JP4706165B2 - アカウント管理システム、アカウント管理方法およびアカウント管理プログラム - Google Patents

アカウント管理システム、アカウント管理方法およびアカウント管理プログラム Download PDF

Info

Publication number
JP4706165B2
JP4706165B2 JP2003147520A JP2003147520A JP4706165B2 JP 4706165 B2 JP4706165 B2 JP 4706165B2 JP 2003147520 A JP2003147520 A JP 2003147520A JP 2003147520 A JP2003147520 A JP 2003147520A JP 4706165 B2 JP4706165 B2 JP 4706165B2
Authority
JP
Japan
Prior art keywords
user terminal
account management
account
request
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003147520A
Other languages
English (en)
Other versions
JP2004348631A (ja
Inventor
拓也 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003147520A priority Critical patent/JP4706165B2/ja
Publication of JP2004348631A publication Critical patent/JP2004348631A/ja
Application granted granted Critical
Publication of JP4706165B2 publication Critical patent/JP4706165B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Multi Processors (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントを管理するアカウント管理システム、アカウント管理方法およびアカウント管理プログラムに関する。
【0002】
【従来の技術】
ユーザに、それぞれ異なる管理主体によって管理される複数のコンピュータの資源を利用させる広域分散計算方式(グリッドコンピューティング(以下、単にグリッドという)の一つとして、ユーザが、高速計算処理などを、それぞれ異なるサイトに設置され異なる管理者によって管理されている複数のコンピュータに依頼する方式がある。そのような方式のコンピュータシステムでは、ユーザは、それぞれのコンピュータ毎にアカウントを取得しなければならない。なお、ユーザに利用されるコンピュータの資源は、一般にはコンピュータの計算能力である。また、アカウントは、ユーザのコンピュータ資源利用権能(利用できる資格)である。
【0003】
複数のコンピュータにおけるアカウントを管理する方式として、マイクロソフト株式会社のActive Directory(登録商標)などがある。しかし、それらの方式は、単一の管理者が複数のコンピュータのアカウント管理を行うための方式である。すなわち、管理対象の全てのコンピュータのアカウント管理を1台のコンピュータが行う。従って、グリッドのように、複数の管理主体が存在する環境におけるアカウント管理には適用できない。その理由は、グリッドのような広域分散型の計算環境では、個々の管理主体は、サイトの外部に存在するユーザに対してコンピュータの一部の利用権限(例えば、コンピュータの計算能力を利用できる権限のみ)を与え、利用権限の全てを与えることを望まないからである。
【0004】
非特許文献1には、グリッドによる広域分散型の計算環境におけるアカウント管理システムが記載されている。非特許文献1に記載されているアカウント管理システムでは、公開鍵暗号方式を用いた認証手段と、アクセスコントロールリストと呼ばれる手法を用いた認可手段とによってアカウント管理が行われる。なお、「認証」とは、ユーザが確かにそのユーザ本人であることを確認することをいう。また、「認可」とは、ユーザに何らかの権限を与えることをいう。
【0005】
非特許文献1に記載されているアカウント管理システムでは、公開鍵暗号方式を用いた認証手段が用いられている。公開鍵暗号による認証方式では、公開鍵と秘密鍵のペアが作成される。秘密鍵で暗号化したデータは公開鍵のみによって復号することができ、公開鍵で暗号化したデータは秘密鍵のみによって復号することができる。ユーザ端末は、秘密鍵を秘匿し、公開鍵を通信ネットワークを介してコンピュータに渡す。従って、コンピュータが乱数などを公開鍵で暗号化したデータを通信ネットワークを介してユーザ端末に渡し、ユーザ端末が秘匿している秘密鍵で受信したデータを復号し、通信ネットワークを介してコンピュータに送り返すことによって、コンピュータがユーザ認証を行うことができる。秘密鍵を保持しているのは秘密鍵を秘匿しているユーザ端末に限られるので、コンピュータは、送り返されたデータと元データとを比較し、それらが一致すればコンピュータは認証が成功したと判断する。
【0006】
公開鍵暗号方式を用いる場合には、公開鍵が正しいものであるかどうかが問題になる。公開鍵を郵送など別ルートを用いて配布する方法も考えられるが、配布する公開鍵の数が多い場合には負担がかかる。そのために、一般に、CA(Certification Authority :認証機関)が発行した証明書が用いられる。すなわち、公開鍵を含む証明書形式のデータが、通信ネットワークを介してコンピュータに渡される。証明書には、証明書保持者名、証明書保持者の公開鍵、およびCAによる電子署名などが含まれる。
【0007】
電子署名とは、CAによってなされた電子的な方法による署名である。例えば、証明書に含まれるデータについて一方向関数にもとづいてハッシュ値を算出し、算出したハッシュ値をCAが保持する秘密鍵で暗号化したデータが電子署名として証明書に付加される。一次方向関数として、MD(Message-Digest algorithm)5やSHA(Secure Hush Algorithm )−1などと呼ばれるアルゴリズムが用いられる。
【0008】
コンピュータは、証明書に含まれるデータから算出したハッシュ値と、証明書に含まれる電子署名をCAの公開鍵で復号したデータとを比較する。それらが一致すれば、コンピュータは、証明書に含まれる公開鍵がCAによって保証されたものであると判断し、ユーザ端末からの公開鍵を手に入れることができる。なお、CAの公開鍵の入手方法については、コンピュータは、そのCAよりさらに上位のCAによって署名された証明書を用いることによって入手することができる。コンピュータは、少なくともルートCAの証明書をあらかじめ保有していれば、CAの公開鍵を入手することができる。
【0009】
また、非特許文献1に記載されているアカウント管理システムでは、アクセスコントロールリストと呼ばれる手法を用いた認可手段が用いられている。そのような認可手段では、コンピュータは、あらかじめユーザごとにアカウントを作成する。また、コンピュータは、各アカウントとユーザ名との対応情報を含む対応テーブルを保持する。それぞれのコンピュータ上で計算処理を実行する際には、公開鍵方式を用いた認証確認を行ってユーザ名を確認した後に、コンピュータは、その対応テーブルにもとづいて、証明書に含まれるユーザ名に対応するアカウントが存在するか否かを確認する。そして、コンピュータは、そのユーザ名に対応するアカウントに認可されている権限に従って処理を実行する。
【0010】
また、非特許文献2には、グリッドによる広域分散型の計算環境における他のアカウント管理システムが記載されている。非特許文献2に記載されているアカウント管理システムは、CAS(Community Authorization Service )と呼ばれるアカウント共有型のシステムである。そのアカウント管理システムでは、公開鍵方式による認証システムを拡張して、ユーザ端末側に権限委譲を行うことを可能にし、権限委譲の機能を利用する。
【0011】
権限委譲を行うために、権限が委譲される側であるユーザ端末は、新たに証明書と秘密鍵のペアを作成する。ユーザ端末は、作成した証明書に秘密鍵を用いて署名する。ユーザ端末によって署名された証明書はプロキシ証明書と呼ばれる。なお、プロキシ証明書には、有効期限が設定されている。そして、プロキシ証明書に対応する秘密鍵を保持している端末が、ユーザ端末と同じ権限をもつ端末として扱われる。従って、本方式では、ルートCAまでつながるCAのツリー構造の中に、ユーザ端末が組み込まれたものと考えることができる。
【0012】
CASによるシステムは、このような権限委譲の仕組みを利用したものである。CASによるシステムでは、各コミュニティ(サイト)ごとにCASコンピュータを設置する。また、各リソース(端末)に対して、CASコンピュータの権限でアカウントを作成する。ユーザ端末は、CASコンピュータによって認証されて、CASコンピュータから権限の委譲を受ける。この場合に、委譲される権限を所定の内容に制限して、ユーザ端末は権限を委譲される。例えば、ユーザ端末は、CASコンピュータから委譲される権限の内容を示す情報を含む証明書を入手する。
【0013】
【非特許文献1】
Randy Butler,Von Welch ,Douglas Engert,Ian Foster,Steven Tuecke ,John Volmer ,Carl Kesselman,「A National-Scale Authentication Infrastructure」,IEEE Computer ,2000年,33巻,12号,p60−66
【非特許文献2】
Laura Pearlman,Von Welch ,Ian Foster,Carl Kesselman,Steven Tuecke ,「A Community Authorization Service for Group Collaboration 」,Proceedings of the IEEE 3rd International Workshop on Policies for Distributed Systems and Networks,2002年
【0014】
【発明が解決しようとする課題】
非特許文献1に記載されているアカウント管理システムでは、広域分散型の計算環境に参加する全てのコンピュータにおいて、ユーザのアカウントを作成しなければならない。また、全てのコンピュータにおいて、アカウントとユーザ名との対応テーブルの更新処理を行わなければならない。従って、各コンピュータの管理者の負担が大きく管理コストが大きい。
【0015】
また、非特許文献2に記載されているアカウント管理システムでは、アカウントの追加や削除などの処理をCASコンピュータのみで行えばよい。従って、個々のコンピュータ上でアカウントを作成したり対応テーブルの更新処理を行う必要が無く、管理負担およびコストが軽減される。しかし、CASを用いたシステムでは、ユーザ端末は、同一のアカウントを用いて複数のコンピュータに処理を依頼する。すなわち、CASを用いたシステムは、共通のアカウントを各コンピュータで使いまわす使いまわし型のモデルと言える。そのため、ファイルの所有者が各コンピュータで同一人になってしなうなどの可能性があり、自分の作成したファイルが他人に閲覧されたり削除される可能性がある。また、ユーザがコンピュータの処理能力を利用した利用時間の統計処理がしにくいとの問題点がある。
【0016】
そこで、本発明は、利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントの管理に要する負担およびコストを低減できるアカウント管理システム、アカウント管理方法およびアカウント管理プログラムを提供することを目的とする。
【0017】
【課題を解決するための手段】
本発明によるアカウント管理システムは、利用者端末と、利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、各コンピュータに代行して利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、利用者端末が、利用者を証明するための証明情報を権限付与サーバに送信する自己証明手段と、所定の処理の実行を要求する旨の処理要求と、権限付与サーバから受信したアカウント管理要求権限情報とを、各コンピュータに送信する処理要求手段と、を含み、権限付与サーバは、利用者端末から受信した証明情報にもとづいて、利用者端末を認証する認証手段と、認証手段による利用者端末の認証に成功したことを条件に、各コンピュータに代行して利用者端末がアカウントの生成の要求を行える端末であると判断し、利用者端末に対してアカウント管理要求権限情報を送信するアカウント管理要求権限情報送信手段と、を含み、各コンピュータが、利用者端末から受信したアカウント管理要求権限情報にもとづいて、利用者端末に対するアカウントを生成するアカウント生成手段と、アカウント生成手段が生成したアカウントにもとづいて、利用者端末から受信した処理要求で示される所定の処理を実行する処理実行手段と、を含むことを特徴とする。
【0019】
【発明の実施の形態】
実施の形態1.
以下、本発明の第1の実施の形態を図面を参照して説明する。図1は、本発明によるアカウント管理システムを適用した広域分散型の計算環境の構成の一例を示すブロック図である。図1に示すように、広域分散型の計算環境において、ユーザ(利用者)が使用するユーザ端末(利用者端末)100、ユーザの要求に応じて計算処理を実行するコンピュータ120、およびアカウント管理権限をユーザに対して発行する権限付与サーバ110が、インターネットを介して接続される。なお、ユーザ端末100、コンピュータ120および権限付与サーバ110は、インターネット以外の通信ネットワークを介して接続されてもよい。また、図1では、1つの権限付与サーバ110のみが示されているが、複数の権限付与サーバが存在していてもよい。
【0020】
ユーザは、ユーザ端末100を操作して、それぞれ異なるサイトにある複数のコンピュータ120に対して計算機利用要求を行うことができる。複数のコンピュータ120に対して計算機利用要求を行うことによって、ユーザは、高速に計算処理を実行する仮想的な計算環境を得ることができる。
【0021】
なお、「アカウント管理権限」とは、ユーザがコンピュータ120に対してアカウントの管理(アカウントの生成、更新および削除)を要求することができる権限である。ユーザは、権限付与サーバ110から1つのアカウント管理権限を受け取ると、そのアカウント管理権限を多数のコンピュータ120に提示することによって、各コンピュータ120において、アカウントの管理が実行される。なお、各コンピュータ120は、あらかじめ、権限付与サーバ110に対して、アカウント管理権限を発行する権能を与えている。また、ユーザは、複数の権限付与サーバ110からアカウント管理権限を発行してもらうこともできる。その場合には、各コンピュータ120がそれらの権限付与サーバ110にアカウント管理権限を発行する権能を与えていれば、複数の権限付与サーバ110から発行されたいずれのアカウント管理権限でも、どのコンピュータ120に対してアカウント管理を行わせることができる。
【0022】
ユーザ端末100は、ワークステーションなどの情報処理端末である。図1に示すように、ユーザ端末100は、ユーザであることを証明するための証明情報を保持する自己証明手段としての自己ID証明装置101を含む。自己ID証明装置101は、例えば、あらかじめユーザの識別子(以下、ユーザIDという。)を含む証明情報としての公開鍵証明書を作成してもらい、それを保持する。以下、公開鍵証明書を単に証明書という。なお、証明情報として、単なるIDとパスワードとによる、より簡易な構造の情報を用いてもよい。また、ユーザ端末100は、アカウント管理権限を示す情報をコンピュータ120に提示するアカウント管理権限提示手段(図示せず)を含む。
【0023】
なお、自己ID証明装置101およびアカウント管理権限提示手段は、ユーザ端末100の記憶装置(図示せず)が記憶するプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0024】
コンピュータ120は、ユーザ端末100からの要求に応じて計算処理を実行する。本実施の形態では、ユーザ端末100は、それぞれ異なるサイトに設置され管理者が異なる複数のコンピュータ120を、インターネットを介してアクセス可能である。各コンピュータ120は、ユーザ端末100に対してそれぞれ別々にアカウントを生成したり、アカウントの属性変更や削除などの処理を行う。以下、ユーザ端末100に対してアカウントを発行したり、アカウントの属性変更や削除などの処理を行うことをアカウント管理を行うという。なお、アカウントの属性変更とは、コンピュータ120に登録されているアカウントについてユーザグループを変更したりすること等である。
【0025】
図1に示すように、コンピュータ120は、ユーザを認証する(具体的にはユーザIDを認証する)認証手段としての認証装置121、ユーザ端末100から受信したアカウント管理権限が有効であるか否か判断する権限確認手段としての権限確認装置122、およびアカウント管理を行うアカウント管理手段としてのアカウント管理装置123を含む。また、コンピュータ120の記憶装置(図示せず)は、コンピュータ120がアカウント管理権限を発行する権能を与えている権限付与サーバ110の識別子(以下、権限付与サーバIDという。)が記載されたアカウント管理許可権限付与サーバテーブル124を含む。なお、認証装置121、権限確認装置122、およびアカウント管理装置123は、コンピュータ120の記憶装置に記憶されているプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0026】
権限付与サーバ110は、例えば、アカウント管理権限を発行する権能を与えられているアカウント管理業者によって運営される。インターネットを介してアクセスのあったユーザ端末100に対してアカウントの作成などをしてよいか否かを判断する処理、すなわちユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する処理は、本来コンピュータ120自身が行う処理である。本実施の形態では、権限付与サーバ110は、コンピュータ120に代行してユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する権能を与えられている。
【0027】
なお、コンピュータ120において、権限付与サーバ110の識別子がアカウント管理許可権限付与サーバテーブル124に記載されるということは、その権限付与サーバ110がアカウント管理権限をユーザに対して発行すれば、権限付与サーバ110が発行したアカウント管理権限を信頼して、発行を受けたユーザからのアカウント管理権限の提示に応じてアカウント管理を行うということを、コンピュータ120が権限付与サーバ110に認めたことを意味する。換言すれば、権限付与サーバ110に、ユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する権能を与えたことを意味する。
【0028】
図1に示すように、権限付与サーバ110は、ユーザを認証する、具体的にはユーザIDを認証する認証手段としての認証装置111、およびアカウント管理権限を示す情報であるアカウント管理権限情報102を発行する権限情報作成手段としての権限情報生成装置112を含む。また、権限付与サーバ110の記憶装置(図示せず)は、あらかじめ契約を締結しているユーザのユーザIDが記載されている権限付与対象ユーザ端末テーブル113を記憶している。なお、認証装置111および権限情報生成装置112は、権限付与サーバ110の記憶装置に記憶されているプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0029】
なお、契約締結の際に、権限付与サーバ110の記憶装置には、ユーザの住所や利用代金の徴収のためのクレジットカード番号などの情報が登録される。また、IDなどの認証確認のために証明書を用いる場合には、あらかじめ契約によって権限付与サーバ110が信頼するCAが指定される。この場合に、権限付与サーバ110が信頼する複数のCAが指定され、ユーザは、その複数のCAの中から署名をうけるCAを選択できるようにしてもよい。
【0030】
図2は、ユーザ端末100における自己ID証明装置101および権限付与サーバ110における認証装置111が実行する処理を説明するためのブロック図である。
【0031】
自己ID証明装置101は、公開鍵暗号方式のアルゴリズムに従って秘密鍵301および公開鍵312を生成する。なお、秘密鍵301および公開鍵312を、CA等の第三者に生成してもらうこともできる。自己ID証明装置101は、秘密鍵301を保持する。また、自己ID証明装置101は、公開鍵312およびID313(本例では、ユーザID)を含む証明情報としての証明書311をCA320に発行してもらう。証明書311は、あらかじめアカウント管理業者とユーザとの契約時に指定されたCA320によって署名(電子署名:ディジタル署名)されている。本実施の形態では、証明書にCAによって署名データが付加されていることを、単に「CAによって署名されている」という。署名311aは、証明書311に含まれるデータのハッシュ値をCA320の秘密鍵で暗号化したデータである。
【0032】
また、権限付与サーバ110の記憶装置は、あらかじめ指定されたCA320の証明書314を記憶している。証明書314には、CA320の公開鍵315が存在する。
【0033】
ユーザ端末100は、証明情報としての証明書311を、インターネットを介して権限付与サーバ110に送信する。証明書311を受信すると、認証装置111は、CAの証明書314に含まれるCAの公開鍵315によって署名311aを復号する。また、認証装置111は、証明書311に含まれるデータのハッシュ値を算出する。そして、認証装置111は、算出したハッシュ値と、署名311aを復号して得られたハッシュ値とを比較する。それらが一致した場合には、認証装置111は、証明書311がCA320によって署名されたものであると判断する。
【0034】
次に、認証装置111は、証明書311に含まれる公開鍵312によって乱数データを暗号化したデータ(以下、乱数暗号データという)を生成する。権限付与サーバ110は、認証装置111が生成した乱数暗号データを、インターネットを介してユーザ端末100に送信する。ユーザ端末100が乱数暗号データを受信すると、自己ID証明装置101は、保持している秘密鍵301によって乱数暗号データを乱数データに復号する。ユーザ端末100は、復号した乱数データを、インターネットを介して権限付与サーバ110に送信する。
【0035】
権限付与サーバ110の認証装置111は、受信した乱数データと、公開鍵312によって暗号化される前の乱数データとを比較する。それらが一致した場合には、認証装置111は、証明書311に含まれるID313が、公開鍵312に対応する秘密鍵301を保有しているユーザのユーザIDであると判断する。
【0036】
なお、ユーザIDの確認方法は、公開鍵暗号方式および証明書を用いた方法に限られない。例えば、Kerberosなど共通鍵暗号方式を用いた方法によって、ユーザIDを確認してもよい。また、例えば、コンピュータ120は、インターネットを介してユーザ端末100から受信したユーザIDおよびパスワードをにもとづいて、ユーザIDを確認してもよい。
【0037】
また、上記のユーザIDの確認方法は、コンピュータ120における認証装置121とユーザ端末100における自己ID証明装置101との間でも使用される。
【0038】
図3は、権限付与サーバ110における権限情報生成装置112およびコンピュータ120における権限確認装置122の動作を説明するためのブロック図である。権限付与サーバ110は、ユーザ端末100の要求に応じて、ユーザ端末100にアカウント管理権限情報102を送信する。本例では、アカウント管理権限情報102は、ユーザ端末100からコンピュータ120に対するアカウント管理の要求が認められるべき旨が記述されているアカウント作成許可情報404を含む。また、図3に示すように、アカウント管理権限情報102は、ユーザID402および権限付与サーバID403を含む。権限付与サーバID403は、アカウント管理権限を発行した権限付与サーバを特定するための情報である。さらに、アカウント管理権限情報102は、権限付与サーバ110によって署名されている。すなわち、アカウント管理権限情報102は、権限付与サーバ110による署名405を含む
【0039】
コンピュータ120は、あらかじめ権限付与サーバ110の証明書423を権限付与サーバ110から受信して保持している。コンピュータ120は、例えば、アカウント管理業者との契約の際に郵送などによって取得した権限付与サーバの証明書423を、記憶装置などにあらかじめ記憶させる。また、コンピュータ120は、権限付与サーバの証明書423を、アカウント管理権限情報102とともにユーザ端末100を介して受信してもよい。権限付与サーバの証明書423は、権限付与サーバの公開鍵424および権限付与サーバID425を含む。また、権限付与サーバの証明書423は、あらかじめ契約の際に指定されたCA320によって署名されている。従って、権限付与サーバの証明書423は、コンピュータ120が信頼するCA320による署名426を含む。
【0040】
また、コンピュータ120は、あらかじめCA320の証明書421を取得し、記憶装置などに記憶させている。コンピュータ120は、CAの証明書421に含まれるCAの公開鍵422を用いて、権限付与サーバの証明書423が、権限付与サーバ110が発行した証明書であることを確認する。また、コンピュータ120のアカウント管理許可権限付与サーバテーブル124には、アカウント管理権限を発行する権能が与えられている権限付与サーバ110のIDが記載されている権限付与サーバIDリスト427が含まれる。よって、権限付与サーバIDリスト427に記載されていない権限付与サーバの証明書423は無効である。
【0041】
ユーザ端末100からアカウント管理権限情報102を受信すると、コンピュータ120は、アカウント管理権限情報102に含まれる署名405を、署名405を行った権限付与サーバの証明書423の公開鍵424によって復号する。また、コンピュータ120は、アカウント管理権限情報102に含まれるデータのハッシュ値を算出する。そして、コンピュータ120は、算出したハッシュ値と復号した署名405の値とを比較する。それらの値が一致する場合には、コンピュータ120は、アカウント管理権限情報102が権限付与サーバ110によって発行されたものであると判断する。すなわち、ユーザ端末100が提示したアカウント管理権限が有効であると判定する。
【0042】
以上のように、コンピュータ120の権限確認装置122は、ユーザ端末100がアカウント管理権限を提示した場合に、そのアカウント管理権限を発行した権限付与サーバが、アカウント管理権限を発行する権能を有する権限付与サーバであるか否かを確認する。そして、権能を有する権限付与サーバであることが確認されたら、ユーザ端末100が提示したアカウント管理権限を有効であるとし、アカウント管理装置123に、アカウント管理を実行させる。
【0043】
次に動作について説明する。図4は、ユーザ端末100からの要求に応じた計算のための処理およびアカウント管理の処理を示すフローチャートである。ユーザは、ユーザ端末100を操作して、コンピュータ120に処理を実行させるためのコマンドを入力する。
【0044】
コンピュータ120に実行させる処理は、一般には計算処理である。しかし、既にコンピュータ120に登録されているアカウントの属性変更や削除などのアカウント管理の処理を要求することもある。よって、ユーザは、コンピュータ120に対して計算機利用要求を行いたい場合には、計算処理を実行させるためのコマンドを入力する。また、既にコンピュータ120に登録されているアカウントのアカウント管理の処理を行わせたい場合には、アカウント管理を行うためのコマンドを入力する。コマンドが入力されると、ユーザ端末100、権限付与サーバ110およびコンピュータ120によって、以下に示すステップS101からステップS118までの処理が自動的に実行される。
【0045】
ユーザ端末100にコマンドが入力されると、ユーザ端末100において、自己ID証明装置101は、インターネットを介して証明情報を権限付与サーバ110に送信する(ステップS101)。権限付与サーバ110が証明情報を受信すると、権限付与サーバ110の認証装置111は、受信した証明情報にもとづいてユーザIDを確認する(ステップS102)。
【0046】
ユーザIDを確認すると、認証装置111は、アクセスしてきたユーザ端末100が、権限付与対象ユーザ端末テーブル113に記載されているユーザ端末であるか否か判断する(ステップS103)。権限付与対象ユーザ端末テーブル113に記載されている場合には、認証装置111は、ユーザ端末100に対してアカウント管理権限を発行してよいと判断する。
【0047】
アカウント管理権限を発行してよいと判断すると、権限付与サーバ110の権限情報生成装置112は、アカウント管理権限情報102を発行する(ステップS104)。そして、権限付与サーバ110は、アカウント管理権限情報102を、インターネットを介してユーザ端末100に送信する(ステップS104)。ユーザ端末100は、アカウント管理権限情報102を受信すると、アカウント管理権限情報102をユーザ端末100の記憶装置などに一旦記憶させる。
【0048】
なお、ステップS102においてユーザIDが確認できなかった場合には、権限情報生成装置112は、アカウント管理権限情報102を発行しない。また、ステップS103において、ユーザ端末100が、アカウント管理権限の発行を受けるべきでないユーザ端末であることが確認された場合、すなわち権限付与対象ユーザ端末テーブル113に記載されていないユーザ端末であることが確認された場合には、権限情報生成装置112は、アカウント管理権限情報102を発行しない。
【0049】
次に、ユーザ端末100において、自己ID証明装置101は、証明情報を、インターネットを介してコンピュータ120に送信する(ステップS105)。証明情報を受信すると、コンピュータ120の認証装置121は、受信した証明情報にもとづいてユーザ端末100のユーザIDを確認する(ステップS106)。なお、認証装置121によるユーザIDを確認する処理は、権限付与サーバ10における認証装置111による処理と同じである。
【0050】
また、ユーザ端末100は、アカウント管理権限情報102を、インターネットを介してコンピュータ120に送信する(ステップS107)。そして、ユーザ端末100は、ユーザによって入力されたコマンドがコンピュータ120に計算処理を要求するものであるか、アカウント管理を要求するものであるかを判断する(ステップS108)。計算処理を要求するコマンドである場合には、ユーザ端末100は、インターネットを介して、要求する計算内容とともに計算処理を要求する旨の計算要求情報をコンピュータ120に送信する(ステップS109)。アカウント管理の処理を要求するコマンドである場合には、ユーザ端末100は、インターネットを介して、アカウント管理を要求する旨のアカウント管理要求情報をコンピュータ120に送信する(ステップS110)。
【0051】
コンピュータ120は、受信した要求情報が計算要求情報であるかアカウント管理要求情報であるかを判断する(ステップS111)。計算要求情報であると判断した場合には、コンピュータ120のアカウント管理装置123は、ステップS106で確認したユーザIDに対応するアカウントが存在しているか否かを判断する(ステップS112)。例えば、ユーザ端末100が過去にコンピュータ120に対して計算機利用要求を行ったことがある場合には、そのユーザのアカウントは、有効期間内であれば既に登録されている。
【0052】
ステップS112においてアカウントが存在していないと判断した場合には、コンピュータ120の権限確認装置122は、ユーザ端末100から受信したアカウント管理権限情報102やアカウント管理許可権限付与サーバテーブル124の内容等にもとづいて、そのユーザのアカウントを作成してよいか否か確認する(ステップS113)。
【0053】
ユーザのアカウントを作成してよいことが確認されると、アカウント管理装置123は、ユーザ端末100に対するアカウントを生成する(ステップS114)。なお、本実施の形態において、コンピュータ120は、生成したアカウントを、ユーザ端末100に通知する必要はない。
【0054】
アカウントを生成すると、コンピュータ120は、要求された計算処理を実行する(ステップS115)。計算処理を終了すると、コンピュータ120は、ユーザ端末100がコンピュータ120を利用した利用時間などを示す計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS116)。権限付与サーバ110は、受信した計算機利用情報にもとづいて、ユーザ端末100に対する課金処理を行う。
【0055】
ステップS112において、既にアカウントが存在していると判断した場合には、コンピュータ120は、ステップS113およびステップS114の処理を実行しない。この場合には、コンピュータ120は、既に登録されているアカウントにもとづいて、要求された計算処理を実行する(ステップS115)。そして、計算処理が終了すると、コンピュータ120は、計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS116)。
【0056】
ステップS111において、受信した要求がアカウント管理要求情報であると判断した場合には、権限確認装置122は、アカウント管理権限情報102等にもとづいて、ユーザ端末100がアカウント管理権限を有するユーザの端末であるか否か確認する(ステップS117)。例えば、ユーザが既に登録されているアカウントの属性変更や削除などの処理を要求する場合に、アカウント管理要求情報がユーザ端末100から送信される。
【0057】
アカウント管理権限を有するユーザの端末であることが確認されると、アカウント管理装置123は、要求されたアカウント管理を実行する(ステップS118)。例えば、アカウントの削除を要求された場合には、アカウント管理装置123は、ユーザ端末100に対応するアカウントを削除する。また、アカウントの属性変更を要求された場合には、アカウント管理装置123は、ユーザ端末100に対応するアカウントのユーザグループの変更など属性変更の処理を行う。
【0058】
なお、ユーザ端末100は、ステップ107においてアカウント管理権限情報102をコンピュータ120に送信するのでなく、コンピュータ120から要求があった場合に送信するようにしてもよい。例えば、ステップS111において要求がアカウント管理の処理の要求であることを確認した場合や、ステップS112においてアカウントが存在していないことを確認した場合に、コンピュータ120は、ユーザ端末100にアカウント管理権限情報102を要求する。そして、ユーザ端末100は、コンピュータ120から要求に応じてアカウント管理権限情報102をコンピュータ120に送信する。
【0059】
また、ステップS116において、コンピュータ120は、計算機利用情報を計算処理が完了する毎に送信するのでなく所定の期間ごとに送信してもよい。例えば、コンピュータ120は、あらかじめ契約で定めた所定期間ごとに、その所定期間内にユーザ端末100がコンピュータ120を利用した利用時間の合計値を含む計算機利用情報を送信するようにしてもよい。
【0060】
権限付与サーバ110は、あらかじめ契約で定めた所定期間ごとに、ユーザ端末100からコンピュータ120の利用代金を徴収する。例えば、権限付与サーバ110は、あらかじめ登録しているユーザのクレジットカード情報などにもとづいて利用代金を徴収する。そして、権限付与サーバ110は、徴収した利用代金を、オンライン振り込みなどを利用して各コンピュータ120に配分する。なお、利用代金の徴収や配分の処理は、オンライン処理によらず人為的な手続きによって行ってもよい。
【0061】
以上のように、本実施の形態によれば、ユーザは、権限付与サーバ110から発行されたアカウント管理権限を、計算を依頼するコンピュータ120に提示するだけで、コンピュータ120において、自動的に、そのユーザのアカウントが生成される。すなわち、権限確認装置122がアカウント管理権限が有効であることを確認したら、アカウント管理装置123は、アカウントが存在しない場合には自動的にアカウントを生成する。従って、広域分散計算環境に存在する全てのコンピュータが、上記のコンピュータ120の機能と同じ機能を有していれば、ユーザは、いずれのコンピュータに計算を依頼するときにも、アカウント管理権限を提示するだけで、いずれのコンピュータにおいてもアカウントが生成される。
【0062】
すなわち、そのユーザに対して、各コンピュータにアカウント管理の要求を行ってもよいか否かを判断する権能を権限付与サーバ110に与えることによって、各コンピュータは、アクセスしてきたユーザ端末100を使用しているユーザのアカウントを生成してよいか否か判断する必要はない。よって、それぞれ異なる管理者が管理する各コンピュータにおけるアカウント管理の負担およびコストを低減することができる。
【0063】
また、ユーザは、広域分散計算環境に存在する多数のコンピュータに対して一々アカウント管理のための手続を踏むことなく、一つまたは少数の権限付与サーバにアカウント管理権限を発行してもらうだけで、各コンピュータにおいてアカウントを生成してもらうことができるようになる。さらに、ユーザは、計算処理の要求先のコンピュータ120が既にアカウントが登録されているコンピュータであるか否かを意識せずに、計算処理の要求を行うことができる。すなわち、ユーザは、アカウントが登録されているコンピュータであるか否かにかかわらず、同じ手順で計算処理を要求することができる。
【0064】
さらに、本実施の形態によれば、コンピュータ120が権限付与サーバ110に計算機利用情報を送信するので、権限付与サーバ110が、コンピュータ120に代行してユーザに対する課金処理を行うことができる。従って、権限付与サーバ110が、コンピュータ120に代行して利用代金の徴収を行うことができる。
【0065】
実施の形態2.
次に、本発明の第2の実施の形態を図面を参照して説明する。本実施の形態における広域分散型の計算環境の構成は、図1に示した構成と同様である。しかし、権限付与サーバ110における権限情報生成装置およびコンピュータにおける権限確認装置の動作は、第1の実施の形態の場合とは異なる。本実施の形態では、権限の委譲という概念を利用して、権限付与サーバが有するアカウント管理権限をユーザに委譲し、ユーザが、委譲されたアカウント管理権限にもとづいて、各コンピュータにアカウント管理を依頼する。
【0066】
図5は、権限付与サーバ110における権限情報生成装置112およびコンピュータ120における権限確認装置122の動作を説明するためのブロック図である。権限付与サーバ110は、あらかじめ公開鍵A512および秘密鍵A514を生成し、公開鍵A512を含む第1の証明書としての証明書A511をCA等に生成してもらう。証明書A511は、権限付与サーバ110を証明する証明書であり、権限付与サーバID513を含む。証明書A511は、あらかじめ指定されたCA530によって署名されている。従って、証明書A511は、CA530による署名511aを含む。
【0067】
ユーザ端末100は、あらかじめ公開鍵B502および秘密鍵B504を生成している。また、ユーザ端末100は、第2の証明書としての新たな証明書B501をCA等に生成してもらう。証明書B501は、公開鍵B502および権限付与サーバID503を含む。なお、証明書B501は、権限付与サーバ110によって生成され、インターネットを介してユーザ端末100が権限付与サーバ110から受信したものであってもよい。また、証明書B501には、アカウント管理権限の内容が明記されていてもよい。
【0068】
本実施の形態では、権限付与サーバ110が、証明書B501に秘密鍵A514を用いて署名501aを行うことによって、ユーザ端末100に、アカウント管理権限を委譲する。
【0069】
ユーザ端末100は、権限の委譲を受ける際に、証明書B501について署名を受けるとともに、権限付与サーバ110からインターネットを介して証明書A511を受信する。そして、ユーザ端末100は、計算処理を依頼するとき、またはアカウントの更新を依頼するときなどに、証明書A511および証明書B501を、インターネットを介してコンピュータ120に送信する。
【0070】
コンピュータ120は、あらかじめCA530の証明書521を保持している。コンピュータ120は、証明書A511および証明書B501を受信すると、CAの証明書521に含まれるCAの公開鍵522によって、証明書A511がCA530によって署名された証明書であるか否か確認する。
【0071】
コンピュータ120は、証明書A511がCA530によって署名された証明書であることを確認したら、証明書A511に含まれる公開鍵A512によって、証明書B501が権限付与サーバ110によって署名された証明書であるか否か確認する。
【0072】
次に、コンピュータ120は、ユーザ端末100の認証を行う。すなわち、コンピュータ120は、乱数データを公開鍵B502によって暗号化して乱数暗号データを生成し、インターネットを介してユーザ端末100に送信する。ユーザ端末100は、受信した乱数暗号データを秘密鍵B504によって乱数データに復号する。そして、ユーザ端末100は、復号した乱数データを、インターネットを介してコンピュータ120に送信する。
【0073】
コンピュータ120は、受信した乱数データと、公開鍵B502によって暗号化する前の乱数データとを比較する。これらの乱数データが一致した場合には、コンピュータ120は、ユーザ端末100の認証に成功したと判断する。以上の処理によって、コンピュータ120は、ユーザ端末100が権限付与サーバ110によってアカウント管理権限の委譲を受けた端末であると判断する。換言すれば、ユーザ端末100が委譲されたアカウント管理権限が有効であると判定する。
【0074】
ユーザ端末100がアカウント管理権限の委譲を受けた端末であることが確認されると、コンピュータ120は、証明書A511に含まれる権限付与サーバID513が権限付与サーバIDリスト524に含まれるか否かを判断する。権限付与サーバIDリスト524に含まれる場合には、コンピュータ120は、アカウント管理権限に従ってアカウント管理処理を実行する。
【0075】
以上のように、権限付与サーバ110によるアカウント権限の発行の仕方、およびコンピュータ120AにおけるユーザIDを確認する処理や権限を確認する処理は第1の実施の形態の場合とは異なるが、その他の処理は、第1の実施の形態の場合と同じである。
【0076】
本実施の形態によれば、ユーザが権限付与サーバ110からアカウント管理権限の委譲を受けたと捉え、アカウント管理権限の委譲を受けたユーザは、委譲されたアカウント管理権限にもとづいて、コンピュータ120に対して計算処理やアカウント管理の処理を要求することができる。
【0077】
また、第1の実施の形態と同様に、広域分散計算環境において、それぞれ異なる管理者が管理する各コンピュータのアカウント管理の負担およびコストを低減することができる。
【0078】
実施の形態3.
次に、本発明の第3の実施の形態を図面を参照して説明する。本実施の形態における広域分散型の計算環境の構成は、図1に示した構成と同様である。第1の実施の形態では、アカウントが登録されていないユーザ端末100から計算処理要求がなされた場合に、コンピュータ120は、自動的に、アカウントを生成して、要求された計算処理を実行した。しかし、本実施の形態では、コンピュータ120は、ユーザ端末100から計算処理要求がなされたときにアカウントを生成するのではなく、アカウント生成の要求に応じてアカウントを生成する。すなわち、ユーザは、アカウントの登録が完了した後に、コンピュータ120に計算処理を要求する。
【0079】
図6は、ユーザ端末100からの要求に応じて実行されるアカウント生成を含むアカウント管理の処理を示すフローチャートである。ユーザは、ユーザ端末100を操作して、アカウント管理を要求するためのコマンドを入力する。例えば、コンピュータ120にアカウントが登録されていない場合には、ユーザは、まずアカウントの生成を要求するコマンドを入力する。なお、コマンドが入力されると、ユーザ端末100、権限付与サーバ110およびコンピュータ120は、以下に示すステップS201からステップS209までの処理を自動的に実行する。
【0080】
ユーザ端末100は、ユーザの操作に応じて、インターネットを介して権限付与サーバ110に証明情報を送信する(ステップS201)。権限付与サーバ110が証明情報を受信すると、認証装置111は、受信した証明情報にもとづいてユーザIDを確認する(ステップS202)。
【0081】
ユーザIDを確認すると、認証装置111は、権限付与対象ユーザ端末テーブル113を参照して、アクセスしてきたユーザ端末100が、アカウント管理権限を付与してよい端末であるか否かを判断する(ステップS203)。アカウント管理権限を付与してよい端末と判断すると、権限情報生成装置112は、アカウント管理権限情報102を発行する(ステップS204)。
【0082】
次に、ユーザ端末100は、証明情報を、インターネットを介してコンピュータ120に送信する(ステップS205)。コンピュータ120が証明情報を受信すると、認証装置121は、受信した証明情報にもとづいてユーザ端末100のユーザIDを確認する(ステップS206)。なお、ユーザIDを確認する具体的な構成は図3に示す構成と同様であり、処理手順は図2に示すステップS101およびステップS102の場合と同様である。
【0083】
ユーザ端末100は、アカウント管理権限情報102を、インターネットを介してコンピュータ120に送信する(ステップS207)。また、ユーザ端末100は、アカウント管理要求情報を、インターネットを介してコンピュータ120に送信する(ステップS207)。以上の処理は、第1の実施の形態における処理と同じである。
【0084】
コンピュータ120は、受信したアカウント管理権限情報102およびアカウント管理許可権限付与サーバテーブル124にもとづいて、ユーザ端末100がアカウント管理権限の付与を受けることができる端末であるか否か確認する(ステップS208)。
【0085】
ステップS208において、アカウント管理権限の付与を受けることができる端末であることが確認されると、アカウント管理装置123は、要求されたアカウント管理の処理を実行する(ステップS209)。例えば、アカウントの生成を要求された場合には、アカウント管理装置123は、ユーザ端末100に対するアカウントを生成する。なお、既に登録済みのアカウントの属性変更や削除が要求された場合には、アカウント管理装置123は、アカウントの属性変更や削除を行う。
【0086】
次に、ユーザ端末100からの要求に従って計算処理を実行する場合の動作について説明する。図7は、ユーザ端末100から要求された計算処理を実行する処理を示すフローチャートである。ユーザは、アカウントが既に登録済みでありコンピュータ120に計算処理を依頼する場合に、ユーザ端末100を操作して、計算処理を要求するためのコマンドを入力したりプログラムを実行する。なお、コマンドが入力されると、ユーザ端末100およびコンピュータ120によって、以下に示すステップS301からステップS305までの処理が自動的に実行される。
【0087】
ユーザ端末100は、ユーザの操作に従って、コマンドが入力されると、証明情報を、インターネットを介して権限付与サーバ110に送信する(ステップS301)。コンピュータ120が証明情報を受信すると、認証装置121は、受信した証明情報にもとづいてユーザIDを確認する(ステップS302)。ユーザIDを確認し既にアカウントが登録されているユーザ端末100であることを確認すると、コンピュータ120は、ユーザIDおよびアカウントを確認できた旨を示す確認情報を、インターネットを介してユーザ端末100に送信する。すると、ユーザ端末100は、要求したい計算内容を含む計算要求情報を、インターネットを介してコンピュータ120に送信する(ステップS303)。
【0088】
計算要求情報を受信すると、コンピュータ120は、要求された計算処理を実行する(ステップS304)。計算処理が終了すると、コンピュータ120は、計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS305)。そして、権限付与サーバ110は、受信した計算機利用情報にもとづいて、ユーザ端末100に対する課金処理を行う。
【0089】
以上のように、本実施の形態によれば、コンピュータ120に計算を実行させるための処理と、アカウント管理の処理とが独立して実行される。従って、ユーザは、アカウントが生成された後に、コンピュータ120に対して計算機利用要求を示す情報を送信する。第1の実施の形態の場合とは異なり、コンピュータ120に計算を実行させる際に権限確認処理を実行しないので、計算機利用要求の際の処理工程を軽減することができる。また、従来から存在する計算処理を要求するためのプロトコルをそのまま利用することができ、システム構築のための負担やコストを低減することができる。
【0090】
なお、第1の実施の形態および第3の実施の形態において、ユーザ端末100がアカウント管理権限情報102を権限付与サーバ110から受信することによって入手する場合を説明したが、ユーザは、CD−ROM等の記録媒体に書き込まれたアカウント管理権限情報102を郵送等によって入手してもよい。その場合には、例えば、図4および図6に示す処理において、ステップS101〜ステップS104の処理およびステップS201〜S204を実行する必要がなくなる。
【0091】
また、権限付与サーバ110を設置する必要はなく、アカウント管理業者にかかる管理負担およびコストを軽減することができる。なお、権限付与サーバ110からアカウント管理権限をオンラインで入手する場合に比べて、アカウント管理権限情報102の有効期限は十分長く設定される。また、アカウント管理業者は、ユーザ端末100に対する課金処理のみを行うためのコンピュータを設置してもよい。
【0092】
【発明の効果】
以上のように、本発明によれば、アカウント管理システム、アカウント管理方法およびアカウント管理プログラムは、権限付与サーバが、利用者端末の認証に成功したことを条件に、各コンピュータに代行して利用者端末がアカウントの生成の要求を行える端末であると判断し、利用者端末に対してアカウント管理要求権限情報を送信し、各コンピュータが、利用者端末から受信したアカウント管理要求権限情報にもとづいて、利用者端末に対するアカウントを生成し、生成したアカウントにもとづいて、利用者端末から受信した処理要求で示される所定の処理を実行するように構成されているので、広域分散型の計算環境において、それぞれ異なる管理者が管理する各コンピュータのアカウント管理の負担およびコストを低減することができる。
【図面の簡単な説明】
【図1】 本発明によるアカウント管理システムを適用した広域分散型の計算環境の構成の一例を示すブロック図である。
【図2】 自己ID証明装置および認証装置が実行する処理を説明するためのブロック図である。
【図3】 権限情報生成装置および権限確認装置の動作を説明するためのブロック図である。
【図4】 計算のための処理およびアカウント管理の処理を示すフローチャートである。
【図5】 権限情報生成装置および権限確認装置 の動作を説明するためのブロック図である。
【図6】 アカウント管理の処理を示すフローチャートである。
【図7】 計算のための処理を示すフローチャートである。
【符号の説明】
100 ユーザ端末
101 自己ID証明装置
102 アカウント管理権限情報
110 権限付与サーバ
111 認証装置
112 権限情報生成装置
113 権限付与対象ユーザ端末テーブル
120 コンピュータ
121 認証装置
122 権限確認装置
123 アカウント管理装置
124 アカウント管理許可権限付与サーバテーブル

Claims (11)

  1. 利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントを管理するアカウント管理システムにおいて、
    前記利用者端末と、
    前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、
    アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、
    前記利用者端末は、
    利用者を証明するための証明情報を前記権限付与サーバに送信する自己証明手段と、
    前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信する処理要求手段と、を含み、
    前記権限付与サーバは、
    前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証する認証手段と、
    前記認証手段による前記利用者端末の認証に成功したことを条件に、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して前記アカウント管理要求権限情報を送信するアカウント管理要求権限情報送信手段と、を含み、
    前記各コンピュータは、
    前記利用者端末から受信した前記アカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成するアカウント生成手段と、
    前記アカウント生成手段が生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行する処理実行手段と、を含む
    ことを特徴とするアカウント管理システム。
  2. 前記アカウント生成手段は、受信した前記アカウント管理要求権限情報が有効であることを確認したら、アカウントが存在しない場合には自動的にアカウントを生成する
    請求項1記載のアカウント管理システム。
  3. 前記処理要求手段は、前記アカウント管理要求権限情報を送信して、前記アカウント生成手段によってアカウントが生成された後に、前記各コンピュータに対して処理要求を送信する
    請求項1記載のアカウント管理システム。
  4. 前記アカウント管理要求権限情報送信手段は、電子署名を付した前記アカウント管理要求権限情報を利用者端末に送信する
    請求項1から請求項3のうちのいずれか1項に記載のアカウント管理システム。
  5. 前記各コンピュータは、前記権限付与サーバを証明する証明書を、前記権限付与サーバから直接、または前記利用者端末を介して受信し、前記利用者端末から受信した前記アカウント管理要求権限情報と前記証明書とにもとづいて、前記アカウント管理要求権限情報が有効であるか否か確認する
    請求項1から請求項4のうちのいずれか1項に記載のアカウント管理システム。
  6. 前記処理要求手段は、前記権限付与サーバを証明する第1の証明書と、前記アカウント管理要求権限情報を付与する権利を委譲するために前記権限付与サーバによって電子署名された第2の証明書とを、各コンピュータに送信する
    請求項1から請求項5のうちのいずれか1項に記載のアカウント管理システム。
  7. 前記各コンピュータは、前記利用者端末から受信した第1の証明書および第2の証明書にもとづいて、前記アカウント管理要求権限情報が有効であるか否か確認する
    請求項6記載のアカウント管理システム。
  8. 前記各コンピュータは、前記所定の処理を終了すると、計算機利用情報を前記権限付与サーバに送信する
    請求項1から請求項7のうちのいずれか1項に記載のアカウント管理システム。
  9. 利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントを管理するアカウント管理方法において、
    前記利用者端末が、利用者を証明するための証明情報を権限付与サーバに送信するステップと、
    前記権限付与サーバが、前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証するステップと、
    前記権限付与サーバが、前記利用者端末の認証に成功したことを条件に、前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信するステップと、
    前記利用者端末が、前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信するステップと、
    前記各コンピュータが、前記利用者端末から受信したアカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成するステップと、
    前記各コンピュータが、生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行するステップと、
    を含むことを特徴とするアカウント管理方法。
  10. 利用者端末と、前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、前記利用者端末は、利用者を証明するための証明情報を前記権限付与サーバに送信する自己証明手段と、前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信する処理要求手段と、を含み、前記権限付与サーバは、前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証する認証手段と、前記認証手段による前記利用者端末の認証に成功したことを条件に、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して前記アカウント管理要求権限情報を送信するアカウント管理要求権限情報送信手段と、を含み、前記利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントを管理するためのアカウント管理プログラムであって、
    前記コンピュータに、
    前記利用者端末から受信した前記アカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成する処理と、
    生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行する処理
    を実行させるためのアカウント管理プログラム。
  11. 利用者端末と、前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、前記利用者端末は、利用者を証明するための証明情報を前記権限付与サーバに送信する自己証明手段と、前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信する処理要求手段と、を含み、前記各コンピュータは、前記利用者端末から受信した前記アカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成するアカウント生成手段と、前記アカウント生成手段が生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行する処理実行手段と、を含み、前記利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける前記権限付与サーバに搭載されるプログラムであって、
    前記権限付与サーバに、
    前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証する処理と、
    前記利用者端末の認証に成功したことを条件に、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して前記アカウント管理要求権限情報を送信する処理と、
    を実行させるためのプログラム。
JP2003147520A 2003-05-26 2003-05-26 アカウント管理システム、アカウント管理方法およびアカウント管理プログラム Expired - Fee Related JP4706165B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003147520A JP4706165B2 (ja) 2003-05-26 2003-05-26 アカウント管理システム、アカウント管理方法およびアカウント管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003147520A JP4706165B2 (ja) 2003-05-26 2003-05-26 アカウント管理システム、アカウント管理方法およびアカウント管理プログラム

Publications (2)

Publication Number Publication Date
JP2004348631A JP2004348631A (ja) 2004-12-09
JP4706165B2 true JP4706165B2 (ja) 2011-06-22

Family

ID=33534018

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003147520A Expired - Fee Related JP4706165B2 (ja) 2003-05-26 2003-05-26 アカウント管理システム、アカウント管理方法およびアカウント管理プログラム

Country Status (1)

Country Link
JP (1) JP4706165B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4765572B2 (ja) * 2005-11-17 2011-09-07 村田機械株式会社 端末装置、タイムスタンプ管理システム、およびタイムスタンプ管理プログラム
US8505078B2 (en) 2008-12-28 2013-08-06 Qualcomm Incorporated Apparatus and methods for providing authorized device access
EP2334008A1 (en) * 2009-12-10 2011-06-15 Tata Consultancy Services Limited A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure
JP5736953B2 (ja) * 2011-05-17 2015-06-17 富士ゼロックス株式会社 情報処理装置、認証システム及びプログラム
JP6091450B2 (ja) * 2014-02-17 2017-03-08 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP2020135205A (ja) * 2019-02-15 2020-08-31 Necソリューションイノベータ株式会社 情報処理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073419A (ja) * 2000-08-28 2002-03-12 Ricoh Co Ltd 電子文書管理システム、方法、装置、及びプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2002197063A (ja) * 2000-12-26 2002-07-12 Wellness On Line Inc ドメイン横断アカウント・システム
JP2002312312A (ja) * 2001-04-13 2002-10-25 Kit Asp:Kk 論理的階層構造のネットワーク構成を用いたアプリケーションサービス方法及びアプリケーションサーバシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073419A (ja) * 2000-08-28 2002-03-12 Ricoh Co Ltd 電子文書管理システム、方法、装置、及びプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2002197063A (ja) * 2000-12-26 2002-07-12 Wellness On Line Inc ドメイン横断アカウント・システム
JP2002312312A (ja) * 2001-04-13 2002-10-25 Kit Asp:Kk 論理的階層構造のネットワーク構成を用いたアプリケーションサービス方法及びアプリケーションサーバシステム

Also Published As

Publication number Publication date
JP2004348631A (ja) 2004-12-09

Similar Documents

Publication Publication Date Title
CN110598394B (zh) 一种权限验证方法、装置和存储介质
Humphrey et al. Security for grids
JP4226665B2 (ja) ログオン証明書
US9544297B2 (en) Method for secured data processing
US7844816B2 (en) Relying party trust anchor based public key technology framework
US20110296172A1 (en) Server-side key generation for non-token clients
US7213262B1 (en) Method and system for proving membership in a nested group using chains of credentials
JP2003296281A (ja) アクセス制御方法及びシステム
KR102410006B1 (ko) 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템
JP4525609B2 (ja) 権限管理サーバ、権限管理方法、権限管理プログラム
CA3180144A1 (en) Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network
US20020099668A1 (en) Efficient revocation of registration authorities
JP2000049766A (ja) 鍵管理サーバシステム
Koufil et al. A credential renewal service for long-running jobs
JP5012574B2 (ja) 共通鍵自動共有システム及び共通鍵自動共有方法
JP4706165B2 (ja) アカウント管理システム、アカウント管理方法およびアカウント管理プログラム
JP3770173B2 (ja) 共通鍵管理システムおよび共通鍵管理方法
JP5177505B2 (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
CN111131160B (zh) 一种用户、服务及数据认证***
JP2001202332A (ja) 認証プログラム管理システム
WO2022201581A1 (ja) 業務監査支援システム及び業務監査支援方法
Fugkeaw et al. Multi-Application Authentication based on Multi-Agent System.
US11954672B1 (en) Systems and methods for cryptocurrency pool management
JP4783992B2 (ja) 属性証明書管理サーバ、属性証明書管理方法およびそのプログラム
EP4243344A1 (en) Certificate management device, certificate management system and certificate management method

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20051117

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051117

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100726

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110228

LAPS Cancellation because of no payment of annual fees