JP2003318889A - ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 - Google Patents
ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置Info
- Publication number
- JP2003318889A JP2003318889A JP2002126447A JP2002126447A JP2003318889A JP 2003318889 A JP2003318889 A JP 2003318889A JP 2002126447 A JP2002126447 A JP 2002126447A JP 2002126447 A JP2002126447 A JP 2002126447A JP 2003318889 A JP2003318889 A JP 2003318889A
- Authority
- JP
- Japan
- Prior art keywords
- server device
- encrypted communication
- user terminal
- terminal device
- communication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 各サーバ装置の情報管理稼働を削減し、各サ
ーバ装置の認証処理と暗号化通信に要する処理工程、処
理負荷を削減する。 【解決手段】 認証サーバ装置2は、ユーザ端末装置1
の正当性を検証し、暗号化通信用情報を生成する。サー
バ装置3は、ユーザ端末装置1からのサービス要求に応
じて、ユーザ端末装置1に対応する暗号化通信用情報の
送付を認証サーバ装置2に要求し、取得した暗号化通信
用情報を用いた暗号化通信をユーザ端末装置1と行う。
ユーザ端末装置1は、認証サーバ装置2で自装置の正当
性が確認された後に認証サーバ装置2と共通の暗号化通
信用情報を生成し、生成した暗号化通信用情報を用いた
暗号化通信をサーバ装置3と行う。
ーバ装置の認証処理と暗号化通信に要する処理工程、処
理負荷を削減する。 【解決手段】 認証サーバ装置2は、ユーザ端末装置1
の正当性を検証し、暗号化通信用情報を生成する。サー
バ装置3は、ユーザ端末装置1からのサービス要求に応
じて、ユーザ端末装置1に対応する暗号化通信用情報の
送付を認証サーバ装置2に要求し、取得した暗号化通信
用情報を用いた暗号化通信をユーザ端末装置1と行う。
ユーザ端末装置1は、認証サーバ装置2で自装置の正当
性が確認された後に認証サーバ装置2と共通の暗号化通
信用情報を生成し、生成した暗号化通信用情報を用いた
暗号化通信をサーバ装置3と行う。
Description
【0001】
【発明の属する技術分野】本発明は、ユーザ端末装置に
ネットワークを通じてサービスを提供する複数のサーバ
装置に代わって、ネットワーク上の認証サーバ装置がユ
ーザ端末装置の認証を行うユーザ認証方法、通信システ
ム、認証サーバ装置、サーバ装置及びユーザ端末装置に
関するものである。
ネットワークを通じてサービスを提供する複数のサーバ
装置に代わって、ネットワーク上の認証サーバ装置がユ
ーザ端末装置の認証を行うユーザ認証方法、通信システ
ム、認証サーバ装置、サーバ装置及びユーザ端末装置に
関するものである。
【0002】
【従来の技術】従来から、ユーザ認証を必要とするサー
バ装置に端末装置から接続するための技術として、ユー
ザアカウント/パスワードを使用したユーザ認証方式
や、ディジタル証明書を用いたユーザ認証方式が利用さ
れている。ここで、複数のサーバ装置が存在する場合に
は、サーバ装置毎に前述のユーザ認証処理を行ってい
る。
バ装置に端末装置から接続するための技術として、ユー
ザアカウント/パスワードを使用したユーザ認証方式
や、ディジタル証明書を用いたユーザ認証方式が利用さ
れている。ここで、複数のサーバ装置が存在する場合に
は、サーバ装置毎に前述のユーザ認証処理を行ってい
る。
【0003】また、サーバ装置と端末装置間の暗号化通
信を行う技術として、暗号化通信のための共通情報を予
め端末装置とサーバ装置へ配備する方式や、サーバ装置
でユーザ認証を行う都度、暗号化通信用の情報を生成し
て、端末装置とサーバ装置間で暗号化通信を行う方式が
普及している。
信を行う技術として、暗号化通信のための共通情報を予
め端末装置とサーバ装置へ配備する方式や、サーバ装置
でユーザ認証を行う都度、暗号化通信用の情報を生成し
て、端末装置とサーバ装置間で暗号化通信を行う方式が
普及している。
【0004】
【発明が解決しようとする課題】以上のように、従来の
ユーザ認証方式では、ディジタル証明書を用いたユーザ
認証をサーバ装置毎に実施する場合、認証情報を各サー
バ装置に配備して管理させる必要があり、各サーバ装置
で認証処理が必要になるという問題点があった。また、
従来の暗号化通信技術では、暗号化通信のための共通情
報を各サーバ装置に配備して管理させる必要があり、サ
ーバ装置でユーザ認証を行う都度、暗号化通信用の情報
を生成する方式では、各サーバ装置で情報生成のための
処理が必要になるという問題点があった。
ユーザ認証方式では、ディジタル証明書を用いたユーザ
認証をサーバ装置毎に実施する場合、認証情報を各サー
バ装置に配備して管理させる必要があり、各サーバ装置
で認証処理が必要になるという問題点があった。また、
従来の暗号化通信技術では、暗号化通信のための共通情
報を各サーバ装置に配備して管理させる必要があり、サ
ーバ装置でユーザ認証を行う都度、暗号化通信用の情報
を生成する方式では、各サーバ装置で情報生成のための
処理が必要になるという問題点があった。
【0005】本発明は、上記課題を解決するためになさ
れたもので、ユーザ認証と暗号化通信において、各サー
バ装置の情報管理稼働を削減し、各サーバ装置の認証処
理と暗号化通信に要する処理工程、処理負荷を削減する
ことができるユーザ認証方法、通信システム、認証サー
バ装置、サーバ装置及びユーザ端末装置を提供すること
を目的とする。
れたもので、ユーザ認証と暗号化通信において、各サー
バ装置の情報管理稼働を削減し、各サーバ装置の認証処
理と暗号化通信に要する処理工程、処理負荷を削減する
ことができるユーザ認証方法、通信システム、認証サー
バ装置、サーバ装置及びユーザ端末装置を提供すること
を目的とする。
【0006】
【課題を解決するための手段】本発明は、ユーザ端末装
置(図1の1)にネットワーク(4)を通じてサービス
を提供する複数のサーバ装置(3)に代わって、前記ネ
ットワーク上の認証サーバ装置(2)が前記ユーザ端末
装置の認証を行うユーザ認証方法であって、前記サーバ
装置にサービスを要求するにあたって前記ユーザ端末装
置から前記認証サーバ装置にディジタル証明書を送付す
る証明書送付手順と、受信した前記ディジタル証明書を
基に前記認証サーバ装置で前記ユーザ端末装置の正当性
を検証する認証手順と、前記ユーザ端末装置の正当性が
確認された後に前記認証サーバ装置と前記ユーザ端末装
置で共通の暗号化通信用情報を生成する暗号化通信用情
報生成手順と、前記認証サーバ装置で正当性が確認され
た前記ユーザ端末装置からのサービス要求に応じて、こ
のユーザ端末装置に対応する暗号化通信用情報を前記サ
ーバ装置が前記認証サーバ装置から取得する暗号化通信
用情報取得手順と、前記暗号化通信用情報を用いた暗号
化通信を前記サーバ装置と前記ユーザ端末装置間で行う
暗号化通信手順とを実行するようにしたものである。ま
た、本発明の通信システムにおいて、前記認証サーバ装
置は、前記ユーザ端末装置から送付されたディジタル証
明書を基に前記ユーザ端末装置の正当性を検証する認証
手段と、前記ユーザ端末装置の正当性が確認された後に
暗号化通信用情報を生成する第1の暗号化通信用情報生
成手段と、前記サーバ装置からの暗号化通信用情報送付
要求に応じて、このサーバ装置にサービスを要求したユ
ーザ端末装置に対応する暗号化通信用情報を前記サーバ
装置に返送する暗号化通信用情報送信手段とを有し、前
記サーバ装置は、前記認証サーバ装置で正当性が確認さ
れた前記ユーザ端末装置からのサービス要求に応じて、
このユーザ端末装置に対応する暗号化通信用情報の送付
を前記認証サーバ装置に要求する暗号化通信用情報取得
手段と、この暗号化通信用情報取得手段によって取得さ
れた暗号化通信用情報を用いた暗号化通信を前記ユーザ
端末装置と行う第1の暗号化通信手段とを有し、前記ユ
ーザ端末装置は、前記サーバ装置にサービスを要求する
にあたって前記認証サーバ装置に前記ディジタル証明書
を送付する証明書送付手段と、前記認証サーバ装置で自
装置の正当性が確認された後に前記認証サーバ装置と共
通の暗号化通信用情報を生成する第2の暗号化通信用情
報生成手段と、この第2の暗号化通信用情報生成手段に
よって生成された暗号化通信用情報を用いた暗号化通信
を前記サーバ装置と行う第2の暗号化通信手段とを有す
るものである。
置(図1の1)にネットワーク(4)を通じてサービス
を提供する複数のサーバ装置(3)に代わって、前記ネ
ットワーク上の認証サーバ装置(2)が前記ユーザ端末
装置の認証を行うユーザ認証方法であって、前記サーバ
装置にサービスを要求するにあたって前記ユーザ端末装
置から前記認証サーバ装置にディジタル証明書を送付す
る証明書送付手順と、受信した前記ディジタル証明書を
基に前記認証サーバ装置で前記ユーザ端末装置の正当性
を検証する認証手順と、前記ユーザ端末装置の正当性が
確認された後に前記認証サーバ装置と前記ユーザ端末装
置で共通の暗号化通信用情報を生成する暗号化通信用情
報生成手順と、前記認証サーバ装置で正当性が確認され
た前記ユーザ端末装置からのサービス要求に応じて、こ
のユーザ端末装置に対応する暗号化通信用情報を前記サ
ーバ装置が前記認証サーバ装置から取得する暗号化通信
用情報取得手順と、前記暗号化通信用情報を用いた暗号
化通信を前記サーバ装置と前記ユーザ端末装置間で行う
暗号化通信手順とを実行するようにしたものである。ま
た、本発明の通信システムにおいて、前記認証サーバ装
置は、前記ユーザ端末装置から送付されたディジタル証
明書を基に前記ユーザ端末装置の正当性を検証する認証
手段と、前記ユーザ端末装置の正当性が確認された後に
暗号化通信用情報を生成する第1の暗号化通信用情報生
成手段と、前記サーバ装置からの暗号化通信用情報送付
要求に応じて、このサーバ装置にサービスを要求したユ
ーザ端末装置に対応する暗号化通信用情報を前記サーバ
装置に返送する暗号化通信用情報送信手段とを有し、前
記サーバ装置は、前記認証サーバ装置で正当性が確認さ
れた前記ユーザ端末装置からのサービス要求に応じて、
このユーザ端末装置に対応する暗号化通信用情報の送付
を前記認証サーバ装置に要求する暗号化通信用情報取得
手段と、この暗号化通信用情報取得手段によって取得さ
れた暗号化通信用情報を用いた暗号化通信を前記ユーザ
端末装置と行う第1の暗号化通信手段とを有し、前記ユ
ーザ端末装置は、前記サーバ装置にサービスを要求する
にあたって前記認証サーバ装置に前記ディジタル証明書
を送付する証明書送付手段と、前記認証サーバ装置で自
装置の正当性が確認された後に前記認証サーバ装置と共
通の暗号化通信用情報を生成する第2の暗号化通信用情
報生成手段と、この第2の暗号化通信用情報生成手段に
よって生成された暗号化通信用情報を用いた暗号化通信
を前記サーバ装置と行う第2の暗号化通信手段とを有す
るものである。
【0007】また、本発明の認証サーバ装置は、前記ユ
ーザ端末装置から前記サーバ装置にサービスを要求する
にあたって前記ユーザ端末装置から送付されたディジタ
ル証明書を基に前記ユーザ端末装置の正当性を検証する
認証手段と、前記ユーザ端末装置の正当性が確認された
後に前記ユーザ端末装置と共通の暗号化通信用情報を生
成する暗号化通信用情報生成手段と、前記サービス要求
を受けたサーバ装置からの暗号化通信用情報送付要求に
応じて、このサーバ装置にサービス要求したユーザ端末
装置に対応する暗号化通信用情報を前記サーバ装置に返
送する暗号化通信用情報送信手段とを有するものであ
る。また、本発明のサーバ装置は、自装置に代わって認
証を行う認証サーバ装置で正当性が確認されたユーザ端
末装置からのサービス要求に応じて、前記認証の際に生
成された、前記ユーザ端末装置と共通の暗号化通信用情
報を前記認証サーバ装置から取得する暗号化通信用情報
取得手段と、前記取得した暗号化通信用情報を用いた暗
号化通信を前記ユーザ端末装置と行う暗号化通信手段と
を有するものである。また、本発明のユーザ端末装置
は、ネットワーク上のサーバ装置にサービスを要求する
にあたって、前記サーバ装置に代わって認証を行う認証
サーバ装置にディジタル証明書を送付する証明書送付手
段と、前記認証サーバ装置で自装置の正当性が確認され
た後に前記認証サーバ装置と共通の暗号化通信用情報を
生成する暗号化通信用情報生成手段と、前記認証サーバ
装置から自装置に対応する暗号化通信用情報を取得した
前記サーバ装置との間で、前記生成された暗号化通信用
情報を用いた暗号化通信を行う暗号化通信手段とを有す
るものである。
ーザ端末装置から前記サーバ装置にサービスを要求する
にあたって前記ユーザ端末装置から送付されたディジタ
ル証明書を基に前記ユーザ端末装置の正当性を検証する
認証手段と、前記ユーザ端末装置の正当性が確認された
後に前記ユーザ端末装置と共通の暗号化通信用情報を生
成する暗号化通信用情報生成手段と、前記サービス要求
を受けたサーバ装置からの暗号化通信用情報送付要求に
応じて、このサーバ装置にサービス要求したユーザ端末
装置に対応する暗号化通信用情報を前記サーバ装置に返
送する暗号化通信用情報送信手段とを有するものであ
る。また、本発明のサーバ装置は、自装置に代わって認
証を行う認証サーバ装置で正当性が確認されたユーザ端
末装置からのサービス要求に応じて、前記認証の際に生
成された、前記ユーザ端末装置と共通の暗号化通信用情
報を前記認証サーバ装置から取得する暗号化通信用情報
取得手段と、前記取得した暗号化通信用情報を用いた暗
号化通信を前記ユーザ端末装置と行う暗号化通信手段と
を有するものである。また、本発明のユーザ端末装置
は、ネットワーク上のサーバ装置にサービスを要求する
にあたって、前記サーバ装置に代わって認証を行う認証
サーバ装置にディジタル証明書を送付する証明書送付手
段と、前記認証サーバ装置で自装置の正当性が確認され
た後に前記認証サーバ装置と共通の暗号化通信用情報を
生成する暗号化通信用情報生成手段と、前記認証サーバ
装置から自装置に対応する暗号化通信用情報を取得した
前記サーバ装置との間で、前記生成された暗号化通信用
情報を用いた暗号化通信を行う暗号化通信手段とを有す
るものである。
【0008】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して詳細に説明する。図1は本発明の実施
の形態となる通信システムの構成を示すブロック図であ
る。本実施の形態の通信システムは、ユーザ端末装置1
と、ユーザ認証を行う認証サーバ装置2と、認証サーバ
装置2で認証されたユーザ端末装置1にサービスを提供
するサーバ装置3と、ユーザ端末装置1と認証サーバ装
置2とサーバ装置3とを相互に接続する電気通信網4と
から構成される。
て図面を参照して詳細に説明する。図1は本発明の実施
の形態となる通信システムの構成を示すブロック図であ
る。本実施の形態の通信システムは、ユーザ端末装置1
と、ユーザ認証を行う認証サーバ装置2と、認証サーバ
装置2で認証されたユーザ端末装置1にサービスを提供
するサーバ装置3と、ユーザ端末装置1と認証サーバ装
置2とサーバ装置3とを相互に接続する電気通信網4と
から構成される。
【0009】図1の通信システムは、ユーザがユーザ端
末装置1を操作して認証サーバ装置2へアクセスし、認
証サーバ装置2でユーザ認証を受けた後、サーバ装置3
へアクセスして、サーバ装置3と暗号化通信を行いつつ
サービス提供を受けるシステムである。ユーザ端末装置
1と認証サーバ装置2とサーバ装置3の構成は、それぞ
れコンピュータで実現することができる。
末装置1を操作して認証サーバ装置2へアクセスし、認
証サーバ装置2でユーザ認証を受けた後、サーバ装置3
へアクセスして、サーバ装置3と暗号化通信を行いつつ
サービス提供を受けるシステムである。ユーザ端末装置
1と認証サーバ装置2とサーバ装置3の構成は、それぞ
れコンピュータで実現することができる。
【0010】ユーザ端末装置1は、電気通信網4とのイ
ンタフェースとなるインタフェース装置11と、記憶装
置12と、CPU13と、キーボード等の入力装置14
とを有する。記憶装置12には、ユーザを証明するユー
ザ証明書121と、このユーザ証明書121内に格納さ
れている公開鍵(不図示)と対をなす秘密鍵122とが
予め格納されている。ユーザ証明書121には、前記公
開鍵と、秘密鍵122を用いて作成された署名文とが格
納されている。
ンタフェースとなるインタフェース装置11と、記憶装
置12と、CPU13と、キーボード等の入力装置14
とを有する。記憶装置12には、ユーザを証明するユー
ザ証明書121と、このユーザ証明書121内に格納さ
れている公開鍵(不図示)と対をなす秘密鍵122とが
予め格納されている。ユーザ証明書121には、前記公
開鍵と、秘密鍵122を用いて作成された署名文とが格
納されている。
【0011】認証サーバ装置2は、電気通信網4とのイ
ンタフェースとなるインタフェース装置21と、記憶装
置22と、CPU23とを有する。記憶装置22には、
ユーザ認証で使用するユーザ情報管理データベース22
1と、認証サーバ装置2を証明するサーバ証明書222
と、このサーバ証明書222内に格納されている公開鍵
(不図示)と対をなす秘密鍵223とが予め格納されて
いる。サーバ証明書222には、前記公開鍵と、秘密鍵
223を用いて作成された署名文とが格納されている。
サーバ装置3は、電気通信網4とのインタフェースとな
るインタフェース装置31と、記憶装置32と、CPU
33とを有する。
ンタフェースとなるインタフェース装置21と、記憶装
置22と、CPU23とを有する。記憶装置22には、
ユーザ認証で使用するユーザ情報管理データベース22
1と、認証サーバ装置2を証明するサーバ証明書222
と、このサーバ証明書222内に格納されている公開鍵
(不図示)と対をなす秘密鍵223とが予め格納されて
いる。サーバ証明書222には、前記公開鍵と、秘密鍵
223を用いて作成された署名文とが格納されている。
サーバ装置3は、電気通信網4とのインタフェースとな
るインタフェース装置31と、記憶装置32と、CPU
33とを有する。
【0012】ユーザがユーザ端末装置1の入力装置14
を操作して分散ネットワーク環境上のサーバ装置3に接
続するにあたり、ユーザ端末装置1のCPU13は、認
証サーバ装置2ヘユーザ認証要求を行う。
を操作して分散ネットワーク環境上のサーバ装置3に接
続するにあたり、ユーザ端末装置1のCPU13は、認
証サーバ装置2ヘユーザ認証要求を行う。
【0013】電気通信網4を通じてユーザ認証要求を受
け取った認証サーバ装置2のCPU23は、記憶装置2
2から取り出したサーバ証明書222をユーザ端末装置
1に送信した後、ユーザ証明書121の送付をユーザ端
末装置1へ要求する。ユーザ端末装置1のCPU13
は、認証サーバ装置2から受け取ったサーバ証明書22
2内の署名文をサーバ証明書222に含まれる公開鍵を
用いて復号し検証を行う。CPU13は、サーバ証明書
222の正当性を検証した後、記憶装置12から取り出
したユーザ証明書121を認証サーバ装置2に送信す
る。
け取った認証サーバ装置2のCPU23は、記憶装置2
2から取り出したサーバ証明書222をユーザ端末装置
1に送信した後、ユーザ証明書121の送付をユーザ端
末装置1へ要求する。ユーザ端末装置1のCPU13
は、認証サーバ装置2から受け取ったサーバ証明書22
2内の署名文をサーバ証明書222に含まれる公開鍵を
用いて復号し検証を行う。CPU13は、サーバ証明書
222の正当性を検証した後、記憶装置12から取り出
したユーザ証明書121を認証サーバ装置2に送信す
る。
【0014】認証サーバ装置2のCPU23は、ユーザ
端末装置1からユーザ証明書121を受け取ると、この
ユーザ証明書121内の署名文をユーザ証明書121に
含まれる公開鍵を用いて復号し検証を行うと共に、ユー
ザ証明書121から取得した、ユーザを一意に識別する
ためのユーザ識別子(Subject )とユーザ情報管理デー
タベース221に格納されているユーザ識別子とを比較
することで、ユーザ認証を行い、認証結果をユーザ端末
装置1に送信する。
端末装置1からユーザ証明書121を受け取ると、この
ユーザ証明書121内の署名文をユーザ証明書121に
含まれる公開鍵を用いて復号し検証を行うと共に、ユー
ザ証明書121から取得した、ユーザを一意に識別する
ためのユーザ識別子(Subject )とユーザ情報管理デー
タベース221に格納されているユーザ識別子とを比較
することで、ユーザ認証を行い、認証結果をユーザ端末
装置1に送信する。
【0015】認証サーバ装置2のCPU23は、ユーザ
証明書121の正当性が検証され、かつユーザ証明書1
21から取得したユーザ識別子がユーザ情報管理データ
ベース221に既に格納されている場合、認証成功を示
す認証結果をユーザ端末装置1に送信する。
証明書121の正当性が検証され、かつユーザ証明書1
21から取得したユーザ識別子がユーザ情報管理データ
ベース221に既に格納されている場合、認証成功を示
す認証結果をユーザ端末装置1に送信する。
【0016】認証成功の場合、ユーザ端末装置1と認証
サーバ装置2内で同一の共通鍵123,224が生成さ
れる。すなわち、ユーザ端末装置1のCPU13は、認
証サーバ装置2から認証成功の通知を受けた場合、暗号
化通信用の共通鍵123を生成して記憶装置12に格納
する。認証サーバ装置2のCPU23は、認証成功の場
合、暗号化通信用の共通鍵224を生成し、ユーザ証明
書121から取得したユーザ識別子と生成した共通鍵2
24とを対応付けて、図2に示すようにユーザ情報管理
データベース221に格納する。
サーバ装置2内で同一の共通鍵123,224が生成さ
れる。すなわち、ユーザ端末装置1のCPU13は、認
証サーバ装置2から認証成功の通知を受けた場合、暗号
化通信用の共通鍵123を生成して記憶装置12に格納
する。認証サーバ装置2のCPU23は、認証成功の場
合、暗号化通信用の共通鍵224を生成し、ユーザ証明
書121から取得したユーザ識別子と生成した共通鍵2
24とを対応付けて、図2に示すようにユーザ情報管理
データベース221に格納する。
【0017】認証成功後、ユーザ端末装置1は、電気通
信網4を通じてサーバ装置3にアクセスしサービス要求
するにあたって、ユーザ証明書121に含まれるユーザ
識別子をサーバ装置3に通知する。ここで、ユーザ端末
装置1とサーバ装置3との間ではユーザ認証を行う必要
は無い。
信網4を通じてサーバ装置3にアクセスしサービス要求
するにあたって、ユーザ証明書121に含まれるユーザ
識別子をサーバ装置3に通知する。ここで、ユーザ端末
装置1とサーバ装置3との間ではユーザ認証を行う必要
は無い。
【0018】サーバ装置3のCPU33は、ユーザ端末
装置1から通知されたユーザ識別子を受信すると、この
ユーザ識別子に対応する共通鍵224の送付を認証サー
バ装置2へ要求する。サーバ装置3と認証サーバ装置2
との間では、セキュリティ向上のため、相互認証、暗号
化を行うことも可能である。
装置1から通知されたユーザ識別子を受信すると、この
ユーザ識別子に対応する共通鍵224の送付を認証サー
バ装置2へ要求する。サーバ装置3と認証サーバ装置2
との間では、セキュリティ向上のため、相互認証、暗号
化を行うことも可能である。
【0019】認証サーバ装置2のCPU23は、サーバ
装置3の要求からユーザ識別子を取得し、このユーザ識
別子に対応する共通鍵224を記憶装置22のユーザ情
報管理データベース221から取り出してサーバ装置3
へ送付する。サーバ装置3のCPU33は、認証サーバ
装置2から送られた共通鍵224を記憶装置32に格納
する。そして、CPU33は、認証サーバ装置2から取
得した共通鍵224を用いて送信情報を暗号化してユー
ザ端末装置1に送信する。
装置3の要求からユーザ識別子を取得し、このユーザ識
別子に対応する共通鍵224を記憶装置22のユーザ情
報管理データベース221から取り出してサーバ装置3
へ送付する。サーバ装置3のCPU33は、認証サーバ
装置2から送られた共通鍵224を記憶装置32に格納
する。そして、CPU33は、認証サーバ装置2から取
得した共通鍵224を用いて送信情報を暗号化してユー
ザ端末装置1に送信する。
【0020】こうして、共通鍵224を用いて暗号化し
た暗号化情報をユーザ端末装置1に送信するので、認証
サーバ装置2で認証された、共通鍵123を有するユー
ザ端末装置1のみが、サーバ装置3からの暗号化情報を
解読することができる。すなわち、ユーザ端末装置1の
CPU13は、サーバ装置3から受信した暗号化情報を
記憶装置12の共通鍵123を用いて復号する。これに
より、サーバ装置3から送られた情報の内容を見ること
ができる。
た暗号化情報をユーザ端末装置1に送信するので、認証
サーバ装置2で認証された、共通鍵123を有するユー
ザ端末装置1のみが、サーバ装置3からの暗号化情報を
解読することができる。すなわち、ユーザ端末装置1の
CPU13は、サーバ装置3から受信した暗号化情報を
記憶装置12の共通鍵123を用いて復号する。これに
より、サーバ装置3から送られた情報の内容を見ること
ができる。
【0021】一方、ユーザ端末装置1のCPU13は、
共通鍵123を用いて送信情報を暗号化してサーバ装置
3に送信する。サーバ装置3のCPU33は、ユーザ端
末装置1から受信した暗号化情報を記憶装置32の共通
鍵224を用いて復号する。このように、ユーザ端末装
置1とサーバ装置3との間では、共通鍵123,224
を使用した暗号化通信が行われ、ユーザ端末装置1の要
求に応じてサーバ装置3からユーザ端末装置1へサービ
スが提供される。
共通鍵123を用いて送信情報を暗号化してサーバ装置
3に送信する。サーバ装置3のCPU33は、ユーザ端
末装置1から受信した暗号化情報を記憶装置32の共通
鍵224を用いて復号する。このように、ユーザ端末装
置1とサーバ装置3との間では、共通鍵123,224
を使用した暗号化通信が行われ、ユーザ端末装置1の要
求に応じてサーバ装置3からユーザ端末装置1へサービ
スが提供される。
【0022】なお、図1では、ユーザ端末装置1とサー
バ装置3をそれぞれ1台しか記載していないが、これら
が複数台数になったとしても、本発明を適用可能なこと
は言うまでもない。また、認証サーバ装置2としては、
ネットワークヘのアクセス認証を行う下位レイヤーでの
認証サーバ装置から、サーバ装置3内に認証サーバ機能
も具備する上位レイヤーでの認証サーバ装置に至るま
で、本発明を適用することが可能である。
バ装置3をそれぞれ1台しか記載していないが、これら
が複数台数になったとしても、本発明を適用可能なこと
は言うまでもない。また、認証サーバ装置2としては、
ネットワークヘのアクセス認証を行う下位レイヤーでの
認証サーバ装置から、サーバ装置3内に認証サーバ機能
も具備する上位レイヤーでの認証サーバ装置に至るま
で、本発明を適用することが可能である。
【0023】さらに、本実施の形態では、図2に示すよ
うに、認証サーバ装置2のユーザ情報管理データベース
221にユーザ識別子と共通鍵と接続時間とを格納して
いる。接続時間は、ユーザ端末装置1とサーバ装置3と
の接続が終了した後に、この接続を仲介していた、電気
通信網4内の装置から接続終了通知を受けた時間より求
めたものである。これに対して、他の情報として、例え
ばユーザの個人情報をユーザ情報管理データベース22
1に格納しておくこともできる。これにより、共通鍵と
あわせてその他の情報もサーバ装置3へ提供することが
可能となる。最終的に、サーバ装置3は、その情報を元
に、ユーザ毎に最適な情報をユーザ端末装置1へ提供す
ることが可能となる。
うに、認証サーバ装置2のユーザ情報管理データベース
221にユーザ識別子と共通鍵と接続時間とを格納して
いる。接続時間は、ユーザ端末装置1とサーバ装置3と
の接続が終了した後に、この接続を仲介していた、電気
通信網4内の装置から接続終了通知を受けた時間より求
めたものである。これに対して、他の情報として、例え
ばユーザの個人情報をユーザ情報管理データベース22
1に格納しておくこともできる。これにより、共通鍵と
あわせてその他の情報もサーバ装置3へ提供することが
可能となる。最終的に、サーバ装置3は、その情報を元
に、ユーザ毎に最適な情報をユーザ端末装置1へ提供す
ることが可能となる。
【0024】
【発明の効果】本発明によれば、サーバ装置にサービス
を要求するにあたってユーザ端末装置から認証サーバ装
置にディジタル証明書を送付する証明書送付手順と、デ
ィジタル証明書を基に認証サーバ装置でユーザ端末装置
の正当性を検証する認証手順と、ユーザ端末装置の正当
性が確認された後に認証サーバ装置とユーザ端末装置で
共通の暗号化通信用情報を生成する暗号化通信用情報生
成手順と、認証サーバ装置で正当性が確認されたユーザ
端末装置からのサービス要求に応じて、このユーザ端末
装置に対応する暗号化通信用情報をサーバ装置が認証サ
ーバ装置から取得する暗号化通信用情報取得手順とを実
行するようにしたことにより、ユーザ認証処理とユーザ
認証情報管理を認証サーバ装置で一元的に行い、また認
証成功時に認証サーバ装置とユーザ端末装置で共通の暗
号化通信用情報を生成するようにしたので、認証情報を
各サーバ装置で管理する必要がなく、また各サーバ装置
で認証処理を行う必要がなくなる。また、ユーザ端末装
置とサーバ装置間で通信を行う都度、ユーザ端末装置と
サーバ装置で暗号化通信用情報を生成する必要がなくな
る。その結果、ユーザ認証と暗号化通信において、各サ
ーバ装置で認証情報と暗号化通信用情報を管理させるこ
とによる情報管理稼働を削減することができ、各サーバ
装置の認証処理と暗号化通信用情報生成処理に要する処
理工程、処理負荷を削減することができる。
を要求するにあたってユーザ端末装置から認証サーバ装
置にディジタル証明書を送付する証明書送付手順と、デ
ィジタル証明書を基に認証サーバ装置でユーザ端末装置
の正当性を検証する認証手順と、ユーザ端末装置の正当
性が確認された後に認証サーバ装置とユーザ端末装置で
共通の暗号化通信用情報を生成する暗号化通信用情報生
成手順と、認証サーバ装置で正当性が確認されたユーザ
端末装置からのサービス要求に応じて、このユーザ端末
装置に対応する暗号化通信用情報をサーバ装置が認証サ
ーバ装置から取得する暗号化通信用情報取得手順とを実
行するようにしたことにより、ユーザ認証処理とユーザ
認証情報管理を認証サーバ装置で一元的に行い、また認
証成功時に認証サーバ装置とユーザ端末装置で共通の暗
号化通信用情報を生成するようにしたので、認証情報を
各サーバ装置で管理する必要がなく、また各サーバ装置
で認証処理を行う必要がなくなる。また、ユーザ端末装
置とサーバ装置間で通信を行う都度、ユーザ端末装置と
サーバ装置で暗号化通信用情報を生成する必要がなくな
る。その結果、ユーザ認証と暗号化通信において、各サ
ーバ装置で認証情報と暗号化通信用情報を管理させるこ
とによる情報管理稼働を削減することができ、各サーバ
装置の認証処理と暗号化通信用情報生成処理に要する処
理工程、処理負荷を削減することができる。
【図1】 本発明の実施の形態となる通信システムの構
成を示すブロック図である。
成を示すブロック図である。
【図2】 図1の認証サーバ装置においてユーザ認証に
使用されるユーザ情報管理データベースの情報テーブル
の構成を示す図である。
使用されるユーザ情報管理データベースの情報テーブル
の構成を示す図である。
1…ユーザ端末装置、2…認証サーバ装置、3…サーバ
装置、11、21、31…インタフェース装置、12、
22、32…記憶装置、13、23、33…CPU、1
4…入力装置、121…ユーザ証明書、122、223
…秘密鍵、123、224…共通鍵、221…ユーザ情
報管理データベース、222…サーバ証明書。
装置、11、21、31…インタフェース装置、12、
22、32…記憶装置、13、23、33…CPU、1
4…入力装置、121…ユーザ証明書、122、223
…秘密鍵、123、224…共通鍵、221…ユーザ情
報管理データベース、222…サーバ証明書。
─────────────────────────────────────────────────────
フロントページの続き
Fターム(参考) 5B085 AA08 AE01 AE09 AE15 AE23
AE29 BA07 BE03 BG02 BG07
5J104 AA07 AA16 EA01 EA04 EA18
JA03 JA21 KA01 KA05 LA03
MA02 MA06 NA02 PA07
Claims (5)
- 【請求項1】 ユーザ端末装置にネットワークを通じて
サービスを提供する複数のサーバ装置に代わって、前記
ネットワーク上の認証サーバ装置が前記ユーザ端末装置
の認証を行うユーザ認証方法であって、 前記サーバ装置にサービスを要求するにあたって前記ユ
ーザ端末装置から前記認証サーバ装置にディジタル証明
書を送付する証明書送付手順と、 受信した前記ディジタル証明書を基に前記認証サーバ装
置で前記ユーザ端末装置の正当性を検証する認証手順
と、 前記ユーザ端末装置の正当性が確認された後に前記認証
サーバ装置と前記ユーザ端末装置で共通の暗号化通信用
情報を生成する暗号化通信用情報生成手順と、 前記認証サーバ装置で正当性が確認された前記ユーザ端
末装置からのサービス要求に応じて、このユーザ端末装
置に対応する暗号化通信用情報を前記サーバ装置が前記
認証サーバ装置から取得する暗号化通信用情報取得手順
と、 前記暗号化通信用情報を用いた暗号化通信を前記サーバ
装置と前記ユーザ端末装置間で行う暗号化通信手順とを
実行することを特徴とするユーザ認証方法。 - 【請求項2】 ユーザ端末装置と、このユーザ端末装置
にネットワークを通じてサービスを提供するサーバ装置
と、このサーバ装置に代わって前記ユーザ端末装置の認
証を行う、前記ネットワーク上の認証サーバ装置とから
なる通信システムであって、 前記認証サーバ装置は、前記ユーザ端末装置から送付さ
れたディジタル証明書を基に前記ユーザ端末装置の正当
性を検証する認証手段と、 前記ユーザ端末装置の正当性が確認された後に暗号化通
信用情報を生成する第1の暗号化通信用情報生成手段
と、 前記サーバ装置からの暗号化通信用情報送付要求に応じ
て、このサーバ装置にサービスを要求したユーザ端末装
置に対応する暗号化通信用情報を前記サーバ装置に返送
する暗号化通信用情報送信手段とを有し、 前記サーバ装置は、前記認証サーバ装置で正当性が確認
された前記ユーザ端末装置からのサービス要求に応じ
て、このユーザ端末装置に対応する暗号化通信用情報の
送付を前記認証サーバ装置に要求する暗号化通信用情報
取得手段と、 この暗号化通信用情報取得手段によって取得された暗号
化通信用情報を用いた暗号化通信を前記ユーザ端末装置
と行う第1の暗号化通信手段とを有し、 前記ユーザ端末装置は、前記サーバ装置にサービスを要
求するにあたって前記認証サーバ装置に前記ディジタル
証明書を送付する証明書送付手段と、 前記認証サーバ装置で自装置の正当性が確認された後に
前記認証サーバ装置と共通の暗号化通信用情報を生成す
る第2の暗号化通信用情報生成手段と、 この第2の暗号化通信用情報生成手段によって生成され
た暗号化通信用情報を用いた暗号化通信を前記サーバ装
置と行う第2の暗号化通信手段とを有することを特徴と
する通信システム。 - 【請求項3】 ユーザ端末装置にネットワークを通じて
サービスを提供する複数のサーバ装置に代わって前記ユ
ーザ端末装置の認証を行う、前記ネットワーク上の認証
サーバ装置であって、 前記ユーザ端末装置から前記サーバ装置にサービスを要
求するにあたって前記ユーザ端末装置から送付されたデ
ィジタル証明書を基に前記ユーザ端末装置の正当性を検
証する認証手段と、 前記ユーザ端末装置の正当性が確認された後に前記ユー
ザ端末装置と共通の暗号化通信用情報を生成する暗号化
通信用情報生成手段と、 前記サービス要求を受けたサーバ装置からの暗号化通信
用情報送付要求に応じて、このサーバ装置にサービス要
求したユーザ端末装置に対応する暗号化通信用情報を前
記サーバ装置に返送する暗号化通信用情報送信手段とを
有することを特徴とする認証サーバ装置。 - 【請求項4】 ユーザ端末装置にネットワークを通じて
サービスを提供するサーバ装置であって、 自装置に代わって認証を行う認証サーバ装置で正当性が
確認されたユーザ端末装置からのサービス要求に応じ
て、前記認証の際に生成された、前記ユーザ端末装置と
共通の暗号化通信用情報を前記認証サーバ装置から取得
する暗号化通信用情報取得手段と、 前記取得した暗号化通信用情報を用いた暗号化通信を前
記ユーザ端末装置と行う暗号化通信手段とを有すること
を特徴とするサーバ装置。 - 【請求項5】 ネットワーク上のサーバ装置にサービス
を要求するにあたって、前記サーバ装置に代わって認証
を行う認証サーバ装置にディジタル証明書を送付する証
明書送付手段と、 前記認証サーバ装置で自装置の正当性が確認された後に
前記認証サーバ装置と共通の暗号化通信用情報を生成す
る暗号化通信用情報生成手段と、 前記認証サーバ装置から自装置に対応する暗号化通信用
情報を取得した前記サーバ装置との間で、前記生成され
た暗号化通信用情報を用いた暗号化通信を行う暗号化通
信手段とを有することを特徴とするユーザ端末装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126447A JP2003318889A (ja) | 2002-04-26 | 2002-04-26 | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126447A JP2003318889A (ja) | 2002-04-26 | 2002-04-26 | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003318889A true JP2003318889A (ja) | 2003-11-07 |
Family
ID=29540857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002126447A Pending JP2003318889A (ja) | 2002-04-26 | 2002-04-26 | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003318889A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1302633C (zh) * | 2004-02-27 | 2007-02-28 | 华为技术有限公司 | 一种保证通用鉴权框架系统安全的方法 |
| JP2012060366A (ja) * | 2010-09-08 | 2012-03-22 | Nec Corp | 通信システム、通信方法、およびコンピュータ・プログラム |
| JP2014531163A (ja) * | 2011-10-20 | 2014-11-20 | アルカテル−ルーセント | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム |
-
2002
- 2002-04-26 JP JP2002126447A patent/JP2003318889A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1302633C (zh) * | 2004-02-27 | 2007-02-28 | 华为技术有限公司 | 一种保证通用鉴权框架系统安全的方法 |
| JP2012060366A (ja) * | 2010-09-08 | 2012-03-22 | Nec Corp | 通信システム、通信方法、およびコンピュータ・プログラム |
| JP2014531163A (ja) * | 2011-10-20 | 2014-11-20 | アルカテル−ルーセント | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1714422B1 (en) | Establishing a secure context for communicating messages between computer systems | |
| KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
| US6490679B1 (en) | Seamless integration of application programs with security key infrastructure | |
| JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
| US9137017B2 (en) | Key recovery mechanism | |
| US8340283B2 (en) | Method and system for a PKI-based delegation process | |
| KR100912976B1 (ko) | 보안 시스템 | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| US11134069B2 (en) | Method for authorizing access and apparatus using the method | |
| WO2012004916A1 (ja) | サービス提供システム | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| KR20060003319A (ko) | 기기 인증 시스템 | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| DK2414983T3 (en) | Secure computer system | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
| CN114390524A (zh) | 一键登录业务的实现方法和装置 | |
| JP2003234734A (ja) | 相互認証方法及びサーバ装置及びクライアント装置及び相互認証プログラム及び相互認証プログラムを格納した記憶媒体 | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
| US9281947B2 (en) | Security mechanism within a local area network | |
| CN114158046A (zh) | 一键登录业务的实现方法和装置 |