JP2007110377A - ネットワークシステム - Google Patents

ネットワークシステム Download PDF

Info

Publication number
JP2007110377A
JP2007110377A JP2005298579A JP2005298579A JP2007110377A JP 2007110377 A JP2007110377 A JP 2007110377A JP 2005298579 A JP2005298579 A JP 2005298579A JP 2005298579 A JP2005298579 A JP 2005298579A JP 2007110377 A JP2007110377 A JP 2007110377A
Authority
JP
Japan
Prior art keywords
authentication
client
ticket
authentication server
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005298579A
Other languages
English (en)
Inventor
Keiko Okubo
敬子 大久保
Morihito Miyagi
盛仁 宮城
Kazuhiko Sagara
和彦 相良
Ryoji Yamaoka
綾史 山岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005298579A priority Critical patent/JP2007110377A/ja
Publication of JP2007110377A publication Critical patent/JP2007110377A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】認証サーバ間を連携させることによって、該クライアントの認証データを保持しない移動先認証サーバにおいても、クライアントの認証が可能なネットワークシステムを提供する。
【解決手段】一つ以上の認証サーバを持つ認証ドメインがネットワークを介して複数接続された広域ネットワークシステムであって、前記認証サーバは、各認証サーバ間で構築された信頼関係を保持し、自サーバに認証用データを持つクライアントに有効期限付きの認証チケットを発行し、信頼関係が構築されている他の認証サーバによって発行された認証チケットの有効性を検証し、前記認証チケットの有効性が確認されると、認証成功とすることを特徴とする。
【選択図】図1

Description

本発明は、クライアントを認証するネットワークシステムに関し、特に、訪問先のネットワークでクライアントを認証する方法に関する。
近年、ネットワーク技術の進歩によって、複数のネットワークが接続されている。そして、ホームネットワーク以外のネットワークから、クライアントがネットワークに接続する要求が高まっている。この要求に応えるため、第一に、広域ネットワーク網においても、クライアントの認証データを集中管理し、認証を集中処理する方法が提案されている。
第二に、複数の認証サーバを設け、全ての認証サーバが全てのクライアントの認証データを保持する方法が提案されている。
第三に、全てのクライアントの認証データを分散管理し、認証の対象となるクライアントの認証データを登録してある認証サーバ(ホーム認証サーバ)から、該クライアントの移動先の認証サーバ(訪問先認証サーバ)へ、ホーム認証サーバがあらかじめ認証データを送り、訪問先認証サーバは送付された認証データに基づいて認証処理を行う方法が提案されている。
第四に、クライアントがホーム認証サーバで認証を受ける際、認証済みを示すチケットの発行を受け、訪問先認証サーバで認証を受ける際には既発行のチケットを提示し、訪問先認証サーバがホーム認証サーバに問い合わせることによって、クライアントを認証する方法が提案されている。
第五に、公開鍵暗号基盤(PKI)を用いる方法が提案されている。予め、認証局(CA)がクライアントに電子証明書を発行し、クライアントは発行された電子証明書を訪問先認証サーバに提示し、訪問先認証サーバは電子証明書に記載されたCAの電子署名に基づいて電子証明書の正当性を確認する。
相良他,"複数ドメインに跨る認証制御エージェントの更新手法",電子情報通信学会 2005年ソサイエティ大会、B−6−51 IETF RFC1510,"The Kerberos Network Authentication Service (V5)."
しかし、前述した背景技術にはそれぞれ問題がある。第一の方法では、認証データを集中管理し、認証を集中処理するため、認証サーバの負荷は通信量・処理量共に高くなる。今後、更にクライアント数が増加していくことを考えると、認証サーバがボトルネックとなり、認証処理のスループット低下を招くと考えられる。
第二の方法は、第一の方法の問題の問題を解決するが、認証用データが重複管理されるので、認証用データ量が増加する問題がある。また、各認証サーバ間でクライアントの新規登録、削除、更新時にデータの同期が必要となる。
第三の方法は、第二の方法の問題を解決するが、クライアントの移動先が確定しないときは、認証データのブロードキャスト、又は訪問先サーバでの認証要求時に認証データを送付することになり、無駄なデータがネットワーク上に送信される。また、認証データを重複管理する必要がある(非特許文献1参照)。
第四の方法も、第一及び第二の方法の問題を解決するが、認証時にホーム認証サーバと訪問先認証サーバとの間でのデータのやり取りがあり、認証に要する時間が増加する。また、二つの認証サーバでの処理が必要になるため、認証サーバの負荷が増加する(非特許文献2参照)。
第五の方法では、電子証明書の発行を行う認証局を設置し、クライアントからの申請を受けて、クライアントの正当性を確認し、電子証明書を発行する。電子証明書の発行申請は、クライアント(又は管理者など)が明示的に行う。鍵の漏洩や暗号解読などのリスクを考慮すると、電子証明書は定期的に更新する必要がある。しかし、リスクとクライアント負荷の両立を考えると、電子証明書の有効期限は1年程度と長期であることが多い。
電子証明書は、定期的な更新以外にも、クライアントデータベースの変更時には、変更を電子証明書に反映するために、クライアントが認証局に明示的に電子証明書を申請する必要がある。また、認証局が電子証明書失効リストをイベントドリブンではなく周期的に更新するため、失効した電子証明書が使用可能となる期間が存在する。更に、証明書を持たないクライアントは接続を拒否される。これらの理由から、既存の公開鍵暗号基盤ではクライアントの利便性とシステムの信頼性を同時に高めることは難しい。
本発明は、一つ以上の認証サーバを持つ認証ドメインがネットワークを介して複数接続され、クライアントの認証データが複数の認証サーバに分散管理されたシステムにおいて、クライアントが、該クライアントの認証用データを持たない移動先の認証サーバで認証を受ける際に、認証サーバ間を連携させることによって、該クライアントの認証データを保持しない移動先認証サーバにおいても、クライアントの認証が可能なネットワークシステムを提供することを目的とする。
本発明の代表的な一形態によると、一つ以上の認証サーバを持つ認証ドメインがネットワークを介して複数接続された広域ネットワークシステムであって、前記認証サーバは、各認証サーバ間で構築された信頼関係を保持し、自サーバに認証用データを持つクライアントに有効期限付きの認証チケットを発行し、信頼関係が構築されている他の認証サーバによって発行された認証チケットの有効性を検証し、前記認証チケットの有効性が確認されると、認証成功とすることを特徴とする。
本発明によると、クライアント認証の分散処理を認証データの重複管理を回避して実現しつつ、ホーム認証サーバへの問い合わせを省くことが可能となる。このため、通信量の削減、認証時間の短縮、認証サーバの認証処理負荷の低減という効果がある。
また、クライアントが明示的に認証チケットを申請する手間を省くことができるので、クライアントの利便性を損なわずに認証チケットの有効期限を短くすることができる。有効期限の短縮はシステムの信頼性を高めると共に、無効チケットの保持量削減の効果もある。
更に、認証サーバにリダイレクト機能を持たせることにより、ログイン回数が少ないクライアントに対する訪問先での認証処理を円滑に行うことが可能になる。
まず、本発明の実施の形態の概要を説明する。
本発明の実施の形態では、認証サーバ111〜113に電子証明書(認証チケット)発行機能を持たせ、自サーバに認証用データを持つクライアント131〜133が接続要求をする毎に有効期限付きの認証チケットを発行する。クライアント131〜133は、それぞれホーム認証サーバ111〜113において認証を受ける時に認証チケットの発行を受ける。
その後、時間及び場所の変化を経て、クライアント131が訪問先認証サーバ112で認証を受ける際に、先に発行されたチケットにクライアント131のみが知る情報を加えて、訪問先認証サーバ112へ提出する。訪問先認証サーバ112は、認証チケットの改竄の有無、及び認証チケットの有効期限を調べ、有効なチケットであれば、ホーム認証サーバ111に問い合わせることなく、クライアント131の認証成功とする。
また、各認証サーバ111〜113に、期限切れ認証チケットを持つクライアントからの接続要求をホーム認証サーバにリダイレクトする機能を持たせる。また、認証チケットを持たないクライアントからの接続要求もホーム認証サーバにリダイレクトされる。
以下、図面を用いて本発明の実施の形態について説明する。なお、本発明は、以下に説明する実施の形態に限定されるものではない。
(第1実施形態)
図1は、第1の実施の形態のネットワークシステムの構成図である。
第1の実施の形態のネットワークシステムは、複数の認証ドメイン121〜123がネットワーク101を介して接続された広域ネットワークシステムである。各認証ドメイン121〜123は、一つ以上の認証サーバ111〜113を備えている。認証サーバ111〜113は、複数のクライアントの認証データを重複せずに分散管理する。ここでは認証サーバ111〜113は、それぞれクライアント131〜133の認証データを管理している。
第1の実施の形態では、認証サーバ111〜113は、それぞれクライアント131〜133に対して認証チケットを発行する。すなわち、認証サーバ111〜113は、自サーバに認証データを持つクライアント131〜133がネットワークシステムにログインする度に、認証チケットを発行する。発行された認証チケットは公開鍵暗号方式によって暗号化される。
各認証サーバ111〜113は、認証チケットの検証に用いるため、連携する他の認証サーバ111〜113の識別子(例えば、サーバ名)及び公開鍵を保持する。また、認証サーバ111〜113は、認証局を兼ねるため、それぞれクライアント131〜133の最新の登録データを認証チケットに反映することができる。
クライアント131〜133の登録データの更新時又は削除時には、それぞれ認証サーバ111〜113から連携する他の認証サーバ111〜113へ、発行済み認証チケットの無効を即時に通知することによって、発行された認証チケットは使用不可能となる。更に、連携関係にある認証サーバ111〜113のネットワークアドレスを保持し、クライアント131〜133の接続要求のリダイレクト機能を持たせる。これによって、例えば、クライアント131が認証サーバ112へ接続要求を行い、期限切れの認証チケットを提示したとき、認証サーバ112は、クライアント131からの接続要求を、ホーム認証サーバ111にリダイレクトする。これによって、クライアント131が認証を受け、オンデマンドで認証チケットの交付を受けることを可能にする。
クライアント131の秘密鍵は、クライアント131又はクライアント131に接続される外部記憶装置に、パスフレーズによって暗号化して格納される。クライアント131が秘密鍵を使用するときは、クライアント131にパスフレーズが入力されることによって秘密鍵を復号する。ここで用いられるパスフレーズは、信頼性を高めるために、ホーム認証サーバ111に登録してあるパスワードとは異なる文字であり、かつ文字数の多いものが好ましい。クライアント132、133も同様である。
図2は、第1の実施の形態の認証サーバ111の構成を示すブロック図である。
なお、他の認証サーバ112、113は、認証サーバ111と同じ構成なので、その説明は省略する。
認証サーバ111は、CPU502、メモリ503、記憶装置504及びインターフェース505を備える。CPU502、メモリ503、記憶装置504及びインターフェース505は、バス506によって接続されている。
メモリ503には、ID・パスワード認証プログラム5031、認証チケット発行/更新プログラム5032、不正チケット処理プログラム5033、認証チケット検証プログラム5034及び連携サーバ誘導プログラム5035が記憶されている。
ID・パスワード認証プログラム5031は、クライアント131をID及びパスワードによって認証する。認証チケット発行/更新プログラム5032は、認証済みクライアント131への認証チケットの発行処理及び発行された認証チケットの更新処理を行う。不正チケット処理プログラム5033は、不正チケットの通知及び通知された不正チケットを登録する。認証チケット検証プログラム5034は、認証チケットを検証する。連携サーバ誘導プログラム5035は、クライアント131からのアクセスをホーム認証サーバへリダイレクトする。
記憶装置504は、データベースを格納する。具体的には、クライアント登録DB600、クライアント仮登録DB700、既発行認証チケットDB800、無効チケット登録DB900、クライアント属性マッピングDB1000、連携サーバDB1100が、記憶装置504に格納される。
図3は、第1の実施の形態のクライアント登録DB600の構成図である。
クライアント登録DB600に登録されたクライアント131が、ホームクライアントである。
クライアント登録DB600は、クライアントID601、パスワード602、公開鍵603及び属性604を含む。クライアントID601は、クライアント131の一意な識別子である。パスワード602は、クライアント131の認証に使用されるパスワードである。公開鍵603は、認証チケットの暗号化に使用する暗号化鍵の公開部分である。
図4は、第1の実施の形態のクライアント仮登録DB700の構成図である。
クライアント仮登録DB700は、他の認証サーバのクライアント登録DB600に登録されたクライアント(ビジター)を一時的に登録する。なお、認証サーバ111〜113がクライアントを仮登録しない場合は、認証サーバ111〜113にクライアント仮登録DB700を格納しなくてもよい。
クライアント仮登録DB700は、クライアントID701、パスワード702、ホームサーバ名703、属性704、チケット番号705及び有効期限706を含む。
クライアントID701は、クライアント131の一意な識別子である。パスワード702は、クライアント131の認証に使用されるパスワードである。ホームサーバ名703は、当該クライアント131が登録されているクライアント登録DB600が格納されている認証サーバ111のサーバ名(又は識別子)である。チケット番号705は、認証チケットの一意な識別子である。有効期限706は、認証チケットの有効期限である。
図5は、第1の実施の形態の既発行認証チケットDB800の構成図である。
既発行認証チケットDB800は、発行済みの認証チケットを記録する。既発行認証チケットDB800は、クライアント登録DB600と一体に構成してもよい。
既発行認証チケットDB800は、クライアントID801、チケット番号802、有効期限803及び属性804を含む。クライアントID801は、クライアント131の一意な識別子である。チケット番号802は、認証チケットの一意な識別子である。有効期限803は、認証チケットの有効期限である。
図6は、第1の実施の形態の無効チケット登録DB900の構成図である。
無効チケット登録DB900は、クライアント131の属性変更や、認証チケットの不正使用などにより無効となった認証チケットを登録する。
無効チケット登録DB900は、ホームサーバ名901、クライアントID902、チケット番号903及び有効期限904を含む。
ホームサーバ名901は、無効となった認証チケットを発行した認証サーバ111である。クライアントID902は、無効となった認証チケットの発行先のクライアント131の一意な識別子である。チケット番号903は、無効となった認証チケットの一意な識別子である。有効期限706は、無効となった認証チケットの有効期限である。なお、有効期限706が経過した認証チケットのデータは、無効チケット登録DB900から、削除される。
また、新たに登録される無効チケットに関するクライアントIDが、既に、無効チケット登録DB900に登録されているとき、有効期限の遅い認証チケットのみを登録する。これによって、同一のクライアント131の複数の無効チケットを登録することを防止できる。
図7は、第1の実施の形態のクライアント属性マッピングDB1000の構成図である。
クライアント属性マッピングDB1000は、ホーム認証サーバの属性及び認証チケット内のクライアント属性値から、自サーバが管理するドメインにおけるクライアントの属性を導くために用いられる。
クライアント属性マッピングDB1000は、ホームサーバの属性1001、チケット内クライアント属性値1002及びクライアント属性1003を含む。
図8は、第1の実施の形態の連携サーバDB1100の構成図である。
連携サーバDB1100は、連携する認証サーバのデータを登録する。
連携サーバDB1100は、サーバ名1101、旧公開鍵1102、旧公開鍵の有効期限1103、新公開鍵1104、属性1105及びネットワークアドレス1106を含む。
認証サーバ111〜113の公開鍵は定期的に更新する必要があり、連携サーバ管理DB1100は、旧公開鍵1102及び新公開鍵1104を保持し、旧公開鍵の有効期限1103を記録する。サーバの公開鍵の更新間隔を、クライアント131の認証チケット1501の有効期限と同じか長く設定する。そして、旧公開鍵1102の有効期限より前であれば、新旧両方の公開鍵の何れかで認証可能であれば、クライアント131の認証チケットは有効であると判定される。
これによって、旧公開鍵1102の有効期限より前であれば、認証チケット1501はホーム認証サーバ111の新旧いずれかの公開鍵1102、1104で認証可能となる。但し、認証サーバの秘密鍵が漏洩し(又は、漏洩の疑いがある)、即時に認証サーバの鍵を変更する場合は、旧公開鍵は即刻有効期限切れとなる。また、有効期間内の正当な認証チケット1501を持つクライアント131も、ホーム認証サーバ111において認証処理を行い、ホーム認証サーバ111の新しい秘密鍵1104を用いて署名を付加した認証チケット1501を発行してもらう必要がある。
図9は、第1の実施の形態のクライアント131からの接続要求を受信した認証サーバの処理を示すフローチャートである。
認証サーバ111〜113は、クライアント131からの接続要求を受信すると(201)、接続要求の送信元がホームクライアントか、ビジターかを判定する(202)。その結果、接続要求の送信元がホームクライアントであれば、ID及びパスワードによって認証処理を行う(213)。
そして、認証に成功すれば、ホーム認証サーバ111の秘密鍵で署名した認証チケット1501を発行し、又は、既に発行された認証チケットの有効期限を更新する(214)。そして、既発行認証チケットDB800を更新した後(215)、クライアントの接続を許可する(208)。
一方、ホーム認証サーバ111は、ID及びパスワードを用いた認証に失敗すると(213)、クライアントの接続を拒否する(216)。
接続要求を行ったクライアント131がビジターであれば、訪問先認証サーバ112(又は113)は、クライアント131から認証チケット1502が提出されるか否かを判定する(203)。その結果、クライアント131から認証チケット1502が提出されれば、提出された認証チケット1502の有効期限を確認する(204)。
その結果、認証チケット1502が有効期限内であれば、無効チケット登録DB900を参照して認証チケット1502の有効性を確認する(205)。なお、この認証チケットの有効性の確認においては、提出された認証チケット1502が無効チケット登録DB900に登録されているデータと完全に一致する場合の他、クライアントID902が一致し、提出された認証チケット1502の有効期限の方が無効チケット登録DB900に登録された有効期限904よりも短い場合は、提出された認証チケット1502を無効と判断する。
一方、認証チケット1502が無効チケット登録DB900に登録されておらず、提出されたチケット1502が有効であると判定すると、チケット1501に含まれるホーム認証サーバのデジタル署名を除く全データ(具体的には、チケット番号、クライアントID、クライアントの公開鍵、クライアントの属性、有効期限、ホーム認証サーバ名)のハッシュ値を算出し、ホーム認証サーバのデジタル署名を連携サーバDB1100に登録されているホーム認証サーバ111の公開鍵1102又は1104を用いて復号した値と比較する。
ホーム認証サーバ111のデジタル署名は、図10に示すように、認証チケット1501に含まれるデジタル署名を除く全データのハッシュ値を求め、ホーム認証サーバの秘密鍵で暗号化した値である。よって、訪問先認証サーバ121が算出したハッシュ値と、ホーム認証サーバのデジタル署名をホーム認証サーバ111の公開鍵で復号した値とが一致すると、改竄のない正当なチケットであると認められる(206)。
最後に、認証チケット1502内のクライアント131の公開鍵を用いて、認証チケット1502を検証する(207)。具体的には、認証チケット1502内のクライアント131の公開鍵でクライアントのデジタル署名を復号し、元のハッシュ値を求める。そして、チケット内容及び要求日時のハッシュ値を計算して、先に復号したハッシュ値と計算されたハッシュ値とを比較する。
クライアント131から提出される認証チケット1502には、図10に示すように、要求日時とチケットの内容1501及び要求日時から求めたハッシュ値を秘密鍵で暗号化した値(クライアントのデジタル署名)とが付加されている(1502)。よって、先に復号したハッシュ値と計算されたハッシュ値とが一致した場合には、認証成功とし、クライアント131の接続を許可する(208)。
また、認証サーバ112は、ホーム認証サーバ111の公開鍵を用いた検証(206)、又はクライアント131の公開鍵を用いた検証(207)において不正な認証チケットであると認められると、訪問先認証サーバ112は、連携する他の認証サーバ111、113へ不正を通知し(212)、クライアント131の接続を拒否する(216)。
また、認証サーバ112は、クライアント131が提出した認証チケット1502を無効チケット登録DB900と比較することによって、認証チケットが無効と判定すると(205)、クライアント131の接続を拒否する216。
また、クライアント131が認証チケット1502を提出しなければ(203)、認証サーバ112はクライアント131にホーム認証サーバの一覧を送信し、ホーム認証サーバの選択を促す(209)。クライアント131がホーム認証サーバ111を選択すると、認証サーバ112は、クライアント131からの接続要求をホーム認証サーバ111へリダイレクトし(210)、ホーム認証サーバ111からの返答を待つ(211)。
また、クライアント131が提出した認証チケット1502が有効期限を過ぎている場合(204)、認証サーバ112は、クライアント131からの接続要求を認証チケット1502内のホーム認証サーバ111へリダイレクトし(210)、ホーム認証サーバ111からの返答を待つ(211)。
図11は、第1の実施の形態のクライアント131からの接続要求のリダイレクトを受けたホーム認証サーバ111の処理を示すフローチャートである。
認証サーバ111は、他サーバからクライアント131からの接続要求のリダイレクトを受けると(301)、クライアント131にID及びパスワードを要求し、ID及びパスワードによる認証処理を行う(302)。そして、ID及びパスワードによる認証に成功すると、クライアント131に認証チケット1501を発行し、又は、既に発行された認証チケットの有効期限を更新し(303)、同じ認証チケット1502を訪問先認証サーバ112へ送る(304)。そして、既発行認証チケットDB800を更新した後(305)、クライアント131からの接続要求を訪問先認証サーバ112へリダイレクトする(306)。
一方、クライアント131がID及びパスワードを用いた認証に失敗すると、訪問先認証サーバ112へ認証エラーを通知し(308)、クライアント131からの接続要求を訪問先認証サーバ112へリダイレクトする(306)。
図12は、第1の実施の形態のホーム認証サーバ111からクライアント131からの接続要求をリダイレクトされた訪問先認証サーバ112の処理を示すフローチャートである。
訪問先認証サーバ112は、ホーム認証サーバ111から認証エラー通知を受信すると(402)、クライアント131からの接続を拒否する(406)。
一方、ホーム認証サーバ111から認証チケット1501を受信すると(402)、ホーム認証サーバ111の公開鍵を用いて認証チケット1501を検証する(403)。そして、受信した認証チケット1501に改竄等の不正がなければ、認証成功とし、クライアント131の接続を許可する(404)。
一方、受信した認証チケット1501に不正が認められれば、連携する他の認証サーバ111、113へ不正を通知し(405)、クライアント131の接続を拒否する(406)。
図13は、第1の実施の形態のチケット1502を利用した認証処理が成功した時のタイミング図である。
まず、事前の処理として、認証サーバ同士(111〜113)はサーバ名、公開鍵及びネットワークアドレス等を交換し、連携サーバDB1100に登録する(1301〜1304)。クライアント131は、サーバIDがServer−Iのホーム認証サーバ111のクライアント登録DB600に、図3に示すように、登録されているものとする。
クライアント131がホーム認証サーバ111に接続要求を出すと(1306)、接続要求を受けたホーム認証サーバ111は、クライアント131に認証情報を要求する(1307)。クライアント131は、認証情報の要求を受けると、ホーム認証サーバ111へ認証情報としてID及びパスワードを返信する(1308)。
ホーム認証サーバ111は、ID及びパスワードを受信すると、ID及びパスワードを用いた認証を行う(1309)。そして、認証に成功するとホーム認証サーバの秘密鍵を用いてデジタル署名した認証チケット1501(図10(a)参照)をクライアントに発行し、クライアント131の接続を許可する(1310)。
クライアント131は、認証チケット1501を、クライアント端末131、又はクライアント端末131に接続された外部デバイスに保存する。なお、既に古い認証チケットが保存されている場合、古い認証チケットは廃棄される。
その後、接続許可を受けたクライアント131は、ホームLAN121に接続して通信を開始する(1311)。そして、通信が終了すると、クライアント131は、ホームLAN121との接続を解除する(1312)。
その後、時間・場所の変化を経て(1313)、クライアント131が新たに訪問先認証サーバ112へ接続を要求すると(1314)、訪問先認証サーバ112は、クライアント131に認証情報を要求する(1315)。
クライアントは認証チケット1501に要求時刻を付加し、さらに、クライアント131の秘密鍵を用いた電子署名を付加した認証チケット1502を訪問先認証サーバ112へ提出する(1316)。訪問先認証サーバ112は、チケット1501の有効期限より前か、チケット1501が無効チケット登録DB900に登録されていないか、また、連携サーバDB1100に登録されたホーム認証サーバの公開鍵1102又は1104を用いて認証チケット1502が正当であるかを検証する。更に、チケット内のクライアントの公開鍵を用いて認証チケット1502を検証する(1317)。
全ての検証に成功すると、訪問先認証サーバ112はクライアント131の接続を許可する(1318)。接続が許可されたクライアント131は訪問先LAN122に接続し、通信を開始する(1319)。
図14は、クライアント131が訪問先認証サーバ112に期限切れ認証チケット1502を提出した、又は、クライアント131が認証チケット1502を保持していない場合のタイミング図である。
まず、連携する認証サーバ111〜113間で、予めサーバ名等のデータを交換し、連携サーバDB1101へ登録する(1301〜1304)。この処理は、前述した図13に示す処理と同じである。
クライアント131が訪問先認証サーバ112に接続要求を出すと(1401)、接続要求を受けた訪問先認証サーバ112は、クライアント131に認証情報を要求する(1402)。クライアント131がビジターであり、認証チケット1502を提出しないと(1405)、訪問先認証サーバ112は、クライアント131に認証サーバの一覧画面を送信し、ホーム認証サーバの選択を促す(1406)。
その後、クライアント131によってホーム認証サーバ111が選択されると(1407)、訪問先認証サーバ112は、クライアント131によって選択されたホーム認証サーバ111へ、クライアント131からの接続要求をリダイレクトする(1408)。ホーム認証サーバ111は、リダイレクトを受けると、クライアント131に認証情報を要求する(1409)。クライアント131は、認証情報の要求を受けると、ホーム認証サーバ111へ、認証情報としてID及びパスワードを返信する(1410)。
ホーム認証サーバ111は、ID及びパスワードを受信すると、ID及びパスワードを用いた認証を行う(1411)。そして、認証に成功すると、ホーム認証サーバの秘密鍵を用いた電子署名を付加した認証チケット1501をクライアントに発行する(1412)。また、同じ認証チケット1501を、訪問先認証サーバ112へ送る(1413)。その後、クライアント131からの接続要求を訪問先認証サーバ112へリダイレクトする(1414)。
訪問先認証サーバ112は、リダイレクトを受けると、連携サーバDB1100に記載されたホーム認証サーバの公開鍵1102又は1104を用いて、送付された認証チケット1501を検証する(1415)。その結果、送付された認証チケット1501の有効性を確認すると、クライアント131の接続を許可する(1416)。接続許可を受けたクライアント131は訪問先LAN122に接続し、通信を開始する(1417)。
一方、クライアント131が訪問先認証サーバ112へ提出した認証チケット1502が期限切れであると(1405)、訪問先認証サーバ112は、クライアント131からの接続要求を、認証チケット1502に記載されたホーム認証サーバ111へリダイレクトする(1408)。リダイレクト後の処理は、クライアント131が認証チケット1502を所持していない場合の処理と同じである(1409〜1418)。
図15は、第1の実施の形態のクライアント131が認証サーバ111〜113へ接続要求を出した時に、認証サーバ111〜113によって、クライアント131に表示されるログイン画面の一例である。
クライアント131がホーム認証サーバ111へ接続要求を出した時は、図15(A)に示すログイン画面1201が表示される。ユーザは、ログイン画面1201において、ID1202及びパスワード1203を入力し、ホーム認証サーバ111によってID及びパスワードを用いた通常の認証を受ける。
仮登録先の訪問先認証サーバ112で認証を受ける時は、更にホーム認証サーバ名1204を選択し、訪問先認証サーバ112において、クライアント仮登録DB700の情報に基づいて認証を受ける。
また、クライアント131がビジターであり、仮登録もされていない場合、ユーザは、ログイン画面1201において、ビジター1207を選択する。すると、クライアント131には、訪問先認証サーバ112によって、図15(B)に示す新しい画面1211が表示される。ユーザはチケット提出用画面1211に秘密鍵復号用のパスフレーズ1212を入力する。クライアント131は、復号した秘密鍵を用いて認証チケットに署名を付加し、訪問先認証サーバ112へ提出する。
訪問先認証サーバ112は認証チケット1502の有効期限、及び改竄の有無を確認し、無効チケット登録DB900と照合する。この結果、認証チケット1502が有効であればクライアント131の認証は成功であり、訪問先認証サーバ112はクライアント131の訪問先LAN122への接続を許可する。
無効チケット登録DB900との照合では、クライアントID及びチケット番号が完全に一致する認証チケット以外にも、クライアントIDが一致し、有効期限が検証中の認証チケット1502よりも長い認証チケットが登録されていたら、検証中の認証チケット1502は無効と判定する。
チケット提出用画面1211において、クライアント131から提出された認証チケット1502が期限切れのとき、訪問先認証サーバ112は、クライアント131に、図15(D)に示す有効期限切れ通知画面1231を表示し、クライアント131からの接続要求をホーム認証サーバ111へリダイレクトする。
また、チケット提出用画面1211において、キャンセル1214が選択された場合、訪問先認証サーバ112は、クライアント131が認証チケット1502を持たないもの判定し、クライアント131に、図15(C)に示すホーム認証サーバ選択画面1221を表示し、ホーム認証サーバの選択を促す。
認証サーバ112は、クライアント131に提出された認証チケット1502に改竄等の不正が認められた場合、クライアント131の接続を拒否すると共に、連携する認証サーバ111、113へ、チケット番号及び発行元認証サーバ名を通知する。通知を受けた認証サーバ111、113は、該認証チケット1501を無効チケットとして、無効チケット登録DB900に登録する。このとき、既に同一ユーザIDの認証チケット1501が登録されている場合、有効期限の長い方の認証チケット1501を登録し、古いデータは削除する。また、改ざんされた認証チケットを発行した認証サーバ111は、即発行認証チケットDB800からチケット1501の持ち主を検索し、不正があった旨を通知する。
クライアント131の認証に成功した訪問先認証サーバ112は、必要であればクライアント131をクライアント仮登録DB700に登録してもよい。パスワードを登録するかは、クライアント131が決定し、訪問先認証サーバ112へ通知する。そして、訪問先認証サーバ112とクライアント131との間にセキュアな通信路を確保した上で、クライアント131から訪問先認証サーバ112へパスワードが送信され、訪問先認証サーバ112に登録される。又は、訪問先認証サーバ112が決定し、クライアント131に通知し、セキュアな通信路を確保した上で、パスワードが送信され、訪問先認証サーバ112に登録される。
訪問先認証サーバ112は、認証チケット1501の有効期限より前であれば、クライアント131をユーザID及びパスワードを用いて認証することができる。仮登録されたクライアントのデータは、認証チケットの有効期限が切れると、クライアント仮登録DB700から削除される。また、通知された無効チケットと一致すると、クライアント仮登録DB700から削除される。
クライアント131がログインする際は、ログイン画面1201において、ID1202及びパスワード1203を入力し、プルダウンメニューからホーム認証サーバ名1204を選択する。ホーム認証サーバ名1204は、デフォルトでは現在認証を行っている認証サーバとなる。
(第2実施形態)
前述した第1の実施の形態では、公開鍵暗号方式を用いて認証チケット1501を暗号化したが、第2の実施の形態では共通鍵暗号方式を用いて、認証チケットを暗号化する。第2の実施の形態では、第1の実施の形態と同様に、共通鍵もクライアント端末装置、又はクライアント端末装置に接続可能な外部デバイス装置に、パスフレーズを用いて暗号化して記録する。
なお、第2の実施の形態では、前述した第1の実施の形態と同じ構成には同じ符号を付し、その説明は省略する。
クライアント131は、ホーム認証サーバ111と暗号化の鍵を共有する。この鍵はクライアント131毎に異なり、ホーム認証サーバ111のクライアント登録DB600に登録される。
ホーム認証サーバ111はクライアント131の認証に成功すると、図16に示す、共通鍵で暗号化した認証チケット(1601)を発行する。クライアント131は発行された認証チケット1601を暗号化された状態で、クライアント端末装置、又はクライアント端末装置に接続可能な外部デバイス装置に保存する。
クライアント131は、訪問先認証サーバ112へ接続する際、訪問先認証サーバ112に示されたログイン画面1201において、ビジター1207を選択し、新しく表示されるチケット提出画面1211において、パスフレーズ1212を入力する。そして、入力されたパスフレーズで復号された共通鍵を用いて、ホーム認証サーバ111から受け取ったチケット1601を復号して、訪問先認証サーバ112へ提出する。
訪問先認証サーバ112は、認証チケット1601が正しく復号できていることによって、クライアント131が認証チケット1601の持ち主であることを確認する。その他の動作は、前述した第1の実施の形態と同じである。
前述した第1の実施の形態(公開鍵暗号方式)では、チケット提出時にクライアント131の秘密鍵を使用するために、仮にチケット1501、1502が盗難に遭ったとしても、クライアントの成り済ましを防ぐことができる。しかし、第2の実施の形態(共通鍵暗号方式)では、悪意を持つ第三者に、復号したチケット1601を盗聴された場合、成り済ましを防ぐことができない。このため、公開鍵暗号方式は、共通鍵暗号方式と比較して強固なセキュリティを確保できる。
しかし、公開鍵暗号方式は一般的に共通鍵暗号方式と比較して処理負荷が重い。そこで、既に立ち入り制限が行われているような場所で、クライアントの識別を行うために認証チケットを用いる場合には、共通鍵方式の認証チケット1601を用いることによって、処理負荷を低減することができる。
(第3実施形態)
第3の実施の形態では、連携する認証サーバの数が多くなり、全ての認証サーバの信頼関係をメッシュで構築することが困難な場合を考える。そこで、第3の実施の形態では、第1及び第2の実施の形態で用いた連携サーバDB1101(図8)の代わりに、認証サーバ1711〜1713を認証する上位認証局(上位CA)1701を設けた。上位認証局1701が各認証サーバ1711〜1713に発行する電子証明書(CA証明書)2001を用いて、連携する認証サーバ1711〜1713間の信頼関係を構築する。
なお、第3の実施の形態では、前述した第1及び第2の実施の形態と同じ構成には同じ符号を付し、その説明は省略する。
図17は、第3の実施の形態のネットワークシステムの構成図である。
上位認証局1701は、自分が管理する認証サーバ1711〜1713のリスト1800(図18参照)を持ち、各認証サーバ1711〜1713にCA証明書2001(図20(c)参照)を発行する。また、上位認証局1701は、上位認証局1701の公開鍵が記載されたルートCA証明書1901(図19参照)を、各認証サーバ1711〜1713に配布する。なお、上位認証局1701は、認証サーバ1711〜1713が兼ねてもよい。
図18は、第3の実施の形態の認証サーバリストの構成図である。
認証サーバリスト1800は、上位認証局が管理する認証サーバ1711〜1713のリストである。
認証サーバリスト1800は、認証サーバ名1801、ネットワークアドレス1802、公開鍵1803及び公開鍵の有効期限1804を含む。
図19は、第3の実施の形態のルートCA証明書1901の構成図である。
ルートCA証明書1901は、証明書番号、上位CA名、上位CAの公開鍵、公開鍵の有効期限、上位CAのネットワークアドレス及び上位CAのデジタル署名を含む。
各認証サーバ1711〜1713は、自サーバに対して発行されたCA証明書2001、及び上位認証局1701のルートCA証明書1901をサーバ内に記録する。ホーム認証サーバ1711は、ホームクライアントに認証チケット1501を発行するときに、上位認証局1701から発行されたCA証明書2001も配布する。
クライアント131は、訪問先認証サーバ1712で認証処理を受けるとき、図20(d)に示すように、ホーム認証サーバ1711のCA証明書2001を認証チケット1502に添えて、訪問先認証サーバ1712に提出する(2002)。
訪問先認証サーバ1712は、サーバ内に記録されたルートCA証明書1901に含まれる上位認証局1701の公開鍵を用いてCA証明書2001を検証し、クライアント131の認証チケット1502を、第1の実施の形態と同じ手順を用いて検証する。そして、これらの検証結果に基づいて、クライアント131の接続を許可又は拒否する。このとき、ホーム認証サーバ1711の公開鍵はCA証明書2001内に記載された公開鍵を用いる。
図21は、第3の実施の形態のクライアント131が認証チケット1501を保持していない場合の認証処理のタイミング図である。
第3の実施の形態では、第1の実施の形態のように、認証サーバが連携サーバDB1100を持たないため、訪問先認証サーバ1712は、認証チケット1501を持たないクライアント131に、ホーム認証サーバの一覧を提示することができない。そこで、上位認証局1701は、クライアント131に認証サーバの一覧画面を送信し、クライアント131にホーム認証サーバを選択させ、クライアント131からの接続要求をホーム認証サーバ1711にリダイレクトする機能を持たせる。
まず、事前の処理として、上位認証局1701は、あらかじめ、ルートCA証明書1901及びCA証明書2001を各認証サーバ1711、1712に配布する(2101、2102)。
クライアント131が訪問先認証サーバ1712に接続要求を出すと(2104)、接続要求を受けた訪問先認証サーバ1712は、クライアント131に認証情報を要求する(2105)。クライアント131が認証チケット1501を持たないとき、訪問先認証サーバ1712は、クライアント131からの接続要求を上位認証局1701にリダイレクトする(2108)。
上位認証局1701は、リダイレクトを受けると、クライアント131に認証サーバ1711〜1713の一覧を送信する。クライアント131は、認証サーバ1711〜1713の一覧を表示し、ホーム認証サーバの選択を促す(2109)。
その後、クライアント131によってホーム認証サーバ1711が選択されると(2110)、上位認証局1701は、クライアント131によって選択されたホーム認証サーバ1711へ、クライアント131からの接続要求をリダイレクトする(2111)。ホーム認証サーバ1711は、リダイレクトを受けると、クライアント131に認証情報を要求する(2112)。クライアント131は、認証情報の要求を受けると、ホーム認証サーバ1711へ認証情報としてID及びパスワードを返信する(2113)。
ホーム認証サーバ1711は、ID及びパスワードを受信すると、ID及びパスワードを用いた認証を行う(2114)。そして、認証に成功すると、ホーム認証サーバ1711の秘密鍵を用いた電子署名を付加した認証チケット1501を発行し、CA証明書2001と共にクライアント131に送る(2115)。また、同じ認証チケット1501及びCA証明書2001を訪問先認証サーバ1712へ送る(2116)。その後、クライアント131からの接続要求を訪問先認証サーバ1712へリダイレクトする(2117)。
訪問先認証サーバ1712は、リダイレクトを受けると、ルートCA証明書1901内の上位認証局の公開鍵を用いて、送付されたCA証明書1901を検証する。また、CA証明書1901内のホーム認証サーバの公開鍵を用いて、送付された認証チケット1501を検証する(2118)。その結果、送付された認証チケット1501及びCA証明書1901の有効性を確認すると、クライアント131の接続を許可する(2119)。接続許可を受けたクライアント131は訪問先LANに接続し、通信を開始する。
一方、ホーム認証サーバ1711における認証(2114)に失敗すると、ホーム認証サーバ1711は、認証エラー通知を訪問先認証サーバ1712に送り、クライアント131からの接続要求を訪問先認証サーバ1712へリダイレクトする。訪問先認証サーバ1712はクライアント131の接続を拒否する。
期限切れの認証チケット1501を持つクライアント131は、クライアント131によって提示されたCA証明書(クライアントのホーム認証サーバのCA証明書)2001に記されたホーム認証サーバ1711のネットワークアドレスに基づいて、クライアント131からの接続要求をホーム認証サーバ1711へリダイレクトする(2120)。以降の処理は(2112〜2119)、認証チケット1501を持たないクライアントの処理と同じである。
(第4実施形態)
前述した第3の実施の形態において、上位認証局1701が一つ存在する場合を示した。第4の実施の形態では、複数の上位認証局が存在し2201〜2203、上位認証局同士2201〜2203が相互認証によって信頼関係を構築する例を示す。
なお、第4の実施の形態では、前述した第1〜第3の実施の形態と同じ構成には同じ符号を付し、その説明は省略する。
図22は、第4の実施の形態のネットワークシステムの構成図である。
クライアント131の利便性を図るために、認証サーバ2211〜2213をクライアントに分かりやすい形態でグループ分けし(例えば、地区毎等)、各グループ2231〜2233には、各グループ2231〜2233を管理する上位認証局2201〜2203を設ける。また、各上位認証局2201〜2203には、グループ2231〜2233を判別しやすい識別子を付す。
上位認証局2201〜2203同士は、互いのルートCA証明書1901を交換し合い、各ルート証明書1901を保持する。更に、上位認証局2201〜2203は、取得した各ルートCA証明書1901を管理下の認証サーバ2211〜2213へ転送する。各認証サーバ2211〜2213は、上位認証局2201〜2203のルート証明書1901をサーバ内に記録する。又は、各認証サーバ2211〜2213は、上位認証局リスト2300を保持してもよい。
図23は、第4の実施の形態の上位CAリスト2300の構成図である。
上位CAリスト2300は、上位CA名2301、公開鍵2302、公開鍵の有効期限2303及びネットワークアドレス2304を含む。
以上説明した方法によって、認証サーバ2211〜2213は、各上位認証局2201〜2203の公開鍵及びネットワークアドレスの一覧を保持する。また、上位認証局2201〜2203は、第3の実施の形態と同様に自分が管理する認証サーバの一覧が登録された認証サーバリスト1800を保持する。
次に、クライアント131の認証方法を説明する。クライアント131が訪問先認証サーバ2212.1に認証チケット1502(図20(b)参照)、及びホーム認証サーバ2211.1のCA証明書2001を提示すると、訪問先認証サーバ2212.1は自サーバ内に保持している上位認証局のルートCA証明書1901(又は、上位CAリスト2301)から、クライアント131が属する上位認証局2201の公開鍵を求め、クライアント131によって提示されたCA証明書2001の正当性を評価する。その後の処理は、第3の実施の形態と同様である。
クライアント131に示された認証チケット1502が有効期限切れの場合、提示されたCA証明書内2001のホーム認証サーバ2211.1のネットワークアドレスを用いて、クライアント131をホーム認証サーバ2211.1へリダイレクトする。その後の処理は第3の実施の形態と同じである。
図24は、第4の実施の形態のクライアント131が認証チケット1501を保持していない場合の認証処理のタイミング図である。
まず、事前の処理として、上位認証局2201〜2203は、あらかじめ、上位認証局2201〜2203のルートCA証明書1901を各認証サーバ2211〜2213へ配布する(2401〜2406)。また、上位認証サーバ2201〜2203は、管理下の認証サーバ2211〜2213へ、上位認証局の秘密鍵で署名されたCA証明書2001を発行する(2405、2406)。
クライアント131が訪問先認証サーバ2212.1に接続要求を出すと(2408)、接続要求を受けた訪問先認証サーバ2212.1は、クライアント131に認証情報を要求する(2409)。クライアント131によって認証チケットを提出しない旨が選択されると(2410)、訪問先認証サーバ2212.1は、クライアント131に上位認証局2201〜2203の一覧画面を送信し上位認証局の選択を促す(2412)。
その後、クライアント131によって上位認証局2201が選択されると(2413)、訪問先認証サーバ2212.1は、選択された上位認証局2201へ、クライアントからの接続要求をリダイレクトする(2414)。
上位認証局2201は、リダイレクトを受けると、クライアント131に認証サーバ2211.1〜2211.3の一覧画面を送信し、ホーム認証サーバの選択を促す(2415)。クライアント131がホーム認証サーバ2211.1を選択すると(2416)、選択されたホーム認証サーバ2211.1へ、クライアント131からの接続要求をリダイレクトする(2417)。
ホーム認証サーバ2211.1は、リダイレクトを受けると、クライアント131に認証情報を要求する(2418)、クライアント131は、認証情報の要求を受けると、ホーム認証サーバ2211.1へ認証情報としてID及びパスワードを返信する(2419)。
ホーム認証サーバ2211.1は、ID及びパスワードを受信すると、ID及びパスワードを用いた認証を行う(2420)。そして、認証に成功すると、ホーム認証サーバの秘密鍵を用いた電子署名が付加された認証チケット1501をクライアント131に発行し、自サーバのCA証明書2001と共にクライアント131に送る(2421)。また、同じ認証チケット1501及びCA証明書2001を訪問先認証サーバ2212.1へ送る(2422)。その後、ホーム認証サーバ2211.1は、クライアント131からの接続要求を訪問先認証サーバ2212.1へリダイレクトする(2423)。
訪問先認証サーバ2212.1は、リダイレクトを受けると、自分が保管するルートCA証明書内の上位認証局の公開鍵を用いて、送付されたCA証明書2001を検証する。また、CA証明書2001内のホーム認証サーバ2211.1の公開鍵を用いて認証チケット1501を検証する(2424)。その結果、送付された認証チケット1501及びCA証明書1901の有効性を確認すると(2424)、クライアント131の接続を許可する(2425)。接続許可を受けたクライアント131は訪問先LANに接続し、通信を開始する。
一方、ホーム認証サーバ2211.1における認証に失敗すると、ホーム認証サーバ2211.1は、認証エラーを訪問先認証サーバ2212.1へ送り、クライアント131からの接続要求を、訪問先認証サーバ2212.1へリダイレクトする。訪問先認証サーバ2212.1はクライアン131の接続を拒否する。
(第5実施形態)
第5の実施の形態では、第1の実施の形態において、課金制御を行う例を示す。
なお、第5の実施の形態では、前述した第1〜第4の実施の形態と同じ構成には同じ符号を付し、その説明は省略する。
図25は、第5の実施の形態の認証チケットの構成図である。
第5の実施の形態の認証チケットは、第1の実施の形態で示した情報の他に、クライアントの課金用情報として口座番号(又は、クレジットカード番号等)を含む。
ホーム認証サーバ111によって発行された認証チケット2501を持つクライアント131は、訪問先認証サーバ112に接続を要求する際、クライアント131の秘密鍵による署名を付した認証チケット2502を提示する。訪問先認証サーバ112は、第1の実施の形態と同じ方法で認証チケット2502を検証し、その正当性を確認すると、クライアント131の接続を許可する。
また、クライアント131が有料サービスを利用する場合、認証チケット2501内の課金情報に基づいて課金先を決定する。なお、認証サーバとは独立して課金サーバを設置してもよい。
第一に、本発明は、企業内イントラネットに適用することができる。
ホーム認証サーバで認証チケットを発行されたクライアントは、出張時に訪問先認証サーバへ認証チケットを提出し認証を受けることによって、出張先のLANへの接続が許可される。クライアントの登録元である営業所、支店、事業部、研究所等がホーム認証サーバの属性に相当し、クライアントの担当分野、役職、取引先などがホーム認証サーバによって与えられるクライアントの属性値に相当する。
訪問先認証サーバではホーム認証サーバの属性とホーム認証サーバがクライアントに与えた属性値を自ドメインにおけるクライアントの属性値へマッピングし、自ドメイン内でのアクセス制御に用いる。なお、定期的な人事異動など大掛かりな移動が予測される時は、認証チケットの有効期限を移動日前日に設定することにより、一度に大量の無効通知が流れることを防ぐことができる。
第二に、本発明は、大学間の連携に適用することができる。
単位取得などで連携する大学間で認証サーバを連携させることによって、A大学に籍を置きA大学の認証サーバに登録された学生が、B大学の認証サーバによって認証を受けB大学構内のLANに接続することができる。クライアントの属性として、学生、院生、教授、助教授、聴講生、所属学部、学科等の組合せが考えられる。
第三に、本発明は、イベントなどにおける臨時の連携に適用することができる。
学会などで大勢の人が集まる時に、企業や大学等と臨時に認証サーバの連携を行い、クライアントの認証処理を行う。これにより、クライアントは会場LANへのアクセスを許可又は拒否される。この際、スタッフ、発表者、聴講者などの臨時の属性を設けることによって、クライアントのアクセス権を制御することもできる。イベント終了時には、信頼する認証サーバのリストから臨時に連携した認証サーバを消去することによって、連携を容易に解除することができる。
この他にも、認証サーバの属性とクライアントの属性によって、訪問先での属性を細かく設定できることから、企業間などでの部分的な連携にも柔軟に対応できる。
第1の実施の形態のネットワークシステムの構成図である。 第1の実施の形態の認証サーバの構成を示すブロック図である。 第1の実施の形態のクライアント登録DBの構成図である。 第1の実施の形態のクライアント仮登録DBの構成図である。 第1の実施の形態の既発行認証チケットDBの構成図である。 第1の実施の形態の無効チケット登録DBの構成図である。 第1の実施の形態のクライアント属性マッピングDBの構成図である。 第1の実施の形態の連携サーバDBの構成図である。 第1の実施の形態のクライアントからの接続要求を受信した認証サーバの処理を示すフローチャートである。 第1の実施の形態の認証チケットの構成図である。 第1の実施の形態のクライアントからの接続要求のリダイレクトを受けたホーム認証サーバの処理を示すフローチャートである。 第1の実施の形態のホーム認証サーバからクライアントからの接続要求をリダイレクトされた訪問先認証サーバの処理を示すフローチャートである。 第1の実施の形態のチケットを利用した認証処理が成功した時のタイミング図である。 クライアントが有効な認証チケット1502を保持していない場合のタイミング図である。 第1の実施の形態のクライアントに表示されるログイン画面の一例である。 第2の実施の形態の認証チケットの構成図である。 第3の実施の形態のネットワークシステムの構成図である。 第3の実施の形態の認証サーバリストの構成図である。 第3の実施の形態のルートCA証明書の構成図である。 第3の実施の形態の認証チケットの構成図である。 第3の実施の形態のクライアントが認証チケットを保持していない場合の認証処理のタイミング図である。 第4の実施の形態のネットワークシステムの構成図である。 第4の実施の形態の上位CAリストの構成図である。 第4の実施の形態のクライアントが認証チケットを保持していない場合の認証処理のタイミング図である。 第5の実施の形態の認証チケットの構成図である。
符号の説明
101 インターネット
111〜113 認証サーバ
121〜123 認証ドメイン
131〜133 クライアント
1701 上位認証局(上位CA)
1711〜1713 認証サーバ
1721〜1723 認証ドメイン
2201〜2203 上位認証局(上位CA)
2211.1〜2213.3 認証サーバ
2221.1〜2223.3 認証ドメイン

Claims (28)

  1. 一つ以上の認証サーバを持つ認証ドメインがネットワークを介して複数接続された広域ネットワークシステムであって、
    前記認証サーバは、
    各認証サーバ間で構築された信頼関係を保持し、
    自サーバに認証用データを持つクライアントに有効期限付きの認証チケットを発行し、
    信頼関係が構築されている他の認証サーバによって発行された認証チケットの有効性を検証し、
    前記認証チケットの有効性が確認されると、認証成功とすることを特徴とするネットワークシステム。
  2. 前記認証サーバは、
    公開鍵及び秘密鍵の対を作成し、
    前記作成された公開鍵及び秘密鍵の対を保持し、
    さらに、前記信頼関係が構築されている他の認証サーバの公開鍵、該公開鍵の有効期限、前記認証サーバの宛先及び前記認証サーバの属性値を、前記認証サーバの情報として保持することを特徴とする請求項1に記載のネットワークシステム。
  3. 前記認証サーバは、
    前記クライアントが持つ秘密鍵と対になった公開鍵を記録し、
    チケット番号、クライアントの識別子、クライアントの公開鍵、クライアントの属性、該公開鍵の有効期限及び該認証サーバ名を含み、該認証サーバの秘密鍵を用いた電子署名を付与した認証チケットを発行し、
    前記クライアントによって提示された認証チケット内に記載された認証サーバ名に基づいて、前記保持された認証サーバの情報から該認証サーバの公開鍵を特定し、
    前記特定された公開鍵を用いて該認証チケットを検証し、
    該認証チケット内に記載されたクライアントの公開鍵を用いてクライアントの電子署名を検証することを特徴とする請求項2に記載のネットワークシステム。
  4. 前記認証サーバは、
    前記クライアント毎に異なる共通鍵を保持し、
    チケット番号、クライアントの識別子、クライアントの属性、該公開鍵の有効期限及び該認証サーバ名を含み、該認証サーバの秘密鍵を用いた電子署名を付与した認証チケットを、前記クライアントの共通鍵で暗号化して発行し、
    前記信頼関係が構築されている他の認証サーバのリストから、クライアントによって提示された認証チケット内に記載された認証サーバ名に基づいて、前記保持された認証サーバの情報から該認証サーバの公開鍵を特定し、
    前記特定された公開鍵を用いて該認証チケットを検証することを特徴とする請求項2に記載のネットワークシステム。
  5. 前記認証サーバは、
    該認証サーバに認証用データが登録されたクライアントからの接続要求を受けると、該クライアントに認証チケットを発行し、
    前記発行した認証チケットを記録することを特徴とする請求項3又は4に記載のネットワークシステム。
  6. 前記認証サーバは、
    前記認証サーバが発行した認証チケットが無効になると、前記無効となったチケットを無効チケットとして記録し、前記信頼関係が構築されている他の認証サーバに該認証チケットの無効を通知し、
    前記他の認証サーバから無効となった認証チケットの通知を受けると、該認証チケットを無効チケットとして記録し、前記認証チケットの検証時に記録された無効チケットと比較することを特徴とする請求項5に記載のネットワークシステム。
  7. 前記認証サーバは、識別子が同一のクライアントについて異なる無効となった認証チケットが存在する場合、有効期限が後に到来する認証チケットを無効チケットとして記録し、有効期限が先に到来する認証チケットは記録しないことを備えた請求項6に記載のネットワークシステム。
  8. 前記認証サーバは、認証チケットの検証時に、該認証チケットと同一のクライアント識別子を持つ異なる無効チケットが存在する場合、検証に係る認証チケットの有効期限が記録されている無効チケットの有効期限より先に到来する場合には、検証に係る該認証チケットを無効と判定することを特徴とする請求項7に記載のネットワークシステム。
  9. 前記認証サーバは、
    チケット提出用画面を前記クライアントに送信し、
    前記信頼関係が構築されている他の認証サーバの一覧を前記クライアントに送信表示し、前記クライアントに他の認証サーバを選択させ、
    前記クライアントからの接続要求を、前記選択された認証サーバへリダイレクトすることを特徴とする請求項5に記載のネットワークシステム。
  10. 前記認証サーバは、前記クライアントによって提示された認証チケットが有効期限切れであれば、該チケットを提示したクライアントに、該チケットの期限切れを通知し、該認証チケット内に記載された認証サーバへ、前記クライアントからの接続要求をリダイレクトすることを特徴とする請求項9に記載のネットワークシステム。
  11. 前記認証サーバは、
    前記信頼関係が構築されている他の認証サーバからクライアントの接続要求がリダイレクトされると、前記リダイレクトされた接続要求を発したクライアントの認証処理を行い、
    前記認証が成功すると、該クライアントに認証チケットを発行し、同認証チケットをリダイレクト元の認証サーバへ送付し、
    前記認証が失敗すると、該認証エラーをリダイレクト元の認証サーバへ通知し、該クライアントからの接続要求をリダイレクト元の認証サーバへリダイレクトすることを特徴とする請求項9又は請求項10に記載のネットワークシステム。
  12. 前記認証サーバは、前記クライアントによって提示された認証チケット内のクライアント属性値及び該認証チケットを発行した認証サーバの属性値と、自サーバが管理する認証ドメイン内における該クライアントの属性値との関連を特定することを特徴とする請求項5に記載のネットワークシステム。
  13. 前記認証サーバは、
    前記信頼関係が構築されている他の認証サーバが新公開鍵及び旧公開鍵を持つ場合に、前記信頼関係が構築されている認証サーバに対して、新旧二つの公開鍵を登録し、前記認証チケットの検証時に二つの公開鍵をどちらも使用可能な有効期限を設定し、前記設定された有効期限を登録し、
    前記有効期限内は、何れか一方の公開鍵で認証チケットの検証に成功すると、認証成功と判定することを特徴とする請求項5に記載のネットワークシステム。
  14. 前記認証サーバは、
    前記信頼関係が構築されている他の認証サーバから発行された認証チケットによる検証に成功したクライアントを、該認証チケットの有効期限内に限り仮登録し、
    前記仮登録期間中は、前記登録された仮登録データを用いて認証処理を行うことを特徴とする請求項5に記載のネットワークシステム。
  15. 前記認証サーバは、
    前記仮登録時に使用した該クライアントの認証チケットが期限切れになると、前記仮登録されたデータを削除し、
    前記他の認証サーバから無効となった認証チケットの通知を受けると、前記通知された無効チケットと前記仮登録されたデータとを比較し、前記通知された無効チケットと前記仮登録されたデータとが同一であると判定すると、前記仮登録されたデータを削除することを特徴とする請求項14に記載のネットワークシステム。
  16. 前記ネットワークシステムは、上位認証局を備え、
    前記認証サーバは、前記上位認証局から前記各認証サーバに発行される証明書、及び、上位認証局から前記各認証サーバに発行される上位認証局のルート証明書を用いて、信頼関係を構築することを特徴とする請求項1に記載のネットワークシステム。
  17. 前記上位認証局は、前記認証サーバとは別に設置されることを特徴とする請求項16に記載のネットワークシステム。
  18. 前記認証サーバの一つ又は複数が、上位認証局を兼ねることを特徴とする請求項16に記載のネットワークシステム。
  19. 前記上位認証局は、
    自己が管理する前記認証サーバを認証し、
    該認証した認証サーバに、該認証サーバの公開鍵を含む前記証明書を発行し、
    該認証した認証サーバに、該上位認証局の公開鍵を含む前記ルート証明書を配布し、
    前記クライアントに、管理下の前記認証サーバの情報を送信し、
    前記クライアントからの接続要求を、前記クライアントによって選択された認証サーバへリダイレクトすることを特徴とする請求項17又は18に記載のネットワークシステム。
  20. 前記上位認証局は複数設けられ、
    前記上位認証局は、他の上位認証局にルート証明書を配布し、
    前記他の上位認証局から配布されたルート証明書を、管理下の前記認証サーバに転送し、
    前記クライアントに、他の上位認証局の情報を送信し、
    前記クライアントからの接続要求を、前記クライアントによって選択された上位認証局へリダイレクトすることを特徴とする請求項19に記載のネットワークシステム。
  21. 前記認証サーバが、
    前記上位認証局から配布されたルート証明書、及び、前記上位認証局から発行された自サーバの公開鍵を含む証明書を保持し、
    チケット番号、クライアントの識別子、クライアントの属性、該公開鍵の有効期限及び該認証サーバ名を少なくとも含み、該認証サーバの秘密鍵を用いた電子署名を付与した認証チケットを、前記クライアントに発行し、
    前記認証チケットの発行時に、該証明書を配布し、
    前記クライアントに提示された他認証サーバの証明書を、前記ルート証明書内の上位認証局の公開鍵を用いて検証し、
    前記クライアントに発行された認証チケットを、同時に提示された証明書内の認証サーバの公開鍵を用いて検証することを特徴とする請求項19又は20に記載のネットワークシステム。
  22. 前記認証サーバは、前記認証チケットを持たない前記クライアントからの接続要求を、前記上位認証局にリダイレクトすることを特徴とする請求項21に記載のネットワークシステム。
  23. 前記認証サーバは、自サーバが発行した認証チケットの不正使用を検出すると、該認証チケットが発行された前記クライアントに不正使用が生じたことを通知することを特徴とする請求項5又は21に記載のネットワークシステム。
  24. 前記クライアントは、
    秘密鍵と公開鍵の対を保持し、
    前記認証サーバから発行された認証チケットを保持し、
    前記他の認証サーバへの接続要求時に、前記保持された認証チケットに秘密鍵を用いた電子署名を付加し、前記電子署名を付加した認証チケットを提示することを特徴とする請求項5又は21に記載のネットワークシステム。
  25. 前記クライアントは、
    前記認証サーバとの間で共通鍵を保持し、
    前記認証サーバから発行された共通鍵によって暗号化された認証チケットを保持し、
    前記他の認証サーバへの接続要求時に、保持されている認証チケットを前記共通鍵で復号して提示することを特徴とする請求項5又は21に記載のネットワークシステム。
  26. 前記クライアントは、前記認証サーバから配布された証明書を、前記他の認証サーバへの接続時に、前記認証チケットと共に提示することを特徴とする請求項21に記載のネットワークシステム。
  27. 前記認証チケットは、前記クライアントに対する課金先の情報を含み、
    前記認証サーバが、前記認証チケットに含まれる課金先情報に基づいて、課金先を決定し、前記クライアントへの課金額を算出し、前記課金先へ課金することを特徴とする請求項5又は21に記載のネットワークシステム。
  28. 前記認証チケットに記載された課金先情報に基づいて前記クライアントへの課金額を算出する課金サーバを、前記認証サーバとは独立に設けることを特徴とする請求項5又は21に記載のネットワークシステム。
JP2005298579A 2005-10-13 2005-10-13 ネットワークシステム Pending JP2007110377A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005298579A JP2007110377A (ja) 2005-10-13 2005-10-13 ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005298579A JP2007110377A (ja) 2005-10-13 2005-10-13 ネットワークシステム

Publications (1)

Publication Number Publication Date
JP2007110377A true JP2007110377A (ja) 2007-04-26

Family

ID=38035876

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005298579A Pending JP2007110377A (ja) 2005-10-13 2005-10-13 ネットワークシステム

Country Status (1)

Country Link
JP (1) JP2007110377A (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287395A (ja) * 2007-05-16 2008-11-27 Konica Minolta Holdings Inc 認証方法及び認証システム
WO2009093485A1 (ja) * 2008-01-24 2009-07-30 Konica Minolta Holdings, Inc. 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
JP2010193158A (ja) * 2009-02-18 2010-09-02 Oki Networks Co Ltd 無線通信装置及び無線通信装置の認証方法
JP2011510565A (ja) * 2008-01-18 2011-03-31 アイデントラスト, インコーポレイテッド 複数の信頼ドメインへのデジタル証明書のバインディング
JP2013106250A (ja) * 2011-11-15 2013-05-30 Infocraft Inc 分散アクセス制御機構及び分散アクセス制御方法、並びに、分散アクセス制御プログラム及び分散アクセス制御プログラムを記録した記録媒体
JP2014501959A (ja) * 2010-11-11 2014-01-23 エヌイーシー ヨーロッパ リミテッド ユーザにサービスアクセスを提供する方法およびシステム
JP2015153096A (ja) * 2014-02-13 2015-08-24 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP2015219687A (ja) * 2014-05-16 2015-12-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
JP2015226072A (ja) * 2014-05-26 2015-12-14 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
JP2017525236A (ja) * 2014-06-19 2017-08-31 マイクロソフト テクノロジー ライセンシング,エルエルシー 増強メディア・プラットフォームによる通信の安全確保
JPWO2017159619A1 (ja) * 2016-03-14 2018-12-27 株式会社リコー サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム
WO2019156089A1 (ja) * 2018-02-09 2019-08-15 日本電信電話株式会社 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
JP2020201539A (ja) * 2019-06-06 2020-12-17 富士通株式会社 通信プログラム、通信方法、および、通信装置
US11076010B2 (en) 2016-03-29 2021-07-27 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11108772B2 (en) 2016-03-29 2021-08-31 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11128623B2 (en) 2016-03-29 2021-09-21 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11502850B2 (en) 2019-04-26 2022-11-15 Casio Computer Co., Ltd. Server apparatus, client terminal, information processing system and information processing method
WO2023276826A1 (ja) * 2021-07-02 2023-01-05 株式会社デンソー ルーティング装置、管理センター装置、ユーザ認証方法、及びユーザ認証プログラム

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287395A (ja) * 2007-05-16 2008-11-27 Konica Minolta Holdings Inc 認証方法及び認証システム
JP2011510565A (ja) * 2008-01-18 2011-03-31 アイデントラスト, インコーポレイテッド 複数の信頼ドメインへのデジタル証明書のバインディング
US8793487B2 (en) 2008-01-18 2014-07-29 Identrust, Inc. Binding a digital certificate to multiple trust domains
WO2009093485A1 (ja) * 2008-01-24 2009-07-30 Konica Minolta Holdings, Inc. 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
JP5556180B2 (ja) * 2008-01-24 2014-07-23 コニカミノルタ株式会社 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
JP2010193158A (ja) * 2009-02-18 2010-09-02 Oki Networks Co Ltd 無線通信装置及び無線通信装置の認証方法
JP2014501959A (ja) * 2010-11-11 2014-01-23 エヌイーシー ヨーロッパ リミテッド ユーザにサービスアクセスを提供する方法およびシステム
JP2013106250A (ja) * 2011-11-15 2013-05-30 Infocraft Inc 分散アクセス制御機構及び分散アクセス制御方法、並びに、分散アクセス制御プログラム及び分散アクセス制御プログラムを記録した記録媒体
JP2015153096A (ja) * 2014-02-13 2015-08-24 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP2015219687A (ja) * 2014-05-16 2015-12-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
JP2015226072A (ja) * 2014-05-26 2015-12-14 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
JP2017525236A (ja) * 2014-06-19 2017-08-31 マイクロソフト テクノロジー ライセンシング,エルエルシー 増強メディア・プラットフォームによる通信の安全確保
JPWO2017159619A1 (ja) * 2016-03-14 2018-12-27 株式会社リコー サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム
US11025603B2 (en) 2016-03-14 2021-06-01 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11076010B2 (en) 2016-03-29 2021-07-27 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11108772B2 (en) 2016-03-29 2021-08-31 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11128623B2 (en) 2016-03-29 2021-09-21 Ricoh Company, Ltd. Service providing system, service delivery system, service providing method, and non-transitory recording medium
WO2019156089A1 (ja) * 2018-02-09 2019-08-15 日本電信電話株式会社 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
JP2019140540A (ja) * 2018-02-09 2019-08-22 日本電信電話株式会社 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
US11502850B2 (en) 2019-04-26 2022-11-15 Casio Computer Co., Ltd. Server apparatus, client terminal, information processing system and information processing method
JP2020201539A (ja) * 2019-06-06 2020-12-17 富士通株式会社 通信プログラム、通信方法、および、通信装置
JP7215342B2 (ja) 2019-06-06 2023-01-31 富士通株式会社 通信プログラム、通信方法、および、通信装置
WO2023276826A1 (ja) * 2021-07-02 2023-01-05 株式会社デンソー ルーティング装置、管理センター装置、ユーザ認証方法、及びユーザ認証プログラム

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
JP2007110377A (ja) ネットワークシステム
US6715073B1 (en) Secure server using public key registration and methods of operation
US8423762B2 (en) Common access card heterogeneous (CACHET) system and method
US7743248B2 (en) System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US6324645B1 (en) Risk management for public key management infrastructure using digital certificates
US10664577B2 (en) Authentication using delegated identities
US10567370B2 (en) Certificate authority
JP2022504420A (ja) デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム
US7320073B2 (en) Secure method for roaming keys and certificates
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US9122865B2 (en) System and method to establish and use credentials for a common lightweight identity through digital certificates
CN111049835B (zh) 分布式公共证书服务网络的统一身份管理系统
JPH10269184A (ja) ネットワークシステムのセキュリティ管理方法
JP2005521279A (ja) セキュア・サービス・アクセス提供システム及び方法
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
JP2002335239A (ja) シングルサインオン認証方法及びシステム装置
JP2012519995A (ja) ネットワーク通信を保護する方法および装置
JP2001186122A (ja) 認証システム及び認証方法
CN110119598A (zh) 一种数字证照签发方法、验证方法及其系统
US6795920B1 (en) Vault controller secure depositor for managing secure communication
JP2005149341A (ja) 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム
JPH05298174A (ja) 遠隔ファイルアクセスシステム
KR20030035025A (ko) 공개키 기반구조의 공인 인증서를 이용한 신원확인 서비스제공 시스템 및 그 방법
Yeh et al. Applying lightweight directory access protocol service on session certification authority

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090811