JP2006270312A - Communication management device, communication system, and method of managing communication - Google Patents

Communication management device, communication system, and method of managing communication Download PDF

Info

Publication number
JP2006270312A
JP2006270312A JP2005083272A JP2005083272A JP2006270312A JP 2006270312 A JP2006270312 A JP 2006270312A JP 2005083272 A JP2005083272 A JP 2005083272A JP 2005083272 A JP2005083272 A JP 2005083272A JP 2006270312 A JP2006270312 A JP 2006270312A
Authority
JP
Japan
Prior art keywords
terminal device
certificate
electronic certificate
external
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005083272A
Other languages
Japanese (ja)
Other versions
JP4730518B2 (en
Inventor
Masamitsu Takahashi
正光 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005083272A priority Critical patent/JP4730518B2/en
Publication of JP2006270312A publication Critical patent/JP2006270312A/en
Application granted granted Critical
Publication of JP4730518B2 publication Critical patent/JP4730518B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To permit an access by an SSL communication system from a terminal equipment besides a local network to a WEB in the local network by the authentication of authority using an electronic certificate. <P>SOLUTION: An external certificate which external terminal equipment uses in an external network, a certificate for external connection, and a public key used on the occasion of the acquisition, and a private key which makes a pair are stored in relation in a database. The certificate for the external attach is used in the network, in case that an external equipment accesses the WEB in the local network. This instrument shell external certificate is acquired according to the access from the external terminal equipment. This certificate, certificate for corresponding external attach, and the private key are extracted from the database. The authentication performance execution of the access permission of the external terminal equipment is required in a substitute from the WEB1 using the certification for the external attach and the private key which are extracted. The authentication of the authority transmits the answer from the WEB to the external terminal equipment. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、通信管理装置、その通信管理装置を備える通信システム、通信管理方法及びプログラムに関する。   The present invention relates to a communication management device, a communication system including the communication management device, a communication management method, and a program.

従来、個々のユーザが所有或いは管理する端末装置から、例えば所定のWEBなどに対してアクセスすることの権限(アクセス権)の認証を、電子証明書を用いて行う技術が提案されている(例えば、特許文献1)。   2. Description of the Related Art Conventionally, a technique has been proposed in which an authorization (access right) for accessing, for example, a predetermined WEB or the like from a terminal device owned or managed by an individual user is authenticated using an electronic certificate (for example, Patent Document 1).

電子証明書を用いた認証は、IDやパスワードを用いた認証と比較して、ユーザのなりすましやネットワーク上の盗聴などの不正に対するセキュリティ性が高い。   Authentication using an electronic certificate has higher security against fraud such as user impersonation and eavesdropping on the network than authentication using an ID or password.

このような認証技術を、例えばSSL(Secure Sockets Layer)などの暗号方式を用いた通信技術と組み合わせることによって、より高度のセキュリティ性を実現することができる。   By combining such an authentication technique with a communication technique using an encryption method such as SSL (Secure Sockets Layer), for example, higher security can be realized.

このように電子証明書を用いた認証技術と暗号方式を用いた通信技術とを組み合わせた技術を適用した通信システムとしては、例えば、図6に示すように、イントラネット401内においてSSLによる通信が可能に構成され、個々のユーザに割り当てられた端末装置402と、この端末装置402からの要求に応じて電子証明書を発行するCA(Certificate Authority:認証局)403と、CA403から発行された電子証明書を用いてSSLによりアクセスした場合に権限があると認識し、通信を許可するWEB404と、を備えるシステムがある。   As shown in FIG. 6, for example, as shown in FIG. 6, SSL-based communication is possible as a communication system to which a technology combining authentication technology using an electronic certificate and communication technology using an encryption method is applied. Terminal device 402 assigned to each user, a CA (Certificate Authority) 403 that issues an electronic certificate in response to a request from the terminal device 402, and an electronic certificate issued by the CA 403 There is a system that includes a WEB 404 that recognizes an authority when accessed by SSL using a certificate and permits communication.

このようなシステムにおいては、CA403から発行された電子証明書を用いてSSLによりWEB404にアクセスした場合に限り、WEB404の内容の閲覧などが可能となるようにすることができる。
特開2004−289247号公報 In such a system, only when the WEB 404 is accessed by SSL using the electronic certificate issued from the CA 403, the contents of the WEB 404 can be browsed.
JP 2004-289247 A

ところで、上記のようなシステム(図6)では、イントラネット401外の外部端末装置405からは、WEB404に対してアクセスすることができない。   By the way, in the system as described above (FIG. 6), the external terminal device 405 outside the intranet 401 cannot access the WEB 404.

つまり、イントラネット401内においては、端末装置402が割り当てられ、WEB404に対するアクセスの権限を有するユーザが所有する外部端末装置405からであっても、WEB404に対してアクセスすることができない。   In other words, in the intranet 401, the terminal device 402 is assigned, and even from the external terminal device 405 owned by the user who has the authority to access the WEB 404, the WEB 404 cannot be accessed.

このため、従来は、何らかの都合により、イントラネット401内において権限を有するユーザが、外部端末装置405を用いてWEB404に対してアクセスしたくても、アクセスが許可されないという問題があった。   For this reason, there has been a problem that, for some reason, even if a user having authority in the intranet 401 wants to access the WEB 404 using the external terminal device 405, the access is not permitted.

本発明は、上記のような問題点を解決するためになされたもので、イントラネットなどのローカルネットワーク外の端末装置(外部端末装置)から、該ローカルネットワーク内部のWEBに対してSSLなどの暗号通信方式でアクセスすることを、電子証明書を用いたアクセス権限の認証によって許可できるようにする通信管理装置、その通信管理装置を備える通信システム、通信管理方法及びプログラムを提供することを目的とする。   The present invention has been made in order to solve the above-described problems. From a terminal device outside the local network such as an intranet (external terminal device), encrypted communication such as SSL to a WEB inside the local network. It is an object of the present invention to provide a communication management device, a communication system including the communication management device, a communication management method, and a program that allow access by a method by authentication of access authority using an electronic certificate.

上記課題を解決するため、本発明の通信管理装置は、ローカルネットワークに対する外部のネットワークである外部ネットワークにおいて通信を行う外部端末装置からの、前記ローカルネットワーク内に対する通信接続を管理する通信管理装置であって、前記外部端末装置が前記ローカルネットワーク内のWEBに対してアクセスする際に前記ローカルネットワーク内において用いられる第1の電子証明書と、前記第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵と、前記外部端末装置が前記外部ネットワークにおいて使用する第2の電子証明書と、を関連付けて記憶するデータベースと、前記外部端末装置からのアクセスに応じて、該外部端末装置から前記第2の電子証明書を取得する第1の取得手段と、前記第1の取得手段により取得した第2の電子証明書と対応する第1の電子証明書及び秘密鍵を前記データベース内より抽出する抽出手段と、前記抽出手段により抽出された第1の電子証明書及び秘密鍵を用いて、前記ローカルネットワーク内のWEBに対し、前記外部端末装置のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが前記WEBにより認証された場合に、該WEBからの返答を該外部端末装置に対して送信する代理通信手段と、を備えることを特徴としている。   In order to solve the above-described problems, a communication management apparatus according to the present invention is a communication management apparatus that manages a communication connection in an external network that communicates in an external network that is an external network to the local network. A first electronic certificate used in the local network when the external terminal device accesses the WEB in the local network, and a public key used in obtaining the first electronic certificate, A database that stores a paired secret key and a second electronic certificate used by the external terminal device in the external network in association with each other, and the external terminal device responds to an access from the external terminal device. First acquisition means for acquiring the second electronic certificate; and the first acquisition. Extraction means for extracting the first electronic certificate and private key corresponding to the second electronic certificate acquired by the means from the database, and the first electronic certificate and private key extracted by the extraction means. When the WEB in the local network is requested by the proxy to execute the authentication operation of the access authority of the external terminal device, and the WEB authenticates that the access authority exists, the WEB Proxy communication means for transmitting a response to the external terminal device.

本発明の通信管理装置においては、前記ローカルネットワーク内で用いられる第3の電子証明書を有する内部端末装置からのアクセスに応じて、該内部端末装置から前記第3の電子証明書を取得する第2の取得手段と、前記内部端末装置からのアクセスに応じて、秘密鍵と公開鍵との鍵ペアを生成し、このうち公開鍵を用いて認証局から前記第1の電子証明書を取得する第3の取得手段と、前記アクセスを行った内部端末装置によって指定された外部端末装置から、前記第2の電子証明書を取得する第4の取得手段と、前記第3の取得手段により取得した前記第1の電子証明書と、該第1の電子証明書の取得に際して使用した鍵ペアのうちの前記秘密鍵と、前記第4の取得手段により取得した前記第2の電子証明書と、を関連付けて前記データベースに記憶させる処理を行う記憶処理手段と、を備えることが好ましい。   In the communication management device according to the present invention, in response to an access from an internal terminal device having a third electronic certificate used in the local network, the third electronic certificate is acquired from the internal terminal device. 2 and a key pair of a private key and a public key are generated in response to access from the internal terminal device, and the first electronic certificate is acquired from the certificate authority using the public key. Obtained by the third obtaining means, the fourth obtaining means for obtaining the second electronic certificate from the external terminal device designated by the accessing internal terminal device, and the third obtaining means. The first electronic certificate, the private key of the key pair used to obtain the first electronic certificate, and the second electronic certificate obtained by the fourth obtaining unit. Associated with the data It is preferable to provide a storage processing means for performing a process of storing the base, a.

本発明の通信管理装置においては、前記アクセスを行った内部端末装置より該アクセスの際に送信された電子メールアドレス宛に、使い捨てのURLを送信するURL送信手段を更に備え、前記第4の取得手段は、前記使い捨てのURLに対するアクセスを行った外部端末装置から前記第2の電子証明書を取得することが好ましい。   The communication management device of the present invention further comprises URL transmission means for transmitting a disposable URL to the e-mail address transmitted at the time of access from the accessing internal terminal device, and the fourth acquisition Preferably, the means acquires the second electronic certificate from an external terminal device that has accessed the disposable URL.

本発明の通信管理装置は、SSL通信方式による通信を管理するものであることが好ましい。   It is preferable that the communication management apparatus of the present invention manages communication using the SSL communication method.

本発明の通信システムは、本発明の通信管理装置と、前記WEBと、を備えることを特徴としている。   A communication system according to the present invention includes the communication management device according to the present invention and the WEB.

また、本発明の通信システムは、本発明の通信管理装置と、前記WEBと、前記内部端末装置と、前記認証局と、を備えることを特徴としている。   The communication system of the present invention includes the communication management device of the present invention, the WEB, the internal terminal device, and the certificate authority.

また、本発明の通信管理方法は、ローカルネットワークに対する外部のネットワークである外部ネットワークにおいて通信を行う外部端末装置からの、前記ローカルネットワーク内に対する通信接続を管理する方法であって、前記外部端末装置が前記ローカルネットワーク内のWEBに対してアクセスする際に前記ローカルネットワーク内において用いられる第1の電子証明書と、前記第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵と、前記外部端末装置が前記外部ネットワークにおいて使用する第2の電子証明書と、を関連付けて記憶する記憶処理過程と、前記外部端末装置からのアクセスに応じて、該外部端末装置から前記第2の電子証明書を取得する第1の取得過程と、前記第1の取得過程により取得した第2の電子証明書と対応する第1の電子証明書及び秘密鍵を前記データベース内より抽出する抽出過程と、前記抽出過程により抽出された第1の電子証明書及び秘密鍵を用いて、前記ローカルネットワーク内のWEBに対し、前記外部端末装置のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが前記WEBにより認証された場合に、該WEBからの返答を該外部端末装置に対して送信する代理通信過程と、を備えることを特徴としている。   Further, the communication management method of the present invention is a method for managing a communication connection to an inside of the local network from an external terminal device that communicates in an external network that is an external network to the local network. A first electronic certificate used in the local network when accessing the WEB in the local network, and a private key paired with the public key used in obtaining the first electronic certificate; A storage process for storing the second electronic certificate used in the external network by the external terminal device in association with the second electronic certificate from the external terminal device in response to an access from the external terminal device. A first obtaining process for obtaining a certificate, and a second obtaining process obtained by the first obtaining process. An extraction process for extracting the first electronic certificate and private key corresponding to the child certificate from the database, and using the first electronic certificate and private key extracted by the extraction process in the local network Requesting the WEB of the external terminal device to execute an access authority authentication operation on behalf of the WEB, and when the WEB authenticates that the user has the access authority, a response from the WEB is sent to the external terminal device. And a proxy communication process for transmission to the network.

本発明の通信管理方法においては、前記ローカルネットワーク内で用いられる第3の電子証明書を有する内部端末装置からのアクセスに応じて、該内部端末装置から前記第3の電子証明書を取得する第2の取得過程と、前記内部端末装置からのアクセスに応じて、秘密鍵と公開鍵との鍵ペアを生成し、このうち公開鍵を用いて認証局から前記第1の電子証明書を取得する第3の取得過程と、前記アクセスを行った内部端末装置によって指定された外部端末装置から、前記第2の電子証明書を取得する第4の取得過程と、を更に備え、前記記憶処理過程は、前記第3の取得過程により取得した前記第1の電子証明書と、該第1の電子証明書の取得に際して使用した鍵ペアのうちの前記秘密鍵と、前記第4の取得過程により取得した前記第2の電子証明書と、を関連付けて記憶する過程であることが好ましい。   In the communication management method of the present invention, in response to access from an internal terminal device having a third electronic certificate used in the local network, the third electronic certificate is acquired from the internal terminal device. 2 and a key pair of a private key and a public key is generated in response to the access from the internal terminal device, and the first electronic certificate is acquired from the certificate authority using the public key. A third acquisition step; and a fourth acquisition step of acquiring the second electronic certificate from an external terminal device designated by the accessing internal terminal device, wherein the storage processing step The first electronic certificate obtained by the third obtaining process, the private key of the key pair used for obtaining the first electronic certificate, and obtained by the fourth obtaining process. Said second electricity And certificates, is preferably a process of storing in association with.

本発明の通信管理方法においては、前記アクセスを行った内部端末装置より該アクセスの際に送信された電子メールアドレス宛に、使い捨てのURLを送信するURL送信過程を更に備え、前記第4の取得過程では、前記使い捨てのURLに対するアクセスを行った外部端末装置から前記第2の電子証明書を取得することが好ましい。   The communication management method of the present invention further includes a URL transmission process of transmitting a disposable URL to the e-mail address transmitted at the time of access from the internal terminal device that has performed the access, and the fourth acquisition Preferably, in the process, the second electronic certificate is obtained from an external terminal device that has accessed the disposable URL.

本発明の通信管理方法においては、SSL通信方式による通信を管理することが好ましい。   In the communication management method of the present invention, it is preferable to manage communication by the SSL communication method.

本発明のプログラムは、通信管理方法をコンピュータに実行させるためのプログラムであることを特徴としている。   The program of the present invention is a program for causing a computer to execute a communication management method.

本発明によれば、外部端末装置がローカルネットワーク内のWEBに対してアクセスする際に該ローカルネットワーク内において用いられる第1の電子証明書と、第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵と、外部端末装置が外部ネットワークにおいて使用する第2の電子証明書と、を関連付けてデータベースとして記憶しておき、外部端末装置からのアクセスに応じて、該外部端末装置から第2の電子証明書を取得し、該取得した第2の電子証明書と対応する第1の電子証明書及び秘密鍵を前記データベース内より抽出し、該抽出された第1の電子証明書及び秘密鍵を用いて、前記ローカルネットワーク内のWEBに対し、前記外部端末装置のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが前記WEBにより認証された場合に、該WEBからの返答を該外部端末装置に対して送信するので、イントラネットなどのローカルネットワーク外の端末装置(外部端末装置)から、該ローカルネットワーク内部のWEBに対してSSLなどの暗号通信方式でアクセスすることを、電子証明書を用いたアクセス権限の認証によって許可できるような構成とすることができる。   According to the present invention, when the external terminal device accesses the WEB in the local network, the first electronic certificate used in the local network and the public key used in acquiring the first electronic certificate And a second electronic certificate used by the external terminal device in the external network in association with each other and stored as a database, and from the external terminal device in response to access from the external terminal device Obtaining a second electronic certificate, extracting a first electronic certificate and a private key corresponding to the obtained second electronic certificate from the database, extracting the first electronic certificate and Using a secret key, the WEB in the local network is requested to execute an authentication operation for the access authority of the external terminal device on behalf of the user, and the access authority is granted. When the WEB is authenticated by the WEB, a response from the WEB is transmitted to the external terminal device. Therefore, a terminal device (external terminal device) outside the local network such as an intranet can send a WEB inside the local network. Can be configured to be permitted by access authority authentication using an electronic certificate.

以下、図面を参照して、本発明に係る実施形態について説明する。   Embodiments according to the present invention will be described below with reference to the drawings.

図1乃至図3は本実施形態に係る通信システム100を示すブロック図である。   1 to 3 are block diagrams showing a communication system 100 according to this embodiment.

図1に示すように、本実施形態に係る通信システム100は、イントラネット(ローカルネットワーク)109と、通常はイントラネット109の外部のネットワーク(外部ネットワーク)での通信が実行可能な外部端末装置101と、を備えて構成されている。   As shown in FIG. 1, a communication system 100 according to the present embodiment includes an intranet (local network) 109 and an external terminal device 101 that can normally perform communication on a network (external network) outside the intranet 109; It is configured with.

このうち外部端末装置101は、予め、外部ネットワークでの通信接続に用いられる電子証明書(外部証明書102:第2の電子証明書)を記憶保持している。外部端末装置101は、具体的には、例えば、FOMA端末などの携帯電話機であることが挙げられる。   Among these, the external terminal device 101 stores and holds in advance an electronic certificate (external certificate 102: second electronic certificate) used for communication connection in an external network. Specifically, the external terminal device 101 is, for example, a mobile phone such as a FOMA terminal.

イントラネット109は、該イントラネット109内での通信が実行可能な複数の内部端末装置107と、イントラネット109内で用いられる電子証明書(第3の電子証明書:以下、内部証明書)を発行するCA(Certificate Authority:認証局)108と、外部端末装置101の認証を行う通信管理装置103と、内部端末装置107によるアクセスが可能である他に、通信管理装置103により認証された外部通信端末101によるアクセスも可能な内部WEB(WEB)106と、を備えて構成されている。   The intranet 109 is a CA that issues a plurality of internal terminal devices 107 capable of executing communication in the intranet 109 and an electronic certificate (third electronic certificate: hereinafter, internal certificate) used in the intranet 109. (Certificate Authority: certificate authority) 108, communication management device 103 that authenticates external terminal device 101, and internal terminal device 107 can be accessed, and by external communication terminal 101 authenticated by communication management device 103 And an internal WEB (WEB) 106 that can also be accessed.

このうち、内部端末装置107、CA108及び内部WEB106は従来周知の一般的なものある。   Among these, the internal terminal device 107, the CA 108, and the internal WEB 106 are general well-known devices.

すなわち、内部端末装置107は、例えば、PC(Personal Computer)或いはその他の端末装置であり、SSL通信(SSL通信方式)に対応可能なブラウザを有している。このような内部端末装置107は、イントラネット109内部での通信の権限を有する内部ユーザに対してそれぞれ割り当てられている。   That is, the internal terminal device 107 is, for example, a PC (Personal Computer) or other terminal device, and has a browser that can support SSL communication (SSL communication method). Such an internal terminal device 107 is assigned to each internal user who has the authority to communicate within the intranet 109.

CA108は、PKI(Public Key Infrastructure:公開鍵基盤)における証明書発行などの機能を有する認証局であり、各内部端末装置107毎に、すなわち各内部ユーザ毎に、内部証明書を発行する。   The CA 108 is a certificate authority having a function such as certificate issuance in a public key infrastructure (PKI), and issues an internal certificate for each internal terminal device 107, that is, for each internal user.

内部WEB106は、SSL通信に対応した一般的なHTTP(Hyper Text Transfer Protocol)サーバである。   The internal WEB 106 is a general HTTP (Hyper Text Transfer Protocol) server that supports SSL communication.

また、通信管理装置103は、イントラネット109の内部と外部との境界において、外部端末装置101からイントラネット109の内部WEB106に対する通信接続(例えば、本実施形態の場合、SSL通信による接続)を終端する。   Further, the communication management apparatus 103 terminates the communication connection from the external terminal apparatus 101 to the internal WEB 106 of the intranet 109 (for example, in this embodiment, connection by SSL communication) at the boundary between the inside and the outside of the intranet 109.

そして、通信管理装置103は、イントラネット109外部からアクセスしてきた外部端末装置101の内部WEB106に対するアクセス権限の認証の要求を、内部WEB106に対して行う。   Then, the communication management apparatus 103 requests the internal WEB 106 to authenticate access authority to the internal WEB 106 of the external terminal apparatus 101 that has been accessed from outside the intranet 109.

通信管理装置103は、詳細には図2に示すような構成となっている。   The communication management device 103 is configured in detail as shown in FIG.

すなわち、通信管理装置103は、外部端末装置101との間でSSLによる通信を行う外部通信手段(第1の取得手段)202と、イントラネット109内の内部WEB106との間でSSLによる通信を行うイントラネット内通信手段203と、外部端末装置101からアクセスするためのWEBページ、すなわち後述する証明書登録用ページを作成する証明書登録ページ作成手段204と、証明書の対応付けなどを行う証明書連携手段205と、外部接続用証明書(第1の電子証明書)、外部証明書及び秘密鍵(第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵)を対応付けて保存する証明書対応データベース206(データベース)と、内部端末装置107からの外部接続用証明書の発行の要求を受け付ける証明書発行受付手段207と、CA108に対し外部接続用証明書の発行を要求する証明書発行要求手段209と、外部接続(後述)用の鍵ペアを生成する鍵ペア生成手段208と、を備えて構成されている。   That is, the communication management apparatus 103 is an intranet that performs SSL communication between the external communication unit (first acquisition unit) 202 that performs SSL communication with the external terminal device 101 and the internal WEB 106 in the intranet 109. Internal communication means 203, a WEB page for accessing from the external terminal device 101, that is, a certificate registration page creation means 204 for creating a certificate registration page, which will be described later, and a certificate linkage means for associating certificates 205, the external connection certificate (first electronic certificate), the external certificate, and the private key (the private key paired with the public key used for obtaining the first electronic certificate) are stored in association with each other. Certificate corresponding to the certificate correspondence database 206 (database) and the external terminal certificate issuance request from the internal terminal device 107 An issuance acceptance unit 207, a certificate issuance request unit 209 that requests the CA 108 to issue a certificate for external connection, and a key pair generation unit 208 that generates a key pair for external connection (described later). Has been.

なお、通信管理装置103は、例えば、各種の制御動作を行うCPUと、このCPUの制御用プログラム(プログラム)を記憶保持したROMと、CPUの作業領域などとして機能するRAMと、を備えて構成され、そのROMに記憶されたプログラムに従って動作することにより、上記の各手段202,203,204,205,206,207,208,209として機能する。   The communication management device 103 includes, for example, a CPU that performs various control operations, a ROM that stores and holds a control program (program) for the CPU, and a RAM that functions as a work area for the CPU. Then, by operating according to the program stored in the ROM, it functions as each of the above means 202, 203, 204, 205, 206, 207, 208, 209.

イントラネット109内の各ユーザは、予め、自己の内部端末装置107にて秘密鍵及び公開鍵の鍵ペアを生成し、このうち公開鍵をCA108に対して送信することにより、該CA108に対して内部証明書の発行を申請しておく。   Each user in the intranet 109 generates a private key / public key pair in the internal terminal device 107 in advance, and transmits the public key to the CA 108 to thereby generate the internal key for the CA 108. Apply for a certificate.

この申請を受けたCA108は、送られた公開鍵から証明書(内部証明書)を生成し、該生成した内部証明書を内部端末装置107に対して発行(送信)する。   Upon receiving this application, the CA 108 generates a certificate (internal certificate) from the sent public key, and issues (transmits) the generated internal certificate to the internal terminal device 107.

CA108からの内部証明書を受けた内部端末装置107は、該内部証明書と、該内部証明書の申請に際して生成した秘密鍵と、のペア105を記憶保持する。   The internal terminal device 107 that has received the internal certificate from the CA 108 stores and holds the pair 105 of the internal certificate and the private key generated when applying for the internal certificate.

こうして、イントラネット109内の各ユーザの内部端末装置107には、予め、内部証明書と秘密鍵とのペア105が記憶保持されている。   Thus, the internal terminal device 107 of each user in the intranet 109 stores and holds the internal certificate / private key pair 105 in advance.

このようにCAから発行された内部証明書を有するイントラネット109内の各ユーザは、内部証明書と秘密鍵とのペア105を用いることにより、内部端末装置107から内部WEB106に対してアクセスし、その情報を閲覧することなどが可能となっている。   Thus, each user in the intranet 109 having the internal certificate issued from the CA accesses the internal WEB 106 from the internal terminal device 107 by using the pair 105 of the internal certificate and the private key, and It is possible to browse information.

ここで、イントラネット109内の各ユーザのうちのあるユーザ(以下、ユーザAとする)が、自己の外部端末装置101を用いて内部WEB106に対しアクセスできるようにするためには、以下に説明するように、予め、自己の内部証明書と自己の外部端末装置101の外部証明書との対応付けを通信管理装置103に登録しておく必要がある。   Here, in order to allow a certain user (hereinafter referred to as user A) among the users in the intranet 109 to access the internal WEB 106 using his / her external terminal device 101, the following description will be given. As described above, it is necessary to register in advance in the communication management apparatus 103 the association between the self internal certificate and the external certificate of the self external terminal apparatus 101.

以下、図3及び図4を参照して、このような登録をユーザAが内部端末装置107を使って行う際の動作を説明する。   Hereinafter, with reference to FIG. 3 and FIG. 4, an operation when the user A performs such registration using the internal terminal device 107 will be described.

先ず、ユーザAは、内部端末装置107を用いて、通信管理装置103に対してSSL通信方式でアクセスし、当該ユーザAの外部端末装置101の電子メールアドレスを通信管理装置103に登録する。この際に、通信管理装置103は、SSL通信のネゴシエーションにより、ユーザAの内部証明書111を内部端末装置107から取得する(1)。   First, the user A uses the internal terminal device 107 to access the communication management device 103 by the SSL communication method, and registers the electronic mail address of the external terminal device 101 of the user A in the communication management device 103. At this time, the communication management device 103 acquires the internal certificate 111 of the user A from the internal terminal device 107 by negotiation of SSL communication (1).

続いて、通信管理装置103は、ユーザAの外部接続用の鍵ペア(秘密鍵と公開鍵)を生成し、このうち公開鍵をCA108に対して送り、該CA108に対して証明書(外部接続用証明書110)の発行を申請する(2)(第2の取得過程:ステップS1)。   Subsequently, the communication management apparatus 103 generates a key pair (private key and public key) for user A's external connection, sends the public key to the CA 108, and sends a certificate (external connection) to the CA 108. (2) (second acquisition process: step S1).

ここで、本実施形態において、外部接続とは、外部端末装置101を用いて内部WEB106に対してアクセスすることを意味する。   Here, in the present embodiment, external connection means access to the internal WEB 106 using the external terminal device 101.

CA108は、通信管理装置103から送られた公開鍵から証明書(外部接続用証明書)を作成し、該生成した外部接続用証明書110を通信管理装置103に対して発行(送信)する(3)。   The CA 108 creates a certificate (external connection certificate) from the public key sent from the communication management apparatus 103, and issues (transmits) the generated external connection certificate 110 to the communication management apparatus 103 ( 3).

通信管理装置103は、CA108から発行された外部接続用証明書110を取得する(第3の取得過程:ステップS2)。   The communication management apparatus 103 acquires the external connection certificate 110 issued from the CA 108 (third acquisition process: step S2).

通信管理装置103は、(2)で生成した秘密鍵と、(3)で発行された外部接続用証明書110と、(1)で内部端末装置107から取得した内部証明書111と、の対応付けを行い、これら秘密鍵と外部接続用証明書110と内部証明書111とを対応付けた状態で、証明書対応データベース206に記憶保持する(4)。   The communication management apparatus 103 corresponds to the private key generated in (2), the external connection certificate 110 issued in (3), and the internal certificate 111 acquired from the internal terminal apparatus 107 in (1). And the private key, the external connection certificate 110, and the internal certificate 111 are associated with each other and stored in the certificate correspondence database 206 (4).

通信管理装置103は、(1)で登録された電子メールアドレス宛に、すなわち、ユーザAの外部端末装置101宛に、当該登録手続き毎に使い捨てされる(従って、登録手続き毎に固有の)ホームページ(証明書登録用ページ)のURL(Uniform Resource Locator)を送付する(5)(URL送信過程:ステップS3)。   The communication management device 103 is discarded for each registration procedure addressed to the e-mail address registered in (1), that is, addressed to the external terminal device 101 of the user A (and therefore unique to each registration procedure). The URL (Uniform Resource Locator) of the (certificate registration page) is sent (5) (URL transmission process: step S3).

外部端末装置101は、(5)で送られたURLに対し、SSL通信方式でアクセスする。この際に、通信管理装置103は、SSL通信のネゴシエーションにより、ユーザAの外部証明書102を該ユーザAの外部端末装置101から取得する(6)(第4の取得過程:ステップS4)。   The external terminal device 101 accesses the URL sent in (5) by the SSL communication method. At this time, the communication management apparatus 103 acquires the external certificate 102 of the user A from the external terminal apparatus 101 of the user A by negotiation of SSL communication (fourth acquisition process: step S4).

通信管理装置103は、(2)で生成した秘密鍵と、(3)で発行された外部接続用証明書と、(6)で取得した外部証明書102と、の対応付けを行い、これら秘密鍵と外部接続用証明書110と外部証明書102とを対応付けた状態で、証明書対応データベース206に記憶保持させる(7)(記憶処理過程:ステップS5)。すなわち、証明書対応データベース206は、各ユーザ毎に、外部接続用証明書110と秘密鍵とを対応付けたペア104を記憶保持することになる。   The communication management apparatus 103 associates the secret key generated in (2) with the external connection certificate issued in (3) and the external certificate 102 acquired in (6), and these secrets The key, the external connection certificate 110, and the external certificate 102 are associated with each other and stored in the certificate correspondence database 206 (7) (storage process: step S5). That is, the certificate correspondence database 206 stores and holds the pair 104 in which the external connection certificate 110 and the private key are associated with each user.

これにより、登録動作は終了する。   This completes the registration operation.

ここで、ユーザAが外部端末装置101を用いてイントラネット109外部から内部WEB106に対してアクセスする際には、外部端末装置101の代わりに通信管理装置103が外部接続用証明書110を用いて内部WEB106に対してアクセスし、外部端末装置101からのアクセス権を内部WEB106が認証する。このため、その認証の際に、通信管理装置103によるユーザAの外部接続用証明書110を用いたアクセスが、ユーザAによるイントラネット109外部からのアクセスである旨を、内部WEB106が認識できるように、予め外部接続用証明書110とユーザAとの対応付け(例えば、ユーザAの外部接続用証明書110と内部証明書111との対応付け)を内部WEB106に登録しておく必要がある。この登録は、上記のように図3を参照して説明した登録動作の完了後、外部端末装置101から内部WEB106に対する最初のアクセスまでの間に(例えば、内部WEB106の管理者、又は、通信管理装置103が)行うものとする。   Here, when the user A accesses the internal WEB 106 from the outside of the intranet 109 using the external terminal device 101, the communication management device 103 uses the external connection certificate 110 instead of the external terminal device 101 to The WEB 106 is accessed and the internal WEB 106 authenticates the access right from the external terminal device 101. Therefore, at the time of the authentication, the internal WEB 106 can recognize that the access using the external connection certificate 110 of the user A by the communication management apparatus 103 is an access from the outside of the intranet 109 by the user A. The association between the external connection certificate 110 and the user A (for example, the association between the user A's external connection certificate 110 and the internal certificate 111) needs to be registered in the internal WEB 106 in advance. This registration is performed between the completion of the registration operation described with reference to FIG. 3 and the first access from the external terminal device 101 to the internal WEB 106 (for example, the administrator of the internal WEB 106 or communication management). Device 103).

次に、上記のように図3及び図4を参照して説明した登録動作の際の通信管理装置103の動作を、図2を参照して説明する。   Next, the operation of the communication management apparatus 103 during the registration operation described with reference to FIGS. 3 and 4 as described above will be described with reference to FIG.

先ず、ユーザAは、内部端末装置107を用いて、通信管理装置103の証明書発行受付手段207に対してSSL通信方式でアクセスし、当該ユーザAの外部端末装置101の電子メールアドレスを証明書発行受付手段207に送信する。   First, the user A uses the internal terminal device 107 to access the certificate issuance accepting means 207 of the communication management device 103 using the SSL communication method, and the user A's e-mail address of the external terminal device 101 is a certificate. It transmits to the issue reception means 207.

この際に、証明書発行受付手段(第2の取得手段)207は、SSL通信のネゴシエーションにより、ユーザAの内部証明書111を内部端末装置107から取得する(第2の取得過程:ステップS1)。   At this time, the certificate issuance accepting means (second obtaining means) 207 obtains the internal certificate 111 of the user A from the internal terminal device 107 by SSL communication negotiation (second obtaining process: step S1). .

続いて、証明書発行受付手段207は、鍵ペア生成手段208に対し、ユーザAの外部接続用の鍵ペア(秘密鍵と公開鍵)の生成を指示する。   Subsequently, the certificate issuance acceptance unit 207 instructs the key pair generation unit 208 to generate a key pair (private key and public key) for user A's external connection.

この指示を受けた鍵ペア生成手段(第3の取得手段を構成する)208は、ユーザAの外部接続用の鍵ペア(秘密鍵と公開鍵)を生成し、該生成した鍵ペアを証明書発行要求手段209に渡す。   Upon receipt of this instruction, the key pair generation means (which constitutes the third acquisition means) 208 generates a key pair (private key and public key) for user A's external connection, and the generated key pair is a certificate. Pass to the issue request means 209.

証明書発行要求手段(第3の取得手段を構成する)209は、鍵ペア生成手段208から渡された鍵ペアのうち公開鍵をCA108に対して送り、該CA108に対して証明書(外部接続用証明書110)の発行を申請する。   The certificate issuance requesting means (which constitutes the third obtaining means) 209 sends the public key of the key pair passed from the key pair generating means 208 to the CA 108, and sends a certificate (external connection) to the CA 108. Apply for issuance of certificate 110).

CA108は、送られた公開鍵から証明書(外部接続用証明書110)を作成し、該生成した外部接続用証明書110を証明書発行要求手段209に対して発行(送信)する。   The CA 108 creates a certificate (external connection certificate 110) from the sent public key, and issues (transmits) the generated external connection certificate 110 to the certificate issuance request unit 209.

証明書発行要求手段209は、CA108から発行された外部接続用証明書110を取得する(第3の取得過程:ステップS2)。   The certificate issuance request unit 209 obtains the external connection certificate 110 issued from the CA 108 (third acquisition process: step S2).

証明書発行要求手段209は、CA108から取得した外部接続用証明書110と、該外部接続用証明書110の取得に際して生成した秘密鍵と、内部端末装置107から取得した内部証明書111と、を対応付け、これら対応付けされた外部接続用証明書110、秘密鍵及び内部証明書111を証明書連携手段205に送ると共に、該対応付けされた外部接続用証明書110、秘密鍵及び内部証明書111を証明書対応データベース206に記憶保持させる指示を証明書連携手段205に対して行う。   The certificate issuance request unit 209 includes the external connection certificate 110 acquired from the CA 108, the private key generated when acquiring the external connection certificate 110, and the internal certificate 111 acquired from the internal terminal device 107. The associated external connection certificate 110, the private key and the internal certificate 111 are sent to the certificate linkage unit 205, and the associated external connection certificate 110, the private key and the internal certificate are associated with each other. The certificate cooperation unit 205 is instructed to store 111 in the certificate correspondence database 206.

この指示を受けた証明書連携手段205は、証明書発行要求手段209から送られた外部接続用証明書110及び内部証明書111(対応付けされた外部接続用証明書110及び内部証明書111)を証明書対応データベース206に記憶保持する一方で、証明書登録ページ作成手段204に対し、証明書登録用ページの作成を指示する。   Upon receiving this instruction, the certificate linkage unit 205 receives the external connection certificate 110 and the internal certificate 111 sent from the certificate issuance request unit 209 (corresponding external connection certificate 110 and internal certificate 111). Is stored in the certificate correspondence database 206, while the certificate registration page creation unit 204 is instructed to create a certificate registration page.

証明書登録ページ作成手段(URL送信手段)204は、証明書登録用ページのURLを作成し、該作成したURLをユーザAの外部端末装置101の電子メールアドレス宛に送付するよう外部通信手段202に対して指令する(URL送信過程:ステップS3)。   The certificate registration page creation means (URL transmission means) 204 creates the URL of the certificate registration page, and sends the created URL to the e-mail address of the external terminal device 101 of the user A. (URL transmission process: step S3).

この指令を受けた外部通信手段202は、ユーザAの外部端末装置101の電子メールアドレス宛に証明書登録用ページのURLを送付する。   Upon receiving this instruction, the external communication means 202 sends the URL of the certificate registration page to the email address of the external terminal device 101 of the user A.

その後、外部端末装置101は、通信管理装置103の外部通信手段202から送られたURLに対し、SSL通信方式でアクセスする。   Thereafter, the external terminal device 101 accesses the URL sent from the external communication unit 202 of the communication management device 103 by the SSL communication method.

この際に、通信管理装置103の外部通信手段(第4の取得手段)202は、SSL通信のネゴシエーションにより、ユーザAの外部証明書102を、該ユーザAの外部端末装置101から取得する(第4の取得過程:ステップS4)。   At this time, the external communication unit (fourth acquisition unit) 202 of the communication management apparatus 103 acquires the external certificate 102 of the user A from the external terminal apparatus 101 of the user A by negotiation of SSL communication (the first terminal). 4 acquisition process: Step S4).

通信管理装置103の証明書連携手段(記憶処理手段)205は、取得した外部証明書102と、外部接続用証明書110と、該外部接続用証明書110の取得に際して使用した秘密鍵と、の対応付けを行い、これら外部証明書102と外部接続用証明書110と秘密鍵を対応付けた状態で、証明書対応データベース206に記憶保持させる(記憶処理過程:ステップS5)。   The certificate linkage unit (storage processing unit) 205 of the communication management apparatus 103 includes the acquired external certificate 102, the external connection certificate 110, and the private key used when acquiring the external connection certificate 110. Association is performed, and the external certificate 102, the external connection certificate 110, and the private key are associated and stored in the certificate correspondence database 206 (storage process: step S5).

これにより、登録動作は終了する。   This completes the registration operation.

このようにして、通信管理装置103には、各ユーザ毎に、外部接続用証明書110と秘密鍵とのペア104が(証明書対応データベース206内に)登録されているとともに、ペア104(外部接続用証明書110と秘密鍵とのペア)と外部証明書102とが対応付けられて(証明書対応データベース206内に)登録されている。   In this way, in the communication management apparatus 103, for each user, the external connection certificate 110 and private key pair 104 are registered (in the certificate correspondence database 206) and the pair 104 (external The connection certificate 110 and private key pair) and the external certificate 102 are registered in association with each other (in the certificate correspondence database 206).

そして、通信管理装置103は、アクセスしてきた外部端末装置101から取得する外部証明書102と対応するペア104(外部接続用証明書110と秘密鍵とのペア)を使用して内部WEB106に対し、外部端末装置101の代理でアクセス(接続)し、該内部WEB106に認証動作を行わせ(外部端末装置101のアクセス権限の認証動作の実行を外部端末装置101の代理で要求し)、アクセス権限が有ることが内部WEB106により認証された場合に、該内部WEB106からの返答を外部端末装置101に対して送信する。   Then, the communication management apparatus 103 uses the pair 104 (the pair of the external connection certificate 110 and the private key) corresponding to the external certificate 102 acquired from the accessed external terminal apparatus 101 to the internal WEB 106. Access (connect) on behalf of the external terminal device 101, and cause the internal WEB 106 to perform an authentication operation (requests the external terminal device 101 to execute an authentication operation on the access authority of the external terminal device 101). When it is authenticated by the internal WEB 106, a response from the internal WEB 106 is transmitted to the external terminal device 101.

次に、図1及び図5を参照して、あるユーザが外部端末装置101を用いてイントラネット109内の内部WEB106にアクセスするときの動作を説明する。   Next, an operation when a certain user accesses the internal WEB 106 in the intranet 109 using the external terminal device 101 will be described with reference to FIGS.

先ず、外部端末装置101は、通信管理装置103に対し、SSL通信によりアクセスし、SSL通信のコネクションを確立する。   First, the external terminal device 101 accesses the communication management device 103 by SSL communication and establishes a connection for SSL communication.

この際に、外部端末装置101は、自身が保持する外部証明書102を通信管理装置103に送信する。   At this time, the external terminal apparatus 101 transmits the external certificate 102 held by itself to the communication management apparatus 103.

通信管理装置103は、外部端末装置101から外部証明書102を取得する(第1の取得過程:ステップS11)。   The communication management apparatus 103 acquires the external certificate 102 from the external terminal apparatus 101 (first acquisition process: step S11).

続いて、通信管理装置103は、外部端末装置101から送信された外部証明書102の正当性(外部証明書102が改竄されていないかどうかなど)を検証する。   Subsequently, the communication management apparatus 103 verifies the validity of the external certificate 102 transmitted from the external terminal apparatus 101 (for example, whether the external certificate 102 has been falsified).

検証の結果、外部端末装置101から送信された外部証明書102が正当な証明書であると判定した場合、通信管理装置103は、アクセスしてきたユーザに対応する外部接続用証明書110と秘密鍵とのペア104を証明書対応データベース206内から検索する(抽出過程:ステップS12)。   As a result of the verification, when it is determined that the external certificate 102 transmitted from the external terminal device 101 is a valid certificate, the communication management device 103 uses the external connection certificate 110 and the private key corresponding to the accessing user. The pair 104 is searched from the certificate correspondence database 206 (extraction process: step S12).

続いて、通信管理装置103は、検索したペア104(アクセスしてきたユーザの外部接続用証明書110と秘密鍵)を用いて、内部WEB106に対しアクセスする。これにより、アクセスしてきた外部端末装置101の内部WEB106に対するアクセス権の認証を該内部WEB106に行わせる。更に、通信管理装置103は、内部WEB106からの応答を外部端末装置101に返送する(代理通信過程:ステップS13)。   Subsequently, the communication management apparatus 103 accesses the internal WEB 106 using the retrieved pair 104 (the external connection certificate 110 and the private key of the accessing user). This causes the internal WEB 106 to authenticate the access right to the internal WEB 106 of the accessed external terminal device 101. Further, the communication management apparatus 103 returns a response from the internal WEB 106 to the external terminal apparatus 101 (proxy communication process: step S13).

これにより、外部端末装置101が、内部WEB106に対してアクセスし、その情報を閲覧することなどが可能となる。   Thereby, the external terminal device 101 can access the internal WEB 106 and browse the information.

次に、図2及び図5を参照して、あるユーザが外部端末装置101を用いてイントラネット109内の内部WEB106にアクセスするときの通信管理装置103の動作を詳細に説明する。   Next, the operation of the communication management apparatus 103 when a certain user accesses the internal WEB 106 in the intranet 109 using the external terminal apparatus 101 will be described in detail with reference to FIGS.

先ず、外部端末装置101は、通信管理装置103の外部通信手段202に対し、SSL通信によりアクセスし、SSL通信のコネクションを確立する。この際に、外部通信手段(第1の取得手段)202は、何れか所望の内部WEB106に対するアクセスを要求する旨の情報と、外部証明書102と、を外部端末装置101から取得する(第1の取得過程:ステップS11)。   First, the external terminal device 101 accesses the external communication means 202 of the communication management device 103 by SSL communication and establishes a connection for SSL communication. At this time, the external communication unit (first acquisition unit) 202 acquires information indicating that access to any desired internal WEB 106 is requested and the external certificate 102 from the external terminal device 101 (first unit). Acquisition process: Step S11).

続いて、外部通信手段202は、SSL通信のコネクション確立時に取得した外部証明書102に含まれるユーザ固有情報(ID)をイントラネット内通信手段203に通知し、上記所望の内部WEB106に対するアクセスを該イントラネット内通信手段203に行わせる。   Subsequently, the external communication unit 202 notifies the intranet communication unit 203 of the user-specific information (ID) included in the external certificate 102 acquired when the SSL communication connection is established, and the access to the desired internal WEB 106 is transmitted to the intranet. The internal communication unit 203 performs this.

イントラネット内通信手段(代理通信手段)203は、通知されたユーザ固有情報を証明書連携手段205に転送し、該ユーザ固有情報と対応するペア104(外部接続用証明書110と秘密鍵とのペア)を証明書対応データベース206から取得するように、該証明書連携手段205に指示する。なお、外部証明書102そのものでなく、外部証明書102に含まれるユーザ固有情報を検索キーとして、証明書対応データベース206内を検索可能となっている。   The intranet communication means (proxy communication means) 203 transfers the notified user specific information to the certificate linkage means 205, and a pair 104 (a pair of the external connection certificate 110 and the private key) corresponding to the user specific information. ) Is obtained from the certificate correspondence database 206. Note that it is possible to search the certificate correspondence database 206 using not only the external certificate 102 itself but also user-specific information included in the external certificate 102 as a search key.

イントラネット内通信手段203からの指示を受けた証明書連携手段(抽出手段)205は、通知されたユーザ固有情報と対応するペア104を、証明書対応データベース206内より検索(抽出)して取得し(抽出過程:ステップS12)、該取得したペア104をイントラネット内通信手段203に渡す。   Upon receiving the instruction from the intranet communication means 203, the certificate cooperation means (extraction means) 205 searches (extracts) and acquires the pair 104 corresponding to the notified user specific information from the certificate correspondence database 206. (Extraction process: step S12), the acquired pair 104 is transferred to the intranet communication means 203.

イントラネット内通信手段(代理通信手段)203は、証明書連携手段205から取得したペア104(外部接続用証明書110と秘密鍵とのペア)を使って内部WEB106との間でSSLコネクションを確立して通信を行い、内部WEB106からの応答を、外部通信手段202を介して外部端末装置101に返送する(代理通信過程:ステップS13)。   Intranet communication means (proxy communication means) 203 establishes an SSL connection with internal WEB 106 using pair 104 (a pair of external connection certificate 110 and private key) acquired from certificate linkage means 205. Communication, and a response from the internal WEB 106 is returned to the external terminal device 101 via the external communication means 202 (proxy communication process: step S13).

これにより、外部端末装置101が内部WEB106に対してアクセスし、その情報を閲覧することなどが可能となる。   Thereby, the external terminal device 101 can access the internal WEB 106 and browse the information.

以上のような実施形態によれば、通信管理装置103は、外部端末装置101がイントラネット109内の内部WEB106に対してアクセスする際に該イントラネット109内において用いられる外部接続用証明書110と、この外部接続用証明書110の取得に際して使用した公開鍵とペアをなす秘密鍵と、外部端末装置101が外部ネットワークにおいて使用する外部証明書102と、を関連付けて証明書対応データベース206として記憶しておき、外部端末装置101からのアクセスに応じて、該外部端末装置101から外部証明書102を取得し、該取得した外部証明書102と対応する外部接続用証明書110及び秘密鍵のペア104を証明書対応データベース206内より抽出(検索)し、該抽出された外部接続用証明書110及び秘密鍵のペア104を用いて、イントラネット109内の内部WEB106に対し、外部端末装置101のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが内部WEB106により認証された場合に、該内部WEB106からの返答を外部端末装置101に対して送信するので、外部端末装置101から、イントラネット109内の内部WEB106に対してSSL通信方式でアクセスすることを、電子証明書を用いたアクセス権限の認証によって許可できるような構成とすることができる。   According to the embodiment as described above, the communication management apparatus 103 includes the external connection certificate 110 used in the intranet 109 when the external terminal apparatus 101 accesses the internal WEB 106 in the intranet 109, and this The private key paired with the public key used for obtaining the external connection certificate 110 and the external certificate 102 used by the external terminal device 101 in the external network are associated with each other and stored as the certificate correspondence database 206. The external certificate 102 is acquired from the external terminal device 101 in response to the access from the external terminal device 101, and the external connection certificate 110 and the private key pair 104 corresponding to the acquired external certificate 102 are certified. (Search) from the certificate correspondence database 206, and the extracted external connection certificate 1 Using the 0 and private key pair 104, the internal WEB 106 in the intranet 109 is requested to execute the access authority authentication operation of the external terminal apparatus 101 on behalf of the user, and the internal WEB 106 authenticates that the user has the access authority. In this case, since the response from the internal WEB 106 is transmitted to the external terminal device 101, the electronic certificate is transmitted from the external terminal device 101 to the internal WEB 106 in the intranet 109 using the SSL communication method. It can be configured such that it can be permitted by authentication of the used access authority.

また、通信管理装置103は、イントラネット109内で用いられる内部証明書111を有する内部端末装置107からのアクセスに応じて、該内部端末装置107から内部証明書111を取得し、該アクセスに応じて(外部接続用証明書110を取得するための)秘密鍵と公開鍵との鍵ペアを生成し、このうち公開鍵を用いてCA108から外部接続用証明書110を取得し、該アクセスを行った内部端末装置107によって(例えば、電子メールアドレスを)指定された外部端末装置101から、外部証明書102を取得し、CA108から取得した外部接続用証明書110と、該外部接続用証明書110の取得に際して使用した鍵ペアのうちの秘密鍵と、指定された外部端末装置101から取得した外部証明書102と、を関連付けて証明書対応データベース206に記憶させる処理を行うので、内部証明書111を有する内部端末装置107からのアクセスに応じて、自動的に、証明書対応データベース206を生成することができる。すなわち、内部端末装置107からのアクセスに応じて、自動的に、外部証明書102と外部接続用証明書110との対応付けを登録することができる。   Further, the communication management device 103 acquires the internal certificate 111 from the internal terminal device 107 in response to the access from the internal terminal device 107 having the internal certificate 111 used in the intranet 109, and responds to the access. A key pair of a private key and a public key (for acquiring the external connection certificate 110) is generated, and the external connection certificate 110 is acquired from the CA 108 using the public key, and the access is performed. The external certificate 102 is acquired from the external terminal device 101 designated by the internal terminal device 107 (for example, an e-mail address), the external connection certificate 110 acquired from the CA 108, and the external connection certificate 110 Associating the private key of the key pair used at the time of acquisition with the external certificate 102 acquired from the designated external terminal device 101 Since the process of storing the Akirasho corresponding database 206, in response to an access from the internal terminal device 107 having an internal certificate 111, automatically, it is possible to generate a certificate corresponding database 206. That is, the correspondence between the external certificate 102 and the external connection certificate 110 can be automatically registered in response to an access from the internal terminal device 107.

また、通信管理装置103は、例えば、アクセスしてきた内部端末装置107から該アクセスの際に送信された電子メールアドレス宛に、使い捨てのホームページのURLを送信し、該使い捨てのURLに対するアクセスを行った外部端末装置101から外部証明書102を取得することにより、証明書対応データベース206に登録すべき外部証明書102を取得することができる。   In addition, the communication management apparatus 103, for example, transmits the URL of the disposable homepage to the e-mail address transmitted at the time of access from the accessing internal terminal apparatus 107, and accesses the disposable URL. By acquiring the external certificate 102 from the external terminal device 101, the external certificate 102 to be registered in the certificate correspondence database 206 can be acquired.

このように、本実施形態によれば、従来周知の構成のイントラネット109に通信管理装置103を設けることにより、元々のイントラネット109内の構成要素(内部端末装置107、内部WEB106及びCA108)に変更を加えることなく、外部端末装置101からイントラネット109内の内部WEB106に対して、証明書を利用した端末の認証を行ってアクセスすることが可能とすることができる。   As described above, according to the present embodiment, by providing the communication management apparatus 103 in the intranet 109 having a conventionally well-known configuration, the components in the original intranet 109 (the internal terminal apparatus 107, the internal WEB 106, and the CA 108) are changed. Without adding, it is possible to access the internal WEB 106 in the intranet 109 from the external terminal device 101 by authenticating the terminal using a certificate.

なお、上記の実施形態では、外部端末装置101として、携帯電話機を例示したが、外部端末装置101は、その他の端末装置(例えば、PHS(Personal Handy−phone System)、PDA(Personal Digital Assistant)などの携帯端末装置や、PCなど)であっても良い。   In the above-described embodiment, a mobile phone is exemplified as the external terminal device 101. However, the external terminal device 101 may be another terminal device (for example, PHS (Personal Handy-phone System), PDA (Personal Digital Assistant), or the like. For example, a portable terminal device or a PC).

また、上記の実施形態では、内部端末装置107として、PCを例示したが、内部端末装置107は、その他の端末装置(例えば、携帯電話機、PHS(Personal Handy−phone System)、PDA(Personal Digital Assistant)といった携帯端末装置など)であっても良い。   In the above embodiment, the PC is exemplified as the internal terminal device 107. However, the internal terminal device 107 may be another terminal device (for example, a mobile phone, a personal handy-phone system (PHS), or a personal digital assistant (PDA)). Or a portable terminal device).

また、上記の実施形態では、ローカルネットワークとして、イントラネットを例示したが、ローカルネットワークはその他のネットワークであっても良い。   In the above embodiment, an intranet is exemplified as the local network, but the local network may be another network.

本発明の実施形態に係る通信システムを示すブロック図である。1 is a block diagram showing a communication system according to an embodiment of the present invention. 本発明の実施形態に係る通信システムを示すブロック図である。1 is a block diagram showing a communication system according to an embodiment of the present invention. 本発明の実施形態に係る通信システムを示すブロック図である。1 is a block diagram showing a communication system according to an embodiment of the present invention. 登録動作を行う際の通信システムの通信システムの動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the communication system of the communication system at the time of performing registration operation | movement. イントラネットの外部からアクセスする際の通信システムの動作の流れを示すフローチャートである。It is a flowchart which shows the flow of operation | movement of the communication system at the time of accessing from the outside of an intranet. 従来の通信システムを示すブロック図である。It is a block diagram which shows the conventional communication system.

符号の説明Explanation of symbols

100 通信システム
103 通信管理装置
101 外部端末装置
107 内部端末装置
108 CA(認証局)
102 外部証明書(第2の電子証明書)
106 内部WEB(WEB)
109 イントラネット(ローカルネットワーク)
202 外部通信手段(第1の取得手段、第4の取得手段)
203 イントラネット内通信手段(代理通信手段)
204 証明書登録ページ作成手段(URL送信手段)
205 証明書連携手段(抽出手段、記憶処理手段)
206 証明書対応データベース(データベース)
207 証明書発行受付手段(第2の取得手段)
208 鍵ペア生成手段(第3の取得手段)
209 証明書発行要求手段(第3の取得手段) 100 Communication System 103 Communication Management Device 101 External Terminal Device 107 Internal Terminal Device 108 CA (Certificate Authority)
102 External certificate (second electronic certificate)
106 Internal WEB (WEB)
109 Intranet (local network)
202 External communication means (first acquisition means, fourth acquisition means)
203 Intranet communication means (proxy communication means)
204 Certificate registration page creation means (URL transmission means)
205 Certificate linkage means (extraction means, storage processing means)
206 Certificate Database (Database)
207 Certificate issuance acceptance means (second acquisition means)
208 Key pair generation means (third acquisition means)
209 Certificate issuance request means (third acquisition means)

Claims (11)

ローカルネットワークに対する外部のネットワークである外部ネットワークにおいて通信を行う外部端末装置からの、前記ローカルネットワーク内に対する通信接続を管理する通信管理装置であって、
前記外部端末装置が前記ローカルネットワーク内のWEBに対してアクセスする際に前記ローカルネットワーク内において用いられる第1の電子証明書と、前記第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵と、前記外部端末装置が前記外部ネットワークにおいて使用する第2の電子証明書と、を関連付けて記憶するデータベースと、
前記外部端末装置からのアクセスに応じて、該外部端末装置から前記第2の電子証明書を取得する第1の取得手段と、
前記第1の取得手段により取得した第2の電子証明書と対応する第1の電子証明書及び秘密鍵を前記データベース内より抽出する抽出手段と、
前記抽出手段により抽出された第1の電子証明書及び秘密鍵を用いて、前記ローカルネットワーク内のWEBに対し、前記外部端末装置のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが前記WEBにより認証された場合に、該WEBからの返答を該外部端末装置に対して送信する代理通信手段と、
を備えることを特徴とする通信管理装置。 A communication management device for managing communication connection in the local network from an external terminal device that performs communication in an external network that is an external network to the local network,
When the external terminal device accesses the WEB in the local network, a pair of a first electronic certificate used in the local network and a public key used in obtaining the first electronic certificate A database that stores an associated secret key and a second electronic certificate that the external terminal device uses in the external network in association with each other;
First acquisition means for acquiring the second electronic certificate from the external terminal device in response to access from the external terminal device;
Extraction means for extracting a first electronic certificate and a private key corresponding to the second electronic certificate acquired by the first acquisition means from the database;
Using the first electronic certificate and the private key extracted by the extracting means, the WEB in the local network is requested on behalf of the execution of the access authority authentication operation of the external terminal device, and the access authority Proxy communication means for transmitting a response from the WEB to the external terminal device when it is authenticated by the WEB,
A communication management device comprising: 前記ローカルネットワーク内で用いられる第3の電子証明書を有する内部端末装置からのアクセスに応じて、該内部端末装置から前記第3の電子証明書を取得する第2の取得手段と、
前記内部端末装置からのアクセスに応じて、秘密鍵と公開鍵との鍵ペアを生成し、このうち公開鍵を用いて認証局から前記第1の電子証明書を取得する第3の取得手段と、
前記アクセスを行った内部端末装置によって指定された外部端末装置から、前記第2の電子証明書を取得する第4の取得手段と、
前記第3の取得手段により取得した前記第1の電子証明書と、該第1の電子証明書の取得に際して使用した鍵ペアのうちの前記秘密鍵と、前記第4の取得手段により取得した前記第2の電子証明書と、を関連付けて前記データベースに記憶させる処理を行う記憶処理手段と、
を備えることを特徴とする請求項1に記載の通信管理装置。 Second acquisition means for acquiring the third electronic certificate from the internal terminal device in response to an access from the internal terminal device having a third electronic certificate used in the local network;
A third acquisition unit that generates a key pair of a private key and a public key in response to access from the internal terminal device, and acquires the first electronic certificate from a certificate authority using the public key. ,
Fourth acquisition means for acquiring the second electronic certificate from an external terminal device designated by the accessing internal terminal device;
The first electronic certificate acquired by the third acquisition unit, the private key of the key pair used for acquiring the first electronic certificate, and the acquired by the fourth acquisition unit Storage processing means for performing processing for associating and storing the second electronic certificate in the database;
The communication management apparatus according to claim 1, further comprising: 前記アクセスを行った内部端末装置より該アクセスの際に送信された電子メールアドレス宛に、使い捨てのURLを送信するURL送信手段を更に備え、
前記第4の取得手段は、前記使い捨てのURLに対するアクセスを行った外部端末装置から前記第2の電子証明書を取得することを特徴とする請求項2に記載の通信管理装置。 URL transmitting means for transmitting a disposable URL to the e-mail address transmitted at the time of access from the internal terminal device that has performed the access;
The communication management apparatus according to claim 2, wherein the fourth acquisition unit acquires the second electronic certificate from an external terminal device that has accessed the disposable URL. SSL通信方式による通信を管理することを特徴とする請求項1乃至3の何れか一項に記載の通信管理装置。   The communication management apparatus according to any one of claims 1 to 3, wherein communication according to an SSL communication method is managed. 請求項1に記載の通信管理装置と、前記WEBと、を備えることを特徴とする通信システム。   A communication system comprising the communication management device according to claim 1 and the WEB. 請求項2に記載の通信管理装置と、前記WEBと、前記内部端末装置と、前記認証局と、を備えることを特徴とする通信システム。   A communication system comprising the communication management device according to claim 2, the WEB, the internal terminal device, and the certificate authority. ローカルネットワークに対する外部のネットワークである外部ネットワークにおいて通信を行う外部端末装置からの、前記ローカルネットワーク内に対する通信接続を管理する方法であって、
前記外部端末装置が前記ローカルネットワーク内のWEBに対してアクセスする際に前記ローカルネットワーク内において用いられる第1の電子証明書と、前記第1の電子証明書の取得に際して使用した公開鍵とペアをなす秘密鍵と、前記外部端末装置が前記外部ネットワークにおいて使用する第2の電子証明書と、を関連付けて記憶する記憶処理過程と、
前記外部端末装置からのアクセスに応じて、該外部端末装置から前記第2の電子証明書を取得する第1の取得過程と、
前記第1の取得過程により取得した第2の電子証明書と対応する第1の電子証明書及び秘密鍵を前記データベース内より抽出する抽出過程と、
前記抽出過程により抽出された第1の電子証明書及び秘密鍵を用いて、前記ローカルネットワーク内のWEBに対し、前記外部端末装置のアクセス権限の認証動作の実行を代理で要求し、該アクセス権限が有ることが前記WEBにより認証された場合に、該WEBからの返答を該外部端末装置に対して送信する代理通信過程と、
を備えることを特徴とする通信管理方法。 A method of managing communication connection in the local network from an external terminal device that performs communication in an external network that is an external network to the local network,
When the external terminal device accesses the WEB in the local network, a pair of a first electronic certificate used in the local network and a public key used in obtaining the first electronic certificate A storage process for storing the secret key formed and the second electronic certificate used by the external terminal device in the external network in association with each other;
A first acquisition step of acquiring the second electronic certificate from the external terminal device in response to an access from the external terminal device;
An extraction process of extracting from the database the first electronic certificate and the private key corresponding to the second electronic certificate acquired by the first acquisition process;
Using the first electronic certificate and private key extracted in the extraction process, the WEB in the local network is requested to execute an access authority authentication operation of the external terminal device on behalf of the WEB, and the access authority A proxy communication process of transmitting a response from the WEB to the external terminal device when it is authenticated by the WEB,
A communication management method comprising: 前記ローカルネットワーク内で用いられる第3の電子証明書を有する内部端末装置からのアクセスに応じて、該内部端末装置から前記第3の電子証明書を取得する第2の取得過程と、
前記内部端末装置からのアクセスに応じて、秘密鍵と公開鍵との鍵ペアを生成し、このうち公開鍵を用いて認証局から前記第1の電子証明書を取得する第3の取得過程と、
前記アクセスを行った内部端末装置によって指定された外部端末装置から、前記第2の電子証明書を取得する第4の取得過程と、
を更に備え、
前記記憶処理過程は、前記第3の取得過程により取得した前記第1の電子証明書と、該第1の電子証明書の取得に際して使用した鍵ペアのうちの前記秘密鍵と、前記第4の取得過程により取得した前記第2の電子証明書と、を関連付けて記憶する過程であることを特徴とする請求項7に記載の通信管理方法。 A second acquisition step of acquiring the third electronic certificate from the internal terminal device in response to an access from the internal terminal device having a third electronic certificate used in the local network;
A third acquisition step of generating a key pair of a private key and a public key in response to an access from the internal terminal device, and acquiring the first electronic certificate from a certificate authority using the public key. ,
A fourth acquisition step of acquiring the second electronic certificate from the external terminal device designated by the accessing internal terminal device;
Further comprising
The storage processing step includes the first electronic certificate acquired in the third acquisition step, the secret key of the key pair used for acquiring the first electronic certificate, and the fourth electronic certificate. 8. The communication management method according to claim 7, wherein the second electronic certificate acquired by the acquisition process is a process of storing the second electronic certificate in association with each other. 前記アクセスを行った内部端末装置より該アクセスの際に送信された電子メールアドレス宛に、使い捨てのURLを送信するURL送信過程を更に備え、
前記第4の取得過程では、前記使い捨てのURLに対するアクセスを行った外部端末装置から前記第2の電子証明書を取得することを特徴とする請求項8に記載の通信管理方法。 A URL transmission step of transmitting a disposable URL to the e-mail address transmitted at the time of access from the internal terminal device that performed the access;
9. The communication management method according to claim 8, wherein, in the fourth acquisition process, the second electronic certificate is acquired from an external terminal device that has accessed the disposable URL. SSL通信方式による通信を管理することを特徴とする請求項7乃至9の何れか一項に記載の通信管理方法。   The communication management method according to any one of claims 7 to 9, wherein communication according to an SSL communication method is managed. 請求項7乃至10の何れか一項に記載の通信管理方法をコンピュータに実行させるためのプログラム。

The program for making a computer perform the communication management method as described in any one of Claims 7 thru | or 10.

JP2005083272A 2005-03-23 2005-03-23 COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD Expired - Fee Related JP4730518B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005083272A JP4730518B2 (en) 2005-03-23 2005-03-23 COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005083272A JP4730518B2 (en) 2005-03-23 2005-03-23 COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD

Publications (2)

Publication Number Publication Date
JP2006270312A true JP2006270312A (en) 2006-10-05
JP4730518B2 JP4730518B2 (en) 2011-07-20

Family

ID=37205830

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005083272A Expired - Fee Related JP4730518B2 (en) 2005-03-23 2005-03-23 COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD

Country Status (1)

Country Link
JP (1) JP4730518B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016081523A (en) * 2014-10-15 2016-05-16 株式会社リコー Information processing system and device control method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1125048A (en) * 1997-06-30 1999-01-29 Hitachi Ltd Method for managing security of network system
JP2002342270A (en) * 2001-05-16 2002-11-29 Japan Telecom Holdings Co Ltd Remote access control method and remote access control program
JP2004355619A (en) * 2003-05-27 2004-12-16 Microsoft Corp Distributed authentication in protocol-based trust range capable of executing communication from a plurality of sources by given external connection outside trust range

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1125048A (en) * 1997-06-30 1999-01-29 Hitachi Ltd Method for managing security of network system
JP2002342270A (en) * 2001-05-16 2002-11-29 Japan Telecom Holdings Co Ltd Remote access control method and remote access control program
JP2004355619A (en) * 2003-05-27 2004-12-16 Microsoft Corp Distributed authentication in protocol-based trust range capable of executing communication from a plurality of sources by given external connection outside trust range

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016081523A (en) * 2014-10-15 2016-05-16 株式会社リコー Information processing system and device control method

Also Published As

Publication number Publication date
JP4730518B2 (en) 2011-07-20

Similar Documents

Publication Publication Date Title
CN100534092C (en) Method and system for stepping up to certificate-based authentication without breaking an existing ssl session
JP6643373B2 (en) Information processing system, control method and program therefor
US8238555B2 (en) Management server, communication apparatus and program implementing key allocation system for encrypted communication
JP6929181B2 (en) Devices and their control methods and programs
US20030005333A1 (en) System and method for access control
JP6061633B2 (en) Device apparatus, control method, and program thereof.
JP5475035B2 (en) Authentication authority transfer system, information terminal, token issuing authority, service providing apparatus, authentication authority transfer method, and program
TW200833060A (en) Authentication delegation based on re-verification of cryptographic evidence
JP2018173921A (en) Network device, authentication management system, and control methods and control programs therefor
WO2010135883A1 (en) File uploading realization method and system for web application
JP5431040B2 (en) Authentication request conversion apparatus, authentication request conversion method, and authentication request conversion program
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP3833652B2 (en) Network system, server device, and authentication method
JP2006202052A (en) User authentication program, its recording medium, method and apparatus for authenticating user, and secret information acquisition program
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
KR102171377B1 (en) Method of login control
JP2011221729A (en) Id linking system
JP2005301577A (en) Authentication system, authentication program for server, and authentication program for client
JP2003323409A (en) Single sign-on system, and program and method therefor
JP2009123154A (en) Method and device for managing attribute certificates
JP2003244123A (en) Common key management system, server, and method and program
JP4730518B2 (en) COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD
KR100993333B1 (en) Method for enrollment and authentication using private internet access devices and system
JP2011024155A (en) Electronic signature system and method
JP2005318269A (en) Electronic certificate management system, method and server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080213

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080825

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110302

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110405

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees