JP2007334674A - Access control system, and service request node and service provision node suitable for access control system - Google Patents
Access control system, and service request node and service provision node suitable for access control system Download PDFInfo
- Publication number
- JP2007334674A JP2007334674A JP2006166448A JP2006166448A JP2007334674A JP 2007334674 A JP2007334674 A JP 2007334674A JP 2006166448 A JP2006166448 A JP 2006166448A JP 2006166448 A JP2006166448 A JP 2006166448A JP 2007334674 A JP2007334674 A JP 2007334674A
- Authority
- JP
- Japan
- Prior art keywords
- node
- service
- authorization information
- unit
- service providing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、サービスの利用が許可されたことを証明する認可証明書を用いて、サービスの利用を制限するアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードに関する。 The present invention relates to an access control system that restricts the use of a service by using an authorization certificate that proves that the use of the service is permitted, and a service requesting node and a service providing node suitable for use in the access control system.
従来、サービスの利用を要求するノード(以下、サービス要求ノード)と、サービスの利用が許可されたことを証明する認可証明書を発行する認可証明書発行部を有する証明書発行サーバと、サービスを提供するノード(以下、サービス提供ノード)とを含む分散型ネットワークでは、以下のような分散認証方式や分散アクセス制御方式が適用されていた(例えば、非特許文献1)。 2. Description of the Related Art Conventionally, a node that requests use of a service (hereinafter referred to as a service request node), a certificate issuing server that has an authorization certificate issuing unit that issues an authorization certificate that certifies that use of the service is permitted, and a service In a distributed network including nodes to be provided (hereinafter referred to as service providing nodes), the following distributed authentication method and distributed access control method have been applied (for example, Non-Patent Document 1).
具体的には、サービス要求ノードは、上述した認可証明書発行部へのアクセスが認証されたことを証明する認証証明書を証明書発行サーバに要求する。また、サービス要求ノードは、新たな送信情報であることを保障するために、サービス要求ノードを識別するノード識別子及び現在時刻に基づいてノード認証子を生成する。 Specifically, the service request node requests the certificate issuing server for an authentication certificate that proves that the access to the above-described authorization certificate issuing unit has been authenticated. Further, the service request node generates a node authenticator based on the node identifier for identifying the service request node and the current time in order to ensure that it is new transmission information.
続いて、サービス要求ノードは、所望のサービス名、ノード認証子及び認証証明書を証明書発行サーバの認可証明書発行部に送信して、上述した認可証明書を証明書発行サーバの認可証明書発行部から取得する。 Subsequently, the service request node transmits a desired service name, a node authenticator, and an authentication certificate to the authorization certificate issuing unit of the certificate issuing server, and the above-described authorization certificate is sent to the certificate issuing server authorization certificate. Obtain from the issuing department.
また、サービス要求ノードは、上述したノード認証子及び認可証明書を一のサービス提供ノードに送信して、所望のサービスの提供を一のサービス提供ノードから受ける。 Further, the service request node transmits the above-described node authenticator and authorization certificate to one service providing node and receives provision of a desired service from the one service providing node.
なお、上述した各過程では、各ノード間で送受信される情報は、一時利用鍵や共有秘密鍵などを用いて、必要に応じて暗号化されている。 In each process described above, information transmitted and received between the nodes is encrypted as necessary using a temporary use key, a shared secret key, or the like.
このように、従来の分散認証方式や分散アクセス制御方式では、サービス要求ノードとサービス提供ノードとが一対一の関係であることを前提として、分散認証や分散アクセス制御が行われていた。
一方、サービス提供ノードとして機能するノードは、家電やPCなどに限られるものではなく、各種センサー、家具、壁、食器及び洋服などがサービス提供ノードとして機能することが想定される。このような場合には、サービス要求ノードとサービス提供ノードとは、一対一の関係ではなくて、一対多の関係となることが想定される。 On the other hand, nodes that function as service providing nodes are not limited to home appliances and PCs, and it is assumed that various sensors, furniture, walls, tableware, clothes, and the like function as service providing nodes. In such a case, it is assumed that the service request node and the service providing node have a one-to-many relationship instead of a one-to-one relationship.
しかしながら、サービス要求ノードとサービス提供ノードとが一対多の関係である場合には、サービス要求ノードは、複数のサービス提供ノードからサービスの提供を受ける際に、複数のサービス提供ノードのそれぞれに対応する認可証明書を取得しなければならないため、認可証明書の取得に係る処理が煩雑であった。また、サービス要求ノードは、複数のサービス提供ノードのそれぞれに対応する認可証明書を管理しなければならないため、認可証明書の管理が煩雑であった。さらに、サービス要求ノードは、複数のサービス提供ノードのそれぞれに認可証明書を送信しなければならないため、認可証明書の送信に係る通信コストが増大してしまう。 However, when the service request node and the service providing node have a one-to-many relationship, when the service request node receives a service provided from the plurality of service providing nodes, the service request node and the service providing node correspond to each of the plurality of service providing nodes. Since the certificate has to be acquired, the processing related to the acquisition of the authorization certificate is complicated. Further, since the service request node has to manage the authorization certificate corresponding to each of the plurality of service providing nodes, the management of the authorization certificate is complicated. Furthermore, since the service request node must transmit an authorization certificate to each of the plurality of service providing nodes, the communication cost for transmitting the authorization certificate increases.
そこで、本発明は、上述した課題を解決するためになされたものであり、サービス要求ノードとサービス提供ノードとが一対多の関係である場合であっても、認可証明書の取得に係る処理及び認可証明書の管理を簡易にするとともに、認可証明書の送信に係る通信コストを抑制することが可能なアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードを提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problem, and even when the service request node and the service providing node have a one-to-many relationship, the processing and authorization for obtaining the authorization certificate To provide an access control system capable of simplifying certificate management and suppressing communication costs related to transmission of an authorization certificate, and a service request node and a service providing node suitable for use in the access control system With the goal.
本発明の第1の特徴は、サービスの利用を要求するサービス要求ノード(サービス要求ノード10)と、前記サービスの利用が許可されたことを示す認可情報(認可情報(Tc:s)又は認可証明書({Tc:s}Ks)を生成する証明書発行サーバ(証明書発行サーバ20)と、前記サービスを提供する複数のサービス提供ノード(サービス提供ノード30)とを含むアクセス制御システム(アクセス制御システム100)において、前記サービス要求ノードが、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記複数のサービス提供ノード宛てに送信する認可情報送信部(通信部11)と、前記サービスの利用を要求する場合に、前記複数のサービス提供ノードのいずれか宛てに前記ノード認証子を送信するノード認証子送信部(通信部11)とを備え、前記サービス提供ノードが、前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部(認可証明書検証部33)を備えることを要旨とする。 The first feature of the present invention is that a service request node (service request node 10) that requests the use of a service and authorization information (authorization information (Tc: s) or authorization certificate) indicating that the use of the service is permitted. An access control system (access control) including a certificate issuing server (certificate issuing server 20) for generating a certificate ({Tc: s} Ks) and a plurality of service providing nodes (service providing node 30) for providing the service In the system 100), the service request node transmits a node authenticator including at least the authorization information generated by the certificate issuing server and a node identifier for identifying the service request node to the plurality of service providing nodes. When requesting the use of the service with the authorization information transmission unit (communication unit 11), the plurality of A node authenticator transmitting unit (communication unit 11) that transmits the node authenticator to any one of the service providing nodes, and the service providing node receives the node authenticator transmitting unit of the service request node. The gist of the invention is that it includes a service provision determination unit (authorization certificate verification unit 33) that determines whether to provide the service to the service request node based on the authorization information corresponding to a node authenticator.
かかる特徴によれば、認可情報送信部が、ノード認証子及び認可情報を複数のサービス提供ノード宛てに送信する。 According to this feature, the authorization information transmission unit transmits the node authenticator and the authorization information to a plurality of service providing nodes.
すなわち、認可情報が複数のサービス提供ノードに共通する情報であるため、複数のサービス提供ノードのそれぞれに対応する認可情報をサービス要求ノードが取得する必要がなくなり、認可情報の取得に係る処理を簡易にすることができる。また、複数のサービス提供ノードのそれぞれに対応する認可情報をサービス要求ノードが管理する必要がなくなり、認可情報の管理に係る処理を簡易にすることができる。 That is, since the authorization information is information common to a plurality of service providing nodes, it is not necessary for the service request node to obtain the authorization information corresponding to each of the plurality of service providing nodes, and the processing related to obtaining the authorization information is simplified. Can be. Further, it is not necessary for the service request node to manage the authorization information corresponding to each of the plurality of service providing nodes, and the processing related to the management of the authorization information can be simplified.
さらに、複数のサービス提供ノードのそれぞれが認可情報を保持することにより、サービス要求ノードが所望のサービスの提供を受ける際に、認可情報を改めて送信する必要がなくなり、認可情報の送信に係る通信コストを抑制することができる。 Furthermore, since each of the plurality of service providing nodes holds the authorization information, it is not necessary to send the authorization information again when the service request node receives provision of the desired service, and the communication cost for transmitting the authorization information is eliminated. Can be suppressed.
本発明の第2の特徴は、本発明の第1の特徴において、前記サービス提供ノードが、前記サービス要求ノードの前記認可情報送信部から受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部(認可証明書保持部34)と、前記サービス要求ノードの前記認可情報送信部から受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部(認可証明書保持判定部36)とをさらに備えることを要旨とする。 A second feature of the present invention is that, in the first feature of the present invention, the service providing node associates the node authenticator received from the authorization information transmission unit of the service request node with the authorization information. An authorization information holding unit (authorization certificate holding unit 34) to hold, and an authorization information holding for determining whether or not the authorization information received from the authorization information transmitting unit of the service request node is held in the authorization information holding unit The gist is to further include a determination unit (authorization certificate holding determination unit 36).
本発明の第3の特徴は、本発明の第2の特徴において、前記サービス提供ノードが、前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部(通信部31)をさらに備えることを要旨とする。 According to a third aspect of the present invention, in the second aspect of the present invention, the authorization information corresponding to the node authenticator received by the service providing node from the node authenticator transmission unit of the service request node is the A gist of further comprising an authorization information request unit (communication unit 31) for requesting the authorization information corresponding to the node authenticator to another service providing node when the authorization information is not held in the authorization information holding unit. To do.
本発明の第4の特徴は、本発明の第2の特徴において、前記サービス提供ノードが、前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部(通信部31)をさらに備えることを要旨とする。 According to a fourth aspect of the present invention, in the second aspect of the present invention, when the service providing node determines that the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, The gist is to further include an authorization information holding notification unit (communication unit 31) for notifying a service providing node that the authorization information corresponding to the node authenticator is held.
本発明の第5の特徴は、サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバ(証明書発行サーバ20)と、前記サービスを提供する複数のサービス提供ノード(サービス提供ノード30)とを含むアクセス制御システム(アクセス制御システム100)で用いられ、前記サービスの利用を要求するサービス要求ノード(サービス要求ノード10)が、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記複数のサービス提供ノード宛てに送信する認可情報送信部(通信部11)と、前記サービスの利用を要求する場合に、前記複数のサービス提供ノードのいずれか宛てに前記ノード認証子を送信するノード認証子送信部(通信部11)とを備えることを要旨とする。 A fifth feature of the present invention is that a certificate issuing server (certificate issuing server 20) that generates authorization information indicating that use of a service is permitted, and a plurality of service providing nodes (service providing) that provide the service A service request node (service request node 10) for requesting the use of the service, the authorization information generated by the certificate issuing server, and an access control system (access control system 100) including the node 30) An authorization information transmission unit (communication unit 11) for transmitting a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes; A node authenticator transmission unit that transmits the node authenticator to any of the service providing nodes ( And summarized in that it comprises a signal unit 11) and.
本発明の第6の特徴は、サービスの利用を要求するサービス要求ノード(サービス要求ノード10)と、前記サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバ(証明書発行サーバ20)とを含むアクセス制御システム(アクセス制御システム100)で用いられ、前記サービスを提供するサービス提供ノード(サービス提供ノード30)が、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記サービス要求ノードから受信する認可情報受信部(通信部31)と、前記サービス要求ノードから受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部(認可証明書保持部34)と、前記サービス要求ノードから受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部(認可証明書保持判定部36)と、前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部(認可証明書検証部33)とを備えることを要旨とする。 A sixth feature of the present invention is that a service request node (service request node 10) requesting use of a service and a certificate issuing server (certificate issuing) that generates authorization information indicating that use of the service is permitted. The service providing node (service providing node 30) used in the access control system (access control system 100) including the server 20) provides the service, and the authorization information and the service generated by the certificate issuing server. The authorization information receiving unit (communication unit 31) that receives from the service request node a node authenticator including at least a node identifier for identifying the request node, and the node authenticator received from the service request node and the authorization information An authorization information holding unit (authorization certificate holding unit 34) to be attached and the service An authorization information holding judgment unit (authorization certificate holding judgment unit 36) for judging whether or not the authorization information received from the requesting node is held in the authorization information holding unit; and the node authenticator received from the service request node And a service provision determination unit (authorization certificate verification unit 33) that determines whether or not to provide the service to the service request node based on the authorization information corresponding to.
本発明の第7の特徴は、本発明の第6の特徴において、サービス提供ノードが、前記サービス要求ノードから前記サービスの利用を要求された際に前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部(通信部31)をさらに備えることを要旨とする。 According to a seventh aspect of the present invention, in the sixth aspect of the present invention, the service providing node includes the node authenticator received from the service request node when the service request node requests use of the service. When the corresponding authorization information is not held in the authorization information holding unit, an authorization information requesting unit (communication unit 31) that requests the authorization information corresponding to the node authenticator from another service providing node. Is further provided.
本発明の第8の特徴は、本発明の第6の特徴において、サービス提供ノードが、前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部(通信部31)をさらに備えることを要旨とする。 An eighth feature of the present invention is that, in the sixth feature of the present invention, when the service providing node determines that the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, another service is provided. The gist is to further include an authorization information holding notification unit (communication unit 31) for notifying the providing node that the authorization information corresponding to the node authenticator is held.
本発明によれば、サービス要求ノードとサービス提供ノードとが一対多の関係である場合であっても、認可証明書の取得に係る処理及び認可証明書の管理を簡易にするとともに、認可証明書の送信に係る通信コストを抑制することが可能なアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードを提供することができる。 According to the present invention, even when the service request node and the service providing node are in a one-to-many relationship, the processing for obtaining the authorization certificate and the management of the authorization certificate are simplified, and the authorization certificate It is possible to provide an access control system capable of suppressing communication costs related to transmission, and a service request node and a service providing node suitable for use in the access control system.
[第1実施形態]
(アクセス制御システムの構成)
以下において、本発明の第1実施形態に係るアクセス制御システムの構成について、図面を参照しながら説明する。図1は、本発明の第1実施形態に係るアクセス制御システム100を示す図である。
[First Embodiment]
(Configuration of access control system)
Hereinafter, the configuration of the access control system according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an
図1に示すように、アクセス制御システム100は、サービス要求ノード10と、証明書発行サーバ20と、複数のサービス提供ノード30(サービス提供ノード30a〜サービス提供ノード30c)とを有する。
As shown in FIG. 1, the
サービス要求ノード10は、サービスの利用を要求するノードである。具体的には、サービス要求ノード10は、証明書発行サーバ20によって発行された認可証明書をサービス提供ノード30に提示することによって、所望のサービスの提供を受ける。なお、サービス要求ノード10の詳細については後述する(図2を参照)。
The
証明書発行サーバ20は、サービスの利用が許可されたことを証明する認可証明書を発行する。なお、証明書発行サーバ20の詳細については後述する(図3を参照)。
The
サービス提供ノード30は、サービス要求ノード10にサービスを提供するノードである。例えば、サービス提供ノード30は、通信機能を有する家電やPCなどであり、通信機能を有するICチップなどを備える各種センサー、家具、壁、食器及び洋服などであってもよい。なお、サービス提供ノード30の詳細については後述する(図4を参照)。
The
(サービス要求ノードの構成)
以下において、本発明の第1実施形態に係るサービス要求ノードの構成について、図面を参照しながら説明する。図2は、本発明の第1実施形態に係るサービス要求ノード10を示すブロック図である。
(Service request node configuration)
The configuration of the service request node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 2 is a block diagram showing the
図2に示すように、サービス要求ノード10は、通信部11と、鍵管理部12と、証明書検証部13と、認証子保持部14とを有する。
As illustrated in FIG. 2, the
通信部11は、サービス要求ノード10と証明書発行サーバ20との間の通信を行う。具体的には、通信部11は、サービス要求ノード10を識別するノード識別子(c)、後述する証明書発行サーバ20の認可証明書発行部24を識別する認可証明書発行部識別子(tgs)、暗号化済ノード認証子({Ac}kc:tgs)、認証証明書({Tc:tgs}Ktgs)、所望のサービス名(s)を証明書発行サーバ20に送信する。一方、通信部11は、暗号化済一時利用鍵({Kc:tgs}Kc)、認証証明書({Tc:tgs}Ktgs)、暗号化済一時利用鍵({Kc:s}Kc:tgs)、認可証明書({Tc:s}Ks)を証明書発行サーバ20から受信する。
The
また、通信部11は、サービス要求ノード10とサービス提供ノード30との間の通信を行う。具体的には、通信部11は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。例えば、通信部11は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。また、通信部11は、ノード認証子(Ac)及び所望のサービス名(s)を複数のサービス提供ノード30のいずれか宛てに送信する。
The
鍵管理部12は、後述する証明書発行サーバ20の認証証明書発行部23とサービス要求ノード10との間で共有される共有秘密鍵(Kc)を保持する。
The
また、鍵管理部12は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一次利用鍵(Kc:s)を保持する。具体的には、鍵管理部12は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号し、一時利用鍵(Kc:tgs)を取得する。次いで、鍵管理部12は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号して一時利用鍵(Kc:s)を取得し、取得された一時利用鍵(Kc:s)を保持する。
Further, the
証明書検証部13は、証明書発行サーバ20から受信した認可証明書({Tc:s}Ks)の正当性を検証する。具体的には、証明書検証部13は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号し、一時利用鍵(Kc:tgs)を取得する。次いで、証明書検証部13は、一時利用鍵(Kc:tgs)に含まれる認可証明書発行部識別子(tgs)と、認可証明書({Tc:s}Ks)の発行を要求した認可証明書発行部24の認可証明書発行部識別子(tgs)とが一致するか否かを検証する。また、証明書検証部13は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号し、一時利用鍵(Kc:s)を取得する。次いで、証明書検証部13は、一時利用鍵(Kc:s)に含まれるサービス名(s)と所望のサービス名(s)と一致するか否かを検証する。
The
認証子保持部14は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する際に必要となるノード認証子(Ac)を保持する。具体的には、認証子保持部14は、サービス要求ノード10を識別するノード識別子及び現在時刻によってノード認証子(Ac)を生成し、生成されたノード認証子(Ac)を保持する。
The
(証明書発行サーバの構成)
以下において、本発明の第1実施形態に係る証明書発行サーバの構成について、図面を参照しながら説明する。図3は、本発明の第1実施形態に係る証明書発行サーバ20を示すブロック図である。
(Configuration of certificate issuing server)
The configuration of the certificate issuing server according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 3 is a block diagram showing the
図3に示すように、証明書発行サーバ20は、通信部21と、鍵管理部22と、認証証明書発行部23と、認可証明書発行部24とを有する。
As illustrated in FIG. 3, the
通信部21は、証明書発行サーバ20とサービス要求ノード10との間の通信を行う。具体的には、通信部21は、暗号化済一時利用鍵({Kc:tgs}Kc)、認証証明書({Tc:tgs}Ktgs)、暗号化済一時利用鍵({Kc:s}Kc:tgs)、認可証明書({Tc:s}Ks)をサービス要求ノード10に送信する。一方、通信部21は、サービス要求ノード10を識別するノード識別子(c)、認可証明書発行部24を識別する認可証明書発行部識別子(tgs)、暗号化済ノード認証子({Ac}kc:tgs)、認証証明書({Tc:tgs}Ktgs)、所望のサービス名(s)をサービス要求ノード10から受信する。
The
鍵管理部22は、認証証明書発行部23とサービス要求ノード10との間で共有される共有秘密鍵(Kc)を保持する。また、鍵管理部22は、認証証明書発行部23と認可証明書発行部24との間で共有される共有秘密鍵(Ktgs)を保持する。
The
さらに、鍵管理部22は、認可証明書発行部24とサービス提供ノード30との間で共有される共有秘密鍵(Ks)を保持する。また、鍵管理部22は、認可証明書発行部24とサービス要求ノード10との間で一時的に利用される一時利用鍵(Kc:tgs)を生成し、生成された一時利用鍵(Kc:tgs)を保持する。
Further, the
認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24へアクセスすることが許可されたことを証明する認証証明書({Tc:tgs}Ktgs)を発行する。具体的には、認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24へアクセスすることを許可する認証情報(Tc:tgs)を生成し、生成された認証情報(Tc:tgs)を共有秘密鍵(Ktgs)で暗号化して、認証証明書({Tc:tgs}Ktgs)を取得する。
The authentication
認可証明書発行部24は、所望のサービスの利用が認可されたことを証明する認可証明書({Tc:s}Ks)を発行する。具体的には、認可証明書発行部24は、所望のサービスの利用を認可する認可情報(Tc:s)を生成し、生成された認可情報(Tc:s)を共有秘密鍵(Ks)で暗号化して、認可証明書({Tc:s}Ks)を取得する。
The authorization
(サービス提供ノードの構成)
以下において、本発明の第1実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図4は、本発明の第1実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 4 is a block diagram showing the
図4に示すように、サービス提供ノード30は、通信部31と、鍵管理部32と、認可証明書検証部33と、認可証明書保持部34と、サービス提供部35とを有する。
As illustrated in FIG. 4, the
通信部31は、サービス提供ノード30とサービス要求ノード10との間の通信を行う。具体的には、通信部31は、ブロードキャストで送信された暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を受信する。また、通信部31は、ノード認証子(Ac)及び所望のサービス名(s)を受信する。
The
鍵管理部32は、サービス提供ノード30と証明書発行サーバ20の認可証明書発行部24との間で共有される共有秘密鍵(Ks)を保持する。また、鍵管理部32は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一時利用鍵(Kc:s)を保持する。
The
認可証明書検証部33は、認可証明書保持部34に保持されている認可証明書({Tc:s}Ks)の正当性を検証することによって、所望のサービスをサービス要求ノード10に提供するか否かを判定する。具体的には、認可証明書検証部33は、サービス要求ノード10から受信した暗号化済ノード認証子({Ac}Kc:s)を一時利用鍵(Kc:s)で復号して、ノード認証子(Ac)を取得する。次いで、認可証明書検証部33は、取得されたノード認証子(Ac)と一致するノード認証子(Ac)が認可証明書保持部34に保持されているか否かを検証する。また、認可証明書検証部33は、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して、認可情報(Tc:s)を取得する。次いで、認可証明書検証部33は、取得された認可情報(Tc:s)と一致する認可情報(Tc:s)が、取得されたノード認証子(Ac)に対応付けられて認可証明書保持部34に保持されているか否かを検証する。
The authorization
認可証明書保持部34は、ノード認証子(Ac)と認可証明書({Tc:s}Ks)とを対応付けて保持する。具体的には、認可証明書保持部34は、サービス要求ノード10から受信した暗号化済ノード認証子({Ac}Kc:tgs)を一時利用鍵(Kc:tgs)で復号化してノード認証子(Ac)を取得し、ノード認証子(Ac)と認可証明書({Tc:s}Ks)とを対応付けて保持する。
The authorization
なお、認可証明書保持部34は、認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して認可情報(Tc:s)をさらに取得し、ノード認証子(Ac)と認可情報(Tc:s)とを対応付けて保持していてもよい。
The authorization
サービス提供部35は、認可証明書検証部33によって認可証明書({Tc:s}Ks)が正当であることが検証された場合には、サービス要求ノード10から要求された所望のサービスをサービス要求ノード10に提供する。
When the authorization
(アクセス制御システムの動作)
以下において、本発明の第1実施形態に係るアクセス制御システムの動作について、図面を参照しながら説明する。図5は、本発明の第1実施形態に係るアクセス制御システム100の動作を示すシーケンス図である。
(Access control system operation)
The operation of the access control system according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 5 is a sequence diagram showing an operation of the
図5に示すように、ステップ10において、サービス要求ノード10は、サービス要求ノード10を識別するノード識別子(c)及び証明書発行サーバ20の認可証明書発行部24を識別する認可証明書発行部識別子(tgs)を、証明書発行サーバ20の認証証明書発行部23に送信する。
As shown in FIG. 5, in
ステップ11において、証明書発行サーバ20の認証証明書発行部23は、サービス要求ノード10と認可証明書発行部24との間で一時的に利用される一時利用鍵(Kc:tgs)を、サービス要求ノード10と認証証明書発行部23との間で共有される共有秘密鍵(Kc)で暗号化する。
In
また、認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24にアクセスすることを認可する認証情報(Tc:tgs)を、認証証明書発行部23と認可証明書発行部24との間で共有される共有秘密鍵(Ktgs)で暗号化して、認可証明書発行部24にアクセスすることが認可されたことを証明する認証証明書({Tc:tgs}Ktgs)を生成する。
In addition, the authentication
さらに、認証証明書発行部23は、暗号化済一時利用鍵({Kc:tgs}Kc)及び認証証明書({Tc:tgs}Ktgs)をサービス要求ノード10に送信する。
Further, the authentication
ステップ12において、サービス要求ノード10は、サービス要求ノード10を識別するノード識別子及び現在時刻を用いてノード認証子(Ac)を生成する。また、サービス要求ノード10は、暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号して、一時利用鍵(Kc:tgs)を取得する。さらに、サービス要求ノード10は、ノード認証子(Ac)を一時利用鍵(Kc:tgs)で暗号化する。
In
また、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:tgs)、認証証明書({Tc:tgs}Ktgs)、及び、所望のサービス名(s)を、証明書発行サーバ20の認可証明書発行部24に送信する。
In addition, the
ステップ13において、証明書発行サーバ20の認可証明書発行部24は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一時利用鍵(kc:s)を、サービス要求ノード10と認可証明書発行部24との間で一時的に利用される一時利用鍵(Kc:tgs)で暗号化する。
In
また、認可証明書発行部24は、サービス要求ノード10が所望のサービスを利用することを許可する認可情報(Tc:s)を、認可証明書発行部24とサービス提供ノード30との間で共有される共有秘密鍵(Ks)で暗号化して、所望のサービスの利用が認可されたことを証明する認可証明書({Tc:s}Ks)を取得する。
Further, the authorization
さらに、認可証明書発行部24は、暗号化済一時利用鍵({Kc:s}Kc:tgs)及び認可証明書({Tc:s}Ks)をサービス要求ノード10に送信する。
Further, the authorization
ステップ14において、サービス要求ノード10は、暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号して、一時利用鍵(Kc:s)を取得する。また、サービス要求ノード10は、ノード認証子(Ac)を一時利用鍵(Kc:s)で暗号化する。
In
さらに、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。すなわち、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。
Further, the
なお、各サービス提供ノード30は、暗号化済ノード認証子({Ac}Kc:s)を一時利用鍵(Kc:s)で復号して、ノード認証子(Ac)を取得する。同様に、各サービス提供ノード30は、認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して、認可情報(Tc:s)を取得する。また、各サービス提供ノード30は、ノード認証子(Ac)と認可情報(Tc:s)とを対応付けて記憶する。
Each
ステップ15において、サービス要求ノード10は、所望のサービスの提供を受けるために、ノード認証子(Ac)及び所望のサービス名(s)をサービス提供ノード30aに送信する。すなわち、サービス要求ノード10は、ノード認証子(Ac)及び所望のサービス名(s)を複数のサービス提供ノード30のいずれか宛てに送信する。
In step 15, the
ステップ16において、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されているか否かに応じて、所望のサービスをサービス要求ノード10に提供するか否かを判定する。
In
具体的には、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されている場合には、所望のサービスをサービス要求ノード10に提供する。一方、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されていない場合には、所望のサービスの利用が不許可であることをサービス要求ノード10に通知する。
Specifically, when the authorization information (Tc: s) corresponding to the node authenticator (Ac) is held in the authorization
(サービス要求ノードの動作)
以下において、本発明の第1実施形態に係るサービス要求ノードの動作について、図面を参照しながら説明する。図6は、本発明の第1実施形態に係るサービス要求ノード10の動作を示すフロー図である。
(Service request node operation)
The operation of the service request node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 6 is a flowchart showing the operation of the
図6に示すように、ステップ20において、サービス要求ノード10は、所望のサービスの要求が初回であるか否かを判定する。また、サービス要求ノード10は、所望のサービスの要求が初回である場合には、ステップ21の処理に移り、所望のサービスの要求が初回でない場合には、ステップ23の処理に移る。
As shown in FIG. 6, in
ステップ21において、サービス要求ノード10は、上述したステップ10〜ステップ13の手順に従って、認可証明書({Tc:s}Ks)を取得する。
In
ステップ22において、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。
In
ステップ23において、サービス要求ノード10は、所望のサービスの提供を受けるために、所望のサービス名(s)及びノード認証子(Ac)を、複数のサービス提供ノード30のいずれかに送信する。
In
ステップ24において、サービス要求ノード10は、他のサービス提供ノード30にサービスの提供を要求するか否か判定する。また、サービス要求ノード10は、他のサービス提供ノード30にサービスの提供を要求する場合には、ステップ23の処理に戻り、他のサービス提供ノード30にサービスの提供を要求しない場合には、一連の処理を終了する。
In
(サービス提供ノードの動作)
以下において、本発明の第1実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図7は、本発明の第1実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図7は、所望のサービスの提供をサービス要求ノード10から要求された場合におけるサービス提供ノード30の処理を示している。
(Service provider node operation)
Hereinafter, the operation of the service providing node according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 7 is a flowchart showing the operation of the
図7に示すように、ステップ30において、サービス提供ノード30は、所望のサービス(s)名及びノード認証子(Ac)をサービス要求ノード10から受信する。
As shown in FIG. 7, in
ステップ31において、サービス提供ノード30は、サービス要求ノード10から受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されているか否かを判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されている場合には、ステップ32の処理に移り、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合には、ステップ35の処理に移る。
In
ステップ32において、サービス提供ノード30は、認可証明書保持部34に保持されている認可証明書({Tc:s}Ks)を検証する。
In
ステップ33において、サービス提供ノード30は、認可証明書({Tc:s}Ks)が正当であるか否かを判定し、認可証明書({Tc:s}Ks)が正当である場合には、サービス要求ノード10から受信した所望のサービスの利用が許可されているか否かを判定する。また、サービス提供ノード30は、所望のサービスの利用が許可されている場合には、ステップ34の処理に移り、所望のサービスの利用が許可されていない場合には、ステップ35の処理に移る。
In
ステップ34において、サービス提供ノード30は、所望のサービスをサービス要求ノード10に提供する。
In
ステップ35において、サービス提供ノード30は、所望のサービスの利用が不許可であることをサービス要求ノード10に通知する。
In
(作用及び効果)
本発明の第1実施形態に係るアクセス制御システム100によれば、サービス要求ノード10が、暗号化済ノード認証子(Ac)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。
(Action and effect)
According to the
すなわち、認可証明書({Tc:s}Ks)が複数のサービス提供ノード30に共通する証明書であるため、複数のサービス提供ノード30のそれぞれに対応する認可証明書をサービス要求ノード10が取得する必要がなくなり、認可証明書の取得に係る処理を簡易にすることができる。また、複数のサービス提供ノード30のそれぞれに対応する認可証明書をサービス要求ノード10が管理する必要がなくなり、認可証明書の管理に係る処理を簡易にすることができる。
That is, since the authorization certificate ({Tc: s} Ks) is a certificate common to the plurality of
さらに、複数のサービス提供ノード30のそれぞれが認可証明書({Tc:s}Ks)を保持することにより、サービス要求ノード10が所望のサービスの提供を受ける際に、認可証明書({Tc:s}Ks)を改めて送信する必要がなくなり、認可証明書の送信に係る通信コストを抑制することができる。
Further, each of the plurality of
[第2実施形態]
以下において、本発明の第2実施形態について、図面を参照しながら説明する。なお、以下においては、上述した第1実施形態と第2実施形態との差異について主として説明する。
[Second Embodiment]
Hereinafter, a second embodiment of the present invention will be described with reference to the drawings. In the following, differences between the first embodiment and the second embodiment described above will be mainly described.
具体的には、上述した第1実施形態では、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を全てのサービス提供ノード30が保持するが、第2実施形態では、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を保持するか否かを各サービス提供ノード30が判定する。
Specifically, in the first embodiment described above, all the
また、第2実施形態では、サービス提供ノード30は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際に、受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、周囲に配置された他のサービス提供ノード30に対して認可証明書({Tc:s}Ks)を要求する。
In the second embodiment, when the
(サービス提供ノードの構成)
以下において、本発明の第2実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図8は、本発明の第2実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the second embodiment of the present invention will be described below with reference to the drawings. FIG. 8 is a block diagram showing a
図8に示すように、サービス提供ノード30は、図4に示した構成に加えて、認可証明書保持判定部36を有する。
As illustrated in FIG. 8, the
認可証明書保持判定部36は、サービス要求ノード10から暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した場合に、暗号化済ノード認証子({Ac}Kc:s)と認可証明書({Tc:s}Ks)とを対応付けて保持するか否かを所定の基準に従って判定する。
The authorization certificate holding
なお、所定の基準とは、(1)認可証明書保持部34の空き容量が所定の閾値以上であるか否か、(2)認可証明書({Tc:s}Ks)を保持する要求をサービス要求ノード10から受けているか否か、(3)認可証明書({Tc:s}Ks)を保持するようにサービス提供ノード30が設定されているか否か、(4)ランダムな確率で認可証明書({Tc:s}Ks)を保持するか否か、(5)周囲に配置された他のサービス提供ノード30の存在確率が所定の閾値以下であるか否かなどである。
The predetermined criteria are (1) whether or not the free capacity of the authorization
また、上述した通信部31は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。例えば、通信部31は、認証許可書探索通知をブロードキャストで送信する。
Further, the
(サービス提供ノードの動作)
以下において、本発明の第2実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図9は、本発明の第2実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図9は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した際におけるサービス提供ノード30の動作を示している。
(Service provider node operation)
Hereinafter, the operation of the service providing node according to the second embodiment of the present invention will be described with reference to the drawings. FIG. 9 is a flowchart showing the operation of the
図9に示すように、ステップ40において、サービス提供ノード30は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信する。
As shown in FIG. 9, in step 40, the
ステップ41において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持するか否かを所定の基準に従って判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持する場合には、ステップ42の処理に移り、認可証明書({Tc:s}Ks)を保持しない場合には、ステップ43の処理に移る。
In step 41, the
ステップ42において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に格納する。
In step 42, the
ステップ43において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を破棄する。
In step 43, the
以下において、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作について、図面を参照しながら説明する。図10は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作を示すフロー図である。
Hereinafter, the operation of the
なお、図10では、上述した図7と同様の処理に対して同様の符号を付している。具体的には、図10では、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていないと判定された場合に、ステップ36及びステップ37が加えられている。
In FIG. 10, the same reference numerals are assigned to the processes similar to those in FIG. Specifically, in FIG. 10,
図10に示すように、ステップ36において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。
As shown in FIG. 10, in
ステップ37において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30から認可証明書({Tc:s}Ks)を取得できたか否かを判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)を取得できた場合には、ステップ33の処理に移り、認可証明書({Tc:s}Ks)を取得できなかった場合には、ステップ35の処理に移る。
In step 37, the
(作用及び効果)
本発明の第2実施形態に係るアクセス制御システム100によれば、サービス提供ノード30は、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を保持するか否かを判定する。従って、認可証明書({Tc:s}Ks)の保持に必要なサービス提供ノード30の負荷を軽減することができる。
(Action and effect)
According to the
また、サービス提供ノード30は、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。従って、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持しないと判定した場合であっても、周囲に配置された他のサービス提供ノード30から認可証明書({Tc:s}Ks)を取得することができる。
Further, the
[第3実施形態]
以下において、本発明の第3実施形態について、図面を参照しながら説明する。なお、以下においては、上述した第2実施形態と第3実施形態との差異について主として説明する。
[Third Embodiment]
Hereinafter, a third embodiment of the present invention will be described with reference to the drawings. In the following, differences between the second embodiment and the third embodiment described above will be mainly described.
具体的には、上述した第2実施形態では、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持するのみであるが、第3実施形態では、
サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持した後に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。
Specifically, in the second embodiment described above, the
The
また、サービス提供ノード30は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際に、受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、認可証明書保持通知を送信した他のサービス提供ノード30に対して認可証明書({Tc:s}Ks)を要求する。
Further, when the
(サービス提供ノードの構成)
以下において、本発明の第3実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図11は、本発明の第3実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the third embodiment of the present invention will be described below with reference to the drawings. FIG. 11 is a block diagram showing a
図11に示すように、サービス提供ノード30は、図8に示した構成に加えて、認可証明書保持ノード管理部37を有する。
As shown in FIG. 11, the
認可証明書保持ノード管理部37は、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を他のサービス提供ノード30から受信した場合に、認可証明書保持通知を送信した他のサービス提供ノード30を識別する識別子などを管理する。
When the authorization certificate holding node management unit 37 receives an authorization certificate holding notification indicating that the authorization certificate ({Tc: s} Ks) is held from another
また、上述した通信部31は、認可証明書保持ノード管理部37によって管理されている識別子に対応する他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。
In addition, the
さらに、上述した通信部31は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持した後に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。例えば、通信部31は、認可証明書保持通知をブロードキャストで送信する。
Further, the
(サービス提供ノードの動作)
以下において、本発明の第3実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図12は、本発明の第3実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図12は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した際におけるサービス提供ノード30の動作を示している。
(Service provider node operation)
The operation of the service providing node according to the third embodiment of the present invention will be described below with reference to the drawings. FIG. 12 is a flowchart showing the operation of the
また、図12では、上述した図9と同様の処理に対して同様の符号を付している。具体的には、図12では、認可証明書({Tc:s}Ks)を格納する処理(ステップ42)の後に、ステップ44の処理が加えられている。 In FIG. 12, the same reference numerals are assigned to the same processes as those in FIG. Specifically, in FIG. 12, the process of step 44 is added after the process of storing the authorization certificate ({Tc: s} Ks) (step 42).
図12に示すように、ステップ44において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。
As shown in FIG. 12, in step 44, the
以下において、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作について、図面を参照しながら説明する。図13は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作を示すフロー図である。
Hereinafter, the operation of the
なお、図13では、上述した図10と同様の処理に対して同様の符号を付している。具体的には、図13では、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていないと判定された場合に、ステップ38が加えられており、ステップ36に代えてステップ36aが加えられている。
In FIG. 13, the same reference numerals are assigned to the processes similar to those in FIG. Specifically, in FIG. 13, when it is determined that the authorization certificate ({Tc: s} Ks) is not held in the authorization
図13に示すように、ステップ38において、サービス提供ノード30は、認可証明書保持通知を他のサービス提供ノード30から受信しているか否かを判定する。また、サービス提供ノード30は、認可証明書保持通知を受信している場合には、ステップ36aの処理に移り、認可証明書保持通知を受信していない場合には、ステップ35の処理に移る。
As shown in FIG. 13, in
ステップ36aにおいて、サービス提供ノード30は、認可証明書保持ノード管理部37を参照することによって、認可証明書保持通知を送信した他のサービス提供ノード30を特定し、特定された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。
In step 36 a, the
(作用及び効果)
本発明の第3実施形態に係るアクセス制御システム100によれば、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に格納した場合に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。従って、認可証明書({Tc:s}Ks)を保持していないサービス提供ノード30は、認可証明書({Tc:s}Ks)を保持する他のサービス提供ノード30を容易に特定することができ、認可証明書({Tc:s}Ks)を効率的に取得することができる。
(Action and effect)
According to the
[その他の実施形態]
上述した第1実施形態〜第3実施形態では、認証情報や認可情報などの情報は、各種暗号鍵で暗号化されているが、暗号化の方法は、上述した方法に限定されるものではない。また、認証情報や認可情報などの情報は、暗号化されずに送受信されてもよい。
[Other Embodiments]
In the first to third embodiments described above, information such as authentication information and authorization information is encrypted with various encryption keys, but the encryption method is not limited to the above-described method. . In addition, information such as authentication information and authorization information may be transmitted and received without being encrypted.
上述した第1実施形態〜第3実施形態では、サービス要求ノード10は、認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する際にブロードキャストで送信するが、これに限定されるものではなく、マルチキャストで送信してもよい。
In the first to third embodiments described above, the
10・・・サービス要求ノード、11・・・通信部、12・・・鍵管理部、13・・・証明書検証部、14・・・認証子保持部、20・・・証明書発行サーバ、21・・・通信部、22・・・鍵管理部、23・・・認証証明書発行部、24・・・認可証明書発行部、30・・・サービス提供ノード、31・・・通信部、32・・・鍵管理部、33・・・認可証明書検証部、34・・・認可証明書保持部、35・・・サービス提供部、36・・・認可証明書保持判定部、37・・・認可証明書保持ノード管理部、100・・・アクセス制御システム
DESCRIPTION OF
Claims (8)
前記サービス要求ノードは、
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記複数のサービス提供ノード宛てに送信する認可情報送信部と、
前記サービスの利用を要求する場合に、前記サービス提供ノードに前記ノード認証子を送信するノード認証子送信部とを備え、
前記サービス提供ノードは、
前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部を備えることを特徴とするアクセス制御システム。 An access control system including a service request node that requests use of a service, a certificate issuing server that generates authorization information indicating that use of the service is permitted, and a plurality of service providing nodes that provide the service There,
The service request node is:
An authorization information transmitting unit for transmitting the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes;
A node authenticator transmitting unit that transmits the node authenticator to the service providing node when requesting use of the service;
The service providing node is:
A service provision determining unit configured to determine whether to provide the service to the service request node based on the authorization information corresponding to the node authenticator received from the node authenticator transmission unit of the service request node; An access control system characterized by that.
前記サービス要求ノードの前記認可情報送信部から受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部と、
前記サービス要求ノードの前記認可情報送信部から受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部とをさらに備えることを特徴とする請求項1に記載のアクセス制御システム。 The service providing node is:
An authorization information holding unit that holds the node authenticator received from the authorization information transmission unit of the service request node in association with the authorization information;
The authorization information holding determination unit that determines whether or not the authorization information received from the authorization information transmission unit of the service request node is held in the authorization information holding unit. Access control system.
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記複数のサービス提供ノード宛てに送信する認可情報送信部と、
前記サービスの利用を要求する場合に、前記サービス提供ノードに前記ノード認証子を送信するノード認証子送信部とを備えることを特徴とするサービス要求ノード。 A service request used in an access control system including a certificate issuing server that generates authorization information indicating that use of a service is permitted, and a plurality of service providing nodes that provide the service, and requests the use of the service A node,
An authorization information transmitting unit for transmitting the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes;
A service request node, comprising: a node authenticator transmitting unit that transmits the node authenticator to the service providing node when requesting use of the service.
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記サービス要求ノードから受信する認可情報受信部と、
前記サービス要求ノードから受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部と、
前記サービス要求ノードから受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部と、
前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部とを備えることを特徴とするサービス提供ノード。 A service providing node that provides a service used in an access control system including a service request node that requests the use of a service and a certificate issuing server that generates authorization information indicating that the use of the service is permitted There,
An authorization information receiving unit that receives the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node from the service request node;
An authorization information holding unit that holds the node authenticator received from the service request node in association with the authorization information;
An authorization information holding determination unit for determining whether to hold the authorization information received from the service request node in the authorization information holding unit;
A service provision determining unit for determining whether to provide the service to the service request node based on the authorization information corresponding to the node authenticator received from the service request node; Offering node.
When the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, the authorization information corresponding to the node authenticator is held for another service providing node. The service providing node according to claim 6, further comprising an authorization information holding notification unit for notification.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006166448A JP2007334674A (en) | 2006-06-15 | 2006-06-15 | Access control system, and service request node and service provision node suitable for access control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006166448A JP2007334674A (en) | 2006-06-15 | 2006-06-15 | Access control system, and service request node and service provision node suitable for access control system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007334674A true JP2007334674A (en) | 2007-12-27 |
Family
ID=38934092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006166448A Pending JP2007334674A (en) | 2006-06-15 | 2006-06-15 | Access control system, and service request node and service provision node suitable for access control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007334674A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010518758A (en) * | 2007-02-09 | 2010-05-27 | ソニー株式会社 | Method and apparatus for authorizing a communication interface |
CN102264687A (en) * | 2008-12-26 | 2011-11-30 | 三菱化学株式会社 | Process for producing dialkyl carbonate |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (en) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Certifying system |
JP2000036809A (en) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | Method for simply authenticating user and record medium with its program stored therein |
JP2002269041A (en) * | 2001-03-09 | 2002-09-20 | Dainippon Printing Co Ltd | Information distributing server device |
JP2004362233A (en) * | 2003-06-04 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Information providing method and easy access device for enabling information provision |
JP2005227857A (en) * | 2004-02-10 | 2005-08-25 | Matsushita Electric Ind Co Ltd | Information appliance and information appliance system |
-
2006
- 2006-06-15 JP JP2006166448A patent/JP2007334674A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996007256A1 (en) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Certifying system |
JP2000036809A (en) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | Method for simply authenticating user and record medium with its program stored therein |
JP2002269041A (en) * | 2001-03-09 | 2002-09-20 | Dainippon Printing Co Ltd | Information distributing server device |
JP2004362233A (en) * | 2003-06-04 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Information providing method and easy access device for enabling information provision |
JP2005227857A (en) * | 2004-02-10 | 2005-08-25 | Matsushita Electric Ind Co Ltd | Information appliance and information appliance system |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010518758A (en) * | 2007-02-09 | 2010-05-27 | ソニー株式会社 | Method and apparatus for authorizing a communication interface |
CN102264687A (en) * | 2008-12-26 | 2011-11-30 | 三菱化学株式会社 | Process for producing dialkyl carbonate |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1696602B1 (en) | Cryptographic communication system and method | |
KR102290342B1 (en) | Digital certificate management method and device | |
US7949703B2 (en) | Group admission system and server and client therefor | |
US7386722B2 (en) | Certificate management system and method | |
JP4810577B2 (en) | Method and apparatus for temporary use of DRM content | |
EP1791361A1 (en) | Content distribution management device | |
JP2005102163A (en) | Equipment authentication system, server, method and program, terminal and storage medium | |
CN101772024B (en) | User identification method, device and system | |
JP6012888B2 (en) | Device certificate providing apparatus, device certificate providing system, and device certificate providing program | |
JP2009526287A (en) | Method and apparatus for generating rights object on behalf by rights delegation | |
US8054975B2 (en) | Method and system for managing key of home device in broadcast encryption (BE) system | |
JP2009033721A (en) | Group subordinate terminal, group administrative terminal, server, key updating system and key updating method thereof | |
JP2007226470A (en) | Authority management server, authority management method, and authority management program | |
JP2020513169A (en) | Data encryption method and system using device authentication key | |
JP2005322033A (en) | Information distribution system, information distribution server, terminal appliance, information distribution method, information reception method, information processing program and storage medium | |
JP2009217522A (en) | System and method for providing personal attribute information | |
JP2007334674A (en) | Access control system, and service request node and service provision node suitable for access control system | |
KR20050011181A (en) | Content right security system and method thereof | |
JP2007310619A (en) | Authentication method and authentication system using the same | |
JP3914193B2 (en) | Method for performing encrypted communication with authentication, authentication system and method | |
KR100989371B1 (en) | DRM security mechanism for the personal home domain | |
KR101165350B1 (en) | An Authentication Method of Device Member In Ubiquitous Computing Network | |
JP2007281892A (en) | Device and method of forming secret key | |
WO2020044667A1 (en) | Communication device, communication system, communication method and computer program | |
JP6353412B2 (en) | ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090811 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091013 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100615 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110104 |