[go: up one dir, main page]

JP2005267520A - Certificate mutual authentication system and certificate mutual authentication method - Google Patents

Certificate mutual authentication system and certificate mutual authentication method Download PDF

Info

Publication number
JP2005267520A
JP2005267520A JP2004082419A JP2004082419A JP2005267520A JP 2005267520 A JP2005267520 A JP 2005267520A JP 2004082419 A JP2004082419 A JP 2004082419A JP 2004082419 A JP2004082419 A JP 2004082419A JP 2005267520 A JP2005267520 A JP 2005267520A
Authority
JP
Japan
Prior art keywords
client
server
certificate
communication path
certificates
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004082419A
Other languages
Japanese (ja)
Other versions
JP4601979B2 (en
Inventor
Masahiro Watanabe
昌寛 渡邉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Comware Corp
Original Assignee
NTT Comware Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Comware Corp filed Critical NTT Comware Corp
Priority to JP2004082419A priority Critical patent/JP4601979B2/en
Publication of JP2005267520A publication Critical patent/JP2005267520A/en
Application granted granted Critical
Publication of JP4601979B2 publication Critical patent/JP4601979B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】 一度の通信路確立処理で複数の証明書の相互認証を可能とし、通信路を確立するための時間及び計算機資源の増加を抑制でき、また、通信路の管理コストの増加を抑制できる、証明書相互認証システム提供する。
【解決手段】 通信路確立要求者なるクライアント101は、サーバ201に通信路確立要求を送信し、サーバから複数の種類の証明書を受信する。そして、サーバ201から受信した複数の証明書を認証し、サーバ201に複数の種類のクライアント証明書を送信する。サーバ201では、クライアント101から受信した複数の証明書を認証し、クライアント101に通信路確立通知を送信する。
【選択図】 図1PROBLEM TO BE SOLVED: To enable mutual authentication of a plurality of certificates by a single communication path establishment process, to suppress an increase in time and computer resources for establishing a communication path, and to suppress an increase in communication path management cost. Provide certificate mutual authentication system.
A client 101 serving as a communication path establishment requester transmits a communication path establishment request to a server 201 and receives a plurality of types of certificates from the server. The plurality of certificates received from the server 201 are authenticated, and a plurality of types of client certificates are transmitted to the server 201. The server 201 authenticates a plurality of certificates received from the client 101 and transmits a communication path establishment notification to the client 101.
[Selection] Figure 1

Description

本発明は、一度の通信路確立処理の過程で、複数の証明書の相互認証を可能とする、証明書相互認証システム、及び証明書相互認証方法に関する。   The present invention relates to a certificate mutual authentication system and a certificate mutual authentication method that enable mutual authentication of a plurality of certificates in the course of a single communication path establishment process.

図6に、従来のクライアントとサーバの認証の手順を示す。図6において、最初に、クライアント101aはサーバ(サーバ内で実行されている1つのアプリケーション)201aに対して通信路確立の要求を送信する(ステップS201)。サーバ201aは要求に応答すると共に、証明書連鎖(証明書、暗号鍵情報などを含む認証プロセスに必要な一連の情報)を1つ送り、また、「サーバが認証可能な認証局の識別名(DistinguishedName)のリスト」をクライアント101aに送信する(ステップS202)。なお、本発明では、証明書連鎖のことを、単に「証明書」ともいう。   FIG. 6 shows a conventional client / server authentication procedure. In FIG. 6, first, the client 101a transmits a communication path establishment request to the server (one application executed in the server) 201a (step S201). The server 201a responds to the request and sends one certificate chain (a series of information necessary for an authentication process including a certificate and encryption key information). DistinguishedName) "is sent to the client 101a (step S202). In the present invention, the certificate chain is also simply referred to as “certificate”.

クライアント101aは、サーバ201aからサーバ側の証明書を1つ受信し、受信した証明書の確認(検証)を行い、DistinguishedNameリスト中の認証局から認証されたクライアント側の証明書を1つサーバ201aに送信する(ステップS203)。   The client 101a receives one server-side certificate from the server 201a, confirms (verifies) the received certificate, and receives one client-side certificate authenticated from the certificate authority in the DistinguishedName list. (Step S203).

サーバ201aは、クライアント101aから受信した1つのクライアント側の証明書の確認(認証)を行う、認証が正常に行われると、サーバ201aはクライアント101aに対して、通信路確立終了通知を送信する(ステップS204)。   The server 201a confirms (authenticates) one client-side certificate received from the client 101a. When the authentication is normally performed, the server 201a transmits a communication path establishment end notification to the client 101a ( Step S204).

その後、クライアント101aとサーバ201a間でデータの通信が行われる(ステップS205)。なお、クライアント101aがサーバ201aから要求された証明書を提示できない場合、あるいはお互いの証明書の検証に失敗した場合は、通信路は確立されない。   Thereafter, data communication is performed between the client 101a and the server 201a (step S205). Note that if the client 101a cannot present the certificate requested from the server 201a, or if the verification of each other's certificate fails, the communication path is not established.

ところで、1つのサーバ201a内で異なる複数のアプリケーション(例えば、英会話スクールと、英会話教材シップのサイト、書籍ショップのサイトなど)が運用されている場合に、これらの複数のアプリケーションにアクセスする場合に、図6に示した従来の方法では、クライアント101aとサーバ201a間では、1つのアプリケーションについて1つずつの証明書で相互認証された安全な通信路を確立する。複数のアプリケーションにアクセスする場合には、これを複数回繰り返し複数本の通信路を確立する必要がある。このため、複数回の通信路確立処理を行うための処理時間が必要となり、また、そのための計算機資源が必要になる。   By the way, when a plurality of different applications (for example, an English conversation school, an English conversation teaching material ship site, a book shop site, etc.) are operated in one server 201a, when accessing these multiple applications, In the conventional method shown in FIG. 6, a secure communication path is established between the client 101a and the server 201a that is mutually authenticated with one certificate for each application. When accessing a plurality of applications, it is necessary to establish a plurality of communication paths by repeating this a plurality of times. For this reason, a processing time for performing the communication path establishment process a plurality of times is required, and a computer resource for that is required.

また、複数本の通信路を持つため、その通信路の管理コストがかかる。管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。   Further, since there are a plurality of communication paths, the management cost of the communication paths is incurred. The management cost includes computer resources necessary for communication channel maintenance and communication, processing necessary for changing the status such as communication channel disconnection and reconnection, and the like.

従って、1つのサーバ内に異なるアプリケーション(例えば、英会話スクール、教材シップ、書籍ショップなどのサイト)が運用されている場合には、複数の証明書の認証が一度に行え、かつ1つの通信路の確立で相互認証を行えるシステムに提供が望まれていた。   Therefore, when different applications (for example, sites such as English conversation school, teaching material ship, book shop, etc.) are operated in one server, multiple certificates can be authenticated at one time and one communication path can be used. It was desired to provide a system that can establish mutual authentication.

また、現在は、Webブラウザを使用した電子商取引の電子決裁などに、TLS(Transport Layer Security)プロトコルが一般的に広く利用されている。TLSは、インターネット上で情報を暗号化して送受信するプロトコルであり、TLSは公開鍵暗号、秘密鍵暗号、デジタル証明書を用い、データの盗聴や改ざん、なりすましを防ぐことができ、RFC−2246としてIETFで標準化されている(例えば、非特許文献1参照)。   At present, a TLS (Transport Layer Security) protocol is generally widely used for electronic approval of electronic commerce using a Web browser. TLS is a protocol that encrypts and transmits information on the Internet. TLS uses public key encryption, private key encryption, and digital certificates, and can prevent data eavesdropping, falsification, and impersonation. RFC-2246 It is standardized by IETF (for example, see Non-Patent Document 1).

TLSプロトコルを用いたアプリケーションにおいて、複数の証明書を一度に認証しようとすると、次のような問題があり動作しない。   In an application using the TLS protocol, if an attempt is made to authenticate a plurality of certificates at the same time, there will be the following problem and the operation will not be performed.

TLSプロトコルでは、その通信内容のプロトコルが仕様として明確に定められているために、仕様と異なるデータフォーマットを送信した場合、通信規約エラーとなり通信路は確立されない。したがって、複数の証明書の送信は、TLSプロトコルでは定められていないデータフォーマットであるため、通信規約エラーとなり通信路は確立されない。   In the TLS protocol, the protocol of the communication content is clearly defined as a specification. Therefore, when a data format different from the specification is transmitted, a communication protocol error occurs and the communication path is not established. Therefore, since the transmission of a plurality of certificates is in a data format not defined by the TLS protocol, a communication protocol error occurs and a communication path is not established.

また、ネットワークで接続された2台以上の計算機(以降これらの計算機をピアと呼ぶ)の間で複数の証明書による認証を可能とする安全な通信路を確立する必要がある場合が存在する。例えば次のような、ピアツーピア方式で接続された複数のピア上で、異なる証明書の認証を必要とするアプリケーションが異なるピア上で複数の動作している場合である。   In addition, there is a case where it is necessary to establish a secure communication path that enables authentication using a plurality of certificates between two or more computers (hereinafter referred to as peers) connected via a network. For example, this is a case where applications that require authentication of different certificates are operating on different peers on a plurality of peers connected in a peer-to-peer manner as follows.

ビアAで教育アプリケーションが動作し、ピアBで業務アプリケーションが動作しているものとする.ビアA、Bのユーザが教育アプリケーションおよび業務アプリケーションを同時に利用する。   It is assumed that an educational application is running on via A and a business application is running on peer B. Users of vias A and B use educational applications and business applications simultaneously.

この場合ピアAの教育アプリケーションでは、ビアAが発行した証明書に基づきピアAおよびピアBが相互認証を行い、ピアBの業務アプリケーションでは、ビアBが発行した証明書に基づきピアAおよびピアBが相互認証を行う。   In this case, in the peer A education application, peer A and peer B perform mutual authentication based on the certificate issued by via A, and in the business application of peer B, peer A and peer B based on the certificate issued by via B. Performs mutual authentication.

このような場合に、TLSプロトコルを使用して、サーバのプログラムを記述する場合には、認証を必要とする各アプリケーションごとに通信路を確立する必要があり、その処理に時間がかかる、また、確立された通信路を管理(通信路を記憶するためのメモリ管理や、再接続の処理等)するプログラムの記述が煩雑になる。
The TLS Protocol Version 1.0 (http://www.ietf.org/rfc/rfc2246.txt:2004年2月26日現在) In such a case, when describing a server program using the TLS protocol, it is necessary to establish a communication path for each application that requires authentication, and the processing takes time. Description of a program for managing the established communication path (memory management for storing the communication path, reconnection processing, etc.) becomes complicated.
The TLS Protocol Version 1.0 (http://www.ietf.org/rfc/rfc2246.txt: as of February 26, 2004)

本発明は、このような問題を解決するためになされたもので、その目的は、一度の通信路確立処理で複数の証明書の相互認証を可能とし、通信路を確立するための時間及び計算機資源の増加を抑制でき、また、通信路の管理コストの増加を抑制できる、証明書相互認証システム、及び証明書相互認証方法を提供することにある。   The present invention has been made to solve such a problem, and an object of the present invention is to enable mutual authentication of a plurality of certificates by a single communication path establishment process, and to establish time and a computer for establishing a communication path. An object of the present invention is to provide a certificate mutual authentication system and a certificate mutual authentication method capable of suppressing an increase in resources and suppressing an increase in communication path management cost.

本発明は、上記課題を解決するためになされたものであり、本発明の証明書相互認証システムは、通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証システムであって、前記クライアントには、前記サーバに通信路確立要求を送信する通信路確立要求手段と、前記サーバから複数の証明書を受信するサーバ証明書受信手段と、前記サーバから受信した複数の証明書を認証するサーバ証明書認証手段と、前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手段と、クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手段とを備え、前記サーバには、前記クライアントから通信路確立要求を受信する通信路確立要求受信手段と、前記クライアントに複数の証明書を送信するサーバ証明書送信手段と、前記クライアントから複数の証明書を受信するクライアント証明書受信手段と、前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手段と、クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手段とを備えることを特徴とする。
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源を抑えることができる。また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The present invention has been made to solve the above problems, and the certificate mutual authentication system of the present invention includes a client that makes a communication path establishment request and a server that responds to the communication path establishment request from the client. A certificate mutual authentication system for performing mutual authentication of a plurality of certificates, wherein the client receives communication path establishment request means for transmitting a communication path establishment request to the server, and receives a plurality of certificates from the server. Server certificate receiving means, server certificate authentication means for authenticating a plurality of certificates received from the server, and transmitting a plurality of certificates to the server after authenticating the plurality of certificates received from the server A client certificate transmission means for receiving a communication path establishment notification from the server when the certificate transmitted from the client is authenticated by the server. Path establishment notification receiving means, and the server includes a communication path establishment request receiving means for receiving a communication path establishment request from the client, a server certificate transmission means for transmitting a plurality of certificates to the client, A client certificate receiving means for receiving a plurality of certificates from the client; a client certificate authenticating means for authenticating the plurality of certificates received from the client; and a communication channel after authenticating the plurality of certificates received from the client. And a communication path establishment notification transmitting means for transmitting the establishment notification to the client.
As a result, mutual authentication of a plurality of certificates can be performed by a single communication path establishment process, so that time and computer resources for establishing a communication path can be reduced as compared with the conventional communication path establishment method. In addition, since mutual authentication of a plurality of certificates can be performed with one communication path, the management cost of the communication path can be reduced as compared with the conventional case. The management cost includes computer resources necessary for communication channel maintenance and communication, processing necessary for changing the status such as communication channel disconnection and reconnection, and the like.

また、本発明の証明書相互認証システムは、前記クライアントには、通信路確立要求先に応じて、送信する証明書を選択するクライアント証明書選択手段を備え、前記サーバには、通信路確立要求元に応じて、送信する証明書を選択するサーバ証明書選択手段を備えることを特徴とする。
これにより、クライアント側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアントのプライバシーを保護することができる。また、サーバ側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバのプライバシーを保護することができる。また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。 In the certificate mutual authentication system of the present invention, the client includes client certificate selection means for selecting a certificate to be transmitted according to a communication path establishment request destination, and the server includes a communication path establishment request. Server certificate selecting means for selecting a certificate to be transmitted according to the source is provided.
Accordingly, it is possible to prevent the client information in the certificate from being unnecessarily grasped using the certificate transmitted from the client side as a clue, and thus it is possible to protect the privacy of the client. Further, since it is possible to prevent the server information in the certificate from being unnecessarily grasped using the certificate transmitted from the server side as a clue, the privacy of the server can be protected. In addition, the time required for certificate confirmation can be shortened by not transmitting a certificate unnecessary for session establishment.

また、本発明の証明書相互認証方法は、通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証方法であって、前記クライアントにより、前記サーバに通信路確立要求を送信する通信路確立要求手順と、前記サーバから複数の証明書を受信するサーバ証明書受信手順と、前記サーバから受信した複数の証明書を認証するサーバ証明書認証手順と、前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手順と、クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手順とが行われ、前記サーバにより、前記クライアントから通信路確立要求を受信する通信路確立要求受信手順と、前記クライアントに複数の証明書を送信するサーバ証明書送信手順と、前記クライアントから複数の証明書を受信するクライアント証明書受信手順と、前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手順と、クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手順とが行われることを特徴とする。
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源を抑えることができる。また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 The certificate mutual authentication method of the present invention is a certificate mutual authentication method in which a plurality of certificates are mutually authenticated by a client that makes a communication path establishment request and a server that responds to the communication path establishment request from the client. A communication channel establishment request procedure for transmitting a communication channel establishment request to the server by the client; a server certificate reception procedure for receiving a plurality of certificates from the server; and a plurality of certificates received from the server. A server certificate authentication procedure for authenticating a certificate, a client certificate transmission procedure for transmitting a plurality of certificates to the server after authenticating a plurality of certificates received from the server, and a certificate transmitted from a client When authenticated by the server, a communication path establishment notification receiving procedure for receiving a communication path establishment notification from the server is performed. A communication channel establishment request reception procedure for receiving a communication channel establishment request from a client, a server certificate transmission procedure for transmitting a plurality of certificates to the client, and a client certificate reception procedure for receiving a plurality of certificates from the client; A client certificate authentication procedure for authenticating a plurality of certificates received from the client, and a communication channel establishment notification transmission procedure for transmitting a communication channel establishment notification to the client after authenticating the plurality of certificates received from the client. It is performed.
As a result, mutual authentication of a plurality of certificates can be performed by a single communication path establishment process, so that time and computer resources for establishing a communication path can be reduced as compared with the conventional communication path establishment method. In addition, since mutual authentication of a plurality of certificates can be performed with one communication path, the management cost of the communication path can be reduced as compared with the conventional case. The management cost includes computer resources necessary for communication channel maintenance and communication, processing necessary for changing the status such as communication channel disconnection and reconnection, and the like.

本発明の証明書相互認証システムにおいては、通信路確立要求者なるクライアントは、サーバに通信路確立要求を送信し、サーバから複数の証明書を受信する。そして、サーバから受信した複数の証明書を認証し、サーバに複数の種類のクライアント証明書を送信する。サーバでは、クライアントから受信した複数の証明書を認証し、クライアントに通信路確立通知を送信する。
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立手段よりも、通信路を確立するための時間及び計算機資源を抑えることができる。また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 In the certificate mutual authentication system of the present invention, a client as a communication channel establishment requester transmits a communication channel establishment request to the server and receives a plurality of certificates from the server. Then, the plurality of certificates received from the server are authenticated, and a plurality of types of client certificates are transmitted to the server. The server authenticates a plurality of certificates received from the client and transmits a communication path establishment notification to the client.
As a result, mutual authentication of a plurality of certificates can be performed by a single communication path establishment process, so that time and computer resources for establishing a communication path can be reduced as compared with conventional communication path establishment means. In addition, since mutual authentication of a plurality of certificates can be performed with one communication path, the management cost of the communication path can be reduced as compared with the conventional case. The management cost includes computer resources necessary for communication channel maintenance and communication, processing necessary for changing the status such as communication channel disconnection and reconnection, and the like.

また、本発明の証明書相互認証システムにおいては、クライアントは、通信路確立要求先に応じて、送信するクライアントの証明書を選択する。また、サーバは、通信路確立要求元に応じて、送信する証明書を選択する。
これにより、クライアント側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアントのプライバシーを保護することができる。また、サーバ側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバのプライバシーを保護することができる。また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。 In the certificate mutual authentication system of the present invention, the client selects the certificate of the client to be transmitted according to the communication path establishment request destination. Further, the server selects a certificate to be transmitted according to the communication path establishment request source.
Accordingly, it is possible to prevent the client information in the certificate from being unnecessarily grasped using the certificate transmitted from the client side as a clue, and thus it is possible to protect the privacy of the client. Further, since it is possible to prevent the server information in the certificate from being unnecessarily grasped using the certificate transmitted from the server side as a clue, the privacy of the server can be protected. In addition, the time required for certificate confirmation can be shortened by not transmitting a certificate unnecessary for session establishment.

また、本発明の証明書相互認証方法においては、通信路確立要求者なるクライアントは、サーバに通信路確立要求を送信し、サーバから複数の証明書を受信する。そして、サーバから受信した複数の証明書を認証し、サーバに複数の種類のクライアント証明書を送信する。サーバでは、クライアントから受信した複数の証明書を認証し、クライアントに通信路確立通知を送信する。
これにより、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立手段よりも、通信路を確立するための時間及び計算機資源を抑えることができる。また、1本の通信路で複数の証明書の相互認証を可能としたため、従来に比べて、その通信路の管理コストを抑えることができる。管理コストとは、通信路の保持および通信に必要な計算機資源や通信路の切断や再接続などの状況変化に必要な処理などである。 In the certificate mutual authentication method of the present invention, a client as a communication channel establishment requester transmits a communication channel establishment request to the server and receives a plurality of certificates from the server. Then, the plurality of certificates received from the server are authenticated, and a plurality of types of client certificates are transmitted to the server. The server authenticates a plurality of certificates received from the client and transmits a communication path establishment notification to the client.
As a result, mutual authentication of a plurality of certificates can be performed by a single communication path establishment process, so that time and computer resources for establishing a communication path can be reduced as compared with conventional communication path establishment means. In addition, since mutual authentication of a plurality of certificates can be performed with one communication path, the management cost of the communication path can be reduced as compared with the conventional case. The management cost includes computer resources necessary for communication channel maintenance and communication, processing necessary for changing the status such as communication channel disconnection and reconnection, and the like.

次に本発明を実施するための最良の形態について図面を参照して説明する。
図1は、本発明の証明書相互認証システムについて説明するための図である。図1において、通信路確立要求者であるクライアント101と、通信路確立要求に応答するサーバ201とが通信ネットワーク1で接続されており、サーバ201上で複数のアプリケーションA、B、C(例えば、英会話スクール、英会話教材ショップ、書籍ショップのサイトなど)が運用されている例である。 Next, the best mode for carrying out the present invention will be described with reference to the drawings.
FIG. 1 is a diagram for explaining a certificate mutual authentication system of the present invention. In FIG. 1, a client 101 that is a communication path establishment requester and a server 201 that responds to a communication path establishment request are connected by a communication network 1, and a plurality of applications A, B, and C (for example, An English conversation school, an English conversation teaching material shop, a book shop site, etc.) are in operation.

このような場合に、クライアント101が、サーバ201内の複数のアプリケーションA、B、Cにアクセスするためには、従来は、「アプリケーションAの証明書(サーバ側)」と「アプリケーションA用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理、「アプリケーションBの証明書(サーバ側)」と「アプリケーションB用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理、「アプリケーションCの証明書(サーバ側)」と「アプリケーションC用のクライアントの証明書(クライアント側)」の相互認証による通信路確立処理が、個々に必要であった。このため、複数回の通信路確立処理を行うための処理時間が必要となり、また、そのための計算機資源が必要になっていた。   In such a case, in order for the client 101 to access the plurality of applications A, B, and C in the server 201, conventionally, the “application A certificate (server side)” and the “application A client” Establishing the communication path by mutual authentication of the "certificate of the certificate (client side)" and establishing the communication path by the mutual authentication of the "application B certificate (server side)" and "the certificate of the client for the application B (client side)" Processing, a communication path establishment process by mutual authentication of “application C certificate (server side)” and “client certificate for application C (client side)” was individually required. For this reason, a processing time for performing the communication path establishment processing a plurality of times is required, and a computer resource for that is required.

本発明の証明書相互認証システムでは、クライアント101からサーバ201に通信路確立要求があった場合に、サーバ201からクライアント101に、複数の証明書(アプリケーションAの証明書、アプリケーションBの証明書、アプリケーションCの証明書)を一度に送る。また、クライアント101からサーバ201に、複数の証明書(アプリケーションA用のクライアントの証明書、アプリケーションB用のクライアントの証明書、アプリケーションC用のクライアントの証明書)を一度に送り、複数の証明書の相互認証を一度で行う。   In the certificate mutual authentication system of the present invention, when there is a communication path establishment request from the client 101 to the server 201, a plurality of certificates (application A certificate, application B certificate, Application C certificate) is sent at once. Further, a plurality of certificates (a client certificate for application A, a client certificate for application B, and a client certificate for application C) are sent from the client 101 to the server 201 at a time. Mutual authentication of at once.

図2に、本発明の証明書相互認証システムにおける認証の手順を示す。図2は、複数の証明書で相互認証された通信路を確立する方法の概要を示す図である。ただし、証明書および認証の概要を示しており、公開鍵方式による暗号鍵交換などのシーケンスは省略している。   FIG. 2 shows an authentication procedure in the certificate mutual authentication system of the present invention. FIG. 2 is a diagram showing an outline of a method for establishing a communication path mutually authenticated by a plurality of certificates. However, the outline of the certificate and authentication is shown, and the sequence such as the encryption key exchange by the public key method is omitted.

また、サーバ201には、複数のアプリケーション(例えば、英会話スクールと、英会話教材ショップ、書籍ショップのサイトなど)が運用されており、それぞれに、認証用の証明書が用意されているものとする。   In addition, it is assumed that a plurality of applications (for example, English conversation school, English conversation teaching material shop, book shop site, etc.) are operated on the server 201, and a certificate for authentication is prepared for each.

最初に、クライアント101はサーバ201に通信路確立の要求を送信する(ステップS101)。サーバ201は通信路確立要求に応答すると共に、「証明書連鎖(証明書、暗号鍵情報、証明局に関連する情報などを含む認証プロセスに必要な一連の情報、単に「証明書」ともいう)」をクライアント101に送信する。この時、送信する証明書は複数でも構わない。送るデータは証明書の数、それに続き証明書をその数だけ送信する。また、サーバ201が認証可能な「認証局の識別名(DistinguishedName)のリスト」をクライアント101に送信する。さらに、クライアント証明書(複数の候補)の送信を要求する(ステップS102)。   First, the client 101 transmits a communication path establishment request to the server 201 (step S101). The server 201 responds to the communication path establishment request, and “certificate chain (a series of information necessary for an authentication process including a certificate, encryption key information, information related to a certificate authority, etc., simply referred to as“ certificate ”). Is transmitted to the client 101. At this time, a plurality of certificates may be transmitted. The data to be sent is the number of certificates, followed by that number of certificates. Also, the server 201 transmits to the client 101 a “list of certificate authority identification names (DistinguishedName)” that can be authenticated. Further, it requests transmission of a client certificate (a plurality of candidates) (step S102).

クライアント101はサーバ201から、証明書の数の情報を受信し、その後、証明書の数だけ証明書を受信する。受信したすべてのサーバ証明書を公開鍵暗号処理方式により確認(検証)を行う。なお、この場合に、クライアント101は自分のアクセスの対象となるアプリケーションについての証明書がどうかに係わらず、すべての証明書について検証を行う。   The client 101 receives information on the number of certificates from the server 201, and then receives certificates for the number of certificates. All received server certificates are confirmed (verified) by public key cryptography. In this case, the client 101 verifies all the certificates regardless of whether or not there is a certificate for the application to be accessed.

次に、サーバ201から受信した「DistinguishedNameリスト」中の認証局から認証された証明書をサーバ201に送信する(ステップS103)。このとき送信する証明書は複数でも構わない。送信するデータは、証明書の数、それに続く証明書をその数だけ送信する。例えば、2つのアプリケーションにアクセスする場合には、2つの証明書をサーバ201に送信する。   Next, the certificate authenticated from the certificate authority in the “DistinguishedName list” received from the server 201 is transmitted to the server 201 (step S103). A plurality of certificates may be transmitted at this time. As for the data to be transmitted, the number of certificates and the number of subsequent certificates are transmitted. For example, when accessing two applications, two certificates are transmitted to the server 201.

サーバ201はクライアント101から証明書の数を受信し、その後その数だけ証明書を受信する。受信した全てのクライアント101の証明書の検証を行い、認証に成功した場合には、通信路確立通知をクライアント101へ送信する(ステップS104)。   The server 201 receives the number of certificates from the client 101, and then receives the same number of certificates. The certificates of all the received clients 101 are verified, and if authentication is successful, a communication path establishment notification is transmitted to the clients 101 (step S104).

その後、クライアント101、サーバ201間でデータの通信を行う(ステップS105)。なお、クライアント101がサーバ201から要求された証明書を提示できない場合、お互いの証明書の検証に1つでも失敗した場合は、通信路は確立されない。また、ステップS102およびステップS103で受信した証明書の数だけ証明書を受信できない場合も、通信路は確立されない。   Thereafter, data communication is performed between the client 101 and the server 201 (step S105). Note that if the client 101 cannot present the certificate requested by the server 201, or if even one of the certificates fails, the communication path is not established. In addition, a communication path is not established even when certificates cannot be received by the number of certificates received in steps S102 and S103.

なお、上述したように、本例ではサーバ201およびクライアント101で複数の証明書の検証を行い、検証中に、その1つの証明書でも検証に失敗すると、以下の理由により通信路の確立は行わないものとしている。   As described above, in this example, a plurality of certificates are verified by the server 201 and the client 101, and if verification fails even for one of the certificates during the verification, the communication path is established for the following reason. Not supposed to be.

1つの通信路により複数の認証を行っているため、その1つに検証失敗したものが存在すると、他の認証結果を利用した不正な通信が行われる恐れがあるため。また、他の方法として検証失敗したものを除いた通信路の確立を実現するという方法もあるが、お互いが想定した証明書で認証できない場合通信路の確立自体を失敗とした方が自然なこと、プロトコルが煩雑になることの理由によりその方法は採用していないが、もちろん、検証失敗したものを除いた通信路の確立を実現するようにしてもよい。   Since a plurality of authentications are performed by one communication path, if one of the verifications fails, there is a possibility that unauthorized communication using another authentication result may be performed. In addition, there is a method to establish a communication path excluding those that failed verification, but if it is not possible to authenticate with each other's assumed certificate, it is more natural to fail the communication path establishment itself Although the method is not adopted due to the complexity of the protocol, it is of course possible to establish a communication path excluding the verification failure.

また、クライアント101、サーバ201間で通信路が確立し、データの通信を行う場合には、セキュリティポリシー(セキュリティ基準)に従い通信を行うことができる。図3はセキュリティポリシー(セキュリティ基準)テーブルの例を示す図であり、このセキュリティポリシーテーブルの情報に基づいて、そのアクセス元に応じて、アクセス可能な範囲が制限される。例えば、ユーザAにレベル1(最もセキュリティレベルが低い)、ユーザBにレベル2(セキュリティレベル中)、ユーザCにレベル3(最もセキュリティレベルが高い)を設定し、対象となるファイルがレベル2のファイルである場合には、そのファイルに設定されたレベル以上のユーザBとユーザCのみが閲覧できるようにした例である。   Further, when a communication path is established between the client 101 and the server 201 and data communication is performed, communication can be performed according to a security policy (security standard). FIG. 3 is a diagram showing an example of a security policy (security standard) table. Based on the information in the security policy table, the accessible range is limited according to the access source. For example, level 1 (lowest security level) is set for user A, level 2 (medium security level) is set for user B, level 3 (highest security level) is set for user C, and the target file is level 2 In the case of a file, this is an example in which only the user B and the user C who are higher than the level set in the file can be viewed.

また、クライアント101側およびサーバ201側のそれぞれで利用する証明書を動的に選択するようにもできる。例えば、図4に示す証明書選択テーブルの情報を参照して、クライアント101側では、アクセス先(IPアドレス)ごとに必要な利用証明書を選択し、サーバ201側では、要求元(ユーザのIPアドレス)ごとに送信する利用証明書を選択できるようにする。   In addition, it is possible to dynamically select a certificate to be used on each of the client 101 side and the server 201 side. For example, referring to the information in the certificate selection table shown in FIG. 4, the client 101 side selects a required usage certificate for each access destination (IP address), and the server 201 side selects the request source (user IP address). It is possible to select a usage certificate to be sent for each (address).

例えば、図4(a)において、クライアント101側から「英会話スクール」にアクセスする場合には、クライアント101側からサーバ201側に、英会話スクールに対する証明書だけを送る。また、「会社A」にアクセスする場合には、英会話スクールに対する証明書と、会社Aに対する証明書と、書籍ショップに対する証明書の3つの証明書を送信する。   For example, in FIG. 4A, when accessing the “English conversation school” from the client 101 side, only the certificate for the English conversation school is sent from the client 101 side to the server 201 side. When accessing “Company A”, three certificates are transmitted: a certificate for the English conversation school, a certificate for the company A, and a certificate for the book shop.

また、図4(b)に示すように、サーバ201側において、IPアドレス(111.aaa.bbb.ccc)の要求元から通信路確立要求があった場合には、英会話スクールの証明書だけを送信する。また、IPアドレス(111.bbb.ccc.aaa)の要求元から通信路確立要求があった場合には、英会話スクールの証明書と、会社Aの証明書と、書籍ショップの証明書の3つの証明書を送信する。   As shown in FIG. 4 (b), when the server 201 receives a communication path establishment request from the requester of the IP address (111.aaa.bbb.ccc), only the English conversation school certificate is obtained. Send. If there is a communication path establishment request from the requester of the IP address (111.bbb.ccc.aaa), there are three certificates: an English conversation school certificate, a company A certificate, and a book shop certificate. Send a certificate.

これにより、クライアント101側から送信した証明書を手がかりに、証明書中のクライアント情報について必要以上に把握されてしまうことを防止することができるので、クライアント101のプライバシーを保護することができる。またサーバ201側から送信した証明書を手がかりに、証明書中のサーバ情報について必要以上に把握されてしまうことを防止することができるので、サーバ201のプライバシーを保護することができる。また、セッション確立に不要な証明書を送信しないことによって、証明書確認にかかる時間を短縮できる。   As a result, it is possible to prevent the client information in the certificate from being unnecessarily grasped by using the certificate transmitted from the client 101 as a clue, so that the privacy of the client 101 can be protected. Further, since it is possible to prevent the server information in the certificate from being unnecessarily grasped using the certificate transmitted from the server 201 side, the privacy of the server 201 can be protected. In addition, the time required for certificate confirmation can be shortened by not transmitting a certificate unnecessary for session establishment.

なお、以上説明した本発明の実施の形態においては、通信路確立要求者としてのクライアント101と通信路確立要求に応答するサーバ201の例を示したが、クライアント101は、サーバであってもよいし、さらに、クライアント101およびサーバ201がピアであってもよい。また、クライアント101およびサーバ201から送信する証明書の数は常に複数である必要はなく、1つの場合も有り得ることは勿論である。   In the above-described embodiment of the present invention, the client 101 as the communication path establishment requester and the server 201 that responds to the communication path establishment request are shown. However, the client 101 may be a server. Further, the client 101 and the server 201 may be peers. In addition, the number of certificates transmitted from the client 101 and the server 201 does not always need to be plural, and it goes without saying that there may be one.

また、図5は、クライアントとサーバの構成例を示す図であり、本発明に直接関係するものについて示したものである。   FIG. 5 is a diagram showing a configuration example of the client and the server, and shows what is directly related to the present invention.

クライアント101は、クライアント全体を制御する制御部102、通信ネットワーク1とクライアント101を接続する通信用インタフェース103、処理プログラム部110、及び記憶部120を有している。   The client 101 includes a control unit 102 that controls the entire client, a communication interface 103 that connects the communication network 1 and the client 101, a processing program unit 110, and a storage unit 120.

また、処理プログラム部110には、以下の処理部が含まれている。
通信路確立要求処理部(通信路確立要求手段)111は、サーバ201に通信路確立要求を送信する処理を行う。 The processing program unit 110 includes the following processing units.
The communication path establishment request processing unit (communication path establishment request unit) 111 performs processing for transmitting a communication path establishment request to the server 201.

サーバ証明書受信処理部(サーバ証明書受信手段)112は、サーバ201から複数の種類の証明書を受信する処理を行う。   The server certificate reception processing unit (server certificate reception unit) 112 performs processing for receiving a plurality of types of certificates from the server 201.

サーバ証明書認証処理部(サーバ証明書認証手段)113は、サーバ201から受信した証明書を認証する処理を行う。   A server certificate authentication processing unit (server certificate authentication means) 113 performs processing for authenticating a certificate received from the server 201.

クライアント証明書送信処理部(クライアント証明書送信手段)114は、サーバ201に複数のクライアントの証明書を送信する処理を行う。   A client certificate transmission processing unit (client certificate transmission unit) 114 performs processing for transmitting a plurality of client certificates to the server 201.

通信路確立通知受信処理部(通信路確立通知受信手段)115は、サーバ201から通信路確立通知を受信する処理を行う。   A communication channel establishment notification reception processing unit (communication channel establishment notification receiving unit) 115 performs processing for receiving a communication channel establishment notification from the server 201.

クライアント証明書選択処理部(クライアント証明書選択手段)116は、サーバ201に送信する証明書を、通信路確立要求先(アクセス先)に応じて選択する処理を行う。   The client certificate selection processing unit (client certificate selection means) 116 performs processing for selecting a certificate to be transmitted to the server 201 according to a communication path establishment request destination (access destination).

また、記憶部120には、クライアント自身の証明書の情報、証明書選択テーブルなどが記憶されている。   In addition, the storage unit 120 stores client certificate information, a certificate selection table, and the like.

また、サーバ201は、サーバ全体を制御する制御部202、通信ネットワーク1とサーバ201を接続する通信用インタフェース203、処理プログラム部210、及びデータベース220を有している。   The server 201 includes a control unit 202 that controls the entire server, a communication interface 203 that connects the communication network 1 and the server 201, a processing program unit 210, and a database 220.

また、処理プログラム部210には、以下の処理部が含まれている。
通信路確立要求受信処理部(通信路確立要求受信手段)211は、クライアント101から通信路確立要求を受信する処理を行う。 The processing program unit 210 includes the following processing units.
A communication path establishment request reception processing unit (communication path establishment request receiving unit) 211 performs processing for receiving a communication path establishment request from the client 101.

サーバ証明書送信処理部(サーバ証明書送信手段)212は、クライアント101に複数の種類の証明書を送信する処理を行う。   A server certificate transmission processing unit (server certificate transmission unit) 212 performs processing for transmitting a plurality of types of certificates to the client 101.

クライアント証明書受信処理部(クライアント証明書受信手段)213は、クライアント101から複数の種類の証明書を受信する処理を行う。   A client certificate reception processing unit (client certificate receiving unit) 213 performs processing for receiving a plurality of types of certificates from the client 101.

クライアント証明書認証処理部(クライアント証明書認証手段)214は、クライアント101から受信した証明書を認証する処理を行う。   A client certificate authentication processing unit (client certificate authentication unit) 214 performs processing for authenticating a certificate received from the client 101.

通信路確立通知送信処理部(通信路確立通知送信手段)215は、クライアント101の認証後に通信路確立通知をクライアントに送信する処理を行う。   The communication path establishment notification transmission processing unit (communication path establishment notification transmission means) 215 performs processing for transmitting a communication path establishment notification to the client after the client 101 is authenticated.

サーバ証明書選択処理部(サーバ証明書選択手段)216は、クライアント101に応じて、送信する証明書を選択する処理を行う。   A server certificate selection processing unit (server certificate selection means) 216 performs processing for selecting a certificate to be transmitted in accordance with the client 101.

セキュリティポリシー処理部217は、クライアント101に応じてセキュリティレベルを設定し、例えば、閲覧できるファイルの範囲などを設定する。   The security policy processing unit 217 sets a security level according to the client 101, for example, sets a range of files that can be viewed.

また、データベース220には、アプリケーション情報(複数のアプリケーションA、Bなど)、各アプリケーションに対応する証明書の情報、証明書選択テーブル、ポリシーテーブルなどが記憶されている。   The database 220 stores application information (a plurality of applications A, B, etc.), certificate information corresponding to each application, a certificate selection table, a policy table, and the like.

なお、クライアント101内の処理プログラム部110、およびサーバ201内の処理プログラム部210は専用のハードウェアにより実現されるものであってもよく、またこの処理プログラム部はメモリおよびCPU(中央処理装置)等の汎用の情報処理装置により構成され、この処理部の機能を実現するためのプログラム(図示せず)をメモリにロードして実行することによりその機能を実現させるものであってもよい。   The processing program unit 110 in the client 101 and the processing program unit 210 in the server 201 may be realized by dedicated hardware. The processing program unit includes a memory and a CPU (central processing unit). The information processing apparatus may be implemented by loading a program (not shown) for realizing the function of the processing unit into a memory and executing the program.

また、クライアント101内の処理プログラム部110、およびサーバ201内の処理プログラム部210の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより本発明に必要な処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。   Further, a program for realizing the functions of the processing program unit 110 in the client 101 and the processing program unit 210 in the server 201 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is stored in the computer. The processing necessary for the present invention may be performed by reading the system and executing it. Here, the “computer system” includes an OS and hardware such as peripheral devices.

また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの(伝送媒体ないしは伝送波)、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。
また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system.
Furthermore, the “computer-readable recording medium” dynamically holds a program for a short time like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. In this case, it is intended to include those that hold a program for a certain period of time, such as a volatile memory inside a computer system that becomes a server or a client in that case (transmission medium or transmission wave).
The program may be for realizing a part of the functions described above, and further, a program that can realize the functions described above in combination with a program already recorded in a computer system, a so-called difference file (difference). Program).

以上、本発明の実施の形態について説明したが、証明書相互認証システムは、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。   Although the embodiment of the present invention has been described above, the certificate mutual authentication system is not limited to the illustrated example described above, and various modifications can be made without departing from the scope of the present invention. Of course.

本発明は、一度の通信路確立処理で複数の証明書の相互認証を可能としたため、従来の通信路確立方法よりも、通信路を確立するための時間及び計算機資源の増加を抑えることができる効果を有し、証明書相互認証システム、及び証明書相互認証方法などに有用である。   Since the present invention enables mutual authentication of a plurality of certificates by a single communication path establishment process, it is possible to suppress an increase in time and computer resources for establishing a communication path, compared to a conventional communication path establishment method. It has an effect and is useful for a certificate mutual authentication system and a certificate mutual authentication method.

本発明の証明書相互認証システムについて説明するための図である。It is a figure for demonstrating the certificate mutual authentication system of this invention. 本発明の証明書相互認証システムにおける認証の手順を示す図である。It is a figure which shows the procedure of the authentication in the certificate mutual authentication system of this invention. セキュリティポリシーテーブルの例を示す図である。It is a figure which shows the example of a security policy table. 証明書選択テーブルの例を示す図である。It is a figure which shows the example of a certificate selection table. クライアントとサーバの構成例を示す図である。It is a figure which shows the structural example of a client and a server. 従来のクライアントとサーバの認証の手順を示す図である。It is a figure which shows the procedure of the authentication of the conventional client and server.

符号の説明Explanation of symbols

1 通信ネットワーク
101 クライアント
201 サーバ
102 制御部
103 通信用インタフェース
110 処理プログラム部
111 通信路確立要求処理部
112 サーバ証明書受信処理部
113 サーバ証明書認証処理部
114 クライアント証明書送信処理部
115 通信路確立通知受信処理部
116 クライアント証明書選択処理部
120 データベース
201 サーバ
202 制御部
203 通信用インタフェース
210 処理プログラム部
211 通信路確立要求受信処理部
212 サーバ証明書送信処理部
213 クライアント証明書受信処理部
214 クライアント証明書認証処理部
215 通信路確立通知送信処理部
216 サーバ証明書選択処理部
217 セキュリティポリシー処理部
220 データベース

DESCRIPTION OF SYMBOLS 1 Communication network 101 Client 201 Server 102 Control part 103 Communication interface 110 Processing program part 111 Communication path establishment request processing part 112 Server certificate reception processing part 113 Server certificate authentication processing part 114 Client certificate transmission processing part 115 Communication path establishment Notification reception processing unit 116 Client certificate selection processing unit 120 Database 201 Server 202 Control unit 203 Communication interface 210 Processing program unit 211 Communication path establishment request reception processing unit 212 Server certificate transmission processing unit 213 Client certificate reception processing unit 214 Client Certificate authentication processing unit 215 Communication path establishment notification transmission processing unit 216 Server certificate selection processing unit 217 Security policy processing unit 220 Database

Claims (3)

通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証システムであって、
前記クライアントには、
前記サーバに通信路確立要求を送信する通信路確立要求手段と、
前記サーバから複数の証明書を受信するサーバ証明書受信手段と、
前記サーバから受信した複数の証明書を認証するサーバ証明書認証手段と、
前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手段と、
クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手段と
を備え、
前記サーバには、
前記クライアントから通信路確立要求を受信する通信路確立要求受信手段と、
前記クライアントに複数の証明書を送信するサーバ証明書送信手段と、
前記クライアントから複数の証明書を受信するクライアント証明書受信手段と、
前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手段と、
クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手段と
を備えることを特徴とする証明書相互認証システム。 A certificate mutual authentication system that performs mutual authentication of a plurality of certificates by a client that makes a communication path establishment request and a server that responds to the communication path establishment request from the client,
The client includes
A communication path establishment request means for transmitting a communication path establishment request to the server;
Server certificate receiving means for receiving a plurality of certificates from the server;
Server certificate authenticating means for authenticating a plurality of certificates received from the server;
Client certificate transmission means for transmitting a plurality of certificates to the server after authenticating the plurality of certificates received from the server;
Communication path establishment notification receiving means for receiving a communication path establishment notification from the server when the certificate transmitted from the client is authenticated by the server, and
The server includes
A communication path establishment request receiving means for receiving a communication path establishment request from the client;
Server certificate transmission means for transmitting a plurality of certificates to the client;
Client certificate receiving means for receiving a plurality of certificates from the client;
Client certificate authenticating means for authenticating a plurality of certificates received from the client;
A certificate mutual authentication system comprising: a communication path establishment notification transmission unit configured to transmit a communication path establishment notification to a client after authenticating a plurality of certificates received from the client. 前記クライアントには、通信路確立要求先に応じて、送信する証明書を選択するクライアント証明書選択手段を
備え、
前記サーバには、通信路確立要求元に応じて、送信する証明書を選択するサーバ証明書選択手段を
備えることを特徴とする請求項1に記載の証明書相互認証システム。 The client includes client certificate selection means for selecting a certificate to be transmitted according to a communication path establishment request destination.
2. The certificate mutual authentication system according to claim 1, wherein the server comprises server certificate selection means for selecting a certificate to be transmitted in accordance with a communication path establishment request source. 通信路確立要求を行うクライアントと、前記クライアントからの通信路確立要求に応答するサーバとで、複数の証明書の相互認証を行う証明書相互認証方法であって、
前記クライアントにより、
前記サーバに通信路確立要求を送信する通信路確立要求手順と、
前記サーバから複数の証明書を受信するサーバ証明書受信手順と、
前記サーバから受信した複数の証明書を認証するサーバ証明書認証手順と、
前記サーバから受信した複数の証明書を認証した後に、前記サーバに複数の証明書を送信するクライアント証明書送信手順と、
クライアントから送信した証明書が前記サーバに認証された場合に、前記サーバから通信路確立通知を受信する通信路確立通知受信手順と
が行われ、
前記サーバにより、
前記クライアントから通信路確立要求を受信する通信路確立要求受信手順と、
前記クライアントに複数の証明書を送信するサーバ証明書送信手順と、
前記クライアントから複数の証明書を受信するクライアント証明書受信手順と、
前記クライアントから受信した複数の証明書を認証するクライアント証明書認証手順と、
クライアントから受信した複数の証明書を認証した後に、通信路確立通知をクライアントに送信する通信路確立通知送信手順とが行われることを特徴とする証明書相互認証方法。 A certificate mutual authentication method for performing mutual authentication of a plurality of certificates between a client that makes a communication path establishment request and a server that responds to the communication path establishment request from the client,
By the client
A communication path establishment request procedure for transmitting a communication path establishment request to the server;
A server certificate receiving procedure for receiving a plurality of certificates from the server;
A server certificate authentication procedure for authenticating a plurality of certificates received from the server;
A client certificate transmission procedure for transmitting a plurality of certificates to the server after authenticating the plurality of certificates received from the server;
When the certificate transmitted from the client is authenticated by the server, a communication path establishment notification receiving procedure for receiving a communication path establishment notification from the server is performed.
By the server
A communication path establishment request receiving procedure for receiving a communication path establishment request from the client;
A server certificate transmission procedure for transmitting a plurality of certificates to the client;
A client certificate receiving procedure for receiving a plurality of certificates from the client;
A client certificate authentication procedure for authenticating a plurality of certificates received from the client;
A certificate mutual authentication method comprising: performing a communication path establishment notification transmission procedure for transmitting a communication path establishment notification to a client after authenticating a plurality of certificates received from the client.
JP2004082419A 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method Expired - Fee Related JP4601979B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004082419A JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004082419A JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Publications (2)

Publication Number Publication Date
JP2005267520A true JP2005267520A (en) 2005-09-29
JP4601979B2 JP4601979B2 (en) 2010-12-22

Family

ID=35091975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004082419A Expired - Fee Related JP4601979B2 (en) 2004-03-22 2004-03-22 Certificate mutual authentication system and certificate mutual authentication method

Country Status (1)

Country Link
JP (1) JP4601979B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007201937A (en) * 2006-01-27 2007-08-09 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2009098955A (en) * 2007-10-17 2009-05-07 Fuji Xerox Co Ltd System, device, and program for managing electronic information
JP2013512625A (en) * 2009-11-25 2013-04-11 セキュリティー ファースト コーポレイション System and method for securing data in motion
JP2014505960A (en) * 2011-02-17 2014-03-06 ターセーラ, インコーポレイテッド System and method for application certification
US8904194B2 (en) 2004-10-25 2014-12-02 Security First Corp. Secure data parser method and system
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
WO2022093314A1 (en) * 2020-10-26 2022-05-05 Dell Products L.P. Distributed secure communication system
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system
WO2025062777A1 (en) * 2023-09-19 2025-03-27 日本電気株式会社 Terminal, system, terminal control method, and storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002353959A (en) * 2001-05-30 2002-12-06 Nec Corp System, method and program for authentication
CA2468599A1 (en) * 2001-11-29 2003-06-12 Siemens Aktiengesellschaft Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002353959A (en) * 2001-05-30 2002-12-06 Nec Corp System, method and program for authentication
CA2468599A1 (en) * 2001-11-29 2003-06-12 Siemens Aktiengesellschaft Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
US11178116B2 (en) 2004-10-25 2021-11-16 Security First Corp. Secure data parser method and system
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US8904194B2 (en) 2004-10-25 2014-12-02 Security First Corp. Secure data parser method and system
US9009848B2 (en) 2004-10-25 2015-04-14 Security First Corp. Secure data parser method and system
US9047475B2 (en) 2004-10-25 2015-06-02 Security First Corp. Secure data parser method and system
US9135456B2 (en) 2004-10-25 2015-09-15 Security First Corp. Secure data parser method and system
US9177159B2 (en) 2004-10-25 2015-11-03 Security First Corp. Secure data parser method and system
US9294444B2 (en) 2004-10-25 2016-03-22 Security First Corp. Systems and methods for cryptographically splitting and storing data
US9294445B2 (en) 2004-10-25 2016-03-22 Security First Corp. Secure data parser method and system
US9338140B2 (en) 2004-10-25 2016-05-10 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system
JP2007201937A (en) * 2006-01-27 2007-08-09 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2009098955A (en) * 2007-10-17 2009-05-07 Fuji Xerox Co Ltd System, device, and program for managing electronic information
JP2013512625A (en) * 2009-11-25 2013-04-11 セキュリティー ファースト コーポレイション System and method for securing data in motion
US9516002B2 (en) 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
US9411524B2 (en) 2010-05-28 2016-08-09 Security First Corp. Accelerator system for use with secure data storage
JP2014505960A (en) * 2011-02-17 2014-03-06 ターセーラ, インコーポレイテッド System and method for application certification
TWI779711B (en) * 2020-10-26 2022-10-01 美商戴爾產品有限公司 Distributed secure communication system, information handling system and method for providing distributed secure communications
WO2022093314A1 (en) * 2020-10-26 2022-05-05 Dell Products L.P. Distributed secure communication system
US11683172B2 (en) 2020-10-26 2023-06-20 Dell Products L.P. Distributed secure communication system
WO2025062777A1 (en) * 2023-09-19 2025-03-27 日本電気株式会社 Terminal, system, terminal control method, and storage medium

Also Published As

Publication number Publication date
JP4601979B2 (en) 2010-12-22

Similar Documents

Publication Publication Date Title
JP5010608B2 (en) Creating a secure interactive connection with a remote resource
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
JP4965558B2 (en) Peer-to-peer authentication and authorization
TWI439103B (en) Policy driven, credential delegation for single sign on and secure access to network resources
US9130935B2 (en) System and method for providing access credentials
US9215218B2 (en) Systems and methods for secure workgroup management and communication
JP4962117B2 (en) Encryption communication processing method and encryption communication processing apparatus
JP2010531516A (en) Device provisioning and domain join emulation over insecure networks
US20080137663A1 (en) Identifier verification method in peer-to-peer networks
US10785192B2 (en) Methods and systems for secure DNS routing
JP2007293760A (en) Single sign-on linkage method and system using individual authentication
JP5023804B2 (en) Authentication method and authentication system
JP4579597B2 (en) Information processing apparatus, information processing method, and program
JP5012173B2 (en) Encryption communication processing method and encryption communication processing apparatus
JP2009290329A (en) Ip communication system, server unit, terminal device and authentication method
JP4601979B2 (en) Certificate mutual authentication system and certificate mutual authentication method
CN103716280B (en) data transmission method, server and system
JP2010277144A (en) User authentication system, user terminal, log authentication server, user authentication method, and program
JP3911697B2 (en) Network connection device, network connection method, network connection program, and storage medium storing the program
JP2007184993A (en) Key distribution method and system for encrypted communication
JP2015114714A (en) Authentication method, authentication system, web server, authentication program, and recording medium
JP4736722B2 (en) Authentication method, information processing apparatus, and computer program
JP2005229435A (en) Terminal and resolver program with resolver separate from application
JP2005252500A (en) Attribute certificate verification server, authentication system, attribute certificate verification method, authentication method, attribute certificate verification program, and authentication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100921

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100929

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4601979

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141008

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees