JP2017228145A - 認証システム、通信システム、認証認可方法、及びプログラム - Google Patents
認証システム、通信システム、認証認可方法、及びプログラム Download PDFInfo
- Publication number
- JP2017228145A JP2017228145A JP2016124755A JP2016124755A JP2017228145A JP 2017228145 A JP2017228145 A JP 2017228145A JP 2016124755 A JP2016124755 A JP 2016124755A JP 2016124755 A JP2016124755 A JP 2016124755A JP 2017228145 A JP2017228145 A JP 2017228145A
- Authority
- JP
- Japan
- Prior art keywords
- resource
- connection
- authentication
- terminal
- authorization information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 57
- 238000000034 method Methods 0.000 title claims description 18
- 230000005540 biological transmission Effects 0.000 claims abstract description 42
- 238000013475 authorization Methods 0.000 claims description 36
- 238000012545 processing Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 11
- 101100260765 Schizosaccharomyces pombe (strain 972 / ATCC 24843) tls1 gene Proteins 0.000 description 8
- 238000012795 verification Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】サービス側の機能が複数のシステムに分散された通信システムにおいて、リソース提供システムとは異なるコネクションに接続する認証システムによる認証情報を、リソース提供システムと認証システムとの間で共有可能とする。【解決手段】認証システム30の送受信部31は、端末10によって送信されるクライアント証明書で認証してから、端末との間の第1のコネクションを確立する。認証システムのトークン発行部32は、クライアント証明書に対応するアクセストークンを出力する。認証システムの送受信部は、第2のコネクションにより、リソース提供システム60へアクセストークンを送信させる。【選択図】図4
Description
本発明は、認証システム、通信システム、認証認可方法、及びプログラムに関する。
クライアント証明書を用いたクライアント認証後に通信端末によるコネクションを確立するTLS(Transport Layer Security)などのプロトコルが知られている。また、リソースの要求元が認証され、かつ認可されてから、要求元にリソースへアクセスさせるOAuth2.0などのプロトコルが知られている。
特許文献1には、サードパーティーアプリケーションによって、その識別子、認証クレデンシャル、およびアクセス許可を区別可能な様式で集中型セキュアマネージメントシステムへ送信するステップと、サードパーティーアプリケーションを成功裏に認証した後に、集中型セキュアマネージメントシステムによって、識別子およびアクセス許可を許可サーバへ転送するステップと、アクセス許可が有効である場合には、許可サーバによって、ユーザの保護されているリソースにアクセスするためのアクセストークンを、集中型セキュアマネージメントシステムを通じてサードパーティーアプリケーションに発行するステップとを含む方法が開示されている。
サービス側の機能が複数のシステムに分散された通信システムにおいて、通信端末は、認証システムによって認証され、認証システムとのコネクションを確立してから、リソース提供システムにリソースへのアクセスを要求するプロセスも想定される。ここで、リソース提供システムは、上記のコネクションに接続していない場合、通信端末をリソースへアクセスさせるための認証情報として、認証システムによる認証で用いられたクライアント証明書を共有できないという課題が生じる。
請求項1に係る発明の認証システムは、通信端末によって送信されるクライアント証明書で認証してから、前記通信端末との間の第1のコネクションを確立する確立手段と、前記通信端末によるリソースへのアクセスの認可を示す認可情報として、前記クライアント証明書に対応する認可情報を出力する出力手段と、前記第1のコネクションとは異なる第2のコネクションにより、前記リソースを提供するリソース提供システムへ前記認可情報を送信させる送信手段と、を有する。
以上説明したように本発明によれば、リソース提供システムは、リソース提供システムとは異なるコネクションに接続する認証システムによる認証情報を、認証システムとの間で共有可能になるという効果を奏する。
以下、本発明の実施形態について説明する。
<<通信システムの概略>>
図1は、本発明の一実施形態に係る通信システムの概略図である。図1は、通信ネットワーク2上に認証、及びリソース提供に係るサービス側を示し、利用者側は、通信ネットワーク2に接続されていることを示している。
図1は、本発明の一実施形態に係る通信システムの概略図である。図1は、通信ネットワーク2上に認証、及びリソース提供に係るサービス側を示し、利用者側は、通信ネットワーク2に接続されていることを示している。
以下、通信端末を「端末」と表し、端末のうち任意の端末を端末10と表す。通信システム1は、端末10、及び管理システム50によって構築されている。管理システム50には、認証システム30及びリソース提供システム60が含まれる。
端末10は、例えば、タブレット、スマートフォン、PC(personal computer)等の汎用端末、若しくは、テレビ会議端末、電子黒板、電子看板、カメラなどの専用端末である。なお、通信システム1において、端末の種類、及び数は限定されるものではない。また、各端末10は、同種であっても、異種であっても良い。
端末10は、例えば、タブレット、スマートフォン、PC(personal computer)等の汎用端末、若しくは、テレビ会議端末、電子黒板、電子看板、カメラなどの専用端末である。なお、通信システム1において、端末の種類、及び数は限定されるものではない。また、各端末10は、同種であっても、異種であっても良い。
通信システム1においてリソースは、任意の場所として、例えば、管理システム50、又は通信ネットワーク2上の任意のサーバに記憶される。リソースは、例えば、アドレス帳、又は会議履歴などのデータ、若しくは通話用、又は会議用のアプリケーションである。
認証システム30は、認証の要求元の端末10から送られてくるクライアント証明書を用いて要求元を認証し、端末10との間でTLS(Transport Layer Security)コネクションを確立する。
リソース提供システム60は、リソースの要求元の端末10をリソースにアクセスさせる。
リソース提供システム60は、リソースの要求元の端末10をリソースにアクセスさせる。
<<ハードウェア構成>>
次に、通信システム1を構成する各装置のハードウェア構成を説明する。
次に、通信システム1を構成する各装置のハードウェア構成を説明する。
図2は、一実施形態に係る端末10のハードウェア構成図である。なお、端末10は、通信可能であれば、端末10のハードウェア構成は図2の構成に限定されない。例えば、端末10は、図2に記載されていない構成が含まれていても、図2に記載の構成の一部が含まれていなくても良い。また、図2に記載の構成の一部は端末10に接続可能な外部装置等であっても良い。図2に示されているように、本実施形態の端末10は、端末10全体の動作を制御するCPU(Central Processing Unit)101、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムを記憶したROM(Read Only Memory)102、CPU101のワークエリアとして使用されるRAM(Random Access Memory)103、端末10の各種端末用のプログラム、画像データ、及び音データ等の各種データを記憶するフラッシュメモリ104、CPU101の制御にしたがってフラッシュメモリ104に対する各種データの読み出し又は書き込みを制御するSSD(Solid State Drive)105、フラッシュメモリやICカード(Integrated Circuit Card)等の記録メディア106に対するデータの読み出し又は書き込み(記憶)を制御するメディアI/F107、宛先を選択する場合などに操作される操作ボタン108、端末10の電源のON/OFFを切り換えるための電源スイッチ109、通信ネットワーク2を利用してデータ伝送をするためのネットワークI/F(Interface)111を備えている。
また、端末10は、CPU101の制御に従って被写体を撮像して画像データを得る内蔵型のカメラ112、このカメラ112の駆動を制御する撮像素子I/F113、音を入力する内蔵型のマイク114、音を出力する内蔵型のスピーカ115、CPU101の制御に従ってマイク114及びスピーカ115との間で音信号の入出力を処理する音入出力I/F116、CPU101の制御に従って外付けのディスプレイ120に画像データを伝送するディスプレイI/F117、各種の外部機器を接続するための外部機器接続I/F118、端末10の各種機能の異常を知らせるアラームランプ119、及び上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン110を備えている。
ディスプレイ120は、被写体の画像や操作等を表示する液晶や有機EL(Organic Electroluminescence)によって構成された表示部である。また、ディスプレイ120は、ケーブル120cによってディスプレイI/F117に接続される。このケーブル120cは、アナログRGB(VGA)信号用のケーブルであってもよいし、コンポーネントビデオ用のケーブルであってもよいし、HDMI(登録商標)(High-Definition Multimedia Interface)やDVI(Digital Video Interactive)信号用のケーブルであってもよい。
カメラ112は、レンズや、光を電荷に変換して被写体の画像(映像)を電子化する固体撮像素子を含み、固体撮像素子として、CMOS(Complementary Metal Oxide Semiconductor)や、CCD(Charge Coupled Device)等が用いられる。
外部機器接続I/F118には、筐体1100の接続口1132に差し込まれたUSB(Universal Serial Bus)ケーブル等によって、外付けカメラ、外付けマイク、及び外付けスピーカ等の外部機器がそれぞれ電気的に接続可能である。外付けカメラが接続された場合には、CPU101の制御に従って、内蔵型のカメラ112に優先して、外付けカメラが駆動する。同じく、外付けマイクが接続された場合や、外付けスピーカが接続された場合には、CPU101の制御に従って、それぞれが内蔵型のマイク114や内蔵型のスピーカ115に優先して、外付けマイクや外付けスピーカが駆動する。
なお、記録メディア106は、端末10に対して着脱自在な構成となっている。また、CPU101の制御にしたがってデータの読み出し又は書き込みを行う不揮発性メモリであれば、フラッシュメモリ104に限らず、EEPROM(Electrically Erasable and Programmable ROM)等を用いてもよい。
図3は、一実施形態に係る管理システム50のハードウェア構成図である。管理システム50は、管理システム50全体の動作を制御するCPU501、IPL等のCPU501の駆動に用いられるプログラムを記憶したROM502、CPU501のワークエリアとして使用されるRAM503、管理システム50用のプログラム等の各種データを記憶するHD504、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御するHDD(Hard Disk Drive)505、フラッシュメモリ等の記録メディア506に対するデータの読み出し又は書き込み(記憶)を制御するメディアドライブ507、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示するディスプレイ508、通信ネットワーク2を利用してデータ通信するためのネットワークI/F509、文字、数値、各種指示などの入力のための複数のキーを備えたキーボード511、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行うマウス512、着脱可能な記録媒体の一例としてのCD−ROM(Compact Disc Read Only Memory)513に対する各種データの読み出し又は書き込みを制御するCD−ROMドライブ514、及び、上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン510を備えている。
なお、管理システム50を構築する認証システム30、及びリソース提供システム60は、それぞれ図3に示す構成を有している。
<<機能構成>>
次に、一実施形態の機能構成について説明する。図4は、一実施形態に係る通信システム1の一部を構成する端末10、及び管理システム50の機能ブロック図である。図4では、端末10、及び管理システム50が、通信ネットワーク2を介してデータ通信することができるように接続されている。
次に、一実施形態の機能構成について説明する。図4は、一実施形態に係る通信システム1の一部を構成する端末10、及び管理システム50の機能ブロック図である。図4では、端末10、及び管理システム50が、通信ネットワーク2を介してデータ通信することができるように接続されている。
<端末の機能構成>
端末10は、送受信部11、操作入力受付部12、表示制御部13、及び記憶・読出部19を有している。これら各部は、図2に示されている各構成要素のいずれかが、フラッシュメモリ104からRAM103上に展開されたプログラムに従ったCPU101からの命令によって動作することで実現される機能である。また、端末10は、図2に示されているROM102、RAM103、フラッシュメモリ104によって構築される記憶部1000を有している。
端末10は、送受信部11、操作入力受付部12、表示制御部13、及び記憶・読出部19を有している。これら各部は、図2に示されている各構成要素のいずれかが、フラッシュメモリ104からRAM103上に展開されたプログラムに従ったCPU101からの命令によって動作することで実現される機能である。また、端末10は、図2に示されているROM102、RAM103、フラッシュメモリ104によって構築される記憶部1000を有している。
(端末の各機能構成)
次に、図2及び図4を用いて、端末10の各機能構成について詳細に説明する。なお、以下では、端末10の各機能構成を説明するにあたって、図2に示されている各構成要素のうち、端末10の各機能構成を実現させるための主な構成要素との関係も説明する。
次に、図2及び図4を用いて、端末10の各機能構成について詳細に説明する。なお、以下では、端末10の各機能構成を説明するにあたって、図2に示されている各構成要素のうち、端末10の各機能構成を実現させるための主な構成要素との関係も説明する。
送受信部11は、CPU101からの命令、及びネットワークI/F111によって実現され、通信ネットワーク2を介して、相手側の端末、各装置又はシステム等と各種データ(または情報)の送受信を行う。
操作入力受付部12は、CPU101からの命令、並びに操作ボタン108及び電源スイッチ109によって実現され、ユーザによる各種入力を受け付けたり、ユーザによる各種選択を受け付けたりする。
表示制御部13は、CPU101からの命令、及びディスプレイI/F117によって実現され、通話する際に相手側から送られてきた画像データをディスプレイ120に送信するための制御を行う。
記憶・読出部19は、CPU101からの命令及びSSD105によって実行され、又はCPU101からの命令によって実現され、記憶部1000に各種データを記憶したり、記憶部1000に記憶された各種データを抽出したりする処理を行う。
<管理システムの機能構成>
管理システム50の認証システム30は、送受信部31、トークン発行部32、及び記憶・読出部39を有している。これら各部は、図3に示されている各構成要素のいずれかが、HD504からRAM503上に展開された認証システム30用のプログラムに従ったCPU501からの命令によって動作することで実現される機能である。また、認証システム30は、HD504により構築される記憶部3000を有している。
管理システム50の認証システム30は、送受信部31、トークン発行部32、及び記憶・読出部39を有している。これら各部は、図3に示されている各構成要素のいずれかが、HD504からRAM503上に展開された認証システム30用のプログラムに従ったCPU501からの命令によって動作することで実現される機能である。また、認証システム30は、HD504により構築される記憶部3000を有している。
(アカウント管理テーブル)
表1はアカウント管理テーブルを示す概念図である。記憶部3000には、アカウント管理テーブルによってアカウント管理DB3001が構築される。アカウント管理テーブルでは、アカウントID(identifier, identification)ごとに、Common Name、及びアカウントによるアクセスが認可されるリソースのリソースIDが関連付けられて管理される。アカウントIDは、リソースへのアクセスの権限を示すアカウントを識別する。Common NameはTLSコネクションの確立時に利用されるクライアント証明書に含まれており、TLSコネクションの相手側、即ち端末10側を識別する。本実施形態においてID及び名称は、文字、数字、記号などの任意の情報によって表される。また、IDは、メールアドレスや、電話番号などの対象を一意に特定できるものであっても良い。
表1はアカウント管理テーブルを示す概念図である。記憶部3000には、アカウント管理テーブルによってアカウント管理DB3001が構築される。アカウント管理テーブルでは、アカウントID(identifier, identification)ごとに、Common Name、及びアカウントによるアクセスが認可されるリソースのリソースIDが関連付けられて管理される。アカウントIDは、リソースへのアクセスの権限を示すアカウントを識別する。Common NameはTLSコネクションの確立時に利用されるクライアント証明書に含まれており、TLSコネクションの相手側、即ち端末10側を識別する。本実施形態においてID及び名称は、文字、数字、記号などの任意の情報によって表される。また、IDは、メールアドレスや、電話番号などの対象を一意に特定できるものであっても良い。
送受信部31は、CPU501からの命令、及びネットワークI/F509によって実現され、通信ネットワーク2を介して各端末、装置又はシステムと各種データ(または情報)の送受信を行う。
トークン発行部32は、CPU501からの命令によって実現され、端末10による要求に応じて、アクセストークンを発行する。
記憶・読出部39は、CPU501からの命令及びHDD505によって実現され、記憶部3000に各種データを記憶したり、記憶部3000に記憶された各種データを抽出したりする処理を行う。
管理システム50のリソース提供システム60は、送受信部61、トークン検証部62、リソース提供部63、及び記憶・読出部69を有している。これら各部は、図3に示されている各構成要素のいずれかが、HD504からRAM503上に展開されたリソース提供システム60用のプログラムに従ったCPU501からの命令によって動作することで実現される機能である。また、リソース提供システム60は、HD504により構築される記憶部6000を有している。
記憶部6000には、リソースIDに対応付けられて、リソース5030が管理されている。端末10から取得されるアクセストークンが正当なものであると検証された場合、リソース5030は、リソース提供部63によって端末10へ提供される。
送受信部61は、CPU501からの命令、及びネットワークI/F509によって実現され、通信ネットワーク2を介して各端末、装置又はシステムと各種データ(または情報)の送受信を行う。
トークン検証部62は、CPU501からの命令によって実現され、端末10から送られてくるアクセストークンを検証する。
リソース提供部63は、CPU501からの命令によって実現され、アクセストークンの検証結果に応じて、端末10へリソースを提供する。
記憶・読出部69は、CPU501からの命令及びHDD505によって実行され、記憶部6000に各種データを記憶したり、記憶部6000に記憶された各種データを抽出したりする処理を行う。
<<処理または動作>>
続いて、通信システム1を構成する端末10、及び管理システム50の処理または動作について説明する。まずは、図5を用いて、一実施形態における認証処理について説明する。図5は、一実施形態における認証処理を示すシーケンス図である。
続いて、通信システム1を構成する端末10、及び管理システム50の処理または動作について説明する。まずは、図5を用いて、一実施形態における認証処理について説明する。図5は、一実施形態における認証処理を示すシーケンス図である。
端末10の送受信部11、及び認証システム30の送受信部31は、TLS通信の基本的な機能を有する。端末10の送受信部11、及び認証システム30の送受信部31は、TLSのハンドシェイクプロトコルにより、コネクションtls1を確立する(ステップS21)。ハンドシェイクプロトコルにおいて、端末10の送受信部11は、暗号化されたクライアント証明書を認証システムへ送信する。クライアント証明書は、端末10の記憶部1000、フラッシュメモリ104、又は記録メディア106に記憶されているものであっても、外部機器接続I/Fによって外部機器から取得されるものであっても良い。クライアント証明書には、端末10側を識別するためのCommon Nameが含まれている。認証システム30の送受信部31は、暗号化されたクライアント証明書を受信し、これを復号化することでクライアントとしての端末10側を認証する。
コネクションtls1が確立すると、端末10の送受信部11、及び認証システム30の送受信部31は、コネクションtls1の共通鍵で暗号化されたデータによる通信を開始する。この通信で、端末10の送受信部11は、リソース1030へアクセスするためのアクセストークンの要求を認証システム30へ送信する(ステップS22)。アクセストークンの要求を受信した認証システム30の送受信部31は、ステップS21で受信したクライアント証明書に含まれるCommon Nameをアクセストークンの要求に付加して、トークン発行部32へ転送する。
認証システム30のトークン発行部32は、アクセストークンの要求に付加されたCommon Nameを検索キーとしてアカウント管理テーブル(表1参照)を検索して、対応するアカウントID、及びリソースIDを取得する(ステップS23)。これにより、トークン発行部32は、リソースへのアクセス要求元を、アカウントIDのアカウントとして認証する。また、トークン発行部32は、認証されたアカウントによる取得されたリソースIDのリソースへのアクセスを認可する。
認証システム30のトークン発行部32は、リソースへのアクセスの許可を示すアクセス許可情報として、ステップS23で取得されたアカウントID、及びリソースIDを含み、電子署名が付加されたアクセストークンを発行する(ステップS24)。
管理システム50の送受信部11は、アクセストークンの要求に対する応答で、ステップS24で発行されたアクセストークンを端末10へ送信する(ステップS25)。端末10の送受信部11は、管理システム50による応答でアクセストークンを受信する。
リソース提供システム60の送受信部61は、TLS通信の基本的な機能を有する。端末10の送受信部11、及びリソース提供システム60の送受信部61は、コネクションtls1とは異なるコネクションtls2を確立する(ステップS31)。
コネクションtls2が確立すると、端末10の送受信部11、及びリソース提供システム60の送受信部61は、コネクションtls2の共通鍵で暗号化されたデータによる通信を開始する。この通信で、端末10の送受信部11は、ステップS25で受信したアクセストークン、及びアクセスを要求するリソースのリソースIDを含むリソース要求をリソース提供システム60へ送信する(ステップS32)。リソース提供システム60の送受信部61は、コネクションtls2でリソース要求を受信する。
リソース提供システム60のトークン検証部62は、アクセストークンに含まれる電子署名により、アクセストークンが認証システム30のトークン発行部32によって発行されたものであるか検証する(ステップS33)。
アクセストークンが認証システム30のトークン発行部32によって発行されたものであることが検証された場合、トークン検証部62は、リソース要求に含まれるリソースIDと、アクセストークンのアクセス許可情報に含まれるリソースIDが同じであるか検証する(ステップS34)。リソースIDが同じであると検証された場合、トークン検証部62は、アクセス許可判定をリソース提供部63へ出力する。
アクセス許可判定が出力されると、リソース提供部63は、リソース要求に含まれるリソースIDに対応するリソース5030を記憶部6000から取得する(ステップS35)。
リソース提供システム60の送受信部61は、リソース提供部63によって取得されるリソース5030を、リソース要求の応答として、要求元の端末10へ送信する(ステップS36)。端末10の送受信部11は、リソース提供システム60によって送信されるリソース5030を受信する。これにより、端末10はリソース5030にアクセスすることができる。
なお、リソース提供システム60の記憶部6000は、リソースIDに対応付けてリソース5030を管理する実施形態に変えて、リソースIDに対応付けてリソース5030のURL(Uniform Resource Locator)を管理しても良い。この場合、リソース提供部63は、リソース要求に含まれるリソースIDに対応するリソース5030のURLを取得する。リソース提供システム60の送受信部61は、取得されたURLをリソースの要求元の端末10へ送信する。これにより、端末10は、URLに基づいてリソースへアクセスできる。
<<実施形態の主な効果>>
上記実施形態の認証認可方法によると、認証システム30の送受信部31(確立手段の一例)は、端末10から送られてくるクライアント証明書で認証してから、端末10との間のコネクションtls1(第1のコネクションの一例)を確立する(確立処理の一例)。認証システム30のトークン発行部32(出力手段の一例)は、端末10によるリソースへのアクセスの認可を示す認可情報として、上記のクライアント証明書に対応するアクセストークンを出力する(出力処理の一例)。認証システム30の送受信部31(送信手段の一例)は、端末10へアクセストークンを送信する(送信処理の一例)。これにより、端末10は、リソース提供システム60へ、コネクションtls1とは異なるコネクションtls2(第2のコネクションの一例)でアクセストークンを送信する。リソース提供システム60の送受信部61(受信手段の一例)は、コネクションtls2でアクセストークンを受信する。
この認証認可方法によると、コネクションtls2に接続するリソース提供システム60は、異なるコネクションtls1に接続する認証システム30による端末10の認証情報を、認証システム30との間で共有可能になる。これにより、リソース提供システム60は、認証、認可に用いる情報の管理の付加が低減する。
上記実施形態の認証認可方法によると、認証システム30の送受信部31(確立手段の一例)は、端末10から送られてくるクライアント証明書で認証してから、端末10との間のコネクションtls1(第1のコネクションの一例)を確立する(確立処理の一例)。認証システム30のトークン発行部32(出力手段の一例)は、端末10によるリソースへのアクセスの認可を示す認可情報として、上記のクライアント証明書に対応するアクセストークンを出力する(出力処理の一例)。認証システム30の送受信部31(送信手段の一例)は、端末10へアクセストークンを送信する(送信処理の一例)。これにより、端末10は、リソース提供システム60へ、コネクションtls1とは異なるコネクションtls2(第2のコネクションの一例)でアクセストークンを送信する。リソース提供システム60の送受信部61(受信手段の一例)は、コネクションtls2でアクセストークンを受信する。
この認証認可方法によると、コネクションtls2に接続するリソース提供システム60は、異なるコネクションtls1に接続する認証システム30による端末10の認証情報を、認証システム30との間で共有可能になる。これにより、リソース提供システム60は、認証、認可に用いる情報の管理の付加が低減する。
認証システム30の送受信部31(受付手段の一例)は、コネクションtls1で、アクセストークンの要求を受け付ける。認証システム30のトークン発行部32(出力手段の一例)は、アクセストークンの要求元のクライアント証明書に対応する認可情報が含まれたアクセストークンを出力する。これにより、認証システム30は、アクセストークンの要求元ごとに、要求元に対応するアクセストークンを発行できる。
認証システム30のアカウント管理DB3001(管理手段の一例)は、クライアント証明書に含まれるCommon Name(識別情報の一例)と、リソースIDと、を関連付けて管理する。認証システム30のトークン発行部32は、アクセストークンの要求元のクライアント証明書のCommon Nameに関連付けられているリソースIDをアカウント管理DB3001から取得し、このリソースIDを含むアクセストークンを出力する。これにより、認証システム30は、クライアント証明書に含まれるCommon Nameに基づいてアクセストークンを発行できる。
<<実施形態の補足>>
端末10、及び管理システム50用の各プログラムは、インストール可能な形式又は実行可能な形式のファイルによって、コンピュータで読み取り可能な記録媒体(記録メディア106等)に記録されて流通されるようにしてもよい。また、上記記録媒体の他の例として、CD−R(Compact Disc Recordable)、DVD(Digital Versatile Disk)、ブルーレイディスク等が挙げられる。
端末10、及び管理システム50用の各プログラムは、インストール可能な形式又は実行可能な形式のファイルによって、コンピュータで読み取り可能な記録媒体(記録メディア106等)に記録されて流通されるようにしてもよい。また、上記記録媒体の他の例として、CD−R(Compact Disc Recordable)、DVD(Digital Versatile Disk)、ブルーレイディスク等が挙げられる。
また、上記実施形態の各プログラムが記憶されたCD−ROM等の記録媒体、並びに、これらプログラムが記憶されたHD504は、プログラム製品(Program Product)として、国内又は国外へ提供されることができる。
また、上記実施形態における端末10、及び管理システム50は、単一のコンピュータによって構築されてもよいし、複数のコンピュータによって構築されていてもよい。なお、上記実施形態では、認証システム30及びリソース提供システム60に、管理システム50の各部(機能又は手段)が任意に割り当てられている。また、管理システム50は、一つの認証システム30及び複数のリソース提供システム60を有しても良い。この場合、認証システム30は、通信システム1全体の管理者によって管理され、各リソース提供システム60は各リソースの提供者によって管理されても良い。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路を含むプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)や従来の回路モジュール等のデバイスを含むものとする。
1 通信システム
2 通信ネットワーク
10 端末
11 送受信部
12 操作入力受付部
13 表示制御部
19 記憶・読出部
30 認証システム
31 送受信部
32 トークン発行部
39 記憶・読出部
50 管理システム
60 リソース提供システム
61 送受信部
62 トークン検証部
63 リソース提供部
69 記憶・読出部
1000 記憶部
3000 記憶部
3001 アカウント管理DB
5030 リソース
6000 記憶部
2 通信ネットワーク
10 端末
11 送受信部
12 操作入力受付部
13 表示制御部
19 記憶・読出部
30 認証システム
31 送受信部
32 トークン発行部
39 記憶・読出部
50 管理システム
60 リソース提供システム
61 送受信部
62 トークン検証部
63 リソース提供部
69 記憶・読出部
1000 記憶部
3000 記憶部
3001 アカウント管理DB
5030 リソース
6000 記憶部
Claims (10)
- 通信端末によって送信されるクライアント証明書で認証してから、前記通信端末との間の第1のコネクションを確立する確立手段と、
前記通信端末によるリソースへのアクセスの認可を示す認可情報として、前記クライアント証明書に対応する認可情報を出力する出力手段と、
前記第1のコネクションとは異なる第2のコネクションにより、前記リソースを提供するリソース提供システムへ前記認可情報を送信させる送信手段と、
を有する認証システム。 - 前記第1のコネクションで、認可情報の要求を受け付ける受付手段を有し、
前記出力手段は、前記認可情報の要求元の前記クライアント証明書に対応する前記認可情報を出力する請求項1に記載の認証システム。 - 前記クライアント証明書に含まれる識別情報と、前記リソースの識別情報と、を関連付けて管理する管理手段を有し、
前記出力手段は、前記クライアント証明書に含まれる識別情報に関連付けられている前記リソースの識別情報を、前記管理手段から取得し、取得される前記リソースの識別情報を含む認可情報を出力する請求項2に記載の認証システム。 - 請求項1乃至3のいずれか一項に記載の認証システムと、
前記認可情報を検証して、前記通信端末に前記リソースを提供する前記リソース提供システムと、
を有する通信システム。 - 前記リソース提供システムは、
前記第2のコネクションにより、前記認可情報を受信する請求項4に記載の通信システム。 - 更に通信端末を有する請求項4又は5に記載の通信システム。
- 前記通信端末は、
前記認証システムとの間で確立される前記第1のコネクションにより前記認可情報を受信し、前記リソース提供システムとの間で確立される前記第2のコネクションにより前記認可情報を送信する請求項6に記載の通信システム。 - 認証システムに、
通信端末によって送信されるクライアント証明書で認証してから、前記通信端末との間の第1のコネクションを確立する確立処理と、
前記通信端末によるリソースへのアクセスの認可を示す認可情報として、前記クライアント証明書に対応する認可情報を出力する出力処理と、
前記第1のコネクションとは異なる第2のコネクションにより、前記リソースを提供するリソース提供システムへ前記認可情報を送信させる送信処理と、
を実行させる認証認可方法。 - 前記リソース提供システムに、
前記認可情報を検証して、前記リソースを前記通信端末に提供する処理を実行させる請求項8に記載の認証認可方法。 - 認証システムに、
通信端末によって送信されるクライアント証明書で認証してから、前記通信端末との間の第1のコネクションを確立する確立処理と、
前記通信端末によるリソースへのアクセスの認可を示す認可情報として、前記クライアント証明書に対応する認可情報を出力する出力処理と、
前記第1のコネクションとは異なる第2のコネクションにより、前記リソースを提供するリソース提供システムへ前記認可情報を送信させる送信処理と、
を実行させるプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016124755A JP2017228145A (ja) | 2016-06-23 | 2016-06-23 | 認証システム、通信システム、認証認可方法、及びプログラム |
| EP17175052.4A EP3261317B1 (en) | 2016-06-23 | 2017-06-08 | Authentication system, communication system, and authentication and authorization method |
| US15/621,108 US20170374058A1 (en) | 2016-06-23 | 2017-06-13 | Authentication system, communication system, and authentication and authorization method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016124755A JP2017228145A (ja) | 2016-06-23 | 2016-06-23 | 認証システム、通信システム、認証認可方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017228145A true JP2017228145A (ja) | 2017-12-28 |
Family
ID=59053967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016124755A Pending JP2017228145A (ja) | 2016-06-23 | 2016-06-23 | 認証システム、通信システム、認証認可方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170374058A1 (ja) |
| EP (1) | EP3261317B1 (ja) |
| JP (1) | JP2017228145A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021090138A (ja) * | 2019-12-04 | 2021-06-10 | 日立Geニュークリア・エナジー株式会社 | 無線通信制御システムおよび無線通信制御方法 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10541977B2 (en) * | 2017-07-25 | 2020-01-21 | Pacesetter, Inc. | Utilizing signed credentials for secure communication with an implantable medical device |
| US11941643B2 (en) * | 2018-04-05 | 2024-03-26 | Visa International Service Association | System, method, and apparatus for authenticating a user |
| CN113727059B (zh) * | 2021-08-31 | 2023-10-24 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015005202A (ja) * | 2013-06-21 | 2015-01-08 | キヤノン株式会社 | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL1018494C2 (nl) * | 2001-07-09 | 2003-01-10 | Koninkl Kpn Nv | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
| US7836493B2 (en) * | 2003-04-24 | 2010-11-16 | Attachmate Corporation | Proxy server security token authorization |
| US20060294366A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corp. | Method and system for establishing a secure connection based on an attribute certificate having user credentials |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和***及相应通信*** |
| US20160142409A1 (en) * | 2014-11-18 | 2016-05-19 | Microsoft Technology Licensing, Llc | Optimized token-based proxy authentication |
| US9900156B2 (en) * | 2015-04-15 | 2018-02-20 | Cisco Technology, Inc. | Cloud service validation |
-
2016
- 2016-06-23 JP JP2016124755A patent/JP2017228145A/ja active Pending
-
2017
- 2017-06-08 EP EP17175052.4A patent/EP3261317B1/en active Active
- 2017-06-13 US US15/621,108 patent/US20170374058A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015005202A (ja) * | 2013-06-21 | 2015-01-08 | キヤノン株式会社 | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021090138A (ja) * | 2019-12-04 | 2021-06-10 | 日立Geニュークリア・エナジー株式会社 | 無線通信制御システムおよび無線通信制御方法 |
| JP7274400B2 (ja) | 2019-12-04 | 2023-05-16 | 日立Geニュークリア・エナジー株式会社 | 無線通信制御システムおよび無線通信制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3261317A1 (en) | 2017-12-27 |
| US20170374058A1 (en) | 2017-12-28 |
| EP3261317B1 (en) | 2019-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102611555B (zh) | 数据处理设备 | |
| JP2017068596A (ja) | 管理システム、通信システム、送信制御方法、及びプログラム | |
| JP6583543B2 (ja) | 情報送信システム、情報送信方法、及びプログラム | |
| EP3261317B1 (en) | Authentication system, communication system, and authentication and authorization method | |
| US10681094B2 (en) | Control system, communication control method, and program product | |
| US10498716B2 (en) | Management system, communication control method, and communication system | |
| JP6724431B2 (ja) | 通信システム、情報送信方法、及びプログラム | |
| US10305905B2 (en) | Access control device, communication system, program, and method for controlling access | |
| US10277644B2 (en) | Transmission system, transmission terminal, method, and program | |
| JP2017097652A (ja) | 管理システム、通信システム、通信制御方法、及びプログラム | |
| US20170339135A1 (en) | Authentication system, communication system, and authentication method | |
| JP6724423B2 (ja) | 通信端末、通信システム、出力方法、及びプログラム | |
| US11128623B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| US20190028558A1 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| JP6295522B2 (ja) | 伝送システム、伝送端末および伝送端末プログラム | |
| JP6662215B2 (ja) | 管理システム、通信システム、管理方法、及びプログラム | |
| JP2017098780A (ja) | 管理システム、通信システム、通信制御方法、及びプログラム | |
| JP5817878B2 (ja) | 情報処理装置、システム、プログラム、認証方法 | |
| US20180270233A1 (en) | Information terminal, information processing apparatus, information processing system, and information processing method | |
| JP2017211769A (ja) | 管理システム、通信システム、認可方法、及びプログラム | |
| US20180270234A1 (en) | Information terminal, information processing apparatus, information processing system, and information processing method | |
| JP2022053955A (ja) | 方法、プログラム、情報処理装置、認証サーバ、および情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20180209 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190227 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200114 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200707 |