JP3724564B2 - Authentication system, authentication method, and authentication program - Google Patents

Authentication system, authentication method, and authentication program Download PDF

Info

Publication number
JP3724564B2
JP3724564B2 JP2001161610A JP2001161610A JP3724564B2 JP 3724564 B2 JP3724564 B2 JP 3724564B2 JP 2001161610 A JP2001161610 A JP 2001161610A JP 2001161610 A JP2001161610 A JP 2001161610A JP 3724564 B2 JP3724564 B2 JP 3724564B2
Authority
JP
Japan
Prior art keywords
certificate
key
client
server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001161610A
Other languages
Japanese (ja)
Other versions
JP2002353959A (en
Inventor
玲子 稲地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2001161610A priority Critical patent/JP3724564B2/en
Publication of JP2002353959A publication Critical patent/JP2002353959A/en
Application granted granted Critical
Publication of JP3724564B2 publication Critical patent/JP3724564B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、認証システム及び認証方法並びに認証用プログラムに関し、特に、LDAP(Lightweight DirectoryAccess Protocol)において、SSL(Secure Sockets Layer)通信を行う場合に、通信相手によって送信するサーバ証明書を切り替えることのできる認証システム及び認証方法並びに認証用プログラムに関する。
【0002】
【従来の技術】
SSL認証では、通信相手に自分の身元を証明するために、証明書を送信する。サーバ認証において、クライアント側では、サーバから送信された証明書によってサーバの身元を確認する際、その証明書が有効であることを確かめるために、有効期限や証明書の発行元が信頼のできる認証局(CA:Certificate Authority)であるかの確認を行う。
【0003】
従来、サーバ証明書としてどの証明書を使用するかということは、サーバのコンフィグレーションファイルなどに証明書ファイルと鍵ファイルのパスを指定するというように、通信相手に依らず同じ証明書が使われていた。
【0004】
【発明が解決しようとする課題】
しかしながら、上述した従来の認証方法では、以下に示す問題がある。
【0005】
第1の問題点は、互いに信頼関係のない異なる認証局のみを信頼する異なるクライアントに対して、同時にSSLプロトコルを用いた通信を行うことができないということである。その理由は、通常サーバ側の証明書は1つに限られているためである。
【0006】
また、第2の問題点は、証明書と鍵が安全に管理されないということである。その理由は、ファイル形式のままでは、容易に書き換えや紛失が発生するためである。
【0007】
本発明は、上記問題点に鑑みてなされたものであって、その第1の目的は、信頼するCAが異なる複数のクライアントと同時にSSL通信を行うことを可能にする認証システム及び認証方法並びに認証用プログラムを提供することにある。
【0008】
また、本発明の第2の目的は、データベースを利用して、より安全に証明書と鍵を管理することが可能な認証システム及び認証方法並びに認証用プログラムを提供することにある。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明の認証システムは、ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証システムであって、前記サーバに、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理する手段と、各々の前記クライアントの識別名と該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を記憶する手段と、前記マッピング情報を参照して、前記クライアントからのLDAP結合要求に際して抽出される該クライアントの識別名に対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替える手段と、を少なくとも有するものである。
【0010】
また、本発明の認証システムは、ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証システムであって、前記サーバに、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理する手段と、各々の前記クライアントのIPアドレスと該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を記憶する手段と、前記マッピング情報を参照して、前記クライアントからのLDAP開設要求に際して抽出される該クライアントのIPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替える手段と、を少なくとも有するものである。
【0013】
本発明の認証方法は、ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証方法であって、前記サーバにおいて、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理するステップと、各々の前記クライアントの識別名と該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を作成し、記憶するステップと、前記クライアントからのサーバ証明書の送信要求に対して、前記マッピング情報を参照して、前記クライアントからのLDAP結合要求に際して抽出される該クライアントの識別名に対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替えるステップと、を少なくとも実行するものである。
【0014】
また、本発明の認証方法は、ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証方法であって、前記サーバにおいて、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理するステップと、各々の前記クライアントのIPアドレスと該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を作成し、記憶するステップと、前記クライアントからのサーバ証明書の送信要求に対して、前記マッピング情報を参照して、前記クライアントからのLDAP開設要求に際して抽出される該クライアントのIPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替えるステップと、を少なくとも実行するものである。
【0015】
また、本発明のプログラムは、コンピュータに、少なくとも、複数の証明書の各々と鍵とのペアに鍵IDを付与して格納する処理と、クライアントの識別名又はIPアドレスと前記鍵IDとのマッピング情報を作成し、記憶する処理と、前記クライアントからのサーバ証明書の送信要求に対して、前記クライアントからのLDAP結合要求に際して該クライアントの識別名を抽出、又は、前記クライアントからのLDAP開設要求に際して該クライアントのIPアドレスを抽出する処理と、前記マッピング情報を参照して、前記識別名又は前記IPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を選択する処理と、を実行させるものである。
【0017】
このように、本発明のLDAPサーバにおける証明書切り替えシステムは、複数の証明書と鍵のペアを管理する手段と、クライアントの識別名(DN:Distingished Name)と証明書のマッピング情報、又は、クライアントのIPアドレスと証明書のマッピング情報から利用する証明書を取得する手段とを備え、各クライアントに対応する証明書を選択し送信するよう動作することにより、信頼するCAが異なる複数のクライアントと同時にSSL通信を行うことが可能となる。
【0018】
【発明の実施の形態】
本発明に係る認証システムは、その好ましい一実施の形態において、複数の証明書の各々と鍵とに鍵IDを付与して管理する証明書格納手段と、クライアントの識別名又はIPアドレスと鍵IDとのマッピング情報を記憶するマッピング情報格納部と、デフォルトの鍵IDとマッピングファイルの位置情報を記憶するコンフィグレーション情報格納部と、マッピング情報を参照して、クライアントに送信する証明書を切り替える証明書取得部とを少なくとも有し、クライアントからのLDAP結合要求又はLDAP開設要求に際して抽出される識別名又はIPアドレスを用いることにより、特別な拡張オペレーションを追加することなくクライアントを識別して所望の証明書を送信することができ、また、鍵IDを用いることにより証明書と鍵とを安全に管理することができる。以下に図面を参照して説明する。
【0019】
[実施の形態1]
まず、本発明の第1の実施形態に係る認証システム及び認証方法並びに認証用プログラムについて、図1乃至図4を参照して説明する。図1は、第1の実施形態に係る認証用証明書切り替えシステムの構成を示すブロック図である。また、図2は、本認証用証明書切り替えシステムのサーバとクライアント間の通信の順序を示す流れ図であり、図3及び図4は、認証用証明書切り替えシステムの動作を示す流れ図である。
【0020】
図1を参照すると、本発明の第1の実施形態に係る認証用証明書切り替えシステムは、プログラム制御により動作するLDAPサーバ100と、証明書格納手段110と、コンフィグレーション情報格納部120と、マッピング情報格納部130と証明書格納部140とから構成されている。
【0021】
また、LDAPサーバ100は、通信部101と、制御部102と、オペレーション処理部103と、ディレクトリアクセス部104と、オペレーションキュー管理部105と、証明書取得部106とを含み構成されている。
【0022】
これらの手段はそれぞれ概略つぎのように動作する。通信部101は、クライアントとの通信を行う。制御部102は、クライアント数などの制限に関してチェックを行う。各オペレーション処理部103は、クライアントからのオペレーションに従って、結合、結合解放、検索、追加、削除、変更などの処理を行う。ディレクトリアクセス部104は、検索や追加、削除などのオペレーションに従って、実際にディレクトリに対する処理を行う。オペレーションキュー管理部105は、各クライアントからのオペレーション情報を保持する。結合操作時にクライアントから送信されるLDAPクライアントの識別名(DN)の情報もここに保持される。証明書取得部106は、オペレーションキュー管理部105からクライアントのDNの情報を取得し、コンフィグレーション情報格納部120およびマッピング情報格納部130を参照して、クライアントに対応する証明書を、証明書格納部140から取得する。
【0023】
証明書格納手段110は、証明書と鍵のペアを識別するための名前である鍵IDを付けて登録する。コンフィグレーション情報格納部120には、SSL利用時に使用するデフォルトの証明書の情報や証明書切り替え機能の利用の有無、およびマッピングファイル位置の情報などを保持する。マッピング情報格納部130 は、DNと証明書の鍵IDとのマッピング情報を保持する。証明書格納部140は、証明書格納手段110を使って登録された証明書と鍵を、鍵IDによって管理する。
【0024】
次に、図1及び図2のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
【0025】
まず、最初に、証明書の登録と、マッピング情報格納部130およびコンフィグレーション情報格納部120の設定を行う。証明書の登録には、証明書格納手段110を利用する。サーバ証明書と鍵のペアを指定し、鍵IDを付けて登録できる。マッピング情報格納部130の設定として、DNと鍵IDのペアを記述したファイルを用意する。コンフィグレーション情報格納部120の設定としては、デフォルトの鍵IDとマッピングファイルの位置を指定する。
【0026】
この状態での動作を説明する。まず、クライアントからLDAP開局要求が出され(図2のステップA1)、サーバ側でLDAP開局のための処理を行いクライアントに応答を返す(ステップA2)。次に、クライアントからLDAP結合要求(バインドオペレーション)が出され(ステップA3)、サーバ側で結合のための認証処理を行う。このとき、図1のオペレーションキュー管理部105に、バインド時のDNの情報が保持される(ステップA4)。結合処理の後、クライアントに応答を返す(ステップA5)。さらに、結合の成功に引き続いて、クライアントからSTART TLSオペレーションを送ることにより、SSLの開始を要求する(ステップA6)。サーバ側はこの要求を受けて、証明書取得部(図1の106)で、送信すべき証明書を選択する(ステップA7)。
【0027】
そして、取得した証明書をサーバ証明書として、クライアントに送信する(ステップA8)。クライアントでは、送られた証明書を使って、サーバ認証を行う(ステップA9)。すなわち、サーバ証明書の有効性と証明書によるサーバの身元の確認を行う。証明書の有効性については、有効期限の確認とともに、サーバ証明書の発行元のルートCAがクライアントの信頼するCAリストに含まれるか照合し、証明書が信頼できるものかということを確認する。
【0028】
サーバ認証の成功に続いて、サーバからクライアント証明書の要求があれば、クライアント証明書を送信し(ステップA10)、クライアント認証を行い応答を返す(ステップA11)。認証に成功すれば、SSLプロトコルを使った通信を開始する(ステップA12)。
【0029】
サーバ証明書の選択時の処理(ステップA7)の流れを、図3を参照して詳細に説明する。
【0030】
まず、コンフィグレーション情報格納部(図1の120)を参照し、マッピングファイルの指定があるかどうかを確認する(図3のステップB1)。指定がない場合は、デフォルトの鍵IDを取得する処理に移る(ステップB4)。次に、オペレーションキュー管理部(図1の105)を参照して、バインド時のDNの情報を取得する(ステップB2)。この時点でバインドオペレーションが行われていなかった場合は、デフォルトの鍵IDを取得する処理に移る(ステップB4)。
【0031】
バインド時のDNとマッピングファイルの取得に成功したら、マッピングファイルを参照しDNに対応する証明書IDを検索する(ステップB3)。このとき、DNに対応する鍵IDが見つからなければ、デフォルトの鍵IDを取得する処理に移る(ステップB4)。デフォルトの鍵IDは、コンフィグレーション情報格納部(図1の120)を参照して取得する(ステップB4)。取得できなかった場合は、証明書取得に失敗する。このようにして得られた鍵IDに対して、対応する証明書と鍵を証明書格納部(図1の140)から検索し、証明書を取得する(ステップB5)。
【0032】
このように、本実施形態の認証用証明書切り替えシステム及び切り替え方法によれば、START TLSオペレーションをバインドオペレーションの後に行うことが可能である性質を利用して、バインド時の情報を利用するように構成されているため、特別な拡張オペレーションを追加することなく、クライアントを識別し、証明書を切り替えることができる。
【0033】
次に、具体例を用いて本実施の形態の動作について説明する。まず、証明書格納DBに、証明書と鍵を登録する。例では、”server1”という鍵IDを付けた証明書と、”server2”という鍵IDを付けた証明書が格納されている状態を示している。証明書”server1”は、認証局CA1から発行されたものであり、証明書”server2”は、認証局CA2から発行されたものである。
【0034】
次に、マッピングファイルに、DNと鍵IDのペアを指定する。例では、”o=CompanyB,c=JP server2”と指定されている様子を示している。これは、DNが”o=CompanyB,c=JP”の下位であれば”server2”の証明書を使うという意味である。コンフィグレーション情報に、デフォルトの鍵IDとマッピングファイル位置を指定する。例では、デフォルトの鍵IDが”server1”であり、マッピングファイル位置が”/etc/ldapd/dn_keyid.map”であることを示している。
【0035】
クライアントからSSL開始要求があった場合に、通常はコンフィグレーションに指定されているデフォルトの証明書”server1” が使用される。例えばクライアント1に対しては、証明書”server1”が送信される。クライアント1では、信頼するCAがCA1であるため、その他に問題がなければサーバ認証に成功する。
【0036】
ところが、CA1を信頼していないクライアント2に対しては、証明書”server1”を使った場合に、サーバ認証に失敗する。このとき、SSL開始要求の前に、”cn=user2,o=CompanyB,c=JP”というDNでバインドオペレーションを行っておくと、マッピングファイルを照合して、送信する証明書が”server2”に切り替えられる。これによって、クライアント2との通信においてもサーバ認証が成功し、SSL通信が可能になる。
【0037】
[実施の形態2]
次に、本発明の第2の実施形態に係る認証システム及び認証方法並びに認証用プログラムについて、図5乃至図8を参照して説明する。図5は、第2の実施形態に係る認証用証明書切り替えシステムの構成を示すブロック図である。また、図6は、本認証用証明書切り替えシステムのサーバとクライアント間の通信の順序を示す流れ図であり、図7及び図8は、認証用証明書切り替えシステムの動作を示す流れ図である。なお、本実施の形態は、クライアントを識別する手段としてバインド時のDNではなく、IPアドレスを使用していることを特徴とするものである。
【0038】
図5を参照すると、本発明の第2の実施形態に係る認証用証明書切り替えシステムは、図1と同様に、プログラム制御により動作するLDAPサーバ200と、証明書格納手段210と、コンフィグレーション情報格納部220と、マッピング情報格納部230と証明書格納部240とから構成されている。
【0039】
また、LDAPサーバ200は、通信部201と、制御部202と、オペレーション処理部203と、ディレクトリアクセス部204と、オペレーションキュー管理部205と、証明書取得部206とを含み構成されている。
【0040】
これらの手段はそれぞれ概略つぎのように動作する。通信部201、制御部202、各オペレーション処理部203、ディレクトリアクセス部204の動作は、図1の101、102、103、104の動作と同一である。オペレーションキュー管理部205は、各クライアントからのオペレーション情報を保持する。クライアントとの接続時の情報もここに保持される。証明書取得部206は、オペレーションキュー管理部205からクライアントのIPアドレスの情報を取得し、コンフィグレーション情報格納部220およびマッピング情報格納部230を参照して、クライアントに対応する証明書を、証明書格納部240から取得する。
【0041】
また、証明書格納手段210とコンフィグレーション情報格納部220は、図1の110、120と同一である。マッピング情報格納部230は、IPアドレスと証明書の鍵IDとのマッピング情報を保持する。証明書格納部240は、図1の140と同一である。
【0042】
次に、図5及び図6のフローチャートを参照して本実施形態の全体の動作について詳細に説明する。
【0043】
まず、最初に、証明書の登録と、マッピング情報格納部230およびコンフィグレーション情報格納部220の設定を行う。証明書の登録とコンフィグレーション情報の設定は、図1の場合と同様である。マッピング情報格納部230の設定として、IPアドレスと鍵IDのペアを記述したファイルを用意する。
【0044】
この状態での動作を説明する。まず、クライアントからLDAP開局要求が出される(図6のステップC1)。サーバ側では、LDAP開局のための処理を行う。このとき、接続時の情報としてクライアントのIPアドレスなどの情報を保持する(ステップC2)。そして、クライアントに応答を返す(ステップC3)。接続後、クライアントからSTART TLSオペレーションを送ることにより、SSLの開始を要求する(ステップC4)。サーバ側は、要求を受けて、証明書取得部(図5の206)で、送信すべき証明書を選択する(ステップC5)。
【0045】
そして、取得した証明書をサーバ証明書として、クライアントに送信する(ステップC6)。クライアントでは、送られた証明書を使ってサーバ認証を行う(ステップC7)。すなわち、サーバ証明書の有効性と証明書によるサーバの身元の確認を行う。証明書の有効性については、有効期限の確認とともに、サーバ証明書の発行元のルートCAがクライアントの信頼するCAリストに含まれるか照合し、証明書が信頼できるものかということを確認する。
【0046】
サーバ認証の成功に続いて、サーバからクライアント証明書の要求があれば、クライアント証明書を送信し(ステップC8)、クライアント認証を行い応答を返す(ステップC9)。認証に成功すれば、SSLプロトコルを使った通信を開始する(ステップC10)。
【0047】
サーバ証明書の選択時(ステップC5)の処理の流れを、図7を参照して詳細に説明する。
【0048】
まず、コンフィグレーション情報格納部(図5の220)を参照し、マッピングファイルの指定があるかどうかを確認する(図7のステップD1)。指定がない場合は、デフォルトの鍵IDを取得する処理に移る(ステップD4)。次に、オペレーションキュー管理部(図5の205)を参照して、接続しているクライアントのIPアドレスを取得する(ステップD2)。
【0049】
IPアドレスとマッピングファイルの取得に成功したら、マッピングファイルを参照し、IPアドレスに対応する証明書IDを検索する(ステップD3)。このとき、IPアドレスに対応する鍵IDが見つからなければ、デフォルトの鍵IDを取得する処理に移る(ステップD4)。デフォルトの鍵IDは、コンフィグレーション情報格納部(図5の220)を参照して取得する(ステップD4)。取得できなかった場合は、証明書取得に失敗する。このようにして得られた鍵IDに対して、対応する証明書と鍵を、証明書格納部(図5の240)から検索し、証明書を取得する(ステップD5)。
【0050】
このように、本実施の形態に係る認証用証明書切り替えシステムによれば、クライアントの識別にIPアドレスを使用しているため、LDAP開局直後のSSL要求にも対応することができる。
【0051】
次に、具体例を用いて本実施の形態の動作を説明する。まず、証明書格納DBに、証明書と鍵を登録する。例では、”server1”という鍵IDを付けた証明書と、”server2”という鍵IDを付けた証明書が格納されている状態を示している。証明書”server1”は、認証局CA1から発行されたものであり、証明書”server2”は、認証局CA2から発行されたものである。マッピングファイルに、IPアドレスと鍵IDのペアを指定する。
【0052】
例では、”200.20.20.20 server2”と指定されている様子を示している。これは、IPアドレスが”200.20.20.20”であれば”server2”の証明書を使うという意味である。コンフィグレーション情報に、デフォルトの鍵IDとマッピングファイル位置を指定する。また、例では、デフォルトの鍵IDが”server1”であり、マッピングファイル位置が”/etc/ldapd/dn_keyid.map”であることを示している。
【0053】
クライアントからSSL開始要求があった場合に、通常はコンフィグレーションに指定されているデフォルトの証明書”server1”が使用される。例えばクライアント1に対しては、証明書”server1”が送信される。クライアント1では、信頼するCAがCA1であるため、その他に問題がなければサーバ認証に成功する。
【0054】
ところが、CA1を信頼していないクライアント2に対しては、証明書”server1”を使った場合に、サーバ認証に失敗する。そこで、マッピングファイルを指定しておけば、送信する証明書が”server2”に切り替えられ、クライアント2との通信においてもサーバ認証が成功し、SSL通信が可能になる。
【0055】
【発明の効果】
以上説明したように、本発明の認証用証明書切り替えシステム及び切り替え方法によれば、下記記載の効果を奏する。
【0056】
本発明の第1の効果は、互いに信頼関係のない異なるCAのみを信頼する複数のクライアントに対して、同時にSSL認証および通信を行うことができるということである。その理由は、クライアント毎にサーバの証明書を切り替えることができるためである。
【0057】
また、本発明の第2の効果は、証明書と鍵をより安全に管理できるということである。その理由は、データベースに格納し管理を行っており、ファイル形式のまま証明書と鍵を保持する必要がなくなるためである。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る認証用証明書切り替えシステムの構成を示すブロック図である。
【図2】本発明の第1の実施形態に係る認証用証明書切り替えシステムのサーバとクライアント間の通信の順序を示す流れ図である。
【図3】本発明の第1の実施形態に係る認証用証明書切り替えシステムの動作を示す流れ図である。
【図4】本発明の第1の実施形態に係る認証用証明書切り替えシステムの動作の具体例を示す図である。
【図5】本発明の第2の実施形態に係る認証用証明書切り替えシステムの構成を示すブロック図である。
【図6】本発明の第2の実施形態に係る認証用証明書切り替えシステムのサーバとクライアント間の通信の順序を示す流れ図である。
【図7】本発明の第2の実施形態に係る認証用証明書切り替えシステムの動作を示す流れ図である。
【図8】本発明の第2の実施形態に係る認証用証明書切り替えシステムの動作の具体例を示す図である。
【符号の説明】
100 LDAPサーバ
101 通信部
102 制御部
103 各オペレーション処理部
104 ディレクトリアクセス部
105 オペレーションキュー管理部
106 証明書取得部
110 証明書格納手段
120 コンフィグレーション情報格納部
130 マッピング情報格納部
140 証明書格納部
200 LDAPサーバ
201 通信部
202 制御部
203 各オペレーション処理部
204 ディレクトリアクセス部
205 オペレーションキュー管理部
206 証明書取得部
210 証明書格納手段
220 コンフィグレーション情報格納部
230 マッピング情報格納部
240 証明書格納部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an authentication system, an authentication method, and an authentication program, and in particular, when performing SSL (Secure Sockets Layer) communication in LDAP (Lightweight Directory Access Protocol), a server certificate to be transmitted can be switched by a communication partner. The present invention relates to an authentication system, an authentication method, and an authentication program.
[0002]
[Prior art]
In SSL authentication, a certificate is transmitted to prove the identity of the communication partner. In server authentication, on the client side, when verifying the server's identity with the certificate sent from the server, the certificate that is valid by the expiration date or the certificate's issuer is used to confirm that the certificate is valid. It is confirmed whether it is a station (CA: Certificate Authority).
[0003]
Conventionally, the same certificate is used regardless of the communication partner, such as specifying the path of the certificate file and key file in the server configuration file, etc. It was.
[0004]
[Problems to be solved by the invention]
However, the conventional authentication method described above has the following problems.
[0005]
The first problem is that simultaneous communication using the SSL protocol cannot be performed for different clients that trust only different certificate authorities that have no mutual trust relationship. This is because there is usually only one certificate on the server side.
[0006]
A second problem is that certificates and keys are not securely managed. The reason is that the file format can easily be rewritten or lost.
[0007]
The present invention has been made in view of the above problems, and a first object of the present invention is to provide an authentication system, an authentication method, and an authentication method that enable SSL communication to be performed simultaneously with a plurality of clients having different trusted CAs. Is to provide a program.
[0008]
A second object of the present invention is to provide an authentication system, an authentication method, and an authentication program that can more securely manage certificates and keys using a database.
[0009]
[Means for Solving the Problems]
  In order to achieve the above object, an authentication system of the present invention comprises a plurality of clients connected via a network.LDAPAn authentication system for a server, the server having a plurality of certificatesA key ID is assigned to each key pair, and the certificate and the key are assigned by the key ID.And means for managing each of said clientsDistinguished nameAnd a certificate issued by a certificate authority trusted by the clientThe key ID corresponding toMeans for storing the mapping information for associating with the mapping information,Obtaining the key ID corresponding to the identification name of the client extracted in response to an LDAP binding request from the client, and based on the key ID,And means for switching a certificate to be transmitted to the client.
[0010]
  The authentication system of the present invention is an authentication system for a plurality of clients and an LDAP server connected via a network, and assigns a key ID to each pair of a plurality of certificates and a key to the server. Mapping means for associating the certificate and the key with the key ID, and associating each client's IP address with the key ID corresponding to the certificate issued by the certificate authority trusted by the client And the mapping information to obtain the key ID corresponding to the client IP address extracted in response to the LDAP opening request from the client, and to the client based on the key ID And means for switching a certificate to be transmitted.
[0013]
  An authentication method of the present invention includes a plurality of clients connected via a network.LDAPAn authentication method with a server, wherein a plurality of certificatesA key ID is assigned to each key pair and the certificate and the key are managed by the key ID.And each said clientDistinguished nameAnd a certificate issued by a certificate authority trusted by the clientThe key ID corresponding toCreating and storing mapping information for associating with the client, referring to the mapping information for a server certificate transmission request from the client,Obtaining the key ID corresponding to the identification name of the client extracted in response to an LDAP binding request from the client, and based on the key ID,And switching at least a certificate to be transmitted to the client.
[0014]
  Also, the authentication method of the present invention is an authentication method between a plurality of clients and an LDAP server connected via a network, in which a key ID is assigned to each pair of a plurality of certificates and a key. Mapping information associating the certificate and the key with the key ID, and associating the IP address of each client with the key ID corresponding to the certificate issued by the certificate authority trusted by the client Corresponding to the client IP address extracted in response to the LDAP opening request from the client with reference to the mapping information in response to the server certificate transmission request from the client. Obtain the key ID and switch the certificate to be sent to the client based on the key ID A step, the one in which at least run.
[0015]
  In addition, the program of the present invention includes a process for assigning a key ID to each computer and at least a pair of a plurality of certificates and a key, and a client.Distinguished name or IP addressAnd a process for creating and storing mapping information between the key ID and the server certificate transmission request from the client,The client's identification name is extracted at the time of the LDAP binding request from the client, or the IP address of the client at the time of the LDAP opening request from the clientReferring to the process of extracting and the mapping information,Obtain the key ID corresponding to the identification name or the IP address, and based on the key ID,And a process of selecting a certificate to be transmitted to the client.
[0017]
As described above, the certificate switching system in the LDAP server according to the present invention includes means for managing a plurality of certificate and key pairs, client identification name (DN) and certificate mapping information, or client. Means for acquiring a certificate to be used from the mapping information of the IP address and the certificate, and by selecting and transmitting a certificate corresponding to each client, simultaneously with a plurality of clients having different trusted CAs SSL communication can be performed.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
In a preferred embodiment of the authentication system according to the present invention, certificate storage means for managing a certificate by assigning a key ID to each of a plurality of certificates and a key, a client identification name or IP address, and a key ID Mapping information storage unit for storing mapping information, configuration information storage unit for storing default key ID and mapping file location information, and certificate for switching the certificate to be transmitted to the client with reference to the mapping information And a desired certificate by identifying a client without adding a special extension operation by using an identification name or an IP address extracted at the time of an LDAP binding request or an LDAP opening request from a client. Can be sent, and the certificate and the key ID can be used. It is possible to safely manage the door. This will be described below with reference to the drawings.
[0019]
[Embodiment 1]
First, an authentication system, an authentication method, and an authentication program according to the first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a block diagram showing a configuration of an authentication certificate switching system according to the first embodiment. FIG. 2 is a flowchart showing the order of communication between the server and the client in the authentication certificate switching system. FIGS. 3 and 4 are flowcharts showing the operation of the authentication certificate switching system.
[0020]
Referring to FIG. 1, an authentication certificate switching system according to the first embodiment of the present invention includes an LDAP server 100 that operates under program control, a certificate storage unit 110, a configuration information storage unit 120, a mapping, The information storage unit 130 and the certificate storage unit 140 are configured.
[0021]
The LDAP server 100 includes a communication unit 101, a control unit 102, an operation processing unit 103, a directory access unit 104, an operation queue management unit 105, and a certificate acquisition unit 106.
[0022]
Each of these means generally operates as follows. The communication unit 101 performs communication with a client. The control unit 102 checks for restrictions such as the number of clients. Each operation processing unit 103 performs processing such as combination, combination release, search, addition, deletion, and change in accordance with the operation from the client. The directory access unit 104 actually performs processing on the directory in accordance with operations such as search, addition, and deletion. The operation queue management unit 105 holds operation information from each client. Information on the identification name (DN) of the LDAP client transmitted from the client during the joining operation is also held here. The certificate acquisition unit 106 acquires the DN information of the client from the operation queue management unit 105, refers to the configuration information storage unit 120 and the mapping information storage unit 130, and stores the certificate corresponding to the client in the certificate storage. Acquired from the unit 140.
[0023]
The certificate storage unit 110 registers the certificate with a key ID, which is a name for identifying a certificate and key pair. The configuration information storage unit 120 holds information on the default certificate used when using SSL, whether the certificate switching function is used, information on the mapping file position, and the like. The mapping information storage unit 130 holds mapping information between the DN and the certificate key ID. The certificate storage unit 140 manages a certificate and a key registered using the certificate storage unit 110 by using a key ID.
[0024]
Next, the overall operation of the present embodiment will be described in detail with reference to the flowcharts of FIGS.
[0025]
First, registration of a certificate and setting of the mapping information storage unit 130 and the configuration information storage unit 120 are performed. The certificate storage unit 110 is used for registering the certificate. A server certificate and key pair can be specified and registered with a key ID. As a setting of the mapping information storage unit 130, a file describing a DN / key ID pair is prepared. As a setting of the configuration information storage unit 120, a default key ID and a location of a mapping file are designated.
[0026]
The operation in this state will be described. First, an LDAP opening request is issued from the client (step A1 in FIG. 2), the server side performs processing for opening the LDAP, and a response is returned to the client (step A2). Next, an LDAP binding request (bind operation) is issued from the client (step A3), and authentication processing for binding is performed on the server side. At this time, the DN information at the time of binding is held in the operation queue management unit 105 of FIG. 1 (step A4). After the combining process, a response is returned to the client (step A5). Further, following the successful coupling, the start of SSL is requested by sending a START TLS operation from the client (step A6). Upon receiving this request, the server side selects a certificate to be transmitted by the certificate acquisition unit (106 in FIG. 1) (step A7).
[0027]
Then, the acquired certificate is transmitted as a server certificate to the client (step A8). The client performs server authentication using the sent certificate (step A9). That is, the validity of the server certificate and the identity of the server are confirmed by the certificate. Regarding the validity of the certificate, along with the confirmation of the expiration date, it is verified whether the root CA of the server certificate issuer is included in the CA list trusted by the client, and it is confirmed whether the certificate is reliable.
[0028]
Following the success of server authentication, if there is a client certificate request from the server, the client certificate is transmitted (step A10), client authentication is performed, and a response is returned (step A11). If the authentication is successful, communication using the SSL protocol is started (step A12).
[0029]
The flow of processing (step A7) when selecting a server certificate will be described in detail with reference to FIG.
[0030]
First, referring to the configuration information storage unit (120 in FIG. 1), it is confirmed whether or not a mapping file is specified (step B1 in FIG. 3). If there is no designation, the process proceeds to a process for obtaining a default key ID (step B4). Next, the DN information at the time of binding is acquired with reference to the operation queue management unit (105 in FIG. 1) (step B2). If the bind operation has not been performed at this time, the process proceeds to a process of acquiring a default key ID (step B4).
[0031]
If acquisition of the DN and mapping file at the time of binding is successful, the certificate ID corresponding to the DN is searched with reference to the mapping file (step B3). At this time, if the key ID corresponding to the DN is not found, the process proceeds to a process of acquiring a default key ID (step B4). The default key ID is acquired with reference to the configuration information storage unit (120 in FIG. 1) (step B4). If the certificate cannot be obtained, certificate acquisition fails. For the key ID thus obtained, the corresponding certificate and key are searched from the certificate storage unit (140 in FIG. 1), and the certificate is acquired (step B5).
[0032]
As described above, according to the authentication certificate switching system and the switching method of the present embodiment, the information at the time of binding is used by utilizing the property that the START TLS operation can be performed after the binding operation. As configured, it is possible to identify clients and switch certificates without adding special extension operations.
[0033]
Next, the operation of this embodiment will be described using a specific example. First, a certificate and a key are registered in the certificate storage DB. In the example, a certificate with a key ID “server1” and a certificate with a key ID “server2” are stored. The certificate “server1” is issued from the certificate authority CA1, and the certificate “server2” is issued from the certificate authority CA2.
[0034]
Next, a DN / key ID pair is specified in the mapping file. In the example, “o = Company B, c = JP server 2” is designated. This means that if the DN is lower than “o = CompanyB, c = JP”, the certificate “server2” is used. Specify the default key ID and mapping file location in the configuration information. In the example, the default key ID is “server1”, and the mapping file location is “/etc/ldapd/dn_keyid.map”.
[0035]
When there is an SSL start request from the client, the default certificate “server1” specified in the configuration is usually used. For example, a certificate “server1” is transmitted to the client 1. In the client 1, since the trusted CA is CA1, if there is no other problem, the server authentication is successful.
[0036]
However, for the client 2 that does not trust CA1, server authentication fails when the certificate “server1” is used. At this time, if the bind operation is performed with the DN “cn = user2, o = CompanyB, c = JP” before the SSL start request, the mapping file is collated and the certificate to be transmitted is set to “server2”. Can be switched. As a result, server authentication succeeds in communication with the client 2 and SSL communication becomes possible.
[0037]
[Embodiment 2]
Next, an authentication system, an authentication method, and an authentication program according to the second embodiment of the present invention will be described with reference to FIGS. FIG. 5 is a block diagram showing a configuration of an authentication certificate switching system according to the second embodiment. FIG. 6 is a flowchart showing the order of communication between the server and the client in the authentication certificate switching system, and FIGS. 7 and 8 are flowcharts showing the operation of the authentication certificate switching system. This embodiment is characterized in that an IP address is used as a means for identifying a client, not a DN at the time of binding.
[0038]
Referring to FIG. 5, the authentication certificate switching system according to the second embodiment of the present invention is similar to FIG. 1 in that an LDAP server 200 that operates by program control, a certificate storage unit 210, configuration information, and the like. The storage unit 220 includes a mapping information storage unit 230 and a certificate storage unit 240.
[0039]
The LDAP server 200 includes a communication unit 201, a control unit 202, an operation processing unit 203, a directory access unit 204, an operation queue management unit 205, and a certificate acquisition unit 206.
[0040]
Each of these means generally operates as follows. The operations of the communication unit 201, the control unit 202, each operation processing unit 203, and the directory access unit 204 are the same as the operations of 101, 102, 103, and 104 in FIG. The operation queue management unit 205 holds operation information from each client. Information at the time of connection with the client is also held here. The certificate acquisition unit 206 acquires the IP address information of the client from the operation queue management unit 205 and refers to the configuration information storage unit 220 and the mapping information storage unit 230 to obtain a certificate corresponding to the client as a certificate. Obtained from the storage unit 240.
[0041]
Further, the certificate storage unit 210 and the configuration information storage unit 220 are the same as 110 and 120 in FIG. The mapping information storage unit 230 holds mapping information between the IP address and the certificate key ID. The certificate storage unit 240 is the same as 140 in FIG.
[0042]
Next, the overall operation of this embodiment will be described in detail with reference to the flowcharts of FIGS.
[0043]
First, registration of a certificate and setting of the mapping information storage unit 230 and the configuration information storage unit 220 are performed. Certificate registration and configuration information setting are the same as in FIG. As a setting of the mapping information storage unit 230, a file describing an IP address and key ID pair is prepared.
[0044]
The operation in this state will be described. First, an LDAP opening request is issued from the client (step C1 in FIG. 6). On the server side, processing for LDAP opening is performed. At this time, information such as the IP address of the client is held as information at the time of connection (step C2). Then, a response is returned to the client (step C3). After the connection, the start of SSL is requested by sending a START TLS operation from the client (step C4). Upon receiving the request, the server side selects a certificate to be transmitted by the certificate acquisition unit (206 in FIG. 5) (step C5).
[0045]
Then, the acquired certificate is transmitted as a server certificate to the client (step C6). The client performs server authentication using the sent certificate (step C7). That is, the validity of the server certificate and the identity of the server are confirmed by the certificate. Regarding the validity of the certificate, along with the confirmation of the expiration date, it is verified whether the root CA of the server certificate issuer is included in the CA list trusted by the client, and it is confirmed whether the certificate is reliable.
[0046]
Following the success of server authentication, if there is a client certificate request from the server, the client certificate is transmitted (step C8), client authentication is performed, and a response is returned (step C9). If the authentication is successful, communication using the SSL protocol is started (step C10).
[0047]
The flow of processing when selecting a server certificate (step C5) will be described in detail with reference to FIG.
[0048]
First, referring to the configuration information storage unit (220 in FIG. 5), it is confirmed whether or not a mapping file is specified (step D1 in FIG. 7). If there is no designation, the process proceeds to a process for obtaining a default key ID (step D4). Next, referring to the operation queue management unit (205 in FIG. 5), the IP address of the connected client is acquired (step D2).
[0049]
If acquisition of the IP address and the mapping file is successful, the mapping file is referred to and a certificate ID corresponding to the IP address is searched (step D3). At this time, if the key ID corresponding to the IP address is not found, the process proceeds to a process of acquiring a default key ID (step D4). The default key ID is acquired with reference to the configuration information storage unit (220 in FIG. 5) (step D4). If the certificate cannot be obtained, certificate acquisition fails. For the key ID thus obtained, the corresponding certificate and key are searched from the certificate storage unit (240 in FIG. 5), and the certificate is acquired (step D5).
[0050]
As described above, according to the authentication certificate switching system according to the present embodiment, since the IP address is used for identifying the client, the SSL request immediately after the opening of the LDAP station can be handled.
[0051]
Next, the operation of this embodiment will be described using a specific example. First, a certificate and a key are registered in the certificate storage DB. In the example, a certificate with a key ID “server1” and a certificate with a key ID “server2” are stored. The certificate “server1” is issued from the certificate authority CA1, and the certificate “server2” is issued from the certificate authority CA2. Specify the IP address and key ID pair in the mapping file.
[0052]
In the example, “200.20.20.20 server2” is designated. This means that if the IP address is “200.20.20.20”, the “server2” certificate is used. Specify the default key ID and mapping file location in the configuration information. In the example, the default key ID is “server1”, and the mapping file location is “/etc/ldapd/dn_keyid.map”.
[0053]
When there is an SSL start request from the client, the default certificate “server1” normally specified in the configuration is used. For example, a certificate “server1” is transmitted to the client 1. In the client 1, since the trusted CA is CA1, if there is no other problem, the server authentication is successful.
[0054]
However, for the client 2 that does not trust CA1, server authentication fails when the certificate “server1” is used. Therefore, if a mapping file is specified, the certificate to be transmitted is switched to “server2”, server authentication is successful even in communication with the client 2, and SSL communication becomes possible.
[0055]
【The invention's effect】
As described above, according to the authentication certificate switching system and switching method of the present invention, the following effects can be obtained.
[0056]
The first effect of the present invention is that SSL authentication and communication can be simultaneously performed with respect to a plurality of clients that trust only different CAs that have no trust relationship with each other. The reason is that the server certificate can be switched for each client.
[0057]
The second effect of the present invention is that certificates and keys can be managed more securely. The reason is that it is stored and managed in the database, and it is not necessary to hold the certificate and key in the file format.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an authentication certificate switching system according to a first embodiment of the present invention.
FIG. 2 is a flowchart showing an order of communication between a server and a client in the authentication certificate switching system according to the first embodiment of the present invention.
FIG. 3 is a flowchart showing an operation of the authentication certificate switching system according to the first embodiment of the present invention.
FIG. 4 is a diagram showing a specific example of the operation of the authentication certificate switching system according to the first embodiment of the present invention.
FIG. 5 is a block diagram showing a configuration of an authentication certificate switching system according to a second embodiment of the present invention.
FIG. 6 is a flowchart showing a communication sequence between a server and a client in the authentication certificate switching system according to the second embodiment of the present invention.
FIG. 7 is a flowchart showing the operation of the authentication certificate switching system according to the second embodiment of the present invention.
FIG. 8 is a diagram showing a specific example of the operation of the authentication certificate switching system according to the second embodiment of the present invention.
[Explanation of symbols]
100 LDAP server
101 Communication unit
102 Control unit
103 Operation processing units
104 Directory access part
105 Operation queue manager
106 Certificate acquisition unit
110 Certificate storage means
120 Configuration information storage unit
130 Mapping information storage
140 Certificate storage
200 LDAP server
201 Communication unit
202 Control unit
203 Operation processing units
204 Directory access part
205 Operation queue manager
206 Certificate acquisition unit
210 Certificate storage means
220 Configuration information storage unit
230 Mapping information storage
240 Certificate storage

Claims (5)

ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証システムであって、
前記サーバに、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理する手段と、各々の前記クライアントの識別名と該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を記憶する手段と、前記マッピング情報を参照して、前記クライアントからのLDAP結合要求に際して抽出される該クライアントの識別名に対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替える手段と、を少なくとも有することを特徴とする認証システム。An authentication system for a plurality of clients and an LDAP server connected via a network,
Means for assigning a key ID to each pair of a plurality of certificates and a key to the server, managing the certificate and the key by the key ID, an identification name of each of the clients , and the client Means for storing mapping information for associating the key ID corresponding to a certificate issued by a trusted certificate authority, and an identification name of the client extracted in response to an LDAP binding request from the client with reference to the mapping information And a means for switching the certificate to be transmitted to the client based on the key ID . ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証システムであって、An authentication system for a plurality of clients and an LDAP server connected via a network,
前記サーバに、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理する手段と、各々の前記クライアントのIPアドレスと該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を記憶する手段と、前記マッピング情報を参照して、前記クライアントからのLDAP開設要求に際して抽出される該クライアントのIPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替える手段と、を少なくとも有することを特徴とする認証システム。Means for assigning a key ID to each pair of a plurality of certificates and a key to the server, managing the certificate and the key by the key ID, an IP address of each of the clients, and the client Means for storing mapping information for associating the key ID corresponding to a certificate issued by a trusted certificate authority; and the IP address of the client extracted in response to an LDAP establishment request from the client with reference to the mapping information And a means for switching the certificate to be transmitted to the client based on the key ID. ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証方法であって、An authentication method between a plurality of clients and an LDAP server connected via a network,
前記サーバにおいて、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理するステップと、各々の前記クライアントの識別名と該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を作成し、記憶するステップと、前記クライアントからのサーバ証明書の送信要求に対して、前記マッピング情報を参照して、前記クライアントからのLDAP結合要求に際して抽出される該クライアントの識別名に対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替えるステップと、を少なくとも実行することを特徴とする認証方法。In the server, a step of assigning a key ID to each pair of a plurality of certificates and a key, managing the certificate and the key by the key ID, an identification name of each client and the client Create and store mapping information for associating the key ID corresponding to the certificate issued by the trusted certificate authority, and refer to the mapping information for the server certificate transmission request from the client. Obtaining at least the key ID corresponding to the client identification name extracted in response to an LDAP binding request from the client, and switching the certificate to be transmitted to the client based on the key ID. An authentication method characterized by that. ネットワークを介して接続される複数のクライアントとLDAPサーバとにおける認証方法であって、An authentication method between a plurality of clients and an LDAP server connected via a network,
前記サーバにおいて、複数の証明書の各々と鍵とのペアに鍵IDを付与し、該鍵IDによって前記証明書と前記鍵とを管理するステップと、各々の前記クライアントのIPアドレスと該クライアントが信頼する認証局が発行した証明書に対応する前記鍵IDとを関連づけるマッピング情報を作成し、記憶するステップと、前記クライアントからのサーバ証明書の送信要求に対して、前記マッピング情報を参照して、前記クライアントからのLDAP開設要求に際して抽出される該クライアントのIPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を切り替えるステップと、を少なくとも実行することを特徴とする認証方法。In the server, a step of assigning a key ID to each of a plurality of certificates and a key, managing the certificate and the key by the key ID, an IP address of each client and the client Create and store mapping information for associating the key ID corresponding to the certificate issued by the trusted certificate authority, and refer to the mapping information for the server certificate transmission request from the client. Obtaining at least the key ID corresponding to the IP address of the client extracted in response to the LDAP opening request from the client, and switching the certificate to be transmitted to the client based on the key ID. An authentication method characterized by that. コンピュータに、On the computer,
少なくとも、複数の証明書の各々と鍵とのペアに鍵IDを付与して格納する処理と、クライアントの識別名又はIPアドレスと前記鍵IDとのマッピング情報を作成し、記憶する処理と、前記クライアントからのサーバ証明書の送信要求に対して、該クライアントからのLDAP結合要求に際して該クライアントの識別名を抽出、又は、前記クライアントからのLDAP開設要求に際して該クライアントのIPアドレスを抽出する処理と、前記At least a process of assigning and storing a key ID to each pair of a plurality of certificates and a key, a process of creating and storing mapping information between a client identification name or IP address and the key ID, and In response to a server certificate transmission request from a client, a process for extracting the client's identification name when requesting an LDAP connection from the client, or extracting an IP address of the client when requesting an LDAP establishment from the client; Said マッピング情報を参照して、前記識別名又は前記IPアドレスに対応する前記鍵IDを取得し、該鍵IDに基づいて、前記クライアントに送信する証明書を選択する処理と、を実行させるための認証用プログラム。A process for acquiring the key ID corresponding to the identification name or the IP address with reference to mapping information and selecting a certificate to be transmitted to the client based on the key ID. Program.
JP2001161610A 2001-05-30 2001-05-30 Authentication system, authentication method, and authentication program Expired - Fee Related JP3724564B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001161610A JP3724564B2 (en) 2001-05-30 2001-05-30 Authentication system, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001161610A JP3724564B2 (en) 2001-05-30 2001-05-30 Authentication system, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2002353959A JP2002353959A (en) 2002-12-06
JP3724564B2 true JP3724564B2 (en) 2005-12-07

Family

ID=19004862

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001161610A Expired - Fee Related JP3724564B2 (en) 2001-05-30 2001-05-30 Authentication system, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP3724564B2 (en)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100893070B1 (en) * 2002-09-19 2009-04-17 엘지전자 주식회사 Method and apparatus for providing and receiving multicast service in a radio communication system
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
DE602004002044T2 (en) 2003-07-25 2007-04-12 Ricoh Co., Ltd. Authentication system and procedures using individualized and non-individualized certificates
JP4712325B2 (en) 2003-09-12 2011-06-29 株式会社リコー COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM
JP4522771B2 (en) 2003-09-22 2010-08-11 株式会社リコー COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM
US8015399B2 (en) 2003-09-30 2011-09-06 Ricoh Company, Ltd. Communication apparatus, communication system, certificate transmission method and program
JP4576210B2 (en) 2003-12-16 2010-11-04 株式会社リコー Certificate transfer device, certificate transfer system, certificate transfer method, program, and recording medium
JP4607567B2 (en) 2004-01-09 2011-01-05 株式会社リコー Certificate transfer method, certificate transfer apparatus, certificate transfer system, program, and recording medium
JP4758095B2 (en) 2004-01-09 2011-08-24 株式会社リコー Certificate invalidation device, communication device, certificate invalidation system, program, and recording medium
JP4601979B2 (en) * 2004-03-22 2010-12-22 エヌ・ティ・ティ・コムウェア株式会社 Certificate mutual authentication system and certificate mutual authentication method
JP4555175B2 (en) 2004-07-20 2010-09-29 株式会社リコー Examination device, communication system, examination method, program, and recording medium
US7647494B2 (en) 2005-06-08 2010-01-12 International Business Machines Corporation Name transformation for a public key infrastructure (PKI)
US7434253B2 (en) * 2005-07-14 2008-10-07 Microsoft Corporation User mapping information extension for protocols
FR2970612B1 (en) * 2011-01-19 2013-01-04 Natural Security METHOD FOR AUTHENTICATING A FIRST COMMUNICATION EQUIPMENT WITH A SECOND COMMUNICATION EQUIPMENT
CN102195983B (en) * 2011-05-12 2015-08-19 深圳Tcl新技术有限公司 network terminal encryption authentication method and server
US8738902B2 (en) * 2012-01-27 2014-05-27 Microsoft Corporation Implicit SSL certificate management without server name indication (SNI)
JP6539324B2 (en) * 2013-10-01 2019-07-03 キヤノン株式会社 IMAGE PROCESSING APPARATUS, CONTROL METHOD THEREOF, AND PROGRAM
EP3709198B1 (en) * 2017-11-09 2023-09-27 Mitsubishi Electric Corporation Information processing device and information processing method
CN111526025B (en) * 2020-07-06 2020-10-13 飞天诚信科技股份有限公司 Method and system for realizing terminal unbinding and rebinding

Also Published As

Publication number Publication date
JP2002353959A (en) 2002-12-06

Similar Documents

Publication Publication Date Title
JP3724564B2 (en) Authentication system, authentication method, and authentication program
JP4579546B2 (en) Method and apparatus for handling user identifier in single sign-on service
US6385651B2 (en) Internet service provider preliminary user registration mechanism provided by centralized authority
US6112305A (en) Mechanism for dynamically binding a network computer client device to an approved internet service provider
US6108789A (en) Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority
US8024789B2 (en) Communication apparatus, program and method
US6141752A (en) Mechanism for facilitating secure storage and retrieval of information on a smart card by an internet service provider using various network computer client devices
US7512974B2 (en) Computer system and program to update SSL certificates
JP4477494B2 (en) Method and system for registering and automatically retrieving digital audio certificates in Internet Protocol (VOIP) communication
US7051204B2 (en) Methods and system for providing a public key fingerprint list in a PK system
US6275941B1 (en) Security management method for network system
US6446206B1 (en) Method and system for access control of a message queue
US7489783B2 (en) Digital certificate management system, digital certificate management apparatus, digital certificate management method, update procedure determination method and program
US9106712B1 (en) Domain manager for plural domains and method of use
US6684336B1 (en) Verification by target end system of intended data transfer operation
US7634654B2 (en) Method of nullifying digital certificate, apparatus for nullifying digital certificate, and system, program, and recoring medium for nullifying digital certificate
US6988195B2 (en) Vault controller supervisor and method of operation for managing multiple independent vault processes and browser sessions for users in an electronic business system
EP0862105A2 (en) Method of and apparatus for providing secure distributed directory services and public key infrastructure
US20020035685A1 (en) Client-server system with security function intermediary
US20030009591A1 (en) Apparatus and method for managing internet resource requests
US20020041605A1 (en) Communication initiation method employing an authorisation server
US8402511B2 (en) LDAPI communication across OS instances
WO2005006204A1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
WO2005114946A1 (en) An apparatus, computer-readable memory and method for authenticating and authorizing a service request sent from a service client to a service provider
US6868450B1 (en) System and method for a process attribute based computer network filter

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050913

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080930

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090930

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090930

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100930

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110930

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120930

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130930

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees