JP2005157845A - サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 - Google Patents
サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 Download PDFInfo
- Publication number
- JP2005157845A JP2005157845A JP2003397133A JP2003397133A JP2005157845A JP 2005157845 A JP2005157845 A JP 2005157845A JP 2003397133 A JP2003397133 A JP 2003397133A JP 2003397133 A JP2003397133 A JP 2003397133A JP 2005157845 A JP2005157845 A JP 2005157845A
- Authority
- JP
- Japan
- Prior art keywords
- client
- user
- ssl
- certificate
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 ユーザIDやパスワードを管理すること無く、SSLクライアント証明書を用いてアクセスすることができるシステムを提供する。
【解決手段】 SSLのクライアント認証を行うことによりクライアント端末101からネットワークを通じてログインするクライアントサーバシステムにおいて、ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSLクライアント認証を行うことにより、クライアント端末101からSSLサーバ102にアクセスし、SSLサーバ102のユーザ情報抽出手段102Bはクライアント証明書の中からユーザ情報を抽出し、認証サーバ103のユーザ認証手段103Aは抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証し、認証されたユーザに対してアプリケーションサーバ104のアプリケーション104Aを起動するようにした。
【選択図】 図5
【解決手段】 SSLのクライアント認証を行うことによりクライアント端末101からネットワークを通じてログインするクライアントサーバシステムにおいて、ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSLクライアント認証を行うことにより、クライアント端末101からSSLサーバ102にアクセスし、SSLサーバ102のユーザ情報抽出手段102Bはクライアント証明書の中からユーザ情報を抽出し、認証サーバ103のユーザ認証手段103Aは抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証し、認証されたユーザに対してアプリケーションサーバ104のアプリケーション104Aを起動するようにした。
【選択図】 図5
Description
この発明は、信頼のある認証局CAから発行されたクライアント証明書を用いてSSLのクライアント認証を行うことによりクライアント端末からネットワークを通じてサーバにログインするクライアントサーバシステムに関するものである。
SSL(Secure Socket Layor)認証技術は、NetScape Communication社が開発したインターネットにおけるセキュリティシステムである。このSSL認証技術は、IETF(Internet Engineering Task Force)による標準化も行なわれており、RFC(Request For Comment)2246にTLS(Transport Layer Security)として定義されている。そして、SSL認証技術は、Webサーバとクライアントの間の通信を暗号化するなどの目的に利用され、多くのWebサーバやブラウザでサポートされている。このSSLでは、サーバ認証、クライアント認証、暗号通信、メッセージ認証という機能を実現している。そして、暗号通信では通信路上での盗聴を防止し、サーバ認証では他のサーバのなりすましを防止し、クライアント認証では非権限者からサーバへの不正アクセスを防止し、メッセージ認証では通信路での改ざんを防止する効果を奏する。
SSLでのクライアント認証には、信頼された認証局CA(Certification Authority)の証明書、認証局CAから発行されたクライアント証明書、認証局CAの秘密鍵、認証局CAから発行されたサーバ証明書が必要となる。これらの証明書を利用して通信路を暗号化することができる。また、クライアント端末から送信されるクライアント認証書をPKI(Public Key Infrastructure)の枠組みの中で検証することにより、信頼される認証局CAから発行された証明書であることを確認し、不特定ユーザでないことを保証している。
一方、ネットワークシステムのセキュリティ管理方法として、特開平10−269184号公報(特許文献1)に示すものがあった。そこでは、クライアントから業務サーバへ証明証の情報を送信して業務要求を行い、業務サーバから統合認証サーバへ証明証の情報を送信して証明証の確認要求を行う。統合認証サーバは、証明証の確認を行った後、サーバから当該ユーザのセキュリティ情報を取得してユーザの業務サーバをアクセスする権限をチェックする。正当なアクセスであれば、業務サーバへユーザID、パスワード、データへのアクセス制御情報を送る。業務サーバはユーザの認証処理を行い、以後データへのアクセス権限を管理する。
従来のSSLにおけるクライアント認証では、SSLサーバに送付するクライアント証明書の電子署名の検証のみを行い、信頼された認証局CAから発行された証明書を持っているか否かのみの判定しか行っていなかった。この場合、ユーザによる動的なアクセス制御を行うことは困難であった。
この発明は、上記のような課題を解決するためになされたものであり、SSL認証システムとユーザ認証システムを連携することで、ユーザの特定を行い、ユーザの利用できるアプリケーションをコントロールしたり、利用できるコンテンツを制御することなどが可能になる。
また、本発明は、特開平10−269184号公報(特許文献1)と異なり、SSLサーバの利用により、SSL通信を行うための証明書を利用している。そのため、通信の暗号化とユーザ認証を一つの証明書で行うことが可能となる。
この発明は、認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)のクライアント認証を行うことによりクライアント端末からネットワークを通じてサーバにログインするクライアントサーバシステムにおいて、ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスし、クライアント証明書の中から上記ユーザ情報を抽出し、抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証し、認証されたユーザに対してアプリケーションを起動するようにした。
また、抽出されたユーザ情報に基づき当該ユーザが情報閲覧権限を有するユーザであるか否かを認証し、認証されたユーザに対して情報閲覧を許可するようにした。
また、通信対象マシン情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスし、クライアント証明書の中から通信対象マシン情報を抽出し、抽出された通信対象マシン情報に基づき当該通信対象マシンが登録されているか否かを認証し、認証された通信対象マシンとクライアント端末との間の通信を可能にするようにした。
この発明によれば、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書にユーザに固有のユーザ情報を含ませ、SSLサーバ側は、クライアント証明書の中からユーザ情報を抽出して当該ユーザがアプリケーション起動権限または情報を閲覧できる権限を有するユーザであるか否かを認証し、認証すればアプリケーションの起動権限または情報閲覧権限を与えるようにしたので、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的に所定のアプリケーションにログインしまたは所定の情報を閲覧することができる。
また、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書に通信対象マシンの情報を含ませ、SSLサーバ側は、クライアント証明書の中から通信対象マシンの情報を抽出して、通信可能なマシンが登録されているかを認証し、通信対象マシンとクライアント端末との間の通信を可能にするようにしたので、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的に通信対象マシンと通信することができる。
実施の形態1.
以下、この発明を実施するための最良の形態を図面に基づいて説明する。図1はこの発明の実施の形態1によるクライアントサーバシステムのネットワーク構成例を示す図である。
以下、この発明を実施するための最良の形態を図面に基づいて説明する。図1はこの発明の実施の形態1によるクライアントサーバシステムのネットワーク構成例を示す図である。
図1において、クライアント端末101と、電子証明書を発行可能な信頼された認証局(CA)201が、広域ネットワーク302であるインターネットに接続されている。そして、広域ネットワーク302であるインターネットは、ローカルエリアネットワーク(LAN)301に接続されている。このローカルエリアネットワーク301には、SSLサーバ102、認証サーバ103、アプリケーションサーバ104が接続されている。
図2は、上記クライアント端末101又は上記サーバ102、103,104の基本的ハードウエア構成例を示すブロック図である。
図2において、CPU(中央演算処理部)10、メモリ部11、通信機能部12、表示機能部13、入力部14、記録部15が共通のバス16に接続されている。CPU10は、メモリ部11に格納されたプログラムに従って動作する。メモリ部11は、RAM、ROMを有してCPU10において実行されるプログラムやデータを記憶する。通信機能部12は、通信インターフェースを備え、ネットワーク(広域ネットワーク302、LAN301)を介して他の通信部とデータ通信を行う。表示機能部13は情報を閲覧するためのモニタ等を示し、入力部14は各種コマンド等を入力するためのキーボードやマウス等の入力機器を示す。記録部15はハードディスク等を指し、プログラムの他、クライアント端末の記録部では認証局CAから発行されたクライアント証明書等、SSLサーバの記録部では認証局CAから発行されたサーバ証明書等を格納する。
認証局(CA)201は、PKI(Public Key Infrastructure)に基づく電子証明書を発行する機能を有している。認証局(CA)201は、例えば図3に示すように階層的に位置付けされた証明書を発行する。最上位の証明書は、認証局(CA)201自身を保証するためのCA証明書Rであり、その下位に位置する証明書は、SSLサーバ102を保証するためのサーバ証明書S、クライアント端末101を保証するためのクライアント証明書Cである。このように階層的に位置付けられた証明書は、最上位の証明書であるCA証明書Rの情報を用いて下位層のサーバ証明書S及びクライアント証明書Cの検証を行うことができるようになっている。
認証局(CA)201から発行されたサーバ証明書Sは、CA証明書Rと共にSSLサーバ102の記録部15に保存される。同様に、認証局(CA)201から発行されるクライアント証明書Cは、CA証明書Rと共にクライアント端末101の記録部15に保存される。
図4はクライアント端末101及びSSLサーバ102に保存された証明書を示す図である。図に示すように、SSLサーバ102には、CA証明書R、CA201の秘密鍵、サーバ証明書Sを格納している。サーバ証明書Sは、主体者S名(サーバ名)、公開鍵、発行者R名、住所、電子メールアドレス、SUBJECT、有効期限などのSSLサーバ102に関する情報が記述された証明書本体と、電子署名により構成されている。この電子署名は、証明書本体の情報を所定のアルゴリズムに従ってハッシュ処理してダイジェストを生成し、そのダイジェストをCA201の秘密鍵により暗号化することにより行われる。
また、クライアント端末101には、CA証明書R、CA201の秘密鍵、クライアント証明書Cを格納している。クライアント証明書Cは、主体者C名(クライアント名)、公開鍵、発行者R名、住所、電子メールアドレス、SUBJECT、有効期限などクライアント端末101に関する情報が記述された証明書本体と、電子署名により構成されている。ここで、本発明において特徴的な点は、認証局(CA)201が発行するCAクライアント証明書の構成の一部(例えばSubject)に、後述する認証サーバ103により一意に特定できるユーザ情報(例えばユーザID)を埋め込んでいる。なお、上述の電子署名は、証明書本体の情報を所定のアルゴリズムに従ってハッシュ処理してダイジェストを生成し、そのダイジェストをCA201の秘密鍵により暗号化することにより行われる。
図5は実施の形態1によるクライアント・サーバシステムの動作機能を説明するための図である。
図5において、クライアント端末101は、SSL通信を行うためのクライアント通信手段101Aを備えている。このクライアント通信手段101Aでは、クライアント端末101のCPU10が、メモリ部11のプログラムに従い、記録部15に格納された情報(CA証明書R、秘密鍵、クライアント証明書C)に基づいて、通信機能部12を介してSSLサーバ102との間でSSL通信を行う。
SSLサーバ102は、SSL通信を行うためのSSL通信手段102Aを備えている。このSSL通信手段102Aでは、SSLサーバ102のCPU10が、メモリ部11のプログラムに従い、記録部15に格納された情報(CA証明書R、秘密鍵、サーバ証明書S)に基づいて、通信機能部12を介してクライアント端末101との間でSSL通信を行う。
また、SSLサーバ102は、クライアント端末101から送信されるクライアント証明書Cの中からユーザ情報(例えばユーザID)を抽出するユーザ情報抽出部102Bを備えている。
認証サーバ103は、SSLサーバのユーザ情報抽出手段102Bにより抽出されたユーザ情報(例えばユーザID)に基づき、そのユーザが利用できるアプリケーションを選定するユーザ認証手段103Aを備えている。具体的には、ユーザ認証手段103Aは、SSLサーバ102からユーザ情報(ユーザID)を受け取ると、そのユーザが登録されているユーザであることを確認し、さらに所定のアプリケーションを起動できる権限を有するユーザであることを確認し、起動権限を有するユーザであればアプリケーションサーバ104に起動権限を与える。
アプリケーションサーバ104は、例えば出張旅費精算などの業務サービスを提供する機能を有するアプリケーション104Aを備えている。そして、アプリケーションサーバ104は、認証サーバ103から起動権限を受け取るとユーザであるクライアント端末101に当該アプリケーション104Aの起動を許可する。
次に、この発明の実施の形態1によるクライアント・サーバシステムの動作について図5に基づいて説明する。
(1)まず、クライアント端末101の記録部15に、信頼された認証局(CA)201から発行されたCA証明書R、秘密鍵、クライアント証明書Cをインストールする。このインストールは、広域ネットワーク(インターネット)302を介しても良いし、郵便等で送られてきた記録媒体を通じて行っても良い。なお、SSLサーバ102の記録部15には既にCA証明書R、秘密鍵、サーバ証明書Sはインストール済みである。
(2)次に、クライアント端末101は、クライアント通信手段101Aを通じて、SSLサーバ102を指定して所望のアプリケーションの起動要求を依頼する。これは、例えばクライアント端末101にインストールされているWeb(World Wide Web)ブラウザなどでURL(Uniform Resource Locator)を指定してSSLサーバ102にアクセスすることにより行われる。
(3)この起動要求に対して、SSLサーバ102のSSL通信手段102は、サーバ証明書Sを起動要求元のクライアント端末101に送信する。そして、クライアント端末101は、自身の記録部15に保存されているCA証明書Rの情報を用いてSSLサーバ102から送られてきたサーバ証明書Sの検証を行う。
サーバ証明書Sの検証に成功した場合、クライアント端末101は、接続先のSSLサーバ10がCA局30にて保証された正規のサービス提供者であると判断する。
(4)一方、SSLサーバ102のSSL通信手段102Aは、クライアント端末101の通信手段101Aに対してクライアント証明書Cの要求を行う。そして、SSLサーバ102は、自身の記録部15に保存されているCA証明書Rの情報を用いてクライアント端末101から送られてくるクライアント証明書Cの検証を行う。
(5)SSLサーバ102の通信手段102Aは、クライアント端末101から受け取ったクライアント証明書Cをユーザ情報抽出手段102Bに送り、ユーザ情報抽出手段102Bはクライアント証明書Cからユーザ情報を抽出する。すなわち、クライアント証明書Cの構成の一部(例えばSubject)に埋め込んでいるユーザ情報(例えばユーザID)を抽出する。
(6)SSLサーバ102のユーザ情報抽出手段102Bは、抽出したユーザ情報(ユーザID)を認証サーバ103のユーザ認証手段103Aに送付する。認証サーバ103のユーザ認証手段103Aは、送付されたユーザ情報(ユーザID)に該当するユーザが登録されているか否か、またはそのユーザにはサービスアプリケーションを起動する権限があるかどうかの認証を行う。
(7)ユーザ認証手段103Aが、ユーザ情報によりサービスアプリケーションを起動可能であると認証すれば、アプリケーションサーバ104に起動権限を与える。
(8)ユーザ認証手段103Aから起動権限を与えられると、クライアント端末101からアプリケーションサーバ104のサービスを受けることが可能になる。
以上のように、この発明の実施の形態1は、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書にユーザに固有のユーザ情報を含ませ、SSLサーバ側は、クライアント証明書の中からユーザ情報を抽出して当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証し、認証すればアプリケーションに起動権限を与えるようにした。そのため、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的に所定のアプリケーションにログインすることができる。
実施の形態2.
上記実施の形態1では、SSLサーバ102がクライアント証明書Cから抽出したユーザ情報に基づいてアプリケーションサーバ104を起動していたが、本実施の形態では、アプリケーションサーバ104の代わりに情報蓄積サーバ105を設置し、SSLサーバ102がクライアント証明書Cから抽出したユーザ情報に基づいて情報蓄積サーバ105の閲覧を可能にするようにする。
上記実施の形態1では、SSLサーバ102がクライアント証明書Cから抽出したユーザ情報に基づいてアプリケーションサーバ104を起動していたが、本実施の形態では、アプリケーションサーバ104の代わりに情報蓄積サーバ105を設置し、SSLサーバ102がクライアント証明書Cから抽出したユーザ情報に基づいて情報蓄積サーバ105の閲覧を可能にするようにする。
図6はこの発明の実施の形態2によるクライアントサーバシステムのネットワーク構成例を示す図である。
図6において、ローカルエリアネットワーク(LAN)301に、SSLサーバ102、認証サーバ103、情報蓄積サーバ105が接続されている。その他の構成は、図1と同様である。
図7は実施の形態2によるクライアント・サーバシステムの動作機能を説明するための図である。
図7において、認証サーバ103は、SSLサーバのユーザ情報抽出手段102Bにより抽出されたユーザ情報(例えばユーザID)に基づき、そのユーザが利用できる情報蓄積サーバ105を選定するユーザ認証手段103Aを備えている。具体的には、ユーザ認証手段103Aは、SSLサーバ102からユーザ情報(ユーザID)を受け取ると、そのユーザが登録されているユーザであることを確認し、さらに所定の情報蓄積サーバにアクセスできる権限を有するユーザであることを確認し、権限を有するユーザであれば情報蓄積サーバ105にアクセス権限を与える。
情報蓄積サーバ105は、認証サーバ103からアクセス権限を受け取ると、ユーザであるクライアント端末101に対して情報蓄積部105Aの閲覧を許可する。
なお、認証サーバ103のユーザ認証手段103Aにおいて、ユーザ情報として閲覧回数を制限する回数を蓄えておき、ユーザの閲覧回数を制限することもできる。
以上のように、この発明の実施の形態2は、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書にユーザに固有のユーザ情報を含ませ、SSLサーバ側は、クライアント証明書の中からユーザ情報を抽出して当該ユーザが情報閲覧権限を有するユーザであるか否かを認証し、認証すれば情報蓄積サーバへのアクセス権限を与えるようにした。そのため、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的に所定の情報蓄積サーバにアクセスすることができる。
実施の形態3.
図8はこの発明の実施の形態3によるクライアントサーバシステムのネットワーク構成例を示す図である。
図8はこの発明の実施の形態3によるクライアントサーバシステムのネットワーク構成例を示す図である。
実施の形態3では、図8に示すように、ローカルエリアネットワーク(LAN)301に、ネットワーク切替機106と通信対象マシン107が接続されている。その他の構成は、図1と同様である。
また、実施の形態3では、図9に示すように、クライアント端末101にインストールするクライアント証明書Cに、あらかじめ通信対象マシンの情報を組み込んでおく。ここで、通信対象マシンの情報とは、例えば通信対象マシンを特定するIPアドレスなどを意味する。
図10は実施の形態3によるクライアント・サーバシステムの動作機能を説明するための図である。
図10において、SSLサーバ102は、クライアント端末101から送信されるクライアント証明書Cの中から通信対象マシン情報を抽出するマシン情報抽出部102Cを備えている。
認証サーバ103は、SSLサーバのマシン情報抽出手段102Cにより抽出された通信対象マシン情報に基づき、そのユーザが通信できる通信対象マシンが登録されているか否かを認証するマシン認証手段103Bを備えている。
マシン認証手段103Bにおいて通信可能と登録されている通信対象マシンが存在すれば、認証サーバ103のマシン認証手段103Bはネットワーク切替機107に通信対象マシンの情報を送付する。ネットワーク切替機107のネットワーク切替手段106Aは送られた情報をもとにネットワークの切り替えを行い、クライアント端末101と通信対象マシン107との通信を行えるようにする。通信対象マシン107は複数あってもよく、その場合、クライアント証明書Cに組み込まれた通信対象マシンの情報により、ネットワークの切り替えを行う。
以上のように、この発明の実施の形態3は、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書に通信対象マシンの情報を含ませ、SSLサーバ側は、クライアント証明書の中から通信対象マシンの情報を抽出して、通信可能なマシンが登録されているかを認証し、通信対象マシンとクライアント端末との間の通信を可能にするようにした。そのため、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的に通信対象マシンと通信することができる。
実施の形態4.
上記実施の形態1では、SSLサーバ102で抽出されたユーザ情報に基づいて、認証サーバ103がユーザを認証し、アプリケーションサーバ104のアプリケーションを起動するようにしたが、本実施の形態では、SSLサーバ102がクライアント証明書Cから切り出すユーザ情報を、クライアント端末101に送り返すことで、クライアント端末101にインストールしてある特定のアプリケーションを起動するようにする。
上記実施の形態1では、SSLサーバ102で抽出されたユーザ情報に基づいて、認証サーバ103がユーザを認証し、アプリケーションサーバ104のアプリケーションを起動するようにしたが、本実施の形態では、SSLサーバ102がクライアント証明書Cから切り出すユーザ情報を、クライアント端末101に送り返すことで、クライアント端末101にインストールしてある特定のアプリケーションを起動するようにする。
図11はこの発明の実施の形態4によるクライアントサーバシステムのネットワーク構成例を示す図である。
図11において、特定のアプリケーションをインストールしたクライアント端末101と、電子証明書を発行可能な信頼された認証局(CA)201が、広域ネットワーク302であるインターネットに接続されている。そして、広域ネットワーク302であるインターネットは、ローカルエリアネットワーク(LAN)301に接続されている。このローカルエリアネットワーク301には、SSLサーバ102が接続されている。
図12は実施の形態4によるクライアント・サーバシステムの動作機能を説明するための図である。
図12において、クライアント端末101は、SSL通信を行うためのクライアント通信手段101Aを備えている。このクライアント通信手段101Aでは、クライアント端末101のCPU10が、メモリ部11のプログラムに従い、記録部15に格納された情報(CA証明書R、秘密鍵、クライアント証明書C)に基づいて、通信機能部12を介してSSLサーバ102との間でSSL通信を行う。
SSLサーバ102は、SSL通信を行うためのSSL通信手段102Aを備えている。このSSL通信手段102Aでは、SSLサーバ102のCPU10が、メモリ部11のプログラムに従い、記録部15に格納された情報(CA証明書R、秘密鍵、サーバ証明書S)に基づいて、通信機能部12を介してクライアント端末101との間でSSL通信を行う。
また、SSLサーバ102は、クライアント端末101から送信されるクライアント証明書Cの中からユーザ情報(例えばユーザID)を抽出するユーザ情報抽出部102Bを備えている。
一方、クライアント端末101は、ユーザ情報抽出手段102Bにより抽出されたユーザ情報(例えばユーザID)に基づき、そのユーザが利用できるアプリケーションを選定するユーザ認証手段101Bを備えている。具体的には、ユーザ認証手段101Bは、ユーザ情報(ユーザID)を受け取ると、そのユーザが登録されているユーザであることを確認し、さらに特定のアプリケーション101Cを起動できる権限を有するユーザであることを確認し、起動権限を有するユーザであればクライアント端末101にインストールしている特定のアプリケーション101Cを起動する。
以上のように、この発明の実施の形態4は、認証局CAから発行されたクライアント証明書を用いてSSLクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、クライアント証明書にユーザに固有のユーザ情報を含ませ、クライアント証明書の中からユーザ情報を抽出して当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証し、認証すればクライアント端末にインストールしたアプリケーションを起動するようにした。そのため、ユーザはユーザID、パスワード等を管理することなく、信頼できる認証局CAから発行されたクライアント証明書を用いたSSLクライアント認証を行うことで自動的にクライアント端末内の特定のアプリケーションにログインすることができる。
実施の形態5.
上記実施の形態では、クライアント端末101にユーザに固有なユーザ情報や通信対象マシンの情報を含むクライアント証明書Cをインストールしていたが、本実施の形態では、クライアント証明書Cを記録した記録媒体(ICカード等)を用意し、クライアント端末にこの記録媒体(ICカード等)読み取ることができる情報読取機(ICカード装置等)を備えるようにした。
上記実施の形態では、クライアント端末101にユーザに固有なユーザ情報や通信対象マシンの情報を含むクライアント証明書Cをインストールしていたが、本実施の形態では、クライアント証明書Cを記録した記録媒体(ICカード等)を用意し、クライアント端末にこの記録媒体(ICカード等)読み取ることができる情報読取機(ICカード装置等)を備えるようにした。
図13はこの発明の実施の形態5によるクライアントサーバシステムのネットワーク構成例を示す図であり、図14は実施の形態4によるクライアント・サーバシステムの動作機能を説明するための図である。
図13及び図14に示すように、ユーザに固有なユーザ情報や通信対象マシンの情報を含むクライアント証明書Cを記録したICカード(図示せず)を用意し、クライアント端末101にこのICカードを読み取ることができるICカード装置110を備える。そして、ICカード装置110により、ICカードに保存されたクライアント証明書Cを読み取り、SSL通信及びユーザ情報や通信対象マシン情報の抽出に使用する。
以上のように、この発明の実施の形態5によれば、ユーザに固有なユーザ情報や通信対象マシンの情報を含むクライアント証明書を記録した記録媒体(ICカード等)を用意し、クライアント端末にこの記録媒体を読み取ることができる情報読取機(ICカード装置等)を備えるようにしたので、クライアント端末にクライアント証明書をインストールする必要がなくなり、複数のクライアント端末で使用可能となる。
101 クライアント端末
101A クライアント通信手段
101B ユーザ認証手段
101C アプリケーション
102 SSLサーバ
102A SSL通信手段
102B ユーザ情報抽出手段
102C マシン情報抽出手段
103 認証サーバ
103A ユーザ認証手段
103B マシン認証手段
104 アプリケーションサーバ
104A アプリケーション
105 情報蓄積サーバ
105A 情報蓄積部
106 ネットワーク切替機
106A ネットワーク切替手段
107 通信対象マシン
110 ICカード装置
201 認証局(CA)
301 ローカルエリアネットワーク(LAN)
302 広域ネットワーク(インターネット)
101A クライアント通信手段
101B ユーザ認証手段
101C アプリケーション
102 SSLサーバ
102A SSL通信手段
102B ユーザ情報抽出手段
102C マシン情報抽出手段
103 認証サーバ
103A ユーザ認証手段
103B マシン認証手段
104 アプリケーションサーバ
104A アプリケーション
105 情報蓄積サーバ
105A 情報蓄積部
106 ネットワーク切替機
106A ネットワーク切替手段
107 通信対象マシン
110 ICカード装置
201 認証局(CA)
301 ローカルエリアネットワーク(LAN)
302 広域ネットワーク(インターネット)
Claims (10)
- 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)クライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、
上記クライアント証明書にユーザに固有のユーザ情報を含ませると共に、
上記サーバシステムは、上記クライアント端末との間でSSL(Secure Sockets Layer)通信を行うSSL通信手段と、上記クライアント端末から受け取る上記クライアント証明書の中から上記ユーザ情報を抽出するユーザ情報抽出手段とを備えたSSLサーバと、
上記抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるかを認証するユーザ認証手段を備えた認証サーバと、
上記ユーザ認証手段により認証された上記クライアント端末との間で起動されるアプリケーションを備えたアプリケーションサーバから構成されていることを特徴とするサーバシステム。 - 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)クライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、
上記クライアント証明書にユーザに固有のユーザ情報を含ませると共に、
上記サーバシステムは、上記クライアント端末との間でSSL(Secure Sockets Layer)通信を行うSSL通信手段と、上記クライアント端末から受け取る上記クライアント証明書の中から上記ユーザ情報を抽出するユーザ情報抽出手段とを有するSSLサーバと、
上記抽出されたユーザ情報に基づき当該ユーザが情報閲覧権限を有するユーザであるかを認証するユーザ認証手段を備えた認証サーバと、
上記ユーザ認証手段により認証された上記クライアント端末に対して情報を閲覧可能にする情報蓄積部を備えた情報蓄積サーバから構成されていることを特徴とするサーバシステム。 - 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)クライアント認証を行うことによりクライアント端末からネットワークを通じてログインするサーバシステムにおいて、
上記クライアント証明書に通信対象マシンの情報を含ませると共に、
上記サーバシステムは、上記クライアント端末との間でSSL(Secure Sockets Layer)通信を行うSSL通信手段と、上記クライアント端末から受け取る上記クライアント証明書の中から上記通信対象マシン情報を抽出するマシン情報抽出手段を備えたSSLサーバと、
上記抽出された通信対象マシン情報に基づき通信可能なマシンが登録されているかを認証するマシン認証手段を備えた認証サーバと、
上記マシン認証手段により認証された通信対象マシンと上記クライアント端末との間の通信を可能にするネットワーク切替機から構成されていることを特徴とするサーバシステム。 - 上記クライアント証明書をインストールすると共に、上記SSLサーバとの間でSSL(Secure Sockets Layer)通信を行うSSL通信手段を備えたクライアント端末をさらに備えたことを特徴とする請求項1から請求項3のいずれか1項に記載のクライアントサーバシステム。
- 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)クライアント認証を行うことによりクライアント端末からネットワークを通じてログインするクライアントサーバシステムにおいて、
上記クライアント端末は、ユーザに固有のユーザ情報を含むクライアント証明書をインストールすると共に、SSLサーバとの間でSSL(Secure Sockets Layer)通信を行うSSL通信手段を備え、
上記サーバシステムは、上記クライアント端末との間でSSL(Secure Sockets Layer)通信を行うSSL通信手段と、上記クライアント端末から受け取る上記クライアント証明書の中から上記ユーザ情報を抽出するユーザ情報抽出手段とを備え、
上記クライアント端末は、上記抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるかを認証するユーザ認証手段と、上記ユーザ認証手段により認証されたユーザに対して起動されるアプリケーションを備えていることを特徴とするクライアントサーバシステム。 - ユーザに固有なユーザ情報や通信対象マシンの情報を含む上記クライアント証明書を記録した記録媒体を用意し、上記クライアント端末に当該記録媒体読み取ることができる情報読取機を備えることを特徴とする請求項4または請求項5に記載のクライアントサーバシステム。
- 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)のクライアント認証を行うことによりクライアント端末からネットワークを通じてサーバにログインするクライアントサーバシステムのログイン方法において、
ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスするステップと、
上記クライアント証明書の中から上記ユーザ情報を抽出するステップと、
上記抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証するステップと、
上記認証された上記ユーザに対してアプリケーションを起動するステップからなるクライアントサーバシステムのログイン方法。 - 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)のクライアント認証を行うことによりクライアント端末からネットワークを通じてサーバにログインするクライアントサーバシステムのログイン方法において、
ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスするステップと、
上記クライアント証明書の中から上記ユーザ情報を抽出するステップと、
上記抽出されたユーザ情報に基づき当該ユーザが情報閲覧権限を有するユーザであるか否かを認証するステップと、
上記認証された上記ユーザに対して情報閲覧を許可するステップからなるクライアントサーバシステムのログイン方法。 - 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)のクライアント認証を行うことによりクライアント端末からネットワークを通じてサーバにログインするクライアントサーバシステムのログイン方法において、
通信対象マシン情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスするステップと、
上記クライアント証明書の中から上記通信対象マシン情報を抽出するステップと、
上記抽出された通信対象マシン情報に基づき当該通信対象マシンが登録されているか否かを認証するステップと、
上記認証された通信対象マシンと上記クライアント端末との間の通信を可能にするステップからなるクライアントサーバシステムのログイン方法。 - 認証局CAから発行されたクライアント証明書を用いてSSL(Secure Socket Layor)のクライアント認証を行うことによりクライアント端末からネットワークを通じてログインするクライアントサーバシステムのログイン方法において、
ユーザに固有のユーザ情報を含むクライアント証明書を用いて、SSL(Secure Socket Layor)クライアント認証を行うことにより、クライアント端末からSSLサーバにアクセスするステップと、
上記クライアント証明書の中から上記ユーザ情報を抽出するステップと、
上記抽出されたユーザ情報に基づき当該ユーザがアプリケーション起動権限を有するユーザであるか否かを認証するステップと、
上記認証されたユーザに対して上記クライアント端末にインストールされたアプリケーションを起動するステップからなるクライアントサーバシステムのログイン方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003397133A JP2005157845A (ja) | 2003-11-27 | 2003-11-27 | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003397133A JP2005157845A (ja) | 2003-11-27 | 2003-11-27 | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005157845A true JP2005157845A (ja) | 2005-06-16 |
Family
ID=34722369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003397133A Pending JP2005157845A (ja) | 2003-11-27 | 2003-11-27 | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005157845A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009032135A (ja) * | 2007-07-30 | 2009-02-12 | Hitachi Ltd | 情報処理システム |
| JP2009098761A (ja) * | 2007-10-15 | 2009-05-07 | Fujifilm Corp | 認証サーバおよびその動作制御方法 |
| JP2011004385A (ja) * | 2009-03-16 | 2011-01-06 | Ricoh Co Ltd | 情報処理装置、相互認証方法、相互認証プログラム、情報処理システム、情報処理方法、情報処理プログラム及び記録媒体 |
| JP2016506002A (ja) * | 2013-01-24 | 2016-02-25 | ゼネラル・エレクトリック・カンパニイ | 高度制御システムセキュリティのためのシステムおよび方法 |
| JP2016518656A (ja) * | 2013-04-03 | 2016-06-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 人間を機械と区別するための及びネットワークサービスへのアクセスを制御するための方法ならびにシステム |
| JP2019202501A (ja) * | 2018-05-24 | 2019-11-28 | キヤノン株式会社 | 印刷装置、方法、およびプログラム |
| JP2019202502A (ja) * | 2018-05-24 | 2019-11-28 | キヤノン株式会社 | 印刷装置、方法およびプログラム |
-
2003
- 2003-11-27 JP JP2003397133A patent/JP2005157845A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009032135A (ja) * | 2007-07-30 | 2009-02-12 | Hitachi Ltd | 情報処理システム |
| JP2009098761A (ja) * | 2007-10-15 | 2009-05-07 | Fujifilm Corp | 認証サーバおよびその動作制御方法 |
| JP2011004385A (ja) * | 2009-03-16 | 2011-01-06 | Ricoh Co Ltd | 情報処理装置、相互認証方法、相互認証プログラム、情報処理システム、情報処理方法、情報処理プログラム及び記録媒体 |
| JP2016506002A (ja) * | 2013-01-24 | 2016-02-25 | ゼネラル・エレクトリック・カンパニイ | 高度制御システムセキュリティのためのシステムおよび方法 |
| JP2016518656A (ja) * | 2013-04-03 | 2016-06-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 人間を機械と区別するための及びネットワークサービスへのアクセスを制御するための方法ならびにシステム |
| US10104061B2 (en) | 2013-04-03 | 2018-10-16 | Alibaba Group Holding Limited | Method and system for distinguishing humans from machines and for controlling access to network services |
| JP2019202501A (ja) * | 2018-05-24 | 2019-11-28 | キヤノン株式会社 | 印刷装置、方法、およびプログラム |
| JP2019202502A (ja) * | 2018-05-24 | 2019-11-28 | キヤノン株式会社 | 印刷装置、方法およびプログラム |
| JP7134710B2 (ja) | 2018-05-24 | 2022-09-12 | キヤノン株式会社 | 印刷装置、方法、およびプログラム |
| JP7134711B2 (ja) | 2018-05-24 | 2022-09-12 | キヤノン株式会社 | 印刷装置、方法およびプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100856674B1 (ko) | 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법 | |
| JP4600851B2 (ja) | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 | |
| US7904952B2 (en) | System and method for access control | |
| KR100986441B1 (ko) | 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체 | |
| KR100872099B1 (ko) | 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 | |
| CN100534092C (zh) | 用于执行认证操作的方法及其装置 | |
| KR100529550B1 (ko) | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 | |
| US8438383B2 (en) | User authentication system | |
| JP2005532736A (ja) | 生物測定学的私設キーインフラストラクチャ | |
| JP2006525563A (ja) | ユーザとウェッブ・サイトの認証方法及び装置 | |
| JP2010505286A (ja) | バイオメトリック証明書確認フレームワーク | |
| CA2451313A1 (en) | Systems and methods for controlling access to a public data network from a visited access provider | |
| US11924211B2 (en) | Computerized device and method for authenticating a user | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| KR100559958B1 (ko) | 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| JP2005157845A (ja) | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 | |
| KR20060091548A (ko) | 공인 인증서를 이용한 로그인 방법 | |
| WO2010107298A2 (en) | Method of generating a proxy certificate | |
| JP5487659B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP2003244134A (ja) | 認証システム | |
| JP5402301B2 (ja) | 認証用プログラム、認証システム、および認証方法 | |
| JP4730518B2 (ja) | 通信管理装置、通信システム及び通信管理方法 | |
| JP2009245087A (ja) | 通信システム及びクライアント装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060720 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090929 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100209 |