JP2004265028A - クライアント認証方法 - Google Patents
クライアント認証方法 Download PDFInfo
- Publication number
- JP2004265028A JP2004265028A JP2003053404A JP2003053404A JP2004265028A JP 2004265028 A JP2004265028 A JP 2004265028A JP 2003053404 A JP2003053404 A JP 2003053404A JP 2003053404 A JP2003053404 A JP 2003053404A JP 2004265028 A JP2004265028 A JP 2004265028A
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- file
- server
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】SSLに対応していないブラウザを用いた場合であっても、クライアント、サーバ間の認証を容易に行うことができる方法を提供する。
【解決手段】サーバ3が、サーバ用とクライアント端末用の認証ファイル10,20の2つを発行し、サーバ用の認証ファイル20を保存するステップと、クライアント端末5に対して前記サーバ3が発行したクライアント端末用の認証ファイル10を送信するステップと、前記クライアント端末5に対してクライアント用の認証ファイル10の送信を求めるステップと、前記受信したクライアント用の認証ファイル10とサーバ用の認証ファイル20を比較し、前記比較の結果、両者が一致した場合は、当該クライアント端末に対する認証を許可するステップとを備える。
【選択図】 図2
【解決手段】サーバ3が、サーバ用とクライアント端末用の認証ファイル10,20の2つを発行し、サーバ用の認証ファイル20を保存するステップと、クライアント端末5に対して前記サーバ3が発行したクライアント端末用の認証ファイル10を送信するステップと、前記クライアント端末5に対してクライアント用の認証ファイル10の送信を求めるステップと、前記受信したクライアント用の認証ファイル10とサーバ用の認証ファイル20を比較し、前記比較の結果、両者が一致した場合は、当該クライアント端末に対する認証を許可するステップとを備える。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、クライアント、サーバ間の通信における相互の認証方法に関する。
【0002】
【従来の技術】
従来web(WWW)を利用したネットワーク通信、特にネットワークを利用した商取引を行うような場合には、通信の安全のためにサーバおよびクライアントの認証が行われる場合がある。この認証の方法としては、SSL(セキュア・ソケット・レイヤー)を用いて行われる場合が多い。SSLを用いた通信においては、非特許文献1に開示の通り、まず、サーバー証明書がwebサーバからクライアントに送付され、その後にサーバー及びクライアントが鍵生成の元データを交換してそれぞれ共通鍵を生成する。そして、クライアントからwebサーバにクライアント証明書が送付されることによって、クライアント認証が行われる。サーバー認証及びクライアント認証が完了すると、暗号化データの通信が両者の間で開始される。
【0003】
上記のSSLの機能を用いて通信を行う場合は、利用されるブラウザにその機能が搭載されていることが前提となる。
【0004】
しかし、たとえばブラウザにSSL対応がなされていない場合、たとえば、古いバージョンのブラウザなどは、上記のクライアント認証機能を搭載していないものがある。そして、このように上記SSLに対応していないブラウザを用いては、SSLによるクライアント認証を行うことはできず、結果としてSSL通信を行うことはできなかった。
【0005】
【非特許文献1】
日本ベリサイン株式会社 ”ベリサイン サーバIDとSSL(セキュア・ソケット・レイヤー)暗号化通信”、[online]、平成14年11月検索、インターネット<URL:http://www.verisign.co.jp/repository/faq/SSL/>
【0006】
【発明が解決しようとする課題】
したがって、本発明が解決しようとする技術的課題は、SSLに対応していないブラウザを用いた場合であっても、クライアント、サーバ間の認証を容易に行うことができる方法を提供することである。
【0007】
【課題を解決するための手段】
本発明は、上記技術的課題を解決するために、以下のクライアント認証方法を提供する。
【0008】
クライアント認証方法は、クライアント端末とサーバとの間の認証を行う方法であって、サーバが、サーバ用とクライアント端末用の認証ファイルの2つを発行し、サーバ用の認証ファイルを保存するステップと、クライアント端末に対して前記サーバが発行したクライアント端末用の認証ファイルを送信するステップと、前記クライアント端末に対してクライアント用の認証ファイルの送信を求めるステップと、前記受信したクライアント用の認証ファイルとサーバ用の認証ファイルを比較し、前記比較の結果、両者が一致した場合は、当該クライアント端末に対する認証を許可するステップとを備える。
【0009】
上記クライアント認証方法は、SSL認証機能を備えていないブラウザにおいてもクライアント認証を行うことができる。すなわち、サーバによって発行された認証ファイルをクライアント端末に予め配布しておき、同じ認証ファイルをサーバが保存する。そして、クライアントから、認証を求められた場合に、クライアントに対して、当該認証ファイルを送信するように求め、当該受信した認証ファイルを保存している認証ファイルと比較することによって、クライアントが正規のものであるかの認証を行う。
【0010】
上記方法によれば、ブラウザにSSLによるクライアント認証機能が備わっていない場合であっても、サーバは、当該通信相手であるクライアントが正規のものであるかについての認証を行うことができる。
【0011】
本発明のクライアント認証方法は、具体的には以下のように種々の態様で構成することができる。
【0012】
前記認証ファイルは、テキストデータを保存可能であり、パスワードによる保護がなされたファイルであることが好ましい。
【0013】
上記方法において、認証ファイルは、クライアントの認証に用いられるものであるから、その内容が改変されないようにし、また、サーバ側でその内容を容易に認識することができるようにすること望ましい。上記方法においてテキストデータにより保存することで認識を容易にすることができ、パスワードで保護することにより、クライアント端末側での内容の改変を防止することができる。
【0014】
好ましくは、前記クライアント端末用の認証ファイルは、パスワードつきの圧縮ファイルに変換された状態で、前記クライアント端末に送信される。
【0015】
上記方法において、認証ファイルは、クライアントの認証に用いられるものであるから、第三者にわたって不正使用されることを防止することが好ましい。上記方法において、認証ファイルを送信する場合に、パスワードつきの圧縮ファイルに変換することにより、当該パスワードを知らない第三者による使用を防止することができる。
【0016】
【発明の実施の形態】
以下、本発明に係るクライアント認証方法を使用したネットワークシステムの一実施形態について、図面を参照しながら説明する。
【0017】
図1は、本発明に係るクライアント認証方法を使用したネットワークシステムのシステム構成を示す図である。本ネットワークシステムは、管理者側装置1とクライアント端末5とから構成され、両者がインターネットINで接続されている。管理者側装置1は、webデータ又はアプリケーションを公開するためのwebサーバ2、データベースとして機能するDBサーバ3、サーバ認証を行う認証サーバ4から構成されている。なお、実際には、管理者側装置1を構成する各サーバ2、3、4間の通信もインターネットを用いて行われてもよいが、図1は説明の便宜上、インターネットINとは別のネットワークによって通信するように記載している。
【0018】
また、クライアント端末5は、当該管理者側装置1のwebサーバ2と通信を行う端末であり、webサーバによって提供されるwebデータ又はアプリケーションを利用する不特定多数の者が利用する端末である。図1には、クライアント端末5は1つしか記載されていないが、実際のシステムとしては、多数のクライアント端末がネットワーク上に存在する。
【0019】
クライアント端末5は、後述するように、予め管理者側装置1から配布されたクライアント証明書A10を格納している(図3参照)。当該クライアント証明書A10は、管理者用装置1のDBサーバ3によって発行されたものであり、管理者用装置1のDBサーバ3には、同じファイルであるクライアント証明書B20と証明書管理ファイル30とが格納されている。証明書管理ファイル30は、発行されたクライアント証明書に関する情報を一覧形式にして保存したファイルである。
【0020】
図2は、図1に示すネットワークシステムの処理手順を説明する図である。前提として、クライアント証明書A10がクライアント端末に格納されていることとする。クライアント証明書A10のクライアント端末5への配布については後述する。
【0021】
まず、クライアント端末が、所定のURLへアクセスし(#10)、認証が必要となると、認証サーバ4からサーバ証明書が発行される(#11)。本実施形態においては、サーバ証明書は、SSLの認証機能を用いており、認証サーバは、SSLのサービスを提供している運営者が管理するサーバを用いることができる。すなわち、webサーバ2は、認証サーバから受け取ったサーバ証明書を当該クライアント端末に送信する(#12)。当該サーバ証明書を取得したクライアント端末5は、webサーバ2のサーバ認証が終了するとその旨をwebサーバに通知する。webサーバは、ログイン画面をクライアント端末5に表示させ、クライアントのパスワードの入力を求める(#13)。
【0022】
ログインが終了すると、webサーバ2は、クライアント端末5に予め配布しているクライアント証明書の送付を要求する。クライアント端末5からクライアント証明書が送付(#15)されると、webサーバ2は、当該クライアント証明書A10を確認し(#16)、正規のものであると判断すると、当該認証クライアントに特定のアプリケーション又はデータを公開する(#17)。
【0023】
次に、本実施形態にかかるシステムの全体的な処理の流れについて説明する。図3は、クライアント証明書が発行される処理フローを説明する図である。クライアント証明書は、管理者側装置1のDBサーバにより作成され、図3に示すようにクライアント端末5及びDBサーバ3に格納される。本実施形態では、クライアント証明書は、PDFファイルを用いて構成されている。また、そのファイル名は、拡張子「.pdf」を付すことなく構成されており、クライアント端末の利用者が当該ファイルを誤って実行させた場合に、自動的にアプリケーションが起動しないようになっている。
【0024】
後述するように、証明書の認証において比較対照される項目の1つであるファイル名として、適用されるアプリケーション名、管理者名を示すコード、ファイル作成日の情報を含めて構成されている。このように、ファイル名の構成を一律に決定しておくことにより、認証時の比較の処理を容易にすることができる。
【0025】
クライアント証明書のファイル構成は、半角英数文字の情報のみで構成されており、クライアントの使用言語によらず、地域性を問わずに当該認証方法を使用することができる。また、ファイルの内容としては、当該クライアント証明書をユニークコードにするための暗号コード、発行年月日、発行者の情報が格納されている。これらの項目に限定することによりファイルサイズを小さくすることができ、認証のための処理うを迅速に行うことができる。
【0026】
図3に示すように、DBサーバ3によって作成されるクライアント証明書は、クライアント端末に配布されるクライアント証明書A10とDBサーバ3に格納されるクライアント証明書B20とが作成される。クライアント証明書A10は、クライアント端末へ配布されるにあたり、第三者による不正使用を防止するために、パスワードつきの圧縮ファイルに変換(#21)された後、クライアント端末に送信される。当該圧縮ファイルを受信したクライアント端末5は、当該圧縮ファイルを解凍して、クライアント証明書A10を取り出し(#22)、保存する(#23)。
【0027】
一方、DBサーバ3に保存されるクライアント証明書B20は、DBサーバ3に格納されている証明書管理ファイルに当該クライアント証明書についての情報を追加する更新(#31)を行った後、DBサーバ3の所定ディレクトリに格納される(#32)。
【0028】
証明書管理ファイル30は、ファイル名、ファイルサイズ、ファイルの有効期限などの当該クライアント証明書に関する情報のほか、クライアント証明書のファイルとして許容しうるファイルサイズの許容量の情報が管理されている。また、管理者側の操作により、次の設定切り替えができるように構成されている。
【0029】
証明書管理ファイル30は、クライアント認証を行うか否かの切り替え機能が設けられている。すなわち、通常時は当該認証機能をONの状態に設定しておき、ログインの後、後述の証明書送信画面(図5参照)が表示されるように構成されている。一方OFFに設定された場合は、ログインの後、証明書送信画面を表示することなく、アプリケーションを公開するように設定する。このようにクライアント認証機能の切り替えを行うことにより、たとえば、クライアント証明書を用いたクライアント認証に関連する運用トラブルが起こった場合であっても、当該利用者にアプリケーションを公開する必要がある場合などの問題を解消することができる。
【0030】
クライアント端末に、クライアント証明書A10が保存されると、上述したwebサーバの認証の処理が可能となる。図4は、管理者側装置の認証の処理のフロー図である。図2において説明したように、クライアント端末が、所定のURLへアクセスしサーバ認証が終了し、ログイン画面が表示(#40)されると、クライアント端末の利用者はパスワードを入力し、webサーバ2に送信する。パスワードを受信(#41)したwebサーバ2は、受信したパスワードが正しいかどうかについて確認を行う。パスワードが正しい場合は、図5に示す証明書送信画面をクライアント端末に表示する。
【0031】
一方、パスワードが正しくない場合は、ログインが失敗となりエラー表示(#50)がなされ、ログイン画面に戻る。
【0032】
証明書送信画面40は、図5に示すように、テキストボックス44が表示されている。テキストボックス44には、クライアント端末5に格納されているクライアント証明書のファイル名を入力する。テキストボックス44の隣に設けられている参照ボタンを選択することにより、クライアント端末のローカルフォルダ内からクライアント証明書のファイルを検索して、テキストボックス44にファイル名を入力することができる。
【0033】
なお、テキストボックス44にファイル名の入力を行うことなく、証明書送信ボタンを選択すると、図6に示すようなエラー画面が表示される。図6のエラー画面45は、エラー番号47及びエラー番号に対応したエラー内容48が表示されている。当該エラーの内容を利用者が確認したのち、OKボタン46を選択することにより、ログイン画面に戻る。
【0034】
テキストボックス44にファイル名の入力が終了したあと、証明書送信ボタン42を選択すると、当該クライアント証明書A10がDBサーバ3に送信される。一方、キャンセルボタン43を選択すると、ログイン画面に戻る。
【0035】
クライアント証明書をDBサーバが受信(#44)すると、当該受信したクライアント証明書が正しいかどうかについて判断される(#45)。クライアント証明書の判断は、1.ファイル名(クライアント証明書B20と比較)、2.クライアント証明書A10の有効期限(証明書管理ファイルにて判定)、3.クライアント証明書のファイルサイズの容量制限(証明書管理ファイルにて判定)、4.不正ファイルの判断(クライアント証明書のファイルのヘッダ情報がPDFになっているかによって判定)、5.クライアント証明書A10とクライアント証明書B20とのファイルサイズの比較、6.ファイルの内容の照合(クライアント証明書A10とクライアント証明書B20とのファイルの内容の比較)のすべての項目について行われる。
【0036】
上記判断の結果、送信されたクライアント証明書A10が正しいものでない場合は、図7に示す証明書エラー画面50が表示される(#48)。当該証明書エラー画面50には、エラー番号53及びエラー番号に対応したエラー内容54が表示されている。当該エラーの内容を利用者が確認したのち、OKボタン52を選択することにより、証明書送信画面40に戻る。
【0037】
一方、上記判断の結果、送信されたクライアント証明書A10が正しいものである場合は、2重ログインかどうかが判断される(#46)。2重ログインではない場合は、承認の接続が完了し、公開されるアプリケーションのTOPが面が表示される(#47)。
【0038】
ステップ#46において2重ログインであると判断された場合は、2重ログインエラー表示がなされ(#49)、ログイン画面に切り換わる。
【0039】
以上説明したように、本実施形態にかかるネットワークシステムを用いてクライアント認証方法を行うことにより、クライアント端末がSSL認証に対応していないブラウザを使用していても、クライアント認証を行うことができる。
【0040】
なお、本発明は上記実施形態に限定されるものではなく、その他種々の態様で実施可能である。
【0041】
たとえば、本実施形態においては、クライアント認証の前提として、SSLによるサーバ認証を行うこととしているが、当該サーバ認証を行うことなく、クライアント認証を行ってもよい。
【0042】
また、クライアント証明書として用いられるファイルとしては、PDFファイルに限られることなく、その他の種類のものであってもよい。ただし、上述のように、テキストデータを保存することができると共に、パスワードによる保護がなされる種類のファイルがなされることが好ましく、さらには、当該クライアント証明書として用いられるファイルのアプリケーションが多くのブラウザにプラグインとして利用することができ、改ざん防止の機能を備えたものであることが好ましい。
【図面の簡単な説明】
【図1】本発明に係るクライアント認証方法を使用したネットワークシステムのシステム構成を示す図である。
【図2】図1に示すネットワークシステムの処理手順を説明する図である。
【図3】クライアント証明書が発行される処理フローを説明する図である。
【図4】管理者側装置の認証の処理のフロー図である。
【図5】証明書送信画面の画面表示例である。
【図6】エラー画面の画面表示例である。
【図7】証明書エラー画面の画面表示例である。
【符号の説明】
1 管理者側装置
2 webサーバ
3 DBサーバ
4 認証サーバ
5 クライアント端末
10 クライアント証明書A
20 クライアント証明書B
30 証明書管理ファイル
40 証明書送信画面
45 エラー画面
50 証明書エラー画面
IN インターネット
【発明の属する技術分野】
本発明は、クライアント、サーバ間の通信における相互の認証方法に関する。
【0002】
【従来の技術】
従来web(WWW)を利用したネットワーク通信、特にネットワークを利用した商取引を行うような場合には、通信の安全のためにサーバおよびクライアントの認証が行われる場合がある。この認証の方法としては、SSL(セキュア・ソケット・レイヤー)を用いて行われる場合が多い。SSLを用いた通信においては、非特許文献1に開示の通り、まず、サーバー証明書がwebサーバからクライアントに送付され、その後にサーバー及びクライアントが鍵生成の元データを交換してそれぞれ共通鍵を生成する。そして、クライアントからwebサーバにクライアント証明書が送付されることによって、クライアント認証が行われる。サーバー認証及びクライアント認証が完了すると、暗号化データの通信が両者の間で開始される。
【0003】
上記のSSLの機能を用いて通信を行う場合は、利用されるブラウザにその機能が搭載されていることが前提となる。
【0004】
しかし、たとえばブラウザにSSL対応がなされていない場合、たとえば、古いバージョンのブラウザなどは、上記のクライアント認証機能を搭載していないものがある。そして、このように上記SSLに対応していないブラウザを用いては、SSLによるクライアント認証を行うことはできず、結果としてSSL通信を行うことはできなかった。
【0005】
【非特許文献1】
日本ベリサイン株式会社 ”ベリサイン サーバIDとSSL(セキュア・ソケット・レイヤー)暗号化通信”、[online]、平成14年11月検索、インターネット<URL:http://www.verisign.co.jp/repository/faq/SSL/>
【0006】
【発明が解決しようとする課題】
したがって、本発明が解決しようとする技術的課題は、SSLに対応していないブラウザを用いた場合であっても、クライアント、サーバ間の認証を容易に行うことができる方法を提供することである。
【0007】
【課題を解決するための手段】
本発明は、上記技術的課題を解決するために、以下のクライアント認証方法を提供する。
【0008】
クライアント認証方法は、クライアント端末とサーバとの間の認証を行う方法であって、サーバが、サーバ用とクライアント端末用の認証ファイルの2つを発行し、サーバ用の認証ファイルを保存するステップと、クライアント端末に対して前記サーバが発行したクライアント端末用の認証ファイルを送信するステップと、前記クライアント端末に対してクライアント用の認証ファイルの送信を求めるステップと、前記受信したクライアント用の認証ファイルとサーバ用の認証ファイルを比較し、前記比較の結果、両者が一致した場合は、当該クライアント端末に対する認証を許可するステップとを備える。
【0009】
上記クライアント認証方法は、SSL認証機能を備えていないブラウザにおいてもクライアント認証を行うことができる。すなわち、サーバによって発行された認証ファイルをクライアント端末に予め配布しておき、同じ認証ファイルをサーバが保存する。そして、クライアントから、認証を求められた場合に、クライアントに対して、当該認証ファイルを送信するように求め、当該受信した認証ファイルを保存している認証ファイルと比較することによって、クライアントが正規のものであるかの認証を行う。
【0010】
上記方法によれば、ブラウザにSSLによるクライアント認証機能が備わっていない場合であっても、サーバは、当該通信相手であるクライアントが正規のものであるかについての認証を行うことができる。
【0011】
本発明のクライアント認証方法は、具体的には以下のように種々の態様で構成することができる。
【0012】
前記認証ファイルは、テキストデータを保存可能であり、パスワードによる保護がなされたファイルであることが好ましい。
【0013】
上記方法において、認証ファイルは、クライアントの認証に用いられるものであるから、その内容が改変されないようにし、また、サーバ側でその内容を容易に認識することができるようにすること望ましい。上記方法においてテキストデータにより保存することで認識を容易にすることができ、パスワードで保護することにより、クライアント端末側での内容の改変を防止することができる。
【0014】
好ましくは、前記クライアント端末用の認証ファイルは、パスワードつきの圧縮ファイルに変換された状態で、前記クライアント端末に送信される。
【0015】
上記方法において、認証ファイルは、クライアントの認証に用いられるものであるから、第三者にわたって不正使用されることを防止することが好ましい。上記方法において、認証ファイルを送信する場合に、パスワードつきの圧縮ファイルに変換することにより、当該パスワードを知らない第三者による使用を防止することができる。
【0016】
【発明の実施の形態】
以下、本発明に係るクライアント認証方法を使用したネットワークシステムの一実施形態について、図面を参照しながら説明する。
【0017】
図1は、本発明に係るクライアント認証方法を使用したネットワークシステムのシステム構成を示す図である。本ネットワークシステムは、管理者側装置1とクライアント端末5とから構成され、両者がインターネットINで接続されている。管理者側装置1は、webデータ又はアプリケーションを公開するためのwebサーバ2、データベースとして機能するDBサーバ3、サーバ認証を行う認証サーバ4から構成されている。なお、実際には、管理者側装置1を構成する各サーバ2、3、4間の通信もインターネットを用いて行われてもよいが、図1は説明の便宜上、インターネットINとは別のネットワークによって通信するように記載している。
【0018】
また、クライアント端末5は、当該管理者側装置1のwebサーバ2と通信を行う端末であり、webサーバによって提供されるwebデータ又はアプリケーションを利用する不特定多数の者が利用する端末である。図1には、クライアント端末5は1つしか記載されていないが、実際のシステムとしては、多数のクライアント端末がネットワーク上に存在する。
【0019】
クライアント端末5は、後述するように、予め管理者側装置1から配布されたクライアント証明書A10を格納している(図3参照)。当該クライアント証明書A10は、管理者用装置1のDBサーバ3によって発行されたものであり、管理者用装置1のDBサーバ3には、同じファイルであるクライアント証明書B20と証明書管理ファイル30とが格納されている。証明書管理ファイル30は、発行されたクライアント証明書に関する情報を一覧形式にして保存したファイルである。
【0020】
図2は、図1に示すネットワークシステムの処理手順を説明する図である。前提として、クライアント証明書A10がクライアント端末に格納されていることとする。クライアント証明書A10のクライアント端末5への配布については後述する。
【0021】
まず、クライアント端末が、所定のURLへアクセスし(#10)、認証が必要となると、認証サーバ4からサーバ証明書が発行される(#11)。本実施形態においては、サーバ証明書は、SSLの認証機能を用いており、認証サーバは、SSLのサービスを提供している運営者が管理するサーバを用いることができる。すなわち、webサーバ2は、認証サーバから受け取ったサーバ証明書を当該クライアント端末に送信する(#12)。当該サーバ証明書を取得したクライアント端末5は、webサーバ2のサーバ認証が終了するとその旨をwebサーバに通知する。webサーバは、ログイン画面をクライアント端末5に表示させ、クライアントのパスワードの入力を求める(#13)。
【0022】
ログインが終了すると、webサーバ2は、クライアント端末5に予め配布しているクライアント証明書の送付を要求する。クライアント端末5からクライアント証明書が送付(#15)されると、webサーバ2は、当該クライアント証明書A10を確認し(#16)、正規のものであると判断すると、当該認証クライアントに特定のアプリケーション又はデータを公開する(#17)。
【0023】
次に、本実施形態にかかるシステムの全体的な処理の流れについて説明する。図3は、クライアント証明書が発行される処理フローを説明する図である。クライアント証明書は、管理者側装置1のDBサーバにより作成され、図3に示すようにクライアント端末5及びDBサーバ3に格納される。本実施形態では、クライアント証明書は、PDFファイルを用いて構成されている。また、そのファイル名は、拡張子「.pdf」を付すことなく構成されており、クライアント端末の利用者が当該ファイルを誤って実行させた場合に、自動的にアプリケーションが起動しないようになっている。
【0024】
後述するように、証明書の認証において比較対照される項目の1つであるファイル名として、適用されるアプリケーション名、管理者名を示すコード、ファイル作成日の情報を含めて構成されている。このように、ファイル名の構成を一律に決定しておくことにより、認証時の比較の処理を容易にすることができる。
【0025】
クライアント証明書のファイル構成は、半角英数文字の情報のみで構成されており、クライアントの使用言語によらず、地域性を問わずに当該認証方法を使用することができる。また、ファイルの内容としては、当該クライアント証明書をユニークコードにするための暗号コード、発行年月日、発行者の情報が格納されている。これらの項目に限定することによりファイルサイズを小さくすることができ、認証のための処理うを迅速に行うことができる。
【0026】
図3に示すように、DBサーバ3によって作成されるクライアント証明書は、クライアント端末に配布されるクライアント証明書A10とDBサーバ3に格納されるクライアント証明書B20とが作成される。クライアント証明書A10は、クライアント端末へ配布されるにあたり、第三者による不正使用を防止するために、パスワードつきの圧縮ファイルに変換(#21)された後、クライアント端末に送信される。当該圧縮ファイルを受信したクライアント端末5は、当該圧縮ファイルを解凍して、クライアント証明書A10を取り出し(#22)、保存する(#23)。
【0027】
一方、DBサーバ3に保存されるクライアント証明書B20は、DBサーバ3に格納されている証明書管理ファイルに当該クライアント証明書についての情報を追加する更新(#31)を行った後、DBサーバ3の所定ディレクトリに格納される(#32)。
【0028】
証明書管理ファイル30は、ファイル名、ファイルサイズ、ファイルの有効期限などの当該クライアント証明書に関する情報のほか、クライアント証明書のファイルとして許容しうるファイルサイズの許容量の情報が管理されている。また、管理者側の操作により、次の設定切り替えができるように構成されている。
【0029】
証明書管理ファイル30は、クライアント認証を行うか否かの切り替え機能が設けられている。すなわち、通常時は当該認証機能をONの状態に設定しておき、ログインの後、後述の証明書送信画面(図5参照)が表示されるように構成されている。一方OFFに設定された場合は、ログインの後、証明書送信画面を表示することなく、アプリケーションを公開するように設定する。このようにクライアント認証機能の切り替えを行うことにより、たとえば、クライアント証明書を用いたクライアント認証に関連する運用トラブルが起こった場合であっても、当該利用者にアプリケーションを公開する必要がある場合などの問題を解消することができる。
【0030】
クライアント端末に、クライアント証明書A10が保存されると、上述したwebサーバの認証の処理が可能となる。図4は、管理者側装置の認証の処理のフロー図である。図2において説明したように、クライアント端末が、所定のURLへアクセスしサーバ認証が終了し、ログイン画面が表示(#40)されると、クライアント端末の利用者はパスワードを入力し、webサーバ2に送信する。パスワードを受信(#41)したwebサーバ2は、受信したパスワードが正しいかどうかについて確認を行う。パスワードが正しい場合は、図5に示す証明書送信画面をクライアント端末に表示する。
【0031】
一方、パスワードが正しくない場合は、ログインが失敗となりエラー表示(#50)がなされ、ログイン画面に戻る。
【0032】
証明書送信画面40は、図5に示すように、テキストボックス44が表示されている。テキストボックス44には、クライアント端末5に格納されているクライアント証明書のファイル名を入力する。テキストボックス44の隣に設けられている参照ボタンを選択することにより、クライアント端末のローカルフォルダ内からクライアント証明書のファイルを検索して、テキストボックス44にファイル名を入力することができる。
【0033】
なお、テキストボックス44にファイル名の入力を行うことなく、証明書送信ボタンを選択すると、図6に示すようなエラー画面が表示される。図6のエラー画面45は、エラー番号47及びエラー番号に対応したエラー内容48が表示されている。当該エラーの内容を利用者が確認したのち、OKボタン46を選択することにより、ログイン画面に戻る。
【0034】
テキストボックス44にファイル名の入力が終了したあと、証明書送信ボタン42を選択すると、当該クライアント証明書A10がDBサーバ3に送信される。一方、キャンセルボタン43を選択すると、ログイン画面に戻る。
【0035】
クライアント証明書をDBサーバが受信(#44)すると、当該受信したクライアント証明書が正しいかどうかについて判断される(#45)。クライアント証明書の判断は、1.ファイル名(クライアント証明書B20と比較)、2.クライアント証明書A10の有効期限(証明書管理ファイルにて判定)、3.クライアント証明書のファイルサイズの容量制限(証明書管理ファイルにて判定)、4.不正ファイルの判断(クライアント証明書のファイルのヘッダ情報がPDFになっているかによって判定)、5.クライアント証明書A10とクライアント証明書B20とのファイルサイズの比較、6.ファイルの内容の照合(クライアント証明書A10とクライアント証明書B20とのファイルの内容の比較)のすべての項目について行われる。
【0036】
上記判断の結果、送信されたクライアント証明書A10が正しいものでない場合は、図7に示す証明書エラー画面50が表示される(#48)。当該証明書エラー画面50には、エラー番号53及びエラー番号に対応したエラー内容54が表示されている。当該エラーの内容を利用者が確認したのち、OKボタン52を選択することにより、証明書送信画面40に戻る。
【0037】
一方、上記判断の結果、送信されたクライアント証明書A10が正しいものである場合は、2重ログインかどうかが判断される(#46)。2重ログインではない場合は、承認の接続が完了し、公開されるアプリケーションのTOPが面が表示される(#47)。
【0038】
ステップ#46において2重ログインであると判断された場合は、2重ログインエラー表示がなされ(#49)、ログイン画面に切り換わる。
【0039】
以上説明したように、本実施形態にかかるネットワークシステムを用いてクライアント認証方法を行うことにより、クライアント端末がSSL認証に対応していないブラウザを使用していても、クライアント認証を行うことができる。
【0040】
なお、本発明は上記実施形態に限定されるものではなく、その他種々の態様で実施可能である。
【0041】
たとえば、本実施形態においては、クライアント認証の前提として、SSLによるサーバ認証を行うこととしているが、当該サーバ認証を行うことなく、クライアント認証を行ってもよい。
【0042】
また、クライアント証明書として用いられるファイルとしては、PDFファイルに限られることなく、その他の種類のものであってもよい。ただし、上述のように、テキストデータを保存することができると共に、パスワードによる保護がなされる種類のファイルがなされることが好ましく、さらには、当該クライアント証明書として用いられるファイルのアプリケーションが多くのブラウザにプラグインとして利用することができ、改ざん防止の機能を備えたものであることが好ましい。
【図面の簡単な説明】
【図1】本発明に係るクライアント認証方法を使用したネットワークシステムのシステム構成を示す図である。
【図2】図1に示すネットワークシステムの処理手順を説明する図である。
【図3】クライアント証明書が発行される処理フローを説明する図である。
【図4】管理者側装置の認証の処理のフロー図である。
【図5】証明書送信画面の画面表示例である。
【図6】エラー画面の画面表示例である。
【図7】証明書エラー画面の画面表示例である。
【符号の説明】
1 管理者側装置
2 webサーバ
3 DBサーバ
4 認証サーバ
5 クライアント端末
10 クライアント証明書A
20 クライアント証明書B
30 証明書管理ファイル
40 証明書送信画面
45 エラー画面
50 証明書エラー画面
IN インターネット
Claims (4)
- クライアント端末とサーバとの間の認証を行う方法であって、
サーバが、サーバ用とクライアント端末用の認証ファイルの2つを発行し、サーバ用の認証ファイルを保存するステップと、
クライアント端末に対して前記サーバが発行したクライアント端末用の認証ファイルを送信するステップと、
前記クライアント端末に対してクライアント用の認証ファイルの送信を求めるステップと、
前記受信したクライアント用の認証ファイルとサーバ用の認証ファイルを比較し、前記比較の結果、両者が一致した場合は、当該クライアント端末に対する認証を許可するステップとを備えることを特徴とする、クライアント認証方法。 - 前記認証ファイルは、テキストデータを保存可能であり、パスワードによる保護がなされたファイルであることを特徴とする、請求項1に記載のクライアント認証方法。
- 前記クライアント端末用の認証ファイルは、パスワードつきの圧縮ファイルに変換された状態で、前記クライアント端末に送信されることを特徴とする、請求項1又は2に記載のクライアント認証方法。
- 前記比較は、前記認証ファイルのファイル名、有効期限、ファイルサイズ、ファイルの種類、ファイルの内容のうち少なくとも1以上の項目によって行われることを特徴とする、請求項1乃至3のいずれか1つに記載のクライアント認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003053404A JP2004265028A (ja) | 2003-02-28 | 2003-02-28 | クライアント認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003053404A JP2004265028A (ja) | 2003-02-28 | 2003-02-28 | クライアント認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004265028A true JP2004265028A (ja) | 2004-09-24 |
Family
ID=33118016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003053404A Pending JP2004265028A (ja) | 2003-02-28 | 2003-02-28 | クライアント認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004265028A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010044656A (ja) * | 2008-08-15 | 2010-02-25 | Tepco Systems Corp | 情報処理端末および管理サーバ |
| KR100998332B1 (ko) * | 2010-08-17 | 2010-12-03 | 송광호 | 파일 업로드를 통한 인증방법 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249253A (ja) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
| JP2001290882A (ja) * | 2000-04-06 | 2001-10-19 | Wanbishi Archives Co Ltd | 診療支援方法 |
| JP2002024177A (ja) * | 2000-07-10 | 2002-01-25 | Asia Shoken Insatsu Kk | 電子公証システムおよび電子公証方法 |
| JP2002123777A (ja) * | 2000-10-16 | 2002-04-26 | Dainippon Printing Co Ltd | アクセス管理方法およびサーバ装置 |
| JP2002535884A (ja) * | 1999-01-14 | 2002-10-22 | タンブルウィード コミュニケーションズ コーポレイション | ウェブをベースとする機密保護電子メールメッセージの配布 |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003060890A (ja) * | 2001-08-17 | 2003-02-28 | Printing Bureau Ministry Of Finance | 通信ネットワークを利用した個人認証システム |
-
2003
- 2003-02-28 JP JP2003053404A patent/JP2004265028A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249253A (ja) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
| JP2002535884A (ja) * | 1999-01-14 | 2002-10-22 | タンブルウィード コミュニケーションズ コーポレイション | ウェブをベースとする機密保護電子メールメッセージの配布 |
| JP2001290882A (ja) * | 2000-04-06 | 2001-10-19 | Wanbishi Archives Co Ltd | 診療支援方法 |
| JP2002024177A (ja) * | 2000-07-10 | 2002-01-25 | Asia Shoken Insatsu Kk | 電子公証システムおよび電子公証方法 |
| JP2002123777A (ja) * | 2000-10-16 | 2002-04-26 | Dainippon Printing Co Ltd | アクセス管理方法およびサーバ装置 |
| JP2003006161A (ja) * | 2001-06-20 | 2003-01-10 | Mitsubishi Electric Corp | クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム |
| JP2003060890A (ja) * | 2001-08-17 | 2003-02-28 | Printing Bureau Ministry Of Finance | 通信ネットワークを利用した個人認証システム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010044656A (ja) * | 2008-08-15 | 2010-02-25 | Tepco Systems Corp | 情報処理端末および管理サーバ |
| KR100998332B1 (ko) * | 2010-08-17 | 2010-12-03 | 송광호 | 파일 업로드를 통한 인증방법 |
| WO2012023746A2 (ko) * | 2010-08-17 | 2012-02-23 | (주)위드인터페이스 | 파일 업로드를 통한 인증방법 |
| WO2012023746A3 (ko) * | 2010-08-17 | 2012-04-12 | (주)위드인터페이스 | 파일 업로드를 통한 인증방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| JP4128610B1 (ja) | サーバ証明書発行システム | |
| US9130758B2 (en) | Renewal of expired certificates | |
| US8104074B2 (en) | Identity providers in digital identity system | |
| KR100872099B1 (ko) | 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 | |
| JP3761557B2 (ja) | 暗号化通信のための鍵配付方法及びシステム | |
| US20070204325A1 (en) | Personal identification information schemas | |
| US10397008B2 (en) | Management of secret data items used for server authentication | |
| US20090089870A1 (en) | System and method for validating interactions in an identity metasystem | |
| JP2010056717A (ja) | サーバ証明書発行システム | |
| US20110113240A1 (en) | Certificate renewal using enrollment profile framework | |
| JP2004304304A (ja) | 電子署名生成方法,電子署名検証方法,電子署名生成依頼プログラム,及び電子署名検証依頼プログラム | |
| JP2006157399A (ja) | 電子署名付き電子文書交換支援方法及び情報処理装置 | |
| US8520840B2 (en) | System, method and computer product for PKI (public key infrastructure) enabled data transactions in wireless devices connected to the internet | |
| EP1398903B1 (en) | Digital signature validation and generation | |
| JP3711931B2 (ja) | 電子メールシステム、その処理方法及びそのプログラム | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| JP4552785B2 (ja) | 暗号化通信管理サーバ | |
| JP2004265028A (ja) | クライアント認証方法 | |
| JP2002132996A (ja) | 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム | |
| JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム | |
| JP2005222488A (ja) | ユーザ認証システム、情報配信サーバ、およびユーザ認証方法 | |
| JP2007184993A (ja) | 暗号化通信のための鍵配付方法及びシステム | |
| JP2006165793A (ja) | 文書データ同一性検証装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060213 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20081003 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090325 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090813 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091027 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100323 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100615 |