Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4584276B2 - Digital certificate search apparatus, method and program - Google Patents
[go: Go Back, main page]

JP4584276B2 - Digital certificate search apparatus, method and program - Google Patents

Digital certificate search apparatus, method and program Download PDF

Info

Publication number
JP4584276B2
JP4584276B2 JP2007065661A JP2007065661A JP4584276B2 JP 4584276 B2 JP4584276 B2 JP 4584276B2 JP 2007065661 A JP2007065661 A JP 2007065661A JP 2007065661 A JP2007065661 A JP 2007065661A JP 4584276 B2 JP4584276 B2 JP 4584276B2
Authority
JP
Japan
Prior art keywords
digital certificate
information
certificate
search
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007065661A
Other languages
Japanese (ja)
Other versions
JP2008226046A (en
Inventor
佳武 田島
賢治 太田
裕 渡邉
相哲 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007065661A priority Critical patent/JP4584276B2/en
Publication of JP2008226046A publication Critical patent/JP2008226046A/en
Application granted granted Critical
Publication of JP4584276B2 publication Critical patent/JP4584276B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、公衆無線LANサービスなどのネットワーク接続サービスや金融機関のオンラインバンキングサービスにおいてユーザ認証に使用するデジタル証明書を利用した技術に関する。   The present invention relates to a technique using a digital certificate used for user authentication in a network connection service such as a public wireless LAN service or an online banking service of a financial institution.

従来、ネットワークに接続する際の設定情報としてデジタル証明書が含まれたプロファイルを配布し、ネットワーク接続制御を行うシステムがあった(例えば特許文献1を参照)。プロファイルには認証のための情報として、認証方法やデジタル証明書などが含まれていた。
特開2006−324980号公報
Conventionally, there has been a system that distributes a profile including a digital certificate as setting information when connecting to a network and performs network connection control (see, for example, Patent Document 1). The profile included authentication methods and digital certificates as information for authentication.
JP 2006-324980 A

しかしながら、従来のようにプロファイルにデジタル証明書を添付する方法では、専用のソフトウェアを利用してプロファイル内のデジタル証明書を検索して、抽出したデジタル証明書を利用するため、標準的なデジタル証明書であっても他のソフトウェアで利用することができない。このように適用範囲に制約が生じるため、デジタル証明書をプロファイルと分離して配布する運用形態には適用できないという問題があった。   However, the conventional method of attaching a digital certificate to a profile uses a special software to search for the digital certificate in the profile and use the extracted digital certificate. Even if it is a certificate, it cannot be used with other software. As described above, since the application range is restricted, there is a problem that it cannot be applied to an operation mode in which a digital certificate is distributed separately from a profile.

また、デジタル証明書ファイルを配布してPCに保存する場合、認証時にはユーザ自身が適切なデジタル証明書を選択する必要があるため、誤ってサービス提供者に合致しないデジタル証明書を選択し、認証の失敗を招くという問題があった。   Also, when distributing a digital certificate file and saving it on a PC, it is necessary for the user to select an appropriate digital certificate at the time of authentication. Therefore, a digital certificate that does not match the service provider is selected by mistake. There was a problem of causing failure.

本発明は、上記問題点に鑑み、プロファイル情報を用いてネットワークに接続する際にデジタル証明書の汎用的な利用を可能としつつ認証の失敗を低減することを課題とする。   In view of the above problems, an object of the present invention is to reduce the number of authentication failures while enabling general-purpose use of a digital certificate when connecting to a network using profile information.

第1の本発明に係るデジタル証明書検索プログラムは、認証に使用するデジタル証明書を検索するデジタル証明書検索装置に実行させるデジタル証明書検索プログラムであって、デジタル証明書を第1の記憶手段に記憶しておくステップと、デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を前記第1の記憶手段から検索し、使用すべきデジタル証明書を選択するステップと、をデジタル証明書検索装置に実行させることを特徴とする。   A digital certificate search program according to a first aspect of the present invention is a digital certificate search program executed by a digital certificate search device for searching for a digital certificate used for authentication, wherein the digital certificate is stored in a first storage means. Storing in the second storage means profile information describing at least one of the issuer and issuer information of the digital certificate, and the digital certificate described in the profile information A digital certificate matching the information of the certificate is searched from the first storage means, and a step of selecting a digital certificate to be used is executed by the digital certificate search apparatus.

本発明にあっては、プロファイル情報にデジタル証明書の発行元と発行先の少なくとも一方の情報を記述し、その情報に合致するデジタル証明書を検索して使用すべきデジタル証明書を選択するようにしたことで、認証時においてユーザ自身によるデジタル証明書の選択が不要となる。また、上記プロファイル情報と上記デジタル証明書とは別々に記憶しておくようにしたことで、複数の制御ソフトウェアからデジタル証明書を汎用的に利用することができる。   In the present invention, at least one of the issuer and issuer of the digital certificate is described in the profile information, and the digital certificate that matches the information is searched and the digital certificate to be used is selected. As a result, the user does not need to select a digital certificate at the time of authentication. Further, since the profile information and the digital certificate are stored separately, the digital certificate can be used universally from a plurality of control software.

更に、ネットワーク管理者は、デジタル証明書の発行先と発行元の少なくとも一方の情報を把握しておけば、認証局管理者が発行するデジタル証明書とは独立にプロファイルを発行することができると共に、プロファイルとデジタル証明書を別々に配布する運用形態においてもプロファイル情報に基づいた接続制御が可能となる。   Furthermore, if the network administrator knows at least one of the issuer and issuer information of the digital certificate, the network administrator can issue the profile independently of the digital certificate issued by the certificate authority administrator. Even in an operation mode in which a profile and a digital certificate are distributed separately, connection control based on profile information is possible.

上記デジタル証明書検索プログラムにおいて、上記合致するデジタル証明書が複数存在する場合には、当該複数のデジタル証明書に関する情報をユーザに対して通知するステップと、通知した複数のデジタル証明書に関する情報の中から1つのデジタル証明書の指定を受け付けるステップと、指定されたデジタル証明書を使用すべきデジタル証明書として選択するステップと、をデジタル証明書検索装置に実行させることを特徴とする。   In the digital certificate search program, when there are a plurality of matching digital certificates, a step of notifying a user of information on the plurality of digital certificates, and a step of notifying information on the notified plurality of digital certificates The digital certificate search apparatus is configured to execute a step of accepting designation of one digital certificate from among them and a step of selecting a designated digital certificate as a digital certificate to be used.

本発明にあっては、上記検索の結果、プロファイル情報に記述された情報に合致するデジタル証明書が複数存在する場合においても、複数のデジタル証明書に関する情報をユーザに対して通知し、その中から1つのデジタル証明書の指定を受け付け、ユーザにより指定されたデジタル証明書を、使用すべきデジタル証明書として選択することができる。   In the present invention, even when there are a plurality of digital certificates that match the information described in the profile information as a result of the search, the information about the plurality of digital certificates is notified to the user. The digital certificate specified by the user can be selected as a digital certificate to be used.

上記デジタル証明書検索プログラムにおいて、選択したデジタル証明書に記述された情報を履歴情報として第3の記憶手段に記憶しておくステップと、第3の記憶手段に履歴情報が記憶されている場合には当該履歴情報に基づいて、デジタル証明書を選択するステップと、をデジタル証明書検索装置に実行させることを特徴とする。   In the digital certificate search program, when the information described in the selected digital certificate is stored in the third storage means as history information, and when the history information is stored in the third storage means Is configured to cause the digital certificate search apparatus to execute a step of selecting a digital certificate based on the history information.

本発明にあっては、選択されたデジタル証明書に記述された情報を履歴情報として記憶しておき、履歴情報が記憶されている場合にはその履歴情報に基づいて、デジタル証明書を選択する。更に、認証に失敗した場合にその履歴情報を削除する。これにより、認証に成功したデジタル証明書のみ履歴情報として保存されることとなり、ユーザ認証時に繰り返しユーザがデジタル証明書を選択する操作が不要となるので、誤ったデジタル証明書を選択することによる認証の失敗を低減することができる。   In the present invention, information described in the selected digital certificate is stored as history information. When history information is stored, the digital certificate is selected based on the history information. . Further, when authentication fails, the history information is deleted. As a result, only the digital certificate that has been successfully authenticated is stored as history information, and the user does not need to repeatedly select the digital certificate during user authentication. Therefore, authentication by selecting the wrong digital certificate is possible. Failure can be reduced.

第2の本発明に係るデジタル証明書検索方法は、認証に使用するデジタル証明書を検索するデジタル証明書検索方法であって、デジタル証明書を第1の記憶手段に記憶しておくステップと、デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、検索制御手段により、プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を第1の記憶手段から検索し、使用すべきデジタル証明書を選択するステップと、を有することを特徴とする。   A digital certificate search method according to a second aspect of the present invention is a digital certificate search method for searching for a digital certificate used for authentication, and storing the digital certificate in a first storage means; Storing the profile information in which at least one of the issuer and issuer information of the digital certificate is stored in the second storage unit, and the digital certificate information described in the profile information by the search control unit And a step of searching the first storage means for a digital certificate matching the above and selecting a digital certificate to be used.

上記デジタル証明書検索方法は、上記合致するデジタル証明書が複数存在する場合には、その複数のデジタル証明書に関する情報をユーザに対して通知するステップと、通知した複数のデジタル証明書に関する情報の中から1つのデジタル証明書の指定を受け付けるステップと、指定されたデジタル証明書を使用すべきデジタル証明書として選択するステップと、を有することを特徴とする。   In the digital certificate search method, when there are a plurality of matching digital certificates, a step of notifying the user of information about the plurality of digital certificates, and a step of notifying information about the notified plurality of digital certificates The method has a step of accepting designation of one digital certificate from among them, and a step of selecting the designated digital certificate as a digital certificate to be used.

上記デジタル証明書検索方法は、前記選択したデジタル証明書に記述された情報を履歴情報として第3の記憶手段に記憶しておくステップと、第3の記憶手段に履歴情報が記憶されている場合にはその履歴情報に基づいて、デジタル証明書を選択するステップと、を有することを特徴とする。   The digital certificate search method includes a step of storing information described in the selected digital certificate as history information in a third storage unit, and a case where history information is stored in the third storage unit And a step of selecting a digital certificate based on the history information.

第3の本発明に係るデジタル証明書検索装置は、認証に使用するデジタル証明書を選択するデジタル証明書検索装置であって、デジタル証明書を記憶しておく第1の記憶手段と、デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を記憶しておく第2の記憶手段と、プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を前記第1の記憶手段から検索し、使用すべきデジタル証明書を選択する選択制御手段と、を備えることを特徴とする。   A digital certificate search apparatus according to a third aspect of the present invention is a digital certificate search apparatus for selecting a digital certificate to be used for authentication, comprising a first storage means for storing a digital certificate, and a digital certificate Second storage means for storing profile information in which at least one of the issuer and issuer information of the certificate is described; and a digital certificate that matches the digital certificate information described in the profile information. Selection control means for searching from one storage means and selecting a digital certificate to be used.

上記デジタル証明書検索装置における選択制御手段は、合致するデジタル証明書が複数存在する場合には、その複数のデジタル証明書に関する情報をユーザに対して通知すると共に、通知した複数のデジタル証明書の中から1つのデジタル証明書の指定を受け付けて、指定されたデジタル証明書を使用すべきデジタル証明書として選択することを特徴とする。   When there are a plurality of matching digital certificates, the selection control means in the digital certificate search apparatus notifies the user of information related to the plurality of digital certificates, and the plurality of digital certificates notified. One of the digital certificates is accepted, and the designated digital certificate is selected as a digital certificate to be used.

上記デジタル証明書検索装置は、上記選択制御手段により選択されたデジタル証明書に記述された情報を履歴情報として記憶しておく第3の記憶手段を備え、選択制御手段は、第3の記憶手段に前記履歴情報が記憶されている場合には当該履歴情報に基づいて、デジタル証明書を選択することを特徴とする。   The digital certificate search apparatus includes third storage means for storing information described in the digital certificate selected by the selection control means as history information, and the selection control means includes third storage means. In the case where the history information is stored, the digital certificate is selected based on the history information.

本発明によれば、プロファイル情報を用いてネットワークに接続する際にデジタル証明書の汎用的な利用を可能としつつ認証の失敗を低減することができる。   According to the present invention, it is possible to reduce authentication failures while enabling general-purpose use of digital certificates when connecting to a network using profile information.

以下、本発明の一実施の形態について、図面を用いて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、一実施の形態に係る通信ネットワークシステム1の構成を示している。通信ネットワークシステム1は、通信端末100と、アクセスポイント200と、ネットワーク300と、認証サーバ400と、認証局(CA:Certificate Authority)500と、ネットワーク管理者が管理するプロファイル作成装置600と、を備えた構成を有している。   FIG. 1 shows a configuration of a communication network system 1 according to an embodiment. The communication network system 1 includes a communication terminal 100, an access point 200, a network 300, an authentication server 400, a certificate authority (CA) 500, and a profile creation device 600 managed by a network administrator. It has a configuration.

通信端末100は、プロファイルに記述された複数の通信接続方式を順に選択しながらネットワークへの接続を行う。プロファイルは、プロファイル作成装置600によって発行され、ネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。本実施の形態では、プロファイルとはプロファイル情報が記述されたファイルの実態として定義し、プロファイル情報とはプロファイルに記述されたデータとして定義する。   The communication terminal 100 connects to the network while sequentially selecting a plurality of communication connection methods described in the profile. The profile is issued by the profile creation apparatus 600 and describes profile information that identifies a plurality of connection methods that can be used in the network 300. In this embodiment, a profile is defined as the actual state of a file in which profile information is described, and profile information is defined as data described in the profile.

アクセスポイント200は、通信端末100を無線LAN(Local Area Network)で収容しネットワーク300と接続させる転送装置である。ここでは通信端末100と同一の無線LANのパラメータ(例えばESSID(Extended Service Set Identification)、WEP(Wired Equivalent Privacy)鍵等)が設定される。デジタル証明書を用いた接続認証においては、認証プロトコル(例えばIEEE802.1x EAP−TLS(Extensive Authentication Protocol-Transport Layer Security))の手順に基づいて、通信端末100と認証サーバ400との間で認証情報を転送し、接続制御を行う。   The access point 200 is a transfer device that accommodates the communication terminal 100 in a wireless local area network (LAN) and connects it to the network 300. Here, the same wireless LAN parameters as the communication terminal 100 (for example, ESSID (Extended Service Set Identification), WEP (Wired Equivalent Privacy) key, etc.) are set. In connection authentication using a digital certificate, authentication information between the communication terminal 100 and the authentication server 400 is based on an authentication protocol (for example, IEEE802.1x EAP-TLS (Extensive Authentication Protocol-Transport Layer Security)). Is transferred and connection control is performed.

認証局500は、認証局管理者によって管理され、ユーザ個人を認証するためのデジタル証明書を発行する。デジタル証明書は、通信端末を利用するユーザ個人を認証するための情報であり、ネットワーク接続を行う際に認証情報として使用される。ここでは例えばPKCS(Public Key Cryptography Standard)#12形式のデジタル証明書が使用される。デジタル証明書には、そのデジタル証明書を発行した発行元である認証局500を特定する文字列、発行先であるユーザを特定する文字列などの情報が記述される。発行されたデジタル証明書は安全性が確保された状態で配布される。   The certificate authority 500 is managed by a certificate authority administrator and issues a digital certificate for authenticating individual users. The digital certificate is information for authenticating the individual user who uses the communication terminal, and is used as authentication information when performing network connection. Here, for example, a digital certificate of PKCS (Public Key Cryptography Standard) # 12 format is used. The digital certificate describes information such as a character string that identifies the certificate authority 500 that issued the digital certificate and a character string that identifies the user that issued the digital certificate. The issued digital certificate is distributed in a secure state.

プロファイル作成装置600は、ネットワーク管理者によって管理され、プロファイルを発行する。プロファイルにはネットワーク300で利用可能な複数の接続方式を特定するプロファイル情報が記述される。接続方式として無線LANのパラメータであるESSID、WEP鍵等の情報が記述される。IEEE802.1x EAP−TLSなどのデジタル証明書を用いた接続認証を行う接続方式に対してはデジタル証明書を特定する情報が記述される。発行されたプロファイルはネットワーク管理者によって配布される。プロファイルはプロファイル作成装置からネットワークを介して通信端末にダウンロードしてもよいし、あるいは記録媒体に記録された状態で配布されてもよい。   The profile creation device 600 is managed by a network administrator and issues a profile. In the profile, profile information for specifying a plurality of connection methods usable in the network 300 is described. Information such as ESSID and WEP key, which are wireless LAN parameters, is described as a connection method. Information for specifying a digital certificate is described for a connection method for performing connection authentication using a digital certificate such as IEEE 802.1x EAP-TLS. The issued profile is distributed by the network administrator. The profile may be downloaded from the profile creation device to the communication terminal via the network, or may be distributed in a state recorded on a recording medium.

認証サーバ400は、通信端末100がネットワーク300に接続する際の接続認証の判定を行う。   The authentication server 400 determines connection authentication when the communication terminal 100 connects to the network 300.

図2は、通信ネットワークシステム1におけるネットワークの構成を示している。同図に示すように、このネットワーク300ではネットワーク管理者によりIEEE802.1xEAP−TLSの認証有りの接続サービスと、認証を行わない接続サービスが提供されている。ネットワーク300には認証を行わない接続サービスに対応したアクセスポイント200aと、認証有りの接続サービスに対応した200bとが接続されている。ここではアクセスポイント200aとアクセスポイント200bは共にESSIDとして「Svc−a」が設定されている。アクセスポイント200aは、WEPとして暗号化の鍵となる文字列「Key−a」が設定されている。アクセスポイント200bは、認証サーバ400と通信して、ユーザからのユーザ認証情報を転送して、接続制御を行う。   FIG. 2 shows a network configuration in the communication network system 1. As shown in the figure, in this network 300, a network administrator provides a connection service with IEEE802.1xEAP-TLS authentication and a connection service without authentication. Connected to the network 300 are an access point 200a corresponding to a connection service that is not authenticated and a 200b corresponding to a connection service with authentication. Here, both the access point 200a and the access point 200b are set with “Svc-a” as the ESSID. In the access point 200a, a character string “Key-a” serving as an encryption key is set as WEP. The access point 200b communicates with the authentication server 400, transfers user authentication information from the user, and performs connection control.

図3のブロック図は、通信端末100の概略的な構成を示している。同図に示すように、通信端末100は、デジタル証明書記憶部101と、プロファイル情報記憶部102と、
接続方式選択制御部103と、証明書検索制御部104と、証明書選択部105と、証明書利用履歴記録部106と、通信インターフェース部110とを備える。通信端末100はCPU(Central Processing Unit)、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを有するPC(Personal Computer)とする。接続方式選択制御部103及び証明書検索制御部104による処理は、CPUによって実行されるプログラムのモジュール等で実現される。デジタル証明書記憶部101、プロファイル情報記憶部102、及び証明書利用履歴記録部106はメモリで実現される。尚、本願発明のデジタル証明書を検索するデジタル証明書検索処理については同図では破線で囲んだ各部により実現される。
The block diagram of FIG. 3 shows a schematic configuration of the communication terminal 100. As shown in the figure, the communication terminal 100 includes a digital certificate storage unit 101, a profile information storage unit 102,
A connection method selection control unit 103, a certificate search control unit 104, a certificate selection unit 105, a certificate use history recording unit 106, and a communication interface unit 110 are provided. The communication terminal 100 is a PC (Personal Computer) having hardware such as a CPU (Central Processing Unit), a memory, a communication interface, a display device, and an input device for inputting key operations. Processing by the connection method selection control unit 103 and the certificate search control unit 104 is realized by a module of a program executed by the CPU. The digital certificate storage unit 101, the profile information storage unit 102, and the certificate use history recording unit 106 are realized by a memory. Note that the digital certificate search process for searching for a digital certificate according to the present invention is realized by each part surrounded by a broken line in FIG.

デジタル証明書記憶部101は、第1の記憶手段として、デジタル証明書の情報を記憶しておく。プロファイル情報記憶部102は、第2の記憶手段として、デジタル証明書とは別個に配布され、デジタル証明書の発行元及び発行先の情報が記述されたプロファイル情報を記憶しておく。   The digital certificate storage unit 101 stores digital certificate information as a first storage unit. The profile information storage unit 102 stores, as second storage means, profile information that is distributed separately from the digital certificate and in which information on the issuer and issuer of the digital certificate is described.

接続方式選択制御部103は、プロファイル情報記憶部102からプロファイル情報を読み込み、デジタル証明書記憶部101のデジタル証明書の検索処理要求及び検索条件などの情報を証明書検索制御部104に送信する。検索結果に基づいて通信接続方式の選択制御を行い、通信インターフェース部110に対して通信接続の制御を行う。   The connection method selection control unit 103 reads profile information from the profile information storage unit 102 and transmits information such as a digital certificate search processing request and search conditions in the digital certificate storage unit 101 to the certificate search control unit 104. Based on the search result, communication connection method selection control is performed, and communication connection control is performed for the communication interface unit 110.

証明書検索制御部104は、デジタル証明書記憶部101のデジタル証明書の検索を実行する。また、証明書選択部105へのデジタル証明書に関する情報のやり取りを行い、証明書利用履歴記録部106へのデジタル証明書の履歴情報の記憶・参照を行う。また検索した結果に基づいて利用すべきデジタル証明書の選択処理を行う。   The certificate search control unit 104 executes a search for a digital certificate in the digital certificate storage unit 101. In addition, exchange of information regarding the digital certificate to the certificate selection unit 105 is performed, and history information of the digital certificate is stored and referred to the certificate use history recording unit 106. In addition, the digital certificate to be used is selected based on the search result.

証明書選択部105は、証明書検索制御部104から通知された複数のデジタル証明書に関する情報をユーザに対して通知し、その中から1つのデジタル証明書の指定を受け付けて、指定情報を証明書検索制御部104に送信する。ここでは複数のデジタル証明書に関する情報を画面に表示する表示装置、及びユーザによる指定を受け付ける入力装置で実現される。   The certificate selection unit 105 notifies the user of information related to a plurality of digital certificates notified from the certificate search control unit 104, accepts designation of one digital certificate from the information, and proves the designation information. To the document search control unit 104. Here, it is realized by a display device that displays information on a plurality of digital certificates on a screen and an input device that accepts designation by a user.

証明書利用履歴記録部106は、第3の記憶手段として、証明書検索制御部104により選択されたデジタル証明書に記述された情報を履歴情報として記憶しておく。   The certificate use history recording unit 106 stores, as the third storage unit, information described in the digital certificate selected by the certificate search control unit 104 as history information.

通信インターフェース部110は、接続方式選択制御部103により選択された通信接続方式に従って通信接続処理を実行する。   The communication interface unit 110 executes communication connection processing according to the communication connection method selected by the connection method selection control unit 103.

次に、プロファイルの構成について図を用いて説明する。図4〜図5は通信端末100のプロファイル情報記憶部102に記憶されるプロファイル情報の例を示している。同図に示すように、プロファイルは、ネットワーク300を利用する全ユーザに対して同一の既定の構成として発行される。各値はユーザに対応して変更することもできる。またユーザ自身がプロファイル情報の一部を追加・変更・削除することもできる。   Next, the configuration of the profile will be described with reference to the drawings. 4 to 5 show examples of profile information stored in the profile information storage unit 102 of the communication terminal 100. FIG. As shown in the figure, the profile is issued to all users who use the network 300 as the same default configuration. Each value can be changed according to the user. Also, the user himself can add / change / delete part of the profile information.

プロファイルには複数の通信接続方式の設定情報が記述される。ここでは通信接続方式には、接続方式毎の管理用パラメータ(接続名、優先順位、接続形態)と、接続用パラメータ(ESDID,WEP,Issuer、Subject)が含まれる。ここでは接続方式として「接続名:接続A」と「接続名:接続B」の2種類が記述されている。   In the profile, setting information for a plurality of communication connection methods is described. Here, the communication connection method includes management parameters (connection name, priority order, connection form) and connection parameters (ESDID, WEP, Issuer, Subject) for each connection method. Here, two types of connection methods, “connection name: connection A” and “connection name: connection B” are described.

「優先順位」は、各接続方式を使用して接続を試行する順番を表し、小さい番号に対応した接続方式から順番に使用される。「接続形態」は、IEEE802.1x EAP−TLSの認証を行うかどうかを表している。「ESSID」はその接続方式で接続する無線LANアクセスポイントの識別子を表す。「WEP」は、そのアクセスポイントの暗号化の鍵となる文字列を表す。   The “priority” indicates the order of connection attempts using each connection method, and is used in order from the connection method corresponding to the smaller number. “Connection form” indicates whether or not IEEE 802.1x EAP-TLS authentication is performed. “ESSID” represents an identifier of a wireless LAN access point connected by the connection method. “WEP” represents a character string serving as a key for encryption of the access point.

ここで「Issuer」及び「Subject」はIEEE802.1x EAP−TLS認証でユーザが使用するデジタル証明書に記述された情報と同一の情報である。「Issuer」はそのデジタル証明書を発行した発行元である認証局を特定する文字列を表す。「Subject」はそのデジタル証明書の発行先であるユーザを特定する文字列を表す。   Here, “Issuer” and “Subject” are the same information as the information described in the digital certificate used by the user in the IEEE 802.1x EAP-TLS authentication. “Issuer” represents a character string that identifies the certificate authority that issued the digital certificate. “Subject” represents a character string that identifies the user to whom the digital certificate is issued.

次に、デジタル証明書の構成について図を用いて説明する。   Next, the configuration of the digital certificate will be described with reference to the drawings.

図6〜図8は通信端末100のデジタル証明書記憶部101に記憶されるデジタル証明書の例を示している。同図に示すように、デジタル証明書には、ここでは例えば一般的な公開鍵証明書の規格の1つであるX.509形式のデジタル証明書を利用する。デジタル証明書には以下の情報が記述される。シリアル番号は、1つの認証局から発行されたデジタル証明書で重複しないように付与された番号である。「Issuer」は、そのデジタル証明書を発行した発行元である認証局を表す文字列である。「Subject」は、デジタル証明書の発行先であるユーザ名を表す文字列である。   6 to 8 show examples of digital certificates stored in the digital certificate storage unit 101 of the communication terminal 100. FIG. As shown in the figure, the digital certificate includes, for example, X.1, which is one of general public key certificate standards. 509 format digital certificates are used. The following information is described in the digital certificate. The serial number is a number assigned so as not to be duplicated in a digital certificate issued by one certificate authority. “Issuer” is a character string that represents the certificate authority that issued the digital certificate. “Subject” is a character string representing a user name to which a digital certificate is issued.

このように、デジタル証明書と、その発行元及び発行先の情報が記述されたプロファイル情報とを別々に記憶しておくようにしたことで、複数の制御ソフトウェアからデジタル証明書を汎用的に利用することができる。更に、ネットワーク管理者は、デジタル証明書の発行先と発行元の少なくとも一方の情報を把握しておけば、認証局管理者が発行するデジタル証明書とは独立にプロファイルを発行することができると共に、プロファイルとデジタル証明書を別々に配布する運用形態においてもプロファイル情報に基づいた接続制御が可能となる。   In this way, the digital certificate and the profile information describing the issuer and issuer information are stored separately, so that the digital certificate can be used universally from multiple control software. can do. Furthermore, if the network administrator knows at least one of the issuer and issuer information of the digital certificate, the network administrator can issue the profile independently of the digital certificate issued by the certificate authority administrator. Even in an operation mode in which a profile and a digital certificate are distributed separately, connection control based on profile information is possible.

次に、通信端末100がプロファイル情報を用いてネットワークに接続する動作について図9、図10を用いて具体的に説明する。図9のフローチャートは、主に接続方式選択制御部103による通信接続方式の選択処理の流れを示している。   Next, the operation of the communication terminal 100 connecting to the network using the profile information will be specifically described with reference to FIGS. The flowchart in FIG. 9 mainly shows a flow of communication connection method selection processing by the connection method selection control unit 103.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0に設定する(S1)。   Step 1: First, in the first step, the current profile order is set to the initial state 0 (S1).

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された接続方式の「優先順位」を参照する。現在のプロファイル順位の次に大きな優先順位に該当する接続方式を選択する(S2)。   Step 2: In the next step, profile information is read from the profile information storage unit 102, and the “priority” of the connection method described in the profile information is referred to. A connection method corresponding to the next highest priority order of the current profile order is selected (S2).

ステップ3:次のステップでは、選択した接続方式の「接続形態」を参照して、「接続形態:認証無し」の場合には無線LAN(IEEE802.11)の接続処理を実行し、「接続形態:認証有り」の場合には証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する(S3)。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。証明書検索処理の結果、接続方式選択制御部103は、証明書検索制御部104から検索条件に合致するデジタル証明書の有無に関する情報を受け付ける。証明書検索制御部104による証明書検索処理の詳細については後述する(S4)。
Step 3: In the next step, referring to the “connection form” of the selected connection method, in the case of “connection form: no authentication”, the wireless LAN (IEEE 802.11) connection process is executed, and “connection form” : If authentication is present, a request for search processing is transmitted to the certificate search control unit 104 to execute the certificate search processing (S3).
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101. As a result of the certificate search process, the connection method selection control unit 103 receives information regarding the presence / absence of a digital certificate that matches the search condition from the certificate search control unit 104. Details of the certificate search processing by the certificate search control unit 104 will be described later (S4).

ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けた場合には、デジタル証明書による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行う。IEEE802.1x接続処理のEAP−TLS認証ではステップ4で検索されたデジタル証明書を使用する。該当するデジタル証明書が存在しないという情報を受け付けた場合には、デジタル証明書による認証を行わない通信接続方式を選択すべく、ステップ2へ戻る。   Step 5: In the next step, when information indicating that the corresponding digital certificate exists is received, a communication connection method for performing authentication using the digital certificate is selected. Here, wireless LAN connection (IEEE 802.11, IEEE 802.1x) processing is performed. In the EAP-TLS authentication of the IEEE 802.1x connection process, the digital certificate retrieved in step 4 is used. If information indicating that the corresponding digital certificate does not exist is received, the process returns to step 2 to select a communication connection method that does not perform authentication using the digital certificate.

ステップ6:上記各無線LANの接続処理の結果、接続が正常に完了した場合には、接続を継続する。一方で、接続が正常に完了しなかった場合には、該当するデジタル証明書の履歴情報として後述のステップ48で保存された証明書値を消去してステップ2へ戻る。   Step 6: If the connection is normally completed as a result of the connection process of each wireless LAN, the connection is continued. On the other hand, if the connection is not normally completed, the certificate value stored in step 48 described later as the history information of the corresponding digital certificate is deleted, and the process returns to step 2.

次に、上記ステップ4における証明書検索制御部104によるデジタル証明書の検索処理について図10のフローチャートを用いて説明する。   Next, digital certificate search processing by the certificate search control unit 104 in step 4 will be described with reference to the flowchart of FIG.

ステップ40:最初のステップでは、検索に先立って、証明書利用履歴記録部106内に該当するデジタル証明書の履歴情報として保存された証明書値が存在するかどうかを判定する(S40)。   Step 40: In the first step, prior to the search, it is determined whether there is a certificate value stored as history information of the corresponding digital certificate in the certificate use history recording unit 106 (S40).

ステップ41:ステップ40で証明書値が存在する場合に、その証明書値と一致するデジタル証明書の有無を確認し、そのデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する(S41)。   Step 41: If a certificate value exists in Step 40, the presence or absence of a digital certificate that matches the certificate value is confirmed. If the digital certificate exists, the search result is set as (1) A digital certificate is selected (S41).

ステップ42:ステップ40で証明書値が存在しない場合、又はステップ41で証明書値と一致するデジタル証明書が存在しない場合には以下の処理を行う(S42)。   Step 42: If there is no certificate value in step 40, or if there is no digital certificate that matches the certificate value in step 41, the following processing is performed (S42).

プロファイル情報を参照し、以下の検索条件i)、ii)に合致するデジタル証明書を検索する。i)プロファイル情報の「Issuer」に記述された文字列とデジタル証明書の「Issuer」に記述された文字列が一致する。ii)プロファイル情報の「Subject」に記述された文字列全体がデジタル証明書の「Subject」に記述された文字列に前方一致する。   Refer to the profile information and search for a digital certificate that meets the following search conditions i) and ii). i) The character string described in “Issuer” of the profile information matches the character string described in “Issuer” of the digital certificate. ii) The entire character string described in “Subject” of the profile information matches the character string described in “Subject” of the digital certificate.

ステップ43:検索の結果、一致したデジタル証明書の数を判定する。一致したデジタル証明書の数が0の場合検索結果を(0)とする。一致したデジタル証明書の数が1の場合検索結果を(1)として、そのデジタル証明書を選択する(S43)。   Step 43: The number of digital certificates that match as a result of the search is determined. If the number of matched digital certificates is 0, the search result is (0). If the number of matched digital certificates is 1, the search result is (1) and the digital certificate is selected (S43).

ステップ44,45:ステップ43で一致したデジタル証明書の数が2以上の場合は、複数のデジタル証明書に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける(S44,S45)。   Steps 44 and 45: If the number of digital certificates matched in step 43 is two or more, the user is notified of information regarding a plurality of digital certificates, and the user is requested to select. A digital certificate designation from the user is accepted (S44, S45).

ステップ46、ステップ47:ユーザからの指定応答を受け付けて、指定されたデジタル証明書が存在する場合には、検索結果を(1)としてそのデジタル証明書を選択する。ユーザからの指定応答を受け付けないまま一定時間を経過した場合、および指定されたデジタル証明書が存在しない場合は、検索結果を(0)とする(S46,S47)。   Step 46 and Step 47: When a designated response from the user is received and the designated digital certificate exists, the digital certificate is selected with the search result as (1). If a predetermined time has passed without accepting a designated response from the user, and if the designated digital certificate does not exist, the search result is set to (0) (S46, S47).

ステップ48:上記ステップ43〜ステップ47の結果、検索結果が0の場合は証明書値を消去し、検索結果が1の場合は証明書値を保存する(S48)。   Step 48: If the search result is 0 as a result of step 43 to step 47, the certificate value is deleted, and if the search result is 1, the certificate value is saved (S48).

[第1の動作例]
次に、第1の動作例として、図4で示したプロファイル1を利用して、デジタル証明書が保存されていない状態の通信端末からネットワークへ接続する場合の動作について図9のフローチャートを参照しながら説明する。
[First operation example]
Next, as a first operation example, referring to the flowchart of FIG. 9 for the operation in the case of connecting to a network from a communication terminal in which a digital certificate is not stored using the profile 1 shown in FIG. While explaining.

ステップ1:最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: In the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。ここではデジタル証明書が保存されていないので、証明書検索処理の結果、条件に合致するデジタル証明書が存在しない旨の情報を受け付ける。
Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101. Here, since the digital certificate is not stored, information indicating that there is no digital certificate that matches the conditions is accepted as a result of the certificate search process.

ステップ5:次のステップでは、該当するデジタル証明書が存在しないという情報を受け付け、接続処理を実施せずステップ2へ戻る。   Step 5: In the next step, information that the corresponding digital certificate does not exist is received, and the process returns to Step 2 without performing the connection process.

ステップ2’において、次に大きい「優先順位:Pri2」の接続方式「接続B」が選択される。次のステップ3’では接続方式「接続B」は「接続形態:認証なし」であるので無線LAN接続処理が実施される。   In step 2 ′, the next highest “priority: Pri2” connection method “connection B” is selected. In the next step 3 ′, since the connection method “connection B” is “connection type: no authentication”, wireless LAN connection processing is performed.

ステップ6:このとき無線LANのパラメータ「ESSID:Svc−a」、「WEP鍵:Key−a」に合致するアクセスポイントが存在する場合、接続処理が完了し、接続を継続する。   Step 6: At this time, if there is an access point that matches the parameters “ESSID: Svc-a” and “WEP key: Key-a” of the wireless LAN, the connection process is completed and the connection is continued.

[第2の動作例]
次に、第2の動作例として、図4で示したプロファイル1を利用して、図6,7で示したデジタル証明書1,2が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,図10のフローチャートを参照しながら説明する。
[Second operation example]
Next, as a second operation example, the profile 1 shown in FIG. 4 is used to connect to a network from a communication terminal in which the digital certificates 1 and 2 shown in FIGS. The operation will be described with reference to the flowcharts of FIGS.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: First, in the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。
Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101.

ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。   Step 40: Here, it is assumed that the history information of the digital certificate is not stored in the certificate use history recording unit 106, and the process proceeds to Step 42.

ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル1の「Issuer:Auth0」とデジタル証明書1の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル1の「Subject:Pref0−User0」の文字列全体がデジタル証明書1の「Subject:Pref0−User1」に前方一致する。   Step 42: In the step of searching for a digital certificate that matches the profile information by the certificate search control unit 104, the profile information is referenced to search for a certificate that matches the following search conditions i) and ii). i) “Issuer: Auth0” of profile 1 and “Issuser: Auth0” of digital certificate 1 match. Here, “Issuer: Auth1” of the digital certificate 2 does not match the condition. ii) The entire character string of “Subject: Pref0-User0” of profile 1 is forward-matched with “Subject: Pref0-User1” of digital certificate 1.

ステップ43:検索の結果、一致したデジタル証明書の数が1であるので、検索結果を(1)として、上記検索条件i)、ii)に合致したデジタル証明書1を選択する。   Step 43: As a result of the search, the number of matched digital certificates is 1, so that the search result is (1), and the digital certificate 1 that matches the search conditions i) and ii) is selected.

ステップ48:デジタル証明書1の証明書値「Issuer:Auth0、シリアル番号:12345678」を履歴情報として証明書利用履歴記録部106に保存する。   Step 48: The certificate value “Issuer: Auth0, serial number: 12345678” of the digital certificate 1 is stored in the certificate use history recording unit 106 as history information.

ステップ5:次のステップでは、該当するデジタル証明書が存在するという情報を受け付けて、デジタル証明書1による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書1を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。   Step 5: In the next step, information indicating that the corresponding digital certificate exists is received, and a communication connection method for performing authentication using the digital certificate 1 is selected. Here, after performing wireless LAN connection (IEEE802.11, IEEE802.1x) processing and establishing a wireless LAN link with an access point whose ESSID is Svc-a, in step 4 in EAP-TLS authentication of the IEEE802.1x connection processing. Authentication is performed using the selected digital certificate 1. The authentication information is authenticated by the authentication server, and the access point performs connection processing. as a result. The connection process to the network at the communication terminal ends.

[第3の動作例]
次に、第3の動作例として、図5で示したプロファイル2を利用して、図6,7,8で示したデジタル証明書1,2,3が保存された状態の通信端末からネットワークへ接続する場合の動作について図9,10のフローチャートを参照しながら説明する。
[Third operation example]
Next, as a third operation example, the profile 2 shown in FIG. 5 is used to transfer the digital certificate 1, 2, 3 shown in FIGS. 6, 7, and 8 from the communication terminal to the network. The operation for connection will be described with reference to the flowcharts of FIGS.

ステップ1:まず、最初のステップでは、現在のプロファイル順位を初期状態0「Pri0」に設定する。   Step 1: First, in the first step, the current profile order is set to the initial state 0 “Pri0”.

ステップ2:次のステップでは、プロファイル情報記憶部102からプロファイル情報を読み込んで、プロファイル情報に記述された「優先順位」を参照して、現在のプロファイル順位の次に大きな「優先順位:Pri1」に該当する接続方式「接続A」を選択する。   Step 2: In the next step, the profile information is read from the profile information storage unit 102, the "priority order" described in the profile information is referred to, and the "priority order: Pri1" next to the current profile order is set. Select the appropriate connection method “Connection A”.

ステップ3:次のステップでは、接続方式「接続A」は、「接続形態:認証有り」であるので証明書検索処理を実行すべく、証明書検索制御部104に検索処理の要求を送信する。
ステップ4:次のステップでは、証明書検索制御部104によりデジタル証明書記憶部101に保存されているデジタル証明書の検索が実行される。
Step 3: In the next step, since the connection method “connection A” is “connection type: authenticated”, a request for search processing is transmitted to the certificate search control unit 104 in order to execute certificate search processing.
Step 4: In the next step, the certificate search control unit 104 searches for the digital certificate stored in the digital certificate storage unit 101.

ステップ40:ここではデジタル証明書の履歴情報は証明書利用履歴記録部106に保存されていないものとし、ステップ42へ進む。   Step 40: Here, it is assumed that the history information of the digital certificate is not stored in the certificate use history recording unit 106, and the process proceeds to Step 42.

ステップ42:証明書検索制御部104によるプロファイル情報と合致するデジタル証明書を検索するステップにおいて、プロファイル情報を参照し、以下の検索条件i)、ii)に合致する証明書を検索する。i)プロファイル2の「Issuer:Auth0」とデジタル証明書1およびデジタル証明書3の「Issuer:Auth0」が一致する。ここでデジタル証明書2の「Issuer:Auth1」は条件に一致しない。ii)プロファイル2の「Subject:Pref0−User0」の文字列全体が、デジタル証明書1の「Subject:Pref0−User1」およびデジタル証明書3の「Subject:Pref0−User2」に前方一致する。   Step 42: In the step of searching for a digital certificate that matches the profile information by the certificate search control unit 104, the profile information is referenced to search for a certificate that matches the following search conditions i) and ii). i) “Issuer: Auth0” of profile 2 matches “Issuer: Auth0” of digital certificate 1 and digital certificate 3. Here, “Issuer: Auth1” of the digital certificate 2 does not match the condition. ii) The entire character string of “Subject: Pref0-User0” of profile 2 is forward-matched with “Subject: Pref0-User1” of digital certificate 1 and “Subject: Pref0-User2” of digital certificate 3.

ステップ43:検索の結果、デジタル証明書1およびデジタル証明書3の2つが一致したので、検索結果は(2)となる。   Step 43: Since the digital certificate 1 and the digital certificate 3 match as a result of the search, the search result is (2).

ステップ44,45:ステップ43で一致したデジタル証明書の数が2であるのでデジタル証明書1およびデジタル証明書3に関する情報をユーザに通知して、ユーザに選択を要求する。ユーザからのデジタル証明書の指定を受け付ける。ここでは一定時間内にユーザから例えばデジタル証明書3の指定を受け付けたとする。   Steps 44 and 45: Since the number of digital certificates matched in step 43 is 2, the user is notified of information related to the digital certificate 1 and the digital certificate 3, and the user is requested to select. Accepts a digital certificate specification from the user. Here, it is assumed that the designation of the digital certificate 3 is received from the user within a certain time.

ステップ46、ステップ47:指定されたデジタル証明書3は存在するので検索結果を(1)としてそのデジタル証明書3を選択する。   Step 46 and Step 47: Since the designated digital certificate 3 exists, the digital certificate 3 is selected with the search result as (1).

ステップ48:検索結果が(1)であるのでデジタル証明書3の証明書値(Issuer:Auth0、シリアル番号:345678)を履歴情報として証明書利用履歴記録部106に保存する。   Step 48: Since the search result is (1), the certificate value (Issuer: Auth0, serial number: 345678) of the digital certificate 3 is stored in the certificate use history recording unit 106 as history information.

ステップ5:次のステップでは、デジタル証明書3による認証を行う通信接続方式を選択する。ここでは無線LAN接続(IEEE802.11、IEEE802.1x)処理を行い、ESSIDがSvc−aのアクセスポイントと無線LANのリンクを確立した後、IEEE802.1x接続処理のEAP−TLS認証においてステップ4で選択されたデジタル証明書3を用いて認証を行う。尚、認証情報は認証サーバで認証され、アクセスポイントが接続処理を行う。その結果。通信端末におけるネットワークへの接続処理が終了する。   Step 5: In the next step, a communication connection method for performing authentication using the digital certificate 3 is selected. Here, after performing wireless LAN connection (IEEE802.11, IEEE802.1x) processing and establishing a wireless LAN link with an access point whose ESSID is Svc-a, in step 4 in EAP-TLS authentication of the IEEE802.1x connection processing. Authentication is performed using the selected digital certificate 3. The authentication information is authenticated by the authentication server, and the access point performs connection processing. as a result. The connection process to the network at the communication terminal ends.

ただし、認証に失敗した場合は、接続処理は完了しないと同時に保存された履歴情報は削除される。このように、プロファイル情報で指定される条件に合致するデジタル証明書が複数検索された場合においても認証に成功した証明書のみ、その履歴情報が保存されるようになる。さらに、認証に成功した後の再接続時には、ステップ40にて履歴情報を参照して証明書を選択するため、繰り返しユーザが選択する操作が不要になり、誤ったデジタル証明書の選択による認証失敗を低減することが可能となる。   However, if the authentication fails, the connection history is not completed and the stored history information is deleted. As described above, even when a plurality of digital certificates that match the conditions specified by the profile information are searched, the history information is stored only for the certificates that have been successfully authenticated. Furthermore, at the time of reconnection after successful authentication, the certificate is selected by referring to the history information in step 40, so that the operation of repeated selection by the user becomes unnecessary, and authentication failure due to incorrect digital certificate selection Can be reduced.

以上、動作例で示したように、本実施の形態によれば、プロファイル情報にデジタル証明書の発行元及び発行先の情報を記述し、その情報に合致するデジタル証明書を検索して使用すべきデジタル証明書を選択するようにしたことで、認証時においてユーザ自身によるデジタル証明書の選択が不要となる。また、プロファイル情報とデジタル証明書とは別々に記憶しておくようにしたことで、複数の制御ソフトウェアからデジタル証明書を汎用的に利用することができる。更に、ネットワーク管理者は、デジタル証明書の発行先と発行元の少なくとも一方の情報を把握しておけば、認証局管理者が発行するデジタル証明書とは独立にプロファイルを発行することができると共に、プロファイルとデジタル証明書を別々に配布する運用形態においてもプロファイル情報に基づいた接続制御が可能となる。   As described above, according to this embodiment, according to the present embodiment, the information on the issuer and issuer of the digital certificate is described in the profile information, and the digital certificate that matches the information is searched and used. Since the digital certificate to be selected is selected, it is not necessary to select the digital certificate by the user at the time of authentication. Further, since the profile information and the digital certificate are stored separately, the digital certificate can be used universally from a plurality of control software. Furthermore, if the network administrator knows at least one of the issuer and issuer information of the digital certificate, the network administrator can issue the profile independently of the digital certificate issued by the certificate authority administrator. Even in an operation mode in which a profile and a digital certificate are distributed separately, connection control based on profile information is possible.

また、本実施の形態によれば、検索の結果、プロファイル情報に記述された情報に合致するデジタル証明書が複数存在する場合においても、複数のデジタル証明書に関する情報をユーザに対して通知し、その中から1つのデジタル証明書の指定を受け付け、ユーザにより指定されたデジタル証明書を、使用すべきデジタル証明書として選択することができる。   Further, according to the present embodiment, even when there are a plurality of digital certificates that match the information described in the profile information as a result of the search, the user is notified of information related to the plurality of digital certificates, One digital certificate can be designated from among them, and the digital certificate designated by the user can be selected as a digital certificate to be used.

さらに、本実施の形態によれば、選択されたデジタル証明書に記述された情報を履歴情報として記憶しておき、履歴情報が記憶されている場合にはその履歴情報に基づいて、デジタル証明書を選択するようにし、認証に失敗した場合にその履歴情報を削除するようにしたことで、認証に成功したデジタル証明書のみ履歴情報として保存されることとなり、ユーザ認証時に繰り返しユーザがデジタル証明書を選択する操作が不要となるので、誤ったデジタル証明書を選択することによる認証の失敗を低減することができる。   Furthermore, according to the present embodiment, information described in the selected digital certificate is stored as history information, and if history information is stored, the digital certificate is based on the history information. When the authentication fails, the history information is deleted, so that only the digital certificate that succeeds in authentication is saved as history information, and the user repeatedly repeats the digital certificate during user authentication. Therefore, it is possible to reduce authentication failure due to selection of an incorrect digital certificate.

尚、本実施の形態においては、通信端末100は、CPU、メモリ、通信インターフェース、表示装置、キー操作などを入力させる入力装置などのハードウェアを備えたPCとしたが、上記各部を備えた情報機器であればこれに限られるものではない。   In the present embodiment, the communication terminal 100 is a PC including hardware such as a CPU, a memory, a communication interface, a display device, an input device for inputting key operations, etc., but information including the above-described units. If it is an apparatus, it will not be restricted to this.

また、本実施の形態においては、証明書検索制御部104によるデジタル証明書の検索処理はCPUによって実行されるプログラムで実現されるようにしたが、上記処理を実行する専用のハードウェアで実現してもよい。   In the present embodiment, the digital certificate search processing by the certificate search control unit 104 is realized by a program executed by the CPU, but is realized by dedicated hardware for executing the above processing. May be.

一実施の形態に係る通信ネットワークのシステム構成図である。1 is a system configuration diagram of a communication network according to an embodiment. 上記通信システムにおけるネットワーク構成図である。It is a network block diagram in the said communication system. 上記通信システムにおいてネットワークに接続する通信端末の概略的な構成を示すブロック図である。It is a block diagram which shows schematic structure of the communication terminal connected to a network in the said communication system. 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第1の例を示すチャート図である。It is a chart figure which shows the 1st example of the profile information memorize | stored in the profile information storage part of the said communication terminal. 上記通信端末のプロファイル情報記憶部に記憶されるプロファイル情報の第2の例を示すチャート図である。It is a chart figure which shows the 2nd example of the profile information memorize | stored in the profile information storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第1の例を示すチャート図である。It is a chart figure which shows the 1st example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第2の例を示すチャート図である。It is a chart figure which shows the 2nd example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末のデジタル証明書記憶部に記憶されるデジタル証明書の第3の例を示すチャート図である。It is a chart figure which shows the 3rd example of the digital certificate memorize | stored in the digital certificate memory | storage part of the said communication terminal. 上記通信端末における通信接続方式の選択処理を示すフローチャートである。It is a flowchart which shows the selection process of the communication connection system in the said communication terminal. 上記通信端末におけるデジタル証明書の検索処理を示すフローチャートである。It is a flowchart which shows the search process of the digital certificate in the said communication terminal.

符号の説明Explanation of symbols

1…通信ネットワークシステム
100…通信端末
101…デジタル証明書記憶部
102…プロファイル情報記憶部
103…接続方式選択制御部
104…証明書検索制御部
105…証明書選択部
106…証明書利用履歴記録部
110…通信インターフェース部
200…アクセスポイント
200a…アクセスポイント(認証無)
200b…アクセスポイント(認証有)
300…ネットワーク
400…認証サーバ
500…認証局(CA)
600…プロファイル作成装置
DESCRIPTION OF SYMBOLS 1 ... Communication network system 100 ... Communication terminal 101 ... Digital certificate memory | storage part 102 ... Profile information memory | storage part 103 ... Connection method selection control part 104 ... Certificate search control part 105 ... Certificate selection part 106 ... Certificate utilization log | history recording part 110: Communication interface unit 200 ... Access point 200a ... Access point (no authentication)
200b ... Access point (with authentication)
300 ... Network 400 ... Authentication server 500 ... Certificate Authority (CA)
600 ... Profile creation device

Claims (5)

認証に使用するデジタル証明書を検索するデジタル証明書検索装置に実行させるデジタル証明書検索プログラムであって、
前記デジタル証明書を第1の記憶手段に記憶しておくステップと、
前記デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、
前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を前記第1の記憶手段から検索し、使用すべきデジタル証明書を選択するステップと、
をデジタル証明書検索装置に実行させることを特徴とするデジタル証明書検索プログラム。
A digital certificate search program for causing a digital certificate search device to search for a digital certificate used for authentication,
Storing the digital certificate in a first storage means;
Storing profile information in which information of at least one of an issuer and an issuer of the digital certificate is described in a second storage unit;
Retrieving a digital certificate that matches the digital certificate information described in the profile information from the first storage means, and selecting a digital certificate to be used;
A digital certificate search program characterized by causing a digital certificate search device to execute.
前記合致するデジタル証明書が複数存在する場合には、当該複数のデジタル証明書に関する情報をユーザに対して通知するステップと、通知した複数のデジタル証明書に関する情報の中から1つのデジタル証明書の指定を受け付けるステップと、
前記指定されたデジタル証明書を、使用すべきデジタル証明書として選択するステップと、
をデジタル証明書検索装置に実行させることを特徴とする請求項1に記載のデジタル証明書検索プログラム。
If there are a plurality of matching digital certificates, the step of notifying the user of information related to the plurality of digital certificates, and one digital certificate from among the notified information related to the plurality of digital certificates. A step of accepting the designation;
Selecting the designated digital certificate as a digital certificate to be used;
2. The digital certificate search program according to claim 1, wherein the digital certificate search apparatus is executed.
前記選択したデジタル証明書に記述された情報を履歴情報として第3の記憶手段に記憶しておくステップと、
前記第3の記憶手段に履歴情報が記憶されている場合には当該履歴情報に基づいて、デジタル証明書を選択するステップと、
をデジタル証明書検索装置に実行させることを特徴とする請求項1又は請求項2に記載のデジタル証明書検索プログラム。
Storing the information described in the selected digital certificate in the third storage means as history information;
A step of selecting a digital certificate based on the history information when history information is stored in the third storage means;
The digital certificate search program according to claim 1 or 2, wherein the digital certificate search apparatus is executed.
認証に使用するデジタル証明書を検索するデジタル証明書検索方法であって、
前記デジタル証明書を第1の記憶手段に記憶しておくステップと、
前記デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を第2の記憶手段に記憶しておくステップと、
検索制御手段により、前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を前記第1の記憶手段から検索し、使用すべきデジタル証明書を選択するステップと、
を有することを特徴とするデジタル証明書検索方法。
A digital certificate search method for searching for a digital certificate to be used for authentication,
Storing the digital certificate in a first storage means;
Storing profile information in which information of at least one of an issuer and an issuer of the digital certificate is described in a second storage unit;
Searching the first storage means for a digital certificate that matches the information of the digital certificate described in the profile information by the search control means, and selecting a digital certificate to be used;
A digital certificate search method characterized by comprising:
認証に使用するデジタル証明書を検索するデジタル証明書検索装置であって、
前記デジタル証明書を記憶しておく第1の記憶手段と、
前記デジタル証明書の発行元と発行先の少なくとも一方の情報が記述されたプロファイル情報を記憶しておく第2の記憶手段と、
前記プロファイル情報に記述されたデジタル証明書の情報に合致するデジタル証明書を前記第1の記憶手段から検索し、使用すべきデジタル証明書を選択する検索制御手段と、
を備えることを特徴とするデジタル証明書検索装置。
A digital certificate retrieval device for retrieving a digital certificate used for authentication,
First storage means for storing the digital certificate;
Second storage means for storing profile information in which information of at least one of an issuer and an issuer of the digital certificate is described;
Search control means for searching the first storage means for a digital certificate that matches the digital certificate information described in the profile information, and selecting a digital certificate to be used;
A digital certificate retrieval apparatus comprising:
JP2007065661A 2007-03-14 2007-03-14 Digital certificate search apparatus, method and program Active JP4584276B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065661A JP4584276B2 (en) 2007-03-14 2007-03-14 Digital certificate search apparatus, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007065661A JP4584276B2 (en) 2007-03-14 2007-03-14 Digital certificate search apparatus, method and program

Publications (2)

Publication Number Publication Date
JP2008226046A JP2008226046A (en) 2008-09-25
JP4584276B2 true JP4584276B2 (en) 2010-11-17

Family

ID=39844557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065661A Active JP4584276B2 (en) 2007-03-14 2007-03-14 Digital certificate search apparatus, method and program

Country Status (1)

Country Link
JP (1) JP4584276B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2336941A1 (en) * 2009-03-12 2011-06-22 Panasonic Corporation Form reader, form authentication method, and program
JP4377450B1 (en) * 2009-03-12 2009-12-02 パナソニック株式会社 Form reader device and form authentication method
JP2011135389A (en) 2009-12-25 2011-07-07 Konica Minolta Business Technologies Inc Image processing system, image processing apparatus, program, and data communication establishing method
JP5521577B2 (en) * 2010-01-27 2014-06-18 株式会社リコー Peripheral device, network system, communication processing method, and communication processing control program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005286783A (en) * 2004-03-30 2005-10-13 Hitachi Software Eng Co Ltd Wireless lan connection method and wireless lan client software
DE602004020285D1 (en) * 2004-09-01 2009-05-07 Research In Motion Ltd Provide certificate reconciliation in a system and procedures for finding and restoring certificates
JP4031489B2 (en) * 2005-05-19 2008-01-09 日本電信電話株式会社 Communication terminal and communication terminal control method

Also Published As

Publication number Publication date
JP2008226046A (en) 2008-09-25

Similar Documents

Publication Publication Date Title
JP4362138B2 (en) COMMUNICATION CONNECTION SELECTION DEVICE, METHOD, AND PROGRAM
JP4892011B2 (en) Client device, key device, service providing device, user authentication system, user authentication method, program, recording medium
US8245284B2 (en) Extensible network discovery
JP4992378B2 (en) Portable terminal device, gateway device, program, and system
KR100750001B1 (en) Apparatus authentication system
JP4993733B2 (en) Cryptographic client device, cryptographic package distribution system, cryptographic container distribution system, and cryptographic management server device
TW595184B (en) Wide area network, access authentication system using the network, connection device for bridging, terminal equipment in connection with connector and access authentication method
JP5296726B2 (en) Web content providing system, web server, content providing method, and programs thereof
JP4579597B2 (en) Information processing apparatus, information processing method, and program
JP4863777B2 (en) Communication processing method and computer system
JP2009211632A (en) Service system
JP2005011098A (en) Proxy authentication program, proxy authentication method, and proxy authentication device
JP2005209181A (en) File management system and management method
US20080077790A1 (en) Authentication system using electronic certificate
JP4584276B2 (en) Digital certificate search apparatus, method and program
US7540416B2 (en) Smart card authentication system with multiple card and server support
JP4611988B2 (en) Terminal device
US20030226039A1 (en) Image forming apparatus and control method for same
US20080256089A1 (en) Supporting multiple security mechanisms in a database driver
CN106911810A (en) A kind of interface interchange method and apparatus
CN111177736A (en) System, method and device for data storage and access
KR20060053934A (en) User Authentication Method and System in Home Network System
JP4072164B2 (en) Service providing method / system / program, service mediating apparatus
JP5511449B2 (en) Information processing apparatus, information processing apparatus authentication method, and program
CN114448722B (en) Cross-browser login method and device, computer equipment and storage medium

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100824

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100901

R150 Certificate of patent or registration of utility model

Ref document number: 4584276

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350