JP2009193336A - 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 - Google Patents

処理分散システム、認証サーバ、分散サーバ及び処理分散方法 Download PDF

Info

Publication number
JP2009193336A
JP2009193336A JP2008033333A JP2008033333A JP2009193336A JP 2009193336 A JP2009193336 A JP 2009193336A JP 2008033333 A JP2008033333 A JP 2008033333A JP 2008033333 A JP2008033333 A JP 2008033333A JP 2009193336 A JP2009193336 A JP 2009193336A
Authority
JP
Japan
Prior art keywords
authentication
server
user
identification information
user identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008033333A
Other languages
English (en)
Other versions
JP4344957B2 (ja
Inventor
Masaru Inaba
勝 稲葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008033333A priority Critical patent/JP4344957B2/ja
Priority to PCT/JP2009/050923 priority patent/WO2009101848A1/ja
Priority to EP09710803A priority patent/EP2246800A1/en
Priority to US12/811,904 priority patent/US20110010544A1/en
Priority to CN2009801044894A priority patent/CN101939751A/zh
Priority to TW098104185A priority patent/TW200948016A/zh
Publication of JP2009193336A publication Critical patent/JP2009193336A/ja
Application granted granted Critical
Publication of JP4344957B2 publication Critical patent/JP4344957B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】効率の良い認証処理分散を行う。
【解決手段】クライアント100との間においてクライアント100を利用する利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行うRADIUSサーバ400−1にて、クライアント100から送信されてきたユーザIDが、データベース500−1内に存在しない場合、ユーザIDとTLSパラメータとを、転送要求信号に含めて分散サーバ200へ送信し、データベース300にて転送要求信号に含まれるユーザIDと対応付けられた認証サーバ識別情報を検索し、ユーザIDとTLSパラメータとを検索された認証サーバ識別情報が付与されたRADIUSサーバ400−2へ送信する。
【選択図】図1

Description

本発明は、認証処理を分散させる処理分散システム、認証サーバ、分散サーバ及び処理分散方法に関する。
近年、ネットワークやシステムを利用するために、当該ネットワークやシステムにアクセスしてきた利用者(ユーザ)の認証処理を行い、認証に成功したユーザに対してのみ、当該ネットワークやシステムの利用を許可するものが多くなってきている。
また、多くのユーザの認証処理を行うには認証サーバにおける処理負荷が大きくなってしまう。そのため、その処理負荷を軽減するために、複数の認証サーバを設け、ユーザプロファイルデータベースを分割して、それぞれを認証サーバが所持し、それぞれに応じた認証サーバにて認証処理を行う方式がある。
例えば、端末から送信されてきたユーザIDに対応する認証サーバへ、当該ユーザの認証処理を振り分ける技術が考えられている(例えば、特許文献1参照。)。
図11は、一般的な処理分散システムの一形態を示す図である。
図11に示した処理分散システムにおいては、利用者のユーザプロファイルデータをRADIUSサーバ4000−1〜4000−3にそれぞれ接続されたデータベース5000−1〜5000−3に予め分散しておく。そのため、データベース5000−1〜5000−3で所持するユーザプロファイルデータに重なりを持たない状態となる。
図11に示した処理分散システムに、当該システムを利用する利用者によってクライアント1000から認証要求が行われると(矢印AA)、認証要求を行うためにクライアント1000から送信された認証要求信号が分散サーバ2000にて受信される。分散サーバ2000では、受信された認証要求信号に含まれるRADIUSのUSER−NAMEアトリビュートに格納されている利用者を識別するための利用者識別情報であるユーザIDが抽出される。そして、抽出されたユーザIDに基づいて当該利用者を認証するための(当該利用者のユーザプロファイルデータが格納されたデータベースに接続された)認証サーバがRADIUSサーバ4000−1〜4000−3の中から選択される。これは、分散サーバ2000に接続されたデータベース3000に予め格納されている、ユーザIDとRADIUSサーバ4000−1〜4000−3それぞれを識別するための認証サーバ識別情報との対応付けに基づいて選択されるものである。
ここでは、認証要求を行った利用者を認証するための認証サーバが、RADIUSサーバ4000−1である場合を例に挙げる。分散サーバ2000にてRADIUSサーバ4000−1が選択され、クライアント1000から送信された認証要求信号がRADIUSサーバ4000−1へ転送される(矢印BB)。そして、RADIUSサーバ4000−1にて利用者の認証が行われる。
特開2006−11989号公報
しかしながら、上述した技術においては、EAP(Extensible Authentication Protocol)−TTLS(Tunneled Transport Layer Security)認証方式のように、RADIUSのUSER−NAMEアトリビュートに擬似IDを格納する場合には、ユーザIDを分散サーバにて認識することができない。つまり、擬似IDをRADIUSのUSER−NAMEアトリビュートに格納してしまうと、分散サーバにてクライアントの本来のユーザIDを認識することができない。そのため、分散サーバにて認証要求信号を送信した利用者を認証するための転送先の認証サーバを選択することができないという問題点がある。
また、RADIUSプロトコルの後継となるDiameterプロトコルでは、Redirect−Host AVPにより、認証要求信号である認証パケットを他の認証サーバに転送する仕組みが考えられている。この仕組みにより、上述した問題点に対応することができるが、認証処理の認証手順を最初からやり直す必要があり、認証処理の効率が悪くなってしまうという問題点がある。
本発明は、上述した課題を解決する処理分散システム、認証サーバ、分散サーバ及び処理分散方法を提供することを目的とする。
上記目的を達成するために本発明は、
利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバと、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバとを有してなる処理分散システムにおいて、
前記認証サーバは、前記端末から前記分散サーバを介して送信されてきた前記利用者に固有に付与された利用者識別情報が、当該認証サーバに接続された認証データベース内に存在するかどうかを判断し、前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて前記分散サーバへ送信し、
前記分散サーバは、前記認証サーバから送信されてきた前記転送要求信号に含まれる前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索し、前記利用者識別情報と前記TLSパラメータとを前記検索された認証サーバ識別情報が付与された認証サーバへ送信することを特徴とする。
また、端末を操作する利用者の認証を、前記端末との間において予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う認証サーバであって、
前記端末から送信されてきた認証を要求する認証要求信号を復号化し、復号化された認証要求信号から前記利用者に固有に付与された利用者識別情報を抽出する暗号化/復号化部と、
前記暗号化/復号化部にて抽出された利用者識別情報が当該認証サーバに接続された認証データベース内に存在するかどうかを判断する認証部と、
前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて当該認証サーバに接続された分散サーバへ送信する分散サーバインタフェース部とを有する。
また、利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバとに接続され、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバであって、
前記認証サーバから送信されてきた前記利用者に固有に付与された利用者識別情報の転送要求を示す転送要求信号から前記利用者識別情報を抽出する認証サーバインタフェース部と、
前記認証サーバインタフェース部にて抽出された前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索するサーバ選択部とを有し、
前記認証サーバインタフェース部は、前記利用者識別情報と前記認証サーバから送信されてきた前記TLSパラメータとを、前記サーバ選択部にて検索された認証サーバ識別情報が付与された認証サーバへ送信する。
また、利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバと、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバとを有してなる処理分散システムにおける処理分散方法であって、
前記認証サーバが、前記端末から前記分散サーバを介して送信されてきた前記利用者に固有に付与された利用者識別情報が、当該認証サーバに接続された認証データベース内に存在するかどうかを判断する処理と、
前記認証サーバが、前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて前記分散サーバへ送信する処理と、
前記分散サーバが、前記認証サーバから送信されてきた前記転送要求信号に含まれる前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索する処理と、
前記分散サーバが、前記利用者識別情報と前記TLSパラメータとを前記検索された認証サーバ識別情報が付与された認証サーバへ送信する処理とを有する。
以上説明したように本発明においては、端末との間において端末を利用する利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う認証サーバにて、端末から送信されてきた利用者識別情報が、当該認証サーバに接続された認証データベース内に存在しない場合、利用者識別情報とTLSパラメータとを、転送要求信号に含めて当該認証サーバに接続された分散サーバへ送信し、分散サーバにて、当該分散サーバに接続された分散サーバデータベースにて転送要求信号に含まれる利用者識別情報と対応付けられた認証サーバ識別情報を検索し、利用者識別情報とTLSパラメータとを検索された認証サーバ識別情報が付与された認証サーバへ送信する構成としたため、効率の良い認証処理分散を行うことができる。
以下に、本発明の実施の形態について図面を参照して説明する。
図1は、本発明の処理分散システムの実施の一形態を示す図である。
本形態は図1に示すように、クライアント100と、分散サーバ200と、データベース300と、RADIUSサーバ400−1〜400−3と、データベース500−1〜500−3とから構成されている。ここで、RADIUSサーバ400−1〜400−3及びデータベース500−1〜500−3それぞれが3つずつの形態を例に挙げて説明するが、それぞれが2つまたは4つ以上のものであっても良いことは言うまでもない。
クライアント100は、利用者が認証要求するために操作する端末であり、情報を入力するための入力機能及び通信を行うための通信機能を具備する。
分散サーバ200は、利用者の認証処理をRADIUSサーバ400−1〜400−3に分散する。
図2は、図1に示した分散サーバ200の一構成例を示す図である。
図1に示した分散サーバ200には図2に示すように、クライアントインタフェース部201と、RADIUSサーバインタフェース部202と、サーバ選択部203とが設けられている。なお、図2には、本発明に関わる構成要素のみを示した。
クライアントインタフェース部201は、図1に示したクライアント100とのインタフェース機能を有し、クライアント100との間にて信号の送受信を行う。クライアントインタフェース部201は、クライアント100から送信されてきた信号をRADIUSサーバインタフェース202へ出力する。また、クライアントインタフェース部201は、RADIUSサーバインタフェース202から出力された信号のうちクライアント100へ送信すべき信号をクライアント100へ送信する。
RADIUSサーバインタフェース部202は、図1に示したRADIUSサーバ400−1〜400−3とのインタフェース機能を有し、RADIUSサーバ400−1〜400−3との間にて信号の送受信を行う認証サーバインタフェース部である。また、RADIUSサーバインタフェース部202は、RADIUSサーバ400−1〜400−3から認証要求信号の転送要求を示す転送要求信号が送信されてきた場合、当該転送要求信号に含まれる利用者を識別するための利用者識別情報であるユーザIDを抽出してサーバ選択部203へ出力する。また、RADIUSサーバインタフェース部202は、サーバ選択部203におけるRADIUSサーバの検索結果に基づいて、RADIUSサーバ400−1〜400−3のいずれか1つのRADIUSサーバへ認証要求信号を転送する。また、RADIUSサーバインタフェース部202は、クライアントインタフェース部201から出力された信号をRADIUSサーバ400−1〜400−3のいずれか1つの適当なRADIUSサーバへ送信する。また、RADIUSサーバインタフェース部202は、RADIUSサーバ400−1〜400−3から送信されてきた転送要求信号以外の信号をクライアントインタフェース部201へ出力する。
サーバ選択部203は、RADIUSサーバインタフェース部202から出力されたユーザIDに基づいて、データベース300に格納されている情報を検索し、RADIUSサーバ400−1〜400−3のうちから認証要求信号を転送するRADIUSサーバを選択する。
また、データベース300は、分散サーバ200に接続され、分散サーバ200にて利用者の認証処理をどのRADIUSサーバ400−1〜400−3に分散するかを判断する情報を格納する分散サーバデータベースである。データベース300は、上記の情報として対応付け情報と認証サーバ情報とを格納する。
図3は、図1に示したデータベース300に格納されている対応付け情報の一例を示す図である。また、図4は、図1に示したデータベース300に格納されている認証サーバ情報の一例を示す図である。
図1に示したデータベース300に格納されている対応付け情報は図3に示すように、利用者を識別するために利用者固有に付与された利用者識別情報であるユーザIDと、RADIUSサーバ400−1〜400−3を識別するためにRADIUSサーバ固有に付与された認証サーバ識別情報である認証サーバ番号とが対応付けられたものである。これは、利用者のユーザプロファイルデータがどのRADIUSサーバ400−1〜400−3にそれぞれ接続されたデータベース500−1〜500−3に格納されているかを示す情報である。つまり、利用者がどのRADIUSサーバ400−1〜400−3にて認証を行えば良いかを示す情報である。
例えば、ユーザID「ユーザ1」と認証サーバ番号「サーバ1」とが対応付けられている。これは、ユーザIDが「ユーザ1」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ1」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ2」と認証サーバ番号「サーバ1」とが対応付けられている。これは、ユーザIDが「ユーザ2」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ1」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ3」と認証サーバ番号「サーバ1」とが対応付けられている。これは、ユーザIDが「ユーザ3」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ1」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ4」と認証サーバ番号「サーバ2」とが対応付けられている。これは、ユーザIDが「ユーザ4」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ2」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ5」と認証サーバ番号「サーバ2」とが対応付けられている。これは、ユーザIDが「ユーザ5」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ2」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ6」と認証サーバ番号「サーバ3」とが対応付けられている。これは、ユーザIDが「ユーザ6」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ3」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ7」と認証サーバ番号「サーバ3」とが対応付けられている。これは、ユーザIDが「ユーザ7」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ3」であるRADIUSサーバであることを示している。また、ユーザID「ユーザ8」と認証サーバ番号「サーバ3」とが対応付けられている。これは、ユーザIDが「ユーザ8」である利用者の認証を行うRADIUSサーバは、認証サーバ番号が「サーバ3」であるRADIUSサーバであることを示している。
サーバ選択部203が、この対応付け情報を参照することにより、RADIUSサーバインタフェース部202から出力されたユーザIDに基づいて、当該ユーザIDである利用者の認証を行うRADIUSサーバを選択することができる。
また、図1に示したデータベース300に格納されている認証サーバ情報は図4に示すように、上述した認証サーバ番号と、当該認証サーバのIPアドレスとが対応付けられたものである。これは、利用者が認証を行うRADIUSサーバのIPアドレスを示す情報である。
例えば、認証サーバ番号「サーバ1」とIPアドレス「x.y.z.w1」とが対応付けられている。これは、認証サーバ番号が「サーバ1」であるRADIUSサーバのIPアドレスは、「x.y.z.w1」であることを示している。また、認証サーバ番号「サーバ2」とIPアドレス「x.y.z.w2」とが対応付けられている。これは、認証サーバ番号が「サーバ2」であるRADIUSサーバのIPアドレスは、「x.y.z.w2」であることを示している。また、認証サーバ番号「サーバ3」とIPアドレス「x.y.z.w3」とが対応付けられている。これは、認証サーバ番号が「サーバ3」であるRADIUSサーバのIPアドレスは、「x.y.z.w3」であることを示している。
サーバ選択部203が、この対応付け情報を参照して、当該ユーザIDである利用者の認証を行うRADIUSサーバを選択した後、当該RADIUSサーバのIPアドレスを取得することができる。
また、RADIUSサーバ400−1〜400−3は、利用者を認証する認証サーバである。
図5は、図1に示したRADIUSサーバ400−1の一構成例を示す図である。なお、図1に示したRADIUSサーバ400−2〜400−3についても、RADIUSサーバ400−1と同じ構成である。
図1に示したRADIUSサーバ400−1には図5に示すように、分散サーバインタフェース部411と、暗号化/復号化部412と、認証部413とが設けられている。なお、図5には、本発明に関わる構成要素のみを示した。
分散サーバインタフェース部411は、図1に示した分散サーバ200とのインタフェース機能を有し、分散サーバ200との間にて信号の送受信を行う。また、分散サーバインタフェース部411は、クライアント100との間で暗号通信であるTLS(Transport Layer Security)トンネル通信を行う際に、クライアント100から暗号化されて分散サーバ200を介して送信されてきた認証要求信号を暗号化/復号化部412へ出力する。また、分散サーバインタフェース部411は、上述した転送要求信号にTLSパラメータと認証部413から出力されたユーザIDとを含めて分散サーバ200へ送信する。ここで、TLSパラメータとは、TLSトンネル通信を行う際に、認証要求信号等の信号を暗号化/復号化するためのパラメータであり、認証に先立ち、RADIUSサーバ400−1とクライアント100との間におけるTLSハンドシェイクにて取得済みのものである。例えば、Master-Secret(暗号鍵を生成するための乱数)やCipher-Suite(暗号アルゴリズムとハッシュアルゴリズムとの組)やCompression-Method(圧縮方法)が用いられる。また、分散サーバインタフェース部411は、暗号化/復号化部412から出力された信号を分散サーバ200を介してクライアント100へ送信(トンネル通信)する。
暗号化/復号化部412は、分散サーバインタフェース部411から出力された認証要求信号等の信号をTLSパラメータを用いて復号化する。また、復号化された認証要求信号からユーザIDを抽出して認証部413へ出力する。また、認証部413から出力された認証応答信号を暗号化して分散サーバインタフェース部411へ出力する。
認証部413は、暗号化/復号化部412から出力された認証要求信号を認証する。具体的には、データベース500−1を参照し、当該認証要求信号に含まれるユーザIDと同一のユーザIDがデータベース500−1に存在する場合、認証応答信号の1つとしてパスワードを要求するパスワード要求信号を暗号化/復号化部412へ出力する。また、パスワード要求信号に応じたパスワードが暗号化/復号化部412から出力されてきた場合、当該パスワードが、データベース500−1にて当該ユーザIDに対応付けられているパスワードであるかどうかを判断することによりユーザIDの認証を行う。暗号化/復号化部412から出力されてきたパスワードが、データベース500−1にて当該ユーザIDに対応付けられているパスワードである場合、認証成功を示す認証応答信号を暗号化/復号化部412へ出力する。また、当該認証要求信号に含まれるユーザIDと同一のユーザIDがデータベース500−1に存在しない場合、当該ユーザIDを分散サーバインタフェース部411へ出力する。
また、データベース500−1〜500−3は、利用者のユーザIDとパスワードとを対応付けて格納する認証サーバデータベースである。ここで、図1に示したデータベース300には、図3に示した対応付け情報が格納されている場合を例に挙げて説明する。
図6は、図1に示したデータベース500−1に格納された情報の一例を示す図である。
図1に示したデータベース500−1に格納された情報は図6に示すように、ユーザID「ユーザ1」とパスワード「パスワード1」とが対応付けられている。これは、ユーザIDが「ユーザ1」である利用者のパスワードは、「パスワード1」であることを示している。また、ユーザID「ユーザ2」とパスワード「パスワード2」とが対応付けられている。これは、ユーザIDが「ユーザ2」である利用者のパスワードは、「パスワード2」であることを示している。また、ユーザID「ユーザ3」とパスワード「パスワード3」とが対応付けられている。これは、ユーザIDが「ユーザ3」である利用者のパスワードは、「パスワード3」であることを示している。データベース500−1は、ユーザ1、ユーザ2及びユーザ3のユーザプロファイルデータを格納している。
図7は、図1に示したデータベース500−2に格納された情報の一例を示す図である。
図1に示したデータベース500−2に格納された情報は図7に示すように、ユーザID「ユーザ4」とパスワード「パスワード4」とが対応付けられている。これは、ユーザIDが「ユーザ4」である利用者のパスワードは、「パスワード4」であることを示している。また、ユーザID「ユーザ5」とパスワード「パスワード5」とが対応付けられている。これは、ユーザIDが「ユーザ5」である利用者のパスワードは、「パスワード5」であることを示している。データベース500−2は、ユーザ4及びユーザ5のユーザプロファイルデータを格納している。
図8は、図1に示したデータベース500−3に格納された情報の一例を示す図である。
図1に示したデータベース500−3に格納された情報は図8に示すように、ユーザID「ユーザ6」とパスワード「パスワード6」とが対応付けられている。これは、ユーザIDが「ユーザ6」である利用者のパスワードは、「パスワード6」であることを示している。また、ユーザID「ユーザ7」とパスワード「パスワード7」とが対応付けられている。これは、ユーザIDが「ユーザ7」である利用者のパスワードは、「パスワード7」であることを示している。また、ユーザID「ユーザ8」とパスワード「パスワード8」とが対応付けられている。これは、ユーザIDが「ユーザ8」である利用者のパスワードは、「パスワード8」であることを示している。データベース500−3は、ユーザ6、ユーザ7及びユーザ8のユーザプロファイルデータを格納している。
以下に、上述した形態における処理分散方法について説明する。まずは、クライアント100を操作する利用者が、ユーザIDが「ユーザ1」である利用者である場合を例に挙げて説明する。
図9は、図1〜8に示した形態における処理分散方法のうち、利用者が、ユーザIDが「ユーザ1」である利用者である場合の処理分散方法を説明するためのシーケンス図である。
まず、クライアント100とRADIUSサーバ400−1〜400−3のいずれか1つとの間にてTLSハンドシェイクを行っておく。これは、クライアント100とRADIUSサーバ400−1〜400−3との間にてTLSトンネル通信と呼ばれる暗号通信の準備である。クライアント100から要求信号であるAccess-Requestが分散サーバ200へ送信されると、分散サーバ200のRADIUSサーバインタフェース部202にてAccess-Requestの転送先としてRADIUSサーバ400−1〜400−3のうちから1つが決定され、転送先に決定されたRADIUSサーバへAccess-Requestが転送される(ステップS1,S3)。この段階では擬似IDが使用されているため、データベース300を利用してユーザ1のデータを保有するRADIUSサーバを決定できない。そのため、この転送先の決定方法は、ランダムに決定するものであっても良いし、ラウンドロビン等の所定の規則性を持った決定方法であっても良い。ここでは、転送先がRADIUSサーバ400−1に決定された場合を例に挙げて説明する。
転送されたAccess-RequestがRADIUSサーバ400−1にて受信されると、受信されたAccess-Requestに対応する応答信号であるAccess-Challengeが、RADIUSサーバ400−1から分散サーバ200を介してクライアント100へ送信される(ステップS2,S4)。このTLSハンドシェイクは一般的なものと同様である。また、このTLSハンドシェイク時に、TLSトンネル通信を行う際に必要なTLSパラメータであるMaster-SecretやCipher-SuiteやCompression-Methodがクライアント100とRADIUSサーバ400−1との間にてやり取りされ、クライアント100とRADIUSサーバ400−1とで取得されている。
その後、クライアント100とRADIUSサーバ400−1との間にてトンネル内認証処理が行われる。クライアント100から認証要求信号であるAccess-Requestが分散サーバ200を介して送信されると(ステップS5)、RADIUSサーバ400−1の分散サーバインタフェース部411にて受信された認証要求信号が暗号化/復号化部412にてTLSパラメータを用いて復号化される。また、暗号化/復号化部412にて復号化された認証要求信号からユーザIDが抽出され、この段階で初めてユーザIDが特定される。抽出されたユーザIDは、暗号化/復号化部412から認証部413へ出力される。
認証部413にてデータベース500−1が参照され、暗号化/復号化部412から出力されてきたユーザIDと同一のユーザIDがデータベース500−1の中から検索される。ここでは、利用者が、ユーザIDが「ユーザ1」である利用者である場合を例に挙げているため、データベース500−1の中に当該ユーザIDが検索される。
認証部413にてデータベース500−1の中に当該ユーザIDが検索されると、認証応答信号であるAccess-Challengeが分散サーバインタフェース部411から分散サーバ200を介してクライアント100へ送信される(ステップS6)。
その後、クライアント100とRADIUSサーバ400−1との間にて、パスワード等を含んだパケットが交換され、認証が完了する(ステップS7,S8)。
次に、クライアント100を操作する利用者が、ユーザIDが「ユーザ4」である利用者である場合を例に挙げて説明する。
図10は、図1〜8に示した形態における処理分散方法のうち、利用者が、ユーザIDが「ユーザ4」である利用者である場合の処理分散方法を説明するためのシーケンス図である。また、ここでは、データベース300に格納されている認証サーバ番号が「サーバ2」であるサーバは、RADIUSサーバ400−2とする。
まず、ステップS1〜S4と同様に、クライアント100とRADIUSサーバ400−1〜400−3のいずれか1つとの間にてTLSトンネル通信と呼ばれる暗号通信の準備がTLSハンドシェイクを用いて行われる(ステップS11〜S14)。これは、上述したステップS1〜S4における処理と同じである。また、上述した例と同様に、転送先がRADIUSサーバ400−1に決定された場合を例に挙げて説明する。
その後、クライアント100とRADIUSサーバ400−1との間にてトンネル内認証処理が行われる。クライアント100から認証要求信号であるAccess-Requestが分散サーバ200を介して送信されると(ステップS15、図1に示した矢印A及びB)、RADIUSサーバ400−1の分散サーバインタフェース部411にて受信された認証要求信号が暗号化/復号化部412にてTLSパラメータを用いて復号化される。また、暗号化/復号化部412にて復号化された認証要求信号からユーザIDが抽出される。抽出されたユーザIDは、暗号化/復号化部412から認証部413へ出力される。
認証部413にてデータベース500−1が参照され、暗号化/復号化部412から出力されてきたユーザIDと同一のユーザIDがデータベース500−1の中から検索される。ここでは、利用者が、ユーザIDが「ユーザ4」である利用者である場合を例に挙げているため、データベース500−1の中に当該ユーザIDが検索されない。
すると、認証部413から分散サーバインタフェース部411へ当該ユーザIDが出力される。そして、当該ユーザIDと上述したTLSパラメータとが含まれたAccess-Rejectに転送要求を意味するアトリビュートが付与された転送要求信号が分散サーバインタフェース部411から分散サーバ200へ送信される(ステップS16、図1に示した矢印C)。この際のアトリビュートは、RADIUSの標準アトリビュートでは対応できないためVendor Specific Attribute にて固有のアトリビュートを使用する。必要なアトリビュートは以下の内容となる。
・Access-Rejectに付いていたら転送要求を意味する(Diameter Redirect-Host AVPと同様)。
・TLSのMaster-Secretを格納する。
・TLSのCipher-Suiteを格納する。
・TLSのCompression-Methodを格納する。
・TLSトンネル内認証にて受け取ったユーザIDを格納する。
RADIUSサーバ400−1の分散サーバインタフェース部411から送信された転送要求信号が分散サーバ200のRADIUSサーバインタフェース部202にて受信されると、受信した転送要求信号からユーザIDがRADIUSサーバインタフェース部202にて抽出される。抽出されたユーザIDは、RADIUSサーバインタフェース部202からサーバ選択部203へ出力される。
そして、サーバ選択部203にて、抽出されたユーザIDに基づいてRADIUSサーバ400−1〜400−3から転送先のRADIUSサーバが検索される。具体的には、データベース300が参照され、データベース300の対応付け情報から、抽出されたユーザIDに対応付けられた認証サーバ番号が取得される。また、サーバ選択部203にて、データベース300の認証サーバ情報から、取得された認証サーバ番号のIPアドレスが取得される。ここでは、ユーザIDが「ユーザ4」であるため、認証サーバ番号「サーバ2」(RADIUSサーバ400−2)が取得される。また、認証サーバ番号として「サーバ2」が取得されたため、IPアドレス「x.y.z.w2」が取得される。取得されたIPアドレスが、サーバ選択部203からRADIUSサーバインタフェース部202へ出力される。
そして、RADIUSサーバインタフェース部202にて、TLSパラメータを格納したアトリビュートとユーザIDを格納したアトリビュートとがAccess-Requestに付加される。その後、当該Access-RequestがRADIUSサーバインタフェース部202から、サーバ選択部203から出力されたIPアドレスを有するRADIUSサーバ400−2へ送信される(ステップS17、図1に示した矢印D)。
RADIUSサーバ400−2にて、上記で追加されたアトリビュートがあることが判別されると、共に追加されたTLSパラメータを流用することによりクライアント100とRADIUSサーバ400−2の間でハンドシェイクを行い直す必要がなく、TLSハンドシェイク後の認証パケットでTLSトンネル内認証の開始として扱う。RADIUSサーバ400−2から認証結果が分散サーバ200を介してクライアント100へ送信される(ステップS18、図1に示した矢印E,F)。以後、クライアント100、分散サーバ200、RADIUSサーバ400−2の間でパケットが交換され(ステップS19,S20)、認証が完了する。
なお、ユーザIDは、利用者固有に付与されたものを例に挙げて説明したが、クライアント100の端末固有に付与されたものであっても良い。
また、データベース300は、分散サーバ200に含まれるものであっても良い。また、データベース500−1〜500−3それぞれは、RADIUSサーバ400−1〜400−3それぞれに含まれるものであっても良い。
以上説明したように、EAP−TTLS認証方式のようにメッセージ交換の初期段階ではユーザIDを認識することができない場合に、TLSハンドシェイクで得た情報を転送することにより、認証手順を最初からやり直すことなく、他の認証サーバにて認証を継続できるため、効率よく処理分散が行うことができる。
本発明の処理分散システムの実施の一形態を示す図である。 図1に示した分散サーバの一構成例を示す図である。 図1に示したデータベースに格納されている対応付け情報の一例を示す図である。 図1に示したデータベースに格納されている認証サーバ情報の一例を示す図である。 図1に示したRADIUSサーバの一構成例を示す図である。 図1に示したデータベースに格納された情報の一例を示す図である。 図1に示したデータベースに格納された情報の一例を示す図である。 図1に示したデータベースに格納された情報の一例を示す図である。 図1〜8に示した形態における処理分散方法のうち、利用者が、ユーザIDが「ユーザ1」である利用者である場合の処理分散方法を説明するためのシーケンス図である。 図1〜8に示した形態における処理分散方法のうち、利用者が、ユーザIDが「ユーザ4」である利用者である場合の処理分散方法を説明するためのシーケンス図である。 一般的な処理分散システムの一形態を示す図である。
符号の説明
100 クライアント
200 分散サーバ
201 クライアントインタフェース部
202 RADIUSサーバインタフェース部
203 サーバ選択部
300,500−1〜500−3 データベース
400−1〜400−3 RADIUSサーバ
411 分散サーバインタフェース部
412 暗号化/復号化部
413 認証部

Claims (11)

  1. 利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバと、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバとを有してなる処理分散システムにおいて、
    前記認証サーバは、前記端末から前記分散サーバを介して送信されてきた前記利用者に固有に付与された利用者識別情報が、当該認証サーバに接続された認証データベース内に存在するかどうかを判断し、前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて前記分散サーバへ送信し、
    前記分散サーバは、前記認証サーバから送信されてきた前記転送要求信号に含まれる前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索し、前記利用者識別情報と前記TLSパラメータとを前記検索された認証サーバ識別情報が付与された認証サーバへ送信することを特徴とする処理分散システム。
  2. 請求項1に記載の処理分散システムにおいて、
    前記認証サーバは、前記端末から前記分散サーバを介して送信されてきた認証を要求する認証要求信号から前記利用者識別情報を抽出し、前記抽出された利用者識別情報が前記認証データベース内に存在するかどうかを判断することを特徴とする処理分散システム。
  3. 請求項2に記載の処理分散システムにおいて、
    前記認証サーバは、
    前記端末から前記分散サーバを介して送信されてきた前記認証要求信号を復号化し、復号化された認証要求信号から前記利用者識別情報を抽出する暗号化/復号化部と、
    前記暗号化/復号化部にて抽出された利用者識別情報が前記認証データベース内に存在するかどうかを判断する認証部と、
    前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記転送要求信号に含めて前記分散サーバへ送信する分散サーバインタフェース部とを有し、
    前記分散サーバは、
    前記認証サーバから送信されてきた前記転送要求信号から前記利用者識別情報を抽出する認証サーバインタフェース部と、
    前記認証サーバインタフェース部にて抽出された前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索するサーバ選択部とを有し、
    前記認証サーバインタフェース部は、前記サーバ選択部にて検索された認証サーバ識別情報が付与された認証サーバへ前記利用者識別情報と前記TLSパラメータとを送信することを特徴とする処理分散システム。
  4. 請求項1または請求項2に記載の処理分散システムにおいて、
    前記認証サーバは、前記認証サーバデータベースを具備することを特徴とする処理分散システム。
  5. 請求項1または請求項2に記載の処理分散システムにおいて、
    前記分散サーバは、前記分散サーバデータベースを具備することを特徴とする処理分散システム。
  6. 端末を操作する利用者の認証を、前記端末との間において予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う認証サーバであって、
    前記端末から送信されてきた認証を要求する認証要求信号を復号化し、復号化された認証要求信号から前記利用者に固有に付与された利用者識別情報を抽出する暗号化/復号化部と、
    前記暗号化/復号化部にて抽出された利用者識別情報が当該認証サーバに接続された認証データベース内に存在するかどうかを判断する認証部と、
    前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて当該認証サーバに接続された分散サーバへ送信する分散サーバインタフェース部とを有する認証サーバ。
  7. 請求項6に記載の認証サーバにおいて、
    前記認証サーバデータベースを具備することを特徴とする認証サーバ。
  8. 利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバとに接続され、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバであって、
    前記認証サーバから送信されてきた前記利用者に固有に付与された利用者識別情報の転送要求を示す転送要求信号から前記利用者識別情報を抽出する認証サーバインタフェース部と、
    前記認証サーバインタフェース部にて抽出された前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索するサーバ選択部とを有し、
    前記認証サーバインタフェース部は、前記利用者識別情報と前記認証サーバから送信されてきた前記TLSパラメータとを、前記サーバ選択部にて検索された認証サーバ識別情報が付与された認証サーバへ送信する分散サーバ。
  9. 請求項8に記載の分散サーバにおいて、
    前記分散サーバデータベースを具備することを特徴とする分散サーバ。
  10. 利用者が操作する端末と、該端末との間において前記利用者の認証処理を予め取得したTLSパラメータを用いたTLSトンネル内認証によって行う複数の認証サーバと、前記認証処理を前記複数の認証サーバのうち1つの認証サーバへ分散させる分散サーバとを有してなる処理分散システムにおける処理分散方法であって、
    前記認証サーバが、前記端末から前記分散サーバを介して送信されてきた前記利用者に固有に付与された利用者識別情報が、当該認証サーバに接続された認証データベース内に存在するかどうかを判断する処理と、
    前記認証サーバが、前記利用者識別情報が前記認証データベース内に存在しないと判断した場合、前記利用者識別情報と前記TLSパラメータとを、前記利用者識別情報の転送要求を示す転送要求信号に含めて前記分散サーバへ送信する処理と、
    前記分散サーバが、前記認証サーバから送信されてきた前記転送要求信号に含まれる前記利用者識別情報に基づいて、当該分散サーバに接続された分散サーバデータベースにて前記利用者識別情報と対応付けられた認証サーバ識別情報を検索する処理と、
    前記分散サーバが、前記利用者識別情報と前記TLSパラメータとを前記検索された認証サーバ識別情報が付与された認証サーバへ送信する処理とを有する処理分散方法。
  11. 請求項10に記載の処理分散方法において、
    前記認証サーバが、前記端末から前記分散サーバを介して送信されてきた認証を要求する認証要求信号から前記利用者識別情報を抽出する処理と、
    前記認証サーバが、前記抽出された利用者識別情報が前記認証データベース内に存在するかどうかを判断する処理とを有することを特徴とする処理分散方法。
JP2008033333A 2008-02-14 2008-02-14 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 Expired - Fee Related JP4344957B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2008033333A JP4344957B2 (ja) 2008-02-14 2008-02-14 処理分散システム、認証サーバ、分散サーバ及び処理分散方法
PCT/JP2009/050923 WO2009101848A1 (ja) 2008-02-14 2009-01-22 処理分散システム、認証サーバ、分散サーバ及び処理分散方法
EP09710803A EP2246800A1 (en) 2008-02-14 2009-01-22 Process distribution system, authentication server, distribution server, and process distribution method
US12/811,904 US20110010544A1 (en) 2008-02-14 2009-01-22 Process distribution system, authentication server, distribution server, and process distribution method
CN2009801044894A CN101939751A (zh) 2008-02-14 2009-01-22 处理分发系统、认证服务器、分发服务器及处理分发方法
TW098104185A TW200948016A (en) 2008-02-14 2009-02-10 Distributed processing system, authentication server, distributed server, and distributed processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008033333A JP4344957B2 (ja) 2008-02-14 2008-02-14 処理分散システム、認証サーバ、分散サーバ及び処理分散方法

Publications (2)

Publication Number Publication Date
JP2009193336A true JP2009193336A (ja) 2009-08-27
JP4344957B2 JP4344957B2 (ja) 2009-10-14

Family

ID=40956878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008033333A Expired - Fee Related JP4344957B2 (ja) 2008-02-14 2008-02-14 処理分散システム、認証サーバ、分散サーバ及び処理分散方法

Country Status (6)

Country Link
US (1) US20110010544A1 (ja)
EP (1) EP2246800A1 (ja)
JP (1) JP4344957B2 (ja)
CN (1) CN101939751A (ja)
TW (1) TW200948016A (ja)
WO (1) WO2009101848A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011018278A (ja) * 2009-07-10 2011-01-27 Nippon Telegr & Teleph Corp <Ntt> 認証装置、認証方法、認証プログラムおよび認証システム
JP2012141969A (ja) * 2010-12-30 2012-07-26 Internatl Business Mach Corp <Ibm> アイデンティティ・マネージャの分散型トポロジ・イネーブラに関する方法、コンピュータ・プログラム、およびシステム(アイデンティティ・マネージャの分散型トポロジ・イネーブラ)
JP2013003637A (ja) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> データベースシステム及び制御方法

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI512453B (zh) * 2011-01-10 2015-12-11 Hon Hai Prec Ind Co Ltd 主備伺服器切換系統及方法
US10320842B1 (en) * 2017-03-24 2019-06-11 Symantec Corporation Securely sharing a transport layer security session with one or more trusted devices
US11316829B2 (en) * 2017-05-05 2022-04-26 Royal Bank Of Canada Distributed memory data repository based defense system
KR102015700B1 (ko) * 2017-08-23 2019-08-28 에스케이 주식회사 블록체인 기반 one ID 서비스 시스템 및 방법
US10972455B2 (en) * 2018-04-24 2021-04-06 International Business Machines Corporation Secure authentication in TLS sessions

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001273257A (ja) * 2000-03-23 2001-10-05 Nippon Telegr & Teleph Corp <Ntt> 代理認証サーバ
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
JP2006011989A (ja) 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
JP4742903B2 (ja) * 2006-02-17 2011-08-10 日本電気株式会社 分散認証システム及び分散認証方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011018278A (ja) * 2009-07-10 2011-01-27 Nippon Telegr & Teleph Corp <Ntt> 認証装置、認証方法、認証プログラムおよび認証システム
JP2012141969A (ja) * 2010-12-30 2012-07-26 Internatl Business Mach Corp <Ibm> アイデンティティ・マネージャの分散型トポロジ・イネーブラに関する方法、コンピュータ・プログラム、およびシステム(アイデンティティ・マネージャの分散型トポロジ・イネーブラ)
US9430291B2 (en) 2010-12-30 2016-08-30 International Business Machines Corporation Distributed topology enabler for identity manager
US10079837B2 (en) 2010-12-30 2018-09-18 International Business Machines Corporation Distributed topology enabler for identity manager
US11140176B2 (en) 2010-12-30 2021-10-05 International Business Machines Corporation Distributed topology enabler for identity manager
JP2013003637A (ja) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> データベースシステム及び制御方法

Also Published As

Publication number Publication date
TW200948016A (en) 2009-11-16
EP2246800A1 (en) 2010-11-03
JP4344957B2 (ja) 2009-10-14
WO2009101848A1 (ja) 2009-08-20
CN101939751A (zh) 2011-01-05
US20110010544A1 (en) 2011-01-13

Similar Documents

Publication Publication Date Title
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
JP4344957B2 (ja) 処理分散システム、認証サーバ、分散サーバ及び処理分散方法
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
JP3761557B2 (ja) 暗号化通信のための鍵配付方法及びシステム
US9003191B2 (en) Token-based authentication using middle tier
US11736304B2 (en) Secure authentication of remote equipment
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP2005184463A (ja) 通信装置および通信方法
CN102833253A (zh) 建立客户端与服务器安全连接的方法及服务器
US20100217990A1 (en) Communication method, relay server device, program, and recording medium
JP5489775B2 (ja) 秘密鍵共有システム、方法、データ処理装置、管理サーバ、及びプログラム
JPH11340969A (ja) ユーザ相互認証方法及びその装置並びにプログラムを記録した機械読み取り可能な記録媒体
JP2003198544A (ja) 機器認証システムおよび機器認証方法
JP2024501728A (ja) ブロックチェーンベースのsdpアクセス制御方法及びシステム
CN102714653B (zh) 用于访问私人数字内容的系统和方法
WO2017029708A1 (ja) 個人認証システム
JP4552785B2 (ja) 暗号化通信管理サーバ
JP4631869B2 (ja) 暗号化通信のための鍵配付方法及びシステム
KR102263053B1 (ko) 근거리 영역 네트워크(lan) 환경에서 기기 간 데이터 동기화가 가능한 데이터베이스 구조 및 이를 이용한 데이터 동기화 방법
JP2000339270A (ja) ユーザ相互認証システム、ユーザ相互認証方法、および記録媒体
JP6653484B2 (ja) 認証装置、認証システム及び認証方法
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
JP4343942B2 (ja) 情報管理システム,クライアント,サーバおよびプログラム
WO2017024588A1 (zh) 业务处理方法及装置
KR100659972B1 (ko) 홈네트워크 디바이스들의 상호인증 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090617

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090630

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120724

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees