JP2019208096A - Network management device and network system - Google Patents

Network management device and network system Download PDF

Info

Publication number
JP2019208096A
JP2019208096A JP2018101335A JP2018101335A JP2019208096A JP 2019208096 A JP2019208096 A JP 2019208096A JP 2018101335 A JP2018101335 A JP 2018101335A JP 2018101335 A JP2018101335 A JP 2018101335A JP 2019208096 A JP2019208096 A JP 2019208096A
Authority
JP
Japan
Prior art keywords
certificate
user terminal
network
client certificate
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018101335A
Other languages
Japanese (ja)
Other versions
JP6945498B2 (en
Inventor
浩志 西野宮
Hiroshi Nishinomiya
浩志 西野宮
晃 大森
Akira Omori
晃 大森
秀隆 益子
Hidetaka Masuko
秀隆 益子
勝人 小野
Katsuto Ono
勝人 小野
伊藤 雅人
Masahito Ito
雅人 伊藤
馨 江藤
Kaoru Eto
馨 江藤
武 松澤
Takeshi Matsuzawa
武 松澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
HC Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HC Networks Ltd filed Critical HC Networks Ltd
Priority to JP2018101335A priority Critical patent/JP6945498B2/en
Publication of JP2019208096A publication Critical patent/JP2019208096A/en
Application granted granted Critical
Publication of JP6945498B2 publication Critical patent/JP6945498B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a network management device and a network system that can reduce the burden on a network administrator or the like.SOLUTION: A certificate distribution unit 16a in a network management device expands a first file that is a p12 file received from a certificate authority CA and in which a client certificate is archived into a client certificate by using the initial password received from the certificate authority CA (step S205). Further, in response to a client certificate acquisition request from a user terminal 20, the certificate distribution unit 16a causes a user 21 to input an arbitrary password, and archives the client certificate after the expansion in the step S205 in the second file to be the p12 file with the arbitrary password, and then transmits the second file to the user terminal 20 (steps S210 and S211).SELECTED DRAWING: Figure 2

Description

本発明は、ネットワーク管理装置およびネットワークシステムに関し、例えば、クライアント証明書の配付機能を備えるネットワーク管理装置およびネットワークシステムに関する。   The present invention relates to a network management apparatus and a network system, for example, a network management apparatus and a network system having a client certificate distribution function.

特許文献1に示される証明書発行装置は、端末装置からの証明書取得要求に応じて、端末装置へパスワード入力画面を送信し、パスワード認証の後、端末装置へPKCS#12形式の証明書ファイルを送信する。当該パスワードは、事前に、オンラインまたはオフライン(郵便等の手段)で端末装置のユーザへ通知される。   The certificate issuing device disclosed in Patent Literature 1 transmits a password input screen to the terminal device in response to a certificate acquisition request from the terminal device. After password authentication, the certificate file in the PKCS # 12 format is transmitted to the terminal device. Send. The password is notified to the user of the terminal device in advance online or offline (such as mail).

特開2006−67515号公報JP 2006-67515 A

例えば、企業等のネットワークシステムにおいてクライアント証明書を使用してユーザ認証やコンピュータ認証を行う場合、各ユーザが使用するユーザ端末には、予め、クライアント証明書がインストールされる必要がある。そこで、通常、ネットワーク管理者等は、認証局にクライアント証明書の発行を申請し、認証局によって発行されたクライアント証明書を含むPKCS#12形式のファイル(明細書ではp12ファイルと呼ぶ)を各ユーザ(ユーザ端末)へ配付する。各ユーザは、当該p12ファイルに含まれるクライアント証明書を自身のユーザ端末にインストールする。   For example, when user authentication or computer authentication is performed using a client certificate in a network system of a company or the like, a client certificate needs to be installed in advance on a user terminal used by each user. Therefore, normally, a network administrator or the like applies to a certificate authority for issuance of a client certificate, and each PKCS # 12 format file (referred to as a p12 file in the specification) that includes the client certificate issued by the certificate authority. Distribute to users (user terminals). Each user installs the client certificate included in the p12 file in his user terminal.

p12ファイルは、“PKCS #12 Personal Information Exchange Syntax Standard”規格で規定されたフォーマットを有するファイルである。当該規格では、秘密鍵と、それに関連する公開鍵証明書(例えばクライアント証明書)等を1個のファイルとして保管(アーカイブ)するためのフォーマットが規定される。クライアント証明書等は、パスワードによってp12ファイルにアーカイブされた状態で配付される。当該配付されたp12ファイルをクライアント証明書に展開し、ユーザ端末にインストールする際には、アーカイブ時のパスワードが必要となる。このため、ネットワーク管理者等は、各ユーザに対して、p12ファイルを配付する作業に加えて、特許文献1に示されるように、事前に当該p12ファイルのパスワードをメールや書面等で通知する作業を行う必要がある。その結果、ネットワーク管理者等の負担が重くなる。   The p12 file is a file having a format defined by the “PKCS # 12 Personal Information Exchange Syntax Standard” standard. The standard defines a format for storing (archiving) a private key and a public key certificate (for example, a client certificate) related to the private key as one file. The client certificate and the like are distributed in a state archived in a p12 file by a password. When the distributed p12 file is expanded into a client certificate and installed on the user terminal, a password for archiving is required. For this reason, in addition to the work of distributing the p12 file to each user, the network administrator or the like, as shown in Patent Document 1, notifies the password of the p12 file in advance by e-mail or written document. Need to do. As a result, the burden on the network administrator becomes heavy.

本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ネットワーク管理者等の負担を軽減可能なネットワーク管理装置およびネットワークシステムを提供することにある。   The present invention has been made in view of such circumstances, and one of its purposes is to provide a network management apparatus and a network system that can reduce the burden on a network administrator or the like.

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。   The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。   Of the inventions disclosed in the present application, the outline of a typical embodiment will be briefly described as follows.

本実施の形態によるネットワーク管理装置は、第1および第2の処理を実行する。第1の処理において、ネットワーク管理装置は、認証局から受け取ったp12ファイルでありクライアント証明書がアーカイブされている第1のファイルを、認証局から受け取った初期のパスワードでクライアント証明書に展開する。第2の処理において、ネットワーク管理装置は、ユーザ端末からのクライアント証明書の取得要求に応じて、ユーザ端末のユーザに任意のパスワードを入力させ、第1の処理によって得られる展開後のクライアント証明書を当該任意のパスワードでp12ファイルとなる第2のファイルにアーカイブしたのちユーザ端末へ送信する。   The network management device according to the present embodiment executes the first and second processes. In the first process, the network management apparatus expands the first file, which is the p12 file received from the certificate authority and in which the client certificate is archived, into the client certificate with the initial password received from the certificate authority. In the second process, the network management apparatus causes the user of the user terminal to input an arbitrary password in response to a client certificate acquisition request from the user terminal, and obtains the expanded client certificate obtained by the first process. Is archived in a second file to be a p12 file with the arbitrary password and then transmitted to the user terminal.

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワーク管理者等の負担を軽減可能になる。   Of the inventions disclosed in the present application, the effects obtained by the representative embodiments will be briefly described, and the burden on the network administrator or the like can be reduced.

本発明の実施の形態1によるネットワークシステムにおいて、主要部の概略構成例およびネットワーク認証時の概略動作例を示す図である。In the network system by Embodiment 1 of this invention, it is a figure which shows the schematic structural example of the principal part, and the schematic operation example at the time of network authentication. 図1における証明書配付部関連の処理内容の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the processing content relevant to the certificate delivery part in FIG. 図1における証明書配付部の主要部の構成例を示す概略図である。It is the schematic which shows the structural example of the principal part of the certificate delivery part in FIG. 図1におけるネットワーク認証部の主要部の構成例を示す概略図である。It is the schematic which shows the structural example of the principal part of the network authentication part in FIG. 本発明の実施の形態2によるネットワーク管理装置において、図1における証明書配付部の主要部の構成例を示す概略図である。FIG. 6 is a schematic diagram illustrating a configuration example of a main part of a certificate delivery unit in FIG. 1 in a network management device according to a second embodiment of the present invention. 図5の証明書配付部関連の処理内容の一例を示すシーケンス図である。FIG. 6 is a sequence diagram illustrating an example of processing contents related to the certificate delivery unit of FIG. 5.

以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。   In the following embodiment, when it is necessary for the sake of convenience, the description will be divided into a plurality of sections or embodiments. However, unless otherwise specified, they are not irrelevant, and one is the other. Some or all of the modifications, details, supplementary explanations, and the like are related. Further, in the following embodiments, when referring to the number of elements (including the number, numerical value, quantity, range, etc.), especially when clearly indicated and when clearly limited to a specific number in principle, etc. Except, it is not limited to the specific number, and may be more or less than the specific number.

さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。   Further, in the following embodiments, the constituent elements (including element steps and the like) are not necessarily indispensable unless otherwise specified and apparently essential in principle. Needless to say. Similarly, in the following embodiments, when referring to the shapes, positional relationships, etc. of the components, etc., the shapes are substantially the same unless otherwise specified, or otherwise apparent in principle. And the like are included. The same applies to the above numerical values and ranges.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.

(実施の形態1)
《ネットワークシステムの概略構成》
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の概略構成例およびネットワーク認証時の概略動作例を示す図である。図1に示すネットワークシステムは、認証局CAと、L3スイッチL3SWと、L2スイッチL2SW1,L2SW2と、無線LANアクセスポイントAPと、ネットワーク管理装置12と、業務サーバ13と、ディレクトリサーバ14と、ユーザ端末20a,20bとを備える。L3スイッチL3SWは、OSI参照モデルのレイヤ2(L2)(すなわちMACアドレス)に基づく中継処理に加えて、レイヤ3(L3)(すなわちIPアドレス)に基づく中継処理を行う。L2スイッチL2SW1,L2SW2は、OSI参照モデルのレイヤ2(L2)に基づく中継処理を行う。 (Embodiment 1)
<< Schematic configuration of network system >>
FIG. 1 is a diagram showing a schematic configuration example of main parts and a schematic operation example during network authentication in the network system according to the first embodiment of the present invention. The network system shown in FIG. 1 includes a certification authority CA, an L3 switch L3SW, L2 switches L2SW1 and L2SW2, a wireless LAN access point AP, a network management device 12, a business server 13, a directory server 14, and a user terminal. 20a, 20b. The L3 switch L3SW performs relay processing based on the layer 3 (L3) (that is, IP address) in addition to relay processing based on the layer 2 (L2) (that is, MAC address) of the OSI reference model. The L2 switches L2SW1 and L2SW2 perform relay processing based on layer 2 (L2) of the OSI reference model.

この例では、認証局CAおよびディレクトリサーバ14は、IPネットワーク10を介してL3スイッチL3SWに接続される。L2スイッチL2SW1,L2SW2、ネットワーク管理装置12および業務サーバ13は、通信回線(例えば、イーサネット(登録商標)ケーブル)11を介してL3スイッチL3SWに接続される。ユーザ端末20aは、ユーザ21aによって使用され、通信回線11を介してL2スイッチL2SW1に接続される。ユーザ端末20bは、ユーザ21bによって使用され、無線LANアクセスポイントAPとの間で無線通信を行う。無線LANアクセスポイントAPは、通信回線11を介してL2スイッチL2SW2に接続される。また、この例では、ユーザ端末20a,20bには、それぞれ、クライアント証明書25a,25bがインストールされている。   In this example, the certificate authority CA and the directory server 14 are connected to the L3 switch L3SW via the IP network 10. The L2 switches L2SW1, L2SW2, the network management device 12, and the business server 13 are connected to the L3 switch L3SW via a communication line (for example, Ethernet (registered trademark) cable) 11. The user terminal 20a is used by the user 21a and is connected to the L2 switch L2SW1 via the communication line 11. The user terminal 20b is used by the user 21b and performs wireless communication with the wireless LAN access point AP. The wireless LAN access point AP is connected to the L2 switch L2SW2 via the communication line 11. In this example, client certificates 25a and 25b are installed in the user terminals 20a and 20b, respectively.

認証局CAは、クライアント証明書やサーバ証明書といった各種電子証明書を発行する。電子証明書は、広く知られているように、公開鍵の情報やその所有者の情報や有効期限の情報等を含み、これらの各種情報に認証局CAが電子署名を行ったものである。ディレクトリサーバ14は、例えば、LDAP(Lightweight Directory Access Protocol)等を用いてディレクトリサービスを提供するものであり、ネットワーク上に存在する様々なリソースや情報等を管理するサーバである。業務サーバ13は、例えば、各ユーザ21a,21bに、業務で必要な各種情報等を提供するサーバである。   The certificate authority CA issues various electronic certificates such as a client certificate and a server certificate. As is widely known, an electronic certificate includes information on a public key, information on its owner, information on an expiration date, and the like, and the certificate authority CA performs electronic signature on these various types of information. The directory server 14 provides a directory service using, for example, LDAP (Lightweight Directory Access Protocol) or the like, and is a server that manages various resources and information existing on the network. The business server 13 is, for example, a server that provides each user 21a, 21b with various information necessary for business.

ネットワーク管理装置12は、例えば、ネットワーク管理者22によって管理されるサーバ等であり、サーバ上のプログラム処理によって実装されるネットワーク認証部15と証明書配付部16とを備える。ここでは、ネットワーク認証部15および証明書配付部16は、同一のサーバに実装されているが、個別のサーバに実装されてもよい。証明書配付部16は、詳細は後述するが、ユーザ端末20a,20b(ユーザ21a,21b)にクライアント証明書を配布する。ネットワーク認証部15は、IEEE802.1Xに基づく認証サーバの機能を備える。   The network management device 12 is, for example, a server managed by the network administrator 22 and includes a network authentication unit 15 and a certificate distribution unit 16 that are implemented by program processing on the server. Here, the network authentication unit 15 and the certificate distribution unit 16 are mounted on the same server, but may be mounted on individual servers. Although the details will be described later, the certificate distribution unit 16 distributes the client certificate to the user terminals 20a and 20b (users 21a and 21b). The network authentication unit 15 has a function of an authentication server based on IEEE802.1X.

IEEE802.1Xでは、ユーザ端末20a,20b上のソフトウエアとなるサプリカントと、ネットワーク認証部15に該当する認証サーバ(RADIUSサーバ)と、サプリカントと認証サーバとの間の通信経路に挿入されるオーセンティケータとを構成要素として、ユーザ端末またはユーザのネットワーク認証が行われる。この際には、EAP(Extensible Authentication Protocol)と呼ばれる認証プロトコルが用いられる。オーセンティケータは、IEEE802.1X対応のL2スイッチ(認証スイッチと呼ばれる)や無線LANアクセスポイントに該当し、図1の例では、L2スイッチL2SW1および無線LANアクセスポイントAPに該当する。   In IEEE802.1X, a supplicant serving as software on the user terminals 20a and 20b, an authentication server (RADIUS server) corresponding to the network authentication unit 15, and a communication path between the supplicant and the authentication server are inserted. Network authentication of the user terminal or the user is performed using the authenticator as a component. In this case, an authentication protocol called EAP (Extensible Authentication Protocol) is used. The authenticator corresponds to an IEEE 802.1X compatible L2 switch (referred to as an authentication switch) or a wireless LAN access point. In the example of FIG. 1, the authenticator corresponds to the L2 switch L2SW1 and the wireless LAN access point AP.

例えば、L2スイッチL2SW1は、初期状態では、ユーザ端末20aの通信範囲をL2スイッチL2SW1までの範囲に制限している。この状態で、ユーザ端末20a(ユーザ21a)は、L2スイッチL2SW1へ認証要求を行う(ステップS101)。この認証要求は、EAPOL(EAP Over LAN)フレームを用いて行われる。EAPOLフレームには、ユーザ21aのアカウント情報(ユーザIDおよびパスワード等)や、または、クライアント証明書25aを含めることができる。   For example, in the initial state, the L2 switch L2SW1 limits the communication range of the user terminal 20a to the range up to the L2 switch L2SW1. In this state, the user terminal 20a (user 21a) makes an authentication request to the L2 switch L2SW1 (step S101). This authentication request is made using an EAPOL (EAP Over LAN) frame. The EAPOL frame can include account information (user ID, password, etc.) of the user 21a or a client certificate 25a.

L2スイッチL2SW1は、ユーザ端末20aからの認証要求をL3スイッチL3SWを介してネットワーク認証部15へ中継する(ステップS102)。この際に、L2スイッチL2SW1は、EAPOLフレームを、ネットワーク認証部15のIPアドレスを宛先とするEAPパケットに変換する。ネットワーク認証部15は、ユーザ端末20aからのL2スイッチL2SW1およびL3スイッチL3SWを介した認証要求に応じて、認証成否を判定する(ステップS103)。   The L2 switch L2SW1 relays the authentication request from the user terminal 20a to the network authentication unit 15 via the L3 switch L3SW (step S102). At this time, the L2 switch L2SW1 converts the EAPOL frame into an EAP packet whose destination is the IP address of the network authentication unit 15. The network authentication unit 15 determines the success or failure of authentication in response to an authentication request from the user terminal 20a via the L2 switch L2SW1 and the L3 switch L3SW (step S103).

この際に、ネットワーク認証部15は、アカウント情報で認証を行う場合には、例えば、予め有効なアカウント情報等が登録された認証テーブルに基づき真正性を検証する。一方、ネットワーク認証部15は、クライアント証明書25aで認証を行う場合には、例えば、クライアント証明書25aの電子署名や有効期限等に基づき真正性を検証する。また、ネットワーク認証部15は、例えば、予め登録されたクライアント証明書と、受信したクライアント証明書25aとの同一性に基づいて真正性を検証してもよい。なお、このような真正性の検証に際し、ネットワーク認証部15は、内部で保持する認証テーブル等の登録情報に限らず、ディレクトリサーバ14との通信によってディレクトリサーバ14から取得した登録情報を用いてもよい。   At this time, when authenticating with account information, the network authentication unit 15 verifies the authenticity based on, for example, an authentication table in which valid account information is registered in advance. On the other hand, when authenticating with the client certificate 25a, the network authentication unit 15 verifies the authenticity based on, for example, an electronic signature or an expiration date of the client certificate 25a. The network authentication unit 15 may verify the authenticity based on, for example, the identity of a client certificate registered in advance and the received client certificate 25a. In the verification of authenticity, the network authentication unit 15 is not limited to registration information such as an authentication table held therein, and may use registration information acquired from the directory server 14 through communication with the directory server 14. Good.

ネットワーク認証部15は、このような真正性の検証結果に基づいて認証成否を判定し、当該認証成否の判定結果を含む認証結果をL2スイッチL2SW1へ送信する(ステップS104)。L2スイッチL2SW1は、ネットワーク認証部15からの認証結果に応じてユーザ端末20aの通信範囲を制御する。例えば、L2スイッチL2SW1は、ネットワーク認証部15から認証失敗の認証結果を受けた場合には、ユーザ端末20aからのフレームを中継しないように制御する。また、L2スイッチL2SW1は、ネットワーク認証部15から認証成功の認証結果を受けた場合には、例えば、当該認証結果に含まれる割り当てVLAN等の情報(すなわち認証VLAN機能)によって業務サーバ13等との通信経路が構築されるように制御する。なお、無線LANアクセスポイントAPも、ユーザ端末20b(ユーザ21b)を対象としてL2スイッチL2SW1の場合と同様の処理を行う。   The network authentication unit 15 determines the success or failure of the authentication based on the verification result of authenticity, and transmits the authentication result including the determination result of the authentication success or failure to the L2 switch L2SW1 (step S104). The L2 switch L2SW1 controls the communication range of the user terminal 20a according to the authentication result from the network authentication unit 15. For example, when the L2 switch L2SW1 receives an authentication failure result from the network authentication unit 15, the L2 switch L2SW1 controls not to relay the frame from the user terminal 20a. In addition, when the L2 switch L2SW1 receives the authentication result of the authentication success from the network authentication unit 15, for example, the L2 switch L2SW1 communicates with the business server 13 or the like by information such as the assigned VLAN included in the authentication result (ie, the authentication VLAN function) Control to establish a communication path. The wireless LAN access point AP also performs the same processing as that for the L2 switch L2SW1 for the user terminal 20b (user 21b).

ここで、前述したようにクライアント証明書25a,25bを用いてネットワーク認証を行う場合には、予めユーザ端末20a,20bにクライアント証明書25a,25bがインストールされている必要がある。そこで、ユーザ端末(ユーザ)にクライアント証明書を配付する証明書配付部16が設けられる。クライアント証明書は、詳細には、ユーザの真正性を証明するユーザ証明書と、ユーザ端末の真正性を証明するコンピュータ証明書とに分かれるが、そのいずれであってもよい。   Here, as described above, when performing network authentication using the client certificates 25a and 25b, the client certificates 25a and 25b need to be installed in the user terminals 20a and 20b in advance. Therefore, a certificate distribution unit 16 that distributes a client certificate to a user terminal (user) is provided. In detail, the client certificate is divided into a user certificate that proves the authenticity of the user and a computer certificate that proves the authenticity of the user terminal.

《証明書配付部の詳細》
図2は、図1における証明書配付部関連の処理内容の一例を示すシーケンス図である。図2において、まず、ネットワーク管理者22は、ユーザ21からの要求等に応じて、認証局CAにユーザ21またはユーザ端末20のクライアント証明書の発行申請を行う(ステップS201)。認証局CAは、当該発行申請に応じてクライアント証明書を発行し、発行したクライアント証明書を、秘密鍵等と共に認証局CA等で定めた初期のパスワードでp12ファイル(第1のファイル)にアーカイブする(ステップS202)。続いて、認証局CAは、当該p12ファイルと初期のパスワードを管理端末22へ送付する(ステップS203)。 《Details of Certificate Distribution Department》
FIG. 2 is a sequence diagram showing an example of processing contents related to the certificate delivery unit in FIG. In FIG. 2, first, the network administrator 22 makes an application for issuing a client certificate of the user 21 or the user terminal 20 to the certificate authority CA in response to a request from the user 21 (step S201). The certificate authority CA issues a client certificate in response to the issuance application, and archives the issued client certificate in a p12 file (first file) with an initial password determined by the certificate authority CA, etc. together with a secret key, etc. (Step S202). Subsequently, the certificate authority CA sends the p12 file and the initial password to the management terminal 22 (step S203).

次いで、ネットワーク管理者22は、認証局CAから受け取ったp12ファイル(第1のファイル)と初期のパスワードとを、ユーザ21またはユーザ端末20のアカウント情報(ユーザアカウントまたはコンピュータアカウント)に紐付けて証明書配付部16aにアップロードする(ステップS204)。具体的には、ネットワーク管理者22は、例えば、証明書配付部16aに設けられる管理テーブルにこれらの対応関係を登録する。なお、証明書配付部16aは、図1に示した証明書配付部16に対応する。   Next, the network administrator 22 certifies the p12 file (first file) and the initial password received from the certificate authority CA by associating them with the account information (user account or computer account) of the user 21 or the user terminal 20. Upload to the document distribution unit 16a (step S204). Specifically, the network administrator 22 registers these correspondences in a management table provided in the certificate delivery unit 16a, for example. The certificate distribution unit 16a corresponds to the certificate distribution unit 16 illustrated in FIG.

続いて、証明書配付部16aは、ステップS204で登録された対応関係に基づき、クライアント証明書がアーカイブされているp12ファイル(第1のファイル)を初期のパスワードでクライアント証明書に展開する(ステップS205)。次いで、証明書配付部16aは、当該展開後のクライアント証明書を、展開前のp12ファイルに対応するアカウント情報に紐付けて管理し、さらに、任意のパスワードでp12ファイルにアーカイブできる状態で管理する(ステップS206)。具体例として、例えば、管理テーブルは、p12ファイル(第1のファイル)と初期のパスワードとアカウント情報との対応関係に加えて、当該アカウント情報と展開後のクライアント証明書との対応関係も保持する。   Subsequently, the certificate distribution unit 16a expands the p12 file (first file) in which the client certificate is archived into the client certificate with the initial password based on the correspondence relationship registered in step S204 (step S204). S205). Next, the certificate distribution unit 16a manages the client certificate after the expansion in association with the account information corresponding to the p12 file before the expansion, and further manages the client certificate in a state where it can be archived in the p12 file with an arbitrary password. (Step S206). As a specific example, for example, the management table holds the correspondence between the account information and the expanded client certificate in addition to the correspondence between the p12 file (first file), the initial password, and the account information. .

その後、ユーザ21は、ユーザ端末20を用いて証明書配付部16aに所定のアカウント情報(ユーザアカウントまたはコンピュータアカウント)でログインし、証明書配付部16aにクライアント証明書の取得要求を送信する(ステップS207)。これに応じて、証明書配付部16aは、ユーザ端末20にパスワード入力画面を表示させ(ステップS208)、ユーザ端末20のユーザ21に任意のパスワードを入力させる(ステップS209)。   Thereafter, the user 21 uses the user terminal 20 to log in to the certificate distribution unit 16a with predetermined account information (user account or computer account), and transmits a client certificate acquisition request to the certificate distribution unit 16a (Step S21). S207). In response to this, the certificate delivery unit 16a displays a password input screen on the user terminal 20 (step S208), and causes the user 21 of the user terminal 20 to input an arbitrary password (step S209).

次いで、証明書配付部16aは、ステップS206での対応関係(管理テーブル)に基づき、ステップS207でのアカウント情報に対応する展開後のクライアント証明書をアーカイブの対象に定める。そして、証明書配付部16aは、対象となる展開後のクライアント証明書を、ステップS209で入力された任意のパスワードでp12ファイル(第2のファイル)にアーカイブする(ステップS210)。その後、証明書配付部16aは、当該p12ファイルをユーザ端末20へ送信する(ステップS211)。ユーザ端末20のユーザ21は、当該p12ファイルを、ステップS209で入力した任意のパスワードでクライアント証明書に展開し、ユーザ端末20にインストールする(ステップS212)。   Next, based on the correspondence (management table) in step S206, the certificate distribution unit 16a determines the expanded client certificate corresponding to the account information in step S207 as an archive target. Then, the certificate distribution unit 16a archives the target expanded client certificate in the p12 file (second file) with the arbitrary password input in step S209 (step S210). Thereafter, the certificate delivery unit 16a transmits the p12 file to the user terminal 20 (step S211). The user 21 of the user terminal 20 expands the p12 file into a client certificate with the arbitrary password input in step S209 and installs it in the user terminal 20 (step S212).

なお、ステップS207でユーザ端末20(ユーザ21)が証明書配付部16aにログインするためには、前提として、ネットワーク認証によってユーザ端末20と証明書配付部16aとの間の通信経路が構築されている必要がある。図1で述べたように、例えば、ユーザ21aがユーザアカウントでネットワーク認証を行った場合や、ユーザ端末20a内のクライアント証明書25aでネットワーク認証を行った場合(例えば、クライアント証明書25aの有効期限更新時)には、当該通信経路が構築される。ただし、このような方法が適用できない場合も起こり得る。この場合、例えば、ネットワーク管理者22は、認証VLAN機能を用いて、認証失敗時に当該通信経路が構築されるような設定を行えばよい。   Note that in order for the user terminal 20 (user 21) to log in to the certificate distribution unit 16a in step S207, a communication path between the user terminal 20 and the certificate distribution unit 16a is established by network authentication. Need to be. As described in FIG. 1, for example, when the user 21a performs network authentication with a user account, or when network authentication is performed with the client certificate 25a in the user terminal 20a (for example, the expiration date of the client certificate 25a) At the time of update), the communication path is established. However, there are cases where such a method cannot be applied. In this case, for example, the network administrator 22 may perform setting so that the communication path is constructed when authentication fails using the authentication VLAN function.

以上のような証明書配付部16aを設けることで、ネットワーク管理者22の負担を軽減することが可能になる。すなわち、ネットワーク管理者22は、ステップS204でp12ファイルを証明書配付部16aにアップロードする作業を行えばよく、ユーザ端末20(ユーザ21)に配付する作業を行う必要はない。さらに、証明書配付部16aがステップS209でユーザ21に任意のパスワードを決めさせることで、ネットワーク管理者22は、特許文献1のように、ステップS203における初期のパスワードをユーザ21に通知する作業も行わずに済む。また、このようにユーザ21に任意のパスワードを決めさせる仕組みを用いることで、ネットワーク管理者22が各ユーザに初期のパスワードを通知する場合と比べて、パスワードが流出し難くなり、ネットワークシステムにおけるセキュリティの向上が図れる。   By providing the certificate distribution unit 16a as described above, it is possible to reduce the burden on the network administrator 22. That is, the network administrator 22 only needs to perform the operation of uploading the p12 file to the certificate distribution unit 16a in step S204, and does not need to perform the operation of distributing to the user terminal 20 (user 21). Further, the certificate delivery unit 16a allows the user 21 to decide an arbitrary password in step S209, so that the network administrator 22 can notify the user 21 of the initial password in step S203 as in Patent Document 1. No need to do it. In addition, by using a mechanism that allows the user 21 to determine an arbitrary password in this way, the password is less likely to be leaked than when the network administrator 22 notifies each user of the initial password, and security in the network system Can be improved.

図3は、図1における証明書配付部の主要部の構成例を示す概略図である。図3に示す証明書配付部16aは、管理テーブル30aと、展開処理部31aと、アーカイブ処理部32と、記憶部33とを備える。管理テーブル30aおよび記憶部33は、揮発性メモリまたは不揮発性メモリに実装される。展開処理部31aおよびアーカイブ処理部32は、例えば、CPUを用いたプログラム処理等によって実装される。管理テーブル30aには、図2のステップS204の処理によって、アカウント情報と、初期のパスワード(PW)と、p12ファイル(そのポインタ)との対応関係が登録される。実体となるp12ファイル34は、記憶部33に格納される。   FIG. 3 is a schematic diagram illustrating a configuration example of a main part of the certificate distribution unit in FIG. The certificate distribution unit 16a illustrated in FIG. 3 includes a management table 30a, a development processing unit 31a, an archive processing unit 32, and a storage unit 33. The management table 30a and the storage unit 33 are mounted on a volatile memory or a nonvolatile memory. The expansion processing unit 31a and the archive processing unit 32 are implemented by, for example, program processing using a CPU. In the management table 30a, the correspondence between the account information, the initial password (PW), and the p12 file (its pointer) is registered by the process of step S204 in FIG. The p12 file 34 that is an entity is stored in the storage unit 33.

この例では、アカウント情報として、ユーザIDおよびパスワードを含むユーザアカウントと、ユーザ端末のコンピュータ名を含むコンピュータアカウントとが登録される。ただし、場合によっては、例えばユーザアカウントのみ等であってもよい。展開処理部31aは、図2のステップS205で述べたように、管理テーブル30aの各登録エントリ毎に、記憶部33内のp12ファイル(第1のファイル)34を対応する初期のパスワードでクライアント証明書35に展開し、記憶部33に格納する。   In this example, a user account including a user ID and a password and a computer account including a computer name of the user terminal are registered as account information. However, in some cases, for example, only a user account may be used. As described in step S205 in FIG. 2, the expansion processing unit 31a uses the initial password corresponding to the p12 file (first file) 34 in the storage unit 33 for each registered entry in the management table 30a. This is expanded into a book 35 and stored in the storage unit 33.

また、展開処理部31aは、図2のステップS206で述べたように、展開後のクライアント証明書35を、展開前のp12ファイル(第1のファイル)34に対応するアカウント情報に紐付けて管理する。この例では、展開処理部31aは、管理テーブル30a内の対応する登録エントリに展開後のクライアント証明書35へのポインタを登録する。なお、このような展開処理を終えた場合、展開処理部31aは、処理済みのp12ファイル34と、それに対応する初期のパスワードとを記憶部33および管理テーブル30aから削除してもよい。   Further, as described in step S206 in FIG. 2, the expansion processing unit 31a manages the client certificate 35 after expansion in association with account information corresponding to the p12 file (first file) 34 before expansion. To do. In this example, the expansion processing unit 31a registers a pointer to the expanded client certificate 35 in the corresponding registration entry in the management table 30a. In addition, when such expansion processing is completed, the expansion processing unit 31a may delete the processed p12 file 34 and the initial password corresponding thereto from the storage unit 33 and the management table 30a.

アーカイブ処理部32は、図2のステップS207におけるアカウント情報40を検索キーとして管理テーブル30a内の各登録エントリを検索し、ヒットしたエントリに登録される展開後のクライアント証明書35をアーカイブの対象に定める。そして、アーカイブ処理部32は、対象となる展開後のクライアント証明書35を、ステップS209で入力された任意のパスワード(PW)41でp12ファイル(第2のファイル)43にアーカイブしたのち要求元のユーザ端末へ送信する。   The archive processing unit 32 searches each registered entry in the management table 30a using the account information 40 in step S207 of FIG. 2 as a search key, and sets the expanded client certificate 35 registered in the hit entry as an archive target. Determine. Then, the archive processing unit 32 archives the target expanded client certificate 35 into the p12 file (second file) 43 with the arbitrary password (PW) 41 input in step S209 and then the request source. Send to user terminal.

《ネットワーク認証部の詳細》
図4は、図1におけるネットワーク認証部の主要部の構成例を示す概略図である。図4に示すネットワーク認証部15は、認証テーブル45と、記憶部46と、認証判定部47とを備える。認証テーブル45および記憶部46は、揮発性メモリまたは不揮発性メモリに実装される。認証判定部47は、例えば、CPUを用いたプログラム処理等によって実装される。 <Details of Network Authentication Unit>
FIG. 4 is a schematic diagram illustrating a configuration example of a main part of the network authentication unit in FIG. The network authentication unit 15 illustrated in FIG. 4 includes an authentication table 45, a storage unit 46, and an authentication determination unit 47. The authentication table 45 and the storage unit 46 are implemented in a volatile memory or a nonvolatile memory. The authentication determination unit 47 is implemented by, for example, program processing using a CPU.

認証テーブル45内の各情報は、予め、ネットワーク管理者22によって登録されるか、または、ネットワーク認証部15が図1のディレクトリサーバ14と連携してディレクトリサーバ14から取得したものであってもよい。認証テーブル45内の各登録エントリは、例えば、検証用のアカウント情報およびクライアント証明書(そのポインタ)と、割り当てVLANとの対応関係を保持する。実体となる検証用のクライアント証明書は、記憶部46に格納される。検証用のアカウント情報には、ユーザアカウントおよびコンピュータアカウントが含まれる。   Each information in the authentication table 45 may be registered in advance by the network administrator 22 or may be acquired by the network authentication unit 15 from the directory server 14 in cooperation with the directory server 14 in FIG. . Each registered entry in the authentication table 45 holds, for example, a correspondence relationship between account information for verification and a client certificate (its pointer) and an assigned VLAN. The verification client certificate as an entity is stored in the storage unit 46. The account information for verification includes a user account and a computer account.

認証判定部47は、図1で述べたように、アカウント情報またはクライアント証明書を含む認証要求48を受け、認証テーブル45に基づいて、当該アカウント情報またはクライアント証明書の認証成否を判定し、認証結果49を送信する。認証判定部47は、例えば、ユーザIDおよびパスワードが“ID[1]”および“PW[1]”のユーザアカウントを含む認証要求48を受信した場合、登録エントリ[1]において当該ユーザアカウントが検証用のアカウント情報に一致するため、認証成功と判定する。そして、認証判定部47は、認証結果49として、認証成功の判定結果と、登録エントリ[1]に登録された割り当てVLAN“VNx”とを送信する。   As described with reference to FIG. 1, the authentication determination unit 47 receives an authentication request 48 including account information or a client certificate, determines whether the account information or the client certificate has been authenticated based on the authentication table 45, and performs authentication. The result 49 is transmitted. For example, when the authentication determination unit 47 receives an authentication request 48 including a user account whose user ID and password are “ID [1]” and “PW [1]”, the user account is verified in the registration entry [1]. Therefore, it is determined that the authentication is successful. The authentication determination unit 47 then transmits the authentication success determination result and the assigned VLAN “VNx” registered in the registration entry [1] as the authentication result 49.

一方、認証判定部47は、例えば、クライアント証明書[1]を含む認証要求48を受信した場合、当該クライアント証明書[1]の電子署名や有効期限等に基づき真正性を検証する。また、認証判定部47は、クライアント証明書[1]に記載される、又はクライアント証明書[1]と共に受信するユーザIDやコンピュータアカウントとクライアント証明書[1]との対応関係が認証テーブル45に登録されているか否かを判定することで、真正性を検証する。   On the other hand, for example, when the authentication determination unit 47 receives an authentication request 48 including the client certificate [1], the authentication determination unit 47 verifies the authenticity based on the electronic signature and the expiration date of the client certificate [1]. In addition, the authentication determination unit 47 indicates in the authentication table 45 the correspondence between the user ID or computer account described in the client certificate [1] or received together with the client certificate [1] and the client certificate [1]. The authenticity is verified by determining whether or not it is registered.

さらに、場合によっては、認証判定部47は、受信したクライアント証明書[1]と、記憶部46に登録される検証用のクライアント証明書[1]との同一性を判定することで、真正性を検証する。これらの結果、クライアント証明書[1]が真正である場合、認証判定部47は、認証成功と判定し、認証結果49として、認証成功の判定結果と、登録エントリ[1]に登録された割り当てVLAN“VNx”とを送信する。   Further, in some cases, the authentication determination unit 47 determines the identity between the received client certificate [1] and the verification client certificate [1] registered in the storage unit 46, thereby authenticating the authenticity. To verify. As a result, when the client certificate [1] is authentic, the authentication determination unit 47 determines that the authentication is successful, and as the authentication result 49, the authentication success determination result and the assignment registered in the registration entry [1]. The VLAN “VNx” is transmitted.

ここで、図4の認証テーブル45に含まれるアカウント情報は、ネットワーク認証における認証成否の判定対象となる情報である。一方、図3の管理テーブル30aに含まれるアカウント情報は、証明書配付部16aへのログイン可否の判定対象となる情報である。したがって、これらのアカウント情報は、必ずしも同一である必要はない。ただし、図1に示したように、特に、同一のサーバにネットワーク認証部15と証明書配付部16とを備えるような場合には、両方のアカウント情報を同じにすることで、各種リソースの効率化が図れる。   Here, the account information included in the authentication table 45 of FIG. 4 is information that is a determination target of authentication success or failure in network authentication. On the other hand, the account information included in the management table 30a in FIG. 3 is information that is a target for determining whether or not to log in to the certificate distribution unit 16a. Therefore, these account information does not necessarily have to be the same. However, as shown in FIG. 1, in particular, when the network authentication unit 15 and the certificate distribution unit 16 are provided in the same server, the efficiency of various resources can be improved by making both account information the same. Can be achieved.

具体的には、両方のアカウント情報を同じにすると、図4の認証テーブル45および図3の管理テーブル30aにおいて、アカウント情報とクライアント証明書との対応関係を共通化できるため、例えば、2個のテーブルを1個に統合すること等が可能になる。また、図4のネットワーク認証部15は、図3の証明書配付部16aで生成された、アカウント情報とクライアント証明書との対応関係および当該クライアント証明書の実体データ(図3の展開後のクライアント証明書35)を用いてネットワーク認証(例えばクライアント証明書の同一性判定等)を行うことが可能になる。   Specifically, if both account information is the same, the correspondence between the account information and the client certificate can be shared in the authentication table 45 in FIG. 4 and the management table 30a in FIG. It is possible to combine tables into one. Further, the network authentication unit 15 in FIG. 4 generates the correspondence between the account information and the client certificate generated by the certificate distribution unit 16a in FIG. 3 and the actual data of the client certificate (the expanded client in FIG. 3). It is possible to perform network authentication (for example, determination of the identity of a client certificate) using the certificate 35).

《実施の形態1の主要な効果》
以上、実施の形態1のネットワークシステムおよびネットワーク管理装置を用いることで、代表的には、ネットワーク管理者等の負担を軽減可能になる。また、ネットワークシステムにおけるセキュリティの向上が図れる。 << Main effects of the first embodiment >>
As described above, by using the network system and the network management apparatus according to the first embodiment, typically, the burden on the network administrator or the like can be reduced. In addition, security in the network system can be improved.

(実施の形態2)
《証明書配付部(変形例)の詳細》
図5は、本発明の実施の形態2によるネットワーク管理装置において、図1における証明書配付部の主要部の構成例を示す概略図である。図6は、図5の証明書配付部関連の処理内容の一例を示すシーケンス図である。証明書配付部は、クライアント証明書の配付が完了したら、展開後のクライアント証明書(図3の符号35)を記憶部33に残さなくてもよい場合がある。ここでは、このような場合の一例について説明する。 (Embodiment 2)
<Details of certificate distribution section (variation)>
FIG. 5 is a schematic diagram illustrating a configuration example of a main part of the certificate delivery unit in FIG. 1 in the network management device according to the second embodiment of the present invention. FIG. 6 is a sequence diagram showing an example of processing contents related to the certificate delivery unit of FIG. When the distribution of the client certificate is completed, the certificate distribution unit may not have to leave the expanded client certificate (reference numeral 35 in FIG. 3) in the storage unit 33. Here, an example of such a case will be described.

図5に示す証明書配付部16bは、図1の証明書配付部16に対応し、図3の構成例と比較して次の点が異なっている。まず、記憶部33は、展開後のクライアント証明書(図3の符号35)を保持せず、これに伴い、管理テーブル30bは、アカウント情報と展開後のクライアント証明書との対応関係を保持しない。また、これに伴い、展開処理部31bは、展開後のクライアント証明書を、記憶部33に格納するのではなく、そのままアーカイブ処理部32へ送信する。   The certificate delivery unit 16b shown in FIG. 5 corresponds to the certificate delivery unit 16 in FIG. 1, and differs from the configuration example in FIG. 3 in the following points. First, the storage unit 33 does not hold the expanded client certificate (reference numeral 35 in FIG. 3), and accordingly, the management table 30b does not hold the correspondence between the account information and the expanded client certificate. . Accordingly, the expansion processing unit 31b transmits the expanded client certificate to the archive processing unit 32 as it is, instead of storing it in the storage unit 33.

図6に示すシーケンスは、図2に示したシーケンスと比較して、図2におけるステップS205〜S210の処理順番が入れ替わっており、さらに、ステップS206の処理が削除されている。図6のステップS204において、ネットワーク管理者22は、図2の場合と同様に、p12ファイル(第1のファイル)および初期のパスワードを、アカウント情報に紐付けて証明配付部16bにアップロードする。証明書配付部16bは、図2の場合と異なり、この状態で、ユーザ端末20(ユーザ21)からのログインを待つ。   In the sequence shown in FIG. 6, the processing order of steps S205 to S210 in FIG. 2 is changed compared to the sequence shown in FIG. 2, and the processing of step S206 is deleted. In step S204 in FIG. 6, the network administrator 22 uploads the p12 file (first file) and the initial password to the certificate distribution unit 16b in association with the account information, as in FIG. Unlike the case of FIG. 2, the certificate delivery unit 16b waits for login from the user terminal 20 (user 21) in this state.

この状態でユーザ端末20(ユーザ21)からのログインおよびクライアント証明書の取得要求が生じると(ステップS207)、証明書配付部16bは、図2の場合と同様に、ユーザ21にパスワードを要求して任意のパスワードを入力させる(ステップS208,S209)。その後、証明書配付部16bは、アカウント情報に対応するp12ファイル(第1のファイル)を初期のパスワードで展開し(ステップS205)、続けて、展開後のクライアント証明書を任意のパスワードでp12ファイル(第2のファイル)にアーカイブする(ステップS210)。証明書配付部16bは、当該p12ファイルをユーザ端末20へ送信する(ステップS211)。なお、証明書配付部16bは、ステップS211の処理を終えた登録エントリを、記憶部33内のp12ファイル34を含めて削減してもよい。   In this state, when a login request from the user terminal 20 (user 21) and a client certificate acquisition request occur (step S207), the certificate distribution unit 16b requests the user 21 for a password, as in FIG. To input an arbitrary password (steps S208 and S209). Thereafter, the certificate distribution unit 16b expands the p12 file (first file) corresponding to the account information with the initial password (step S205), and then continues the expanded client certificate with the arbitrary password to the p12 file. Archive to (second file) (step S210). The certificate distribution unit 16b transmits the p12 file to the user terminal 20 (step S211). Note that the certificate distribution unit 16b may reduce the registered entries including the p12 file 34 in the storage unit 33 after completing the process of step S211.

《実施の形態2の主要な効果》
以上、実施の形態2のネットワークシステムおよびネットワーク管理装置を用いることでも、実施の形態1の場合と同様の効果が得られる。 << Main effects of the second embodiment >>
As described above, using the network system and the network management apparatus of the second embodiment also provides the same effects as those of the first embodiment.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiments. However, the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the scope of the invention. For example, the above-described embodiment has been described in detail for easy understanding of the present invention, and is not necessarily limited to one having all the configurations described. In addition, part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. . Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.

10 IPネットワーク
11 通信回線
12 ネットワーク管理装置
13 業務サーバ
14 ディレクトリサーバ
15 ネットワーク認証部
16 証明書配付部
20 ユーザ端末
21 ユーザ
22 ネットワーク管理者
25,35 クライアント証明書
30 管理テーブル
31 展開処理部
32 アーカイブ処理部
33,46 記憶部
34,43 p12ファイル
40 アカウント情報
41 任意のパスワード
45 認証テーブル
47 認証判定部
48 認証要求
49 認証結果
AP 無線LANアクセスポイント
CA 認証局
L2SW L2スイッチ
L3SW L3スイッチ DESCRIPTION OF SYMBOLS 10 IP network 11 Communication line 12 Network management apparatus 13 Business server 14 Directory server 15 Network authentication part 16 Certificate distribution part 20 User terminal 21 User 22 Network administrator 25, 35 Client certificate 30 Management table 31 Deployment processing part 32 Archive processing Unit 33, 46 storage unit 34, 43 p12 file 40 account information 41 arbitrary password 45 authentication table 47 authentication determination unit 48 authentication request 49 authentication result AP wireless LAN access point CA certificate authority L2SW L2 switch L3SW L3 switch

Claims (8)

認証局から受け取ったPKCS#12形式となるファイルでありクライアント証明書がアーカイブされている第1のファイルを、前記認証局から受け取った初期のパスワードで前記クライアント証明書に展開する第1の処理と、
ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第1の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記PKCS#12形式となる第2のファイルにアーカイブしたのち前記ユーザ端末へ送信する第2の処理と、
を実行する、
ネットワーク管理装置。 A first process of developing a first file received from the certificate authority in the PKCS # 12 format and archived with the client certificate into the client certificate with an initial password received from the certificate authority; ,
In response to the acquisition request of the client certificate from the user terminal, the user of the user terminal is input an arbitrary password, and the expanded client certificate obtained by the first process is input with the arbitrary password. A second process of archiving to a second file in PKCS # 12 format and transmitting to the user terminal;
Run the
Network management device. 請求項1記載のネットワーク管理装置において、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。 The network management device according to claim 1,
A management table that holds a correspondence relationship between account information of the user or the user terminal and the client certificate after the deployment;
In the second process, the account information is received from the user terminal, and based on the management table, the expanded client certificate corresponding to the account information is set as the archive target.
Network management device. 請求項1記載のネットワーク管理装置において、
前記第1のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第1の処理において、前記管理テーブルに基づき、前記第1のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第1のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。 The network management device according to claim 1,
A management table that holds a correspondence relationship between the first file, the initial password, and account information of the user or the user terminal;
In the first process, based on the management table, the first file is expanded to the client certificate with the initial password, and the expanded client certificate is the account corresponding to the first file. Linked to information and managed,
In the second process, the account information is received from the user terminal, and based on the management table, the expanded client certificate managed in association with the account information is set as the archive target.
Network management device. 請求項2または3記載のネットワーク管理装置において、
前記第1の処理および第2の処理を実行する証明書配布部と、
前記ユーザ端末からのIEEE802.1Xに基づく認証要求に応じて認証成否を判定するネットワーク認証部と、
を備え、
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワーク管理装置。 The network management device according to claim 2 or 3,
A certificate distribution unit that executes the first process and the second process;
A network authentication unit that determines success or failure of authentication in response to an authentication request based on IEEE802.1X from the user terminal;
With
The account information held in the management table is the same as the account information that is a determination target of authentication success or failure in the network authentication unit.
Network management device. ユーザ端末と、
前記ユーザ端末からのIEEE802.1Xに基づく認証要求に応じて認証成否を判定するネットワーク認証部と、前記ユーザ端末にクライアント証明書を配布する証明書配布部とを備えるネットワーク管理装置と、
前記ユーザ端末と前記ネットワーク管理装置との間の通信経路に挿入され、前記ユーザ端末からの前記認証要求を前記ネットワーク認証部へ中継し、前記ネットワーク認証部からの認証結果に応じて前記ユーザ端末の通信範囲を制御する認証スイッチまたは無線LANアクセスポイントと、
前記クライアント証明書を発行する認証局と、
を備えるネットワークシステムであって、
前記証明書配布部は、
前記認証局から受け取ったPKCS#12形式となるファイルであり前記クライアント証明書がアーカイブされている第1のファイルを、前記認証局から受け取った初期のパスワードで前記クライアント証明書に展開する第1の処理と、
前記ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第1の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記PKCS#12形式となる第2のファイルにアーカイブしたのち前記ユーザ端末へ送信する第2の処理と、
を実行する、
ネットワークシステム。 A user terminal,
A network management device comprising: a network authentication unit that determines authentication success / failure in response to an authentication request based on IEEE802.1X from the user terminal; and a certificate distribution unit that distributes a client certificate to the user terminal;
It is inserted into a communication path between the user terminal and the network management device, relays the authentication request from the user terminal to the network authentication unit, and according to the authentication result from the network authentication unit, An authentication switch or wireless LAN access point for controlling the communication range;
A certificate authority issuing the client certificate;
A network system comprising:
The certificate distribution unit
A first file which is a PKCS # 12 format file received from the certificate authority and in which the client certificate is archived is expanded into the client certificate with an initial password received from the certificate authority. Processing,
In response to an acquisition request for the client certificate from the user terminal, the user of the user terminal is input an arbitrary password, and the expanded client certificate obtained by the first process is input with the arbitrary password. A second process of archiving to a second file in the PKCS # 12 format and transmitting to the user terminal;
Run the
Network system. 請求項5記載のネットワークシステムにおいて、
前記証明書配布部は、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。 The network system according to claim 5, wherein
The certificate distribution unit
A management table that holds a correspondence relationship between account information of the user or the user terminal and the client certificate after the deployment;
In the second process, the account information is received from the user terminal, and based on the management table, the expanded client certificate corresponding to the account information is set as the archive target.
Network system. 請求項5記載のネットワークシステムにおいて、
前記証明書配布部は、
前記第1のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第1の処理において、前記管理テーブルに基づき、前記第1のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第1のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。 The network system according to claim 5, wherein
The certificate distribution unit
A management table that holds a correspondence relationship between the first file, the initial password, and account information of the user or the user terminal;
In the first process, based on the management table, the first file is expanded to the client certificate with the initial password, and the expanded client certificate is the account corresponding to the first file. Linked to information and managed,
In the second process, the account information is received from the user terminal, and based on the management table, the expanded client certificate managed in association with the account information is set as the archive target.
Network system. 請求項6または7記載のネットワークシステムにおいて、
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワークシステム。 The network system according to claim 6 or 7,
The account information held in the management table is the same as the account information that is a determination target of authentication success or failure in the network authentication unit.
Network system.
JP2018101335A 2018-05-28 2018-05-28 Network management equipment and network system Active JP6945498B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018101335A JP6945498B2 (en) 2018-05-28 2018-05-28 Network management equipment and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018101335A JP6945498B2 (en) 2018-05-28 2018-05-28 Network management equipment and network system

Publications (2)

Publication Number Publication Date
JP2019208096A true JP2019208096A (en) 2019-12-05
JP6945498B2 JP6945498B2 (en) 2021-10-06

Family

ID=68768668

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018101335A Active JP6945498B2 (en) 2018-05-28 2018-05-28 Network management equipment and network system

Country Status (1)

Country Link
JP (1) JP6945498B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178407A (en) * 2002-11-28 2004-06-24 Toppan Printing Co Ltd Ic card issuing device and ic card issuing method
JP2007208429A (en) * 2006-01-31 2007-08-16 Brother Ind Ltd Certificate issue apparatus and program
JP2015005956A (en) * 2013-06-24 2015-01-08 キヤノン株式会社 Information processing device, control method and program
JP2015019267A (en) * 2013-07-11 2015-01-29 株式会社リコー Communication system, information appliance, communication method and program
WO2017106140A1 (en) * 2015-12-14 2017-06-22 Amazon Technologies, Inc Certificate renewal and deployment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178407A (en) * 2002-11-28 2004-06-24 Toppan Printing Co Ltd Ic card issuing device and ic card issuing method
JP2007208429A (en) * 2006-01-31 2007-08-16 Brother Ind Ltd Certificate issue apparatus and program
JP2015005956A (en) * 2013-06-24 2015-01-08 キヤノン株式会社 Information processing device, control method and program
JP2015019267A (en) * 2013-07-11 2015-01-29 株式会社リコー Communication system, information appliance, communication method and program
WO2017106140A1 (en) * 2015-12-14 2017-06-22 Amazon Technologies, Inc Certificate renewal and deployment

Also Published As

Publication number Publication date
JP6945498B2 (en) 2021-10-06

Similar Documents

Publication Publication Date Title
US8943323B2 (en) System and method for provisioning device certificates
JP5047291B2 (en) Method and system for providing authentication services to Internet users
US7953227B2 (en) Method for securely and automatically configuring access points
JP4477494B2 (en) Method and system for registering and automatically retrieving digital audio certificates in Internet Protocol (VOIP) communication
KR100894555B1 (en) System and method for enabling authorization of a network device using attribute certificates
EP1881665B1 (en) System and method for provisioning device certificates
US11765164B2 (en) Server-based setup for connecting a device to a local area network
CN104956638A (en) Restricted certificate enrollment for unknown devices in hotspot networks
CN108900484B (en) Access right information generation method and device
JP2020177537A (en) Authentication/authorization server, client, service providing system, access management method, and program
EP2096829B1 (en) Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
WO2008071109A1 (en) A method and system for realizing the third-party mail account management
EP2096830B1 (en) Methods and apparatus for use in enabling a mobile communication device with a digital certificate
JP4906581B2 (en) Authentication system
WO2014169802A1 (en) Terminal, network side device, terminal application control method, and system
US11936633B2 (en) Centralized management of private networks
JP5388088B2 (en) Communication terminal device, management device, communication method, management method, and computer program.
JP2004260401A (en) Communication control system, communication control method and program, management device, and communication terminal device
JP6945498B2 (en) Network management equipment and network system
JP2004297292A (en) Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method
KR20090013319A (en) Method for authentication in network system
JPWO2020122977A5 (en)
WO2017104129A1 (en) Authentication device, authentication system, and authentication method
WO2016127583A1 (en) Authentication processing method and apparatus
Cooper Device Onboarding Using FDO and the Untrusted Installer Model

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210914

R150 Certificate of patent or registration of utility model

Ref document number: 6945498

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150