JP2009187335A - 接続管理システム、接続管理サーバ、接続管理方法及びプログラム - Google Patents
接続管理システム、接続管理サーバ、接続管理方法及びプログラム Download PDFInfo
- Publication number
- JP2009187335A JP2009187335A JP2008027222A JP2008027222A JP2009187335A JP 2009187335 A JP2009187335 A JP 2009187335A JP 2008027222 A JP2008027222 A JP 2008027222A JP 2008027222 A JP2008027222 A JP 2008027222A JP 2009187335 A JP2009187335 A JP 2009187335A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- terminal
- terminals
- policy
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】接続管理サーバ10の接続ポリシー設定部14には、各端末20−1〜20−nの電子証明書に基づいた接続ルールが設定されている接続ポリシーを保持している。端末20からの端末間接続の要求に対して、端末接続処理部12は、接続ポリシーチェック部15に接続ポリシーのチェックを依頼する。接続ポリシーチェック部15は、接続ポリシーと接続を行う両端末20の電子証明書に基づいて、接続の可否を判定する。
【選択図】図1
Description
接続ポリシー設定部は、端末間の接続ルールを規定する接続ポリシーを保持する。
端末接続処理部は、端末から他の端末への接続要求があったとき、前記接続ポリシーチェック部に接続の可否の判断を依頼し、接続可のとき前記端末と前記他の端末との接続を確立する。
前記複数の端末うちの1つである接続元端末は、前記接続管理サーバに、自己の電子証明書、接続先端末を一意に識別する端末識別子及び接続要求を送信する接続要求部を備える。
また接続ポリシーを接続管理サーバが保持しているので、接続ポリシーの変更や追加は接続管理サーバ上にて一括的に適用することができ、管理者の負荷を軽減できる。
図1は、本実施形態における接続管理システム100の構成例を示す図である。同図に示すように接続管理システム100は、接続管理サーバ10、複数の端末20−1〜20
−n、及び証明書管理サーバ30を構成要素として有する。
端末アドレス処理部21は、端末に付与されているアドレス情報を取得し、制御通信を介して定期的に接続管理サーバ10に取得したアドレス情報をUPする。接続要求部22は、他の端末20との接続を確立したい場合、接続先の端末識別子、及び自身の電子証明書と共に接続要求を接続管理サーバ10に送信する。また接続要求部22は、端末間接続処理部12から、制御情報を介して、接続先情報を受信する。証明書管理部23は、自身の端末の電子証明書及び暗号化と復号化の鍵ペアを保持する。そして証明書管理部23は、接続要求部22から電子証明書の取得依頼があると、電子証明書を渡す。端末間接続処理部24は、接続要求部22が受信した接続先情報に基づき、端末間接続を行う。
証明書発行部31は、接続管理100内の各端末20−1〜20−nに電子証明書を発行する。証明書チェック部32は、制御通信により、接続管理サーバ10の証明書管理部13から、各電子証明書の失効確認要求に対して、電子証明書が期限切れ等によって失効しているかどうかを確認し、結果を証明書管理部13に返す。
図2は、本実施形態の接続管理システム100による端末間の接続を行う際の手続の概略を示す図である。
バ30は、事前に電子証明書を発行してある。そしてこの電子証明書は、接続管理サーバ10の証明書管理部13によって保存管理されている。
同図において、接続ポリシーには、「証明書の所有者(subject)情報のOU(Organization Unit)が同じであれば接続可能」、「証明書の所有者情報OUが“network”でCH(Common Home)のメールアドレスドメインが“fujitsu.com”であれば接続可能」の2つの接続ルールが設定されている。
このように、本実施形態の接続管理システム100では、端末間の接続ルールが設定されている接続ポリシーを接続管理サーバ10が持ち、接続管理サーバ10によって一元管理される。よって接続ルールを新規に加えたり削除したりあるいは変更する等の処理は、接続管理サーバ10で管理されている接続ポリシーを変更すればよい。
同図は、端末Aが端末Bとの接続の確立を要求した場合のフローを示している。
図5は、接続管理システム100が稼動する前に、事前に接続管理サーバ10に対して行われる処理を示すフローチャートである。
末20−1〜20−n、言い換えれば接続管理サーバ10が端末間接続を管理する全端末20−1〜20−nの電子証明書を証明書管理部13に端末識別子と関連付けて登録する。
図6は、接続管理システム100内の端末が他の端末と接続を行うときの接続管理サーバ10の動作処理を示すフローチャートである。
そしてステップS18の認証の結果、接続先端末が認証を得られれば(ステップS19、Y)、ステップS20として端末接続処理部12は、接続先端末に接続元端末のアドレス情報及び接続パラメータを通知する。
一方ステップS14及びS19で接続元若しくは接続先の端末の認証が得られなかった場合や(ステップS14、NまたはステップS19、N)、ステップS16で接続ポリシーのチェックの結果、接続ポリシーチェック部15に接続不可と判定された場合(ステップS16、N)、ステップS22として接続要求を送ってきた接続元端末にエラー通知を行った後、処理を終了する。
ートである。
同図の処理が開始されると、まず端末間通信を行っている端末が相手の端末識別子、自己の電子証明書と共に切断要求を接続管理サーバ10に送信し、接続管理サーバ10では、ステップS31として、これを端末接続処理部12が受信する。
ステップS32の認証の結果、切断要求を行った端末が認証されれば(ステップS33Y)、次に端末接続処理部12は相手先の端末の端末式別紙を用いて、端末アドレス管理部11から相手先端末のアドレス情報を受け取り、ステップS34としてこのアドレス情報を用いて相手先端末から電子証明書を受信する。
ステップS35の結果、認証が得られれば(ステップS36、Y)、端末接続処理部12はステップS37として自己に登録されている接続登録を削除し、ステップS38として切断要求を行った端末と相手先の端末に端末間通信が切断されたことを通知後、処理を終了する。
同図において接続管理サーバ10は、CPU41、RAM等の主記憶装置42、ハードディスク等の補助記憶装置43、ディスプレイ、キーボード、ポインティングデバイス等の入出力装置(I/O)44、通信インタフェースやモデム等のネットワーク接続装置45、及びディスク、磁気テープなどの可搬記憶媒体から記憶内容を読み出す媒体読み取り装置46を有し、これらが互いにバス48により接続される構成を備えている。そして各構成要素は、バス48を介して互いにデータのやり取りを行う。
(付記1)
端末間の接続を管理する接続管理サーバであって
端末間の接続ルールを規定する接続ポリシーを保持する接続ポリシー設定部と、
前記接続ポリシーに基づいて、端末間の接続の可否を判断する接続ポリシーチェック部と、
端末から他の端末への接続要求があったとき、前記接続ポリシーチェック部に接続の可否の判断を依頼し、接続可のとき前記端末と前記他の端末との接続を確立する端末接続処理部と、
を備えることを特徴とする接続管理サーバ。
(付記2)
複数の端末と、前記複数の端末の端末間接続を管理する接続管理サーバを備える接続管理システムであって
前記複数の端末うちの1つである接続元端末は
前記接続管理サーバに、自己の電子証明書、接続先端末を一意に識別する端末識別子及び接続要求を送信する接続要求部を備え、
前記接続管理サーバは、
前記電子証明書に基づいた端末間の接続ルールを規定する接続ポリシーを保持する接続ポリシー設定部と、
前記複数の端末の電子証明書を保持する証明書管理部と、
前記接続ポリシー及び前記接続元の端末と前記接続先端末の電子証明書に基づいて、端末間の接続の可否を判断する接続ポリシーチェック部と、
前記接続元端末から前記接続先端末への接続要求があったとき、前記接続元端末の前記電子証明書を用いて前記接続元端末の認証行い、前記接続元端末が認証されたのなら前記接続ポリシーチェック部に接続の可否の判断を依頼し、接続可のとき前記接続元のアドレス情報を前記接続先の端末に通知する端末接続処理部と、
を備え、
前記接続先端末は、
前記接続管理サーバから前記接続元端末のアドレス情報を受信し、当該接続元端末のアドレス情報を用いて前記接続元端末と通信を行う端末間接続処理部と
を備えることを特徴とする接続管理システム。
(付記3)
システム内の端末間の接続を管理する管理方法であって、
前記システム内の全ての端末の電子証明書を保持し
端末から他の端末への接続要求があったとき、前記電子証明書に基づいた端末間の接続ルールを規定する接続ポリシーに基づいて、端末間の接続の可否を判断し、
当該判断の結果、接続可のとき前記端末と前記他の端末との接続を確立する
ことを特徴とする接続管理方法。
(付記4)
システム内の端末間の接続を管理する管理サーバで実行されるプログラムであって、
端末から他の端末への接続要求があったとき、前記管理サーバが保持する、端末間の接続ルールを規定する接続ポリシーに基づいて端末間の接続の可否を判断し、
当該判断の結果、接続可のとき前記端末と前記他の端末との接続を確立する
ことを前記接続管理サーバに実行させるプログラム。
(付記5)
前記接続ポリシーは、前記端末の電子証明書に基づいた端末間の接続ルールを規定し、
前記端末から前記他の端末への接続要求があったとき、前記端末及び前記他の端末の前記電子証明書及び前記接続ポリシーに基づいて端末間の接続の可否を判断することを前記接続管理サーバに実行させる付記4に記載のプログラム。
(付記6)
前記接続ポリシーは、前記端末の電子証明書の所有者情報内の階層的なドメイン情報を用いて接続ルールを規定するものであることを特徴とする付記5に記載のプログラム。(図3)
(付記7)
前記システム内の全端末の電子証明書を前記接続管理サーバに保持することを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記8)
前記接続ポリシーは、前記端末の電子証明書に基づいた端末間の接続ルールを規定し、
前記接続の可否は前記接続管理サーバが保持している前記電子証明書を用いて行うことを前記接続管理サーバに実行させることを特徴とする付記7に記載のプログラム。
(付記9)
前記接続管理サーバに保持している前記電子証明書の失効確認を前記証明書管理サーバに問い合わせることを前記接続管理サーバに実行させることを特徴とする付記7に記載のプログラム。
(付記10)
前記接続要求は前記端末の電子証明書と共に前記接続管理サーバに送信され、当該電子証明書によって前記端末の認証を行うことを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記11)
前記他の端末から電子証明書を受け取り、当該電子証明書によって前記他の端末の認証を行うことを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記12)
前記システム内の全端末のアドレス情報を保持することを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記13)
端末間通信を行っている端末から当該端末間通信の切断要求を受けたとき、前記切断要求を行った端末の電子証明書によって当該切断要求を行った端末の認証を行った後に、前記端末間通信の切断を行うことを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記14)
端末間通信を行っている端末から当該端末間通信の切断要求を受けたとき、前記切断要求を行った端末の相手先の端末の電子証明書によって当該相手先の端末の認証を行った後に、前記端末間通信の切断を行うことを前記接続管理サーバに実行させることを特徴とする付記4に記載のプログラム。
(付記15)
システム内の端末間の接続を管理する管理サーバで実行されるプログラムであって、
端末から他の端末への接続要求があったとき、前記管理サーバが保持する、グループ間の接続ルールを規定する接続ポリシーに基づいてグループ間の接続の可否を判断し、
当該判断の結果、接続可のとき前記グループと前記他のグループとの接続を確立する
ことを前記接続管理サーバに実行させるプログラム。
11 端末アドレス管理部
12 端末接続処理部
13 証明書管理部
14 接続ポリシー設定部
15 接続ポリシーチェック部
20 端末
21 端末アドレス処理部
22 接続要求部
23 証明書管理部
24 端末間接続処理部
31 証明書発行部
32 証明書チェック部
41 CPU
42 主記憶装置
43 補助記憶装置
44 入出力装置
45 ネットワーク接続装置
46 媒体読み取り装置
47 記憶媒体
48 バス
100 接続管理システム
Claims (4)
- 端末間の接続を管理する接続管理サーバであって
端末間の接続ルールを規定する接続ポリシーを保持する接続ポリシー設定部と、
前記接続ポリシーに基づいて、端末間の接続の可否を判断する接続ポリシーチェック部と、
端末から他の端末への接続要求があったとき、前記接続ポリシーチェック部に接続の可否の判断を依頼し、接続可のとき前記端末と前記他の端末との接続を確立する端末接続処理部と、
を備えることを特徴とする接続管理サーバ。 - 複数の端末と、前記複数の端末の端末間接続を管理する接続管理サーバを備える接続管理システムであって
前記複数の端末うちの1つである接続元端末は
前記接続管理サーバに、自己の電子証明書、接続先端末を一意に識別する端末識別子及び接続要求を送信する接続要求部を備え、
前記接続管理サーバは、
前記電子証明書に基づいた端末間の接続ルールを規定する接続ポリシーを保持する接続ポリシー設定部と、
前記複数の端末の電子証明書を保持する証明書管理部と、
前記接続ポリシー及び前記接続元の端末と前記接続先端末の電子証明書に基づいて、端末間の接続の可否を判断する接続ポリシーチェック部と、
前記接続元端末から前記接続先端末への接続要求があったとき、前記接続元端末の前記電子証明書を用いて前記接続元端末の認証行い、前記接続元端末が認証されたのなら前記接続ポリシーチェック部に接続の可否の判断を依頼し、接続可のとき前記接続元のアドレス情報を前記接続先の端末に通知する端末接続処理部と、
を備え、
前記接続先端末は、
前記接続管理サーバから前記接続元端末のアドレス情報を受信し、当該接続元端末のアドレス情報を用いて前記接続元端末と通信を行う端末間接続処理部と
を備えることを特徴とする接続管理システム。 - システム内の端末間の接続を管理する管理方法であって、
前記システム内の全ての端末の電子証明書を保持し
端末から他の端末への接続要求があったとき、前記電子証明書に基づいた端末間の接続ルールを規定する接続ポリシーに基づいて、端末間の接続の可否を判断し、
当該判断の結果、接続可のとき前記端末と前記他の端末との接続を確立する
ことを特徴とする接続管理方法。 - システム内の端末間の接続を管理する管理サーバで実行されるプログラムであって、
端末から他の端末への接続要求があったとき、前記管理サーバが保持する、端末間の接続ルールを規定する接続ポリシーに基づいて端末間の接続の可否を判断し、
当該判断の結果、接続可のとき前記端末と前記他の端末との接続を確立する
ことを前記接続管理サーバに実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008027222A JP5239369B2 (ja) | 2008-02-07 | 2008-02-07 | 接続管理システム、接続管理サーバ、接続管理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008027222A JP5239369B2 (ja) | 2008-02-07 | 2008-02-07 | 接続管理システム、接続管理サーバ、接続管理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009187335A true JP2009187335A (ja) | 2009-08-20 |
JP5239369B2 JP5239369B2 (ja) | 2013-07-17 |
Family
ID=41070501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008027222A Active JP5239369B2 (ja) | 2008-02-07 | 2008-02-07 | 接続管理システム、接続管理サーバ、接続管理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5239369B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011053985A (ja) * | 2009-09-02 | 2011-03-17 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報配信システム、設定情報配信方法、端末、配信サーバ、端末プログラム及び配信サーバプログラム |
JP2015153027A (ja) * | 2014-02-12 | 2015-08-24 | キヤノン株式会社 | 通信装置、通信システム、通信装置の制御方法およびプログラム |
JP2016095597A (ja) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | 配備制御プログラム、配備制御装置及び配備制御方法 |
JP2016540446A (ja) * | 2013-12-11 | 2016-12-22 | アマゾン・テクノロジーズ・インコーポレーテッド | 仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003122635A (ja) * | 2001-08-03 | 2003-04-25 | Matsushita Electric Ind Co Ltd | アクセス権制御システム |
JP2005141526A (ja) * | 2003-11-07 | 2005-06-02 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
JP2005229436A (ja) * | 2004-02-13 | 2005-08-25 | Ntt Communications Kk | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム |
JP2006166028A (ja) * | 2004-12-07 | 2006-06-22 | Ntt Data Corp | Vpn接続構築システム |
JP2006270431A (ja) * | 2005-03-23 | 2006-10-05 | Ntt Communications Kk | 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法 |
JP2007323553A (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Ltd | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード |
-
2008
- 2008-02-07 JP JP2008027222A patent/JP5239369B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003122635A (ja) * | 2001-08-03 | 2003-04-25 | Matsushita Electric Ind Co Ltd | アクセス権制御システム |
JP2005141526A (ja) * | 2003-11-07 | 2005-06-02 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
JP2005229436A (ja) * | 2004-02-13 | 2005-08-25 | Ntt Communications Kk | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム |
JP2006166028A (ja) * | 2004-12-07 | 2006-06-22 | Ntt Data Corp | Vpn接続構築システム |
JP2006270431A (ja) * | 2005-03-23 | 2006-10-05 | Ntt Communications Kk | 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法 |
JP2007323553A (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Ltd | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011053985A (ja) * | 2009-09-02 | 2011-03-17 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報配信システム、設定情報配信方法、端末、配信サーバ、端末プログラム及び配信サーバプログラム |
JP2016540446A (ja) * | 2013-12-11 | 2016-12-22 | アマゾン・テクノロジーズ・インコーポレーテッド | 仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御 |
JP2015153027A (ja) * | 2014-02-12 | 2015-08-24 | キヤノン株式会社 | 通信装置、通信システム、通信装置の制御方法およびプログラム |
JP2016095597A (ja) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | 配備制御プログラム、配備制御装置及び配備制御方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5239369B2 (ja) | 2013-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2390945C2 (ru) | Одноранговая аутентификация и авторизация | |
US8788811B2 (en) | Server-side key generation for non-token clients | |
US9130935B2 (en) | System and method for providing access credentials | |
US7552468B2 (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
KR100786443B1 (ko) | 암호화 통신 방법 및 시스템 | |
JP3761557B2 (ja) | 暗号化通信のための鍵配付方法及びシステム | |
US20110296171A1 (en) | Key recovery mechanism | |
US20110113239A1 (en) | Renewal of expired certificates | |
JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
KR20170106515A (ko) | 다중 팩터 인증 기관 | |
US11240246B2 (en) | Secure confirmation exchange for offline industrial machine | |
WO2014049709A1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
Ates et al. | An identity-centric internet: identity in the cloud, identity as a service and other delights | |
CA2489127C (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
JP2008287395A (ja) | 認証方法及び認証システム | |
Yan et al. | Blockchain based PKI and certificates management in mobile networks | |
JP5239369B2 (ja) | 接続管理システム、接続管理サーバ、接続管理方法及びプログラム | |
WO2011040192A1 (ja) | 仮想マシン、仮想マシンのプログラム、アプリケーションサービス提供システム及びアプリケーションサービス提供方法 | |
JP2012181662A (ja) | アカウント情報連携システム | |
JP4552785B2 (ja) | 暗号化通信管理サーバ | |
JP2005217679A (ja) | 通信相手の認証を行う認証サーバ | |
Cisco | Multiple RSA Key Pair Support | |
Sharif et al. | Cross-Domain Sharing of User Claims: A Design Proposal for OpenID Connect Attribute Authorities | |
JP6334275B2 (ja) | 認証装置、認証方法、認証プログラム、及び認証システム | |
WO2019100966A1 (zh) | 认证的方法及网络装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100616 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120619 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120820 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130305 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130318 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160412 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5239369 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |