JP3861064B2 - Authentication system, program, recording medium, and authentication method - Google Patents
Authentication system, program, recording medium, and authentication method Download PDFInfo
- Publication number
- JP3861064B2 JP3861064B2 JP2003049491A JP2003049491A JP3861064B2 JP 3861064 B2 JP3861064 B2 JP 3861064B2 JP 2003049491 A JP2003049491 A JP 2003049491A JP 2003049491 A JP2003049491 A JP 2003049491A JP 3861064 B2 JP3861064 B2 JP 3861064B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- information
- authentication
- information terminal
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 33
- 230000005540 biological transmission Effects 0.000 claims description 128
- 238000007689 inspection Methods 0.000 claims description 114
- 238000004364 calculation method Methods 0.000 claims description 59
- 238000004891 communication Methods 0.000 claims description 31
- 238000013475 authorization Methods 0.000 claims 3
- 241000700605 Viruses Species 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 45
- 238000010586 diagram Methods 0.000 description 20
- 238000004590 computer program Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 238000011002 quantification Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 210000000554 iris Anatomy 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 210000000887 face Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明はインターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証システム等に関する。
【0002】
【従来の技術】
【非特許文献1】
第390頁、日経コミュニケーション編集、通信・ネットワーク用語ハンドブック2001年版、日経BP社、2001年3月23日発行。
【0003】
IPネットワークを利用してウェブクライアントとウェブサーバとの間で通信を行う場合、セキュリティ管理は極めて重要となっている。例えば、企業等のローカル・エリア・ネットワーク(Local Area Network:「LAN」という)内のサーバとユーザのモバイル端末等の情報端末装置との間でIPネットワークを利用して通信を行うような場合、一般的にセキュリティ管理として通信データの暗号化およびユーザ認証を行っている。特に、非特許文献1に記載されているように、通信データの暗号化技術を用いてIPネットワークを企業等のLANの仮想専用網として使用する仮想私設網(Virtual Private Network : VPN)の利用が行われている。
【0004】
【発明が解決しようとする課題】
上述のように通信データを暗号化するVPNを利用する場合、ユーザ認証はユーザIDおよびパスワードにより行っている。この結果、ユーザが本人であることの認証は行われていた。しかし、ユーザが際に使用する情報端末装置にコンピュータ・ウィルスが感染していた場合、VPNの利用により通信データが暗号化され且つユーザ認証が正しく行われていたとしても、接続したLAN側が当該コンピュータ・ウィルスに感染する危険性があるという問題があった。
【0005】
そこで、本発明の目的は、上記問題を解決するためになされたものであり、ユーザの情報処理装置と企業等のLAN内のサーバとの間でVPN等のような通信データを暗号化する仮想私設網を用い、且つユーザの本人認証に成功した場合であっても、コンピュータ・ウィルスに感染した情報端末装置の接続を制限することのできる認証システム等を提供することにある。
【0006】
【課題を解決するための手段】
この発明の認証システムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証システムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、
前記情報端末装置は、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段と、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記危険度算出手段で算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度送信手段で送信された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする。
【0007】
この発明の認証システムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証システムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、
前記情報端末装置は、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段と、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段で収集された脆弱性に関する情報を前記サーバへ前記仮想私設網を介して送信する送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記送信手段で送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度算出手段で算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする。
【0008】
この発明の認証システムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証システムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、該認証システムは該情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置と、IPネットワークに接続されたデータセンタ側サーバとを備え、
前記情報端末装置は、
該情報端末装置に所定のインタフェースを介して接続された前記検査装置の識別子を取得する識別子取得手段と、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記識別子取得手段で取得された前記検査装置の識別子と前記認証情報入力手段で入力した認証情報とを前記サーバへ前記仮想私設網を介して送信する認証情報送信手段とを備え、
前記検査装置は、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記危険度算出手段で算出された危険度と前記検査装置の識別子とを前記データセンタ側サーバへ送信する危険度送信手段とを備え、
前記データセンタ側サーバは、
前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、前記危険度送信手段で送信された該検査装置の識別子に応じたサーバのIPアドレスを取得するIPアドレス取得手段と、
前記IPアドレス取得手段で取得されたIPアドレスのサーバへ前記危険度送信手段で送信された危険度と前記検査装置の識別子とを送信するデータセンタ側危険度送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記認証情報送信手段で送信された検査装置の識別子と前記データセンタ側危険度送信手段で送信された検査装置の識別子と危険度とに基づき、該情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする。
【0009】
ここで、この発明の認証システムにおいて、前記情報端末装置認証手段におけるセキュリティ認証は、前記危険度送信手段で送信された危険度が所定の閾値以下である場合、前記情報端末装置のセキュリティを認証することができる。
【0010】
ここで、この発明の認証システムにおいて、所定の閾値より大きい他の閾値をさらに有し、前記危険度送信手段で送信された危険度が前記所定の閾値と前記他の閾値との間である場合、所定の警告メッセージを前記情報端末装置へ送信し、該危険度が前記他の閾値を超えた場合、前記情報端末装置のセキュリティを認証しないことができる。
【0011】
ここで、この発明の認証システムにおいて、前記情報端末装置認証手段におけるセキュリティ認証は、前記危険度算出手段で算出された危険度が所定の閾値以下である場合、前記情報端末装置のセキュリティを認証することができる。
【0012】
ここで、この発明の認証システムにおいて、所定の閾値より大きい他の閾値をさらに有し、前記危険度算出手段で算出された危険度が前記所定の閾値と前記他の閾値との間である場合、所定の警告メッセージを前記情報端末装置へ送信し、該危険度が前記他の閾値を超えた場合、前記情報端末装置のセキュリティを認証しないことができる。
【0013】
この発明のプログラムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間の認証システムにおける該情報端末装置側の処理を行うプログラムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、該情報端末装置のコンピュータを、
ユーザに関する認証情報であって前記サーバにより該ユーザの本人認証に用いられる認証情報を入力部から入力する認証情報入力手段、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段であって、該危険度は、前記サーバにより該情報端末装置のセキュリティ認証に用いられ、前記サーバにより前記ユーザが本人と認証され且つ該情報端末装置のセキュリティが認証された場合、該ユーザが前記情報端末装置から該サーバへアクセスすることが許可されるものであり、
前記危険度算出手段で算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信手段として機能させるためのプログラムである。
【0014】
この発明のプログラムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間の認証システムにおける該サーバ側の処理を行うプログラムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、該サーバのコンピュータを、
前記情報端末装置の入力部により入力され前記サーバへ前記仮想私設網を介して送信されたユーザに関する認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段、
前記情報端末装置が収集した該情報端末装置の有するソフトウェアおよびハードウェアの諸元について、該情報端末装置がIPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから収集した脆弱性に関する情報に基づき数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度算出手段で算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段として機能させるためのプログラムである。
【0015】
ここで、この発明のプログラムにおいて、前記情報端末装置認証手段におけるセキュリティ認証は、前記危険度算出手段で算出された危険度が所定の閾値以下である場合、前記情報端末装置のセキュリティを認証することができる。
【0016】
ここで、この発明のプログラムにおいて、所定の閾値より大きい他の閾値をさらに有し、前記危険度算出手段で算出された危険度が前記所定の閾値と前記他の閾値との間である場合、所定の警告メッセージを前記情報端末装置へ送信し、該危険度が前記他の閾値を超えた場合、前記情報端末装置のセキュリティを認証しないことができる。
【0017】
この発明のプログラムは、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間の認証システムにおける、該情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置側の処理を行うプログラムであって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、該検査装置のコンピュータを、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段であって、該危険度は、該検査装置の識別子と共に前記サーバにより該情報端末装置のセキュリティ認証に用いられるものであり、前記サーバにより、該情報端末装置の入力部により入力され前記サーバへ前記仮想私設網を介して送信された認証情報によって前記ユーザが本人と認証され且つ該認証情報と共に送信された前記検査装置の識別子および該危険度により該情報端末装置のセキュリティが認証された場合、該ユーザが前記情報端末装置から該サーバへアクセスすることが許可されるものであり、
前記危険度算出手段で算出された危険度と前記検査装置の識別子とを、IPネットワークに接続されたデータセンタ側サーバへ送信する危険度送信手段であって、該データセンタ側サーバは、前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、該危険度送信手段で送信された該検査装置の識別子に応じたサーバのIPアドレスを取得し、該IPアドレスのサーバへ該危険度送信手段で送信された危険度と前記検査装置の識別子とを送信するものとして機能させるためのプログラムである。
【0018】
この発明の記録媒体は、本発明の記載のプログラムを記録したコンピュータ読取り可能な記録媒体である。
【0019】
この発明の認証方法は、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証方法であって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
前記認証情報入力ステップで入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップにより収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記危険度算出ステップで算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信ステップとを備え、
前記サーバが、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度送信ステップで送信された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする。
【0020】
この発明の認証方法は、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証方法であって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
前記認証情報入力ステップで入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップで収集された脆弱性に関する情報を前記サーバへ前記仮想私設網を介して送信する送信ステップとを備え、
前記サーバが、
前記送信ステップで送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度算出ステップで算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記脆弱値取得ステップで取得された脆弱値、前記リスク値取得ステップで取得されたリスク値および前記セキュリティ値取得ステップで取得されたセキュリティ値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度算出ステップで算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする。
【0021】
この発明の認証方法は、インターネット・プロトコル(Internet Protocol : 「IP」という)ネットワークを介して接続を行うサーバとユーザの情報端末装置との間における認証方法であって、該サーバと該情報端末装置とは該IPネットワーク上に仮想私設網を設けて通信を行うものであり、
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
該情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置の識別子を取得する識別子取得ステップと、
前記識別子取得ステップで取得された前記検査装置の識別子と前記認証情報入力ステップで入力した認証情報とを前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップにより収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記危険度算出ステップで算出された危険度と前記検査装置の識別子とをIPネットワークに接続されたデータセンタ側サーバへ送信する危険度送信ステップとを備え、
前記データセンタ側サーバが、
前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、前記危険度送信ステップで送信された該検査装置の識別子に応じたサーバのIPアドレスを取得するIPアドレス取得ステップと、
前記IPアドレス取得ステップで取得されたIPアドレスのサーバへ前記危険度送信ステップで送信された危険度と前記検査装置の識別子とを送信するデータセンタ側危険度送信ステップとを備え、
前記サーバが、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記認証情報送信ステップで送信された検査装置の識別子と前記データセンタ側危険度送信ステップで送信された検査装置の識別子と危険度とに基づき、該情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする。
【0022】
ここで、この発明の認証方法において、前記情報端末装置認証ステップにおけるセキュリティ認証は、前記危険度送信ステップで送信された危険度が所定の閾値以下である場合、前記情報端末装置のセキュリティを認証することができる。
【0023】
ここで、この発明の認証方法において、所定の閾値より大きい他の閾値をさらに有し、前記危険度送信ステップで送信された危険度が前記所定の閾値と前記他の閾値との間である場合、所定の警告メッセージを前記情報端末装置へ送信し、該危険度が前記他の閾値を超えた場合、前記情報端末装置のセキュリティを認証しないことができる。
【0024】
ここで、この発明の認証方法において、前記情報端末装置認証ステップにおけるセキュリティ認証は、前記危険度算出ステップで算出された危険度が所定の閾値以下である場合、前記情報端末装置のセキュリティを認証することができる。
【0025】
ここで、この発明の認証方法において、所定の閾値より大きい他の閾値をさらに有し、前記危険度算出ステップで算出された危険度が前記所定の閾値と前記他の閾値との間である場合、所定の警告メッセージを前記情報端末装置へ送信し、該危険度が前記他の閾値を超えた場合、前記情報端末装置のセキュリティを認証しないことができる。
【0026】
【発明の実施の形態】
以下、各実施の形態について図面を参照して詳細に説明する。
【0027】
実施の形態1.
図1は、本発明の実施の形態1における認証システム10の概要を示す。図1において、符号20はモバイル端末等の情報端末装置、14はIPネットワーク、18はセキュリティ上の脆弱性(以下、「脆弱性」と略す)に関する情報を提供するIPネットワーク14に接続された情報提供サイト、40は企業等のサイトである。情報提供サイト18が提供する脆弱性は、例えばオペレーティング・システム(OS)、ウェブ・ブラウザ、アプリケーション・プログラム、データベースシステム等のバージョンまたは種類等に拠るセキュリティ・ホールに関する情報等である。企業等のサイト40内ではLAN46により本発明の認証システムにおけるサーバ50、メールサーバ44およびVPNの機能を有するVPNルータ(仮想私設網装置)42が接続されている。LAN46内には他の種々のサーバ、例えばウェブサーバ等が接続されていてもよい。VPNルータ42はIPネットワーク14と接続されている。情報端末装置20はアクセスポイント(Access Point : AP)12を経由しIPネットワーク14を介してVPNルータ42と接続されている。情報端末装置20およびVPNルータ42にはPPTP(Pont-to-Point Tunneling Protocol)またはL2TP(Layer 2 Tunneling Protocol)が実装されている。以上のようにして、情報端末装置20はIPネットワーク14上に設けられたVPN16を使用してLAN46内のサーバ50と接続可能である。
【0028】
以下、情報端末装置20およびサーバ50について説明する。図2は、本発明の実施の形態1における情報端末装置20の機能等をブロック図で示す。図2において、入力部21はユーザに関する認証情報を入力する機能を有する入力装置である。ユーザの認証情報としてユーザIDおよびパスワード等を用いる場合、入力部21には例えばマウス、キーボード等の入力装置を用いることができる。上述のユーザの認証情報が記録されたICカードまたは磁気カード等の記録媒体を用いる場合、入力部21にはICカードまたは磁気カード等の記録媒体読取り装置を用いることができる。ユーザの認証情報として指紋、声紋、顔、網膜または虹彩等の特徴を用いるバイオメトリクス認証の場合、入力部21には指紋読取りまたは虹彩読取り等の読取り装置等を用いればよい。
【0029】
図2に示される情報端末装置20の枠内は情報端末装置20のソフトウェアの機能をブロック化して示したものである。図2で、符号22はユーザに関する認証情報を入力部21から入力する認証情報入力部(認証情報入力手段)、24は認証情報入力部22で入力した認証情報をサーバ60へVPN16を介して送信する認証情報送信部(認証情報送信手段)である。
【0030】
続いて、符号26は情報端末装置20の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集部(諸元収集手段)である。諸元収集部26は情報端末装置20のOS、ウェブ・ブラウザ、アプリケーション・プログラム等の種々の対象について、バージョンまたは種類等の種々の諸元に関する情報を収集することができる。例えば所定のシステム関数を呼び出すことにより構造体等の所定のメンバ領域にOSのバージョンまたは種類等の諸元を得ることができる。
【0031】
図2において符号28は、IPネットワーク14に接続された脆弱性に関する情報を提供する情報提供サイト18から、諸元収集部26により収集された種々の対象の種々の諸元について脆弱性に関する情報を収集する脆弱性情報収集部(脆弱性情報収集手段)である。諸元収集部26により収集された対象として例えば情報端末装置20のOSを取り上げ、その諸元として当該OSのバージョンを取り上げた場合、脆弱性情報収集部28は当該バージョンOSの脆弱性に関する情報が情報提供サイト18に公開された年月日を脆弱性に関する情報として収集することができる。脆弱性情報収集部28は、当該バージョンのOSがサイバーテロ等の犯罪に狙われた件数を脆弱性に関する情報として収集することもできる。あるいは脆弱性情報収集部28は、当該バージョンのOSに対してサイバーテロ等の攻撃を成功させるために必要な技術の種類を脆弱性に関する情報として収集することができる。脆弱性情報収集部28はOSのバージョンに関して上述のような複数の脆弱性に関する情報を収集することができるだけではなく、さらに諸元収集部26により収集された他の対象の種々の諸元に関しても複数の脆弱性に関する情報を収集することができる。
【0032】
続いて、符号30は脆弱性情報収集部28により収集された種々の脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段(脆弱値取得手段)である。脆弱性情報収集部28により収集された脆弱性に関する情報が、上述の当該バージョンのOSの脆弱性に関する情報が情報提供サイト18に公開された年月日である場合、脆弱値取得部30は公開された年月日に基づいて、公開から現在まで経過した日数を数値化された脆弱値として取得することができる。この数値化は脆弱性が公開されてからの周知期間が長いほどサイバーテロ等の犯罪に狙われやすくなるという点に着目したものである。脆弱性情報収集部28により収集された脆弱性に関する情報が、上述のように当該バージョンのOSがサイバーテロ等の犯罪に狙われた件数である場合、脆弱値取得部30は当該件数に比例した数値を脆弱値として取得することができる。例えば当該バージョンのOSが世界的な規模のサイバーテロ等の犯罪に狙われたOSであれば、当該件数の多さに比例して脆弱値を10000と取得することができる。一方、ほとんど被害届けのないOSであれば当該件数の少なさに比例して脆弱値を10等として取得することができる。この数値化は脆弱性自体が有する脅威の度合いに着目したものである。他の比例の方法として所定の範囲の件数を一まとめにして所定の脆弱値と対応づけてもよい。脆弱性情報収集部28により収集された脆弱性に関する情報が、上述のように当該バージョンのOSに対してサイバーテロ等の攻撃を成功させるために必要な技術の種類である場合、脆弱値取得部30は当該必要な技術の種類の数に応じた数値を脆弱値として取得することができる。この数値化は当該必要な技術の種類の数が少ないほど、サイバーテロ等の攻撃を成功させることが容易となる点に着目したものである。所定の範囲の種類の数を一まとめにして所定の脆弱値と対応づけてもよい。脆弱値取得部30は脆弱性情報収集部28により収集された脆弱性に関する複数の情報に基づいて、複数の脆弱値を取得することができる。
【0033】
図2において符号32は、脆弱値取得部30で取得された種々の脆弱値に基づき、情報端末装置20のセキュリティ上の危険度を算出する危険度算出部(危険度算出手段)である。危険度とは情報端末装置20をサーバ50へ接続する場合のセキュリティ上のリスクを示す度合いである。具体的には、諸元収集部26が収集した情報端末装置20のOS、ウェブ・ブラウザ、アプリケーション・プログラム等の対象の数をK個とし、n番目の対象の危険度をVnとした場合、危険度Vnは脆弱値取得部30でn番目の対象について取得された種々の脆弱値に所望の関数を用いることにより、危険度Vnを算出することができる。例えば、あるバージョンのOSに関する危険度をVnとし、当該OSの脆弱性に関する情報が情報提供サイト18に公開されてから現在まで経過した日数を脆弱値Tn、当該OSがサイバーテロ等の犯罪に狙われた件数に比例した数値を脆弱値Rn、当該OSに対してサイバーテロ等の攻撃を成功させるために必要な技術の種類の数に応じた数値を脆弱値Snとした場合、危険度Vnは以下の式(関数)1で算出することができる。
【0034】
【数1】
【0035】
式1に示されるように、危険度Vnは脆弱値TnおよびRnに比例し脆弱値Snに反比例する。脆弱値Tnについては脆弱性が公開されてからの周知期間が長いほどサイバーテロ等の犯罪に狙われやすくなるため危険度を増加させ、脆弱値Rnについては脆弱性自体が有する脅威の度合いが大きいほど突出的に危険度を増加させるためである。一方、脆弱値Rnについてはサイバーテロ等の攻撃を成功させるために必要な技術の種類の数が少ないほど攻撃が容易となるため、危険度を増加させたものである。上述の式1は例示的な式であり他の式を用いてもよいことは当然である。式1を用いて各対象毎に算出された危険度Vnをn=1からKについて加算することにより、情報端末装置20の全体の危険度Vを算出することができる。例えば、対象の数Kを3とし、OSを対象とした危険度V1が300、ウェブ・ブラウザを対象とした危険度V2が500、アプリケーション・プログラムを対象とした危険度V3が150である場合、情報端末装置20の全体の危険度V=V1+V2+V3=300+500+150=950となる。単純に加算するだけではなく、各Vnに所望の重み(An)付けを行い、情報端末装置20の全体の危険度V=A1V1+A2V2+A3V3とすることもできる。
【0036】
上述の説明では、ある対象の1つの諸元について危険度Vnを算出した。しかし、脆弱性情報収集部28がある対象について複数の諸元(L個)につき脆弱性に関する情報を収集し、脆弱値取得部30が当該複数の諸元についての脆弱性に関する情報から複数の脆弱値を取得することもできる。この場合、当該対象nの諸元iについての危険度はVniと表すことができ、当該対象の全体の危険度Vnはi=1からLについてVniを加算(または所望の重み付け加算)したものとして算出することができる。情報端末装置20の全体の危険度Vは、このようなVnを上述のように加算(または所望の重み付け加算)したものとして算出することができる。以上のようにして算出された危険度は危険度送信部(危険度送信手段)34によりサーバ50へVPNを介して送信することができる。
【0037】
次に、サーバ50について説明する。図3は、本発明の実施の形態1におけるサーバ50の機能等をブロック図で示す。図3において、符号52は情報端末装置20の認証情報送信部24により送信された認証情報に基づき、ユーザの本人認証を行うユーザ認証部(ユーザ認証手段)52である。認証情報が例えばユーザIDおよびパスワードである場合、ユーザ認証部52は図3に示されるように記録装置60に記録された認証情報テーブル62を検索して、送信されたユーザID「ID12345」に対応するパスワード「ABCDEFG」と送信されたパスワードとを比較する。この結果、両方のパスワードが一致すればユーザを本人と認証する。
【0038】
図3において、符号54はユーザ認証部52でユーザが本人と認証された場合、情報端末装置20の危険度送信部34により送信された危険度に基づき、情報端末装置20のセキュリティ認証を行う情報端末装置認証部(情報端末装置認証手段)である。情報端末装置認証部54は、危険度送信部34により送信された危険度が所定の閾値以下である場合、情報端末装置のセキュリティを認証することができる。閾値は所定の固定値を用いるか、または情報提供サイト18からの最新の情報に基づいて動的な値を用いてもよい。情報端末装置認証部54は第1の閾値(所定の閾値)より大きい第2の閾値(他の閾値)を用いることもできる。図4は、情報端末装置認証部54が2つの閾値を用いた場合を説明するグラフを示す。図4において、横軸は時間(t)、縦軸は危険度(V)であり、曲線V(t)は情報端末装置20の危険度Vの時間的な変化を示す。危険度Vは情報提供サイト18から提供された脆弱性に関する情報に基づいて算出されるものであるため、時間の経過に伴い情報提供サイト18から提供される脆弱性に関する情報が変化すると、危険度Vも変化するためである。図4の縦軸に示されるように、第1の閾値を900とし第2の閾値を1000とする。情報端末装置認証部54は、危険度V(t)<900の間、情報端末装置20のセキュリティを認証する。しかし図4の点線円A1で示されるように、危険度V(t)が900<V(t)<1000となると、所定の警告メッセージを情報端末装置20へ送信する。セキュリティ認証の第1段階であり、この第1段階ではまだセキュリティは認証される。図4の点線円A2で示されるように、さらに危険度V(t)がV(t)>1000となると、情報端末装置のセキュリティを認証しなくなる。セキュリティ認証の第2段階である。
【0039】
図3に戻り、符号56は情報端末装置認証部54で情報端末装置20のセキュリティが認証された場合、ユーザが情報端末装置20からサーバ50へアクセスすることを許可する許可部(許可手段)である。許可部56は、閾値の数によらず、情報端末装置認証部54がセキュリティを認証する場合はアクセス(接続)を許可し、情報端末装置認証部54がセキュリティを認証しない場合はアクセス(接続)を拒否する。
【0040】
次に、本発明の実施の形態1における認証方法またはプログラムの動作を説明する。図5は本発明の実施の形態1における認証方法またはプログラムの動作をフローチャートで示す。図5で左側のフローチャートは情報端末装置20のプログラムの動作等を示し、右側のフローチャートはサーバ50のプログラムの動作等を示す。両者間の通信は両フローチャート間を結ぶ線により示す。図5に示されるように、情報端末装置20が、まずユーザに関する認証情報(I)を入力部21から入力する(認証情報入力ステップ。ステップS10)。次に認証情報入力ステップ(ステップS10)で入力した認証情報Iをサーバ50へVPN16を介して送信する(認証情報送信ステップ。ステップS12)。
【0041】
サーバ50が、認証情報送信ステップ(ステップS12)で送信された認証情報Iに基づき、ユーザの本人認証を行う(ユーザ認証ステップ。ステップS30)。ここでユーザが本人と認証されなかった場合はサーバ50における処理は終了する。この場合、情報端末装置20からサーバ50へのアクセスは拒否される。
【0042】
情報端末装置20が、情報端末装置20の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する(諸元収集ステップ。ステップS14)。続いて、IPネットワーク14に接続された情報提供サイト18から、諸元収集ステップ(ステップS14)により収集された諸元について脆弱性に関する情報を収集する(脆弱性情報収集ステップ。ステップS16)。脆弱性に関する情報については上述の脆弱性情報収集部28で説明したものと同様であるため省略する。脆弱性情報収集ステップ(ステップS16)により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する(脆弱値取得ステップ。ステップS18)。具体的な数値化は上述の脆弱値取得部30で説明したものと同様であるため省略する。脆弱値取得ステップ(ステップS18)で取得された脆弱値に基づき、情報端末装置20のセキュリティ上の危険度Vを算出する(危険度算出ステップ、ステップS20)。危険度Vの算出については上述の危険度算出部32で説明したものと同様であるため省略する。危険度算出ステップ(ステップS20)で算出された危険度Vをサーバ50へVPNを介して送信する(危険度送信ステップ。ステップS22)。
【0043】
サーバ50は、ユーザ認証ステップ(ステップS30)でユーザが本人と認証された場合、危険度送信ステップ(ステップS32)で送信された危険度Vに基づき、情報端末装置20のセキュリティ認証を行う(情報端末装置認証ステップ。ステップS32)。セキュリティ認証は上述の情報端末装置認証部54で説明したものと同様であるため省略する。情報端末装置認証ステップ(ステップS32)で情報端末装置20のセキュリティが認証された場合、ユーザが情報端末装置20からサーバ50へアクセスすることを許可し、許可信号Pを送信する(許可ステップ。ステップS34)。情報端末装置認証ステップ(ステップS32)で情報端末装置20のセキュリティが認証されなかった場合、サーバ50における処理は終了する。この場合、情報端末装置20からサーバ50へのアクセスは拒否される。
【0044】
以上より、本発明の実施の形態1によれば、情報端末装置20はIPネットワーク14に接続された情報提供サイト18から情報端末装置20の諸元について脆弱性に関する情報を得ることができる。この脆弱性に関する情報に基づいて脆弱値を取得し、さらにこの脆弱値に基づいて情報端末装置20をサーバ50へ接続する場合のセキュリティ上のリスクを示す危険度を算出することができる。この危険度はサーバ50へ送信される。サーバ50は送信された危険度が所定の閾値以下である場合、情報端末装置20のセキュリティ認証を行い、アクセスを許可する。危険度が所定の閾値以上である場合、情報端末装置20のセキュリティ認証は行わず、アクセスは拒否される。この結果、ユーザの情報処理装置20と企業等のLAN46内のサーバ50との間でVPN等のような通信データを暗号化する仮想私設網を用い、且つユーザの本人認証に成功した場合であっても、上述のように情報端末装置20の危険度によるセキュリティ認証を行うことにより、コンピュータ・ウィルスに感染したような情報端末装置20の接続を制限することのできる認証システム等を提供することができる。
【0045】
実施の形態2.
実施の形態1では、脆弱値の取得および危険度の算出は情報端末装置20側で行った。本実施の形態2では、脆弱値の取得および危険度の算出はサーバ50側で行う。
【0046】
図6は、本発明の実施の形態2における情報端末装置20の機能等をブロック図で示す。図6で図2と同じ符号を付した箇所は同じ機能等を示すため説明は省略する。図6の点線Bで囲まれたブロックが実施の形態1にはなかった追加機能を示す。図6において、符号64は脆弱性情報収集部28で収集された脆弱性に関する情報をサーバ50へVPN16を介して送信する送信部(送信手段)である。上述のように情報端末装置20側では脆弱値の取得および危険度の算出は行わないため、送信部64により脆弱性に関する情報をサーバ50へ送信するだけである。このため情報端末装置20側の処理上の負荷を減少させることができる。他の機能は同様であるため説明は省略する。
【0047】
図7は、本発明の実施の形態2におけるサーバ50の機能等をブロック図で示す。図7で図3と同じ符号を付した箇所は同じ機能等を示すため説明は省略する。図7の点線Cで囲まれたブロックが実施の形態1にはなかった追加機能を示す。図7において、符号30aは情報端末装置20の送信部64により送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得部(脆弱値取得手段)である。実施の形態1における脆弱値取得部30と脆弱値取得部30aとの相違は、脆弱値取得部30が脆弱性情報収集部26により収集された脆弱性に関する情報に基づいて数値化された脆弱値を取得するのに対し、脆弱値取得部30aは情報端末装置20の送信部64により送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得するという点である。他は同様であるため説明は省略する。
【0048】
図7において、危険度算出部32は実施の形態2においてサーバ50側に追加された機能であるが、実施の形態1における危険度算出部32と同様の機能であるため説明は省略する。実施の形態2では、一般に情報端末装置20より処理能力の高いサーバ50側で危険度を算出するため、認証に要する時間を短縮することができる。
【0049】
図7において、符号54aはユーザ認証部52でユーザが本人と認証された場合、危険度算出部32で算出された危険度に基づき、情報端末装置20のセキュリティ認証を行う情報端末装置認証部(情報端末装置認証手段)である。実施の形態1における情報端末装置認証部54と情報端末装置認証部54aとの相違は、情報端末装置認証部54が情報端末装置20の危険度送信部34により送信された危険度に基づき、情報端末装置20のセキュリティ認証を行うのに対し、情報端末装置認証部54aは危険度算出部32で算出された危険度に基づき、情報端末装置20のセキュリティ認証を行うという点である。他は同様であるため説明は省略する。
【0050】
図8は、本発明の実施の形態2における認証方法またはプログラムの動作を示すフローチャートである。図8で図5と同じステップ番号Sを付した箇所は同じ機能等を示すため説明は省略する。実施の形態2において情報端末装置20側に追加された機能は点線Dで囲まれたブロックで示し、サーバ50側に追加された機能は点線Eで囲まれたブロックで示す。図8において、情報端末装置20のステップS40は、脆弱性情報収集ステップ(ステップS16)で収集された脆弱性に関する情報(W)をサーバ50へVPN16を介して送信する送信ステップである。上述のように情報端末装置20側では脆弱値の取得および危険度の算出は行わないため、送信ステップ(ステップS40)により脆弱性に関する情報をサーバ50へ送信するだけである。このため情報端末装置20側の処理上の負荷を減少させることができる。他の機能は同様であるため説明は省略する。
【0051】
図8において、サーバ50のステップS18aは、情報端末装置20側の送信ステップ(ステップS40)により送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップである。実施の形態1における脆弱値取得ステップS18と脆弱値取得ステップS18aとの相違は、脆弱値取得ステップS18が脆弱性情報収集ステップS16により収集された脆弱性に関する情報に基づいて数値化された脆弱値を取得するのに対し、脆弱値取得ステップS18aは情報端末装置20の送信ステップ(ステップS40)により送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得するという点である。他は同様であるため説明は省略する。
【0052】
図8において、危険度算出ステップS20は実施の形態2においてサーバ50側に追加された機能であるが、実施の形態1における危険度算出ステップS20と同様の機能であるため説明は省略する。実施の形態2では一般に情報端末装置20より処理能力の高いサーバ50側で危険度を算出するため、認証に要する時間を短縮することができる。
【0053】
図8において、ステップS32aはユーザ認証ステップ(ステップS30)でユーザが本人と認証された場合、危険度算出ステップ(ステップS20)で算出された危険度に基づき、情報端末装置20のセキュリティ認証を行う情報端末装置認証ステップである。実施の形態1における情報端末装置認証ステップ(ステップS32)と情報端末装置認証ステップ(ステップS32a)との相違は、情報端末装置認証ステップ(ステップ32)が情報端末装置20の危険度送信ステップ(ステップS22)により送信された危険度に基づき、情報端末装置20のセキュリティ認証を行うのに対し、情報端末装置認証ステップ(ステップS32a)は危険度算出ステップ(ステップS20)で算出された危険度に基づき、情報端末装置20のセキュリティ認証を行うという点である。他は同様であるため説明は省略する。
【0054】
以上より、本発明の実施の形態2によれば、情報端末装置20側では脆弱値の取得および危険度の算出は行わず、送信部64により脆弱性に関する情報をサーバ50へ送信するだけとする。脆弱値の取得および危険度の算出はサーバ50側で行う。このため実施の形態1の効果に加えて、情報端末装置20側の処理上の負荷を減少させることができる。さらに、情報端末装置20より処理能力の高いサーバ50側で危険度を算出するため、認証に要する時間を短縮することができる。
【0055】
実施の形態3.
図9は本発明の実施の形態3における認証システム70の概要を示す。図9で図1と同じ符号を付した箇所は同じ機能を有するため説明は省略する。実施の形態3では、実施の形態1における情報端末装置20の脆弱性に関する情報の収集および危険度の算出に関する機能を別の検査装置90(後述)に移してある。さらに検査装置90と企業等のサイト40内のサーバ50との間の対応付けを予めIPネットワーク14に接続されたデータセンタ72内のサーバ74(後述)で行っておく。検査装置90で算出した危険度は、データセンタ72側サーバ74を介して間接的に対応する企業等のサイト40内のサーバ50へ送信される。以下、各装置等毎に説明する。
【0056】
図10は、本発明の実施の形態3における情報端末装置20の機能等をブロック図で示す。図10で図6と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図10の点線Fで囲まれたブロックが実施の形態1および2にはなかった追加機能を示す。図10において、符号25は情報端末装置20に所定のインタフェースを介して接続された検査装置90(後述)の識別子を取得する識別子取得部(識別子取得手段)である。符号24aは、識別子取得部25で取得された検査装置90の識別子と認証情報入力部22で入力した認証情報とをサーバ50へVPN16を介して送信する認証情報送信部(認証情報送信手段)である。実施の形態1における認証情報送信部24と認証情報送信部24aとの相違は、認証情報送信部24が認証情報入力部22で入力した認証情報をサーバ60へVPN16を介して送信するのに対し、認証情報送信部24aは識別子取得部25で取得された検査装置90の識別子と認証情報入力部22で入力した認証情報とをサーバ50へVPN16を介して送信するという点である。これは、異なる検査装置90等が接続された異なる情報端末装置20等が同時期に同一のサーバ50へアクセスを試みる場合、検査装置90等からデータセンタ72側サーバ74を介して間接的にサーバ50へ送信された危険度が、いずれの検査装置90等から送信されたものであるかを判別するためである。
【0057】
図11は、本発明の実施の形態3における検査装置90の機能等をブロック図で示す。図11で図2と同じ符号を付した箇所は同じ機能を有するため説明は省略する。上述のように、実施の形態3では実施の形態1における情報端末装置20の脆弱性に関する情報の収集および危険度の算出に関する機能等を検査装置90に移してある。検査装置90は情報端末装置20に、例えばUSB(Universal Serial Bus)等のシリアルインタフェースを介して接続することができ、かつ所望の無線インタフェースを介してIPネットワーク14にも接続可能である。図11において、符号34aは危険度算出部32で算出された危険度と検査装置90の識別子とをデータセンタ側サーバ74へ送信する危険度送信部(危険度送信手段)である。ここで検査装置90の識別子は検査装置90を他の検査装置から識別し得るものであればよく、例えば製造番号のようなものであってもよい。実施の形態1における危険度送信部34と危険度送信部34aとの相違は、危険度送信部34が危険度算出部32で算出された危険度をサーバ50へVPNを介して送信するのに対し、危険度送信部34aは危険度算出部32で算出された危険度と検査装置90の識別子とをデータセンタ側サーバ74へ送信するという点である。検査装置90とデータセンタ側サーバ74との間の通信は、VPNではない通常のIPネットワーク14を介した通信である。他は同様であるため説明は省略する。
【0058】
図12は、本発明の実施の形態3におけるデータセンタ側サーバ74の機能等をブロック図で示す。図12において、符号76は検査装置90の識別子とサーバ50のIPアドレスとを予め対応させたIPアドレス表82に基づき、検査装置90の危険度送信部34aにより送信された検査装置90の識別子に応じたサーバ50のIPアドレスを取得するIPアドレス取得部(IPアドレス取得手段)である。図12に示されるように、IPアドレス表82は記録装置80内にあり、検査装置の識別子ID(例えば「000250072」)とサーバ50のIPアドレス(例えば「172.17.2.20」)とを予め対応付けた表である。IPアドレス取得部76は、IPアドレス表82を検索することにより、危険度送信部34aにより送信された検査装置90の識別子ID(例えば「000250072」)に対応するサーバ50等のIPアドレス(例えば「172.17.2.20」)を取得することができる。符号34bは、IPアドレス取得部76で取得されたIPアドレスのサーバ50等へ検査装置90の危険度送信部34aにより送信された危険度と検査装置90の識別子とを送信するデータセンタ側危険度送信部(データセンタ側危険度送信手段)である。実施の形態1における危険度送信部34と危険度送信部34bとの相違は、危険度送信部34が危険度算出部32で算出された危険度をサーバ50へVPNを介して送信するのに対し、危険度送信部34bはIPアドレス取得部76で取得されたIPアドレスのサーバ50等へ検査装置90の危険度送信部34aにより送信された危険度と検査装置90の識別子とを送信するという点である。データセンタ側サーバ74とサーバ50との間の通信は、VPNではない通常のIPネットワーク14を介した通信である。以上により、特定の検査装置90により算出された危険度を、データセンタ側サーバ74を介することにより、対応する特定のサーバ50等へVPNを使用することなく送信することができる。
【0059】
図13は、本発明の実施の形態3におけるサーバ50の機能等をブロック図で示す。図13で図3と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図13において、符号54aは、ユーザ認証部52でユーザが本人と認証された場合、情報端末装置20の認証情報送信部24aにより送信された検査装置90の識別子とデータセンタ側危険度送信部34bにより送信された検査装置90の識別子と危険度とに基づき、情報端末装置20のセキュリティ認証を行う情報端末装置認証部(情報端末装置認証手段)である。実施の形態1における情報端末装置認証部54と情報端末装置認証部54aとの相違は、情報端末装置認証部54がユーザ認証部52によりユーザが本人と認証された場合、情報端末装置20の危険度送信部34により送信された危険度に基づき、情報端末装置20のセキュリティ認証を行うのに対し、情報端末装置認証部54aはユーザ認証部52によりユーザが本人と認証された場合、情報端末装置20の認証情報送信部24aにより送信された検査装置90の識別子とデータセンタ側危険度送信部34bにより送信された検査装置90の識別子と危険度とに基づき、情報端末装置20のセキュリティ認証を行うという点である。情報端末装置認証部54aは、情報端末装置20の認証情報送信部24aにより送信された検査装置90の識別子とデータセンタ側危険度送信部34bにより送信された検査装置90の識別子とを比較して、両者が一致した場合、データセンタ側危険度送信部34bにより送信された危険度が検査装置90の接続された情報端末装置20のものである判断できる。したがって、異なる検査装置90等が接続された異なる情報端末装置20等が同時期に同一のサーバ50へアクセスを試みた場合であっても、データセンタ側危険度送信部34bからサーバ50へ送信された危険度が、いずれの検査装置90等が接続した情報端末装置20等のものであるかを判別することができる。
【0060】
図14は、本発明の実施の形態3における認証方法またはプログラムの動作を示すフローチャートである。図14で図5と同じステップ番号Sを付した箇所は同じ機能等を示すため説明は省略する。図14で最左端のフローチャートは情報端末装置20のプログラムの動作等を示し、左側から2番目のフローチャートは検査装置90のプログラムの動作等を示し、左側から3番目のフローチャートはデータセンタ側サーバ74のプログラムの動作等を示し、最右端のフローチャートはサーバ50のプログラムの動作等を示す。各装置間の通信は各フローチャート間を結ぶ線により示す。
【0061】
情報端末装置20におけるステップS11は、情報端末装置20接続された検査装置90の識別子を取得する識別子取得ステップである。ステップS12aは、識別子取得ステップ(ステップS11)で取得された検査装置90の識別子と認証情報入力ステップ(ステップS10)で入力した認証情報とをサーバ50へVPN16を介して送信する認証情報送信ステップである。実施の形態1における認証情報送信ステップ(ステップS12)と認証情報送信ステップ(ステップS12a)との相違は、認証情報送信ステップ12が認証情報入力ステップ(ステップS10)で入力した認証情報をサーバ60へVPN16を介して送信するのに対し、認証情報送信ステップ(ステップS12a)は識別子取得ステップ(ステップS11)で取得された検査装置90の識別子と認証情報入力ステップ(ステップS10)で入力した認証情報とをサーバ50へVPN16を介して送信するという点である。
【0062】
検査装置におけるステップS22aは、危険度算出ステップ(ステップS20)で算出された危険度と検査装置90の識別子とをIPネットワーク14に接続されたデータセンタ側サーバ74へ送信する危険度送信ステップである。実施の形態1における危険度送信ステップ(ステップS22)と危険度送信ステップ(ステップS22a)との相違は、危険度送信ステップ(ステップS22)が危険度算出ステップ(ステップS20)で算出された危険度をサーバ50へVPNを介して送信するのに対し、危険度送信ステップ(ステップS22a)は危険度算出ステップ(ステップS20)で算出された危険度と検査装置90の識別子とをデータセンタ側サーバ74へ送信するという点である。
【0063】
データセンタ側サーバ74は、検査装置90の識別子とサーバ50のIPアドレスとを予め対応させたIPアドレス表82に基づき、検査装置90における危険度送信ステップ(ステップS22a)で送信された検査装置90の識別子に応じたサーバ50のIPアドレスを取得する(IPアドレス取得ステップ。ステップS50)。次に、IPアドレス取得ステップ(ステップS50)で取得されたIPアドレスのサーバ50へ危険度送信ステップ(ステップS22a)で送信された危険度と検査装置90の識別子とを送信する(データセンタ側危険度送信ステップ。ステップS52)。
【0064】
サーバ50におけるステップS32aは、ユーザ認証ステップ(ステップS30)でユーザが本人と認証された場合、情報端末装置20における認証情報送信ステップ(ステップS12a)で送信された検査装置90の識別子とデータセンタ側危険度送信ステップ(ステップS52)で送信された検査装置90の識別子と危険度とに基づき、情報端末装置90のセキュリティ認証を行う情報端末装置認証ステップである。実施の形態1における情報端末装置認証ステップ(ステップS32)と情報端末装置認証ステップ(ステップS32a)との相違は、情報端末装置認証ステップ(ステップ32)がユーザ認証ステップ(ステップS30)によりユーザが本人と認証された場合、情報端末装置20の危険度送信ステップ(ステップ22)により送信された危険度に基づき、情報端末装置20のセキュリティ認証を行うのに対し、情報端末装置認証ステップ(ステップS32a)はユーザ認証ステップ(ステップS30)によりユーザが本人と認証された場合、情報端末装置20の認証情報送信ステップ(ステップS12a)により送信された検査装置90の識別子とデータセンタ側危険度送信ステップ(ステップS52)により送信された検査装置90の識別子と危険度とに基づき、情報端末装置20のセキュリティ認証を行うという点である。
【0065】
以上より、本発明の実施の形態3によれば、実施の形態1における情報端末装置20の脆弱性に関する情報の収集および危険度の算出に関する機能を別の検査装置90に移した。このため、情報端末装置20の処理負荷をさらに減少させることができる。一方、検査装置90と企業等のサイト40内のサーバ50との間の対応付けを予めIPネットワーク14に接続されたデータセンタ72内のサーバ74で行っておく。検査装置90で算出した危険度は、データセンタ72側サーバ74を介して間接的に対応する企業等のサイト40内のサーバ50へ送信される。この結果、異なる検査装置90等が接続された異なる情報端末装置20等が同時期に同一のサーバ50へアクセスを試みた場合であっても、サーバ50は検査装置90等からデータセンタ72側サーバ74を介して間接的にサーバ50へ送信された危険度が、いずれの検査装置90等から送信されたものであるかを判別することができる。
【0066】
実施の形態4.
図15は、上述した各実施の形態を実現するための本発明のコンピュータ・プログラムを実行する情報端末装置20等のコンピュータの内部回路100を示すブロック図である。検査装置90およびサーバ50についても同様に示されるため主として情報端末装置20について説明し、検査装置90およびサーバ50については説明を簡略化または省略する。図15に示されるように、後述のCPU101、ROM102、RAM103、コントローラ104、入力制御部107および外部インタフェース(I/F)109はバス106に接続されている。図15において、上述の本発明のコンピュータ・プログラムは、ROM102、ディスク105aまたはCD−ROM105n等の記録媒体(脱着可能な記録媒体を含む)に記録されている。検査装置90の場合、本発明のコンピュータ・プログラムはEEPROM等に記録されていることが好適であり、あるいはディスク105aまたはCD−ROM105n等の記録媒体の替わりにメモリ・カードまたはメモリ・スティック等の記録媒体に記録されていることが好適である。このコンピュータ・プログラムは、ROM102からバス106を介し、またはディスク105a若しくはCD−ROM105n等の記録媒体からコントローラ104を経由してバス106を介しRAM103へロードされる。入力操作部108は情報端末装置20等に入力を行うための種々の入力装置(入力部21)を総称的に示したものであり、例えばマウス、キーボード等の入力装置等を含む。入力制御部107は入力操作部108と接続され入力制御等を行う。外部I/F部109は外部のネットワークおよび機器等と接続する際の種々のインタフェース機能を総称的に示したものであり、例えばIPネットワーク14等と接続する際のネットワーク・インタフェース機能、または検査装置90の場合には情報端末装置20と接続する際の例えばUSB等のシリアルインタフェース機能を含む。
【0067】
上述のようにCPU101が上述の本発明のコンピュータ・プログラムを実行することにより、本発明の目的を達成することができる。当該コンピュータ・プログラムは上述のようにCD−ROM105n等の記録媒体の形態でコンピュータCPU101に供給することができ、当該コンピュータ・プログラムを記録したCD−ROM105n等の記録媒体も同様に本発明を構成することになる。当該コンピュータ・プログラムを記録した記録媒体としては上述されたディスク105a、CD−ROM105n、メモリ・カードまたはメモリ・スティック等の記録媒体の他に、例えばDVD、光ディスク、FD等を用いることができる。
【0068】
【発明の効果】
以上説明したように、本発明の認証システム等によれば、情報端末装置20はIPネットワーク14に接続された情報提供サイト18から情報端末装置20の諸元について脆弱性に関する情報を得ることができる。この脆弱性に関する情報に基づいて脆弱値を取得し、さらにこの脆弱値に基づいて情報端末装置20をサーバ50へ接続する場合のセキュリティ上のリスクを示す危険度を算出することができる。この危険度はサーバ50へ送信される。サーバ50は送信された危険度が所定の閾値以下である場合、情報端末装置20のセキュリティ認証を行い、アクセスを許可する。危険度が所定の閾値以上である場合、情報端末装置20のセキュリティ認証は行わず、アクセスは拒否される。この結果、ユーザの情報処理装置20と企業等のLAN46内のサーバ50との間でVPN等のような通信データを暗号化する仮想私設網を用い、且つユーザの本人認証に成功した場合であっても、上述のように情報端末装置20の危険度によるセキュリティ認証を行うことにより、コンピュータ・ウィルスに感染したような情報端末装置20の接続を制限することのできる認証システム等を提供することができる。
【図面の簡単な説明】
【図1】 本発明の実施の形態1における認証システム10の概要を示す図である。
【図2】 本発明の実施の形態1における情報端末装置20の機能等を示すブロック図である。
【図3】 本発明の実施の形態1におけるサーバ50の機能等を示すブロック図である。
【図4】 情報端末装置認証部54が2つの閾値を用いた場合を説明するグラフを示す図である。
【図5】 本発明の実施の形態1における認証方法またはプログラムの動作を示すフローチャートである。
【図6】 本発明の実施の形態2における情報端末装置20の機能等を示すブロック図である。
【図7】 本発明の実施の形態2におけるサーバ50の機能等を示すブロック図である。
【図8】 本発明の実施の形態2における認証方法またはプログラムの動作を示すフローチャートである。
【図9】 本発明の実施の形態3における認証システム70の概要を示す図である。
【図10】 本発明の実施の形態3における情報端末装置20の機能等を示すブロック図である。
【図11】 本発明の実施の形態3における検査装置90の機能等を示すブロック図である。
【図12】 本発明の実施の形態3におけるデータセンタ側サーバ74の機能等を示すブロック図である。
【図13】 本発明の実施の形態3におけるサーバ50の機能等を示すブロック図である。
【図14】 本発明の実施の形態3における認証方法またはプログラムの動作を示すフローチャートである。
【図15】 本発明のコンピュータ・プログラムを実行する情報端末装置20等のコンピュータの内部回路100を示すブロック図である。
【符号の説明】
10 認証システム、 12 AP、 14 IP ネットワーク、 16 VPN、 18 情報提供サイト、 20 情報端末装置、 21 入力部、22 22 認証情報入力部、 24,24a 認証情報送信部、 26 諸元収集部、28 脆弱性情報収集部、 30,30a 脆弱値取得部、 32 危険度算出部、 34,34a,34b 危険度送信部、 40 企業等のサイト、 42 VPNルータ、 44 メールサーバ、 46 LAN、 50 サーバ、 52 ユーザ認証部、 54,54a 情報端末装置認証部、 56 許可部、 60,80 記録装置、 62 認証情報テーブル、 64 送信部、 72 データセンタ、 74 データセンタ側サーバ、 76 IPアドレス取得部、 82 IPアドレス表、 90 検査装置、 100 内部回路、101 CPU、 102 ROM、 103 RAM、 104 コントローラ、 105a ディスク、 105n CD−ROM、 106 バス、 107 入力制御部、 108 入力操作部、 109 外部I/F部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an authentication system and the like between a server and a user information terminal device that are connected via an Internet Protocol (IP) network.
[0002]
[Prior art]
[Non-Patent Document 1]
390 pages, Nikkei Communication Editing, Communication / Network Glossary Handbook 2001, Nikkei BP, published on March 23, 2001.
[0003]
Security management is extremely important when communication is performed between a web client and a web server using an IP network. For example, when communication is performed using an IP network between a server in a local area network (“LAN”) of a company or the like and an information terminal device such as a user's mobile terminal, Generally, communication data encryption and user authentication are performed as security management. In particular, as described in Non-Patent
[0004]
[Problems to be solved by the invention]
As described above, when a VPN for encrypting communication data is used, user authentication is performed using a user ID and a password. As a result, authentication that the user is the person has been performed. However, if the information terminal device used by the user is infected with a computer virus, even if the communication data is encrypted and the user authentication is correctly performed by using the VPN, the connected LAN side is connected to the computer.・ There was a risk of being infected by a virus.
[0005]
Accordingly, an object of the present invention has been made to solve the above-described problem, and is a virtual that encrypts communication data such as VPN between a user information processing apparatus and a server in a LAN of a company or the like. An object of the present invention is to provide an authentication system or the like that can restrict the connection of an information terminal device infected with a computer virus even when a private network is used and the user authentication is successful.
[0006]
[Means for Solving the Problems]
An authentication system according to the present invention is an authentication system between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication,
The information terminal device
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
A risk level transmission means for transmitting the risk level calculated by the risk level calculation means to the server via the virtual private network;
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
When the user is authenticated by the user authentication unit, an information terminal device authentication unit that performs security authentication of the information terminal device based on the risk level transmitted by the risk level transmission unit;
The information terminal device authentication means further comprises permission means for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated.
[0007]
An authentication system according to the present invention is an authentication system between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication,
The information terminal device
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Transmission means for transmitting information on the vulnerability collected by the vulnerability information collection means to the server via the virtual private network,
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability transmitted by the transmission means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
When the user is authenticated by the user authenticating means, an information terminal device authenticating means for performing security authentication of the information terminal device based on the risk calculated by the risk calculating means;
The information terminal device authentication means further comprises permission means for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated.
[0008]
An authentication system according to the present invention is an authentication system between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication, and the authentication system is connected to the information terminal device via a predetermined interface and can be connected to the IP network, and the IP network And a data center server connected to
The information terminal device
Identifier acquisition means for acquiring an identifier of the inspection device connected to the information terminal device via a predetermined interface;
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmission means for transmitting the identifier of the inspection apparatus acquired by the identifier acquisition means and the authentication information input by the authentication information input means to the server via the virtual private network,
The inspection device includes:
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
A risk transmission means for transmitting the risk calculated by the risk calculation means and the identifier of the inspection device to the data center server,
The data center side server
IP address acquisition for acquiring the IP address of the server according to the identifier of the inspection device transmitted by the risk transmitting means based on the IP address table in which the identifier of the inspection device and the IP address of the server are associated in advance Means,
A data center-side risk transmitting means for transmitting the risk transmitted by the risk transmitting means and the identifier of the inspection device to the server of the IP address acquired by the IP address acquiring means;
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
When the user is authenticated by the user authentication means, the identifier of the inspection apparatus transmitted by the authentication information transmission means, the identifier of the inspection apparatus transmitted by the data center side risk transmission means, and the risk level Information terminal device authentication means for performing security authentication of the information terminal device,
The information terminal device authentication means further comprises permission means for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated.
[0009]
Here, in the authentication system of the present invention, the security authentication in the information terminal device authentication means authenticates the security of the information terminal device when the risk level transmitted by the risk level transmission unit is not more than a predetermined threshold value. be able to.
[0010]
Here, in the authentication system of the present invention, there is further provided another threshold value larger than a predetermined threshold value, and the risk level transmitted by the risk level transmission means is between the predetermined threshold level and the other threshold level. When a predetermined warning message is transmitted to the information terminal device and the degree of risk exceeds the other threshold, the security of the information terminal device can not be authenticated.
[0011]
Here, in the authentication system of the present invention, the security authentication in the information terminal device authentication means authenticates the security of the information terminal device when the risk calculated by the risk calculation means is not more than a predetermined threshold. be able to.
[0012]
Here, in the authentication system of the present invention, there is further provided another threshold value that is greater than a predetermined threshold value, and the risk level calculated by the risk level calculation unit is between the predetermined threshold value and the other threshold value. When a predetermined warning message is transmitted to the information terminal device and the degree of risk exceeds the other threshold, the security of the information terminal device can not be authenticated.
[0013]
The program of the present invention is a program for performing processing on the information terminal device side in an authentication system between a server and a user information terminal device connected via an Internet Protocol (“IP”) network. The server and the information terminal device communicate with each other by providing a virtual private network on the IP network.
Authentication information input means for inputting authentication information relating to a user and used for authentication of the user by the server from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network,
A vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculation means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquisition means, wherein the risk level is determined by security authentication of the information terminal device by the server. And when the user is authenticated by the server and the security of the information terminal device is authenticated, the user is permitted to access the server from the information terminal device,
It is a program for causing a risk level calculated by the risk level calculating unit to function as a risk level transmitting unit that transmits the risk level to the server via the virtual private network.
[0014]
A program according to the present invention is a program for performing processing on the server side in an authentication system between a server connected via an Internet Protocol (IP) network and a user information terminal device. The server and the information terminal device communicate with each other by providing a virtual private network on the IP network.
User authentication means for authenticating the user based on authentication information about the user input by the input unit of the information terminal device and transmitted to the server via the virtual private network;
Information related to the vulnerability collected from the information providing site that provides information related to the vulnerability of the information terminal device connected to the IP network with respect to the software and hardware specifications of the information terminal device collected by the information terminal device Vulnerable value acquisition means for acquiring quantified vulnerability values based on
A risk degree calculating means for calculating a security risk degree of the information terminal device based on the weak value acquired by the weak value acquiring means;
An information terminal device authenticating unit for performing security authentication of the information terminal device based on the risk calculated by the risk calculating unit when the user is authenticated by the user authenticating unit;
When the security of the information terminal device is authenticated by the information terminal device authentication unit, the program is a program for allowing the user to function as a permission unit for permitting access from the information terminal device to the server.
[0015]
Here, in the program according to the present invention, the security authentication in the information terminal device authenticating unit authenticates the security of the information terminal device when the risk calculated by the risk calculating unit is not more than a predetermined threshold. Can do.
[0016]
Here, in the program according to the present invention, when the program further includes another threshold value that is greater than the predetermined threshold value, and the risk level calculated by the risk level calculation unit is between the predetermined threshold value and the other threshold value, When a predetermined warning message is transmitted to the information terminal device and the degree of risk exceeds the other threshold, the security of the information terminal device can not be authenticated.
[0017]
A program according to the present invention is provided in an authentication system between a server and a user information terminal device connected via an Internet Protocol (“IP”) network via a predetermined interface to the information terminal device. The server and the information terminal device communicate with each other by providing a virtual private network on the IP network. The computer of the inspection device,
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network,
A vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculation means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquisition means, the risk level being determined by the server together with an identifier of the inspection device. It is used for security authentication of an information terminal device, and the server authenticates the user by the authentication information input by the input unit of the information terminal device and transmitted to the server via the virtual private network. And when the security of the information terminal device is authenticated by the identifier of the inspection device and the risk transmitted together with the authentication information, the user is permitted to access the server from the information terminal device. Yes,
Risk level transmission means for transmitting the risk level calculated by the risk level calculation means and the identifier of the inspection device to a data center side server connected to an IP network, the data center side server including the inspection level Based on the IP address table in which the identifier of the device and the IP address of the server are associated in advance, an IP address of the server corresponding to the identifier of the inspection device transmitted by the risk level transmission unit is acquired, and the IP address This is a program for causing a server to function as a transmitter for transmitting the risk level transmitted by the risk level transmission means and the identifier of the inspection apparatus.
[0018]
The recording medium of the present invention is a computer-readable recording medium on which the program according to the present invention is recorded.
[0019]
An authentication method according to the present invention is an authentication method between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication,
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An authentication information transmission step of transmitting the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
The information terminal device is
Specifications collection step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step of calculating the security risk level of the information terminal device,
A risk level transmission step of transmitting the risk level calculated in the risk level calculation step to the server via the virtual private network,
The server is
If the user is authenticated in the user authentication step, the information terminal device authentication step for performing security authentication of the information terminal device based on the risk transmitted in the risk transmission step;
And a permission step of permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
[0020]
An authentication method according to the present invention is an authentication method between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication,
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An authentication information transmission step of transmitting the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
The information terminal device is
Specifications collection step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
Transmitting the vulnerability information collected in the vulnerability information collection step to the server via the virtual private network,
The server is
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability transmitted in the transmission step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step of calculating the security risk level of the information terminal device,
When the user is authenticated with the user in the user authentication step, an information terminal device authentication step for performing security authentication of the information terminal device based on the risk calculated in the risk calculation step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, the risk value acquired in the risk value acquisition step, and the security value acquired in the security value acquisition step, the security risk level of the information terminal device is calculated. A risk level calculating step,
When the user is authenticated with the user in the user authentication step, an information terminal device authentication step for performing security authentication of the information terminal device based on the risk calculated in the risk calculation step;
And a permission step of permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
[0021]
An authentication method according to the present invention is an authentication method between a server and a user information terminal device connected via an Internet Protocol (IP) network, the server and the information terminal device. Is to establish a virtual private network on the IP network for communication,
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An identifier acquisition step of acquiring an identifier of an inspection device that is connected to the information terminal device via a predetermined interface and is connectable to the IP network;
An authentication information transmission step of transmitting the identifier of the inspection device acquired in the identifier acquisition step and the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
An inspection device that is connected to the information terminal device via a predetermined interface and is connectable to an IP network,
Specifications collection step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step of calculating the security risk level of the information terminal device,
A risk level transmission step of transmitting the risk level calculated in the risk level calculation step and the identifier of the inspection device to a data center server connected to an IP network,
The data center server is
IP address acquisition for acquiring a server IP address corresponding to the identifier of the inspection device transmitted in the risk transmission step based on an IP address table in which the identifier of the inspection device and the IP address of the server are associated in advance Steps,
A data center side risk transmission step for transmitting the risk transmitted in the risk transmission step and the identifier of the inspection device to the server of the IP address acquired in the IP address acquisition step;
The server is
When the user is authenticated in the user authentication step, the inspection device identifier transmitted in the authentication information transmission step, the inspection device identifier transmitted in the data center risk transmission step, and the risk level Information terminal device authentication step for performing security authentication of the information terminal device,
And a permission step of permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
[0022]
Here, in the authentication method of the present invention, the security authentication in the information terminal device authentication step authenticates the security of the information terminal device when the risk level transmitted in the risk level transmission step is not more than a predetermined threshold value. be able to.
[0023]
Here, in the authentication method of the present invention, there is further provided another threshold value larger than a predetermined threshold value, and the risk level transmitted in the risk level transmission step is between the predetermined threshold level and the other threshold level. When a predetermined warning message is transmitted to the information terminal device and the degree of risk exceeds the other threshold, the security of the information terminal device can not be authenticated.
[0024]
Here, in the authentication method of the present invention, the security authentication in the information terminal device authentication step authenticates the security of the information terminal device when the risk calculated in the risk calculation step is not more than a predetermined threshold. be able to.
[0025]
Here, in the authentication method of the present invention, there is further provided another threshold value larger than a predetermined threshold value, and the risk level calculated in the risk level calculation step is between the predetermined threshold value and the other threshold value. When a predetermined warning message is transmitted to the information terminal device and the degree of risk exceeds the other threshold, the security of the information terminal device can not be authenticated.
[0026]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, each embodiment will be described in detail with reference to the drawings.
[0027]
FIG. 1 shows an outline of an
[0028]
Hereinafter, the
[0029]
The frame of the
[0030]
Next,
[0031]
In FIG. 2,
[0032]
Subsequently,
[0033]
In FIG. 2,
[0034]
[Expression 1]
[0035]
As shown in
[0036]
In the above description, the risk level Vn is calculated for one specification of a certain target. However, the vulnerability
[0037]
Next, the
[0038]
In FIG. 3, reference numeral 54 denotes information for performing security authentication of the
[0039]
Returning to FIG. 3,
[0040]
Next, the operation of the authentication method or program according to
[0041]
The
[0042]
The
[0043]
When the user is authenticated in the user authentication step (step S30), the
[0044]
As mentioned above, according to
[0045]
In the first embodiment, the vulnerability value is acquired and the risk level is calculated on the
[0046]
FIG. 6 is a block diagram showing functions and the like of the
[0047]
FIG. 7 is a block diagram showing functions and the like of the
[0048]
In FIG. 7, the risk
[0049]
In FIG. 7, reference numeral 54 a denotes an information terminal device authentication unit that performs security authentication of the
[0050]
FIG. 8 is a flowchart showing the operation of the authentication method or program according to
[0051]
In FIG. 8, step S18a of the
[0052]
In FIG. 8, the risk calculation step S20 is a function added to the
[0053]
8, in step S32a, when the user is authenticated in the user authentication step (step S30), security authentication of the
[0054]
As described above, according to the second embodiment of the present invention, the
[0055]
Embodiment 3 FIG.
FIG. 9 shows an outline of the
[0056]
FIG. 10 is a block diagram showing functions and the like of the
[0057]
FIG. 11 is a block diagram showing functions and the like of the
[0058]
FIG. 12 is a block diagram showing functions and the like of the data
[0059]
FIG. 13 is a block diagram showing functions and the like of the
[0060]
FIG. 14 is a flowchart showing the operation of the authentication method or program according to Embodiment 3 of the present invention. 14 with the same step number S as in FIG. 5 indicate the same functions and the like, and thus the description thereof is omitted. The leftmost flowchart in FIG. 14 shows the program operation and the like of the
[0061]
Step S11 in the
[0062]
Step S22a in the inspection device is a risk transmission step for transmitting the risk calculated in the risk calculation step (step S20) and the identifier of the
[0063]
The data
[0064]
In step S32a in the
[0065]
As described above, according to the third embodiment of the present invention, the functions relating to the collection of information related to the vulnerability of the
[0066]
Embodiment 4 FIG.
FIG. 15 is a block diagram showing an
[0067]
As described above, the
[0068]
【The invention's effect】
As described above, according to the authentication system and the like of the present invention, the
[Brief description of the drawings]
FIG. 1 is a diagram showing an outline of an
FIG. 2 is a block diagram illustrating functions and the like of the
FIG. 3 is a block diagram showing functions and the like of a
FIG. 4 is a graph illustrating a case where the information terminal device authentication unit 54 uses two threshold values.
FIG. 5 is a flowchart showing an operation of an authentication method or a program according to
FIG. 6 is a block diagram showing functions and the like of
FIG. 7 is a block diagram showing functions and the like of a
FIG. 8 is a flowchart showing an operation of an authentication method or program according to
FIG. 9 is a diagram showing an outline of an
FIG. 10 is a block diagram showing functions and the like of the
FIG. 11 is a block diagram showing functions and the like of an
FIG. 12 is a block diagram showing functions and the like of the data
FIG. 13 is a block diagram illustrating functions and the like of a
FIG. 14 is a flowchart showing an operation of an authentication method or program according to Embodiment 3 of the present invention.
FIG. 15 is a block diagram showing an
[Explanation of symbols]
DESCRIPTION OF
Claims (20)
前記情報端末装置は、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段と、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記危険度算出手段で算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度送信手段で送信された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする認証システム。An authentication system between a server connected via an Internet Protocol (“IP”) network and a user's information terminal device, wherein the server and the information terminal device are located on the IP network A virtual private network is established for communication.
The information terminal device
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
A risk level transmission means for transmitting the risk level calculated by the risk level calculation means to the server via the virtual private network;
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
When the user is authenticated by the user authentication unit, an information terminal device authentication unit that performs security authentication of the information terminal device based on the risk level transmitted by the risk level transmission unit;
An authentication system comprising: permission means for permitting the user to access the server from the information terminal device when security of the information terminal device is authenticated by the information terminal device authentication means.
前記情報端末装置は、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段と、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段で収集された脆弱性に関する情報を前記サーバへ前記仮想私設網を介して送信する送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記送信手段で送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度算出手段で算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする認証システム。An authentication system between a server connected via an Internet Protocol (“IP”) network and a user's information terminal device, wherein the server and the information terminal device are located on the IP network A virtual private network is established for communication.
The information terminal device
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Transmission means for transmitting information on the vulnerability collected by the vulnerability information collection means to the server via the virtual private network,
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability transmitted by the transmission means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
When the user is authenticated by the user authenticating means, an information terminal device authenticating means for performing security authentication of the information terminal device based on the risk calculated by the risk calculating means;
An authentication system comprising: permission means for permitting the user to access the server from the information terminal device when security of the information terminal device is authenticated by the information terminal device authentication means.
前記情報端末装置は、
該情報端末装置に所定のインタフェースを介して接続された前記検査装置の識別子を取得する識別子取得手段と、
ユーザに関する認証情報を入力部から入力する認証情報入力手段と、
前記識別子取得手段で取得された前記検査装置の識別子と前記認証情報入力手段で入力した認証情報とを前記サーバへ前記仮想私設網を介して送信する認証情報送信手段とを備え、
前記検査装置は、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段と、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段と、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段と、
前記危険度算出手段で算出された危険度と前記検査装置の識別子とを前記データセンタ側サーバへ送信する危険度送信手段とを備え、
前記データセンタ側サーバは、
前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、前記危険度送信手段で送信された該検査装置の識別子に応じたサーバのIPアドレスを取得するIPアドレス取得手段と、
前記IPアドレス取得手段で取得されたIPアドレスのサーバへ前記危険度送信手段で送信された危険度と前記検査装置の識別子とを送信するデータセンタ側危険度送信手段とを備え、
前記サーバは、
前記認証情報送信手段で送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段と、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記認証情報送信手段で送信された検査装置の識別子と前記データセンタ側危険度送信手段で送信された検査装置の識別子と危険度とに基づき、該情報端末装置のセキュリティ認証を行う情報端末装置認証手段と、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段とを備えたことを特徴とする認証システム。An authentication system between a server connected via an Internet Protocol (“IP”) network and a user's information terminal device, wherein the server and the information terminal device are located on the IP network A virtual private network is provided for communication, and the authentication system is connected to the information terminal device via a predetermined interface and can be connected to the IP network, and the data center side connected to the IP network With a server,
The information terminal device
Identifier acquisition means for acquiring an identifier of the inspection device connected to the information terminal device via a predetermined interface;
Authentication information input means for inputting authentication information about the user from the input unit;
Authentication information transmission means for transmitting the identifier of the inspection apparatus acquired by the identifier acquisition means and the authentication information input by the authentication information input means to the server via the virtual private network,
The inspection device includes:
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network;
Vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculating means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquiring means;
A risk transmission means for transmitting the risk calculated by the risk calculation means and the identifier of the inspection device to the data center server,
The data center side server
IP address acquisition for acquiring the IP address of the server according to the identifier of the inspection device transmitted by the risk transmitting means based on the IP address table in which the identifier of the inspection device and the IP address of the server are associated in advance Means,
A data center-side risk transmitting means for transmitting the risk transmitted by the risk transmitting means and the identifier of the inspection device to the server of the IP address acquired by the IP address acquiring means;
The server
User authentication means for authenticating the user based on the authentication information transmitted by the authentication information transmission means;
When the user is authenticated by the user authentication means, the identifier of the inspection apparatus transmitted by the authentication information transmission means, the identifier of the inspection apparatus transmitted by the data center side risk transmission means, and the risk level Information terminal device authentication means for performing security authentication of the information terminal device,
An authentication system comprising: permission means for permitting the user to access the server from the information terminal device when security of the information terminal device is authenticated by the information terminal device authentication means.
ユーザに関する認証情報であって前記サーバにより該ユーザの本人認証に用いられる認証情報を入力部から入力する認証情報入力手段、
前記認証情報入力手段で入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信手段、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段であって、該危険度は、前記サーバにより該情報端末装置のセキュリティ認証に用いられ、前記サーバにより前記ユーザが本人と認証され且つ該情報端末装置のセキュリティが認証された場合、該ユーザが前記情報端末装置から該サーバへアクセスすることが許可されるものであり、
前記危険度算出手段で算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信手段として機能させるためのプログラム。A program for performing processing on the information terminal device side in an authentication system between a server connected via an Internet Protocol (IP) network and a user information terminal device, The information terminal device performs communication by providing a virtual private network on the IP network.
Authentication information input means for inputting authentication information relating to a user and used for authentication of the user by the server from the input unit;
Authentication information transmitting means for transmitting the authentication information input by the authentication information input means to the server via the virtual private network;
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network,
A vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculation means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquisition means, wherein the risk level is determined by security authentication of the information terminal device by the server. And when the user is authenticated by the server and the security of the information terminal device is authenticated, the user is permitted to access the server from the information terminal device,
A program for causing a risk level calculated by the risk level calculating unit to function as a risk level transmitting unit that transmits the risk level to the server via the virtual private network.
前記情報端末装置の入力部により入力され前記サーバへ前記仮想私設網を介して送信されたユーザに関する認証情報に基づき、前記ユーザの本人認証を行うユーザ認証手段、
前記情報端末装置が収集した該情報端末装置の有するソフトウェアおよびハードウェアの諸元について、該情報端末装置がIPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから収集した脆弱性に関する情報に基づき数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段、
前記ユーザ認証手段で前記ユーザが本人と認証された場合、前記危険度算出手段で算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証手段、
前記情報端末装置認証手段で前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可手段として機能させるためのプログラム。A program for performing processing on the server side in an authentication system between a server connected via an Internet Protocol (IP) network and a user's information terminal device, the server and the information The terminal device is a device that performs communication by providing a virtual private network on the IP network.
User authentication means for authenticating the user based on authentication information about the user input by the input unit of the information terminal device and transmitted to the server via the virtual private network;
Information related to the vulnerability collected from the information providing site that provides information related to the vulnerability of the information terminal device connected to the IP network with respect to the software and hardware specifications of the information terminal device collected by the information terminal device Vulnerable value acquisition means for acquiring quantified vulnerability values based on
A risk degree calculating means for calculating a security risk degree of the information terminal device based on the weak value acquired by the weak value acquiring means;
An information terminal device authenticating unit for performing security authentication of the information terminal device based on the risk calculated by the risk calculating unit when the user is authenticated by the user authenticating unit;
When the security of the information terminal device is authenticated by the information terminal device authentication means, a program for causing the user to function as permission means for permitting access from the information terminal device to the server.
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集手段、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集手段により収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集手段、
前記脆弱性情報収集手段により収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得手段、
前記脆弱値取得手段で取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出手段であって、該危険度は、該検査装置の識別子と共に前記サーバにより該情報端末装置のセキュリティ認証に用いられるものであり、前記サーバにより、該情報端末装置の入力部により入力され前記サーバへ前記仮想私設網を介して送信された認証情報によって前記ユーザが本人と認証され且つ該認証情報と共に送信された前記検査装置の識別子および該危険度により該情報端末装置のセキュリティが認証された場合、該ユーザが前記情報端末装置から該サーバへアクセスすることが許可されるものであり、
前記危険度算出手段で算出された危険度と前記検査装置の識別子とを、IPネットワークに接続されたデータセンタ側サーバへ送信する危険度送信手段であって、該データセンタ側サーバは、前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、該危険度送信手段で送信された該検査装置の識別子に応じたサーバのIPアドレスを取得し、該IPアドレスのサーバへ該危険度送信手段で送信された危険度と前記検査装置の識別子とを送信するものとして機能させるためのプログラム。In an authentication system between a server connected via an Internet Protocol (IP) network and a user's information terminal device, the information terminal device is connected to the information terminal device via a predetermined interface and the IP network Is a program that performs processing on the inspection device side that can be connected to the server, and the server and the information terminal device communicate with each other by providing a virtual private network on the IP network.
Specifications collection means for collecting information on specifications of software and hardware of the information terminal device;
Vulnerability information collection means for collecting information on vulnerabilities for the specifications collected by the specification collection means from an information providing site that provides information on vulnerabilities connected to the IP network,
A vulnerability value acquisition means for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection means;
A risk level calculation means for calculating a security risk level of the information terminal device based on the weak value acquired by the weak value acquisition means, the risk level being determined by the server together with an identifier of the inspection device. It is used for security authentication of an information terminal device, and the server authenticates the user by the authentication information input by the input unit of the information terminal device and transmitted to the server via the virtual private network. And when the security of the information terminal device is authenticated by the identifier of the inspection device and the risk transmitted together with the authentication information, the user is permitted to access the server from the information terminal device. Yes,
Risk level transmission means for transmitting the risk level calculated by the risk level calculation means and the identifier of the inspection device to a data center side server connected to an IP network, the data center side server including the inspection level Based on the IP address table in which the identifier of the device and the IP address of the server are associated in advance, an IP address of the server corresponding to the identifier of the inspection device transmitted by the risk level transmission unit is acquired, and the IP address A program for causing a server to function as a device for transmitting the risk level transmitted by the risk level transmission means and the identifier of the inspection apparatus.
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
前記認証情報入力ステップで入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップにより収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記危険度算出ステップで算出された危険度を前記サーバへ前記仮想私設網を介して送信する危険度送信ステップとを備え、
前記サーバが、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度送信ステップで送信された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする認証方法。An authentication method between a server connected via an Internet Protocol (“IP”) network and a user's information terminal device, wherein the server and the information terminal device are placed on the IP network. A virtual private network is established for communication.
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An authentication information transmission step of transmitting the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
The information terminal device is
Specifications collection step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step of calculating the security risk level of the information terminal device,
A risk level transmission step of transmitting the risk level calculated in the risk level calculation step to the server via the virtual private network,
The server is
If the user is authenticated in the user authentication step, the information terminal device authentication step for performing security authentication of the information terminal device based on the risk transmitted in the risk transmission step;
An authentication method comprising: an authorization step for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
前記認証情報入力ステップで入力した認証情報を前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップで収集された脆弱性に関する情報を前記サーバへ前記仮想私設網を介して送信する送信ステップとを備え、
前記サーバが、
前記送信ステップで送信された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度算出ステップで算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記脆弱値取得ステップで取得された脆弱値、前記リスク値取得ステップで取得されたリスク値および前記セキュリティ値取得ステップで取得されたセキュリティ値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記危険度算出ステップで算出された危険度に基づき、前記情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする認証方法。An authentication method between a server connected via an Internet Protocol (“IP”) network and a user information terminal device, wherein the server and the information terminal device are connected to the IP network. A virtual private network is established for communication.
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An authentication information transmission step of transmitting the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
The information terminal device is
A specification collecting step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
Transmitting the vulnerability information collected in the vulnerability information collection step to the server via the virtual private network,
The server is
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability transmitted in the transmission step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step for calculating a security risk level of the information terminal device,
When the user is authenticated with the user in the user authentication step, an information terminal device authentication step for performing security authentication of the information terminal device based on the risk calculated in the risk calculation step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, the risk value acquired in the risk value acquisition step, and the security value acquired in the security value acquisition step, the security risk level of the information terminal device is calculated. A risk level calculating step,
When the user is authenticated with the user in the user authentication step, an information terminal device authentication step for performing security authentication of the information terminal device based on the risk calculated in the risk calculation step;
An authentication method comprising: an authorization step for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
前記情報端末装置が、
ユーザに関する認証情報を入力部から入力する認証情報入力ステップと、
該情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置の識別子を取得する識別子取得ステップと、
前記識別子取得ステップで取得された前記検査装置の識別子と前記認証情報入力ステップで入力した認証情報とを前記サーバへ前記仮想私設網を介して送信する認証情報送信ステップとを備え、
前記サーバが、前記認証情報送信ステップで送信された認証情報に基づき、前記ユーザの本人認証を行うユーザ認証ステップを備え、
前記情報端末装置に所定のインタフェースを介して接続し且つIPネットワークに接続可能な検査装置が、
前記情報端末装置の有するソフトウェアおよびハードウェアの諸元に関する情報を収集する諸元収集ステップと、
IPネットワークに接続された脆弱性に関する情報を提供する情報提供サイトから、前記諸元収集ステップにより収集された諸元について脆弱性に関する情報を収集する脆弱性情報収集ステップと、
前記脆弱性情報収集ステップにより収集された脆弱性に関する情報に基づいて、数値化された脆弱値を取得する脆弱値取得ステップと、
前記脆弱値取得ステップで取得された脆弱値に基づき、前記情報端末装置のセキュリティ上の危険度を算出する危険度算出ステップと、
前記危険度算出ステップで算出された危険度と前記検査装置の識別子とをIPネットワークに接続されたデータセンタ側サーバへ送信する危険度送信ステップとを備え、
前記データセンタ側サーバが、
前記検査装置の識別子と前記サーバのIPアドレスとを予め対応させたIPアドレス表に基づき、前記危険度送信ステップで送信された該検査装置の識別子に応じたサーバのIPアドレスを取得するIPアドレス取得ステップと、
前記IPアドレス取得ステップで取得されたIPアドレスのサーバへ前記危険度送信ステップで送信された危険度と前記検査装置の識別子とを送信するデータセンタ側危険度送信ステップとを備え、
前記サーバが、
前記ユーザ認証ステップで前記ユーザが本人と認証された場合、前記認証情報送信ステップで送信された検査装置の識別子と前記データセンタ側危険度送信ステップで送信された検査装置の識別子と危険度とに基づき、該情報端末装置のセキュリティ認証を行う情報端末装置認証ステップと、
前記情報端末装置認証ステップで前記情報端末装置のセキュリティが認証された場合、前記ユーザが前記情報端末装置から該サーバへアクセスすることを許可する許可ステップとを備えたことを特徴とする認証方法。An authentication method between a server connected via an Internet Protocol (“IP”) network and a user information terminal device, wherein the server and the information terminal device are connected to the IP network. A virtual private network is established for communication.
The information terminal device is
An authentication information input step of inputting authentication information about the user from the input unit;
An identifier acquisition step of acquiring an identifier of an inspection device that is connected to the information terminal device via a predetermined interface and is connectable to the IP network;
An authentication information transmission step of transmitting the identifier of the inspection device acquired in the identifier acquisition step and the authentication information input in the authentication information input step to the server via the virtual private network,
The server includes a user authentication step for performing user authentication based on the authentication information transmitted in the authentication information transmission step,
An inspection device that is connected to the information terminal device via a predetermined interface and is connectable to an IP network,
A specification collecting step for collecting information on specifications of software and hardware of the information terminal device;
A vulnerability information collection step of collecting information on the vulnerability of the items collected in the specification collection step from an information providing site that provides information on the vulnerability connected to the IP network;
A vulnerability value acquisition step for acquiring a quantified vulnerability value based on information on the vulnerability collected by the vulnerability information collection step;
Based on the vulnerability value acquired in the vulnerability value acquisition step, a risk level calculation step for calculating a security risk level of the information terminal device,
A risk level transmission step of transmitting the risk level calculated in the risk level calculation step and the identifier of the inspection device to a data center server connected to an IP network,
The data center server is
IP address acquisition for acquiring the IP address of the server corresponding to the identifier of the inspection device transmitted in the risk transmission step based on the IP address table in which the identifier of the inspection device and the IP address of the server are associated in advance Steps,
A data center side risk transmission step for transmitting the risk transmitted in the risk transmission step and the identifier of the inspection device to the server of the IP address acquired in the IP address acquisition step;
The server is
When the user is authenticated in the user authentication step, the inspection device identifier transmitted in the authentication information transmission step, the inspection device identifier transmitted in the data center side risk transmission step, and the risk level Information terminal device authentication step for performing security authentication of the information terminal device,
An authentication method comprising: an authorization step for permitting the user to access the server from the information terminal device when the security of the information terminal device is authenticated in the information terminal device authentication step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003049491A JP3861064B2 (en) | 2003-02-26 | 2003-02-26 | Authentication system, program, recording medium, and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003049491A JP3861064B2 (en) | 2003-02-26 | 2003-02-26 | Authentication system, program, recording medium, and authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004259020A JP2004259020A (en) | 2004-09-16 |
| JP3861064B2 true JP3861064B2 (en) | 2006-12-20 |
Family
ID=33115199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003049491A Expired - Lifetime JP3861064B2 (en) | 2003-02-26 | 2003-02-26 | Authentication system, program, recording medium, and authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3861064B2 (en) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004265286A (en) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | Mobile device management according to security policies selected for the environment |
| GB2414627A (en) * | 2004-05-27 | 2005-11-30 | Hewlett Packard Development Co | Network administration |
| JP4490254B2 (en) * | 2004-12-24 | 2010-06-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | User authority control device, user authority control method, and user authority control program |
| JP2006268544A (en) * | 2005-03-24 | 2006-10-05 | Ntt Communications Kk | Network connection control system, network connection control method, and network connection control program |
| KR101329108B1 (en) | 2011-12-15 | 2013-11-20 | 고려대학교 산학협력단 | System for evaluating the degree of risk for hopping and distribution sites of malicious code and method for evaluating the same |
| JP5959070B2 (en) | 2014-07-30 | 2016-08-02 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Information processing apparatus, terminal, program and method |
| US10348755B1 (en) * | 2016-06-30 | 2019-07-09 | Symantec Corporation | Systems and methods for detecting network security deficiencies on endpoint devices |
| JP6858676B2 (en) * | 2017-09-04 | 2021-04-14 | 三菱電機株式会社 | Plant security response support system |
| CN108363740B (en) * | 2018-01-22 | 2020-09-04 | 中国平安人寿保险股份有限公司 | IP address analysis method and device, storage medium and terminal |
| CN110826036A (en) * | 2019-11-06 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | Identification method, device and electronic device for user operation behavior security |
| US20240031412A1 (en) * | 2020-12-03 | 2024-01-25 | Nec Corporation | Address management apparatus, address management system, address management method, and program |
| US20230171238A1 (en) * | 2021-11-29 | 2023-06-01 | Cisco Technology, Inc. | Systems and Methods for Using an Identity Agent to Authenticate a User |
| CN114710340B (en) * | 2022-03-25 | 2023-05-23 | 绿盟科技集团股份有限公司 | Security authentication system and method |
-
2003
- 2003-02-26 JP JP2003049491A patent/JP3861064B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004259020A (en) | 2004-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11140150B2 (en) | System and method for secure online authentication | |
| US9866567B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
| US10366218B2 (en) | System and method for collecting and utilizing client data for risk assessment during authentication | |
| KR101198120B1 (en) | Iris information based 3-factor user authentication method for otp generation and secure two way authentication system of wireless communication device authentication using otp | |
| CN105531709B (en) | Trusted execution of executable objects on the local device | |
| US9553858B2 (en) | Hardware-based credential distribution | |
| US10044700B2 (en) | Identity attestation of a minor via a parent | |
| JP6186080B2 (en) | Passive application security | |
| JP3861064B2 (en) | Authentication system, program, recording medium, and authentication method | |
| CN112653714A (en) | Access control method, device, equipment and readable storage medium | |
| WO2014175721A1 (en) | A system and method for privacy management for internet of things services | |
| KR20170041657A (en) | System and method for carrying strong authentication events over different channels | |
| JP2007257428A (en) | Biometric authentication system and method with vulnerability verification | |
| KR20190021367A (en) | A password generation device and a password verification device | |
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| CN114065162A (en) | Risk control method and device of business system and computer readable storage medium | |
| CN104883364B (en) | Method and device for judging abnormity of user access server | |
| CN108076077A (en) | A kind of conversation controlling method and device | |
| TW201928750A (en) | Collation server, collation method, and computer program | |
| CN114024682A (en) | Cross-domain single sign-on method, service equipment and authentication equipment | |
| WO2019159809A1 (en) | Access analysis system and access analysis method | |
| CN114466358B (en) | A method and device for continuous user identity authentication based on zero trust | |
| AU2006239379A1 (en) | Method, system, and program product for connecting a client to a network | |
| CN116366371B (en) | Session security assessment system based on computer | |
| JP2005184639A (en) | Connection management system, connection management device, and connection management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060627 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060912 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060925 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3861064 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090929 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100929 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110929 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110929 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120929 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120929 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130929 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |