JP2002324049A - Access control method and system - Google Patents
Access control method and systemInfo
- Publication number
- JP2002324049A JP2002324049A JP2001127621A JP2001127621A JP2002324049A JP 2002324049 A JP2002324049 A JP 2002324049A JP 2001127621 A JP2001127621 A JP 2001127621A JP 2001127621 A JP2001127621 A JP 2001127621A JP 2002324049 A JP2002324049 A JP 2002324049A
- Authority
- JP
- Japan
- Prior art keywords
- server
- authentication
- agent
- authentication certificate
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】クライアント端末が複数のサーバへの処理を依
頼する際に二回以上の認証作業を不要とするアクセス制
御方法及びアクセス制御システムの提供。
【解決手段】クライアント端末Cからのサービス認証要
求を受け付け認証処理を経てエージェント認証証明書を
発行するエージェント認証部1と、クライアント端末C
からのサービス利用要求を受け付け、当該サービス利用
要求に添付された認証証明書が正当なものであれば、ク
ライアント端末C又はユーザが指定した第一サーバS1
の第一サーバ認証証明書を内部保持する認証情報を用い
て第一サーバSから取得するか、又は、前に取得済みで
あれば以前取得した第一サーバ認証証明書を必要に応じ
て取り出し、当該取得した又は当該取り出したサーバ認
証証明書を提示してサービス利用要求を第一サーバS1
に行い、第一サーバS1からの送信結果をクライアント
端末Cに返却するエージェントサービス処理部2とを備
える特徴的手段の採用。
(57) [Summary] [PROBLEMS] To provide an access control method and an access control system in which a client terminal does not need to perform authentication work twice or more when requesting processing to a plurality of servers. An agent authentication unit configured to receive a service authentication request from a client terminal and issue an agent authentication certificate through an authentication process;
, And if the authentication certificate attached to the service use request is valid, the client terminal C or the first server S1 specified by the user.
The first server authentication certificate is obtained from the first server S using the authentication information internally held, or, if obtained before, the previously obtained first server authentication certificate is taken out as necessary, Presenting the acquired or retrieved server authentication certificate and issuing a service use request to the first server S1
And an agent service processing unit 2 for returning a transmission result from the first server S1 to the client terminal C.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、様々な機能を提供
する複数種類のサーバがネットワークを介して接続さ
れ、認証形式の異なる複数種類のサーバの機能を一つの
クライアント端末を用いてユーザが操作するネットワー
クコンピューティング環境下において、クライアント端
末又はそのユーザが複数のサーバに対して操作する際
に、二回以上の認証作業を不要とする、アクセス制御方
法及びシステムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system in which a plurality of types of servers providing various functions are connected via a network, and a user operates the functions of a plurality of types of servers having different authentication formats using a single client terminal. The present invention relates to an access control method and system that does not require two or more authentication operations when a client terminal or its user operates a plurality of servers in a network computing environment.
【0002】[0002]
【従来の技術】図5は、本発明に関する従来技術を説明
する為の説明図である。2. Description of the Related Art FIG. 5 is an explanatory diagram for explaining a prior art related to the present invention.
【0003】従来、同図の様に、複数種類のサーバS
(第一サーバS1、第二サーバS2、・・)を扱うクラ
イアント端末Cは、サーバS毎に認証手続きを行い、サ
ーバS毎の認証証明書を認証証明書保持部Cdに保持
し、処理をサーバSに依頼する毎にそのサーバSに対応
する認証証明書Cs(第一サーバS1に依頼する際には
「第一サーバの為の認証証明書」Cs1、第二サーバS
2に依頼する際には「第二サーバの為の認証証明書」C
s2、・・)を提示する必要がある。Conventionally, as shown in FIG.
The client terminal C handling (the first server S1, the second server S2,...) Performs an authentication procedure for each server S, holds an authentication certificate for each server S in the authentication certificate holding unit Cd, and performs processing. Each time a request is made to the server S, the authentication certificate Cs corresponding to the server S (when the request is made to the first server S1, the "authentication certificate for the first server" Cs1, and the second server S
2 when requesting an "authentication certificate for the second server" C
s2, ...) must be presented.
【0004】[0004]
【発明が解決しようとする課題】かように従来において
は、クライアント端末C自体又はそのユーザ自体には各
サーバに認証手続きを行う負担がかかる等の問題があ
る。As described above, in the related art, there is a problem that the client terminal C itself or its user is burdened with performing the authentication procedure on each server.
【0005】ここにおいて、本発明の解決すべき主要な
目的は以下の通りである。The main objects to be solved by the present invention are as follows.
【0006】本発明の第1の目的は、クライアント端末
自体又はそれを扱うユーザ自体に各サーバに対して認証
手続きを行う負担を軽減する、アクセス制御方法及びシ
ステムを提供することにある。A first object of the present invention is to provide an access control method and system which reduce the burden of performing an authentication procedure on each server for a client terminal itself or a user who handles the client terminal itself.
【0007】本発明の第2の目的は、クライアント端末
が複数のサーバへの処理を依頼する際に、二回以上の認
証作業を不要とする、アクセス制御方法及びシステムを
提供することにある。A second object of the present invention is to provide an access control method and system which eliminates the need for two or more authentication operations when a client terminal requests processing to a plurality of servers.
【0008】本発明の第3の目的は、各クライアント端
末自体が、各サーバへのアクセスに必要となるサーバ毎
の認証情報を保持する必要のない、アクセス制御方法及
びシステムを提供することにある。A third object of the present invention is to provide an access control method and system in which each client terminal itself does not need to hold authentication information for each server necessary for accessing each server. .
【0009】本発明の他の目的は、明細書、図面、特に
特許請求の範囲における各請求項の記載から自ずと明ら
かとなろう。[0009] Other objects of the present invention will become apparent from the description of the specification, drawings, and particularly from the claims.
【0010】[0010]
【課題を解決するための手段】本発明方法は、上記課題
の解決に当たり、複数のサーバに対するクライアント端
末からの要求をアクセス制御する方法であって、当該複
数のサーバの内特定のサーバに対して前記クライアント
端末からサービス利用要求を行うに際して、当該サービ
ス利用要求に係る認証代行処理を行うアクセス制御シス
テムに対して、事前に当該クライアント端末を利用する
ユーザの利用者認証を行って当該利用者認証に成功した
場合に限って当該クライアント端末に対して発行される
エージェント認証証明書を、当該サービス利用要求に添
付することにより前記アクセス制御が行われてなる構成
手法を講じる。According to the present invention, there is provided a method for controlling access to a request from a client terminal to a plurality of servers. When performing a service use request from the client terminal, the access control system that performs an authentication proxy process related to the service use request performs user authentication of a user who uses the client terminal in advance to perform the user authentication. A configuration method is adopted in which the access control is performed by attaching an agent authentication certificate issued to the client terminal to the service use request only when succeeding.
【0011】本発明システムは、上記課題の解決に当た
り、各サーバに対するクライアント端末からの各サーバ
に対する認証処理を統合させて、認証処理の代行を行う
システムであって、前記クライアント端末からのエージ
ェント認証要求を受け付けて利用者認証を行ってエージ
ェント認証証明書を発行するエージェント認証部と、当
該クライアント端末からのサービス利用要求を受け付
け、当該サービス利用要求に添付されるエージェント認
証証明書が正当であれば、クライアント端末が指定する
特定のサーバから、当該システム内部に予め保持する認
証情報を用いて当該特定のサーバのサーバ認証証明書を
取得するか、又は以前に取得済みのサーバ認証証明書を
取り出して、当該取得した又は取り出したサーバ認証証
明書を、サービス利用要求と共に該当サーバに対して提
示して、当該提示を受けた該当サーバから送信される結
果を受け、当該クライアント端末に返却するエージェン
トサービス処理部と、を具備する構成手段を講じる。[0011] In order to solve the above-mentioned problems, the system of the present invention is a system for performing an authentication process on behalf of each server by integrating an authentication process for each server from a client terminal. And an agent authentication unit that performs user authentication and issues an agent authentication certificate, receives a service use request from the client terminal, and if the agent authentication certificate attached to the service use request is valid, From the specific server specified by the client terminal, obtain the server authentication certificate of the specific server using the authentication information held in advance in the system, or take out the previously obtained server authentication certificate, The obtained or extracted server authentication certificate is used for service And presented to the appropriate server with the request, it receives the result transmitted from the corresponding server having received the presentation, configuration take steps to anda agent service processing unit to be returned to the client terminal.
【0012】更に、具体的詳細に述べると、当該課題の
解決では、本発明が次に列挙する新規な特徴的構成手法
又は手段を採用することにより、上記目的を達成するよ
うになされる。More specifically, in order to solve the above-mentioned problems, the present invention achieves the above object by adopting the following novel characteristic configuration method or means.
【0013】本発明方法の第1の特徴は、複数のサーバ
に対するクライアント端末からの要求をアクセス制御す
る方法であって、当該複数のサーバの内特定のサーバに
対して前記クライアント端末からサービス利用要求を行
うに際して、当該サービス利用要求に係る認証代行処理
を行うアクセス制御システムに対して、事前に当該クラ
イアント端末を利用するユーザの利用者認証を行って当
該利用者認証に成功した場合に限って当該クライアント
端末に対して発行されるエージェント認証証明書を、当
該サービス利用要求に添付することにより前記アクセス
制御が行われてなるアクセス制御方法の構成採用にあ
る。A first feature of the method of the present invention is a method for controlling access to a request from a client terminal to a plurality of servers, wherein a service use request from the client terminal to a specific server among the plurality of servers is provided. When performing the authentication, the access control system that performs the proxy authentication process related to the service use request performs user authentication of the user who uses the client terminal in advance and performs the authentication only when the user authentication is successful. The present invention is to adopt a configuration of an access control method in which the access control is performed by attaching an agent authentication certificate issued to a client terminal to the service use request.
【0014】本発明方法の第2の特徴は、上記本発明方
法の第1の特徴における前記利用者認証が、前記アクセ
ス制御システム内部に予め保持された各クライアント端
末又はその利用者に係る認証データと比較することで、
行われてなるアクセス制御方法の構成採用にある。According to a second feature of the method of the present invention, the user authentication in the first feature of the method of the present invention is such that the authentication data relating to each client terminal or the user stored in the access control system in advance is stored. By comparing with
The present invention resides in adopting a configuration of an access control method to be performed.
【0015】本発明方法の第3の特徴は、上記本発明方
法の第1又は第2の特徴における前記サービス利用要求
に対するアクセス制御が、前記アクセス制御システムで
もって前記サービス利用要求を受けると、当該要求に添
付されたエージェント認証証明書の正当性を確認した後
に、前記サービス利用要求に係るサーバに初めて前記ク
ライアント端末が要求する場合に限り、当該サーバに対
する認証代行処理を行ってサーバ認証証明書を当該サー
バから取得し、当該取得したサーバ認証証明書、又は、
以前行われた前記認証代行処理により取得済みのサーバ
認証証明書の何れかを、当該サーバに対して提示して前
記サービス利用要求を仲介してなるアクセス制御方法の
構成採用にある。According to a third feature of the method of the present invention, the access control for the service use request in the first or second feature of the method of the present invention is performed when the service control request is received by the access control system. After confirming the validity of the agent authentication certificate attached to the request, only when the client terminal makes a request to the server relating to the service use request for the first time, the server performs the proxy authentication process for the server and generates the server authentication certificate. Obtained from the server, the obtained server authentication certificate, or
One aspect of the present invention resides in adopting a configuration of an access control method in which any one of the server authentication certificates acquired by the authentication delegation process performed before is presented to the server and the service use request is mediated.
【0016】本発明方法の第4の特徴は、上記本発明方
法の第3の特徴における前記方法が、前記認証代行処理
により取得したサーバ認証証明書を、前記アクセス制御
システム内に登録し、次回以降の当該サーバ認証証明書
を発行したサーバに対して前記クライアント端末のサー
ビス利用要求が行われた場合に、登録先からサーバ認証
証明書を取り出し当該サーバに対する提示に供されてな
るアクセス制御方法の構成採用にある。A fourth feature of the method of the present invention is that the method according to the third feature of the present invention registers the server authentication certificate acquired by the authentication delegation process in the access control system. After that, when a service use request of the client terminal is issued to a server that has issued the server authentication certificate, an access control method of extracting a server authentication certificate from a registration destination and presenting the server authentication certificate to the server is disclosed. In the configuration adoption.
【0017】本発明方法の第5の特徴は、上記本発明方
法の第3の特徴における前記方法が、前記認証代行処理
により取得したサーバ認証証明書を、前記サービス利用
要求をしたクライアント端末に対して、当該サービス利
用要求の際に添付されたエージェント認証証明書に付け
加えて返却し、次回以降のサービス利用要求の際に、当
該サーバ認証証明書が付け加えられたエージェント認証
証明書を用い、前記サーバに対して当該付け加えられた
エージェント認証証明書から当該サーバ認証証明書を取
り出し、当該サーバに対する提示に供されてなるアクセ
ス制御方法の構成採用にある。According to a fifth aspect of the method of the present invention, the method according to the third aspect of the present invention is characterized in that the server authentication certificate acquired by the authentication proxy processing is transmitted to the client terminal which has made the service use request. The server authentication certificate attached to the service use request is returned in addition to the agent authentication certificate attached to the service use request. The server authentication certificate is extracted from the agent authentication certificate added thereto, and the access control method is provided for presentation to the server.
【0018】本発明方法の第6の特徴は、上記本発明方
法の第3の特徴における前記方法が、前記認証代行処理
により取得したサーバ認証証明書を、前記サービス利用
要求をしたクライアント端末に対して、当該サービス利
用要求の際に添付されたエージェント認証証明書に付け
加えて返却すると共に、前記アクセス制御システム内部
に、当該サーバ認証証明書を付け加えられたエージェン
ト認証証明書として、再登録し、次回以降のサービス利
用要求の際に、当該サーバ認証証明書が付け加えられた
エージェント認証証明書を添付し、当該添付されたサー
バ認証証明書が付け加えられたエージェント認証証明書
と前記アクセス制御システム内部に再登録したサーバ認
証証明書が付け加えられたエージェント認証証明書とを
比較して、その正当性を判断し、当該判断をクリアした
場合に、当該サーバ認証証明書を取り出して、そのサー
バに対する提示に供されてなるアクセス制御方法の構成
採用にある。According to a sixth aspect of the method of the present invention, the method according to the third aspect of the present invention is arranged such that the server authentication certificate acquired by the authentication delegation process is transmitted to the client terminal which has made the service use request. Then, in addition to returning the agent authentication certificate attached to the service usage request, the server authentication certificate is re-registered inside the access control system as the added agent authentication certificate. At the time of a subsequent service use request, the agent authentication certificate to which the server authentication certificate is added is attached, and the agent authentication certificate to which the attached server authentication certificate is added is re-created inside the access control system. Compare the registered server authentication certificate with the added agent authentication certificate, Determining sex, when clearing the decision, it takes out the server authentication certificate, in the configuration adopting the access control method comprising been subjected to presentation to the server.
【0019】一方、本発明システムの第1の特徴は、各
サーバに対するクライアント端末からの各サーバに対す
る認証処理を統合させて、認証代行処理を行うシステム
であって、前記クライアント端末からのエージェント認
証要求を受け付けて利用者認証を行ってエージェント認
証証明書を発行するエージェント認証部と、当該クライ
アント端末からのサービス利用要求を受け付け、当該サ
ービス利用要求に添付されるエージェント認証証明書が
正当であれば、クライアント端末が指定する特定のサー
バから、当該システム内部に予め保持する認証情報を用
いて当該特定のサーバのサーバ認証証明書を取得する
か、又は以前に取得済みのサーバ認証証明書を取り出し
て、当該取得した又は取り出したサーバ認証証明書を、
サービス利用要求と共に該当サーバに対して提示して、
当該提示を受けた該当サーバから送信される結果を受
け、当該クライアント端末に返却するエージェントサー
ビス処理部と、を具備してなるアクセス制御システムの
構成採用にある。On the other hand, a first feature of the system of the present invention is a system for performing authentication proxy processing by integrating authentication processing for each server from a client terminal to each server, wherein an agent authentication request from the client terminal is provided. And an agent authentication unit that performs user authentication and issues an agent authentication certificate, receives a service use request from the client terminal, and if the agent authentication certificate attached to the service use request is valid, From the specific server specified by the client terminal, obtain the server authentication certificate of the specific server using the authentication information held in advance in the system, or take out the previously obtained server authentication certificate, The obtained or extracted server authentication certificate,
Present it to the server with the service usage request,
And an agent service processing unit that receives a result transmitted from the server that has received the presentation and returns the result to the client terminal.
【0020】本発明システムの第2の特徴は、上記本発
明システムの第1の特徴における前記取得済みのサーバ
認証証明書が、前記取得した後に、前記エージェント認
証証明書に付け加えられた形態で維持されてなるアクセ
ス制御システムの構成採用にある。A second feature of the present invention system is that the acquired server authentication certificate in the first feature of the present invention system is maintained in a form added to the agent authentication certificate after the acquisition. It is in the adoption of the configuration of the access control system that has been implemented.
【0021】本発明システムの第3の特徴は、上記本発
明システムの第1の特徴における前記取得済みのサーバ
認証証明書が、前記取得した後に、前記システム内部に
エージェント認証証明書と共に格納されて管理されてな
るアクセス制御システムの構成採用にある。According to a third feature of the system of the present invention, the acquired server authentication certificate in the first feature of the present invention system is stored in the system together with an agent authentication certificate after the acquisition. The present invention resides in adopting a configuration of a managed access control system.
【0022】本発明システムの第4の特徴は、上記本発
明システムの第1の特徴における前記取得済みのサーバ
認証証明書が、前記取得した後に、前記エージェント認
証証明書に付け加えられる形態で維持されるのみなら
ず、前記システム内部に当該エージェント認証証明書と
共に格納されて管理されてなるアクセス制御システムの
構成採用にある。A fourth feature of the system of the present invention is that the acquired server authentication certificate in the first feature of the present invention system is maintained in a form added to the agent authentication certificate after the acquisition. Not only that, but also in the configuration of an access control system that is stored and managed together with the agent authentication certificate in the system.
【0023】本発明システムの第5の特徴は、上記本発
明システムの第1、第2、第3又は第4の特徴における
前記エージェントサービス処理部が、当該システムに接
続され得るサーバ毎に対応して設けられてなるアクセス
制御システムの構成採用にある。A fifth feature of the present invention system is that the agent service processing unit in the first, second, third or fourth feature of the present invention system corresponds to each server which can be connected to the system. The configuration of the access control system is provided.
【0024】本発明システムの第6の特徴は、上記本発
明システムの第1、第2、第3、第4又は第5の特徴に
おける前記システムが、前記クライアント端末からのエ
ージェント認証要求を受けて行われる当該クライアント
端末又は利用者の認証に必要な認証データを管理する認
証データ管理部を具備してなるアクセス制御システム構
成採用にある。A sixth feature of the system of the present invention resides in that the system according to the first, second, third, fourth or fifth feature of the above-mentioned system of the present invention receives an agent authentication request from the client terminal. An access control system configuration including an authentication data management unit that manages authentication data necessary for authentication of the client terminal or the user to be performed is provided.
【0025】本発明システムの第7の特徴は、上記本発
明システムの第1、第2、第3、第4、第5又は第6の
特徴における前記システムが、前記エージェント認証部
により認証処理を経て発行されるエージェント認証証明
書を管理する証明書管理部をも具備してなるアクセス制
御システムの構成採用にある。A seventh feature of the system of the present invention is that the system according to the first, second, third, fourth, fifth or sixth feature of the present invention system performs an authentication process by the agent authentication unit. An access control system also includes a certificate management unit that manages an agent authentication certificate issued through the access control system.
【0026】本発明システムの第8の特徴は、上記本発
明システムの第7の特徴における前記証明書管理部が、
前記エージェントサービス処理部により前記クライアン
ト端末からのサービス利用要求を契機に当該サービス利
用要求に添付されるエージェント認証証明書が正当なも
のであるかを確認する処理を行う機能構成であるアクセ
ス制御システムの構成採用にある。An eighth feature of the system of the present invention is that the certificate management unit in the seventh feature of the above-mentioned system of the present invention,
An access control system having a functional configuration in which the agent service processing unit performs a process of confirming whether or not an agent authentication certificate attached to the service use request is valid in response to a service use request from the client terminal. In the configuration adoption.
【0027】本発明システムの第9の特徴は、上記本発
明システムの第1、第2、第3、第4、第5、第6、第
7又は第8の特徴における前記システムが、ユーザの該
当サーバへの認証処理に必要な情報である前記認証情報
を格納するサーバ認証情報格納部を具備してなるアクセ
ス制御システムの構成採用にある。A ninth feature of the system of the present invention is that the system according to the first, second, third, fourth, fifth, sixth, seventh or eighth feature of the above-mentioned system of the present invention is provided for the user. An access control system includes a server authentication information storage unit that stores the authentication information, which is information necessary for an authentication process for the server.
【0028】[0028]
【発明の実施の形態】以下、本発明の実施形態であるシ
ステム例及び方法例を、該当図面を参照して説明する。 (システム例)図1は、本発明の一実施形態であるアク
セス制御システムの構成図である。DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an example of a system and an example of a method according to an embodiment of the present invention will be described with reference to the drawings. (System Example) FIG. 1 is a configuration diagram of an access control system according to an embodiment of the present invention.
【0029】アクセス制御システムαは、クライアント
端末CとサーバS(第一サーバS1、第二サーバS2、
・・)と接続され、内部には、基本的にはエージェント
認証部1と、サーバS毎のエージェントサービス処理部
2(第一サーバの為の第一エージェントサービス処理部
21、第二サーバの為の第二エージェントサービス処理
部22、・・)とを有し、クライアント端末Cからのサ
ービス利用要求に係る認証の代行処理を行う構成であ
る。The access control system α comprises a client terminal C and a server S (first server S1, second server S2,
..), and basically has an agent authentication unit 1 and an agent service processing unit 2 for each server S (a first agent service processing unit 21 for the first server, and an agent service processing unit 21 for the second server). ), And performs proxy processing for authentication relating to a service use request from the client terminal C.
【0030】ここで、エージェント認証部1は、クラ
イアント端末C又はそのユーザからのエージェント認証
要求を受け付け、認証処理(利用者認証処理)を経て
エージェント認証証明書を発行する手段である。Here, the agent authentication unit 1 is a means for receiving an agent authentication request from the client terminal C or its user, and issuing an agent authentication certificate through an authentication process (user authentication process).
【0031】エージェントサービス処理部2は、クラ
イアント端末C又はそのユーザからのサービス利用要求
を受け付け、当該サービス利用要求に添付されるエー
ジェント認証証明書(サーバ認証証明書を付け加えられ
た/付け加えられていないエージェント認証証明書でも
可)の正当性を判断し、正当なものであれば、(−
1);クライアント端末C又はそのユーザが指定すると
ころのサーバSに対して初めてアクセスする場合には、
予めシステム内部に保持する認証情報を用いてそのサー
バSからサーバ認証証明書を取得する(「サーバ認証証
明書取得処理」とする。)一方、(−2);以前に取
得済みの場合にあっては、サーバ認証証明書取得処理を
行わずに以前取得したサーバ認証証明書を必要に応じて
取り出し、当該サーバ認証証明書と共にサービス利用
要求をそのサーバSに対して提示し、そのサーバSから
送信される結果を受け、クライアント端末C又は利用者
に返却する手段である。The agent service processing section 2 receives a service use request from the client terminal C or its user, and receives an agent authentication certificate (with or without a server authentication certificate) attached to the service use request. Judge the validity of the agent authentication certificate), and if it is valid, (-
1); When the client terminal C or the server S specified by the user is accessed for the first time,
A server authentication certificate is acquired from the server S using authentication information held in the system in advance (hereinafter referred to as “server authentication certificate acquisition processing”). On the other hand, (−2); The server authentication certificate previously obtained without performing the server authentication certificate acquisition process is extracted as necessary, and a service use request is presented to the server S together with the server authentication certificate. This is a means for receiving the transmitted result and returning it to the client terminal C or the user.
【0032】同図の一形態にあっては、クライアント端
末Cから送信される認証データ(ユーザ名、パスワード
等)に対する認証の際に必要となる各種データ(ユーザ
の本人性の確認データ)を格納して管理する認証データ
管理部3、エージェント認証証明書に関する管理(好ま
しくはエージェント認証証明書、サーバ認証証明書の双
方の証明書に関する管理)を行う証明書管理部4、各サ
ーバSの認証情報を格納するサーバ認証情報格納部5を
も具備して、エージェント認証部1、エージェントサー
ビス処理部2と有機的に各種のデータ、情報、信号の類
を内部送受信する構成となっている。In one embodiment of the figure, various data (confirmation data of the user's identity) required for authentication of authentication data (user name, password, etc.) transmitted from the client terminal C is stored. Authentication data management unit 3 which manages and manages the agent authentication certificate (preferably, manages both the agent authentication certificate and the server authentication certificate) and the authentication information of each server S And a server authentication information storage unit 5 for storing various types of data, information, and signals in an organic manner with the agent authentication unit 1 and the agent service processing unit 2.
【0033】アクセス制御システムαは、クライアント
端末1と各サーバS(第一サーバS1、第二サーバS
2、・・)とを接続するネットワーク上に分散型又は集
中型にて介在され、複数の各サーバSと複数のクライア
ント端末Cとに接続される構成であり、複数種類のサー
バ機能を、或る一クライアント端末Cにおいてユーザに
対してサーバクライアント型のコンピューティング環境
を提供する。尚、同図におけるSA1〜SC4−3は、
各処理の一部を示しており下記方法例で詳言する。The access control system α comprises a client terminal 1 and each server S (first server S1, second server S
2, ..) are interposed in a distributed or centralized manner on the network connecting the plurality of servers S and the plurality of client terminals C, and have a plurality of types of server functions. One client terminal C provides a server client type computing environment to the user. SA1 to SC4-3 in FIG.
A part of each processing is shown and will be described in detail in the following method example.
【0034】(方法例)本方法例は、上記システム例に
適応したものであり、アクセス制御システムαの動作、
内部構成各手段について更に説明を追加しながら、本発
明の一実施形態であるアクセス制御方法を説明する。(Example of Method) This example of the method is adapted to the above example of the system.
An access control method according to an embodiment of the present invention will be described while further describing each means of the internal configuration.
【0035】本発明の一実施形態であるアクセス制御方
法は、ユーザ認証段階とサービス利用段階とに大きく分
かれるが、これ以外の段階を適宜追加することは本発明
の本質的な部分を逸脱しない範囲で可能である。The access control method according to an embodiment of the present invention is largely divided into a user authentication step and a service use step. Adding other steps as appropriate does not depart from the essential part of the present invention. Is possible.
【0036】図2、3、4は、其々、本発明の一実施形
態であるアクセス制御方法における、ユーザ認証段階の
具体的なシーケンス図、サーバ認証証明書を取得してい
ない場合におけるサービス利用段階の具体的なシーケン
ス図、サーバ認証証明書を取得済みの場合におけるサー
ビス利用段階の具体的なシーケンス図である。FIGS. 2, 3, and 4 are specific sequence diagrams of the user authentication stage in the access control method according to an embodiment of the present invention, and the service use when the server authentication certificate is not obtained. It is a specific sequence diagram of a stage, and a specific sequence diagram of a service use stage when a server authentication certificate has been acquired.
【0037】<ユーザ認証段階>ユーザによるユーザ認
証命令を受けて実行されるところのユーザ認証段階は、
以下の第一ステップ乃至第四ステップで構成され、その
具体的な手順を図2に例示してある。<User Authentication Step> The user authentication step, which is executed in response to a user authentication command from the user, comprises:
It is composed of the following first to fourth steps, and the specific procedure is illustrated in FIG.
【0038】ユーザ認証段階の第一ステップ(SA
1):クライアント端末Cが、ユーザ名、パスワードな
どの認証処理に必要なデータ(以下、「認証データ」と
する。)を添付した認証処理要求をエージェント認証部
1に送信する。The first step of the user authentication stage (SA
1): The client terminal C transmits to the agent authentication unit 1 an authentication processing request to which data necessary for authentication processing such as a user name and a password (hereinafter referred to as “authentication data”) is attached.
【0039】ユーザ認証段階の第二ステップ(SA
2):エージェント認証部1が、送信された認証処理要
求を受けて、それに添付された認証データを、認証デー
タ管理部3が保持するデータと付き合わせることにより
ユーザの本人性(正当性)を確認する。The second step (SA) of the user authentication stage
2): Upon receiving the transmitted authentication processing request, the agent authentication unit 1 matches the authentication data attached thereto with the data held by the authentication data management unit 3 to determine the identity (validity) of the user. Confirm.
【0040】具体的には、エージェント認証部1が、ク
ライアント端末Cから認証処理要求を受けると、認証デ
ータ管理部3に対して該ユーザの認証情報(図では、
「ユーザIDパスワード」)の取得要求を行い(SA2
−1)、認証データ管理部3からその取得要求に対する
該ユーザの認証情報(例えば、パスワード)を取得し
(SA2−2)、認証処理要求に添付された認証データ
と該ユーザの認証情報とを比較チェックすることにより
ユーザの正当性を確認する(SA2−3)。尚、正当性
の確認は、エージェント認証部1が行わずに、認証デー
タ管理部3が行う構成でも構わない。Specifically, when the agent authentication unit 1 receives an authentication processing request from the client terminal C, the agent authentication unit 1 sends the authentication data management unit 3 the authentication information of the user (in FIG.
A request to acquire “user ID password”) is made (SA2
-1) Acquire authentication information (for example, a password) of the user in response to the acquisition request from the authentication data management unit 3 (SA2-2), and store the authentication data attached to the authentication processing request and the authentication information of the user. The validity of the user is confirmed by performing a comparison check (SA2-3). Note that the validity may be confirmed by the authentication data management unit 3 without the agent authentication unit 1.
【0041】ユーザ認証段階の第三ステップ(SA
3):ユーザの正当性が確認された場合には、エージェ
ント認証部1が、クライアント端末Cに対してエージェ
ント認証証明書を発行する。具体的には、エージェント
認証部1が、そのクライアント端末Cに対するエージェ
ント認証証明書を発行し(SA3−1)、認証処理要求
をしたクライアント端末Cに当該発行したエージェント
認証証明書を返却する(SA3−2)。The third step (SA) of the user authentication stage
3): When the validity of the user is confirmed, the agent authentication unit 1 issues an agent authentication certificate to the client terminal C. Specifically, the agent authentication unit 1 issues an agent authentication certificate for the client terminal C (SA3-1), and returns the issued agent authentication certificate to the client terminal C that has requested authentication (SA3). -2).
【0042】ユーザ認証段階の第四ステップ(SA
4):該エージェント認証証明書を証明書管理部4に保
存(登録)する。具体的には、エージェント認証部1
が、証明書管理部4に、SA3−1にて発行したエージ
ェント認証証明書を登録する様に登録指示を行い、証明
書管理部4は該エージェント認証証明書を後にその正当
性が確認可能に登録する。The fourth step (SA) of the user authentication stage
4): The agent authentication certificate is stored (registered) in the certificate management unit 4. Specifically, the agent authentication unit 1
Issues a registration instruction to the certificate management unit 4 to register the agent authentication certificate issued in SA3-1, and the certificate management unit 4 can confirm the validity of the agent authentication certificate later. register.
【0043】<サービス利用段階>ユーザによるサービ
ス利用の命令を受けて実行されるところのサービス利用
段階は、以下の第一ステップ乃至第四ステップで構成さ
れ、その具体的な手順を図3、4に例示してある。<Service Use Stage> The service use stage, which is executed in response to a service use instruction from the user, comprises the following first to fourth steps. The specific procedure is shown in FIGS. Is illustrated in FIG.
【0044】サービス利用段階の第一ステップ(SB
1、SC1):ユーザによる指示又は何らかの処理後に
おいて、クライアント端末Cが、利用するサービスを一
意に特定するコンテクストにエージェント認証証明書を
加えてそのサービスを提供するサーバS(図では第一サ
ーバS1)のエージェントサービス処理部2(図では第
一サーバの為のエージェントサービス処理部21)に送
信する。The first step (SB) of the service use stage
1, SC1): After an instruction from the user or after some processing, the client terminal C adds an agent authentication certificate to a context that uniquely specifies a service to be used, and provides the service by providing the service (the first server S1 in the figure). ) To the agent service processing unit 2 (in the figure, the agent service processing unit 21 for the first server).
【0045】具体的には、図3(サーバ認証証明書未取
得のシーケンス図)、図4(サーバ認証証明書既取得の
シーケンス図)に示す様に、該サービスを提供する特定
のサーバS1のエージェントサービス処理部21に対し
て、サービス名とそのサービスに必要な情報及びエージ
ェント認証証明書と共にサービス利用要求を送信する。More specifically, as shown in FIG. 3 (sequence diagram in which the server authentication certificate has not been obtained) and FIG. 4 (sequence diagram in which the server authentication certificate has already been obtained), the specific server S1 which provides the service is provided. A service use request is transmitted to the agent service processing unit 21 together with a service name, information necessary for the service, and an agent authentication certificate.
【0046】図3の場合には第一サーバ認証証明書が付
け加えられていないエージェント認証認証証明書を送信
し(SB1)、図4の場合には第一サーバ認証証明書が
付け加えられているエージェント認証証明書を送信する
(SC1)。尚、図4の場合には、エージェント認証証
明書が付け加えられているエージェント認証証明書を送
信することが、必須要件とはならない。In the case of FIG. 3, the agent authentication certificate without the first server authentication certificate is transmitted (SB1), and in the case of FIG. 4, the agent with the first server authentication certificate added. The authentication certificate is transmitted (SC1). In the case of FIG. 4, transmitting the agent authentication certificate to which the agent authentication certificate is added is not an essential requirement.
【0047】サービス利用段階の第二ステップ(SB
2、SC2):エージェントサービス処理部2(図2、
3では、エージェントサービス処理部21)が、該クラ
イアント端末C(図2、3では、クライアント端末C
1)から送信されたエージェント認証証明書の真偽につ
いて証明書管理部4に問い合わせる。The second step (SB) of the service use stage
2, SC2): Agent service processing unit 2 (FIG. 2,
In FIG. 3, the agent service processing unit 21 transmits the client terminal C (in FIGS. 2 and 3, the client terminal C).
Inquire the certificate management unit 4 about the authenticity of the agent authentication certificate transmitted from 1).
【0048】具体的には、図3(サーバ認証証明書未取
得のシーケンス図)の場合においては、エージェントサ
ービス処理部21が、(第一サーバ認証証明書が付け加
えられていない)エージェント認証証明書を添付してユ
ーザ証明書確認要求として証明書管理部4に内部送信し
(SB2−1)、証明書管理部4が、当該エージェント
確認証明書の正当性を確認し、結果をエージェントサー
ビス処理部21に通知する(SB2−2)。Specifically, in the case of FIG. 3 (sequence diagram in which the server authentication certificate has not been obtained), the agent service processing unit 21 transmits the agent authentication certificate (to which the first server authentication certificate is not added). Attached to the certificate management unit 4 as a user certificate confirmation request (SB2-1), the certificate management unit 4 confirms the validity of the agent confirmation certificate, and sends the result to the agent service processing unit. 21 is notified (SB2-2).
【0049】図4(サーバ認証証明書既取得のシーケン
ス図)の場合においては、エージェントサービス処理部
2が、(第一サーバ認証証明書が付け加えられている)
エージェント認証証明書を添付してユーザ証明書確認要
求として証明書管理部4に内部送信し(SC2−1)、
証明書管理部4が、当該エージェント確認証明書の正当
性を、第一サーバ認証証明書の正当性も同時に確認し、
その結果をエージェントサービス処理部21に通知する
(SC2−2)。In the case of FIG. 4 (sequence diagram of the server authentication certificate already acquired), the agent service processing unit 2 determines that (the first server authentication certificate is added).
An agent authentication certificate is attached and internally transmitted to the certificate management unit 4 as a user certificate confirmation request (SC2-1).
The certificate management unit 4 simultaneously checks the validity of the agent confirmation certificate and the validity of the first server authentication certificate,
The result is notified to the agent service processing unit 21 (SC2-2).
【0050】少なくともエージェント認証証明書の正
当性が確認された場合の、サービス利用段階の第二ステ
ップ(SB2、SC2)に続く第三ステップ(SB3、
SC3)は、サーバ認証証明書未取得(具体的には図
3)、サーバ認証証明書既取得(具体的には図4)で
は、大きく異なるので、以下個別に説明する。When at least the validity of the agent authentication certificate is confirmed, the third step (SB3, SB2) following the second step (SB2, SC2) of the service use stage
SC3) differs greatly between the case where the server authentication certificate has not been acquired (specifically, FIG. 3) and the case where the server authentication certificate has already been acquired (specifically, FIG. 4).
【0051】サービス認証証明書未取得の場合の、サー
ビス段階の第三段階(SB3):正当な認証証明書であ
って、該サーバSへのアクセスに必要なサーバ認証証明
書が存在しない場合には、事前にサーバ認証情報格納部
5に格納されている認証情報を用いて事前に決められた
サーバ認証手順に従って認証処理を行って、該サーバS
からサーバ認証証明書を取得する(前述のサーバ認証証
明書取得処理を行う)。The third stage of the service stage (SB3) in the case where the service authentication certificate has not been obtained: when the server authentication certificate is a valid authentication certificate and the server authentication certificate required for accessing the server S does not exist. Performs authentication processing according to a server authentication procedure determined in advance using authentication information stored in the server authentication information storage unit 5 in advance, and
The server authentication certificate is obtained from the server (the server authentication certificate obtaining process described above is performed).
【0052】具体的には、図3に示す様に、エージェン
トサービス処理部21が、受けたサービス利用要求に添
付されたエージェント認証証明書に第一サーバS1の認
証証明書が付け加えられているか否かの問い合わせを、
証明書管理部4に対して行い(SB3−1)、その返答
を受信する(SB3−2)。Specifically, as shown in FIG. 3, the agent service processing unit 21 determines whether the authentication certificate of the first server S1 is added to the agent authentication certificate attached to the received service use request. Inquiries,
This is performed for the certificate management unit 4 (SB3-1), and the response is received (SB3-2).
【0053】その返答の受信により、第一サーバの為の
エージェントサービス処理部21が、エージェント認証
証明書に第一サーバ認証証明書が付け加えられていない
ことが判明すると、サーバ認証情報格納部5に対して、
第一サーバS1への認証処理に必要な情報を検索して
(SB3−3)、当該検索結果(第一サーバS1のI
D、パスワード等)を取得し(SB3−4)、取得した
認証情報を用いて第一サーバS1に対して認証処理を依
頼する(SB3−5)。Upon receiving the reply, the agent service processing unit 21 for the first server determines that the first server authentication certificate has not been added to the agent authentication certificate. for,
Information necessary for the authentication processing to the first server S1 is searched (SB3-3), and the search result (I of the first server S1) is obtained.
D, password, etc.) (SB3-4), and requests the first server S1 for an authentication process using the obtained authentication information (SB3-5).
【0054】その結果として第一サーバ認証証明書を得
((SB3−6)、但し、第一サーバS1は、そのユー
ザの不適切な情報で認証依頼があれば、第一サーバ認証
証明書を払い出さない)、取得した第一サーバ認証証明
書をエージェント認証証明書に付け加えると共に、証明
管理部4への再登録を行い(SB3−7)、次の第四段
階(SB4)に移行する。As a result, a first server authentication certificate is obtained ((SB3-6)). However, if the first server S1 receives an authentication request with inappropriate information of the user, the first server authentication certificate is obtained. Then, the acquired first server authentication certificate is added to the agent authentication certificate, re-registered in the certificate management unit 4 (SB3-7), and the process proceeds to the next fourth step (SB4).
【0055】サービス認証証明書既取得の場合の、サー
ビス段階の第三段階(SC3):正当な認証証明書であ
って、先の認証により該サーバSへのアクセスに必要な
サーバ認証証明書であることが確認済みであるので、必
要に応じてそのサーバ認証証明書を取り出し次のサービ
ス段階の第四段階(SC4)に移行する。In the case where the service authentication certificate has already been acquired, the third stage of the service stage (SC3): a valid authentication certificate, which is a server authentication certificate necessary for accessing the server S by the previous authentication. Since it is confirmed that the server authentication certificate exists, the server authentication certificate is taken out if necessary, and the process proceeds to the fourth service stage (SC4).
【0056】具体的には、SC2−2の段階において、
エージェントサービス処理部21が、その受けたユーザ
証明書に正当な第一サーバ認証証明書が付け加えられて
いることが判明済みであるので、必要に応じて第一サー
バ認証証明書を取り出し、次のサービス段階の第四段階
(SC4)に移行する(この処理手順については図4に
図示されていない)。Specifically, at the stage of SC2-2,
The agent service processing unit 21 has already determined that a valid first server authentication certificate has been added to the received user certificate. Therefore, the agent service processing unit 21 extracts the first server authentication certificate as necessary, and The process proceeds to the fourth service stage (SC4) (this processing procedure is not shown in FIG. 4).
【0057】尚、ここで、SB2−1、SB2−2の様
に、先ず単なるエージェント認証証明書の正当性を証明
書管理部4が確認し、次いでSB3−1、SB3−2の
様にサーバ認証証明書の有無及びその正当性の確認を行
う様に構成してもよいが、第一サーバ認証証明書が付け
加えられた/付け加えられていないエージェント認証証
明書を、ユーザ証明書と定義して、先のSC2−1、S
C2−2で一体として行う様に構成することが好まし
い。Here, the certificate management unit 4 first confirms the validity of the simple agent authentication certificate as in SB2-1 and SB2-2, and then the server as in SB3-1 and SB3-2. It may be configured to check for the existence of the authentication certificate and its validity. However, the agent authentication certificate with / without the first server authentication certificate is defined as the user certificate. , SC2-1, S
It is preferable to configure so as to integrally perform C2-2.
【0058】サービス段階の第四段階(SB4、SC
4):SB3を経由した場合には取得したサーバ認証証
明書を、SC3を経由した場合には取り出したサーバ認
証証明書を、該サーバSに提示してサービスを受け、結
果を該クライアント端末Cに返却する。尚、SB3を経
由した場合においてはエージェント認証証明書に該サー
バ認証証明書を付け加えて該クライアント端末Cに送信
する。The fourth service stage (SB4, SC
4): The server S presents the obtained server authentication certificate when passing through the SB 3 and the server authentication certificate extracted when passing through the SC 3 to the server S to receive the service, and receives the result from the client terminal C. Return to. In the case where the data has passed through SB3, the server authentication certificate is added to the agent authentication certificate and transmitted to the client terminal C.
【0059】具体的には、図3、図4に示す様に、第一
サーバ認証証明書と共に第一サーバS1に対してサービ
ス依頼を行い(SB4−1、SC4-1)、その結果
(尚、この際、サーバS1は、不当なサーバ認証証明書
の提示においては、サービス依頼は受け付けない。)を
取得して(SB4−2、SC4−2)、当該取得した結
果をクライアント端末C1に返却する(SB4−3、S
C4−3)。尚、SB3を経由した場合には、第一サー
バ認証証明書を付け加えたエージェント認証証明書を送
信するなどして、クライアント端末Cが保有するエージ
ェント認証証明書にそのサーバ認証証明書を書き加える
様にする。Specifically, as shown in FIG. 3 and FIG. 4, a service request is made to the first server S1 together with the first server authentication certificate (SB4-1, SC4-1), and as a result (SB4-1, SC4-1) At this time, the server S1 does not accept a service request when presenting an incorrect server authentication certificate) (SB4-2, SC4-2), and returns the obtained result to the client terminal C1. (SB4-3, S
C4-3). In addition, when passing through SB3, the server authentication certificate is added to the agent authentication certificate held by the client terminal C by transmitting an agent authentication certificate to which the first server authentication certificate is added. To
【0060】以上が、アクセス制御方法の一形態である
が、具体的なシーケンス図においては、第一サーバ認証
証明書は、SB1乃至SB4−3を経ることにより、エ
ージェント認証証明書に付け加えられる形態でクライア
ント端末Cと、第一サーバ認証証明書付加エージェント
認証証明書という形態で証明書管理部4とに、同一の第
一サーバ認証証明書が存在する形態である。The above is one mode of the access control method. In a specific sequence diagram, the first server authentication certificate is added to the agent authentication certificate through SB1 to SB4-3. In this embodiment, the same first server authentication certificate exists in the client terminal C and the certificate management unit 4 in the form of a first server authentication certificate added agent authentication certificate.
【0061】ところが、具体的なシーケンス図におい
て、SB4−3において、サーバ認証証明書付加エージ
ェント認証証明書をクライアント端末Cに送信しない
で、SB3−7の処理により、証明書管理部4に登録さ
れたサーバ認証証明書を取り出して提示に用いる様に構
成することもできる。However, in the specific sequence diagram, in SB4-3, the server authentication certificate added agent authentication certificate is not transmitted to the client terminal C, but is registered in the certificate management unit 4 by the processing of SB3-7. The server authentication certificate may be taken out and used for presentation.
【0062】その際には、クライアント端末Cから特定
のサーバへのサービス利用要求の際に添付される証明書
は、単なるエージェント認証証明書(サーバ認証証明書
の付加/不付加をできないエージェント認証証明書)で
あるので、単なるエージェント認証証明書の正当性を判
断し、証明書管理部4にその特定のサーバのサーバ認証
証明書が存在するかを確認する必要がある。かかる点で
具体的なシーケンス内容は変更する必要があることがい
うまでもない。In this case, the certificate attached to the service use request from the client terminal C to the specific server is a mere agent authentication certificate (an agent authentication certificate which cannot add / non-add a server authentication certificate). Therefore, it is necessary to determine the validity of the mere agent authentication certificate and confirm with the certificate management unit 4 whether the server authentication certificate of the specific server exists. In this respect, it goes without saying that the specific sequence contents need to be changed.
【0063】また逆に、認証管理部4には、SA4にて
登録されるエージェント認証証明書のみの正当性を判断
する様に、即ち、各サーバ認証証明書の正当性の判断は
一切しない様に、構成し、一度各サーバSにて発行され
た該当のサーバ認証証明書は、各エージェントサービス
処理部2にて、エージェント認証証明書に付加(内包、
添付等の形態も可)して、SB4−3によりクライアン
ト端末Cにサーバ認証証明書を付加したエージェント認
証証明書を送信する様に構成することもできる。その際
には、SB3−7の処理は不要となるといった、具体的
なシーケンス内容に変更が生じることはいうまでもな
い。On the other hand, the authentication management unit 4 determines whether only the agent authentication certificate registered in SA4 is valid, that is, does not determine the validity of each server authentication certificate at all. The corresponding server authentication certificate once issued by each server S is added to the agent authentication certificate by each agent service processing unit 2 (including,
It is also possible to adopt a configuration in which an agent authentication certificate with a server authentication certificate added to the client terminal C is transmitted to the client terminal C by SB4-3. At this time, it goes without saying that the specific sequence contents are changed such that the process of SB3-7 becomes unnecessary.
【0064】以上が、アクセス制御方法の一形態である
が、上記はあくまでも本発明の一形態であって、例え
ば、SB2−1、SB2-2(SC2−1、SC2−
2)は、認証管理部4からそのエージェント認証証明書
の正当性を確認する為の情報をエージェントサービス処
理部2が受信し、エージェントサービス処理部2にてそ
の正当性を判断する様にしてもよい。また、シーケンス
の各処理手順は適宜前後の順序を変更し得る範囲で変更
できる。The above is one form of the access control method. The above is merely one form of the present invention. For example, SB2-1, SB2-2 (SC2-1, SC2-
In 2), the agent service processing unit 2 receives information for confirming the validity of the agent authentication certificate from the authentication management unit 4, and the agent service processing unit 2 determines the validity. Good. Further, each processing procedure of the sequence can be changed within a range where the order before and after can be changed as appropriate.
【0065】以上、本発明の形態であるシステム例、方
法例を説明したが、本発明の目的を達し、下記する効果
を奏する範囲において、適宜変更して実施可能である。The system example and the method example which are the modes of the present invention have been described above. However, the present invention can be implemented with appropriate modifications as long as the objects of the present invention are achieved and the following effects are obtained.
【0066】[0066]
【発明の効果】本発明によれば、クライアント端末が複
数のサーバへの処理依頼時に、二回以上の認証作業が不
要となり、クライアント端末自体が、複数サーバへアク
セスする為に必要な情報を保持する必要が無くなるなど
の優れた効果を奏する。According to the present invention, when a client terminal requests processing to a plurality of servers, the client terminal does not need to perform authentication work twice or more, and the client terminal itself holds information necessary for accessing the plurality of servers. It has excellent effects such as eliminating the need to do so.
【図1】本発明の一形態であるアクセス制御システムの
構成図である。FIG. 1 is a configuration diagram of an access control system according to one embodiment of the present invention.
【図2】本発明の一実施形態である認証証明書によるア
クセス制御方法の、ユーザ認証段階におけるシーケンス
図である。FIG. 2 is a sequence diagram in a user authentication stage of an access control method using an authentication certificate according to an embodiment of the present invention.
【図3】本発明の一実施形態である認証証明書によるア
クセス制御方法の、サーバ認証証明書を取得していない
場合のサービス利用段階におけるシーケンス図である。FIG. 3 is a sequence diagram in a service use stage in a case where a server authentication certificate has not been obtained, in an access control method using an authentication certificate according to an embodiment of the present invention.
【図4】本発明の一実施形態である認証証明書によるア
クセス制御方法の、サーバ認証証明書を取得済みの場合
のサービス利用段階におけるシーケンス図である。FIG. 4 is a sequence diagram in a service use stage when a server authentication certificate has been acquired in the access control method using an authentication certificate according to an embodiment of the present invention.
【図5】従来技術を説明する為の説明図である。FIG. 5 is an explanatory diagram for explaining a conventional technique.
α…アクセス制御システム C…クライアント端末 1…エージェント認証部 2、21、22…エージェントサービス処理部 3…認証データ管理部 4…証明書管理部 5…サーバ認証情報格納部 S…サーバ S1…第一サーバ S2…第二サーバ α: access control system C: client terminal 1: agent authentication unit 2, 21, 22 agent service processing unit 3: authentication data management unit 4: certificate management unit 5: server authentication information storage unit S: server S1: first Server S2: Second server
───────────────────────────────────────────────────── フロントページの続き (72)発明者 野瀬 昌禎 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 川崎 隆二 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B017 AA03 BB09 5B085 AE02 AE23 BG07 5J104 AA06 AA07 KA01 NA05 PA07 ──────────────────────────────────────────────────続 き Continuing on the front page (72) Inventor Masayoshi Nose 2-3-1 Otemachi, Chiyoda-ku, Tokyo Within Nippon Telegraph and Telephone Corporation (72) Inventor Ryuji Kawasaki 2-3-3 Otemachi, Chiyoda-ku, Tokyo No. 1 F-term in Nippon Telegraph and Telephone Corporation (reference) 5B017 AA03 BB09 5B085 AE02 AE23 BG07 5J104 AA06 AA07 KA01 NA05 PA07
Claims (15)
らの要求をアクセス制御する方法であって、 当該複数のサーバの内特定のサーバに対して前記クライ
アント端末からサービス利用要求を行うに際して、当該
サービス利用要求に係る認証代行処理を行うアクセス制
御システムに対して、事前に当該クライアント端末を利
用するユーザの利用者認証を行って当該利用者認証に成
功した場合に限って当該クライアント端末に対して発行
されるエージェント認証証明書を、当該サービス利用要
求に添付することにより前記アクセス制御が行われる、 ことを特徴とするアクセス制御方法。1. A method for controlling access to a request from a client terminal to a plurality of servers, the method comprising: when making a service use request from the client terminal to a specific server among the plurality of servers, Is issued to the client terminal only when the user authentication of the user who uses the client terminal is performed in advance and the user authentication is successful. The access control method, wherein the access control is performed by attaching an agent authentication certificate to the service use request.
イアント端末又はその利用者に係る認証データと比較す
ることで、行われる、 ことを特徴とする請求項1に記載のアクセス制御方法。2. The method according to claim 1, wherein the user authentication is performed by comparing with authentication data relating to each client terminal or the user stored in the access control system in advance. Described access control method.
御は、 前記アクセス制御システムでもって前記サービス利用要
求を受けると、当該要求に添付されたエージェント認証
証明書の正当性を確認した後に、 前記サービス利用要求に係るサーバに初めて前記クライ
アント端末が要求する場合に限り、当該サーバに対する
認証代行処理を行ってサーバ認証証明書を当該サーバか
ら取得し、 当該取得したサーバ認証証明書、又は、以前行われた前
記認証代行処理により取得済みのサーバ認証証明書の何
れかを、当該サーバに対して提示して前記サービス利用
要求を仲介する、 ことを特徴とする請求項1又は2に記載のアクセス制御
方法。3. An access control for the service use request, wherein when the service use request is received by the access control system, after confirming the validity of an agent authentication certificate attached to the request, the service use request Only when the client terminal requests the server according to the first time, the server performs an authentication proxy process for the server to obtain a server authentication certificate from the server, and the obtained server authentication certificate, or the previously performed server authentication certificate The access control method according to claim 1, wherein any one of the server authentication certificates acquired by the authentication undertaking process is presented to the server to mediate the service use request.
前記アクセス制御システム内に登録し、次回以降の当該
サーバ認証証明書を発行したサーバに対して前記クライ
アント端末のサービス利用要求が行われた場合に、登録
先からサーバ認証証明書を取り出し当該サーバに対する
提示に供される、 ことを特徴とする請求項3に記載のアクセス制御方法。4. The method according to claim 1, wherein the server authentication certificate obtained by the authentication proxy processing is
Registered in the access control system, and when a service use request of the client terminal is made to a server that has issued the server authentication certificate from the next time onward, the server authentication certificate is taken out from the registration destination and the server The access control method according to claim 3, wherein the access control method is provided for presentation.
前記サービス利用要求をしたクライアント端末に対し
て、当該サービス利用要求の際に添付されたエージェン
ト認証証明書に付け加えて返却し、 次回以降のサービス利用要求の際に、当該サーバ認証証
明書が付け加えられたエージェント認証証明書を用い、
前記サーバに対して当該付け加えられたエージェント認
証証明書から当該サーバ認証証明書を取り出し、当該サ
ーバに対する提示に供される、 ことを特徴とする請求項3に記載のアクセス制御方法。5. The method according to claim 1, wherein the server authentication certificate obtained by the authentication proxy processing is
The client terminal that has made the service use request is returned in addition to the agent authentication certificate attached at the time of the service use request, and the server authentication certificate is added at the next and subsequent service use requests. Using the agent authentication certificate
4. The access control method according to claim 3, wherein the server authentication certificate is extracted from the agent authentication certificate added to the server and is provided to the server. 5.
前記サービス利用要求をしたクライアント端末に対し
て、当該サービス利用要求の際に添付されたエージェン
ト認証証明書に付け加えて返却すると共に、前記アクセ
ス制御システム内部に、当該サーバ認証証明書を付け加
えられたエージェント認証証明書として、再登録し、 次回以降のサービス利用要求の際に、当該サーバ認証証
明書が付け加えられたエージェント認証証明書を添付
し、当該添付されたサーバ認証証明書が付け加えられた
エージェント認証証明書と前記アクセス制御システム内
部に再登録したサーバ認証証明書が付け加えられたエー
ジェント認証証明書とを比較して、その正当性を判断
し、当該判断をクリアした場合に、当該サーバ認証証明
書を取り出して、そのサーバに対する提示に供される、 ことを特徴とする請求項3に記載のアクセス制御方法。6. The method according to claim 1, wherein the server authentication certificate obtained by the authentication proxy process is
To the client terminal that has made the service use request, the agent is returned in addition to the agent authentication certificate attached to the service use request, and the server authentication certificate is added inside the access control system. Re-register as an authentication certificate, attach the agent authentication certificate with the server authentication certificate added to the service request from the next time, and agent authentication with the attached server authentication certificate The certificate is compared with the agent authentication certificate to which the server authentication certificate re-registered inside the access control system is added, and the validity thereof is determined. And providing it to the server for presentation. Access control method according to.
各サーバに対する認証処理を統合させて、認証代行処理
を行うシステムであって、 前記クライアント端末からのエージェント認証要求を受
け付けて利用者認証を行ってエージェント認証証明書を
発行するエージェント認証部と、 当該クライアント端末からのサービス利用要求を受け付
け、当該サービス利用要求に添付されるエージェント認
証証明書が正当であれば、クライアント端末が指定する
特定のサーバから、当該システム内部に予め保持する認
証情報を用いて当該特定のサーバのサーバ認証証明書を
取得するか、又は以前に取得済みのサーバ認証証明書を
取り出して、当該取得した又は取り出したサーバ認証証
明書を、サービス利用要求と共に該当サーバに対して提
示して、当該提示を受けた該当サーバから送信される結
果を受け、当該クライアント端末に返却するエージェン
トサービス処理部と、 を具備する、 ことを特徴とするアクセス制御システム。7. A system for performing an authentication surrogate process by integrating an authentication process for each server from a client terminal with respect to each server, wherein an agent authentication request is received from the client terminal and user authentication is performed to perform an agent authentication. An agent authentication unit that issues an authentication certificate, and accepts a service use request from the client terminal, and, if the agent authentication certificate attached to the service use request is valid, from a specific server designated by the client terminal, Obtain the server authentication certificate of the specific server using the authentication information stored in advance in the system, or retrieve the previously acquired server authentication certificate, and acquire or acquire the acquired server authentication certificate. Is presented to the server together with the service usage request, Access control system receives the result transmitted presented from the appropriate server that received, for anda agent service processing unit to be returned to the client terminal, and wherein the.
加えられた形態で維持される、 ことを特徴とする請求項7に記載のアクセス制御システ
ム。8. The access control system according to claim 7, wherein the acquired server authentication certificate is maintained in a form added to the agent authentication certificate after the acquisition.
証証明書と共に格納されて管理される、 ことを特徴とする請求項7に記載のアクセス制御システ
ム。9. The access control system according to claim 7, wherein the acquired server authentication certificate is stored and managed together with an agent authentication certificate in the system after the acquisition. .
加えられる形態で維持されるのみならず、前記システム
内部に当該エージェント認証証明書と共に格納されて管
理される、 ことを特徴とする請求項7に記載のアクセス制御システ
ム。10. The acquired server authentication certificate is not only maintained in a form added to the agent authentication certificate after the acquisition, but also stored in the system together with the agent authentication certificate. The access control system according to claim 7, wherein the access control system is managed.
れる、 ことを特徴とする請求項7、8、9又は10に記載のア
クセス制御システム。11. The access control system according to claim 7, wherein the agent service processing unit is provided for each server that can be connected to the system.
けて行われる当該クライアント端末又は利用者の認証に
必要な認証データを管理する認証データ管理部を具備す
る、 ことを特徴とする請求項7、8、9、10又は11に記
載のアクセス制御システム。12. The system according to claim 11, further comprising an authentication data management unit that manages authentication data required for authentication of the client terminal or the user performed in response to an agent authentication request from the client terminal. The access control system according to claim 7, 8, 9, 10 or 11.
るエージェント認証証明書を管理する証明書管理部をも
具備する、 ことを特徴とする請求項7、8、9、10、11又は1
2に記載のアクセス制御システム。13. The system according to claim 7, further comprising a certificate management unit for managing an agent authentication certificate issued through an authentication process by said agent authentication unit. 10, 11, or 1
3. The access control system according to 2.
ト端末からのサービス利用要求を契機に当該サービス利
用要求に添付されるエージェント認証証明書が正当なも
のであるかを確認する処理を行う機能構成である、 ことを特徴とする請求項13に記載のアクセス制御シス
テム。14. The certificate management unit checks whether the agent authentication certificate attached to the service use request is valid when the service use request from the client terminal is triggered by the agent service processing unit. The access control system according to claim 13, wherein the access control system has a functional configuration for performing a process of performing the following.
記認証情報を格納するサーバ認証情報格納部を具備す
る、 ことを特徴とする請求項7、8、9、10、11、1
2、13又は14に記載のアクセス制御システム。15. The system according to claim 7, wherein the system further comprises a server authentication information storage unit for storing the authentication information, which is information necessary for an authentication process of a user to a corresponding server. , 10, 11, 1
15. The access control system according to 2, 13, or 14.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001127621A JP2002324049A (en) | 2001-04-25 | 2001-04-25 | Access control method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001127621A JP2002324049A (en) | 2001-04-25 | 2001-04-25 | Access control method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002324049A true JP2002324049A (en) | 2002-11-08 |
Family
ID=18976462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001127621A Pending JP2002324049A (en) | 2001-04-25 | 2001-04-25 | Access control method and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002324049A (en) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007048282A (en) * | 2005-07-29 | 2007-02-22 | Sharp Corp | Method for reducing the number of times authentication data is input, method for providing single credential access, and device for providing single credential access |
| JP2008269220A (en) * | 2007-04-19 | 2008-11-06 | Nec Corp | Authentication transfer system, authentication transfer method, terminal device and authentication server |
| JP4820928B1 (en) * | 2011-07-08 | 2011-11-24 | 株式会社野村総合研究所 | Authentication system and authentication method |
| US8156424B2 (en) | 2004-10-08 | 2012-04-10 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device dynamic document creation and organization |
| US8201077B2 (en) | 2004-10-08 | 2012-06-12 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device form generation and form field data management |
| US8213034B2 (en) | 2004-10-08 | 2012-07-03 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access on an imaging device |
| US8230328B2 (en) | 2004-10-08 | 2012-07-24 | Sharp Laboratories Of America, Inc. | Methods and systems for distributing localized display elements to an imaging device |
| US8237946B2 (en) | 2004-10-08 | 2012-08-07 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server redundancy |
| US8270003B2 (en) | 2004-10-08 | 2012-09-18 | Sharp Laboratories Of America, Inc. | Methods and systems for integrating imaging device display content |
| US8345272B2 (en) | 2006-09-28 | 2013-01-01 | Sharp Laboratories Of America, Inc. | Methods and systems for third-party control of remote imaging jobs |
| US8384925B2 (en) | 2004-10-08 | 2013-02-26 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data management |
| US8428484B2 (en) | 2005-03-04 | 2013-04-23 | Sharp Laboratories Of America, Inc. | Methods and systems for peripheral accounting |
| JP2018116740A (en) * | 2018-04-12 | 2018-07-26 | 富士ゼロックス株式会社 | Relay device, relay system, and program |
| WO2025062777A1 (en) * | 2023-09-19 | 2025-03-27 | 日本電気株式会社 | Terminal, system, terminal control method, and storage medium |
-
2001
- 2001-04-25 JP JP2001127621A patent/JP2002324049A/en active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8230328B2 (en) | 2004-10-08 | 2012-07-24 | Sharp Laboratories Of America, Inc. | Methods and systems for distributing localized display elements to an imaging device |
| US8384925B2 (en) | 2004-10-08 | 2013-02-26 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting data management |
| US8237946B2 (en) | 2004-10-08 | 2012-08-07 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device accounting server redundancy |
| US8156424B2 (en) | 2004-10-08 | 2012-04-10 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device dynamic document creation and organization |
| US8201077B2 (en) | 2004-10-08 | 2012-06-12 | Sharp Laboratories Of America, Inc. | Methods and systems for imaging device form generation and form field data management |
| US8213034B2 (en) | 2004-10-08 | 2012-07-03 | Sharp Laboratories Of America, Inc. | Methods and systems for providing remote file structure access on an imaging device |
| US8270003B2 (en) | 2004-10-08 | 2012-09-18 | Sharp Laboratories Of America, Inc. | Methods and systems for integrating imaging device display content |
| US8428484B2 (en) | 2005-03-04 | 2013-04-23 | Sharp Laboratories Of America, Inc. | Methods and systems for peripheral accounting |
| JP2007048282A (en) * | 2005-07-29 | 2007-02-22 | Sharp Corp | Method for reducing the number of times authentication data is input, method for providing single credential access, and device for providing single credential access |
| US8345272B2 (en) | 2006-09-28 | 2013-01-01 | Sharp Laboratories Of America, Inc. | Methods and systems for third-party control of remote imaging jobs |
| JP2008269220A (en) * | 2007-04-19 | 2008-11-06 | Nec Corp | Authentication transfer system, authentication transfer method, terminal device and authentication server |
| JP4820928B1 (en) * | 2011-07-08 | 2011-11-24 | 株式会社野村総合研究所 | Authentication system and authentication method |
| JP2018116740A (en) * | 2018-04-12 | 2018-07-26 | 富士ゼロックス株式会社 | Relay device, relay system, and program |
| WO2025062777A1 (en) * | 2023-09-19 | 2025-03-27 | 日本電気株式会社 | Terminal, system, terminal control method, and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4579546B2 (en) | Method and apparatus for handling user identifier in single sign-on service | |
| US8732815B2 (en) | System, method of authenticating information management, and computer-readable medium storing program | |
| JP2002324049A (en) | Access control method and system | |
| CN101960462B (en) | Authentication device, authentication method, and authentication program with the method mounted thereon | |
| US8665860B2 (en) | Relay device and method for continuing service | |
| US20060143189A1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| JP2002538525A (en) | Proxy server that increases client requests using user profile data | |
| US11641356B2 (en) | Authorization apparatus, data server and communication system | |
| JP3137173B2 (en) | Authentication information management device | |
| CN110958180A (en) | Gateway routing method, intelligent gateway, electronic device and computer storage medium | |
| US20050060399A1 (en) | Method and system for managing programs for web service system | |
| WO2019159894A1 (en) | Authentication approval information integration device and authentication approval information integration method | |
| JP2000106552A (en) | Authentication method | |
| JP2002368781A (en) | User location management domain name conversion system | |
| JP2002520722A (en) | Chip card organization system for use as a server in an Internet-type network | |
| JP2003044346A (en) | Content providing method and network connection device | |
| JP2002358229A (en) | Cache device and computer program | |
| US7565356B1 (en) | Liberty discovery service enhancements | |
| JP2003099347A (en) | Distributed server selection system | |
| EP0627686A1 (en) | System management information setting unit | |
| CN116208671B (en) | Knowledge transmission method, device and storage medium between heterogeneous platforms | |
| JP4497443B2 (en) | User information utilization system | |
| JP2025150934A (en) | Information processing device and information processing method | |
| CN119011682A (en) | Bare metal server access method and device, storage medium and electronic equipment | |
| KR20220007499A (en) | Cloud access method for iot devices, and devices performing the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070227 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071002 |