JP5521736B2 - 通信制御装置、通信制御プログラム及び通信制御システム - Google Patents

通信制御装置、通信制御プログラム及び通信制御システム Download PDF

Info

Publication number
JP5521736B2
JP5521736B2 JP2010099671A JP2010099671A JP5521736B2 JP 5521736 B2 JP5521736 B2 JP 5521736B2 JP 2010099671 A JP2010099671 A JP 2010099671A JP 2010099671 A JP2010099671 A JP 2010099671A JP 5521736 B2 JP5521736 B2 JP 5521736B2
Authority
JP
Japan
Prior art keywords
authentication
server
external
terminal
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010099671A
Other languages
English (en)
Other versions
JP2011232794A (ja
Inventor
佳弘 増田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2010099671A priority Critical patent/JP5521736B2/ja
Priority to US12/910,895 priority patent/US8516239B2/en
Priority to CN201010539987.6A priority patent/CN102238161B/zh
Publication of JP2011232794A publication Critical patent/JP2011232794A/ja
Application granted granted Critical
Publication of JP5521736B2 publication Critical patent/JP5521736B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Description

本発明は、通信制御装置、通信制御プログラム及び通信制御システムに関する。
従来の通信制御装置として、IP−VPNのネットワークにそれぞれ接続され企業ごとに用意された複数の社内業務システムと、インターネットを介したリモート接続用端末装置との通信を制御するものであって、インターネットを介してリモート接続用端末からパケットを受け取ると、そのパケットのデータから企業を識別し、該当する企業の社内業務システムからリモート接続用端末へパスワード入力画面を表示する情報を出力させて、その情報に対する応答としてリモート接続用端末に入力されたパスワードを受信すると、社内業務システムに転送して、社内業務システムから認証可能の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を確立し、社内業務システムから認証拒否の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を遮断するものが提案されている(例えば、特許文献1参照)。
特開2006−5503号公報
本発明の目的は、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる通信制御装置、通信制御プログラム及び通信制御システムを提供することにある。
[1]外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼に対する認証結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる前記認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
[2]秘密鍵及び公開鍵を生成する鍵対生成手段と、前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する前記[1]に記載の通信制御装置。
[3]前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける前記[1]に記載の通信制御装置。
[4]前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する前記[1]に記載の通信制御装置。
[5]コンピュータを、
外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼に対する認証結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる前記認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
[6]認証情報に基づいて利用者を認証する認証サービスを提供する外部認証サーバと、
前記外部認証サーバの前記認証サービスを利用できる外部端末と、
前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、
前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、
前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、
前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、
前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
請求項1、請求項5又は請求項6に係る発明によれば、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる。
請求項2に係る発明によれば、端末認証プログラムをコード署名することができる。
請求項3に係る発明によれば、認証情報を符号化して扱うことができる。
請求項4に係る発明によれば、認証結果の改変の有無を検証することができる。
図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。 図2は、仮想認証プロキシサーバ装置の構成の一例を示すブロック図である。 図3Aは、通信制御システムの動作の一例を示すフローチャートである。 図3Bは、通信制御システムの動作の一例を示すフローチャートである。 図3Cは、通信制御システムの動作の一例を示すフローチャートである。 図4は、鍵対生成手段の鍵対の生成例及びコード署名手段のプログラムに対するコード署名例を説明するための図である。 図5は、第2の実施の形態に係る通信制御システムの動作の一例を示すフローチャートである。
[第1の実施の形態]
(通信制御システムの構成)
図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。
通信制御システム1は、クラウド基盤2、企業ネットワーク3A,3B及び認証局4等を有し、それぞれインターネット5によって互いに通信可能に接続される。
クラウド基盤2は、端末装置9の要求に応じて、仮想計算機を起動するとともに当該起動した仮想計算機上で各種プログラムを実行させることによって、ウェブアプリケーションの実行等のサービスを提供するものであり、本実施の形態では既にクラウド基盤2上で、仮想認証プロキシサーバ6A、アプリケーションサーバ7A,7B、仮想認証プロキシサーバ6B及びアプリケーションサーバ7C,7D等が起動し動作しているものとする。なお、仮想認証プロキシサーバ及びアプリケーションサーバは、単数又は複数のいずれでもよく、これらの接続方法も図示する例に限定するものではない。
仮想認証プロキシサーバ6A,6Bは、アプリケーションサーバ7A〜7Dが端末装置9から認証が必要となるサービスの要求を受け付けた場合に、アプリケーションサーバ7A〜7Dからその認証依頼を受け付けて、認証サーバ装置8A又は8Bに認証させる。なお、仮想認証プロキシサーバ6Aは、企業ネットワーク3Aの端末装置9が使用するものであり、仮想認証プロキシサーバ6Bは、企業ネットワーク3Bの端末装置9が使用するものとする。
アプリケーションサーバ7A〜7Dは、端末装置9の要求に応じてウェブアプリケーション等のサービスを提供する。また、アプリケーションサーバ7A〜7Dは、端末装置9から認証が必要となるサービスの要求を受け付けた場合に、仮想認証プロキシサーバ6A又は6Bにその認証を依頼する。なお、アプリケーションサーバ7A及び7Bは、企業ネットワーク3Aの端末装置9から利用可能であり、アプリケーションサーバ7C及び7Dは、企業ネットワーク3Bの端末装置9から利用可能とする。
企業ネットワーク3Aは、認証サーバ装置8A、端末装置9等を有し、それぞれLAN(Local Area Network)31によって互いに通信可能に接続される。なお、企業ネットワーク3Aは、ファイヤウォール30によってLAN31外のインターネット5を介した通信を制限する。つまり、認証サーバ装置8A及び端末装置9を企業ネットワーク3Aに接続されていない外部装置から使用することはできない。また、LAN31は、有線、無線は問わない。また、端末装置9は、単数又は複数のいずれでもよく図示する例によって数を限定するものではない。
認証サーバ装置8Aは、例えば、予め登録されたユーザ名及びユーザ名に対応したパスワードを有しており、認証依頼に応じて認証結果を出力する。なお、ユーザ名及びパスワードに限らず、IDカードを用いた認証や、静脈認証等の認証情報を用いてもよい。
端末装置9は、アプリケーションサーバ7A〜7Dに対するクライアント装置であり、LCD等の表示部、キーボード及びマウス等の操作部並びにCPU等からなる制御部等を有し、利用者の操作部に対する操作内容に応じてアプリケーションサーバ7Aのウェブアプリケーションの実行を要求して、アプリケーションサーバ7A〜7Dの応答として出力される画像情報等に基づき表示部に操作用の画像等を表示する。
企業ネットワーク3Bは、企業ネットワーク3Aの企業と異なる企業のネットワークであるが、その構成は企業ネットワーク3Aと同様であるため説明を省略する。
認証局4は、外部から公開鍵を受け取って登録し、その公開鍵及び公開鍵の持ち主等を記載した電子公開鍵証明書を発行する。
図2は、仮想認証プロキシサーバ6Aの構成の一例を示すブロック図である。
仮想認証プロキシサーバ6Aは、CPU等から構成され各部を制御するとともに各種のプログラムを実行する制御部60と、HDD(Hard Disk Drive)やフラッシュメモリ等の記憶装置から構成され情報を記憶する記憶部61と、インターネット5を介して外部と通信する通信部62とを有する。
制御部60は、通信制御プログラム610を実行することで、鍵対生成手段600、コード署名手段601、認証準備プログラム送信手段602、認証依頼受付手段603、端末認証プログラム送信手段604及び認証結果送信手段605等として機能する。
鍵対生成手段600は、秘密鍵及び公開鍵を生成する。
コード署名手段601は、後述する認証準備プログラム611及び端末認証プログラム612に電子署名及び電子証明書を添付してコード署名する。
認証準備プログラム送信手段602は、取得要求を受け付けると、コード署名手段601がコード署名した、端末認証プログラム612を取得するための認証準備プログラム611をアプリケーションサーバ7A,7Bに送信する。
認証依頼受付手段603は、アプリケーションサーバ7A,7Bの認証依頼を受け付ける。
端末認証プログラム送信手段604は、コード署名手段601がコード署名した、アプリケーションサーバ7A,7Bの認証依頼を端末装置9によって認証サーバ装置8A又は8Bに送信させるための端末認証プログラム612を端末装置9へ送信する。
認証結果送信手段605は、認証サーバ装置8Aの認証結果を検証してアプリケーションサーバ7A,7Bに送信する。
記憶部61は、制御部60を上述した手段600〜605として動作させる通信制御プログラム610、例えば、Java(登録商標) Applet等の言語で記述される認証準備プログラム611及び端末認証プログラム612等の情報を格納する。なお、認証準備プログラム611及び端末認証プログラム612は、予め記憶部61に格納されずに外部装置に送信する際に生成するものでもよい。
(動作)
以下に、通信制御システムの動作を図1〜4を参照しつつ説明する。なお、以下の説明において、アプリケーションサーバ7A、仮想認証プロキシサーバ6A、企業ネットワーク3A内の端末装置9及び認証サーバ装置8Aが動作する例を示すが、図1に示す装置のうち対応する機能を有する装置が動作する場合も同様に動作する。
(1)準備動作
図3A〜3Cは、通信制御システム1の動作の一例を示すフローチャートである。
まず、仮想認証プロキシサーバ6Aの鍵対生成手段600は、秘密鍵及び公開鍵からなる鍵対を生成する(S600)。次に、コード署名手段601は、公開鍵に基づいた電子証明書の作成を認証局4に要求する(S601)。
図4は、鍵対生成手段600の鍵対の生成例及びコード署名手段601のプログラムに対するコード署名例を説明するための図である。
コード署名手段601は、公開鍵600Bに基づいた電子証明書の作成を認証局4に要求D1することで、認証局は電子証明書600Cを作成し(S401)、仮想認証プロキシサーバ6Aに送信D2する(S402)。
コード署名手段601は、電子証明書600Cを受信し(S602)、図示しないメモリに一時的に記憶する。
一方、アプリケーションサーバ7Aは、認証準備プログラム611の取得を仮想認証プロキシサーバ6Aに要求する(S700)。
仮想認証プロキシサーバ6Aの認証準備プログラム送信手段602は、アプリケーションサーバ7Aの取得要求を受け付け(S603)、コード署名手段601は、秘密鍵600Aに基づいて認証準備プログラム611の電子署名600Dを作成D3し、認証準備プログラム611に電子署名600D及び電子証明書600Cを添付することでコード署名し(S604)、コード署名した認証準備プログラム611をアプリケーションサーバ7Aに送信D4する(S605)。
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aからコード署名された認証準備プログラム611を受信する(S701)。
また、端末装置9は、図示しない鍵対生成手段によって秘密鍵及び公開鍵の鍵対を生成し(S900)、公開鍵を認証局4に登録する(S901)。認証局4は、端末装置9から公開鍵を受け付けて登録する(S403)。
(2)認証要求動作
まず、利用者は、ウェブアプリケーションを利用するため、端末装置9を操作する。端末装置9は、操作に応じてインターネット5を介してアプリケーションサーバ7Aと通信し、ログインを要求する(S902)。
アプリケーションサーバ7Aは、端末装置9のログイン要求を受信し(S701)、ログイン画面を端末装置9の表示部に表示するための画像情報と認証準備プログラム611とを送信する(S703)。ここで、認証準備プログラム611はコード署名されたものであり、画像情報に組み込まれて送信される。
次に、端末装置9は、ログイン画面画像情報と認証準備プログラム611とを受信し(S903)、ログイン画面画像を表示する(S904)。
利用者は、ログイン画面画像を参照し、操作部を操作してユーザ名及びパスワードを入力する。端末装置9は、入力されたユーザ名及びパスワードを受け付けて(S905)、アプリケーションサーバ7Aに送信する(S906)。
アプリケーションサーバ7Aは、端末装置9からユーザ名及びパスワードを受信し(S704)、仮想認証プロキシサーバ6Aに受信したユーザ名及びパスワードの認証を依頼する(S705)。
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、図4に示すように、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
一方、端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することで仮想認証プロキシサーバ6Aにポーリングする(S908)。なお、端末装置9は、認証準備プログラム611を起動する際に、コード署名を検証することで、改ざんの有無やプログラム作成者等の情報を確認する。
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612を端末装置9に送信D6する(S609)。なお、端末認証プログラム送信手段604は、端末認証プログラム612とともに、ユーザ名及びパスワード並びに認証セッションIDを送信する。
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、ユーザ名及びパスワード並びに認証セッションIDを受信し(S909)、コード署名を検証して端末認証プログラム612を起動する(S910)。
(3)認証実行動作
次に、端末装置9は、端末認証プログラム612を実行することで、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
仮想認証プロキシサーバ6Aの認証結果送信手段605は、端末装置9から認証結果を受信し(S610)、検証するために認証局4に端末装置9の公開鍵の取得を要求する(S611)。
認証局4は、端末装置9の公開鍵の取得要求を受け付けて(S404)、登録された端末装置9の公開鍵を仮想認証プロキシサーバ6Aに送信する(S405)。
仮想認証プロキシサーバ6Aの認証結果送信手段605は、認証局4から端末装置9の公開鍵を受信し(S612)、受信した公開鍵によって認証結果を検証し(S613)、検証に問題がなければ認証結果をアプリケーションサーバ7Aに送信する(S614)。
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aから認証結果を受信し(S706)、認証結果に基づいてウェブアプリケーションの機能を提供する(S707)。なお、認証結果が認証不可の場合は、機能を提供しないか、機能を制限して提供する。
端末装置9は、アプリケーションサーバ7Aから提供されるウェブアプリケーションの機能を利用する(S915)。
[第2の実施の形態]
第2の実施の形態は、端末装置9に入力されたユーザ名及びパスワードを直接、企業ネットワーク3Aの外部に送信しない点で第1の実施の形態と異なる。
通信制御システム1は、まず、第1の実施の形態で説明した動作のうち、図4Aを用いて説明した動作を実行する。端末装置9がステップS905を実行した後、以下に説明する動作を実行する。
図5は、第2の実施の形態に係る通信制御システム1の動作の一例を示すフローチャートである。
端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することでステップS905において受け付けたユーザ名及びパスワードを図示しないメモリに一時的に保存する(S950)。次に、端末装置9は、認証準備プログラム611を実行することで、ユーザ名、パスワード及び乱数に基づいてMAC(Message Authentication Code)を生成し(S951)、アプリケーションサーバ7Aに送信する(S952)。
アプリケーションサーバ7Aは、端末装置9からMACを受信し(S750)、仮想認証プロキシサーバ6Aに受信したMACの認証を依頼する(S751)。
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
一方、端末装置9は、認証準備プログラムを実行することで、仮想認証プロキシサーバ6Aにポーリングする(S908)。
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612をMACとともに端末装置9に送信D6する(S650)。なお、端末認証プログラム送信手段604は、端末認証プログラム612及びMACとともに、認証セッションIDを送信する。
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、MAC並びに認証セッションIDを受信し(S953)、ステップS950で一時保存したユーザ名及びパスワード及び乱数と受信したMACとを照合して検証する(S954)。次に、端末装置9は、端末認証プログラム612を起動する(S910)。
次に、端末装置9の端末認証プログラム612は、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
以降、通信制御システム1は、第1の実施の形態で説明した動作のうち、図4Cを用いて説明した動作を実行する。
[他の実施の形態]
なお、本発明は、上記実施の形態に限定されず、本発明の趣旨を逸脱しない範囲で種々な変形が可能である。
また、上記実施の形態で使用される通信制御プログラム610、認証準備プログラム611及び端末認証プログラム612は、CD−ROM等の記憶媒体から装置内の記憶部に読み込んでも良く、インターネット等のネットワークに接続されているサーバ装置等から装置内の記憶部にダウンロードしてもよい。また、上記実施の形態で使用される手段600〜605の一部または全部をASIC等のハードウェアによって実現してもよい。
1…通信制御システム、2…クラウド基盤、3A,3B…企業ネットワーク、4…認証局、5…インターネット、6A,6B…仮想認証プロキシサーバ、7A-7D…アプリケーションサーバ、8A,8B…認証サーバ装置、9…端末装置、30…ファイヤウォール、60…制御部、61…記憶部、62…通信部、600…鍵対生成手段、600A…秘密鍵、600B…公開鍵、600C…電子証明書、600D…電子署名、600E…電子署名、601…コード署名手段、602…認証準備プログラム送信手段、603…認証依頼受付手段、604…端末認証プログラム送信手段、605…認証結果検証手段、610…通信制御プログラム、611…認証準備プログラム、612…端末認証プログラム

Claims (6)

  1. 外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
    前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼に対する認証結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
    前記外部端末から受信した前記外部認証サーバによる前記認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
  2. 秘密鍵及び公開鍵を生成する鍵対生成手段と、
    前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する請求項1に記載の通信制御装置。
  3. 前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける請求項1に記載の通信制御装置。
  4. 前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、
    前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する請求項1に記載の通信制御装置。
  5. コンピュータを、
    外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
    前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼に対する認証結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
    前記外部端末から受信した前記外部認証サーバによる前記認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
  6. 認証情報に基づいて利用者を認証する認証サービスを提供する外部認証サーバと、
    前記外部認証サーバの前記認証サービスを利用できる外部端末と、
    前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、
    前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、
    前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、
    前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、
    前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
JP2010099671A 2010-04-23 2010-04-23 通信制御装置、通信制御プログラム及び通信制御システム Expired - Fee Related JP5521736B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010099671A JP5521736B2 (ja) 2010-04-23 2010-04-23 通信制御装置、通信制御プログラム及び通信制御システム
US12/910,895 US8516239B2 (en) 2010-04-23 2010-10-25 Virtual authentication proxy server and terminal authentication server
CN201010539987.6A CN102238161B (zh) 2010-04-23 2010-11-11 通信控制装置和通信控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010099671A JP5521736B2 (ja) 2010-04-23 2010-04-23 通信制御装置、通信制御プログラム及び通信制御システム

Publications (2)

Publication Number Publication Date
JP2011232794A JP2011232794A (ja) 2011-11-17
JP5521736B2 true JP5521736B2 (ja) 2014-06-18

Family

ID=44816786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010099671A Expired - Fee Related JP5521736B2 (ja) 2010-04-23 2010-04-23 通信制御装置、通信制御プログラム及び通信制御システム

Country Status (3)

Country Link
US (1) US8516239B2 (ja)
JP (1) JP5521736B2 (ja)
CN (1) CN102238161B (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8826451B2 (en) * 2010-08-16 2014-09-02 Salesforce.Com, Inc. Mechanism for facilitating communication authentication between cloud applications and on-premise applications
US8996350B1 (en) 2011-11-02 2015-03-31 Dub Software Group, Inc. System and method for automatic document management
JP5854138B2 (ja) * 2012-06-21 2016-02-09 富士通株式会社 情報処理システム,情報処理方法,通信装置
FI20135275A (fi) * 2013-03-22 2014-09-23 Meontrust Oy Tapahtumien auktorisointimenetelmä ja -järjestelmä
TWI548249B (zh) * 2014-08-08 2016-09-01 蓋特資訊系統股份有限公司 安全資料驗證方法、系統與電腦可讀取儲存媒體
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US9904785B2 (en) * 2015-06-02 2018-02-27 Rockwell Automation Technologies, Inc. Active response security system for industrial control infrastructure
US10042354B2 (en) 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures
US9898607B2 (en) 2015-06-02 2018-02-20 Rockwell Automation Technologies, Inc. Rapid configuration security system for industrial control infrastructure
US9817391B2 (en) 2015-06-02 2017-11-14 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US20170317999A1 (en) * 2016-04-27 2017-11-02 Cisco Technology, Inc. Security credential protection with cloud services
JP6699445B2 (ja) 2016-08-17 2020-05-27 富士通株式会社 情報処理装置、情報処理プログラムおよび情報処理方法および情報処理システム
CN108964885B (zh) * 2017-05-27 2021-03-05 华为技术有限公司 鉴权方法、装置、系统和存储介质
CN107241341B (zh) * 2017-06-29 2020-07-07 北京五八信息技术有限公司 访问控制方法及装置
CN110798434B (zh) * 2018-08-03 2022-04-08 Emc Ip控股有限公司 计算机系统、计算装置所进行的方法和存储介质
CN114866251B (zh) * 2022-04-25 2023-07-07 中国银联股份有限公司 一种设备互联安全认证系统、方法、装置、服务器及介质

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (ja) 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
JP2000132475A (ja) 1998-10-26 2000-05-12 Nec Corp ファイアウォールシステム及びその情報取得方法ならびに情報取得処理制御プログラムを格納した記憶媒体
JP3362780B2 (ja) 1999-12-15 2003-01-07 日本電信電話株式会社 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
JP4838414B2 (ja) * 2000-10-11 2011-12-14 富士通株式会社 認証方法
JP2003186846A (ja) 2001-12-18 2003-07-04 Ntt Data Corp 顧客登録システム
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
US7861288B2 (en) * 2003-07-11 2010-12-28 Nippon Telegraph And Telephone Corporation User authentication system for providing online services based on the transmission address
JP4305146B2 (ja) 2003-11-27 2009-07-29 富士ゼロックス株式会社 通信制御装置、アプリケーションサーバ、およびプログラム
US7607008B2 (en) * 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
WO2005111926A1 (en) * 2004-05-18 2005-11-24 Silverbrook Research Pty Ltd Method and apparatus for security document tracking
JP2006005503A (ja) 2004-06-16 2006-01-05 Nec Corp 共通セキュリティプラットフォーム、不正侵入防止システム、ゲートウェイ装置及びその不正侵入防止方法
US20060123472A1 (en) * 2004-12-07 2006-06-08 Microsoft Corporation Providing tokens to access federated resources
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
JP4867482B2 (ja) * 2006-06-06 2012-02-01 富士ゼロックス株式会社 制御プログラムおよび通信システム
JP4551369B2 (ja) * 2006-07-07 2010-09-29 日本電信電話株式会社 サービスシステムおよびサービスシステム制御方法
US8060916B2 (en) * 2006-11-06 2011-11-15 Symantec Corporation System and method for website authentication using a shared secret
JP5039400B2 (ja) * 2007-01-22 2012-10-03 株式会社エヌ・ティ・ティ・ドコモ 通信方法、通信システム及び所定装置
JP5036500B2 (ja) * 2007-11-19 2012-09-26 株式会社日立製作所 属性証明書管理方法及び装置
JP2009223452A (ja) 2008-03-14 2009-10-01 Hitachi Ltd 認証システム並びに認証サーバ装置および利用者装置,アプリケーションサーバ装置
CN101388777B (zh) * 2008-10-16 2013-01-16 中兴通讯股份有限公司 一种通信系统中跨系统访问的第三方认证方法和系统

Also Published As

Publication number Publication date
US8516239B2 (en) 2013-08-20
US20110264910A1 (en) 2011-10-27
CN102238161A (zh) 2011-11-09
CN102238161B (zh) 2015-08-05
JP2011232794A (ja) 2011-11-17

Similar Documents

Publication Publication Date Title
JP5521736B2 (ja) 通信制御装置、通信制御プログラム及び通信制御システム
JP4794125B2 (ja) 安全な共有リソース管理方法
CN108958669B (zh) 信息处理系统、控制方法及存储介质
US9450758B1 (en) Virtual requests
WO2012004916A1 (ja) サービス提供システム
JP2009536755A (ja) 特定の情報を提供する方法
CN108959878B (zh) 用户认证系统中采用的方法以及其中包括的信息处理装置
US11824854B2 (en) Communication system and computer readable storage medium
JPWO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP2024028356A (ja) クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム
TWI416923B (zh) 網路服務中之安全資料通信
JP2019086937A (ja) 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法
JP2011082923A (ja) 端末装置、署名生成サーバ、簡易id管理システム、簡易idの管理方法、及びプログラム
JP2006031064A (ja) セッション管理システム及び管理方法
JP6197286B2 (ja) 通信装置、情報処理システム及び情報処理システムの制御方法
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP2016128988A (ja) 情報処理システム、情報処理装置の制御方法、及びプログラム
TWI421723B (zh) 資訊處理系統、方法、紀錄媒體、以及伺服器系統、客戶端裝置
KR101676719B1 (ko) 가상 머신 클라이언트 구동 방법, 온라인 금융 서비스 제공 방법 및 이를 수행하는 장치
JP4736722B2 (ja) 認証方法、情報処理装置、およびコンピュータプログラム
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
JP5749222B2 (ja) アクセス許可制御システム、アクセス許可制御方法
JP5729057B2 (ja) 通信装置、通信システムおよびプログラム
JP3739008B1 (ja) アカウント管理方法及びシステム
JP5377717B1 (ja) 情報処理装置、情報処理システム、情報処理方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130318

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140324

R150 Certificate of patent or registration of utility model

Ref document number: 5521736

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees