Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4109470B2 - Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium - Google Patents
[go: Go Back, main page]

JP4109470B2 - Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium - Google Patents

Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium Download PDF

Info

Publication number
JP4109470B2
JP4109470B2 JP2002069032A JP2002069032A JP4109470B2 JP 4109470 B2 JP4109470 B2 JP 4109470B2 JP 2002069032 A JP2002069032 A JP 2002069032A JP 2002069032 A JP2002069032 A JP 2002069032A JP 4109470 B2 JP4109470 B2 JP 4109470B2
Authority
JP
Japan
Prior art keywords
digital certificate
client
warning
distribution
interface device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002069032A
Other languages
Japanese (ja)
Other versions
JP2003273855A (en
Inventor
和宏 黄野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu FIP Corp
Original Assignee
Fujitsu FIP Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu FIP Corp filed Critical Fujitsu FIP Corp
Priority to JP2002069032A priority Critical patent/JP4109470B2/en
Publication of JP2003273855A publication Critical patent/JP2003273855A/en
Application granted granted Critical
Publication of JP4109470B2 publication Critical patent/JP4109470B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は認証に用いられるディジタル証明書に関し、特にディジタル証明書の管理するためのディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体に関する。
【0002】
【従来の技術】
クライアントがサーバにログインする際にはユーザ認証が行われる。このユーザ認証は、ベーシック認証やディジタル証明書による認証などいくつかの種類があり、ディジタル証明書による認証は、予めクライアントがディジタル証明書を保持し、ログインする際にその証明書をサーバに送信することにより、サーバがクライアントの認証を行う認証方式である。
【0003】
このディジタル証明書は、ネットワーク上の通信相手が本物であることを証明するとともに、シリアル番号や証明書を発行した認証局(CA)の名前、有効期限、所有者名、所有者の公開鍵などの情報が含まれる。一般的に、基本的なフォーマットはITU-T(International Telecommunication Union, Telecommunication standardization sector)のX.509に準拠している。
【0004】
そしてこのディジタル証明書は、クライアントがサーバにディジタル証明書の配布の要求を行うことにより、クライアントがディジタル証明書を取得することができるようになっている。そして、ディジタル証明書は、安全性を確保するなどの目的のため、一定期間ごとに更新される。従ってクライアントは、ディジタル証明書の期限が切れないように、期限内に更新作業を行わなければならない。
【0005】
【発明が解決しようとする課題】
上述したように、ディジタル証明書には有効期限があり、期限を過ぎると使用できなくなる。また、クライアントにディジタル証明書を配布するために不特定多数のクライアントがアクセスするサーバに備えられるように管理されている。
【0006】
このようにディジタル証明書のような重要なデータが、不特定多数のクライアントがアクセスするサーバに備えられることはセキュリティ上の問題がある。また、クライアントがディジタル証明書の更新を忘れ、期限切れになることもあり、使い勝手が良くない。
【0007】
本発明は、このような問題点に鑑み、ディジタル証明書を安全に管理するとともに、ディジタル証明書の期限切れを未然に防ぐディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明は、ファイアウォール及びインターネットを介してクライアントと通信可能され、前記ファイアウォールを介してディジタル証明書管理サーバと通信可能とされるとともに、前記クライアントからの前記ディジタル証明書の要求に基づいて前記クライアントに前記ディジタル証明書を配布するディジタル証明書配布サーバであって、前記クライアントからの要求に基づいて前記クライアントへ前記ディジタル証明書を配布する配布手段と、前記クライアントに配布する前記ディジタル証明書を、前記ファイアウォールを介して前記ディジタル証明書管理サーバに隔離するために転送する転送段と、前記クライアントから前記ディジタル証明書に基づいてアクセスがあった際、前記クライアントから送られてくるディジタル証明書の有効期限に基づいて前記クライアントに有効期限切れ警告を通知するどうかを判定する警告通知判定手段と、前記警告通知判定手段による判定結果に基づき、前記クライアントに、有効期限切れ警告を、前記ディジタル証明書の更新処理の実施を選択可能に通知する警告手段と、前記クライアントからの更新処理の実施指示に基づいて前記クライアントの前記ディジタル証明書を更新するとともに、前記ディジタル証明書管理サーバの前記クライアントの前記ディジタル証明書を更新する更新手段とを有することを特徴とする。
【0009】
本発明によれば、ネットワークに接続された不特定多数のクライアントのアクセスが制限されたコンピュータにディジタル証明書を転送することにより、重要なデータであるディジタル証明書の漏洩や改竄などに対するセキュリティを高めることができる。この場合のアクセスの制限は、全くアクセスさせないことも含まれる。また、本発明によれば、期限切れの警告を出すだけではなく、警告通知の受信を契機にディジタル証明書の更新する処理を選択可能とするため、更新処理を容易に行うことができる。
【0011】
また、本発明によれば、ディジタル証明書を配布したクライアントの情報を保持しておくことにより、ディジタル証明書の二重配布の防止や、不正に配布されたかどうかの確認が容易になる。
【0013】
更に、本発明によれば、ディジタル証明書が転送されたかどうか記録により確認することができる。
【0017】
また、本発明によれば、所定の期間後に有効期限が切れることを通知することにより、有効期限切れを未然に防ぐことができる。
【0018】
また、本発明は、前記警告通知判定段階は、前記クライアントが前記アクセス権限発行サーバにアクセスする間隔と、前記ディジタル証明書の有効期限とに基づき、前記警告通知判定を行うこと特徴とする。
【0019】
本発明によれば、クライアントによって大きく異なるアクセス間隔に応じて、警告を通知するため、決まった日数の前から警告を出すよりも、ディジタル証明書の有効期限切れを未然に防ぐことができる。
【0024】
なお、上記ディジタル証明書管理プログラムを記録する記録媒体は、CD−ROM、フレキシブルディスク、光磁気ディスク(MO)等のように、情報を光学的、電気的あるいは磁気的に記録する記録媒体、もしくはROMやフラッシュメモリのように情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
【0025】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0026】
本発明の実施の形態におけるディジタル証明書配布システムの全体構成の一例を図1に示す。図1には、クライアント12と、ファイアウォール18と、ディジタル証明書配布サーバ10と、WWWサーバ14と、ディジタル証明書管理サーバ20と、管理者用クライアント22とから構成され、クライアント12とファイアウォール18は、インターネット16を介して接続している。また、ファイアウォール18は、NIC(Network Interface Card)を3枚搭載している。このうち、1つめはインターネット16との接続に用いる。2つめは、ディジタル証明書配布サーバ10と、WWWサーバ14との接続に用いる。3つめは、ディジタル証明書管理サーバ20と、管理者用クライアント22との接続に用いる。この構成の場合は、ディジタル証明書管理サーバ20と、管理者用クライアント22へ、インターネット16からのアクセスは一切許可しないようになっている。そのため、ディジタル証明書管理サーバ20と、管理者用クライアント22はインターネット16からの攻撃に対し安全であるといえる。なお、管理者用クライアント22は、ディジタル証明書配布サーバ10と、WWWサーバ14などの管理を行うためのクライアントである。
【0027】
上記ディジタル証明書配布サーバ10、WWWサーバ14、ディジタル証明書管理サーバ20、管理者用クライアント22はパソコンやワークステーションなどのコンピュータシステムであり、そのハードウェア構成の一例を図2に示す。
【0028】
図2のコンピュータシステムは、それぞれバスBで相互に接続されている入力装置28と,表示装置30と,ドライブ装置32と,記録媒体34と,補助記憶装置36と,メモリ装置38と,演算処理装置24と,インターフェース装置26とを含むように構成される。
【0029】
入力装置28は、コンピュータシステムの利用者が操作するキーボード及びマウスなどで構成され、コンピュータシステムに各種操作信号を入力するために用いられる。表示装置30は、コンピュータシステムを操作するのに必要な各種ウインドウやデータ等を表示する。インターフェース装置26は、コンピュータシステムをネットワークに接続する為のインターフェースであり、例えばNIC(Network Interface Card)やモデム等で構成される。
【0030】
そして、上記サーバを動作させるためのプログラムは、CD−ROM等の記録媒体34によって提供されるか、インターネット16を通じてダウンロードされる。また、記録媒体34は、ドライブ装置32にセットされ、データやプログラムが記録媒体34からドライブ装置32を介して補助記憶装置36にインストールされる。
【0031】
補助記憶装置36は、データやプログラムを格納すると共に、必要なファイル等を格納する。メモリ装置38は、コンピュータシステムの起動時に補助記憶装置36からプログラムを読み出して格納する。演算処理装置24は、メモリ装置38に読み出され格納されたプログラムに従って処理を実行する。
【0032】
次に、ディジタル証明書の配布について図面を用いて説明する。図3は、ディジタル証明書配布サーバ10がディジタル証明書を配布する処理を示すフローチャートである。このフローチャートを、クライアント12と、ディジタル証明書配布サーバ10と、ディジタル証明書管理サーバ20が示されている図4を参照しながら説明する。なお、図3のフローチャートの処理は、図4に示されたクライアント12とディジタル証明書配布サーバ10との間における、ディジタル証明書配布サーバ10の処理を示している。
【0033】
まず、ステップS101で、ディジタル証明書配布サーバ10は、クライアントが12送信したパスワードの判定を行う。ここでパスワード判定が可であるとして、ステップS102に進み、ディジタル証明書配布サーバ10は、クライアント12がまだディジタル証明書をダウンロードしていないかどうかの判定を行う。この判定は、ディジタル証明書管理サーバ20に、問い合わせることにより判定することができる。もし、クライアント12が既にディジタル証明書をダウンロードしていた場合、ディジタル証明書配布サーバ10は、ステップS105でダウンロード済みの旨を表示すると共に、再ダウンロードが必要な場合の連絡先を明記し、証明書の紛失などに備える。
【0034】
まだダウンロードしていない場合は、ステップS103で、ディジタル証明書配布サーバ10は、ダウンロードしたクライアント情報を、ディジタル証明書管理サーバ20に通知し、ディジタル証明書管理サーバ20は、後述するダウンロード処理ユーザ情報データベース(以下、DLユーザDBと記す)に記録する。そして、ディジタル証明書配布サーバ10は、ステップS104でディジタル証明書のデータをクライアント12へ送信し、処理は終了する。
【0035】
次に、DLユーザDBについて図5を用いて説明する。DLユーザDBは、図5に示されるように、「項目」とそれに対応した「形式」からなる。そして、項目は「認証ID」、「パスワード」、「接続元IPアドレス」、「ブラウザ名称」、「クライアントOS名」、「ダウンロード日時」で構成される。このうち認証IDとパスワードは、クライアント12がディジタル証明書配布サーバ10からディジタル証明書を取得するために入力した項目で、ともに英数字8桁である。接続元IPアドレスは、クライアント12がディジタル証明書を取得した際のクライアントのIPアドレスである。ブラウザ名称は、インターネット閲覧ソフトの名称である。クライアントOS名は、クライアント12のオペレーティングシステムの名称である。ダウンロード日時は、クライアント12が、ディジタル証明書をダウンロードした日時である。
【0036】
次に、ダウンロードされたディジタル証明書をディジタル証明書管理サーバ20に転送する処理について図6のフローチャートを用いて説明する。なお、図6のフローチャートの処理は、図4に示されたディジタル証明書管理サーバ20とディジタル証明書配布サーバ10との間における処理を示している。
【0037】
ステップS201で、ディジタル証明書管理サーバ20は、DLユーザDBを参照し、ダウンロードをしたクライアントの情報であるユーザ情報を抽出し、もしディジタル証明書がダウンロードされていなければ、ステップS202で処理は終了となる。ダウンロードされていれば、ステップS203で、ディジタル証明書は、ディジタル証明書管理サーバ20へ転送される。そして、次に説明するダウンロード管理データベース(以下、DL管理DBと記す)は更新される。
【0038】
図7は、DL管理DBを表す図である。このDL管理DBは、DLユーザDBに、項目としてシリアルNoが加わったデータベースであり、シリアルNoは、英数字の12桁で管理される。転送され隔離したディジタル証明書は、このDL管理DBによって管理される。なお、DL管理DBに、さらにディジタル証明書の移動日時を追加してもよい。
【0039】
以上説明したように、ディジタル証明書がダウンロードされると、インターネット16からの攻撃に対して安全なディジタル証明書管理サーバ20に、ディジタル証明書を隔離することにより、重要なデータであるディジタル証明書のセキュリティが確保される。
【0040】
次に、ディジタル証明書の期限切れ警告を行う処理について説明する。この期限切れ警告とは、ディジタル証明書を持つクライアントがWWWサーバ14にアクセスした際に、ディジタル証明書の期限切れが間近であれば、期限切れが近いことをクライアントに対して行う警告である。
【0041】
この処理を図8のフローチャートと、図9とを用いて説明する。図9は、クライアント12に対しWWWサーバ14が警告を行う様子を示す図である。
【0042】
ステップS301で、WWWサーバ14は、暗号化されているディジタル証明書を復号する。そして、ステップS302で、WWWサーバ14は、復号したディジタル証明書から有効期限を取得し、環境変数にその有効期限を保持する。次のステップS303で有効期限が間近かどうか判断する。この間近かどうかを判断する処理は、例えば、1ヶ月間など予め期間を定めておき、受信したディジタル証明書の有効期限が例えば12月31日であれば、その1ヶ月前の11月30日以降にアクセスされた場合、有効期限が間近と判断する処理である。
【0043】
このような判断を行うステップS303での判断結果が、有効期限が間近ではない場合、通常の処理であるディジタル証明書がなければ閲覧できない保護コンテンツを表示し、期限切れ警告に関する処理は終了する。
【0044】
ステップS303での判断結果が、有効期限が間近である場合、ステップS304へ進み、クライアントがアクセスするごとに記録されるアクセスログから、そのクライアントの利用間隔の平均を算出する。この利用間隔とは、例えばアクセスした日付から次にアクセスしたときの日付まで間隔であり、アクセスした日付が例えば11月3日であり、次にアクセスした日付が11月5日であれば、間隔は2日となる。
【0045】
このような利用間隔の平均をステップS304で求め、ステップS305では、ディジタル証明書の期限切れまでに、クライアントが再びアクセスする可能性があるかどうか判断する。これは、例えば利用間隔の平均が3日であり、期限が12月31日であり、アクセスしてきた今日の日付が、12月20日であれば、期限切れの12月31日までに再びアクセスすると予想し、期限切れの警告は出さずにステップS307の処理に進む。アクセスしてきた今日の日付が、12月30日であれば、期限切れまでにアクセスしないと予想し、ステップS306で期限切れの警告を表示するようにする。
【0046】
なお、ステップS305の処理は、上記処理のほかに、例えば「14日前なら必ず警告を表示する」など決めておき、期限切れ前の14日以内にアクセスした場合には、平均利用間隔に関わらず、必ず警告を表示するようにしても良いし、期限が近くなるに従い強い調子で警告を与えるようにしても良い。
【0047】
また、ステップS306で警告を表示するだけではなく、ディジタル証明書を更新する処理を選択可能とし、クライアント12がディジタル証明書の更新処理を行うようにしても良い。
【0048】
もし、クライアント12が、更新処理を行うことを選択した場合、WWWサーバ14は、ディジタル証明書の更新処理を行うために、クライアント12の接続先をディジタル証明書配布サーバ10へ変更することにより、更新処理を行うことが可能となる。あるいは、WWWサーバ14が、ディジタル証明書配布サーバ10の機能も具備している場合は、ディジタル証明書の更新処理は、WWWサーバ14により行われる。
【0049】
また、WWWサーバ14は各クライアントの利用間隔情報をディジタル証明書管理サーバ20に通知し、ディジタル証明書管理サーバ20ではこの情報を元に、各クライアントへのディジタル証明書配布開始日時を設定するようにしても良い。
【0050】
さらに、ディジタル証明書管理サーバ20からネットワークアクセス可能なディジタル証明書配布サーバ10に証明書が転送されたときに、該当クライアントに証明書取得可能の通知をするようにしても良い。
【0051】
【発明の効果】
以上説明したように、ディジタル証明書を安全に管理するとともに、ディジタル証明書の期限切れを未然に防ぐディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアントが得られる。
【図面の簡単な説明】
【図1】本発明の実施の形態におけるディジタル証明書配布システムの全体構成図である。
【図2】コンピュータシステムのハードウェアブロック図である。
【図3】ディジタル証明書を配布する処理を示すフローチャートである。
【図4】ディジタル証明書の転送を行う様子を示す図である。
【図5】ダウンロード処理ユーザ情報データベースを示す図である。
【図6】ディジタル証明書管理サーバに転送する処理を示すフローチャートである。
【図7】ダウンロード管理データベースを示す図である。
【図8】クライアントに警告する処理を示すフローチャートである。
【図9】クライアントに対しWWWサーバが警告を行う様子を示す図である。
【符号の説明】
10…ディジタル証明書配布サーバ
12…クライアント
14…WWWサーバ
16…インターネット
18…ファイアウォール
20…ディジタル証明書管理サーバ
22…管理者用クライアント
24…演算処理装置
26…インターフェース装置
28…入力装置
30…表示装置
32…ドライブ装置
34…記録媒体
36…補助記憶装置
38…メモリ装置
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a digital certificate used for authentication, and more particularly to a digital certificate management method, a digital certificate distribution server, a digital certificate transmission client, a digital certificate management program, and a recording medium for managing digital certificates.
[0002]
[Prior art]
User authentication is performed when the client logs in to the server. There are several types of user authentication such as basic authentication and authentication using digital certificates. In the authentication using digital certificates, the client holds the digital certificate in advance and sends the certificate to the server when logging in. In this way, the server authenticates the client.
[0003]
This digital certificate proves that the communication partner on the network is authentic, and also the serial number, the name of the certificate authority (CA) that issued the certificate, the expiration date, the owner name, the owner's public key, etc. Information is included. Generally, the basic format conforms to ITU-T (International Telecommunication Union, Telecommunication standardization sector) X.509.
[0004]
The digital certificate can be acquired by the client when the client requests the server to distribute the digital certificate. The digital certificate is renewed at regular intervals for the purpose of ensuring safety. Therefore, the client must perform renewal work within the expiration date so that the digital certificate will not expire.
[0005]
[Problems to be solved by the invention]
As described above, a digital certificate has an expiration date and cannot be used after the expiration date. In addition, in order to distribute a digital certificate to a client, the server is managed so as to be provided in a server accessed by an unspecified number of clients.
[0006]
Thus, it is a security problem that important data such as a digital certificate is provided in a server accessed by an unspecified number of clients. In addition, the client forgets to renew the digital certificate and may expire, which is not convenient.
[0007]
In view of such problems, the present invention provides a digital certificate management method, a digital certificate distribution server, a digital certificate transmission client, a digital certificate management method for securely managing a digital certificate and preventing expiration of the digital certificate. An object is to provide a certificate management program and a recording medium.
[0008]
[Means for Solving the Problems]
The present invention can communicate with a client via a firewall and the Internet, can communicate with a digital certificate management server via the firewall, and can communicate with the client based on a request for the digital certificate from the client. A digital certificate distribution server for distributing the digital certificate, the distribution means for distributing the digital certificate to the client based on a request from the client, and the digital certificate to be distributed to the client. a transfer stage for transferring to isolate the digital certificate management server through a firewall, when there is access based on the digital certificate from the client, effective digital certificate transmitted from the client And determining alert notification judging means whether to notify the expiration warning to the client based on limited, based on the determination result by the alert notification determination unit, to the client, the expiration warning, update processing of the digital certificate Warning means for notifying that the implementation of the client is selectable , updating the digital certificate of the client based on an update execution instruction from the client, and the digital certificate of the client of the digital certificate management server And updating means for updating .
[0009]
According to the present invention , by transferring a digital certificate to a computer in which access by an unspecified number of clients connected to a network is restricted, security against leakage or falsification of a digital certificate, which is important data, is improved. be able to. Restricting access in this case includes not allowing access at all. In addition, according to the present invention, not only an expiration warning is issued, but also a digital certificate update process can be selected upon receipt of the warning notification, so that the update process can be easily performed.
[0011]
In addition, according to the present invention, by retaining the information of the client that distributed the digital certificate, it becomes easy to prevent double distribution of the digital certificate and to check whether it has been illegally distributed.
[0013]
Furthermore, according to the present invention, it can be confirmed by recording whether the digital certificate has been transferred.
[0017]
Further , according to the present invention , the expiration date can be prevented in advance by notifying that the expiration date will expire after a predetermined period.
[0018]
Further, the present invention is characterized in that the warning notification determination step performs the warning notification determination based on an interval at which the client accesses the access authority issuing server and an expiration date of the digital certificate.
[0019]
According to the present invention , since a warning is notified according to an access interval that varies greatly depending on the client, it is possible to prevent the expiration of the digital certificate in advance, rather than issuing a warning before a fixed number of days.
[0024]
The recording medium for recording the digital certificate management program is a recording medium for recording information optically, electrically or magnetically, such as a CD-ROM, a flexible disk, a magneto-optical disk (MO), or the like. Various types of recording media such as a semiconductor memory that electrically records information such as a ROM and a flash memory can be used.
[0025]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0026]
An example of the overall configuration of the digital certificate distribution system in the embodiment of the present invention is shown in FIG. 1 includes a client 12, a firewall 18, a digital certificate distribution server 10, a WWW server 14, a digital certificate management server 20, and an administrator client 22. The client 12 and the firewall 18 include , Connected via the Internet 16. The firewall 18 is equipped with three NICs (Network Interface Cards). The first of these is used for connection to the Internet 16. The second is used for connection between the digital certificate distribution server 10 and the WWW server 14. The third is used for connection between the digital certificate management server 20 and the administrator client 22. In the case of this configuration, access from the Internet 16 to the digital certificate management server 20 and the administrator client 22 is not permitted at all. Therefore, it can be said that the digital certificate management server 20 and the administrator client 22 are safe against attacks from the Internet 16. The administrator client 22 is a client for managing the digital certificate distribution server 10 and the WWW server 14.
[0027]
The digital certificate distribution server 10, the WWW server 14, the digital certificate management server 20, and the administrator client 22 are computer systems such as personal computers and workstations. An example of the hardware configuration is shown in FIG.
[0028]
The computer system shown in FIG. 2 includes an input device 28, a display device 30, a drive device 32, a recording medium 34, an auxiliary storage device 36, a memory device 38, and arithmetic processing that are mutually connected by a bus B. The device 24 and the interface device 26 are configured to be included.
[0029]
The input device 28 includes a keyboard and a mouse operated by a user of the computer system, and is used to input various operation signals to the computer system. The display device 30 displays various windows and data necessary for operating the computer system. The interface device 26 is an interface for connecting a computer system to a network, and includes, for example, a NIC (Network Interface Card) or a modem.
[0030]
A program for operating the server is provided by a recording medium 34 such as a CD-ROM or downloaded through the Internet 16. The recording medium 34 is set in the drive device 32, and data and programs are installed from the recording medium 34 to the auxiliary storage device 36 via the drive device 32.
[0031]
The auxiliary storage device 36 stores data and programs as well as necessary files and the like. The memory device 38 reads and stores the program from the auxiliary storage device 36 when the computer system is started up. The arithmetic processing unit 24 executes processing according to a program read and stored in the memory device 38.
[0032]
Next, distribution of a digital certificate will be described with reference to the drawings. FIG. 3 is a flowchart showing a process in which the digital certificate distribution server 10 distributes the digital certificate. This flowchart will be described with reference to FIG. 4 in which the client 12, the digital certificate distribution server 10, and the digital certificate management server 20 are shown. The process of the flowchart of FIG. 3 shows the process of the digital certificate distribution server 10 between the client 12 and the digital certificate distribution server 10 shown in FIG.
[0033]
First, in step S101, the digital certificate distribution server 10 determines the password transmitted by the client 12 times. Here, assuming that the password can be determined, the process proceeds to step S102, and the digital certificate distribution server 10 determines whether or not the client 12 has yet downloaded the digital certificate. This determination can be made by making an inquiry to the digital certificate management server 20. If the client 12 has already downloaded the digital certificate, the digital certificate distribution server 10 displays the fact that it has been downloaded in step S105, specifies the contact information when re-downloading is necessary, and certifies it. Prepare for lost books.
[0034]
If not yet downloaded, in step S103, the digital certificate distribution server 10 notifies the downloaded client information to the digital certificate management server 20, and the digital certificate management server 20 downloads user information to be described later. Record in a database (hereinafter referred to as DL user DB). Then, the digital certificate distribution server 10 transmits the digital certificate data to the client 12 in step S104, and the process ends.
[0035]
Next, the DL user DB will be described with reference to FIG. As shown in FIG. 5, the DL user DB includes “items” and “formats” corresponding to the “items”. The items include “authentication ID”, “password”, “connection source IP address”, “browser name”, “client OS name”, and “download date / time”. Of these, the authentication ID and password are items entered by the client 12 to obtain a digital certificate from the digital certificate distribution server 10, both of which are eight alphanumeric characters. The connection source IP address is the IP address of the client when the client 12 acquires the digital certificate. The browser name is the name of the Internet browsing software. The client OS name is the name of the operating system of the client 12. The download date and time is the date and time when the client 12 downloaded the digital certificate.
[0036]
Next, a process for transferring the downloaded digital certificate to the digital certificate management server 20 will be described with reference to the flowchart of FIG. Note that the processing of the flowchart of FIG. 6 shows processing between the digital certificate management server 20 and the digital certificate distribution server 10 shown in FIG.
[0037]
In step S201, the digital certificate management server 20 refers to the DL user DB, extracts user information that is information of the downloaded client, and if the digital certificate has not been downloaded, the process ends in step S202. It becomes. If downloaded, the digital certificate is transferred to the digital certificate management server 20 in step S203. Then, a download management database (hereinafter referred to as DL management DB) described below is updated.
[0038]
FIG. 7 is a diagram illustrating the DL management DB. This DL management DB is a database in which a serial number is added as an item to the DL user DB, and the serial number is managed with 12 alphanumeric characters. The transferred and isolated digital certificate is managed by this DL management DB. Note that the date and time of moving the digital certificate may be added to the DL management DB.
[0039]
As described above, when a digital certificate is downloaded, the digital certificate is isolated from the digital certificate management server 20 that is secure against attacks from the Internet 16, thereby being important data. Security is ensured.
[0040]
Next, processing for issuing a digital certificate expiration warning will be described. This expiration warning is a warning that, when a client having a digital certificate accesses the WWW server 14, if the digital certificate is about to expire, the client is informed that the expiration is near.
[0041]
This process will be described with reference to the flowchart of FIG. 8 and FIG. FIG. 9 is a diagram showing how the WWW server 14 issues a warning to the client 12.
[0042]
In step S301, the WWW server 14 decrypts the encrypted digital certificate. In step S302, the WWW server 14 acquires an expiration date from the decrypted digital certificate, and holds the expiration date in an environment variable. In next step S303, it is determined whether the expiration date is imminent. The process for determining whether or not this is close is, for example, that a period is set in advance, such as one month, and if the expiration date of the received digital certificate is December 31, for example, November 30 one month before that This is processing for determining that the expiration date is close when accessed thereafter.
[0043]
If the determination result in step S303 for making such a determination is that the expiration date is not close, protected content that cannot be viewed without a digital certificate, which is normal processing, is displayed, and the processing related to the expiration warning ends.
[0044]
If the result of determination in step S303 is that the expiration date is close, the process proceeds to step S304, and the average of the usage intervals of the client is calculated from the access log recorded each time the client accesses. The use interval is, for example, an interval from the access date to the next access date. If the access date is, for example, November 3, and the next access date is November 5, the interval is used. Will be 2 days.
[0045]
The average of such usage intervals is obtained in step S304. In step S305, it is determined whether or not the client may access again before the digital certificate expires. For example, if the average usage interval is 3 days, the deadline is December 31, and the current date of access is December 20, it will be accessed again by the expired December 31 The process proceeds to step S307 without expecting an expiration warning. If today's date of access is December 30, it is predicted that access will not be made before the expiration date, and an expiration warning is displayed in step S306.
[0046]
In addition to the above processing, the processing of step S305 is determined, for example, “Always display a warning if 14 days ago”, and if accessed within 14 days before the expiration date, regardless of the average usage interval, A warning may be displayed without fail, or a warning may be given with a strong tone as the time limit approaches.
[0047]
In addition to displaying a warning in step S306, the digital certificate updating process can be selected, and the client 12 may perform the digital certificate updating process.
[0048]
If the client 12 selects to perform the update process, the WWW server 14 changes the connection destination of the client 12 to the digital certificate distribution server 10 in order to perform the digital certificate update process. Update processing can be performed. Alternatively, when the WWW server 14 also has the function of the digital certificate distribution server 10, the digital certificate update process is performed by the WWW server 14.
[0049]
Further, the WWW server 14 notifies the usage interval information of each client to the digital certificate management server 20, and the digital certificate management server 20 sets the digital certificate distribution start date and time to each client based on this information. Anyway.
[0050]
Furthermore, when a certificate is transferred from the digital certificate management server 20 to the digital certificate distribution server 10 that can be accessed via the network, a notification that the certificate can be acquired may be sent to the corresponding client.
[0051]
【The invention's effect】
As described above, it is possible to obtain a digital certificate management method, a digital certificate distribution server, and a digital certificate transmission client that can securely manage a digital certificate and prevent expiration of the digital certificate.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a digital certificate distribution system according to an embodiment of the present invention.
FIG. 2 is a hardware block diagram of a computer system.
FIG. 3 is a flowchart showing processing for distributing a digital certificate.
FIG. 4 is a diagram illustrating how a digital certificate is transferred.
FIG. 5 is a diagram showing a download processing user information database.
FIG. 6 is a flowchart showing processing for transfer to a digital certificate management server.
FIG. 7 is a diagram showing a download management database.
FIG. 8 is a flowchart illustrating processing for warning a client.
FIG. 9 is a diagram illustrating a state in which a WWW server issues a warning to a client.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... Digital certificate distribution server 12 ... Client 14 ... WWW server 16 ... Internet 18 ... Firewall 20 ... Digital certificate management server 22 ... Administrator client 24 ... Processing unit 26 ... Interface device 28 ... Input device 30 ... Display device 32 ... Drive device 34 ... Recording medium 36 ... Auxiliary storage device 38 ... Memory device

Claims (4)

ファイアウォール及びインターネットを介してクライアントと通信可能され、前記ファイアウォールを介してディジタル証明書管理サーバと通信可能とされるとともに、前記クライアントからの前記ディジタル証明書の要求に基づいて前記クライアントに前記ディジタル証明書を配布するディジタル証明書配布サーバであって、
前記クライアントからの要求に基づいて前記クライアントへ前記ディジタル証明書を配布する配布手段と、
前記クライアントに配布する前記ディジタル証明書を、前記ファイアウォールを介して前記ディジタル証明書管理サーバに隔離するために転送する転送手段と、
前記クライアントから前記ディジタル証明書に基づいてアクセスがあった際、前記クライアントから送られてくるディジタル証明書の有効期限に基づいて前記クライアントに有効期限切れ警告を通知するどうかを判定する警告通知判定手段と、
前記警告通知判定手段による判定結果に基づき、前記クライアントに、有効期限切れ警告を、前記ディジタル証明書の更新処理の実施を選択可能に通知する警告手段と、
前記クライアントからの更新処理の実施指示に基づいて前記クライアントの前記ディジタル証明書を更新するとともに、前記ディジタル証明書管理サーバの前記クライアントの前記ディジタル証明書を更新する更新手段とを有するディジタル証明書配布サーバ。
Communication with a client via a firewall and the Internet, communication with a digital certificate management server via the firewall, and the digital certificate to the client based on a request for the digital certificate from the client A digital certificate distribution server that distributes
Distribution means for distributing the digital certificate to the client based on a request from the client ;
Transfer means for transferring the digital certificate to be distributed to the client for isolation to the digital certificate management server via the firewall ;
Warning notification determination means for determining whether to notify the client of an expiration warning based on the expiration date of the digital certificate sent from the client when accessed from the client based on the digital certificate ; ,
Based on a determination result by the warning notification determination unit, a warning unit for notifying the client that an expiration date warning is available, so that the execution of the digital certificate update process can be selected .
Digital certificate distribution having update means for updating the digital certificate of the client of the digital certificate management server and updating the digital certificate of the client based on an instruction to perform update processing from the client server.
前記警告通知判定手段は、前記クライアントが前記ディジタル証明書とともにアクセスしてくる間隔と、前記ディジタル証明書から取得される有効期限とに基づき、前記警告通知判定を行うこと特徴とする請求項1に記載のディジタル証明書配布サーバ。2. The warning notification determination unit according to claim 1, wherein the warning notification determination unit performs the warning notification determination based on an interval at which the client accesses with the digital certificate and an expiration date acquired from the digital certificate. The digital certificate distribution server described. 演算処理装置に、
インタフェース装置を介してクライアントから要求されるディジタル証明書の配布指示に基づいて前記クライアントへディジタル証明書を前記インタフェース装置により配布させる配布手順と、
インターネット側からのアクセスがファイアウォールにより制限されたディジタル証明書管理サーバ隔離するために前記配布手順で前記クライアントに配布したディジタル証明書を前記インタフェース装置により転送させる転送手順と、
前記クライアントが前記インタフェース装置を介して前記ディジタル証明書に基づいてアクセスしてきた際に、前記アクセス時に用いられたディジタル証明書の効期間を取得し、前記クライアントに前記ディジタル証明書の有効期限切れ警告を通知するかどうかを判定させる警告通知判定手順と、
前記警告通知判定手順による判定結果に基づき、前記クライアントに前記有効期限切れ警告を、前記クライアントにより前記ディジタル証明書の更新処理を選択可能に、前記インタフェース装置により通知させる警告手順と
前記インタフェース装置を介して前記クライアントから提供される更新指示に基づいて前記ディジタル証明書を更新する処理を行うとともに、更新されたディジタル証明書を前記インタフェース装置により前記ディジタル証明書管理サーバに転送させる更新手順とを実行させるためのディジタル証明書配布プログラム。
In the arithmetic processing unit ,
A distribution procedure for distributing the digital certificate by the interface device to the client based on a digital certificate distribution instruction requested from the client via the interface device ;
A transfer procedure in which the digital certificate distributed to the client in the distribution procedure is transferred by the interface device in order to isolate access from the Internet side to the digital certificate management server restricted by a firewall ;
When the client had enemies to access based on the digital certificate through the interface device, obtains the valid period of the digital certificate used during the access, the digital certificate to the client expire A warning notification determination procedure for determining whether to notify a warning;
Based on the determination result by the alert notification determination procedure, the expiration warning to the client, the selectable updating process of the digital certificate by the client, a warning procedure makes notification by the interface device,
Update that performs processing for updating the digital certificate based on an update instruction provided from the client via the interface device, and transfers the updated digital certificate to the digital certificate management server by the interface device A digital certificate distribution program for executing the procedure .
前記警告通知判定手順は、前記クライアントが前記インタフェース装置を介して前記ディジタル証明書に基づいてアクセスしてきた間隔と、前記ディジタル証明書から取得される有効期限とに基づいて判定を行うこと特徴とする請求項3に記載のディジタル証明書配布プログラム。The warning notification determination procedure performs determination based on an interval at which the client has accessed based on the digital certificate via the interface device and an expiration date acquired from the digital certificate. The digital certificate distribution program according to claim 3.
JP2002069032A 2002-03-13 2002-03-13 Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium Expired - Lifetime JP4109470B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002069032A JP4109470B2 (en) 2002-03-13 2002-03-13 Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002069032A JP4109470B2 (en) 2002-03-13 2002-03-13 Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium

Publications (2)

Publication Number Publication Date
JP2003273855A JP2003273855A (en) 2003-09-26
JP4109470B2 true JP4109470B2 (en) 2008-07-02

Family

ID=29199995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002069032A Expired - Lifetime JP4109470B2 (en) 2002-03-13 2002-03-13 Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium

Country Status (1)

Country Link
JP (1) JP4109470B2 (en)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4773123B2 (en) * 2004-03-31 2011-09-14 株式会社リコー Communication device, certificate transfer device, authentication data transfer device, certificate setting system, authentication data setting system, communication device control method, certificate setting method, authentication data setting method, program, and recording medium
JP4671783B2 (en) * 2004-07-20 2011-04-20 株式会社リコー Communications system
JP4148246B2 (en) 2005-06-30 2008-09-10 ブラザー工業株式会社 Communication system, certificate update apparatus, certificate update program, communication apparatus, and alternative update program
JP4449899B2 (en) 2005-12-28 2010-04-14 ブラザー工業株式会社 Management device and program
JP4449931B2 (en) 2006-03-30 2010-04-14 ブラザー工業株式会社 Management device and management system
JP5412120B2 (en) * 2009-01-27 2014-02-12 ソフトバンクモバイル株式会社 Electronic signature device
JP5584548B2 (en) * 2010-07-30 2014-09-03 株式会社日本デジタル研究所 Storage medium for program and license management, server and computer system
JP5473152B2 (en) * 2011-04-08 2014-04-16 東芝テック株式会社 Information processing apparatus having certificate management function and certificate management program
JP5417628B2 (en) * 2011-04-08 2014-02-19 株式会社日立製作所 Signature server, signature system, and signature processing method
WO2016147568A1 (en) * 2015-03-18 2016-09-22 パナソニックIpマネジメント株式会社 Communications device, partner communications device, and communications program
US10666637B2 (en) * 2015-12-14 2020-05-26 Amazon Technologies, Inc. Certificate renewal and deployment
JP2023006091A (en) * 2021-06-30 2023-01-18 弁護士ドットコム株式会社 Program, information processing apparatus, and method

Also Published As

Publication number Publication date
JP2003273855A (en) 2003-09-26

Similar Documents

Publication Publication Date Title
US6978365B2 (en) Client-side boot domains and boot rules
US6393420B1 (en) Securing Web server source documents and executables
JP4278327B2 (en) Computer platform and operation method thereof
US7991995B2 (en) Method and apparatus for protecting information and privacy
US5758068A (en) Method and apparatus for software license management
JP3516591B2 (en) Data storage method and system and data storage processing recording medium
US20050149759A1 (en) User/product authentication and piracy management system
US20020178370A1 (en) Method and apparatus for secure authentication and sensitive data management
JP2003015760A (en) Method for controlling use of digitally encoded product
JP4109470B2 (en) Digital certificate management method, digital certificate distribution server, digital certificate transmission client, digital certificate management program, and recording medium
AU2010248069A1 (en) Enhanced product functionality based on user identification
JP2012048729A (en) Server computer for guaranteeing integrity of file
US20080022356A1 (en) Communication processing method and system relating to authentication information
US20100162361A1 (en) Replicating selected secrets to local domain controllers
US20080244554A1 (en) Method and system for updating digitally signed active content elements without losing attributes associated with an original signing user
JP3917125B2 (en) Document security system
JP4201556B2 (en) Information processing method and access authority management method in center system
JP3833635B2 (en) Information management system, key distribution server, information management method, and program
JP3993036B2 (en) License management method, license management system, license management program
US20070183598A1 (en) Apparatus for managing DRM installation and method thereof
JP2005198336A (en) Information management system and information management method
CN114282179A (en) Container system authorization method and server
WO2001071638A1 (en) An internet storage service system and method
JP2005115479A (en) Electronic data sharing apparatus, method and program
JP2005020536A (en) Electronic data signing device and program for signing device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080317

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080401

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080404

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4109470

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313532

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140411

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250