Notice: Undefined variable: fterm_desc_sub in /mnt/www/biblio_conv.php on line 353
認証トークンによるクライアントサーバ型認証システム
説明

認証トークンによるクライアントサーバ型認証システム

【課題】クライアントサーバ型認証システムにおいて予め個体識別情報を登録された認証トークンのみに証明書を発行する機能とその認証トークンの認証だけを許可する機能を提供する。
【解決手段】認証サーバマシン、クライアントマシン、管理者マシン、個体識別情報をもつ認証トークンを有し、認証サーバマシンは、認証トークンの個体識別情報と認証トークンに対する証明書の発行可否情報とを対応付けてデバイス管理DBに登録し、ユーザ情報と証明書とをユーザ管理DBに格納し、認証トークンを接続されたクライアントマシンからの認証要求に対し、デバイス管理DBの個体識別情報の有無を確認し、ユーザ情報及び証明書がユーザ管理DBのものと一致するか否かを確認して、認証を許可する。管理者マシンは、未登録の認証トークンを認証サーバマシンに登録し、問い合わせを行い、発行可の場合にのみ証明書を発行する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、証明書を認証手段として使用するクライアントサーバ型認証システムの強化機能に関する。
【背景技術】
【0002】
従来、クライアントサーバ型認証システムとしては、パスワード認証や証明書を使用した認証が一般的である。証明書を使用した認証システムでは、認証サーバマシンにて管理者が発行した証明書(実体はデータであるが、以下単に「証明書」と称する場合がある)を認証サーバマシンにて保管するとともに、当該証明書をUSB(Universal Serial Bus)メモリなどの媒体(「認証トークン」と称される)に格納し、当該媒体をクライアントマシンに接続させることにより認証を行う。
【0003】
通常、管理者は証明書を発行するために、サーバルームなどの隔離された場所に配置してある認証サーバマシンを直接操作する必要がある。認証サーバマシンの配置してあるサーバルームに入室する権限を管理者が持っている場合や、そのサーバルームが管理者のすぐ近くにある場合は、認証サーバマシンを直接操作することは容易である。しかし、そのサーバルームに入室する権限がない管理者である場合(入室権限の申請に時間がかかる場合や臨時管理者の場合)や、サーバルームが物理的に遠隔地にある場合には、サーバマシンを直接操作することが困難である。
【0004】
そこで特許文献1では、証明書を使用した認証システムに関して、管理者が認証サーバマシンを直接操作することなしに、容易にかつセキュリティレベルを下げることなく証明書を発行するシステムを提案している。具体的には、認証サーバマシンが、証明書発行権限に関する管理者の有効/無効及び無効時のログイン制限を含む管理者情報を予め格納しておき、管理者が管理者マシン(身近にあって直接操作可能なマシン)から認証サーバマシンに対して証明書発行依頼を行うと、認証サーバマシンは管理者マシンに証明書を送信するとともに、発行依頼を行った管理者とその証明書とを関連付けて記憶しておく。その後、管理者はユーザに証明書を発行する(すなわち認証トークンに証明書を格納し、配布する)。認証サーバマシンは、認証トークンを使用したユーザのクライアントマシンから証明書を受信したとき、その証明書と関連付けられた管理者情報を照会して有効/無効を判断し、有効であればログインさせ、無効であればログイン制限を行う。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−122793号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1のシステムにおける認証トークンは、単にUSBメモリなどの媒体に証明書が格納されたものであるので、悪意のある人間によってその証明書を他の媒体に複写されて、不正に利用される可能性がある。
【0007】
証明書が不正に利用されたことが発覚した後であれば、管理者によりその証明書を無効にすることで、それ以降の不正利用を防ぐことはできる。しかし、正規ユーザは、自分の証明書が不正に利用されていた事実を知らない可能性がある。その場合は、自分の知らないうちに認証トークンが利用できなくなっていることに憤慨するかもしれない。さらに、管理者によって証明書を新たに発行、すなわち認証トークンに新たに証明書を格納してもらう必要があり、その分の時間と手間がかかる。
【0008】
また、証明書を再発行する際、管理者の利用する管理者マシンにUSBメモリなどの媒体を接続するだけでは、認証トークンとして既にユーザと証明書が格納されていた場合にはそのユーザの認証機能が起動してしまい、証明書を新たに発行することができなくなる可能性がある。
【0009】
本発明の目的は、特許文献1のシステムをさらに改善することである。すなわち、予め一意の個体として登録された認証トークンのみに証明書を発行する機能と、その認証トークンの認証だけを許可する機能とを加えることで、上述したような不正利用を防ぐ機能を提供することを目的とする。また、管理者マシンが認証トークンの証明書を発行使用とする際には、認証トークンの認証機能が起動しないようにする機能を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明の、認証トークンによるクライアントサーバ型認証システムは、ユーザを認証する認証サーバマシンと、前記認証サーバマシンにネットワークを介して接続されユーザにより利用されるクライアントマシンと、前記認証サーバマシンにネットワークを介して接続され管理者により利用される管理者マシンと、発行された証明書を格納するための媒体であり個体識別情報をもつ認証トークンとを有するクライアントサーバ型認証システムである。
前記認証サーバマシンは、前記管理者マシンから送信された前記認証トークンの個体識別情報と該認証トークンに対する証明書の発行可否情報とを対応付けてデバイス管理DBに登録する手段と、前記管理者マシンから送信された前記ユーザに関するユーザ情報と該ユーザに対して発行された証明書とを対応付けてユーザ管理DBに格納する手段と、前記ユーザ情報及び前記証明書を格納されている前記認証トークンを接続された前記クライアントマシンからの認証要求に対し、該認証要求に含まれる該認証トークンの個体識別情報が前記デバイス管理DBに登録されているか否かを確認する手段と、前記認証トークンの個体識別情報が登録されている場合にのみ、前記認証要求に含まれるユーザ情報及び証明書が前記ユーザ管理DBに格納されたユーザ情報及び証明書と一致するか否かを確認する手段と、前記ユーザ情報及び前記証明書が一致する場合にのみ認証を許可する手段と、を備える。
前記管理者マシンは、接続された未登録の認証トークンの個体識別情報及び該認証トークンに対する証明書の発行可否情報を前記認証サーバマシンに登録させるべく送信する手段と、接続された認証トークンが登録済みであるか否か及び該認証トークに対する証明書の発行可否情報が発行可であるか否かを前記認証サーバマシンに問い合わせ、該認証サーバマシンから、該認証トークンが登録済みでありかつ発行可否情報が発行可であるとの回答を受信した場合にのみ、該認証トークンに対し指定されたユーザについての証明書を発行し、指定された該ユーザのユーザ情報及び発行した該証明書を該認証トークンに格納する手段と、前記ユーザ情報及び発行した前記証明書を前記認証サーバマシンに格納させるべく送信する手段と、を備える。
【0011】
上記システムにおいて、前記管理者マシンはさらに、前記認証サーバマシンに対し問い合わせを行う対象である前記認証トークンを接続する前に、該認証サーバマシンにより証明書発行モードを有効に設定されるための手段を備え、該証明書発行モードが有効に設定されている場合にのみ、前記証明書を発行可能であることが、好適である。
【発明の効果】
【0012】
以上のように本発明の、認証トークンによるクライアントサーバ型認証システムによれば、次のような効果がある。
一意の個体として識別可能な個体識別情報を事前に登録されている認証トークンのみに対し、証明書を発行することができる。従って、別の個体識別情報をもつ別の認証トークンに、証明書又はユーザ情報のみを複写して不正利用することを防止することができる。
【0013】
また、管理者マシンが、認証トークンの認証を行う機能から認証トークンの証明書を発行する機能に事前に切り替えることにより、管理者マシンから認証トークンの証明書を発行することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の、認証トークンによるクライアントサーバ型認証システムの構成図である。
【図2】図1のユーザ管理DB(データベース)の構成図である。
【図3】図1のデバイス管理DB(データベース)の構成図である。
【図4A】認証トークンに証明書を発行する処理のフローチャートである。
【図4B】認証トークンに証明書を発行する処理のフローチャートである。
【図5】認証トークンによる認証処理のフローチャートである。
【発明を実施するための形態】
【0015】
本発明を実施するための形態を、実施例を示した図面を参照しつつ詳細に説明する。
図1は、本発明の、認証トークンによるクライアントサーバ型認証システムの概略的な構成図である。
図1において、ネットワーク104には、クライアントマシン101及び認証サーバマシン103が接続されている。クライアントマシン101は一台だけではなく、複数台存在し、それぞれがネットワーク104を介して認証サーバマシン103と接続され、相互情報伝送可能である。各クライアントマシン101には、特に決められたユーザがいないか、又は、一人又は複数の決められたユーザがいるものと想定する。
【0016】
同様に、ネットワーク105には、管理者マシン102及び認証サーバマシン103が接続されている。管理者マシン102は、サーバルームなどの隔離された場所に配置されている認証サーバマシン103に対して、管理者が管理者権限においてサーバルームの外部から操作するためのものである。
【0017】
認証サーバマシン103は、サーバプログラムを導入されたコンピュータにより、そして、クライアントマシン101及び管理者マシン102は、端末として機能する適宜のパーソナルコンピュータにより実施できる。
【0018】
図1には、本システムにおいて使用される認証トークンの一例として、2つの認証トークン106及び認証トークン107を示している。これらは、発行された証明書を格納するための媒体であり、例えば、USBメモリである。認証トークン106、107が、所定の証明書を格納した状態でクライアントマシン101に接続されることにより、設定されたセキュリティポリシーに従ったユーザとしてログインすることを可能とする。以下では、符号を伴わない「認証トークン」は、図1に示した特定の認証トークン106、107及びこれら以外の認証トークンを含む、広い概念の認証トークンを表す場合に用いる。
【0019】
認証サーバマシン103は、認証トークンに証明書を発行する手段及び認証トークンによるユーザ認証手段を含む本発明の機能を実行する各処理手段(図示省略)と、本発明の機能に関連する情報を格納するためのユーザ管理DB(データベース)108及びデバイス管理DB(データベース)109を備えている。ユーザ管理DB108には、クライアントマシン101のユーザに関する情報と、当該ユーザに発行した証明書が、ユーザ毎に登録されている。デバイス管理DB109には、登録済みの認証トークンに関する情報が、認証トークン毎に登録されている。
【0020】
図2は、図1の認証サーバマシン103に備わっているユーザ管理DB108の定義内容と情報の一例を示す構成図である。図1のクライアントマシン101を利用する各ユーザに関する情報が記載されている。
【0021】
ユーザ管理DB108は、データ項目として、ユーザ名201、証明書データ202及びセキュリティポリシー203を含み、各情報が対応付けられて格納される。ユーザ名201には各ユーザのユーザ名が格納される。証明書データ202は、実質的な証明書であるところの各ユーザの識別情報が格納される。セキュリティポリシー203には、そのユーザが認証すなわちログインを許可された後の、持ち出し可・不可等のセキュリティ制限情報が格納されている。
【0022】
このユーザ管理DB108は、クライアントマシン101が認証トークンを使用してログインしようとして認証サーバマシン103に認証要求した際に、認証トークンに格納されているユーザ名及び証明書を照合するために使用される。ユーザ管理DB108と、認証トークンに格納されているユーザ名及び証明書の照合結果が一致すれば、ユーザはログインに成功する。照合結果が一致しなければ、ユーザはログインに失敗する。
【0023】
図3は、図1における認証サーバマシン103に備わっているデバイス管理DB109の定義内容と情報の概要であり、図1の認証トークン106、107の個体を一意に識別する情報が記載されている。
【0024】
デバイス管理DB109は、データ項目として、識別ID301及び発行可否302を含み、各情報が対応付けられて格納される。識別ID301には、図1における認証トークン106、107の各々を一意の個体として識別する情報すなわち個体識別情報が格納される。ここで、認証トークンの個体識別情報とは、個々の認証トークンの媒体に本来的に格納されている、書き換えや複写ができない情報である。発行可否302には、識別ID301に記載されている認証トークンに対する証明書の発行可又は不可を設定した発行可否情報が格納される。一例として、図1の認証トークン106については、識別ID301に個体識別情報「id106」が、発行可否302に「可能」が格納されており、図1の認証トークン107については、識別ID301に個体識別情報「id107」が、発行可否302に「不可能」が格納されている。
【0025】
このデバイス管理DB109は、管理者マシン102が、登録された認証トークン106、107に対して証明書を発行する際に、当該認証トークン106、107の発行可否情報を確認するために参照される。また、クライアントマシン101が、認証トークンを使用してログインしようとして認証サーバマシン103に認証要求した際に、当該認証トークンが登録されているか否かを確認するために参照される。
【0026】
図4A及び図4Bは、管理者マシン102及び認証サーバマシン103により実行される処理であって、未登録の認証トークンを登録し、登録された認証トークンに対して証明書を発行する処理のフローチャートである。この処理の後半では、図1に示した、認証トークン106と認証トークン107の証明書の発行可否情報の設定内容により分岐する処理となっている。以下の説明においては、図1〜図3中の符号も参照する。
【0027】
まず、管理者が管理者マシン102にログインし、未登録の認証トークンが管理者により管理者マシン102に接続される(ステップ401)。管理者マシン102から認証サーバマシン103に対して、当該認証トークンの個体識別情報及び証明書の発行可否情報が送信され、認証サーバマシン103はデバイス管理DB109にこれらの情報を対応付けて登録する(ステップ402)。
【0028】
次に、管理者マシン102から認証サーバマシン103にリモートログインし、認証サーバマシン103から、管理者マシン102が証明書を発行する権限を一時的に与えられる(ステップ403)。
【0029】
再度、管理者により管理者マシン102に認証トークンが接続される(ステップ404)。その際、管理者マシン102が、認証サーバマシン103により証明書発行モードを有効に設定されているかどうかによって処理が分岐する(ステップ405)。証明書発行モードを有効に設定されている場合は、認証トークンを接続しても認証サーバマシン103に対してログイン認証を行わない状態となる。これにより、認証トークンに対して証明書の発行が可能となる。そのため、認証トークンに対して証明書を発行する場合は、事前に(認証トークンを接続する前に)認証サーバマシン103から管理者マシン102に対して証明書発行モードを有効に設定しておく必要がある。なお、認証サーバマシン103は、管理者マシン102の証明書発行モードが有効に設定されている状態から無効に設定する手段も備えている。
【0030】
ステップ405において、証明書発行モードが無効に設定されている場合、認証トークンとして認証サーバマシン103に対してログイン認証する(ステップ407)。これ以降は本発明とは無関係の処理となる。
【0031】
一方、ステップ405において、証明書発行モードが有効に設定されている場合、認証トークンに対して証明書を発行することが可能となる(ステップ406)。なお、管理者マシン102ではなく、認証サーバマシン103において認証トークンに対して証明書を発行する場合は、証明書発行モードを有効に設定する必要はない。
【0032】
次に、管理者マシン102は、接続された認証トークンの個体識別情報がデバイス管理DB109に登録されているか否かを認証サーバマシン103に問い合わせる(ステップ408)。認証サーバマシン103は、デバイス管理DB109を参照し、認証トークンの個体識別情報が識別ID301に登録済みの場合は、管理者マシン102にその旨を回答する。
【0033】
続いて、管理者マシン102は、当該認証トークンに対して証明書を発行可能であるか否かを認証サーバマシン103に問い合わせる(ステップ409)。認証サーバマシン103は、デバイス管理DB109を参照し、当該認証トークンの識別ID301に対応する発行可否302に「可能」と登録されていれば、その旨を管理者マシン102に回答する。これに基づき管理者マシン102は、当該認証トークンに対して、指定されたユーザの証明書を発行する(ステップ410)。例えば、認証トークン106が接続された場合、デバイス管理DB109の識別ID301に「id106」が登録済みであり、発行可否302には「可能」と登録されているので、証明書の発行に成功する。ユーザの指定において、例えば、ユーザ名201の「yamada」をユーザとして指定すると、「yamada」とそれに対する証明書が認証トークン106に格納され、ユーザ管理DB108にも格納される。
【0034】
このようにして、認証トークンには、指定されたユーザの情報と発行された証明書の情報が格納される。同時に、これらのユーザ情報及び証明書の情報は、認証サーバマシン103に送信され、認証サーバマシン103は、ユーザ管理DB108のユーザ名201に対応付けられた証明書データ202に証明書を格納する。このとき、既に証明書データ202にデータが存在する場合にはそのデータは上書きされる。
【0035】
上記ステップ408及びステップ409のいずれか一方でも満たさない場合は、証明書の発行は失敗して処理を終了する(ステップ411)。例えば、認証トークン107が接続された場合、識別ID301に「id107」は登録されているが、発行可否302には「不可能」と登録されているので、認証トークン107に対する証明書の発行は失敗する。
【0036】
図5は、クライアントマシン101及び認証サーバマシン103により実行される処理であって、認証トークンによる認証を行う処理のフローチャートである。図1におけるクライアントマシン101に認証トークン106を接続して認証する処理を表している。
【0037】
まず、図1におけるクライアントマシン101に認証トークン106を接続する(ステップ501)。この認証トークン106には、既に証明書が発行され格納されている。認証トークン106に格納されている情報(個体識別情報、ユーザ名、証明書)は、認証要求とともに認証サーバマシン103に送信される。次に、認証サーバマシン103は、デバイス管理DB109を参照し、認証トークン106の個体識別情報が登録されているか否かを確認する。(ステップ502)。
【0038】
仮に、認証トークン106ではない別の認証トークンが接続され、その個体識別情報がデバイス管理DB109に登録されていない場合、認証トークンによる認証は失敗して処理は終了する(ステップ504)。例えば、何らかの手段により、認証トークン106と同じ証明書が複写された別の認証トークンを接続して認証させようとしたとする。しかし、この別の認証トークンの個体識別情報は、デバイス管理DB109に登録されていないため、この処理によりこの別の認証トークンによる認証処理は失敗する。
【0039】
この実施例では、認証トークン106の個体識別情報はデバイス管理DB109に登録されているので、認証サーバマシン103は、認証トークン106による認証を許可し、さらにユーザ管理DB108を参照する。そして、認証トークン106に格納されているユーザ名及び証明書と、ユーザ管理DB108に登録されているユーザ名201及び証明書データ202とを照合する(ステップ503)。照合した結果が一致しない場合は、認証トークン106による認証は失敗して認証処理は終了する(ステップ507)。照合した結果が一致する場合は、認証トークン106による認証に成功する(ステップ506)。
【符号の説明】
【0040】
101…クライアントマシン、102…管理者マシン、103…認証サーバマシン、104…ネットワーク、105…ネットワーク、106…認証トークン、107…認証トークン、108…ユーザ管理DB、109…デバイス管理DB

【特許請求の範囲】
【請求項1】
ユーザを認証する認証サーバマシンと、前記認証サーバマシンにネットワークを介して接続されユーザにより利用されるクライアントマシンと、前記認証サーバマシンにネットワークを介して接続され管理者により利用される管理者マシンと、発行された証明書を格納するための媒体であり個体識別情報をもつ認証トークンとを有するクライアントサーバ型認証システムであって、
前記認証サーバマシンは、
前記管理者マシンから送信された前記認証トークンの個体識別情報と該認証トークンに対する証明書の発行可否情報とを対応付けてデバイス管理DBに登録する手段と、
前記管理者マシンから送信された前記ユーザに関するユーザ情報と該ユーザに対して発行された証明書とを対応付けてユーザ管理DBに格納する手段と、
前記ユーザ情報及び前記証明書を格納されている前記認証トークンを接続された前記クライアントマシンからの認証要求に対し、該認証要求に含まれる該認証トークンの個体識別情報が前記デバイス管理DBに登録されているか否かを確認する手段と、
前記認証トークンの個体識別情報が登録されている場合にのみ、前記認証要求に含まれるユーザ情報及び証明書が前記ユーザ管理DBに格納されたユーザ情報及び証明書と一致するか否かを確認する手段と、
前記ユーザ情報及び前記証明書が一致する場合にのみ認証を許可する手段と、を備え、
前記管理者マシンは、
接続された未登録の認証トークンの個体識別情報及び該認証トークンに対する証明書の発行可否情報を前記認証サーバマシンに登録させるべく送信する手段と、
接続された認証トークンが登録済みであるか否か及び該認証トークに対する証明書の発行可否情報が発行可であるか否かを前記認証サーバマシンに問い合わせ、該認証サーバマシンから、該認証トークンが登録済みでありかつ発行可否情報が発行可であるとの回答を受信した場合にのみ、指定されたユーザについての証明書を発行し、指定された該ユーザのユーザ情報及び発行した該証明書を該認証トークンに格納する手段と、
前記ユーザ情報及び発行した前記証明書を前記認証サーバマシンに格納させるべく送信する手段と、を備えたことを特徴とする
認証トークンによるクライアントサーバ型認証システム。
【請求項2】
前記管理者マシンはさらに、前記認証サーバマシンに対し問い合わせを行う対象である前記認証トークンを接続する前に、該認証サーバマシンにより証明書発行モードを有効に設定されるための手段を備え、該証明書発行モードが有効に設定されている場合にのみ、前記証明書を発行可能であることを特徴とする請求項1に記載の認証トークンによるクライアントサーバ型認証システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4A】
image rotate

【図4B】
image rotate

【図5】
image rotate


【公開番号】特開2012−73870(P2012−73870A)
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願番号】特願2010−218902(P2010−218902)
【出願日】平成22年9月29日(2010.9.29)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】