JP2002324049A - Access control method and system - Google Patents

Access control method and system

Info

Publication number
JP2002324049A
JP2002324049A JP2001127621A JP2001127621A JP2002324049A JP 2002324049 A JP2002324049 A JP 2002324049A JP 2001127621 A JP2001127621 A JP 2001127621A JP 2001127621 A JP2001127621 A JP 2001127621A JP 2002324049 A JP2002324049 A JP 2002324049A
Authority
JP
Japan
Prior art keywords
authentication
server
agent
certificate
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001127621A
Other languages
Japanese (ja)
Inventor
Hiroshi Arimichi
Ryuji Kawasaki
Toru Nishimura
Masayoshi Nose
隆二 川崎
啓史 有道
徹 西村
昌禎 野瀬
Original Assignee
Nippon Telegr & Teleph Corp <Ntt>
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegr & Teleph Corp <Ntt>, 日本電信電話株式会社 filed Critical Nippon Telegr & Teleph Corp <Ntt>
Priority to JP2001127621A priority Critical patent/JP2002324049A/en
Publication of JP2002324049A publication Critical patent/JP2002324049A/en
Application status is Pending legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To provide an access control method and an access control system that dispense with authentication work of two or more times when a client terminal makes a request of more than one server for processing. SOLUTION: This system adopts a characteristic means that comprises: an agent authentication part 1 that accepts a service authentication request from the client terminal C, and, after the execution of authentication processing, issues an agent authentication certificate; and an agent service processing part 2 that accepts a service use request from the client terminal C, if the authentication certificate attached to the service use request is valid, acquires, from a first server S, a first server authentication certificate of a first server S1 designated by the client terminal C or a user, using authentication information stored internally, or if it has been acquired previously, fetches, as required, the first server authentication certificate that has been acquired previously, makes a service use request to the first server S1 by presenting the server authentication certificate that is acquired or fetched, and sends the transmission result from the first server S1 back to the client terminal C.

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は、様々な機能を提供する複数種類のサーバがネットワークを介して接続され、認証形式の異なる複数種類のサーバの機能を一つのクライアント端末を用いてユーザが操作するネットワークコンピューティング環境下において、クライアント端末又はそのユーザが複数のサーバに対して操作する際に、二回以上の認証作業を不要とする、アクセス制御方法及びシステムに関する。 The present invention relates is connected via a plurality of types of servers network that provides various functions, the user operation different kinds of server functions of the authentication format using one of the client terminal in network computing environment in which, when a client terminal or a user operates on a plurality of servers, eliminating the need for authentication work more than once, to an access control method and system.

【0002】 [0002]

【従来の技術】図5は、本発明に関する従来技術を説明する為の説明図である。 BACKGROUND ART FIG. 5 is an explanatory diagram for explaining the prior art relating to the present invention.

【0003】従来、同図の様に、複数種類のサーバS In the past, as in the figure, a plurality of types of servers S
(第一サーバS1、第二サーバS2、・・)を扱うクライアント端末Cは、サーバS毎に認証手続きを行い、サーバS毎の認証証明書を認証証明書保持部Cdに保持し、処理をサーバSに依頼する毎にそのサーバSに対応する認証証明書Cs(第一サーバS1に依頼する際には「第一サーバの為の認証証明書」Cs1、第二サーバS (The first server S1, second server S2, · ·) client terminal C to handle performs an authentication procedure for each server S, and holds the authentication certificate for each server S in authentication certificate holding unit Cd, handle authentication certificate Cs which corresponds to the server S each time to ask the server S ( "authentication certificate for the first server" when requesting the first server S1 Cs1, the second server S
2に依頼する際には「第二サーバの為の認証証明書」C Is the time to ask 2 "authentication certificate for the second server" C
s2、・・)を提示する必要がある。 s2, ··) it is necessary to present a.

【0004】 [0004]

【発明が解決しようとする課題】かように従来においては、クライアント端末C自体又はそのユーザ自体には各サーバに認証手続きを行う負担がかかる等の問題がある。 In conventionally song [0005] is, the client terminal C itself or the user itself has problems such as it takes the burden of performing an authentication procedure for each server.

【0005】ここにおいて、本発明の解決すべき主要な目的は以下の通りである。 [0005] In this case, resolve the primary purpose to be of the present invention is as follows.

【0006】本発明の第1の目的は、クライアント端末自体又はそれを扱うユーザ自体に各サーバに対して認証手続きを行う負担を軽減する、アクセス制御方法及びシステムを提供することにある。 A first object of the present invention reduce the burden of performing an authentication procedure for each server to the client terminal itself or the user itself to handle it is to provide an access control method and system.

【0007】本発明の第2の目的は、クライアント端末が複数のサーバへの処理を依頼する際に、二回以上の認証作業を不要とする、アクセス制御方法及びシステムを提供することにある。 A second object of the present invention, when the client terminal requests the processing to a plurality of servers, eliminating the need for authentication work more than once, to provide an access control method and system.

【0008】本発明の第3の目的は、各クライアント端末自体が、各サーバへのアクセスに必要となるサーバ毎の認証情報を保持する必要のない、アクセス制御方法及びシステムを提供することにある。 A third object of the present invention, each client terminal itself, no need to hold the authentication information for each server that is required to access each server is to provide an access control method and system .

【0009】本発明の他の目的は、明細書、図面、特に特許請求の範囲における各請求項の記載から自ずと明らかとなろう。 Another object of the present invention, the specification, the drawings, will be particularly naturally apparent from the description of the appended claims.

【0010】 [0010]

【課題を解決するための手段】本発明方法は、上記課題の解決に当たり、複数のサーバに対するクライアント端末からの要求をアクセス制御する方法であって、当該複数のサーバの内特定のサーバに対して前記クライアント端末からサービス利用要求を行うに際して、当該サービス利用要求に係る認証代行処理を行うアクセス制御システムに対して、事前に当該クライアント端末を利用するユーザの利用者認証を行って当該利用者認証に成功した場合に限って当該クライアント端末に対して発行されるエージェント認証証明書を、当該サービス利用要求に添付することにより前記アクセス制御が行われてなる構成手法を講じる。 Means for Solving the Problems The present invention method is hit to solve the above problems, a method of controlling access to the request from the client terminal to a plurality of servers, the inner particular server of the plurality of servers in performing the service usage request from the client terminal, with respect to the service authentication agent processing access control system for performing in accordance with the usage request, performs user authentication of the user in advance utilizing the client terminal to the user authentication the agent authentication certificate is issued to the client terminal only if successful, take construction technique the access control is being performed by attaching to the service use request.

【0011】本発明システムは、上記課題の解決に当たり、各サーバに対するクライアント端末からの各サーバに対する認証処理を統合させて、認証処理の代行を行うシステムであって、前記クライアント端末からのエージェント認証要求を受け付けて利用者認証を行ってエージェント認証証明書を発行するエージェント認証部と、当該クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付されるエージェント認証証明書が正当であれば、クライアント端末が指定する特定のサーバから、当該システム内部に予め保持する認証情報を用いて当該特定のサーバのサーバ認証証明書を取得するか、又は以前に取得済みのサーバ認証証明書を取り出して、当該取得した又は取り出したサーバ認証証明書を、サービス利 [0011] The present invention system will strike solve the above problems, by integrating the authentication process for each server from the client terminal for each server, a system for performing proxy authentication process, the agent authentication request from the client terminal and the performing user authentication in response agent authentication unit that issues the agent authentication certificate, receiving the service usage request from the client terminal, if the agent authentication certificate attached to the service use request is legitimate, from a specific server that the client terminal to specify, either by using the authentication information held in advance therein the system obtains the server certificate of the particular server, or previously removed the acquired server authentication certificate, the acquired or extracted server authentication certificate, service utilization 要求と共に該当サーバに対して提示して、当該提示を受けた該当サーバから送信される結果を受け、当該クライアント端末に返却するエージェントサービス処理部と、を具備する構成手段を講じる。 And presented to the appropriate server with the request, receives the result transmitted from the corresponding server having received the presentation, configuration take steps to anda agent service processing unit to be returned to the client terminal.

【0012】更に、具体的詳細に述べると、当該課題の解決では、本発明が次に列挙する新規な特徴的構成手法又は手段を採用することにより、上記目的を達成するようになされる。 Furthermore, when described in specific details, In the solution of the problem, by which the present invention is then to adopt a novel characteristic construction technique or means listed, are made to achieve the above object.

【0013】本発明方法の第1の特徴は、複数のサーバに対するクライアント端末からの要求をアクセス制御する方法であって、当該複数のサーバの内特定のサーバに対して前記クライアント端末からサービス利用要求を行うに際して、当該サービス利用要求に係る認証代行処理を行うアクセス制御システムに対して、事前に当該クライアント端末を利用するユーザの利用者認証を行って当該利用者認証に成功した場合に限って当該クライアント端末に対して発行されるエージェント認証証明書を、当該サービス利用要求に添付することにより前記アクセス制御が行われてなるアクセス制御方法の構成採用にある。 A first aspect of the present invention method is a method of controlling access to the request from the client terminal to multiple servers, the service usage request from the client terminal to the inner particular server of the plurality of servers in performing, to the authentication proxy processing access control system for performing in accordance with the service request, and performs user authentication of the user who uses the client terminal in advance only on success to the user authentication the the agent authentication certificate issued to the client terminal, in the configuration adopting the access control is being performed access control method by attaching to the service use request.

【0014】本発明方法の第2の特徴は、上記本発明方法の第1の特徴における前記利用者認証が、前記アクセス制御システム内部に予め保持された各クライアント端末又はその利用者に係る認証データと比較することで、 A second aspect of the present invention method, the authentication data the user authentication in the first aspect of the present invention method, according to the access control system within each client terminal is held in advance or a user by comparison with,
行われてなるアクセス制御方法の構成採用にある。 In the configuration adopting performed comprising access control method.

【0015】本発明方法の第3の特徴は、上記本発明方法の第1又は第2の特徴における前記サービス利用要求に対するアクセス制御が、前記アクセス制御システムでもって前記サービス利用要求を受けると、当該要求に添付されたエージェント認証証明書の正当性を確認した後に、前記サービス利用要求に係るサーバに初めて前記クライアント端末が要求する場合に限り、当該サーバに対する認証代行処理を行ってサーバ認証証明書を当該サーバから取得し、当該取得したサーバ認証証明書、又は、 A third aspect of the present invention method, access control to the service request in the first or second aspect of the present invention method, when having in the access control system receives the service request, the after confirming the validity of the attached agent authentication certificate to request only if the first time the client terminal requests the server according to the service request, the server authentication certificate performed authentication agent process on the server acquired from the server, the server authentication certificate the acquired or,
以前行われた前記認証代行処理により取得済みのサーバ認証証明書の何れかを、当該サーバに対して提示して前記サービス利用要求を仲介してなるアクセス制御方法の構成採用にある。 Any of acquired server authentication certificate by the authentication proxy processing performed previously, in the configuration adopting the access control method comprising mediate the service request and presented to the server.

【0016】本発明方法の第4の特徴は、上記本発明方法の第3の特徴における前記方法が、前記認証代行処理により取得したサーバ認証証明書を、前記アクセス制御システム内に登録し、次回以降の当該サーバ認証証明書を発行したサーバに対して前記クライアント端末のサービス利用要求が行われた場合に、登録先からサーバ認証証明書を取り出し当該サーバに対する提示に供されてなるアクセス制御方法の構成採用にある。 [0016] A fourth aspect of the present invention method, the method according to the third aspect of the present invention method, the server authentication certificate obtained by the authentication proxy process, registered in the access control system, next If the service request of the client terminal for subsequent the server that issued the server authentication certificate has been performed, the test has been made access control method to presentation to the server retrieves the server authentication certificate from the registration destination arrangements that are adopted.

【0017】本発明方法の第5の特徴は、上記本発明方法の第3の特徴における前記方法が、前記認証代行処理により取得したサーバ認証証明書を、前記サービス利用要求をしたクライアント端末に対して、当該サービス利用要求の際に添付されたエージェント認証証明書に付け加えて返却し、次回以降のサービス利用要求の際に、当該サーバ認証証明書が付け加えられたエージェント認証証明書を用い、前記サーバに対して当該付け加えられたエージェント認証証明書から当該サーバ認証証明書を取り出し、当該サーバに対する提示に供されてなるアクセス制御方法の構成採用にある。 [0017] A fifth aspect of the present invention method, the method according to the third aspect of the present invention method, the server authentication certificate obtained by the authentication proxy processing, the client terminal that the service use request Te, return adds the agent authentication certificate attached during the service use request, during the next subsequent service request, using the agent authentication certificates the server authentication certificate has been added, the server the from added was agent certificate removed the server authentication certificate, in the configuration adopting the access control method comprising been subjected to presentation to the server for.

【0018】本発明方法の第6の特徴は、上記本発明方法の第3の特徴における前記方法が、前記認証代行処理により取得したサーバ認証証明書を、前記サービス利用要求をしたクライアント端末に対して、当該サービス利用要求の際に添付されたエージェント認証証明書に付け加えて返却すると共に、前記アクセス制御システム内部に、当該サーバ認証証明書を付け加えられたエージェント認証証明書として、再登録し、次回以降のサービス利用要求の際に、当該サーバ認証証明書が付け加えられたエージェント認証証明書を添付し、当該添付されたサーバ認証証明書が付け加えられたエージェント認証証明書と前記アクセス制御システム内部に再登録したサーバ認証証明書が付け加えられたエージェント認証証明書とを比較して、その正 The sixth aspect of the present invention method, the method according to the third aspect of the present invention method, the server authentication certificate obtained by the authentication proxy processing, the client terminal that the service use request Te, the return adds the agent authentication certificate attached during the service use request, the access control system in the interior, as an agent authentication certificate that has been added to the server authentication certificate, and re-register, next during subsequent service request, attach the agent authentication certificates the server authentication certificate has been added, again the attached server authentication certificate and agent authentication certificate that has been added within the access control system It is compared with the agent authentication certificate that the server authentication certificate registration has been added, its positive 性を判断し、当該判断をクリアした場合に、当該サーバ認証証明書を取り出して、そのサーバに対する提示に供されてなるアクセス制御方法の構成採用にある。 Determining sex, when clearing the decision, it takes out the server authentication certificate, in the configuration adopting the access control method comprising been subjected to presentation to the server.

【0019】一方、本発明システムの第1の特徴は、各サーバに対するクライアント端末からの各サーバに対する認証処理を統合させて、認証代行処理を行うシステムであって、前記クライアント端末からのエージェント認証要求を受け付けて利用者認証を行ってエージェント認証証明書を発行するエージェント認証部と、当該クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付されるエージェント認証証明書が正当であれば、クライアント端末が指定する特定のサーバから、当該システム内部に予め保持する認証情報を用いて当該特定のサーバのサーバ認証証明書を取得するか、又は以前に取得済みのサーバ認証証明書を取り出して、当該取得した又は取り出したサーバ認証証明書を、 Meanwhile, a first aspect of the present invention system, by integrating the authentication process for each server from the client terminal for each server, a system that performs authentication agent treatment, agent authentication request from the client terminal and the performing user authentication in response agent authentication unit that issues the agent authentication certificate, receiving the service usage request from the client terminal, if the agent authentication certificate attached to the service use request is legitimate, from a specific server that the client terminal to specify, either by using the authentication information held in advance therein the system obtains the server certificate of the particular server, or previously removed the acquired server authentication certificate, the acquired or extracted server authentication certificate,
サービス利用要求と共に該当サーバに対して提示して、 Was presented to the appropriate server along with the service request,
当該提示を受けた該当サーバから送信される結果を受け、当該クライアント端末に返却するエージェントサービス処理部と、を具備してなるアクセス制御システムの構成採用にある。 Receiving the result transmitted from the corresponding server having received the presentation, there are agent service processing unit to be returned to the client terminal, the configuration employed in the access control system comprising comprises a.

【0020】本発明システムの第2の特徴は、上記本発明システムの第1の特徴における前記取得済みのサーバ認証証明書が、前記取得した後に、前記エージェント認証証明書に付け加えられた形態で維持されてなるアクセス制御システムの構成採用にある。 [0020] The present invention second feature of the system, first the acquired server authentication certificate in the feature of the present invention system, after the acquisition, maintenance in a form appended to the agent authentication certificate It is in the configuration adopting the access control system comprising.

【0021】本発明システムの第3の特徴は、上記本発明システムの第1の特徴における前記取得済みのサーバ認証証明書が、前記取得した後に、前記システム内部にエージェント認証証明書と共に格納されて管理されてなるアクセス制御システムの構成採用にある。 [0021] The present invention a third aspect of the system, first the acquired server authentication certificate in the feature of the present invention system, after the acquisition, stored with the agent authentication certificate within the system in the configuration adopted managed comprising access control system.

【0022】本発明システムの第4の特徴は、上記本発明システムの第1の特徴における前記取得済みのサーバ認証証明書が、前記取得した後に、前記エージェント認証証明書に付け加えられる形態で維持されるのみならず、前記システム内部に当該エージェント認証証明書と共に格納されて管理されてなるアクセス制御システムの構成採用にある。 [0022] A fourth aspect of the present invention system, first the acquired server authentication certificate in the feature of the present invention system, after the acquisition, is maintained in a form which is added to the agent authentication certificate not Runomi, in the configuration adopting the system internal to the agent authentication credentials stored and managed together with the document and becomes access control system.

【0023】本発明システムの第5の特徴は、上記本発明システムの第1、第2、第3又は第4の特徴における前記エージェントサービス処理部が、当該システムに接続され得るサーバ毎に対応して設けられてなるアクセス制御システムの構成採用にある。 [0023] The present invention A fifth aspect of the system, first the present invention system, second, the agent service processing unit in the third or fourth feature, corresponding to each server may be connected to the system in the configuration adopting provided by comprising an access control system Te.

【0024】本発明システムの第6の特徴は、上記本発明システムの第1、第2、第3、第4又は第5の特徴における前記システムが、前記クライアント端末からのエージェント認証要求を受けて行われる当該クライアント端末又は利用者の認証に必要な認証データを管理する認証データ管理部を具備してなるアクセス制御システム構成採用にある。 The present invention sixth aspect of the system, first the present invention system, the second, third, the system in the fourth or fifth feature, receives the agent authentication request from the client terminal the client terminal or manage authentication data required for user authentication in the access control system configuration employing formed by including the authentication data management unit is carried out.

【0025】本発明システムの第7の特徴は、上記本発明システムの第1、第2、第3、第4、第5又は第6の特徴における前記システムが、前記エージェント認証部により認証処理を経て発行されるエージェント認証証明書を管理する証明書管理部をも具備してなるアクセス制御システムの構成採用にある。 The seventh feature of the present invention system, the first of the present invention system, the second, third, fourth, the system in the fifth or sixth aspect of the authentication process by the agent authentication unit also in the configuration adopting the access control system comprising comprises a certificate management section for managing the agent authentication certificates issued through.

【0026】本発明システムの第8の特徴は、上記本発明システムの第7の特徴における前記証明書管理部が、 [0026] The present invention eighth aspect of the system, the certificate management section in the seventh aspect of the present invention system,
前記エージェントサービス処理部により前記クライアント端末からのサービス利用要求を契機に当該サービス利用要求に添付されるエージェント認証証明書が正当なものであるかを確認する処理を行う機能構成であるアクセス制御システムの構成採用にある。 Wherein a functional configuration for performing processing agent authentication certificate attached to the service use request triggered by the service request from the client terminal by the agent service processing unit confirms whether legitimate access control system arrangements that are adopted.

【0027】本発明システムの第9の特徴は、上記本発明システムの第1、第2、第3、第4、第5、第6、第7又は第8の特徴における前記システムが、ユーザの該当サーバへの認証処理に必要な情報である前記認証情報を格納するサーバ認証情報格納部を具備してなるアクセス制御システムの構成採用にある。 [0027] The present invention ninth aspect of the system, first the present invention system, the second, third, fourth, fifth, the system in the sixth, seventh or eighth aspect of, the user authentication process in the configuration adopting the access control system comprising comprises a server authentication information storage unit for storing authentication information, which is information required to the relevant server.

【0028】 [0028]

【発明の実施の形態】以下、本発明の実施形態であるシステム例及び方法例を、該当図面を参照して説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an example system and method examples is an embodiment of the present invention will be described with reference to the relevant drawings. (システム例)図1は、本発明の一実施形態であるアクセス制御システムの構成図である。 (System Example) FIG. 1 is a block diagram of an access control system according to an embodiment of the present invention.

【0029】アクセス制御システムαは、クライアント端末CとサーバS(第一サーバS1、第二サーバS2、 The access control system α, the client terminal C and a server S (the first server S1, second server S2,
・・)と接続され、内部には、基本的にはエージェント認証部1と、サーバS毎のエージェントサービス処理部2(第一サーバの為の第一エージェントサービス処理部21、第二サーバの為の第二エージェントサービス処理部22、・・)とを有し、クライアント端末Cからのサービス利用要求に係る認証の代行処理を行う構成である。 ...) are connected to, inside, basically an agent authentication unit 1, the agent service processing unit 2 (first agent service processing unit 21 for the first server for each server S, for the second server second agent service processing unit 22 of the, ...) and has a configuration that performs proxy processing service according to request authentication from the client terminal C.

【0030】ここで、エージェント認証部1は、クライアント端末C又はそのユーザからのエージェント認証要求を受け付け、認証処理(利用者認証処理)を経てエージェント認証証明書を発行する手段である。 [0030] Here, the agent authentication unit 1 receives an agent authentication request from the client terminal C, or the user, a means for issuing an agent authentication certificate through the authentication processing (user authentication process).

【0031】エージェントサービス処理部2は、クライアント端末C又はそのユーザからのサービス利用要求を受け付け、当該サービス利用要求に添付されるエージェント認証証明書(サーバ認証証明書を付け加えられた/付け加えられていないエージェント認証証明書でも可)の正当性を判断し、正当なものであれば、(− The agent service processing unit 2 receives a service request from the client terminal C, or the user, the agent authentication certificate attached to the service use request (not being added / have been added to the server authentication certificate to determine the validity of the also available) in the agent authentication certificate, as long as it is legitimate, (-
1);クライアント端末C又はそのユーザが指定するところのサーバSに対して初めてアクセスする場合には、 1); first when accessing for the client terminal C or the server S at which the user designates,
予めシステム内部に保持する認証情報を用いてそのサーバSからサーバ認証証明書を取得する(「サーバ認証証明書取得処理」とする。)一方、(−2);以前に取得済みの場合にあっては、サーバ認証証明書取得処理を行わずに以前取得したサーバ認証証明書を必要に応じて取り出し、当該サーバ認証証明書と共にサービス利用要求をそのサーバSに対して提示し、そのサーバSから送信される結果を受け、クライアント端末C又は利用者に返却する手段である。 In advance using the authentication information held within the system to get the server authentication certificate from the server S (. A "server authentication certificate acquisition processing") On the other hand, (- 2); previously in cases already acquired Te is taken out as necessary server authentication certificate obtained previously without server authentication certificate acquiring process, presents a service request to the server S along with the server authentication certificate from the server S receiving the result transmitted, a means for return to the client terminal C, or user.

【0032】同図の一形態にあっては、クライアント端末Cから送信される認証データ(ユーザ名、パスワード等)に対する認証の際に必要となる各種データ(ユーザの本人性の確認データ)を格納して管理する認証データ管理部3、エージェント認証証明書に関する管理(好ましくはエージェント認証証明書、サーバ認証証明書の双方の証明書に関する管理)を行う証明書管理部4、各サーバSの認証情報を格納するサーバ認証情報格納部5をも具備して、エージェント認証部1、エージェントサービス処理部2と有機的に各種のデータ、情報、信号の類を内部送受信する構成となっている。 [0032] According to an embodiment of the figure, it stores the authentication data transmitted from the client terminal C (user name, password, etc.) (check data of the person of the user) various data necessary for authentication against and authentication data management unit 3 for managing the agent authentication management about the certificate (preferably the agent authentication certificate management for both certificates server authentication certificate) certificate management unit 4 for performing the authentication information of each server S and also comprises a server authentication information storage unit 5 for storing the agent authentication unit 1, the agent service processing unit 2 and organically various data, information, and is configured to internally transmit and receive signals of the kind.

【0033】アクセス制御システムαは、クライアント端末1と各サーバS(第一サーバS1、第二サーバS The access control system α, the client terminal 1 and the server S (the first server S1, second server S
2、・・)とを接続するネットワーク上に分散型又は集中型にて介在され、複数の各サーバSと複数のクライアント端末Cとに接続される構成であり、複数種類のサーバ機能を、或る一クライアント端末Cにおいてユーザに対してサーバクライアント型のコンピューティング環境を提供する。 2, is interposed in distributed or centralized on a network that connects ...) and is configured to be connected to a plurality of the respective servers S and a plurality of client terminals C, and plural kinds of server functions, some providing a server-client computing environment to the user in one client terminal C that. 尚、同図におけるSA1〜SC4−3は、 Incidentally, SA1~SC4-3 in the figure,
各処理の一部を示しており下記方法例で詳言する。 To Shogen in the following manner examples shows part of the processing.

【0034】(方法例)本方法例は、上記システム例に適応したものであり、アクセス制御システムαの動作、 [0034] (Method Example) This example method, which has adapted to the example system, the operation of the access control system alpha,
内部構成各手段について更に説明を追加しながら、本発明の一実施形態であるアクセス制御方法を説明する。 While adding further described internal configuration each device, illustrating the access control method according to an embodiment of the present invention.

【0035】本発明の一実施形態であるアクセス制御方法は、ユーザ認証段階とサービス利用段階とに大きく分かれるが、これ以外の段階を適宜追加することは本発明の本質的な部分を逸脱しない範囲で可能である。 The access control method according to an embodiment of the present invention is broadly classified into a user authentication phase and service phase, it does not depart from the essential part of the present invention to add other steps appropriate range it is possible in.

【0036】図2、3、4は、其々、本発明の一実施形態であるアクセス制御方法における、ユーザ認証段階の具体的なシーケンス図、サーバ認証証明書を取得していない場合におけるサービス利用段階の具体的なシーケンス図、サーバ認証証明書を取得済みの場合におけるサービス利用段階の具体的なシーケンス図である。 [0036] 2, 3 and 4, 其 s, service in the case where in the access control method according to an embodiment of the present invention, the specific sequence diagram of a user authentication stage, do not have a server authentication certificate specific sequence diagram stage is a specific sequence diagram of a service utilization stage when the server authentication certificate acquired.

【0037】<ユーザ認証段階>ユーザによるユーザ認証命令を受けて実行されるところのユーザ認証段階は、 [0037] <user authentication phase> user authentication phase of where in response to a user authentication instruction by the user is executed,
以下の第一ステップ乃至第四ステップで構成され、その具体的な手順を図2に例示してある。 Consists of the following first step to fourth step, is illustrated the specific procedure in Fig.

【0038】ユーザ認証段階の第一ステップ(SA [0038] The first step of the user authentication step (SA
1):クライアント端末Cが、ユーザ名、パスワードなどの認証処理に必要なデータ(以下、「認証データ」とする。)を添付した認証処理要求をエージェント認証部1に送信する。 1): the client terminal C, the user name, authentication data (hereinafter required, such as a password, and transmits the "authentication data" to) appended authentication process request to the agent authentication unit 1..

【0039】ユーザ認証段階の第二ステップ(SA The second step of the user authentication step (SA
2):エージェント認証部1が、送信された認証処理要求を受けて、それに添付された認証データを、認証データ管理部3が保持するデータと付き合わせることによりユーザの本人性(正当性)を確認する。 2): the agent authentication unit 1 receives the transmitted authentication processing request, the accompanying authentication data thereto, the user of the identity of By butted and data authentication data management unit 3 holds the (validity) Check.

【0040】具体的には、エージェント認証部1が、クライアント端末Cから認証処理要求を受けると、認証データ管理部3に対して該ユーザの認証情報(図では、 [0040] Specifically, the agent authentication unit 1 receives the authentication request from the client terminal C, and the authentication information (Figure of the user to the authentication data management unit 3,
「ユーザIDパスワード」)の取得要求を行い(SA2 And retrieve request of "user ID password") (SA2
−1)、認証データ管理部3からその取得要求に対する該ユーザの認証情報(例えば、パスワード)を取得し(SA2−2)、認証処理要求に添付された認証データと該ユーザの認証情報とを比較チェックすることによりユーザの正当性を確認する(SA2−3)。 -1), the authentication information of the user from the authentication data management unit 3 for the acquisition request (e.g., to obtain a password) (SA2-2), a attached to the authentication processing request the authentication data and the authentication information of the user comparison to confirm the validity of the user by checking (SA2-3). 尚、正当性の確認は、エージェント認証部1が行わずに、認証データ管理部3が行う構成でも構わない。 Incidentally, the confirmation of the validity is not the agent authentication unit 1 is carried out may be adapted to the authentication data management unit 3 performs.

【0041】ユーザ認証段階の第三ステップ(SA [0041] The third step of user authentication phase (SA
3):ユーザの正当性が確認された場合には、エージェント認証部1が、クライアント端末Cに対してエージェント認証証明書を発行する。 3): If the validity of the user is confirmed, the agent authentication unit 1 issues a agent authentication certificate to the client terminal C. 具体的には、エージェント認証部1が、そのクライアント端末Cに対するエージェント認証証明書を発行し(SA3−1)、認証処理要求をしたクライアント端末Cに当該発行したエージェント認証証明書を返却する(SA3−2)。 Specifically, the agent authentication unit 1 issues a agent authentication certificate for the client terminal C (SA3-1), and returns the issued agent authentication certificate to the client terminal C in which the authentication processing request (SA3 -2).

【0042】ユーザ認証段階の第四ステップ(SA [0042] The fourth step of the user authentication step (SA
4):該エージェント認証証明書を証明書管理部4に保存(登録)する。 4): save the agent authentication certificate to the certificate management section 4 (registered) to. 具体的には、エージェント認証部1 Specifically, the agent authentication unit 1
が、証明書管理部4に、SA3−1にて発行したエージェント認証証明書を登録する様に登録指示を行い、証明書管理部4は該エージェント認証証明書を後にその正当性が確認可能に登録する。 There, in the certificate management unit 4, it performs the issued agent authentication certificates so as to register the registration instruction at SA3-1, certificate management unit 4 is its validity can be checked in after the agent authentication certificate sign up.

【0043】<サービス利用段階>ユーザによるサービス利用の命令を受けて実行されるところのサービス利用段階は、以下の第一ステップ乃至第四ステップで構成され、その具体的な手順を図3、4に例示してある。 The service utilization stage where it is executed by receiving an instruction of service by <service step> user, consists of the following first step to fourth step, FIGS its specific procedures It is illustrated in.

【0044】サービス利用段階の第一ステップ(SB The service first step of the utilization stage (SB
1、SC1):ユーザによる指示又は何らかの処理後において、クライアント端末Cが、利用するサービスを一意に特定するコンテクストにエージェント認証証明書を加えてそのサービスを提供するサーバS(図では第一サーバS1)のエージェントサービス処理部2(図では第一サーバの為のエージェントサービス処理部21)に送信する。 1, SC1): after instructions or any processing by the user, the server S (the first server S1 is a view client terminal C, to provide the service by adding the agent authentication certificate on the context uniquely identifies the Use Service the agent service processing unit 2 (figure) is sent to the agent service processing unit 21) for the first server.

【0045】具体的には、図3(サーバ認証証明書未取得のシーケンス図)、図4(サーバ認証証明書既取得のシーケンス図)に示す様に、該サービスを提供する特定のサーバS1のエージェントサービス処理部21に対して、サービス名とそのサービスに必要な情報及びエージェント認証証明書と共にサービス利用要求を送信する。 [0045] Specifically, FIG. 3 (a sequence diagram of a server authentication certificate not acquired), as shown in FIG. 4 (a sequence diagram of a server authentication certificate already obtained), of a particular server S1 to provide the service the agent service processing unit 21 sends the service name and the service use request together with the information and the agent authentication certificates required for the service.

【0046】図3の場合には第一サーバ認証証明書が付け加えられていないエージェント認証認証証明書を送信し(SB1)、図4の場合には第一サーバ認証証明書が付け加えられているエージェント認証証明書を送信する(SC1)。 The agent first server authentication certificate in the case of FIG. 3 transmits the agent authentication certificate that has not been added to (SB1), and the first server authentication certificate is appended in the case of FIG. 4 It sends an authentication certificate (SC1). 尚、図4の場合には、エージェント認証証明書が付け加えられているエージェント認証証明書を送信することが、必須要件とはならない。 In the case of Figure 4, sending an agent authentication certificate agent authentication certificate has been added is not an essential requirement.

【0047】サービス利用段階の第二ステップ(SB The service the second step of the utilization stage (SB
2、SC2):エージェントサービス処理部2(図2、 2, SC2): Agent service processing unit 2 (Fig. 2,
3では、エージェントサービス処理部21)が、該クライアント端末C(図2、3では、クライアント端末C In 3, the agent service processing unit 21), the said client terminal C (Fig. 2 and 3, the client terminal C
1)から送信されたエージェント認証証明書の真偽について証明書管理部4に問い合わせる。 1) queries the certificate management section 4 for authenticity of the agent authentication certificate sent from.

【0048】具体的には、図3(サーバ認証証明書未取得のシーケンス図)の場合においては、エージェントサービス処理部21が、(第一サーバ認証証明書が付け加えられていない)エージェント認証証明書を添付してユーザ証明書確認要求として証明書管理部4に内部送信し(SB2−1)、証明書管理部4が、当該エージェント確認証明書の正当性を確認し、結果をエージェントサービス処理部21に通知する(SB2−2)。 [0048] Specifically, in the case of FIG. 3 (a sequence diagram of a server authentication certificate not acquired), the agent service processing unit 21 (not appended is the first server authentication certificate) Agent Authentication Certificate attached to the internal transmit the certificate management section 4 as a user certificate confirmation request (SB2-1), certificate management section 4 confirms the validity of the agent confirmation certificate, a result the agent service processing unit to notify the 21 (SB2-2).

【0049】図4(サーバ認証証明書既取得のシーケンス図)の場合においては、エージェントサービス処理部2が、(第一サーバ認証証明書が付け加えられている) [0049] Figure 4 in the case of (server authentication certificate previously acquired sequence diagram), the agent service processing unit 2 is (are added is the first server authentication certificate)
エージェント認証証明書を添付してユーザ証明書確認要求として証明書管理部4に内部送信し(SC2−1)、 Attach the agent authentication certificate internally sent to the certificate management section 4 as a user certificate confirmation request (SC2-1),
証明書管理部4が、当該エージェント確認証明書の正当性を、第一サーバ認証証明書の正当性も同時に確認し、 Certificate management section 4, the validity of the agent confirmation certificate, also confirmed at the same time validity of the first server authentication certificate,
その結果をエージェントサービス処理部21に通知する(SC2−2)。 And notifies the result to the agent service processing unit 21 (SC2-2).

【0050】少なくともエージェント認証証明書の正当性が確認された場合の、サービス利用段階の第二ステップ(SB2、SC2)に続く第三ステップ(SB3、 [0050] when the validity of at least the agent authentication certificate is confirmed, the third step (SB3 following the second step of the service step (SB2, SC2),
SC3)は、サーバ認証証明書未取得(具体的には図3)、サーバ認証証明書既取得(具体的には図4)では、大きく異なるので、以下個別に説明する。 SC3), the server authentication certificate not acquired (FIG. 3 in particular), the server authentication certificate already acquired (specifically Figure 4), it differs so greatly, hereinafter individually described.

【0051】サービス認証証明書未取得の場合の、サービス段階の第三段階(SB3):正当な認証証明書であって、該サーバSへのアクセスに必要なサーバ認証証明書が存在しない場合には、事前にサーバ認証情報格納部5に格納されている認証情報を用いて事前に決められたサーバ認証手順に従って認証処理を行って、該サーバS [0051] in the case of a service authentication certificate has not been acquired, the service stage the third stage (SB3): a valid authentication certificate, if the server authentication certificate required to access the server S does not exist performs an authentication process according to the server authentication procedure prearranged using the authentication information stored in the server authentication information storage unit 5 in advance, the server S
からサーバ認証証明書を取得する(前述のサーバ認証証明書取得処理を行う)。 To obtain a server authentication certificate from (performs server authentication certificate acquiring process described above).

【0052】具体的には、図3に示す様に、エージェントサービス処理部21が、受けたサービス利用要求に添付されたエージェント認証証明書に第一サーバS1の認証証明書が付け加えられているか否かの問い合わせを、 [0052] Specifically, as shown in FIG. 3, whether the agent service processing unit 21, the authentication certificate of the first server S1 to the receiving service agent authentication certificate attached to the use request is added the Kano inquiry,
証明書管理部4に対して行い(SB3−1)、その返答を受信する(SB3−2)。 Performed for certificate management section 4 (SB3-1), receives the reply (SB3-2).

【0053】その返答の受信により、第一サーバの為のエージェントサービス処理部21が、エージェント認証証明書に第一サーバ認証証明書が付け加えられていないことが判明すると、サーバ認証情報格納部5に対して、 [0053] Upon receipt of the reply, the agent service processing unit 21 for the first server, when it is found that the first server authentication certificate to the agent authentication certificate has not been added, the server authentication information storage unit 5 for,
第一サーバS1への認証処理に必要な情報を検索して(SB3−3)、当該検索結果(第一サーバS1のI Searching for information necessary for the authentication process to the first server S1 (SB3-3), I of the search results (first server S1
D、パスワード等)を取得し(SB3−4)、取得した認証情報を用いて第一サーバS1に対して認証処理を依頼する(SB3−5)。 D, acquires the password and the like) (SB3-4), a request for authentication processing to the first server S1 by using the acquired authentication information (SB3-5).

【0054】その結果として第一サーバ認証証明書を得((SB3−6)、但し、第一サーバS1は、そのユーザの不適切な情報で認証依頼があれば、第一サーバ認証証明書を払い出さない)、取得した第一サーバ認証証明書をエージェント認証証明書に付け加えると共に、証明管理部4への再登録を行い(SB3−7)、次の第四段階(SB4)に移行する。 [0054] to obtain a first server authentication certificate as a result ((SB3-6), however, the first server S1, if the authentication request in incorrect information of the user, the first server authentication certificate It paid not), with adding a first server authentication certificate obtained in the agent authentication certificate, and re-registration to the certification management unit 4 (SB3-7), the process proceeds to the next fourth step (SB4).

【0055】サービス認証証明書既取得の場合の、サービス段階の第三段階(SC3):正当な認証証明書であって、先の認証により該サーバSへのアクセスに必要なサーバ認証証明書であることが確認済みであるので、必要に応じてそのサーバ認証証明書を取り出し次のサービス段階の第四段階(SC4)に移行する。 [0055] in the case of a service authentication certificate already acquired, the third stage of the service stage (SC3): a valid authentication certificate, the server authentication certificate that is required to access to the server S by the previous certification of since it is confirmed, the process proceeds to the fourth step (SC4) in the next service step removed the server authentication certificate if necessary.

【0056】具体的には、SC2−2の段階において、 [0056] More specifically, at the stage of SC2-2,
エージェントサービス処理部21が、その受けたユーザ証明書に正当な第一サーバ認証証明書が付け加えられていることが判明済みであるので、必要に応じて第一サーバ認証証明書を取り出し、次のサービス段階の第四段階(SC4)に移行する(この処理手順については図4に図示されていない)。 Agent service processing unit 21, since it has already been found that the first server authentication certificate valid user certificate thereof received are added, removed the first server authentication certificate if necessary, the following shifts to the fourth stage of the service step (SC4) (not shown in Figure 4 for this procedure).

【0057】尚、ここで、SB2−1、SB2−2の様に、先ず単なるエージェント認証証明書の正当性を証明書管理部4が確認し、次いでSB3−1、SB3−2の様にサーバ認証証明書の有無及びその正当性の確認を行う様に構成してもよいが、第一サーバ認証証明書が付け加えられた/付け加えられていないエージェント認証証明書を、ユーザ証明書と定義して、先のSC2−1、S [0057] It should be noted that, here, SB2-1, as of SB2-2, first check the validity of the mere agent authentication certificate is a certificate management section 4, then SB3-1, server as of SB3-2 authentication certificate of existence and may be configured so as to verify the validity, but the agent authentication certificates first server authentication certificate is not obtained / is added added, defined as the user certificate , ahead of SC2-1, S
C2−2で一体として行う様に構成することが好ましい。 It is preferable to construct as perform as a unit in the C2-2.

【0058】サービス段階の第四段階(SB4、SC [0058] service stage of the fourth stage (SB4, SC
4):SB3を経由した場合には取得したサーバ認証証明書を、SC3を経由した場合には取り出したサーバ認証証明書を、該サーバSに提示してサービスを受け、結果を該クライアント端末Cに返却する。 4) the server authentication certificate obtained in the case where via SB3, the server authentication certificate taken out if via the SC3, and receives the service presented to the server S, the result the client terminal C to return to. 尚、SB3を経由した場合においてはエージェント認証証明書に該サーバ認証証明書を付け加えて該クライアント端末Cに送信する。 Incidentally, in the case of through SB3 transmits adds the server authentication certificate to the agent authentication certificate to the client terminal C.

【0059】具体的には、図3、図4に示す様に、第一サーバ認証証明書と共に第一サーバS1に対してサービス依頼を行い(SB4−1、SC4-1)、その結果(尚、この際、サーバS1は、不当なサーバ認証証明書の提示においては、サービス依頼は受け付けない。)を取得して(SB4−2、SC4−2)、当該取得した結果をクライアント端末C1に返却する(SB4−3、S [0059] Specifically, FIG. 3, as shown in FIG. 4, the first server authentication certificate performed service request to the first server S1 (SB4-1, SC4-1), the result (Hisashi at this time, the server S1, in the presentation of unwarranted server authentication certificate, the service request is not accepted.) to obtain the (SB4-2, SC4-2), returns the result of the acquired client terminal C1 to (SB4-3, S
C4−3)。 C4-3). 尚、SB3を経由した場合には、第一サーバ認証証明書を付け加えたエージェント認証証明書を送信するなどして、クライアント端末Cが保有するエージェント認証証明書にそのサーバ認証証明書を書き加える様にする。 In the case where through SB3 is to such as sending an agent authentication certificate added to the first server authentication certificate, the write is added as the server authentication certificate to the agent authentication certificate that the client terminal C's to.

【0060】以上が、アクセス制御方法の一形態であるが、具体的なシーケンス図においては、第一サーバ認証証明書は、SB1乃至SB4−3を経ることにより、エージェント認証証明書に付け加えられる形態でクライアント端末Cと、第一サーバ認証証明書付加エージェント認証証明書という形態で証明書管理部4とに、同一の第一サーバ認証証明書が存在する形態である。 [0060] The above is a form of access control method, in a specific sequence diagram, the first server authentication certificate Through the SB1 to SB4-3, is added to the agent authentication certificate form in the client terminal C, and a certificate management section 4 in the form of the first server authentication certificate additional agent authentication certificate, in a form identical first server authentication certificate exists.

【0061】ところが、具体的なシーケンス図において、SB4−3において、サーバ認証証明書付加エージェント認証証明書をクライアント端末Cに送信しないで、SB3−7の処理により、証明書管理部4に登録されたサーバ認証証明書を取り出して提示に用いる様に構成することもできる。 [0061] However, in a specific sequence diagram in SB4-3, without sending server authentication certificate additional agent authentication certificate to the client terminal C, the process of SB3-7, is registered in the certificate management section 4 and it can also be configured as used in the presentation Remove the server authentication certificate.

【0062】その際には、クライアント端末Cから特定のサーバへのサービス利用要求の際に添付される証明書は、単なるエージェント認証証明書(サーバ認証証明書の付加/不付加をできないエージェント認証証明書)であるので、単なるエージェント認証証明書の正当性を判断し、証明書管理部4にその特定のサーバのサーバ認証証明書が存在するかを確認する必要がある。 [0062] At that time, the certificate will be attached when the service request from the client terminal C to a specific server, mere agent authentication certificate (server authentication certificate of additional / non adding can not agent authentication certificates since a book), it is determined the validity of the mere agent authentication certificate, it is necessary to confirm that whether the server authentication certificate for a particular server is present in the certificate management section 4. かかる点で具体的なシーケンス内容は変更する必要があることがいうまでもない。 Specific sequences contents such terms course may need to change.

【0063】また逆に、認証管理部4には、SA4にて登録されるエージェント認証証明書のみの正当性を判断する様に、即ち、各サーバ認証証明書の正当性の判断は一切しない様に、構成し、一度各サーバSにて発行された該当のサーバ認証証明書は、各エージェントサービス処理部2にて、エージェント認証証明書に付加(内包、 [0063] On the contrary, the authentication management unit 4, so as to determine the validity of the only agent authentication certificates that are registered in the SA4, that is, the validity of the judgment of each server authentication certificate is such that not all the configuration and, once the appropriate server authentication certificate issued by the server S, in each agent service processing unit 2, added to the agent authentication certificate (containing,
添付等の形態も可)して、SB4−3によりクライアント端末Cにサーバ認証証明書を付加したエージェント認証証明書を送信する様に構成することもできる。 Form of attachment such also acceptable) that may be configured so as to transmit the agent authentication certificate added server authentication certificate to the client terminal C by SB4-3. その際には、SB3−7の処理は不要となるといった、具体的なシーケンス内容に変更が生じることはいうまでもない。 In that case, the processing of SB3-7 went become unnecessary, it is needless to say that changes in the specific sequence content occurs.

【0064】以上が、アクセス制御方法の一形態であるが、上記はあくまでも本発明の一形態であって、例えば、SB2−1、SB2-2(SC2−1、SC2− [0064] The above is a form of access control method, a one form of the above merely present invention, for example, SB2-1, SB2-2 (SC2-1, SC2-
2)は、認証管理部4からそのエージェント認証証明書の正当性を確認する為の情報をエージェントサービス処理部2が受信し、エージェントサービス処理部2にてその正当性を判断する様にしてもよい。 2), the information in order to confirm the validity of the agent authentication certificate from the authentication management unit 4 received by the agent service processing unit 2, also in the manner to determine its validity in the agent service processing unit 2 good. また、シーケンスの各処理手順は適宜前後の順序を変更し得る範囲で変更できる。 Further, the processing procedure of the sequence can be changed within a range that can change the order of the appropriate front and rear.

【0065】以上、本発明の形態であるシステム例、方法例を説明したが、本発明の目的を達し、下記する効果を奏する範囲において、適宜変更して実施可能である。 [0065] above, an example system in the form of the present invention has been described an example method, reach the objects of the present invention, to the extent that the effect of the following can be implemented by appropriate modifications.

【0066】 [0066]

【発明の効果】本発明によれば、クライアント端末が複数のサーバへの処理依頼時に、二回以上の認証作業が不要となり、クライアント端末自体が、複数サーバへアクセスする為に必要な情報を保持する必要が無くなるなどの優れた効果を奏する。 According to the present invention, retained during processing request client terminal to multiple servers, becomes unnecessary authentication work more than once, the client terminal itself, the information necessary to access the plurality of servers excellent effects such as need to be eliminated.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明の一形態であるアクセス制御システムの構成図である。 1 is a configuration diagram of an access control system according to an embodiment of the present invention.

【図2】本発明の一実施形態である認証証明書によるアクセス制御方法の、ユーザ認証段階におけるシーケンス図である。 [Figure 2] of the access control method according to the authentication certificate is an embodiment of the present invention is a sequence diagram in the user authentication step.

【図3】本発明の一実施形態である認証証明書によるアクセス制御方法の、サーバ認証証明書を取得していない場合のサービス利用段階におけるシーケンス図である。 [Figure 3] of the access control method according to the authentication certificate is an embodiment of the present invention is a sequence diagram in the service stage when you do not have a server authentication certificate.

【図4】本発明の一実施形態である認証証明書によるアクセス制御方法の、サーバ認証証明書を取得済みの場合のサービス利用段階におけるシーケンス図である。 [4] the access control method according to the authentication certificate is an embodiment of the present invention is a sequence diagram in the service phase when the server authentication certificate acquired.

【図5】従来技術を説明する為の説明図である。 FIG. 5 is an explanatory diagram for explaining a conventional technology.

【符号の説明】 DESCRIPTION OF SYMBOLS

α…アクセス制御システム C…クライアント端末 1…エージェント認証部 2、21、22…エージェントサービス処理部 3…認証データ管理部 4…証明書管理部 5…サーバ認証情報格納部 S…サーバ S1…第一サーバ S2…第二サーバ alpha ... access control system C ... client terminal 1 ... Agent Authentication unit 2,21,22 ... Agent service processing unit 3 ... authentication data management unit 4 ... certificate management unit 5 ... server authentication information storage unit S ... server S1 ... first server S2 ... the second server

───────────────────────────────────────────────────── フロントページの続き (72)発明者 野瀬 昌禎 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 川崎 隆二 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B017 AA03 BB09 5B085 AE02 AE23 BG07 5J104 AA06 AA07 KA01 NA05 PA07 ────────────────────────────────────────────────── ─── of the front page continued (72) inventor Nose AkiraTadashi Otemachi, Chiyoda-ku, tokyo chome third No. 1 Date this telegraph and telephone within Co., Ltd. (72) inventor Ryuji Kawasaki Otemachi, Chiyoda-ku, tokyo chome No. 3 No. 1 Date this telegraph and telephone Corporation in the F-term (reference) 5B017 AA03 BB09 5B085 AE02 AE23 BG07 5J104 AA06 AA07 KA01 NA05 PA07

Claims (15)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】複数のサーバに対するクライアント端末からの要求をアクセス制御する方法であって、 当該複数のサーバの内特定のサーバに対して前記クライアント端末からサービス利用要求を行うに際して、当該サービス利用要求に係る認証代行処理を行うアクセス制御システムに対して、事前に当該クライアント端末を利用するユーザの利用者認証を行って当該利用者認証に成功した場合に限って当該クライアント端末に対して発行されるエージェント認証証明書を、当該サービス利用要求に添付することにより前記アクセス制御が行われる、 ことを特徴とするアクセス制御方法。 1. A method for requesting access control from the client terminal to a plurality of servers, when a service use request from the client terminal to the plurality of servers within a particular server, the service use request It is issued to the client terminal only if the relative access control system that performs authentication proxy process, performs user authentication of the user who uses the client terminal in advance successfully to the user authentication according to the the agent authentication certificate, the access control is performed by attaching to the service use request, the access control method characterized by.
  2. 【請求項2】前記利用者認証は、 前記アクセス制御システム内部に予め保持された各クライアント端末又はその利用者に係る認証データと比較することで、行われる、 ことを特徴とする請求項1に記載のアクセス制御方法。 Wherein said user authentication by comparing the authentication data according to the access control system each client terminal inside was held in advance or user, is carried out, it in claim 1, wherein access control method as claimed.
  3. 【請求項3】前記サービス利用要求に対するアクセス制御は、 前記アクセス制御システムでもって前記サービス利用要求を受けると、当該要求に添付されたエージェント認証証明書の正当性を確認した後に、 前記サービス利用要求に係るサーバに初めて前記クライアント端末が要求する場合に限り、当該サーバに対する認証代行処理を行ってサーバ認証証明書を当該サーバから取得し、 当該取得したサーバ認証証明書、又は、以前行われた前記認証代行処理により取得済みのサーバ認証証明書の何れかを、当該サーバに対して提示して前記サービス利用要求を仲介する、 ことを特徴とする請求項1又は2に記載のアクセス制御方法。 Wherein access control for the service request, the when with the access control system receives the service use request, after confirming the validity of the attached agent authentication certificate to the request, the service request only when it first requests the client terminal to the server according to the performing the authentication agent process on the server to obtain a server authentication certificate from the server, the server authentication certificate the acquired or made previously any of acquired server authentication certificate by the authentication proxy process, mediating the service request and presented to the server, the access control method according to claim 1 or 2, characterized in that.
  4. 【請求項4】前記方法は、 前記認証代行処理により取得したサーバ認証証明書を、 Wherein said method comprises the server authentication certificate obtained by the authentication proxy process,
    前記アクセス制御システム内に登録し、次回以降の当該サーバ認証証明書を発行したサーバに対して前記クライアント端末のサービス利用要求が行われた場合に、登録先からサーバ認証証明書を取り出し当該サーバに対する提示に供される、 ことを特徴とする請求項3に記載のアクセス制御方法。 Registered in the access control system, when a service use request of said client terminal is performed on the server that issued the server authentication certificate next time, with respect to the server retrieves the server authentication certificate from the registration destination It is subjected to the presentation, the access control method according to claim 3, characterized in that.
  5. 【請求項5】前記方法は、 前記認証代行処理により取得したサーバ認証証明書を、 Wherein said method comprises the server authentication certificate obtained by the authentication proxy process,
    前記サービス利用要求をしたクライアント端末に対して、当該サービス利用要求の際に添付されたエージェント認証証明書に付け加えて返却し、 次回以降のサービス利用要求の際に、当該サーバ認証証明書が付け加えられたエージェント認証証明書を用い、 To the client terminal that the service use request, and returning adds the agent authentication certificate attached during the service use request, during the next subsequent service request, the server authentication certificate is appended using the agent authentication certificate,
    前記サーバに対して当該付け加えられたエージェント認証証明書から当該サーバ認証証明書を取り出し、当該サーバに対する提示に供される、 ことを特徴とする請求項3に記載のアクセス制御方法。 Removed the server authentication certificate from the added was agent authentication certificate to the server, is subjected to presentation to the server, the access control method according to claim 3, characterized in that.
  6. 【請求項6】前記方法は、 前記認証代行処理により取得したサーバ認証証明書を、 Wherein said method comprises the server authentication certificate obtained by the authentication proxy process,
    前記サービス利用要求をしたクライアント端末に対して、当該サービス利用要求の際に添付されたエージェント認証証明書に付け加えて返却すると共に、前記アクセス制御システム内部に、当該サーバ認証証明書を付け加えられたエージェント認証証明書として、再登録し、 次回以降のサービス利用要求の際に、当該サーバ認証証明書が付け加えられたエージェント認証証明書を添付し、当該添付されたサーバ認証証明書が付け加えられたエージェント認証証明書と前記アクセス制御システム内部に再登録したサーバ認証証明書が付け加えられたエージェント認証証明書とを比較して、その正当性を判断し、当該判断をクリアした場合に、当該サーバ認証証明書を取り出して、そのサーバに対する提示に供される、 ことを特徴とする請求項 The client terminal that has the service request, the return adds the agent authentication certificate attached during the service use request, within said access control system, have been added to the server authentication certificate Agent as an authentication certificate, and re-register, at the next and subsequent service request, attach the agent authentication certificates the server authentication certificate has been added, the agent authentication the attached server authentication certificate has been added certificates and the by comparing the re-registration and server authentication credentials agent authentication certificate that has been added to the internal access control systems, to determine its validity, when clearing the determination, the server authentication certificate the removed, is subjected to presentation to the server, and wherein the claim に記載のアクセス制御方法。 Access control method according to.
  7. 【請求項7】各サーバに対するクライアント端末からの各サーバに対する認証処理を統合させて、認証代行処理を行うシステムであって、 前記クライアント端末からのエージェント認証要求を受け付けて利用者認証を行ってエージェント認証証明書を発行するエージェント認証部と、 当該クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付されるエージェント認証証明書が正当であれば、クライアント端末が指定する特定のサーバから、当該システム内部に予め保持する認証情報を用いて当該特定のサーバのサーバ認証証明書を取得するか、又は以前に取得済みのサーバ認証証明書を取り出して、当該取得した又は取り出したサーバ認証証明書を、サービス利用要求と共に該当サーバに対して提示して、当 7. by integrating the authentication process for each server from the client terminal for each server, a system that performs authentication proxy process, performs user authentication in response to the agent authentication request from the client terminal agent and agent authentication unit that issues an authentication certificate, receiving the service usage request from the client terminal, if the valid agent authentication certificate attached to the service use request from the particular server is a client terminal specifies, or obtain a server authentication certificate of the particular server using the authentication information held in advance therein the system, or previously removed the acquired server certificate, the acquired or extracted server authentication certificate a, and presented to the appropriate server with the service usage request, those 提示を受けた該当サーバから送信される結果を受け、当該クライアント端末に返却するエージェントサービス処理部と、 を具備する、 ことを特徴とするアクセス制御システム。 Access control system receives the result transmitted presented from the appropriate server that received, for anda agent service processing unit to be returned to the client terminal, and wherein the.
  8. 【請求項8】前記取得済みのサーバ認証証明書は、 前記取得した後に、前記エージェント認証証明書に付け加えられた形態で維持される、 ことを特徴とする請求項7に記載のアクセス制御システム。 Wherein said acquired server authentication certificate, the access control system of claim 7, after the acquisition, the maintained in a form appended to the agent authentication certificate, and wherein the.
  9. 【請求項9】前記取得済みのサーバ認証証明書は、 前記取得した後に、前記システム内部にエージェント認証証明書と共に格納されて管理される、 ことを特徴とする請求項7に記載のアクセス制御システム。 Wherein said acquired server authentication certificate, after the acquisition, the access control system of claim 7, wherein the stored with the agent authentication certificate within the system are managed, it is characterized by .
  10. 【請求項10】前記取得済みのサーバ認証証明書は、 前記取得した後に、前記エージェント認証証明書に付け加えられる形態で維持されるのみならず、前記システム内部に当該エージェント認証証明書と共に格納されて管理される、 ことを特徴とする請求項7に記載のアクセス制御システム。 Wherein said acquired server authentication certificate, after the acquisition, the well is maintained in a form which is added to the agent authentication certificate is stored together with the agent authentication certificates within the system access control system according to claim 7, managed, characterized in that.
  11. 【請求項11】前記エージェントサービス処理部は、 当該システムに接続され得るサーバ毎に対応して設けられる、 ことを特徴とする請求項7、8、9又は10に記載のアクセス制御システム。 Wherein said agent service processing unit, an access control system according to claim 7, 8, 9 or 10 is provided corresponding to each server may be connected to the system, it is characterized.
  12. 【請求項12】前記システムは、 前記クライアント端末からのエージェント認証要求を受けて行われる当該クライアント端末又は利用者の認証に必要な認証データを管理する認証データ管理部を具備する、 ことを特徴とする請求項7、8、9、10又は11に記載のアクセス制御システム。 12. The system includes an authentication data management unit for managing the authentication data required to authenticate the client terminal or user is performed by receiving the agent authentication request from the client terminal, and wherein the access control system according to claim 7, 8, 9, 10 or 11.
  13. 【請求項13】前記システムは、 前記エージェント認証部により認証処理を経て発行されるエージェント認証証明書を管理する証明書管理部をも具備する、 ことを特徴とする請求項7、8、9、10、11又は1 13. The system according to claim 7, 8, 9, wherein the well comprises a certificate management section for managing the agent authentication certificates issued through the authentication process by the agent authentication unit, characterized in that, 10, 11 or 1
    2に記載のアクセス制御システム。 Access control system according to 2.
  14. 【請求項14】前記証明書管理部は、 前記エージェントサービス処理部により前記クライアント端末からのサービス利用要求を契機に当該サービス利用要求に添付されるエージェント認証証明書が正当なものであるかを確認する処理を行う機能構成である、 ことを特徴とする請求項13に記載のアクセス制御システム。 14. The certificate management unit, check whether the agent authentication certificate attached to the response to service request from the client terminal by the agent service processing unit to the service use request is legitimate access control system according to claim 13 which process is a function configured to perform, it is characterized in that.
  15. 【請求項15】前記システムは、 ユーザの該当サーバへの認証処理に必要な情報である前記認証情報を格納するサーバ認証情報格納部を具備する、 ことを特徴とする請求項7、8、9、10、11、1 15. The system of claim comprises the server authentication information storage unit for storing the authentication information is information necessary for the authentication process to the user of that server, it is characterized 7,8,9 , 10,11,1
    2、13又は14に記載のアクセス制御システム。 Access control system according to 2, 13 or 14.
JP2001127621A 2001-04-25 2001-04-25 Access control method and system Pending JP2002324049A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001127621A JP2002324049A (en) 2001-04-25 2001-04-25 Access control method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001127621A JP2002324049A (en) 2001-04-25 2001-04-25 Access control method and system

Publications (1)

Publication Number Publication Date
JP2002324049A true JP2002324049A (en) 2002-11-08

Family

ID=18976462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001127621A Pending JP2002324049A (en) 2001-04-25 2001-04-25 Access control method and system

Country Status (1)

Country Link
JP (1) JP2002324049A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007048282A (en) * 2005-07-29 2007-02-22 Sharp Corp Method for reducing input frequency of authentication information data, method for providing single credential access and device for providing single credential access
JP2008269220A (en) * 2007-04-19 2008-11-06 Nec Corp Authentication transfer system, authentication transfer method, terminal device and authentication server
JP4820928B1 (en) * 2011-07-08 2011-11-24 株式会社野村総合研究所 Authentication system and an authentication method
US8156424B2 (en) 2004-10-08 2012-04-10 Sharp Laboratories Of America, Inc. Methods and systems for imaging device dynamic document creation and organization
US8201077B2 (en) 2004-10-08 2012-06-12 Sharp Laboratories Of America, Inc. Methods and systems for imaging device form generation and form field data management
US8213034B2 (en) 2004-10-08 2012-07-03 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access on an imaging device
US8230328B2 (en) 2004-10-08 2012-07-24 Sharp Laboratories Of America, Inc. Methods and systems for distributing localized display elements to an imaging device
US8237946B2 (en) 2004-10-08 2012-08-07 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server redundancy
US8270003B2 (en) 2004-10-08 2012-09-18 Sharp Laboratories Of America, Inc. Methods and systems for integrating imaging device display content
US8345272B2 (en) 2006-09-28 2013-01-01 Sharp Laboratories Of America, Inc. Methods and systems for third-party control of remote imaging jobs
US8384925B2 (en) 2004-10-08 2013-02-26 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data management
US8428484B2 (en) 2005-03-04 2013-04-23 Sharp Laboratories Of America, Inc. Methods and systems for peripheral accounting

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8230328B2 (en) 2004-10-08 2012-07-24 Sharp Laboratories Of America, Inc. Methods and systems for distributing localized display elements to an imaging device
US8237946B2 (en) 2004-10-08 2012-08-07 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server redundancy
US8270003B2 (en) 2004-10-08 2012-09-18 Sharp Laboratories Of America, Inc. Methods and systems for integrating imaging device display content
US8156424B2 (en) 2004-10-08 2012-04-10 Sharp Laboratories Of America, Inc. Methods and systems for imaging device dynamic document creation and organization
US8201077B2 (en) 2004-10-08 2012-06-12 Sharp Laboratories Of America, Inc. Methods and systems for imaging device form generation and form field data management
US8213034B2 (en) 2004-10-08 2012-07-03 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access on an imaging device
US8384925B2 (en) 2004-10-08 2013-02-26 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data management
US8428484B2 (en) 2005-03-04 2013-04-23 Sharp Laboratories Of America, Inc. Methods and systems for peripheral accounting
JP2007048282A (en) * 2005-07-29 2007-02-22 Sharp Corp Method for reducing input frequency of authentication information data, method for providing single credential access and device for providing single credential access
US8345272B2 (en) 2006-09-28 2013-01-01 Sharp Laboratories Of America, Inc. Methods and systems for third-party control of remote imaging jobs
JP2008269220A (en) * 2007-04-19 2008-11-06 Nec Corp Authentication transfer system, authentication transfer method, terminal device and authentication server
JP4820928B1 (en) * 2011-07-08 2011-11-24 株式会社野村総合研究所 Authentication system and an authentication method

Similar Documents

Publication Publication Date Title
EP1086426B1 (en) Scalable proxy servers with plug in filters
US6446109B2 (en) Application computing environment
CN100571129C (en) Method and system for enabling trust infrastructure support for federated user lifecycle management
JP3518958B2 (en) Distributed file system translator with extended attribute support
KR100800350B1 (en) Client web service access
US5586260A (en) Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5999971A (en) Apparatus and method for identifying clients accessing network sites
US7484012B2 (en) User enrollment in an e-community
US7562382B2 (en) Specializing support for a federation relationship
US6938090B2 (en) Authentication and protection for IP application protocols based on 3GPP IMS procedures
JP4301482B2 (en) Server, the information processing apparatus and the access control system and method thereof
JP4750139B2 (en) Dynamic extensible lightweight access to web services for pervasive devices
US7334254B1 (en) Business-to-business security integration
CN1234088C (en) Method and system for tracking WEB user conversation
KR100745535B1 (en) Method and system for native authentication protocols in a heterogeneous federated environment
US6421768B1 (en) Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
US20020083012A1 (en) Method and system for account management
JP4592184B2 (en) Static identifier is assigned, and the access method and device to device that is intermittently connected to the network
US8117649B2 (en) Distributed hierarchical identity management
US6163844A (en) Method for granting accesses to information in a distributed computer system
US20030156591A1 (en) Shared application access for data services in wireless telecommunication systems
US20060048216A1 (en) Method and system for enabling federated user lifecycle management
US9026616B2 (en) Content delivery reconciliation
US9674180B2 (en) Using identity/resource profile and directory enablers to support identity management
US9836702B2 (en) Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071002