザが端末装置1100へ接続条件判定実行指示を送信する(S2202)。その後、端末装置1100がICカード1106へSSL通信確立要求を送信する(S2203)と、ICカード1106と接続条件提供装置1130との間で、SSL接続確立のためにデータのやりとりを行い(S2204)、S2204でのデータのやりとりが終了すると、結果を端末装置1100に送信する(S2205)。その後、端末装置1100はICカード1106に接続条件要求を送信し(S2206)、ICカード1106はS2206で受信した接続条件要求を接続条件提供装置1130に送信する(S2207)。その後、接続条件提供装置1130はIDとワンタイムパスワードを含むパスワード設定要求を認証装置1120へ送信し(S2208)、ワンタイムパスワードと接続条件を含む接続条件応答をICカード1106へ送信する(S2209)。
【0053】
ICカード1106から接続条件応答結果を端末装置1100に送信すると(S2210)、端末装置1100が状態情報をICカード1106に送信する(S2211)。その後、ICカード1106が判定結果を端末装置1100へ送信し(S2212)、判定結果がOKの場合には、端末装置1100は、ワンタイムパスワードをユーザに表示する(S2213)。その後、ユーザから端末装置1100へIDとS2213で表示されたワンタイムパスワードが入力されると(S2214)、端末装置1100はVPN接続装置1110へIDと認証データを含む認証要求を送信し(S2215)、VPN接続装置1110はS2215で受信したIDと認証データを含む認証要求を認証装置1120へ送信する(S2216)。その後、認証装置1120がVPN接続装置1110へ認証応答を送信し(S2217)、VPN接続装置1110はS2217で受信した認証応答を端末装置1100へ送信する(S2218)。認証応答がOKの場合には、端末装置1100とVPN接続装置1110との間で、VPN接続確立のためにデータのやりとりを行い(S2219)、S2219でのデータのやりとりが終了すると、結果をユーザに表示(S2220)して終了する。
上記のシーケンス図は、実施の形態3にも適用される。
本実施の形態では、上記のシーケンス図で、パスワード設定要求(S2208)に有効時間が含まれることになる。
【0054】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、更にワンタイムパスワードに有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
なお、カードに備えた接続条件判定部1112をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1111と情報収集部1104が収集したセキュリティ状態情報と比較するようにしてもよい。この構成は、他の実施の形態にも適用できる。
【0055】
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1104とVPN接続部1105をハードウェアではなく、端末装置1100上で実行可能な情報収集プログラムとしてICカード1106内に格納し、認証処理を実行する際にICカード1106内から端末装置1100上に取り出して実行する構成とすることもできる。この場合はウイルスの影響を受けずに端末の状態情報の収集が可能である。
また、本実施の形態では認証装置1120がVPN接続装置1110から認証要求が送られてきた際に行う認証の処理でワンタイムパスワードと有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置1120が接続条件提供装置1130から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、他の実施の形態と同様に、複数回連続で認証に失敗した場合に処理を終了してもよい。
【0056】
実施の形態9.
先の実施の形態における接続条件提供装置を含むシステムでは、認証装置がVPN接続装置から認証要求が送られてきた際に行う認証にワンタイムパスワードを使用したが、この実施の形態では署名を用いて認証装置が認証を行う場合を示す。
図41は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1300は、内部に入力部1302、表示部1303、情報収集部1304、VPN接続部1305、抜き出して保存が可能なICカード1306を含むカード接続部1306b(図41では省略)を備えている。ICカード1306は内部に暗号化部1307を持ち、この暗号化のための暗号化鍵1308を備えている。またカードには、証明書1309、後で説明する認証情報1313と接続条件1311を記憶し、更に接続条件判定部1312を備えている。
認証装置1320は、内部に管理部1322と認証判断部1323と時刻取得部1324と鍵管理部1325を備えている。
【0057】
一方、接続条件提供装置1330は、内部に接続条件記憶部1331、カード認証部1332、認証情報生成部1334、有効時間生成部1335を備えている。接続条件記憶部1331が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1308は秘密鍵とし、これに対応する公開鍵が証明書1309に含まれているものとする。
また、ICカード1306内の接続条件判定部1312で接続条件判定がNGとなった場合に端末装置1300の表示部1303に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、署名の検証が正しく処理されなった場合に、端末装置1300の表示部1303に表示される接続判定エラーの一例は実施の形態7の図30と同様である。
また、接続条件判定が条件を満たしてOKとなった場合に、端末装置1300の表示部1303に表示される接続許可通知の一例は実施の形態7の図31と同様である。
本実施の形態での新しい構成は、接続条件提供装置1330の内部に認証情報生成部1334を備えたことである。また、認証情報生成部1334で生成された署名はICカード1306内に認証情報1313として格納される。
本実施の形態での新しい構成は、接続条件提供装置1330の内部に認証情報生成部1334を備えたことである。認証情報生成部1334では署名(接続許可署名)を生成する。ICカード1306の公開鍵が真正であることを証明する証明書1309と違い、前記署名は接続条件がOKであることを、端末のIDと署名の有効時間を接続条件判定装置1330の秘密鍵で暗号化(署名生成)し,認証装置1320が接続条件判定装置1330の公開鍵で復号(署名検証)に成功することで保証するものである。ワンタイムパスワードを用いる場合と違い、事前に接続条件判定装置1330から認証装置1320へ署名を渡す必要がなくなり、それぞれ独立した構成とすることができる。
【0058】
次に動作について説明する。なお、本実施の形態において、接続条件提供装置1330と認証装置1320は時間同期をしているものとする。また、認証装置1320は接続条件提供装置1330の公開鍵を持っており、接続条件提供装置1330が使用する署名アルゴリズムを知っているとする。
端末装置1300が接続条件提供装置1330に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理は、図17の接続条件応答の中に接続許可署名が含まれること、S2011のパスワード表示の代わりに接続許可通知を表示すること、を除けば実施の形態3の図17と同様である。
図42は、接続条件提供装置1330が、端末装置1300から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2401で、カード認証部1332は、ICカード1306との間でSSLによる通信を確立する。次に以下いずれも接続条件提供装置1330は、S2402で、この確立したSSL通信により、カード認証部1332は、端末装置1300からICカード1306を経由してユーザIDを含む接続条件要求を受信する。次にS2403で、SSLを確立する際に使用した証明書1309で公開鍵を取得する。次にS2404で、認証情報生成部1334で接続条件提供装置1330の秘密鍵を用いて接続許可署名を生成し、S2405で有効時間生成部1335において接続許可署名の有効時間を生成する。次にS2406で、接続条件記憶部1331が記憶する接続条件と接続許可署名のそれぞれを公開鍵で暗号化し、S2407で、これらの暗号化データを含む端末条件要求結果を端末装置1300経由でICカード1306に送信し、処理を終了する。
【0059】
端末装置1300が、VPN接続装置1310に接続する際に行う処理は、実施の形態6の図34に示した処理と同様である。
さらに、認証装置1320が、VPN接続装置1310から認証要求が送られてきた際に行う認証の処理は、実施の形態6の図35に示した処理と同様である。
図43は、この発明の実施の形態9におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置1300に向けてICカード1306用の認証情報を送信する(S2500)と、端末装置1300はICカード1306からの認証結果をユーザに送信する(S2501)。その後、ユーザが端末装置1300へ接続条件判定実行指示を送信する(S2502)。その後、端末装置1300がICカード1306へSSL通信確立要求を送信する(S2503)と、ICカード1306と接続条件提供装置1330との間で、SSL接続確立のためにデータのやりとりを行い(S2504)、S2504でのデータのやりとりが終了すると、結果を端末装置1300に送信する(S2505)。その後、端末装置1300はICカード1306に接続条件要求を送信し(S2506)、ICカード1306はS2506で受信した接続条件要求を接続条件提供装置1330に送信する(S2507)。その後、接続条件提供装置1330は接続許可署名と接続条件を含む接続条件応答をICカード1306へ送信する(S2508)。ICカード1306から接続条件応答結果を端末装置1300に送信すると(S2509)、端末装置1300が状態情報をICカード1306に送信する(S2510)。その後、ICカード1306が判定結果を端末装置1300へ送信し(S2511)、判定結果がOKの場合には、端末装置1300は、接続許可通知をユーザに表示する(S2512)。
【0060】
その後、ユーザが端末装置1300へVPN接続指示を送信すると(S2513)、端末装置1300がICカード1306へ署名取得要求を送信し(S2514)、ICカード1306は端末装置1300へ接続許可署名を送信する(S2515)。その後、端末装置1300がVPN接続装置1310へ接続許可署名を含む認証要求を送信し(S2516)、VPN接続装置1310はS2516で受信した接続許可署名を含む認証要求を認証装置1320へ送信する(S2517)。その後、認証装置1320がVPN接続装置1310へ認証応答を送信し(S2518)、VPN接続装置1310はS2518で受信した認証応答を端末装置1300へ送信する(S2519)。認証応答がOKの場合には、端末装置1300とVPN接続装置1310との間で、VPN接続確立のためにデータのやりとりを行い(S2520)、S2520でのデータのやりとりが終了すると、結果をユーザに表示(S2521)して終了する。
【0061】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定し、接続に必要な接続条件をICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、かつセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、更に認証情報に有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
また、本実施の形態では、接続条件提供装置と認証装置との間で通信は発生していないので、接続条件提供装置を運営する組織と認証装置と運営する組織とを独立することができる。このため、大きなシステムが構築できない組織に対しても、接続条件判定装置を用いたサービスを提供することができ、組織の規模を問わず、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
なお、カードに備えた接続条件判定部1312をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1311と情報収集部1304が収集したセキュリティ状態情報と比較するようにしてもよい。
【0062】
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1304とVPN接続部1305をハードウェアでは無く、プログラムとしてもよい。その結果得られる効果も対応する実施の形態の効果と同様である。
また、本実施の形態では認証装置1320がVPN接続装置1310から認証要求が送られてきた際に行う認証の処理で接続許可署名と有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置1320が接続条件提供装置1330から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0063】
実施の形態10.
実施の形態9では、情報収集部で端末装置のセキュリティ状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集していた。状態収集部の中に調査するOSのレジストリやファイル名の情報が含まれているため、セキュリティ状態情報が記述されているOSのレジストリやファイル名に変更があった場合、情報収集部も変更しなければならない。情報収集部の変更は時間もコストもかかり、変更期間は外部ネットワークから内部ネットワークへの接続ができなくなる。
本実施の形態においてICカードは、接続条件提供装置から接続条件に加えて、調査項目や調査するOSのレジストリやファイル名の情報を含んだ収集指定情報も受信する。収集指定情報として、OSのバージョンの取得コマンド、あるいはOSのバージョン番号が格納されているファイルやレジストリの場所と、OS適用パッチ番号の取得コマンド、あるいはOS適用パッチ番号が格納されているファイルやレジストリの場所と、ウイルスチェック・プログラムのバージョン番号の取得コマンド、あるいはウイルスチェック・プログラムのバージョン番号が格納されているファイルやレジストリの場所と、ウイルスチェックパターン・ファイル番号の取得コマンド、あるいはウイルスチェックパターン・ファイル番号が格納されているファイルやレジストリの場所と、ウイルス検索日時の取得コマンド、あるいはウイルス検索日時が格納されているファイルやレジストリの場所と、ウイルス検索使用パターン番号の取得コマンド、あるいはウイルス検索使用パターン番号が格納されているファイルやレジストリの場所と、を記載する。
情報収集部が端末装置のセキュリティ状態情報を収集する際は、まず始めに収集指定情報を読み込み、調査項目や調査するOSのレジストリやファイル名の情報を取得する。これにより状態収集部の変更の必要がなくなり、セキュリティ状態情報が記述されているOSのレジストリやファイル名に変更があった場合でも迅速に対応できる。
【0064】
図44は、実施の形態10における端末装置、接続条件提供装置、セキュリティ保全システムを示す構成図である。図において、端末装置1400は、内部に入力部1402、表示部1403、指定情報収集部1404、VPN接続部1405、抜き出して保存が可能なICカード1406を含むカード接続部1406b(図44では省略)を備えている。ICカード1406は内部に暗号化部1407を持ち、この暗号化のための暗号化鍵1408を備えている。またカードには、証明書1409、後で説明するパスワード1413と接続条件1411と収集指定情報1416を記憶し、更に接続条件判定部1412を備えている。
認証装置1420は、内部に管理部1422と認証判断部1423を備えている。
本実施の形態で新しい構成要素は、接続条件提供装置1430において収集指定情報記憶部1433を備えたことである。接続条件提供装置1430はまた幾つかの他実施の形態でのように、接続条件記憶部1431、カード認証部1432、パスワード生成部1434を備えている。接続条件記憶部1431が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様である。
【0065】
なお、暗号化鍵1408は秘密鍵とし、これに対応する公開鍵が証明書1409に含まれているものとする。
また、ICカード1406内の接続条件判定部1412で接続条件判定がNGとなった場合に端末装置1400の表示部1403に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、認証装置1420の管理部1422が記憶する登録情報は実施の形態3の図16に示すものと同様である。
図45は、接続条件提供装置1430の収集指定情報記憶部1433が記憶する収集指定情報の一例である。図45の上段の例は次のような意味となる。{「Virus Checker A 2006」のソフトについて必ず(Nは必須という意味)調べなさい。具体的には、レジストリHKEY_LOCAL_MACHINE¥a¥programにあるプログラムのバージョンと、レジストリHKEY_LOCAL_MACHINE¥a¥patternにあるパターンファイル番号と、ファイル名search.txtのsearchタグにあるウイルス検索日時を調べなさい。}
【0066】
次に動作について説明する。
図46は、端末装置1400が接続条件提供装置1430に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS2600で、ユーザが端末装置1400にICカード1406を装着し、ユーザとICカード1406との間で認証を行う。S2601で認証に成功するとS2602で、入力部1402がユーザIDの入力と接続条件判定の実行指示を受け付ける。次に以下いずれも端末装置1400は、S2603で、ICカード1406内の証明書1409を用いて接続条件提供装置1430との間でSSLによる通信を確立する。次にS2604で、この確立したSSL通信により接続条件提供装置1430に受け付けたユーザIDを含む接続条件要求を送信する。S2605で暗号化されたパスワードと暗号化された接続条件と暗号化された収集指定情報を含む接続条件応答を受信する。次にS2606で、受信した暗号化されたパスワードと接続条件と収集指定情報とを暗号化部1407で暗号化鍵1408を使って復号し、S2607で復号により得られたパスワードをパスワード1413として、得られた端末条件を接続条件1411として、得られた収集指定情報を収集指定情報1416として、ICカード1406に格納する。
こうして接続条件提供装置1430から最新のセキュリティ情報と収集指定情報が端末装置1400へ送られてくる。
【0067】
次にS2608で指定情報収集部1404は,S2607でICカード1406に格納した収集指定情報1416を取り出し、収集指定情報1416に書かれた内容を読み込む。次にS2609で指定情報収集部1404は,端末装置1400の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号を、S2608で読み込んだOSのレジストリやファイル名やファイル日付等から収集する。次にS2610で、得られた端末装置1400の状態情報がICカード1406に格納されている接続条件提供装置1430から受信した接続条件1411を満たすかを接続条件判定部1412でチェックする。S2611で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1413を表示部1403にワンタイムパスワードとして表示し(S2612)、処理を終了する。一方、S2611において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1403に表示し(S2613)、終了する。また、S2601で認証に失敗した際も処理を終了する。
【0068】
図47は、接続条件提供装置1430が、端末装置1400から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2701で、カード認証部1432は、ICカード1406との間でSSLによる通信を確立する。次にS2702で、この確立したSSL通信により、カード認証部1432は、端末装置1400からICカード1406を経由してユーザIDを含む接続条件要求を受信する。次に以下いずれも接続条件提供装置1430は、S2703で、SSLを確立する際に使用した証明書1409で公開鍵を取得する。次にS2704で、パスワード生成部1434でワンタイムパスワードを生成し、S2705で認証装置1420に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS2706で、接続条件記憶部1431が記憶する接続条件と収集指定情報記憶部1433が記憶する収集指定情報とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S2707で、これらの暗号化データを含む端末条件要求結果を端末装置1400経由でICカード1406に送信し、処理を終了する。
端末装置1400が、VPN接続装置1410に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1420において、接続条件提供装置1430からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置1420が、VPN接続装置1410から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
【0069】
図48は、この発明の実施の形態10におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
先ずユーザが端末装置1400に向けてICカード1406用の認証情報を送信する(S2800)と、端末装置1400はICカード1406からの認証結果をユーザに送信する(S2801)。その後、ユーザが端末装置1400へ接続条件判定実行指示を送信する(S2802)。その後、端末装置1400がICカード1406へSSL通信確立要求を送信する(S2803)と、ICカード1406と接続条件提供装置1430との間で、SSL接続確立を行い(S2804)、その後、結果を端末装置1400に送信する(S2805)。端末装置1400はICカード1406に接続条件要求を送信し(S2806)、ICカード1406は受信したS2806の接続条件要求を接続条件提供装置1430に送信する(S2807)。その後、接続条件提供装置1430はIDとワンタイムパスワードを含むパスワード設定要求を認証装置1420へ送信する(S2808)。
【0070】
接続条件提供装置1430は、ワンタイムパスワードと接続条件と収集指定情報を含む接続条件応答をICカード1406へ送信する(S2809)。ICカード1406から接続条件応答結果を端末装置1400に送信すると(S2810)、端末装置900は収集指定情報を取得するために収集指定情報要求をICカード1406へ送信する(S2811)。ICカード1406は収集指定情報を端末装置900へ送信する(S2812)。その後、端末装置1400が状態情報をICカード1406に送信する(S2813)。その後、ICカード1406が判定結果を端末装置1400へ送信し(S2814)、判定結果がOKの場合には、端末装置1400は、ワンタイムパスワードをユーザに表示する(S2815)。
その後、ユーザから端末装置1400へIDとS2815で表示されたワンタイムパスワードが入力されると(S2816)、端末装置1400はVPN接続装置1410へIDと認証データを含む認証要求を送信し(S2817)、VPN接続装置1410はS2817で受信したIDと認証データを含む認証要求を認証装置1420へ送信する(S2818)。その後、認証装置1420がVPN接続装置1410へ認証応答を送信し(S2819)、VPN接続装置1410はS2819で受信した認証応答を端末装置1400へ送信する(S2820)。認証応答がOKの場合には、端末装置1400とVPN接続装置1410との間で、VPN接続確立のためにデータのやりとりを行い(S2821)、S2821でのデータのやりとりが終了すると、結果をユーザに表示(S2822)して終了する。
【0071】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、収集指定情報を用いてセキュリティ状態情報を収集しているので、OSのレジストリやファイル名等の仕様が変更になった場合でも収集指定情報の記述を変更するだけでよい。このため、仕様変更直後でも、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
本実施の形態において端末装置1400の収集指定情報1416は、接続条件提供装置1430の収集指定情報記憶部1433から接続応答受信のタイミングで送られてくる、と説明したが、勿論、他のメディアからロードする等の方法で、また別のタイミングで、得るようにしてもよい。
さらに、先の実施例で説明したように、ワンタイムパスワードに有効時間を設けてもよい。また、ワンタイムパスワードの代わりに署名を用いてもよい。こうすればさらに安全に、外部からの攻撃に対して安全で、かつセキュリティの条件を満たす端末装置のみを内部ネットワークへ接続できる。
【0072】
なお、カードに備えた接続条件判定部1412をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1411と指定情報収集部1404が収集したセキュリティ状態情報と比較するようにしてもよい。
また、指定情報収集部1404とVPN接続部1405をハードウェアでは無く、端末装置1400上で実行可能なプログラムとしてICカード1406内に格納し、認証処理を実行する際にICカード内から端末装置1400上に取り出して実行する構成とすることもできる。この場合の効果は、既に他の類似した実施の形態で説明した通りである。
また、ICカードとユーザの認証失敗の処理において、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0073】
実施の形態11.
実施の形態10では、接続条件や収集指定情報は接続条件提供装置のみで生成していた。本実施の形態では、ICカードに格納されている、これまでのセキュリティ状態情報のチェック結果から接続条件や収集指定情報を作成する場合を示す。
図49は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1500は、内部に入力部1502、表示部1503、指定情報収集部1504、VPN接続部1505、判定結果取得部1518、抜き出して保存が可能なICカード1506を含むカード接続部1506b(図49では省略)を備えている。ICカード1506は内部に暗号化部1507を持ち、この暗号化のための暗号化鍵1508を備えている。またカードには、証明書1509、後で説明するパスワード1513と接続条件1511と収集指定情報1516と接続条件判定結果1517を記憶し、更に接続条件判定部1512を備えている。
認証装置1520は、内部に管理部1522と認証判断部1523を備えている。
本実施の形態で新しい構成要素は、接続条件提供装置1530において収集指定情報生成部1533を備えたことである。
接続条件提供装置1530はまた幾つかの他実施の形態でのように、内部に接続条件生成部1531、カード認証部1532、パスワード生成部1534、接続条件判定結果管理部1535を備えている。接続条件生成部1531が生成する接続条件の一例は実施の形態1の図2に示す接続条件と同様である。
【0074】
なお、暗号化鍵1508は秘密鍵とし、これに対応する公開鍵が証明書1509に含まれているものとする。
また、ICカード1506内の接続条件判定部1512で接続条件判定がNGとなった場合に端末装置1500の表示部1503に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、認証装置1520の管理部1522が記憶する登録情報は実施の形態3の図16に示すものと同様である。
接続条件提供装置1530の収集指定情報生成部1533が生成する収集指定情報の一例は実施の形態10の図45に示すものと同様である。
図50は、接続条件提供装置1530の接続条件判定結果管理部1535が記憶する管理情報1601を示しており、ユーザID1602と接続条件判定結果1603のペア構成を記憶する。
図51は、接続条件提供装置1530の接続条件判定結果管理部1535が記憶する接続条件判定結果の一例である。
【0075】
次に動作について説明する。なお、接続条件判定結果1517には、すでに以前の接続条件判定結果が格納されているものとする。
図52は、端末装置1500が接続条件提供装置1530に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS2900で、ユーザが端末装置1500にICカード1506を装着し、ユーザとICカード1506との間で認証を行う。S2901で認証に成功するとS2902で、入力部1502がユーザIDの入力と接続条件判定の実行指示を受け付ける。次にS2903で、ICカード1506内の証明書1509を用いて接続条件提供装置1530との間でSSLによる通信を確立する。次にS2904で、判定結果取得部1518が暗号化部1507で暗号化された接続条件判定結果を取り出して、この確立したSSL通信により接続条件提供装置1530に対してS2905で、端末装置1500は、ICカードから受け付けたユーザIDとS2904で取得した暗号化された接続条件判定結果を含む接続条件要求を送信する。
S2906で暗号化されたパスワードと暗号化された接続条件と暗号化された収集指定情報を含む接続条件応答を受信する。次にS2907で、受信した暗号化されたパスワードと接続条件と収集指定情報とを暗号化部1507で暗号化鍵1508を使って復号し、S2908で復号により得られたパスワードをパスワード1513として、得られた端末条件を接続条件1511として、得られた収集指定情報を収集指定情報1516として、ICカード1506に格納する。こうして接続条件提供装置1530から、以前の接続条件判定結果から生成された最新のセキュリティ情報と収集指定情報が端末装置1500へ送られてくる。次にS2909で指定情報収集部1504は,S2908でICカード1506に格納した収集指定情報1516を取り出し、収集指定情報1516に書かれた内容を読み込む。
【0076】
次にS2910で指定情報収集部1504は,端末装置1500の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号を、S2909で読み込んだOSのレジストリやファイル名やファイル日付等から収集する。
次にS2911で、得られた端末装置1500の状態情報がICカード1506に格納されている接続条件提供装置1530から受信した接続条件1511を満たすかを接続条件判定部1512でチェックする。S2912で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1513を表示部1503にワンタイムパスワードとして表示し(S2913)、処理を終了する。一方、S2912において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1503に表示し(S2914)、終了する。また、S2901で認証に失敗した際も処理を終了する。
【0077】
図53は、接続条件提供装置1530が、端末装置1500から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS3001で、カード認証部1532は、ICカード1506との間でSSLによる通信を確立する。次にS3002で、この確立したSSL通信により、カード認証部1532は、端末装置1500からICカード1506を経由してユーザIDと暗号化された接続条件判定結果を含む接続条件要求を受信する。次にS3003で、SSLを確立する際に使用した証明書1509で公開鍵を取得する。次に以下いずれも接続条件提供装置1530は、S3004で、S3002で受信した暗号化された接続条件判定結果をS3003で得られた公開鍵で復号し、S3002で受信したユーザIDを基に接続条件判定結果管理部1535に接続条件判定結果1603として登録する。次にS3005で、接続条件判定結果1603から今回の接続条件を接続条件生成部1531で、今回の接続条件から今回の収集指定情報を収集指定情報生成部1533で、それぞれ生成する。具体的には、接続条件判定結果1603と接続条件提供装置1530に格納されている接続条件(図49では省略してある)を比較し、接続条件提供装置1530に格納されている接続条件の方が最新である項目のみを今回の接続条件とする。また、接続条件提供装置1530に格納されている収集指定情報(図49では省略してある)から今回の接続条件に必要な項目のみを取り出したものを今回の収集指定情報とする。
次に、S3006で、パスワード生成部1534でワンタイムパスワードを生成し、S3007で認証装置1520に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS3008で、接続条件生成部1531がS3005で生成した接続条件と収集指定情報生成部1533がS3005で生成した収集指定情報とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S3009で、これらの暗号化データを含む端末条件要求結果を端末装置1500経由でICカード1506に送信し、処理を終了する。
【0078】
端末装置1500が、VPN接続装置1510に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1520において、接続条件提供装置1530からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置1520が、VPN接続装置1510から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
この発明の実施の形態11におけるセキュリティ保全システムのデータの流れを示すシーケンス図は実施の形態10の図48で接続条件要求に接続条件判定結果が含まれることを除いて図48と同様である。
本実施の形態において端末装置1500の収集指定情報1516は、接続条件提供装置1530の収集指定情報生成部1533が生成して、接続応答受信のタイミングで送られてくる、と説明したが、勿論、他のメディアからロードする等の方法で、また別のタイミングで、得るようにしてもよい。
【0079】
以上のように構成しているので、外部からの攻撃に対して安全で、かつセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続できる。
また、収集指定情報を用いてセキュリティ状態情報を収集しているので、OSのレジストリやファイル名等の仕様が変更になった場合でも収集指定情報の記述を変更するだけでよい。このため、仕様変更直後でも収集指定情報生成部1533で生成して送信するので、何時でも外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、以前の接続条件判定結果を基に今回の接続条件と収集指定情報を決定しているので、前回の接続条件判定結果からの差分のみをチェックできるようになり、効率的に接続条件判定処理を行うことができる。
また、本実施の形態では1つの接続条件判定結果のみを使用したが、複数の接続条件判定結果を使用して今回の接続条件と収集指定情報を決定してもよい。
さらに、先の実施の形態で説明したように、ワンタイムパスワードに有効時間を設けてもよいし、ワンタイムパスワードの代わりに署名を用いてもよい。その場合は、先の実施の形態で説明した効果がある。
【0080】
なお、カードに備えた接続条件判定部1512をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1511と指定情報収集部1504が収集したセキュリティ状態情報と比較するようにしてもよい。
なお、指定情報収集部1504と判定結果取得部1518とVPN接続部1505をハードウェアでは無く、端末装置1500上で実行可能なプログラムとしてICカード1506内に格納し、認証処理を実行する際にICカード内から端末装置1500上に取り出して実行する構成とすることもできる。この場合は、端末の状態情報の収集に対して耐ウイルス特性が向上する。
また、ICカードとユーザの認証に失敗した際の終了処理を、複数回連続で認証に失敗した場合に終了の処理をするようにしてもよい。
【0081】
実施の形態12.
VPN接続確立処理を行う前の、認証サーバに送る認証要求として、これまでは接続条件判定装置、または接続条件提供装置で生成されたワンタイムパスワードや署名を用いていた。ここでは、事前にICカードに格納されているパスワードを用いる場合を示す。
図54は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1700は、内部に入力部1702、表示部1703、情報収集部1704、VPN接続部1705、抜き出して保存が可能なICカード1706を含むカード接続部1706b(図54では省略)を備えている。ICカード1706は内部に暗号化部1707を持ち、この暗号化のための暗号化鍵1708を備えている。またカードには、証明書1709、事前に格納されているパスワード1713と後で説明する接続条件1711と乱数1716を記憶し、更に接続条件判定部1712とカード演算部1717を備えている。
認証装置1720は、内部に管理部1722と認証判断部1723とサーバ演算部1724を備えている。
一方、接続条件提供装置1730は、内部に接続条件記憶部1731、カード認証部1732、乱数生成部1734を備えている。接続条件記憶部1731が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1708は秘密鍵とし、これに対応する公開鍵が証明書1709に含まれているものとする。
また、ICカード1706内の接続条件判定部1712で接続条件判定がNGとなった場合に端末装置1700の表示部1703に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
図55は、認証装置1720の管理部1722が記憶する登録情報1801を示しており、ユーザID1802とパスワード1803、乱数1804のペアが記憶される。
【0082】
次に動作について説明する。なお、認証装置1720の管理部1722には、ユーザID1802とパスワード1803の値が格納されている(認証装置1720はICカード1706に格納されたパスワードを知っている)ものとする。
図56は、端末装置1700が接続条件提供装置1730に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS3100で、ユーザが端末装置1700にICカード1706を装着し、ユーザとICカード1706との間で認証を行う。S3101で認証に成功するとS3102で、入力部1702がユーザIDの入力と接続条件判定の実行指示を受け付ける。次に以下いずれも端末装置1700は、S3103で、ICカード1706内の証明書1709を用いて接続条件提供装置1730との間でSSLによる通信を確立する。次にS3104で、この確立したSSL通信により接続条件提供装置1730に対して受け付けたユーザIDを含む接続条件要求を送信する。S3105では暗号化された乱数と暗号化された接続条件を含む接続条件応答を受信する。次にS3106で、受信した暗号化された乱数と接続条件を暗号化部1707で暗号化鍵1708を使って復号し、S3107で復号により得られた乱数を乱数1716として、得られた端末条件を接続条件1711として、ICカード1706に格納する。
【0083】
次にS3108で情報収集部1704は、端末装置1700の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次にS3109で、得られた端末装置1700の状態情報がICカード1706に格納されている接続条件提供装置1730から受信した接続条件1711を満たすかを接続条件判定部1712でチェックする。S3110で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1713と乱数1716の連結したもののハッシュ値を表示部1703に表示し(S3111)、処理を終了する。一方、S3110において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1703に表示し(S3112)、終了する。また、S3101で認証に失敗した際も処理を終了する。
接続条件提供装置1730が、端末装置1700から接続条件要求を受信時に行う処理は、ワンタイムパスワードが乱数になることを除いては実施の形態3の図18と同様である。
端末装置1700が、VPN接続装置1710に接続する際に行う処理を示すフローチャートはユーザが入力する値がハッシュ値に代わったことを除いて図12と同様ある。
また、認証装置1720において、接続条件提供装置1730からパスワード設定要求を受信した際に行う処理は、ワンタイムパスワードが乱数になることを除いて実施の形態2の図13に示した処理と同様である。
【0084】
図57は、認証装置1720がVPN接続装置1710から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS3201で、認証装置1720は、VPN接続装置1710からユーザIDとハッシュ値を含む認証要求を受け付けると、S3202で受信したユーザIDにユーザID1802が一致している登録情報1801が管理部1722に登録されているかを検索する。S3202で、管理部1722に受信したユーザIDにユーザID1802が一致している登録情報1801が登録されている場合には、認証判断部1723は管理部1722よりパスワード1803と乱数1804を取り出し(S3203)、サーバ演算部1724で、パスワード1803と乱数1804の連結したもののハッシュ値を計算する(S3204)。次に、S3204で得られたハッシュ値と、S3201で受信したハッシュ値と一致するかをチェックする(S3205)。S3205のチェックでハッシュ値が一致している場合には、VPN接続装置1710に対して端末装置1700の接続の許可を通知し(S3206)、乱数1804を削除し(S3207)て、認証の処理を終了する。
一方、S3205のチェックにおいてパスワードが一致していない場合には、VPN接続装置1710に対して端末装置1700の接続の拒否を通知し(S3208)、認証の処理を終了する。また、S3202において、ステップS3201で受信したユーザIDにユーザID1802が一致する登録情報1801が管理部1822に登録されていない場合には、VPN接続装置1810に対して端末装置1800の接続の拒否を通知し(S3208)、認証の処理を終了する。
【0085】
図58は、本実施の形態におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置1700に向けてICカード1706用の認証情報を送信する(S3300)と、端末装置1700はICカード1706からの認証結果をユーザに送信する(S3301)。その後、ユーザが端末装置1700へ接続条件判定実行指示を送信する(S3302)。その後、端末装置1700がICカード1706へSSL通信確立要求を送信する(S3303)と、ICカード1706と接続条件提供装置1730との間で、SSL接続確立のためにデータのやりとりを行い(S3304)、S3304でのデータのやりとりが終了すると、結果を端末装置1700に送信する(S3305)。その後、端末装置1700はICカード1706に接続条件要求を送信し(S3306)、ICカード1706はS3306で受信した接続条件要求を接続条件提供装置1730に送信する(S3307)。その後、接続条件提供装置1730はIDと乱数を含む乱数設定要求を認証装置1720へ送信し(S3308)、乱数と接続条件を含む接続条件応答をICカード1706へ送信する(S3309)。
【0086】
ICカード1706から接続条件応答結果を端末装置1700に送信すると(S3310)、端末装置1700が状態情報をICカード1706に送信する(S3311)。その後、ICカード1706が判定結果を端末装置1700へ送信し(S3312)、判定結果がOKの場合には、端末装置1700は、ハッシュ値をユーザに表示する(S3313)。その後、ユーザから端末装置1700へIDとS3313で表示されたハッシュ値が入力されると(S3314)、端末装置1700はVPN接続装置1710へIDと認証データを含む認証要求を送信し(S3315)、VPN接続装置1710はS3315で受信したIDと認証データを含む認証要求を認証装置1720へ送信する(S3316)。その後、認証装置1720がVPN接続装置1710へ認証応答を送信し(S3317)、VPN接続装置1710はS3317で受信した認証応答を端末装置1700へ送信する(S3318)。認証応答がOKの場合には、端末装置1700とVPN接続装置1710との間で、VPN接続確立のためにデータのやりとりを行い(S3319)、S3319でのデータのやりとりが終了すると、結果をユーザに表示(S3320)して終了する。
【0087】
以上の構成としたので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続できる。
また、ICカードに事前に格納されたパスワードと乱数とを連結させたもののハッシュ値をカードの外に出しており、パスワード自体は一度も外に出ないので、外部からの攻撃に対して安全である。
なお、カードに備えた接続条件判定部1712をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1711と情報収集部1704が収集したセキュリティ状態情報と比較するようにしてもよい。
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1704とVPN接続部1705をハードウェアでは無く、プログラムで記述して、端末装置のマイクロプロセッサで読み取り、フローチャートで記述した機能を実行させるようにしてもよい。また、ICカードとユーザの認証に失敗した狩猟処理を、一度だけではなく、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0088】
これまでの実施の形態における認証装置、接続条件判定装置、接続条件提供装置は、それぞれ専用のハードウェア装置であるとして説明した。しかし、それら装置を、各実施の形態で説明した、フローチャートで示すと同様の機能を持つプログラムをメモリに記憶させて、プロセッサでそのプログラムを読取って実行する汎用計算機を用いて構成してもよい。
その場合にも、上記各実施の形態で記述した効果が得られる。
【図面の簡単な説明】
【0089】
【図1】この発明の実施の形態1における端末装置、認証装置、及びセキュリティ保全システムの構成を示す図である。
【図2】実施の形態1において接続条件記憶部が記憶する接続条件の一例を示す図である。
【図3】実施の形態1において管理部が記憶する登録情報の例を示す図である。
【図4】実施の形態1においてネットワークへの接続が拒否された場合のエラー理由の表示例を示す図である。
【図5】実施の形態1における端末装置が行う状態報告と接続認証要求の動作処理を示すフロー図である。
【図6】実施の形態1における認証装置が行う認証の操作処理を示すフロー図である。
【図7】この発明の実施の形態2における端末装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図8】実施の形態2において認証装置内の管理部が記憶する登録情報の例を示す図である。
【図9】実施の形態2においてネットワークへの接続が拒否された場合のエラー理由の表示例を示す図である。
【図10】実施の形態2における端末装置が接続条件判定装置に対して接続条件の判定を依頼する動作処理を示すフロー図である。
【図11】実施の形態2における接続条件判定装置が行う接続条件判定の動作処理を示すフロー図である。
【図12】実施の形態2における端末装置がVPN装置に接続する際の処理を示すフロー図である。
【図13】実施の形態2における認証装置がパスワード設定要求受信時に行う処理を示すフロー図である。
【図14】実施の形態2における認証装置がVPN装置からの認証要求を受けた場合に行う認証の処理を示すフロー図である。
【図15】この発明の実施の形態3における端末装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図16】実施の形態3において接続条件記憶部が記憶する接続条件の一例を示す図である。
【図17】実施の形態3における端末装置が行う接続条件要求と判定処理を示すフロー図である。
【図18】実施の形態3における接続条件提供装置が接続条件要求を受信時に行う処理を示すフロー図である。
【図19】実施の形態5における端末装置、VPN接続装置、認証装置間でのデータの流れを示すシーケンス図である。
【図20】実施の形態5で比較する実施の形態1における端末装置、VPN接続装置、認証装置間でのデータの流れを示すシーケンス図である。
【図21】実施の形態5における他の認証装置の構成を示す図である。
【図22】実施の形態6における端末装置、認証装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図23】実施の形態6において管理部が記憶する登録情報の例を示す図である。
【図24】実施の形態6においてパスワードの有効期限が切れた場合のエラー理由の表示例を示す図である。
【図25】実施の形態6における接続条件判定装置が接続判定要求を受信時に行う処理を示すフロー図である。
【図26】実施の形態6における認証装置が接続判定装置からのパスワード設定要求の受信時に行う処理を示すフロー図である。
【図27】実施の形態6における認証装置がVPN接続装置からの認証要求の受信時に行う認証処理を示すフロー図である。
【図28】実施の形態6における端末装置、VPN接続装置、接続条件判定装置、認証装置間でのデータの流れを示すシーケンス図である。
【図29】実施の形態7における端末装置、認証装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図30】実施の形態7において署名の検証が正しく処理されなかった場合のエラー理由の表示例を示す図である。
【図31】実施の形態7において接続条件が満たされた場合に表示される接続許可通知の例を示す図である。
【図32】実施の形態7において端末装置が接続条件判定装置へ接続条件の判定を依頼する際の処理を示すフロー図である。
【図33】実施の形態7における接続条件判定装置が接続判定要求を受信時に行う処理を示すフロー図である。
【図34】実施の形態7における端末装置がVPN接続装置に接続する際に行う処理を示すフロー図である。
【図35】実施の形態7における認証装置がVPN接続装置から認証要求を受けた際に行う認証処理を示すフロー図である。
【図36】実施の形態7における端末装置、VPN接続装置、接続条件判定装置、認証装置間でのデータの流れを示すシーケンス図である。
【図37】実施の形態8における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図38】実施の形態8における認証装置が記憶する登録情報の例を示す図である。
【図39】実施の形態8における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図40】実施の形態8における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図41】実施の形態9における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図42】実施の形態9における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図43】実施の形態9における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図44】実施の形態10における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図45】実施の形態10における接続条件提供装置が記憶する収集指定情報の例を示す図である。
【図46】実施の形態10における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図47】実施の形態10における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図48】実施の形態10における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図49】実施の形態11における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図50】実施の形態11における接続条件提供装置が記憶する管理情報の例を示す図である。
【図51】実施の形態11における接続条件提供装置が記憶する接続条件判定結果の例を示す図である。
【図52】実施の形態11における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図53】実施の形態11における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図54】実施の形態12における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図55】実施の形態12における認証装置が記憶する登録情報の例を示す図である。
【図56】実施の形態12における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図57】実施の形態12における認証装置が行う認証処理を示すフロー図である。
【図58】実施の形態12における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【符号の説明】
【0090】
100 端末装置、101a (マイクロ)プロセッサ、102 入力部、103 表示部、104 情報収集部、105 VPN接続部、106 ICカード、107 暗号化部、108 暗号化鍵、110 VPN接続装置、114 外部ネットワーク、115 内部ネットワーク、120 認証装置、121 接続条件記憶部、122 管理部、123 認証判定部、123b 判定部、123c 認証部、300 端末装置、302 入力部、303 表示部、304 情報収集部、305 VPN接続部、306 ICカード、307 証明書、309 パスワード、310 VPN接続装置、314 外部ネットワーク、315 内部ネットワーク、320 認証装置、322 管理部、323 認証判断部、330 接続条件判定装置、331 接続条件記憶部、332 カード認証部、333 接続条件判定部、334 パスワード生成部、500 端末装置、502 入力部、503 表示部、504 情報収集部、505 VPN接続部、506 ICカード、507 暗号化部、508 暗号化鍵、509 証明書、510 VPN接続装置、511 接続条件、512 接続条件判定部、513 パスワード、514 外部ネットワーク、515 内部ネットワーク、520 認証装置、522 管理部、523 認証判断部、530 接続条件提供装置、531 接続条件記憶部、532 カード認証部、534 パスワード生成部、600 端末装置、601a プロセッサ、602a 入力部、603a 表示部、604 情報収集部、605 VPN接続部、606 ICカード、606b カード接続部、607 証明書、609 パスワード、610 VPN接続装置、614 外部ネットワーク、615 内部ネットワーク、620 認証装置、622 管理部、623 認証判断部、624 時刻取得部、630 接続条件判定装置、631 接続条件記憶部、632 カード認証部、633 接続条件判定部、634 パスワード生成部、635 有効時間生成部、800 端末装置、801a プロセッサ、802 入力部、803 表示部、804 情報収集部、805 VPN接続部、806 ICカード、807 証明書、808 認証情報取得部、809 認証情報、810 VPN接続装置、814 外部ネットワーク、815 内部ネットワーク、820 認証装置、822 管理部、823 認証判断部、824 時刻取得部、825 鍵管理部、830 接続条件判定装置、831 接続条件記憶部、832 カード認証部、833 接続条件判定部、834 認証情報生成部、835 有効時間生成部、 1100 端末装置、1101a プロセッサ、1102 入力部、1103 表示部、1104 情報収集部、1105 VPN接続部、1106 ICカード、1106b カード接続部、1107 暗号化部、1108 暗号化鍵、1109 証明書、1111 接続条件(情報)、1112 接続条件判定部、1113 パスワード、1110 VPN接続装置、1114 外部ネットワーク、1115 内部ネットワーク、1120 認証装置、1122 管理部、1123 認証判断部、1124 時刻取得部、1130 接続条件提供装置、1131 接続条件記憶部、1132 カード認証部、1134 パスワード生成部、1135 有効時間生成部、1300 端末装置、1301a プロセッサ、1302 入力部、1303 表示部、1304 情報収集部、1305 VPN接続部、1306 ICカード、1307 暗号化部、1308 暗号化鍵、1309 証明書、1311 接続条件(情報)、1312 接続条件判定部、1313 認証情報、1310 VPN接続装置、1314 外部ネットワーク、1315 内部ネットワーク、1320 認証装置、1322 管理部、1323 認証判断部、1324 時刻取得部、1325 鍵管理部、1330 接続条件提供装置、1331 接続条件記憶部、1332 カード認証部、1334 認証情報生成部、1335 有効時間生成部、 1400 端末装置、1401a プロセッサ、1402 入力部、1403 表示部、1404 情報収集部、1405 VPN接続部、1406 ICカード、1406b カード接続部、1407 暗号化部、1408 暗号化鍵、1409 証明書、1411 接続条件(情報)、1412 接続条件判定部、1413 パスワード、1410 VPN接続装置、1414 外部ネットワーク、1415 内部ネットワーク、1420 認証装置、1422 管理部、1423 認証判断部、1430 接続条件提供装置、1431 接続条件記憶部、1432 カード認証部、1433 収集指定情報記憶部、1434 パスワード生成部、1500 端末装置、1501a プロセッサ、1502 入力部、1503 表示部、1504 指定情報収集部、1505 VPN接続部、1506 ICカード、1507 暗号化部、1508 暗号化鍵、1509 証明書、1511 接続条件(情報)、1512 接続条件判定部、1513 パスワード、1516 収集指定情報、1517 接続条件判定結果、1510 VPN接続装置、1514 外部ネットワーク、1515 内部ネットワーク、1520 認証装置、1522 管理部、1523 認証判断部、1530 接続条件提供装置、1531 接続条件生成部、1532 カード認証部、1533 収集指定情報生成部、1534 パスワード生成部、1535 接続条件判定結果管理部、1700 端末装置、1701a プロセッサ、1702 入力部、1703 表示部、1704 情報収集部、1705 VPN接続部、1706 ICカード、1707 暗号化部、1708 暗号化鍵、1709 証明書、1711 接続条件(情報)、1712 接続条件判定部、1713 パスワード、1716 乱数、1717 カード演算部、1710 VPN接続装置、1714 外部ネットワーク、1715 内部ネットワーク、1720 認証装置、1722 管理部、1723 認証判断部、1724 サーバ演算部、1730 接続条件提供装置、1731 接続条件記憶部、1732 カード認証部、1734 乱数生成部。
【技術分野】
【0001】
この発明は、外部からの攻撃に強く、健全であることが証明される、所定の端末にのみシステムへの接続を認める、コンピュータウィルス汚染防止のための端末装置、セキュリティ保全システム、方法に関するものである。
【背景技術】
【0002】
従来のセキュリティ保全システムとして、特許文献1で記載の「セキュリティ保全システム及びUSBキー」によれば、USBキーにコンピュータのOSの状態をチェックし、OS(オペレーティング・システム)に関する情報をウェブサーバに提供し、ウェブサーバではコンピュータで使用できる設定ファイルやOSのパッチを当てるためのガイダンスを提供することでコンピュータのセキュリティを向上させることを行っていた。
これは該当装置に最新のパッチを当てて防御状態を高めるよう指示することを目的としている。
従来はこのように、個々の装置にそれぞれ自主的に最新防御体制を要請するだけであり、ウィルス汚染の波及をシステムとして組織的に防ぐことを目的にするものまでは考えられていなかった。
【特許文献1】特開2003−303114号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来のセキュリティ保全システムは、以上に述べたような構成であり、ユーザにOSのパッチを当てさせる際のガイダンスを提供するなど、ユーザが正しくシステムを運用する場合に操作性を向上させる効果はある。しかし、セキュリティ保全システムを正しく運用しないユーザがセキュリティ上で問題があるコンピュータを社内ネットワーク等に接続して、他のコンピュータにウィルスを感染させる、等の不具合を防止出来ない、という課題がある。
【0004】
この発明は上記のような課題を解決するためになされたもので、内部ネットワークに接続するための端末装置が、セキュリティの条件を満たしていない場合には、内部ネットワークへの接続を防止し、適切な状態である場合にのみ接続を許すようにすることを目的とする。
【課題を解決するための手段】
【0005】
この発明に係るセキュリティ保全システムは、
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、A2)電子証明書を記憶したカードを接続するカード接続部と、A3)上記カード接続部に接続されたカードから上記電子証明書を取得し、取得したこの電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、この問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する電子証明書を管理する管理部と、B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理部が管理している電子証明書を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、を備えた認証装置と、により構成される。
問合せ情報は、所定のネットワークへの接続条件の送信要求である場合もあり、逆に端末装置のセキュリティ状態情報を送信して所定のネットワークへの接続条件との適合可否を問合せる場合もある。対応して、応答情報は所定のネットワークへの接続条件の送信である場合があり、逆に適合可否の結果応答である場合もある。
【発明の効果】
【0006】
この発明の端末、システム、方法によれば、外部からの攻撃を避けられる強い端末装置の状態情報を得て、内部ネットワークへの接続の可否を判定するので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末、外部攻撃にさらされたコンピュータが内部ネットワークへ接続して、汚染を広げることを防止する効果がある。
【発明を実施するための最良の形態】
【0007】
実施の形態1.
端末が外部からの攻撃にさらされず、しかも最新の適切なセキュリティが保証される状態でのみ、内部システムと接続が出来る端末、認証装置、システムを説明する。
図1は、この発明の実施の形態1における端末装置、認証装置、及びセキュリティ保全システムの構成を示す図である。図において、(耐ウィルス)端末装置100は、内部に入力部102、表示部103、情報収集部104、VPN(Virtual Private Network 仮想私設網)接続部105(ネットワーク接続部の例)、カード接続部106bを含むICカード106を備えている。もちろんICカードは端末装置から抜き出して保存が可能であり、その内部に暗号化部107を備えており、また暗号化鍵108を持っている。端末装置100は、外部ネットワーク114を経由してVPN接続装置110に接続されている。
更に認証装置120が内部ネットワーク115を経由して、VPN接続装置110に接続されている。認証装置120は、内部に接続条件記憶部121、管理部122、認証判定部123を備えている。
【0008】
セキュリティが高くない端末装置の接続を防ぐため、単に最新のウィルス保全状態になっているだけでは不十分である。と言うのは、通常の無防備な端末装置に対しては、外部から密かに侵入して、例え暗号化部があっても、ウィルス等により内部状態を調べて、情報を改ざんすることが容易である。従ってこうした外部侵入による改ざんを防ぐ機構が端末装置に備わっていなければならない。そしてセキュリティ保全システムを正しく運用しないユーザが端末を内部ネットワークに接続することも防がねばならない。言い換えれば、改ざんを受けない、正しい状態で、最新の保全状態にある端末のみが接続できるようにする。
図2は、接続条件記憶部121が記憶する接続条件の一例を示す図である。
図3は、管理部122が記憶する登録情報201の例を示ず図であり、図中でユーザID2022と、暗号化鍵203が対で記憶されていることを示している。
図4は、端末装置100の内部ネットワークへの接続が拒否された場合に、その表示部103に表示されるエラー理由の例を示す図である。
【0009】
図5は、端末装置100がプロセッサ101a等を用いてVPN接続装置110に接続するに先だって、状態報告を行い、接続の認証を得るまでの動作処理を示すフローチャートである。
図6は、認証装置120が行うVPN接続装置110から端末に関する認証要求が送られてきた際に実行される、認証の操作処理を示すフローチャートである。
上記のフローチャートを用いて、図1の構成によるシステムの動作を説明する。
まず端末装置100から内部ネットワーク側にある認証装置120に対して接続許可を求める動作を説明する。図5のステップ(以下、ステップの記述を省略する)S101で、入力部102においてユーザからユーザIDを受け付ける。次に端末装置100はS102で、情報収集部104により端末装置100のセキュリティ状態情報として、OSのバージョン、OS適用パッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次に端末装置100はS103で、ICカード106内の暗号化部107を用いて、収集した上記の状態情報を暗号化鍵108(暗号鍵の一例)で暗号化した認証データを生成する。そしてS104で、VPN接続部105からユーザIDと認証データを含む認証要求(問合わせ情報の一例)をVPN装置109に対して送信する。
【0010】
端末装置は以上のように構成されていて、暗号化部をICカード106内部に持つので、外部から端末装置内の情報を盗まれて改ざんされることが無い。そして端末装置100から認証装置120に送られる認証のために収集した状態情報は、暗号化で内容を保護されており、安全に送信できる。
S105で、これに対する認証応答を受信すると、S106で受信した認証応答(応答情報の一例)をチェックし、認証応答がOKの場合には、VPN接続装置110とのVPN接続を確立し(S107)、表示部103に接続の完了を表示し(S108)て、接続の処理を終了する。
一方、ステップS106において、認証応答がNGの場合には、認証応答に含まれるエラー理由を表示部103に表示し(S109)、接続の処理を終了する。
【0011】
一方、認証装置120では、図6のS201でVPN装置からユーザIDと認証データを含む認証要求を受け付けると、S202で受信したユーザIDにユーザID202が一致している登録情報201が管理部122に登録されているかを検索する。S202で、管理部122にS201で受信したユーザIDと一致している登録情報201が登録されている場合には、暗号化鍵203を取り出す(S203)。更に、暗号化鍵203で認証データを復号して状態情報を得る(S204)。次に、状態情報が接続条件記憶部121に記憶されている各接続条件を満たすかを認証判定部123でチェックする(S205)。全ての接続条件がOKかを確認し(S206)、全ての条件がOKの場合には、VPN接続装置110に対して端末装置100の接続の許可を通知して(S207)、認証の処理を終了する。一方、ステップS206において、1つでも接続条件に適合しないものがある場合には、不具合となった理由を示すエラー理由を伴ってVPN接続装置110に端末装置100の接続の拒否を通知し(S208)、認証の処理を終了する。また、S202においてS201で受信したユーザIDにユーザID202が一致する登録情報201が管理部111に登録されていない場合にも、接続の拒否を通知し(S208)、認証の処理を終了する。
【0012】
以上述べたように、端末とは別のカードに設けた情報に基づいて端末装置の状態情報を内部ネットワークへ通知して、接続の可否を判定するようにしたので、外部からの端末への攻撃を防ぎ、かつ内部ネットワークに接続するために正しいセキュリティ条件を満たした耐ウィルス端末装置のみを内部ネットワークへ接続することが可能となる。
なお、本実施の形態では、情報収集部104をハードウェア構成要素であるとして説明したが、これを図1に示すように、メモリ101bに上記の動作を行う機能を記述したプログラムを記憶して、マイクロプロセッサ101aでこれらのプログラムを読取り実行する構成としてもよい。または、ICカード106内のメモリにマイクロプロセッサにより実行可能な情報収集プログラムとして格納し、認証処理を実行する際にICカード106内から端末装置100上のメモリ101bにこの情報収集プログラムを転送して記憶し、耐ウィルス端末装置が認証要求時に、この情報収集部の機能をマイクロプロセッサ101aで実行する構成とすることもできる。この場合には、情報収集プログラムが実行されるまでは、ICカード106内に記憶されるため、端末装置100上でウイルスの影響を受けることなく、汚染のない状態で端末の状態情報の収集が可能である。その場合も、セキュリティ条件を満たしている端末装置のみを内部ネットワークへ接続するよう、制限することが可能である。
また、本実施の形態ではVPN接続部105もハードウェアであるとしたが、情報収集部104と同様に、メモリ101bの他の領域に接続動作を行う機能を記述したプログラムを記憶して、マイクロプロセッサ101aでプログラムを読取り実行する構成であってもよく、また端末装置100上で実行可能なVPN接続プログラムとしてICカード106内に格納し、VPN接続を実行する際にICカード106内から端末装置100のメモリ101bに転送して、そのプログラムを実行する構成であってもよい。
更に、暗号化部は端末装置内にあって、暗号化鍵108のみをカード内に記憶して、この暗号化鍵を読み出して暗号化を行うようにしてもよい。また、本実施の形態では、暗号化部107はハードウェア構成要素であるとして説明したが、ICカード106上で実行されるプログラムとして格納し、ICカード106で実行される構成であってもよい。
【0013】
実施の形態2.
内部ネットワークへ正規の端末装置が接続することを認証する機能を認証装置が備えることは、通常行われていることである。またVPN装置は、パスワード等の簡単な認証チェックは行うが、暗号化に対応する復号処理を行った後、チェックを行う等の複雑な処理機能は、通常は持っていない。本実施の形態では、こうした通常のシステムが備えている機能を生かして、しかも先の実施の形態と同様な最新で安全な端末装置の内部ネットワークへの接続認証を行う構成を説明する。
本実施の形態においては、認証を2段に分けて、一つは外部攻撃を受けていなくて、最新のセキュリティ対策を持つ健全な正規端末であることを、接続条件判定装置を設けて確認する。もう一つは健全な正規端末であることをパスワードで表した端末装置に対して、認証装置で確認して後、ネットワークへの接続を許すことにする。
図7は本実施の形態における端末装置、接続条件判定装置、セキュリティ保全システムを示す構成図である。図において、端末装置300は、入力部302、表示部303、情報収集部304、VPN接続部305、抜き出して保存が可能なICカード306を含むカード接続部306bを備えることは図1の構成と同様である。証明書307はICカード306に書き込まれている。端末装置300は、外部ネットワーク314を経由してVPN接続装置310に接続される。更に内部ネットワーク315を経由して、認証装置320に接続される。認証装置320は、内部に管理部322と認証判断部323を備えている。
【0014】
本実施の形態での新しい構成は、認証装置から切り離した接続条件判定装置330を備えたことである。接続条件判定装置330は、内部に接続条件記憶部331、カード認証部332、接続条件判定部333、パスワード生成部334を備えている。
つまり、ICカードの証明書を用いて外部ネットワーク経由で接続した接続条件判定装置により接続条件判定を行った後に、パスワードを得て、VPN接続装置との接続認証を行う。
接続条件判定装置330内の接続条件記憶部331が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
図8は、認証装置320内の管理部322が記憶する登録情報401を示しており、ユーザID402とパスワード403のペア構成を記憶する。
図9は、接続条件判定が条件を満たさないでNGとなった場合に、端末装置300の表示部303に表示される接続判定エラーの一例を示す図である。
【0015】
次に動作について説明する。
図10は、端末装置300が、プロセッサ301a等により、先ず接続条件判定装置330に対して接続条件の判定を依頼する際の処理を示すフローチャートである。このように、端末装置が行う動作としてプロセッサを用いてフローに記載の機能プログラムを実行することは、他の実施の形態でも同様である。
まずS301で、入力部302よりユーザからユーザIDを伴った接続条件判定の実行指示を受け付ける。次にS302で、ICカード306内の証明書307を用いて接続条件判定装置330のカード認証部332との間でSSL(Secure Sockets
Layer)による通信を確立する。次にS303で、情報収集部304で端末装置300の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。S304において、先のS302で確立したSSL通信により接続条件判定装置330に対してS301で受け付けたユーザIDとS303で取得した状態情報を含む端末条件判定要求を送信する。S305で、端末条件判定結果を受信する。そしてS306で、受信した端末条件判定結果をチェックし、判定結果がOKの場合には、接続判定結果に含まれるパスワードを表示部303に次回接続の際のワンタイムパスワードとして表示し(S307)、処理を終了する。一方S306において、認証応答がNGの場合には、判定結果に含まれるエラー理由を表示部303に表示し(S308)、接続の処理を終了する。
【0016】
図11は、接続条件判定装置330が端末装置300から接続判定要求を受信した際に行う処理を示すフローチャートである。
まずS401で、カード認証部332において端末装置300との間でSSLによる通信を確立する。次にS402で、S401で確立したSSL通信により端末装置300からユーザID(Identifier 識別子)と端末装置300の状態情報を含む接続判定要求を受信する。次にS403で、受信した状態情報が、接続条件記憶部331で記憶する接続条件を満たすかを接続条件判定部333でチェックする。S404で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード生成部334においてワンタイムパスワードを生成し(S405)、認証装置320に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する(S406)。次にS407で、接続条件判定OKの結果とS405で生成したワンタイムパスワードを含む端末条件判定結果を端末装置300に対して送信し、処理を終了する。
一方、S404において、1つでも接続条件がOKとならないものがある場合には、S408で端末装置300に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0017】
図12は、端末装置300がVPN接続装置310に接続する際に行う処理を示すフローチャートである。
まずS501で、入力部302においてユーザからユーザIDとS307で表示したワンタイムパスワードの入力を受け付ける。次にS502で、VPN接続装置310に対してユーザIDとワンタイムパスワードを含む認証要求を送信する。S503で、これに対する認証応答を受信する。次にS504で受信した認証応答をチェックし、認証応答がOKの場合には、VPN接続装置310とのVPN接続を確立し(S505)、表示部303に接続の完了を表示し(S506)、接続の処理を終了する。
一方、S504において認証応答がNGの場合には、表示部303に認証の失敗を表示し(S507)、接続の処理を終了する。
図13は、認証装置320が接続条件判定装置330からユーザIDとワンタイムパスワードを含むパスワード設定要求を受信した際に行う処理を示すフローチャートである。
まずS601で、パスワード設定要求を受け付けると、S602で受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されているかを検索する。S602で、受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されている場合には、パスワード403にS601で受信したワンタイムパスワードを格納し(S603)、パスワード登録の処理を終了する。
一方、S602において受信したユーザIDにユーザID402が一致する登録情報401が管理部322に登録されていない場合には、何もせずにパスワード登録の処理を終了する。
【0018】
図14は、認証装置320がVPN接続装置310から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS701で、認証装置320は、VPN接続装置310からユーザIDとパスワードを含む認証要求を受け付けると、S702で受信したユーザIDにユーザID402が一致している登録情報401が管理部322に登録されているかを検索する。S702で、管理部322に受信したユーザIDにユーザID402が一致している登録情報401が登録されている場合には、管理部322よりパスワード403を取り出し(S703)、S701で受信したパスワードと一致するかをチェックする(S704)。S704のチェックでパスワードが一致している場合には、VPN接続装置310に対して端末装置300の接続の許可を通知し(S705)、パスワード403を削除し(S706)て、認証の処理を終了する。
一方、S704のチェックにおいてパスワードが一致していない場合には、VPN接続装置310に対して端末装置300の接続の拒否を通知し(S707)、認証の処理を終了する。また、S702において、ステップS701で受信したユーザIDにユーザID402が一致する登録情報401が管理部322に登録されていない場合には、VPN接続装置310に対して端末装置300の接続の拒否を通知し(S707)、認証の処理を終了する。
【0019】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要なワンタイムパスワードをシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
なお、本実施の形態では、情報収集部304をハードウェアとして説明したが、実施の形態1と同様に、端末装置300のメモリ301bにマイクロプロセッサ301aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置300上で実行可能な情報収集プログラムとしてICカード306内に格納し、認証処理を実行する際にICカード内から端末装置300のメモリ301bに転送して記憶し、認証要求時にマイクロプロセッサ301aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード306内に記憶されるため、端末装置300上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置300内のVPN接続部305もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ301bに記憶してマイクロプロセッサ301aで実行してもよいし、端末装置300上で実行可能なVPN接続プログラムをICカード306内に格納し、VPN接続を実行する際にICカード内から端末装置300のメモリ301bに転送して実行する構成とすることもできる。
また更に、接続条件判定装置330から送られてくるワンタイムパスワードを、端末装置300経由でICカード306内パスワード309として記憶し、VPN接続装置310経由で認証装置320との間の認証に際して、ICカードからこのパスワード309を読み出して使用するようにしてもよい。こうすれば外部攻撃から更に安全になる。
【0020】
実施の形態3.
接続条件の判定をネットワーク上で行う代わりにカードに設けた判定部で行う構成としてもよい。即ち先の実施の形態2では、接続条件の判定を端末装置から外部ネットワークを経由して接続した接続条件判定装置で行うようにしたが、この実施の形態ではICカード内で接続条件の判定を行う場合を示す。
図15は、実施の形態3における端末装置、接続条件提供装置、セキュリティ保全システムを示す構成図である。図において、端末装置500は、内部に入力部502、表示部503、情報収集部504、VPN接続部505、抜き出して保存が可能なICカード506を含むカード接続部506bを備えている。ICカード506は内部に暗号化部507を持ち、この暗号化のための暗号化鍵508を備えている。またカードには、証明書509、後で説明するパスワード513と接続条件511を記憶し、更に接続条件判定部512を備えている。
認証装置520は、内部に管理部522と認証判断部523を備えている。
【0021】
一方、接続条件提供装置530は、内部に接続条件記憶部531、カード認証部532、パスワード生成部534を備えている。接続条件記憶部531が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵508は秘密鍵とし、これに対応する公開鍵が証明書509に含まれているものとする。
また、ICカード506内の接続条件判定部512で接続条件判定がNGとなった場合に端末装置500の表示部503に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
図16は、認証装置520の管理部522が記憶する登録情報601を示しており、ユーザID602とパスワード603のペアが記憶される。
【0022】
次に動作について説明する。
図17は、端末装置500が接続条件提供装置530に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS801で、その入力部502でユーザIDの入力と接続条件判定の実行指示を受け付ける。次にS802で、ICカード506内の証明書509を用いて接続条件提供装置530との間でSSLによる通信を確立する。次にS803で、この確立したSSL通信により接続条件提供装置530に受け付けたユーザIDを含む接続条件要求を送信する。S804で暗号化されたパスワードと暗号化された接続条件を含む接続条件応答を受信する。次にS805で、受信した暗号化されたパスワードと接続条件を暗号化部507で暗号化鍵508を使って復号し、S806で復号により得られたパスワードをパスワード513として、得られた端末条件を接続条件511として、ICカード506に格納する。こうして接続条件提供装置530から最新のセキュリティ情報が端末装置へ送られてくる。次にS807で情報収集部504は,端末装置500の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次にS808で、得られた端末装置500の状態情報がICカード506に格納されている接続条件提供装置530から受信した接続条件511を満たすかを接続条件判定部512でチェックする。S809で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード513を表示部503にワンタイムパスワードとして表示し(S810)、処理を終了する。一方、S809において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部503に表示し(S811)、終了する。
【0023】
図18は、接続条件提供装置530が、端末装置500から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS901で、そのカード認証部532は、端末装置500との間でSSLによる通信を確立する。次にS902で、この確立したSSL通信により端末装置501からユーザIDを含む接続条件要求を受信する。次にS903で、SSLを確立する際に使用した証明書509で公開鍵を取得する。次にS904で、パスワード生成部534でワンタイムパスワードを生成し、S905で認証装置520に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS906で、接続条件記憶部531が記憶する接続条件とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S907で、これらの暗号化データを含む端末条件要求結果を端末装置500に送信し、処理を終了する。
端末装置500が、VPN接続装置510に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置520において、接続条件提供装置530からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置520が、VPN接続装置510から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
なお、カードに備えた接続条件判定部512をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件511と情報収集部504が収集したセキュリティ状態情報と比較するようにしてもよい。
【0024】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部504とVPN接続部505をハードウェアでは無く、端末装置500上で実行可能な情報収集プログラムとしてICカード506内に格納し、認証処理を実行する際にICカード内から端末装置500上に取り出して実行する構成とすることもできる。この場合に、情報収集プログラムが実行されるまでは、ICカード506内に記憶されるため、端末装置500上のウイルスの影響を受けることなく端末の状態情報の収集が可能である。
また、本実施の形態では、暗号化部507および接続条件判定部512はハードウェア構成要素であるとして説明したが、ICカード506上で実行されるプログラムとして格納し、ICカード106で実行される構成であってもよい。
【0025】
実施の形態4.
実施の形態1における認証装置120、実施の形態2における接続条件判定装置330、実施の形態3における接続条件提供装置530は、それぞれ専用のハードウェア装置であるとして説明した。しかし、それら装置を、それぞれの図6、図11、図18に示すような機能を持つプログラムをメモリに記憶させて、プロセッサでそのプログラムを読取って実行する汎用計算機を用いて構成してもよい。
その場合には、上記フローチャートで表される方法を行うことにより、上記各実施の形態で記述した効果が得られる。
【0026】
実施の形態5.
実施の形態1におけるバリエーションの一つとして述べたように、図1に示す構成において、暗号化部を端末装置100内に設けて、図5の動作をさせるようにしてもよい。
図19は、本実施の形態においてユーザが入力するIDと、端末装置100、VPN接続装置110、認証装置120の間でのデータの流れを示す図である。ユーザが端末装置100へIDを送信する(S1000)。その後、端末装置100がVPN接続装置110へIDと認証データを送信し(S1001)、VPN接続装置110はS1001で受信したIDと認証データを認証装置120へ送信する(S1002)。
その後、認証装置120がVPN接続装置110へ認証応答を送信し(S1003)、VPN接続装置110はS1003で受信した認証応答を端末装置100へ送信する(S1004)。認証応答がOKの場合には、端末装置100とVPN接続装置110との間で、VPN接続確立のためにデータのやりとりを行い(S1005)、S1005でのデータのやりとりが終了すると、結果をユーザに表示(S1006)して終了する。
この実施の形態におけるシステムは、実施の形態1と同様の効果を持つ。
【0027】
本実施の形態の構成に対して、実施の形態1の暗号化部107をICカード106内に持つ構成は、図20のシーケンス図で示されるセキュリティ保全システムにおけるデータの流れを持つ。
即ち、ユーザがICカード106用の認証情報を送信する(S1050)と、端末装置100はこれを受取り、マイクロプロセッサ101aは、カード接続部106b(図1では直接にICカード106のみが表示されている)に接続されたICカード106の暗号化部に認証をさせ、認証結果をユーザに送信する(S1051)。その後、ユーザが端末装置100へIDを送信する(S1052)。その後、プロセッサ101aは端末装置100からICカード106へセキュリティ状態情報を送信し(S1053)、ICカード106の暗号化部107から認証データを端末装置100へ送信する(S1054)。その後、端末装置100がVPN接続装置110へIDと認証データを送信し(S1055)、VPN接続装置110はS1055で受信したIDと認証データを認証装置120へ送信する(S1056)。
【0028】
その後、認証装置120がVPN接続装置110へ認証応答を送信し(S1057)、VPN接続装置110はS1057で受信した認証応答を端末装置100へ送信する(S1058)。認証応答がOKの場合には、端末装置100とVPN接続装置110との間で、VPN接続確立のためにデータのやりとりを行い(S1059)、S1059でのデータのやりとりが終了すると、結果をユーザに表示(S1060)して終了する。
このように実施の形態1では、ICカードとの間でそのICカードが正規ユーザのものであるかとの認証に成功しないとVPN接続処理が行えないため、ICカードを持つ、正規のユーザ以外が端末装置を不正利用することを防ぐことができる。
なお実施の形態1において、ICカードとの間でユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上するため、複数回連続して正規ユーザのカードであるとの認証に失敗した場合に処理を終了するようにしてもよい。複数回連続で認証に失敗した場合に処理を終了することは、他の実施の形態にも適用できる。また実施の形態1と実施の形態5において、認証判定部123で接続条件の判定とVPN接続の処理と2つの処理を行っているが、これを図21に示すように、判定部と認証部に分けてもよい。
【0029】
実施の形態6.
実施の形態2では、接続条件判定装置がワンタイムパスワードを生成してから、認証装置がユーザによって入力されたIDとワンタイムパスワードを受信するまでの時間については、何も記述していない。時間制限をすることで、更に安全性を高める構成を説明する。即ちこの実施の形態では、有効時間(ワンタイムパスワードが使用可能な時間)を用いて接続条件の判定を行う場合を示す。
図22は、本実施の形態における端末装置、接続条件判定装置、セキュリティ保全システムの構成を示す図である。図において、端末装置600は、入力部602a、表示部603a、情報収集部604、VPN接続部605、抜き出して保存が可能なICカード606を含むカード接続部606bを備えることは図7の構成と同様である。証明書607はICカード606に書き込まれている。端末装置600は、外部ネットワーク614を経由してVPN接続装置610に接続される。更に内部ネットワーク615を経由して、認証装置620に接続される。認証装置620は、内部に管理部622と認証判断部623と時刻取得部624を備えている。
接続条件判定装置630は、内部に接続条件記憶部631、カード認証部632、接続条件判定部633、パスワード生成部634と、更に有効時間生成部635を備えている。
【0030】
本実施の形態での新しい構成は、認証装置620の内部に時刻取得部624を、接続条件判定装置630の内部に有効時間生成部635を備えたことである。
接続条件判定装置630内の接続条件記憶部631が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
図23は、認証装置620内の管理部622が記憶する登録情報701を示しており、ユーザID702とパスワード703と有効時間704のペア構成を記憶する。
接続条件判定が条件を満たさないでNGとなった場合に、端末装置600の表示部603aに表示される接続判定エラーの一例は実施の形態2の図9に示す図と同様である。
図24は、ワンタイムパスワードの有効期限が切れてNGとなった場合に、端末装置600の表示部603aに表示される接続判定エラーの一例を示す図である。
【0031】
次に動作について説明する。なお、本実施の形態において、接続条件判定装置630と認証装置620は時間同期をしているものとする。
端末装置600が、プロセッサ601a等により、接続条件判定装置630に対して接続条件の判定を依頼する際の処理は、実施の形態2の図10に示した処理と同様である。
図25は、接続条件判定装置630が端末装置600から接続判定要求を受信した際に行う処理を示すフローチャートである。
まずS1201で、カード認証部632において端末装置600との間でSSLによる通信を確立する。次にS1202で、S1201で確立したSSL通信により、以下いずれも接続条件判定装置630は、端末装置600からICカード606を経由してユーザIDと端末装置600の状態情報を含む接続条件判定要求を受信する。次にS1203で、受信した状態情報が、接続条件記憶部631で記憶する接続条件を満たすかを接続条件判定部633でチェックする。S1204で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード生成部634においてワンタイムパスワードを生成し(S1205)、有効時間生成部635においてワンタイムパスワードの有効時間を生成する(S1206)。次に、認証装置620に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する(S1207)。次にS1208で、接続条件判定OKの結果とS1205で生成したワンタイムパスワードを含む端末条件判定結果をICカード606に対して送信し、処理を終了する。
一方、S1204において、1つでも接続条件がOKとならないものがある場合には、接続条件判定装置630は、S1209でICカード606に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0032】
端末装置600がVPN接続装置610に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
図26は、認証装置620が接続条件判定装置630からユーザIDとワンタイムパスワードと有効時間を含むパスワード設定要求を受信した際に行う処理を示すフローチャートである。
まずS1301で、以下いずれも認証装置620は、パスワード設定要求を受け付けると、S1302で、認証判断部623は受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されているかを検索する。S1302で、受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されている場合には、認証判断部623はパスワード703にS1301で受信したワンタイムパスワードを格納し(S1303)、有効時間704にS1301で受信した有効時間を格納し(S1304)、パスワードと有効時間の登録処理を終了する。
一方、S1302において受信したユーザIDにユーザID702が一致する登録情報701が管理部622に登録されていない場合には、何もせずにパスワード登録の処理を終了する。
【0033】
図27は、認証装置620がVPN接続装置610から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS1401で、以下いずれも認証装置620は、VPN接続装置610からユーザIDとパスワードを含む認証要求を受け付けると、S1402で時刻取得部624が現在の時刻を取得する。次に、S1403で受信したユーザIDにユーザID702が一致している登録情報701が管理部622に登録されているかを検索する。S1403で、管理部622に受信したユーザIDにユーザID702が一致している登録情報701が登録されている場合には、認証判断部623は管理部622より有効時間704を取り出し(S1404)、S1402で取得した時刻を用いてワンタイムパスワードが有効であるかどうかをチェックする(S1405)。S1405でワンタイムパスワードが有効である場合には、認証判断部623は管理部622よりパスワード703を取り出し(S1406)、S1401で受信したパスワードと一致するかをチェックする(S1407)。S1407のチェックでパスワードが一致している場合には、VPN接続装置610に対して端末装置600の接続の許可を通知し(S1408)、パスワード703と有効時間704を削除し(S1409)て、認証の処理を終了する。
一方、S1407のチェックにおいてパスワードが一致していない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。また、S1403において、ステップS1401で受信したユーザIDにユーザID702が一致する登録情報701が管理部622に登録されていない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。また、S1405において、ワンタイムパスワードが有効でない場合には、VPN接続装置610に対して端末装置600の接続の拒否を通知し(S1410)、認証の処理を終了する。
【0034】
この発明の実施の形態6におけるセキュリティ保全システムのデータの流れを示すシーケンス図を図28に示す。
先ずユーザが端末装置600に向けてICカード606用の認証情報を送信する(S1100)と、端末装置600は、ICカード606からの認証結果をユーザに送信する(S1101)。その後、ユーザが端末装置600へ接続条件判定実行指示を送信する(S1102)。その後、端末装置600がICカード606へSSL通信確立要求を送信する(S1103)と、ICカード606と接続条件判定装置630との間で、SSL接続確立のためにデータのやりとりを行い(S1104)、S1104でのデータのやりとりが終了すると、結果を端末装置600に送信する(S1105)。その後、端末装置600はICカード606に接続条件判定要求を送信し(S1106)、ICカード606はS1106で受信した接続条件判定要求を接続条件判定装置630に送信する(S1107)。その後、接続条件判定装置630はIDとワンタイムパスワードを含むパスワード設定要求を認証装置620へ送信し(S1108)、ワンタイムパスワードを含む端末条件判定結果を端末装置600へICカード606用に送信する(S1109)。
【0035】
端末装置600はICカード606から判定結果を受取り(S1110)、判定結果がOKの場合には、端末装置600は、ワンタイムパスワードをユーザに表示する(S1111)。
その後、ユーザからの入力に従って、端末装置600からVPN接続装置610へIDと認証データを含む認証要求を送信し(S1113)、VPN接続装置610はS1113で受信したIDと認証データを含む認証要求を認証装置620へ送信する(S1114)。その後、認証装置620がVPN接続装置610へ認証応答を送信し(S1115)、VPN接続装置610はS1115で受信した認証応答を端末装置600へ送信する(S1116)。認証応答がOKの場合には、端末装置600とVPN接続装置610との間で、VPN接続確立のためにデータのやりとりを行い(S1117)、S1117でのデータのやりとりが終了すると、結果をユーザに表示(S1118)して終了する。
上記のシーケンス図は、実施の形態2にも適用されるが、本実施の形態においては、シーケンス図の図28において、パスワード設定要求(S1108)に有効時間が含まれることになる。
【0036】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要なワンタイムパスワードをシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
また、更にワンタイムパスワードに有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
【0037】
なお、本実施の形態では、情報収集部604をハードウェアとして説明したが、実施の形態3と同様に、端末装置600のメモリ601bにマイクロプロセッサ601aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置600上で実行可能な情報収集プログラムとしてICカード606内に格納し、認証処理を実行する際にICカード内から端末装置600のメモリ601bに転送して記憶し、認証要求時にマイクロプロセッサ601aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード606内に記憶されるため、端末装置600上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置600内のVPN接続部605もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ601bに記憶してマイクロプロセッサ601aで実行してもよいし、端末装置600上で実行可能なVPN接続プログラムをICカード606内に格納し、VPN接続を実行する際にICカード内から端末装置600のメモリ601bに転送して実行する構成とすることもできる。
【0038】
また更に、接続条件判定装置630から送られてくるワンタイムパスワードを、端末装置600経由でICカード606内のパスワード609として記憶し、VPN接続装置610経由で認証装置620との間の認証に際して、ICカードからこのパスワード609を読み出して使用するようにしてもよい。こうすれば外部攻撃から更に安全になる。
また、本実施の形態では認証装置620がVPN接続装置610から認証要求が送られてきた際に行う認証の処理でワンタイムパスワードと有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置620が接続条件判定装置630から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0039】
実施の形態7.
これまでは認証装置がVPN接続装置から認証要求が送られてきた際に行う認証にワンタイムパスワードを使用したが、この実施の形態では署名を用いて認証装置が認証を行う場合を示す。
図29は本実施の形態7における端末装置、接続条件判定装置、セキュリティ保全システムの構成を示す図である。図において、端末装置800は、入力部802、表示部803、情報収集部804、VPN接続部805、抜き出して保存が可能なICカード806を含むカード接続部806bを備えることは図21の構成と同様である。証明書807はICカード806に書き込まれている。端末装置800は、外部ネットワーク814を経由してVPN接続装置810に接続される。更に内部ネットワーク815を経由して、認証装置820に接続される。認証装置820は、内部に管理部822と認証判断部823と時刻取得部824と鍵管理部825を備えている。
接続条件判定装置830は、内部に接続条件記憶部831、カード認証部832、接続条件判定部833、認証情報生成部834、有効時間生成部835を備えている。
【0040】
本実施の形態での新しい構成は、接続条件判定装置830の内部に認証情報生成部834を備えたことである。認証情報生成部834では署名(接続許可署名)を生成する。ICカード806の公開鍵が真正であることを証明する証明書807と違い、前記署名は接続条件がOKであることを、端末のIDと署名の有効時間を接続条件判定装置830の秘密鍵で暗号化(署名生成)し,認証装置820が接続条件判定装置830の公開鍵で復号(署名検証)に成功することで保証するものである。ワンタイムパスワードを用いる場合と違い、事前に接続条件判定装置830から認証装置820へ署名を渡す必要がなくなり、それぞれ独立した構成とすることができる。また、認証情報生成部834で生成された署名はICカード806内に認証情報809として格納され、認証情報取得部808でICカード806から認証情報809を取り出す。
接続条件判定装置830内の接続条件記憶部831が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様とする。
接続条件判定が条件を満たさないでNGとなった場合に、端末装置800の表示部803に表示される接続判定エラーの一例は実施の形態2の図9に示す図と同様である。
図30は、署名の検証が正しく処理されなった場合に、端末装置800の表示部803に表示される接続判定エラーの一例である。
図31は接続条件判定が条件を満たしてOKとなった場合に、端末装置800の表示部803に表示される接続許可通知の一例である。
【0041】
次に上記構成のシステムの動作について説明する。なお、本実施の形態において、接続条件判定装置830と認証装置820は時間同期をしているものとする。また、認証装置820は接続条件判定装置830の公開鍵を持っており、接続条件判定装置830が使用する署名アルゴリズムを知っているとする。
図32は、端末装置800が、プロセッサ801a等により、接続条件判定装置830に対して接続条件の判定を依頼する際に行う処理を示すフローチャートである。
まずS1500で、ユーザが端末装置800にICカード806を装着し、ユーザとICカード806との間で認証を行う。ユーザが入力した情報とカードに記憶されている情報とが一致してS1501で認証に成功すると、以下いずれも端末装置800は、S1502で入力部802よりユーザからユーザIDを伴った接続条件判定の実行指示を受け付ける。次にS1503で、ICカード806内の証明書807を用いて接続条件判定装置830のカード認証部832との間でSSLによる通信を確立する。次にS1504で、情報収集部804で端末装置800のセキュリティ状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。
【0042】
S1505において端末装置800は、先のS1502で確立したSSL通信によりカード接続部806bから接続条件判定装置830に対してS1502で受け付けたユーザIDと、S1504で取得した状態情報を含む端末条件判定要求を送信する。S1506で、ICカード806は端末条件判定結果を受信する。S1507で端末条件判定結果に含まれる接続許可署名をICカード806内に認証情報809として記憶する。
そしてS1508で、受信した端末条件判定結果をチェックし、判定結果がOKの場合には、接続判定結果に含まれる接続許可通知を表示部803に表示し(S1509)、処理を終了する。一方S1508において、認証応答がNGの場合には、判定結果に含まれるエラー理由を表示部803に表示し(S1510)、接続の処理を終了する。
【0043】
図33は、接続条件判定装置830が端末装置800から接続判定要求を受信した際に行う処理を示すフローチャートである。
まず以下いずれも接続条件判定装置830は、S1601でカード認証部832において端末装置800との間でSSLによる通信を確立する。次にS1602で、S1601で確立したSSL通信により端末装置800からICカード806を経由してユーザIDと端末装置800の状態情報を含む接続条件判定要求を受信する。次にS1603で、受信した状態情報が、接続条件記憶部831で記憶する接続条件を満たすかを接続条件判定部833でチェックする。S1604で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、有効時間生成部835において接続許可署名の有効時間を生成する(S1605)。次に認証情報生成部834において接続条件判定装置830の秘密鍵を用いて接続許可署名を生成する(S1606)。なお、接続許可署名とは、S1602で受信したユーザIDとS1605で受信した有効時間をまとめたものを署名したものである。次にS1607で、接続条件判定OKの結果とS1606で生成した接続許可署名を含む端末条件判定結果をICカード806に対して送信し、処理を終了する。
一方、S1604において、1つでも接続条件がOKとならないものがある場合には、S1608でICカード806に対してOKとならなかった条件を示すエラー理由と接続条件判定結果を送信し、処理を終了する。
【0044】
図34は、端末装置800がVPN接続装置810に接続する際に行う処理を示すフローチャートである。
まず以下いずれも端末装置800は、S1701で入力部802においてユーザからVPN接続指示を受け付ける。ここでVPN接続指示とは、ICカード内の認証情報809を用いてVPN接続処理を始めるための指示である。次に端末装置800のVPN接続部805はICカード806の認証情報取得部808に署名取得要求を送信し(S1702)、VPN接続部805はICカード806の認証情報取得部808から認証情報809として記憶された接続許可署名を取得する(S1703)。
次にS1704で、VPN接続装置810に対してVPN接続部805は、接続許可署名を含む認証要求を送信する。S1705で、VPN接続部805は、これに対する認証応答を受信する。次にS1706でVPN接続部805は、受信した認証応答をチェックし、認証応答がOKの場合には、VPN接続装置810とのVPN接続を確立し(S1707)、表示部803に接続の完了を表示し(S1708)、接続の処理を終了する。
一方、S1706において認証応答がNGの場合には、表示部803に認証の失敗を表示し(S1709)、接続の処理を終了する。
【0045】
図35は、認証装置820がVPN接続装置810から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS1801で、認証装置820は、VPN接続装置810から接続許可署名を含む認証要求を受け付けると、S1802で時刻取得部824が現在の時刻を取得する。次に以下いずれも認証装置820は、S1803で鍵管理部825に格納されている接続条件判定装置830の公開鍵を用いて接続許可署名の検証を行う。S1804で検証処理が正常に行われた場合には、S1803で得られたユーザIDが管理部822に登録されているかを検索する(S1805)。なお、S1804で検証処理が正常に行われたことで、認証装置820は、端末装置800は接続条件判定装置830から接続許可を受けていると判定する。S1805で、管理部822にS1803で得られたユーザIDが登録されている場合には、認証判断部823はS1803で得られた有効時間を取り出し(S1806)、S1802で取得した時刻を用いて接続許可署名が有効であるかどうかをチェックする(S1807)。S1807で接続許可署名が有効である場合には、VPN接続装置810に対して端末装置800の接続の許可を通知し(S1808)、接続許可署名と有効時間を削除し(S1809)て、認証の処理を終了する。
一方、S1807のチェックにおいて接続許可署名が有効でない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。また、S1804において、検証処理が正常に行われない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。また、S1805において、S1803で得られたユーザIDが管理部822に登録されていない場合には、VPN接続装置810に対して端末装置800の接続の拒否を通知し(S1810)、認証の処理を終了する。
【0046】
図36はこの発明の実施の形態7におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置800を経由してICカード806用の認証情報を送信する(S1900)と、端末装置800は、ICカード806からの認証結果をユーザに送信する(S1901)。その後、ユーザが端末装置800へ接続条件判定実行指示を送信する(S1902)。その後、端末装置800がICカード806へSSL通信確立要求を送信する(S1903)と、ICカード806と接続条件判定装置830との間で、SSL接続確立のためにデータのやりとりを行い(S1904)、S1904でのデータのやりとりが終了すると、結果を端末装置800に送信する(S1905)。その後、端末装置800はICカード806に接続条件判定要求を送信し(S1906)、ICカード806はS1906で受信した接続条件判定要求を接続条件判定装置830に送信する(S1907)。その後、接続許可署名を含む端末条件判定結果をICカード806へ送信する(S1908)。ICカード806から判定結果を端末装置800に送信し(S1909)、判定結果がOKの場合には、端末装置800は、接続許可通知をユーザに表示する(S1910)。その後、ユーザが端末装置800へVPN接続指示を送信すると(S1911)、端末装置800がICカード806へ署名取得要求を送信し(S1912)、ICカード806は端末装置800へ接続許可署名を送信する(S1913)。その後、端末装置800がVPN接続装置810へ接続許可署名を含む認証要求を送信し(S1914)、VPN接続装置810はS1914で受信した接続許可署名を含む認証要求を認証装置820へ送信する(S1915)。
その後、認証装置820がVPN接続装置810へ認証応答を送信し(S1916)、VPN接続装置810はS1916で受信した認証応答を端末装置800へ送信する(S1917)。認証応答がOKの場合には、端末装置800とVPN接続装置810との間で、VPN接続確立のためにデータのやりとりを行い(S1918)、S1918でのデータのやりとりが終了すると、結果をユーザに表示(S1919)して終了する。
【0047】
以上のように接続条件判定装置を設けて、端末装置の状態情報を基に内部ネットワークへの接続の可否を判定し接続に必要な接続許可署名をシステムに提供するようにしているので、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
また、更に接続許可署名に有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
また、本実施の形態では、接続条件判定装置と認証装置との間で通信は発生していないので、接続条件判定装置を運営する組織と認証装置と運営する組織とを独立することができる。このため、大きなシステムが構築できない組織に対しても、接続条件判定装置を用いたサービスを提供することができ、組織の規模を問わず、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
【0048】
なお、本実施の形態では、情報収集部804をハードウェアとして説明したが、実施の形態3と同様に、端末装置800のメモリ801bにマイクロプロセッサ801aが実行可能な情報収集プログラムとして記憶するようにしてもよい。または端末装置800上で実行可能な情報収集プログラムとしてICカード806内に格納し、認証処理を実行する際にICカード内から端末装置800のメモリ801bに転送して記憶し、認証要求時にマイクロプロセッサ801aが実行する構成とすることもできる。この場合は、情報収集プログラムは、実行されるまではICカード806内に記憶されるため、端末装置800上においてウイルスの影響を受けることが更に少なく、安全に端末の状態情報の収集が可能となる効果もある。
また本実施の形態では、端末装置800内のVPN接続部805もハードウェアとして説明したが、これまで説明したように、VPN接続機能を持つプログラムをメモリ801bに記憶してマイクロプロセッサ801aで実行してもよいし、端末装置800上で実行可能なVPN接続プログラムをICカード806内に格納し、VPN接続を実行する際にICカード806内から端末装置800のメモリ801bに転送して実行する構成とすることもできる。
また、本実施の形態では認証装置820がVPN接続装置810から認証要求が送られてきた際に行う認証の処理で接続許可署名の検証と有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置820が接続条件判定装置830から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0049】
実施の形態8.
実施の形態3では、接続条件提供装置がワンタイムパスワードを生成してから、認証装置がユーザによって入力されたIDとワンタイムパスワードを受信するまでの時間については何も記述されていない場合があった。この実施の形態では、有効時間(ワンタイムパスワードが使用可能な時間)を用いて接続条件の判定を行う場合を示す。
図37は、実施の形態8における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1100は、内部に入力部1102、表示部1103、情報収集部1104、VPN接続部1105、抜き出して保存が可能なICカード1106を含むカード接続部1106b(図37では省略)を備えている。ICカード1106は内部に暗号化部1107を持ち、この暗号化のための暗号化鍵1108を備えている。またカードには、証明書1109、後で説明するパスワード1113と接続条件1111を記憶し、更に接続条件判定部1112を備えている。
認証装置1120は、内部に管理部1122と認証判断部1123と時刻取得部1124を備えている。
【0050】
一方、接続条件提供装置1130は、内部に接続条件記憶部1131、カード認証部1132、パスワード生成部1134、有効時間生成部1135を備えている。接続条件記憶部1131が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1108は秘密鍵とし、これに対応する公開鍵が証明書1109に含まれているものとする。
また、ICカード1106内の接続条件判定部1112で接続条件判定がNGとなった場合に端末装置1100の表示部1103に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、ワンタイムパスワードの有効期限が切れてNGとなった場合に、端末装置600の表示部603に表示される接続判定エラーの一例は実施の形態6の図24と同様である。
本実施の形態での新しい構成は、認証装置1120の内部に時刻取得部1124を、接続条件提供装置1130の内部に有効時間生成部1135を備えたことである。
図38は、認証装置1120の管理部1122が記憶する登録情報1201を示しており、ユーザID1202とパスワード1203と有効時間1204のペアが記憶される。
【0051】
次に動作について説明する。なお、本実施の形態において、接続条件提供装置1130と認証装置1120は時間同期をしているものとする。
端末装置1100が接続条件提供装置1130に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理は、実施の形態3の図17と同様である。
図39は、接続条件提供装置1130が、端末装置1100から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2301で、カード認証部1132は、ICカード1106との間でSSLによる通信を確立する。次に以下いずれも接続条件提供装置1130は、S2302で、この確立したSSL通信により、カード認証部1132は、端末装置1100からICカード1106を経由してユーザIDを含む接続条件要求を受信する。次にS2303で、SSLを確立する際に使用した証明書1109で公開鍵を取得する。次にS2304で、パスワード生成部1134でワンタイムパスワードを生成し、S2305で有効時間生成部1135においてワンタイムパスワードの有効時間を生成する。次に、S2306で認証装置1120に対してユーザIDとワンタイムパスワードと有効時間を含むパスワード設定要求を送信する。次にS2307で、接続条件記憶部1131が記憶する接続条件とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S2308で、これらの暗号化データを含む端末条件要求結果を端末装置1100経由でICカード1106に送信し、処理を終了する。
【0052】
端末装置1100が、VPN接続装置1110に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1120において、接続条件提供装置1130からパスワード設定要求を受信した際に行う処理は、実施の形態6の図26に示した処理と同様である。
さらに、認証装置1120が、VPN接続装置1110から認証要求が送られてきた際に行う認証の処理は、実施の形態6の図27に示した処理と同様である。
この発明の実施の形態8におけるセキュリティ保全システムのデータの流れを示すシーケンス図を図40に示す。
先ずユーザが端末装置1100に向けてICカード1106用の認証情報を送信する(S2200)と、端末装置1100は、ICカード1106からの認証結果をユーザに送信する(S2201)。その後、ユーザが端末装置1100へ接続条件判定実行指示を送信する(S2202)。その後、端末装置1100がICカード1106へSSL通信確立要求を送信する(S2203)と、ICカード1106と接続条件提供装置1130との間で、SSL接続確立のためにデータのやりとりを行い(S2204)、S2204でのデータのやりとりが終了すると、結果を端末装置1100に送信する(S2205)。その後、端末装置1100はICカード1106に接続条件要求を送信し(S2206)、ICカード1106はS2206で受信した接続条件要求を接続条件提供装置1130に送信する(S2207)。その後、接続条件提供装置1130はIDとワンタイムパスワードを含むパスワード設定要求を認証装置1120へ送信し(S2208)、ワンタイムパスワードと接続条件を含む接続条件応答をICカード1106へ送信する(S2209)。
【0053】
ICカード1106から接続条件応答結果を端末装置1100に送信すると(S2210)、端末装置1100が状態情報をICカード1106に送信する(S2211)。その後、ICカード1106が判定結果を端末装置1100へ送信し(S2212)、判定結果がOKの場合には、端末装置1100は、ワンタイムパスワードをユーザに表示する(S2213)。その後、ユーザから端末装置1100へIDとS2213で表示されたワンタイムパスワードが入力されると(S2214)、端末装置1100はVPN接続装置1110へIDと認証データを含む認証要求を送信し(S2215)、VPN接続装置1110はS2215で受信したIDと認証データを含む認証要求を認証装置1120へ送信する(S2216)。その後、認証装置1120がVPN接続装置1110へ認証応答を送信し(S2217)、VPN接続装置1110はS2217で受信した認証応答を端末装置1100へ送信する(S2218)。認証応答がOKの場合には、端末装置1100とVPN接続装置1110との間で、VPN接続確立のためにデータのやりとりを行い(S2219)、S2219でのデータのやりとりが終了すると、結果をユーザに表示(S2220)して終了する。
上記のシーケンス図は、実施の形態3にも適用される。
本実施の形態では、上記のシーケンス図で、パスワード設定要求(S2208)に有効時間が含まれることになる。
【0054】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、更にワンタイムパスワードに有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
なお、カードに備えた接続条件判定部1112をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1111と情報収集部1104が収集したセキュリティ状態情報と比較するようにしてもよい。この構成は、他の実施の形態にも適用できる。
【0055】
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1104とVPN接続部1105をハードウェアではなく、端末装置1100上で実行可能な情報収集プログラムとしてICカード1106内に格納し、認証処理を実行する際にICカード1106内から端末装置1100上に取り出して実行する構成とすることもできる。この場合はウイルスの影響を受けずに端末の状態情報の収集が可能である。
また、本実施の形態では認証装置1120がVPN接続装置1110から認証要求が送られてきた際に行う認証の処理でワンタイムパスワードと有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置1120が接続条件提供装置1130から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、他の実施の形態と同様に、複数回連続で認証に失敗した場合に処理を終了してもよい。
【0056】
実施の形態9.
先の実施の形態における接続条件提供装置を含むシステムでは、認証装置がVPN接続装置から認証要求が送られてきた際に行う認証にワンタイムパスワードを使用したが、この実施の形態では署名を用いて認証装置が認証を行う場合を示す。
図41は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1300は、内部に入力部1302、表示部1303、情報収集部1304、VPN接続部1305、抜き出して保存が可能なICカード1306を含むカード接続部1306b(図41では省略)を備えている。ICカード1306は内部に暗号化部1307を持ち、この暗号化のための暗号化鍵1308を備えている。またカードには、証明書1309、後で説明する認証情報1313と接続条件1311を記憶し、更に接続条件判定部1312を備えている。
認証装置1320は、内部に管理部1322と認証判断部1323と時刻取得部1324と鍵管理部1325を備えている。
【0057】
一方、接続条件提供装置1330は、内部に接続条件記憶部1331、カード認証部1332、認証情報生成部1334、有効時間生成部1335を備えている。接続条件記憶部1331が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1308は秘密鍵とし、これに対応する公開鍵が証明書1309に含まれているものとする。
また、ICカード1306内の接続条件判定部1312で接続条件判定がNGとなった場合に端末装置1300の表示部1303に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、署名の検証が正しく処理されなった場合に、端末装置1300の表示部1303に表示される接続判定エラーの一例は実施の形態7の図30と同様である。
また、接続条件判定が条件を満たしてOKとなった場合に、端末装置1300の表示部1303に表示される接続許可通知の一例は実施の形態7の図31と同様である。
本実施の形態での新しい構成は、接続条件提供装置1330の内部に認証情報生成部1334を備えたことである。また、認証情報生成部1334で生成された署名はICカード1306内に認証情報1313として格納される。
本実施の形態での新しい構成は、接続条件提供装置1330の内部に認証情報生成部1334を備えたことである。認証情報生成部1334では署名(接続許可署名)を生成する。ICカード1306の公開鍵が真正であることを証明する証明書1309と違い、前記署名は接続条件がOKであることを、端末のIDと署名の有効時間を接続条件判定装置1330の秘密鍵で暗号化(署名生成)し,認証装置1320が接続条件判定装置1330の公開鍵で復号(署名検証)に成功することで保証するものである。ワンタイムパスワードを用いる場合と違い、事前に接続条件判定装置1330から認証装置1320へ署名を渡す必要がなくなり、それぞれ独立した構成とすることができる。
【0058】
次に動作について説明する。なお、本実施の形態において、接続条件提供装置1330と認証装置1320は時間同期をしているものとする。また、認証装置1320は接続条件提供装置1330の公開鍵を持っており、接続条件提供装置1330が使用する署名アルゴリズムを知っているとする。
端末装置1300が接続条件提供装置1330に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理は、図17の接続条件応答の中に接続許可署名が含まれること、S2011のパスワード表示の代わりに接続許可通知を表示すること、を除けば実施の形態3の図17と同様である。
図42は、接続条件提供装置1330が、端末装置1300から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2401で、カード認証部1332は、ICカード1306との間でSSLによる通信を確立する。次に以下いずれも接続条件提供装置1330は、S2402で、この確立したSSL通信により、カード認証部1332は、端末装置1300からICカード1306を経由してユーザIDを含む接続条件要求を受信する。次にS2403で、SSLを確立する際に使用した証明書1309で公開鍵を取得する。次にS2404で、認証情報生成部1334で接続条件提供装置1330の秘密鍵を用いて接続許可署名を生成し、S2405で有効時間生成部1335において接続許可署名の有効時間を生成する。次にS2406で、接続条件記憶部1331が記憶する接続条件と接続許可署名のそれぞれを公開鍵で暗号化し、S2407で、これらの暗号化データを含む端末条件要求結果を端末装置1300経由でICカード1306に送信し、処理を終了する。
【0059】
端末装置1300が、VPN接続装置1310に接続する際に行う処理は、実施の形態6の図34に示した処理と同様である。
さらに、認証装置1320が、VPN接続装置1310から認証要求が送られてきた際に行う認証の処理は、実施の形態6の図35に示した処理と同様である。
図43は、この発明の実施の形態9におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置1300に向けてICカード1306用の認証情報を送信する(S2500)と、端末装置1300はICカード1306からの認証結果をユーザに送信する(S2501)。その後、ユーザが端末装置1300へ接続条件判定実行指示を送信する(S2502)。その後、端末装置1300がICカード1306へSSL通信確立要求を送信する(S2503)と、ICカード1306と接続条件提供装置1330との間で、SSL接続確立のためにデータのやりとりを行い(S2504)、S2504でのデータのやりとりが終了すると、結果を端末装置1300に送信する(S2505)。その後、端末装置1300はICカード1306に接続条件要求を送信し(S2506)、ICカード1306はS2506で受信した接続条件要求を接続条件提供装置1330に送信する(S2507)。その後、接続条件提供装置1330は接続許可署名と接続条件を含む接続条件応答をICカード1306へ送信する(S2508)。ICカード1306から接続条件応答結果を端末装置1300に送信すると(S2509)、端末装置1300が状態情報をICカード1306に送信する(S2510)。その後、ICカード1306が判定結果を端末装置1300へ送信し(S2511)、判定結果がOKの場合には、端末装置1300は、接続許可通知をユーザに表示する(S2512)。
【0060】
その後、ユーザが端末装置1300へVPN接続指示を送信すると(S2513)、端末装置1300がICカード1306へ署名取得要求を送信し(S2514)、ICカード1306は端末装置1300へ接続許可署名を送信する(S2515)。その後、端末装置1300がVPN接続装置1310へ接続許可署名を含む認証要求を送信し(S2516)、VPN接続装置1310はS2516で受信した接続許可署名を含む認証要求を認証装置1320へ送信する(S2517)。その後、認証装置1320がVPN接続装置1310へ認証応答を送信し(S2518)、VPN接続装置1310はS2518で受信した認証応答を端末装置1300へ送信する(S2519)。認証応答がOKの場合には、端末装置1300とVPN接続装置1310との間で、VPN接続確立のためにデータのやりとりを行い(S2520)、S2520でのデータのやりとりが終了すると、結果をユーザに表示(S2521)して終了する。
【0061】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定し、接続に必要な接続条件をICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、かつセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、更に認証情報に有効時間を設けるようにしているので、セキュリティ状態情報のチェックが終わってから接続条件が大きく変更になる前にVPN接続のための認証処理を行わすことができ、過去の接続条件でチェックを受けた端末装置が内部ネットワークへ接続することを防止できる。
また、本実施の形態では、接続条件提供装置と認証装置との間で通信は発生していないので、接続条件提供装置を運営する組織と認証装置と運営する組織とを独立することができる。このため、大きなシステムが構築できない組織に対しても、接続条件判定装置を用いたサービスを提供することができ、組織の規模を問わず、内部ネットワークに接続するためのセキュリティの条件を満たしていない端末装置が内部ネットワークへ接続することを防止できる。
なお、カードに備えた接続条件判定部1312をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1311と情報収集部1304が収集したセキュリティ状態情報と比較するようにしてもよい。
【0062】
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1304とVPN接続部1305をハードウェアでは無く、プログラムとしてもよい。その結果得られる効果も対応する実施の形態の効果と同様である。
また、本実施の形態では認証装置1320がVPN接続装置1310から認証要求が送られてきた際に行う認証の処理で接続許可署名と有効時間をチェックしたが、さらに接続条件のチェックも行うようにしてもよい。具体的には、認証装置1320が接続条件提供装置1330から現在の接続条件の更新日を取得し、取得した更新日と有効時間を比較する。取得した更新日の方が現在の時間に近いなら接続の拒否を通知する。こうすることで、最新の接続条件を満たす端末装置のみを内部ネットワークへ接続許可することが可能になる。
また、本実施の形態ではICカードとユーザの認証に失敗すると処理を終了するが、ユーザの利便性を向上させるため、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0063】
実施の形態10.
実施の形態9では、情報収集部で端末装置のセキュリティ状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集していた。状態収集部の中に調査するOSのレジストリやファイル名の情報が含まれているため、セキュリティ状態情報が記述されているOSのレジストリやファイル名に変更があった場合、情報収集部も変更しなければならない。情報収集部の変更は時間もコストもかかり、変更期間は外部ネットワークから内部ネットワークへの接続ができなくなる。
本実施の形態においてICカードは、接続条件提供装置から接続条件に加えて、調査項目や調査するOSのレジストリやファイル名の情報を含んだ収集指定情報も受信する。収集指定情報として、OSのバージョンの取得コマンド、あるいはOSのバージョン番号が格納されているファイルやレジストリの場所と、OS適用パッチ番号の取得コマンド、あるいはOS適用パッチ番号が格納されているファイルやレジストリの場所と、ウイルスチェック・プログラムのバージョン番号の取得コマンド、あるいはウイルスチェック・プログラムのバージョン番号が格納されているファイルやレジストリの場所と、ウイルスチェックパターン・ファイル番号の取得コマンド、あるいはウイルスチェックパターン・ファイル番号が格納されているファイルやレジストリの場所と、ウイルス検索日時の取得コマンド、あるいはウイルス検索日時が格納されているファイルやレジストリの場所と、ウイルス検索使用パターン番号の取得コマンド、あるいはウイルス検索使用パターン番号が格納されているファイルやレジストリの場所と、を記載する。
情報収集部が端末装置のセキュリティ状態情報を収集する際は、まず始めに収集指定情報を読み込み、調査項目や調査するOSのレジストリやファイル名の情報を取得する。これにより状態収集部の変更の必要がなくなり、セキュリティ状態情報が記述されているOSのレジストリやファイル名に変更があった場合でも迅速に対応できる。
【0064】
図44は、実施の形態10における端末装置、接続条件提供装置、セキュリティ保全システムを示す構成図である。図において、端末装置1400は、内部に入力部1402、表示部1403、指定情報収集部1404、VPN接続部1405、抜き出して保存が可能なICカード1406を含むカード接続部1406b(図44では省略)を備えている。ICカード1406は内部に暗号化部1407を持ち、この暗号化のための暗号化鍵1408を備えている。またカードには、証明書1409、後で説明するパスワード1413と接続条件1411と収集指定情報1416を記憶し、更に接続条件判定部1412を備えている。
認証装置1420は、内部に管理部1422と認証判断部1423を備えている。
本実施の形態で新しい構成要素は、接続条件提供装置1430において収集指定情報記憶部1433を備えたことである。接続条件提供装置1430はまた幾つかの他実施の形態でのように、接続条件記憶部1431、カード認証部1432、パスワード生成部1434を備えている。接続条件記憶部1431が記憶する接続条件の一例は実施の形態1の図2に示す接続条件と同様である。
【0065】
なお、暗号化鍵1408は秘密鍵とし、これに対応する公開鍵が証明書1409に含まれているものとする。
また、ICカード1406内の接続条件判定部1412で接続条件判定がNGとなった場合に端末装置1400の表示部1403に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、認証装置1420の管理部1422が記憶する登録情報は実施の形態3の図16に示すものと同様である。
図45は、接続条件提供装置1430の収集指定情報記憶部1433が記憶する収集指定情報の一例である。図45の上段の例は次のような意味となる。{「Virus Checker A 2006」のソフトについて必ず(Nは必須という意味)調べなさい。具体的には、レジストリHKEY_LOCAL_MACHINE¥a¥programにあるプログラムのバージョンと、レジストリHKEY_LOCAL_MACHINE¥a¥patternにあるパターンファイル番号と、ファイル名search.txtのsearchタグにあるウイルス検索日時を調べなさい。}
【0066】
次に動作について説明する。
図46は、端末装置1400が接続条件提供装置1430に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS2600で、ユーザが端末装置1400にICカード1406を装着し、ユーザとICカード1406との間で認証を行う。S2601で認証に成功するとS2602で、入力部1402がユーザIDの入力と接続条件判定の実行指示を受け付ける。次に以下いずれも端末装置1400は、S2603で、ICカード1406内の証明書1409を用いて接続条件提供装置1430との間でSSLによる通信を確立する。次にS2604で、この確立したSSL通信により接続条件提供装置1430に受け付けたユーザIDを含む接続条件要求を送信する。S2605で暗号化されたパスワードと暗号化された接続条件と暗号化された収集指定情報を含む接続条件応答を受信する。次にS2606で、受信した暗号化されたパスワードと接続条件と収集指定情報とを暗号化部1407で暗号化鍵1408を使って復号し、S2607で復号により得られたパスワードをパスワード1413として、得られた端末条件を接続条件1411として、得られた収集指定情報を収集指定情報1416として、ICカード1406に格納する。
こうして接続条件提供装置1430から最新のセキュリティ情報と収集指定情報が端末装置1400へ送られてくる。
【0067】
次にS2608で指定情報収集部1404は,S2607でICカード1406に格納した収集指定情報1416を取り出し、収集指定情報1416に書かれた内容を読み込む。次にS2609で指定情報収集部1404は,端末装置1400の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号を、S2608で読み込んだOSのレジストリやファイル名やファイル日付等から収集する。次にS2610で、得られた端末装置1400の状態情報がICカード1406に格納されている接続条件提供装置1430から受信した接続条件1411を満たすかを接続条件判定部1412でチェックする。S2611で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1413を表示部1403にワンタイムパスワードとして表示し(S2612)、処理を終了する。一方、S2611において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1403に表示し(S2613)、終了する。また、S2601で認証に失敗した際も処理を終了する。
【0068】
図47は、接続条件提供装置1430が、端末装置1400から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS2701で、カード認証部1432は、ICカード1406との間でSSLによる通信を確立する。次にS2702で、この確立したSSL通信により、カード認証部1432は、端末装置1400からICカード1406を経由してユーザIDを含む接続条件要求を受信する。次に以下いずれも接続条件提供装置1430は、S2703で、SSLを確立する際に使用した証明書1409で公開鍵を取得する。次にS2704で、パスワード生成部1434でワンタイムパスワードを生成し、S2705で認証装置1420に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS2706で、接続条件記憶部1431が記憶する接続条件と収集指定情報記憶部1433が記憶する収集指定情報とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S2707で、これらの暗号化データを含む端末条件要求結果を端末装置1400経由でICカード1406に送信し、処理を終了する。
端末装置1400が、VPN接続装置1410に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1420において、接続条件提供装置1430からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置1420が、VPN接続装置1410から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
【0069】
図48は、この発明の実施の形態10におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
先ずユーザが端末装置1400に向けてICカード1406用の認証情報を送信する(S2800)と、端末装置1400はICカード1406からの認証結果をユーザに送信する(S2801)。その後、ユーザが端末装置1400へ接続条件判定実行指示を送信する(S2802)。その後、端末装置1400がICカード1406へSSL通信確立要求を送信する(S2803)と、ICカード1406と接続条件提供装置1430との間で、SSL接続確立を行い(S2804)、その後、結果を端末装置1400に送信する(S2805)。端末装置1400はICカード1406に接続条件要求を送信し(S2806)、ICカード1406は受信したS2806の接続条件要求を接続条件提供装置1430に送信する(S2807)。その後、接続条件提供装置1430はIDとワンタイムパスワードを含むパスワード設定要求を認証装置1420へ送信する(S2808)。
【0070】
接続条件提供装置1430は、ワンタイムパスワードと接続条件と収集指定情報を含む接続条件応答をICカード1406へ送信する(S2809)。ICカード1406から接続条件応答結果を端末装置1400に送信すると(S2810)、端末装置900は収集指定情報を取得するために収集指定情報要求をICカード1406へ送信する(S2811)。ICカード1406は収集指定情報を端末装置900へ送信する(S2812)。その後、端末装置1400が状態情報をICカード1406に送信する(S2813)。その後、ICカード1406が判定結果を端末装置1400へ送信し(S2814)、判定結果がOKの場合には、端末装置1400は、ワンタイムパスワードをユーザに表示する(S2815)。
その後、ユーザから端末装置1400へIDとS2815で表示されたワンタイムパスワードが入力されると(S2816)、端末装置1400はVPN接続装置1410へIDと認証データを含む認証要求を送信し(S2817)、VPN接続装置1410はS2817で受信したIDと認証データを含む認証要求を認証装置1420へ送信する(S2818)。その後、認証装置1420がVPN接続装置1410へ認証応答を送信し(S2819)、VPN接続装置1410はS2819で受信した認証応答を端末装置1400へ送信する(S2820)。認証応答がOKの場合には、端末装置1400とVPN接続装置1410との間で、VPN接続確立のためにデータのやりとりを行い(S2821)、S2821でのデータのやりとりが終了すると、結果をユーザに表示(S2822)して終了する。
【0071】
以上のように、端末装置の状態情報を基に内部ネットワークへの接続の可否をICカード内部で判定していて、接続に必要なワンタイムパスワードをICカードから端末装置に読み出すようにしているので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、収集指定情報を用いてセキュリティ状態情報を収集しているので、OSのレジストリやファイル名等の仕様が変更になった場合でも収集指定情報の記述を変更するだけでよい。このため、仕様変更直後でも、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
本実施の形態において端末装置1400の収集指定情報1416は、接続条件提供装置1430の収集指定情報記憶部1433から接続応答受信のタイミングで送られてくる、と説明したが、勿論、他のメディアからロードする等の方法で、また別のタイミングで、得るようにしてもよい。
さらに、先の実施例で説明したように、ワンタイムパスワードに有効時間を設けてもよい。また、ワンタイムパスワードの代わりに署名を用いてもよい。こうすればさらに安全に、外部からの攻撃に対して安全で、かつセキュリティの条件を満たす端末装置のみを内部ネットワークへ接続できる。
【0072】
なお、カードに備えた接続条件判定部1412をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1411と指定情報収集部1404が収集したセキュリティ状態情報と比較するようにしてもよい。
また、指定情報収集部1404とVPN接続部1405をハードウェアでは無く、端末装置1400上で実行可能なプログラムとしてICカード1406内に格納し、認証処理を実行する際にICカード内から端末装置1400上に取り出して実行する構成とすることもできる。この場合の効果は、既に他の類似した実施の形態で説明した通りである。
また、ICカードとユーザの認証失敗の処理において、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0073】
実施の形態11.
実施の形態10では、接続条件や収集指定情報は接続条件提供装置のみで生成していた。本実施の形態では、ICカードに格納されている、これまでのセキュリティ状態情報のチェック結果から接続条件や収集指定情報を作成する場合を示す。
図49は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1500は、内部に入力部1502、表示部1503、指定情報収集部1504、VPN接続部1505、判定結果取得部1518、抜き出して保存が可能なICカード1506を含むカード接続部1506b(図49では省略)を備えている。ICカード1506は内部に暗号化部1507を持ち、この暗号化のための暗号化鍵1508を備えている。またカードには、証明書1509、後で説明するパスワード1513と接続条件1511と収集指定情報1516と接続条件判定結果1517を記憶し、更に接続条件判定部1512を備えている。
認証装置1520は、内部に管理部1522と認証判断部1523を備えている。
本実施の形態で新しい構成要素は、接続条件提供装置1530において収集指定情報生成部1533を備えたことである。
接続条件提供装置1530はまた幾つかの他実施の形態でのように、内部に接続条件生成部1531、カード認証部1532、パスワード生成部1534、接続条件判定結果管理部1535を備えている。接続条件生成部1531が生成する接続条件の一例は実施の形態1の図2に示す接続条件と同様である。
【0074】
なお、暗号化鍵1508は秘密鍵とし、これに対応する公開鍵が証明書1509に含まれているものとする。
また、ICカード1506内の接続条件判定部1512で接続条件判定がNGとなった場合に端末装置1500の表示部1503に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
また、認証装置1520の管理部1522が記憶する登録情報は実施の形態3の図16に示すものと同様である。
接続条件提供装置1530の収集指定情報生成部1533が生成する収集指定情報の一例は実施の形態10の図45に示すものと同様である。
図50は、接続条件提供装置1530の接続条件判定結果管理部1535が記憶する管理情報1601を示しており、ユーザID1602と接続条件判定結果1603のペア構成を記憶する。
図51は、接続条件提供装置1530の接続条件判定結果管理部1535が記憶する接続条件判定結果の一例である。
【0075】
次に動作について説明する。なお、接続条件判定結果1517には、すでに以前の接続条件判定結果が格納されているものとする。
図52は、端末装置1500が接続条件提供装置1530に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS2900で、ユーザが端末装置1500にICカード1506を装着し、ユーザとICカード1506との間で認証を行う。S2901で認証に成功するとS2902で、入力部1502がユーザIDの入力と接続条件判定の実行指示を受け付ける。次にS2903で、ICカード1506内の証明書1509を用いて接続条件提供装置1530との間でSSLによる通信を確立する。次にS2904で、判定結果取得部1518が暗号化部1507で暗号化された接続条件判定結果を取り出して、この確立したSSL通信により接続条件提供装置1530に対してS2905で、端末装置1500は、ICカードから受け付けたユーザIDとS2904で取得した暗号化された接続条件判定結果を含む接続条件要求を送信する。
S2906で暗号化されたパスワードと暗号化された接続条件と暗号化された収集指定情報を含む接続条件応答を受信する。次にS2907で、受信した暗号化されたパスワードと接続条件と収集指定情報とを暗号化部1507で暗号化鍵1508を使って復号し、S2908で復号により得られたパスワードをパスワード1513として、得られた端末条件を接続条件1511として、得られた収集指定情報を収集指定情報1516として、ICカード1506に格納する。こうして接続条件提供装置1530から、以前の接続条件判定結果から生成された最新のセキュリティ情報と収集指定情報が端末装置1500へ送られてくる。次にS2909で指定情報収集部1504は,S2908でICカード1506に格納した収集指定情報1516を取り出し、収集指定情報1516に書かれた内容を読み込む。
【0076】
次にS2910で指定情報収集部1504は,端末装置1500の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号を、S2909で読み込んだOSのレジストリやファイル名やファイル日付等から収集する。
次にS2911で、得られた端末装置1500の状態情報がICカード1506に格納されている接続条件提供装置1530から受信した接続条件1511を満たすかを接続条件判定部1512でチェックする。S2912で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1513を表示部1503にワンタイムパスワードとして表示し(S2913)、処理を終了する。一方、S2912において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1503に表示し(S2914)、終了する。また、S2901で認証に失敗した際も処理を終了する。
【0077】
図53は、接続条件提供装置1530が、端末装置1500から接続条件要求を受信時に行う処理を示すフローチャートである。
まずS3001で、カード認証部1532は、ICカード1506との間でSSLによる通信を確立する。次にS3002で、この確立したSSL通信により、カード認証部1532は、端末装置1500からICカード1506を経由してユーザIDと暗号化された接続条件判定結果を含む接続条件要求を受信する。次にS3003で、SSLを確立する際に使用した証明書1509で公開鍵を取得する。次に以下いずれも接続条件提供装置1530は、S3004で、S3002で受信した暗号化された接続条件判定結果をS3003で得られた公開鍵で復号し、S3002で受信したユーザIDを基に接続条件判定結果管理部1535に接続条件判定結果1603として登録する。次にS3005で、接続条件判定結果1603から今回の接続条件を接続条件生成部1531で、今回の接続条件から今回の収集指定情報を収集指定情報生成部1533で、それぞれ生成する。具体的には、接続条件判定結果1603と接続条件提供装置1530に格納されている接続条件(図49では省略してある)を比較し、接続条件提供装置1530に格納されている接続条件の方が最新である項目のみを今回の接続条件とする。また、接続条件提供装置1530に格納されている収集指定情報(図49では省略してある)から今回の接続条件に必要な項目のみを取り出したものを今回の収集指定情報とする。
次に、S3006で、パスワード生成部1534でワンタイムパスワードを生成し、S3007で認証装置1520に対してユーザIDとワンタイムパスワードを含むパスワード設定要求を送信する。次にS3008で、接続条件生成部1531がS3005で生成した接続条件と収集指定情報生成部1533がS3005で生成した収集指定情報とワンタイムパスワードのそれぞれを公開鍵で暗号化し、S3009で、これらの暗号化データを含む端末条件要求結果を端末装置1500経由でICカード1506に送信し、処理を終了する。
【0078】
端末装置1500が、VPN接続装置1510に接続する際に行う処理は、実施の形態2の図12に示した処理と同様である。
また、認証装置1520において、接続条件提供装置1530からパスワード設定要求を受信した際に行う処理は、実施の形態2の図13に示した処理と同様である。
さらに、認証装置1520が、VPN接続装置1510から認証要求が送られてきた際に行う認証の処理は、実施の形態2の図14に示した処理と同様である。
この発明の実施の形態11におけるセキュリティ保全システムのデータの流れを示すシーケンス図は実施の形態10の図48で接続条件要求に接続条件判定結果が含まれることを除いて図48と同様である。
本実施の形態において端末装置1500の収集指定情報1516は、接続条件提供装置1530の収集指定情報生成部1533が生成して、接続応答受信のタイミングで送られてくる、と説明したが、勿論、他のメディアからロードする等の方法で、また別のタイミングで、得るようにしてもよい。
【0079】
以上のように構成しているので、外部からの攻撃に対して安全で、かつセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続できる。
また、収集指定情報を用いてセキュリティ状態情報を収集しているので、OSのレジストリやファイル名等の仕様が変更になった場合でも収集指定情報の記述を変更するだけでよい。このため、仕様変更直後でも収集指定情報生成部1533で生成して送信するので、何時でも外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続することが可能である。
また、以前の接続条件判定結果を基に今回の接続条件と収集指定情報を決定しているので、前回の接続条件判定結果からの差分のみをチェックできるようになり、効率的に接続条件判定処理を行うことができる。
また、本実施の形態では1つの接続条件判定結果のみを使用したが、複数の接続条件判定結果を使用して今回の接続条件と収集指定情報を決定してもよい。
さらに、先の実施の形態で説明したように、ワンタイムパスワードに有効時間を設けてもよいし、ワンタイムパスワードの代わりに署名を用いてもよい。その場合は、先の実施の形態で説明した効果がある。
【0080】
なお、カードに備えた接続条件判定部1512をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1511と指定情報収集部1504が収集したセキュリティ状態情報と比較するようにしてもよい。
なお、指定情報収集部1504と判定結果取得部1518とVPN接続部1505をハードウェアでは無く、端末装置1500上で実行可能なプログラムとしてICカード1506内に格納し、認証処理を実行する際にICカード内から端末装置1500上に取り出して実行する構成とすることもできる。この場合は、端末の状態情報の収集に対して耐ウイルス特性が向上する。
また、ICカードとユーザの認証に失敗した際の終了処理を、複数回連続で認証に失敗した場合に終了の処理をするようにしてもよい。
【0081】
実施の形態12.
VPN接続確立処理を行う前の、認証サーバに送る認証要求として、これまでは接続条件判定装置、または接続条件提供装置で生成されたワンタイムパスワードや署名を用いていた。ここでは、事前にICカードに格納されているパスワードを用いる場合を示す。
図54は、本実施の形態における端末装置、接続条件提供装置、セキュリティ保全システムの構成を示す図である。図において、端末装置1700は、内部に入力部1702、表示部1703、情報収集部1704、VPN接続部1705、抜き出して保存が可能なICカード1706を含むカード接続部1706b(図54では省略)を備えている。ICカード1706は内部に暗号化部1707を持ち、この暗号化のための暗号化鍵1708を備えている。またカードには、証明書1709、事前に格納されているパスワード1713と後で説明する接続条件1711と乱数1716を記憶し、更に接続条件判定部1712とカード演算部1717を備えている。
認証装置1720は、内部に管理部1722と認証判断部1723とサーバ演算部1724を備えている。
一方、接続条件提供装置1730は、内部に接続条件記憶部1731、カード認証部1732、乱数生成部1734を備えている。接続条件記憶部1731が記憶する接続条件の1例は実施の形態1の図2に示す接続条件と同様である。
なお、暗号化鍵1708は秘密鍵とし、これに対応する公開鍵が証明書1709に含まれているものとする。
また、ICカード1706内の接続条件判定部1712で接続条件判定がNGとなった場合に端末装置1700の表示部1703に表示される接続判定エラーの一例は実施の形態2の図9に示すものと同様である。
図55は、認証装置1720の管理部1722が記憶する登録情報1801を示しており、ユーザID1802とパスワード1803、乱数1804のペアが記憶される。
【0082】
次に動作について説明する。なお、認証装置1720の管理部1722には、ユーザID1802とパスワード1803の値が格納されている(認証装置1720はICカード1706に格納されたパスワードを知っている)ものとする。
図56は、端末装置1700が接続条件提供装置1730に対して接続条件要求を行い、また接続条件を満たしているかの判定を行う際の処理を示すフローチャートである。
まずS3100で、ユーザが端末装置1700にICカード1706を装着し、ユーザとICカード1706との間で認証を行う。S3101で認証に成功するとS3102で、入力部1702がユーザIDの入力と接続条件判定の実行指示を受け付ける。次に以下いずれも端末装置1700は、S3103で、ICカード1706内の証明書1709を用いて接続条件提供装置1730との間でSSLによる通信を確立する。次にS3104で、この確立したSSL通信により接続条件提供装置1730に対して受け付けたユーザIDを含む接続条件要求を送信する。S3105では暗号化された乱数と暗号化された接続条件を含む接続条件応答を受信する。次にS3106で、受信した暗号化された乱数と接続条件を暗号化部1707で暗号化鍵1708を使って復号し、S3107で復号により得られた乱数を乱数1716として、得られた端末条件を接続条件1711として、ICカード1706に格納する。
【0083】
次にS3108で情報収集部1704は、端末装置1700の状態情報として、OSのバージョン、OS適用バッチ番号、ウイルスチェック・プログラムのバージョン、ウイルスチェックパターン・ファイル番号、ウイルス検索日時、ウイルス検索使用パターン番号をOSのレジストリやファイル名やファイル日付等から収集する。次にS3109で、得られた端末装置1700の状態情報がICカード1706に格納されている接続条件提供装置1730から受信した接続条件1711を満たすかを接続条件判定部1712でチェックする。S3110で全ての接続条件がOKかを確認し、全ての条件がOKの場合には、パスワード1713と乱数1716の連結したもののハッシュ値を表示部1703に表示し(S3111)、処理を終了する。一方、S3110において1つでも接続条件がOKとならないものがある場合には、判定エラー理由を表示部1703に表示し(S3112)、終了する。また、S3101で認証に失敗した際も処理を終了する。
接続条件提供装置1730が、端末装置1700から接続条件要求を受信時に行う処理は、ワンタイムパスワードが乱数になることを除いては実施の形態3の図18と同様である。
端末装置1700が、VPN接続装置1710に接続する際に行う処理を示すフローチャートはユーザが入力する値がハッシュ値に代わったことを除いて図12と同様ある。
また、認証装置1720において、接続条件提供装置1730からパスワード設定要求を受信した際に行う処理は、ワンタイムパスワードが乱数になることを除いて実施の形態2の図13に示した処理と同様である。
【0084】
図57は、認証装置1720がVPN接続装置1710から認証要求が送られてきた際に行う認証の処理を示すフローチャートである。
まずS3201で、認証装置1720は、VPN接続装置1710からユーザIDとハッシュ値を含む認証要求を受け付けると、S3202で受信したユーザIDにユーザID1802が一致している登録情報1801が管理部1722に登録されているかを検索する。S3202で、管理部1722に受信したユーザIDにユーザID1802が一致している登録情報1801が登録されている場合には、認証判断部1723は管理部1722よりパスワード1803と乱数1804を取り出し(S3203)、サーバ演算部1724で、パスワード1803と乱数1804の連結したもののハッシュ値を計算する(S3204)。次に、S3204で得られたハッシュ値と、S3201で受信したハッシュ値と一致するかをチェックする(S3205)。S3205のチェックでハッシュ値が一致している場合には、VPN接続装置1710に対して端末装置1700の接続の許可を通知し(S3206)、乱数1804を削除し(S3207)て、認証の処理を終了する。
一方、S3205のチェックにおいてパスワードが一致していない場合には、VPN接続装置1710に対して端末装置1700の接続の拒否を通知し(S3208)、認証の処理を終了する。また、S3202において、ステップS3201で受信したユーザIDにユーザID1802が一致する登録情報1801が管理部1822に登録されていない場合には、VPN接続装置1810に対して端末装置1800の接続の拒否を通知し(S3208)、認証の処理を終了する。
【0085】
図58は、本実施の形態におけるセキュリティ保全システムのデータの流れを示すシーケンス図である。
ユーザが端末装置1700に向けてICカード1706用の認証情報を送信する(S3300)と、端末装置1700はICカード1706からの認証結果をユーザに送信する(S3301)。その後、ユーザが端末装置1700へ接続条件判定実行指示を送信する(S3302)。その後、端末装置1700がICカード1706へSSL通信確立要求を送信する(S3303)と、ICカード1706と接続条件提供装置1730との間で、SSL接続確立のためにデータのやりとりを行い(S3304)、S3304でのデータのやりとりが終了すると、結果を端末装置1700に送信する(S3305)。その後、端末装置1700はICカード1706に接続条件要求を送信し(S3306)、ICカード1706はS3306で受信した接続条件要求を接続条件提供装置1730に送信する(S3307)。その後、接続条件提供装置1730はIDと乱数を含む乱数設定要求を認証装置1720へ送信し(S3308)、乱数と接続条件を含む接続条件応答をICカード1706へ送信する(S3309)。
【0086】
ICカード1706から接続条件応答結果を端末装置1700に送信すると(S3310)、端末装置1700が状態情報をICカード1706に送信する(S3311)。その後、ICカード1706が判定結果を端末装置1700へ送信し(S3312)、判定結果がOKの場合には、端末装置1700は、ハッシュ値をユーザに表示する(S3313)。その後、ユーザから端末装置1700へIDとS3313で表示されたハッシュ値が入力されると(S3314)、端末装置1700はVPN接続装置1710へIDと認証データを含む認証要求を送信し(S3315)、VPN接続装置1710はS3315で受信したIDと認証データを含む認証要求を認証装置1720へ送信する(S3316)。その後、認証装置1720がVPN接続装置1710へ認証応答を送信し(S3317)、VPN接続装置1710はS3317で受信した認証応答を端末装置1700へ送信する(S3318)。認証応答がOKの場合には、端末装置1700とVPN接続装置1710との間で、VPN接続確立のためにデータのやりとりを行い(S3319)、S3319でのデータのやりとりが終了すると、結果をユーザに表示(S3320)して終了する。
【0087】
以上の構成としたので、外部からの攻撃に対して安全で、しかもセキュリティの条件を満たした端末装置のみを内部ネットワークへ接続できる。
また、ICカードに事前に格納されたパスワードと乱数とを連結させたもののハッシュ値をカードの外に出しており、パスワード自体は一度も外に出ないので、外部からの攻撃に対して安全である。
なお、カードに備えた接続条件判定部1712をカード内ではなく、端末装置内に設けて、接続条件提供装置から受信した接続条件1711と情報収集部1704が収集したセキュリティ状態情報と比較するようにしてもよい。
なお、本実施の形態においても、他の実施の形態と同様に、情報収集部1704とVPN接続部1705をハードウェアでは無く、プログラムで記述して、端末装置のマイクロプロセッサで読み取り、フローチャートで記述した機能を実行させるようにしてもよい。また、ICカードとユーザの認証に失敗した狩猟処理を、一度だけではなく、複数回連続で認証に失敗した場合に処理を終了するようにしてもよい。
【0088】
これまでの実施の形態における認証装置、接続条件判定装置、接続条件提供装置は、それぞれ専用のハードウェア装置であるとして説明した。しかし、それら装置を、各実施の形態で説明した、フローチャートで示すと同様の機能を持つプログラムをメモリに記憶させて、プロセッサでそのプログラムを読取って実行する汎用計算機を用いて構成してもよい。
その場合にも、上記各実施の形態で記述した効果が得られる。
【図面の簡単な説明】
【0089】
【図1】この発明の実施の形態1における端末装置、認証装置、及びセキュリティ保全システムの構成を示す図である。
【図2】実施の形態1において接続条件記憶部が記憶する接続条件の一例を示す図である。
【図3】実施の形態1において管理部が記憶する登録情報の例を示す図である。
【図4】実施の形態1においてネットワークへの接続が拒否された場合のエラー理由の表示例を示す図である。
【図5】実施の形態1における端末装置が行う状態報告と接続認証要求の動作処理を示すフロー図である。
【図6】実施の形態1における認証装置が行う認証の操作処理を示すフロー図である。
【図7】この発明の実施の形態2における端末装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図8】実施の形態2において認証装置内の管理部が記憶する登録情報の例を示す図である。
【図9】実施の形態2においてネットワークへの接続が拒否された場合のエラー理由の表示例を示す図である。
【図10】実施の形態2における端末装置が接続条件判定装置に対して接続条件の判定を依頼する動作処理を示すフロー図である。
【図11】実施の形態2における接続条件判定装置が行う接続条件判定の動作処理を示すフロー図である。
【図12】実施の形態2における端末装置がVPN装置に接続する際の処理を示すフロー図である。
【図13】実施の形態2における認証装置がパスワード設定要求受信時に行う処理を示すフロー図である。
【図14】実施の形態2における認証装置がVPN装置からの認証要求を受けた場合に行う認証の処理を示すフロー図である。
【図15】この発明の実施の形態3における端末装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図16】実施の形態3において接続条件記憶部が記憶する接続条件の一例を示す図である。
【図17】実施の形態3における端末装置が行う接続条件要求と判定処理を示すフロー図である。
【図18】実施の形態3における接続条件提供装置が接続条件要求を受信時に行う処理を示すフロー図である。
【図19】実施の形態5における端末装置、VPN接続装置、認証装置間でのデータの流れを示すシーケンス図である。
【図20】実施の形態5で比較する実施の形態1における端末装置、VPN接続装置、認証装置間でのデータの流れを示すシーケンス図である。
【図21】実施の形態5における他の認証装置の構成を示す図である。
【図22】実施の形態6における端末装置、認証装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図23】実施の形態6において管理部が記憶する登録情報の例を示す図である。
【図24】実施の形態6においてパスワードの有効期限が切れた場合のエラー理由の表示例を示す図である。
【図25】実施の形態6における接続条件判定装置が接続判定要求を受信時に行う処理を示すフロー図である。
【図26】実施の形態6における認証装置が接続判定装置からのパスワード設定要求の受信時に行う処理を示すフロー図である。
【図27】実施の形態6における認証装置がVPN接続装置からの認証要求の受信時に行う認証処理を示すフロー図である。
【図28】実施の形態6における端末装置、VPN接続装置、接続条件判定装置、認証装置間でのデータの流れを示すシーケンス図である。
【図29】実施の形態7における端末装置、認証装置、接続条件判定装置、及びセキュリティ保全システムの構成を示す図である。
【図30】実施の形態7において署名の検証が正しく処理されなかった場合のエラー理由の表示例を示す図である。
【図31】実施の形態7において接続条件が満たされた場合に表示される接続許可通知の例を示す図である。
【図32】実施の形態7において端末装置が接続条件判定装置へ接続条件の判定を依頼する際の処理を示すフロー図である。
【図33】実施の形態7における接続条件判定装置が接続判定要求を受信時に行う処理を示すフロー図である。
【図34】実施の形態7における端末装置がVPN接続装置に接続する際に行う処理を示すフロー図である。
【図35】実施の形態7における認証装置がVPN接続装置から認証要求を受けた際に行う認証処理を示すフロー図である。
【図36】実施の形態7における端末装置、VPN接続装置、接続条件判定装置、認証装置間でのデータの流れを示すシーケンス図である。
【図37】実施の形態8における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図38】実施の形態8における認証装置が記憶する登録情報の例を示す図である。
【図39】実施の形態8における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図40】実施の形態8における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図41】実施の形態9における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図42】実施の形態9における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図43】実施の形態9における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図44】実施の形態10における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図45】実施の形態10における接続条件提供装置が記憶する収集指定情報の例を示す図である。
【図46】実施の形態10における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図47】実施の形態10における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図48】実施の形態10における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【図49】実施の形態11における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図50】実施の形態11における接続条件提供装置が記憶する管理情報の例を示す図である。
【図51】実施の形態11における接続条件提供装置が記憶する接続条件判定結果の例を示す図である。
【図52】実施の形態11における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図53】実施の形態11における接続条件提供装置が接続条件要求の受信時に行う処理を示すフロー図である。
【図54】実施の形態12における端末装置、認証装置、接続条件提供装置、及びセキュリティ保全システムの構成を示す図である。
【図55】実施の形態12における認証装置が記憶する登録情報の例を示す図である。
【図56】実施の形態12における端末装置が行う接続条件要求と接続条件を満たすかの判定の動作処理を示すフロー図である。
【図57】実施の形態12における認証装置が行う認証処理を示すフロー図である。
【図58】実施の形態12における端末装置、VPN接続装置、接続条件提供装置、認証装置間でのデータの流れを示すシーケンス図である。
【符号の説明】
【0090】
100 端末装置、101a (マイクロ)プロセッサ、102 入力部、103 表示部、104 情報収集部、105 VPN接続部、106 ICカード、107 暗号化部、108 暗号化鍵、110 VPN接続装置、114 外部ネットワーク、115 内部ネットワーク、120 認証装置、121 接続条件記憶部、122 管理部、123 認証判定部、123b 判定部、123c 認証部、300 端末装置、302 入力部、303 表示部、304 情報収集部、305 VPN接続部、306 ICカード、307 証明書、309 パスワード、310 VPN接続装置、314 外部ネットワーク、315 内部ネットワーク、320 認証装置、322 管理部、323 認証判断部、330 接続条件判定装置、331 接続条件記憶部、332 カード認証部、333 接続条件判定部、334 パスワード生成部、500 端末装置、502 入力部、503 表示部、504 情報収集部、505 VPN接続部、506 ICカード、507 暗号化部、508 暗号化鍵、509 証明書、510 VPN接続装置、511 接続条件、512 接続条件判定部、513 パスワード、514 外部ネットワーク、515 内部ネットワーク、520 認証装置、522 管理部、523 認証判断部、530 接続条件提供装置、531 接続条件記憶部、532 カード認証部、534 パスワード生成部、600 端末装置、601a プロセッサ、602a 入力部、603a 表示部、604 情報収集部、605 VPN接続部、606 ICカード、606b カード接続部、607 証明書、609 パスワード、610 VPN接続装置、614 外部ネットワーク、615 内部ネットワーク、620 認証装置、622 管理部、623 認証判断部、624 時刻取得部、630 接続条件判定装置、631 接続条件記憶部、632 カード認証部、633 接続条件判定部、634 パスワード生成部、635 有効時間生成部、800 端末装置、801a プロセッサ、802 入力部、803 表示部、804 情報収集部、805 VPN接続部、806 ICカード、807 証明書、808 認証情報取得部、809 認証情報、810 VPN接続装置、814 外部ネットワーク、815 内部ネットワーク、820 認証装置、822 管理部、823 認証判断部、824 時刻取得部、825 鍵管理部、830 接続条件判定装置、831 接続条件記憶部、832 カード認証部、833 接続条件判定部、834 認証情報生成部、835 有効時間生成部、 1100 端末装置、1101a プロセッサ、1102 入力部、1103 表示部、1104 情報収集部、1105 VPN接続部、1106 ICカード、1106b カード接続部、1107 暗号化部、1108 暗号化鍵、1109 証明書、1111 接続条件(情報)、1112 接続条件判定部、1113 パスワード、1110 VPN接続装置、1114 外部ネットワーク、1115 内部ネットワーク、1120 認証装置、1122 管理部、1123 認証判断部、1124 時刻取得部、1130 接続条件提供装置、1131 接続条件記憶部、1132 カード認証部、1134 パスワード生成部、1135 有効時間生成部、1300 端末装置、1301a プロセッサ、1302 入力部、1303 表示部、1304 情報収集部、1305 VPN接続部、1306 ICカード、1307 暗号化部、1308 暗号化鍵、1309 証明書、1311 接続条件(情報)、1312 接続条件判定部、1313 認証情報、1310 VPN接続装置、1314 外部ネットワーク、1315 内部ネットワーク、1320 認証装置、1322 管理部、1323 認証判断部、1324 時刻取得部、1325 鍵管理部、1330 接続条件提供装置、1331 接続条件記憶部、1332 カード認証部、1334 認証情報生成部、1335 有効時間生成部、 1400 端末装置、1401a プロセッサ、1402 入力部、1403 表示部、1404 情報収集部、1405 VPN接続部、1406 ICカード、1406b カード接続部、1407 暗号化部、1408 暗号化鍵、1409 証明書、1411 接続条件(情報)、1412 接続条件判定部、1413 パスワード、1410 VPN接続装置、1414 外部ネットワーク、1415 内部ネットワーク、1420 認証装置、1422 管理部、1423 認証判断部、1430 接続条件提供装置、1431 接続条件記憶部、1432 カード認証部、1433 収集指定情報記憶部、1434 パスワード生成部、1500 端末装置、1501a プロセッサ、1502 入力部、1503 表示部、1504 指定情報収集部、1505 VPN接続部、1506 ICカード、1507 暗号化部、1508 暗号化鍵、1509 証明書、1511 接続条件(情報)、1512 接続条件判定部、1513 パスワード、1516 収集指定情報、1517 接続条件判定結果、1510 VPN接続装置、1514 外部ネットワーク、1515 内部ネットワーク、1520 認証装置、1522 管理部、1523 認証判断部、1530 接続条件提供装置、1531 接続条件生成部、1532 カード認証部、1533 収集指定情報生成部、1534 パスワード生成部、1535 接続条件判定結果管理部、1700 端末装置、1701a プロセッサ、1702 入力部、1703 表示部、1704 情報収集部、1705 VPN接続部、1706 ICカード、1707 暗号化部、1708 暗号化鍵、1709 証明書、1711 接続条件(情報)、1712 接続条件判定部、1713 パスワード、1716 乱数、1717 カード演算部、1710 VPN接続装置、1714 外部ネットワーク、1715 内部ネットワーク、1720 認証装置、1722 管理部、1723 認証判断部、1724 サーバ演算部、1730 接続条件提供装置、1731 接続条件記憶部、1732 カード認証部、1734 乱数生成部。
【特許請求の範囲】
【請求項1】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
電子証明書を記憶したカードを接続するカード接続部と、
上記カード接続部に接続されたカードから上記電子証明書を取得し、取得した該電子証明書に基づいて上記所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、該問い合わせ情報に対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサ、とを備えたことを特徴とする端末装置。
【請求項2】
端末装置は、情報収集部が収集したセキュリティ状態情報と、所定のネットワークが要求する接続条件とを比較する接続条件判定部を備えて、
プロセッサは、上記所定のネットワークへの接続条件の取得をネットワーク側の機器に要求する情報を送信し、応答情報として該ネットワーク側の機器から上記所定のネットワークへの接続条件の情報を得て、上記接続条件判定部での比較により接続条件に適合すると判定した場合、上記所定のネットワークへの接続要求を行う、ことを特徴とする請求項1記載の端末装置。
【請求項3】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行うことを特徴とする請求項1記載の端末装置。
【請求項4】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカードを接続するカード接続部と、
A3)上記カード接続部に接続されたカードから上記電子証明書を取得し、取得した該電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、該問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサと、
を備えた端末装置と、
B1)ユーザ毎に対応する電子証明書を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理部が管理している電子証明書を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項5】
所定のネットワークへの接続条件を記憶し、該所定のネットワークへの接続を要求する端末装置のセキュリティ状態を表す上記所定のネットワークへの接続条件とパスワードを発行する接続条件提供装置を備えて、
認証装置は、上記接続条件提供装置からユーザ対応の上記パスワードを得て、管理部には電子証明書として上記得たユーザ対応の上記パスワードを管理して、認証判断部は、端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理しているパスワードに適合するかを判断して適合する場合に接続を許可することを特徴とする請求項4記載のセキュリティ保全システム。
【請求項6】
端末装置は、接続条件提供装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記接続条件提供装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項5記載のセキュリティ保全システム。
【請求項7】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行う、ことを特徴とする請求項4記載のセキュリティ保全システム。
【請求項8】
所定のネットワークへの接続条件を記憶する接続条件記憶部と、該所定のネットワークへの接続を要求するユーザに対しパスワードを生成発行するパスワード生成部と、を備えたネットワーク側にある装置であって、
上記パスワード生成部は、上記ユーザが使用する端末装置から電子証明書付で上記所定のネットワークへの接続条件の送信要求があると、ユーザが使用する上記端末装置と、上記ネットワークを管理する認証装置とに、上記ユーザであることを示す識別子と上記パスワードとを送信する、ことを特徴とするネットワーク側にある接続条件提供装置。
【請求項9】
端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
端末装置のカード接続部に接続されたカードから電子証明書の情報を取得し、取得した該電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる接続条件問合せステップと、
上記接続条件問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断する適合判断ステップと、
上記適合判断により適合すると判断した場合に上記応答情報付接続要求を作成してネットワークに出力し上記所定のネットワークへの接続を要求する接続ステップ、とを備えたことを特徴とするセキュリティ保全方法。
【請求項10】
ユーザから電子証明書に基づいて所定のネットワークに対する接続条件の問合せがあると、上記電子証明書に基づいて上記ユーザが問合せた端末装置に対して上記所定のネットワークに対する接続条件とパスワードを応答する応答ステップと、
上記端末装置から上記パスワード付で上記所定のネットワークへの接続要求が来ると、上記ユーザの識別子と上記パスワードに基づいて接続許可を行う認証ステップと、を備えたことを特徴とする請求項9記載のセキュリティ保全方法。
【請求項11】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部と、
上記ネットワークと接続するネットワーク接続部と、
ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサ、とを備えたことを特徴とする端末装置。
【請求項12】
暗号化部を収めて、電子証明書を記憶したカードを接続するカード接続部を備えて、
プロセッサは、上記カード接続部に接続された上記カードを上記電子証明書で正規ユーザのカードであるかを認証し、該カードの認証が正しいことを確認して該カード内の上記暗号化部で情報収集部が収集したセキュリティ状態情報を暗号化させてネットワーク側の装置に問合せることを特徴とする請求項11記載の端末装置。
【請求項13】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
電子証明書を記憶したカードを接続するカード接続部と、
上記ネットワークと接続するネットワーク接続部と、
上記カード接続部に接続された上記カードを上記電子証明書でカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えたことを特徴とする端末装置。
【請求項14】
収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部を備え、
プロセッサは、収集したセキュリティ状態情報を上記暗号化部で暗号化させて、ネットワークへ問合せることを特徴とする請求項13記載の端末装置。
【請求項15】
プロセッサは、ネットワーク側の装置への問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断し、該適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するようにしたことを特徴とする請求項11または請求項13いずれか記載の端末装置。
【請求項16】
端末装置は、情報収集部が収集したセキュリティ状態情報と、所定のネットワーク側の装置が要求する接続条件とを適合比較する接続条件判定部を備えて、
プロセッサは、所定のネットワークへの上記接続条件の取得をネットワーク側の機器に要求する取得要求情報を送信し、該ネットワーク側の装置から応答情報として上記所定のネットワークへの接続条件情報を得て、該得た接続条件情報による上記接続条件判定部が行う上記適合比較で合致と判定すると、上記所定のネットワークへの接続要求を行う、ことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項17】
接続条件判定部をカード内に設けて、
プロセッサは、上記カード内の接続条件判定部により適合比較することを特徴とする請求項16記載の端末装置。
【請求項18】
カードは、端末装置のセキュリティ情報の収集範囲を示す収集指定情報を記憶し、
プロセッサは、上記カードがカード接続部に接続されると、上記収集指定情報を読取り、該読取った収集指定情報に従って情報収集部に端末装置自身のセキュリティ状態情報を収集させるようにしたことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項19】
カードは、所定の乱数を記憶し、
プロセッサは、上記乱数と入力されたハッシュ値とにより所定のネットワークに接続を要求することを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項20】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行うことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項21】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部からネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する固有の識別情報を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、該問合せを復号して上記管理部が管理している上記識別情報を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項22】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカード、を接続するカード接続部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)上記カード接続部に接続された上記カードを電子証明書によりカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する固有の識別情報を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、上記管理部が管理している上記識別情報を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項23】
端末装置は、認証装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記認証装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項22記載のセキュリティ保全システム。
【請求項24】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカード、を接続するカード接続部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)上記カード接続部に接続された上記カードを電子証明書によりカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断し、該適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)上記所定のネットワークへの接続条件を記憶する接続条件記憶部と、
B2)ユーザのカード毎に対応する固有の識別情報を記憶し、上記端末装置からの接続条件の問合せに対して、該記憶する識別情報と上記接続条件記憶部が記憶する接続条件とに基づいて認証を行うカード認証部と、を備えて、
上記カード認証部が認証する認証情報を上記付加情報として上記端末に応答する接続条件提供装置と、
C1)上記接続条件提供装置から送られる付加情報をユーザ毎に対応させて管理する管理部と、
C2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、上記管理部が管理している上記付加情報情報を用いて上記端末装置の適合性を判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項25】
接続条件提供装置は、接続条件記憶部が記憶するネットワークへの接続条件と、端末装置からの接続条件問合せに含まれる、該端末装置のセキュリティ情報とを比較して、該比較により接続の適合を判定する接続条件判定部、を備えて接続条件判定装置となり、
該接続条件判定装置は、上記接続条件判定部が接続の適合を判定すると、上記適合を示す付加情報を上記端末装置に対して応答するようにしたことを特徴とする請求項24記載のセキュリティ保全システム。
【請求項26】
接続条件提供装置は、カード認証部が認証した認証情報としてパスワードまたは暗号鍵で暗号化した署名を生成し、該パスワードまたは署名を上記付加情報として端末装置と認証装置とに送信することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項27】
接続条件提供装置は、認証情報の有効期限を定める有効時間生成部を備えて、認証情報としての付加情報に該生成した有効期限をつけて送信することを特徴とする請求項26記載のセキュリティ保全システム。
【請求項28】
端末装置は、接続条件提供装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記接続条件提供装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項29】
接続条件提供装置は、端末装置のセキュリティ状態情報を収集する範囲を指定した収集指定情報を記憶または生成して、端末からの問合せに対して該収集指定情報を応答し、
端末装置は、カード内に上記受信した収集指定情報を記憶し、情報収集部が上記端末のセキュリティ情報の収集を要求されると、上記記憶した収集指定情報に基づいてセキュリティ情報を収集することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項30】
端末装置においてカードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行う、ことを特徴とする請求項22または請求項24いずれか記載のセキュリティ保全システム。
【請求項31】
所定のネットワークに接続される接続条件提供装置であって、
上記所定のネットワークへの接続条件を記憶する接続条件記憶部と、
ユーザ固有の識別情報により上記所定のネットワークへの接続条件を問合せる端末に対して上記固有の識別情報に基づいて認証を行う認証部と、を備えて、
接続条件提供装置は、該認証で正規の端末と認証すると、パスワードまたは暗号鍵で暗号化した署名を生成し、該生成したパスワードまたは署名を付加情報として上記端末装置に送信することを特徴とする接続条件提供装置。
【請求項32】
接続条件提供装置は、端末装置へ付加情報を送信する前に、対応する端末が持つ暗号鍵で該付加情報を暗号化して、該暗号化した付加情報を送信することを特徴とする請求項31記載の接続条件提供装置。
【請求項33】
接続条件提供装置は、端末装置のセキュリティ状態情報を収集する範囲を指定した収集指定情報を記憶する収集指定情報記憶部、または送信されたセキュリティ状態情報の収集範囲に基いて該セキュリティ状態情報の収集範囲を更新して収集指定情報を生成する収集指定情報生成部、を備えて、
上記接続条件提供装置は、端末装置からネットワークへの接続条件の問合せがあると、上記収集指定情報記憶部または上記収集指定情報生成部から得られる収集指定情報を送信することを特徴とする請求項31記載の接続条件提供装置。
【請求項34】
所定のネットワークへの接続を希望する端末装置において、
該端末装置が、端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化ステップと、
ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク側の装置に問合せるステップと、
上記問い合わせステップに対する応答情報により上記ネットワークに接続を要求するステップと、を備えたことを特徴とするセキュリティ保全方法。
【請求項35】
所定のネットワークへの接続を希望する端末装置において、
該端末装置が、端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
電子証明書を記憶したカード、をカード認証するステップと、
上記カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク側の装置に問合せるステップと、
上記問い合わせステップに対する応答情報により上記ネットワークに接続を要求するステップと、を備えたことを特徴とするセキュリティ保全方法。
【請求項36】
端末装置は、ネットワーク側への問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断するステップ、を備えて、
ネットワークに接続を要求するステップは、上記判断するステップで適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するようにしたことを特徴とする請求請34または請求項35いずれか記載のセキュリティ保全方法。
【請求項37】
ネットワークに接続される接続条件提供装置を備えて、
該接続条件提供装置が、ユーザ固有の識別情報により所定のネットワークへの接続条件を問合せてきた端末に対して上記固有の識別情報に基づいて認証を行うステップと、
上記認証を行うステップで正規の端末と認証すると、パスワードまたは暗号鍵で暗号化した署名を生成し、該生成したパスワードまたは署名を付加情報として上記端末装置に送信するステップと、を設けたことを特徴とする請求項34または請求項35いずれか記載のセキュリティ保全方法。
【請求項1】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
電子証明書を記憶したカードを接続するカード接続部と、
上記カード接続部に接続されたカードから上記電子証明書を取得し、取得した該電子証明書に基づいて上記所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、該問い合わせ情報に対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサ、とを備えたことを特徴とする端末装置。
【請求項2】
端末装置は、情報収集部が収集したセキュリティ状態情報と、所定のネットワークが要求する接続条件とを比較する接続条件判定部を備えて、
プロセッサは、上記所定のネットワークへの接続条件の取得をネットワーク側の機器に要求する情報を送信し、応答情報として該ネットワーク側の機器から上記所定のネットワークへの接続条件の情報を得て、上記接続条件判定部での比較により接続条件に適合すると判定した場合、上記所定のネットワークへの接続要求を行う、ことを特徴とする請求項1記載の端末装置。
【請求項3】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行うことを特徴とする請求項1記載の端末装置。
【請求項4】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカードを接続するカード接続部と、
A3)上記カード接続部に接続されたカードから上記電子証明書を取得し、取得した該電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる問合せ情報を送信し、該問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断し、適合すると判断すると、上記応答情報付接続要求を作成してネットワークに出力して上記所定のネットワークへの接続を要求するプロセッサと、
を備えた端末装置と、
B1)ユーザ毎に対応する電子証明書を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理部が管理している電子証明書を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項5】
所定のネットワークへの接続条件を記憶し、該所定のネットワークへの接続を要求する端末装置のセキュリティ状態を表す上記所定のネットワークへの接続条件とパスワードを発行する接続条件提供装置を備えて、
認証装置は、上記接続条件提供装置からユーザ対応の上記パスワードを得て、管理部には電子証明書として上記得たユーザ対応の上記パスワードを管理して、認証判断部は、端末装置から上記ユーザとして上記所定のネットワークへの接続要求が来ると、上記管理しているパスワードに適合するかを判断して適合する場合に接続を許可することを特徴とする請求項4記載のセキュリティ保全システム。
【請求項6】
端末装置は、接続条件提供装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記接続条件提供装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項5記載のセキュリティ保全システム。
【請求項7】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行う、ことを特徴とする請求項4記載のセキュリティ保全システム。
【請求項8】
所定のネットワークへの接続条件を記憶する接続条件記憶部と、該所定のネットワークへの接続を要求するユーザに対しパスワードを生成発行するパスワード生成部と、を備えたネットワーク側にある装置であって、
上記パスワード生成部は、上記ユーザが使用する端末装置から電子証明書付で上記所定のネットワークへの接続条件の送信要求があると、ユーザが使用する上記端末装置と、上記ネットワークを管理する認証装置とに、上記ユーザであることを示す識別子と上記パスワードとを送信する、ことを特徴とするネットワーク側にある接続条件提供装置。
【請求項9】
端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
端末装置のカード接続部に接続されたカードから電子証明書の情報を取得し、取得した該電子証明書に基づいて所定のネットワークへの接続条件をネットワーク側のネットワーク機器に問合せる接続条件問合せステップと、
上記接続条件問い合わせに対する応答情報により上記所定のネットワークへの接続条件と上記情報収集部が収集したセキュリティ状態情報とが適合するかを判断する適合判断ステップと、
上記適合判断により適合すると判断した場合に上記応答情報付接続要求を作成してネットワークに出力し上記所定のネットワークへの接続を要求する接続ステップ、とを備えたことを特徴とするセキュリティ保全方法。
【請求項10】
ユーザから電子証明書に基づいて所定のネットワークに対する接続条件の問合せがあると、上記電子証明書に基づいて上記ユーザが問合せた端末装置に対して上記所定のネットワークに対する接続条件とパスワードを応答する応答ステップと、
上記端末装置から上記パスワード付で上記所定のネットワークへの接続要求が来ると、上記ユーザの識別子と上記パスワードに基づいて接続許可を行う認証ステップと、を備えたことを特徴とする請求項9記載のセキュリティ保全方法。
【請求項11】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部と、
上記ネットワークと接続するネットワーク接続部と、
ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサ、とを備えたことを特徴とする端末装置。
【請求項12】
暗号化部を収めて、電子証明書を記憶したカードを接続するカード接続部を備えて、
プロセッサは、上記カード接続部に接続された上記カードを上記電子証明書で正規ユーザのカードであるかを認証し、該カードの認証が正しいことを確認して該カード内の上記暗号化部で情報収集部が収集したセキュリティ状態情報を暗号化させてネットワーク側の装置に問合せることを特徴とする請求項11記載の端末装置。
【請求項13】
所定のネットワークへの接続を希望する端末装置において、
上記端末装置自身のセキュリティ状態情報を収集する情報収集部と、
電子証明書を記憶したカードを接続するカード接続部と、
上記ネットワークと接続するネットワーク接続部と、
上記カード接続部に接続された上記カードを上記電子証明書でカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えたことを特徴とする端末装置。
【請求項14】
収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部を備え、
プロセッサは、収集したセキュリティ状態情報を上記暗号化部で暗号化させて、ネットワークへ問合せることを特徴とする請求項13記載の端末装置。
【請求項15】
プロセッサは、ネットワーク側の装置への問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断し、該適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するようにしたことを特徴とする請求項11または請求項13いずれか記載の端末装置。
【請求項16】
端末装置は、情報収集部が収集したセキュリティ状態情報と、所定のネットワーク側の装置が要求する接続条件とを適合比較する接続条件判定部を備えて、
プロセッサは、所定のネットワークへの上記接続条件の取得をネットワーク側の機器に要求する取得要求情報を送信し、該ネットワーク側の装置から応答情報として上記所定のネットワークへの接続条件情報を得て、該得た接続条件情報による上記接続条件判定部が行う上記適合比較で合致と判定すると、上記所定のネットワークへの接続要求を行う、ことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項17】
接続条件判定部をカード内に設けて、
プロセッサは、上記カード内の接続条件判定部により適合比較することを特徴とする請求項16記載の端末装置。
【請求項18】
カードは、端末装置のセキュリティ情報の収集範囲を示す収集指定情報を記憶し、
プロセッサは、上記カードがカード接続部に接続されると、上記収集指定情報を読取り、該読取った収集指定情報に従って情報収集部に端末装置自身のセキュリティ状態情報を収集させるようにしたことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項19】
カードは、所定の乱数を記憶し、
プロセッサは、上記乱数と入力されたハッシュ値とにより所定のネットワークに接続を要求することを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項20】
カードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行うことを特徴とする請求項12または請求項13いずれか記載の端末装置。
【請求項21】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部からネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する固有の識別情報を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、該問合せを復号して上記管理部が管理している上記識別情報を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項22】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカード、を接続するカード接続部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)上記カード接続部に接続された上記カードを電子証明書によりカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)ユーザ毎に対応する固有の識別情報を管理する管理部と、
B2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、上記管理部が管理している上記識別情報を用いて上記端末装置のセキュリティ状態情報が上記所定のネットワークへの接続条件と適合するかを判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項23】
端末装置は、認証装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記認証装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項22記載のセキュリティ保全システム。
【請求項24】
A1)端末装置自身のセキュリティ状態情報を収集する情報収集部と、
A2)電子証明書を記憶したカード、を接続するカード接続部と、
A3)所定のネットワークと接続するネットワーク接続部と、
A4)上記カード接続部に接続された上記カードを電子証明書によりカード認証し、該カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク接続部から上記ネットワーク側の装置に問合せて、該問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断し、該適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するプロセッサと、を備えた端末装置と、
B1)上記所定のネットワークへの接続条件を記憶する接続条件記憶部と、
B2)ユーザのカード毎に対応する固有の識別情報を記憶し、上記端末装置からの接続条件の問合せに対して、該記憶する識別情報と上記接続条件記憶部が記憶する接続条件とに基づいて認証を行うカード認証部と、を備えて、
上記カード認証部が認証する認証情報を上記付加情報として上記端末に応答する接続条件提供装置と、
C1)上記接続条件提供装置から送られる付加情報をユーザ毎に対応させて管理する管理部と、
C2)上記端末装置から上記ユーザとして上記所定のネットワークへの接続条件の問合せが来ると、上記管理部が管理している上記付加情報情報を用いて上記端末装置の適合性を判断し、適合する場合には上記端末装置に接続を許可する認証判断部と、
を備えた認証装置と、により構成されることを特徴とするセキュリティ保全システム。
【請求項25】
接続条件提供装置は、接続条件記憶部が記憶するネットワークへの接続条件と、端末装置からの接続条件問合せに含まれる、該端末装置のセキュリティ情報とを比較して、該比較により接続の適合を判定する接続条件判定部、を備えて接続条件判定装置となり、
該接続条件判定装置は、上記接続条件判定部が接続の適合を判定すると、上記適合を示す付加情報を上記端末装置に対して応答するようにしたことを特徴とする請求項24記載のセキュリティ保全システム。
【請求項26】
接続条件提供装置は、カード認証部が認証した認証情報としてパスワードまたは暗号鍵で暗号化した署名を生成し、該パスワードまたは署名を上記付加情報として端末装置と認証装置とに送信することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項27】
接続条件提供装置は、認証情報の有効期限を定める有効時間生成部を備えて、認証情報としての付加情報に該生成した有効期限をつけて送信することを特徴とする請求項26記載のセキュリティ保全システム。
【請求項28】
端末装置は、接続条件提供装置に対して暗号化鍵を接続要求に付けて所定のネットワークへの接続条件の送付を要求し、
上記接続条件提供装置は、上記暗号化鍵を用いて暗号化して上記所定のネットワークへの接続条件を送信することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項29】
接続条件提供装置は、端末装置のセキュリティ状態情報を収集する範囲を指定した収集指定情報を記憶または生成して、端末からの問合せに対して該収集指定情報を応答し、
端末装置は、カード内に上記受信した収集指定情報を記憶し、情報収集部が上記端末のセキュリティ情報の収集を要求されると、上記記憶した収集指定情報に基づいてセキュリティ情報を収集することを特徴とする請求項24記載のセキュリティ保全システム。
【請求項30】
端末装置においてカードは、計算機が読取って実行可能な情報収集部の機能を表現するプログラムをカード内メモリに記憶し、プロセッサは、該カードが端末装置のカード接続部に接続されると、上記情報収集部の機能を表現するプログラムを上記端末装置のメモリ上に転送記憶して、以後、転送記憶された上記情報収集部の機能を表現するプログラムを実行して情報収集部の動作を行う、ことを特徴とする請求項22または請求項24いずれか記載のセキュリティ保全システム。
【請求項31】
所定のネットワークに接続される接続条件提供装置であって、
上記所定のネットワークへの接続条件を記憶する接続条件記憶部と、
ユーザ固有の識別情報により上記所定のネットワークへの接続条件を問合せる端末に対して上記固有の識別情報に基づいて認証を行う認証部と、を備えて、
接続条件提供装置は、該認証で正規の端末と認証すると、パスワードまたは暗号鍵で暗号化した署名を生成し、該生成したパスワードまたは署名を付加情報として上記端末装置に送信することを特徴とする接続条件提供装置。
【請求項32】
接続条件提供装置は、端末装置へ付加情報を送信する前に、対応する端末が持つ暗号鍵で該付加情報を暗号化して、該暗号化した付加情報を送信することを特徴とする請求項31記載の接続条件提供装置。
【請求項33】
接続条件提供装置は、端末装置のセキュリティ状態情報を収集する範囲を指定した収集指定情報を記憶する収集指定情報記憶部、または送信されたセキュリティ状態情報の収集範囲に基いて該セキュリティ状態情報の収集範囲を更新して収集指定情報を生成する収集指定情報生成部、を備えて、
上記接続条件提供装置は、端末装置からネットワークへの接続条件の問合せがあると、上記収集指定情報記憶部または上記収集指定情報生成部から得られる収集指定情報を送信することを特徴とする請求項31記載の接続条件提供装置。
【請求項34】
所定のネットワークへの接続を希望する端末装置において、
該端末装置が、端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
上記収集したセキュリティ状態情報を固有の暗号化鍵で暗号化する暗号化ステップと、
ユーザ固有の識別情報と上記暗号化したセキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク側の装置に問合せるステップと、
上記問い合わせステップに対する応答情報により上記ネットワークに接続を要求するステップと、を備えたことを特徴とするセキュリティ保全方法。
【請求項35】
所定のネットワークへの接続を希望する端末装置において、
該端末装置が、端末装置自身のセキュリティ状態情報を収集する状態情報収集ステップと、
電子証明書を記憶したカード、をカード認証するステップと、
上記カード認証に基く識別情報と上記セキュリティ状態情報とを含んだ上記所定のネットワークへの接続条件を上記ネットワーク側の装置に問合せるステップと、
上記問い合わせステップに対する応答情報により上記ネットワークに接続を要求するステップと、を備えたことを特徴とするセキュリティ保全方法。
【請求項36】
端末装置は、ネットワーク側への問い合わせに対する応答情報により所定のネットワークへの接続条件への適合を判断するステップ、を備えて、
ネットワークに接続を要求するステップは、上記判断するステップで適合との判断により上記応答情報に含まれる付加情報付で上記ネットワークに接続を要求するようにしたことを特徴とする請求請34または請求項35いずれか記載のセキュリティ保全方法。
【請求項37】
ネットワークに接続される接続条件提供装置を備えて、
該接続条件提供装置が、ユーザ固有の識別情報により所定のネットワークへの接続条件を問合せてきた端末に対して上記固有の識別情報に基づいて認証を行うステップと、
上記認証を行うステップで正規の端末と認証すると、パスワードまたは暗号鍵で暗号化した署名を生成し、該生成したパスワードまたは署名を付加情報として上記端末装置に送信するステップと、を設けたことを特徴とする請求項34または請求項35いずれか記載のセキュリティ保全方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【図47】
【図48】
【図49】
【図50】
【図51】
【図52】
【図53】
【図54】
【図55】
【図56】
【図57】
【図58】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【図47】
【図48】
【図49】
【図50】
【図51】
【図52】
【図53】
【図54】
【図55】
【図56】
【図57】
【図58】
【公開番号】特開2007−95043(P2007−95043A)
【公開日】平成19年4月12日(2007.4.12)
【国際特許分類】
【出願番号】特願2006−230149(P2006−230149)
【出願日】平成18年8月28日(2006.8.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成19年4月12日(2007.4.12)
【国際特許分類】
【出願日】平成18年8月28日(2006.8.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]