JP2000049766A - Key managing server system - Google Patents

Key managing server system

Info

Publication number
JP2000049766A
JP2000049766A JP10210672A JP21067298A JP2000049766A JP 2000049766 A JP2000049766 A JP 2000049766A JP 10210672 A JP10210672 A JP 10210672A JP 21067298 A JP21067298 A JP 21067298A JP 2000049766 A JP2000049766 A JP 2000049766A
Authority
JP
Japan
Prior art keywords
key
application
management server
key management
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10210672A
Other languages
Japanese (ja)
Inventor
Takeo Itai
Hitoshi Kumagai
Kunio Nashimoto
Takashi Nishide
健雄 板井
邦夫 梨本
仁志 熊谷
隆志 西出
Original Assignee
Hitachi Ltd
Hitachi Software Eng Co Ltd
日立ソフトウエアエンジニアリング株式会社
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Software Eng Co Ltd, 日立ソフトウエアエンジニアリング株式会社, 株式会社日立製作所 filed Critical Hitachi Ltd
Priority to JP10210672A priority Critical patent/JP2000049766A/en
Publication of JP2000049766A publication Critical patent/JP2000049766A/en
Application status is Pending legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To provide a safe and simple management method of an open key certificate and a secret key by automating a system with a key management server which manages a key management table and an application management table. SOLUTION: When a connection request (1) to an application server 6 from a client terminal 4 is given, a key management server 1 obtains an open key certificate for application (4 and 5) from an application CA8, by using a key management table 2 (2) or an application management table 3 (3). An open key certificate for application and a secret key, which are required for certification at the time of connection with the application server 6, are transmitted to the client terminal 4 (6). The client terminal 4 is certified (7) at connection by using the open key certificate for application and the secret key, which are received from the key management server 1. If certification is successful, communication with the application server 6 can be conducted.

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は複数の公開鍵証明書と秘密鍵を扱い、それらを各アプリーションサーバとの接続時に必要な認証ごとに使い分けるシステムにおける公開鍵証明書、秘密鍵等の管理に関する。 The present invention relates to handles multiple public key certificate and a private key, which the public key certificate in the system used properly for each required at the time of connection authentication with each application Activation server, management of secret key on.

【0002】 [0002]

【従来の技術】従来、ユーザの鍵管理に関する方法として、例えば、特開平09−223210号公報に記載の「携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム」がある。 Conventionally, as a method for key management user, for example, "portable information storage medium and authentication method using the authentication system" described in JP-A-09-223210 there is.

【0003】この方法は、ユーザがまずオフラインでC [0003] In this way, the user is first offline C
Aに鍵の発行申請を行い、CAは発行申請を受けて申請ユーザの公開鍵と秘密鍵を生成してICカードに当該申請ユーザの公開鍵証明書と秘密鍵を書き込み、オフラインで申請ユーザにそのICカードを送付する。 Performs a request for issuance of a key in A, CA writes the public key certificate and private key of the application user to the IC card to generate a public key and a private key of the application user in response to the issuance application, the application user offline to send the IC card. なお、公開鍵証明書は申請ユーザの公開鍵と当該公開鍵の真正を証明する当該CAの署名を含む。 It should be noted that the public key certificate includes the signature of the CA to prove the public key and the authenticity of the public key of the application user.

【0004】ユーザはその受け取ったICカードの秘密鍵で署名を作成し認証に用い、そのICカードは自分で所持管理するというものである。 [0004] The user is used to create and authenticate the signature with the private key of the received IC card, the IC card is one that possession management on their own.

【0005】また一人のユーザが複数の公開鍵証明書と秘密鍵を持ち、それらを各アプリケーションサーバとの認証ごとに使い分ける場合、特別なシステムを用意しないのなら、鍵生成から公開鍵証明書発行の申請とその管理までの全てをユーザが各自で行うことが必要となる。 [0005] In one user has multiple public key certificate and a private key, when properly using them for each authentication with each application server, if not provide any special system, public key certificate issued from the key generation made application for and necessary to carry out all users on their own until its management.

【0006】 [0006]

【発明が解決しようとする課題】ところで上述の特開平09−223210号公報の方法では、安全にユーザが秘密鍵を管理することができるものの、1ユーザが複数の公開鍵証明書と秘密鍵を持つ場合の、その使い分けについては言及されていない。 In the [0006] Incidentally aforementioned JP-A 09-223210 discloses a method, although secure user can manage the secret key, one user a plurality of public key certificates and private key if you have, it does not refer to its proper use. またユーザがCAに対して、公開鍵証明書の発行を要求するとき、ユーザは自らその処理を行わなければならない。 In addition to the user CA, when you request a public key certificate, the user must place themselves the process. さらに公開鍵、秘密鍵の生成はCAが行うという設定になっているが、そのような鍵生成を行わないCAに対して公開鍵証明書の発行を要求する場合について言及されていない。 Further public key, although the generation of the secret key has been set that CA is performed, does not mention the case of requesting the public key certificate against CA is not performed such key generation.

【0007】またユーザが複数の公開鍵証明書と秘密鍵を自分で管理する方法では、アプリケーション接続時の認証に必要な公開鍵証明書と秘密鍵の使い分けや、有効期限が切れた公開鍵証明書の処理、また秘密鍵をクライアント端末の磁気ディスク等で管理する場合に、盗用を防ぐため、ユーザのパスワードで秘密鍵を暗号化するという対策をとらなければならない、等の問題がある。 [0007] In the method for the user to manage multiple public key certificate and private key of their own, and proper use of public key certificate and private key required for authentication at the time of application connections, public key certificate that has expired processing of the book, also in the case of managing the secret key in a magnetic disk or the like of the client terminal, in order to prevent theft, must take measures to encrypt the secret key with a password of a user, there is a problem and the like.

【0008】本発明の目的は、ユーザにアプリケーションサーバ接続時の認証で必要となるユーザの公開鍵証明書と秘密鍵の使い分けを意識させることなく、また公開鍵証明書の更新と鍵生成と公開鍵証明書発行の手続きを鍵管理サーバによって、自動化することでユーザの負担を軽減し、管理しなければならないのは鍵管理サーバシステム用の公開鍵証明書と秘密鍵の組みのみにし、これらをリムーバブルメディアに格納することによって、安全で容易な公開鍵証明書と秘密鍵の管理の方法を提供することにある。 It is an object of the present invention, without being aware of the proper use of public key certificate and private key of the user required by the user to the application server connection at the time of authentication, also with the public key of the certificate update and key generation public by the key management server the procedure of key certificate issued, to reduce the user's burden by automating, and only a pair of public key certificate and a private key for the key management server system do not need to manage these by storing the removable medium is to provide a method for safe and easy public key certificate and private key management.

【0009】 [0009]

【課題を解決するための手段】上記目的を達成するために、本発明では、ユーザごとに作成した各アプリケーションとその接続時の認証で用いられるアプリケーション用の公開鍵証明書と秘密鍵のペアを管理する鍵管理テーブルと、各アプリケーションに関して接続時の認証で用いる鍵の生成アルゴリズムと、認証で用いるアプリケーション用公開鍵証明書の発行を行うアプリケーションC To achieve the above object, according to an aspect of, the present invention, the public key certificate and private key pair for the application to be used with each created for each user application on the connection during the authentication applications C performing a key management table for managing a generation algorithm for the key used for authentication when connecting for each application, a public key certificate for the application to be used in authentication
Aと、アクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルの情報を格納するアプリケーション管理テーブルと、これら鍵管理テーブルとアプリケーション管理テーブルを管理し、ユーザからのアプリケーション接続要求が来たときに、ユーザがアプリケーションサーバへのアクセス権限を持ち、認証に必要なアプリケーション用の公開鍵証明書と秘密鍵がそのユーザの鍵管理テーブルに存在しなければ、または存在しても公開鍵証明書の有効期限が切れていれば、アプリケーションCAに対して、そのCAが鍵生成を行わないなら鍵生成を行ってから、ユーザの代わりに公開鍵証明書発行の申請を出し、アプリケーション用秘密鍵とアプリケーションCAから受け取ったアプリケーション用公開鍵証明書をユーザの鍵管理 And A, and can be accessed user name to store the information of accessible user list file that contains the application management table, to manage these key management table and the application management table, when it came the application connection request from the user, the user has access rights to the application server, if it does not exist in the public key certificate and private key is the key management table of the user for the required for authentication applications, or be present in the public key certificate expiration date if expired, the application CA, after performing the key generation if the CA does not perform key generation, put out an application for a public key certificate issued on behalf of the user, from the application for the secret key and the application CA key management of the received public key certificate for the application user ーブルに登録し、これらの公開鍵証明書と秘密鍵をユーザの使用するクライアント端末へ送信する鍵管理サーバなるものを備えることを特徴とする。 Registered Buru, characterized in that it comprises what will become the key management server sends these public key certificate and private key to a client terminal used by a user.

【0010】さらに、本発明では鍵管理サーバとユーザは本鍵管理サーバシステムが信頼する鍵管理サーバシステムCAから発行された鍵管理サーバシステム用の公開鍵証明書と秘密鍵を用いてお互いを認証し、ユーザは本鍵管理サーバシステムの管理者から配布された、ユーザの鍵管理サーバシステム用の公開鍵証明書と秘密鍵と、 [0010] In addition, the key management server and the user is in the present invention may authenticate each other by using the public key certificate and a private key for the issue has been the key management server system from the key management server system CA to which the present key management server system to trust and, the user has been distributed from the administrator of the key management server system, and the public key certificate and a private key for the user of the key management server system,
鍵管理サーバシステムCA自身の公開鍵証明書を格納するリムーバブルメディアを所持管理し、アプリケーションサーバと接続が必要なときだけそのリムーバブルメディアをメディアのリーダにセットし、鍵管理サーバから認証を受け、アプリケーションサーバへの接続に必要なアプリケーション用の公開鍵証明書と秘密鍵を受信することを特徴とする。 The key management server system CA's own public key certificate removable media possession and management to store of, and set only the removable media to the media of the reader when the application server and the connection is required, certified from the key management server, application characterized in that it receives the public key certificate and a private key for the applications required to connect to the server.

【0011】 [0011]

【発明の実施の形態】以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an embodiment of a case of carrying out the present invention with reference to the drawings will be described in detail.

【0012】図1は、本発明実施の一形態の鍵管理サーバシステムの構成を示すブロック図である。 [0012] Figure 1 is a block diagram showing the configuration of the key management server system according to an embodiment of the present invention embodiment.

【0013】1は、ユーザの鍵管理等を行う鍵管理サーバであり、鍵管理テーブル2とアプリケーション管理テーブル3と複数のクライアント端末4を管理する。 [0013] 1 is a key management server for key management of the user, manages the key management table 2 and the application management table 3 and a plurality of client terminals 4.

【0014】2は、鍵管理サーバ1が管理するユーザごとにアプリケーションとそのアプリケーション接続時の認証に用いるアプリケーション用の公開鍵証明書と秘密鍵の対応情報を格納している鍵管理テーブルであり、詳細を図3に示している。 [0014] 2 is a key management table that stores the correspondence information of the public key certificate and a private key for the application to be used for application and authenticate the time of application connection for each user key management server 1 manages, It shows a detail in Figure 3.

【0015】3は、各アプリケーションとの接続時の認証で用いる鍵の生成アルゴリズムと、当該アプリケーション用公開鍵証明書の発行を行うアプリケーションCA [0015] 3, application CA performing the generation algorithm of the key, a public key certificate for the application to be used in connection during authentication with each application
8と、当該アプリケーションにアクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルの情報を格納するアプリケーション管理テーブルであり、詳細を図4に示している。 8, an application management table for storing the information of accessible user list file that contains the username accessible to the application, is shown in detail in FIG.

【0016】4はクライアント端末、5はクライアント端末4から読み込み可能なリムーバブルメディア、6は各種アプリケーションサーバである。 [0016] 4 client terminal, 5 is readable removable media from the client terminal 4, and 6, which is a variety of application server.

【0017】7は、本鍵管理サーバシステムが信頼し、 [0017] 7, the key management server system is reliable,
本鍵管理サーバシステムに登録されたユーザと鍵管理サーバ1間の通信の暗号化に用いる鍵管理サーバシステム用公開鍵証明書を発行する鍵管理サーバシステムCAである。 It is a key management server system CA that issues the key management server system a public key certificate used for encryption of the communication between the user and the key management server 1 registered in the key management server system.

【0018】8は、各アプリケーションサーバ6が接続時の認証で用いるアプリケーション用公開鍵証明書の発行を行うアプリケーションごとのアプリケーションCA [0018] 8, application CA of each application that each application server 6 performs a public key certificate for the application to be used in the certification at the time of connection
であり、各アプリケーションサーバ6が指定したCAである。 And is a CA that each application server 6 has been specified.

【0019】図2は本鍵管理サーバシステムでの、クライアント端末4と、鍵管理サーバ1と、アプリケーションサーバ6と、アプリケーションサーバ6が認証で用いるアプリケーション用公開鍵証明書の発行をするアプリケーションCA8の間のデータのやりとりの概略を示すブロック図である。 [0019] Figure 2 is in the present key management server system, the client terminal 4, and the key management server 1, the application server 6, the application CA8 the application server 6 has a public key certificate for the application to be used in authentication is a block diagram showing an outline of a data exchange between. 図2に基づいて、鍵管理サーバシステムの概略動作を次に説明する。 Based on FIG. 2, it will be described an outline operation of the key management server system.

【0020】ユーザがアプリケーションサーバ6との接続を要求するとき、クライアント端末4はまず鍵管理サーバ1と接続し、アプリケーションサーバ6との接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵を鍵管理サーバ1から取得し、それらを用いてアプリケーションサーバ6に接続して認証を受け、通信を行う。 [0020] When the user requests a connection to the application server 6, and connect the client terminal 4 first and the key management server 1, the public key certificate and private for the application required for authentication at the time of connection to the application server 6 get the key from the key management server 1, connected to an application server 6 receives the authentication using them, communicate.

【0021】アプリケーションサーバ6はクライアント端末4から接続要求があると、クライアント端末4を使用しているユーザのアプリケーション用の公開鍵証明書と秘密鍵を用いて、ユーザを認証し、認証すれば、クライアント端末4と通信を開始する。 [0021] When the application server 6 there is a connection request from the client terminal 4, by using the public key certificate and a private key for the user who is using the client terminal 4 application, it authenticates the user, if the authentication, to initiate communication with the client terminal 4.

【0022】これをもう少し具体化して説明する。 [0022] will be described with a little more embody this.

【0023】鍵管理サーバ1はクライアント端末4からのアプリケーションサーバ6への接続要求()があると、鍵管理テーブル2()を用いて、またはアプリケーション管理テーブル3()を用いて、アプリケーションCA8よりアプリケーション用公開鍵証明書を取得する The key management server 1 uses if there is a connection request to the application server 6 from the client terminal 4 (), using the key management table 2 (), or the application management table 3 (), from the application CA8 to get the application for the public key certificate
(,)。 (,). そして、クライアント端末4にアプリケーションサーバ6との接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵をクライアント端末4に送信する()。 Then, it transmits the public key certificate and a private key for the applications required for authentication at the time of connection to the application server 6 to the client terminal 4 to the client terminal 4 (). クライアント端末4は鍵管理サーバ1より受け取ったアプリケーション用の公開鍵証明書と秘密鍵を用いて、アプリケーションサーバ6との接続時に認証を受け()、認証に成功すればアプリケーションサーバと通信することができる()。 The client terminal 4 using the public key certificate and a private key for the application received from the key management server 1 receives the authentication when connecting to the application server 6 (), to communicate with the application server if the authentication succeeds it can().

【0024】鍵管理サーバ1のさらに詳細な動作を次に説明する。 [0024] will now be described further details of the operation of the key management server 1.

【0025】鍵管理サーバ1は、ユーザの使用するクライアント端末4からアプリケーションサーバ6への接続要求を受けて、当該アプリケーション接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵が鍵管理テーブル2に存在するかどうか調べる。 [0025] The key management server 1 receives the connection request from the client terminal 4 used by the user to the application server 6, the public key certificate and a private key for the applications required for authentication at the time of the application connection is the key management examine whether to present in table 2. 存在するならば鍵管理テーブル2から取り出し、それらをクライアント端末4へ送信する。 If present removed from the key management table 2, and transmits them to the client terminal 4. 存在しなければ、アプリケーション管理テーブル3からアプリケーション用公開鍵証明書発行要求を送るアプリケーションCA8を得て、もしアプリケーションCA8が鍵生成を行わないなら鍵生成アルゴリズムから鍵を生成し、アプリケーションCA8へアプリケーション用公開鍵証明書発行の要求を送り、アプリケーション用秘密鍵とアプリケーションCA8から受け取ったアプリケーション用公開鍵証明書をユーザの鍵管理テーブル2へ登録し、この秘密鍵と公開鍵証明書をクライアント端末4へ送信する。 If it does not exist, to obtain the application CA8 from the application management table 3 send the application for the public key certificate issuing request, to generate a key from the key generation algorithm If the application CA8 does not perform key generation, for application to the application CA8 send a request for the public key certificate issued to register the application for the public key certificate received from the application for the secret key and the application CA8 to the user of the key management table 2, the public key certificate and the secret key to the client terminal 4 Send.

【0026】なお、この鍵管理サーバ1とクライアント端末4の間の通信は、鍵管理サーバシステムCA7から鍵管理サーバ1とユーザに対して発行される鍵管理サーバシステム用公開鍵証明書とその対となる鍵管理サーバシステム用秘密鍵を用いて暗号化されている。 [0026] The communication between the key management server 1 and the client terminal 4, from the key management server system CA7 key management server 1 and the key management server system public key certificate issued to the user and the pair It is encrypted using a key management secret key for the server system to be.

【0027】次に鍵管理テーブル2の構成を図3に示す。 The following shows the configuration of the key management table 2 in FIG. ユーザ一人につき一つこのテーブルが作成され、ユーザが接続を要求するアプリケーションサーバ6に応じて、その接続時の認証に必要となるアプリケーション用の公開鍵証明書と秘密鍵が取り出されるようになっている。 One table is created per person user, depending on the application server 6 that the user requests a connection, so a public key certificate and a private key for the application required for authentication during connection is taken there. また鍵管理テーブル2は鍵管理サーバ1の鍵管理サーバシステム用公開鍵で暗号化されている。 The key management table 2 is encrypted with the public key for key management server system of the key management server 1.

【0028】次にアプリケーション管理テーブル3の構成を図4に示す。 The following shows the structure of the application management table 3 in FIG. 各アプリケーションサーバ6につき接続時の認証で必要なアプリケーション用公開鍵証明書を発行するアプリケーションCA8と、アプリケーションCA8が鍵生成を行わない場合に必要となる鍵生成アルゴリズムとアクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルからなる。 An application CA8 which issues public key certificates for applications requiring authentication when connecting per each application server 6, storing a key generation algorithm and accessible user name required if the application CA8 does not perform key generation made from an accessible user list file.

【0029】ユーザは本鍵管理サーバシステムの管理者から配布される、鍵管理サーバシステムCA7から発行された鍵管理サーバシステム用公開鍵証明書とその対となる鍵管理サーバシステム用秘密鍵と、鍵管理サーバシステムCA7自身の公開鍵証明書が格納されたリムーバブルメディア5さえあれば、アプリケーション用公開鍵証明書の取得、鍵生成、アプリケーションごとの鍵の使い分けを意識せずに行うことができる。 [0029] The user is distributed from the administrator of the key management server system, issued from the key management server system CA7 key management server system for the public key certificate and key management secret key for the server system to be the pair, As long key management server system CA7 itself removable medium 5 public key certificate is stored, it is possible to perform acquisition of the application public key certificates, key generation, without being aware of proper use of the key for each application.

【0030】図5はユーザが本鍵管理サーバシステムの管理者から配布されて、所持管理するリムーバブルメディア5に格納された内容を示す。 [0030] Figure 5 is a user is distributed from the administrator of the key management server system, showing the contents stored in the removable medium 5 that possessed management. これはユーザの鍵管理サーバシステム用の公開鍵証明書と秘密鍵と、鍵管理サーバシステムCA7自身の公開鍵証明書からなる。 This is a public key certificate and a private key for the user of the key management server system, consisting of the key management server system CA7 own public key certificate. ユーザは本鍵管理サーバシステムに登録され、このリムーバブルメディア5に格納された情報を持つだけで、鍵管理サーバ1から認証を受けることが出来、自分がアクセス権限を持っているアプリケーションサーバ6と接続時の認証におけるアプリケーション用の公開鍵証明書と秘密鍵の使い分けを意識することなく通信できる。 The user is registered in the key management server system, this only have information stored in the removable medium 5, it is possible to authenticate from the key management server 1, connected to the application server 6 that they have access It can communicate without being aware of the proper use of public key certificate and a private key for the application in the authentication of the time.

【0031】図6はクライアント端末4のアプリケーションサーバ6への接続要求を行うときの処理手順を示すフローチャートである。 [0031] FIG 6 is a flowchart showing a processing procedure for performing a connection request to the application server 6 of the client terminal 4. 図6において、まずユーザから鍵管理サーバ1へアプリケーションサーバ6への接続要求が出され(ステップ601)、クライアント端末4はリムーバブルメディア5からユーザの鍵管理サーバシステム用の公開鍵証明書と秘密鍵と、鍵管理サーバシステムCA7自身の公開鍵証明書を取り出し(ステップ60 6, first the user to the key management server 1 connection request to the application server 6 is issued (step 601), the public key certificate and a private key of the client terminal 4 for key management server system of the user from the removable medium 5 and, take out the key management server system CA7 own public key certificate (step 60
2)、鍵管理サーバ1への送信データ1を作成(ステップ603)し、この送信データ1へユーザの鍵管理サーバシステム用秘密鍵で署名をする(ステップ604)。 2), creates the transmission data 1 to the key management server 1 (step 603), the signature to the transmission data 1 with the secret key for user of the key management server system (step 604).
この送信データ1は図8に示される内容になる。 The transmission data 1 becomes the content shown in FIG.

【0032】次に鍵管理サーバ1へ作成した送信データ1を送信し(ステップ605)、そして鍵管理サーバ1 [0032] and then transmits the transmission data 1 that was created to the key management server 1 (step 605), and the key management server 1
から送信されてきた送信データ2を受信する(ステップ606)。 Receiving transmission data 2 sent from (step 606). クライアント端末は鍵管理サーバ1から送信されてきた送信データ2をユーザの鍵管理サーバシステム用秘密鍵で復号する(ステップ607)。 The client terminal decodes the transmission data 2 transmitted from the key management server 1 with the secret key for user of the key management server system (step 607). 次に受信した送信データ2に含まれる鍵管理サーバ1の鍵管理サーバシステム用公開鍵証明書の署名の確認を鍵管理サーバシステムCA7自身の公開鍵を用いて行い(ステップ6 Then confirmation of the key management server of the system public key certificate signing key management server 1 contained in the transmitted data 2 received performed using the key management server system CA7 own public key (step 6
08)、鍵管理サーバ1から送信されてきた送信データ2の図9の項番1〜4に対する署名(図9の項番5)の確認を鍵管理サーバ1の公開鍵を用いて行い(ステップ609)、アプリケーションサーバ6との接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵を取得する(ステップ610)。 08), performed using the public key verification of the key management server 1 of the signatures for No. 1 to 4 of FIG. 9 of the transmission data 2 sent (No. 5 in FIG. 9) from the key management server 1 (step 609), to get the public key certificate and a private key for applications requiring the connection during authentication of the application server 6 (step 610). クライアント端末4はこうして受信したアプリケーション用の公開鍵証明書と秘密鍵を用いてアプリケーションサーバ6ごとのプロトコルに従った認証を受ける(ステップ611)。 The client terminal 4 receives the authentication in accordance with the application server every six protocols using thus public key certificate and a private key for the received application (step 611).

【0033】図7は鍵管理サーバ1のクライアント端末4からアプリケーションサーバ6への接続要求が発生したときの処理手順を示すフローチャートである。 FIG. 7 is a flowchart showing a processing procedure when the connection request from the client terminal 4 of the key management server 1 to the application server 6 has occurred. 図7において、まずクライアント端末4から送信されるアプリケーションサーバ6への接続要求の送信データ1を受信し(ステップ701)、鍵管理サーバ1がキャッシュしているまたは必要ならば鍵管理サーバシステムCA7より取得した鍵管理サーバシステムCA7自身の公開鍵証明書で送信データ1の中のユーザの鍵管理サーバシステム用公開鍵証明書(図8の項番2)の署名を確認する(ステップ702)。 7, first receives the transmission data 1 connection request to the application server 6 that is transmitted from the client terminal 4 (step 701), the key management server 1 from the key management server system CA7 if necessary or that has cached acquired key management server system CA7 own public key certificate transmission data 1 users in the key management server system public key certificate to verify the signature (item 2 in Fig. 8) (step 702).

【0034】次にクライアント端末4から受信した送信データ1の署名(図8の項番3)をユーザの鍵管理サーバシステム用公開鍵(図8の項番2)を用いて確認し(ステップ703)、ユーザがアプリケーションサーバ6との接続時の認証で必要なアプリケーション用の公開鍵証明書と秘密鍵を鍵管理テーブル2から検索する(ステップ704)。 [0034] Then the signature of the transmission data 1 received from the client terminal 4 using the public key for the user of the key management server system (No. 3 in FIG. 8) (item 2 in Figure 8) to confirm (step 703 ), the user retrieves the public key certificate and private key for the required application in connection during authentication with the application server 6 from the key management table 2 (step 704). アクセス可能ユーザリストファイルにそのユーザ名があるかどうかで判定するアプリケーションサーバ6へのアクセス権限と、鍵の有無と、もし鍵が存在すればそのアプリケーション用公開鍵証明書の有効期限の検査をし(ステップ705)、鍵のペアが無いまたは有効期限が切れているなら、アプリケーション管理テーブル3を用い、アプリケーションCA8が鍵生成を行わないなら鍵生成を行い(ステップ706)、アプリケーションCA8からアプリケーション用公開鍵証明書を取得する(ステップ707)。 And and access rights to the determined application server 6 to access a user list file on whether there is the user name, and the presence or absence of the key, if the application for public key certificate if it exists key is the inspection of the expiration date (step 705), if the key pair has expired there is no or expiration date, using an application management table 3, performs a key generation if the application CA8 does not perform key generation (step 706), published for the application from the application CA8 to get the key certificate (step 707).

【0035】もしユーザがそのアプリケーションサーバ6に対してアクセス権限を持たないなら、クライアント端末4にエラーシグナルを送信し(ステップ711)、 [0035] If the user does not have access rights to the application server 6 transmits an error signal to the client terminal 4 (step 711),
クライアント端末4はこのシグナルを受けてエラーで終了する。 The client terminal 4 ends with an error by receiving this signal. 次にクライアント端末4への送信データ2を作成し(ステップ708)、送信データ2に鍵管理サーバ1の鍵管理サーバシステム用秘密鍵で署名する(ステップ709)。 Then create a transmission data 2 to the client terminal 4 (step 708), is signed by the private key for the key management server 1 of the key management server system to the transmission data 2 (step 709). この送信データ2は図9に示される内容になる。 The transmission data 2 becomes the content shown in FIG. そしてクライアント端末4より受信した送信データ1の中のユーザの鍵管理サーバシステム用公開鍵(図8の項番2)でこの送信データ2を暗号化してクライアント端末4へ送信する(ステップ710)。 And the transmission data 2 in the user key management public key server system in the transmission data 1 received from the client terminal 4 (No. 2 in FIG. 8) and transmits the encrypted to the client terminal 4 (step 710).

【0036】この鍵管理サーバシステムを運用するにあたって、まず鍵管理サーバシステムCA7を既存のCA [0036] In operating the key management server system, first, the key management server system CA7 the existing CA
から選定またはこのシステム用に開設する。 Up selection or for the system from. そして各アプリケーションサーバ6に関して接続時の認証で用いる鍵の生成アルゴリズムと、認証で用いるアプリケーション用公開鍵証明書の発行を行うアプリケーションCA8 The application performs the algorithm for generating the key used in connection during authentication for each application server 6, a public key certificate for the application to be used in authentication CA8
と、アクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルの情報を格納するアプリケーション管理テーブル3を作成する。 When, you create an application management table 3 to store the information of accessible user list file that contains an accessible user name.

【0037】そして、ユーザは鍵管理サーバ1への登録を本鍵管理サーバシステムの管理者に依頼する。 [0037] Then, the user requests the registration to the key management server 1 to the administrator of the key management server system. この登録によって鍵管理サーバ1にユーザの鍵管理テーブル2 A user of the key management table 2 in the key management server 1 by this registration
が作成される。 There will be created. そしてユーザがどのアプリケーションを利用出来るか決定し、アプリケーション管理テーブルから参照されるアクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルを変更する。 Then, the user can determine whether available to any application, to change the access user list file that contains the user who can access names that are referenced by the application management table.

【0038】そして本鍵管理サーバシステムの管理者は、ユーザがこの鍵管理サーバシステムで用いる鍵管理サーバシスムテム用の公開鍵と秘密鍵を生成し、鍵管理サーバシステムCA7から鍵管理サーバシステム用公開鍵証明書を発行してもらい、これらの鍵管理サーバシステム用の公開鍵証明書と秘密鍵と、鍵管理サーバシステムCA7の公開鍵証明書をリムーバブルメディア5に格納し、ユーザに配布する。 [0038] The administrator of the key management server system, the user generates a public key and a private key of the key management Sabashisumutemu used in this key management server system, the key management server system from the key management server system CA7 I asked to issue a public key certificate, stores and public key certificate and a private key for these key management server system, the public key certificate of the key management server system CA7 to removable media 5, and distributed to users. ユーザは鍵管理サーバ1を介してアプリケーションサーバ6と接続するときだけ、リムーバブルメディア5をメディアのリーダにセットしアプリケーションサーバとの接続時の認証に必要となるアプリケーション用の公開鍵証明書と秘密鍵を受信する。 The user only when connected to the application server 6 via the key management server 1, the public key certificate and a private key for the application that is required for authentication when connecting to the set the removable media 5 to the media of the reader application server to receive.

【0039】ここで、鍵管理サーバ1が管理するユーザのアプリケーション用の公開鍵証明書と秘密鍵は、鍵管理サーバ1の鍵管理サーバシステム用公開鍵で暗号化してあるが、第三者による不正なアクセスがなされることのない環境に置かれることが望ましい。 [0039] In this case, the public key certificate and a private key for the user of the application to the key management server 1-managed, but are encrypted with the key public key management server system of the key management server 1, by a third party it is desirable to be placed in an environment that does not unauthorized access is made.

【0040】 [0040]

【発明の効果】以上、説明したように本発明によれば、 Effect of the Invention] According to the present invention, as described,
ユーザは一組みの鍵管理サーバシステム用の公開鍵証明書と秘密鍵を安全なリムーバブルメディアで管理するだけでよくなる。 The user will need only to manage the public key certificate and a private key of the key management server system of Ichikumi a secure removable media. そして複数のアプリケーションサーバごとの接続時の認証で必要となるアプリケーション用の公開鍵証明書と秘密鍵の使い分けを意識する必要がなくなり、煩雑な鍵管理から解放される。 And there is no need to be aware of the proper use of public key certificate and a private key for the application required by the connection at the time of authentication of each of the plurality of application servers, is released from complicated key management. また、鍵管理サーバが鍵生成とアプリケーション用公開鍵証明書の取得を自動的に行ってくれるのでユーザの負担が軽減される。 In addition, the user's burden is reduced because the key management server is me doing the acquisition of key generation and application for the public key certificate automatically. さらに各アプリケーションの情報は、鍵管理サーバが管理するアプリケーション管理テーブルで一括して管理されるので、変更があっても容易に対応することができる。 Further information for each application, since the key management server is managed collectively in the application management table for managing, it is possible to cope easily and any modifications.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明である鍵管理サーバシステムの実施の一形態の概略構成を示すブロック図。 Block diagram showing the schematic configuration of one embodiment of Figure 1 the key management server system is present invention.

【図2】本鍵管理サーバシステムにおけるクライアント端末と、鍵管理サーバと、アプリケーションサーバとアプリケーションCA間のデータのやりとりの概略を示すブロック図。 [Figure 2] and the client terminal in the present key management server system, a key management server, block diagram showing an outline of exchange of data between the application server and the application CA.

【図3】鍵管理サーバが管理するユーザごとのアプリケーションとアプリケーション用の公開鍵証明書と秘密鍵の対応を表す鍵管理テーブル。 [Figure 3] of each user key management server to manage applications and key management table showing the correspondence of the public key certificate and a private key for the application.

【図4】アプリケーションCAと鍵生成が必要な場合の鍵生成アルゴリズムとアクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルを表すアプリケーション管理テーブルを示す図。 FIG. 4 shows an application management table that represents the application CA and can access user list file key generation has stored the key generation algorithm and accessible user name if necessary.

【図5】各ユーザが所持管理するリムーバブルメディアに格納される内容を表す図。 5 is a diagram representing the content of each user is stored in the removable media owned management.

【図6】クライアント端末のアプリケーションサーバへの接続要求を行うときの処理手順の概要を示すフロ−チャ−ト。 6 flow showing an outline of a processing procedure for performing a connection request to the application server of the client terminal - Cha - DOO.

【図7】鍵管理サーバのクライアント端末からアプリケーションサーバへの接続要求が発生したときの処理手順の概要を示すフロ−チャ−ト。 7 flow showing an outline of a processing procedure when a connection request from a client terminal of the key management server to the application server occurs - Cha - DOO.

【図8】クライアント端末と鍵管理サーバ間のデータのやりとりで、クライアント端末から鍵管理サーバへ送信される送信データ1の形式を示す図。 [8] In the data exchange between the client terminals and the key management server, it illustrates the format of transmission data 1 transmitted from the client terminal to the key management server.

【図9】クライアント端末と鍵管理サーバ間のデータのやりとりで、鍵管理サーバからクライアント端末へ送信される送信データ2の形式を示す図。 [9] In exchange of data between the client terminals and the key management server, it illustrates the format of transmission data 2 transmitted from the key management server to the client terminal.

【符号の説明】 DESCRIPTION OF SYMBOLS

1…鍵管理サーバ、2…鍵管理テーブル、3…アプリケーション管理テーブル、4…クライアント端末、 1 ... the key management server, 2 ... key management table, 3 ... application management table, 4 ... client terminal,
5…リムーバブルメディア、6…アプリケーションサーバ、 7…鍵管理サーバシステムC 5 ... removable media, 6 ... application server, 7 ... the key management server system C
A、8…各アプリケーションサーバが接続時の認証で用いるアプリケーション用公開鍵証明書の発行を行うアプリケーションCA。 A, 8 ... application CA. carrying out the application for the public key certificate to be used in the certification at the time of each application server connection

───────────────────────────────────────────────────── フロントページの続き (72)発明者 梨本 邦夫 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウェアエンジニアリング株式会 社内 (72)発明者 板井 健雄 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウェアエンジニアリング株式会 社内 (72)発明者 熊谷 仁志 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウェアエンジニアリング株式会 社内 Fターム(参考) 5K013 BA02 EA06 GA08 ────────────────────────────────────────────────── ─── of the front page continued (72) inventor Kunio Nashimoto Yokohama-shi, Kanagawa, Naka-ku, Onoe-cho, Hitachi address 6-chome 81 software engineering shares meeting-house (72) inventor Takeo Itai Yokohama-shi, Kanagawa, Naka-ku, Onoe-cho 6-chome 81 address Hitachi software engineering shares meeting-house (72) inventor, Kanagawa Prefecture, Naka-ku, Yokohama Onoe-cho, address 6-chome, 81 Hitoshi Kumagai Hitachi software engineering shares meeting-house F-term (reference) 5K013 BA02 EA06 GA08

Claims (5)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】ユーザごとに作成した、各アプリケーションとその接続時の認証で用いられる公開鍵証明書と秘密鍵(これらをアプリケーション用の公開鍵証明書と秘密鍵と呼ぶ)のペアを管理する鍵管理テーブルと、各アプリケーションに関して接続時の認証で用いる鍵の生成アルゴリズムと認証で用いるアプリケーション用公開鍵証明書の発行を行うCA(これをアプリケーションCAと呼ぶ)と、アクセス可能なユーザ名を格納したアクセス可能ユーザリストファイルの情報を格納するアプリケーション管理テーブルを備えることを特徴とする鍵管理サーバシステム。 1. A created for each user and manages the pair of public key certificate and private key used in the authentication of the connection at each application (referred to as a public key certificate and a private key for these applications) storing a key management table, and CA performing public application key certificate used for authentication and generation algorithm key used for authentication when connecting for each application (this is referred to as application CA), accessible username the key management server system, characterized in that it comprises the application management table for storing the information of accessible user list file.
  2. 【請求項2】鍵管理サーバとユーザがどちらも、本鍵管理サーバシステムが信頼しているある一つのCA(これを鍵管理サーバシステムCAと呼ぶ)から発行された公開鍵証明書(これを鍵管理サーバシステム用公開鍵証明書と呼ぶ)を用いて、お互いの通信の暗号化、認証を行う通信プロトコルを有することを特徴とする鍵管理サーバシステム。 Both wherein the key management server and the user, the key management server system is is one that trusts CA (referred to as a key management server system CA) issued the public key certificate from (this the key management server is referred to as a system public key certificate) using the key management server system characterized by having a communication protocol for encrypted communication with each other, the authentication.
  3. 【請求項3】あるユーザが使用するクライアント端末から、あるアプリケーションサーバへの接続要求があったときに、もしそのアプリケーションサーバへの接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵がまだそのユーザ用の鍵管理テーブルに登録されていない場合、そのユーザがアプリケーションサーバへのアクセス権限を持つのならば、鍵管理サーバが、アプリケーション管理テーブルから鍵生成アルゴリズムを得て、 From wherein the client terminal that the user uses, when there is a connection request to an application server, if the public key certificate and the private key for application required for authentication when connecting to the application server If is not yet registered in the key management table for the user, if the the user has access rights to the application server, the key management server, to obtain the key generation algorithm from the application management table,
    自動的に公開鍵と秘密鍵のペアを生成し、アプリケーション管理テーブルからアプリケーションCAを得て、そのCAに公開鍵証明書の発行を要求し、ユーザの鍵管理テーブルに新たに、アプリケーションと生成した鍵のペアを登録することを特徴とする鍵管理サーバシステム。 Automatically generate a public key and a private key of the pair, with the application CA from the application management table, and request a public key certificate to the CA, a new user of the key management table, and the generated application the key management server system, characterized in that to register a key pair.
  4. 【請求項4】あるユーザが使用するクライアント端末から、あるアプリケーションサーバへの接続要求があったとき、まずユーザは鍵管理サーバに接続し、鍵管理サーバが、そのユーザを鍵管理サーバシステム用公開鍵証明書とその対となる秘密鍵(これを鍵管理サーバシステム用秘密鍵と呼ぶ)を用いて認証し、認証が成功すれば、 From wherein the client terminal with user uses, when a connection request to an application server, a user first connects to the key management server, the key management server, the public key management server system that user to authenticate using a made key certificate and the pair secret key (this is referred to as a secret key for the key management server system), if the authentication is successful,
    クライアント端末へアプリケーションサーバへの接続時の認証に必要なアプリケーション用の公開鍵証明書と秘密鍵をユーザの鍵管理テーブルから取り出し、公開鍵証明書の有効期限を確認し、もし有効期限が切れていたら請求項3のように公開鍵証明書をアプリケーションCA The public key certificate and a private key for the required application for authentication when connecting to the client terminal to the application server is removed from the user of the key management table, check the public key certificate expiration date, it has expired if the expiration date is When the application of the public key certificate as claimed in claim 3 CA
    から取得し、アプリケーション用の公開鍵証明書と秘密鍵を、ユーザの鍵管理サーバシステム用公開鍵で暗号化して送ることを特徴とする鍵管理サーバシステム。 The key management server system retrieves the public key certificate and a private key for the application, and wherein the sending encrypted with the key management server public key system of the user from.
  5. 【請求項5】各ユーザは本鍵管理サーバシステムの管理者から配布された自分の鍵管理サーバシステム用の公開鍵証明書と秘密鍵と、鍵管理サーバシステムCA自身の公開鍵証明書を格納したリムーバブルメディアを所持管理し、このメディアを用いることによって鍵管理サーバから認証を受けることを特徴とする鍵管理サーバシステム。 Wherein each user is stored in a public key certificate and a private key for your key management server system that has been distributed from the administrator of the key management server system, the key management server system CA itself a public key certificate the key management server system possesses managing removable media, and wherein the authentication from the key management server by using the media that.
JP10210672A 1998-07-27 1998-07-27 Key managing server system Pending JP2000049766A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10210672A JP2000049766A (en) 1998-07-27 1998-07-27 Key managing server system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10210672A JP2000049766A (en) 1998-07-27 1998-07-27 Key managing server system

Publications (1)

Publication Number Publication Date
JP2000049766A true JP2000049766A (en) 2000-02-18

Family

ID=16593208

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10210672A Pending JP2000049766A (en) 1998-07-27 1998-07-27 Key managing server system

Country Status (1)

Country Link
JP (1) JP2000049766A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320364A (en) * 2000-05-02 2001-11-16 Ntt Communications Kk User-recognizing system, user-recognizing method and its recording medium
JP2004522330A (en) * 2000-05-24 2004-07-22 ドイッチェ テレコム アーゲー Encryption of data to be stored in the information processing system
JP2005304093A (en) * 2005-07-11 2005-10-27 Hitachi Ltd Key distribution method and system for encryption communication
JP2006024205A (en) * 2004-06-23 2006-01-26 Microsoft Corp System and method of providing application with security
JP2007115279A (en) * 2007-01-19 2007-05-10 Fuji Xerox Co Ltd Electronic mail system
JP2007184993A (en) * 2007-04-06 2007-07-19 Hitachi Ltd Key distribution method and system for encryption communication
JP2007221806A (en) * 2001-06-12 2007-08-30 Research In Motion Ltd Certificate management and transfer system and method
US7392385B2 (en) 2002-07-30 2008-06-24 Fuji Xerox Co., Ltd. Client server system and devices thereof
US7412524B1 (en) 2000-07-27 2008-08-12 International Business Machines Corporation Method and system for authentication when certification authority public and private keys expire
US7443986B2 (en) 2004-04-08 2008-10-28 Hitachi, Ltd. Key allocating method and key allocation system for encrypted communication
JP2009171448A (en) * 2008-01-18 2009-07-30 Ntt Docomo Inc Electronic mail communication device and electronic signature system
JP2012175348A (en) * 2011-02-21 2012-09-10 Denso Corp Communication system, communication device, and program
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320364A (en) * 2000-05-02 2001-11-16 Ntt Communications Kk User-recognizing system, user-recognizing method and its recording medium
JP2004522330A (en) * 2000-05-24 2004-07-22 ドイッチェ テレコム アーゲー Encryption of data to be stored in the information processing system
US7412524B1 (en) 2000-07-27 2008-08-12 International Business Machines Corporation Method and system for authentication when certification authority public and private keys expire
US7930415B2 (en) 2000-07-27 2011-04-19 International Business Machines Corporation Method and system for authentication when certification authority public and private keys expire
US8539226B2 (en) 2001-06-12 2013-09-17 Blackberry Limited Certificate management and transfer system and method
JP2007221806A (en) * 2001-06-12 2007-08-30 Research In Motion Ltd Certificate management and transfer system and method
US7392385B2 (en) 2002-07-30 2008-06-24 Fuji Xerox Co., Ltd. Client server system and devices thereof
US8238555B2 (en) 2004-04-08 2012-08-07 Hitachi, Ltd. Management server, communication apparatus and program implementing key allocation system for encrypted communication
US7443986B2 (en) 2004-04-08 2008-10-28 Hitachi, Ltd. Key allocating method and key allocation system for encrypted communication
JP2006024205A (en) * 2004-06-23 2006-01-26 Microsoft Corp System and method of providing application with security
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US9398023B2 (en) 2004-08-10 2016-07-19 Blackberry Limited Server verification of secure electronic messages
JP2005304093A (en) * 2005-07-11 2005-10-27 Hitachi Ltd Key distribution method and system for encryption communication
JP4552785B2 (en) * 2005-07-11 2010-09-29 株式会社日立製作所 Encrypted communication management server
JP2007115279A (en) * 2007-01-19 2007-05-10 Fuji Xerox Co Ltd Electronic mail system
JP2007184993A (en) * 2007-04-06 2007-07-19 Hitachi Ltd Key distribution method and system for encryption communication
JP4631869B2 (en) * 2007-04-06 2011-02-23 株式会社日立製作所 Key distribution method and system for encrypted communication
JP2009171448A (en) * 2008-01-18 2009-07-30 Ntt Docomo Inc Electronic mail communication device and electronic signature system
JP2012175348A (en) * 2011-02-21 2012-09-10 Denso Corp Communication system, communication device, and program

Similar Documents

Publication Publication Date Title
Bellare et al. Design, implementation, and deployment of the iKP secure electronic payment system
US5999711A (en) Method and system for providing certificates holding authentication and authorization information for users/machines
US7310732B2 (en) Content distribution system authenticating a user based on an identification certificate identified in a secure container
CA2371137C (en) Secure distribution and protection of encryption key information
US6834112B1 (en) Secure distribution of private keys to multiple clients
US6424718B1 (en) Data communications system using public key cryptography in a web environment
EP0960500B1 (en) Method for providing secure remote command execution
Tardo et al. SPX: Global authentication using public key certificates
US7444666B2 (en) Multi-domain authorization and authentication
US7062781B2 (en) Method for providing simultaneous parallel secure command execution on multiple remote hosts
US7366900B2 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
CN101589361B (en) Controlling distribution and use of digital identity representations
US5968177A (en) Method and apparatus for processing administration of a secured community
EP1997271B1 (en) Intersystem single sign-on
CA2241052C (en) Application level security system and method
US6249873B1 (en) Method of and apparatus for providing secure distributed directory services and public key infrastructure
US7392390B2 (en) Method and system for binding kerberos-style authenticators to single clients
US6539093B1 (en) Key ring organizer for an electronic business using public key infrastructure
JP3622433B2 (en) Access credential authentication apparatus and method
US8214637B2 (en) Public key certificate issuing system, public key certificate issuing method, digital certification apparatus, and program storage medium
US8559639B2 (en) Method and apparatus for secure cryptographic key generation, certification and use
CA2574883C (en) Single sign-on with common access card
JP5265744B2 (en) Secure messaging system using derived key
US6374357B1 (en) System and method for regulating a network service provider's ability to host distributed applications in a distributed processing environment
US6105012A (en) Security system and method for financial institution server and client web browser