JP2002215585A - 個人証明書サブジェクト名処理装置および方法 - Google Patents

個人証明書サブジェクト名処理装置および方法

Info

Publication number
JP2002215585A
JP2002215585A JP2001315276A JP2001315276A JP2002215585A JP 2002215585 A JP2002215585 A JP 2002215585A JP 2001315276 A JP2001315276 A JP 2001315276A JP 2001315276 A JP2001315276 A JP 2001315276A JP 2002215585 A JP2002215585 A JP 2002215585A
Authority
JP
Japan
Prior art keywords
personal certificate
name
certificate
subject name
personal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001315276A
Other languages
English (en)
Inventor
Tatsu Inada
龍 稲田
Masahito Kurosaki
雅人 黒崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2001315276A priority Critical patent/JP2002215585A/ja
Priority to US09/987,418 priority patent/US7007091B2/en
Publication of JP2002215585A publication Critical patent/JP2002215585A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 証明書のサブジェクト名を利用して簡易にア
クセス制御等を行う。 【解決手段】 認証部151は認証手続をクライアント
端末201およびウェブサーバ101間で実現する。認
証部151は、この認証手続の際に、クライアント端末
から証明書を受け取り、そのサブジェクト名がエレメン
ト抽出部152に供給される。エレメント抽出部152
はサブジェクト名の階層構造を辿って所定のエレメント
を抽出する。権限判別部153は抽出したエレメントの
種類、値に基づいて文書のアクセス権限を決定し、これ
をセッション番号に割り当てる。権限登録部154はセ
ッション番号と権限との関係を登録し以降、セッション
が継続する間、このセッション番号に基づいてアクセス
権限が許容される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、個人証明書(以
下では単に証明書と呼ぶこともある)のサブジェクト名
を利用してアクセスを制御する技術に関する。
【0002】
【従来の技術】ITU−T勧告X.509はディレクト
リモデル認証を規定しており、このディレクトリモデル
認証に準拠して個人証明書を発行局(認証局)から発行
してもらう。発行局は申請人から証明書の発行に必要な
情報(名前、所属、公開鍵等)を受け取り所定のポリシ
ーに従い証明書を発行し、証明書を所定の証明書格納部
に保存する。申請人は証明書格納部から証明書を取り出
すことができる。
【0003】ところで、個人証明書のサブジェクト名を
見ただけでは、その証明書の保持者がどういう権限を有
しており、どういう性質をもっているか不明である。保
持者が有している権限や性質を知るために種々のアプロ
ーチが採用されている。例えば、証明書のサブジェクト
名と権限とをデータベースに登録し、証明書を用いたア
クセスがあるたびにデータベースに問合せる。しかしこ
の方法は効率の面で問題があった。
【0004】図10は、上述の従来のアプローチを実現
するシステム例を示している。この図において、ユーザ
はクライアント端末500を用いてネットワーク(例え
ばインターネット)501を介してウェブ・サーバ50
2にアクセスする。このアクセスはSSL手法を用いて
行われ、クライアント端末500およびウェブ・サーバ
502の間で証明書を交換し、認証を行い、この後、ネ
ゴシエーションにより決定された慣用暗号によりデータ
を暗号化して送受信する。ウェブ・サーバ502は、ク
ライアント端末500から送られた証明書のサブジェク
ト名(証明書に記載されている被認証者の識別子)を用
いてデータベースサーバ(ディレクトリサービス)50
3に問い合わせクライアント端末500のユーザがアク
セス権限を有するかどうかを知る。例えば、アクセス対
象の権限レベル(例えば0、1、2等)とサブジェクト
名を引数としてデータベースサーバ503に問い合わ
せ、当該サブジェクト名のユーザが当該権限レベルにア
クセスできるかどうかを応答として受け取る。データベ
ースサーバ503は、ユーザ(サブジェクト名)と許容
されている権限レベルとの関係を記憶保持している。も
ちろん、サブジェクト名を引数として許容権限レベルを
受け取ってウェブ・サーバ502側においてアクセス対
象ファイルがその許容権限レベル以内かを判別するよう
にすることもあるし、サブジェクト名とアクセス対象フ
ァイル名(ディレクトリ名)をデータベースサーバ50
3に引き渡して照会を行ってもよい。
【0005】以上のような従来のアプローチでは、アク
セスのたびにネットワーク501を介してデータベース
サーバ503に権限の照会を行うので、計算機コストを
消費することになる。また、ネットワーク501に照会
データがそのまま送信されるのでセキュリティ上問題が
ないわけではなかった。
【0006】また、上述の問題を回避するためにデータ
ベースサーバ503の権限情報のセットまたはサブセッ
トのコピー(データベースサーバ)をウェブ・サーバ5
00のサイトにローカルに配置することも考えられる。
しかし、このようにすると、データベースサーバ503
およびそのコピーとの間で一貫性を維持しなければなら
ず、保守管理等が煩雑となる。また、各サイトにデータ
ベースサーバを配置するとコストアップになる。
【0007】
【発明が解決する課題】この発明は、以上の事情を考慮
してなされたものであり、証明書のサブジェクト名から
直ちにその権限や性質を知ることができ、これを用いて
簡易にアクセス制御等を行える技術を提供することを目
的としている。
【0008】
【課題を解決するための手段】この発明によれば、上述
の目的を達成するために、特許請求の範囲に記載のとお
りの構成を採用している。ここでは、発明を詳細に説明
するのに先だって特許請求の範囲の記載について補充的
に説明を行っておく。
【0009】この発明の一側面によれば、上述の目的を
達成するために、個人証明書に含まれるサブジェクト名
を処理する個人証明書サブジェクト名処理装置に:個人
証明書を受信する手段と;受信した個人証明書を電子署
名技術に基づいて検証する手段と;受信した個人証明書
に含まれるサブジェクト名の階層中の少なくとも1つの
所定のエレメントを抽出する手段と;上記検証が成功し
たときに、上記所定のエレメントの値に基づいて、上記
個人証明書の保持者のアクセス権限を決定する手段とを
設けるようにしている。
【0010】この構成においては、個人証明書を認証し
てそのサブジェクト名のエレメントの真正を確認し、こ
の真正なエレメントの値に基づいてアクセス権限を判別
することができ、ディレクトリサービス等のデータベー
スにアクセスする必要がなくなる。
【0011】この発明の他の側面によれば、上述の目的
を達成するために、ウェブ・サーバ・コンピュータ・シ
ステムに:個人証明書を受信する手段と;受信した個人
証明書を電子署名技術に基づいて検証する手段と;受信
した個人証明書に含まれるサブジェクト名の階層中の少
なくとも1つの所定のエレメントを抽出する手段と;受
信した個人証明書の検証が成功したときに、上記所定の
エレメントの値に基づいて、上記個人証明書の保持者の
アクセス権限を決定する手段とを設けるようにしてい
る。
【0012】この構成においても、ディレクトリサービ
ス等のデータベースを利用することなく簡易にアクセス
権限を判別することができる。
【0013】ウェブ・サーバ・コンピュータ・システム
はウェブ・サーバ単体で構成されてもよく、ウェブ・サ
ーバとアプリケーション・サーバとで構成されてもよ
い。アクセス権限の判別を行うために各種の機能はウェ
ブサーバの認証機能やCGI(コモンゲートインタフェ
ース)プログラムや、アプリケーション・サーバにより
実現される。
【0014】この発明のさらに他の側面によれば、上述
の目的を達成するために、サブジェクト名の所定のエレ
メントが保持者の所属組織および個人ID以外の属性を
表す個人証明書を受信して当該サブジェクト名を処理す
る個人証明書サブジェクト名処理装置に:上記個人証明
書を受信する手段と;受信した個人証明書に含まれるサ
ブジェクト名の階層中の所定のエレメントを抽出する手
段と;上記所定のエレメントの値が表す、保持者の所属
組織および個人ID以外の属性に基づいて、アクセス権
限を決定する手段とを設けるようにしている。
【0015】この構成においては、ディレクトリサービ
ス等のデータベースを利用することなく簡易にアクセス
権限を判別することができる。とくにサブジェクト名の
オーガニゼーショナル・ユニット・ネームを利用するこ
とにより柔軟にアクセス権限情報を規定できる。
【0016】なお、この発明は装置やシステムとして実
現できるのみでなく、方法としても実現できる。またこ
のような方法の一部をコンピュータプログラムとして実
現してもよい。
【0017】この発明の上述の各側面およびこの発明の
他の側面は特許請求の範囲に記載され、以下、実施例を
用いて詳細に説明される。
【0018】
【発明の実施の形態】以下、この発明を情報アクセスシ
ステムに適用した実施例について説明する。この実施例
は、幹事会社と協力会社とが所定のプロジェクト名の下
で協力して事業を行うことを前提とし、幹事会社および
協力会社の従業者等が幹事会社の情報にアクセスできる
ようにするものである。情報のアクセスには個人証明書
を利用する。幹事会社は、個人証明書の発行にイニシャ
ティブを持つ会社(事業体)である。もちろん、この発
明は、このような環境下のみでなく、情報をアクセスす
る際に権限を判別する種々の環境下で適用可能である。
上述の幹事会社ではなく、証明書の発行を業とする認証
局が、証明書を発行するような環境下でも適用可能であ
る。
【0019】図1は、この実施例の情報アクセスシステ
ムを示しており、この図において、証明書発行センタ
(幹事会社サイト)10、協力会社サイト20等がイン
ターネット30に接続されている。ここでは、便宜上、
証明書発行センタ10は、幹事会社の社内に設けられて
いるものとする。協力会社サイト20は、構内ネットワ
ーク網(LAN)等によりイントラネットを構築してお
り、各イントラネットにクライアント端末201が接続
されている。
【0020】この例において、証明書発行センタ10
は、協力会社サイト20のクライアント端末201等か
らの個人証明書発行申請を受け取って個人証明書の発行
処理を行うものである。個人証明書はITU−T勧告
X.509に準拠するものであり、図2に示すようなも
のである。
【0021】証明書発行センタ10は、ウェブ・サーバ
101、アプリケーション・サーバ102、データベー
ス管理システム103、メールサーバ104、クライア
ント端末105、ルータ106等を有している。これら
コンピュータリソースはLAN107に接続されてい
る。
【0022】ウェブ・サーバ101は、HTTP(ハイ
パーテキストトランスファプロトコル)プロトコルに従
ってクライアント(クライアント端末201、105)
から要求を受け取り、要求に応じたHTML文書(XM
L文書)をクライアントに転送する。アプリケーション
・サーバ102は、ウェブ・サーバ101を介してクラ
イアントから送られたプログラム名および引数に基づい
て種々の処理を実行するものである。アプリケーション
・サーバ102にかえてウェブ・サーバ101のCGI
(コモンゲートインタフェース)のプログラム等を用い
てもよい。データベース管理システム103は、証明書
発行に関連する種々のデータベースを管理するものであ
る。データベースは、例えば、証明書データベース10
3a等である。
【0023】データベース管理システム103が管理す
る証明書データベース103aに保持される証明書情報
の簡略化した例を図3に示す。ここでは、証明書情報に
ついて説明する前に、この例で用いるDN(ディスティ
ングイシュトネーム、以下サブジェクト名とも呼ぶ。
X.501)について説明しておく。この例では、サブ
ジェクト名は、カントリネーム(C)、オーガニゼーシ
ョンネーム(O)、第1オーガニゼーショナルユニット
ネーム(OU1)、第2オーガニゼーショナルユニット
ネーム(OU2)、第3オーガニゼーショナルユニット
ネーム(OU3)、コモンネーム(CN)により規定さ
れる。幹事会社以外の申請者に対してはOU1として例
えば「Partner」等が記述される。幹事会社の社
員については、OU1を省略したり、OU1として所定
の部門名が記述される。OU2は、プロジェクト名が記
述される。ただしプロジェクトと関係がない場合にはO
U2は省略される。OU3は、協力会社の会社名が記述
される。もちろん、幹事会社の内部の者(社員等)に関
してはOU3は省略される。このようにして、サブジェ
クト名を用いてプロジェクトおよび協力会社を記述する
ことができる。なお、OUのサフィックスは、OUの属
性に対応して用いており、例えば部門(社外の組織)を
あらわすOU1は、部門の階層に応じてさらに階層的な
構成を採用してもよい。例えば、「jinji」(人事
部)、「jinji1」(第1人事課)等、OU1を複
数規定できる。
【0024】なお、プロジェクトとは一括りに管理され
る業務や活動であり、ここでは便宜上、幹事会社と他の
協力会社との間で行われる業務を指す。プロジェクトと
の関連で協力会社が登録される。もちろん、幹事会社内
のプロジェクトや非業務的な活動等を「プロジェクト」
として扱ってもよい。このようにすることにより組織構
成から離れて証明書を発行することが可能となる。
【0025】サブジェクト名の具体例を説明する。
【0026】(1)具体例1 [C=JP,O=XYZ Co.,CN=1234 R
yu Inada] この例では、保持者がXYZ株式会社の社員であり、社
員番号が1234で、指名が「Ryu Inada」で
あることがわかる。
【0027】(2)具体例2 [C=JP,O=XYZ Co.,OU=Partne
r,OU=Xnet,OU=ABC Co.,CN=1
234 001 Taro Fuji] この例では、保持者は協力会社のABC株式会社の社員
であり、プロジェクトXnetに参画し、その業務目的
が調達(コモンネームの001が調達を意味する)であ
り、所属会社の社員番号が1234で、氏名が「Tar
o Fuji」であることがわかる。
【0028】(3)具体例3 [C=JP,O=XYZ Co.,OU=Partne
r,OU=Xnet,CN=1234 Hanako
Fuji] この例では、保持者が派遣社員であり、その派遣社員番
号が1234であり、氏名が「Hanako Fuj
i」であることを示す。協力会社名あるいはプロジェク
ト名がないことから派遣社員と判断することができる。
【0029】図1の説明に戻る。データベース管理シス
テム103が管理する証明書データベース103aは、
図3に示すように、証明書情報を保持している。図3に
示すように、サブジェクト名は(C,O,OU1,OU
2,OU3,CN)であり、コモンネームCNは、例え
ばCN=12345 001 Taro Yamada
である。「12345」は協力会社ABC内の一意の識
別子例えば社員番号である。「001」は幹事会社での
業務の種別を示すIDである(例えば、調達業務、試作
業務)。「TaroYamada]は申請者の氏名であ
る。証明書データベース103aは証明書ID、サブジ
ェクト名(C,O,OU1,OU2,OU3,CN)、
有効期限等を保持している。なお、証明書は、サブジェ
クト名、発行者名、公開鍵、発行者署名等を含むもので
ある。
【0030】ウェブ・サーバ101、アプリケーション
・サーバ102、データベース管理システム103を用
いて具体的な証明書発行処理の機能が実現される。クラ
イアントはウェブ・ベースで証明書発行システムの各種
の機能を利用できる。
【0031】メールサーバ104はSMTP(シンプル
メールトランスファプロトコル)デーモン等を実行する
ものであり、メールの配送を行なう。
【0032】クライアント端末105は、ウェブ・ブラ
ウザを具備し、証明書発行センタ(幹事会社)10内で
証明書発行センタ10のサービスの提供を受ける。
【0033】クライアント端末201は、協力会社サイ
ト20に配置されたパーソナルコンピュータ、ワークス
テーション等であり、ウェブ・ブラウザを実装してい
る。クライアント端末201は、証明書発行センタ10
が提供する証明書発行システムにアクセスし、雛型登録
(会社登録)、個人証明書発行申請等を行なうことがで
きる。証明書発行センタ10はインターネット30上に
公開されているため、適宜ファイヤーウォール等のセキ
ュリティ機構が設けられることが望ましい。証明書の発
行自体はこの発明と直接には関係がないので、詳細な説
明は省略する。通常の証明書発行所理を採用できること
はもちろんである。
【0034】このような証明書発行センタ10を用いて
証明書の発行を申請し、申請が承認され、証明書が発行
される。申請者は、証明書IDを通知され、ウェブ・ベ
ースでこれを入力して証明書を取得する。
【0035】つぎに証明書を利用したアクセス制御につ
いて説明する。
【0036】図4はアクセス制御を行う機構を模式的に
示すものである。この機構はウェブ・サーバ101、ア
プリケーション・サーバ102により実現される。もち
ろん、ウェブ・サーバ101のCGIプログラムや、J
AVAサーブレット(商標)等を用いてアプリケーショ
ン・サーバ102に代替させることができる。
【0037】図4において、セクセス制御機構は、ルー
ト証明書保持部150、認証部151、エレメント抽出
部152、権限判別部153、権限登録部154、セッ
ション管理部155等を含んで構成される。この例で
は、ウェブ・サーバ101が、ルート証明書保持部15
0および認証部151を構成する。そして、アプリケー
ション・サーバ102がエレメント抽出部152、権限
判別部153、権限登録部154、セッション管理部1
55を構成する。
【0038】認証部151は図5に示すような認証手続
をクライアント端末およびウェブ・サーバ101間で実
現する。図5の認証手続は通常のSSL/TLSコネク
ション要求時にウェブ・サーバ101で実行される認証
手続であり、図から明らかであるのでとくに説明は行わ
ない。認証部151は、この認証手続の際に、クライア
ント端末から証明書を受け取る。この証明書は図5に示
す認証手続に利用されるとともに、そのサブジェクト名
がエレメント抽出部152に供給される。認証部151
は、ルート証明書保持部150に保持されているルート
証明書の公開鍵を用いて、クライアント端末から受け取
った証明書の署名(図2参照)を検証する。検証が失敗
したときにはコネクションは拒否される。検証が成功す
ると、セッション番号(セッションIDともいう)が割
り当てられ、アプリケーション・サーバ105のセッシ
ョン管理部155によりセッション変数が記憶管理され
る管理される。
【0039】エレメント抽出部152はサブジェクト名
の階層構造を辿って所定のエレメントを抽出する。この
例では、OU1が「Partner」であり、OU3に
会社名がある場合に、OU2のプロジェクト名、OU3
の会社名、CNの業務種別コード(例えば「001」)
を抽出する。
【0040】権限判別部153は図6に示すような区別
に従って文書のアクセス権限を決定し、これをセッショ
ン番号に割り当てる。図6に示す区別は例えば図7に示
すようなテーブルで実装可能であり、権限判別部153
がこのようなテーブルを参照して、アクセス可能なファ
イルやディレクトリを判別する。権限登録部154はセ
ッション番号と権限(権限レベルやアクセス可能なファ
イル名/ディレクトリ名)との関係をセッション管理部
155に登録する。例えば、セッション管理部155の
データベース(図示しない)に図8に示すように登録す
る。以降、セッションが継続する間、このセッション番
号に基づいてアクセス権限が許容される。
【0041】なお、以上の認証手続や権限制御は、証明
書発行センタ(幹事会社サイト)10のウェブ・サーバ
101との間でのみ可能なわけではなく、他のウェブ・
サーバとの間でも可能であり、また、同様の認証手続や
権限制御をその他種々のサーバとの間で実行できること
はもちろんである。
【0042】上述の実施例では、証明書発行センタ10
が幹事会社サイトに設けられるようにしたが、図9に示
すように、証明書発行センタ10と幹事会社サイト40
とを個別に設けてもよいことはもちろんである。図9に
示す例では、証明書発行の機能を証明書発行センタ10
に割り当て、ウェブベースでサービスを行う機能を幹事
会社サイト40に設けている。幹事会社サイト40には
上述実施例と同様な権限制御をウェブ・サーバ101で
実行する。図9の例ではウェブ・サーバ101自体が認
証部151およびルート証明書保持部150を構成し、
ウェブ・サーバ101のCGIプログラムがエレメント
抽出部152、権限判別部153、権限登録部154、
セッション管理部155を構成している。CGIプログ
ラムでなくJAVAサーブレット等を用いてもよい。も
ちろん、図1に示すようなアプリケーション・サーバを
用いてもよい。
【0043】図9においては図1と対応する箇所に対応
する符号を付し、説明を繰り返さない。
【0044】また、上述では、幹事会社と協力会社とが
協力してプロジェクトを行う環境を例に挙げて説明を行
ったが、任意の形態のサーバとクライアントとの間の権
限制御を同様に行えることはもちろんである。
【0045】以上説明したようにこの発明によれば個人
証明書のサブジェクト名を利用して簡易に保持者の権限
や性質を判別でき、簡易にアクセス制御を行うことがで
きる。
【0046】すなわち、従来ディレクトリサービスサー
バ(データベースサーバ)で管理していたアクセス制限
に関する情報を、サブジェクト名の中に、そのオーガニ
ゼーショナル・ユニット・ネームやコモンネームの一部
として埋め込み、その内容の真正を証明書の署名により
確認した上で利用させることができ、ディレクトリサー
バ等を用いることなくアクセス制限の情報をサーバに供
給することが可能になる。サーバ側では、サブジェクト
名に埋め込まれた情報と権限との関係を記述したテーブ
ル等を保持するだけで簡易にアクセス権限を知ることが
できる。
【0047】この結果、ディレクトリサーバを用いてア
クセス制限を行っていた従来システムの欠点を解消する
ことができる。すなわち、サブジェクト名や権限レベル
がネットワーク(例えばインターネット)上を行き交う
ことがなくなり、また、ディレクトリサーバ等のコピー
を各サーバのサイトに配置する必要もなくなる。
【0048】なお、この発明は上述の実施例に限定され
るものではなくその趣旨を逸脱しない範囲で種々変更が
可能である。例えば、上述例では、コモンネームに業務
種別のコードを含ませたが、所定階層のオーガニゼーシ
ョナル・ユニット・ネームに含ませても良い。また、こ
の発明のサブジェクト名の構成をアクセス制御以外の用
途に用いることもできることは明らかである。
【0049】
【発明の効果】以上説明したように、この発明によれ
ば、個人証明書を用いて簡易にアクセス制御等を行うこ
とができる。
【図面の簡単な説明】
【図1】 この発明の実施例を全体として示すシステム
図である。
【図2】 上述の実施例で用いる個人証明書を説明する
図である。
【図3】 上述実施例の証明書データベースを説明する
図である。
【図4】 上述実施例の申請者権限の制御を模式的に説
明するブロック図である。
【図5】 上述実施例の認証手続を説明する図である。
【図6】 上述実施例の権限の区別を説明する図であ
る。
【図7】 上述実施例の権限の区別を規定するテーブル
の例を説明する図である。
【図8】 上述実施例のセッション管理を説明する図で
ある。
【図9】 上述実施例の変形例を説明する図である。
【図10】 従来例を説明する図である。
【符号の説明】
10 証明書発行センタ 20 協力会社サイト 30 インターネット 40 幹事会社サイト 101 ウェブ・サーバ 102 アプリケーション・サーバ 103 データベース管理システム 103a 証明書データベース 104 メールサーバ 105 アプリケーション・サーバ 105 クライアント端末 106 ルータ 150 ルート証明書保持部 151 認証部 152 エレメント抽出部 153 権限判別部 154 権限登録部 155 セッション管理部 201 クライアント端末 500 クライアント端末 501 ネットワーク 502 ウェブ・サーバ 503 データベースサーバ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G09C 1/00 640 G09C 1/00 640E H04L 9/32 H04L 9/00 671 Fターム(参考) 5B085 AE02 AE06 AE23 BG07 5J104 AA07 AA09 KA01 KA06 PA07

Claims (19)

    【特許請求の範囲】
  1. 【請求項1】 個人証明書に含まれるサブジェクト名を
    処理する個人証明書サブジェクト名処理装置において、 個人証明書を受信する手段と、 受信した個人証明書を電子署名技術に基づいて検証する
    手段と、 受信した個人証明書に含まれるサブジェクト名の階層中
    の少なくとも1つの所定のエレメントを抽出する手段
    と、 上記検証が成功したときに、上記所定のエレメントの値
    に基づいて、上記個人証明書の保持者のアクセス権限を
    決定する手段とを有することを特徴とする個人証明書サ
    ブジェクト名処理装置。
  2. 【請求項2】 上記所定のエレメントのうちの1つは、
    上記サブジェクト名の所定階層のオーガニゼーショナル
    ・ユニット・ネームである請求項1記載の個人証明書サ
    ブジェクト名処理装置。
  3. 【請求項3】 上記所定のエレメントは、業務のプロジ
    ェクト名を表すために割り当てられた1の階層のオーガ
    ニゼーショナル・ユニット・ネームと、目的を表すため
    に割り当てられた、コモンネームの一部とする請求項1
    記載の個人証明書サブジェクト名処理装置。
  4. 【請求項4】 個人証明書を受信する手段と、 受信した個人証明書を電子署名技術に基づいて検証する
    手段と、 受信した個人証明書に含まれるサブジェクト名の階層中
    の少なくとも1つの所定のエレメントを抽出する手段
    と、 受信した個人証明書の検証が成功したときに、上記所定
    のエレメントの値に基づいて、上記個人証明書の保持者
    のアクセス権限を決定する手段とを有することを特徴と
    するウェブ・サーバ・コンピュータ・システム。
  5. 【請求項5】 個人証明書を受信する手段と、 受信した個人証明書を電子署名技術に基づいて検証する
    手段と、 受信した個人証明書の検証が成功したときに、セッショ
    ン識別子を割り当てる手段と、 受信した個人証明書に含まれるサブジェクト名の階層中
    の少なくとも1つの所定のエレメントを抽出する手段
    と、 受信した個人証明書の検証が成功したときに、上記所定
    のエレメントの値に基づいて、上記個人証明書の保持者
    のアクセス権限を決定する手段と、 決定したアクセス権限を上記セッション識別子に関連づ
    けて保持する手段とを有することを特徴とするウェブ・
    サーバ・コンピュータ・システム。
  6. 【請求項6】 上記所定のエレメントのうちの1つは、
    上記サブジェクト名の所定階層のオーガニゼーショナル
    ・ユニット・ネームである請求項5記載のウェブ・サー
    バ・コンピュータ・システム。
  7. 【請求項7】 上記所定のエレメントは、業務のプロジ
    ェクト名を表すために割り当てられた1の階層のオーガ
    ニゼーショナル・ユニット・ネームと、目的を表すため
    に割り当てられた、コモンネームの一部とする請求項5
    記載のウェブ・サーバ・コンピュータ・システム。
  8. 【請求項8】 サブジェクト名の所定のエレメントが保
    持者の所属組織および個人ID以外の属性を表す個人証
    明書を受信して当該サブジェクト名を処理する個人証明
    書サブジェクト名処理装置において、 上記個人証明書を受信する手段と、 受信した個人証明書に含まれるサブジェクト名の階層中
    の所定のエレメントを抽出する手段と、 少なくとも、上記所定のエレメントの値が表す、保持者
    の所属組織および個人ID以外の属性に基づいて、アク
    セス権限を決定する手段とを有することを特徴とする個
    人証明書サブジェクト名処理装置。
  9. 【請求項9】 上記サブジェクト名の所定階層のオーガ
    ニゼーショナル・ユニット・ネームが、保持者がオーガ
    ニゼーション・ネームが表す組織の構成員ではなく、か
    つ当該組織に対して協力していることを示す請求項8記
    載の個人証明書サブジェクト名処置装置。
  10. 【請求項10】 上記サブジェクト名の所定階層のオー
    ガニゼーショナル・ユニット・ネームが、保持者が参加
    するプロジェクト名を表す請求項8記載の個人証明書サ
    ブジェクト名処理装置。
  11. 【請求項11】 上記サブジェクト名の所定階層のオー
    ガニゼーショナル・ユニット・ネームが、オーガニゼー
    ション・ネームが表す組織に対して協力し、かつ保持者
    が属する、協力組織名を表す請求項8記載の個人証明書
    サブジェクト名処理装置。
  12. 【請求項12】 上記サブジェクト名の所定階層のオー
    ガニゼーショナル・ユニット・ネームが、保持者が参加
    する業務の種類を表す請求項8記載の個人証明書サブジ
    ェクト名処理装置。
  13. 【請求項13】 上記サブジェクト名のコモンネーム
    が、保持者が参加する業務の種類を表す請求項8記載の
    個人証明書サブジェクト名処理装置。
  14. 【請求項14】 個人証明書を受信する手段と、 受信した個人証明書に含まれるサブジェクト名の階層中
    の所定のエレメントを抽出する手段と、 上記所定のエレメントの値に基づいてアクセス権限を決
    定する手段とを有することを特徴とする個人証明書サブ
    ジェクト名処理装置。
  15. 【請求項15】 個人証明書に含まれるサブジェクト名
    を処理する個人証明書サブジェクト名処理方法におい
    て、 個人証明書を受信するステップと、 受信した個人証明書を電子署名技術に基づいて検証する
    ステップと、 受信した個人証明書に含まれるサブジェクト名の階層中
    の少なくとも1つの所定のエレメントを抽出するステッ
    プと、 上記検証が成功したときに、上記所定のエレメントの値
    に基づいて、上記個人証明書の保持者のアクセス権限を
    決定するステップとを有することを特徴とする個人証明
    書サブジェクト名処理方法。
  16. 【請求項16】 サブジェクト名の所定のエレメントが
    保持者の所属組織および個人ID以外の属性を表す個人
    証明書を受信して当該サブジェクト名を処理する個人証
    明書サブジェクト名処理方法において、 上記個人証明書を受信するステップと、 受信した個人証明書に含まれるサブジェクト名の階層中
    の所定のエレメントを抽出するステップと、 少なくとも、上記所定のエレメントの値が表す、保持者
    の所属組織および個人ID以外の属性に基づいて、アク
    セス権限を決定するステップとを有することを特徴とす
    る個人証明書サブジェクト名処理方法。
  17. 【請求項17】 個人証明書に含まれるサブジェクト名
    を処理するためにコンピュータに用いられる個人証明書
    サブジェクト名処理用コンピュータ・プログラムにい
    て、 個人証明書を受信するステップと、 受信した個人証明書を電子署名技術に基づいて検証する
    ステップと、 受信した個人証明書に含まれるサブジェクト名の階層中
    の少なくとも1つの所定のエレメントを抽出するステッ
    プと、 上記検証が成功したときに、上記所定のエレメントの値
    に基づいて、上記個人証明書の保持者のアクセス権限を
    決定するステップとをコンピュータに実行させるために
    用いられることを特徴とする個人証明書サブジェクト名
    処理用コンピュータ・プログラム。
  18. 【請求項18】 サブジェクト名の所定のエレメントが
    保持者の所属組織および個人ID以外の属性を表す個人
    証明書を受信して当該サブジェクト名を処理するために
    コンピュータに用いられる個人証明書サブジェクト名処
    理用コンピュータ・プログラムにおいて、 上記個人証明書を受信するステップと、 受信した個人証明書に含まれるサブジェクト名の階層中
    の所定のエレメントを抽出するステップと、 少なくとも、上記所定のエレメントの値が表す、保持者
    の所属組織および個人ID以外の属性に基づいて、アク
    セス権限を決定するステップとをコンピュータに実行さ
    せるために用いられることを特徴とする個人証明書サブ
    ジェクト名処理用コンピュータ・プログラム。
  19. 【請求項19】 サブジェクト名のオーガニゼーショナ
    ル・ユニット・ネームおよびコモン・ネームの少なくと
    も1つが保持者の所属組織および個人ID以外の属性を
    表す個人証明書を記録したコンピュータ読取り可能な記
    録媒体。
JP2001315276A 2000-11-16 2001-10-12 個人証明書サブジェクト名処理装置および方法 Pending JP2002215585A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001315276A JP2002215585A (ja) 2000-11-16 2001-10-12 個人証明書サブジェクト名処理装置および方法
US09/987,418 US7007091B2 (en) 2000-11-16 2001-11-14 Method and apparatus for processing subject name included in personal certificate

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000350185 2000-11-16
JP2000-350185 2000-11-16
JP2001315276A JP2002215585A (ja) 2000-11-16 2001-10-12 個人証明書サブジェクト名処理装置および方法

Publications (1)

Publication Number Publication Date
JP2002215585A true JP2002215585A (ja) 2002-08-02

Family

ID=26604115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001315276A Pending JP2002215585A (ja) 2000-11-16 2001-10-12 個人証明書サブジェクト名処理装置および方法

Country Status (2)

Country Link
US (1) US7007091B2 (ja)
JP (1) JP2002215585A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260803A (ja) * 2003-02-03 2004-09-16 Sony Corp 無線アドホック通信システム、端末、その端末における属性証明書発行提案方法及び属性証明書発行依頼方法並びにそれらの方法を端末に実行させるためのプログラム
JP2006344077A (ja) * 2005-06-09 2006-12-21 Location Value:Kk 求人求職マッチング支援システム
US7797531B2 (en) 2003-02-03 2010-09-14 Sony Corporation Wireless ad-hoc communication system, terminal, method for suggesting issuance of attribute certificate and method for requesting issuance of attribute certificate in the terminal, and program for causing the terminal to execute the method

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017034B2 (en) * 2002-08-07 2006-03-21 Hewlett-Packard Development Company, L.P. System and method for using a firmware interface table to dynamically load multiple ACPI SSDT tables
US8639824B1 (en) * 2003-09-19 2014-01-28 Hewlett-Packard Development Company, L.P. System and method for dynamic account management in a grid computing system
JP4468146B2 (ja) * 2004-11-25 2010-05-26 キヤノン株式会社 印刷システム及びその制御方法、印刷装置及びその制御方法、コンピュータプログラム、記憶媒体
US8312268B2 (en) * 2008-12-12 2012-11-13 International Business Machines Corporation Virtual machine
US20110252459A1 (en) * 2010-04-12 2011-10-13 Walsh Robert E Multiple Server Access Management
US8745378B1 (en) * 2012-03-12 2014-06-03 Certified Security Solutions, Inc. System and method for validating SCEP certificate enrollment requests

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
JP2728033B2 (ja) * 1995-05-23 1998-03-18 日本電気株式会社 コンピュータネットワークにおけるセキュリティ方式
US5787175A (en) * 1995-10-23 1998-07-28 Novell, Inc. Method and apparatus for collaborative document control
WO1998018247A1 (en) * 1996-10-23 1998-04-30 Infoglobal, S.L. Method and system for integration of several physical media for data communications
WO1998037655A1 (en) * 1996-12-20 1998-08-27 Financial Services Technology Consortium Method and system for processing electronic documents
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
US5884312A (en) * 1997-02-28 1999-03-16 Electronic Data Systems Corporation System and method for securely accessing information from disparate data sources through a network
US5922074A (en) * 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
US6052785A (en) * 1997-11-21 2000-04-18 International Business Machines Corporation Multiple remote data access security mechanism for multitiered internet computer networks
US6385596B1 (en) * 1998-02-06 2002-05-07 Liquid Audio, Inc. Secure online music distribution system
US6088805A (en) * 1998-02-13 2000-07-11 International Business Machines Corporation Systems, methods and computer program products for authenticating client requests with client certificate information
US6564320B1 (en) * 1998-06-30 2003-05-13 Verisign, Inc. Local hosting of digital certificate services
US6490624B1 (en) * 1998-07-10 2002-12-03 Entrust, Inc. Session management in a stateless network system
US6189103B1 (en) * 1998-07-21 2001-02-13 Novell, Inc. Authority delegation with secure operating system queues
US6463535B1 (en) * 1998-10-05 2002-10-08 Intel Corporation System and method for verifying the integrity and authorization of software before execution in a local platform
JP4410324B2 (ja) * 1998-10-16 2010-02-03 富士通株式会社 資格管理方法および装置
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6704867B1 (en) * 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US6839879B1 (en) * 1999-05-07 2005-01-04 Xilinx, Inc. Method and system for time-stamping and managing electronic documents
US6801999B1 (en) * 1999-05-20 2004-10-05 Microsoft Corporation Passive and active software objects containing bore resistant watermarking
US6898706B1 (en) * 1999-05-20 2005-05-24 Microsoft Corporation License-based cryptographic technique, particularly suited for use in a digital rights management system, for controlling access and use of bore resistant software objects in a client computer
US6549935B1 (en) * 1999-05-25 2003-04-15 Silverbrook Research Pty Ltd Method of distributing documents having common components to a plurality of destinations
US6865671B1 (en) * 2000-04-07 2005-03-08 Sendmail, Inc. Electronic mail system with authentication methodology for supporting relaying in a message transfer agent
AU7182701A (en) * 2000-07-06 2002-01-21 David Paul Felsher Information record infrastructure, system and method
US6675261B2 (en) * 2000-12-22 2004-01-06 Oblix, Inc. Request based caching of data store data

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260803A (ja) * 2003-02-03 2004-09-16 Sony Corp 無線アドホック通信システム、端末、その端末における属性証明書発行提案方法及び属性証明書発行依頼方法並びにそれらの方法を端末に実行させるためのプログラム
US7797531B2 (en) 2003-02-03 2010-09-14 Sony Corporation Wireless ad-hoc communication system, terminal, method for suggesting issuance of attribute certificate and method for requesting issuance of attribute certificate in the terminal, and program for causing the terminal to execute the method
JP4631281B2 (ja) * 2003-02-03 2011-02-16 ソニー株式会社 無線アドホック通信システム、端末、その端末における属性証明書発行提案方法及び属性証明書発行依頼方法並びにそれらの方法を端末に実行させるためのプログラム
JP2006344077A (ja) * 2005-06-09 2006-12-21 Location Value:Kk 求人求職マッチング支援システム

Also Published As

Publication number Publication date
US20020059437A1 (en) 2002-05-16
US7007091B2 (en) 2006-02-28

Similar Documents

Publication Publication Date Title
US6438690B1 (en) Vault controller based registration application serving web based registration authorities and end users for conducting electronic commerce in secure end-to-end distributed information system
JP3505058B2 (ja) ネットワークシステムのセキュリティ管理方法
US6715073B1 (en) Secure server using public key registration and methods of operation
US7747852B2 (en) Chain of trust processing
US7716722B2 (en) System and method of proxy authentication in a secured network
JP3640338B2 (ja) 安全な電子データ格納、取出しシステムおよび方法
US8151332B2 (en) Digital identity management
US6775782B1 (en) System and method for suspending and resuming digital certificates in a certificate-based user authentication application system
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US6105131A (en) Secure server and method of operation for a distributed information system
US6006332A (en) Rights management system for digital media
EP1764978B1 (en) Attested identities
US7698565B1 (en) Crypto-proxy server and method of using the same
US20020144109A1 (en) Method and system for facilitating public key credentials acquisition
US20010034836A1 (en) System for secure certification of network
EP1531382A2 (en) Security support apparatus and computer-readable recording medium recorded with program code to cause a computer to support security
JP2002033726A (ja) 公開鍵インフラストラクチャにおける署名証明書の有効かつ安全な取消しのためのシステムおよび方法
JP2000148012A (ja) 認証装置および方法
JPH1125048A (ja) ネットワークシステムのセキュリティ管理方法
JP3660274B2 (ja) 認証書系図の自動追跡方法及びシステム
US7013388B2 (en) Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system
Kraft Designing a distributed access control processor for network services on the web
US6795920B1 (en) Vault controller secure depositor for managing secure communication
JP2002215585A (ja) 個人証明書サブジェクト名処理装置および方法
JP2002312319A (ja) パスワードシステム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060313

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060411