JPH1125048A - Method for managing security of network system - Google Patents
Method for managing security of network systemInfo
- Publication number
- JPH1125048A JPH1125048A JP9173532A JP17353297A JPH1125048A JP H1125048 A JPH1125048 A JP H1125048A JP 9173532 A JP9173532 A JP 9173532A JP 17353297 A JP17353297 A JP 17353297A JP H1125048 A JPH1125048 A JP H1125048A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- client
- server
- information
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワークを介
して通信を行うクライアント、サーバー間の通信方法に
関し、特に広域ネットワークシステムにおいて証明書を
利用してユーザ認証及びアクセス制御を行う認証サーバ
を備えたネットワークシステムのセキュリティ管理方法
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a communication method between a client and a server for performing communication via a network, and more particularly, to a wide area network system having an authentication server for performing user authentication and access control using a certificate. The present invention relates to a security management method for a network system.
【0002】[0002]
【従来の技術】インターネットの普及に伴いセキュリテ
ィをめぐる市場動向はめざましく変化してきた。特に、
インターネットとイントラネットを統合する認証サーバ
は重要であり、広域ネットワークシステムでユーザを一
元管理しさらに集中的にアクセス制御を行う機能が求め
られている。2. Description of the Related Art With the spread of the Internet, market trends concerning security have changed remarkably. Especially,
An authentication server that integrates the Internet and an intranet is important, and a function of centrally managing users and performing centralized access control in a wide area network system is required.
【0003】一方、昨今の電子商取引や通信では、公開
鍵ベースの証明書を用いた認証処理と通信の暗号処理が
主流になってきている。On the other hand, in recent electronic commerce and communication, authentication processing using a public key-based certificate and communication encryption processing have become mainstream.
【0004】[0004]
【発明が解決しようとする課題】発明者らは既に出願し
た特願平9−76954号により、インターネットのよ
うな広域ネットワークシステムと企業内ネットワークシ
ステムとを統合するためにユーザ認証機能およびネット
ワークシステム内の資源へのアクセス制御機能に関して
出願しているが、より現実的に実用化を考慮した際、証
明書自体の管理と運用面での考慮が必要と考えた。SUMMARY OF THE INVENTION The inventors of the present invention disclosed in Japanese Patent Application No. 9-76954, filed in Japanese Patent Application No. Hei 9-76954, in order to integrate a wide area network system such as the Internet with an in-company network system. Has applied for a resource access control function, but when considering practical application more practically, it was necessary to consider the management and operation of the certificate itself.
【0005】本発明では、統合証明書を元にユーザの認
証情報を参照する事によるシングルサインオンの実現方
式、および統合証明書を元に業務ごとの証明書や証明書
取り消しリストを通信の当事者にダウンロードすること
によるユーザ認証および通信暗号化処理のためのセキュ
リティ管理を実現するものである。[0005] In the present invention, a single sign-on realization method by referring to user authentication information based on an integrated certificate, and a certificate or a certificate revocation list for each job based on the integrated certificate are communicated to parties involved in communication. This realizes security management for user authentication and communication encryption processing by downloading to a user.
【0006】[0006]
【課題を解決するための手段】前記統合証明書の入力に
より取引に応じた証明書を認証サーバからダウンロード
し、前記証明書の情報により通信相手の認証と通信の暗
号化を実現する。According to the present invention, a certificate corresponding to a transaction is downloaded from an authentication server by inputting the integrated certificate, and authentication of a communication partner and encryption of communication are realized based on the information of the certificate.
【0007】本発明は、ネットワークを介してクライア
ント、業務サーバあるいは通信相手および統合認証サー
バが相互に通信可能なネットワークシステムのセキュリ
ティ管理方法であって、クライアントから統合認証サー
バに対して統合証明書の情報を送信してクライアントの
ユーザの認証要求を行い、クライアントから業務サーバ
のアプリケーションあるいは通信相手への通信要求に対
して、統合認証サーバでアクセス権限をチェックし、正
当であれば通信の当事者に証明書を送付し、クライアン
トは業務サーバあるいは通信相手への通信メッセージを
前記証明書の情報と対になるクライアント固有の鍵情報
を用いて暗号化し、業務サーバあるいは通信相手側では
前記証明書の情報によりクライアントを確認し、前記通
信メッセージを復号化し、業務サーバあるいは通信相手
はクライアントへの通信メッセージを前記証明書の情報
と対になる業務サーバあるいは通信相手固有の鍵情報を
用いて暗号化し、クライアントでは前記証明書の情報に
より業務サーバあるいは通信相手を確認し、前記通信メ
ッセージを復号化する統合証明書によるセキュリティ管
理方法を特徴とする。The present invention is a security management method for a network system in which a client, a business server or a communication partner and an integrated authentication server can communicate with each other via a network. Sends the information and requests the client user to authenticate. The integrated authentication server checks the access authority for the communication request from the client to the business server application or the communication partner. The client encrypts a communication message to the business server or the communication partner using the client-specific key information paired with the certificate information, and the business server or the communication partner uses the certificate information to Check the client and restore the communication message. The business server or the communication partner encrypts the communication message to the client using the key information unique to the business server or the communication partner paired with the certificate information, and the client uses the certificate information to encrypt the communication message to the client. A security management method using an integrated certificate for confirming a partner and decrypting the communication message is characterized.
【0008】なお、統合認証サーバにより通信の当事者
の証明書をダウンロードする代わりに、通信の当事者で
前記証明書を管理し、統合認証サーバに証明書取り消し
リストを要求することにより、クライアントが通信要求
する時に業務サーバあるいは通信相手の証明書が有効で
あることを前記証明書取り消しリストの情報によりチェ
ックし、前記チェックが正当であればクライアントは業
務サーバあるいは通信相手への通信メッセージを前記証
明書の情報と対になるクライアント固有の鍵情報を用い
て暗号化し、業務サーバあるいは通信相手では前記証明
書の情報によりクライアントを確認し、前記通信メッセ
ージを復号化し、業務サーバあるいは通信相手ではクラ
イアントの証明書が有効であることを前記証明書取り消
しリストの情報によりチェックし、前記チェックが正当
であれば業務サーバあるいは通信相手はクライアントへ
の通信メッセージを前記証明書の情報と対になる業務サ
ーバあるいは通信相手固有の鍵情報を用いて暗号化し、
クライアントでは前記証明書の情報により業務サーバあ
るいは通信相手を確認し、前記通信メッセージを復号化
するようにしてもよい。[0008] Instead of downloading the certificate of the communication party by the integrated authentication server, the communication party manages the certificate and requests the certificate revocation list from the integrated authentication server, so that the client can make the communication request. When checking, the information of the certificate revocation list checks that the certificate of the business server or the communication partner is valid, and if the check is valid, the client transmits a communication message to the business server or the communication partner with the certificate. The information is encrypted using the client-specific key information paired with the information, the business server or the communication partner confirms the client with the certificate information, the communication message is decrypted, and the business server or the communication partner decrypts the client certificate. Is valid in the information on the certificate revocation list. Check Ri, business server or the communication counterpart if the check is valid is encrypted using the business server or the communication partner specific key information comprising a communication message to the client information paired with the certificate,
The client may confirm the business server or the communication partner based on the information of the certificate, and decrypt the communication message.
【0009】[0009]
【発明の実施の形態】以下本発明の一実施形態について
図面を用いて説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described below with reference to the drawings.
【0010】図1は、本実施形態のネットワークシステ
ムの構成図である。FIG. 1 is a configuration diagram of a network system according to the present embodiment.
【0011】インターネットの様な広域ネットワーク1
0に、企業ネットワークシステム1と他企業ネットワー
クシステム9が接続されている。A wide area network 1 such as the Internet
0, the company network system 1 and the other company network system 9 are connected.
【0012】企業ネットワークシステム1は、クライア
ント8の他に、統合認証サーバ2、セキュリティ情報を
管理するサーバ3、データベース(DB)サーバ5、業
務サーバ6、グループウェアサーバ4、鍵管理サーバ1
7、証明書発行サーバ18等のサーバが接続されてい
る。The corporate network system 1 includes an integrated authentication server 2, a server 3 for managing security information, a database (DB) server 5, a business server 6, a groupware server 4, and a key management server 1 in addition to the client 8.
7. Servers such as the certificate issuing server 18 are connected.
【0013】DBサーバ5および業務サーバ6は、クラ
イアント8からアクセスされ、業務処理のために利用さ
れるサーバである。The DB server 5 and the business server 6 are servers accessed by the client 8 and used for business processing.
【0014】グループウェアサーバ4は、クライアント
8へ最初の業務メニュー画面を送ったり、クライアント
8へ電子メールを送ったり、ユーザのスケジュールを管
理したりするサーバである。The groupware server 4 is a server that sends the first job menu screen to the client 8, sends an e-mail to the client 8, and manages the schedule of the user.
【0015】他企業ネットワークシステム9には、クラ
イアント20が接続しており、クライアント8のユーザ
とクライアント20のユーザは、電子取引等の特定の業
務を証明書を用いて行う。A client 20 is connected to the other company network system 9, and a user of the client 8 and a user of the client 20 perform a specific task such as an electronic transaction using a certificate.
【0016】サーバ3は、DBサーバ5および業務サー
バ6または他企業ネットワークシステム9へのアクセス
を制御する情報と業務に応じた証明書の情報を含むユー
ザの認証情報とからなるセキュリティ情報を一元的に管
理するサーバである。The server 3 unifies security information including information for controlling access to the DB server 5 and the business server 6 or another company network system 9 and user authentication information including certificate information according to the business. Server to be managed.
【0017】統合認証サーバ2は、クライアント8から
送られる統合証明書を確認し、サーバ3からセキュリテ
ィ情報を取得してユーザのDBサーバ5および業務サー
バ6または他企業ネットワークシステム9へのアクセス
権限をチェックし、チェック結果が正当であれば通信の
当事者に対して業務に応じた証明書や証明書の取り消し
リストを送信するサーバである。The integrated authentication server 2 confirms the integrated certificate sent from the client 8, acquires security information from the server 3, and authorizes the user to access the DB server 5 and the business server 6 or the other company network system 9. The server checks the check, and if the check result is valid, sends a certificate or a certificate revocation list according to the job to the party involved in the communication.
【0018】鍵管理サーバ17は、企業ネットワークシ
ステム1内での暗号化通信で使用する通信の当事者の鍵
(秘密鍵と公開鍵の対)を生成するサーバである。The key management server 17 is a server that generates a key (a pair of a secret key and a public key) of a communication party used for encrypted communication in the enterprise network system 1.
【0019】広域ネットワーク10には外部証明書発行
サーバ7が接続される。外部証明書発行サーバ7は、所
定の手順に従って外部証明書を発行するサーバである。
証明書発行サーバ18は、統合認証サーバ2からの要求
によって統合証明書を発行するサーバである。なおいわ
ゆるディレクトリサーバと呼ばれるサーバがサーバ3の
情報を有していてもよい。また、クライアント8および
各種サーバは、パソコン、ワークステーション等を含む
情報処理装置である。An external certificate issuing server 7 is connected to the wide area network 10. The external certificate issuing server 7 is a server that issues an external certificate according to a predetermined procedure.
The certificate issuing server 18 is a server that issues an integrated certificate in response to a request from the integrated authentication server 2. Note that a server called a directory server may have the information of the server 3. The client 8 and various servers are information processing devices including a personal computer, a workstation, and the like.
【0020】さらにクライアント8および各種サーバに
よって各々読み取り可能な記憶媒体上に実体化されたコ
ンピュータプログラムを実行して以下に詳述するクライ
アント8および各種サーバの処理を行うことができる。Further, by executing a computer program embodied on a storage medium which can be read by the client 8 and various servers, processing of the client 8 and various servers described below can be performed.
【0021】クライアント8または他企業ネットワーク
システム9に接続されるクライアント20から統合証明
書の情報を入力して例えばDBサーバ5にログインする
と、統合認証サーバ2が統合証明書の確認を行い、統合
認証サーバ2がサーバ3からセキュリティ情報を取得し
てDBサーバ5へのアクセス権限をチェックする。アク
セス権限があれば、クライアント8またはクライアント
20、およびDBサーバ5に対して通信の当事者の証明
書情報を送り、クライアント8または20とDBサーバ
5間の処理が始まる。When the information of the integrated certificate is input from the client 8 or the client 20 connected to the other company network system 9 and logs in, for example, to the DB server 5, the integrated authentication server 2 confirms the integrated certificate, and performs the integrated authentication. The server 2 obtains security information from the server 3 and checks access authority to the DB server 5. If the user has the access right, the certificate information of the communicating party is sent to the client 8 or the client 20 and the DB server 5, and the processing between the client 8 or 20 and the DB server 5 starts.
【0022】クライアントはDBサーバ5への通信メッ
セージを前記証明書の情報と対になるクライアント固有
の鍵情報(以降秘密鍵と呼ぶ)を用いて暗号化し、DB
サーバ5では前記証明書から取り出したクライアントの
公開鍵によりクライアントを確認し、前記通信メッセー
ジを復号化する。The client encrypts a communication message to the DB server 5 using client-specific key information (hereinafter referred to as a secret key) that is paired with the certificate information,
The server 5 confirms the client with the client's public key extracted from the certificate and decrypts the communication message.
【0023】また、DBサーバ5でも、クライアントへ
の通信メッセージを前記証明書の情報と対になるDBサ
ーバ5の秘密鍵で暗号化し、クライアントでは前記証明
書から取り出したDBサーバ5の公開鍵により相手を確
認し、前記通信メッセージを復号化することが可能であ
る。The DB server 5 also encrypts the communication message to the client with the secret key of the DB server 5 that is paired with the information of the certificate, and the client uses the public key of the DB server 5 extracted from the certificate. It is possible to identify the other party and decrypt the communication message.
【0024】このように、統合証明書の情報から取引に
必要な証明書情報が取り出され、しかも統合認証サーバ
2が保持する最新の証明書取り消しリストによりこれら
の証明書の有効性が確認された後、通信の当事者に渡さ
れるため、通信の当事者は証明書を管理しなくて済む。As described above, the certificate information necessary for the transaction is extracted from the information of the integrated certificate, and the validity of these certificates is confirmed by the latest certificate revocation list held by the integrated authentication server 2. Later, it is passed to the communicating party, so that the communicating party does not need to manage the certificate.
【0025】また、クライアントが次に業務サーバ6に
ログインする時、統合認証サーバ2からクライアント8
またはクライアント20、および業務サーバ6に対して
通信の当事者の証明書情報が送られるので、シングルサ
インオンが実現される。When the client next logs in to the business server 6, the integrated authentication server 2 sends the client 8
Alternatively, since the certificate information of the communication party is sent to the client 20 and the business server 6, single sign-on is realized.
【0026】図2は、セキュリティ情報を管理するサー
バ3がセキュリティ情報を一元管理する方式を説明する
図である。FIG. 2 is a diagram for explaining a system in which the server 3 for managing security information manages the security information in a unified manner.
【0027】サーバ3を導入する前に各サーバごとに管
理していたユーザおよび資源(文書、データベース、端
末装置、アプリケーションプログラム等)に関するセキ
ュリティ情報をLDAP情報変換ツールによりLDAP
形式に変換し、サーバ3へ送ってサーバ3で一元管理す
る。ここに、LDAP(Lightweight Data Access Proto
col)とは、IETF標準のディレクトリアクセスプロトコル
である。Security information on users and resources (documents, databases, terminal devices, application programs, etc.) managed for each server before the server 3 is introduced is converted into an LDAP by the LDAP information conversion tool.
The data is converted into a format and sent to the server 3 for centralized management. Here, LDAP (Lightweight Data Access Proto
col) is the IETF standard directory access protocol.
【0028】図3は、LDAP形式の情報の例として、
文書の定義と業務サーバボアクセス制御情報および証明
書情報の形式を示す図である。FIG. 3 shows an example of the information in the LDAP format.
FIG. 9 is a diagram illustrating a document definition and formats of business server access control information and certificate information.
【0029】文書の定義は、文書識別情報と文書のアク
セス制御情報から構成される。文書識別情報は、文書の
識別子、この文書を管理するサーバの識別子と組織名
称、並びに文書の情報(文書のタイトル、文書の更新日
付、文書管理者、文書検索のためのキーワード、主題、
アブストラクト、作者名)から構成される。The definition of a document includes document identification information and document access control information. The document identification information includes the document identifier, the identifier and organization name of the server that manages this document, and the document information (document title, document update date, document manager, keyword for document search, subject,
Abstract, author name).
【0030】一方、文書のアクセス制御情報は、アクセ
ス制御情報、最終修正情報、 セキュリティポリシー等
を含む。アクセス制御情報は、文書内の特定ページのア
クセス制御情報のように文書の一部についてアクセス制
御をする情報である。On the other hand, the access control information of the document includes access control information, final modification information, security policy, and the like. The access control information is information for controlling access to a part of the document, such as access control information for a specific page in the document.
【0031】最終修正情報は、アクセス制御情報の更新
日付である。セキュリティポリシーは、その文書にアク
セスを許可するユーザのアクセスレベルを設定するもの
である。例えば、ポリシー番号が1から3までのユーザ
に当文書をアクセス許可するという運用が可能である。
文書の定義は、業務サーバ6が管理する情報である。The last modification information is an update date of the access control information. The security policy sets an access level of a user who is permitted to access the document. For example, it is possible to operate such that users having policy numbers 1 to 3 are allowed to access this document.
The document definition is information managed by the business server 6.
【0032】図4は、統合認証サーバ2がサーバ3から
ユーザのセキュリティ情報を取得する手順を説明する図
である。セキュリティ情報を取得する手順には、LDA
Pプロトコルが使用される。統合認証サーバ2は、ま
ず、ldap_openによってサーバ3とLDAPコネクショ
ンを確立し、ldap_simple_bind_sによって統合認証サー
バ3とサーバ3との間の相互認証を行った後、ldap_sear
ch_sによって統合認証サーバ2からユーザの統合証明書
番号、ユーザID等を送信すると、サーバ3から統合認証
サーバ2へそのユーザのセキュリティ情報を送信する。FIG. 4 is a diagram for explaining a procedure in which the integrated authentication server 2 obtains user security information from the server 3. LDA is required to obtain security information.
The P protocol is used. The integrated authentication server 2 first establishes an LDAP connection with the server 3 by ldap_open, performs mutual authentication between the integrated authentication server 3 and the server 3 by ldap_simple_bind_s, and then performs ldap_sear
When the integrated certificate number and the user ID of the user are transmitted from the integrated authentication server 2 by ch_s, the server 3 transmits the security information of the user to the integrated authentication server 2.
【0033】図5は、クライアント8のユーザが企業ネ
ットワークシステム1にログインしてからログオフする
までの処理の手順を示す図である。ここでは、ユーザが
統合証明書を用いてログインする場合の手順について説
明する。FIG. 5 is a diagram showing a processing procedure from the time when the user of the client 8 logs in to the corporate network system 1 until the user logs off. Here, a procedure when a user logs in using an integrated certificate will be described.
【0034】クライアント8は、業務メニューをクライ
アント8の表示画面に表示する。ユーザが業務サーバ6
を選択し、統合証明書の情報をICカード等の秘密情報格
納媒体から入力すると、クライアント8は、統合証明書
の情報をユーザの秘密鍵で暗号化して記憶装置に格納し
た後、業務要求とユーザの秘密鍵で暗号化された統合証
明書の内容を統合認証サーバ2へ送信する。The client 8 displays a task menu on the display screen of the client 8. The user is the business server 6
Is selected and the integrated certificate information is input from a secret information storage medium such as an IC card, the client 8 encrypts the integrated certificate information with the user's private key and stores it in the storage device. The contents of the integrated certificate encrypted with the user's private key are transmitted to the integrated authentication server 2.
【0035】統合認証サーバ2は、暗号化された統合証
明書の情報をユーザの公開鍵で復号化した後、その統合
証明書の確認を行う。The integrated authentication server 2 checks the integrated certificate after decrypting the encrypted information of the integrated certificate with the user's public key.
【0036】統合証明書のデータ構成は、X.509で規定
されており、その内容は所有者氏名、発行元、発行元の
署名、有効期限等の情報から成る。The data structure of the integrated certificate is defined by X.509, and its contents include information such as the owner's name, issuer, issuer's signature, and expiration date.
【0037】発行元の署名は、発行者の秘密鍵で暗号化
されているので、まず、この署名を発行元の公開鍵で復
号化して原本と比較し、統合証明書が正当なものである
事を確認する。次に有効期限など内容の確認を行う。統
合証明書が不適当なものであれば(NG)、クライアント8
へログイン不許可のメッセージを送信する。統合証明書
が適切なものであれば(OK)、サーバ3へ問い合わせを行
ってユーサのセキュリティ情報を取得する。その手順に
ついては上記した通りである。ユーザのセキュリティ情
報は、業務サーバ6のアクセス制御情報とユーザのアク
セス制御情報、およびこの業務に必要な業務サーバ6と
ユーザの証明書から構成される。Since the signature of the issuer is encrypted with the private key of the issuer, the signature is first decrypted with the public key of the issuer and compared with the original, and the integrated certificate is valid. Check things. Next, the contents such as the expiration date are confirmed. If the integrated certificate is inappropriate (NG), the client 8
Send a login disallowed message to. If the integrated certificate is appropriate (OK), an inquiry is made to the server 3 to obtain user security information. The procedure is as described above. The user security information includes access control information of the business server 6, access control information of the user, and a certificate of the business server 6 and the user required for the business.
【0038】統合認証サーバ2は、ユーザのアクセスレ
ベルと業務サーバ6のアクセスレベルとを比較し、業務
サーバ6のアクセスを許可できるならば、 業務サーバ
6およびユーザの業務に関する証明書を取り出し、最新
の証明書取り消しリストを確認することにより、前記証
明書の有効性を確認する。両者の証明書情報が有効であ
れば、当該ユーザのアクセスを許可する旨のアクセス履
歴情報を記憶装置に記録し、業務サーバ6およびユーザ
に対して、両者の証明書情報を送信する。その際、証明
書情報は受信者の公開鍵で暗号化して送るので、秘密鍵
を持つ当事者しか証明書情報を復号化できない仕掛けに
なっている。The integrated authentication server 2 compares the access level of the user with the access level of the business server 6 and, if the access of the business server 6 can be permitted, extracts the certificate relating to the business server 6 and the business of the user. By checking the certificate revocation list, the validity of the certificate is confirmed. If the certificate information of both is valid, the access history information indicating that the access of the user is permitted is recorded in the storage device, and the certificate information of both is transmitted to the business server 6 and the user. At this time, since the certificate information is transmitted after being encrypted with the recipient's public key, only the party having the private key can decrypt the certificate information.
【0039】クライアント8からは業務サーバ6が保有
する文書にアクセス要求をして業務処理を行う。その前
に相互で認証処理を行うが、その処理手順については、
図6で説明する。相互での認証処理が終了した後、クラ
イアント8は業務サーバ6に対してデータを暗号化して
送ることが可能になる。クライアント8は、業務サーバ
6との間で認証処理の中でネゴシエーションしたセショ
ン鍵を用いて、メッセージを暗号化する。この暗号化処
理は、クライアント8で行うためユーザは意識しなくて
良い。前記暗号化されたメッセージは業務サーバ6の保
持するセション鍵で復号化され、業務サーバ6だけが読
むことができる。業務サーバ6からクライアント8にメ
ッセージを送信する時も同様で、前記セション鍵を用い
て暗号化/復号化される。通常のセション鍵は1回限り
有効な使い捨ての鍵を用いるため、通信の機密性が高
い。The client 8 issues an access request to a document held by the business server 6 to perform business processing. Before that, the mutual authentication process is performed.
This will be described with reference to FIG. After the mutual authentication process is completed, the client 8 can encrypt and send the data to the business server 6. The client 8 encrypts the message using the session key negotiated with the business server 6 during the authentication process. This encryption process is performed by the client 8, so that the user need not be conscious. The encrypted message is decrypted by the session key held by the business server 6, and can be read only by the business server 6. Similarly, when a message is transmitted from the business server 6 to the client 8, the message is encrypted / decrypted using the session key. Since a normal session key uses a one-time-use disposable key, communication confidentiality is high.
【0040】また、本実施例では、認証処理の中でサー
バ側がセション鍵を作成しているが、クライアント側で
作成することも可能である。また、セション鍵の作成方
法自体も、各取引のプロトコルシーケンスに従うものと
する。In this embodiment, the server creates the session key in the authentication process, but the session key can be created on the client. Also, the method of creating the session key itself follows the protocol sequence of each transaction.
【0041】クライアント8は、業務処理の間、アクセ
スする文書についてアクセス履歴情報を記憶装置に記録
する。The client 8 records the access history information of the accessed document in the storage device during the business process.
【0042】このようにして、業務サーバ6に係わる業
務処理を終了した後、再び業務メニューをクライアント
8の表示装置に表示する。ユーザが次にクライアント2
0との電子取引処理を選択したとすれば、クライアント
8は記憶していた当該ユーザの統合証明書を取り出して
業務要求と共に統合認証サーバ2へ送信する。従って、
ユーザは再度統合証明書の情報を入力する必要がない。After the business process related to the business server 6 is completed, the business menu is displayed on the display device of the client 8 again. User goes to client 2
Assuming that the electronic transaction processing with 0 has been selected, the client 8 takes out the stored integrated certificate of the user and sends it to the integrated authentication server 2 together with the business request. Therefore,
The user does not need to input the information of the integrated certificate again.
【0043】以後上記と同様に統合認証サーバ2は、暗
号化された統合証明書をユーザの公開鍵で復号化した
後、統合証明書の確認を行い、統合証明書の確認結果問
題なければ、当該ユーザの電子取引処理へのアクセスを
許可/不許可する旨のアクセス履歴情報を記録する。Thereafter, similarly to the above, the integrated authentication server 2 checks the integrated certificate after decrypting the encrypted integrated certificate with the user's public key. The access history information for permitting / disallowing the user to access the electronic transaction processing is recorded.
【0044】ユーザのアクセスを許可した時、クライア
ント8に、クライアント8および取引相手であるクライ
アント20の証明書の有効性を確認した後、証明書情報
を通信の当事者に送信する。クライアント8は、証明書
の情報を用いてクライアント20との間で電子取引処理
を行い、取引処理の間、アクセス履歴情報を記録する。
このようにして、処理を終了し、ユーサがログオフを入
力すると、クライアント8は記録したアクセス履歴情報
を統合認証サーバ2に送り、記憶装置上に保管していた
統合証明書の情報を消去する。統合お認証サーバ2は、
受信したアクセス履歴情報と統合認証サーバ2が記録し
たアクセス履歴情報を比較して、妥当なアクセスである
か否かをチェックする。When the user's access is permitted, the client 8 confirms the validity of the certificate of the client 8 and the client 20 as the business partner, and then transmits the certificate information to the party involved in the communication. The client 8 performs electronic transaction processing with the client 20 using the information of the certificate, and records access history information during the transaction processing.
In this way, when the processing is completed and the user inputs logoff, the client 8 sends the recorded access history information to the integrated authentication server 2 and deletes the information of the integrated certificate stored on the storage device. The integrated authentication server 2
The received access history information is compared with the access history information recorded by the integrated authentication server 2 to check whether the access is appropriate.
【0045】図6は、通信の当事者であるクライアント
8、業務サーバ6間での相互認証処理の一例である。相
互認証の方法は取引プロトコルに従うが、図6の例で
は、証明書とチャレンジの値を確認する方式で相互で認
証している。FIG. 6 shows an example of a mutual authentication process between the client 8 and the business server 6 which are parties to communication. Although the mutual authentication method follows the transaction protocol, in the example of FIG. 6, mutual authentication is performed by a method of confirming a certificate and a challenge value.
【0046】まず、クライアント8から業務サーバ6に
対して、クライアント8のユーザの証明書をクライアン
トの電子署名を付与して送る。ここで電子署名とは、ユ
ーザ名からハッシュ関数により作成した特殊なデータ列
(例えばハッシュ値)をユーザの秘密鍵で暗号化した情報
である。First, the certificate of the user of the client 8 is sent from the client 8 to the business server 6 with the client's digital signature attached. Here, the digital signature is a special data sequence created from the user name using a hash function.
(Eg, a hash value) encrypted with the user's private key.
【0047】業務サーバ6では、受信した署名を証明書
に含まれるユーザの公開鍵で復号化することによりハッ
シュ値を取り出す。そして、ユーザ名から実際にハッシ
ュ関数で値を作成し、受信したハッシュ値と一致するか
どうかを確認する。さらに、受信した証明書が正当なも
のかどうかを確認し、全ての確認結果が正しければクラ
イアント8のユーザを認証する。The business server 6 extracts the hash value by decrypting the received signature with the user's public key included in the certificate. Then, a value is actually created by the hash function from the user name, and it is confirmed whether the value matches the received hash value. Further, it confirms whether the received certificate is valid, and if all the confirmation results are correct, authenticates the user of the client 8.
【0048】次に、業務サーバ6は、セション鍵を作成
し、それをユーザの公開鍵で暗号化した後、送信する。
クライアント8は、受信した情報をユーザの秘密鍵で復
号化し、セション鍵を取り出す。Next, the business server 6 creates a session key, encrypts it with the user's public key, and transmits it.
The client 8 decrypts the received information with the user's private key and extracts the session key.
【0049】すると、クライアント8側では、作成した
乱数(チャレンジ)をセション鍵で暗号化して業務サーバ
6に送信する。業務サーバ6側では、受信した情報をセ
ション鍵で復号化することにより、チャレンジを取り出
す。業務サーバ6は、チャレンジとサーバ名を業務サー
バ6自身の秘密鍵で暗号化し、自分の証明書と共にクラ
イアント8に送信する。クライアント8では、受信した
情報を業務サーバ6の証明書に含まれる業務サーバ6の
公開鍵で復号化し、チャレンジを取り出し、それが自分
が業務サーバ6に送信した情報と一致するかどうかを確
認する。さらに、業務サーバ名に付加された電子署名を
検証し、全ての確認結果が正しければ業務サーバ6を認
証する。Then, on the client 8 side, the created random number (challenge) is encrypted with the session key and transmitted to the business server 6. The business server 6 extracts the challenge by decrypting the received information with the session key. The business server 6 encrypts the challenge and the server name with the business server 6's own private key, and transmits the encrypted server certificate to the client 8 together with its own certificate. The client 8 decrypts the received information with the public key of the business server 6 included in the certificate of the business server 6, takes out the challenge, and confirms whether the challenge matches the information transmitted to the business server 6 by itself. . Further, the electronic signature added to the business server name is verified, and if all the confirmation results are correct, the business server 6 is authenticated.
【0050】図7は、統合認証サーバ2による証明書の
有効性確認と送信処理を、通信の当事者で行う処理の一
例である。FIG. 7 shows an example of a process in which the integrated authentication server 2 performs a process of confirming the validity of a certificate and transmitting the certificate by a party involved in communication.
【0051】図5との相違点は、通信の当事者が証明書
の有効性の確認を行わなければならない点であり、証明
書の確認処理の前に、統合認証サーバ2から最新の証明
書取り消しリストをダウンロードして、通信相手の証明
書が有効であるかどうかを確認する。証明書取り消しリ
ストのダウンロードを自動的に行う運用も可能であり、
例えば、システム立ち上げ時、最初の業務開始時、業務
終了時等の指定をしておき、その契機でダウンロードを
行うことができる。The difference from FIG. 5 is that the communicating party must confirm the validity of the certificate. Before the certificate confirmation processing, the latest certificate is revoked from the integrated authentication server 2. Download the list to see if the peer's certificate is valid. It is also possible to automatically download the certificate revocation list,
For example, when starting the system, starting the first job, ending the job, and the like, the download can be performed in response to the designation.
【0052】また、図7のシーケンス図では、クライア
ント8と業務サーバ6の双方に証明書取り消しリストを
送付しているが、業務サーバ6に送付して、業務サーバ
6からクライアント8に送付するような運用も可能であ
る。電子取引の様々なプロトコルに従うものとする。Although the certificate revocation list is sent to both the client 8 and the business server 6 in the sequence diagram of FIG. 7, the certificate revocation list is sent to the business server 6 and sent from the business server 6 to the client 8. Operation is also possible. Various protocols of electronic trading shall be followed.
【0053】以上、本発明を実施することにより、広域
ネットワークシステム内のディレクトリサーバは、ネッ
トワークシステムの資源に関する情報を一元管理してい
るので、統合認証サーバはディレクトリサーバからユー
ザの認証情報、アクセス制御情報、および証明書情報を
取得できる。これにより、統合認証サーバは統合証明書
によってユーザを認証し、ユーザのアクセスを制御でき
るので、企業ネットワークシステム内に統合証明書でア
クセスさせるシングルサインオンを実現する。統合認証
サーバは、統合証明書でユーザ認証、アクセス制御がで
き、ユーザの業務要求に応じて有効な証明書を通信の当
事者に送信できる。証明書を自分で管理する通信の当事
者に対しても最新の証明書取り消しリストを送信するの
で、証明書を用いた相互認証、通信の暗号化処理を保証
する。統合証明書を持つユーザの業務あるいは取引要求
に対して、ユーザのアクセス要求が認められれば、通信
の当事者に対して、業務あるいは取引の証明書を送信す
る。その際、統合認証サーバは、最新の証明書取り消し
リストにより証明書の有効性を確認してから証明書を送
信するので、通信の当事者は証明書は有効なものとして
業務を開始できる。一方、通信の当事者が証明書を管理
して通信を行う場合には、通信の当事者が自分で証明書
を管理し、最新の証明書取り消しリストにより証明書の
有効性を確認してから業務を開始する必要がある。As described above, by implementing the present invention, the directory server in the wide area network system centrally manages the information on the resources of the network system. Information and certificate information can be obtained. Thus, the integrated authentication server can authenticate the user with the integrated certificate and control the access of the user, thereby achieving single sign-on for accessing the corporate network system with the integrated certificate. The integrated authentication server can perform user authentication and access control with the integrated certificate, and can transmit a valid certificate to a communication party in response to a user's business request. Since the latest certificate revocation list is also transmitted to the communication party who manages the certificate by himself, mutual authentication using the certificate and encryption processing of the communication are guaranteed. If the user's access request is approved for the user's business or transaction request having the integrated certificate, the business or transaction certificate is transmitted to the communication party. At that time, since the integrated authentication server transmits the certificate after confirming the validity of the certificate with the latest certificate revocation list, the communicating party can start the business assuming that the certificate is valid. On the other hand, when the communicating party manages the certificate and performs communication, the communicating party manages the certificate by himself and checks the validity of the certificate by using the latest certificate revocation list before starting business. Need to get started.
【0054】通信の当事者は、証明書の情報を用いて相
互で認証とセション鍵の交換ができ、認証が終了した段
階で、セション鍵を用いた通信の暗号化処理ができる。The parties involved in the communication can mutually exchange the authentication and the session key using the information of the certificate, and at the stage when the authentication is completed, the communication can be encrypted using the session key.
【0055】また、クライアントと統合認証サーバが連
携することによって、ユーザのアクセス状況を監視する
こともできる。Further, the access status of the user can be monitored by cooperation between the client and the integrated authentication server.
【0056】[0056]
【発明の効果】広域ネットワークと接続する企業ネット
ワークシステムの如く閉じたネットワークにおいて、高
度なセキュリティを保持したまま、シングルサインオン
を実現することができる。In a closed network such as a corporate network system connected to a wide area network, single sign-on can be realized while maintaining high security.
【図1】実施形態のネットワークシステムの構成図であ
る。FIG. 1 is a configuration diagram of a network system according to an embodiment.
【図2】実施形態のサーバ3がセキュリティ情報を一元
管理する方式について説明する図である。FIG. 2 is a diagram illustrating a system in which a server according to an embodiment manages security information in a unified manner.
【図3】LDAP形式の情報の例を示す図である。FIG. 3 is a diagram illustrating an example of information in an LDAP format.
【図4】実施形態の統合認証サーバ2がサーバ3からセ
キュリティ情報と証明書情報を取得する手順を示す図で
ある。FIG. 4 is a diagram showing a procedure in which the integrated authentication server 2 of the embodiment acquires security information and certificate information from the server 3.
【図5】実施形態の統合証明書を利用するシングルサイ
ンオンの処理手順を示す図である。FIG. 5 is a diagram showing a processing procedure of single sign-on using an integrated certificate according to the embodiment.
【図6】図5の処理手順の中の、通信の当事者間での相
互認証とセション鍵の生成処理を説明する図である。FIG. 6 is a diagram illustrating a mutual authentication and a session key generation process between communication parties in the processing procedure of FIG. 5;
【図7】通信の当事者で証明書を管理し、最新の証明書
取り消しリストにより証明書の有効性を確認する処理手
順を説明する図である。FIG. 7 is a diagram for explaining a processing procedure in which a communication party manages a certificate and confirms the validity of the certificate by using the latest certificate revocation list.
1…企業ネットワークシステム、2…統合認証サーバ、
3…セキュリティ情報を管理するサーバ、6…業務サー
バ、7…外部証明書発行サーバ、8…クライアント、1
7…鍵管理サーバ、18…統合証明書発行サーバ、20
…クライアント。1. Enterprise network system 2. Integrated authentication server
3: server for managing security information, 6: business server, 7: external certificate issuing server, 8: client, 1
7 key management server, 18 integrated certificate issuing server, 20
…client.
Claims (5)
ーバが通信を実行するネットワークシステムにおいて、
クライアントから統合認証サーバへ統合証明書の情報を
送信して認証要求を行い、統合認証サーバによって統合
証明書の確認とクライアントのユーザ認証処理を行い、
クライアントから業務サーバのアプリケーションあるい
は通信相手への通信要求について、統合認証サーバによ
ってユーザの該アプリケーションへのアクセス権限ある
いは通信相手への通信権限のチェックを行い、前記チェ
ックが正当であれば通信の当事者に対してクライアン
ト、業務サーバあるいは通信相手の証明書を送信し、ク
ライアントは業務サーバあるいは通信相手への通信メッ
セージを前記証明書の情報と対になるクライアント固有
の鍵情報を用いて暗号化し、業務サーバあるいは通信相
手では前記証明書の情報によりクライアントを確認し、
前記通信メッセージを復号化し、業務サーバあるいは通
信相手はクライアントへの通信メッセージを前記証明書
の情報と対になる業務サーバあるいは通信相手固有の鍵
情報を用いて暗号化し、クライアントでは前記証明書の
情報により業務サーバあるいは通信相手を確認し、前記
通信メッセージを復号化することを特徴とするネットワ
ークシステムのセキュリティ管理方法。1. A network system in which a client and a server execute communication via a network,
The client sends information of the integrated certificate to the integrated authentication server to make an authentication request, and the integrated authentication server checks the integrated certificate and performs client user authentication processing.
For a communication request from the client to the application of the business server or the communication partner, the integrated authentication server checks the user's access authority to the application or the communication authority to the communication partner. The client transmits a certificate of the client, the business server or the communication partner, and the client encrypts a communication message to the business server or the communication partner using key information unique to the client paired with the information of the certificate. Alternatively, the communication partner confirms the client with the information of the certificate,
The communication message is decrypted, and the business server or the communication partner encrypts the communication message to the client using key information unique to the business server or the communication partner that is paired with the information of the certificate. A security management method for a network system, comprising the steps of: confirming a business server or a communication partner by decrypting the communication message;
を行う代わりに、クライアント、業務サーバあるいは通
信相手が通信の当事者の証明書を事前に管理し、統合認
証サーバに証明書取り消しリストを要求することによ
り、クライアントが通信要求する時に業務サーバあるい
は通信相手の証明書が有効であることを前記証明書取り
消しリストの情報によりチェックし、前記チェックが正
当であればクライアントは業務サーバあるいは通信相手
への通信メッセージを前記証明書の情報と対になるクラ
イアント固有の鍵情報を用いて暗号化し、業務サーバあ
るいは通信相手では前記証明書の情報によりクライアン
トを確認し、前記通信メッセージを復号化し、業務サー
バあるいは通信相手ではクライアントの証明書が有効で
あることを前記証明書取り消しリストの情報によりチェ
ックし、前記チェックが正当であれば業務サーバあるい
は通信相手はクライアントへの通信メッセージを前記証
明書の情報と対になる業務サーバあるいは通信相手固有
の鍵情報を用いて暗号化し、クライアントでは前記証明
書の情報により業務サーバあるいは通信相手を確認し、
前記通信メッセージを復号化することを特徴とするネッ
トワークシステムのセキュリティ管理方法。2. A method in which a client, a business server, or a communication partner manages a certificate of a communication party in advance and requests a certificate revocation list from the integrated authentication server instead of confirming the integrated certificate by the integrated authentication server. Thus, when the client makes a communication request, the validity of the certificate of the business server or the communication partner is checked by the information of the certificate revocation list, and if the check is valid, the client sends the certificate to the business server or the communication partner. The communication message is encrypted using the client-specific key information that is paired with the certificate information, the business server or the communication partner confirms the client with the certificate information, and decrypts the communication message. Prove that the client's certificate is valid at the communication partner Check with the information in the revocation list, and if the check is valid, the business server or the communication partner encrypts the communication message to the client using key information unique to the business server or the communication partner that is paired with the certificate information. , The client checks the business server or the communication partner based on the information of the certificate,
A security management method for a network system, wherein the communication message is decrypted.
ーバあるいは通信相手に対して、統合認証サーバが証明
書取り消しリストを自動的に配送することを特徴とした
ネットワークシステムのセキュリティ管理方法。3. The method according to claim 2, wherein the integrated authentication server automatically distributes the certificate revocation list to the client, the business server, or the communication partner.
サーバあるいは通信相手および統合認証サーバが相互に
通信可能なネットワークシステムの当該統合認証サーバ
によって読み取り可能な記憶媒体上に記憶されたコンピ
ュータプログラムであって、該プログラムは以下のステ
ップを含む: (a)クライアントから送信された統合証明書の情報を
受信し、(b)該統合証明書が正当であることを確認
し、(c)該統合証明書のユーザが該業務サーバあるい
は通信相手にアクセスする権限があるか否かをチェック
し、(d)(b)および(c)のチェック結果が妥当で
あれば、通信の当事者に対して証明書を送信する。4. A computer program stored on a storage medium readable by an integrated authentication server of a network system in which a client, a business server or a communication partner and an integrated authentication server can communicate with each other via a network, The program includes the following steps: (a) receiving the information of the integrated certificate transmitted from the client, (b) confirming that the integrated certificate is valid, and (c) receiving the information of the integrated certificate. Check whether the user has the right to access the business server or the communication partner, and if the check results in (d), (b) and (c) are valid, send the certificate to the communication party I do.
サーバあるいは通信相手および統合認証サーバが相互に
通信可能なネットワークシステムの当該統合認証サーバ
によって読み取り可能な記憶媒体上に記憶されたコンピ
ュータプログラムであって、該プログラムは以下のステ
ップを含む: (a)通信要求のあったクライアントに対して証明書取
り消しリストを送信し、(b)クライアントの認証が必
要な業務サーバあるいは通信相手に対して証明書取り消
しリストを送信する。5. A computer program stored on a storage medium readable by an integrated authentication server of a network system in which a client, a business server or a communication partner and an integrated authentication server can communicate with each other via a network, The program includes the following steps: (a) transmitting a certificate revocation list to a client that has requested communication, and (b) a certificate revocation list to a business server or a communication partner that requires client authentication. Send
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9173532A JPH1125048A (en) | 1997-06-30 | 1997-06-30 | Method for managing security of network system |
| US09/048,986 US6275941B1 (en) | 1997-03-28 | 1998-03-27 | Security management method for network system |
| US09/872,011 US20010044894A1 (en) | 1997-03-28 | 2001-06-04 | Security management method for network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9173532A JPH1125048A (en) | 1997-06-30 | 1997-06-30 | Method for managing security of network system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH1125048A true JPH1125048A (en) | 1999-01-29 |
Family
ID=15962287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9173532A Pending JPH1125048A (en) | 1997-03-28 | 1997-06-30 | Method for managing security of network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH1125048A (en) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010057778A (en) * | 1999-12-23 | 2001-07-05 | 오길록 | Method for controlling authority of data manipulation using data view |
| KR100335995B1 (en) * | 1999-12-24 | 2002-05-08 | 남궁종 | System and method for Certificate Authentication server based on the web in windows NT system |
| JP2002259340A (en) * | 2001-03-06 | 2002-09-13 | Hitachi Software Eng Co Ltd | Method/system for contents update of server recovery type |
| JP2002298009A (en) * | 2001-03-30 | 2002-10-11 | Japan Research Institute Ltd | Site integration system and site access method |
| KR20030015612A (en) * | 2001-08-17 | 2003-02-25 | 김훈 | Certification System and the Method |
| JP2004509387A (en) * | 2000-06-30 | 2004-03-25 | インターネット セキュリティ システムズ インコーポレーテッド | Method and apparatus for network evaluation and authentication |
| US6807577B1 (en) | 2000-09-14 | 2004-10-19 | International Business Machines Corporation | System and method for network log-on by associating legacy profiles with user certificates |
| US6934706B1 (en) | 2002-03-22 | 2005-08-23 | International Business Machines Corporation | Centralized mapping of security credentials for database access operations |
| US7100207B1 (en) | 2001-06-14 | 2006-08-29 | International Business Machines Corporation | Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information |
| JP2006270312A (en) * | 2005-03-23 | 2006-10-05 | Nec Corp | Communication management device, communication system, and method of managing communication |
| US7137006B1 (en) | 1999-09-24 | 2006-11-14 | Citicorp Development Center, Inc. | Method and system for single sign-on user access to multiple web servers |
| US7137141B1 (en) | 2000-08-16 | 2006-11-14 | International Business Machines Corporation | Single sign-on to an underlying operating system application |
| JP2006331126A (en) * | 2005-05-26 | 2006-12-07 | Toshiba Corp | Network distribution type mobile agent system, its constituting method, and its constituting program |
| CN100354852C (en) * | 2002-04-01 | 2007-12-12 | 微软公司 | Automatic re-authentication |
| US7313702B2 (en) | 2001-09-14 | 2007-12-25 | Sony Computer Entertainment Inc. | Method for issuing identification information |
| WO2008022585A1 (en) * | 2006-08-18 | 2008-02-28 | Huawei Technologies Co., Ltd. | A certification method, system, and device |
| US7349949B1 (en) | 2002-12-26 | 2008-03-25 | International Business Machines Corporation | System and method for facilitating development of a customizable portlet |
| JP2008072710A (en) * | 2001-01-25 | 2008-03-27 | David Sidman | Apparatus, method and system for effecting information access in peer environment |
| US7359982B1 (en) | 2002-12-26 | 2008-04-15 | International Business Machines Corporation | System and method for facilitating access to content information |
| JP2009147919A (en) * | 2007-12-17 | 2009-07-02 | Internatl Business Mach Corp <Ibm> | Computer implemented method, computer program product, and data processing system (secure digital signature system) |
| JP2010003044A (en) * | 2008-06-19 | 2010-01-07 | Fuji Xerox Co Ltd | Document tracking system, user terminal, document management server, and program |
| JP2010503252A (en) * | 2006-08-31 | 2010-01-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Computing platform proof |
| JP2010073188A (en) * | 2008-08-20 | 2010-04-02 | Tokyo Institute Of Technology | Server-integrated ic card system |
| US8146141B1 (en) | 2003-12-16 | 2012-03-27 | Citibank Development Center, Inc. | Method and system for secure authentication of a user by a host system |
| US9118483B2 (en) | 2013-03-19 | 2015-08-25 | Fuji Xerox Co., Ltd. | Communication system, relay device, and non-transitory computer readable medium |
-
1997
- 1997-06-30 JP JP9173532A patent/JPH1125048A/en active Pending
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7137006B1 (en) | 1999-09-24 | 2006-11-14 | Citicorp Development Center, Inc. | Method and system for single sign-on user access to multiple web servers |
| KR20010057778A (en) * | 1999-12-23 | 2001-07-05 | 오길록 | Method for controlling authority of data manipulation using data view |
| KR100335995B1 (en) * | 1999-12-24 | 2002-05-08 | 남궁종 | System and method for Certificate Authentication server based on the web in windows NT system |
| JP2004509387A (en) * | 2000-06-30 | 2004-03-25 | インターネット セキュリティ システムズ インコーポレーテッド | Method and apparatus for network evaluation and authentication |
| US7137141B1 (en) | 2000-08-16 | 2006-11-14 | International Business Machines Corporation | Single sign-on to an underlying operating system application |
| US6807577B1 (en) | 2000-09-14 | 2004-10-19 | International Business Machines Corporation | System and method for network log-on by associating legacy profiles with user certificates |
| JP2008072710A (en) * | 2001-01-25 | 2008-03-27 | David Sidman | Apparatus, method and system for effecting information access in peer environment |
| JP2002259340A (en) * | 2001-03-06 | 2002-09-13 | Hitachi Software Eng Co Ltd | Method/system for contents update of server recovery type |
| JP2002298009A (en) * | 2001-03-30 | 2002-10-11 | Japan Research Institute Ltd | Site integration system and site access method |
| JP4623853B2 (en) * | 2001-03-30 | 2011-02-02 | 株式会社日本総合研究所 | Site access method in site integration system |
| US7100207B1 (en) | 2001-06-14 | 2006-08-29 | International Business Machines Corporation | Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information |
| KR20030015612A (en) * | 2001-08-17 | 2003-02-25 | 김훈 | Certification System and the Method |
| US7313702B2 (en) | 2001-09-14 | 2007-12-25 | Sony Computer Entertainment Inc. | Method for issuing identification information |
| US6934706B1 (en) | 2002-03-22 | 2005-08-23 | International Business Machines Corporation | Centralized mapping of security credentials for database access operations |
| CN100354852C (en) * | 2002-04-01 | 2007-12-12 | 微软公司 | Automatic re-authentication |
| US7349949B1 (en) | 2002-12-26 | 2008-03-25 | International Business Machines Corporation | System and method for facilitating development of a customizable portlet |
| US7359982B1 (en) | 2002-12-26 | 2008-04-15 | International Business Machines Corporation | System and method for facilitating access to content information |
| US8650625B2 (en) | 2003-12-16 | 2014-02-11 | Citibank Development Center, Inc. | Method and system for secure authentication of a user by a host system |
| US8302172B2 (en) | 2003-12-16 | 2012-10-30 | Citibank Development Center, Inc. | Methods and systems for secure authentication of a user by a host system |
| US8146141B1 (en) | 2003-12-16 | 2012-03-27 | Citibank Development Center, Inc. | Method and system for secure authentication of a user by a host system |
| JP2006270312A (en) * | 2005-03-23 | 2006-10-05 | Nec Corp | Communication management device, communication system, and method of managing communication |
| JP4730518B2 (en) * | 2005-03-23 | 2011-07-20 | 日本電気株式会社 | COMMUNICATION MANAGEMENT DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION MANAGEMENT METHOD |
| JP2006331126A (en) * | 2005-05-26 | 2006-12-07 | Toshiba Corp | Network distribution type mobile agent system, its constituting method, and its constituting program |
| WO2008022585A1 (en) * | 2006-08-18 | 2008-02-28 | Huawei Technologies Co., Ltd. | A certification method, system, and device |
| JP2010503252A (en) * | 2006-08-31 | 2010-01-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Computing platform proof |
| JP2009147919A (en) * | 2007-12-17 | 2009-07-02 | Internatl Business Mach Corp <Ibm> | Computer implemented method, computer program product, and data processing system (secure digital signature system) |
| JP2010003044A (en) * | 2008-06-19 | 2010-01-07 | Fuji Xerox Co Ltd | Document tracking system, user terminal, document management server, and program |
| JP2010073188A (en) * | 2008-08-20 | 2010-04-02 | Tokyo Institute Of Technology | Server-integrated ic card system |
| US9118483B2 (en) | 2013-03-19 | 2015-08-25 | Fuji Xerox Co., Ltd. | Communication system, relay device, and non-transitory computer readable medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7752443B2 (en) | Method and system for a single-sign-on operation providing grid access and network access | |
| JPH1125048A (en) | Method for managing security of network system | |
| US7444666B2 (en) | Multi-domain authorization and authentication | |
| JP3505058B2 (en) | Network system security management method | |
| US7533265B2 (en) | Establishment of security context | |
| US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
| CA2531533C (en) | Session-based public key infrastructure | |
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| JP4252620B1 (en) | Server certificate issuing system | |
| US7552468B2 (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
| US9130758B2 (en) | Renewal of expired certificates | |
| US9137017B2 (en) | Key recovery mechanism | |
| US20060294366A1 (en) | Method and system for establishing a secure connection based on an attribute certificate having user credentials | |
| US20110296171A1 (en) | Key recovery mechanism | |
| US20020144108A1 (en) | Method and system for public-key-based secure authentication to distributed legacy applications | |
| US20110113240A1 (en) | Certificate renewal using enrollment profile framework | |
| JP2002501218A (en) | Client-side public key authentication method and device using short-lived certificate | |
| CA2489127C (en) | Techniques for dynamically establishing and managing authentication and trust relationships | |
| US20020194471A1 (en) | Method and system for automatic LDAP removal of revoked X.509 digital certificates | |
| JP2001251297A (en) | Information processor, and cipher communication system and method provided with the processor | |
| JP2002215585A (en) | Device and method for processing subject name of individual certificate | |
| JP3678009B2 (en) | Communication method | |
| IES20070726A2 (en) | Automated authenticated certificate renewal system | |
| WO2020017643A1 (en) | Electronic signature system, certificate issuance system, key management system, certificate issuance method, and program | |
| Keys | THE KEY MANAGEMENT PROBLEM |