JP2001282667A - Authentication server-client system - Google Patents
Authentication server-client systemInfo
- Publication number
- JP2001282667A JP2001282667A JP2000090174A JP2000090174A JP2001282667A JP 2001282667 A JP2001282667 A JP 2001282667A JP 2000090174 A JP2000090174 A JP 2000090174A JP 2000090174 A JP2000090174 A JP 2000090174A JP 2001282667 A JP2001282667 A JP 2001282667A
- Authority
- JP
- Japan
- Prior art keywords
- client
- service
- authentication server
- information
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワークを通
し、認証サーバと該認証サーバによって認証される複数
のクライアントで構成される認証サーバ・クライアント
システムに係り、詳しくは、任意のクライアント間での
認証、アクセス制御技術に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication server / client system comprising an authentication server and a plurality of clients authenticated by the authentication server through a network, and more particularly to authentication between arbitrary clients. And access control technology.
【0002】[0002]
【従来の技術】サーバ・クライアントシステムにおい
て、クライアントの認証は、一般にログイン名とパスワ
ードなどをユーザが入力し、これとサーバにあらかじめ
登録されているログイン名とパスワードなどと比較する
方法がとられている。しかし、この方法では、ユーザが
パスワードなどを覚えておく必要があり、また、入力す
る煩わしさがあり、更には、パスワードを他人に知られ
ると、不正にアクセスされる可能性もある。2. Description of the Related Art In a server / client system, a client is generally authenticated by a method in which a user inputs a login name and a password, and compares this with a login name and a password registered in advance in a server. I have. However, in this method, it is necessary for the user to remember the password and the like, and it is troublesome to input the password. Further, if the password is known to another person, there is a possibility that the password may be illegally accessed.
【0003】従来、これの対策としては、例えば、特開
平9−274477号公報に記載の方法が知られてい
る。この方法では、クライアントが、あらかじめ配布さ
れたサーバアドレスおよび記憶媒体の識別情報等が記憶
された記憶媒体をセットして、この記憶媒体の記憶内容
を読み取り、読み取ったサーバアドレスを用いてサーバ
に対して接続し、読み取った記憶媒体の識別情報を送信
してサーバアクセスの許可を求める。サーバは、クライ
アント側からのサーバアクセスの許可要求があると、こ
の時に送られてくる記憶媒体の識別情報と、予め記憶さ
れているサーバアクセスを許可すべき記憶媒体の内容と
を比較し、この比較結果に応じてサーバアクセス許可・
不許可の認証を当該クライアントに与える。Conventionally, as a countermeasure against this, for example, a method described in Japanese Patent Application Laid-Open No. 9-274377 is known. In this method, the client sets a storage medium in which a server address distributed in advance and identification information of the storage medium and the like are stored, reads the storage contents of the storage medium, and sends a message to the server using the read server address. , And sends the read identification information of the storage medium to request permission for server access. Upon receiving a server access permission request from the client side, the server compares the identification information of the storage medium sent at this time with the contents of the storage medium to which server access is to be permitted and stored in advance. Server access permission according to the comparison result
Give unauthorized authentication to the client.
【0004】[0004]
【発明が解決しようとする課題】前述の方法では、クラ
イアントが接続すべきサーバアドレスは記憶媒体に記憶
されており、記憶媒体ごとに固有である。従って、クラ
イアントが接続すべきサーバのアドレスが動的に変わる
場合、また、新たにサーバが追加された場合等、もしネ
ットワークの構成が変わった時は、新たなサーバアドレ
スが記憶された記憶媒体を配布し直す等の作業が必要と
なる問題がある。さらに、既存の装置では、システム内
の任意のクライアントは任意のサーバへの動的なサービ
ス要求、または任意のサーバは任意のクライアントにサ
ービス提供を行うことが困難であり、システム内でのネ
ットワーク構成の変更や拡大を容易に行うことができな
いという問題がある。In the method described above, the server address to which the client is to be connected is stored in a storage medium, and is unique for each storage medium. Therefore, if the network configuration changes, such as when the address of the server to which the client is to connect dynamically changes or when a new server is added, the storage medium storing the new server address is changed. There is a problem that requires work such as redistribution. Further, with existing devices, it is difficult for any client in the system to dynamically request a service to any server, or for any server to provide service to any client, and the network configuration in the system is difficult. However, there is a problem that it is not possible to easily change or enlarge the size.
【0005】本発明の目的は、認証サーバから認証され
る任意のクライアント間での認証、サービス要求、サー
ビス提供等を可能とし、柔軟性、信頼性、拡張性を犠牲
にすることなくセキュリティネットワークを構築できる
認証サーバ・クライアントシステムを提供することにあ
る。An object of the present invention is to enable authentication, service request, service provision, and the like between arbitrary clients authenticated by an authentication server, and to establish a security network without sacrificing flexibility, reliability, and expandability. It is to provide an authentication server / client system that can be constructed.
【0006】[0006]
【課題を解決するための手段】上記目的を達成する為
に、本発明の一実施形態では、認証サーバと該認証サー
バによって認証をうける複数のクライアントからなる認
証サーバ・クライアントシステムにおいて、認証サーバ
はクライアント管理テーブルとアクセス制御テーブルに
基づいて、全てのクライアントの管理、認証を行い、更
に各クライアントは認証サーバから送信される情報と各
クライアントが保持する証明書情報によって、任意のク
ライアント間での認証・暗号化通信による、サービス提
供、サービス要求を行うことを特徴とする。In order to achieve the above object, according to an embodiment of the present invention, in an authentication server / client system comprising an authentication server and a plurality of clients authenticated by the authentication server, the authentication server is It manages and authenticates all clients based on the client management table and the access control table. Each client authenticates between any clients by using information sent from the authentication server and certificate information held by each client. -It is characterized in that service provision and service request are performed by encrypted communication.
【0007】各クライアントは、システム立上げ時な
ど、まず、事前に認証サーバより配布されたクライアン
トID、証明書情報及び各クライアントのアドレス情
報、提供サービス情報等を認証サーバに送信する。認証
サーバは予め保持している識別情報と先に受信したクラ
イアントID、証明書情報を比較することで、クライア
ントにアクセス許可・不許可の認証を与える。アクセス
許可した場合は各クライアントから通知されたアドレス
情報、提供サービス情報等をクライアント管理テーブル
に格納する。また、各クライアントはアドレス情報の変
更等、状態に変化が生じた場合も認証サーバにその変更
情報を通知する。これにより、認証サーバは常に認証シ
ステム内の全てのクライアントの最新の情報をクライア
ント管理テーブルに保持することが可能である。[0007] Each client first transmits a client ID, certificate information, address information of each client, provided service information, and the like, which are distributed in advance from the authentication server to the authentication server when the system is started. The authentication server compares the identification information stored in advance with the previously received client ID and certificate information, and authenticates the client as to whether or not access is permitted. When the access is permitted, the address information and the service information notified from each client are stored in the client management table. In addition, each client notifies the authentication server of the change information even when a change occurs in the state such as a change in the address information. Thereby, the authentication server can always hold the latest information of all the clients in the authentication system in the client management table.
【0008】認証サーバがシステム内の全てのクライア
ントのアドレス情報、提供サービス情報を管理すること
で、各クライアントは要求サービス名を知っていれば、
サービス提供先のアドレス情報を知らなくても、認証サ
ーバからサービス提供先クライアントのアドレス情報を
通知してもらうことで、必要とするサービスを受けるこ
とができる。また、認証サーバは認証システム内の全て
のクライアント間のサービスに対するアクセス制御情報
をアクセス制御テーブルに保持することで、サービス提
供を行うクライアントに対する認証システム内の他の全
てのクライアントのサービスレベルでのアクセス制御を
行う。When the authentication server manages the address information and the provided service information of all the clients in the system, if each client knows the requested service name,
Even if the address information of the service providing destination is not known, the required service can be received by receiving the address information of the service providing destination client from the authentication server. In addition, the authentication server holds access control information for services between all clients in the authentication system in an access control table, so that all other clients in the authentication system can access the service providing client at the service level. Perform control.
【0009】更に、各クライアントはそれぞれ証明書情
報を持ち、任意のクライアント間でのサービス要求、サ
ービス提供時の通信の暗号化を行う。これによって認証
システム内のネットワーク全体のセキュリティを高める
ことが可能となる。Further, each client has certificate information, and performs a service request between arbitrary clients and encrypts communication at the time of providing a service. This makes it possible to increase the security of the entire network in the authentication system.
【0010】[0010]
【発明の実施の形態】以下、本発明の一実施形態を図面
を参照して具体的に説明する。図1は、本発明の一実施
形態の認証サーバ・クライアントシステムの全体構成を
示すブロック図である。本認証サーバ・クライアントシ
ステムは、認証サーバ100、該認証サーバ100によ
って認証される複数のクライアント1101〜110n、
および、認証サーバ100と各クライアント1101〜
110nの間を結ぶ通信ネットワーク120からなる。
認証サーバ100はクライアント管理テーブル101
(クライアント管理手段)とアクセス制御テーブル10
2(アクセス制御管理手段)を具備する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be specifically described below with reference to the drawings. FIG. 1 is a block diagram showing the overall configuration of an authentication server / client system according to an embodiment of the present invention. The present authentication server / client system includes an authentication server 100, a plurality of clients 110 1 to 110 n authenticated by the authentication server 100,
And, the authentication server 100 and each client 110 1-
The communication network 120 connects between 110 n .
The authentication server 100 has a client management table 101
(Client management means) and access control table 10
2 (access control management means).
【0011】認証サーバ100は、本システム内の全て
のクライアント1101〜110nの管理、認証、また各
クライアント間のアクセス制御等の管理を行う。クライ
アント管理テーブル101は、本システム内の全てのク
ライアント1101〜110nのクライアントIDを格納
し、該格納されている全てのクライアントIDに対する
アドレス情報、サービス情報等を管理する。アクセス制
御テーブル102は、本システム内の全てのクライアン
ト間のサービスレベルでのアクセス制御情報を格納す
る。クライアント1101〜110nは、認証サーバ10
0からの認証のもとに、任意のクライアントに対してサ
ービス要求あるいはサービス提供を行う。各クライアン
ト間は暗号化通信を行うことが可能である。以下の説明
では、クライアント110nをサービス提供クライアン
トと仮定する。勿論、クライアント110nがサービス
要求側、クライアント1101がサービス提供側になる
こともできる。The authentication server 100 manages and authenticates all the clients 110 1 to 110 n in the system, and manages access control between the clients. The client management table 101 stores the client IDs of all the clients 110 1 to 110 n in the present system, and manages address information, service information, and the like for all the stored client IDs. The access control table 102 stores access control information at a service level between all clients in the system. The clients 110 1 to 110 n communicate with the authentication server 10
Under the authentication from 0, a service request or service is provided to an arbitrary client. Encrypted communication can be performed between each client. In the following description, it is assumed that the client 110 n is a service providing client. Of course, the client 110 n can be the service requesting side and the client 110 1 can be the service providing side.
【0012】図2は本認証サーバ・クライアントシステ
ムでの、認証サーバ100と各クライアント1101、
110nの間の処理の一連の流れを示す図である。図2
に基づいて、本システム内の認証サーバ100とクライ
アント1101、110nの概略動作を説明する。FIG. 2 shows the authentication server 100 and each client 110 1 ,
It is a diagram illustrating a flow of a process between 110 n. FIG.
, The outline operation of the authentication server 100 and the clients 110 1 and 110 n in the present system will be described.
【0013】まず、クライアント1101、110nの認
証サーバ100への登録通知処理について説明する。認
証サーバ100は、クライアント1101、110nのク
ライアントIDと認証・暗号化に用いる公開鍵証明書と
秘密鍵情報を含む証明書情報を事前に各クライアント1
101、110nに配布する(201)。クライアント1
101、110nは、システムの立上げ時など、この事前
に配布されているクライアントID及び証明書情報を認
証サーバ100に送信し、認証サーバ100からのアク
セス許可・不許可の認証を受ける。この時、クライアン
ト1101、110nは認証サーバ100に自分のアドレ
ス情報、提供サービス情報、ステータス情報等の登録情
報を送信する(202)。認証サーバ100は、クライ
アント1101、110nをアクセス許可した場合、クラ
イアント1101、110nから送られた登録情報に従っ
て、クライアント管理テーブル101を更新する(20
3)。その後、認証サーバ100は、クライアント11
01、110nに対して認証結果通知を行う(204)。
この認証結果通知がアクセス許可であった場合、認証サ
ーバ100は、認証結果通知と共に、認証サーバ100
が管理する本システム内のクライアントID一覧もクラ
イアント1101、110nに送信する。いま、クライア
ント110nが提供可能なサービスを持っているとする
と、クライアント110nは、認証サーバ100から受
信したクライアントID一覧に従って、クライアント1
10nの持つ提供サービスに対して、各クライアントの
サービス利用許可・不許可の設定を行ってアクセス制御
情報を作成し、この作成したアクセス制御情報を認証サ
ーバ100に送信する(205)。認証サーバ100
は、クライアント110nから受信したアクセス制御情
報に従って、認証サーバ100内のアクセス制御テーブ
ル102を更新する(206)。クライアント1101
と認証サーバ100の間では、クライアント1101が
提供可能なサービスを持たない場合、処理205、20
6は不要である。First, registration notification processing of the clients 110 1 and 110 n to the authentication server 100 will be described. The authentication server 100 stores the client IDs of the clients 110 1 and 110 n and certificate information including a public key certificate and private key information used for authentication and encryption in advance for each client 1.
Distributed to 10 1, 110 n (201) . Client 1
10 1 and 110 n transmit the client ID and the certificate information distributed in advance to the authentication server 100 when the system is started up, and are authenticated by the authentication server 100 for permission / inhibition of access. At this time, the clients 110 1 and 110 n transmit registration information such as their address information, provided service information, and status information to the authentication server 100 (202). When the authentication server 100 permits access to the clients 110 1 and 110 n , the authentication server 100 updates the client management table 101 according to the registration information sent from the clients 110 1 and 110 n (20).
3). After that, the authentication server 100
A notification of the authentication result is sent to the 0 1 and 110 n (204).
If the authentication result notification indicates that the access is permitted, the authentication server 100 sends the authentication result notification together with the authentication result notification.
The client ID list in the system managed by the client is also transmitted to the clients 110 1 and 110 n . Now, assuming that the client 110 n has a service that can be provided, the client 110 n according to the client ID list received from the authentication server 100,
For each service provided by 10 n , service use permission / non-permission of each client is set to create access control information, and the created access control information is transmitted to the authentication server 100 (205). Authentication server 100
Updates the access control table 102 in the authentication server 100 according to the access control information received from the client 110 n (206). Client 110 1
If the client 110 1 does not have a service that can be provided between the authentication server 100 and the authentication server 100, the processing 205, 20
6 is unnecessary.
【0014】次に、クライアント1101とクライアン
ト110n間でのサービス要求及びサービス提供の一連
の処理について説明する。Next, a series of processing for service request and service provision between the client 110 1 and the client 110 n will be described.
【0015】まず、クライアント1101(サービス要
求側)は、認証サーバ100にサービス要求を行う(2
07)。この時、クライアント1101は認証サーバ1
00にクライアント1101のクライアントID、証明
書情報を送る。認証サーバ100は、クライアント11
01からのクライアントID及び証明書情報によって、
クライアント管理テーブル101を検索し、アクセス許
可・不許可の認証を行う。アクセス許可した場合は、ア
クセス制御テーブル102に基づいてアクセス制御処理
を行い、要求されたサービスのアクセス可能なサービス
提供先クライアントのアドレス情報をクライアント11
01に通知する(208)。ここでは、クライアント1
10nのアドレス情報が通知されたとする。First, the client 110 1 (service request side) makes a service request to the authentication server 100 (2).
07). At this time, the client 110 1 communicates with the authentication server 1
00, the client ID and certificate information of the client 110 1 are sent. The authentication server 100 includes the client 11
By client ID and certificate information of from 0 to 1,
The client management table 101 is searched to authenticate access permission / non-permission. If access is permitted, access control processing is performed based on the access control table 102, and the address information of a service providing destination client that can access the requested service is stored in the client 11
Notify 0 1 (208). Here, client 1
It is assumed that 10 n address information has been notified.
【0016】クライアント1101は、認証サーバ10
0から通知されたサービス提供先であるクライアント1
10nに対して、サービス要求を行う(209)。クラ
イアント1101からのサービス要求を受けたクライア
ント110nは、認証サーバ100にクライアント11
01の正当性を問い合わせ(210)、認証サーバ10
0より、クライアント110nの提供サービスに対する
クライアント1101のアクセス許可・不許可の応答を
受ける(211)。認証サーバ100よりアクセス許可
を受けると、クライアント110nはクライアント11
01へサービス提供開始を通知し(212)、クライア
ント1101とクライアント110nはそれぞれの公開鍵
証明書と秘密鍵を用いて暗号化通信を行う(213)。The client 110 1 communicates with the authentication server 10
Client 1 that is the service provider notified from 0
A service request is made to 10 n (209). The client 110 n that has received the service request from the client 110 1 sends the client 11
Inquiry 0 1 of legitimacy (210), the authentication server 10
From 0, it undergoes a client 110 n response of the client 110 first access permitted or not for providing services (211). Upon receiving the access permission from the authentication server 100, the client 110 n
0 1 is notified of the start of service provision (212), and the clients 110 1 and 110 n perform encrypted communication using their respective public key certificates and private keys (213).
【0017】なお、サービス提供側のクライアント11
0nからの問い合わせ(210)に対する認証サーバ1
00の応答処理(211)は、先のクライアント110
1のサービス要求(207)に対する認証サーバ100
でのアクセス制御処理と同一処理である。すなわち、サ
ービス要求時とサービス提供時の2回、アクセス権をチ
ェックするのは、信頼性を高めるためであるが、サービ
ス要求時のみで十分信頼性が得られれば、サービス提供
時のチェック(処理210、211)は省略可能であ
る。また、逆にサービス要求時のアクセス制御処理を省
略し、サービス提供時にアクセス制御処理(処理21
0、211)を行うことも選択可能である。The client 11 on the service providing side
Authentication server 1 for inquiry (210) from 0 n
00 response processing (211) is performed by the previous client 110
Authentication server 100 for one service request (207)
This is the same process as the access control process in. That is, the access right is checked twice when the service is requested and when the service is provided, in order to enhance reliability. However, if sufficient reliability can be obtained only when the service is requested, the check (processing 210, 211) can be omitted. Conversely, the access control processing at the time of service request is omitted, and the access control processing (service 21) is performed at the time of providing the service.
0, 211) can also be selected.
【0018】次に、各クライアント1101〜110
nが、自分の提供するサービスを終了(サービス停止)
した場合の動作を説明する。当該クライアントは、サー
ビス終了時に認証サーバ100に対して、終了(停止)
通知を行う。認証サーバ100は、クライアントより終
了通知を受けた場合、クライアント管理テーブル101
内の当該クライアントに関する対象サービスのステータ
ス情報を終了状態(停止状態)にする。この時、各クラ
イアントは、該サービス終了したクライアントへの当該
サービス要求を行うことができなくなる。Next, each of the clients 110 1 to 110 1
n ends the service provided by the user (service stopped)
The operation in the case of doing this will be described. The client terminates (stops) the authentication server 100 when the service ends.
Make a notification. When receiving the end notification from the client, the authentication server 100
In the status information of the target service regarding the client in the end state (stop state). At this time, each client cannot make the service request to the client whose service has been terminated.
【0019】更に、各クライアント1101〜110nは
自クライアントが持っている提供サービスへの各クライ
アントの利用許可・不許可の設定に変更があった場合
は、認証サーバ100に変更通知を行い、認証サーバ1
00はアクセス制御テーブル102をこの変更通知に従
って更新する。これにより、認証サーバ100は常に、
全てのクライアント1101〜110n間の提供サービス
レベルでの最新のアクセス制御情報を持つことが可能と
なる。Further, each of the clients 110 1 to 110 n notifies the authentication server 100 of the change when there is a change in the setting of the permission or non-permission of each client for the service provided by the client. Authentication server 1
00 updates the access control table 102 according to this change notification. Thereby, the authentication server 100 always
It is possible to have the latest access control information at the provided service level among all the clients 110 1 to 110 n .
【0020】図3は、認証サーバ100が管理するクラ
イアント管理テーブル101の構成例を示す。クライア
ント管理テーブル101は、システム内の各クライアン
トID情報、各クライアントのアドレス情報、提供サー
ビス情報、ステータス情報などから構成される。各クラ
イアントは提供サービスを一つあるいは複数持つことが
可能であり、提供サービスにはそれぞれのクライアント
が提供可能なサービス情報が、ステータス情報には起動
中、停止中等の各提供サービスの最新の状態を示す情報
が格納される。FIG. 3 shows a configuration example of the client management table 101 managed by the authentication server 100. The client management table 101 includes client ID information in the system, address information of each client, provided service information, status information, and the like. Each client can have one or more provided services. The provided services include service information that can be provided by each client, and the status information indicates the latest state of each provided service such as starting or stopping. Is stored.
【0021】クライアント管理テーブル101は、認証
サーバ100が作成及び更新を行う。まず、認証サーバ
での証明書情報発行時(図2の201)に発行したクラ
イアントの全てのクライアントIDがクライアント管理
テーブル101に登録される。この時点では、登録され
たクライアントIDに対応するアドレス情報、提供サー
ビス、ステータス情報はテーブル内に登録されていな
い。その後、各クライアント1101〜110nが、シス
テム立ち上げやプログラム起動時に、認証サーバ100
にアドレス情報、提供サービス、ステータス情報を通知
する(図2の202)。これを起動通知と称す。認証サ
ーバ100は、この起動通知情報に従って、クライアン
ト管理テーブルの作成及び更新を行う。この時、ステー
タス情報が起動中となる。また、各クライアント110
1〜110nは、提供するサービスを終了(停止)した場
合、アドレス情報、対象サービス、サービス終了のステ
ータス情報を認証サーバ100に通知する。これを終了
通知と称す。認証サーバ100は、この終了通知情報に
従って、クライアント管理テーブル101内の対象クラ
イアントID、対象サービスのステータス情報を停止中
にする。更に、各クライアント1101〜110nのアド
レス情報、提供サービス、ステータス情報に変更があっ
た場合、その都度、各クライアント1101〜110
nは、その変更内容を認証サーバ100に通知し、認証
サーバ100はクライアント管理テーブル101を更新
する。ことにより、認証サーバ100は、各クライアン
ト1101〜110nの最新情報をクライアント管理テー
ブル101内に持つことが可能となる。The client management table 101 is created and updated by the authentication server 100. First, all client IDs of the clients issued at the time of issuing the certificate information in the authentication server (201 in FIG. 2) are registered in the client management table 101. At this time, the address information, the provided service, and the status information corresponding to the registered client ID are not registered in the table. After that, each of the clients 110 1 to 110 n starts the authentication server 100 when the system is started or the program is started.
Is notified of address information, provided service, and status information (202 in FIG. 2). This is called a start notification. The authentication server 100 creates and updates a client management table according to the activation notification information. At this time, the status information becomes active. In addition, each client 110
When the provided service is terminated (stopped), 1 to 110 n notify the authentication server 100 of the address information, the target service, and the status information of the service termination. This is called an end notification. The authentication server 100 sets the status of the target client ID and the status of the target service in the client management table 101 to inactive according to the end notification information. Furthermore, each client 1101 n address information, providing services, when there is a change in the status information, each time, the client 1101
n notifies the authentication server 100 of the change, and the authentication server 100 updates the client management table 101. Accordingly, the authentication server 100 can have the latest information of each of the clients 110 1 to 110 n in the client management table 101.
【0022】図4は、システム内の全てのクライアント
間の提供サービスレベルでのアクセス制御情報を格納す
るアクセス制御テーブル102の構成例を示す。このア
クセス制御テーブル102は、クライアント管理テーブ
ル101と同様に認証サーバ100内に保持され、認証
サーバ100が作成・更新を行う。図4に示すように、
アクセス制御テーブル102は、各クライアント間の提
供サービス単位での全てのアクセス制御情報をマトリッ
クステーブルとして持ち、それぞれアクセス許可・不許
可等を示す情報が格納される。FIG. 4 shows an example of the configuration of the access control table 102 for storing access control information at the service level provided between all clients in the system. The access control table 102 is held in the authentication server 100 like the client management table 101, and the authentication server 100 creates and updates. As shown in FIG.
The access control table 102 has, as a matrix table, all access control information for each service provided between the clients, and stores information indicating access permission / non-permission.
【0023】アクセス制御テーブル102は、認証サー
バが各クライアントからの通知情報に従って、作成及び
更新を行う。まず、各クライアント1101〜110nは
認証サーバ100からシステム内の全てのクライアント
IDを取得する(図2の処理204)。各クライアント
1101〜110nはこのクライアントID一覧に基づい
て、各クライアントに対し、自分の提供可能サービスの
利用許可・不許可を決定し、アクセス制御情報を作成す
る。作成後、各クライアント1101〜110nは、この
アクセス制御情報を認証サーバ100に送信する。先の
図2の処理205は、便宜上、クライアント1101に
ついてのアクセス制御情報の登録を示したものである。
認証サーバ100は、各クライアントから受信したアク
セス制御情報をアクセス制御テーブル102に書き込む
ことで、システム内の全てのクライアントの提供サービ
スレベルでのアクセス制御情報をアクセス制御テーブル
102内に持つことが可能となる。The access control table 102 is created and updated by the authentication server according to the notification information from each client. First, each of the clients 110 1 to 110 n acquires all client IDs in the system from the authentication server 100 (process 204 in FIG. 2). Each of the clients 110 1 to 110 n determines, based on the client ID list, whether to permit or prohibit the use of the service that can be provided for each client, and creates access control information. After the creation, each of the clients 110 1 to 110 n transmits the access control information to the authentication server 100. Process 205 of the previous Figure 2, for convenience, shows the registration of the access control information about the client 110 1.
By writing the access control information received from each client into the access control table 102, the authentication server 100 can have the access control information at the service level provided by all the clients in the system in the access control table 102. Become.
【0024】図5は事前に各クライアント1101〜1
10nに配布された証明書情報の内容を示す。各クライ
アント1101〜110nは、この証明書情報に含まれ
る、公開鍵証明書及び秘密鍵を用いて、認証サーバ10
0及び任意のクライアントとの間での認証・暗号化通信
を行う。FIG. 5 shows each of the clients 110 1 to 110 1 in advance.
The content of the certificate information distributed to 10 n is shown. Each of the clients 110 1 to 110 n uses the public key certificate and the private key included in the certificate information to
The authentication / encryption communication is performed between 0 and an arbitrary client.
【0025】図6は、各クライアントが認証サーバ10
0に対して、当該クライアントの登録情報を通知する為
の起動通知、終了通知等を行う時の処理手順を示すフロ
ーチャートである。ここでは、クライアント110nを
例に説明する。FIG. 6 shows that each client is connected to the authentication server 10.
9 is a flowchart showing a processing procedure when a start notification, an end notification, and the like for notifying registration information of the client to 0 are performed. Here, the client 110 n will be described as an example.
【0026】まず、クライアント110nは認証サーバ
への接続を行い(ステップ601)、自分のクライアン
トID、証明書情報、アドレス情報、提供サービス、ス
テータス情報を認証サーバ100に送信する(ステップ
602)。次に、認証サーバ100からの認証結果を判
定し(ステップ603)、アクセス拒否された場合、ク
ライアント110nはエラー処理を行う(ステップ60
4)。アクセス許可された場合、クライアント110n
は、認証サーバ100からシステム内のクライアントI
D一覧を受信し(ステップ605)、この情報に従っ
て、システム内の各クライアントに対して自身の提供す
るサービスに対する利用許可・不許可の設定を行い、ア
クセス制御情報の作成を行い、この作成したアクセス制
御情報を認証サーバ100に送信する(ステップ60
6)。そして、認証サーバ100からの登録結果通知を
判定し(ステップ607)、登録許可された場合、認証
サーバ100への登録情報が起動通知で、かつ、クライ
アント110nが提供可能なサービスを持っている場
合、クライアント110nは提供サービスを開始する
(ステップ608)。認証サーバ100への登録情報が
終了通知であった場合は、対象サービスを終了(停止)
する(ステップ609)。First, the client 110 n connects to the authentication server (step 601), and transmits its client ID, certificate information, address information, provided service, and status information to the authentication server 100 (step 602). Next, the authentication result from the authentication server 100 is determined (step 603), and when the access is rejected, the client 110 n performs error processing (step 60).
4). If access is granted, client 110 n
Is the client I in the system from the authentication server 100
D is received (step 605), and in accordance with this information, each client in the system is set to permit or prohibit use of the service provided by itself, access control information is created, and the created access is performed. The control information is transmitted to the authentication server 100 (step 60).
6). Then, the registration result notification from the authentication server 100 is determined (step 607). If the registration is permitted, the registration information to the authentication server 100 is a start notification and the client 110 n has a service that can be provided. If so, the client 110 n starts the provided service (step 608). If the registration information to the authentication server 100 is an end notification, end (stop) the target service
(Step 609).
【0027】図7は、認証サーバ100が各クライアン
ト1101〜110nからの起動通知または終了通知等の
通知を受けた場合の処理手順を示すフローチャートであ
る。ここでも、クライアント110nを例に説明する。FIG. 7 is a flowchart showing a processing procedure when the authentication server 100 receives a notification such as a start notification or an end notification from each of the clients 110 1 to 110 n . Here, the client 110 n will be described as an example.
【0028】まず、認証サーバ100はクライアント1
10nからの接続を受け(ステップ701)、クライア
ントID、証明書情報、アドレス情報、提供サービス、
ステータス情報を受信する(ステップ702)。このク
ライアントID、証明書情報でクライアント管理テーブ
ル101の検索を行い(ステップ703)、予め認証サ
ーバ100が保持している識別情報と比較し、アクセス
許可・不許可を認証する(ステップ704)。認証サー
バ100は、アクセス拒否の場合はクライアント110
nにアクセス拒否を通知し(ステップ705)、処理を
終了する。クライアント110nにアクセス許可を与え
た場合、次に、認証サーバ110は、クライアント管理
テーブル101にもとづき、システム内のクライアント
ID一覧をクライアント110nに送信する(ステップ
706)。次に、認証サーバ100はクライアント11
0nから、該クライアント110nが作成したアクセス制
御情報を受信し(ステップ707)、この情報に基づい
てアクセス制御テーブル102を更新する(ステップ7
08)。その後、認証サーバ100は、クライアント1
10nに登録結果を通知する(ステップ709)。First, the authentication server 100 sends the client 1
Receiving connections from 10 n (step 701), the client ID, certificate information, address information, providing services,
The status information is received (Step 702). The client management table 101 is searched using the client ID and the certificate information (step 703), and is compared with the identification information held in advance by the authentication server 100 to authenticate access permission / non-permission (step 704). If the access is denied, the authentication server 100
The access denial is notified to n (step 705), and the process ends. If granted permission to the client 110 n, then the authentication server 110, based on the client management table 101, and transmits the client ID list in the system to the client 110 n (step 706). Next, the authentication server 100
From 0 n, receives the access control information to which the client 110 n created (step 707), updates the access control table 102 on the basis of this information (Step 7
08). After that, the authentication server 100
The registration result is notified to 10 n (step 709).
【0029】図8は、あるクライアントが認証サーバ1
00に対してサービス要求を行い、サービスを提供する
クライアントとの間で暗号化通信を行う時の処理手順を
示すフローチャートである。ここでは、クライアント1
101をサービス要求クライアント、クライアント11
0nをサービス提供クライアントとする。FIG. 8 shows that a certain client is the authentication server 1
13 is a flowchart showing a processing procedure when a service request is made to the client 00 and encrypted communication is performed with a client providing the service. Here, client 1
10 1 is a service request client, client 11
0 n is a service providing client.
【0030】図8(a)はクライアント1101のフロ
ーチャートを示している。サービス要求を行うクライア
ント1101は、まず、認証サーバ100へサービス要
求を行う(ステップ801)。その後、認証サーバ10
0から該サービス要求に対する応答を受信し(ステップ
802)、その結果がアクセス拒否であった場合、クラ
イアント1101はエラー処理を行い(ステップ80
3)、該サービス要求を終了とする。アクセス許可され
た場合、クライアント1101は、認証サーバ100か
らサービス提供先のクライアント110nのアドレス情
報を受信し(ステップ804)、このアドレス情報を用
いてサービス提供先のクライアント110 nにサービス
要求を行う(ステップ805)。次に、このサービス要
求に対するサービス提供先のクライアント110nから
の応答を判定し(ステップ806)、アクセス拒否され
た場合、クライアント1101はエラー処理を行い(ス
テップ803)、当該サービス要求を終了とする。サー
ビス提供先のクライアント110nからアクセス許可さ
れた場合、クライアント1101は予め保持している証
明書情報を用いてサービス提供先のクライアント110
nとの間で暗号化通信を行い、該当サービスを受ける
(ステップ807)。FIG. 8A shows the client 110.1Flow of
FIG. Client making service request
Account 1101First, a service is required to the authentication server 100.
Request (step 801). After that, the authentication server 10
0, a response to the service request is received (step
802), if the result is an access denied,
Iant 1101Performs error processing (step 80).
3) Terminate the service request. Access allowed
Client 1101Is the authentication server 100
Client 110 to which the service is providednAddress information
Information (step 804), and uses this address information.
And the service providing client 110 nService
A request is made (step 805). Next, this service
Client 110 to which service is provided for requestnFrom
(Step 806), the access is denied.
Client 1101Performs error handling (
Step 803), the service request ends. Sir
Service providing client 110nPermission from
Client 1101Is a proof that is held in advance
Client 110 of the service providing destination using the certificate information
nPerforms encrypted communication with and receives the applicable service
(Step 807).
【0031】図8(b)はクライアント110nのフロ
ーチャートである。サービス提供クライアント110n
は、サービス要求先のクライアント1101からサービ
ス要求を受信すると(ステップ811)、まず、認証サ
ーバ100に該サービス要求先のクライアント1101
の正当性を問い合わせ(ステップ812)、その問合せ
の結果を判定する(ステップ813)。認証サーバ10
0によって、サービス要求先クライアント1101の正
当性がアクセス拒否と判断された場合、サービス要求先
クライアント1101にアクセス拒否を通知し(ステッ
プ814)、ここで処理を終了する。アクセス許可され
た場合、クライアント110nは、サービス要求先クラ
イアント1101へサービス提供開始を通知し(ステッ
プ815)、予め保持している証明書情報を用いて暗号
化通信を行い(ステップ816)、該当サービスを行
う。FIG. 8 (b) is a flowchart of a client 110 n. Service providing client 110 n
Receives a service request from the client 110 first service requested (step 811), firstly, the client 110 1 of the service requested to the authentication server 100
(Step 812), and the result of the inquiry is determined (step 813). Authentication server 10
If the validity of the service request destination client 110 1 is determined to be access denied by 0, the access request is notified to the service request destination client 110 1 (step 814), and the process is ended here. When the access is permitted, the client 110 n notifies the service request destination client 110 1 of the start of service provision (step 815), and performs encrypted communication using the certificate information held in advance (step 816). Perform the corresponding service.
【0032】なお、図8のフローチャートにおいて、ス
テップ801でサービス要求先クライアント1101が
最初に認証サーバ100にサービス要求を行った際に、
認証サーバ100側でサービス要求先の正当性を認証す
ることで、サービス提供クライアント110nはステッ
プ812、813の処理を省略することも可能である。
また、逆にステップ801のサービス要求に対し、認証
サーバ100でのサービス要求先クライアント1101
のアクセス制御処理を省略して、ステップ812のサー
ビス提供クライアント110nから問い合せによって行
うことも選択可能である。これらについては、図2で説
明した通りである。In the flowchart of FIG. 8, when the service request destination client 1101 first makes a service request to the authentication server 100 in step 801,
The service request destination legitimacy by authenticating the authentication server 100, the service provides the client 110 n, it is also possible to omit the process of step 812 and 813.
Conversely, in response to the service request in step 801, the service request destination client 110 1 in the authentication server 100.
By omitting the access control process, it is selectable to perform the inquiry from the service providing client 110 n in step 812. These are as described in FIG.
【0033】図9は認証サーバ100が任意のクライア
ントからサービス要求を受けた場合の処理手順を示すフ
ローチャートである。ここでは、クライアント1101
からサービス要求を受けたとする。FIG. 9 is a flowchart showing a processing procedure when the authentication server 100 receives a service request from an arbitrary client. Here, the client 110 1
Suppose a service request is received from.
【0034】認証サーバ100は、クライアント110
1からサービス要求を受けると(ステップ901)、ク
ライアント管理テーブル101を検索し(ステップ90
2)、まず、サービス要求先クライアント1101の認
証を行い、次に、要求されたサービスが現在、提供可能
かどうかを確認する(ステップ903)。認証結果が不
許可あるいは提供可能なサービスが無かった場合は、認
証サーバ100はサービス要求先クライアント1101
へアクセス拒否を通知する(ステップ904)。認証結
果が許可かつ提供可能サービスが存在した場合、認証サ
ーバ100はクライアント管理テーブル101から取得
したサービス提供先クライアント(クライアント110
nとする)の情報に従ってアクセス制御テーブル102
を検索する(ステップ905)。ここで取得したアクセ
ス制御情報からサービス要求クライアント110nのア
クセス許可、不許可を判定し(ステップ906)、アク
セス許可なら、サービス提供先のクライアント110n
のアドレス情報をサービス要求クライアント1101へ
通知し(ステップ907)、アクセス不許可なら、該ク
ライアント1101へアクセス不許可を通知する(ステ
ップ904)。The authentication server 100 includes a client 110
When a service request is received from the client 1 (step 901), the client management table 101 is searched (step 90).
2) First, the authentication service request destination client 110 1, then the requested service is currently to check if provided (step 903). If the authentication result is not permitted or there is no service that can be provided, the authentication server 100 sends the service request destination client 110 1
Is notified of access rejection (step 904). If the authentication result indicates that there is a service that is permitted and can be provided, the authentication server 100 sends the service providing destination client (client 110
access control table according to the information of the n) 102
(Step 905). The access permission or non-permission of the service requesting client 110 n is determined from the obtained access control information (step 906). If the access is permitted, the service providing client 110 n is provided.
Notifies the address information to the service requesting client 110 1 (step 907), if the access denial, notifying the access denial to the client 110 1 (step 904).
【0035】その後、認証サーバ100は、サービス提
供先クライアント110nからサービス要求先クライア
ント1101の正当性の問合せを受けると(ステップ9
08)、アクセス制御テーブル102を検索し(ステッ
プ909)、サービス要求先クライアント1101の対
象サービスへのアクセス可否の判断を行う(ステップ9
09)。そして、サービス要求先クライアント1101
がアクセス不可と判断した場合はアクセス拒否通知を、
アクセス許可の場合はアクセス許可通知を、サービス提
供先クライアント110nに行う(ステップ911)。[0035] Then, the authentication server 100 receives an inquiry from the service providing destination client 110 n of service requested client 110 1 validity (Step 9
08), searches the access control table 102 (step 909), a determination of the accessibility to the target service of the service requested client 110 1 (step 9
09). Then, the service request destination client 110 1
Determines that access is denied,
If permission to access permission notification is performed to the service providing destination client 110 n (step 911).
【0036】なお、ステップ910の処理は、ステップ
906でのアクセス制御処理と同様の処理であり、ステ
ップ906、ステップ910のどちらか一方だけで行う
か、または両方で行うか選択が可能ある。The processing in step 910 is the same as the access control processing in step 906, and it is possible to select whether to perform only one of steps 906 and 910 or both.
【0037】以上本発明の一実施形態について説明した
が、図1において、認証サーバ100にはクライアント
管理テーブル101のみを持たせ、アクセス制御テーブ
ル102については、各クライアント1101〜110n
が、当該クライアントの提供するサービスに対して、他
のクライアントのアクセス許可・不許可を表わすアクセ
ス制御情報を管理することでもよい。この場合、認証サ
ーバ100では、例えば各クライアント1101からサ
ービス要求を受信すると、クライアント管理ーブル10
1を検索して、該サービス要求に対してサービス提供可
能である、例えばクライアント110nのアドレス情報
をクライアント1101に通知する。クライアント11
01は、該認証サーバ100から通知されたアドレス情
報により、クライアント110nへサービス要求を行
う。クライアント110nは、クライアント1101から
サービス要求を受信すると、自分が保持するアクセス制
御情報をもとに、サービス要求のあった対象提供サービ
スが、クライアント1101に対してアクセスを許可し
ているかどうか判別し,アクセスを許可している場合、
クライアント1101へサービス開始を通知する。これ
により、認証サーバ100での負担が軽減され、また、
サービス提供クライアントでは、認証サーバ100に問
合わせることなく、サービス開始/サービス中止を行う
ことが可能になる。Although the embodiment of the present invention has been described above, in FIG. 1, the authentication server 100 has only the client management table 101 and the access control table 102 has the clients 110 1 to 110 n.
May manage access control information indicating access permission / non-permission of another client with respect to the service provided by the client. In this case, when the authentication server 100 receives a service request from each client 110 1 , for example, the client management table 10
1 to notify the client 110 1 of address information of the client 110 n , for example, which can provide a service in response to the service request. Client 11
0 1 makes a service request to the client 110 n based on the address information notified from the authentication server 100. When the client 110 n receives the service request from the client 110 1 , the client 110 n determines whether or not the target provided service that has requested the service has permitted access to the client 110 1 based on the access control information held by the client 110 n . If it is determined and access is permitted,
And notifies the service start to the client 110 1. Thereby, the burden on the authentication server 100 is reduced, and
The service providing client can start / stop the service without querying the authentication server 100.
【0038】[0038]
【発明の効果】以上説明したように、本発明の認証サー
バ・クライアントシステムによれば、認証サーバ内で認
証された任意のクライアント間での認証、サービスレベ
ルでのアクセス制御が可能になる。また、各クライアン
トはサービス要求機能及びサービス提供機能をもち、ア
ドレス情報の変更等によって、状態に変化があった場合
に認証サーバに状態の変更通知を行い、認証サーバが全
てのクライアントの情報を保持することで、システムの
規模や構成が変わった場合でも、任意のクライアント間
での認証、サービス要求、サービス提供が可能となる。
また、認証サーバあるいはクライアントが各クライアン
トのアクセス制御情報を持つことによって、任意のクラ
イアント間でのサービス提供に対してアクセス制御を行
うことができる。本認証サーバ・クライアントシステム
を適用することで、信頼性、拡張性を犠牲にすることな
く、柔軟なセキュリティネットワークを構築することが
可能となる。As described above, according to the authentication server / client system of the present invention, authentication between any clients authenticated in the authentication server and access control at the service level can be performed. In addition, each client has a service request function and a service providing function, and when there is a change in the state due to a change in address information or the like, notifies the authentication server of the change in the state, and the authentication server holds information on all clients. By doing so, even if the scale or configuration of the system changes, authentication, service request, and service provision between arbitrary clients can be performed.
In addition, since the authentication server or the client has access control information of each client, access control can be performed for service provision between arbitrary clients. By applying this authentication server / client system, a flexible security network can be constructed without sacrificing reliability and expandability.
【図1】本発明の一実施の形態の認証サーバ・クライア
ントシステムの全体構成を示すブロック図である。FIG. 1 is a block diagram showing an overall configuration of an authentication server / client system according to an embodiment of the present invention.
【図2】図1の認証サーバとクライアント間の一連の処
理の流れを示すブロック図である。FIG. 2 is a block diagram showing a flow of a series of processes between an authentication server and a client in FIG. 1;
【図3】図1のクライアント管理テーブルの構成例を示
す図である。FIG. 3 is a diagram illustrating a configuration example of a client management table in FIG. 1;
【図4】図1のアクセス制御テーブルの構成例を示す図
である。FIG. 4 is a diagram illustrating a configuration example of an access control table in FIG. 1;
【図5】認証サーバから配布された証明書情報の内容を
示す図である。FIG. 5 is a diagram showing contents of certificate information distributed from an authentication server.
【図6】クライアントが認証サーバに対して登録情報を
送信する場合の処理手順を示すフローチャートである。FIG. 6 is a flowchart illustrating a processing procedure when a client transmits registration information to an authentication server.
【図7】認証サーバがクライアントからの登録情報を受
信した場合の処理手順を示すフローチャートである。FIG. 7 is a flowchart illustrating a processing procedure when the authentication server receives registration information from a client.
【図8】サービス要求クライアントとサービス提供クラ
イアントとの間で暗号化通信を行う時の処理手順を示す
フローチャートである。FIG. 8 is a flowchart showing a processing procedure when performing encrypted communication between a service requesting client and a service providing client.
【図9】認証サーバがクライアントからのサービス要求
を受けた場合の処理手順を示すフローチャートである。FIG. 9 is a flowchart illustrating a processing procedure when the authentication server receives a service request from a client.
100 認証サーバ 101 クライアント管理テーブル 102 アクセス制御テーブル 1101、110n クライアント 120 ネットワークREFERENCE SIGNS LIST 100 authentication server 101 client management table 102 access control table 110 1 , 110 n client 120 network
───────────────────────────────────────────────────── フロントページの続き (72)発明者 西出 隆志 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウエアエンジニアリング株式会 社内 (72)発明者 熊谷 仁志 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウエアエンジニアリング株式会 社内 Fターム(参考) 5B085 AE04 AE23 BG07 CA04 ──────────────────────────────────────────────────続 き Continuing on the front page (72) Inventor Takashi Nishiide 6-81 Onoe-cho, Naka-ku, Yokohama-shi, Kanagawa Prefecture In-house Hitachi Software Engineering Co., Ltd. (72) Inventor Hitoshi Kumagai 6 Onoe-cho, Naka-ku, Yokohama-shi, Kanagawa 81-chome Hitachi Software Engineering Co., Ltd. In-house F-term (reference) 5B085 AE04 AE23 BG07 CA04
Claims (5)
を受ける複数のクライアントからなり、任意のクライア
ント間でサービス要求、サービス提供を可能とする認証
サーバ・クライアントシステムであって、 認証サーバは、各クライアントのアドレス情報、各クラ
イアントが提供可能な提供サービス情報及びステータス
情報を管理するクライアント管理手段を具備し、 前記
認証サーバは、クライアントからサービス要求を受ける
と、前記クライアント管理手段を検索して、サービス提
供可能なクライアントのアドレス情報をサービス要求ク
ライアントに通知し、 前記サービス要求クライアントは、前記認証サーバから
通知されたアドレス情報によりサービス提供クライアン
トへサービス要求を行うことを特徴とする認証サーバ・
クライアントシステム。1. An authentication server / client system comprising an authentication server and a plurality of clients that are authenticated by the authentication server. The authentication server / client system enables service request and service provision between arbitrary clients. Client management means for managing address information, service information that can be provided by each client, and status information. When the authentication server receives a service request from a client, the authentication server searches the client management means and provides a service. An authentication server for notifying a service requesting client of address information of a possible client, wherein the service requesting client issues a service request to a service providing client based on the address information notified from the authentication server.
Client system.
トシステムにおいて、 認証サーバは、各クライアント
が提供するサービスに対して、他のクライアントが利用
可能か否かを示すアクセス制御情報を管理するアクセス
制御管理手段を具備し、 前記認証サーバは、前記アクセス制御管理手段を検索
し、サービス要求クライアントに対して、サービス提供
クライアントの当該提供サービスが利用可能であると、
該サービス提供クライアントのアドレス情報をサービス
要求クライアントへ通知する、ことを特徴とする認証サ
ーバ・クライアントシステム。2. The authentication server / client system according to claim 1, wherein the authentication server manages access control information indicating whether another client can use a service provided by each client. The authentication server, comprising: a management unit, the authentication server searches the access control management unit, and, for a service requesting client, when the provided service of the service providing client is available,
An authentication server / client system for notifying a service requesting client of address information of the service providing client.
トシステムにおいて、 認証サーバは、各クライアント
が提供するサービスに対して、他のクライアントが利用
可能か否かを示すアクセス制御情報を管理するアクセス
制御手段を具備し、 前記認証サーバは、サービス要求を受信したサービス提
供クライアントからの問い合せにより前記アクセス制御
管理手段を検索して、該サービス提供クライアントの当
該提供サービスに対し、サービス要求クライアントが利
用可能か否かを示す検索結果を前記サービス提供クライ
アントへ通知し、 前記サービス提供クライアントは、前記認証サーバから
通知された検索結果が利用可能を示している場合、サー
ビス要求クライアントに対してサービスを開始する、こ
とを特徴とする認証サーバ・クライアントシステム。3. The authentication server / client system according to claim 1, wherein the authentication server manages access control information indicating whether or not another client can use a service provided by each client. The authentication server searches the access control management means by an inquiry from a service providing client that has received a service request, and determines whether a service request client is available for the provided service of the service providing client. Notifying the service providing client of a search result indicating whether or not the service providing client starts a service for a service requesting client when the search result notified from the authentication server indicates that it is available. Authentication server / client System.
トシステムにおいて、 各クライアントは、当該クライ
アントが提供するサービスに対して、他のクライアント
が利用可能か否かを示すアクセス制御情報を管理するア
クセス制御手段を具備し、 サービス提供クライアントは、サービス要求クライアン
トからサービス要求を受信すると、前記アクセス制御管
理手段を検索して、サービス要求を受けた当該提供サー
ビスが前記サービス要求クライアントに対して利用可能
を示している場合、前記アクセス要求クライアントに対
してサービスを開始する、ことを特徴とする認証サーバ
・クライアントシステム。4. The authentication server / client system according to claim 1, wherein each client manages access control information indicating whether another client can use a service provided by the client. The service providing client, upon receiving a service request from the service requesting client, searches the access control management means to indicate that the service provided by the service request is available to the service requesting client. If so, starting a service for the access requesting client.
ライアントシステムにおいて、 各クライアントは、アドレス情報、提供サービス情報、
ステータス情報、あるいは、アクセス制御情報に変更が
あると、その変更を認証サーバへ通知し、 認証サーバは、前記クライアントからの変更通知によっ
て、クライアント管理手段やアクセス制御管理手段の情
報を更新する、ことを特徴とする認証サーバ・クライア
ントシステム。5. The authentication server / client system according to claim 1, wherein each client includes address information, provided service information,
When there is a change in the status information or the access control information, the change is notified to the authentication server, and the authentication server updates the information of the client management means and the access control management means with the change notification from the client. An authentication server / client system characterized by the following.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000090174A JP2001282667A (en) | 2000-03-29 | 2000-03-29 | Authentication server-client system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000090174A JP2001282667A (en) | 2000-03-29 | 2000-03-29 | Authentication server-client system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001282667A true JP2001282667A (en) | 2001-10-12 |
Family
ID=18605815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000090174A Pending JP2001282667A (en) | 2000-03-29 | 2000-03-29 | Authentication server-client system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001282667A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004041472A (en) * | 2002-07-12 | 2004-02-12 | Teijin Ltd | Telemedicine information system |
| JP2004280401A (en) * | 2003-03-14 | 2004-10-07 | Toshiba Corp | Content delivery system and device, and program |
| JP2006119769A (en) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | Content providing system |
| JP2007207038A (en) * | 2006-02-02 | 2007-08-16 | Canon Inc | Information processor and its control method |
| JP2008160814A (en) * | 2001-10-31 | 2008-07-10 | Fujitsu Ltd | Load balancer, home agent, and mobile ip terminal |
| JP2008536231A (en) * | 2005-04-12 | 2008-09-04 | スパイダー ナビゲイションズ エルエルシー | Security enhancement method in communication system |
| JPWO2006073008A1 (en) * | 2005-01-07 | 2008-10-23 | 株式会社システム・ケイ | Login authentication system for network cameras |
| US7949770B2 (en) | 2003-08-06 | 2011-05-24 | Konica Minolta Business Technologies, Inc. | Data management server, data management method and computer program |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10171760A (en) * | 1996-12-10 | 1998-06-26 | Nippon Telegr & Teleph Corp <Ntt> | Information processing system and secret information managing method for the processing system |
| JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
-
2000
- 2000-03-29 JP JP2000090174A patent/JP2001282667A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10171760A (en) * | 1996-12-10 | 1998-06-26 | Nippon Telegr & Teleph Corp <Ntt> | Information processing system and secret information managing method for the processing system |
| JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160814A (en) * | 2001-10-31 | 2008-07-10 | Fujitsu Ltd | Load balancer, home agent, and mobile ip terminal |
| JP4595997B2 (en) * | 2001-10-31 | 2010-12-08 | 富士通株式会社 | Load balancer, home agent and mobile IP terminal |
| JP2004041472A (en) * | 2002-07-12 | 2004-02-12 | Teijin Ltd | Telemedicine information system |
| JP2004280401A (en) * | 2003-03-14 | 2004-10-07 | Toshiba Corp | Content delivery system and device, and program |
| US7949770B2 (en) | 2003-08-06 | 2011-05-24 | Konica Minolta Business Technologies, Inc. | Data management server, data management method and computer program |
| JP2006119769A (en) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | Content providing system |
| JP4527491B2 (en) * | 2004-10-19 | 2010-08-18 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Content provision system |
| JPWO2006073008A1 (en) * | 2005-01-07 | 2008-10-23 | 株式会社システム・ケイ | Login authentication system for network cameras |
| JP2008536231A (en) * | 2005-04-12 | 2008-09-04 | スパイダー ナビゲイションズ エルエルシー | Security enhancement method in communication system |
| JP2007207038A (en) * | 2006-02-02 | 2007-08-16 | Canon Inc | Information processor and its control method |
| US8310694B2 (en) | 2006-02-02 | 2012-11-13 | Canon Kabushiki Kaisha | Information processing apparatus and control method thereof |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10771459B2 (en) | Terminal apparatus, server apparatus, blockchain and method for FIDO universal authentication using the same | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| JP4746266B2 (en) | Method and system for authenticating a user for a sub-location in a network location | |
| US7904952B2 (en) | System and method for access control | |
| JP3505058B2 (en) | Network system security management method | |
| US6327658B1 (en) | Distributed object system and service supply method therein | |
| CN110535880B (en) | Access control method and system of Internet of things | |
| JP2019139520A (en) | Information processing system, control method thereof, and program | |
| JP2004178597A (en) | Method for sharing network resource, computer system and network system | |
| CA2516718A1 (en) | Secure object for convenient identification | |
| KR102189554B1 (en) | Teriminal apparatus, server apparatus, blockchain and method for fido universal authentication using the same | |
| US11757877B1 (en) | Decentralized application authentication | |
| KR20210095093A (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| US7487535B1 (en) | Authentication on demand in a distributed network environment | |
| KR102372503B1 (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| JPH05333775A (en) | User authentication system | |
| JP2004287784A (en) | Access control device and method | |
| US20080256605A1 (en) | Localized authorization system in IP networks | |
| JP2001282667A (en) | Authentication server-client system | |
| JP2002073556A (en) | Authentication system | |
| JP2006146559A (en) | System, method, apparatus and program for managing dynamic organization | |
| Cisco | User Databases | |
| KR20050066052A (en) | Selective identification system based identification policies and identification method therefor | |
| JPH0535678A (en) | User authentication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050502 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050823 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051122 |