JP4857657B2 - アクセス管理システム、および、アクセス管理方法 - Google Patents

アクセス管理システム、および、アクセス管理方法 Download PDF

Info

Publication number
JP4857657B2
JP4857657B2 JP2005241657A JP2005241657A JP4857657B2 JP 4857657 B2 JP4857657 B2 JP 4857657B2 JP 2005241657 A JP2005241657 A JP 2005241657A JP 2005241657 A JP2005241657 A JP 2005241657A JP 4857657 B2 JP4857657 B2 JP 4857657B2
Authority
JP
Japan
Prior art keywords
client
server
user
digital signature
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005241657A
Other languages
English (en)
Other versions
JP2007058455A (ja
Inventor
富己男 半田
義博 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2005241657A priority Critical patent/JP4857657B2/ja
Publication of JP2007058455A publication Critical patent/JP2007058455A/ja
Application granted granted Critical
Publication of JP4857657B2 publication Critical patent/JP4857657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、サーバが、ネットワークを介して接続されたクライアントのアクセスを管理する技術に関し、更に詳しくは、ユーザが所持する認証デバイスを用いて、サーバがクライアントのアクセスを管理する技術に関する。
ネットワークを利用したクライアントサーバシステムにおいては、特許文献1で記述されているように、サーバへの不正アクセスを防止すべく、クライアントがサーバのリソース(Webアプリケーション、データベースなど)にアクセスする際は、サーバはアクセスするユーザとユーザが使用しているクライアントを認証することが一般的である。
サーバがユーザを認証する技術としては、ユーザのIDとパスワードを用いる技術が一般的であるが、より高いセキュリティを実現するために、公開鍵基盤(PKI: Public Key Infrastructure)をユーザの認証に用いることが増えている。例えば、特許文献2においては、ユーザが1回の認証のみを行うことで、ユーザの使用が許可されているすべてのリソースにユーザがアクセスできるシングル・サインオンを、PKIを用いて実現した発明が開示されている。
また、サーバがユーザの使用しているクライアントを認証する技術としては、特許文献1で開示されているように、サーバにはアクセスを許可するクライアントの識別情報(例えば、MACアドレス: Media Access Control address)が登録され、サーバは登録されていないクライアントからのアクセスを拒否する技術が一般的に用いられる。
しかしながら、上述したクライアントを認証する技術においては、ユーザの会社・学校または自宅に設置されたクライアントは事前にサーバに登録できるが、出張先やネットカフェ等の使用するユーザが不特定多数のクライアントはサーバに登録できないため、不便が生じるケースがあった。
特開平11−331181号公報 特開2002−173492号公報
そこで、上述した問題を鑑みて、本発明は、サーバが、サーバにアクセスしたクライアントを認証し、クライアントのアクセスを管理する技術に関し、あらかじめサーバに登録されたクライアントのみならず、ユーザが使用するすべてのクライアントを認証でき、かつ、ユーザ自身の認証も行うことのできるアクセス管理方法およびアクセス管理システムを提供することを目的とする。
上述した課題を解決する第1の発明は、予めサーバの利用が許可されているユーザによって所持され、PINを照合する手段と、公開鍵暗号方式の秘密鍵を用いて、あるメッセージに対するデジタル署名を生成する手段を備え、前記秘密鍵と対になる公開鍵と前記ユーザのユーザIDを含む公開鍵証明書を記憶している認証デバイスを用いて、前記サーバがネットワークに接続されたクライアントのアクセス管理するアクセス管理方法であって、前記アクセス管理方法は、a)前記サーバが、前記サーバにアクセスする前記クライアントへクライアント識別情報を取得するモジュールと前記ユーザを認証するモジュールを送信し、前記ユーザを認証するモジュールが、前記ユーザから取得したPINを前記認証デバイスに照合させ、PINの照合に成功すると、前記クライアント識別情報を取得するモジュールが、前記クライアントの前記クライアント識別情報のデジタル署名を前記認証デバイスに生成させ、前記認証デバイスに記憶された前記ユーザの秘密鍵を用いて生成されたデジタル署名を付加した前記クライアントの前記クライアント識別情報と前記認証デバイスから読み取った前記公開鍵証明書を前記サーバへ送信するステップ、b)デジタル署名が付加された前記クライアント識別情報と前記公開鍵証明書を取得すると、前記サーバが、取得した前記公開鍵証明書に含まれるユーザIDをキーとして、取得した前記クライアント識別情報が前記サーバに登録されているか確認し、取得した前記クライアント識別情報が登録されていない場合は、取得した前記クライアント識別情報のデジタル署名を取得した公開鍵証明書の公開鍵を用いて検証し、デジタル署名の検証に成功すると、取得した前記公開鍵証明書に含まれるユーザIDに関連付けて取得した前記クライアント識別情報を前記サーバに登録するステップ、c)前記ステップb)で取得した前記クライアント識別情報のデジタル署名の検証に成功した場合、又は、取得した前記クライアント識別情報が前記サーバに登録されていた場合、前記サーバが前記クライアントのアクセスを許可するステップ、を含むことを特徴とする。
第1の発明において、前記認証デバイスとは、公開鍵暗号方式の暗号鍵を記憶でき、少なくとも、この暗号鍵を用いてデジタル署名を生成する機能を備えたデバイスで、詳しくは、ICカード(USIM:Universal Subscriber Identity Moduleも含む)やハードウェアトークン(例えば、USBキー)を意味している。
第1の発明によれば、前記ユーザの秘密鍵で生成された前記クライアント識別情報のデジタル署名を、前記サーバが前記ユーザの公開鍵を用いて検証することで、前記サーバが、前記クライアントを操作している前記ユーザの正当性を確認できると共に、前記サーバにアクセスした前記クライアントが、正当な前記ユーザが利用している前記クライアントであることを確認でき、事前に前記サーバに登録されていない前記クライアントであっても、前記サーバは前記クライアントのアクセスを許可できる。
更に、の発明によれば、正当な前記ユーザのみが前記認証デバイスを利用できるため、前記認証デバイスの悪用を防止することができる。
第2の発明は、予めサーバの利用が許可されているユーザが所持し、公開鍵基盤の機能を備えた認証デバイスを用いて、ネットワークに接続されたクライアントのアクセスをサーバが管理するアクセス管理システムであって、 前記認証デバイスは、前記認証デバイスに記憶された前記ユーザの秘密鍵を用いて、指定されたメッセージのデジタル署名を生成するデジタル署名生成手段と、PINを照合するPIN照合手段を備え、前記秘密鍵と対になる公開鍵と前記ユーザのユーザIDを含む公開鍵証明書を記憶し、前記クライアントは、前記認証デバイスとデータ通信するリーダライタを備え、前記サーバは、アクセスした前記クライアントに送信するプログラムとして、前記クライアントに備えられた前記リーダライタを操作して、前記認証デバイスの前記PIN照合手段を用いて、前記ユーザから取得したPINを照合する第2のプログラムと、前記第2のプログラムがPINの照合に成功すると、前記クライアントに備えられた前記リーダライタを操作して、前記ネットワーク上で前記クライアントを識別する情報であるクライアント識別情報のデジタル署名を、前記認証デバイスの前記デジタル署名生成手段を用いて生成し、このデジタル署名が付加された前記クライアント識別情報と前記認証デバイスから読み取った前記公開鍵証明書を前記サーバに送信する第1のプログラムを備え、更に、前記第1のプログラムによって送信された前記クライアント識別情報のデジタル署名を検証するデジタル署名検証手段と、デジタル署名が付加された前記クライアント識別情報と前記公開鍵証明書が前記第1のプログラムから送信されると、取得した前記公開鍵証明書に含まれるユーザIDをキーとして、送信された前記クライアント識別情報が前記サーバに登録されているか確認し、送信された前記クライアント識別情報が登録されていない場合は、前記クライアント識別情報に付加されたデジタル署名を前記デジタル署名検証手段に検証させ、デジタル署名の検証に成功すると、送信された前記公開鍵証明書に含まれるユーザIDに関連付けて送信された前記クライアント識別情報を前記サーバに登録し、前記デジタル署名検証手段が前記クライアント識別情報のデジタル署名の検証に成功した場合、又は、前記クライアント識別情報が前記サーバに登録されていた場合に前記クライアントのアクセスを許可するアクセス管理手段を備えていることを特徴とする。
上述した本発明によれば、サーバが、サーバにアクセスしたクライアントを認証し、クライアントのアクセスを管理する技術に関し、あらかじめサーバに登録されたクライアントのみならず、ユーザが使用するすべてのクライアントを認証でき、かつ、ユーザ自身の認証も行うことのできるアクセス管理方法およびアクセス管理システムを提供することができる。
ここから、本発明に係るアクセス管理システムについて、図を参照しながら詳細に説明する。図1は、アクセス管理システムのシステム構成を説明する図である。図1に示したように、アクセス管理システムは、ユーザが所持する認証デバイスであるICカード2と、ICカード2とデータ通信するICカードリーダ31を備えたクライアント3と、クライアント3とネットワーク4を介して接続されたサーバ1とから、少なくとも構成される。
ユーザが所持するICカード2は、PIN(Personal Identification Number)照合する手段と、PINの照合に成功した場合のみ、公開鍵暗号方式の秘密鍵を用いて、あるメッセージに対するデジタル署名を生成する手段とを備え、更に、ICカード2には、デジタル署名を生成する秘密鍵と対になる公開鍵の公開鍵証明書が記憶されている。
本実施の形態において、ユーザが所持する認証デバイスをICカードとしているのは、ICカードが社員証や学生証などの用途で普及し始めているからである。他の認証デバイスとしては、コンピュータとデータ通信する機能(例えば、USB通信)を備えたPKIのハードウェアトークン(例えば、USBキー)が利用できる。
ユーザがクライアント3を利用してサーバ1にアクセスすると、サーバ1はクライアント3上で動作するプログラム(例えば、Java(登録商標)のアプレット)をクライアント3に送信し、このプログラムは、ICカード2を所持するユーザの正当性を確認する。そして、ユーザの正当性が確認されると、このプログラムは、クライアント3に備えられたハードウェア(例えば、Ethernet(登録商標)のカード)で固定の情報であるMACアドレスを取得し、ICカード2を用いてMACアドレスのデジタル署名を生成し、生成したデジタル署名が付加されたMACアドレスと、ICカード2に記憶された公開鍵証明書をサーバ1に送信する。
そして、サーバ1は、上述のプログラムからこれらの情報を受信すると、データベースに記憶されているMACアドレスを確認する。受信したMACアドレスがサーバ1に登録されていない場合は、MACアドレスに付加されたデジタル署名を、公開鍵証明書に含まれる公開鍵で検証し、MACアドレスに付加されたデジタル署名の検証に成功した場合のみ、クライアント3のアクセスを許可し、事前に定められた規則に従いクライアント3とのセッションを管理する。また、受信したMACアドレスがサーバ1に登録されている場合は、デジタル署名の検証を行うことなく、クライアント3のアクセスを許可し、事前に定められた規則に従いクライアント3とのセッションを管理する。
なお、ここで、事前に定められた規則とは、サーバ1とクライアント3とのセッション時間に関する規則であることが望ましい。例えば、ユーザが一時的に利用しているクライアント3ならば、クライアント3とサーバ1とのセッション時間を1時間と限定し、1時間を越えた場合には、サーバ1はクライアント3との接続を強制的に解除する。
図2は、図1で示したアクセス管理システムのブロック図である。図2に示したように、ユーザが所持するICカード2には、外部端末(ここでは、ICカードリーダライタ31)から送信されるPINを照合する手段としてPIN照合手段21と、公開鍵暗号方式の秘密鍵23を用いて、外部端末から受信したメッセージのデジタル署名を生成するデジタル署名生成手段22を備えている。また、ICカード2には、秘密鍵23と対になる公開鍵25が、第三者機関である認証局によって発行された公開鍵証明書24の形式で記憶され、この公開鍵証明書24には公開鍵25と共に、ユーザを識別する情報であるユーザID26が記述されている。
また、ユーザが使用するクライアント3には、ユーザが所持するICカード2とデータ通信するための手段であるICカードリーダライタ31を備え、ネットワーク4を介してサーバ1にアクセスするプログラムとしてブラウザ33と、ネットワーク4上のクライアント3を識別する情報としてMACアドレス32が記憶されている。ユーザは、サーバ1のURL(Universal Resource Locator)をブラウザ33に入力するなどして、クライアント3からサーバ1にアクセスできる。
ユーザがクライアント3を用いてアクセスするサーバ1には、クライアント3とのセッションを管理するアクセス管理マネージャ10が備えられている。サーバ1に備えられたアクセス管理マネージャ10とは、これから述べる各モジュールをコントロールし、PKIを用いてクライアント2のアクセス管理と、ユーザが利用しているクライアント3に応じて、サーバ1とクライアント3とのセッション管理とを行う。
詳しくは、サーバ1に備えられたアクセス管理マネージャ10は、クライアント3に備えらたICカードリーダライタ31を操作してユーザを認証するユーザ認証モジュール11と、デジタル署名が付加されたMACアドレス32をクライアント3から取得するMACアドレス取得モジュール12と、MACアドレス32に付加されたデジタル署名を検証するデジタル署名検証モジュール13と、デジタル署名検証モジュール13で使用する公開鍵などの情報が記憶されるデータベース14とを備える。
サーバ1に備えられたユーザ認証モジュール11およびMACアドレス取得モジュール12は、この好ましくはJava(登録商標)のアプレットや、Windows(登録商標)のAcitveXコントロール技術などで実現され、クライアント3上で動作するプログラムである。
ユーザ認証モジュール11は、INをユーザから取得すると共に、クライアント3のICカードリーダライタ31を操作して、取得したPINをICカード2のPIN照合手段21を用いて照合する。また、MACアドレス取得モジュール12は、ユーザ認証モジュール11がユーザの認証に成功すると、ICカードリーダライタ31を操作し、ICカード2を用いて、クライアント3のMACアドレス32のデジタル署名を生成すると共に、ICカード2から公開鍵証明書24を読出し、デジタル署名を付加したMACアドレス32と公開鍵証明書24とをサーバ1に送信する。
アクセス管理マネージャ10に備えられたデータベース14には、ICカード2に記憶された公開鍵証明書24を発行した認証局の公開鍵である認証局公開鍵15と、ユーザID26に関連付けられて、ユーザが使用した実績のあるクライアント3のMACアドレス32とが登録済MACアドレス16として記憶される。
なお、データベースに、ユーザが使用した実績のあるクライアント3のMACアドレス32を登録済MACアドレス16として記憶する際は、所在の分かるクライアント3(例えば、会社に設定されたクライアント3)と、ユーザが一時的に利用したクライアント3(例えば、ネットカフェに設置されたクライアント3)とを識別するフラグを付加して、MACアドレス32を登録済MACアドレス16として記憶することが望ましい。上述したことを実施することで、ユーザが利用しているクライアント3に応じて、サーバ1とクライアント3とのセッションを、アクセス管理マネージャ10は管理することができる。
アクセス管理マネージャ10に備えられたデジタル署名検証モジュール13は、ICカード2から取得した公開鍵証明書24のデジタル署名を検証すると共に、クライアント3から取得したMACアドレス32に付加されているデジタル署名を検証する手段である。
デジタル署名検証モジュール13が、ICカード2から取得した公開鍵証明書24のデジタル署名を検証するときは、データベース14に記憶している認証局公開鍵15を用いる。また、デジタル署名検証モジュール13が、MACアドレス32に付加されたデジタル署名を検証するときは、公開鍵証明書24に含まれる公開鍵25を用いる。
ここから、サーバ1に備えられたアクセス管理マネージャ10の詳細な動作を説明するために、これまで説明したアクセス管理システムの動作について説明する。なお、アクセス管理システムの動作の説明は、本発明に係るアクセス管理方法の説明も兼ねている。図3および図4は、アクセス管理システムの動作を示したフロー図である。
図3で示している最初のステップS10は、クライアント3がサーバ1にアクセスするステップである。このステップにおいては、ユーザがクライアント3のICカードリーダライタ31にICカード2を装着し、クライアント3のブラウザ33を操作することで、クライアント3はサーバ1にアクセスする。
次のステップS11は、サーバ1がクライアント3に、ユーザ認証モジュール11とMACアドレス取得モジュール12を送信するステップである。このステップにおいては、クライアント3からサーバ1にアクセスがあると、サーバ1のアクセス管理マネージャ10は、アクセスしたクライアント3に対して、ユーザ認証モジュール11とMACアドレス取得モジュール12を送信し、これらのモジュールはクライアント3で動作する。
次のステップS12は、ユーザ認証モジュール11が、ICカード2を所持するユーザの正当を確認するステップである。このステップにおいては、クライアント3上で動作するユーザ認証モジュール11は、クライアント3のブラウザ33にPINを入力する画面を表示し、この画面にユーザがPINを入力することで、ユーザ認証モジュール11は、ユーザからINを取得する。そして、取得したPINを含み、PIN照合手段21を動作させるコマンドをICカード2に送信し、ICカード2のPIN照合手段21から、PINの照合結果を得る。
ステップS12おいて、PINの照合に成功した場合はステップS13に進み、PINの照合に失敗した場合は、クライアント3とサーバ1とがセッションすることなく、この手順は終了する。
PINの照合に成功した場合に実行されるステップS13は、MACアドレス取得モジュール12が、クライアント3からMACアドレス32を取得するステップである。このステップにおいては、PINの照合に成功すると、クライアント3上でMACアドレス取得モジュール12が動作し、MACアドレス取得モジュール12は、クライアント3からMACアドレス32を取得する。
次のステップS14は、MACアドレス取得モジュール12が、ICカード2を用いて、取得したMACアドレス32のデジタル署名を生成するステップである。このステップにおいては、MACアドレス取得モジュール12は、ステップS13で取得したMACアドレス32を含み、デジタル署名生成手段22を動作させるコマンドをICカード2に送信し、ICカード2に記憶された秘密鍵23を用いて生成されたMACアドレス32のデジタル署名を取得する。
次のステップS15は、MACアドレス取得モジュール12が、ICカード2に記憶された公開鍵証明書24と、デジタル署名が付加されたクライアント3のMACアドレス32をサーバ1に送信するステップである。このステップにおいては、MACアドレス取得モジュール12は、ICカード2から公開鍵証明書24を読出し、ステップS13で取得したMACアドレス32に、ステップS14でICカード2から取得したデジタル署名を付加し、これらの情報をサーバ1に送信する。
図4で示した次のステップS16は、サーバ1のアクセス管理マネージャ10が、受信したMACアドレス32が登録済MACアドレス16として、データベース14に記憶されているか確認するステップである。このステップにおいて、アクセス管理マネージャ10は、MACアドレス32と共に受信した公開鍵証明書24に含まれるユーザID26をキーとして登録済MACアドレス16を探索し、受信したMACアドレス32と同じアドレスが登録済MACアドレス16として記憶されていないか確認する。
ステップS16おいて、受信したMACアドレス32がデータベース14に登録されている場合はステップS20に進み、登録されていない場合はステップS17に進む。
受信したMACアドレス32がデータベース14に登録されていないときに実行されるステップS17は、アクセス管理マネージャ10が、MACアドレス32共に受信した公開鍵証明書24を検証するステップである。このステップにおいては、アクセス管理マネージャ10は、デジタル署名検証モジュール13に依頼し、データベース14に記憶されている認証局公開鍵15を用い、公開鍵証明書24に含まれるデジタル署名を検証する。
ステップS17おいて、公開鍵証明書24の検証に成功した場合はステップS18に進み、失敗した場合はステップS21に進む。
公開鍵証明書24のデジタル署名の検証に成功した場合に実行されるステップS18は、サーバ1のアクセス管理マネージャ10が、MACアドレス32に付加されたデジタル署名を検証するステップである。このステップにおいては、アクセス管理マネージャ10は、デジタル署名検証モジュール13に依頼し、公開鍵証明書24に含まれる公開鍵25を用い、MACアドレス32に付加されたデジタル署名を検証する。
ステップS18おいて、MACアドレス32に付加されたデジタル署名の検証に成功した場合はステップS19に進み、失敗した場合はステップS21に進む。
MACアドレス32に付加されたデジタル署名の検証に成功した場合に実行されるステップS19は、サーバ1のアクセス管理マネージャ10が、MACアドレス32と受信した公開鍵証明書24に含まれるユーザID26とをデータベース14に記憶するステップである。このステップにおいては、アクセス管理マネージャ10は、ユーザID26に関連付けて、データベース14にMACアドレス32を登録済MACアドレス16として記憶する。
ステップS16でデータベース14にMACアドレス32が登録されていたとき、または、ステップS19の後に実行されるステップS20は、サーバ1のアクセス管理マネージャ10が予め定められた規則に従い、サーバ1とクライアント3のセッションを管理するステップで、ステップS20をもってフローは終了する。
このステップにおいては、例えば、アクセス管理マネージャ10は、受信したMACアドレス32が、予め信頼性が確認されているクライアント3(例えば、会社に設置されたクライアント3)の場合は、クライアント3とサーバ1間のセッション可能な時間を8時間とし、予め信頼性が確認されていないクライアント3(例えば、ネットカフェに設置されたクライアント3)の場合は、クライアント3とサーバ1間のセッション可能な時間を1時間に限定するなどの管理を行う。
また、ステップS17で公開鍵証明書24の検証に失敗した場合、もしくは、ステップS18でMACアドレス32に付加されたデジタル署名の検証に失敗した場合に実行されるステップS21においては、アクセス管理マネージャ10は、クライアント3とサーバ1間のセッションを否認してフローはを終了する。
アクセス管理システムのシステム構成を説明する図。 アクセス管理システムのブロック図。 アクセス管理システムの動作を示したフローの第1図。 アクセス管理システムの動作を示したフローの第2図
符号の説明
1 サーバ
10 アクセス管理マネージャ
11 ユーザ認証モジュール
12 MACアドレス取得モジュール
13 デジタル署名検証モジュール
14 データベース
15 認証局公開鍵
16 登録済MACアドレス
2 ICカード
21 PIN照合手段
22 デジタル署名生成手段
23 秘密鍵
24 公開鍵証明書
25 公開鍵
26 ユーザID
3 クライアント
31 ICカードリーダライタ
32 MACアドレス
33 ブラウザ

Claims (2)

  1. 予めサーバの利用が許可されているユーザによって所持され、PINを照合する手段と、公開鍵暗号方式の秘密鍵を用いて、あるメッセージに対するデジタル署名を生成する手段を備え、前記秘密鍵と対になる公開鍵と前記ユーザのユーザIDを含む公開鍵証明書を記憶している認証デバイスを用いて、前記サーバがネットワークに接続されたクライアントのアクセス管理するアクセス管理方法であって、
    a)前記サーバが、前記サーバにアクセスする前記クライアントへクライアント識別情報を取得するモジュールと前記ユーザを認証するモジュールを送信し、前記ユーザを認証するモジュールが、前記ユーザから取得したPINを前記認証デバイスに照合させ、PINの照合に成功すると、前記クライアント識別情報を取得するモジュールが、前記クライアントの前記クライアント識別情報のデジタル署名を前記認証デバイスに生成させ、前記認証デバイスに記憶された前記ユーザの秘密鍵を用いて生成されたデジタル署名を付加した前記クライアントの前記クライアント識別情報と前記認証デバイスから読み取った前記公開鍵証明書を前記サーバへ送信するステップ、
    b)デジタル署名が付加された前記クライアント識別情報と前記公開鍵証明書を取得すると、前記サーバが、取得した前記公開鍵証明書に含まれるユーザIDをキーとして、取得した前記クライアント識別情報が前記サーバに登録されているか確認し、取得した前記クライアント識別情報が登録されていない場合は、取得した前記クライアント識別情報のデジタル署名を取得した公開鍵証明書の公開鍵を用いて検証し、デジタル署名の検証に成功すると、取得した前記公開鍵証明書に含まれるユーザIDに関連付けて取得した前記クライアント識別情報を前記サーバに登録するステップ、
    c)前記ステップb)で取得した前記クライアント識別情報のデジタル署名の検証に成功した場合、又は、取得した前記クライアント識別情報が前記サーバに登録されていた場合、前記サーバが前記クライアントのアクセスを許可するステップ、を含むことを特徴とするアクセス管理方法。
  2. 予めサーバの利用が許可されているユーザが所持し、公開鍵基盤の機能を備えた認証デバイスを用いて、ネットワークに接続されたクライアントのアクセスをサーバが管理するアクセス管理システムであって、
    前記認証デバイスは、前記認証デバイスに記憶された前記ユーザの秘密鍵を用いて、指定されたメッセージのデジタル署名を生成するデジタル署名生成手段と、PINを照合するPIN照合手段を備え、前記秘密鍵と対になる公開鍵と前記ユーザのユーザIDを含む公開鍵証明書を記憶し、
    前記クライアントは、前記認証デバイスとデータ通信するリーダライタを備え、
    前記サーバは、アクセスした前記クライアントに送信するプログラムとして、前記クライアントに備えられた前記リーダライタを操作して、前記認証デバイスの前記PIN照合手段を用いて、前記ユーザから取得したPINを照合する第2のプログラムと、前記第2のプログラムがPINの照合に成功すると、前記クライアントに備えられた前記リーダライタを操作して、前記ネットワーク上で前記クライアントを識別する情報であるクライアント識別情報のデジタル署名を、前記認証デバイスの前記デジタル署名生成手段を用いて生成し、このデジタル署名が付加された前記クライアント識別情報と前記認証デバイスから読み取った前記公開鍵証明書を前記サーバに送信する第1のプログラムを備え、更に、前記第1のプログラムによって送信された前記クライアント識別情報のデジタル署名を検証するデジタル署名検証手段と、デジタル署名が付加された前記クライアント識別情報と前記公開鍵証明書が前記第1のプログラムから送信されると、取得した前記公開鍵証明書に含まれるユーザIDをキーとして、送信された前記クライアント識別情報が前記サーバに登録されているか確認し、送信された前記クライアント識別情報が登録されていない場合は、前記クライアント識別情報に付加されたデジタル署名を前記デジタル署名検証手段に検証させ、デジタル署名の検証に成功すると、送信された前記公開鍵証明書に含まれるユーザIDに関連付けて送信された前記クライアント識別情報を前記サーバに登録し、前記デジタル署名検証手段が前記クライアント識別情報のデジタル署名の検証に成功した場合、又は、前記クライアント識別情報が前記サーバに登録されていた場合に前記クライアントのアクセスを許可するアクセス管理手段を備えていることを特徴とするアクセス管理システム。
JP2005241657A 2005-08-23 2005-08-23 アクセス管理システム、および、アクセス管理方法 Active JP4857657B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005241657A JP4857657B2 (ja) 2005-08-23 2005-08-23 アクセス管理システム、および、アクセス管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005241657A JP4857657B2 (ja) 2005-08-23 2005-08-23 アクセス管理システム、および、アクセス管理方法

Publications (2)

Publication Number Publication Date
JP2007058455A JP2007058455A (ja) 2007-03-08
JP4857657B2 true JP4857657B2 (ja) 2012-01-18

Family

ID=37921920

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005241657A Active JP4857657B2 (ja) 2005-08-23 2005-08-23 アクセス管理システム、および、アクセス管理方法

Country Status (1)

Country Link
JP (1) JP4857657B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010041393A (ja) * 2008-08-05 2010-02-18 Sharp Corp 複合記憶媒体モジュール、端末装置、記憶再生システム
JP6542722B2 (ja) * 2016-07-13 2019-07-10 日本電信電話株式会社 機器リスト作成システムおよび機器リスト作成方法
EP3817280A4 (en) 2018-06-26 2022-03-16 Japan Communications, Inc. SYSTEM FOR PROVIDING ONLINE SERVICES, IC CHIP AND APPLICATION PROGRAM
JP7470313B2 (ja) * 2018-06-26 2024-04-18 日本通信株式会社 オンラインサービス提供システム
WO2020004486A1 (ja) * 2018-06-26 2020-01-02 日本通信株式会社 オンラインサービス提供システム、アプリケーションプログラム
JP6499367B1 (ja) * 2018-12-14 2019-04-10 日本通信株式会社 オンラインサービス提供システム
JP6499368B1 (ja) * 2018-12-14 2019-04-10 日本通信株式会社 オンラインサービス提供システム
CN112528319A (zh) * 2020-12-05 2021-03-19 江苏秉信科技有限公司 一种基于多重认证的信息本地安全缓存方法
CN115118442B (zh) * 2022-08-30 2022-11-22 飞天诚信科技股份有限公司 一种软件定义边界框架下的端口保护方法及装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2718311A1 (fr) * 1994-03-30 1995-10-06 Trt Telecom Radio Electr Dispositif de mise en Óoeuvre d'un système de signature de message et carte à puce comportant un tel dispositif.
GB2338381A (en) * 1998-06-10 1999-12-15 Barclays Bank Plc Cryptographic authentication for internet using two servers
JP2002236622A (ja) * 2001-02-13 2002-08-23 Sony Corp 情報再生装置、情報記録装置、情報再生方法、情報記録方法、および情報記録媒体、並びにプログラム記憶媒体
JP2002287548A (ja) * 2001-03-26 2002-10-03 Sharp Corp 液状剤供給装置
JP2004246715A (ja) * 2003-02-14 2004-09-02 Fujitsu Ltd 認証情報処理方法
JP2005051314A (ja) * 2003-07-29 2005-02-24 Seiko Epson Corp 無線lanシステム、アクセスポイント、端末装置および接続管理プログラム
JP2005078220A (ja) * 2003-08-28 2005-03-24 Matsushita Electric Ind Co Ltd 情報処理装置ならびにサービス提供システムおよびサービス提供方法
JP4247109B2 (ja) * 2003-12-25 2009-04-02 株式会社東芝 ネットワーク電話システム、このネットワーク電話システムの主装置及び接続認証方法
JP2005217679A (ja) * 2004-01-29 2005-08-11 Hitachi Ltd 通信相手の認証を行う認証サーバ

Also Published As

Publication number Publication date
JP2007058455A (ja) 2007-03-08

Similar Documents

Publication Publication Date Title
JP4857657B2 (ja) アクセス管理システム、および、アクセス管理方法
JP4508331B2 (ja) 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体
JP4668551B2 (ja) 個人認証デバイスとこのシステムおよび方法
AU2004254771B2 (en) User authentication system
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US7409543B1 (en) Method and apparatus for using a third party authentication server
JP5694344B2 (ja) クラウド認証を使用する認証
WO2018198036A1 (en) Authentication system and identity management without password by single-use qr code and related method
US20030172272A1 (en) Authentication system and method
CN108684041A (zh) 登录认证的系统和方法
US8261336B2 (en) System and method for making accessible a set of services to users
JP2002024177A (ja) 電子公証システムおよび電子公証方法
JPH10336169A (ja) 認証方法、認証装置、記憶媒体、認証サーバ及び認証端末装置
CN101809585A (zh) 密码管理
US20050021954A1 (en) Personal authentication device and system and method thereof
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
US11444784B2 (en) System and method for generation and verification of a subject's identity based on the subject's association with an organization
US8601270B2 (en) Method for the preparation of a chip card for electronic signature services
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
US20090319778A1 (en) User authentication system and method without password
JP4303952B2 (ja) 多重認証システム、コンピュータプログラムおよび多重認証方法
KR100648986B1 (ko) 전자명함 서비스 시스템 및 방법과 전자명함 인증 장치 및방법과 이를 위한 컴퓨터로 읽을 수 있는 기록 매체
JP2002245008A (ja) 証明書を用いた権利の検証方法及び装置並びにプログラム及び記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110518

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110720

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111017

R150 Certificate of patent or registration of utility model

Ref document number: 4857657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141111

Year of fee payment: 3