JP2001344207A - Certification system and its method - Google Patents
Certification system and its methodInfo
- Publication number
- JP2001344207A JP2001344207A JP2000162507A JP2000162507A JP2001344207A JP 2001344207 A JP2001344207 A JP 2001344207A JP 2000162507 A JP2000162507 A JP 2000162507A JP 2000162507 A JP2000162507 A JP 2000162507A JP 2001344207 A JP2001344207 A JP 2001344207A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- server
- client
- authentication
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、認証システムおよ
び認証方法に関し、特に、通信回線に接続されたクライ
アント、クライアントとサーバとの間に介在する複数の
プロキシサーバおよびこれらのプロキシサーバに対応し
て設けられた複数の認証サーバとにより構成される認証
システムおよび認証方法に関する。The present invention relates to an authentication system and an authentication method, and more particularly to a client connected to a communication line, a plurality of proxy servers interposed between the client and the server, and corresponding to these proxy servers. The present invention relates to an authentication system and an authentication method including a plurality of provided authentication servers.
【0002】[0002]
【従来の技術】従来より、この種の認証システムは、通
信回線に接続されたクライアント、クライアントとサー
バとの間に介在する複数のプロキシサーバおよび複数の
認証サーバとにより構成されている。複数の認証サーバ
は、それぞれのプロキシサーバに対応して設けられてい
る。そして、予め、すべてのプロキシサーバに属する認
証サーバはクライアントを使用するユーザを登録すると
ともに、クライアントへ証明書を配布する。その上で、
配布した証明書に基づいて、認証サーバが対応するプロ
キシサーバとこの接続元との間の認証をクライアント側
から順番に行う。その結果、各プロキシサーバにてクラ
イアントを使用するユーザを認証することが可能とな
る。しかし、すべての認証サーバからクライアントに証
明書を配布しなければならないため、ユーザの管理だけ
で多大な作業が必要になる。2. Description of the Related Art Conventionally, this type of authentication system is composed of a client connected to a communication line, a plurality of proxy servers interposed between the client and the server, and a plurality of authentication servers. The plurality of authentication servers are provided corresponding to the respective proxy servers. Then, the authentication servers belonging to all the proxy servers register the users who use the clients and distribute the certificates to the clients. Moreover,
Based on the distributed certificate, the authentication server performs authentication between the corresponding proxy server and this connection source in order from the client side. As a result, each proxy server can authenticate the user who uses the client. However, since certificates must be distributed from all the authentication servers to the clients, a great deal of work is required only for user management.
【0003】この作業を軽減させるため、クライアント
に最も近い認証サーバにだけユーザを登録させる構成と
した認証システムも知られている(特開平11−328
117号公報)。この認証システムは、登録されたユー
ザの証明書を認証サーバ間で受け渡していくことで、プ
ロキシサーバとこの接続元との間の認証をクライアント
側から順番に行う。これは、クライアントと各プロキシ
サーバとの認証が行われる際に、各認証サーバでユーザ
の証明書が必要となるためである。すると、認証サーバ
すべてにクライアントのユーザ情報を登録しなくても、
各プロキシサーバにてクライアントを使用するユーザを
認証することが可能となる。In order to reduce this work, there is also known an authentication system in which a user is registered only in an authentication server closest to a client (JP-A-11-328).
117 publication). This authentication system performs authentication between the proxy server and this connection source in order from the client side by passing the registered user's certificate between the authentication servers. This is because each authentication server requires a user certificate when authentication is performed between the client and each proxy server. Then, even if you do not register the user information of the client in all the authentication servers,
Each proxy server can authenticate the user who uses the client.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、上述し
た従来の認証システムにおいては、登録されたユーザの
証明書を認証サーバ間で受け渡していくという特別の機
能が各認証サーバに備わっていなければならなかった。However, in the above-mentioned conventional authentication system, each authentication server must have a special function of transferring a registered user's certificate between the authentication servers. Was.
【0005】本発明は、上述の課題にかんがみてなされ
たもので、各認証サーバに特別の機能が備わっていなく
ても、各プロキシサーバにてクライアントを使用するユ
ーザの認証を行うことが可能な認証システムおよび認証
方法の提供を目的とする。[0005] The present invention has been made in view of the above-described problems, and enables each proxy server to authenticate a user who uses a client, even if each authentication server does not have a special function. The purpose is to provide an authentication system and an authentication method.
【0006】[0006]
【課題を解決するための手段】上述の目的を達成するた
め、請求項1にかかる発明は、通信回線に接続されたク
ライアントと、この通信回線に接続されてこのクライア
ントとサーバとの間に介在する複数のプロキシサーバ
と、上記通信回線に接続されてそれぞれの上記プロキシ
サーバに対応して設けられるとともに対応する上記プロ
キシサーバの接続元との間の認証を上記クライアント側
から順番に行う複数の認証サーバとを具備する認証シス
テムであって、上記認証サーバは、対応する上記プロキ
シサーバとこのプロキシサーバへの接続元とに配布した
証明書に基づいて認証を行い、上記プロキシサーバは、
接続先から上記クライアントに証明書を要求する証明書
要求が入力されたときこの証明書要求を接続元へ送信す
るとともに、接続元から送信された上記クライアントに
配布された上記証明書を接続先へ送信し、上記クライア
ントは、接続先からの上記証明書要求に応じて配布され
た上記証明書を接続先へ送信する構成としてある。In order to achieve the above object, the invention according to claim 1 comprises a client connected to a communication line and an intervening client connected to the communication line between the client and the server. A plurality of proxy servers that are connected to the communication line and are provided corresponding to the respective proxy servers and perform authentication from the client side in order from the client side. An authentication system including a server, wherein the authentication server performs authentication based on a certificate distributed to the corresponding proxy server and a connection source to the proxy server, and the proxy server includes:
When a certificate request for a certificate is input from the connection destination to the client, the certificate request is sent to the connection source, and the certificate distributed to the client sent from the connection source to the connection destination is sent to the connection destination. Then, the client transmits the certificate distributed in response to the certificate request from the connection destination to the connection destination.
【0007】すなわち、クライアント、複数のプロキシ
サーバ、複数の認証サーバは、通信回線を介して双方向
通信可能に接続されている。複数のプロキシサーバは、
クライアントとサーバとの間に介在して、クライアント
とサーバとを接続させることが可能である。複数の認証
サーバは、それぞれのプロキシサーバに対応して設けら
れており、対応するプロキシサーバとこのプロキシサー
バの接続元との間の認証を行う。なお、クライアントに
最も近いプロキシサーバの接続元はクライアントであ
り、それ以外のプロキシサーバの接続元は別のプロキシ
サーバとなる。That is, a client, a plurality of proxy servers, and a plurality of authentication servers are connected via a communication line so as to be capable of two-way communication. Multiple proxy servers
It is possible to connect the client and the server by interposing between the client and the server. The plurality of authentication servers are provided corresponding to the respective proxy servers, and perform authentication between the corresponding proxy server and a connection source of the proxy server. The connection source of the proxy server closest to the client is the client, and the connection sources of the other proxy servers are different proxy servers.
【0008】認証サーバは、予め、対応するプロキシサ
ーバとこの接続元に証明書を配布する。その上で、配布
した証明書に基づいて、複数の認証サーバが対応するプ
ロキシサーバとこの接続元との間の認証をクライアント
側から順番に行う。その際、この認証サーバから対応す
るプロキシサーバとこの接続元とに配布された証明書を
確認することで、プロキシサーバとこの接続元との間の
認証を行う。The authentication server distributes a certificate to the corresponding proxy server and this connection source in advance. Then, based on the distributed certificate, the plurality of authentication servers perform authentication between the corresponding proxy server and the connection source in order from the client side. At this time, authentication between the proxy server and this connection source is performed by confirming the certificate distributed from the authentication server to the corresponding proxy server and this connection source.
【0009】クライアントとサーバとを中継するプロキ
シサーバは、接続先からクライアントに証明書を要求す
る証明書要求が入力されたとき、この証明書要求を接続
元へ送信する。接続元が別のプロキシサーバであれば、
接続先のプロキシサーバと同様、入力された証明書要求
を接続元へ送信する。そして、接続元がクライアントと
なったとき、クライアントはこの証明書要求に応じて、
自らに配布されるとともに、認証済みの証明書を接続先
のプロキシサーバへ送信する。すると、クライアントに
最も近いプロキシサーバは、この認証済みの証明書を入
手して接続先へ送信する。接続先がプロキシサーバであ
れば、接続元のプロキシサーバと同様、この認証済みの
証明書を入手して接続先へ送信する。[0009] When a certificate request for requesting a certificate is input to the client from the connection destination, the proxy server relaying the client and the server transmits the certificate request to the connection source. If the connection source is another proxy server,
As with the proxy server at the connection destination, the input certificate request is transmitted to the connection source. Then, when the connection source becomes the client, the client responds to the certificate request,
It is distributed to itself and sends the authenticated certificate to the connection destination proxy server. Then, the proxy server closest to the client obtains the authenticated certificate and sends it to the connection destination. If the connection destination is a proxy server, this authenticated certificate is obtained and transmitted to the connection destination, similarly to the connection source proxy server.
【0010】すなわち、クライアントに配布された証明
書は、認証されるとともに、クライアントとサーバとを
中継する複数のプロキシサーバに受け渡されることにな
る。すると、各プロキシサーバにて、クライアントが保
有する認証済みの証明書を確認することが可能となる。
したがって、すべての認証サーバにクライアントを使用
するユーザを登録する必要がなく、各プロキシサーバに
てクライアントを使用するユーザの認証を行うことが可
能となる。その際、登録されたユーザの証明書を認証サ
ーバ間で受け渡していくという特別の機能は不要であ
る。That is, the certificate distributed to the client is authenticated and passed to a plurality of proxy servers that relay the client and the server. Then, each proxy server can confirm the authenticated certificate held by the client.
Therefore, it is not necessary to register the user who uses the client in all the authentication servers, and it becomes possible to authenticate the user who uses the client in each proxy server. At this time, a special function of transferring the registered user's certificate between the authentication servers is unnecessary.
【0011】ここで、クライアントに証明書を要求する
証明書要求の出力元は様々可能であり、その具体的な構
成の一例として、請求項2にかかる発明は、請求項1に
記載の認証システムにおいて、上記サーバに最も近いプ
ロキシサーバは、接続元との間の認証が完了したとき、
この接続元へ上記証明書要求を送信する構成としてあ
る。すなわち、サーバに最も近いプロキシサーバとこの
接続元のプロキシサーバとの間の認証が完了したとき、
サーバに最も近いプロキシサーバが証明書要求を接続元
へ送信する。すると、サーバに最も近いプロキシサーバ
とクライアントとを中継するプロキシサーバが、この証
明書要求をクライアントまで送信する。したがって、サ
ーバに最も近いプロキシサーバにて、クライアントを使
用するユーザの認証を行うことが可能となる。むろん、
証明書要求の出力元がサーバに最も近いプロキシサーバ
である構成は一例に過ぎず、他のプロキシサーバが出力
元であってもよいし、外部のサーバが出力元であっても
よく、様々可能である。Here, the output source of a certificate request for requesting a certificate from a client can be various, and as an example of a specific configuration, the invention according to claim 2 is the authentication system according to claim 1 In, the proxy server closest to the server, when the authentication with the connection source is completed,
The certificate request is transmitted to the connection source. That is, when the authentication between the proxy server closest to the server and the proxy server of this connection source is completed,
The proxy server closest to the server sends a certificate request to the connection source. Then, the proxy server that relays the client and the proxy server closest to the server sends this certificate request to the client. Therefore, the proxy server closest to the server can authenticate the user using the client. Of course,
The configuration in which the output source of the certificate request is the proxy server closest to the server is only an example, and other proxy servers may be the output source, or an external server may be the output source. It is.
【0012】認証サーバが配布する証明書は、クライア
ントやプロキシサーバを識別する情報であればよい。ま
た、プロキシサーバに受け渡す証明書はクライアントに
配布された証明書に限定されず、その構成の一例とし
て、請求項3にかかる発明は、請求項1あるいは請求項
2のいずれかに記載の認証システムにおいて、上記プロ
キシサーバは、上記クライアントに配布された上記証明
書とあわせて、自らに配布された上記証明書を接続先へ
送信する構成としてある。すなわち、プロキシサーバ
は、クライアントが保有する認証済みの証明書とあわせ
て他のプロキシサーバが保有する認証済みの証明書を確
認することができる。したがって、より確実に認証を行
うことができる。The certificate distributed by the authentication server may be any information that identifies a client or a proxy server. Further, the certificate to be passed to the proxy server is not limited to the certificate distributed to the client. As an example of the configuration, the invention according to claim 3 is the authentication according to claim 1 or 2. In the system, the proxy server transmits the certificate distributed to the client together with the certificate distributed to the client to a connection destination. That is, the proxy server can check the authenticated certificate held by another proxy server together with the authenticated certificate held by the client. Therefore, authentication can be performed more reliably.
【0013】また、各プロキシサーバに配布された証明
書をさらに活用する構成の一例として、請求項4にかか
る発明は、請求項1〜請求項3のいずれかに記載の認証
システムにおいて、上記プロキシサーバは、自らに配布
された上記証明書を上記証明書要求に添付して接続元へ
送信し、上記クライアントは、上記プロキシサーバに配
布された上記証明書を確認して、配布された上記証明書
を接続先へ送信する構成としてある。すなわち、クライ
アントは、プロキシサーバが保有する認証済みの証明書
を受け取る。そして、受け取った証明書を確認したうえ
で、自らが保有する証明書をプロキシサーバに引き渡
す。したがって、より確実に認証を行うことができる。As an example of a configuration for further utilizing a certificate distributed to each proxy server, the invention according to claim 4 is the authentication system according to any one of claims 1 to 3, wherein The server attaches the certificate distributed to itself to the certificate request and transmits the certificate request to the connection source. The client confirms the certificate distributed to the proxy server, and checks the distributed certificate. The document is transmitted to the connection destination. That is, the client receives the authenticated certificate held by the proxy server. Then, after confirming the received certificate, it hands over its own certificate to the proxy server. Therefore, authentication can be performed more reliably.
【0014】ところで、認証システムを構成するクライ
アント、複数のプロキシサーバ、認証サーバは通信回線
により接続されているため、通信回線等の状態によって
は認証するのに時間がかかりすぎることがある。そこ
で、請求項5にかかる発明は、請求項1〜請求項4のい
ずれかに記載の認証システムにおいて、上記クライアン
トは、上記サーバへの接続を要求してから所定時間内に
上記証明書要求を入手することができないとき、自らに
配布された証明書の引き渡しを中止する構成としてあ
る。すなわち、クライアントは、接続先のプロキシサー
バから証明書要求が所定時間内に送信されない場合、自
らが保有する証明書の引き渡しを中止する。したがっ
て、通信の状態が良好でない等の場合にサーバへの接続
処理が中止されるため、本システムの利用価値をより高
めることができる。By the way, since the client, the plurality of proxy servers, and the authentication server constituting the authentication system are connected by a communication line, it may take too much time to perform authentication depending on the state of the communication line and the like. Therefore, according to a fifth aspect of the present invention, in the authentication system according to any one of the first to fourth aspects, the client requests the certificate request within a predetermined time after requesting a connection to the server. When the certificate cannot be obtained, the delivery of the certificate distributed to itself is stopped. That is, if the certificate request is not transmitted within a predetermined time from the proxy server of the connection destination, the client stops delivery of the certificate held by the client. Therefore, when the communication state is not good, the connection process to the server is stopped, and the utility value of the present system can be further increased.
【0015】上述したように、クライアント、プロキシ
サーバ、認証サーバとからなるシステムにおいては、所
定のプログラムが実行され、このプログラムは上述の手
段に対応した所定の制御手順に従って処理を進めていく
上で、その根底にはその手順に発明が存在するというこ
とは当然である。As described above, in a system including a client, a proxy server, and an authentication server, a predetermined program is executed, and this program is used to execute processing according to a predetermined control procedure corresponding to the above-described means. It goes without saying that the invention lies in the procedure at the root.
【0016】そこで、請求項6にかかる発明は、通信回
線に接続されたクライアントと、この通信回線に接続さ
れてこのクライアントとサーバとの間に介在する複数の
プロキシサーバと、上記通信回線に接続されてそれぞれ
の上記プロキシサーバに対応して設けられるとともに対
応する上記プロキシサーバの接続元との間の認証を上記
クライアント側から順番に行う複数の認証サーバとによ
り構成される認証方法であって、上記認証サーバにて、
対応する上記プロキシサーバとこのプロキシサーバへの
接続元とに配布した証明書に基づいて認証を行い、上記
プロキシサーバにて、接続先から上記クライアントに証
明書を要求する証明書要求が入力されたときこの証明書
要求を接続元へ送信するとともに、接続元から送信され
た上記クライアントに配布された上記証明書を接続先へ
送信し、上記クライアントにて、接続先からの上記証明
書要求に応じて配布された上記証明書を接続先へ送信す
ることで認証を行う構成としてある。すなわち、必ずし
も実体のあるシステムに限らず、その方法としても有効
であり、基本的には同様の作用となる。また、請求項2
〜請求項5に記載されたシステム構成を当該方法に対応
させることも可能であることは言うまでもない。Therefore, the invention according to claim 6 provides a client connected to a communication line, a plurality of proxy servers connected to the communication line and interposed between the client and the server, and connecting to the communication line. An authentication method comprising a plurality of authentication servers that are provided in correspondence with the respective proxy servers and perform authentication with the connection source of the corresponding proxy server in order from the client side, In the above authentication server,
Authentication is performed based on the certificate distributed to the corresponding proxy server and the connection source to the proxy server, and a certificate request for the certificate is input from the connection destination to the client at the proxy server. When this certificate request is sent to the connection source, the certificate distributed to the client sent from the connection source is sent to the connection destination, and the client responds to the certificate request from the connection destination. Authentication is performed by transmitting the certificate distributed as above to the connection destination. That is, the present invention is not necessarily limited to a substantial system, and is effective as a method, and basically has the same operation. Claim 2
Needless to say, it is also possible to make the system configuration according to the fifth aspect correspond to the method.
【0017】[0017]
【発明の実施の形態】以下、図面にもとづいて本発明の
実施形態を説明する。図1は、本発明の一実施形態にか
かる認証システムを概略図により示している。図1にお
いて、認証システム100は、双方向通信可能な通信回
線に接続されたクライアント10、プロキシサーバ2
1,22、認証サーバ31,32とから構成されてい
る。ユーザが、クライアント10からAPサーバ40へ
接続を要求すると、所定の認証が完了した後、プロキシ
サーバ21,22を介してクライアント10とAPサー
バ40との接続が確立するようになっている。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a schematic diagram showing an authentication system according to an embodiment of the present invention. In FIG. 1, an authentication system 100 includes a client 10 and a proxy server 2 connected to a communication line capable of two-way communication.
1 and 22 and authentication servers 31 and 32. When a user requests a connection from the client 10 to the AP server 40, after predetermined authentication is completed, a connection between the client 10 and the AP server 40 is established via the proxy servers 21 and 22.
【0018】クライアント10は、通信回線にアクセス
可能な通信インタフェースを備え、通信回線に接続可能
なコンピュータであればよい。そこで、クライアント1
0は、例えば各家庭で汎用的に用いられるパーソナルコ
ンピュータであってもよいし、持ち運びの可能な携帯端
末であってもよい。また、通信回線には所定のパーソナ
ルコンピュータをローカルサーバにするなどしてLAN
(Local Area Network)を接続する
ことも可能である。すなわち、クライアント10の代わ
りにLANを接続し、このLAN内の複数のパーソナル
コンピュータから通信回線にアクセスする構成としても
よい。The client 10 may be any computer provided with a communication interface capable of accessing a communication line and being connectable to the communication line. So client 1
0 may be, for example, a personal computer generally used in each home or a portable terminal that is portable. In addition, a predetermined personal computer is used as a local server for the
(Local Area Network) can also be connected. That is, a LAN may be connected in place of the client 10 and a plurality of personal computers in the LAN may access the communication line.
【0019】本実施形態のクライアント10は、所定の
OSプログラムやアプリケーションプログラムを記憶す
るハードディスクを備えている。そして、CPU、RO
M、RAM等によってこれらのOSプログラムやアプリ
ケーションプログラムを実行する。また、ディスプレ
イ、キーボード、マウス等も備えており、OSプログラ
ムの制御によりこれらを駆動している。The client 10 of the present embodiment has a hard disk for storing a predetermined OS program and application programs. And CPU, RO
These OS programs and application programs are executed by M, RAM, and the like. Further, a display, a keyboard, a mouse, and the like are provided, and these are driven under the control of the OS program.
【0020】プロキシサーバ21,22は、クライアン
ト10とAPサーバ40との間に介在して、クライアン
トとサーバとを接続させることが可能である。そのた
め、プロキシサーバ21,22は、通信回線にアクセス
可能な通信インタフェースや、所定のプログラムを記憶
するハードディスク等を備えたハードウェア構成となっ
ている。そして、CPU、ROM、RAM等によってハ
ードディスクに記憶されているプログラムを実行する。The proxy servers 21 and 22 are interposed between the client 10 and the AP server 40 and can connect the client and the server. Therefore, the proxy servers 21 and 22 have a hardware configuration including a communication interface that can access a communication line, a hard disk that stores a predetermined program, and the like. Then, the program stored in the hard disk is executed by the CPU, the ROM, the RAM, and the like.
【0021】認証サーバ31,32は、それぞれのプロ
キシサーバ21,22に対応して設けられており、対応
するプロキシサーバ21,22とこのプロキシサーバ2
1,22の接続元との間の認証を行う。ここで、プロキ
シサーバ21の接続元はクライアント10であり、認証
サーバ31がクライアント10とプロキシサーバ21と
の間の認証を行う。また、プロキシサーバ22の接続元
はプロキシサーバ21であり、認証サーバ32がプロキ
シサーバ21とプロキシサーバ22との間の認証を行
う。なお、認証サーバ31,32のハードウェアの構成
は、プロキシサーバ21,22と概略同様となってい
る。The authentication servers 31 and 32 are provided corresponding to the respective proxy servers 21 and 22. The corresponding proxy servers 21 and 22 and the proxy servers 2 and 22 are provided.
Authentication is performed between the connection sources 1 and 22. Here, the connection source of the proxy server 21 is the client 10, and the authentication server 31 performs authentication between the client 10 and the proxy server 21. The connection source of the proxy server 22 is the proxy server 21, and the authentication server 32 performs authentication between the proxy server 21 and the proxy server 22. The hardware configuration of the authentication servers 31 and 32 is substantially the same as that of the proxy servers 21 and 22.
【0022】認証サーバ31,32は、予め、対応する
プロキシサーバ21,22とこの接続元になるクライア
ント10あるいはプロキシサーバ21とのユーザ登録を
受け付ける。そして、クライアント10あるいはプロキ
シサーバ21,22に証明書を配布する。The authentication servers 31 and 32 receive in advance user registrations of the corresponding proxy servers 21 and 22 and the client 10 or the proxy server 21 as the connection source. Then, the certificate is distributed to the client 10 or the proxy servers 21 and 22.
【0023】本実施形態の場合、クライアント10から
APサーバ40へと接続を要求するユーザのユーザ情報
は、クライアント10に最も近いプロキシサーバ21の
属する認証サーバ31に登録される。認証サーバ31か
らは、ユーザの証明書31aがクライアント10に配布
される。また、プロキシサーバ21としてのユーザ情報
は、プロキシサーバ21の属する認証サーバ31と、次
に中継されるプロキシサーバ22の属する認証サーバ3
2に登録される。認証サーバ31からは証明書31bが
配布され、認証サーバ32から証明書32aが配布され
る。プロキシサーバ22としてのユーザ情報は認証サー
バ32に登録され、認証サーバ32から証明書32bが
配布される。In the case of this embodiment, the user information of the user who requests connection from the client 10 to the AP server 40 is registered in the authentication server 31 to which the proxy server 21 closest to the client 10 belongs. The authentication server 31 distributes the user certificate 31 a to the client 10. Further, the user information as the proxy server 21 includes the authentication server 31 to which the proxy server 21 belongs and the authentication server 3 to which the proxy server 22 to be relayed next belongs.
Registered in 2. The certificate 31b is distributed from the authentication server 31, and the certificate 32a is distributed from the authentication server 32. The user information as the proxy server 22 is registered in the authentication server 32, and the certificate 32b is distributed from the authentication server 32.
【0024】その上で、配布した証明書31a,31
b,32a,32bに基づいて、認証サーバ31,32
が対応するプロキシサーバ21,22とこの接続元との
間の認証をクライアント側から順番に行う。ユーザがク
ライアント10からAPサーバ40へ接続要求を行う
と、まず、認証サーバ31が証明書31aと証明書31
bとを入手して認証を行う。この認証が成功すれば、プ
ロキシサーバ21からプロキシサーバ22へ接続され、
認証サーバ32が証明書32aと証明書32bとを入手
して認証を行う。この認証が成功すると、所定の手順に
より、APサーバ40に最も近いプロキシサーバ22が
保有する証明書32bと、クライアント10が保有する
証明書31aとを、プロキシサーバ21を介して交換す
る。Then, the distributed certificates 31a, 31
b, 32a, 32b, the authentication servers 31, 32
Performs authentication between the corresponding proxy servers 21 and 22 and this connection source in order from the client side. When the user makes a connection request from the client 10 to the AP server 40, first, the authentication server 31 sends the certificate 31a and the certificate 31
b and obtain authentication. If this authentication is successful, the proxy server 21 connects to the proxy server 22 and
The authentication server 32 obtains the certificate 32a and the certificate 32b and performs authentication. If this authentication succeeds, the certificate 32b held by the proxy server 22 closest to the AP server 40 and the certificate 31a held by the client 10 are exchanged via the proxy server 21 by a predetermined procedure.
【0025】ここで、クライアント10とプロキシサー
バ21との間は、証明書31aと証明書31bとにより
認証された状態である。また、プロキシサーバ21とプ
ロキシサーバ22との間も、証明書32aと証明書32
bとにより認証された状態である。すなわち、クライア
ント10とプロキシサーバ22との間は、プロキシサー
バ21を介して認証済みの状態となっている。すると、
交換された証明書32b、証明書31aは互いに信頼で
きる証明書である。そこで、プロキシサーバ22は、ク
ライアント10を使用するユーザの証明書31aに基づ
いてAPサーバ40に接続を要求すると、クライアント
10とAPサーバ40との接続も確立させることが可能
となる。Here, the state between the client 10 and the proxy server 21 is authenticated by the certificate 31a and the certificate 31b. The certificate 32a and the certificate 32 are also provided between the proxy server 21 and the proxy server 22.
b. That is, the state between the client 10 and the proxy server 22 is already authenticated via the proxy server 21. Then
The exchanged certificate 32b and certificate 31a are mutually trusted certificates. Therefore, when the proxy server 22 requests connection to the AP server 40 based on the certificate 31a of the user who uses the client 10, the connection between the client 10 and the AP server 40 can be established.
【0026】したがって、ユーザ登録をクライアント1
0に最も近いプロキシサーバ21に対応する認証サーバ
31でのみ行うことで、各プロキシサーバにてユーザの
認証を行うことが可能となる。その際、認証サーバ間で
ユーザの証明書を受け渡す必要がない。なお、クライア
ント10とプロキシサーバ22との間が認証済みの状態
となったときに、クライアント10が保有する証明書3
1aだけをプロキシサーバ21を介してプロキシサーバ
22に受け渡すだけでもよい。この場合でも、証明書3
1aは信頼できる証明書であるため、この証明書31a
を用いて各プロキシサーバにてユーザの認証を行うこと
が可能である。Therefore, the user registration is performed by the client 1
By performing the process only in the authentication server 31 corresponding to the proxy server 21 closest to 0, the user can be authenticated in each proxy server. At that time, there is no need to transfer the user certificate between the authentication servers. Note that when the state between the client 10 and the proxy server 22 is authenticated, the certificate 3 held by the client 10
Only 1a may be passed to the proxy server 22 via the proxy server 21. Even in this case, Certificate 3
Since 1a is a trusted certificate, this certificate 31a
It is possible to authenticate the user at each proxy server by using.
【0027】次に、本認証システム100におけるクラ
イアント10、プロキシサーバ21,22にて実行され
る処理をフローチャートに沿って説明する。なお、本フ
ローでは、プロキシサーバ21が保有する証明書31
b,32aもクライアント10あるいはプロキシサーバ
22に受け渡すことでより確実に認証を行う構成として
いる。図2、図3、図4は、それぞれクライアント1
0、プロキシサーバ21、プロキシサーバ22にて実行
される処理の概略を示すフローチャートである。Next, processing executed by the client 10 and the proxy servers 21 and 22 in the authentication system 100 will be described with reference to flowcharts. In this flow, the certificate 31 held by the proxy server 21 is used.
Also, b and 32a are configured to more reliably perform authentication by being passed to the client 10 or the proxy server 22. 2, 3, and 4 each show the client 1
9 is a flowchart showing an outline of processing executed by the proxy server 21 and the proxy server 22.
【0028】まず、ユーザがクライアント10からAP
サーバ40へ接続要求を行うと(図2のステップS10
0)、プロキシサーバ21はクライアント10からAP
サーバ40への接続要求を受信する(図3のステップS
200)。そして、プロキシサーバ21は、接続してき
たユーザの認証を認証サーバ31へ要求する(ステップ
S205)。認証サーバ31から認証結果を受信すると
(ステップS210)、ユーザの認証が成功かどうかを
判断する(ステップS215)。認証が失敗であれば、
ユーザからAPサーバ40への接続要求を拒否するとと
もに、接続要求拒否をクライアント10に通知し(ステ
ップS220)、本フローを終了する。この場合、クラ
イアント10では図示しないフローにて図2のフローを
終了する。認証が成功であれば、接続先のプロキシサー
バ22へAPサーバ40への接続要求を行う(ステップ
S225)。First, the user inputs an AP from the client 10.
When a connection request is made to the server 40 (step S10 in FIG. 2).
0), the proxy server 21 sends the AP
Receiving a connection request to the server 40 (step S in FIG. 3)
200). Then, the proxy server 21 requests the authentication server 31 to authenticate the connected user (step S205). When the authentication result is received from the authentication server 31 (step S210), it is determined whether the authentication of the user is successful (step S215). If authentication fails,
In addition to rejecting the connection request from the user to the AP server 40, the connection request rejection is notified to the client 10 (step S220), and the present flow ends. In this case, the client 10 ends the flow of FIG. If the authentication is successful, a connection request to the AP server 40 is made to the connection destination proxy server 22 (step S225).
【0029】プロキシサーバ22は、プロキシサーバ2
1からAPサーバ40への接続要求を受信すると(図4
のステップS300)、接続してきたプロキシサーバ2
1の認証を認証サーバ32へ要求する(ステップS30
5)。認証サーバ32からその認証結果を受信すると
(ステップS310)、プロキシサーバ21の認証が成
功かどうかを判断する(ステップS315)。認証が失
敗であれば、プロキシサーバ21からAPサーバ40へ
の接続要求を拒否するとともに、接続要求拒否をプロキ
シサーバ21に通知し(ステップS320)、図4のフ
ローを終了する。この場合、プロキシサーバ21では図
示しないフローで接続要求拒否をクライアント10に通
知し、図3のフローを終了する。認証が成功であれば、
プロキシサーバ22は、接続元のプロキシサーバ21に
対して、APサーバ40へ接続要求を行っているユーザ
の証明書要求を送信する(ステップS325)。その
際、自らが保有する認証済みの証明書32bを添付して
いる。The proxy server 22 is a proxy server 2
4 receives a connection request from AP 1 to AP server 40 (FIG. 4).
Step S300), the connected proxy server 2
1 is requested to the authentication server 32 (step S30).
5). When the authentication result is received from the authentication server 32 (step S310), it is determined whether the authentication of the proxy server 21 is successful (step S315). If the authentication fails, the connection request from the proxy server 21 to the AP server 40 is rejected, and the connection request rejection is notified to the proxy server 21 (step S320), and the flow of FIG. 4 ends. In this case, the proxy server 21 notifies the client 10 of the rejection of the connection request by a flow not shown, and ends the flow of FIG. If the authentication is successful,
The proxy server 22 transmits the certificate request of the user making the connection request to the AP server 40 to the connection source proxy server 21 (step S325). At this time, it has attached its authenticated certificate 32b.
【0030】すると、プロキシサーバ21は、プロキシ
サーバ22から、APサーバ40へ接続要求を行ってい
るユーザの証明書要求を受信する(図3のステップS2
30)。そして、認証サーバ32で認証済みの証明書3
2bが添付されていることを確認する(ステップS23
5)。その上で、プロキシサーバ21はクライアント1
0に対して、APサーバ40へ接続要求を行っているユ
ーザの証明書要求を送信する(ステップS240)。そ
の際、証明書32bとあわせて、プロキシサーバ21が
保有する認証済みの証明書31bをさらに添付してい
る。Then, the proxy server 21 receives, from the proxy server 22, a certificate request of the user making a connection request to the AP server 40 (step S2 in FIG. 3).
30). Then, the certificate 3 authenticated by the authentication server 32
2b is checked (step S23).
5). Then, the proxy server 21
For 0, a certificate request of the user making the connection request is transmitted to the AP server 40 (step S240). At this time, an authenticated certificate 31b held by the proxy server 21 is further attached together with the certificate 32b.
【0031】クライアント10では、プロキシサーバ2
1から、所定時間内にAPサーバ40へ接続要求を行っ
ているユーザの証明書要求を受信したかどうかを判断す
る(図2のステップS105)。プロキシサーバ21か
ら接続要求拒否が通知されるか、所定時間内にユーザの
証明書要求を受信しなかった場合は、APサーバ40へ
の接続要求を取り消す。したがって、通信の状態が良好
でない等の場合に、APサーバ40への接続要求を必要
以上に長時間行うことがない。In the client 10, the proxy server 2
From 1, it is determined whether a certificate request of the user making a connection request to the AP server 40 has been received within a predetermined time (step S105 in FIG. 2). When the connection request rejection is notified from the proxy server 21 or when the user's certificate request is not received within a predetermined time, the connection request to the AP server 40 is canceled. Therefore, when the communication state is not good or the like, a connection request to the AP server 40 is not made longer than necessary.
【0032】ユーザの証明書要求を受信した場合(ステ
ップS110)、プロキシサーバ21に配布された証明
書31bが添付されているとともに、認証サーバ31で
認証済みであることを確認する(ステップS115)。
また、証明書要求元であるAPサーバ40に最も近いプ
ロキシサーバ22に配布された証明書32bが添付され
ているとともに、認証サーバ32で認証済みであること
を確認する(ステップS120)。そこで、クライアン
ト10は、プロキシサーバ21に対して、APサーバ4
0へ接続要求を行っているユーザの証明書31aを送信
し(ステップS125)、図2のフローを終了する。When the user's certificate request is received (step S110), it is confirmed that the certificate 31b distributed to the proxy server 21 is attached and that the authentication has been performed by the authentication server 31 (step S115). .
Also, it is confirmed that the certificate 32b distributed to the proxy server 22 closest to the AP server 40 that is the certificate requester is attached and that the certificate has been authenticated by the authentication server 32 (step S120). Therefore, the client 10 sends the AP server 4 to the proxy server 21.
Then, the certificate 31a of the user making the connection request is transmitted to step S125 (step S125), and the flow of FIG. 2 ends.
【0033】プロキシサーバ21では、クライアント1
0から、APサーバ40へ接続要求を行っているユーザ
の証明書31aを受信する(図3のステップS24
5)。そして、証明書31aが認証サーバ31で認証済
みであることを確認する(ステップS250)。その上
で、プロキシサーバ22に対して、APサーバ40へ接
続要求を行っているユーザの証明書31aを送信し(ス
テップS255)、図3のフローを終了する。その際、
プロキシサーバ21に配布された認証済みの証明書32
aをさらに添付している。In the proxy server 21, the client 1
0, the certificate 31a of the user making the connection request to the AP server 40 is received (step S24 in FIG. 3).
5). Then, it is confirmed that the certificate 31a has been authenticated by the authentication server 31 (step S250). Then, the certificate 31a of the user making the connection request to the AP server 40 is transmitted to the proxy server 22 (step S255), and the flow of FIG. 3 ends. that time,
Authenticated certificate 32 distributed to proxy server 21
a is further attached.
【0034】プロキシサーバ22では、プロキシサーバ
21から、APサーバ40へ接続要求を行っているユー
ザの証明書31aを受信する(図4のステップS33
0)。そして、認証サーバ32で認証済みの証明書32
aが添付されていることを確認する(ステップS33
5)。また、APサーバ40へ接続要求を行っているユ
ーザの証明書31aも認証済みであることを確認する
(ステップS340)。その結果、プロキシサーバ22
とユーザとが相互に認証できたこととなり、プロキシサ
ーバ22はAPサーバ40へ接続要求を送信する(ステ
ップS345)。すると、プロキシサーバ21,22を
介してクライアント10とAPサーバ40との接続を確
立させることが可能である。The proxy server 22 receives, from the proxy server 21, the certificate 31a of the user making the connection request to the AP server 40 (step S33 in FIG. 4).
0). Then, the certificate 32 authenticated by the authentication server 32
a is attached (step S33)
5). Further, it is confirmed that the certificate 31a of the user making the connection request to the AP server 40 has also been authenticated (step S340). As a result, the proxy server 22
The proxy server 22 transmits a connection request to the AP server 40 (step S345). Then, it is possible to establish a connection between the client 10 and the AP server 40 via the proxy servers 21 and 22.
【0035】このように、本認証システム100では、
配布された証明書に基づいて、認証サーバにて対応する
プロキシサーバとこの接続元との間の認証がクライアン
ト側から順番に行われる。そして、クライアント10に
配布された証明書31aがプロキシサーバ21を介して
APサーバ40に最も近いプロキシサーバ22に受け渡
される。したがって、すべての認証サーバにクライアン
トを使用するユーザを登録する必要がなく、各プロキシ
サーバにてユーザを認証することが可能となる。その
際、登録されたユーザの証明書を認証サーバ間で受け渡
していくという特別の機能は不要である。As described above, in the present authentication system 100,
Based on the distributed certificate, authentication between the corresponding proxy server and the connection source is performed by the authentication server in order from the client side. Then, the certificate 31 a distributed to the client 10 is transferred to the proxy server 22 closest to the AP server 40 via the proxy server 21. Therefore, it is not necessary to register the user who uses the client in every authentication server, and the user can be authenticated in each proxy server. At this time, a special function of transferring the registered user's certificate between the authentication servers is unnecessary.
【0036】また、クライアントは、各プロキシサーバ
が保有する認証済みの証明書を受け取って確認したうえ
で、自らが保有する認証済みの証明書をプロキシサーバ
に引き渡す。さらに、クライアントとサーバに最も近い
プロキシサーバとを中継するプロキシサーバが保有する
認証済みの証明書も、クライアントやサーバに最も近い
プロキシサーバに受け渡され、確認される。したがっ
て、より確実に認証が行われる。The client receives and confirms the authenticated certificate held by each proxy server, and then passes the authenticated certificate held by the client to the proxy server. Furthermore, the authenticated certificate held by the proxy server that relays between the client and the proxy server closest to the server is also passed to the proxy server closest to the client or server and is confirmed. Therefore, authentication is performed more reliably.
【0037】なお、本発明は、クライアントとサーバと
を中継するプロキシサーバが三台以上ある場合にも適用
することが可能である。図5は、変形例にかかる認証シ
ステムを概略図により示している。図5において、認証
システム200は、クライアント10、プロキシサーバ
21,23,22、認証サーバ31,33,32とから
構成されている。すなわち、クライアント10とAPサ
ーバ40とを中継するプロキシサーバは三台あり、この
プロキシサーバに対応して設けられている認証サーバも
三台あることになる。なお、新たに設けられているプロ
キシサーバ23、認証サーバ33のハードウェア構成は
概略他のプロキシサーバ、認証サーバと同様であるの
で、説明を省略する。The present invention can be applied to a case where there are three or more proxy servers for relaying a client and a server. FIG. 5 is a schematic diagram showing an authentication system according to a modification. In FIG. 5, the authentication system 200 includes a client 10, proxy servers 21, 23, and 22 and authentication servers 31, 33, and 32. That is, there are three proxy servers that relay the client 10 and the AP server 40, and there are also three authentication servers provided corresponding to the proxy servers. Note that the hardware configurations of the newly provided proxy server 23 and authentication server 33 are substantially the same as those of the other proxy servers and authentication servers, and a description thereof will be omitted.
【0038】認証システム200では、認証サーバ31
が、クライアント10に証明書31aを配布し、プロキ
シサーバ21に証明書31bを配布している。また、認
証サーバ33は、プロキシサーバ21に証明書33aを
配布し、プロキシサーバ23に証明書33bを配布して
いる。そして、認証サーバ32が、プロキシサーバ23
に証明書32aを配布し、プロキシサーバ22に証明書
32bを配布している。In the authentication system 200, the authentication server 31
Distributes the certificate 31 a to the client 10 and distributes the certificate 31 b to the proxy server 21. The authentication server 33 distributes the certificate 33a to the proxy server 21 and distributes the certificate 33b to the proxy server 23. Then, the authentication server 32
The certificate 32a is distributed to the proxy server 22, and the certificate 32b is distributed to the proxy server 22.
【0039】以下、本認証システム200におけるクラ
イアント10、プロキシサーバ21,23,22にて実
行される処理をフローチャートに沿って説明する。図
6、図7、図8は、それぞれプロキシサーバ21、プロ
キシサーバ23、プロキシサーバ22にて実行される処
理の概略を示すフローチャートである。なお、クライア
ント10で実行される処理の概略は図2と同様である。The processing executed by the client 10 and the proxy servers 21, 23, and 22 in the authentication system 200 will be described below with reference to flowcharts. FIGS. 6, 7, and 8 are flowcharts illustrating the outline of the processing executed by the proxy server 21, the proxy server 23, and the proxy server 22, respectively. The outline of the processing executed by the client 10 is the same as that in FIG.
【0040】まず、ユーザがクライアント10からAP
サーバ40へ接続要求を行うと(図2のステップS10
0)、プロキシサーバ21はクライアント10からAP
サーバ40への接続要求を受信する(図6のステップS
400)。そして、プロキシサーバ21は、ユーザの認
証を認証サーバ31へ要求する(ステップS405)。
認証サーバ31から認証結果を受信すると(ステップS
410)、ユーザの認証が成功かどうかを判断する(ス
テップS415)。認証が失敗であれば、ユーザからの
接続要求を拒否するとともに、接続要求拒否をクライア
ント10に通知し(ステップS420)、本フローを終
了する。この場合、クライアント10では図示しないフ
ローにて図2のフローを終了する。認証が成功であれ
ば、プロキシサーバ21はプロキシサーバ23へAPサ
ーバ40への接続要求を行う(ステップS425)。First, the user inputs an AP from the client 10.
When a connection request is made to the server 40 (step S10 in FIG. 2).
0), the proxy server 21 sends the AP
A connection request to the server 40 is received (step S in FIG. 6).
400). Then, the proxy server 21 requests the authentication server 31 to authenticate the user (step S405).
Upon receiving the authentication result from the authentication server 31 (step S
410), it is determined whether the user authentication is successful (step S415). If the authentication is unsuccessful, the connection request from the user is rejected, and the client 10 is notified of the rejection of the connection request (step S420), and the flow ends. In this case, the client 10 ends the flow of FIG. If the authentication is successful, the proxy server 21 requests the proxy server 23 to connect to the AP server 40 (step S425).
【0041】プロキシサーバ23は、プロキシサーバ2
1からAPサーバ40への接続要求を受信すると(図7
のステップS500)、プロキシサーバ21の認証を認
証サーバ33へ要求する(ステップS505)。認証サ
ーバ33からその認証結果を受信すると(ステップS5
10)、プロキシサーバ21の認証が成功かどうかを判
断する(ステップS515)。認証が失敗であれば、A
Pサーバ40への接続要求を拒否するとともに、接続要
求拒否をプロキシサーバ21に通知し(ステップS52
0)、図7のフローを終了する。この場合、プロキシサ
ーバ21では図示しないフローで接続要求拒否をクライ
アント10に通知し、図6のフローを終了する。認証が
成功であれば、接続先にさらにプロキシサーバ22があ
るため、プロキシサーバ22へAPサーバ40への接続
要求を行う(ステップS525)。The proxy server 23 is a proxy server 2
7 receives a connection request to the AP server 40 from FIG.
Of the proxy server 21 to the authentication server 33 (step S505). Upon receiving the authentication result from the authentication server 33 (step S5)
10), it is determined whether or not the authentication of the proxy server 21 is successful (step S515). If authentication fails, A
The connection request to the P server 40 is rejected, and the rejection of the connection request is notified to the proxy server 21 (step S52).
0), the flow of FIG. 7 ends. In this case, the proxy server 21 notifies the client 10 of the rejection of the connection request by a flow not shown, and ends the flow of FIG. If the authentication is successful, there is another proxy server 22 at the connection destination, so a connection request to the AP server 40 is made to the proxy server 22 (step S525).
【0042】プロキシサーバ22は、プロキシサーバ2
3からAPサーバ40への接続要求を受信すると(図8
のステップS600)、プロキシサーバ23の認証を認
証サーバ32へ要求する(ステップS605)。認証サ
ーバ32からその認証結果を受信すると(ステップS6
10)、プロキシサーバ23の認証が成功かどうかを判
断する(ステップS615)。認証が失敗であれば、A
Pサーバ40への接続要求を拒否するとともに、接続要
求拒否をプロキシサーバ23に通知し(ステップS62
0)、図8のフローを終了する。この場合、接続要求拒
否の通知は、さらにプロキシサーバ21、クライアント
10の順に伝達され、図7と図6のフローは終了する。
認証が成功であれば、自らが保有する認証済みの証明書
32bを添付して、接続元のプロキシサーバ23にユー
ザの証明書要求を送信する(ステップS625)。The proxy server 22 is a proxy server 2
3 receives a connection request to the AP server 40 from FIG.
, The authentication server 32 requests the authentication server 32 to authenticate the proxy server 23 (step S605). Upon receiving the authentication result from the authentication server 32 (step S6)
10), it is determined whether the authentication of the proxy server 23 is successful (step S615). If authentication fails, A
The connection request to the P server 40 is rejected, and the rejection of the connection request is notified to the proxy server 23 (step S62).
0), the flow of FIG. 8 ends. In this case, the notification of rejection of the connection request is transmitted to the proxy server 21 and the client 10 in this order, and the flow in FIGS. 7 and 6 ends.
If the authentication is successful, the user attaches the authenticated certificate 32b owned by the user and transmits the user's certificate request to the proxy server 23 of the connection source (step S625).
【0043】すると、プロキシサーバ23は、プロキシ
サーバ22から、ユーザの証明書要求を受信する(図7
のステップS530)。そして、認証サーバ32で認証
済みの証明書32bが添付されていることを確認する
(ステップS535)。その上で、さらに認証済みの証
明書33bを添付して、プロキシサーバ23は接続元の
プロキシサーバ21にユーザの証明書要求を送信する
(ステップS540)。プロキシサーバ21では、プロ
キシサーバ23から、ユーザの証明書要求を受信する
(図5のステップS430)。そして、認証サーバ33
で認証済みの証明書33bが添付されていることを確認
する(ステップS435)。その上で、さらに認証済み
の証明書31bを添付して、プロキシサーバ23は接続
元のプロキシサーバ21にユーザの証明書要求を送信す
る(ステップS440)。Then, the proxy server 23 receives the user's certificate request from the proxy server 22 (FIG. 7).
Step S530). Then, it is confirmed that the certificate 32b authenticated by the authentication server 32 is attached (step S535). Then, the proxy server 23 sends the user's certificate request to the connection-source proxy server 21 with the authenticated certificate 33b attached (step S540). The proxy server 21 receives the user's certificate request from the proxy server 23 (step S430 in FIG. 5). And the authentication server 33
Confirms that the authenticated certificate 33b is attached (step S435). Then, the proxy server 23 sends the user's certificate request to the connection-source proxy server 21 with the authenticated certificate 31b attached (step S440).
【0044】クライアント10では、プロキシサーバ2
1から、所定時間内にユーザの証明書要求を受信したか
どうかを判断する(図2のステップS105)。プロキ
シサーバ21から接続要求拒否が通知されるか、所定時
間内にユーザの証明書要求を受信しなかった場合は、A
Pサーバ40への接続要求を取り消す。ユーザの証明書
要求を受信した場合(ステップS110)、プロキシサ
ーバ21が保有する認証済みの証明書31bを確認する
(ステップS115)。また、プロキシサーバ23が保
有する認証済みの証明書33bを確認する。さらに、証
明書要求元であるAPサーバ40に最も近いプロキシサ
ーバ22に配布された証明書32bが添付されていると
ともに、認証サーバ32で認証済みであることを確認す
る(ステップS120)。その上で、クライアント10
は、プロキシサーバ21にユーザの証明書31aを送信
し(ステップS125)、図2のフローを終了する。In the client 10, the proxy server 2
From 1, it is determined whether or not the user's certificate request has been received within a predetermined time (step S 105 in FIG. 2). If the connection request rejection is notified from the proxy server 21 or the user's certificate request is not received within a predetermined time, A
The connection request to the P server 40 is canceled. When the user's certificate request is received (step S110), the authenticated certificate 31b held by the proxy server 21 is confirmed (step S115). Further, the authenticated certificate 33b held by the proxy server 23 is confirmed. Further, it is confirmed that the certificate 32b distributed to the proxy server 22 closest to the AP server 40 which is the certificate requester is attached and that the certificate has been authenticated by the authentication server 32 (step S120). Then, the client 10
Transmits the user certificate 31a to the proxy server 21 (step S125), and ends the flow of FIG.
【0045】プロキシサーバ21では、クライアント1
0からユーザの証明書31aを受信し(図6のステップ
S445)、証明書31aが認証サーバ31で認証済み
であることを確認する(ステップS450)。そして、
プロキシサーバ21に配布された認証済みの証明書32
aをさらに添付して、プロキシサーバ22にユーザの証
明書31aを送信し(ステップS455)、図6のフロ
ーを終了する。プロキシサーバ23では、接続元のプロ
キシサーバ21からユーザの証明書31aを受信し(図
7のステップS545)、認証サーバ33で認証済みの
証明書33aが添付されていることを確認する(ステッ
プS550)。そして、プロキシサーバ23に配布され
た認証済みの証明書33aをさらに添付して、プロキシ
サーバ22にユーザの証明書31aを送信し(ステップ
S555)、図7のフローを終了する。In the proxy server 21, the client 1
The certificate 31a of the user is received from 0 (step S445 in FIG. 6), and it is confirmed that the certificate 31a has been authenticated by the authentication server 31 (step S450). And
Authenticated certificate 32 distributed to proxy server 21
a is further attached, and the user certificate 31a is transmitted to the proxy server 22 (step S455), and the flow of FIG. 6 ends. The proxy server 23 receives the user certificate 31a from the proxy server 21 of the connection source (step S545 in FIG. 7), and confirms that the certificate 33a authenticated by the authentication server 33 is attached (step S550). ). Then, the authenticated certificate 33a distributed to the proxy server 23 is further attached, and the user certificate 31a is transmitted to the proxy server 22 (step S555), and the flow of FIG. 7 ends.
【0046】プロキシサーバ22では、プロキシサーバ
23からユーザの証明書31aを受信し(図8のステッ
プS630)、プロキシサーバ23が保有する認証済み
の証明書32aが添付されていることを確認する(ステ
ップS635)。また、プロキシサーバ21が保有する
証明書33aを確認する。そして、ユーザの証明書31
aも確認する(ステップS640)。その結果、プロキ
シサーバ22とユーザとが相互に認証できたこととな
り、プロキシサーバ22はAPサーバ40へ接続要求を
送信する(ステップS645)。すると、プロキシサー
バ21,23,22を介してクライアント10とAPサ
ーバ40との接続を確立させることが可能である。The proxy server 22 receives the user certificate 31a from the proxy server 23 (step S630 in FIG. 8) and confirms that the authenticated certificate 32a held by the proxy server 23 is attached (step S630). Step S635). Also, the certificate 33a held by the proxy server 21 is confirmed. And the user's certificate 31
a is also checked (step S640). As a result, the proxy server 22 and the user are successfully authenticated, and the proxy server 22 transmits a connection request to the AP server 40 (step S645). Then, it is possible to establish a connection between the client 10 and the AP server 40 via the proxy servers 21, 23, 22.
【0047】このように、クライアントとサーバを中継
するプロキシサーバが三台ある本認証システム200で
も、すべての認証サーバにユーザを登録する必要がな
く、各プロキシサーバにてクライアントを認証すること
が可能である。また、登録されたユーザの証明書を認証
サーバ間で受け渡していくという特別の機能も不要であ
る。また、中継するプロキシサーバが四台以上ある認証
システムであっても、プロキシサーバ間に介在するプロ
キシサーバ23と同様の処理を行うことにより、上述の
認証を行うことが可能となる。As described above, even in the present authentication system 200 having three proxy servers for relaying a client and a server, it is not necessary to register the user in all the authentication servers, and each proxy server can authenticate the client. It is. Also, there is no need for a special function of transferring registered user certificates between authentication servers. Even in an authentication system having four or more proxy servers to be relayed, the above-described authentication can be performed by performing the same processing as that of the proxy server 23 interposed between the proxy servers.
【0048】[0048]
【発明の効果】以上説明したように、本発明は、登録さ
れたユーザの証明書を認証サーバ間で受け渡す必要な
く、各プロキシサーバにてクライアントを使用するユー
ザの認証を行うことが可能な認証システムを提供するこ
とができる。また、請求項2にかかる発明によれば、サ
ーバに最も近いプロキシサーバにて、クライアントを使
用するユーザの認証を行うことが可能となる。さらに、
請求項3にかかる発明によれば、プロキシサーバは、他
のプロキシサーバが保有する認証済みの証明書も確認す
ることができるので、より確実に認証を行うことが可能
となる。As described above, according to the present invention, each proxy server can authenticate a user who uses a client without having to transfer a certificate of a registered user between authentication servers. An authentication system can be provided. According to the second aspect of the present invention, it is possible to authenticate a user who uses a client at a proxy server closest to the server. further,
According to the third aspect of the present invention, since the proxy server can also confirm the authenticated certificate held by another proxy server, it is possible to perform authentication more reliably.
【0049】さらに、請求項4にかかる発明によれば、
クライアントはプロキシサーバが保有する認証済みの証
明書を確認することができるので、より確実に認証を行
うことが可能となる。さらに、請求項5にかかる発明に
よれば、本システムの利用価値をより高めることができ
る。さらに、請求項6にかかる発明によれば、登録され
たユーザの証明書を認証サーバ間で受け渡す必要なく、
各プロキシサーバにてクライアントを使用するユーザの
認証を行うことが可能な認証方法を提供することができ
る。Further, according to the invention of claim 4,
Since the client can confirm the authenticated certificate held by the proxy server, the authentication can be performed more reliably. Further, according to the invention of claim 5, the utility value of the present system can be further enhanced. Further, according to the invention according to claim 6, there is no need to transfer the certificate of the registered user between the authentication servers,
An authentication method capable of authenticating a user who uses a client in each proxy server can be provided.
【図1】本発明の一実施形態にかかる認証システムを示
す概略図である。FIG. 1 is a schematic diagram showing an authentication system according to an embodiment of the present invention.
【図2】クライアントにて実行される処理の概略を示す
フローチャートである。FIG. 2 is a flowchart illustrating an outline of a process executed by a client.
【図3】クライアントとプロキシサーバを中継するプロ
キシサーバにて実行される処理の概略を示すフローチャ
ートである。FIG. 3 is a flowchart illustrating an outline of a process executed by a proxy server that relays a client and a proxy server;
【図4】サーバに最も近いプロキシサーバにて実行され
る処理の概略を示すフローチャートである。FIG. 4 is a flowchart illustrating an outline of a process executed by a proxy server closest to the server;
【図5】変形例にかかる認証システムを示す概略図であ
る。FIG. 5 is a schematic diagram showing an authentication system according to a modification.
【図6】クライアントとプロキシサーバを中継するプロ
キシサーバにて実行される処理の概略を示すフローチャ
ートである。FIG. 6 is a flowchart illustrating an outline of a process executed by a proxy server that relays a client and a proxy server.
【図7】プロキシサーバどうしを中継するプロキシサー
バにて実行される処理の概略を示すフローチャートであ
る。FIG. 7 is a flowchart illustrating an outline of a process executed by a proxy server that relays between proxy servers;
【図8】サーバに最も近いプロキシサーバにて実行され
る処理の概略を示すフローチャートである。FIG. 8 is a flowchart showing an outline of processing executed by a proxy server closest to the server.
10 クライアント 100,200 認証システム 21,22,23 プロキシサーバ 31,32,33 認証サーバ 31a,31b,32a,32b,33a,33b 証
明書 40 APサーバ10 Client 100, 200 Authentication system 21, 22, 23 Proxy server 31, 32, 33 Authentication server 31a, 31b, 32a, 32b, 33a, 33b Certificate 40 AP server
Claims (6)
この通信回線に接続されてこのクライアントとサーバと
の間に介在する複数のプロキシサーバと、上記通信回線
に接続されてそれぞれの上記プロキシサーバに対応して
設けられるとともに、対応する上記プロキシサーバの接
続元との間の認証を上記クライアント側から順番に行う
複数の認証サーバとを具備する認証システムであって、 上記認証サーバは、対応する上記プロキシサーバとこの
プロキシサーバへの接続元とに配布した証明書に基づい
て認証を行い、 上記プロキシサーバは、接続先から上記クライアントに
証明書を要求する証明書要求が入力されたときこの証明
書要求を接続元へ送信するとともに、接続元から送信さ
れた上記クライアントに配布された上記証明書を接続先
へ送信し、 上記クライアントは、接続先からの上記証明書要求に応
じて配布された上記証明書を接続先へ送信することを特
徴とする認証システム。1. A client connected to a communication line,
A plurality of proxy servers connected to the communication line and interposed between the client and the server, and a plurality of proxy servers connected to the communication line and provided corresponding to the respective proxy servers, and connected to the corresponding proxy servers; An authentication system comprising: a plurality of authentication servers for performing authentication from a client in order from the client side, wherein the authentication server is distributed to the corresponding proxy server and a connection source to the proxy server. The proxy server performs authentication based on the certificate, and transmits a certificate request to the connection source when a certificate request for a certificate is input from the connection destination to the client, and transmits the certificate request from the connection source. The client sends the certificate distributed to the client to the connection destination, and the client sends the certificate from the connection destination. Authentication system and transmits the certificate distributed on demand to the destination.
いて、 上記サーバに最も近いプロキシサーバは、接続元との間
の認証が完了したとき、この接続元へ上記証明書要求を
送信することを特徴とする認証システム。2. The authentication system according to claim 1, wherein the proxy server closest to the server transmits the certificate request to the connection source when the authentication with the connection source is completed. Characteristic authentication system.
かに記載の認証システムにおいて、 上記プロキシサーバは、上記クライアントに配布された
上記証明書とあわせて、自らに配布された上記証明書を
接続先へ送信することを特徴とする認証システム。3. The authentication system according to claim 1, wherein the proxy server sends the certificate distributed to the client together with the certificate distributed to the client. An authentication system for transmitting to a connection destination.
載の認証システムにおいて、 上記プロキシサーバは、自らに配布された上記証明書を
上記証明書要求に添付して接続元へ送信し、 上記クライアントは、上記プロキシサーバに配布された
上記証明書を確認して、配布された上記証明書を接続先
へ送信することを特徴とする認証システム。4. The authentication system according to claim 1, wherein the proxy server attaches the certificate distributed to itself to the certificate request and transmits the certificate to a connection source. The authentication system, wherein the client confirms the certificate distributed to the proxy server, and transmits the distributed certificate to a connection destination.
載の認証システムにおいて、 上記クライアントは、上記サーバへの接続を要求してか
ら所定時間内に上記証明書要求を入手することができな
いとき、自らに配布された証明書の引き渡しを中止する
ことを特徴とする認証システム。5. The authentication system according to claim 1, wherein the client obtains the certificate request within a predetermined time after requesting a connection to the server. An authentication system characterized by stopping delivery of a certificate distributed to oneself when unable to do so.
この通信回線に接続されてこのクライアントとサーバと
の間に介在する複数のプロキシサーバと、上記通信回線
に接続されてそれぞれの上記プロキシサーバに対応して
設けられるとともに、対応する上記プロキシサーバの接
続元との間の認証を上記クライアント側から順番に行う
複数の認証サーバとにより構成される認証方法であっ
て、 上記認証サーバにて、対応する上記プロキシサーバとこ
のプロキシサーバへの接続元とに配布した証明書に基づ
いて認証を行い、 上記プロキシサーバにて、接続先から上記クライアント
に証明書を要求する証明書要求が入力されたときこの証
明書要求を接続元へ送信するとともに、接続元から送信
された上記クライアントに配布された上記証明書を接続
先へ送信し、 上記クライアントにて、接続先からの上記証明書要求に
応じて配布された上記証明書を接続先へ送信することで
認証を行うことを特徴とする認証方法。6. A client connected to a communication line,
A plurality of proxy servers connected to the communication line and interposed between the client and the server, and a plurality of proxy servers connected to the communication line and provided corresponding to the respective proxy servers, and connected to the corresponding proxy servers; An authentication method configured by a plurality of authentication servers that perform authentication from a client side in order from the client side, wherein the authentication server communicates with the corresponding proxy server and a connection source to the proxy server. Authenticates based on the distributed certificate. When the proxy server inputs a certificate request to the client from the connection destination, the certificate request is sent to the connection source. Sends the certificate distributed to the client sent from the client to the connection destination. Authentication method and performing authentication by sending the certificate distributed in accordance with the serial certificate request to the destination.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000162507A JP2001344207A (en) | 2000-05-31 | 2000-05-31 | Certification system and its method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000162507A JP2001344207A (en) | 2000-05-31 | 2000-05-31 | Certification system and its method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001344207A true JP2001344207A (en) | 2001-12-14 |
Family
ID=18666397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000162507A Pending JP2001344207A (en) | 2000-05-31 | 2000-05-31 | Certification system and its method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001344207A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005278144A (en) * | 2004-02-26 | 2005-10-06 | Ricoh Co Ltd | Communication device, service providing method, service providing program, and storage medium |
| JP2007531093A (en) * | 2004-03-25 | 2007-11-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Grid mutual authentication by generating proxy certificate |
-
2000
- 2000-05-31 JP JP2000162507A patent/JP2001344207A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005278144A (en) * | 2004-02-26 | 2005-10-06 | Ricoh Co Ltd | Communication device, service providing method, service providing program, and storage medium |
| JP2007531093A (en) * | 2004-03-25 | 2007-11-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Grid mutual authentication by generating proxy certificate |
| JP4721191B2 (en) * | 2004-03-25 | 2011-07-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Grid mutual authentication by generating proxy certificate |
| US8041955B2 (en) | 2004-03-25 | 2011-10-18 | International Business Machines Corporation | Grid mutual authorization through proxy certificate generation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2232401B1 (en) | System, method and program product for consolidated authentication | |
| US20070199059A1 (en) | System, method and program for user authentication, and recording medium on which the program is recorded | |
| KR101187373B1 (en) | Member registration method and community service system | |
| US7552468B2 (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
| US8365256B2 (en) | Authentication server with link state monitor and credential cache | |
| US6088725A (en) | Mobile computer supporting system, its administrative server, its terminal, and address conversion method | |
| US20100088698A1 (en) | Techniques for managing communication sessions | |
| WO2013099065A1 (en) | Authentication coordination system and id provider device | |
| US8856906B2 (en) | Authentication processing method and system | |
| US20040117489A1 (en) | Method and system for web-based switch-user operation | |
| JP2005538434A (en) | Method and system for user-based authentication in a federated environment | |
| RU2344473C2 (en) | Network system, proxy-server, method of session control | |
| US9100277B2 (en) | Client credentials data structure and method of employing the same | |
| CN112367666B (en) | Method, device and system for allowing pNF in 5G core network to pass NRF authentication cNF | |
| US7784085B2 (en) | Enabling identity information exchange between circles of trust | |
| CN101360107A (en) | Method, system and apparatus enhancing security of single system login | |
| JP2001344207A (en) | Certification system and its method | |
| CN101697515A (en) | Web mode-based authentication method, system and device | |
| JP4352210B2 (en) | Access management server, network device, network system | |
| JPH11328117A (en) | User managing method of authentication system | |
| CN112367665B (en) | Method, device and system for allowing pNF in 5G core network to pass NRF authentication cNF | |
| JP2003032281A (en) | Access guidance apparatus and method | |
| JP2014154112A (en) | Communication data relay device and program | |
| JP5749222B2 (en) | Access permission control system and access permission control method | |
| JP2004272486A (en) | Network communication system, and communication terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040610 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040727 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041207 |