[go: up one dir, main page]

JP6808666B2 - Authentication device and device management system equipped with it - Google Patents

Authentication device and device management system equipped with it Download PDF

Info

Publication number
JP6808666B2
JP6808666B2 JP2018027941A JP2018027941A JP6808666B2 JP 6808666 B2 JP6808666 B2 JP 6808666B2 JP 2018027941 A JP2018027941 A JP 2018027941A JP 2018027941 A JP2018027941 A JP 2018027941A JP 6808666 B2 JP6808666 B2 JP 6808666B2
Authority
JP
Japan
Prior art keywords
authentication
unit
target device
communication unit
protected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018027941A
Other languages
Japanese (ja)
Other versions
JP2019144811A (en
Inventor
清一 浦井
清一 浦井
松本 啓
啓 松本
友之 小西
友之 小西
Original Assignee
Jmacs株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jmacs株式会社 filed Critical Jmacs株式会社
Priority to JP2018027941A priority Critical patent/JP6808666B2/en
Publication of JP2019144811A publication Critical patent/JP2019144811A/en
Application granted granted Critical
Publication of JP6808666B2 publication Critical patent/JP6808666B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)

Description

本発明はデバイスに関する認証を実行する認証デバイス、および、これを備えるデバイス管理システムに関する。 The present invention relates to an authentication device that performs authentication on the device, and a device management system including the authentication device.

端末装置に接続されるデバイスを管理するデバイス管理システムが知られている。例えば非特許文献1では、デバイスを認証する端末装置を含むシステムを開示している。端末装置には、認証のためのソフトウェアがインストールされる。 A device management system that manages devices connected to a terminal device is known. For example, Non-Patent Document 1 discloses a system including a terminal device that authenticates a device. Software for authentication is installed in the terminal device.

Sky株式会社、“セキュリティ管理”、[online]、[平成30年1月13日検索]、〈URL:https://www.skyseaclientview.net/product/function/ale/〉Sky Co., Ltd., "Security Management", [online], [Search on January 13, 2018], <URL: https://www.skyseaclientview.net/product/function/ale/>

上記システムでは、認証機能を利用するためにユーザに様々な作業が要求される。例えば、認証機能を利用する環境を整備するための作業として、端末装置へのソフトウェアのインストールが挙げられる。また、デバイスに関する認証を実行するための作業として、端末装置の起動、および、ソフトウェアの起動が挙げられる。ユーザビリティの向上のため、認証機能の利用のためにユーザに要求される作業が少ないことが好ましい。 In the above system, various operations are required for the user in order to use the authentication function. For example, as an operation for preparing an environment for using the authentication function, installation of software on a terminal device can be mentioned. In addition, as the work for executing the authentication related to the device, the activation of the terminal device and the activation of the software can be mentioned. In order to improve usability, it is preferable that less work is required of the user to use the authentication function.

(1)本発明に関する認証デバイスは認証対象デバイスに関する認証が主たる目的であるモジュールを備え、前記モジュールは認証対象デバイスと通信する第1通信部と、前記第1通信部が前記認証対象デバイスから取得する情報に基づいて前記認証対象デバイスに関する認証を実行する認証部とを含む。
上記認証デバイスによれば、第1通信部に認証対象デバイスが接続される場合、認証対象デバイスに関する情報が第1通信部により取得される。認証部は第1通信部により取得された情報に基づいて、認証対象デバイスに関する認証を実行する。認証対象デバイスに関する認証を主たる目的として構成されるモジュールを備えるため、多様な機能のうちの1つとしてデバイスの認証を含むパーソナルコンピュータ等のようなデバイスとは異なり、認証デバイスの認証機能を利用するためにユーザに要求される作業が少ない。このため、デバイスの認証を容易に実行できる。 (1) The authentication device according to the present invention includes a module whose main purpose is to authenticate the device to be authenticated, and the module obtains a first communication unit that communicates with the device to be authenticated and the first communication unit acquires from the device to be authenticated. Includes an authentication unit that executes authentication for the device to be authenticated based on the information to be authenticated.
According to the above-mentioned authentication device, when the authentication target device is connected to the first communication unit, the information regarding the authentication target device is acquired by the first communication unit. The authentication unit executes authentication for the device to be authenticated based on the information acquired by the first communication unit. Since it is equipped with a module whose main purpose is to authenticate the device to be authenticated, it uses the authentication function of the authentication device, unlike devices such as personal computers, which include device authentication as one of various functions. Therefore, less work is required of the user. Therefore, device authentication can be easily performed.

(2)好ましい例では(1)に記載の認証デバイスにおいて、前記モジュールは保護対象デバイスと通信する第2通信部をさらに含み、前記認証部は前記認証対象デバイスが未認証のデバイスであると判定した場合、前記認証対象デバイスから前記保護対象デバイスへの情報の送信を遮断する。
上記認証デバイスによれば、認証対象デバイスが未認証のデバイスである場合、認証対象デバイスが保護対象デバイスに接続されない。このため、保護対象デバイスが危険に晒される頻度が低下する。 (2) In a preferred example, in the authentication device described in (1), the module further includes a second communication unit that communicates with the protected device, and the authentication unit determines that the authentication target device is an unauthenticated device. If so, the transmission of information from the authentication target device to the protection target device is blocked.
According to the above-mentioned authentication device, when the authentication target device is an unauthenticated device, the authentication target device is not connected to the protected device. This reduces the frequency with which protected devices are compromised.

(3)好ましい例では(2)に記載の認証デバイスにおいて、前記認証対象デバイスと前記第1通信部とを接続する第1通信ケーブルと、前記保護対象デバイスと前記第2通信部とを接続する第2通信ケーブルとをさらに備える。
上記認証デバイスによれば、有線により認証対象デバイスおよび保護対象デバイスのそれぞれと通信するため、保護対象デバイスのセキュリティの強度が高くなる。 (3) In a preferred example, in the authentication device described in (2), the first communication cable that connects the authentication target device and the first communication unit is connected, and the protection target device and the second communication unit are connected. Further provided with a second communication cable.
According to the above-mentioned authentication device, since each of the authentication target device and the protection target device is communicated by wire, the security strength of the protection target device is increased.

(4)好ましい例では(2)または(3)に記載の認証デバイスにおいて、前記認証部は前記認証対象デバイスが予め指定される種類のデバイスである場合、前記認証対象デバイスの認証を省略し前記保護対象デバイスに対する前記認証対象デバイスの通信を許可する。
予め指定される種類のデバイスとして、保護対象デバイスに障害を及ぼすことが想定しにくいデバイスが設定される。上記認証デバイスによれば、認証対象デバイスが予め指定される種類のデバイスに該当する場合、認証対象デバイスを速やかに利用できる。このため、保護対象デバイスのセキュリティの強度を保ちながら、認証対象デバイスに関するユーザビリティを高めることができる。 (4) In a preferred example, in the authentication device described in (2) or (3), when the authentication target device is a device of a type specified in advance, the authentication unit omits the authentication of the authentication target device. Allow communication of the authentication target device with the protected device.
As a type of device specified in advance, a device that is unlikely to cause a failure to the protected device is set. According to the above-mentioned authentication device, when the authentication target device corresponds to a device of a predetermined type, the authentication target device can be used promptly. Therefore, it is possible to improve the usability of the authentication target device while maintaining the security strength of the protected device.

(5)好ましい例では(2)〜(4)のいずれか一項に記載の認証デバイスにおいて、前記モジュールは前記保護対象デバイスと前記第2通信部との接続状態を監視する監視部と、前記保護対象デバイスと前記第2通信部との接続状態が通信可能な第1状態から通信不能な第2状態に変化したことが前記監視部に検出された場合、前記第2状態であることを報知する報知部とをさらに含む。
認証デバイスの利用中にユーザの意図に反して認証デバイスと保護対象デバイスとの接続が切断されることが想定される。このような状況の一例として、悪意の第三者により認証デバイスが保護対象デバイスから取り外される場合が挙げられる。上記認証デバイスによれば、保護対象デバイスと第2通信部との接続状態が監視部に監視される。接続状態が第1状態から第2状態に変化した場合、第2状態であることが報知部により報知される。このため、ユーザの意図に反して認証デバイスと保護対象デバイスとの接続が切断された場合、ユーザはこれを速やかに認識できる。 (5) In a preferred example, in the authentication device according to any one of (2) to (4), the module includes a monitoring unit that monitors the connection state between the protected device and the second communication unit, and the above. When the monitoring unit detects that the connection state between the protected device and the second communication unit has changed from the first state in which communication is possible to the second state in which communication is not possible, the monitoring unit notifies that the second state is present. Further includes a notification unit to be used.
It is assumed that the connection between the authentication device and the protected device is disconnected against the intention of the user while using the authentication device. One example of such a situation is when a malicious third party removes an authenticated device from a protected device. According to the authentication device, the monitoring unit monitors the connection status between the protected device and the second communication unit. When the connection state changes from the first state to the second state, the notification unit notifies that it is the second state. Therefore, if the connection between the authentication device and the protected device is disconnected against the intention of the user, the user can quickly recognize this.

(6)本発明に関するデバイス管理システムは(1)〜(5)のいずれか一項に記載の認証デバイスと、前記認証デバイスの認証結果を受信する管理装置とを備える。
上記デバイス管理システムの管理者は認証対象デバイスに関する認証結果を速やかに把握し、それに基づく処置を取ることができる。 (6) The device management system according to the present invention includes the authentication device according to any one of (1) to (5) and a management device for receiving the authentication result of the authentication device.
The administrator of the device management system can promptly grasp the authentication result regarding the device to be authenticated and take measures based on the authentication result.

本発明に関する認証デバイスおよびこれを備えるデバイス管理システムによれば、認証対象デバイスの認証を容易に実施できる。 According to the authentication device according to the present invention and the device management system including the authentication device, the authentication target device can be easily authenticated.

実施形態のデバイス管理システムを示す図。The figure which shows the device management system of embodiment. 図1のデバイス管理システムのブロック図。The block diagram of the device management system of FIG. モジュールが実行する判定プログラムを示すフローチャート。A flowchart showing a judgment program executed by the module. モジュールが実行する監視プログラムを示すフローチャート。A flowchart showing the monitoring program executed by the module.

(実施形態)
図1はデバイス管理システム10の一例である。デバイス管理システム10の主たる目的は保護対象デバイスDPの保護である。保護対象デバイスDPは例えばデバイス管理システム10の管理者が保有および管理するデバイス、または、管理者が第三者からの委託により管理するデバイスである。保護対象デバイスDPの一例はパーソナルコンピュータおよびスマートデバイスである。保護対象デバイスDPは他のデバイスである認証対象デバイスDCと通信できる。認証対象デバイスDCの一例はパーソナルコンピュータの周辺機器および外部メモリである。外部メモリの一例はUSBメモリおよびメモリカードである。メモリカードおよびカードリーダのセットも外部メモリの一例に含まれる。認証対象デバイスDCが未認証のデバイスである場合、これを保護対象デバイスDPに接続することにより保護対象デバイスDPが危険に晒される。保護対象デバイスDPに及ぶおそれがある障害の一例は、認証対象デバイスDCによる悪意のあるソフトウェアのインストールである。デバイス管理システム10は保護対象デバイスDPが危険に晒されることを未然に妨げることができるように構成される。 (Embodiment)
FIG. 1 is an example of the device management system 10. The main purpose of the device management system 10 is to protect the protected device DP. The protected device DP is, for example, a device owned and managed by the administrator of the device management system 10, or a device managed by the administrator on behalf of a third party. Examples of protected device DPs are personal computers and smart devices. The protected device DP can communicate with another device, the authentication target device DC. An example of the device DC to be authenticated is a peripheral device of a personal computer and an external memory. An example of an external memory is a USB memory and a memory card. A set of memory cards and card readers is also included as an example of external memory. If the authenticated device DC is an unauthenticated device, connecting it to the protected device DP puts the protected device DP at risk. An example of a failure that can affect the protected device DP is the installation of malicious software by the authenticated device DC. The device management system 10 is configured to prevent the protected device DP from being compromised.

デバイス管理システム10を構成する主な要素は認証デバイス20および管理装置100である。認証デバイス20および管理装置100は互いに通信できるようにネットワークを構成する。認証デバイス20と管理装置100との通信方式は有線通信または無線通信である。通信方式が有線通信である場合、認証デバイス20と管理装置100とは通信ケーブルにより互いに接続される。通信方式が無線通信である場合、認証デバイス20および管理装置100のそれぞれに無線通信装置が設けられる。 The main elements constituting the device management system 10 are the authentication device 20 and the management device 100. The authentication device 20 and the management device 100 configure a network so that they can communicate with each other. The communication method between the authentication device 20 and the management device 100 is wired communication or wireless communication. When the communication method is wired communication, the authentication device 20 and the management device 100 are connected to each other by a communication cable. When the communication method is wireless communication, a wireless communication device is provided for each of the authentication device 20 and the management device 100.

認証デバイス20を構成する主な要素はモジュール30、第1通信ケーブル21、および、第2通信ケーブル22である。モジュール30の主たる目的は認証対象デバイスDCに関する認証であり、モジュール30の構造は速やかな認証のために最適化されている。第1通信ケーブル21は認証対象デバイスDCとモジュール30とを接続する。第2通信ケーブル22は保護対象デバイスDPとモジュール30とを接続する。一例では、各通信ケーブル21、22はUSBケーブルである。 The main elements constituting the authentication device 20 are the module 30, the first communication cable 21, and the second communication cable 22. The main purpose of the module 30 is to authenticate the device DC to be authenticated, and the structure of the module 30 is optimized for rapid authentication. The first communication cable 21 connects the authentication target device DC and the module 30. The second communication cable 22 connects the protected device DP and the module 30. In one example, the communication cables 21 and 22 are USB cables.

モジュール30を構成する主な要素はハウジング31、内部機器40、および、バッテリ32である。一例では、モジュール30はポータブルデバイスである。内部機器40およびバッテリ32はハウジング31内に設けられる。ハウジング31は内部機器40およびバッテリ32を保護する。バッテリ32は内部機器40に電力を供給する。第2通信ケーブル22によりモジュール30と保護対象デバイスDPとが接続される状態では、保護対象デバイスDPから供給される電力によりバッテリ32が充電される。 The main elements constituting the module 30 are the housing 31, the internal device 40, and the battery 32. In one example, module 30 is a portable device. The internal device 40 and the battery 32 are provided in the housing 31. The housing 31 protects the internal device 40 and the battery 32. The battery 32 supplies electric power to the internal device 40. In a state where the module 30 and the protected device DP are connected by the second communication cable 22, the battery 32 is charged by the electric power supplied from the protected device DP.

好ましい例では、モジュール30には、ユーザ等により操作される電源スイッチが設けられない。外部の電源から電力が供給される状態、および、バッテリ32の残量が枯渇していない状態では、内部機器40に電力が供給され、モジュール30の動作が自動的に継続される。ユーザ等による電源スイッチの誤操作、または、悪意の第三者による電源スイッチの操作により、モジュール30の動作が停止するおそれがないため、保護対象デバイスDPのセキュリティの強度が高くなる。 In a preferred example, the module 30 is not provided with a power switch operated by a user or the like. When power is supplied from an external power source and when the remaining amount of the battery 32 is not exhausted, power is supplied to the internal device 40 and the operation of the module 30 is automatically continued. Since there is no possibility that the operation of the module 30 will be stopped due to an erroneous operation of the power switch by a user or the like or an operation of the power switch by a malicious third party, the security strength of the protected device DP is increased.

保護対象デバイスDPのユーザによる保護対象デバイスDPの使用が終了した場合、保護対象デバイスDPがシャットダウンされる。保護対象デバイスDPがシャットダウンした状態では、バッテリ32が充電されない。以下では、バッテリ32が充電されない状態を「非充電状態」と称する。非充電状態では、内部機器40がバッテリ32の電力により動作する。非充電状態においても内部機器40の動作を継続させるため、想定される非充電状態の最長期間においてバッテリ32の残量が枯渇しないようにバッテリ32の容量が設定される。想定される非充電状態の期間は保護対象デバイスDPの使用環境に応じて異なる。例えば、保護対象デバイスDPがオフィスに設置されるビジネス用のデバイスである場合、そのオフィスの長期休暇の期間に応じてバッテリ32の容量が設定される。その期間の一例は1週間、2週間、または、1ヶ月である。内部機器40の消費電力は小さいため、想定される非充電状態の最長期間が長い場合でも小型のバッテリ32を用いることができ、モジュール30の携帯性が保たれる。 When the user of the protected device DP finishes using the protected device DP, the protected device DP is shut down. The battery 32 is not charged when the protected device DP is shut down. Hereinafter, the state in which the battery 32 is not charged is referred to as a “non-charged state”. In the non-charged state, the internal device 40 operates by the electric power of the battery 32. In order to continue the operation of the internal device 40 even in the non-charged state, the capacity of the battery 32 is set so that the remaining amount of the battery 32 is not exhausted in the maximum expected period of the non-charged state. The assumed non-charged state varies depending on the usage environment of the protected device DP. For example, when the protected device DP is a business device installed in an office, the capacity of the battery 32 is set according to the period of long vacation in the office. An example of that period is one week, two weeks, or one month. Since the power consumption of the internal device 40 is small, the small battery 32 can be used even when the maximum expected non-charged state is long, and the portability of the module 30 is maintained.

図2はデバイス管理システム10のブロック図である。内部機器40は入出力ポート41、プロセッサ42、無線通信装置43、および、記憶装置44等のハードウェアを含む。内部機器40のハードウェアによりいくつかの機能ブロックが構成される。その一例は、第1通信部P1、第2通信部P2、認証部P3、監視部P4、報知部P5、無線通信部P6、および、記憶部P7である。第1通信部P1および第2通信部P2はそれぞれ入出力ポート41に含まれる。認証部P3、監視部P4、および、報知部P5はプロセッサ42に含まれる。無線通信部P6は無線通信装置43に含まれる。記憶部P7は記憶装置44に含まれる。プロセッサ42と入出力ポート41、無線通信装置43、および、記憶装置44のそれぞれとはバス接続される。 FIG. 2 is a block diagram of the device management system 10. The internal device 40 includes hardware such as an input / output port 41, a processor 42, a wireless communication device 43, and a storage device 44. The hardware of the internal device 40 constitutes several functional blocks. An example thereof is a first communication unit P1, a second communication unit P2, an authentication unit P3, a monitoring unit P4, a notification unit P5, a wireless communication unit P6, and a storage unit P7. The first communication unit P1 and the second communication unit P2 are included in the input / output ports 41, respectively. The authentication unit P3, the monitoring unit P4, and the notification unit P5 are included in the processor 42. The wireless communication unit P6 is included in the wireless communication device 43. The storage unit P7 is included in the storage device 44. The processor 42, the input / output port 41, the wireless communication device 43, and the storage device 44 are each connected by bus.

第1通信部P1は第1通信ケーブル21を介して認証対象デバイスDCと通信する。図示される例では、第1通信部P1は複数のポートを備える。第2通信部P2は第2通信ケーブル22を介して保護対象デバイスDPと通信する。認証部P3は第1通信部P1から受信した情報に基づいて、認証対象デバイスDCに関する判定を実行する。この判定には、認証対象デバイスDCに関する認証、および、認証対象デバイスDCの種類に関する判定が含まれる。 The first communication unit P1 communicates with the authentication target device DC via the first communication cable 21. In the illustrated example, the first communication unit P1 includes a plurality of ports. The second communication unit P2 communicates with the protected device DP via the second communication cable 22. The authentication unit P3 executes a determination regarding the authentication target device DC based on the information received from the first communication unit P1. This determination includes authentication regarding the authentication target device DC and determination regarding the type of the authentication target device DC.

監視部P4は保護対象デバイスDPと第2通信部P2との接続状態(以下「監視対象接続状態」という)を監視する。監視部P4は保護対象デバイスDPが起動している状態、および、保護対象デバイスDPがシャットダウンした状態のいずれにおいても監視対象接続状態を監視する。監視部P4は監視対象接続状態が通信可能な第1状態から通信不能な第2状態に変化したことを検出した場合、不通信号を報知部P5に送信する。 The monitoring unit P4 monitors the connection state between the protected device DP and the second communication unit P2 (hereinafter referred to as “monitored target connection state”). The monitoring unit P4 monitors the monitored connection state in both the state in which the protected device DP is activated and the state in which the protected device DP is shut down. When the monitoring unit P4 detects that the monitored connection state has changed from the communicable first state to the non-communicable second state, the monitoring unit P4 transmits a non-communication signal to the notification unit P5.

報知部P5は所定の情報を出力させるための信号を無線通信部P6に送信する。一例では、報知部P5は2種類の情報を無線通信部P6に出力させる。1つ目は死活情報である。死活情報はモジュール30が動作していることを示す。2つ目は警告情報である。警告情報は監視対象接続状態が第1状態から第2状態に変化したことを示す。 The notification unit P5 transmits a signal for outputting predetermined information to the wireless communication unit P6. In one example, the notification unit P5 causes the wireless communication unit P6 to output two types of information. The first is life and death information. Life and death information indicates that the module 30 is operating. The second is warning information. The warning information indicates that the monitored connection state has changed from the first state to the second state.

報知部P5は一定の時間毎に死活情報を出力させるための第1信号を無線通信部P6に送信する。無線通信部P6は報知部P5から受信した第1信号に応じて死活情報を含む無線信号を管理装置100に送信する。管理装置100は死活情報を含む無線信号を最後に受信してから経過した時間が一定時間を超えた場合、アラートを実行する。一例では、認証デバイス20の動作が停止している可能性があることを示す情報が管理装置100のディスプレイに表示される。このため、認証デバイス20の動作が停止している場合、デバイス管理システム10の管理者はこれを速やかに把握できる。 The notification unit P5 transmits a first signal for outputting life-and-death information to the wireless communication unit P6 at regular time intervals. The wireless communication unit P6 transmits a wireless signal including life-and-death information to the management device 100 according to the first signal received from the notification unit P5. The management device 100 executes an alert when the time elapsed since the last reception of the radio signal including the alive information exceeds a certain time. In one example, information indicating that the operation of the authentication device 20 may be stopped is displayed on the display of the management device 100. Therefore, when the operation of the authentication device 20 is stopped, the administrator of the device management system 10 can quickly grasp this.

報知部P5は監視部P4から不通信号を受信した場合、警告情報を出力させるための第2信号を無線通信部P6に送信する。無線通信部P6は報知部P5から受信した第2信号に応じて警告情報を含む無線信号を管理装置100に送信する。管理装置100は警告情報を含む無線信号を受信した場合、アラートを実行する。一例では、認証デバイス20が保護対象デバイスDPから取り外された可能性があることを示す情報が管理装置100のディスプレイに表示される。このため、認証デバイス20が保護対象デバイスDPと接続されていない場合、デバイス管理システム10の管理者はこれを速やかに把握できる。 When the notification unit P5 receives the non-communication signal from the monitoring unit P4, the notification unit P5 transmits a second signal for outputting warning information to the wireless communication unit P6. The wireless communication unit P6 transmits a wireless signal including warning information to the management device 100 according to the second signal received from the notification unit P5. When the management device 100 receives the radio signal including the warning information, the management device 100 executes an alert. In one example, information indicating that the authentication device 20 may have been removed from the protected device DP is displayed on the display of the management device 100. Therefore, when the authentication device 20 is not connected to the protected device DP, the administrator of the device management system 10 can quickly grasp this.

モジュール30は複数の動作モードを備える。複数の動作モードは遮断モードおよび中継モードを含む。認証部P3は所定の切替条件に基づいて、認証対象デバイスDCごとに動作モードを設定する。所定の切替条件の一例は認証対象デバイスDCに関する判定の結果である。認証部P3は認証対象デバイスDCが未認証のデバイスであると判定した場合、モジュール30の動作モードを遮断モードに設定する。認証部P3は認証対象デバイスDCが認証済みのデバイス、または、予め指定された種類のデバイス(以下「指定デバイス」という)であると判定した場合、モジュール30の動作モードを中継モードに設定する。 The module 30 has a plurality of operation modes. Multiple operating modes include cutoff mode and relay mode. The authentication unit P3 sets the operation mode for each authentication target device DC based on a predetermined switching condition. An example of the predetermined switching condition is the result of the determination regarding the authentication target device DC. When the authentication unit P3 determines that the authentication target device DC is an unauthenticated device, the authentication unit P3 sets the operation mode of the module 30 to the cutoff mode. When the authentication unit P3 determines that the authentication target device DC is an authenticated device or a device of a predetermined type (hereinafter referred to as "designated device"), the operation mode of the module 30 is set to the relay mode.

遮断モードでは、保護対象デバイスDPに対する認証対象デバイスDCの接続を遮断する。一例では、認証対象デバイスDCから送信される信号の受信を第1通信部P1が拒否することにより、保護対象デバイスDPに対する認証対象デバイスDCの接続が遮断される。ただし、モジュール30の動作モードが遮断モードの場合でも、認証部P3による判定に必要な情報は第1通信部P1により受信される。中継モードでは、保護対象デバイスDPに対する認証対象デバイスDCの接続を許可する。このため、モジュール30を介して認証対象デバイスDCと保護対象デバイスDPとの間で情報が送受信される。このようにモジュール30はアダプタとしても機能する。 In the cutoff mode, the connection of the authentication target device DC to the protected device DP is cut off. In one example, the first communication unit P1 rejects the reception of the signal transmitted from the authentication target device DC, so that the connection of the authentication target device DC to the protection target device DP is cut off. However, even when the operation mode of the module 30 is the cutoff mode, the information necessary for the determination by the authentication unit P3 is received by the first communication unit P1. In the relay mode, the connection of the authentication target device DC to the protection target device DP is permitted. Therefore, information is transmitted and received between the authentication target device DC and the protection target device DP via the module 30. In this way, the module 30 also functions as an adapter.

認証部P3は認証対象デバイスDCに関する判定の手順を記述した判定プログラム、および、監視対象接続状態の監視の手順を記述した監視プログラムを実行する。これらのプログラムは記憶部P7に予め記憶されている。図3は判定プログラムの内容を表すフローチャートである。判定プログラムの開始条件は任意に設定される。開始条件の第1例は第1通信部P1に認証対象デバイスDCが接続されることである。開始条件の第2例は第1通信部P1に認証対象デバイスDCが接続され、第2通信部P2に保護対象デバイスDPが接続されることである。 The authentication unit P3 executes a determination program that describes the procedure for determining the device DC to be authenticated and a monitoring program that describes the procedure for monitoring the connection status to be monitored. These programs are stored in advance in the storage unit P7. FIG. 3 is a flowchart showing the contents of the determination program. The start condition of the judgment program is arbitrarily set. The first example of the start condition is that the authentication target device DC is connected to the first communication unit P1. The second example of the start condition is that the authentication target device DC is connected to the first communication unit P1 and the protection target device DP is connected to the second communication unit P2.

ステップS11では、認証部P3は判定が完了していない認証対象デバイスDC(以下「未判定の認証対象デバイスDC」という)が第1通信部P1に接続されたか否かを判定する。未判定の認証対象デバイスDCが第1通信部P1に接続された場合、第1通信部P1は認証対象デバイスDCの識別情報を受信する。認証部P3は第1通信部P1が識別情報を受信しているか否かに基づいて、第1通信部P1と認証対象デバイスDCとの接続状態を判定する。ステップS11の判定結果が否定の場合、ステップS11が再度実行される。ステップS11の判定結果が肯定である場合、ステップS12が実行される。 In step S11, the authentication unit P3 determines whether or not the authentication target device DC (hereinafter referred to as “undetermined authentication target device DC”) for which the determination has not been completed is connected to the first communication unit P1. When the undetermined authentication target device DC is connected to the first communication unit P1, the first communication unit P1 receives the identification information of the authentication target device DC. The authentication unit P3 determines the connection state between the first communication unit P1 and the authentication target device DC based on whether or not the first communication unit P1 has received the identification information. If the determination result in step S11 is negative, step S11 is executed again. If the determination result in step S11 is affirmative, step S12 is executed.

ステップS12では、認証部P3は未判定の認証対象デバイスDCに対するモジュール30の動作モードを遮断モードに設定する。具体的には、認証部P3は未判定の認証対象デバイスDCから送信される情報の受信を拒否するための信号を第1通信部P1に送信する。ステップS12が実行された後、ステップS13が実行される。 In step S12, the authentication unit P3 sets the operation mode of the module 30 for the undetermined authentication target device DC to the cutoff mode. Specifically, the authentication unit P3 transmits a signal for rejecting the reception of information transmitted from the undetermined authentication target device DC to the first communication unit P1. After step S12 is executed, step S13 is executed.

ステップS13では、認証部P3は識別情報を用いて未判定の認証対象デバイスDCの種類を認識する。ステップS13の終了後にステップS14が実行される。ステップS14では、認証部P3は未判定の認証対象デバイスDCが指定デバイスか否かを判定する。記憶部P7は指定デバイスが登録された指定機器リストを予め記憶している。認証部P3は指定機器リストを参照してステップS14の判定を実行する。指定機器リストの内容は任意に設定できる。第1例では、キーボードおよびマウスが指定デバイスとして指定機器リストに登録される。第2例では、外部メモリ以外のデバイスが指定デバイスとして指定機器リストに登録される。認証デバイス20のユーザまたはデバイス管理システム10の管理者は管理装置100等を用いて指定機器リストを更新できる。 In step S13, the authentication unit P3 recognizes the type of the undetermined authentication target device DC by using the identification information. Step S14 is executed after the end of step S13. In step S14, the authentication unit P3 determines whether or not the undetermined authentication target device DC is a designated device. The storage unit P7 stores in advance a list of designated devices in which designated devices are registered. The authentication unit P3 refers to the designated device list and executes the determination in step S14. The contents of the designated device list can be set arbitrarily. In the first example, the keyboard and mouse are registered in the designated device list as designated devices. In the second example, a device other than the external memory is registered in the designated device list as a designated device. The user of the authentication device 20 or the administrator of the device management system 10 can update the designated device list by using the management device 100 or the like.

ステップS14の判定結果が肯定の場合、ステップS15が実行される。ステップS15では、認証部P3はモジュール30の動作モードを中継モードに設定する。具体的には、認証部P3は認証対象デバイスDCから送信される情報の受信を許可するための信号を第1通信部P1に送信する。 If the determination result in step S14 is affirmative, step S15 is executed. In step S15, the authentication unit P3 sets the operation mode of the module 30 to the relay mode. Specifically, the authentication unit P3 transmits a signal for permitting reception of information transmitted from the authentication target device DC to the first communication unit P1.

ステップS14の判定結果が否定の場合、ステップS16が実行される。ステップS16では、認証部P3は未判定の認証対象デバイスDCの認証を実行する。具体的には、認証部P3は取得した未判定の認証対象デバイスDCの識別情報が認証済み機器リストに登録されている場合、未判定の認証対象デバイスDCが認証済みのデバイスであると判定する。この判定が得られる場合、ステップS16の判定結果は肯定である。認証部P3は取得した認証対象デバイスDCの識別情報が認証済み機器リストに登録されていない場合、認証対象デバイスDCが未認証のデバイスであると判定する。この判定が得られる場合、ステップS16の判定結果は否定である。 If the determination result in step S14 is negative, step S16 is executed. In step S16, the authentication unit P3 authenticates the undetermined authentication target device DC. Specifically, when the acquired identification information of the undetermined authentication target device DC is registered in the authenticated device list, the authentication unit P3 determines that the undetermined authentication target device DC is an authenticated device. .. If this determination is obtained, the determination result in step S16 is affirmative. When the acquired identification information of the authentication target device DC is not registered in the authenticated device list, the authentication unit P3 determines that the authentication target device DC is an unauthenticated device. If this determination is obtained, the determination result in step S16 is negative.

ステップS16の判定結果が肯定の場合、ステップS15が実行される。ステップS16の判定結果が否定の場合、ステップS17が実行される。ステップS17では、認証部P3は未判定の認証対象デバイスDCに対するモジュール30の動作モードを遮断モードに設定する。 If the determination result in step S16 is affirmative, step S15 is executed. If the determination result in step S16 is negative, step S17 is executed. In step S17, the authentication unit P3 sets the operation mode of the module 30 for the undetermined authentication target device DC to the cutoff mode.

図4は監視プログラムの内容を表すフローチャートである。ステップS21では、認証部P3は監視対象接続状態が第1状態から第2状態に変化したか否かを判定する。ステップS21の判定結果が否定である場合、ステップS21の処理が再度実行される。ステップS21の判定結果が肯定である場合、ステップS22が実行される。ステップS22では、認証部P3は管理装置100に警告情報を送信するための信号を報知部P5に送信する。 FIG. 4 is a flowchart showing the contents of the monitoring program. In step S21, the authentication unit P3 determines whether or not the monitored connection state has changed from the first state to the second state. If the determination result in step S21 is negative, the process in step S21 is executed again. If the determination result in step S21 is affirmative, step S22 is executed. In step S22, the authentication unit P3 transmits a signal for transmitting warning information to the management device 100 to the notification unit P5.

(変形例)
上記実施形態は本発明に関する認証デバイスおよびデバイス管理システムが取り得る形態の例示であり、その形態を制限することを意図していない。本発明に関する認証デバイスおよびデバイス管理システムは実施形態に例示された形態とは異なる形態を取り得る。その一例は、実施形態の構成の一部を置換、変更、もしくは、省略した形態、または、実施形態に新たな構成を付加した形態である。 (Modification example)
The above-described embodiment is an example of possible embodiments of the authentication device and device management system according to the present invention, and is not intended to limit the embodiments. The authentication device and device management system according to the present invention may take a form different from the form exemplified in the embodiment. One example thereof is a form in which a part of the configuration of the embodiment is replaced, changed, or omitted, or a new configuration is added to the embodiment.

・モジュール30の構成は任意に変更可能である。第1例では、モジュール30から第2通信部P2が省略される。この場合、モジュール30は保護対象デバイスDPとの通信機能を持たない。このような形態を有するモジュール30は例えば認証対象デバイスDCに関する検査機器として利用できる。第2例では、第1通信部P1は認証対象デバイスDCと無線通信する無線通信部である。第3例では、第2通信部P2は保護対象デバイスDPと無線通信する無線通信部である。第4例では、モジュール30は複数の保護対象デバイスDPと通信できる第2通信部P2を備える。この場合、複数の保護対象デバイスDPと第2通信部P2とが複数の第2通信ケーブル22により接続される。 -The configuration of the module 30 can be changed arbitrarily. In the first example, the second communication unit P2 is omitted from the module 30. In this case, the module 30 does not have a communication function with the protected device DP. The module 30 having such a form can be used, for example, as an inspection device for the authentication target device DC. In the second example, the first communication unit P1 is a wireless communication unit that wirelessly communicates with the authentication target device DC. In the third example, the second communication unit P2 is a wireless communication unit that wirelessly communicates with the protected device DP. In the fourth example, the module 30 includes a second communication unit P2 capable of communicating with a plurality of protected device DPs. In this case, the plurality of protected device DPs and the second communication unit P2 are connected by the plurality of second communication cables 22.

・認証部P3による認証対象デバイスDCの判定方法は任意に変更可能である。第1例では、認証部P3はステップS16において、管理装置100に記憶されている指定機器リストを参照し、認証対象デバイスDCが指定デバイスか否かを判定する。この場合、記憶部P7に指定機器リストを予め記憶する必要がない。第2例では、認証部P3はステップS16において、管理装置100に記憶されている認証済み機器リストを参照し、認証対象デバイスDCが認証済みのデバイスか否かを判定する。この場合、記憶部P7に認証済み機器リストを予め記憶する必要がない。 -The method of determining the authentication target device DC by the authentication unit P3 can be arbitrarily changed. In the first example, in step S16, the authentication unit P3 refers to the designated device list stored in the management device 100, and determines whether or not the authentication target device DC is the designated device. In this case, it is not necessary to store the designated device list in the storage unit P7 in advance. In the second example, in step S16, the authentication unit P3 refers to the list of authenticated devices stored in the management device 100, and determines whether or not the authentication target device DC is an authenticated device. In this case, it is not necessary to store the authenticated device list in the storage unit P7 in advance.

・監視部P4による監視方法は任意に変更可能である。一例では、監視部P4は保護対象デバイスDPが起動した状態で保護対象デバイスDPと第2通信部P2との接続状態を監視し、保護対象デバイスDPがシャットダウンした状態では接続状態を監視しない。この場合、監視部P4が消費する電力が少なくなる。 -The monitoring method by the monitoring unit P4 can be changed arbitrarily. In one example, the monitoring unit P4 monitors the connection status between the protected device DP and the second communication unit P2 while the protected device DP is activated, and does not monitor the connection status when the protected device DP is shut down. In this case, the power consumed by the monitoring unit P4 is reduced.

・モジュール30の構成は任意に変更可能である。モジュール30は無線通信装置43とは別に、警告情報を出力するための出力装置をさらに備える。出力装置は音、光、および、振動の少なくとも1つにより警告情報を出力する。出力装置の構成は任意に選択可能である。一例では、出力装置はモジュール30に設けられるディスプレイ、スピーカ、ランプ、または、バイブレータである。報知部P5は不通信号を受信した場合、警告情報を出力させるための信号を無線通信部P6および出力装置に送信する。出力装置は報知部P5から受信した信号に応じて警告情報を出力する。認証デバイス20のユーザは保護対象デバイスDPと認証デバイス20との接続状態が第2状態に変化したことを速やかに認識できる。 -The configuration of the module 30 can be changed arbitrarily. The module 30 further includes an output device for outputting warning information in addition to the wireless communication device 43. The output device outputs warning information by at least one of sound, light, and vibration. The configuration of the output device can be arbitrarily selected. In one example, the output device is a display, speaker, lamp, or vibrator provided on the module 30. When the notification unit P5 receives the non-delivery signal, the notification unit P5 transmits a signal for outputting the warning information to the wireless communication unit P6 and the output device. The output device outputs warning information according to the signal received from the notification unit P5. The user of the authentication device 20 can quickly recognize that the connection state between the protected device DP and the authentication device 20 has changed to the second state.

10 :デバイス管理システム
20 :認証デバイス
21 :第1通信ケーブル
22 :第2通信ケーブル
30 :モジュール
100:管理装置
P1 :第1通信部
P2 :第2通信部
P3 :認証部
P4 :監視部
P5 :報知部
DC :認証対象デバイス
DP :保護対象デバイス
10: Device management system 20: Authentication device 21: First communication cable 22: Second communication cable 30: Module 100: Management device P1: First communication unit P2: Second communication unit P3: Authentication unit P4: Monitoring unit P5: Notification unit DC: Authentication target device DP: Protected device

Claims (5)

認証対象デバイスに関する認証が主たる目的であるモジュールを備え、
前記モジュールは認証対象デバイスと通信する第1通信部と、前記第1通信部が前記認証対象デバイスから取得する情報に基づいて前記認証対象デバイスに関する認証を実行する認証部と、保護対象デバイスと通信する第2通信部とを含み、
前記認証部は前記第1通信部が前記認証対象デバイスから取得した前記情報が認証済み機器リストに登録されていることに基づいて前記保護対象デバイスに対する前記認証対象デバイスの接続を許可し、前記認証対象デバイスが予め指定される種類のデバイスである外部メモリ以外のデバイスに該当する場合、前記第1通信部が前記認証対象デバイスから取得した前記情報と前記認証済み機器リストとの照合を省略し、前記保護対象デバイスに対する前記認証対象デバイスの接続を許可し、前記認証対象デバイスが外部メモリである場合、前記第1通信部が前記外部メモリから取得した情報が認証済み機器リストに登録されていることに基づいて前記保護対象デバイスに対する前記外部メモリの接続を許可し、前記外部メモリから取得した情報が前記認証済み機器リストに登録されていないことに基づいて前記保護対象デバイスに対する前記外部メモリの接続を遮断する
認証デバイス。 It has a module whose main purpose is to authenticate the device to be authenticated.
The module communicates with the first communication unit that communicates with the authentication target device, the authentication unit that executes the authentication related to the authentication target device based on the information acquired from the authentication target device by the first communication unit, and the protected device. Including the second communication unit
The authentication unit permits the connection of the authentication target device to the protection target device based on the information acquired from the authentication target device by the first communication unit registered in the authenticated device list, and the authentication unit. When the target device corresponds to a device other than the external memory, which is a device of a specified type in advance, the first communication unit omits the collation between the information acquired from the authentication target device and the authenticated device list. When the connection of the authentication target device to the protection target device is permitted and the authentication target device is an external memory, the information acquired by the first communication unit from the external memory is registered in the authenticated device list. Allows the connection of the external memory to the protected device based on, and connects the external memory to the protected device based on the fact that the information acquired from the external memory is not registered in the authenticated device list. Authentication device to block . 前記認証部は前記認証対象デバイスが前記認証済み機器リストに登録されていないデバイスであると判定した場合、前記保護対象デバイスに対する前記認証対象デバイスの接続を遮断する
請求項1に記載の認証デバイス。 The authentication device according to claim 1, wherein when the authentication unit determines that the authentication target device is a device that is not registered in the authenticated device list, the authentication target device blocks the connection of the authentication target device to the protected device. 前記認証対象デバイスと前記第1通信部とを接続する第1通信ケーブルと、
前記保護対象デバイスと前記第2通信部とを接続する第2通信ケーブルとをさらに備える
請求項1または2に記載の認証デバイス。 A first communication cable that connects the authentication target device and the first communication unit, and
The authentication device according to claim 1 or 2, further comprising a second communication cable for connecting the protected device and the second communication unit. 前記モジュールは前記保護対象デバイスと前記第2通信部との接続状態を監視する監視部と、前記保護対象デバイスと前記第2通信部との接続状態が通信可能な第1状態から通信不能な第2状態に変化したことが前記監視部に検出された場合、前記第2状態であることを報知する報知部とをさらに含む
請求項1〜3のいずれか一項に記載の認証デバイス。 The module has a monitoring unit that monitors the connection state between the protected device and the second communication unit, and a first state in which the connection state between the protected device and the second communication unit can communicate with each other. When the monitoring unit detects that the state has changed to two states, the monitoring unit further includes a notification unit that notifies that the second state is in effect.
The authentication device according to any one of claims 1 to 3 . 請求項1〜4のいずれか一項に記載の認証デバイスと、
前記認証デバイスの認証結果を受信する管理装置とを備える
デバイス管理システム。 The authentication device according to any one of claims 1 to 4 .
A device management system including a management device that receives an authentication result of the authentication device.
JP2018027941A 2018-02-20 2018-02-20 Authentication device and device management system equipped with it Expired - Fee Related JP6808666B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018027941A JP6808666B2 (en) 2018-02-20 2018-02-20 Authentication device and device management system equipped with it

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018027941A JP6808666B2 (en) 2018-02-20 2018-02-20 Authentication device and device management system equipped with it

Publications (2)

Publication Number Publication Date
JP2019144811A JP2019144811A (en) 2019-08-29
JP6808666B2 true JP6808666B2 (en) 2021-01-06

Family

ID=67772338

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018027941A Expired - Fee Related JP6808666B2 (en) 2018-02-20 2018-02-20 Authentication device and device management system equipped with it

Country Status (1)

Country Link
JP (1) JP6808666B2 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7823214B2 (en) * 2005-01-07 2010-10-26 Apple Inc. Accessory authentication for electronic devices
JP4738105B2 (en) * 2005-09-01 2011-08-03 株式会社東芝 Information processing apparatus and control method thereof
JP5011574B2 (en) * 2008-07-03 2012-08-29 Necインフロンティア株式会社 Information processing apparatus, usage restriction method, and program
JP5172603B2 (en) * 2008-10-24 2013-03-27 シャープ株式会社 Information communication system, information communication apparatus, communication terminal, and information communication system control method
JP5035385B2 (en) * 2010-04-26 2012-09-26 富士通株式会社 Program, limiting method and computer
US9804977B2 (en) * 2015-04-28 2017-10-31 Microchip Technology Incorporated Universal serial bus smart hub
JP2017010174A (en) * 2015-06-18 2017-01-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 Device safety detection apparatus, device safety detection method, and program

Also Published As

Publication number Publication date
JP2019144811A (en) 2019-08-29

Similar Documents

Publication Publication Date Title
US9588563B2 (en) Protocol for managing a controllable power adapter accessory
KR102490540B1 (en) The electronic device and the method for sharing a screen data
KR102507530B1 (en) Method for probiding smart key service and electronic device thereof
KR20170010799A (en) Power management contracts for accessory devices
JP6463059B2 (en) Mobile device, control method thereof, and program
CA3087996C (en) System and method for controlling the power states of a mobile computing device
CN108183972A (en) Document handling method and terminal
KR101390704B1 (en) Usb memory safety management system using smartphones
JP6808666B2 (en) Authentication device and device management system equipped with it
CN103268439A (en) Method executed outside mobile terminal for detecting safety of mobile terminal and corresponding equipment
US20140045464A1 (en) Method and apparatus to use smart phones to securely and conveniently monitor intel pcs remotely
US8533776B2 (en) Method and system for binding a device to a planar
KR101659294B1 (en) An apparatus for secure usb memory using beacon signals and the operating method thereof
US11889416B2 (en) Message indicating a pass-through mode in which data is relayed between a terminal device and a network without being subjected to a conversion process
US20060291491A1 (en) Wireless LAN unit
KR20240116499A (en) Power outage monitoring devices, methods and external protection devices
JP2020004243A (en) Loss prevention unit
US8850559B2 (en) Security method of a portable device
JP2003047048A (en) Wireless communication system, wireless portable terminal device, management center device, wireless communication method, program, and medium
US11435978B2 (en) Electronic device, control system and control method
US11546329B2 (en) Portable communication terminal control system, portable communication terminal and recording medium
CN112119566A (en) Power supply method, device, system and storage medium
CN102340768A (en) Device and method for realizing network locking of mobile terminal
CN114662082B (en) Access control method for electronic device, readable medium and electronic device
KR101475907B1 (en) System for monitoring input command to server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190617

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200108

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200108

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200117

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200121

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20200207

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20200212

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200908

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20201013

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20201110

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20201110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201209

R150 Certificate of patent or registration of utility model

Ref document number: 6808666

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees