JP2005267520A - Mutual certificate authentication system, and mutual certificate authentication method - Google Patents

Mutual certificate authentication system, and mutual certificate authentication method Download PDF

Info

Publication number
JP2005267520A
JP2005267520A JP2004082419A JP2004082419A JP2005267520A JP 2005267520 A JP2005267520 A JP 2005267520A JP 2004082419 A JP2004082419 A JP 2004082419A JP 2004082419 A JP2004082419 A JP 2004082419A JP 2005267520 A JP2005267520 A JP 2005267520A
Authority
JP
Japan
Prior art keywords
certificate
client
server
plurality
certificates
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004082419A
Other languages
Japanese (ja)
Other versions
JP4601979B2 (en
Inventor
Masahiro Watanabe
昌寛 渡邉
Original Assignee
Ntt Comware Corp
エヌ・ティ・ティ・コムウェア株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ntt Comware Corp, エヌ・ティ・ティ・コムウェア株式会社 filed Critical Ntt Comware Corp
Priority to JP2004082419A priority Critical patent/JP4601979B2/en
Publication of JP2005267520A publication Critical patent/JP2005267520A/en
Application granted granted Critical
Publication of JP4601979B2 publication Critical patent/JP4601979B2/en
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a mutual certificate authentication system capable of mutually authenticating a plurality of certificates with one-time communication route establishment processing, and suppressing the increase of time and computer resources for establishing a communication route, and suppressing the increase of a communication route management cost. <P>SOLUTION: A client 101 being a communication route establishment demander transmits a communication route establishment demand to a server 201 and receives the plurality of certificates from the server. Then the certificates received from the server 201 are authenticated and a plurality of kinds of client certificates are transmitted to the server 201. The server 201 authenticates the plurality of certificates received from the client 101 and transmits a communication route establishment report to the client 101. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、一度の通信路確立処理の過程で、複数の証明書の相互認証を可能とする、証明書相互認証システム、及び証明書相互認証方法に関する。 The present invention, in the course of a single communication channel establishment process, to enable mutual authentication of a plurality of certificates, certificate mutual authentication system, and a certificate mutual authentication method.

図6に、従来のクライアントとサーバの認証の手順を示す。 Figure 6 shows a procedure of a conventional client and server authentication. 図6において、最初に、クライアント101aはサーバ(サーバ内で実行されている1つのアプリケーション)201aに対して通信路確立の要求を送信する(ステップS201)。 6, first, the client 101a sends a request for a communication channel established to (one application running in a server) 201a server (step S201). サーバ201aは要求に応答すると共に、証明書連鎖(証明書、暗号鍵情報などを含む認証プロセスに必要な一連の情報)を1つ送り、また、「サーバが認証可能な認証局の識別名(DistinguishedName)のリスト」をクライアント101aに送信する(ステップS202)。 With the server 201a in response to the request, the certificate chain (the certificate, a series of information required for the authentication process, including encryption key information) one feed, also "server identification names can be authenticated certificate authority ( to send a list of DistinguishedName) "to the client 101a (step S202). なお、本発明では、証明書連鎖のことを、単に「証明書」ともいう。 It should be noted that in the present invention, that the certificate chain, also referred to simply as "certificate".

クライアント101aは、サーバ201aからサーバ側の証明書を1つ受信し、受信した証明書の確認(検証)を行い、DistinguishedNameリスト中の認証局から認証されたクライアント側の証明書を1つサーバ201aに送信する(ステップS203)。 The client 101a receives one server certificate from the server 201a, confirms the received certificate (validation), one server 201a a client-side certificate authentication from the authentication station in DistinguishedName list sending (step S203).

サーバ201aは、クライアント101aから受信した1つのクライアント側の証明書の確認(認証)を行う、認証が正常に行われると、サーバ201aはクライアント101aに対して、通信路確立終了通知を送信する(ステップS204)。 Server 201a performs confirmation of a single client-side certificate received from the client 101a (authentication), the authentication is successful, the server 201a to clients 101a, transmits the channel establishment completion notification ( step S204).

その後、クライアント101aとサーバ201a間でデータの通信が行われる(ステップS205)。 Thereafter, communication of data is performed between the client 101a and the server 201a (step S205). なお、クライアント101aがサーバ201aから要求された証明書を提示できない場合、あるいはお互いの証明書の検証に失敗した場合は、通信路は確立されない。 Incidentally, if the client 101a is verification failed, or if another certificate can not present the certificate requested from the server 201a, the communication path is not established.

ところで、1つのサーバ201a内で異なる複数のアプリケーション(例えば、英会話スクールと、英会話教材シップのサイト、書籍ショップのサイトなど)が運用されている場合に、これらの複数のアプリケーションにアクセスする場合に、図6に示した従来の方法では、クライアント101aとサーバ201a間では、1つのアプリケーションについて1つずつの証明書で相互認証された安全な通信路を確立する。 By the way, a plurality of different applications within a single server 201a (for example, the English school, English teaching materials membership of the site, such as a book shop of the site) in the case where are operated, in the case of access to these multiple applications, in the conventional method shown in FIG. 6, between the client 101a and the server 201a, to establish a secure channel that has been cross-authenticated with one by one certificate for one application. 複数のアプリケーションにアクセスする場合には、これを複数回繰り返し複数本の通信路を確立する必要がある。 When accessing the plurality of applications, it is necessary to establish a plurality communication paths repeat this several times. このため、複数回の通信路確立処理を行うための処理時間が必要となり、また、そのための計算機資源が必要になる。 Therefore, the processing time for performing a plurality of communication channel establishment process is required, also be required computer resources therefor.

また、複数本の通信路を持つため、その通信路の管理コストがかかる。 Moreover, since with plural communication paths, such administrative costs of the communication path. 管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The administrative costs, and the like processing required to changing circumstances such as the communication path for retention and necessary for communication computing resources and communication path disconnection and reconnection.

従って、1つのサーバ内に異なるアプリケーション(例えば、英会話スクール、教材シップ、書籍ショップなどのサイト)が運用されている場合には、複数の証明書の認証が一度に行え、かつ1つの通信路の確立で相互認証を行えるシステムに提供が望まれていた。 Therefore, different applications in one server (for example, English conversation school, teaching ship, sites such as books shop) when is being operated, the authentication of multiple certificates is done at once, and one of the communication paths providing a system capable of performing mutual authentication with established has been desired.

また、現在は、Webブラウザを使用した電子商取引の電子決裁などに、TLS(Transport Layer Security)プロトコルが一般的に広く利用されている。 Moreover, currently, in such electronic approval of electronic commerce using a Web browser, TLS (Transport Layer Security) protocol is generally widely used. TLSは、インターネット上で情報を暗号化して送受信するプロトコルであり、TLSは公開鍵暗号、秘密鍵暗号、デジタル証明書を用い、データの盗聴や改ざん、なりすましを防ぐことができ、RFC−2246としてIETFで標準化されている(例えば、非特許文献1参照)。 TLS is a protocol for sending and receiving encrypted information over the Internet, TLS public key cryptography, a secret key encryption, using a digital certificate, data interception and tampering, spoofing can be prevented, as RFC-2246 It has been standardized by the IETF (for example, see non-Patent Document 1).

TLSプロトコルを用いたアプリケーションにおいて、複数の証明書を一度に認証しようとすると、次のような問題があり動作しない。 In applications using the TLS protocol, when you try to authenticate a plurality of certificates at a time, does not work there are following problems.

TLSプロトコルでは、その通信内容のプロトコルが仕様として明確に定められているために、仕様と異なるデータフォーマットを送信した場合、通信規約エラーとなり通信路は確立されない。 The TLS protocol, to protocol of the communication contents are clearly set as a specification, the case of transmitting the data format different from the specification, the channel becomes a communication protocol error is not established. したがって、複数の証明書の送信は、TLSプロトコルでは定められていないデータフォーマットであるため、通信規約エラーとなり通信路は確立されない。 Therefore, transmission of a plurality of certificates are the data formats that are not defined in the TLS protocol, the communication path becomes a communication protocol error is not established.

また、ネットワークで接続された2台以上の計算機(以降これらの計算機をピアと呼ぶ)の間で複数の証明書による認証を可能とする安全な通信路を確立する必要がある場合が存在する。 When it is necessary to establish a secure communication path that enables authentication by multiple certificates between connected via a network two or more computers (hereinafter referred to these computers and peers) are present. 例えば次のような、ピアツーピア方式で接続された複数のピア上で、異なる証明書の認証を必要とするアプリケーションが異なるピア上で複数の動作している場合である。 For example, the following, on a plurality of connected peers in a peer-to-peer fashion, a case where an application that requires authentication of different certificate has a plurality of operating on different peers.

ビアAで教育アプリケーションが動作し、ピアBで業務アプリケーションが動作しているものとする. Education applications in the vias A operates, it is assumed that the business application is running on the peer B. ビアA、Bのユーザが教育アプリケーションおよび業務アプリケーションを同時に利用する。 Via A, user B can utilize the teaching applications and business applications at the same time.

この場合ピアAの教育アプリケーションでは、ビアAが発行した証明書に基づきピアAおよびピアBが相互認証を行い、ピアBの業務アプリケーションでは、ビアBが発行した証明書に基づきピアAおよびピアBが相互認証を行う。 In this case the educational application peer A, peer A and peer B based on the certificate via A issues performs mutual authentication, the business application of Peer B, Peer A and Peer B based on the certificate via B issued There mutual authentication.

このような場合に、TLSプロトコルを使用して、サーバのプログラムを記述する場合には、認証を必要とする各アプリケーションごとに通信路を確立する必要があり、その処理に時間がかかる、また、確立された通信路を管理(通信路を記憶するためのメモリ管理や、再接続の処理等)するプログラムの記述が煩雑になる。 In such a case, by using the TLS protocol, when describing the server program, it is necessary to establish a communication path for each application that requires authentication, it takes time for the processing, also, the established communication path management (or memory management for storing a communication channel, processing of reconnection) description of the program becomes complicated.

本発明は、このような問題を解決するためになされたもので、その目的は、一度の通信路確立処理で複数の証明書の相互認証を可能とし、通信路を確立するための時間及び計算機資源の増加を抑制でき、また、通信路の管理コストの増加を抑制できる、証明書相互認証システム、及び証明書相互認証方法を提供することにある。 The present invention has been made to solve the above problems, its object is to enable mutual authentication of a plurality of certificates in one communication channel establishment process, the time for establishing a communication channel and the computer It can suppress an increase in resources and an increase in management costs of the communication path can be suppressed to provide certificates mutual authentication system, and a certificate mutual authentication method.

本発明は、上記課題を解決するためになされたものであり、本発明の証明書相互認証システムは、通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証システムであって、前記クライアントには、前記サーバに通信路確立要求を送信する通信路確立要求手段と、前記サーバから複数の証明書を受信するサーバ証明書受信手段と、前記サーバから受信した複数の証明書を認証するサーバ証明書認証手段と、前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手段と、クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通 In the present invention has been made to solve the above problem, certificate mutual authentication system of the present invention, a client performs a communication path establishment request, the server responds to the communication path establishment request from the client , a certificate mutual authentication system that performs mutual authentication of a plurality of certificates, wherein the client receives a communication path establishment request means for transmitting a communication channel establishment request to the server, a plurality of certificates from the server transmitting a server certificate receiving means, and the server certificate authentication means for authenticating a plurality of certificate received from the server, after authenticating multiple certificates received from the server, a plurality of certificates to the server to passing receiving the client certificate transmitting means, when the certificate sent from the client is authenticated to the server, a communication channel establishment notification from the server to 路確立通知受信手段とを備え、前記サーバには、前記クライアントから通信路確立要求を受信する通信路確立要求受信手段と、前記クライアントに複数の証明書を送信するサーバ証明書送信手段と、前記クライアントから複数の証明書を受信するクライアント証明書受信手段と、前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手段と、クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手段とを備えることを特徴とする。 And a road-establishment notification reception means, the said server, a communication channel establishment request reception means for receiving the communication path establishment request from the client, and the server certificate transmitting means for transmitting a plurality of certificates in the client, the a client certificate receiving means for receiving a plurality of certificates from the client, and the client certificate authentication means for authenticating a plurality of certificate received from the client, after authenticating multiple certificates received from the client, the communication channel characterized in that it comprises a communication channel establishment notification transmission means for transmitting a setup acknowledgment to the client.
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源を抑えることができる。 Thereby, which enables mutual authentication of a plurality of certificates in one communication channel establishment process, than the conventional communication channel establishment process, it is possible to suppress the time and computer resources for establishing a communication channel. また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。 Moreover, since which enables mutual authentication of a plurality of certificates in one communication path, as compared with the conventional, it is possible to suppress the cost of managing the communication path. 管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The administrative costs, and the like processing required to changing circumstances such as the communication path for retention and necessary for communication computing resources and communication path disconnection and reconnection.

また、本発明の証明書相互認証システムは、前記クライアントには、通信路確立要求先に応じて、送信する証明書を選択するクライアント証明書選択手段を備え、前記サーバには、通信路確立要求元に応じて、送信する証明書を選択するサーバ証明書選択手段を備えることを特徴とする。 Furthermore, certificate mutual authentication system of the present invention, wherein the client, depending on the communication path establishment request destination, includes client certificate selection means for selecting a certificate to send, to the server, the communication path establishment request depending on the source, characterized in that it comprises a server certificate selecting means for selecting a certificate to send.
これにより、クライアント側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアントのプライバシーを保護することができる。 Thus, the clue the certificate sent from the client side, it is possible to prevent that is grasped more than necessary for the client information in the certificate, it is possible to protect the privacy of the client. また、サーバ側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバのプライバシーを保護することができる。 Further, the clue the certificate sent from the server side, it can be prevented the that would be grasped more than necessary for the server information in the certificate, it is possible to protect the privacy of the server. また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。 Also, by not sending unwanted certificate to the session establishment can shorten the time required for the certificate confirmation.

また、本発明の証明書相互認証方法は、通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証方法であって、前記クライアントにより、前記サーバに通信路確立要求を送信する通信路確立要求手順と、前記サーバから複数の証明書を受信するサーバ証明書受信手順と、前記サーバから受信した複数の証明書を認証するサーバ証明書認証手順と、前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手順と、クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手順とが行われ、前記サーバにより、前記 Furthermore, certificate mutual authentication method of the present invention, a client performs a communication path establishment request, by the server responding to the communication path establishment request from the client, the certificate mutual authentication method for performing mutual authentication of a plurality of certificates a is, by the client, the communication path establishment request procedure of transmitting a communication channel establishment request to the server, the server certificate receiving step of receiving a plurality of certificates from the server, a plurality of certificates received from said server and server certificate authentication procedure to authenticate the writing, after authenticating multiple certificates received from the server, and a client certificate transmission step of transmitting a plurality of certificates in the server, the certificate sent from the client the If authenticated in the server, and procedures communication channel establishment notification reception for receiving the communication channel establishment notification from the server is performed by the server, the ライアントから通信路確立要求を受信する通信路確立要求受信手順と、前記クライアントに複数の証明書を送信するサーバ証明書送信手順と、前記クライアントから複数の証明書を受信するクライアント証明書受信手順と、前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手順と、クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手順とが行われることを特徴とする。 And instructions communication path establishment request reception that receives a communication path establishment request from the client, and the server certificate transmitting step of transmitting a plurality of certificates in the client, and the client certificate reception procedure for receiving a plurality of certificates from the client , a client certificate authentication procedure for authenticating a plurality of certificate received from the client, after authenticating multiple certificates received from the client, the procedure communication channel establishment notification transmission that transmits a communication channel establishment notification to the client characterized in that it is carried out.
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源を抑えることができる。 Thereby, which enables mutual authentication of a plurality of certificates in one communication channel establishment process, than the conventional communication channel establishment process, it is possible to suppress the time and computer resources for establishing a communication channel. また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。 Moreover, since which enables mutual authentication of a plurality of certificates in one communication path, as compared with the conventional, it is possible to suppress the cost of managing the communication path. 管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The administrative costs, and the like processing required to changing circumstances such as the communication path for retention and necessary for communication computing resources and communication path disconnection and reconnection.

本発明の証明書相互認証システムにおいては、通信路確立要求者なるクライアントは、サーバに通信路確立要求を送信し、サーバから複数の証明書を受信する。 In Certificate mutual authentication system of the present invention, the client comprising a communication path establishment requester transmits a channel establishment request to the server, receives a plurality of certificates from the server. そして、サーバから受信した複数の証明書を認証し、サーバに複数の種類のクライアント証明書を送信する。 Then, to authenticate a plurality of certificate received from the server, transmitting a plurality of types of client certificate to the server. サーバでは、クライアントから受信した複数の証明書を認証し、クライアントに通信路確立通知を送信する。 The server authenticates the plurality of certificate received from the client, sends a communication channel establishment notification to the client.
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立手段よりも、通信路を確立するための時間及び計算機資源を抑えることができる。 Thereby, which enables mutual authentication of a plurality of certificates in one communication channel establishment process, than the conventional communication path establishment means, it is possible to suppress the time and computer resources for establishing a communication channel. また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。 Moreover, since which enables mutual authentication of a plurality of certificates in one communication path, as compared with the conventional, it is possible to suppress the cost of managing the communication path. 管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The administrative costs, and the like processing required to changing circumstances such as the communication path for retention and necessary for communication computing resources and communication path disconnection and reconnection.

また、本発明の証明書相互認証システムにおいては、クライアントは、通信路確立要求先に応じて、送信するクライアントの証明書を選択する。 In the certificate mutual authentication system of the present invention, the client, in response to a communication path establishment request destination, select a client certificate to be transmitted. また、サーバは、通信路確立要求元に応じて、送信する証明書を選択する。 The server, in response to the communication path establishment request source, to select the certificate to send.
これにより、クライアント側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアントのプライバシーを保護することができる。 Thus, the clue the certificate sent from the client side, it is possible to prevent that is grasped more than necessary for the client information in the certificate, it is possible to protect the privacy of the client. また、サーバ側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバのプライバシーを保護することができる。 Further, the clue the certificate sent from the server side, it can be prevented the that would be grasped more than necessary for the server information in the certificate, it is possible to protect the privacy of the server. また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。 Also, by not sending unwanted certificate to the session establishment can shorten the time required for the certificate confirmation.

また、本発明の証明書相互認証方法においては、通信路確立要求者なるクライアントは、サーバに通信路確立要求を送信し、サーバから複数の証明書を受信する。 In the certificate mutual authentication process of the present invention, the client comprising a communication path establishment requester transmits a channel establishment request to the server, receives a plurality of certificates from the server. そして、サーバから受信した複数の証明書を認証し、サーバに複数の種類のクライアント証明書を送信する。 Then, to authenticate a plurality of certificate received from the server, transmitting a plurality of types of client certificate to the server. サーバでは、クライアントから受信した複数の証明書を認証し、クライアントに通信路確立通知を送信する。 The server authenticates the plurality of certificate received from the client, sends a communication channel establishment notification to the client.
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立手段よりも、通信路を確立するための時間及び計算機資源を抑えることができる。 Thereby, which enables mutual authentication of a plurality of certificates in one communication channel establishment process, than the conventional communication path establishment means, it is possible to suppress the time and computer resources for establishing a communication channel. また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。 Moreover, since which enables mutual authentication of a plurality of certificates in one communication path, as compared with the conventional, it is possible to suppress the cost of managing the communication path. 管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The administrative costs, and the like processing required to changing circumstances such as the communication path for retention and necessary for communication computing resources and communication path disconnection and reconnection.

次に本発明を実施するための最良の形態について図面を参照して説明する。 DESCRIPTION OF THE EMBODIMENTS Embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の証明書相互認証システムについて説明するための図である。 Figure 1 is a diagram for explaining a certificate mutual authentication system of the present invention. 図1において、通信路確立要求者であるクライアント101と、通信路確立要求に応答するサーバ201とが通信ネットワーク1で接続されており、サーバ201上で複数のアプリケーションA、B、C(例えば、英会話スクール、英会話教材ショップ、書籍ショップのサイトなど)が運用されている例である。 In Figure 1, a client 101 is a communication path establishment requester, and the server 201 to respond to the communication path establishment request is connected with the communication network 1, server 201 over a plurality of applications A, B, C (e.g., English school, English teaching material shop, book shop of the site, etc.) is an example that is being operated.

このような場合に、クライアント101が、サーバ201内の複数のアプリケーションA、B、Cにアクセスするためには、従来は、「アプリケーションAの証明書(サーバ側)」と「アプリケーションA用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理、「アプリケーションBの証明書(サーバ側)」と「アプリケーションB用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理、「アプリケーションCの証明書(サーバ側)」と「アプリケーションC用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理が、個々に必要であった。 In such a case, the client of the client 101, a plurality of application A in the server 201, B, in order to access the C is conventionally "certificate application A (server side)" and "application A communication channel establishment process by the mutual authentication of the certificate (client side) ", a communication path establishment by the mutual authentication" certificate application B (the server side) "and" client's certificate for the application B (client side) " processing, communication channel establishment process by the mutual authentication "application C certificate (server side)" and "client's certificate for the application C (client side)" was required individually. このため、複数回の通信路確立処理を行うための処理時間が必要となり、また、そのための計算機資源が必要になっていた。 Therefore, the processing time for performing a plurality of communication channel establishment process is required, also computing resources therefor was needed.

本発明の証明書相互認証システムでは、クライアント101からサーバ201に通信路確立要求があった場合に、サーバ201からクライアント101に、複数の証明書(アプリケーションAの証明書、アプリケーションBの証明書、アプリケーションCの証明書)を一度に送る。 Certificate mutual authentication system of the present invention, when the client 101 had a communication channel establishment request to the server 201, the server 201 to the client 101, more than one certificate (certificate application A, application B certificates, Send a certificate) of the application C at a time. また、クライアント101からサーバ201に、複数の証明書(アプリケーションA用のクライアントの証明書、アプリケーションB用のクライアントの証明書、アプリケーションC用のクライアントの証明書)を一度に送り、複数の証明書の相互認証を一度で行う。 Moreover, the client 101 to the server 201, multiple certificates feed (client certificate for the application A, the client certificate for the application B, a client certificate for the application C) in the once more certificates It performs mutual authentication of the at once.

図2に、本発明の証明書相互認証システムにおける認証の手順を示す。 Figure 2 shows a procedure of authentication in the certificate the mutual authentication system of the present invention. 図2は、複数の証明書で相互認証された通信路を確立する方法の概要を示す図である。 Figure 2 is a diagram showing an overview of a method for establishing a communication channel that has been cross-authenticated with multiple certificates. ただし、証明書および認証の概要を示しており、公開鍵方式による暗号鍵交換などのシーケンスは省略している。 However, shows an overview of the certificates and certification, the sequence, such as the encryption key exchange with the public key system is omitted.

また、サーバ201には、複数のアプリケーション(例えば、英会話スクールと、英会話教材ショップ、書籍ショップのサイトなど)が運用されており、それぞれに、認証用の証明書が用意されているものとする。 In addition, the server 201, a plurality of applications (for example, the English school, English teaching material shop, book shop of the site, etc.) have been operated, in each, it is assumed that the certificate for authentication are provided.

最初に、クライアント101はサーバ201に通信路確立の要求を送信する(ステップS101)。 First, the client 101 transmits a request for channel establishment to the server 201 (step S101). サーバ201は通信路確立要求に応答すると共に、「証明書連鎖(証明書、暗号鍵情報、証明局に関連する情報などを含む認証プロセスに必要な一連の情報、単に「証明書」ともいう)」をクライアント101に送信する。 Server 201 together with the response to the communication path establishment request, (also referred to as certificates, encryption key information, a series of information required for the authentication process, including information related to the certification station, simply "certificate") "certificate chain to send "to the client 101. この時、送信する証明書は複数でも構わない。 In this case, the certificate to be transmitted may be a plurality. 送るデータは証明書の数、それに続き証明書をその数だけ送信する。 The data send the number of the certificate, it sends a continuation certificate only that number. また、サーバ201が認証可能な「認証局の識別名(DistinguishedName)のリスト」をクライアント101に送信する。 In addition, the transmission server 201 is capable of authentication "of the authentication station identification name list of (DistinguishedName)" to the client 101. さらに、クライアント証明書(複数の候補)の送信を要求する(ステップS102)。 Furthermore, it requests transmission of the client certificate (s candidate) (step S102).

クライアント101はサーバ201から、証明書の数の情報を受信し、その後、証明書の数だけ証明書を受信する。 Client 101 from the server 201, receives information in the number of certificates, then only receives certificate number of certificates. 受信したすべてのサーバ証明書を公開鍵暗号処理方式により確認(検証)を行う。 And confirms the public key encryption method all of the server certificate received (verification). なお、この場合に、クライアント101は自分のアクセスの対象となるアプリケーションについての証明書がどうかに係わらず、すべての証明書について検証を行う。 It should be noted that, in this case, the client 101 regardless of whether the certificate for the application to be their own access, to verify for all of the certificate.

次に、サーバ201から受信した「DistinguishedNameリスト」中の認証局から認証された証明書をサーバ201に送信する(ステップS103)。 Then sends the certificate authentication from a certificate authority in the "DistinguishedName list" received from the server 201 to the server 201 (step S103). このとき送信する証明書は複数でも構わない。 Certificate to be sent at this time may be a plurality. 送信するデータは、証明書の数、それに続く証明書をその数だけ送信する。 Data to be transmitted, the number of certificates, a certificate subsequent to send that number. 例えば、2つのアプリケーションにアクセスする場合には、2つの証明書をサーバ201に送信する。 For example, when accessing the two application sends the two certificates to the server 201.

サーバ201はクライアント101から証明書の数を受信し、その後その数だけ証明書を受信する。 Server 201 receives the number of certificates from the client 101, receiving the certificate only then that number. 受信した全てのクライアント101の証明書の検証を行い、認証に成功した場合には、通信路確立通知をクライアント101へ送信する(ステップS104)。 It verifies the certificates of all the clients 101 received, if the authentication is successful, transmits a channel establishment notification to the client 101 (step S104).

その後、クライアント101、サーバ201間でデータの通信を行う(ステップS105)。 Thereafter, the data communication between the client 101, server 201 (step S105). なお、クライアント101がサーバ201から要求された証明書を提示できない場合、お互いの証明書の検証に1つでも失敗した場合は、通信路は確立されない。 Incidentally, if the client 101 is unable to present a certificate requested from the server 201, if it fails any one to validate each other certificates, the communication path is not established. また、ステップS102およびステップS103で受信した証明書の数だけ証明書を受信できない場合も、通信路は確立されない。 Also, if unable to receive the certificate only the number of certificates received in step S102 and step S103, the communication path is not established.

なお、上述したように、本例ではサーバ201およびクライアント101で複数の証明書の検証を行い、検証中に、その1つの証明書でも検証に失敗すると、以下の理由により通信路の確立は行わないものとしている。 As described above, verifies the plurality of certificates in the server 201 and client 101 in this example, during verification, the verification will fail in that one certificate, the establishment of the communication path for the following reasons made it is assumed no.

1つの通信路により複数の認証を行っているため、その1つに検証失敗したものが存在すると、他の認証結果を利用した不正な通信が行われる恐れがあるため。 Because doing a plurality of authentication by one channel, the presence of those validation failure in one of them, since there is a danger that illegal communication using other authentication result is performed. また、他の方法として検証失敗したものを除いた通信路の確立を実現するという方法もあるが、お互いが想定した証明書で認証できない場合通信路の確立自体を失敗とした方が自然なこと、プロトコルが煩雑になることの理由によりその方法は採用していないが、もちろん、検証失敗したものを除いた通信路の確立を実現するようにしてもよい。 Further, there is a method of achieving the establishment of a communication path except for those validation failure Alternatively, it natural person who fails to establish itself when the communication channel can not be authenticated with certificates each other assuming protocol the method is not adopted by reason that becomes complicated, of course, may be realized to establish a communication path except for those validation failure.

また、クライアント101、サーバ201間で通信路が確立し、データの通信を行う場合には、セキュリティポリシー(セキュリティ基準)に従い通信を行うことができる。 The client 101 establishes a communication channel between the server 201, when communicating data, can communicate in accordance with the security policy (security criteria). 図3はセキュリティポリシー(セキュリティ基準)テーブルの例を示す図であり、このセキュリティポリシーテーブルの情報に基づいて、そのアクセス元に応じて、アクセス可能な範囲が制限される。 Figure 3 is a diagram showing an example of a security policy (security criteria) table, based on the information of the security policy table, according to the access source, accessible range is limited. 例えば、ユーザAにレベル1(最もセキュリティレベルが低い)、ユーザBにレベル2(セキュリティレベル中)、ユーザCにレベル3(最もセキュリティレベルが高い)を設定し、対象となるファイルがレベル2のファイルである場合には、そのファイルに設定されたレベル以上のユーザBとユーザCのみが閲覧できるようにした例である。 For example, Level 1 (least secure level is low) to the user A, (in the security level) to the user B level 2, set the level to the user C 3 (highest security level is high), the target file is Level 2 when a file is an example of only the set in the file levels or more users B and C are to be able to view.

また、クライアント101側およびサーバ201側のそれぞれで利用する証明書を動的に選択するようにもできる。 It is also to dynamically select the certificate to be used in each of the client 101 side and the server 201 side. 例えば、図4に示す証明書選択テーブルの情報を参照して、クライアント101側では、アクセス先(IPアドレス)ごとに必要な利用証明書を選択し、サーバ201側では、要求元(ユーザのIPアドレス)ごとに送信する利用証明書を選択できるようにする。 For example, referring to the information in the certificate selection table shown in FIG. 4, the client 101 side, and select the available certificates required for each access destination (IP address), the server 201 side, the requestor (user IP to select a usage certificate to send to each address).

例えば、図4(a)において、クライアント101側から「英会話スクール」にアクセスする場合には、クライアント101側からサーバ201側に、英会話スクールに対する証明書だけを送る。 For example, in FIG. 4 (a), when accessing from the client 101 side to the "English school" from the client 101 side to the server 201 side, and sends only certificates for English school. また、「会社A」にアクセスする場合には、英会話スクールに対する証明書と、会社Aに対する証明書と、書籍ショップに対する証明書の3つの証明書を送信する。 In addition, in the case of access to the "Company A" sends the certificate to the English school, and the certificate to the company A, the three certificates of certificate for books shop.

また、図4(b)に示すように、サーバ201側において、IPアドレス(111.aaa.bbb.ccc)の要求元から通信路確立要求があった場合には、英会話スクールの証明書だけを送信する。 Further, as shown in FIG. 4 (b), in the server 201 side, when there is a communication path establishment request from the requesting IP address (111.aaa.bbb.ccc) it is only English school certificate Send. また、IPアドレス(111.bbb.ccc.aaa)の要求元から通信路確立要求があった場合には、英会話スクールの証明書と、会社Aの証明書と、書籍ショップの証明書の3つの証明書を送信する。 In addition, from the requesting IP address (111.bbb.ccc.aaa) when there is a communication channel establishment request, and the certificate of the English school, and certificate of company A, the book shop of the three certificates to send a certificate.

これにより、クライアント101側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアント101のプライバシーを保護することができる。 Thus, the clue the certificate sent from the client 101 side, it can be prevented the which would be grasped more than necessary for the client information in the certificate, it is possible to protect the privacy of the client 101. またサーバ201側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバ201のプライバシーを保護することができる。 The clues the certificate sent from the server 201 side, it can be prevented the which would be grasped more than necessary for the server information in the certificate, it is possible to protect the privacy of the server 201. また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。 Also, by not sending unwanted certificate to the session establishment can shorten the time required for the certificate confirmation.

なお、以上説明した本発明の実施の形態においては、通信路確立要求者としてのクライアント101と通信路確立要求に応答するサーバ201の例を示したが、クライアント101は、サーバであってもよいし、さらに、クライアント101およびサーバ201がピアであってもよい。 In the embodiments of the present invention described above, an example of a server 201 that responds to the communication path establishment request with the client 101 as a communication path establishment requester, the client 101 may be a server and, further, the client 101 and server 201 may be a peer. また、クライアント101およびサーバ201から送信する証明書の数は常に複数である必要はなく、1つの場合も有り得ることは勿論である。 The number of the certificate to be transmitted from the client 101 and server 201 need not always be a plurality, it is needless to say that there may be one case.

また、図5は、クライアントとサーバの構成例を示す図であり、本発明に直接関係するものについて示したものである。 Further, FIG. 5 is a diagram showing a configuration example of a client and server, and shows the directly related to the present invention.

クライアント101は、クライアント全体を制御する制御部102、通信ネットワーク1とクライアント101を接続する通信用インタフェース103、処理プログラム部110、及び記憶部120を有している。 The client 101 includes a control unit 102, a communication interface 103 that connects the communication network 1 and the client 101, the processing program 110 and the storage unit 120, which controls the entire client.

また、処理プログラム部110には、以下の処理部が含まれている。 Further, the processing program portion 110 includes the following processing units.
通信路確立要求処理部(通信路確立要求手段)111は、サーバ201に通信路確立要求を送信する処理を行う。 Communication channel establishment request processing section (a communication path establishment request means) 111 performs a process of transmitting a communication channel establishment request to the server 201.

サーバ証明書受信処理部(サーバ証明書受信手段)112は、サーバ201から複数の種類の証明書を受信する処理を行う。 Server certificate reception processing unit (server certificate receiving means) 112 performs a process of receiving a plurality of types of certificates from the server 201.

サーバ証明書認証処理部(サーバ証明書認証手段)113は、サーバ201から受信した証明書を認証する処理を行う。 Server certificate authentication processing unit (server certificate authentication means) 113 performs a process of authenticating the certificate received from the server 201.

クライアント証明書送信処理部(クライアント証明書送信手段)114は、サーバ201に複数のクライアントの証明書を送信する処理を行う。 Client certificate transmission processing unit (client certificate transmission means) 114 performs a process of transmitting a plurality of client certificate to the server 201.

通信路確立通知受信処理部(通信路確立通知受信手段)115は、サーバ201から通信路確立通知を受信する処理を行う。 Communication channel establishment notification receiving unit (communication channel establishment notification reception means) 115 performs a process of receiving the communication channel establishment notification from the server 201.

クライアント証明書選択処理部(クライアント証明書選択手段)116は、サーバ201に送信する証明書を、通信路確立要求先(アクセス先)に応じて選択する処理を行う。 Client certificate selection processing unit (client certificate selection means) 116, a certificate to be sent to the server 201 performs a process of selecting according to a communication path establishment request destination (access destination).

また、記憶部120には、クライアント自身の証明書の情報、証明書選択テーブルなどが記憶されている。 The storage unit 120, information of the client's own certificate, such certificate selection table is stored.

また、サーバ201は、サーバ全体を制御する制御部202、通信ネットワーク1とサーバ201を接続する通信用インタフェース203、処理プログラム部210、及びデータベース220を有している。 The server 201 includes a control unit 202 that controls the entire server, the communication interface 203 that connects the communication network 1 and the server 201, the processing program portion 210, and has a database 220.

また、処理プログラム部210には、以下の処理部が含まれている。 Further, the processing program portion 210 includes the following processing units.
通信路確立要求受信処理部(通信路確立要求受信手段)211は、クライアント101から通信路確立要求を受信する処理を行う。 Communication channel establishment request reception unit (communication channel establishment request reception means) 211 performs a process of receiving the communication path establishment request from the client 101.

サーバ証明書送信処理部(サーバ証明書送信手段)212は、クライアント101に複数の種類の証明書を送信する処理を行う。 Server certificate transmission processing unit (server certificate transmission means) 212 performs a process of transmitting a plurality of types of certificate to the client 101.

クライアント証明書受信処理部(クライアント証明書受信手段)213は、クライアント101から複数の種類の証明書を受信する処理を行う。 Client certificate reception processing unit (client certificate receiving means) 213 performs a process of receiving a plurality of types of certificates from the client 101.

クライアント証明書認証処理部(クライアント証明書認証手段)214は、クライアント101から受信した証明書を認証する処理を行う。 Client certificate authentication processing unit (client certificate authentication means) 214 performs a process of authenticating the certificate received from the client 101.

通信路確立通知送信処理部(通信路確立通知送信手段)215は、クライアント101の認証後に通信路確立通知をクライアントに送信する処理を行う。 Communication channel establishment notification transmission unit (communication channel establishment notification transmission means) 215 performs a process of transmitting a communication channel establishment notification to the client after the authentication of the client 101.

サーバ証明書選択処理部(サーバ証明書選択手段)216は、クライアント101に応じて、送信する証明書を選択する処理を行う。 Server certificate selection processing unit (server certificate selecting means) 216, depending on the client 101, performs a process of selecting a certificate to send.

セキュリティポリシー処理部217は、クライアント101に応じてセキュリティレベルを設定し、例えば、閲覧できるファイルの範囲などを設定する。 Security policy processing unit 217 sets the security level according to the client 101, for example, to set and range of the file can be viewed.

また、データベース220には、アプリケーション情報(複数のアプリケーションA、Bなど)、各アプリケーションに対応する証明書の情報、証明書選択テーブル、ポリシーテーブルなどが記憶されている。 Further, the database 220, application information (multiple applications A, B, etc.), information of a certificate corresponding to the application, the certificate selection table, such as the policy table is stored.

なお、クライアント101内の処理プログラム部110、およびサーバ201内の処理プログラム部210は専用のハードウェアにより実現されるものであってもよく、またこの処理プログラム部はメモリおよびCPU(中央処理装置)等の汎用の情報処理装置により構成され、この処理部の機能を実現するためのプログラム(図示せず)をメモリにロードして実行することによりその機能を実現させるものであってもよい。 The processing program 110 in the client 101, and a processing program portion 210 in the server 201 may be intended to be implemented by dedicated hardware or the processing program part memory and a CPU (central processing unit) is constituted by a general-purpose information processing apparatus etc., may be one for realizing its function by loading and executing a program for realizing the function of the processing section (not shown) in the memory.

また、クライアント101内の処理プログラム部110、およびサーバ201内の処理プログラム部210の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより本発明に必要な処理を行ってもよい。 The processing program 110 in the client 101, and to record the program for realizing the functions of the processing program 210 in the server 201 in a computer-readable recording medium, computer program recorded on the recording medium read into the system, the processing may be performed as required in the present invention by executing. なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。 Here, the "computer system" includes an OS and hardware such as peripheral devices.

また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 The "computer-readable recording medium" refers to flexible disks, magneto-optical disks, ROM, portable media such as a CD-ROM, and a storage device such as a hard disk built in the computer system.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの(伝送媒体ないしは伝送波)、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。 Furthermore, the "computer-readable recording medium" is held as a communication line when transmitting a program via a communication line such as a network or a telephone line such as the Internet, a short period of time, a dynamic program things (transmission medium or transmission wave), such as a volatile memory inside a computer system serving as a server or a client in that case, and also includes those that holds the program for a certain time.
また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be one for implementing part of the above functions, further those above functions can be realized in combination with already recorded with a program in a computer system, a so-called differential file (differential it may be a program).

以上、本発明の実施の形態について説明したが、証明書相互認証システムは、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。 Having described embodiments of the present invention, certificate mutual authentication system is not intended to be limited to only the illustrated examples given above, and various modifications may be made without departing from the gist of the present invention as a matter of course.

本発明は、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源の増加を抑えることができる効果を有し、証明書相互認証システム、及び証明書相互認証方法などに有用である。 The present invention, because of the possible mutual authentication of a plurality of certificates in one communication channel establishment process, than the conventional communication channel establishment process, it is possible to suppress an increase in time and computer resources for establishing a communication channel has an effect, certificate mutual authentication system, and certificate mutual authentication method is useful for such.

本発明の証明書相互認証システムについて説明するための図である。 It is a diagram for explaining a certificate mutual authentication system of the present invention. 本発明の証明書相互認証システムにおける認証の手順を示す図である。 It is a diagram illustrating a procedure of authentication in the certificate the mutual authentication system of the present invention. セキュリティポリシーテーブルの例を示す図である。 Is a diagram illustrating an example of a security policy table. 証明書選択テーブルの例を示す図である。 Is a diagram illustrating an example of a certificate selection table. クライアントとサーバの構成例を示す図である。 It is a diagram illustrating a configuration example of a client and server. 従来のクライアントとサーバの認証の手順を示す図である。 Is a diagram illustrating an authentication procedure of a conventional client and server.

符号の説明 DESCRIPTION OF SYMBOLS

1 通信ネットワーク 101 クライアント 201 サーバ 102 制御部 103 通信用インタフェース 110 処理プログラム部 111 通信路確立要求処理部 112 サーバ証明書受信処理部 113 サーバ証明書認証処理部 114 クライアント証明書送信処理部 115 通信路確立通知受信処理部 116 クライアント証明書選択処理部 120 データベース 201 サーバ 202 制御部 203 通信用インタフェース 210 処理プログラム部 211 通信路確立要求受信処理部 212 サーバ証明書送信処理部 213 クライアント証明書受信処理部 214 クライアント証明書認証処理部 215 通信路確立通知送信処理部 216 サーバ証明書選択処理部 217 セキュリティポリシー処理部 220 データベース 1 communication network 101 clients 201 server 102 controller 103 channel establishment communication interface 110 processing program 111 request processing unit 112 server certificate reception processing unit 113 server certificate authentication unit 114 the client certificate transmission processing unit 115 communication channel establishment notification receiving processing unit 116 the client certificate selection processing unit 120 database 201 server 202 controller 203 communications interface 210 program unit 211 a communication channel establishment request reception unit 212 server certificate transmission processing unit 213 the client certificate reception processing unit 214 the client certificate authentication processing unit 215 communication channel establishment notification transmission unit 216 the server certificate selection processing unit 217 the security policy processing unit 220 database

Claims (3)

  1. 通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証システムであって、 And a client that performs a communication path establishment request, by the server responding to the communication path establishment request from the client, a certificate mutual authentication system that performs mutual authentication of a plurality of certificates,
    前記クライアントには、 Wherein the client,
    前記サーバに通信路確立要求を送信する通信路確立要求手段と、 A communication channel establishment request means for transmitting a communication channel establishment request to the server,
    前記サーバから複数の証明書を受信するサーバ証明書受信手段と、 A server certificate receiving means for receiving a plurality of certificates from the server,
    前記サーバから受信した複数の証明書を認証するサーバ証明書認証手段と、 And server certificate authentication means for authenticating a plurality of certificate received from the server,
    前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手段と、 After authenticating the plurality of certificate received from the server, and a client certificate transmission means for transmitting the plurality of certificates to the server,
    クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手段と を備え、 If the certificate transmitted from the client has been authenticated to the server, and a communication channel establishment notification receiving means for receiving the communication channel establishment notification from the server,
    前記サーバには、 In the server,
    前記クライアントから通信路確立要求を受信する通信路確立要求受信手段と、 A communication channel establishment request reception means for receiving the communication path establishment request from the client,
    前記クライアントに複数の証明書を送信するサーバ証明書送信手段と、 A server certificate transmission means for transmitting a plurality of certificates in the client,
    前記クライアントから複数の証明書を受信するクライアント証明書受信手段と、 A client certificate receiving means for receiving a plurality of certificates from the client,
    前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手段と、 And client certificate authentication means for authenticating a plurality of certificate received from the client,
    クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手段と を備えることを特徴とする証明書相互認証システム。 After authenticating the plurality of certificate received from the client, the certificate mutual authentication system characterized by comprising a communication channel establishment notification transmission means for transmitting a communication channel establishment notification to the client.
  2. 前記クライアントには、通信路確立要求先に応じて、送信する証明書を選択するクライアント証明書選択手段を 備え、 Wherein the client, depending on the communication path establishment request destination, includes client certificate selection means for selecting a certificate to send,
    前記サーバには、通信路確立要求元に応じて、送信する証明書を選択するサーバ証明書選択手段を 備えることを特徴とする請求項1に記載の証明書相互認証システム。 Wherein the server, in response to the communication path establishment requesting certificates mutual authentication system according to claim 1, characterized in that it comprises a server certificate selecting means for selecting a certificate to send.
  3. 通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証方法であって、 And a client that performs a communication path establishment request, by the server responding to the communication path establishment request from the client, a certificate mutual authentication method for performing mutual authentication of a plurality of certificates,
    前記クライアントにより、 By the client,
    前記サーバに通信路確立要求を送信する通信路確立要求手順と、 A communication channel establishment request procedure of transmitting a communication channel establishment request to the server,
    前記サーバから複数の証明書を受信するサーバ証明書受信手順と、 A server certificate receiving step of receiving a plurality of certificates from the server,
    前記サーバから受信した複数の証明書を認証するサーバ証明書認証手順と、 And server certificate authentication procedure for authenticating a plurality of certificate received from the server,
    前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手順と、 After authenticating the plurality of certificate received from the server, and a client certificate transmission step of transmitting a plurality of certificates to the server,
    クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手順と が行われ、 If the certificate transmitted from the client has been authenticated to the server, the procedure communication channel establishment notification reception for receiving the communication channel establishment notification from the server is performed,
    前記サーバにより、 By the server,
    前記クライアントから通信路確立要求を受信する通信路確立要求受信手順と、 And instructions communication path establishment request reception that receives a communication path establishment request from the client,
    前記クライアントに複数の証明書を送信するサーバ証明書送信手順と、 And server certificate transmission step of transmitting a plurality of certificates in the client,
    前記クライアントから複数の証明書を受信するクライアント証明書受信手順と、 A client certificate reception procedure for receiving a plurality of certificates from the client,
    前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手順と、 A client certificate authentication procedure for authenticating a plurality of certificate received from the client,
    クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手順とが行われることを特徴とする証明書相互認証方法。 After authenticating the plurality of certificate received from the client, the certificate mutual authentication method characterized by the steps communication channel establishment notification transmission that transmits a communication channel establishment notification to the client is performed.
JP2004082419A 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method Active JP4601979B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004082419A JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004082419A JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Publications (2)

Publication Number Publication Date
JP2005267520A true JP2005267520A (en) 2005-09-29
JP4601979B2 JP4601979B2 (en) 2010-12-22

Family

ID=35091975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004082419A Active JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Country Status (1)

Country Link
JP (1) JP4601979B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007201937A (en) * 2006-01-27 2007-08-09 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2009098955A (en) * 2007-10-17 2009-05-07 Fuji Xerox Co Ltd System, device, and program for managing electronic information
JP2013512625A (en) * 2009-11-25 2013-04-11 セキュリティー ファースト コーポレイション System and method for securing data in motion
JP2014505960A (en) * 2011-02-17 2014-03-06 ターセーラ, インコーポレイテッド System and method for application certification
US8904194B2 (en) 2004-10-25 2014-12-02 Security First Corp. Secure data parser method and system
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002353959A (en) * 2001-05-30 2002-12-06 Nec Corp System, method and program for authentication
CA2468599A1 (en) * 2001-11-29 2003-06-12 Siemens Aktiengesellschaft Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002353959A (en) * 2001-05-30 2002-12-06 Nec Corp System, method and program for authentication
CA2468599A1 (en) * 2001-11-29 2003-06-12 Siemens Aktiengesellschaft Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
US8904194B2 (en) 2004-10-25 2014-12-02 Security First Corp. Secure data parser method and system
US9009848B2 (en) 2004-10-25 2015-04-14 Security First Corp. Secure data parser method and system
US9047475B2 (en) 2004-10-25 2015-06-02 Security First Corp. Secure data parser method and system
US9135456B2 (en) 2004-10-25 2015-09-15 Security First Corp. Secure data parser method and system
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9294444B2 (en) 2004-10-25 2016-03-22 Security First Corp. Systems and methods for cryptographically splitting and storing data
US9294445B2 (en) 2004-10-25 2016-03-22 Security First Corp. Secure data parser method and system
US9338140B2 (en) 2004-10-25 2016-05-10 Security First Corp. Secure data parser method and system
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
JP2007201937A (en) * 2006-01-27 2007-08-09 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2009098955A (en) * 2007-10-17 2009-05-07 Fuji Xerox Co Ltd System, device, and program for managing electronic information
US9516002B2 (en) 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
JP2013512625A (en) * 2009-11-25 2013-04-11 セキュリティー ファースト コーポレイション System and method for securing data in motion
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
JP2014505960A (en) * 2011-02-17 2014-03-06 ターセーラ, インコーポレイテッド System and method for application certification

Also Published As

Publication number Publication date
JP4601979B2 (en) 2010-12-22

Similar Documents

Publication Publication Date Title
US7257836B1 (en) Security link management in dynamic networks
JP4794125B2 (en) Secure shared resource management method
JP4294268B2 (en) Method and system for incorporating a security mechanism into a session initiation protocol request message for client proxy authentication
EP1312191B1 (en) Method and system for authentification of a mobile user via a gateway
US7661131B1 (en) Authentication of tunneled connections
US7865936B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
US6823454B1 (en) Using device certificates to authenticate servers before automatic address assignment
KR100745999B1 (en) Bluetooth device and method for offering service determined by Bluetooth PIN
JP5797739B2 (en) Method and system for reliable protocol tunneling over HTTP
CN1879382B (en) A method and apparatus for establishing an encrypted communication path between devices
KR101459802B1 (en) Authentication delegation based on re-verification of cryptographic evidence
TWI407750B (en) Peer-to-peer authentication and authorization
US7913084B2 (en) Policy driven, credential delegation for single sign on and secure access to network resources
TWI339518B (en) Peer-to-peer name resolution wire protocol and message format data structure for use therein
US7979899B2 (en) Trusted device-specific authentication
KR100856674B1 (en) System and method for authenticating clients in a client-server environment
US7600113B2 (en) Secure network channel
JP3921159B2 (en) How to safely share the personal device among a plurality of users
US7082532B1 (en) Method and system for providing distributed web server authentication
US6826690B1 (en) Using device certificates for automated authentication of communicating devices
AU2009215815B2 (en) Systems and methods for secure workgroup management and communication
KR100702427B1 (en) Secured and access controlled peer-to-peer resource sharing method and apparatus
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
US7240362B2 (en) Providing identity-related information and preventing man-in-the-middle attacks
US8578465B2 (en) Token-based control of permitted sub-sessions for online collaborative computing sessions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090929

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100921

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100929

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141008

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250