JP2004171274A - 分散型認証システム及び分散型認証プログラム - Google Patents

分散型認証システム及び分散型認証プログラム Download PDF

Info

Publication number
JP2004171274A
JP2004171274A JP2002336481A JP2002336481A JP2004171274A JP 2004171274 A JP2004171274 A JP 2004171274A JP 2002336481 A JP2002336481 A JP 2002336481A JP 2002336481 A JP2002336481 A JP 2002336481A JP 2004171274 A JP2004171274 A JP 2004171274A
Authority
JP
Japan
Prior art keywords
authentication
service device
service
peer
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002336481A
Other languages
English (en)
Inventor
Takahiro Mizuno
高宏 水野
Narifumi Takahashi
成文 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2002336481A priority Critical patent/JP2004171274A/ja
Publication of JP2004171274A publication Critical patent/JP2004171274A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザが自由に認証情報を管理できる分散型認証システム及び分散型認証プログラムを提供する。
【解決手段】Peer・2はPeer・BにPeer・1へのアクセス要求を送信する。Peer・Bは、Peer・AとPKIによりインターネット接続を確立し、アクセス要求を送信する。Peer・Aは、アクセス制御ポリシに基づいてアクセス権限を判定し、署名を付加したトークンをPeer・Bに送信する。トークンはPeer・Bを介してPeer・2によって取得される。Peer・2は、Peer・1のサービスを利用する際に、これをPeer・Aに転送する。Peer・Aは、署名及びトークンが正当であるか否かを判定し結果をPeer・1に送信する。またPeer・Aは、Peer・Bにセション鍵を送信し、Peer・2とPeer・1の接続を確立する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、P2Pネットワークにおける分散型認証システム及び分散型認証プログラムに関する。
【0002】
【従来の技術】
従来、ネットワーク社会には以下のような傾向が見られる。
(1) PCにとどまらず、あらゆる機器がネットワーク化されつつある。携帯電話や家電製品がネットワークに接続されつつあることを始めとして、将来的には莫大な数の機器がネットワークに接続されることが予想されている。
(2) 従来、ネットワークに接続されていなかった機器がネットワークに接続され、結果的にCPU、メモリ等の処理能力がPCと比較して限定されたネットワーク機器が増加する。上記のネットワーク環境を以後、ユビキタス環境と呼ぶ。
【0003】
ユビキタス環境において、現在PC等で一般的に使用されている認証方式を利用するための技術として、同機能の認証サーバを複数配置する分散認証技術がある(特許文献1を参照)。この技術は、認証要求に対して認証を行うサーバの分散認証システムにおいて、分散して認証を行う複数の認証サーバと、認証要求のインデックスを検索して複数の認証サーバから1つを決定し且つ決定した認証サーバに認証要求の認証を行わせるためのインデックスサーバとを備えることを特徴としており、登録ユーザ数の増加に対しても認証が容易にでき、データベースの増大を抑制でき、且つユーザ情報の変更に対して処理時間を短縮する。
【0004】
【特許文献1】
特開2000−311138号公報
【特許文献2】
特開2000−99469号公報
【0005】
【発明が解決しようとする課題】
しかし、上述のようなセンタ集中型の認証方式においては、ユーザが自由に認証サーバを設置・運営することができないという問題点がある。このため、M2M認証(例えば、数百億レベルの機器間の認証)などでサーバへの負荷集中度が高まった場合には、サービス提供者が事後的に改めて性能設計を行い、システムを更改する必要があるといった問題点がある。
また、現状の認証技術(PKI技術など)は、主にPCを中心とした暗号処理演算能力が十分に保障された機器を対象としており、リソース制限のある機器には適用することができないといった問題点がある。
また、現状のセンタ集中型の認証方式では、認証方式がセンタに静的に設定されている。このため、新しい認証方式を持った機器を動的に追加することができない。このため、こういった機器の追加時には、認証サーバを一時停止して、ソフトウェアの入れ替えを行うことが必要になってしまうといった問題点がある。
【0006】
本発明は、このような事情を考慮してなされたものであり、その目的は、ユーザが自由に認証情報を管理できると共に、リソース制限のある機器であっても、認証技術を適用でき、さらに、異なる認証方式を実装した機器を動的に認証システム内に追加することができる分散型認証システム及び分散型認証プログラムを提供することにある。
【0007】
【課題を解決するための手段】
この発明は上記の課題を解決すべくなされたもので、請求項1に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、前記第g(g=1、2、・・、n)のサービス機器が、当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段を具備し、前記第hの認証機器が、前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有するか否かを示す認証情報を受信する受信手段と、該認証情報に基づいて、該サービス機器間の接続を確立する接続確立手段とを具備することを特徴とする。
【0008】
請求項2に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、前記第g(g=1、2、・・、n)のサービス機器が、当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段を具備し、前記第hの認証機器が、前記第gのサービス機器より前記アクセス要求を受信する受信手段と、前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、該認証情報に基づいて、該サービス機器間の接続を確立する接続確立手段とを具備することを特徴とする。
【0009】
請求項3に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、前記第g(g=1、2、・・、n)のサービス機器が、当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う認証手段と、該第hの認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段と、該第hの認証機器より、当該第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、該認証情報を前記第iのサービス機器に対して送信する送信手段と、第k(k=1、2、・・、n ただしk≠g)のサービス機器より、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、該認証情報を前記第hの認証機器に送信する送信手段と、該第hの認証機器より、該認証情報が正当であるか否かを示す認証結果を受信する受信手段と、該認証結果に基づいて、前記第kのサービス機器と接続を確立する接続確立手段とを具備し、前記第hの認証機器が、前記第gのサービス機器と相互認証を行う認証手段と、該第gのサービス機器より前記アクセス要求を受信する受信手段と、前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、前記第gのサービス機器に対して、該認証情報を送信する送信手段と、前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを記憶する記憶手段と、前記第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m ただしl≠h)の認証機器と相互認証を行う認証手段と、該第lの認証機器より前記第gのサービス機器へのアクセス要求を受信する受信手段と、該アクセス要求に基づいて、前記認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を作成する認証情報作成手段と、該認証情報に対して自身の署名を付与した後、前記第lの認証機器に対して送信する送信手段と、前記第gのサービス機器より該認証情報を受信する受信手段と、該認証情報の署名を検証し、該認証情報が正当であるか否かを示す認証結果を作成する正当性確認手段と、該認証結果を該第gのサービス機器に対して送信する送信手段とを具備することを特徴とする。
【0010】
請求項4に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、前記第g(g=1、2、・・、n)のサービス機器が、当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う認証手段と、該第hの認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段と、該第hの認証機器が該アクセス要求を認証したことを示す認証証明識別情報を受信する受信手段と、該認証証明識別情報を前記第iのサービス機器に対して送信する送信手段と、前記第k(k=1、2、・・、n ただしk≠g)のサービス機器より、該第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m ただしl≠h)の認証機器が、当該第gのサービス機器へのアクセス要求を認証したことを示す認証証明識別情報を受信する受信手段と、該認証証明識別情報を該第hの認証機器に送信する送信手段と、該第hの認証機器より、前記認証証明識別情報が認証されたことを示す認証証明情報を受信する受信手段と、該認証証明情報に基づいて、前記第kのサービス機器と接続を確立する接続確立手段とを具備し、前記第hの認証機器が、前記第gのサービス機器と相互認証を行う認証手段と、該第gのサービス機器より前記第iのサービス機器へのアクセス要求を受信する受信手段と、当該第hの認証機器が該アクセス要求を認証したことを示す認証証明識別情報を作成する認証証明識別情報作成手段と、該第gのサービス機器に対して、該認証証明識別情報を送信する送信手段と、前記第iのサービス端末に代わって認証を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、該第jの認証機器より該認証証明識別情報を受信する受信手段と、該第jの認証機器に対して、該認証証明識別情報が認証されたことを示す認証証明情報を送信する送信手段と、前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを記憶する記憶手段と、前記第lの認証機器が、前記第gのサービス機器へのアクセス要求を認証したことを示す認証証明識別情報を前記第gのサービス機器より受信する受信手段と、前記第lの認証機器と相互認証を行う認証手段と、前記第lの認証機器へ該認証証明識別情報を送信する送信手段と、該第lの認証機器より該認証証明識別情報が認証されたことを示す認証証明情報を受信する受信手段と、前記認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証結果を作成する正当性確認手段と、該認証結果を該第gのサービス機器に対して送信する送信手段とを具備することを特徴とする。
【0011】
請求項5に記載の発明は、請求項1から請求項4のいずれかの項に記載の発明において、前記第hの認証機器とのネットワークを介する接続管理機器であって、前記第iのサービス機器と前記第jの認証機器との間の代理関係を記憶する記憶手段と、前記第hの認証機器から、前記第iのサービス機器に代わって認証を行う認証機器の検索要求を受信する受信手段と、該認証機器の検索を行う検索手段と、該検索結果を前記第hの認証機器に送信する送信手段とを具備する管理機器をさらに有することを特徴とする。
【0012】
請求項6に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムにおいて、サービス機器に分散認証処理を実行させるための分散認証プログラムであって、自身に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う処理と、該第hの認証機器に対して、第i(i=1、2、・・、n)のサービス機器へのアクセス要求を送信する処理と、該第hの認証機器より、前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する処理と、該認証情報を前記第iのサービス機器に対して送信する処理と、第k(k=1、2、・・、n)のサービス機器より、該第kのサービス機器が自身と接続する権限を有することを示す認証情報を受信する処理と、該認証情報を前記第hの認証機器に送信する処理と、該第hの認証機器より、該認証情報が正当であるか否かを示す認証結果を受信する処理と、該認証結果に基づいて、前記第kのサービス機器と接続を確立する処理とをコンピュータに実行させるための分散認証プログラムである。
【0013】
請求項7に記載の発明は、第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムにおいて、認証機器に分散認証処理を実行させるための分散認証プログラムであって、自身が認証を代理する第g(g=1、2、・・、n)のサービス機器と相互認証を行う処理と、該第gのサービス機器より第i(i=1、2、・・、n)のサービス機器へのアクセス要求を受信する処理と、前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m)の認証機器と相互認証を行う処理と、該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する処理と、該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する処理と、前記第gのサービス機器に対して、該認証情報を送信する処理と、前記第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m)の認証機器と相互認証を行う処理と、該第lの認証機器より前記第gのサービス機器へのアクセス要求を受信する処理と、該アクセス要求に基づいて、前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を作成する処理と、該認証情報に対して自身の署名を付与した後、前記第lの認証機器に対して送信する処理と、前記第gのサービス機器より該認証情報を受信する処理と、該認証情報の署名を検証し、該認証情報が正当であるか否かを示す認証結果を作成する処理と、該認証結果を該第gのサービス機器に対して送信する処理とをコンピュータに実行させるための分散認証プログラムである。
【0014】
【発明の実施の形態】
まず本発明の基本的な考え方について説明する。本発明の分散認証システムは、従来のセンタ集中型認証方式における認証センタをP2P型の認証サービスコミュニティ(以下、ASCとする。ただし、ASC:Authentication Service Community)として構成する。すなわち、ASC内の各Peer(以下、認証Peerとする)は認証情報を分散管理する。また、従来のセンタ集中型認証方式におけるクライアントをP2P型のサービスコミュニティ(以下、SCとする。ただし、SC:Service Community)として構成する。すなわち、SC内の各Peer(以下、サービスPeerとする)は認証Peerに代理認証を依頼する。
【0015】
以下、図面を参照して本発明の第1の実施形態である分散認証システムについて説明する。図1は、本実施形態の分散認証システムの全体構成を示す構成図である。本実施形態の分散認証システムは、認証Peer・A〜認証Peer・C、サービスPeer・1〜サービスPeer・3、CP(CP:CentralPoint)・10をそれぞれインターネット、LAN、PAN等のネットワークを介して接続して構成される。
【0016】
認証Peer・A〜認証Peer・Cは、それぞれユーザA〜ユーザCが管理するコンピュータ端末等の認証機器であり、認証Peer間でPKI認証(PKI:Public Key Infrastructure)によりインターネット接続する。また、認証Peer・A、認証Peer・Bは、それぞれサービスPeer・1、Peer・2とID認証によりPAN(Personal Area Network)接続する。また、認証Peer・Cは、共通鍵認証によりサービスPeer・3とLAN接続する。
【0017】
サービスPeer・1、サービスPeer・2は、ユーザA、ユーザBがPANやLAN内に設置する家電製品等のサービス機器であり、リソース制限のためPKI認証ではなくID認証によって、それぞれ認証Peer・A、認証Peer・Bと接続する。また、サービスPeer・3は、サービスPeer・1、サービスPeer・2と異なり、共通鍵認証により認証Peer・Cと接続する。
CP・10は、ASCの管理を行うコンピュータ端末等の管理機器であり、認証Peer・A〜認証Peer・Cとインターネット接続する。
CA20は、認証機関が管理するサーバやPC等のコンピュータ端末であって、認証Peer・A〜認証Peer・Cの証明書を発行し、ネットワーク経由又は記憶媒体経由で各認証Peerに送信又は送付する。
【0018】
図2、図3は、それぞれ認証Peer・A〜認証Peer・C、サービスPeer・1〜サービスPeer・3の構成を示す構成図である。ここで、認証Peer・A〜認証Peer・Cはそれぞれ等価な装置構成であるため、認証Peer・Aの構成について説明し、認証Peer・B、認証Peer・Cの説明に代える。また、サービスPeer・1〜サービスPeer・3についても、同様に等価な装置構成であるため、サービスPeer・1について説明し、サービスPeer・2、サービスPeer・3の説明に代える。
【0019】
認証Peer・Aは、CPU・20、不揮発性メモリ21、一時記憶メモリ22、処理部23、送受信部24、暗号化モジュール25からなる。
CPU・20は、不揮発性メモリ21に記憶されたプログラムを読み出して、認証Peer・Aにおける分散認証処理に関する一連の処理を実行する中央演算処理装置である。
不揮発性メモリ21は、HDD、ROM、EEPROM等の半導体メモリであって、上述のCPU・20の動作プログラムの他に、図4に示す秘密鍵40、証明書41、CA証明書42、CPアドレス43、表1に示すサービスPeer管理テーブルT1、表2に示すアクセス制御ポリシT2を記憶している。
【0020】
【表1】
Figure 2004171274
【0021】
【表2】
Figure 2004171274
【0022】
秘密鍵40は、認証Peer・Aが認証Peer・B、認証Peer・CとのPKI認証において使用する鍵であり、認証Peer・Aのみが管理している。
証明書41は、認証機関(以下、CAとする。CA:Certification Authority)が認証Peer・Aに対して予め発行した証明書であり、秘密鍵40に対応する公開鍵の証明に用いられる。
CA証明書42は、認証Peer・Aに発行された証明書41のルート証明書であり、CAが管理している。
CPアドレス43は、CP・10のIPアドレスである。
【0023】
サービスPeer管理テーブルT1は、認証Peer・Aが認証の代理をしているサービスPeerであるサービスPeer・1のPeer名、アドレス、接続形態、認証データを格納している。具体的には、例えばPeer名:サービスPeer・1、IPアドレス:10.8.1.2、接続形態:Bluetooth、認証データ:Data・1のように書き込まれている。
アクセス制御ポリシT2は、認証Peer・Aが認証の代理をしているサービスPeerであるサービスPeer・1に対して、アクセス権を有するサービス機器である、他のサービス機器の機器名、ユーザ名、アクセス権の有無をサービスPeer・1が提供するサービス毎に規定している。具体的には、例えば、表2に示すように、サービスPeer・2のユーザであるユーザ2は、サービスPeer・1が提供するサービスS1に対してアクセス権を有しているが、サービスPeer・3のユーザであるユーザ3は、サービスPeer・1が提供するサービスS2に対してアクセス権を有していないことを規定している。
【0024】
一時記憶メモリ22は、CPU・20が一次的に処理データを記憶させるための半導体メモリであって、表3に示す認証済みPeer管理テーブルT3を記憶する。
【0025】
【表3】
Figure 2004171274
【0026】
認証済みPeer管理テーブルT3は、認証Peer・Aが認証を代理した認証元のサービスPeerであるサービスPeer・1が、いずれの認証Peerを介していずれのサービスPeerと認証を行い、接続を確立したかを書き込むことで作成される。また、このとき認証Peer・Aが他の認証Peerとの間でPKI認証を行う際に交換したセション鍵も各接続について関連付けられて書き込まれる。具体的には、認証Peer・Aは、認証元であるサービスPeer・1からの要求により、認証先であるサービスPeer・2の認証を代理する認証Peer・BとPKI認証を行いセッション鍵:0xabcdを交換、又は、PKI認証プロセス中にこのセッション鍵を交換して、サービスPeer・1とサービスPeer・2の間で接続が確立されたことを記憶している。また同様に、認証Peer・Aは、認証元であるサービスPeer・1からの要求により、認証先であるサービスPeer・3の認証を代理する認証Peer・CとPKI認証を行い、セッション鍵:0x0123を交換して、サービスPeer・1とサービスPeer・3の間で接続が確立されたことを記憶している。
【0027】
処理部23は、CPU20による不揮発性メモリ21、一時記憶メモリ22へのアクセス制御等の処理を行う。
送受信部24は、認証Peer・Aが認証Peer・B、認証Peer・C、CP・10とデータ通信を行う際の通信制御を行う。
暗号化モジュール25は、PKI認証用の暗号化処理を行うモジュールである。
【0028】
サービスPeer・1は、CPU・30、不揮発性メモリ31、一時記憶メモリ32、処理部33、送受信部34からなる。
CPU・30は、不揮発性メモリ31に記憶されたプログラムを読み出して、サービスPeer・1における分散認証処理に関する一連の処理を実行する中央演算処理装置である。
不揮発性メモリ31は、HDD、ROM、EEPROM等の半導体メモリであって、上述のCPU・20の動作プログラムの他に、表4に示す認証PeerテーブルT4、表5に示すトークンリストT5を記憶している。
【0029】
【表4】
Figure 2004171274
【0030】
【表5】
Figure 2004171274
【0031】
認証PeerテーブルT4は、サービスPeer・1が代理認証を依頼する認証Peerである認証Peer・AのPeer名、アドレス、接続形態、認証データが格納されている。具体的には、例えば、Peer名:認証Peer・A、IPアドレス:10.8.1.1、接続形態:Bluetooth、認証データ:Data・1のように書き込まれている。
【0032】
トークンリストT5は、他のサービスPeerであるサービスPeer・2又はサービスPeer・3がサービスPeer・1の提供する、一定のサービスを利用する権限を有することを示すトークンのトークンID、他のサービスPeerのPeer名、アドレス、提供するサービス名が格納されている。具体的には、トークンID:0xabcd、Peer名:サービスPeer・2、IPアドレス:10.8.2.2、サービス名:service1のように書き込まれている。
一時記憶メモリ32は、CPU・20が一次的に処理データを記憶させるための半導体メモリである。
処理部33は、CPU30による不揮発性メモリ31、一時記憶メモリ32へのアクセス制御等の処理を行う。
送受信部34は、サービスPeer・1が認証Peer・Aとデータ通信を行う際の通信制御を行う。
【0033】
CP・10は、CPU(図示せず)、ROM(図示せず)、RAM(図示せず)、処理部(図示せず)、送受信部(図示せず)を有している。また、ROM、RAM等の不揮発性メモリ又は一時記憶メモリには、ASC内の認証Peerのリストと、各認証Peerが認証を代理するサービスPeerのリストを記憶している。具体的には、認証Peer・AはPeer・1の代理認証を、認証Peer・BはPeer・2の代理認証を、認証Peer・CはPeer・2の代理認証を行うこと、認証Peer・A〜認証Peer・CのIPアドレス等を記憶している。
【0034】
以下、本実施形態の分散認証システムにおける、分散認証処理の流れを図面を参照して説明する。ます本実施形態の分散認証システムにおける、基本的な分散認証処理の流れとして、サービスPeer・2が認証Peer・Bを介して、サービスPeer・1と認証を行い、接続を確立する一連の処理の流れについて説明する。図5は、サービスPeer・1とサービスPeer・2の間の分散認証処理の流れを示すフローチャートである。
サービスPeer・1が提供するサービスを利用するために、まずサービスPeer・2は自己の認証を代理する認証Peer・BとID認証により相互認証を行い(図5のステップS1)、PAN接続を確立する。すなわち、認証Peer・Bは、認証要求をサービスPeer・2より受けて、サービスPeer管理テーブルより認証データを読み出して、受信した認証要求が示す認証データと照合し、両者が一致すれば、サービスPeer・2と接続を確立する。
【0035】
接続確立後、サービスPeer・2は、認証Peer・Bに対して、サービスPeer・1へのアクセス要求を送信する(ステップS2)。
認証Peer・Bは、要求を受けて、CP・10に対してサービスPeer・1に代わって認証を行う認証Peerの検索要求を送信する(ステップS3)。
CP・10は、検索要求を受けて、リストよりサービスPeer・1の認証を代理する認証Peerを検索する。そして、代理する認証Peerが認証Peer・Aであることを読み出して、検索結果を認証Peer・Bに送信する(ステップS4)。
認証Peer・Bは、検索結果を受けて、認証Peer・AとPKI認証により相互認証を行い(ステップS5)、サービスPeer・1へのアクセス要求を送信する。
【0036】
認証Peer・Aは、アクセス要求に基づいて、アクセス制御ポリシT2を参照し、サービスPeer・2がサービスPeer・1にアクセスする権限を有するか否かを判定する(ステップS6)。
ここで、表2よりサービスPeer・2はサービスPeer・1の提供するサービスS1に対してアクセス権を有していることから、アクセス要求がサービスS1に対するものであれば、認証Peer・Aは、認証情報として利用可能機器、利用可能ユーザ、利用回数、有効期限等を制限規定したトークン(図6を参照)を発行し、認証Peer・Aの署名を付加してこれを認証Peer・Bに送信する(ステップS7)。
【0037】
認証Peer・Bは、このトークンを受信すると、サービスPeer・2に対してトークンを転送する(ステップS8)。サービスPeer・2は、トークンを受信し、実際のサービス利用時までこれを保持する。
そして、サービスPeer・2は、サービスPeer・1の提供するサービスを利用する時に、サービスPeer・1に対して、このトークンを送信する(ステップS9)。サービスPeer・1は、トークンを受信すると、認証Peer・Aに対して、このトークンを送信する(ステップS10)。
なお、このとき、サービスPeer・1に代わって、認証Peer・Aが直接トークンを受け取ることも考えられる。
【0038】
認証Peer・Aは、トークンを受信すると、付加された署名が正当なものであるかを自身の公開鍵によって検証し、認証情報であるトークンが正当であるか否かを判定する。署名が自身の署名であること、トークンの有効期限が有効であること等の条件が確認されれば、認証Peer・Aは、このトークンが正当である認証結果をサービスPeer・1に対して送信する(ステップS11)。
【0039】
また、認証Peer・Aは、認証結果の送信後、認証Peer・Bに対して、セション鍵を擬似ランダム関数によって作成し、これを認証Peer・Bの公開鍵で暗号化して送信する。認証Peer・Bは、このセション鍵を受けて、セッション鍵の交換によりサービスPeer・2とサービスPeer・1の間用のPKI接続を確立する。
以上によって、サービスPeer・2は、認証Peer・B、認証Peer・Aを介してサービスPeer・1と接続を確立する。
【0040】
以上説明したように、本実施形態の分散認証システムによれば、ユーザA〜ユーザCが認証Peer・A〜認証Peer・Cを管理することができるので、ユーザにおいては、自由に認証Peerを設置・運営することができるという効果が得られる。
また、ユーザがサービスPeerの設置に応じて、認証Peerの負荷分散を検討し、未然に負荷集中の問題を回避することができる効果が得られる。
また、ユーザが認証Peerの管理を行うことができるため、従来のように、サービス提供者が認証サーバを管理する必要がなくなり、管理コストが大幅に削減できる効果が得られる。
また、PKIを実装できないリソース制限のあるサービスPeerをインターネットなどのPKIレベルのセキュリティが必要とされるネットワークにおいても、利用することができる効果が得られる。
【0041】
次に、サービスPeer・3がサービスPeer・1等を利用する場合の動作について説明する。サービスPeer・2がサービスPeer・1を利用する場合とサービスPeer・3がサービスPeer・1を利用する場合で異なる点は、認証PeerとサービスPeerの認証方式及び通信形態である。すなわち、サービスPeer・3と認証Peer・Cは、共通鍵認証によりLAN接続を確立する。したがって、上述のフローチャートにおけるステップのうち、異なるステップはステップS1、ステップS2である。しかし、これらのステップは、認証Peer・A及びサービスPeer・1との認証処理において影響を与えないため、サービスPeer・3がサービスPeer・1等を利用する場合であっても、上述の処理が同様に適用可能である。
【0042】
したがって、本実施形態の分散認証システムによれば、異なる認証方式を実装している認証Peerであっても、図7に示すように動的にASCに参加することができる効果が得られる。また、サービスPeerの処理性能・接続環境を考慮した認証方式をユーザ側で選択できる効果が得られる。
【0043】
次に、図面を参照して本発明の第2の実施形態である分散認証システムについて説明する。図8は、本実施形態の分散認証システムの全体構成を示す構成図である。
本実施形態の分散認証システムは、認証Peer・A〜認証Peer・C、サービスPeer・1〜サービスPeer・3をそれぞれインターネット、LAN、PAN等のネットワークを介して接続して構成される。
すなわち、本実施形態が第1の実施形態と異なる点は、CP・10を利用せず、
各認証Peer・A〜認証Peer・Cが、CP・10が記憶していた上述のリストを不揮発性メモリ21に記憶している点である。具体的には、認証Peer・Aは、サービスPeer・2の認証を代理している認証Peerが認証Peer・Bであり、サービスPeer・3の認証を代理している認証Peerが認証Peer・Cであることを記憶している。また、認証Peer・B、認証Peer・Cも同様に、互いの認証PeerがいずれのサービスPeerの認証を代理しているかを記憶している。したがって、本実施形態においては、認証Peerはアクセス要求のあったサービスPeerの代理認証を行う認証PeerをCP・10に問い合わせる必要がない。
このため、上述のフローチャートにおけるステップのうち、本実施形態の分散認証システムにおいて、異なるステップはステップS3、ステップS4である。しかし、これらのステップは、認証Peer及びサービスPeerとの間における、他の認証処理において影響を与えないため、上述の処理が同様に適用可能である。
【0044】
したがって、本実施形態の分散認証システムによれば、各認証Peerに認証情報が分散しているため、CP・10を設置することなく、分散認証処理を実行することができる。このため、PAN等の特定の認証サーバに接続されていないアドホックなネットワーク環境下においても、本実施形態の分散認証システムを適用できる効果が得られる。
認証Peerであっても、図7に示すように動的にASCに参加することができる効果が得られる。また、サービスPeerの処理性能・接続環境を考慮した認証方式をユーザ側で選択できる効果が得られる。
なお、上述のように、認証Peer・Aは、他のサービスPeerの認証を代理している認証Peerがいずれであるかをすべて記憶することは難しいことから、アクセス要求ごとに、隣接する認証Peerに対して検索をかけることも考えられる。この場合、検索を受けた認証Peerは、自分に対する検索要求であれば自分の情報を返し、自分に対する検索要求でなければ、さらに他の隣接する認証Peerに対して、検索要求を行う。
この方法では、検索要求が無限に広がることを防止するために、検索要求の転送を一定回数に限り、これを超えた場合は検索要求転送を停止するようにする。
【0045】
以上、具体的に説明したことをまとめると、本発明においては、認証方式は図9に示すように任意の認証方式を適用可能である。図9のI〜IIIはそれぞれI:認証Peer間認証、II:認証Peer−サービスPeer間認証、III:サービスPeer間認証を示しており、例えば、上述したように、インターネット環境ではPKI認証、LAN環境では共通鍵認証、PAN環境ではID認証を設定することが考えられる。また、II:認証Peer−サービスPeer間認証においては、サービスの種類や認証Peer−サービスPeer間の環境に応じて、認証を行わないという選択も考えられる。
【0046】
また、Peer間で認証を行うタイミングは、加入時認証型と逐次認証型の2パターンの認証方式の適用が考えられる。加入時認証型においては、ASCへの加入時に認証が要求され、利用時には認証の必要がない。このため、通常利用時における認証処理のために発生するトラフィックがネットワークの混雑の原因となることを防ぐことができる。また、逐次認証型においては、ASCへの加入時においては認証を行わず、利用時に認証が必要となる。このため、認証済み情報を管理する必要がなく、システムのスケーラビリティの面で優れている。
【0047】
次に、図面を参照して本発明の第3の実施形態である分散認証システムについて説明する。図10は、本実施形態の分散認証システムの全体構成を示す構成図である。
本実施形態の分散認証システムは、認証Peer・A〜認証Peer・C、サービスPeer・1〜サービスPeer・3、CP・10をそれぞれインターネット、LAN、PAN等のネットワークを介して接続して構成される。
本実施形態が第1の実施形態と異なる点は、認証情報の引渡し方法に関して、トークンを用いず、SAMLのAssertionを利用する点である。
ここで、SAMLとは、OASIS(Organization for the Advancement of Structured Information Standards 以下のURL:http://www.oasis−open.org を参照)において、標準化されている記述言語であり、Assertion、Artifactは、この中で使用される用語である。
【0048】
以下、本実施形態の分散認証システムについて図面を参照して説明する。
認証Peer・A、サービスPeer・1、サービスPeer・2の構成は、上述の第1の実施形態と同様であり、説明を省略する。
認証Peer・Bは、第1の実施形態の認証Peer・Bにおいて、さらに、不揮発性メモリ21にSAMLにおけるAssertionとArtifactの対応関係を示すマッピング情報を記憶している。
【0049】
サービスPeer・1が提供するサービスを利用するために、まずサービスPeer・2は自己の認証を代理する認証Peer・BとID認証により相互認証を行い(図10のステップS20)、PAN接続を確立する。すなわち、認証Peer・Bは、認証要求をサービスPeer・2より受けて、サービスPeer管理テーブルより認証データを読み出して、受信した認証要求が示す認証データと照合し、両者が一致すれば、サービスPeer・2と接続を確立する。
接続確立後、サービスPeer・2は、認証Peer・Bに対して、サービスPeer・1へのアクセス要求を送信する(ステップS21)。
【0050】
認証Peer・Bは、サービスPeer・2のユーザ2よりサービスPeer・1に対してアクセス要求があったことを認証Peer・Bが証明することを示す認証証明識別情報としてArtifactを発行し、不揮発性メモリ・31のAssertionとArtifactのマッピング情報に当該情報を書き込み、サービスPeer・2に送信する(ステップS22)。
ここで、Assertionとは、ある時点である人(この場合は機器)を認証したことを証明する記述であり、Artifactとは、このAssertionにヒモ付けられた乱数列を含むバイト列である。
サービスPeer・2は、Artifactを受けて、サービスPeer・1に送信する(ステップS23)。サービスPeer・1は、Artifactを受けて、この正当性の確認及びサービスPeer・2のアクセス権限の確認を認証Peer・Aに依頼するため、これを認証Peer・Aに送信する(ステップS24)。
【0051】
認証Peer・AはArtifactを受けて、CP・10に対して、サービスPeer・2の認証を代理する認証Peerの検索要求を送信する。CP・10は、検索要求を受けて、リストよりサービスPeer・2の認証を代理する認証Peerを検索する。そして、代理する認証Peerが認証Peer・Bであることを読み出して、検索結果を認証Peer・Aに送信する。
認証Peer・Aは、これを受けて、認証Peer・BとPKI認証によりインターネット接続を確立した後、認証Peer・Bに対して送信する(ステップS25)。認証Peer・Bは、このArtifactを受けて、これと対応するAssertionを不揮発性メモリ21より読み出して、受信したArtifactが確かに認証Peer・Bが発行したものであることを示す認証証明情報としてAssertion(Authenticate)、又はAssertion(Attribute)を認証Peer・Aに対して送信する(ステップS25)。
【0052】
認証Peer・Aは、Assertion(Authenticate)、orAssertion(Attribute)を受けて、アクセス制御ポリシT2を参照し、サービスPeer・2がサービスPeer・1にアクセスする権限を有するか否かを判定する(ステップS26)。
ここで、表2よりサービスPeer・2はサービスPeer・1の提供するサービスS1に対してアクセス権を有していることから、アクセス要求がサービスS1に対するものであれば、認証Peer・Aは、認証結果としてサービスPeer・2がサービスPeer・1を認証・認可したことを示すAssertion(Authorize)をサービスPeer・1に対して送信する(ステップS27)。
また、認証Peer・Aは、認証結果の送信後、認証Peer・Bに対して、セション鍵を擬似ランダム関数によって作成し、これを認証Peer・Bの公開鍵で暗号化して送信する。認証Peer・Bは、このセション鍵を受けて、セッション鍵の交換によりサービスPeer・2とサービスPeer・1の間用のPKI接続を確立する。
以上によって、サービスPeer・2は、認証Peer・B、認証Peer・Aを介してサービスPeer・1と接続を確立する。
【0053】
以上説明したように、本実施形態の分散認証システムによれば、認証情報の受け渡し方法としてトークンを用いなくても、第1の実施形態と同様の分散認証機能を実現することができるという効果が得られる。すなわち、ユーザA〜ユーザCが認証Peer・A〜認証Peer・Cを管理することができるので、ユーザにおいては、自由に認証Peerを設置・運営することができるという効果が得られる。
また、ユーザがサービスPeerの設置に応じて、認証Peerの負荷分散を検討し、未然に負荷集中の問題を回避することができる効果が得られる。
また、認証Peerの管理はユーザが行うことができるため、従来のように、サービス提供者が認証サーバを管理する必要がなくなり、管理コストが大幅に削減できる効果が得られる。
また、PKIを実装できないリソース制限のあるサービスPeerをインターネットなどのPKIレベルのセキュリティが必要とされるネットワークにおいても、利用することができる効果が得られる。
【0054】
なお、本実施形態において、認証Peer・Aは、認証Peer・BのIPアドレスをCP・10に問い合わせることにより、これを取得したが、本発明はこれに限られず、サービスPeer・2がサービスPeer・1に上述のArtifactとともに認証Peer・Bのアドレスを送信することで、認証Peer・AがCP・10へ問合せを行う処理を省略することも考えられる。
【0055】
以上、本発明の分散認証システムの実施形態として、1の認証Peerと1のサービスPeerの2又は3組からなる分散認証システムについて説明したが、本発明は、図11に示すように、この認証形態に限られるものではない。すなわち、認証Peer・Aが、SC−Aに属するサービスPeer・1〜サービスPeer・4の認証を代理し、認証Peer・Aが、SC−Dに属するサービスPeer・5〜サービスPeer・8の認証を代理するといった、1の認証Peerが複数のサービスPeerの認証を代理する構成であっても本発明に含まれるものである。
【0056】
なお、上述の分散認証処理に関する一連の処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0057】
【発明の効果】
以上説明したように、本発明は、第1〜第n(nは2以上の自然数)のサービス機器と、サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、第g(g=1、2、・・、n)のサービス機器が、この第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う認証手段と、第hの認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段と、第hの認証機器より、この第gのサービス機器が第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、認証情報を第iのサービス機器に対して送信する送信手段と、第k(k=1、2、・・、n ただしk≠g)のサービス機器より、第kのサービス機器がこの第gのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、認証情報を第hの認証機器に送信する送信手段と、第hの認証機器より、認証情報が正当であるか否かを示す認証結果を受信する受信手段と、認証結果に基づいて、第kのサービス機器と接続を確立する接続確立手段とを具備し、第hの認証機器が、第gのサービス機器と相互認証を行う認証手段と、第gのサービス機器よりアクセス要求を受信する受信手段と、第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、第jの認証機器に対して、第iのサービス機器へのアクセス要求を送信する送信手段と、第jの認証機器より、第gのサービス機器が第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、第gのサービス機器に対して、認証情報を送信する送信手段と、第kのサービス機器が第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを記憶する記憶手段と、第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m ただしl≠h)の認証機器と相互認証を行う認証手段と、第lの認証機器より第gのサービス機器へのアクセス要求を受信する受信手段と、アクセス要求に基づいて、認証テーブルを参照し、第kのサービス機器がこの第gのサービス機器と接続する権限を有することを示す認証情報を作成する認証情報作成手段と、認証情報に対して自身の署名を付与した後、第lの認証機器に対して送信する送信手段と、第gのサービス機器より認証情報を受信する受信手段と、認証情報の署名を検証し、認証情報が正当であるか否かを示す認証結果を作成する正当性確認手段と、認証結果を第gのサービス機器に対して送信する送信手段とを具備するので、ユーザが自由に認証情報を管理できると共に、リソース制限のある機器であっても、認証技術を適用でき、さらに、異なる認証方式を実装した機器を動的に認証システム内に追加することができる効果が得られる。
【図面の簡単な説明】
【図1】第1の実施形態の分散認証システムの全体構成を示す構成図である。
【図2】認証Peer・A〜認証Peer・Cの構成を示す構成図である。
【図3】サービスPeer・1〜サービスPeer・3の構成を示す構成図である。
【図4】不揮発性メモリ21に記憶されるデータを示す説明図である。
【図5】サービスPeer・1とサービスPeer・2の間の分散認証処理の流れを示すフローチャートである。
【図6】認証Peer・Aが発行するトークンの構成を示す構成図である。
【図7】認証Peer・C及びサービスPeer・3を動的にASC・SCに追加する様子を示す構成図である。
【図8】第2の実施形態の分散認証システムの全体構成を示す構成図である。
【図9】分散認証システムにおけるPeer間の認証方式の構成を示す構成図である。
【図10】第3の実施形態の分散認証システムの全体構成を示す構成図である。
【図11】1の認証Peerが複数のサービスPeerの認証を代理する分散認証システムの全体構成を示す構成図である。
【符号の説明】
A〜C…認証Peer
1〜3…サービスPeer
10…CP
20…CA

Claims (7)

  1. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、
    前記第g(g=1、2、・・、n)のサービス機器が、
    当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段
    を具備し、
    前記第hの認証機器が、
    前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、
    該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有するか否かを示す認証情報を受信する受信手段と、
    該認証情報に基づいて、該サービス機器間の接続を確立する接続確立手段と
    を具備する
    ことを特徴とする分散型認証システム。
  2. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、
    前記第g(g=1、2、・・、n)のサービス機器が、
    当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段
    を具備し、
    前記第hの認証機器が、
    前記第gのサービス機器より前記アクセス要求を受信する受信手段と、
    前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、
    該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、
    該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、
    該認証情報に基づいて、該サービス機器間の接続を確立する接続確立手段と
    を具備する
    ことを特徴とする分散型認証システム。
  3. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、
    前記第g(g=1、2、・・、n)のサービス機器が、
    当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う認証手段と、
    該第hの認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段と、
    該第hの認証機器より、当該第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、
    該認証情報を前記第iのサービス機器に対して送信する送信手段と、
    第k(k=1、2、・・、n ただしk≠g)のサービス機器より、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、
    該認証情報を前記第hの認証機器に送信する送信手段と、
    該第hの認証機器より、該認証情報が正当であるか否かを示す認証結果を受信する受信手段と、
    該認証結果に基づいて、前記第kのサービス機器と接続を確立する接続確立手段と
    を具備し、
    前記第hの認証機器が、
    前記第gのサービス機器と相互認証を行う認証手段と、
    該第gのサービス機器より前記アクセス要求を受信する受信手段と、
    前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、
    該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する送信手段と、
    該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する受信手段と、
    前記第gのサービス機器に対して、該認証情報を送信する送信手段と、
    前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを記憶する記憶手段と、
    前記第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m ただしl≠h)の認証機器と相互認証を行う認証手段と、
    該第lの認証機器より前記第gのサービス機器へのアクセス要求を受信する受信手段と、
    該アクセス要求に基づいて、前記認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を作成する認証情報作成手段と、
    該認証情報に対して、前記第lの認証機器に対して送信する送信手段と、
    前記第gのサービス機器より該認証情報を受信する受信手段と、
    該認証情報が正当であるか否かを示す認証結果を作成する正当性確認手段と、
    該認証結果を該第gのサービス機器に対して送信する送信手段と
    を具備する
    ことを特徴とする分散型認証システム。
  4. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムであって、
    前記第g(g=1、2、・・、n)のサービス機器が、
    当該第gのサービス機器に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う認証手段と、
    該第hの認証機器に対して、第i(i=1、2、・・、n ただしi≠g)のサービス機器へのアクセス要求を送信する送信手段と、
    該第hの認証機器が該アクセス要求を認証したことを示す認証証明識別情報を受信する受信手段と、
    該認証証明識別情報を前記第iのサービス機器に対して送信する送信手段と、
    前記第k(k=1、2、・・、n ただしk≠g)のサービス機器より、該第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m ただしl≠h)の認証機器が、当該第gのサービス機器へのアクセス要求を認証したことを示す認証証明識別情報を受信する受信手段と、
    該認証証明識別情報を該第hの認証機器に送信する送信手段と、
    該第hの認証機器より、前記認証証明識別情報が認証されたことを示す認証証明情報を受信する受信手段と、
    該認証証明情報に基づいて、前記第kのサービス機器と接続を確立する接続確立手段と
    を具備し、
    前記第hの認証機器が、
    前記第gのサービス機器と相互認証を行う認証手段と、
    該第gのサービス機器より前記第iのサービス機器へのアクセス要求を受信する受信手段と、
    当該第hの認証機器が該アクセス要求を認証したことを示す認証証明識別情報を作成する認証証明識別情報作成手段と、
    該第gのサービス機器に対して、該認証証明識別情報を送信する送信手段と、
    前記第iのサービス端末に代わって認証を行う第j(j=1、2、・・、m ただしj≠h)の認証機器と相互認証を行う認証手段と、
    該第jの認証機器より該認証証明識別情報を受信する受信手段と、
    該第jの認証機器に対して、該認証証明識別情報が認証されたことを示す認証証明情報を送信する送信手段と、
    前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを記憶する記憶手段と、
    前記第lの認証機器が、前記第gのサービス機器へのアクセス要求を認証したことを示す認証証明識別情報を前記第gのサービス機器より受信する受信手段と、
    前記第lの認証機器と相互認証を行う認証手段と、
    前記第lの認証機器へ該認証証明識別情報を送信する送信手段と、
    該第lの認証機器より該認証証明識別情報が認証されたことを示す認証証明情報を受信する受信手段と、
    前記認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証結果を作成する正当性確認手段と、
    該認証結果を該第gのサービス機器に対して送信する送信手段と
    を具備する
    ことを特徴とする分散型認証システム。
  5. 前記第hの認証機器とのネットワークを介する接続管理機器であって、
    前記第iのサービス機器と前記第jの認証機器との間の代理関係を記憶する記憶手段と、前記第hの認証機器から、前記第iのサービス機器に代わって認証を行う認証機器の検索要求を受信する受信手段と、
    該認証機器の検索を行う検索手段と、
    該検索結果を前記第hの認証機器に送信する送信手段と
    を具備する管理機器
    をさらに有することを特徴とする請求項1から請求項4のいずれかの項に記載の分散認証システム。
  6. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムにおいて、サービス機器に分散認証処理を実行させるための分散認証プログラムであって、
    自身に代わって認証を行う第h(h=1、2、・・、m)の認証機器と相互認証を行う処理と、
    該第hの認証機器に対して、第i(i=1、2、・・、n)のサービス機器へのアクセス要求を送信する処理と、
    該第hの認証機器より、前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する処理と、
    該認証情報を前記第iのサービス機器に対して送信する処理と、
    第k(k=1、2、・・、n)のサービス機器より、該第kのサービス機器が自身と接続する権限を有することを示す認証情報を受信する処理と、
    該認証情報を前記第hの認証機器に送信する処理と、
    該第hの認証機器より、該認証情報が正当であるか否かを示す認証結果を受信する処理と、
    該認証結果に基づいて、前記第kのサービス機器と接続を確立する処理と
    をコンピュータに実行させるための分散認証プログラム。
  7. 第1〜第n(nは2以上の自然数)のサービス機器と、該サービス機器に代わって認証処理を行う第1〜第m(mは2以上n以下の自然数)の認証機器とをネットワークを介して接続して構成される分散型認証システムにおいて、認証機器に分散認証処理を実行させるための分散認証プログラムであって、
    自身が認証を代理する第g(g=1、2、・・、n)のサービス機器と相互認証を行う処理と、
    該第gのサービス機器より第i(i=1、2、・・、n)のサービス機器へのアクセス要求を受信する処理と、
    前記第iのサービス機器に代わって認証処理を行う第j(j=1、2、・・、m)の認証機器と相互認証を行う処理と、
    該第jの認証機器に対して、前記第iのサービス機器へのアクセス要求を送信する処理と、
    該第jの認証機器より、前記第gのサービス機器が前記第iのサービス機器と接続する権限を有することを示す認証情報を受信する処理と、
    前記第gのサービス機器に対して、該認証情報を送信する処理と、
    前記第kのサービス機器に代わって認証を行う第l(l=1、2、・・、m)の認証機器と相互認証を行う処理と、
    該第lの認証機器より前記第gのサービス機器へのアクセス要求を受信する処理と、
    該アクセス要求に基づいて、前記第kのサービス機器が前記第gのサービス機器にアクセスする権限を有するか否かを予め定めた認証テーブルを参照し、該第kのサービス機器が当該第gのサービス機器と接続する権限を有することを示す認証情報を作成する処理と、
    該認証情報に対して自身の署名を付与した後、前記第lの認証機器に対して送信する処理と、
    前記第gのサービス機器より該認証情報を受信する処理と、
    該認証情報の署名を検証し、該認証情報が正当であるか否かを示す認証結果を作成する処理と、
    該認証結果を該第gのサービス機器に対して送信する処理と
    をコンピュータに実行させるための分散認証プログラム。
JP2002336481A 2002-11-20 2002-11-20 分散型認証システム及び分散型認証プログラム Pending JP2004171274A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002336481A JP2004171274A (ja) 2002-11-20 2002-11-20 分散型認証システム及び分散型認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002336481A JP2004171274A (ja) 2002-11-20 2002-11-20 分散型認証システム及び分散型認証プログラム

Publications (1)

Publication Number Publication Date
JP2004171274A true JP2004171274A (ja) 2004-06-17

Family

ID=32700313

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002336481A Pending JP2004171274A (ja) 2002-11-20 2002-11-20 分散型認証システム及び分散型認証プログラム

Country Status (1)

Country Link
JP (1) JP2004171274A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140074357A (ko) * 2009-12-28 2014-06-17 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
JP2014526171A (ja) * 2011-06-30 2014-10-02 クアルコム,インコーポレイテッド ピアツーピアオーバーレイネットワーク内のデータオブジェクトに対するグループアクセス制御の容易化

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140074357A (ko) * 2009-12-28 2014-06-17 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
KR101712158B1 (ko) 2009-12-28 2017-03-06 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
JP2014526171A (ja) * 2011-06-30 2014-10-02 クアルコム,インコーポレイテッド ピアツーピアオーバーレイネットワーク内のデータオブジェクトに対するグループアクセス制御の容易化

Similar Documents

Publication Publication Date Title
JP3761557B2 (ja) 暗号化通信のための鍵配付方法及びシステム
JP5215289B2 (ja) 分散式の委任および検証のための方法、装置、およびシステム
KR100953095B1 (ko) 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법
US20020035685A1 (en) Client-server system with security function intermediary
KR100970771B1 (ko) 웹 서비스들 사이의 보안 협정 동적 교섭
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
JP5604176B2 (ja) 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム
Zhu et al. A private, secure, and user-centric information exposure model for service discovery protocols
JP2004046430A5 (ja)
JP4280036B2 (ja) アクセス権制御システム
JP2009086802A (ja) 認証仲介方法およびシステム
JP2014526171A (ja) ピアツーピアオーバーレイネットワーク内のデータオブジェクトに対するグループアクセス制御の容易化
JP2004046430A (ja) リモートアクセスシステム、リモートアクセス方法、リモートアクセスプログラム及びリモートアクセスプログラムが記録された記録媒体
Zhu et al. PrudentExposure: A private and user-centric service discovery protocol
KR20170106515A (ko) 다중 팩터 인증 기관
JP4130809B2 (ja) 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
WO2013040957A1 (zh) 单点登录的方法、系统和信息处理方法、系统
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
CN114189380A (zh) 一种基于零信任的物联网设备分布式认证系统及授权方法
JP4847483B2 (ja) 個人属性情報提供システムおよび個人属性情報提供方法
US20090055917A1 (en) Authentication method and authentication system using the same
JP4552785B2 (ja) 暗号化通信管理サーバ
JP2009217722A (ja) 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム
JP2005217679A (ja) 通信相手の認証を行う認証サーバ
JP2007334753A (ja) アクセス管理システムおよび方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061017

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070403