JP5455858B2 - Client-server type authentication system using authentication token - Google Patents
Client-server type authentication system using authentication token Download PDFInfo
- Publication number
- JP5455858B2 JP5455858B2 JP2010218902A JP2010218902A JP5455858B2 JP 5455858 B2 JP5455858 B2 JP 5455858B2 JP 2010218902 A JP2010218902 A JP 2010218902A JP 2010218902 A JP2010218902 A JP 2010218902A JP 5455858 B2 JP5455858 B2 JP 5455858B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- certificate
- user
- machine
- authentication token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、証明書を認証手段として使用するクライアントサーバ型認証システムの強化機能に関する。 The present invention relates to an enhanced function of a client server type authentication system that uses a certificate as an authentication means.
従来、クライアントサーバ型認証システムとしては、パスワード認証や証明書を使用した認証が一般的である。証明書を使用した認証システムでは、認証サーバマシンにて管理者が発行した証明書(実体はデータであるが、以下単に「証明書」と称する場合がある)を認証サーバマシンにて保管するとともに、当該証明書をUSB(Universal Serial Bus)メモリなどの媒体(「認証トークン」と称される)に格納し、当該媒体をクライアントマシンに接続させることにより認証を行う。 Conventionally, as a client server type authentication system, password authentication or authentication using a certificate is generally used. In an authentication system using a certificate, a certificate issued by an administrator at the authentication server machine (actually, data is sometimes referred to as “certificate” hereinafter) is stored at the authentication server machine. The certificate is stored in a medium such as a USB (Universal Serial Bus) memory (referred to as “authentication token”), and authentication is performed by connecting the medium to a client machine.
通常、管理者は証明書を発行するために、サーバルームなどの隔離された場所に配置してある認証サーバマシンを直接操作する必要がある。認証サーバマシンの配置してあるサーバルームに入室する権限を管理者が持っている場合や、そのサーバルームが管理者のすぐ近くにある場合は、認証サーバマシンを直接操作することは容易である。しかし、そのサーバルームに入室する権限がない管理者である場合(入室権限の申請に時間がかかる場合や臨時管理者の場合)や、サーバルームが物理的に遠隔地にある場合には、サーバマシンを直接操作することが困難である。 Usually, an administrator needs to directly operate an authentication server machine located in an isolated place such as a server room in order to issue a certificate. If the administrator has the authority to enter the server room where the authentication server machine is located, or if the server room is in the immediate vicinity of the administrator, it is easy to operate the authentication server machine directly. . However, if you are an administrator who does not have the authority to enter the server room (if it takes a long time to apply for entry authority or if you are a temporary administrator), or if the server room is physically remote, It is difficult to operate the machine directly.
そこで特許文献1では、証明書を使用した認証システムに関して、管理者が認証サーバマシンを直接操作することなしに、容易にかつセキュリティレベルを下げることなく証明書を発行するシステムを提案している。具体的には、認証サーバマシンが、証明書発行権限に関する管理者の有効/無効及び無効時のログイン制限を含む管理者情報を予め格納しておき、管理者が管理者マシン(身近にあって直接操作可能なマシン)から認証サーバマシンに対して証明書発行依頼を行うと、認証サーバマシンは管理者マシンに証明書を送信するとともに、発行依頼を行った管理者とその証明書とを関連付けて記憶しておく。その後、管理者はユーザに証明書を発行する(すなわち認証トークンに証明書を格納し、配布する)。認証サーバマシンは、認証トークンを使用したユーザのクライアントマシンから証明書を受信したとき、その証明書と関連付けられた管理者情報を照会して有効/無効を判断し、有効であればログインさせ、無効であればログイン制限を行う。 Therefore, Patent Document 1 proposes a system that issues a certificate easily and without lowering the security level without directly operating an authentication server machine by an administrator with regard to an authentication system using a certificate. Specifically, the authentication server machine stores in advance administrator information including the validity / invalidity of the administrator regarding the certificate issuing authority and the login restriction at the time of the invalidation. When a certificate issuance request is sent from the machine that can be operated directly) to the authentication server machine, the authentication server machine sends the certificate to the administrator machine and associates the certificate with the administrator who issued the issuance request. And remember. Thereafter, the administrator issues a certificate to the user (ie, stores the certificate in an authentication token and distributes it). When the authentication server machine receives a certificate from the user's client machine that uses the authentication token, it queries the administrator information associated with the certificate to determine validity / invalidity. If disabled, login restriction is performed.
しかしながら、特許文献1のシステムにおける認証トークンは、単にUSBメモリなどの媒体に証明書が格納されたものであるので、悪意のある人間によってその証明書を他の媒体に複写されて、不正に利用される可能性がある。 However, since the authentication token in the system of Patent Document 1 is simply a certificate stored in a medium such as a USB memory, the certificate is copied to another medium by a malicious person and used illegally. There is a possibility that.
証明書が不正に利用されたことが発覚した後であれば、管理者によりその証明書を無効にすることで、それ以降の不正利用を防ぐことはできる。しかし、正規ユーザは、自分の証明書が不正に利用されていた事実を知らない可能性がある。その場合は、自分の知らないうちに認証トークンが利用できなくなっていることに憤慨するかもしれない。さらに、管理者によって証明書を新たに発行、すなわち認証トークンに新たに証明書を格納してもらう必要があり、その分の時間と手間がかかる。 After it is discovered that the certificate has been used illegally, the administrator can invalidate the certificate to prevent subsequent unauthorized use. However, legitimate users may not know the fact that their certificate was used illegally. In that case, you may be hesitant that the authentication token is no longer available without your knowledge. Furthermore, it is necessary for the administrator to issue a new certificate, that is, to have a new certificate stored in the authentication token, which takes time and effort.
また、証明書を再発行する際、管理者の利用する管理者マシンにUSBメモリなどの媒体を接続するだけでは、認証トークンとして既にユーザと証明書が格納されていた場合にはそのユーザの認証機能が起動してしまい、証明書を新たに発行することができなくなる可能性がある。 Also, when reissuing a certificate, simply connecting a medium such as a USB memory to the administrator machine used by the administrator, and if the user and certificate are already stored as an authentication token, the user is authenticated. The function may be activated and a new certificate may not be issued.
本発明の目的は、特許文献1のシステムをさらに改善することである。すなわち、予め一意の個体として登録された認証トークンのみに証明書を発行する機能と、その認証トークンの認証だけを許可する機能とを加えることで、上述したような不正利用を防ぐ機能を提供することを目的とする。また、管理者マシンが認証トークンの証明書を発行使用とする際には、認証トークンの認証機能が起動しないようにする機能を提供することを目的とする。 An object of the present invention is to further improve the system of Patent Document 1. In other words, a function for preventing unauthorized use as described above is provided by adding a function for issuing a certificate only to an authentication token registered in advance as a unique individual and a function for permitting only authentication of the authentication token. For the purpose. It is another object of the present invention to provide a function that prevents an authentication token authentication function from being activated when an administrator machine issues and uses an authentication token certificate.
上記目的を達成するために、本発明の、認証トークンによるクライアントサーバ型認証システムは、ユーザを認証する認証サーバマシンと、前記認証サーバマシンにネットワークを介して接続されユーザにより利用されるクライアントマシンと、前記認証サーバマシンにネットワークを介して接続され管理者により利用される管理者マシンと、発行された証明書を格納するための媒体であり個体識別情報をもつ認証トークンとを有するクライアントサーバ型認証システムである。
前記認証サーバマシンは、前記管理者マシンから送信された前記認証トークンの個体識別情報と該認証トークンに対する証明書の発行可否情報とを対応付けてデバイス管理DBに登録する手段と、前記管理者マシンから送信された前記ユーザに関するユーザ情報と該ユーザに対して発行された証明書とを対応付けてユーザ管理DBに格納する手段と、前記ユーザ情報及び前記証明書を格納されている前記認証トークンを接続された前記クライアントマシンからの認証要求に対し、該認証要求に含まれる該認証トークンの個体識別情報が前記デバイス管理DBに登録されているか否かを確認する手段と、前記認証トークンの個体識別情報が登録されている場合にのみ、前記認証要求に含まれるユーザ情報及び証明書が前記ユーザ管理DBに格納されたユーザ情報及び証明書と一致するか否かを確認する手段と、前記ユーザ情報及び前記証明書が一致する場合にのみ認証を許可する手段と、を備える。
前記管理者マシンは、接続された未登録の認証トークンの個体識別情報及び該認証トークンに対する証明書の発行可否情報を前記認証サーバマシンに登録させるべく送信する手段と、接続された認証トークンが登録済みであるか否か及び該認証トークに対する証明書の発行可否情報が発行可であるか否かを前記認証サーバマシンに問い合わせ、該認証サーバマシンから、該認証トークンが登録済みでありかつ発行可否情報が発行可であるとの回答を受信した場合にのみ、該認証トークンに対し指定されたユーザについての証明書を発行し、指定された該ユーザのユーザ情報及び発行した該証明書を該認証トークンに格納する手段と、前記ユーザ情報及び発行した前記証明書を前記認証サーバマシンに格納させるべく送信する手段と、を備える。
In order to achieve the above object, a client server type authentication system using an authentication token according to the present invention includes an authentication server machine for authenticating a user, and a client machine connected to the authentication server machine via a network and used by the user. Client server type authentication having an administrator machine connected to the authentication server machine via a network and used by an administrator, and an authentication token having individual identification information as a medium for storing issued certificates System.
The authentication server machine is configured to associate individual identification information of the authentication token transmitted from the administrator machine with certificate issuance information for the authentication token in association with each other in the device management DB, and the administrator machine Means for associating user information relating to the user transmitted from the user and a certificate issued to the user in a user management DB, and storing the user information and the authentication token storing the certificate. In response to an authentication request from the connected client machine, means for confirming whether or not individual identification information of the authentication token included in the authentication request is registered in the device management DB, and individual identification of the authentication token Only when information is registered, user information and certificate included in the authentication request are stored in the user management DB. Provided that a means for confirming whether to match the user information and the certificate, and means for permitting authentication only when the user information and the certificate matches.
The administrator machine transmits means for registering individual identification information of a connected unregistered authentication token and certificate issuance information for the authentication token to the authentication server machine, and the connected authentication token is registered. The authentication server machine is inquired whether the certificate issuance information for the authentication talk can be issued or not, and the authentication token is already registered and can be issued from the authentication server machine. Only when a reply that information can be issued is received, a certificate for the specified user is issued for the authentication token, and the user information of the specified user and the issued certificate are authenticated. Means for storing in a token; and means for transmitting the user information and the issued certificate to be stored in the authentication server machine.
上記システムにおいて、前記管理者マシンはさらに、前記認証サーバマシンに対し問い合わせを行う対象である前記認証トークンを接続する前に、該認証サーバマシンにより証明書発行モードを有効に設定されるための手段を備え、該証明書発行モードが有効に設定されている場合にのみ、前記証明書を発行可能であることが、好適である。 In the above system, the administrator machine further includes means for enabling a certificate issuance mode to be enabled by the authentication server machine before connecting the authentication token to be inquired to the authentication server machine. It is preferable that the certificate can be issued only when the certificate issuance mode is set to be valid.
以上のように本発明の、認証トークンによるクライアントサーバ型認証システムによれば、次のような効果がある。
一意の個体として識別可能な個体識別情報を事前に登録されている認証トークンのみに対し、証明書を発行することができる。従って、別の個体識別情報をもつ別の認証トークンに、証明書又はユーザ情報のみを複写して不正利用することを防止することができる。
As described above, according to the client server type authentication system using the authentication token of the present invention, the following effects can be obtained.
A certificate can be issued only for an authentication token in which individual identification information that can be identified as a unique individual is registered in advance. Accordingly, it is possible to prevent unauthorized use by copying only the certificate or user information to another authentication token having different individual identification information.
また、管理者マシンが、認証トークンの認証を行う機能から認証トークンの証明書を発行する機能に事前に切り替えることにより、管理者マシンから認証トークンの証明書を発行することができる。 Further, the administrator machine can issue the authentication token certificate from the administrator machine by switching in advance from the function of authenticating the authentication token to the function of issuing the authentication token certificate.
本発明を実施するための形態を、実施例を示した図面を参照しつつ詳細に説明する。
図1は、本発明の、認証トークンによるクライアントサーバ型認証システムの概略的な構成図である。
図1において、ネットワーク104には、クライアントマシン101及び認証サーバマシン103が接続されている。クライアントマシン101は一台だけではなく、複数台存在し、それぞれがネットワーク104を介して認証サーバマシン103と接続され、相互情報伝送可能である。各クライアントマシン101には、特に決められたユーザがいないか、又は、一人又は複数の決められたユーザがいるものと想定する。
A mode for carrying out the present invention will be described in detail with reference to the drawings showing examples.
FIG. 1 is a schematic configuration diagram of a client-server type authentication system using an authentication token according to the present invention.
In FIG. 1, a
同様に、ネットワーク105には、管理者マシン102及び認証サーバマシン103が接続されている。管理者マシン102は、サーバルームなどの隔離された場所に配置されている認証サーバマシン103に対して、管理者が管理者権限においてサーバルームの外部から操作するためのものである。
Similarly, an
認証サーバマシン103は、サーバプログラムを導入されたコンピュータにより、そして、クライアントマシン101及び管理者マシン102は、端末として機能する適宜のパーソナルコンピュータにより実施できる。
The
図1には、本システムにおいて使用される認証トークンの一例として、2つの認証トークン106及び認証トークン107を示している。これらは、発行された証明書を格納するための媒体であり、例えば、USBメモリである。認証トークン106、107が、所定の証明書を格納した状態でクライアントマシン101に接続されることにより、設定されたセキュリティポリシーに従ったユーザとしてログインすることを可能とする。以下では、符号を伴わない「認証トークン」は、図1に示した特定の認証トークン106、107及びこれら以外の認証トークンを含む、広い概念の認証トークンを表す場合に用いる。
FIG. 1 shows two
認証サーバマシン103は、認証トークンに証明書を発行する手段及び認証トークンによるユーザ認証手段を含む本発明の機能を実行する各処理手段(図示省略)と、本発明の機能に関連する情報を格納するためのユーザ管理DB(データベース)108及びデバイス管理DB(データベース)109を備えている。ユーザ管理DB108には、クライアントマシン101のユーザに関する情報と、当該ユーザに発行した証明書が、ユーザ毎に登録されている。デバイス管理DB109には、登録済みの認証トークンに関する情報が、認証トークン毎に登録されている。
The
図2は、図1の認証サーバマシン103に備わっているユーザ管理DB108の定義内容と情報の一例を示す構成図である。図1のクライアントマシン101を利用する各ユーザに関する情報が記載されている。
FIG. 2 is a configuration diagram showing an example of the definition contents and information of the
ユーザ管理DB108は、データ項目として、ユーザ名201、証明書データ202及びセキュリティポリシー203を含み、各情報が対応付けられて格納される。ユーザ名201には各ユーザのユーザ名が格納される。証明書データ202は、実質的な証明書であるところの各ユーザの識別情報が格納される。セキュリティポリシー203には、そのユーザが認証すなわちログインを許可された後の、持ち出し可・不可等のセキュリティ制限情報が格納されている。
The
このユーザ管理DB108は、クライアントマシン101が認証トークンを使用してログインしようとして認証サーバマシン103に認証要求した際に、認証トークンに格納されているユーザ名及び証明書を照合するために使用される。ユーザ管理DB108と、認証トークンに格納されているユーザ名及び証明書の照合結果が一致すれば、ユーザはログインに成功する。照合結果が一致しなければ、ユーザはログインに失敗する。
This
図3は、図1における認証サーバマシン103に備わっているデバイス管理DB109の定義内容と情報の概要であり、図1の認証トークン106、107の個体を一意に識別する情報が記載されている。
FIG. 3 is an overview of the definition contents and information of the device management DB 109 provided in the
デバイス管理DB109は、データ項目として、識別ID301及び発行可否302を含み、各情報が対応付けられて格納される。識別ID301には、図1における認証トークン106、107の各々を一意の個体として識別する情報すなわち個体識別情報が格納される。ここで、認証トークンの個体識別情報とは、個々の認証トークンの媒体に本来的に格納されている、書き換えや複写ができない情報である。発行可否302には、識別ID301に記載されている認証トークンに対する証明書の発行可又は不可を設定した発行可否情報が格納される。一例として、図1の認証トークン106については、識別ID301に個体識別情報「id106」が、発行可否302に「可能」が格納されており、図1の認証トークン107については、識別ID301に個体識別情報「id107」が、発行可否302に「不可能」が格納されている。
The device management DB 109 includes, as data items, an
このデバイス管理DB109は、管理者マシン102が、登録された認証トークン106、107に対して証明書を発行する際に、当該認証トークン106、107の発行可否情報を確認するために参照される。また、クライアントマシン101が、認証トークンを使用してログインしようとして認証サーバマシン103に認証要求した際に、当該認証トークンが登録されているか否かを確認するために参照される。
The device management DB 109 is referred to when the
図4A及び図4Bは、管理者マシン102及び認証サーバマシン103により実行される処理であって、未登録の認証トークンを登録し、登録された認証トークンに対して証明書を発行する処理のフローチャートである。この処理の後半では、図1に示した、認証トークン106と認証トークン107の証明書の発行可否情報の設定内容により分岐する処理となっている。以下の説明においては、図1〜図3中の符号も参照する。
4A and 4B are flowcharts of processing executed by the
まず、管理者が管理者マシン102にログインし、未登録の認証トークンが管理者により管理者マシン102に接続される(ステップ401)。管理者マシン102から認証サーバマシン103に対して、当該認証トークンの個体識別情報及び証明書の発行可否情報が送信され、認証サーバマシン103はデバイス管理DB109にこれらの情報を対応付けて登録する(ステップ402)。
First, the administrator logs in to the
次に、管理者マシン102から認証サーバマシン103にリモートログインし、認証サーバマシン103から、管理者マシン102が証明書を発行する権限を一時的に与えられる(ステップ403)。
Next, the
再度、管理者により管理者マシン102に認証トークンが接続される(ステップ404)。その際、管理者マシン102が、認証サーバマシン103により証明書発行モードを有効に設定されているかどうかによって処理が分岐する(ステップ405)。証明書発行モードを有効に設定されている場合は、認証トークンを接続しても認証サーバマシン103に対してログイン認証を行わない状態となる。これにより、認証トークンに対して証明書の発行が可能となる。そのため、認証トークンに対して証明書を発行する場合は、事前に(認証トークンを接続する前に)認証サーバマシン103から管理者マシン102に対して証明書発行モードを有効に設定しておく必要がある。なお、認証サーバマシン103は、管理者マシン102の証明書発行モードが有効に設定されている状態から無効に設定する手段も備えている。
Again, the administrator connects the authentication token to the administrator machine 102 (step 404). At that time, the process branches depending on whether or not the
ステップ405において、証明書発行モードが無効に設定されている場合、認証トークンとして認証サーバマシン103に対してログイン認証する(ステップ407)。これ以降は本発明とは無関係の処理となる。
If the certificate issuance mode is set to invalid in step 405, login authentication is performed on the
一方、ステップ405において、証明書発行モードが有効に設定されている場合、認証トークンに対して証明書を発行することが可能となる(ステップ406)。なお、管理者マシン102ではなく、認証サーバマシン103において認証トークンに対して証明書を発行する場合は、証明書発行モードを有効に設定する必要はない。
On the other hand, if the certificate issuance mode is set to be valid in step 405, a certificate can be issued for the authentication token (step 406). When the certificate is issued to the authentication token in the
次に、管理者マシン102は、接続された認証トークンの個体識別情報がデバイス管理DB109に登録されているか否かを認証サーバマシン103に問い合わせる(ステップ408)。認証サーバマシン103は、デバイス管理DB109を参照し、認証トークンの個体識別情報が識別ID301に登録済みの場合は、管理者マシン102にその旨を回答する。
Next, the
続いて、管理者マシン102は、当該認証トークンに対して証明書を発行可能であるか否かを認証サーバマシン103に問い合わせる(ステップ409)。認証サーバマシン103は、デバイス管理DB109を参照し、当該認証トークンの識別ID301に対応する発行可否302に「可能」と登録されていれば、その旨を管理者マシン102に回答する。これに基づき管理者マシン102は、当該認証トークンに対して、指定されたユーザの証明書を発行する(ステップ410)。例えば、認証トークン106が接続された場合、デバイス管理DB109の識別ID301に「id106」が登録済みであり、発行可否302には「可能」と登録されているので、証明書の発行に成功する。ユーザの指定において、例えば、ユーザ名201の「yamada」をユーザとして指定すると、「yamada」とそれに対する証明書が認証トークン106に格納され、ユーザ管理DB108にも格納される。
Subsequently, the
このようにして、認証トークンには、指定されたユーザの情報と発行された証明書の情報が格納される。同時に、これらのユーザ情報及び証明書の情報は、認証サーバマシン103に送信され、認証サーバマシン103は、ユーザ管理DB108のユーザ名201に対応付けられた証明書データ202に証明書を格納する。このとき、既に証明書データ202にデータが存在する場合にはそのデータは上書きされる。
In this way, the authentication token stores information on the designated user and information on the issued certificate. At the same time, these user information and certificate information are transmitted to the
上記ステップ408及びステップ409のいずれか一方でも満たさない場合は、証明書の発行は失敗して処理を終了する(ステップ411)。例えば、認証トークン107が接続された場合、識別ID301に「id107」は登録されているが、発行可否302には「不可能」と登録されているので、認証トークン107に対する証明書の発行は失敗する。
If neither of the
図5は、クライアントマシン101及び認証サーバマシン103により実行される処理であって、認証トークンによる認証を行う処理のフローチャートである。図1におけるクライアントマシン101に認証トークン106を接続して認証する処理を表している。
FIG. 5 is a flowchart of a process executed by the
まず、図1におけるクライアントマシン101に認証トークン106を接続する(ステップ501)。この認証トークン106には、既に証明書が発行され格納されている。認証トークン106に格納されている情報(個体識別情報、ユーザ名、証明書)は、認証要求とともに認証サーバマシン103に送信される。次に、認証サーバマシン103は、デバイス管理DB109を参照し、認証トークン106の個体識別情報が登録されているか否かを確認する。(ステップ502)。
First, the
仮に、認証トークン106ではない別の認証トークンが接続され、その個体識別情報がデバイス管理DB109に登録されていない場合、認証トークンによる認証は失敗して処理は終了する(ステップ504)。例えば、何らかの手段により、認証トークン106と同じ証明書が複写された別の認証トークンを接続して認証させようとしたとする。しかし、この別の認証トークンの個体識別情報は、デバイス管理DB109に登録されていないため、この処理によりこの別の認証トークンによる認証処理は失敗する。
If another authentication token that is not the
この実施例では、認証トークン106の個体識別情報はデバイス管理DB109に登録されているので、認証サーバマシン103は、認証トークン106による認証を許可し、さらにユーザ管理DB108を参照する。そして、認証トークン106に格納されているユーザ名及び証明書と、ユーザ管理DB108に登録されているユーザ名201及び証明書データ202とを照合する(ステップ503)。照合した結果が一致しない場合は、認証トークン106による認証は失敗して認証処理は終了する(ステップ507)。照合した結果が一致する場合は、認証トークン106による認証に成功する(ステップ506)。
In this embodiment, since the individual identification information of the
101…クライアントマシン、102…管理者マシン、103…認証サーバマシン、104…ネットワーク、105…ネットワーク、106…認証トークン、107…認証トークン、108…ユーザ管理DB、109…デバイス管理DB
DESCRIPTION OF
Claims (2)
前記認証サーバマシンは、
前記管理者マシンから送信された前記認証トークンの個体識別情報と該認証トークンに対する証明書の発行可否情報とを対応付けてデバイス管理DBに登録する手段と、
前記管理者マシンから送信された前記ユーザに関するユーザ情報と該ユーザに対して発行された証明書とを対応付けてユーザ管理DBに格納する手段と、
前記ユーザ情報及び前記証明書を格納されている前記認証トークンを接続された前記クライアントマシンからの認証要求に対し、該認証要求に含まれる該認証トークンの個体識別情報が前記デバイス管理DBに登録されているか否かを確認する手段と、
前記認証トークンの個体識別情報が登録されている場合にのみ、前記認証要求に含まれるユーザ情報及び証明書が前記ユーザ管理DBに格納されたユーザ情報及び証明書と一致するか否かを確認する手段と、
前記ユーザ情報及び前記証明書が一致する場合にのみ認証を許可する手段と、を備え、
前記管理者マシンは、
接続された未登録の認証トークンの個体識別情報及び該認証トークンに対する証明書の発行可否情報を前記認証サーバマシンに登録させるべく送信する手段と、
接続された認証トークンが登録済みであるか否か及び該認証トークに対する証明書の発行可否情報が発行可であるか否かを前記認証サーバマシンに問い合わせ、該認証サーバマシンから、該認証トークンが登録済みでありかつ発行可否情報が発行可であるとの回答を受信した場合にのみ、指定されたユーザについての証明書を発行し、指定された該ユーザのユーザ情報及び発行した該証明書を該認証トークンに格納する手段と、
前記ユーザ情報及び発行した前記証明書を前記認証サーバマシンに格納させるべく送信する手段と、を備えたことを特徴とする
認証トークンによるクライアントサーバ型認証システム。 An authentication server machine for authenticating a user; a client machine connected to the authentication server machine via a network and used by a user; an administrator machine connected to the authentication server machine via a network and used by an administrator; A client-server type authentication system having an authentication token which is a medium for storing issued certificates and has individual identification information,
The authentication server machine is:
Means for associating the individual identification information of the authentication token transmitted from the administrator machine with the certificate issuance information for the authentication token in association with the device management DB;
Means for associating user information related to the user transmitted from the administrator machine with a certificate issued to the user in a user management DB;
In response to an authentication request from the client machine connected to the authentication token storing the user information and the certificate, individual identification information of the authentication token included in the authentication request is registered in the device management DB. Means to check whether or not
Only when the individual identification information of the authentication token is registered, it is confirmed whether the user information and certificate included in the authentication request match the user information and certificate stored in the user management DB. Means,
Means for permitting authentication only when the user information and the certificate match,
The administrator machine is
Means for transmitting the individual identification information of the connected unregistered authentication token and the certificate issuance permission / prohibition information for the authentication token so as to be registered in the authentication server machine;
The authentication server machine is inquired whether or not the connected authentication token has been registered and whether or not the certificate issuance information for the authentication talk can be issued. Only when a reply is received that the registration has been made and the issue / prohibition information can be issued, a certificate for the designated user is issued, and the user information of the designated user and the issued certificate are Means for storing in the authentication token;
And a means for transmitting the user information and the issued certificate to be stored in the authentication server machine.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010218902A JP5455858B2 (en) | 2010-09-29 | 2010-09-29 | Client-server type authentication system using authentication token |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010218902A JP5455858B2 (en) | 2010-09-29 | 2010-09-29 | Client-server type authentication system using authentication token |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012073870A JP2012073870A (en) | 2012-04-12 |
| JP5455858B2 true JP5455858B2 (en) | 2014-03-26 |
Family
ID=46169962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010218902A Expired - Fee Related JP5455858B2 (en) | 2010-09-29 | 2010-09-29 | Client-server type authentication system using authentication token |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5455858B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5853235B1 (en) * | 2015-03-09 | 2016-02-09 | 株式会社クローバー・ネットワーク・コム | Unauthorized transaction prevention device, unauthorized transaction prevention method, unauthorized transaction prevention system, and program |
-
2010
- 2010-09-29 JP JP2010218902A patent/JP5455858B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012073870A (en) | 2012-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101979586B1 (en) | IoT DEVICE MANAGED BASED ON BLOCK CHAIN, SYSTEM AND METHOD THEREOF | |
| US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
| CN101202762B (en) | Methods and system for storing and retrieving identity mapping information | |
| CN110149328B (en) | Interface authentication method, device, equipment and computer readable storage medium | |
| CN101515932A (en) | Method and system for accessing Web service safely | |
| JP5013931B2 (en) | Apparatus and method for controlling computer login | |
| TW200949603A (en) | System and method for providing a system management command | |
| JP5686697B2 (en) | Embedded equipment maintenance system | |
| JP4833745B2 (en) | Data protection method for sensor node, computer system for distributing sensor node, and sensor node | |
| JP6479723B2 (en) | Secret key management system and secret key management method | |
| JP2009157781A (en) | Remote access method | |
| JP2019028805A5 (en) | ||
| JP4862551B2 (en) | Authentication control program and authentication device | |
| KR20120058199A (en) | User authentication method using location information | |
| KR102199138B1 (en) | Method, apparatus and program for user authentication | |
| JP2018022501A (en) | Server system and method for controlling multiple service systems | |
| JP5455858B2 (en) | Client-server type authentication system using authentication token | |
| KR20100066907A (en) | Integrated authentication and access control system and method the same | |
| US20230412400A1 (en) | Method for suspending protection of an object achieved by a protection device | |
| WO2013114649A1 (en) | Biological authentication system, biological authentication device, and biological authentication method | |
| JP4878566B2 (en) | Digital certificate distribution system, digital certificate distribution method, and digital certificate distribution program | |
| JP2010250405A (en) | Information apparatus | |
| JP2018022941A (en) | Management system, management server and management program | |
| KR101499965B1 (en) | Method of verifying and protecting secure information using ticket | |
| JP6754149B1 (en) | Programs, web servers, authentication methods and authentication systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130125 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131210 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5455858 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |