JP5320561B2 - 真正性を保証する端末システム、端末及び端末管理サーバ - Google Patents
真正性を保証する端末システム、端末及び端末管理サーバ Download PDFInfo
- Publication number
- JP5320561B2 JP5320561B2 JP2009068595A JP2009068595A JP5320561B2 JP 5320561 B2 JP5320561 B2 JP 5320561B2 JP 2009068595 A JP2009068595 A JP 2009068595A JP 2009068595 A JP2009068595 A JP 2009068595A JP 5320561 B2 JP5320561 B2 JP 5320561B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- user
- authentication
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000011835 investigation Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 126
- 238000004891 communication Methods 0.000 claims description 57
- 238000012795 verification Methods 0.000 claims description 48
- 230000004044 response Effects 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 abstract description 9
- 238000000034 method Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 21
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 238000012790 confirmation Methods 0.000 description 9
- 230000004913 activation Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000013515 script Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000004575 stone Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本発明は、サービスの提供を受ける端末の真正性を利用者に通知し、安全に利用者がサービス提供を受けられることを可能にする端末システムに関する。
労働者の生産性を向上させるために、あらかじめ定められた勤務場所以外の場所を中心として業務を遂行するテレワークと呼ばれるワークスタイルが普及してきている。特に、営業職などを中心として、自宅や街中、車中などの場所において、モバイル業務と呼ばれる形態でメールの受発信や書類作成を中心とした勤務を行う利用者が増えている。
このようなワークスタイルが普及するにつれ、企業における情報漏洩事故が多発しており、情報管理の徹底が求められている。情報漏洩事故の事例としては、社外に持ち出したPCや情報機器を紛失したり、盗まれたりする事故や、自宅に空き巣が入り、個人情報が保存された個人所有PCが盗難されたりする事故が多く報告されている。これらに共通していることは、情報を記憶した媒体を、社外へ持ち出しているということである。
このような情報漏洩に対する対策として、企業においてはシンクライアントシステムのニーズが高まっている。これは、記憶領域を持たないノートPCのような情報機器を用いて、社内システムに携帯電話や公衆LAN等のネットワーク経由でリモート接続し、情報そのものは社外に出さないというシステムである。このようなシンクライアントシステムにおいては、社外から社内に接続する際の認証機能が重要となる。従来はノートPCなどにICカードリーダをつなげ、個人用のICカード(社員証等)やセキュリティデバイスを用いて個人認証を行い、社内への接続を許可することが行われていた。
街角に設置してあるキオスク端末などの公共端末では、端末の管理状態が不明なため、利用者は、個人情報や機密情報を含む情報を取り扱うサービスを情報漏えいや盗聴の可能性の低い安全な状態で受けにくい。従来の技術では、利用者認証が成立した端末を踏み台にして他人が正規利用者になりすますといった不正アクセスを防止する。端末に関して利用者認証が成立しているか否かを判断する判断部が外部からのアクセスを遮断し、端末1を踏み台に正規利用者になりすまし不正アクセスする事を防止する(例えば、特許文献1)。
モバイル業務では、一般的にPCやPDA、携帯電話などのパーソナライズされた端末装置を利用者が持ち歩き、自宅や街中などで利用する。従来技術では、利用者が端末装置を持ち歩かない場合、移動先に設置されている端末装置で利用者認証を完了した後に利用することにより、安全に端末装置においてテレワークを実行することができる。この際、利用する端末が変更されても、利用者の端末環境が維持(持ち運び)出来る必要がある。しかし、不特定多数の端末の安全性を利用者に担保する端末システムや、利用端末移行時の情報セキュリティを確保するため、端末環境をパーソナライズ化する端末システムは実現されていない、という問題があった。
例えば、特許文献1では、利用者認証が成立した端末を踏み台にして他人が正規利用者になりすますといった不正アクセスを防止する技術を開示している。この特許文献1では、端末に関して利用者認証が成立しているか否かを判断する判断部が外部からのアクセスを遮断し、端末を踏み台に正規利用者になりすまし不正アクセスする事を防止する。しかし、上記特許文献1では利用者が利用中の端末の不正アクセスを防止することができるが、利用者が一時的に機器(計算機)を借り受けて利用できるような端末(例えば、公衆端末、キオスク端末)では、利用前に第3者が不正なプログラムを動作させている可能性がある。このため、上記従来技術では、端末の安全性を利用者が確認できない、という問題があった。
そこで本発明は、上記問題点に鑑みてなされたもので、利用者が安全性の不確かな端末を利用する際に、端末の安全性を端末システムが利用者に提示することを目的とする。
本発明は、端末を管理する端末管理サーバが端末の安全性を利用者に提示し、端末管理サーバが提示した情報を端末上で利用者が確認してサービスの利用を開始する。
具体的には、プロセッサとメモリを具備する端末と、利用者に関連付けられたID及び認証情報を格納した、前記端末に通信インターフェースを介して接続するIDデバイスと、前記端末とネットワークを介して接続する端末管理サーバと、を含む端末システムであって、前記端末は、当該端末における真正性の調査を実行し、真正性調査結果を前記端末管理サーバに送信する端末管理処理部を備え、前記端末管理サーバは、前記真正性調査結果が正当であると判断した場合、真正性検証結果を前記端末に送信する端末管理サーバ処理部を備え、前記IDデバイスは、前記端末にチャレンジレスポンスによる認証要求を送信するデバイス管理部を備え、前記端末の前記端末管理処理部は、前記認証要求を前記端末管理サーバに送信し、前記端末管理サーバ処理部は、前記認証要求に基づいて前記真正性検証結果が予め定められたポリシーに合致していれば認証情報の生成と、第2の認証情報要求の作成を行い、前記認証情報と、前記第2の認証情報要求を前記端末に送信し、前記端末は、前記端末管理サーバから受信した前記利用者に固有の情報を表示する表示部を有し、当該固有の情報を利用者に確認させて当該端末の真正性を保証し、前記端末の前記端末管理処理部は、受信した前記認証情報と、前記第2の認証情報要求を前記IDデバイスに送信し、前記IDデバイスは、前記認証情報が正当なものであれば、前記IDと、前記第2の認証情報要求に対応する前記第2の認証情報を前記端末に送信し、前記端末は、前記IDデバイスと通信を行うための通信インターフェースと、前記通信インターフェースを介して前記IDデバイスから前記IDと前記第2の認証情報を取得して前記端末管理サーバへ送信する認証要求部と、を具備し、前記端末管理サーバは、前記利用者に固有の情報を予め登録する端末情報登録部と、前記端末から受信した認証要求に含まれる前記IDと前記第2の認証情報を、前記予め設定した利用者に固有の情報と比較して認証を行う認証部とを含み、前記端末管理サーバ処理部は、前記認証の結果、前記利用者は正当であると判定された場合、前記予め登録された利用者に固有の情報を前記端末に送信し、前記端末は、前記利用者に固有の情報に応じて前記利用者から認証情報を取得した場合は、前記IDデバイスに送信し、前記IDデバイスは、前記利用者から取得した認証情報に基づいて第3の認証情報を前記端末に送信する。
したがって、本発明によれば、利用者が安全性の不確かな端末を利用する際に、端末の安全性を端末システムが利用者に提示することにより、利用者が安全にネットワーク上のサーバからサービス提供を受けることができる。よって、利用者の利便性、利用者のシステム利用時の安全性が向上する。
以下、本発明の実施形態について図面を参照して説明する。各図面において、同一の符号が付されている要素は同一の機能を有する事を示す。
<第1実施形態>
図1は、本発明の第1の実施形態を示し、端末システムの機能構成の一例を示すブロック図である。ネットワーク120には端末管理サーバ100、サービス提供サーバ150、端末130が接続され、相互に通信可能になっている。ネットワーク120と各機器との通信は、端末管理サーバ100、サービス提供サーバ150、端末130内の通信部(101、151、135)が行う。
図1は、本発明の第1の実施形態を示し、端末システムの機能構成の一例を示すブロック図である。ネットワーク120には端末管理サーバ100、サービス提供サーバ150、端末130が接続され、相互に通信可能になっている。ネットワーク120と各機器との通信は、端末管理サーバ100、サービス提供サーバ150、端末130内の通信部(101、151、135)が行う。
端末管理サーバ100は、端末管理サーバ処理部102とストレージ110、端末情報登録部103を持つ。端末管理サーバ処理部102は、ストレージ110とデータを送受信し、通信部101を介して端末130等の複数のネットワーク120上の端末を管理する。ストレージ110は、端末130の利用者情報105と、認証情報106と、端末情報107と、ログ108を保持する機能を持つ。
ここで、利用者情報105は、端末システムの端末130を利用する利用者の情報と、後述する利用権限や状態、端末での利用者の利用者環境などの情報を紐付けて管理しているものである。認証情報106は、端末管理サーバ100が持つ認証情報である。具体的に認証情報106は、端末管理サーバ100の持つ秘密情報である共通鍵や、サーバの公開鍵証明書と対応する秘密鍵などである。認証情報106は、ストレージ110の中の耐タンパストレージに格納されていても良い。端末情報107は、端末管理サーバ100の管理する端末の情報と、後述する端末の利用権限や状態などの情報を紐付けて管理しているものである。なお、耐タンパストレージは、外部からのデータの解析や改変を抑止可能な記憶装置で、例えば、暗号処理回路を備えて認証が完了しない状態でのデータアクセスを禁止するものであり、公知ないし周知の技術を適用することができる。また、端末管理サーバ処理部102と、端末情報登録部103は、ソフトウェアで構成され、記憶媒体としてのストレージ110からメモリにロードされて後述するプロセッサにより実行される。
端末130は、端末管理処理部131とサービス処理部132、ストレージ139、通信インターフェース134及び通信部135を持つ。端末管理処理部131は、ストレージ139とデータを送受信し、通信部135を介してネットワーク120上の端末管理サーバ100やサービス提供サーバ150と通信し、後述する認証を行ってから端末130の利用者にサービス提供サーバ150から提供されるサービスを提供する。ストレージ139は、内部に端末情報138を持つ。端末情報138は、端末130の持つ秘密情報である、端末IDや共通鍵や端末の公開鍵証明書と公開鍵に対応する秘密鍵などである。通信インターフェース134と通信部135は、端末130内の機能とIDデバイス140の通信の仲介を行う。
サービス処理部132は、端末管理処理部131が端末130上に後述する利用者環境を利用可能にした際に利用者環境を表示したり、利用者がサービスを受けるために利用する1つ以上のアプリケーションである。具体的には、ブラウザアプリケーションや、その他のサービス提供のためにサービス提供サーバ150のサービス処理部152と通信するアプリケーションである。なお、端末管理処理部131とサービス処理部132は、ソフトウェアで構成され、記憶媒体としてのストレージ139からメモリにロードされて後述するプロセッサにより実行される。
IDデバイス140は、内部にデバイス管理部141とストレージ142と通信インターフェース144を持つ。デバイス管理部141は、ストレージ142とデータの送受信を行い、通信インターフェース144を介して端末130と通信を行う。ストレージ142は、認証情報143を記録している。認証情報143は、利用者の持つ秘密情報である共通鍵や利用者の公開鍵証明書や公開鍵に対応する秘密鍵や端末管理サーバの送信する認証情報を検証するためのサーバ証明書等を含む。
利用者はIDデバイス140を所有しており、本実施例の端末システムの端末130を利用する際、安全性の不確かな端末130へIDデバイス140を通信インターフェース144及び134を通信させることにより接続する。通信インターフェース144と、端末130の通信インターフェース134の間で行われる通信は、近距離無線通信、接触型ICカード通信、非接触型ICカード通信、周辺機器接続のためのシリアル通信、周辺機器接続のためのパラレル通信等である。なお、IDデバイス140は、例えば、ICカード状に形成されても良く、あるいは、携帯機器の一部を構成するものであっても良い。
端末130は、IDデバイス140との接続の状況を端末管理サーバ100へ送信し、IDデバイス140へ認証情報要求の送付を行う。IDデバイス140へ送付された情報は、デバイス管理部141にて処理され、端末130が端末管理サーバ100により、利用者が利用可能と判断されていれば、IDデバイス140から端末130へ後述するID情報が送信され、利用者は端末130上に利用者自身の登録した利用者環境を利用可能になる。この利用者環境は、端末管理サーバ100上の端末情報107内にて管理されているものであり、利用者が事前に登録しておくものである。
端末情報107のうち、利用者環境は、利用者が端末管理サーバ100の管理者のポリシーに従って図示しない端末から、ネットワーク120を介して端末情報登録部103の機能を利用して登録する。利用者環境の登録に際しては、利用者は利用者認証を端末情報登録部103から受ける。利用者が端末管理サーバ100に予め登録する利用者環境は、利用者が利用する端末130の種別やスペック、通信環境及び利用者に固有の情報(画像や音声、映像、実行するプログラムなど)であり、端末130の利用前に予め登録する。端末の種別は携帯電話、PC、キオスク端末といった分類であったり、ブラウザなどのアプリケーションなどが利用可能かなどの判断を含んだ分類となる。端末130のスペックは、画面のサイズや表示能力、演算処理能力、接続されている周辺機器種別、メモリ容量、入出力装置種別、通信能力、音声出力能力、セキュリティ機能などである。通信環境は、端末とサーバとの通信品質の状態である。
サービス提供サーバ150は、利用者の端末130がネットワーク120を介してアクセスしたときに、当該端末130にサービスの提供を行うサーバ計算機で、サービス処理部152と、ストレージ153と、通信部151より構成される。サービス処理部152は、ストレージ153内の利用者情報155を利用し、利用者の認証を行う。また、サービス処理部152は、ストレージ153内の端末情報157を利用し、必要に応じて利用者の利用する端末の認証を行う。利用者は、サービス処理部152を経由しストレージ153内の認証情報106からサーバの認証情報を取得し、サービス提供サーバ150のサーバ認証を行う。利用者認証と端末認証が成功した場合、利用者は、サービス提供サーバ150から端末130を通じてサービス提供を受ける。なお、サービス処理部152は、ソフトウェアで構成され、記憶媒体としてのストレージ153からメモリにロードされて後述するプロセッサにより実行される。
図8は、端末130の外観の一例を示したものである。端末130は、画面801、タッチパネルやキーボード、テンキーパッドなどの入力装置802、磁気カード、接触型ICカードなどのリーダライタ803、非接触型ICカードなどの通信インターフェース144、筐体の改ざん防止の効果を明示する開封防止封印805を持つ。
画面801は、利用者が当該端末130を利用する前や利用者が当該端末130を利用中に、当該端末130の用途、当該端末130で利用されている暗号の種別、暗号の強度等の当該端末130の真正性に関する情報を利用者に通知する。また、画面801には利用者の認証情報と、端末管理サーバ100に登録されている利用者環境を利用して、端末130の真正性を調査した時刻や真正性を検証した時刻など検証結果に関する情報を表示することができる。
端末130は、携帯電話などの情報機器を利用して、端末IDや端末の設置場所、端末の真正性に関する状態(内部の状態や、管理者が直前にいつ確認したか)を確かめるためのアクセス情報(図8中では2次元バーコードによるURL表示)が表示される。利用者はアクセス情報を元に端末130の真正性を端末管理サーバ100へ問い合わせることができる。端末管理サーバ100は、利用者からの問い合わせについて、端末130が送信してきた真正性情報を元に利用者に回答する。利用者は回答結果を端末管理サーバ100の公開鍵証明書等の情報を用いて検証し確認することができる。
図9は、端末130を利用して利用者が、端末130の安全性を端末管理サーバ100の機能を用いて判定し、サービス提供サーバ150からサービスを受ける際の端末システムのシーケンス図である。
まず、端末130は、端末130の管理者や利用者が起動のための操作を行うと、初期化処理901を行う。初期化処理901は、端末130のOSの起動、管理アプリケーション(端末管理処理部131等)の起動、ネットワークへの接続、プロセスの確認、ログの記録を含む。初期化処理901は、管理者や利用者の操作のほかに、利用者が利用終了したときや、端末管理サーバ100から指示を受けた場合等にも行われる。
次に、端末130は、環境確認処理902を行う。環境確認処理902は、ネットワーク120を介した管理サーバ100への接続確認や、電源、接続されている周辺機器、機器の設置している場所などの情報の確認である。
端末130の真正性調査(903)のステップでは、端末130のメモリ302にロードされてCPU301により動作するプロセス状態や、当該端末130に接続されているデバイスの情報や、端末130が設置されている物理的位置や、ネットワークの状態や、ストレージの状態等、あらかじめ端末130の管理を行う管理者が決定した手順で端末管理処理部131が行う。
端末130のメモリ302にロードされてCPU301が実行するプロセスの状態の調査は、端末管理処理部131が端末130で動作するプロセスの動作状態を確認する。具体的にはあらかじめ端末管理処理部131が持つプロセス動作情報とプロセススキャンの結果を照らし合わせた結果を確認する。
端末130に接続されているデバイスの情報は、端末管理処理部131が端末130に接続されているデバイスとデバイスを駆動するドライバプログラムの状態を調査する。
端末130の設置されている物理的位置の調査は、端末130に接続されているGPS(図示省略)等の測位システムや、カメラからの入力などを元にした位置情報を調査する。
ネットワーク120の状態の調査は、端末管理処理部131がネットワークのアドレス、接続経路、接続品質などを確認する。ストレージ139の状態の調査は、端末管理処理部131がストレージの容量やパーティションの状態、ストレージ139上のファイルスキャン、ウィルススキャンの結果を調査する。
端末130上の端末管理処理部131は、端末管理サーバ100の端末管理サーバ処理部102へ通信部135、通信部101を介して接続する。端末管理処理部131は、端末管理サーバ処理部102と相互認証及びSSL通信等の通信チャネル生成(904)を行う。ステップ904では、端末管理処理部131が、端末管理サーバ100の端末管理サーバ処理部102が送付する情報をサーバ証明書を用いて検証し、端末管理サーバ処理部102が、端末管理処理部131が送付した情報を端末IDと端末の持つ認証情報(公開鍵証明書等)を用いて検証する。
ステップ904の相互認証の処理後に、端末管理処理部131と端末管理サーバ処理部102の間で通信のための秘密情報の安全な共有が行われ、セキュアな通信経路が構築される。ここで、端末管理処理部131が利用する認証情報は、ストレージ139上の端末情報138に保存されている。端末130の盗難に備えて、ストレージ139の端末情報138は、耐タンパ性のあるデバイスに格納されていてもよい。また、端末情報138を利用するために端末130の管理者がパスワードなどの秘密情報を入力しなければ、端末情報138を利用できないように構成しても良い。
次に、端末130上の端末管理処理部131は、端末130の真正性調査903のステップで取得した真正性調査結果と、当該端末130に予め設定された端末ID401を端末管理サーバ処理部102に送信する(905)。端末管理サーバ100上の端末管理サーバ処理部102は、受信した真正性調査結果の正当性をストレージ110内の端末情報107を参照して検証する(906)。
この検証は、端末管理サーバ100の端末管理サーバ処理部102が、上記端末130から受信した真正性調査結果及び端末IDから、ストレージ110に格納された端末情報107の真正性検証用情報409に含まれるポリシーに基づいて実行する。
例えば、上記ポリシーを読み込んだサーバにおいて、端末管理サーバ処理部102は、端末130から受信した端末ID401で端末情報107を検索し、真正性調査結果に含まれる端末130のネットワークアドレスが、端末情報107のアドレス404と一致するか否かを判定する。また、端末管理サーバ処理部102は、端末130から受信した端末ID401で端末情報107を検索し、真正性調査結果に含まれる端末130の緯度と経度が、端末情報107の場所408と一致するか否かを判定する。また、端末管理サーバ処理部102は、端末130から受信した真正性調査結果から不正なプログラムやファイルが検知されていないことを判定する。そして、端末管理サーバ100の端末管理サーバ処理部102は、上記アドレスと設置位置の判定が端末情報107と一致し、かつ、不正なプログラムなどが検知されていない場合に、当該端末130が真正な端末であると判定する。
真正性調査結果が正当であると検証された場合、端末管理サーバ処理部102は真正性の検証結果を端末管理処理部131へ送信する(907)。一方、真正性の検証結果が正当であると検証されない場合、端末管理サーバ処理部102は、真正性の検証結果を端末管理サーバ100の管理者や端末の管理者へ通知する。該通知は、電子メール、FAX、ネットワークを使った通知、電話などで行われる。また、端末管理サーバ処理部102は、正当でないとされた検証結果をストレージ110上のログ108に保存する。次に、端末管理サーバ処理部102は、端末管理処理部131へ「正当と判断されなかった」という結果を送信する。端末130の端末管理処理部131は、「正当と判断されなかった」という真正性の検証結果を端末管理サーバ処理部102から受け付けると、端末130の真正性調査903の処理と真正性調査結果の送信(905)を定められた回数まで繰り返す。端末管理サーバ処理部102は、端末130から真正性調査結果を受信するたびに真正性調査結果が正当であるか否かの上記検証(906)を実行する。具体的には、前記真正性の検証とは、送信されてきた端末内部で動作するプロセス状態や端末に接続されているデバイスの情報、端末の設置されている物理的位置、ネットワークの状態、ストレージの状態、ファイルスキャン、ウィルススキャンの結果等をあらかじめ端末情報107に登録された情報と比較することによって行う。
真正性調査結果の送信が正しいと認められるまで、端末管理処理部131は、端末130の表示画面に端末の真正性の調査を行っている事を表示する。端末管理サーバ処理部102は、ある端末について定められた時間あたり、定められた回数正当でない調査結果を受信した場合、当該端末130の端末管理サーバ100との通信を以後遮断する。
ある端末130と通信が遮断された場合、端末管理サーバ処理部102は、通信遮断の結果を端末管理サーバ100の管理者及び当該端末の管理者へ通知する。当該通知は、電子メール、FAX、ネットワークを使った通知、電話などで行われる。また、端末管理サーバ処理部102は、通信を遮断した結果をストレージ110上のログ108に保存する。
真正性検証結果を端末130上の端末管理処理部131が受信すると、端末管理処理部131は、真正性検証結果をストレージ139へ保存する(908)。真正性検証結果は、端末管理サーバ100と端末130間の保護された通信(チャネル)で守られている。また、端末管理サーバ100との間で送受信する情報は、端末130の持つ公開鍵で暗号化されており、端末管理処理部131でなければ復号できない状態で送信される。真正性検証結果の中には、時刻情報(どれだけ以前に検証が行われたか及び現在時刻)と、端末管理サーバ処理部102が端末情報107を更新するための端末130の状態などの情報が含まれている。
上記真正性調査903と、真正性検証906により、端末130は不正なプログラムが動作していなく、かつ、所定の位置に設置されてセキュアな通信が可能な計算機であることが端末管理サーバ100により判定される。すなわち、今回端末130を利用する利用者以前の使用者によって端末130の環境が改変されていないことが保証され、真正な端末130として判定される。
また、端末130で行う真正性調査903では、調査結果に調査を実施した時刻を含み、端末管理サーバ100が行う真正性検証906では、真正性検証用情報409に含まれるポリシーが、端末130で実施した真正性調査の時刻と現在時刻の差を制限する場合では、真正性調査を実施した時刻と現在時刻の差が所定値を超えていたら当該調査結果を破棄して利用しない。つまり、古い真正性調査結果を用いるのを禁止することで、真正性の判定の精度を向上させることができる。なお、調査結果を破棄した後には、端末管理サーバ100が端末130に対して、再度真正性調査903を実行するように指令することができる。
利用者は、端末130を利用する際に、インターフェース134及びインターフェース144を介して端末130とIDデバイス140を通信させる(909)。図9に示すように、端末管理処理部131の指示により、IDデバイス140上のデバイス管理部141が認証情報要求をインターフェース144及びインターフェース134を介して、端末管理処理部131に送信する(910)。具体的に認証情報要求とは、ダイジェスト認証を行うことである。ダイジェスト認証の一例としては、例えば、RFC2069に規定されるチャレンジ・アンド・レスポンスによる認証を、IDデバイス140と端末管理サーバ100との間で実施する。
端末管理処理部131は、IDデバイス140から受信した認証情報要求を端末管理サーバ処理部102へ送信する(911)。端末管理サーバ100は、端末130からチャレンジ・アンド・レスポンスによる認証情報要求を受け付けると、端末情報107に設定された当該端末(端末130)の送信結果(履歴406)から端末130の情報と真正性検証結果を検証する。そして、端末管理サーバ処理部102は、真正性の検証結果があらかじめ定められたポリシーに合致していれば、チャレンジ・アンド・レスポンスによる認証情報の生成と、第2の認証情報要求の作成を行う(912)。
端末管理サーバ処理部102は、上記処理912で生成した認証情報と第2の認証情報要求を端末管理処理部131へ送信し(913)、端末管理処理部131は、受信した認証情報と第2の認証情報要求をインターフェース134及びインターフェース144を介してIDデバイス140へ送信する(914)。
IDデバイス140は、端末130から受信したチャレンジ・アンド・レスポンスによる認証情報の正当性を調査し、正当なものであれば、ストレージ142に保存しているIDと、端末130から受信した第2の認証情報要求に対する第2の認証情報を生成する(915)。この処理915の時点で、IDデバイス140と端末管理サーバ100は、チャレンジ・アンド・レスポンスによるダイジェスト認証が完了する。
ここで、IDデバイス140が判定する認証情報の正当性とは、端末130から受信した認証情報の種別により、判断の行い方が異なる。認証情報が、パスワード(事前共有共通鍵)であるなら、ストレージ142に保存されているパスワードと受信した認証情報の比較により行われる。認証情報が、ダイジェスト認証であれば、認証要求や認証情報には乱数が含まれ、認証情報正当性の判断は、ダイジェストの検証により行われる。認証情報が、署名であれば、認証情報正当性の判断は、署名検証により行われる。
ステップ915において、IDデバイス140は、認証情報の正当性が検証できなければ、その後の応答を行わない。IDデバイス140に表示機能や、スピーカーがついている場合、認証情報の正当性が検証できていない場合、画面上に認証情報の正当性が検証できていない情報を表示したり、音楽や警告音を鳴らすことにより、利用者に警告を伝える。同様に、認証情報の正当性が検証できた場合も、画面上に認証情報の正当性が検証できた情報を表示したり、正当性が検証できない場合とは別の音楽や警告音を鳴らすことにより、利用者に検証の結果を伝える。
IDデバイス140は、ストレージ142から読み出したID(利用者ID501)と第2の認証情報(秘密情報503)を端末管理処理部131へ送信する(916)。端末管理処理部131は、受信したIDと第2の認証情報を端末管理サーバ処理部102へ送信する(917)。
端末管理サーバ処理部102は、端末130より受信したIDと第2の認証情報について、ストレージ110上の利用者情報105と比較して、端末130を使用する利用者(IDデバイス140の所有者)の認証を行う。この認証は、端末130から受信したIDで、利用者情報105の利用者ID501を検索し、該当するレコードの秘密情報503と受信した第2の認証情報を比較して正当な利用者であるか否かを判定する。
端末管理サーバ処理部102は、IDデバイス140からのIDと第2の認証情報で利用者が正当な利用者であると判定すると、当該利用者が登録している利用者環境の送信準備を行う。利用者環境は、利用者情報105のステータス506に保存され、利用者のID501に紐付けられている。利用者環境は例えば、利用者に関する情報(名前、ニックネーム、ID番号、イラスト、写真)、端末130上で動作するアプリケーションや端末130上で動作するアプリケーションの利用する画面構成などのデータやスクリプトである。
利用者環境の送信準備(918)の際、端末管理サーバ処理部102は、利用者が登録している利用者環境のうち、端末130にて利用可能な環境で利用可能なものを選択する。これは、真正性検証結果に含まれる端末の状態や、端末情報107や認証情報送信時に同時に送信される利用者からの要求を参照し決定される。この利用可能なものの選択は、ブラウザアプリケーションが搭載されていない端末130にブラウザ用画面構成データやスクリプトを送信しても端末130上で利用者が利用できないため、利用できない環境を指令するのを防ぐために行われるものである。
端末管理サーバ処理部102は、利用者環境の送信準備918で決定された利用者環境を端末管理処理部131へ送信する(919)。端末管理処理部131は端末管理サーバ100から受信した利用者環境を端末131にて実行する。ステップ919で送信された利用者環境には、必要に応じて端末131にて実行する際の安全性を保証する認証情報(署名)が付加される。端末131はこの安全性を保証する認証情報を確認する。端末管理処理部131は、端末管理サーバ100から受信した利用者環境をあらかじめ定められた方法で分類し、端末131上で実行したり、表示したりする。利用者環境が利用者に関する情報であれば、端末管理処理部131が利用者に関する情報を表示し、確認を行う(920)。また、利用者環境が端末130上で動作するアプリケーション(プログラム)であれば、端末130上で当該アプリケーションを実行させ、利用者により確認を行う(920)。この確認は、端末130上で動作するアプリケーションで利用する画面構成などのデータやスクリプトであれば、必要なアプリケーションを動作させるか否かを利用者に確認させた後に、アプリケーションへデータやスクリプトを送信する、利用者による確認を行う。
利用者は、IDデバイス140を端末130に接続してから、ステップ920で表示される情報を確認してはじめて、端末130が正当に利用してよい端末130であるということを認識する。
次に端末管理処理部131もしくは端末130上で動作するアプリケーションが、サービスを利用者に提供するための準備を行う。サービス利用のためにさらなる認証情報の送信が必要である場合、利用者は、端末130に対して、認証情報の要求(IDの要求、パスワードの要求、生体認証情報の要求、プライバシー情報の要求、その他秘密情報の入力要求)などに画面の表示に従って返答する。入力された認証情報はIDデバイス140や端末管理サーバ処理部102に送信される(921)。IDデバイス140は、受け取った認証情報(たとえばPIN)から、更なる認証情報(署名情報)を端末130に送信する(922、923)。
利用者は、端末管理処理部131や端末130上で動作するアプリケーションを用いて端末管理サーバ100やサービス提供サーバ150にサービス提供の要求を行う(924)。ステップ924において、サービス提供サーバ150は、端末130の利用者の認証処理を行い、サービスの提供にあたり、必要な品質の通信の暗号化を実施する。そして、端末130は、真正性検証結果を含む端末情報を送付する(925)。サービス提供サーバ150は、端末130が送信した認証情報を含むサービス要求と、真正性検証結果を含む端末情報を検証し、予め設定したサービス提供のポリシーに従って端末130を介した利用者へのサービス提供を行う(926)。前記の真正性検証結果を含む端末情報は、ステップ907において、端末管理サーバ100が発行したものであるという署名等の情報を含むため、サービス提供サーバ150は前記の検証を行える。
この際、認証情報送信のステップ916にて、利用者が当該端末130の利用開始以前に実行していたサービスとサービスの状態を端末130がIDデバイス140から受信し、ステップ924で送信するサービス要求に含めることにより、利用者は端末130の利用を開始する以前に実行していたサービスとサービスの状態を端末130に簡便な操作で引き継ぐことができる。前記のサービスとサービスの状態とは、IDデバイス140が以前に通信した端末130とは異なる端末において利用者が利用していたサービスとサービスの状態を示す。もしくは、IDデバイス140が端末130の機能を持つ場合では、IDデバイス140上で実行しているサービスとサービスの状態を示す。
また、IDデバイス140と端末130間の通信及びサービス提供サーバ150及び端末130の間の通信は盗聴防止のために暗号化されていても良い。また、認証情報の要求と認証情報の作成は、ダイジェスト認証や公開鍵暗号を用いた署名検証に限らず、生体情報の確認や、そのほかの認証情報の要求と認証情報要求に対する応答の作成でよい。
端末管理処理部131は、利用者が利用を終了したのを検知し(927)、利用者が利用停止した事をサービス提供サーバ150に送信し(928)端末管理サーバ100にも送信する(929)。利用者が利用を終了したことの検知方法は、利用者が端末130の入力装置に終了を意味する入力を行ったり、あらかじめ定められた時間入力が無かったり、利用者の利用開始からあらかじめ定められた時間が経過したり、利用者が利用場所を離れるなどしてIDデバイス140と端末130の通信があらかじめ定められた時間無かったりすること、利用者の利用形態をカメラで撮像して端末130が利用の終了を判断する等を検知する方法である。利用者が利用を終了したことを端末管理処理部131が検知した場合、端末管理処理部131は、端末130を再起動するか、後述するメモリ302やストレージ139の内容を初期化する。このことにより、ステップ901が開始され、次の利用者が安全に端末130を利用可能な状態を構成する。
端末130がサービス提供サーバ150から受けるサービスは、例えば、ストリーミングによる情報の送受信やテレビ会議、電話会議、メール送受信、VPNを利用したリモートアクセス、仮想デスクトップの提供、WEBアプリの利用、オンラインゲーム、イーラーニング、ブログの利用、SIPサービスの利用、位置情報サービスの利用、営業支援システムの利用、メールサービスの利用、PIMサービス利用、オフィスツール利用、検索サービス利用等が挙げられる。
図4は、端末管理サーバ100のストレージ110に記録されている端末情報107の例を示すものである。図4において端末情報107は、端末ID401に対して、当該端末を利用する利用者ID402と、機種403と、アドレス404と、管理ID405と、履歴406と、ステータス407と、場所408と、備考410が対応付けて登録されている。
端末ID401は、端末130に対し、端末の管理者が、個別のIDを割り当て管理するものである。端末130では、端末ID401は、ストレージ139の中に格納されている。前述のステップ904において端末管理サーバ100から端末ID401が送信される。前述のステップ905にて送信される真正性調査結果には、端末情報107の端末に関する情報が含まれるため、端末管理サーバ100は、端末130が送信した真正性調査結果から、端末130に関連する端末情報107を更新する。
利用者ID402は、現在該当する端末130を利用している利用者を示す。機種403は、端末130に該当する機種を示す。アドレス404は、端末130が接続しているネットワーク120上の識別子であるIPアドレス等のアドレスを示す。管理ID405は、該当する端末130を管理する管理会社等の管理母体や管理者のIDを示す。履歴406は、端末130が端末管理サーバ100に送信した情報と端末130の状態を記録したログを記憶したものである。このログは、時刻と、そのほかの端末に関わる情報の組み合わせである。その他の端末130に関わる情報とは、端末130の起動、終了、リセット時間、メンテナンス情報、アプリケーション、サービス等を記録したステータス情報、端末130に接続されているデバイス情報である。
端末のステータス407は、該当する端末130が現在どのような状況下にあるかを示す。例えば、利用者が利用しているサービスの状況や、利用者の利用を待っているサービスの状況である。場所408は、端末130が設置されている場所を示し、例えば、経度と緯度などで表現される。真正性検証用情報409は、前記のステップ906にて調査結果が正当であるか正当でないかを端末管理サーバ処理部102が検証するための情報やポリシーが記録されている。この真正性検証用情報409は、端末130の管理者が定義し、更新する。備考410は、その他のエラー状態情報や、メンテナンス用の情報、認証用の特別な情報が記録されている。
図5は、端末管理サーバ100のストレージ110に記録されている利用者情報105の例を示すものである。利用者ID501に対応する、利用者の公開鍵証明書502、共通鍵等の秘密情報503、管理ID504、履歴505、ステータス506、利用者が利用している端末ID507、備考508が登録されている。
利用者ID501は、利用者に対してシステムの管理者が個別のIDを割り当てて管理しているものである。利用者ID501は、利用者(または管理者)がIDデバイス140の内部に格納して管理する。前述のステップ916にて送信されるIDは、利用者ID501を含むか、あらかじめ定められた方式で利用者ID501に紐付けて管理されている。
利用者の公開鍵証明書502は、利用者が信頼された認証局から発行された公開証明書であり、利用者がIDデバイス140に格納する秘密鍵に対応する公開鍵証明書である。共通鍵等の秘密情報503は、利用者が利用するIDデバイス140と、相互認証や共通の秘密情報の共有を行うときに利用する事前共有する共通鍵や、セッション鍵、乱数である。
管理ID504は、該当する利用者を管理する管理会社などの管理母体や管理者のIDを示す。履歴505は、利用者が端末130上で行った処理や状態(アプリケーションの状態)を記録したログを記憶したものである。ログは、時刻と、その他の利用者の行った処理や状態関わる情報の組み合わせである。その他の利用者の行った処理や状態関わる情報とは、端末の利用開始、端末上での操作、端末の利用終了に関する情報、利用したIDデバイス情報である。
ステータス506は、該当する利用者が現在どのような状況でサービスを利用しているかを示す。端末ID507は、現在利用者が利用している端末130の端末IDである。備考508は、その他のエラー状態情報や、メンテナンス用の情報、認証用の特別な情報が記録されている。
図2は、端末管理サーバ100のハードウェア構成を示すブロック図である。端末管理サーバ100は、内部でCPU201と、メモリ202と、ストレージ203と、NIC(ネットワークインターフェースカード)204と、耐タンパメモリ205と、入出力装置206がバスにより接続されている構成である。NIC204は、ネットワーク120と接続して図1の通信部101を構成している。ストレージ203は、図1のストレージ110に相当し、ストレージ203の機能は、ローカルに接続された記憶装置もしくは、ネットワーク120上のストレージ(図示省略)により実現される。
端末管理サーバ処理部102や端末情報登録部103は、ストレージ110に保存されたプログラムをメモリ202にロードし、CPU201で実行することにより、これらプログラムの機能が実現される。
図3は、端末130のハードウェア構成を示すブロック図である。端末130は、内部でCPU301と、メモリ302と、ストレージ303と、NIC304と、入出力装置305と、耐タンパストレージ306がバスにより接続されている構成である。NIC304は、ネットワーク120と接続している。ストレージ303もしくは耐タンパストレージ306、ネットワーク上のストレージの機能を合わせて、図1でストレージ139と示している。
端末管理処理部131やサービス処理部132は、ストレージ303に保存されたプログラムをメモリ302にロードし、CPU301で実行することにより、機能が実現される。耐タンパストレージ306には、利用者や端末130の持つ認証情報を保存する。端末IDと端末IDに関わる認証情報(共通鍵、秘密鍵、公開鍵証明書等)も耐タンパストレージ306に保存する。入出力装置305は、通信インターフェース134や、画面やタッチパネル、キーボード、テンキーパッドなどの入力装置、磁気カードや接触型ICカードなどのリーダライタ、非接触型ICカードなどの通信インターフェースを含む。
図6は、IDデバイス140のハードウェア構成を示すブロック図である。IDデバイス140は、内部でCPU601と、メモリ602と、ストレージ603と、通信インターフェース144と、入出力装置604と、耐タンパストレージ605がバスにより接続されている構成である。通信インターフェース144は、端末130の通信インターフェース134と接続可能な構成になっている。IDデバイス140は、図示しない通信部を持ち、端末130と同等のサービス提供を受ける端末機能を持っていてもよい。
ストレージ142の機能は、ストレージ603もしくは耐タンパストレージ605の機能を合わせて実現される。デバイス管理部141の機能は、ストレージ603に保存されたプログラムをメモリ602にロードし、CPU601で実行することにより、実現される。耐タンパストレージ605には、利用者の持つ認証情報(例えば、利用者ID501と秘密情報503)や、端末管理サーバ100の真正性を保証する情報(例えば、公開鍵等)を保存する。入出力装置604は、画面やタッチパネルやキーボード、テンキーパッドなどの入力装置、磁気カード、接触型ICカードなどのリーダライタ、非接触型ICカードなどの通信インターフェースを含む。
図7は、本実施形態の図9に示したステップ919において利用者環境が端末130に送信された際、端末管理処理部131が端末130の画面に表示する情報(利用者環境表示700)を説明する図である。利用者環境表示700は、内部にサービス表示部701、状態表示部702、パスワード入力部703、個人情報表示部704、画像表示部705を含む。利用者環境は、利用者が任意に端末管理サーバ100へ登録を行うことができるため、個人情報表示部704に氏名やニックネームや利用者に関係する情報を表示したり、画像表示部705に利用者の好みの写真など利用者に関係のある情報を表示することができる。利用者が利用者環境の表示を端末130で確認することにより、利用者は端末130の安全性を確認するとともに、利便性の高いサービスを受けることができる。
以上のように、不特定多数の利用者が使用可能な端末130と、端末管理サーバ100をネットワークで接続した端末システムを構成することにより、利用者は簡便な操作で、真正性の不確かな端末130を利用し、サービス提供を受けることができ、利用者の利便性と取り扱う情報の閲覧、加工などの取り扱いに対する安全性が向上する。
また、利用者がIDデバイス140を用いて端末130と認証操作を行うだけで、利用者は端末130のスペックや利用の状況に即した利用者環境を当該端末130に構築することができ、サービス開始までの時間を削減できるため、利用者の利便性が向上する。
<第2実施形態>
図10は、本発明の第2の実施形態を示し、端末130を利用して利用者が端末130の安全性を端末管理サーバ100の機能を用いて判定し、サービス提供サーバ150からサービスを受ける際のシステムのシーケンス図である。
図10は、本発明の第2の実施形態を示し、端末130を利用して利用者が端末130の安全性を端末管理サーバ100の機能を用いて判定し、サービス提供サーバ150からサービスを受ける際のシステムのシーケンス図である。
前記第1実施形態の図9と異なる点は、ステップ1006における真正性検証結果の内容が異なる点と、ステップ1020の利用者環境表示、確認以降のステップで、端末管理サーバ100が主体となって、利用者のサービス利用の手続きを行う点である。その他の構成は前記第1実施形態の図9と同様である。
ステップ1006において、端末管理サーバ処理部102は、真正性の検証を行う。真正性調査結果が正当であると検証された場合、真正性検証結果が、端末管理サーバ処理部102から端末管理処理部131へ送信される(907)。この真正性検証結果は、端末130にて復号可能な暗号化が施してあり、IDデバイス140にて検証可能な内容になっている。利用者が端末130の利用を開始した場合(909)、IDデバイス140の認証要求910に対し、真正性検証結果を認証情報及び第2の認証要求としてIDデバイス140に送信することにより、IDデバイス140は、端末130の真正性を確認でき、ステップ1016以降の処理を進めることができる。
このとき、IDデバイス140は、真正性の内容をIDデバイス140が持つ時刻情報や別のネットワーク経由での端末管理サーバ100への問い合わせなどを利用して行っても良い。また、利用者に真正性検証結果から演算された計算結果を表示し、端末130上の表示と比較することによって、真正性を検証しても良い。
また、ステップ1016にて送信される第2の認証情報に、サービス要求やサービス利用のための認証情報を含ませることにより、利用者がサービス利用要求を端末130を介して端末管理サーバ100へ指示後(1021、1022)端末管理サーバ100は、サービス提供サーバ150に対し、端末130へのサービス提供開始要求と、端末の真正性検証結果を含む端末情報の送付(1023、1024)をい、利用者はサービスの提供を受ける(1025)。
上記のように端末130、端末管理サーバ100をネットワーク120で接続した端末システムを構成することにより、第1実施形態と比較して、サービス開始までの時間や、ユーザの操作を削減できるため、利用者の利便性が向上する。
また、ステップ1016にて、利用者が端末130の利用開始以前に実行していたサービスとサービスの状態を端末130が受信するように構成し、ステップ1025にて利用者が当該端末130の利用以前に実行していたサービスとサービスの状態を引き継ぐことができるようにすると、利用者は、少ない操作で、以前実行していたサービスとサービスの状態を引き継ぐことができる。これにより、利用者の利便性が向上する。このサービスとサービスの状態とは、IDデバイス140が以前に通信した端末130とは異なる端末において利用者が利用していたサービスとサービスの状態もしくは、IDデバイス140が端末の機能を持ちIDデバイス140上で実行しているサービスとサービスの状態を示す。
なお、上記各実施形態では、端末管理サーバ100とサービス提供サーバ150が異なる計算機で構成された例を示したが、端末管理サーバ100とサービス提供サーバ150の機能を一つの計算機で提供することができる。
以上のように、本発明は、不特定多数の利用者が一時的に借り受けて利用する端末を含む計算機システムに適用することができ、さらに、不特定多数の利用者が一時的に借り受けて利用する端末を管理する管理サーバに適用することができる。
100 端末管理サーバ
102 端末管理サーバ処理部
103 端末情報登録部
110 ストレージ
130 端末
131 端末管理処理部
132 サービス処理部
139 ストレージ
140 IDデバイス
141 デバイス管理部
150 サービス提供サーバ
152 サービス処理部
102 端末管理サーバ処理部
103 端末情報登録部
110 ストレージ
130 端末
131 端末管理処理部
132 サービス処理部
139 ストレージ
140 IDデバイス
141 デバイス管理部
150 サービス提供サーバ
152 サービス処理部
Claims (8)
- プロセッサとメモリを具備する端末と、
利用者に関連付けられたID及び認証情報を格納した、前記端末に通信インターフェースを介して接続するIDデバイスと、
前記端末とネットワークを介して接続する端末管理サーバと、
を含む端末システムであって、
前記端末は、
当該端末における真正性の調査を実行し、
真正性調査結果を前記端末管理サーバに送信する端末管理処理部を備え、
前記端末管理サーバは、
前記真正性調査結果が正当であると判断した場合、真正性検証結果を前記端末に送信する端末管理サーバ処理部を備え、
前記IDデバイスは、
前記端末にチャレンジレスポンスによる認証要求を送信するデバイス管理部を備え、
前記端末の前記端末管理処理部は、前記認証要求を前記端末管理サーバに送信し、
前記端末管理サーバ処理部は、前記認証要求に基づいて前記真正性検証結果が予め定められたポリシーに合致していれば認証情報の生成と、第2の認証情報要求の作成を行い、
前記認証情報と、前記第2の認証情報要求を前記端末に送信し、
前記端末は、
前記端末管理サーバから受信した前記利用者に固有の情報を表示する表示部を有し、当該固有の情報を利用者に確認させて当該端末の真正性を保証し、
前記端末の前記端末管理処理部は、受信した前記認証情報と、前記第2の認証情報要求を前記IDデバイスに送信し、
前記IDデバイスは、
前記認証情報が正当なものであれば、前記IDと、前記第2の認証情報要求に対応する前記第2の認証情報を前記端末に送信し、
前記端末は、
前記IDデバイスと通信を行うための通信インターフェースと、
前記通信インターフェースを介して前記IDデバイスから前記IDと前記第2の認証情報を取得して前記端末管理サーバへ送信する認証要求部と、を具備し、
前記端末管理サーバは、
前記利用者に固有の情報を予め登録する端末情報登録部と、
前記端末から受信した認証要求に含まれる前記IDと前記第2の認証情報を、前記予め設定した利用者に固有の情報と比較して認証を行う認証部とを含み、
前記端末管理サーバ処理部は、前記認証の結果、前記利用者は正当であると判定された場合、前記予め登録された利用者に固有の情報を前記端末に送信し、
前記端末は、
前記利用者に固有の情報に応じて前記利用者から認証情報を取得した場合は、前記IDデバイスに送信し、
前記IDデバイスは、
前記利用者から取得した認証情報に基づいて第3の認証情報を前記端末に送信することを特徴とする端末システム。 - 請求項1に記載の端末システムにおいて、
前記利用者に固有の情報を予め登録する端末情報登録部は、
前記利用者毎に実行するアプリケーションを予め登録し、
前記端末は、
前記端末管理サーバから受信した前記利用者に固有の情報から前記アプリケーションを取得し、当該アプリケーションを実行することで当該端末の真正性を保証することを特徴とする端末システム。 - 請求項1に記載の端末システムにおいて、
前記端末は、
前記メモリの状態を調査した結果に、当該調査を実施した時刻情報を含み、
前記調査した結果に含まれる時刻情報と、現在時刻の差が所定値を超えたとき時には当該調査結果を破棄することを特徴とする端末システム。 - 請求項1に記載の端末システムにおいて、
前記IDデバイスが前記認証情報の正当性が検証できない場合は、前記IDデバイスに設けた画面上に前記認証情報の正当性が検証できないことを表示し、又は、前記IDデバイスに設けた出力部から所定の音楽あるいは警告音を出力することを特徴とする端末システム。 - 請求項1に記載の端末システムにおいて、
前記利用者に固有の情報を予め登録する端末情報登録部は、
前記利用者が前記端末を利用する直前に使用していたアプリケーションを前記利用者に固有の情報として格納し、
前記端末は、
前記端末管理サーバから受信した前記利用者に固有の情報から前記アプリケーションを取得し、当該アプリケーションを実行し、当該アプリケーションを前記利用者へ継続的に提供することを特徴とする端末システム。 - 請求項1に記載の端末システムにおいて、
前記端末にサービスを提供するサービス提供サーバをさらに有し、
前記端末は、
前記端末管理サーバから取得した前記真正性検証結果を記憶する真正性検証結果記憶部を有し、サービスの要求とともに、前記真正性検証結果を前記サービス提供サーバに送信し、
前記端末管理サーバは、
前記第3の認証情報と、前記真正性検証結果とともに前記サービスの要求を前記サービス提供サーバに送信し、
前記サービス提供サーバは、
前記第3の認証情報と、前記真正性検証結果を受け付けて、前記サービスの要求に対するサービスの提供を開始することを特徴とする端末システム。 - プロセッサとメモリを具備してネットワークに接続される端末において、
前記端末は、
当該端末における真正性の調査を実行し、真正性調査結果を端末管理サーバに送信する端末管理処理部を備え、
利用者に関連付けられたID及び認証情報を格納したIDデバイスのデバイス管理部が、前記端末にチャレンジレスポンスによる認証要求を送信し、
前記端末の前記端末管理処理部は、前記認証要求を前記端末管理サーバに送信し、
前記端末管理サーバの端末管理サーバ処理部が、前記認証要求に基づいて真正性検証結果が予め定められたポリシーに合致していれば認証情報の生成と、第2の認証情報要求の作成を行い、
前記認証情報と、前記第2の認証情報要求を前記端末に送信し、
前記端末管理サーバの端末管理サーバ処理部が、前記利用者に固有の情報を前記端末に送信し、
前記端末管理サーバから受信した前記利用者に固有の情報を表示する表示部とを備え、当該固有の情報を利用者に確認させて当該端末の真正性を保証し、
前記端末管理処理部は、
受信した前記認証情報と、前記第2の認証情報要求を前記IDデバイスに送信し、
前記IDデバイスは前記認証情報が正当なものであれば、前記IDと、前記第2の認証情報要求に対応する前記第2の認証情報を前記端末に送信し、
前記IDデバイスと通信を行うための通信インターフェースと、
前記通信インターフェースを介して前記IDデバイスから前記IDと前記第2の認証情報を取得して前記ネットワークへ認証要求として送信する認証要求部と、を具備し、
前記端末管理処理部は、前記IDと前記第2の認証情報を含む認証要求を端末管理サーバに送信し、前記端末管理サーバから取得した利用者に固有の情報に応じて認証を実行し、更に前記利用者から認証情報を取得した場合は、前記IDデバイスに送信することを特徴とする端末。 - プロセッサとメモリを具備し、ネットワークに接続されて前記ネットワークに接続された端末を管理する端末管理サーバにおいて、
前記端末の端末管理処理部が、当該端末における真正性の調査を実行し、真正性調査結果を前記端末管理サーバに送信し、
前記真正性調査結果が正当であると判断された場合、真正性検証結果を前記端末に送信し、
利用者に関連付けられたID及び認証情報を格納したIDデバイスのデバイス管理部が、前記端末にチャレンジレスポンスによる認証要求を送信し、前記端末の前記端末管理処理部が、前記認証要求を前記端末管理サーバに送信し、
前記認証要求に基づいて前記真正性検証結果が予め定められたポリシーに合致していれば認証情報の生成と、第2の認証情報要求の作成を行い、
前記認証情報と、前記第2の認証情報要求を前記端末に送信する端末管理サーバ処理部と、
前記IDデバイスは前記認証情報が正当なものであれば、前記IDと、前記第2の認証情報要求に対応する前記第2の認証情報を前記端末に送信し、
前記利用者に固有の情報を予め登録する端末情報登録部と、
前記端末から受信した前記第2の認証要求に含まれるIDと前記第2の認証情報を、前記予め設定した利用者に固有の情報と比較して認証を行う認証部と、を備え、
端末管理サーバ処理部は、前記認証の結果、前記利用者は正当であると判定された場合、前記予め登録された利用者に固有の情報を前記端末に送信することを特徴とする端末管理サーバ。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009068595A JP5320561B2 (ja) | 2009-03-19 | 2009-03-19 | 真正性を保証する端末システム、端末及び端末管理サーバ |
| US12/709,241 US8413214B2 (en) | 2009-03-19 | 2010-02-19 | Terminal system for guaranteeing authenticity, terminal, and terminal management server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009068595A JP5320561B2 (ja) | 2009-03-19 | 2009-03-19 | 真正性を保証する端末システム、端末及び端末管理サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010224022A JP2010224022A (ja) | 2010-10-07 |
| JP5320561B2 true JP5320561B2 (ja) | 2013-10-23 |
Family
ID=42982002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009068595A Expired - Fee Related JP5320561B2 (ja) | 2009-03-19 | 2009-03-19 | 真正性を保証する端末システム、端末及び端末管理サーバ |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8413214B2 (ja) |
| JP (1) | JP5320561B2 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5386458B2 (ja) * | 2010-09-30 | 2014-01-15 | ヤフー株式会社 | 認証システム、認証データ生成装置及び認証方法 |
| JP5633308B2 (ja) * | 2010-10-29 | 2014-12-03 | ソニー株式会社 | サービス提供システムとサービス提供方法および携帯通信端末とサーバ |
| US9026813B2 (en) | 2010-11-22 | 2015-05-05 | Qualcomm Incorporated | Establishing a power charging association on a powerline network |
| US9003492B2 (en) * | 2011-06-21 | 2015-04-07 | Qualcomm Incorporated | Secure client authentication and service authorization in a shared communication network |
| US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
| US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
| US9021278B2 (en) | 2011-08-10 | 2015-04-28 | Qualcomm Incorporated | Network association of communication devices based on attenuation information |
| EP2810226B1 (en) * | 2012-02-01 | 2018-08-29 | Amazon Technologies, Inc. | Account management for multiple network sites |
| US8863250B2 (en) | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
| JP5617855B2 (ja) * | 2012-02-21 | 2014-11-05 | 日本電気株式会社 | 情報処理装置、情報処理方法および情報処理用プログラム |
| JP5964635B2 (ja) * | 2012-03-30 | 2016-08-03 | 東京エレクトロン株式会社 | 操作制限装置、操作制限方法及びコンピュータプログラム |
| US9378065B2 (en) | 2013-03-15 | 2016-06-28 | Advanced Elemental Technologies, Inc. | Purposeful computing |
| US9721086B2 (en) | 2013-03-15 | 2017-08-01 | Advanced Elemental Technologies, Inc. | Methods and systems for secure and reliable identity-based computing |
| JP6263437B2 (ja) * | 2014-05-07 | 2018-01-17 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| JP2015222552A (ja) * | 2014-05-23 | 2015-12-10 | 三菱電機ビルテクノサービス株式会社 | 認証システム、認証サーバ、装置及びプログラム |
| US9763088B2 (en) * | 2014-12-31 | 2017-09-12 | Ruckus Wireless, Inc. | Mesh network with personal pre-shared keys |
| US11120110B2 (en) * | 2015-01-26 | 2021-09-14 | Microsoft Technology Licensing, Llc. | Authenticating a user with a mobile apparatus |
| US11272361B2 (en) | 2015-03-30 | 2022-03-08 | Arris Enterprises Llc | Zero-touch onboarding in a network |
| CN104883686A (zh) * | 2015-05-28 | 2015-09-02 | 中国工商银行股份有限公司 | 一种用于移动终端的安全认证方法、装置、***及可穿戴设备 |
| US10135833B2 (en) * | 2015-05-29 | 2018-11-20 | Schlage Lock Company Llc | Credential driving an automatic lock update |
| JP5951094B1 (ja) * | 2015-09-07 | 2016-07-13 | ヤフー株式会社 | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム |
| JP6122924B2 (ja) | 2015-09-11 | 2017-04-26 | ヤフー株式会社 | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム |
| US10546302B2 (en) | 2016-06-30 | 2020-01-28 | Square, Inc. | Logical validation of devices against fraud and tampering |
| EP3479320B1 (en) * | 2016-06-30 | 2021-11-10 | Square, Inc. | Logical validation of devices against fraud and tampering |
| US10715536B2 (en) | 2017-12-29 | 2020-07-14 | Square, Inc. | Logical validation of devices against fraud and tampering |
| US11507958B1 (en) | 2018-09-26 | 2022-11-22 | Block, Inc. | Trust-based security for transaction payments |
| US11494762B1 (en) | 2018-09-26 | 2022-11-08 | Block, Inc. | Device driver for contactless payments |
| EP3734479B1 (en) * | 2019-05-02 | 2022-10-19 | ABB Schweiz AG | Access control apparatus and method for controlling configuration of automation apparatus |
| JP7322732B2 (ja) * | 2020-02-03 | 2023-08-08 | トヨタ自動車株式会社 | 認証システム |
| CN111835869B (zh) * | 2020-07-30 | 2023-06-16 | 上海茂声智能科技有限公司 | 一种集中管控终端内容的方法、***、设备以及存储介质 |
| JP2022050219A (ja) * | 2020-09-17 | 2022-03-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1026641B1 (en) * | 1999-02-01 | 2013-04-24 | International Business Machines Corporation | Method and system for establishing a trustworthy connection between a user and a terminal |
| JP2001273388A (ja) * | 2000-01-20 | 2001-10-05 | Hitachi Ltd | セキュリティ管理システムおよび方法 |
| US20020138635A1 (en) * | 2001-03-26 | 2002-09-26 | Nec Usa, Inc. | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations |
| JP2002312316A (ja) | 2001-04-13 | 2002-10-25 | Sumisho Computer Systems Corp | 不正アクセス防止装置および方法、不正アクセス防止用プログラム、記録媒体 |
| CN1572099A (zh) * | 2001-10-19 | 2005-01-26 | 松下电器产业株式会社 | 设备鉴别***和设备鉴别方法 |
| FR2849230B1 (fr) * | 2002-12-24 | 2005-04-22 | Francois Bangui | Procede et dispositif de verification de l'integrite d'une application logicielle sans cle de chiffrement/dechiffrement |
| JP2005094619A (ja) * | 2003-09-19 | 2005-04-07 | Kyocera Communication Systems Co Ltd | 端末状態認証システムおよびその方法 |
| JP2005167527A (ja) * | 2003-12-02 | 2005-06-23 | Hitachi Ltd | 証明書管理システムおよびその方法 |
| JP3918827B2 (ja) * | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
| US7962742B2 (en) * | 2006-02-22 | 2011-06-14 | Henry Samuel Schwarz | Internet secure terminal for personal computers |
| US7818264B2 (en) * | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
| JP4127315B2 (ja) * | 2006-05-24 | 2008-07-30 | 株式会社日立製作所 | デバイス管理システム |
| JP2008022526A (ja) * | 2006-06-13 | 2008-01-31 | Hitachi Ltd | 属性証明書検証方法、属性認証局装置、サービス提供装置、および属性証明書検証システム |
| JP4950573B2 (ja) * | 2006-06-28 | 2012-06-13 | 株式会社東芝 | 認証システムおよび認証方法 |
| JP2008098792A (ja) * | 2006-10-10 | 2008-04-24 | Hitachi Ltd | コンピュータシステムとの暗号化通信方法及びシステム |
| US7950045B2 (en) * | 2006-12-13 | 2011-05-24 | Cellco Partnership | Techniques for managing security in next generation communication networks |
| US8056120B2 (en) * | 2007-06-11 | 2011-11-08 | Ricoh Company, Limited | Authentication apparatus, authentication method, and computer program product |
| KR100915589B1 (ko) * | 2007-07-12 | 2009-09-07 | 엔에이치엔비즈니스플랫폼 주식회사 | 보안 인증 시스템 및 방법 |
| JP5309496B2 (ja) * | 2007-08-09 | 2013-10-09 | 日本電気株式会社 | 認証システムおよび認証方法 |
-
2009
- 2009-03-19 JP JP2009068595A patent/JP5320561B2/ja not_active Expired - Fee Related
-
2010
- 2010-02-19 US US12/709,241 patent/US8413214B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US8413214B2 (en) | 2013-04-02 |
| JP2010224022A (ja) | 2010-10-07 |
| US20100269153A1 (en) | 2010-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5320561B2 (ja) | 真正性を保証する端末システム、端末及び端末管理サーバ | |
| US20180295121A1 (en) | Secure element authentication | |
| US10397008B2 (en) | Management of secret data items used for server authentication | |
| US20120284506A1 (en) | Methods and apparatus for preventing crimeware attacks | |
| US11861042B2 (en) | Individual data unit and methods and systems for enhancing the security of user data | |
| JP2005196776A (ja) | 通信端末と通信機器との間の安全なデータ通信方法及びそのシステム | |
| WO2008030184A1 (en) | Improved authentication system | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| WO2006073008A1 (ja) | ネットワークカメラへのログイン認証システム | |
| US11451933B2 (en) | Identification verification and authentication system | |
| JP5538132B2 (ja) | 真正性を保証する端末システム、端末及び端末管理サーバ | |
| CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
| JP3889030B1 (ja) | 認証システム、認証プログラム及び認証方法 | |
| JP2006244095A (ja) | 個人情報の漏洩を回避した個人認証システム | |
| JP2002157226A (ja) | パスワード集中管理システム | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| JP5550175B2 (ja) | サーバ装置、情報処理システム及び情報処理方法 | |
| CN117751551A (zh) | 用于安全互联网通信的***和方法 | |
| WO2007030517A2 (en) | Systems and methods for third-party authentication | |
| JP2007058742A (ja) | 在宅オペレータ認証プログラム及び在宅オペレータ認証端末プログラム | |
| JP5660454B2 (ja) | プライバシを保障した機器間接続方法 | |
| JP5663505B2 (ja) | 端末利用管理システム、サーバ、端末利用管理方法 | |
| JP5495333B2 (ja) | 認証装置、認証システム、認証方法、およびプログラム | |
| WO2012166669A2 (en) | Methods and apparatus for preventing crimeware attacks | |
| JP2004151977A (ja) | 生体認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120309 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130409 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130618 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130619 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |