JP3908982B2 - CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 - Google Patents
CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 Download PDFInfo
- Publication number
- JP3908982B2 JP3908982B2 JP2002154678A JP2002154678A JP3908982B2 JP 3908982 B2 JP3908982 B2 JP 3908982B2 JP 2002154678 A JP2002154678 A JP 2002154678A JP 2002154678 A JP2002154678 A JP 2002154678A JP 3908982 B2 JP3908982 B2 JP 3908982B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic certificate
- communication
- cug
- certificate
- actor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、CUG(Closed User Group)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体に係り、特に、インターネット上で任意のアクタ同士が直接通信しながら、CUGを構成するシステムにおいて、接続する可能性のあるアクタに対する認証情報の管理をアクセス管理サーバが代行するCUG(Closed User Group)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来、任意のアクタ同士が直接に通信するCUGを構築する場合は、CUGに属するすべてのアクタに登録されている証明書または、証明書を発行した認証局をアクセスリストとしてアクタの端末内に保存し、通信開始に際し、送られてきた証明書とアクセスリストを照合することによりアクセス管理が行われている。実際には、以下のような処理が行われる。
【0003】
図10は、従来のシステムにおける動作のシーケンスチャートである。
【0004】
アクタ装置Aが認証局装置10から証明書aを取得し(ステップ10)、同様に、アクタ装置Bが証明書bを取得する(ステップ11)。信頼する認証局と信頼する証明書の情報をアクセスリストに保存する(ステップ12)。
【0005】
アクタ装置Aからアクタ装置Bに証明書aを含んだアクセス要求を送信する(ステップ13)。
【0006】
アクタ装置Bは、受け取った証明書aをアクセスリストと照合して(ステップ14)、通信可能か否かを確認する(ステップ15)。また、証明書aの有効性を認証局が発行するCRL(Certificate Revocation List) と照合して(ステップ16)検査する(ステップ17)。
【0007】
通信可能な場合には、アクタ装置Bは、アクタ装置Aに証明書bを含んだ認証情報を送信する(ステップ18)。
【0008】
アクタ装置Aは受け取った証明書bをアクセスリストと照合して(ステップ19)、通信可能か否かを確認する(ステップ20)。また、証明書の有効性をCRLと照合して(ステップ21)検査する(ステップ22)。
【0009】
ステップ19、ステップ21において通信可能な場合には、認証情報に基づいて、通信情報を暗号化するための秘密鍵を交換し(ステップ23)、暗号化通信を開始する(ステップ24)。
【0010】
また、特開2001-523853 に、ネットワーク接続オブジェクトを使用して、ネットワークへ接続するようにコンピュータを構成する方法及びシステムが開示されている。ネットワークへの各接続に対して、当該ネットワークに接続するための構成情報を、接続オブジェクトの中に維持する。当該構成情報は、バインディング情報と共に、デバイス、プロトコル、及び他のコンピュータ及びネットワークの属性値情報を含むことができる。接続オブジェクトは、動作中のネットワーク構成から独立したファイルなどとして保存され、動作中の構成に適用されて、ネットワーク構成を変更する。接続オブジェクトにおいて識別されたネットワーキングコンポーネントを、あるシステム上で利用可能なネットワーキングコンポーネントと調和させるプロセスも含む。コンピュータやネットワークを代表するネットワーク接続オブジェクトにおいて、認証情報が分散して管理されることになる。
また、特開2002-026988 に、VPN(仮想私設網)において、NAT(ネットワーク・アドレス変換)とIPセキュリティ(IPSec)との双方を並行して実現する方法が開示されている。その方法として、
VPN NAT タイプ「a送信元−アウトバウンド」IP NAT,
VPN NAT タイプ「b送信先−アウトバウンド」IP NAT,
VPN NAT タイプ「cインバウンド−送信元」IP NAT,
VPN NAT タイプ「dインバウンド−送信先」IP NAT
からなる4タイプのVPN NAT のうちの1つまたは、組み合わせを実行することにより、VPN NAT において、IPセキュリティを実現する。これは、動的にNAT規則128、130を生成し、それらと人手で、または動的に生成した(IKE)セキュリティ連合とを関連付けた後に、このセキュリティ連合を使うIPセキュリティを開始することを含む。そして、アウトバウンド・データグラムとインバウンド・データグラムに対してIPセキュリティを実行するときに、NAT機能も実行する。プライベート・ネットワークを代表するNAT機能において、IKEの認証が分散して管理されることになる。
【0011】
また、「M.Thomas, M.Froh, Cybersafe, M.Hur, D.McGrew, J.Vilhuber, S.Medvinsky 著、“Kerberized Internet Negotiation of Keys(KINK) ”2001年10月20日」は、Kerberos認証を使ったIPSec SA(Security Association)の設定と維持のための、安価かつ容易に管理可能で暗号化されたプロトコルを定義している。KINKは、ISAKMP(Internet SA and Key Management Protocol) のQuick Modeペイロードを再利用して、IPSec SAを生成、削除、維持する。Kerberosは、信頼できる第三者によるサーバ・クライアント間の認証を与える。サーバ・クライアント間の認証には、KDC(Key Distribution Ceneter) が資格証明書を作るためにTicketが使われる。但し、KDC は、すべてのユーザ鍵を管理するため、KDC から鍵情報を持ち出せば、ユーザへの成り済ましが可能になる。
【0012】
【発明が解決しようとする課題】
しかしながら、上記従来のアクセスリストはCUG構成メンバを表しており、CUGを集中的に制御する管理者が存在する場合、アクタの持つアクセスリストを管理者が更新する必要がある。さらに、CUG構成メンバが頻繁に変更される場合、または、1つの端末が多数の端末と通信する可能性がある場合、
1) アクセスリストを更新するために負荷がかかる;
2) アクセスリストの保存にアクタの資源を採られる;
という問題がある。また、集中的に管理される場合でも、
3) 管理者がユーザの鍵情報を持つため、CUG構成メンバになりすますことができる;
4) 管理者がユーザ間のセッション鍵情報を持つためCUG内の通信を盗聴できる;
という問題がある。
【0013】
また、更なる問題は、多数のアクタ間でCUGを構成するためには、アクタ内に保存する認証情報が増加し、アクタのリソースを消費すると共に、CUGメンバの変更の際に、全アクタの設定を変更する必要があることである。
【0014】
その理由は、アクタ単位でCUGを構成する場合、CUGへの認証情報をアクタ毎に分散して管理していたためである。
【0015】
さらに、Kerberosを用いて認証処理を実現する場合、KDC がアクタの鍵情報とセッション鍵の両方を管理するため、KDC が全アクタの完全な信頼点とならないことである。
その理由は、KDC の管理者は、アクタの鍵を用いて成り済ましを行うことができ、セッション鍵を用いて通信を盗聴することができるためである。
【0016】
本発明は、上記の点に鑑みなされたもので、認証情報をアクセス管理サーバが集中的に管理することにより、アクタにおける認証情報を最小化することが可能なCUG管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体を提供することを目的とする。
【0017】
更なる目的は、アクセス管理サーバ管理者によるアクタへの成り済ましを防止し、アクタのプロファイル漏洩も最小化して、セキュリティを向上することが可能なCUG管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体を提供することである。
【0018】
【課題を解決するための手段】
図1は、本発明の原理を説明するための図である。
【0020】
本発明(請求項1)は、インターネット上で任意のアクタ装置間で直接通信しながらCUG( Closed User Group )を構成するためのCUG管理方法において、
アクタ装置Aは、認証局装置から発行された電子証明書aを用いて、通信相手のアクタ装置Bにアクセス要求を送信し(ステップ1)、
アクタ装置Bは、アクセス要求に含まれる電子証明書aに自らの電子証明書bを用いて署名し(ステップ2)、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として、アクセス管理サーバに送信し(ステップ3)、
アクセス管理サーバは、アクタ装置Bからの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRLと照合することにより、通信可否を判断し(ステップ4)、判断結果をアクタ装置Bに送信し(ステップ5)、
アクタ装置Bは、アクタ装置Aに対して、アクセス要求に対して電子証明書bを付与したアクセス応答を送信し(ステップ6)、
アクタ装置Aでは、アクセス応答に付加されている電子証明書bに電子証明書aを用いて署名し(ステップ7)、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求としてアクセス管理サーバに送信し(ステップ8)、
アクセス管理サーバは、アクタ装置Aからの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、アクセスリスト及びCRLと照合することにより、通信可否を判断し(ステップ9)、判断結果をアクタ装置Aに送信し(ステップ10)、
認証後、アクタ装置Aとアクタ装置B間で通信を行う(ステップ11)。
【0022】
また、本発明(請求項2)は、認証局装置において、必要に応じて、電子証明書を失効させる。
【0023】
また、本発明(請求項3)は、アクセスリストを、電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、CRLの形式に変換し、CRLとして保存し、
アクセス管理サーバは、CRLのみを参照する。
【0024】
図2は、本発明の原理構成図である。
【0025】
本発明(請求項4)は、複数のアクタ装置200と、CUGに属するすべてのアクタに対して登録されている証明書を発行する認証局装置100と、アクタ装置200からの電子証明書が付加された通信可否要求に応じて、通信可否を判断し、通信可否の判断結果を該アクタ装置に送信するアクセス管理サーバ300と、を有し、インターネット上で任意のアクタ装置200間で直接通信しながらCUGを構成するためのCUG提供システムであって、
通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト20と、
電子証明書の有効性を規定するCRL30と、を有し、
アクタ装置200は、
他のアクタ装置から、認証局装置100から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求としてアクセス管理サーバ300に送信する通信可否問い合わせ手段220と、
アクセス管理サーバ300からの通信可否の判断結果を受信し、該判断結果に基づいて、相手のアクタ装置との通信を行う通信手段260と、を有し、
アクセス管理サーバ300は、
アクタ装置200からの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、アクセスリスト及びCRLと照合することにより、通信可否を判断する通信可否判定手段310と、
通信可否判定手段310における判断結果を該アクタ装置に返却する判断結果送信手段320と、を有する。
【0027】
また、本発明(請求項5)は、認証局装置100において、必要に応じて、電子証明書を失効させる手段を更に有する。
【0028】
また、本発明(請求項6)は、アクセス管理サーバ200の通信可否判定手段210において、
アクセスリストを、電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、CRLの形式に変換し、CRLとして保存されている場合に、該CRLのみを参照する手段を含む。
【0029】
本発明(請求項7)は、インターネット上で任意のアクタ装置間で直接通信しながらCUG(Closed User Group)を構成するシステムにおいて、該アクタ装置とネットワークを介して接続されたアクセス管理サーバとして利用されるコンピュータに実行させるCUG提供プログラムであって、
前記アクタ装置が、他のアクタ装置から、認証局装置から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として送信した通信可否判断要求を受信するステップと、
前記アクタ装置からの通信可否判断要求に含まれる前記電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRL(Certificate Revocation List)を照合することにより、通信可否を判断する通信可否判定ステップと、
前記通信可否判定ステップにおける判断結果を該アクタ装置に返却する判断結果送信ステップと、を実行させる。
【0030】
本発明(請求項8)は、請求項9記載のCUG提供プログラムを格納した記憶媒体である。
【0031】
上記のように、本発明では、アクセス管理サーバが、CUG構成メンバを規定したアクセスリストと電子証明書の有効性を規定するCRLを保存することにより、アクタには、認証情報を保存する必要がなくなる。
【0032】
また、通信可能な通信元アクタの電子証明書IDと通信先アクタの電子証明書IDの組によりアクセスリストを構成することにより、アクセス管理サーバがアクタの秘密情報を保存する必要がなくなる。
【0033】
【発明の実施の形態】
以下、図面と共に本発明の実施の形態について説明する。
【0034】
図3は、本発明の一実施の形態におけるシステム構成を示す。
【0035】
同図に示すシステムは、認証局100、アクタ装置200、アクセス管理サーバ30、アクセスリスト20、CRL30から構成される。
【0036】
同図に示す認証局100A,100Bは、図4に示すように、それぞれ、アクタの身元を証明する電子証明書を発行する電子証明書発行部110と、当該電子証明書を失効させる電子証明書失効部120を有する。
【0037】
同図に示すアクタ装置200A,200Bは、それぞれ、図5に示すように、電子証明書を使って相手のアクタ装置にアクセス要求を行うアクセス要求部210、通信可否判定をアクセス管理サーバ300に問い合わせる問い合わせ部220、電子証明書を使ってアクセス要求に対する応答を受信する応答受信部230、通信可能となった他のアクタ装置との間で鍵交換を行う鍵交換部240、他のアクタ装置200と暗号化通信を行う暗号化通信部250から構成される。
【0038】
同図に示すアクセス管理サーバ300は、図6に示すように、通信者の電子証明書の組をアクセスリスト20及びCRL30と照合して通信の可否を判定する通信可否判定部310と、通信可否判定部310で判定された結果をアクタ装置100へ返却する応答部320から構成される。
【0039】
上記の構成により、アクタ装置100の保存する情報は、自らの電子証明書とアクセス管理サーバ300のアドレスのみとなる。
【0040】
また、アクセス管理サーバ300に保存される情報は、公開されている電子証明書IDをキーとする、電子証明書の無効情報と通信可能な組み合わせの情報のみである。
【0041】
次に、上記の構成における動作を説明する。
【0042】
図7は、本発明の一実施の形態における動作のシーケンスチャートである。
【0043】
同図のS100で示される範囲の動作は、従来技術を用いて、アクタ装置200が、認証局装置100から電子証明書を取得し、CRLを配布する手順を示している。
【0044】
アクタ装置100Aは、認証局装置100から発行された電子証明書aを含むアクセス要求をアクタ装置100Bへ送る(ステップ101)。
【0045】
アクタ装置100Bは、アクセス要求に含まれる電子証明書aに自らの電子証明書bを用いて署名し、アクセス管理サーバ300に通信可否判定要求(電子証明書a+電子証明書b+署名)を送る(ステップ102)。このように、自らの署名を付けて通信可否判断要求を送ることにより、他アクタによる成り済ましを防ぎ、かつ、通信の発起アクタの電子証明書と対応アクタの電子証明書の組を作ることができる。
【0046】
アクセス管理サーバ300は、通信可否判定部310において、電子証明書aと電子証明書bの組み合わせをアクセスリスト20及びCRL30と照合して通信の可否を判定し、応答部320よりアクタ装置200Bへ通信可否判断応答を送る(ステップ103)。
【0047】
アクタ装置200Bは、アクセス要求部210により、自らの電子証明書bを用いて、アクタ装置100Aへアクセス応答を送る(ステップ104)。
【0048】
アクタ装置200Aは、問い合わせ部220において、アクセス応答に付いている電子証明書bに自らの電子証明書aを用いて署名し、アクセス管理サーバ300へ通信可否判断要求(電子証明書b+電子証明書a+署名)を送る(ステップ105)。
【0049】
アクセス管理サーバ300は、アクタ装置200Bの場合と同様に、アクタ装置200Aへ通信可否判断応答を送る(ステップ106)。
【0050】
これらの認証が終わった後、アクタ装置200Aとアクタ装置200Bは、鍵交換部240において暗号鍵を交換し(ステップ107)、暗号化通信部250において暗号通信を開始する(ステップ108)。
【0051】
その後、一定時間が経過した場合、または、一定量の通信が行われた場合には、再度、アクセス要求を繰り返すことにより、アクタ装置200が分散している環境においても一定間隔でアクタ装置200のアクセス権を更新することができる。
【0052】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0053】
[第1の実施例]
アクタ装置200の通信機能を実現するため、インターネット通信可能なデバイス(IPデバイス)が利用できる。IPデバイスは、CUGを形成するため、IPSecなどによる暗号化通信機能と、IKE(Internet Key Exchange)等の認証と暗号鍵交換機能を持つ必要がある。当該IPデバイスのIKE機能により、図5に示す、通信開始時に電子証明書を使って相手のIPデバイス鍵交換要求を起こすアクセス要求部210、証明書の有効性をオンラインで証明書の状態を問い合わせる問い合わせ部220、電子証明書を使って相手のIPデバイスに鍵交換応答を返す鍵交換部240を実現でき、さらに、IPSec機能により、暗号化通信を行う暗号化通信部250を実現できる。但し、オンライン証明証状態要求に自らの証明書を用いて署名し、成り済ましを防ぐと共に、通信の発起IPデバイスの電子証明書と応答IPDデバイスの電子証明書の組を作らなければならない。
【0054】
次に、上記のIPSec機能及び、IKE機能を用いた構成における動作を説明する。
【0055】
以下、図3に示すアクタ装置をIPデバイスとして説明する。
【0056】
▲1▼ IPデバイスAは、IPデバイスBへの通信開始の際に、IKE機能を用いて、発行された電子証明書aを付加した鍵交換要求を送る。
【0057】
▲2▼ IPデバイスBは、当該鍵交換要求に付加されている電子証明書aに自らの電子証明書bを用いて署名し、証明書を検証するアクセス管理サーバ300へオンライン証明証状態要求を送信する。このように、自らの署名を付加して通信可否判断要求を送ることにより、他IPデバイスを用いた成り済ましを防ぎ、かつ、通信の発起IPデバイスの電子証明書と応答アクタの電子証明書の組を作ることができる。
【0058】
▲3▼ アクセス管理サーバ300は、電子証明書aと電子証明証bの組み合わせをアクセスリスト20及びCRL30と照合して通信の可否を判断し、アクタ装置(IPデバイスB)へ通信可否判断応答を送る。
【0059】
▲4▼ IPデバイスBは、自らの電子証明書bを付加して、IPデバイスAへアクセス応答を送る。
【0060】
▲5▼ IPデバイスAは、アクセス応答に付加されている電子証明書bに自らの電子証明書aを用いて署名し、アクセス管理サーバ300へ通信可否判断要求を送る。
【0061】
▲6▼ アクセス管理サーバ300は、IPデバイスBと同様に、IPデバイスAへ通信可否判断応答を送る。
【0062】
▲7▼ これらの認証が終わった後、IPデバイスAとIPデバイスBは暗号鍵を交換し、暗号通信を開始する。その後一定時間が経過した場合、または、一定量の通信が行われた場合には、再度、アクセス要求を繰り返すことにより、アクタが分散している環境においても、一定間隔でアクタのアクセス権を更新することができる。
【0063】
[第2の実施例]
本実施例では、前述の第1の実施例の方法に加えて、CUGの管理者がアクセス権を与えるアクタ装置に電子証明書を発行し、必要に応じてこれを失効させられる認証局を導入できる。この電子証明書は、従来の技術と同様に、アクタ装置の公開鍵に対して署名を行うものであるが、電子証明書の保有がアクセス権を表すように意味付けすることにより、前述の方法に比べて、システム構成を簡略化できる。
【0064】
図8は、本発明の他の実施例のシステム構成図である。
【0065】
認証局100は、図4に示すように、CUGへのアクセス権を意味する証明書をアクタ装置に発行する電子証明書発行部110と、失効させる電子証明書失効部120を有する。アクタ装置200とアクセス管理サーバ300は、それぞれ図5と図6の機能を有する。
【0066】
アクタ装置200とアクセス管理サーバ300は、図8の構成により、アクセスリスト20には、CUGの認証局100から証明書を発行しているメンバのうち、通信可能な組み合わせが不可能な組み合わせのどちらかを記述すればよいため、検索対象が少なくなるようにアクセスリスト20を構成できる。また、アクセス管理サーバ300は、CRL30を検証すれば済むようになり、通信可否判定に係る時間が減少する。
【0067】
[第3の実施例]
本実施例では、前述の第2の実施例の方法に加えて、アクセスリスト20をCRL30へ変換する方法について説明する。第1・第2の実施例では、アクセス管理サーバ300は、アクセスリスト20とCRL30の2つの情報を検索する必要があったが、アクセスリスト20をCRL形式へ変換することにより、CRLの情報のみを検索すればよくなり、システム構成を簡略化できる。
【0068】
図9は、本発明の第3の実施例のシステム構成図である。同図に示すように、アクセス管理サーバ300は、通信者(アクタ装置A・アクタ装置B)の証明書の組をCRL30のみを照合して通信の可否を判断し、アクタ装置へ返答する機能を持つ。認証局100とアクタ装置200は、それぞれ図4、図5の機能を持つ。図9の構成のアクセスリスト20には、CUGの認証局100から証明書を発行しているメンバのうち、通信不可能な証明書IDの組み合わせを記述してある。ここで、証明書aから通信不可能な証明書の集合は、前述の第2の実施例と同様に、証明書aに対する証明書失効情報に置換される。そこで、判定元の証明書毎に異なるビューを持てるようにCRL30を構築すれば、2つの通信可否判定情報をCRL形式に統一できる。その結果、CRL30に対して最適化された非常に高速な検索システムを利用できるようになる。
【0069】
また、上記の実施の形態及び実施例におけるアクセス管理サーバ300の動作をプログラムとして構築し、アクセス管理サーバとして利用されるコンピュータにインストールする、または、ネットワークを介して流通させることも可能である。
【0070】
また、構築されたプログラムをアクセス管理サーバとして利用されるコンピュータに接続されるハードディスクや、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることも可能である。
【0071】
なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0072】
【発明の効果】
上述のように、本発明によれば、以下のような効果を奏する。
【0073】
第1には、様々なアクタ間でCUGを簡便に生成、または、変更でき、また、モバイル環境などにおいて資源の限られたアクタ同士でもCUGを構成できる。従って、ユーザの嗜好に合わせたコンテンツや通信環境を持つプライベート・ネットワークを提供するサービスを実現することができる。
【0074】
その理由は、CUGメンバが変更した場合に、アクセス管理サーバのアクセスリストを変更するだけで、新たなメンバ認証を実現できるからである。例えば、電子証明書cを持つアクタCをメンバに入れる場合、アクセスリストに通信可能な電子証明書IDの組として(電子証明書a,電子証明書c)と、(電子証明書b,電子証明書c)を追加すれば、アクタaまたは、アクタbに変更を加えることなく、例えば、アクタcからアクタaへ通信することが可能となる。
【0075】
第2には、外部からアクタへのアクセスを制限することができ、セキュリティを向上させることができる。
【0076】
その理由は、全アクタが双方向に通信を開始できるというアクセスポリシを持つCUGを構成した場合、認証局からの電子証明書を持って入ればアクセス可能であると判定できるため、アクセスリストに情報を保存する必要がない。また、アクタaがCUGから外れてアクセス権を失った場合にも、アクタaに関する多数のアクセス不可リストを作成することがなく、電子証明書を失効させて1つの電子証明書失効情報をCRLへ登録すればよいため、検索対象を少なくすることが可能である。
【0077】
第3には、汎用のシステムに変更を加えることなく、本発明の機能を実現できる。
【0078】
その理由は、アクタaとアクタbが通信できないというアクセスポリシを持つCUGを構成した場合(電子証明書a,電子証明書b)の組がアクセスリストに用意される。これを元に、CRLでは、電子証明書aに対するCRLに電子証明書bが統合され、電子証明書bに対するCRLに電子証明書aが統合される。これにより、アクセス管理サーバにOCSPレスポンダなど既存の電子証明書有効性検索システムを流用することができ、安価に高速なシステムを構築することが可能となる。
【図面の簡単な説明】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の一実施の形態におけるシステム構成図である。
【図4】本発明の一実施の形態における認証局装置の構成図である。
【図5】本発明の一実施の形態におけるアクタ装置の構成図である。
【図6】本発明の一実施の形態におけるアクセス管理サーバの構成図である。
【図7】本発明の一実施の形態における動作のシーケンスチャートである。
【図8】本発明の第2の実施例のシステム構成図である。
【図9】本発明の第3の実施例のシステム構成図である。
【図10】従来のシステムにおける動作のシーケンスチャートである。
【符号の説明】
10 電子証明書
20 アクセスリスト
30 CRL
100 認証局装置
200 アクタ装置
210 アクセス要求部
220 通信可否問い合わせ手段、問い合わせ部
230 応答受信部
240 鍵交換部
250 暗号化通信部
260 通信手段
300 アクセス管理サーバ
310 通信可否判定手段、通信可否判定部
320 判断結果送信手段、応答部
【発明の属する技術分野】
本発明は、CUG(Closed User Group)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体に係り、特に、インターネット上で任意のアクタ同士が直接通信しながら、CUGを構成するシステムにおいて、接続する可能性のあるアクタに対する認証情報の管理をアクセス管理サーバが代行するCUG(Closed User Group)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来、任意のアクタ同士が直接に通信するCUGを構築する場合は、CUGに属するすべてのアクタに登録されている証明書または、証明書を発行した認証局をアクセスリストとしてアクタの端末内に保存し、通信開始に際し、送られてきた証明書とアクセスリストを照合することによりアクセス管理が行われている。実際には、以下のような処理が行われる。
【0003】
図10は、従来のシステムにおける動作のシーケンスチャートである。
【0004】
アクタ装置Aが認証局装置10から証明書aを取得し(ステップ10)、同様に、アクタ装置Bが証明書bを取得する(ステップ11)。信頼する認証局と信頼する証明書の情報をアクセスリストに保存する(ステップ12)。
【0005】
アクタ装置Aからアクタ装置Bに証明書aを含んだアクセス要求を送信する(ステップ13)。
【0006】
アクタ装置Bは、受け取った証明書aをアクセスリストと照合して(ステップ14)、通信可能か否かを確認する(ステップ15)。また、証明書aの有効性を認証局が発行するCRL(Certificate Revocation List) と照合して(ステップ16)検査する(ステップ17)。
【0007】
通信可能な場合には、アクタ装置Bは、アクタ装置Aに証明書bを含んだ認証情報を送信する(ステップ18)。
【0008】
アクタ装置Aは受け取った証明書bをアクセスリストと照合して(ステップ19)、通信可能か否かを確認する(ステップ20)。また、証明書の有効性をCRLと照合して(ステップ21)検査する(ステップ22)。
【0009】
ステップ19、ステップ21において通信可能な場合には、認証情報に基づいて、通信情報を暗号化するための秘密鍵を交換し(ステップ23)、暗号化通信を開始する(ステップ24)。
【0010】
また、特開2001-523853 に、ネットワーク接続オブジェクトを使用して、ネットワークへ接続するようにコンピュータを構成する方法及びシステムが開示されている。ネットワークへの各接続に対して、当該ネットワークに接続するための構成情報を、接続オブジェクトの中に維持する。当該構成情報は、バインディング情報と共に、デバイス、プロトコル、及び他のコンピュータ及びネットワークの属性値情報を含むことができる。接続オブジェクトは、動作中のネットワーク構成から独立したファイルなどとして保存され、動作中の構成に適用されて、ネットワーク構成を変更する。接続オブジェクトにおいて識別されたネットワーキングコンポーネントを、あるシステム上で利用可能なネットワーキングコンポーネントと調和させるプロセスも含む。コンピュータやネットワークを代表するネットワーク接続オブジェクトにおいて、認証情報が分散して管理されることになる。
また、特開2002-026988 に、VPN(仮想私設網)において、NAT(ネットワーク・アドレス変換)とIPセキュリティ(IPSec)との双方を並行して実現する方法が開示されている。その方法として、
VPN NAT タイプ「a送信元−アウトバウンド」IP NAT,
VPN NAT タイプ「b送信先−アウトバウンド」IP NAT,
VPN NAT タイプ「cインバウンド−送信元」IP NAT,
VPN NAT タイプ「dインバウンド−送信先」IP NAT
からなる4タイプのVPN NAT のうちの1つまたは、組み合わせを実行することにより、VPN NAT において、IPセキュリティを実現する。これは、動的にNAT規則128、130を生成し、それらと人手で、または動的に生成した(IKE)セキュリティ連合とを関連付けた後に、このセキュリティ連合を使うIPセキュリティを開始することを含む。そして、アウトバウンド・データグラムとインバウンド・データグラムに対してIPセキュリティを実行するときに、NAT機能も実行する。プライベート・ネットワークを代表するNAT機能において、IKEの認証が分散して管理されることになる。
【0011】
また、「M.Thomas, M.Froh, Cybersafe, M.Hur, D.McGrew, J.Vilhuber, S.Medvinsky 著、“Kerberized Internet Negotiation of Keys(KINK) ”2001年10月20日」は、Kerberos認証を使ったIPSec SA(Security Association)の設定と維持のための、安価かつ容易に管理可能で暗号化されたプロトコルを定義している。KINKは、ISAKMP(Internet SA and Key Management Protocol) のQuick Modeペイロードを再利用して、IPSec SAを生成、削除、維持する。Kerberosは、信頼できる第三者によるサーバ・クライアント間の認証を与える。サーバ・クライアント間の認証には、KDC(Key Distribution Ceneter) が資格証明書を作るためにTicketが使われる。但し、KDC は、すべてのユーザ鍵を管理するため、KDC から鍵情報を持ち出せば、ユーザへの成り済ましが可能になる。
【0012】
【発明が解決しようとする課題】
しかしながら、上記従来のアクセスリストはCUG構成メンバを表しており、CUGを集中的に制御する管理者が存在する場合、アクタの持つアクセスリストを管理者が更新する必要がある。さらに、CUG構成メンバが頻繁に変更される場合、または、1つの端末が多数の端末と通信する可能性がある場合、
1) アクセスリストを更新するために負荷がかかる;
2) アクセスリストの保存にアクタの資源を採られる;
という問題がある。また、集中的に管理される場合でも、
3) 管理者がユーザの鍵情報を持つため、CUG構成メンバになりすますことができる;
4) 管理者がユーザ間のセッション鍵情報を持つためCUG内の通信を盗聴できる;
という問題がある。
【0013】
また、更なる問題は、多数のアクタ間でCUGを構成するためには、アクタ内に保存する認証情報が増加し、アクタのリソースを消費すると共に、CUGメンバの変更の際に、全アクタの設定を変更する必要があることである。
【0014】
その理由は、アクタ単位でCUGを構成する場合、CUGへの認証情報をアクタ毎に分散して管理していたためである。
【0015】
さらに、Kerberosを用いて認証処理を実現する場合、KDC がアクタの鍵情報とセッション鍵の両方を管理するため、KDC が全アクタの完全な信頼点とならないことである。
その理由は、KDC の管理者は、アクタの鍵を用いて成り済ましを行うことができ、セッション鍵を用いて通信を盗聴することができるためである。
【0016】
本発明は、上記の点に鑑みなされたもので、認証情報をアクセス管理サーバが集中的に管理することにより、アクタにおける認証情報を最小化することが可能なCUG管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体を提供することを目的とする。
【0017】
更なる目的は、アクセス管理サーバ管理者によるアクタへの成り済ましを防止し、アクタのプロファイル漏洩も最小化して、セキュリティを向上することが可能なCUG管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体を提供することである。
【0018】
【課題を解決するための手段】
図1は、本発明の原理を説明するための図である。
【0020】
本発明(請求項1)は、インターネット上で任意のアクタ装置間で直接通信しながらCUG( Closed User Group )を構成するためのCUG管理方法において、
アクタ装置Aは、認証局装置から発行された電子証明書aを用いて、通信相手のアクタ装置Bにアクセス要求を送信し(ステップ1)、
アクタ装置Bは、アクセス要求に含まれる電子証明書aに自らの電子証明書bを用いて署名し(ステップ2)、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として、アクセス管理サーバに送信し(ステップ3)、
アクセス管理サーバは、アクタ装置Bからの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRLと照合することにより、通信可否を判断し(ステップ4)、判断結果をアクタ装置Bに送信し(ステップ5)、
アクタ装置Bは、アクタ装置Aに対して、アクセス要求に対して電子証明書bを付与したアクセス応答を送信し(ステップ6)、
アクタ装置Aでは、アクセス応答に付加されている電子証明書bに電子証明書aを用いて署名し(ステップ7)、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求としてアクセス管理サーバに送信し(ステップ8)、
アクセス管理サーバは、アクタ装置Aからの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、アクセスリスト及びCRLと照合することにより、通信可否を判断し(ステップ9)、判断結果をアクタ装置Aに送信し(ステップ10)、
認証後、アクタ装置Aとアクタ装置B間で通信を行う(ステップ11)。
【0022】
また、本発明(請求項2)は、認証局装置において、必要に応じて、電子証明書を失効させる。
【0023】
また、本発明(請求項3)は、アクセスリストを、電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、CRLの形式に変換し、CRLとして保存し、
アクセス管理サーバは、CRLのみを参照する。
【0024】
図2は、本発明の原理構成図である。
【0025】
本発明(請求項4)は、複数のアクタ装置200と、CUGに属するすべてのアクタに対して登録されている証明書を発行する認証局装置100と、アクタ装置200からの電子証明書が付加された通信可否要求に応じて、通信可否を判断し、通信可否の判断結果を該アクタ装置に送信するアクセス管理サーバ300と、を有し、インターネット上で任意のアクタ装置200間で直接通信しながらCUGを構成するためのCUG提供システムであって、
通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト20と、
電子証明書の有効性を規定するCRL30と、を有し、
アクタ装置200は、
他のアクタ装置から、認証局装置100から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求としてアクセス管理サーバ300に送信する通信可否問い合わせ手段220と、
アクセス管理サーバ300からの通信可否の判断結果を受信し、該判断結果に基づいて、相手のアクタ装置との通信を行う通信手段260と、を有し、
アクセス管理サーバ300は、
アクタ装置200からの通信可否判断要求に含まれる電子証明書aと電子証明書bの組について、アクセスリスト及びCRLと照合することにより、通信可否を判断する通信可否判定手段310と、
通信可否判定手段310における判断結果を該アクタ装置に返却する判断結果送信手段320と、を有する。
【0027】
また、本発明(請求項5)は、認証局装置100において、必要に応じて、電子証明書を失効させる手段を更に有する。
【0028】
また、本発明(請求項6)は、アクセス管理サーバ200の通信可否判定手段210において、
アクセスリストを、電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、CRLの形式に変換し、CRLとして保存されている場合に、該CRLのみを参照する手段を含む。
【0029】
本発明(請求項7)は、インターネット上で任意のアクタ装置間で直接通信しながらCUG(Closed User Group)を構成するシステムにおいて、該アクタ装置とネットワークを介して接続されたアクセス管理サーバとして利用されるコンピュータに実行させるCUG提供プログラムであって、
前記アクタ装置が、他のアクタ装置から、認証局装置から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として送信した通信可否判断要求を受信するステップと、
前記アクタ装置からの通信可否判断要求に含まれる前記電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRL(Certificate Revocation List)を照合することにより、通信可否を判断する通信可否判定ステップと、
前記通信可否判定ステップにおける判断結果を該アクタ装置に返却する判断結果送信ステップと、を実行させる。
【0030】
本発明(請求項8)は、請求項9記載のCUG提供プログラムを格納した記憶媒体である。
【0031】
上記のように、本発明では、アクセス管理サーバが、CUG構成メンバを規定したアクセスリストと電子証明書の有効性を規定するCRLを保存することにより、アクタには、認証情報を保存する必要がなくなる。
【0032】
また、通信可能な通信元アクタの電子証明書IDと通信先アクタの電子証明書IDの組によりアクセスリストを構成することにより、アクセス管理サーバがアクタの秘密情報を保存する必要がなくなる。
【0033】
【発明の実施の形態】
以下、図面と共に本発明の実施の形態について説明する。
【0034】
図3は、本発明の一実施の形態におけるシステム構成を示す。
【0035】
同図に示すシステムは、認証局100、アクタ装置200、アクセス管理サーバ30、アクセスリスト20、CRL30から構成される。
【0036】
同図に示す認証局100A,100Bは、図4に示すように、それぞれ、アクタの身元を証明する電子証明書を発行する電子証明書発行部110と、当該電子証明書を失効させる電子証明書失効部120を有する。
【0037】
同図に示すアクタ装置200A,200Bは、それぞれ、図5に示すように、電子証明書を使って相手のアクタ装置にアクセス要求を行うアクセス要求部210、通信可否判定をアクセス管理サーバ300に問い合わせる問い合わせ部220、電子証明書を使ってアクセス要求に対する応答を受信する応答受信部230、通信可能となった他のアクタ装置との間で鍵交換を行う鍵交換部240、他のアクタ装置200と暗号化通信を行う暗号化通信部250から構成される。
【0038】
同図に示すアクセス管理サーバ300は、図6に示すように、通信者の電子証明書の組をアクセスリスト20及びCRL30と照合して通信の可否を判定する通信可否判定部310と、通信可否判定部310で判定された結果をアクタ装置100へ返却する応答部320から構成される。
【0039】
上記の構成により、アクタ装置100の保存する情報は、自らの電子証明書とアクセス管理サーバ300のアドレスのみとなる。
【0040】
また、アクセス管理サーバ300に保存される情報は、公開されている電子証明書IDをキーとする、電子証明書の無効情報と通信可能な組み合わせの情報のみである。
【0041】
次に、上記の構成における動作を説明する。
【0042】
図7は、本発明の一実施の形態における動作のシーケンスチャートである。
【0043】
同図のS100で示される範囲の動作は、従来技術を用いて、アクタ装置200が、認証局装置100から電子証明書を取得し、CRLを配布する手順を示している。
【0044】
アクタ装置100Aは、認証局装置100から発行された電子証明書aを含むアクセス要求をアクタ装置100Bへ送る(ステップ101)。
【0045】
アクタ装置100Bは、アクセス要求に含まれる電子証明書aに自らの電子証明書bを用いて署名し、アクセス管理サーバ300に通信可否判定要求(電子証明書a+電子証明書b+署名)を送る(ステップ102)。このように、自らの署名を付けて通信可否判断要求を送ることにより、他アクタによる成り済ましを防ぎ、かつ、通信の発起アクタの電子証明書と対応アクタの電子証明書の組を作ることができる。
【0046】
アクセス管理サーバ300は、通信可否判定部310において、電子証明書aと電子証明書bの組み合わせをアクセスリスト20及びCRL30と照合して通信の可否を判定し、応答部320よりアクタ装置200Bへ通信可否判断応答を送る(ステップ103)。
【0047】
アクタ装置200Bは、アクセス要求部210により、自らの電子証明書bを用いて、アクタ装置100Aへアクセス応答を送る(ステップ104)。
【0048】
アクタ装置200Aは、問い合わせ部220において、アクセス応答に付いている電子証明書bに自らの電子証明書aを用いて署名し、アクセス管理サーバ300へ通信可否判断要求(電子証明書b+電子証明書a+署名)を送る(ステップ105)。
【0049】
アクセス管理サーバ300は、アクタ装置200Bの場合と同様に、アクタ装置200Aへ通信可否判断応答を送る(ステップ106)。
【0050】
これらの認証が終わった後、アクタ装置200Aとアクタ装置200Bは、鍵交換部240において暗号鍵を交換し(ステップ107)、暗号化通信部250において暗号通信を開始する(ステップ108)。
【0051】
その後、一定時間が経過した場合、または、一定量の通信が行われた場合には、再度、アクセス要求を繰り返すことにより、アクタ装置200が分散している環境においても一定間隔でアクタ装置200のアクセス権を更新することができる。
【0052】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0053】
[第1の実施例]
アクタ装置200の通信機能を実現するため、インターネット通信可能なデバイス(IPデバイス)が利用できる。IPデバイスは、CUGを形成するため、IPSecなどによる暗号化通信機能と、IKE(Internet Key Exchange)等の認証と暗号鍵交換機能を持つ必要がある。当該IPデバイスのIKE機能により、図5に示す、通信開始時に電子証明書を使って相手のIPデバイス鍵交換要求を起こすアクセス要求部210、証明書の有効性をオンラインで証明書の状態を問い合わせる問い合わせ部220、電子証明書を使って相手のIPデバイスに鍵交換応答を返す鍵交換部240を実現でき、さらに、IPSec機能により、暗号化通信を行う暗号化通信部250を実現できる。但し、オンライン証明証状態要求に自らの証明書を用いて署名し、成り済ましを防ぐと共に、通信の発起IPデバイスの電子証明書と応答IPDデバイスの電子証明書の組を作らなければならない。
【0054】
次に、上記のIPSec機能及び、IKE機能を用いた構成における動作を説明する。
【0055】
以下、図3に示すアクタ装置をIPデバイスとして説明する。
【0056】
▲1▼ IPデバイスAは、IPデバイスBへの通信開始の際に、IKE機能を用いて、発行された電子証明書aを付加した鍵交換要求を送る。
【0057】
▲2▼ IPデバイスBは、当該鍵交換要求に付加されている電子証明書aに自らの電子証明書bを用いて署名し、証明書を検証するアクセス管理サーバ300へオンライン証明証状態要求を送信する。このように、自らの署名を付加して通信可否判断要求を送ることにより、他IPデバイスを用いた成り済ましを防ぎ、かつ、通信の発起IPデバイスの電子証明書と応答アクタの電子証明書の組を作ることができる。
【0058】
▲3▼ アクセス管理サーバ300は、電子証明書aと電子証明証bの組み合わせをアクセスリスト20及びCRL30と照合して通信の可否を判断し、アクタ装置(IPデバイスB)へ通信可否判断応答を送る。
【0059】
▲4▼ IPデバイスBは、自らの電子証明書bを付加して、IPデバイスAへアクセス応答を送る。
【0060】
▲5▼ IPデバイスAは、アクセス応答に付加されている電子証明書bに自らの電子証明書aを用いて署名し、アクセス管理サーバ300へ通信可否判断要求を送る。
【0061】
▲6▼ アクセス管理サーバ300は、IPデバイスBと同様に、IPデバイスAへ通信可否判断応答を送る。
【0062】
▲7▼ これらの認証が終わった後、IPデバイスAとIPデバイスBは暗号鍵を交換し、暗号通信を開始する。その後一定時間が経過した場合、または、一定量の通信が行われた場合には、再度、アクセス要求を繰り返すことにより、アクタが分散している環境においても、一定間隔でアクタのアクセス権を更新することができる。
【0063】
[第2の実施例]
本実施例では、前述の第1の実施例の方法に加えて、CUGの管理者がアクセス権を与えるアクタ装置に電子証明書を発行し、必要に応じてこれを失効させられる認証局を導入できる。この電子証明書は、従来の技術と同様に、アクタ装置の公開鍵に対して署名を行うものであるが、電子証明書の保有がアクセス権を表すように意味付けすることにより、前述の方法に比べて、システム構成を簡略化できる。
【0064】
図8は、本発明の他の実施例のシステム構成図である。
【0065】
認証局100は、図4に示すように、CUGへのアクセス権を意味する証明書をアクタ装置に発行する電子証明書発行部110と、失効させる電子証明書失効部120を有する。アクタ装置200とアクセス管理サーバ300は、それぞれ図5と図6の機能を有する。
【0066】
アクタ装置200とアクセス管理サーバ300は、図8の構成により、アクセスリスト20には、CUGの認証局100から証明書を発行しているメンバのうち、通信可能な組み合わせが不可能な組み合わせのどちらかを記述すればよいため、検索対象が少なくなるようにアクセスリスト20を構成できる。また、アクセス管理サーバ300は、CRL30を検証すれば済むようになり、通信可否判定に係る時間が減少する。
【0067】
[第3の実施例]
本実施例では、前述の第2の実施例の方法に加えて、アクセスリスト20をCRL30へ変換する方法について説明する。第1・第2の実施例では、アクセス管理サーバ300は、アクセスリスト20とCRL30の2つの情報を検索する必要があったが、アクセスリスト20をCRL形式へ変換することにより、CRLの情報のみを検索すればよくなり、システム構成を簡略化できる。
【0068】
図9は、本発明の第3の実施例のシステム構成図である。同図に示すように、アクセス管理サーバ300は、通信者(アクタ装置A・アクタ装置B)の証明書の組をCRL30のみを照合して通信の可否を判断し、アクタ装置へ返答する機能を持つ。認証局100とアクタ装置200は、それぞれ図4、図5の機能を持つ。図9の構成のアクセスリスト20には、CUGの認証局100から証明書を発行しているメンバのうち、通信不可能な証明書IDの組み合わせを記述してある。ここで、証明書aから通信不可能な証明書の集合は、前述の第2の実施例と同様に、証明書aに対する証明書失効情報に置換される。そこで、判定元の証明書毎に異なるビューを持てるようにCRL30を構築すれば、2つの通信可否判定情報をCRL形式に統一できる。その結果、CRL30に対して最適化された非常に高速な検索システムを利用できるようになる。
【0069】
また、上記の実施の形態及び実施例におけるアクセス管理サーバ300の動作をプログラムとして構築し、アクセス管理サーバとして利用されるコンピュータにインストールする、または、ネットワークを介して流通させることも可能である。
【0070】
また、構築されたプログラムをアクセス管理サーバとして利用されるコンピュータに接続されるハードディスクや、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることも可能である。
【0071】
なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0072】
【発明の効果】
上述のように、本発明によれば、以下のような効果を奏する。
【0073】
第1には、様々なアクタ間でCUGを簡便に生成、または、変更でき、また、モバイル環境などにおいて資源の限られたアクタ同士でもCUGを構成できる。従って、ユーザの嗜好に合わせたコンテンツや通信環境を持つプライベート・ネットワークを提供するサービスを実現することができる。
【0074】
その理由は、CUGメンバが変更した場合に、アクセス管理サーバのアクセスリストを変更するだけで、新たなメンバ認証を実現できるからである。例えば、電子証明書cを持つアクタCをメンバに入れる場合、アクセスリストに通信可能な電子証明書IDの組として(電子証明書a,電子証明書c)と、(電子証明書b,電子証明書c)を追加すれば、アクタaまたは、アクタbに変更を加えることなく、例えば、アクタcからアクタaへ通信することが可能となる。
【0075】
第2には、外部からアクタへのアクセスを制限することができ、セキュリティを向上させることができる。
【0076】
その理由は、全アクタが双方向に通信を開始できるというアクセスポリシを持つCUGを構成した場合、認証局からの電子証明書を持って入ればアクセス可能であると判定できるため、アクセスリストに情報を保存する必要がない。また、アクタaがCUGから外れてアクセス権を失った場合にも、アクタaに関する多数のアクセス不可リストを作成することがなく、電子証明書を失効させて1つの電子証明書失効情報をCRLへ登録すればよいため、検索対象を少なくすることが可能である。
【0077】
第3には、汎用のシステムに変更を加えることなく、本発明の機能を実現できる。
【0078】
その理由は、アクタaとアクタbが通信できないというアクセスポリシを持つCUGを構成した場合(電子証明書a,電子証明書b)の組がアクセスリストに用意される。これを元に、CRLでは、電子証明書aに対するCRLに電子証明書bが統合され、電子証明書bに対するCRLに電子証明書aが統合される。これにより、アクセス管理サーバにOCSPレスポンダなど既存の電子証明書有効性検索システムを流用することができ、安価に高速なシステムを構築することが可能となる。
【図面の簡単な説明】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の一実施の形態におけるシステム構成図である。
【図4】本発明の一実施の形態における認証局装置の構成図である。
【図5】本発明の一実施の形態におけるアクタ装置の構成図である。
【図6】本発明の一実施の形態におけるアクセス管理サーバの構成図である。
【図7】本発明の一実施の形態における動作のシーケンスチャートである。
【図8】本発明の第2の実施例のシステム構成図である。
【図9】本発明の第3の実施例のシステム構成図である。
【図10】従来のシステムにおける動作のシーケンスチャートである。
【符号の説明】
10 電子証明書
20 アクセスリスト
30 CRL
100 認証局装置
200 アクタ装置
210 アクセス要求部
220 通信可否問い合わせ手段、問い合わせ部
230 応答受信部
240 鍵交換部
250 暗号化通信部
260 通信手段
300 アクセス管理サーバ
310 通信可否判定手段、通信可否判定部
320 判断結果送信手段、応答部
Claims (8)
- インターネット上で任意のアクタ装置間で直接通信しながらCUG(Closed User Group)を構成するためのCUG管理方法において、
アクタ装置Aは、認証局装置から発行された電子証明書aを用いて、通信相手のアクタ装置Bにアクセス要求を送信し、
前記アクタ装置Bは、前記アクセス要求に含まれる前記電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として前記アクセス管理サーバに送信し、
前記アクセス管理サーバは、前記アクタ装置Bからの前記通信可否判断要求に含まれる前記電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRL(Certificate Revocation List)と照合することにより、通信可否を判断し、判断結果を前記アクタ装置Bに送信し、
前記アクタ装置Bは、前記アクタ装置Aに対して、前記アクセス要求に対して前記電子証明書bを付与したアクセス応答を送信し、
前記アクタ装置Aでは、前記アクセス応答に付加されている前記電子証明書bに前記電子証明書aを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として前記アクセス管理サーバに送信し、
前記アクセス管理サーバは、前記アクタ装置Aからの前記通信可否判断要求に含まれる前記電子証明書aと電子証明書bの組について、前記アクセスリスト及び前記CRLと照合することにより、通信可否を判断し、判断結果を前記アクタ装置Aに送信し、
認証後、前記アクタ装置Aと前記アクタ装置B間で通信を行うことを特徴とするCUG管理方法。 - 前記認証局装置において、
必要に応じて、前記電子証明書を失効させる請求項1記載のCUG管理方法。 - 前記アクセスリストを、前記電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、前記CRLの形式に変換し、CRLとして保存し、
前記アクセス管理サーバは、
前記CRLのみを参照する請求項1記載のCUG管理方法。 - 複数のアクタ装置と、
CUG(Closed User Group)に属するすべてのアクタに対して登録されている証明書を発行する認証局装置と、
前記アクタ装置からの電子証明書が付加された通信可否要求に応じて、通信可否を判断し、通信可否の判断結果を該アクタ装置に送信するアクセス管理サーバと、
を有し、インターネット上で任意のアクタ装置間で直接通信しながらCUGを構成するためのCUG提供システムであって、
通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリストと、
電子証明書の有効性を規定するCRL(Certificate Revocation List) と、を有し、
前記アクタ装置は、
他のアクタ装置から、前記認証局装置から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として前記アクセス管理サーバに送信する通信可否問い合わせ手段と、
前記アクセス管理サーバからの前記通信可否の判断結果を受信し、該判断結果に基づいて、相手のアクタ装置との通信を行う通信手段と、を有し、
前記アクセス管理サーバは、
前記アクタ装置からの前記通信可否判断要求に含まれる前記電子証明書aと前記電子証明書bの組について、前期アクセスリスト及び前記CRLと照合することにより、通信可否を判断する通信可否判断手段と、
前記通信可否判断手段における判断結果を該アクタ装置に返却する判断結果送信手段と、
を有することを特徴とするCUG提供システム。 - 前記認証局装置は、必要に応じて、前記電子証明書を失効させる手段を更に有する請求項4記載のCUG提供システム。
- 前記アクセス管理サーバの通信可否判定手段は、
前記アクセスリストを、前記電子証明書aから通信不可能な証明書の集合を、該電子証明書aに対する証明書失効情報に変換することにより、前記CRLの形式に変換し、該CRLとして保存される場合に、該CRLのみを参照する手段を含む請求項4記載のCUG提供システム。 - インターネット上で任意のアクタ装置間で直接通信しながらCUG(Closed User Group)を構成するシステムにおいて、該アクタ装置とネットワークを介して接続されたアクセス管理サーバとして利用されるコンピュータに実行させるCUG提供プログラムであって、
前記アクタ装置が、他のアクタ装置から、認証局装置から発行された電子証明書aを用いたアクセス要求を受け取ると、該アクセス要求に含まれる該電子証明書aに自らの電子証明書bを用いて署名し、該電子証明書aと該電子証明書bの組及び該署名を通信可否判断要求として送信した通信可否判断要求を受信するステップと、
前記アクタ装置からの通信可否判断要求に含まれる前記電子証明書aと電子証明書bの組について、通信元のアクタ装置の電子証明書IDと通信先のアクタ装置の電子証明書IDの組を要素とする集合により表現されたアクセスリスト及び、電子証明書の有効性を規定するCRL(Certificate Revocation List)を照合することにより、通信可否を判断する通信可否判定ステップと、
前記通信可否判定ステップにおける判断結果を該アクタ装置に返却する判断結果送信ステップと、を実行させることを特徴とするCUG提供プログラム。 - 請求項7記載のCUG提供プログラムを格納したことを特徴とするCUG提供プログラムを格納した記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002154678A JP3908982B2 (ja) | 2002-05-28 | 2002-05-28 | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002154678A JP3908982B2 (ja) | 2002-05-28 | 2002-05-28 | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003345742A JP2003345742A (ja) | 2003-12-05 |
| JP3908982B2 true JP3908982B2 (ja) | 2007-04-25 |
Family
ID=29771416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002154678A Expired - Lifetime JP3908982B2 (ja) | 2002-05-28 | 2002-05-28 | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3908982B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2872032A1 (en) * | 2004-01-09 | 2005-08-04 | Corestreet, Ltd. | Signature-efficient real time credentials for ocsp and distributed ocsp |
| US8601283B2 (en) | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
| TW200636554A (en) * | 2004-12-21 | 2006-10-16 | Sandisk Corp | Memory ststem with versatile content control |
| US8051052B2 (en) | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
| US7748031B2 (en) | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
| JP5052809B2 (ja) * | 2006-03-31 | 2012-10-17 | 株式会社エヌ・ティ・ティ・データ | 認証システム、認証サーバおよびプログラム |
| US8613103B2 (en) | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
| US8140843B2 (en) | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
| US8639939B2 (en) | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
| US8245031B2 (en) | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
| US8266711B2 (en) | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
| JP4837470B2 (ja) * | 2006-07-19 | 2011-12-14 | Kddi株式会社 | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム |
| US9104618B2 (en) | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
-
2002
- 2002-05-28 JP JP2002154678A patent/JP3908982B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003345742A (ja) | 2003-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102970299B (zh) | 文件安全保护系统及其方法 | |
| Xue et al. | A dynamic secure group sharing framework in public cloud computing | |
| US7181620B1 (en) | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach | |
| US8756423B2 (en) | System and method for establishing a secure group of entities in a computer network | |
| US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
| WO2019137067A1 (zh) | 密钥分发方法、装置及系统 | |
| JP4770423B2 (ja) | ディジタル証明書に関する情報の管理方法、通信相手の認証方法、情報処理装置、mfp、およびコンピュータプログラム | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| US20100154040A1 (en) | Method, apparatus and system for distributed delegation and verification | |
| US8402511B2 (en) | LDAPI communication across OS instances | |
| KR20140127303A (ko) | 다중 팩터 인증 기관 | |
| JP2011523520A (ja) | ネットワーク内のステーション分散識別方法 | |
| CA2407482A1 (en) | Security link management in dynamic networks | |
| JP3908982B2 (ja) | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 | |
| US20180375850A1 (en) | Secure communication network | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| Pippal et al. | CTES based Secure approach for Authentication and Authorization of Resource and Service in Clouds | |
| JP2007067631A (ja) | Vpnサーバホスティングシステム、およびvpn構築方法 | |
| CN107493294A (zh) | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 | |
| US7526560B1 (en) | Method and apparatus for sharing a secure connection between a client and multiple server nodes | |
| EP1619822A1 (en) | Delegation protocol | |
| JP2007310619A (ja) | 認証方式及びこれを用いた認証システム | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| JP4837470B2 (ja) | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム | |
| Ingle et al. | EGSI: TGKA based security architecture for group communication in grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040310 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060901 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060926 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061122 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20061130 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070116 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070119 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3908982 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110126 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110126 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120126 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130126 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |