認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム
【課題】信頼のおけない環境下でも安全に認証情報を入力し、任意の認証方式を持つ情報処理サーバにリモートアクセスをおこなう。
【解決手段】本発明の認証情報送信システムは、リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、前記情報処理サーバにリモートアクセスするアクセス用端末と、前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。
【解決手段】本発明の認証情報送信システムは、リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、前記情報処理サーバにリモートアクセスするアクセス用端末と、前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証用機器で入力された認証情報を、リモートアクセス対象の情報処理サーバに送信する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムに関する。
【背景技術】
【0002】
モバイル機器とモバイルネットワークの普及により、社外のモバイルネットワークなどの外部ネットワークから社内のイントラネットにアクセスする機会が増えてきている。このとき、業務に必要なデータやプログラムなどをモバイル機器内に蓄積していると、モバイル機器を紛失したときに情報漏洩の危険性があるため、業務に必要なものは全てイントラネット内のメールサーバやファイルサーバなどの情報処理サーバにおいておき、外部ネットワークからそれらにアクセスするリモートアクセスを用いる手法が広まってきている。
【0003】
このような、リモートアクセスには、WWW(World Wide Web)ブラウザを用いる方法や、画面転送型のシンクライアントを用いる方法が広く用いられている。
【0004】
しかし、イントラネット内の情報処理サーバにリモートアクセスする際に利用するアクセス用端末は、インターネットカフェなど公共の場に備えられているPC(Personal Computer)であることも珍しくなく、そのようなアクセス用端末にはキーロガーなどの悪意のあるプログラムが備えられている可能性がある。そのため、リモートアクセス対象の情報処理サーバから、アクセス用端末からのリモートアクセスを認証するリモートアクセス認証に用いる、アクセス用端末を使用しているユーザを証明する認証情報を要求された際に、アクセス用端末から認証情報の入力をおこなうと、キーロガーにより認証情報を盗まれる危険性がある。
【0005】
このような危険性を避けるために、IC(Integrated Circuit)カードやUSB(Universal Serial Bus)メモリなどに、認証情報を記憶した本人認証装置を用いてリモートアクセス認証をおこなう認証方式が存在している。
【0006】
例えば、特許文献1には、リモートアクセスに際して、アクセス用端末に接続された本人認証装置を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献1では、リモートアクセス認証をおこなうにあたり、アクセス用端末に本人認証装置を接続し、主認証装置にリモートアクセス認証を要求する。主認証装置は、アクセス用端末を介して、本人認証装置から認証情報を取得し、取得した認証情報を用いて本人認証装置からのリモートアクセス認証をおこない、本人認証装置が接続されているアクセス用端末からのリモートアクセスの可否を判定する。
【0007】
また、特許文献2には、リモートアクセスに際して、ユーザが保持する携帯端末機器を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献2では、アクセス用端末と情報処理サーバ間で通信されるデータをプロキシサーバの要領で中継する中継装置が存在する。アクセス用端末から情報処理サーバへのリモートアクセスに際し、中継装置は、携帯端末機器に認証情報の入力を要求し、携帯端末機器から送信されてきた認証情報を用いて情報処理サーバにリモートアクセスを要求し、情報処理サーバから送信されてきたリモートアクセス認証の結果をアクセス用端末に送信する。
【特許文献1】特開2004−023166号公報
【特許文献2】特開2006−202052号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載されているような、リモートアクセス認証にICカードなどの本人認証装置を用いる技術には、本人認証装置を用いた認証方式に対応していない情報処理サーバが存在すると、その情報処理サーバへのリモートアクセスの際には、アクセス用端末から認証情報の入力をおこなう必要があり、キーロガーによる認証情報の漏洩の危険性が依然として存在するという課題がある。
【0009】
また、特許文献2に記載されている、リモートアクセス認証に携帯端末機器を用いる技術では、アクセス用端末は中継装置に接続し、情報処理サーバは中継装置からのリモートアクセス認証をおこなうため、中継装置が対応していない認証方式を持つ情報処理サーバにはリモートアクセスできず、任意の認証方式を持つ情報処理サーバに対応できないという課題がある。
【0010】
本発明の目的は、上述した課題を解決する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するために本発明の認証情報送信システムは、
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。
【0012】
上記目的を達成するために本発明のリモートアクセス管理装置は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とする。
【0013】
上記目的を達成するために本発明の認証情報中継方法は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする。
【0014】
上記目的を達成するために本発明の認証情報中継プログラムは、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であってキーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする。
【発明の効果】
【0015】
上述のように、本発明によれば、リモートアクセス対象の情報処理サーバに認証情報を送信する際に、認証情報を、キーロガーが備えられている可能性のあるアクセス用端末ではなく、キーロガーを備えない認証用機器から入力するため、安全に認証情報を入力することができる。
【0016】
また、認証用機器で入力された認証情報は、リモートアクセス管理装置にて、アクセス用端末から送信されてきたデータと同じ形式に変換され、情報処理サーバに送信されるため、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができる。
【0017】
これにより、信頼のおけない環境下でも安全に認証情報を入力し、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができるという効果が得られる。
【発明を実施するための最良の形態】
【0018】
以下に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0019】
(第1の実施形態)
図1に、本発明の第1の実施形態の認証情報送信システムの構成を示す。
【0020】
図1に示すように、本実施形態の認証情報送信システムは、サーバ群130に含まれるリモートアクセス対象の情報処理サーバ(メールサーバ131やWWWサーバ132など)に対し、認証情報140を送信するものであり、プログラム制御により動作するリモートアクセス管理装置100と、アクセス用端末110と、認証用機器120と、を有している。なお、サーバ群130に含まれる各情報処理サーバは、それぞれ任意の認証方式を持つものとする。
【0021】
アクセス用端末110は、本システムのユーザが、サーバ群130に含まれる各情報処理サーバにリモートアクセスするために使用する情報処理装置である。
【0022】
認証用機器120は、アクセス用データ記憶手段121と、入力手段122と、第1通信手段123と、第2通信手段124と、を有し、キーロガーを備えないデバイスである。
【0023】
アクセス用データ記憶手段121は、後述するリモートアクセス管理装置100の主通信手段101がアクセス用端末110からのアクセスを認証するアクセス認証に用いる、アクセス認証用の情報121aを記憶するための手段である。
【0024】
入力手段122は、サーバ群130に含まれる各情報処理サーバがアクセス用端末110からのリモートアクセスを認証するリモートアクセス認証に用いる、認証情報140を入力するための手段である。
【0025】
第1通信手段123は、後述するリモートアクセス管理装置100の補助通信手段102と通信するための手段である。
【0026】
第2通信手段124は、アクセス用端末110と通信するための手段である。
【0027】
リモートアクセス管理装置100は、主通信手段101と、補助通信手段102と、を有している。
【0028】
補助通信手段102は、認証用機器120の第1通信手段123から送信されてきた認証情報140を受信し、主通信手段101に転送する。
【0029】
主通信手段101は、認証用機器120の第2通信手段124を用いて、アクセス用端末110を介して認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、アクセス用端末110からのアクセス認証をおこなう。アクセス認証後は、アクセス用端末110とサーバ群130に含まれるリモートアクセス対象の情報処理サーバ間で通信されるデータの中継をおこなう。また、リモートアクセス認証の際に、補助通信手段102から転送されてきた認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し、サーバ群130に含まれるリモートアクセス対象の情報処理サーバに送信する。
【0030】
なお、主通信手段101とアクセス用端末110間の通信と、補助通信手段102と認証用機器120の第1通信手段123間の通信と、は異なる通信路を用いておこなわれるものとする。
【0031】
以下に、図2の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象の情報処理サーバがサーバ群130のメールサーバ131であるものとして説明する。
【0032】
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
【0033】
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ201)。
【0034】
次に、アクセス用端末110は、主通信手段101を介して、メールサーバ131へのリモートアクセスをおこなう(ステップ202)。
【0035】
メールサーバ131が、リモートアクセス認証に用いる認証情報140を要求した場合(ステップ203)、ユーザは、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ204)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ205)。
【0036】
補助通信手段102は、第1通信手段123から送信されてきた認証情報140を、主通信手段101に転送する。
【0037】
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し(ステップ206)、メールサーバ131に送信する。
【0038】
メールサーバ131は、主通信手段101から送信されてきた認証情報140を用い、アクセス用端末110からのリモートアクセス認証をおこなう(ステップ207)。
【0039】
次に、本実施形態の効果について説明する。
【0040】
本実施形態では、メールサーバ131にリモートアクセスするための認証情報140は、キーロガーが備えられている可能性のあるアクセス用端末110ではなく、キーロガーを備えない認証用機器120から入力する構成となっているため、安全に認証情報140を入力することができるという効果が得られる。
【0041】
また、本実施形態では、認証用機器120で入力された認証情報140を、リモートアクセス管理装置100にてアクセス用端末110から送信されてきたデータと同じ形式に変換し、メールサーバ131に送信する構成となっているため、任意の認証方式を持つメールサーバ131にリモートアクセスすることができるという効果が得られる。
【0042】
(第2の実施形態)
図3に、本発明の第2の実施形態の認証情報送信システムの構成を示す。
【0043】
図3に示すように、本実施形態の認証情報送信システムは、第1の実施形態と比較して、アクセス中継手段340を設けた点が異なる。それ以外の構成要素は、第1の実施形態と同様であるため、図1と同一の符号を付し、適宜説明を省略する。
【0044】
アクセス中継手段340は、主通信手段101とサーバ群130との間に配置され、アクセス用端末110から主通信手段101を経由して受信した操作データを基にサーバ群130に含まれる各情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、各情報処理サーバから受信した画面データを、主通信手段101を経由してアクセス用端末110に送信する。
【0045】
以下に、図4の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
【0046】
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されていているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
【0047】
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ401)。
【0048】
次に、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し(ステップ402)、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう(ステップ403)。
【0049】
上述したリモート操作は、具体的には、アクセス用端末110は、キーボードの押下データなどの操作データを、主通信手段101を経由して、アクセス中継手段340に送信し、アクセス中継手段340は、受信した操作データに基づいてリモートアクセスを実行し、リモートアクセスの結果としてメールサーバ131から受信した画面データを、主通信手段101を経由して、アクセス用端末110に送信することでおこなわれる。
【0050】
メールサーバ131がリモートアクセス認証に用いる認証情報140を要求する場合(ステップ404)、認証情報140を要求する旨の画面データを、アクセス中継手段340に送信し、アクセス中継手段340は、メールサーバ130から送信されてきた画面データをアクセス用端末110に送信し、アクセス用端末110は、アクセス中継手段340から送信されてきた画面データを表示する。
【0051】
ユーザは、アクセス用端末110に認証情報140を要求する旨の画面データが表示されると、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ405)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ406)。
【0052】
補助通信手段102は、認証用機器120から送信されてきた認証情報140を、主通信手段101に転送する。
【0053】
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきた操作データと同じ形式に変換し(ステップ407)、アクセス中継手段340に送信する。
【0054】
アクセス中継手段340は、主通信手段101から認証情報140が操作データとして送信されてくると、その操作データに基づく処理を実行することで認証情報140を取得し、認証情報140をメールサーバ131に送信する。
【0055】
メールサーバ131は、アクセス中継手段340から送信されてきた認証情報140を用いて、アクセス中継手段340からのリモートアクセス認証をおこなう(ステップ408)。
【0056】
次に、本実施形態の効果について説明する。
【0057】
本実施形態の認証情報送信システムでは、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう構成となっている。そのため、ユーザは、アクセス用端末110に備えられているコンピュータウイルス等の悪意のあるプログラムにより汚染されている可能性のあるアプリケーションではなく、アクセス中継手段340に備えられている信頼性の高いアプリケーションを使用し、メールサーバ131にリモートアクセスをおこなうことができる。このように、本実施形態では、第1の実施形態で得られる効果に加え、安全なアプリケーションを使用し、リモートアクセスをおこなうことができるという効果が得られる。
【0058】
(第3の実施形態)
図5に、本発明の第3の実施形態の認証情報送信システム構成を示す。
【0059】
図5に示すように、本実施形態の認証情報送信システムは、第2の実施形態と比較して、リモートアクセス管理装置100、アクセス用端末110、および認証用機器120の代わりに、それぞれ、リモートアクセス管理装置500、アクセス用端末510、および認証用機器520を設けた点が異なる。
【0060】
以下では、本実施形態の構成および動作のうち、第2の実施形態と異なる点について説明する。
【0061】
認証用機器520は、アクセス用データ記憶手段521と、入力手段522と、第1通信手段523と、第2通信手段524と、を有し、キーロガーを備えないデバイスである。
【0062】
第1通信手段523は、後述するリモートアクセス管理装置500の補助通信手段502と通信するための手段であり、補助通信手段502に、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aと公開鍵504a)の生成要求を送信するとともに、補助通信手段502から送信されてきた秘密鍵521aを受信する。
【0063】
アクセス用データ記憶手段521は、補助通信手段502から第1通信手段523に送信されてきた秘密鍵521aを記憶するための手段である。また、アクセス用データ記憶手段521は、後述するリモートアクセス管理装置500の主通信手段501がアクセス用端末510からのアクセス認証に用いるアクセス認証用の情報121aも記憶しているものとする。
【0064】
入力手段522は、サーバ群130に含まれる各情報処理サーバがアクセス用端末510からのリモートアクセス認証に用いる認証情報140を入力するための手段である。
【0065】
第2通信手段524は、後述するアクセス用端末510と通信するための手段である。
【0066】
リモートアクセス管理装置500は、主通信手段501および補助通信手段502に加えて、鍵生成手段503と、データ記憶手段504と、を有している。
【0067】
鍵生成手段503は、認証用機器520および主通信手段501からの鍵ペアの生成要求を受信し、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aおよび公開鍵504a)を生成する。また、鍵生成手段503は、生成した秘密鍵521aを補助通信手段502から認証用機器520の第1通信手段523に送信するとともに、生成した公開鍵504aをデータ記憶手段504に記憶する。
【0068】
補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた、鍵ペアの生成要求を受信し、鍵生成手段503に転送し、鍵生成手段503が生成した秘密鍵521aを、第1通信手段523に送信する。また、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。
【0069】
主通信手段501は、アクセス用端末510がアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、アクセス用端末510からのアクセス認証をおこなう。また、主通信手段501は、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、鍵生成手段503に新たな鍵ペア(新たな秘密鍵521bおよび公開鍵504b)の生成要求を送信する。その後、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
【0070】
アクセス用端末510は、本システムのユーザが、メールサーバ131にリモートアクセスするために使用する情報処理装置である。アクセス用端末510は、認証用機器520のアクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化する。また、アクセス用端末510は、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する。さらに、アクセス用端末510は、アクセス認証後、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、アクセス用データ記憶手段521に記憶されている秘密鍵521aが秘密鍵521bに更新されているかを確認する。アクセス用端末510は、秘密鍵521aが更新されていれば、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。アクセス用端末510は、秘密鍵521aが更新されていなければ、主通信手段501との通信を終了する。
【0071】
以下に、図6および図7の流れ図を参照して本実施形態の認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
【0072】
最初に、リモートアクセス管理装置500におけるアクセス認証処理の動作について図6を用いて説明する。
【0073】
まず、認証用機器520は、第1通信手段523から、鍵ペアの生成要求を補助通信手段502に送信する。
【0074】
次に、補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた鍵ペアの生成要求を受信し、鍵生成手段503に転送する。
【0075】
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペア(秘密鍵521aと公開鍵504a)を生成する(ステップ601)。また、鍵生成手段503は、生成した公開鍵504aをデータ記憶手段504に記憶する。
【0076】
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう(ステップ602)。補助通信手段502は、認証用機器520が利用可能な認証用機器である場合、鍵生成手段503が生成した秘密鍵521aを第1通信手段523に送信する(ステップ603)。
【0077】
次に、主通信手段501は、アクセス用端末510が認証用機器520のアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したアクセス認証用の情報121aを用いて、アクセス用端末510からのアクセス認証をおこなう(ステップ604)。
【0078】
次に、主通信手段501は、アクセス用端末510とアクセス中継手段340間で通信されるデータの中継をおこなうとともに(ステップ605)、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると(ステップ606)、鍵生成手段503に新たな鍵ペアの生成要求を送信する。
【0079】
次に、鍵生成手段503は、主通信手段501から送信されてきた鍵ペアの生成要求を受信し、新たな鍵ペア(秘密鍵521bと公開鍵504b)を生成する(ステップ607)。また、鍵生成手段503は、生成した秘密鍵521bを補助通信手段502から第1通信手段523に送信するとともに(ステップ608)、データ記憶手段504に記憶されている公開鍵504aを生成した公開鍵504bに更新する。
【0080】
その後、主通信手段510は、アクセス用端末510と通信したデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
【0081】
以降、主通信手段501は、アクセス用端末510との通信が行われている間、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとにステップ605以降の動作を繰り返す。
【0082】
次に、アクセス用端末510および認証用機器520におけるアクセス認証処理の動作について図7を用いて説明する。
【0083】
まず、認証用機器520は、第2通信手段524を用いてアクセス用端末510と接続するとともに、第1通信手段523から、補助通信手段502に鍵ペアの生成要求を送信する(ステップ701)。
【0084】
次に、認証用機器520は、補助通信手段502から送信されてきた鍵生成手段503が生成した秘密鍵521aを、アクセス用データ記憶手段521に記憶する。
【0085】
次に、アクセス用端末510は、アクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化し、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する(ステップ702)。
【0086】
次に、アクセス用端末510は、主通信手段501を介して、アクセス中継手段340とリモート接続し(ステップ703)、アクセス中継手段340をリモート操作して、メールサーバ131にリモートアクセスする(ステップ704)。
【0087】
ユーザは、メールサーバ131から、リモートアクセス認証に用いる認証情報140を要求された場合、第2の実施形態と同様に、認証用機器520の入力手段522を用いて認証情報140を入力し(ステップ709)、入力した認証情報140を第1通信手段523から補助通信手段502に送信する(ステップ710)。
【0088】
アクセス用端末510は、アクセス認証後、アクセス中継手段340とリモート接続し、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達したかを判定する(ステップ705)。
【0089】
アクセス用端末510は、カウントしたデータ量が一定量に達していない場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ706)。
【0090】
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信に異常が生じたと判断し通信を終了する。
【0091】
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信は正常であると判断し通信を継続する。
【0092】
アクセス用端末510は、カウントしたデータ量が一定量に達している場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ707)。
【0093】
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信は正常であると判断し、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する(ステップ708)。
【0094】
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じた判断し通信を終了する。
【0095】
以降、アクセス用端末510は、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、ステップ704以降の動作を繰り返す。
【0096】
次に、本実施形態の効果について説明する。
【0097】
本実施形態の認証情報送信システムでは、主通信手段501は、アクセス用端末510と通信したデータ量が一定量に達するごとに、アクセス認証用の情報121aを暗号化および複合化するための鍵ペアを更新し、鍵ペアを更新するごとに、新たな鍵ペアを用いたアクセス認証を必要とし、新たな鍵ペアを用いたアクセス認証がおこなわれない場合、アクセス用端末510との通信を終了する構成となっている。そのため、秘密鍵521aがアクセス用端末510から不正にコピーされ、他のシステムで利用された場合でも、秘密鍵521aの更新の有無から不正利用を検出し、その通信を終了することができる構成となっている。このように本実施形態では、第1および第2の実施形態の効果に加え、不正なアクセスを検知し、その通信を終了することができるという効果が得られる。
【0098】
上述した第1〜第3の実施形態の認証情報送信システムは、一例であり、その構成及び動作は、発明の主旨を逸脱しない範囲で、適宜に変更可能である。
【0099】
例えば、第1〜第3の実施形態では、認証用機器120(または520)の入力手段122(または522)を用いて認証情報140の入力をおこなっているが、あらかじめ認証情報140をアクセス用データ記憶手段121(または521)に記憶しておき、リモートアクセス対象の情報処理サーバがリモートアクセス認証に用いる認証情報140を要求した場合、アクセス用データ記憶手段121(または521)に記憶されている認証情報140を、リモートアクセス管理装置100(または500)を経由して、情報処理サーバに送信するようにしてもよい。
【0100】
また、例えば、第1〜第3の実施形態では、最小構成のためアクセス用端末110(または510)と、認証用機器120(または520)と、はシステム中に各1台しか存在しないので、リモートアクセス管理装置100(または500)では、これらの結びつけをおこなう手段は必要としないが、リモートアクセス管理装置100(または500)に、アクセス用端末110(または510)と認証用機器120(または520)を結び付ける情報を記憶する手段(例えば、データベースや、第3の実施形態であればデータ記憶手段504など)を設けることで、複数のアクセス用端末および認証用機器が利用できるようにしてもよい。
【実施例】
【0101】
次に、具体的な実施例を用いて本発明を実施するための最良の形態を説明する。
【0102】
(実施例1)
本実施例は、図3に示した第2の実施形態の認証情報送信システムを、具体化したものである。
【0103】
本実施例では、アクセス用端末110として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末110をPC110と称する。
【0104】
また、本実施例では、認証用機器120として、PC110を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器120を携帯電話120と称し、アクセス用データ記憶手段121をメモリ121と称する。また、アクセス認証用の情報121aとしては、ユーザ証明書、パスワード、携帯電話固有の機器IDなどを用いることができるが、本実施例では、ユーザ証明書を用いるものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、第2通信手段124としては、例えば、USB通信のような有線通信もしくはBluetoothのような無線通信のいずれも使用できるが、本実施例では、USB通信を使用するものとする。
【0105】
また、本実施例では、アクセス中継手段340として、シンクライアントサーバを備えたイントラネット内のPCを使用するものとし、以下では、アクセス中継手段340をPC340と称する。
【0106】
また、本実施例では、PC110は、PC340にリモート接続するための手段として、例えば、当業者によく知られたVNC(Virtual Networc Computing:http://www.realvnc.comなどから取得可能)を使用するものとし、PC340には、PC110からのリモート接続を受け付けるシンクライアントサーバであるVNCサーバが備えられているものとする。
【0107】
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
【0108】
まず、PC110は、携帯電話120のメモリ121に記憶されているユーザ証明書121aを取得し、主通信手段101に送信する。
【0109】
次に、主通信手段101は、PC110から送信されてきたユーザ証明書121aを用いて、例えば、当業者によく知られたアクセス認証手順である、TLS(Transport Layer Security:TLSの詳細な認証手順についてはRFC2246を参照)プロトコルに従い、PC110からのアクセス認証をおこなう。TLS以外に、同じく当業者によく知られたパスワード認証や、あらかじめ接続可能なPC110を特定するための機器ID情報を主通信手段101内に登録しておき、PC110から送られてくる機器IDと一致するかどうかでアクセス認証をおこなうようにしても良い。
【0110】
アクセス認証に成功した場合、主通信手段101は、PC110とVPN(Virtual Private Netwrok)を形成する。
【0111】
PC110は、アクセス認証後は、このVPNを経由して主通信手段101と通信をおこなう。
【0112】
次に、PC110は、VNCを用いて、PC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。
【0113】
PC110は、PC340をリモート操作するに当たり、キーボードやマウスなどの入力手段に入力された操作データを送信し、PC340は、受信した操作データに基づいてメールサーバ131へのリモートアクセスを実行し、その結果としてメールサーバ131から送信されてきた画面データをPC110に送信し、PC110は受信した画面データをディスプレイなどの出力装置に表示する。すなわち、ユーザには、PC110上であたかもPC340を直接操作しているかのような、リモート操作環境が提供される。
【0114】
次に、リモートアクセスをおこなっているメールサーバ131が、メール取得の可否を判定するために、リモートアクセス認証に用いる認証情報140を要求した場合、ユーザは、PC110ではなく、携帯電話120の入力手段122へのキー入力により認証情報140の入力をおこなう。ここでは、パスワードを要求されたものとし、以下では、認証情報140をパスワード140と称する。
【0115】
次に、携帯電話120は、ユーザにより入力されたパスワード140を、例えば、携帯電話網のような、比較的盗聴などの危険性が低い通信路を用いて、補助通信手段102に送信する。
【0116】
次に、補助通信手段102は携帯電話120から送信されてきたパスワード140を、主通信手段101に転送する。
【0117】
次に、主通信手段101は、補助通信手段102から転送されたパスワード140を、PC110から送信されてきた操作データと同じ形式に変換し、PC340に送信する。
【0118】
より具体的には、パスワード140は、PC110の入力手段に入力された操作データ、例えば、キーボードの押下データや、マウスの移動データ、またはマウスのクリックイベントデータなどの形式に変換され、PC340に送信される。これにより、PC340は、あたかもPC110でパスワード140の入力がおこなわれたかのように、パスワード140の操作データを受信することができる。
【0119】
その後、PC340は、パスワード140をメールサーバ131に送信し、メールサーバ131は、PC340から送信されてきたパスワード140を用いてPC340からのリモートアクセス認証をおこなう。
【0120】
また、本実施例では、パスワード140を要求された際に、携帯電話120の入力手段122からパスワード140の入力をおこなうとなっているが、パスワード140をあらかじめ携帯電話120のメモリ121に記憶しておき、パスワード140が要求された際には、例えば、携帯電話120の入力手段122であるキーのいずれかにパスワード送信の動作を割り振り、そのキーを押すことにより、メモリ121に記憶されているパスワード140を補助通信手段102に送信するようにしても良い。このようにすると、携帯電話120の入力手段122でパスワード140を直接入力することがなくなるため、パスワード140の入力の手間を削減できるだけでなく、パスワード140入力時の盗み見を防止することができるようになるという効果が得られる。
【0121】
(実施例2)
本実施例は、図5に示した第3の実施形態の認証情報送信システムを、具体化したものである。
【0122】
本実施例では、アクセス用端末510として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末510をPC510と称する。また、PC510で、アクセス認証に必要な動作をおこなう必要があるため、PC510に、アクセス認証に必要な動作を実行させるアクセス認証用のプログラムを、PC510上で実行する必要がある。ここでは、アクセス認証用のプログラムを、あらかじめ認証用機器520のアクセス用データ記憶手段521やUSBメモリなどに記憶しておき、リモートアクセスの際に、PC510にそれらを接続し、PC510上でアクセス認証用のプログラム実行することで、主通信手段501にアクセス認証を要求するものとする。
【0123】
また、本実施例では、認証用機器520として、PC510を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器520を携帯電話520と称し、アクセス用データ記憶手段521をメモリ521と称する。また、本実施例では、アクセス認証用の情報121aとして、ユーザ証明書を使用するものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、本実施例では、第2通信手段524として、USB通信を使用するものとする。
【0124】
また、本実施例では、実施例1と同様に、アクセス中継手段340をPC340と称し、また、PC510は、PC340にリモート接続するための手段としてVNCを使用するものとする。
【0125】
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
【0126】
まず、携帯電話520は、補助通信手段502に鍵ペアの生成要求を送信する。
【0127】
次に、補助通信手段502は、携帯電話520から送信されてきた鍵ペアの生成要求を鍵生成手段503に転送する。
【0128】
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペアを生成する。
【0129】
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた携帯電話520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。なお、携帯電話520を識別するための機器IDや電話番号といった識別データは、あらかじめリモートアクセス管理装置500が有するデータ記憶手段504などの記憶装置に記憶されているものとする。
【0130】
鍵ペアの生成要求を送信してきた携帯電話520が、利用可能な認証用機器であった場合、鍵生成手段503は、補助通信手段502から携帯電話520に秘密鍵521aを送信し、携帯電話520は、受信した秘密鍵521aをメモリ521に記憶する。
【0131】
なお、携帯電話520と補助通信手段502間の通信は、比較的盗聴などの危険性の少ない携帯電話網などの通信路を用いておこなわれるものとする。
【0132】
次に、PC540は、携帯電話520のメモリ521に記憶されている秘密鍵521aおよびユーザ証明書121aを取得し、秘密鍵521aを用いてユーザ証明書121aを暗号化する。
【0133】
次に、PC510は、暗号化したユーザ証明書121aを主通信手段501に送信し、アクセス認証を要求する。
【0134】
主通信手段501は、PC510から送信されてきた暗号化されたユーザ証明書121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したユーザ証明書121aを用いて、PC510からのアクセス認証をおこなう。
【0135】
なお、主通信手段501でおこなうアクセス認証には、公開鍵方式を利用できる任意の認証方式を用いるものとする。
【0136】
アクセス認証が成功した場合、主通信手段501は、実施例1と同様に、PC510とVPNを形成する。PC510は、アクセス認証後は、このVPNを経由して主通信手段501と通信をおこない、VNCを用いてPC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。なお、以降のメールサーバ131へのリモートアクセス動作は、上述した実施例1と同様のため、説明を省略する。
【0137】
次に、アクセス認証後の動作について説明する。
【0138】
最初に、リモートアクセス管理装置500における動作について説明する。
【0139】
アクセス認証後、主通信手段501は、PC510と通信したデータ量が一定量に達するごとに、鍵生成手段503を用いて、新たな鍵ペアを生成する。
【0140】
鍵生成手段503は、新たな鍵ペア(秘密鍵521bおよび公開鍵504b)を生成するごとに、秘密鍵521bを補助通信手段502から携帯電話520に送信するとともに、データ記憶手段504に記憶されている公開鍵504aを公開鍵504bに更新する。
【0141】
その後、主通信手段501は、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、PC510から、秘密鍵521bで暗号化されたユーザ証明書121aが送信されてこない場合、PC510との通信を終了する。
【0142】
次に、PC510および携帯電話520における動作、について説明する。
【0143】
アクセス認証後、携帯電話520は、補助通信手段502から秘密鍵521bを受信するたびに、メモリ521に記憶されている秘密鍵521aを受信した秘密鍵521bに更新する。
【0144】
PC510は、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、携帯電話520のメモリ521に記憶されている秘密鍵521aが密秘密521bに更新されているかを確認する。
【0145】
PC510は、秘密鍵521aが更新されている場合、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。
【0146】
また、PC510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じたと判断し、通信を終了する。
【0147】
なお、本発明のリモートアクセス管理装置100(または500)は、上述のように専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをリモートアクセス管理装置100(または500)に読み込ませ、実行するものであっても良い。リモートアクセス管理装置100(または500)で読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、リモートアクセス管理装置100(または500)に内蔵されるハードディスク装置等の記憶装置を指す。さらに、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にリモートアクセス管理装置100(または500)内部の揮発性メモリのように一定時間プログラムを保持しているものを含む。
【産業上の利用可能性】
【0148】
本発明は、認証情報を情報処理サーバに送信する用途に利用できる。
【図面の簡単な説明】
【0149】
【図1】本発明の第1の実施形態の認証情報送信システムの構成を示すブロック図である。
【図2】図1に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。
【図3】本発明の第2の実施形態の認証情報送信システムの構成を示すプロック図である。
【図4】図3に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。
【図5】本発明の第3の実施形態の認証情報送信システムの構成を示すプロック図である。
【図6】図5に示したリモートアクセス管理装置におけるアクセス認証処理の動作を説明する流れ図である。
【図7】図5に示したアクセス用端末および認証用機器におけるアクセス認証処理の動作を説明する流れ図である。
【符号の説明】
【0150】
100 リモートアクセス管理装置
101 主通信手段
102 補助通信手段
110 アクセス用端末
120 認証用機器
121 アクセス用データ記憶手段
121a アクセス認証用の情報
122 入力手段
123 第1通信手段
124 第2通信手段
130 サーバ群
131 メールサーバ
132 WWWサーバ
140 認証情報
340 アクセス中継手段
500 リモートアクセス管理装置
501 主通信手段
502 補助通信手段
503 鍵生成手段
504 データ記憶手段
504a,504b 公開鍵
510 アクセス用端末
520 認証用機器
521 アクセス用データ記憶手段
521a,521b 秘密鍵
522 入力手段
523 第1通信手段
524 第2通信手段
【技術分野】
【0001】
本発明は、認証用機器で入力された認証情報を、リモートアクセス対象の情報処理サーバに送信する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムに関する。
【背景技術】
【0002】
モバイル機器とモバイルネットワークの普及により、社外のモバイルネットワークなどの外部ネットワークから社内のイントラネットにアクセスする機会が増えてきている。このとき、業務に必要なデータやプログラムなどをモバイル機器内に蓄積していると、モバイル機器を紛失したときに情報漏洩の危険性があるため、業務に必要なものは全てイントラネット内のメールサーバやファイルサーバなどの情報処理サーバにおいておき、外部ネットワークからそれらにアクセスするリモートアクセスを用いる手法が広まってきている。
【0003】
このような、リモートアクセスには、WWW(World Wide Web)ブラウザを用いる方法や、画面転送型のシンクライアントを用いる方法が広く用いられている。
【0004】
しかし、イントラネット内の情報処理サーバにリモートアクセスする際に利用するアクセス用端末は、インターネットカフェなど公共の場に備えられているPC(Personal Computer)であることも珍しくなく、そのようなアクセス用端末にはキーロガーなどの悪意のあるプログラムが備えられている可能性がある。そのため、リモートアクセス対象の情報処理サーバから、アクセス用端末からのリモートアクセスを認証するリモートアクセス認証に用いる、アクセス用端末を使用しているユーザを証明する認証情報を要求された際に、アクセス用端末から認証情報の入力をおこなうと、キーロガーにより認証情報を盗まれる危険性がある。
【0005】
このような危険性を避けるために、IC(Integrated Circuit)カードやUSB(Universal Serial Bus)メモリなどに、認証情報を記憶した本人認証装置を用いてリモートアクセス認証をおこなう認証方式が存在している。
【0006】
例えば、特許文献1には、リモートアクセスに際して、アクセス用端末に接続された本人認証装置を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献1では、リモートアクセス認証をおこなうにあたり、アクセス用端末に本人認証装置を接続し、主認証装置にリモートアクセス認証を要求する。主認証装置は、アクセス用端末を介して、本人認証装置から認証情報を取得し、取得した認証情報を用いて本人認証装置からのリモートアクセス認証をおこない、本人認証装置が接続されているアクセス用端末からのリモートアクセスの可否を判定する。
【0007】
また、特許文献2には、リモートアクセスに際して、ユーザが保持する携帯端末機器を用いてリモートアクセス認証をおこなう技術が記載されている。この特許文献2では、アクセス用端末と情報処理サーバ間で通信されるデータをプロキシサーバの要領で中継する中継装置が存在する。アクセス用端末から情報処理サーバへのリモートアクセスに際し、中継装置は、携帯端末機器に認証情報の入力を要求し、携帯端末機器から送信されてきた認証情報を用いて情報処理サーバにリモートアクセスを要求し、情報処理サーバから送信されてきたリモートアクセス認証の結果をアクセス用端末に送信する。
【特許文献1】特開2004−023166号公報
【特許文献2】特開2006−202052号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載されているような、リモートアクセス認証にICカードなどの本人認証装置を用いる技術には、本人認証装置を用いた認証方式に対応していない情報処理サーバが存在すると、その情報処理サーバへのリモートアクセスの際には、アクセス用端末から認証情報の入力をおこなう必要があり、キーロガーによる認証情報の漏洩の危険性が依然として存在するという課題がある。
【0009】
また、特許文献2に記載されている、リモートアクセス認証に携帯端末機器を用いる技術では、アクセス用端末は中継装置に接続し、情報処理サーバは中継装置からのリモートアクセス認証をおこなうため、中継装置が対応していない認証方式を持つ情報処理サーバにはリモートアクセスできず、任意の認証方式を持つ情報処理サーバに対応できないという課題がある。
【0010】
本発明の目的は、上述した課題を解決する、認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するために本発明の認証情報送信システムは、
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする。
【0012】
上記目的を達成するために本発明のリモートアクセス管理装置は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とする。
【0013】
上記目的を達成するために本発明の認証情報中継方法は、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする。
【0014】
上記目的を達成するために本発明の認証情報中継プログラムは、
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であってキーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする。
【発明の効果】
【0015】
上述のように、本発明によれば、リモートアクセス対象の情報処理サーバに認証情報を送信する際に、認証情報を、キーロガーが備えられている可能性のあるアクセス用端末ではなく、キーロガーを備えない認証用機器から入力するため、安全に認証情報を入力することができる。
【0016】
また、認証用機器で入力された認証情報は、リモートアクセス管理装置にて、アクセス用端末から送信されてきたデータと同じ形式に変換され、情報処理サーバに送信されるため、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができる。
【0017】
これにより、信頼のおけない環境下でも安全に認証情報を入力し、任意の認証方式を持つ情報処理サーバにリモートアクセスすることができるという効果が得られる。
【発明を実施するための最良の形態】
【0018】
以下に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0019】
(第1の実施形態)
図1に、本発明の第1の実施形態の認証情報送信システムの構成を示す。
【0020】
図1に示すように、本実施形態の認証情報送信システムは、サーバ群130に含まれるリモートアクセス対象の情報処理サーバ(メールサーバ131やWWWサーバ132など)に対し、認証情報140を送信するものであり、プログラム制御により動作するリモートアクセス管理装置100と、アクセス用端末110と、認証用機器120と、を有している。なお、サーバ群130に含まれる各情報処理サーバは、それぞれ任意の認証方式を持つものとする。
【0021】
アクセス用端末110は、本システムのユーザが、サーバ群130に含まれる各情報処理サーバにリモートアクセスするために使用する情報処理装置である。
【0022】
認証用機器120は、アクセス用データ記憶手段121と、入力手段122と、第1通信手段123と、第2通信手段124と、を有し、キーロガーを備えないデバイスである。
【0023】
アクセス用データ記憶手段121は、後述するリモートアクセス管理装置100の主通信手段101がアクセス用端末110からのアクセスを認証するアクセス認証に用いる、アクセス認証用の情報121aを記憶するための手段である。
【0024】
入力手段122は、サーバ群130に含まれる各情報処理サーバがアクセス用端末110からのリモートアクセスを認証するリモートアクセス認証に用いる、認証情報140を入力するための手段である。
【0025】
第1通信手段123は、後述するリモートアクセス管理装置100の補助通信手段102と通信するための手段である。
【0026】
第2通信手段124は、アクセス用端末110と通信するための手段である。
【0027】
リモートアクセス管理装置100は、主通信手段101と、補助通信手段102と、を有している。
【0028】
補助通信手段102は、認証用機器120の第1通信手段123から送信されてきた認証情報140を受信し、主通信手段101に転送する。
【0029】
主通信手段101は、認証用機器120の第2通信手段124を用いて、アクセス用端末110を介して認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、アクセス用端末110からのアクセス認証をおこなう。アクセス認証後は、アクセス用端末110とサーバ群130に含まれるリモートアクセス対象の情報処理サーバ間で通信されるデータの中継をおこなう。また、リモートアクセス認証の際に、補助通信手段102から転送されてきた認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し、サーバ群130に含まれるリモートアクセス対象の情報処理サーバに送信する。
【0030】
なお、主通信手段101とアクセス用端末110間の通信と、補助通信手段102と認証用機器120の第1通信手段123間の通信と、は異なる通信路を用いておこなわれるものとする。
【0031】
以下に、図2の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象の情報処理サーバがサーバ群130のメールサーバ131であるものとして説明する。
【0032】
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
【0033】
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ201)。
【0034】
次に、アクセス用端末110は、主通信手段101を介して、メールサーバ131へのリモートアクセスをおこなう(ステップ202)。
【0035】
メールサーバ131が、リモートアクセス認証に用いる認証情報140を要求した場合(ステップ203)、ユーザは、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ204)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ205)。
【0036】
補助通信手段102は、第1通信手段123から送信されてきた認証情報140を、主通信手段101に転送する。
【0037】
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきたデータと同じ形式に変換し(ステップ206)、メールサーバ131に送信する。
【0038】
メールサーバ131は、主通信手段101から送信されてきた認証情報140を用い、アクセス用端末110からのリモートアクセス認証をおこなう(ステップ207)。
【0039】
次に、本実施形態の効果について説明する。
【0040】
本実施形態では、メールサーバ131にリモートアクセスするための認証情報140は、キーロガーが備えられている可能性のあるアクセス用端末110ではなく、キーロガーを備えない認証用機器120から入力する構成となっているため、安全に認証情報140を入力することができるという効果が得られる。
【0041】
また、本実施形態では、認証用機器120で入力された認証情報140を、リモートアクセス管理装置100にてアクセス用端末110から送信されてきたデータと同じ形式に変換し、メールサーバ131に送信する構成となっているため、任意の認証方式を持つメールサーバ131にリモートアクセスすることができるという効果が得られる。
【0042】
(第2の実施形態)
図3に、本発明の第2の実施形態の認証情報送信システムの構成を示す。
【0043】
図3に示すように、本実施形態の認証情報送信システムは、第1の実施形態と比較して、アクセス中継手段340を設けた点が異なる。それ以外の構成要素は、第1の実施形態と同様であるため、図1と同一の符号を付し、適宜説明を省略する。
【0044】
アクセス中継手段340は、主通信手段101とサーバ群130との間に配置され、アクセス用端末110から主通信手段101を経由して受信した操作データを基にサーバ群130に含まれる各情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、各情報処理サーバから受信した画面データを、主通信手段101を経由してアクセス用端末110に送信する。
【0045】
以下に、図4の流れ図を参照して、本実施形態の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
【0046】
まず、アクセス用端末110は、認証用機器120のアクセス用データ記憶手段121に記憶されていているアクセス認証用の情報121aを取得し、取得したアクセス認証用の情報121aを主通信手段101に送信し、アクセス認証を要求する。
【0047】
次に、主通信手段101は、アクセス用端末110から送信されてきたアクセス認証用の情報121aを用いて、アクセス用端末110からのアクセス認証をおこなう(ステップ401)。
【0048】
次に、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し(ステップ402)、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう(ステップ403)。
【0049】
上述したリモート操作は、具体的には、アクセス用端末110は、キーボードの押下データなどの操作データを、主通信手段101を経由して、アクセス中継手段340に送信し、アクセス中継手段340は、受信した操作データに基づいてリモートアクセスを実行し、リモートアクセスの結果としてメールサーバ131から受信した画面データを、主通信手段101を経由して、アクセス用端末110に送信することでおこなわれる。
【0050】
メールサーバ131がリモートアクセス認証に用いる認証情報140を要求する場合(ステップ404)、認証情報140を要求する旨の画面データを、アクセス中継手段340に送信し、アクセス中継手段340は、メールサーバ130から送信されてきた画面データをアクセス用端末110に送信し、アクセス用端末110は、アクセス中継手段340から送信されてきた画面データを表示する。
【0051】
ユーザは、アクセス用端末110に認証情報140を要求する旨の画面データが表示されると、認証用機器120の入力手段122を用いて認証情報140を入力し(ステップ405)、入力した認証情報140を第1通信手段123から補助通信手段102に送信する(ステップ406)。
【0052】
補助通信手段102は、認証用機器120から送信されてきた認証情報140を、主通信手段101に転送する。
【0053】
主通信手段101は、補助通信手段102から転送された認証情報140を、アクセス用端末110から送信されてきた操作データと同じ形式に変換し(ステップ407)、アクセス中継手段340に送信する。
【0054】
アクセス中継手段340は、主通信手段101から認証情報140が操作データとして送信されてくると、その操作データに基づく処理を実行することで認証情報140を取得し、認証情報140をメールサーバ131に送信する。
【0055】
メールサーバ131は、アクセス中継手段340から送信されてきた認証情報140を用いて、アクセス中継手段340からのリモートアクセス認証をおこなう(ステップ408)。
【0056】
次に、本実施形態の効果について説明する。
【0057】
本実施形態の認証情報送信システムでは、アクセス用端末110は、主通信手段101を介して、アクセス中継手段340にリモート接続し、アクセス中継手段340をリモート操作することで、メールサーバ131にリモートアクセスをおこなう構成となっている。そのため、ユーザは、アクセス用端末110に備えられているコンピュータウイルス等の悪意のあるプログラムにより汚染されている可能性のあるアプリケーションではなく、アクセス中継手段340に備えられている信頼性の高いアプリケーションを使用し、メールサーバ131にリモートアクセスをおこなうことができる。このように、本実施形態では、第1の実施形態で得られる効果に加え、安全なアプリケーションを使用し、リモートアクセスをおこなうことができるという効果が得られる。
【0058】
(第3の実施形態)
図5に、本発明の第3の実施形態の認証情報送信システム構成を示す。
【0059】
図5に示すように、本実施形態の認証情報送信システムは、第2の実施形態と比較して、リモートアクセス管理装置100、アクセス用端末110、および認証用機器120の代わりに、それぞれ、リモートアクセス管理装置500、アクセス用端末510、および認証用機器520を設けた点が異なる。
【0060】
以下では、本実施形態の構成および動作のうち、第2の実施形態と異なる点について説明する。
【0061】
認証用機器520は、アクセス用データ記憶手段521と、入力手段522と、第1通信手段523と、第2通信手段524と、を有し、キーロガーを備えないデバイスである。
【0062】
第1通信手段523は、後述するリモートアクセス管理装置500の補助通信手段502と通信するための手段であり、補助通信手段502に、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aと公開鍵504a)の生成要求を送信するとともに、補助通信手段502から送信されてきた秘密鍵521aを受信する。
【0063】
アクセス用データ記憶手段521は、補助通信手段502から第1通信手段523に送信されてきた秘密鍵521aを記憶するための手段である。また、アクセス用データ記憶手段521は、後述するリモートアクセス管理装置500の主通信手段501がアクセス用端末510からのアクセス認証に用いるアクセス認証用の情報121aも記憶しているものとする。
【0064】
入力手段522は、サーバ群130に含まれる各情報処理サーバがアクセス用端末510からのリモートアクセス認証に用いる認証情報140を入力するための手段である。
【0065】
第2通信手段524は、後述するアクセス用端末510と通信するための手段である。
【0066】
リモートアクセス管理装置500は、主通信手段501および補助通信手段502に加えて、鍵生成手段503と、データ記憶手段504と、を有している。
【0067】
鍵生成手段503は、認証用機器520および主通信手段501からの鍵ペアの生成要求を受信し、アクセス認証用の情報121aを暗号化および復号化するための鍵ペア(秘密鍵521aおよび公開鍵504a)を生成する。また、鍵生成手段503は、生成した秘密鍵521aを補助通信手段502から認証用機器520の第1通信手段523に送信するとともに、生成した公開鍵504aをデータ記憶手段504に記憶する。
【0068】
補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた、鍵ペアの生成要求を受信し、鍵生成手段503に転送し、鍵生成手段503が生成した秘密鍵521aを、第1通信手段523に送信する。また、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。
【0069】
主通信手段501は、アクセス用端末510がアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、アクセス用端末510からのアクセス認証をおこなう。また、主通信手段501は、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、鍵生成手段503に新たな鍵ペア(新たな秘密鍵521bおよび公開鍵504b)の生成要求を送信する。その後、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
【0070】
アクセス用端末510は、本システムのユーザが、メールサーバ131にリモートアクセスするために使用する情報処理装置である。アクセス用端末510は、認証用機器520のアクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化する。また、アクセス用端末510は、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する。さらに、アクセス用端末510は、アクセス認証後、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると、アクセス用データ記憶手段521に記憶されている秘密鍵521aが秘密鍵521bに更新されているかを確認する。アクセス用端末510は、秘密鍵521aが更新されていれば、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。アクセス用端末510は、秘密鍵521aが更新されていなければ、主通信手段501との通信を終了する。
【0071】
以下に、図6および図7の流れ図を参照して本実施形態の認証処理の動作について説明する。なお、以下では、リモートアクセス対象がサーバ群130のメールサーバ131であるものとして説明する。
【0072】
最初に、リモートアクセス管理装置500におけるアクセス認証処理の動作について図6を用いて説明する。
【0073】
まず、認証用機器520は、第1通信手段523から、鍵ペアの生成要求を補助通信手段502に送信する。
【0074】
次に、補助通信手段502は、認証用機器520の第1通信手段523から送信されてきた鍵ペアの生成要求を受信し、鍵生成手段503に転送する。
【0075】
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペア(秘密鍵521aと公開鍵504a)を生成する(ステップ601)。また、鍵生成手段503は、生成した公開鍵504aをデータ記憶手段504に記憶する。
【0076】
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた認証用機器520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう(ステップ602)。補助通信手段502は、認証用機器520が利用可能な認証用機器である場合、鍵生成手段503が生成した秘密鍵521aを第1通信手段523に送信する(ステップ603)。
【0077】
次に、主通信手段501は、アクセス用端末510が認証用機器520のアクセス用データ記憶手段521に記憶されている秘密鍵521aを用いて暗号化したアクセス認証用の情報121aを、アクセス用端末510から取得し、取得した暗号化されたアクセス認証用の情報121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したアクセス認証用の情報121aを用いて、アクセス用端末510からのアクセス認証をおこなう(ステップ604)。
【0078】
次に、主通信手段501は、アクセス用端末510とアクセス中継手段340間で通信されるデータの中継をおこなうとともに(ステップ605)、アクセス認証後、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達すると(ステップ606)、鍵生成手段503に新たな鍵ペアの生成要求を送信する。
【0079】
次に、鍵生成手段503は、主通信手段501から送信されてきた鍵ペアの生成要求を受信し、新たな鍵ペア(秘密鍵521bと公開鍵504b)を生成する(ステップ607)。また、鍵生成手段503は、生成した秘密鍵521bを補助通信手段502から第1通信手段523に送信するとともに(ステップ608)、データ記憶手段504に記憶されている公開鍵504aを生成した公開鍵504bに更新する。
【0080】
その後、主通信手段510は、アクセス用端末510と通信したデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、アクセス用端末510から秘密鍵521bを用いて暗号化されたアクセス認証用の情報121aが送信されてこない場合、アクセス用端末510との通信を終了する。
【0081】
以降、主通信手段501は、アクセス用端末510との通信が行われている間、アクセス用端末510と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとにステップ605以降の動作を繰り返す。
【0082】
次に、アクセス用端末510および認証用機器520におけるアクセス認証処理の動作について図7を用いて説明する。
【0083】
まず、認証用機器520は、第2通信手段524を用いてアクセス用端末510と接続するとともに、第1通信手段523から、補助通信手段502に鍵ペアの生成要求を送信する(ステップ701)。
【0084】
次に、認証用機器520は、補助通信手段502から送信されてきた鍵生成手段503が生成した秘密鍵521aを、アクセス用データ記憶手段521に記憶する。
【0085】
次に、アクセス用端末510は、アクセス用データ記憶手段521に記憶されているアクセス認証用の情報121aおよび秘密鍵521aを取得し、秘密鍵521aを用いてアクセス認証用の情報121aを暗号化し、暗号化したアクセス認証用の情報121aを主通信手段501に送信し、アクセス認証を要求する(ステップ702)。
【0086】
次に、アクセス用端末510は、主通信手段501を介して、アクセス中継手段340とリモート接続し(ステップ703)、アクセス中継手段340をリモート操作して、メールサーバ131にリモートアクセスする(ステップ704)。
【0087】
ユーザは、メールサーバ131から、リモートアクセス認証に用いる認証情報140を要求された場合、第2の実施形態と同様に、認証用機器520の入力手段522を用いて認証情報140を入力し(ステップ709)、入力した認証情報140を第1通信手段523から補助通信手段502に送信する(ステップ710)。
【0088】
アクセス用端末510は、アクセス認証後、アクセス中継手段340とリモート接続し、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達したかを判定する(ステップ705)。
【0089】
アクセス用端末510は、カウントしたデータ量が一定量に達していない場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ706)。
【0090】
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信に異常が生じたと判断し通信を終了する。
【0091】
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信は正常であると判断し通信を継続する。
【0092】
アクセス用端末510は、カウントしたデータ量が一定量に達している場合、アクセス用データ記憶手段521の秘密鍵521aが秘密鍵521bに更新されているかを確認する(ステップ707)。
【0093】
アクセス用端末510は、秘密鍵521aが更新されている場合、主通信手段501との通信は正常であると判断し、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する(ステップ708)。
【0094】
アクセス用端末510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じた判断し通信を終了する。
【0095】
以降、アクセス用端末510は、メールサーバ131にリモートアクセスしている間、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、ステップ704以降の動作を繰り返す。
【0096】
次に、本実施形態の効果について説明する。
【0097】
本実施形態の認証情報送信システムでは、主通信手段501は、アクセス用端末510と通信したデータ量が一定量に達するごとに、アクセス認証用の情報121aを暗号化および複合化するための鍵ペアを更新し、鍵ペアを更新するごとに、新たな鍵ペアを用いたアクセス認証を必要とし、新たな鍵ペアを用いたアクセス認証がおこなわれない場合、アクセス用端末510との通信を終了する構成となっている。そのため、秘密鍵521aがアクセス用端末510から不正にコピーされ、他のシステムで利用された場合でも、秘密鍵521aの更新の有無から不正利用を検出し、その通信を終了することができる構成となっている。このように本実施形態では、第1および第2の実施形態の効果に加え、不正なアクセスを検知し、その通信を終了することができるという効果が得られる。
【0098】
上述した第1〜第3の実施形態の認証情報送信システムは、一例であり、その構成及び動作は、発明の主旨を逸脱しない範囲で、適宜に変更可能である。
【0099】
例えば、第1〜第3の実施形態では、認証用機器120(または520)の入力手段122(または522)を用いて認証情報140の入力をおこなっているが、あらかじめ認証情報140をアクセス用データ記憶手段121(または521)に記憶しておき、リモートアクセス対象の情報処理サーバがリモートアクセス認証に用いる認証情報140を要求した場合、アクセス用データ記憶手段121(または521)に記憶されている認証情報140を、リモートアクセス管理装置100(または500)を経由して、情報処理サーバに送信するようにしてもよい。
【0100】
また、例えば、第1〜第3の実施形態では、最小構成のためアクセス用端末110(または510)と、認証用機器120(または520)と、はシステム中に各1台しか存在しないので、リモートアクセス管理装置100(または500)では、これらの結びつけをおこなう手段は必要としないが、リモートアクセス管理装置100(または500)に、アクセス用端末110(または510)と認証用機器120(または520)を結び付ける情報を記憶する手段(例えば、データベースや、第3の実施形態であればデータ記憶手段504など)を設けることで、複数のアクセス用端末および認証用機器が利用できるようにしてもよい。
【実施例】
【0101】
次に、具体的な実施例を用いて本発明を実施するための最良の形態を説明する。
【0102】
(実施例1)
本実施例は、図3に示した第2の実施形態の認証情報送信システムを、具体化したものである。
【0103】
本実施例では、アクセス用端末110として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末110をPC110と称する。
【0104】
また、本実施例では、認証用機器120として、PC110を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器120を携帯電話120と称し、アクセス用データ記憶手段121をメモリ121と称する。また、アクセス認証用の情報121aとしては、ユーザ証明書、パスワード、携帯電話固有の機器IDなどを用いることができるが、本実施例では、ユーザ証明書を用いるものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、第2通信手段124としては、例えば、USB通信のような有線通信もしくはBluetoothのような無線通信のいずれも使用できるが、本実施例では、USB通信を使用するものとする。
【0105】
また、本実施例では、アクセス中継手段340として、シンクライアントサーバを備えたイントラネット内のPCを使用するものとし、以下では、アクセス中継手段340をPC340と称する。
【0106】
また、本実施例では、PC110は、PC340にリモート接続するための手段として、例えば、当業者によく知られたVNC(Virtual Networc Computing:http://www.realvnc.comなどから取得可能)を使用するものとし、PC340には、PC110からのリモート接続を受け付けるシンクライアントサーバであるVNCサーバが備えられているものとする。
【0107】
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
【0108】
まず、PC110は、携帯電話120のメモリ121に記憶されているユーザ証明書121aを取得し、主通信手段101に送信する。
【0109】
次に、主通信手段101は、PC110から送信されてきたユーザ証明書121aを用いて、例えば、当業者によく知られたアクセス認証手順である、TLS(Transport Layer Security:TLSの詳細な認証手順についてはRFC2246を参照)プロトコルに従い、PC110からのアクセス認証をおこなう。TLS以外に、同じく当業者によく知られたパスワード認証や、あらかじめ接続可能なPC110を特定するための機器ID情報を主通信手段101内に登録しておき、PC110から送られてくる機器IDと一致するかどうかでアクセス認証をおこなうようにしても良い。
【0110】
アクセス認証に成功した場合、主通信手段101は、PC110とVPN(Virtual Private Netwrok)を形成する。
【0111】
PC110は、アクセス認証後は、このVPNを経由して主通信手段101と通信をおこなう。
【0112】
次に、PC110は、VNCを用いて、PC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。
【0113】
PC110は、PC340をリモート操作するに当たり、キーボードやマウスなどの入力手段に入力された操作データを送信し、PC340は、受信した操作データに基づいてメールサーバ131へのリモートアクセスを実行し、その結果としてメールサーバ131から送信されてきた画面データをPC110に送信し、PC110は受信した画面データをディスプレイなどの出力装置に表示する。すなわち、ユーザには、PC110上であたかもPC340を直接操作しているかのような、リモート操作環境が提供される。
【0114】
次に、リモートアクセスをおこなっているメールサーバ131が、メール取得の可否を判定するために、リモートアクセス認証に用いる認証情報140を要求した場合、ユーザは、PC110ではなく、携帯電話120の入力手段122へのキー入力により認証情報140の入力をおこなう。ここでは、パスワードを要求されたものとし、以下では、認証情報140をパスワード140と称する。
【0115】
次に、携帯電話120は、ユーザにより入力されたパスワード140を、例えば、携帯電話網のような、比較的盗聴などの危険性が低い通信路を用いて、補助通信手段102に送信する。
【0116】
次に、補助通信手段102は携帯電話120から送信されてきたパスワード140を、主通信手段101に転送する。
【0117】
次に、主通信手段101は、補助通信手段102から転送されたパスワード140を、PC110から送信されてきた操作データと同じ形式に変換し、PC340に送信する。
【0118】
より具体的には、パスワード140は、PC110の入力手段に入力された操作データ、例えば、キーボードの押下データや、マウスの移動データ、またはマウスのクリックイベントデータなどの形式に変換され、PC340に送信される。これにより、PC340は、あたかもPC110でパスワード140の入力がおこなわれたかのように、パスワード140の操作データを受信することができる。
【0119】
その後、PC340は、パスワード140をメールサーバ131に送信し、メールサーバ131は、PC340から送信されてきたパスワード140を用いてPC340からのリモートアクセス認証をおこなう。
【0120】
また、本実施例では、パスワード140を要求された際に、携帯電話120の入力手段122からパスワード140の入力をおこなうとなっているが、パスワード140をあらかじめ携帯電話120のメモリ121に記憶しておき、パスワード140が要求された際には、例えば、携帯電話120の入力手段122であるキーのいずれかにパスワード送信の動作を割り振り、そのキーを押すことにより、メモリ121に記憶されているパスワード140を補助通信手段102に送信するようにしても良い。このようにすると、携帯電話120の入力手段122でパスワード140を直接入力することがなくなるため、パスワード140の入力の手間を削減できるだけでなく、パスワード140入力時の盗み見を防止することができるようになるという効果が得られる。
【0121】
(実施例2)
本実施例は、図5に示した第3の実施形態の認証情報送信システムを、具体化したものである。
【0122】
本実施例では、アクセス用端末510として、インターネットカフェなどの公共の場に備えられたPCを使用するものとし、以下では、アクセス用端末510をPC510と称する。また、PC510で、アクセス認証に必要な動作をおこなう必要があるため、PC510に、アクセス認証に必要な動作を実行させるアクセス認証用のプログラムを、PC510上で実行する必要がある。ここでは、アクセス認証用のプログラムを、あらかじめ認証用機器520のアクセス用データ記憶手段521やUSBメモリなどに記憶しておき、リモートアクセスの際に、PC510にそれらを接続し、PC510上でアクセス認証用のプログラム実行することで、主通信手段501にアクセス認証を要求するものとする。
【0123】
また、本実施例では、認証用機器520として、PC510を使用しているユーザを証明するユーザ証明書をメモリ内に記憶した携帯電話を使用するものとし、以下では、認証用機器520を携帯電話520と称し、アクセス用データ記憶手段521をメモリ521と称する。また、本実施例では、アクセス認証用の情報121aとして、ユーザ証明書を使用するものとし、以下では、アクセス認証用の情報121aをユーザ証明書121aと称する。また、本実施例では、第2通信手段524として、USB通信を使用するものとする。
【0124】
また、本実施例では、実施例1と同様に、アクセス中継手段340をPC340と称し、また、PC510は、PC340にリモート接続するための手段としてVNCを使用するものとする。
【0125】
以下に、本実施例の認証情報送信システムにおける認証処理の動作について説明する。なお、以下では、リモートアクセス対象が、サーバ群130のメールサーバ131であるものとして説明する。
【0126】
まず、携帯電話520は、補助通信手段502に鍵ペアの生成要求を送信する。
【0127】
次に、補助通信手段502は、携帯電話520から送信されてきた鍵ペアの生成要求を鍵生成手段503に転送する。
【0128】
次に、鍵生成手段503は、補助通信手段502から転送された鍵ペアの生成要求を受信し、鍵ペアを生成する。
【0129】
次に、補助通信手段502は、鍵ペアの生成要求を送信してきた携帯電話520が、リモートアクセス管理装置500を利用可能な認証用機器であるかの識別をおこなう。なお、携帯電話520を識別するための機器IDや電話番号といった識別データは、あらかじめリモートアクセス管理装置500が有するデータ記憶手段504などの記憶装置に記憶されているものとする。
【0130】
鍵ペアの生成要求を送信してきた携帯電話520が、利用可能な認証用機器であった場合、鍵生成手段503は、補助通信手段502から携帯電話520に秘密鍵521aを送信し、携帯電話520は、受信した秘密鍵521aをメモリ521に記憶する。
【0131】
なお、携帯電話520と補助通信手段502間の通信は、比較的盗聴などの危険性の少ない携帯電話網などの通信路を用いておこなわれるものとする。
【0132】
次に、PC540は、携帯電話520のメモリ521に記憶されている秘密鍵521aおよびユーザ証明書121aを取得し、秘密鍵521aを用いてユーザ証明書121aを暗号化する。
【0133】
次に、PC510は、暗号化したユーザ証明書121aを主通信手段501に送信し、アクセス認証を要求する。
【0134】
主通信手段501は、PC510から送信されてきた暗号化されたユーザ証明書121aを、データ記憶手段504に記憶されている公開鍵504aを用いて復号化し、復号化したユーザ証明書121aを用いて、PC510からのアクセス認証をおこなう。
【0135】
なお、主通信手段501でおこなうアクセス認証には、公開鍵方式を利用できる任意の認証方式を用いるものとする。
【0136】
アクセス認証が成功した場合、主通信手段501は、実施例1と同様に、PC510とVPNを形成する。PC510は、アクセス認証後は、このVPNを経由して主通信手段501と通信をおこない、VNCを用いてPC340にリモート接続し、PC340をリモート操作することで、メールサーバ131にリモートアクセスする。なお、以降のメールサーバ131へのリモートアクセス動作は、上述した実施例1と同様のため、説明を省略する。
【0137】
次に、アクセス認証後の動作について説明する。
【0138】
最初に、リモートアクセス管理装置500における動作について説明する。
【0139】
アクセス認証後、主通信手段501は、PC510と通信したデータ量が一定量に達するごとに、鍵生成手段503を用いて、新たな鍵ペアを生成する。
【0140】
鍵生成手段503は、新たな鍵ペア(秘密鍵521bおよび公開鍵504b)を生成するごとに、秘密鍵521bを補助通信手段502から携帯電話520に送信するとともに、データ記憶手段504に記憶されている公開鍵504aを公開鍵504bに更新する。
【0141】
その後、主通信手段501は、カウントしたデータ量が一定量に達した後、あらかじめ設定された待ち時間が経過しても、PC510から、秘密鍵521bで暗号化されたユーザ証明書121aが送信されてこない場合、PC510との通信を終了する。
【0142】
次に、PC510および携帯電話520における動作、について説明する。
【0143】
アクセス認証後、携帯電話520は、補助通信手段502から秘密鍵521bを受信するたびに、メモリ521に記憶されている秘密鍵521aを受信した秘密鍵521bに更新する。
【0144】
PC510は、主通信手段501と通信したデータ量をカウントし、カウントしたデータ量が一定量に達するごとに、携帯電話520のメモリ521に記憶されている秘密鍵521aが密秘密521bに更新されているかを確認する。
【0145】
PC510は、秘密鍵521aが更新されている場合、秘密鍵521bを用いてアクセス認証用の情報121aを暗号化し、主通信手段501に送信し、再度アクセス認証を要求する。
【0146】
また、PC510は、秘密鍵521aが更新されていない場合、主通信手段501との通信に異常が生じたと判断し、通信を終了する。
【0147】
なお、本発明のリモートアクセス管理装置100(または500)は、上述のように専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをリモートアクセス管理装置100(または500)に読み込ませ、実行するものであっても良い。リモートアクセス管理装置100(または500)で読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、リモートアクセス管理装置100(または500)に内蔵されるハードディスク装置等の記憶装置を指す。さらに、リモートアクセス管理装置100(または500)で読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にリモートアクセス管理装置100(または500)内部の揮発性メモリのように一定時間プログラムを保持しているものを含む。
【産業上の利用可能性】
【0148】
本発明は、認証情報を情報処理サーバに送信する用途に利用できる。
【図面の簡単な説明】
【0149】
【図1】本発明の第1の実施形態の認証情報送信システムの構成を示すブロック図である。
【図2】図1に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。
【図3】本発明の第2の実施形態の認証情報送信システムの構成を示すプロック図である。
【図4】図3に示した認証情報送信システムにおける認証処理の動作を説明する流れ図である。
【図5】本発明の第3の実施形態の認証情報送信システムの構成を示すプロック図である。
【図6】図5に示したリモートアクセス管理装置におけるアクセス認証処理の動作を説明する流れ図である。
【図7】図5に示したアクセス用端末および認証用機器におけるアクセス認証処理の動作を説明する流れ図である。
【符号の説明】
【0150】
100 リモートアクセス管理装置
101 主通信手段
102 補助通信手段
110 アクセス用端末
120 認証用機器
121 アクセス用データ記憶手段
121a アクセス認証用の情報
122 入力手段
123 第1通信手段
124 第2通信手段
130 サーバ群
131 メールサーバ
132 WWWサーバ
140 認証情報
340 アクセス中継手段
500 リモートアクセス管理装置
501 主通信手段
502 補助通信手段
503 鍵生成手段
504 データ記憶手段
504a,504b 公開鍵
510 アクセス用端末
520 認証用機器
521 アクセス用データ記憶手段
521a,521b 秘密鍵
522 入力手段
523 第1通信手段
524 第2通信手段
【特許請求の範囲】
【請求項1】
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする認証情報送信システム。
【請求項2】
前記リモートアクセス管理装置は、前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項1に記載の認証情報送信システム。
【請求項3】
前記主通信手段と前記情報処理サーバとの間に配置され、前記アクセス用端末から前記主通信手段を経由して受信した操作データを基に前記情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、前記情報処理サーバから受信した画面データを、前記主通信手段を経由して前記アクセス用端末に送信するアクセス中継手段をさらに有する、請求項1または2に記載の認証情報送信システム。
【請求項4】
前記認証用機器は、前記認証情報をあらかじめ記憶しておく前記アクセス用データ記憶手段を有し、前記情報処理サーバからの前記認証情報の送信要求に応じて、前記アクセス用データ記憶手段に記憶されている前記認証情報を前記補助通信手段に送信する、請求項1から3のいずれか1項に記載の認証情報送信システム。
【請求項5】
前記リモートアクセス管理装置は、
前記アクセス用端末からのアクセスを認証するアクセス認証に用いるアクセス認証用の情報を暗号化および復号化するための秘密鍵および公開鍵を生成し、前記秘密鍵を前記補助通信手段から前記認証用機器に送信する鍵生成手段と、
前記公開鍵を記憶するデータ記憶手段と、をさらに有し、
前記認証用機器は、前記アクセス認証用の情報と、前記補助通信手段から送信されてきた前記秘密鍵と、を前記アクセス用データ記憶手段に記憶し、
前記アクセス用端末は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、
前記主通信手段は、前記アクセス用端末から送信されてきた暗号化された前記アクセス認証用の情報を、前記データ記憶手段に記憶されている前記公開鍵を用いて復号化し、前記アクセス用端末からのアクセス認証をおこない、前記アクセス認証後、前記アクセス用端末と通信したデータ量が一定量に達するごとに、前記鍵生成手段を用いて新たな秘密鍵および公開鍵を生成し、前記新たな秘密鍵を前記補助通信手段から前記認証用機器に送信するとともに、前記データ記憶手段に記憶されている前記公開鍵を前記新たな公開鍵に更新し、
前記認証用機器は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を、前記補助通信手段から送信されてきた前記新たな秘密鍵に更新し、
前記アクセス用端末は、前記アクセス認証後、前記主通信手段と通信したデータ量が前記一定量に達するごとに、前記秘密鍵が更新されている場合、前記新たな秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、前記秘密鍵が更新されていない場合、前記主通信手段との通信を終了し、
前記主通信手段は、前記アクセス用端末と通信したデータ量が前記一定量に達した後、あらかじめ設定された待ち時間内に、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてきた場合、再度前記アクセス用端末からの前記アクセス認証を行い、前記待ち時間が経過しても、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてこない場合、前記アクセス用端末との通信を終了する、請求項4に記載の認証情報送信システム。
【請求項6】
前記認証用機器は、携帯電話であり、
前記補助通信手段は、前記認証用機器との通信路に携帯電話網を用いる請求項1から5のいずれか1項に記載に認証情報送信システム。
【請求項7】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とするリモートアクセス管理装置。
【請求項8】
前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項7に記載のリモートアクセス管理装置。
【請求項9】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする認証情報中継方法。
【請求項10】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする認証情報中継プログラム。
【請求項1】
リモートアクセス対象の情報処理サーバに認証情報を送信するための認証情報送信システムであって、
前記情報処理サーバにリモートアクセスするアクセス用端末と、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器と、
前記認証用機器から前記認証情報を取得する補助通信手段と、前記アクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を具備するリモートアクセス管理装置と、を有することを特徴とする認証情報送信システム。
【請求項2】
前記リモートアクセス管理装置は、前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項1に記載の認証情報送信システム。
【請求項3】
前記主通信手段と前記情報処理サーバとの間に配置され、前記アクセス用端末から前記主通信手段を経由して受信した操作データを基に前記情報処理サーバへのリモートアクセスを実行し、リモートアクセスの結果として、前記情報処理サーバから受信した画面データを、前記主通信手段を経由して前記アクセス用端末に送信するアクセス中継手段をさらに有する、請求項1または2に記載の認証情報送信システム。
【請求項4】
前記認証用機器は、前記認証情報をあらかじめ記憶しておく前記アクセス用データ記憶手段を有し、前記情報処理サーバからの前記認証情報の送信要求に応じて、前記アクセス用データ記憶手段に記憶されている前記認証情報を前記補助通信手段に送信する、請求項1から3のいずれか1項に記載の認証情報送信システム。
【請求項5】
前記リモートアクセス管理装置は、
前記アクセス用端末からのアクセスを認証するアクセス認証に用いるアクセス認証用の情報を暗号化および復号化するための秘密鍵および公開鍵を生成し、前記秘密鍵を前記補助通信手段から前記認証用機器に送信する鍵生成手段と、
前記公開鍵を記憶するデータ記憶手段と、をさらに有し、
前記認証用機器は、前記アクセス認証用の情報と、前記補助通信手段から送信されてきた前記秘密鍵と、を前記アクセス用データ記憶手段に記憶し、
前記アクセス用端末は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、
前記主通信手段は、前記アクセス用端末から送信されてきた暗号化された前記アクセス認証用の情報を、前記データ記憶手段に記憶されている前記公開鍵を用いて復号化し、前記アクセス用端末からのアクセス認証をおこない、前記アクセス認証後、前記アクセス用端末と通信したデータ量が一定量に達するごとに、前記鍵生成手段を用いて新たな秘密鍵および公開鍵を生成し、前記新たな秘密鍵を前記補助通信手段から前記認証用機器に送信するとともに、前記データ記憶手段に記憶されている前記公開鍵を前記新たな公開鍵に更新し、
前記認証用機器は、前記アクセス用データ記憶手段に記憶されている前記秘密鍵を、前記補助通信手段から送信されてきた前記新たな秘密鍵に更新し、
前記アクセス用端末は、前記アクセス認証後、前記主通信手段と通信したデータ量が前記一定量に達するごとに、前記秘密鍵が更新されている場合、前記新たな秘密鍵を用いて前記アクセス認証用の情報を暗号化して前記主通信手段に送信し、前記秘密鍵が更新されていない場合、前記主通信手段との通信を終了し、
前記主通信手段は、前記アクセス用端末と通信したデータ量が前記一定量に達した後、あらかじめ設定された待ち時間内に、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてきた場合、再度前記アクセス用端末からの前記アクセス認証を行い、前記待ち時間が経過しても、前記アクセス用端末から暗号化された前記アクセス認証用の情報が送信されてこない場合、前記アクセス用端末との通信を終了する、請求項4に記載の認証情報送信システム。
【請求項6】
前記認証用機器は、携帯電話であり、
前記補助通信手段は、前記認証用機器との通信路に携帯電話網を用いる請求項1から5のいずれか1項に記載に認証情報送信システム。
【請求項7】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する補助通信手段と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、前記補助通信手段で取得された前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する主通信手段と、を有することを特徴とするリモートアクセス管理装置。
【請求項8】
前記主通信手段と前記アクセス用端末間の通信と、前記補助通信手段と前記認証用機器間の通信と、に異なる通信路を用いる請求項7に記載のリモートアクセス管理装置。
【請求項9】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置がおこなう認証情報中継方法であって、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得するステップと、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信するステップと、を有することを特徴とする認証情報中継方法。
【請求項10】
リモートアクセス対象の情報処理サーバに認証情報を中継するためのリモートアクセス管理装置に、
前記認証情報を入力可能であって、キーロガーを備えない認証用機器から前記認証情報を取得する手順と、
前記情報処理サーバにリモートアクセスするアクセス用端末と前記情報処理サーバ間で通信されるデータを中継するとともに、取得した前記認証情報を、前記アクセス用端末から受信したデータと同じ形式に変換し、前記情報処理サーバに送信する手順と、を実行させることを特徴とする認証情報中継プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−122921(P2009−122921A)
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願番号】特願2007−295693(P2007−295693)
【出願日】平成19年11月14日(2007.11.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.フロッピー
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願日】平成19年11月14日(2007.11.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.フロッピー
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]