DRMシステム
【課題】ユーザIDやパスワードが漏えいした場合でも情報漏洩を防ぐと共に、情報漏洩時の被害拡大対策を迅速に行うシステムを提供する。
【解決手段】DRMサーバ(認証サーバ)44とクライアントPC43の時間の同期を取る為の時刻同期サーバ46と、ワンタイムパスワードを生成する為のUSBトークン41と、クライアントの認証・権限を確認する為のDRMサーバ(認証サーバ)44とその前提となる製品から構成されているシステムとから構成し、クライアントPC43からファイルを開く際は、USBトークン41を挿入し、認証時にDRMサーバ(認証サーバ)44に認証情報およびIP/MACアドレスを送信することにより、ユーザIDやパスワードが漏えいしても文書を開けない様にする。
【解決手段】DRMサーバ(認証サーバ)44とクライアントPC43の時間の同期を取る為の時刻同期サーバ46と、ワンタイムパスワードを生成する為のUSBトークン41と、クライアントの認証・権限を確認する為のDRMサーバ(認証サーバ)44とその前提となる製品から構成されているシステムとから構成し、クライアントPC43からファイルを開く際は、USBトークン41を挿入し、認証時にDRMサーバ(認証サーバ)44に認証情報およびIP/MACアドレスを送信することにより、ユーザIDやパスワードが漏えいしても文書を開けない様にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証デバイスを用いたセキュアなDRMシステムに関し、特にUSBトークンを用いたセキュアなDRMシステムに関する。
【背景技術】
【0002】
個人情報保護法の施行に伴い、各企業においても情報漏洩対策防止の為の各種対策の必要性を高まっている。しかしながら、依然として、情報漏洩事件は後を絶たないのが現実である。
【0003】
最近では、文書を暗号化し権限のある者だけに操作を許可する認証技術だけでなく、文書配布後の動的なセキュリティコントロールを実現するDRM(Digital Rights Management)技術も普及しつつある。
【0004】
図1は、DRM技術を使用したシステムの概要を示す機能ブロック図である。ユーザが、ビューア・アプリケーション1aがインストールされており、表示画面1bを有するクライアントPC1を用いて、ポリシーと呼ばれるセキュリティ設定のセットを付与された文書を開こうとした際に、必ずネットワーク経由でDRMサーバ2に認証処理(L1、L2)を行う仕組みである。さらに、DRMサーバ2に対して、ADサーバ3と、DBサーバ4とが接続されている(L3、L4)。このシステムでは、ユーザ認証、操作許可確認(開く、印刷などイベント通知)、閲覧期限の確認などを行う。DRMサーバ2は、ユーザ認証、閲覧期限の管理、イベントの監査、認証のポリシーの制御などを行う。ADサーバ3は、内部ユーザ情報の保持を行う。DBサーバ4は、データべース4aを有しており、外部ユーザ情報の保持、管理者ユーザ情報の保持、ポリシー情報の保持、イベント情報の記録、などを行う。尚、ポリシーは文書単位で設定可能である。
【0005】
ユーザは、クライアントPC1からIDとパスワードとを入力することで、ビューア・アプリケーション1aを用いて文書ファイルの閲覧のための認証を求め(L1)、DRMサーバ2から閲覧OKの認証を受けた場合にのみ(L2)、閲覧が可能である。
【0006】
このような認証デバイスを用いた二次認証システムにおいては、文書管理サーバと認証サーバとを組み合わせ、アプリケーション起動時における一次認証のみでなく、指紋認証等の更なる認証(以下、「二次認証」という)を受けることで文書データを表示させることができる。尚、二次認証が解除された状態では、文書データを表示することが出来ない。
このような技術に関連する文献としては、下記特許文献1があげられる。
【0007】
【特許文献1】特開2004−295632号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、DRM 技術を使用した製品は、文書配布後の動的なセキュリティコントロールを実現することができるが、情報漏洩を完全に防止できるわけではない。
【0009】
1)DRM 技術を使用した製品では、Readerアプリケーションによる文書閲覧時の認証はIDとパスワードとを入力することによる認証で行う。その為、IDとパスワードとが漏えいした場合に、そのユーザが閲覧できる文書については、当該ユーザになりすまして、全て閲覧可能となってしまう。また、誰がなりすましたか(文書(機密情報)を入手したか)についても、事実上特定できない可能性が高いという問題がある。
【0010】
2)文書(機密情報)が漏えいした事実も、不正な第3者がなりすまして、DRMサーバ2に認証を求めた時点では気がつかずに、その事実をユーザが認識した時点で初めて不正なアクセスが行われたことに気が付く。つまり、不正なアクセスに対しては、事後対策となり、ユーザが認識した時点から後の対応となるため、不正なアクセス後から気が付くまでの間に情報が漏えいする可能性は非常に高いという問題がある。
【0011】
3)ID とパスワードとが第3者に漏えいした場合に、当該ユーザが閲覧権限のある文書を全て失効とする必要がある。しかしながら、ユーザが閲覧権限のある文書を全て探し出すのは現実的に難しいという問題がある。
【0012】
4)DRMサーバでは、一度保護されたファイルを開くと、ReaderアプリケーションによるViewerの動作を終了させない限り、そのユーザが閲覧権限のある文書は、その語の認証処理が無くても継続して閲覧できてしまうという問題がある。例えば、ユーザの離席時にViewerを終了するのを忘れた場合には、他の文書を第3者に不正にアクセスされる可能性がある。
【0013】
また、ポリシー付きファイルを、IDやパスワードと一緒にウェブページに掲載された場合や、Winny等により共有された場合には、誰でも文書を見ることができる。
【0014】
類似の事例として、文書管理サーバと認証サーバとの二次認証の事例があるが、二次認証を利用したDRM製品は現状では存在しない。
【0015】
また、ユーザが席をはずすときにカード等を用いて一時的に二次認証を解除することにより、悪意のあるユーザによる不正使用を防止することも可能である。しかしながら、Viewer を終了させない限り、そのユーザが閲覧権限のある文書は認証無しに閲覧出来てしまうという問題については解決できない。
【0016】
本発明の目的は、従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザID やパスワードが漏えいした場合であっても、情報漏洩を防ぐことを目的とする。また、情報漏洩時の被害拡大対策を迅速に行うことを目的とする。
【課題を解決するための手段】
【0017】
本発明の一観点によれば、サーバとクライアントとを有し、認証デバイスを用いたセキュアなDRM認証システムであって、サーバとクライアントとにおける時刻の同期を取る時刻同期サーバと、PINコードを格納する認証デバイスであって、前記クライアントに接続されることで前記時刻と前記PINコードとによりワンタイムパスワードを生成する認証デバイスと、クライアントの認証・権限を保持するDRMサーバ(認証サーバ)と、ユーザのID、パスワードを保持するADサーバと、を有する認証システムであって、前記時刻同期サーバにより同期をとりながら、前記ADサーバで管理しているユーザのID、パスワードに加えて、前記認証デバイスがもつPINと、生成した前記ワンタイムパスワードと、により、認証処理を行うことを特徴とするDRM認証システムが提供される。
【0018】
前記認証デバイスを挿入した時点で前記クライアントPCを特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に前記DRMサーバに送信することが好ましい。これにより、不正にアクセスされた際にもアクセス元のクライアントを特定することができる。
【0019】
前記DRMサーバが前記PINを前記クライアントから受け取ると、前記DRMサーバ側でワンタイムパスワードが生成され、前記クライアント側で生成されたワンタイムパスワードが同じであるか否かによる一次認証が行われ、次いで、前記ユーザのIDと前記パスワードによる前記ADサーバによる二次認証が行われ、前記一次と二次との認証結果が可である場合にのみ、最終的に認証が可となることが好ましい。前記クライアントから前記認証デバイスの接続を抜いた時点で、認証により許可されたファイルにアクセスすることが可能なセッションが切れるようにしても良い。これにより、再度前記認証デバイスの接続からやり直さない限り、認証を可として文書にアクセスすることができないように構成されている。
【0020】
前記認証デバイスの接続を検出した後に、ある期間毎に接続を確認することが好ましい。前記クライアントからファイルを開く場合に、前記クライアントに前記認証デバイスを接続され、前記クライアントから前記DRMサーバに、まず前記PINとMACアドレスが送信され、前記DRMサーバがワンタイムパスワードを前記クライアントに要求し、前記クライアント側でワンタイムパスワードを生成し、前記DRMサーバに送信し、送信されてきた前記ワンタイムパスワードと前記PINとを元に、前記時刻同期サーバに認証を依頼し、前記クライアントの時刻と前記DRMサーバの時刻とに同期が取れていなければ認証を不可とすることが好ましい。同期がとれていなければ認証に失敗するので、悪意のあるユーザが不正にデータを持ち出したとしても、他のクライアントでは見ることができない。
【0021】
操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断することが好ましい。操作とは、例えば、印刷や変更の操作などである。
【0022】
同期が取れていなければ認証に失敗するため、悪意のあるユーザが不正にデータを持ち出したとしても、他のクライアントPCでは見ることができないようになる。
【0023】
また、印刷や変更の操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断するようにしても良い。
【発明の効果】
【0024】
以上のように本発明の認証デバイスを用いたセキュアなDRMシステムによれば、以下に示すような効果がある。
【0025】
従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザIDやパスワードが漏えいした場合であっても情報漏洩を防ぐことができる。また、情報漏洩時の被害拡大対策を迅速に行うことができる。
【発明を実施するための最良の形態】
【0026】
本明細書における用語について定義する。ワンタイムパスワード(One Time Password(OTP))とは、認証のために1回しか使えない「使い捨てパスワード」のことである。尚、ワンタイムパスワードの生成にはいくつかの方法があるが、SecurIDではサーバ との時刻同期を利用している。トークンと呼ばれるワンタイムパスワード生成器は、通常はキーホルダー型やPDAのソフトウェアなどになっており、あらかじめサーバと時刻を同期させておく。
【0027】
トークンは、ユーザ固有のPIN(Personal Identification Number)もしくは暗証番号と時刻との組み合わせから、一見ランダムな10桁程度の数字を生成する。この数字がワンタイムパスワードとして、サーバにログインする際に利用される。サーバは、トークンと同じアルゴリズムを用いて、パスワードが正規のユーザからのものであるかどうかを確認することができる。トークンが生成するパスワードは極めて短時間(例えば1分)ごとに変化するため、パスワードが万が一盗聴されたとしても、有効期間は最大でも1分程度しかない。そして、すべてのパスワードは繰り返し使われることなく使い捨てとなるため、高い安全性が保持できる。
【0028】
本実施の形態による認証技術の特徴は、サーバとクライアントの時間の同期を取る為の時刻同期サーバと、ワンタイムパスワードを生成する為のUSBトークンと、クライアントの認証・権限を確認する為のDRMサーバ(認証サーバ)とその前提となる製品から構成されているシステムから成り、USBトークンを挿入した時点で端末を特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に送信する手段を有する。これにより、USBトークンを紛失した時にも、紛失に気付いた時点で管理者に連絡することにより、USBトークンを無効化することができ、最初のファイル閲覧時だけでなく印刷や変更の操作を行う度にUSBトークンの持っている情報(PINおよびワンタイムパスワード)による認証を必要とし、クライアントPCからUSBトークンを抜いた時点で、リーダ等のビューア・アプリケーションのセッションが切れるように構成されている。従って、再度USBトークンの認証からやり直さないと、文書が開けない。また、クライアントPCにおいてファイルが開かれる場合に、クライアントPCの時刻がDRMサーバの時刻と同期が取れていなければ認証に失敗するようになっている。
【0029】
図2は、認証デバイスとしてUSBトークンを用いたワンタイムパスワード認証処理の原理を示す図である。USBトークン22は、演算処理をデータの記憶行う内蔵チップ23を有している。表示画面21b、入力装置21cを有するクライアントPC21のUSBインターフェイスにUSBトークン22を差し込むと、内蔵チップ23に記憶された暗号化処理部22cは、USBトークン内蔵の第1のタイマ22aによる時刻データ(例えば1分毎に変更する場合「200811241256」等)とUSBトークン固有シード値22b(例えば「132187sx」)を結合させたものに対して、暗号化アルゴリズム(RSA暗号、AES暗号等)を適用して、暗号化されたトークンコード25a(通常は6桁のパスワード、例えば「As13dj」)を生成する。尚、USBトークン固有シード値22bは、通常、USBトークン出荷時に一意な値が個別に付与されている。
【0030】
次に内蔵チップ23に記憶されたパスワード生成部(図示せず)は、トークンコード25aと、ユーザ個人を特定するPINコード25b(通常は4桁の個人識別番号、例えば「1012」)を結合させて、ワンタイムパスワード26a(例えば「1012As13dj」)を生成する。尚、PINコード25bは、入力装置21cによりユーザが入力する場合と、USBトークン22に内蔵されている場合の双方が考えられる。
【0031】
このワンタイムパスワード26aがクライアントPC21によって、DRMサーバ24に送信される(L11)。
【0032】
一方、DRMサーバ24側では、暗号化処理部24cが、サーバ内蔵の第2のタイマ24aによる時刻データ(例えば「200811241256」)とUSBトークン固有シード値22b(例えば「132187sx」)を結合させたものに対して、USBトークンに内蔵された暗号化アルゴリズムと同一の暗号化アルゴリズムを適用して、暗号化されたトークンコード28a(例えば「As13dj」)を生成する。
【0033】
次にパスワード生成部(図示せず)は、トークンコード28aと、PINコード28b(例えば「1012」)を結合させて、ワンタイムパスワード26b(例えば「1012As13dj」)を生成する。このワンタイムパスワード26bと、クライアントPC21から送信されたワンタイムパスワード26aとを比較することにより認証を行う。
【0034】
尚、使用するUSBトークンの固有シード値23b、PINコード25bは、あらかじめDRMサーバ24に登録されている。また、クライアントPC21側のトークンコード25aとDRMサーバ24側のトークンコード28aの時間差が一定時間以内(例えば1分以内)であれば、DRMサーバ24側で時間のずれが認証時に自動補正される。
【0035】
以下、本発明の一実施の形態による認証デバイスを用いたセキュアなDRM システムについて図面を参照しながら説明する。
【0036】
図3は、本発明の一実施の形態による認証システムの一構成例を示す図である。本実施の形態による、認証デバイスを用いたよりセキュアなDRMシステムは、サーバと、クライアント301、302、304とを有している。各クライアント301・302には、ブラウザ301a・302aとがインストールされている。また、クライアント304には、ビューア・アプリケーション303がインストールされ、時刻同期エージェント304aを備えている。クライアント304には、認証デバイスの一例であるUSBトークン305が挿入されるUSBインターフェイスが設けられている。USBトークン305(一般的にはユーザが所持している)は、ワンタイムパスワードを生成するための認証デバイスである。
【0037】
一方、ビューアファイル303aを参照できるように、クライアント側と、インターネットなどのネットワーク306により接続されているサーバ側は、プロキシサーバ307と、このプロキシサーバ307を介して、時間の同期を取るための時刻同期サーバ310と、時刻同期エージェント304aが備えられクライアントの認証・権限を確認する為のDRM サーバ(認証サーバ)311と、その前提となるAD(Active Directory)サーバ312、DB(データベース)サーバ313と、外部ユーザによるアクセス用のSMTP(Simple Mail Transfer protocol)サーバ308と、バックアップ用のバックアップサーバ309と、から構成されている。
【0038】
DRMサーバ(認証サーバ)311とクライアントPC304とには、時刻同期エージェントがインストールされており、時刻同期サーバ310により、常に同期が取られている。時刻同期サーバ310内には、符号310aで示すテーブルのように、ユーザID毎に、時刻とパスワードとが対になって格納されている。このように、時刻同期サーバ310はユーザ毎のワンタイムパスワードを管理しており、DRM サーバ311からの認証依頼があった際に、ユーザがUSBトークン305によりトークンコードを生成した時刻と同じ時刻にトークンコードを生成する。その後、クライアント304とDRMサーバ311との両者で当該クライアントのPINと組み合わせてワンタイムパスワードを生成する。両者で生成されたワンタイムパスワードが同一であれば認証は成功となる(一次認証)。
【0039】
DRMサーバ(認証サーバ)311は、ポリシーと呼ばれるセキュリティ設定のセットに紐付いた各クライアントの権限情報を管理している。クライアントから認証情報が入力され送信されてきたときには、ADサーバ312で管理している当該ユーザの本人確認を行う。本実施の形態では、認証時にADサーバ312で管理している当該ユーザのID、パスワードだけでなく、USBトークンのもつPINと生成したワンタイムパスワードの情報も必要とする(二次認証)。ここで、USBトークンをクライアント304から抜きだした時点で、DRM製品のセッションも切れるようになっており、ファイルを開くことができなくなる。
【0040】
図4は、それぞれ、本実施の形態によるシステムにおける認証の仕組みを時系列にした図であり、図5は、その際のGUIを形成する画面イメージを示す図である。
ユーザがクライアントPC43においてファイルを開く場合に、クライアントPC43にUSBトークン41を挿入されていることが処理の前提となる(USBトークン41が挿入されていない場合は、DRMシステムの認証画面に遷移することが出来ないようになっている)。ユーザが、クライアントPC43から、ビューア・アプリケーション42によりファイルを開こうとした場合には、クライアントPC43からDRMサーバ44に対して、まずPINとMACアドレスが送信される(1)。それを受けて、DRMサーバ44がワンタイムパスワードをクライアントPC43に要求する(2)。クライアントPC43側でワンタイムパスワードを生成し、DRMサーバ44に送信する(3)。送信されてきたワンタイムパスワードとPINとを元に時刻同期サーバ46に認証を要求する(4)。時刻同期サーバ46には、ユーザID毎に、時刻とその時刻に生成されたパスワードとの対応表46aが格納されている。ここで、クライアントPC43の時刻がDRMサーバ44と同期が取れていなければ認証に失敗するため、悪意のあるユーザが不正にデータを持ち出したとしても、クライアントPC43以外のクライアントPCではデータを見ることができない。クライアントPC43の時刻がDRMサーバ44と同期が取れていれば時刻同期サーバ46における認証がOKとなり(4、5)、一次認証がOKとなり(6)、DRMシステムの認証画面がクライアントPC43の表示画面に表示される(図5(a)参照)。クライントPC43から、当該ユーザのユーザID502およびパスワード503が入力され(7)、DRMサーバ44において認証が行われる。ここで、DRMサーバ44からADサーバ45に対して、IDとパスワードが送られ(7−1)、PINおよびワンタイムパスワードが同じものであるか否かをチェックしてから、AD(ユーザ認証)サーバ45から、DRMサーバ44に対して、二次認証がOKか否かを伝える。その際にPINおよびワンタイムパスワードも認証に用いることにより、認証時のセキュリティを高めることが出来る。DRMサーバ44での認証も成功すると、その旨がクライアントPC43に伝えられ(8)、クライアントPC43における文書を閲覧可能となる。
【0041】
尚、本実施の形態によるシステムでは、クライアントPC43 からUSBトークン41を抜いた時点で、Viewerアプリケーション42のセッションが切れるように構成されており、再度USBトークンの認証からやり直さないと(9)、文書が開けない仕組みになっている。図5(b)は、ユーザ認証画面の認証失敗例1)であり、トークンが無い場合において、文書を開く際にエラー(510)となり、認証画面に遷移できない。失敗の例2)は、権限がない場合の例であって、権限がないクライアントが文書を開く際にエラー(520)となり、閲覧が不可となる。
【0042】
また、印刷や変更の操作を行う度に、USBトークン41に格納されている情報(PIN およびワンタイムパスワード)による認証が必要になる仕組みにしている。従って、離席時はUSBトークン41を所持して歩くようにしておけば、文書を他者に不正に閲覧されることが無いという利点がある。
【0043】
図6は、本実施の形態による認証システムにおける、DBサーバ313が保持している取得ログ情報のデータ構成例を示す図である。このデータ構成は、図6に示すように、ポリシーID=19780320Oであり、名前601と、所属グループ602と、IP/MACアドレス603と、ID604と、パスワード605と、個人の暗証番号PIN606と、時刻607と、操作ログ(成功、失敗などの結果)608と、USBNo.609と、を有している。このテーブルは、後でログを確認するときに使用するデータを格納している。この図により、名前毎、グループ単位での、操作ログを得ることができる。これにより、後から管理者が認証に関する内容を確認することができる。
【0044】
図7は、DRMサーバが保持している認証情報のデータテーブルの構成例を示す図であり、認証を行うときに使用するデータ群である。このデータは、ADサーバに対して本人確認を行うときに必要となるID71と、パスワード72、および、よりセキュリティレベルを向上させるために、あらかじめ与えられた固有の個人情報番号であるユーザ(USBトークン)毎に割り振ったPIN73およびワンタイムパスワード74、および、USBトークンが誰のものであるかというUSBNo.情報75と、セッション情報76と、認証の可否77と、を保持している。そのため、不正にIDおよびパスワードを入手したとしても、USBトークンを持っていない限り、PINおよびワンタイムパスワードの認証が失敗することで、不正なアクセスを抑止することができる。セッション情報を参照すると、どのタイミングにおける認証であるかを特定することができる。
【0045】
図8は、本実施の形態による認証システムにおける認証処理の一例の概要を示すフローチャート図である。
【0046】
クライアントPCにおいて、ポリシーの付いたファイルを開く操作が行われると、まず、USBトークンが挿入されているか否かの認証が行われる。ここで、USBトークンが挿入されている場合は(Y)、ワンタイムパスワードの生成処理が行われるが、挿入されていない場合は(N)、エラー画面が表示され、USBトークンの挿入を促すダイアログが表示される(ステップS801)。
【0047】
USBトークンが挿入されている場合は、クライアントPC側でトークンコードおよびPIN を元にワンタイムパスワードの生成処理が行われる。一方、時刻同期サーバ側でも、クライアントPC側でワンタイムパスワードを生成した時刻および当該ユーザのPIN を元に、ワンタイムパスワードを生成する(ステップS802)。
【0048】
クライアントPC側で生成されたワンタイムパスワードおよびPINと、時刻同期サーバ側で生成されたワンタイムパスワードおよび当該クライアントのPINとにより認証処理を行う。認証が成功した場合は(Y)、DRMシステムの認証画面が表示されるが、認証に失敗した場合は(N)、ステップS801から再度処理を行うことになる(ステップ803)。
【0049】
DRMシステムにおける認証画面で、ID およびパスワードの入力を促すダイアログを出すことで認証に必要なIDとパスワードの入力が促される(ステップS804)。
【0050】
ステップS804で、入力・送信されたID およびパスワードだけでなく、USBトークンの保持しているPIN とワンタイムパスワードとも含めて、DRMサーバ(認証サーバ)との間で認証処理を行う。認証に成功した場合は文書の閲覧が可能になるが、認証に失敗した場合はステップS801から再度処理を行うことになる(ステップS805)。
【0051】
二次認証に成功すると(Y)、文書の閲覧が可能になる(ステップS806)。ステップS807で、USBトークンが挿入されているか否かを確認し、YであればステップS807の文書閲覧を維持させ、Nであればセッションを切断し(ステップS808)、ステップS801から再度処理を行うことになる。このように、USBトークンが挿入されていない(抜かれた)ことが検出されると、ステップS801からの認証処理が再度求められることで、USBトークンが抜かれることで他の人が認証しようとすると、ステップS801からの処理が求められるため、認証におけるセキュリティを、より一層高めることができる。
【0052】
以上のように、本実施の形態による、認証デバイスを用いたセキュアなDRMシステムによれば、次のような利点がある。従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザIDやパスワードが漏えいした場合であっても情報漏洩を防ぐことができる。また、情報漏洩時の被害拡大対策を迅速に行うことができる。
【0053】
尚、USBトークン紛失時にも、紛失した事実を発見しやすい。また、発見した時点で管理者等に連絡すれば、USBトークンを無効化することが出来る。また、それにより、当該ユーザの文書を全て探して権限を削除しなくても済むため、より迅速な情報漏洩防止を実現することができる。また、USBトークンを挿入した時点で端末を特定するIP/MAC アドレスを抜き出し、認証時にサーバに認証情報と一緒に送信するようにすれば、不正にアクセスされた際にもアクセス元のPCを特定することが容易になる。
【0054】
上記の実施の形態において、添付図面に図示されている構成等については、これらに限定されるものではなく、本発明の効果を発揮する範囲内で適宜変更することが可能である。その他、本発明の目的の範囲を逸脱しない限りにおいて適宜変更して実施することが可能である。
【0055】
また、本実施の形態で説明した機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0056】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
【0057】
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また前記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【産業上の利用可能性】
【0058】
本発明は、認証デバイスを用いたセキュアなDRMシステムに利用可能である。
【図面の簡単な説明】
【0059】
【図1】DRMシステムの概要を示す機能ブロック図である。
【図2】USBトークンによるワンタイムパスワード認証の処理の概要を示す図である。
【図3】認証デバイスを用いた、よりセキュアなDRMシステム全体の構成例を示す図である。
【図4】本実施の形態によるシステムにおける認証の仕組み(認証の流れ)をしめす図である。
【図5】本システムにおける認証の仕組み(認証画面)を示す図である。
【図6】本システムにおける取得ログが持つデータテーブルの構成例を示す図である。
【図7】本システムにおける認証データが持つデータテーブルの構成例を示す図である。
【図8】本システムにおける認証処理のフローチャートである。
【符号の説明】
【0060】
1…クライアントPC、2…DRM サーバ、3…AD サーバ、4…DB サーバ、21…クライアント、22…USBトークン、23…内蔵チップ、24…DRMサーバ(認証サーバ)、301…クライアントPC(Policy管理者)、302…クライアントPC(Policy付与者)、303…ビューア・アプリケーション、304…クライアントPC、305…USBトークン、306…インターネット、307…プロキシサーバ、308…SMTPサーバ、309…バックアップサーバ、310…時刻同期サーバ、311…DRMサーバ(認証サーバ)、312…ADサーバ、313…DBサーバ、41…USBトークン、42…ビューア・アプリケーション、43…クライアントPC、44…DRMサーバ(認証サーバ)、45…ADサーバ、46…時刻同期サーバ、6…取得ログテーブルの項目、7…認証データテーブルの項目。
【技術分野】
【0001】
本発明は、認証デバイスを用いたセキュアなDRMシステムに関し、特にUSBトークンを用いたセキュアなDRMシステムに関する。
【背景技術】
【0002】
個人情報保護法の施行に伴い、各企業においても情報漏洩対策防止の為の各種対策の必要性を高まっている。しかしながら、依然として、情報漏洩事件は後を絶たないのが現実である。
【0003】
最近では、文書を暗号化し権限のある者だけに操作を許可する認証技術だけでなく、文書配布後の動的なセキュリティコントロールを実現するDRM(Digital Rights Management)技術も普及しつつある。
【0004】
図1は、DRM技術を使用したシステムの概要を示す機能ブロック図である。ユーザが、ビューア・アプリケーション1aがインストールされており、表示画面1bを有するクライアントPC1を用いて、ポリシーと呼ばれるセキュリティ設定のセットを付与された文書を開こうとした際に、必ずネットワーク経由でDRMサーバ2に認証処理(L1、L2)を行う仕組みである。さらに、DRMサーバ2に対して、ADサーバ3と、DBサーバ4とが接続されている(L3、L4)。このシステムでは、ユーザ認証、操作許可確認(開く、印刷などイベント通知)、閲覧期限の確認などを行う。DRMサーバ2は、ユーザ認証、閲覧期限の管理、イベントの監査、認証のポリシーの制御などを行う。ADサーバ3は、内部ユーザ情報の保持を行う。DBサーバ4は、データべース4aを有しており、外部ユーザ情報の保持、管理者ユーザ情報の保持、ポリシー情報の保持、イベント情報の記録、などを行う。尚、ポリシーは文書単位で設定可能である。
【0005】
ユーザは、クライアントPC1からIDとパスワードとを入力することで、ビューア・アプリケーション1aを用いて文書ファイルの閲覧のための認証を求め(L1)、DRMサーバ2から閲覧OKの認証を受けた場合にのみ(L2)、閲覧が可能である。
【0006】
このような認証デバイスを用いた二次認証システムにおいては、文書管理サーバと認証サーバとを組み合わせ、アプリケーション起動時における一次認証のみでなく、指紋認証等の更なる認証(以下、「二次認証」という)を受けることで文書データを表示させることができる。尚、二次認証が解除された状態では、文書データを表示することが出来ない。
このような技術に関連する文献としては、下記特許文献1があげられる。
【0007】
【特許文献1】特開2004−295632号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、DRM 技術を使用した製品は、文書配布後の動的なセキュリティコントロールを実現することができるが、情報漏洩を完全に防止できるわけではない。
【0009】
1)DRM 技術を使用した製品では、Readerアプリケーションによる文書閲覧時の認証はIDとパスワードとを入力することによる認証で行う。その為、IDとパスワードとが漏えいした場合に、そのユーザが閲覧できる文書については、当該ユーザになりすまして、全て閲覧可能となってしまう。また、誰がなりすましたか(文書(機密情報)を入手したか)についても、事実上特定できない可能性が高いという問題がある。
【0010】
2)文書(機密情報)が漏えいした事実も、不正な第3者がなりすまして、DRMサーバ2に認証を求めた時点では気がつかずに、その事実をユーザが認識した時点で初めて不正なアクセスが行われたことに気が付く。つまり、不正なアクセスに対しては、事後対策となり、ユーザが認識した時点から後の対応となるため、不正なアクセス後から気が付くまでの間に情報が漏えいする可能性は非常に高いという問題がある。
【0011】
3)ID とパスワードとが第3者に漏えいした場合に、当該ユーザが閲覧権限のある文書を全て失効とする必要がある。しかしながら、ユーザが閲覧権限のある文書を全て探し出すのは現実的に難しいという問題がある。
【0012】
4)DRMサーバでは、一度保護されたファイルを開くと、ReaderアプリケーションによるViewerの動作を終了させない限り、そのユーザが閲覧権限のある文書は、その語の認証処理が無くても継続して閲覧できてしまうという問題がある。例えば、ユーザの離席時にViewerを終了するのを忘れた場合には、他の文書を第3者に不正にアクセスされる可能性がある。
【0013】
また、ポリシー付きファイルを、IDやパスワードと一緒にウェブページに掲載された場合や、Winny等により共有された場合には、誰でも文書を見ることができる。
【0014】
類似の事例として、文書管理サーバと認証サーバとの二次認証の事例があるが、二次認証を利用したDRM製品は現状では存在しない。
【0015】
また、ユーザが席をはずすときにカード等を用いて一時的に二次認証を解除することにより、悪意のあるユーザによる不正使用を防止することも可能である。しかしながら、Viewer を終了させない限り、そのユーザが閲覧権限のある文書は認証無しに閲覧出来てしまうという問題については解決できない。
【0016】
本発明の目的は、従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザID やパスワードが漏えいした場合であっても、情報漏洩を防ぐことを目的とする。また、情報漏洩時の被害拡大対策を迅速に行うことを目的とする。
【課題を解決するための手段】
【0017】
本発明の一観点によれば、サーバとクライアントとを有し、認証デバイスを用いたセキュアなDRM認証システムであって、サーバとクライアントとにおける時刻の同期を取る時刻同期サーバと、PINコードを格納する認証デバイスであって、前記クライアントに接続されることで前記時刻と前記PINコードとによりワンタイムパスワードを生成する認証デバイスと、クライアントの認証・権限を保持するDRMサーバ(認証サーバ)と、ユーザのID、パスワードを保持するADサーバと、を有する認証システムであって、前記時刻同期サーバにより同期をとりながら、前記ADサーバで管理しているユーザのID、パスワードに加えて、前記認証デバイスがもつPINと、生成した前記ワンタイムパスワードと、により、認証処理を行うことを特徴とするDRM認証システムが提供される。
【0018】
前記認証デバイスを挿入した時点で前記クライアントPCを特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に前記DRMサーバに送信することが好ましい。これにより、不正にアクセスされた際にもアクセス元のクライアントを特定することができる。
【0019】
前記DRMサーバが前記PINを前記クライアントから受け取ると、前記DRMサーバ側でワンタイムパスワードが生成され、前記クライアント側で生成されたワンタイムパスワードが同じであるか否かによる一次認証が行われ、次いで、前記ユーザのIDと前記パスワードによる前記ADサーバによる二次認証が行われ、前記一次と二次との認証結果が可である場合にのみ、最終的に認証が可となることが好ましい。前記クライアントから前記認証デバイスの接続を抜いた時点で、認証により許可されたファイルにアクセスすることが可能なセッションが切れるようにしても良い。これにより、再度前記認証デバイスの接続からやり直さない限り、認証を可として文書にアクセスすることができないように構成されている。
【0020】
前記認証デバイスの接続を検出した後に、ある期間毎に接続を確認することが好ましい。前記クライアントからファイルを開く場合に、前記クライアントに前記認証デバイスを接続され、前記クライアントから前記DRMサーバに、まず前記PINとMACアドレスが送信され、前記DRMサーバがワンタイムパスワードを前記クライアントに要求し、前記クライアント側でワンタイムパスワードを生成し、前記DRMサーバに送信し、送信されてきた前記ワンタイムパスワードと前記PINとを元に、前記時刻同期サーバに認証を依頼し、前記クライアントの時刻と前記DRMサーバの時刻とに同期が取れていなければ認証を不可とすることが好ましい。同期がとれていなければ認証に失敗するので、悪意のあるユーザが不正にデータを持ち出したとしても、他のクライアントでは見ることができない。
【0021】
操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断することが好ましい。操作とは、例えば、印刷や変更の操作などである。
【0022】
同期が取れていなければ認証に失敗するため、悪意のあるユーザが不正にデータを持ち出したとしても、他のクライアントPCでは見ることができないようになる。
【0023】
また、印刷や変更の操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断するようにしても良い。
【発明の効果】
【0024】
以上のように本発明の認証デバイスを用いたセキュアなDRMシステムによれば、以下に示すような効果がある。
【0025】
従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザIDやパスワードが漏えいした場合であっても情報漏洩を防ぐことができる。また、情報漏洩時の被害拡大対策を迅速に行うことができる。
【発明を実施するための最良の形態】
【0026】
本明細書における用語について定義する。ワンタイムパスワード(One Time Password(OTP))とは、認証のために1回しか使えない「使い捨てパスワード」のことである。尚、ワンタイムパスワードの生成にはいくつかの方法があるが、SecurIDではサーバ との時刻同期を利用している。トークンと呼ばれるワンタイムパスワード生成器は、通常はキーホルダー型やPDAのソフトウェアなどになっており、あらかじめサーバと時刻を同期させておく。
【0027】
トークンは、ユーザ固有のPIN(Personal Identification Number)もしくは暗証番号と時刻との組み合わせから、一見ランダムな10桁程度の数字を生成する。この数字がワンタイムパスワードとして、サーバにログインする際に利用される。サーバは、トークンと同じアルゴリズムを用いて、パスワードが正規のユーザからのものであるかどうかを確認することができる。トークンが生成するパスワードは極めて短時間(例えば1分)ごとに変化するため、パスワードが万が一盗聴されたとしても、有効期間は最大でも1分程度しかない。そして、すべてのパスワードは繰り返し使われることなく使い捨てとなるため、高い安全性が保持できる。
【0028】
本実施の形態による認証技術の特徴は、サーバとクライアントの時間の同期を取る為の時刻同期サーバと、ワンタイムパスワードを生成する為のUSBトークンと、クライアントの認証・権限を確認する為のDRMサーバ(認証サーバ)とその前提となる製品から構成されているシステムから成り、USBトークンを挿入した時点で端末を特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に送信する手段を有する。これにより、USBトークンを紛失した時にも、紛失に気付いた時点で管理者に連絡することにより、USBトークンを無効化することができ、最初のファイル閲覧時だけでなく印刷や変更の操作を行う度にUSBトークンの持っている情報(PINおよびワンタイムパスワード)による認証を必要とし、クライアントPCからUSBトークンを抜いた時点で、リーダ等のビューア・アプリケーションのセッションが切れるように構成されている。従って、再度USBトークンの認証からやり直さないと、文書が開けない。また、クライアントPCにおいてファイルが開かれる場合に、クライアントPCの時刻がDRMサーバの時刻と同期が取れていなければ認証に失敗するようになっている。
【0029】
図2は、認証デバイスとしてUSBトークンを用いたワンタイムパスワード認証処理の原理を示す図である。USBトークン22は、演算処理をデータの記憶行う内蔵チップ23を有している。表示画面21b、入力装置21cを有するクライアントPC21のUSBインターフェイスにUSBトークン22を差し込むと、内蔵チップ23に記憶された暗号化処理部22cは、USBトークン内蔵の第1のタイマ22aによる時刻データ(例えば1分毎に変更する場合「200811241256」等)とUSBトークン固有シード値22b(例えば「132187sx」)を結合させたものに対して、暗号化アルゴリズム(RSA暗号、AES暗号等)を適用して、暗号化されたトークンコード25a(通常は6桁のパスワード、例えば「As13dj」)を生成する。尚、USBトークン固有シード値22bは、通常、USBトークン出荷時に一意な値が個別に付与されている。
【0030】
次に内蔵チップ23に記憶されたパスワード生成部(図示せず)は、トークンコード25aと、ユーザ個人を特定するPINコード25b(通常は4桁の個人識別番号、例えば「1012」)を結合させて、ワンタイムパスワード26a(例えば「1012As13dj」)を生成する。尚、PINコード25bは、入力装置21cによりユーザが入力する場合と、USBトークン22に内蔵されている場合の双方が考えられる。
【0031】
このワンタイムパスワード26aがクライアントPC21によって、DRMサーバ24に送信される(L11)。
【0032】
一方、DRMサーバ24側では、暗号化処理部24cが、サーバ内蔵の第2のタイマ24aによる時刻データ(例えば「200811241256」)とUSBトークン固有シード値22b(例えば「132187sx」)を結合させたものに対して、USBトークンに内蔵された暗号化アルゴリズムと同一の暗号化アルゴリズムを適用して、暗号化されたトークンコード28a(例えば「As13dj」)を生成する。
【0033】
次にパスワード生成部(図示せず)は、トークンコード28aと、PINコード28b(例えば「1012」)を結合させて、ワンタイムパスワード26b(例えば「1012As13dj」)を生成する。このワンタイムパスワード26bと、クライアントPC21から送信されたワンタイムパスワード26aとを比較することにより認証を行う。
【0034】
尚、使用するUSBトークンの固有シード値23b、PINコード25bは、あらかじめDRMサーバ24に登録されている。また、クライアントPC21側のトークンコード25aとDRMサーバ24側のトークンコード28aの時間差が一定時間以内(例えば1分以内)であれば、DRMサーバ24側で時間のずれが認証時に自動補正される。
【0035】
以下、本発明の一実施の形態による認証デバイスを用いたセキュアなDRM システムについて図面を参照しながら説明する。
【0036】
図3は、本発明の一実施の形態による認証システムの一構成例を示す図である。本実施の形態による、認証デバイスを用いたよりセキュアなDRMシステムは、サーバと、クライアント301、302、304とを有している。各クライアント301・302には、ブラウザ301a・302aとがインストールされている。また、クライアント304には、ビューア・アプリケーション303がインストールされ、時刻同期エージェント304aを備えている。クライアント304には、認証デバイスの一例であるUSBトークン305が挿入されるUSBインターフェイスが設けられている。USBトークン305(一般的にはユーザが所持している)は、ワンタイムパスワードを生成するための認証デバイスである。
【0037】
一方、ビューアファイル303aを参照できるように、クライアント側と、インターネットなどのネットワーク306により接続されているサーバ側は、プロキシサーバ307と、このプロキシサーバ307を介して、時間の同期を取るための時刻同期サーバ310と、時刻同期エージェント304aが備えられクライアントの認証・権限を確認する為のDRM サーバ(認証サーバ)311と、その前提となるAD(Active Directory)サーバ312、DB(データベース)サーバ313と、外部ユーザによるアクセス用のSMTP(Simple Mail Transfer protocol)サーバ308と、バックアップ用のバックアップサーバ309と、から構成されている。
【0038】
DRMサーバ(認証サーバ)311とクライアントPC304とには、時刻同期エージェントがインストールされており、時刻同期サーバ310により、常に同期が取られている。時刻同期サーバ310内には、符号310aで示すテーブルのように、ユーザID毎に、時刻とパスワードとが対になって格納されている。このように、時刻同期サーバ310はユーザ毎のワンタイムパスワードを管理しており、DRM サーバ311からの認証依頼があった際に、ユーザがUSBトークン305によりトークンコードを生成した時刻と同じ時刻にトークンコードを生成する。その後、クライアント304とDRMサーバ311との両者で当該クライアントのPINと組み合わせてワンタイムパスワードを生成する。両者で生成されたワンタイムパスワードが同一であれば認証は成功となる(一次認証)。
【0039】
DRMサーバ(認証サーバ)311は、ポリシーと呼ばれるセキュリティ設定のセットに紐付いた各クライアントの権限情報を管理している。クライアントから認証情報が入力され送信されてきたときには、ADサーバ312で管理している当該ユーザの本人確認を行う。本実施の形態では、認証時にADサーバ312で管理している当該ユーザのID、パスワードだけでなく、USBトークンのもつPINと生成したワンタイムパスワードの情報も必要とする(二次認証)。ここで、USBトークンをクライアント304から抜きだした時点で、DRM製品のセッションも切れるようになっており、ファイルを開くことができなくなる。
【0040】
図4は、それぞれ、本実施の形態によるシステムにおける認証の仕組みを時系列にした図であり、図5は、その際のGUIを形成する画面イメージを示す図である。
ユーザがクライアントPC43においてファイルを開く場合に、クライアントPC43にUSBトークン41を挿入されていることが処理の前提となる(USBトークン41が挿入されていない場合は、DRMシステムの認証画面に遷移することが出来ないようになっている)。ユーザが、クライアントPC43から、ビューア・アプリケーション42によりファイルを開こうとした場合には、クライアントPC43からDRMサーバ44に対して、まずPINとMACアドレスが送信される(1)。それを受けて、DRMサーバ44がワンタイムパスワードをクライアントPC43に要求する(2)。クライアントPC43側でワンタイムパスワードを生成し、DRMサーバ44に送信する(3)。送信されてきたワンタイムパスワードとPINとを元に時刻同期サーバ46に認証を要求する(4)。時刻同期サーバ46には、ユーザID毎に、時刻とその時刻に生成されたパスワードとの対応表46aが格納されている。ここで、クライアントPC43の時刻がDRMサーバ44と同期が取れていなければ認証に失敗するため、悪意のあるユーザが不正にデータを持ち出したとしても、クライアントPC43以外のクライアントPCではデータを見ることができない。クライアントPC43の時刻がDRMサーバ44と同期が取れていれば時刻同期サーバ46における認証がOKとなり(4、5)、一次認証がOKとなり(6)、DRMシステムの認証画面がクライアントPC43の表示画面に表示される(図5(a)参照)。クライントPC43から、当該ユーザのユーザID502およびパスワード503が入力され(7)、DRMサーバ44において認証が行われる。ここで、DRMサーバ44からADサーバ45に対して、IDとパスワードが送られ(7−1)、PINおよびワンタイムパスワードが同じものであるか否かをチェックしてから、AD(ユーザ認証)サーバ45から、DRMサーバ44に対して、二次認証がOKか否かを伝える。その際にPINおよびワンタイムパスワードも認証に用いることにより、認証時のセキュリティを高めることが出来る。DRMサーバ44での認証も成功すると、その旨がクライアントPC43に伝えられ(8)、クライアントPC43における文書を閲覧可能となる。
【0041】
尚、本実施の形態によるシステムでは、クライアントPC43 からUSBトークン41を抜いた時点で、Viewerアプリケーション42のセッションが切れるように構成されており、再度USBトークンの認証からやり直さないと(9)、文書が開けない仕組みになっている。図5(b)は、ユーザ認証画面の認証失敗例1)であり、トークンが無い場合において、文書を開く際にエラー(510)となり、認証画面に遷移できない。失敗の例2)は、権限がない場合の例であって、権限がないクライアントが文書を開く際にエラー(520)となり、閲覧が不可となる。
【0042】
また、印刷や変更の操作を行う度に、USBトークン41に格納されている情報(PIN およびワンタイムパスワード)による認証が必要になる仕組みにしている。従って、離席時はUSBトークン41を所持して歩くようにしておけば、文書を他者に不正に閲覧されることが無いという利点がある。
【0043】
図6は、本実施の形態による認証システムにおける、DBサーバ313が保持している取得ログ情報のデータ構成例を示す図である。このデータ構成は、図6に示すように、ポリシーID=19780320Oであり、名前601と、所属グループ602と、IP/MACアドレス603と、ID604と、パスワード605と、個人の暗証番号PIN606と、時刻607と、操作ログ(成功、失敗などの結果)608と、USBNo.609と、を有している。このテーブルは、後でログを確認するときに使用するデータを格納している。この図により、名前毎、グループ単位での、操作ログを得ることができる。これにより、後から管理者が認証に関する内容を確認することができる。
【0044】
図7は、DRMサーバが保持している認証情報のデータテーブルの構成例を示す図であり、認証を行うときに使用するデータ群である。このデータは、ADサーバに対して本人確認を行うときに必要となるID71と、パスワード72、および、よりセキュリティレベルを向上させるために、あらかじめ与えられた固有の個人情報番号であるユーザ(USBトークン)毎に割り振ったPIN73およびワンタイムパスワード74、および、USBトークンが誰のものであるかというUSBNo.情報75と、セッション情報76と、認証の可否77と、を保持している。そのため、不正にIDおよびパスワードを入手したとしても、USBトークンを持っていない限り、PINおよびワンタイムパスワードの認証が失敗することで、不正なアクセスを抑止することができる。セッション情報を参照すると、どのタイミングにおける認証であるかを特定することができる。
【0045】
図8は、本実施の形態による認証システムにおける認証処理の一例の概要を示すフローチャート図である。
【0046】
クライアントPCにおいて、ポリシーの付いたファイルを開く操作が行われると、まず、USBトークンが挿入されているか否かの認証が行われる。ここで、USBトークンが挿入されている場合は(Y)、ワンタイムパスワードの生成処理が行われるが、挿入されていない場合は(N)、エラー画面が表示され、USBトークンの挿入を促すダイアログが表示される(ステップS801)。
【0047】
USBトークンが挿入されている場合は、クライアントPC側でトークンコードおよびPIN を元にワンタイムパスワードの生成処理が行われる。一方、時刻同期サーバ側でも、クライアントPC側でワンタイムパスワードを生成した時刻および当該ユーザのPIN を元に、ワンタイムパスワードを生成する(ステップS802)。
【0048】
クライアントPC側で生成されたワンタイムパスワードおよびPINと、時刻同期サーバ側で生成されたワンタイムパスワードおよび当該クライアントのPINとにより認証処理を行う。認証が成功した場合は(Y)、DRMシステムの認証画面が表示されるが、認証に失敗した場合は(N)、ステップS801から再度処理を行うことになる(ステップ803)。
【0049】
DRMシステムにおける認証画面で、ID およびパスワードの入力を促すダイアログを出すことで認証に必要なIDとパスワードの入力が促される(ステップS804)。
【0050】
ステップS804で、入力・送信されたID およびパスワードだけでなく、USBトークンの保持しているPIN とワンタイムパスワードとも含めて、DRMサーバ(認証サーバ)との間で認証処理を行う。認証に成功した場合は文書の閲覧が可能になるが、認証に失敗した場合はステップS801から再度処理を行うことになる(ステップS805)。
【0051】
二次認証に成功すると(Y)、文書の閲覧が可能になる(ステップS806)。ステップS807で、USBトークンが挿入されているか否かを確認し、YであればステップS807の文書閲覧を維持させ、Nであればセッションを切断し(ステップS808)、ステップS801から再度処理を行うことになる。このように、USBトークンが挿入されていない(抜かれた)ことが検出されると、ステップS801からの認証処理が再度求められることで、USBトークンが抜かれることで他の人が認証しようとすると、ステップS801からの処理が求められるため、認証におけるセキュリティを、より一層高めることができる。
【0052】
以上のように、本実施の形態による、認証デバイスを用いたセキュアなDRMシステムによれば、次のような利点がある。従来のDRM製品のセキュリティ上の脆弱性を補うことにより、ユーザIDやパスワードが漏えいした場合であっても情報漏洩を防ぐことができる。また、情報漏洩時の被害拡大対策を迅速に行うことができる。
【0053】
尚、USBトークン紛失時にも、紛失した事実を発見しやすい。また、発見した時点で管理者等に連絡すれば、USBトークンを無効化することが出来る。また、それにより、当該ユーザの文書を全て探して権限を削除しなくても済むため、より迅速な情報漏洩防止を実現することができる。また、USBトークンを挿入した時点で端末を特定するIP/MAC アドレスを抜き出し、認証時にサーバに認証情報と一緒に送信するようにすれば、不正にアクセスされた際にもアクセス元のPCを特定することが容易になる。
【0054】
上記の実施の形態において、添付図面に図示されている構成等については、これらに限定されるものではなく、本発明の効果を発揮する範囲内で適宜変更することが可能である。その他、本発明の目的の範囲を逸脱しない限りにおいて適宜変更して実施することが可能である。
【0055】
また、本実施の形態で説明した機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0056】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
【0057】
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また前記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【産業上の利用可能性】
【0058】
本発明は、認証デバイスを用いたセキュアなDRMシステムに利用可能である。
【図面の簡単な説明】
【0059】
【図1】DRMシステムの概要を示す機能ブロック図である。
【図2】USBトークンによるワンタイムパスワード認証の処理の概要を示す図である。
【図3】認証デバイスを用いた、よりセキュアなDRMシステム全体の構成例を示す図である。
【図4】本実施の形態によるシステムにおける認証の仕組み(認証の流れ)をしめす図である。
【図5】本システムにおける認証の仕組み(認証画面)を示す図である。
【図6】本システムにおける取得ログが持つデータテーブルの構成例を示す図である。
【図7】本システムにおける認証データが持つデータテーブルの構成例を示す図である。
【図8】本システムにおける認証処理のフローチャートである。
【符号の説明】
【0060】
1…クライアントPC、2…DRM サーバ、3…AD サーバ、4…DB サーバ、21…クライアント、22…USBトークン、23…内蔵チップ、24…DRMサーバ(認証サーバ)、301…クライアントPC(Policy管理者)、302…クライアントPC(Policy付与者)、303…ビューア・アプリケーション、304…クライアントPC、305…USBトークン、306…インターネット、307…プロキシサーバ、308…SMTPサーバ、309…バックアップサーバ、310…時刻同期サーバ、311…DRMサーバ(認証サーバ)、312…ADサーバ、313…DBサーバ、41…USBトークン、42…ビューア・アプリケーション、43…クライアントPC、44…DRMサーバ(認証サーバ)、45…ADサーバ、46…時刻同期サーバ、6…取得ログテーブルの項目、7…認証データテーブルの項目。
【特許請求の範囲】
【請求項1】
サーバとクライアントとを有し、認証デバイスを用いたセキュアなDRM認証システムであって、
サーバとクライアントとにおける時刻の同期を取る時刻同期サーバと、固有シード値を格納する認証デバイスであって、前記クライアントに接続されることで前記時刻と前記固有シード値とPINコードとによりワンタイムパスワードを生成する認証デバイスと、クライアントの認証・権限を保持するDRM サーバ(認証サーバ)と、ユーザのID、パスワードを保持するAD サーバと、を有する認証システムであって、
前記時刻同期サーバにより同期をとりながら、前記ADサーバで管理しているユーザのID、パスワードに加えて、前記認証デバイスに対応するPINコードと、生成した前記ワンタイムパスワードと、により、認証処理を行うことを特徴とするDRM認証システム。
【請求項2】
前記認証デバイスを挿入した時点で前記クライアントPCを特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に前記DRMサーバに送信することを特徴とする請求項1に記載のDRM認証システム。
【請求項3】
前記DRMサーバが前記PINを前記クライアントから受け取ると、前記DRMサーバ側でワンタイムパスワードが生成され、前記クライアント側で生成されたワンタイムパスワードが同じであるか否かによる一次認証が行われ、次いで、前記ユーザのIDと前記パスワードによる前記ADサーバによる二次認証が行われ、前記一次と二次との認証結果が可である場合にのみ、最終的に認証が可となることを特徴とする請求項1又は2に記載のDRM認証システム。
【請求項4】
前記クライアントから前記認証デバイスの接続を抜いた時点で、認証により許可されたファイルにアクセスすることが可能なセッションが切れることを特徴とする請求項1又は2に記載のDRM認証システム。
【請求項5】
前記認証デバイスの接続を検出した後に、ある期間毎に接続を確認することを特徴とする請求項4に記載のDRM認証システム。
【請求項6】
前記クライアントからファイルを開く場合に、前記クライアントに前記認証デバイスを接続され、前記クライアントから前記DRMサーバに、まず前記PINとMACアドレスが送信され、前記DRMサーバがワンタイムパスワードを前記クライアントに要求し、前記クライアント側でワンタイムパスワードを生成し、前記DRMサーバに送信し、送信されてきた前記ワンタイムパスワードと前記PINとを元に、前記時刻同期サーバに認証を依頼し、前記クライアントの時刻と前記DRMサーバの時刻とに同期が取れていなければ認証を不可とすることを特徴とする請求項1から5までのいずれか1項に記載のDRM認証システム。
【請求項7】
操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断することを特徴とする請求項1から5までのいずれか1項に記載のDRM認証システム。
【請求項1】
サーバとクライアントとを有し、認証デバイスを用いたセキュアなDRM認証システムであって、
サーバとクライアントとにおける時刻の同期を取る時刻同期サーバと、固有シード値を格納する認証デバイスであって、前記クライアントに接続されることで前記時刻と前記固有シード値とPINコードとによりワンタイムパスワードを生成する認証デバイスと、クライアントの認証・権限を保持するDRM サーバ(認証サーバ)と、ユーザのID、パスワードを保持するAD サーバと、を有する認証システムであって、
前記時刻同期サーバにより同期をとりながら、前記ADサーバで管理しているユーザのID、パスワードに加えて、前記認証デバイスに対応するPINコードと、生成した前記ワンタイムパスワードと、により、認証処理を行うことを特徴とするDRM認証システム。
【請求項2】
前記認証デバイスを挿入した時点で前記クライアントPCを特定するIP/MACアドレスを抜き出し、認証時にサーバに認証情報と一緒に前記DRMサーバに送信することを特徴とする請求項1に記載のDRM認証システム。
【請求項3】
前記DRMサーバが前記PINを前記クライアントから受け取ると、前記DRMサーバ側でワンタイムパスワードが生成され、前記クライアント側で生成されたワンタイムパスワードが同じであるか否かによる一次認証が行われ、次いで、前記ユーザのIDと前記パスワードによる前記ADサーバによる二次認証が行われ、前記一次と二次との認証結果が可である場合にのみ、最終的に認証が可となることを特徴とする請求項1又は2に記載のDRM認証システム。
【請求項4】
前記クライアントから前記認証デバイスの接続を抜いた時点で、認証により許可されたファイルにアクセスすることが可能なセッションが切れることを特徴とする請求項1又は2に記載のDRM認証システム。
【請求項5】
前記認証デバイスの接続を検出した後に、ある期間毎に接続を確認することを特徴とする請求項4に記載のDRM認証システム。
【請求項6】
前記クライアントからファイルを開く場合に、前記クライアントに前記認証デバイスを接続され、前記クライアントから前記DRMサーバに、まず前記PINとMACアドレスが送信され、前記DRMサーバがワンタイムパスワードを前記クライアントに要求し、前記クライアント側でワンタイムパスワードを生成し、前記DRMサーバに送信し、送信されてきた前記ワンタイムパスワードと前記PINとを元に、前記時刻同期サーバに認証を依頼し、前記クライアントの時刻と前記DRMサーバの時刻とに同期が取れていなければ認証を不可とすることを特徴とする請求項1から5までのいずれか1項に記載のDRM認証システム。
【請求項7】
操作を行う度に、前記認証デバイスの持っている情報である前記PINおよび前記ワンタイムパスワードによる認証を必要とするように、接続断に応じてセッションを切断することを特徴とする請求項1から5までのいずれか1項に記載のDRM認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−146400(P2010−146400A)
【公開日】平成22年7月1日(2010.7.1)
【国際特許分類】
【出願番号】特願2008−324493(P2008−324493)
【出願日】平成20年12月19日(2008.12.19)
【公序良俗違反の表示】
特許法第64条第2項第4号の規定により図面の一部または全部を不掲載とする。
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成22年7月1日(2010.7.1)
【国際特許分類】
【出願日】平成20年12月19日(2008.12.19)
【公序良俗違反の表示】
特許法第64条第2項第4号の規定により図面の一部または全部を不掲載とする。
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]