DE10124111A1

DE10124111A1 - System und Verfahren für verteilte Gruppenverwaltung

Info

Publication number: DE10124111A1
Application number: DE10124111A
Authority: DE
Inventors: Ikuya Morikawa; Makoto Minoura; Kenichi Fukuda
Original assignee: Fujitsu Ltd
Current assignee: Fujitsu Ltd
Priority date: 2000-05-17
Filing date: 2001-05-17
Publication date: 2002-07-04
Anticipated expiration: 2021-05-18
Also published as: US7185194B2; JP2001326632A; US20010049787A1; DE10124111B4

Abstract

Ein System zur verteilten Gruppenverwaltung zur Erzeugung von Authentifizierungsinformation in Bezug auf eine Gruppe, zu welcher Benutzer gehören, mit hoher Geschwindigkeit auf einer Klientenseite, wobei gleichzeitig eine Serverseite dies mit hoher Geschwindgkeit nachprüfen kann. Dieses System stellt eine Gruppenzertifikats-Ausgabeeinrichtung zur Ausgabe eines Gruppenzertifikats auf einer Klientenseite auf der Grundlage von Originalgruppeninformation einschließlich des Namens der Gruppe, zu welcher die Benutzer gehören, und eine Gruppenzertifikats-Nachprüfungseinheit zur Nachprüfung der Legitimität des von der Klientenseite in einen Server übertragenen Zertifikats zur Verfügung. Hierbei fügt die Gruppenzertifikats-Ausgabeeinrichtung einen Ausgabeseitenverarbeitungswert, der durch Verarbeitung der Information der Originalgruppeninformation mit einer Verschlüsselungsfunktion erhalten wird, dieser Originalgruppeninformation hinzu, um ein Gruppenzertifikat zu erhalten, und die Gruppenzertifikats-Nachprüfungseinheit verarbeitet einen Teil der Information, die in dem empfangenen Zertifikat enthalten ist, mit einer identischen Verschlüsselungsfunktion, um einen Nachprüfungsseitenverarbeitungswert zu erhalten, und führt eine Authentifizierung durch Bestätigung durch, daß der Ausgabeseitenverarbeitungswert und der Nachprüfungsseitenverarbeitungswert übereinstimmen.

Description

HINTERGRUND DER ERFINDUNG 1. Gebiet der Erfindung

Die vorliegende Erfindung betrifft ein System zur verteilten Gruppenverwaltung zum Verwalten der Sicherheit von Information in Bezug auf Benutzer und Gruppen, zu welchen die Benutzer gehören, zum Zeitpunkt der verteilten Verarbeitung unter mehreren Computersystemen.

Bei den Fortschritten, die in den vergangenen Jahren bei Computernetzwerken aufgetreten sind, ist das Bedürfnis entstanden, eine Verarbeitung für die Übertragung von Information zur Verfügung zu stellen, die zwischen mehreren Computersystemen verteilt ist, also eine Fernverarbeitung. Zum Zeitpunkt einer derartigen Fernverarbeitung ist unbedingt eine Verwaltung zum Authentifizieren und Verwalten von Berechtigungen auf der Grundlage der Authentifizierung erforderlich, also eine Sicherheitsverwaltung.

In Bezug auf die Berechtigung bestand andererseits, wenn zahlreiche Benutzer vorhanden sind, die eine Fernverarbeitung anfordern, die allgemeine Praxis darin, mehrere Gruppen einzustellen, die jeweils vorbestimmte Benutzer enthalten, in dem Computersystem. Diese entsprechen den voranstehend erwähnten Gruppen. Dies ermöglicht es, äußerst effizient Berechtigungen zahlreicher Benutzer zu verwalten, beispielsweise die Berechtigung, Dateien zu lesen, und die Berechtigung, Dateien zu lesen bzw. in diese zu schreiben.

Es wird darauf hingewiesen, daß das Konzept einer "Gruppe" unter den Begriffen "Rolle" oder "Privileg" wohlbekannt ist. Bei der vorliegenden Erfindung wird der Begriff "Gruppe" dazu verwendet, diese Begriffe zu repräsentieren. Dies liegt daran, daß unabhängig davon, welcher Begriff verwendet wird, die grundlegende Eigenschaft gleich ist, nämlich mehrere Benutzer zu einer Gruppe gehören können (in bestimmten Fällen kann ein Benutzer zu mehreren Gruppen gehören).

Beinahe alle momentanen Authentifizierungssysteme, die für die Sicherheitsverwaltung verwendet werden, führen eine Authentifizierung durch mittels (i) Verwendung geheimer Information, beispielsweise eines Passworts oder Information in Bezug auf einen geheimen Schlüssel, (ii) Entwicklung einer speziellen physikalischen Anordnung und Ausgabe eines schwer zu fälschenden Gegenstands, beispielsweise einer IC-Karte, oder (iii) Verwendung physikalischer Eigenschaften, welche die Identifizierung einer bestimmten Person ermöglichen, beispielsweise Fingerabdrücke oder Netzhautmuster.

Allerdings treten Probleme auf, wenn man versucht, jede der voranstehend unter (i) bis (iii) angegebenen Authentifizierungsvorrichtungen unverändert für die Authentifizierung einer Gruppe einzusetzen. Beispielsweise ist es extrem schwer, gemeinsam die Authentifizierungsvorrichtung durch die mehreren Benutzer zu nutzen, die eine Gruppe bilden. Weiterhin besteht eine Unbequemlichkeit darin, daß es dann, wenn ein Benutzer die Gruppe verläßt, ebenfalls extrem schwierig ist, die Authentifizierungsvorrichtung von dem Benutzer zurück zu erlangen.

Um hiermit fertig zu werden wurde ein Sicherheitsverwaltungsverfahren eingesetzt, das ein Modell mit zwei Schichten umfaßt, nämlich zunächst Authentifizieren des individuellen Benutzers mit Hilfe der voranstehend erwähnten Authentifizierung (i) bis (iii), und nachfolgende getrennte Verwaltung, zu welcher Gruppe der Benutzer gehört. Dieses Modell wird in vielen Computersystemen verwendet, beispielsweise für Benutzer und Gruppen von UNIX.

Die vorliegende Erfindung betrifft ein Sicherheitsverwaltungsverfahren, das wie voranstehend geschildert die Authentifizierung betrifft.

2. Beschreibung des Stands der Technik

Bei dem herkömmlichen Standard UNIX sind die Konzepte von Benutzern und Gruppen vorhanden, jedoch sind diese Gruppen lokal bei den entsprechenden Servern vorhanden. Dies bringt den Vorteil mit sich, daß ein Benutzer, der die Nutzung der Berechtigung anfordert, die von dieser Gruppe geteilt wird, zuerst als der Benutzer authentifiziert werden muß, durch ihn selbst.

Andererseits ist in Bezug auf das Konzept von Benutzern und Gruppen ein Informationszuteilungsverwaltungsverfahren bekannt, das als Netzwerkinformationsdienst (NIS) bezeichnet wird. Wenn dieses Verfahren eingesetzt wird, wird es möglich, zentral eine Benutzer/Authentifizierungsinformationstabelle zu verwalten, eine Benutzer/Gruppen-Korrespondenztabelle, und eine Benutzer/Berechtigungs-Korrespondenztabelle, bei einem einzelnen NIS-Server, für die Benutzer der mehreren Server.

Selbst wenn dieses Informationszuteilungsverwaltungsverfahren verwendet wird, muß eine enge Kommunikation zwischen dem Server und dem NIS-Server sichergestellt werden, so daß dieser NIS-Server eher als ein Server als ein Klient behandelt werden muß, von dem Standpunkt der Hauptgröße aus, die mit der Sicherheitsverwaltung und der Struktur der Organisation betraut ist. Selbst wenn dieses Informationszuteilungsverwaltungsverfahren verwendet wird, ist darüber hinaus immer noch der voranstehend erwähnte, zugehörige Nachteil vorhanden, nämlich daß die einzelnen Benutzer authentifiziert werden müssen. Als eines der Verfahren, um mit dem voranstehend geschilderten Nachteil fertig zu werden, daß die einzelnen Nutzer immer noch auf diese Art und Weise authentifiziert werden müssen, ist das Verfahren der indirekten Authentifizierung bekannt. Als ein System, das ein derartiges indirektes Authentifizierungsverfahren hauptsächlich in ein UNIX-System einbaut, wurde ein verteiltes Authentifizierungssystem, das als "Kerberos" bezeichnet wird, in der Druckschrift 1 vorgeschlagen (John Kohl und B. Clifford Neuman, The Kerberos Network Authentication Service (Version 5), Internet Request for Comments RFC-1510, September 1993).

Bei diesem verteilten Authentifizierungssystem des Typs Kerberos führt nicht der Server, der die Fernverarbeitung durchführt, sondern ein anderer Server, der als Etikettenserver bezeichnet wird, zentral direkt die Authentifizierung von Benutzern durch. Nach der direkten Authentifizierung gibt der Etikettenserver ein Etikett an jeden Benutzer aus. Bei diesem Mechanismus präsentiert der Benutzer das ausgegebene Etikett dem ursprünglichen Server, damit er indirekt authentifiziert wird. Ein derartiger Mechanismus wird durch ein Verschlüsselungsverfahren erreicht.

Weiterhin wurde vorgeschlagen, Gruppenmitgliedschaftsinformation in einem Verlängerungsfeld der Version 5 von Kerberos aufzunehmen, und zwar in der Druckschrift 2 (B. Clifford Neuman, Proxy-Based Authorization and Accounting for Distributed Systems, in Proceedings of the Thirteenths International Conference on Distributed Computing Systems, Seiten 283-291, Mai 1993).

Unter diesem Hintergrund wird der bekannte Stand der Technik später unter Rückgriff auf die Fig. 48 und 49 erläutert. Die Fig. 48 und 49 zeigen ein herkömmliches System für die verteilte Gruppenverwaltung. Wie später unter Rückgriff auf diese Figuren erläutert wird, ist folgendes Problem vorhanden.

Eine Verschlüsselungsfunktionseinheit 34', die in der Figur gezeigt ist, verschlüsselt ein Originaletikett (TC) unter Verwendung eines geheimen Schlüssels. Daher ist es extrem schwierig für eine böswillige dritte Partei, das ursprüngliche Etikett (TC) abzuhören, es sei denn, daß sie den geheimen Schlüssel kennt, so daß die Sicherheit sichergestellt wird.

Allerdings ist im allgemeinen die Verarbeitungsgeschwindigkeit für die Verschlüsselung niedrig, so daß eine beträchtliche Verarbeitungszeit erforderlich ist. Aus diesem Grund besteht ein Problem in der Hinsicht, daß die indirekte Authentifizierung der Gruppe nicht mit hoher Geschwindigkeit durchgeführt werden kann.

ZUSAMMENFASSUNG DER ERFINDUNG

Ein Ziel der vorliegenden Erfindung besteht darin, angesichts des voranstehend geschilderten Problems, ein System zur verteilten Gruppenverwaltung zur Verfügung zu stellen, das die Geschwindigkeit der indirekten Authentifizierung einer Gruppe erhöhen kann.

Um das voranstehende Ziel zu erreichen, wird bei einem System für die verteilte Gruppenverwaltung gemäß der vorliegenden Erfindung eine Gruppenzertifikats-Ausgabeeinrichtung (3) zur Ausgabe eines Gruppenzertifikats (GC) an der Seite eines Klienten (2) auf der Grundlage einer Originalgruppeninformation vorgesehen, die einen Namen einer Gruppe enthält, zu welcher ein Benutzer gehört, sowie eine Gruppenzertifikats-Nachprüfungseinheit (12) zum Nachprüfen der Legitimität eines Gruppenzertifikats GC, das von der Seite des Klienten (2) in einem Server (1) übertragen wurde. Hierbei addiert die Gruppenzertifikats-Ausgabeeinrichtung (3) einen Ausgabenseitenverarbeitungswert, der durch Verarbeitung der Information der Originalgruppeninformation durch eine Verschlüsselungsfunktion erhalten wird, zu dieser Originalgruppeninformation, um ein Gruppenzertifikat (GC) zu erhalten. Die Gruppenzertifikats-Nachprüfungseinheit (12) verarbeitet einen Teil der Information, die in dem empfangenen Zertifikat (GC) enthalten ist, mit einer identischen Verschlüsselungsfunktion, um einen Nachprüfungsseitenverarbeitungswert zu erhalten, und führt die Authentifizierung dadurch durch, daß sie überprüft, ob der Ausgabenseitenverarbeitungswert und der Nachprüfungsseitenverarbeitungswert übereinstimmen.

Das System zur verteilten Gruppenverwaltung kann daher Authentifizierungsinformation in Bezug auf eine Gruppe erzeugen, zu welcher Benutzer gehören, auf der Seite des Klienten, mit hoher Geschwindigkeit, und gleichzeitig dies an der Seite des Servers mit hoher Geschwindigkeit nachprüfen.

KURZBESCHREIBUNG DER ZEICHNUNGEN

Die voranstehenden Ziele und Merkmale der vorliegenden Erfindung werden aus der folgenden Beschreibung der bevorzugten Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen noch deutlicher. Es zeigt:

Fig. 1 eine Ansicht des grundlegenden Aufbaus eines Systems zur verteilten Gruppenverwaltung gemäß der vorliegenden Erfindung;

Fig. 2 eine Darstellung grundlegender Schritte des Verfahrens der verteilten Gruppenverwaltung gemäß der vorliegenden Erfindung;

Fig. 3 ein erstes Teil einer Darstellung einer ersten Ausführungsform der vorliegenden Erfindung;

Fig. 4 ein zweites Teil einer Darstellung der ersten Ausführungsform der vorliegenden Erfindung;

Fig. 5 ein erstes Teil einer Darstellung eines Beispiels für einen Gesamtaufbau, bei welchem die erste Ausführungsform der vorliegenden Erfindung eingesetzt wird;

Fig. 6 ein zweites Teil einer Darstellung eines Beispiels des Gesamtaufbaus, bei welchem die erste Ausführungsform der vorliegenden Erfindung eingesetzt wird;

Fig. 7 eine Darstellung eines Beispiels für eine Datenstruktur in einer Passwortspeichervorrichtung 21;

Fig. 8 eine Darstellung eines Beispiels für die Datenstruktur in einer Benutzergruppen- Abbildungsspeichervorrichtung 32;

Fig. 9 eine Darstellung eines Beispiels für die Datenstruktur in einer Gruppen- Geheiminformationsspeichervorrichtung 33;

Fig. 10 eine Darstellung eines Beispiels für die Datenstruktur in einer Gruppen- Geheiminformationsspeichervorrichtung 13;

Fig. 11 eine Darstellung eines Beispiels für die Datenstruktur in einer Gruppen- Berechtigungsabbildungsspeichervorrichtung 15;

Fig. 12 eine Darstellung eines konkreten Verfahrens zur Erzeugung eines Gruppenzertifikats GC bei der ersten Ausführungsform;

Fig. 13 eine Darstellung eines konkreten Verfahrens zur Nachprüfung des Gruppenzertifikats GC bei der ersten Ausführungsform;

Fig. 14 ein erstes Teil einer Darstellung des Betriebsablaufes der Gesamtverarbeitung bei der ersten Ausführungsform;

Fig. 15 ein zweites Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der ersten Ausführungsform;

Fig. 16 eine Darstellung des Betriebsablaufs einer Gruppenzertifikats-Nachprüfungseinheit 12 bei der ersten Ausführungsform;

Fig. 17 ein erstes Teil einer Darstellung einer zweiten Ausführungsform der vorliegenden Erfindung;

Fig. 18 ein zweites Teil einer Darstellung der zweiten Ausführungsform der vorliegenden Erfindung;

Fig. 19 eine Darstellung eines konkreten Verfahrens zur Erzeugung eines modifizierten Gruppenzertifikats (Einbuchungsanforderung) GC';

Fig. 20 eine Darstellung eines konkreten Verfahrens zur Nachprüfung eines modifizierten Gruppenzertifikats (Einbuchungsanforderung) GC' bei der zweiten Ausführungsform;

Fig. 21 eine Darstellung eines Beispiels für die Daten, die in einer Speichereinheit 14 für ein abgeändertes Gruppenzertifikat (Einbuchungsanforderung) gehalten werden;

Fig. 22 ein erstes Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der zweiten Ausführungsform;

Fig. 23 ein zweites Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der zweiten Ausführungsform;

Fig. 24 ein erstes Teil einer Darstellung des Betriebsablaufs der Nachprüfungseinheit 12 für das modifizierte Gruppenzertifikat (Einbuchungsanforderung);

Fig. 25 ein zweites Teil einer Darstellung des Betriebsablaufs der Nachprüfungseinheit 12 für das modifizierte Gruppenzertifikat (Einbuchungsanforderung);

Fig. 26 ein erstes Teil einer Darstellung einer dritten Ausführungsform der vorliegenden Erfindung;

Fig. 27 ein zweites Teil einer Darstellung der dritten Ausführungsform der vorliegenden Erfindung;

Fig. 28 eine Darstellung eines konkreten Verfahrens zur Erzeugung einer Serverantwort "rep";

Fig. 29 eine Darstellung eines konkreten Verfahrens zur Nachprüfung der Serverantwort "rep" an der Klientenseite;

Fig. 30 ein erstes Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der dritten Ausführungsform;

Fig. 31 ein zweites Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der dritten Ausführungsform;

Fig. 32 ein erstes Teil einer Darstellung einer vierten Ausführungsform der vorliegenden Erfindung;

Fig. 33 ein zweites Teil einer Darstellung der vierten Ausführungsform der vorliegenden Erfindung;

Fig. 34 eine Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der vierten Ausführungsform;

Fig. 35 ein erstes Teil einer Darstellung einer fünften Ausführungsform der vorliegenden Erfindung;

Fig. 36 ein zweites Teil einer Darstellung der fünften Ausführungsform der vorliegenden Erfindung;

Fig. 37 eine Darstellung eines Beispiels für die Daten in einer Logbuchdatei 48 in einer Gruppenzertifikats- Ausgabeeinrichtung 3 bei der fünften Ausführungsform;

Fig. 38 eine Darstellung eines Beispiels für die Daten in einer Logbuchdatei 47 in einem Server 1 bei der ersten Ausführungsform;

Fig. 39 ein erstes Teil einer Darstellung einer sechsten Ausführungsform der vorliegenden Erfindung;

Fig. 40 ein zweites Teil einer Darstellung der sechsten Ausführungsform der vorliegenden Erfindung;

Fig. 41 eine Darstellung eines Beispiels für eine Zertifikat-Identifizierung (ID) Cid bei der sechsten Ausführungsform;

Fig. 42 ein erstes Teil einer Darstellung einer siebten Ausführungsform der vorliegenden Erfindung;

Fig. 43 ein zweites Teil einer Darstellung der siebten Ausführungsform der vorliegenden Erfindung;

Fig. 44 eine Darstellung eines Beispiels für die Daten in der Benutzergruppen-Abbildungsspeichervorrichtung 32 bei der siebten Ausführungsform;

Fig. 45 eine Darstellung eines Beispiels für die Daten einer Gruppenzertifikats-Temporärspeichereinheit 52, die bei der siebten Ausführungsform eingesetzt wird;

Fig. 46 ein erstes Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der siebten Ausführungsform;

Fig. 47 ein zweites Teil einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der siebten Ausführungsform;

Fig. 48 ein erstes Teil einer Darstellung eines herkömmlichen Systems für die verteilte Gruppenverwaltung; und

Fig. 49 ein zweites Teil einer Darstellung des herkömmlichen Systems für die verteilte Gruppenverwaltung.

BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN

Bevor die Ausführungsformen der vorliegenden Erfindung beschrieben werden, werden der verwandte Stand der Technik und die dort auftretenden Nachteile unter Bezugnahme auf die entsprechenden Figuren beschrieben.

Die Fig. 48 und 49 sind ein erstes bzw. zweites Teil einer Darstellung eines herkömmlichen Systems zur verteilten Gruppenverwaltung.

Das in diesen Figuren dargestellte System repräsentiert eine Systemkonfiguration, die dadurch erhalten wird, eine Funktion zum Zertifizieren der Gruppenmitgliedschaft zu dem im Dokument 2 beschriebenen Kerberos-System hinzuzufügen. Es wird darauf hingewiesen, daß das System so dargestellt ist, daß ein Vergleich mit der Systemkonfiguration der vorliegenden Erfindung ermöglicht wird, die später erläutert wird.

In Bezug auf die Druckschrift 2 enthält ein Etikett Information in Bezug auf den Benutzernamen des persönlichen Benutzers (U) über die Gruppenmitgliedschaftsinformation hinaus, jedoch verwendet die Seite des Servers 1 nicht immer den Benutzernamen. Sie kann Authentifizierung und Berechtigung nur durch die Gruppenmitgliedschaftsinformation einsetzen. Daher zeigen die Fig. 48 und 49 keine Information in Bezug auf den Benutzer U, die vom Server 1 festgehalten werden kann.

Durch Einbau der Gruppenmitgliedschaftsinformation in den voranstehend erläuterten Mechanismus für die indirekte Authentifizierung auf diese Art und Weise können die Benutzergruppen zentral verwaltet werden, getrennt von dem Server 1. Deswegen wird ein System zur verteilten Gruppenverwaltung erzielt, bei dem die Notwendigkeit ausgeschaltet ist, persönliche Benutzer (U) in dem Server 1 registrieren zu müssen.

Das in den Fig. 48 und 49 gezeigte System wird nachstehend genauer erläutert.

In den Figuren bezeichnet das Bezugszeichen 10 ein System zur verteilten Gruppenverwaltung. Dieses weist einen Server 1 auf, einen Klienten 2, und einen Etikettenserver 3'. Diese Komponenten 1, 2 und 3' können miteinander über ein Netzwerk 4 kommunizieren.

Normalerweise sind mehrere Klienten 2 vorhanden (in der Figur ist nur einer zur Vereinfachung dargestellt, und dies ist nachstehend ebenso). Weiterhin fordern eine große Anzahl an Benutzern U eine Fernverarbeitung bei dem Server 1 über diese Klienten 2 und das Netzwerk 4 an.

Eine Tabelle, welche die Gruppenmitgliedschaft angibt, also zu welcher Gruppe jeder Benutzer gehört, wird zentral von dem Etikettenserver 3' für alle Benutzer gehalten. In der Figur arbeitet eine Benutzergruppen-Abbildungsspeichervorrichtung 32 als die Tabelle.

Wenn ein Benutzer U eine Fernverarbeitung bei dem Server 1 über den Klienten 2 anfordert, fordert der Benutzer U zuerst die Ausgabe des Etiketts TC an den Etikettenserver 3' an. Es wird darauf hingewiesen, daß die Darstellung des Weges für diese Anforderung weggelassen ist (in den folgenden Figuren ebenso). Wenn der Etikettenserver 3' die Anforderung empfängt, und die Tatsache bestätigt, daß der Benutzer beispielsweise zu einer "Gruppe 2" unter beispielsweise "Gruppe 1 bis Gruppe 4" gehört (vorher in der Vorrichtung 32 registriert), von der Benutzergruppen- Abbildungsspeichervorrichtung 32, gibt er das Etikett TC aus, das diese "Gruppe 2" enthält, von einer Etikettenausgabeeinheit 31', und schickt es zum Klienten 2 zurück. Der Benutzer greift auf den Server 1 mit diesem Etikett TC zu, um die Fernverarbeitung anzufordern.

Daraufhin authentifiziert der Server 1 den zugehörigen Zugriff an einer Authentifizierungsfunktionseinheit 11 und entscheidet, ob es sich um einen legitimen Zugriff handelt oder nicht. Zum Zeitpunkt dieser Entscheidung führt eine Etikettennachprüfungseinheit 12' eine Nachprüfung des empfangenen Etiketts TC durch.

Wenn er bestätigt, daß der zugehörige Zugriff eine Fernverarbeitungsanforderung für die "Gruppe 2" ist, durch die Nachprüfung dieses Etiketts TC, greift der Server 1 auf eine Gruppen-Berechtigungsabbildungsspeichervorrichtung 15 zu, und führt die zugehörige Fernverarbeitung innerhalb der Berechtigung durch, wenn die für die "Gruppe 2" zulässige Berechtigung beispielsweise in "nur aus der Datei lesen" besteht (vorher registriert).

Es wird darauf hingewiesen, daß eine Gruppen- Geheiminformationsspeichervorrichtung 33 in dem Etikettenserver 3' mit einer Gruppen- Geheiminformationsspeichervorrichtung 13 in dem Server 1 zusammenarbeitet. Bei ihnen ist Geheiminformation (geheime Codes) jeder Gruppe vorher in Bezug aufeinander zugeteilt, um die Sicherheit weiter zu erhöhen. Weiterhin führt eine Etikettenspeichereinheit 14' eine temporäre Speicherung und ein Festhalten des empfangenen Etiketts TC durch. Diese festgehaltene Information wird dazu verwendet, zu entscheiden, ob eine Anforderung eine Fernverarbeitungsanforderung ist oder nicht, die von einer bösgläubigen dritten Partei erfolgt.

Wenn man annimmt, daß eine derartige bösgläubige dritte Partei offen das Etikett TC von dem Benutzer sieht, beispielsweise auf dem Netzwerk 4, und versucht, "Gruppe 2" in "Gruppe 3" zu ändern (oder angenommen wird, daß die der "Gruppe 3" erteilte Berechtigung beispielsweise darin besteht, "sowohl aus der Datei zu lesen als auch in die Datei zu schreiben"), so kann der Inhalt der Datei durch die bösgläubige dritte Partei überschrieben werden.

Das Auftreten einer derartigen Situation muß soweit wie möglich verhindert werden, um eine sichere Verwaltung zu erreichen. Eine Verschlüsselungsfunktionseinheit 34' ist in der Etikettenausgabeeinheit 31' für diesen Zweck vorgesehen. Hierbei wird das Etikett TC unter Verwendung eines geheimen Codes als geheimem Schlüssel verschlüsselt, und dann zum Klienten 2 zurückgeschickt.

Das verschlüsselte Etikett TC wird an das Netzwerk 4 übertragen. Der Server 1, der es empfängt, entschlüsselt das Etikett TC in einer Entschlüsselungsfunktionseinheit 16' unter Verwendung des geheimen Codes als geheimem Schlüssel, und schickt dies an das ursprüngliche Etikett TC zurück. Eine derartige Verschlüsselung verbessert wesentlich die Sicherheit.

Wie bereits erläutert, verschlüsselt die Verschlüsselungsfunktionseinheit 34' das ursprüngliche Etikett TC mit dem geheimen Schlüssel. Daher ist es extrem schwierig, es sei denn, daß die bösgläubige dritte Partei den geheimen Schlüssel kennt, offen das ursprüngliche Etikett TC zu sehen, so daß die Sicherheit sichergestellt ist.

Allerdings ist im allgemeinen die Verarbeitungsgeschwindigkeit für die Verschlüsselung langsam, so daß eine beträchtliche Bearbeitungszeit erforderlich ist. Aus diesem Grund ist das voranstehend geschilderte Problem vorhanden, daß die indirekte Authentifizierung der Gruppe nicht mit hoher Geschwindigkeit durchgeführt werden kann.

Daher stellt die vorliegende Erfindung ein System zur verteilten Gruppenverwaltung zur Verfügung, welches das voranstehend geschilderte Problem lösen kann, und die Geschwindigkeit der indirekten Authentifizierung einer Gruppe erhöhen kann.

Nachstehend wird die vorliegende Erfindung mit weiteren Einzelheiten erläutert.

Fig. 1 ist eine Darstellung des grundlegenden Aufbaus des Systems zur verteilten Gruppenverwaltung gemäß der vorliegenden Erfindung. Es wird darauf hingewiesen, daß die gleichen Bezugszeichen oder Symbole bei gleichen Komponenten in sämtlichen Darstellungen vorgesehen sind.

In der Figur bezeichnet das Bezugszeichen 10 das System der verteilten Gruppenverwaltung. Dieses System 10 authentifiziert indirekt die Mitgliedschaft eines Benutzers U in einer Gruppe, um die Sicherheit des Klienten 2 auf der Seite des Benutzers (U) zu verwalten, wobei der Server 1 eine Fernverarbeitungsanforderung von der Benutzerseite unter einer vorbestimmten Berechtigung durchführt, die jeder Gruppe zugeordnet ist.

Dieses System 10 weist den Server 1 auf, einen Klienten 2, eine Gruppenzertifikats-Ausgabeeinrichtung 3, und das Netzwerk 4, das für die gegenseitige Kommunikation zwischen diesen Teilen vorgesehen ist. Weiterhin ist die Seite des Servers 1 mit der Gruppenzertifikats-Nachprüfungseinheit 12 versehen.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 gibt ein Gruppenzertifikat GC auf der Seite des Klienten 2 aus, auf der Grundlage von Originalgruppeninformation GR, welche den Namen der Gruppe enthält, zu welcher der betreffende Benutzer gehört, wenn eine Fernverarbeitungsanforderung vorhanden ist.

Die Gruppenzertifikats-Nachprüfungseinheit 12 prüft die Legitimität des Gruppenzertifikats GC nach, das von der Seite des Klienten 2 in den Server 1 übertragen wurde.

Hierbei addiert die Gruppenzertifikats-Ausgabeeinrichtung 3 einen Ausgabeseitenverarbeitungswert, der durch Verarbeitung von Information der Originalgruppeninformation GR durch eine kryptographische Funktion erhalten wird, zu dieser Originalgruppeninformation GR, und definiert dies als das Gruppenzertifikat GC. Weiterhin verarbeitet die Gruppenzertifikats-Nachprüfungseinheit 12 einen Teil der Information, die in dem empfangenen Gruppenzertifikat GC enthalten ist, mit einer identischen kryptographischen oder Verschlüsselungsfunktion, um den Nachprüfungsseitenverarbeitungswert zu erhalten, und führt eine Authentifizierung durch Bestätigung durch, daß dieser Ausgabeseitenverarbeitungswert und dieser Nachprüfungsseitenverarbeitungswert übereinstimmen.

Das System zur verteilten Gruppenverwaltung 10 gemäß der vorliegenden Erfindung läßt sich auch als Verfahren zur verteilten Gruppenverwaltung verstehen, welches als nächstes erläutert wird.

Fig. 2 ist eine Darstellung grundlegender Schritte des Verfahrens der verteilten Gruppenverwaltung gemäß der vorliegenden Erfindung.

Wie in der Figur gezeigt, umfaßt dieses Verfahren einen ersten Schritt S1, einen zweiten Schritt S2 und einen dritten Schritt S3. Dieses Verfahren ist ein Verfahren zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers U in einer Gruppe zur Sicherheitsverwaltung in Bezug auf den Klienten 2 auf der Seite des Benutzers (U), und ein Server 1 führt eine Fernverarbeitungsanforderung von der Benutzerseite auf der Grundlage einer vorbestimmten Berechtigung durch, die jeder Gruppe zugeordnet ist.

a) Im ersten Schritt S1, wenn eine Fernverarbeitungsanforderung vorhanden ist, verarbeitet die Seite des Klienten 2 die Originalgruppeninformation GR einschließlich des Namens der Gruppe, zu welcher der betreffende Benutzer U gehört, mit einer Verschlüsselungsfunktion, und gibt ein Gruppenzertifikat GC aus, das durch Hinzufügen des erhaltenen Ausgabeseitenverarbeitungswertes zur Originalgruppeninformation erhalten wird.
b) Im zweiten Schritt S2 verarbeitet die Seite des Servers 1 die Information des empfangenen Gruppenzertifikats GC mit der identischen Verschlüsselungsfunktion, um den Nachprüfungsseitenverarbeitungswert zu erhalten.
c) Im Schritt S3 vergleicht die Seite des Servers 1 den Nachprüfungsseitenverarbeitungswert und den empfangenen Ausgabeseitenverarbeitungswert, und authentifiziert durch Bestätigung, daß diese übereinstimmen. Die Legitimität des Gruppenzertifikats GC, das von der Seite des Klienten 2 übertragen wird, wird in dem Server 1 nachgeprüft.

Herkömmlich werden, wie bereits erläutert, Nachrichtendaten (entsprechend dem Etikett TC), welche die Information des Gruppennamens usw. enthalten, durch einen geheimen Schlüssel Verschlüsselt, um einen Geheimtext zu erhalten. Dann wird der von der Seite des Klienten übertragene Geheimtext durch den geheimen Schlüssel an der Seite des Servers entschlüsselt, um die ursprünglichen Nachrichtendaten zu reproduzieren. Daher wird eine Verarbeitung in großem Ausmaß durchgeführt, um die ursprünglichen Nachrichtendaten in einen vollständig verschiedenen Geheimtext für die Übertragung umzuwandeln, und den empfangenen Geheimtext zurück in die ursprünglichen Nachrichtendaten umzuwandeln. Aus diesem Grund war eine beträchtliche Zeit dafür erforderlich, ein Etikett TC sowohl zu erzeugen als auch nachzuprüfen.

Die vorliegende Erfindung jedoch wandelt nicht die Nachrichtendaten, welche den Gruppennamen usw. enthalten, in vollständig unterschiedliche Daten um. Daher muß sie auch nicht diese zu den ursprünglichen Nachrichtendaten zurückschicken. Aus diesem Grund stellen die zu übertragenden Nachrichtendaten im wesentlichen unveränderte Rohdaten dar. Der Ausgabeseitenverarbeitungswert, der durch Verarbeitung der Nachrichtendaten erhalten wird, die durch eine Verschlüsselungsfunktion übertragen werden sollen, wird einfach diesen Nachrichtendaten hinzugefügt. Die Empfangsseite verarbeitet nur die Nachrichtendaten mit der identischen Verschlüsselungsfunktion, um individuell den Nachprüfungsseitenverarbeitungswert zu erzeugen, und prüft nur nach, ob diese verarbeiteten Werte übereinstimmen oder nicht. Stimmen sie nicht überein, so läßt sich daraus schließen, daß die Nachrichtendaten teilweise durch eine bösgläubige dritte Partei manipuliert wurden, während der Zeit der Übertragung der Nachrichtendaten von der Klientenseite zum Empfang auf der Serverseite. Daher akzeptiert der Server 1 nicht die entsprechende Fernverarbeitungsanforderung.

Als bevorzugtes Beispiel für die voranstehend erwähnte Verschlüsselungsfunktion läßt sich eine Verschlüsselungs- Hash-Funktion angeben. Diese Funktion wird durch einen einfachen Algorithmus realisiert. Die folgende Erläuterung erfolgt mit dieser Verschlüsselungs-Hash-Funktion als Beispiel (die nachstehend auch einfach als "Hash-Funktion" bezeichnet wird). In diesem Fall ist diese Hash-Funktion ansich bereits bekannt, so daß unbestritten die Möglichkeit einer bösgläubigen Reproduktion des Ausgabeseitenverarbeitungswertes vorhanden ist. Als Beispiel dafür, wie man verläßlich mit dieser Möglichkeit umgeht, kann geheime Information verwendet werden. Das System der verteilten Gruppenverwaltung gemäß der vorliegenden Erfindung, bei welchem diese geheime Information eingesetzt wird, kann folgendermaßen ausgebildet sein.

Wie wiederum aus Fig. 1 hervorgeht, enthält die Gruppenzertifikats-Ausgabeeinrichtung 3 die geheime Information, die einer Gruppe in der Originalgruppeninformation GR zugeordnet ist, und führt eine Verarbeitung mit der Verschlüsselungsfunktion (Hash-Funktion) durch. Weiterhin enthält die Gruppenzertifikats- Nachprüfungseinheit 12 die geheime Information, die der Gruppe zugeordnet ist, in einem Teil der Information, die in dem empfangenen Gruppenzertifikat enthalten ist, und führt die Verarbeitung mit der Verschlüsselungsfunktion (Hash-Funktion) durch. Hierbei teilen sich die Gruppenzertifikats-Ausgabeeinrichtung 3 und der Server 1 gemeinsam dieselbe geheime Information für identische Gruppen.

Wenn das System auf diese Weise aufgebaut ist, wird die geheime Information nur durch die Einrichtung 3 und die Nachprüfungseinheit 12 gehalten. Daher kennt eine dritte Partei nicht diese geheime Information, und kann nicht den identische Ausgabeseitenverarbeitungswert (Hash-Wert) akquirieren. In diesem Fall ist es unmöglich, den Inhalt des Originalgruppenzertifikats aus einem abgehörten Hash-Wert zu reproduzieren. Dies ist ein weiterer Vorteil der Verwendung eines Hash-Wertes. Es wird darauf hingewiesen, daß die folgende Erläuterung darauf beruht, daß als Beispiel ein Fall verwendet wird, in welchem die geheime Information verwendet wird.

Erste Ausführungsform

Die Fig. 3 und 4 sind Teile einer Darstellung einer ersten Ausführungsform der vorliegenden Erfindung.

Es wird darauf hingewiesen, daß nach Erläuterung dieser ersten Ausführungsform eine Erläuterung einer zweiten bis siebten Ausführungsform erfolgt. Bei jeder Ausführungsform sind die Gruppenzertifikats-Ausgabeeinrichtung 3 und die Gruppenzertifikats-Nachprüfungseinheit 12 in dem Server 1 grundlegend folgendermaßen ausgebildet:
Die erste (3) ist eine Gruppenzertifikats-Ausgabeeinrichtung, die ein System zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers U in einer Gruppe zur Sicherheitsverwaltung in Bezug auf den Klienten 2 auf der Seite des Benutzers aufweist, sowie den Server 1 zur Ausführung der Fernverarbeitungsanforderung von der Benutzerseite unter einer vorbestimmten Berechtigung, die jeder Gruppe zugeordnet ist. Ein kennzeichnendes Merkmal besteht in einem Punkt zur Bereitstellung eines Ausgabeseitenprozessors (34) zur Ausgabe der Originalgruppeninformation GR einschließlich der Name der Gruppe, zu welcher der betreffende Benutzer gehört, wenn eine Fernverarbeitungsanforderung vorhanden ist, wobei gleichzeitig ein Ausgabeseitenverarbeitungswert, der durch Verarbeitung der Information dieser Originalgruppeninformation GR durch eine Verschlüsselungsfunktion (Hash-Funktion) erhalten wird, zu dieser Originalgruppeninformation GR hinzugefügt wird, um das Gruppenzertifikat GC zu erhalten.

Andererseits ist letztere (12) eine Gruppenzertifikats- Nachprüfungseinheit, die entsprechend ein System zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers U zu einer Gruppe für Sicherheitsverwaltung in Bezug auf den Klienten 2 auf der Benutzerseite aufweist, sowie den Server 1 zur Ausführung der Fernverarbeitungsanforderung von der Benutzerseite unter einer vorbestimmten Berechtigung, die jeder Gruppe zugeordnet ist. Das kennzeichnende Merkmal besteht in dem Punkt, daß ein Nachprüfungsseitenprozessor (16) zum Verarbeiten der Information, die in dem Gruppenzertifikat GC enthalten ist, das von der Seite des Klienten 2 empfangen wird, mit einer Verschlüsselungsfunktion (Hash-Funktion) vorgesehen ist, um einen Nachprüfungsseitenverarbeitungswert zu erzeugen, und zwar auf der Seite des Servers 1. Die Authentifizierung wird dadurch durchgeführt, daß bestätigt wird, daß der Ausgabeseitenverarbeitungswert, der in dem empfangenen Gruppenzertifikat GC enthalten ist, und der voranstehend erwähnten Nachprüfungsseitenverarbeitungswert übereinstimmen.

Wie aus den Fig. 3 und 4 hervorgeht, sind der Server 1 und mehrere Klienten 2 (von denen zur Vereinfachung nur einer dargestellt ist) durch das Netzwerk 4 verbunden. Der Server 1 weist die Authentifizierungsfunktionseinheit 11 auf, eine Gruppenzertifikats-Nachprüfungseinheit 12, eine Gruppen- Geheiminformationsspeichervorrichtung 13, eine Gruppenzertifikats-Speichereinheit 14, und die Gruppen- Berechtigungsabbildungsspeichervorrichtung 15.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 ist mit dem Netzwerk 4 verbunden, und weist eine Gruppenzertifikats- Ausgabeeinheit 31 auf, eine Benutzergruppen- Abbildungsspeichervorrichtung 32, und eine Gruppen- Geheiminformationsspeichervorrichtung 33.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 und der Server 1 teilen sich ein Teil eines Namensraumens für die Namen von Gruppen, und halten einander entsprechende Werte als die Geheiminformation der Gruppen, die dem Namen der Gruppen zugeordnet ist, die auf diese Weise gemeinsam genutzt werden, in der Gruppen-Geheiminformationsspeichervorrichtung 33 der Gruppenzertifikats-Ausgabeeinrichtung 3 und der Gruppen- Geheiminformationsspeichervorrichtung 13 des Servers 1. Weiterhin wird angenommen, daß die Gruppenzertifikats- Ausgabeeinrichtung 3 und der Server 1 nicht dargestellte Taktfunktionen aufweisen, und daß sie vollständig oder innerhalb eines kleinen Fehlerbereichs synchronisiert sind.

Zum Zeitpunkt einer Anforderung nach einer Fernverarbeitung durch den Benutzer U des Klienten 2 beim Server 1 überträgt zuerst der Benutzer U den Namen des Servers 1, der verbunden werden soll (Servernamen), und seinen eigenen Benutzernamen, der in der Gruppenzertifikats-Ausgabeeinrichtung 3 registriert ist, an die Gruppenzertifikats-Ausgabeeinrichtung 3, um die Ausgabe des Gruppenzertifikats GC anzufordern (dieser Vorgang ist nicht als Pfeil in Fig. 3 dargestellt). Die Gruppenzertifikats-Ausgabeeinheit 31 in der Gruppenzertifikats-Ausgabeeinrichtung 3 empfängt dies, Verwendet den Namen der Gruppe, die dem Benutzer zugeordnet ist, und von der Benutzerabbildungsspeichervorrichtung erhalten wird, die Geheiminformation, die der Gruppe zugeordnet ist, und von der Gruppen- Geheiminformationsspeichervorrichtung 33 erhalten wird, und Information in Bezug auf einen gültigen Term, die aus der momentanen Zeit berechnet wird (der gültige Term ist der Zeitraum, über welchen die zugeordnete Berechtigung einer Gruppe verwendet wird) als die Originalgruppeninformation GR, verarbeitet diese Werte (verarbeitet die Hash-Funktion usw.) mit einer Hash-Funktionseinheit 34, welche den Ausgabeseitenprozessor bildet, und erzeugt hierdurch das Gruppenzertifikat GC. Dann wird dies an den Klienten 2 zurückgeschickt.

Der Klient 2, der das Gruppenzertifikat GC empfängt, überträgt dies über das Netzwerk 4 an den Server 1. Beim Server 1 prüft die Gruppenzertifikats-Nachprüfungseinheit 12 die Legitimität des empfangenen Gruppenzertifikats GC nach, unter Verwendung der Gruppen- Geheiminformationsspeichervorrichtung 13 und der Gruppenzertifikatsspeichereinheit 14. Ist es legitim, dann wird das Gruppenzertifikat GC in der Gruppenzertifikatsspeichereinheit 14 gespeichert. Diese Nachprüfung wird von der Hash-Funktionseinheit 16 durchgeführt, welche den Nachprüfungsseitenprozessor bildet, auf der Grundlage der Hash-Funktionsverarbeitung.

Bei erfolgreicher Nachprüfung betrachtet die Authentifizierungsfunktionseinheit 11 die Authentifizierung als beendet, überprüft die Gruppe, die in dem Gruppenzertifikat GC in der Gruppen- Berechtigungsabbildungsspeichervorrichtung 15 angegeben wird, und erkennt die Berechtigung, welche dieser Gruppe verliehen wurde. Die Fernverarbeitung, die von dem Benutzer U des Klienten 2 angefordert wurde, wird innerhalb des Bereiches dieser Berechtigung ausgeführt.

Die Fig. 5 und 6 sind Teile einer Darstellung eines Beispiels für den Gesamtaufbau unter Verwendung der ersten Ausführungsform der vorliegenden Erfindung.

Es wird darauf hingewiesen, daß Beispiele für die Gesamtaufbauten, welche die erste bis siebte Ausführungsform verwenden, die später erläutert werden, ähnlich jenen werden, die in den Fig. 5 und 6 gezeigt sind.

In den Fig. 5 und 6 sind Computersysteme einer Organisation A und einer Organisation B durch das Netzwerk 4 verbunden, wird die Gruppenzertifikats-Ausgabeeinrichtung 3 von der Organisation A verwaltet, und wird der Server 1 (der Servername ist als "Server X" bezeichnet) von der Organisation B verwaltet.

Der Server 1 ist mit einer Benutzerpasswortspeichervorrichtung 17 versehen, einer Benutzerberechtigungsabbildungsspeichervorrichtung 18, und einer Benutzergruppenabbildungsspeichervorrichtung 19 für die Benutzer in der eigenen Organisation B. Die Benutzer der Organisation B sind darin registriert. Ein Benutzer der Organisation B überträgt seinen Benutzernamen und Authentifizierungsinformation in dem Server 1 von dem Klienten 5 in seiner eigenen Organisation B über eine Leitung L3, und fordert eine Fernverarbeitung an, nachdem er die Authentifizierung empfangen hat.

Im Gegensatz hierzu ist der Benutzer der Organisation A nicht in den Speichervorrichtungen 17, 18 und 19 in dem Server 1 registriert, so daß er die Gruppenzertifikats- Ausgabeeinrichtung 3 in seiner eigenen Organisation A anweist, das Gruppenzertifikat GC über eine Leitung L1 auszugeben, und überträgt dies an den Server 1 über eine Leitung L2, damit er die Fernverarbeitung anfordern kann.

Daher fordert ein Benutzer der Organisation B eine Fernverarbeitung durch das herkömmliche Verfahren an, während ein Benutzer der Organisation A eine Fernverarbeitung durch das Gruppenzertifikat GC anfordern kann, selbst wenn jede Benutzerinformation (Benutzernamen, Passwort, Berechtigung usw.) nicht in dem Server 1 der Organisation B registriert ist.

Fig. 7 ist eine Darstellung eines Beispiels für die Datenstruktur in einer Passwortspeichervorrichtung 21.

Diese Speichervorrichtung 21 ist in der in Fig. 5 gezeigten Gruppenzertifikats-Ausgabeeinrichtung 3 vorgesehen. Die gespeicherten Daten bestehen aus Gruppen von Benutzernamen in der betreffenden Organisation A, beispielsweise Benutzer A, Benutzer B, . . ., und Passworts entsprechend den Benutzern, beispielsweise Passwort A, Passwort B, . . .,. Es wird angenommen, daß das Passwort zwischen jedem Benutzer und der Einrichtung 3 geheim gemeinsam genutzt wird.

Fig. 8 ist eine Darstellung eines Beispiels für die Datenstruktur in der Benutzergruppen- Abbildungsspeichervorrichtung 32.

Diese Speichervorrichtung 32 ist in der in den Fig. 3 und 5 dargestellten Gruppenzertifikats-Ausgabeeinrichtung 3 vorgesehen. Die gespeicherten Daten bestehen aus Gruppen von Benutzernamen, beispielsweise Benutzer A, Benutzer B, . . ., und aus Gruppennamen, die den Benutzern zugeordnet sind, beispielsweise Gruppe 3, Gruppe 1, . . ..

Die Gruppenzertifikats-Ausgabeeinrichtung 3 kann zentral die verteilten Gruppen verwalten, nicht nur mit einem Server X, sondern auch mit einem nicht dargestellten Server über den Server X hinaus. Daher wird bei diesem Beispiel in Bezug auf den Benutzernamen die Gruppe aus den Benutzernamen und den Benutzernamen in dessen eigener Organisation A beschrieben. Weiterhin wird auch für den Namen der Gruppe der Servername mitgeteilt, um klarzustellen, in welchem Server der Gruppenname gespeichert ist.

Fig. 9 ist eine Darstellung eines Beispiels für die Datenstruktur in der Gruppen- Geheiminformationsspeichervorrichtung 33.

Diese Speichervorrichtung 33 ist in der in Fig. 5 gezeigten Gruppenzertifikats-Ausgabeeinrichtung 3 vorgesehen. Die gespeicherten Daten bestehen aus Gruppen von Namen von Gruppen in dem Server und der geheimen Information, die für jede Gruppe zugeordnet ist, beispielsweise Geheim 1, Geheim 2, . . .. Jede Gruppe muß gemeinsam bei jeder Gruppe in der Gruppen-Geheiminformationsspeichervorrichtung 13 (Fig. 6) des entsprechenden Servers 1 vorhanden sein. Die Geheiminformation der Gruppe, die auf diese Weise gemeinsam genutzt wird, muß gemeinsam geheim von der Gruppenzertifikats-Ausgabeeinrichtung 3 und dem Server 1 benutzt werden. Dies dient dazu, zu verhindern, daß die Geheiminformation auf dem Netzwerk 4 fließt.

Fig. 10 ist eine Darstellung eines Beispiels für die Datenstruktur in der Gruppen- Geheiminformationsspeichervorrichtung 13.

Diese Speichervorrichtung 13 ist in dem in den Fig. 4 und 6 gezeigten Server (Server X) vorgesehen. Die gespeicherten Daten bestehen aus Gruppen der Namen von Gruppen, die von dem Server (Server X) selbst verwaltet werden, und der Geheiminformation, die den Gruppen zugeordnet ist. Jede Gruppe wird gemeinsam mit der Gruppen- Geheiminformationsspeichervorrichtung 33 in der Gruppenzertifikats-Ausgabeeinrichtung 3 gehalten, wie voranstehend bereits erläutert.

Es wird darauf hingewiesen, daß als Namen der Gruppen in der linken Spalte der Tabelle von Fig. 10 der Servername in der Gruppenzertifikats-Ausgabeeinrichtung 3 angegeben, jedoch bei dem Server 1 selbstverständlich ist, daß der zugehörige Servername sein eigener Name ist (hier: Server X), so daß dies weggelassen ist.

Fig. 11 ist eine Darstellung eines Beispiels für die Datenstruktur in der Gruppen- Berechtigungsabbildungsspeichervorrichtung 15.

Diese Speichervorrichtung 15 ist in dem in den Fig. 4 und 6 dargestellten Server (Server X) 1 vorgesehen. Die gespeicherten Daten bestehen aus Gruppen der Namen von Gruppen und der Berechtigung, die den Gruppen zugeordnet ist. Bei dem Beispiel dieser Figur besteht die Berechtigung aus Gruppen der Namen des Fernverarbeitungsobjekts und des Typs des Verarbeitungsinhalts, der für die Verarbeitungsobjekte zulässig ist. Beim vorliegenden Beispiel ist das Verarbeitungsobjekt der Dateinamen, und der Verarbeitungsinhalt ist "r", wodurch eine Leseoperation bezeichnet wird, und "w", wodurch eine Schreiboperation repräsentiert wird. Hierbei gibt "r" die Erlaubnis für eine Leseoperation an, "w" die Erlaubnis für eine Schreiboperation, und "-" keine Erlaubnis.

Es wird darauf hingewiesen, daß die vorhandene oder nicht vorhandene Erlaubnis für eine Lese- und Schreiboperation bei einer Datei nur ein Beispiel für die Fernverarbeitungsberechtigung darstellt. Die Erfindung ist nicht hierauf beschränkt. Als weiteres Beispiel gibt es auch die vorhandene oder nicht vorhandene Erlaubnis der Benutzung eines Druckers. Darüber hinaus ist die Erfindung nicht auf eine vorhandene oder nicht vorhandene Erlaubnis beschränkt. Die Art der Einstellung der Festlegung der Betriebsart zum Zeitpunkt der Fernverarbeitung für jeden Benutzer und für jede Gruppe ist in dieser Fernverarbeitungsberechtigung enthalten.

Als nächstes erfolgt eine detaillierte Erläuterung des Gruppenzertifikats GC (Fig. 1, Fig. 3 und 4, Fig. 5 und 6, usw.) als einem der kennzeichnenden Merkmale der vorliegenden Erfindung.

Fig. 12 ist eine Darstellung eines konkreten Verfahrens zur Erzeugung des Gruppenzertifikats GC gemäß der ersten Ausführungsform. Bei der folgenden Erläuterung wird ein Fall angenommen, in welchem der Benutzer U (Benutzer B) die Ausgabe des Gruppenzertifikats GC für die Fernverarbeitung in dem Server 1 (Server X) anfordert. Weiterhin wird angenommen, daß die Gruppe 1 dem Benutzer B zugeordnet ist.

Zuerst wird Originalgruppeninformation GR, die aus drei Informationseinheiten besteht, nämlich Gruppenname "Gruppe 1", Information in Bezug auf einen gültigen Term "Zeitstempel", und Geheiminformation "Geheim 1" einer Gruppe, durch ein bestimmtes reversibles Verfahren kombiniert (ein reproduzierbares Verfahren an der Empfangsseite). Diese Kombination wird hier durch ein Symbol "1" repräsentiert. Dann wird ein temporäres Passwort "temp" dadurch erzeugt, daß eine Verschlüsselungs-Hash-Funktion H bei der Originalgruppeninformation GR eingesetzt wird. In dem Beispiel der Figur wird jeder Wert durch eine Zeichenkette ausgedrückt, wird der Servername dem Gruppennamen zugeordnet, und wird die Information in Bezug auf den gültigen Term dadurch erzeugt, daß Information in Bezug auf das Datum und "Stunde und Minute" der Zeit in zwei Spalten angeordnet wird, jedoch ist dies nicht hierauf beschränkt. Weiterhin wird die Geheiminformation von der Gruppen- Geheiminformationsspeichervorrichtung 33 in der Gruppenzertifikats-Ausgabeeinrichtung 3 erhalten.

Die Hash-Funktion H wird auf die so erhaltene Originalgruppeninformation GR angewendet. Das Ergebnis (Hash-Wert) wird als temporäres Passwort "temp" bezeichnet.

Dies bedeutet
temp = H (Gruppe 1/Zeitstempel/Geheim 1).

Die Hash-Funktion H wird als Verschlüsselungs-Hash-Funktion bezeichnet, und ist in Bezug auf die Verschlüsselung und/oder Berechnung eine Einwegfunktion (so daß einfach y = H(x) aus x ermittelt werden kann, es jedoch sehr schwierig ist, x aus y = H(x) zu ermitteln), und ist kollisionsfrei (was bedeutet, daß für vorgegebenes x es unmöglich oder sehr schwierig ist, einen Wert von z ungleich x aufzufinden, der dazu führt, das gilt: H(x) = H(z)). Als derartige Hash-Funktion lassen sich MD5, SHA1, usw. angeben.

Das Gruppenzertifikat GC wird dadurch erhalten, daß der Hash-Wert, also das temporäre Passwort "temp", mit dem Gruppennamen "Gruppe 1" und der Information in Bezug auf den gültigen Term "Zeitstempel" kombiniert wird, ebenso wie bei der Originalgruppeninformation GR. Die Gruppenzertifikats- Ausgabeeinrichtung 3, die in den Fig. 3 und 5 gezeigt ist, schickt das Gruppenzertifikat GC an den Benutzer U (Benutzer B) zurück.

Wie voranstehend erläutert verarbeitet in der Gruppenzertifikats-Ausgabeeinrichtung 3 gemäß der ersten Ausführungsform der Ausgabeseitenprozessor (Hash-Funktionseinheit 34) zentral zumindest den Gruppennamen und die Geheiminformation, die eindeutig für diese Gruppe ist, mit der Hash-Funktion H, betrachtet den erhaltenen Ausgabeseitenverarbeitungswert (Hash-Wert) als das temporäre Passwort "temp", und erzeugt das Gruppenzertifikat GC aus zumindest dem Gruppennamen und dem temporären Passwort.

Fig. 13 ist eine Darstellung eines konkreten Verfahrens zum Nachprüfen des Gruppenzertifikats GC gemäß der ersten Ausführungsform.

Das Gruppenzertifikat GC an der Seite des Servers 1 wird dadurch nachgeprüft, daß bestätigt wird, ob dasselbe Ergebnis durch die Erzeugung des Gruppenzertifikats GC aus vorgegebener Information auf dieselbe Weise erhalten wird. Es werden nämlich der Gruppenname und die Information in Bezug auf den gültigen Term aus dem empfangenen Gruppenzertifikat GC geholt, die Geheiminformation der zugehörigen Gruppe (Gruppe 1), die von der Geheiminformationsspeichervorrichtung 13 in dem Server 1 akquiriert wird, wird mit dieser Information kombiniert, und die Hash-Funktion H wird auf diese Gesamtheit auf dieselbe Art und Weise wie an der Klientenseite angewendet. Das sich ergebende, reproduzierte temporäre Passwort "temp'" wird dann mit dem temporären Passwort "temp" verglichen, das in dem empfangenen Gruppenzertifikat GC enthalten ist, in einer Vergleichsvorrichtung 20 (die beispielsweise in der Nachprüfungseinheit 12 von Fig. 4 vorgesehen ist). Sind die beiden gleich, so ergibt sich, daß das Gruppenzertifikat GC legitim ist, und frei von Fälschung oder Manipulation auf dem Netzwerk 4 ist. Dies liegt daran, daß dann, wenn nur ein Teil der Information in dem Gruppenzertifikat geändert wurde, die beiden nicht gleich werden können, infolge der voranstehend erläuterten Eigenschaft der Hash-Funktion H. Eine Beeinflussung, die zu einem identischen temporären Passwort führt, ist unmöglich oder äußerst schwierig, infolge der Eigenschaften der Hash-Funktion H.

Wie voranstehend erläutert verarbeitet in der Gruppenzertifikats-Nachprüfungseinheit 12 gemäß der ersten Ausführungsform der nachprüfungsseitige Prozessor (Hash-Funktionseinheit 16) zentral zumindest den Gruppennamen und die Geheiminformation, die eindeutig für jene Gruppe ist, die in dem Gruppenzertifikat GC enthalten ist, das von der Klientenseite empfangen wird, und zwar mit der Hash-Funktion H, um den Nachprüfungsseitenverarbeitungswert (Hash-Wert) als das reproduzierte temporäre Passwort "temp'" zu reproduzieren.

Kurz gefaßt führt das System der verteilten Gruppenverwaltung 10 gemäß der ersten Ausführungsform die in den folgenden Fig. 14 bis 16 dargestellte Verarbeitung durch.

Die Fig. 14 und 15 sind Teile einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der ersten Ausführungsform.

Der Betriebsablauf der Verarbeitung bei diesen Figuren wird unter Bezugnahme auf die Fig. 5 und 6 erläutert.

Zuerst überträgt der Klient 2 drei Teile von Information, nämlich den Benutzernamen "Benutzer B", den Servernamen "Server X", von welchem er die Fernverarbeitung anfordern möchte, sowie das Passwort "Passwort B", und zwar an die Gruppenzertifikats-Ausgabeeinrichtung 3.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 überprüft zuerst das Passwort durch eine Authentifizierungsfunktionseinheit 22, um den Benutzer 1 zu authentifizieren, überprüft dann den empfangenen Servernamen "Server X" Und Benutzernamen "Benutzer B" in der Benutzergruppen- Abbildungsspeichervorrichtung 32, und akquiriert den Gruppennamen "Gruppe 1", der diesem Benutzer B zugeordnet ist.

Dann wird das Gruppenzertifikat GC aus dem Gruppennamen "Gruppe B" erzeugt, aus der Information über den gültigen Term "Zeitstempel", und aus der Geheiminformation, und zwar durch das voranstehend geschilderte Verfahren. Es wird darauf hingewiesen, daß das Verfahren zur Bestimmung des gültigen Terms bei der vorliegenden Erfindung nicht speziell festgelegt ist, jedoch Nachteile auftreten, sowohl wenn der Term lang ist, als auch dann, wenn er kurz ist, so daß er auf geeignete Art und Weise festgelegt wird. Das auf diese Weise erzeugte Gruppenzertifikat wird an den Benutzer zurückgeschickt. Die voranstehend geschilderte Verarbeitung wird als "Gruppenzertifikatakquisitionsphase" bezeichnet.

Diese Gruppenzertifikat GC kann an den Server 1 übertragen werden, um bei dem Server 1 eine Fernverarbeitung vom Klienten 2 anzufordern. Bei dem Server 1, der dieses Gruppenzertifikat GC empfängt, prüft zuerst die Gruppenzertifikats-Nachprüfungseinheit 12 das empfangene Gruppenzertifikat. Die Einzelheiten des Verfahrens der Nachprüfung werden anhand von Fig. 16 erläutert, jedoch wird, wenn festgestellt wird, als Ergebnis der Nachprüfung, daß das Gruppenzertifikat korrekt ist, der in dem Gruppenzertifikat GC enthaltene Gruppenname als korrekt angesehen, und wird der Gruppenname dazu verwendet, die entsprechende Berechtigung von der Gruppen- Berechtigungsabbildungsspeichervorrichtung 15 zu erhalten. Die voranstehend geschilderte Verarbeitung wird als die "Einbuchungsphase" bezeichnet. Die gewünschte Fernverarbeitung wird danach ausgeführt.

Fig. 16 ist eine Darstellung des Betriebsablaufs der Gruppenzertifikats-Nachprüfungseinheit 12 gemäß der ersten Ausführungsform. Zuerst wird die Gruppenzertifikats- Speichereinheit 14, in welche aufeinanderfolgend empfangene Gruppenzertifikate GC gespeichert werden, durchsucht, um zu ermitteln, ob ein Gruppenzertifikat vorhanden ist, welches dasselbe temporäre Passwort "temp" aufweist wie das Gruppenzertifikat GC, das momentan empfangen wird, und zwar unter den Gruppenzertifikaten GC mit den unbestimmten gültigen Termen (Schritt S11).

Wenn ein derartiges Zertifikat vorhanden ist, wurde das empfangene Gruppenzertifikat GC unrechtmäßig doppelt verwendet, so daß die zugehörige Fernverarbeitungsanfrage zurückgewiesen wird (Schritte S12 und S17). Ist kein derartiges Zertifikat vorhanden, wird das empfangene Gruppenzertifikat GC der Gruppenzertifikats-Speichereinheit 14 hinzugefügt (Schritte S12 und S13).

Daraufhin wird das empfangene Gruppenzertifikat GC überprüft. Falls es korrekt ist (Schritte S14 und S15), wird dies der Authentifizierungsfunktionseinheit 11 mitgeteilt, an welche es die Nachprüfung übertragen hat (Schritt S16).

Es wird darauf hingewiesen, daß bei dieser ersten Ausführungsform die Authentifizierung zwischen der Gruppenzertifikats-Ausgabeeinrichtung 3 und dem Benutzer mit einem Passwort durchgeführt wird, jedoch das Verfahren der Authentifizierung nicht hierauf beschränkt ist. Falls keine Möglichkeit für ein unrechtmäßiges Verhalten zwischen der Gruppenzertifikats-Ausgabeeinrichtung 3 und dem Benutzer vorhanden ist, muß die Authentifizierung nicht durchgeführt werden. Alternativ ist es ebenfalls möglich, ein anderes verläßliches Verfahren als ein Passwort zu verwenden, also beispielsweise eine physikalische Eigenschaft oder eine Host- Adresse des Klienten zu verwenden. Andererseits, wenn der Weg (Leitung L1) zwischen der Gruppenzertifikats- Ausgabeeinrichtung 3 und dem Benutzer nicht sicher ist, und die Möglichkeit für ein Abhören oder eine Manipulation besteht, ist es möglich, daß sich diese beiden Einrichtungen einen Schlüssel für die Verschlüsselung auf dieselbe Weise wie bei Kerberos teilen, und die Authentifizierung und den Schutz gegen Einsicht oder Manipulation durch die verschlüsselte Kommunikation zu kombinieren.

Wie voranstehend erläutert wird bei der ersten Ausführungsform durch Einsatz der Hash-Funktion H das Gruppenzertifikat GC erzeugt und überprüft. Die Verarbeitung dieser Hash-Funktion H wird mit hoher Geschwindigkeit durchgeführt, nämlich zumindest mehrfach schneller als die relativ hohe Geschwindigkeit der Verarbeitung bei der herkömmlichen Verschlüsselung mit einem gemeinsam genutzten Schlüssel. Dies führt dazu, daß ein Beitrag zu einem schnelleren Ausgeben und Nachprüfen des Gruppenzertifikats geliefert wird.

Zweite Ausführungsform

Die Fig. 17 und 18 sind Teile einer Darstellung einer zweiten Ausführungsform der vorliegenden Erfindung.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser zweiten Ausführungsform arbeitet mit einer Hash-Funktionseinheit 41 zusammen, die in dem Klienten 2 vorgesehen ist. Diese Hash-Funktionseinheit 41 verarbeitet das voranstehend erläuterte, temporäre Passwort "temp" mit der Hash-Funktion H m mal. Der erhaltene Ausgabeseitenverarbeitungswert (Hash-Wert) wird als einmaliges Passwort verwendet. Eine Einbuchungsanforderung GC', die aus zumindest dem Gruppennamen und dem EinmalPasswort besteht, wird von dem Klienten 2 anstelle des voranstehend erläuterten Gruppenzertifikats GC erzeugt.

Bei der Gruppenzertifikats-Nachprüfungseinheit 12 gemäß der zweiten Ausführungsform verarbeitet die Hash-Funktionseinheit 16, die als der nachprüfungsseitige Prozessor dient, das temporäre Passwort "temp" mit der Hash-Funktion H m mal, um den Nachprüfungsseitenverarbeitungswert (Hash-Wert) als einmaliges Passwort zu reproduzieren, und bestätigt, daß das einmalige Passwort, das aus der Einbuchungsanfrage GC' abgezogen wird, welche das einmalige Passwort enthält, und das entsprechend auf der Seite des Klienten 2 erzeugt wird, sowie das reproduzierte einmalige Passwort für die Authentifizierung übereinstimmen.

Bei dem System für die verteilte Gruppenverwaltung 10 der voranstehend erläuterten, ersten Ausführungsform wurde das Gruppenzertifikat GC von dem Klienten 2 an den Server 1 übertragen, jedoch ist das Gruppenzertifikat GC zu diesem Zeitpunkt nicht verborgen. Wenn es daher infolge von Abhören bekannt wird, kann eine dritte Partei das Gruppenzertifikat GC an den Server 1 übertragen. Zu diesem Zeitpunkt kann der Server 1 nicht unterscheiden, ob die übertragende Seite des Gruppenzertifikats GC der korrekte Benutzer ist, oder eine dritte Partei. Ein derartiger Angriff wird als Wiedergabeangriff bezeichnet. Um diesen Wiedergabeangriff zu verhindern, wird in dem System für die verteilte Gruppenverwaltung 10 gemäß der ersten Ausführungsform das Gruppenzertifikat in der Gruppenzertifikats-Speichereinheit 14 gehalten, um eine doppelte Verwendung zu verhindern.

Allerdings gründen sich Maßnahmen gegen eine derartige doppelte Verwendung auf die Übertragung des Gruppenzertifikats GC an den Server 1 durch einen legitimen Benutzer, und zwar früher, als dies eine dritte Partei durchführt. Falls eine dritte Partei das Gruppenzertifikat GC an den Server 1 übertragen hat, bevor der korrekte Benutzer das Gruppenzertifikat GC überträgt, aus irgendwelchen Gründen, sieht der Server 1 die dritte Partei als korrekt an, und weist Anforderungen nach Fernverarbeitung von dem legitimen Benutzer zurück, der danach ein Gruppenzertifikat GC überträgt, als doppelte Benutzung.

Da eine doppelte Benutzung zurückgewiesen wird, kann darüber hinaus ein Gruppenzertifikat GC nur einmal verwendet werden. Aus diesem Grund tritt zwar kein Problem auf, wenn eine Sitzung durch eine Authentifizierung eingerichtet wird, und dann die nachfolgende Gruppe von Fernverarbeitungsanforderungen als dieselbe Sitzung behandelt wird, jedoch wird es erforderlich, wenn nicht das Konzept einer Sitzung und einer erforderlichen Authentifizierung für jede Fernverarbeitungsanfrage verwendet wird, ein unterschiedliches Gruppenzertifikat GC jedesmal dann zu erhalten, wenn eine Fernverarbeitungsanforderung auftritt, so daß der Wirkungsgrad schlecht ist.

Gemäß den Fig. 17 und 18 wurde in dem System der verteilten Gruppenverwaltung 10 gemäß der ersten Ausführungsform, wie voranstehend erläutert, das Gruppenzertifikat GC von dem Klienten 2 an den Server 1 übertragen, jedoch wird bei der zweiten Ausführungsform dieses Gruppenzertifikat GC durch die Einbuchungsanforderung GC' ersetzt, die aus dem Gruppenzertifikat GC durch die Verschlüsselungs-Hash-Funktion H erhalten wird.

Der Klient 2, der das Gruppenzertifikat GC von der Gruppenzertifikats-Ausgabeeinrichtung 3 empfängt, holt sich den Wert des temporären Passworts "temp" aus dem Inhalt des Gruppenzertifikats GC bei der Fernverarbeitungsanforderung an den Server 1, wendet die Hash-Funktion H mehrfach (m mal) darauf mit dem Verfahren auf dieselbe Art und Weise wie bei dem gewöhnlichen einmaligen Passwort an, und ersetzt dies dann durch das ursprüngliche temporäre Passwort, und verwendet diesen ersetzten Wert als das modifizierte Gruppenzertifikat, also die Einbuchungsanforderung GC'. Dann überträgt der Klient 2 dies an den Server 1.

In dem Server 1 prüft die Nachprüfungseinheit 12 für das Gruppenzertifikat (die Einbuchungsanforderung) die Legitimität der empfangenen Einbuchungsanforderung GC' dadurch, daß sie die Hash-Funktion H exakt ebenso häufig anwendet wie der Klient 2, unter Verwendung der Gruppen- Geheiminformationsspeichervorrichtung 13 und der Speichereinheit 14 für das Gruppenzertifikat (die Einbuchungsanforderung). Bei Legitimität werden die Einbuchungsanforderung GC' und die Information in Bezug auf die Anzahl an Malen (m) des Anwendens der Hash-Funktion in der Gruppenzertifikats-Speichereinheit 14 gespeichert. Die Authentifizierungsfunktionseinheit 11 hält bei erfolgreicher Nachprüfung die Authentifizierung für beendet, überprüft den Gruppennamen in der Einbuchungsanforderung GC' bei der Gruppen-Berechtigungsspeichervorrichtung 15, um die dieser Gruppe entsprechende Berechtigung zu erhalten, und verwendet diese zur Ausführung der Fernverarbeitung, die von dem Benutzer des Klienten 2 angefordert wurde.

Die Anzahl an Malen (m) des Anwendens der Hash-Funktion H in Bezug auf die Einbuchungsanforderung GC' wird um eine vorbestimmte Anzahl (beispielsweise 1) schrittweise verringert, sowohl bei dem Klienten 2 als auch beim Server 1, auf dieselbe Art und Weise wie bei dem Verfahren mit dem üblichen einmaligen Passwort, so daß zuerst mit einer vorbestimmten, festen Anzahl an Malen begonnen wird, und dann jedesmal eine Einbuchungsanforderung unter Verwendung desselben Gruppenzertifikats erzeugt oder nachgeprüft wird.

Fig. 19 ist eine Darstellung eines konkreten Verfahrens zur Erzeugung des modifizierten Gruppenzertifikats (der Einbuchungsanforderung) GC'.

Das modifizierte Gruppenzertifikat (die Einbuchungsanforderung) GC' wird dadurch gebildet, daß das einmalige Passwort mit dem temporären Passwort "temp" in dem Gruppenzertifikat GC als Saatkorn erzeugt wird. Bei dieser zweiten Ausführungsform wird die Einbuchungsanforderung dadurch erzielt, daß die Verschlüsselungs-Hash-Funktion H mehrfach (m mal) angewendet wird, und die Anzahl an Malen m um 1 gegenüber dem vorbestimmten Wert n schrittweise verringert wird, immer wenn dasselbe Gruppenzertifikat GC verwendet wird. Wenn die Anzahl an Malen bis zur momentanen Benutzung des Gruppenzertifikats GC mit k bezeichnet wird, wird nämlich die Hash-Funktion H auf das temporäre Passwort "temp" (n-k) mal angewendet. Dann wird das Ergebnis mit dem ursprünglichen temporären Passwort umgeschaltet, und als das einmalige Passwort verwendet. Dies wird die Einbuchungsanforderung GC'. Wird k = n erreicht, endet die Anzahl an Malen, welche das Gruppenzertifikat GC verwendet werden kann, und ist es erforderlich, die Ausgabeeinrichtung 3 anzuweisen, das Gruppenzertifikat GC neu auszugeben.

Es wird darauf hingewiesen, daß beim vorliegenden Beispiel eine Hash-Funktion H verwendet wird, welche die gleiche ist wie jene, die eingesetzt wird, wenn das Gruppenzertifikat gemäß der ersten Ausführungsform erzeugt wird, aber daß es nicht erforderlich ist, dieselbe Funktion auf diese Art und Weise zu verwenden.

Fig. 20 ist eine Darstellung des konkreten Verfahrens zum Nachprüfen des modifizierten Gruppenzertifikats (der Einbuchungsanforderung) GC' bei der zweiten Ausführungsform.

Auf dieselbe Weise wie bei der ersten Ausführungsform wird, nachdem das temporäre Passwort "temp" berechnet wurde, die Hash-Funktion H bei dem temporären Passwort "temp "' (n-k) mal angewendet, um das erwartete einmalige Passwort "temp"" zu erzeugen, und dann wird das Passwort "temp"" mit dem Wert verglichen, welcher das einmalige Passwort "temp'" in der Einbuchungsanforderung GC' aufweisen sollte, durch die Vergleichsvorrichtung 20. Sind die beiden gleich, so sieht man, daß die empfangene Einbuchungsanforderung GC' legitim ist, und frei von Fälschung und Manipulation ist.

Fig. 21 ist eine Darstellung eines Beispiels für die Daten, die in der Speichereinheit 14 für das modifizierte Gruppenzertifikat (die Einbuchungsanforderung) gehalten werden.

Bei der ersten Ausführungsform war es ausreichend, die empfangenen Gruppenzertifikate GC unverändert in der Speichereinheit 14 (Fig. 4, Fig. 6) zu speichern, jedoch ist es bei der zweiten Ausführungsform erforderlich, den Wert von k, nämlich die Anzahl an Malen der Verwendung desselben Gruppenzertifikats GC zu speichern, also die Anzahl an Malen der Anwendung der Hash-Funktion H. Beim vorliegenden Beispiel wird der Wert von k, wenn die Einbuchungsanforderung GC' zuletzt verwendet wurde, gehalten. Es wird darauf hingewiesen, daß 0, 4, 6, . . . Beispiele zu bestimmten Zeitpunkten sind.

Die Fig. 22 und 23 sind Teile von Darstellungen des Betriebsablaufs der Gesamtverarbeitung gemäß der zweiten Ausführungsform.

Der Betriebsablauf der Verarbeitung bei diesen Figuren wird unter Bezugnahme auf die Fig. 22 und die Fig. 23 erläutert.

Die "Gruppenzertifikats-Akquisitionsphase", die in Fig. 22 gezeigt ist, stellt den Vorgang dar, bis der Klient 2 das ausgegebene Gruppenzertifikat akquiriert. Dies ist ebenso wie bei der ersten Ausführungsform, so daß die Erläuterung weggelassen ist.

Daraufhin erzeugt, wie in Fig. 23 gezeigt, wenn eine Fernverarbeitung bei dem Server 1 angefordert wird, der Klient 2 die Einbuchungsanforderung GC' aus dem Gruppenzertifikat GC durch das voranstehend erläuterte Verfahren, und überträgt diese Einbuchungsanforderung GC' an den Server 1.

Der Server 1 prüft zuerst die empfangene Einbuchungsanforderung GC' an der Nachprüfungseinheit 12 für das modifizierte Gruppenzertifikat (die Einbuchungsanforderung). Wenn diese Einbuchungsanforderung GC' legitim ist, sieht er den Gruppennamen in der Einbuchungsanforderung GC' als legitim an, ebenso wie bei der ersten Ausführungsform, und akquiriert die Berechtigung, welche der zugehörigen Gruppe verliehen wurde (dies wird bezeichnet als "Einbuchungsphase").

Die Fig. 24 und 25 sind Teile einer Darstellung des Betriebsablaufs der Nachprüfungseinheit 12 für das modifizierte Gruppenzertifikat (die Einbuchungsanforderung).

In Fig. 24 wird zuerst die Speichereinheit 14 für das modifizierte Gruppenzertifikat (die Einbuchungsanforderung) durchsucht, um festzustellen, ob irgendeine Einbuchungsanforderung vorhanden ist, welche denselben Gruppennamen und dieselbe Information in Bezug auf den gültigen Term aufweist wie die empfangene Einbuchungsanforderung GC', unter den Einbuchungsanforderungen GC', welche unbestimmte gültige Terme aufweisen (Schritt S21). Ist keine derartige Anforderung vorhanden, so wird dies so angesehen, daß das Gruppenzertifikat zum erstenmal verwendet wurde, und wird k auf 0 gesetzt. Ist eine derartige Anforderung vorhanden, so wird der Wert für k bei diesem Posten geholt, und um exakt 1 inkrementiert (Schritte S22, S23 und S24).

Dann wird unter Verwendung dieses Wertes von k, wie in Fig. 20 gezeigt, die empfangene Einbuchungsanforderung GC' nachgeprüft (Schritt S25). Falls "temp" und "temp'" übereinstimmen, so wird dies so angesehen, daß die Einbuchungsanforderung GC' legitim ist (Schritte S26 und S27). Zu diesem Zeitpunkt wird der vorher aufgefundene Posten in der Nachprüfungseinheit 12 durch die empfangene, neue Einbuchungsanforderung GC' ersetzt, und wird der soeben verwendete Wert von k um exakt 1 inkrementiert. Weiterhin wird der entsprechende Inhalt in der Speichereinheit 14 gespeichert (Schritt S29).

Wie voranstehend geschildert wird, bei der zweiten Ausführungsform, selbst wenn die Einbuchungsanforderung GC' einer dritten Partei bekannt wird, beispielsweise infolge von Abhören der Kommunikation zwischen dem Klienten 2 und dem Server 1, das temporäre Passwort "temp" selbst nicht mitgeteilt. Infolge der Eigenschaften der Verschlüsselungs-Hash-Funktion H ist es darüber hinaus unmöglich, die nächste Einbuchungsanforderung aus einer momentan bekanntgewordenen Einbuchungsanforderung vorherzusagen und zu berechnen. Daher akzeptiert der Server 1 keine dritte Partei, die sich als der legitime Benutzer ausgibt, solange der Server 1 nicht dieselbe Einbuchungsanforderung akzeptiert. Daher wird es für einen legitimen Benutzer möglich, mehrere Einbuchungsanforderungen GC' aus einem Gruppenzertifikat GC auszubilden, und mehrfach eine Fernverarbeitung bei dem Server 1 anzufordern, unter Vermeidung des Risikos eines Wiedergabeangriffs. Selbst in einem Fall, in welchem mehrere Fernverarbeitungsanforderungen nicht als eine Sitzung akzeptiert werden können, die durch eine einmalige Authentifizierung eingerichtet wird, ist ein einmaliges Ausgeben des Gruppenzertifikates ausreichend. Dies hat die Auswirkung, daß der Verarbeitungswirkungsgrad wesentlich verbessert wird.

Dritte Ausführungsform

Die Fig. 26 und 27 sind Teile einer Darstellung einer dritten Ausführungsform der vorliegenden Erfindung.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser dritten Ausführungsform arbeitet mit einer Erzeugungsvorrichtung 42 für eine eindeutige Identifizierung (ID) zusammen, die in dem Klienten 2 vorgesehen ist. Diese Erzeugungsvorrichtung 42 für eine eindeutige ID erzeugt eine Authentifizierungs-ID "auth_id" für die gegenseitige Authentifizierung zwischen dem Klienten 2 und dem Server 1, setzt diese Authentifizierungs-ID in das Gruppenzertifikat GC ein, und überträgt dies an den Server 1. Weiterhin wird in der Gruppenzertifikats-Nachprüfungseinheit 12 bei der dritten Ausführungsform für die gegenseitige Authentifizierung zwischen dem Klienten 2 und dem Server 1 die Authentifizierungs-ID "auth_id", die übertragen wurde, und in dem Gruppenzertifikat GC enthalten ist, von dem Klienten 2 empfangen, und wird hiermit eine vorbestimmte Verarbeitung durchgeführt, um die Serverantwort "rep" zu erzeugen. Diese Serverantwort wird an den Klienten 2 zurückgeschickt. Diese zurückgeschickte Serverantwort wird mit der Serverantwort "rep "' verglichen, die in dem Klienten 2 erwartet wird, unter Verwendung derselben Verarbeitung wie der vorbestimmten Verarbeitung. Stimmen beide überein, kann der Klient 2 den Server 1 authentifizieren.

Weiterhin empfängt die Gruppenzertifikats-Ausgabeeinrichtung 3 bei der dritten Ausführungsform das Gruppenzertifikat GC einschließlich der übertragenen Authentifizierungs-ID "auth_id" an dem Server, wendet hierauf eine vorbestimmte Verarbeitung an, und schickt die so erhaltene Serverantwort "rep" an den Klienten 2 zurück. Die Serverantwort "rep'", die bei dem Klienten 2 unter Verwendung derselben Verarbeitung wie der vorbestimmten Verarbeitung erwartet wird, und die zurückgeschickte Serverantwort "rep" werden verglichen. Stimmen beide überein, authentifiziert der Klient 2 den zugehörigen Server.

Bei dem System für die verteilte Gruppenverwaltung 10 gemäß den voranstehend geschilderten Ausführungsformen authentifizierte der Server 1 den Benutzer U des Klienten 2, jedoch authentifizierte der Klient 2 nicht umgekehrt den Server 1. Es war nämlich keine Vorrichtung vorhanden, um von dem Klienten 2 zu ermitteln, ob der Server 1, der von dem Klienten 2 aufgefordert wurde, die Fernverarbeitung durchzuführen, der echte Server war, der die Geheiminformation (Geheim 1, Geheim 2, . . .) der Gruppe entsprechend dem Gruppennamen kannte.

Aus diesem Grund war es unmöglich, zu verhindern, daß ein falscher Server eine Anforderung von einem Klienten 2 unter der Vortäuschung akzeptiert, daß er der echte Server ist, was zu einem Nachteil in Bezug auf die Sicherheit führte.

Wie wiederum aus den Fig. 26 und 27 hervorgeht, weist bei der dritten Ausführungsform zusätzlich zu den Bestandteilen der voranstehend erläuterten Ausführungsformen der Klient 2 die Erzeugungsvorrichtung 42 für die eindeutige ID auf.

Der Klient 2, der das Gruppenzertifikat GC von der Gruppenzertifikats-Ausgabeeinrichtung 3 empfängt, erzeugt eine Authentifizierungs-ID "auth_id", die eindeutig über eine ausreichende Anzahl an Malen der Erzeugung ist, und einen erzeugten Wert, der nicht dadurch erwartet werden kann, daß die Erzeugungsvorrichtung 42 für die eindeutige ID zum Zeitpunkt einer Fernverarbeitungsanforderung an den Server 1 verwendet wird. Dann überträgt der Klient diese Authentifizierungs-ID und den Gruppennamen sowie die Information in Bezug auf den gültigen Term "Zeitstempel" in dem Gruppenzertifikat GC an den Server 1.

Der Server 1, der diese Größen empfängt, erzeugt den Wert der Serverantwort "rep", der nicht erzeugt werden kann, wenn nicht alle diese Werte bekannt sind, aus drei empfangenen Werten und der Geheiminformation entsprechend der zugehörigen Gruppe unter Verwendung der Hash-Funktionseinheit 16, und schickt dann diese erzeugte Antwort "rep" an den Klienten 2 zurück.

Der Klient 2 verarbeitet den Wert der Serverantwort, der aus dem temporären Passwort "temp" erwartet wird, und die Authentifizierungs-ID, und vergleicht die beiden, um zu bestätigen, daß der Wert gleich der Serverantwort "rep" ist, die von dem Server 1 zurückgeschickt wurde. Falls sie gleich sind, so sieht dies der Klient 2 so an, daß die Authentifizierung des Servers erfolgreich war, überträgt das temporäre Passwort "temp" oder die Einbuchungsanforderung GC' an den Server 1, ebenso wie bei den bereits erläuterten Ausführungsformen, und empfängt die Authentifizierung.

Fig. 28 ist eine Darstellung eines konkreten Verfahrens zur Erzeugung der Serverantwort "rep".

Der Server 1 holt den Gruppennamen und die Information in Bezug auf den gültigen Term von dem Gruppenzertifikat GC (oberste Stufe in der Figur), das von dem Klienten 2 empfangen wurde, fügt hierzu die Geheiminformation der zugehörigen Gruppe (definiert als Geheim 1) zu, und wendet die Hash-Funktion H an, um das temporäre Passwort "temp" zu reproduzieren (mittlere Stufe in der Figur).

Weiterhin fügt er die Authentifizierungs-ID "auth_id", die von dem Gruppenzertifikat GC geholt wurde, dem temporären Passwort "temp" zu, und wendet erneut die Hash-Funktion H an. Der hier erhaltene Wert wird die Serverantwort "rep".

Fig. 29 ist eine Darstellung eines konkreten Verfahrens zur Nachprüfung der Serverantwort an der Seite des Klienten.

Bei dem Klienten 2 wird das temporäre Passwort "temp" unter der Information der gehaltenen Gruppenzertifikate GC geholt, wird die voranstehend erläuterte, gehaltene Authentifizierungs-ID "auth_id" hinzuaddiert, und wird die Hash-Funktion H auf dieselbe Art und Weise angewendet wie an der Seite des Servers. Hierdurch wird die erwartete Serverantwort "rep'" erhalten.

Der Klient 2 vergleicht die erwartete Serverantwort "rep'" und die Serverantwort "rep" von Fig. 26, die von dem Server 1 zurückgeschickt wurde, in seiner eigenen Vergleichsvorrichtung 43. Sind die beiden gleich, so kann er feststellen, daß der entsprechende Server der korrekte Server 1 ist.

Die Fig. 30 und 31 sind Teile einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der dritten Ausführungsform.

Um bei dem Server 1 eine Fernverarbeitung anzufordern, erzeugt der Klient 2 zuerst die Authentifizierungs-TD "auth_id" durch die Erzeugungsvorrichtung 42 für die eindeutige ID, und überträgt drei Einheiten von Information an den Server, nämlich den Gruppennamen, die Information in Bezug auf einen gültigen Term, und die Authentifizierungs-ID. Der Server 1 erzeugt die Serverantwort "rep" durch das voranstehend erläuterte, in Fig. 28 dargestellte Verfahren, und schickt "rep" an den Klienten 2 zurück. Der Klient 2 prüft dies mit dem voranstehend erläuterten, in Fig. 29 dargestellten Verfahren. Wenn das Ergebnis der Nachprüfung korrekt ist, wird danach das Gruppenzertifikat GC oder die Einbuchungsanforderung GC' an den Server 1 übertragen, auf die gleiche Art und Weise wie bei den bereits erläuterten Ausführungsformen.

Es wird darauf hingewiesen, daß die Authentifizierungs-ID "auth_id" in solchem Ausmaß eindeutig sein muß, daß eine Vorhersage des nächsten Wertes unmöglich zu berechnen ist, und eine sehr geringe Wahrscheinlichkeit dafür vorhanden ist, daß ein Wert zufällig paßt. Einfache Zufallszahlen sind ebenfalls möglich, aber um einen versehentlichen Verlust der Eindeutigkeit z 41143 00070 552 001000280000000200012000285914103200040 0002010124111 00004 41024u vermeiden ist es darüber hinaus vorzuziehen, daß ein Wert, der sich jedesmal ändert, wie eine Seriennummer, mit den Zufallszahlen kombiniert wird. Dies liegt daran, daß der nächste Wert nur durch die Seriennummern vorhergesagt werden kann.

Wie voranstehend erläutert überträgt bei der dritten Ausführungsform der Klient 2 eine Authentifizierungs-ID "auth_id", die jedesmal anders ist, an den Server 1. Der Server 1 erzeugt die Serverantwort "rep" aus der Authentifizierungs-TD und der geheimen Information der Gruppe, und schickt sie an den Klienten 2 zurück. Der Klient 2 prüft die Serverantwort "rep". Daher kann ein falscher Server, der nicht die geheime Information der Gruppe kennt, nicht korrekt die Serverantwort entsprechend der Authentifizierungs-TD erzeugen, die jedesmal anders ist. Aus diesem Grund wird es dem Klienten möglich, den Server zu authentifizieren. Hierdurch kann eine Anforderung an Fernverarbeitung bei einem falschen Server verhindert werden, was dazu führt, daß die Sicherheit erhöht wird.

Vierte Ausführungsform

Die Fig. 32 und 33 sind Darstellungen einer vierten Ausführungsform der vorliegenden Erfindung.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser vierten Ausführungsform arbeitet mit einer Verschlüsselungsverarbeitungseinheit 46 zusammen, die in dem Klienten 2 vorgesehen ist. Diese Verschlüsselungsverarbeitungseinheit 46 arbeitet so, daß sie die Verschlüsselungssitzung von dem Klienten 2 zu dem Server 1 einrichtet, mit dem temporären Passwort "temp" als Schlüssel für die Verschlüsselung.

Weiterhin arbeitet die Gruppenzertifikats-Nachprüfungseinheit 12 bei der vierten Ausführungsform mit einer Verschlüsselungsverarbeitungseinheit 45 zusammen, die in dem Server 1 vorgesehen ist. Diese Verschlüsselungsverarbeitungseinheit 45 arbeitet so, daß sie die Verschlüsselungssitzung von dem Server 1 zum Klienten 2 einrichtet, mit dem temporären Passwort "temp" als Schlüssel für die Verschlüsselung.

Bei den Systemen für verteilte Gruppenverwaltung 10 gemäß den voranstehend geschilderten ersten und zweiten Ausführungsformen authentifiziert der Server 1 den Benutzer U des Klienten 2, führt jedoch der Klient 2 nicht umgekehrt eine Authentifizierung des Servers durch.

Aus diesem Grund ist bei den bereits erläuterten ersten und zweiten Ausführungsformen ein Nachteil in Bezug auf die Sicherheit vorhanden, wie dies bei der dritten Ausführungsform erläutert wurde.

Wie wiederum aus den Fig. 32 und 33 hervorgeht, sind bei dieser Ausführungsform zusätzlich zu den Bauteilen der voranstehend erläuterten ersten und zweiten Ausführungsformen die Verschlüsselungsverarbeitungseinheiten 45 und 46 vorgesehen, so daß der Server 1 und der Klient 2 eine Verschlüsselung und/oder Entschlüsselung auf der Grundlage desselben Verschlüsselungsalgorithmus durchführen können.

Der Klient 2, der das Gruppenzertifikat GC von der Gruppenzertifikats-Ausgabeeinrichtung 3 empfängt, überträgt den Gruppennamen und die Information in Bezug auf den gültigen Term an den Server 1, zum Zeitpunkt einer Fernverarbeitungsanforderung an den Server 1. Der Server 1, der diese Größen empfängt, erzeugt das Gruppenzertifikat GC aus diesen beiden Werten und der geheimen Information der Gruppe. Danach wird die Kommunikation in Bezug auf die Fernverarbeitungsanforderung mit dem Wert des temporären Passworts "temp" in dem Gruppenzertifikat als Schlüssel für die Verschlüsselung verschlüsselt, erfolgt die Kommunikation zwischen den beiden Einrichtungen, und wird beim Empfang einer Entschlüsselung durchgeführt.

Fig. 34 ist eine Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der vierten Ausführungsform. Es wird darauf hingewiesen, daß die "Gruppenzertifikats- Akquisitionsphase" gleich jener ist, die voranstehend erläutert wurde, so daß nur die "Einbuchungsphase" dargestellt ist.

Bei der vierten Ausführungsform überträgt, auf dieselbe Weise wie bei der ersten und zweiten Ausführungsform, nach Empfang der Ausgabe des Gruppenzertifikats GC der Klient 2 den Gruppennamen und die Information in Bezug auf den gültigen Term "Zeitstempel", und verarbeitet der Server 1 das temporäre Passwort "temp" hieraus, und aus der geheimen Information der Gruppe. Hierdurch wird der Wert des temporären Passworts gemeinsam bei dem Server 1 und dem Klienten 2 benutzt, und daher wird danach die verschlüsselte Kommunikation mit diesem Wert als Schlüssel für die Verschlüsselung durchgeführt. Hierdurch kann, selbst ohne die explizite Authentifizierung wie im Falle der dritten Ausführungsform, der Kommunikationsinhalt nur in Bezug auf eine korrekte Partei am anderen Ende übersandt werden. Bei einem Beispiel für den Betriebsablauf der Verarbeitung der Einbuchungsphase von Fig. 34 wird die Sitzungs-ID "session_id" von dem Klienten 2 übertragen. Dies wird addiert, wenn mehrere Benutzer U oder Klienten 2 an denselben Server angeschlossen sind, um sie auf der Seite des Servers zu unterscheiden. Daher ist dies nicht immer für das Grundprinzip der vierten Ausführungsform erforderlich. Die Sitzungs-ID "session_id" kann explizit bei dem Klienten 2 erzeugt und übertragen werden. Alternativ kann ein Wert verwendet werden, der von der Kommunikationsvorrichtung erhalten wird, beispielsweise die Host-Adresse oder die Anschlußnummer des Klienten.

Wie voranstehend erläutert erhält bei der vierten Ausführungsform der Klient 2 das temporäre Passwort "temp" von dem ausgegebenen Gruppenzertifikat GC, und der erhält der Server 1 das temporäre Passwort "temp" aus den drei Posten der Information, nämlich den Gruppennamen und die Information in Bezug auf den gültigen Term, die von dem Klienten 2 empfangen werden, und die Geheiminformation der Gruppe, die bei ihm selbst gehalten wird, und kann geheim "temp" mitbenutzen.

Durch Verwendung dieses temporären Passworts "temp" zur Verschlüsselung der folgenden Kommunikation können nur die beiden voranstehend geschilderten Einheiten (mit Ausnahme der Gruppenzertifikats-Ausgabeeinrichtung 3) diese verschlüsselte Kommunikation entschlüsseln. Selbst wenn die Authentifizierung nicht explizit durchgeführt wird, wird daher der Kommunikationsinhalt nur an die korrekte Partei am anderen Ende übertragen, als würde die gegenseitige Authentifizierung durchgeführt. Hierdurch kann eine Anforderung einer Fernverarbeitung bei einem falschen Server verhindert werden, was die Auswirkung hat, daß die Sicherheit erhöht wird.

Fünfte Ausführungsform

Die Fig. 35 und 36 sind Teile einer Darstellung einer fünften Ausführungsform der vorliegenden Erfindung.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser fünften Ausführungsform ist mit einer Logbuchdatei 48 versehen, um ein Logbuch der Sitzung entsprechend jeder Fernverarbeitungsanforderung für jeden der Benutzer U aufzuzeichnen, und überwacht jeden Benutzer auf der Grundlage des Logbuchs.

Weiterhin arbeitet die Gruppenzertifikats-Nachprüfungseinheit 12 bei der fünften Ausführungsform mit einer Logbuchdatei 47 zusammen, die in dem Server 1 vorgesehen ist. Diese Logbuchdatei 47 zeichnet ein Logbuch der Sitzung entsprechend jeder Fernverarbeitungsanforderung für jeden der Benutzer U auf, und überwacht jeden Benutzer auf der Grundlage dieses Logbuchs.

Weiterhin wird in der Gruppenzertifikats-Ausgabeeinrichtung 3 bei der fünften Ausführungsform das temporäre Passwort "temp" für jede Sitzung in das Logbuch eingeschlossen, um die Sitzungen zu identifizieren.

Weiterhin enthält die Gruppenzertifikats-Nachprüfungseinheit 12 bei der fünften Ausführungsform das temporäre Passwort "temp" für jede Sitzung in dem Logbuch, um eine Identifizierung der Sitzungen zu ermöglichen.

In dem Server wird manchmal in dem Logbuch aufgezeichnet, wer welche Operation angefordert hat, und was durchgeführt wurde. In den Systemen der verteilten Gruppenverwaltung 10 gemäß den voranstehend erläuterten Ausführungsformen kann jedoch der Server 1 bestimmen, auf welcher Gruppe die Anforderung beruht, kann jedoch nicht bestimmen, welcher Benutzer tatsächlich die Anforderung übertragen hat. Aus diesem Grund besteht ein Nachteil in der Hinsicht, daß in einem speziellen Fall, in welchem beispielsweise jeder Benutzer mit einem Teil der Verarbeitung belastet wird, oder eine wichtige Verarbeitung verletzt wird, es aus dem Logbuch nicht bestimmt werden kann, welche Benutzer bei der Verarbeitung beteiligt waren.

In dem System 10 gemäß der fünften Ausführungsform weist, zusätzlich zu dem System gemäß der ersten Ausführungsform, der Server 1 eine Logbuchdatei 47 auf, und ist die Gruppenzertifikats-Ausgabeeinrichtung 3 mit einer Logbuchdatei 48 versehen.

Die Gruppenzertifikats-Ausgabeeinheit 31 der Gruppenzertifikats-Ausgabeeinrichtung 3 zeichnet Information auf, welche eindeutig den Benutzernamen und das Gruppenzertifikat identifizieren kann (beispielsweise das temporäre Passwort "temp"), als Logbuch, zusammen mit anderer Information, die gewöhnlich aufgezeichnet wird (beispielsweise Servernamen, Ausgabedatum, und Information in Bezug auf einen gültigen Term), in der Logbuchdatei 48, bei der Verarbeitung zur Ausgabe des Gruppenzertifikats, die anhand der ersten Ausführungsform erläutert wurde.

Die Authentifizierungsfunktionseinheit 11 des Servers 1 zeichnet Information auf, welche eindeutig den Gruppennamen und das Gruppenzertifikat identifizieren kann, welches dasselbe ist wie ihr Gruppenzertifikat, und zwar als Logbuch, zusammen mit anderer Information, die normalerweise in der Logbuchdatei 47 aufgezeichnet wird, wenn das Gruppenzertifikat GC empfangen wird, das auf der Grundlage der ersten Ausführungsform erläutert wurde, oder wenn die Nachprüfung durchgeführt wird. Es wird darauf hingewiesen, daß zwar die vorliegende Ausführungsform als Verbesserung des Systems 10 gemäß der ersten Ausführungsform erläutert wurde, eine entsprechende Verbesserung jedoch auch in Bezug auf die Systeme gemäß den anderen Ausführungsformen möglich ist. Darüber hinaus ist die voranstehend erwähnte "Information, welche eindeutig identifizieren kann" insoweit ausreichend, als sie in Bezug auf die Wahrscheinlichkeit als eindeutig angesehen werden kann, selbst wenn sie nicht vollständig eindeutig in Bezug auf die Informationstheorie ist (absolut).

Fig. 37 ist eine Darstellung eines Beispiels für die Daten in der Logbuchdatei 48 in der Gruppenzertifikats- Ausgabeeinrichtung 3 gemäß der fünften Ausführungsform, und Fig. 38 ist eine Darstellung eines Beispiels für die Daten in der Logbuchdatei 47 in dem Server 1 bei der fünften Ausführungsform.

Wie voranstehend erläutert zeichnen bei der fünften Ausführungsform, zusätzlich zu den voranstehend erwähnten Ausführungsformen, die Gruppenzertifikats-Ausgabeeinrichtung 3 und der Server 1 die Logbücher in den Logbuchdateien 48 und 47 auf. Durch deren Überprüfung wird ein individuelles Audit der Benutzer möglich.

In Bezug auf Fig. 37 ist es zum Festlegen des Benutzers und des an den Benutzer ausgegebenen Gruppenzertifikats GC ausreichend, wenn der Benutzername und das temporäre Passwort "temp" vorhanden sind. Beim vorliegenden Beispiel werden hiervon abgesehen das Ausgabedatum, der Servername, die Gruppennamen und die Information in Bezug auf den gültigen Term (Zeitstempel) des ausgegebenen Gruppenzertifikats GC in der Logbuchdatei 48 aufgezeichnet.

In Bezug auf Fig. 38 werden auf dieselbe Art und Weise wie im Falle der Logbuchdatei 48 in der Gruppenzertifikats- Ausgabeeinrichtung 3 zusätzlich zu dem temporären Passwort "temp" zum Festlegen des Gruppenzertifikats, ein Startdatum und ein Enddatum der Fernverarbeitung, der Host-Name des Klienten, der Gruppenname, und die Information in Bezug auf den gültigen Term in der Logbuchdatei 47 aufgezeichnet.

Welche Ereignisse der Server 1 in der Logbuchdatei 47 aufzeichnet, und zu welcher Zeit und bei welcher Gelegenheit er sie aufzeichnet, ist bei der vorliegenden Erfindung nicht besonders beschränkt, aber es lassen sich beispielsweise eine Zeit angeben, wenn das Gruppenzertifikat empfangen wird, eine Zeit, an welcher die Nachprüfung des Gruppenzertifikats erfolgreich ist, eine Zeit, wenn eine wichtige Fernverarbeitung durchgeführt wird, die ein Aufladen erfordert, und eine Zeit, wenn eine wichtige Verletzung bei der Ausführung der Sicherheit und der Fernverarbeitung auftritt.

Es wird darauf hingewiesen, daß bei diesen Beispielen das temporäre Passwort als Gruppe dezimaler Ziffern ausgedrückt wird, jedoch das Passwort in den Logbuchdateien 47 und 48 in jedem Format aufgezeichnet werden kann, vorausgesetzt, daß es ein Format aufweist, welches eindeutig das ursprüngliche Passwort identifizieren kann.

Wie voranstehend erläutert wird bei der fünften Ausführungsform das Logbuch, das Information enthält, welche eindeutig das Gruppenzertifikat GC und den Gruppennamen identifizieren kann, in der Logbuchdatei 47 auf der Seite des Servers 1 aufgezeichnet, wogegen das Logbuch, das Information enthält, welche eindeutig das Gruppenzertifikat GC und den Benutzernamen identifizieren kann, in der Logbuchdatei 48 an der Seite der Gruppenzertifikats-Ausgabeeinrichtung 3 aufgezeichnet wird. Anders ausgedrückt wird in der Logbuchdatei 48 auf der Seite des Servers 1 aufgezeichnet, was angefordert wurde, und was unter Verwendung welchen Gruppenzertifikats durchgeführt wurde, wogegen in der Logbuchdatei 47 an der Seite der Gruppenzertifikats- Ausgabeeinrichtung 3 aufgezeichnet wird, welches Gruppenzertifikat an welchen Benutzer ausgegeben wird.

Daher ergibt sich die Auswirkung, daß bestimmt werden kann, welcher Benutzer was bei dem Server angefordert hat, und was durchgeführt wurde, durch Überprüfung der Logbuchdateien der beiden Einrichtungen, wobei die Informationen gleich sind, welche eindeutig das Gruppenzertifikat identifizieren.

Sechste Ausführungsform

Die Fig. 39 und 40 sind Teile einer Darstellung einer sechsten Ausführungsform der vorliegenden Erfindung. Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser sechsten Ausführungsform weist weiter eine Erzeugungsvorrichtung 51 für eine eindeutige ID auf.

Weiterhin addiert die Hash-Funktionseinheit 34, welche den Prozessor an der Ausgabeseite bildet, Information in Bezug auf den gültigen Term (Zeitstempel) zum Gruppennamen und zur für die Gruppe eindeutigen, geheimen Information, wendet hierauf die Verarbeitung mit der Hash-Funktion H an, betrachtet den erhaltenen Ausgabeseitenverarbeitungswert (Hash-Wert) als das temporäre Passwort (temp), und erzeugt ein Gruppenzertifikat GC aus dem Gruppennamen, der Information in Bezug auf den gültigen Term (Zeitstempel), und dem temporären Passwort. Hierbei erzeugt die Vorrichtung 51 zur Erzeugung einer eindeutigen ID eine Zertifikats-ID zum Identifizieren des Gruppenzertifikats für jeden Benutzer, und addiert diese zum entsprechenden Gruppenzertifikat GC, wenn Gruppenzertifikate GC mit identischen Inhalten in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

Weiterhin empfängt die Gruppenzertifikats-Nachprüfungseinheit 12 bei der sechsten Ausführungsform ein Gruppenzertifikat GC sowie eine Zertifikats-ID zum Identifizieren des Gruppenzertifikats für jeden Benutzer von dem Klienten 2, und ordnet mehrere unterschiedliche Benutzer der identischen Gruppe durch die Zertifikat-IDs zu, wenn Gruppenzertifikate GC mit identischen Inhalten in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

Weiterhin enthält diese Gruppenzertifikats-Ausgabeeinrichtung drei bei der sechsten Ausführungsform die voranstehend erwähnte Erzeugungsvorrichtung 51 für die eindeutige ID. Weiterhin addiert die Hash-Funktionseinheit 34, welche den Prozessor an der Ausgabeseite bildet, die Information für den gültigen Term zum Gruppennamen und zur geheimen Information, die für die Gruppe eindeutig ist, und wendet hierauf die Verarbeitung der Hash-Funktion H an, erhält das einmalige Passwort "temp "' auf der Grundlage des erhaltenen temporären Passworts "temp", und erzeugt die Einbuchungsanforderung GC'. Hier erzeugt die Erzeugungsvorrichtung 51 für die eindeutige ID eine Zertifikat-ID zum Identifizieren der Einbuchungsanforderung für jeden Benutzer und addiert diese zu jeder entsprechenden Einbuchungsanforderung GC', wenn Einbuchungsanforderungen GC' mit identischen Inhalten in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

Die Gruppenzertifikats-Nachprüfungseinheit 12, die entsprechend der Gruppenzertifikats-Ausgabeeinrichtung 3 eingerichtet wurde, empfängt eine Einbuchungsanforderung GC' sowie die Einbuchungsanforderungs-ID zum Identifizieren der Einbuchungsanforderung für jeden Benutzer von dem Klienten 2, und ordnet die mehreren unterschiedlichen Benutzer der identischen Gruppe zu, durch die Einbuchungsanforderungs-ID, wenn Einbuchungsanforderungen GC' mit identischen Inhalten in Bezug auf die mehreren unterschiedlichen Benutzer ausgegeben werden.

Bei den Systemen zur verteilten Gruppenverwaltung 10 der voranstehend geschilderten Ausführungsformen kann das identische Gruppenzertifikat überlappend ausgegeben werden. Wenn man nämlich annimmt, daß mehrere Benutzer die Ausgabe von Gruppenzertifikaten GC anfordern, welche denselben gültigen Term für dieselbe Gruppe desselben Servers aufweisen, bei der Gruppenzertifikats-Ausgabeeinrichtung 3 von den identischen oder unterschiedlichen Klienten 2, werden Gruppenzertifikate mit denselben Inhalten an unterschiedliche Benutzer ausgeben. Dies liegt daran, daß das Gruppenzertifikat GC aus dem Gruppennamen, der Information in Bezug auf den gültigen Term (Zeitstempel) und dem temporären Passwort (temp) besteht, und dieses temporäre Passwort eindeutig aus dem Gruppennamen, der Information in Bezug auf den gültigen Term und der geheimen Information der Gruppe erzeugt wird.

Daher tritt die Schwierigkeit auf, daß mehrere unterschiedliche Benutzer nicht durch die Gruppenzertifikate GC oder durch die Einbuchungsanforderungen GC' unterschieden werden können, die aus den Gruppenzertifikaten GC erzeugt werden. Beispielsweise weist bei der ersten Ausführungsform der Server 1 die doppelte Verwendung desselben Gruppenzertifikats zurück (um einen unrechtmäßigen Gebrauch zu verhindern). Wenn daher ein Benutzer vorher ein Gruppenzertifikat benutzt, und einmal den Server 1 benutzt, wird die Nutzung durch einen anderen Nutzer danach zurückgewiesen, so daß er neu die Ausgabe des Gruppenzertifikates oder der Einbuchungsanforderung empfangen muß, damit er den Server 1 benutzten kann. Dies ist insoweit nachteilig, daß das System 10 ineffizient wird.

Das System zur verteilten Gruppenverwaltung 10 gemäß der sechsten Ausführungsform ist mit der Funktion versehen, eine Zertifikat-ID dem Gruppenzertifikat GC oder der Einbuchungsanforderung GC' zuzuordnen, zusätzlich zu den Systemen gemäß den voranstehenden Ausführungsformen. Diese Zertifikat-ID weist ausreichende Eindeutigkeit auf, wenn sie innerhalb eines Bereiches von Häufigkeiten liegt, in welchem die Gruppenzertifikate GC überlappend ausgegeben werden. In diesem Fall kann als Verfahren zur Erzeugung der Zertifikat-ID beispielsweise eine Verwendung von Zufallszahlen oder Serienzahlen erfolgen.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 weist die Erzeugungsvorrichtung 51 für eine eindeutige ID zu diesem Zweck auf, erzeugt die Zertifikat-ID, welche eindeutig das Gruppenzertifikat GC (oder GC') identifizieren kann, unter Verwendung der Vorrichtung 51, wenn das Gruppenzertifikat GC ausgegeben wird, und weist dieses dem Gruppenzertifikat GC (oder GC') zu, und gibt dieses aus.

Der Klient 2 verwaltet die Zertifikat-ID in dem Gruppenzertifikat GC auf dieselbe Weise wie den Gruppennamen und die Information in Bezug auf den gültigen Term. Wenn eine Einbuchungsanforderung GC' erzeugt wird, auf dieselbe Weise wie der Gruppenname und die Information in Bezug auf einen gültigen Term, wird die Zertifikat-ID der Einbuchungsanforderung zugeteilt.

Der Server 1 verwaltet die Zertifikat-ID als einen Wert, der das Gruppenzertifikat oder die Einbuchungsanforderung enthält, auf dieselbe Weise wie den Gruppennamen und die Information in Bezug auf den gültigen Term, und verwendet sie zur Identifizierung, zum Nachprüfen, und zum Speichern.

Fig. 41 ist eine Darstellung eines Beispiels für die Zertifikat-ID Cid bei der sechsten Ausführungsform.

Bei der sechsten Ausführungsform wird zum Beispiel ermöglicht, unterschiedliche Gruppenzertifikate GC in Bezug auf unterschiedliche Benutzer auszugeben, von demselben Servernamen, demselben Gruppennamen, derselben Information in Bezug auf einen gültigen Term, durch Hinzufügung der Zertifikat-ID Cid, die eindeutig ist, zur Information für den gültigen Term.

In Fig. 41 ist der Fall gezeigt, in welchem die Zertifikat- ID der Information für den gültigen Term hinzugefügt wird. Hierbei ist als Beispiel bei der Erzeugung des Gruppenzertifikats GC ein Fall gezeigt, in welchem sie der Datenstruktur hinzugefügt wird, bevor die Hash-Funktion H eingesetzt wird. Wie in der Figur gezeigt ist, wird eine Zertifikat-ID Cid, die aus acht Dezimalstellen besteht, nach dem Datum des gültigen Terms hinzugefügt. Diese Zertifikat-ID Cid ist eine Seriennummer, die um Eins für jede Gruppenzertifikats-Ausgabeeinrichtung 3 inkrementiert wird (wenn mehrere Einrichtungen 3 vorhanden sind), oder immer dann, wenn das Gruppenzertifikat ausgegeben wird.

Es wird darauf hingewiesen, daß dann, wenn das Datum der Information für den gültigen Term und die Zertifikat-ID, die bereits erzeugt wurden, gemeinsam geholt und verwaltet werden, wie dies in Fig. 41 gezeigt ist, dies den Vorteil mit sich bringt, daß das Gruppenzertifikat GC auf dieselbe Weise wie im Falle der voranstehenden Ausführungsformen verwaltet werden kann, wobei es jedoch ebenfalls möglich ist, individuell die eindeutigen Zertifikat-IDs Cid zu verwalten, wie dies rechts in der Figur gezeigt ist.

Wie voranstehend geschildert können bei der sechsten Ausführungsform, durch Zuordnen einer eindeutigen Zertifikat-ID Cid zu dem Gruppenzertifikat GC oder Einbuchungsanforderung GC', selbst wenn Gruppenzertifikate mit demselben gültigen Term in Bezug auf dieselbe Gruppe desselben Servers an mehrere unterschiedliche Benutzer ausgegeben werden, diese unterschieden werden, so daß die Überlappung der Gruppenzertifikate oder Einbuchungsanforderungen vermieden wird.

Hierdurch wird, selbst wenn unterschiedliche Benutzer die Ausgabe der überlappenden Gruppenzertifikate anfordern, für jeden Benutzer ein unterschiedliches Gruppenzertifikat ausgegeben. Daher wird, wie voranstehend erläutert, die Schwierigkeit ausgeschaltet, daß eine Fernverarbeitungsanforderung von einem anderen Benutzer, die das zweite und die darauffolgenden Male benutzt wird, von dem Server 1 zurückgewiesen wird, infolge der Zurückweisung der doppelten Benutzung, wie dies voranstehend erläutert wurde. Daher benötigt der andere Benutzer nicht die Ausgabe eines neuen Gruppenzertifikats, was die Auswirkung mit sich bringt, daß der Wirkungsgrad des Systems erhöht wird.

Siebte Ausführungsform

Die Fig. 42 und 43 sind Teile einer Darstellung einer siebten Ausführungsform der vorliegenden Erfindung.

Die Gruppenzertifikats-Ausgabeeinrichtung 3 bei dieser siebten Ausführungsform ist mit einer Benutzergruppen- Abbildungsspeichervorrichtung 32 versehen. Diese Benutzergruppen-Abbildungsspeichervorrichtung kann mehrere unterschiedliche Gruppen einem Benutzer zuordnen.

Weiterhin arbeitet die Gruppenzertifikats-Nachprüfungseinheit 12 bei der siebten Ausführungsform mit einer Gruppenzertifikats-Temporärspeichereinheit 52 zusammen, die in dem Server 1 vorgesehen ist. Wenn mehrere unterschiedliche Gruppen einem Benutzer U zugeordnet werden können, prüft sie die Gruppenzertifikate GC, die von dem Klienten 2 empfangen werden, und speichert sie dann in der Gruppenzertifikats- Temporärspeichereinheit 52. Dann schaltet sie die gespeicherten Gruppenzertifikate GC entsprechend der vorbestimmten Berechtigung um, die für die Anforderung erforderlich ist, in Bezug auf die folgenden Fernverarbeitungsanforderungen.

Entsprechend arbeitet diese Gruppenzertifikats- Nachprüfungseinheit 12 bei der siebten Ausführungsform mit der Einbuchungsanforderungs-Temporärspeichereinheit 52 zusammen, die in dem Server 1 vorgesehen ist. Wenn mehrere unterschiedliche Gruppen einem Benutzer U zugeordnet werden, überprüft sie die Einbuchungsanforderung GC', die von dem Klienten 2 empfangen wurde, und speichert sie dann in der Einbuchungsanforderungs-Temporärspeichereinheit 52. Dann schaltet sie die gespeicherten Einbuchungsanforderungen entsprechend der vorbestimmten Berechtigung um, die für die Anforderung erforderlich ist, in Bezug auf die folgenden Fernverarbeitungsanforderungen.

Wenn bei den Systemen für die verteilte Gruppenverwaltung 10 gemäß den voranstehend geschilderten Ausführungsformen mehrere Gruppennamen einem Benutzer U zugeordnet werden, ist es möglich, die Systeme so zu ändern, daß der Benutzer U des Klienten 2 einfach mehrere Gruppenzertifikate GC entsprechend den mehreren Gruppenname akquiriert, beispielsweise durch Hinzufügung eines Mechanismus, der den gewünschten Gruppennamen von dem Klienten 2 festlegt. Allerdings ist es am Ende der Server 1, der die Berechtigung bestimmt, welche der Gruppe zugeordnet ist. Der Benutzer U kann nicht immer korrekt den Gruppennamen mit der Berechtigung auswählen, die zu der Ausführung der Fernverarbeitung ausreichend ist, die er selbst anzufordern wünscht. Daher ist der Nachteil vorhanden, daß die Fernverarbeitung mittels Trial-and-Error angefordert werden muß, durch aufeinanderfolgendes Absenden einiger Gruppenzertifikate GC oder Einbuchungsanforderungen GC' an den Server 1, was Unbequemlichkeiten und ein ineffizientes Arbeiten mit sich bringt.

Selbst wenn der Benutzer die erforderliche Gruppe weiß, und korrekt die Gruppe auswählen kann, muß in einem Fall, in dem die Berechtigung, die für eine Gruppe zugehöriger Fernverarbeitungen erforderlich ist, mehrere unterschiedliche Gruppennamen benötigt, die Verarbeitung in den nächsten Gruppennamen bewegt werden, und wenn keine Berechtigung durch den momentan zugeordneten Gruppennamen vorhanden ist, wird die Tatsache, daß keine Berechtigung vorhanden ist, von dem Server 1 mitgeteilt. Aus diesem Grund muß der Benutzer die Anforderung der Fernverarbeitung erneut als Mitglied einer neuen Gruppe ausführen. Dies bringt den Nachteil mit sich, daß das System 10 unbequem und ineffizient wird.

Wie wiederum aus den Fig. 42 und 43 hervorgeht, weist das System zur verteilten Gruppenverwaltung 10 gemäß der siebten Ausführungsform die Gruppenzertifikats- Temporärspeichereinheit 52 in dem Server 1 auf, zusätzlich zu dem System gemäß den voranstehend geschilderten Ausführungsformen. Wenn der Klient 2 mehrere Gruppenzertifikate GC1, . . ., GCk an den Server 1 überträgt, überprüft der Server 1 diese GCs einzeln, und speichert sie dann in der Gruppenzertifikats-Temporärspeichereinheit 52. Hierdurch kann, selbst wenn der Klient 2 nicht das Gruppenzertifikat auswählt, oder der Server 1 nicht in Bezug auf die Übertragung des erforderlichen Gruppenzertifikats zum Klienten 2 nachfragt, der Server 1 selbst das erforderliche Gruppenzertifikat von der Gruppenzertifikats- Temporärspeichereinheit 52 holen.

Der Klient 2, der mehrere Gruppenzertifikate GC1, . . ., GCk von der Gruppenzertifikats-Ausgabeeinrichtung 3 empfängt, überträgt diese mehreren Gruppenzertifikate an den Server 1, wenn er eine Fernverarbeitung bei dem Server 1 anfordert.

Das Server 1, der diese Gruppenzertifikate GC1, . . ., GCk empfängt, prüft die empfangenen mehreren Gruppenzertifikate einzeln, auf dieselbe Art und Weise wie in Fällen der voranstehenden Ausführungsformen. In diesem Fall wird die Verwaltung in einem Fall, in welchem einige unter den mehreren Gruppenzertifikaten nicht legal sind, bei der vorliegenden Erfindung nicht speziell behandelt. Allerdings können die Schritte erwähnt werden, beispielsweise sämtliche Gruppenzertifikate zurückzuweisen, oder nur die illegitimen Gruppenzertifikate zurückzuweisen, und nur die legitimen Gruppenzertifikate anzunehmen, um die Verarbeitung fortzusetzen.

Die Gruppenzertifikate, die als Ergebnis der Überprüfung als legitim ermittelt werden, werden in der Gruppenzertifikats- Temporärspeichereinheit 52 gespeichert, bis der gültige Term (Zeitstempel) beendet ist, oder ein getrennt festgelegter Zeitraum abgelaufen ist. Danach holt sich der Server 1 die geeigneten Gruppenzertifikate von der Gruppenzertifikats- Temporärspeichereinheit 52 durch Umschalten entsprechend der von dem Benutzer U angeforderten Fernverarbeitung, und verwendet sie ebenso wie in den Fällen der voranstehend geschilderten Ausführungsformen.

Es wird darauf hingewiesen, daß in einem Fall, in welchem nicht die Gruppenzertifikate GC, sondern die Einbuchungsanforderungen GC' an den Server 1 geschickt werden, die gleiche Verarbeitung wie voranstehend geschildert für die Einbuchungsanforderungen anstelle der Gruppenzertifikate durchgeführt wird.

Fig. 44 ist eine Darstellung eines Beispiels für die Daten in der Benutzergruppen-Abbildungsspeichervorrichtung 32 bei der siebten Ausführungsform.

Wie voranstehend erläutert überträgt bei der siebten Ausführungsform in einem Fall, in welchem mehrere Gruppennamen einem Benutzer U zugeordnet werden, und Gruppenzertifikate GC in Bezug auf diese mehreren Gruppennamen ausgegeben werden, der Klient 2 nicht selektiv die Gruppenzertifikate GC, sondern überträgt die mehreren Gruppenzertifikate an den Server 1. Diese werden temporär in der Gruppenzertifikats-Temporärspeichereinheit 52 auf der Seite des Servers 1 gespeichert. Daher kann der Server 1 selektiv die erforderlichen Gruppen benutzen, selbst wenn der Klient 2 nicht die Gruppenzertifikate auswählt, oder andere Gruppenzertifikate nicht von dem Klienten 2 bei dem Server 1 angefordert werden. Zu diesem Zweck werden, in einem Fall, in welchem mehrere Gruppennamen einem Benutzer zugeordnet werden, wie dies in Fig. 41 gezeigt ist, mehrere Gruppennamen für jeden Benutzer in der Speichervorrichtung 32 gespeichert.

Es wird darauf hingewiesen, daß in der Spalte "Gruppe" auf der rechten Seite von Fig. 44 die Servernamen (Server X, Y, usw.) weggelassen sind. Diese Servernamen sind exakt dieselben wie jene, die in der Spalte "Benutzer" auf der linken Seite dieser Figur gezeigt sind.

Fig. 45 ist eine Darstellung eines Beispiels für die Daten n der Gruppenzertifikats-Temporärspeichereinheit 52, die bei der siebten Ausführungsform verwendet wird.

In der Figur speichert diese Speichereinheit 52 die mehreren Gruppenzertifikate GC, die bereits in dem Server 1 überprüft wurden, und als legitim angesehen wurden. In diesem Beispiel wird die Sitzungs-ID Sid (beispielsweise eine Zahl mit sieben Stellen) ebenfalls gespeichert. Dies ist jene ID, die zum Identifizieren mehrerer Benutzer angebracht wird, wenn die mehreren Benutzer an einen Server angeschlossen sind, jedoch in Bezug auf das Grundprinzip der vorliegenden Ausführungsform nicht immer erforderlich ist. Diese Sitzungs- ID Sid kann explizit von dem Klienten 2 ebenfalls mitgeteilt werden, oder es kann die Information genutzt werden, die von der Kommunikationsvorrichtung erhalten wird, beispielsweise die Host-Adresse oder die Anschlußnummer des Klienten, und dies als entsprechende ID angesehen werden.

Die Fig. 46 und 47 sind Teile einer Darstellung des Betriebsablaufs der Gesamtverarbeitung bei der siebten Ausführungsform. Es wird darauf hingewiesen, daß die Beschreibung der "Gruppenzertifikats-Akquisitionsphase" (vgl. beispielsweise Fig. 23) weggelassen ist, und daß im einzelnen die "Einbuchungsanforderung" danach beschrieben wird.

Zuerst ist in Fig. 46 die Verarbeitung, bis mehrere Gruppenzertifikate GC1 bis GC3 ausgegeben werden, und der Klient 2 diese akquiriert, ebenso wie in den Fällen der voranstehend beschriebenen Ausführungsformen. Wenn der Klient 2 dann die Fernverarbeitung bei dem Server 1 anfordert, gibt der Klient 2 die ausgegebenen mehreren Gruppenzertifikate an den Server 1 aus.

Der Server 1, der die mehreren Gruppenzertifikate empfängt, überprüft die Rechtmäßigkeit in jedem einzelnen Fall in der Gruppenzertifikats-Nachprüfungseinheit 12, ebenso wie in den Fällen der voranstehend geschilderten Ausführungsformen. Es lassen sich einige Maßnahmen überlegen, was mit dem Ergebnis dieser Überprüfung geschieht, jedoch wird dies nicht speziell bei der vorliegenden Erfindung beschrieben.

Die überprüften Gruppenzertifikate werden in der Gruppenzertifikats-Temporärspeichereinheit 52 gespeichert. Einige Gruppenzertifikate, die bei der folgenden Fernverarbeitung benötigt werden, werden entsprechend ausgewählt und eingesetzt. Nachstehend wird ein Beispiel zur geeigneten Auswahl der Gruppenzertifikate durch den Server erläutert, jedoch erfolgt hier eine Erläuterung anhand eines Beispiels mit den Daten der Gruppenberechtigungs- Abbildungsspeichervorrichtung 15, die in Fig. 11 in Bezug auf die erste Ausführungsform gezeigt ist.

Der Benutzer "Benutzer B" empfängt die Gruppenzertifikate für drei Gruppen von "Gruppe 1", "Gruppe 2" und "Gruppe 3" gemäß Fig. 44, und überträgt sie an den Server I, wie dies in Fig. 47 gezeigt ist. Es wird angenommen, daß der Server 1 die voranstehend erwähnten drei Gruppenzertifikate überprüft, und als Ergebnis der Nachprüfung feststellt, daß alle drei legitim sind. Danach wird angenommen, daß der Benutzer "Benutzer B" eine Fernverarbeitung anfordert, beispielsweise "lies (r) die Datei A und schreibe (w) das entsprechende Ergebnis in die Datei B" (vgl. Fig. 11). In diesem Fall war für die Operation Lesen (r) der Datei A die Berechtigung der "Gruppe 1" ausreichend, und daher holt sich der Server 1 das Gruppenzertifikat GC entsprechend "Gruppe 1" von der Gruppenzertifikats-Temporärspeichereinheit 52, und verwendet dieses GC für die Überprüfung in der Gruppenberechtigungs- Abbildungsspeichervorrichtung 15. Es wird darauf hingewiesen, daß dann, wenn es erforderlich ist, wie bei der fünften Ausführungsform ein Logbuch vorzusehen, dies in der Logbuchdatei 47 (Fig. 36) aufgezeichnet wird, unter Verwendung des Gruppenzertifikates entsprechend der "Gruppe 1".

Dann wird das Ergebnis des Lesens (r) in die Datei B eingeschrieben (w), jedoch ist die Berechtigung der "Gruppe 1" nur (r) hierfür unzureichend. Es ist die Berechtigung der Gruppe 3 (sowohl r als auch w) erforderlich. Daher schaltet der Server 1 auf das Gruppenzertifikat GC3 entsprechend der Gruppe 3 um, holt dies von der Gruppenzertifikats- Temporärspeichereinheit 52, und akquiriert die entsprechenden Berechtigungen (r und w) unter Verwendung dieses GC3 für die Überprüfung in der Vorrichtung 15. Falls erforderlich, wird dies in der Logbuchdatei 47 beschrieben, unter Verwendung des Gruppenzertifikates GC3 entsprechend der Gruppe 3, und wird die Schreiboperation der Datei B durchgeführt.

Wie voranstehend erläutert werden bei der siebten Ausführungsform mehrere Gruppenzertifikate GC oder Einbuchungsanforderungen GC', die von dem Klienten 2 übertragen werden, temporär nach der Nachprüfung durch den Server 1 gespeichert. Daher wird unter diesen ein geeignetes Zertifikat bzw. eine geeignete Anforderung ausgewählt, und entsprechend der Fernverarbeitung eingesetzt, die von dem Benutzer U angefordert wurde.

Hierdurch kann, selbst in einem Fall, in welchem der Benutzer U nicht die Gruppenmitgliedschaft kennt, die für die Fernverarbeitung erforderlich wird, sowie in einem Fall, in welchem mehrere unterschiedliche Gruppenmitgliedschaften für eine Reihe von Fernverarbeitungen erforderlich sind, die Serverseite mit der Verarbeitung dadurch weitermachen, daß sie das geeignete Gruppenzertifikat oder die geeignete Einbuchungsanforderung auswählt, und diese geeignet umgeschaltet werden. Aus diesem Grund wird es auf der Benutzerseite ausreichend, nur einmal mehrere Gruppenzertifikate oder Einbuchungsanforderungen zu übertragen, so daß die Auswirkung erzielt werden kann, daß die bequeme Nutzung und der Wirkungsgrad des Systems 10 erhöht werden.

Wie voranstehend erläutert werden gemäß der vorliegenden Erfindung im Vergleich zu dem bereits erläuterten Etikett beim Stand der Technik die Ausgabe und die Nachprüfung des Etiketts, also eines Gruppenzertifikats, mit hoher Geschwindigkeit möglich.

Weiterhin können bei einem derartigen Authentifizierungssystem mehrere Fernverarbeitungsanforderungen mit einem Gruppenzertifikat durchgeführt werden, wird eine gegenseitige Authentifizierung zwischen den Klienten und den Servern möglich, werden die Gruppenzertifikate derselben Gruppe und desselben gültigen Terms an mehrere Benutzer ausgegeben, und wird die Verwandlung mehrerer Gruppen möglich, die dem Benutzer zugeordnet sind. Hierdurch treten die Auswirkungen auf, daß die Sicherheit, die Bequemlichkeit, und der Wirkungsgrad verbessert werden.

Durch Aufzeichnen eines Logbuchs in der Logbuchdatei, welches die Überprüfung eines bestimmten Benutzers unter mehreren Benutzern je nach Erfordernis gestattet, werden die Sicherheit und die Überwachungsfähigkeiten des Systems 10 weiter erhöht.

Zwar wurde die Erfindung unter Bezugnahme auf spezielle Ausführungsformen beschrieben, die zum Zwecke der Erläuterung ausgewählt wurden, jedoch sollte deutlich geworden sein, daß sich hierbei zahlreiche Abänderungen von Fachleuten auf diesem Gebiet durchführen lassen, ohne vom grundlegenden Konzept und dem Umfang der Erfindung abzuweichen.

Claims

1. System zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers in einer Gruppe, um die Sicherheit für einen Klienten auf der Benutzerseite und einen Server zu verwalten, um eine Fernverarbeitungsanforderung von der Benutzerseite unter einer vorbestimmten Berechtigung auszuführen, die jeder Gruppe zugeordnet ist, wobei vorgesehen sind
eine Gruppenzertifikats-Ausgabeeinrichtung zur Ausgabe eines Gruppenzertifikats auf der Klientenseite, auf der Grundlage von Originalgruppeninformation, welche den Namen der Gruppe enthält, zu welcher der betreffende Benutzer gehört, wenn die Fernverarbeitungsanforderung vorhanden ist, und
eine Gruppenzertifikats-Nachprüfungseinheit zur Nachprüfung der Legitimität des Gruppenzertifikats, das von der Klientenseite übertragen wurde, in den Server, wobei
die Gruppenzertifikats-Ausgabeeinrichtung einen Ausgabeseitenverarbeitungswert, der durch Verarbeitung der Information der Originalgruppeninformation durch eine Verschlüsselungsfunktion erhalten wird, zu der Originalgruppeninformation hinzufügt, und dies als das Gruppenzertifikat definiert, und
die Gruppenzertifikats-Nachprüfungseinheit einen Teil der Information verarbeitet, die in dem empfangenen Gruppenzertifikat enthalten ist, durch eine identische Verschlüsselungsfunktion, um einen
Nachprüfungsseitenverarbeitungswert zu erhalten, und die Authentifizierung dadurch durchführt, daß sie bestätigt, daß der Ausgabeseitenverarbeitungswert und der Nachprüfungsseitenverarbeitungswert übereinstimmen.

2. System zur verteilten Gruppenverwaltung nach Anspruch 1, wobei
die Gruppenzertifikats-Ausgabeeinrichtung Geheiminformation enthält, die den Gruppen zugeordnet ist, in der Originalgruppeninformation, und die Verarbeitung mit der Verschlüsselungsfunktion durchführt,
die Gruppenzertifikats-Nachprüfungseinheit die Geheiminformation enthält, die den Gruppen zugeordnet ist, in einem Teil der Information, die in dem empfangenen Gruppenzertifikat enthalten ist, und die Verarbeitung mit der Verschlüsselungsfunktion durchführt, und
die Gruppenzertifikats-Ausgabeeinrichtung und der Server gemeinsam identische Geheiminformation für identische Gruppen benutzen.

3. System zur verteilten Gruppenverwaltung nach Anspruch 1, bei welchem die Verschlüsselungsfunktion eine Hash-Funktion ist.

4. Verfahren zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers in einer Gruppe, um die Sicherheit für einen Klienten auf der Benutzerseite und einen Server zur Ausführung der Fernverarbeitungsanforderung von der Benutzerseite unter der vorbestimmten Berechtigung zu verwalten, die jeder Gruppe zugeordnet ist, wobei vorgesehen sind
ein erster Schritt zur Verarbeitung der Information der Originalgruppeninformation, die den Namen der Gruppe enthält, zu welcher der betreffende Benutzer U gehört, mit der Verschlüsselungsfunktion, wenn die Fernverarbeitungsanforderung auf der Klientenseite vorhanden ist, und Ausgabe eines Gruppenzertifikats, das durch Addieren des erhaltenen Ausgabeseitenverarbeitungswertes zu der Originalgruppeninformation erhalten wird,
ein zweiter Schritt der Verarbeitung der Information des empfangenen Gruppenzertifikats mit einer identischen Verschlüsselungsfunktion, um den Nachprüfungsseitenverarbeitungswert auf der Serverseite zu erhalten, und
ein dritter Schritt des Vergleichens des Nachprüfungsseitenverarbeitungswertes und des empfangenen Ausgabeseitenverarbeitungswertes auf der Serverseite, und Bestätigen, daß sie übereinstimmen, um hierdurch die Authentifizierung durchzuführen, und die Legitimität des Gruppenzertifikats nachzuprüfen, das von der Klientenseite in den Server übertragen wurde.

5. Gruppenzertifikats-Ausgabeeinrichtung, welche einen Teil eines Systems zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers zu einer Gruppe aufweist, um die Sicherheit in Bezug auf den Klienten auf der Benutzerseite und den Server zur Ausführung der Fernverarbeitungsanforderung von der Benutzerseite unter einer vorbestimmten Berechtigung, die jeder Gruppe zugeordnet wird, zu verwalten, wobei ein Ausgabeseitenprozessor vorgesehen ist, um die Originalgruppeninformation einschließlich des Namens der Gruppe mit der Mitgliedschaft des betreffenden Benutzers auszugeben, wenn die Fernverarbeitungsanforderung vorhanden ist, und zum gleichzeitigen Hinzufügen des Ausgabeseitenverarbeitungswertes, der durch Verarbeitung der Information der Originalgruppeninformation durch die Verschlüsselungsfunktion erhalten wird, zu der Originalgruppeninformation, um das Gruppenzertifikat zu erhalten.

6. Gruppenzertifikats-Nachprüfungseinheit, die ein System zur verteilten Gruppenverwaltung zum indirekten Authentifizieren der Mitgliedschaft eines Benutzers einer Gruppe aufweist, um die Sicherheit des Klienten auf der Benutzerseite und des Servers zur Ausführung der Fernverarbeitungsanforderung von der Benutzerseite unter der vorbestimmten Berechtigung, die jeder Gruppe zugeordnet ist, zu verwalten, wobei ein Nachprüfungsseitenprozessor vorgesehen ist, um Information zu verarbeiten, die in dem Gruppenzertifikat enthalten ist, das von der Klientenseite empfangen wird, mit der Verschlüsselungsfunktion, um den Nachprüfungsseitenverarbeitungswert auf der Serverseite zu erzeugen, und die Authentifizierung dadurch durchzuführen, daß bestätigt wird, daß der in dem empfangenen Gruppenzertifikat enthaltene Ausgabeseitenverarbeitungswert und der Nachprüfungsseitenverarbeitungswert übereinstimmen.

7. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 5, bei welcher die Verschlüsselungsfunktion eine Hash- Funktion ist, und der Ausgabeseitenprozessor eine Hash- Einrichtung zur Durchführung der Verarbeitung der Hash- Funktion aufweist.

8. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 7, bei welcher der Ausgabeseitenprozessor zentral die Verarbeitung mit der Hash-Funktion in Bezug auf zumindest den Gruppennamen und die Geheiminformation, die für die Gruppe eindeutig ist, einsetzt, den Ausgabeseitenverarbeitungswert als das temporäre Passwort "temp" ansieht, und das Gruppenzertifikat aus zumindest dem Gruppennamen und dem temporären Passwort erzeugt.

9. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 8, welche mit einer Hash-Funktionseinheit zusammenarbeitet, die, in dem Klienten vorgesehen ist, wobei die Hash- Funktionseinheit die Verarbeitung mit der Hash-Funktion m mal in Bezug auf das temporäre Passwort einsetzt, den erhaltenen Ausgabeseitenverarbeitungswert als ein einmaliges Passwort ansieht, und eine Einbuchungsanforderung, die aus zumindest dem Gruppennamen und dem einmaligen Passwort besteht, von dem Klienten anstelle des Gruppenzertifikats erzeugt wird.

10. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 8, welche mit einer Erzeugungsvorrichtung für eine eindeutige ID zusammenarbeitet, die in dem Klienten vorgesehen ist, wobei die Erzeugungsvorrichtung für die eindeutige ID eine Authentifizierungs-ID zur gegenseitigen Authentifizierung zwischen dem Klienten und dem Server erzeugt, die Authentifizierungs-ID in dem Gruppenzertifikat enthält, und dies an den Server überträgt.

11. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 10, bei welcher das übertragene Gruppenzertifikat, welches die Authentifizierungs-ID enthält, von dem Server empfangen wird, eine Serverantwort, die durch Einsatz einer vorbestimmten Verarbeitung in Bezug hierauf erhalten wird, an den Klienten zurückgeschickt wird, eine Serverantwort, die in dem Klienten unter Verwendung derselben Verarbeitung wie der vorbestimmten Verarbeitung erwartet wird, und die zurückgeschickte Serverantwort verglichen werden, und wenn beide übereinstimmen, der Klient den Server authentifiziert.

12. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 8, welche mit einer Verschlüsselungsverarbeitungseinheit zusammenarbeitet, die in dem Klienten vorgesehen ist, wobei die Verschlüsselungsverarbeitungseinheit eine Verschlüsselungssitzung von dem Klienten zu dem Server einrichtet, mit dem temporären Passwort als Schlüssel für die Verschlüsselung.

13. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 8, bei welcher die Bereitstellung einer Logbuchdatei zum Aufzeichnen des Logbuchs der Sitzung entsprechend jeder der Fernverarbeitungsanforderungen für jeden der Benutzer erfolgt, und die Überwachung jedes Benutzers auf der Grundlage des Logbuchs durchgeführt, wird.

14. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 13, bei welcher das temporäre Passwort für jede der Sitzungen in dem Logbuch enthalten ist, um hierdurch die Sitzungen zu identifizieren.

15. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 8, bei welcher weiterhin eine Erzeugungsvorrichtung für eine eindeutige ID vorgesehen ist, und gleichzeitig
der Ausgabeseitenprozessor weiterhin Information in Bezug auf einen gültigen Term zum Gruppennamen und der Geheiminformation hinzufügt, die für die Gruppe eindeutig ist, und die Verarbeitung mit der Hash- Funktion einsetzt, den erhaltenen Ausgabeseitenverarbeitungswert als das temporäre Passwort ansieht, und das Gruppenzertifikat aus dem Gruppennamen, der Information in Bezug auf den gültigen Term, und dem temporären Passwort erzeugt, und
die Erzeugungsvorrichtung für die eindeutige ID die Zertifikat-ID zum Identifizieren dieser Gruppenzertifikate für jeden Benutzer erzeugt, und diese zum entsprechenden jeweiligen Gruppenzertifikat hinzufügt, wenn die Gruppenzertifikate mit identischen Inhalten in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

16. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 9, bei welcher weiterhin eine Erzeugungsvorrichtung für eine eindeutige ID vorgesehen ist, und gleichzeitig
der Ausgabeseitenprozessor weiterhin die Information in Bezug auf den gültigen Term zu dem Gruppennamen und der Geheiminformation hinzufügt, die für die Gruppe eindeutig ist, und die Verarbeitung mit der Hash- Funktion einsetzt, das einmalige Passwort auf der Grundlage eines erhaltenen temporären Passworts erhält, und die Einbuchungsanforderung erzeugt, und
die Erzeugungsvorrichtung für die eindeutige ID die Zertifikat-ID zum Identifizieren der Einbuchungsanforderungen für jeden Benutzer erzeugt, wenn die Einbuchungsanforderungen, welche identische Inhalte aufweisen, in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden, und diese zu jeder entsprechenden Einbuchungsanforderung hinzufügt.

17. Gruppenzertifikats-Ausgabeeinrichtung nach Anspruch 17, bei welcher die Bereitstellung einer Benutzergruppen- Abbildungsspeichervorrichtung erfolgt, und in der Benutzergruppen-Abbildungsspeichervorrichtung mehrere unterschiedliche Gruppen für einen der Benutzer zugeordnet werden können.

18. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 6, bei welcher die Verschlüsselungsfunktion eine Hash- Funktion ist, und der Nachprüfungsseitenprozessor mit der Hash-Einrichtung versehen ist, um die Verarbeitung mit der Hash-Funktion durchzuführen.

19. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 18, bei welcher der Nachprüfungsseitenprozessor zentral die Verarbeitung der Hash-Funktion in Bezug auf zumindest den Gruppennamen und die Geheiminformation einsetzt, die für die Gruppe eindeutig ist, und in dem Gruppenzertifikat enthalten ist, das von der Klientenseite empfangen wird, um den Nachprüfungsseitenverarbeitungswert als das reproduzierte temporäre Passwort zu reproduzieren.

20. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 19, bei welcher der Nachprüfungsseitenprozessor eine Hash- Funktionseinheit ist, und die Hash-Funktionseinheit die Verarbeitung mit der Hash-Funktion bei dem temporären Passwort m mal einsetzt, um den Nachprüfungsseitenverarbeitungswert als einmaliges Passwort zu reproduzieren, und bestätigt, daß das reproduzierte, einmalige Passwort sowie das einmalige Passwort, das von der Einbuchungsanforderung abgezogen wurde, welche das einmalige Passwort enthält, und entsprechend auf der Klientenseite erzeugt wurde, übereinstimmen, um die Authentifizierung durchzuführen.

21. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 19, bei welcher für die gegenseitige Authentifizierung zwischen dem Klienten und dem Server die übertragene Authentifizierungs-ID, die in dem Gruppenzertifikat enthalten ist, von dem Klienten empfangen wird, eine vorbestimmte Verarbeitung in Bezug hierauf durchgeführt wird, um eine Serverantwort zu erzeugen, die Serverantwort zu dem Klienten zurückgeschickt wird, und mit der Serverantwort verglichen wird, die in dem Klienten unter Verwendung derselben Verarbeitung wie der vorbestimmten Verarbeitung erwartet wird, und dann, wenn die beiden übereinstimmen, der Klient den Server authentifiziert.

22. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 19, welche mit einer Verschlüsselungsverarbeitungseinheit zusammenarbeitet, die in dem Server vorgesehen ist, wobei die Verschlüsselungsverarbeitungseinheit eine Verschlüsselungssitzung von dem Server zu dem Klienten mit dem temporären Passwort als Schlüssel für die Verschlüsselung einrichtet.

23. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 18, welche mit einer in dem Server vorgesehenen Logbuchdatei zusammenarbeitet, wobei die Logbuchdatei ein Logbuch der Sitzung entsprechend jeder der Fernverarbeitungsanforderungen für jeden der Benutzer aufzeichnet, und jeder Benutzer auf der Grundlage des Logbuchs überwacht wird.

24. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 23, bei welcher das temporäre Passwort für jede der Sitzungen in dem Logbuch zum Identifizieren der Sitzungen enthalten ist.

25. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 19, welche Gruppenzertifikate empfängt, denen Zertifikat-IDs hinzugefügt sind, um diese Gruppenzertifikate für jeden Benutzer von dem Klienten zu identifizieren, und die mehreren unterschiedlichen Benutzer zu den identischen Gruppen durch die Zertifikat-IDs zuordnet, wenn Gruppenzertifikate, die identische Inhalte aufweisen, in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

26. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 20, welche Einbuchungsanforderungen empfängt, denen Einbuchungsanforderungs-IDs hinzugefügt sind, zum Identifizieren dieser Einbuchungsanforderungen zu jedem Benutzer von dem Klienten, und die mehreren unterschiedlichen Benutzer unterschiedlichen Gruppen durch die Einbuchungsanforderungs-ID zuordnet, wenn die Einbuchungsanforderungen mit identischen Inhalten in Bezug auf mehrere unterschiedliche Benutzer ausgegeben werden.

27. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 18, welche mit einer Gruppenzertifikats- Temporärspeichereinheit zusammenarbeitet, die in dem Server vorgesehen ist, und dann, wenn die Zuordnung mehrerer unterschiedlicher Gruppen für einen der Benutzer freigeschaltet ist, die von dem Klienten empfangenen Gruppenzertifikate nachprüft, die in der Gruppenzertifikats-Temporärspeichereinheit speichert, und die gespeicherten Gruppenzertifikate entsprechend der vorbestimmten Berechtigung umschaltet und benutzt, die für die Anforderung erforderlich ist, in Bezug auf die folgenden Fernverarbeitungsanforderungen.

28. Gruppenzertifikats-Nachprüfungseinheit nach Anspruch 19, welche mit einer Einbuchungsanforderungs- Temporärspeichereinheit zusammenarbeitet, die in dem Server vorgesehen ist, und dann, wenn die Zuordnung der mehreren unterschiedlichen Gruppen für einen der Benutzer freigeschaltet ist, die Einbuchungsanforderungen nachprüft, die von dem Klienten empfangen werden, sie in der Einbuchungsanforderungs- Temporärspeichereinheit speichert, und die gespeicherten Einbuchungsanforderungen entsprechend der vorbestimmten Berechtigung, die für die Anforderung erforderlich ist, in Bezug auf folgende Fernverarbeitungsanforderungen umschaltet und benutzt.