JP2000250858A - System and method for approving service - Google Patents
System and method for approving serviceInfo
- Publication number
- JP2000250858A JP2000250858A JP11049456A JP4945699A JP2000250858A JP 2000250858 A JP2000250858 A JP 2000250858A JP 11049456 A JP11049456 A JP 11049456A JP 4945699 A JP4945699 A JP 4945699A JP 2000250858 A JP2000250858 A JP 2000250858A
- Authority
- JP
- Japan
- Prior art keywords
- service
- certificate
- information
- request source
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、証明証を使用し
たサービス認可方式及び方法に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a service authorization system and method using a certificate.
【0002】[0002]
【従来の技術】従来使用されていた証明証を使用したサ
ービスの認可方式としては、図4に示す方式があった。
以下に、図4に基づいて従来のサービスの認可方式を説
明する。1pは、サービスを要求する要求元を識別する
要求元識別子によって要求元を検証する際に使用する証
書となる証明証を発行し、また、証明証が失効した場合
には、失効証明証リストを生成する認証サーバである。
2は、要求元識別子と、認証サーバ1pで発行された証
明証とによってサービス要求するサービスの要求元であ
る。ここではクレイマントととして示している。3p
は、要求元識別子と証明証とを含むサービス要求を要求
元から受け付け、要求元識別子と証明証とに基づいて要
求元へのサービスが可能か否かの判定を行ない、サービ
スの提供が可能である場合にサービスを提供するサービ
スサーバである。5pは、要求元を検証する際に使用す
る証書となる証明証であり、認証サーバ1pによって発
行される。6は、要求元から出されるサービス要求であ
る。7は、サービスを要求する要求元を識別する要求元
識別子である。ここでは、一例としてディジタル署名を
示している。8pは、サービスが可能か否かの判定を行
なうための情報としてサービスサーバが使用するサービ
ス認可可否判定のための情報である。認証サーバ1pで
発行される証明証に含まれ、要求元がサービスを要求す
る際に、証明証に含まれた情報としてサービスサーバへ
送られる。要求元を検証する際に使用する証書となる証
明証であり、サービス認可可否判定のための情報を含ん
でいる。9は、サービスサーバより提供されるサービス
である。10は、サービスサーバによってサービスが提
供できないと判断された場合にサービスの要求元へ送ら
れる拒否通知である。11は、認証サーバ1pが生成す
る失効証明証リストを受け取り、失効証明証リストを格
納及び管理するデイレクトリ・サーバである。12は、
失効した証明証のリストである失効証明証リストであ
る。認証サーバ1pで発行された証明証が失効している
か否かの判断する際に使用する。2. Description of the Related Art A conventional service authorization system using a certificate includes a system shown in FIG.
Hereinafter, a conventional service authorization method will be described with reference to FIG. 1p issues a certificate which is a certificate used when verifying a requester by a requester identifier for identifying a requester who requests a service, and when a certificate is revoked, a certificate revocation list is issued. The authentication server to generate.
Reference numeral 2 denotes a service request source that requests a service based on the request source identifier and the certificate issued by the authentication server 1p. Here, it is shown as a claymant. 3p
Receives a service request including a requester identifier and a certificate from a requester, determines whether or not a service to the requester is possible based on the requester identifier and the certificate, and can provide the service. A service server that provides services in certain cases. Reference numeral 5p denotes a certificate serving as a certificate used when verifying the request source, and is issued by the authentication server 1p. 6 is a service request issued from the request source. Reference numeral 7 denotes a request source identifier for identifying a request source that requests a service. Here, a digital signature is shown as an example. 8p is information used by the service server as information for determining whether or not the service is available, for determining whether or not the service is authorized. It is included in the certificate issued by the authentication server 1p, and is sent to the service server as information included in the certificate when the requester requests a service. It is a certificate used as a certificate used when verifying a request source, and includes information for determining whether service is authorized. 9 is a service provided by the service server. Reference numeral 10 denotes a rejection notification sent to the service request source when the service server determines that the service cannot be provided. Reference numeral 11 denotes a directory server that receives the revocation certificate list generated by the authentication server 1p, and stores and manages the revocation certificate list. 12 is
It is a revocation certificate list that is a list of revoked certificates. This is used to determine whether the certificate issued by the authentication server 1p has been revoked.
【0003】次に動作について、図4で説明する。ま
ず、クレイマント2は、認証サーバ1pから証明証5p
を受け取る。次に、クレイマント2pはサービス要求6
をサービスサーバ3pに渡す。証明証5pには予め、サ
ービス認可可否判定のための情報8pが格納されてい
る。認証サーバ1pは、クレイマント2の証明証5pが
失効した場合には、失効証明証リスト12を生成し、そ
の失効証明証リスト12をディレクトリ・サーバ11に
格納する。次に、サービスの要求から提供までの動作を
説明する。クレイマント2は、サービス要求6にディジ
タル署名7を付加する。次に、証明証5pとともにサー
ビスサーバ3pに渡す。サービスサーバ3pは、サービ
ス要求6が確かにクレイマント2から来たものであるこ
とを確認する。まず、ディジタル署名7の検証を証明証
5pを用いて行う。次に、ディレクトリ・サーバ11か
ら失効証明証リスト12を取得し、証明証5pが失効し
ていないことも確認する。検証に成功すると、次に証明
証5pからサービス認可可否判定のための情報8pを取
り出し、クレイマント2に対するサービス認可可否を判
定する。サービスの提供ができる場合はサービスサーバ
3pはクレイマント2にサービス9を提供する。サービ
スの提供ができない場合は拒否通知10を渡す。Next, the operation will be described with reference to FIG. First, Claymant 2 sends a certificate 5p from the authentication server 1p.
Receive. Next, Claymant 2p requests service 6
To the service server 3p. The certificate 5p stores in advance information 8p for determining whether or not the service is authorized. When the certificate 5p of the claymant 2 is revoked, the authentication server 1p generates a revocation certificate list 12 and stores the revocation certificate list 12 in the directory server 11. Next, an operation from a service request to a provision will be described. Claymant 2 adds digital signature 7 to service request 6. Next, the certificate is passed to the service server 3p together with the certificate 5p. The service server 3p confirms that the service request 6 is indeed from Claymant 2. First, the digital signature 7 is verified using the certificate 5p. Next, the revocation certificate list 12 is acquired from the directory server 11, and it is also confirmed that the certificate 5p has not been revoked. If the verification is successful, information 8p for judging whether service is permitted is extracted from the certificate 5p, and whether service is permitted for the claymant 2 is determined. If the service can be provided, the service server 3p provides the service 9 to the clayman 2. If the service cannot be provided, a rejection notice 10 is passed.
【0004】[0004]
【発明が解決しようとする課題】このように、従来の技
術は、クレイマントのサービス認可可否判定のための情
報を証明証に格納していた。このため、上記情報が変わ
ると、そのたびに認証サーバが証明証を再発行し、クレ
イマントが再発行された証明証を受け取り直さねばなら
ず、システム全体として証明証の管理が煩雑になるとい
う問題点があった。また、証明証が失効している情報と
しての失効証明証リストは、認証サーバが生成し、ディ
レクトリ・サーバへ配布され、格納している失効証明証
リストを使用する。このため、失効証明証リストの配布
経路、配布タイミング、ディレクトリ・サーバの配置に
十分気をつけねばならないという問題点もあった。As described above, in the prior art, information for judging whether or not to permit the service of Claymant is stored in the certificate. For this reason, when the above information changes, the authentication server must reissue the certificate each time, and the claimant must re-receive the reissued certificate, which makes the certificate management of the entire system complicated. There was a problem. Further, the revocation certificate list as the information on the revocation of the certificate is generated by the authentication server, distributed to the directory server, and uses the stored revocation certificate list. For this reason, there is also a problem that the distribution path of the revocation certificate list, the distribution timing, and the arrangement of the directory server must be carefully considered.
【0005】この発明は上記のような問題点を解決する
ためになされたものである。新たに、サービスサーバが
アクセスする情報格納庫を備え、従来は証明証に格納さ
れていた、サービス認可可否判定のための情報を、上記
情報格納庫に保持する。このようにして、システム全体
として証明証の管理の煩雑さをなくし、上記サービス認
可可否判定のための情報の変化に対し柔軟に対応できる
ようにすることを目的とする。また、クレイマントの証
明証の失効情報を、サービスサーバがアクセス可能な場
所、具体的には上記の情報格納庫、または、別の情報格
納庫に格納することにより、失効証明証リストの配布経
路、配布タイミング、ディレクトリ・サーバの配置の問
題を考慮しなくても済むようにすることを目的とする。The present invention has been made to solve the above problems. A new information storage to be accessed by the service server is provided, and the information for service authorization determination, which is conventionally stored in a certificate, is stored in the information storage. In this way, an object of the present invention is to eliminate the complexity of certificate management in the entire system and to flexibly cope with a change in the information for determining whether the service is authorized. In addition, by storing the revocation information of the certificate of Claymant in a place accessible by the service server, specifically, in the above-mentioned information storage or another information storage, the distribution path and distribution of the revocation certificate list are provided. An object of the present invention is to eliminate the need to consider timing and directory server arrangement problems.
【0006】[0006]
【課題を解決するための手段】この発明に係るサービス
認可方式は、サービスを要求する要求元を識別する要求
元識別子によって要求元を検証する際に使用する証書と
なる証明証を発行する認証サーバと、サービスの要求元
に関する情報を格納する情報格納庫と、要求元識別子と
上記証明証とを含むサービス要求を要求元から受け付
け、要求元識別子と上記証明証と上記情報格納庫に格納
された情報とに基づいて要求元へのサービスが可能か否
かの判定を行ない、サービスの提供が可能である場合に
サービスを提供するサービスサーバとを備えたことを特
徴とする。SUMMARY OF THE INVENTION A service authorization system according to the present invention issues an authentication server which issues a certificate which is a certificate used when verifying a request source by a request source identifier for identifying a request source requesting a service. An information storage for storing information about a service request source, a service request including a request source identifier and the certificate received from the request source, and a request source identifier, the certificate, and the information stored in the information storage. And a service server for providing a service when the service can be provided to the request source based on the service request.
【0007】上記情報格納庫は、要求されたサービスの
提供が可能であるか否かの判断をする情報であるサービ
ス認可可否判定のための情報を要求元毎に格納し、上記
サービスサーバは、上記要求元識別子を上記証明証によ
って検証し、要求元が認証された要求元ある場合には、
上記情報格納庫より要求元に対応したサービス認可可否
判定のための情報を読み込み、読み込んだサービス認可
可否判定のための情報に基づいて、要求元へのサービス
が可能か否かの判定を行ない、サービスの提供が可能で
ある場合にサービスを提供することを特徴とする。[0007] The information storage stores, for each request source, information for judging whether service authorization is possible, which is information for judging whether or not the requested service can be provided. The requester identifier is verified by the above certificate, and if the requester is an authenticated requester,
The information for service permission approval / disapproval determination corresponding to the request source is read from the information storage, and based on the read information for service permission enable / disable determination, it is determined whether or not the service to the request source is possible. The service is provided when the service can be provided.
【0008】上記情報格納庫は、さらに、上記認証サー
バが発行した証明証が失効しているか否かを判定する情
報である証明証失効判定のための情報を格納し、上記サ
ービスサーバは、さらに、上記情報格納庫より証明証失
効判定のための情報を読み込み、読み込んだ証明証失効
判定のための情報に基づいてサービス要求に含まれてい
た証明証が失効しているかを判定し、上記証明証が失効
している場合には、要求元にサービスを提供しないこと
を特徴とする。[0008] The information storage further stores information for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server has been revoked, and the service server further includes: The information for certificate revocation determination is read from the information storage, and it is determined whether the certificate included in the service request has been revoked based on the read information for certificate revocation determination. If the service has expired, no service is provided to the requester.
【0009】上記サービス認可方式は、さらに、上記認
証サーバが発行した証明証が失効しているか否かの判定
する情報である証明証失効判定のための情報を格納する
失効証明証格納庫を備え、上記サービスサーバは、さら
に、上記失効証明証格納庫より証明証失効判定のための
情報を読み込み、読み込んだ証明証失効判定のための情
報に基づいてサービス要求に含まれていた証明証が失効
しているかを判定し、上記証明証が失効している場合に
は、要求元にサービスを提供しないことを特徴とする。[0009] The service authorization method further includes a revocation certificate storage for storing information for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server is revoked. The service server further reads information for certificate revocation determination from the revocation certificate storage, and the certificate included in the service request is revoked based on the read certificate revocation determination information. If the certificate has expired, no service is provided to the requester.
【0010】この発明に係るサービス認可方法は、サー
ビスを要求する要求元を識別する要求元識別子によっ
て、要求元が許可された要求元であるかを検証する証書
としての証明証を発行する認証サーバによって証明証を
発行する証明証発行工程と、サービスの要求元に関する
情報を格納する情報格納庫へ情報を格納する情報格納工
程と、要求元からのサービス要求を受け付けるサービス
サーバによって、要求元識別子と上記証明証とを含むサ
ービス要求を要求元からの受け付け、要求元識別子と上
記証明証と上記情報格納庫に格納された情報とに基づい
て要求元へのサービスが可能か否かの判定を行ない、サ
ービスの提供が可能である場合にサービスを提供するサ
ービス提供工程とを備えたことを特徴とする。[0010] The service authorization method according to the present invention provides an authentication server that issues a certificate as a certificate for verifying whether a requesting source is an authorized requesting source by a requesting source identifier for identifying a requesting source requesting a service. A certificate issuing step of issuing a certificate according to the above, an information storing step of storing information in an information storage for storing information on a service request source, and a service server receiving a service request from the request source, the request source identifier and A service request including a certificate is received from a request source, and it is determined whether or not a service to the request source is possible based on the request source identifier, the certificate and the information stored in the information storage, and the service is determined. And a service providing step of providing a service when the service can be provided.
【0011】[0011]
【発明の実施の形態】実施の形態1.図1はこの発明の
一例である実施の形態1を示す。図1において、図4と
同じ符号で示したものは、従来と同様のであるため、説
明を省略する。4は、サービスの要求元に関する情報を
要求元ごとに格納する情報格納庫である。予め、情報格
納庫に情報が格納されている。また、情報格納庫への情
報の格納は情報格納工程に該当する。この実施の形態で
は、サービス認可可否判定のための情報を格納してい
る。以下の構成要素について、特に、図4に基づいて説
明した点と異なる点を説明する。従って、明記していな
いは、図4に基づいて説明したものと同様である。1
は、証明証を発行する認証サーバである。また、証明証
を発行する証明証発行工程を実施する。発行する証明証
にサービス認可可否判定のための情報を含まない。3
は、サービスを提供するサービスサーバである。また、
サービスを提供するサービス提供工程を実施する。要求
元識別子を証明証によって検証し、要求元が認証された
要求元である場合には、情報格納庫4より要求元に対応
したサービス認可可否判定のための情報を読み込み、読
み込んだサービス認可可否判定のための情報に基づい
て、要求元へのサービスが可能か否かの判定を行ない、
サービスの提供が可能である場合にサービスを提供す
る。5は、要求元を検証する際に使用する証書となる証
明証である。サービス認可可否判定のための情報は含ま
れない。8は、サービス認可可否判定のための情報であ
る。証明証5に含まれているのではなく、情報格納庫4
に格納されている。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiment 1 FIG. 1 shows a first embodiment which is an example of the present invention. In FIG. 1, components denoted by the same reference numerals as those in FIG. 4 are the same as those in the related art, and thus description thereof will be omitted. Reference numeral 4 denotes an information storage for storing information on service request sources for each request source. Information is stored in the information storage in advance. Storing information in the information storage corresponds to an information storage step. In this embodiment, information for judging service permission is stored. Regarding the following components, points different from the points described based on FIG. 4 will be particularly described. Therefore, what is not specified is the same as that described with reference to FIG. 1
Is an authentication server that issues a certificate. In addition, a certificate issuance step of issuing a certificate is performed. The certificate to be issued does not include the information for judging whether service is authorized. 3
Is a service server that provides services. Also,
Implement a service providing process to provide services. The request source identifier is verified by the certificate, and if the request source is an authenticated request source, information for determining whether the service is authorized is read from the information storage 4 and the read service authorization determination is performed. Based on the information for the, to determine whether the service to the request source is possible,
Providing a service when it is possible. A certificate 5 is a certificate used when verifying the request source. It does not include information for judging service authorization. Reference numeral 8 denotes information for determining whether or not the service is permitted. Information vault 4 instead of certificate 5
Is stored in
【0012】次に図1に基づいて動作を説明する。クレ
イマント2が認証サーバ1から証明証5を受け取るこ
と、及び認証サーバ1が、失効証明証リスト12を生成
し、その失効証明証リスト12をディレクトリ・サーバ
11で格納する点は、従来と同様である。Next, the operation will be described with reference to FIG. The point that the Cramant 2 receives the certificate 5 from the authentication server 1 and that the authentication server 1 generates the revocation certificate list 12 and stores the revocation certificate list 12 in the directory server 11 are the same as in the related art. It is.
【0013】次に、サービスの要求から提供までの動作
を説明する。クレイマント2は、サービス要求6にディ
ジタル署名7を付加し、自己の証明証5とともにサービ
スサーバ3へ渡す。サービス要求を受取ったサービスサ
ーバ3は、サービス要求6がクレイマント2から来たも
のであることを確認する。まず、ディジタル署名7の検
証を証明証5を用いて行う。次に、ディレクトリ・サー
バ11から失効証明証リスト12を取得し、証明証5が
失効していないことも確認する。検証に成功したとする
と、サービスサーバ3はクレイマント2に対しサービス
を提供するか否かの判断を行う。サービスサーバ3は、
情報格納庫4からサービス認可可否判定のための情報8
を取得する。次に、サービスサーバ3は取得したサービ
ス認可可否判定のための情報8に基づいてクレイマント
2に対してサービスを提供するかどうか判定する。サー
ビスの提供ができる場合はサービス9をクレイマント2
に提供し、サービスの提供ができない場合は拒否通知1
0を渡す。このように、情報格納庫4を設けると、クレ
イマント2に関するサービス認可可否判定のための情報
8が変化した場合は、情報格納庫4内の情報を変更すれ
ば充分である。クレイマント2は以前と同じようにディ
ジタル署名7を行い、以前と同じ証明証5をサービスサ
ーバ3に渡すことによって、変更された新しいサービス
認可可否判定のための情報8にしたがって、新たなサー
ビスの提供を受けることができる。Next, an operation from a service request to a provision will be described. The Claymant 2 adds a digital signature 7 to the service request 6 and passes it to the service server 3 together with its own certificate 5. The service server 3 that has received the service request confirms that the service request 6 comes from the clayman 2. First, the digital signature 7 is verified using the certificate 5. Next, the revocation certificate list 12 is obtained from the directory server 11, and it is also confirmed that the certificate 5 has not been revoked. If the verification is successful, the service server 3 determines whether to provide a service to the clayman 2 or not. The service server 3
Information 8 for judging service authorization from information storage 4
To get. Next, the service server 3 determines whether or not to provide the service to the clayman 2 based on the acquired information 8 for service permission determination. If the service can be provided, use Service 9 as Claymant 2
, And refusal notice 1 if service cannot be provided
Pass 0. As described above, if the information storage 4 is provided, if the information 8 for determining whether or not the service is permitted for the clayman 2 changes, it is sufficient to change the information in the information storage 4. The Cramant 2 performs the digital signature 7 as before, and passes the same certificate 5 as before to the service server 3, and according to the changed information 8 for judging the new service authorization, the new service is provided. Can be provided.
【0014】以上のように、あるサービスを要求するク
レイマントと、上記クレイマントに対して証明証を発行
する認証サーバと、上記サービスを提供するサービスサ
ーバが存在し、上記クレイマントがサービスサーバにサ
ービスを要求する場合に、クレイマントが自分自身であ
ることの証明として証明証をサービスサーバに渡すシス
テムにおいて、クレイマントに対するサービス認可可否
判定のための情報を証明証に保持せず、情報格納庫に保
持する方式であることを特徴とする。[0014] As described above, there are a clayman that requests a certain service, an authentication server that issues a certificate to the above-mentioned clayman, and a service server that provides the above-mentioned service. When a service is requested, in a system that passes a certificate to the service server as proof that the claymant is himself, information for judging the service authorization of the claymant is not stored in the certificate, but is stored in the information storage. It is a method of holding.
【0015】実施の形態2.この実施の形態が上記実施
の形態1と異なる点は、失効証明証リストをデイレクト
リ・サーバで格納・管理するのではなく、情報格納庫4
に格納する点である。図2は、この発明の一例である実
施の形態2を示す。13は、認証サーバが発行した証明
証が失効しているか否かの判定する情報である証明証失
効判定のための情報である。情報格納庫4は、サービス
認可可否判定のための情報及び証明証失効判定のための
情報とを格納している。従って、認証サーバ1aは、証
明証が失効した場合、失効証明証リストを作成すること
なく、証明証失効判定のための情報を情報格納庫4へ格
納する。また、サービスサーバ3aは、証明証の失効を
判断する際には、情報格納庫4から証明証失効判定のた
めの情報13を読み込み、読み込んだ証明証失効判定の
ための情報13に基づいてサービス要求に含まれていた
証明証が失効しているかを判定し、上記証明証が失効し
ている場合には、要求元にサービスを提供しないことに
なる。Embodiment 2 This embodiment is different from the first embodiment in that the revocation certificate list is not stored and managed by the directory server, but is stored in the information storage 4.
Is stored. FIG. 2 shows a second embodiment which is an example of the present invention. Reference numeral 13 denotes information for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server has been revoked. The information storage 4 stores information for judging whether service is permitted and information for judging certificate revocation. Therefore, when the certificate is revoked, the authentication server 1a stores information for certificate revocation determination in the information storage 4 without creating a revocation certificate list. Further, when judging the revocation of the certificate, the service server 3a reads the information 13 for the certificate revocation judgment from the information storage 4, and based on the read information 13 for the certificate revocation judgment, reads the service request. It is determined whether the certificate included in the certificate has expired. If the certificate has expired, no service is provided to the request source.
【0016】次に図2に基づいて動作を説明する。図2
において、クレイマント2が認証サーバ1aから証明証
5を受け取る点は従来と同様である。次に、サービスの
要求から提供までの動作を説明する。クレイマント2
は、サービス要求6にディジタル署名7を付し、自分の
証明証5とともにサービスサーバ3aへ渡す。サービス
サーバ3aは、サービス要求6がクレイマント2から来
たものであることを確認する。まず、ディジタル署名7
の検証を証明証5を用いて行う。検証に成功したなら
ば、サービスサーバ3aはサービス認可可否判定のため
の情報8と証明証失効判定のための情報13を情報格納
庫4から取得する。次に、サービスサーバ3aは証明証
失効判定のための情報13で証明証5が失効していない
ことを確認する。さらに、サービスサーバ3aはサービ
ス認可可否判定のための情報8に基づいてクレイマント
2に対してサービスを提供するかどうか判定する。サー
ビスの提供ができる場合はサービス9をクレイマント2
に提供し、サービスの提供ができない場合は拒否通知1
0を渡す。実施の形態1と同様にクレイマント2に関す
るサービス認可可否判定のための情報8が変化した場合
は、情報格納庫4内の当該情報を変更すれば充分であ
る。さらに、この実施の形態では、もし証明証5が失効
した場合でも、図1に示すように認証サーバ1で失効証
明証リスト12を生成してディレクトリ・サーバ11を
介して配布するということを行う必要がない。このよう
な場合には、情報格納庫4内の証明証失効判定のための
情報13を変更しておくだけで済む。証明証失効判定の
ための情報13の変更は、認証サーバ1aが実施するこ
とが考えられるが、これに限られるわけではない。Next, the operation will be described with reference to FIG. FIG.
, The point that the claymant 2 receives the certificate 5 from the authentication server 1a is the same as the conventional one. Next, an operation from a service request to a provision will be described. Clay cloak 2
Attaches a digital signature 7 to the service request 6 and passes it along with its own certificate 5 to the service server 3a. The service server 3a confirms that the service request 6 comes from the clayman 2. First, the digital signature 7
Is verified using the certificate 5. If the verification is successful, the service server 3a acquires from the information storage 4 the information 8 for judging whether the service is authorized and the information 13 for judging the certificate revocation. Next, the service server 3a confirms that the certificate 5 has not been revoked by the information 13 for certificate revocation determination. Further, the service server 3a determines whether or not to provide a service to the clayman 2 based on the information 8 for determining whether or not to permit the service. If the service can be provided, use Service 9 as Claymant 2
, And refusal notice 1 if service cannot be provided
Pass 0. As in the first embodiment, when the information 8 for determining whether or not the service is permitted for the claymant 2 has changed, it is sufficient to change the information in the information storage 4. Further, in this embodiment, even if the certificate 5 is revoked, the revocation certificate list 12 is generated by the authentication server 1 and distributed via the directory server 11 as shown in FIG. No need. In such a case, it is only necessary to change the information 13 for the certificate revocation determination in the information storage 4. The change of the information 13 for the certificate revocation determination may be performed by the authentication server 1a, but is not limited thereto.
【0017】実施の形態3.この実施の形態が上記実施
の形態2と異なる点は、証明証失効判定のための情報1
3を情報格納庫4に格納するのではなく、新たに設けた
失効証明証格納庫に格納する点である。図3は、この発
明の一例である実施の形態3を示す。14は、認証サー
バ1bが発行した証明証が失効しているか否かの判定す
る情報である証明証失効判定のための情報13を格納す
る失効証明証格納庫である。この実施の形態では、情報
格納庫4は、サービス認可可否判定のための情報を格納
している。従って、認証サーバ1bは、証明証が失効し
た場合、失効証明証リストを作成することなく、証明証
失効判定のための情報を失効証明証格納庫14へ格納す
る。また、サービスサーバ3bは、証明証の失効を判断
する際には、失効証明証格納庫14から証明証失効判定
のための情報13を読み込み、読み込んだ証明証失効判
定のための情報13に基づいてサービス要求に含まれて
いた証明証が失効しているかを判定し、上記証明証が失
効している場合には、要求元にサービスを提供しないこ
とになる。Embodiment 3 This embodiment is different from the second embodiment in that information 1 for certificate revocation determination is used.
3 is not stored in the information storage 4 but stored in a newly provided revocation certificate storage. FIG. 3 shows a third embodiment which is an example of the present invention. A revocation certificate storage 14 stores information 13 for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server 1b has been revoked. In this embodiment, the information storage 4 stores information for judging whether service is permitted. Therefore, when the certificate is revoked, the authentication server 1b stores the information for certificate revocation determination in the revocation certificate storage 14 without creating a revocation certificate list. Further, when judging the revocation of the certificate, the service server 3b reads the information 13 for the certificate revocation judgment from the revocation certificate storage 14 and based on the read information 13 for the certificate revocation judgment. It is determined whether the certificate included in the service request has expired, and if the certificate has expired, no service is provided to the request source.
【0018】次に、図3に基づいて動作を説明する。図
3において、クレイマント2はサービス要求6をサービ
スサーバ3bに渡すに先立って認証サーバ1bから証明
証5を受け取る。サービスの要求から提供までの動作で
は、サービスサーバ3bが、サービスの提供するか否か
を判断する動作は、証明証の失効を判断する際に、失効
証明証格納庫14から証明証失効判定のための情報13
を読み込む点が実施の形態2と異なる。従って、証明証
5が失効した場合は失効証明証格納庫14内の証明証失
効判定のための情報13を変更しておくだけで済む。失
効証明証格納庫14を情報格納庫4と別にすることで、
証明証失効判定のための情報13とサービス認可可否判
定のための情報8を独立に管理することができる。Next, the operation will be described with reference to FIG. In FIG. 3, the claymant 2 receives the certificate 5 from the authentication server 1b before passing the service request 6 to the service server 3b. In the operation from the service request to the provision of the service, the operation of the service server 3b to determine whether or not to provide the service is performed when the certificate is revoked. Information 13
Is different from the second embodiment. Therefore, when the certificate 5 is revoked, it is only necessary to change the information 13 for the certificate revocation determination in the revoked certificate storage 14. By separating the revocation certificate vault 14 from the information vault 4,
The information 13 for the certificate revocation determination and the information 8 for the service permission determination can be managed independently.
【0019】実施の形態4.上記実施の形態では、情報
格納庫4または失効証明証格納庫14という情報を格納
する格納庫を新たに設置し、サービス認可可否判定のた
めの情報8及び証明証失効判定のための情報13を新た
に設置した格納庫に格納する場合を示したが、上記格納
庫に他に格納庫を設置することも考えられる。さらに、
要求元に関する情報であれば、上記のサービス認可可否
判定のための情報8及び証明証失効判定のための情報1
3以外の情報を上記格納庫に格納することも可能であ
る。Embodiment 4 In the above-mentioned embodiment, a new storage for storing information called the information storage 4 or the revocation certificate storage 14 is newly installed, and the information 8 for judging whether the service is authorized and the information 13 for judging the certificate revocation are newly installed. Although the case where it stores in the hangar shown was shown, it is possible to install another hangar in the above-mentioned hangar. further,
If the information is related to the request source, the information 8 for determining whether the service is authorized and the information 1 for determining whether the certificate has been revoked are described above.
It is also possible to store information other than 3 in the storage.
【0020】[0020]
【発明の効果】この発明に係るサービス認可方式及び方
法によれば、クレイマントに対するサービス認可可否判
定のための情報が変化した場合でも、情報格納庫内の当
該情報を変更するだけで済み、認証サーバによる新たな
証明証の発行やクレイマントがそれを受け取って格納す
る操作が不要となる。従って、システム全体として証明
証の管理の煩雑さがなくなり、サービス認可可否判定の
情報の変化に柔軟に対応できるようになる。According to the service authorization method and method according to the present invention, even if the information for judging whether or not the service authorization for the clayman is changed, only the information in the information storage needs to be changed. It is not necessary to issue a new certificate or to have Claymant receive and store it. Therefore, the management of the certificate is not complicated in the entire system, and it is possible to flexibly cope with a change in the information of the service authorization availability determination.
【0021】また、クレイマントの証明証の失効情報を
証明証失効判定のための情報として、上記の情報格納庫
に格納するか、または、失効証明証格納庫に格納するこ
とにより、失効証明証リストの配布経路、配布タイミン
グ、ディレクトリ・サーバの配置に気をつけなくても済
むようにすることができるようになる。By storing the revocation information of the certificate of Claymant as information for determining the revocation of a certificate in the above-mentioned information storage or by storing it in the revocation certificate storage, It becomes possible to avoid having to pay attention to the distribution route, the distribution timing, and the arrangement of the directory server.
【図1】 この発明の一例である実施の形態1を示す図
である。FIG. 1 is a diagram showing a first embodiment which is an example of the present invention.
【図2】 この発明の一例である実施の形態2を示す図
である。FIG. 2 is a diagram showing a second embodiment which is an example of the present invention;
【図3】 この発明の一例である実施の形態3を示す図
である。FIG. 3 is a diagram showing a third embodiment which is an example of the present invention;
【図4】 従来の技術に対応する実施の形態を示す図で
ある。FIG. 4 is a diagram showing an embodiment corresponding to a conventional technique.
1a,1b,1p 認証サーバ、2 クレイマント、
3,3a,3b,3pサービスサーバ、4 情報格納
庫、5,5p クレイマントの証明証、6 サービス要
求、7 クレイマントのサービス要求に付したディジタ
ル署名、8,8pサービス認可可否判定のための情報、
9 サービス、10 サービスの拒否通知、11 ディ
レクトリ・サーバ、12 失効証明証リスト、13 証
明証失効判定のための情報、14 失効証明証格納庫1a, 1b, 1p authentication server, 2 Claymant,
3, 3a, 3b, 3p service server, 4 information storage, 5, 5p Cramant certificate, 6 service request, 7 digital signature attached to 7 Clamant service request, information for 8,8p service authorization judgment ,
9 service, 10 service refusal notice, 11 directory server, 12 revocation certificate list, 13 information for certificate revocation judgment, 14 revocation certificate storage
Claims (5)
求元識別子によって要求元を検証する際に使用する証書
となる証明証を発行する認証サーバと、 サービスの要求元に関する情報を格納する情報格納庫
と、 要求元識別子と上記証明証とを含むサービス要求を要求
元から受け付け、要求元識別子と上記証明証と上記情報
格納庫に格納された情報とに基づいて要求元へのサービ
スが可能か否かの判定を行ない、サービスの提供が可能
である場合にサービスを提供するサービスサーバとを備
えたことを特徴とするサービス認可方式。An authentication server for issuing a certificate serving as a certificate used when verifying a request source by a request source identifier for identifying a request source of a service, and an information storage for storing information on a service request source. Receiving a service request including a requester identifier and the certificate from the requester, and determining whether a service to the requester is possible based on the requester identifier, the certificate, and the information stored in the information storage. And a service server for providing a service when the service can be provided.
の提供が可能であるか否かの判断をする情報であるサー
ビス認可可否判定のための情報を要求元毎に格納し、 上記サービスサーバは、上記要求元識別子を上記証明証
によって検証し、要求元が認証された要求元ある場合に
は、上記情報格納庫より要求元に対応したサービス認可
可否判定のための情報を読み込み、読み込んだサービス
認可可否判定のための情報に基づいて、要求元へのサー
ビスが可能か否かの判定を行ない、サービスの提供が可
能である場合にサービスを提供することを特徴とする請
求項1記載のサービス認可方式。2. The information storage stores, for each request source, information for judging whether or not the requested service can be provided, which is information for judging whether or not the requested service can be provided. The request source identifier is verified by the certificate, and if the request source is an authenticated request source, information for judging service authorization corresponding to the request source is read from the information storage, and the read service authorization is read. 2. The service authorization according to claim 1, wherein it is determined whether or not the service to the request source is possible based on the information for determining whether or not the service is available, and the service is provided when the service can be provided. method.
ーバが発行した証明証が失効しているか否かを判定する
情報である証明証失効判定のための情報を格納し、 上記サービスサーバは、さらに、上記情報格納庫より証
明証失効判定のための情報を読み込み、読み込んだ証明
証失効判定のための情報に基づいてサービス要求に含ま
れていた証明証が失効しているかを判定し、上記証明証
が失効している場合には、要求元にサービスを提供しな
いことを特徴とする請求項1または2記載のサービス認
可方式。3. The information storage further stores information for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server has been revoked. Further, information for certificate revocation determination is read from the information storage, and based on the read information for certificate revocation determination, it is determined whether the certificate included in the service request has been revoked, 3. The service authorization method according to claim 1, wherein the service is not provided to the requester when the certificate has expired.
認証サーバが発行した証明証が失効しているか否かの判
定する情報である証明証失効判定のための情報を格納す
る失効証明証格納庫を備え、 上記サービスサーバは、さらに、上記失効証明証格納庫
より証明証失効判定のための情報を読み込み、読み込ん
だ証明証失効判定のための情報に基づいてサービス要求
に含まれていた証明証が失効しているかを判定し、上記
証明証が失効している場合には、要求元にサービスを提
供しないことを特徴とする請求項2記載のサービス認可
方式。4. The service authorization system further includes a revocation certificate storage for storing information for certificate revocation determination, which is information for determining whether a certificate issued by the authentication server has been revoked. The service server further reads information for certificate revocation determination from the revocation certificate storage, and revoked the certificate included in the service request based on the read certificate revocation determination information. 3. The service authorization system according to claim 2, wherein it is determined whether the certificate has been expired, and if the certificate has expired, no service is provided to the request source.
求元識別子によって、要求元が許可された要求元である
かを検証する証書としての証明証を発行する認証サーバ
によって証明証を発行する証明証発行工程と、 サービスの要求元に関する情報を格納する情報格納庫へ
情報を格納する情報格納工程と、 要求元からのサービス要求を受け付けるサービスサーバ
によって、要求元識別子と上記証明証とを含むサービス
要求を要求元からの受け付け、要求元識別子と上記証明
証と上記情報格納庫に格納された情報とに基づいて要求
元へのサービスが可能か否かの判定を行ない、サービス
の提供が可能である場合にサービスを提供するサービス
提供工程とを備えたことを特徴とするサービス認可方
法。5. A certificate that issues a certificate by an authentication server that issues a certificate as a certificate for verifying whether a request source is an authorized request source by a request source identifier that identifies a request source that requests a service. A service request including a request source identifier and the certificate by a service server that receives the service request from the request source; and a service server that receives the service request from the request source. Is received from the requestor, and it is determined whether or not the service to the requester is possible based on the requester identifier, the certificate, and the information stored in the information storage, and the service can be provided. A service providing step of providing a service to the service.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049456A JP2000250858A (en) | 1999-02-26 | 1999-02-26 | System and method for approving service |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049456A JP2000250858A (en) | 1999-02-26 | 1999-02-26 | System and method for approving service |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000250858A true JP2000250858A (en) | 2000-09-14 |
Family
ID=12831653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11049456A Pending JP2000250858A (en) | 1999-02-26 | 1999-02-26 | System and method for approving service |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000250858A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007506365A (en) * | 2003-09-19 | 2007-03-15 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| JP2008011098A (en) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | Attribute information verification method, revocation information generating apparatus, service provision source apparatus, and attribute information verification system |
-
1999
- 1999-02-26 JP JP11049456A patent/JP2000250858A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007506365A (en) * | 2003-09-19 | 2007-03-15 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| JP4699368B2 (en) * | 2003-09-19 | 2011-06-08 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| US8321664B2 (en) | 2003-09-19 | 2012-11-27 | Ntt Docomo, Inc. | Method and apparatus for efficient certificate revocation |
| JP2008011098A (en) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | Attribute information verification method, revocation information generating apparatus, service provision source apparatus, and attribute information verification system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2457291C (en) | Issuing a publisher use license off-line in a digital rights management (drm) system | |
| RU2352985C2 (en) | Method and device for authorisation of operations with content | |
| US7243238B2 (en) | Person authentication system, person authentication method, information processing apparatus, and program providing medium | |
| US6324645B1 (en) | Risk management for public key management infrastructure using digital certificates | |
| EP1455479B1 (en) | Enrolling/sub-enrolling a digital rights management (DRM) server into a DRM architecture | |
| US7310732B2 (en) | Content distribution system authenticating a user based on an identification certificate identified in a secure container | |
| US7484246B2 (en) | Content distribution system, content distribution method, information processing apparatus, and program providing medium | |
| JP4177040B2 (en) | Content utilization apparatus, network system, and license information acquisition method | |
| US7287158B2 (en) | Person authentication system, person authentication method, information processing apparatus, and program providing medium | |
| US7096363B2 (en) | Person identification certificate link system, information processing apparatus, information processing method, and program providing medium | |
| US20020026427A1 (en) | Person authentication application data processing system, person authentication application data processing method, information processing apparatus, and program providing medium | |
| US20020056747A1 (en) | Person authentication system, person authentication method, information processing apparatus, and program providing medium | |
| US20020069361A1 (en) | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium | |
| US20020026582A1 (en) | Person authentication system, person authentication method and program providing medium | |
| JP2001265694A (en) | Supporting method for communication channel setting and computer readable recording medium for realizing the same | |
| JP2004056794A (en) | Region-based reliance model for right management of contents | |
| JP2003296281A (en) | Method and system for access control | |
| WO2002060148A2 (en) | Efficient revocation of registration authorities | |
| KR102410006B1 (en) | Method for creating decentralized identity able to manage user authority and system for managing user authority using the same | |
| US20020027494A1 (en) | Person authentication system, person authentication method, and program providing medium | |
| US8205254B2 (en) | System for controlling write access to an LDAP directory | |
| JPH05298174A (en) | Remote file access system | |
| CN110602023A (en) | Personal information safety control method, device and computer readable storage medium | |
| JP2000250858A (en) | System and method for approving service | |
| JP7367692B2 (en) | Apparatus, request apparatus, method, and program |