JP2011041080A - 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム - Google Patents
認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム Download PDFInfo
- Publication number
- JP2011041080A JP2011041080A JP2009187722A JP2009187722A JP2011041080A JP 2011041080 A JP2011041080 A JP 2011041080A JP 2009187722 A JP2009187722 A JP 2009187722A JP 2009187722 A JP2009187722 A JP 2009187722A JP 2011041080 A JP2011041080 A JP 2011041080A
- Authority
- JP
- Japan
- Prior art keywords
- client device
- electronic certificate
- verification
- certificate
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】MFP(1)からCA(1)によってオンライン発行されたMFP(1)証明書を受信すると、MFP(2)は、当該電子証明書の検証に必要な処理の一部を、PC(1)に依頼する。PC(1)は、依頼を受けた処理を実行し、その結果をMFP(2)に送信する。なお、MFP(2)は、継続検証として、MFP(1)証明書の検証に必要な処理であって、自機でできない処理についてのみ、PC(1)に処理を依頼する。
【選択図】図1
Description
図1は、認証システムの第1の実施の形態の構成を模式的に示す図である。
図2は、クライアント装置2A〜2Cを含むネットワーク(以下、適宜「ネットワーク6」と呼ぶ)の構成を模式的に示す図である。
図3は、クライアント装置2を構成するPC(1)のハードウェア構成を模式的に示す図である。
図4は、認証サーバ装置7を構成するコンピュータのハードウェア構成を模式的に示す図である。
図5は、クライアント装置2の機能ブロックを模式的に示す。
他のデバイスに送信されるデータは、データ作成部211によってネットワークパケットの形に成形され、データ送信部212によって上記のように決定された送信先に送信される。
図6は、認証サーバ装置7(以下、認証サーバ装置7A〜7Cを総称して、適宜「認証サーバ装置7」と呼ぶ)の機能ブロックを模式的に示す。
他のデバイスに送信されるデータは、データ作成部711によって、ネットワークパケットの形に成形され、データ送信部712によって、適宜設定された送信元へと送信される。
(クライアント装置における電子証明書の検証)
以下、クライアント装置2Bにおける、クライアント装置2Aの認証のための、クライアント装置2Aの電子証明書の検証について説明する。
まず、クライアント装置2Aとクライアント装置2Bとの間での通信開始時に、シェイクハンドで、お互いの電子証明書が通信相手に送信される。これにより、クライアント装置2Bは、クライアント装置2Aの電子証明書(MFP(1)証明書)を受信する。
次に、クライアント装置2Bの証明書処理部204は、MFP(1)証明書に含まれるCA(2)の電子署名を、CA(2)証明書に含まれるCA(2)の公開鍵を利用して検証する。
次に、クライアント装置2Bの証明書処理部204は、MFP(1)証明書の検証に関するセキュリティポリシーをチェックする。上記の通り、セキュリティポリシーでは、当該証明書の検証には、手順[2.]で実行したMFP(1)証明書の検証の他に、CA(2)証明書、CA(1)証明書およびルート証明書の検証が必要とされる。証明書処理部204は、当該チェックにより、このことを認識すると、継続検証を依頼するデバイスを決定する。この場合の継続検証は、MFP(1)証明書の検証に必要な証明書の検証であって、クライアント装置2Bが可能なMFP(1)証明書の検証以外の証明書の検証である。つまり、CA(2)証明書、CA(1)証明書およびルート証明書の検証である。
継続検証を依頼する情報は、たとえば、MFP(1)証明書と、当該MFP(1)証明書の検証がどこまで上位の階層のCAの証明書の検証が必要かを特定する情報を含む。
次に、クライアント装置2Bの継続検証部205は、上記のように特定されたデバイスであるクライアント装置2Cに、上記デバイスに、手順[2.]の検証結果とともに、継続検証を依頼する情報を送信する。
クライアント装置2Cでは、手順[4.]によってクライアント装置2Bから受信した継続検証を依頼する情報が、当該クライアント装置2Cの継続検証部205に送られる。
継続検証の依頼を受けた当該クライアント装置2Cの継続検証部205は、継続検証を実行する。具体的には、CA(2)証明書、CA(1)証明書およびルート証明書の検証を実行する。
クライアント装置2Cの継続検証部205は、手順[6.]の検証の結果を、クライアント装置2Bへ送信する。
クライアント装置2Bでは、クライアント装置2Cから検証結果を受信すると、証明書処理部204は、手順[2.]での検証結果と合わせて、クライアント装置2Aの認証に成功したか、つまり、CA(2)、CA(2)およびルートCAの電子署名の検証が成功したか否かを判断する。
クライアント装置2Bの証明書処理部204は、手順[8.]の認証結果、つまり、クライアント装置2Bがクライアント装置2Aと通信ができるか否かの情報を、クライアント装置2Aに送信する。
以上説明した本実施の形態では、MFP(1)からCA(1)(認証サーバ装置)によってオンライン発行されたMFP(1)証明書(第1の電子証明書)を受信すると、MFP(2)(第1のクライアント装置,認証装置)は、当該電子証明書の検証に必要な処理の一部を、PC(1)(第2のクライアント装置)に依頼する。PC(1)は、依頼を受けた処理を実行し、その結果をMFP(2)に送信する。
図8は、認証システムの第2の実施の形態の構成を模式的に示す図である。
第1および第2の実施の形態において、PC(1)がルートCAの証明書(電子署名)の検証ができない場合、PC(1)がさらに他のデバイスにルートCAの証明書の検証を依頼してもよい。つまり、継続検証は、複数のデバイスにおいて実行されてもよい。
PC(1)は、受信したルート証明書の検証結果と、自機でのCA(1)証明書の検証結果を、MFP(2)に送信する。
Claims (15)
- 第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備えた認証システムの制御方法であって、
前記第1のクライアント装置が、
前記認証サーバ装置によってオンライン発行された第1の電子証明書を記憶するステップと、
前記第2のクライアント装置に対して、前記第1の電子証明書の検証に必要な処理を依頼するステップとを備え、
前記第2のクライアント装置が、
前記第1のクライアント装置から依頼された処理を実行するステップと、
前記第1のクライアント装置から依頼された処理の結果を前記第1のクライアント装置に送信するステップとを備える、認証システムの制御方法。 - 前記第1のクライアント装置が、
前記第1の電子証明書の検証に必要な処理の範囲を取得するステップと、
前記取得した範囲の処理を前記第1のクライアント装置が実行できるか否かを判断するステップとをさらに備え、
前記第1のクライアント装置が前記処理を依頼するステップは、前記取得した範囲が前記第1のクライアント装置の実行できない範囲を含むと判断した場合に、前記第2のクライアント装置に対して前記実行できない範囲の処理を依頼するステップを含む、請求項1に記載の認証システムの制御方法。 - 前記第1のクライアント装置が、前記取得した範囲の中の実行できる範囲の処理を実行するステップをさらに備え、
前記実行できない範囲の処理を依頼するステップは、前記実行できる範囲の処理の結果を送信するステップを含む、請求項2に記載の認証システムの制御方法。 - 前記認証システムは、階層構造を有する複数の認証サーバ装置を含み、
前記第1の電子証明書は、前記複数の認証サーバ装置のいずれかによって発行され、
前記第1のクライアント装置が前記範囲を取得するステップは、前記第1の電子証明書の検証のために電子証明書の検証が必要な認証サーバ装置の範囲を取得するステップを含み、
前記第1のクライアント装置が前記取得した範囲の処理を実行できるか否かを判断するステップは、前記検証が必要な電子証明書が、前記第1のクライアント装置が検証できる電子証明書よりも上位の前記認証サーバ装置が発行した電子証明書を含むか否かを判断するステップを含み、
前記第1のクライアント装置が前記実行できる範囲の処理を実行するステップは、前記検証が必要な電子証明書の中の検証できる範囲の電子証明書を検証するステップを含み、
前記第1のクライアント装置が前記実行できる範囲の処理の実行の結果を送信するステップは、前記検証できる範囲の電子証明書の検証結果を送信するステップを含み、
前記第1のクライアント装置が前記処理を依頼するステップは、前記検証が必要とされる電子証明書の中の、前記検証できる電子証明書よりも上位の認証サーバ装置が発行した電子証明書の検証を依頼するステップを含む、請求項3に記載の認証システムの制御方法。 - 前記第2のクライアント装置が、
前記第1のクライアント装置による検証結果と、前記第2のクライアント装置による検証結果とに基づいて、前記第1の電子証明書の検証が成功したか否かを判断するステップと、
前記第1の電子証明書の検証が成功したか否かの判断の結果を前記第1のクライアント装置へ送信するステップとをさらに備える、請求項4に記載の認証システムの制御方法。 - 前記第2のクライアント装置は、前記判断の結果を、前記第2のクライアント装置の電子署名を施して、前記第1のクライアント装置へ送信する、請求項5に記載の認証システムの制御方法。
- 前記第1のクライアント装置は、前記検証できる電子証明書の検証結果に前記第1のクライアント装置の電子署名を施して、前記第2のクライアント装置に送信する、請求項6に記載の認証システムの制御方法。
- 前記第1の電子証明書は、当該第1の電子証明書の検証に必要とされる認証サーバ装置の階層についての記述を含み、
前記第1のクライアント装置は、前記第1の電子証明書の前記階層についての記述に基づいて、前記認証サーバ装置の範囲を取得する、請求項7に記載の認証システムの制御方法。 - 前記第1のクライアント装置と前記第2のクライアント装置は、共通で有する電子証明書を利用して通信する、請求項1〜請求項8のいずれかに記載の認証システムの制御方法。
- 前記第1の電子証明書は、当該第1の電子証明書の検証に必要な処理を依頼する装置を特定する情報の記述を含み、
前記第1のクライアント装置は、前記第1の電子証明書における前記装置を特定する情報の記述に基づいて、前記第1の電子証明書の検証に必要な処理を依頼する装置を決定する、請求項1〜請求項9のいずれかに記載の認証システムの制御方法。 - 認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
他の装置に対して、前記電子証明書の検証に必要な処理を依頼するステップと、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信するステップとを備える、認証装置の制御方法。 - 第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備えた認証システムの制御プログラムであって、
前記第1のクライアント装置に、
前記認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
前記第2のクライアント装置に対して、前記電子証明書の検証に必要な処理を依頼するステップとを実行させ、
前記第2のクライアント装置に、
前記第1のクライアント装置から依頼された前記電子証明書の検証に必要な処理を実行するステップと、
前記第1のクライアント装置から依頼された処理の結果を前記第1のクライアント装置に送信するステップとを実行させる、認証システムの制御プログラム。 - 前記認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
前記他の装置に対して、前記電子証明書の検証に必要な処理を依頼するステップと、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信するステップとを備える、認証装置の制御プログラム。 - 第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備え、
前記第1のクライアント装置は、
前記認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、
前記第2のクライアント装置に対して、前記第電子証明書の検証に必要な処理を依頼する依頼部とを含み、
前記第2のクライアント装置は、
前記依頼部から受信した電子証明書の検証に必要な処理を実行する検証部と、
前記検証部が実行した処理の結果を前記第1のクライアント装置に送信する送信部とを含む、認証システム。 - ネットワークを介して他の装置および認証サーバ装置に接続する認証装置であって、
前記認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、
前記他の装置に対して、前記電子証明書の検証に必要な処理を依頼する依頼部と、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信する受信部とを備える、認証装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009187722A JP5471150B2 (ja) | 2009-08-13 | 2009-08-13 | 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009187722A JP5471150B2 (ja) | 2009-08-13 | 2009-08-13 | 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011041080A true JP2011041080A (ja) | 2011-02-24 |
JP5471150B2 JP5471150B2 (ja) | 2014-04-16 |
Family
ID=43768379
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009187722A Expired - Fee Related JP5471150B2 (ja) | 2009-08-13 | 2009-08-13 | 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5471150B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012100188A (ja) * | 2010-11-05 | 2012-05-24 | Tokai Rika Co Ltd | 認証システム |
JP2020022165A (ja) * | 2018-08-02 | 2020-02-06 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | 自動化された公開鍵基盤の初期設定 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348077A (ja) * | 2002-05-27 | 2003-12-05 | Hitachi Ltd | 属性証明書検証方法および装置 |
JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
JP2007267299A (ja) * | 2006-03-30 | 2007-10-11 | Hitachi Ltd | 属性証明書検証システムおよびその方法 |
JP2007274722A (ja) * | 2007-05-17 | 2007-10-18 | Nec Corp | 代理検証システム及び方法並びにその携帯端末 |
JP2009100013A (ja) * | 2007-10-12 | 2009-05-07 | Hitachi Ltd | 共通暗号鍵処理方法 |
-
2009
- 2009-08-13 JP JP2009187722A patent/JP5471150B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348077A (ja) * | 2002-05-27 | 2003-12-05 | Hitachi Ltd | 属性証明書検証方法および装置 |
JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
JP2007267299A (ja) * | 2006-03-30 | 2007-10-11 | Hitachi Ltd | 属性証明書検証システムおよびその方法 |
JP2007274722A (ja) * | 2007-05-17 | 2007-10-18 | Nec Corp | 代理検証システム及び方法並びにその携帯端末 |
JP2009100013A (ja) * | 2007-10-12 | 2009-05-07 | Hitachi Ltd | 共通暗号鍵処理方法 |
Non-Patent Citations (4)
Title |
---|
CSNG200500671004; 藤城 孝宏ほか: '証明書検証サービスの開発' 電子情報通信学会論文誌 Vol. J87-D-I, No. 8, 200408, pp. 833-840 * |
CSNG200700445015; 梅澤 克之ほか: 'モバイル向け証明書検証システムの開発' 情報処理学会論文誌 Vol. 48, No. 2, 200702, pp. 625-634 * |
JPN6013030799; 藤城 孝宏ほか: '証明書検証サービスの開発' 電子情報通信学会論文誌 Vol. J87-D-I, No. 8, 200408, pp. 833-840 * |
JPN6013044187; 梅澤 克之ほか: 'モバイル向け証明書検証システムの開発' 情報処理学会論文誌 Vol. 48, No. 2, 200702, pp. 625-634 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012100188A (ja) * | 2010-11-05 | 2012-05-24 | Tokai Rika Co Ltd | 認証システム |
JP2020022165A (ja) * | 2018-08-02 | 2020-02-06 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | 自動化された公開鍵基盤の初期設定 |
US11558203B2 (en) | 2018-08-02 | 2023-01-17 | Siemens Aktiengesellschaft | Automated public key infrastructure initialization |
Also Published As
Publication number | Publication date |
---|---|
JP5471150B2 (ja) | 2014-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103404103B (zh) | 将访问控制***与业务管理***相结合的***和方法 | |
JP4298969B2 (ja) | 認証信用証明書の委任の有効範囲を制御するための方法とシステム | |
CN106452782B (zh) | 为终端设备生成安全通信信道的方法和*** | |
RU2390945C2 (ru) | Одноранговая аутентификация и авторизация | |
US9749301B2 (en) | Cryptographic web service | |
CN102422593B (zh) | 基于http的认证 | |
JP5038531B2 (ja) | 信頼できる機器に限定した認証 | |
CN102404314B (zh) | 远程资源单点登录 | |
JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
TWI400922B (zh) | 在聯盟中主用者之認證 | |
JP5464794B2 (ja) | ネットワーク管理方法およびネットワーク管理システム | |
JP6810334B2 (ja) | プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム | |
TWI542183B (zh) | 由多租戶服務提供者所為之動態平台重新組配技術 | |
JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
US8806195B2 (en) | User interface generation in view of constraints of a certificate profile | |
JP2004005647A (ja) | アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム | |
CN111316267A (zh) | 使用委托身份的认证 | |
JP2013513880A (ja) | 非同期クライアント・サーバ・トランザクションを保護するための方法、システム、およびコンピュータ使用可能プログラム製品 | |
JP2023524659A (ja) | 低信頼の特権アクセス管理 | |
US7975293B2 (en) | Authentication system, authentication method and terminal device | |
JP2009205342A (ja) | 権限委譲システム、権限委譲方法および権限委譲プログラム | |
JP2011076377A (ja) | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 | |
JP5714596B2 (ja) | 証明書属性に基づくipセキュリティ証明書交換 | |
CN108521424A (zh) | 面向异构终端设备的分布式数据处理方法 | |
JP2010086175A (ja) | リモートアクセス管理システム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120106 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20130415 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130613 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130625 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130910 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131101 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131211 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140120 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |