[go: up one dir, main page]

JP2003030145A - 情報処理方法およびプログラム - Google Patents

情報処理方法およびプログラム

Info

Publication number
JP2003030145A
JP2003030145A JP2001215026A JP2001215026A JP2003030145A JP 2003030145 A JP2003030145 A JP 2003030145A JP 2001215026 A JP2001215026 A JP 2001215026A JP 2001215026 A JP2001215026 A JP 2001215026A JP 2003030145 A JP2003030145 A JP 2003030145A
Authority
JP
Japan
Prior art keywords
certificate
user
information
specifying
route
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001215026A
Other languages
English (en)
Inventor
Tetsuya Inada
哲也 稲田
Tatsuhiro Miyazaki
達弘 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001215026A priority Critical patent/JP2003030145A/ja
Priority to US10/100,905 priority patent/US20030014365A1/en
Publication of JP2003030145A publication Critical patent/JP2003030145A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】 複数の業務を有する情報処理装置のセキュリ
ティを向上させる。 【解決手段】 ユーザ特定情報入力手段11は、ユーザ
を特定するためのユーザ特定情報の入力を受ける。認証
書取得手段13は、ユーザの正当性を証明する認証書を
取得する。対応関係格納手段12は、ユーザ特定情報
と、認証書との対応関係を示す情報を格納する。認証書
特定手段14は、所定のユーザからアクセスがなされた
場合には、当該ユーザのユーザ特定情報から、対応する
認証書を特定する。ユーザ認証手段15は、認証書特定
手段13によって特定された認証書から、当該ユーザが
正規のユーザであるか否かを認証する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はプログラムおよび情
報処理方法に関し、特に、ネットワークを介して他の情
報処理装置との間で情報を授受する情報処理装置として
コンピュータを機能させるプログラムおよびネットワー
クを介して他の情報処理装置との間で情報を授受する情
報処理方法に関する。
【0002】
【従来の技術】近年、インターネットに代表されるオー
プンネットワーク上における取引が盛んになりつつあ
る。このようなオープンネットワーク上における取引を
安全に行うためには、なりすましやデータの盗聴、改ざ
んといった危険を防止する手段が必要になってくる。
【0003】従来においては、誰でもが入手可能な公開
鍵によって暗号化し、自分だけが所有する秘密鍵によっ
て復号するいわゆるPKI(Public Key Infrastructur
e)と呼ばれる環境を用いることにより、安全な取引を
実現しようとしていた。
【0004】ところで、公開鍵暗号技術では、通信相手
が間違いなく「ほんもの」である必要がある。そこで、
PKIでは、認証局(CA:Certification Authorit
y)という「信頼できる」認証機関を設けて、電子署名
による「電子証明書」とともに公開鍵を発行、管理し、
通信相手の正当性を証明する仕組みを提供する。これに
より、通信データの盗聴や改ざんを防ぐだけでなく、通
信相手のなりすましを防止することができる。
【0005】
【発明が解決しようとする課題】しかし、従来において
は、認証書は一般的にサーバ単位で交付されていたの
で、例えば、1つのサーバを複数のユーザ(例えば、複
数の企業または同一企業の異なる部署)が共用する場合
には、セキュリティ上の問題点があった。
【0006】また、本来、ルートCA認証書は世界で一
枚であり、全てのエンドエンティティ認証書は、そのル
ートCA認証書配下に所属するはずであるが、現状で
は、最上位認証局が複数存在する。エンドエンティティ
認証書は取得したユーザのみが使用可能であるが、1シ
ステムに複数業務が混在した場合、自システム認証書が
複数存在し、システム管理者は全ての認証書が使用可能
になってしまい、セキュリティ上の問題があった。
【0007】更に、複数業務が混在するシステムに暗号
化したデータを送信する場合、全ての認証書による暗号
化が可能になってしまうため、セキュリティ上の問題が
あった。
【0008】また、トラブルが発生した場合に、その原
因を究明する必要から、OCSP(Online Certificate
Status Protocol)や認証書を保管することが一般的に
行われているが、これらはデータ量が多いため、記憶装
置の記憶容量を大量に消費してしまうという問題点もあ
った。
【0009】本発明は、以上のような点に鑑みてなされ
たものであり、複数の業務を有する情報処理装置におい
て、安全にデータの授受を行うことを可能とするプログ
ラムを提供することを目的とする。
【0010】
【課題を解決するための手段】本発明では上記課題を解
決するために、図1に示す、ネットワークを介して他の
情報処理装置との間で情報を授受する情報処理装置(サ
ーバ10)としてコンピュータを機能させるプログラム
において、コンピュータを、ユーザを特定するためのユ
ーザ特定情報の入力を受けるユーザ特定情報入力手段1
1、ユーザの正当性を証明する認証書を取得する認証書
取得手段13、ユーザ特定情報と、認証書との対応関係
を示す情報を格納する対応関係格納手段12、所定のユ
ーザからアクセスがなされた場合には、当該ユーザのユ
ーザ特定情報から、対応する認証書を特定する認証書特
定手段14、認証書特定手段14によって特定された認
証書から、当該ユーザが正規のユーザであるか否かを認
証するユーザ認証手段15、として機能させることを特
徴とするプログラムが提供される。
【0011】ここで、ユーザ特定情報入力手段11は、
ユーザを特定するためのユーザ特定情報の入力を受け
る。認証書取得手段13は、ユーザの正当性を証明する
認証書を取得する。対応関係格納手段12は、ユーザ特
定情報と、認証書との対応関係を示す情報を格納する。
認証書特定手段14は、所定のユーザからアクセスがな
された場合には、当該ユーザのユーザ特定情報から、対
応する認証書を特定する。ユーザ認証手段15は、認証
書特定手段14によって特定された認証書から、当該ユ
ーザが正規のユーザであるか否かを認証する。
【0012】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。図1は、本発明の動作原理を説明
する原理図である。この図に示すように、本発明の情報
処理装置10は、ユーザ特定情報入力手段11、対応関
係格納手段12、認証書取得手段13、認証書特定手段
14、および、ユーザ認証手段15によって構成されて
いる。
【0013】ここで、ユーザ特定情報入力手段11は、
ユーザを特定するためのユーザ特定情報の入力を受け
る。認証書取得手段13は、ユーザの正当性を証明する
認証書を図示せぬネットワークを介して取得する。
【0014】対応関係格納手段12は、ユーザ特定情報
と、認証書との対応関係を示す情報を格納する。認証書
特定手段14は、所定のユーザからアクセスがなされた
場合には、当該ユーザのユーザ特定情報から、対応する
認証書を特定する。
【0015】ユーザ認証手段15は、認証書特定手段1
4によって特定された認証書から、当該ユーザが正規の
ユーザであるか否かを認証する。次に、以上の原理図の
動作について説明する。
【0016】先ず、ユーザ特定情報と、認証書とを登録
する際の動作について説明する。あるユーザが、所定の
業務を開始しようとする場合、ユーザを特定するための
情報、例えば、ユーザIDを入力する。また、それとと
もに、所定の認証書を取得するためのコマンドを入力す
る。
【0017】その結果、情報処理装置10は、図示せぬ
ネットワークを介して認証書を取得し、対応関係格納手
段12に対して、ユーザIDと対応付けて格納する。こ
のような状態において、当該ユーザが情報処理装置10
にアクセスしてきた場合には、情報処理装置10は、ユ
ーザに対してユーザ特定情報の入力を要請する。その結
果、ユーザ特定情報であるユーザIDが入力されると、
認証書特定手段14に供給される。
【0018】認証書特定手段14は、供給されたユーザ
IDに対応する認証書が存在するか否かを判定し、該当
する認証書が事前に登録されていることを確認した場合
には、その旨をユーザ認証手段15に供給する。
【0019】ユーザ認証手段15は、認証書特定手段1
4によって対応する認証書が特定された場合には、アク
セスを行ってきたユーザは正規のユーザであると認証す
ることになる。
【0020】以上に説明したように、本発明によれば、
ユーザを特定するためにユーザ特定情報と、認証書との
対応関係を示す情報を対応関係格納手段12に格納する
ようにしたので、情報処理装置10は、ユーザ(業務)
毎に認証書を分類して所有することになり、その結果、
従来のようにどの業務に対してアクセスする場合でも、
同一の認証書でアクセスが許可されるという事態を回避
することが可能になる。従って、セキュリティを向上さ
せることが可能になる。
【0021】次に、本発明の実施の形態について説明す
る。図2は、本発明の実施の形態のシステム構成例を示
す図である。この図に示すように、本発明の実施の形態
は、サーバ20、ネットワーク21、クライアント22
〜24、認証書発行機関25〜27、および、OCSP
認証機関28によって構成されている。
【0022】ここで、サーバ20は、複数のユーザに係
る業務を管理しており、クライアント22〜24のそれ
ぞれからのアクセスを受け付け、所定のサービスを提供
する。
【0023】図3は、サーバ20の詳細な構成例を示す
図である。この図に示すように、サーバ20は、CPU
(Central Processing Unit)20a、ROM(Read On
ly Memory)20b、RAM(Random Access Memory)
20c、HDD(Hard Disk Drive)20d、GB(Gra
phics Board)20e、I/F(Interface)20f、バ
ス20g、表示装置20h、入力装置20iによって構
成されている。
【0024】ここで、CPU20aは、HDD20dに
格納されているプログラムに従って各種演算処理を実行
するとともに、装置の各部を制御する。ROM20b
は、CPU20aが実行する基本的なプログラム等を格
納している。
【0025】RAM20cは、CPU20aが各種演算
処理を実行する際に、演算途中のデータや実行途中のプ
ログラムを一時的に格納する。HDD20dは、CPU
20aが実行するプログラムや各種データ等を格納して
いる。
【0026】GB20eは、CPU20aから供給され
た描画命令に従って描画処理を実行し、得られた画像デ
ータを映像信号に変換して表示装置20hに供給する。
I/F20fは、入力装置20iから出力されるデータ
の表現形式を変更して入力するとともに、ネットワーク
21との間で所定のプロトコルに従ってデータを授受す
る。
【0027】表示装置20hは、例えば、CRT(Cath
ode Ray Tube)モニタ等によって構成されており、GB
20eから出力された映像信号を表示出力する。入力装
置20iは、例えば、キーボードやマウスによって構成
されており、ユーザの操作に応じたデータを生成して出
力する。
【0028】図2に戻って、ネットワーク21は、例え
ば、インターネット等のオープンネットワークによって
構成されている。なお、この実施の形態では、サーバ2
0、クライアント22〜24、認証書発行機関25〜2
7、および、OCSP認証機関28は同一のネットワー
ク21によって相互に接続するようにしたが、部分的な
LAN(Local Area Net Work)を構成して一部の装置
を接続するようにしてもよい。
【0029】クライアント22〜24は、サーバ20に
アクセスし、所定のデータを授受する。認証書発行機関
25〜27は、サーバ20およびクライアント22〜2
4に対して認証書を発行する。
【0030】OCSP認証機関28は、認証書発行機関
25〜27によって発行される認証書の正当性をチェッ
クする。図4は、本発明の第1の実施の形態を示すブロ
ック図である。なお、このブロック図に示す各機能は、
図3に示すHDD20dに格納されている所定のプログ
ラムが実行された場合に実現される。
【0031】この図に示すように、本発明の第1の実施
の形態は、データ登録処理部40、認証書取得処理部4
1、セキュリティ管理処理部42、および、データーベ
ース43によって構成されている。
【0032】データ登録処理部40は、ユーザ登録コマ
ンド50が入力された場合には、ユーザのIDをデータ
ーベース43に登録する。認証書取得処理部41は、認
証書取得コマンド51が入力された場合には、認証書発
行機関25〜27から認証書を取得し、データーベース
43に格納する。
【0033】セキュリティ管理処理部42は、サーバ2
0を利用するユーザからアクセスがあった場合には、ユ
ーザIDを入力するように要請し、その結果得られたユ
ーザIDがデーターベース43に登録されているか否か
を判定し、登録されている場合には正規のユーザとして
アクセスを許可する。
【0034】データーベース43は、ユーザIDと、認
証書のラベルキーとを対応付けたテーブル44を格納し
ている。次に、以上の実施の形態の動作について説明す
る。
【0035】先ず、サーバ20を利用する所定のユーザ
がユーザ登録コマンド50を入力したとすると、データ
登録処理部40は、ユーザIDの入力を受け付け、デー
ターベース43に格納する。
【0036】続いて、ユーザが自システム用の認証書を
取得するために、認証書取得コマンド51を入力したと
すると、認証書取得処理部41がネットワーク21を介
して所定の認証書発行機関25〜27にアクセスし、認
証書を取得する。そして、認証書からラベルキーを取得
し、データーベース43のテーブル44に格納するとと
もに、認証書自体もデーターベース43に格納する。
【0037】以上の処理により、データーベース43の
テーブル44には、ユーザIDと、認証書のラベルキー
とが対応付けされて格納されることになる。図4に示す
例では、ユーザAのユーザIDと、認証書Aおよび認証
書Bが対応付けされて格納されている。このように、1
つのユーザIDに対して複数の認証書を対応付けするこ
とも可能であり、例えば、あるユーザが複数の業務を有
し、それぞれの業務に対して認証書を対応付けすること
が可能である。
【0038】続いて、所定の業務に係るユーザがアクセ
スしてきたとすると、セキュリティ管理処理部42は、
当該ユーザのユーザIDを入力するように要請する。ユ
ーザIDが入力されると、セキュリティ管理処理部42
は、データーベース43のテーブル44を検索し、該当
するユーザIDが格納されているか否かを調べる。
【0039】その結果、該当するユーザIDが存在する
とともに、そのユーザIDに対応付けされたラベルキー
が存在する場合には、当該ユーザは正当なユーザである
として処理の継続を許可し、それ以外の場合には処理の
継続を停止する。
【0040】図5は、ユーザ登録コマンド50が入力さ
れた際に実行される処理の一例を説明するフローチャー
トである。このフローチャートが開始されると、以下の
ステップが実行される。
【0041】ステップS10:データ登録処理部40
は、ユーザ登録コマンド50の入力を受ける。 ステップS11:データ登録処理部40は、登録情報で
あるユーザIDをデーターベース43のテーブル44の
所定の領域に格納する。
【0042】ステップS12:認証書取得処理部41
は、自システム認証書を取得するための認証書取得コマ
ンド51の入力を受ける。
【0043】ステップS13:認証書取得処理部41
は、ネットワーク21を介して認証書発行機関25〜2
7にアクセスし、所定の認証書を取得し、取得した認証
書から更にラベルキーを取得する。
【0044】ステップS14:認証書取得処理部41
は、取得したラベルキーを、テーブル44に対して格納
する。
【0045】ステップS15:認証書取得処理部41
は、ユーザIDとラベルキーとの関連付けを行う。以上
の処理により、ユーザIDと認証書のラベルキーとをテ
ーブル44に関連付けて登録することができる。
【0046】続いて、図6を参照し、ユーザからアクセ
スがあった場合に、図5の処理によって登録されたユー
ザIDとラベルキーとを用いて、正当なユーザか否かの
認証を行う処理を実現するためのフローチャートの一例
について説明する。このフローチャートが開始される
と、以下のステップが実行される。
【0047】ステップS20:セキュリティ管理処理部
42は、アクセスしてきたユーザのユーザIDの入力を
受ける。
【0048】ステップS21:セキュリティ管理処理部
42は、入力されたユーザIDをキーとしてデーターベ
ース43のテーブル44からラベルキーを検索する。
【0049】ステップS22:セキュリティ管理処理部
42は、ラベルキーが存在しているか否かを判定し、存
在している場合にはステップS23に進み、それ以外の
場合にはステップS24に進む。
【0050】ステップS23:セキュリティ管理処理部
42は、正当なユーザであるとして処理を継続する。 ステップS24:セキュリティ管理処理部42は、正当
なユーザでないとして処理を中断する。
【0051】以上のフローチャートにより、ユーザがア
クセスしてきた場合に、ユーザIDをキーとしてラベル
キーを検索し、該当するラベルキーが存在する場合に
は、正当なユーザと判定することが可能になる。
【0052】以上に説明したように、本発明の第1の実
施の形態によれば、ユーザIDと認証書のラベルキーと
を対応付けて格納し、ユーザからアクセスがなされた場
合には、ユーザIDをキーとしてラベルキーを検索し、
該当するラベルキーが存在する場合には正当なユーザと
判定するようにしたので、セキュリティを向上させるこ
とが可能になる。
【0053】なお、以上の実施の形態では、ユーザID
とラベルキーとを対応付けて格納するようにしたが、こ
れ以外の情報を用いることも可能である。次に、本発明
の第2の実施の形態について説明する。
【0054】図7は、本発明の第2の実施の形態を示す
ブロック図である。なお、このブロック図に示す各機能
は、図3に示すHDD20dに格納されている所定のプ
ログラムが実行された場合に実現される。
【0055】この図に示すように、本発明の第2の実施
の形態は、メッセージ解析処理部60、認証書特定処理
部62と検証処理部63から構成されるセキュリティ管
理処理部61、および、データーベース64から構成さ
れている。
【0056】ここで、メッセージ解析処理部60は、ク
ライアント22〜24から送信されてきた暗号化された
データ(メッセージ)を解析する。セキュリティ管理処
理部61は、認証書特定処理部62および検証処理部6
3から構成され、クライアント22〜24がアクセスし
てきた際に、対応する認証書を特定し、正当性を検証す
る。
【0057】認証書特定処理部62は、受信したメッセ
ージに含まれている認証書を特定するためのデータを参
照し、認証書を特定する。検証処理部63は、特定され
た認証書に対応する業務と、メッセージに含まれている
業務を示すデータとを比較し、クライアントの正当性を
検証する。
【0058】データーベース64は、業務とサーバ認証
書(または、サーバ認証書を特定するための情報)とを
対応付けしたテーブル65を格納しており、認証書特定
処理部62の要求に応じて該当する認証書を検索すると
ともに、その認証書に対応する業務を返す。
【0059】また、クライアント22が有するデーター
ベース22aには、ルートCA認証書、CA認証書、サ
ーバ認証書A、および、クライアント認証書が格納され
ている。
【0060】ここで、ルートCA認証書は、ルート(最
上位)に属する認証書発行機関の認証書である。CA認
証書は、ルート認証書発行機関に至るまでに存在する認
証書発行機関の認証書である。
【0061】サーバ認証書Aは、サーバ20から送信さ
れてきた、サーバ20の所定の業務(この例では、業務
#1)の正当性を保証する認証書である。クライアント
認証書は、クライアントの正当性を保証するための認証
書である。
【0062】なお、クライアント23およびクライアン
ト24も同様の情報をデーターベースに具備していると
する。次に、以上の実施の形態の動作について説明す
る。
【0063】先ず、サーバ20が提供する業務#1に対
する正当アクセス権限を有するクライアント22がネッ
トワーク21を介してサーバ20にアクセスし、所定の
メッセージをサーバ20に送信したとする。
【0064】サーバ20のメッセージ解析処理部60
は、メッセージを解析し、先ず、通信相手である側が要
求を行っているサービスの業務名を取得する。続いて、
メッセージ解析処理部60は、メッセージの非暗号化部
分に含まれているIssuer&Serialをキーと
し、データーベース64のテーブル65から該当するサ
ーバ認証書を取得する。
【0065】いまの例では、クライアント22は、クラ
イアント認証書に含まれている公開鍵によって暗号化し
たメッセージを送信しているので、「サーバ認証書A」
が特定されることになる。
【0066】続いて、認証書特定処理部62は、このサ
ーバ認証書Aに対応する業務をデーターベース64のテ
ーブル65から特定する。その結果、「業務#1」が特
定されることになる。
【0067】続いて、検証処理部63は、認証書特定処
理部62によって特定された業務と、メッセージ解析処
理部60がメッセージから取得した業務とを比較し、こ
れらが等しいか否かについて検証する。いまの例では、
メッセージから取得された業務名は「業務#1」であ
り、また、データーベース64から取得された業務名も
「業務#1」であるので、クライアント22の正当性
と、対応する業務が確認できたとして、サーバ20はク
ライアント22との間の処理を継続することを決定す
る。
【0068】次に、図8を参照して、以上の機能を実現
するためのフローチャートの一例について説明する。こ
のフローチャートが開始されると、以下のステップが実
行される。
【0069】ステップS30:サーバ20のメッセージ
解析処理部60は、相手システムからメッセージを受信
する。
【0070】ステップS31:メッセージ解析処理部6
0は、受信したメッセージを解析する。 ステップS32:メッセージ解析処理部60は、受信し
たメッセージから業務名を取得する。
【0071】ステップS33:メッセージ解析処理部6
0は、受信したメッセージの非暗号化部に含まれている
Issuer&Serialを取得し、認証書特定処理
部62に供給する。そして、認証書特定処理部62は、
データーベース64を検索することにより、該当する認
証書を特定する。
【0072】ステップS34:認証書特定処理部62
は、認証書に対応する業務名をデーターベース64から
取得する。
【0073】ステップS35:検証処理部63は、メッ
セージ解析処理部60がステップS32において受信メ
ッセージから抽出した業務名と、認証書特定処理部62
がステップS34においてデーターベース64から取得
した業務名とが一致するか否かを判定し、一致する場合
にはステップS36に進み、それ以外の場合にはステッ
プS37に進む。
【0074】ステップS36:サーバ20は、アクセス
してきたクライアントは正当であり、また、対応する業
務が特定できたとして、当該クライアントとの間での処
理を継続する。
【0075】ステップS37:サーバ20は、アクセス
してきたクライアントは正当でないか、または、業務が
特定できないとして、当該クライアントとの間での処理
を中断する。
【0076】以上の処理によれば、サーバ20が複数の
業務を有する場合であって、クライアント22〜24か
らアクセスがなされた場合には、メッセージに含まれて
いる業務名と、メッセージに含まれているIssuer
&Serialから特定される業務名とが一致するか否
かを基準として、業務と認証書を特定することが可能に
なるので、1つの認証書によって全ての業務にアクセス
可能となるといった従来までの不都合を改善することが
可能になる。
【0077】次に、本発明の第3の実施の形態について
説明する。図9は、本発明の第3の実施の形態を示すブ
ロック図である。なお、このブロック図に示す各機能
は、図3に示すHDD20dに格納されている所定のプ
ログラムが実行された場合に実現される。
【0078】この図に示すように、本発明の第3の実施
の形態は、メッセージ解析処理部70、セキュリティ管
理処理部71、および、データーベース76から構成さ
れている。
【0079】ここで、メッセージ解析処理部70は、ク
ライアント22,23から送信されてきたメッセージを
解析する。セキュリティ管理処理部71は、検証処理部
72、比較処理部73、および、事前登録処理部74か
ら構成され、相手システムからアクセスがなされた場合
に、その正当性を検討する処理を実行する。
【0080】検証処理部72は、受信した認証書の正当
性を検証する処理を実行する。比較処理部73は、その
正当性が明らかでない、いわゆる「不明ルート認証書」
を受信した場合に、事前に登録している、ルート認証書
をハッシュ処理して生成した「ルート認証書ハッシュ」
と比較し、正当性を確認する。
【0081】事前登録処理部74は、ルート認証書に対
してハッシュ処理を施して得られたルート認証書ハッシ
ュを、データーベース76のテーブル77に登録する。
なお、クライアント22のデーターベース22aには、
ルートに属する認証書発行機関(例えば、認証書発行機
関25)のルート認証書であるCA#2ルート認証書
と、その下位に属する認証書発行機関(例えば、認証書
発行機関26)の認証書であるCA#2認証書と、自己
の正当性を保証するためのクライアント認証書とを格納
している。
【0082】次に、以上の実施の形態の動作について説
明する。先ず、事前登録処理部74に対して事前登録コ
マンド75がユーザによって入力されると、事前登録処
理部74はルート認証機関の認証書に対してハッシュ処
理を施したルート認証書ハッシュの入力を要請する。例
えば、ルートに属する認証書発行機関25に対応するC
A#1ルート認証書に対してハッシュ処理を施して得ら
れた「CA#1ルート認証書ハッシュ」が入力されたと
すると、事前登録処理部74は、入力されたCA#1ル
ート認証書ハッシュをデーターベース76のテーブル7
7に格納する。
【0083】このような状態において、相手システムで
ある、例えば、クライアント23から、不明CAルート
認証書(CA#2ルート認証書ハッシュ)で構成される
メッセージが送信されてきた場合、サーバ20のメッセ
ージ解析処理部70は、当該不明CAルート認証書を取
得する。
【0084】そして、セキュリティ管理処理部71の検
証処理部72は、メッセージに含まれている認証書のル
ート検証を行う。その結果、不明CAルート認証書であ
ることが判明した場合には、検証処理部72は、そのC
Aルート認証書に対してハッシュ処理を施し、得られた
データを比較処理部73に供給する。
【0085】比較処理部73は、データーベース76に
格納されているテーブル77に格納されているCAルー
ト認証書ハッシュと、検証処理部72から供給されたデ
ータとを比較し、該当するCAルート認証書ハッシュが
存在するか否かを検討する。
【0086】その結果、該当するCAルート認証書ハッ
シュ(いまの例ではCA#2ルート認証書ハッシュ)が
存在する場合には、ルートCAの正当性が確保できたと
して、アクセスしてきたクライアントとの処理を継続す
る。
【0087】次に、図10を参照して、以上の機能を実
現するためのフローチャートの一例について説明する。
図10は、事前登録コマンド75が入力された際に実行
されるフローチャートである。このフローチャートが開
始されると、以下のステップが実行される。
【0088】ステップS40:サーバ20の事前登録処
理部74は、ユーザからの事前登録コマンド75の入力
を受ける。
【0089】ステップS41:事前登録処理部74は、
事前登録コマンド75を入力したユーザに対して、ハッ
シュデータを入力するように要請し、その結果として入
力されたハッシュデータ、即ち、CAルート認証書ハッ
シュを、データーベース76のテーブル77の所定の領
域に格納する。
【0090】なお、CAルート認証書ハッシュは、例え
ば、FD(Flexible Disk)等の記録媒体に記録されて
供給されるものである。以上の処理により、事前登録コ
マンド75が入力された場合に、CAルート認証書ハッ
シュをデーターベース76のテーブル77に登録するこ
とができる。
【0091】次に、図11を参照して、クライアントか
らメッセージが送信されてきた場合に実行されるフロー
チャートについて説明する。このフローチャートが開始
されると、以下のステップが実行される。
【0092】ステップS50:メッセージ解析処理部7
0は、相手システムから送信されてきたメッセージを受
信する。
【0093】ステップS51:メッセージ解析処理部7
0は、受信したメッセージを解析する処理を実行する。
【0094】ステップS52:検証処理部72は、クラ
イアント認証書のルートを検証する処理を実行する。 ステップS53:検証処理部72は、取得したルート認
証書に対してハッシュ処理を施し、CAルート認証書ハ
ッシュを生成する。
【0095】ステップS54:比較処理部73は、検証
処理部72によって生成されたCAルート認証書ハッシ
ュと、データーベース76のテーブル77に格納されて
いるCAルート認証書ハッシュとを比較する。
【0096】ステップS55:比較処理部73は、一致
するCAルート認証書ハッシュが存在するか否かを判定
し、存在する場合にはステップS56に進み、それ以外
の場合にはステップS57に進む。
【0097】ステップS56:サーバ20は、アクセス
を行ってきたクライアントが正当であることを認知し、
処理を継続する。
【0098】ステップS57:サーバ20は、アクセス
を行ってきたクライアントが正当でないことを認知し、
処理を中断する。
【0099】以上の処理により、自己と異なるCAルー
ト認証書を有するクライアントからアクセスがなされた
場合であっても、その認証書の正当性を簡単に判断する
ことが可能になるので、システムのセキュリティを向上
させることが可能になる。
【0100】次に、本発明の第4の実施の形態について
説明する。図12は、本発明の第4の実施の形態を示す
ブロック図である。なお、このブロック図に示す各機能
は、図3に示すHDD20dに格納されている所定のプ
ログラムが実行された場合に実現される。
【0101】この図に示すように、本発明の第4の実施
の形態は、メッセージ解析処理部80、セキュリティ管
理処理部81、および、データーベース83,85から
構成されている。
【0102】ここで、メッセージ解析処理部80は、ク
ライアント22,23から送信されてきたメッセージを
解析する。セキュリティ管理処理部81は、検証処理部
82によって構成され、クライアントの正当性を認証す
る。
【0103】データーベース83は、業務名、クライア
ント認証書、および、OCSP情報を対応付けて格納し
たテーブル84を格納している。また、データーベース
85は、業務と、当該業務のOCSPの発行周期を示す
情報とを対応付けて格納したテーブル86を記憶してい
る。
【0104】次に、以上の実施の形態の動作について説
明する。ユーザがOCSP発行周期登録コマンド90を
入力すると、サーバ20は、OCSP発行周期を入力す
るように要請する。
【0105】その結果、例えば、「業務#1」の発行周
期が「1時間毎」である旨のデータを入力すると、その
データは、データーベース85のテーブル86の所定の
領域に業務名である「業務#1」と対応付けて格納され
ることになる。
【0106】このような状態において、相手システムで
あるクライアント22からメッセージを受信すると、メ
ッセージ解析処理部80は、受信したメッセージを解析
する処理を実行し、メッセージに含まれている業務名を
取得する。
【0107】例えば、業務名が「業務#1」であったと
すると、メッセージ解析処理部80は、「業務#1」を
セキュリティ管理処理部81の検証処理部82に供給す
る。検証処理部82は、先ず、「業務#1」をキーとし
て、データーベース83のテーブル84を検索する。そ
の結果、検証処理部82は、該当するクライアント認証
書と、OCSP情報とを取得する。
【0108】ここで、OCSP情報は、OCSP認証機
関28に対するアクセスの履歴を示す情報であり、この
情報を参照することにより、前回のアクセス日時を特定
することができる。
【0109】続いて、検証処理部82は、同様に「業務
#1」をキーとして、データーベース85のテーブル8
6を検索し、OCSP発行周期に関する情報を取得す
る。いまの例では、「1時間毎」が取得される。
【0110】次に、検証処理部82は、先に取得したO
CSP情報と、図示せぬ計時部から取得した現在の日時
と、データーベース85から取得したOCSP発行周期
とを比較し、最後にOCSP認証機関28にアクセスし
てから経過した時間が、発行周期を上回っているか否か
を判定し、上回っている場合にはOCSP認証機関28
にアクセスし、アクセスしてきたクライアント22のク
ライアント#1認証書の正当性を再度確認する。
【0111】その結果、正当性が確認できた場合には、
クライアント22の正当性が確認できたとして、クライ
アント22との間の処理を継続する。次に、図13を参
照して、以上の機能を実現するためのフローチャートの
一例について説明する。図13は、OCSP発行周期登
録コマンド90が入力された際に実行されるフローチャ
ートである。このフローチャートが開始されると、以下
のステップが実行される。
【0112】ステップS60:サーバ20は、所定の業
務のOCSP発行周期の入力を受ける。 ステップS61:サーバ20は、データーベース85に
対して、業務名とOCSP発行周期とを対応付けてデー
ターベース85のテーブル86に格納する。
【0113】以上の処理により、業務名とOCSP発行
周期とをデーターベース85のテーブル86に登録する
ことができる。次に、図14を参照して、相手システム
からメッセージが送信されてきた場合に実行されるフロ
ーチャートについて説明する。このフローチャートが開
始されると、以下のステップが実行される。
【0114】ステップS70:メッセージ解析処理部8
0は、相手システムであるクライアントからのメッセー
ジを受信する。
【0115】ステップS71:メッセージ解析処理部8
0は、受信メッセージを解析する処理を実行する。 ステップS72:検証処理部82は、受信メッセージか
ら抽出した業務名に対応するOCSP発行周期をデータ
ーベース85から取得する。
【0116】ステップS73:検証処理部82は、受信
メッセージから抽出した業務名に対応するOCSP情報
をデーターベース83から取得する。
【0117】ステップS74:検証処理部82は、ステ
ップS72で取得したOCSP発行周期と、ステップS
73で取得したOCSP情報と、現在の日時とを比較
し、発行周期を超過しているか否かを判定する。その結
果、周期を超過している場合には、ステップS75に進
み、それ以外の場合には処理を終了する。
【0118】ステップS75:サーバ20は、OCSP
発行処理を実行する。なお、発行処理が完了した場合に
は、その時点における日時によってOCSP情報を更新
する。
【0119】以上の処理によれば、例えば、業務の重要
度に応じて、OCSPの発行周期を自由に設定すること
が可能になるので、業務の種類に応じた最適な設定が可
能になり、サーバ20にかかる処理の負担を軽減し、更
に、システム全体の処理速度を向上させることが可能に
なる。
【0120】次に、本発明の第5の実施の形態について
説明する。図15は、本発明の第5の実施の形態を示す
ブロック図である。なお、このブロック図に示す各機能
は、図3に示すHDD20dに格納されている所定のプ
ログラムが実行された場合に実現される。
【0121】この図に示すように、本発明の第5の実施
の形態は、メッセージ解析処理部100、セキュリティ
管理処理部101、および、データーベース103,1
05から構成されている。
【0122】ここで、メッセージ解析処理部100は、
クライアント22,23から送信されてきたメッセージ
を解析する。セキュリティ管理処理部101は、格納処
理部102によって構成され、クライアントとの間でな
されたトランザクションに関する情報をデーターベース
103に格納する。
【0123】データーベース103は、トランザクショ
ンと、認証書に対してハッシュ処理を施すことによって
得られた認証書ハッシュとを対応付けて格納したテーブ
ル104を記憶している。
【0124】また、データーベース105は、認証書ハ
ッシュと、認証書の本体とを対応付けして格納したテー
ブル106を記憶している。次に、以上の実施の形態の
動作について説明する。
【0125】先ず、クライアント22からアクセスがな
されると、メッセージ解析処理部100は、クライアン
ト22から送信されてきたメッセージを解析し、正当な
クライアントであるか否かを検討した後、正当なクライ
アントである場合には、アクセスを許可する。
【0126】そして、クライアント22との間でトラン
ザクション#1(TR#1)が実行され、当該トランザ
クションが終了した場合には、格納処理部102は、ク
ライアント22が有するクライアント認証書Aに対して
ハッシュ処理を施し、得られた認証書Aハッシュを、ト
ランザクション名(トランザクション#1)と対応付け
てデーターベース103のテーブル104に格納する。
【0127】このとき、格納処理部102は、認証書A
ハッシュをキーとして、データーベース105のテーブ
ル106を検索し、該当するハッシュが存在する場合に
は処理を終了し、存在しない場合には当該ハッシュ(認
証書Aハッシュ)と、認証書自体(または、認証書を特
定するためのデータ)をテーブル106に格納する。
【0128】次に、クライアント22との間で、新たな
トランザクションTR#2が実行され、当該トランザク
ションが完了した場合には、認証書Aはデーターベース
105に登録済みであるので、トランザクション#2を
示すデータと、認証書Aハッシュがデーターベース10
3のテーブル104に格納される。
【0129】続いて、クライアント23との間で新たな
トランザクションであるTR#3が実行された場合であ
って、このクライアント23のクライアント認証書Bが
未登録である場合には、データーベース105のテーブ
ル106には、認証書Bハッシュと、認証書Bの本体が
登録され、また、データーベース103のテーブル10
4には、トランザクション#2を特定するデータと、認
証書Bハッシュとが登録されることになる。
【0130】ところで、認証書は、1000バイト程度
のデータ容量を有する、一方、認証書ハッシュは10〜
20バイト程度のデータであるので、トランザクション
のログとして、認証書自体を保存する場合に比較して、
データーベースの必要な容量を削減することが可能にな
る。
【0131】次に、図16を参照して、以上の機能を実
現するためのフローチャートの一例について説明する。
図16は、相手システムとの間でトランザクションが開
始される際に実行されるフローチャートである。このフ
ローチャートが開始されると、以下のステップが実行さ
れる。
【0132】ステップS80:メッセージ解析処理部1
00は、相手システムからのメッセージを受信する。 ステップS81:メッセージ解析処理部100は、受信
メッセージを解析する処理を実行する。
【0133】ステップS82:格納処理部102は、相
手認証書にハッシュ処理を施し、認証書ハッシュを生成
する。
【0134】ステップS83:格納処理部102は、ス
テップS82で生成した認証書ハッシュをキーとして、
データーベース105から該当する認証書ハッシュを検
索する。
【0135】ステップS84:格納処理部102は、認
証書ハッシュが既に登録済みであるか否かを判定し、登
録済みである場合にはステップS86に進み、それ以外
の場合にはステップS85に進む。
【0136】ステップS85:格納処理部102は、認
証書と、認証書ハッシュとを対応付けし、データーベー
ス105のテーブル106に保存する。
【0137】ステップS86:格納処理部102は、ト
ランザクションを特定するためのトランザクション情報
と、ステップS82で生成した認証書ハッシュとを対応
付けてデーターベース103のテーブル104に保存す
る。
【0138】以上の処理によれば、トランザクションが
終了するたびに認証書自体を保存するかわりに、認証書
に対してハッシュを施すことによって得られた認証書ハ
ッシュを登録するようにしたので、認証書自体を登録す
る場合に比較して、必要な記憶容量を削減することが可
能になる。
【0139】なお、以上の実施の形態では、認証書ハッ
シュを、データーベース103とデーターベース105
を対応付ける情報として利用したが、例えば、シリアル
番号を用いることも可能である。このような方法によっ
ても、ハッシュを使用した場合と同様に、必要な記憶容
量を削減することが可能になる。
【0140】なお、上記の処理機能は、クライアントサ
ーバシステムのサーバコンピュータによって実現するこ
とができる。その場合、サーバ20が有すべき機能の処
理内容を記述したサーバプログラムが提供される。サー
バコンピュータは、クライアントコンピュータからの要
求に応答して、サーバプログラムを実行する。これによ
り、上記処理機能がサーバコンピュータ上で実現され、
処理結果がクライアントコンピュータに提供される。
【0141】処理内容を記述したサーバプログラムは、
サーバコンピュータで読み取り可能な記録媒体に記録し
ておくことができる。サーバコンピュータで読み取り可
能な記録媒体としては、磁気記録装置、光ディスク、光
磁気記録媒体、半導体メモリなどがある。磁気記録装置
には、ハードディスク装置(HDD)、フレキシブルデ
ィスク(FD)、磁気テープなどがある。光ディスクに
は、DVD(Digital Versatile Disk)、DVD−RAM
(Random Access Memory)、CD−ROM(Compact Disk
Read Only Memory)、CD−R(Recordable)/RW(ReWr
itable)などがある。光磁気記録媒体には、MO(Magnet
o-Optical disk)などがある。
【0142】サーバプログラムを流通させる場合には、
たとえば、そのサーバプログラムが記録されたDVD、
CD−ROMなどの可搬型記録媒体が販売される。サー
バプログラムを実行するサーバコンピュータは、たとえ
ば、可搬型記録媒体に記録されたサーバプログラムを、
自己の記憶装置に格納する。そして、サーバコンピュー
タは、自己の記憶装置からサーバプログラムを読み取
り、サーバプログラムに従った処理を実行する。なお、
サーバコンピュータは、可搬型記録媒体から直接サーバ
プログラムを読み取り、そのサーバプログラムに従った
処理を実行することもできる。
【0143】(付記1) ネットワークを介して他の情
報処理装置との間で情報を授受する情報処理装置として
コンピュータを機能させるプログラムにおいて、コンピ
ュータを、ユーザを特定するためのユーザ特定情報の入
力を受けるユーザ特定情報入力手段、前記ユーザの正当
性を証明する認証書を取得する認証書取得手段、前記ユ
ーザ特定情報と、前記認証書との対応関係を示す情報を
格納する対応関係格納手段、所定のユーザからアクセス
がなされた場合には、当該ユーザのユーザ特定情報か
ら、対応する認証書を特定する認証書特定手段、前記認
証書特定手段によって特定された認証書から、当該ユー
ザが正規のユーザであるか否かを認証するユーザ認証手
段、として機能させることを特徴とするプログラム。
【0144】(付記2) 前記対応関係格納手段は、1
のユーザと、1または2以上の認証書との対応関係が格
納されていることを特徴とする付記1記載のプログラ
ム。 (付記3) 他の情報処理装置から送信されてきた情報
から、ユーザを示す情報であるユーザ情報を抽出するユ
ーザ情報抽出手段、他の情報処理装置から送信されてき
た情報から、認証書を特定するための認証書特定情報を
抽出する認証書特定情報抽出手段、前記認証書特定情報
を参照し、前記対応関係格納手段から対応するユーザ特
定情報を取得するユーザ特定情報取得手段、前記ユーザ
特定情報と、前記ユーザ情報とを比較し、前記情報処理
装置の正当性を認証する情報処理装置認証手段、として
更に機能させることを特徴とする付記1記載のプログラ
ム。
【0145】(付記4) 他の情報処理装置のルート認
証情報を格納したルート認証情報格納手段、他の情報処
理装置から送信されてきた情報から、ルート認証情報を
取得するルート認証情報取得手段、前記ルート認証情報
によって取得されたルート認証情報と、前記ルート認証
情報格納手段に格納されているルート認証情報とを比較
し、ルートの正当性を認証するルート認証手段、として
更に機能させる付記1記載のプログラム。
【0146】(付記5) 前記ルート認証情報格納手段
は、ルート認証情報を一方向関数で処理することによっ
て得られたデータを格納しており、前記ルート認証手段
は、前記ルート認証情報認証手段によって取得されたル
ート認証情報を一方向関数によって処理し、得られたデ
ータと、前記ルート認証情報格納手段に格納されている
前記データとを比較することによりルートの正当性を認
証する、ことを特徴とする付記4記載のプログラム。
【0147】(付記6) 他の情報処理装置の正当性を
確認するための認証書を格納する認証書格納手段、前記
認証書格納手段に格納されている認証書の正当性を外部
の機関に問い合わせる問い合わせ手段、前記問い合わせ
手段の前記外部の機関への問い合わせの周期を設定する
問い合わせ周期設定手段、として更に機能させる付記1
記載のプログラム。
【0148】(付記7) 前記問い合わせ周期設定手段
は、前記他の情報処理装置に係る業務の重要性に応じて
周期を設定することを特徴とする付記6記載のプログラ
ム。 (付記8) 他の情報処理装置との間でなされる処理を
トランザクション単位でログとして格納するログ格納手
段、前記トランザクションに関連する認証書を特定する
ための情報である認証書特定情報を、前記ログに関連付
けて書き込む、認証書特定情報書き込み手段、として機
能させる付記1記載のプログラム。
【0149】(付記9) 前記認証書特定情報は、前記
認証書を一方向関数によって処理して得られたデータで
あることを特徴とする付記8記載のプログラム。 (付記10) 前記認証書特定情報は、前記認証書に一
意に割り付けられたシリアル番号であることを特徴とす
る付記8記載のプログラム。
【0150】(付記11) ネットワークを介して他の
情報処理装置との間で情報を授受する情報処理方法にお
いて、ユーザを特定するためのユーザ特定情報の入力を
受けるユーザ特定情報入力ステップと、前記ユーザの正
当性を証明する認証書を取得する認証書取得ステップ
と、前記ユーザ特定情報と、前記認証書との対応関係を
示す情報を格納する対応関係格納ステップと、所定のユ
ーザからアクセスがなされた場合には、当該ユーザのユ
ーザ特定情報から、対応する認証書を特定する認証書特
定ステップと、前記認証書特定ステップによって特定さ
れた認証書から、当該ユーザが正規のユーザであるか否
かを認証するユーザ認証ステップと、を有することを特
徴とする情報処理方法。
【0151】(付記12) ネットワークを介して他の
情報処理装置との間で情報を授受する情報処理装置にお
いて、ユーザを特定するためのユーザ特定情報の入力を
受けるユーザ特定情報入力手段と、前記ユーザの正当性
を証明する認証書を取得する認証書取得手段と、前記ユ
ーザ特定情報と、前記認証書との対応関係を示す情報を
格納する対応関係格納手段と、所定のユーザからアクセ
スがなされた場合には、当該ユーザのユーザ特定情報か
ら、対応する認証書を特定する認証書特定手段と、前記
認証書特定手段によって特定された認証書から、当該ユ
ーザが正規のユーザであるか否かを認証するユーザ認証
手段と、を有することを特徴とする情報処理装置。
【0152】
【発明の効果】以上説明したように本発明では、ネット
ワークを介して他の情報処理装置との間で情報を授受す
る情報処理装置としてコンピュータを機能させるプログ
ラムにおいて、コンピュータを、ユーザを特定するため
のユーザ特定情報の入力を受けるユーザ特定情報入力手
段、前記ユーザの正当性を証明する認証書を取得する認
証書取得手段、前記ユーザ特定情報と、前記認証書との
対応関係を示す情報を格納する対応関係格納手段、所定
のユーザからアクセスがなされた場合には、当該ユーザ
のユーザ特定情報から、対応する認証書を特定する認証
書特定手段、前記認証書特定手段によって特定された認
証書から、当該ユーザが正規のユーザであるか否かを認
証するユーザ認証手段、として機能させるようにしたの
で、例えば、複数の業務を有するサーバ等の情報処理装
置のセキュリティを向上させることが可能になる。
【図面の簡単な説明】
【図1】本発明の動作原理を説明する原理図である。
【図2】本発明の実施の形態の構成例を示す図である。
【図3】図2に示すサーバの構成例を示す図である。
【図4】本発明の第1の実施の形態の構成例を示す図で
ある。
【図5】図4に示す実施の形態において、ユーザ登録コ
マンドが入力された際に実行される処理の一例を説明す
るフローチャートである。
【図6】図4に示す実施の形態において、ユーザからア
クセスがあった場合に、図5に示す処理によって登録さ
れたユーザIDとラベルキーとを用いて、正当なユーザ
か否かの認証を行う処理の一例を説明するためのフロー
チャートである。
【図7】本発明の第2の実施の形態の構成例を示す図で
ある。
【図8】図7に示す実施の形態において、相手システム
からメッセージを受信した場合に実行される処理の一例
を説明するフローチャートである。
【図9】本発明の第3の実施の形態の構成例を示す図で
ある。
【図10】図9に示す実施の形態において、事前登録コ
マンドが入力された際に実行される処理の一例を説明す
るフローチャートである。
【図11】図9に示す実施の形態において、相手システ
ムからメッセージを受信した場合に実行される処理の一
例を説明するフローチャートである。
【図12】本発明の第4の実施の形態の構成例を示す図
である。
【図13】図12に示す実施の形態において、OCSP
発行周期登録コマンドが入力された際に実行される処理
の一例を説明するフローチャートである。
【図14】図12に示す実施の形態において、相手シス
テムからメッセージを受信した場合に実行される処理の
一例を説明するフローチャートである。
【図15】本発明の第5の実施の形態の構成例を示す図
である。
【図16】図15に示す実施の形態において、相手シス
テムからメッセージを受信した場合に実行される処理の
一例を説明するフローチャートである。
【符号の説明】
10 情報処理装置 11 ユーザ特定情報入力手段 12 対応関係格納手段 13 認証書取得手段 14 認証書特定手段 15 ユーザ認証手段 20 サーバ 20a CPU 20b ROM 20c RAM 20d HDD 20e GB 20f I/F 20g バス 20h 表示装置 20i 入力装置 21 ネットワーク 22〜24 クライアント 25〜27 認証書発行機関 28 OCSP認証機関
【手続補正書】
【提出日】平成14年4月10日(2002.4.1
0)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】請求項3
【補正方法】変更
【補正内容】
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】請求項4
【補正方法】変更
【補正内容】
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】請求項6
【補正方法】変更
【補正内容】
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】請求項8
【補正方法】変更
【補正内容】
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0056
【補正方法】変更
【補正内容】
【0056】ここで、メッセージ解析処理部60は、ク
ライアント22〜24から送信されてきた暗号化された
データ(メッセージ)を解析する。セキュリティ管理処
理部61は、クライアント22〜24がアクセスしてき
た際に、対応する認証書を特定し、正当性を検証する。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0144
【補正方法】変更
【補正内容】
【0144】(付記2) 前記対応関係格納手段は、1
のユーザと、1または2以上の認証書との対応関係が格
納されていることを特徴とする付記1記載のプログラ
ム。 (付記3) 前記他の情報処理装置から送信されてきた
情報から、ユーザを示す情報であるユーザ情報を抽出す
るユーザ情報抽出手段、前記他の情報処理装置から送信
されてきた情報から、認証書を特定するための認証書特
定情報を抽出する認証書特定情報抽出手段、前記認証書
特定情報を参照し、前記対応関係格納手段から対応する
ユーザ特定情報を取得するユーザ特定情報取得手段、前
記ユーザ特定情報と、前記ユーザ情報とを比較し、前記
他の情報処理装置の正当性を認証する情報処理装置認証
手段、として更に機能させることを特徴とする付記1記
載のプログラム。
【手続補正7】
【補正対象書類名】明細書
【補正対象項目名】0145
【補正方法】変更
【補正内容】
【0145】(付記4) 前記他の情報処理装置のルー
ト認証情報を格納したルート認証情報格納手段、前記
の情報処理装置から送信されてきた情報から、ルート認
証情報を取得するルート認証情報取得手段、前記ルート
認証情報取得手段によって取得されたルート認証情報
と、前記ルート認証情報格納手段に格納されているルー
ト認証情報とを比較し、ルートの正当性を認証するルー
ト認証手段、として更に機能させる付記1記載のプログ
ラム。
【手続補正8】
【補正対象書類名】明細書
【補正対象項目名】0147
【補正方法】変更
【補正内容】
【0147】(付記6) 前記他の情報処理装置の正当
性を確認するための認証書を格納する認証書格納手段、
前記認証書格納手段に格納されている認証書の正当性を
外部の機関に問い合わせる問い合わせ手段、前記問い合
わせ手段の前記外部の機関への問い合わせの周期を設定
する問い合わせ周期設定手段、として更に機能させる付
記1記載のプログラム。
【手続補正9】
【補正対象書類名】明細書
【補正対象項目名】0148
【補正方法】変更
【補正内容】
【0148】(付記7) 前記問い合わせ周期設定手段
は、前記他の情報処理装置に係る業務の重要性に応じて
周期を設定することを特徴とする付記6記載のプログラ
ム。 (付記8) 前記他の情報処理装置との間でなされる処
理をトランザクション単位でログとして格納するログ格
納手段、前記トランザクションに関連する認証書を特定
するための情報である認証書特定情報を、前記ログに関
連付けて書き込む、認証書特定情報書き込み手段、とし
て機能させる付記1記載のプログラム。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 宮崎 達弘 神奈川県横浜市港北区新横浜二丁目15番16 株式会社富士通ハイパーソフトテクノロ ジ内 Fターム(参考) 5B017 AA03 BA05 5B085 AE02 AE23 CA04 5J104 AA07 KA01 KA07 PA07

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを介して他の情報処理装置
    との間で情報を授受する情報処理装置としてコンピュー
    タを機能させるプログラムにおいて、 コンピュータを、 ユーザを特定するためのユーザ特定情報の入力を受ける
    ユーザ特定情報入力手段、 前記ユーザの正当性を証明する認証書を取得する認証書
    取得手段、 前記ユーザ特定情報と、前記認証書との対応関係を示す
    情報を格納する対応関係格納手段、 所定のユーザからアクセスがなされた場合には、当該ユ
    ーザのユーザ特定情報から、対応する認証書を特定する
    認証書特定手段、 前記認証書特定手段によって特定された認証書から、当
    該ユーザが正規のユーザであるか否かを認証するユーザ
    認証手段、 として機能させることを特徴とするプログラム。
  2. 【請求項2】 前記対応関係格納手段は、1のユーザ
    と、1または2以上の認証書との対応関係を示す情報が
    格納されていることを特徴とする請求項1記載のプログ
    ラム。
  3. 【請求項3】 他の情報処理装置から送信されてきた情
    報から、ユーザを示す情報であるユーザ情報を抽出する
    ユーザ情報抽出手段、 他の情報処理装置から送信されてきた情報から、認証書
    を特定するための認証書特定情報を抽出する認証書特定
    情報抽出手段、 前記認証書特定情報を参照し、前記対応関係格納手段か
    ら対応するユーザ特定情報を取得するユーザ特定情報取
    得手段、 前記ユーザ特定情報と、前記ユーザ情報とを比較し、前
    記情報処理装置の正当性を認証する情報処理装置認証手
    段、 として更に機能させることを特徴とする請求項1記載の
    プログラム。
  4. 【請求項4】 他の情報処理装置のルート認証情報を格
    納したルート認証情報格納手段、 他の情報処理装置から送信されてきた情報から、ルート
    認証情報を取得するルート認証情報取得手段、 前記ルート認証情報によって取得されたルート認証情報
    と、前記ルート認証情報格納手段に格納されているルー
    ト認証情報とを比較し、ルートの正当性を認証するルー
    ト認証手段、 として更に機能させる請求項1記載のプログラム。
  5. 【請求項5】 前記ルート認証情報格納手段は、ルート
    認証情報を一方向関数で処理することによって得られた
    データを格納しており、 前記ルート認証手段は、前記ルート認証情報認証手段に
    よって取得されたルート認証情報を一方向関数によって
    処理し、得られたデータと、前記ルート認証情報格納手
    段に格納されている前記データとを比較することにより
    ルートの正当性を認証する、 ことを特徴とする請求項4記載のプログラム。
  6. 【請求項6】 他の情報処理装置の正当性を確認するた
    めの認証書を格納する認証書格納手段、 前記認証書格納手段に格納されている認証書の正当性を
    外部の機関に問い合わせる問い合わせ手段、 前記問い合わせ手段の前記外部の機関への問い合わせの
    周期を設定する問い合わせ周期設定手段、 として更に機能させる請求項1記載のプログラム。
  7. 【請求項7】 前記問い合わせ周期設定手段は、前記他
    の情報処理装置に係る業務の重要性に応じて周期を設定
    することを特徴とする請求項6記載のプログラム。
  8. 【請求項8】 他の情報処理装置との間でなされる処理
    をトランザクション単位でログとして格納するログ格納
    手段、 前記トランザクションに関連する認証書を特定するため
    の情報である認証書特定情報を、前記ログに関連付けて
    書き込む、認証書特定情報書き込み手段、 として機能させる請求項1記載のプログラム。
  9. 【請求項9】 前記認証書特定情報は、前記認証書を一
    方向関数によって処理して得られたデータであることを
    特徴とする請求項8記載のプログラム。
  10. 【請求項10】 ネットワークを介して他の情報処理装
    置との間で情報を授受する情報処理方法において、 ユーザを特定するためのユーザ特定情報の入力を受ける
    ユーザ特定情報入力ステップと、 前記ユーザの正当性を証明する認証書を取得する認証書
    取得ステップと、 前記ユーザ特定情報と、前記認証書との対応関係を示す
    情報を格納する対応関係格納ステップと、 所定のユーザからアクセスがなされた場合には、当該ユ
    ーザのユーザ特定情報から、対応する認証書を特定する
    認証書特定ステップと、 前記認証書特定ステップによって特定された認証書か
    ら、当該ユーザが正規のユーザであるか否かを認証する
    ユーザ認証ステップと、 を有することを特徴とする情報処理方法。
JP2001215026A 2001-07-16 2001-07-16 情報処理方法およびプログラム Withdrawn JP2003030145A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001215026A JP2003030145A (ja) 2001-07-16 2001-07-16 情報処理方法およびプログラム
US10/100,905 US20030014365A1 (en) 2001-07-16 2002-03-20 Information processing method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001215026A JP2003030145A (ja) 2001-07-16 2001-07-16 情報処理方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2003030145A true JP2003030145A (ja) 2003-01-31

Family

ID=19049741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001215026A Withdrawn JP2003030145A (ja) 2001-07-16 2001-07-16 情報処理方法およびプログラム

Country Status (2)

Country Link
US (1) US20030014365A1 (ja)
JP (1) JP2003030145A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005050308A (ja) * 2003-05-23 2005-02-24 Ind Technol Res Inst 個人認証デバイスとこのシステムおよび方法
JP2007280195A (ja) * 2006-04-10 2007-10-25 Pfu Ltd 内部統制システム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US8732457B2 (en) * 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US7353396B2 (en) 1995-10-02 2008-04-01 Corestreet, Ltd. Physical access control
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US7822989B2 (en) * 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US7600129B2 (en) 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US7657751B2 (en) * 2003-05-13 2010-02-02 Corestreet, Ltd. Efficient and secure data currentness systems
EP1636682A4 (en) * 2003-06-24 2009-04-29 Corestreet Ltd ACCESS CONTROL
EP1692596B1 (en) * 2003-11-19 2016-03-09 Assa Abloy Ab Distributed delegated path discovery and validation
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
US20050154879A1 (en) * 2004-01-09 2005-07-14 David Engberg Batch OCSP and batch distributed OCSP
US7631183B2 (en) * 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7886144B2 (en) * 2004-10-29 2011-02-08 Research In Motion Limited System and method for retrieving certificates associated with senders of digitally signed messages
EP2048851A3 (en) * 2004-10-29 2009-07-01 Research In Motion Limited System and Method for Verifying Revocation Status and/or retreciving Certificates Associated With Senders of Digitally Signed Messages
US7205882B2 (en) * 2004-11-10 2007-04-17 Corestreet, Ltd. Actuating a security system using a wireless device
FR2891101A1 (fr) * 2005-09-16 2007-03-23 Certimail Sa Procede de certification de transactions cryptees sur des systemes electroniques et dispositifs mettant en oeuvre le procede de certification
US8572697B2 (en) * 2011-11-18 2013-10-29 Blackridge Technology Holdings, Inc. Method for statistical object identification
US8064598B2 (en) * 2007-02-26 2011-11-22 Nokia Corporation Apparatus, method and computer program product providing enforcement of operator lock
EP2826384A1 (de) * 2013-07-16 2015-01-21 Evonik Industries AG Verfahren zur Trocknung von Biomasse

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408388B1 (en) * 1993-05-05 2002-06-18 Addison M. Fischer Personal date/time notary device
US5768519A (en) * 1996-01-18 1998-06-16 Microsoft Corporation Method and apparatus for merging user accounts from a source security domain into a target security domain
US6513116B1 (en) * 1997-05-16 2003-01-28 Liberate Technologies Security information acquisition
US7631188B2 (en) * 1997-05-16 2009-12-08 Tvworks, Llc Hierarchical open security information delegation and acquisition
US6438235B2 (en) * 1998-08-05 2002-08-20 Hewlett-Packard Company Media content protection utilizing public key cryptography
JP3904801B2 (ja) * 2000-04-21 2007-04-11 富士通株式会社 入会審査のための処理システムおよび方法
US20010034833A1 (en) * 2000-04-21 2001-10-25 Isao Yagasaki Certificating system for plurality of services and method thereof
JP3711324B2 (ja) * 2000-06-13 2005-11-02 株式会社日本統計事務センター 認証履歴証明システム及びその方法
US20020026578A1 (en) * 2000-08-22 2002-02-28 International Business Machines Corporation Secure usage of digital certificates and related keys on a security token
JP2002158650A (ja) * 2000-11-21 2002-05-31 Fujitsu Ltd 認証・暗号化処理代行用のサーバ、アクセスカード、プログラム記録媒体及び携帯端末
US7185197B2 (en) * 2000-12-08 2007-02-27 Itt Manufacturing Enterprises, Inc. Method and apparatus to facilitate secure network communications with a voice responsive network interface device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005050308A (ja) * 2003-05-23 2005-02-24 Ind Technol Res Inst 個人認証デバイスとこのシステムおよび方法
JP2007280195A (ja) * 2006-04-10 2007-10-25 Pfu Ltd 内部統制システム

Also Published As

Publication number Publication date
US20030014365A1 (en) 2003-01-16

Similar Documents

Publication Publication Date Title
JP2003030145A (ja) 情報処理方法およびプログラム
US11924358B2 (en) Method for issuing digital certificate, digital certificate issuing center, and medium
US12256028B2 (en) Cross chain access granting to applications
US12512993B2 (en) Verifier credential determination by a registrant
US7454421B2 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP5614340B2 (ja) システム、認証情報管理方法、およびプログラム
US6898707B1 (en) Integrating a digital signature service into a database
JP6255858B2 (ja) システム及びサービス提供装置
US20190220624A1 (en) Method and server for providing notary service for file and verifying file recorded by notary service
US20070245414A1 (en) Proxy Authentication and Indirect Certificate Chaining
US20120036365A1 (en) Combining request-dependent metadata with media content
US7100045B2 (en) System, method, and program for ensuring originality
US20240146523A1 (en) Access control using a blockchain identity and policy based authorization
GB2565411A (en) Improved hardware security module management
US20100146290A1 (en) Token caching in trust chain processing
US10389693B2 (en) Keys for encrypted disk partitions
CN114422258A (zh) 一种基于多认证协议的单点登录方法、介质及电子设备
JP4790574B2 (ja) 複数の認証書を管理する装置および方法
JP2008118412A (ja) 情報処理装置、制御プログラム、情報処理システム
JP4818664B2 (ja) 機器情報送信方法、機器情報送信装置、機器情報送信プログラム
RU2430412C2 (ru) Услуга определения, был ли аннулирован цифровой сертификат
CN118278537A (zh) 使用非同质化通证的人工智能内容生成控制
US10033535B2 (en) Multifaceted assertion directory system
JP2012079231A (ja) 認証情報管理装置および認証情報管理方法
JP2008509591A (ja) 電子取引の明細に関するプライバシを保護する取引認証方法および取引認証システム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20081007