JP3505058B2 - ネットワークシステムのセキュリティ管理方法 - Google Patents

ネットワークシステムのセキュリティ管理方法

Info

Publication number
JP3505058B2
JP3505058B2 JP07695497A JP7695497A JP3505058B2 JP 3505058 B2 JP3505058 B2 JP 3505058B2 JP 07695497 A JP07695497 A JP 07695497A JP 7695497 A JP7695497 A JP 7695497A JP 3505058 B2 JP3505058 B2 JP 3505058B2
Authority
JP
Japan
Prior art keywords
server
user
certificate
access
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP07695497A
Other languages
English (en)
Other versions
JPH10269184A (ja
Inventor
洋子 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP07695497A priority Critical patent/JP3505058B2/ja
Priority to US09/048,986 priority patent/US6275941B1/en
Publication of JPH10269184A publication Critical patent/JPH10269184A/ja
Priority to US09/872,011 priority patent/US20010044894A1/en
Application granted granted Critical
Publication of JP3505058B2 publication Critical patent/JP3505058B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、クライアントとサ
ーバを有するネットワークシステムのセキュリティ管理
方法に係わり、特にユーザの一元管理を行い、ユーザに
対して証明証を利用するシングルサインオン機能を提供
するネットワークシステムのセキュリティ管理方法に関
する。
【0002】
【従来の技術】インターネットの普及に伴ってセキュリ
ティ管理をめぐる市場動向はめざましく変化している。
特にインターネットのような広域ネットワークシステム
と企業内ネットワークシステムとを結合するとき、これ
ら両ネットワークを統合するようなユーザ認証機能及び
ネットワークシステム内の資源へのアクセスを制御する
機能が求められている。すなわち広域ネットワークシス
テムと企業内ネットワークシステムの両者に亘ったユー
ザの一元管理とネットワーク資源の集中管理が望まれ
る。
【0003】広域ネットワークシステムを利用するユー
ザを一元管理する方法として、例えば特開平6−223
041号公報に記載されるように利用者の個人情報と利
用環境情報を秘密鍵によって暗号化した情報を証明書と
して発行し、利用者がこの証明書を利用してシステムに
ログインする方法がある。また分散システムを考慮する
セキュリティ管理方法として、例えば特開平8−106
437号公報に記載されるように、ユ−ザがそのホーム
ドメインでないドメインへアクセスするときその資格認
定を証明するログオン証明書を利用する方法がある。ま
た特開平7ー141296号公報は、ネットワークドメ
インをまたがってセキュリティを管理するTTP(Tr
usted Third Party)を設け、ネット
ワーク全体のセキュリティポリシィの設定、変更及びセ
キュリティポリシィに基づくアクセス制御を行うシステ
ムを開示する。
【0004】
【発明が解決しようとする課題】以上述べたように証明
証を利用してユーザ認証及びアクセス制御を行う方式
は、今後の広域ネットワークシステムのセキュリティ管
理方式の1つとして普及するものとみられる。しかし現
実のネットワークシステムを考慮すると、現在の企業ネ
ットワークシステムは、外部の証明証発行機関が発行す
る証明証を利用する方式にすぐに移行したり、TTPに
よるセキュリティ管理に移行するのが困難であると考え
られる。すなわち現行のユーザIDとパスワードによる
ユーザ認証方式を残しながら証明証の利用によるシング
ルサインオン方式を導入していく方法が現実的と考えら
れる。
【0005】本発明の目的は、現行のユーザIDとパス
ワードによるユーザ認証方式から証明証の利用によるシ
ングルサインオンへの移行を容易にするようなセキュリ
ティ管理方法を提供することにある。
【0006】
【課題を解決するための手段】本発明は、ネットワーク
を介してクライアント、サーバ及び統合認証サーバが相
互に通信可能なネットワークシステムのセキュリティ管
理方法であって、クライアントからサーバへ証明証の情
報を送信して業務要求を行い、サーバから統合認証サー
バへ証明証の情報を送信して証明証の確認要求を行い、
統合認証サーバによって証明証の確認とユーザのサーバ
へのアクセス権限のチェックとを行い、正当であれば
ーバへユーザIDとパスワードを送信し、サーバによっ
てユーザIDとパスワードによる認証を行うセキュリテ
ィ管理方法を特徴とする。
【0007】なお統合認証サーバによって証明証の確認
を行う代わりに、サーバによって証明証の確認を行い、
サーバから統合認証サーバへ証明証の情報を送信してユ
ーザIDとパスワードの要求を行い、統合認証サーバに
よってユーザのサーバへのアクセス権限のチェックを行
い、正当であればサーバへユーザIDとパスワードを送
信し、サーバによってユーザIDとパスワードによる認
証を行うようにしてもよい。
【0008】また本発明は、クライアントからサーバ
ユーザIDとパスワードを送信して業務要求を行い、
ーバから統合認証サーバへ当該ユーザIDとパスワード
を送信し、統合認証サーバによってユーザのサーバへの
アクセス権限のチェックを行い、正当であれば一時的な
証明証を作成してサーバを経由してクライアントへ送信
するセキュリティ管理方法を特徴とする。
【0009】また本発明は、クライアントによってシス
テムへのログインからログオフまでの間で統合認証サー
バ及びサーバが実行する証明証の確認結果、サーバへの
アクセス権限のチェック結果、ユーザIDとパスワード
の認証結果及びサーバが保持するデータへのアクセス権
限のチェック結果を含むセキュリティ・チェックの結果
をアクセス履歴情報として記録し、統合認証サーバによ
って証明証の確認結果及びサーバへのアクセス権限のチ
ェックを含むセキュリティ・チェックの結果をアクセス
履歴情報として記録し、クライアントが記録するアクセ
ス履歴情報と統合認証サーバが記録するアクセス履歴情
報とを突き合わせることによってユーザのアクセス状況
をチェックするセキュリティ管理方法を特徴とする。
【0010】さらに統合認証サーバによって読み取り可
能な記憶媒体上に実体化されたコンピュータプログラム
を実行して上記方法の統合認証サーバ側の処理を行うこ
とができる。
【0011】
【発明の実施の形態】以下本発明の一実施形態について
図面を用いて説明する。
【0012】図1は、本実施形態のネットワークシステ
ムの構成図である。インターネットのような広域ネット
ワーク10には、企業ネットワークシステム1と他企業
ネットワークシステム9が接続される。企業ネットワー
クシステム1には、クライアント8のほかに、統合認証
サーバ2、セキュリティ情報を管理するサーバ3、デー
タベース(DB)サーバ5、業務サーバ6、グループウ
ェアサーバ4、鍵管理サーバ17、証明証発行サーバ1
8等のサーバが接続される。DBサーバ5及び業務サー
バ6は、クライアント8からアクセスされ、業務処理の
ために利用されるサーバである。グループウェアサーバ
4は、クライアント8へ最初の業務メニュー画面を送っ
たり、クライアント8へ電子メールを送ったり、ユーザ
のスケジュールを管理するサーバである。サーバ3はD
Bサーバ5及び業務サーバ6へのアクセスを制御する情
報とユーザIDとパスワードのような認証情報を含むユ
ーザのアクセス制御情報とから成るセキュリティ情報を
一元的に管理するサーバである。統合認証サーバ2は、
クライアント8から送られる証明証を確認し、サーバ3
からセキュリティ情報を取得してユーザのDBサーバ5
及び業務サーバ6へのアクセス権限をチェックするサー
バである。鍵管理サーバ17は、企業ネットワークシス
テム1内での暗号化通信で使用するマスタ鍵を生成する
サーバである。広域ネットワーク10には外部証明証発
行サーバ7が接続される。外部証明証発行サーバ7は、
所定の手順に従って外部証明証を発行するサーバであ
る。証明証発行サーバ18は、統合認証サーバ2からの
要求によって外部証明証をもたないユーザに対して証明
証を発行するサーバである。なおいわゆるディレクトリ
サーバと呼ばれるサーバがサーバ3の情報を有していて
もよい。またクライアント8及び各種サーバは、パソコ
ン、ワークステーション等を含む情報処理装置である。
さらにクライアント8及び各種サーバによって各々読み
取り可能な記憶媒体上に実体化されたコンピュータプロ
グラムを実行して以下に詳述するクライアント8及び各
種サーバの処理を行うことができる。
【0013】クライアント8又は他企業ネットワークシ
ステム9に接続されるクライアント20からユーザの証
明証の情報を入力して例えばDBサーバ5にログインす
ると、DBサーバ5又は統合認証サーバ2が証明証の確
認を行い、統合認証サーバ2がサーバ3からセキュリテ
ィ情報を取得してDBサーバ5へのアクセス権限をチェ
ックする。アクセス権限があれば、DBサーバ5へユー
ザID,パスワードなどの認証情報を送り、DBサーバ
5がユーザの認証処理を行う。DBサーバ5を利用する
業務処理が終了し、次に業務サーバ6にログインすると
き、クライアント8はすでに入力済みの証明証を業務サ
ーバ6に送信し、上記の手続きを行うことによってシン
グルサインオンが実現する。証明証をもたないユーザに
対しては、ユーザIDとパスワード入力によるログイン
によって証明証を発行し、以後クライアント8は、別の
業務サーバに移るごとにこの証明証を業務サーバへ送信
し、シングルサインオンが可能である。
【0014】図2は、セキュリティ情報を管理するサー
バ3がセキュリティ情報を一元管理する方式を説明する
図である。サーバ3を導入する前に各サーバごとに管理
していたユーザ及び資源(文書、データベース、端末装
置、アプリケーションプログラム等)に関するセキュリ
ティ情報をLDAP情報変換プログラムによってLDA
P形式に変換し、サーバ3へ送ってサーバ3で一元管理
する。ここにLDAP(Lightweight Da
ta Access Protocol)は、IETF
標準のディレクトリアクセスプロトコルである。
【0015】図3は、LDAP形式の情報の例として、
文書の定義と業務サーバのアクセス制御情報の形式を示
す図である。文書の定義は、文書識別情報と文書のアク
セス制御情報から構成される。文書識別情報は、文書の
識別子、この文書を管理するサーバの識別子と組織名称
並びに文書の情報(文書のタイトル、文書の更新日付、
文書管理者、文書検索のためのキーワード、主題、アブ
ストラクト、作者名)から構成される。一方文書のアク
セス制御情報は、アクセス制御情報、最終修正情報、セ
キュリティポリシィ等を含む。アクセス制御情報は文書
内の特定ページのアクセス制御情報のように文書の一部
についてアクセス制御をする情報である。最終修正情報
はアクセス制御情報の更新日付である。セキュリティポ
リシィはその文書にアクセスを許可するユーザのアクセ
スレベルを設定するものである。例えばポリシィ番号が
1から3までのユーザに該当文書をアクセス許可すると
いう運用が可能である。文書の定義は、業務サーバ6が
管理する情報である。
【0016】業務サーバのACL(Access Co
ntrol List:アクセス制御リスト)情報とし
て、業務サーバ6をアクセスするときのアクセス制御情
報、アクセス制御情報の管理元サーバの識別子、ドメイ
ンセキュリティの定義の更新日付、セキュリティポリシ
ィとしてデフォルトセキュリティポリシィ及び認可セキ
ュリティポリシィ、及び経由するDSA(Domain
SecurityAuthority)を定義してい
る。認可セキュリティポリシィは、例えばポリシィ番号
が1から5までのユーザに業務サーバ6のアクセスを許
可するという運用が可能である。経由するDSAによれ
ば、ユーザの認証は必ず統合認証サーバ2を経由して行
うよう定義する。業務サーバのアクセス制御情報は、サ
ーバ3が保持し、統合認証サーバ2が管理する情報であ
る。
【0017】なお上記のアクセス制御情報のほかに、業
務サーバ6にアクセスし、特定の文書にアクセスするユ
ーザについてもアクセス制御情報を設定する必要があ
る。ユーザのアクセス制御情報は、ユーザの証明証の情
報、ユーザIDとパスワードのような認証情報、ユーザ
の属する部門と職制情報、ユーザのアクセスレベル(ポ
リシィ番号)等を設定する。アクセスレベルの設定によ
って、例えばポリシィ番号が4のユーザは業務サーバ6
にはアクセス可能であるが、XXXXという文書へのア
クセスを許可しないという運用が可能である。またある
職制以上のユーザに対して特定の文書のアクセスを許可
するような運用も可能である。
【0018】図4は、統合認証サーバ2がサーバ3から
ユーザのセキュリティ情報を取得する手順を示す図であ
る。セキュリティ情報を取得する手順には、LDAPプ
ロトコルが使用される。統合認証サーバ2は、まずld
ap_openによってサーバ3とLDAPコネクショ
ンを確立し、ldap_simple_bind_sに
よって統合認証サーバ2とサーバ3との間の相互認証を
行った後、ldap_search_sによって統合認
証サーバ2からユーザの証明証番号、ユーザIDなどを
送信すると、サーバ3から統合認証サーバ2へそのユー
ザのセキュリティ情報を送信する。
【0019】図5は、クライアント8のユーザが企業ネ
ットワークシステム1にログインしてからログオフする
までの処理の手順を示す図である。ここではユーザが証
明証(外部証明証を含む)を用いてログインする場合の
手順について説明する。クライアント8は、業務メニュ
ーをクライアント8の表示装置に表示する。ユーザが業
務サーバ6を選択し、証明証の情報をICカード等の記
憶媒体から入力すると、クライアント8は、証明証の情
報をユーザの秘密鍵で暗号化して記憶装置に格納した
後、業務要求とユーザの秘密鍵で暗号化された証明証の
内容を業務サーバ6へ送信する。業務サーバ6は、統合
認証サーバ2へ証明証の情報を送りその内容の確認要求
を行う。統合認証サーバ2は、暗号化された証明証をユ
ーザの公開鍵で復号化した後、その証明証の確認を行
う。証明証のデータ構成はX.509で規定されてお
り、その内容は所有者氏名、発行元、発行元の署名、有
効期限等の情報から成る。発行元の署名は発行者の秘密
鍵で暗号化されているので、まずこの署名を発行元の公
開鍵で復号して原本と比較し、証明証が正当なものであ
ることを確認する。次に有効期限等内容の確認を行う。
証明証が不適当なものであれば(NG)、業務サーバ6
を経由してクライアント8へログイン不許可のメッセー
ジを送信する。証明証が適当なものであれば(OK)、
サーバ3へ問い合わせを行ってユーザのセキュリティ情
報を取得する。その手順については上記した通りであ
る。ユーザのセキュリティ情報は、業務サーバ6のアク
セス制御情報とユーザのアクセス制御情報から構成され
る。統合認証サーバ2は、ユーザのアクセスレベルと業
務サーバ6のアクセスレベルとを比較し、業務サーバ6
のアクセスを許可できるならば、当該ユーザのアクセス
を許可する旨のアクセス履歴情報を記憶装置に記録し、
業務サーバ6へ暗号化したユーザID、パスワード、ア
クセスレベル、職制情報などユーザのアクセス制御情報
を送信する。なお業務サーバ6がユーザIDに対応して
アクセスレベル、職制情報などユーザのアクセス制御情
報を保有している場合には、ユーザIDとパスワード以
外のアクセス制御情報の送信は不要である。業務サーバ
6は、受信したアクセス制御情報を復号し、まずユーザ
IDとパスワードが登録されているものに一致するか否
か認証処理を行う。一致しなければ業務サーバ6へのア
クセスを許可しない。一致すればクライアント8へ許可
のメッセージを送信する。以後クライアント8から文書
のアクセス要求があるごとに文書のアクセス制御情報と
ユーザのアクセスレベル、職制情報とから文書のアクセ
スを許可するか否かを決定する。クライアント8からは
業務サーバ6が保有する文書にアクセス要求をして業務
処理を行う。クライアント8は、業務処理の間、アクセ
スする文書についてアクセス履歴情報を記憶装置に記録
する。
【0020】このようにして業務サーバ6に係わる業務
処理を終了した後、再び業務メニューをクライアント8
の表示装置に表示する。ユーザが次にDBサーバ5を選
択したとすれば、クライアント8は記憶していた当該ユ
ーザの証明証を取り出して業務要求とともにDBサーバ
5へ送信する。従ってユーザは再度証明証の情報を入力
する必要がない。DBサーバ5は、統合認証サーバ2へ
証明証の情報を送りその内容の確認要求を行う。以後上
記と同様に統合認証サーバ2は、暗号化された証明証を
ユーザの公開鍵で復号化した後、証明証の確認を行い、
証明証の確認結果と当該ユーザのDBサーバ5へのアク
セスを許可/不許可する旨のアクセス履歴情報を記録
し、DBサーバ5へアクセス制御情報を送信する。DB
サーバ5は、ユーザIDとパスワードによってユーザの
認証処理を行う。ユーザのアクセスを許可したとき、以
後受信したアクセス制御情報に基づいて指定されたデー
タベース、テーブル、テーブルの列などのアクセスを許
可するか否かを決定する。クライアント8は、DBサー
バ5を利用して業務処理を行い、業務処理の間、アクセ
スするデータベースについてアクセス履歴情報を記録す
る。このようにして業務処理が終了し、ユーザがログオ
フを入力すると、クライアント8は記録したアクセス履
歴情報を統合認証サーバ2へ送り、記憶装置上に保管し
ていた証明証の情報を消去する。統合認証サーバ2は、
受信したアクセス履歴情報と統合認証サーバ2が記録し
たアクセス履歴情報を比較して妥当なアクセスであるか
否かチェックする。
【0021】なお図5の処理手順において、最初に業務
サーバ6にログインする代わりにグループウェアサーバ
4にログインする場合も同様の処理手順になる。
【0022】図6は、業務サーバ6及びDBサーバ5が
証明証の内容を確認する機能をもつ場合の処理の手順を
示す図である。図6の手順が図5の手順と異なる点は、
統合認証サーバ2の代わりに業務サーバ6及びDBサー
バ5がユーザの秘密鍵で暗号化された証明証をユーザの
公開鍵で復号化した後、証明証を確認する点である。各
業務サーバが証明証の内容を確認するためには、証明証
の発行元の公開鍵を取得し、発行元の署名を確認する機
能が必要である。
【0023】図7は、証明証をもたないユーザが企業ネ
ットワークシステム1にログインしてからログオフする
までの処理の手順を示す図である。ユーザが業務メニュ
ーの中から業務サーバ6を選択し、ユーザIDとパスワ
ードを入力すると、クライアント8は、業務要求とユー
ザID,パスワードを業務サーバ6へ送信する。業務サ
ーバ6は受け取ったユーザIDとパスワードが登録され
ているものに一致するか否か認証処理を行う。一致して
いなければ業務サーバ6へのアクセスを拒否する。一致
しているとき業務サーバ6は、統合認証サーバ2へ受信
したユーザIDとパスワードを送る。統合認証サーバ2
は、サーバ3へユーザIDとパスワードを送って問い合
わせを行い、ユーザのセキュリティ情報を取得する。次
に統合認証サーバ2は、サーバ3から受け取ったセキュ
リティ情報に基づく上記のチェック処理によってユーザ
が業務サーバ6にアクセスする権限があるか否かチェッ
クする。ユーザに権限がなければ(NG)、クライアン
ト8へログイン不許可のメッセージを送信する。ユーザ
に権限があれば(OK)、証明証を発行する。この証明
証は一時的に業務サーバ6へのアクセスを許可する目的
で発行されるものなので、その有効期限は通常の証明証
より短く(例えば当日限りなど)、業務サーバ6へのア
クセス権限も制限される。次に統合認証サーバ2は、業
務サーバ6へ証明証とアクセスレベル、職制情報などユ
ーザのアクセス制御情報を送信する。業務サーバ6がア
クセス制御情報を保有している場合には、アクセス制御
情報の送信は不要である。業務サーバ6は、受信した証
明証をクライアント8へ送信する。クライアント8は、
受信した証明証を記憶装置に格納したのち、業務サーバ
6が保有する文書にアクセス要求をして業務処理を行
う。業務サーバ6は、クライアント8から文書のアクセ
ス要求があるごとに文書のアクセス制御情報とユーザの
アクセスレベル、職制情報とから文書のアクセスを許可
するか否かを決定する。クライアント8は、業務処理の
間、アクセスする文書についてアクセス履歴情報を記録
する。またクライアント8は、周期的に証明証の有効期
限をチェックし、有効期限を過ぎる場合にはユーザに警
告する。
【0024】このようにして業務サーバ6に係わる業務
処理を終了した後、ユーザがDBサーバ5を選択した場
合、クライアント8は保管していた証明証を取り出して
業務要求とともにDBサーバ5へ送信する。DBサーバ
5は、統合認証サーバ2へ証明証の情報を送り、その内
容の確認要求を行う。統合認証サーバ2は、上記のよう
に証明証の確認を行い、DBサーバ5へユーザID,パ
スワードを含むアクセス制御情報を送信する。DBサー
バ5は、ユーザID,パスワードによる認証処理を行
い、正当であればDBサーバ5へのアクセスを許可す
る。以後上記のようにクライアント8はDBサーバ5に
データベースのアクセス要求を送信し、DBサーバ5は
ユーザのアクセス制御情報に基づいてデータベースのア
クセスを許可するか否かを決定する。クライアント8は
DBサーバ5を利用して業務処理を行い、業務処理の
間、アクセスするデータベースについてアクセス履歴情
報を記録する。このようにして業務処理を終了し、ユー
ザがログオフを入力すると、クライアント8は記録した
アクセス履歴情報を統合認証サーバ2へ送り、保管して
いた証明証の情報を消去する。統合認証サーバ2は、受
信したアクセス履歴情報と統合認証サーバ2が記録した
アクセス履歴情報とを比較して妥当なアクセスであるか
否かチェックする。ログオフ手続きの一環としてユーザ
から証明証の発行要求があれば、クライアント8はこの
要求を統合認証サーバ2へ送信する。統合認証サーバ2
は、当該ユーザのセキュリティ情報とアクセス状況に問
題があるか否かチェックする。すなわち統合認証サーバ
2がユーザの権限確認の後のアクセス履歴情報にログイ
ン許可の記録がなければ、当然問題ありとなる。またそ
の後のDBサーバ5のアクセス許可の記録がないにもか
かわらずクライアント8側のアクセス履歴情報にDBサ
ーバ5にアクセスした記録がある場合にも問題ありとな
る。またクライアント8が業務サーバ6及びDBサーバ
5の文書やデータベースにアクセスするとき不許可のケ
ースがクライアント8側のアクセス履歴情報に記録され
ていれば問題が生じている。問題があるとき(YE
S)、統合認証サーバ2は、クライアント8へ証明証の
発行を許可しない旨のメッセージを送信する。問題がな
ければ(NO)、統合認証サーバ2は、証明証発行サー
バ18へ証明証の発行要求を送信し、証明証発行サーバ
18が証明証を発行して統合認証サーバ2へ送信し、統
合認証サーバ2がこの証明証をクライアント8へ送信す
る。クライアント8は受信した証明証をICカード、フ
ロッピィディスク等の外部記録媒体に出力する。この後
ユーザは、図5に示す証明証を用いるログイン手続きを
行うことができる。このように本実施形態によれば、証
明証をもたないユーザがログインする場合も1回のログ
インによるシングルサインオンを実現できる。なお統合
認証サーバ2、業務サーバ6及びDBサーバ5は、図5
に示す処理手順と図7に示す処理手順の両方を併行して
サポートするのが望ましい。
【0025】図8は、統合認証サーバ2がユーザのアク
セス状況を監視してセキュリティ侵害を検出する処理の
手順を示す図である。クライアント8と統合認証サーバ
2が連携することによってユーザのアクセス状況をチェ
ックし、システムヘのセキュリティ侵害を検出すること
が可能である。図8の例ではクライアント8が業務サー
バ6にアクセスして業務処理を行っているとき、ある文
書についてアクセス要求をすると、業務サーバ6がユー
ザのアクセス制御情報と文書のアクセス制御情報とから
アクセスチェックを行い、その結果不当なアクセス要求
であればクライアント8へアクセス不許可のメッセージ
を返す状態を示している。クライアント8は、このアク
セス不許可をアクセス履歴情報に記録する。クライアン
ト8がログオフを指示すると、クライアント8で記録さ
れた当該ユーザについてのアクセス履歴情報を統合認証
サーバ2へ送信する。統合認証サーバ2は、統合認証サ
ーバ2が採取したアクセス履歴情報、クライアント8が
採取したアクセス履歴情報及び両者の突き合わせからユ
ーザのアクセス状況が正当か否かを判定する。もしユー
ザが不当なアクセス又は不適切なアクセスをしていると
判定すれば、統合認証サーバ2は当該ユーザのアクセス
制御情報を削除する処理を行う。
【0026】ユーザの不当なアクセス又は不適切なアク
セスとして例えば次のようなケースがある。 (a)統合認証サーバ2にログイン許可の記録がない。
すなわち証明証の確認結果が不許可である。 (b)統合認証サーバ2が行うユーザの権限確認チェッ
クの結果、業務サーバへのアクセスを不許可にしている
にもかかわらずクライアント8がその業務サーバにアク
セスしている。 (c)業務サーバ又はDBサーバが行う認証処理の結果
が不許可である。 (d)クライアント8が証明証の有効期限の期限切れを
検出している。 (e)クライアント8が許可されない文書やデータベー
スへのアクセスを試行している。 (f)クライアント8が証明証を入力した時刻、ログイ
ン指令をした時刻、統合認証サーバ2が証明証を確認し
た時刻、業務サーバ6がユーザの認証を行って業務サー
バ6へのアクセスを許可した時刻などアクセス履歴情報
に記録されたセキュリティ関係の処理時刻が正しい時系
列のシーケンスになっていない。
【0027】本実施形態によれば、統合認証サーバ2及
びサーバ3がユーザのアクセス制御情報と業務サーバの
アクセス制御情報とから成るセキュリティ情報を一元管
理するため、セキュリティ情報の登録と更新を集中的に
行うことができ、従来のように各業務サーバがセキュリ
ティ情報を個別に管理する必要がない。
【0028】図9は、セキュリティ情報の登録、照会及
び更新の手順を示す図である。図9(a)は、セキュリ
ティ情報の登録フェーズの処理手順を示す図である。各
サーバからサーバ3へセキュリティ情報の登録を要求す
ると、サーバ3は要求されたセキュリティ情報を記憶装
置に登録する。このとき上述したようにLDAP情報変
換プログラムを利用して既存のセキュリティ情報をLD
AP形式に変換することができる。図9(b)は、セキ
ュリティ情報の照会の手順を示す図である。各サーバか
ら統合認証サーバ2へセキュリティ情報を問い合わせ
る。統合認証サーバ2は、指定されたユーザに関するセ
キュリティ情報をすでに取り込んでいれば(YES)、
そのセキュリティ情報を回答する。取り込んでなければ
(NO)、サーバ3に問い合わせてセキュリティ情報を
取得してから要求元のサーバに回答する。例えば図6に
示す業務サーバ6及びDBサーバ5が証明証情報を統合
認証サーバ2へ送信してセキュリティ情報を照会する場
合がこれに相当する。また図7に示す業務サーバ6がユ
ーザIDとパスワードを統合認証サーバ2へ送信してユ
ーザの権限確認を依頼し、証明証の発行を依頼し、ユー
ザのアクセス制御情報を受ける場合もこれに相当する。
図9(c)は、セキュリティ情報の更新の例を示す図で
ある。統合認証サーバ2がユーザによるセキュリティ侵
害を検出したとき、各サーバへユーザの削除を通知す
る。またサーバ3へ当該ユーザについてアクセス制御情
報の削除を要求する。
【0029】なお統合認証サーバ2とサーバ3を分離せ
ずに同一のサーバにしても本発明を実現できる。また統
合認証サーバ2、サーバ3、鍵管理サーバ17及び証明
証発行サーバ18を同一のサーバで実現することも可能
である。
【0030】最後にクライアント8、サーバ5,6及び
統合認証サーバ2との間の暗号化通信について説明す
る。従来のユーザ情報、特にパスワード情報が通信回線
上で盗聴されると、盗んだ情報を基にして他人に成りす
ましたりするセキュリティ上の脅威があった。本発明
は、本来公開されて良い証明証の情報を用いてユーザを
確認するため、証明証の情報に加えてユーザの秘密鍵の
情報が盗まれれば悪意のある第三者が他人に成りすます
ことも有り得る。従ってクライアント8、サーバ5,6
及び統合認証サーバ2との間の通信は、相互に通信相手
の認証をした後に、暗号化通信により行われる必要があ
る。特に各サーバと統合認証サーバ2との間ではユーザ
に関するセキュリティ情報が送受信されるために、当事
者だけが見られるように情報を保護する必要がある。セ
キュリティ情報を保護するための通信手段として、例え
ばSSL(Secure Socket Layer)
が知られている。
【0031】暗号化通信を行うためには、暗号鍵の生
成、配送及び回復のような鍵管理の問題がある。どのよ
うな暗号化手段を用いるかによって管理方法や実現方法
が異なる。以下にMulti2と呼ばれるグループ鍵暗
号方式による暗号化技術について説明する。
【0032】図10は、グループ鍵によるデータの暗号
化処理の手順を説明する図である。鍵管理サーバ17
は、クライアント、及びサーバのマスタ鍵を作成し配布
する。そしてこのマスタ鍵からメッセージを暗号化する
ために暗号鍵を生成するが、当メッセージを読ませたい
相手(複数の指定が可能)を宛て先リストに登録し、マ
スタ鍵と宛て先リストから動的にグループ鍵を作成し、
このグループ鍵によってメッセージを暗号化する。図1
0の例では、クライアント8は、業務サーバ6にメッセ
ージAを送信する際に宛て先リストAにクライアント
8、業務サーバ6及び統合認証サーバ2を指定する。そ
して業務サーバ6に対してはグループ鍵Aを送信せず、
メッセージAを暗号化したものと宛て先リストAだけを
送る。業務サーバ6は、クライアント8から受信したメ
ッセージAを復号化するために、メッセージAとともに
受信した宛て先リストAとマスタ鍵から動的にグループ
鍵Aを作成する。業務サーバ6は、このようにして作成
したグループ鍵AによりメッセージAを復号化する。ま
た業務サーバ6から統合認証サーバ2へメッセージAを
送信する場合にも、マスタ鍵と宛て先リストAからグル
ープ鍵Aを作成し、送信したいメッセージAをグループ
鍵Aで暗号化する。グループ鍵Aは、宛て先リストAに
登録され、かつマスタ鍵を持つ相手でなければ動的に作
成できないため、このように見せたい相手だけにメッセ
ージAを読ませることができる。
【0033】次に統合認証サーバ2が業務サーバ6へメ
ッセージBを送信したい場合には、宛て先リストBに業
務サーバ6だけを設定し、マスタ鍵と宛て先リストBか
ら作成したグループ鍵BによってメッセージBを暗号化
して送る。クライアント8がこの暗号化されたメッセー
ジBを解読しようとしても、クライアント8は宛て先リ
ストBに登録されていないために解読することができな
い。図10の例では、クライアント8と各サーバ間のグ
ループ鍵による暗号化通信を説明したが、ユーザごとに
マスタ鍵を持たせることも可能である。この場合には、
マスタ鍵をICカード内に格納し、ICカード中でグル
ープ鍵を生成することも可能である。以上述べたよう
に、本発明の実施形態によれば、業務サーバやデータベ
ースサーバが従来のユーザIDとパスワードに基づくユ
ーザ認証とアクセス制御を保存しながらユーザに対して
証明証利用によるシングルサインオンの機能を提供でき
る。また証明証をもたないユーザに対しても一時的な証
明証の発行によるシングルサインオンを実現することが
できる。またクライアントと統合認証サーバが連携する
ことによって、ユーザのアクセス状況を監視し、アクセ
ス状況に問題があるユーザをシステムから除外すること
ができる。
【0034】
【発明の効果】以上述べたように、クライアントと統合
認証サーバが連携して認証処理をすることにより、不正
アクセスをチェックすることができる。
【図面の簡単な説明】
【図1】実施形態のネットワークシステムの構成図であ
る。
【図2】実施形態のサーバ3がセキュリティ情報を一元
管理する方式を説明する図である。
【図3】LDAP形式の情報の例を示す図である。
【図4】実施形態の統合認証サーバ2がサーバ3からユ
ーザのセキュリティ情報を取得する手順を示す図であ
る。
【図5】実施形態の証明証を利用するシングルサインオ
ンの処理手順を示す図である。
【図6】図5の処理手順で統合認証サーバ2の代わりに
DBサーバ5/業務サーバ6が証明証を確認する処理手
順を示す図である。
【図7】実施形態の証明証をもたないユーザによるシン
グルサインオンの処理手順を示す図である。
【図8】実施形態の統合認証サーバ2がユーザのアクセ
ス状況を監視してセキュリティ侵害を検出する処理手順
を示す図である。
【図9】実施形態のセキュリティ情報を管理する処理を
説明する図である。
【図10】グループ鍵によるデータの暗号化処理の手順
を説明する図である。
【符号の説明】
2:統合認証サーバ、3:(セキュリティ情報を管理す
る)サーバ、18:証明証発行サーバ
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平9−34822(JP,A) 鈴木著,”ICカード認証システム 「Smart Pass」の概要”,m obile media magazi ne,日本,(株)シーメディア,1996 年10月29日,第18巻,p.49 山田著,”リモート接続のユーザー認 証技術”,日経コミュニケーション,日 本,日経BP社,1996年 8月 5日, 第227号,p.124−131 (58)調査した分野(Int.Cl.7,DB名) G06F 15/00 H04L 9/32

Claims (5)

    (57)【特許請求の範囲】
  1. 【請求項1】ネットワークを介してクライアント、サー
    及び統合認証サーバが相互に通信可能なネットワーク
    システムのセキュリティ管理方法であって、 クライアントからサーバへ証明証の情報を送信して業務
    要求を行い、サーバから統合認証サーバへ証明証の情報
    を送信して証明証の確認要求を行い、統合認証サーバに
    よって証明証の確認とユーザの該サーバへのアクセス権
    限のチェックとを行い、正当であればサーバへユーザI
    Dとパスワードを送信し、該サーバによってユーザID
    とパスワードによる認証を行うことを特徴とするセキュ
    リティ管理方法。
  2. 【請求項2】統合認証サーバによって証明証の確認を行
    う代わりに、サーバによって証明証の確認を行い、サー
    から統合認証サーバへ証明証の情報を送信してユーザ
    IDとパスワードの要求を行い、統合認証サーバによっ
    てユーザの該サーバへのアクセス権限のチェックを行
    い、正当であればサーバへユーザIDとパスワードを送
    信し、該サーバによってユーザIDとパスワードによる
    認証を行うことを特徴とする請求項1記載のセキュリテ
    ィ管理方法。
  3. 【請求項3】該クライアントによってシステムへのログ
    インからログオフまでの間で該統合認証サーバ及び該
    ーバが実行する証明証の確認結果、該サーバへのアクセ
    ス権限のチェック結果、ユーザIDとパスワードの認証
    結果及びサーバが保持するデータへのアクセス権限のチ
    ェック結果を含むセキュリティ・チェックの結果をアク
    セス履歴情報として記録し、該統合認証サーバによって
    証明証の確認結果及び該サーバへのアクセス権限のチェ
    ックを含むセキュリティ・チェックの結果をアクセス履
    歴情報として記録し、該クライアントが記録するアクセ
    ス履歴情報と該統合認証サーバが記録するアクセス履歴
    情報とを突き合わせることによってユーザのアクセス状
    況をチェックすることを特徴とする請求項1記載のセキ
    ュリティ管理方法。
  4. 【請求項4】ネットワークを介してクライアント、サー
    及び統合認証サーバが相互に通信可能なネットワーク
    システムにおいて該統合認証サーバによって読み取り可
    能な記憶媒体上に実体化されたコンピュータプログラム
    であって、該プログラムは以下のステップを含む: (a)クライアントからサーバを経由して送信された証
    明証の情報を受信し、(b)該証明証が正当であること
    を確認し、 (c)該証明証のユーザが該サーバにアクセスする権限
    があるか否かをチェックし、 (d)(b)及び(c)のチェック結果が妥当であれば
    サーバによって該ユーザの認証を行うように該ユーザ
    のユーザIDとパスワードを該サーバへ送信する。
  5. 【請求項5】ネットワークを介してクライアント、サー
    及び統合認証サーバが相互に通信可能なネットワーク
    システムにおいて該統合認証サーバによって読み取り可
    能な記憶媒体上に実体化されたコンピュータプログラム
    であって、該プログラムは以下のステップを含む: (a)クライアントから第1のサーバを経由して送信さ
    れたユーザIDとパスワードを受信し、 (b)該ユーザIDのユーザが第1のサーバにアクセス
    する権限があるか否かをチェックし、 (c)(b)のチェック結果が妥当であれば該ユーザの
    一時的な証明証を作成し、(d)第1のサーバを経由し
    てクライアントへ該証明証を送信し、 (e)クライアントから第2のサーバを経由して送信さ
    れた該証明証の情報を受信し、 (f)該証明証が正当であることを確認し、 (g)該証明証のユーザが第2のサーバにアクセスする
    権限があるか否かをチェックし、 (h)(f)及び(g)のチェック結果が妥当であれば
    第2のサーバによって該ユーザの認証を行うように該ユ
    ーザのユーザIDとパスワードを第2のサーバへ送信す
    る。
JP07695497A 1997-03-28 1997-03-28 ネットワークシステムのセキュリティ管理方法 Expired - Fee Related JP3505058B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP07695497A JP3505058B2 (ja) 1997-03-28 1997-03-28 ネットワークシステムのセキュリティ管理方法
US09/048,986 US6275941B1 (en) 1997-03-28 1998-03-27 Security management method for network system
US09/872,011 US20010044894A1 (en) 1997-03-28 2001-06-04 Security management method for network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP07695497A JP3505058B2 (ja) 1997-03-28 1997-03-28 ネットワークシステムのセキュリティ管理方法

Publications (2)

Publication Number Publication Date
JPH10269184A JPH10269184A (ja) 1998-10-09
JP3505058B2 true JP3505058B2 (ja) 2004-03-08

Family

ID=13620185

Family Applications (1)

Application Number Title Priority Date Filing Date
JP07695497A Expired - Fee Related JP3505058B2 (ja) 1997-03-28 1997-03-28 ネットワークシステムのセキュリティ管理方法

Country Status (1)

Country Link
JP (1) JP3505058B2 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7137006B1 (en) 1999-09-24 2006-11-14 Citicorp Development Center, Inc. Method and system for single sign-on user access to multiple web servers
JP2000106552A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
JP2000194765A (ja) * 1998-12-28 2000-07-14 Katsuaki Kobayashi 会計処理システム
ES2292425T3 (es) * 1999-01-28 2008-03-16 Kabushiki Kaisha Sega Doing Business As Sega Corporation Sistema de juego sobre red, terminal de dispositvo de juego utilizada en ese sistema y medio de almacenamiento.
JP2000286840A (ja) * 1999-03-31 2000-10-13 Nec Corp アクセス制御システム
JP3750982B2 (ja) * 2000-03-28 2006-03-01 三菱電機インフォメーションシステムズ株式会社 ユーザ認証システム
JP2001282667A (ja) * 2000-03-29 2001-10-12 Hitachi Software Eng Co Ltd 認証サーバ・クライアントシステム
JP2001320364A (ja) * 2000-05-02 2001-11-16 Ntt Communications Kk 利用者確認システム及び利用者確認方法及びその記録媒体
US6934859B2 (en) * 2000-06-09 2005-08-23 Northrop Grumman Corporation Authenticated search engines
US6993521B2 (en) * 2000-06-09 2006-01-31 Northrop Grumman Corporation System and method for arranging digital certificates on a hardware token
US7069440B2 (en) * 2000-06-09 2006-06-27 Northrop Grumman Corporation Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
JP2002014928A (ja) * 2000-06-30 2002-01-18 Matsushita Electric Ind Co Ltd ネットワーク機器不正使用防止装置、ネットワーク機器不正使用防止方法、及びネットワーク機器不正使用防止プログラム記録媒体
US7137141B1 (en) 2000-08-16 2006-11-14 International Business Machines Corporation Single sign-on to an underlying operating system application
JP2002064483A (ja) * 2000-08-18 2002-02-28 Sony Corp ユーザ認証方法、携帯情報端末およびクライアントサービスサーバ
US6807577B1 (en) 2000-09-14 2004-10-19 International Business Machines Corporation System and method for network log-on by associating legacy profiles with user certificates
JP2002092083A (ja) * 2000-09-20 2002-03-29 Airu Network Kk 建設現場管理システム
JP3859450B2 (ja) 2001-02-07 2006-12-20 富士通株式会社 秘密情報管理システムおよび情報端末
JP3655833B2 (ja) * 2001-02-27 2005-06-02 Necソフト株式会社 指紋を使用したワンクリック認証方式及び認証方法
JP3520264B2 (ja) * 2001-03-01 2004-04-19 株式会社三井住友銀行 認証情報入力システム、認証情報保管システム、認証情報入力方法および認証情報入力プログラム
JP4586285B2 (ja) * 2001-03-21 2010-11-24 沖電気工業株式会社 生体情報を利用した個人認証システム
JP4623853B2 (ja) * 2001-03-30 2011-02-02 株式会社日本総合研究所 サイト統合システムにおけるサイトアクセス方法
JP2002358283A (ja) * 2001-06-01 2002-12-13 Nec Corp 利用者認証連携方法とシステム及びプログラム
JP2003233588A (ja) * 2002-02-12 2003-08-22 Ntt Communications Kk 情報処理システムおよび情報処理装置
JP4186512B2 (ja) 2002-05-20 2008-11-26 ソニー株式会社 サービス提供システム、機器端末およびその処理方法、認証装置および方法、サービス提供装置および方法、並びにプログラム
WO2004023339A2 (en) * 2002-09-03 2004-03-18 Sap Aktiengesellschaft Dynamic access to data
AU2003266320A1 (en) * 2002-09-16 2004-04-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure access to a subscription module
US7395424B2 (en) * 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
US8146141B1 (en) 2003-12-16 2012-03-27 Citibank Development Center, Inc. Method and system for secure authentication of a user by a host system
JP3982581B2 (ja) * 2004-01-30 2007-09-26 株式会社Osk 教育システム
JP4490254B2 (ja) * 2004-12-24 2010-06-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム
JP4837475B2 (ja) * 2005-07-29 2011-12-14 シャープ株式会社 認証情報データの入力回数の削減方法、システムおよびサーバ装置
WO2007055169A1 (ja) 2005-11-09 2007-05-18 Nec Corporation 通信端末装置、サーバ端末装置、それらを用いる通信システム
US7877469B2 (en) * 2006-02-01 2011-01-25 Samsung Electronics Co., Ltd. Authentication and authorization for simple network management protocol (SNMP)
JP2007213397A (ja) * 2006-02-10 2007-08-23 Fuji Xerox Co Ltd データ管理プログラム、データ管理装置およびプロトコルの切り替え方法
JP4882546B2 (ja) 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
JP2008097434A (ja) * 2006-10-13 2008-04-24 Toppan Printing Co Ltd 認証システム及び認証方法
JP4899853B2 (ja) * 2006-12-19 2012-03-21 富士ゼロックス株式会社 認証プログラム、認証サーバおよびシングルサインオン認証システム
JP2009032135A (ja) * 2007-07-30 2009-02-12 Hitachi Ltd 情報処理システム
JP4858360B2 (ja) * 2007-08-29 2012-01-18 三菱電機株式会社 情報提供装置
JP2009098761A (ja) * 2007-10-15 2009-05-07 Fujifilm Corp 認証サーバおよびその動作制御方法
JP5085267B2 (ja) * 2007-10-19 2012-11-28 ソフトバンクモバイル株式会社 アカウントの開放閉塞手段を有するシステムおよびアカウント開放閉塞プログラム
JP2010033193A (ja) * 2008-07-25 2010-02-12 Fujitsu Ltd 認証システム及び認証用サーバ装置
JP2012181662A (ja) * 2011-03-01 2012-09-20 Nomura Research Institute Ltd アカウント情報連携システム
KR101425854B1 (ko) * 2012-06-14 2014-08-13 (주)아이비즈소프트웨어 자동 로그인을 위한 통합인증 방법 및 장치
JP5645891B2 (ja) * 2012-07-30 2014-12-24 ビッグローブ株式会社 ソフトウェア提供システム、ポータルサーバ、提供サーバ、認証方法、提供方法およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
山田著,"リモート接続のユーザー認証技術",日経コミュニケーション,日本,日経BP社,1996年 8月 5日,第227号,p.124−131
鈴木著,"ICカード認証システム「Smart Pass」の概要",mobile media magazine,日本,(株)シーメディア,1996年10月29日,第18巻,p.49

Also Published As

Publication number Publication date
JPH10269184A (ja) 1998-10-09

Similar Documents

Publication Publication Date Title
JP3505058B2 (ja) ネットワークシステムのセキュリティ管理方法
US7716722B2 (en) System and method of proxy authentication in a secured network
JP4283536B2 (ja) デジタル署名を署名サーバに委託するための方法と装置
US20020178370A1 (en) Method and apparatus for secure authentication and sensitive data management
US7444666B2 (en) Multi-domain authorization and authentication
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
US7487539B2 (en) Cross domain authentication and security services using proxies for HTTP access
US6275941B1 (en) Security management method for network system
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
US6807577B1 (en) System and method for network log-on by associating legacy profiles with user certificates
US20020032665A1 (en) Methods and systems for authenticating business partners for secured electronic transactions
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US20070101400A1 (en) Method of providing secure access to computer resources
US20070271618A1 (en) Securing access to a service data object
US7028181B1 (en) System and method for efficient and secure revocation of a signature certificate in a public key infrastructure
JP2004509398A (ja) ネットワークにわたって配布されるオブジェクトの保護のために監査証跡を確立するためのシステム
JP2003228520A (ja) 保護電子データにオフラインでアクセスする方法及び装置
US20040199774A1 (en) Secure method for roaming keys and certificates
US20030051172A1 (en) Method and system for protecting digital objects distributed over a network
EP1943769A1 (en) Method of providing secure access to computer resources
JPH1125048A (ja) ネットワークシステムのセキュリティ管理方法
JP2007110377A (ja) ネットワークシステム
JP3660274B2 (ja) 認証書系図の自動追跡方法及びシステム
JP2000010930A (ja) ネットワークシステムでのアクセス制御方法
US7013388B2 (en) Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20031127

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20031209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20031212

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071219

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081219

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081219

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091219

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees