JP5448205B2 - Peripheral device, access authentication server, access authentication method - Google Patents

Peripheral device, access authentication server, access authentication method Download PDF

Info

Publication number
JP5448205B2
JP5448205B2 JP2011156947A JP2011156947A JP5448205B2 JP 5448205 B2 JP5448205 B2 JP 5448205B2 JP 2011156947 A JP2011156947 A JP 2011156947A JP 2011156947 A JP2011156947 A JP 2011156947A JP 5448205 B2 JP5448205 B2 JP 5448205B2
Authority
JP
Japan
Prior art keywords
authentication
peripheral device
information
unit
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011156947A
Other languages
Japanese (ja)
Other versions
JP2013025391A (en
Inventor
達朗 細川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Computertechno Ltd
Original Assignee
NEC Computertechno Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Computertechno Ltd filed Critical NEC Computertechno Ltd
Priority to JP2011156947A priority Critical patent/JP5448205B2/en
Publication of JP2013025391A publication Critical patent/JP2013025391A/en
Application granted granted Critical
Publication of JP5448205B2 publication Critical patent/JP5448205B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ホスト端末に接続される周辺装置及び当該周辺装置に対する認証処理を行うアクセス認証サーバ並びにアクセス認証方法に関する。   The present invention relates to a peripheral device connected to a host terminal, an access authentication server that performs authentication processing on the peripheral device, and an access authentication method.

近年、コンピュータ周辺機器の小型化及び利便性の進歩に伴って、このような機器を異なるコンピュータに接続して使用するといった機会が増加している。しかしながら、このような使用はセキュリティの観点からは問題となることも多い。   In recent years, with the progress of miniaturization and convenience of computer peripheral devices, the opportunity to use such devices connected to different computers has increased. However, such use is often a problem from a security perspective.

特に、コンピュータ周辺機器の一つであるUSB(Universal Serial Bus)メモリなどの携帯型記憶媒体には、機密性の高い情報が記憶されていることも多く、ユーザ又はコンピュータを問わず使用可能とすることは情報漏洩等のセキュリティリスクを伴う。そこで、このようなリスクを軽減するため、一般的には、パスワードによるアクセス認証を行う機能をソフトウェア的に有するコンピュータ周辺機器を導入したり、ホスト端末にインストールしたセキュリティソフトと連携してアクセス管理を行ったりするといった対策が講じられている。   In particular, portable storage media such as USB (Universal Serial Bus) memory, which is one of computer peripheral devices, often store highly confidential information and can be used regardless of whether it is a user or a computer. This involves security risks such as information leakage. Therefore, in order to reduce such risks, in general, computer peripherals that have a password access authentication function are introduced as software, or access management is performed in cooperation with security software installed on the host terminal. Measures such as going are taken.

また、セキュリティ機能の強化や利便性の向上のためにアクセス認証に関する様々な技術が開発されている。   Various technologies related to access authentication have been developed to enhance security functions and improve convenience.

例えば、特許文献1には、情報処理端末に接続された携帯型記憶装置の使用を許可するかどうかの認証を行う認証サーバを有する情報処理システムが開示されている。当該システムによれば、認証サーバが携帯型記憶装置の認証処理、暗号化情報に対するアクセス管理、個人情報ファイルの管理をそれぞれ行うため、自分専用にカスタマイズした各種ツールを携帯型記憶装置に記憶し、異なる情報処理端末上で安全に実行することが可能となる。   For example, Patent Document 1 discloses an information processing system including an authentication server that performs authentication as to whether or not use of a portable storage device connected to an information processing terminal is permitted. According to the system, since the authentication server performs authentication processing of the portable storage device, management of access to encrypted information, and management of personal information files, various tools customized for personal use are stored in the portable storage device, It can be executed safely on different information processing terminals.

また、特許文献2には、無線通信機能を有する携帯型記憶装置が開示されている。当該携帯型記憶装置が情報処理装置に接続されると、これらの装置間で第1のアクセス認証を行い、アクセス許可された場合に、携帯型記憶装置は他の無線装置より受信した信号に基づいて使用可能かどうかを判定する。当該構成によれば、携帯型記憶装置の使用エリアを限定することができるため、携帯型記憶装置が盗難された場合などにおいても情報漏洩が発生することを防ぐことが可能となる。   Patent Document 2 discloses a portable storage device having a wireless communication function. When the portable storage device is connected to the information processing device, the first access authentication is performed between these devices, and when access is permitted, the portable storage device is based on a signal received from another wireless device. To determine whether it can be used. According to this configuration, since the use area of the portable storage device can be limited, it is possible to prevent information leakage even when the portable storage device is stolen.

また、特許文献3には、無線通信機能を有する一対の記録媒体を用いて、データの受渡しを行う技術が開示されている。当該技術によれば、記憶媒体に記憶されているデータをセキュアにかつ容易に受け渡すことが可能となる。   Patent Document 3 discloses a technique for transferring data using a pair of recording media having a wireless communication function. According to this technology, data stored in a storage medium can be transferred securely and easily.

特開2007−233563号公報JP 2007-233563 A 特開2008−269036号公報JP 2008-269036 A 特開2009−70298号公報JP 2009-70298 A

一般的に、認証処理に要求する情報を増やせば増やすほどセキュリティは向上する。しかしながら、周辺装置を使用するユーザに対して過度に認証情報の入力等を要求することは、周辺装置の利便性を損なうことになる。   Generally, security increases as the information required for authentication processing increases. However, if the user who uses the peripheral device is excessively requested to input authentication information, the convenience of the peripheral device is impaired.

上記特許文献における認証処理では予め認証処理に必要とする情報が決められており、通常の時間帯にオフィス内で使用する場合など、それほど高いセキュリティレベルが要求されない状況であっても、周辺装置の使用許可認証に毎回多くの情報が必要となる。上記特許文献では、どのようなセキュリティポリシーで認証処理を行うかについて予め固定されており、従って、周辺装置を利用する上での利便性に欠ける場合が生じていた。   In the authentication process in the above-mentioned patent document, information necessary for the authentication process is determined in advance, and even when the security level is not so high, such as when used in an office in a normal time zone, the peripheral device A lot of information is required for each use authorization authentication. In the above-mentioned patent document, what security policy is used for authentication processing is fixed in advance, and therefore, there is a case where the convenience in using the peripheral device is lacking.

本発明は、上記課題を鑑み、周辺装置の使用環境が変化する場合において柔軟にセキュリティレベルを変更できるアクセス認証サーバ、アクセス認証方法及び利便性を向上させた周辺装置を提供することを目的とする。   In view of the above problems, an object of the present invention is to provide an access authentication server, an access authentication method, and a peripheral device with improved convenience that can flexibly change the security level when the usage environment of the peripheral device changes. .

本発明の第1の態様である周辺装置は、自装置に接続されたホスト端末とデータ通信を行うデータ通信手段と、自装置の使用を許可するかどうかの認証処理に必要とする情報の収集指示を受信する第1受信処理と、前記認証処理の結果を受信する第2受信処理と、を行う受信手段と、前記第1受信処理で受信した収集指示に基づいて、前記認証処理で用いられる認証情報を収集する認証情報収集手段と、自装置の使用許可を要求する使用許可要求を送信する第1送信処理と、前記認証情報収集手段で収集された前記認証情報を送信する第2送信処理と、を行う送信手段と、前記第2受信処理で受信した前記認証処理の結果に基づいて前記ホスト端末から自装置へのアクセスの許可又は拒否を制御する制御手段と、を備える。   The peripheral device according to the first aspect of the present invention includes a data communication means for performing data communication with a host terminal connected to the own device, and collection of information necessary for authentication processing as to whether or not the use of the own device is permitted. Used in the authentication process based on a receiving means for performing a first reception process for receiving an instruction and a second reception process for receiving a result of the authentication process, and a collection instruction received in the first reception process Authentication information collecting means for collecting authentication information, first transmission processing for transmitting a use permission request for requesting use permission of the own device, and second transmission processing for transmitting the authentication information collected by the authentication information collecting means And a control means for controlling permission or denial of access from the host terminal to the own apparatus based on the result of the authentication process received in the second reception process.

また、本発明の第2の態様であるアクセス認証サーバは、ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を受信する第1受信処理と、前記周辺装置の使用を許可するかどうかの認証処理に用いる認証情報を受信する第2受信処理と、を行う受信手段と、前記第1受信処理で受信した使用許可要求に基づいて前記認証処理に必要とする情報の収集を指示する収集指示を生成する生成手段と、前記第2受信処理で受信した前記認証情報を用いて前記認証処理を行う認証処理手段と、前記生成した収集指示を送信する第1送信処理と、前記認証処理の結果を送信する第2送信処理と、を行う送信手段と、を備える。   The access authentication server according to the second aspect of the present invention permits a first reception process for receiving a use permission request for requesting permission to use a peripheral device connected to a host terminal, and permits the use of the peripheral device. A second receiving process for receiving authentication information for use in the authentication process, and an instruction to collect information required for the authentication process based on the use permission request received in the first receiving process Generating means for generating a collection instruction, authentication processing means for performing the authentication process using the authentication information received in the second reception process, a first transmission process for transmitting the generated collection instruction, and the authentication And a second transmission process for transmitting the result of the process.

また、本発明の第3の態様であるアクセス認証方法は、ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を受信し、前記受信した使用許可要求に基づいて前記周辺装置の使用を許可するかどうかの認証処理に必要とする情報の収集を指示する収集指示を生成し、前記生成した収集指示を送信し、前記認証処理に用いられる認証情報を受信し、前記受信した認証情報を用いて前記周辺装置の使用を許可するかどうかの認証処理を行い、前記認証処理の結果を送信する。   In addition, the access authentication method according to the third aspect of the present invention receives a use permission request for requesting permission for use of a peripheral device connected to a host terminal, and based on the received use permission request, Generating a collection instruction for instructing collection of information necessary for authentication processing whether to permit use, transmitting the generated collection instruction, receiving authentication information used for the authentication process, and receiving the received authentication Information is used to perform authentication processing as to whether or not to permit the use of the peripheral device, and the result of the authentication processing is transmitted.

本発明によれば、周辺装置の使用環境が変化する場合において柔軟にセキュリティレベルを変更できるアクセス認証サーバ、アクセス認証方法及び利便性を向上させた周辺装置を提供することができる。   According to the present invention, it is possible to provide an access authentication server, an access authentication method, and a peripheral device with improved convenience that can flexibly change the security level when the use environment of the peripheral device changes.

実施の形態1に係るセキュリティ管理システム全体を示すブロック図である。1 is a block diagram illustrating an entire security management system according to a first embodiment. 実施の形態1に係る認証処理全体の流れを示すシーケンス図である。FIG. 6 is a sequence diagram showing the overall flow of authentication processing according to the first embodiment. 実施の形態2に係るセキュリティ管理システムの全体を示す概念図である。It is a conceptual diagram which shows the whole security management system which concerns on Embodiment 2. FIG. 実施の形態2に係る周辺装置を説明する図である。6 is a diagram for explaining a peripheral device according to Embodiment 2. FIG. 実施の形態2に係るセキュリティ管理システム全体を示すブロック図である。It is a block diagram which shows the whole security management system which concerns on Embodiment 2. FIG. 実施の形態2に係る第1管理テーブルを示す図である。It is a figure which shows the 1st management table which concerns on Embodiment 2. FIG. 実施の形態2に係る第2管理テーブルを示す図である。It is a figure which shows the 2nd management table which concerns on Embodiment 2. FIG. 実施の形態2に係る情報収集指示を示す図である。FIG. 10 is a diagram showing an information collection instruction according to the second embodiment. 実施の形態2に係る認証処理全体の流れを示すシーケンス図である。FIG. 10 is a sequence diagram illustrating a flow of the entire authentication process according to the second embodiment. 本発明に係る収集指示の生成アルゴリズムの一例を示すフローチャート図である。It is a flowchart figure which shows an example of the production | generation algorithm of the collection instruction | indication concerning this invention. 本発明に係る周辺装置のブロック図である。It is a block diagram of a peripheral device according to the present invention.

(実施の形態1)
以下、図面を参照して本発明の実施の形態について説明する。図1は、本実施の形態1に係るセキュリティ管理システムの全体構成を示すブロック図である。 (Embodiment 1)
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing the overall configuration of the security management system according to the first embodiment.

セキュリティ管理システムは、周辺装置100と、ホスト端末200と、セキュリティ管理サーバ300と、を含んで構成される。周辺装置100は、ホスト端末に接続されてデータ通信を行う装置であり、ホスト端末がPC(Personal Computer)である場合は、所謂PC周辺機器である。また、ホスト端末200は周辺装置が接続されてデータ通信を行う端末であり例えばPCなどである。また、セキュリティ管理サーバは後述する認証処理を行うため、以下、必要に応じてアクセス認証サーバと呼ぶことがある。また、セキュリティ管理システムもアクセス認証システムと呼ぶことがある。以下、各装置について詳細に説明する。   The security management system includes a peripheral device 100, a host terminal 200, and a security management server 300. The peripheral device 100 is a device that is connected to a host terminal and performs data communication. When the host terminal is a PC (Personal Computer), the peripheral device 100 is a so-called PC peripheral device. The host terminal 200 is a terminal that performs data communication with a peripheral device connected thereto, and is, for example, a PC. Further, since the security management server performs an authentication process to be described later, hereinafter, it may be referred to as an access authentication server as necessary. A security management system may also be called an access authentication system. Hereinafter, each device will be described in detail.

まず、周辺装置100の構成について説明する。周辺装置100は、データ通信部110と、通信制御部120と、ID記憶部130と、を備える。   First, the configuration of the peripheral device 100 will be described. The peripheral device 100 includes a data communication unit 110, a communication control unit 120, and an ID storage unit 130.

データ通信部110は、接続されたホスト端末200との間で通信制御部120が行う通信制御の下でデータ通信を行う。   The data communication unit 110 performs data communication with the connected host terminal 200 under communication control performed by the communication control unit 120.

通信制御部120は、データ通信部110が行うデータ通信を制御する。通信制御部120はホスト端末側から個体IDの読み出し要求を受け取ると、ID記憶部130に記憶されている個体IDを読み出して、データ通信部110へ送る。データ通信部110は、当該個体IDをホスト端末200へ送信する。   The communication control unit 120 controls data communication performed by the data communication unit 110. When the communication control unit 120 receives a request for reading the individual ID from the host terminal side, the communication control unit 120 reads the individual ID stored in the ID storage unit 130 and sends it to the data communication unit 110. The data communication unit 110 transmits the individual ID to the host terminal 200.

通信制御部120は、後述する認証処理が成功するまでは、ホスト端末200から送られてくるその他のアクセス要求を受け付けない。一方、通信制御部120は認証処理が成功したことを示す情報を受け取った場合は、ホスト端末200と自装置間のデータ通信を許可する。   The communication control unit 120 does not accept other access requests sent from the host terminal 200 until an authentication process described later is successful. On the other hand, when the communication control unit 120 receives information indicating that the authentication process is successful, the communication control unit 120 permits data communication between the host terminal 200 and the own device.

ID記憶部130は、自装置を識別する自装置固有の識別子(個体ID)を記憶している。   The ID storage unit 130 stores an identifier (individual ID) unique to the own device for identifying the own device.

次に、ホスト端末200の構成について説明する。ホスト端末200は、データ通信部210と、通信制御部220と、受信部230と、認証情報収集部240と、送信部250と、を備える。   Next, the configuration of the host terminal 200 will be described. The host terminal 200 includes a data communication unit 210, a communication control unit 220, a reception unit 230, an authentication information collection unit 240, and a transmission unit 250.

データ通信部210は、自端末に接続される周辺装置と通信制御部220が行う通信制御の下でデータ通信を行う。   The data communication unit 210 performs data communication with a peripheral device connected to its own terminal under communication control performed by the communication control unit 220.

通信制御部220は、データ通信部210が行うデータ通信を制御する。また、通信制御部220は、自端末に接続された周辺装置を識別する識別子を取得する制御を行う。具体的には、通信制御部220は、自端末に周辺装置が接続された場合に、当該周辺装置の個体IDを読み出し要求を、データ通信部210を介して周辺装置側に送る。通信制御部220は、当該周辺装置から返送された個体IDを、データ通信部210を介して受け取る。通信制御部220は、受け取った個体IDを送信部250に送る。   The communication control unit 220 controls data communication performed by the data communication unit 210. Further, the communication control unit 220 performs control to acquire an identifier for identifying a peripheral device connected to the terminal. Specifically, when a peripheral device is connected to the own terminal, the communication control unit 220 sends a request for reading the individual ID of the peripheral device to the peripheral device side via the data communication unit 210. The communication control unit 220 receives the individual ID returned from the peripheral device via the data communication unit 210. The communication control unit 220 sends the received individual ID to the transmission unit 250.

受信部230は、認証処理に必要とする情報の収集指示をセキュリティ管理サーバ300より受信する。受信部230が受信する当該収集指示は、セキュリティ管理サーバ300で行われる認証判断用に収集すべき情報を通知するものである。当該収集指示には、認証処理に必要とする情報の種類を指定する情報が含まれる。   The receiving unit 230 receives an instruction to collect information necessary for the authentication process from the security management server 300. The collection instruction received by the receiving unit 230 notifies information to be collected for authentication judgment performed by the security management server 300. The collection instruction includes information specifying the type of information required for the authentication process.

受信部230は、受信した当該収集指示を認証情報収集部240に送る。また、受信部230は、セキュリティ管理サーバ300より認証処理の結果を受け取る。受信部230は、当該認証処理の結果を通信制御部220に送る。通信制御部220は、当該認証処理の結果が、アクセス認証が成功したことを示す内容、すなわち周辺装置の使用を許可する内容であった場合は、データ通信部210を介して当該情報を周辺装置100に送信する。   The receiving unit 230 sends the received collection instruction to the authentication information collecting unit 240. The receiving unit 230 receives the authentication processing result from the security management server 300. The receiving unit 230 sends the authentication processing result to the communication control unit 220. If the result of the authentication process is a content indicating that the access authentication is successful, that is, the content permitting the use of the peripheral device, the communication control unit 220 sends the information to the peripheral device via the data communication unit 210. To 100.

認証情報収集部240は、受信部230より受け取った収集指示に基づいてセキュリティ管理サーバ300で行われる認証処理に用いられる認証情報を収集する。この時、認証情報収集部240は、収集指示で指定されている種類の情報を認証情報として収集する。   The authentication information collection unit 240 collects authentication information used for authentication processing performed by the security management server 300 based on the collection instruction received from the reception unit 230. At this time, the authentication information collection unit 240 collects information of the type specified in the collection instruction as authentication information.

例えば、認証処理に必要とする情報の種類として第1パスワード及び自端末のOS(Operating System)の情報が収集指示内で指定されている場合は、認証情報収集部240は、これらの情報を収集する。第1パスワード等の情報は、図示せぬ表示部でパスワード入力用のダイアログを表示させ、ユーザからキーボード等を介してパスワードを入力させることで収集する。また、OS等の情報は、図示せぬ記憶部に記憶されている当該情報の場所にアクセスして収集する。認証情報収集部240は、収集したこれらの情報を認証情報として送信部250に送る。これら収集された認証情報は後述するセキュリティ管理サーバにおける認証処理で用いられる情報である。   For example, when the first password and the OS (Operating System) information of the own terminal are specified in the collection instruction as the types of information required for the authentication process, the authentication information collection unit 240 collects these pieces of information. To do. The information such as the first password is collected by displaying a password input dialog on a display unit (not shown) and allowing the user to input the password via a keyboard or the like. Information such as the OS is collected by accessing the location of the information stored in a storage unit (not shown). The authentication information collection unit 240 sends the collected information to the transmission unit 250 as authentication information. The collected authentication information is information used in authentication processing in the security management server described later.

送信部250は、通信制御部220より受け取った周辺装置の個体IDを含めて使用許可要求を生成し、セキュリティ管理サーバ300に送信する。ここで、使用許可要求とは、当該個体IDで識別される周辺装置の使用許可をセキュリティ管理サーバ300に対して要求するものであり、認証処理に必要とする情報の収集指示を要求するものである。なお、使用許可要求は、認証処理を行うセキュリティ管理サーバ300に対して自端末に接続された周辺装置へのアクセス許可を要求するものでもあるため、アクセス認証要求と呼ぶこともある。また、送信部250は、認証情報収集部240で収集された認証情報を、セキュリティ管理サーバ300に送信する。   The transmission unit 250 generates a use permission request including the individual ID of the peripheral device received from the communication control unit 220 and transmits it to the security management server 300. Here, the use permission request is a request to the security management server 300 for permission to use the peripheral device identified by the individual ID, and a request to collect information necessary for authentication processing. is there. Note that the use permission request is also a request for permitting access to the peripheral device connected to the own terminal to the security management server 300 that performs the authentication process, and is therefore sometimes referred to as an access authentication request. In addition, the transmission unit 250 transmits the authentication information collected by the authentication information collection unit 240 to the security management server 300.

次に、セキュリティ管理サーバ300の構成について説明する。セキュリティ管理サーバ300は、受信部310と、収集指示生成部320と、認証処理部330と、送信部340と、を備える。   Next, the configuration of the security management server 300 will be described. The security management server 300 includes a reception unit 310, a collection instruction generation unit 320, an authentication processing unit 330, and a transmission unit 340.

受信部310は、上記使用許可要求を受信する。受信部310は、受信した使用許可要求を収集指示生成部320に送る。また、受信部310は、上記認証情報を受信する。受信部310は、受信した認証情報を認証処理部330に送る。   The receiving unit 310 receives the use permission request. The receiving unit 310 sends the received use permission request to the collection instruction generating unit 320. The receiving unit 310 receives the authentication information. The receiving unit 310 sends the received authentication information to the authentication processing unit 330.

収集指示生成部320は、受信部310より受け取った使用許可要求に基づいて、認証処理に必要とする情報の収集を指示する収集指示を生成する。具体的には、収集指示生成部320は、認証処理用に登録されている複数の種類の情報の中から、受信した使用許可要求に基づいて認証処理に必要とする情報の種類を選択し、当該種類を指定する情報を含めて上記収集指示を生成する。   The collection instruction generation unit 320 generates a collection instruction for instructing collection of information necessary for the authentication process based on the use permission request received from the reception unit 310. Specifically, the collection instruction generation unit 320 selects a type of information required for the authentication process based on the received use permission request from a plurality of types of information registered for the authentication process, The collection instruction is generated including information specifying the type.

なお、収集指示生成部320が上記認証処理に必要とする情報の種類を決定するためのアルゴリズムは様々なアルゴリズムが可能である。例えば、使用許可要求に含まれる周辺装置の個体IDから当該周辺装置の種類(携帯型記憶装置、プリンタ、カードリーダ等)を特定し、装置の種類に基づいて認証処理に必要とする情報の種類を決定してもよい。また、収集指示生成部320は、別途設けられた現在時刻を算出する図示せぬ時刻算出部に問い合わせて使用許可要求を受信した時刻又は現在時刻を求め、認証処理に必要とする情報の種類を決定してもよい。例えば、当該周辺装置のユーザの仕事時間帯と異なる時間帯に使用許可要求が送られてきた場合は、正当なユーザではない者が周辺装置を不正に使用している可能性があるため、より多くの種類の情報を認証処理に必要とする情報として決定し、収集指示を生成しても良い。収集指示生成部320は、上記生成した収集指示を送信部340に送る。   Note that various algorithms are possible for the collection instruction generation unit 320 to determine the type of information required for the authentication process. For example, the type of information required for the authentication process based on the type of the peripheral device (portable storage device, printer, card reader, etc.) is identified from the individual ID of the peripheral device included in the use permission request. May be determined. In addition, the collection instruction generation unit 320 inquires a time calculation unit (not shown) that calculates a current time provided separately to obtain the time when the use permission request is received or the current time, and determines the type of information necessary for the authentication process. You may decide. For example, if a use permission request is sent in a time zone different from the work time zone of the user of the peripheral device, there is a possibility that a person who is not a valid user is illegally using the peripheral device. Many types of information may be determined as information necessary for the authentication process, and a collection instruction may be generated. The collection instruction generation unit 320 sends the generated collection instruction to the transmission unit 340.

認証処理部330は、受信部310より受け取った認証情報に基づいて当該周辺装置の使用を許可するかどうかの認証処理、換言すれば当該周辺装置へのアクセスを許可するかどうかの認証処理を行う。   The authentication processing unit 330 performs authentication processing as to whether or not to permit use of the peripheral device based on the authentication information received from the receiving unit 310, in other words, authentication processing as to whether or not access to the peripheral device is permitted. .

具体的には、認証処理部330は、図示せぬ記憶部又は外部のデータベースに予め登録されている当該周辺装置に対応付けられた認証情報を参照し、受信部310より受け取った認証情報と一致するかどうかの比較処理を行う。認証処理部330は、これらの情報が一致した場合は、当該周辺装置の使用を許可する。一方、認証処理部330は、これらの情報が一致しない場合は、当該周辺装置の使用を許可しない。認証処理部330は、当該認証処理の結果を送信部340に送る。   Specifically, the authentication processing unit 330 refers to authentication information associated with the peripheral device registered in advance in a storage unit (not shown) or an external database, and matches the authentication information received from the receiving unit 310. Compare whether or not. If these pieces of information match, the authentication processing unit 330 permits the use of the peripheral device. On the other hand, if these pieces of information do not match, the authentication processing unit 330 does not permit the use of the peripheral device. The authentication processing unit 330 sends the authentication processing result to the transmission unit 340.

送信部340は、収集指示生成部320より送られた収集指示をホスト端末200に送信する。また、送信部340は、認証処理部330より送られた認証処理の結果をホスト端末200に送信する。   The transmission unit 340 transmits the collection instruction sent from the collection instruction generation unit 320 to the host terminal 200. In addition, the transmission unit 340 transmits the authentication processing result sent from the authentication processing unit 330 to the host terminal 200.

次に本実施の形態1のセキュリティ管理システムの動作について説明する。図2は、セキュリティ管理システムにおける認証処理の流れを示すシーケンス図である。   Next, the operation of the security management system according to the first embodiment will be described. FIG. 2 is a sequence diagram showing the flow of authentication processing in the security management system.

第1に、ユーザにより周辺装置がホスト端末に接続された場合、ホスト端末は周辺装置が接続されたことを認識する(S101)。   First, when the peripheral device is connected to the host terminal by the user, the host terminal recognizes that the peripheral device is connected (S101).

ホスト端末は、周辺装置が接続されたことを認識すると当該周辺装置を識別する個体IDを取得する。具体的には、通信制御部220は周辺装置に個体ID読み出し要求を出す(S102)。周辺装置の通信制御部120は、当該個体ID読み出し要求を受けると、記憶部130に記憶している個体IDを読み出し、当該個体IDをホスト端末側の通信制御部220に通知する(S103)。   When recognizing that the peripheral device is connected, the host terminal acquires an individual ID for identifying the peripheral device. Specifically, the communication control unit 220 issues an individual ID read request to the peripheral device (S102). When receiving the individual ID read request, the communication control unit 120 of the peripheral device reads the individual ID stored in the storage unit 130, and notifies the communication control unit 220 on the host terminal side of the individual ID (S103).

通信制御部220が周辺装置より個体IDを受け取ると、送信部250に当該個体IDを渡し、送信部250は、当該個体IDを含む使用許可要求を生成する(S104)。送信部250は、当該生成した使用許可要求をセキュリティ管理サーバ300に送信する(S105)。   When the communication control unit 220 receives the individual ID from the peripheral device, it passes the individual ID to the transmission unit 250, and the transmission unit 250 generates a use permission request including the individual ID (S104). The transmission unit 250 transmits the generated use permission request to the security management server 300 (S105).

セキュリティ管理サーバ300の受信部310が当該使用許可要求を受信し、収集指示生成部320は、当該使用許可要求に基づいてアクセス認証処理に必要とする情報の種類を決定し、当該種類を指定する情報を含めて収集指示を生成する。(S106)。送信部340は、収集指示生成部で生成された収集指示を送信する(S107)。   The receiving unit 310 of the security management server 300 receives the use permission request, and the collection instruction generating unit 320 determines the type of information required for the access authentication process based on the use permission request, and designates the type. Generate collection instructions including information. (S106). The transmission unit 340 transmits the collection instruction generated by the collection instruction generation unit (S107).

認証情報収集部240は、受け取った収集指示に基づいて、当該収集指示で指定されている種類の情報を収集する(S108)。送信部250は、認証情報収集部240で収集された認証情報を、セキュリティ管理サーバ300に送信する(S109)。   Based on the received collection instruction, the authentication information collection unit 240 collects information of the type specified in the collection instruction (S108). The transmission unit 250 transmits the authentication information collected by the authentication information collection unit 240 to the security management server 300 (S109).

セキュリティ管理サーバ300は、受信部310で当該認証情報を受け、認証処理部330は、当該認証情報に基づいて認証処理を行う(S110)。送信部340は、認証処理部330における認証処理の結果をホスト端末に通知する(S111)。   The security management server 300 receives the authentication information at the receiving unit 310, and the authentication processing unit 330 performs an authentication process based on the authentication information (S110). The transmission unit 340 notifies the host terminal of the result of the authentication processing in the authentication processing unit 330 (S111).

ホスト端末の通信制御部220は、受信部230で受け取った上記認証処理の結果を周辺装置に通知する(S112)。周辺装置の通信制御部120は、受け取った認証処理の結果が、アクセス認証が成功したことを示している場合は、ホスト端末からの書き込み・読み込み要求といったアクセスを許可する(S113)。その後は、ホスト端末のデータ通信部210と周辺装置のデータ通信部110との間でデータ通信が行われる(S114)。   The communication control unit 220 of the host terminal notifies the peripheral device of the result of the authentication process received by the receiving unit 230 (S112). When the received authentication processing result indicates that the access authentication is successful, the communication control unit 120 of the peripheral device permits access such as a write / read request from the host terminal (S113). Thereafter, data communication is performed between the data communication unit 210 of the host terminal and the data communication unit 110 of the peripheral device (S114).

以上説明したように、本実施の形態1におけるセキュリティ管理システムは、セキュリティ管理サーバがホスト端末から周辺装置へのアクセスを許可するかどうかの認証処理を行う。そして、セキュリティ管理サーバは、第1に送られてきた使用許可要求に基づいて前記認証処理に必要とする情報の収集を指示する。このような構成としておくことで周辺装置の種類やその他の状況に応じて認証に要求するセキュリティレベルを変更することができる。   As described above, the security management system according to the first embodiment performs authentication processing as to whether or not the security management server permits access from the host terminal to the peripheral device. Then, the security management server instructs collection of information necessary for the authentication process based on the use permission request sent first. With this configuration, the security level required for authentication can be changed according to the type of peripheral device and other situations.

すなわち、一般的に、認証処理に必要とする情報の種類(項目)を増やせば増やすほどセキュリティレベルを向上させることができる一方で、多くのパスワード入力が要求されるなどユーザの利便性が低下する傾向がある。しかしながら、本実施の形態のセキュリティ管理システムでは、セキュリティ管理サーバが状況に応じて認証に必要とする情報の種類を決定して、これらの種類の情報収集を行わせることが可能であるためユーザの利便性を保ちつつ高いセキュリティレベルを維持することが可能となる。   That is, in general, as the number of types of information (items) required for the authentication process is increased, the security level can be improved, while the convenience of the user is reduced, for example, a large number of passwords are required. Tend. However, in the security management system of this embodiment, the security management server can determine the types of information required for authentication according to the situation, and collect these types of information. It is possible to maintain a high security level while maintaining convenience.

(実施の形態2)
本発明の実施の形態2に係るセキュリティ管理システムは、周辺装置がセキュリティ管理サーバと通信を行う通信機能を有することを特徴とする。 (Embodiment 2)
The security management system according to the second embodiment of the present invention is characterized in that the peripheral device has a communication function for communicating with the security management server.

実施の形態1のセキュリティ管理システムは、周辺装置がホスト端末に接続された場合にホスト端末がセキュリティ管理サーバにアクセスしてアクセス認証を求め、必要となる情報を収集する機能を有している。これらの機能等は一般的にセキュリティ管理ソフトウェアをホスト端末にインストールすることで実現される。   The security management system according to the first embodiment has a function of collecting necessary information by accessing the security management server when the peripheral device is connected to the host terminal, requesting access authentication. These functions and the like are generally realized by installing security management software on the host terminal.

実施の形態1のセキュリティ管理システムでは、対象とする周辺装置が接続されうるホスト端末数が多い場合は、これらのホスト端末すべてに上記セキュリティ管理ソフトウェアをインストールしておく必要がある。例えば、周辺装置がUSBメモリなど携帯型記憶装置である場合は、その装置の性質上接続されうるホスト端末数は非常に多くなることが想定され、これらのホスト端末全てに上記ソフトウェアをインストールしておくことは非常に労力を要する。また、オフラインのホスト端末では当該周辺装置を使用することができなくなり、また、使用の集中管理ができないため、さらなる労力が必要である。本実施の形態2のセキュリティ管理システムは、このような状況にも対応でき、周辺装置の利便性を向上させている。以下、図面を用いて詳細に説明する。   In the security management system of the first embodiment, when the number of host terminals to which target peripheral devices can be connected is large, it is necessary to install the security management software on all of these host terminals. For example, if the peripheral device is a portable storage device such as a USB memory, the number of host terminals that can be connected is assumed to be very large due to the nature of the device, and the software is installed on all of these host terminals. It is very laborious to set up. Further, since the peripheral device cannot be used in an offline host terminal, and the use cannot be centrally managed, further labor is required. The security management system of the second embodiment can cope with such a situation and improves the convenience of the peripheral device. Hereinafter, it explains in detail using a drawing.

図3は、本実施の形態2のセキュリティ管理システムの概念を示す図である。無線通信機能を有する周辺装置400が、パーソナルコンピュータ(PC)であるホスト端末500に接続されている。また、セキュリティ管理サーバ600は、複数の無線通信用のアクセスポイント701〜70nと接続されている。周辺装置400は、当該アクセスポイント701〜70nのいずれかと無線通信を行うことで、セキュリティ管理サーバ600と通信を行う。   FIG. 3 is a diagram showing the concept of the security management system according to the second embodiment. A peripheral device 400 having a wireless communication function is connected to a host terminal 500 which is a personal computer (PC). The security management server 600 is connected to a plurality of wireless communication access points 701 to 70n. The peripheral device 400 communicates with the security management server 600 by performing wireless communication with any of the access points 701 to 70n.

図4は、周辺装置400の具体例を示す図であり、ここではUSBメモリを想定している。なお、本実施の形態2においては、周辺装置400は具体的に携帯型記憶装置の一つであるUSBメモリであるとして説明するがこれに限定するものではない。周辺装置として、CD−ROMドライブやHDD、プリンタやスキャナなど、ベースとなるPC周辺機器に置き換えても良い。   FIG. 4 is a diagram illustrating a specific example of the peripheral device 400, and a USB memory is assumed here. In the second embodiment, the peripheral device 400 is specifically described as a USB memory which is one of portable storage devices, but the present invention is not limited to this. The peripheral device may be replaced with a base PC peripheral device such as a CD-ROM drive, HDD, printer or scanner.

図4において周辺装置(USBメモリ)400は、コネクタ401とコントローラIC402とフラッシュメモリチップ403と無線通信制御回路404と無線通信用アンテナ405を備える。コネクタ401とコントローラIC402は信号線406で、コントローラIC402とフラッシュメモリチップは信号線407で、コントローラIC402と無線通信制御回路404は信号線408でそれぞれ接続されており、互いにデジタル通信を行う。   In FIG. 4, a peripheral device (USB memory) 400 includes a connector 401, a controller IC 402, a flash memory chip 403, a wireless communication control circuit 404, and a wireless communication antenna 405. The connector 401 and the controller IC 402 are connected by a signal line 406, the controller IC 402 and the flash memory chip are connected by a signal line 407, and the controller IC 402 and the wireless communication control circuit 404 are connected by a signal line 408, and perform digital communication with each other.

コネクタ401は、ホスト端末(PC)との接続方式としてUSBインタフェースを想定しているが、USBインタフェースに限らずIEEE1394、SATAやSCSIなどPCとデータのやり取りが可能なあらゆる方式を適用してもよい。当該コネクタ401がホスト端末に設けられた接続ポートに接続されることでホスト端末との間でデータ通信が開始され、仕様に応じてホスト端末より電力供給が行われる。   The connector 401 assumes a USB interface as a connection method with a host terminal (PC). However, any method capable of exchanging data with a PC, such as IEEE 1394, SATA, or SCSI, may be applied. . When the connector 401 is connected to a connection port provided in the host terminal, data communication with the host terminal is started, and power is supplied from the host terminal according to the specification.

コントローラIC402は、フラッシュメモリチップ403の制御、PCとのインタフェース機能の実現、アクセス認証の流れの制御といった各種制御を行う。   The controller IC 402 performs various controls such as control of the flash memory chip 403, implementation of an interface function with a PC, and control of the flow of access authentication.

無線通信制御回路404は、アクセスポイントと無線通信を行うための回路である。無線通信方式としては無線LAN(IEEE 802.11)を想定しているが、BluetoothやRFIDなど他の無線通信方式を使用しても良い。   The wireless communication control circuit 404 is a circuit for performing wireless communication with the access point. Although a wireless LAN (IEEE 802.11) is assumed as the wireless communication method, other wireless communication methods such as Bluetooth and RFID may be used.

フラッシュメモリチップ403内の記憶領域の一部には使用認証に必要なデータを収集するセキュリティプログラム及び自装置の個体IDが記憶されている。この領域は接続されるPC側からは書換え不可であり、読み込みも通常は不可に制御されている。   In a part of the storage area in the flash memory chip 403, a security program for collecting data necessary for use authentication and an individual ID of the own device are stored. This area cannot be rewritten from the connected PC side, and reading is normally controlled to be impossible.

また、コントローラIC402、フラッシュメモリチップ403、無線通信制御回路404の電源はコネクタ401を通してPCから供給されているが、外部から供給される構成であっても良いし、別途バッテリを設けても良い。   Further, the controller IC 402, the flash memory chip 403, and the wireless communication control circuit 404 are supplied with power from the PC through the connector 401. However, the controller IC 402, the flash memory chip 403, and the wireless communication control circuit 404 may be supplied from the outside.

次に上記周辺装置400を構成する各回路の具体的機能を図5のブロック図を併用しながら説明する。   Next, specific functions of the circuits constituting the peripheral device 400 will be described with reference to the block diagram of FIG.

図5は、本実施の形態2に係るセキュリティ管理システムのブロック図である。本実施の形態2に係るセキュリティ管理システムは、周辺装置400と、ホスト端末500と、セキュリティ管理サーバ600と、無線通信用アクセスポイント700(以下APと略す。)と、を含んで構成される。以下、各装置の具体的構成について説明する。但し、実施の形態1で説明した部分については一部説明を省略する。   FIG. 5 is a block diagram of the security management system according to the second embodiment. The security management system according to the second embodiment includes a peripheral device 400, a host terminal 500, a security management server 600, and a wireless communication access point 700 (hereinafter abbreviated as AP). Hereinafter, a specific configuration of each apparatus will be described. However, a part of the description of the first embodiment is omitted.

周辺装置400は、データ通信部410と、通信制御部420と、データ記憶部430と、使用許可要求生成部440と、認証情報収集部450と、無線受信部460と、無線送信部470と、を備える。ここで、データ通信部410が図4のコネクタ401に対応し、通信制御部420と使用許可要求生成部440と認証情報収集部450とが図4のコントローラIC402に対応し、データ記憶部430が図4のフラッシュメモリチップ403に対応し、無線受信部460及び無線送信部470が図4の無線通信制御回路404に対応する。   The peripheral device 400 includes a data communication unit 410, a communication control unit 420, a data storage unit 430, a use permission request generation unit 440, an authentication information collection unit 450, a wireless reception unit 460, a wireless transmission unit 470, Is provided. Here, the data communication unit 410 corresponds to the connector 401 in FIG. 4, the communication control unit 420, the use permission request generation unit 440, and the authentication information collection unit 450 correspond to the controller IC 402 in FIG. 4, and the data storage unit 430 Corresponding to the flash memory chip 403 in FIG. 4, the wireless reception unit 460 and the wireless transmission unit 470 correspond to the wireless communication control circuit 404 in FIG. 4.

データ通信部410は、接続されたホスト端末200との間で通信制御部420における通信制御の下でデータ通信を行う。   The data communication unit 410 performs data communication with the connected host terminal 200 under communication control in the communication control unit 420.

通信制御部420は、データ通信部410が行うデータ通信を制御する。また、通信制御部420は、自装置がホスト端末と接続されたことを検知すると、使用許可要求生成部440に当該接続されたことを通知する。   The communication control unit 420 controls data communication performed by the data communication unit 410. When the communication control unit 420 detects that its own device is connected to the host terminal, the communication control unit 420 notifies the use permission request generation unit 440 that the connection has been made.

また、通信制御部420は、後述するセキュリティ管理サーバ600における認証処理が成功するまでは、ホスト端末500から送られてくるデータ記憶部430に対するアクセス要求を受け付けない。一方、通信制御部420は上記認証処理が成功したことを示す情報を受け取った場合は、ホスト端末500からのデータ記憶部430に記憶されているデータへのアクセスを許可する。   Further, the communication control unit 420 does not accept an access request for the data storage unit 430 sent from the host terminal 500 until an authentication process in the security management server 600 described later is successful. On the other hand, when the communication control unit 420 receives information indicating that the authentication process has been successful, the communication control unit 420 permits access from the host terminal 500 to data stored in the data storage unit 430.

データ記憶部430は、データを記憶する。具体的には、データ記憶部430は、データの書き換えが可能なフラッシュメモリであることが多いがこれに限定されるものではない。また、データ記憶部430は、自装置400を固有に識別する個体IDが合わせて記憶されている。また、データ記憶部430は、後述する情報収集用のセキュリティプログラムが合わせて記憶されている。   The data storage unit 430 stores data. Specifically, the data storage unit 430 is often a flash memory capable of rewriting data, but is not limited to this. The data storage unit 430 also stores an individual ID that uniquely identifies the device 400. The data storage unit 430 also stores a security program for collecting information, which will be described later.

使用許可要求生成部440は、通信制御部420より自装置がホスト端末と接続されたことを示す通知を受けると、自装置の使用許可をセキュリティ管理サーバに対して要求する情報である使用許可要求を生成する。   When the use permission request generation unit 440 receives a notification from the communication control unit 420 indicating that the own device is connected to the host terminal, the use permission request is a information requesting the use of the own device to the security management server. Is generated.

具体的には、使用許可要求生成部440は、データ記憶部430より個体IDを読み込む。また、使用許可要求生成部440は、無線受信部460より自装置が無線通信可能なAPを識別する識別IDを取得する。このような識別IDには例えばSSID(Service Set Identifier)を用いることができる。以下、アクセスポイントの識別IDはSSIDとして説明するがこれに限定されるものではない。使用許可要求生成部440は、当該情報が使用許可要求であることを示す識別子と個体IDとSSIDを含めて使用許可要求を生成し、無線送信部470に送る。   Specifically, the use permission request generation unit 440 reads the individual ID from the data storage unit 430. In addition, the use permission request generation unit 440 acquires an identification ID for identifying an AP with which the own apparatus can perform wireless communication from the wireless reception unit 460. For example, an SSID (Service Set Identifier) can be used as such an identification ID. Hereinafter, the identification ID of the access point will be described as an SSID, but is not limited to this. The use permission request generation unit 440 generates a use permission request including an identifier indicating that the information is a use permission request, an individual ID, and an SSID, and sends the use permission request to the wireless transmission unit 470.

認証情報収集部450は、無線受信部460より認証処理に必要とする情報の収集指示を受け取ると指示された情報の収集を開始する。具体的には、データ記憶部430より情報収集用のセキュリティプログラムを読み込み、当該プログラムを通信制御部420とデータ通信部410を介してホスト端末500に送り、ホスト端末500のCPU上で当該プログラムを実行させることにより認証情報を収集する。認証情報収集部450は、収集した認証情報を無線送信部470に送る。   When the authentication information collection unit 450 receives an instruction to collect information necessary for the authentication process from the wireless reception unit 460, the authentication information collection unit 450 starts collecting the instructed information. Specifically, the security program for collecting information is read from the data storage unit 430, the program is sent to the host terminal 500 via the communication control unit 420 and the data communication unit 410, and the program is executed on the CPU of the host terminal 500. Collect authentication information by executing. The authentication information collection unit 450 sends the collected authentication information to the wireless transmission unit 470.

無線受信部460は、APから送信される各種情報を受信する。無線受信部460は、APとの無線接続処理時に当該APを識別するSSIDを受信し、当該受信したSSIDを使用許可要求生成部440に送信する。   The wireless reception unit 460 receives various information transmitted from the AP. The wireless reception unit 460 receives the SSID that identifies the AP during the wireless connection process with the AP, and transmits the received SSID to the use permission request generation unit 440.

また、無線受信部460は、APを介してセキュリティ管理サーバより通知された認証処理に必要とする情報の収集指示を受信し、当該指示を認証情報収集部450に送る。ここで、当該収集指示には、認証情報の収集指示であることを示す識別子の他、認証処理に必要とする情報の種類が示されている。   In addition, the wireless reception unit 460 receives an instruction to collect information necessary for authentication processing notified from the security management server via the AP, and sends the instruction to the authentication information collection unit 450. Here, the collection instruction indicates the type of information necessary for the authentication process, in addition to an identifier indicating that the authentication instruction is a collection instruction.

また、無線受信部460は、APを介してセキュリティ管理サーバより通知された認証処理の結果を受信し、通信制御部420に送る。   Further, the wireless reception unit 460 receives the result of the authentication process notified from the security management server via the AP, and sends the result to the communication control unit 420.

無線送信部470は、使用許可要求生成部440より受け取った使用許可要求を、APを介してセキュリティ管理サーバ600に送信する。   The wireless transmission unit 470 transmits the use permission request received from the use permission request generation unit 440 to the security management server 600 via the AP.

また、無線送信部470は、認証情報収集部450より受け取った認証情報を、APを介してセキュリティ管理サーバ600に送信する。   Also, the wireless transmission unit 470 transmits the authentication information received from the authentication information collection unit 450 to the security management server 600 via the AP.

次に、ホスト端末500について説明する。ホスト端末500は、データ通信部510と、通信制御部520と、データ記憶部530と、プログラム実行部540と、を備える。   Next, the host terminal 500 will be described. The host terminal 500 includes a data communication unit 510, a communication control unit 520, a data storage unit 530, and a program execution unit 540.

データ通信部510は、通信制御部420の通信制御の下で自端末に接続される周辺装置とデータ通信を行う。   The data communication unit 510 performs data communication with a peripheral device connected to the terminal under communication control of the communication control unit 420.

通信制御部520は、データ通信部510におけるデータ通信を制御する。   Communication control unit 520 controls data communication in data communication unit 510.

データ記憶部530は、各種データを記憶する。データ記憶部530が記憶している情報としては、自端末で実行されているOS(Operating System)の情報、自端末を識別するID(SMBIOS等から取得)、自端末のHW構成(OS機能等を使用して取得)、といった情報が記憶されている。   The data storage unit 530 stores various data. The information stored in the data storage unit 530 includes information on an OS (Operating System) executed on the own terminal, an ID for identifying the own terminal (obtained from SMBIOS, etc.), an HW configuration of the own terminal (OS function, etc.) And the like) are stored.

プログラム実行部540は、所謂CPU(Central Processing Unit)であり、システム管理を行うOSを実行するほか、データ通信部510、通信制御部520を介して周辺装置400から送られる情報収集用のセキュリティプログラムを実行する。また、この時認証処理に必要とする情報の種類についての指示も合わせて送られ、プログラム実行部540は、当該セキュリティプログラムを実行することで、上記指定された種類の情報を収集する。具体的には、プログラム実行部540は、データ記憶部530に記憶されている各種データのうち、指示された種類の情報を読み込む。また、認証処理に必要とする情報としてユーザIDや当該ユーザIDに対応するパスワードが指示されている場合は、プログラム実行部540は、図示せぬインタフェースを介して画面表示部にユーザID及びパスワード入力画面を表示させユーザID及びパスワードをユーザに入力させることでこれらの情報を収集する。収集した情報は、通信制御部520及びデータ通信部510を介して周辺装置の認証情報収集部450に送られる。   The program execution unit 540 is a so-called CPU (Central Processing Unit), and executes an OS that performs system management, as well as a security program for collecting information sent from the peripheral device 400 via the data communication unit 510 and the communication control unit 520. Execute. At this time, an instruction regarding the type of information required for the authentication process is also sent, and the program execution unit 540 collects the specified type of information by executing the security program. Specifically, the program execution unit 540 reads instructed types of information among various data stored in the data storage unit 530. When a user ID or a password corresponding to the user ID is specified as information necessary for the authentication process, the program execution unit 540 inputs the user ID and password to the screen display unit via an interface (not shown). This information is collected by displaying a screen and allowing the user to input a user ID and password. The collected information is sent to the authentication information collection unit 450 of the peripheral device via the communication control unit 520 and the data communication unit 510.

次に、セキュリティ管理サーバ600について説明する。セキュリティ管理サーバ600は、受信部610と、認証処理部620と、収集指示生成部630と、管理テーブル記憶部640と、送信部650と、を備える。   Next, the security management server 600 will be described. The security management server 600 includes a reception unit 610, an authentication processing unit 620, a collection instruction generation unit 630, a management table storage unit 640, and a transmission unit 650.

受信部610は、周辺装置400よりAPを介して自装置400を使用することの許可を要求する使用許可要求を受信する。また、受信部610は、APを介して周辺装置400より送信される認証情報を受信する。受信部610は、受信した使用許可要求及び認証情報を認証処理部620に送る。   The receiving unit 610 receives a use permission request for requesting permission to use the own device 400 from the peripheral device 400 via the AP. The receiving unit 610 receives authentication information transmitted from the peripheral device 400 via the AP. The receiving unit 610 sends the received use permission request and authentication information to the authentication processing unit 620.

認証処理部620は、周辺装置の使用を許可するかどうかの認証処理を行う。具体的には、認証処理部620は、受信部610より使用許可要求を受け取ると、当該使用許可要求に含まれる周辺装置を識別する個体IDとAPを識別するSSIDの組み合わせが許可された組み合わせであるかどうかの第1の認証処理を行う。   The authentication processing unit 620 performs an authentication process as to whether or not the use of the peripheral device is permitted. Specifically, when the authentication processing unit 620 receives the use permission request from the receiving unit 610, the authentication processing unit 620 is a combination that allows the combination of the individual ID that identifies the peripheral device included in the use permission request and the SSID that identifies the AP. A first authentication process is performed to determine whether there is any.

この時、認証処理部620は、管理テーブル記憶部640に記憶されている許可する周辺装置の個体IDとAPのSSIDと対応関係を記した第1管理テーブルを参照して上記第1認証処理を行う。図6に当該第1管理テーブルの一例を示す。第1管理テーブルには周辺装置(個体ID)毎に許可されているAP(SSID)が対応付けられている。認証処理部620は、上記第1認証処理の結果、周辺装置とAPの組み合わせが許可されたものであった場合は、収集指示生成部630に当該個体IDとSSIDを通知する。   At this time, the authentication processing unit 620 refers to the first management table that describes the correspondence between the individual ID of the permitted peripheral device and the SSID of the AP stored in the management table storage unit 640 and performs the first authentication process. Do. FIG. 6 shows an example of the first management table. The first management table is associated with an AP (SSID) permitted for each peripheral device (individual ID). If the result of the first authentication process indicates that the combination of the peripheral device and the AP is permitted, the authentication processing unit 620 notifies the collection instruction generation unit 630 of the individual ID and SSID.

また認証処理部620は、受信部610より受け取った認証情報に基づいて周辺装置の使用を許可するかどうかの第2の認証処理を行う。   Further, the authentication processing unit 620 performs a second authentication process for determining whether to permit the use of the peripheral device based on the authentication information received from the receiving unit 610.

この時、認証処理部620は、管理テーブル記憶部640に記憶されている周辺装置の個体IDと対応する認証情報との組み合わせを記した第2管理テーブルを参照して上記第2認証処理を行う。図7に当該第2管理テーブルの一例を示す。第2管理テーブルには周辺装置(個体ID)毎に対応付けられた認証情報が記されている。図7に示すように、認証情報としては、ユーザID、第1パスワード、第2パスワード、第3パスワード、セキュリティプログラムのバージョン情報、ホスト端末のOS情報、ホスト端末のHW情報が登録されている。   At this time, the authentication processing unit 620 performs the second authentication process with reference to the second management table that describes the combination of the peripheral device individual ID and the corresponding authentication information stored in the management table storage unit 640. . FIG. 7 shows an example of the second management table. In the second management table, authentication information associated with each peripheral device (individual ID) is described. As shown in FIG. 7, as authentication information, a user ID, a first password, a second password, a third password, security program version information, host terminal OS information, and host terminal HW information are registered.

ここで、HW情報としては、BIOSREV、ACPItable、PCIConfig空間の情報、MACアドレス、UUID(Universally Unique Identifier)、GPIO(General Purpose Input/Output)設定、MCURevと言った情報を認証情報として利用することができる。特にSMBIOSやACPItableなどは、一般的に偽造の対象とされる可能性が低いことから偽造リスクが少なく、個体識別の観点から有力な認証情報となる。また、MACアドレスやBIOSで生成されるUUIDもHWの個体識別という観点から有効な認証情報とすることができる。   Here, as the HW information, information such as BIOSREV, ACPItable, PCIConfig space information, MAC address, UUID (Universally Unique Identifier), GPIO (General Purpose Input / Output) setting, and MCU Rev may be used as authentication information. it can. In particular, SMBIOS, ACPItable, and the like are generally less likely to be counterfeited and therefore have a low risk of counterfeiting, and are effective authentication information from the viewpoint of individual identification. Also, the UUID generated by the MAC address or BIOS can be effective authentication information from the viewpoint of individual identification of the HW.

認証処理部620は、第2の認証処理の結果、すなわち周辺装置の使用を許可するか許可しないかを示す情報を送信部650に送る。   The authentication processing unit 620 sends to the transmission unit 650 information indicating the result of the second authentication processing, that is, whether or not the use of the peripheral device is permitted.

収集指示生成部630は、第1認証処理を行った認証処理部620より個体ID及びSSIDを受け取ると、当該個体IDの周辺装置に対する認証処理に必要とする情報の収集を指示する収集指示を生成する。この時、収集指示生成部630は、所定のアルゴリズムに従い、複数ある認証情報の中から認証処理に必要とする情報の種類を決定し、当該種類を含めて上記収集指示を生成する。   Upon receiving the individual ID and the SSID from the authentication processing unit 620 that has performed the first authentication process, the collection instruction generation unit 630 generates a collection instruction that instructs collection of information necessary for the authentication process for the peripheral device of the individual ID To do. At this time, the collection instruction generation unit 630 determines the type of information required for the authentication process from a plurality of authentication information according to a predetermined algorithm, and generates the collection instruction including the type.

図8に当該収集指示の一例を示す。当該収集指示には、収集指示であることを識別する識別子、通知する周辺装置の個体ID、認証処理に必要とする情報の種類を示す情報が含まれる。認証処理に必要とする情報の種類を指定する情報は、具体的には収集指示生成部630が個体ID、SSID、その他現在時刻等の情報を用いて所定のアルゴリズムに基づいて決定された種類が指定されている。図8の例では、ユーザID、第1パスワード、ホスト端末のMACアドレス、ホスト端末のOS情報の4種類の情報が認証処理に必要とする情報として指定されている。   FIG. 8 shows an example of the collection instruction. The collection instruction includes an identifier for identifying the collection instruction, the individual ID of the peripheral device to be notified, and information indicating the type of information required for the authentication process. The information specifying the type of information required for the authentication processing is specifically the type determined by the collection instruction generation unit 630 based on a predetermined algorithm using information such as the individual ID, SSID, and the current time. It is specified. In the example of FIG. 8, four types of information including a user ID, a first password, a MAC address of the host terminal, and OS information of the host terminal are designated as information necessary for the authentication process.

ここで、収集指示生成部630は、認証処理部620より受け取った個体ID及びSSID、その他図示せぬ時刻算出部から受け取った現在の時刻等の情報を用いて複数ある認証情報の中から認証処理に必要とする情報の種類を選択して決定する。   Here, the collection instruction generation unit 630 performs authentication processing from a plurality of pieces of authentication information using information such as the individual ID and SSID received from the authentication processing unit 620 and other information such as the current time received from a time calculation unit (not shown). Select and determine the type of information required for

例えば、収集指示生成部630は、受け取った個体IDより、周辺装置が携帯型記憶装置である場合はより高いセキュリティレベルが求められると判断し、より多くの情報が認証処理に必要とする決定を行っても良い。   For example, the collection instruction generation unit 630 determines that a higher security level is required when the peripheral device is a portable storage device based on the received individual ID, and determines that more information is required for the authentication process. You can go.

また、収集指示生成部630は、個体IDに対応付けされたSSID毎にセキュリティレベルを合わせて設定しておき、受け取ったSSIDに対応するセキュリティレベルに応じて必要とする情報の種類を決定しても良い。例えば、自宅やオフィスに設置されたAPから使用許可要求を受け取った場合は、第3者が不正に使用している可能性は低いため、このようなAPには低いセキュリティレベルを設定しておく。一方、外部のAPを介して使用許可要求が送信された場合は、第3者による不正使用の可能性が高まるため、高いセキュリティレベルを設定しておいても良い。   The collection instruction generation unit 630 also sets a security level for each SSID associated with the individual ID, and determines the type of information required according to the security level corresponding to the received SSID. Also good. For example, when a use permission request is received from an AP installed in a home or office, it is unlikely that a third party is using it illegally, so a low security level is set for such an AP. . On the other hand, when a use permission request is transmitted via an external AP, the possibility of unauthorized use by a third party increases, so a high security level may be set.

また、当該周辺装置の使用が想定される時間帯を設定しておき、使用許可要求が送信された時刻が当該時間帯内であるかどうかに基づいて、認証処理に必要とする情報の種類を選択して決定してもよい。例えば、想定された時間帯以外に使用許可要求が送信された場合は、第3者による不正使用の可能性が高まるため、より多くの種類の情報を選択しても良い。   In addition, a time zone in which the peripheral device is expected to be used is set, and the type of information required for the authentication process is determined based on whether the time when the use permission request is transmitted is within the time zone. It may be selected and determined. For example, when a use permission request is transmitted outside the assumed time zone, the possibility of unauthorized use by a third party increases, so more types of information may be selected.

また、使用許可要求に個体ID及びSSIDに加えて他の情報が含まれる場合は、収集指示生成部630は、それらの情報も考慮に入れて認証処理に必要とする情報の種類を選択して決定してもよい。収集指示生成部630は、生成した収集指示を送信部650に送る。   In addition, when the use permission request includes other information in addition to the individual ID and the SSID, the collection instruction generation unit 630 selects the type of information necessary for the authentication process in consideration of the information. You may decide. The collection instruction generation unit 630 sends the generated collection instruction to the transmission unit 650.

管理テーブル記憶部640は、上記第1認証処理時に参照される第1管理テーブル及び第2認証処理時に参照される第2管理テーブルを記憶する。なお、第1管理テーブル及び第2管理テーブルは、1つのテーブルとして記憶されていても良い。   The management table storage unit 640 stores a first management table referred to during the first authentication process and a second management table referred to during the second authentication process. The first management table and the second management table may be stored as one table.

送信部650は、認証処理部620より受け取った認証処理の結果及び収集指示生成部630より受け取った収集指示をAPを介して周辺装置に送信する。   The transmission unit 650 transmits the authentication processing result received from the authentication processing unit 620 and the collection instruction received from the collection instruction generation unit 630 to the peripheral device via the AP.

次に、本実施の形態2のセキュリティ管理システムの動作について説明する。図9は、本実施の形態2のセキュリティ管理システムの処理の流れを示すフローチャート図である。   Next, the operation of the security management system according to the second embodiment will be described. FIG. 9 is a flowchart showing a processing flow of the security management system according to the second embodiment.

ユーザにより周辺装置とホスト端末が接続されると、周辺装置内に電源が供給されてその機能を開始し、周辺装置は自装置がホスト端末に接続されたことを認識する(S201)。本実施の形態では通信制御部420が当該接続されたかどうかの認識を行う。なお、この時点では周辺装置の通信制御部420によるアクセス制御によりデータ記憶部430の記憶領域へのアクセスは禁止されている。   When the user connects the peripheral device and the host terminal, power is supplied to the peripheral device to start its function, and the peripheral device recognizes that its own device is connected to the host terminal (S201). In this embodiment, the communication control unit 420 recognizes whether or not the connection is made. At this time, access to the storage area of the data storage unit 430 is prohibited by access control by the communication control unit 420 of the peripheral device.

周辺装置は、ステップ201において自装置がホスト端末500と接続されたことを認識すると、AP700を介してセキュリティ管理サーバとアクセスを試み、続いて、使用許可要求生成部440は、自装置を使用できる状態にするために使用許可要求を生成する(S202)。なお、セキュリティ管理サーバにアクセスできなかった場合はその場で認証の手続きを終了し、従って周辺装置の使用は不可となる。ステップ202で生成された使用許可要求は、無線送信部470より、APを介してセキュリティ管理サーバに送信される(S203)。   When the peripheral device recognizes that its own device is connected to the host terminal 500 in step 201, it tries to access the security management server via the AP 700, and then the use permission request generation unit 440 can use the own device. A use permission request is generated to enter a state (S202). If the security management server cannot be accessed, the authentication procedure is terminated on the spot, so that the peripheral device cannot be used. The use permission request generated in step 202 is transmitted from the wireless transmission unit 470 to the security management server via the AP (S203).

セキュリティ管理サーバは、ステップ203で受け取った使用許可要求に基づいて当該使用許可要求が予め許可された使用許可要求であるかどうかについての第1認証処理を行う(S204)。具体的には、認証処理部620は、使用許可要求に含まれる個体IDが許可されたものであるか、SSIDが許可されたものであるか、及び個体IDとSSIDの組み合わせが許可されたものであるか、といった判定を第1認証処理として行う。   Based on the use permission request received in step 203, the security management server performs first authentication processing as to whether or not the use permission request is a use permission request that has been permitted in advance (S204). Specifically, the authentication processing unit 620 is one in which the individual ID included in the use permission request is permitted, the SSID is permitted, or the combination of the individual ID and the SSID is permitted. Is determined as the first authentication process.

ステップ204における第1認証処理の結果、許可された使用許可要求であった場合は、収集指示生成部630は、第2認証処理で必要とする情報を収集するための収集指示を生成する(S205)。図7に示すように当該収集指示には、認証処理に必要とする情報の種類の一覧が含まれており、送信部650は、当該収集指示を周辺装置に送信する(S206)   If the result of the first authentication process in step 204 is a permitted use permission request, the collection instruction generation unit 630 generates a collection instruction for collecting information required for the second authentication process (S205). ). As shown in FIG. 7, the collection instruction includes a list of types of information necessary for the authentication process, and the transmission unit 650 transmits the collection instruction to the peripheral device (S206).

周辺装置は、セキュリティ管理サーバより収集指示を受け取ると、認証情報収集部450が、認証処理に必要とする情報を収集するための処理を開始する(S207〜S210)。具体的には、認証情報収集部450は、データ記憶部430に記憶されているセキュリティプログラムを読み込み、当該プログラムを通信制御部420及びデータ通信部410を介してホスト端末に送信する(S207)。また、認証情報収集部450は、セキュリティ管理サーバより受け取った収集指示の内容を通信制御部420及びデータ通信部410を介してホスト端末に送信する(S208)。なお、ステップ205とステップ206は順不同である。   When the peripheral device receives the collection instruction from the security management server, the authentication information collection unit 450 starts processing for collecting information necessary for the authentication processing (S207 to S210). Specifically, the authentication information collection unit 450 reads the security program stored in the data storage unit 430 and transmits the program to the host terminal via the communication control unit 420 and the data communication unit 410 (S207). In addition, the authentication information collection unit 450 transmits the contents of the collection instruction received from the security management server to the host terminal via the communication control unit 420 and the data communication unit 410 (S208). Step 205 and step 206 are in no particular order.

ホスト端末のプログラム実行部540は、ステップ205で受け取ったセキュリティプログラムを手動又は自動で実行し、ステップ206で指示された情報を収集する(S209)。プログラム実行部540はステップ209で収集した情報を通信制御部520及びデータ通信部510を介して周辺装置に送信する(S210)。認証情報収集部450は、ステップ210で送られた情報を受け取ることで認証情報の収集が完了する。当該収集された認証情報は無線送信部470よりAPを介してセキュリティ管理サーバに送信される(S211)。   The program execution unit 540 of the host terminal executes the security program received in step 205 manually or automatically, and collects information instructed in step 206 (S209). The program execution unit 540 transmits the information collected in step 209 to the peripheral device via the communication control unit 520 and the data communication unit 510 (S210). The authentication information collection unit 450 completes the collection of authentication information by receiving the information sent in step 210. The collected authentication information is transmitted from the wireless transmission unit 470 to the security management server via the AP (S211).

セキュリティ管理サーバの認証処理部620は、ステップ211で送信された認証情報に基づいて第2の認証処理を行う(S212)。当該認証処理の結果は、送信部650より周辺装置に通知される(S213)。周辺装置は、受け取った認証処理の結果を確認し、当該認証処理の結果が認証成功を示している場合は、通信制御部420はホスト端末からのアクセス要求ブロックを解除し、その後データ通信部間でデータ通信が行われる(S212)。すなわち、PC上で当該周辺装置の使用が可能となる。一方、認証処理の結果が認証失敗を示している場合は、通信制御部420が引き続きホスト端末からのアクセス要求をブロックするため、ホスト端末と自装置の間でのデータ通信は行われない。すなわち、周辺装置を使用することができないままとなる。   The authentication processing unit 620 of the security management server performs the second authentication process based on the authentication information transmitted in step 211 (S212). The result of the authentication processing is notified from the transmission unit 650 to the peripheral device (S213). The peripheral device confirms the result of the received authentication process, and if the result of the authentication process indicates successful authentication, the communication control unit 420 releases the access request block from the host terminal, and then between the data communication units Then, data communication is performed (S212). That is, the peripheral device can be used on the PC. On the other hand, if the result of the authentication process indicates an authentication failure, the communication control unit 420 continues to block access requests from the host terminal, so data communication between the host terminal and the own device is not performed. That is, the peripheral device cannot be used.

以上説明したように、本実施の形態2における周辺装置は自ら無線通信機能を備え、使用認証を無線通信経由でセキュリティサーバ上にて行う。この時、認証処理のトリガとなる使用許可要求には、周辺装置を識別する個体IDに加えて周辺装置が接続している無線通信用アクセスポイントを識別するIDが含まれる。当該アクセスポイントのIDによりセキュリティ管理サーバは、周辺装置の使用範囲を判別することができ、従って周辺装置の使用可能な領域を制御することができる。すなわち、周辺装置を予め定められた無線通信網のもとでのみ動作可能とさせることができ、使用想定外の場所へ持ち出されての意図しない使用を防止することができる。   As described above, the peripheral device according to the second embodiment has its own wireless communication function and performs use authentication on the security server via wireless communication. At this time, the use permission request that triggers the authentication process includes an ID for identifying the wireless communication access point to which the peripheral device is connected in addition to the individual ID for identifying the peripheral device. Based on the ID of the access point, the security management server can determine the usage range of the peripheral device, and thus can control the usable area of the peripheral device. That is, the peripheral device can be operated only under a predetermined wireless communication network, and unintended use by being taken out to a place not intended for use can be prevented.

そして、セキュリティ管理サーバ上で認証条件の管理及び実際の使用認証を行うため、柔軟かつ複雑な条件の認証が可能になる。また、セキュリティ管理サーバ上で認証条件の管理を行うため、認証条件を変更する場合にいちいち管理下のすべての周辺装置を回収して設定変更を行うと言った労力を必要とせず、容易かつ迅速に変更することができる。すなわち、管理下の周辺装置について、認証条件などのセキュリティポリシーをセキュリティ管理サーバ上から一括して変更をかけることが可能であり、管理が容易になる。   Since authentication condition management and actual use authentication are performed on the security management server, flexible and complex condition authentication is possible. Also, because the authentication conditions are managed on the security management server, it is easy and quick without requiring the effort of collecting all the peripheral devices under management and changing the settings one by one when changing the authentication conditions. Can be changed. In other words, security policies such as authentication conditions can be collectively changed from the security management server for managed peripheral devices, and management becomes easy.

また、本実施の形態において認証情報を収集する認証情報収集部450は、自装置400に内蔵されたセキュリティソフトをホスト端末側で実行させることで当該認証情報の収集を行う。従って、周辺装置が接続されるホスト端末(PC)については、特別なセキュリティソフトのインストールや管理が不要となり、また、ネットワーク接続も不要となる。従って、ホスト端末のセキュリティソフトのインストールの有無やネットワーク接続の有無に関わらず周辺装置の使用管理が可能となる。従って、高いセキュリティ及び周辺装置の使用柔軟性を高めることができる。   Further, in the present embodiment, the authentication information collection unit 450 that collects authentication information collects the authentication information by causing the host terminal side to execute security software built in the own device 400. Therefore, the host terminal (PC) to which the peripheral device is connected does not require special security software installation or management, and does not require network connection. Therefore, it is possible to manage the use of peripheral devices regardless of whether or not the host terminal security software is installed and whether or not the network is connected. Therefore, high security and flexibility in using peripheral devices can be enhanced.

以上説明したように本発明によれば、周辺装置(PC周辺機器)の使用許可を判断するセキュリティポリシーをセキュリティ管理サーバ上で管理することにより、多数のPC周辺機器の管理を一括して簡単に実施できることができる。また、当該セキュリティポリシーをセキュリティ管理サーバ上で管理しているので、セキュリティポリシーの変更を瞬時に反映できるができる。更に、本発明ではセキュリティ管理サーバが、PC周辺機器の使用認証に複数のデータを組み合わせて認証処理を行うことができるため、使用者や使用条件により複雑かつ柔軟な条件設定ができる。   As described above, according to the present invention, management of a large number of PC peripheral devices can be easily performed collectively by managing a security policy for determining permission to use a peripheral device (PC peripheral device) on the security management server. Can be implemented. In addition, since the security policy is managed on the security management server, changes in the security policy can be reflected instantaneously. Furthermore, in the present invention, since the security management server can perform authentication processing by combining a plurality of data for use authentication of PC peripheral devices, complicated and flexible condition setting can be made depending on the user and use conditions.

また、本発明によれば、使用を許可するかどうかの判断材料として現在時刻を使用可能であり、周辺装置の使用可能な時間を制御可能とすることができる。ここで、使用許可の判断に用いる現在時刻は、例えば周辺装置が使用許可要求に含めて送信し、当該使用許可要求に含まれる現在時刻を用いても良いが、セキュリティ管理サーバに別途設けた現在時刻算出部より得られる現在時刻を用いることが望ましい。周辺装置の接続先PCより現在時刻を取得する場合は、現在時刻を自由に変更可能なPCシステム時計から取得することになり、正確な判断が出来ない可能性がある点と、不要な通信トラフィックを生じるためである。一方、セキュリティ管理サーバに別途設けた現在時刻算出部より得られる現在時刻を用いることで正確な判断が可能となり、使用許可要求のデータ量も削減できる。   In addition, according to the present invention, the current time can be used as a material for determining whether to permit the use, and the usable time of the peripheral device can be controlled. Here, the current time used for the determination of the use permission may be, for example, transmitted by the peripheral device included in the use permission request, and the current time included in the use permission request may be used. It is desirable to use the current time obtained from the time calculation unit. When the current time is acquired from the PC connected to the peripheral device, the current time is acquired from a PC system clock that can be freely changed, and there is a possibility that an accurate determination cannot be made, and unnecessary communication traffic. It is for producing. On the other hand, by using the current time obtained from the current time calculation unit provided separately in the security management server, an accurate determination can be made, and the data amount of the use permission request can be reduced.

このように、本発明によれば、使用場所・使用者・使用時刻・接続するPC構成等に応じた周辺装置使用の認証を細かく設定できる。また、セキュリティ管理サーバが認証に必要とする情報を周辺装置に指示して収集させるため、使用場所・使用者・使用時刻・接続するPC構成等をその時要求されるセキュリティレベルに合わせて柔軟に設定・変更できる。   As described above, according to the present invention, it is possible to finely set the authentication of the peripheral device use according to the place of use, the user, the time of use, the PC configuration to be connected, and the like. In addition, since the security management server instructs the peripheral device to collect information required for authentication, the location of use, user, use time, PC configuration to be connected, etc. can be flexibly set according to the security level required at that time・ Can be changed.

本発明は、企業の事業場内などPC周辺機器(周辺装置)の使用条件を管理したい場合の他、一般家庭用に応用する事も可能である。   The present invention can be applied to general households as well as to manage the usage conditions of PC peripheral devices (peripheral devices) such as in a company office.

なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。   Note that the present invention is not limited to the above-described embodiment, and can be changed as appropriate without departing from the spirit of the present invention.

例えば、使用許可要求に上記セキュリティプログラムのバージョン情報を含めて送信しても良い。セキュリティ管理サーバは、個体IDとSSIDの確認に加えてプログラムのバージョン情報の確認を行ってもよい。この時、セキュリティ管理サーバは、上記受け取ったバージョンと予め設定されたバージョンとが一致しない場合は、認証処理を終了するよう構成しても良い。また、受け取ったバージョンが古い場合は、更新プログラムを当該周辺装置に配信し、周辺装置側の制御でアップデートを行えるよう構成しても良い。セキュリティ管理サーバは、周辺装置よりアップデートが成功したことを示すアップデート成功信号を受け取った場合は、認証処理を継続するよう構成しても良い。このような構成を更に備えることで、プログラムの偽造やプログラム破損による不正認証や認証ミスを防ぐことができる。   For example, the use permission request may be transmitted including the security program version information. The security management server may confirm the version information of the program in addition to the confirmation of the individual ID and the SSID. At this time, the security management server may be configured to end the authentication process if the received version does not match the preset version. Further, when the received version is old, the update program may be distributed to the peripheral device so that the update can be performed under the control of the peripheral device. The security management server may be configured to continue the authentication process when receiving an update success signal indicating that the update is successful from the peripheral device. By further providing such a configuration, it is possible to prevent unauthorized authentication or authentication error due to program forgery or program corruption.

また、セキュリティ管理サーバが認証処理に必要とする情報として生体情報を利用しても良い。例えば、セキュリティ管理サーバは、指紋、瞳孔パターン、静脈パターンなど周辺装置のユーザの生体情報を認証情報として記憶しておき、収集指示生成部が生成する収集指示で指定される種類の情報の中に上記生体情報を含めても良い。周辺装置又はホスト端末は、指紋センサや画像取得部など上記生体情報を検出する検出部を別途備え、上記生体情報の収集を指示された場合は、これらの情報を認証処理に用いられる認証情報として収集してもよい。セキュリティ管理サーバは、認証処理に必要とする情報を決定する所定のアルゴリズムに基づいて、極めて高いセキュリティが要求される場合などには、これら偽造が極めて困難な生体情報を送信するよう要求しても良い。   Moreover, you may utilize biometric information as information which a security management server requires for an authentication process. For example, the security management server stores the biometric information of the user of the peripheral device such as a fingerprint, a pupil pattern, and a vein pattern as authentication information, and includes the type of information specified by the collection instruction generated by the collection instruction generation unit The biological information may be included. The peripheral device or the host terminal separately includes a detection unit that detects the biological information, such as a fingerprint sensor or an image acquisition unit. When the collection of the biological information is instructed, the information is used as authentication information used for the authentication process. May be collected. The security management server may request to transmit biometric information that is extremely difficult to counterfeit when extremely high security is required based on a predetermined algorithm for determining information necessary for the authentication process. good.

また、セキュリティ管理サーバの収集指示生成部は、認証処理に必要とする情報の種類を決定するアルゴリズムとして様々なアルゴリズムを採用することができる。例えば、図10に示すアルゴリズムのように、個別IDより装置の種類を判定し(S301)、SSIDより予め登録された位置範囲での使用であるかどうかを判定し、(S302)、現在時刻により予め登録された時間帯での使用であるかを判定し(S303)、上記種類を決定しても良い。この場合、管理テーブル記憶部には、周辺装置を識別する個別ID毎に、通常の使用位置範囲と使用時間帯とを第3管理テーブルとして記憶しておき、収集指示生成部は上記第3管理テーブルを参照して上記ステップ303及びステップ303の判定を行っても良い。   In addition, the collection instruction generation unit of the security management server can employ various algorithms as algorithms for determining the type of information required for the authentication process. For example, as in the algorithm shown in FIG. 10, the type of device is determined from the individual ID (S301), it is determined from the SSID whether it is used in a pre-registered position range (S302), and the current time It may be determined whether the use is performed in a pre-registered time zone (S303), and the type may be determined. In this case, the management table storage unit stores a normal use position range and a use time zone as a third management table for each individual ID for identifying the peripheral device, and the collection instruction generation unit stores the third management table. The determinations in step 303 and step 303 may be performed with reference to the table.

なお、収集指示生成部は、上記種類を決定するアルゴリズムとして複数のアルゴリズムA〜Nを用いることができる。すなわち、予めユーザより設定された情報に基づいて受け取った個別IDに対応するアルゴリズムを選択し、そのアルゴリズムに従ってSSIDや現在時刻その他の情報を利用して上記種類を決定しても良い。   The collection instruction generation unit can use a plurality of algorithms A to N as algorithms for determining the type. That is, an algorithm corresponding to an individual ID received based on information set in advance by the user may be selected, and the type may be determined using the SSID, current time, and other information according to the algorithm.

また、上記周辺装置の認証情報収集部、使用許可要求生成部、通信制御部、の各種機能やセキュリティ管理サーバの認証処理部、収集指示生成部の各種機能は、演算処理機能を有するCPU(Central Processing Unit)上でプログラムを実行することにより実現されていても良い。   In addition, various functions of the authentication information collection unit, use permission request generation unit, and communication control unit of the peripheral device, and various functions of the security processing server authentication processing unit and the collection instruction generation unit include a CPU (Central It may be realized by executing a program on the Processing Unit).

なお、上述したプログラムは、コンピュータ・システムがアクセス可能な様々な種類の記憶媒体に格納することが可能である。また、このプログラムは、通信媒体を介して伝達されることが可能である。ここで、記憶媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、CD−ROM、DVD、ROMカートリッジ、バッテリバックアップ付きRAMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジ等が含まれる。また、通信媒体には、電話回線等の有線通信媒体、マイクロ波回線等の無線通信媒体等が含まれ、インターネットも含まれる。   The above-described program can be stored in various types of storage media that can be accessed by the computer system. The program can be transmitted via a communication medium. Here, the storage medium includes, for example, a flexible disk, a hard disk, a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD, a ROM cartridge, a battery-backed RAM memory cartridge, a flash memory cartridge, a nonvolatile RAM cartridge, and the like. . In addition, the communication medium includes a wired communication medium such as a telephone line, a wireless communication medium such as a microwave line, and the Internet.

その他、本発明は以下の形態をとることが可能である。   In addition, the present invention can take the following forms.

(1)ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を受信する第1受信処理と、前記周辺装置の使用を許可するかどうかの認証処理に用いる認証情報を受信する第2受信処理と、を行う受信手段と、前記第1受信処理で受信した使用許可要求に基づいて前記認証処理に必要とする情報の収集を指示する収集指示を生成する生成手段と、前記第2受信処理で受信した前記認証情報を用いて前記認証処理を行う認証処理手段と、前記生成した収集指示を送信する第1送信処理と、前記認証処理の結果を送信する第2送信処理と、を行う送信手段と、を備えるアクセス認証サーバ。
(2)前記生成手段は、前記認証処理に必要とする情報の種類を指定する情報を含めて前記収集指示を生成する、(1)に記載のアクセス認証サーバ。
(3) 前記使用許可要求は、前記周辺装置を識別する第1識別子及び前記周辺装置の使用位置範囲を特定可能な第2識別子を含み、前記生成手段は、前記使用許可要求に含まれる前記第1識別子及び前記第2識別子に基づいて前記認証処理に必要とする情報の種類を決定して前記収集指示を生成する、(2)に記載のアクセス認証サーバ。
(4)前記使用許可要求に含まれる第2識別子は、前記周辺装置と無線通信を行っている無線通信アクセスポイント装置を識別する識別子である、(3)に記載のアクセス認証サーバ。
(5)現在時刻を算出する時刻算出手段を更に備え、前記生成手段は、前記使用許可要求に含まれる前記第1識別子及び前記第2識別子と前記算出された現在時刻とに基づいて、前記認証処理に必要とする情報の種類を決定して前記収集指示を生成する、(3)又は(4)に記載のアクセス認証サーバ。
(6)前記認証手段は、前記使用許可要求に含まれる第1識別子で識別される周辺装置の使用を許可するかどうかの第1の認証処理を前記第1識別子及び前記第2識別子に基づいて行い、前記第1の認証処理をパスした前記周辺装置の使用を許可するかどうかの第2の認証処理を前記第2受信処理で受信した前記認証情報に基づいて行う、(3)乃至(5)のいずれか1項に記載のアクセス認証サーバ。
(7)前記認証手段は、前記第1の認証処理を、前記第1識別子と前記第2識別子と現在時刻とに基づいて行う、(6)に記載のアクセス認証サーバ。
(8)前記使用許可要求は、前記周辺装置と接続されたホスト端末を識別する第3識別子を更に含み、前記生成手段は、前記使用許可要求に含まれる前記第1識別子と第2識別子と第3識別子とに基づいて前記認証処理に必要とする情報の種類を決定して前記収集指示を生成する、(3)又は(4)に記載のアクセス認証サーバ。
(9)前記使用許可要求は、時刻に関する情報を更に含み、前記生成手段は、前記使用許可要求に含まれる前記第1識別子と前記第2識別子と前記時刻に関する情報とに基づいて前記認証処理に必要とする情報の種類を決定して前記収集指示を生成する、(3)又は(4)に記載のアクセス認証サーバ。
(10)周辺装置と無線通信アクセスポイント装置との対応関係が登録されている第1管理テーブルを記憶する記憶手段を更に備え、前記生成手段は、前記使用許可要求に含まれる前記第1識別子及び前記第2識別子でそれぞれ識別される周辺装置及び無線通信アクセスポイント装置の組み合わせが前記第1管理テーブルに登録されている場合に前記認証処理に必要とする情報の種類を決定して前記収集指示を生成する、(4)に記載のアクセス認証サーバ。
(11)前記記憶手段は、周辺装置と複数の認証情報とが対応付けられた第2管理テーブルを更に記憶し、前記生成手段は、前記第2管理テーブルに含まれる前記複数の認証情報の種類の中から、前記認証処理に必要とする情報の種類を選択して前記収集指示を生成する、(10)に記載のアクセス認証サーバ。
(12)前記認証処理手段は、前記第2受信処理で受信した認証情報と、前記第2管理テーブルに含まれる認証情報とを対比することで前記認証処理を行い、前記送信手段は、前記認証処理において前記第2受信処理で受信した認証情報と前記第2管理テーブルに含まれる認証情報とが一致した場合に認証処理が成功したことを示す情報を送信する、(11)に記載のアクセス認証サーバ。 (1) A first receiving process for receiving a use permission request for requesting permission for use of a peripheral device connected to the host terminal, and a first receiving process for receiving authentication information used for authentication processing for determining whether or not to permit use of the peripheral device. Receiving means for performing two receiving processes, generating means for generating a collection instruction for instructing collection of information necessary for the authentication process based on the use permission request received in the first receiving process, and the second An authentication processing means for performing the authentication processing using the authentication information received in the reception processing; a first transmission processing for transmitting the generated collection instruction; and a second transmission processing for transmitting a result of the authentication processing. An access authentication server comprising: a transmission means for performing;
(2) The access authentication server according to (1), wherein the generation unit generates the collection instruction including information specifying a type of information necessary for the authentication process.
(3) The use permission request includes a first identifier for identifying the peripheral device and a second identifier capable of specifying a use position range of the peripheral device, and the generation unit includes the first identifier included in the use permission request. The access authentication server according to (2), wherein the collection instruction is generated by determining a type of information necessary for the authentication processing based on one identifier and the second identifier.
(4) The access authentication server according to (3), wherein the second identifier included in the use permission request is an identifier for identifying a wireless communication access point device that is performing wireless communication with the peripheral device.
(5) It further comprises time calculating means for calculating a current time, and the generating means is configured to perform the authentication based on the first identifier and the second identifier included in the use permission request and the calculated current time. The access authentication server according to (3) or (4), wherein the type of information required for processing is determined and the collection instruction is generated.
(6) The authentication means performs a first authentication process as to whether or not to permit use of the peripheral device identified by the first identifier included in the use permission request based on the first identifier and the second identifier. And a second authentication process for determining whether to permit use of the peripheral device that has passed the first authentication process is performed based on the authentication information received in the second reception process. The access authentication server according to any one of the above.
(7) The access authentication server according to (6), wherein the authentication unit performs the first authentication process based on the first identifier, the second identifier, and a current time.
(8) The use permission request further includes a third identifier for identifying a host terminal connected to the peripheral device, and the generation unit includes the first identifier, the second identifier, and the second identifier included in the use permission request. The access authentication server according to (3) or (4), wherein the collection instruction is generated by determining a type of information required for the authentication processing based on the three identifiers.
(9) The use permission request further includes information related to time, and the generation unit performs the authentication process based on the first identifier, the second identifier, and the information related to time included in the use permission request. The access authentication server according to (3) or (4), wherein the type of required information is determined and the collection instruction is generated.
(10) Storage means for storing a first management table in which a correspondence relationship between a peripheral device and a wireless communication access point device is registered, wherein the generation means includes the first identifier included in the use permission request and When a combination of a peripheral device and a wireless communication access point device respectively identified by the second identifier is registered in the first management table, the type of information required for the authentication process is determined and the collection instruction is issued The access authentication server according to (4), which is generated.
(11) The storage unit further stores a second management table in which the peripheral device is associated with a plurality of pieces of authentication information, and the generation unit includes types of the plurality of pieces of authentication information included in the second management table. The access authentication server according to (10), wherein the collection instruction is generated by selecting a type of information required for the authentication process from among the above.
(12) The authentication processing unit performs the authentication process by comparing the authentication information received in the second reception process with the authentication information included in the second management table, and the transmission unit performs the authentication process. The access authentication according to (11), wherein information indicating that the authentication process is successful is transmitted when the authentication information received in the second reception process matches the authentication information included in the second management table in the process. server.

また、ホスト端末については以下の構成をとることが可能である。   The host terminal can have the following configuration.

(13)自装置に接続された周辺装置とデータ通信を行うデータ通信手段と、前記周辺装置の使用を許可するかどうかの認証処理に必要とする情報の収集指示を受信する第1受信処理と、前記認証処理の結果を受信する第2受信処理と、を行う受信手段と、前記第1受信処理で受信した前記収集指示に基づいて、前記認証処理に用いられる認証情報を収集する認証情報収集手段と、前記周辺装置の使用許可を要求する使用許可要求を送信する第1送信処理と、前記認証情報収集手段で収集された前記認証情報を送信する第2送信処理と、を行う送信手段と、を備えるホスト端末装置。
(14)前記第1受信処理で受信した前記収集指示は、前記認証処理に必要とする情報の種類を指定する情報を含み、前記認証情報収集手段は、前記収集指示で指定される種類の情報を前記認証処理で用いられる認証情報として収集する、(13)に記載のホスト端末装置。
(15)前記周辺装置を識別する第1識別子を取得する制御を行う制御手段を更に備え、
前記送信手段は、前記第1識別子を含めて前記使用許可要求を送信する第1の送信処理を行う、(13)又は(14)に記載のホスト端末装置。 (13) Data communication means for performing data communication with a peripheral device connected to the own device, and a first reception process for receiving an instruction to collect information necessary for authentication processing as to whether or not the use of the peripheral device is permitted Authentication information collection for collecting authentication information used for the authentication process based on the collection instruction received in the first reception process; and a receiving means for receiving a result of the authentication process; And a transmission means for performing a first transmission process for transmitting a use permission request for requesting permission to use the peripheral device, and a second transmission process for transmitting the authentication information collected by the authentication information collection means. A host terminal device.
(14) The collection instruction received in the first reception process includes information designating a type of information required for the authentication process, and the authentication information collection unit is information of a type designated by the collection instruction. Are collected as authentication information used in the authentication processing. (13).
(15) further comprising control means for performing control for obtaining a first identifier for identifying the peripheral device;
The host device according to (13) or (14), wherein the transmission unit performs a first transmission process of transmitting the use permission request including the first identifier.

また、周辺装置は図11に示すように、以下の構成をとることが可能である。ここで、周辺装置は、データ通信部710と、制御部720と、認証情報収集部750と、受信部760と、送信部770と、を備える構成とすることが可能である。具体的には、次の(16)〜(25)に示す構成とすることが可能である。   Further, as shown in FIG. 11, the peripheral device can have the following configuration. Here, the peripheral device can be configured to include a data communication unit 710, a control unit 720, an authentication information collection unit 750, a reception unit 760, and a transmission unit 770. Specifically, the following configurations (16) to (25) can be adopted.

(16)自装置に接続されたホスト端末とデータ通信を行うデータ通信手段と、自装置の使用を許可するかどうかの認証処理に必要とする情報の収集指示を受信する第1受信処理と、前記認証処理の結果を受信する第2受信処理と、を行う受信手段と、前記第1受信処理で受信した収集指示に基づいて、前記認証処理で用いられる認証情報を収集する認証情報収集手段と、自装置の使用許可を要求する使用許可要求を送信する第1送信処理と、前記認証情報収集手段で収集された前記認証情報を送信する第2送信処理と、を行う送信手段と、前記第2受信処理で受信した前記認証処理の結果に基づいて前記ホスト端末から自装置へのアクセスの許可又は拒否を制御する制御手段と、を備える周辺装置。
(17)前記収集指示は、前記認証処理に必要とする情報の種類を指定する情報を含み、
前記認証情報収集手段は、前記収集指示で指定される種類の情報を前記認証処理に用いられる認証情報として収集する、(16)に記載の周辺装置。
(18)自装置を識別する第1識別子を記憶する記憶手段と、前記使用許可要求を生成する生成手段と、を更に備え、前記生成手段は、前記第1識別子を含めて前記使用許可要求を生成する、(16)又は(17)に記載の周辺装置。
(19)前記記憶手段は、情報収集を行うセキュリティプログラムを更に記憶し、前記認証情報収集手段は前記セキュリティプログラムを前記ホスト端末で実行させることで前記認証処理に用いられる認証情報を収集する、(18)に記載の周辺装置。
(20)前記認証情報収集手段は、前記収集指示に含まれる前記認証処理に必要とする情報の種類を指定する情報を前記ホスト端末に通知し、指定された種類の情報を前記ホスト端末上で、前記セキュリティプログラムに収集させることにより前記認証処理に用いられる認証情報を収集する、(19)に記載の周辺装置。
(21)前記記憶手段はデータを記憶し、前記制御手段は、前記第2受信処理で受信した認証処理の結果に基づいて前記ホスト端末から前記記憶手段に記憶された前記データへのアクセスの許可又は拒否を制御する、(18)乃至(20)のいずれか1項に記載の周辺装置。
(22)前記生成手段は、前記自装置を識別する第1識別子と自装置の使用位置範囲を特定可能な第2識別子とを含めて前記使用許可要求を生成する、(18)乃至(21)のいずれか1項に記載の周辺装置。
(23)前記第2識別子は、前記受信手段及び前記送信手段が無線通信を行っている無線通信アクセスポイントを識別する識別子である、(22)に記載の周辺装置。
(24)ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を受信し、
前記受信した使用許可要求に基づいて前記周辺装置の使用を許可するかどうかの認証処理に必要とする情報の収集を指示する収集指示を生成し、前記生成した収集指示を送信し、前記収集指示に基づいて収集された前記認証処理に用いられる認証情報を受信し、前記受信した認証情報を用いて前記周辺装置の使用を許可するかどうかの認証処理を行い、前記認証処理の結果を送信する、アクセス認証方法。
(25)自装置の使用許可を要求する使用許可要求を送信し、自装置の使用を許可するかどうかの認証処理に必要とする情報の収集指示を受信し、前記受信した収集指示に基づいて、前記認証処理で用いられる認証情報を収集し、前記収集した認証情報を送信し、前記認証処理の結果を受信し、前記受信した認証処理の結果に基づいて前記ホスト端末から自装置へのアクセスの許可又は拒否を制御し、前記制御に従って前記ホスト端末とデータ通信を行う、周辺装置使用方法。 (16) data communication means for performing data communication with a host terminal connected to the own device, a first reception process for receiving an instruction to collect information necessary for authentication processing as to whether or not to permit use of the own device; A second receiving process for receiving a result of the authentication process; an authentication information collecting means for collecting authentication information used in the authentication process based on the collection instruction received in the first receiving process; Transmitting means for performing a first transmission process for transmitting a use permission request for requesting use permission of the own apparatus, and a second transmission process for transmitting the authentication information collected by the authentication information collecting means; 2. A peripheral device comprising: control means for controlling permission or denial of access from the host terminal to the own device based on the result of the authentication processing received in the two reception processing.
(17) The collection instruction includes information designating a type of information required for the authentication process,
The peripheral device according to (16), wherein the authentication information collection unit collects information of a type specified by the collection instruction as authentication information used for the authentication process.
(18) storage means for storing a first identifier for identifying the device itself; and generation means for generating the use permission request, wherein the generation means includes the first identifier and the use permission request. The peripheral device according to (16) or (17).
(19) The storage unit further stores a security program for collecting information, and the authentication information collection unit collects authentication information used for the authentication process by causing the host terminal to execute the security program. The peripheral device according to 18).
(20) The authentication information collection means notifies the host terminal of information specifying the type of information required for the authentication process included in the collection instruction, and the specified type of information is transmitted on the host terminal. The peripheral device according to (19), wherein authentication information used for the authentication process is collected by causing the security program to collect the authentication information.
(21) The storage means stores data, and the control means permits access from the host terminal to the data stored in the storage means based on the result of the authentication process received in the second reception process. Alternatively, the peripheral device according to any one of (18) to (20), which controls rejection.
(22) The generation unit generates the use permission request including a first identifier for identifying the own device and a second identifier capable of specifying the use position range of the own device. (18) to (21) The peripheral device according to any one of the above.
(23) The peripheral device according to (22), wherein the second identifier is an identifier for identifying a wireless communication access point with which the reception unit and the transmission unit perform wireless communication.
(24) receiving a use permission request for requesting use permission of a peripheral device connected to the host terminal;
Based on the received use permission request, generates a collection instruction that instructs collection of information necessary for authentication processing whether to permit use of the peripheral device, transmits the generated collection instruction, and collects the collection instruction. The authentication information used for the authentication process collected based on the authentication process is received, the authentication process is performed to determine whether to permit the use of the peripheral device using the received authentication information, and the result of the authentication process is transmitted. , Access authentication method.
(25) A use permission request for requesting use of the own device is transmitted, an instruction to collect information necessary for authentication processing whether to permit use of the own device is received, and based on the received collection instruction Collecting authentication information used in the authentication process, transmitting the collected authentication information, receiving the result of the authentication process, and accessing the host apparatus from the host terminal based on the received authentication process result Peripheral device usage method for controlling permission or denial of data and performing data communication with the host terminal according to the control.

100 周辺装置 110 データ通信部
120 通信制御部 130 記憶部
200 ホスト端末 210 データ通信部
220 通信制御部 230 受信部
240 認証情報収集部 250 送信部
300 セキュリティ管理サーバ 310 受信部
320 収集指示生成部 330 認証処理部
340 送信部 400 周辺装置
401 コネクタ 402 コントローラIC
403 フラッシュメモリチップ 404 無線通信制御回路
405 無線通信用アンテナ 406〜408 信号線
410 データ通信部 420 通信制御部
430 データ記憶部 440 使用許可要求生成部
450 認証情報収集部 460 無線受信部
470 無線送信部 500 ホスト端末
510 データ通信部 520 通信制御部
530 データ記憶部 540 プログラム実行部
600 セキュリティ管理サーバ 610 受信部
620 認証処理部 630 収集指示生成部
640 管理テーブル記憶部 650 送信部
700-70n アクセスポイント
710 データ通信部 720 制御部
750 認証情報収集部 760 受信部
770 送信部 DESCRIPTION OF SYMBOLS 100 Peripheral device 110 Data communication part 120 Communication control part 130 Storage part 200 Host terminal 210 Data communication part 220 Communication control part 230 Reception part 240 Authentication information collection part 250 Transmission part 300 Security management server 310 Reception part 320 Collection instruction generation part 330 Authentication Processing unit 340 Transmission unit 400 Peripheral device 401 Connector 402 Controller IC
403 flash memory chip 404 wireless communication control circuit 405 wireless communication antenna 406 to 408 signal line 410 data communication unit 420 communication control unit 430 data storage unit 440 use permission request generation unit 450 authentication information collection unit 460 wireless reception unit 470 wireless transmission unit 500 Host terminal 510 Data communication unit 520 Communication control unit 530 Data storage unit 540 Program execution unit 600 Security management server 610 Reception unit 620 Authentication processing unit 630 Collection instruction generation unit 640 Management table storage unit 650 Transmission unit 700-70n Access point 710 Data Communication unit 720 Control unit 750 Authentication information collection unit 760 Reception unit 770 Transmission unit

Claims (8)

自装置に接続されたホスト端末とデータ通信を行うデータ通信手段と、
自装置の使用を許可するかどうかの認証処理に必要とする情報の収集指示をアクセス認証サーバから受信する第1受信処理と、前記認証処理の結果を前記アクセス認証サーバから受信する第2受信処理と、を行う受信手段と、
前記第1受信処理で受信した収集指示に基づいて、前記認証処理で用いられる認証情報を収集する認証情報収集手段と、
自装置の使用許可を要求する使用許可要求を前記アクセス認証サーバへ送信する第1送信処理と、前記認証情報収集手段で収集された前記認証情報を前記アクセス認証サーバへ送信する第2送信処理と、を行う送信手段と、
前記第2受信処理で受信した前記認証処理の結果に基づいて前記ホスト端末から自装置へのアクセスの許可又は拒否を制御する制御手段と、
自装置を識別する第1識別子を記憶する記憶手段と、
前記使用許可要求を生成する生成手段と、
を備え
前記生成手段は、前記自装置を識別する第1識別子と自装置の使用位置範囲を特定可能な第2識別子とを含めて前記使用許可要求を生成する周辺装置。 Data communication means for performing data communication with a host terminal connected to the own device;
A first reception process for receiving from the access authentication server an instruction to collect information necessary for an authentication process for whether or not to permit use of the own apparatus, and a second reception process for receiving the result of the authentication process from the access authentication server And receiving means for performing,
Authentication information collection means for collecting authentication information used in the authentication process based on the collection instruction received in the first reception process;
A first transmission process for transmitting a use permission request for requesting use of the own apparatus to the access authentication server; a second transmission process for transmitting the authentication information collected by the authentication information collection means to the access authentication server ; Transmitting means for performing
Control means for controlling permission or denial of access from the host terminal to the own apparatus based on the result of the authentication process received in the second reception process;
Storage means for storing a first identifier for identifying the device;
Generating means for generating the use permission request;
Equipped with a,
It said generating means, peripherals that generates the use permission request including the second identifier capable of specifying the first use position range identifier and its own device identifying the own device. 前記収集指示は、前記認証処理に必要とする情報の種類を指定する情報を含み、
前記認証情報収集手段は、前記収集指示で指定される種類の情報を前記認証処理に用いられる認証情報として収集する、
請求項1に記載の周辺装置。 The collection instruction includes information specifying a type of information required for the authentication process,
The authentication information collecting means collects the type of information specified by the collection instruction as authentication information used for the authentication processing;
The peripheral device according to claim 1. 前記記憶手段は、情報収集を行うセキュリティプログラムを更に記憶し、
前記認証情報収集手段は前記セキュリティプログラムを前記ホスト端末で実行させることで前記認証処理に用いられる認証情報を収集する、
請求項に記載の周辺装置。 The storage means further stores a security program for collecting information,
The authentication information collecting means collects authentication information used for the authentication process by causing the host terminal to execute the security program;
The peripheral device according to claim 1 . 前記認証情報収集手段は、前記収集指示に含まれる前記認証処理に必要とする情報の種類を指定する情報を前記ホスト端末に通知し、前記指定された種類の情報を前記ホスト端末上で、前記セキュリティプログラムに収集させることにより前記認証処理に用いられる認証情報を収集する、
請求項に記載の周辺装置。 The authentication information collecting means notifies the host terminal of information specifying a type of information required for the authentication process included in the collection instruction, and the specified type of information is transmitted on the host terminal. Collecting authentication information used for the authentication process by allowing the security program to collect the information;
The peripheral device according to claim 3 . 前記第2識別子は、前記受信手段及び前記送信手段が無線通信を行っている無線通信アクセスポイントを識別する識別子である、
請求項に記載の周辺装置。 The second identifier is an identifier for identifying a wireless communication access point with which the receiving unit and the transmitting unit are performing wireless communication.
The peripheral device according to claim 1 . ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を前記周辺装置から受信する第1受信処理と、前記周辺装置の使用を許可するかどうかの認証処理に用いる認証情報を前記周辺装置から受信する第2受信処理と、を行う受信手段と、
前記第1受信処理で受信した使用許可要求に基づいて前記認証処理に必要とする情報の収集を指示する収集指示を生成する生成手段と、
前記第2受信処理で受信した前記認証情報を用いて前記認証処理を行う認証処理手段と、
前記生成した収集指示を前記周辺装置へ送信する第1送信処理と、前記認証処理の結果を前記周辺装置へ送信する第2送信処理と、を行う送信手段と、
を備え
前記使用許可要求には、前記周辺装置を識別する第1識別子と当該周辺装置の使用位置範囲を特定可能な第2識別子とが含まれていることを特徴とするアクセス認証サーバ。 A first reception process of receiving use permission request for requesting permission to use the peripheral device connected to the host terminal from the peripheral device, the peripheral authentication information used for whether the authentication process to allow use of the peripheral device Receiving means for performing second receiving processing received from the apparatus ;
Generating means for generating a collection instruction for instructing collection of information necessary for the authentication process based on the use permission request received in the first reception process;
Authentication processing means for performing the authentication processing using the authentication information received in the second reception processing;
Transmission means for performing a first transmission process for transmitting the generated collection instruction to the peripheral device and a second transmission process for transmitting a result of the authentication process to the peripheral device ;
Equipped with a,
Wherein the use permission request, the first identifier and access authentication server that characterized in that it includes a second identifier that can identify the use position range of the peripheral device for identifying the peripheral device. 前記生成手段は、前記認証処理に必要とする情報の種類を指定する情報を含めて前記収集指示を生成する、
請求項に記載のアクセス認証サーバ。 The generating unit generates the collection instruction including information specifying a type of information required for the authentication process;
The access authentication server according to claim 6 . コンピュータが、
ホスト端末に接続された周辺装置の使用許可を要求する使用許可要求を前記周辺装置から受信し、
前記受信した使用許可要求に基づいて前記周辺装置の使用を許可するかどうかの認証処理に必要とする情報の収集を指示する収集指示を生成し、
前記生成した収集指示を前記周辺装置へ送信し、
前記収集指示に基づいて収集された前記認証処理に用いられる認証情報を前記周辺装置から受信し、
前記受信した認証情報を用いて前記周辺装置の使用を許可するかどうかの認証処理を行い、
前記認証処理の結果を前記周辺装置へ送信し、
前記使用許可要求には、前記周辺装置を識別する第1識別子と当該周辺装置の使用位置範囲を特定可能な第2識別子とが含まれていることを特徴とする
アクセス認証方法。 Computer
Receiving a permission request for requesting permission to use a peripheral device connected to the host terminal from the peripheral device ;
Generating a collection instruction for instructing collection of information necessary for authentication processing whether to permit use of the peripheral device based on the received use permission request;
Sending the generated collection instructions to the peripheral device ;
Receiving authentication information used for the authentication process collected based on the collection instruction from the peripheral device ;
Performing an authentication process as to whether or not to permit the use of the peripheral device using the received authentication information,
Sending the result of the authentication process to the peripheral device ;
The access authentication method, wherein the use permission request includes a first identifier for identifying the peripheral device and a second identifier capable of specifying a use position range of the peripheral device .
JP2011156947A 2011-07-15 2011-07-15 Peripheral device, access authentication server, access authentication method Active JP5448205B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011156947A JP5448205B2 (en) 2011-07-15 2011-07-15 Peripheral device, access authentication server, access authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011156947A JP5448205B2 (en) 2011-07-15 2011-07-15 Peripheral device, access authentication server, access authentication method

Publications (2)

Publication Number Publication Date
JP2013025391A JP2013025391A (en) 2013-02-04
JP5448205B2 true JP5448205B2 (en) 2014-03-19

Family

ID=47783709

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011156947A Active JP5448205B2 (en) 2011-07-15 2011-07-15 Peripheral device, access authentication server, access authentication method

Country Status (1)

Country Link
JP (1) JP5448205B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9160729B2 (en) * 2013-08-20 2015-10-13 Paypal, Inc. Systems and methods for location-based device security
GB2541000B (en) * 2015-08-04 2018-09-19 Displaylink Uk Ltd Security Device
JP6567939B2 (en) * 2015-10-05 2019-08-28 任天堂株式会社 Information processing system, peripheral device, wireless communication chip, application program, and information processing method
JP6992536B2 (en) 2018-01-19 2022-01-13 富士通株式会社 Observation system and observation method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4053704B2 (en) * 2000-01-05 2008-02-27 株式会社東芝 IC card with built-in wireless interface function, antenna module, information processing device
JP4644900B2 (en) * 2000-03-07 2011-03-09 ソニー株式会社 Service providing system, service providing method, service mediating apparatus, and program providing medium via communication means
JP2004348206A (en) * 2003-05-20 2004-12-09 Hitachi Ltd Home network communication control system, information terminal, access permission program, and program for generating program
JP4247109B2 (en) * 2003-12-25 2009-04-02 株式会社東芝 Network telephone system, main device of the network telephone system, and connection authentication method

Also Published As

Publication number Publication date
JP2013025391A (en) 2013-02-04

Similar Documents

Publication Publication Date Title
US9633188B2 (en) Device, information processing system, and control method that permit both an authentication-type application program and a non-authentication-type program to access an authentication device
US20040123127A1 (en) System and method for securing portable data
JP2011054120A (en) Image processing apparatus, image processing system and user authentication method
EP3777082B1 (en) Trusted platform module-based prepaid access token for commercial iot online services
JP2007241562A (en) Computer readable recording medium having device driver program recorded thereon, storage device access method and storage device access system
US20090240907A1 (en) Remote storage access control system
US9529982B2 (en) Method and apparatus to manage user account of device
EP2315150A1 (en) IC chip, information processing apparatus, system, method and program
US20070280186A1 (en) Information processing apparatus and access control method
WO2006018864A1 (en) Storage device and storage method
JP5448205B2 (en) Peripheral device, access authentication server, access authentication method
JP4013985B1 (en) Image processing system, image processing apparatus, and function execution authority granting method
TW201028883A (en) Secure platform management device
US20160234185A1 (en) Storage device, information processing system, authentication method, and non-transitory computer readable medium
CN105009553A (en) Information terminal device, information terminal control method, and program
JP5521479B2 (en) Program, data storage device and data storage system
JP2014089576A (en) Portable terminal device, portable terminal program, document storage server, document storing program and document management system
US11347862B2 (en) Credential management for an information handling system
JP6107350B2 (en) Use permission / rejection control device, use permission / rejection control method, and program
JP2009042927A (en) Information storage device and information management system
JP2006031575A (en) Hard disk security management system and method therefor
JP2009020744A (en) Portable information processor, electronic equipment, operation control method, and operation control program
WO2021066843A1 (en) Risk assessment of account access
JP2013134608A (en) Data transmission device, data communication system, data reception device, and program
JP2005049957A (en) Ic card and ic card system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130930

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131220

R150 Certificate of patent or registration of utility model

Ref document number: 5448205

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350