JP2002245008A - Method and device for verifying right by using certificate, program, and recording medium - Google Patents

Method and device for verifying right by using certificate, program, and recording medium

Info

Publication number
JP2002245008A
JP2002245008A JP2001044652A JP2001044652A JP2002245008A JP 2002245008 A JP2002245008 A JP 2002245008A JP 2001044652 A JP2001044652 A JP 2001044652A JP 2001044652 A JP2001044652 A JP 2001044652A JP 2002245008 A JP2002245008 A JP 2002245008A
Authority
JP
Japan
Prior art keywords
certificate
verification
user
user device
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001044652A
Other languages
Japanese (ja)
Inventor
Takahiro Iida
恭弘 飯田
Naoyuki Sato
直之 佐藤
Saburo Hanaki
三良 花木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001044652A priority Critical patent/JP2002245008A/en
Publication of JP2002245008A publication Critical patent/JP2002245008A/en
Pending legal-status Critical Current

Links

Abstract

PROBLEM TO BE SOLVED: To provide the efficient verifying method of right, which does not need a processing for accessing a data base storing individual information on a user at the time of authenticating the user. SOLUTION: The method is constituted of a step (61) where a user device sends the verification request of a certificate including information on the signature and right of an issuer and authentication information for confirming whether or not the object of the certificate is the same as a user to a verification device, a step (62) where the verification device transmits information regulating a communication procedure required for transmitting/receiving the certificate to the user device, a step (63) where the user device transmits the certificate to the verification device, a step (64) where the verification device verifies the signature of the issuer of the certificate, steps (65) to (67) for verifying that the user of the certificate is the same as the object of the certificate by using a verification procedure, and a step (68) for issuing Cookie (certificate of passing verification) when they pass two steps of verification.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、ユーザがネットワ
ーク上の資源を利用する際の証明書を用いた権利の検証
方法及び装置ならびにプログラム及び記録媒体に関す
る。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method and an apparatus for verifying a right using a certificate when a user uses a resource on a network, a program, and a recording medium.

【0002】[0002]

【従来の技術】近年、インターネットへ接続し、Webブ
ラウザを使用してネットワーク上に置かれている資源を
利用することが一般的になりつつある。その際、ユーザ
の認証にはパスワードを用いることが多い。また、ユー
ザの権利を証明する公開鍵証明書と呼ばれる証明書によ
ってユーザを認証する場合もある。このようなユーザの
認証において、資源管理者は、あらかじめ登録しておい
たユーザの個人情報等を格納するデータベースにアクセ
スし、ユーザを識別することで権利の確認を行う。
2. Description of the Related Art In recent years, it has become common to connect to the Internet and use resources placed on a network using a Web browser. At that time, a password is often used for user authentication. In some cases, the user is authenticated by a certificate called a public key certificate that certifies the user's right. In such user authentication, the resource manager accesses a database storing personal information and the like of the user registered in advance, and confirms the right by identifying the user.

【0003】[0003]

【発明が解決しようとする課題】ところが、ユーザを認
証する際、資源管理者はユーザがある資源を利用できる
かどうかの権利を確認できればよく、個人情報を確認す
る必要はない。本発明ではユーザを認証する際、ユーザ
の個人情報等を格納するデータベースにアクセスする処
理を不要とした効率的な権利の検証方法を提案する。
However, when authenticating a user, the resource manager only needs to be able to confirm the user's right to use a certain resource, and need not confirm personal information. The present invention proposes an efficient right verification method that does not require access to a database storing personal information of a user when authenticating the user.

【0004】[0004]

【課題を解決するための手段】上記課題を解決するため
に、本発明は、ユーザ装置は、発行者の署名と権利に関
する情報と証明書の対象者と使用者が同一を確認するた
めの認証情報を含む証明書を検証装置へ送信するステッ
プと、検証装置は、証明書の発行者の署名を検証するス
テップと、証明書の使用者が証明書の対象者と同一であ
ることを共通鍵方式または公開鍵方式の認証手順を用い
て検証するステップと、上記2つの検証に合格すれば、
検証合格証を発行するステップを備える。
In order to solve the above-mentioned problems, the present invention provides a user apparatus, comprising: an authentication device for verifying that the information on the signature and the right of the issuer and the subject and the user of the certificate are the same; Sending the certificate containing the information to the verification device, the verification device verifying the signature of the certificate issuer, and verifying that the certificate user is the same as the certificate subject Verification using a public key or public key authentication procedure, and if the above two verifications are passed,
Issuing a verification pass certificate.

【0005】[0005]

【発明の実施の形態】以下、図面に従って本発明を説明
する。図1は、証明書に記載される項目名の一例を示し
たものである。11は、証明書の発行者の共通鍵方式また
は公開鍵方式利用による署名を表す。12は、証明書が保
証する権利に関する情報を表す。この権利は、例えば、
ネットワーク上のファイルサーバやメールサーバへのア
クセス権や、ディレクトリへのアクセス権等である。
DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described below with reference to the drawings. FIG. 1 shows an example of an item name described in a certificate. Reference numeral 11 denotes the signature of the certificate issuer using the common key method or the public key method. Reference numeral 12 denotes information on the rights guaranteed by the certificate. This right is, for example,
The right to access a file server or mail server on the network, the right to access a directory, and the like.

【0006】13は、証明の対象者がこの証明書の使用者
と同一であることを、検証装置が確認するための認証情
報である。これは、例えば、ユーザの公開鍵であっても
よい。なお、この証明書にはユーザを識別するための情
報を含める必要はない。図2(a)は、資源管理者が保持
する検証装置に搭載される証明書検証プログラムの構成
例を表したものである。21は、証明書の発行者が証明書
に付した署名を公開鍵方式等により検証するルーチンで
ある。
Reference numeral 13 denotes authentication information for the verification device to confirm that the person to be certified is the same as the user of the certificate. This may be, for example, the user's public key. It is not necessary to include information for identifying the user in this certificate. FIG. 2A shows a configuration example of a certificate verification program mounted on a verification device held by a resource manager. Reference numeral 21 denotes a routine for verifying the signature attached to the certificate by the certificate issuer using a public key method or the like.

【0007】22は、適当な乱数をユーザの公開鍵で暗号
化し、この結果(チャレンジ)をユーザへ送信するルー
チンである。23は、ユーザ装置からチャレンジをユーザ
の秘密鍵で復号化した結果(レスポンス)を受信し、先
に生成した乱数と比較検証するレスポンス受信検証ルー
チンである。図2(b)は、ユーザ装置に搭載される証明
書使用プログラムの構成例を表したものである。
Reference numeral 22 denotes a routine for encrypting an appropriate random number with the user's public key and transmitting the result (challenge) to the user. Reference numeral 23 denotes a response reception verification routine for receiving a result (response) obtained by decrypting the challenge with the user's secret key from the user device and comparing the result with the previously generated random number. FIG. 2B shows a configuration example of a certificate use program installed in the user device.

【0008】24は、証明書送信ルーチンである。25は、
チャレンジに対し、公開鍵方式によって(ユーザの秘密
鍵を用いて)レスポンスを生成し、送信するレスポンス
生成送信ルーチンである。 (実施例1)図3は、ユーザ装置と検証装置との間で行
う証明書検証の基本的なフローを表したものである。ユ
ーザ装置は証明書使用プログラムを搭載する。また、検
証装置は証明書検証プログラムを搭載し、資源管理者に
よって保持される。(31)ユーザ装置は検証装置へ証明書
を送信する。(32)検証装置は証明書の発行者の署名を検
証する。(33)検証者はチャレンジをユーザ装置に送信す
る。(34)ユーザ装置はこれに対するレスポンスを検証者
装置へ送信する。(35)検証者装置はレスポンスから証明
書の使用者の検証をする。
Reference numeral 24 denotes a certificate transmission routine. 25 is
This is a response generation and transmission routine for generating and transmitting a response to a challenge by using a public key method (using a user's private key). (Embodiment 1) FIG. 3 shows a basic flow of certificate verification performed between a user device and a verification device. The user device is equipped with a certificate use program. The verification device has a certificate verification program and is held by a resource manager. (31) The user device transmits the certificate to the verification device. (32) The verification device verifies the signature of the certificate issuer. (33) The verifier sends the challenge to the user device. (34) The user device transmits a response thereto to the verifier device. (35) The verifier device verifies the certificate user from the response.

【0009】図4は検証装置が行う証明書の検証チャー
ト図を表したものである。(40)検証装置は図3の(31)で
受信した証明書に対し、公開鍵方式(発行局の公開鍵を
用いて)等により発行局の署名が正しいかどうかチェッ
クする。(41)これに合格すると、検証装置は、証明書の
使用者が証明書の対象者と同一であるかどうかチェック
する。(このチェックは、証明書の使用者が対象者と同
一であることを確認するための認証情報13に基づいて行
う。すなわち、(1)公開鍵方式利用のチャレンジレス
ポンスによる認証、(2)証明書の共通鍵方式または公
開鍵方式利用によるユーザ署名の検証等により行う。) (42)(40)と(41)に合格すれば、証明書を合格とする。(4
3)また、(40)と(41)に不合格のときは、証明書を不合格
とする。
FIG. 4 is a diagram showing a certificate verification chart performed by the verification device. (40) The verification device checks whether the signature of the issuing authority is correct for the certificate received in (31) of FIG. 3 by a public key method (using the public key of the issuing authority) or the like. (41) If this passes, the verification device checks whether the certificate user is the same as the certificate target. (This check is performed based on the authentication information 13 for confirming that the user of the certificate is the same as the subject. That is, (1) authentication using a challenge response using the public key method, and (2) certification (This is done by verifying the user signature using the common key method or public key method of the certificate.) (42) If (40) and (41) are passed, the certificate is passed. (Four
3) If (40) and (41) fail, the certificate is rejected.

【0010】なお、(40)と(41)の順序は逆であってもよ
い。 (実施例2)図5はWeb環境において、資源管理者(Web
サーバ)が図1の証明書を検証することで効率的にユー
ザの認証を行う場合のシステム構成例を表した図であ
る。ユーザ装置51は、ユーザが証明書を使用してネット
ワーク50上の資源を利用するための証明書使用プログラ
ムを搭載する。証明書はICカード等の耐タンパ性のある
櫃体へ格納し、これをユーザ装置に接続することで使用
することが望ましい。また、ユーザ装置にはユーザがWe
bサーバ52上のWebページを閲覧するために、Webブラウ
ザを搭載する。Webサーバ52は証明書を検証し、ユーザ
へ資源を提供するための証明書検証プログラムを搭載す
る。また、Cookie(クッキー:WWWサーバがユーザを識
別する文字列情報)検証プログラムを搭載する。51,52
はネットワーク50に接続される。
Note that the order of (40) and (41) may be reversed. (Embodiment 2) FIG. 5 shows a resource manager (Web
FIG. 2 is a diagram illustrating an example of a system configuration in a case where a (server) efficiently authenticates a user by verifying the certificate in FIG. 1. The user device 51 is loaded with a certificate use program for a user to use resources on the network 50 by using a certificate. It is desirable that the certificate be stored in a tamper-resistant case such as an IC card and used by connecting it to the user device. In addition, the user device
b Incorporate a Web browser to browse Web pages on server 52. The Web server 52 has a certificate verification program for verifying the certificate and providing resources to the user. It also has a Cookie (cookie: character string information that identifies the user to the WWW server) verification program. 51,52
Is connected to the network 50.

【0011】図6(a)はWeb環境において、資源管理者
(Webサーバ)が図1の証明書を検証することで効率的
にユーザの認証を行うフローを表した図である。(61)ユ
ーザはWebブラウザを使用して、Webサーバへ証明書の検
証要求を行う。(62) Webサーバはユーザ装置へ証明書の
送受に使用する通信ポート番号や通信手順を規定した設
定ファイルを送信する。(63) ユーザ装置は(62)で受け
取った設定ファイルに規定された通信方法で証明書をWe
bサーバへ送信する。(64) Webサーバは、搭載している
証明書検証プログラムによって発行者の署名を検証す
る。(65)Webサーバは証明書の検証に合格すると、ユー
ザ装置へチャレンジを送信する。(66)ユーザ装置はチャ
レンジに対するレスポンスを送信する。(67)Webサーバ
はチャレンジレスポンスにより証明書の使用者を検証す
る。(68)証明書の使用者の検証に合格すると、Webサー
バはユーザ装置へ証明書の検証に合格した証としてCook
ie(検証合格証)を送信する。
FIG. 6A is a diagram showing a flow in which a resource manager (Web server) efficiently authenticates a user by verifying the certificate shown in FIG. 1 in a Web environment. (61) The user makes a certificate verification request to the Web server using the Web browser. (62) The Web server transmits to the user device a setting file that specifies the communication port number and the communication procedure used for transmitting and receiving the certificate. (63) The user device sends the certificate using the communication method specified in the setting file received in (62).
b Send to server. (64) The Web server verifies the signature of the issuer using the installed certificate verification program. (65) When the Web server passes the verification of the certificate, the Web server transmits a challenge to the user device. (66) The user device transmits a response to the challenge. (67) The Web server verifies the certificate user by the challenge response. (68) If the certificate user passes the verification, the Web server sends the user device a Cook
Send ie (verification certificate).

【0012】このCookieは、証明書の証明内容を含み、
ユーザがWebサーバのディレクトリへアクセスする際の
アクセス許可証としての役割を果たす。また、Cookieの
偽造防止のため、WebサーバはCookieに署名を行う。こ
の署名は例えばWebサーバの秘密鍵および一方向性関数
によるHMAC(Hashed based Message Authentication Cod
e:メッセージ認証コード RFC2104 参照)であってもよ
い。図6(b)はWeb環境において、資源管理者(Webサー
バ)が図1の証明書を検証することで効率的にユーザの
認証を行う別のフローを表した図である。(61'), (62')
は図6(a)の(61), (62)と同様である。(63')図6(b)は
図6(a)における(65)および(66)のステップの代わり
に、(63)においてユーザ装置が証明書とともに、共通鍵
または公開鍵方式利用によるユーザ署名を送信する。(6
4')Webサーバは証明書の発行者の署名検証および使用者
の署名検証を行う。(65')は図6(a)の(68)と同様であ
る。
This Cookie contains the contents of the certificate,
Acts as an access permit when the user accesses the directory of the Web server. In addition, the Web server signs the cookie to prevent forgery of the cookie. This signature is obtained, for example, using a Web server secret key and a HMAC (Hashed based Message Authentication Cod) using a one-way function.
e: message authentication code RFC2104). FIG. 6B is a diagram showing another flow in which a resource manager (Web server) efficiently authenticates a user by verifying the certificate of FIG. 1 in a Web environment. (61 '), (62')
Are the same as (61) and (62) in FIG. (63 ') FIG. 6 (b) shows that, instead of the steps of (65) and (66) in FIG. Send (6
4 ') The Web server verifies the signature of the certificate issuer and the user. (65 ') is the same as (68) in FIG. 6 (a).

【0013】図7はユーザがCookieを使用してWebペー
ジを閲覧するフローを表した図である。(71)ユーザ装置
がWebサーバへCookieを送信する。(72)WebサーバはCook
ieの内容とWebサーバの署名を検証する。(73)この検証
に合格すればWebサーバはユーザへWebページの閲覧を提
供する。図8はWebサーバがCookieをチェックし、ユー
ザへWebページの閲覧を許可するまでのチャート図であ
る。(80)Webサーバはユーザが閲覧するWebページにアク
セス制限が設定されているかどうかチェックする。(81)
Webページにアクセス制限が設定してあれば、Webサーバ
は次にユーザから受信したCookieの内容から、当該Cook
ieが当該Webページの閲覧を許可するものであるかどう
かをチェックする。(82) 当該Cookieが当該Webページの
閲覧を許可するものであれば、Webサーバは次に、Cooki
eに対して自身が行った署名を検証する。
FIG. 7 is a diagram showing a flow in which a user browses a Web page using a Cookie. (71) The user device sends a Cookie to the Web server. (72) Web server is Cook
Verify the contents of ie and the signature of the Web server. (73) If this verification is passed, the Web server provides the user with browsing the Web page. FIG. 8 is a chart from when the Web server checks the Cookie to when the user is allowed to browse the Web page. (80) The Web server checks whether access restriction is set for the Web page viewed by the user. (81)
If access restrictions are set for the Web page, the Web server uses the contents of the Cookie
It checks whether ie is the one that allows browsing of the Web page. (82) If the cookie permits browsing of the web page, the web server
Verify your signature on e.

【0014】ただし、(81)と(82)の順序は逆であっても
よい。(83) (81)および(82)に合格すると、Webサーバは
ユーザへWebページの閲覧を許可する。(84) (81)および
(82)が不合格のとき、WebサーバはユーザへのWebページ
の閲覧を拒否する。図9はユーザがインターネット等の
ネットワークへダイヤルアップ接続する際、資源管理者
(RADIUS (Remote Authentication Dial In User Servi
ce )ラディウス:アクセスサーバにアクセスしてきたユ
ーザを認証しユーザに割り当てるIPアドレスなどをアク
セスサーバに伝達する)(RFC 2138 参照)サーバ)が図1
の証明書を検証することによって効率的にユーザの認証
を行う場合のシステム構成を表した図である。
However, the order of (81) and (82) may be reversed. (83) When passing (81) and (82), the Web server permits the user to browse the Web page. (84) (81) and
If (82) fails, the Web server refuses the user to view the Web page. FIG. 9 shows a resource manager (RADIUS (Remote Authentication Dial In User Service) when a user dials up to a network such as the Internet.
ce) Radius: Authenticates the user who has accessed the access server and conveys the IP address etc. assigned to the user to the access server (see RFC 2138).
FIG. 2 is a diagram illustrating a system configuration in a case where user authentication is efficiently performed by verifying the certificate of the user.

【0015】ユーザ装置91は証明書を使用してネットワ
ーク90へ接続するための証明書使用プログラムを搭載す
る。また、ユーザ装置にはネットワークへのダイヤルア
ップ接続をするために、ダイヤルアップ接続プログラム
を搭載する。アクセスサーバ92はユーザ装置からの接続
要求を受け付ける。RADIUSサーバ93は証明書を検証し、
ユーザへダイヤルアップ接続を提供する証明書検証プロ
グラムを搭載する。91〜93はネットワーク90に接続され
る。また、94は90と92を接続する公衆網である。
The user device 91 has a certificate use program for connecting to the network 90 using the certificate. In addition, the user device is equipped with a dial-up connection program for making a dial-up connection to a network. The access server 92 receives a connection request from a user device. RADIUS server 93 validates the certificate,
Equipped with a certificate verification program that provides dial-up connection to users. 91 to 93 are connected to the network 90. A public network 94 connects 90 and 92.

【0016】図10はユーザがインターネット等のネット
ワークへダイヤルアップ接続する際、資源管理者(RADIU
Sサーバ)は図1の証明書を検証することで効率的にユー
ザの認証を行うフローを表した図である。(101)ユーザ
はダイヤルアップ接続プログラムを使用し、アクセスサ
ーバとユーザ装置との間に回線接続を確立する。(102)
次に、ユーザは証明書をアクセスサーバ経由でRADIUSサ
ーバへ送信する。(103)RADIUSサーバは証明書の発行者
の署名を検証する。(104)証明書の検証に合格すると、R
ADIUSサーバはアクセスサーバを介してユーザ装置にチ
ャレンジを送信する。(105)これに対し、ユーザはアク
セスサーバに対してRADIUSサーバへレスポンスを送信す
る。(106)RADIUSサーバはチャレンジレスポンスにより
証明書の使用者を検証する。
FIG. 10 shows a resource manager (RADIU) when a user dials up to a network such as the Internet.
S server) is a diagram showing a flow of efficiently authenticating a user by verifying the certificate of FIG. (101) The user uses a dial-up connection program to establish a line connection between the access server and the user device. (102)
Next, the user sends the certificate to the RADIUS server via the access server. (103) The RADIUS server verifies the signature of the certificate issuer. (104) If the certificate verification passes, R
The ADIUS server sends a challenge to the user device via the access server. (105) In response, the user sends a response to the access server to the RADIUS server. (106) The RADIUS server verifies the user of the certificate by a challenge response.

【0017】また、図10で説明したように、チャレンジ
レスポンスの代わりに、ユーザ装置から証明書とともに
署名を送信し、RADIUSサーバが証明書の検証時に署名の
検証を行ってもよい。この説明図は省略する。(107)(10
3)および(106)に合格すると、RADIUSサーバはユーザ装
置との間にPPP(Point to Point Protocol)コネクショ
ンを確立する。また、本発明の証明書を用いた権利の検
証装置は、CPUやメモリ等を有するコンピュータと、ア
クセス主体となるユーザが利用する利用者端末と、記録
媒体から構成することができる。
As described in FIG. 10, instead of the challenge response, a signature may be transmitted from the user device together with the certificate, and the RADIUS server may verify the signature when verifying the certificate. This illustration is omitted. (107) (10
If 3) and (106) are passed, the RADIUS server establishes a PPP (Point to Point Protocol) connection with the user equipment. Further, the right verification device using a certificate according to the present invention can be composed of a computer having a CPU, a memory, and the like, a user terminal used by a user serving as an access subject, and a recording medium.

【0018】記録媒体は、CD-ROM、磁気ディスク、半導
体メモリ等の機械読み取り可能な記録媒体であり、ここ
に記録されたプログラムは、コンピュータに読み取ら
れ、コンピュータの動作を制御し、実施の形態に記載の
ユーザ装置、Webサーバ、アクセスサーバ、RADIUSサー
バ等の各構成要素を実現する。
The recording medium is a machine-readable recording medium such as a CD-ROM, a magnetic disk, and a semiconductor memory. The program recorded on the recording medium is read by a computer to control the operation of the computer. Each component such as a user device, a web server, an access server, and a RADIUS server described in the above section is realized.

【0019】[0019]

【発明の効果】以上説明したように、本発明は、証明書
を検証することによってユーザを認証する際に、資源管
理者はユーザの個人情報を格納したデータベース等へア
クセスする処理を省略できる。これによって、ユーザの
認証処理にかかる資源管理者の負荷や時間を削減でき、
効率のよいユーザの認証を実現できる。また、証明書に
はユーザを識別する情報を含める必要がない。従って、
ユーザは匿名のまま権利を行使することが可能であり、
ユーザのプライバシを重視したシステムを構築できる。
As described above, according to the present invention, when a user is authenticated by verifying a certificate, a resource manager can omit a process of accessing a database or the like storing personal information of a user. As a result, it is possible to reduce the load and time of the resource manager involved in the user authentication process,
Efficient user authentication can be realized. Also, the certificate need not include information for identifying the user. Therefore,
Users can exercise their rights anonymously,
A system emphasizing user privacy can be constructed.

【図面の簡単な説明】[Brief description of the drawings]

【図1】証明書の項目例を示す図。FIG. 1 is a diagram showing an example of items of a certificate.

【図2】資源管理者が保持する検証装置に搭載される証
明書検証・使用プログラムの構成例を示す図。
FIG. 2 is a diagram showing a configuration example of a certificate verification / use program installed in a verification device held by a resource manager.

【図3】ユーザ装置と検証装置との間で行う証明書検証
の基本的なフローを示す図。
FIG. 3 is a diagram showing a basic flow of certificate verification performed between a user device and a verification device.

【図4】検証装置が行う証明書の検証チャート図。FIG. 4 is a verification chart of a certificate performed by a verification device.

【図5】Web環境において、資源管理者(Webサーバ)が
証明書を検証することでユーザの認証を行うシステム構
成例を示す図。
FIG. 5 is a diagram showing an example of a system configuration in which a resource manager (Web server) authenticates a user by verifying a certificate in a Web environment.

【図6】Web環境において、資源管理者(Webサーバ)が
証明書を検証することでユーザの認証を行うフローを示
す図。
FIG. 6 is a diagram showing a flow in which a resource manager (Web server) authenticates a user by verifying a certificate in a Web environment.

【図7】ユーザがCookieを使用してWebページを閲覧す
るフローを示す図。
FIG. 7 is a diagram showing a flow in which a user browses a web page using a cookie.

【図8】WebサーバがCookieをチェックし、ユーザへWeb
ページの閲覧を許可するまでのチャート図。
[Figure 8] The Web server checks the Cookie and sends the Web to the user.
FIG. 5 is a chart diagram until a page is permitted to be viewed.

【図9】ユーザがネットワークへダイヤルアップ接続す
る際、資源管理者(RADIUSサーバ)が証明書を検証する
ことでユーザの認証を行うシステム構成例を示す図。
FIG. 9 is a diagram showing an example of a system configuration in which a resource manager (RADIUS server) authenticates a user by verifying a certificate when the user dials up a network.

【図10】ユーザがネットワークへダイヤルアップ接続す
る際、資源管理者(RADIUS サーバ)が証明書を検証す
ることでユーザの認証を行うフローを示す図。
FIG. 10 is a diagram showing a flow in which a resource manager (RADIUS server) authenticates a user by verifying a certificate when the user makes a dial-up connection to a network.

【符号の説明】[Explanation of symbols]

10 証明書 50,90 ネットワーク 51,91 ユーザ装置 52 Webサーバ 92 アクセスサーバ 93 RADIUSサーバ 10 Certificate 50,90 Network 51,91 User device 52 Web server 92 Access server 93 RADIUS server

───────────────────────────────────────────────────── フロントページの続き (72)発明者 花木 三良 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AE09 AE23 5J104 AA09 LA06 PA07  ──────────────────────────────────────────────────続 き Continuing on the front page (72) Inventor Miraki Hanaki F-term (reference) in Nippon Telegraph and Telephone Corporation 2-3-1 Otemachi, Chiyoda-ku, Tokyo 5B085 AE09 AE23 5J104 AA09 LA06 PA07

Claims (16)

【特許請求の範囲】[Claims] 【請求項1】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
たシステムにおける証明書を用いた検証方法において、 証明書は、少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
み、 ユーザ装置は、証明書を検証装置へ送信するステップ
と、 検証装置は、証明書を発行した発行者の署名を検証する
ステップと、証明書の使用者が証明書の対象者と同一で
あることを、前記認証情報に基づいて共通鍵方式または
公開鍵方式の認証手順を用いて検証するステップと、上
記2つの検証に合格すれば、証明書が保証する権利の正
当性を認めるステップと、を有することを特徴とする証
明書を用いた権利の検証方法。
1. A verification method using a certificate in a system in which at least one or more user devices and at least one or more verification devices are connected via a network, wherein the certificate includes at least a signature of its issuer, The user device including information on a right guaranteed by the certificate and authentication information for confirming that the user of the certificate is the same as the subject of the certificate, the user device transmitting the certificate to the verification device; The verification device verifies the signature of the issuer who issued the certificate, and verifies that the certificate user is the same as the certificate target based on the common key method or the public key based on the authentication information. A certificate using a certificate authentication method, and a step of validating the right guaranteed by the certificate if the above two verifications are passed. Verification method of rights.
【請求項2】請求項1に記載の証明書を用いた権利の検
証方法において、 証明書をユーザ装置から検証装置へ送信するステップ以
前に、 ユーザ装置は、検証装置へ証明書の検証要求を送信する
ステップと、 検証装置は、これを受信してユーザ装置へ証明書の送受
に必要な通信手順を規定した一連の情報を送信するステ
ップと、を有することを特徴とする証明書を用いた検証
方法。
2. The method for verifying rights using a certificate according to claim 1, wherein the user device transmits a certificate verification request to the verification device before transmitting the certificate from the user device to the verification device. Transmitting, and the verification device, using a certificate characterized by having a step of receiving this and transmitting a series of information defining a communication procedure necessary for transmission and reception of the certificate to the user device Method of verification.
【請求項3】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
たシステムにおける証明書を用いた検証方法において、 証明書は、少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
み、 ユーザ装置は、ネットワークアクセス装置を経由してネ
ットワークへ接続するステップと、ネットワークアクセ
ス装置を経由して検証装置へ証明書を送信するステップ
と、 検証装置は、証明書を発行した発行者の署名を検証する
ステップと、証明書の使用者が証明書の対象者と同一で
あることを、前記認証情報に基づいて共通鍵方式または
公開鍵方式の認証手順を用いて検証するステップと、上
記2つの検証に合格すれば、証明書が保証する権利の正
当性を認めるステップと、を有することを特徴とする証
明書を用いた権利の検証方法。
3. A verification method using a certificate in a system in which at least one or more user devices and at least one or more verification devices are connected via a network, wherein the certificate includes at least a signature of its issuer, The user device connects to the network via the network access device, including information on the rights guaranteed by the certificate and authentication information for confirming that the certificate user is the same as the certificate subject. Transmitting the certificate to the verification device via the network access device; verifying the signature of the issuer who issued the certificate; and Verifying the identity of the subject using the common key or public key authentication procedure based on the authentication information; If the verification is passed, the verification method of the rights of using the certificate and having the steps of: admit the legitimacy of the rights certificate guarantees.
【請求項4】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
たシステムにおけるネットワーク上の資源の提供方法に
おいて、 検証装置は、請求項1乃至3のいずれか1項に記載の証
明書の検証方法に基づいた証明書の検証に合格すると、
ユーザ装置へ検証合格証を発行するステップと、 ユーザ装置は、ネットワーク上の資源を利用する際、当
該検証合格証を検証装置へ送信するステップと、 検証装置は、当該検証合格証を検証するステップと、 検証装置は、上記のステップに合格したとき、ユーザ装
置へ資源を提供するステップと、を有することを特徴と
する資源の提供方法。
4. A method for providing resources on a network in a system in which at least one or more user devices and at least one or more verification devices are connected via a network, wherein the verification device is any one of claims 1 to 3. If you pass the certificate verification based on the certificate verification method described in paragraph 1,
Issuing a verification pass certificate to the user device; transmitting, when the user device uses a resource on the network, the verification pass certificate to the verification device; and verifying the verification pass certificate by the verification device. And a step of, when the verification device passes the above step, providing the resource to the user device.
【請求項5】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
た証明書を用いた検証装置において、 証明書は、少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
み、 ユーザ装置は、証明書を検証装置へ送信する送信手段を
有し、 検証装置は、証明書を発行した発行者の署名を検証する
手段と、証明書の使用者が証明書の対象者と同一である
ことを、前記認証情報に基づいて共通鍵方式または公開
鍵方式の認証手順を用いて検証する手段と、上記2つの
検証に合格すれば、証明書が保証する権利の正当性を認
める手段とから構成することを特徴とする証明書を用い
た権利の検証装置。
5. A verification device using a certificate in which at least one or more user devices and at least one or more verification devices are connected via a network, wherein the certificate includes at least a signature of its issuer and a certificate. The user device has transmission means for transmitting the certificate to the verification device, including information on the right guaranteed by the user and authentication information for confirming that the certificate user is the same as the certificate subject. The verification device includes means for verifying the signature of the issuer who issued the certificate, and a common key method or a public key based on the authentication information that the user of the certificate is the same as the subject of the certificate. Means for verifying using a key-based authentication procedure, and means for recognizing the validity of the right guaranteed by the certificate if the above two verifications are passed. Verification device.
【請求項6】請求項5に記載の証明書を用いた権利の検
証装置において、 証明書をユーザ装置から検証装置へ送信する以前に、 ユーザ装置は、検証装置へ証明書の検証要求を送信する
送信手段と、 検証装置は、ユーザ装置へ証明書の送受に必要な通信手
順を規定した一連の情報を送信する送信手段を有するこ
とを特徴とする証明書を用いた権利の検証装置。
6. A right verification device using a certificate according to claim 5, wherein the user device transmits a certificate verification request to the verification device before transmitting the certificate from the user device to the verification device. A verification unit that transmits a series of information defining a communication procedure required for transmitting and receiving the certificate to the user device.
【請求項7】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
た証明書を用いた検証装置において、 証明書は、少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
み、 ユーザ装置は、ネットワークアクセス装置を経由してネ
ットワークへ接続する手段と、ネットワークアクセス装
置を経由して検証装置へ証明書を送信する送信手段とを
有し、 検証装置は、証明書を発行した発行者の署名を検証する
手段と、証明書の使用者が証明書の対象者と同一である
ことを、前記認証情報に基づいて共通鍵方式または公開
鍵方式の認証手順を用いて検証する手段と、上記2つの
検証に合格すれば、証明書が保証する権利の正当性を認
める手段とから構成することを特徴とする証明書を用い
た権利の検証装置。
7. A verification device using a certificate in which at least one or more user devices and at least one or more verification devices are connected via a network, wherein the certificate includes at least a signature of its issuer and a certificate. The user device includes means for connecting to a network via a network access device, including information on rights guaranteed by the user and authentication information for confirming that the user of the certificate is the same as the subject of the certificate. And a transmitting means for transmitting the certificate to the verification device via the network access device. The verification device verifies the signature of the issuer who has issued the certificate, and verifies the signature of the issuer of the certificate. Means for verifying the same as the subject of the certificate using the authentication procedure of the common key method or the public key method based on the authentication information. Writing rights verification device using the certificate, characterized in that it is composed of a means to recognize the validity of the right to guarantee.
【請求項8】少なくとも一つ以上のユーザ装置と少なく
とも一つ以上の検証装置をネットワークを介して接続し
たシステムにおけるネットワーク上の資源の提供装置に
おいて、 検証装置は、請求項1乃至3のいずれか1項に記載の証
明書を用いた権利の検証装置に基づいた証明書の検証に
合格し権利の正当性を認めた場合に、ユーザ装置へ検証
合格証を発行する手段と、 ユーザ装置は、ネットワーク上の資源を利用する際、当
該検証合格証を検証装置へ送信する送信手段と、 検証装置は、当該検証合格証を検証する手段と、 検証装置は、上記の検証に合格したとき、ユーザ装置へ
資源を提供する手段と、を有することを特徴とする資源
の提供装置。
8. A device for providing resources on a network in a system in which at least one user device and at least one verification device are connected via a network, wherein the verification device is any one of claims 1 to 3. Means for issuing a verification pass certificate to the user device when the certificate verification based on the right verification device using the certificate described in paragraph 1 is passed and the right is recognized, A transmitting unit that transmits the verification pass certificate to the verification device when using the resources on the network; a verification device that verifies the verification pass certificate; and a verification device that, when passing the above verification, Means for providing resources to the device.
【請求項9】ユーザ装置から少なくともその発行者の署
名と、証明書が保証する権利に関する情報と、証明書の
使用者が証明書の対象者と同一であることを確認するた
めの認証情報を含む証明書を受信する処理と、 証明書を発行した発行者の署名を検証する処理と、 証明書の使用者が証明書の対象者と同一であることを、
前記認証情報に基づいて共通鍵方式または公開鍵方式の
認証手順を用いて検証する処理と、 上記2つの検証に合格すれば、証明書が保証する権利の
正当性を認める処理をコンピュータに実行させるための
プログラム。
9. The user device transmits at least a signature of the issuer, information on a right guaranteed by the certificate, and authentication information for confirming that the user of the certificate is the same as the subject of the certificate. Process to receive the certificate containing the certificate, verify the signature of the issuer who issued the certificate, and confirm that the certificate
Based on the authentication information, a computer performs a process of performing verification using a common key system or public key system authentication procedure, and if the above two verifications are passed, causes the computer to execute a process of recognizing the validity of the right guaranteed by the certificate. Program for.
【請求項10】請求項9に記載のプログラムにおいて、 ユーザ装置から証明書を受信する処理以前に、 ユーザ装置から証明書の検証要求を受信する処理と、 ユーザ装置へ証明書の送受に必要な通信手順を規定した
一連の情報を送信する処理と、を有するコンピュータに
実行させるためのプログラム。
10. The program according to claim 9, wherein a process for receiving a certificate verification request from the user device and a process for transmitting and receiving the certificate to and from the user device are performed before the process for receiving the certificate from the user device. A process of transmitting a series of information defining a communication procedure.
【請求項11】ユーザ装置からネットワークアクセス装置
を経由して少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
む証明書を受信する処理と、 証明書を発行した発行者の署名を検証する処理と、 証明書の使用者が証明書の対象者と同一であることを、
前記認証情報に基づいて共通鍵方式または公開鍵方式の
認証手順を用いて検証する処理と、 上記2つの検証に合格すれば、証明書が保証する権利の
正当性を認める処理と、をコンピュータに実行させるた
めのプログラム。
11. At least a signature of an issuer from a user device via a network access device, information on a right guaranteed by a certificate, and that a user of the certificate is the same as a subject of the certificate. The process of receiving a certificate containing authentication information for confirmation, the process of verifying the signature of the issuer who issued the certificate, and the fact that the certificate is used by the same person as the certificate
A process for performing verification using a common key system or a public key system authentication procedure based on the authentication information, and a process for validating the right guaranteed by the certificate if the above two verifications are passed, to the computer. The program to be executed.
【請求項12】請求項9乃至11のいずれか1項に記載のプ
ログラムに基づいた証明書の検証に合格すると、ユーザ
装置へ検証合格証を発行する処理と、 ユーザ装置からネットワーク上の資源を利用する際、当
該検証合格証を受信する処理と、 当該検証合格証を検証する処理と、 上記の処理に合格したとき、ユーザ装置へ資源を提供す
る処理と、をコンピュータに実行させるためのプログラ
ム。
12. When the verification of the certificate based on the program according to any one of claims 9 to 11 is passed, a process of issuing a verification pass certificate to the user device, A program for causing a computer to execute a process of receiving the verification pass certificate, a process of verifying the verification pass certificate, and a process of providing a resource to the user device when the above process is passed. .
【請求項13】ユーザ装置から少なくともその発行者の署
名と、証明書が保証する権利に関する情報と、証明書の
使用者が証明書の対象者と同一であることを確認するた
めの認証情報を含む証明書を受信する処理と、 証明書を発行した発行者の署名を検証する処理と、 証明書の使用者が証明書の対象者と同一であることを、
前記認証情報に基づいて共通鍵方式または公開鍵方式の
認証手順を用いて検証する処理と、 上記2つの検証に合格すれば、証明書が保証する権利の
正当性を認める処理をコンピュータに実行させるための
プログラムを記録したコンピュータ読み取り可能な記録
媒体。
13. The user device transmits at least a signature of the issuer, information on a right guaranteed by the certificate, and authentication information for confirming that the user of the certificate is the same as the subject of the certificate. Process to receive the certificate containing the certificate, verify the signature of the issuer who issued the certificate, and confirm that the certificate
Based on the authentication information, a computer performs a process of performing verification using a common key system or public key system authentication procedure, and if the above two verifications are passed, causes the computer to execute a process of recognizing the validity of the right guaranteed by the certificate. Readable recording medium on which a program for recording is recorded.
【請求項14】請求項13に記載の記録媒体において、 ユーザ装置から証明書を受信する処理以前に、 ユーザ装置から証明書の検証要求を受信する処理と、 ユーザ装置へ証明書の送受に必要な通信手順を規定した
一連の情報を送信する処理と、をコンピュータに実行さ
せるプログラムを有する記録媒体。
14. The recording medium according to claim 13, wherein a process of receiving a certificate verification request from the user device and a process of transmitting and receiving the certificate to and from the user device are performed before the process of receiving the certificate from the user device. A recording medium having a program for causing a computer to execute a process of transmitting a series of information defining a specific communication procedure.
【請求項15】ユーザ装置からネットワークアクセス装置
を経由して少なくともその発行者の署名と、証明書が保
証する権利に関する情報と、証明書の使用者が証明書の
対象者と同一であることを確認するための認証情報を含
む証明書を受信する処理と、 証明書を発行した発行者の署名を検証する処理と、 証明書の使用者が証明書の対象者と同一であることを、
前記認証情報に基づいて共通鍵方式または公開鍵方式の
認証手順を用いて検証する処理と、 上記2つの検証に合格すれば、証明書が保証する権利の
正当性を認める処理と、をコンピュータに実行させるた
めのプログラムを記録したコンピュータ読み取り可能な
記録媒体。
15. At least a signature of an issuer from a user device via a network access device, information on a right guaranteed by the certificate, and that a user of the certificate is the same as a subject of the certificate. The process of receiving a certificate containing authentication information for confirmation, the process of verifying the signature of the issuer who issued the certificate, and the fact that the certificate is used by the same person as the certificate
A process for performing verification using a common key system or a public key system authentication procedure based on the authentication information, and a process for validating the right guaranteed by the certificate if the above two verifications are passed, to the computer. A computer-readable recording medium on which a program to be executed is recorded.
【請求項16】請求項12乃至15のいずれか1項に記載の記
録媒体に記録されたプログラムに基づいた証明書の検証
に合格すると、ユーザ装置へ検証合格証を発行する処理
と、 ユーザ装置からネットワーク上の資源を利用する際、当
該検証合格証を受信する処理と、 当該検証合格証を検証する処理と、 上記の処理に合格したとき、ユーザ装置へ資源を提供す
る処理と、を有するコンピュータに実行させるための記
録媒体。
16. A process for issuing a verification pass certificate to a user device when the verification of the certificate based on the program recorded on the recording medium according to claim 12 is passed, When using resources on the network from the above, there is a process of receiving the verification pass certificate, a process of verifying the verification pass certificate, and a process of providing resources to the user device when the above process is passed A recording medium to be executed by a computer.
JP2001044652A 2001-02-21 2001-02-21 Method and device for verifying right by using certificate, program, and recording medium Pending JP2002245008A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001044652A JP2002245008A (en) 2001-02-21 2001-02-21 Method and device for verifying right by using certificate, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001044652A JP2002245008A (en) 2001-02-21 2001-02-21 Method and device for verifying right by using certificate, program, and recording medium

Publications (1)

Publication Number Publication Date
JP2002245008A true JP2002245008A (en) 2002-08-30

Family

ID=18906606

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001044652A Pending JP2002245008A (en) 2001-02-21 2001-02-21 Method and device for verifying right by using certificate, program, and recording medium

Country Status (1)

Country Link
JP (1) JP2002245008A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007207067A (en) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> Server/client system, access control method in the system and program therefor
JP2009112015A (en) * 2003-05-23 2009-05-21 Ind Technol Res Inst Personal authentication device and system and method thereof
JP2011250335A (en) * 2010-05-31 2011-12-08 Hitachi Ltd Efficient mutual authentication method, program, and device
JP2013003820A (en) * 2011-06-16 2013-01-07 Bank Of Tokyo-Mitsubishi Ufj Ltd Information processor and information processing method
JP2013175040A (en) * 2012-02-24 2013-09-05 Nippon Telegr & Teleph Corp <Ntt> Authentication authority transfer system, information terminal, token issuing station, service providing device, authentication authority transfer method, and program
JP2016057656A (en) * 2014-09-05 2016-04-21 株式会社リコー Information processor, access control method, communication system, and program
CN105991650A (en) * 2016-01-21 2016-10-05 李明 Secret key acquisition method and identity card information transmission method and system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009112015A (en) * 2003-05-23 2009-05-21 Ind Technol Res Inst Personal authentication device and system and method thereof
JP2007207067A (en) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> Server/client system, access control method in the system and program therefor
JP2011250335A (en) * 2010-05-31 2011-12-08 Hitachi Ltd Efficient mutual authentication method, program, and device
JP2013003820A (en) * 2011-06-16 2013-01-07 Bank Of Tokyo-Mitsubishi Ufj Ltd Information processor and information processing method
JP2013175040A (en) * 2012-02-24 2013-09-05 Nippon Telegr & Teleph Corp <Ntt> Authentication authority transfer system, information terminal, token issuing station, service providing device, authentication authority transfer method, and program
JP2016057656A (en) * 2014-09-05 2016-04-21 株式会社リコー Information processor, access control method, communication system, and program
CN105991650A (en) * 2016-01-21 2016-10-05 李明 Secret key acquisition method and identity card information transmission method and system
CN105991650B (en) * 2016-01-21 2019-09-27 李明 A kind of transmission method and system of ID card information

Similar Documents

Publication Publication Date Title
US7747856B2 (en) Session ticket authentication scheme
JP4782986B2 (en) Single sign-on on the Internet using public key cryptography
Chadwick Federated identity management
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
AU2004254771B2 (en) User authentication system
AU2010272570B2 (en) Method for reading attributes from an ID token
US8776199B2 (en) Authentication of a server by a client to prevent fraudulent user interfaces
US6807577B1 (en) System and method for network log-on by associating legacy profiles with user certificates
JP4508331B2 (en) Authentication agent device, authentication agent method, authentication agent service system, and computer-readable recording medium
US8438620B2 (en) Portable device for clearing access
US20050165698A1 (en) User authentication method and system using user&#39;s e-mail address and hardware information
US20050021975A1 (en) Proxy based adaptive two factor authentication having automated enrollment
EP1102157A1 (en) Method and arrangement for secure login in a telecommunications system
US8261336B2 (en) System and method for making accessible a set of services to users
JP2005532736A (en) Biometric private key infrastructure
JP4960738B2 (en) Authentication system, authentication method, and authentication program
KR20060069611A (en) User authentication method in other network using digital signature made by mobile terminal
CN110138718A (en) Information processing system and its control method
CN109196500A (en) The certification based on unified VPN and identity to service based on cloud
JP2003338816A (en) Service providing system for verifying personal information
JP2001186122A (en) Authentication system and authentication method
JP4857657B2 (en) Access management system and access management method
WO2004099949A1 (en) Web site security model
JP2002245008A (en) Method and device for verifying right by using certificate, program, and recording medium
JP2005018421A (en) Management device, service providing device, and communication system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040629

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20041102