JP2002189976A - 認証システムおよび認証方法 - Google Patents
認証システムおよび認証方法Info
- Publication number
- JP2002189976A JP2002189976A JP2000386510A JP2000386510A JP2002189976A JP 2002189976 A JP2002189976 A JP 2002189976A JP 2000386510 A JP2000386510 A JP 2000386510A JP 2000386510 A JP2000386510 A JP 2000386510A JP 2002189976 A JP2002189976 A JP 2002189976A
- Authority
- JP
- Japan
- Prior art keywords
- server
- client
- authentication
- session key
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 42
- 238000012545 processing Methods 0.000 claims description 44
- 238000012508 change request Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 16
- 230000003287 optical effect Effects 0.000 description 5
- 230000010365 information processing Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
(57)【要約】
【課題】 認証済みのユーザに対する次回からの接続要
求時には認証を行わず、短時間でのデータ交換を可能に
する。 【解決手段】 クライアント1から認証サーバ2に対し
て、サーバ3への接続要求を行うと、認証サーバ2はク
ライアント1とそれぞれの証明書を交換し認証を行い、
その際、クライアント1のアドレスと認証時に生成した
セション鍵の組みをユーザ情報2bで記憶し、また、ク
ライアント1側でも、認証サーバ2のアドレスとセショ
ン鍵の組みをサーバ情報1bで記憶し、再度サーバ3へ
の接続要求に対しては、サーバ情報1b、ユーザ情報2
bにおけるアドレスに基づき認証済を確認し、認証済で
あれば、当該接続要求に対する認証は行わない。
求時には認証を行わず、短時間でのデータ交換を可能に
する。 【解決手段】 クライアント1から認証サーバ2に対し
て、サーバ3への接続要求を行うと、認証サーバ2はク
ライアント1とそれぞれの証明書を交換し認証を行い、
その際、クライアント1のアドレスと認証時に生成した
セション鍵の組みをユーザ情報2bで記憶し、また、ク
ライアント1側でも、認証サーバ2のアドレスとセショ
ン鍵の組みをサーバ情報1bで記憶し、再度サーバ3へ
の接続要求に対しては、サーバ情報1b、ユーザ情報2
bにおけるアドレスに基づき認証済を確認し、認証済で
あれば、当該接続要求に対する認証は行わない。
Description
【0001】
【発明の属する技術分野】本発明は、例えば、電子商取
引(エレクトロニックコマース;EC)やWWW(Worl
d Wide Web)など、コンピュータをネットワークを介し
て接続したシステムにおける認証技術に係わり、特に、
認証に要する負荷を軽減するのに好適な認証システムお
よび認証方法に関するものである。
引(エレクトロニックコマース;EC)やWWW(Worl
d Wide Web)など、コンピュータをネットワークを介し
て接続したシステムにおける認証技術に係わり、特に、
認証に要する負荷を軽減するのに好適な認証システムお
よび認証方法に関するものである。
【0002】
【従来の技術】インターネットの普及に伴い、クライア
ントサーバモデルのコンピュータネットワークシステム
においては、不特定多数の人が必要に応じてネットワー
クシステムにアクセスできるようになってきた。そのた
め、例えば電子商取引システムなどにおいては、クライ
アントがサーバに対して接続してきた場合にはクライア
ントのユーザ認証が必須である。
ントサーバモデルのコンピュータネットワークシステム
においては、不特定多数の人が必要に応じてネットワー
クシステムにアクセスできるようになってきた。そのた
め、例えば電子商取引システムなどにおいては、クライ
アントがサーバに対して接続してきた場合にはクライア
ントのユーザ認証が必須である。
【0003】しかし、実際の運用を考えると、ネットワ
ークシステムが大規模化するにつれて、通信の接続要求
がある度に行われる認証処理のオーバーヘッドが問題と
なる。例えば、Webアプリケーションのような1つの
クライアントから1つのWebサーバへの接続を連続し
て複数行うような場合、各接続毎でのユーザ認証処理が
行われることにより、接続時間が非常に長くなってしま
う。
ークシステムが大規模化するにつれて、通信の接続要求
がある度に行われる認証処理のオーバーヘッドが問題と
なる。例えば、Webアプリケーションのような1つの
クライアントから1つのWebサーバへの接続を連続し
て複数行うような場合、各接続毎でのユーザ認証処理が
行われることにより、接続時間が非常に長くなってしま
う。
【0004】そのため、ある程度のセキュリティ性能を
確保しつつ、認証処理のオーバーヘッドを削減する技術
の検討が必要である。
確保しつつ、認証処理のオーバーヘッドを削減する技術
の検討が必要である。
【0005】例えば、暗号通信を行うためにクライアン
トからサーバへの接続時にユーザ認証を行うが、この通
信開始時に管理コネクションを開設し、この管理コネク
ションが有効な間はユーザ認証を実施しない技術が一般
的に知られている。しかし、この技術では管理コネクシ
ョン用のネットワークリソースを必要とすることが問題
である。
トからサーバへの接続時にユーザ認証を行うが、この通
信開始時に管理コネクションを開設し、この管理コネク
ションが有効な間はユーザ認証を実施しない技術が一般
的に知られている。しかし、この技術では管理コネクシ
ョン用のネットワークリソースを必要とすることが問題
である。
【0006】また、例えば、特開2000−36809
号公報においては、クライアントからサーバに対して接
続を行う場合に、最初の接続時にユーザ認証を行い、そ
の後の接続時には簡易認証だけを行う技術が開示されて
いる。この技術によれば、認証負荷を軽減できると共
に、ネットワークリソースの消費を押さえることもでき
る。しかし、この特開2000−36809号公報に記
載の技術において、簡易的とはいえ、各接続時毎に認証
が行われている。
号公報においては、クライアントからサーバに対して接
続を行う場合に、最初の接続時にユーザ認証を行い、そ
の後の接続時には簡易認証だけを行う技術が開示されて
いる。この技術によれば、認証負荷を軽減できると共
に、ネットワークリソースの消費を押さえることもでき
る。しかし、この特開2000−36809号公報に記
載の技術において、簡易的とはいえ、各接続時毎に認証
が行われている。
【0007】このように、クライアントからサーバへの
接続毎にユーザ認証が簡易的であっても行われる場合、
認証処理のオーバーヘッドは大きいと考えられる。特
に、モバイル環境での利用を考えた場合、通信回線の回
線速度が通常の回線よりも遅いため、少しのオーバーヘ
ッドでも通信時間が長くなってしまう。
接続毎にユーザ認証が簡易的であっても行われる場合、
認証処理のオーバーヘッドは大きいと考えられる。特
に、モバイル環境での利用を考えた場合、通信回線の回
線速度が通常の回線よりも遅いため、少しのオーバーヘ
ッドでも通信時間が長くなってしまう。
【0008】
【発明が解決しようとする課題】解決しようとする問題
点は、従来の技術では、各接続時毎に行う認証処理を回
避することができない点である。
点は、従来の技術では、各接続時毎に行う認証処理を回
避することができない点である。
【0009】本発明の目的は、これら従来技術の課題を
解決し、セキュリティレベルを落とすことなく短時間で
の接続を可能とする認証システムおよび認証方法を提供
することである。
解決し、セキュリティレベルを落とすことなく短時間で
の接続を可能とする認証システムおよび認証方法を提供
することである。
【0010】
【課題を解決するための手段】上記目的を達成するた
め、本発明の認証システムおよび認証方法は、クライア
ントからのサーバへの接続要求の際にユーザを識別情報
と認証情報により認証すると、認証サーバ側において、
当該クライアントのアドレスと認証時に生成したセショ
ン鍵との組みをユーザ情報として記憶しておき、また、
クライアント側においては、認証サーバのアドレスとセ
ション鍵との組みをサーバ情報として記憶しておき、そ
して、ユーザが再度接続要求を出すと、クライアント側
において、サーバ情報を参照して、この接続要求に対応
する認証が既に済んでいるか否かを確認し、認証済であ
れば、その接続要求を当該認証サーバに送信し、この認
証サーバ側においては、ユーザ情報を参照して、送信元
アドレスの照合に基づき、この接続要求元のクライアン
トに対するユーザ認証が済んでいるか否かを確認し、認
証済であれば接続を許可する。すなわち、2回目以降の
認証処理を省略する。このように、ネットワークシステ
ムに接続されたクライアントのユーザ認証処理を2回目
以降行わないようにすることにより、短時間での接続が
可能となる。
め、本発明の認証システムおよび認証方法は、クライア
ントからのサーバへの接続要求の際にユーザを識別情報
と認証情報により認証すると、認証サーバ側において、
当該クライアントのアドレスと認証時に生成したセショ
ン鍵との組みをユーザ情報として記憶しておき、また、
クライアント側においては、認証サーバのアドレスとセ
ション鍵との組みをサーバ情報として記憶しておき、そ
して、ユーザが再度接続要求を出すと、クライアント側
において、サーバ情報を参照して、この接続要求に対応
する認証が既に済んでいるか否かを確認し、認証済であ
れば、その接続要求を当該認証サーバに送信し、この認
証サーバ側においては、ユーザ情報を参照して、送信元
アドレスの照合に基づき、この接続要求元のクライアン
トに対するユーザ認証が済んでいるか否かを確認し、認
証済であれば接続を許可する。すなわち、2回目以降の
認証処理を省略する。このように、ネットワークシステ
ムに接続されたクライアントのユーザ認証処理を2回目
以降行わないようにすることにより、短時間での接続が
可能となる。
【0011】また、クライアントから所定の時間間隔で
認証サーバにセション鍵変更依頼を送信し、このセショ
ン鍵変更依頼を受信した認証サーバにおいて、新たなセ
ション鍵を生成して、既にユーザ情報として記憶してい
たセション鍵を更新し、かつ、この更新前のセション鍵
で新たなセション鍵を暗号化してクライアントに返送
し、このクライアントにおいては、受信した暗号化され
たセション鍵を、先にサーバ情報として記憶しておいた
セション鍵を用いて復号して入替える。このように、サ
ーバ情報およびユーザ情報のそれぞれに記憶されている
セション鍵を予め設定された時間間隔で変更することに
より、セキュリティレベルの低下を防ぐことができる。
認証サーバにセション鍵変更依頼を送信し、このセショ
ン鍵変更依頼を受信した認証サーバにおいて、新たなセ
ション鍵を生成して、既にユーザ情報として記憶してい
たセション鍵を更新し、かつ、この更新前のセション鍵
で新たなセション鍵を暗号化してクライアントに返送
し、このクライアントにおいては、受信した暗号化され
たセション鍵を、先にサーバ情報として記憶しておいた
セション鍵を用いて復号して入替える。このように、サ
ーバ情報およびユーザ情報のそれぞれに記憶されている
セション鍵を予め設定された時間間隔で変更することに
より、セキュリティレベルの低下を防ぐことができる。
【0012】
【発明の実施の形態】以下、本発明の実施の形態を、図
面により詳細に説明する。図1は、本発明に係る認証シ
ステムの構成例を示すブロック図であり、図2は、図1
におけるクライアントおよびサーバのハードウェア構成
例を示すブロック図である。
面により詳細に説明する。図1は、本発明に係る認証シ
ステムの構成例を示すブロック図であり、図2は、図1
におけるクライアントおよびサーバのハードウェア構成
例を示すブロック図である。
【0013】図2において、21はCRT(Cathode Ra
y Tube)やLCD(Liquid CrystalDisplay)等からなる
表示装置、22はキーボードやマウス等からなる入力装
置、23はHDD(Hard Disk Drive)等からなる外部
記憶装置、24はCPU(Central Processing Unit)
24aや主メモリ24bおよび入出力インタフェース2
4c等を具備してコンピュータ処理を行なう情報処理装
置、25は本発明に係わるプログラムやデータを記録し
たCD−ROM(Compact Disc-Read Only Memory)も
しくはDVD(Digital Video Disc/Digital Versatile
Disc)等からなる光ディスク、26は光ディスク25
に記録されたプログラムおよびデータを読み出すための
駆動装置、27はLAN(Local Area Network)カード
やモデム等からなる通信装置である。
y Tube)やLCD(Liquid CrystalDisplay)等からなる
表示装置、22はキーボードやマウス等からなる入力装
置、23はHDD(Hard Disk Drive)等からなる外部
記憶装置、24はCPU(Central Processing Unit)
24aや主メモリ24bおよび入出力インタフェース2
4c等を具備してコンピュータ処理を行なう情報処理装
置、25は本発明に係わるプログラムやデータを記録し
たCD−ROM(Compact Disc-Read Only Memory)も
しくはDVD(Digital Video Disc/Digital Versatile
Disc)等からなる光ディスク、26は光ディスク25
に記録されたプログラムおよびデータを読み出すための
駆動装置、27はLAN(Local Area Network)カード
やモデム等からなる通信装置である。
【0014】光ディスク25に格納されたプログラムお
よびデータを情報処理装置24により駆動装置26を介
して外部記憶装置23内にインストールした後、外部記
憶装置23から主メモリ24bに読み込みCPU24a
で処理することにより、情報処理装置24内に図1に示
す認証システムに係わるクライアント1とサーバ3およ
び認証サーバ2の各機能が構成される。
よびデータを情報処理装置24により駆動装置26を介
して外部記憶装置23内にインストールした後、外部記
憶装置23から主メモリ24bに読み込みCPU24a
で処理することにより、情報処理装置24内に図1に示
す認証システムに係わるクライアント1とサーバ3およ
び認証サーバ2の各機能が構成される。
【0015】図1に示す認証システムにおいては、クラ
イアント1とサーバ3は、それぞれ独立したネットワー
ク5とネットワーク6を介して接続されている。そし
て、認証サーバ2は、ネットワーク5とネットワーク6
を中継する位置で、2つのネットワーク5,6間のコネ
クションを管理する。
イアント1とサーバ3は、それぞれ独立したネットワー
ク5とネットワーク6を介して接続されている。そし
て、認証サーバ2は、ネットワーク5とネットワーク6
を中継する位置で、2つのネットワーク5,6間のコネ
クションを管理する。
【0016】尚、本図では、説明を容易とするために、
クライアント1と認証サーバ2およびサーバ3をそれぞ
れ1台ずつ設けた構成を示しているが、実際には、クラ
イアントと認証サーバおよびサーバがそれぞれ複数設け
られており、サーバ3に対して、クライアント1以外の
クライアントが、認証サーバ2以外の認証サーバを中継
して接続要求することもできる。
クライアント1と認証サーバ2およびサーバ3をそれぞ
れ1台ずつ設けた構成を示しているが、実際には、クラ
イアントと認証サーバおよびサーバがそれぞれ複数設け
られており、サーバ3に対して、クライアント1以外の
クライアントが、認証サーバ2以外の認証サーバを中継
して接続要求することもできる。
【0017】認証局4は、ネットワーク5,6とは独立
に存在し、公開鍵暗号方式を使用した証明書およびそれ
に対応する秘密鍵を発行する。この認証局4は、クライ
アント1および認証サーバ2に対し、事前にクライアン
ト証明書4aとそれに対応する秘密鍵4b、およびサー
バ証明書4cとそれに対応する秘密鍵4dを発行してお
く。クライアント証明書4aおよびサーバ証明書4cに
は、公開鍵情報に加えて、ユーザ名や当該証明書の有効
期限などが格納されている。
に存在し、公開鍵暗号方式を使用した証明書およびそれ
に対応する秘密鍵を発行する。この認証局4は、クライ
アント1および認証サーバ2に対し、事前にクライアン
ト証明書4aとそれに対応する秘密鍵4b、およびサー
バ証明書4cとそれに対応する秘密鍵4dを発行してお
く。クライアント証明書4aおよびサーバ証明書4cに
は、公開鍵情報に加えて、ユーザ名や当該証明書の有効
期限などが格納されている。
【0018】クライアント1は、接続処理部1aとサー
バ情報1bを有し、また、認証サーバ2は、接続処理部
2aとユーザ情報2bを有し、本発明に係わる認証処理
を行う。サーバ情報1bおよびユーザ情報2bは、クラ
イアント1と認証サーバ2間の認証が行われた後に、サ
ーバ情報1bはクライアント1で、ユーザ情報2bは認
証サーバ2でそれぞれ生成される。
バ情報1bを有し、また、認証サーバ2は、接続処理部
2aとユーザ情報2bを有し、本発明に係わる認証処理
を行う。サーバ情報1bおよびユーザ情報2bは、クラ
イアント1と認証サーバ2間の認証が行われた後に、サ
ーバ情報1bはクライアント1で、ユーザ情報2bは認
証サーバ2でそれぞれ生成される。
【0019】図3は、図1におけるサーバ情報の構成例
を示す説明図であり、図4は、図1におけるユーザ情報
の構成例を示す説明図である。
を示す説明図であり、図4は、図1におけるユーザ情報
の構成例を示す説明図である。
【0020】図3に示すように、図1のサーバ情報1b
は、例えば、図1のクライアント1が相互認証した認証
サーバ2のアドレス、および、その認証の際に認証サー
バ2が生成したセション鍵から構成され、1つのサーバ
情報31は、他の認証サーバに関してのサーバ情報32
にポインタで結合されている。これらのサーバ情報3
1,32は、認証処理時にクライアント1で生成され、
ユーザによる終了操作時まで保持される。
は、例えば、図1のクライアント1が相互認証した認証
サーバ2のアドレス、および、その認証の際に認証サー
バ2が生成したセション鍵から構成され、1つのサーバ
情報31は、他の認証サーバに関してのサーバ情報32
にポインタで結合されている。これらのサーバ情報3
1,32は、認証処理時にクライアント1で生成され、
ユーザによる終了操作時まで保持される。
【0021】また、図4に示すように、図1のユーザ情
報2bは、例えば、図1の認証サーバ2が相互認証した
クライアント1のアドレスとユーザ名、およびセション
鍵から構成され、複数のユーザ情報41〜43は、図に
示す通り、リストの先頭から最後までポインタにて結合
されている。
報2bは、例えば、図1の認証サーバ2が相互認証した
クライアント1のアドレスとユーザ名、およびセション
鍵から構成され、複数のユーザ情報41〜43は、図に
示す通り、リストの先頭から最後までポインタにて結合
されている。
【0022】これらのユーザ情報41〜43は、図1の
クライアント1を含む各クライアントとのコネクション
毎に認証サーバ2で生成され、各クライアントからの削
除要求があるまで保持される。例えば、ユーザ情報41
〜43に格納されているアドレス以外のクライアントか
らの接続要求があった場合、新たなユーザ情報が生成さ
れ、リストとして格納される。
クライアント1を含む各クライアントとのコネクション
毎に認証サーバ2で生成され、各クライアントからの削
除要求があるまで保持される。例えば、ユーザ情報41
〜43に格納されているアドレス以外のクライアントか
らの接続要求があった場合、新たなユーザ情報が生成さ
れ、リストとして格納される。
【0023】図1に示すネットワーク環境において、ク
ライアント1上には、サーバ3に接続してデータを送受
信するアプリケーション(例えばWebブラウザ)が動
作し、認証局4から配布されたクライアント証明書4
a、および、それに対応する秘密鍵4bが格納される。
また、認証サーバ2にもクライアント1と同様に、認証
局4から配布されたサーバ証明書4cとそれに対応する
秘密鍵4dが格納されている。
ライアント1上には、サーバ3に接続してデータを送受
信するアプリケーション(例えばWebブラウザ)が動
作し、認証局4から配布されたクライアント証明書4
a、および、それに対応する秘密鍵4bが格納される。
また、認証サーバ2にもクライアント1と同様に、認証
局4から配布されたサーバ証明書4cとそれに対応する
秘密鍵4dが格納されている。
【0024】このような構成において、クライアント1
からサーバ3に接続要求があった場合、クライアント1
は、まず認証サーバ2と接続し、ユーザ認証を行う。認
証が正しく行われた場合、認証サーバ2でセション鍵が
生成され、このセション鍵は、以降の通信で暗号通信す
るためにクライアント1と認証サーバ2とで共有してお
く。そして、このセション鍵を用いて、クライアント1
と認証サーバ2との間で暗号通信を行い、認証サーバ2
が中継することでクライアント1をサーバ3に接続す
る。
からサーバ3に接続要求があった場合、クライアント1
は、まず認証サーバ2と接続し、ユーザ認証を行う。認
証が正しく行われた場合、認証サーバ2でセション鍵が
生成され、このセション鍵は、以降の通信で暗号通信す
るためにクライアント1と認証サーバ2とで共有してお
く。そして、このセション鍵を用いて、クライアント1
と認証サーバ2との間で暗号通信を行い、認証サーバ2
が中継することでクライアント1をサーバ3に接続す
る。
【0025】ここまでの動作は、従来からの認証処理で
あるが、図1に示す本例の認証システムにおいては、接
続処理部1aとサーバ情報1bおよび接続処理部2aと
ユーザ情報2bを用いることにより、クライアント1か
らサーバ3への2回目以降の接続要求に対しては認証処
理を行わないようにして、クライアント1からサーバ3
への接続時間を短縮することができる。
あるが、図1に示す本例の認証システムにおいては、接
続処理部1aとサーバ情報1bおよび接続処理部2aと
ユーザ情報2bを用いることにより、クライアント1か
らサーバ3への2回目以降の接続要求に対しては認証処
理を行わないようにして、クライアント1からサーバ3
への接続時間を短縮することができる。
【0026】すなわち、クライアント1からのサーバ3
への接続要求の際に、認証サーバ2は、ユーザを識別情
報と認証情報により認証すると、クライアント1のアド
レスと認証時に生成したセション鍵との組みをユーザ情
報2bとして主メモリ等に記憶しておき、また、クライ
アント1側においては、認証サーバ2のアドレスとセシ
ョン鍵との組みをサーバ情報1bとして記憶しておく。
への接続要求の際に、認証サーバ2は、ユーザを識別情
報と認証情報により認証すると、クライアント1のアド
レスと認証時に生成したセション鍵との組みをユーザ情
報2bとして主メモリ等に記憶しておき、また、クライ
アント1側においては、認証サーバ2のアドレスとセシ
ョン鍵との組みをサーバ情報1bとして記憶しておく。
【0027】そして、クライアント1のユーザが再度接
続要求を出すと、クライアント1は、接続処理部1aに
より、サーバ情報1bを参照して、この接続要求に対応
する認証が既に済んでいるか否かを確認し、認証済であ
れば、その接続要求を当該認証サーバ2に送信する。
続要求を出すと、クライアント1は、接続処理部1aに
より、サーバ情報1bを参照して、この接続要求に対応
する認証が既に済んでいるか否かを確認し、認証済であ
れば、その接続要求を当該認証サーバ2に送信する。
【0028】この接続要求を受信した認証サーバ2で
は、接続処理部2aにより、ユーザ情報2bを参照し
て、クライアントのアドレスを照合して、この接続要求
元のクライアント1に対するユーザ認証が済んでいるか
否かを確認し、認証済であれば接続を許可する。
は、接続処理部2aにより、ユーザ情報2bを参照し
て、クライアントのアドレスを照合して、この接続要求
元のクライアント1に対するユーザ認証が済んでいるか
否かを確認し、認証済であれば接続を許可する。
【0029】このようにして、2回目以降の認証処理を
省略することにより、2回目以降の接続要求に対して
は、短時間での接続が可能となる。
省略することにより、2回目以降の接続要求に対して
は、短時間での接続が可能となる。
【0030】また、クライアント1においては、接続処
理部1aにより、所定の時間間隔で認証サーバ2に対し
てセション鍵変更依頼を送信する。そして、このセショ
ン鍵変更依頼を受信した認証サーバ2においては、接続
処理部2aにより、新たなセション鍵を生成して、既に
ユーザ情報として記憶していたセション鍵を更新し、か
つ、この更新前のセション鍵で新たなセション鍵を暗号
化してクライアント1に返送する。
理部1aにより、所定の時間間隔で認証サーバ2に対し
てセション鍵変更依頼を送信する。そして、このセショ
ン鍵変更依頼を受信した認証サーバ2においては、接続
処理部2aにより、新たなセション鍵を生成して、既に
ユーザ情報として記憶していたセション鍵を更新し、か
つ、この更新前のセション鍵で新たなセション鍵を暗号
化してクライアント1に返送する。
【0031】暗号化された新たなセション鍵が返送され
ると、クライアント1においては、接続処理部1aによ
り、暗号化された新たなセション鍵を、先にサーバ情報
1bとして記憶しておいた当該セション鍵を用いて復号
して入替え更新する。
ると、クライアント1においては、接続処理部1aによ
り、暗号化された新たなセション鍵を、先にサーバ情報
1bとして記憶しておいた当該セション鍵を用いて復号
して入替え更新する。
【0032】このように、サーバ情報およびユーザ情報
のそれぞれに記憶されているセション鍵を予め設定され
た時間間隔で変更することにより、セキュリティレベル
の低下を防ぐことができる。
のそれぞれに記憶されているセション鍵を予め設定され
た時間間隔で変更することにより、セキュリティレベル
の低下を防ぐことができる。
【0033】以下、このような認証処理動作を、図5〜
図8を用いて説明する。
図8を用いて説明する。
【0034】図5は、図1における認証システムでの認
証処理動作例を示すシーケンス図であり、図6は、図5
における認証処理動作の詳細例を示すシーケンス図、図
7は、本発明の認証方法に係わる第1の処理動作例を示
すシーケンス図、図8は、本発明の認証方法に係わる第
2の処理動作例を示すシーケンス図である。
証処理動作例を示すシーケンス図であり、図6は、図5
における認証処理動作の詳細例を示すシーケンス図、図
7は、本発明の認証方法に係わる第1の処理動作例を示
すシーケンス図、図8は、本発明の認証方法に係わる第
2の処理動作例を示すシーケンス図である。
【0035】図5は、図1におけるクライアント1、認
証サーバ2、サーバ3との間での通常認証時の処理動作
例を示しており、ユーザからのサーバ3への接続要求
(ステップ501)があると、クライアント1は認証サ
ーバ2に対して通常認証要求を行う(ステップ50
2)。尚、クライアント1においては、図示していない
テーブル情報(サーバ3と認証サーバ2とを対応付けて
いる)により、サーバ3向けの接続要求があれば、認証
サーバ2による認証を受けることを認識する。
証サーバ2、サーバ3との間での通常認証時の処理動作
例を示しており、ユーザからのサーバ3への接続要求
(ステップ501)があると、クライアント1は認証サ
ーバ2に対して通常認証要求を行う(ステップ50
2)。尚、クライアント1においては、図示していない
テーブル情報(サーバ3と認証サーバ2とを対応付けて
いる)により、サーバ3向けの接続要求があれば、認証
サーバ2による認証を受けることを認識する。
【0036】認証サーバ2は、クライアント1から通常
認証要求を受けると(ステップ503)、認証処理を行
う(ステップ504)。本図5では、このステップ50
4において認証処理を簡単に記述しているが、実際には
クライアント1と認証サーバ2との間でお互いの証明書
の交換が行われるなどの複数のシーケンスがあるが、図
6を用いて後ほど詳細に説明する。
認証要求を受けると(ステップ503)、認証処理を行
う(ステップ504)。本図5では、このステップ50
4において認証処理を簡単に記述しているが、実際には
クライアント1と認証サーバ2との間でお互いの証明書
の交換が行われるなどの複数のシーケンスがあるが、図
6を用いて後ほど詳細に説明する。
【0037】ステップ504での認証に失敗した場合
(ステップ505)、認証サーバ2は、認証失敗をクラ
イアント1に通知し、クライアント1との接続を切断し
(ステップ516)、また、認証に成功した場合には、
認証サーバ2は、セション鍵を生成し、かつ、クライア
ント1から送信されているクライアント証明書4aに格
納されている公開鍵によって、生成したセション鍵を暗
号化する(ステップ506)。
(ステップ505)、認証サーバ2は、認証失敗をクラ
イアント1に通知し、クライアント1との接続を切断し
(ステップ516)、また、認証に成功した場合には、
認証サーバ2は、セション鍵を生成し、かつ、クライア
ント1から送信されているクライアント証明書4aに格
納されている公開鍵によって、生成したセション鍵を暗
号化する(ステップ506)。
【0038】そして、認証サーバ2は、暗号化したセシ
ョン鍵をクライアント1に送信すると共に(ステップ5
07)、セション鍵(暗号化していない)をクライアン
ト1のアドレス、ユーザ名と共に対応付けてにユーザ情
報2bとしてリストに追加する(ステップ508)。
ョン鍵をクライアント1に送信すると共に(ステップ5
07)、セション鍵(暗号化していない)をクライアン
ト1のアドレス、ユーザ名と共に対応付けてにユーザ情
報2bとしてリストに追加する(ステップ508)。
【0039】クライアント1では、認証サーバ2がステ
ップ507で送信した暗号化されたセション鍵を受信す
ると(ステップ509)、保存している秘密鍵4bによ
って、受信した暗号化されたセション鍵を復号し(ステ
ップ510)、認証サーバ2のアドレスと対応付けてサ
ーバ情報1bとして保存する(ステップ511)。
ップ507で送信した暗号化されたセション鍵を受信す
ると(ステップ509)、保存している秘密鍵4bによ
って、受信した暗号化されたセション鍵を復号し(ステ
ップ510)、認証サーバ2のアドレスと対応付けてサ
ーバ情報1bとして保存する(ステップ511)。
【0040】そして、クライアント1から認証サーバ2
に、接続要求を送信し(ステップ512)、認証サーバ
2において、クライアント1からの接続要求を受信する
と(ステップ513)、認証サーバ2はサーバ3と接続
し、クライアント1からの通信を中継する(ステップ5
14)。
に、接続要求を送信し(ステップ512)、認証サーバ
2において、クライアント1からの接続要求を受信する
と(ステップ513)、認証サーバ2はサーバ3と接続
し、クライアント1からの通信を中継する(ステップ5
14)。
【0041】クライアント1とサーバ3との間での通信
が終了すれば(ステップ515)、認証サーバ2とクラ
イアント1のそれぞれで接続断を行う(ステップ51
6,517)。
が終了すれば(ステップ515)、認証サーバ2とクラ
イアント1のそれぞれで接続断を行う(ステップ51
6,517)。
【0042】ステップ504の認証処理においては、図
6に示すように、まず、クライアント1から認証サーバ
2に、クライアント証明書1bを送信する(ステップ6
01)。認証サーバ2は、このクライアント証明書1b
を受信すると(ステップ602)、受信したクライアン
ト証明書1bをもとにクライアント認証を行う(ステッ
プ603)。
6に示すように、まず、クライアント1から認証サーバ
2に、クライアント証明書1bを送信する(ステップ6
01)。認証サーバ2は、このクライアント証明書1b
を受信すると(ステップ602)、受信したクライアン
ト証明書1bをもとにクライアント認証を行う(ステッ
プ603)。
【0043】この確認に失敗すると、認証サーバ2はク
ライアント1に、クライアント認証失敗を送信する(ス
テップ609)が、確認に成功すると、認証サーバ2は
クライアント1にクライアント認証成功とサーバ証明書
2bを送信する(ステップ604)。
ライアント1に、クライアント認証失敗を送信する(ス
テップ609)が、確認に成功すると、認証サーバ2は
クライアント1にクライアント認証成功とサーバ証明書
2bを送信する(ステップ604)。
【0044】クライアント1は、クライアント認証成功
とサーバ証明書2bを受信すると(ステップ605)、
受信したサーバ証明書2bをもとにサーバ認証を行う
(ステップ606)。そして、クライアント1は、この
サーバ認証に失敗すると、認証サーバ2にサーバ認証失
敗を送信し(ステップ610)、成功すると、認証サー
バ2に認証成功を送信する(ステップ607)。
とサーバ証明書2bを受信すると(ステップ605)、
受信したサーバ証明書2bをもとにサーバ認証を行う
(ステップ606)。そして、クライアント1は、この
サーバ認証に失敗すると、認証サーバ2にサーバ認証失
敗を送信し(ステップ610)、成功すると、認証サー
バ2に認証成功を送信する(ステップ607)。
【0045】認証サーバ2は、クライアント1からのサ
ーバ認証成功を受信すると(ステップ608)、図5に
おけるステップ505で認証処理成功と判断し、ステッ
プ506からの処理を行う。
ーバ認証成功を受信すると(ステップ608)、図5に
おけるステップ505で認証処理成功と判断し、ステッ
プ506からの処理を行う。
【0046】図5および図6で示した処理により、最初
の接続要求に対しての認証処理が完了すると、クライア
ント1および認証サーバ2のそれぞれにおけるサーバ情
報とユーザ情報に当該認証処理に関する情報が記憶、保
持されている間は、同クライアント1からサーバ3への
以上の接続要求に関しては、図7で示すようにして、認
証処理を行わない。
の接続要求に対しての認証処理が完了すると、クライア
ント1および認証サーバ2のそれぞれにおけるサーバ情
報とユーザ情報に当該認証処理に関する情報が記憶、保
持されている間は、同クライアント1からサーバ3への
以上の接続要求に関しては、図7で示すようにして、認
証処理を行わない。
【0047】すなわち、図7では、2回目以降の接続要
求の処理のシーケンスを示しており、クライアント1に
おいて、ユーザによるサーバ3へ接続要求があると(ス
テップ701)、クライアント1は、サーバ情報1bを
参照して(ステップ702)、以前に認証されたかどう
かを確認する(ステップ703)。
求の処理のシーケンスを示しており、クライアント1に
おいて、ユーザによるサーバ3へ接続要求があると(ス
テップ701)、クライアント1は、サーバ情報1bを
参照して(ステップ702)、以前に認証されたかどう
かを確認する(ステップ703)。
【0048】一度も認証されていない場合は、通常の認
証要求送信を行い(ステップ713)、以降、図5のス
テップ503からの処理および図6で示した通りの通常
の認証処理が行われるが、以前に認証されていることが
確認された場合には、クライアント1は、認証サーバ2
に対しサーバ3への接続要求を送信する(ステップ70
4)。
証要求送信を行い(ステップ713)、以降、図5のス
テップ503からの処理および図6で示した通りの通常
の認証処理が行われるが、以前に認証されていることが
確認された場合には、クライアント1は、認証サーバ2
に対しサーバ3への接続要求を送信する(ステップ70
4)。
【0049】認証サーバ2は、クライアント1から接続
要求を受信すると(ステップ705)、このクライアン
ト1のアドレスを取得し(ステップ706)、格納して
いるユーザ情報2bを参照して、同じアドレスがあるか
否かにより、当該クライアント1が以前に認証して認証
済であるか否かを確認する(ステップ707)。
要求を受信すると(ステップ705)、このクライアン
ト1のアドレスを取得し(ステップ706)、格納して
いるユーザ情報2bを参照して、同じアドレスがあるか
否かにより、当該クライアント1が以前に認証して認証
済であるか否かを確認する(ステップ707)。
【0050】クライアント1のアドレスがユーザ情報2
bにない場合には、認証済でないものとして、クライア
ント1に対してその旨を通知し(ステップ708)、ま
た、クライアント1のアドレスがユーザ情報にあれば認
証済みとみなし、サーバ3に接続し、クライアント1か
らの通信を中継する(ステップ709)。
bにない場合には、認証済でないものとして、クライア
ント1に対してその旨を通知し(ステップ708)、ま
た、クライアント1のアドレスがユーザ情報にあれば認
証済みとみなし、サーバ3に接続し、クライアント1か
らの通信を中継する(ステップ709)。
【0051】クライアント1とサーバ3間での通信が終
了すれば(ステップ710)、クライアント1と認証サ
ーバ2のそれぞれで接続断を行う(ステップ711,7
12)。
了すれば(ステップ710)、クライアント1と認証サ
ーバ2のそれぞれで接続断を行う(ステップ711,7
12)。
【0052】以上の処理では、クライアント1および認
証サーバ2のそれぞれにおいて、アドレス情報のみで認
証済みかどうかを確認している。そして、認証サーバ2
では、認証済みのクライアント1のユーザに対しては、
新たな接続要求に対する新たな認証を行わずにクライア
ント1とサーバ3との通信を中継しているので、短時間
での接続か可能となる。
証サーバ2のそれぞれにおいて、アドレス情報のみで認
証済みかどうかを確認している。そして、認証サーバ2
では、認証済みのクライアント1のユーザに対しては、
新たな接続要求に対する新たな認証を行わずにクライア
ント1とサーバ3との通信を中継しているので、短時間
での接続か可能となる。
【0053】この場合、アドレス情報が詐称されれば、
認証されていないユーザでもサーバ3に接続が可能であ
るように思われる。しかし、クライアント1と認証サー
バ2との間では、サーバ情報1bとユーザ情報2bにお
いて、暗号通信を行うためのセション鍵を共有してい
る。そのため、アドレス情報のみを詐称してもセション
鍵を共有していないので、認証サーバ2で復号に失敗し
サーバ3へは接続できない。
認証されていないユーザでもサーバ3に接続が可能であ
るように思われる。しかし、クライアント1と認証サー
バ2との間では、サーバ情報1bとユーザ情報2bにお
いて、暗号通信を行うためのセション鍵を共有してい
る。そのため、アドレス情報のみを詐称してもセション
鍵を共有していないので、認証サーバ2で復号に失敗し
サーバ3へは接続できない。
【0054】また、セション鍵は認証サーバ2で生成
し、暗号化してクライアント1に送信し共有しているの
で、例え通常認証処理が盗聴されていたとしても、セシ
ョン鍵自体を盗まれる可能性は非常に低い。このことに
より、本例の認証システムおよび認証方法では従来の接
続ごとでの認証を行う場合と比較して、セキュリティレ
ベルは落とすことなく認証処理時間を短縮することが可
能である。
し、暗号化してクライアント1に送信し共有しているの
で、例え通常認証処理が盗聴されていたとしても、セシ
ョン鍵自体を盗まれる可能性は非常に低い。このことに
より、本例の認証システムおよび認証方法では従来の接
続ごとでの認証を行う場合と比較して、セキュリティレ
ベルは落とすことなく認証処理時間を短縮することが可
能である。
【0055】次に、このようなセキュリティレベルをさ
らに向上させるための技術を、図8を用いて説明する。
すなわち、図1における認証システムでは、図8に示す
ように、まず、クライアント1において、予め設定され
た時間間隔をタイマーにより監視し、この所定時間が経
過する毎に、認証サーバ2に対し、セション鍵の変更依
頼を送信する(ステップ801)。
らに向上させるための技術を、図8を用いて説明する。
すなわち、図1における認証システムでは、図8に示す
ように、まず、クライアント1において、予め設定され
た時間間隔をタイマーにより監視し、この所定時間が経
過する毎に、認証サーバ2に対し、セション鍵の変更依
頼を送信する(ステップ801)。
【0056】認証サーバ2では、クライアント1からの
セション鍵変更依頼を受信すると(ステップ802)、
クライアント1のアドレス情報を取得し(ステップ80
3)、このアドレスが、ユーザ情報2bとして記憶され
ているか否かを確認する(ステップ804)。
セション鍵変更依頼を受信すると(ステップ802)、
クライアント1のアドレス情報を取得し(ステップ80
3)、このアドレスが、ユーザ情報2bとして記憶され
ているか否かを確認する(ステップ804)。
【0057】ユーザ情報2bに当該アドレスが記憶され
ていない場合には、認証が行われていないことをクライ
アント1に通知する(ステップ811)。また、ユーザ
情報2bに当該アドレスが記憶されている場合には、新
たなセション鍵を生成し、ユーザ情報2bに格納されて
いるセション鍵で暗号化する(ステップ805)。
ていない場合には、認証が行われていないことをクライ
アント1に通知する(ステップ811)。また、ユーザ
情報2bに当該アドレスが記憶されている場合には、新
たなセション鍵を生成し、ユーザ情報2bに格納されて
いるセション鍵で暗号化する(ステップ805)。
【0058】そして、認証サーバ2は、暗号化したセシ
ョン鍵をクライアント1に送信し(ステップ806)、
また、新たに生成した暗号化していないセション鍵を、
それまで格納されていたセション鍵の代わりにユーザ情
報2bに格納する(ステップ807)。
ョン鍵をクライアント1に送信し(ステップ806)、
また、新たに生成した暗号化していないセション鍵を、
それまで格納されていたセション鍵の代わりにユーザ情
報2bに格納する(ステップ807)。
【0059】クライアント1は、認証サーバ2からの暗
号化されたセション鍵を受信すると(ステップ80
8)、受信した新しい暗号化されたセション鍵を、サー
バ情報1bに格納されているセション鍵で復号し(ステ
ップ809)、この復号したセション鍵を、それまでに
格納していたセション鍵(新しいセション鍵の復号に用
いたセション鍵)の代わりにサーバ情報1bに格納する
(ステップ810)。
号化されたセション鍵を受信すると(ステップ80
8)、受信した新しい暗号化されたセション鍵を、サー
バ情報1bに格納されているセション鍵で復号し(ステ
ップ809)、この復号したセション鍵を、それまでに
格納していたセション鍵(新しいセション鍵の復号に用
いたセション鍵)の代わりにサーバ情報1bに格納する
(ステップ810)。
【0060】このように、本例では、クライアント1と
認証サーバ2とで共有しているセション鍵を、所定の周
期で双方更新することにより、セション鍵の盗難による
セキュリティレベルの低下を回避することができる。
認証サーバ2とで共有しているセション鍵を、所定の周
期で双方更新することにより、セション鍵の盗難による
セキュリティレベルの低下を回避することができる。
【0061】以上、図1〜図8を用いて説明したよう
に、本例の認証システムおよび認証方法では、ネットワ
ーク5,6および認証サーバ2を介してサーバ3に接続
されるクライアント1に、認証サーバ2によるユーザ認
証処理で生成されたセション鍵と認証サーバ2のアドレ
スとを対応付けたサーバ情報1bと、ユーザからの接続
要求がサーバ情報1bとしてアドレスを記憶した認証サ
ーバ2に対応するものであることを確認した後に、接続
要求を当該認証サーバ2に送信する接続処理部1aとを
設ける。
に、本例の認証システムおよび認証方法では、ネットワ
ーク5,6および認証サーバ2を介してサーバ3に接続
されるクライアント1に、認証サーバ2によるユーザ認
証処理で生成されたセション鍵と認証サーバ2のアドレ
スとを対応付けたサーバ情報1bと、ユーザからの接続
要求がサーバ情報1bとしてアドレスを記憶した認証サ
ーバ2に対応するものであることを確認した後に、接続
要求を当該認証サーバ2に送信する接続処理部1aとを
設ける。
【0062】また、認証サーバ2にも、ユーザ認証した
クライアント1のアドレスとユーザ認証処理で生成した
セション鍵とを対応付けたユーザ情報2bと、受信した
接続要求が認証済のクライアント1からのものであるこ
とをユーザ情報2bを参照して確認した後に接続を許可
する接続処理部2aとを設ける。
クライアント1のアドレスとユーザ認証処理で生成した
セション鍵とを対応付けたユーザ情報2bと、受信した
接続要求が認証済のクライアント1からのものであるこ
とをユーザ情報2bを参照して確認した後に接続を許可
する接続処理部2aとを設ける。
【0063】そして、認証済のクライアント1と認証サ
ーバ2間では、ユーザからの接続要求毎の認証処理を行
わずに、サーバ情報1bとユーザ情報2bとしてそれぞ
れに記憶したセション鍵を用いて暗号通信を行う。この
ことにより、認証済みのユーザに対しては、2回目以降
の認証を行わず、暗号通信を行い短時間で行うことがで
きる。
ーバ2間では、ユーザからの接続要求毎の認証処理を行
わずに、サーバ情報1bとユーザ情報2bとしてそれぞ
れに記憶したセション鍵を用いて暗号通信を行う。この
ことにより、認証済みのユーザに対しては、2回目以降
の認証を行わず、暗号通信を行い短時間で行うことがで
きる。
【0064】また、本例では、所定の時間間隔で、クラ
イアント1におけるサーバ情報と「認証サーバ2におけ
るユーザ情報の双方のセション鍵を変更する。これによ
り、セキュリティレベルの低下を防ぐことができる。
イアント1におけるサーバ情報と「認証サーバ2におけ
るユーザ情報の双方のセション鍵を変更する。これによ
り、セキュリティレベルの低下を防ぐことができる。
【0065】尚、本発明は、図1〜図8を用いて説明し
た例に限定されるものではなく、その要旨を逸脱しない
範囲において種々変更可能である。例えば、本例では、
それぞれ異なるネットワーク5,6を介して、かつ、認
証サーバ2を中継してクライアント1とサーバ3とを接
続する構成としているが、インターネットを介してクラ
イアント1とサーバ3が相互接続される構成にも本発明
は適用できる。この場合、認証サーバ2の機能(接続処
理部2a、ユーザ情報2b)を、サーバ3内に設けた構
成となる。
た例に限定されるものではなく、その要旨を逸脱しない
範囲において種々変更可能である。例えば、本例では、
それぞれ異なるネットワーク5,6を介して、かつ、認
証サーバ2を中継してクライアント1とサーバ3とを接
続する構成としているが、インターネットを介してクラ
イアント1とサーバ3が相互接続される構成にも本発明
は適用できる。この場合、認証サーバ2の機能(接続処
理部2a、ユーザ情報2b)を、サーバ3内に設けた構
成となる。
【0066】また、本例では、サーバ3の詳細について
は特に記載していないが、サーバ3としては、Webサ
ーバやメールサーバ等が適用でき、この場合のクライア
ント1側のアプリケーションはWebブラウザやメーラ
ーとなる。
は特に記載していないが、サーバ3としては、Webサ
ーバやメールサーバ等が適用でき、この場合のクライア
ント1側のアプリケーションはWebブラウザやメーラ
ーとなる。
【0067】また、本例では、クライアント1や認証サ
ーバ2、サーバ3の構成として図2のコンピュータ構成
例を示したが、キーボードや光ディスクの駆動装置の無
いコンピュータ構成としても良い。また、本例では、光
ディスクをプログラムの記録媒体として用いているが、
FD(Flexible Disk)等の記録媒体を用いることでも
良い。また、プログラムのインストールに関しても、通
信装置を介してネットワーク経由でプログラムをダウン
ロードしてインストールすることでも良い。
ーバ2、サーバ3の構成として図2のコンピュータ構成
例を示したが、キーボードや光ディスクの駆動装置の無
いコンピュータ構成としても良い。また、本例では、光
ディスクをプログラムの記録媒体として用いているが、
FD(Flexible Disk)等の記録媒体を用いることでも
良い。また、プログラムのインストールに関しても、通
信装置を介してネットワーク経由でプログラムをダウン
ロードしてインストールすることでも良い。
【0068】
【発明の効果】本発明によれば、接続要求が認証済のも
のであることをアドレスに基づき確認するので、2回目
以降の認証を省略することができ、短時間での接続が可
能であり、さらに、認証済の接続に用いるセション鍵を
所定の時間間隔で更新するこで、セキュリティレベルを
落とすことなく短時間での接続が可能となる。
のであることをアドレスに基づき確認するので、2回目
以降の認証を省略することができ、短時間での接続が可
能であり、さらに、認証済の接続に用いるセション鍵を
所定の時間間隔で更新するこで、セキュリティレベルを
落とすことなく短時間での接続が可能となる。
【図1】本発明に係る認証システムの構成例を示すブロ
ック図である。
ック図である。
【図2】図1におけるクライアントおよびサーバのハー
ドウェア構成例を示すブロック図である。
ドウェア構成例を示すブロック図である。
【図3】図1におけるサーバ情報の構成例を示す説明図
である。
である。
【図4】図1におけるユーザ情報の構成例を示す説明図
である。
である。
【図5】図1における認証システムでの認証処理動作例
を示すシーケンス図である。
を示すシーケンス図である。
【図6】図5における認証処理動作の詳細例を示すシー
ケンス図である。
ケンス図である。
【図7】本発明の認証方法に係わる第1の処理動作例を
示すシーケンス図である。
示すシーケンス図である。
【図8】本発明の認証方法に係わる第2の処理動作例を
示すシーケンス図である。
示すシーケンス図である。
1:クライアント、1a:接続処理部(クライアント
側)、1b:サーバ情報、2:認証サーバ、2a:接続
処理部(認証サーバ側)、2b:ユーザ情報、3:サー
バ、4:認証局、4a:クライアント証明書、4b:秘
密鍵、4c:サーバ証明書、4d:秘密鍵、5,6:ネ
ットワーク、21:表示装置、22:入力装置、23:
外部記憶装置、24:情報処理装置、24a:CPU、
24b:主メモリ、24c:入出力インタフェース、2
5:光ディスク、26:駆動装置、27:通信装置、3
1:サーバ情報、41〜43:ユーザ情報。
側)、1b:サーバ情報、2:認証サーバ、2a:接続
処理部(認証サーバ側)、2b:ユーザ情報、3:サー
バ、4:認証局、4a:クライアント証明書、4b:秘
密鍵、4c:サーバ証明書、4d:秘密鍵、5,6:ネ
ットワーク、21:表示装置、22:入力装置、23:
外部記憶装置、24:情報処理装置、24a:CPU、
24b:主メモリ、24c:入出力インタフェース、2
5:光ディスク、26:駆動装置、27:通信装置、3
1:サーバ情報、41〜43:ユーザ情報。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/32 H04L 9/00 601E 675A 675D
Claims (6)
- 【請求項1】 ネットワーク接続されたクライアントと
サーバおよび該サーバへの上記クライアントの接続要求
時に該クライアントのユーザ認証を行う認証サーバから
なる認証システムであって、上記クライアントに、上記
認証サーバによるユーザ認証処理で生成されたセション
鍵と該認証サーバのアドレスとを対応付けたサーバ情報
を記憶するクライアント側記憶手段と、ユーザからの接
続要求が上記サーバ情報でアドレスを記憶している認証
サーバに対応するものであることを確認して上記接続要
求を当該認証サーバに送信するクライアント側接続処理
手段とを設け、上記認証サーバに、ユーザ認証した上記
クライアントのアドレスと該ユーザ認証処理で生成した
セション鍵とを対応付けたユーザ情報を記憶するサーバ
側記憶手段と、受信した接続要求が上記ユーザ情報でア
ドレスを記憶しているクライアントからのものであるこ
とを確認して接続を許可するサーバ側接続処理手段とを
設けたことを特徴とする認証システム。 - 【請求項2】 ネットワーク接続されたクライアントと
サーバ間の認証方法であって、認証したクライアントの
アドレスと該クライアントに対する認証処理で生成した
セション鍵とを対応付けたユーザ情報をサーバ側で記憶
するステップと、上記サーバが認証で生成したセション
鍵と該サーバのアドレスとを対応付けたサーバ情報を該
サーバが認証したクライアント側で記憶するステップ
と、ユーザからの接続要求を受けた上記クライアントに
おいて該接続要求が上記サーバ情報でアドレスを記憶し
ているサーバに対応するものであることを確認して上記
接続要求を当該サーバに送信するステップと、上記接続
要求を受信した上記サーバにおいて該接続要求が上記ユ
ーザ情報でアドレスを記憶しているクライアントからの
ものであることを確認して接続を許可するステップとを
有することを特徴とする認証方法。 - 【請求項3】 ネットワーク接続されたクライアントか
らサーバへの接続要求時に認証サーバにより該クライア
ントのユーザ認証を行う認証方法であって、ユーザ認証
した上記クライアントのアドレスと該ユーザ認証で生成
したセション鍵とを対応付けたユーザ情報を上記認証サ
ーバ側で記憶する第1のステップと、上記認証サーバが
ユーザ認証で生成したセション鍵と該認証サーバのアド
レスとを対応付けたサーバ情報を該認証サーバがユーザ
認証したクライアント側で記憶する第2のステップと、
ユーザからの接続要求を受けた上記クライアントにおい
て該接続要求が上記サーバ情報でアドレスを記憶した認
証サーバに対応するものであることを確認して上記接続
要求を当該認証サーバに送信する第3のステップと、上
記クライアントからの上記接続要求を受信した上記認証
サーバにおいて該接続要求が認証済のクライアントから
のものであることを上記ユーザ情報を参照して確認し接
続を許可する第4のステップとを有することを特徴とす
る認証システム。 - 【請求項4】 請求項3に記載の認証方法であって、上
記第4のステップは、上記接続要求の送信元のクライア
ントのアドレスを取得するステップと、該取得したアド
レスが上記ユーザ情報で記憶されているか否かを判定す
るステップとを有し、上記取得したアドレスが上記ユー
ザ情報で記憶されていれば、上記接続要求が認証済のク
ライアントからのものであると確認することを特徴とす
る認証方法。 - 【請求項5】 請求項2から請求項4のいずれかに記載
の認証方法であって、上記クライアントから上記サーバ
情報で記憶したアドレス宛に予め定められた時間間隔で
当該セション鍵の変更依頼を送信するステップと、上記
セション鍵の変更依頼を受信したサーバにおいて、該セ
ション鍵の変更依頼元のクライアントのアドレスが上記
ユーザ情報で記憶していれば新たなセション鍵を生成し
て当該セション鍵の更新を行うと共に該新たに生成した
セション鍵を更新前のセション鍵で暗号化して上記セシ
ョン鍵の変更依頼元のクライアントに送信するステップ
と、、上記新たに生成され暗号化されたセション鍵を受
信したクライアントにおいて、該受信したセション鍵を
上記サーバ情報で記憶した当該セション鍵を用いて復号
し、該復号したセション鍵に上記サーバ情報で記憶した
当該セション鍵を更新するステップとを有することを特
徴とする認証方法。 - 【請求項6】 ネットワーク接続されたクライアントと
サーバ間の認証方法の処理手順を記述したプログラムを
コンピュータに読取り可能に記録する記録媒体であっ
て、請求項2から請求項5のいずれかに記載の認証方法
における各ステップを上記コンピュータに実行させるた
めの処理プログラムを記録したことを特徴とする記録媒
体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000386510A JP2002189976A (ja) | 2000-12-20 | 2000-12-20 | 認証システムおよび認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000386510A JP2002189976A (ja) | 2000-12-20 | 2000-12-20 | 認証システムおよび認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002189976A true JP2002189976A (ja) | 2002-07-05 |
Family
ID=18853596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000386510A Pending JP2002189976A (ja) | 2000-12-20 | 2000-12-20 | 認証システムおよび認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002189976A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007088556A (ja) * | 2005-09-20 | 2007-04-05 | Ishida Co Ltd | 中継装置および中継装置を含む通信システム |
| US7426382B2 (en) | 2002-10-09 | 2008-09-16 | Motorola, Inc. | Contact validation and trusted contact updating in mobile wireless communications devices |
| JP2009508261A (ja) * | 2005-09-12 | 2009-02-26 | マイクロソフト コーポレーション | リモートリソースとの安全な対話型接続の生成 |
| JP2009112015A (ja) * | 2003-05-23 | 2009-05-21 | Ind Technol Res Inst | 個人認証デバイスとこのシステムおよび方法 |
| US7716139B2 (en) | 2004-10-29 | 2010-05-11 | Research In Motion Limited | System and method for verifying digital signatures on certificates |
| US8340289B2 (en) | 2005-09-29 | 2012-12-25 | Research In Motion Limited | System and method for providing an indication of randomness quality of random number data generated by a random data service |
| US8452970B2 (en) | 2005-09-29 | 2013-05-28 | Research In Motion Limited | System and method for code signing |
-
2000
- 2000-12-20 JP JP2000386510A patent/JP2002189976A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426382B2 (en) | 2002-10-09 | 2008-09-16 | Motorola, Inc. | Contact validation and trusted contact updating in mobile wireless communications devices |
| JP2009246986A (ja) * | 2002-10-09 | 2009-10-22 | Motorola Inc | 移動無線通信装置におけるコンタクトの認証及び信頼できるコンタクトの更新 |
| JP2009112015A (ja) * | 2003-05-23 | 2009-05-21 | Ind Technol Res Inst | 個人認証デバイスとこのシステムおよび方法 |
| US8725643B2 (en) | 2004-10-29 | 2014-05-13 | Blackberry Limited | System and method for verifying digital signatures on certificates |
| US7716139B2 (en) | 2004-10-29 | 2010-05-11 | Research In Motion Limited | System and method for verifying digital signatures on certificates |
| US9621352B2 (en) | 2004-10-29 | 2017-04-11 | Blackberry Limited | System and method for verifying digital signatures on certificates |
| JP2009508261A (ja) * | 2005-09-12 | 2009-02-26 | マイクロソフト コーポレーション | リモートリソースとの安全な対話型接続の生成 |
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| US9038162B2 (en) | 2005-09-12 | 2015-05-19 | Microsoft Technology Licensing, Llc | Creating secure interactive connections with remote resources |
| JP2007088556A (ja) * | 2005-09-20 | 2007-04-05 | Ishida Co Ltd | 中継装置および中継装置を含む通信システム |
| US8340289B2 (en) | 2005-09-29 | 2012-12-25 | Research In Motion Limited | System and method for providing an indication of randomness quality of random number data generated by a random data service |
| US8452970B2 (en) | 2005-09-29 | 2013-05-28 | Research In Motion Limited | System and method for code signing |
| US9077524B2 (en) | 2005-09-29 | 2015-07-07 | Blackberry Limited | System and method for providing an indication of randomness quality of random number data generated by a random data service |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
| US10554393B2 (en) | Universal secure messaging for cryptographic modules | |
| US5978918A (en) | Security process for public networks | |
| EP1500226B1 (en) | System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients | |
| US9137017B2 (en) | Key recovery mechanism | |
| US6192130B1 (en) | Information security subscriber trust authority transfer system with private key history transfer | |
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| US20060005026A1 (en) | Method and apparatus for secure communication reusing session key between client and server | |
| US7139918B2 (en) | Multiple secure socket layer keyfiles for client login support | |
| US20050144439A1 (en) | System and method of managing encryption key management system for mobile terminals | |
| US20100191967A1 (en) | Client apparatus, server apparatus, and program | |
| US20210006548A1 (en) | Method for authorizing access and apparatus using the method | |
| JP2004535004A (ja) | 通信セッションを介したユーザの認証 | |
| JP2001511982A (ja) | 秘密保持性の遠隔命令を実行するための方法 | |
| WO2002033884A2 (en) | Method and apparatus for providing a key distribution center | |
| JP4013175B2 (ja) | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| US20080077790A1 (en) | Authentication system using electronic certificate | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| JP2005301577A (ja) | 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| JP2002189976A (ja) | 認証システムおよび認証方法 | |
| JPH08335208A (ja) | 代理認証方法及びシステム | |
| JP4386926B2 (ja) | 暗号通信プログラム、暗号通信方法および暗号通信装置 |