WO2006003725A1 - Web server authentication system capable of performing web access point authentication (wapa) - Google Patents

Web server authentication system capable of performing web access point authentication (wapa) Download PDF

Info

Publication number
WO2006003725A1
WO2006003725A1 PCT/JP2004/013973 JP2004013973W WO2006003725A1 WO 2006003725 A1 WO2006003725 A1 WO 2006003725A1 JP 2004013973 W JP2004013973 W JP 2004013973W WO 2006003725 A1 WO2006003725 A1 WO 2006003725A1
Authority
WO
WIPO (PCT)
Prior art keywords
server
authentication
web
web server
authentication information
Prior art date
Application number
PCT/JP2004/013973
Other languages
French (fr)
Japanese (ja)
Inventor
Akihiko Narita
Original Assignee
Akihiko Narita
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Akihiko Narita filed Critical Akihiko Narita
Publication of WO2006003725A1 publication Critical patent/WO2006003725A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Definitions

  • WAPA Web Access point authentication
  • the present invention relates to web server authentication systems.
  • Patent Document 1 Japanese Unexamined Patent Application Publication No. 2003-337797
  • Patent Document 2 Japanese Patent Application Laid-Open No. 2002-373080
  • JP 2002-140309 “Service system” data delivery between server and client is performed through a data relay device, and a system is proposed in which the server provides a service to the client.
  • the management server is connected to the relay server during data connection, and is used to
  • ATM ATM
  • FIG 1 shows an illustration of an end user operating an ATM.
  • a T M may display “Error” or “Out of Service”. Such problems are rarely reported to banks, except when ATMs do not return ATMs. However, if the ATM is not reliable, as shown in Fig. 2, after recording the card information and PIN number, the card is returned and only "Error” is displayed on the display. There is a possibility.
  • Fraud shown in Figures 2 and 3 can be prevented if the end user has access to ATM authentication technology. In fact, it is unlikely that hackers will make a fake ATM and put it well in a public place.
  • WAPA Web 'Access Point Certification
  • the purpose of the knocker is to trick the end user and let the fake website created by the hacker enter confidential information. This can be done fairly easily depending on the web application.
  • Hotspots are usually commercial services that provide high-speed wireless internet access in public places such as coffee shops, train stations, and airports.
  • mopile devices capable of wireless communication 802.l i b
  • users can check e-mails at the airport or purchase movie tickets from a coffee shop.
  • the hot-selling hotspot restricts the use of the service to only its customers by self-certification by the end user. This is done by entering a username and password on the hotspot web page that is initially displayed when you start the web browser after connecting to the hotspot.
  • the mopile equipment is configured to connect to a specific wireless network. This can be done by configuring the mopile device to connect to a specific SSID.
  • S S ID service setting identification
  • S S ID is the name of a wireless network.
  • a hacker could set up a wireless access point with higher signal strength and the same SSID as the hotspot at the same hotspot location. This setting allows all hotspot users to be forced to connect to a wireless access point set up by a hacker without the end user being aware.
  • the hacker provides a web page that mimics the hotspot authentication screen and stores all usernames and passwords. If the login name and password are entered, the user may be a bit creative, with an error message such as "Hotspot is currently unavailable. It seems to be deceived. This is similar to the ATM example of Figure 2 shown in Section 2.
  • the previous hotspot 'hacking example used to transfer end users to a hacker's website using wireless signals. It is also possible to transfer end users to another web site on the LAN.
  • Access to a particular website is achieved by entering the appropriate URL of the particular website into the browser.
  • hackers can see everything end users do on this website. This is similar to the ATM example shown in FIG.
  • hackers can use these websites' hacking methods to at least steal user names and passwords for websites that deal with confidential information. This theft could be prevented if the user could authenticate whether the web server was real.
  • WAPA Web's Access Point Authentication
  • Access point authentication is not just traditional web server authentication, but it helps the end user authenticate that the web server is authentic before sending secret information such as username and password.
  • the targeted application is a web service that initially requires the user to enter secret information such as a username and password, such as a hotspot wireless access point, a home banking 'website, etc. Includes service.
  • WAPA Web. Access Point Authentication
  • the server component resides on a web server
  • the client component is, for example, an Acti V e X (TM) control.
  • TM Acti V e X
  • This provides an easy-to-use method for end users to prove that a web server is real or fake.
  • the central authentication algorithm is implemented based on the public key cryptogram algorithm.
  • a server authentication system provided on a web server for performing web server authentication when accessing any server connected to a network through a browser
  • a browsing request receiving unit for receiving a web content browsing request and a server authentication from a client terminal accessing the web server, and a certification request;
  • the authentication information registration server which is set for each web server and stores authentication information for authenticating the web server, responds to a browse request from the client terminal and a server authentication request to authenticate the web server.
  • Authentication information query means for querying information
  • Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
  • Authentication information adding means for adding the received authentication information to the web content in response to the web content browsing request and the server authentication request from the client terminal, and transmitting the web content added with the authentication information to the client terminal It is characterized in that it is a web server authentication system provided with a web content transmission means.
  • the web server is provided to perform web server authentication when accessing any server connected to the network through a browser.
  • a system comprising: a server authentication system; a client terminal for accessing the web server; and an authentication information registration server configured for each web server and storing authentication information for authenticating the web server.
  • the web server is Browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
  • the authentication information registration server which is set for each web server and stores authentication information for authenticating the web server, is queried for authentication information of the web server in response to a browse request from the client terminal and a server authentication request.
  • Authentication information inquiry means to
  • Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
  • Authentication information adding means for adding received authentication information to the web content in response to a web content browsing request and a server authentication request from the client terminal; web content with the authentication information attached to the client terminal It is equipped with a web content sending means to send,
  • the authentication information registration server is a web server authentication system that stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system at the client terminal. It is characterized by
  • the client terminal includes an authentication request transmitting unit that transmits a server authentication request to the web server together with a web content browsing request;
  • It is characterized in that it is a web server authentication system provided with server public key storage means for storing the public key for each web server.
  • the server authentication request transmitted from the client terminal and received by the browse request receiving means at the web server is a user of the server authentication system.
  • it is a web server authentication system according to any of claims 1 to 3, which contains identification information.
  • the server authentication request transmitted from the client terminal and received by the browse request receiving means in the web server is the web server.
  • Said server certification It is characterized in that it is the web server authentication system according to any one of claims 1 to 4, which includes a response request whether or not it has a certification system.
  • the authentication information inquiry means inquires the authentication information registration server of authentication information of the web server, the user
  • the web server authentication system according to any one of claims 1 to 5, which transmits a query request including identification information.
  • the authentication and proof information inquiry means is set for each web server, and is stored in advance corresponding to the user identification information.
  • the authentication of the web server which is set for each web server and stored in advance corresponding to the user identification information
  • the authentication information for each user generated at the client terminal is encrypted using the public key of the user, and then encrypted using the public key of the web server, and then the authentication information information is encrypted.
  • the web when a client terminal accesses any web server, the web is included in the server authentication request transmitted from the client terminal. If the web server has the server authentication system, the web server responds to the request to determine whether the server has the server authentication system or not, and the web server has the server authentication system. It is characterized in that it is a web server authentication system according to any one of claims 5 to 8, which does not respond when that is not the case.
  • the client terminal stores the public key of the web server for decrypting the authentication information added to the web content
  • the authentication added to the web content received from the web server is stored.
  • the web server authentication system according to any one of claims 1 to 9, wherein the information is decrypted using a secret key of a user who uses the client terminal to determine the legitimacy of the authentication information. It is considered special.
  • a warning is displayed in the client terminal. It is characterized in that it is the web server authentication system described in 0.
  • the client terminal stores the public key of the web server for decrypting the authentication information attached to the web content. If the web server is equipped with the server authentication system, the response is sent to the user, and the user of the client terminal is made to select whether or not to register the web server.
  • the web server authentication system according to any one of claims 1 0 or 1 1. Effect of the invention
  • WAPA Web Access Point Authentication
  • Web access point authentication is not just a conventional web server authentication, but it is used to authenticate whether the web server is genuine before transmitting secret information such as a username and password. It is intended to help the user.
  • the targeted application is a web service that initially requires the user to enter confidential information such as a username and password, which includes services such as hotspot wireless access points, home banking and websites. . This provides an easy-to-use method for end users to prove that a web server is real or fake.
  • the core authentication algorithm is realized based on the public key encryption algorithm. Brief description of the drawings
  • FIG. 1 is a diagram showing a conventional example.
  • FIG. 2 is a diagram showing a conventional example.
  • FIG. 3 is a diagram showing a conventional example.
  • FIG. 4 is a diagram showing a conventional example.
  • FIG. 5 is a system configuration diagram showing an example of the basic configuration of the system of the present invention.
  • FIG. 6 is a diagram showing a representative example of a server authentication pattern using the system of the present invention.
  • FIG. 7 is a flowchart showing an example of the basic process flow of the system of the present invention.
  • FIG. 8 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 9 is a flowchart showing an example of the basic process flow of the system of the present invention.
  • FIG. 10 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 11 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 12 is a flow chart showing an example of the basic process flow of the system of the present invention.
  • FIG. 13 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 14 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 15 is a flowchart showing an example of the basic process flow of the system of the present invention.
  • FIG. 16 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 17 is a flow chart showing an example of the basic process flow of the system of the present invention.
  • FIG. 18 is a flowchart showing an example of the basic process flow of the system of the present invention.
  • FIG. 19 shows a flow chart showing an example of the basic process flow of the system of the present invention.
  • FIG. 20 is a flowchart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 21 is a flow chart showing an example of the basic processing flow of the system of the present invention.
  • FIG. 22 is a flow chart showing an example of the basic process flow of the system of the present invention.
  • FIG. 23 is a flowchart showing an example of the basic process flow of the system of the present invention.
  • FIG. 24 is a flowchart showing an example of the basic process flow of the system of the present invention. BEST MODE FOR CARRYING OUT THE INVENTION
  • FIG. 5 is a system configuration diagram showing an example of the basic configuration of the system of the present invention.
  • the system of the present invention is a server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network via a browser.
  • a web browser set to use the system of the present invention It is one bar.
  • the system of the present invention includes a server authentication system provided on a web server for performing web server authentication when accessing any of the servers connected to the network via a browser, and accessing the web server.
  • the system is configured to include a client terminal and an authentication information registration server which is set for each web server and stores authentication information for authenticating the web server.
  • any web server set to use the system of the present invention is configured by any web server set to use the system of the present invention, and an authentication information registration server that operates in cooperation with this and stores authentication information for each web server.
  • a public key server that stores the public key of each web server in a usable state for the user.
  • the public key server causes the user to store the public key for each web server in the local database in the client terminal using the public key for each web server, and to register authentication information for each server in the authentication information registration server. Is for server registration processing.
  • a user terminal for connecting to the server system of the present invention a computer terminal such as a personal computer or a workstation is usually used.
  • the user terminal includes a wireless communication terminal such as a mobile phone equipped with a browser function capable of connecting to the Internet, a portable information terminal, an internet TV, a game device, a video conference system, and other network connection functions. It may include a wide range of appliances such as home appliances.
  • the computer terminal includes control means, storage means, input means, output means, display means and the like. It also has the function of connecting to a computer network represented by the Internet and sending and receiving data, and is usually equipped with a browser, e-mail software, application programs such as a word processor, and an operating system (OS). is there.
  • a computer network represented by the Internet and sending and receiving data
  • OS operating system
  • the server is connected to a network represented by the Internet.
  • the network is usually assumed to be the Internet, but a network form connected by a leased line, a corporate LAN, a corporate LAN, a WAN, etc.
  • the form of communication line used widely includes the form of wired communication and wireless communication widely, and it includes the form using satellite communication, B 1 uetooth, etc.
  • the web server authenticated in the system of the present invention stores content data and application programs for accessing from the user terminal, and the content data is displayed on the WEB such as HTMLL file and XLL file. Data files and data files displayed on mobile phones etc. that can access the WEB site such as C--H TML files. In addition, it stores character data files, audio data files, image data files, moving image data files, animation data files, and various other content data that are displayed or output by being inserted into these files. It is possible.
  • a web server using the system of the present invention includes browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server.
  • a web content browsing request is a generally known browsing request that sends an HTML request by entering a URL or clicking a hyperlink using a browser.
  • a server authentication request for proving the legitimacy of the server is included.
  • the server authentication request transmitted from the client terminal and received by the browse request receiving unit at the web server includes the user identification information of the server authentication system.
  • the server authentication request can be included in the HTTP GET request sent from the client to the server authentication system compatible server, and more preferably, the server authentication request further includes the server authentication system user ID of the client. There is.
  • the server authentication request is separate from the TC GET request separately from the HTTP GET request sent from the client to the server authentication system enabled server. It can be made to be included in the data transmitted / received by the socket communication between the client and the server using P communication, and more preferably, the server authentication request further includes the server authentication system user ID of the client.
  • Socket Socket
  • Socket is an abstracted interface for creating TCPZIP application, and performs communication by the procedure of creating a socket, connecting to a server, communicating with a server, and destroying a socket.
  • a socket is used to perform data communication using a send / receive program between com- puters in the same way as an output file's input program.
  • socket O socket creation connect O socket connection, read O data reception, write O data transmission, close O socket deletion etc. on the client side
  • socket O socket creation on the server side bind () Socket registration, listenO socket connection preparation, acceptO socket connection wait, readO data reception, writeO data transmission, closeO socket erase, etc. are known.
  • both the client and server Before communication starts, both the client and server first create a socket, one side of the server waits for a communication connection request from the client, the client side sends a communication connection request to the server side, and the server socket Once a communication connection has been established between the client's sockets, data transmission and reception will begin.
  • socketO generates a socket
  • the server side uses three system calls of bindO, listenO, and acceptO to put a socket in a connection waiting state.
  • the client side creates a socket by socketO, sends a connection request to the server by connectO, and after connecting, writes data to the socket via writeO system call to each socket and sends it to the other side.
  • Reading the socket through the readO system call allows you to receive the data sent by the other party. Repeat transmission and reception of data by writeO and readO system calls until communication is completed. Communication ends when either of them executes the closeO system call and disconnects the communication connection.
  • the server authentication request transmitted from the client terminal and received by the browse request receiving means at the web server is the web server. It includes a response request as to whether or not one is equipped with the server authentication system.
  • a response request sends a web content browsing request from the user terminal, and checks whether the web server that is attempting to browse is compatible with the web 'access point certification (WA PA) which is the system of the present invention. Response request.
  • WA PA web 'access point certification
  • the server authentication request included in the server authentication request sent from the client terminal is a response to the response request as to whether the web server has the server authentication system or not. If the web server is equipped with the server authentication system, the response is responded, and if the web server does not have the server authentication system, the response is not returned.
  • the web server is set for each web server, and the authentication information registration server storing authentication information for authenticating the web server is responded to the browse request from the client terminal and the server authentication request.
  • a web server is provided with authentication information inquiry means for inquiring authentication information.
  • the authentication information inquiry means transmits an inquiry request including the user identification information to the authentication information registration server, which is a database server having registered authentication information, when the authentication information of the web server is inquired.
  • the user identification information is, for example, a user ID of the system of the present invention.
  • the authentication information is preferably authentication information for each user corresponding to the user identification information of the server authentication system, which is included in the server authentication request transmitted from the client terminal.
  • the user performs server registration processing described later on the client terminal, and generates authentication information for each user using the public key for each server and, preferably, the public key for each user. It is registered.
  • necessary data can be transmitted / received by socket communication using the above-mentioned TCP communication.
  • the authentication information receiving means is provided to receive the authentication information when there is authentication information of the server.
  • the authentication information inquiring means inquires, based on the user identification information, authentication information of the web server which is set for each web server and stored in advance corresponding to the user identification information.
  • the authentication information is received by the web server.
  • the web server is provided with authentication information addition means for adding the received authentication information to the password in response to the web content browsing request and the server authentication request from the client terminal.
  • the data format of the authentication information can adopt various data formats, for example, digital certificates, and other data formats.
  • the authentication information of the web server which is set for each web server and stored in advance corresponding to the user identification information, is the authentication information for each user generated at the client terminal. It is stored by web server registration registered in the authentication information registration server after encryption using a public key, and subsequent identification using a public key of the web server.
  • the authentication information is added by adding data to the HTML file and other web contents to make the data file that the browser can interpret and display on the client terminal of the user. For example, it can be displayed as image data etc. such as a server certificate.
  • the per-user authentication information is generated by double encryption using the per-web server public key and the per-user public key, decryption is performed using the web server's secret key, Enable to enable decryption at the client terminal of the user with a secret key.
  • the web server includes web content transmitting means for transmitting the web content to which the authentication information is added to the client terminal.
  • the web content transmission unit is configured to perform authentication according to the web content browsing request.
  • the web content to which the information is added is transmitted to the client terminal of the user in the same manner as normal web content browsing.
  • appending of authentication information is not to add data to the HTM L file and other web contents, but separately from the client using TCP communication.
  • Data transmitted from the web server to the client terminal can be made to include authentication information by socket communication between the servers.
  • the authentication information registration server is an authentication information registration server that stores authentication information for each of the processing servers, which operates in cooperation with one of the web servers set to use the system of the present invention.
  • the authentication information registration server is a data base server provided for each web server using the system of the present invention.
  • the authentication information registration server stores at least authentication information for authenticating the web server, and user identification information for each user who uses the server authentication / certification system at the client terminal.
  • the client terminal is provided with an authentication request transmission means for transmitting a server authentication request to the web server together with a web content browsing request.
  • the authentication request is a request to prove the legitimacy of the server as described above, and further checks whether the system of the present invention is compatible with the Web access point certification and certification (WA PA). Includes a request for a response.
  • WA PA Web access point certification and certification
  • the authentication request transmission function for transmitting these requests may be added to, for example, a normal browser. It may be a browser dedicated to the system of the present invention.
  • the client terminal is provided with server public key storage means for storing the public key for each of the web servers.
  • the server public key storage means is a local database that allows the user to store the public key for each web server at the client terminal.
  • Web server registration from a public key server By downloading the corresponding public key and registering the authentication information for each server in the authentication information registration server, the server public key storage means, which is a local database, performs the public key when server registration processing is performed.
  • the client terminal stores the public key of the web server for decrypting the authentication information attached to the web content
  • the client terminal receives the authentication information attached to the web content received from the web server. It decrypts using the secret key of the user to use, and determines the legitimacy of the authentication information. If it is determined that the authentication information is not valid, a warning such as a warning is displayed on the client terminal is output.
  • the client terminal does not store the public key of the web server for deciphering the authentication and certification information attached to the web content, in which case the web server is the server authentication system. If the client is used, the user is made to select whether or not to register as a web server, as well as to that effect.
  • FIG. 6 is a diagram showing a representative example of a server authentication pattern using the system of the present invention.
  • FIGS. 7 to 24 are flowcharts showing an example of the basic process flow of the present invention.
  • WAP A Web access point authentication
  • WAP A Web access point authentication
  • WA P A Web' Access Point Certification
  • the client terminal queries the server public key storage means (oral database) to find out that the web server is unregistered.
  • server public key storage means oral database
  • the client terminal sends a request for browsing, which is a request for browsing, to the web server.
  • This request includes a response request whether the web server has a server authentication system.
  • a response message indicating that the web server is compatible with the server authentication system is included in the requested HTML file.
  • the web server sends the HTML page to the client terminal compatible with the server authentication system.
  • the user is given the option of registering a web server compatible with the server authentication system via the browser. Note that no alert is generated because it is a valid server.
  • FIG. 8 is a flow chart showing an example in which data necessary for server authentication is transmitted / received by TCP communication using a socket in communication between a client and a server as described above.
  • the server corresponding to the registered WA PA is supported. Explanation of processing when accessed from client terminal Do.
  • the client provides the server with the user ID of the system of the invention to initiate an authentication transaction.
  • the user At the server, the user
  • the client terminal decrypts the authentication information package using the user's private key to prove that it is sent from a real server.
  • the client terminal searches for the appropriate server authentication system user ID in the local database.
  • the client terminal sends an HTML request, which is a browsing request, to the server authentication / certification compatible web server.
  • This request further includes the server authentication system user ID of the user at the client terminal.
  • the web server compatible with the system of the present invention verifies the server authentication system user ID of the client.
  • the server queries the credential registration server for the user ID of the client user.
  • the authentication information registration server searches for appropriate authentication information based on the user ID of the client.
  • the authentication information registration server sends the extracted authentication information to the server authentication system compatible web server.
  • H Include the authentication information in the TML page. From the web server, send an HTML page to the server authentication system compatible client.
  • the client terminal in order to determine the legitimacy of the web server corresponding to the server authentication system, uses the secret key to decrypt the authentication information, and the legitimacy of the web server. Prove. This process is performed by comparing the decrypted information with its local copy to see if there is a match. If the decrypted information matches, the server authentication system compliant server is authenticated by the client and its related information is displayed on the browser.
  • FIG. 10 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
  • WAPA Web 'Access Point Authentication
  • WAPA Web' Access Point Authentication
  • WAPA Supported client terminal
  • WAPA Web 'Access Point Authentication
  • the client terminal Since the Web server can not authenticate because it does not use Web Access Point Authentication (WAPA), the client terminal does not perform any authentication, and does not issue an alert or generate any warning.
  • WAPA Web Access Point Authentication
  • the client terminal queries the local database to find out that the web server has not been registered.
  • This request further includes a server authentication system response request whether the web server has a server authentication system. Since the web server does not have a server authentication system, it simply ignores this server authentication system compliance request.
  • the web server returns the requested HTML file without responding to the server authentication system support request. Since there is no signature package, authentication of the web server is not possible, and no warning is generated because the web server is not registered with the client.
  • FIG. 12 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.
  • the user ID of the appropriate server authentication system is searched in the local database.
  • the client sends an HTTP GET request, which is a browsing request, to the web server.
  • This request also includes the user ID of the client's server authentication system.
  • the web server does not have the server authentication system of the present invention, the user ID of the client server authentication system is simply ignored.
  • the web server makes a request without responding to any server authentication system Send the HTML page
  • the client displays a fraud alert because the registered web server could not send back the appropriate server authentication system authentication information.
  • FIG. 14 is a flowchart showing an example of data transmission / reception required for server authentication by TCP communication using a socket in communication between a client and a server as described above. .
  • the web 'access point authentication not registered in the server of the present invention is performed on the impersonation server equipped with the web' access point authentication (WAPA).
  • WAPA web' access point authentication
  • a Web. Access Point Authentication (WAPA) -enabled client gives the user the option of registering the web server. When the user approves this, the client terminal performs registration processing of the Web 'access point authentication (WA PA) -enabled web server. The detailed transaction regarding registration of server information to the 'AP' access point authentication (W APA) client will be described later. When the registration procedure is completed, the Web 'Access Point Authentication (W APA) compliant client terminal will be able to authenticate the Web' Access Point Certification (WA A PA) compliant Web server in the subsequent transactions.
  • WA PA Web' Access Point Certification
  • the client terminal queries the local database, and finds that the corresponding web server is unregistered.
  • HTTP GET request which is a browsing request
  • server authentication system corresponding response for checking whether the web server has the server authentication / certification system of the present invention or not.
  • the request is included.
  • the web server constructs a fake server acknowledgment, certificate system acknowledgment message and incorporates it into the requested HTML file. Then, the Web server sends an HTML page to the server authentication system compatible client.
  • the user is given the option of registering the web server.
  • FIG. 16 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
  • the server WA has not been registered with the server.
  • the process in the case of access from a PA compatible client terminal will be described.
  • the spoofed web server may return an error to the client terminal or may try to return a bad authentication package. In either case, the client terminal displays a fraud alert.
  • the client terminal searches for the appropriate server authentication and certification system user ID in the local database.
  • This request also includes the user ID of the client's server authentication system.
  • the impersonation server corresponding to the server authentication system of the present invention confirms the user ID of the client, constructs a false authentication package, and requests the false authentication information. In the HTML page.
  • HTML page is sent to the server authentication system corresponding client.
  • the client terminal receives the web content and decrypts the authentication information using the client's secret key to determine the legitimacy of the web server compatible with the server authentication system. Prove the legitimacy of the site. This is done by comparing the decrypted information with its local copy to see if there is a match.
  • the web server Since the decrypted information does not match, at the client terminal, the web server is classified as a disguised website.
  • the client terminal issues a fraud alert to the user and displays relevant information in the browser.
  • FIG. 18 is a flowchart showing an example of data transmission / reception required for server authentication by TCP communication using a socket in communication between a client and a server as described above.
  • web 'access not certified as a server is not registered to the disguised server not equipped with web access point authentication (WAPA). Describes the process when accessing from a point authentication (WAPA) compatible client terminal.
  • WAPA point authentication
  • Web' Access Point Authentication (WAPA) compatible client corresponds to Web 'Access Point Acknowledgment, Certificate (WAPA).
  • WAPA Web' Access Point Acknowledgment, Certificate
  • the web server can not be authenticated because it does not support web access point authentication (WAPA). Therefore, the client terminal does not perform any authentication and does not generate an alert.
  • WAPA web access point authentication
  • the client terminal queries the local database. In any case, know that the web server is unregistered.
  • a browsing request is sent from the client terminal, but an HTTP GET request is sent to the relevant web server.
  • This request further includes a response request corresponding to a server authentication system for checking whether the web server is equipped with the server-one authentication system of the present invention.
  • the spoofed web server does not have the server authentication system of the present invention, it simply ignores the response request corresponding to the server authentication system.
  • the spoofed web server does not respond to the server authentication system response request and returns the requested HTML file.
  • server authentication is not possible.
  • the alert is not generated because the web server is not registered with the client and the web server does not have a server authentication system.
  • FIG. 20 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
  • the user ID of the appropriate server authentication system is searched in the local database.
  • HTTP GET request which is a browsing request, from the client terminal to the relevant web server.
  • This request also includes the user ID of the client's server authentication system.
  • the spoofed web server simply ignores the client's user ID since it does not have the server authentication system of the present invention.
  • the spoofed web server Since the spoofed web server does not have the server authentication system of the present invention, it simply sends the requested HTML page.
  • the client displays a fraud alert because the registered web server can not send back the appropriate authentication information.
  • FIG. 22 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication and authentication by TCP communication using a socket in communication between a client and a server, as described above.
  • the real server with the Web 'Access Point Authentication (WAPA) is registered with the Web' Access Point Authentication (WAPA) compatible client terminal to the browser. Describe the server registration process to be performed.
  • WAPA Web Access Point Authentication
  • W APA Web 'Access Point Authentication
  • WAPA Web' Access Point Authentication
  • This procedure is designed to allow clients to use the web's access point authentication (WAP A) enabled web server's public key and a web's access point authentication (WAPA) enabled web browser with a dedicated web server that can authenticate by default.
  • WAP A web's access point authentication
  • WAPA web's access point authentication
  • the It can be done securely by downloading it from a Cesspoint certification (WA PA) public key server.
  • a web server supporting server authentication system is registered in the client terminal.
  • the client terminal requests a signed public key of the server authentication system compatible web server from the public key server.
  • the public key server searches for the appropriate signed public key of the server authentication system compatible web server.
  • the public key server then sends the signed server public key of the server authentication system Web server to the client terminal.
  • the authentication information of the user is generated, and this information is encrypted using the client's public key, and then this encrypted information is stored in the server server supporting the server authentication system. Use your public key to sign again.
  • the client terminal sends this doubly encrypted authentication information to the corresponding web server compatible with the server authentication system.
  • the web server receives the authentication information of the user transmitted from the client terminal, transmits it to the database server which is a server for uniform authentication, and stores it in association with the user ID.
  • WAP A Web. Access Point Authentication
  • WAPA Web' Access Point Authentication
  • the web server generates a combination of public key and private key. Then, the web server sends the public key to the third party certification authority holder's system.
  • the certification authority owner's system which is a third party organization, prove the legitimacy of the web server and sign the public key of the web server.
  • the signed public key is directly transmitted from the third party certification authority holder's system to the public key server of the system of the present invention.
  • the public key server receives the signed public key and stores it in association with the identification information identifying the web server so that it can be used by the server authentication system compatible client.
  • the public key server notify the owner of the web server that the public key is available at the client terminal.
  • the web server is regarded as a web server compatible with the server authentication system, and the user can register the web server using the browser of the client terminal.
  • WAA web access point authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

There are included a server authentication system incorporated in a web server; a client terminal; and an authentication information registration server for storing authentication information. The web server includes browsing request receiving means for receiving a browsing request and a server authentication request from the client terminal; authentication information checking means for checking the web server authentication information for the authentication information registration server; authentication information receiving means for receiving authentication information as checked; authentication information adding means for adding the authentication information to web contents; and web content transmitting means for transmitting the web contents to the client terminal. The authentication information registration server stores the authentication information and the user identification information.

Description

ウェブ .アクセスポイント認証 (WAPA) が可能なウェブサーバー認証システ ム 技術分野 Web Access point authentication (WAPA) enabled web server authentication system
本発明は、 ゥェブサーバー認証システムに関する。  The present invention relates to web server authentication systems.
明 背景技術  Background art
 book
近年、 インターネッ トの普及が著しく、 これに伴い従来よりセキュリティ上の 問題が生じている。 このため、 ウェブサイ トの安全性を確認することが重要なセ キユリティ対策の一つとなっている。  In recent years, the spread of the Internet has been remarkable, and this has led to security problems. For this reason, it is one of the important security measures to confirm the safety of the website.
特許文献 1 特開 2003— 337797号公報  Patent Document 1 Japanese Unexamined Patent Application Publication No. 2003-337797
特許文献 2 特開 2002— 373080号公報  Patent Document 2 Japanese Patent Application Laid-Open No. 2002-373080
たとえば特開 2003— 337797 「We bサイト安全度認証システム、 方 法及びプログラム」 においては、 プロバイダ (I SP) のプログラムがサイト安 全度調査を行い、 データベースに安全度を格納し、 ユーザーのブラウザに対して この安全度の情報を知らせるシステムが提案されている。  For example, in Japanese Patent Application Laid-Open No. 2003-337797 “We b site safety authentication system, method and program”, a program of a provider (I SP) conducts site safety survey, stores safety in a database, and the browser of a user In response to this, a system has been proposed to inform this degree of security information.
また特開 2◦ 02— 373080 「クライアント 'サーバ 'システム」 におい ては、移動電話機にサーバからコンテンツをダウンロードするシステムにおいて、 適正なゲームダゥンロードフアイル等を適正なサーバから受信したかどうかのセ キユリティ '認証チェックを行うシステムが提案されている。 . また、特開 2002— 140309 「サービスシステム」においては、サーバ、 クライアント間のデータ配送を、 データ中継装置を解して行い、 クライアントに 対しサーバがサービスを提供するシステムが提案されており、 サーバ管理サーバ がデータ中,継処理サーバと接続されて備えられ、 サーバ装置を認証するためのサ Also, in Japanese Patent Laid-Open No. 2 ◦ 03 30 080 "Client's Server 'System", in a system for downloading contents from a server to a mobile phone, it is possible to determine whether the appropriate game delivery file etc. has been received from the appropriate server. A system has been proposed to perform an authentication check. In JP 2002-140309 “Service system”, data delivery between server and client is performed through a data relay device, and a system is proposed in which the server provides a service to the client. The management server is connected to the relay server during data connection, and is used to
—バ認証情報が管理されており、 サーバを認証した上で、 クライアント、 サーバ 間のデータ配送を行うことが記載されているが、 クライアントにおいては特にゥ エブサーバの認証を行うものではない。 発明の開示 — Although authentication information is managed, and it is described that data will be distributed between the client and server after authenticating the server, but the client does not particularly authenticate the web server. Disclosure of the invention
今日では、 誰がゥェブサーバにァクセスしているかのゥェブサーバ認証を補助 する多数の技術の使用が可能である。 しかしながら、 このような技術では、 ェン ドユーザーが非認証のウェブサイトにアクセスしてしまうことを防止することは できない。たとえば、ハッカーは、口グインおよびパスヮード情報を盗む目的で、 本物のホームバンキング · ウェブページと全く同じように偽装されたホームバン キング ' ウェブページを作成し、 エンドユーザーがここにアクセスするよう企む 場合がある。  Today, it is possible to use a number of techniques to assist web server authentication of who is accessing web servers. However, such technology can not prevent end users from accessing unauthenticated websites. For example, a hacker may create a home banking 'web page that is spoofed just like a real home banking · web page with the purpose of stealing mouth-in and pass-word information, and an end user attempts to access it. There is.
コンピュータ技術は日ごと複雑化しているが、 インターネット 'セキュリティ の問題の複雑性はこれを上回る。 さらに、 これらに伴う危険性とその解決法を理 解しょうとする以前に、 セキュリティ問題そのものの存在を理解することが困難 な場合もある。  Computer technology is getting more complex every day, but the complexity of Internet 'security issues outweighs this. Furthermore, it may be difficult to understand the existence of the security problem itself before trying to understand the risks involved and their solutions.
一例として、 従来の現金自動預払機 (A TM) を使用して WA P Aが解決可能 な問題について説明する。  As an example, we will describe the problems that can be solved using the conventional ATM (ATM).
A TMを使用したいと思った場合、 まず A TMを探さなければならない。 A T If you want to use ATM, you must first find ATM. A T
Mは、 ほとんどの都市エリアに多数設置されているため、 ATMの標示を探せば 容易に見つけることができる。 A TMを見つけたら、 通常、 A TMカードを挿入 し、 P I Nナンバーを入力することで容易に操作できる。 ATMを操作するェン ドユーザーの図を第 1図に示す。 As M is installed in large numbers in most urban areas, you can easily find it by looking for ATM signs. Once you find the ATM, you can usually easily operate it by inserting the ATM card and entering the PIN number. Figure 1 shows an illustration of an end user operating an ATM.
A TM自体の外観と感じは設置場所によって異なる。 し力 し、 通常、 A TMが 信頼できるものであるか否かを疑問に思うことは恐らくないだろう。 A T Mに「ェ ラー」 または 「サービス停止中」 と表示されることがある。 ATMから A TM力 一ドが返却されない場合を除いて、 このような問題が銀行に報告されることは少 ない。 しかし、 その ATMが信頼できるものでなかった場合には、 第 2図に示さ れるように、 カード情報および P I Nナンバーを記録した後にカードを返却し、 ディスプレイ上に 「エラー」 とだけ表示するということがあり得る。  The appearance and feel of the ATM itself differs depending on the installation location. You probably won't usually wonder if ATM is credible or not. A T M may display “Error” or “Out of Service”. Such problems are rarely reported to banks, except when ATMs do not return ATMs. However, if the ATM is not reliable, as shown in Fig. 2, after recording the card information and PIN number, the card is returned and only "Error" is displayed on the display. There is a possibility.
本物の A TMに収集された情報を、 ハッカーが 「仲介者」 となって転送すると いうさらに上級な手口もある。 このような場合には、 第 3図に示すように、 ハツ カーは、 ェンドユーザーに対してあたかも A TM取り引きが完了したように見せ かけ、 多額の現金を引き出すことが可能である。 There are even more sophisticated tactics, such as hackers transferring "mediator" information collected in real ATMs. In such a case, as shown in FIG. The car can make it appear as if the ATM transaction is complete to the end user and withdraws a large amount of cash.
第 2図、 第 3図に示した詐欺行為は、 エンドユーザーが A TMを認証する技術 にアクセスしていれば防止することが可能である。 実際には、 ハッカーが偽装 A TMを製造し、 これを上手く公共の場所に設置することは考えられない。  Fraud shown in Figures 2 and 3 can be prevented if the end user has access to ATM authentication technology. In fact, it is unlikely that hackers will make a fake ATM and put it well in a public place.
しかしながら、 ウェブサイトはデジタルであるため、 A TMよりも容易に模造 できる。今日では、後述するように、ェンドユーザーのインターネットアクセス ' トラフィックをルート変更することが可能なハッキング方法が知られている。 ハ ッカ一は、 これらすベての詐欺行為を A TMの時よりもより慎重かつ匿名で実行 することができる。 ウェブ 'アクセスポイント認証 (WA P A) は、 エンドユー ザ一のためにウェブサイ トを認、証する技術である。  However, since the website is digital, it can be more easily faked than ATM. Today, as described below, hacking methods are known that can reroute Internet access 'end traffic'. Hackers can carry out all these scams more carefully and anonymously than at ATM. Web 'Access Point Certification (WAPA) is a technology that recognizes and certifies websites for the end user.
ノヽッカーの目的は、 エンドユーザーを騙し、 ハッカーによって作成された偽装 ウェブサイ トに秘密情報を入力させることである。 これは、 ウェブアプリケーシ ョンによっては相当簡単に行うことができる。  The purpose of the knocker is to trick the end user and let the fake website created by the hacker enter confidential information. This can be done fairly easily depending on the web application.
現在、 公共の場所において、 ホットスポットと呼ばれる無線 8 0 2 . 1 1 bァ クセスポイントを介したインターネットアクセスが可能である。 通常、 ホットス ポットは、 コーヒーショップ、 駅、 空港のような公共の場所において高速無線ィ ンターネット接続を提供する営利サービスである。 無線通信 (8 0 2 . l i b ) が可能なモパイル機器を使用すれば、 ユーザは空港で電子メールをチェックした り、 コーヒーショップから映画のチケットを購入したりすることができる。 巿販 のホットスポットは、 ェンドユーザーが自己認証を行なうことで、 サービスの使 用をその顧客のみに制限している。 これは、 ホットスポットに接続後、 ウェブブ ラウザを開始した際に、 最初に表示されるホットスポットウエブページに口グイ ン名とパスワードを入力することで実行される。  Currently, in public places, Internet access via wireless access points called hotspots is available. Hotspots are usually commercial services that provide high-speed wireless internet access in public places such as coffee shops, train stations, and airports. Using mopile devices capable of wireless communication (802.l i b), users can check e-mails at the airport or purchase movie tickets from a coffee shop. The hot-selling hotspot restricts the use of the service to only its customers by self-certification by the end user. This is done by entering a username and password on the hotspot web page that is initially displayed when you start the web browser after connecting to the hotspot.
ホットスポットへの接続方法では、 第 4図に示されるように、 特定の無線ネッ トワークに接続するようにモパイル機器を構成する。 これは、 モパイル機器を特 定の S S I Dに接続するように構成することで実行できる。 S S I D (サ一ビス 設定識別) は無線ネットワークの名称である。 モパイル機器が無線接続を試みる と、 モバイル機器内に構成された S S I Dと同一の S S I Dを持ったアクセスポ  In the hot spot connection method, as shown in Fig. 4, the mopile equipment is configured to connect to a specific wireless network. This can be done by configuring the mopile device to connect to a specific SSID. S S ID (service setting identification) is the name of a wireless network. When the mopile device tries to make a wireless connection, an access port with the same S S I ID as the S S I D configured in the mobile device
3 イントを探す。 間違った S S I Dを持ったアクセスポイント見つけてしまった場 合には、 そのアクセスポイントは拒否され、 正確な S S I Dを持った別のァクセ スポイントを引き続き探す。 同一の正確な S S I Dを持った複数のアクセスボイ ントを見つけた場合には、 最高の無線接続を実施するために、 最良の信号を供給 しているアクセスポイントと接続する。 すべての 8 0 2 . l i b無線アクセスポ イントの信号強度は F C C (連邦通信委員会) によって 3 0ミリワットに規制さ れている。 3 Find an int. If an access point with the wrong SSID is found, the access point is rejected and continues searching for another access point with the correct SSID. If multiple access points with the same exact SSID are found, connect with the access point providing the best signal in order to perform the best wireless connection. The signal strength of all 800. lib radio access points is regulated by the FCC (Federal Communications Commission) to 30 milliwatts.
理論上、 ハッカーは、 同一のホットスポット · ロケーションにおいて、 より強 い信号強度と、 ホットスポットと同一の S S I Dを持った無線アクセスポイント を設定することができる。 この設定により、 全てのホットスポットユーザを、 ェ ンドユーザーに気付かれることなく、 ハッカーが設置した無線アクセスポィント に強制的に接続させることが可能である。 ハッカーは、 ホットスポット認証画面 を模造したウェブページを提供し、 全てのユーザ名とパスワードを記憶する。 口 グイン名とパスヮードが入力されたら、 「ホットスポットは現在使用不能です。時 間をおレ、て接続してくださレ、。」といったエラーメッセージを表示する少々の創造 性があれば、 ユーザは騙されてしまうようである。 これは、 第 2節で示した第 2 図の A TMの例と類似している。  In theory, a hacker could set up a wireless access point with higher signal strength and the same SSID as the hotspot at the same hotspot location. This setting allows all hotspot users to be forced to connect to a wireless access point set up by a hacker without the end user being aware. The hacker provides a web page that mimics the hotspot authentication screen and stores all usernames and passwords. If the login name and password are entered, the user may be a bit creative, with an error message such as "Hotspot is currently unavailable. It seems to be deceived. This is similar to the ATM example of Figure 2 shown in Section 2.
今日では、 このタイプのウェブアプリケーショ ンの設定は、 例えば、 http : //airsnarf. shmoo. com/におレヽて Shraoo グノレープ力発行してレ、る Airsnarf というフリ一ツールを使用すれば容易に行うことができる。  Nowadays, setting up this type of web application is easy, for example, by using the Airsnarf free tool called Shraoo Gnorapé, which you can submit to http://airsnarf.shmoo.com/. be able to.
さらに上級の賢いハッカーは、 自分のウェブサーバへの全てのトラフィックを ホットスポットにル一ト変更させながら、 ェンドユーザーに通常通りホットスポ ットを使用させ続けることができる。 この方法を用いれば、 ハッカーはエンドュ 一ザ一が実行することをすベて見ることができる。  Even more sophisticated smart hackers can keep end users using Hotspots as normal, having all traffic to their Web server turned into Hotspots. Using this method, hackers can see everything an end-user does.
たとえば、ェンドユーザーが自分のホームバンキングにアクセスしている場合、 ハッカーはアクセス中の情報を盗むことができる。 これは、 第 2節の第 3図に示 した A TMの例と類似している。 これらの方法を使用してホットスポットをハツ キングすることで、 ハッカーは、 最低でもホットスポットに接続するためのユー ザ名とパスワードを盗み取ることができる。 これは、 そのホットスポットのゥヱ ブサーバが本物であるか否かをェンドユーザーが認証できれば防止することが可 能であった。 For example, if an end user is accessing his home banking, a hacker can steal information during access. This is similar to the ATM example shown in Figure 2 of Section 2. By using these methods to hacker hotspots, hackers can at least steal usernames and passwords for connecting to hotspots. This is the hot spot It was possible to prevent if the end user could authenticate whether the server was genuine or not.
URLスブーフイングという技術を使用することで、 ユーザを偽装されたゥェ ブサイ トへ転送することが可能である。  By using a technique called URL spoofing, it is possible to transfer users to fake websites.
たとえば、 ユーザは http:〃 ww. visa, comと表示されたあるリンク上をクリッ クした力 実際には http:〃 www. hacker— web_site.comへ転送されてしまう。 UR Lに嵌め込んだ特別なコ ー ドを使用することで、 ブラゥザを騙し、 http:〃 www. visa, com と 表 示 す る こ と が で き る が 、 実 際 に は http://ww. hacker— web— site, com力 らのウェブぺーシが表示される。スノ ムメー ルを使って、 URLスブーフイングリンクがエンドユーザーに送信される。 少々 のシステム工学を用レヽるだけで、ユーザは偽装されたゥェブベージにアクセスし、 自分のユーザ名 Zパスヮード情報を入力してしまうようである。  For example, the user clicks on a link labeled http: 〃 ww. Visa, com. In fact, the user is transferred to http: 〃 www. Hacker — web_site.com. By using a special code embedded in UR L, it is possible to look around the browser and display it as http: 〃 www.visa, com, but in practice it is http: // ww. hacker—web— site, com web page is displayed. A URL spoofing link will be sent to the end user using the worm mail. With just a little system engineering, users seem to be able to access the fake web pages and enter their username Z pass information.
先のホットスポット 'ハッキングの例は、 無線信号を使用してエンドユーザー をハッカーのウェブサイトに転送するものであった。 エンドユーザーを別のゥヱ ブサイ トへ転送することは LAN上でも可能である。  The previous hotspot 'hacking example used to transfer end users to a hacker's website using wireless signals. It is also possible to transfer end users to another web site on the LAN.
特定のウェブサイトへのアクセスは、 特定のウェブサイトの適切な URLをブ ラウザに入力することによって行われる。  Access to a particular website is achieved by entering the appropriate URL of the particular website into the browser.
たとえば、 Yahoo のウェブサイ 卜にアクセスするためには、 ユーザはブラウザ に例えば http:〃 www. yahoo, com/のような URLを入力する。 このような URL 名は、 実際は 「66.218.70.48」 といったネットワークアドレス (I Pアドレス) のエイリアス (別名定義) である。 通常、 このようなネットワークアドレスを記 憶しておくことは難しいため、 URL名をネットワークアドレスへ自動変換する サービスが提供されている。 DNS (ドメインネームサーバー) は、 ドメイン名 とネットワークアドレスのテーブルを保持している。 インターネット上には多数 の DNSサーバが存在しているため、 各コンピュータは、 URL名をネッ トヮー クァドレスに変換する際に、 特定の DNSサーバを使用するように構成されてい る。 .  For example, to access the Yahoo! website, the user enters a URL such as http: www. Yahoo, com / in the browser. Such a URL name is actually an alias (alias definition) of a network address (IP address) such as "66.218.70.48". Usually, it is difficult to store such network addresses, so there is a service that automatically converts URL names to network addresses. DNS (Domain Name Server) maintains a table of domain names and network addresses. Because there are many DNS servers on the Internet, each computer is configured to use a specific DNS server when converting URL names to network addresses. .
理論上、 DNSサーバに入力されたネットワークアドレスを変更することによ つて、 エンドユーザーを偽装されたウェブサーバにアクセスするよう自動転送す ることが可能である。 これを実行するためには、 ハッカーは D N Sサーバをハツ キングする必要がある。 これは平凡に起こることではないが、 不可能ではない。 In theory, by changing the network address entered in the DNS server, the end user is automatically forwarded to access the spoofed web server. It is possible to In order to do this, hackers need to hack DNS servers. This is not uncommon but not impossible.
こ れ 以 外 に も 、 エ ン ド ユ ー ザ ー の コ ン ピ ュ ー タ で 、 「c: ¥windows¥system32¥drivers¥etc¥hosts」フアイノレ内の D N S設定をノヽッカー の D N Sサーバに合わせるように再構成する方法がある。 このような再構成は、 悪意あるコードを使用して実行可能であり、 あるいは、 システム工学によってさ えも実行可能である。 ハッカーは、 ホームバンキング 'サイトのような秘密情報 を极ぅゥヱブサイトのネットワークアドレスを再構成することで、 ェンドユーザ 一に気付かれることなく、 ホームバンキングへの全てのアクセスを自分が偽装し たホームバンキング ' ウェブページへ強制転送させることができる。 ここでも、 ログイン名およびパスワードの入力後に、 たとえば 「現在ホームバンキングは使 用不可能です。時間をおいて接続して下さい。」のようなエラーメッセージを表示 するといつた少々の創造性があれば、 ェンドユーザーは騙されてしまう傾向にあ る。 これは、 第 2図に示した A TMの例と類似している。  Besides this, on the end user's computer, adjust the DNS settings in the "c: \ windows \ system 32 \ drivers \ etc \ hosts" file to the DNS server of the knocker. There is a way to reconfigure. Such reconfiguration can be done using malicious code, or even system engineering. Hackers reconfigure home page 's network' s network address so that confidential information such as home banking 'site' s home banking makes itself disguised as all access to home banking without being noticed by end users. It can be forcibly transferred to a web page. Again, after entering your login name and password, if you see an error message such as "Now home banking is not available. Please connect after a while." End users tend to be deceived. This is similar to the ATM example shown in FIG.
より上級で賢いハッカーなら、 自分が偽装したホームバンキング ' ウェブサー バへの全てのトラフィックを、 実際のホームバンキング · ウェブサイトヘルート 変更することさえも可能である。 この方法を用いれば、 ハッカーはエンドユーザ 一がこのウェブサイト上で実行することをすベて見ることができる。 これは、 第 3図に示した A TMの例と類似している。 ハッカーは、 これらのウェブサイトの ハッキング方法を使用することで、 最低でも秘密情報を扱うウェブサイ トへのュ 一ザ名とパスワードを盗み取ることができる。 この盗難は、 そのウェブサーバが 本物であるか否かをユーザが認証できれば防止することが可能であった。  A more advanced and clever hacker can even change all the traffic to your fake home banking 'web server into a real home banking · website route. Using this method, hackers can see everything end users do on this website. This is similar to the ATM example shown in FIG. Hackers can use these websites' hacking methods to at least steal user names and passwords for websites that deal with confidential information. This theft could be prevented if the user could authenticate whether the web server was real.
さらに、今日、多くの企業がインターネット上で顧客との対話を行なっている。 こうした企業のほとんどが、 インターネット上での自社ウェブサーバの安全性の 確保に多大な経費と労力を投資している。 朗報は、 データ暗号化には、 様々なュ 一ザ認証といった多数の技術が存在し、 このような技術を用いること力 システ ムの安全性をかなり向上させる補助となることである。 企業は、 このような技術 を用いることで、 誰が自社サーバにアクセスしているかを確実に知り、 さらに、 ウェブサーバ上のデータを保護することが可能となる。 しかしながら、 このようなセキュリティ · ソリユーシヨンはウェブ■アクセス ポイント認証 (WAPA) を採用したものではない。 これらのセキュリティ · ソ リューシヨンは、 ウェブサーバをハッカーから保護する助けとなるが、 正確には エンドユーザーをハッカーから直接保護するものなのである。 インターネット通 信で使用される暗号化のような解決法 (例えば WEP、 S SH) は、 ハッカーに よつて傍受された場合にデータを保護するだけである。 ユーザ認証はユーザ自身 を証明できるだけで、 ェンドユーザーに対してウェブサーバを認証することはな い。 つまり、 これら技術のいずれも、 ユーザを WAPAハッカーから保護するも のではない。 In addition, many companies today interact with customers over the Internet. Most of these companies invest a great deal of money and effort in securing their own web server over the Internet. The good news is that there are a number of techniques for data encryption, such as various user authentication, and using such techniques can help to significantly improve the security of the power system. Companies can use such technology to know who is accessing their server and to protect data on the web server. However, such security solutions do not use Web Access Point Authentication (WAPA). These security solutions help protect the web server from hackers, but more precisely, they protect end users directly from hackers. Solutions such as encryption used in Internet communications (eg WEP, SSH) only protect data when intercepted by hackers. User authentication can only prove itself and does not authenticate the web server to the end user. That is, none of these technologies protect users from WAPA hackers.
今日、 ェンドユーザーに対してウェブサーバを認証することを目的とした製品 または技術は市場に知られていなレ、。 現在のところ、 ウェブ認証はウェブサーバ によってのみ実施されている。 たとえば、 ウェブサーバは、 誰がウェブサーバに アクセスしているかの認証を行なうために、 A c t i v e D i r e c t o r y、 あるいはアクセス Zユーザ管理ソフトウェアを使用してアクセス制御を実行する ことが可能である。 しかし、 この技術は、 ユーザがウェブサーバを本物であると 認証するために使用することはできない。 課題を解決するための手段  Today, products or technologies aimed at authenticating web servers to end users are not known to the market. Currently, web authentication is only performed by web servers. For example, a web server can perform access control using the Administrator, or Access Z user management software to authenticate who is accessing the web server. However, this technology can not be used by a user to authenticate a web server as genuine. Means to solve the problem
そこで、 本発明においては、 上記の様々な課題を解決し、 エンドユーザーに対 してゥェブサーバ証明を提供する新しいィンターネット技術である、 ウェブ'ァ クセスポイント認証 (WAPA) を提供することを目的とする。  Therefore, in the present invention, it is an object of the present invention to provide Web's Access Point Authentication (WAPA), which is a new Internet technology that solves the above various problems and provides web server certification to end users. I assume.
ウェブ.アクセスポイント認証は、 単なる従来のゥェブサーバ認証ではなく、 ユーザ名およびパスヮードといった秘密情報を送信する前に、 そのウェブサーバ が本物である力否かを認証する上での、 ェンドユーザーの補助を目的とするもの である。 ターゲットとされるアプリケーションは、 ユーザ名およびパスワードと いった秘密情報の入力を最初にユーザに要求してくるウェブサービスであり、 こ れにはホットスポット無線アクセスポイント、 ホームバンキング ' ウェブサイ ト のようなサービスが含まれる。  Web. Access point authentication is not just traditional web server authentication, but it helps the end user authenticate that the web server is authentic before sending secret information such as username and password. Purpose. The targeted application is a web service that initially requires the user to enter secret information such as a username and password, such as a hotspot wireless access point, a home banking 'website, etc. Includes service.
ウェブ.アクセスポイント認証 (WAPA) はクライアントサーバ .アプリケ ーシヨンである。 たとえばサーバコンポーネントはウェブサーバ上に常駐してお り、 クライアントコンポーネントは A c t i V e X (商標) コントロールなどで ある。 これにより、 あるウェブサーバが本物か偽装されたものであるかを証明す るために、 エンドユーザ一にとつて使いやすい方法を提供する。 中心となる認証 アルゴリズムが、 公開キー暗号ィヒアルゴリズムに基づいて実現される。 Web. Access Point Authentication (WAPA) is a client server. The For example, the server component resides on a web server, and the client component is, for example, an Acti V e X (TM) control. This provides an easy-to-use method for end users to prove that a web server is real or fake. The central authentication algorithm is implemented based on the public key cryptogram algorithm.
上記課題を解決するため、 請求の範囲 1に記載の発明においては、  In order to solve the above problems, in the invention according to claim 1,
ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする 際にゥェブサ一バー認証を行うためにゥェブサーバーに備えられたサーバー認証 システムであって、 A server authentication system provided on a web server for performing web server authentication when accessing any server connected to a network through a browser,
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲 覧要求およびサーバー認、証要求を受信する閲覧要求受信手段と、 A browsing request receiving unit for receiving a web content browsing request and a server authentication from a client terminal accessing the web server, and a certification request;
ウェブサーバーごとに設定され、 当該ウェブサーバーの認証を行うための認証情 報を記憶する認証情報登録サーバーに対し、 クライアント端末からの閲覧要求お よびサーバー認証要求に応答して、 当該ウェブサーバーの認証情報を照会する認 証情報照会手段と、 The authentication information registration server, which is set for each web server and stores authentication information for authenticating the web server, responds to a browse request from the client terminal and a server authentication request to authenticate the web server. Authentication information query means for querying information;
前記認証情報登録サーバーに対する照会の結果、 当該ゥェブサーバーの認証情報 があった場合には当該認証情報を受信する認証情報受信手段と、 Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
クライアント端末からのウェブコンテンッ閲覧要求およびサーバー認証要求に対 応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段と、 前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信する ウェブコンテンツ送信手段とを備えた、 ウェブサーバー認証システムであること を特徴としている。 Authentication information adding means for adding the received authentication information to the web content in response to the web content browsing request and the server authentication request from the client terminal, and transmitting the web content added with the authentication information to the client terminal It is characterized in that it is a web server authentication system provided with a web content transmission means.
また、 上記課題を解決するため、 請求の範囲 2に記載の発明においては、 ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする 際にウェブサーバー認証を行うためにゥェブサーバーに備えられたサーバー認証 システムと、 前記ウェブサーバーにアクセスするクライアント端末と、 ウェブサ 一バーごとに設定され当該ウェブサーバーの認証を行うための認証情報を記憶す る認証情報登録サーバーと、 を含み構成されるシステムであって、  Further, in order to solve the above-mentioned problems, in the invention according to claim 2, the web server is provided to perform web server authentication when accessing any server connected to the network through a browser. A system comprising: a server authentication system; a client terminal for accessing the web server; and an authentication information registration server configured for each web server and storing authentication information for authenticating the web server. There,
前記ウェブサーバーは、 前記ウェブサーバ一にアクセスするクライアント端末からのウェブコンテンツ閲 覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、 The web server is Browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
ゥェブサーバーごとに設定され、 当該ゥェブサーバーの認証を行うための認証情 報を記憶する認証情報登録サーバーに対し、 クライアント端末からの閲覧要求お よびサーバー認証要求に応答して、 当該ゥェブサーバーの認証情報を照会する認 証情報照会手段と、 The authentication information registration server, which is set for each web server and stores authentication information for authenticating the web server, is queried for authentication information of the web server in response to a browse request from the client terminal and a server authentication request. Authentication information inquiry means to
前記認証情報登録サーバーに対する照会の結果、 当該ウェブサーバーの認証情報 があった場合には当該認証情報を受信する認証情報受信手段と、 Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
クライアント端末からのウェブコンテンッ閲覧要求およびサーバー認証要求に対 応し、受信した認証情報を前記ゥヱブコンテンツに付加する認証情報付加手段と、 前記認証情報の付カ卩されたウェブコンテンツを前記クライアント端末に送信する ウェブコンテンッ送信手段とを備えており、 Authentication information adding means for adding received authentication information to the web content in response to a web content browsing request and a server authentication request from the client terminal; web content with the authentication information attached to the client terminal It is equipped with a web content sending means to send,
前記認証情報登録サーバーは、 当該ウェブサーバーの認証を行うための認証情報 と、 クライアント端末において前記サーバー認証システムを利用するユーザーご とのユーザー識別情報とを少なくとも記憶した、 ウェブサーバー認証システムで あることを特徴としている。 The authentication information registration server is a web server authentication system that stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system at the client terminal. It is characterized by
また、 上記課題を解決するため、 請求の範囲 3に記載の発明においては、 前記クライアント端末には、 ウェブコンテンツ閲覧要求とともにサーバー認証要 求を前記ゥェブサーバーに送信する認証要求送信手段と、  Further, in order to solve the above problems, in the invention according to claim 3, the client terminal includes an authentication request transmitting unit that transmits a server authentication request to the web server together with a web content browsing request;
前記ウェブサーバーごとの公開鍵を記憶するサーバー公開鍵記憶手段が備えられ た、 ウェブサーバー認証システムであることを特徴としている。 It is characterized in that it is a web server authentication system provided with server public key storage means for storing the public key for each web server.
また、 上記課題を解決するため、 請求の範囲 4に記載の発明においては、 クライアント端末から送信され、 前記ウェブサーバーにおいて前記閲覧要求受信 手段が受信するサーバー認証要求には、 前記サーバー認証システムのユーザー識 別情報が含まれる、 請求の範囲 1〜 3のいずれかに記載のウェブサーバー認証シ ステムであることを特 [としている。  In order to solve the above problems, in the invention according to claim 4, the server authentication request transmitted from the client terminal and received by the browse request receiving means at the web server is a user of the server authentication system. In particular, it is a web server authentication system according to any of claims 1 to 3, which contains identification information.
また、 上記課題を解決するため、 請求の範囲 5に記載の発明においては、 クライアント端末から送信され、 前記ウェブサーバーにおいいて前記閲覧要求受 信手段が受信するサーバー認証要求には、 当該ウェブサーバーが前記サーバー認 証システムを備えているか否かの応答要求が含まれる、 請求の範囲 1〜4のいず れかに記載のウェブサーバー認証システムであることを特徴としている。 Further, in order to solve the above problems, in the invention according to claim 5, the server authentication request transmitted from the client terminal and received by the browse request receiving means in the web server is the web server. Said server certification It is characterized in that it is the web server authentication system according to any one of claims 1 to 4, which includes a response request whether or not it has a certification system.
また、 上記課題を解決するため、 請求の範囲 6に記載の発明においては、 前記認証情報照会手段は、 前記認証情報登録サーバーに対し、 当該ウェブサーバ 一の認証情報を照会する際に、前記ユーザー識別情報を含む照会要求を送信する、 請求の範囲 1〜 5のいずれかに記載のウェブサーバー認証システムであることを 特徴としている。  Further, in order to solve the above problems, in the invention according to claim 6, when the authentication information inquiry means inquires the authentication information registration server of authentication information of the web server, the user The web server authentication system according to any one of claims 1 to 5, which transmits a query request including identification information.
また、 上記課題を解決するため、 請求の範囲 7に記載の発明においては、 前記認、証情報照会手段は、 ゥェブサーバーごとに設定されているとともに、 さら にユーザ一識別情報に対応してあらかじめ記憶されている当該ゥェブサ一バーの 認証情報を、 ユーザー識別情報に基づき照会する、 請求の範囲 6に記載のウェブ サーバー認証システムであることを特徴としている。  Further, in order to solve the above-mentioned problems, in the invention according to claim 7, the authentication and proof information inquiry means is set for each web server, and is stored in advance corresponding to the user identification information. The web server authentication system according to claim 6, wherein the authentication information of the web server is queried based on the user identification information.
また、 上記課題を解決するため、 請求の範囲 8に記載の発明においては、 ウェブサーバーごとに設定されているとともに、 ユーザー識別情報に対応してあ らかじめ記憶されている前記ウェブサーバーの認証情報は、 クライアント端末に おいて生成されたユーザーごとの認証情報を当該ユーザーの公開鍵を用レ、て暗号 化し、 次いで当該ウェブサーバーの公開鍵を用いて暗号ィ匕した後に、 前記認証情 報登録サーバーに登録するゥヱブサーバー登録により記憶されたものである、 請 求の範囲 1〜 7のいずれかに記載のウェブサーバー認証システムであることを特 徴としている。  Further, in order to solve the above-mentioned problems, in the invention according to claim 8, the authentication of the web server which is set for each web server and stored in advance corresponding to the user identification information In the information, the authentication information for each user generated at the client terminal is encrypted using the public key of the user, and then encrypted using the public key of the web server, and then the authentication information information is encrypted. Web server authentication system described in any of claims 1 to 7, which is stored by web server registration registered with the registration server.
また、 上記課題を解決するため、 請求の範囲 9に記載の発明においては、 クライアント端末からいずれかのウェブサーバーにアクセスした際に、 クライア ント端末から送信されたサーバー認証要求に含まれる、 当該ウェブサーバーが前 記サーバー認証システムを備えているか否かの応答要求に対し、 当該ゥェブサー バーが前記サーバー認証システムを備えている場合にはその旨を応答し、 当該ゥ ェブサーバーが前記サーバー認証システムを備えていない場合にはその旨を応答 しない、 請求の範囲 5〜 8のいずれかに記載のウェブサーバー認証システムであ ることを特徴としている。  In order to solve the above problems, in the invention according to claim 9, when a client terminal accesses any web server, the web is included in the server authentication request transmitted from the client terminal. If the web server has the server authentication system, the web server responds to the request to determine whether the server has the server authentication system or not, and the web server has the server authentication system. It is characterized in that it is a web server authentication system according to any one of claims 5 to 8, which does not respond when that is not the case.
また、 上記課題を解決するため、 請求の範囲 1 0に記載の発明においては、 前記クライアント端末に、 ウェブコンテンッに付加された前記認証情報を解読す るための当該ゥェブサーバーの公開鍵が記憶されている場合には、 前記ゥェブサ 一バーから受信したウェブコンテンツに付加された前記認証情報を、 当該クライ アント端末を利用するユーザーの秘密鍵を用いて解読し、 当該認証情報の正当性 を判定する、 請求の範囲 1〜 9のいずれかに記載のウェブサーバー認証システム であることを特¾¾としている。 Moreover, in order to solve the above-mentioned subject, in invention of Claim 10, When the client terminal stores the public key of the web server for decrypting the authentication information added to the web content, the authentication added to the web content received from the web server is stored. The web server authentication system according to any one of claims 1 to 9, wherein the information is decrypted using a secret key of a user who uses the client terminal to determine the legitimacy of the authentication information. It is considered special.
また、 上記課題を解決するため、 請求の範囲 1 1に記載の発明においては、 当該認証情報が正当でないと判定された場合には、 前記クライアント端末におい て警告が表示される、 請求の範囲 1 0に記載のウェブサーバー認証システムであ ることを特徴としている。  In order to solve the above problems, in the invention according to claim 11, when it is determined that the authentication information is not valid, a warning is displayed in the client terminal. It is characterized in that it is the web server authentication system described in 0.
また、 上記課題を解決するため、 請求の範囲 1 2に記載の発明においては、 前記クライアント端末に、 ウェブコンテンツに付加された前記認証情報を解読す るための当該ゥヱブサーバーの公開鍵が記憶されていなレヽ場合において、 前記ゥ エブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答す るとともに、 ウェブサーバー登録をする力否かを当該クライアント端末を利用す るユーザーに対し選択させる、 請求の範囲 1 0または 1 1のいずれかに記載のゥ ェブサーバー認証システムであることを特徴としている。 発明の効果  In order to solve the above problems, in the invention according to claim 12, the client terminal stores the public key of the web server for decrypting the authentication information attached to the web content. If the web server is equipped with the server authentication system, the response is sent to the user, and the user of the client terminal is made to select whether or not to register the web server. The web server authentication system according to any one of claims 1 0 or 1 1. Effect of the invention
本発明によれば、 ェンドユーザーに対してウェブサーバ証明を提供する新しい インターネット技術である、 ウェブ .アクセスポイント認証 (WA P A) を提供 することができる。  According to the present invention, it is possible to provide Web Access Point Authentication (WAPA), which is a new Internet technology that provides web server certification to end users.
ウェブ .アクセスボイント認証は、 単なる従来のウェブサーバ認、証ではなく、 ユーザ名およびパスヮードといった秘密情報を送信する前に、 そのウェブサーバ が本物であるか否かを認証する上での、 ェンドユーザーの補助を目的とするもの である。 ターゲットとされるアプリケーションは、 ユーザー名およびパスワード といった秘密情報の入力を最初にユーザに要求してくるゥェプサービスであり、 これにはホットスポット無線アクセスポイント、 ホームバンキング · ウェブサイ トのようなサービスが含まれる。 これにより、 あるウェブサーバが本物か偽装されたものであるかを証明する こ めに、 エン ドユーザ一にとつて使いやすい方法を提供する。 中心となる認証アル ゴリズムが、 公開キー暗号化アルゴリズムに基づいて実現される。 図面の簡単な説明 Web access point authentication is not just a conventional web server authentication, but it is used to authenticate whether the web server is genuine before transmitting secret information such as a username and password. It is intended to help the user. The targeted application is a web service that initially requires the user to enter confidential information such as a username and password, which includes services such as hotspot wireless access points, home banking and websites. . This provides an easy-to-use method for end users to prove that a web server is real or fake. The core authentication algorithm is realized based on the public key encryption algorithm. Brief description of the drawings
第 1図は、 従来例を示す図である。  FIG. 1 is a diagram showing a conventional example.
第 2図は、 従来例を示す図である。  FIG. 2 is a diagram showing a conventional example.
第 3図は、 従来例を示す図である。  FIG. 3 is a diagram showing a conventional example.
第 4図は、 従来例を示す図である。  FIG. 4 is a diagram showing a conventional example.
第 5図は、 本発明のシステムの基本的な構成の一例を示すシステム構成図であ る。  FIG. 5 is a system configuration diagram showing an example of the basic configuration of the system of the present invention.
第 6図は、 本発明のシステムを利用したサーバー認証のパターンの代表的な一 例を示す図である。  FIG. 6 is a diagram showing a representative example of a server authentication pattern using the system of the present invention.
第 7図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ一 トである。  FIG. 7 is a flowchart showing an example of the basic process flow of the system of the present invention.
第 8図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ一 トである。  FIG. 8 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 9図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ一 トである。  FIG. 9 is a flowchart showing an example of the basic process flow of the system of the present invention.
第 1 0図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである.。  FIG. 10 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 1 1図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 11 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 1 2図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 12 is a flow chart showing an example of the basic process flow of the system of the present invention.
第 1 3図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 13 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 1 4図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。 第 1 5図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。 FIG. 14 is a flowchart showing an example of the basic processing flow of the system of the present invention. FIG. 15 is a flowchart showing an example of the basic process flow of the system of the present invention.
第 1 6図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 16 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 1 7図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 17 is a flow chart showing an example of the basic process flow of the system of the present invention.
第 1 8図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 18 is a flowchart showing an example of the basic process flow of the system of the present invention.
第 1 9図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一卜でめる。  FIG. 19 shows a flow chart showing an example of the basic process flow of the system of the present invention.
第 2 0図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 20 is a flowchart showing an example of the basic processing flow of the system of the present invention.
第 2 1図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トで fcる。  FIG. 21 is a flow chart showing an example of the basic processing flow of the system of the present invention.
第 2 2図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一卜である。  FIG. 22 is a flow chart showing an example of the basic process flow of the system of the present invention.
第 2 3図は、 本発明のシステムの基本的な処理の流れの一例を示すフローチヤ 一トである。  FIG. 23 is a flowchart showing an example of the basic process flow of the system of the present invention.
第 2 4図は、 本発明のシステムの基本的な処理の流れの一例を示すフ口ーチャ 一トである。 発明を実施するための最良の形態  FIG. 24 is a flowchart showing an example of the basic process flow of the system of the present invention. BEST MODE FOR CARRYING OUT THE INVENTION
以下、 本発明の実施の形態について図面を参照して説明する。  Hereinafter, embodiments of the present invention will be described with reference to the drawings.
第 5図は、 本発明のシステムの基本的な構成の一例を示すシステム構成図であ る。  FIG. 5 is a system configuration diagram showing an example of the basic configuration of the system of the present invention.
本発明のシステムは、 ブラウザを介してネットワークに接続されたいずれかの サーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに 備えられたサーバー認証システムである。  The system of the present invention is a server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network via a browser.
すなわち、 本発明のシステムを利用するように設定されたレ、ずれかのゥェブサ 一バーである。 In other words, a web browser set to use the system of the present invention It is one bar.
また、 本発明のシステムは、 ブラウザを介してネットワークに接続されたいず れかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサー バーに備えられたサーバー認証システムと、 前記ウェブサーバーにアクセスする クライアント端末と、 ウェブサーバーごとに設定され当該ウェブサーバーの認証 を行うための認証情報を記憶する認証情報登録サーバーと、 を含み構成されるシ ステムである。  Also, the system of the present invention includes a server authentication system provided on a web server for performing web server authentication when accessing any of the servers connected to the network via a browser, and accessing the web server. The system is configured to include a client terminal and an authentication information registration server which is set for each web server and stores authentication information for authenticating the web server.
すなわち、 本発明のシステムを利用するように設定されたいずれかのゥェブサ 一バーと、 これと連携して動作する、 ウェブサーバーごとの認証情報を記憶した 認証情報登録サーバーとから構成されている。  That is, it is configured by any web server set to use the system of the present invention, and an authentication information registration server that operates in cooperation with this and stores authentication information for each web server.
また、 ウェブサーバーごとの公開鍵をユーザーが利用可能な状態に記憶する公 開鍵サーバーが設けられる。 公開鍵サーバーは、 ウェブサーバーごとの公開鍵を 用いて、 ユーザーがクライアント端末において当該ウェブサーバーごとの公開鍵 をローカルデータベースに記憶させ、 サーバーごとの認証情報を前記の認証情報 登録サーバーに登録することにより、サーバー登録処理をするためのものである。 本発明のサーバーシステムに接続するためのユーザー端末としては、 通常、 パ 一ソナルコンピュータやワークステーションなどのコンピュータ端末が用いられ る。 この他、 ユーザー端末には、 インターネット等に接続可能なブラウザ機能を 搭載した携帯電話をはじめとする無線通信端末、 携帯情報端末や、 インターネッ ト T V、 ゲーム機器、 テレビ会議システム、 その他のネットワーク接続機能を備 えた家電製品などの機器を広く含んでいてもよい。 コンピュータ端末は、 制御手 段、 記憶手段、 入力手段、 出力手段、 表示手段などを備える。 またインターネッ トに代表されるコンピュータネットワークに接続し、 データの送受信を行う機能 を備え、 ブラウザや電子メールソフトウェア、 ワードプロセッサなどのアプリケ ーシヨンプログラムや、 オペレーティングシステム (O S ) を備えることが通常 の形態である。  Also, a public key server is provided that stores the public key of each web server in a usable state for the user. The public key server causes the user to store the public key for each web server in the local database in the client terminal using the public key for each web server, and to register authentication information for each server in the authentication information registration server. Is for server registration processing. As a user terminal for connecting to the server system of the present invention, a computer terminal such as a personal computer or a workstation is usually used. In addition, the user terminal includes a wireless communication terminal such as a mobile phone equipped with a browser function capable of connecting to the Internet, a portable information terminal, an internet TV, a game device, a video conference system, and other network connection functions. It may include a wide range of appliances such as home appliances. The computer terminal includes control means, storage means, input means, output means, display means and the like. It also has the function of connecting to a computer network represented by the Internet and sending and receiving data, and is usually equipped with a browser, e-mail software, application programs such as a word processor, and an operating system (OS). is there.
サーバーは、 インターネットに代表されるネットワークに接続されて備えられ る。 ネットワークには、 通常はインターネットを想定しているが、 専用線により 接続されたネットワーク形態や、 企業内 L AN、 企業間 L AN、 WANなどの形 態を広く含み、 またここで用いられる通信回線の形態には、 有線通信、 無線通信 の形態を広く含み、 衛星通信や、 B 1 u e t o o t hなどを用いた形態を含む。 本発明のシステムにおいて認証されるウェブサーバーは、 ユーザー端末からァ クセスするためのコンテンツデータやアプリケーションプログラムを記憶するも のであり、 コンテンツデータには、 H TMLファイル、 XM Lファイルなどの W E B上に表示されるデータファイルや、 C一 H TMLファイルなどの WE Bサイ トにアクセス可能な携帯電話等に表示されるデータファイルなどが含まれる。 また、 これらのファイルに揷入されるなどして表示又は出力される、 文字デー タファイル、音声データファイル、画像データファイル、動画像データファイル、 アニメーションデータファイル, その他の様々なコンテンツデータを記憶するこ とができる。 The server is connected to a network represented by the Internet. The network is usually assumed to be the Internet, but a network form connected by a leased line, a corporate LAN, a corporate LAN, a WAN, etc. The form of communication line used widely includes the form of wired communication and wireless communication widely, and it includes the form using satellite communication, B 1 uetooth, etc. The web server authenticated in the system of the present invention stores content data and application programs for accessing from the user terminal, and the content data is displayed on the WEB such as HTMLL file and XLL file. Data files and data files displayed on mobile phones etc. that can access the WEB site such as C--H TML files. In addition, it stores character data files, audio data files, image data files, moving image data files, animation data files, and various other content data that are displayed or output by being inserted into these files. It is possible.
初めに、 ウェブサーバーについて説明する。  First, I will explain about the web server.
本発明のシステムを利用するウェブサーバーは、 ウェブサーバーにアクセスす るクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を 受信する閲覧要求受信手段を備えている。  A web server using the system of the present invention includes browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server.
ウェブコンテンツ閲覧要求は、 ブラウザを用いて U R Lの入力やハイパーリン クのクリック等により H T T Pリクエストを送出する、 通常知られている閲覧要 求である。  A web content browsing request is a generally known browsing request that sends an HTML request by entering a URL or clicking a hyperlink using a browser.
ここで、 本発明のシステムにおいては、 ウェブコンテンツ閲覧要求とともに、 サーバーの正当性を証明するためのサーバー認証要求が含まれる。  Here, in the system of the present invention, together with the web content browsing request, a server authentication request for proving the legitimacy of the server is included.
また、 クライアント端末から送信され、 前記ウェブサーバーにおいて前記閲覧 要求受信手段が受信するサーバー認証要求には、 前記サーバー認証システムのュ 一ザ一識別情報が含まれる。  In addition, the server authentication request transmitted from the client terminal and received by the browse request receiving unit at the web server includes the user identification information of the server authentication system.
サーバー認証要求は、 クライアントからサーバー認証システム対応サーバーに 送信する H T T P G E T要求に含まれるようにすることができ、 さらに好まし くは当該サーバー認証要求にはクライアントのサーバー認証システムユーザー I Dがさらに含まれている。  The server authentication request can be included in the HTTP GET request sent from the client to the server authentication system compatible server, and more preferably, the server authentication request further includes the server authentication system user ID of the client. There is.
また別の好ましい形態によれば、 クライアントからサーバー認証システム対応 サーバーに送信する H T T P G E T要求とは別に、 サーバー認証要求は、 T C P通信を利用したクライアント、 サーバー間におけるソケット通信により送受信 されるデータに含まれるようにすることができ、 さらに好ましくは当該サーバー 認証要求にはクライアントのサーバー認証システムユーザー I Dがさらに含まれ ている。 ソケット (Socket) は、 T C P Z I Pアプリケーションを作成するため の抽象化されたインターフェースであって、 ソケットの作成を行う、 サーバーに 接続する、 サーバーと送受信を行う、 ソケットを破棄するという手順による通信 を行う。 ソケットは、 ファイルの出力 '入力プログラムと同じやり方でコンビュ ータ間のデータの送信 ·受信プログラムを用いてデータ通信を行うようにするも のである。 According to yet another preferred embodiment, the server authentication request is separate from the TC GET request separately from the HTTP GET request sent from the client to the server authentication system enabled server. It can be made to be included in the data transmitted / received by the socket communication between the client and the server using P communication, and more preferably, the server authentication request further includes the server authentication system user ID of the client. Socket (Socket) is an abstracted interface for creating TCPZIP application, and performs communication by the procedure of creating a socket, connecting to a server, communicating with a server, and destroying a socket. A socket is used to perform data communication using a send / receive program between com- puters in the same way as an output file's input program.
T C P通信に利用するシステムコールは、 クライアント側では socketOソケッ ト生成、 connectOソケット接続、 readOデータ受信、 writeOデータ送信、 closeO ソケット消去などが知られており、サーバ一側では socketOソケット生成、 bind() ソケット登録、 listenOソケット接続準備、 acceptOソケット接続待機、 readOデ ータ受信、 writeOデータ送信、 closeOソケット消去などが知られている。  System calls used for TCP communication are known: socket O socket creation, connect O socket connection, read O data reception, write O data transmission, close O socket deletion etc. on the client side, socket O socket creation on the server side, bind () Socket registration, listenO socket connection preparation, acceptO socket connection wait, readO data reception, writeO data transmission, closeO socket erase, etc. are known.
通信を開始する前に、 クライアントもサーバもまずソケットを生成し、 サーバ 一側はライアントからの通信接続要求を待つ状態となり、 クライアント側はサー バー側に通信接続要求を送信し、 サーバーのソケットとクライアントのソケット の間で通信接続が確立するとデータの送受信が始められる。  Before communication starts, both the client and server first create a socket, one side of the server waits for a communication connection request from the client, the client side sends a communication connection request to the server side, and the server socket Once a communication connection has been established between the client's sockets, data transmission and reception will begin.
前記システムコールの内、 socketOはソケット生成を行い、 サーバー側ではソ ケットを接続待機状態にするために bindO、 listenO、 acceptOの 3つのシステム コールを利用する。 クライアント側は socketOによりソケットを生成した後、 connectOによつてサーバに接続要求を送信し、接続した後にはそれぞれのソケッ トに対して writeOシステムコールを通じてソケットにデータを書き込んで送信 し、 もう一方 は readOシステムコールを通じてソケットを読み出すと、相手側が 送信したデータを受信することができる。 通信が終了するまで writeOと readO システムコールによりデータの送受信を互いに繰り返す。 どちらかが closeOシス テムコールを実行して、 通信接続を切断すると通信が終了する。  Among the above system calls, socketO generates a socket, and the server side uses three system calls of bindO, listenO, and acceptO to put a socket in a connection waiting state. The client side creates a socket by socketO, sends a connection request to the server by connectO, and after connecting, writes data to the socket via writeO system call to each socket and sends it to the other side. Reading the socket through the readO system call allows you to receive the data sent by the other party. Repeat transmission and reception of data by writeO and readO system calls until communication is completed. Communication ends when either of them executes the closeO system call and disconnects the communication connection.
さらに好ましくは、 クライアント端末から送信され、 前記ウェブサーバーにお いて前記閲覧要求受信手段が受信するサーバー認証要求には、 当該ウェブサーバ 一が前記サーバー認証システムを備えているか否かの応答要求が含まれる。 応答 要求は、 ウェブコンテンツ閲覧要求をユーザー端末から送信し、 閲覧しようとし ているウェブサーバーが、 本発明のシステムであるウェブ 'アクセスポイント認 証 (WA P A) に対応しているかどうかを確認するための応答要求である。 More preferably, the server authentication request transmitted from the client terminal and received by the browse request receiving means at the web server is the web server. It includes a response request as to whether or not one is equipped with the server authentication system. A response request sends a web content browsing request from the user terminal, and checks whether the web server that is attempting to browse is compatible with the web 'access point certification (WA PA) which is the system of the present invention. Response request.
クライアント端末からいずれかのウェブサーバーにアクセスした際に、 クライ アント端末から送信されたサーバー認証要求に含まれる、 当該ウェブサーバーが 前記サーバー認証システムを備えている力、否かの応答要求に対し、 当該ウェブサ 一バーが前記サーバー認証システムを備えている場合にはその旨を応答し、 当該 ゥヱブサーバ一が前記サーバー認証システムを備えていない場合にはその旨を応 答しない。  When a client terminal accesses any of the web servers, the server authentication request included in the server authentication request sent from the client terminal is a response to the response request as to whether the web server has the server authentication system or not. If the web server is equipped with the server authentication system, the response is responded, and if the web server does not have the server authentication system, the response is not returned.
次にウェブサーバーは、 ウェブサーバーごと 設定され、 当該ウェブサーバー の認証を行うための認証情報を記憶する認証情報登録サーバーに対し、 クライア ント端末からの閲覧要求およびサーバー認証要求に応答して、 当該ウェブサーバ 一の認証情報を照会する認証情報照会手段を備えている。  Next, the web server is set for each web server, and the authentication information registration server storing authentication information for authenticating the web server is responded to the browse request from the client terminal and the server authentication request. A web server is provided with authentication information inquiry means for inquiring authentication information.
前記認証情報照会手段は、 認証情報を登録したデータベースサーバーである前 記認証情報登録サーバーに対し、当該ウェブサーバーの認証情報を照会する際に、 前記ユーザー識別情報を含む照会要求を送信する。 ユーザー識別情報は、 本発明 のシステムのユーザー I Dなどである。  The authentication information inquiry means transmits an inquiry request including the user identification information to the authentication information registration server, which is a database server having registered authentication information, when the authentication information of the web server is inquired. The user identification information is, for example, a user ID of the system of the present invention.
認証情報は、 好ましくは、 クライアント端末から送信されるサーバー認証要求 に含まれる、 前記サーバー認証システムのユーザー識別情報に対応した、 当該ュ 一ザ一ごとの認証情報である。  The authentication information is preferably authentication information for each user corresponding to the user identification information of the server authentication system, which is included in the server authentication request transmitted from the client terminal.
当該ユーザーごとの認証情報は、 後述するサーバー登録処理を当該ユーザーが クライアント端末において行い、 サーバーごとの公開鍵、 および好ましくはさら にユーザーごとの公開鍵を用いて、 ユーザーごとの認証情報を生成し登録したも のである。  As authentication information for each user, the user performs server registration processing described later on the client terminal, and generates authentication information for each user using the public key for each server and, preferably, the public key for each user. It is registered.
また、 ウェブサーバーと認証情報登録サーバーとの間の通信においても、 前述 したような T C P通信を利用したソケット通信により、 必要なデータの送受信を 行うようにすることができる。 '  Further, also in communication between the web server and the authentication information registration server, necessary data can be transmitted / received by socket communication using the above-mentioned TCP communication. '
次にウェブサーバーは、 認証情報登録サーバーに対する照会の結果、 当該ゥェ ブサーバ—の認証情報があった場合には当該認証情報を受信する認証情報受信手 段を備えている。 Next, the web server, as a result of the query to the authentication information registration server, The authentication information receiving means is provided to receive the authentication information when there is authentication information of the server.
認証情報照会手段は、 ウェブサーバーごとに設定されているとともに、 さらに ユーザー識別情報に対応してあらかじめ記憶されている当該ゥヱブサーバーの認 証情報を、 ユーザー識別情報に基づき照会する。  The authentication information inquiring means inquires, based on the user identification information, authentication information of the web server which is set for each web server and stored in advance corresponding to the user identification information.
照会した結果、 該当する認証情報があった場合には、 その認証情報を当該ゥェ ブサーバーが受信する。  If there is the corresponding authentication information as a result of the inquiry, the authentication information is received by the web server.
次にウェブサーバーは、 クライアント端末からのウェブコンテンツ閲覧要求お よびサーバー認証要求に対応し、 受信した認証情報を前記ゥェプコンテンッに付 加する認証情報付加手段を備えている。  Next, the web server is provided with authentication information addition means for adding the received authentication information to the password in response to the web content browsing request and the server authentication request from the client terminal.
認証情報のデータ形式は、 各種のデータ形式を採用することができ、 たとえば 電子証明書、 その他のデータ形式である。  The data format of the authentication information can adopt various data formats, for example, digital certificates, and other data formats.
好ましくは、 ウェブサーバーごとに設定されているとともに、 ユーザー識別情 報に対応してあらかじめ記憶されている前記ウェブサーバーの認証情報は、 クラ イアント端末において生成されたユーザーごとの認証情報を当該ユーザーの公開 鍵を用いて暗号ィ匕し、 次いで当該ウェブサーバーの公開鍵を用いて喑号ィ匕した後 に、 前記認証情報登録サーバーに登録するウェブサーバー登録により記憶された ものである。  Preferably, the authentication information of the web server, which is set for each web server and stored in advance corresponding to the user identification information, is the authentication information for each user generated at the client terminal. It is stored by web server registration registered in the authentication information registration server after encryption using a public key, and subsequent identification using a public key of the web server.
認証情報の付加は、 H TM Lファイル、 その他のウェブコンテンッに、 データ を付加することにより、 当該ユーザーのクライアント端末においてブラウザが解 釈し表示可能なデータファイルとするものである。 たとえば、 サーバー証明書な どの画像データ等として表示されるようにすることができる。  The authentication information is added by adding data to the HTML file and other web contents to make the data file that the browser can interpret and display on the client terminal of the user. For example, it can be displayed as image data etc. such as a server certificate.
また、ゥヱブサーバーごとの公開鍵と、さらにユーザーごとの公開鍵を用いて、 ユーザーごとの認証情報を二重に暗号化して生成した場合には、 ウェブサーバー の秘密鍵を用いて復号し、 ユーザーの秘密鍵で当該ユーザーのクライアント端末 において復号ィヒできるようにする。  In addition, if the per-user authentication information is generated by double encryption using the per-web server public key and the per-user public key, decryption is performed using the web server's secret key, Enable to enable decryption at the client terminal of the user with a secret key.
次にゥェプサーバーは、 前記認証情報の付加されたウェブコンテンツを前記ク ライアント端末に送信するウェブコンテンツ送信手段を備えている。  Next, the web server includes web content transmitting means for transmitting the web content to which the authentication information is added to the client terminal.
ウェブコンテンツ送信手段は、 前記のウェブコンテンツ閲覧要求に従い、 認証 情報の付与されたウェブコンテンツを、 通常のウェブコンテンツ閲覧時と同様に 当該ユーザ一のクライアント端末に送信する。 The web content transmission unit is configured to perform authentication according to the web content browsing request. The web content to which the information is added is transmitted to the client terminal of the user in the same manner as normal web content browsing.
また、 別の好ましい形態によれば、 認証情報の付カ卩は、 H TM Lファイル、 そ の他のウェブコンテンツにデータを付加するのではなく、 これとは別個に、 T C P通信を利用したクライアント、 サーバー間におけるソケット通信によりウェブ サーバーからクライアント端末に対し送信されるデータに認証情報が含まれるよ うにすることができる。  Also, according to another preferred embodiment, appending of authentication information is not to add data to the HTM L file and other web contents, but separately from the client using TCP communication. Data transmitted from the web server to the client terminal can be made to include authentication information by socket communication between the servers.
次に、 認証情報登録サーバーについて説明する。  Next, the authentication information registration server will be described.
認証情報登録サーバーは、 本発明のシステムを利用するように設定されたいず れかのゥェブサーバーと連携して動作する、 ゥ工ブサーバーごとの認証情報を記 憶した認証情報登録サーバーである。 認証情報登録サーバーは、 本発明のシステ ムを利用するゥヱブサーバーごとに設けられたデ一タベースサーバーであること が好ましい。  The authentication information registration server is an authentication information registration server that stores authentication information for each of the processing servers, which operates in cooperation with one of the web servers set to use the system of the present invention. Preferably, the authentication information registration server is a data base server provided for each web server using the system of the present invention.
前記認証情報登録サーバーは、 当該ゥェブサーバーの認証を行うための認証情 報と、 クライアント端末において前記サーバー認、証システムを利用するユーザー ごとのユーザー識別情報とを少なくとも記憶する。  The authentication information registration server stores at least authentication information for authenticating the web server, and user identification information for each user who uses the server authentication / certification system at the client terminal.
次に、 クライアント端末について説明する。  Next, the client terminal will be described.
クライアント端末には、 ウェブコンテンツ閲覧要求とともにサーバー認証要求 を前記ゥェブサーバーに送信する認証要求送信手段を備えている。 ' 認証要求は、 前述したようにサーバーの正当性を証明することの要求であり、 さらに本発明のシステムであるウェブ'アクセスポイント認、証 (WA P A) に対 応しているかどうかを確認するための応答要求が含まれる。  The client terminal is provided with an authentication request transmission means for transmitting a server authentication request to the web server together with a web content browsing request. The authentication request is a request to prove the legitimacy of the server as described above, and further checks whether the system of the present invention is compatible with the Web access point certification and certification (WA PA). Includes a request for a response.
これらの要求を送信するための認証要求送信機能は、 たとえば通常のブラゥザ に機能を付加するようにしてもよレ、。 また本発明のシステム専用のブラウザとし てもよい。  The authentication request transmission function for transmitting these requests may be added to, for example, a normal browser. It may be a browser dedicated to the system of the present invention.
また、 クライアント端末は、 前記ウェブサーバーごとの公開鍵を記憶するサー バー公開鍵記憶手段を備えている。 サーバー公開鍵記憶手段は、 ユーザーがクラ イアント端末において当該ゥェブサーバーごとの公開鍵を記憶させるローカルデ ータベースである。 公開鍵サーバーからサーバー登録をするウェブサーバーに対 応する公開鍵をダゥンロードして、 サーバーごとの認証情報を前記の認証情報登 録サーバーに登録することにより、 サーバー登録処理を行う際に、 ローカルデー タベースであるサーバー公開鍵記憶手段に公開鍵を記憶する。 Also, the client terminal is provided with server public key storage means for storing the public key for each of the web servers. The server public key storage means is a local database that allows the user to store the public key for each web server at the client terminal. Web server registration from a public key server By downloading the corresponding public key and registering the authentication information for each server in the authentication information registration server, the server public key storage means, which is a local database, performs the public key when server registration processing is performed. Remember.
クライアント端末に、 ウェブコンテンツに付加された前記認証情報を解読する ための当該ゥヱブサーバーの公開鍵が記憶されている場合には、 ゥェブサーバー から受信したウェブコンテンツに付加された認証情報を、 当該クライアント端末 を利用するユーザーの秘密鍵を用いて解読し、当該認証情報の正当性を判定する。 当該認証情報が正当でないと判定された場合には、 前記クライアント端末にお いて警告が表示される等の警告を出力する。  If the client terminal stores the public key of the web server for decrypting the authentication information attached to the web content, the client terminal receives the authentication information attached to the web content received from the web server. It decrypts using the secret key of the user to use, and determines the legitimacy of the authentication information. If it is determined that the authentication information is not valid, a warning such as a warning is displayed on the client terminal is output.
また、 クライアント端末に、 ウェブコンテンッに付カ卩された前記認、証情報を解 読するための当該ゥェブサーバーの公開鍵が記憶されていなレ、場合において、 前 記ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応 答するとともに、 ウェブサーバー登録をするか否かを当該クライアント端末を利 用するユーザーに対し選択させる。  In addition, the client terminal does not store the public key of the web server for deciphering the authentication and certification information attached to the web content, in which case the web server is the server authentication system. If the client is used, the user is made to select whether or not to register as a web server, as well as to that effect.
以下、 本発明の基本的な処理の流れについて説明する。 なお、 ここに示す処理 の流れは一例であって、 これに限定されるものではなく、 様々な応用や変形が可 能である。  The basic process flow of the present invention will be described below. The flow of the process shown here is an example, and is not limited to this, and various applications and modifications are possible.
以下、 状況に応じてウェブサーバを認証する上で、 WA P A技術が実行する一 般的なトランザクションについて説明する。  The following is a description of the general transactions that the WAPA technology performs to authenticate the web server as appropriate.
第 6図は、 本発明のシステムを利用したサーバー認証のパターンの代表的な一 例を示す図である。  FIG. 6 is a diagram showing a representative example of a server authentication pattern using the system of the present invention.
第 7図から第 2 4図は、 本発明の基本的な処理の流れの一例を示すフローチヤ 一卜である。  FIGS. 7 to 24 are flowcharts showing an example of the basic process flow of the present invention.
初めに、 第 7図および第 8図を参照し、 本発明のシステムであるウェブ 'ァク セスポイント認証 (WA P A) を備えた本物のサーバーに対し、 当該サーバー登 録をしていない W A P A対応クライアント端末からアクセスした場合の処理につ いて説明する。  First, referring to FIG. 7 and FIG. 8, for the real server equipped with the Web 'access point authentication (WA PA) of the present invention system, WAPA correspondence not registered in the server is performed. The process when accessing from the client terminal is explained.
これは、 ウェブ 'アクセスポイント認証 (WA P A) 対応クライアントにおい て当該サーバーが登録されていないため、 未知のサイトとみなされるウェブ 'ァ クセスポイント認証 (WA P A) 対応ウェブサーバへのアクセスを試みた場合の 処理である。 This is because a web 'access point certification (WA PA) -enabled client does not have this server registered, so it is considered as an unknown site. This is the process when an access point authentication (WA PA) compliant web server is attempted.
ウェブ.アクセスポイント認証 (WA P A) クライアント端末においては、 当 該ゥェブサーバーを登録する力否かのォプションをユーザーに与えることが好ま しい。 ユーザーがこれを承諾すると、 クライアント端末において、 後述するゥェ ブ .アクセスポイント認証 (WA P A) 対応ゥヱプサーバーの登録処理を行う。 サーバー登録処理が完了すると、 ウェブ'アクセスポイント認証 (WA P A) 対 応クライアントは、 これ以降のトランザクションにおいて、 ウェブ 'アクセスポ イント認証 (W A P A) 対応ゥェブサーバーの認証を行う可能になる。  For Web access point authentication (WAP A) client terminals, it is preferable to give the user an option as to whether or not to register the web server. When the user approves this, the client terminal performs registration processing of a queue access point authentication (WAP A) -compatible buffer server described later. When the server registration process is completed, the Web 'Access Point Authentication (WAP A) compliant client will be able to authenticate the Web' Access Point Certification (WA P A) compliant Web server in the subsequent transactions.
第 7図を参照すると、 クライアント端末においてサーバー公開鍵記憶手段 (口 一カルデータベース) に問い合わせ、 当該ウェブサーバーが未登録であることを 知る。  Referring to FIG. 7, the client terminal queries the server public key storage means (oral database) to find out that the web server is unregistered.
クライアント端末から、 閲覧要求である H T T P G E T要求をウェブサーバ 一に送信する。 この要求には、 ウェブサーバがサーバー認証システムを備えてい るか否かの応答要求が含まれる。  The client terminal sends a request for browsing, which is a request for browsing, to the web server. This request includes a response request whether the web server has a server authentication system.
ウェブサーバーにおいては、 サーバー認証システム対応サーバーであるため、 ウェブサーバーがサーバー認証システムに対応していることを示す応答メッセー ジを要求された H TMLファイルに組み込む。  In the case of the web server, since it is a server authentication system compatible server, a response message indicating that the web server is compatible with the server authentication system is included in the requested HTML file.
次いで、 ゥェブサーバーが H TM Lぺージをサーバー認証システム対応クライ アント端末に送信する。  Next, the web server sends the HTML page to the client terminal compatible with the server authentication system.
クライアント端末においては、 ブラウザを介しユーザーに対して、 サーバー認 証システムに対応したウェブサーバを登録するか否かのオプションを与える。 なお、 正当性のあるサーバーであるために警告は生成されない。  At the client terminal, the user is given the option of registering a web server compatible with the server authentication system via the browser. Note that no alert is generated because it is a valid server.
第 8図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信に おいて、 ソケットを利用した T C P通信によりサーバー認証に必要なデータ送受 信を行う一例を示すフローチヤ一トである。  FIG. 8 is a flow chart showing an example in which data necessary for server authentication is transmitted / received by TCP communication using a socket in communication between a client and a server as described above.
次に、 第 9図および第 1 0図を参照し、 本発明のシステムであるウェブ ·ァク セスポイント認証 (WA P A) を備えた本物のサーバーに対し、 当該サーバー登 録済の WA P A対応クライアント端末からアクセスした場合の処理について説明 する。 Next, referring to FIGS. 9 and 10, for the real server provided with the web access point certification (WA PA) of the present invention, the server corresponding to the registered WA PA is supported. Explanation of processing when accessed from client terminal Do.
これは、 ウェブ 'アクセスポイント認証 (WA P A) 対応クライアントが、 既 にクライアントに登録されているウェブ 'アクセスポイント認証 (WA P A) 対 応ゥェブサーバーへのァクセスを試みた場合の処理である。  This is the process when a Web 'Access Point Authentication (WAP A) compatible client attempts to access a Web' Access Point Authentication (WAP A) Web server that is already registered with the client.
クライアントは、 本発明のシステムのユーザ I Dをサーバに提供して、 認証ト ランザクシヨンを開始する。 サーバーにおいては、 適切な認、証情報をユーザー I The client provides the server with the user ID of the system of the invention to initiate an authentication transaction. At the server, the user
Dに基づき抽出し、 クライアント端末に戻す。 クライアント端末においては、 当 該ユーザーの秘密鍵を使用して、 認証情報パッケージを解読し、 これが本物のサ ーバから送信されたものであることを証明する。 Extract based on D and return to the client terminal. The client terminal decrypts the authentication information package using the user's private key to prove that it is sent from a real server.
第 9図を参照すると、 クライアント端末において、 ローカルデータベース内で 適切なサーバー認証システムユーザー I Dを探す。  Referring to FIG. 9, the client terminal searches for the appropriate server authentication system user ID in the local database.
クライアント端末から閲覧要求である H T T P G E T要求をサーバー認、証シ ステム対応ウェブサーバーに送信する。 この要求にはクライアント端末における 当該ユーザーのサーバー認証システムユーザー I Dがさらに含まれている。 サーバー認証要求を含む閲覧要求を受信すると、 本発明のシステムに対応した ウェブサーバーが、 クライアントのサーバー認証システムユーザー I Dを確認す る。  The client terminal sends an HTML request, which is a browsing request, to the server authentication / certification compatible web server. This request further includes the server authentication system user ID of the user at the client terminal. Upon receiving the browse request including the server authentication request, the web server compatible with the system of the present invention verifies the server authentication system user ID of the client.
サーバーが、 クライアントユーザーのユーザー I Dを、 認証情報登録サーバー に照会する。 認証情報登録サーバーにおいては、 クライアントのユーザー I Dに 基づいて、 適切な認証情報を検索する。 次いで認証情報登録サーバーが、 抽出し た認証情報をサーバー認証システム対応ウェブサーバーに送信する。  The server queries the credential registration server for the user ID of the client user. The authentication information registration server searches for appropriate authentication information based on the user ID of the client. Next, the authentication information registration server sends the extracted authentication information to the server authentication system compatible web server.
サーバー認、証システムに対応した当該ゥェブサーバーにおいては、 要求された In the web server corresponding to the server authentication and certification system,
H TMLページ内に認証情報を組み込む。 当該ウェブサーバーから、 HTMLぺ 一ジをサーバー認証システム対応クライアントに送信する。 H Include the authentication information in the TML page. From the web server, send an HTML page to the server authentication system compatible client.
次に、 クライアント端末においては、 サーバー認証システムに対応した当該ゥ エブサーバーの正当性を判定するために、 クライアント端末においてその秘密鍵 を使用して、 認証情報を解読し、 当該ウェブサーバーの正当性を証明する。 この 処理は、 解読した情報をそのローカルコピーと比較し、 一致があるか否かを確認 することで行う。 解読された情報が一致することにより、 サーバー認証システム対応サーバがク ライアントによってその正当性を認証され、 関連する情報がブラウザに表示され る。 Next, in the client terminal, in order to determine the legitimacy of the web server corresponding to the server authentication system, the client terminal uses the secret key to decrypt the authentication information, and the legitimacy of the web server. Prove. This process is performed by comparing the decrypted information with its local copy to see if there is a match. If the decrypted information matches, the server authentication system compliant server is authenticated by the client and its related information is displayed on the browser.
第 10図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した TCP通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチヤ一トである。  FIG. 10 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
次に、 第 1 1図および第 12図を参照し、 本発明のシステムであるウェブ ·ァ クセスポイント認証 (WAPA) を備えていない本物のサーバーに対し、 当該サ 一バー登録をしていないウェブ 'アクセスポイント認証 (WAPA) 対応クライ アント端末からアクセスした場合の処理について説明する。  Next, referring to FIG. 11 and FIG. 12, the web which has not been registered with the real server which does not have the web access point authentication (WAPA) which is the system of the present invention. 'We will explain the processing when accessing from Access Point Authentication (WAPA) compatible client terminal.
これは、 ウェブ ·アクセスポイント認証 (WAPA) 対応クライアントが、 ゥ エブ.アクセスポイント認証 (WAPA) を使用していない本物のウェブサーバ 一へのァクセスを試みた場合の処理である。  This is the process when a Web Access Point Authentication (WAPA) -enabled client attempts to access a real Web server that does not use Web Access Point Authentication (WAPA).
当該ウェブサーバーがウェブ'アクセスポイント認証 (WAPA) WAP A対 応か否かを判定するために、 ウェブ'アクセスポイント認証 (WAPA) 対応ク ライアント端末から、 ウェブ 'アクセスポイント認証 (WAPA) 対応の応答要 求を当該ウェブサーバーへ送信する。  In order to determine whether the web server is compatible with Web 'Access Point Authentication (WAPA) WAP A, Web' Access Point Authentication (WAPA) Supported client terminal, Web 'Access Point Authentication (WAPA) compliant response Send a request to the web server.
当該ウェブサーバーはウェブ ·アクセスポイント認証 (WAPA) を使用レて いないために認証不可能であるため、 クライアント端末は何の認証も実行せず、 警告も生成も行なわない。  Since the Web server can not authenticate because it does not use Web Access Point Authentication (WAPA), the client terminal does not perform any authentication, and does not issue an alert or generate any warning.
第 1 1図を参照すると、 クライアント端末においてローカルデータベースに問 い合わせ、 ウェブサーバーが未登録であることを知る。  Referring to FIG. 11, the client terminal queries the local database to find out that the web server has not been registered.
クライアント端末から閲覧要求である HTTP GET要求を当該ウェブサー バーに送信する。 この要求にはさらに、 当該ウェブサーバーがサーバー認証シス テムを備えているか否かのサーバー認証システム対応応答要求が含まれている。 ゥェブサーバーはサーバー認証システムを備えていないため、 このサーバー認 証システム対応要求を単純に無視する。  Send an HTTP GET request, which is a browsing request, from the client terminal to the relevant web server. This request further includes a server authentication system response request whether the web server has a server authentication system. Since the web server does not have a server authentication system, it simply ignores this server authentication system compliance request.
当該ウェブサーバーが、 サーバー認証システム対応要求に応答しないまま、 要 求された H TMLフアイルを戻す。 署名パッケージはないために当該ウェブサーバ一の認証は不可能であり、 当該 ウェブサーバーはクライアントに未登録のため、 警告は生成されない。 The web server returns the requested HTML file without responding to the server authentication system support request. Since there is no signature package, authentication of the web server is not possible, and no warning is generated because the web server is not registered with the client.
第 1 2図は、 上記の処理を、 前述したように、 クライアント、 サーバ一間通信 において、 ソケットを利用した TCP通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチヤ一トである。  FIG. 12 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.
次に、 第 13図および第 14図を参照し、 本発明のシステムであるウェブ 'ァ クセスポイント認証 (WAPA) を備えていない本物のサーバーに対し、 当該サ 一バー登録済の WA P A対応クライアント端末からアクセスした場合の処理につ いて説明する。  Next, referring to FIGS. 13 and 14, for a real server not equipped with Web 'Access Point Authentication (WAPA), which is the system of the present invention, the server registered with the WA PA corresponding client is registered. We will explain the processing when accessing from the terminal.
これは、 ウェブ 'アクセスポイント認証 (WAPA) 対応クライアントが、 ゥ エブ .アクセスポイント認証 (WAPA) を備えていない本物のサーバへのァク セスを試みるというシナリオである。  This is a scenario where a Web 'Access Point Authentication (WAPA) -enabled client attempts to access a real server that does not have Web Access Point Authentication (WAPA).
これは、 本物のサーバがウェブ'アクセスポイント認証 (WAPA) 無効とな つた際に、 未知という理由から起こる可能性がある。  This can happen due to unknown reasons when a real server becomes web 'access point authentication (WAPA) invalid.
たとえサーバー情報がウェブ'アクセスポイント認証 (WAPA) クライアン トに登録されていても、 サーバーはウェブ'アクセスポイント認証 (WAPA) 関連の情報をクライアントに全く戻すことができないため、このようなケースは、 偽装されたウェブサーバと類似の処理を行うべきである。 ウェブ'アクセスボイ ント認証 (WAPA) クライアント端末においては、 詐欺警告を表示する必要が ある。  Such a case is because even though the server information is registered with the Web 'Access Point Authentication (WAPA) client, the server can not return any Web' Access Point Authentication (WAPA) related information to the client. It should do something similar to a disguised web server. Fraud alerts need to be displayed on Web 'Access Point Authentication (WAPA) client terminals.
第 13図を参照すると、 クライアント端末において、 訪問するウェブサイトに 基づいて、 ローカルデータベース内で適切なサーバー認証システムのユーザー I Dを探す。  Referring to FIG. 13, at the client terminal, based on the website visited, the user ID of the appropriate server authentication system is searched in the local database.
クライアントが閲覧要求である HTTP GET要求を当該ウェブサーバに送 信する。 この要求にはさらに、 クライアントのサーバー認証システムのユーザー I Dが含まれている。  The client sends an HTTP GET request, which is a browsing request, to the web server. This request also includes the user ID of the client's server authentication system.
ゥェブサーバーは本発明のサーバー認証システムを備えていないため、 クライ アントのサーバー認証システムのユーザ一 I Dを単純に無視する。  Since the web server does not have the server authentication system of the present invention, the user ID of the client server authentication system is simply ignored.
当該ウェブサーバーが、 何のサーバー認証システム対応の応答もせずに、 要求 された H T M Lぺージを送信する。 The web server makes a request without responding to any server authentication system Send the HTML page
クライアント端末においては、 登録されたウェブサーバーは適切なサーバー認 証システム認証情報を送り戻せなかったため、 クライアン卜が詐欺警告を表示す る。  On the client terminal, the client displays a fraud alert because the registered web server could not send back the appropriate server authentication system authentication information.
第 14図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した TCP通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチャートである。 .  FIG. 14 is a flowchart showing an example of data transmission / reception required for server authentication by TCP communication using a socket in communication between a client and a server as described above. .
次に、 第 15図および第 16図を参照し、 本発明のシステムであるウェブ'ァ クセスポイント認証 (WAPA) を備えた偽装サーバーに対し、 当該サーバー登 録がされていないウェブ 'アクセスポイント認証 (WAPA) 対応クライアント 端末からアクセスした場合の処理について説明する。  Next, referring to FIGS. 15 and 16, the web 'access point authentication not registered in the server of the present invention is performed on the impersonation server equipped with the web' access point authentication (WAPA). (WAPA) The following describes the processing when a client terminal accesses it.
これは、 ウェブ 'アクセスポイント認証 (WAPA) 対応クライアントが、 当 該サーバーの登録をしていないため、 その真偽に関わらず未知のサイ トとみなさ れたウェブ 'アクセスポイント認証 (WAPA) 対応の偽装ウェブサーバへのァ クセスを試みた場合の処理シナリオである。  This is because the Web 'Access Point Authentication (WAPA) compliant client has not registered the server, so the Web' Access Point Certification (WAPA) compliant site is regarded as an unknown site regardless of its authenticity. This is a processing scenario when an attempt is made to access a fake web server.
ウェブ.アクセスポイント認証 (WAPA) 対応クライアントは、 当該ウェブ サーバーを登録するか否かのォプショシをユーザーに与える。 ユーザーがこれを 承諾すると、 クライアント端末においてはウェブ'アクセスポイント認証 (WA PA)対応ウェブサーバーの登録処理を行う。 ゥヱブ 'アクセスポイント認証(W APA) クライアントへのサーバー情報の登録に関する詳細なトランザクション については後述する。登録手順が完了すると、 ウェブ'アクセスポイント認証(W APA) 対応クライアント端末においては、 これ以降のトランザクションにおい て、 ウェブ 'アクセスポイント認証 (W A PA) 対応ゥェブサーバーの認証を行 うことが可能になる。  A Web. Access Point Authentication (WAPA) -enabled client gives the user the option of registering the web server. When the user approves this, the client terminal performs registration processing of the Web 'access point authentication (WA PA) -enabled web server. The detailed transaction regarding registration of server information to the 'AP' access point authentication (W APA) client will be described later. When the registration procedure is completed, the Web 'Access Point Authentication (W APA) compliant client terminal will be able to authenticate the Web' Access Point Certification (WA A PA) compliant Web server in the subsequent transactions.
第 15図を参照すると、 クライアント端末においてローカルデータベースに問 レ、合わせ、 当該ゥヱブサーバーが未登録であることを知る。  Referring to FIG. 15, the client terminal queries the local database, and finds that the corresponding web server is unregistered.
クライアント端末から閲覧要求である HTTP GET要求を当該ウェブサー バーに送信する。 この要求にはさらに、 当該ウェブサーバーが本発明のサーバー 認、証システムを備えているか否かを調べるためのサーバー認証システム対応応答 要求が含まれている。 Send an HTTP GET request, which is a browsing request, from the client terminal to the relevant web server. In response to this request, the server authentication system corresponding response for checking whether the web server has the server authentication / certification system of the present invention or not. The request is included.
ウェブサーバーが偽のサーバー認、証システム肯定応答メッセージを構成し、 こ れを要求された H TMLファイル内に組み込む。 次いでウェブサーバーから、 H TM Lぺージをサーバー認証システム対応クライアントに送信する。  The web server constructs a fake server acknowledgment, certificate system acknowledgment message and incorporates it into the requested HTML file. Then, the Web server sends an HTML page to the server authentication system compatible client.
クライアント端末においては、 ウェブサーバーを登録するか否かのォプション をユーザに与える。  At the client terminal, the user is given the option of registering the web server.
当該ゥェブサーバーの認証は不可能である。 このゥェブサーバーはクライアン トに未登録のため、 警告は生成されない。  Authentication of the web server is impossible. Since this web server is not registered with the client, no alert is generated.
第 1 6図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した T C P通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチヤ一トである。  FIG. 16 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
次に、 第 1 7図および第 1 8図を参照し、 本発明のシステムであるウェブ'ァ クセスポイント認証 (WA P A) を備えた偽装サーバーに対し、 当該サーバー登 録がされていなレヽ WA P A対応クライアント端末からアクセスした場合の処理に ついて説明する。  Next, referring to FIG. 17 and FIG. 18, for the spoofed server equipped with the web access point authentication (WA PA) which is the system of the present invention, the server WA has not been registered with the server. The process in the case of access from a PA compatible client terminal will be described.
これは、 ウェブ .アクセスポイント認証 (WA P A) 対応クライアント力 ゥ エブ .アクセスポイント認証 (WA P A) 対応サーバを装った偽装ウェブサーバ 一へのアクセスを試みた場合の処理である。  This is the process when an attempt is made to access a spoofed web server impersonating a server that supports Web access point authentication (WAP A) -enabled client power and E. access point authentication (WAP A).
偽装されたウェブサーバーは、 ユーザーごとの適切な認証情報パッケージを備 えていないため、 クライアント端末に対してエラーを戻すか、 または不良認証パ ッケージを戻そうとする可能性がある。 いずれの場合であっても、 クライアント 端末においては詐欺警告を表示する。  Because the spoofed web server does not have the proper authentication information package for each user, it may return an error to the client terminal or may try to return a bad authentication package. In either case, the client terminal displays a fraud alert.
第 1 7図を参照すると、 クライアント端末において、 ローカルデータベース内 で適切なサーバー認、証システムユーザ I Dを探す。 +  Referring to FIG. 17, the client terminal searches for the appropriate server authentication and certification system user ID in the local database. +
クライアント端末から閲覧要求である H T T P G E T要求をサーバー認証シ ステム対応の当該ウェブサーバーに送信する。 この要求にはさらに、 クライアン トのサーバー認証システムのユーザー I Dが含まれている。  Send a request for browsing, which is a browsing request, from the client terminal to the corresponding web server compatible with the server authentication system. This request also includes the user ID of the client's server authentication system.
本発明のサーバー認証システム対応の偽装サーバーが、 クライアントのユーザ 一 I Dを確認して、 偽の認証パッケージを構成し、 この偽の認証情報を要求され た H T M Lぺージ内に組み込む。 The impersonation server corresponding to the server authentication system of the present invention confirms the user ID of the client, constructs a false authentication package, and requests the false authentication information. In the HTML page.
サーバー認証システムに対応した偽装サーバーにおいては、 HTMLページを サーバー認証システム対応クライアントに送信する。  In the impersonation server corresponding to the server authentication system, HTML page is sent to the server authentication system corresponding client.
クライアント端末にぉレ、ては当該ゥェブコンテンツを受信して、 サーバー認証 システム対応の当該ウェブサーバーの正当性を判定するために、 クライアントの 秘密鍵を使用して認証情報を解読し、ウェブサイトの正当性を証明する。これは、 解読した情報をそのローカルコピーと比較して、 一致があるか否かを確認するこ とで行う。  The client terminal receives the web content and decrypts the authentication information using the client's secret key to determine the legitimacy of the web server compatible with the server authentication system. Prove the legitimacy of the site. This is done by comparing the decrypted information with its local copy to see if there is a match.
解読された情報は一致しないため、 クライアント端末においては、 当該ウェブ サーバーは偽装されたウェブサイ トであると分類する。 クライアント端末におい てはユーザーに詐欺警告を発し、 関連する情報をブラゥザに表示する。  Since the decrypted information does not match, at the client terminal, the web server is classified as a disguised website. The client terminal issues a fraud alert to the user and displays relevant information in the browser.
第 18図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した TCP通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチャートである。  FIG. 18 is a flowchart showing an example of data transmission / reception required for server authentication by TCP communication using a socket in communication between a client and a server as described above.
次に、 第 1 9図および第 20図を参照し、 本発明のシステムであるウェブ 'ァ クセスポイント認証 (WAPA) を備えていない偽装サーバーに対し、 当該サー バー登録がされていないウェブ'アクセスポイント認証 (WAPA) 対応クライ ァント端末からアクセスした場合の処理について説明する。  Next, with reference to FIGS. 19 and 20, the system of the present invention, web 'access not certified as a server, is not registered to the disguised server not equipped with web access point authentication (WAPA). Describes the process when accessing from a point authentication (WAPA) compatible client terminal.
これは、 ウェブ 'アクセスポイント認証 (WAPA) 対応クライアントが、 ゥ エブ.アクセスポイント認証 (WAPA) を使用していない偽装ウェブサーバー へのアクセスを試みた場合の処理である。  This is the process when a Web 'Access Point Authentication (WAPA) -enabled client attempts to access a fake Web server that does not use Web.Access Point Authentication (WAPA).
当該ウェブサーバーがウェブ 'アクセスポイント認証 (WAPA) 対応である か否かを判定するために、 ウェブ'アクセスポイント認証 (WAPA) 対応クラ イアントから、 ウェブ'アクセスポイント認、証 (WAPA) に対応しているか否 かの応答要求を当該ウェブサーバ一^ "送信する。  In order to determine whether the web server is compatible with Web 'Access Point Authentication (WAPA), Web' Access Point Authentication (WAPA) compatible client corresponds to Web 'Access Point Acknowledgment, Certificate (WAPA). The Web server sends a response request whether or not it is "^".
当該ウェブサーバーはゥヱブ 'アクセスポイント認証 (W A PA) に対応して いないために認証不可能である。 したがって、 クライアント端末においては何の 認証も実行せず、 警告の生成も行わない。  The web server can not be authenticated because it does not support web access point authentication (WAPA). Therefore, the client terminal does not perform any authentication and does not generate an alert.
第 19図を参照すると、 クライアント端末においてローカルデータベースに問 い合わせ、 当該ウェブサーバーが未登録であることを知る。 Referring to FIG. 19, the client terminal queries the local database. In any case, know that the web server is unregistered.
クライアント端末から閲覧要求であるが HTTP GET要求を当該ウェブサ 一バーに送信する。 この要求にはさらに、 当該ウェブサーバーが本発明のサーバ 一認証システムを備えている力否かを調べるためのサーバー認証システム対応の 応答要求が含まれる。  A browsing request is sent from the client terminal, but an HTTP GET request is sent to the relevant web server. This request further includes a response request corresponding to a server authentication system for checking whether the web server is equipped with the server-one authentication system of the present invention.
偽装されたゥヱブサーバーにおレ、ては、 本発明のサーバー認証システムを備え ていないため、 サーバー認証システム対応の応答要求を単純に無視する。  Since the spoofed web server does not have the server authentication system of the present invention, it simply ignores the response request corresponding to the server authentication system.
偽装されたウェブサーバーが、 サーバー認証システム対応応答要求に応答する ことはなく、 要求された HTMLファイルを戻す。  The spoofed web server does not respond to the server authentication system response request and returns the requested HTML file.
認証情報パッケージはないため、 サーバーの認証は不可能である。 当該ウェブ サーバーはクライアントに未登録であり、 当該ウェブサーバーはサーバー認証シ ステムを備えていないため、 警告は生成されない。  Because there is no credential package, server authentication is not possible. The alert is not generated because the web server is not registered with the client and the web server does not have a server authentication system.
第 20図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した TCP通信によりサーバー認証に必要なデータ送 受信を行う一例を示すフローチヤ一トである。  FIG. 20 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server, as described above.
次に、 第 21図および第 22図を参照し、 本発明のシステムであるウェブ ·ァ クセスポイント認証 (WAPA) を備えていない偽装サーバーに対し、 当該サー バー登録済のウェブ 'アクセスポイント認証 (WA P A) 対応クライアント端末 からアクセスした場合の処理にっレ、て説明する。  Next, referring to FIG. 21 and FIG. 22, with respect to the impersonation server not equipped with the web access point authentication (WAPA) which is the system of the present invention, the web 'access point authentication registered in the server is WA PA) The process when accessing from a compatible client terminal is explained.
これは、 ウェブ 'アクセスポイント認証 (WAPA) 対応クライアントが、 ゥ エブ .アクセスポイント認証 (WAPA) を備えていない偽装サーバーへのァク セスを試みた場合の処理である。  This is the process when a Web 'Access Point Authentication (WAPA) -enabled client attempts to access a fake server that does not have Web Access Point Authentication (WAPA).
これは、 本物のウェブサーバーがウェブ'アクセスポイント認証 (WAPA) 無効となった際に、 未知という理由から起こる可能性がある。  This can happen due to unknown reasons when a real web server is disabled for web 'access point authentication (WAPA).
たとえサーバー情報がウェブ'アクセスポイント認証 (WA PA) クライアン トに登録されていても、 当該サーバーはウェブ 'アクセスポイント認証 (WAP A) 関連の情報をクライアントにまったく戻すことができないため、 このような ケースは、 偽装されたウェブサーバーと類似の処理を行うべきである。 ウェブ' アクセスポイント認証 (WA PA) クライアント端末にぉレ、ては詐欺警告を表示 する必要がある。 Even though the server information is registered with the Web 'Access Point Authentication (WA PA) client, such a server can not return any Web' Access Point Authentication (WAP A) related information to the client. The case should do something similar to a fake web server. Web's access point certification (WA PA) client terminal, display fraud alert There is a need to.
第 21図を参照すると、 クライアント端末においては、 ローカルデータベース 内で適切なサーバー認証システムのユーザー I Dを探す。  Referring to FIG. 21, at the client terminal, the user ID of the appropriate server authentication system is searched in the local database.
クライアント端末から閲覧要求である HTTP GET要求を当該ウェブサー バーに送信する。 この要求にはさらに、 クライアントのサーバー認証システムの ユーザー I Dが含まれる。  Send an HTTP GET request, which is a browsing request, from the client terminal to the relevant web server. This request also includes the user ID of the client's server authentication system.
偽装されたゥェブサーバーは、 本発明のサーバー認証システムを備えていない ため、 クライアントのユーザー I Dを単純に無視する。  The spoofed web server simply ignores the client's user ID since it does not have the server authentication system of the present invention.
偽装されたゥェブサーバーは、 本発明のサーバー認証システムを備えていない ため、 単純に要求された HTMLぺージを送信する。  Since the spoofed web server does not have the server authentication system of the present invention, it simply sends the requested HTML page.
登録されたゥェブサーバーは適切な認証情報を送り戻すことができないため、 クライアントが詐欺警告を表示する。  The client displays a fraud alert because the registered web server can not send back the appropriate authentication information.
第 22図は、 上記の処理を、 前述したように、 クライアント、 サーバー間通信 において、 ソケットを利用した TCP通信によりサーバー認、証に必要なデータ送 受信を行う一例を示すフローチヤ一トである。  FIG. 22 is a flow chart showing an example in which the above processing is performed to transmit and receive data necessary for server authentication and authentication by TCP communication using a socket in communication between a client and a server, as described above.
次に、 第 23図を参照し、 本発明のシステムであるウェブ'アクセスポイント 認証 (WAPA) を備えた本物のサーバーについえ、 ウェブ'アクセスポイント 認証 (WAPA) 対応クライアント端末からブラウザへの登録を行うサーバー登 録処理について説明する。  Next, referring to FIG. 23, according to the system of the present invention, the real server with the Web 'Access Point Authentication (WAPA) is registered with the Web' Access Point Authentication (WAPA) compatible client terminal to the browser. Describe the server registration process to be performed.
ウェブ.アクセスポイント認証 (WAPA) 認証は、 公開キー暗号ィ匕アルゴリ ズムを用いて実行される。  Web Access Point Authentication (WAPA) authentication is performed using a public key encryption algorithm.
公開キー暗号ィヒの実行には、 送信側と受信側の間で公開鍵および秘密鍵を管理 する必要がある。 この認証の一部分として、 ウェブ'アクセスポイント認証 (W APA) 対応ブラウザは、 ウェブ 'アクセスポイント認証 (WAPA) 対応ゥェ ブサ—バー用の公開鍵のリストをローカルデータベースに維持しなければならな レ、。  The implementation of public key encryption requires management of public and private keys between the sender and the receiver. As part of this authentication, a Web 'Access Point Authentication (W APA) enabled browser must maintain a list of public keys for Web' Access Point Authentication (WAPA) enabled web servers in a local database. ,.
この手順は、 クライアントに、 特定のウェブ 'アクセスポイント認証 (WAP A) 対応ウェブサーバーの公開鍵を、 ウェブ'アクセスポイント認証 (WAPA) 対応ゥヱブブラウザがデフォルトで認証を行うことができる専用のウェブ'ァク セスポイント認証 (WA P A) 公開キーサーバからダウンロードさせることによ り安全に行うことができる。 This procedure is designed to allow clients to use the web's access point authentication (WAP A) enabled web server's public key and a web's access point authentication (WAPA) enabled web browser with a dedicated web server that can authenticate by default. The It can be done securely by downloading it from a Cesspoint certification (WA PA) public key server.
第 2 3図を参照すると、 サーバー認証システム対応のウェブサーバーをクライ アント端末に登録する。  Referring to FIG. 23, a web server supporting server authentication system is registered in the client terminal.
クライアント端末から、 サーバー認証システム対応ウェブサーバーの署名付き 公開鍵を公開鍵サーバーに要求する。  The client terminal requests a signed public key of the server authentication system compatible web server from the public key server.
公開鍵サーバーが、 サーバー認証システム対応ウェブサーバーの適切な署名付 き公開鍵を検索する。 次いで公開鍵サーバーが、 サーバー認証システム対応ゥェ ブサーバーの署名付き公開鍵をクライアント端末に送信する。  The public key server searches for the appropriate signed public key of the server authentication system compatible web server. The public key server then sends the signed server public key of the server authentication system Web server to the client terminal.
クライアント端末においては、 当該ユーザーの認証情報を生成し、 この情報を クライアントの公開鍵を使用して喑号ィ匕し、 その後、 この暗号ィ匕した情報を、 サ 一バー認証システム対応ウェブサーバーの公開鍵を使用して再び喑号ィヒする。 クライアント端末から、 この二重に暗号化した認証情報をサーバー認証システ ム対応の当該ウェブサーバーに送信する。  At the client terminal, the authentication information of the user is generated, and this information is encrypted using the client's public key, and then this encrypted information is stored in the server server supporting the server authentication system. Use your public key to sign again. The client terminal sends this doubly encrypted authentication information to the corresponding web server compatible with the server authentication system.
当該ウェブサーバーにおいては、 クライアント端末から送信された当該ユーザ 一の認証情報を受信して、 認証上等ろくろくサーバーであるデータベースサーバ 一に送信し、 ユーザー I Dに対応付けて記憶する。  The web server receives the authentication information of the user transmitted from the client terminal, transmits it to the database server which is a server for uniform authentication, and stores it in association with the user ID.
次に、 第 2 4図を参照し、 ウェブ'アクセスポイント認証 (WA P A) 対応ゥ ェブサーバからの公開鍵の登録処理について説明する。  Next, with reference to FIG. 24, a process of registering a public key from a Web 'access point authentication (WAP A) compatible web server will be described.
ウェブ. アクセスポイント認証 (WA P A) 認証は、 公開鍵暗号ィヒアルゴリズ ムを用いて実行される。  Web. Access Point Authentication (WAP A) authentication is performed using public key cryptography algorithms.
ウェブ .アクセスポイント認証 (W A P A) 対応ゥヱブサーバの公開鍵を確実 に安全な形で各ウェブ'アクセスポイント認証 (W A P A) 対応クライアント端 末に伝送するために、 専用のウェブ'アクセスポイント認証 (WA P A) 公開鍵 サーバーを使用する。 公開鍵サーバー上に記憶されている公開鍵には、 公開鍵の 認証を確実にするために、 第三者機関である証明権限所有者が署名できるとレヽぅ オプションが付随している事が望ましい。  Web. Access Point Authentication (WA PA) A dedicated Web 'Access Point Authentication (WA PA) to securely and securely transmit the public key of the Web server to a Web' Access Point Authentication (WAPA) compatible client terminal. Use a public key server. It is desirable that the public key stored on the public key server be accompanied by a recording option if it can be signed by a third party certification authority owner to ensure public key authentication. .
第 2 4図を参照すると、 ウェブサーバーが、 公開鍵と秘密鍵の組み合わせを生 成する。 次いで当該ウェブサーバーから、 その公開鍵を第三者機関である認証権限所有 者のシステムに送信する。 Referring to FIG. 24, the web server generates a combination of public key and private key. Then, the web server sends the public key to the third party certification authority holder's system.
第三者機関である認証権限所有者のシステムにおいては、 当該ゥェブサーバー の正当性を証明し、 当該ウェブサーバーの公開鍵に署名する。 次いで、 第三者機 関である認証権限所有者のシステムから、 署名付きの当該公開鍵を、 本発明のシ ステムの公開鍵サーバーに直接送信する。  In the certification authority owner's system which is a third party organization, prove the legitimacy of the web server and sign the public key of the web server. Next, the signed public key is directly transmitted from the third party certification authority holder's system to the public key server of the system of the present invention.
公開鍵サーバーにおいては、 署名付きの当該公開鍵を受信し、 これをサーバー 認証システム対応クライアントが使用できるように、 当該ウェブサーバーを識別 する識別情報と関連付けて記憶する。  The public key server receives the signed public key and stores it in association with the identification information identifying the web server so that it can be used by the server authentication system compatible client.
公開鍵サーバーから、 当該公開鍵がクライアント端末において使用可能となつ た旨を、 当該ゥェブサーバーの所有者に通知することが望ましい。  It is desirable that the public key server notify the owner of the web server that the public key is available at the client terminal.
以上の処理により、 当該ウェブサーバーがサーバー認証システム対応ウェブサ —バーとみなされるようになり、 ユーザ一はクライアント端末のブラゥザを用い て、 当該ウェブサーバーの登録処理をすることが可能になる。 産業上の利用可能性  By the above processing, the web server is regarded as a web server compatible with the server authentication system, and the user can register the web server using the browser of the client terminal. Industrial applicability
以上詳細に説明したように、 本発明によれば、 エンドユーザーに対してウェブ サーバ証明を提供する新しいインターネット技術である、 ウェブ ·アクセスボイ ント認証 (W A P A) を提供することができる。  As described above in detail, according to the present invention, it is possible to provide web access point authentication (WAA), which is a new Internet technology for providing web server certification to end users.

Claims

1 . ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセス する際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー 認証システムであって、 1. A server authentication system provided in a web server for performing web server authentication when accessing any server connected to the network through a browser,
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲 ョ n View web content from a client terminal accessing the web server
覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、 Browsing request receiving means for receiving a browsing request and a server authentication request;
ゥェブサーバーごとに設定され、 当該ゥェブサーバーの認、証を行うための認証情 報を記憶する認証情報登録サーバ一に対し、 クライアント端末からの閲覧要求お The authentication information registration server, which is set for each web server and stores authentication information for performing authentication and certification of the web server, requests browsing information from client terminals to the authentication information registration server.
¾車  3⁄4 car
よびサーバー認証要求に応答して、 当該ウェブサーバーの認証情報を照会する認 囲 To query the authentication information of the web server in response to the server and server authentication request
証情報照会手段と、 Proof information inquiry means,
前記認証情報登録サーバーに対する照会の結果、 当該ウェブサーバーの認証情報 があった場合には当該認証情報を受信する認証情報受信手段と、 Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
クライアント端末からのウェブコンテンッ閲覧要求およびサーバー認証要求に対 応し、受信した認証情報を前記ウェブコンテンッに付加する認証情報付加手段と、 前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信する ウェブコンテンッ送信手段とを備えたことを特徴とする、 ゥェブサーバー認証シ ステム。 Authentication information adding means for adding the received authentication information to the web content in response to a web content browsing request and a server authentication request from the client terminal; web content with the authentication information added to the client terminal Web server authentication system characterized in that it has a web content transmission means to transmit.
2 . ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセス する際にゥヱブサーバー認証を行うためにゥヱプサーバーに備えられたサーバー 認証システムと、 前記ウェブサーバーにアクセスするクライアント端末と、 ゥェ ブサーバーごとに設定され当該ウェブサーバーの認証を行うための認証情報を記 憶する認証情報登録サーバーと、 を含み構成されるシステムであって、 前記ウェブサーバーは、  2. A server authentication system provided on the group server to perform web server authentication when accessing any server connected to the network through a browser, a client terminal for accessing the web server, and a web server And a certification information registration server that stores certification information for performing certification of the web server, the web server comprising:
前記ゥェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲 覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、 A browsing request receiving unit for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
ウェブサーバーごとに設定され、 当該ウェブサーバーの認証を行うための認証情 報を記憶する認証情報登録サーバーに対し、 クライアント端末からの閲覧要求お よびサーバー認、証要求に応答して、 当該ゥェブサーバーの認証情報を照会する認、 証情報照会手段と、 The authentication information registration server, which is set for each web server and stores authentication information for authenticating the web server, responds to a browsing request from the client terminal and a server authentication / certification request to the authentication information registration server. Authorization to query authentication information, Proof information inquiry means,
前記認証情報登録サーバーに対する照会の結果、 当該ウェブサーバーの認証情報 があった場合には当該認証情報を受信する認証情報受信手段と、 Authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server;
クライアント端末からのウェブコンテンッ閲覧要求およびサーバー認証要求に対 応し、受信した認証情報を前記ウェブコンテンッに付加する認証情報付加手段と、 前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信する ウェブコンテンッ送信手段とを備えており、 Authentication information adding means for adding the received authentication information to the web content in response to a web content browsing request and a server authentication request from the client terminal; web content with the authentication information added to the client terminal It is equipped with a web content sending means to send,
前記認証情報登録サーバーは、 当該ウェブサーバーの認証を行うための認証情報 と、 クライアント端末において前記サーバー認証システムを利用するユーザーご とのユーザー識別情報とを少なくとも記憶したことを特徴とする、 ゥェブサーバ ー認、証システム。 The web server is characterized in that the authentication information registration server stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system in the client terminal. Certification system.
3 . 前記クライアント端末には、 ウェブコンテンツ閲覧要求とともにサーバー認 証要求を前記ゥェプサーバーに送信する認証要求送信手段と、  3. The client terminal includes authentication request transmitting means for transmitting a server authentication request to the web server together with a web content browsing request;
前記ウェブサーバーごとの公開鍵を記憶するサーバー公開鍵記憶手段が備えられ たことを特徴とする、 ゥェブサーバー認証システム。 A web server authentication system, comprising: server public key storage means for storing a public key for each web server.
4 . クライアント端末から送信され、 前記ウェブサーバーにおいて前記閲覧要求 受信手段が受信するサーバー認証要求には、 前記サーバー認証システムのユーザ 一識別情報が含まれることを特徴とする、 請求の範囲 1〜 3のいずれかに記載の ゥェブサーバー認、証システム。 4. The server authentication request transmitted from the client terminal and received by the browse request reception unit in the web server includes a user identification information of the server authentication system, and the server authentication request is characterized in that 1 to 3 Web server accreditation, certification system described in any of the.
5 . クライアント端末から送信され、 前記ウェブサーバーにおいいて前記閲覧要 求受信手段が受信するサーバー認証要求には、 当該ウェブサーバーが前記サーバ 一認証システムを備えているか否かの応答要求が含まれることを特徴とする、 請 求の範囲 1〜4のいずれかに記載のウェブサーバー認証システム。  5. The server authentication request transmitted from the client terminal and received by the browsing request receiving means at the web server includes a response request as to whether the web server includes the server-one authentication system. The web server authentication system according to any one of claims 1 to 4, characterized in.
6 . 前記認証情報照会手段は、 前記認証情報登録サーバーに対し、 当該ウェブサ 一バーの認証情報を照会する際に、 前記ユーザー識別情報を含む照会要求を送信 することを特徴とする、 請求の範囲 1〜 5のいずれかに記載のウェブサーバー認 証システム。  6. The authentication information inquiry means transmits an inquiry request including the user identification information when inquiring the authentication information of the web server to the authentication information registration server. The web server authentication system according to any one of 1 to 5.
7 . 前記認証情報照会手段は、 ウェブサーバーごとに設定されているとともに、 さらにユーザー識別情報に対応してあら力 じめ記憶されている当該ゥェブサーバ 一の認証情報を、 ユーザー識別情報に基づき照会することを特徴とする、 請求の 範囲 6に記載のウェブサーバー認証システム。 7. The authentication information inquiry unit is set for each web server, and the web server is stored in advance corresponding to user identification information. The web server authentication system according to Claim 6, wherein the first authentication information is queried based on the user identification information.
8 . ウェブサーバーごとに設定されているとともに、 ユーザー識別情報に対応し てあらかじめ記憶されている前記ウェブサーバーの認証情報は、 クライアント端 末において生成されたユーザーごとの認証情報を当該ユーザーの公開鍵を用いて 暗号化し、 次いで当該ウェブサーバーの公開鍵を用いて暗号化した後に、 前記認 証情報登録サーバーに登録するウェブサーバー登録により記憶されたものである ことを特徴とする、 請求の範囲 1〜 7のいずれかに記載のウェブサーバー認証シ ステム。  8. The authentication information of the web server which is set for each web server and stored in advance corresponding to the user identification information is the authentication information for each user generated at the client terminal as the public key of the user. , And then encrypted using the public key of the web server, and then stored by the web server registration registered in the authentication information registration server. The web server authentication system according to any one of ~ 7.
9 . クライアント端末からいずれかのウェブサーバーにアクセスした際に、 クラ イアント端末から送信されたサーバ一認証要求に含まれる、 当該ウェブサーバー が前記サーバー認証システムを備えているか否かの応答要求に対し、 当該ウェブ サーバーが前記サーバー認証システムを備えている場合にはその旨を応答し、 当 該ゥェブサーバーが前記サーバー認証システムを備えていない場合にはその旨を 応答しないことを特徴とする、 請求の範囲 5〜 8のいずれかに記載のゥ工ブザー ノくー認、証システム。  9. When a client terminal accesses any web server, it responds to the response request for whether the web server includes the server authentication system, which is included in the server-one authentication request sent from the client terminal. The Web server responds when the Web server includes the server authentication system, and does not respond when the Web server does not include the server authentication system. A buzzer according to any of the ranges 5 to 8. The certification system.
1 0 . 前記クライアント端末に、 ウェブコンテンッに付加された前記認証情報を 解読するための当該ゥェブサーバーの公開鍵が記憶されている場合には、 前記ゥ エブサーバーから受信したウェブコンテンッに付カ卩された前記認証情報を、 当該 クライアント端末を利用するユーザーの秘密鍵を用いて解読し、 当該認証情報の 正当性を判定することを特徴とする、 請求の範囲 1〜 9のいずれかに記載のゥ m ブサーバー認、証システム。  If the public key of the web server for decrypting the authentication information added to the web content is stored in the client terminal, the web terminal received from the web server is attached to the web content received from the web server. The authentication information according to any one of claims 1 to 9, wherein the authentication information is deciphered using a secret key of a user who uses the client terminal, and the legitimacy of the authentication information is determined. Server authentication, certification system.
1 1 . 当該認証情報が正当でないと判定された場合には、 前記クライアント端末 において警告が表示されることを特徴とする、 請求の範囲 1 0に記載のウェブサ 一バー認証システム。 The web server authentication system according to claim 10, wherein a warning is displayed on the client terminal if it is determined that the authentication information is not valid.
1 2 . 前記クライアント端末に、 ウェブコンテンツに付カ卩された前記認証情報を 解読するための当該ゥェブサーバーの公開鍵が記憶されていなレ、場合において、 前記ゥェブサーバーが前記サーバー認証システムを備えている場合にはその旨を 応答するとともに、 ウェブサーバー登録をするか否かを当該クライアント端末を 利用するユーザーに対し選択させることを特徴とする、 請求の範囲 1 0または 1 1のいずれかに記載のウェブサーバ一認証システム。 1 2. The client terminal does not store the public key of the web server for decrypting the authentication information attached to the web content, in which case the web server includes the server authentication system In this case, the client terminal responds as well, and asks the client terminal whether to register as a web server. The web server and authentication system according to any one of claims 10 or 11, characterized in that the user is selected.
PCT/JP2004/013973 2004-07-01 2004-09-15 Web server authentication system capable of performing web access point authentication (wapa) WO2006003725A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004-195208 2004-07-01
JP2004195208A JP2007279775A (en) 2004-07-01 2004-07-01 Web server authentication system capable of performing web access point authentication (wapa)

Publications (1)

Publication Number Publication Date
WO2006003725A1 true WO2006003725A1 (en) 2006-01-12

Family

ID=35782540

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2004/013973 WO2006003725A1 (en) 2004-07-01 2004-09-15 Web server authentication system capable of performing web access point authentication (wapa)

Country Status (2)

Country Link
JP (1) JP2007279775A (en)
WO (1) WO2006003725A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112751844A (en) * 2020-12-28 2021-05-04 杭州迪普科技股份有限公司 Portal authentication method and device and electronic equipment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004159159A (en) * 2002-11-07 2004-06-03 Nippon Telegr & Teleph Corp <Ntt> Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004159159A (en) * 2002-11-07 2004-06-03 Nippon Telegr & Teleph Corp <Ntt> Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
NOBORI F.: "Kiso kara Wakaru SSH o Tsukatta Secure Server Kochiku Nyumon Dai 3 Kai SSH no Kokai Kagi Ninsho Kino o Tsukatte Miyo", NETWORK MAGAZINE, ASCII CORP., vol. 6, no. 11, 1 November 2001 (2001-11-01), pages 114 - 117, XP002995661 *
SAITO T. ET AL: "Kokai Kagi o Mochiita Ninsho Protocol ni Tsuite", TRANSACTIONS OF INFORMATION PROCESSING SOCIETY OF JAPAN, vol. 42, no. 8, 15 August 2001 (2001-08-15), pages 2040 - 2048, XP002995662 *
SATO S.: "Jibun de Dekiru Security Taisaku Dai 1 Kai Internet no Anzen Taisaku", NIKKEI PERSONAL COMPUTING, no. 353, 24 January 2000 (2000-01-24), pages 286 - 289, XP002995663 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112751844A (en) * 2020-12-28 2021-05-04 杭州迪普科技股份有限公司 Portal authentication method and device and electronic equipment

Also Published As

Publication number Publication date
JP2007279775A (en) 2007-10-25

Similar Documents

Publication Publication Date Title
US10025920B2 (en) Enterprise triggered 2CHK association
US9716691B2 (en) Enhanced 2CHK authentication security with query transactions
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
EP2213044B1 (en) Method of providing assured transactions using secure transaction appliance and watermark verification
CN101120569B (en) Remote access system and method for user to remotely access terminal equipment from subscriber terminal
US8452961B2 (en) Method and system for authentication between electronic devices with minimal user intervention
KR20010085380A (en) System and method of associating devices to secure commercial transactions performed over the internet
CN102577301A (en) Method and apparatus for trusted authentication and logon
CN102739664A (en) Method for improving security of network identity authentication and devices
WO2014154073A1 (en) System for securely accessing network address, and device and method therein
CA2381108A1 (en) Secure mutual authentication system
JP2001186122A (en) Authentication system and authentication method
WO2022033350A1 (en) Service registration method and device
US8423782B2 (en) Method for authenticating a user accessing a remote server from a computer
KR20060094453A (en) Authentication method for pay-per-use service using eap and system thereof
EP1513313A1 (en) A method of accessing a network service or resource, a network terminal and a personal user device therefore
Tatly et al. Security challenges of location-aware mobile business
JP4630187B2 (en) Authentication method
GB2401445A (en) Web site security model
WO2006003725A1 (en) Web server authentication system capable of performing web access point authentication (wapa)
JP2002007355A (en) Communication method using password
US7849166B1 (en) Creation of secure communication connections through computer networks
CN118677637A (en) Method for transmitting high-security network message
KR101510473B1 (en) Method and system of strengthening security of member information offered to contents provider
KR100358927B1 (en) Name server and naming data authentication method in secure domain name system

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP