JP2007334674A - Access control system, and service request node and service provision node suitable for access control system - Google Patents

Access control system, and service request node and service provision node suitable for access control system Download PDF

Info

Publication number
JP2007334674A
JP2007334674A JP2006166448A JP2006166448A JP2007334674A JP 2007334674 A JP2007334674 A JP 2007334674A JP 2006166448 A JP2006166448 A JP 2006166448A JP 2006166448 A JP2006166448 A JP 2006166448A JP 2007334674 A JP2007334674 A JP 2007334674A
Authority
JP
Japan
Prior art keywords
node
service
authorization information
unit
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006166448A
Other languages
Japanese (ja)
Inventor
Tsuyoshi Kato
剛志 加藤
Hideharu Suzuki
偉元 鈴木
Kiyoko Tanaka
希世子 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2006166448A priority Critical patent/JP2007334674A/en
Publication of JP2007334674A publication Critical patent/JP2007334674A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an access control system capable of simply executing processing for acquiring an approval certificate even when a service request node and a service provision node are of one-many relation, and a service request node and a service provision node suitable for the access control system. <P>SOLUTION: The service request node 10 has a communication part 11 that transmits approval information and a node authorization code issued by a certificate issuing server to a plurality of service provision nodes. When a service is used, transmits a node authorization code to one of the plurality of the service provision nodes 30. The service provision node 30 has an approval certificate verification part 33 for determining whether to provide the service to the service request node 10 based on the approval information corresponding to the node authorization code received from the service request node 10. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、サービスの利用が許可されたことを証明する認可証明書を用いて、サービスの利用を制限するアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードに関する。   The present invention relates to an access control system that restricts the use of a service by using an authorization certificate that proves that the use of the service is permitted, and a service requesting node and a service providing node suitable for use in the access control system.

従来、サービスの利用を要求するノード(以下、サービス要求ノード)と、サービスの利用が許可されたことを証明する認可証明書を発行する認可証明書発行部を有する証明書発行サーバと、サービスを提供するノード(以下、サービス提供ノード)とを含む分散型ネットワークでは、以下のような分散認証方式や分散アクセス制御方式が適用されていた(例えば、非特許文献1)。   2. Description of the Related Art Conventionally, a node that requests use of a service (hereinafter referred to as a service request node), a certificate issuing server that has an authorization certificate issuing unit that issues an authorization certificate that certifies that use of the service is permitted, and a service In a distributed network including nodes to be provided (hereinafter referred to as service providing nodes), the following distributed authentication method and distributed access control method have been applied (for example, Non-Patent Document 1).

具体的には、サービス要求ノードは、上述した認可証明書発行部へのアクセスが認証されたことを証明する認証証明書を証明書発行サーバに要求する。また、サービス要求ノードは、新たな送信情報であることを保障するために、サービス要求ノードを識別するノード識別子及び現在時刻に基づいてノード認証子を生成する。   Specifically, the service request node requests the certificate issuing server for an authentication certificate that proves that the access to the above-described authorization certificate issuing unit has been authenticated. Further, the service request node generates a node authenticator based on the node identifier for identifying the service request node and the current time in order to ensure that it is new transmission information.

続いて、サービス要求ノードは、所望のサービス名、ノード認証子及び認証証明書を証明書発行サーバの認可証明書発行部に送信して、上述した認可証明書を証明書発行サーバの認可証明書発行部から取得する。   Subsequently, the service request node transmits a desired service name, a node authenticator, and an authentication certificate to the authorization certificate issuing unit of the certificate issuing server, and the above-described authorization certificate is sent to the certificate issuing server authorization certificate. Obtain from the issuing department.

また、サービス要求ノードは、上述したノード認証子及び認可証明書を一のサービス提供ノードに送信して、所望のサービスの提供を一のサービス提供ノードから受ける。   Further, the service request node transmits the above-described node authenticator and authorization certificate to one service providing node and receives provision of a desired service from the one service providing node.

なお、上述した各過程では、各ノード間で送受信される情報は、一時利用鍵や共有秘密鍵などを用いて、必要に応じて暗号化されている。   In each process described above, information transmitted and received between the nodes is encrypted as necessary using a temporary use key, a shared secret key, or the like.

このように、従来の分散認証方式や分散アクセス制御方式では、サービス要求ノードとサービス提供ノードとが一対一の関係であることを前提として、分散認証や分散アクセス制御が行われていた。
“The Network Authentication Protocol”、[online]、[平成18年1月13日検索]、インターネット<URL:http://web.mit.edu/kerberos/www/>
As described above, in the conventional distributed authentication method and distributed access control method, distributed authentication and distributed access control are performed on the assumption that the service request node and the service providing node have a one-to-one relationship.
“The Network Authentication Protocol”, [online], [searched on January 13, 2006], Internet <URL: http://web.mit.edu/kerberos/www/>

一方、サービス提供ノードとして機能するノードは、家電やPCなどに限られるものではなく、各種センサー、家具、壁、食器及び洋服などがサービス提供ノードとして機能することが想定される。このような場合には、サービス要求ノードとサービス提供ノードとは、一対一の関係ではなくて、一対多の関係となることが想定される。   On the other hand, nodes that function as service providing nodes are not limited to home appliances and PCs, and it is assumed that various sensors, furniture, walls, tableware, clothes, and the like function as service providing nodes. In such a case, it is assumed that the service request node and the service providing node have a one-to-many relationship instead of a one-to-one relationship.

しかしながら、サービス要求ノードとサービス提供ノードとが一対多の関係である場合には、サービス要求ノードは、複数のサービス提供ノードからサービスの提供を受ける際に、複数のサービス提供ノードのそれぞれに対応する認可証明書を取得しなければならないため、認可証明書の取得に係る処理が煩雑であった。また、サービス要求ノードは、複数のサービス提供ノードのそれぞれに対応する認可証明書を管理しなければならないため、認可証明書の管理が煩雑であった。さらに、サービス要求ノードは、複数のサービス提供ノードのそれぞれに認可証明書を送信しなければならないため、認可証明書の送信に係る通信コストが増大してしまう。   However, when the service request node and the service providing node have a one-to-many relationship, when the service request node receives a service provided from the plurality of service providing nodes, the service request node and the service providing node correspond to each of the plurality of service providing nodes. Since the certificate has to be acquired, the processing related to the acquisition of the authorization certificate is complicated. Further, since the service request node has to manage the authorization certificate corresponding to each of the plurality of service providing nodes, the management of the authorization certificate is complicated. Furthermore, since the service request node must transmit an authorization certificate to each of the plurality of service providing nodes, the communication cost for transmitting the authorization certificate increases.

そこで、本発明は、上述した課題を解決するためになされたものであり、サービス要求ノードとサービス提供ノードとが一対多の関係である場合であっても、認可証明書の取得に係る処理及び認可証明書の管理を簡易にするとともに、認可証明書の送信に係る通信コストを抑制することが可能なアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードを提供することを目的とする。   Therefore, the present invention has been made to solve the above-described problem, and even when the service request node and the service providing node have a one-to-many relationship, the processing and authorization for obtaining the authorization certificate To provide an access control system capable of simplifying certificate management and suppressing communication costs related to transmission of an authorization certificate, and a service request node and a service providing node suitable for use in the access control system With the goal.

本発明の第1の特徴は、サービスの利用を要求するサービス要求ノード(サービス要求ノード10)と、前記サービスの利用が許可されたことを示す認可情報(認可情報(Tc:s)又は認可証明書({Tc:s}Ks)を生成する証明書発行サーバ(証明書発行サーバ20)と、前記サービスを提供する複数のサービス提供ノード(サービス提供ノード30)とを含むアクセス制御システム(アクセス制御システム100)において、前記サービス要求ノードが、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記複数のサービス提供ノード宛てに送信する認可情報送信部(通信部11)と、前記サービスの利用を要求する場合に、前記複数のサービス提供ノードのいずれか宛てに前記ノード認証子を送信するノード認証子送信部(通信部11)とを備え、前記サービス提供ノードが、前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部(認可証明書検証部33)を備えることを要旨とする。   The first feature of the present invention is that a service request node (service request node 10) that requests the use of a service and authorization information (authorization information (Tc: s) or authorization certificate) indicating that the use of the service is permitted. An access control system (access control) including a certificate issuing server (certificate issuing server 20) for generating a certificate ({Tc: s} Ks) and a plurality of service providing nodes (service providing node 30) for providing the service In the system 100), the service request node transmits a node authenticator including at least the authorization information generated by the certificate issuing server and a node identifier for identifying the service request node to the plurality of service providing nodes. When requesting the use of the service with the authorization information transmission unit (communication unit 11), the plurality of A node authenticator transmitting unit (communication unit 11) that transmits the node authenticator to any one of the service providing nodes, and the service providing node receives the node authenticator transmitting unit of the service request node. The gist of the invention is that it includes a service provision determination unit (authorization certificate verification unit 33) that determines whether to provide the service to the service request node based on the authorization information corresponding to a node authenticator.

かかる特徴によれば、認可情報送信部が、ノード認証子及び認可情報を複数のサービス提供ノード宛てに送信する。   According to this feature, the authorization information transmission unit transmits the node authenticator and the authorization information to a plurality of service providing nodes.

すなわち、認可情報が複数のサービス提供ノードに共通する情報であるため、複数のサービス提供ノードのそれぞれに対応する認可情報をサービス要求ノードが取得する必要がなくなり、認可情報の取得に係る処理を簡易にすることができる。また、複数のサービス提供ノードのそれぞれに対応する認可情報をサービス要求ノードが管理する必要がなくなり、認可情報の管理に係る処理を簡易にすることができる。   That is, since the authorization information is information common to a plurality of service providing nodes, it is not necessary for the service request node to obtain the authorization information corresponding to each of the plurality of service providing nodes, and the processing related to obtaining the authorization information is simplified. Can be. Further, it is not necessary for the service request node to manage the authorization information corresponding to each of the plurality of service providing nodes, and the processing related to the management of the authorization information can be simplified.

さらに、複数のサービス提供ノードのそれぞれが認可情報を保持することにより、サービス要求ノードが所望のサービスの提供を受ける際に、認可情報を改めて送信する必要がなくなり、認可情報の送信に係る通信コストを抑制することができる。   Furthermore, since each of the plurality of service providing nodes holds the authorization information, it is not necessary to send the authorization information again when the service request node receives provision of the desired service, and the communication cost for transmitting the authorization information is eliminated. Can be suppressed.

本発明の第2の特徴は、本発明の第1の特徴において、前記サービス提供ノードが、前記サービス要求ノードの前記認可情報送信部から受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部(認可証明書保持部34)と、前記サービス要求ノードの前記認可情報送信部から受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部(認可証明書保持判定部36)とをさらに備えることを要旨とする。   A second feature of the present invention is that, in the first feature of the present invention, the service providing node associates the node authenticator received from the authorization information transmission unit of the service request node with the authorization information. An authorization information holding unit (authorization certificate holding unit 34) to hold, and an authorization information holding for determining whether or not the authorization information received from the authorization information transmitting unit of the service request node is held in the authorization information holding unit The gist is to further include a determination unit (authorization certificate holding determination unit 36).

本発明の第3の特徴は、本発明の第2の特徴において、前記サービス提供ノードが、前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部(通信部31)をさらに備えることを要旨とする。   According to a third aspect of the present invention, in the second aspect of the present invention, the authorization information corresponding to the node authenticator received by the service providing node from the node authenticator transmission unit of the service request node is the A gist of further comprising an authorization information request unit (communication unit 31) for requesting the authorization information corresponding to the node authenticator to another service providing node when the authorization information is not held in the authorization information holding unit. To do.

本発明の第4の特徴は、本発明の第2の特徴において、前記サービス提供ノードが、前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部(通信部31)をさらに備えることを要旨とする。   According to a fourth aspect of the present invention, in the second aspect of the present invention, when the service providing node determines that the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, The gist is to further include an authorization information holding notification unit (communication unit 31) for notifying a service providing node that the authorization information corresponding to the node authenticator is held.

本発明の第5の特徴は、サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバ(証明書発行サーバ20)と、前記サービスを提供する複数のサービス提供ノード(サービス提供ノード30)とを含むアクセス制御システム(アクセス制御システム100)で用いられ、前記サービスの利用を要求するサービス要求ノード(サービス要求ノード10)が、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記複数のサービス提供ノード宛てに送信する認可情報送信部(通信部11)と、前記サービスの利用を要求する場合に、前記複数のサービス提供ノードのいずれか宛てに前記ノード認証子を送信するノード認証子送信部(通信部11)とを備えることを要旨とする。   A fifth feature of the present invention is that a certificate issuing server (certificate issuing server 20) that generates authorization information indicating that use of a service is permitted, and a plurality of service providing nodes (service providing) that provide the service A service request node (service request node 10) for requesting the use of the service, the authorization information generated by the certificate issuing server, and an access control system (access control system 100) including the node 30) An authorization information transmission unit (communication unit 11) for transmitting a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes; A node authenticator transmission unit that transmits the node authenticator to any of the service providing nodes ( And summarized in that it comprises a signal unit 11) and.

本発明の第6の特徴は、サービスの利用を要求するサービス要求ノード(サービス要求ノード10)と、前記サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバ(証明書発行サーバ20)とを含むアクセス制御システム(アクセス制御システム100)で用いられ、前記サービスを提供するサービス提供ノード(サービス提供ノード30)が、前記証明書発行サーバによって生成された前記認可情報及び前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子を前記サービス要求ノードから受信する認可情報受信部(通信部31)と、前記サービス要求ノードから受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部(認可証明書保持部34)と、前記サービス要求ノードから受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部(認可証明書保持判定部36)と、前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部(認可証明書検証部33)とを備えることを要旨とする。   A sixth feature of the present invention is that a service request node (service request node 10) requesting use of a service and a certificate issuing server (certificate issuing) that generates authorization information indicating that use of the service is permitted. The service providing node (service providing node 30) used in the access control system (access control system 100) including the server 20) provides the service, and the authorization information and the service generated by the certificate issuing server. The authorization information receiving unit (communication unit 31) that receives from the service request node a node authenticator including at least a node identifier for identifying the request node, and the node authenticator received from the service request node and the authorization information An authorization information holding unit (authorization certificate holding unit 34) to be attached and the service An authorization information holding judgment unit (authorization certificate holding judgment unit 36) for judging whether or not the authorization information received from the requesting node is held in the authorization information holding unit; and the node authenticator received from the service request node And a service provision determination unit (authorization certificate verification unit 33) that determines whether or not to provide the service to the service request node based on the authorization information corresponding to.

本発明の第7の特徴は、本発明の第6の特徴において、サービス提供ノードが、前記サービス要求ノードから前記サービスの利用を要求された際に前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部(通信部31)をさらに備えることを要旨とする。   According to a seventh aspect of the present invention, in the sixth aspect of the present invention, the service providing node includes the node authenticator received from the service request node when the service request node requests use of the service. When the corresponding authorization information is not held in the authorization information holding unit, an authorization information requesting unit (communication unit 31) that requests the authorization information corresponding to the node authenticator from another service providing node. Is further provided.

本発明の第8の特徴は、本発明の第6の特徴において、サービス提供ノードが、前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部(通信部31)をさらに備えることを要旨とする。   An eighth feature of the present invention is that, in the sixth feature of the present invention, when the service providing node determines that the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, another service is provided. The gist is to further include an authorization information holding notification unit (communication unit 31) for notifying the providing node that the authorization information corresponding to the node authenticator is held.

本発明によれば、サービス要求ノードとサービス提供ノードとが一対多の関係である場合であっても、認可証明書の取得に係る処理及び認可証明書の管理を簡易にするとともに、認可証明書の送信に係る通信コストを抑制することが可能なアクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノードを提供することができる。   According to the present invention, even when the service request node and the service providing node are in a one-to-many relationship, the processing for obtaining the authorization certificate and the management of the authorization certificate are simplified, and the authorization certificate It is possible to provide an access control system capable of suppressing communication costs related to transmission, and a service request node and a service providing node suitable for use in the access control system.

[第1実施形態]
(アクセス制御システムの構成)
以下において、本発明の第1実施形態に係るアクセス制御システムの構成について、図面を参照しながら説明する。図1は、本発明の第1実施形態に係るアクセス制御システム100を示す図である。
[First Embodiment]
(Configuration of access control system)
Hereinafter, the configuration of the access control system according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an access control system 100 according to the first embodiment of the present invention.

図1に示すように、アクセス制御システム100は、サービス要求ノード10と、証明書発行サーバ20と、複数のサービス提供ノード30(サービス提供ノード30a〜サービス提供ノード30c)とを有する。   As shown in FIG. 1, the access control system 100 includes a service request node 10, a certificate issuing server 20, and a plurality of service providing nodes 30 (service providing nodes 30a to 30c).

サービス要求ノード10は、サービスの利用を要求するノードである。具体的には、サービス要求ノード10は、証明書発行サーバ20によって発行された認可証明書をサービス提供ノード30に提示することによって、所望のサービスの提供を受ける。なお、サービス要求ノード10の詳細については後述する(図2を参照)。   The service request node 10 is a node that requests use of a service. Specifically, the service request node 10 is provided with a desired service by presenting the authorization certificate issued by the certificate issuing server 20 to the service providing node 30. Details of the service request node 10 will be described later (see FIG. 2).

証明書発行サーバ20は、サービスの利用が許可されたことを証明する認可証明書を発行する。なお、証明書発行サーバ20の詳細については後述する(図3を参照)。   The certificate issuing server 20 issues an authorization certificate that proves that the use of the service is permitted. Details of the certificate issuing server 20 will be described later (see FIG. 3).

サービス提供ノード30は、サービス要求ノード10にサービスを提供するノードである。例えば、サービス提供ノード30は、通信機能を有する家電やPCなどであり、通信機能を有するICチップなどを備える各種センサー、家具、壁、食器及び洋服などであってもよい。なお、サービス提供ノード30の詳細については後述する(図4を参照)。   The service providing node 30 is a node that provides a service to the service request node 10. For example, the service providing node 30 is a home appliance or PC having a communication function, and may be various sensors, furniture, walls, tableware, clothes, and the like including an IC chip having a communication function. Details of the service providing node 30 will be described later (see FIG. 4).

(サービス要求ノードの構成)
以下において、本発明の第1実施形態に係るサービス要求ノードの構成について、図面を参照しながら説明する。図2は、本発明の第1実施形態に係るサービス要求ノード10を示すブロック図である。
(Service request node configuration)
The configuration of the service request node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 2 is a block diagram showing the service request node 10 according to the first embodiment of the present invention.

図2に示すように、サービス要求ノード10は、通信部11と、鍵管理部12と、証明書検証部13と、認証子保持部14とを有する。   As illustrated in FIG. 2, the service request node 10 includes a communication unit 11, a key management unit 12, a certificate verification unit 13, and an authenticator holding unit 14.

通信部11は、サービス要求ノード10と証明書発行サーバ20との間の通信を行う。具体的には、通信部11は、サービス要求ノード10を識別するノード識別子(c)、後述する証明書発行サーバ20の認可証明書発行部24を識別する認可証明書発行部識別子(tgs)、暗号化済ノード認証子({Ac}kc:tgs)、認証証明書({Tc:tgs}Ktgs)、所望のサービス名(s)を証明書発行サーバ20に送信する。一方、通信部11は、暗号化済一時利用鍵({Kc:tgs}Kc)、認証証明書({Tc:tgs}Ktgs)、暗号化済一時利用鍵({Kc:s}Kc:tgs)、認可証明書({Tc:s}Ks)を証明書発行サーバ20から受信する。   The communication unit 11 performs communication between the service request node 10 and the certificate issuing server 20. Specifically, the communication unit 11 includes a node identifier (c) for identifying the service request node 10, an authorization certificate issuing unit identifier (tgs) for identifying an authorization certificate issuing unit 24 of the certificate issuing server 20 described later, The encrypted node authenticator ({Ac} kc: tgs), the authentication certificate ({Tc: tgs} Ktgs), and the desired service name (s) are transmitted to the certificate issuing server 20. On the other hand, the communication unit 11 includes an encrypted temporary use key ({Kc: tgs} Kc), an authentication certificate ({Tc: tgs} Ktgs), and an encrypted temporary use key ({Kc: s} Kc: tgs). The authorization certificate ({Tc: s} Ks) is received from the certificate issuing server 20.

また、通信部11は、サービス要求ノード10とサービス提供ノード30との間の通信を行う。具体的には、通信部11は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。例えば、通信部11は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。また、通信部11は、ノード認証子(Ac)及び所望のサービス名(s)を複数のサービス提供ノード30のいずれか宛てに送信する。   The communication unit 11 performs communication between the service request node 10 and the service providing node 30. Specifically, the communication unit 11 transmits the encrypted node authenticator ({Ac} kc: s) and the authorization certificate ({Tc: s} Ks) to the plurality of service providing nodes 30. For example, the communication unit 11 transmits an encrypted node authenticator ({Ac} kc: s) and an authorization certificate ({Tc: s} Ks) by broadcast. In addition, the communication unit 11 transmits the node authenticator (Ac) and the desired service name (s) to any one of the plurality of service providing nodes 30.

鍵管理部12は、後述する証明書発行サーバ20の認証証明書発行部23とサービス要求ノード10との間で共有される共有秘密鍵(Kc)を保持する。   The key management unit 12 holds a shared secret key (Kc) shared between an authentication certificate issuing unit 23 of the certificate issuing server 20 described later and the service request node 10.

また、鍵管理部12は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一次利用鍵(Kc:s)を保持する。具体的には、鍵管理部12は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号し、一時利用鍵(Kc:tgs)を取得する。次いで、鍵管理部12は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号して一時利用鍵(Kc:s)を取得し、取得された一時利用鍵(Kc:s)を保持する。   Further, the key management unit 12 holds a primary usage key (Kc: s) that is temporarily used between the service request node 10 and the service providing node 30. Specifically, the key management unit 12 decrypts the encrypted temporary use key ({Kc: tgs} Kc) received from the certificate issuing server 20 with the shared secret key (Kc), and the temporary use key (Kc: tgs). Next, the key management unit 12 decrypts the encrypted temporary use key ({Kc: s} Kc: tgs) received from the certificate issuing server 20 with the temporary use key (Kc: tgs), and then uses the temporary use key (Kc). : S) and holds the acquired temporary use key (Kc: s).

証明書検証部13は、証明書発行サーバ20から受信した認可証明書({Tc:s}Ks)の正当性を検証する。具体的には、証明書検証部13は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号し、一時利用鍵(Kc:tgs)を取得する。次いで、証明書検証部13は、一時利用鍵(Kc:tgs)に含まれる認可証明書発行部識別子(tgs)と、認可証明書({Tc:s}Ks)の発行を要求した認可証明書発行部24の認可証明書発行部識別子(tgs)とが一致するか否かを検証する。また、証明書検証部13は、証明書発行サーバ20から受信した暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号し、一時利用鍵(Kc:s)を取得する。次いで、証明書検証部13は、一時利用鍵(Kc:s)に含まれるサービス名(s)と所望のサービス名(s)と一致するか否かを検証する。   The certificate verification unit 13 verifies the validity of the authorization certificate ({Tc: s} Ks) received from the certificate issuing server 20. Specifically, the certificate verification unit 13 decrypts the encrypted temporary use key ({Kc: tgs} Kc) received from the certificate issuing server 20 with the shared secret key (Kc), and the temporary use key (Kc). : Tgs). Next, the certificate verification unit 13 requests the issuance of the authorization certificate issuing unit identifier (tgs) included in the temporary use key (Kc: tgs) and the authorization certificate ({Tc: s} Ks). It is verified whether or not the authorization certificate issuing unit identifier (tgs) of the issuing unit 24 matches. Further, the certificate verification unit 13 decrypts the encrypted temporary use key ({Kc: s} Kc: tgs) received from the certificate issuing server 20 with the temporary use key (Kc: tgs), and the temporary use key ( Kc: s) is acquired. Next, the certificate verification unit 13 verifies whether the service name (s) included in the temporary use key (Kc: s) matches the desired service name (s).

認証子保持部14は、暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する際に必要となるノード認証子(Ac)を保持する。具体的には、認証子保持部14は、サービス要求ノード10を識別するノード識別子及び現在時刻によってノード認証子(Ac)を生成し、生成されたノード認証子(Ac)を保持する。   The authenticator holding unit 14 is a node necessary for transmitting the encrypted node authenticator ({Ac} kc: s) and the authorization certificate ({Tc: s} Ks) to the plurality of service providing nodes 30. Holds the authenticator (Ac). Specifically, the authenticator holding unit 14 generates a node authenticator (Ac) based on the node identifier for identifying the service request node 10 and the current time, and holds the generated node authenticator (Ac).

(証明書発行サーバの構成)
以下において、本発明の第1実施形態に係る証明書発行サーバの構成について、図面を参照しながら説明する。図3は、本発明の第1実施形態に係る証明書発行サーバ20を示すブロック図である。
(Configuration of certificate issuing server)
The configuration of the certificate issuing server according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 3 is a block diagram showing the certificate issuing server 20 according to the first embodiment of the present invention.

図3に示すように、証明書発行サーバ20は、通信部21と、鍵管理部22と、認証証明書発行部23と、認可証明書発行部24とを有する。   As illustrated in FIG. 3, the certificate issuing server 20 includes a communication unit 21, a key management unit 22, an authentication certificate issuing unit 23, and an authorization certificate issuing unit 24.

通信部21は、証明書発行サーバ20とサービス要求ノード10との間の通信を行う。具体的には、通信部21は、暗号化済一時利用鍵({Kc:tgs}Kc)、認証証明書({Tc:tgs}Ktgs)、暗号化済一時利用鍵({Kc:s}Kc:tgs)、認可証明書({Tc:s}Ks)をサービス要求ノード10に送信する。一方、通信部21は、サービス要求ノード10を識別するノード識別子(c)、認可証明書発行部24を識別する認可証明書発行部識別子(tgs)、暗号化済ノード認証子({Ac}kc:tgs)、認証証明書({Tc:tgs}Ktgs)、所望のサービス名(s)をサービス要求ノード10から受信する。   The communication unit 21 performs communication between the certificate issuing server 20 and the service request node 10. Specifically, the communication unit 21 uses the encrypted temporary use key ({Kc: tgs} Kc), the authentication certificate ({Tc: tgs} Ktgs), and the encrypted temporary use key ({Kc: s} Kc). : Tgs) and an authorization certificate ({Tc: s} Ks) are transmitted to the service request node 10. On the other hand, the communication unit 21 includes a node identifier (c) for identifying the service request node 10, an authorization certificate issuing unit identifier (tgs) for identifying the authorization certificate issuing unit 24, and an encrypted node authenticator ({Ac} kc). : Tgs), an authentication certificate ({Tc: tgs} Ktgs), and a desired service name (s) are received from the service request node 10.

鍵管理部22は、認証証明書発行部23とサービス要求ノード10との間で共有される共有秘密鍵(Kc)を保持する。また、鍵管理部22は、認証証明書発行部23と認可証明書発行部24との間で共有される共有秘密鍵(Ktgs)を保持する。   The key management unit 22 holds a shared secret key (Kc) shared between the authentication certificate issuing unit 23 and the service request node 10. The key management unit 22 holds a shared secret key (Ktgs) shared between the authentication certificate issuing unit 23 and the authorization certificate issuing unit 24.

さらに、鍵管理部22は、認可証明書発行部24とサービス提供ノード30との間で共有される共有秘密鍵(Ks)を保持する。また、鍵管理部22は、認可証明書発行部24とサービス要求ノード10との間で一時的に利用される一時利用鍵(Kc:tgs)を生成し、生成された一時利用鍵(Kc:tgs)を保持する。   Further, the key management unit 22 holds a shared secret key (Ks) shared between the authorization certificate issuing unit 24 and the service providing node 30. Further, the key management unit 22 generates a temporary use key (Kc: tgs) that is temporarily used between the authorization certificate issuing unit 24 and the service request node 10, and the generated temporary use key (Kc: tgs).

認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24へアクセスすることが許可されたことを証明する認証証明書({Tc:tgs}Ktgs)を発行する。具体的には、認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24へアクセスすることを許可する認証情報(Tc:tgs)を生成し、生成された認証情報(Tc:tgs)を共有秘密鍵(Ktgs)で暗号化して、認証証明書({Tc:tgs}Ktgs)を取得する。   The authentication certificate issuing unit 23 issues an authentication certificate ({Tc: tgs} Ktgs) that proves that the service request node 10 is permitted to access the authorization certificate issuing unit 24. Specifically, the authentication certificate issuing unit 23 generates authentication information (Tc: tgs) that permits the service request node 10 to access the authorization certificate issuing unit 24, and the generated authentication information (Tc: tgs) is encrypted with the shared secret key (Ktgs) to obtain an authentication certificate ({Tc: tgs} Ktgs).

認可証明書発行部24は、所望のサービスの利用が認可されたことを証明する認可証明書({Tc:s}Ks)を発行する。具体的には、認可証明書発行部24は、所望のサービスの利用を認可する認可情報(Tc:s)を生成し、生成された認可情報(Tc:s)を共有秘密鍵(Ks)で暗号化して、認可証明書({Tc:s}Ks)を取得する。   The authorization certificate issuing unit 24 issues an authorization certificate ({Tc: s} Ks) that proves that use of a desired service is authorized. Specifically, the authorization certificate issuing unit 24 generates authorization information (Tc: s) for authorizing use of a desired service, and uses the generated authorization information (Tc: s) with the shared secret key (Ks). Encrypt and obtain an authorization certificate ({Tc: s} Ks).

(サービス提供ノードの構成)
以下において、本発明の第1実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図4は、本発明の第1実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 4 is a block diagram showing the service providing node 30 according to the first embodiment of the present invention.

図4に示すように、サービス提供ノード30は、通信部31と、鍵管理部32と、認可証明書検証部33と、認可証明書保持部34と、サービス提供部35とを有する。   As illustrated in FIG. 4, the service providing node 30 includes a communication unit 31, a key management unit 32, an authorization certificate verification unit 33, an authorization certificate holding unit 34, and a service providing unit 35.

通信部31は、サービス提供ノード30とサービス要求ノード10との間の通信を行う。具体的には、通信部31は、ブロードキャストで送信された暗号化済ノード認証子({Ac}kc:s)及び認可証明書({Tc:s}Ks)を受信する。また、通信部31は、ノード認証子(Ac)及び所望のサービス名(s)を受信する。   The communication unit 31 performs communication between the service providing node 30 and the service request node 10. Specifically, the communication unit 31 receives the encrypted node authenticator ({Ac} kc: s) and the authorization certificate ({Tc: s} Ks) transmitted by broadcast. The communication unit 31 receives the node authenticator (Ac) and the desired service name (s).

鍵管理部32は、サービス提供ノード30と証明書発行サーバ20の認可証明書発行部24との間で共有される共有秘密鍵(Ks)を保持する。また、鍵管理部32は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一時利用鍵(Kc:s)を保持する。   The key management unit 32 holds a shared secret key (Ks) shared between the service providing node 30 and the authorization certificate issuing unit 24 of the certificate issuing server 20. Further, the key management unit 32 holds a temporary use key (Kc: s) that is temporarily used between the service request node 10 and the service providing node 30.

認可証明書検証部33は、認可証明書保持部34に保持されている認可証明書({Tc:s}Ks)の正当性を検証することによって、所望のサービスをサービス要求ノード10に提供するか否かを判定する。具体的には、認可証明書検証部33は、サービス要求ノード10から受信した暗号化済ノード認証子({Ac}Kc:s)を一時利用鍵(Kc:s)で復号して、ノード認証子(Ac)を取得する。次いで、認可証明書検証部33は、取得されたノード認証子(Ac)と一致するノード認証子(Ac)が認可証明書保持部34に保持されているか否かを検証する。また、認可証明書検証部33は、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して、認可情報(Tc:s)を取得する。次いで、認可証明書検証部33は、取得された認可情報(Tc:s)と一致する認可情報(Tc:s)が、取得されたノード認証子(Ac)に対応付けられて認可証明書保持部34に保持されているか否かを検証する。   The authorization certificate verification unit 33 provides a desired service to the service request node 10 by verifying the validity of the authorization certificate ({Tc: s} Ks) held in the authorization certificate holding unit 34. It is determined whether or not. Specifically, the authorization certificate verification unit 33 decrypts the encrypted node authenticator ({Ac} Kc: s) received from the service request node 10 with the temporary use key (Kc: s), and performs node authentication. A child (Ac) is acquired. Next, the authorization certificate verification unit 33 verifies whether or not a node authentication code (Ac) that matches the acquired node authentication code (Ac) is held in the authorization certificate holding unit 34. Further, the authorization certificate verification unit 33 decrypts the authorization certificate ({Tc: s} Ks) received from the service request node 10 with the shared secret key (Ks), and obtains authorization information (Tc: s). . Next, the authorization certificate verification unit 33 holds the authorization certificate (Tc: s) corresponding to the acquired authorization information (Tc: s) in association with the acquired node authenticator (Ac). It is verified whether it is held in the unit 34.

認可証明書保持部34は、ノード認証子(Ac)と認可証明書({Tc:s}Ks)とを対応付けて保持する。具体的には、認可証明書保持部34は、サービス要求ノード10から受信した暗号化済ノード認証子({Ac}Kc:tgs)を一時利用鍵(Kc:tgs)で復号化してノード認証子(Ac)を取得し、ノード認証子(Ac)と認可証明書({Tc:s}Ks)とを対応付けて保持する。   The authorization certificate holding unit 34 holds the node authenticator (Ac) and the authorization certificate ({Tc: s} Ks) in association with each other. Specifically, the authorization certificate holding unit 34 decrypts the encrypted node authenticator ({Ac} Kc: tgs) received from the service request node 10 with the temporary use key (Kc: tgs), and decrypts the node authenticator. (Ac) is acquired, and the node authenticator (Ac) and the authorization certificate ({Tc: s} Ks) are stored in association with each other.

なお、認可証明書保持部34は、認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して認可情報(Tc:s)をさらに取得し、ノード認証子(Ac)と認可情報(Tc:s)とを対応付けて保持していてもよい。   The authorization certificate holding unit 34 decrypts the authorization certificate ({Tc: s} Ks) with the shared secret key (Ks) to further obtain authorization information (Tc: s), and obtains a node authenticator (Ac). And authorization information (Tc: s) may be held in association with each other.

サービス提供部35は、認可証明書検証部33によって認可証明書({Tc:s}Ks)が正当であることが検証された場合には、サービス要求ノード10から要求された所望のサービスをサービス要求ノード10に提供する。   When the authorization certificate verification unit 33 verifies that the authorization certificate ({Tc: s} Ks) is valid, the service providing unit 35 provides the desired service requested from the service request node 10 as a service. Provide to request node 10.

(アクセス制御システムの動作)
以下において、本発明の第1実施形態に係るアクセス制御システムの動作について、図面を参照しながら説明する。図5は、本発明の第1実施形態に係るアクセス制御システム100の動作を示すシーケンス図である。
(Access control system operation)
The operation of the access control system according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 5 is a sequence diagram showing an operation of the access control system 100 according to the first embodiment of the present invention.

図5に示すように、ステップ10において、サービス要求ノード10は、サービス要求ノード10を識別するノード識別子(c)及び証明書発行サーバ20の認可証明書発行部24を識別する認可証明書発行部識別子(tgs)を、証明書発行サーバ20の認証証明書発行部23に送信する。   As shown in FIG. 5, in step 10, the service request node 10 has a node identifier (c) for identifying the service request node 10 and an authorization certificate issuing unit for identifying the authorization certificate issuing unit 24 of the certificate issuing server 20. The identifier (tgs) is transmitted to the authentication certificate issuing unit 23 of the certificate issuing server 20.

ステップ11において、証明書発行サーバ20の認証証明書発行部23は、サービス要求ノード10と認可証明書発行部24との間で一時的に利用される一時利用鍵(Kc:tgs)を、サービス要求ノード10と認証証明書発行部23との間で共有される共有秘密鍵(Kc)で暗号化する。   In step 11, the authentication certificate issuing unit 23 of the certificate issuing server 20 uses a temporary use key (Kc: tgs) temporarily used between the service request node 10 and the authorization certificate issuing unit 24 as a service. Encryption is performed using a shared secret key (Kc) shared between the request node 10 and the authentication certificate issuing unit 23.

また、認証証明書発行部23は、サービス要求ノード10が認可証明書発行部24にアクセスすることを認可する認証情報(Tc:tgs)を、認証証明書発行部23と認可証明書発行部24との間で共有される共有秘密鍵(Ktgs)で暗号化して、認可証明書発行部24にアクセスすることが認可されたことを証明する認証証明書({Tc:tgs}Ktgs)を生成する。   In addition, the authentication certificate issuing unit 23 sends authentication information (Tc: tgs) for authorizing the service request node 10 to access the authorization certificate issuing unit 24, and the authentication certificate issuing unit 23 and the authorization certificate issuing unit 24. To generate an authentication certificate ({Tc: tgs} Ktgs) that proves that access to the authorization certificate issuing unit 24 is authorized. .

さらに、認証証明書発行部23は、暗号化済一時利用鍵({Kc:tgs}Kc)及び認証証明書({Tc:tgs}Ktgs)をサービス要求ノード10に送信する。   Further, the authentication certificate issuing unit 23 transmits the encrypted temporary use key ({Kc: tgs} Kc) and the authentication certificate ({Tc: tgs} Ktgs) to the service request node 10.

ステップ12において、サービス要求ノード10は、サービス要求ノード10を識別するノード識別子及び現在時刻を用いてノード認証子(Ac)を生成する。また、サービス要求ノード10は、暗号化済一時利用鍵({Kc:tgs}Kc)を共有秘密鍵(Kc)で復号して、一時利用鍵(Kc:tgs)を取得する。さらに、サービス要求ノード10は、ノード認証子(Ac)を一時利用鍵(Kc:tgs)で暗号化する。   In step 12, the service request node 10 generates a node authenticator (Ac) using the node identifier for identifying the service request node 10 and the current time. Further, the service request node 10 decrypts the encrypted temporary use key ({Kc: tgs} Kc) with the shared secret key (Kc), and acquires the temporary use key (Kc: tgs). Further, the service request node 10 encrypts the node authenticator (Ac) with the temporary use key (Kc: tgs).

また、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:tgs)、認証証明書({Tc:tgs}Ktgs)、及び、所望のサービス名(s)を、証明書発行サーバ20の認可証明書発行部24に送信する。   In addition, the service request node 10 sends the encrypted node authenticator ({Ac} Kc: tgs), the authentication certificate ({Tc: tgs} Ktgs), and the desired service name (s) to the certificate issuing server. 20 to the authorization certificate issuing unit 24.

ステップ13において、証明書発行サーバ20の認可証明書発行部24は、サービス要求ノード10とサービス提供ノード30との間で一時的に利用される一時利用鍵(kc:s)を、サービス要求ノード10と認可証明書発行部24との間で一時的に利用される一時利用鍵(Kc:tgs)で暗号化する。   In step 13, the authorization certificate issuing unit 24 of the certificate issuing server 20 uses the temporary use key (kc: s) temporarily used between the service request node 10 and the service providing node 30 as the service request node. 10 and the temporary certificate key (Kc: tgs) temporarily used between the authorization certificate issuing unit 24.

また、認可証明書発行部24は、サービス要求ノード10が所望のサービスを利用することを許可する認可情報(Tc:s)を、認可証明書発行部24とサービス提供ノード30との間で共有される共有秘密鍵(Ks)で暗号化して、所望のサービスの利用が認可されたことを証明する認可証明書({Tc:s}Ks)を取得する。   Further, the authorization certificate issuing unit 24 shares the authorization information (Tc: s) that permits the service request node 10 to use a desired service between the authorization certificate issuing unit 24 and the service providing node 30. To obtain an authorization certificate ({Tc: s} Ks) that certifies that the use of the desired service is authorized.

さらに、認可証明書発行部24は、暗号化済一時利用鍵({Kc:s}Kc:tgs)及び認可証明書({Tc:s}Ks)をサービス要求ノード10に送信する。   Further, the authorization certificate issuing unit 24 transmits the encrypted temporary use key ({Kc: s} Kc: tgs) and the authorization certificate ({Tc: s} Ks) to the service request node 10.

ステップ14において、サービス要求ノード10は、暗号化済一時利用鍵({Kc:s}Kc:tgs)を一時利用鍵(Kc:tgs)で復号して、一時利用鍵(Kc:s)を取得する。また、サービス要求ノード10は、ノード認証子(Ac)を一時利用鍵(Kc:s)で暗号化する。   In step 14, the service request node 10 decrypts the encrypted temporary use key ({Kc: s} Kc: tgs) with the temporary use key (Kc: tgs) to obtain the temporary use key (Kc: s). To do. Further, the service request node 10 encrypts the node authenticator (Ac) with the temporary use key (Kc: s).

さらに、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。すなわち、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。   Further, the service request node 10 broadcasts the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks). That is, the service request node 10 transmits the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks) to the plurality of service providing nodes 30.

なお、各サービス提供ノード30は、暗号化済ノード認証子({Ac}Kc:s)を一時利用鍵(Kc:s)で復号して、ノード認証子(Ac)を取得する。同様に、各サービス提供ノード30は、認可証明書({Tc:s}Ks)を共有秘密鍵(Ks)で復号して、認可情報(Tc:s)を取得する。また、各サービス提供ノード30は、ノード認証子(Ac)と認可情報(Tc:s)とを対応付けて記憶する。   Each service providing node 30 decrypts the encrypted node authenticator ({Ac} Kc: s) with the temporary use key (Kc: s) to obtain the node authenticator (Ac). Similarly, each service providing node 30 decrypts the authorization certificate ({Tc: s} Ks) with the shared secret key (Ks), and obtains authorization information (Tc: s). Each service providing node 30 stores a node authenticator (Ac) and authorization information (Tc: s) in association with each other.

ステップ15において、サービス要求ノード10は、所望のサービスの提供を受けるために、ノード認証子(Ac)及び所望のサービス名(s)をサービス提供ノード30aに送信する。すなわち、サービス要求ノード10は、ノード認証子(Ac)及び所望のサービス名(s)を複数のサービス提供ノード30のいずれか宛てに送信する。   In step 15, the service request node 10 transmits the node authenticator (Ac) and the desired service name (s) to the service providing node 30a in order to receive provision of the desired service. That is, the service request node 10 transmits a node authenticator (Ac) and a desired service name (s) to any one of the plurality of service providing nodes 30.

ステップ16において、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されているか否かに応じて、所望のサービスをサービス要求ノード10に提供するか否かを判定する。   In step 16, the service providing node 30a makes a service request for a desired service depending on whether or not the authorization information (Tc: s) corresponding to the node authenticator (Ac) is held in the authorization certificate holding unit 34. It is determined whether or not to provide to the node 10.

具体的には、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されている場合には、所望のサービスをサービス要求ノード10に提供する。一方、サービス提供ノード30aは、ノード認証子(Ac)に対応する認可情報(Tc:s)が認可証明書保持部34に保持されていない場合には、所望のサービスの利用が不許可であることをサービス要求ノード10に通知する。   Specifically, when the authorization information (Tc: s) corresponding to the node authenticator (Ac) is held in the authorization certificate holding unit 34, the service providing node 30a assigns the desired service to the service request node. 10 to provide. On the other hand, when the authorization information (Tc: s) corresponding to the node authenticator (Ac) is not held in the authorization certificate holding unit 34, the service providing node 30a is not permitted to use a desired service. This is notified to the service request node 10.

(サービス要求ノードの動作)
以下において、本発明の第1実施形態に係るサービス要求ノードの動作について、図面を参照しながら説明する。図6は、本発明の第1実施形態に係るサービス要求ノード10の動作を示すフロー図である。
(Service request node operation)
The operation of the service request node according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 6 is a flowchart showing the operation of the service request node 10 according to the first exemplary embodiment of the present invention.

図6に示すように、ステップ20において、サービス要求ノード10は、所望のサービスの要求が初回であるか否かを判定する。また、サービス要求ノード10は、所望のサービスの要求が初回である場合には、ステップ21の処理に移り、所望のサービスの要求が初回でない場合には、ステップ23の処理に移る。   As shown in FIG. 6, in step 20, the service request node 10 determines whether or not a request for a desired service is the first time. Further, the service request node 10 proceeds to the process of step 21 when the request for the desired service is the first time, and proceeds to the process of step 23 when the request for the desired service is not the first time.

ステップ21において、サービス要求ノード10は、上述したステップ10〜ステップ13の手順に従って、認可証明書({Tc:s}Ks)を取得する。   In step 21, the service request node 10 acquires an authorization certificate ({Tc: s} Ks) according to the procedure of steps 10 to 13 described above.

ステップ22において、サービス要求ノード10は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)をブロードキャストで送信する。   In step 22, the service request node 10 broadcasts the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks).

ステップ23において、サービス要求ノード10は、所望のサービスの提供を受けるために、所望のサービス名(s)及びノード認証子(Ac)を、複数のサービス提供ノード30のいずれかに送信する。   In step 23, the service request node 10 transmits a desired service name (s) and a node authenticator (Ac) to any of the plurality of service providing nodes 30 in order to receive provision of the desired service.

ステップ24において、サービス要求ノード10は、他のサービス提供ノード30にサービスの提供を要求するか否か判定する。また、サービス要求ノード10は、他のサービス提供ノード30にサービスの提供を要求する場合には、ステップ23の処理に戻り、他のサービス提供ノード30にサービスの提供を要求しない場合には、一連の処理を終了する。   In step 24, the service request node 10 determines whether or not to request the service provision to another service providing node 30. Further, the service request node 10 returns to the process of step 23 when requesting the service provision to the other service providing node 30 and returns to the process when not requesting the service provision to the other service providing node 30. Terminate the process.

(サービス提供ノードの動作)
以下において、本発明の第1実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図7は、本発明の第1実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図7は、所望のサービスの提供をサービス要求ノード10から要求された場合におけるサービス提供ノード30の処理を示している。
(Service provider node operation)
Hereinafter, the operation of the service providing node according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 7 is a flowchart showing the operation of the service providing node 30 according to the first embodiment of the present invention. FIG. 7 shows processing of the service providing node 30 when the service requesting node 10 requests provision of a desired service.

図7に示すように、ステップ30において、サービス提供ノード30は、所望のサービス(s)名及びノード認証子(Ac)をサービス要求ノード10から受信する。   As shown in FIG. 7, in step 30, the service providing node 30 receives a desired service (s) name and a node authenticator (Ac) from the service request node 10.

ステップ31において、サービス提供ノード30は、サービス要求ノード10から受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されているか否かを判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されている場合には、ステップ32の処理に移り、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合には、ステップ35の処理に移る。   In step 31, the service providing node 30 determines whether or not the authorization certificate ({Tc: s} Ks) corresponding to the node authenticator (Ac) received from the service request node 10 is held in the authorization certificate holding unit 34. Determine whether. In addition, when the authorization certificate ({Tc: s} Ks) is held in the authorization certificate holding unit 34, the service providing node 30 moves to the process of step 32, and the authorization certificate ({Tc: s } Ks) is not held in the authorization certificate holding unit 34, the process proceeds to step 35.

ステップ32において、サービス提供ノード30は、認可証明書保持部34に保持されている認可証明書({Tc:s}Ks)を検証する。   In step 32, the service providing node 30 verifies the authorization certificate ({Tc: s} Ks) held in the authorization certificate holding unit 34.

ステップ33において、サービス提供ノード30は、認可証明書({Tc:s}Ks)が正当であるか否かを判定し、認可証明書({Tc:s}Ks)が正当である場合には、サービス要求ノード10から受信した所望のサービスの利用が許可されているか否かを判定する。また、サービス提供ノード30は、所望のサービスの利用が許可されている場合には、ステップ34の処理に移り、所望のサービスの利用が許可されていない場合には、ステップ35の処理に移る。   In step 33, the service providing node 30 determines whether or not the authorization certificate ({Tc: s} Ks) is valid, and if the authorization certificate ({Tc: s} Ks) is valid. Then, it is determined whether or not use of a desired service received from the service request node 10 is permitted. The service providing node 30 proceeds to the process of step 34 when the use of the desired service is permitted, and proceeds to the process of step 35 when the use of the desired service is not permitted.

ステップ34において、サービス提供ノード30は、所望のサービスをサービス要求ノード10に提供する。   In step 34, the service providing node 30 provides a desired service to the service requesting node 10.

ステップ35において、サービス提供ノード30は、所望のサービスの利用が不許可であることをサービス要求ノード10に通知する。   In step 35, the service providing node 30 notifies the service requesting node 10 that the use of the desired service is not permitted.

(作用及び効果)
本発明の第1実施形態に係るアクセス制御システム100によれば、サービス要求ノード10が、暗号化済ノード認証子(Ac)及び認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する。
(Action and effect)
According to the access control system 100 according to the first embodiment of the present invention, the service request node 10 receives an encrypted node authenticator (Ac) and an authorization certificate ({Tc: s} Ks) as a plurality of service providing nodes. Send to 30.

すなわち、認可証明書({Tc:s}Ks)が複数のサービス提供ノード30に共通する証明書であるため、複数のサービス提供ノード30のそれぞれに対応する認可証明書をサービス要求ノード10が取得する必要がなくなり、認可証明書の取得に係る処理を簡易にすることができる。また、複数のサービス提供ノード30のそれぞれに対応する認可証明書をサービス要求ノード10が管理する必要がなくなり、認可証明書の管理に係る処理を簡易にすることができる。   That is, since the authorization certificate ({Tc: s} Ks) is a certificate common to the plurality of service providing nodes 30, the service request node 10 obtains an authorization certificate corresponding to each of the plurality of service providing nodes 30. Therefore, it is possible to simplify the process related to obtaining the authorization certificate. In addition, it is not necessary for the service request node 10 to manage the authorization certificate corresponding to each of the plurality of service providing nodes 30, and the processing related to the management of the authorization certificate can be simplified.

さらに、複数のサービス提供ノード30のそれぞれが認可証明書({Tc:s}Ks)を保持することにより、サービス要求ノード10が所望のサービスの提供を受ける際に、認可証明書({Tc:s}Ks)を改めて送信する必要がなくなり、認可証明書の送信に係る通信コストを抑制することができる。   Further, each of the plurality of service providing nodes 30 holds an authorization certificate ({Tc: s} Ks), so that when the service request node 10 receives provision of a desired service, the authorization certificate ({Tc: s} Ks) need not be transmitted again, and the communication cost for transmitting the authorization certificate can be suppressed.

[第2実施形態]
以下において、本発明の第2実施形態について、図面を参照しながら説明する。なお、以下においては、上述した第1実施形態と第2実施形態との差異について主として説明する。
[Second Embodiment]
Hereinafter, a second embodiment of the present invention will be described with reference to the drawings. In the following, differences between the first embodiment and the second embodiment described above will be mainly described.

具体的には、上述した第1実施形態では、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を全てのサービス提供ノード30が保持するが、第2実施形態では、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を保持するか否かを各サービス提供ノード30が判定する。   Specifically, in the first embodiment described above, all the service providing nodes 30 hold the authorization certificate ({Tc: s} Ks) received from the service request node 10, but in the second embodiment, the service certificate Each service providing node 30 determines whether to hold the authorization certificate ({Tc: s} Ks) received from the request node 10.

また、第2実施形態では、サービス提供ノード30は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際に、受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、周囲に配置された他のサービス提供ノード30に対して認可証明書({Tc:s}Ks)を要求する。   In the second embodiment, when the service providing node 30 receives a node authenticator (Ac) from the service requesting node 10 as a service providing request, the authorization certificate corresponding to the received node authenticator (Ac) is received. When ({Tc: s} Ks) is not held in the authorization certificate holding unit 34, an authorization certificate ({Tc: s} Ks) is requested from other service providing nodes 30 arranged in the vicinity. To do.

(サービス提供ノードの構成)
以下において、本発明の第2実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図8は、本発明の第2実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the second embodiment of the present invention will be described below with reference to the drawings. FIG. 8 is a block diagram showing a service providing node 30 according to the second embodiment of the present invention.

図8に示すように、サービス提供ノード30は、図4に示した構成に加えて、認可証明書保持判定部36を有する。   As illustrated in FIG. 8, the service providing node 30 includes an authorization certificate holding determination unit 36 in addition to the configuration illustrated in FIG.

認可証明書保持判定部36は、サービス要求ノード10から暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した場合に、暗号化済ノード認証子({Ac}Kc:s)と認可証明書({Tc:s}Ks)とを対応付けて保持するか否かを所定の基準に従って判定する。   The authorization certificate holding determination unit 36 receives the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks) from the service request node 10, and It is determined according to a predetermined standard whether or not to hold the authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks) in association with each other.

なお、所定の基準とは、(1)認可証明書保持部34の空き容量が所定の閾値以上であるか否か、(2)認可証明書({Tc:s}Ks)を保持する要求をサービス要求ノード10から受けているか否か、(3)認可証明書({Tc:s}Ks)を保持するようにサービス提供ノード30が設定されているか否か、(4)ランダムな確率で認可証明書({Tc:s}Ks)を保持するか否か、(5)周囲に配置された他のサービス提供ノード30の存在確率が所定の閾値以下であるか否かなどである。   The predetermined criteria are (1) whether or not the free capacity of the authorization certificate holding unit 34 is greater than or equal to a predetermined threshold, and (2) a request to hold the authorization certificate ({Tc: s} Ks). Whether the service providing node 30 is set to hold the authorization certificate ({Tc: s} Ks); (4) authorization with a random probability; Whether or not the certificate ({Tc: s} Ks) is held, (5) whether or not the existence probability of the other service providing nodes 30 arranged around is not more than a predetermined threshold.

また、上述した通信部31は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。例えば、通信部31は、認証許可書探索通知をブロードキャストで送信する。   Further, the communication unit 31 described above transmits an authentication license search notification requesting an authorization certificate ({Tc: s} Ks) to other service providing nodes 30 arranged in the vicinity. For example, the communication unit 31 transmits an authentication license search notification by broadcasting.

(サービス提供ノードの動作)
以下において、本発明の第2実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図9は、本発明の第2実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図9は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した際におけるサービス提供ノード30の動作を示している。
(Service provider node operation)
Hereinafter, the operation of the service providing node according to the second embodiment of the present invention will be described with reference to the drawings. FIG. 9 is a flowchart showing the operation of the service providing node 30 according to the second exemplary embodiment of the present invention. FIG. 9 shows the operation of the service providing node 30 when the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks) are received.

図9に示すように、ステップ40において、サービス提供ノード30は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信する。   As shown in FIG. 9, in step 40, the service providing node 30 receives the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks).

ステップ41において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持するか否かを所定の基準に従って判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持する場合には、ステップ42の処理に移り、認可証明書({Tc:s}Ks)を保持しない場合には、ステップ43の処理に移る。   In step 41, the service providing node 30 determines whether or not to hold the authorization certificate ({Tc: s} Ks) according to a predetermined standard. In addition, when the service providing node 30 holds the authorization certificate ({Tc: s} Ks), the service providing node 30 proceeds to the process of step 42, and when it does not hold the authorization certificate ({Tc: s} Ks). Then, the process proceeds to step 43.

ステップ42において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に格納する。   In step 42, the service providing node 30 stores the authorization certificate ({Tc: s} Ks) in the authorization certificate holding unit 34.

ステップ43において、サービス提供ノード30は、認可証明書({Tc:s}Ks)を破棄する。   In step 43, the service providing node 30 discards the authorization certificate ({Tc: s} Ks).

以下において、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作について、図面を参照しながら説明する。図10は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作を示すフロー図である。   Hereinafter, the operation of the service providing node 30 when a node authenticator (Ac) is received from the service requesting node 10 as a service providing request will be described with reference to the drawings. FIG. 10 is a flowchart showing the operation of the service providing node 30 when a node authenticator (Ac) is received from the service requesting node 10 as a service providing request.

なお、図10では、上述した図7と同様の処理に対して同様の符号を付している。具体的には、図10では、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていないと判定された場合に、ステップ36及びステップ37が加えられている。   In FIG. 10, the same reference numerals are assigned to the processes similar to those in FIG. Specifically, in FIG. 10, Step 36 and Step 37 are added when it is determined that the authorization certificate ({Tc: s} Ks) is not held in the authorization certificate holding unit 34.

図10に示すように、ステップ36において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。   As shown in FIG. 10, in step 36, the service providing node 30 searches for an authentication permit requesting an authorization certificate ({Tc: s} Ks) from other service providing nodes 30 arranged in the vicinity. Send a notification.

ステップ37において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30から認可証明書({Tc:s}Ks)を取得できたか否かを判定する。また、サービス提供ノード30は、認可証明書({Tc:s}Ks)を取得できた場合には、ステップ33の処理に移り、認可証明書({Tc:s}Ks)を取得できなかった場合には、ステップ35の処理に移る。   In step 37, the service providing node 30 determines whether or not the authorization certificate ({Tc: s} Ks) has been obtained from the other service providing nodes 30 arranged in the vicinity. In addition, when the service providing node 30 can obtain the authorization certificate ({Tc: s} Ks), the service providing node 30 proceeds to the process of step 33 and cannot obtain the authorization certificate ({Tc: s} Ks). If so, the process proceeds to step 35.

(作用及び効果)
本発明の第2実施形態に係るアクセス制御システム100によれば、サービス提供ノード30は、サービス要求ノード10から受信した認可証明書({Tc:s}Ks)を保持するか否かを判定する。従って、認可証明書({Tc:s}Ks)の保持に必要なサービス提供ノード30の負荷を軽減することができる。
(Action and effect)
According to the access control system 100 according to the second embodiment of the present invention, the service providing node 30 determines whether to hold the authorization certificate ({Tc: s} Ks) received from the service request node 10. . Therefore, the load on the service providing node 30 necessary for holding the authorization certificate ({Tc: s} Ks) can be reduced.

また、サービス提供ノード30は、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。従って、サービス提供ノード30は、認可証明書({Tc:s}Ks)を保持しないと判定した場合であっても、周囲に配置された他のサービス提供ノード30から認可証明書({Tc:s}Ks)を取得することができる。   Further, the service providing node 30 authorizes other service providing nodes 30 arranged in the vicinity when the authorization certificate ({Tc: s} Ks) is not held in the authorization certificate holding unit 34. An authentication license search notification requesting a certificate ({Tc: s} Ks) is transmitted. Therefore, even when the service providing node 30 determines not to hold the authorization certificate ({Tc: s} Ks), the service providing node 30 receives the authorization certificate ({Tc: s} Ks).

[第3実施形態]
以下において、本発明の第3実施形態について、図面を参照しながら説明する。なお、以下においては、上述した第2実施形態と第3実施形態との差異について主として説明する。
[Third Embodiment]
Hereinafter, a third embodiment of the present invention will be described with reference to the drawings. In the following, differences between the second embodiment and the third embodiment described above will be mainly described.

具体的には、上述した第2実施形態では、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持するのみであるが、第3実施形態では、
サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持した後に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。
Specifically, in the second embodiment described above, the service providing node 30 only holds the authorization certificate ({Tc: s} Ks) in the authorization certificate holding unit 34, but in the third embodiment, ,
The service providing node 30 holds the authorization certificate ({Tc: s} Ks) in the authorization certificate holding unit 34, and then sends the authorization certificate ({Tc) to other service providing nodes 30 arranged around the service providing node 30. : S} Ks) is transmitted, an authorization certificate holding notification is sent.

また、サービス提供ノード30は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際に、受信したノード認証子(Ac)に対応する認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていない場合に、認可証明書保持通知を送信した他のサービス提供ノード30に対して認可証明書({Tc:s}Ks)を要求する。   Further, when the service providing node 30 receives the node authenticator (Ac) from the service requesting node 10 as a service providing request, the service providing node 30 receives the authorization certificate ({Tc: s}) corresponding to the received node authenticator (Ac). When Ks) is not held in the authorization certificate holding unit 34, an authorization certificate ({Tc: s} Ks) is requested to the other service providing node 30 that has transmitted the authorization certificate holding notification.

(サービス提供ノードの構成)
以下において、本発明の第3実施形態に係るサービス提供ノードの構成について、図面を参照しながら説明する。図11は、本発明の第3実施形態に係るサービス提供ノード30を示すブロック図である。
(Service providing node configuration)
The configuration of the service providing node according to the third embodiment of the present invention will be described below with reference to the drawings. FIG. 11 is a block diagram showing a service providing node 30 according to the third embodiment of the present invention.

図11に示すように、サービス提供ノード30は、図8に示した構成に加えて、認可証明書保持ノード管理部37を有する。   As shown in FIG. 11, the service providing node 30 includes an authorization certificate holding node management unit 37 in addition to the configuration shown in FIG. 8.

認可証明書保持ノード管理部37は、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を他のサービス提供ノード30から受信した場合に、認可証明書保持通知を送信した他のサービス提供ノード30を識別する識別子などを管理する。   When the authorization certificate holding node management unit 37 receives an authorization certificate holding notification indicating that the authorization certificate ({Tc: s} Ks) is held from another service providing node 30, the authorization certificate holding notification Manages an identifier or the like for identifying another service providing node 30 that has transmitted.

また、上述した通信部31は、認可証明書保持ノード管理部37によって管理されている識別子に対応する他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。   In addition, the communication unit 31 described above requests an authorization certificate ({Tc: s} Ks) from another service providing node 30 corresponding to the identifier managed by the authorization certificate holding node management unit 37. Send a certificate search notification.

さらに、上述した通信部31は、認可証明書({Tc:s}Ks)を認可証明書保持部34に保持した後に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。例えば、通信部31は、認可証明書保持通知をブロードキャストで送信する。   Further, the communication unit 31 described above holds the authorization certificate ({Tc: s} Ks) in the authorization certificate holding unit 34 and then gives the authorization certificate to other service providing nodes 30 arranged in the vicinity. An authorization certificate holding notification indicating that ({Tc: s} Ks) is held is transmitted. For example, the communication unit 31 transmits an authorization certificate holding notification by broadcasting.

(サービス提供ノードの動作)
以下において、本発明の第3実施形態に係るサービス提供ノードの動作について、図面を参照しながら説明する。図12は、本発明の第3実施形態に係るサービス提供ノード30の動作を示すフロー図である。なお、図12は、暗号化済ノード認証子({Ac}Kc:s)及び認可証明書({Tc:s}Ks)を受信した際におけるサービス提供ノード30の動作を示している。
(Service provider node operation)
The operation of the service providing node according to the third embodiment of the present invention will be described below with reference to the drawings. FIG. 12 is a flowchart showing the operation of the service providing node 30 according to the third exemplary embodiment of the present invention. FIG. 12 shows the operation of the service providing node 30 when receiving the encrypted node authenticator ({Ac} Kc: s) and the authorization certificate ({Tc: s} Ks).

また、図12では、上述した図9と同様の処理に対して同様の符号を付している。具体的には、図12では、認可証明書({Tc:s}Ks)を格納する処理(ステップ42)の後に、ステップ44の処理が加えられている。   In FIG. 12, the same reference numerals are assigned to the same processes as those in FIG. Specifically, in FIG. 12, the process of step 44 is added after the process of storing the authorization certificate ({Tc: s} Ks) (step 42).

図12に示すように、ステップ44において、サービス提供ノード30は、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。   As shown in FIG. 12, in step 44, the service providing node 30 gives an authorization indicating that it has held an authorization certificate ({Tc: s} Ks) to other service providing nodes 30 arranged around it. Send a certificate retention notification.

以下において、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作について、図面を参照しながら説明する。図13は、サービスの提供要求としてノード認証子(Ac)をサービス要求ノード10から受信した際におけるサービス提供ノード30の動作を示すフロー図である。   Hereinafter, the operation of the service providing node 30 when a node authenticator (Ac) is received from the service requesting node 10 as a service providing request will be described with reference to the drawings. FIG. 13 is a flowchart showing the operation of the service providing node 30 when a node authenticator (Ac) is received from the service requesting node 10 as a service providing request.

なお、図13では、上述した図10と同様の処理に対して同様の符号を付している。具体的には、図13では、認可証明書({Tc:s}Ks)が認可証明書保持部34に保持されていないと判定された場合に、ステップ38が加えられており、ステップ36に代えてステップ36aが加えられている。   In FIG. 13, the same reference numerals are assigned to the processes similar to those in FIG. Specifically, in FIG. 13, when it is determined that the authorization certificate ({Tc: s} Ks) is not held in the authorization certificate holding unit 34, Step 38 is added. Instead, step 36a is added.

図13に示すように、ステップ38において、サービス提供ノード30は、認可証明書保持通知を他のサービス提供ノード30から受信しているか否かを判定する。また、サービス提供ノード30は、認可証明書保持通知を受信している場合には、ステップ36aの処理に移り、認可証明書保持通知を受信していない場合には、ステップ35の処理に移る。   As shown in FIG. 13, in step 38, the service providing node 30 determines whether an authorization certificate holding notification has been received from another service providing node 30. If the service providing node 30 has received the authorization certificate holding notification, the service providing node 30 proceeds to the process of step 36a. If the service providing node 30 has not received the authorization certificate holding notification, the service providing node 30 proceeds to the process of step 35a.

ステップ36aにおいて、サービス提供ノード30は、認可証明書保持ノード管理部37を参照することによって、認可証明書保持通知を送信した他のサービス提供ノード30を特定し、特定された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を要求する認証許可書探索通知を送信する。   In step 36 a, the service providing node 30 refers to the authorization certificate holding node management unit 37, identifies the other service providing node 30 that has transmitted the authorization certificate holding notification, and identifies the identified other service providing node. 30 sends an authentication license search notification requesting an authorization certificate ({Tc: s} Ks).

(作用及び効果)
本発明の第3実施形態に係るアクセス制御システム100によれば、サービス提供ノード30は、認可証明書({Tc:s}Ks)を認可証明書保持部34に格納した場合に、周囲に配置された他のサービス提供ノード30に対して、認可証明書({Tc:s}Ks)を保持したことを示す認可証明書保持通知を送信する。従って、認可証明書({Tc:s}Ks)を保持していないサービス提供ノード30は、認可証明書({Tc:s}Ks)を保持する他のサービス提供ノード30を容易に特定することができ、認可証明書({Tc:s}Ks)を効率的に取得することができる。
(Action and effect)
According to the access control system 100 according to the third embodiment of the present invention, the service providing node 30 is arranged around when the authorization certificate ({Tc: s} Ks) is stored in the authorization certificate holding unit 34. An authorization certificate holding notification indicating that the authorization certificate ({Tc: s} Ks) is held is transmitted to the other service providing node 30 that has been granted. Therefore, the service providing node 30 that does not hold the authorization certificate ({Tc: s} Ks) can easily specify another service providing node 30 that holds the authorization certificate ({Tc: s} Ks). The authorization certificate ({Tc: s} Ks) can be obtained efficiently.

[その他の実施形態]
上述した第1実施形態〜第3実施形態では、認証情報や認可情報などの情報は、各種暗号鍵で暗号化されているが、暗号化の方法は、上述した方法に限定されるものではない。また、認証情報や認可情報などの情報は、暗号化されずに送受信されてもよい。
[Other Embodiments]
In the first to third embodiments described above, information such as authentication information and authorization information is encrypted with various encryption keys, but the encryption method is not limited to the above-described method. . In addition, information such as authentication information and authorization information may be transmitted and received without being encrypted.

上述した第1実施形態〜第3実施形態では、サービス要求ノード10は、認可証明書({Tc:s}Ks)を複数のサービス提供ノード30宛てに送信する際にブロードキャストで送信するが、これに限定されるものではなく、マルチキャストで送信してもよい。   In the first to third embodiments described above, the service request node 10 transmits an authorization certificate ({Tc: s} Ks) by broadcast when transmitting it to a plurality of service providing nodes 30. The transmission is not limited to the above, and may be transmitted by multicast.

本発明の第1実施形態に係るアクセス制御システムを示す図である。It is a figure which shows the access control system which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るサービス要求ノード10を示すブロック図である。1 is a block diagram showing a service request node 10 according to a first embodiment of the present invention. 本発明の第1実施形態に係る証明書発行サーバ20を示すブロック図である。It is a block diagram which shows the certificate issuing server 20 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るサービス提供ノード30を示すブロック図である。It is a block diagram which shows the service provision node 30 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るアクセス制御システム100の動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access control system 100 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るサービス要求ノード10の動作を示すフロー図である。It is a flowchart which shows operation | movement of the service request node 10 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るサービス提供ノード30の動作を示すフロー図である。It is a flowchart which shows operation | movement of the service provision node 30 which concerns on 1st Embodiment of this invention. 本発明の第2実施形態に係るサービス提供ノード30を示すブロック図である。It is a block diagram which shows the service provision node 30 which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るサービス提供ノード30の動作を示すフロー図である(その1)。It is a flowchart which shows operation | movement of the service provision node 30 which concerns on 2nd Embodiment of this invention (the 1). 本発明の第2実施形態に係るサービス提供ノード30の動作を示すフロー図である(その2)。It is a flowchart which shows operation | movement of the service provision node 30 which concerns on 2nd Embodiment of this invention (the 2). 本発明の第3実施形態に係るサービス提供ノード30を示すブロック図である。It is a block diagram which shows the service provision node 30 which concerns on 3rd Embodiment of this invention. 本発明の第3実施形態に係るサービス提供ノード30の動作を示すフロー図である(その1)。It is a flowchart which shows operation | movement of the service provision node 30 which concerns on 3rd Embodiment of this invention (the 1). 本発明の第3実施形態に係るサービス提供ノード30の動作を示すフロー図である(その2)。It is a flowchart which shows operation | movement of the service provision node 30 which concerns on 3rd Embodiment of this invention (the 2).

符号の説明Explanation of symbols

10・・・サービス要求ノード、11・・・通信部、12・・・鍵管理部、13・・・証明書検証部、14・・・認証子保持部、20・・・証明書発行サーバ、21・・・通信部、22・・・鍵管理部、23・・・認証証明書発行部、24・・・認可証明書発行部、30・・・サービス提供ノード、31・・・通信部、32・・・鍵管理部、33・・・認可証明書検証部、34・・・認可証明書保持部、35・・・サービス提供部、36・・・認可証明書保持判定部、37・・・認可証明書保持ノード管理部、100・・・アクセス制御システム   DESCRIPTION OF SYMBOLS 10 ... Service request node, 11 ... Communication part, 12 ... Key management part, 13 ... Certificate verification part, 14 ... Authentication code holding part, 20 ... Certificate issuing server, DESCRIPTION OF SYMBOLS 21 ... Communication part, 22 ... Key management part, 23 ... Authentication certificate issuing part, 24 ... Authorization certificate issuing part, 30 ... Service provision node, 31 ... Communication part, 32 ... Key management unit, 33 ... Authorization certificate verification unit, 34 ... Authorization certificate holding unit, 35 ... Service providing unit, 36 ... Authorization certificate holding determination unit, 37 ...・ Authorization certificate holding node management unit, 100... Access control system

Claims (8)

サービスの利用を要求するサービス要求ノードと、前記サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバと、前記サービスを提供する複数のサービス提供ノードとを含むアクセス制御システムであって、
前記サービス要求ノードは、
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記複数のサービス提供ノード宛てに送信する認可情報送信部と、
前記サービスの利用を要求する場合に、前記サービス提供ノードに前記ノード認証子を送信するノード認証子送信部とを備え、
前記サービス提供ノードは、
前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部を備えることを特徴とするアクセス制御システム。
An access control system including a service request node that requests use of a service, a certificate issuing server that generates authorization information indicating that use of the service is permitted, and a plurality of service providing nodes that provide the service There,
The service request node is:
An authorization information transmitting unit for transmitting the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes;
A node authenticator transmitting unit that transmits the node authenticator to the service providing node when requesting use of the service;
The service providing node is:
A service provision determining unit configured to determine whether to provide the service to the service request node based on the authorization information corresponding to the node authenticator received from the node authenticator transmission unit of the service request node; An access control system characterized by that.
前記サービス提供ノードは、
前記サービス要求ノードの前記認可情報送信部から受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部と、
前記サービス要求ノードの前記認可情報送信部から受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部とをさらに備えることを特徴とする請求項1に記載のアクセス制御システム。
The service providing node is:
An authorization information holding unit that holds the node authenticator received from the authorization information transmission unit of the service request node in association with the authorization information;
The authorization information holding determination unit that determines whether or not the authorization information received from the authorization information transmission unit of the service request node is held in the authorization information holding unit. Access control system.
前記サービス提供ノードは、前記サービス要求ノードの前記ノード認証子送信部から受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部をさらに備えることを特徴とする請求項2に記載のアクセス制御システム。   When the authorization information corresponding to the node authenticator received from the node authenticator transmission unit of the service requesting node is not held in the authorization information holding unit, the service providing node is transferred to another service providing node. The access control system according to claim 2, further comprising an authorization information requesting unit that requests the authorization information corresponding to the node authenticator. 前記サービス提供ノードは、前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部をさらに備えることを特徴とする請求項2に記載のアクセス制御システム。   When the authorization information holding determination unit determines that the service providing node holds the authorization information in the authorization information holding unit, the service providing node sends the authorization information corresponding to the node authenticator to other service providing nodes. The access control system according to claim 2, further comprising an authorization information holding notification unit that notifies that the information is held. サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバと、前記サービスを提供する複数のサービス提供ノードとを含むアクセス制御システムで用いられ、前記サービスの利用を要求するサービス要求ノードであって、
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記複数のサービス提供ノード宛てに送信する認可情報送信部と、
前記サービスの利用を要求する場合に、前記サービス提供ノードに前記ノード認証子を送信するノード認証子送信部とを備えることを特徴とするサービス要求ノード。
A service request used in an access control system including a certificate issuing server that generates authorization information indicating that use of a service is permitted, and a plurality of service providing nodes that provide the service, and requests the use of the service A node,
An authorization information transmitting unit for transmitting the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node to the plurality of service providing nodes;
A service request node, comprising: a node authenticator transmitting unit that transmits the node authenticator to the service providing node when requesting use of the service.
サービスの利用を要求するサービス要求ノードと、前記サービスの利用が許可されたことを示す認可情報を生成する証明書発行サーバとを含むアクセス制御システムで用いられ、前記サービスを提供するサービス提供ノードであって、
前記証明書発行サーバによって生成された前記認可情報と、前記サービス要求ノードを識別するノード識別子を少なくとも含むノード認証子とを前記サービス要求ノードから受信する認可情報受信部と、
前記サービス要求ノードから受信した前記ノード認証子と前記認可情報とを対応付けて保持する認可情報保持部と、
前記サービス要求ノードから受信した前記認可情報を前記認可情報保持部に保持するか否かを判定する認可情報保持判定部と、
前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報に基づいて、前記サービス要求ノードに前記サービスを提供するか否かを判定するサービス提供判定部とを備えることを特徴とするサービス提供ノード。
A service providing node that provides a service used in an access control system including a service request node that requests the use of a service and a certificate issuing server that generates authorization information indicating that the use of the service is permitted There,
An authorization information receiving unit that receives the authorization information generated by the certificate issuing server and a node authenticator including at least a node identifier for identifying the service request node from the service request node;
An authorization information holding unit that holds the node authenticator received from the service request node in association with the authorization information;
An authorization information holding determination unit for determining whether to hold the authorization information received from the service request node in the authorization information holding unit;
A service provision determining unit for determining whether to provide the service to the service request node based on the authorization information corresponding to the node authenticator received from the service request node; Offering node.
前記サービス要求ノードから前記サービスの利用を要求された際に前記サービス要求ノードから受信した前記ノード認証子に対応する前記認可情報が前記認可情報保持部に保持されていない場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を要求する認可情報要求部をさらに備えることを特徴とする請求項6に記載のサービス提供ノード。   When the authorization information corresponding to the node authenticator received from the service request node when the service request node requests use of the service is not held in the authorization information holding unit, another service provision The service providing node according to claim 6, further comprising an authorization information requesting unit that requests the authorization information corresponding to the node authenticator from the node. 前記認可情報を前記認可情報保持部に保持すると前記認可情報保持判定部が判定した場合に、他のサービス提供ノードに対して、前記ノード認証子に対応する前記認可情報を保持していることを通知する認可情報保持通知部をさらに備えることを特徴とする請求項6に記載のサービス提供ノード。

When the authorization information holding determination unit determines that the authorization information is held in the authorization information holding unit, the authorization information corresponding to the node authenticator is held for another service providing node. The service providing node according to claim 6, further comprising an authorization information holding notification unit for notification.

JP2006166448A 2006-06-15 2006-06-15 Access control system, and service request node and service provision node suitable for access control system Pending JP2007334674A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006166448A JP2007334674A (en) 2006-06-15 2006-06-15 Access control system, and service request node and service provision node suitable for access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006166448A JP2007334674A (en) 2006-06-15 2006-06-15 Access control system, and service request node and service provision node suitable for access control system

Publications (1)

Publication Number Publication Date
JP2007334674A true JP2007334674A (en) 2007-12-27

Family

ID=38934092

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006166448A Pending JP2007334674A (en) 2006-06-15 2006-06-15 Access control system, and service request node and service provision node suitable for access control system

Country Status (1)

Country Link
JP (1) JP2007334674A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010518758A (en) * 2007-02-09 2010-05-27 ソニー株式会社 Method and apparatus for authorizing a communication interface
CN102264687A (en) * 2008-12-26 2011-11-30 三菱化学株式会社 Process for producing dialkyl carbonate

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996007256A1 (en) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Certifying system
JP2000036809A (en) * 1998-07-17 2000-02-02 Hitachi Ltd Method for simply authenticating user and record medium with its program stored therein
JP2002269041A (en) * 2001-03-09 2002-09-20 Dainippon Printing Co Ltd Information distributing server device
JP2004362233A (en) * 2003-06-04 2004-12-24 Nippon Telegr & Teleph Corp <Ntt> Information providing method and easy access device for enabling information provision
JP2005227857A (en) * 2004-02-10 2005-08-25 Matsushita Electric Ind Co Ltd Information appliance and information appliance system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996007256A1 (en) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Certifying system
JP2000036809A (en) * 1998-07-17 2000-02-02 Hitachi Ltd Method for simply authenticating user and record medium with its program stored therein
JP2002269041A (en) * 2001-03-09 2002-09-20 Dainippon Printing Co Ltd Information distributing server device
JP2004362233A (en) * 2003-06-04 2004-12-24 Nippon Telegr & Teleph Corp <Ntt> Information providing method and easy access device for enabling information provision
JP2005227857A (en) * 2004-02-10 2005-08-25 Matsushita Electric Ind Co Ltd Information appliance and information appliance system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010518758A (en) * 2007-02-09 2010-05-27 ソニー株式会社 Method and apparatus for authorizing a communication interface
CN102264687A (en) * 2008-12-26 2011-11-30 三菱化学株式会社 Process for producing dialkyl carbonate

Similar Documents

Publication Publication Date Title
EP1696602B1 (en) Cryptographic communication system and method
KR102290342B1 (en) Digital certificate management method and device
US7949703B2 (en) Group admission system and server and client therefor
US7386722B2 (en) Certificate management system and method
JP4810577B2 (en) Method and apparatus for temporary use of DRM content
EP1791361A1 (en) Content distribution management device
JP2005102163A (en) Equipment authentication system, server, method and program, terminal and storage medium
CN101772024B (en) User identification method, device and system
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
JP2009526287A (en) Method and apparatus for generating rights object on behalf by rights delegation
US8054975B2 (en) Method and system for managing key of home device in broadcast encryption (BE) system
JP2009033721A (en) Group subordinate terminal, group administrative terminal, server, key updating system and key updating method thereof
JP2007226470A (en) Authority management server, authority management method, and authority management program
JP2020513169A (en) Data encryption method and system using device authentication key
JP2005322033A (en) Information distribution system, information distribution server, terminal appliance, information distribution method, information reception method, information processing program and storage medium
JP2009217522A (en) System and method for providing personal attribute information
JP2007334674A (en) Access control system, and service request node and service provision node suitable for access control system
KR20050011181A (en) Content right security system and method thereof
JP2007310619A (en) Authentication method and authentication system using the same
JP3914193B2 (en) Method for performing encrypted communication with authentication, authentication system and method
KR100989371B1 (en) DRM security mechanism for the personal home domain
KR101165350B1 (en) An Authentication Method of Device Member In Ubiquitous Computing Network
JP2007281892A (en) Device and method of forming secret key
WO2020044667A1 (en) Communication device, communication system, communication method and computer program
JP6353412B2 (en) ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100615

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110104