JP5402301B2 - Authentication program, authentication system, and authentication method - Google Patents

Authentication program, authentication system, and authentication method Download PDF

Info

Publication number
JP5402301B2
JP5402301B2 JP2009149990A JP2009149990A JP5402301B2 JP 5402301 B2 JP5402301 B2 JP 5402301B2 JP 2009149990 A JP2009149990 A JP 2009149990A JP 2009149990 A JP2009149990 A JP 2009149990A JP 5402301 B2 JP5402301 B2 JP 5402301B2
Authority
JP
Japan
Prior art keywords
authentication
server device
certificate
client device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009149990A
Other languages
Japanese (ja)
Other versions
JP2011009939A (en
Inventor
宏樹 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Konica Minolta Inc
Original Assignee
Konica Minolta Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Konica Minolta Inc filed Critical Konica Minolta Inc
Priority to JP2009149990A priority Critical patent/JP5402301B2/en
Publication of JP2011009939A publication Critical patent/JP2011009939A/en
Application granted granted Critical
Publication of JP5402301B2 publication Critical patent/JP5402301B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認証システムに関し、特に、クライアントの証明書の認証を行なう認証システムに関する。   The present invention relates to an authentication system, and more particularly to an authentication system for authenticating a client certificate.

従来から、ネットワークにおいて、認証サーバ装置が、クライアントのデバイスにインストールされた電子証明書等の認証情報によって当該デバイスの認証を行なう技術が種々提案されている。   2. Description of the Related Art Conventionally, various technologies have been proposed in which an authentication server apparatus authenticates a device using authentication information such as an electronic certificate installed on a client device in a network.

なお、従来の技術では、あるクライアントの有する認証情報が、あるネットワークの認証サーバ装置が発行したものである場合に、当該認証情報によっては他のネットワークの認証サーバ装置による認証を受けることができない場合があった。   In the conventional technology, when authentication information possessed by a certain client is issued by an authentication server device of a certain network, authentication by the authentication server device of another network cannot be performed depending on the authentication information. was there.

このような場合に、クライアントが当該他のネットワークの認証サーバ装置による認証を受けることができるようにするための技術として、たとえば、特許文献1に記載されるように、認証サーバ装置間で連携をとる認証システムが提案されていた。   In such a case, as a technique for enabling the client to be authenticated by the authentication server device of the other network, for example, as described in Patent Document 1, cooperation between authentication server devices is performed. An authentication system has been proposed.

特許文献1に記載の技術では、ホームサーバ装置により発行された証明書がインストールされているクライアントが、別の認証サーバ装置に対してネットワーク接続を要求した場合、当該別の認証サーバ装置は、当該クライアントに指定させる等して得たホームサーバ装置の情報に基づいて、当該ホームサーバ装置にリダイレクトをする。これに応じて、ホームサーバ装置は、クライアントにIDやパスワードなどの認証情報を要求し、当該要求に対して入力された認証情報によって認証が成功すれば、期限付きの認証チケットを発行し、クライアントおよび当該他の認証サーバ装置の双方に、当該認証チケットを送信する。当該認証チケットにより、当該クライアントは、当該他の認証サーバ装置により認証を受けることができる。   In the technique described in Patent Document 1, when a client in which a certificate issued by a home server device is installed requests a network connection to another authentication server device, the other authentication server device Based on the information of the home server device obtained by causing the client to designate, etc., the home server device is redirected. In response to this, the home server device requests authentication information such as an ID and a password from the client, and if the authentication is successful by the authentication information input in response to the request, issues an authentication ticket with a time limit. The authentication ticket is transmitted to both the authentication server device and the other authentication server device. With the authentication ticket, the client can be authenticated by the other authentication server device.

特開2007−110377号公報Japanese Patent Laid-Open No. 2007-110377

上記の特許文献1に記載の技術では、クライアントのユーザがホームサーバ装置とは別の認証サーバ装置にアクセスしようとした場合、当該ユーザに、当該別の認証サーバ装置に対して改めて証明書の発行を要求するための手続を必要とすることなく、当該別の認証サーバ装置との通信を可能にすることができる。   In the technique described in Patent Literature 1, when a client user tries to access an authentication server device different from the home server device, a certificate is issued to the user again with respect to the other authentication server device. It is possible to enable communication with the other authentication server device without requiring a procedure for requesting.

しかしながら、上記の特許文献1に記載の技術では、認証サーバ装置同士が接続できない場合には、上記認証チケットの発行がなされず、クライアントは当該他の認証サーバ装置において認証を受けることができなかった。また、発行される認証チケットには有効期限が設定されているため、別の認証サーバ装置は、当該クライアントから、有効期限が切れるごとにホームサーバ装置へのリダイレクトを必要とされていた。したがって、そのことが、当該別の認証サーバ装置の負荷を増大させていた。   However, in the technique described in Patent Document 1, when the authentication server devices cannot be connected, the authentication ticket is not issued, and the client cannot be authenticated by the other authentication server device. . Further, since an expiration date is set for the issued authentication ticket, another authentication server device is required to redirect from the client to the home server device every time the expiration date expires. Therefore, this increases the load on the other authentication server device.

本発明は、係る実情に鑑み考え出されたものであり、その目的は、複数の認証サーバ装置を含む認証システムにおいて、認証サーバ装置同士の接続ができない場合であっても、これらの中のある認証サーバ装置が作成した証明書に関連付けされた認証情報を有するクライアント装置が他の認証サーバ装置により認証を受けることができ、かつ、認証サーバ装置の負荷を抑えることである。   The present invention has been conceived in view of the actual situation, and the object thereof is an authentication system including a plurality of authentication server devices, even if the authentication server devices cannot be connected to each other. A client device having authentication information associated with a certificate created by the authentication server device can be authenticated by another authentication server device, and the load on the authentication server device can be suppressed.

本発明のある局面に従った認証用プログラムは、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおいてクライアント装置の認証のために実行される認証用プログラムであって、管理サーバ装置に、クライアント装置からの証明書の発行要求に応じて、第1の認証サーバ装置に証明書の発行依頼を送信するステップを実行させ、第1の認証サーバ装置に、管理サーバ装置からの証明書の発行要求に応じてクライアント装置の証明書を作成するステップと、管理サーバ装置に、クライアント装置の証明書を送信するステップとを実行させ、管理サーバ装置に、第1の認証サーバ装置から受信した証明書の関連情報を作成するステップと、クライアント装置に、証明書および関連情報を送信するステップとを実行させ、第2の認証サーバ装置に、クライアント装置から送信されたクライアント装置の証明書を検証することにより、クライアント装置の認証を試みるステップと、クライアント装置の認証に失敗した場合に、クライアント装置から受信した情報を管理サーバ装置へ送信するステップとを実行させ、管理サーバ装置に、第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であるか否かを判断するステップと、第2の認証サーバ装置に対して、第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合には、クライアント装置の認証を許可するための情報である許可情報を送信し、第2の認証サーバ装置から受信した情報が自機が作成した関連情報ではないと判断した場合には、クライアント装置の認証を許可しない情報である不許可情報を送信するステップとをさらに実行させ、第2の認証サーバ装置に、クライアント装置に対して、管理サーバ装置から許可情報を受信したことに応じて、クライアント装置の認証に成功した旨の情報を送信し、管理サーバ装置から不許可情報を受信したことに応じて、クライアント装置の認証に失敗した旨の情報を送信するステップをさらに実行させる。
本発明の他の局面に従った認証用プログラムは、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおいてクライアント装置の認証のために実行される認証用プログラムであって、第1の認証サーバ装置に、クライアント装置からの証明書の発行要求に応じて、クライアント装置の証明書を作成するステップと、管理サーバ装置に、証明書の関連情報の作成を依頼するステップとを実行させ、管理サーバ装置に、第1の認証サーバ装置からの依頼に応じて、証明書の関連情報を作成するステップと、第1の認証サーバ装置に、関連情報を送信するステップとを実行させ、第1の認証サーバ装置に、クライアント装置に、証明書および関連情報を送信するステップを実行させ、第2の認証サーバ装置に、クライアント装置から送信されたクライアント装置の証明書を検証することにより、クライアント装置の認証を試みるステップと、クライアント装置の認証に失敗した場合に、クライアント装置から受信した情報を管理サーバ装置へ送信するステップとを実行させ、管理サーバ装置に、第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であるか否かを判断するステップと、第2の認証サーバ装置に対して、第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合には、クライアント装置の認証を許可するための情報である許可情報を送信し、第2の認証サーバ装置から受信した情報が自機が作成した関連情報ではないと判断した場合には、クライアント装置の認証を許可しない情報である不許可情報を送信するステップとをさらに実行させ、第2の認証サーバ装置に、クライアント装置に対して、管理サーバ装置から許可情報を受信したことに応じて、クライアント装置の認証に成功した旨の情報を送信し、管理サーバ装置から不許可情報を受信したことに応じて、クライアント装置の認証に失敗した旨の情報を送信するステップをさらに実行させる。 An authentication program according to an aspect of the present invention is an authentication executed for authentication of a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device. A first authentication server device that executes a step of transmitting a certificate issuance request to a first authentication server device in response to a certificate issuance request from a client device. , depending on the certificate request from the management server device, and creating a certificate for a client device, the management server apparatus, to execute a step of transmitting a certificate of the client apparatus, the management server device , that will be sending and creating a related information in the certificate received from the first authentication server device, the client device, the certificate and related information Tsu is executed and flop, the second authentication server, by verifying the certificate of the client apparatus transmitted from the client device; attempting to authenticate the client device, in case of failure in authentication of the client device , to execute the steps of transmitting the information received from the client device to the management server apparatus, the management server apparatus, information received from the second authentication server device whether the related information generated by the own device and determining, with respect to the second authentication server, when information received from the second authentication server determines that the related information created by the own device permits the authentication of the client device Permission information, which is information for authentication, is transmitted, and it is determined that the information received from the second authentication server device is not related information created by itself If the, the authentication further execute a step of transmitting a prohibition information is information that does not allow the client device, the second authentication server, for the client device, receiving the permission information from the management server device And transmitting information indicating that the authentication of the client device has been successful, and transmitting information indicating that the authentication of the client device has failed in response to receiving the non-permission information from the management server device. Let it run further.
An authentication program according to another aspect of the present invention is executed for authentication of a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device. An authentication program comprising: creating a certificate for a client device in response to a certificate issuance request from a client device in a first authentication server device; and A step of requesting the creation, and causing the management server device to create the relevant information of the certificate in response to the request from the first authentication server device and the relevant information to the first authentication server device. And transmitting the certificate and related information to the client device, and causing the first authentication server device to execute a step of transmitting the certificate and related information. And verifying the certificate of the client device transmitted from the client device, and when the authentication of the client device fails, the information received from the client device is transmitted to the management server device. The management server device determines whether the information received from the second authentication server device is related information created by the own device, and the second authentication server device When it is determined that the information received from the second authentication server device is related information created by the own device, permission information that is information for permitting authentication of the client device is transmitted, and the second information If it is determined that the information received from the authentication server device is not related information created by the device itself, authentication of the client device is permitted. And transmitting the non-permission information, which is information that is not permitted, to the second authentication server device for authenticating the client device in response to receiving the permission information from the management server device to the client device. In response to receiving information indicating success and receiving non-permission information from the management server device, a step of transmitting information indicating failure of authentication of the client device is further executed.

また、本発明の認証用プログラムは、クライアント装置に証明書と関連情報を送信するステップでは、関連情報は、証明書に埋め込まれて、送信されるIn the authentication program of the present invention, in the step of transmitting the certificate and the related information to the client device, the related information is embedded in the certificate and transmitted .

また、本発明の認証用プログラムは、第2の認証サーバ装置に、管理サーバ装置から許可情報を受信したことに応じて、クライアント装置に対して新たな証明書を作成して、クライアント装置へ送信するステップをさらに実行させる。 In addition, the authentication program of the present invention creates a new certificate for the client device in response to receiving the permission information from the management server device to the second authentication server device, and transmits it to the client device. The step to perform is performed further.

また、本発明の認証用プログラムは、管理サーバ装置に、第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合に、第2の認証サーバ装置に対して、新たな関連情報を送信するステップを実行させ、クライアント装置へ新たな証明書を送信するステップでは、新たな関連情報を埋め込まれた新たな証明書がクライアント装置へ送信されるIn addition, the authentication program of the present invention allows the management server device to provide information to the second authentication server device when the information received from the second authentication server device is related information created by the own device. In the step of transmitting new related information and transmitting a new certificate to the client device, a new certificate in which the new related information is embedded is transmitted to the client device .

また、本発明の認証用プログラムは、管理サーバ装置に、第1の認証サーバ装置に対して、クライアント装置の証明書の利用停止を指示する情報を送信するステップをさらに実行させる。   The authentication program according to the present invention further causes the management server device to further execute a step of transmitting information instructing the client device to stop using the certificate to the first authentication server device.

また、本発明の認証用プログラムは、管理サーバ装置に、管理サーバ装置の署名を作成することにより、関連情報を作成させる。   The authentication program of the present invention causes the management server device to create related information by creating a signature of the management server device.

また、本発明の認証用プログラムは、第2の認証サーバ装置に、クライアント装置から、クライアント装置の証明書の検証の依頼の際に、証明書とともに複数の情報を受信するステップと、管理サーバ装置へ、クライアント装置から受信した複数の情報を送信するステップとをさらに実行させ、管理サーバ装置に許可情報を送信させるステップでは、第2の認証サーバ装置から受信した複数の情報の中の少なくとも1つが自機の作成した関連情報であると判断した場合には、第2の認証サーバ装置に許可情報を送信する。   The authentication program of the present invention includes a step of receiving a plurality of pieces of information together with a certificate when the second authentication server apparatus requests the client apparatus to verify the certificate of the client apparatus, and the management server apparatus. Transmitting the plurality of information received from the client device to the step of causing the management server device to transmit the permission information, wherein at least one of the plurality of information received from the second authentication server device is If it is determined that the relevant information is created by the own device, permission information is transmitted to the second authentication server device.

また、本発明の認証用プログラムは、管理サーバ装置に、作成した関連情報を記憶するステップをさらに実行させ、第2の認証サーバ装置から受信した情報が、記憶した関連情報と一致するか否かに基づいて、第2の認証サーバ装置から受信した情報が自機が作成した関連情報であるか否かを判断させる。   The authentication program according to the present invention further causes the management server device to execute a step of storing the created related information, and whether the information received from the second authentication server device matches the stored related information. Based on the above, it is determined whether the information received from the second authentication server device is related information created by the own device.

また、本発明の認証用プログラムは、管理サーバ装置に、関連情報を、証明書および当該証明書を作成した第1の認証サーバのドメイン情報を関連付けて記憶させる。   The authentication program of the present invention causes the management server device to store related information in association with the certificate and the domain information of the first authentication server that created the certificate.

本発明のある局面に従った認証システムは、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた、クライアント装置の認証のための認証システムであって、管理サーバ装置は、クライアント装置からの証明書の発行要求に応じて、第1の認証サーバ装置に証明書の発行依頼を送信する第1の送信部を含み、第1の認証サーバ装置は、管理サーバ装置からの証明書の発行要求に応じて、クライアント装置の証明書を作成する第1の作成部と、管理サーバ装置に、クライアント装置の証明書を送信する第2の送信部とを含み、管理サーバ装置は、第1の認証サーバ装置から受信した証明書の関連情報を作成する第2の作成部と、関連情報をクライアントの証明書と関連付けて記憶する関連情報記憶部とを含み、第1の送信部は、クライアント装置に、証明書および関連情報を送信し、第2の認証サーバ装置は、クライアント装置から送信されたクライアント装置の証明書を検証することにより、クライアント装置の認証を試みる認証部と、認証部がクライアント装置の認証に失敗した場合に、クライアント装置から受信した情報を管理サーバ装置へ送信する第3の送信部とを含み、管理サーバ装置は、第2の認証サーバ装置から受信した情報と関連情報記憶部に記憶されている関連情報とを対比する対比部と、第2の認証サーバ装置に対して、第2の認証サーバ装置から受信した情報が関連情報記憶部に記憶されている関連情報と一致した場合には、クライアント装置の認証を許可するための情報である許可情報を送信し、第2の認証サーバ装置から受信した情報が関連情報記憶部に記憶されている関連情報と一致しなかった場合には、クライアント装置の認証を許可しないための情報である不許可情報を送信する第4の送信部とをさらに含み、第2の認証サーバ装置は、クライアント装置に対して、管理サーバ装置から許可情報を受信したことに応じて、クライアント装置の認証に成功した旨の情報を送信し、管理サーバ装置から不許可情報を受信したことに応じて、クライアント装置の認証に失敗した旨の情報を送信する第5の送信部をさらに含む。 An authentication system according to an aspect of the present invention is an authentication system for authenticating a client device, comprising a first authentication server device, a second authentication server device, and a management server device, wherein The server device includes a first transmission unit that transmits a certificate issuance request to the first authentication server device in response to a certificate issuance request from the client device. The first authentication server device is a management server. A first creation unit that creates a certificate of the client device in response to a certificate issuance request from the device, and a second transmission unit that sends the certificate of the client device to the management server device, The server device includes a second creation unit that creates related information of the certificate received from the first authentication server device, and a related information storage unit that stores the related information in association with the certificate of the client. of The communication unit transmits a certificate and related information to the client device, and the second authentication server device verifies the certificate of the client device transmitted from the client device, thereby attempting to authenticate the client device. And a third transmission unit that transmits information received from the client device to the management server device when the authentication unit fails to authenticate the client device. The management server device receives the information from the second authentication server device. The information received from the second authentication server device is stored in the related information storage unit with respect to the comparison unit that compares the obtained information with the related information stored in the related information storage unit and the second authentication server device. If it matches the related information, the permission information, which is information for permitting the authentication of the client device, is transmitted and received from the second authentication server device. A fourth transmission unit that transmits non-permission information that is information for not permitting authentication of the client device when the information does not match the related information stored in the related information storage unit; In response to receiving the permission information from the management server device to the client device, the second authentication server device transmits information indicating that the client device has been successfully authenticated. A fifth transmission unit that transmits information indicating that authentication of the client device has failed in response to reception.

本発明の他の局面に従った認証システムは、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた、クライアント装置の認証のための認証システムであって、第1の認証サーバ装置は、クライアント装置からの証明書の発行要求に応じて、クライアント装置の証明書を作成する第1の作成部と、管理サーバ装置に、証明書の関連情報の作成を依頼する情報を送信する第1の送信部とを含み、管理サーバ装置は、第1の認証サーバ装置からの依頼に応じて、証明書の関連情報を作成する第2の作成部と、関連情報をクライアントの証明書と関連付けて記憶する関連情報記憶部と、第1の認証サーバ装置に、関連情報を送信する第2の送信部とを含み、第1の送信部は、クライアント装置に、証明書および関連情報を送信し、第2の認証サーバ装置は、クライアント装置から送信されたクライアント装置の証明書を検証することにより、クライアント装置の認証を試みる認証部と、クライアント装置の認証に失敗した場合に、クライアント装置から受信した情報を管理サーバ装置へ送信する第3の送信部とを含み、管理サーバ装置は、第2の認証サーバ装置から受信した情報と関連情報記憶部に記憶されている関連情報とを対比する対比部と、第2の認証サーバ装置に対して、第2の認証サーバ装置から受信した情報が関連情報記憶部に記憶されている関連情報と一致した場合には、クライアント装置の認証を許可するための情報である許可情報を送信し、第2の認証サーバ装置から受信した情報が関連情報記憶部に記憶されている関連情報と一致しなかった場合には、クライアント装置の認証を許可しないための情報である不許可情報を送信する第4の送信部とをさらに含み、第2の認証サーバ装置は、クライアント装置に対して、管理サーバ装置から許可情報を受信したことに応じて、クライアント装置の認証に成功した旨の情報を送信し、管理サーバ装置から不許可情報を受信したことに応じて、クライアント装置の認証に失敗した旨の情報を送信する第5の送信部をさらに含む。 An authentication system according to another aspect of the present invention is an authentication system for authenticating a client device, comprising a first authentication server device, a second authentication server device, and a management server device, In response to a certificate issuance request from the client device, the first authentication server device requests the management server device to create certificate-related information from the first creating unit that creates the certificate of the client device. A first transmission unit that transmits information to be transmitted, and the management server device, in response to a request from the first authentication server device, a second creation unit that creates related information of the certificate, and the related information A related information storage unit that stores the certificate in association with the certificate of the client; and a second transmission unit that transmits the related information to the first authentication server device. The first transmission unit stores the certificate in the client device. And send related information Then, the second authentication server device verifies the certificate of the client device transmitted from the client device, and from the client device when the authentication of the client device fails and the authentication of the client device fails. A third transmission unit that transmits the received information to the management server device, and the management server device compares the information received from the second authentication server device with the related information stored in the related information storage unit. When the information received from the second authentication server device matches the related information stored in the related information storage unit, the authentication of the client device is permitted to the comparison unit and the second authentication server device. The permission information, which is information for sending, is transmitted, and the information received from the second authentication server device does not match the related information stored in the related information storage unit A fourth transmission unit that transmits non-permission information, which is information for not permitting authentication of the client device, and the second authentication server device transmits the client device from the management server device. In response to receiving the permission information, information indicating that the authentication of the client device is successful is transmitted, and in response to receiving the non-permission information from the management server device, information indicating that the authentication of the client device has failed is transmitted. It further includes a fifth transmission unit for transmission.

本発明のある局目に従った認証方法は、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおける、クライアント装置の認証方法であって、第1の認証サーバ装置は、請求項1に記載の認証用プログラムが当該第1の認証サーバ装置に実行させるすべてのステップを実行し、第2の認証サーバ装置は、請求項1に記載の認証用プログラムが当該第2の認証サーバ装置に実行させるすべてのステップを実行し、管理サーバ装置は、請求項1に記載の認証用プログラムが当該管理サーバ装置に実行させるすべてのステップを実行する An authentication method according to a certain station of the present invention is an authentication method for a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device. The authentication server device according to claim 1 executes all the steps that the authentication program according to claim 1 causes the first authentication server device to execute, and the second authentication server device performs authentication according to claim 1. The program executes all the steps that the second authentication server device executes, and the management server device executes all the steps that the authentication program according to claim 1 causes the management server device to execute .

本発明の他の局面に従った認証方法は、第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおける、クライアント装置の認証方法であって、第1の認証サーバ装置は、請求項2に記載の認証用プログラムが当該第1の認証サーバ装置に実行させるすべてのステップを実行し、第2の認証サーバ装置は、請求項2に記載の認証用プログラムが当該第2の認証サーバ装置に実行させるすべてのステップを実行し、管理サーバ装置は、請求項2に記載の認証用プログラムが当該管理サーバ装置に実行させるすべてのステップを実行する An authentication method according to another aspect of the present invention is an authentication method for a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device. The authentication server device according to claim 2 executes all the steps that the authentication program according to claim 2 causes the first authentication server device to execute, and the second authentication server device performs authentication according to claim 2. The program executes all the steps that the second authentication server device executes, and the management server device executes all the steps that the authentication program according to claim 2 causes the management server device to execute .

本発明によれば、第1の認証サーバが発行した証明書を有するクライアントが第2の認証サーバに認証を要求した場合、第2の認証サーバによる認証は一旦失敗する。なお、第1の認証サーバが発行した証明書に合わせて、管理サーバに記憶されクライアントの証明書に関連付けられた関連情報が、クライアントに送信される。そして、第2の認証サーバにおいてクライアントの認証が失敗すると、第2の認証サーバは、クライアントから証明書と合わせて受信した関連情報を、管理サーバに送信する。管理サーバは、第2の認証サーバから受信した関連情報が、自機が作成したものであるかどうかを判断し、そうであると判断すれば、第2の認証サーバに対して、クライアントの認証を許可する情報を送信する。また、そうでなければ、第2の認証サーバに対して、クライアントの認証を許可しない情報を送信する。   According to the present invention, when a client having a certificate issued by the first authentication server requests authentication from the second authentication server, authentication by the second authentication server once fails. In addition, in accordance with the certificate issued by the first authentication server, related information stored in the management server and associated with the client certificate is transmitted to the client. If the client authentication fails in the second authentication server, the second authentication server transmits the related information received together with the certificate from the client to the management server. The management server determines whether the related information received from the second authentication server is the one created by itself, and if so, authenticates the client to the second authentication server. Send information that permits. Otherwise, information that does not permit client authentication is transmitted to the second authentication server.

つまり、管理サーバが、第2の認証サーバから自機が作成した関連情報を受信したことを条件として、第2の認証サーバに、クライアントの認証を許可する情報を出力する。これにより、第1の認証サーバの証明書のみを有するクライアントのユーザに対して、第2の認証サーバに証明書発行用の情報の送信等のための操作を必要とすることなく、第2の認証サーバによる認証を受けることができる。また、第1の認証サーバと第2の認証サーバが直接通信ができなくとも、第2の認証サーバによる認証を受けることができる。   That is, the management server outputs information that permits client authentication to the second authentication server on the condition that the related information created by itself is received from the second authentication server. As a result, for the client user who has only the certificate of the first authentication server, the second authentication server does not require an operation for transmitting information for issuing a certificate to the second authentication server. Can be authenticated by an authentication server. Further, even if the first authentication server and the second authentication server cannot communicate directly, the authentication by the second authentication server can be received.

本発明の認証システムの第1の実施の形態の構成を模式的に示す図である。It is a figure which shows typically the structure of 1st Embodiment of the authentication system of this invention. 図1のドメインに含まれるネットワークの構成を模式的に示す図である。It is a figure which shows typically the structure of the network contained in the domain of FIG. 図1のクライアントを構成するPCのハードウェア構成を模式的に示す図である。It is a figure which shows typically the hardware constitutions of PC which comprises the client of FIG. 図1の管理サーバを構成するコンピュータのハードウェア構成を模式的に示す図である。It is a figure which shows typically the hardware constitutions of the computer which comprises the management server of FIG. 図1の認証サーバを構成するコンピュータのハードウェア構成を模式的に示す図である。It is a figure which shows typically the hardware constitutions of the computer which comprises the authentication server of FIG. 図1のクライアントの機能ブロックを模式的に示す図である。It is a figure which shows typically the functional block of the client of FIG. 図1の管理サーバの機能ブロックを模式的に示す図である。It is a figure which shows typically the functional block of the management server of FIG. 図1の認証サーバの機能ブロックを模式的に示す図である。It is a figure which shows typically the functional block of the authentication server of FIG. 図1の管理サーバに記憶されているライセンスキー管理テーブルの内容を模式的に示す図である。It is a figure which shows typically the content of the license key management table memorize | stored in the management server of FIG. 認証サーバによって発行され、ライセンスキーを埋め込まれた証明書の構成を模式的に示す図である。It is a figure which shows typically the structure of the certificate which was issued by the authentication server and embedded the license key. 図1の認証システムにおける通信内容を説明するための図である。It is a figure for demonstrating the communication content in the authentication system of FIG. 本発明の認証システムの第2の実施の形態の構成を模式的に示す図である。It is a figure which shows typically the structure of 2nd Embodiment of the authentication system of this invention. 本発明の認証システムの第3の実施の形態の構成を模式的に示す図である。It is a figure which shows typically the structure of 3rd Embodiment of the authentication system of this invention.

以下、本発明に係る認証システムの実施の形態について、図面を参照して説明する。各図において、同じ構成要素には同じ符号を付し、共通する特徴については詳細な説明を繰返さない。   Hereinafter, an embodiment of an authentication system according to the present invention will be described with reference to the drawings. In the drawings, the same components are denoted by the same reference numerals, and detailed description of common features will not be repeated.

[第1の実施の形態]
図1は、認証システムの第1の実施の形態の構成を模式的に示す図である。 [First Embodiment]
FIG. 1 is a diagram schematically illustrating the configuration of the first embodiment of the authentication system.

本実施の形態の認証システムでは、複数のドメイン(ドメイン701(図1では「Area.JP」と記載)、および、第2のドメイン801(図1では、「Area.EU」と記載))が定義されている。そして、それぞれのドメインに設けられた認証サーバ装置(認証サーバ装置700,800)が、各ドメインに属するクライアント装置に対して証明書を発行することができる。   In the authentication system of the present embodiment, a plurality of domains (domain 701 (described as “Area.JP” in FIG. 1) and second domain 801 (described as “Area.EU” in FIG. 1)) are included. Is defined. Then, authentication server devices (authentication server devices 700 and 800) provided in each domain can issue certificates to client devices belonging to each domain.

図1では、ドメイン701に、クライアント装置200が所属している。
クライアント装置200は、認証サーバ装置700によって発行された証明書によって、認証サーバ装置700による認証を受けることができる。なお、クライアント装置200は、認証サーバ装置800によっては、基本的に、認証を受けられないものとする。 In FIG. 1, the client device 200 belongs to the domain 701.
The client device 200 can be authenticated by the authentication server device 700 using the certificate issued by the authentication server device 700. Note that the client device 200 basically cannot receive authentication depending on the authentication server device 800.

本実施の形態では、クライアント装置200は、管理サーバ装置600に対して証明書発行依頼を送信すると、管理サーバ装置600は、当該証明書発行依頼を認証サーバ装置700へ送信するとともに、当該依頼に応じて認証サーバ装置700から送信されてきた証明書に対して、ライセンスキーを作成して埋め込み、ライセンスキーを埋め込んだ後の証明書を、クライアント装置200へと送信する。   In the present embodiment, when the client apparatus 200 transmits a certificate issuance request to the management server apparatus 600, the management server apparatus 600 transmits the certificate issuance request to the authentication server apparatus 700 and responds to the request. Accordingly, a license key is created and embedded in the certificate transmitted from the authentication server device 700, and the certificate after the license key is embedded is transmitted to the client device 200.

そして、本実施の形態では、それぞれのドメインに設けられた認証サーバ装置700,800と通信でき、ライセンスマネジメント機関(LMA)として機能する、管理サーバ装置600が設けられている。   In this embodiment, there is provided a management server device 600 that can communicate with the authentication server devices 700 and 800 provided in each domain and functions as a license management organization (LMA).

本実施の形態では、認証サーバ装置700が作成した証明書とともに、管理サーバ装置600によって作成された関連情報(たとえば、後述するライセンスデータ)が、クライアント装置200に送信される。   In the present embodiment, together with the certificate created by the authentication server device 700, related information created by the management server device 600 (for example, license data described later) is transmitted to the client device 200.

管理サーバ装置600には、認証サーバ装置700が発行した証明書と、証明書が認証を受け得るドメインを特定する情報と、上記した関連情報とが、関連付けられて記憶されている。   The management server device 600 stores a certificate issued by the authentication server device 700, information specifying a domain that can be authenticated by the certificate, and the related information described above in association with each other.

本実施の形態では、クライアント装置200の証明書の認証が認証サーバ装置800に依頼される際には、クライアント装置200から当該認証サーバ装置800に、証明書と、当該証明書ともに受信した関連情報が、送信される。   In the present embodiment, when authentication of the certificate of the client device 200 is requested to the authentication server device 800, the certificate and the related information received together with the certificate from the client device 200 to the authentication server device 800. Is sent.

認証サーバ装置800は、証明書の認証に失敗したとき、関連情報を、管理サーバ装置600へ送信する。   When the authentication server device 800 fails to authenticate the certificate, the authentication server device 800 transmits related information to the management server device 600.

管理サーバ装置600は、受信した関連情報が記憶している関連情報に含まれるか否かを判断し、含まれると判断すると、認証を許可する情報を認証サーバ装置800に返す。   The management server device 600 determines whether or not the received related information is included in the stored related information. If the management server device 600 determines that the received related information is included, the management server device 600 returns information permitting authentication to the authentication server device 800.

これに応じて、認証サーバ装置800は、認証を依頼してきたクライアント装置200に対し、認証が成功した情報を送信する。   In response to this, the authentication server device 800 transmits information of successful authentication to the client device 200 that has requested authentication.

以下、本実施の形態の認証システムの構成および当該認証システムにおいて実行される処理の内容について、より具体的に説明する。   Hereinafter, the configuration of the authentication system according to the present embodiment and the contents of processing executed in the authentication system will be described more specifically.

(証明書の発行依頼)
まず、ドメイン701に存在するクライアント200が、認証サーバ700に対して証明書の発行依頼を送信する。この発行依頼には、当該証明書を利用するドメインを特定するコード(以下、「Region情報」とする)、および、証明書の発行要求として一般に送信される情報(署名要求:Certificate Signing Request)が含まれる。 (Request for certificate issuance)
First, the client 200 existing in the domain 701 transmits a certificate issuance request to the authentication server 700. This issuance request includes a code that identifies the domain that uses the certificate (hereinafter referred to as “Region information”) and information that is generally sent as a certificate issuance request (signature request: Certificate Signing Request). included.

当該発行依頼に応じて、認証サーバ600は、当該発行依頼に含まれるRegion情報に対応する認証サーバに対して、当該クライアント200に対する証明書の発行を依頼する情報を送信する。   In response to the issue request, the authentication server 600 transmits information requesting the client 200 to issue a certificate to the authentication server corresponding to the Region information included in the issue request.

管理サーバ600からの証明書の発行依頼に応じて、第1の認証サーバ700は、クライアント200が送信してきた情報に署名を施し、証明書10Aを作成して、管理サーバ600へ送信する。   In response to the certificate issuance request from the management server 600, the first authentication server 700 signs the information transmitted by the client 200, creates the certificate 10A, and transmits the certificate 10A to the management server 600.

管理サーバ600は、クライアント200からの発行依頼に応じて、当該発行依頼に含まれるRegion情報に対応する認証サーバに証明書の発行依頼を送信するとともに、これにより発行される証明書に対応するライセンスキーを作成する。ライセンスキーは、たとえば、上記証明書発行依頼に応じて第1の認証サーバ700から送信されてきた証明書10Aのデータの一部に対して特定の演算処理(たとえば、ハッシュ演算)を施すことにより作成される。なお、管理サーバ600は、証明書10Aの一部を抜き出すのではなく、クライアント200から送られてきた秘密コード等の特定の情報に対して数値演算(たとえば、ハッシュ演算)を施して、ライセンスキーを作成することもできる。また、管理サーバ600は、予め当該管理サーバ600に記憶されたコードを利用して、ライセンスキーを作成することもできる。   In response to the issuance request from the client 200, the management server 600 transmits a certificate issuance request to the authentication server corresponding to the Region information included in the issuance request, and the license corresponding to the certificate issued thereby. Create a key. The license key is obtained by, for example, performing a specific calculation process (for example, a hash calculation) on a part of the data of the certificate 10A transmitted from the first authentication server 700 in response to the certificate issuance request. Created. Note that the management server 600 does not extract a part of the certificate 10A but performs a numerical operation (for example, a hash operation) on specific information such as a secret code sent from the client 200 to obtain a license key. Can also be created. The management server 600 can also create a license key using a code stored in the management server 600 in advance.

また、管理サーバ装置600は、証明書に当該管理サーバ装置600の署名を施すことにより、ライセンスキーを作成しても良い。   Further, the management server apparatus 600 may create a license key by applying a signature of the management server apparatus 600 to the certificate.

そして、管理サーバ600は、認証サーバ700が作成して送信してきた証明書10Aに、当該管理サーバ600が作成したライセンスキーを埋込んで、証明書10として、クライアント200に送信する。   Then, the management server 600 embeds the license key created by the management server 600 in the certificate 10A created and sent by the authentication server 700, and sends it to the client 200 as the certificate 10.

認証サーバ700が作成した証明書は、認証サーバ700には認証することができるが、認証サーバ800は認証ができないものとする。   The certificate created by the authentication server 700 can be authenticated by the authentication server 700, but the authentication server 800 cannot be authenticated.

そして、本実施の形態では、認証サーバ800と同じ管理サーバ600によってドメインの管理をされる認証サーバ700が発行した証明書により認証が行なえるようにするものである。   In this embodiment, authentication can be performed using a certificate issued by an authentication server 700 whose domain is managed by the same management server 600 as the authentication server 800.

(ネットワークの構成)
図2は、ドメイン701やドメイン801に含まれるネットワークの構成を模式的に示す図である。 (Network configuration)
FIG. 2 is a diagram schematically illustrating the configuration of a network included in the domain 701 and the domain 801.

ネットワークには、クライアント装置200を構成するパーソナルコンピュータ(PC)が複数含まれている。図2では、各PC2が、PC(1)〜PC(n)で示されている。各PC2は、ネットワークケーブル3を通じてハブ4と接続されている。各PC2は、ハブ4およびルータ5を介して、図示しない別のネットワークに接続された端末や認証サーバ装置(認証サーバ装置700等)、管理サーバ装置600との接続が可能に構成されている。   The network includes a plurality of personal computers (PCs) constituting the client device 200. In FIG. 2, each PC2 is indicated by PC (1) to PC (n). Each PC 2 is connected to a hub 4 through a network cable 3. Each PC 2 is configured to be connectable to a terminal, an authentication server device (such as the authentication server device 700), and a management server device 600 connected to another network (not shown) via the hub 4 and the router 5.

(クライアント装置のハードウェア構成)
図3は、クライアント装置200を構成するPC2のハードウェア構成を模式的に示す図である。 (Hardware configuration of client device)
FIG. 3 is a diagram schematically illustrating a hardware configuration of the PC 2 that configures the client device 200.

図3を参照して、PC2は、当該PC2の動作を全体的に制御するCPU(Central Processing Unit)250、CPU250のワークエリアとして機能するRAM(Random Access Memory)254、プログラムやデータなどを記憶するROM(Read Only Memory)256、PC2に対して情報を入力するためのキーボードなどの入力装置260、他のPC2や認証サーバ装置、管理サーバ装置、モニタ2Aとの通信を行なう通信装置262、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)264、およびPC2に対して着脱可能なCD−ROM(Compact Disk Read Only Memory)等の記録媒体252Aとアクセスするメディアドライブ252とを備えている。つまり、PC2は、入力装置260を介して入力された情報の入力を受付け、通信装置262を介して他の端末やネットワークと接続可能であり、また、モニタ2Aに当該PC2において処理される情報を表示させることができる。   Referring to FIG. 3, PC 2 stores a CPU (Central Processing Unit) 250 that controls the overall operation of PC 2, a RAM (Random Access Memory) 254 that functions as a work area for CPU 250, programs, data, and the like. ROM (Read Only Memory) 256, input device 260 such as a keyboard for inputting information to PC 2, communication device 262 for communicating with other PC 2, authentication server device, management server device, monitor 2A, program, A hard disk device (HDD) 264 having a hard disk for storing files, and a recording medium 252A such as a CD-ROM (Compact Disk Read Only Memory) detachably attached to the PC 2 and a media drive 252 for accessing. That is, the PC 2 accepts input of information input via the input device 260, can be connected to other terminals and networks via the communication device 262, and receives information to be processed in the PC 2 on the monitor 2A. Can be displayed.

そして、PC2は、上記のハードディスクや記録媒体252Aに記憶されたプログラムが読込まれて実行されることによるデータの演算や加工により、証明書の発行の要求や、証明書の認証の要求を実行する、クライアント装置として機能する。   The PC 2 executes a certificate issuance request and a certificate authentication request by calculating and processing data by reading and executing the program stored in the hard disk or the recording medium 252A. , Function as a client device.

(管理サーバ装置のハードウェア構成)
図4は、管理サーバ装置600を構成するコンピュータのハードウェア構成を模式的に示す図である。 (Hardware configuration of the management server)
FIG. 4 is a diagram schematically illustrating a hardware configuration of a computer that configures the management server apparatus 600.

図4を参照して、管理サーバ装置600は、当該管理サーバ装置600の動作を全体的に制御するCPU650、CPU650のワークエリアとして機能するRAM654、プログラムやデータなどを記憶するROM656、管理サーバ装置600に対して情報を入力するためのキーボードなどの入力装置660、クライアント装置200や認証サーバ装置700,800等の他の端末との通信を行なう通信装置662、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)664、および管理サーバ装置600の本体に対して着脱可能なCD−ROM等の記録媒体652Aとアクセスするメディアドライブ652とを備えている。つまり、管理サーバ装置600は、入力装置660を介して入力された情報の入力を受付け、通信装置662を介して他の端末やネットワークと接続可能である。   Referring to FIG. 4, management server apparatus 600 includes a CPU 650 that generally controls the operation of management server apparatus 600, a RAM 654 that functions as a work area for CPU 650, a ROM 656 that stores programs and data, and management server apparatus 600. An input device 660 such as a keyboard for inputting information to the computer, a communication device 662 for communicating with other terminals such as the client device 200 and the authentication server devices 700 and 800, and a hard disk comprising a hard disk for storing programs and files. A device (HDD) 664 and a recording medium 652A such as a CD-ROM that can be attached to and detached from the main body of the management server device 600 and a media drive 652 for accessing the storage device 652 are provided. In other words, the management server device 600 can accept input of information input via the input device 660 and can be connected to other terminals and networks via the communication device 662.

そして、管理サーバ装置600は、上記のハードディスクや記録媒体652Aに記憶されたプログラムが読込まれて実行されることによるデータの演算や加工により、本実施の形態において説明される各種の情報処理を行なう、管理サーバとして機能する。   Then, the management server device 600 performs various types of information processing described in the present embodiment by calculating and processing data by reading and executing the program stored in the hard disk or the recording medium 652A. , Function as a management server.

(認証サーバ装置のハードウェア構成)
図5は、認証サーバ装置700を構成するコンピュータのハードウェア構成を模式的に示す図である。 (Hardware configuration of authentication server device)
FIG. 5 is a diagram schematically illustrating a hardware configuration of a computer constituting the authentication server device 700.

図5を参照して、認証サーバ装置700は、当該認証サーバ装置700の動作を全体的に制御するCPU750、CPU750のワークエリアとして機能するRAM754、プログラムやデータなどを記憶するROM756、認証サーバ装置700に対して情報を入力するためのキーボードなどの入力装置760、クライアント装置200や認証サーバ装置700,800等の他の端末との通信を行なう通信装置762、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)764、および認証サーバ装置700の本体に対して着脱可能なCD−ROM等の記録媒体752Aとアクセスするメディアドライブ752とを備えている。つまり、認証サーバ装置700は、入力装置760を介して入力された情報の入力を受付け、通信装置762を介して他の端末やネットワークと接続可能である。   Referring to FIG. 5, authentication server apparatus 700 includes a CPU 750 that controls the operation of authentication server apparatus 700 as a whole, RAM 754 that functions as a work area for CPU 750, ROM 756 that stores programs and data, and authentication server apparatus 700. An input device 760 such as a keyboard for inputting information to the device, a communication device 762 for communicating with other terminals such as the client device 200 and the authentication server devices 700 and 800, and a hard disk comprising a hard disk for storing programs and files. A device (HDD) 764 and a recording medium 752A such as a CD-ROM that can be attached to and detached from the main body of the authentication server device 700 and a media drive 752 for accessing the recording medium 752 are provided. That is, the authentication server device 700 can accept input of information input via the input device 760 and can be connected to other terminals and networks via the communication device 762.

そして、認証サーバ装置700は、上記のハードディスクや記録媒体752Aに記憶されたプログラムが読込まれて実行されることによるデータの演算や加工により、本実施の形態において説明される各種の情報処理を行なう、認証サーバとして機能する。   Authentication server apparatus 700 performs various types of information processing described in the present embodiment by calculating and processing data by reading and executing the program stored in the hard disk or recording medium 752A. , Function as an authentication server.

(クライアント装置の機能構成)
図6は、クライアント装置200の機能ブロックを模式的に示す。 (Functional configuration of client device)
FIG. 6 schematically shows functional blocks of the client device 200.

図6を参照して、ハブ4(図2を参照)を介してクライアント装置200へ送信されるデータは、データ受信部202において受信される。   Referring to FIG. 6, data transmitted to client device 200 via hub 4 (see FIG. 2) is received by data receiving unit 202.

データ受信部202は、受信したデータ(パケット)が、自機宛のデータであるか否かを判断し、自機宛のデータであると判断すると、当該データをデータ解析部203に送る。   The data receiving unit 202 determines whether or not the received data (packet) is data destined for the own device. If the data receiving unit 202 determines that the data is addressed to the own device, the data receiving unit 202 sends the data to the data analyzing unit 203.

データ解析部203は、受信されたパケットからデータを抽出し、抽出されたデータの中に処理命令が含まれていれば、認証部204またはその他処理部207のいずれかで処理させる。   The data analysis unit 203 extracts data from the received packet, and if the processing instruction is included in the extracted data, the data analysis unit 203 causes the authentication unit 204 or the other processing unit 207 to process the data.

認証部204は、ネットワーク6(各ドメインに含まれるネットワーク)へのログイン時または定期的に、認証サーバ装置(認証局(CA:Certificate Authority)と同様の働きをするサーバ装置)または他のクライアント装置(PC2)に対して、認証や接続の許可を依頼する情報を送信する。ここで、他のクライアント装置に対して、認証や接続の許可を依頼する情報を、以下「認証/接続依頼」と記載する。   The authentication unit 204 is an authentication server device (a server device that works in the same manner as a certificate authority (CA)) or other client device when logging into the network 6 (network included in each domain) or periodically. Information for requesting authentication or connection permission is transmitted to (PC2). Here, the information for requesting authentication or connection permission from other client devices is hereinafter referred to as “authentication / connection request”.

また、認証部204は、他のクライアント装置から、認証/接続依頼が送信されてきた場合には、当該認証/接続依頼から認証に用いる情報(証明書等)を抽出し、当該認証情報の検証を行なう。そして、認証部204は、抽出した情報(証明書)を、当該クライアント装置200の所属する認証サーバ装置に送信して、当該証明書の認証を依頼する。   In addition, when an authentication / connection request is transmitted from another client device, the authentication unit 204 extracts information (such as a certificate) used for authentication from the authentication / connection request and verifies the authentication information. To do. Then, the authentication unit 204 transmits the extracted information (certificate) to the authentication server device to which the client device 200 belongs, and requests authentication of the certificate.

認証部204は、他のクライアント装置に対する認証結果の送信等、他の端末に対してメッセージを送信する必要が生じた場合には、データ作成部411に対して、メッセージの作成を依頼する。   The authentication unit 204 requests the data creation unit 411 to create a message when it is necessary to send a message to another terminal, such as sending an authentication result to another client device.

データ受信部202が受信したデータに対して、認証部204が実行する処理以外の処理の実行が必要な場合には、その他処理部207が、当該処理を実行する。   When it is necessary to execute processing other than the processing executed by the authentication unit 204 on the data received by the data receiving unit 202, the other processing unit 207 executes the processing.

データ送信部212は、データ作成部211が作成したデータを送信する。データ送信部212は、データ作成部211によって作成されたデータを、ネットワークパケットの形式にし、ネットワーク6を介して、送信先に配送する。   The data transmission unit 212 transmits the data created by the data creation unit 211. The data transmission unit 212 converts the data created by the data creation unit 211 into a network packet format and delivers it to the transmission destination via the network 6.

クライアント装置200における上記した各構成要素は、CPU250が各種のプログラムを実行することにより実現される。   Each component described above in the client device 200 is realized by the CPU 250 executing various programs.

クライアント装置200において各種の処理を実行するためのプログラムや、各種のデータは、データ保持部206に記憶される。   A program for executing various processes in the client device 200 and various data are stored in the data holding unit 206.

(管理サーバ装置の機能構成)
図7は、管理サーバ装置600の機能ブロックを模式的に示す。 (Functional configuration of the management server device)
FIG. 7 schematically shows functional blocks of the management server device 600.

図7を参照して、データ受信部602は、ネットワーク6上を流れるパケットが自機宛のパケットであるか否かを判断し、自機宛のデータであると判断すると、当該データをデータ解析部603に送る。   Referring to FIG. 7, data receiving section 602 determines whether or not a packet flowing on network 6 is a packet addressed to its own device. Send to part 603.

データ解析部203は、受信されたパケットからデータを抽出し、抽出されたデータの中に処理命令が含まれていれば、ライセンスキー発行・認証部604、証明書管理部605またはその他処理部607のいずれかで処理させる。   The data analysis unit 203 extracts data from the received packet, and if the extracted data includes a processing instruction, the license key issuance / authentication unit 604, certificate management unit 605, or other processing unit 607 is included. It is made to process with either.

ライセンスキー発行・認証部604は、新規に参加したクライアント装置(または、デバイスやアプリケーション)に対して、ライセンスキーを発行(作成)し、証明書管理部605に送信する。   The license key issuance / authentication unit 604 issues (creates) a license key to a newly participating client apparatus (or device or application), and transmits the license key to the certificate management unit 605.

証明書管理部605は、クライアント装置200が証明書の発行を要求した場合、当該クライアント装置200に対して発行された証明書に、ライセンスキー発行・認証部604が発行したライセンスキーを埋め込む。   When the client device 200 requests issuance of a certificate, the certificate management unit 605 embeds the license key issued by the license key issuance / authentication unit 604 in the certificate issued to the client device 200.

図10に、ライセンスキーを埋め込まれた証明書の構成を模式的に示す。
図10を参照して、証明書10では、認証サーバ装置(認証サーバ装置700または認証サーバ装置800)によって作成された証明書10Aに、管理サーバ装置600で作成されたライセンスキー10Bが埋め込まれている。 FIG. 10 schematically shows the configuration of a certificate in which a license key is embedded.
Referring to FIG. 10, in certificate 10, license key 10B created by management server apparatus 600 is embedded in certificate 10A created by the authentication server apparatus (authentication server apparatus 700 or authentication server apparatus 800). Yes.

図7に戻って、ライセンスキー発行・認証部604は、ライセンスキーの発行を、証明書の発行後に、当該証明書のデータの一部を利用して作成しても良いし、証明書とは別に独立して作成しても良い。発行されたライセンスキーは、証明書管理部607に送られる。   Returning to FIG. 7, the license key issuance / authentication unit 604 may create a license key using a part of the data of the certificate after issuing the certificate. It may be created independently. The issued license key is sent to the certificate management unit 607.

また、ライセンスキー発行・認証部604は、クライアント装置200から送信されてきたライセンスキーに対し、自己が発行したライセンスキーであるか否かを判断する。   The license key issuance / authentication unit 604 determines whether the license key transmitted from the client device 200 is a license key issued by itself.

証明書管理部605は、クライアント装置200から認証サーバ装置700に対して証明書発行依頼を受けた場合、当該発行依頼を認証サーバ装置700に送信する。つまり、認証サーバ装置700への証明書発行依頼を中継する。   When the certificate management unit 605 receives a certificate issuance request from the client device 200 to the authentication server device 700, the certificate management unit 605 transmits the issuance request to the authentication server device 700. That is, the certificate issuance request to the authentication server device 700 is relayed.

証明書管理部605は、証明書と、当該証明書について発行(作成)したライセンスキーを関連付けて、図9に示したような情報(ライセンスキー管理テーブル)をデータ保持部706に記憶させることにより、管理する。   The certificate management unit 605 associates the certificate with the license key issued (created) for the certificate, and stores the information (license key management table) as shown in FIG. 9 in the data holding unit 706. ,to manage.

図9を参照して、ライセンスキー管理テーブルでは、証明書ごとに管理番号が付され、管理番号ごとに、ライセンスキー(848ddd02-4a92-・・・等)と証明書が関連付けられて記憶されている。また、管理番号ごとに、当該証明書が認証を受けることができるドメインを特定する情報(Region情報)が記憶されている。   Referring to FIG. 9, in the license key management table, a management number is assigned to each certificate, and a license key (848ddd02-4a92-...) And a certificate are stored in association with each management number. Yes. Further, for each management number, information (Region information) for specifying a domain that can be authenticated by the certificate is stored.

本実施の形態において、ドメイン701とドメイン801は、たとえば同じ企業についての異なる管轄地域とされる。そして、JPは、たとえば日本国を意味し、EUは、ヨーロッパ地域を意味する。   In the present embodiment, the domain 701 and the domain 801 are different jurisdictions for the same company, for example. JP means Japan, for example, and EU means Europe.

当該テーブルにおいて、「JP」は、ドメイン701の認証サーバ装置700によって認証が可能な旨を示し、「EU」は、ドメイン801の認証サーバ装置800によって認証が可能な旨を示し、「World」は、当該企業が管轄する世界中の認証サーバ装置によって認証が可能な旨を示す。   In the table, “JP” indicates that authentication can be performed by the authentication server device 700 in the domain 701, “EU” indicates that authentication can be performed by the authentication server device 800 in the domain 801, and “World” indicates , It indicates that authentication can be performed by authentication server devices all over the world managed by the company.

また、当該テーブルにおいて、「クライアント装置01」「クライアント装置02」「クライアント装置03」「クライアント装置04」は、それぞれ異なるクライアント装置を意味する。   In the table, “client device 01”, “client device 02”, “client device 03”, and “client device 04” mean different client devices.

本実施の形態のライセンスキー管理テーブルでは、証明書そのものが管理(記憶)されているが、証明書自体の代わりに、各証明書を一意に特定できる情報が記憶されていても良い。   In the license key management table of the present embodiment, the certificate itself is managed (stored), but information that can uniquely identify each certificate may be stored instead of the certificate itself.

図7に戻って、データ受信部602が受信したデータに対して、認証部604と証明書管理部605が実行する処理以外の処理の実行が必要な場合には、その他処理部607が、当該処理を実行する。   Returning to FIG. 7, when the data received by the data receiving unit 602 needs to execute processing other than the processing executed by the authentication unit 604 and the certificate management unit 605, the other processing unit 607 Execute the process.

証明書管理部605は、ライセンスキーを埋め込んだ証明書の、クライアント装置200への送信に際し、データ作成部611にメッセージの作成を依頼する。   The certificate management unit 605 requests the data creation unit 611 to create a message when transmitting the certificate in which the license key is embedded to the client device 200.

データ送信部612は、データ作成部611によって作成されたデータを、ネットワークパケットの形式にし、ネットワーク6を介して、送信先に配送する。   The data transmission unit 612 converts the data created by the data creation unit 611 into a network packet format and delivers it to the transmission destination via the network 6.

管理サーバ装置600における上記した各構成要素は、CPU650が各種のプログラムを実行することにより実現される。   Each component described above in the management server device 600 is realized by the CPU 650 executing various programs.

管理サーバ装置600において各種の処理を実行するためのプログラムや、各種のデータは、データ保持部606に記憶される。   A program for executing various processes in the management server device 600 and various data are stored in the data holding unit 606.

(認証サーバ装置の機能構成)
図8は、認証サーバ装置700の機能ブロックを模式的に示す。 (Functional configuration of authentication server device)
FIG. 8 schematically shows functional blocks of the authentication server device 700.

図8を参照して、データ受信部702は、ネットワーク6上を流れるパケットが自機宛のパケットであるか否かを判断し、自機宛のデータであると判断すると、当該データをデータ解析部703に送る。   Referring to FIG. 8, data receiving section 702 determines whether or not a packet flowing on network 6 is a packet addressed to its own device. Part 703.

データ解析部703は、受信されたパケットからデータを抽出し、抽出されたデータの中に処理命令が含まれていれば、発行・認証部704、他証明書管理部705またはその他処理部707のいずれかで処理させる。   The data analysis unit 703 extracts data from the received packet, and if the extracted data includes a processing instruction, the data analysis unit 703 executes the issuance / authentication unit 704, the other certificate management unit 705, or the other processing unit 707. Either process.

発行・認証部704は、新規に参加したクライアント装置(または、デバイスやアプリケーション)に対して、証明書を発行(作成)する。   The issue / authentication unit 704 issues (creates) a certificate to a newly participating client device (or device or application).

また、発行・認証部704は、クライアント装置200が証明書の認証を要求した場合、当該証明書が自機で発行したものであるか否かを判断し、自機で発行したものでないと判断すると、他証明書管理部705に、当該証明書とともに送信されてきたライセンスキーについての処理を依頼する。   In addition, when the client apparatus 200 requests certificate authentication, the issue / authentication unit 704 determines whether the certificate is issued by the own device, and determines that the certificate is not issued by the own device. Then, the other certificate management unit 705 is requested to process the license key transmitted together with the certificate.

他証明書管理部705は、証明書内に埋め込まれる等して証明書とともに送信されてきたライセンスキーを必要に応じて証明書から抽出する。そして、他証明書管理部705は、管理サーバ装置600に、当該ライセンスキーの検証を依頼する。このとき、他証明書管理部705は、管理サーバ装置600に当該ライセンスキーを送信する。   The other certificate management unit 705 extracts, from the certificate, the license key that is embedded in the certificate and transmitted together with the certificate. Then, the other certificate management unit 705 requests the management server device 600 to verify the license key. At this time, the other certificate management unit 705 transmits the license key to the management server device 600.

管理サーバ装置600は、認証サーバ装置700が送信したライセンスキーを受信すると、上記したライセンスキー管理テーブルを参照して、当該ライセンスキーが当該テーブルに記憶されているものであるか否かを判断することにより、検証を実行する。そして、管理サーバ装置600は、当該テーブルに記憶されていれば、当該ライセンスキーの検証に成功した旨を認証サーバ装置700に返信し、記憶されていなければ、当該ライセンスキーの検証に失敗した旨を認証サーバ装置700に返信する。   When the management server device 600 receives the license key transmitted from the authentication server device 700, the management server device 600 refers to the above-described license key management table and determines whether or not the license key is stored in the table. The verification is executed. Then, the management server device 600 replies to the authentication server device 700 that the license key has been successfully verified if stored in the table, and if not stored, the management server device 600 has failed to verify the license key. Is returned to the authentication server device 700.

認証サーバ装置700は、ライセンスキーの検証に成功した旨の返信を受けると、クライアント装置200に証明書の認証が成功した旨を返信し、ライセンスキーの失敗に成功した旨の返信を受けると、クライアント装置200に証明書の認証が失敗した旨を返信する。   When the authentication server apparatus 700 receives a reply indicating that the license key has been successfully verified, the authentication server apparatus 700 returns a reply indicating that the certificate authentication has been successful to the client apparatus 200, and upon receiving a reply indicating that the license key has failed successfully, A message indicating that the certificate authentication has failed is returned to the client device 200.

データ受信部702が受信したデータに対して、発行・認証部704と他証明書管理部705が実行する処理以外の処理の実行が必要な場合には、その他処理部707が、当該処理を実行する。   When it is necessary to execute processing other than the processing executed by the issuance / authentication unit 704 and the other certificate management unit 705 on the data received by the data receiving unit 702, the other processing unit 707 executes the processing. To do.

発行・認証部704が証明書の認証結果をクライアント装置200に返信する場合等、他の機器にメッセージを送信する必要が生じた場合には、データ作成部711に対してメッセージの作成の依頼がなされる。   When the issue / authentication unit 704 returns a certificate authentication result to the client apparatus 200 or the like, and when it is necessary to send a message to another device, the data creation unit 711 requests the creation of the message. Made.

データ送信部712は、データ作成部711によって作成されたデータを、ネットワークパケットの形式にし、ネットワーク6を介して、送信先に配送する。   The data transmission unit 712 converts the data created by the data creation unit 711 into a network packet format and delivers it to the transmission destination via the network 6.

認証サーバ装置700における上記した各構成要素は、CPU750が各種のプログラムを実行することにより実現される。   Each component described above in the authentication server device 700 is realized by the CPU 750 executing various programs.

認証サーバ装置700において各種の処理を実行するためのプログラムや、各種のデータは、データ保持部706に記憶される。   A program for executing various processes in the authentication server device 700 and various data are stored in the data holding unit 706.

なお、他証明書管理部705は、一度、管理サーバ装置600にライセンスキーの検証を依頼し、検証が成功した旨の返信を得た証明書を、たとえばデータ保持部706内のリスト(たとえば、セーフリストと呼ぶ)に保存しても良い。そして、発行・認証部704は、当該セーフリストに保存された証明書については、次回、クライアント装置200から認証の要求があった場合、ライセンスキーの検証を管理サーバ装置600に依頼することなく、認証が成功した旨をクライアント装置200に返信する。   The other certificate management unit 705 once requests the management server device 600 to verify the license key, and obtains a certificate indicating that the verification is successful, for example, a list in the data holding unit 706 (for example, It may be saved in a safe list. The issuance / authentication unit 704 does not request the management server device 600 to verify the license key when the client device 200 requests authentication for the certificate stored in the safe list next time. A message indicating that the authentication is successful is returned to the client device 200.

また、上記セーフリストに証明書を登録する代わりに、検証が成功したライセンスキーを送信してきたクライアント装置200に対して、発行・認証部704が証明書を発行しても良い。   Further, instead of registering the certificate in the safe list, the issuance / authentication unit 704 may issue the certificate to the client device 200 that has transmitted the license key that has been successfully verified.

認証サーバ装置800のブロック構成は、認証サーバ装置700のブロック構成と同様とすることができるため、ここでは詳細な説明は繰り返さない。   Since the block configuration of authentication server apparatus 800 can be the same as the block configuration of authentication server apparatus 700, detailed description thereof will not be repeated here.

(認証システムにおける通信内容について)
以下、本実施の形態において、クライアント装置同士の通信開始の際の通信内容について、当該通信内容を説明する図11を参照しつつ具体的に説明する。 (About communication contents in the authentication system)
Hereinafter, in the present embodiment, the communication contents at the start of communication between client apparatuses will be specifically described with reference to FIG. 11 for explaining the communication contents.

図11を参照して、本実施の形態では、ドメイン701において、認証サーバ装置700から証明書の発行を受けたクライアント装置200(図11中のクライアント装置200X)が、ドメイン701からドメイン801に、属するドメインを移動させたものとする。   Referring to FIG. 11, in the present embodiment, in domain 701, client apparatus 200 (client apparatus 200X in FIG. 11) that has received a certificate issued from authentication server apparatus 700 changes from domain 701 to domain 801. Suppose that the domain to which it belongs is moved.

移動後のドメインにおいて、クライアント装置200が、他のクライアント装置210と通信を開始するために、クライアント装置210に自機の証明書10(認証サーバ装置700によって発行されたもの)を送信する。クライアント装置210は、当該証明書10を、クライアント装置210が属するドメイン801の認証サーバ装置800によって認証しようとしたところ、認証に失敗する。証明書10は、認証サーバ装置800ではなく、認証サーバ装置700によって作成されたものだからである。そして、この旨が、クライアント装置210からクライアント装置200へ通知される。   In the moved domain, the client device 200 transmits its own certificate 10 (issued by the authentication server device 700) to the client device 210 in order to start communication with another client device 210. When the client device 210 attempts to authenticate the certificate 10 by the authentication server device 800 of the domain 801 to which the client device 210 belongs, the authentication fails. This is because the certificate 10 is created not by the authentication server device 800 but by the authentication server device 700. This is notified from the client device 210 to the client device 200.

なお、クライアント装置200へは、クライアント装置210から、当該クライアント装置210の証明書11(認証サーバ装置800によって発行されたもの)を受信している。   The client apparatus 200 receives the certificate 11 (issued by the authentication server apparatus 800) of the client apparatus 210 from the client apparatus 210.

当該通知を受けて、クライアント装置200は、証明書11に含まれる認証サーバ装置800を同定する情報を抽出し(図11の処理(1A))、当該情報に基づき、認証サーバ装置800に対して、自機の証明書10の認証を要求する(図11の処理(1B)の証明書発行送付)。   Upon receiving the notification, the client device 200 extracts information for identifying the authentication server device 800 included in the certificate 11 (process (1A) in FIG. 11), and based on the information, the client device 200 sends the information to the authentication server device 800. Then, it requests authentication of its own certificate 10 (certificate issuance and sending in process (1B) in FIG. 11).

これに応じて、認証サーバ装置800は、当該証明書10の認証を行なうが、自機が発行した証明書ではないため認証に一旦失敗する(図11の処理(2))。   In response to this, the authentication server device 800 authenticates the certificate 10 but fails once because it is not a certificate issued by itself (processing (2) in FIG. 11).

そして、認証サーバ装置800は、証明書10からライセンスキー(図10のライセンスキー10B)を抽出し(図11の処理(3))、管理サーバ装置600へ送信する(図11の処理(4))。   Then, the authentication server device 800 extracts the license key (license key 10B in FIG. 10) from the certificate 10 (process (3) in FIG. 11) and transmits it to the management server device 600 (process (4) in FIG. 11). ).

これに応じて、管理サーバ装置600は、送信されてきたライセンスキーが、ライセンス管理テーブルに記憶されているか否かにより、自機が作成したライセンスキーであるか否かを判断する。   In response to this, the management server apparatus 600 determines whether or not the transmitted license key is a license key created by itself, based on whether or not the transmitted license key is stored in the license management table.

なお、管理サーバ装置600は、自機が作成したライセンスキーであるか否かの判断の際に、必ずしもライセンスキー管理テーブルを記憶している必要はなく、ライセンスキーの作成の際に、管理サーバ装置600に特有の情報をライセンスキーに含ませておき、当該特有の情報が含まれているか否か、当該特有の情報に基づく条件を満たすか等により、自機が作成したライセンスキーであるか否かを判断しても良い。   Note that the management server device 600 does not necessarily have to store the license key management table when determining whether or not the license key has been created by itself, but the management server device 600 does not necessarily have to store the license key management table. Whether the license key is created by the own device depending on whether or not information unique to the device 600 is included in the license key and whether or not the specific information is included and whether or not a condition based on the specific information is satisfied It may be determined whether or not.

また、証明書10に複数のライセンスキーが含まれている場合には、認証サーバ装置80は当該複数のライセンスキーを管理サーバ装置600へ送信する。管理サーバ装置600は、これらの複数のライセンスキーの少なくとも1つが自機で作成されていれば証明書の認証を許可する情報を認証サーバ800へ送信しても良いし、すべてのライセンスキーが自機で作成されていることを条件として当該証明書の認証を許可する情報を送信しても良い。   When the certificate 10 includes a plurality of license keys, the authentication server device 80 transmits the plurality of license keys to the management server device 600. If at least one of the plurality of license keys is created by itself, the management server device 600 may transmit information permitting certificate authentication to the authentication server 800, or all license keys may be self-registered. Information that permits authentication of the certificate may be transmitted on the condition that the certificate is created on the machine.

自機が作成したライセンスキーであると判断すると、管理サーバ装置600は、クライント装置200について、上記ライセンスキー管理テーブルにおけるArea情報(Region情報)を更新し(図11の処理(5))、そして、認証サーバ装置800に対して、当該クライアント装置200に対する新たなCommon Name(CN)を送付する(図11の処理(6))。これに応じて、認証サーバ装置800は、クライアント装置200に対して、管理サーバ装置600から受信したCNや、証明書10に含まれるCSR(Certificate Signing Request)等に基づいて、クライアント装置200に対して新たな証明書12を作成し(図11の処理(7))、クライアント装置200へ送信する(図11の処理(8))。これにより、クライアント装置200は、認証サーバ装置800によって認証され得る証明書12に基づき、クライアント装置210との通信が可能となる。   If it is determined that the license key is created by itself, the management server device 600 updates the area information (Region information) in the license key management table for the client device 200 (process (5) in FIG. 11), and Then, a new common name (CN) for the client device 200 is sent to the authentication server device 800 (process (6) in FIG. 11). In response to this, the authentication server device 800 provides the client device 200 with the client device 200 based on the CN received from the management server device 600, the CSR (Certificate Signing Request) included in the certificate 10, and the like. A new certificate 12 is created (process (7) in FIG. 11) and transmitted to the client apparatus 200 (process (8) in FIG. 11). Accordingly, the client device 200 can communicate with the client device 210 based on the certificate 12 that can be authenticated by the authentication server device 800.

これにより、結果として、管理サーバ装置600は、受信した管理情報が自機の作成したライセンスキーであると判断すると、認証サーバ装置800に対して、クライアント装置200の証明書の認証を許可するための情報を送信することとなる。   As a result, when the management server device 600 determines that the received management information is a license key created by itself, the management server device 600 permits the authentication server device 800 to authenticate the certificate of the client device 200. Will be sent.

一方、管理サーバ装置600は、受信した管理情報が自機の作成したライセンスキーではないと判断すると、認証サーバ装置800に対して、クライアント装置200の証明書の認証を許可しないための情報を送信する。これに応じて、認証サーバ装置800は、クライアント装置200に、証明書の認証が失敗した旨を返信する。   On the other hand, if the management server device 600 determines that the received management information is not a license key created by itself, the management server device 600 transmits information for not permitting authentication of the certificate of the client device 200 to the authentication server device 800. To do. In response to this, the authentication server device 800 replies to the client device 200 that the certificate authentication has failed.

なお、管理サーバ装置600は、ライセンスキー管理テーブルを有する場合、新たなライセンスキーに応じて、当該テーブルの記憶内容を更新する。   If the management server apparatus 600 has a license key management table, the management server apparatus 600 updates the stored contents of the table according to the new license key.

また、管理サーバ装置600は、図11の処理(4)において、自機が作成したライセンスキーであると判断した場合に、クライアント装置200に対し、新たなライセンスキーを作成して、認証サーバ装置800に当該新たなライセンスキーを埋め込んだ新たな証明書11を作成させても良い。このような場合、認証サーバ装置700に対して、クライアント装置200に発行した証明書10を利用できないものとする処理(利用停止)を通知することが好ましい(図11の処理(9))。   When the management server device 600 determines in step (4) of FIG. 11 that the license key has been created by itself, the management server device 600 creates a new license key for the client device 200, and the authentication server device A new certificate 11 in which the new license key is embedded in 800 may be created. In such a case, it is preferable to notify the authentication server device 700 of a process (use stop) that makes it impossible to use the certificate 10 issued to the client apparatus 200 (process (9) in FIG. 11).

以上説明した本実施の形態では、認証サーバ装置700により第1の認証サーバが構成され、認証サーバ装置800により第2の認証サーバが構成されている。   In the present embodiment described above, the authentication server device 700 constitutes a first authentication server, and the authentication server device 800 constitutes a second authentication server.

[第2の実施の形態]
図12は、認証システムの第2の実施の形態の構成を模式的に示す図である。 [Second Embodiment]
FIG. 12 is a diagram schematically illustrating the configuration of the second embodiment of the authentication system.

本実施の形態では、ドメイン701に所属するクライアント装置200が、ドメイン801に所属するクライアント装置210と通信を試み、クライアント装置210に、認証サーバ装置700が発行した証明書10を送信する。   In the present embodiment, the client device 200 belonging to the domain 701 tries to communicate with the client device 210 belonging to the domain 801 and transmits the certificate 10 issued by the authentication server device 700 to the client device 210.

クライアント装置210は、当該クライアント装置210が属するドメイン801の認証サーバ装置800に対し、証明書10の検証を依頼する(図12の処理(1))。   The client device 210 requests the authentication server device 800 of the domain 801 to which the client device 210 belongs to verify the certificate 10 (process (1) in FIG. 12).

これに応じて、認証サーバ装置800は、当該証明書10の認証を行なうが、自機が発行した証明書ではないため認証に一旦失敗する(図12の処理(2))。   In response to this, the authentication server device 800 authenticates the certificate 10 but fails because the certificate is not issued by itself (processing (2) in FIG. 12).

そして、認証サーバ装置800は、証明書10からライセンスキー(図10のライセンスキー10B)を抽出し(図12の処理(3))、管理サーバ装置600へ送信する(図12の処理(4))。   Then, the authentication server device 800 extracts the license key (license key 10B in FIG. 10) from the certificate 10 (process (3) in FIG. 12) and transmits it to the management server device 600 (process (4) in FIG. 12). ).

これに応じて、管理サーバ装置600は、送信されてきたライセンスキーが、ライセンス管理テーブルに記憶されているか否かにより、自機が作成したライセンスキーであるか否かを判断する。なお、管理サーバ装置600は、自機が作成したライセンスキーであるか否かの判断の際に、必ずしもライセンスキー管理テーブルを記憶している必要はなく、ライセンスキーの作成の際に、管理サーバ装置600に特有の情報をライセンスキーに含ませておき、当該特有の情報が含まれているか否かにより、自機が作成したライセンスキーであるか否かを判断しても良い。   In response to this, the management server apparatus 600 determines whether or not the transmitted license key is a license key created by itself, based on whether or not the transmitted license key is stored in the license management table. Note that the management server device 600 does not necessarily have to store the license key management table when determining whether or not the license key has been created by itself, but the management server device 600 does not necessarily have to store the license key management table. Information unique to the device 600 may be included in the license key, and it may be determined whether or not the license key is created by the own device depending on whether or not the unique information is included.

自機が作成したライセンスキーであると判断すると(図12の処理(5))、管理サーバ装置600は、クライント装置200の認証を許可する情報を、認証サーバ装置800に対して送信する(図12の処理(6))。これに応じて、認証サーバ装置800は、クライアント装置200のライセンスキーをセーフリストに登録するとともに(図12の処理(7))、クライアント装置210に対して、証明書10の認証に成功した旨を通知する(図12の処理(8))。これにより、クライアント装置200は、認証サーバ装置800によって認証され得る証明書12に基づき、クライアント装置210との通信が可能となる。   If it is determined that the license key is created by itself (processing (5) in FIG. 12), the management server device 600 transmits information that permits authentication of the client device 200 to the authentication server device 800 (FIG. 12). 12 processes (6)). In response to this, the authentication server device 800 registers the license key of the client device 200 in the safe list (process (7) in FIG. 12), and the fact that the certificate 10 has been successfully authenticated to the client device 210. (Processing (8) in FIG. 12). Accordingly, the client device 200 can communicate with the client device 210 based on the certificate 12 that can be authenticated by the authentication server device 800.

[第3の実施の形態]
図13は、認証システムの第3の実施の形態の構成を模式的に示す図である。 [Third Embodiment]
FIG. 13 is a diagram schematically illustrating the configuration of the third embodiment of the authentication system.

以上説明した第1の実施の形態では、クライアント装置200は、認証サーバ装置700による証明書の発行を要求する際、管理サーバ装置600に当該発行要求を送信していた。   In the first embodiment described above, the client device 200 transmits the issuance request to the management server device 600 when requesting the certificate issuance by the authentication server device 700.

本実施の形態では、クライアント装置200は、認証サーバ装置700に直接発行依頼を送信する(図13の処理(1))。   In the present embodiment, the client device 200 transmits an issue request directly to the authentication server device 700 (process (1) in FIG. 13).

当該発行依頼の受信に応じて、認証サーバ装置700は、証明書を発行するとともに(図13の処理(2))、管理サーバ装置600に、クライアント装置200に対するライセンスキーの作成を依頼する(図13の処理(3))。   In response to receipt of the issue request, the authentication server device 700 issues a certificate (process (2) in FIG. 13) and requests the management server device 600 to create a license key for the client device 200 (FIG. 13). 13 process (3)).

これに応じて、管理サーバ装置600は、ライセンスキー(図10のライセンスキー10B)を作成し(図13の処理(4))、認証サーバ装置700へ送信する(図13の処理(5))。   In response to this, the management server apparatus 600 creates a license key (license key 10B in FIG. 10) (process (4) in FIG. 13) and transmits it to the authentication server apparatus 700 (process (5) in FIG. 13). .

これに応じて、認証サーバ装置700は、作成した証明書にライセンスキーを埋め込み(図13の処理(6))、証明書10をクライアント装置10へ送信する(図13の処理(7))。本実施の形態では、ライセンスキーは、管理サーバ装置600で作成され、認証サーバ装置700を介して、クライアント装置200へ送信される。   In response to this, the authentication server device 700 embeds a license key in the created certificate (process (6) in FIG. 13), and transmits the certificate 10 to the client device 10 (process (7) in FIG. 13). In the present embodiment, the license key is created by the management server device 600 and transmitted to the client device 200 via the authentication server device 700.

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。   The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.

2 PC、2A モニタ、3 ネットワークケーブル、4 ハブ、5 ルータ、10,10A,11,12 証明書、10B ライセンスキー、250,650,750 CPU、252,652,752 メディアドライブ、252A,652A,752 記録媒体、200,210 クライアント装置、202,602,702 データ受信部、203,603,703 データ解析部、204 認証部、206,606,706 データ保持部、207,607,707 処理部、211,611,711 データ作成部、212,612,712 データ送信部、604 ライセンスキー発行・認証部、605 証明書管理部、700,800 認証サーバ装置、701,801 ドメイン、704 証明書発行・認証部、705 他証明書管理部。   2 PC, 2A monitor, 3 network cable, 4 hub, 5 router, 10, 10A, 11, 12 certificate, 10B license key, 250, 650, 750 CPU, 252, 652, 752 Media drive, 252A, 652A, 752 Recording medium, 200, 210 Client device, 202, 602, 702 Data receiving unit, 203, 603, 703 Data analyzing unit, 204 Authentication unit, 206, 606, 706 Data holding unit, 207, 607, 707 Processing unit, 211, 611,711 Data creation unit, 212,612,712 Data transmission unit, 604 License key issuance / authentication unit, 605 Certificate management unit, 700,800 Authentication server device, 701,801 domain, 704 Certificate issuance / authentication unit, 705 Other certificate management department.

Claims (14)

第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおいてクライアント装置の認証のために実行される認証用プログラムであって、
前記管理サーバ装置に、
前記クライアント装置からの証明書の発行要求に応じて、前記第1の認証サーバ装置に証明書の発行依頼を送信するステップを実行させ、
前記第1の認証サーバ装置に、
前記管理サーバ装置からの証明書の発行要求に応じて前記クライアント装置の証明書を作成するステップと、
前記管理サーバ装置に、前記クライアント装置の証明書を送信するステップとを実行させ、
前記管理サーバ装置に、
前記第1の認証サーバ装置から受信した証明書の関連情報を作成するステップと、
クライアント装置に、前記証明書および前記関連情報を送信するステップとを実行させ
前記第2の認証サーバ装置に、
前記クライアント装置から送信された前記クライアント装置の証明書を検証することにより、前記クライアント装置の認証を試みるステップと、
前記クライアント装置の認証に失敗した場合に、前記クライアント装置から受信した情報を前記管理サーバ装置へ送信するステップとを実行させ
前記管理サーバ装置に、
前記第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であるか否かを判断するステップと、
前記第2の認証サーバ装置に対して、前記第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合には、前記クライアント装置の認証を許可するための情報である許可情報を送信し、前記第2の認証サーバ装置から受信した情報が自機が作成した関連情報ではないと判断した場合には、前記クライアント装置の認証を許可しない情報である不許可情報を送信するステップとをさらに実行させ、
前記第2の認証サーバ装置に、
前記クライアント装置に対して、前記管理サーバ装置から前記許可情報を受信したことに応じて、前記クライアント装置の認証に成功した旨の情報を送信し、前記管理サーバ装置から前記不許可情報を受信したことに応じて、前記クライアント装置の認証に失敗した旨の情報を送信するステップをさらに実行させる、コンピュータ読取可能な認証用プログラム。 An authentication program executed for authentication of a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device,
In the management server device,
In response to a certificate issuance request from the client device, the step of transmitting a certificate issuance request to the first authentication server device is executed.
In the first authentication server device,
Depending on the certificate request from the management server device, and creating a certificate for the client device,
Transmitting the certificate of the client device to the management server device ;
In the management server device,
And creating a related information in the certificate received from the first authentication server,
The client device, to execute a step of transmitting said certificate and the related information,
In the second authentication server device,
Attempting to authenticate the client device by verifying the certificate of the client device transmitted from the client device;
If the authentication fails the client device, to execute a step of transmitting the information received from the client device to the management server apparatus,
In the management server device,
A step of information received from the second authentication server to determine whether the related information generated by the own device,
To the second of the authentication server apparatus, information received from the second authentication server apparatus when it is determined that the related information created by the own apparatus, to allow the authentication of the client device If the permission information, which is information, is transmitted and it is determined that the information received from the second authentication server device is not related information created by the own device, the authentication is not permitted for the authentication of the client device. And further transmitting the information,
In the second authentication server device,
For the client device, said from the management server device according to reception of the permission information, and transmits the information indicating successful authentication of the client device, receiving the non permission information from the management server device In response, a computer-readable authentication program for further executing a step of transmitting information indicating that authentication of the client device has failed. 第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおいてクライアント装置の認証のために実行される認証用プログラムであって、An authentication program executed for authentication of a client device in an authentication system including a first authentication server device, a second authentication server device, and a management server device,
前記第1の認証サーバ装置に、In the first authentication server device,
前記クライアント装置からの証明書の発行要求に応じて、前記クライアント装置の証明書を作成するステップと、Creating a certificate for the client device in response to a certificate issuance request from the client device;
前記管理サーバ装置に、証明書の関連情報の作成を依頼するステップとを実行させ、Requesting the management server device to create certificate related information; and
前記管理サーバ装置に、In the management server device,
前記第1の認証サーバ装置からの依頼に応じて、証明書の関連情報を作成するステップと、Creating certificate related information in response to a request from the first authentication server device;
前記第1の認証サーバ装置に、前記関連情報を送信するステップとを実行させ、Transmitting the related information to the first authentication server device;
前記第1の認証サーバ装置に、In the first authentication server device,
前記クライアント装置に、前記証明書および前記関連情報を送信するステップを実行させ、Causing the client device to execute the step of transmitting the certificate and the related information;
前記第2の認証サーバ装置に、In the second authentication server device,
前記クライアント装置から送信された前記クライアント装置の証明書を検証することにより、前記クライアント装置の認証を試みるステップと、Attempting to authenticate the client device by verifying the certificate of the client device transmitted from the client device;
前記クライアント装置の認証に失敗した場合に、前記クライアント装置から受信した情報を前記管理サーバ装置へ送信するステップとを実行させ、If authentication of the client device fails, transmitting the information received from the client device to the management server device;
前記管理サーバ装置に、In the management server device,
前記第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であるか否かを判断するステップと、Determining whether the information received from the second authentication server device is related information created by the own device;
前記第2の認証サーバ装置に対して、前記第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合には、前記クライアント装置の認証を許可するための情報である許可情報を送信し、前記第2の認証サーバ装置から受信した情報が自機が作成した関連情報ではないと判断した場合には、前記クライアント装置の認証を許可しない情報である不許可情報を送信するステップとをさらに実行させ、If the second authentication server device determines that the information received from the second authentication server device is related information created by the own device, the second authentication server device is used to permit authentication of the client device. If the permission information, which is information, is transmitted and it is determined that the information received from the second authentication server device is not related information created by the own device, the authentication is not permitted for the authentication of the client device. And further transmitting the information,
前記第2の認証サーバ装置に、In the second authentication server device,
前記クライアント装置に対して、前記管理サーバ装置から前記許可情報を受信したことに応じて、前記クライアント装置の認証に成功した旨の情報を送信し、前記管理サーバ装置から前記不許可情報を受信したことに応じて、前記クライアント装置の認証に失敗した旨の情報を送信するステップをさらに実行させる、コンピュータ読取可能な認証用プログラム。In response to receiving the permission information from the management server device to the client device, information indicating that the client device has been successfully authenticated is transmitted, and the non-permission information is received from the management server device. In response, a computer-readable authentication program for further executing a step of transmitting information indicating that authentication of the client device has failed. 前記クライアント装置に前記証明書と前記関連情報を送信するステップでは、前記関連情報は、前記証明書に埋め込まれて、送信される、請求項1または請求項2に記載の認証用プログラム。 The authentication program according to claim 1 , wherein in the step of transmitting the certificate and the related information to the client device, the related information is embedded and transmitted in the certificate. 前記第2の認証サーバ装置に、前記管理サーバ装置から前記許可情報を受信したことに応じて、前記クライアント装置に対して新たな証明書を作成して、前記クライアント装置へ送信するステップをさらに実行させる、請求項1〜請求項3のいずれか1項に記載の認証用プログラム。 In response to receiving the permission information from the management server device, the second authentication server device further creates a new certificate for the client device and transmits the certificate to the client device. The authentication program according to any one of claims 1 to 3, wherein: 前記管理サーバ装置に、前記第2の認証サーバ装置から受信した情報が自機によって作成された関連情報であると判断した場合に、前記第2の認証サーバ装置に対して、新たな関連情報を送信するステップを実行させ、If the management server device determines that the information received from the second authentication server device is related information created by itself, it sends new related information to the second authentication server device. Execute the send step,
前記クライアント装置へ前記新たな証明書を送信するステップでは、前記新たな関連情報を埋め込まれた前記新たな証明書が前記クライアント装置へ送信される、請求項4に記載の認証用プログラム。5. The authentication program according to claim 4, wherein in the step of transmitting the new certificate to the client device, the new certificate in which the new related information is embedded is transmitted to the client device. 前記管理サーバ装置に、前記第1の認証サーバ装置に対して、前記クライアント装置の証明書の利用停止を指示する情報を送信するステップをさらに実行させる、請求項4または請求項5に記載の認証用プログラム。 6. The authentication according to claim 4 or 5, further causing the management server device to further execute a step of transmitting information instructing to stop using the certificate of the client device to the first authentication server device. Program. 前記管理サーバ装置に、前記管理サーバ装置の署名を作成することにより、前記関連情報を作成させる、請求項1〜請求項6のいずれかに記載の認証用プログラム。   The authentication program according to claim 1, wherein the management server device causes the related information to be created by creating a signature of the management server device. 前記第2の認証サーバ装置に、
前記クライアント装置から、前記クライアント装置の証明書の検証の依頼の際に、前記証明書とともに複数の情報を受信するステップと、
前記管理サーバ装置へ、前記クライアント装置から受信した前記複数の情報を送信するステップとをさらに実行させ、
前記管理サーバ装置に前記許可情報を送信させるステップでは、前記第2の認証サーバ装置から受信した前記複数の情報の中の少なくとも1つが自機の作成した関連情報であると判断した場合には、前記第2の認証サーバ装置に前記許可情報を送信する、請求項1〜請求項7のいずれかに記載の認証用プログラム。 In the second authentication server device,
Receiving a plurality of information together with the certificate when requesting verification of the certificate of the client device from the client device;
Transmitting the plurality of pieces of information received from the client device to the management server device;
In the step of causing the management server device to transmit the permission information, if it is determined that at least one of the plurality of pieces of information received from the second authentication server device is related information created by the own device, The authentication program according to claim 1, wherein the permission information is transmitted to the second authentication server device. 前記管理サーバ装置に、
作成した前記関連情報を記憶するステップをさらに実行させ、
前記第2の認証サーバ装置から受信した情報が、前記記憶した関連情報と一致するか否かに基づいて、前記第2の認証サーバ装置から受信した情報が自機が作成した関連情報であるか否かを判断させる、請求項1〜請求項8のいずれかに記載の認証用プログラム。 In the management server device,
Storing the created related information further,
Whether the information received from the second authentication server device is the related information created by the own device based on whether the information received from the second authentication server device matches the stored related information. The program for authentication according to any one of claims 1 to 8, which makes a determination as to whether or not. 前記管理サーバ装置に、
前記関連情報を、証明書および当該証明書を作成した第1の認証サーバ装置のドメイン情報を関連付けて記憶させる、請求項9に記載の認証用プログラム。 In the management server device,
The authentication program according to claim 9, wherein the related information is stored in association with a certificate and domain information of the first authentication server device that created the certificate. 第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた、クライアント装置の認証のための認証システムであって、
前記管理サーバ装置は、
前記クライアント装置からの証明書の発行要求に応じて、前記第1の認証サーバ装置に証明書の発行依頼を送信する第1の送信部を含み、
前記第1の認証サーバ装置は、
前記管理サーバ装置からの証明書の発行要求に応じて前記クライアント装置の証明書を作成する第1の作成部と、
前記管理サーバ装置に、前記クライアント装置の証明書を送信する第2の送信部とを含み、
前記管理サーバ装置は、
前記第1の認証サーバ装置から受信した証明書の関連情報を作成する第2の作成部と、
前記関連情報を前記クライアントの証明書と関連付けて記憶する関連情報記憶部とを含み
前記第1の送信部は、クライアント装置に、前記証明書および前記関連情報を送信
前記第2の認証サーバ装置は、
前記クライアント装置から送信された前記クライアント装置の証明書を検証することにより、前記クライアント装置の認証を試みる認証部と、
前記認証部が前記クライアント装置の認証に失敗した場合に、前記クライアント装置から受信した情報を前記管理サーバ装置へ送信する第3の送信部とを含み、
前記管理サーバ装置は、
前記第2の認証サーバ装置から受信した情報と前記関連情報記憶部に記憶されている関連情報とを対比する対比部と、
前記第2の認証サーバ装置に対して、前記第2の認証サーバ装置から受信した情報が前記関連情報記憶部に記憶されている関連情報と一致した場合には、前記クライアント装置の認証を許可するための情報である許可情報を送信し、前記第2の認証サーバ装置から受信した情報が前記関連情報記憶部に記憶されている関連情報と一致しなかった場合には、前記クライアント装置の認証を許可しないための情報である不許可情報を送信する第4の送信部とをさらに含み、
前記第2の認証サーバ装置は、
前記クライアント装置に対して、前記管理サーバ装置から前記許可情報を受信したことに応じて、前記クライアント装置の認証に成功した旨の情報を送信し、前記管理サーバ装置から前記不許可情報を受信したことに応じて、前記クライアント装置の認証に失敗した旨の情報を送信する第5の送信部をさらに含む、認証システム。 An authentication system for authenticating a client device, comprising a first authentication server device, a second authentication server device, and a management server device,
The management server device
A first transmission unit for transmitting a certificate issuance request to the first authentication server device in response to a certificate issuance request from the client device;
The first authentication server device includes:
Depending on the certificate request from the management server apparatus, a first creation unit that creates a certificate for the client device,
A second transmission unit that transmits a certificate of the client device to the management server device ;
The management server device
A second creation unit that creates a relevant information in the certificate received from the first authentication server,
And a related information storage unit that stores the related information in association with the certificate of the client,
The first transmission unit to the client apparatus, and transmits the certificate and the related information,
The second authentication server device includes:
An authentication unit that attempts to authenticate the client device by verifying the certificate of the client device transmitted from the client device;
A third transmission unit that transmits information received from the client device to the management server device when the authentication unit fails to authenticate the client device;
The management server device
A comparison unit that compares the information received from the second authentication server device with the related information stored in the related information storage unit;
If the information received from the second authentication server device matches the related information stored in the related information storage unit, the second authentication server device is allowed to authenticate the client device. It sends a permission information is information for, when the information received from the second authentication server device does not match the associated information stored in the related information storage unit, the authentication of the client device And a fourth transmission unit for transmitting non-permission information that is information for not permitting
The second authentication server device includes:
For the client device, said from the management server device according to reception of the permission information, and transmits the information indicating successful authentication of the client device, receiving the non permission information from the management server device In response, the authentication system further includes a fifth transmission unit that transmits information indicating that the authentication of the client device has failed. 第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた、クライアント装置の認証のための認証システムであって、An authentication system for authenticating a client device, comprising a first authentication server device, a second authentication server device, and a management server device,
前記第1の認証サーバ装置は、The first authentication server device includes:
前記クライアント装置からの証明書の発行要求に応じて、前記クライアント装置の証明書を作成する第1の作成部と、A first creation unit that creates a certificate of the client device in response to a certificate issuance request from the client device;
前記管理サーバ装置に、証明書の関連情報の作成を依頼する情報を送信する第1の送信部とを含み、A first transmission unit that transmits information requesting creation of certificate-related information to the management server device;
前記管理サーバ装置は、The management server device
前記第1の認証サーバ装置からの依頼に応じて、証明書の関連情報を作成する第2の作成部と、A second creation unit for creating certificate-related information in response to a request from the first authentication server device;
前記関連情報を前記クライアントの証明書と関連付けて記憶する関連情報記憶部と、A related information storage unit for storing the related information in association with a certificate of the client;
前記第1の認証サーバ装置に、前記関連情報を送信する第2の送信部とを含み、A second transmitter that transmits the related information to the first authentication server device;
前記第1の送信部は、前記クライアント装置に、前記証明書および前記関連情報を送信し、The first transmission unit transmits the certificate and the related information to the client device,
前記第2の認証サーバ装置は、The second authentication server device includes:
前記クライアント装置から送信された前記クライアント装置の証明書を検証することにより、前記クライアント装置の認証を試みる認証部と、An authentication unit that attempts to authenticate the client device by verifying the certificate of the client device transmitted from the client device;
前記クライアント装置の認証に失敗した場合に、前記クライアント装置から受信した情報を前記管理サーバ装置へ送信する第3の送信部とを含み、A third transmitter that transmits information received from the client device to the management server device when authentication of the client device fails;
前記管理サーバ装置は、The management server device
前記第2の認証サーバ装置から受信した情報と前記関連情報記憶部に記憶されている関連情報とを対比する対比部と、A comparison unit that compares the information received from the second authentication server device with the related information stored in the related information storage unit;
前記第2の認証サーバ装置に対して、前記第2の認証サーバ装置から受信した情報が前記関連情報記憶部に記憶されている関連情報と一致した場合には、前記クライアント装置の認証を許可するための情報である許可情報を送信し、前記第2の認証サーバ装置から受信した情報が前記関連情報記憶部に記憶されている関連情報と一致しなかった場合には、前記クライアント装置の認証を許可しないための情報である不許可情報を送信する第4の送信部とをさらに含み、If the information received from the second authentication server device matches the related information stored in the related information storage unit, the second authentication server device is allowed to authenticate the client device. If the information received from the second authentication server device does not match the related information stored in the related information storage unit, authentication of the client device is performed. A fourth transmission unit for transmitting non-permission information that is information for disallowing,
前記第2の認証サーバ装置は、The second authentication server device includes:
前記クライアント装置に対して、前記管理サーバ装置から前記許可情報を受信したことに応じて、前記クライアント装置の認証に成功した旨の情報を送信し、前記管理サーバ装置から前記不許可情報を受信したことに応じて、前記クライアント装置の認証に失敗した旨の情報を送信する第5の送信部をさらに含む、認証システム。In response to receiving the permission information from the management server device to the client device, information indicating that the client device has been successfully authenticated is transmitted, and the non-permission information is received from the management server device. In response, the authentication system further includes a fifth transmission unit that transmits information indicating that the authentication of the client device has failed. 第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおける、クライアント装置の認証方法であって、
前記第1の認証サーバ装置は、請求項1に記載の認証用プログラムが当該第1の認証サーバ装置に実行させるすべてのステップを実行し、
前記第2の認証サーバ装置は、請求項1に記載の認証用プログラムが当該第2の認証サーバ装置に実行させるすべてのステップを実行し、
前記管理サーバ装置は、請求項1に記載の認証用プログラムが当該管理サーバ装置に実行させるすべてのステップを実行する、認証方法。 An authentication method for a client device in an authentication system comprising a first authentication server device, a second authentication server device, and a management server device,
The first authentication server device executes all the steps that the authentication program according to claim 1 causes the first authentication server device to execute,
The second authentication server device executes all the steps that the authentication program according to claim 1 causes the second authentication server device to execute,
The authentication method according to claim 1, wherein the management server apparatus executes all the steps that the authentication program according to claim 1 causes the management server apparatus to execute . 第1の認証サーバ装置と、第2の認証サーバ装置と、管理サーバ装置とを備えた認証システムにおける、クライアント装置の認証方法であって、
前記第1の認証サーバ装置は、請求項2に記載の認証用プログラムが当該第1の認証サーバ装置に実行させるすべてのステップを実行し、
前記第2の認証サーバ装置は、請求項2に記載の認証用プログラムが当該第2の認証サーバ装置に実行させるすべてのステップを実行し、
前記管理サーバ装置は、請求項2に記載の認証用プログラムが当該管理サーバ装置に実行させるすべてのステップを実行する、認証方法。 An authentication method for a client device in an authentication system comprising a first authentication server device, a second authentication server device, and a management server device,
The first authentication server device executes all the steps that the authentication program according to claim 2 causes the first authentication server device to execute,
The second authentication server device executes all the steps that the authentication program according to claim 2 causes the second authentication server device to execute,
The said management server apparatus is an authentication method which performs all the steps which the program for authentication of Claim 2 makes the said management server apparatus perform.
JP2009149990A 2009-06-24 2009-06-24 Authentication program, authentication system, and authentication method Expired - Fee Related JP5402301B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009149990A JP5402301B2 (en) 2009-06-24 2009-06-24 Authentication program, authentication system, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009149990A JP5402301B2 (en) 2009-06-24 2009-06-24 Authentication program, authentication system, and authentication method

Publications (2)

Publication Number Publication Date
JP2011009939A JP2011009939A (en) 2011-01-13
JP5402301B2 true JP5402301B2 (en) 2014-01-29

Family

ID=43566106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009149990A Expired - Fee Related JP5402301B2 (en) 2009-06-24 2009-06-24 Authentication program, authentication system, and authentication method

Country Status (1)

Country Link
JP (1) JP5402301B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9491620B2 (en) * 2012-02-10 2016-11-08 Qualcomm Incorporated Enabling secure access to a discovered location server for a mobile device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030358A (en) * 2001-07-17 2003-01-31 Hitachi Ltd One-stop service system for electronic authentication
JP2009086802A (en) * 2007-09-28 2009-04-23 Hitachi Ltd Mediation method and system for authentication
AU2009205675B2 (en) * 2008-01-18 2014-09-25 Identrust, Inc. Binding a digital certificate to multiple trust domains

Also Published As

Publication number Publication date
JP2011009939A (en) 2011-01-13

Similar Documents

Publication Publication Date Title
US7904952B2 (en) System and method for access control
JP4818664B2 (en) Device information transmission method, device information transmission device, device information transmission program
JP6810334B2 (en) Profile data distribution control device, profile data distribution control method, and profile data distribution control program
JP6061633B2 (en) Device apparatus, control method, and program thereof.
JP5170648B2 (en) Authority delegation system, authority delegation method, and authority delegation program
JP2008022526A (en) Attribute certificate verification method, attribute authority apparatus, service providing apparatus, and attribute certificate verification system
JP4533935B2 (en) License authentication system and authentication method
CN101262342A (en) Distributed authorization and validation method, device and system
JP4758095B2 (en) Certificate invalidation device, communication device, certificate invalidation system, program, and recording medium
JP2002335239A (en) Method and system device for authenticating single sign- on
US7975293B2 (en) Authentication system, authentication method and terminal device
CN101540757A (en) Method and system for identifying network and identification equipment
JP6894160B1 (en) Usage right information processing device based on smart contract, usage right information processing system, and usage right information processing method
CN102984046A (en) Processing method of instant messaging business and corresponding network equipment
JP5785875B2 (en) Public key certificate verification method, verification server, relay server, and program
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
JP5278495B2 (en) Device information transmission method, device information transmission device, device information transmission program
JP4998314B2 (en) Communication control method and communication control program
JP4573559B2 (en) Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program
JP5402301B2 (en) Authentication program, authentication system, and authentication method
JP2008287359A (en) Authentication apparatus and program
JP2005157845A (en) Server system, client server system and method for logging-in client server system
JP5471150B2 (en) Authentication system, authentication apparatus, control method thereof, and control program
JP4882255B2 (en) Attribute certificate management apparatus and method
JP4543789B2 (en) Certificate verification information management method based on transactions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111101

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20130415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130521

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130718

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131014

LAPS Cancellation because of no payment of annual fees