JP2007074660A - アクセス制御システム - Google Patents
アクセス制御システム Download PDFInfo
- Publication number
- JP2007074660A JP2007074660A JP2005262346A JP2005262346A JP2007074660A JP 2007074660 A JP2007074660 A JP 2007074660A JP 2005262346 A JP2005262346 A JP 2005262346A JP 2005262346 A JP2005262346 A JP 2005262346A JP 2007074660 A JP2007074660 A JP 2007074660A
- Authority
- JP
- Japan
- Prior art keywords
- certificate issuing
- node
- issuing server
- service
- authorization certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】ネットワーク内のノードを認証し認証証明書を発行する認証証明書発行サーバ201と、それとは異なるネットワークに属し、認証証明書によって認証されたノードが要求するサービスの認可証明書を発行する認可証明書発行サーバ202、203とを含むシステムにおいて、サービス要求ノード206が移動し、それらネットワークを接続先とすることにより、それらサーバ同士の間で秘密鍵を共有し、かつ、認証証明書発行サーバ201とサービス提供ノード群204、205との間で秘密鍵を共有する。
【効果】移動可能なノード206を介することにより、直接接続できない認証証明書発行サーバ201と認可証明書発行サーバ202、203とが、通信することができる。
【選択図】 図1
Description
非特許文献1のような従来の分散認証方式、分散アクセス制御方式では、サービスを利用するノードが、証明書発行サーバに認証証明書を要求する。ノードは、取得した認証証明書と利用したいサービスとを証明書発行サーバに提示する。こうすることで、任意のサービス利用のための認可証明書が発行される。取得した認可証明書を、サービスを提供するノードに提示することで、目的のサービスを受けることができる。
証明書発行サーバ101は、認証証明書発行部102と、認可証明書発行部103と、共有秘密鍵保持部104とを含んで構成されている。
最終的に、ノード105Bは、認可証明書発行部103により発行されたノード105Aの認可証明書({Tc:s}Ks)から、ノード105Aが正しく認可されていると判断し、ノード105Aに対して、認可内容に応じたサービスを提供する(図16中のP6)。
Kerberos:The NetworkAuthenticationProtocol、[online]、[平成17年8月12日検索]、インターネット<URL:http://web.mit.edu/kerberos/www/>
また、装置同士が相互に直接通信できない場合、人間の手を介して、秘密鍵を交換する必要がある。このような手続きは、効率的でないという問題がある。
本発明は上述した従来技術の問題点を解決するためになされたものであり、その目的は認証証明書発行部と認可証明書発行部とを、別々のネットワーク上に配置できるようにし、リソース管理コスト、リソース管理エリアを分散化するアクセス制御システムを提供することである。
(実施の形態)
図1は、本発明の実施形態によるアクセス制御システムの構成を示すブロック図である。
同図において、サービス提供ノード群204及び205には、サービス提供ノード601が属している。これらサービス提供ノード601には、既存の方式のノードを用いる。
図2は本発明の実施形態によるアクセス制御システムが適用されるネットワーク内の認証証明書発行サーバの構成を示すブロック図である。
認証証明書発行サーバ201は、通信部302と、共有秘密鍵保持部303と、共有秘密鍵生成部304と、認証証明書発行部305とを含んで構成されている。
通信部302は、サービス要求ノードと通信を行う。共有秘密鍵保持部303は、認可証明書発行サーバと共有している秘密鍵を保持する。共有秘密鍵生成部304は、認可証明書発行サーバと共有する秘密鍵を生成する。認証証明書発行部305は、サービス要求ノードを認証し、認証したサービス要求ノードに対して、認証証明書(図16中の(2){Kc:tgs}Kc,{Tc:tgs}Ktgs)を発行する。
図3は本発明の実施形態によるアクセス制御システムが適用されるネットワーク内の認可証明書発行サーバの構成を示すブロック図である。
認可証明書発行サーバ202は、通信部402と、共有秘密鍵保持部403と、証明書検証部404と、共有秘密鍵生成部405と、認可証明書発行部406とを含んで構成されている。なお、認可証明書発行サーバ203も同様の構成になっている。
サービス要求ノード206内の通信部502は、他の全てのノードと通信を行う。共有秘密鍵保持部503は、認証証明書発行サーバと共有している秘密鍵を保持する。認証証明書保持部504は、認証証明書発行サーバから発行された認証証明書を保持する。認可証明書保持部505は、認可証明書発行サーバから発行された認可証明書を保持する。
サービス提供ノード601内の通信部602は、認可証明書発行サーバ及びサービス要求ノードと通信を行う。共有秘密鍵保持部603は、認可証明書発行サーバと共有している秘密鍵を保持する。証明書検証部604は、認可証明書発行サーバの発行した認可証明書を検証する。
以上の構成からなる、認証証明書発行サーバ201、認可証明書発行サーバ202及び203、サービス提供ノード群204及び205、サービス要求ノード206による分散アクセス制御について説明する。
次に、ノード105A〜105Dによる、分散アクセス制御の手順について説明する。
まず、図6に示されているフローチャート、及び、図7に示されているシーケンス図を参照して、サービス要求ノード206が認可証明書発行サーバ203の通信識別子を取得する手順について説明する。
まず、サービス要求ノード206が認可証明書発行サーバの通信識別子の問い合わせを送信する(図7中のP801)。すると、認可証明書発行サーバ203は、自己の通信識別子を含む応答メッセージをサービス要求ノードに返信する(図7中のP802)。
次に、図8に示されているフローチャートを参照して、認可証明書発行サーバ203が、認証証明書発行サーバ301と共有している秘密鍵の更新手順について説明する。
まず、認可証明書発行サーバ203に、サービス要求ノード206からの認可証明書発行サーバの通信識別子の問い合わせメッセージ、あるいは認可証明書の発行要求メッセージが届く(ステップ901)。次に認可証明書発行サーバ203は、共有秘密鍵保持部403に保持する認証証明書発行サーバ301と共有する秘密鍵の有効期限の確認を行い、更新が必要かどうか判断する(ステップ902)。更新が必要な場合、認可証明書発行サーバ203は、サービス要求ノード206を介して、認証証明書発行サーバ301に向けて、秘密鍵の更新依頼メッセージを送信する(ステップ903)。秘密鍵の更新依頼メッセージを受信した、サービス要求ノード206は、そのメッセージを該当する認証証明書発行サーバ301に転送する(ステップ904)。秘密鍵の更新依頼メッセージを受信した、認証証明書発行サーバ301は、共有秘密鍵生成部304で該当の認可証明書発行サーバと共有する秘密鍵を生成し、サービス要求ノード206を介して、該当の認可証明書発行サーバに送信する(ステップ905)。更新された秘密鍵を受信した、サービス要求ノード206は、そのメッセージを該当する認可証明書発行サーバ203に転送する(ステップ906)。最終的に、認可証明書発行サーバ203は、更新された秘密鍵を、サービス要求ノード206を介して受信する(ステップ907)。
図9を参照して説明した通信シーケンスは、公開鍵を用いて図10のように行っても良い。同図において、「Reqc」は共有秘密鍵更新要求、「TGSc」は認可証明書発行サーバの認証子、「ASc」は認証証明書発行サーバの認証子、「Ktgs_n」は更新された認可証明書発行サーバ共有秘密鍵、「PKtgs」は認可証明書発行サーバの公開鍵、「PKas」は認証証明書発行サーバの公開鍵、「Ktemp1」及び「Ktemp2」は一時利用鍵である。
このように、公開鍵暗号方式を用いてセキュアに共通の秘密鍵を共有すれば、各サーバ、ノード間で秘密鍵を共有することが安全、かつ容易になる。
認可証明書の取得、サービス提供ノードの認可証明書発行サーバと共有する秘密鍵の更新については、図11に示されているように、認可証明書発行サーバ203、サービス提供ノード105、サービス要求ノード206が全て相互通信できることを仮定しても良い。また、図12に示されているように、認可証明書発行サーバ203とサービス要求ノード206とが直接通信できなくても、サービス提供ノード105がその通信の仲介を行って、認可証明書の取得及び秘密鍵の更新を実現しても良い。さらに、図13に示されているように、認可証明書発行サーバ203とサービス提供ノード105とが直接通信できなくても、サービス要求ノード206がその通信の仲介を行って、認可証明書の取得及び秘密鍵の更新を実現しても良い。
より具体的な動作例について、図14及び図15を参照して説明する。両図において、サービス要求ノード206は通信端末であり、サービス提供ノード105B〜105Dはプリンタやサーバ等である。
図14において、基幹ネットワーク内に存在している、認証証明書発行サーバ201とサービス要求ノード206との間で認証処理が行われる(図14中のP11)。その後、サービス要求ノード206が移動する(図14中のP12)。そして、オフィスネットワーク内の各ノードサービス提供105B〜105Dと通信可能な状態になると、サービス要求ノード206から他の装置に対し、ブロードキャストによって、認可証明書発行サーバ203のアドレスを問い合わせる(図14中のP13)。この問い合わせに対して、認可証明書発行サーバ203から回答を受信する(図14中のP14)。以上の処理の後、サービス要求ノード206はオフィスネットワーク内の各サービス提供ノード105B〜105Dが提供するサービスを受けることができる。
以上の処理の場合、ブロードキャストによってアドレス問い合わせを行うので、サービス要求ノード206は、認可証明書発行サーバ203のアドレスを知らなくても、良いというメリットがある。
図15において、基幹ネットワーク内に存在している、認証証明書発行サーバ201とサービス要求ノード206との間で認証処理が行われる(図15中のP21)。その後、サービス要求ノード206が移動する(図15中のP22)。そして、オフィスネットワーク内の各サービス提供ノード105B〜105Dと通信可能な状態になると、サービス要求ノード206からサービス提供ノード105Bに、個別に、認可証明書発行サーバ203のアドレスを問い合わせる(図15中のP23)。サービス要求ノード206は、サービス提供ノード105Bから、認可証明書発行サーバ203のアドレスについての回答を得ると(図15中のP24)、そのアドレスを用いて認可証明書発行サーバ203に接続を行う(図15中のP25)。これにより、認可証明書発行サーバ203から回答を受信することができる。
以上の処理の場合、図14の場合とは異なり、サービス要求ノード206は、サービス提供ノード105Bに個別にアドレス問い合わせを行うので、オフィスネットワークを利用しなくても、Bluetooth(登録商標)、赤外線通信等の近距離無線通信や、通信ケーブル接続による通信を利用することができる。
以上説明したように、本実施形態によれば、直接接続できない認証証明書発行サーバと認可証明書発行サーバとが、サービス要求ノードを介して通信することが可能となることから、認証証明書発行サーバと認可証明書発行サーバとを、別のネットワークに配置することができる。
また、各サーバ、各ノード間で秘密鍵を共有することが安全、かつ容易となることから、より安全にアクセス制御を行うことができる。
さらに、サービス要求に必要な認可証明書を発行する、認可証明書発行サーバの通信識別子を事前に登録しておく必要がなくなることから、サービス要求ノードが今まで所属したことのないネットワークに移動した際に、事前に登録無く、新たな認可証明書発行サーバと通信を開始することができる。
なお、認可証明書発行サーバと認証証明書発行サーバとが、異なるネットワークに属していても、サービス要求ノードを介して、秘密鍵の共有が可能となることから、認証証明書発行サーバと認可証明書発行サーバを、別のネットワークに配置して、アクセス制御を行うことができる。
102、305 認証証明書発行部
103、406 認可証明書発行部
104、303、403、503、603 共有秘密鍵保持部
105A〜105D ノード
201、301 認証証明書発行サーバ
202、203、401 認可証明書発行サーバ
204、205 サービス提供ノード群
206 サービス要求ノード
302、402、502、602 通信部
304、405 共有秘密鍵生成部
404、604 証明書検証部
504 認証証明書保持部
505 認可証明書保持部
601 サービス提供ノード
N 基幹ネットワーク
Claims (4)
- ネットワーク内のノードを認証し当該ノードに認証証明書を発行する認証証明書発行サーバと、前記認証証明書発行サーバの属するネットワークとは異なるネットワークに属し、前記認証証明書によって認証されたノードが要求するサービスの認可証明書を発行する認可証明書発行サーバと、前記認可証明書により認可されたサービスを提供するサービス提供ノードと、前記サービス提供ノードにサービスを要求するサービス要求ノードとを含むアクセス制御システムであって、前記サービス要求ノードは移動することによって、前記認証証明書発行サーバの属するネットワーク及び前記認可証明書発行サーバの属するネットワークにそれぞれ接続可能であり、前記認可証明書発行サーバと前記認証証明書発行サーバとの間で秘密鍵を共有し、かつ、前記認証証明書発行サーバと前記サービス提供ノードとの間で秘密鍵を共有していることを特徴とするアクセス制御システム。
- 前記サービス要求ノードは、サービスを要求する際に、利用したいサービスを持つサービス提供ノードの属するネットワークに入ると、前記ネットワーク内に認可証明書発行サーバの通信識別子を問い合わせるようにしたことを特徴とする請求項1記載のアクセス制御システム。
- 前記認可証明書発行サーバの通信識別子の問い合わせを受けると、前記認可証明書発行サーバと該認可証明書発行サーバにより管理されるサービス提供ノードとの少なくとも一方が、前記認可証明書発行サーバの通信識別子を、問合せ元に応答するようにしたことを特徴とする請求項2記載のアクセス制御システム。
- 前記秘密鍵を更新する場合、前記認可証明書発行サーバは、秘密鍵更新依頼メッセージを、前記サービス要求ノードを介して前記認証証明書発行サーバに送り、前記秘密鍵更新依頼メッセージを受取った前記認証証明書発行サーバは、更新された秘密鍵を、前記サービス要求ノードを介して前記認可証明書発行サーバに送ることを特徴とする請求項1から請求項3までのいずれか1項に記載のアクセス制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005262346A JP2007074660A (ja) | 2005-09-09 | 2005-09-09 | アクセス制御システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005262346A JP2007074660A (ja) | 2005-09-09 | 2005-09-09 | アクセス制御システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007074660A true JP2007074660A (ja) | 2007-03-22 |
Family
ID=37935671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005262346A Pending JP2007074660A (ja) | 2005-09-09 | 2005-09-09 | アクセス制御システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007074660A (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
JPH11196081A (ja) * | 1997-12-26 | 1999-07-21 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | 暗号通信装置 |
JP2001320414A (ja) * | 2000-05-11 | 2001-11-16 | Mitsubishi Electric Corp | 多階層制御系ネットワークシステム、多階層制御系ネットワークシステムの制御装置、ルーティングパラメータ設定方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2002117350A (ja) * | 2000-07-21 | 2002-04-19 | Hitachi Ltd | サービス発行方法並びにサービス提供方法及びそのシステム |
-
2005
- 2005-09-09 JP JP2005262346A patent/JP2007074660A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
JPH11196081A (ja) * | 1997-12-26 | 1999-07-21 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | 暗号通信装置 |
JP2001320414A (ja) * | 2000-05-11 | 2001-11-16 | Mitsubishi Electric Corp | 多階層制御系ネットワークシステム、多階層制御系ネットワークシステムの制御装置、ルーティングパラメータ設定方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2002117350A (ja) * | 2000-07-21 | 2002-04-19 | Hitachi Ltd | サービス発行方法並びにサービス提供方法及びそのシステム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
KR100860404B1 (ko) | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 | |
JP4823717B2 (ja) | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 | |
CN100546244C (zh) | 因特网上用于安全内容递送的密钥管理协议与认证系统 | |
KR100664312B1 (ko) | 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 | |
JP2008504782A (ja) | 医療用無線アドホックネットワークノードの効率的な認証システム及び方法 | |
JP2013246655A (ja) | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 | |
CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
US8054975B2 (en) | Method and system for managing key of home device in broadcast encryption (BE) system | |
US7975293B2 (en) | Authentication system, authentication method and terminal device | |
JP2007510391A (ja) | ユーザの有効性を確認するためのユーザ有効性確認方法 | |
CN112396421B (zh) | 一种基于区块链通证的身份认证系统及方法 | |
CN102811211A (zh) | 支持登录验证的设备和进行登录验证的方法 | |
JP5495194B2 (ja) | アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
Pippal et al. | CTES based Secure approach for Authentication and Authorization of Resource and Service in Clouds | |
JP2003348072A (ja) | 自律分散網における暗号鍵の管理方法および装置 | |
JP4718257B2 (ja) | 分散認証アクセス制御システム | |
JP2004272380A (ja) | グループ認証方法及びシステム、サービス提供装置、認証装置、サービス提供プログラム及びそれを記録した記録媒体、認証プログラム及びそれを記録した記録媒体 | |
CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
JP2003244123A (ja) | 共通鍵管理システム、共通鍵管理サーバ、共通鍵管理方法、及び共通鍵管理プログラム | |
JP2006311425A (ja) | ユーザ認証方法およびシステム | |
JP2007310619A (ja) | 認証方式及びこれを用いた認証システム | |
JP2007074745A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
KR102040367B1 (ko) | 서버 독립적 채팅 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090310 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090511 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091201 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100201 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101005 |