JP5471150B2 - Authentication system, authentication apparatus, control method thereof, and control program - Google Patents
Authentication system, authentication apparatus, control method thereof, and control program Download PDFInfo
- Publication number
- JP5471150B2 JP5471150B2 JP2009187722A JP2009187722A JP5471150B2 JP 5471150 B2 JP5471150 B2 JP 5471150B2 JP 2009187722 A JP2009187722 A JP 2009187722A JP 2009187722 A JP2009187722 A JP 2009187722A JP 5471150 B2 JP5471150 B2 JP 5471150B2
- Authority
- JP
- Japan
- Prior art keywords
- client device
- electronic certificate
- range
- verification
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 100
- 238000012795 verification Methods 0.000 claims description 199
- 238000012545 processing Methods 0.000 claims description 155
- 230000008569 process Effects 0.000 claims description 36
- 230000005540 biological transmission Effects 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 102000036364 Cullin Ring E3 Ligases Human genes 0.000 description 1
- 108091007045 Cullin Ring E3 Ligases Proteins 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Description
本発明は、認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラムに関し、特に、オンラインで発行される電子証明書の認証を行なう、認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラムに関する。 The present invention relates to an authentication system, an authentication device, and a control method thereof, and a control program, and more particularly to an authentication system, an authentication device, and a control method and control for authenticating an electronic certificate issued online. Regarding the program.
従来から、安全な通信環境を確保するために、通信相手を公開鍵電子証明書を利用して認証するための技術が種々開示されている。 Conventionally, in order to ensure a safe communication environment, various technologies for authenticating a communication partner using a public key electronic certificate have been disclosed.
たとえば、特許文献1(特開2004−171274号公報)では、認証システムにおいて、複数のサービス機器で認証処理を分散する技術が開示されている。当該技術では、あるサービス機器が他のサービス機器によって提供されるサービスを利用する場合、当該あるサービス機器と接続を確立した認証装置が、上記他のサービス機器に代わって認証を行なう認証装置を検索し、検索結果として得られた認証装置に対して上記他のサービス機器へのアクセス要求を送信する。これに応じて、当該検索結果として得られた認証装置は、上記あるサービス機器が上記他のサービス機器にアクセス権限を有する場合に、上記他のサービス機器にアクセス要求を送信する。これに基づき、上記他のサービス機器は、有効期限等の制限を規定したトークンを発行する。上記あるサービス機器は、当該トークンを利用して、上記他のサービス機器が提供するサービスを利用する。 For example, Patent Document 1 (Japanese Patent Application Laid-Open No. 2004-171274) discloses a technique for distributing authentication processing among a plurality of service devices in an authentication system. In this technology, when a certain service device uses a service provided by another service device, an authentication device that establishes a connection with the certain service device searches for an authentication device that performs authentication on behalf of the other service device. Then, an access request to the other service device is transmitted to the authentication device obtained as a search result. In response to this, the authentication device obtained as the search result transmits an access request to the other service device when the certain service device has access authority to the other service device. Based on this, the other service device issues a token that defines a restriction such as an expiration date. The certain service device uses a service provided by the other service device using the token.
また、特許文献2(特表2009-510978号公報)では、ホストデバイスとクライアントデバイスとの間で通信リンクが設定されている場合に、ホストデバイスとクライアントデバイスに既知の共有秘密キー等を用いて生成された代理キーにより、当該クライアントデバイスに代理デバイスを認証させる技術が開示されている。 Further, in Patent Document 2 (Japanese Translation of PCT International Publication No. 2009-510978), when a communication link is set between the host device and the client device, a known shared secret key or the like is used for the host device and the client device. There is disclosed a technique for causing a client device to authenticate a proxy device using a generated proxy key.
ところで、認証局(認証サーバ装置)に階層関係がある場合、下位の認証局によって発行された電子証明書を検証するためには、当該下位の認証局に対してセキュリティポリシーで定められた上位の認証局から順に電子証明書の検証を行ない、当該下位の認証局の電子証明書を検証し、そして、当該下位の公開鍵を用いて当該電子証明書の検証を行なう必要がある。 By the way, when the certificate authority (authentication server device) has a hierarchical relationship, in order to verify an electronic certificate issued by a lower certificate authority, the upper certificate authority defined in the security policy is used. It is necessary to verify the electronic certificate in order from the certificate authority, verify the electronic certificate of the lower certificate authority, and verify the electronic certificate using the lower public key.
そして、従来の技術では、電子証明書発行後、認証局の階層関係やセキュリティポリシーが事後的に変更された場合、セキュリティレベルが変更されることにより、それまで通信相手の電子証明書を検証できていたデバイスが、同じ通信相手の電子証明書の検証をできなくなる可能性があった。 With the conventional technology, if the certificate authority's hierarchical relationship or security policy is subsequently changed after issuing an electronic certificate, the electronic certificate of the communication partner can be verified until then by changing the security level. The device that had been used could not verify the digital certificate of the same communication partner.
具体的には、たとえば、認証局の階層関係やセキュリティポリシーの変更により、デバイスにおける通信のセキュリティレベルが上がり、通信相手の電子証明書の検証のために検証を必要とされる上位の認証局の数が増えた場合、当該デバイスが当該電子証明書の検証のために記憶していることを必要とされる証明書が増えることになり、当該デバイスにおけるストレージの容量が不足する事態が想定されるからである。 Specifically, for example, due to a change in the hierarchical relationship of the certificate authority or a change in the security policy, the security level of communication in the device increases, and the certification authority of the higher-ranking certificate authority that needs to be verified to verify the electronic certificate of the communication partner. If the number increases, the number of certificates that the device needs to store for verification of the digital certificate will increase, and it is assumed that the storage capacity of the device will be insufficient Because.
これにより、デバイスにおいて、通信相手との通信ができなくなったり、また、新たなソリューションの導入の際に、当該ソリューションの導入に対して満たすべきセキュリティレベルを満たすことができず、当該ソリューションを利用できない事態が想定された。 As a result, the device cannot communicate with the communication partner, and when a new solution is introduced, the security level that must be met for the introduction of the solution cannot be satisfied, and the solution cannot be used. A situation was assumed.
上記した特許文献1に記載の技術では、上記他のサービス機器(特許文献1中の「サービスPeer・1」)に代わって上記あるサービス機器(特許文献1中の「サービスPeer・2」)の認証を行なうとされる認証装置(特許文献1中の「認証Peer・A」)は、上記あるサービス機器が上記他のサービス機器に対してアクセスする権限を有しているか否かを判断するのであって、電子証明書の検証をするものではなく、上記事態を解決することはできないと考えられる。
In the technology described in
また、上記した特許文献2に記載の技術は、クライアントデバイスが、ホストデバイスとの接続が確立している状態から、その通信相手を代理デバイスに変更するために、ホストデバイスにおいて生成された第1の代理キーと、クライアントデバイスにおいて生成された第2の代理キーとを使用して、代理デバイスを認証するものである。よって、他のデバイスの代わりに電子証明書の検証を行なうデバイスに関する技術を開示するものではなく、単に特許文献2に記載の技術を採用しても、上記事態を回避することはできないと考えられる。
Further, the technique described in
そして、特に、オンライン電子証明書が発行される場合、上記したようなセキュリティレベルが容易に変更される事態が想定されるため、上記事態の回避策が切望されていると考えられる。 In particular, when an online electronic certificate is issued, a situation where the security level is easily changed as described above is assumed, and it is considered that a countermeasure for the above situation is desired.
本発明は、係る実情に鑑み考え出されたものであり、その目的は、他の機器が提供するサービスの利用等のために電子証明書の検証を行なう必要があるクライアント装置において当該電子証明書の検証ができない場合に、当該クライアント装置に、当該電子証明書の検証が成功したのと同様の効果を与えることができる、認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラムを提供することである。 The present invention has been conceived in view of such circumstances, and its purpose is to use the electronic certificate in a client device that needs to verify the electronic certificate in order to use a service provided by another device. An authentication system, an authentication device, a control method thereof, and a control program are provided that can provide the client device with the same effect as when the verification of the electronic certificate is successful when the verification of the certificate cannot be performed. That is.
本発明に従った認証システムの制御方法は、第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備えた認証システムの制御方法であって、第1のクライアント装置が、認証サーバ装置によってオンライン発行された第1の電子証明書を記憶するステップと、第1の電子証明書の検証に必要な処理の範囲を取得するステップと、取得した範囲の処理を第1のクライアント装置が実行できるか否かを判断するステップと、第2のクライアント装置に対して、第1の電子証明書の検証に必要な処理を依頼するステップとを備え、第1のクライアント装置が処理を依頼するステップは、取得した範囲が第1のクライアント装置の実行できない範囲を含むと判断した場合に、第2のクライアント装置に対して実行できない範囲の処理を依頼するステップを含み、第2のクライアント装置が、第1のクライアント装置から依頼された処理を実行するステップと、第1のクライアント装置から依頼された処理の結果を第1のクライアント装置に送信するステップとを備え、第1のクライアント装置が、取得した範囲の中の実行できる範囲の処理を実行するステップをさらに備え、実行できない範囲の処理を依頼するステップは、実行できる範囲の処理の結果の送信と、第1の電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、第2のクライアント装置は、可否を特定する情報が第1の電子証明書の複数の装置による検証が不可であることを示す場合には、依頼された処理の結果として、第1の電子証明書の検証に失敗したことを示す情報を第1のクライアント装置に送信する。 An authentication system control method according to the present invention is an authentication system control method including a first client device, a second client device, and an authentication server device. A step of storing a first electronic certificate issued online by a server device; a step of acquiring a range of processing necessary for verifying the first electronic certificate; and processing of the acquired range by a first client device And a step of requesting the second client device to perform processing necessary for verifying the first electronic certificate, and the first client device requests the processing. And the step of performing the range that cannot be executed for the second client device when it is determined that the acquired range includes a range that cannot be executed by the first client device. A step in which the second client device executes a process requested by the first client device, and a result of the process requested by the first client device is transmitted to the first client device. And the step of requesting processing in a range that cannot be executed is further included in the step of requesting processing in a range that cannot be executed by the first client device. Including the transmission of the result and the transmission of information specifying whether or not the first electronic certificate can be verified by a plurality of devices. Information indicating that the verification of the first electronic certificate has failed as a result of the requested processing, the information indicating that the verification of the first electronic certificate has failed It is sent to the client device.
また、本発明に従った認証システムの制御方法では、認証システムは、階層構造を有する複数の認証サーバ装置を含み、第1の電子証明書は、複数の認証サーバ装置のいずれかによって発行され、第1のクライアント装置が範囲を取得するステップは、第1の電子証明書の検証のために電子証明書の検証が必要な認証サーバ装置の範囲を取得するステップを含み、第1のクライアント装置が取得した範囲の処理を実行できるか否かを判断するステップは、検証が必要な電子証明書が、第1のクライアント装置が検証できる電子証明書よりも上位の認証サーバ装置が発行した電子証明書を含むか否かを判断するステップを含み、第1のクライアント装置が実行できる範囲の処理を実行するステップは、検証が必要な電子証明書の中の検証できる範囲の電子証明書を検証するステップを含み、第1のクライアント装置が実行できる範囲の処理の実行の結果を送信するステップは、検証できる範囲の電子証明書の検証結果を送信するステップを含み、第1のクライアント装置が処理を依頼するステップは、検証が必要とされる電子証明書の中の、検証できる電子証明書よりも上位の認証サーバ装置が発行した電子証明書の検証を依頼するステップを含む。 In the authentication system control method according to the present invention, the authentication system includes a plurality of authentication server devices having a hierarchical structure, and the first electronic certificate is issued by any of the plurality of authentication server devices, The step of acquiring the range by the first client device includes the step of acquiring the range of the authentication server device that requires verification of the electronic certificate for verification of the first electronic certificate. The step of determining whether or not the processing of the acquired range can be executed is performed by the electronic certificate issued by a higher-order authentication server device than the electronic certificate that can be verified by the first client device. Including the step of determining whether or not the first client device includes the step of executing a process within a range that can be executed by the first client device can be verified in the electronic certificate that needs to be verified. The step of transmitting a result of executing a process within a range that can be executed by the first client device includes a step of transmitting a verification result of the electronic certificate within a range that can be verified; The step of requesting processing by the first client device is a step of requesting verification of an electronic certificate issued by a higher-order authentication server device than an electronic certificate that can be verified among electronic certificates that require verification. including.
また、本発明に従った認証システムの制御方法は、第2のクライアント装置が、第1のクライアント装置による検証結果と、第2のクライアント装置による検証結果とに基づいて、第1の電子証明書の検証が成功したか否かを判断するステップと、第1の電子証明書の検証が成功したか否かの判断の結果を第1のクライアント装置へ送信するステップとをさらに備える。 In addition, according to the control method of the authentication system according to the present invention, the second client device uses the first electronic certificate based on the verification result by the first client device and the verification result by the second client device. And a step of determining whether the verification of the first electronic certificate is successful, and a step of transmitting the result of the determination of whether the verification of the first electronic certificate is successful to the first client device.
また、本発明に従った認証システムの制御方法では、第2のクライアント装置は、判断の結果を、第2のクライアント装置の電子署名を施して、第1のクライアント装置へ送信する。 Further, in the control method of the authentication system according to the present invention, the second client device sends the determination result to the first client device by applying the electronic signature of the second client device.
また、本発明に従った認証システムの制御方法では、第1のクライアント装置は、検証できる電子証明書の検証結果に第1のクライアント装置の電子署名を施して、第2のクライアント装置に送信する。 In the authentication system control method according to the present invention, the first client device applies the electronic signature of the first client device to the verification result of the electronic certificate that can be verified, and transmits the result to the second client device. .
また、本発明に従った認証システムの制御方法では、第1の電子証明書は、当該第1の電子証明書の検証に必要とされる認証サーバ装置の階層についての記述を含み、第1のクライアント装置は、第1の電子証明書の階層についての記述に基づいて、認証サーバ装置の範囲を取得する。 In the authentication system control method according to the present invention, the first electronic certificate includes a description of the hierarchy of the authentication server device required for the verification of the first electronic certificate. The client device acquires the range of the authentication server device based on the description of the first electronic certificate hierarchy.
また、本発明に従った認証システムの制御方法では、第1のクライアント装置と第2のクライアント装置は、共通で有する電子証明書を利用して通信する。 In the authentication system control method according to the present invention, the first client device and the second client device communicate using a common electronic certificate.
また、本発明に従った認証システムの制御方法では、第1の電子証明書は、当該第1の電子証明書の検証に必要な処理を依頼する装置を特定する情報の記述を含み、第1のクライアント装置は、第1の電子証明書における装置を特定する情報の記述に基づいて、第1の電子証明書の検証に必要な処理を依頼する装置を決定する。 In the authentication system control method according to the present invention, the first electronic certificate includes a description of information for specifying a device that requests processing necessary for the verification of the first electronic certificate. The client device determines a device that requests processing necessary for verification of the first electronic certificate based on the description of the information specifying the device in the first electronic certificate.
本発明に従った認証装置の制御方法は、認証装置のコンピュータが実行する、当該認証装置の制御方法であって、認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、電子証明書の検証に必要な処理の範囲を取得するステップと、取得した範囲の処理を認証装置が実行できるか否かを判断するステップと、他の装置に対して、電子証明書の検証に必要な処理を依頼するステップと、他の装置から、当該他の装置において依頼に応じて実行された処理の結果を受信するステップとを備え、処理を依頼するステップは、取得した範囲が認証装置の実行できない範囲を含むと判断した場合に、他の装置に対して実行できない範囲の処理を依頼するステップを含み、取得した範囲の中の実行できる範囲の処理を実行するステップをさらに備え、実行できない範囲の処理を依頼するステップは、実行できる範囲の処理の結果の送信と、電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、可否を特定する情報が電子証明書の複数の装置による検証が不可であることを示す場合には、他の装置から、当該他の装置において依頼に応じて実行された処理の結果として、電子証明書の検証に失敗したことを示す情報を受信する。 An authentication device control method according to the present invention is a method of controlling an authentication device, executed by a computer of the authentication device, the step of storing an electronic certificate issued online by an authentication server device, and an electronic certificate Acquiring a range of processing required for verification of the authentication, determining whether the authentication device can execute the processing of the acquired range, and processing required for verifying the electronic certificate for other devices And a step of receiving a result of processing executed in response to the request from the other device from the other device, and the step of requesting the processing cannot be executed by the authentication device within the acquired range. If it is determined that includes a range, look including the step of requesting the processing range that can not be performed with respect to another device, and performs processing in a range that can be performed within a range obtained scan The step of requesting processing in a range that cannot be executed includes transmission of a result of processing in the range that can be executed and transmission of information that specifies whether or not the electronic certificate can be verified by a plurality of devices. If the information for identifying the electronic certificate indicates that the electronic certificate cannot be verified by a plurality of devices, the electronic certificate is obtained as a result of processing executed in response to the request from the other device. Receives information indicating that verification failed .
本発明に従った認証システムの制御プログラムは、第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備えた認証システムの制御プログラムであって、第1のクライアント装置に、認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、電子証明書の検証に必要な処理の範囲を取得するステップと、取得した範囲の処理を第1のクライアント装置が実行できるか否かを判断するステップと、第2のクライアント装置に対して、電子証明書の検証に必要な処理を依頼するステップとを実行させ、第1のクライアント装置が処理を依頼するステップは、取得した範囲が第1のクライアント装置の実行できない範囲を含むと判断した場合に、第2のクライアント装置に対して実行できない範囲の処理を依頼するステップを含み、第2のクライアント装置に、第1のクライアント装置から依頼された電子証明書の検証に必要な処理を実行するステップと、第1のクライアント装置から依頼された処理の結果を第1のクライアント装置に送信するステップとを実行させ、第1のクライアント装置に、取得した範囲の中の実行できる範囲の処理を実行するステップをさらに実行させ、実行できない範囲の処理を依頼するステップは、実行できる範囲の処理の結果の送信と、電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、可否を特定する情報が電子証明書の複数の装置による検証が不可であることを示す場合には、第2のクライアント装置に、第1のクライアント装置へ、依頼された処理の結果として電子証明書の検証に失敗したことを示す情報を送信させる。 An authentication system control program according to the present invention is an authentication system control program including a first client device, a second client device, and an authentication server device. acquiring and storing an electronic certificate issued online by the server device, the range of processing required for verification of the electronic certificate, whether the processing range obtained first client device can perform And the step of requesting the second client device to perform processing necessary for verification of the electronic certificate, and the step of requesting the processing by the first client device are the acquired range. Is determined to include a range that cannot be executed by the first client device, a range that cannot be executed by the second client device. Including a step of requesting management, a step of executing processing necessary for verifying the electronic certificate requested from the first client device to the second client device, and a processing requested from the first client device. Transmitting the result to the first client device, causing the first client device to further execute a process within the range that can be executed within the acquired range, and requesting a process within the range that cannot be performed. step includes the transmission of a result of the processing of a range that can be performed, and a transmission of information specifying whether the verification by a plurality of devices of the electronic certificate, information specifying whether the by a plurality of devices of an electronic certificate to to indicate that the verification is impossible is the second client apparatus, to the first client device, an electronic certificate as a result of the requested processing To transmit the information indicating that it has failed to testify.
本発明に従った認証装置の制御プログラムは、認証装置のコンピュータによって実行可能な制御プログラムであって、制御プログラムは、コンピュータに、認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、電子証明書の検証に必要な処理の範囲を取得するステップと、取得した範囲の処理を認証装置が実行できるか否かを判断するステップと、他の装置に対して、電子証明書の検証に必要な処理を依頼するステップと、他の装置から、当該他の装置において依頼に応じて実行された処理の結果を受信するステップとを実行させ、処理を依頼するステップは、取得した範囲が認証装置の実行できない範囲を含むと判断した場合に、他の装置に対して実行できない範囲の処理を依頼するステップを含み、取得した範囲の中の実行できる範囲の処理を実行するステップをさらに実行させ、実行できない範囲の処理を依頼するステップは、実行できる範囲の処理の結果の送信と、電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、可否を特定する情報が電子証明書の複数の装置による検証が不可であることを示す場合には、他の装置から、当該他の装置において依頼に応じて実行された処理の結果として、電子証明書の検証に失敗したことを示す情報を受信させる。 The control program of the authentication device according to the present invention is a control program that can be executed by the computer of the authentication device, and the control program stores the electronic certificate issued online by the authentication server device in the computer; Steps for acquiring a processing range necessary for verification of an electronic certificate, steps for determining whether or not the authentication device can execute processing of the acquired range, and verifying an electronic certificate for other devices The step of requesting the necessary processing and the step of receiving the result of the processing executed in response to the request from the other device from the other device are executed, and the step of requesting the processing is authenticated by the acquired range. If it is determined that includes an execution can not range of the device, it viewed including the step of requesting the processing range that can not be performed with respect to another apparatus, the acquired The step of executing the process of the range that can be executed in the enclosure is further executed, and the step of requesting the process of the range that cannot be executed includes the transmission of the result of the process of the executable range and the verification of the electronic certificate by a plurality of devices. In response to a request from another device, the other device responds to the request when the information specifying the propriety indicates that verification by a plurality of devices is not possible. As a result of the processing executed in this manner, information indicating that the verification of the electronic certificate has failed is received .
本発明に従った認証システムは、第1のクライアント装置と、第2のクライアント装置と、認証サーバ装置とを備え、第1のクライアント装置は、認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、第2のクライアント装置に対して、電子証明書の検証に必要な処理を依頼する依頼部とを含み、依頼部は、電子証明書の検証に必要な処理の範囲を取得し、取得した範囲の処理を第1のクライアント装置が実行できるか否かを判断し、取得した範囲が第1のクライアント装置の実行できない範囲を含むと判断した場合に、第2のクライアント装置に対して実行できない範囲の処理を依頼し、第2のクライアント装置は、依頼部から受信した電子証明書の検証に必要な処理を実行する検証部と、検証部が実行した処理の結果を第1のクライアント装置に送信する送信部とを含み、第1のクライアント装置が、取得した範囲の中の実行できる範囲の処理を実行するための実行部をさらに備え、実行できない範囲の処理の依頼は、実行できる範囲の処理の結果の送信と、電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、第2のクライアント装置は、可否を特定する情報が電子証明書の複数の装置による検証が不可であることを示す場合には、依頼された処理の結果として、電子証明書の検証に失敗したことを示す情報を第1のクライアント装置に送信する。 An authentication system according to the present invention includes a first client device, a second client device, and an authentication server device, and the first client device stores an electronic certificate issued online by the authentication server device. a storage unit which, for the second client device, and a request unit for requesting the processing required for verification of the electronic certificate, the request unit, the range of processing required for verification of the electronic certificate When the first client device determines whether or not the first client device can execute the processing of the acquired range and the acquired range includes a range that cannot be executed by the first client device, the second client device The second client device requests a process in a range that cannot be executed, and the second client device executes a process necessary for verifying the electronic certificate received from the request unit, and a process executed by the verification unit Look including a transmission unit which transmits the result to the first client device, the first client device, further comprising an execution unit for executing the processing in the range that can be performed within the range obtained, the scope of which can not be performed The processing request includes transmission of processing results within a range that can be executed and transmission of information specifying whether or not the electronic certificate can be verified by a plurality of devices. When it is indicated that verification by a plurality of devices of the electronic certificate is impossible, information indicating that the verification of the electronic certificate has failed is transmitted to the first client device as a result of the requested processing .
本発明に従った認証装置は、ネットワークを介して他の装置および認証サーバ装置に接続する認証装置であって、認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、他の装置に対して、電子証明書の検証に必要な処理を依頼する依頼部と、他の装置から、当該他の装置において依頼に応じて実行された処理の結果を受信する受信部とを備え、依頼部は、電子証明書の検証に必要な処理の範囲を取得し、取得した範囲の処理を認証装置が実行できるか否かを判断し、取得した範囲が認証装置の実行できない範囲を含むと判断した場合に、他の装置に対して実行できない範囲の処理を依頼する、取得した範囲の中の実行できる範囲の処理を実行するための実行部をさらに備え、実行できない範囲の処理の依頼は、実行できる範囲の処理の結果の送信と、電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、受信部は、可否を特定する情報が電子証明書の複数の装置による検証が不可であることを示す場合には、他の装置から、当該他の装置において依頼に応じて実行された処理の結果として、電子証明書の検証に失敗したことを示す情報を受信する。 An authentication device according to the present invention is an authentication device connected to another device and an authentication server device via a network, and a storage unit for storing an electronic certificate issued online by the authentication server device, and another device A request unit for requesting processing necessary for verification of the electronic certificate, and a receiving unit for receiving the result of processing executed in response to the request in the other device from the other device. Obtains a processing range necessary for verification of the electronic certificate, determines whether the authentication device can execute the processing of the acquired range, and determines that the acquired range includes a range that cannot be executed by the authentication device. In such a case, the apparatus further includes an execution unit for requesting processing in a range that cannot be executed to another device, and executing processing in a range that can be executed in the acquired range. Execution Including transmission of results of processing within a possible range and transmission of information specifying whether or not the electronic certificate can be verified by a plurality of devices. In the case of indicating that the certificate cannot be verified, information indicating that the verification of the electronic certificate has failed is received from another device as a result of the processing executed in response to the request in the other device .
クライアント装置(第1のクライアント装置又は認証装置)は、認証システムにおける通信のセキュリティレベルの変更等によって、ストレージや処理能力の不足により、(第1の)電子証明書の検証ができなくなった場合であっても、他のクライアント装置に当該(第1の)電子証明書の検証を依頼し、当該検証の結果を取得することができる。 The client device (first client device or authentication device) is a case where the (first) electronic certificate cannot be verified due to a lack of storage or processing capacity due to a change in the security level of communication in the authentication system. Even if it exists, it is possible to request verification of the (first) electronic certificate from another client device and obtain the verification result.
これにより、上記クライアント装置を利用するユーザは、当該クライアント装置自身が持つ電子証明書の検証能力よりも高い検証能力を必要とされる電子証明書の検証を行なうことにより得られる通信やソリューションの利用が可能となる。これにより、認証システムにおけるセキュリティレベルの変更等にも、上記クライアント装置は、その電子証明書の検証能力の変更を必要とされることなく、上記電子証明書の検証による効果を得ることができる。 As a result, a user who uses the client device can use communication and solutions obtained by performing verification of an electronic certificate that requires higher verification capability than the verification capability of the electronic certificate of the client device itself. Is possible. As a result, the client device can obtain the effect of the verification of the electronic certificate without requiring the change of the verification capability of the electronic certificate even when the security level is changed in the authentication system.
以下、本発明に係る認証システムの実施の形態について、図面を参照して説明する。各図において、同じ構成要素には同じ符号を付し、共通する特徴については詳細な説明を繰返さない。 Hereinafter, an embodiment of an authentication system according to the present invention will be described with reference to the drawings. In the drawings, the same components are denoted by the same reference numerals, and detailed description of common features will not be repeated.
[第1の実施の形態]
図1は、認証システムの第1の実施の形態の構成を模式的に示す図である。
[First Embodiment]
FIG. 1 is a diagram schematically illustrating the configuration of the first embodiment of the authentication system.
本実施の形態の認証システムは、階層構造をなす複数の認証サーバ装置7A〜7Cと、複数のクライアント装置2A〜2Cを含む。
The authentication system of the present embodiment includes a plurality of
以下の説明では、認証サーバ装置を、適宜、CA(Certificate Authority)と呼び、クライアント装置を、適宜、MFP(Multi Function Peripheral)またはPC(Personal Computer)と呼ぶ。具体的には、適宜、クライアント装置2AをMFP(1)と呼び、クライアント装置2BをMFP(2)と呼び、クライアント装置2CをPC(1)と呼ぶ。
In the following description, the authentication server device is appropriately referred to as CA (Certificate Authority), and the client device is appropriately referred to as MFP (Multi Function Peripheral) or PC (Personal Computer). Specifically, the
本認証システムでは、認証サーバ装置7A〜7Cは、階層構造を有している。認証サーバ装置7Bは、認証サーバ装置7Aの上位の認証サーバ装置である。認証サーバ装置7Cは、認証サーバ装置7Bの上位の認証サーバ装置であり、本実施の形態の認証システムの最上位の認証サーバ装置(ルートCA)である。以下、適宜、認証サーバ装置7Aを「CA(2)」と呼び、認証サーバ装置7Bを「CA(1)」と呼び、認証サーバ装置7Cを「ルートCA」と呼ぶ。
In this authentication system, the
本実施の形態では、クライアント装置2A〜2Cは、認証サーバ装置7Aから、オンラインで、電子証明書を発行されている。
In the present embodiment, the
図1において、「MFP(1)証明書」は、認証サーバ装置7Aによって発行されたMFP(1)の電子証明書である。「MFP(2)証明書」は、認証サーバ装置7Aによって発行されたクライアント装置2Bの電子証明書である。「PC(1)証明書」は、認証サーバ装置7Aによって発行されたクライアント装置2Cの電子証明書である。
In FIG. 1, “MFP (1) certificate” is an electronic certificate of MFP (1) issued by the
「CA(2)証明書」は、認証サーバ装置7Aの電子証明書であり、認証サーバ装置7Aの公開鍵と認証サーバ装置7Bの電子署名を含む。
The “CA (2) certificate” is an electronic certificate of the
「CA(1)証明書」は、認証サーバ装置7Bの電子証明書であり、認証サーバ装置7Bの公開鍵と認証サーバ装置7Cの電子署名を含む。
The “CA (1) certificate” is an electronic certificate of the
「Root証明書」は、認証サーバ装置7Cの電子証明書であり、認証サーバ装置7Cの公開鍵と認証サーバ装置7Cの電子署名を含む。本実施の形態では、「Root証明書」は、ルート証明書となる。 The “Root certificate” is an electronic certificate of the authentication server device 7C and includes a public key of the authentication server device 7C and an electronic signature of the authentication server device 7C. In the present embodiment, the “Root certificate” is a root certificate.
クライアント装置2Aには、「MFP(1)証明書」と「CA(2)証明書」が記憶されている。クライアント装置2Aは、クライアント装置2Bから「MFP(2)証明書」を送信されると、「CA(2)証明書」に含まれる認証サーバ装置7B(CA(1))の公開鍵を利用した当該電子証明書の検証を試みる。
The
(ネットワークの構成)
図2は、クライアント装置2A〜2Cを含むネットワーク(以下、適宜「ネットワーク6」と呼ぶ)の構成を模式的に示す図である。
(Network configuration)
FIG. 2 is a diagram schematically illustrating a configuration of a network including
ネットワークには、複数のクライアント装置2(適宜、クライアント装置2A〜2Cを総称して「クライアント装置2」と呼ぶ)が複数含まれている。各クライアント装置2は、モニタ21を備え、ネットワークケーブル3を通じてハブ4と接続され、ハブ4およびルータ5を介して、図示しない別のネットワークに接続された端末や認証サーバ装置(認証サーバ装置7A等)と接続する。
The network includes a plurality of client devices 2 (the
(クライアント装置のハードウェア構成)
図3は、クライアント装置2を構成するPC(1)のハードウェア構成を模式的に示す図である。
(Hardware configuration of client device)
FIG. 3 is a diagram schematically illustrating a hardware configuration of the PC (1) configuring the
図3を参照して、クライアント装置2は、当該クライアント装置2の動作を全体的に制御するCPU(Central Processing Unit)250、CPU250のワークエリアとして機能するRAM(Random Access Memory)254、プログラムやデータなどを記憶するROM(Read Only Memory)256、クライアント装置2に対して情報を入力するためのキーボードなどの入力装置260、他のクライアント装置2や認証サーバ装置、モニタ21と通信するための通信装置262、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)264、およびクライアント装置2に対して着脱可能なCD−ROM(Compact Disk Read Only Memory)等の記録媒体252Aにアクセスするメディアドライブ252とを備えている。つまり、クライアント装置2は、入力装置260に入力された情報の入力を受付け、通信装置262を介して他の端末やネットワークと通信し、また、モニタ21に当該クライアント装置2において処理される情報を表示させる。
Referring to FIG. 3, the
クライアント装置2は、上記のHDD264や記録媒体252Aに記憶されたプログラムが読込まれて実行されることによるデータの演算や加工により、電子証明書の発行の要求や、電子証明書の検証、および他の装置に対する電子証明書の検証を依頼する情報を送信する、クライアント装置として機能する。
The
(認証サーバ装置のハードウェア構成)
図4は、認証サーバ装置7を構成するコンピュータのハードウェア構成を模式的に示す図である。
(Hardware configuration of authentication server device)
FIG. 4 is a diagram schematically illustrating a hardware configuration of a computer constituting the
図4を参照して、認証サーバ装置7は、当該認証サーバ装置7の動作を全体的に制御するCPU750、CPU750のワークエリアとして機能するRAM754、プログラムやデータなどを記憶するROM756、認証サーバ装置7に対して情報を入力するためのキーボードなどの入力装置760、クライアント装置2や認証サーバ装置7等の他の端末(デバイス)との通信を行なう通信装置762、プログラムやファイルを記憶するハードディスクを備えるHDD764、および認証サーバ装置7の本体に対して着脱可能なCD−ROM等の記録媒体752Aとアクセスするメディアドライブ752とを備えている。つまり、認証サーバ装置7は、入力装置760に入力された情報の入力を受付け、通信装置762を介して他の端末やネットワークと通信する。
Referring to FIG. 4, the
認証サーバ装置7は、上記のHDD764や記録媒体752Aに記憶されたプログラムが読込まれて実行されることによるデータの演算や加工により、本実施の形態において説明される各種の情報処理を行なう、認証サーバ装置として機能する。
The
(クライアント装置の機能構成)
図5は、クライアント装置2の機能ブロックを模式的に示す。
(Functional configuration of client device)
FIG. 5 schematically shows functional blocks of the
図5を参照して、ハブ4(図2を参照)を介してクライアント装置2へ送信されるデータは、データ受信部202において受信される。
Referring to FIG. 5, data transmitted to
データ受信部202は、受信したデータ(パケット)が、自機宛のデータであるか否かを判断し、自機宛のデータであると判断すると、当該データをデータ解析部203に送る。
The
データ解析部203は、受信されたパケットからデータを抽出し、抽出されたデータの中に処理命令が含まれていれば、証明書処理部204、継続検証部205、その他処理部207のいずれかにて処理させる。
The
証明書処理部204は、認証サーバ装置7Aに対し、電子証明書の発行を依頼し、また、通信相手から送信されてきた電子証明書の検証、および検証に必要なセキュリティポリシーのチェックを行なう。
The
セキュリティポリシーは、送信されてきた電子証明書の検証に必要とされるCAの階層、つまり、認証サーバ装置7A〜7Cのどの認証サーバ装置の電子証明書の検証までが必要かを特定するための情報(階層情報)を含む。
The security policy is used to specify the CA hierarchy required for verifying the transmitted electronic certificate, that is, which authentication server device of the
証明書処理部204は、送信されてきた電子証明書を検証する際に、セキュリティポリシーをチェックすることにより、当該電子証明書の検証についての階層情報を取得し、当該階層情報で特定されるすべての認証サーバ装置の電子証明書の検証が自機で可能か否かを判断する。
When verifying the transmitted electronic certificate, the
すべて可能であると判断すると、証明書処理部204は、当該電子証明書を検証し、その検証結果を、電子証明書の送信元に送信する。一方、階層情報で規定されるすべての認証サーバ装置の電子証明書を自機では検証できないと判断すると、証明書処理部204は、継続検証部205に、他のデバイスに、継続検証を依頼させる。
If it is determined that all are possible, the
継続検証部205は、送信されてきた電子証明書内の記述等に基づいて、継続検証を依頼する他のデバイスを検索する。そして、検索結果として得られた「他のデバイス」に対し、上記電子証明書の継続検証を依頼する情報を送信する。
The
継続検証とは、受信した電子証明書の検証に必要とされるすべての階層のCAの中の一部のCAの電子証明書をクライアント装置2が検証した場合の、残りのCAの電子証明書の検証を実行することをいう。
The continuous verification is the remaining CA digital certificates when the
一方、クライアント装置2は、他のデバイスから継続検証を依頼する情報を受信すると、当該情報に従って電子証明書の検証を実行し、当該検証の結果を依頼情報の送信元に返信する。
On the other hand, when the
データ保持部206は、電子証明書およびセキュリティポリシーデータを含む種々の情報を記憶する。上記した階層情報は、セキュリティポリシーデータの一部として、データ保持部206に記憶されていてもよいし、電子証明書に含まれていてもよいし、電子証明書やセキュリティポリシーデータとは別にデータ保持部206に記憶されていてもよい。
The
また、階層情報は、クライアント装置2における電子証明書の検証の目的となるアプリケーションのセキュリティポリシーに含まれていても良い。この場合、クライアント装置2は、アプリケーションの実行に他のクライアント装置2の認証を必要とし、当該認証に当該他のクライアント装置2の電子証明書の検証を必要とする場合、クライアント装置2は、当該アプリケーションのセキュリティポリシーから階層情報を取得し、取得した階層情報に基づいて、どの階層のCAまでの電子証明書の検証が必要かを認識する。
Further, the hierarchy information may be included in the security policy of the application that is the purpose of verifying the electronic certificate in the
クライアント装置2において、電子証明書の検証や他のデバイスへの電子証明書の検証の依頼以外の処理は、その他処理部207にて行なわれる。
In the
データ送信部212は、他のデバイスに情報を送信するためのものである。
他のデバイスに送信されるデータは、データ作成部211によってネットワークパケットの形に成形され、データ送信部212によって上記のように決定された送信先に送信される。
The
Data to be transmitted to another device is formed into a network packet by the
(認証サーバ装置の機能構成)
図6は、認証サーバ装置7(以下、認証サーバ装置7A〜7Cを総称して、適宜「認証サーバ装置7」と呼ぶ)の機能ブロックを模式的に示す。
(Functional configuration of authentication server device)
FIG. 6 schematically illustrates functional blocks of the authentication server device 7 (hereinafter, the
図6を参照して、データ受信部702は、ネットワーク6上を流れるパケットが自機宛のパケットであるか否かを判断し、自機宛のデータであると判断すると、当該データをデータ解析部703に送る。
Referring to FIG. 6,
データ解析部703は、受信されたパケットからデータを抽出し、抽出されたデータの中に処理命令が含まれていれば、証明書発行部704、証明書管理部705、その他処理部707のいずれかで処理させる。
The
証明書発行部704は、クライアント装置2に対して、オンラインで電子証明書を発行する。電子証明書の発行は、たとえば、クライアント装置2から電子証明書の発行を要求する情報を認証サーバ装置7が受信したことに応じて、行なわれる。
The
証明書管理部705は、電子証明書の失効やCRL(Certificate Revocation List)の管理を行なう。CRLの管理は、CRLを一定期間ごとに最新のものに更新する処理を含む。
A
認証サーバ装置7において、上記した電子証明書の発行や電子証明書の管理以外の処理は、その他処理部707にて行なわれる。
In the
データ送信部712は、情報を送信するためのものである。
他のデバイスに送信されるデータは、データ作成部711によって、ネットワークパケットの形に成形され、データ送信部712によって、適宜設定された送信元へと送信される。
The
Data to be transmitted to another device is formed into a network packet by the
データ保持部706は、電子証明書の発行記録やCRLを含むデータを記憶する。
(クライアント装置における電子証明書の検証)
以下、クライアント装置2Bにおける、クライアント装置2Aの認証のための、クライアント装置2Aの電子証明書の検証について説明する。
The
(Verification of electronic certificate on client device)
Hereinafter, verification of the electronic certificate of the
クライアント装置2Aの電子証明書の検証についての階層情報において、CA(2)(認証サーバ装置7A)の電子証明書の検証までが必要とされていれば、クライアント装置2Bは、自機に記憶されているCA(2)(認証サーバ装置7A)の公開鍵を利用して、クライアント装置2Aの電子証明書に含まれるCA(2)の電子署名を検証する。検証に成功すれば、クライアント装置2Bでは、クライアント装置2Aの認証に成功したとして、その後の処理が実行される。
If the hierarchical information about the verification of the electronic certificate of the
一方、クライアント装置2Aの電子証明書の検証についての階層情報において、ルートCA(認証サーバ装置7C)の電子証明書であるルート証明書の検証までが必要とされていれば、クライアント装置2Bは、クライアント装置2Aの電子証明書の検証ができない。クライアント装置2Bでは、CA(1)の電子証明書およびルート証明書が記憶されておらず(CA(1)の公開鍵およびルートCAの公開鍵が記憶されておらず)、CA(1)およびルートCAの電子署名が検証できないからである。
On the other hand, if it is necessary to verify the root certificate, which is the electronic certificate of the root CA (authentication server device 7C), in the hierarchical information for verifying the electronic certificate of the
以下、本明細書では、クライアント装置2Bにおいてクライアント装置2Aの認証が必要とされる場合であって、クライアント装置2Aの電子証明書の検証についての階層情報においてルート証明書の検証までが必要とされる場合に、クライアント装置2A〜2Cにおいて実行される処理について、主に図1を参照して説明する。
Hereinafter, in this specification, the
<手順[1.]>
まず、クライアント装置2Aとクライアント装置2Bとの間での通信開始時に、シェイクハンドで、お互いの電子証明書が通信相手に送信される。これにより、クライアント装置2Bは、クライアント装置2Aの電子証明書(MFP(1)証明書)を受信する。
<Procedure [1. ]>
First, at the start of communication between the
<手順[2.]>
次に、クライアント装置2Bの証明書処理部204は、MFP(1)証明書に含まれるCA(2)の電子署名を、CA(2)証明書に含まれるCA(2)の公開鍵を利用して検証する。
<Procedure [2. ]>
Next, the
<手順[3.]>
次に、クライアント装置2Bの証明書処理部204は、MFP(1)証明書の検証に関するセキュリティポリシーをチェックする。上記の通り、セキュリティポリシーでは、当該証明書の検証には、手順[2.]で実行したMFP(1)証明書の検証の他に、CA(2)証明書、CA(1)証明書およびルート証明書の検証が必要とされる。証明書処理部204は、当該チェックにより、このことを認識すると、継続検証を依頼するデバイスを決定する。この場合の継続検証は、MFP(1)証明書の検証に必要な証明書の検証であって、クライアント装置2Bが可能なMFP(1)証明書の検証以外の証明書の検証である。つまり、CA(2)証明書、CA(1)証明書およびルート証明書の検証である。
<Procedure [3. ]>
Next, the
継続検証の依頼先のデバイスを特定する情報は、たとえば、図7に示されるように、MFP(1)証明書内に含まれていても良い。 For example, as shown in FIG. 7, the information specifying the device that is requested to continue verification may be included in the MFP (1) certificate.
図7を参照して、MFP(1)証明書900は、一般的に証明書に含まれる情報の他に、代行情報901と、オプション情報902とを含む。代行情報901は、当該証明書の検証に必要なセキュリティレベルを満たす検証を行なうことができるデバイスを特定する情報を含む。当該証明書の検証を行なうことが必要とされたデバイスは、当該証明書の検証に必要とされる検証ができない場合、代行情報901を参照して、当該証明書の検証のための継続検証を依頼するデバイスを決定する。
Referring to FIG. 7, MFP (1)
なお、オプション情報902としては、一般の証明書には記載されないような、証明書の発行元の特有の情報が挙げられる。当該証明書を検証するデバイスは、検証時にオプション情報902を参照して、通常よりも高いセキュリティを実現することができる。オプション情報902としては、たとえば、発行元独自のデジタルサインや、発行元が属する企業特有のシリアルコードや、当該証明書がデバイス証明書である場合の証明書発行を受けたデバイスの種類,機種,そのバージョン,製造年度などが挙げられる。
The
また、証明書処理部204は、上記の階層情報(セキュリティポリシー)のチェックにより、MFP(1)証明書の検証に必要な証明書であって、MFP(2)では検証できない証明書を特定できる。よって、証明書処理部204は、自機が検証できない証明書の検証が可能なデバイスをネットワーク6上で検索することができる。この検索結果により、証明書処理部204は、継続検証の依頼先のデバイスを特定しても良い。
The
また、本実施の形態では、証明書が正当なものであると判断されるために、オプション情報902の内容が適切であることを必要としても良い。つまり、証明書の検証に、オプション情報902の内容のチェックが含まれても良い。そして、証明書の検証の際に参照することを必要とされるオプション情報902内の情報の範囲が、上記の階層情報に記述されていてもよい。証明書処理部204は、上記階層情報における記述を参照することにより、検証に必要な範囲を取得し、当該取得した範囲の情報のチェックが可能か否かにより、当該証明書が、MFP(2)では検証ができない証明書かどうかを特定できる。
Further, in this embodiment, since it is determined that the certificate is valid, the content of the
そして、証明書処理部204は、継続検証部205に、上記のように特定したデバイスに対して継続検証を依頼させるための命令を送信する。
Then, the
ここでは、上記のように特定されたデバイスが、クライアント装置2Cであるとする。
継続検証を依頼する情報は、たとえば、MFP(1)証明書と、当該MFP(1)証明書の検証がどこまで上位の階層のCAの証明書の検証が必要かを特定する情報を含む。
Here, it is assumed that the device specified as described above is the client apparatus 2C.
The information for requesting continuous verification includes, for example, information specifying the MFP (1) certificate and the extent to which verification of the upper layer CA certificate is necessary for verification of the MFP (1) certificate.
なお、どこまで上位の階層のCAの証明書の検証が必要かを特定する情報は、継続検証の依頼を受けたデバイスにおいて、上記した階層情報のチェックと同様の処理が実行されることにより取得されてもよい。 It should be noted that the information that specifies how much higher-level CA certificate verification is necessary is acquired by performing the same processing as the above-described hierarchical information check in the device that has received a request for continuous verification. May be.
少なくとも、本実施の形態では、MFP(2)は、階層情報をチェックすることによりMFP(1)証明書の検証のために証明書の検証を必要とされる認証サーバの範囲を特定し、当該範囲に、MFP(2)で証明書を検証できない認証サーバが含まれる場合には、他のデバイスに継続検証を依頼する。 At least in the present embodiment, the MFP (2) specifies the range of authentication servers that are required to verify the certificate for verifying the MFP (1) certificate by checking the hierarchy information. If the range includes an authentication server whose certificate cannot be verified by the MFP (2), it requests another device to continue verification.
ここで、継続検証の依頼の要否を決定する範囲とは、認証サーバの階層に限られない。オプション情報902に含まれる情報の中で、MFP(1)証明書の検証のためにチェックすることを要する情報についての範囲が、MFP(2)でチェックすることができない情報を含むか否かを判断し、含む場合に、他のデバイスに継続検証を依頼しても良い。つまり、当該範囲は、オプション情報902中のチェック項目であっても良い。
Here, the range for determining whether or not the request for continuous verification is necessary is not limited to the hierarchy of the authentication server. Whether the range of information that needs to be checked for verification of the MFP (1) certificate among the information included in the
証明書処理部204による当該デバイスの決定では、その時点でネットワーク6(たとえば、クライアント装置2Bが接続しているLAN(Local Area Network)に接続しているデバイスを優先的に選択してもよいし、また、ネットワーク6に接続しているデバイスに対して証明書処理部204が継続検証の依頼情報を送信したときに当該依頼情報に対するレスポンスが最も早いデバイスが選択されてもよい。ここでいうレスポンスとは、依頼情報を受信したデバイスが、自機で継続検証に必要とされる証明書の検証が可能か否かを判断し、可能である場合に、その旨を継続検証の送信元に返信することをいう。
In the determination of the device by the
証明書処理部204は、階層情報で特定されたデバイスにクライアント装置2Bが接続できない場合や上記したデバイスが決定できない場合には、クライアント装置2Aの認証に失敗した(エラー状態)と判断し、その旨をクライアント装置2Aに送信する。
When the
<手順[4.]>
次に、クライアント装置2Bの継続検証部205は、上記のように特定されたデバイスであるクライアント装置2Cに、上記デバイスに、手順[2.]の検証結果とともに、継続検証を依頼する情報を送信する。
<Procedure [4. ]>
Next, the
クライアント装置2Bは、クライアント装置2Cと、クライアント装置2Aと接続したセキュリティ方法とは別のセキュリティ方法で通信する。別のセキュリティ方法とは、たとえば、これらのクライアント装置が共通で有する電子証明書(共通鍵)などを利用した暗号化通信や、全く別の証明書を利用したSSL(Secure Socket Layer)通信や、VPN(Virtual Private Network)通信がある。また、クライアント装置2Bは、クライアント装置2Cに上記情報を送信した後、一定時間ごとにポーリングを行なう。
The
ここで、継続検証部205は、クライアント装置2Cに送信する検証結果に、クライアント装置2Bの電子署名を施してもよい。
Here, the
<手順[5.]>
クライアント装置2Cでは、手順[4.]によってクライアント装置2Bから受信した継続検証を依頼する情報が、当該クライアント装置2Cの継続検証部205に送られる。
<Procedure [5. ]>
In the client apparatus 2C, the procedure [4. ] Is sent to the
なお、認証システムが、手順[4.]で検証結果にクライアント装置2Bの電子署名が施されて送信されるように構築されている場合には、クライアント装置2Cでは、クライアント装置2Bの公開鍵を用いて当該クライアント装置2Bの電子署名の検証が行なわれ、当該電子署名の検証が成功したことを条件として、継続検証の依頼情報が継続検証部205に送られてもよい。
Note that the authentication system performs the procedure [4. ], The client device 2C uses the public key of the
<手順[6.]>
継続検証の依頼を受けた当該クライアント装置2Cの継続検証部205は、継続検証を実行する。具体的には、CA(2)証明書、CA(1)証明書およびルート証明書の検証を実行する。
<Procedure [6. ]>
The
<手順[7.]>
クライアント装置2Cの継続検証部205は、手順[6.]の検証の結果を、クライアント装置2Bへ送信する。
<Procedure [7. ]>
The
ここで、継続検証部205は、クライアント装置2Bに送信する検証結果に、クライアント装置2Cの電子署名を施してもよい。
Here, the
<手順[8.]>
クライアント装置2Bでは、クライアント装置2Cから検証結果を受信すると、証明書処理部204は、手順[2.]での検証結果と合わせて、クライアント装置2Aの認証に成功したか、つまり、CA(2)、CA(2)およびルートCAの電子署名の検証が成功したか否かを判断する。
<Procedure [8. ]>
When the
なお、認証システムが、手順[7.]で検証結果にクライアント装置2Cの電子署名が施されて送信されるように構築されている場合には、クライアント装置2Bでは、クライアント装置2Cの公開鍵を用いて当該クライアント装置2Cの電子署名の検証が行なわれ、当該電子署名の検証が成功したことを条件として、クライアント装置2Cから検証結果が証明書処理部204に送られてもよい。
Note that the authentication system performs the procedure [7. ], The
<手順[9.]>
クライアント装置2Bの証明書処理部204は、手順[8.]の認証結果、つまり、クライアント装置2Bがクライアント装置2Aと通信ができるか否かの情報を、クライアント装置2Aに送信する。
<Procedure [9. ]>
The
(まとめ)
以上説明した本実施の形態では、MFP(1)からCA(1)(認証サーバ装置)によってオンライン発行されたMFP(1)証明書(第1の電子証明書)を受信すると、MFP(2)(第1のクライアント装置,認証装置)は、当該電子証明書の検証に必要な処理の一部を、PC(1)(第2のクライアント装置)に依頼する。PC(1)は、依頼を受けた処理を実行し、その結果をMFP(2)に送信する。
(Summary)
In the present embodiment described above, when the MFP (1) certificate (first electronic certificate) issued online by the CA (1) (authentication server device) is received from the MFP (1), the MFP (2) The (first client device, authentication device) requests the PC (1) (second client device) to perform a part of processing necessary for verification of the electronic certificate. The PC (1) executes the requested processing and transmits the result to the MFP (2).
本実施の形態では、MFP(2)は、継続検証として、MFP(1)証明書の検証に必要な処理であって、自機でできない処理についてのみ、PC(1)に処理を依頼したが、MFP(2)は、自機でできない処理がMFP(1)証明書の検証に必要な一部の処理であっても、当該証明書の検証に必要なすべての処理(CA(2)の電子署名の検証、CA(1)の電子署名の検証およびルートCAの電子署名の検証)をPC(1)に依頼してもよい。 In this embodiment, the MFP (2) requests the PC (1) to perform processing only for processing that is necessary for verification of the MFP (1) certificate and cannot be performed by itself as continuous verification. The MFP (2), even if the processing that cannot be performed by itself is a part of the processing required for verifying the MFP (1) certificate, all processing required for verifying the certificate (CA (2) Electronic signature verification, CA (1) electronic signature verification, and root CA electronic signature verification) may be requested from the PC (1).
なお、上記手順[7.]では、クライアント装置2Cの継続検証部205は、手順[6.]の検証の結果をクライアント装置2Bに送信したが、当該継続検証部205は、クライアント装置2Bから送信された情報に基づいて、クライアント装置2Aの認証の可否を判断し、その結果をクライアント装置2Bに送信しても良い。具体的には、本実施の形態では、MFP(1)証明書の検証に必要な処理の一部が手順[2.]としてクライアント装置2Bで実行され、そして、残りの処理が手順[6.]として、クライアント装置2Cで実行されている。つまり、クライアント装置2Cは、MFP(1)証明書の検証に必要なすべての証明書の検証結果を取得できる。よって、継続検証部205は、MFP(1)証明書の検証に必要なすべての証明書の検証結果に基づいて、MFP(1)証明書の検証の最終的な成否、および当該成否に基づくMFP(1)の認証の可否まで判断し、当該判断の結果をクライアント装置2Bに送信しても良い。これにより、クライアント装置2Bが、クライアント装置2Aの認証の際に必要とされる処理内容を、より軽減させることができる。
The above procedure [7. ], The
[第2の実施の形態]
図8は、認証システムの第2の実施の形態の構成を模式的に示す図である。
[Second Embodiment]
FIG. 8 is a diagram schematically illustrating the configuration of the second embodiment of the authentication system.
図8を参照して、本認証システムは、認証サーバ装置7A〜7Dの4つの認証サーバ装置を含む。本認証システムでは、CA(2)(認証サーバ装置7A)、CA(1)(認証サーバ装置7B)、CA(0)(認証サーバ装置7D)、ルートCA(認証サーバ装置7C)の順に階層関係を有し、ルートCA(認証サーバ装置7C)が最上位の認証局として機能する。つまり、第1の実施の形態の認証システムに対して、認証局の階層が一段階多くなっている。
Referring to FIG. 8, the authentication system includes four authentication server devices,
本実施の形態では、MFP(1)証明書の検証に、CA(2)、CA(1)、CA(0)およびルートCAの証明書(電子署名)の検証が必要とされるものとする。 In the present embodiment, verification of the certificate of CA (2), CA (1), CA (0) and root CA (electronic signature) is required for verification of the MFP (1) certificate. .
MFP(2)は、MFP(1)証明書を受信すると(手順[1.])、MFP(1)証明書の検証のためにCA(2)証明書を検証し(手順[2.])、継続検証を依頼するPC(1)に依頼するための情報と手順[2.]の検証結果を送信する(手順[3.][4.])。 Upon receiving the MFP (1) certificate (procedure [1.]), the MFP (2) verifies the CA (2) certificate to verify the MFP (1) certificate (procedure [2.]). Information and procedure for requesting PC (1) for requesting continuous verification [2. ] Is transmitted (procedure [3.] [4.]).
これに応じて、PC(1)は、CA(1)、CA(0)およびルートCAの証明書(電子署名)を検証し(手順[5.][6.])、その結果をMFP(2)に送信する(手順[7.])。 In response to this, the PC (1) verifies the certificates (electronic signatures) of the CA (1), CA (0) and the root CA (procedure [5.] [6.]), and the result is the MFP ( 2) (procedure [7.]).
MFP(2)は、自機での検証結果とPC(1)から受信した検証結果に基づいて、MFP(1)証明書を検証する(手順[8.])。 The MFP (2) verifies the MFP (1) certificate based on the verification result of the MFP (2) and the verification result received from the PC (1) (procedure [8.]).
そして、手順[8.]の認証結果、つまり、クライアント装置2Bがクライアント装置2Aと通信ができるか否かの情報を、クライアント装置2Aに送信する(手順[9.])。
Then, the procedure [8. ], That is, information indicating whether or not the
本実施の形態では、認証システムにおける認証局の階層が4段階であっても、第1の実施の形態と同様に、MFP(2)とPC(1)で分担して、MFP(1)証明書を検証できる。 In this embodiment, even if there are four levels of certificate authorities in the authentication system, as in the first embodiment, the MFP (2) and the PC (1) share the MFP (1) certificate. Certificate can be verified.
[第3の実施の形態]
第1および第2の実施の形態において、PC(1)がルートCAの証明書(電子署名)の検証ができない場合、PC(1)がさらに他のデバイスにルートCAの証明書の検証を依頼してもよい。つまり、継続検証は、複数のデバイスにおいて実行されてもよい。
[Third Embodiment]
In the first and second embodiments, when the PC (1) cannot verify the root CA certificate (electronic signature), the PC (1) requests another device to verify the root CA certificate. May be. That is, the continuous verification may be executed in a plurality of devices.
以下、本実施の形態におけるMFP(1)証明書の検証態様を、より詳細に説明する。第1および第2の実施の形態では、MFP(2)は、MFP(1)証明書の検証に際して、MFP(1)証明書の検証に必要な処理の中の自機でできない処理(CA(2)証明書の検証以外の証明書の検証)のすべてを実行できるデバイスに継続検証を依頼していたが、継続検証は、自機でできない処理の少なくとも一部を実行できるデバイスに依頼されてもよい。 Hereinafter, the verification mode of the MFP (1) certificate in the present embodiment will be described in more detail. In the first and second embodiments, when verifying the MFP (1) certificate, the MFP (2) performs a process (CA ( 2) Although continuous verification was requested to a device that can perform all of (certificate verification other than certificate verification), continuous verification was requested from a device that can execute at least a part of processing that cannot be performed by the device itself. Also good.
このような状況下で継続検証を依頼されたデバイスは、MFP(1)証明書の検証に必要な処理であって、MFP(2)が実行できない処理の一部を実行した後、さらに他のデバイスに、MFP(1)証明書の検証に必要な残りの処理を依頼する。 In such a situation, the device requested to continue the verification is a process necessary for verifying the MFP (1) certificate, and after executing a part of the process that the MFP (2) cannot execute, The device is requested to perform the remaining processing necessary for verifying the MFP (1) certificate.
具体的には、たとえば第1の実施の形態において、MFP(1)証明書の検証には、CA(2)証明書の検証、CA(1)証明書の検証、ルート証明書の検証が必要とされる。MFP(2)は、CA(2)証明書を検証し、他の証明書の検証を、少なくともCA(1)証明書の検証ができるPC(1)に依頼する。PC(1)は、CA(1)証明書を検証し、残りの処理(ルート証明書の検証)を、さらに他のデバイスに依頼する。 Specifically, for example, in the first embodiment, verification of the MFP (1) certificate requires verification of the CA (2) certificate, verification of the CA (1) certificate, and verification of the root certificate. It is said. The MFP (2) verifies the CA (2) certificate and requests the PC (1) that can verify at least the CA (1) certificate to verify other certificates. The PC (1) verifies the CA (1) certificate and requests another device to perform the remaining processing (verification of the root certificate).
さらに他のデバイスからPC(1)に、ルート証明書の検証結果が送信される。
PC(1)は、受信したルート証明書の検証結果と、自機でのCA(1)証明書の検証結果を、MFP(2)に送信する。
Further, the verification result of the root certificate is transmitted from another device to the PC (1).
The PC (1) transmits the received verification result of the root certificate and the verification result of the CA (1) certificate in itself to the MFP (2).
MFP(2)は、PC(1)から受信したルート証明書の検証結果およびCA(1)証明書の検証結果と、自機におけるCA(2)証明書の検証結果に基づいて、MFP(1)証明書を検証する。そして、MFP(1)証明書の検証結果に基づいて、MFP(1)との通信の可否を決定し、その決定の結果をMFP(1)に送信する。 Based on the root certificate verification result and the CA (1) certificate verification result received from the PC (1) and the CA (2) certificate verification result in the MFP (1), the MFP (2) ) Validate the certificate. Then, based on the verification result of the MFP (1) certificate, whether to communicate with the MFP (1) is determined, and the determination result is transmitted to the MFP (1).
なお、MFP(1)証明書の検証に関するセキュリティポリシー(または階層情報)において、本実施の形態において実現されるような、複数のデバイスによる継続検証の可否を特定する情報が含まれていてもよい。当該情報において、継続検証が不可とされていれば、MFP(2)は、継続検証の依頼先として、MFP(1)証明書の検証のための処理の中で、自機で実行できる検証以外のすべての処理を実行できるデバイスを取得できない場合、MFP(1)証明書の検証に失敗した(エラーが発生した)として、その旨をMFP(1)に返信する。 Note that the security policy (or hierarchy information) related to MFP (1) certificate verification may include information specifying whether or not continuous verification by a plurality of devices is possible, as realized in the present embodiment. . If continuous verification is not possible in the information, the MFP (2), as a request destination for continuous verification, is a verification other than the verification that can be executed by itself in the process for verifying the MFP (1) certificate. If a device that can execute all of the above processes cannot be obtained, the verification of the MFP (1) certificate has failed (an error has occurred), and a message to that effect is returned to the MFP (1).
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
2,2A〜2C クライアント装置、3 ネットワークケーブル、4 ハブ、5 ルータ、7,7A〜7D 認証サーバ装置、250,750 CPU、252,752 メディアドライブ、252A,752A 記憶媒体、202,702 データ受信部、203,703 データ解析部、204 証明書処理部、205 継続検証部、206 データ保持部、207 その他処理部、211,711 データ作成部、212,712 データ送信部、704 証明書発行部、705 証明書管理部、706 データ保持部、707 その他処理部、900 証明書、901 代行情報、902 オプション情報。 2, 2A to 2C client device, 3 network cable, 4 hub, 5 router, 7, 7A to 7D authentication server device, 250, 750 CPU, 252, 752 media drive, 252A, 752A storage medium, 202, 702 data receiving unit 203,703 Data analysis unit, 204 Certificate processing unit, 205 Continuation verification unit, 206 Data holding unit, 207 Other processing unit, 211,711 Data creation unit, 212,712 Data transmission unit, 704 Certificate issuance unit, 705 Certificate management unit, 706 data holding unit, 707 other processing unit, 900 certificate, 901 proxy information, 902 option information.
Claims (13)
前記第1のクライアント装置が、
前記認証サーバ装置によってオンライン発行された第1の電子証明書を記憶するステップと、
前記第1の電子証明書の検証に必要な処理の範囲を取得するステップと、
前記取得した範囲の処理を前記第1のクライアント装置が実行できるか否かを判断するステップと、
前記第2のクライアント装置に対して、前記第1の電子証明書の検証に必要な処理を依頼するステップとを備え、
前記第1のクライアント装置が前記処理を依頼するステップは、前記取得した範囲が前記第1のクライアント装置の実行できない範囲を含むと判断した場合に、前記第2のクライアント装置に対して前記実行できない範囲の処理を依頼するステップを含み、
前記第2のクライアント装置が、
前記第1のクライアント装置から依頼された処理を実行するステップと、
前記第1のクライアント装置から依頼された処理の結果を前記第1のクライアント装置に送信するステップとを備え、
前記第1のクライアント装置が、前記取得した範囲の中の実行できる範囲の処理を実行するステップをさらに備え、
前記実行できない範囲の処理を依頼するステップは、前記実行できる範囲の処理の結果の送信と、前記第1の電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記第2のクライアント装置は、前記可否を特定する情報が前記第1の電子証明書の複数の装置による検証が不可であることを示す場合には、前記依頼された処理の結果として、前記第1の電子証明書の検証に失敗したことを示す情報を前記第1のクライアント装置に送信する、認証システムの制御方法。 An authentication system control method comprising a first client device, a second client device, and an authentication server device,
The first client device is
Storing a first electronic certificate issued online by the authentication server device;
Obtaining a range of processing necessary for verification of the first electronic certificate;
Determining whether the first client device can execute the processing of the acquired range;
Requesting the second client device to perform processing necessary for verifying the first electronic certificate,
The step of requesting the processing by the first client device cannot be executed with respect to the second client device when it is determined that the acquired range includes a range that cannot be executed by the first client device. Including the step of requesting processing of the range,
The second client device is
Executing a process requested by the first client device;
Transmitting the result of the processing requested from the first client device to the first client device,
The first client device further includes a step of executing a process in an executable range in the acquired range,
The step of requesting the processing in the unexecutable range includes transmission of a result of the processing in the executable range, and transmission of information specifying whether or not the first electronic certificate can be verified by a plurality of devices,
If the information specifying the availability indicates that the first electronic certificate cannot be verified by a plurality of devices, the second client device, as a result of the requested processing, A method for controlling an authentication system, wherein information indicating that the verification of one electronic certificate has failed is transmitted to the first client device.
前記第1の電子証明書は、前記複数の認証サーバ装置のいずれかによって発行され、
前記第1のクライアント装置が前記範囲を取得するステップは、前記第1の電子証明書の検証のために電子証明書の検証が必要な認証サーバ装置の範囲を取得するステップを含み、
前記第1のクライアント装置が前記取得した範囲の処理を実行できるか否かを判断するステップは、前記検証が必要な電子証明書が、前記第1のクライアント装置が検証できる電子証明書よりも上位の前記認証サーバ装置が発行した電子証明書を含むか否かを判断するステップを含み、
前記第1のクライアント装置が前記実行できる範囲の処理を実行するステップは、前記検証が必要な電子証明書の中の検証できる範囲の電子証明書を検証するステップを含み、
前記第1のクライアント装置が前記実行できる範囲の処理の実行の結果を送信するステップは、前記検証できる範囲の電子証明書の検証結果を送信するステップを含み、
前記第1のクライアント装置が前記処理を依頼するステップは、前記検証が必要とされる電子証明書の中の、前記検証できる電子証明書よりも上位の認証サーバ装置が発行した電子証明書の検証を依頼するステップを含む、請求項1に記載の認証システムの制御方法。 The authentication system includes a plurality of authentication server devices having a hierarchical structure,
The first electronic certificate is issued by any of the plurality of authentication server devices,
The step of the first client device acquiring the range includes acquiring a range of an authentication server device that requires verification of an electronic certificate for verification of the first electronic certificate;
The step of determining whether or not the first client device can execute the processing of the acquired range is such that the electronic certificate that needs to be verified is higher than the electronic certificate that can be verified by the first client device. Determining whether to include an electronic certificate issued by the authentication server device,
The step of executing the process of the executable range by the first client device includes the step of verifying the electronic certificate of the verifiable range in the electronic certificate that needs to be verified,
The step of transmitting the execution result of the process within the executable range by the first client device includes the step of transmitting the verification result of the electronic certificate within the verifiable range,
The step of requesting the processing by the first client device includes verifying an electronic certificate issued by an authentication server device higher than the electronic certificate that can be verified among the electronic certificates that require verification. The method for controlling an authentication system according to claim 1, further comprising the step of requesting:
前記第1のクライアント装置による検証結果と、前記第2のクライアント装置による検証結果とに基づいて、前記第1の電子証明書の検証が成功したか否かを判断するステップと、
前記第1の電子証明書の検証が成功したか否かの判断の結果を前記第1のクライアント装置へ送信するステップとをさらに備える、請求項2に記載の認証システムの制御方法。 The second client device is
Determining whether the verification of the first electronic certificate is successful based on a verification result by the first client device and a verification result by the second client device;
The method for controlling the authentication system according to claim 2, further comprising a step of transmitting to the first client device a result of determination as to whether or not the verification of the first electronic certificate is successful.
前記第1のクライアント装置は、前記第1の電子証明書の前記階層についての記述に基づいて、前記認証サーバ装置の範囲を取得する、請求項5に記載の認証システムの制御方法。 The first electronic certificate includes a description of a hierarchy of authentication server devices required for verification of the first electronic certificate,
6. The authentication system control method according to claim 5, wherein the first client device acquires a range of the authentication server device based on a description of the hierarchy of the first electronic certificate.
前記第1のクライアント装置は、前記第1の電子証明書における前記装置を特定する情報の記述に基づいて、前記第1の電子証明書の検証に必要な処理を依頼する装置を決定する、請求項1〜請求項7のいずれか1項に記載の認証システムの制御方法。 The first electronic certificate includes a description of information for specifying a device that requests processing necessary for verification of the first electronic certificate,
The first client device determines a device that requests processing necessary for verification of the first electronic certificate based on a description of information specifying the device in the first electronic certificate. The method for controlling an authentication system according to any one of claims 1 to 7.
認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
前記電子証明書の検証に必要な処理の範囲を取得するステップと、
前記取得した範囲の処理を前記認証装置が実行できるか否かを判断するステップと、
他の装置に対して、前記電子証明書の検証に必要な処理を依頼するステップと、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信するステップとを備え、
前記処理を依頼するステップは、前記取得した範囲が前記認証装置の実行できない範囲を含むと判断した場合に、前記他の装置に対して前記実行できない範囲の処理を依頼するステップを含み、
前記取得した範囲の中の実行できる範囲の処理を実行するステップをさらに備え、
前記実行できない範囲の処理を依頼するステップは、前記実行できる範囲の処理の結果の送信と、前記電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記可否を特定する情報が前記電子証明書の複数の装置による検証が不可であることを示す場合には、前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果として、前記電子証明書の検証に失敗したことを示す情報を受信する、認証装置の制御方法。 A method for controlling the authentication apparatus, executed by a computer of the authentication apparatus,
Storing an electronic certificate issued online by an authentication server device;
Obtaining a range of processing necessary for verification of the electronic certificate;
Determining whether the authentication device can execute the processing of the acquired range;
Requesting other devices to perform processing necessary for verification of the electronic certificate;
Receiving, from the other device, a result of processing executed in response to the request in the other device;
The step of requesting the process includes a step of requesting the other apparatus to perform a process in the non-executable range when it is determined that the acquired range includes an inexecutable range of the authentication apparatus,
A step of executing a process in a range that can be executed in the acquired range;
The step of requesting the processing of the inexecutable range includes transmission of a result of the processing of the executable range, and transmission of information specifying whether or not the electronic certificate can be verified by a plurality of devices,
When the information specifying the availability indicates that the electronic certificate cannot be verified by a plurality of devices, the result of processing executed in response to the request in the other device from the other device A method for controlling the authentication apparatus, wherein information indicating that the verification of the electronic certificate has failed is received.
前記第1のクライアント装置に、
前記認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
前記電子証明書の検証に必要な処理の範囲を取得するステップと、
前記取得した範囲の処理を前記第1のクライアント装置が実行できるか否かを判断するステップと、
前記第2のクライアント装置に対して、前記電子証明書の検証に必要な処理を依頼するステップとを実行させ、
前記第1のクライアント装置が前記処理を依頼するステップは、前記取得した範囲が前記第1のクライアント装置の実行できない範囲を含むと判断した場合に、前記第2のクライアント装置に対して前記実行できない範囲の処理を依頼するステップを含み、
前記第2のクライアント装置に、
前記第1のクライアント装置から依頼された前記電子証明書の検証に必要な処理を実行するステップと、
前記第1のクライアント装置から依頼された処理の結果を前記第1のクライアント装置に送信するステップとを実行させ、
前記第1のクライアント装置に、前記取得した範囲の中の実行できる範囲の処理を実行するステップをさらに実行させ、
前記実行できない範囲の処理を依頼するステップは、前記実行できる範囲の処理の結果の送信と、前記電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記可否を特定する情報が前記電子証明書の複数の装置による検証が不可であることを示す場合には、前記第2のクライアント装置に、前記第1のクライアント装置へ、前記依頼された処理の結果として前記電子証明書の検証に失敗したことを示す情報を送信させる、認証システムの制御プログラム。 An authentication system control program comprising a first client device, a second client device, and an authentication server device,
In the first client device,
Storing an electronic certificate issued online by the authentication server device;
Obtaining a range of processing necessary for verification of the electronic certificate;
Determining whether the first client device can execute the processing of the acquired range;
Requesting the second client device to perform processing necessary for the verification of the electronic certificate,
The step of requesting the processing by the first client device cannot be executed with respect to the second client device when it is determined that the acquired range includes a range that cannot be executed by the first client device. Including the step of requesting processing of the range,
In the second client device,
Executing a process necessary for verifying the electronic certificate requested by the first client device;
Transmitting the result of the processing requested from the first client device to the first client device;
Causing the first client device to further execute a process of an executable range in the acquired range;
The step of requesting the processing of the inexecutable range includes transmission of a result of the processing of the executable range, and transmission of information specifying whether or not the electronic certificate can be verified by a plurality of devices,
If the information specifying the availability indicates that the electronic certificate cannot be verified by a plurality of devices, the second client device sends the requested processing to the first client device. As a result, an authentication system control program for transmitting information indicating that the verification of the electronic certificate has failed.
前記制御プログラムは、前記コンピュータに、
認証サーバ装置によってオンライン発行された電子証明書を記憶するステップと、
前記電子証明書の検証に必要な処理の範囲を取得するステップと、
前記取得した範囲の処理を前記認証装置が実行できるか否かを判断するステップと、
他の装置に対して、前記電子証明書の検証に必要な処理を依頼するステップと、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信するステップとを実行させ、
前記処理を依頼するステップは、前記取得した範囲が前記認証装置の実行できない範囲を含むと判断した場合に、前記他の装置に対して前記実行できない範囲の処理を依頼するステップを含み、
前記取得した範囲の中の実行できる範囲の処理を実行するステップをさらに実行させ、
前記実行できない範囲の処理を依頼するステップは、前記実行できる範囲の処理の結果の送信と、前記電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記可否を特定する情報が前記電子証明書の複数の装置による検証が不可であることを示す場合には、前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果として、前記電子証明書の検証に失敗したことを示す情報を受信させる、認証装置の制御プログラム。 A control program executable by the computer of the authentication device,
The control program is stored in the computer.
Storing an electronic certificate issued online by an authentication server device;
Obtaining a range of processing necessary for verification of the electronic certificate;
Determining whether the authentication device can execute the processing of the acquired range;
Requesting other devices to perform processing necessary for verification of the electronic certificate;
Receiving, from the other device, a result of processing executed in response to the request in the other device;
The step of requesting the process includes a step of requesting the other apparatus to perform a process in the non-executable range when it is determined that the acquired range includes an inexecutable range of the authentication apparatus,
A step of executing a process in a range that can be executed in the acquired range is further executed;
The step of requesting the processing of the inexecutable range includes transmission of a result of the processing of the executable range, and transmission of information specifying whether or not the electronic certificate can be verified by a plurality of devices,
When the information specifying the availability indicates that the electronic certificate cannot be verified by a plurality of devices, the result of processing executed in response to the request in the other device from the other device As a control program for an authentication apparatus for receiving information indicating that the verification of the electronic certificate has failed.
前記第1のクライアント装置は、
前記認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、
前記第2のクライアント装置に対して、前記電子証明書の検証に必要な処理を依頼する依頼部とを含み、
前記依頼部は、
前記電子証明書の検証に必要な処理の範囲を取得し、
前記取得した範囲の処理を前記第1のクライアント装置が実行できるか否かを判断し、
前記取得した範囲が前記第1のクライアント装置の実行できない範囲を含むと判断した場合に、前記第2のクライアント装置に対して前記実行できない範囲の処理を依頼し、
前記第2のクライアント装置は、
前記依頼部から受信した電子証明書の検証に必要な処理を実行する検証部と、
前記検証部が実行した処理の結果を前記第1のクライアント装置に送信する送信部とを含み、
前記第1のクライアント装置が、前記取得した範囲の中の実行できる範囲の処理を実行するための実行部をさらに備え、
前記実行できない範囲の処理の依頼は、前記実行できる範囲の処理の結果の送信と、前記電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記第2のクライアント装置は、前記可否を特定する情報が前記電子証明書の複数の装置による検証が不可であることを示す場合には、前記依頼された処理の結果として、前記電子証明書の検証に失敗したことを示す情報を前記第1のクライアント装置に送信する、認証システム。 A first client device, a second client device, and an authentication server device;
The first client device is:
A storage unit for storing an electronic certificate issued online by the authentication server device;
A request unit that requests the second client device to perform processing necessary for the verification of the electronic certificate,
The request section
Obtain the scope of processing required for verification of the electronic certificate,
Determining whether the first client device can execute the processing of the acquired range;
When it is determined that the acquired range includes a range that cannot be executed by the first client device, the second client device is requested to process the range that cannot be executed,
The second client device is
A verification unit that performs processing necessary for verification of the electronic certificate received from the request unit;
A transmission unit that transmits a result of the processing executed by the verification unit to the first client device,
The first client device further includes an execution unit for executing processing in a range that can be executed in the acquired range;
The request for the processing in the non-executable range includes transmission of the result of the processing in the executable range, and transmission of information for specifying whether or not the electronic certificate can be verified by a plurality of devices,
If the information specifying the availability indicates that the electronic certificate cannot be verified by a plurality of devices, the second client device, as a result of the requested processing, An authentication system that transmits information indicating that the verification has failed to the first client device.
前記認証サーバ装置によってオンライン発行された電子証明書を記憶する記憶部と、
前記他の装置に対して、前記電子証明書の検証に必要な処理を依頼する依頼部と、
前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果を受信する受信部とを備え、
前記依頼部は、
前記電子証明書の検証に必要な処理の範囲を取得し、
前記取得した範囲の処理を前記認証装置が実行できるか否かを判断し、
前記取得した範囲が前記認証装置の実行できない範囲を含むと判断した場合に、前記他の装置に対して前記実行できない範囲の処理を依頼する、
前記取得した範囲の中の実行できる範囲の処理を実行するための実行部をさらに備え、
前記実行できない範囲の処理の依頼は、前記実行できる範囲の処理の結果の送信と、前記電子証明書の複数の装置による検証の可否を特定する情報の送信とを含み、
前記受信部は、前記可否を特定する情報が前記電子証明書の複数の装置による検証が不可であることを示す場合には、前記他の装置から、当該他の装置において前記依頼に応じて実行された処理の結果として、前記電子証明書の検証に失敗したことを示す情報を受信する、認証装置。 An authentication device connected to another device and an authentication server device via a network,
A storage unit for storing an electronic certificate issued online by the authentication server device;
A request unit that requests the other device to perform processing necessary for the verification of the electronic certificate;
A receiving unit that receives a result of a process executed in response to the request in the other device from the other device;
The request section
Obtain the scope of processing required for verification of the electronic certificate,
Determining whether the authentication device can execute the processing of the acquired range;
When it is determined that the acquired range includes a range that cannot be executed by the authentication device, the other device is requested to process the range that cannot be executed.
An execution unit for executing processing in a range that can be executed in the acquired range;
The request for the processing in the non-executable range includes transmission of the result of the processing in the executable range, and transmission of information for specifying whether or not the electronic certificate can be verified by a plurality of devices,
When the information specifying the availability indicates that the electronic certificate cannot be verified by a plurality of devices, the receiving unit executes the request from the other device in response to the request. An authentication device that receives information indicating that the verification of the electronic certificate has failed as a result of the processed processing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009187722A JP5471150B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, authentication apparatus, control method thereof, and control program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009187722A JP5471150B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, authentication apparatus, control method thereof, and control program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011041080A JP2011041080A (en) | 2011-02-24 |
| JP5471150B2 true JP5471150B2 (en) | 2014-04-16 |
Family
ID=43768379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009187722A Expired - Fee Related JP5471150B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, authentication apparatus, control method thereof, and control program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5471150B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012100188A (en) * | 2010-11-05 | 2012-05-24 | Tokai Rika Co Ltd | Authentication system |
| JP6728706B2 (en) * | 2016-01-21 | 2020-07-22 | 富士ゼロックス株式会社 | Information processing system, information processing apparatus, and information processing program |
| EP3605253B1 (en) * | 2018-08-02 | 2023-05-10 | Siemens Aktiengesellschaft | Automated public key infrastructure initialisation |
| JP2023121536A (en) * | 2022-02-21 | 2023-08-31 | 富士通株式会社 | Verification program, verification method, and information processing device |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003348077A (en) * | 2002-05-27 | 2003-12-05 | Hitachi Ltd | Method and device for verifying attribute certificate |
| JP4304362B2 (en) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | PKI-compliant certificate confirmation processing method and apparatus, and PKI-compliant certificate confirmation processing program |
| JP2007267299A (en) * | 2006-03-30 | 2007-10-11 | Hitachi Ltd | Attribute certificate verification system and method |
| JP2007274722A (en) * | 2007-05-17 | 2007-10-18 | Nec Corp | Proxy authentication system and method, and mobile terminal thereof |
| JP2009100013A (en) * | 2007-10-12 | 2009-05-07 | Hitachi Ltd | Common encryption key processing method |
-
2009
- 2009-08-13 JP JP2009187722A patent/JP5471150B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011041080A (en) | 2011-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101171782B (en) | Peer-to-peer authentication and authorization | |
| US9749301B2 (en) | Cryptographic web service | |
| JP4738791B2 (en) | Service providing system, service providing apparatus, service providing method, service providing program, and recording medium | |
| JP6066647B2 (en) | Device apparatus, control method thereof, and program thereof | |
| JP6810334B2 (en) | Profile data distribution control device, profile data distribution control method, and profile data distribution control program | |
| JP5170648B2 (en) | Authority delegation system, authority delegation method, and authority delegation program | |
| CN111316267A (en) | Authentication using delegated identities | |
| CN112368690A (en) | Block chain based admission procedure for protected entities | |
| JP4758095B2 (en) | Certificate invalidation device, communication device, certificate invalidation system, program, and recording medium | |
| US9906518B2 (en) | Managing exchanges of sensitive data | |
| JP2013513880A (en) | Method, system, and computer-usable program product for protecting asynchronous client-server transactions | |
| JP2013522795A (en) | System and method for remote maintenance of client systems in electronic networks using software testing with virtual machines | |
| US20110213961A1 (en) | Dynamic user interface generation based on constraints of a certificate profile | |
| CN112187470A (en) | Internet of things certificate distribution method, device and system, storage medium and electronic device | |
| US20150188916A1 (en) | Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product | |
| JP5714596B2 (en) | IP security certificate exchange based on certificate attributes | |
| JP5471150B2 (en) | Authentication system, authentication apparatus, control method thereof, and control program | |
| CN102546166A (en) | Method, system and device for identity authentication | |
| KR20140003426A (en) | Back-end constrained delegation model | |
| JP4573559B2 (en) | Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program | |
| JP4018450B2 (en) | Document management system, document management apparatus, authentication method, computer readable program, and storage medium | |
| TWI416923B (en) | Secure data communications in web services | |
| CN117978397B (en) | Internet of things gateway identity authentication method and system based on alliance chain | |
| JP5434441B2 (en) | Authentication ID management system and authentication ID management method | |
| JP2005157845A (en) | Server system, client server system, and login method to client server system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120106 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20130415 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130613 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130625 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130813 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130910 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131101 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131211 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140120 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |