JP2006251868A - Id management system and id management method - Google Patents
Id management system and id management method Download PDFInfo
- Publication number
- JP2006251868A JP2006251868A JP2005063705A JP2005063705A JP2006251868A JP 2006251868 A JP2006251868 A JP 2006251868A JP 2005063705 A JP2005063705 A JP 2005063705A JP 2005063705 A JP2005063705 A JP 2005063705A JP 2006251868 A JP2006251868 A JP 2006251868A
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication information
- service providing
- registered
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、複数のシステムのそれぞれの正当性を示すための認証情報を効率的に生成及び安全に管理するID管理技術に関する。 The present invention relates to an ID management technique for efficiently generating and securely managing authentication information for indicating the validity of each of a plurality of systems.
サービスを提供するシステム(以下、提携サービス提供システム)にアクセスする際の認証に利用される認証情報(例えば、ID、パスワード、証明書等)を効率的に設定する技術として、非特許文献1記載のプロキシ型認証フレームワークが知られている。このプロキシ型認証フレームワークにおいては、プロキシサーバが、クライアント端末上のアプリケーションの代わりに提携サービス提供システムとの間の認証処理を実行する。このため、個々のアプリケーションには認証情報を設定する必要がない。 Non-Patent Document 1 describes a technique for efficiently setting authentication information (for example, ID, password, certificate, etc.) used for authentication when accessing a service providing system (hereinafter referred to as a partner service providing system). The proxy type authentication framework is known. In this proxy type authentication framework, a proxy server executes an authentication process with a partner service providing system instead of an application on a client terminal. For this reason, it is not necessary to set authentication information for each application.
一方、クライアント端末の固有の情報(マシン固有情報)を認証に利用するクライアントマシン認証技術として、特許文献1記載の技術が知られている。この技術によれば、ユーザIDとマシン固有情報(HDD−ID、CPU−ID等)との対応情報がデータベースに予め登録されており、サーバは、クライアント端末からのユーザID及びマシン固有情報を、このデータベース内の対応情報と照合することによって、ユーザ及びクライアント端末の正当性を認証する。 On the other hand, as a client machine authentication technique that uses unique information (machine specific information) of a client terminal for authentication, a technique described in Patent Document 1 is known. According to this technique, correspondence information between a user ID and machine specific information (HDD-ID, CPU-ID, etc.) is registered in the database in advance, and the server stores the user ID and machine specific information from the client terminal, The validity of the user and the client terminal is authenticated by collating with the corresponding information in this database.
ところが、非特許文献1記載のプロキシ型認証フレームワークによれば、複数のアプリケーションによって一つの認証情報が利用される。このため、提携サービス提供システムの不正利用を防止するための多重ログイン防止機能の利用が困難である。 However, according to the proxy authentication framework described in Non-Patent Document 1, one authentication information is used by a plurality of applications. For this reason, it is difficult to use the multiple login prevention function for preventing unauthorized use of the partner service providing system.
一方、特許文献1記載のクライアントマシン認証技術によれば、提携サービス提供システムを利用するすべてのクライアント端末のマシン固有情報がデータベースに登録されている必要がある。例えば、複数の情報処理装置(サーバ、端末)が自律的に動作する、例えば、グリッド、ユビキタス等の自律システムについては、このような登録作業にとくに手間がかかる。 On the other hand, according to the client machine authentication technique described in Patent Literature 1, machine specific information of all client terminals that use the affiliated service providing system needs to be registered in the database. For example, for an autonomous system in which a plurality of information processing apparatuses (servers, terminals) operate autonomously, for example, an autonomous system such as a grid or ubiquitous, such registration work is particularly troublesome.
そこで、本発明は、複数のシステムのそれぞれの正当性を示すための認証情報を効率的に生成及び安全に管理可能とすることを目的とする。 Therefore, an object of the present invention is to enable efficient generation and safe management of authentication information for indicating the validity of each of a plurality of systems.
本発明は、
ネットワーク上のサーバを管理するID管理システムであって、
前記ネットワーク上のシステムに対して、当該ID管理システムの正当性を示す第1の認証情報が格納された記憶手段と、
前記ネットワーク上にサーバを増やす場合に、当該サーバが前記ネットワーク上の他のシステムにアクセスするために用いる第2の認証情報を生成するサービス管理手段と、
を有し、
当該サービス管理手段は、
前記第2の認証情報を生成した場合、前記第1の認証情報と、前記システムへの登録を求める前記第2の認証情報とを含む登録要求を前記システムに与え、当該要求に対する応答として前記第2の認証情報の登録通知を受け付けると、前記サーバへの登録を求める前記第2の認証情報を含む登録要求を前記サーバに与える、
ことを特徴とするID管理システムを提供する。
The present invention
An ID management system for managing servers on a network,
Storage means for storing first authentication information indicating the validity of the ID management system for the system on the network;
Service management means for generating second authentication information used by the server to access another system on the network when adding more servers on the network;
Have
The service management means
When the second authentication information is generated, a registration request including the first authentication information and the second authentication information for requesting registration in the system is given to the system, and the first request is sent as a response to the request. When receiving a registration notification of authentication information 2, a registration request including the second authentication information for requesting registration to the server is given to the server.
An ID management system is provided.
また、
情報処理装置にサービスを提供するサービス提供システムであって、
当該サービス提供システムへのアクセスの正当性を判断するための認証情報が登録された記憶手段と、
前記サービス提供システムへの登録を求める第2の認証情報と、前記第1の認証情報とを含む登録要求を前記第1の情報処理装置から受け付けた場合、当該第1の認証情報と前記記憶手段に登録された前記認証情報とが合致すれば、前記記憶手段に当該第2の認証情報を登録するID管理手段と、
前記第2の認証情報を含むサービス提供要求を受け付けた場合、当該第2の認証情報が前記記憶手段に登録されていれば、前記第1の情報処理装置に前記サービスを提供するサービス提供手段と、
を備えることを特徴とするサービス提供システムを提供する。
Also,
A service providing system for providing a service to an information processing device,
A storage means in which authentication information for determining the legitimacy of access to the service providing system is registered;
When a registration request including second authentication information for requesting registration in the service providing system and the first authentication information is received from the first information processing apparatus, the first authentication information and the storage unit ID management means for registering the second authentication information in the storage means if the authentication information registered in the storage means matches,
A service providing unit for providing the service to the first information processing apparatus when the service providing request including the second authentication information is received and the second authentication information is registered in the storage unit; ,
A service providing system is provided.
本発明によれば、複数のシステムのそれぞれの正当性を示すための認証情報を効率的に生成及び安全に管理することができる。 According to the present invention, it is possible to efficiently generate and securely manage authentication information for indicating the validity of each of a plurality of systems.
以下、添付の図面を参照しながら、本発明に係る実施の一形態について説明する。 Hereinafter, an embodiment according to the present invention will be described with reference to the accompanying drawings.
まず、図1により、本実施の形態に係るネットワークシステムの全体構成について説明する。 First, the overall configuration of the network system according to the present embodiment will be described with reference to FIG.
本実施の形態に係るネットワークシステムには、インターネット等のネットワーク40で相互に接続された複数の情報処理システム10,30A〜30Nが含まれている。これらの情報処理システムのなかには、ネットワーク上のユーザ端末20A〜20Mにサービス(以下、エンドユーザからの要求に応じて提供するサービスをアプリケーションと呼ぶ)を提供するアプリケーションシステム10、アプリケーションシステム10にサービス(以下、アプリケーションシステム10がエンドユーザへのアプリケーションの提供に付随して必要とするサービスを提携サービスと呼ぶ)を提供する複数の提携サービス提供システム30A〜30N、が含まれている。なお、ネットワーク40には、Secure Socket Layer(SSL)通信等におけるサーバ認証に必要なデジタル証明書を発行する第三者機関(認証局)の認証局端末50M等もさらに接続されている。
The network system according to the present embodiment includes a plurality of
アプリケーションシステム10は、アプリケーションシステム10の利用を許可されたユーザ(以下、登録ユーザ)を管理するユーザ管理サーバ13、ユーザ管理サーバ13により認証された登録ユーザのユーザ端末20A〜20Mからの要求に応じてアプリケーションを提供する複数のアプリケーションサーバ11A〜11P、アプリケーションサーバ11A〜11Pを管理するグリッド管理サーバ12、これらを相互に接続したLAN(Local Area Network)14、を含んでいる。
The
ここで、アプリケーションシステム10内の各サーバ11A〜11P,12,13及び各提携サービス提供システム30A〜30Nは、いずれも、外部からの指示に応じてプログラムを実行可能なコンピュータシステムにより実現可能である。
Here, each of the servers 11A to 11P, 12, and 13 and the associated
このようなコンピュータシステムは、例えば、図2に示すように、メモリ101、各種機能を実現するための各種プログラム(実現すべき機能に対応するプログラム、OS等)及び各種データを含む情報100が格納された二次記憶装置(ハードディスク等)102、二次記憶装置102等からメモリ101にロードしたプログラム100を実行するCPU103、入出力インタフェース104、これらの各部の間をつなぐ通信線(バス等)105、等を有する。入出力インタフェース104には、ネットワークを介した通信を制御する通信装置109が接続される他、必要に応じて、ディスプレイ等の出力装置106、キーボード等の入力装置107、可搬型記憶媒体(光ディスク等)が装着されるドライブ108、等が接続される。
For example, as shown in FIG. 2, such a computer system stores a
なお、本実施の形態では、アプリケーションシステム10内の各サーバ11A〜11P,12,13及び各提携サービス提供システム30A〜30Nのそれぞれの機能の実現に必要な情報100が、それらの装置を構成するコンピュータシステムの二次記憶装置102にあらかじめ格納されているが、これらの情報100は、ドライブ108に装着される可搬型記憶媒体から、または、ネットワークを介して他の情報処理装置から、二次記憶装置102にインストールされたものであってもよい。または、二次記憶装置102にはインストールされずに、ドライブ108に装着される可搬型記憶媒体から、または、ネットワークを介して他の情報処理装置から、メモリ101にロードされてもよい。
In the present embodiment,
つぎに、各提携サービス提供システム30A〜30N及びアプリケーションシステム10内の各サーバ11A〜11P,12,13は、このようなハードウエア構成及びそれぞれについて用意された情報100により、以下の機能構成を実現する。
Next, the servers 11A to 11P, 12, and 13 in the tie-up
各提携サービス提供システム30A〜30Nは、提携サービス提供システムの利用を許可されたアプリケーションシステム(以下、登録アプリケーションシステム)10からの要求に応じて提携サービスを提供する提携サービス提供部31、登録アプリケーションシステム10を管理するグリッドID管理部32、グリッドID管理部32により参照される会員情報データベース33、を有している。
Each of the affiliated
会員情報データベース33には、図3に示すように、登録アプリケーションシステム10に関する会員情報330Aが登録アプリケーションシステムごとに登録され、登録アプリケーションサーバ10の下位に属するアプリケーションサーバに関する会員情報330Bがアプリケーションシステムごとに登録されている。各会員情報330A,330Bには、提携サービス提供システムの利用が許諾された会員としての認証情報331,332、認証情報の有効期間を表す有効期間情報333、上位システムの会員ID(親ID)334、下位システムの会員ID(子ID)の生成権限の有無を表す権限情報335、クレデンシャル332のステータス(有効、失効等)を表すステータス情報336、を含んでいる。ここでは用いる認証情報には、提携サービス提供システムの利用が許諾された会員としてのID(会員ID)331及びクレデンシャル情報(パスワード、または、認証局端末50から取得したデジタル証明書等)332が含まれている。なお、登録アプリケーションシステム10の会員情報330Aの親ID334としては、上位システムが存在しないことを示す情報「−」が格納される。
In the
一方、アプリケーションシステム10内の各サーバ11A〜11P,12,13に関しては、以下の通りである。
On the other hand, the servers 11A to 11P, 12, and 13 in the
各アプリケーションサーバ11A〜11Pは、ネットワーク上のユーザ端末にアプリケーションを提供するアプリケーション提供部111、提携サービス提供部111により参照される提携サービス情報データベース112、を有している。
Each of the application servers 11A to 11P includes an application providing unit 111 that provides an application to a user terminal on the network, and an affiliated
提携サービス情報データベース112には、図4に示すように、提携サービス提供システムへのアクセスに必要な情報(以下、提携サービス情報)1120が提携サービス提供システムごとに登録されている。各提携サービス情報1120には、提供サービスの名称1121、提携サービス提供システムのアドレス1122、提携サービス提供システムで採用されている認証方式名1123、提携サービス提供システムにおける認証情報(提携サービス提供システムにおける会員ID1215、提携サービス提供システムに対するアクセスの正当性を示すための、パスワード、電子証明書等のクレデンシャル情報1216)、等が含まれている。
As shown in FIG. 4, information (hereinafter referred to as partner service information) 1120 necessary for accessing the partner service providing system is registered in the partner
グリッド管理サーバ12は、アプリケーションサーバ11A〜11Pの管理処理(構築、設定、起動、性能監視、障害監視、侵害監視等)を実行するサーバ管理部121、提携サービス提供システム30A〜30Nに対する各種リクエスト(新規認証情報の登録要求、失効要求)を生成する提携サービス管理部122、サーバ管理部121及び提携サービス管理部122により参照される2種類のデータベース(サーバ情報データベース123、提携サービス情報データベース124)等、を有している。
The
サーバ情報データベース123には、図5に示すように、アプリケーションサーバごとに、アプリケーションサーバにアクセスするために必要な情報(サーバ情報)1230が登録されている。各アプリケーションサーバ情報1230には、アプリケーションサーバのアドレス情報1232、アプリケーションサーバに対するアクセスの正当性を示すための認証情報(パスワードまたは電子証明書等のクレデンシャル情報1233、サーバID1231)、が含まれている。また、提携サービス情報データベース124には、図4の提携サービス情報データベース112と同様なデータ構造で、グリッド管理サーバ12がアクセス許可された提携サービス提供システムごとに、提携サービス提供システムにアクセスするために必要な提携サービス情報があらかじめ格納されている。
As shown in FIG. 5, information (server information) 1230 necessary for accessing the application server is registered in the
ユーザ管理サーバ13は、アプリケーションサーバの要求に応じてユーザ認証を実行する認証処理部131、認証処理部131により参照されるユーザ情報データベース132、を有する。ユーザ情報データベースには、登録ユーザごとに、ユーザ名とパスワードとを含むユーザ情報が登録されている。
The
なお、このようなアプリケーションシステム10及び各提携サービス提供システム30A〜30Nは、どのような運営主体によって運営管理されてもよいが、例えば、アプリケーションシステム10は、1つ以上の組織または個人により運営され、各提携サービス提供システム30A〜30Nは、アプリケーションシステム10の運営主体と提携した1以上の組織または個人により運営される。
Note that the
以下、図6により、このようなネットワークシステムにおいて、アプリケーションシステム10に新たに構築されるアプリケーションサーバが提携サービス提供システムにアクセスするために必要となる認証情報(会員ID、パスワード)の生成処理及び登録処理について説明する。
Hereinafter, in FIG. 6, in such a network system, authentication information (member ID, password) generation processing and registration required for an application server newly built in the
アプリケーションシステム10においては、グリッド管理サーバ12のサーバ管理部121が、各アプリケーションサーバ11A〜11Pの負荷を定期的に監視している。その結果、いずれかのアプリケーションBを提供するアプリケーションサーバ(ここではアプリケーションサーバ11B)に所定の負荷以上の負荷がかかっていることが検知されると、グリッド管理サーバ12において、以下の処理が実行される。
In the
まず、サーバ管理部121は、アプリケーションサーバ11Bのサーバ情報をサーバ情報データベース123から読み出し、このサーバ情報の認証情報1231,1233を含むサービス情報送信要求を、この提携サーバ情報に含まれるアドレス宛に送信する。アプリケーションBは、これに応じて提携サービス情報データベース112から提携サービス情報を取り出し、それらの提携サービス情報を返信する。これにより、サーバ管理部121は、アプリケーションサーバ11Bの提携サーバ情報を取得する。
First, the server management unit 121 reads the server information of the application server 11B from the
また、サーバ管理部121は、アプリケーションサーバ11B以外のアプリケーションサーバ(ここではアプリケーションサーバ11Tとする)のサーバ情報を所定のルールにしたがって選択する。さらに、サーバ管理部121は、そのサーバ情報の認証情報1231,1233を含む、アプリケーションBに関するアプリケーションプログラムbのインストール要求を、そのサーバ情報のアドレス情報1232が示すアドレス宛に送信する。これにより、アプリケーションBに関するアプリケーションプログラムbが他のアプリケーションサーバ11Tにインストールされる(S601)。
Further, the server management unit 121 selects server information of an application server other than the application server 11B (here, the application server 11T) according to a predetermined rule. Further, the server management unit 121 transmits an installation request for the application program b related to the application B including the
その後、提携サービス管理部122が、アプリケーションサーバ11Tの正当性を示す認証情報として用いられる会員ID及びクレデンシャル情報(以下、これらをアプリケーションサーバ11Tの認証情報)を生成する。具体的には、アプリケーションサーバ11Tのクレデンシャル情報として、ランダムな文字列(ここではパスワード)を生成するとともに、アプリケーションサーバ11Tの会員IDとして、提携サービス情報データベース124に登録されたいずれの会員ID1124とも重複しない文字列を生成する。
Thereafter, the affiliated
なお、ここでは、提携サービス管理部122が、アプリケーションサーバ11Tの認証情報を生成しているが、必ずしも、このようにする必要はない。例えば、提携サービス管理部122からの要求に応じて、提携サービス提供システムが、会員情報データベース33に登録されたいずれの会員ID331とも重複しない文字列及び任意の文字列をアプリケーションシステム11Tの認証情報として生成し、それを提携サービス管理部122に通知するようにしてもよい。
Here, the affiliated
このように、アプリケーションサーバ11Tの認証情報を生成したら、提携サービス管理部122は、さらに、アプリケーションサーバ11Bから受け付けた各提携サービス情報に対応する提携サービス情報(例えばアドレス情報が合致する提携サービス情報)を提携サービス情報データベース124から取り出す。つまり、アプリケーションサーバ11Tに提携サービスを提供する提携サービス提供システムにグリッド管理サーバ12がアクセスするためのサービス情報を提携サービス情報データベース124から取り出す。そして、提携サービス管理部122は、このとき取り出した各提携サービス情報に含まれるアドレス宛に会員登録要求を送信する(S602)。ここで送信される各会員登録要求には、それぞれ、対応する提携サービス情報に含まれていた会員ID及びクレデンシャル情報がグリッド管理サーバ12の認証情報として含まれるとともに、下位システムの会員IDの生成権限をアプリケーションサーバ11Tに与えるか否かを示す権限情報(例えばデフォルト権限「子ID登録可能」)及びアプリケーションサーバ11Tの認証情報が登録対象情報として含まれる。
When the authentication information of the application server 11T is generated in this way, the affiliated
その後、提携サービス管理部122は、これらの会員登録要求に対する応答を待機する(S603)。
Thereafter, the affiliated
一方、各提携サービス提供システム30A〜30Nにおいては、これらの会員登録要求が受け付けられると(S610)、それぞれ、以下の処理が実行される。
On the other hand, in each of the affiliated
まず、グリッドID管理部32が、グリッド管理サーバ12の認証情報及び登録対象情報を会員登録要求から取り出し、この認証情報と、会員情報データベース33に登録された会員ID331及びクレデンシャル332とを照合する(S611)。これにより、登録要求の発信元の正当性を検証する。
First, the grid ID management unit 32 extracts the authentication information and registration target information of the
その結果、グリッド管理サーバ12の認証情報に合致する会員ID331及びクレデンシャル332を含む会員情報が存在していなければ、すなわち会員登録要求の発信元の正当性が認証できなければ、グリッドID管理部32は、アクセスを拒否した旨の通知をグリッド管理サーバ11に返信する(S612)。
As a result, if the member information including the
また、グリッド管理サーバ12の認証情報に合致する会員ID331及びクレデンシャル332を含む会員情報が存在していれば、すなわち会員登録要求の発信元の正当性が認証されれば、グリッドID管理部32は、さらに、会員登録要求の発信元の下位システムとしてアプリケーションサーバ11Tを登録可能か否かをチェックする。具体的には、下位システムの会員IDの生成権限がアプリケーションシステム10に与えられている否かを、その会員情報の権限情報335に基づき判断するとともに、登録対象情報に含まれる会員IDと重複する会員ID331が会員情報データベース33に登録されていないか否かをチェックする(S613)。
Further, if member information including the
その結果、下位システムの会員IDの生成権限がアプリケーションシステム10に与えられていない場合、及び、登録対象情報に含まれる会員IDが既登録の会員IDと重複する場合の少なくとも一方に該当していれば、グリッドID管理部32は、登録を拒否した旨の通知をグリッド管理サーバ11に返信する(S614)。
As a result, at least one of the case where the authority for generating the member ID of the lower system is not given to the
一方、いずれの場合にも該当しなければ(下位システムの会員IDの生成権限がアプリケーションシステム10に与えられ、かつ、登録対象情報に含まれる会員IDが既登録会員IDと重複しない場合)、グリッドID管理部32は、登録対象情報(会員ID、クレデンシャル、権限情報)を含む会員情報330Bを会員情報データベース33に新たに登録する。このとき登録される会員情報330Bには、さらに、現在から所定期間が経過した日付を表す情報、グリッド管理サーバ12の認証情報に含まれる会員ID、及び、登録対象情報に含まれる会員IDが有効であることを示す情報が、有効期間情報333、親ID334及びステータス情報336として含まれる。
On the other hand, if none of the cases is applicable (when a member ID generation authority of the lower system is given to the
このようにして、アプリケーションサーバ11Tに関する新たな会員情報339Bの登録が完了したら、提携サービス管理部122は、登録が成功した旨の通知をグリッド管理サーバ11に返信する(S615)。
When the registration of the new member information 339B related to the application server 11T is completed in this way, the affiliated
さて、グリッド管理サーバ11の提携サービス管理部122は、以上3種類のうちのいずれかの通知を、会員登録要求に対する応答として受信すると(S603)、それが、登録通知か否かをチェックする(S604)。
When the affiliated
その結果、登録通知でなければ(アクセス拒否通知または登録拒否通知であれば)、提携サービス管理部122は、処理を終了する。
As a result, if it is not a registration notification (if it is an access rejection notification or a registration rejection notification), the affiliated
一方、登録通知であれば、提携サービス管理部122は、アプリケーションサーバ11Bから受け付けた各提携サービス情報から所定の情報(認証情報1124,1125以外の情報1121〜1123)を取り出して、それらの情報1121〜1123とアプリケーションサーバ11Tの認証情報とを含む提携サービス情報を生成する。そして、これらの提携サービス情報を含む登録要求をアプリケーションサーバ11Tに送信する(S605)。なお、この登録要求には、S601で取り出した、アプリケーションサーバ11Tの提携サーバ情報の認証情報1231,1233が含まれる。
On the other hand, if it is a registration notification, the affiliated
これに応じて、アプリケーションサーバ11Tにおいては、アプリケーション提供部111が、登録要求に含まれる認証情報に基づき機器認証を行ってから、さらに、登録要求に含まれる提携サービス情報を提携サービス情報データベース112に新規に登録するとともにアプリケーションプログラムbを起動する(S620)。これにより、以後、アプリケーションサーバ11Bとともに他のアプリケーションサーバ11Tも、外部からの要求に応じてアプリケーションBを提供可能な状態となる。
In response to this, in the application server 11T, after the application providing unit 111 performs device authentication based on the authentication information included in the registration request, the partner service information included in the registration request is further stored in the partner
その後、いずれかのユーザ端末(例えばユーザ端末20A)上のWebクライアントプログラム(Webブラウザ等)からアプリケーションサーバ11Tにアクセスがあると(S621)、アプリケーション提供部111が、まず、ユーザ端末20Aからの認証情報(ユーザ名、パスワード)を含む認証要求をユーザ管理サーバ13に送信する。これに応じて、ユーザ管理サーバ13においては、認証処理部131が、ユーザ情報データベース132に登録されたユーザ情報と、ユーザ端末20Aからの認証情報とを照合することによってユーザ認証を行い、その結果を返信する。
Thereafter, when the application server 11T is accessed from a Web client program (such as a Web browser) on any user terminal (for example, the
アプリケーション提供部111は、ユーザ管理サーバ13からの応答がユーザ認証の成功を示していれば、アプリケーションBをユーザ端末20Aに提供する。このとき、必要に応じて、提携サービス情報データベース124から提携サービス情報を取り出し、それらの提携サービス情報の会員ID1124及びクレデンシャル1125を認証情報として含むサービス提供要求を、それらの提携サービス情報のアドレス情報1121が示すアドレス宛に送信する(S622)。
If the response from the
各提携サービス提供システム30A〜30Nにおいては、それぞれ、提携サービス提供部31が、サービス提供要求を受け付けると(S616)、サービス提供要求に含まれている認証情報と、会員情報データベース33に登録された会員ID331及びクレデンシャル332とを照合することによって、アプリケーションサーバ11Tの正当性を検証する(S617)。
In each of the affiliated
その結果、アプリケーションサーバ11Tの認証に失敗すれば、提携サービス提供部31は、アクセスを拒否した旨の通知をアプリケーションサーバ11Tに返信する(S618)。アプリケーションサーバ11Tは、この通知を受け付けると(S623)、ユーザ端末からのアクセスの待機状態(S621)に戻る。 As a result, if the authentication of the application server 11T fails, the affiliated service providing unit 31 returns a notification that the access is denied to the application server 11T (S618). Upon receiving this notification (S623), the application server 11T returns to the standby state for access from the user terminal (S621).
一方、アプリケーションサーバ11Tの認証に成功すれば、提携サービス提供部31は、要求された提携サービスをアプリケーションサーバ11Tに提供する(S619)。さらに、アプリケーションサーバ11Tは、このとき提供された提携サービスをユーザ端末20Aに提供する(S624)。
On the other hand, if the authentication of the application server 11T is successful, the tie-up service providing unit 31 provides the requested tie-up service to the application server 11T (S619). Furthermore, the application server 11T provides the affiliated service provided at this time to the
以上の処理によれば、複数のアプリケーションサーバを有するアプリケーションシステムにおいて、例えば、提携サービス提供システムにアクセスするアプリケーションサーバを新たに構築するとき、提携サービス提供システムに対して新たなアプリケーションサーバの正当性を示すための認証情報が自動的に生成され、提携サービス提供システムに登録される。つまり、アプリケーションサーバの増加に応じて自律的に認証情報が追加される。 According to the above processing, in an application system having a plurality of application servers, for example, when a new application server that accesses the affiliated service providing system is constructed, the validity of the new application server is confirmed with respect to the affiliated service providing system. Authentication information for showing is automatically generated and registered in the affiliated service providing system. That is, authentication information is added autonomously as the number of application servers increases.
したがって、各アプリケーションサーバごとの認証情報の登録作業にかかる手間を省くことができるため、複数のアプリケーションサーバの認証情報を効率的に管理することができる。また、すべてのアプリケーションサーバに個別の認証情報が付与されるため、提携サービス提供システム側の多重ログイン防止機能によって提携サービス提供システムの不正利用を防止することが可能となる。すなわち、複数のシステムのそれぞれの正当性を示すための認証情報を効率的に生成及び安全に管理することができる。 Accordingly, since it is possible to save time and effort for registering authentication information for each application server, it is possible to efficiently manage authentication information of a plurality of application servers. In addition, since individual authentication information is assigned to all application servers, unauthorized use of the affiliated service providing system can be prevented by the multiple login prevention function on the affiliated service providing system side. That is, it is possible to efficiently generate and securely manage authentication information for indicating the validity of each of a plurality of systems.
さらに、各アプリケーションサーバに個別の認証情報が付与されることにより、背景技術の欄で述べたシステムとは異なり、各アプリケーションサーバが、プロキシサーバを介して提携サービス提供システムにアクセスする必要がない。このため、例えば、アプリケーションサーバとプロキシサーバとの間の物理的距離が大きい場合等に生じる可能性がある性能低下を防止することができる。 Further, since individual authentication information is assigned to each application server, unlike the system described in the background art section, each application server does not need to access the affiliated service providing system via the proxy server. For this reason, for example, it is possible to prevent performance degradation that may occur when the physical distance between the application server and the proxy server is large.
以上においては、会員ID及びパスワードを認証情報として利用しているが、必ずしも、このようにする必要はない。例えば、IDベース署名技術により生成された秘密鍵がクレデンシャル情報として利用されてもよい。 In the above, the member ID and password are used as authentication information, but it is not always necessary to do so. For example, a secret key generated by an ID-based signature technique may be used as credential information.
以下、図7により、そのようにする場合について説明する。なお、この場合には、提携サービス情報のクレデンシャル情報として、十分な長さの秘密鍵及びIDベース署名を行うために必要な写像パラメータ情報が登録され、会員情報のクレデンシャル情報として、認証局端末50が発行したデジタル証明書に含まれていた、その秘密鍵に対応する公開鍵と写像パラメータ情報とが登録されていることとする。
Hereinafter, such a case will be described with reference to FIG. In this case, a sufficiently long private key and mapping parameter information necessary for performing an ID-based signature are registered as credential information of the partner service information, and the
グリッド管理サーバ12において、サーバ管理部121が、前述の場合と同様、所定の状況において、アプリケーションサーバ11Bの提携サーバ情報を取得するとともに、アプリケーションbに関連するアプリケーションプログラムBをアプリケーションサーバ11Tにインストールする(S701)。
In the
その後、提携サービス管理部122は、以下のように、アプリケーションサーバ11Tの認証情報として用いられる会員ID及びクレデンシャル情報を生成する(S702)。
Thereafter, the affiliated
提携サービス管理部122は、アプリケーションシステム10のクレデンシャル情報(秘密鍵)及び写像パラメータ情報を提携サービス情報データベース124から読み出し、アプリケーションシステム10のクレデンシャル情報及び写像パラメータ情報でアプリケーションサーバ11Tの会員IDを暗号化する。これにより、アプリケーションサーバ11Tのクレデンシャル情報として用いる秘密鍵を生成する。
The affiliated
また、提携サービス管理部122は、アプリケーションサーバ11Tが所属するアプリケーションシステム10の会員IDに続けて、仕切り文字(例えばピリオド「.」)、文字列「child」及びシーケンシャル番号を付加した文字列を、アプリケーションサーバ11Tの会員IDとして生成する。例えば、アプリケーションシステム10の会員IDが「pay-ID」である場合、提携サービス管理部122は、アプリケーションサーバ11Tの会員IDとして「pay-ID.child1」を生成する。なお、アプリケーションサーバ11Tの下位システムの会員ID(アプリケーションシステム10の会員IDの孫ID)を生成する場合には、アプリケーションサーバ11Tの会員IDに続けて、仕切り文字(例えばピリオド「.」)、文字列「grdchild」及びシーケンシャル番号を付加した文字列を生成する。例えば、アプリケーションサーバ11Tの会員IDが「pay-ID.child1」である場合、その最初の子IDは、「pay-ID.child1.grdchild1」となる。これにより、上位システムとの間の階層関係を識別可能な会員ID、すなわち、親IDを抽出可能な子IDが生成される。
In addition, the affiliated
このように、アプリケーションサーバ11Tの認証情報を生成したら、提携サービス管理部122は、アプリケーションサーバ11Bから受け付けた各提携サービス情報から所定の情報(認証情報1124,1125以外の情報1121〜1123)を取り出して、それらの情報1121〜1123とアプリケーションサーバ11Tの認証情報とを含む提携サービス情報を生成する。さらに、提携サービス管理部122は、それらの提携サービス情報を含む登録要求をアプリケーションサーバ11Tに送信する(S703)。
When the authentication information of the application server 11T is generated in this way, the affiliated
これに応じて、アプリケーションサーバ11Tにおいては、アプリケーション提供部111が、前述の場合と同様、登録要求に含まれる提携サービス情報を提携サービス情報データベース112に新規に登録するとともに、アプリケーションプログラムbを起動する(S721)。これにより、以後、アプリケーションサーバ11Tが、外部からの要求に応じてアプリケーションBを提供可能な状態となる。
In response to this, in the application server 11T, the application providing unit 111 newly registers the affiliated service information included in the registration request in the affiliated
その後に、いずれかのユーザ端末から(例えばユーザ端末20A)のWebクライアントプログラムからアプリケーションサーバ11Tにアクセスがあると(S722)、アプリケーション提供部111は、前述の場合と同様、ユーザ管理サーバ13にユーザ認証を依頼し、その結果に応じて、ユーザ端末20AにアプリケーションBを提供する(S725)。このとき、必要に応じて、アプリケーション提供部111は、提携サービス情報データベース124の提携サービス情報から会員ID1124を取り出し、これを含むサービス提供要求を、それらの提携サービス情報のアドレス情報1121が示すアドレス宛に送信する(S723)。
After that, when there is an access to the application server 11T from a Web client program (for example, the
各提携サービス提供システム30A〜30Nにおいては、これらのサービス提供要求が受け付けられると(S710)、それぞれ、以下の処理が実行される。
In each of the affiliated
まず、グリッドID管理部32は、サービス提供要求に含まれていた会員IDを会員情報データベース33で検索する(S711)。
First, the grid ID management unit 32 searches the
その結果、該当する会員IDがすでに登録されていれば、グリッドID管理部32は、ランダムなビット列をチャレンジデータとして生成し、それをアプリケーションサーバ11Tに返信する(S715)。 As a result, if the corresponding member ID has already been registered, the grid ID management unit 32 generates a random bit string as challenge data and returns it to the application server 11T (S715).
一方、該当する会員IDが登録されていなければ、グリッドID管理部32は、サービス提供要求に含まれる会員IDから、それの親IDを抽出し、この親ID334を含む会員情報を会員情報データベース33で検索する。さらに、グリッドID管理部32は、サービス提供要求に含まれる会員IDが新規登録か否かを、親ID334に対応付けられたステータス情報336及び権限情報335に基づき判断する。具体的には、親IDが失効している場合、及び、子IDの生成権限が付与されていない場合の少なくとも一方に該当するか否かをチェックする(S712)。
On the other hand, if the corresponding member ID is not registered, the grid ID management unit 32 extracts the parent ID from the member ID included in the service provision request, and stores the member information including the
少なくとも一方の場合に該当する場合、すなわち、サービス提供要求に含まれる会員IDが新規登録不能な場合、グリッドID管理部32は、アクセス要求拒否通知をアプリケーションサーバ11Tに返信する(S713)。 In the case of at least one of the cases, that is, when the member ID included in the service provision request cannot be newly registered, the grid ID management unit 32 returns an access request rejection notice to the application server 11T (S713).
いずれの場合にも該当しない場合、すなわち、サービス提供要求に含まれる会員IDが新規登録可能な場合には、まず、その会員IDに対応付けるべきクレデンシャル情報を生成する。具体的には、親IDに対応付けられたクレデンシャル情報(親IDを含む会員情報に含まれているクレデンシャル情報:公開鍵及び写像パラメータ)と、サービス提供要求に含まれていた会員IDとに基づいて公開鍵を生成する。さらに、グリッドID管理部32は、このとき生成した公開鍵と写像パラメータとを含むクレデンシャル情報、サービス提供要求に含まれていた会員ID、親ID、デフォルト権限(例えば「子ID登録可能」)を表す権限情報、及び、「有効」を表すステータス情報を含む新たな会員情報を生成し、これを会員情報データベース33に新規に登録する(S714)。 If none of the cases applies, that is, if the member ID included in the service provision request can be newly registered, first, credential information to be associated with the member ID is generated. Specifically, based on the credential information associated with the parent ID (credential information included in the member information including the parent ID: public key and mapping parameter) and the member ID included in the service provision request. To generate a public key. Furthermore, the grid ID management unit 32 provides the credential information including the public key and mapping parameters generated at this time, the member ID, the parent ID, and the default authority (for example, “child ID can be registered”) included in the service provision request. New member information including authority information to be expressed and status information to indicate “valid” is generated, and this is newly registered in the member information database 33 (S714).
その後、グリッドID管理部32は、サービス提供要求に含まれる会員IDがすでに登録されていた場合と同様、ランダムなビット列をチャレンジデータとして生成し、それをアプリケーションサーバ11Tに返信する(S715)。 Thereafter, as in the case where the member ID included in the service provision request has already been registered, the grid ID management unit 32 generates a random bit string as challenge data and returns it to the application server 11T (S715).
さて、アプリケーションサーバ11Tにおいては、アプリケーションサーバ11Aのアプリケーション提供部111が、提携サービス提供システムからのチャレンジデータを受信すると(S726)、S721で登録した提携サービス情報の秘密鍵で、このチャレンジデータに署名を施し、それをレスポンスデータとして提携サービス提供システムに返信する(S723)。 In the application server 11T, when the application providing unit 111 of the application server 11A receives the challenge data from the affiliated service providing system (S726), the challenge data is signed with the secret key of the affiliated service information registered in S721. Is sent back to the affiliated service providing system as response data (S723).
各提携サービス提供システム30A〜30Nにおいては、それぞれ、グリッドID管理部32が、レスポンスデータを受信すると(S716)、それの電子署名を検証する(S717)。具体的には、アプリケーションサーバ11Tの会員情報に含まれるクレデンシャル情報の公開鍵を会員情報データベース33から取り出し、この公開鍵によってレスポンスデータの電子署名を検証する。
In each of the affiliated
その結果、電子署名の検証に失敗すれば、グリッドID管理部32は、アクセスを拒否した旨の通知をアプリケーションサーバ11Tに送信する(S718)。 As a result, if the verification of the electronic signature fails, the grid ID management unit 32 transmits a notification that the access is denied to the application server 11T (S718).
一方、電子署名の認証に成功すれば、提携サービス提供部31は、求められた提携サービスをアプリケーションサーバ11Tに提供する(S719)。さらに、必要に応じて、アプリケーションサーバ11Tは、提供された提携サービスをユーザ端末20Aに送信する(S729)。
On the other hand, if the authentication of the electronic signature is successful, the affiliated service providing unit 31 provides the requested affiliated service to the application server 11T (S719). Furthermore, if necessary, the application server 11T transmits the provided affiliate service to the
このような処理によれば、グリッド管理サーバ11が、認証情報を生成するごとに、その認証情報の登録を提携サービス提供システムに要求する必要がなくなる。このため、グリッド管理サーバ11の処理が簡略化される。また、クレデンシャル情報を外部のシステムに何度も送信する必要がなくなるため、セキュリティをより向上させることができる。 According to such processing, every time the grid management server 11 generates authentication information, it is not necessary to request the affiliated service providing system to register the authentication information. For this reason, the process of the grid management server 11 is simplified. Further, since it is not necessary to transmit the credential information to an external system over and over, security can be further improved.
なお、以上においては、アプリケーションサーバが高負荷になったことが検知された場合に実行される処理(図6及び図7に示した処理)を説明したが、新たなアプリケーションを提供するアプリケーションサーバを新規に構築する場合にも、同様な処理により、新規アプリケーションサーバの正当性を示すための認証情報を自動的に生成及び登録することができる。ただし、この場合には、例えば管理者が、新規アプリケーションサーバが利用する提携サービス提供システムをあらかじめ指定しておき、S605において、提携サービス管理部122が、指定された提携サービス提供システムに対応する提携サービス情報のうちの所定情報(会員ID及びクレデンシャル情報以外の情報)と、新規アプリケーションサーバの認証情報(会員ID、クレデンシャル情報)とを含む提携サービス情報を生成するようにする必要がある。
In the above description, the processing (the processing shown in FIGS. 6 and 7) that is executed when it is detected that the application server is heavily loaded has been described. However, the application server that provides a new application is described. Even in the case of newly constructing, authentication information for indicating the validity of the new application server can be automatically generated and registered by the same processing. However, in this case, for example, the administrator designates in advance an affiliated service providing system to be used by the new application server, and in S605, the affiliated
ところで、アプリケーションシステム10において、会員IDの不正利用が検出された場合等、アプリケーションサーバ自体及び提携している提携サービス提供システムの安全性を確保する対策の一つとして、不正利用された会員IDを失効させたいことがある。
By the way, as a measure for ensuring the safety of the application server itself and the affiliated service providing system when the unauthorized use of the member ID is detected in the
以下、図8により、グリッド管理サーバ12からの要求に応じて会員IDを失効させる処理について説明する。ここでは、図6に示した処理によって、アプリケーションサーバ11Tの認証情報が会員情報データベース33に登録された場合を例に挙げる。
Hereinafter, a process of revoking the member ID in response to a request from the
サーバ管理部15は、アプリケーションサーバ11Tに対する不正行為(例えば管理者権限の不正使用)等のセキュリティ侵害を、例えばログ情報等の参照により定期的に監視している。サーバ管理部15は、アプリケーションサーバ11Tに対するセキュリティ侵害を検出すると(S801)、アプリケーションサーバ11T上のアプリケーションプログラムの認証情報の失効リクエストを各提携サービス提供システム30A〜30Nに送信する(S802)。これらの失効リクエストには、アプリケーションシステムの認証情報と、失効を求める会員ID(アプリケーションサーバ11Tの会員ID)とが含まれている。
The server management unit 15 periodically monitors for security breaches such as fraudulent acts (for example, unauthorized use of administrator authority) on the application server 11T, for example, by referring to log information or the like. When the server management unit 15 detects a security breach for the application server 11T (S801), the server management unit 15 transmits an invalidation request for authentication information of the application program on the application server 11T to each of the affiliated
これらの失効リクエストを受信した提携サービス提供システムにおいては、それぞれ、グリッドID管理部32が、失効リクエストに含まれる認証情報と、会員情報データベースに登録されている認証情報(会員ID及びクレデンシャル)との照合により、失効リクエストの発信元(グリッド管理サーバ11)の正当性を認証する(S804)。 In the affiliated service providing system that has received these revocation requests, each of the grid ID management units 32 performs authentication information included in the revocation request and authentication information (member ID and credential) registered in the member information database. The verification verifies the validity of the source of the invalidation request (grid management server 11) (S804).
その結果、認証が失敗すれば、グリッドID管理部32は、アクセスを拒否する旨の通知をグリッド管理サーバ11に返信する(S805)。 As a result, if the authentication fails, the grid ID management unit 32 returns a notification that access is denied to the grid management server 11 (S805).
一方、認証が成功すれば、グリッドID管理部32は、失効が求められた会員ID及びこの会員IDの下位IDを失効させる。 On the other hand, if the authentication is successful, the grid ID management unit 32 revokes the member ID for which revocation is requested and the lower ID of this member ID.
具体的には、まず、失効が求められた会員IDを含む会員情報を会員情報テーブル33で検索し、その結果得られた会員情報のステータス情報336を、「失効」を示す情報で更新する(S806)。つぎに、失効が求められた会員IDを親ID334とする会員情報を会員情報データベース33で検索する。その結果、該当する会員情報が存在していれば、さらに、この会員情報に含まれる会員情報を親IDとする会員情報を会員情報データベース33で検索する(S807)。このようにして、失効が求められた会員IDの下位IDを含むすべての会員情報を取得したら、これらの会員情報のステータス情報336を、「失効」を示す情報で更新する(S806)。
Specifically, first, member information including a member ID for which revocation is requested is searched in the member information table 33, and the
以上のように、失効が要求された会員ID及びこの会員IDの下位IDを失効させたら、失効させたすべての会員IDのリストを含む失効通知をグリッド管理サーバ11に返信する(S808)。 As described above, when the member ID requested to be revoked and the lower ID of this member ID are revoked, a revocation notification including a list of all revoked member IDs is returned to the grid management server 11 (S808).
このような処理によれば、いずれかのアプリケーションサーバの認証情報が不正利用された場合には、この認証情報の会員ID、及び、この会員IDの権限により生成された会員ID、すなわち、セキュリティ侵害が発生したアプリケーションサーバ自身の会員ID及びこのアプリケーションサーバを起点として派生した下位システムの会員IDを失効させるため、万が一、いずれかのアプリケーションサーバの認証情報が漏洩しても、その影響の波及を最小限におさえることができる。 According to such processing, when the authentication information of any application server is illegally used, the member ID of the authentication information and the member ID generated by the authority of the member ID, that is, the security breach In the unlikely event that the authentication information of any application server is leaked, the influence of the application server's own member ID and the member ID of the lower system derived from this application server will be minimized. It can be limited.
なお、以上においては特に言及していないが、以上において述べた処理(図6〜図8)のいずれにおいても、ユーザ端末とアプリケーションシステムとの間、アプリケーションシステムと提携サービス提供システムとの間には、Secure Socket Layer(SSL)等の暗号化通信技術により安全な通信チャネルが確立されることが望ましい。 Although not particularly mentioned above, in any of the processes described above (FIGS. 6 to 8), between the user terminal and the application system, between the application system and the affiliated service providing system, It is desirable that a secure communication channel is established by an encrypted communication technique such as Secure Socket Layer (SSL).
また、複数の情報処理装置(サーバ、端末)が自律的に動作する、例えば、グリッド、ユビキタス等の自律システムであれば、どのようなアプリケーションを提供するものであっても、本実施の形態に係るアプリケーションシステム10となり得る。具体例としては、Web上でサービスを提供するアプリケーションシステム(デジタルコンテンツサイト、ショッピングサイト等)、企業内にサービスを提供する社内アプリケーションシステム、複数のセンサー及びこれらを管理するサーバを有するセンサーシステム、家電製品(テレビジョン、ビデオカメラ)及びメディアサーバ等が連携するメディアシステム等が挙げられる。
In addition, any application can be provided as long as it is an autonomous system such as a grid, ubiquitous, or the like in which a plurality of information processing apparatuses (servers, terminals) operate autonomously. Such an
また、アプリケーションの提供に関連して必要となるサービスであれば、どのようなサービスを提供するシステムであっても、本実施の形態に係る提携サービス提供システムとなり得る。具体例としては、コンテンツ配信代行サービス、課金決済代行サービス等が挙げられる。 In addition, any service providing system that is necessary in connection with the provision of an application can be an affiliated service providing system according to the present embodiment. Specific examples include a content distribution agency service and a billing settlement agency service.
10…アプリケーションシステム、11A〜11P…アプリケーションサーバ、12…グリッド管理サーバ、13…ユーザ管理サーバ13、20A〜20M…ユーザ端末、30A〜30N…提携サービス提供システム、40…ネットワーク、50…認証局端末
DESCRIPTION OF
Claims (8)
前記ネットワーク上のシステムに対して、当該ID管理システムの正当性を示す第1の認証情報が格納された記憶手段と、
前記ネットワーク上にサーバを増やす場合に、当該サーバが前記ネットワーク上の他のシステムにアクセスするために用いる第2の認証情報を生成するサービス管理手段と、
を有し、
当該サービス管理手段は、
前記第2の認証情報を生成した場合、前記第1の認証情報と、前記システムへの登録を求める前記第2の認証情報とを含む登録要求を前記システムに与え、当該要求に対する応答として前記第2の認証情報の登録通知を受け付けると、前記サーバへの登録を求める前記第2の認証情報を含む登録要求を前記サーバに与える、
ことを特徴とするID管理システム。 An ID management system for managing servers on a network,
Storage means for storing first authentication information indicating the validity of the ID management system for the system on the network;
Service management means for generating second authentication information used by the server to access another system on the network when adding more servers on the network;
Have
The service management means
When the second authentication information is generated, a registration request including the first authentication information and the second authentication information for requesting registration in the system is given to the system, and the first request is sent as a response to the request. When receiving a registration notification of authentication information 2, a registration request including the second authentication information for requesting registration to the server is given to the server.
An ID management system characterized by that.
当該サービス提供システムへのアクセスの正当性を判断するための認証情報が登録された記憶手段と、
第1の情報処理装置から、当該第1の情報処理装置の正当性を示す第1の認証情報と、前記サービス提供システムへの登録を求める第2の認証情報とを含む登録要求を受け付けた場合、当該第1の認証情報と前記記憶手段に登録された前記認証情報とが合致すれば、前記記憶手段に当該第2の認証情報を登録するID管理手段と、
前記第2の認証情報を含むサービス提供要求を受け付けた場合、当該第2の認証情報が前記記憶手段に登録されていれば、前記第2の情報処理装置に前記サービスを提供するサービス提供手段と、
を備えることを特徴とするサービス提供システム。 A service providing system for providing a service to an information processing device,
A storage means in which authentication information for determining the legitimacy of access to the service providing system is registered;
When a registration request including the first authentication information indicating the validity of the first information processing apparatus and the second authentication information for requesting registration in the service providing system is received from the first information processing apparatus If the first authentication information matches the authentication information registered in the storage means, an ID management means for registering the second authentication information in the storage means;
A service providing unit for providing the service to the second information processing apparatus when the service providing request including the second authentication information is received and the second authentication information is registered in the storage unit; ,
A service providing system comprising:
前記記憶手段には、前記第1の認証情報と、前記第1の情報処理装置が前記第2の認証情報の生成権限を有するか否かを表す権限情報とが対応付けて登録されており、
前記ID管理手段は、前記第1の情報処理装置から前記登録要求を受け付けた場合、前記第1の認証情報に対応付けて前記記憶手段に登録された権限情報が前記第2の認証情報を生成可能であることを示していれば、前記記憶手段に前記第2の認証情報を登録し、当該権限情報が前記第2の認証情報を生成可能であることを示していなければ前記第2の認証情報の登録を拒否する、
ことを特徴とするサービス提供システム。 The service providing system according to claim 2,
In the storage means, the first authentication information is registered in association with authority information indicating whether or not the first information processing apparatus has the authority to generate the second authentication information.
When the ID management unit receives the registration request from the first information processing apparatus, the authority information registered in the storage unit in association with the first authentication information generates the second authentication information. If it indicates that it is possible, the second authentication information is registered in the storage means, and if the authority information does not indicate that the second authentication information can be generated, the second authentication information is registered. Refuse to register information,
A service providing system characterized by that.
当該サービス提供システムへの登録を求める第3の認証情報と、前記第2の認証情報とを含む登録要求を前記第2の情報処理装置から受け付けた場合に、前記ID管理手段は、当該第2の認証情報と前記記憶手段に登録された前記認証情報とが合致すれば、当該第3の認証情報を前記第2の認証情報に対応付けて前記記憶手段に登録し、
前記第2の認証情報を含む失効要求を前記第1の情報処理装置から受け付けた場合に、前記ID管理手段は、前記記憶手段に登録された、前記第2の認証情報及び当該第2の認証情報に対応付けられた前記第3の認証情報を失効させる、
ことを特徴とするサービス提供システム。 The service providing system according to claim 2,
When the registration request including the third authentication information for requesting registration in the service providing system and the second authentication information is received from the second information processing apparatus, the ID management unit If the authentication information registered in the storage means matches the third authentication information, the third authentication information is registered in the storage means in association with the second authentication information,
When the revocation request including the second authentication information is received from the first information processing apparatus, the ID management unit registers the second authentication information and the second authentication registered in the storage unit. Revoking the third authentication information associated with the information;
A service providing system characterized by that.
前記情報処理装置は、
前記サービス情報システムに対して、当該情報処理装置の正当性を示す第1の認証情報が格納された記憶手段と、
サービス管理手段と、
を備え、
当該ID管理方法は、
前記ネットワーク上にサーバを増やす場合に、当該サーバが前記サービス提供システムにアクセスするために用いる第2の認証情報を、前記サービス管理手段が生成する処理と、
前記サービス管理手段が、前記第1の認証情報と、前記サービス提供システムに登録を求める前記第2の認証情報とを含む登録要求を前記システムに与え、当該登録要求に対する応答として前記第2の認証情報の登録通知を前記サービス提供システムから受け付けると、前記サーバに登録を求める前記第2の認証情報を含む登録要求を前記サーバに与える処理と、 An ID management method in which an information processing apparatus manages an ID of a server that accesses a service providing system,
The information processing apparatus includes:
Storage means for storing first authentication information indicating validity of the information processing apparatus for the service information system;
Service management means;
With
The ID management method is
When the server is added on the network, the service management means generates second authentication information used by the server to access the service providing system;
The service management means gives the system a registration request including the first authentication information and the second authentication information for requesting registration from the service providing system, and the second authentication as a response to the registration request. When receiving a registration notification of information from the service providing system, a process of giving the server a registration request including the second authentication information for requesting the server to register;
前記サービス提供システムは、
当該サービス提供システムへのアクセスの正当性を判断するための認証情報が登録された記憶手段と、
演算処理手段と、
を有し、
当該サービス提供方法は、
前記サービス提供システムにおいて、第1の情報処理装置から、当該第1の情報処理装置の正当性を示す第1の認証情報と、前記サービス提供システムへの登録を求める第2の認証情報とを含む登録要求を受け付けた場合に、前記演算処理手段が、当該第1の認証情報と前記記憶手段に登録された前記認証情報とが合致するか否かを判断し、合致すれば、前記記憶手段に当該第2の認証情報を登録する処理と、
前記サービス提供システムにおいて、前記第2の認証情報を含むサービス提供要求を受け付けた場合、前記演算処理手段が、当該第2の認証情報が前記記憶手段に登録されているか否か判断し、登録されていれば、前記第2の情報処理装置に前記サービスを提供する処理と、
を有することを特徴とするサービス提供方法。 A service providing method in which a service providing system provides a service to an information processing apparatus,
The service providing system includes:
A storage means in which authentication information for determining the legitimacy of access to the service providing system is registered;
Arithmetic processing means;
Have
The service providing method is as follows:
The service providing system includes, from the first information processing apparatus, first authentication information indicating the validity of the first information processing apparatus and second authentication information for requesting registration in the service providing system. When receiving a registration request, the arithmetic processing means determines whether or not the first authentication information matches the authentication information registered in the storage means. A process of registering the second authentication information;
In the service providing system, when a service providing request including the second authentication information is received, the arithmetic processing unit determines whether or not the second authentication information is registered in the storage unit, and is registered. If so, a process of providing the service to the second information processing apparatus;
A service providing method characterized by comprising:
他のシステムに登録済みの公開鍵に対応する第1の秘密鍵及び写像パラメータが登録された記憶手段と、
前記システムにアクセスするサーバを前記ネットワーク上に増やす場合、当該ID管理システムの第1の識別情報を抽出可能な文字列を当該サーバの第2の識別情報として生成し、当該第2の識別情報と前記第1の秘密鍵と前記写像パラメータとから第2の秘密鍵を生成するサービス管理手段と、
を有し、
前記サービス管理手段は、
前記第2の識別情報及び前記第2の秘密鍵を生成した場合、前記サーバが前記システムにアクセスするために用いる認証情報として、前記第2の識別情報及び当該第2の秘密鍵を登録することを、前記サーバに要求する、
ことを特徴とするID管理システム。 An ID management system for managing servers on a network,
Storage means in which a first secret key and mapping parameters corresponding to a public key registered in another system are registered;
When the number of servers accessing the system is increased on the network, a character string from which the first identification information of the ID management system can be extracted is generated as the second identification information of the server, and the second identification information and Service management means for generating a second secret key from the first secret key and the mapping parameter;
Have
The service management means includes
When the second identification information and the second secret key are generated, register the second identification information and the second secret key as authentication information used by the server to access the system. Requesting the server,
An ID management system characterized by that.
当該サービス提供システムへのアクセスが許可された第1の情報処理装置の認証情報として、第1の公開鍵、写像パラメータ及び第1の識別情報が登録された記憶手段と、
前記第1の識別情報を抽出可能な第2の認証情報を含むサービス提供要求を当該第2の情報処理装置から受け付けた場合に、前記第2の識別情報が前記記憶手段に登録されていなければ、当該第2の識別情報から抽出される前記第1の識別情報と、当該第1の識別情報に対応付けて前記記憶手段に登録された前記第1の公開鍵及び前記写像パラメータとから第2の公開鍵を生成して、当該第2の識別情報、当該第2の公開鍵及び当該写像パラメータを、前記第2の情報処理装置の認証情報として前記記憶手段に登録するID管理手段と、
前記第2の識別情報が前記記憶手段に登録されていれば、前記第2の情報処理装置にチャレンジデータを送信し、前記第2の情報処理装置が前記チャレンジデータに施した電子署名を受け付けると、前記記憶手段に登録された前記第2の公開鍵で当該電子署名を検証し、当該電子署名の検証に成功すれば、前記第2の情報処理装置に前記サービスを提供するサービス提供手段と、
を備えることを特徴とするサービス提供システム。 A service providing system for providing a service to an information processing device,
Storage means in which a first public key, mapping parameters, and first identification information are registered as authentication information of a first information processing apparatus permitted to access the service providing system;
When a service providing request including second authentication information from which the first identification information can be extracted is received from the second information processing apparatus, the second identification information is not registered in the storage unit. Second from the first identification information extracted from the second identification information and the first public key and the mapping parameter registered in the storage means in association with the first identification information ID management means for generating the public key and registering the second identification information, the second public key, and the mapping parameter as authentication information of the second information processing apparatus in the storage means,
If the second identification information is registered in the storage means, the challenge data is transmitted to the second information processing apparatus, and the second information processing apparatus receives an electronic signature applied to the challenge data. Verifying the electronic signature with the second public key registered in the storage means, and if the electronic signature is successfully verified, a service providing means for providing the service to the second information processing apparatus;
A service providing system comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063705A JP2006251868A (en) | 2005-03-08 | 2005-03-08 | Id management system and id management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063705A JP2006251868A (en) | 2005-03-08 | 2005-03-08 | Id management system and id management method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006251868A true JP2006251868A (en) | 2006-09-21 |
Family
ID=37092337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005063705A Pending JP2006251868A (en) | 2005-03-08 | 2005-03-08 | Id management system and id management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006251868A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008099756A1 (en) * | 2007-02-07 | 2008-08-21 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing device, user authentication system, user authentication method, program, and recording medium |
JP2008233991A (en) * | 2007-03-16 | 2008-10-02 | Fujitsu Ltd | Method for controlling lending between radio terminals |
US8239684B2 (en) | 2007-03-28 | 2012-08-07 | Nec Corporation | Software IC card system, management server, terminal, service providing server, service providing method, and program |
WO2015115183A1 (en) * | 2014-01-31 | 2015-08-06 | 株式会社リコー | Access control device, communication system, program, and access control method |
-
2005
- 2005-03-08 JP JP2005063705A patent/JP2006251868A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008099756A1 (en) * | 2007-02-07 | 2008-08-21 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing device, user authentication system, user authentication method, program, and recording medium |
JP4892011B2 (en) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | Client device, key device, service providing device, user authentication system, user authentication method, program, recording medium |
US8352743B2 (en) | 2007-02-07 | 2013-01-08 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium |
JP2008233991A (en) * | 2007-03-16 | 2008-10-02 | Fujitsu Ltd | Method for controlling lending between radio terminals |
US8239684B2 (en) | 2007-03-28 | 2012-08-07 | Nec Corporation | Software IC card system, management server, terminal, service providing server, service providing method, and program |
WO2015115183A1 (en) * | 2014-01-31 | 2015-08-06 | 株式会社リコー | Access control device, communication system, program, and access control method |
CN105940405A (en) * | 2014-01-31 | 2016-09-14 | 株式会社理光 | Access control device, communication system, program, and access control method for access control |
JPWO2015115183A1 (en) * | 2014-01-31 | 2017-03-23 | 株式会社リコー | Access control apparatus, communication system, program, and access control method |
US10305905B2 (en) | 2014-01-31 | 2019-05-28 | Ricoh Company, Ltd. | Access control device, communication system, program, and method for controlling access |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10492067B2 (en) | Secure access authorization method | |
EP3525415B1 (en) | Information processing system and control method therefor | |
US10678555B2 (en) | Host identity bootstrapping | |
US9553858B2 (en) | Hardware-based credential distribution | |
US9135415B2 (en) | Controlling access | |
JP5129313B2 (en) | Access authorization device | |
CN101208685B (en) | Method and apparatus providing policy-based revocation of network security credentials | |
US9294468B1 (en) | Application-level certificates for identity and authorization | |
US9069944B2 (en) | Managing passwords used when detecting information on configuration items disposed on a network | |
US20100077208A1 (en) | Certificate based authentication for online services | |
US7756476B2 (en) | Wireless communication system, terminal, and method for reporting status of terminal | |
CN105225072B (en) | Access management method and system for multiple application systems | |
JP2013242808A (en) | Information processing apparatus, control method and program of the same, and image processing apparatus | |
JP2014099030A (en) | Device unit, control method, and program thereof | |
JP2020042691A (en) | Information processor, resource providing device, information processing method, information processing program, resource providing method, resource providing program | |
JP2006251868A (en) | Id management system and id management method | |
US20160365985A1 (en) | Method and system for recursively embedded certificate renewal and revocation | |
CN110771087A (en) | Private key update | |
JP2020071620A (en) | Authentication system, authentication server and authentication method | |
JP2004062559A (en) | Client server system and its device | |
JP4706165B2 (en) | Account management system, account management method, and account management program | |
Cisco | Trustpoint CLI | |
Adireddy et al. | Usercentric federation of access to Internet-of-Things (IoT) devices: a valet key for IoT devices | |
JP2019057764A (en) | Information processing apparatus, information processing method, and computer program | |
WO2023148807A1 (en) | Communication device, communication system, communication method, and program |