JP4648100B2 - PKI environment setting method, client server system, and computer program - Google Patents

PKI environment setting method, client server system, and computer program Download PDF

Info

Publication number
JP4648100B2
JP4648100B2 JP2005167704A JP2005167704A JP4648100B2 JP 4648100 B2 JP4648100 B2 JP 4648100B2 JP 2005167704 A JP2005167704 A JP 2005167704A JP 2005167704 A JP2005167704 A JP 2005167704A JP 4648100 B2 JP4648100 B2 JP 4648100B2
Authority
JP
Japan
Prior art keywords
client
setting file
setting
server
electronic envelope
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005167704A
Other languages
Japanese (ja)
Other versions
JP2006345126A (en
Inventor
慎吾 川崎
健一 長島
諭史 秋本
祥正 川又
朋大 石田
大樹 加藤
康貴 永田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2005167704A priority Critical patent/JP4648100B2/en
Publication of JP2006345126A publication Critical patent/JP2006345126A/en
Application granted granted Critical
Publication of JP4648100B2 publication Critical patent/JP4648100B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、公開鍵基盤(PKI: Public Key Infrastructure)を利用するクライアントサーバシステムにおいて、クライアント側のPKIの環境を自動的に設定する方法、クライアント側のPKIの環境を自動的に設定するクライアントサーバシステム、および、クライアントに記憶されるコンピュータプログラムに関する。   The present invention relates to a method for automatically setting a PKI environment on a client side in a client server system using a public key infrastructure (PKI), and a client server for automatically setting a PKI environment on a client side. The present invention relates to a system and a computer program stored in a client.

インターネットを利用したクライアントサーバシステムで電子取引などを行う際に、サーバとクライアントとの相互認証や、サーバとクライアント間で流れる電子文書の改ざんを防止するために、公開鍵基盤が利用されている(例えば、特許文献1)。   A public key infrastructure is used to prevent mutual authentication between the server and the client and the tampering of the electronic document flowing between the server and the client when performing electronic transactions in a client server system using the Internet ( For example, Patent Document 1).

PKIを用いたクライアントサーバシステムにおいては、サーバとクライアントとは、それぞれが所持する公開鍵の正当性を証明するために、第3者機関である認証局(Certification Authority)が発行した公開鍵証明書を所持する。実際には、ユーザが使用するアプリケーションごとに、クライアントが接続するサーバが異なるため、クライアントには、接続するサーバごとに公開鍵証明書が必要になる。   In a client-server system using PKI, the server and the client each issue a public key certificate issued by a third party's certification authority (Certification Authority) in order to prove the validity of the public key possessed by each. Possess. Actually, since the server to which the client connects differs for each application used by the user, the client needs a public key certificate for each server to be connected.

このため、クライアントが必要とする公開鍵証明書を容易に取得できるように、特許文献2では、認証局がクライアントの申請に応じた様々な形式の公開鍵証明書を発行することのできる公開鍵証明書発行方法及び認証局が開示されている。   For this reason, in Patent Document 2, a public key that can be issued by the certificate authority in various forms according to the client's application so that the public key certificate required by the client can be easily obtained. A certificate issuing method and a certificate authority are disclosed.

しかしながら、クライアント側からすると、利用する公開鍵証明書を変更するごとに、クライアント側で設定するPKIの環境(例えば、公開鍵証明書ポリシーに関する設定や、レポジトリに関する設定など)を変更しなければならず、大変、不便であった。また、上述した設定には、ユーザにはPKIに関する専門的な知識が必要であることも問題であった。
特開平11-3033号公報 特開2001-305956号公報 However, from the client side, every time the public key certificate to be used is changed, the PKI environment set on the client side (for example, settings related to the public key certificate policy and settings related to the repository) must be changed. It was very inconvenient. In addition, the setting described above also has a problem that the user needs specialized knowledge about PKI.
Japanese Patent Laid-Open No. 11-3033 JP 2001-305956 A

そこで、上述した問題を鑑みて、本発明は、PKIを利用するクライアントサーバシステムにおいて、クライアントが接続するサーバに応じて、クライアントが、PKIの環境を自動で設定することで、ユーザの負担を軽減することができるクライアントサーバシステム、PKIの環境を設定する方法、および、クライアントに記憶されるコンピュータプログラムを提供することを目的とする。   In view of the above-described problems, the present invention reduces the burden on the user by automatically setting the PKI environment in accordance with the server to which the client is connected in the client server system using PKI. It is an object of the present invention to provide a client server system that can perform a method, a method of setting a PKI environment, and a computer program stored in a client.

上述した課題を解決する第1の発明は、公開鍵基盤(PKI: Public Key Infrastructure)を利用したクライアントサーバシステムにおいて、前記クライアントがPKIの環境を自動的に設定する方法であって、(a)ネットワークで接続されたサーバに、前記クライアントがアクセスするステップ、(b)PKIの環境設定内容、及び、ファイルの識別情報とバージョン情報を少なくとも含む属性情報が記述された設定ファイルが埋め込まれた電子封筒を、前記サーバが前記クライアントに送信するステップ、(c)前記クライアントが、前記サーバから送信された前記電子封筒を前記クライアントが開封し、前記電子封筒から前記設定ファイルを取得するステップ、(d)前記クライアントが、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶しているか確認するステップ、(e1)前記ステップ(d)において、前記クライアントが、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶している場合、前記クライアントで記憶している前記設定ファイルを用いてPKIの環境を設定し、(e2)前記ステップ(d)において、前記属性情報で特定される前記設定ファイルを記憶していない場合、前記クライアントが、該設定ファイルを表示して、前記クライアントを操作するユーザに該設定ファイルを編集するか同意を取る処理を実行し、該同意が得られると、該設定ファイルを表示して、該設定ファイルの一部を前記ユーザに編集させる処理を実行し、該設定ファイルの一部が編集された場合は編集後の前記設定ファイルを、該設定ファイルの一部が編集されない場合は編集前の前記設定ファイルを用いてPKIの環境を設定した後、PKIの環境設定に利用した前記設定ファイルを記憶するステップを含むことを特徴とするPKIの環境設定方法である。 A first invention for solving the above-described problem is a method in which the client automatically sets a PKI environment in a client server system using a public key infrastructure (PKI), and (a) A step in which the client accesses a server connected by a network; (b) an electronic envelope in which a setting file in which attribute information including at least PKI environment setting contents and file identification information and version information is described is embedded; (C) The client opens the electronic envelope transmitted from the server, and the client acquires the setting file from the electronic envelope, (d) Before the client is identified by the attribute information obtained from the electronic envelope (E1) In the step (d), when the client stores the setting file specified by the attribute information obtained from the electronic envelope, When the PKI environment is set using the setting file stored in the client and (e2) the setting file specified by the attribute information is not stored in the step (d), the client The setting file is displayed, and processing for editing the setting file or obtaining consent for the user operating the client is executed. When the consent is obtained, the setting file is displayed and one of the setting files is displayed. When a part of the setting file is edited, the setting file after editing is set to the setting. If a part of the file is not edited, a PKI environment is set by using the setting file before editing and then storing the setting file used for setting the PKI environment. It is a setting method.

第1の発明によれば、前記設定ファイルが埋め込まれた前記電子封筒が前記サーバから前記クライアントに送信され、前記クライアントが前記設定ファイルに従いPKIの環境設定を行うことで、前記クライアントが接続するサーバに応じてPKIの環境設定を自動的に行うことができる。   According to the first invention, the electronic envelope in which the setting file is embedded is transmitted from the server to the client, and the client performs PKI environment setting according to the setting file, whereby the server to which the client connects Accordingly, the environment setting of PKI can be automatically performed.

更に、第1の発明によれば、前記クライアントは、前記サーバから受信した属性情報で特定される設定ファイルを記憶しているか確認し、該設定ファイルを記憶しているか否かによって処理を分岐し、該設定ファイルを記憶していないとき、該設定ファイルを前記ユーザに編集させる処理を実行し、編集後の前記設定ファイルを記憶することで、前記サーバから送信された前記設定ファイルの内容の一部を編集して使用するときに、前記サーバから前記設定ファイルが送信されるごとに、前記設定ファイルの内容の一部を編集する必要性はなくなる。Further, according to the first invention, the client checks whether the setting file specified by the attribute information received from the server is stored, and branches the process depending on whether the setting file is stored. When the setting file is not stored, a process for causing the user to edit the setting file is executed, and the edited setting file is stored, whereby one of the contents of the setting file transmitted from the server is stored. When editing and using a copy, each time the setting file is transmitted from the server, there is no need to edit a part of the contents of the setting file.

更に、第2の発明は、公開鍵基盤(PKI: Public Key Infrastructure)を利用し、ネットワークで接続されたクライアントとサーバとから成るクライアントサーバシステムであって、前記サーバは、前記ネットワークを介してアクセスした前記クライアントに、PKIの環境設定内容、及び、ファイルの識別情報とバージョン情報を少なくとも含む属性情報が記述された設定ファイルが埋め込まれた電子封筒を送信する手段を備え、前記クライアントは、前記サーバから受信した前記電子封筒を記憶する情報記憶部と、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶しているか確認し、前記属性情報で特定される前記設定ファイルを記憶している場合、前記クライアントで記憶している前記設定ファイルを用いてPKIの環境を設定し、前記属性情報で特定される前記設定ファイルを記憶していない場合、前記クライアントが、該設定ファイルを表示して、前記クライアントを操作するユーザに該設定ファイルを編集するか同意を取る処理を実行し、該同意が得られると、該設定ファイルを表示して、該設定ファイルの一部を前記ユーザに編集させる処理を実行し、該設定ファイルの一部が編集された場合は編集後の前記設定ファイルを、該設定ファイルの一部が編集されない場合は編集前の前記設定ファイルを用いてPKIの環境を設定した後、PKIの環境設定に利用した前記設定ファイルを記憶する電子封筒処理手段を備えていることを特徴とするクライアントサーバシステムである。
Furthermore, the second invention is a client-server system using a public key infrastructure (PKI) and comprising a client and a server connected via a network, wherein the server is accessed via the network. Means for transmitting to the client an electronic envelope in which a setting file in which attribute information including at least PKI environment setting content and file identification information and version information is described is embedded; An information storage unit that stores the electronic envelope received from the electronic envelope, and confirms whether the setting file specified by the attribute information obtained from the electronic envelope is stored, and stores the setting file specified by the attribute information The PKI is stored using the configuration file stored in the client. When the environment is set and the setting file specified by the attribute information is not stored, the client displays the setting file and consents to the user operating the client to edit the setting file. If the consent is obtained, the setting file is displayed, and a process for causing the user to edit a part of the setting file is executed. When a part of the setting file is edited, An electronic device that stores the setting file used for PKI environment setting after setting the PKI environment using the setting file before editing when the setting file after editing is not partially edited A client-server system comprising envelope processing means.

更に、第3の発明は、第2の発明に記載のクライアントサーバシステムを構成するクライアントに備えられた電子封筒処理手段として、コンピュータを機能させるためのコンピュータプログラムである。Furthermore, a third invention is a computer program for causing a computer to function as an electronic envelope processing means provided in a client constituting the client server system described in the second invention.

上述した本発明によれば、PKIを利用するクライアントサーバシステムにおいて、クライアントが接続するサーバに応じて、クライアントが、PKIに関する項目を自動で設定することで、ユーザの負担を軽減することができるクライアントサーバシステム、方法、および、クライアントに記憶されるコンピュータプログラムを提供できる。   According to the present invention described above, in a client-server system using PKI, the client can reduce the burden on the user by automatically setting items related to PKI according to the server to which the client is connected. A server system, method, and computer program stored in a client can be provided.

ここから、本発明に係り、公開鍵基盤(以下、PKI)を利用するクライアントサーバシステム(Client Server System)について図を参照しながら詳細に説明する。図1は、本発明に係るクライアントサーバシステムの構成図である。図1に示したクライアントサーバシステムでは、クライアント20とサーバ10がネットワーク30を介して接続され、クライアント20とサーバ10との間でデータ通信が行われることで、あるトランザクション(例えば、電子申請や電子商取引)が実行される。   A client server system (Client Server System) that uses a public key infrastructure (hereinafter referred to as PKI) according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a configuration diagram of a client server system according to the present invention. In the client server system shown in FIG. 1, the client 20 and the server 10 are connected via the network 30, and data communication is performed between the client 20 and the server 10, so that a certain transaction (for example, electronic application or electronic Commerce) is executed.

図1のクライアントサーバシステムでは、PKIは、クライアント20とサーバ10間の相互認証や、クライアント20とサーバ10間で伝達されるデータの暗号化/復号に利用されている。クライアント20がサーバ10にアクセスすると、クライアント20側で設定するPKIの環境に関する情報(例えば、公開鍵証明書ポリシーに関する設定、レポジトリに関する設定など)の推奨値が記述された設定ファイルが、電子封筒(Digital Envelope)に埋め込まれて、サーバ10からクライアント20に送信される。   In the client server system of FIG. 1, the PKI is used for mutual authentication between the client 20 and the server 10 and for encryption / decryption of data transmitted between the client 20 and the server 10. When the client 20 accesses the server 10, a setting file in which recommended values of information related to the PKI environment set on the client 20 side (for example, settings related to public key certificate policies, settings related to the repository, etc.) is written in an electronic envelope ( Embedded in the digital envelope) and transmitted from the server 10 to the client 20.

クライアント20では、サーバ10から送信される電子封筒を開封することで設定ファイルを取得し、クライアント20は、取得した設定ファイルを参照してPKIの環境を自動的に設定する。このように、アクセスするサーバ10に応じて、クライアント20側のPKIの環境は自動的に変更されるため、クライアント20を操作するユーザがPKIの環境に関する設定を手動で行う煩わしさを解消することができる。   The client 20 acquires the setting file by opening the electronic envelope transmitted from the server 10, and the client 20 automatically sets the PKI environment with reference to the acquired setting file. As described above, the PKI environment on the client 20 side is automatically changed according to the server 10 to be accessed, so that the trouble of manually setting the PKI environment by the user operating the client 20 is eliminated. Can do.

図2は、図1で示したクライアントサーバシステムのブロック図である。図2において、図1のクライアントサーバシステムが2層クライアントサーバシステムで構成されているかのように記載しているが、実際には、図1のクライアントサーバシステムは3層クライアントサーバシステムであっても構わない。 FIG. 2 is a block diagram of the client server system shown in FIG. In FIG. 2, the client server system of FIG. 1 is described as being configured by a two-tier client server system, but actually, the client server system of FIG. 1 may be a three-tier client server system. I do not care.

図2に示したように、サーバ10には、電子申請や電子商取引などといった処理を集中的に行うサーバアプリケーション11と、サーバアプリケーション11に対応した前述の設定ファイル14が埋め込まれた電子封筒13と、サーバ10にアクセスしたクライアント20に電子封筒13を送信する機能を備えた電子封筒サーバ処理部12とを備えている。   As shown in FIG. 2, the server 10 includes a server application 11 that centrally performs processing such as electronic application and electronic commerce, and an electronic envelope 13 in which the setting file 14 corresponding to the server application 11 is embedded. And an electronic envelope server processing unit 12 having a function of transmitting the electronic envelope 13 to the client 20 accessing the server 10.

サーバ10に備えられたサーバアプリケーション11は、サーバ10のハードウェア資源(例えば、CPUやメモリ)を動作させるコンピュータプログラムで実現され、設定ファイル14が埋め込まれた電子封筒13は、サーバ10のハードディスクなどの情報記憶装置に記憶されている。   The server application 11 provided in the server 10 is realized by a computer program that operates hardware resources (for example, a CPU and a memory) of the server 10, and the electronic envelope 13 in which the setting file 14 is embedded is a hard disk of the server 10 or the like. Are stored in the information storage device.

また、クライアント20には、サーバ10のアプリケーションを利用して処理を行うクライアントアプリケーション21と、サーバ10から送信される電子封筒13に埋め込まれた設定ファイル14に従いPKIの環境を自動的に設定する機能などをクライアントアプリケーション21に追加する電子封筒クライアント処理部22と、設定ファイル14を記憶する情報記憶部23とを備えている。   The client 20 has a function of automatically setting a PKI environment according to a client application 21 that performs processing using an application of the server 10 and a setting file 14 embedded in the electronic envelope 13 transmitted from the server 10. Are added to the client application 21, and an information storage unit 23 for storing the setting file 14 is provided.

クライアント20に備えられたクライアントアプリケーション21は、クライアント20のハードウェア資源(例えば、CPUやメモリ)を動作させるコンピュータプログラム(例えば、ブラウザ)で実現され、電子封筒クライアント処理部22はクライアントアプリケーション21のアドインソフトで実現される。また、情報記憶部23は、クライアント20のハードディスクや外部記憶装置(CD−ROM)などで実現される。   The client application 21 provided in the client 20 is realized by a computer program (for example, a browser) that operates hardware resources (for example, a CPU and a memory) of the client 20, and the electronic envelope client processing unit 22 is an add-in of the client application 21. Realized in software. The information storage unit 23 is realized by a hard disk of the client 20 or an external storage device (CD-ROM).

図3は、サーバ10に記憶され、サーバ10からクライアント20に送信される電子封筒13の一例を説明する図である。電子封筒13とは、構造化文書(例えば、XML文書)にエンベロープ(封筒)と呼ばれる情報が付加されたデータで、サーバ10に備えられた電子封筒サーバ処理部12と、クライアント20に備えられた電子封筒クライアント処理部22には、この電子封筒13を生成/解釈する機能が備えられている。   FIG. 3 is a diagram for explaining an example of the electronic envelope 13 stored in the server 10 and transmitted from the server 10 to the client 20. The electronic envelope 13 is data in which information called an envelope (envelope) is added to a structured document (for example, an XML document). The electronic envelope server processing unit 12 provided in the server 10 and the client 20 are provided. The electronic envelope client processing unit 22 has a function of generating / interpreting the electronic envelope 13.

図3に示したように、電子封筒13は、電子封筒13のエンベロープとなるヘッダー部131と、電子封筒13に埋め込まれて送信され、構造化文書で記述されたコンテント(ここでは、設定ファイル14)を含むコンテント部132とから構成される。   As shown in FIG. 3, the electronic envelope 13 includes a header portion 131 serving as an envelope of the electronic envelope 13 and a content embedded in the electronic envelope 13 and transmitted and described in a structured document (here, the setting file 14). ).

電子封筒13のヘッダー部131には、電子封筒13の形式を示す情報や、コンテント部132を暗号化しているときは、コンテント部132を復号するときに必要となる情報が記憶されている。電子封筒クライアント処理部22は、電子封筒13のヘッダー部131に記述された情報を解析することで、電子封筒13を開封、すなわち電子封筒13に埋め込まれたコンテント部132を取り出すことができる。   The header portion 131 of the electronic envelope 13 stores information indicating the format of the electronic envelope 13 and information necessary for decrypting the content portion 132 when the content portion 132 is encrypted. The electronic envelope client processing unit 22 can open the electronic envelope 13, that is, take out the content portion 132 embedded in the electronic envelope 13 by analyzing the information described in the header portion 131 of the electronic envelope 13.

なお、本特許は、電子封筒13の仕様に依存するものではなく、クライアント20とサーバ10が対応していれば、いかなる電子封筒13を使用できる。   Note that this patent does not depend on the specifications of the electronic envelope 13, and any electronic envelope 13 can be used as long as the client 20 and the server 10 are compatible.

また、電子封筒13のコンテント部132には、電子封筒13に埋め込まれて送信されるコンテントの形式を示す情報132aに加え、コンテントの本体となる設定ファイル14が記憶される。   In addition, in the content portion 132 of the electronic envelope 13, a setting file 14 that is a main body of the content is stored in addition to the information 132 a indicating the format of the content embedded and transmitted in the electronic envelope 13.

図4は、図3で説明した電子封筒13に埋め込まれる設定ファイル14を説明する図である。図4で示したように、設定ファイル14には、設定ファイル14の識別情報141aや、設定ファイル14のバージョン141bなどが記述された設定ファイル14の属性情報141に加え、PKIの環境設定に関する情報として、公開鍵証明書の確認に関する情報142や、セキュリティポリシーに関する情報143が、XML(eXtensible Markup Language)で記述される。   FIG. 4 is a diagram illustrating the setting file 14 embedded in the electronic envelope 13 described in FIG. As shown in FIG. 4, in the setting file 14, in addition to the attribute information 141 of the setting file 14 in which the identification information 141a of the setting file 14 and the version 141b of the setting file 14 are described, information on the environment setting of the PKI The information 142 regarding the confirmation of the public key certificate and the information 143 regarding the security policy are described in XML (eXtensible Markup Language).

公開鍵証明書の確認に関する情報142としては、公開鍵証明書の信頼性を確認するポイントになるトラストアンカー(Trust Anchors)に関する情報142aや、リポジトリに関する情報142bや、受け入れるポリシーに関する情報142cなどが記述される。また、セキュリティポリシーに関する情報143としては、暗号鍵交換に関する情報などが記憶される。   As the information 142 related to the confirmation of the public key certificate, information 142a related to trust anchors (Trust Anchors), information 142b related to the repository, information 142c related to the policy to be accepted, etc. are described. Is done. Further, as information 143 related to the security policy, information related to encryption key exchange is stored.

クライアント20に備えられた電子封筒クライアント処理部22は、サーバ10から送信された電子封筒13を開封した後、開封した電子封筒13に埋め込まれた設定ファイル14を記述している構造化文書のタグを解析することで、設定ファイル14に記述された内容を参照して、PKIの環境を設定し、設定されたPKIの環境に従う処理(例えば、サーバ10が有する公開鍵証明書の信頼性の確認処理など)を行うことができる。   The electronic envelope client processing unit 22 provided in the client 20 opens the electronic envelope 13 transmitted from the server 10 and then tags the structured document describing the setting file 14 embedded in the opened electronic envelope 13. , By referring to the contents described in the setting file 14, the PKI environment is set, and the process according to the set PKI environment (for example, confirmation of the reliability of the public key certificate that the server 10 has) Processing).

加えて、電子封筒クライアント処理部22は、設定ファイル14を表示・編集する機能や、設定ファイル14を情報記憶部23に記憶する機能を備えている。   In addition, the electronic envelope client processing unit 22 has a function of displaying and editing the setting file 14 and a function of storing the setting file 14 in the information storage unit 23.

設定ファイル14を表示・編集する機能は、テキストエディタや設定ファイル14の項目をそれぞれ設定できる専用のプログラムで実現され、電子封筒クライアント処理部22が設定ファイル14を編集する機能を備えるのは、クライアント20側の事情(例えば、PKIの環境を設定するときに必要となる情報が記憶されたパスが変更された場合など)により、サーバ10から送信された設定ファイル14の内容を変更しなければならないケースがあるからである。   The function of displaying / editing the setting file 14 is realized by a text editor or a dedicated program that can set the items of the setting file 14, and the electronic envelope client processing unit 22 has a function of editing the setting file 14 by the client. The contents of the setting file 14 transmitted from the server 10 must be changed due to circumstances on the 20 side (for example, when a path storing information necessary for setting a PKI environment is changed). Because there is a case.

また、電子封筒クライアント処理部22が、設定ファイル14を情報記憶部23に記憶するのは、前述したように、クライアント20側で設定ファイル14を編集するケースがあり、実際に使用した設定ファイル14を記憶するためである。電子封筒クライアント処理部22が、情報記憶部23に設定ファイル14を記憶する機能を有することで、サーバ10から設定ファイル14が送信されるごとに、設定ファイル14を編集する必要はなくなる。   In addition, as described above, the electronic envelope client processing unit 22 stores the setting file 14 in the information storage unit 23 in some cases where the setting file 14 is edited on the client 20 side. It is for memorizing. Since the electronic envelope client processing unit 22 has a function of storing the setting file 14 in the information storage unit 23, it is not necessary to edit the setting file 14 every time the setting file 14 is transmitted from the server 10.

電子封筒クライアント処理部22は、情報記憶部23に記憶された設定ファイル14を利用するために、サーバ10から設定ファイル14を受信すると、設定ファイル14の属性情報を参照し、サーバ10から送信された設定ファイル14の属性情報で示される設定ファイル14が、情報記憶部23に記憶さていないか確認する。そして、情報記憶部23に記憶されている場合は、情報記憶部23に記憶された設定ファイル14を使用し、記憶されていない場合は、サーバ10から送信された設定ファイル14を、編集するなどして使用する。   When the electronic envelope client processing unit 22 receives the setting file 14 from the server 10 in order to use the setting file 14 stored in the information storage unit 23, the electronic envelope client processing unit 22 refers to the attribute information of the setting file 14 and is transmitted from the server 10. It is checked whether the setting file 14 indicated by the attribute information of the setting file 14 is stored in the information storage unit 23. If the information is stored in the information storage unit 23, the setting file 14 stored in the information storage unit 23 is used. If not, the setting file 14 transmitted from the server 10 is edited. And use it.

図5は、情報記憶部23に記憶されている情報を説明する図である。図5(a)は、情報記憶部23に記憶される情報の構造を示した図で、情報記憶部23には、電子封筒クライアント処理部22によって、管理ファイル24に関連付けて、クライアント20が使用した設定ファイル14が記憶される。   FIG. 5 is a diagram for explaining the information stored in the information storage unit 23. FIG. 5A shows the structure of information stored in the information storage unit 23. The information storage unit 23 is used by the client 20 in association with the management file 24 by the electronic envelope client processing unit 22. The setting file 14 is stored.

図5(b)は、情報記憶部23の管理ファイル24の一例を示した図である。管理ファイルには、情報記憶部23に記憶した各設定ファイル14のレコード情報241が記憶される。このレコード情報241には、設定ファイル14の番号241aや、設定ファイル14を送信したサーバ10のURI241bや、設定ファイル14を使用するクライアントアプリケーションの名称241cなどが記憶される。電子封筒クライアント処理部22は、この管理ファイル24を参照することで、情報記憶部23に記憶された設定ファイル14の中から、サーバ10から送信された設定ファイル14の属性情報で示される設定ファイル14が記憶されていないか探索する。   FIG. 5B is a diagram showing an example of the management file 24 in the information storage unit 23. In the management file, record information 241 of each setting file 14 stored in the information storage unit 23 is stored. The record information 241 stores the number 241a of the setting file 14, the URI 241b of the server 10 that transmitted the setting file 14, the name 241c of the client application that uses the setting file 14, and the like. The electronic envelope client processing unit 22 refers to the management file 24 to set the setting file indicated by the attribute information of the setting file 14 transmitted from the server 10 from among the setting files 14 stored in the information storage unit 23. 14 is searched to see if it is stored.

ここから、図1および図2を用いて説明したクライアントサーバシステムの動作を説明する共に、PKIの環境を自動的に設定する方法についても説明する。図6は、クライアントサーバシステムの動作を示したフロー図である。   From here, the operation of the client server system described with reference to FIGS. 1 and 2 will be described, and a method for automatically setting the PKI environment will also be described. FIG. 6 is a flowchart showing the operation of the client server system.

最初のステップS10は、クライアント20に記憶されたクライアントアプリケーション21が起動し、サーバ10にアクセスするステップである。このステップでは、クライアント20のディスプレイに表示されたクライアントアプリケーション21のアイコンがクリックされるなどして、クライアントアプリケーション21は起動し、ネットワークを経由してサーバ10にアクセスする。
The first step S 10 is a step in which the client application 21 stored in the client 20 is activated and accesses the server 10. In this step, when the icon of the client application 21 displayed on the display of the client 20 is clicked, the client application 21 is activated and accesses the server 10 via the network.

次のステップS11は、サーバ10がクライアント20に、設定ファイル14が埋め込まれた電子封筒13を送信するステップである。サーバ10の電子封筒サーバ処理部12は、サーバ10へのアクセスログを解析し、アクセスしたクライアント20に最新の設定ファイル14を埋め込んだ電子封筒13を送信する。   In the next step S11, the server 10 transmits to the client 20 the electronic envelope 13 in which the setting file 14 is embedded. The electronic envelope server processing unit 12 of the server 10 analyzes the access log to the server 10 and transmits the electronic envelope 13 in which the latest setting file 14 is embedded to the accessed client 20.

このステップで、サーバ10の電子封筒サーバ処理部12は、電子封筒13をクライアント20に送信する際に、電子封筒13に埋め込む設定ファイル14を暗号化してもよい。設定ファイル14を暗号化するときは、電子封筒13のエンベロープに、設定ファイル14を復号するための情報が記述される。   In this step, the electronic envelope server processing unit 12 of the server 10 may encrypt the setting file 14 embedded in the electronic envelope 13 when transmitting the electronic envelope 13 to the client 20. When the setting file 14 is encrypted, information for decrypting the setting file 14 is described in the envelope of the electronic envelope 13.

加えて、好ましくは、電子封筒サーバ処理部12は、電子封筒13を生成する機能や、設定ファイル14が更新された際に、設定ファイル14が更新されたことを示す情報をメールなどの手段で、クライアント20に送信する機能を備えていることが望ましい。設定ファイル14が更新されたことを、クライアント20に通知することで、クライアント20を操作するユーザは、クライアントアプリケーション21を起動する前に、設定ファイル14が更新されたこと知ることができる。   In addition, preferably, the electronic envelope server processing unit 12 provides a function for generating the electronic envelope 13 or information indicating that the setting file 14 has been updated when the setting file 14 is updated by means such as mail. It is desirable to have a function of transmitting to the client 20. By notifying the client 20 that the setting file 14 has been updated, the user operating the client 20 can know that the setting file 14 has been updated before the client application 21 is activated.

次のステップS12は、クライアント20が、サーバ10から送信された電子封筒13を開封し、設定ファイル14を取出すステップである。クライアント20の電子封筒クライアント処理部22は、定められた手順で電子封筒13を開封(例えば、電子封筒13のコンテント部の復号)し、サーバ10から受信した電子封筒13のタグを解析することで、設定ファイル14は取出される。   In the next step S12, the client 20 opens the electronic envelope 13 transmitted from the server 10 and takes out the setting file 14. The electronic envelope client processing unit 22 of the client 20 opens the electronic envelope 13 according to a predetermined procedure (for example, decrypts the content portion of the electronic envelope 13), and analyzes the tag of the electronic envelope 13 received from the server 10. The setting file 14 is taken out.

次のステップS13は、クライアント20が、設定ファイル14に含まれ、設定ファイル14のバージョンや、設定ファイル14の識別情報(例えば、設定ファイル14の名前)などが記述された属性情報(例えば、図4の属性情報141)で示される設定ファイル14を記憶していないことを確認するステップである。   In the next step S13, the client 20 is included in the setting file 14, and attribute information (for example, the figure of the setting file 14 and the identification information of the setting file 14 (for example, the name of the setting file 14) is described. 4 is a step for confirming that the setting file 14 indicated by the attribute information 141) is not stored.

クライアント20は、サーバ10から送信された設定ファイル14の属性情報に含まれる識別情報とバージョンを確認し、識別情報とバージョンとが同じ設定ファイル14が、情報記憶部23に記憶されているときは、ステップS14aに進み、識別情報とバージョンとが同じ設定ファイル14が、情報記憶部23に記憶されていないときは、ステップS14bに進む。   The client 20 confirms the identification information and version included in the attribute information of the setting file 14 transmitted from the server 10, and when the setting file 14 having the same identification information and version is stored in the information storage unit 23. The process proceeds to step S14a, and if the setting file 14 having the same identification information and version is not stored in the information storage unit 23, the process proceeds to step S14b.

ステップS14aにおいては、クライアント20は、情報記憶部23に記憶され、サーバ10から送信された設定ファイル14と、識別情報・バージョンが同じ設定ファイル14を用いてPKIの環境を設定しステップS19に進む。   In step S14a, the client 20 sets a PKI environment using the setting file 14 stored in the information storage unit 23 and having the same identification information / version as the setting file 14 transmitted from the server 10, and the process proceeds to step S19. .

また、ステップS14bにおいては、クライアント20は、PKIの環境に利用する設定ファイル14を、サーバ10から送信された設定ファイル14に選択する。そして、次に実行されるステップS15においては、クライアント20は、サーバ10から送信された設定ファイル14の内容を変更する必要がないか確認する。このステップS15においては、クライアントサーバ10はディスプレイに設定ファイル14の内容を表示し、サーバ10から送信された設定ファイル14の内容で、PKIの環境を設定してもよいか、クライアント20を操作するユーザから同意を取る。   In step S <b> 14 b, the client 20 selects the setting file 14 used for the PKI environment as the setting file 14 transmitted from the server 10. In step S15 to be executed next, the client 20 confirms whether or not it is necessary to change the contents of the setting file 14 transmitted from the server 10. In this step S15, the client server 10 displays the contents of the setting file 14 on the display, and may set the PKI environment with the contents of the setting file 14 transmitted from the server 10, or operates the client 20. Get consent from the user.

ステップS15において、設定ファイル14の変更を必要としないときは、ステップS17に進み、設定ファイル14の変更を必要とするとき(例えば、PKIの環境を設定するときに必要となる情報が記憶されているパスが変更された場合など)は、ステップS16で、サーバ10から送信された設定ファイル14は編集される。このように、サーバ10から送信された設定ファイル14をそのまま使用できないケースも実際はあるので、クライアント20に備えられた電子封筒クライアント処理部22は、設定ファイル14を編集できる機能(例えば、エディタ)を備えていることをが好ましい。   In step S15, when the setting file 14 is not required to be changed, the process proceeds to step S17, and when the setting file 14 is required to be changed (for example, information necessary for setting the PKI environment is stored). In the case where the existing path is changed), the setting file 14 transmitted from the server 10 is edited in step S16. As described above, since there are cases where the setting file 14 transmitted from the server 10 cannot be used as it is, the electronic envelope client processing unit 22 provided in the client 20 has a function (for example, an editor) that can edit the setting file 14. It is preferable to provide.

ステップS17において、ステップS12で電子封筒13から取出した設定ファイル14もしくはステップS16で編集された設定ファイル14を用いて、クライアント20はPKIの環境を設定する。そして、次に実行されるステップS18では、ステップS17でPKIの環境設定に利用した設定ファイル14を記憶する。このステップS18では、クライアント20の電子封筒クライアント処理部22は、PKIの環境設定に利用した設定ファイル14を情報記憶部23に記憶する。   In step S17, the client 20 sets the PKI environment using the setting file 14 extracted from the electronic envelope 13 in step S12 or the setting file 14 edited in step S16. In step S18 to be executed next, the setting file 14 used for environment setting of PKI in step S17 is stored. In step S <b> 18, the electronic envelope client processing unit 22 of the client 20 stores the setting file 14 used for PKI environment setting in the information storage unit 23.

次に実行されるステップS19においては、ステップS17もしくはステップS14aで設定されたPKIの環境に従い、PKIを利用したクライアントサーバシステムの処理が開始される。   In step S19 to be executed next, processing of the client server system using the PKI is started in accordance with the PKI environment set in step S17 or step S14a.

本発明に係るクライアントサーバシステムを説明する図。The figure explaining the client server system which concerns on this invention. 図1のクライアントサーバシステムのブロック図。The block diagram of the client server system of FIG. 電子封筒を説明する図。The figure explaining an electronic envelope. 電子封筒に埋め込まれた設定ファイルを説明する図。The figure explaining the setting file embedded in the electronic envelope. 情報記憶部に記憶される情報を説明する図。The figure explaining the information memorize | stored in an information storage part. クライアントサーバシステムの動作手順を説明する図。The figure explaining the operation | movement procedure of a client server system.

符号の説明Explanation of symbols

10 サーバ
11 サーバアプリケーション
12 電子封筒サーバ処理部
13 電子封筒
14 設定ファイル
20 クライアント
21 クライアントアプリケーション
22 電子封筒クライアント処理部
23 情報記憶部
30 ネットワーク

DESCRIPTION OF SYMBOLS 10 Server 11 Server application 12 Electronic envelope server processing part 13 Electronic envelope 14 Setting file 20 Client 21 Client application 22 Electronic envelope client processing part 23 Information storage part 30 Network

Claims (3)

公開鍵基盤(PKI: Public Key Infrastructure)を利用したクライアントサーバシステムにおいて、前記クライアントがPKIの環境を自動的に設定する方法であって、
(a)ネットワークで接続されたサーバに、前記クライアントがアクセスするステップ、
(b)PKIの環境設定内容、及び、ファイルの識別情報とバージョン情報を少なくとも含む属性情報が記述された設定ファイルが埋め込まれた電子封筒を、前記サーバが前記クライアントに送信するステップ、
(c)前記クライアントが、前記サーバから送信された前記電子封筒を前記クライアントが開封し、前記電子封筒から前記設定ファイルを取得するステップ、
(d)前記クライアントが、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶しているか確認するステップ、
(e1)前記ステップ(d)において、前記クライアントが、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶している場合、前記クライアントで記憶している前記設定ファイルを用いてPKIの環境を設定し、
(e2)前記ステップ(d)において、前記属性情報で特定される前記設定ファイルを記憶していない場合、前記クライアントが、該設定ファイルを表示して、前記クライアントを操作するユーザに該設定ファイルを編集するか同意を取る処理を実行し、該同意が得られると、該設定ファイルの一部を前記ユーザに編集させる処理を実行し、該設定ファイルの一部が編集された場合は編集後の前記設定ファイルを、該設定ファイルの一部が編集されない場合は編集前の前記設定ファイルを用いてPKIの環境を設定した後、PKIの環境設定に利用した前記設定ファイルを記憶するステップ、
を含むことを特徴とするPKIの環境設定方法。 In a client server system using a public key infrastructure (PKI), the client automatically sets a PKI environment,
(A) a step in which the client accesses a server connected via a network;
(B) a step in which the server transmits an electronic envelope in which a setting file in which attribute information including at least PKI environment setting contents and file identification information and version information is embedded is transmitted to the client;
(C) the client opens the electronic envelope transmitted from the server, and the client acquires the setting file from the electronic envelope;
(D) confirming whether the client stores the setting file specified by the attribute information obtained from the electronic envelope;
(E1) In the step (d), when the client stores the setting file specified by the attribute information obtained from the electronic envelope, the setting file stored in the client is used. Set the PKI environment,
(E2) In the step (d), when the setting file specified by the attribute information is not stored, the client displays the setting file and sends the setting file to a user who operates the client. Edit or execute a process for obtaining consent. When the consent is obtained, execute a process for causing the user to edit a part of the setting file. If a part of the setting file is edited, Storing the setting file used for setting the PKI environment after setting the PKI environment using the setting file before editing if the setting file is not partially edited;
A PKI environment setting method characterized by comprising: 公開鍵基盤(PKI: Public Key Infrastructure)を利用し、ネットワークで接続されたクライアントとサーバとから成るクライアントサーバシステムであって、
前記サーバは、前記ネットワークを介してアクセスした前記クライアントに、PKIの環境設定内容、及び、ファイルの識別情報とバージョン情報を少なくとも含む属性情報が記述された設定ファイルが埋め込まれた電子封筒を送信する手段を備え、
前記クライアントは、前記サーバから受信した前記電子封筒を記憶する情報記憶部と、前記電子封筒から得られる前記属性情報で特定される前記設定ファイルを記憶しているか確認し、前記属性情報で特定される前記設定ファイルを記憶している場合、前記クライアントで記憶している前記設定ファイルを用いてPKIの環境を設定し、前記属性情報で特定される前記設定ファイルを記憶していない場合、前記クライアントが、該設定ファイルを表示して、前記クライアントを操作するユーザに該設定ファイルをそのまま利用するか同意を取る処理を実行し、該同意が得られると、該設定ファイルの一部を前記ユーザに編集させる処理を実行し、該設定ファイルの一部が編集された場合は編集後の前記設定ファイルを、該設定ファイルの一部が編集されない場合は編集前の前記設定ファイルを用いてPKIの環境を設定した後、PKIの環境設定に利用した前記設定ファイルを記憶する電子封筒処理手段を備えている、
ことを特徴とするクライアントサーバシステム。 A client / server system using a public key infrastructure (PKI) and a client and a server connected via a network,
The server transmits an electronic envelope in which a setting file in which attribute information including at least PKI environment setting contents and file identification information and version information is described is embedded to the client accessed via the network. With means,
The client confirms whether an information storage unit that stores the electronic envelope received from the server and the setting file specified by the attribute information obtained from the electronic envelope are stored, and is specified by the attribute information. The setting file stored in the client is used to set a PKI environment, and if the setting file specified by the attribute information is not stored, the client Displays the setting file and executes a process of using the setting file as it is or obtaining an agreement for the user operating the client, and when the agreement is obtained, a part of the setting file is transferred to the user. run the process of editing, the setting file of the edited if some of the configuration file has been edited, a part of the configuration file After setting the PKI environment if not the edited using the configuration file before editing, and a digital envelope processing means for storing the configuration file that uses the PKI preferences,
A client-server system. 請求項2に記載のクライアントサーバシステムを構成するクライアントに備えられた電子封筒処理手段として、コンピュータを機能させるためのコンピュータプログラム。   A computer program for causing a computer to function as electronic envelope processing means provided in a client constituting the client server system according to claim 2.
JP2005167704A 2005-06-08 2005-06-08 PKI environment setting method, client server system, and computer program Expired - Fee Related JP4648100B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005167704A JP4648100B2 (en) 2005-06-08 2005-06-08 PKI environment setting method, client server system, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005167704A JP4648100B2 (en) 2005-06-08 2005-06-08 PKI environment setting method, client server system, and computer program

Publications (2)

Publication Number Publication Date
JP2006345126A JP2006345126A (en) 2006-12-21
JP4648100B2 true JP4648100B2 (en) 2011-03-09

Family

ID=37641761

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005167704A Expired - Fee Related JP4648100B2 (en) 2005-06-08 2005-06-08 PKI environment setting method, client server system, and computer program

Country Status (1)

Country Link
JP (1) JP4648100B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001127759A (en) * 1999-10-29 2001-05-11 Toshiba Corp Information distribution system and storage medium
JP2004048458A (en) * 2002-07-12 2004-02-12 Ntt Communications Kk Secure communication system, policy server, and equipment and program for performing secure communication
WO2004095801A1 (en) * 2003-03-31 2004-11-04 Intel Corporation Methods and systems for managing security policies
JP2004328688A (en) * 2003-04-30 2004-11-18 Nec Corp Automatic setting system for inter-network connection apparatus and automatic setting method to be used therefor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001127759A (en) * 1999-10-29 2001-05-11 Toshiba Corp Information distribution system and storage medium
JP2004048458A (en) * 2002-07-12 2004-02-12 Ntt Communications Kk Secure communication system, policy server, and equipment and program for performing secure communication
WO2004095801A1 (en) * 2003-03-31 2004-11-04 Intel Corporation Methods and systems for managing security policies
JP2004328688A (en) * 2003-04-30 2004-11-18 Nec Corp Automatic setting system for inter-network connection apparatus and automatic setting method to be used therefor

Also Published As

Publication number Publication date
JP2006345126A (en) 2006-12-21

Similar Documents

Publication Publication Date Title
JP5030654B2 (en) Secure and efficient method of logging and data exchange synchronization
JP5114174B2 (en) Intelligent and secure data manipulation apparatus and method
US6633915B1 (en) Personal information management apparatus and customizing apparatus
JP4838610B2 (en) Document management apparatus, document management method, and program
CN110785760A (en) Method and system for registering digital documents
US8095918B2 (en) Software development apparatus for model that requires security
JP4981461B2 (en) Information concealment method and information concealment device
WO2014059604A1 (en) Method and device for secure access to resource
KR20010102851A (en) System, apparatus and method for presentation and manipulation of personal information syntax objects
JPH11282753A (en) Method and device for accessing object and storage medium storing program controlling access to object
JP3917125B2 (en) Document security system
JP2005209181A (en) File management system and management method
WO2000046681A9 (en) Content certification
JP2004171367A (en) Circuit operation simulation device, circuit operation simulation method, circuit operation simulation program, and circuit information decoding program
JP4648100B2 (en) PKI environment setting method, client server system, and computer program
JP2004234538A (en) Encrypted data sharing system
JP2005284353A (en) Personal information use system, method for controlling the same system, map file generating device and access control policy file generating device
JP3941253B2 (en) Hypertext system and method for handling hypertext
JP5033893B2 (en) Medical certificate generation support system
JP3818795B2 (en) Electronic form processing method
JP4925345B2 (en) Secret sharing apparatus and program
JP2007181093A (en) Time stamp server apparatus, time stamp issuing method, and time stamp issuing program
JP5372051B2 (en) File management apparatus, file management method and program
JP7313232B2 (en) Information processing device, its control method, and program
KR20060110530A (en) Anyform service providing system using web browser

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100302

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101029

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101209

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4648100

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees