JP4892008B2 - 証明書認証方法、証明書発行装置及び認証装置 - Google Patents
証明書認証方法、証明書発行装置及び認証装置 Download PDFInfo
- Publication number
- JP4892008B2 JP4892008B2 JP2008557157A JP2008557157A JP4892008B2 JP 4892008 B2 JP4892008 B2 JP 4892008B2 JP 2008557157 A JP2008557157 A JP 2008557157A JP 2008557157 A JP2008557157 A JP 2008557157A JP 4892008 B2 JP4892008 B2 JP 4892008B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- communication
- confirmation
- sub
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 66
- 238000004891 communication Methods 0.000 claims description 429
- 238000012790 confirmation Methods 0.000 claims description 263
- 230000004044 response Effects 0.000 claims description 83
- 238000012795 verification Methods 0.000 claims description 24
- 238000006243 chemical reaction Methods 0.000 claims description 20
- 238000010586 diagram Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 102220582675 Biotinidase_S20D_mutation Human genes 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 102220485469 Glycophorin-A_S20L_mutation Human genes 0.000 description 1
- 102220470087 Ribonucleoside-diphosphate reductase subunit M2_S20A_mutation Human genes 0.000 description 1
- 102220470058 Ribonucleoside-diphosphate reductase subunit M2_S20E_mutation Human genes 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 102220082839 rs149700042 Human genes 0.000 description 1
- 102200141681 rs6170 Human genes 0.000 description 1
- 102220061996 rs786203944 Human genes 0.000 description 1
- 102220328040 rs786203944 Human genes 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、異なるネットワークでサービスを受けるために発行された証明書を認証する証明書認証方法、証明書発行装置及び認証装置に関する。
通信サービスを簡単かつ安全に提供するために、端末の通信IDを利用して認証を行う通信サービスが普及している。端末は、加入している通信サービスの宛先と、サービスを利用するためのユーザID・パスワードなどの認証情報を保持しており、安全に複数の通信サービスを利用することを可能にしている。しかし、端末の移動先で通信サービスを利用するなど、異なるアクセスNWを介して接続する場合には、元々利用していた通信IDが利用できず、サービスを受けられなくなるという問題がある。また、元の通信IDとは異なるサブIDを利用して通信を行う場合も同様に、サービスを受けられなくなるという
問題がある。
問題がある。
[従来技術]
この課題を解決するため、信頼できるアクセスNWにおける端末の認証結果を利用して、端末が別のNWサービスを利用する際に、以前の認証結果を利用する技術が存在している。シングルサインオン技術は、アサーションを用いて認証結果を転送し、一度の認証だけで、複数の通信サービスを利用可能にしている。しかし、アサーションはオンラインでのみ使用できるため、元々利用していた通信IDが利用できない場合や、元の通信IDとは異なるサブIDを利用して通信を行う場合には、サービスを受けられなくなるという問題が残る。
この課題を解決するため、信頼できるアクセスNWにおける端末の認証結果を利用して、端末が別のNWサービスを利用する際に、以前の認証結果を利用する技術が存在している。シングルサインオン技術は、アサーションを用いて認証結果を転送し、一度の認証だけで、複数の通信サービスを利用可能にしている。しかし、アサーションはオンラインでのみ使用できるため、元々利用していた通信IDが利用できない場合や、元の通信IDとは異なるサブIDを利用して通信を行う場合には、サービスを受けられなくなるという問題が残る。
また、証明書発行を行うことにより、通信サービスからの認証結果を証明書に保存する方法も提案されている。特許文献1は、IPv6ネットワークにおけるNWサービス認証装置であるIPv6ルータが端末を認証し、NWサービス認証装置に接続された認証局が認証結果を証明するデジタル証明書をNWアクセス端末に発行することによって、新たにIPv4ネットワークのサービス認証を受ける際に、NWアクセス端末がデジタル証明書を利用して自動的に認証を受けられるようにするものである。但し、この提案では、NWサービス認証装置とデジタル証明書発行装置が直接接続されている必要があり、別のNWサービス認証装置もデジタル証明書発行装置と安全な通信路で直接通信できる必要がある。しかし、NWサービス認証装置、デジタル証明書発行装置、別のNWサービス認証装置は別々に管理されることがあり、その場合、直接接続することや直接通信することは難しい。
特開2006−25010号公報
この発明の目的は、通信IDを使って第1のネットワークで通信サービスへ接続可能である端末装置が第2のネットワークにおいても接続可能とできる証明書認証方法、証明書発行装置及び認証装置を提供することである。
この発明の第1の観点によれば、第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にする認証を与える証明書認証方法は、
(a) 端末装置が、第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を証明書発行装置に送信するステップと、
(b) 前記証明書発行装置が、前記端末装置から前記第1のネットワークを介して前記証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を通信ID確認装置に要求し、更に前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求し、少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成し、前記端末装置へ送信するステップと、
(c) 前記端末装置が、第2のネットワークにおいて前記サブIDを含む認証要求と前記証明書を認証装置に送信するステップと、
(d) 前記認証装置が、前記認証要求に対し認証を与え前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続可能にするステップ、
とを含む。
(a) 端末装置が、第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を証明書発行装置に送信するステップと、
(b) 前記証明書発行装置が、前記端末装置から前記第1のネットワークを介して前記証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を通信ID確認装置に要求し、更に前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求し、少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成し、前記端末装置へ送信するステップと、
(c) 前記端末装置が、第2のネットワークにおいて前記サブIDを含む認証要求と前記証明書を認証装置に送信するステップと、
(d) 前記認証装置が、前記認証要求に対し認証を与え前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続可能にするステップ、
とを含む。
この発明の第2の観点によれば、第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にするための証明書を発行する証明書発行装置は、
前記端末装置から前記第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を上記第1のネットワーク上の通信ID確認装置に要求する通信ID確認要求手段と、
前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求する通信ID−サブID確認要求手段と、
少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にする証明書生成手段、
とを含むように構成される。
前記端末装置から前記第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を上記第1のネットワーク上の通信ID確認装置に要求する通信ID確認要求手段と、
前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求する通信ID−サブID確認要求手段と、
少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にする証明書生成手段、
とを含むように構成される。
この発明の第3の観点によれば、第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にするための認証を与える認証装置は、
記憶手段と、
端末装置からサブIDを含む認証要求と第1のネットワークにおいて証明書発行装置が前記端末装置に対し発行した証明書を受信すると、チャレンジを生成し、前記記憶手段に保存すると共に前記端末装置に前記第2のネットワークを介して送信するチャレンジ生成手段と、
前記端末装置から前記第2のネットワークを介して前記チャレンジに対するレスポンスと当該端末装置の公開鍵と有効期間付きの証明書とを受信し、該レスポンスを前記端末装置の公開鍵及び前記記憶手段に保存したチャレンジを使って検証するレスポンス検証手段と、
前記証明書の有効期間内であるか判定する有効期間判定手段、
とを含み、前記検証に成功し、かつ有効期間内と判定された場合にOKの認証結果を前記第2のネットワークを介して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にするように構成されている。
記憶手段と、
端末装置からサブIDを含む認証要求と第1のネットワークにおいて証明書発行装置が前記端末装置に対し発行した証明書を受信すると、チャレンジを生成し、前記記憶手段に保存すると共に前記端末装置に前記第2のネットワークを介して送信するチャレンジ生成手段と、
前記端末装置から前記第2のネットワークを介して前記チャレンジに対するレスポンスと当該端末装置の公開鍵と有効期間付きの証明書とを受信し、該レスポンスを前記端末装置の公開鍵及び前記記憶手段に保存したチャレンジを使って検証するレスポンス検証手段と、
前記証明書の有効期間内であるか判定する有効期間判定手段、
とを含み、前記検証に成功し、かつ有効期間内と判定された場合にOKの認証結果を前記第2のネットワークを介して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にするように構成されている。
この発明によれば、有効期間を指定された証明書を発行/利用する技術により、証明書の有効性確認を不要にできるため、通信サービスへ接続できない場合でも、認証手段が利用できるようになる。使い捨てられる証明書を発行する技術とは、a.証明書のオンライン発行によって実現される短い有効期間を持つ証明書の発行技術と、b.証明書の短い有効期間だけシステム側で利用履歴を保存することにより、認証回数を制限できる証明書利用技術の組合せで実現されるものである。
電話番号のように広いサービス提供者の管理する通信IDに加えて、子番号のように一つの組織が独自に管理するサブIDを連携させる際に、通信ID管理手段とサブID管理手段を連携させて認証する技術である。具体例として、電話番号を管理する通信網側機能と子番号を管理する構内側機能とが連携する場合は、構内機能と通信網機能の間で連携IDを使って状態を交換することによって、連携が実現される。また、グローバルIPアドレスを管理するISP側機能とプライベートIPアドレスを管理する宅内機能とが連携する場合は、グローバルIPアドレスとプライベートIPアドレスの変換を行うNAT機能とDHCP機能の状態を得ることによって、連携が実現される。
電話番号のように広いサービス提供者の管理する通信IDに加えて、子番号のように一つの組織が独自に管理するサブIDを連携させる際に、通信ID管理手段とサブID管理手段を連携させて認証する技術である。具体例として、電話番号を管理する通信網側機能と子番号を管理する構内側機能とが連携する場合は、構内機能と通信網機能の間で連携IDを使って状態を交換することによって、連携が実現される。また、グローバルIPアドレスを管理するISP側機能とプライベートIPアドレスを管理する宅内機能とが連携する場合は、グローバルIPアドレスとプライベートIPアドレスの変換を行うNAT機能とDHCP機能の状態を得ることによって、連携が実現される。
本発明によれば、NWサービス中継装置が持つ情報をNWアクセス端末が使えない場合でも、NWサービス中継装置が持つ情報が利用できることをデジタル証明書として第三者機関が発行することによって、NWアクセス端末が別のNWサービスの認証を受けられるようにできる。
また、NWサービス認証装置、デジタル証明書発行装置、別のNWサービス認証装置は別々に管理されている場合でも、NWアクセス端末が通信を仲介することにより、デジタル証明書を取得でき、NWアクセス端末が別のNWサービスの認証を受けられるようにできる。
また、NWサービス認証装置、デジタル証明書発行装置、別のNWサービス認証装置は別々に管理されている場合でも、NWアクセス端末が通信を仲介することにより、デジタル証明書を取得でき、NWアクセス端末が別のNWサービスの認証を受けられるようにできる。
以下、本発明の実施例について、図面を参照して説明する。
<第1の実施例>
図1は本発明の第1の実施例に係る証明書発行システムの構成を示すもので、図中、NW1,NW2はそれぞれ通信ネットワーク、4は端末装置、5は通信ID確認装置、6は通信ID−サブID確認装置、7は証明書発行装置、8は認証装置である。図1の例では通信ID確認装置5と通信ID−サブID確認装置6はそれぞれ直接証明書発行装置7に接続されている場合を示しているが、いずれか一方、又は両方ともネットワークNW1を介して接続可能とする構成でもよい。
<第1の実施例>
図1は本発明の第1の実施例に係る証明書発行システムの構成を示すもので、図中、NW1,NW2はそれぞれ通信ネットワーク、4は端末装置、5は通信ID確認装置、6は通信ID−サブID確認装置、7は証明書発行装置、8は認証装置である。図1の例では通信ID確認装置5と通信ID−サブID確認装置6はそれぞれ直接証明書発行装置7に接続されている場合を示しているが、いずれか一方、又は両方ともネットワークNW1を介して接続可能とする構成でもよい。
ネットワークNW1,NW2(以下単にNW1あるいはNW2と記す)は、公衆電話網やインターネット等の広域通信網であり、NW1及びNW2は同一の通信IDを使用できない異なる通信ネットワークであるとする。ここで、証明書発行装置7はNW1に接続され、認証装置8はNW2に接続されるが、端末装置4はNW1,NW2のいずれにも接続して使用可能であるとする。
端末装置4は、特定のネットワーク、ここではNW1に接続された装置と該NW1における通信IDとは異なるサブIDを用いて通信可能とされている。具体的には、端末装置4は図示しないPBXやHGW等を介してNW1に接続された電話機やパーソナルコンピュータであり、通信ID記憶部41と、証明書記憶部42と、証明書発行要求部43と、認証要求部44とを備えている。
端末装置4は、特定のネットワーク、ここではNW1に接続された装置と該NW1における通信IDとは異なるサブIDを用いて通信可能とされている。具体的には、端末装置4は図示しないPBXやHGW等を介してNW1に接続された電話機やパーソナルコンピュータであり、通信ID記憶部41と、証明書記憶部42と、証明書発行要求部43と、認証要求部44とを備えている。
通信ID記憶部41は、NW1における通信ID(例えば、グローバルIPアドレス)を記憶する。証明書記憶部42は、証明書発行装置7が発行する証明書や当該端末装置4における公開鍵と秘密鍵の鍵ペアを保存する。
証明書発行要求部43は、通信ID記憶部41から通信IDを読み出し、該通信IDとともに(別途記憶された)サブID(例えば、プライベートIPアドレス)を少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信し、証明書発行装置7からNW1を介して送信されてきた証明書を受信し、当該証明書を証明書記憶部42に保存する。
証明書発行要求部43は、通信ID記憶部41から通信IDを読み出し、該通信IDとともに(別途記憶された)サブID(例えば、プライベートIPアドレス)を少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信し、証明書発行装置7からNW1を介して送信されてきた証明書を受信し、当該証明書を証明書記憶部42に保存する。
認証要求部44は、サブIDを少なくとも含む認証要求をNW2を介して認証装置8へ送信し、認証装置8からNW2を介してチャレンジを受信すると、前記認証要求が初めて(1回目)であるかを判定する。初めてであれば、該チャレンジに当該端末装置4の秘密鍵を用いてレスポンスを生成するとともに証明書記憶部42から証明書を読み出し、当該証明書と、当該端末装置4の公開鍵と、前記レスポンスとをNW2を介して認証装置8へ送信する。また、前記認証要求が2回目以降であれば、前記チャレンジに当該端末装置4の秘密鍵を用いてレスポンスを生成し、これを当該端末装置4の公開鍵とともにNW2を介して認証装置8へ送信し、認証装置8からNW2を介して送信されてきた認証結果を受信する。
通信ID確認装置5は、NW1における所定の通信IDが使用中か否かを確認、具体的にはNW1上の図示してない交換局やISP(Internet Service Provider)と連携して確認する。この確認は外部からの要求、例えば証明書発行装置7からの要求に応じて実行され、通信IDが使用中であればOK、そうでなければNGの確認結果を返す。
通信ID−サブID確認装置6は、所定のサブIDとNW1における所定の通信IDとが対応関係にあるか否かを確認する。この確認は外部からの要求、例えば証明書発行装置7からの要求に応じて実行され、対応関係にあればOK、そうでなければNGの確認結果を返す。
通信ID−サブID確認装置6は、所定のサブIDとNW1における所定の通信IDとが対応関係にあるか否かを確認する。この確認は外部からの要求、例えば証明書発行装置7からの要求に応じて実行され、対応関係にあればOK、そうでなければNGの確認結果を返す。
図2Aに示すように、証明書発行装置7は、通信ID確認要求部7Aと、通信ID−サブID確認要求部7Bと、証明書生成部7Cと、記憶部7Dと、制御部7Eとから構成されている。端末装置4からNW1を介してサブID及び通信IDを少なくとも含む証明書発行要求を受信すると、通信ID確認要求部7Aは該証明書発行要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する。また、通信ID−サブID確認要求部7Bは前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する。
通信ID確認装置5及び通信ID−サブID確認装置6からの確認結果が共にOKであれば、証明書生成部7Cは端末装置4の通信ID、サブID、当該証明書発行装置のID、及び有効期間(通常、例えば1〜2日程度と短く設定)を少なくとも含む図2Bに示すような証明書CTFを生成し、NW1を介して端末装置4へ送信する。いずれかがNGであればNW1を介して端末装置4へ発行拒否を通知する。
記憶部7Dには端末装置との通信に必要な情報、証明書生成に必要な情報などを予め保存し、あるいは証明書発行処理に使われる情報を必要に応じて保存する。制御部7Eは証明書発行装置7と他の装置(端末装置4、通信ID確認装置5、通信ID−サブID確認装置6)との間の通信を制御実行し、また、通信ID確認要求部7A、通信ID−サブID確認要求部7B、証明書生成部7C、記憶部7Dによる処理を制御する。
記憶部7Dには端末装置との通信に必要な情報、証明書生成に必要な情報などを予め保存し、あるいは証明書発行処理に使われる情報を必要に応じて保存する。制御部7Eは証明書発行装置7と他の装置(端末装置4、通信ID確認装置5、通信ID−サブID確認装置6)との間の通信を制御実行し、また、通信ID確認要求部7A、通信ID−サブID確認要求部7B、証明書生成部7C、記憶部7Dによる処理を制御する。
認証装置8は、図2Cに示すようにチャレンジ生成部8Aと、記憶部8Bと、レスポンス検証部8Cと、有効期間判定部8Dと、制御部8Eとから構成されている。端末装置4から他のネットワーク、ここではNW2を介して例えばサブIDを少なくとも含む認証要求を受信すると、チャレンジ生成部8Aは例えば認証手順に用いられる周知のチャレンジ&レスポンス方式に基づくチャレンジを生成して記憶部8Bに記憶するとともに、NW2を介して端末装置4へ送信する。
認証装置8は端末装置4からNW2を介して前記チャレンジに対するレスポンス及び当該端末装置4の公開鍵と共に証明書CTFを受信し、これらを記憶部8Bに記憶する。さらに、該受信したレスポンスをレスポンス検証部8Cにより、端末装置4の公開鍵及び前記記憶したチャレンジを使って検証する。検証に成功した場合は、有効期間判定部8Dにより受信日時が前記記憶した証明書CTF中の有効期間内であるか判定する。期間内であれば証明書CTFに対する認証結果としてOKをNW2を介して端末装置4へ送信する。レスポンスの検証に失敗したときはNGの認証結果を端末装置4へ送信する。
認証装置8は端末装置4からNW2を介して前記チャレンジに対するレスポンス及び当該端末装置4の公開鍵と共に証明書CTFを受信し、これらを記憶部8Bに記憶する。さらに、該受信したレスポンスをレスポンス検証部8Cにより、端末装置4の公開鍵及び前記記憶したチャレンジを使って検証する。検証に成功した場合は、有効期間判定部8Dにより受信日時が前記記憶した証明書CTF中の有効期間内であるか判定する。期間内であれば証明書CTFに対する認証結果としてOKをNW2を介して端末装置4へ送信する。レスポンスの検証に失敗したときはNGの認証結果を端末装置4へ送信する。
認証装置8がOKの認証結果を端末装置4に送信した場合、このシステムにおいて端末装置4はサブIDを使って認証装置を経由してNW2上の図示してない所望のサービス提供サーバに接続することができる。端末装置4がNW2上の所望のサービス提供サーバに直接接続する場合は、例えば認証装置8が端末装置4に認証結果OKと共に認証装置8のディジタル署名を送信し、端末装置4はサブIDを使って所望のサービス提供サーバに接続するときにそのディジタル署名を提示するようにしても良い。このようにして端末装置4はNW2上でサブIDを使って所望のサービス提供サーバに接続することが可能となる。
制御部8Eは、他の装置(ここでは端末装置4)との通信を制御実行し、また、チャンレンジ生成部8A、記憶部8B、レスポンス検証部8C、有効期間判定部8Dの処理を制御する。
なお、本実施例においては、NW1には1つの端末装置4が接続されているが、本発明の証明書発行システムに接続できる端末装置の数を限定するものではない。
以上のように構成された本発明の第1の実施例に係る証明書発行システムの動作について、図面を参照して説明する。
なお、本実施例においては、NW1には1つの端末装置4が接続されているが、本発明の証明書発行システムに接続できる端末装置の数を限定するものではない。
以上のように構成された本発明の第1の実施例に係る証明書発行システムの動作について、図面を参照して説明する。
図3は本発明の第1の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書発行要求部43により、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する(ステップS1)。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると、該証明書発行要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する(ステップS2)。
まず、端末装置4はその証明書発行要求部43により、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する(ステップS1)。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると、該証明書発行要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する(ステップS2)。
通信ID確認装置5は、証明書発行装置7からの確認要求に応じて、前記証明書発行要求に含まれる通信IDがNW1で使用中であるか否かをNW1と連携して確認し、使用中であればOKの確認結果を、使用中でなければNGの確認結果を証明書発行装置7に応答する(ステップS3)。NW1と連帯して通信IDの確認を行なうには、例えばNW1上にある図示してない交換局やISPのような通信管理装置が通信網機能の1つとして通信IDを管理し、通信ID確認装置5はこの通信管理装置から通信IDが使用中であるか否かの情報を取得する。
次に、証明書発行装置7は、通信ID確認装置5からの確認結果を受信し、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
通信ID−サブID確認装置6は、証明書発行装置7からの確認要求に応じて、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7に応答する(ステップS5)。
通信ID−サブID確認装置6は、証明書発行装置7からの確認要求に応じて、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7に応答する(ステップS5)。
証明書発行装置7は、通信ID−サブID確認装置6からの確認結果を受信し、前記通信ID確認装置5からの確認結果と共にOKであれば、当該証明書発行装置7のID、前記端末装置4の通信ID及びサブID、有効期間を少なくとも含む証明書CTFを生成し、NW1を介して端末装置4へ送信する。また、確認結果のいずれか一方がNGであれば、NW1を介して端末装置4へ発行拒否を通知する(ステップS6)。
端末装置4はその証明書発行要求部43により、証明書発行装置7からNW1を介して送信されてきた証明書CTFを受信し(ステップS7)、該受信した証明書CTFを証明書記憶部42に保存する。また、発行拒否が通知された場合は処理を終了する(ステップS8)。
端末装置4はその証明書発行要求部43により、証明書発行装置7からNW1を介して送信されてきた証明書CTFを受信し(ステップS7)、該受信した証明書CTFを証明書記憶部42に保存する。また、発行拒否が通知された場合は処理を終了する(ステップS8)。
図4は本発明の第1の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその認証要求部44により、サブIDを少なくとも含む認証要求をNW2を介して認証装置8へ送信する(ステップS11)。
次に、認証装置8は、端末装置4からNW2を介して認証要求を受信すると、チャレンジを生成して記憶部8Bに記憶するとともにNW2を介して端末装置4へ送信する(ステップS12)。
まず、端末装置4はその認証要求部44により、サブIDを少なくとも含む認証要求をNW2を介して認証装置8へ送信する(ステップS11)。
次に、認証装置8は、端末装置4からNW2を介して認証要求を受信すると、チャレンジを生成して記憶部8Bに記憶するとともにNW2を介して端末装置4へ送信する(ステップS12)。
端末装置4はその認証要求部44により、認証装置8からNW2を介してチャレンジを受信すると、該チャレンジに当該端末装置4の秘密鍵を用いてレスポンスを生成し(ステップS13)、前記認証要求が初めて(1回目)であるか判定し(ステップS14)、初めてであれば証明書記憶部42から証明書CTFを読み出し(ステップS15)、当該証明書CTFと、当該端末装置4の公開鍵と、前記レスポンスとをNW2を介して認証装置8へ送信し(ステップS16)、前記認証要求が2回目以降であれば、前記チャレンジに対するレスポンスを当該端末装置4の公開鍵とともにNW2を介して認証装置8へ送信する(ステップS16)。即ち、2回目以降の認証要求の場合は、証明書の送信を省略する。
認証装置8は、端末装置4からNW2を介して前記チャレンジに対するレスポンス及び当該端末装置4の公開鍵、もしくはこれらとともに証明書を受信する。受信情報に証明書CTFが含まれている場合は、これを記憶部8Bに記憶し、レスポンス検証部8Cにより該受信したレスポンスを端末装置4の公開鍵及び記憶部8Bから読み出したチャレンジを使って検証する(ステップS17)。検証に成功したか判定し、検証に失敗したときはNGの認証結果をNW2を介して端末装置4に送信する(ステップS18)。また、検証に成功した場合は前記記憶した証明書CTF中の有効期間が満了しているか判定し、満了していなければOKの認証結果を、満了していればNGの認証結果をNW2を介して端末装置4へ送信する(ステップS19)。
端末装置4からの受信情報に証明書が含まれていない場合は、同じ端末装置4による2回目以降の認証要求であることを示しており、従って、ステップS19において記憶部8Bに記憶されている1回目の認証時の証明書CTFをサブID(又は通信ID)により検索し、読み出した証明書CTFの有効期間をチェックする。
端末装置はその認証要求部44により、認証装置8からNW2を介して認証結果を受信する。
この実施例によれば、NW1を介した端末装置4の証明書発行装置7へのアクセスの確認及び通信IDとサブIDとの対応関係の確認のみを根拠とし、本人の確認を必要としない、有効期間の短い証明書を発行する。これにより、証明書発行装置7が接続されたNW1とは異なるNW2に接続された認証装置8でも認証可能とすることで、端末装置4を移動して用いるような、元の通信IDが利用できないような場合であっても、様々なサービスを利用可能とすることができる。
端末装置はその認証要求部44により、認証装置8からNW2を介して認証結果を受信する。
この実施例によれば、NW1を介した端末装置4の証明書発行装置7へのアクセスの確認及び通信IDとサブIDとの対応関係の確認のみを根拠とし、本人の確認を必要としない、有効期間の短い証明書を発行する。これにより、証明書発行装置7が接続されたNW1とは異なるNW2に接続された認証装置8でも認証可能とすることで、端末装置4を移動して用いるような、元の通信IDが利用できないような場合であっても、様々なサービスを利用可能とすることができる。
<第2の実施例>
本発明の第2の実施例は、前述した第1の実施例において、証明書発行装置7が、通信ID確認装置5からの確認結果または通信ID−サブID確認装置6からの確認結果のいずれか一方もしくは両方を受信した際に記憶部7Dに保存しておき、2回目以降の証明書発行要求に対して、その通信IDもしくはその通信IDとサブIDを用いて前記保存した確認結果を検索し、その通信IDが使用中か否かの確認結果、もしくはその通信IDとサブIDとが対応関係にあるか否かの確認結果があればこれらを参照して証明書CTFを生成し、端末装置4へ送信する。
本発明の第2の実施例は、前述した第1の実施例において、証明書発行装置7が、通信ID確認装置5からの確認結果または通信ID−サブID確認装置6からの確認結果のいずれか一方もしくは両方を受信した際に記憶部7Dに保存しておき、2回目以降の証明書発行要求に対して、その通信IDもしくはその通信IDとサブIDを用いて前記保存した確認結果を検索し、その通信IDが使用中か否かの確認結果、もしくはその通信IDとサブIDとが対応関係にあるか否かの確認結果があればこれらを参照して証明書CTFを生成し、端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した証明書発行装置7における処理手順が異なる点を除いて第1の実施例の場合と同様である。
図5は本発明の第2の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると(ステップS1)、該証明書発行要求に含まれる通信IDもしくはその通信IDとサブIDを用いて前記保存した確認結果を検索して確認結果が保存されているか判定する(ステップS2A)。確認結果が保存されていれば、読み出してステップS4Aに移る。確認結果が保存されていなければ確認要求を通信ID確認装置5に送信する(ステップS2B)。通信ID確認装置5から通信IDが使用中か否かの確認結果を受信すると(ステップS3A)、それを記憶部7Dに保存する(ステップS3B)。
図5は本発明の第2の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると(ステップS1)、該証明書発行要求に含まれる通信IDもしくはその通信IDとサブIDを用いて前記保存した確認結果を検索して確認結果が保存されているか判定する(ステップS2A)。確認結果が保存されていれば、読み出してステップS4Aに移る。確認結果が保存されていなければ確認要求を通信ID確認装置5に送信する(ステップS2B)。通信ID確認装置5から通信IDが使用中か否かの確認結果を受信すると(ステップS3A)、それを記憶部7Dに保存する(ステップS3B)。
次に通信IDとサブIDとが対応関係にあるか否かの確認結果が保存されているか検索し(ステップS4A)、保存されていれば読み出してステップS6に移る。対応関係が保存されていなければ通信IDとサブIDが対応関係にあるか否かの確認要求を通信ID−サブID確認装置6に要求し(ステップS4B)、その確認結果を受信して(ステップS5A)記憶部7Dに保存する(ステップS5B)。通信IDが使用中であり、かつ通信IDとサブIDの対応関係が正しければ、証明書CTFを生成して端末装置4へ送信する(ステップS6、S7)。
なお、証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、同一の端末装置4からの2回目以降の証明書発行要求に対し、通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方への確認処理が不要となり、より高速に証明書を発行可能となる。
この実施例によれば、同一の端末装置4からの2回目以降の証明書発行要求に対し、通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方への確認処理が不要となり、より高速に証明書を発行可能となる。
<第3の実施例>
図1に示したシステムにおいて、例えば通信ID確認装置5および通信ID−サブID確認装置6が端末装置4と同じHGWの内側において互いに接続されている場合、HGWの外のNW1上の証明書発行装置7から直接通信ID確認装置5及び通信ID−サブID確認装置6にアクセスすることはできない。このような場合、本発明の第3の実施例では、前述した第1の実施例において、証明書発行装置7が、証明書発行要求に含まれる通信IDが使用中か否かの確認または証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認のいずれか一方もしくは両方をそれぞれ、端末装置4を介して通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方に要求する。
図1に示したシステムにおいて、例えば通信ID確認装置5および通信ID−サブID確認装置6が端末装置4と同じHGWの内側において互いに接続されている場合、HGWの外のNW1上の証明書発行装置7から直接通信ID確認装置5及び通信ID−サブID確認装置6にアクセスすることはできない。このような場合、本発明の第3の実施例では、前述した第1の実施例において、証明書発行装置7が、証明書発行要求に含まれる通信IDが使用中か否かの確認または証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認のいずれか一方もしくは両方をそれぞれ、端末装置4を介して通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方に要求する。
なお、本実施例に係る証明書発行システムの構成は、前述した証明書発行装置7における処理手順が異なる点を除いて第1の実施例の場合と同様である。
図6は本発明の第3の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると(ステップS1)、該証明書発行要求に含まれる通信IDが使用中か否かの確認要求をNW1を介して端末装置4へ送信する(ステップS2a)。
図6は本発明の第3の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると(ステップS1)、該証明書発行要求に含まれる通信IDが使用中か否かの確認要求をNW1を介して端末装置4へ送信する(ステップS2a)。
端末装置4は、証明書発行装置7からNW1を介して送信されてきた証明書発行要求に含まれる通信IDが使用中か否かの確認要求を受信すると、そのまま通信ID確認装置5へ送信する(ステップS2b)。
通信ID確認装置5は、端末装置4を介して送信された証明書発行装置7からの要求に応じて、前記証明書発行要求に含まれる通信IDがNW1で使用中であるか否かをNW1と連携して確認し、使用中であればOKの確認結果を、使用中でなければNGの確認結果を証明書発行装置7へ送信する(ステップS3)。
通信ID確認装置5は、端末装置4を介して送信された証明書発行装置7からの要求に応じて、前記証明書発行要求に含まれる通信IDがNW1で使用中であるか否かをNW1と連携して確認し、使用中であればOKの確認結果を、使用中でなければNGの確認結果を証明書発行装置7へ送信する(ステップS3)。
証明書発行装置7は、通信ID確認装置5からの確認結果を受信し、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認要求をNW1を介して端末装置4へ送信する(ステップS4a)。
また、端末装置4は、証明書発行装置7からNW1を介して送信されてきた証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認要求を受信すると、そのまま通信ID−サブID確認装置6へ送信する(ステップS4b)。
通信ID−サブID確認装置6は、端末装置4を介して送信された証明書発行装置7からの要求に応じて、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7へ送信する(ステップS5)。
また、端末装置4は、証明書発行装置7からNW1を介して送信されてきた証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認要求を受信すると、そのまま通信ID−サブID確認装置6へ送信する(ステップS4b)。
通信ID−サブID確認装置6は、端末装置4を介して送信された証明書発行装置7からの要求に応じて、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7へ送信する(ステップS5)。
証明書発行装置7は、通信ID確認装置5からの通信IDが使用中である確認結果及び通信ID−サブID確認装置6からの通信IDとサブIDが正しく対応している確認結果に基づいて証明書CTFを生成し(ステップS6)、端末装置4へ送信する(ステップS7)。
なお、ステップS3及びS5はそれぞれ通信ID確認装置5及び通信ID−サブID確認装置6が証明書発行装置7へ直接応答する場合を示したが、破線のステップS3’及びS5’で示すように端末装置4を経由するリダイレクトで応答してもよい。証明書認証処理の動作は第1の実施例の場合と同様である。
なお、ステップS3及びS5はそれぞれ通信ID確認装置5及び通信ID−サブID確認装置6が証明書発行装置7へ直接応答する場合を示したが、破線のステップS3’及びS5’で示すように端末装置4を経由するリダイレクトで応答してもよい。証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、証明書発行装置7は、通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方が端末装置4と同じHGW内にある場合でも証明書発行装置7は端末装置4を介して確認要求を通信ID確認装置5及び/又は通信ID−サブID確認装置6に送信することができる。なお、この実施例は第2の実施例にも適用可能であることはいうまでもない。
<第4の実施例>
本発明の第4の実施例は、前述した第1の実施例において、端末装置4からの証明書発行要求にNW1側で当該端末装置4の通信IDを付与する。
本発明の第4の実施例は、前述した第1の実施例において、端末装置4からの証明書発行要求にNW1側で当該端末装置4の通信IDを付与する。
図7は本発明の第4の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、端末装置4からの証明書発行要求に当該端末装置4の通信IDを付与する通信ID付与装置9を備えた点が異なる。この通信ID付与装置9は、通常、この端末装置4が収容される図示してないPBXやHGWに設けられる。
また、端末装置4は、図1に示されている通信ID記憶部41を備えず、通信ID記憶装置9Aが通信ID付与装置9に接続されている。証明書発行要求部43は通信IDを含まず、サブIDを少なくとも含む証明書発行要求を通信ID付与装置9を介して証明書発行装置7へ送信する。このとき、通信ID付与装置9は通信ID記憶装置9Aから読み出した通信IDを証明書発行要求に含めて証明書発行装置7へ送信する。端末装置4の証明書発行要求部43は証明書発行装置7からNW1を介して送信されてきた証明書CTFを受信し、当該証明書CTFを証明書記憶部42に保存する。
また、端末装置4は、図1に示されている通信ID記憶部41を備えず、通信ID記憶装置9Aが通信ID付与装置9に接続されている。証明書発行要求部43は通信IDを含まず、サブIDを少なくとも含む証明書発行要求を通信ID付与装置9を介して証明書発行装置7へ送信する。このとき、通信ID付与装置9は通信ID記憶装置9Aから読み出した通信IDを証明書発行要求に含めて証明書発行装置7へ送信する。端末装置4の証明書発行要求部43は証明書発行装置7からNW1を介して送信されてきた証明書CTFを受信し、当該証明書CTFを証明書記憶部42に保存する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
図8は本発明の第4の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書発行要求部43により、サブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する。この際、通信ID付与装置9は、証明書発行要求を受信し、これに通信ID記憶装置9Aから読み出した当該端末装置4の通信IDを付与して証明書発行装置7へ送信する。なお、以降の動作、並びに証明書認証処理の動作は第1の実施例の場合と同様であり、説明を省略する。
図8は本発明の第4の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書発行要求部43により、サブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する。この際、通信ID付与装置9は、証明書発行要求を受信し、これに通信ID記憶装置9Aから読み出した当該端末装置4の通信IDを付与して証明書発行装置7へ送信する。なお、以降の動作、並びに証明書認証処理の動作は第1の実施例の場合と同様であり、説明を省略する。
この実施例によれば、端末装置4は通信IDを記憶する通信ID記憶部41が不要になる。なお、この実施例は第2、3の実施例にも適用可能であることはいうまでもない。
<第5の実施例>
本発明の第5の実施例は、前述した第1の実施例において、証明書をNW1以外の第3の通信ネットワークを利用して端末装置へ送信する。
図9は本発明の第5の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、第3の通信ネットワークNW3、例えば電子メール網を備えている。また、端末装置4は、通信ID記憶部41、証明書記憶部42、認証要求部44とともに、NW3における当該端末装置4の通信ID(通信ID3)(例えば、メールアドレス)を記憶する第2の通信ID記憶部(通信ID3記憶部)45を備えている。通信ID記憶部41から通信IDを読み出すとともに通信ID3記憶部45から通信ID3を読み出し、該通信ID及び通信ID3とともにサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する。証明書発行装置7からNW3を介して送信されてきた証明書CTFを受信し、当該証明書CTFを証明書記憶部42に保存する証明書発行要求部43を備えている。
本発明の第5の実施例は、前述した第1の実施例において、証明書をNW1以外の第3の通信ネットワークを利用して端末装置へ送信する。
図9は本発明の第5の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、第3の通信ネットワークNW3、例えば電子メール網を備えている。また、端末装置4は、通信ID記憶部41、証明書記憶部42、認証要求部44とともに、NW3における当該端末装置4の通信ID(通信ID3)(例えば、メールアドレス)を記憶する第2の通信ID記憶部(通信ID3記憶部)45を備えている。通信ID記憶部41から通信IDを読み出すとともに通信ID3記憶部45から通信ID3を読み出し、該通信ID及び通信ID3とともにサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する。証明書発行装置7からNW3を介して送信されてきた証明書CTFを受信し、当該証明書CTFを証明書記憶部42に保存する証明書発行要求部43を備えている。
また、証明書発行装置7は、端末装置4からNW1を介して通信ID、通信ID3及びサブIDを少なくとも含む証明書発行要求を受信すると、該証明書発行要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する。さらに、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する。通信ID確認装置5及び通信ID−サブID確認装置6からの確認結果がOKであれば、当該証明書発行装置7のID、端末装置4のサブID及び有効期間を少なくとも含む証明書を生成し、NW3を介して端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
図10は本発明の第5の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書発行要求部43により、通信ID記憶部41から通信IDを読み出し、さらに通信ID3記憶部45から通信ID3を読み出し、該通信ID、通信ID3及びサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する(ステップS1)。
図10は本発明の第5の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書発行要求部43により、通信ID記憶部41から通信IDを読み出し、さらに通信ID3記憶部45から通信ID3を読み出し、該通信ID、通信ID3及びサブIDを少なくとも含む証明書発行要求をNW1を介して証明書発行装置7へ送信する(ステップS1)。
証明書発行装置7は、端末装置4からNW1を介して証明書発行要求を受信すると(ステップS1)、第1の実施例の場合と同様にして該証明書発行要求に含まれる通信IDが使用中か否かの確認及び通信IDとサブIDとが対応関係にあるか否かの確認を行う(ステップS2〜S5)。これらの確認結果が共にOKであれば、当該証明書発行装置7のID、前記端末装置4の通信ID及びサブID、有効期間を少なくとも含む証明書CTFを生成し(ステップS6)、NW3を介して端末装置4へ通信ID3を宛先として送信する(ステップS7)。また、確認結果のいずれか一方がNGであれば、NW3を介して端末装置4へ発行拒否を通知する。
端末装置4はその証明書発行要求部43により、証明書発行装置7からNW3を介して送信されてきた証明書CTFを受信し、該受信した証明書を証明書記憶部42に保存する。また、発行拒否が通知された場合は処理を終了する(ステップS8)。
なお、証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、通信ID、通信ID3及びサブIDの3つのIDにより端末装置4を特定できることになり、より証明力の高い証明書を発行できる。なお、この実施例は第2乃至4の実施例にも適用可能であることはいうまでもない。
なお、証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、通信ID、通信ID3及びサブIDの3つのIDにより端末装置4を特定できることになり、より証明力の高い証明書を発行できる。なお、この実施例は第2乃至4の実施例にも適用可能であることはいうまでもない。
<第6の実施例>
本発明の第6の実施例は、前述した第1の実施例において、証明書認証の際、通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方も利用する。
図11は本発明の第6の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、認証装置8は通信ID確認装置5と通信ID−サブID確認装置6の一方又は両方と例えば専用回線で接続されている。図11では認証装置8が通信ID−サブID確認装置6に接続されている例を示している。認証装置8は、端末装置4からNW2を介してサブIDを少なくとも含む認証要求を受信すると、チャレンジを生成して記憶するとともにNW2を介して端末装置4へ送信する。
本発明の第6の実施例は、前述した第1の実施例において、証明書認証の際、通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方も利用する。
図11は本発明の第6の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、認証装置8は通信ID確認装置5と通信ID−サブID確認装置6の一方又は両方と例えば専用回線で接続されている。図11では認証装置8が通信ID−サブID確認装置6に接続されている例を示している。認証装置8は、端末装置4からNW2を介してサブIDを少なくとも含む認証要求を受信すると、チャレンジを生成して記憶するとともにNW2を介して端末装置4へ送信する。
認証装置8は端末装置4からNW2を介して前記チャレンジに対するレスポンス及び当該端末装置の公開鍵とともに証明書を受信し、これらを記憶する。該受信したレスポンスを端末装置4の公開鍵及び前記記憶したチャレンジを使って検証し、検証に失敗したときはNGの認証結果をNW2を介して端末装置4に送信する。また、検証に成功し且つ前記記憶した証明書中の有効期間内であれば、さらに通信ID確認装置5または通信ID−サブID確認装置6のいずれか一方もしくは両方に通信IDまたは通信IDとサブIDとの関係の確認を要求する。図11の例では通信ID−サブID確認装置6に通信IDとサブIDとが対応関係にあるか否かの確認を要求する例を示している。確認結果がOKであれば、OKの認証結果をNW2を介して端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様であり、また、証明書発行処理の動作は第1の実施例の場合と同様である。
図12は図11に示した第6の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまでは、第1の実施例の場合と同様である。
認証装置8は、ステップS18で検証に成功し且つステップS19で有効期間内と判定された場合は、さらにステップS20Aで証明書CTFに含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する。
図12は図11に示した第6の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまでは、第1の実施例の場合と同様である。
認証装置8は、ステップS18で検証に成功し且つステップS19で有効期間内と判定された場合は、さらにステップS20Aで証明書CTFに含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する。
ステップS20Bで通信ID−サブID確認装置6は、認証装置8からの要求に応じて、前記証明書CTFに含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を認証装置8に応答する。
認証装置8は、通信ID−サブID確認装置6からの確認結果を受信し、OKであればOKの認証結果を、また、NGであればNGの認証結果をNW2を介して端末装置4へ送信する。端末装置4はその認証要求部44により、認証装置8からNW2を介して認証結果を受信する。
認証装置8は、通信ID−サブID確認装置6からの確認結果を受信し、OKであればOKの認証結果を、また、NGであればNGの認証結果をNW2を介して端末装置4へ送信する。端末装置4はその認証要求部44により、認証装置8からNW2を介して認証結果を受信する。
この実施例によれば、端末装置4から認証が要求された時点での通信IDとサブIDの対応関係、即ち証明書CTFの有効性、を確認できる。なお、この実施例は第2乃至5の実施例にも適用可能であることはいうまでもない。
<第7の実施例>
本発明の第7の実施例は、前述した第1の実施例において、端末装置4が証明書CTFの失効を登録する機能が追加され、また、認証装置8は証明書CTFに対する認証の際、証明書の失効情報が登録されていないか確認する機能が追加されている。
本発明の第7の実施例は、前述した第1の実施例において、端末装置4が証明書CTFの失効を登録する機能が追加され、また、認証装置8は証明書CTFに対する認証の際、証明書の失効情報が登録されていないか確認する機能が追加されている。
図13は本発明の第7の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、証明書CTFの失効情報を登録した失効情報記憶装置10を備えている。証明書発行装置7及び認証装置8は失効情報記憶装置10に接続されている。
また、端末装置4は、通信ID記憶部41、証明書記憶部42、証明書発行要求部43(図示せず)、認証要求部44とともに、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含む証明書失効要求をNW1を介して証明書発行装置7へ送信する証明書失効要求部46を備えている。
また、端末装置4は、通信ID記憶部41、証明書記憶部42、証明書発行要求部43(図示せず)、認証要求部44とともに、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含む証明書失効要求をNW1を介して証明書発行装置7へ送信する証明書失効要求部46を備えている。
また、証明書発行装置7は、図2Aに破線で示すように証明書失効情報生成部7Fが更に追加された構成である。第1の実施例の場合の機能に加え、端末装置4からNW1を介して通信ID及びサブIDを少なくとも含む証明書失効要求を受信すると、通信ID確認要求部7Aは該証明書失効要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求し、通信ID−サブID確認要求部7Bは前記証明書失効要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する。証明書失効情報生成部7Fは、通信ID確認装置5及び通信ID−サブID確認装置6からの確認結果がOKであれば、当該通信ID及びサブIDを含む証明書の失効情報を生成し、当該失効情報を失効情報記憶装置10に登録する。
認証装置8は、図2Cに破線で示すように、失効情報確認部8Fが更に追加された構成となっている。端末装置4からNW2を介してサブIDを少なくとも含む認証要求を受信すると、チャレンジ生成部8Aはチャレンジを生成して記憶部8Bに記憶するとともにNW2を介して端末装置4へ送信する。認証装置8は端末装置4からNW2を介して前記チャレンジに対するレスポンス及び当該端末装置の公開鍵とともに証明書CTFを受信して記憶する。該受信したレスポンスをレスポンス検証部8Cにより端末装置4の公開鍵及び前記記憶したチャレンジを使って検証し、検証に失敗したときはNGの認証結果をNW2を介して端末装置4に送信する。また、検証に成功し且つ前記記憶した証明書中の有効期間内であれば、さらに証明書CTFに含まれる通信ID及びサブIDを少なくとも含む証明書の失効情報が失効情報記憶装置10中にあるか否かを失効情報確認部8Fにより確認し、なければOKの認証結果を、また、リスト中にあればNGの認証結果をNW2を介して端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
図14は本発明の第7の実施例に係る証明書発行システムにおける証明書失効処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書失効要求部46により、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含むサブID証明書失効要求をNW1を介して証明書発行装置7へ送信する(ステップS31)。
図14は本発明の第7の実施例に係る証明書発行システムにおける証明書失効処理の主要な流れを示すもので、以下、動作を詳細に説明する。
まず、端末装置4はその証明書失効要求部46により、通信ID記憶部41から通信IDを読み出し、該通信IDとともにサブIDを少なくとも含むサブID証明書失効要求をNW1を介して証明書発行装置7へ送信する(ステップS31)。
証明書発行装置7は、端末装置4からNW1を介して証明書失効要求を受信すると、該証明書失効要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する(ステップS32)。
通信ID確認装置5は、証明書発行装置7からの要求に応じて、前記証明書失効要求に含まれる通信IDがNW1で使用中であるか否かをNW1と連携して確認し、使用中であればOKの確認結果を、使用中でなければNGの確認結果を証明書発行装置7に応答する(ステップS33)。
通信ID確認装置5は、証明書発行装置7からの要求に応じて、前記証明書失効要求に含まれる通信IDがNW1で使用中であるか否かをNW1と連携して確認し、使用中であればOKの確認結果を、使用中でなければNGの確認結果を証明書発行装置7に応答する(ステップS33)。
証明書発行装置7は、通信ID確認装置5からの確認結果を受信し、前記証明書失効要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS34)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、前記証明書失効要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7に応答する(ステップS35)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、前記証明書失効要求に含まれる通信IDとサブIDとが対応関係にあるか否かを確認し、対応関係にあればOKの確認結果を、対応関係になければNGの確認結果を証明書発行装置7に応答する(ステップS35)。
証明書発行装置7は、通信ID−サブID確認装置6からの確認結果を受信し、前記通信ID確認装置5からの確認結果と共にOKであれば、前記端末装置4の通信ID及びサブIDを少なくとも含む証明書の失効情報を生成し、失効情報記憶装置10に登録する。また、確認結果のいずれか一方がNGであれば、処理を終了する(ステップS36)。
図15は本発明の第7の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまでは、図12の場合と同様である。
図15は本発明の第7の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまでは、図12の場合と同様である。
認証装置8は、検証に成功し(ステップS17,S18)且つ有効期間内であれば(ステップS19)、さらに証明書に含まれる通信ID及びサブIDを少なくとも含む証明書の失効情報があるか否かの確認を失効情報記憶装置10に要求する(ステップS20C)。
失効情報記憶装置10は、認証装置8からの要求に応じて、前記通信ID及びサブIDを少なくとも含む証明書の失効情報があるか否かを確認し、該当する失効情報があれば該当情報有り、また、なければ該当情報無しの確認結果を認証装置8に応答する(ステップS20D)。
失効情報記憶装置10は、認証装置8からの要求に応じて、前記通信ID及びサブIDを少なくとも含む証明書の失効情報があるか否かを確認し、該当する失効情報があれば該当情報有り、また、なければ該当情報無しの確認結果を認証装置8に応答する(ステップS20D)。
認証装置8は、失効情報記憶装置10からの確認結果を受信し、該当情報がなければOKの認証結果を、また、該当情報があればNGの認証結果をNW2を介して端末装置4へ送信する。端末装置4はその認証要求部44により、認証装置8からNW2を介して認証結果を受信する。
この実施例によれば、端末装置4、即ちユーザは証明書の失効を求めることができ、認証装置8は証明書の認証要求に対し失効情報を登録した失効情報記憶装置10を利用して証明書CTFの有効性を確認できる。なお、この実施例は第2乃至6の実施例にも適用可能であることはいうまでもない。
この実施例によれば、端末装置4、即ちユーザは証明書の失効を求めることができ、認証装置8は証明書の認証要求に対し失効情報を登録した失効情報記憶装置10を利用して証明書CTFの有効性を確認できる。なお、この実施例は第2乃至6の実施例にも適用可能であることはいうまでもない。
<第8の実施例>
本発明の第8の実施例は、前述した第1の実施例において、複数の証明書のうち、最適の証明書を利用可能とする。
図16は本発明の第8の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、端末装置4は、図1の場合と同様に通信ID記憶部41、証明書記憶部42、証明書発行要求部43、認証要求部44を有している。この実施例において端末装置4は更に、証明書記憶部42に保存されている各証明書の利用者、利用先、利用場所、利用時間、利用目的などの利用履歴を管理し、証明書記憶部42から証明書を読み出して認証要求装置8へ送る際、その利用履歴や当該証明書自体に記載された用途などに応じて、最適の証明書を読み出す証明書管理部47を備えている。
本発明の第8の実施例は、前述した第1の実施例において、複数の証明書のうち、最適の証明書を利用可能とする。
図16は本発明の第8の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、端末装置4は、図1の場合と同様に通信ID記憶部41、証明書記憶部42、証明書発行要求部43、認証要求部44を有している。この実施例において端末装置4は更に、証明書記憶部42に保存されている各証明書の利用者、利用先、利用場所、利用時間、利用目的などの利用履歴を管理し、証明書記憶部42から証明書を読み出して認証要求装置8へ送る際、その利用履歴や当該証明書自体に記載された用途などに応じて、最適の証明書を読み出す証明書管理部47を備えている。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
この実施例によれば、証明書記憶部42に複数の証明書が保存されている場合、半自動的に最適なものを選択することができる。なお、この実施例は第2乃至7の実施例にも適用可能であることはいうまでもない。
この実施例によれば、証明書記憶部42に複数の証明書が保存されている場合、半自動的に最適なものを選択することができる。なお、この実施例は第2乃至7の実施例にも適用可能であることはいうまでもない。
<第9の実施例>
本発明の第9の実施例は、前述した第1の実施例において、端末装置4において証明書をより安全に保存可能とする。
本発明の第9の実施例は、前述した第1の実施例において、端末装置4において証明書をより安全に保存可能とする。
図17は本発明の第9の実施例に係る証明書発行システムの構成を示すもので、端末装置4は第1の実施例のシステムにおける端末装置4と同様に、通信ID記憶部41、証明書記憶部42、証明書発行要求部43、認証要求部44を有している。図17の実施例においては端末装置4は更に、耐タンパ部48を内蔵し、証明書記憶部42を該耐タンパ部48内に設けた構成となっている。耐タンパ部48は、例えばTPM(Trusted Platform Module)やSIM(Subscriber Identification Module)のようなデバイスやICカードにより構成される。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
この実施例によれば、証明書や当該端末装置4における公開鍵と秘密鍵の鍵ペアが耐タンパ部48内に保存されるため、第三者による外部からの攻撃はもとより、本人であってもその内容を改ざんすることはできず、証明書の証明力をより高めることができる。なお、この実施例は第2乃至8の実施例にも適用可能であることはいうまでもない。
この実施例によれば、証明書や当該端末装置4における公開鍵と秘密鍵の鍵ペアが耐タンパ部48内に保存されるため、第三者による外部からの攻撃はもとより、本人であってもその内容を改ざんすることはできず、証明書の証明力をより高めることができる。なお、この実施例は第2乃至8の実施例にも適用可能であることはいうまでもない。
<第10の実施例>
本発明の第10の実施例は、前述した第1の実施例において、通信ID−サブID確認装置6におけるサブIDと通信IDとの対応関係の具体的な確認方法の例を示す。
本発明の第10の実施例は、前述した第1の実施例において、通信ID−サブID確認装置6におけるサブIDと通信IDとの対応関係の具体的な確認方法の例を示す。
図18は本発明の第10の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、端末装置4は通信ID−サブID変換装置11を介してNW1に接続されている。通信ID−サブID確認装置6は、所定のサブIDとNW1における所定の通信IDとが対応関係にあるか否かを、端末装置4とNW1との間に設置される通信ID−サブID変換装置11と連携して確認する。ここで、通信ID−サブID変換装置11とは、子番号と親番号との変換、プライベートIPアドレスとグローバルIPアドレスとの変換などを行うPBXやHGWなどを指す。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
図19は本発明の第10の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4から証明書発行要求を受信し(ステップS1)、通信ID確認装置5に対して通信IDが使用中か否かを確認した後(ステップS2,S3)、証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
図19は本発明の第10の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4から証明書発行要求を受信し(ステップS1)、通信ID確認装置5に対して通信IDが使用中か否かを確認した後(ステップS2,S3)、証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、前記証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認要求をNW1を介して通信ID−サブID変換装置11へ送信する(ステップS5a)。
通信ID−サブID変換装置11は、通信ID−サブID確認装置6からの要求を受信し、前記証明書発行要求に含まれるサブIDの端末装置4に対して前述したようなチャレンジ及びレスポンスによる確認を行い(ステップS5b,S5c)、確認できればOKの確認結果を、確認できなければNGの確認結果をNW1を介して通信ID−サブID確認装置6へ送信する(ステップS5d)。
通信ID−サブID変換装置11は、通信ID−サブID確認装置6からの要求を受信し、前記証明書発行要求に含まれるサブIDの端末装置4に対して前述したようなチャレンジ及びレスポンスによる確認を行い(ステップS5b,S5c)、確認できればOKの確認結果を、確認できなければNGの確認結果をNW1を介して通信ID−サブID確認装置6へ送信する(ステップS5d)。
通信ID−サブID確認装置6は、前記通信ID−サブID変換装置11から受信した確認結果を証明書発行装置7に応答する(ステップS5e)。
なお、以降の動作は第1の実施例の場合と同様である。
図20は本発明の第10の実施例に係る証明書発行システムにおける他の証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4から証明書発行要求を受信し(ステップS1)、通信ID確認装置5に対して通信IDが使用中か否かを確認した後(ステップS2,S3)、証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
なお、以降の動作は第1の実施例の場合と同様である。
図20は本発明の第10の実施例に係る証明書発行システムにおける他の証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4から証明書発行要求を受信し(ステップS1)、通信ID確認装置5に対して通信IDが使用中か否かを確認した後(ステップS2,S3)、証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、チャレンジを含み、前記証明書発行要求に含まれる通信IDを宛先とする端末装置4の確認要求をNW1を介して通信ID−サブID変換装置11へ送信する(ステップS5a)。
通信ID−サブID変換装置11は、前記確認要求の宛先を通信IDからサブIDに自動変換して端末装置4へ送信する(ステップS5b)。
端末装置4は、前記確認要求を受信すると、前記チャレンジに対するレスポンスを計算し、当該レスポンスとその公開鍵を少なくとも含む応答を通信ID−サブID変換装置11へ送信する(ステップS5c)。
通信ID−サブID変換装置11は、前記確認要求の宛先を通信IDからサブIDに自動変換して端末装置4へ送信する(ステップS5b)。
端末装置4は、前記確認要求を受信すると、前記チャレンジに対するレスポンスを計算し、当該レスポンスとその公開鍵を少なくとも含む応答を通信ID−サブID変換装置11へ送信する(ステップS5c)。
通信ID−サブID変換装置11は、前記応答の送信元のサブIDを通信IDに自動変換してNW1を介して通信ID−サブID確認装置6へ送信する(ステップS5d)。
通信ID−サブID確認装置6は、前記通信ID−サブID変換装置11から端末装置4の確認要求に対する応答を受信すると、チャレンジに対するレスポンスを検証し、正しければOKの確認結果を証明書発行装置7に応答する(ステップS5e)。
なお、以降の動作は第1の実施例の場合と同様である。
更にまた、図21は本発明の第10の実施例に係る証明書発行システムにおける更に他の証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
通信ID−サブID確認装置6は、前記通信ID−サブID変換装置11から端末装置4の確認要求に対する応答を受信すると、チャレンジに対するレスポンスを検証し、正しければOKの確認結果を証明書発行装置7に応答する(ステップS5e)。
なお、以降の動作は第1の実施例の場合と同様である。
更にまた、図21は本発明の第10の実施例に係る証明書発行システムにおける更に他の証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
証明書発行装置7は、端末装置4から証明書発行要求を受信し(ステップS1)、通信ID確認装置5に対して通信IDが使用中か否かを確認した後(ステップS2,S3)、証明書発行要求に含まれる通信IDとサブIDとが対応関係にあるか否かの確認を通信ID−サブID確認装置6に要求する(ステップS4)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、チャレンジを含み、前記証明書発行要求に含まれる通信IDを宛先とする端末装置4の確認要求をNW1を介して通信ID−サブID変換装置11へ送信する(ステップS5a)。
通信ID−サブID確認装置6は、証明書発行装置7からの要求に応じて、チャレンジを含み、前記証明書発行要求に含まれる通信IDを宛先とする端末装置4の確認要求をNW1を介して通信ID−サブID変換装置11へ送信する(ステップS5a)。
通信ID−サブID変換装置11は、前記確認要求の宛先を通信IDからサブIDに自動変換して端末装置4へ送信する(ステップS5b)。
通信端末4は、前記確認要求を受信すると、通信ID−サブID変換装置11へ転送(リダイレクト)する。
通信ID−サブID変換装置11は、前記確認要求を受信すると、前記チャレンジに対するレスポンスを計算し、当該レスポンスとその公開鍵を少なくとも含む応答を端末装置4へ送信する(ステップS5c)。
通信端末4は、前記確認要求を受信すると、通信ID−サブID変換装置11へ転送(リダイレクト)する。
通信ID−サブID変換装置11は、前記確認要求を受信すると、前記チャレンジに対するレスポンスを計算し、当該レスポンスとその公開鍵を少なくとも含む応答を端末装置4へ送信する(ステップS5c)。
端末装置4は、前記応答を受信すると、通信ID−サブID変換装置11へ転送(リダイレクト)する。通信ID−サブID変換装置11は、前記応答の送信元をサブIDから通信IDに自動変換してNW1を介して通信ID−サブID確認装置6へ送信する(ステップS5d)。
通信ID−サブID確認装置6は、前記通信ID−サブID変換装置11から端末装置4の確認要求に対する応答を受信すると、OKの確認結果を証明書発行装置7に応答する(ステップS5e)。
通信ID−サブID確認装置6は、前記通信ID−サブID変換装置11から端末装置4の確認要求に対する応答を受信すると、OKの確認結果を証明書発行装置7に応答する(ステップS5e)。
なお、以降の動作は第1の実施例の場合と同様である。また、証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、端末装置4とNW1との間に設置される通信ID−サブID変換装置11を利用して、所定のサブIDと特定のネットワークにおける所定の通信IDとが対応関係にあるか否かを確認することができる。なお、この実施例は第2乃至9の実施例にも適用可能であることはいうまでもない。
この実施例によれば、端末装置4とNW1との間に設置される通信ID−サブID変換装置11を利用して、所定のサブIDと特定のネットワークにおける所定の通信IDとが対応関係にあるか否かを確認することができる。なお、この実施例は第2乃至9の実施例にも適用可能であることはいうまでもない。
<第11の実施例>
本発明の第11の実施例は、前述した第1の実施例において、証明書の発行を有料とするような形態である。
本発明の第11の実施例は、前述した第1の実施例において、証明書の発行を有料とするような形態である。
図22は本発明の第11の実施例に係る証明書発行システムの構成を示すもので、第1の実施例のシステムにおいて、所定の通信IDへの料金の請求確認に応じて通信端末に対する課金確認を行い、所定の通信IDへの料金の請求に応じて与信確認を行う通信ID課金装置12が予め決めたネットワーク上に設けられている。
また、証明書発行装置7は、図2Aに破線で示すように通信ID課金確認部7Gを更に含んでおり、端末装置4からNW1を介して証明書発行要求を受信すると、第1の実施例の場合と同様にして該証明書発行要求に含まれる通信IDが使用中か否かの確認及び通信IDとサブIDとが対応関係にあるか否かの確認を行う。これらの確認結果が共にOKであれば、さらに前記証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を通信ID課金装置12に要求し、通信ID課金装置12からの応答が共にOKであれば、当該証明書発行装置7のID、端末装置4の通信ID、サブID及び有効期間を少なくとも含む証明書CTFを生成し、NW1を介して端末装置4へ送信する。
また、証明書発行装置7は、図2Aに破線で示すように通信ID課金確認部7Gを更に含んでおり、端末装置4からNW1を介して証明書発行要求を受信すると、第1の実施例の場合と同様にして該証明書発行要求に含まれる通信IDが使用中か否かの確認及び通信IDとサブIDとが対応関係にあるか否かの確認を行う。これらの確認結果が共にOKであれば、さらに前記証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を通信ID課金装置12に要求し、通信ID課金装置12からの応答が共にOKであれば、当該証明書発行装置7のID、端末装置4の通信ID、サブID及び有効期間を少なくとも含む証明書CTFを生成し、NW1を介して端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第1の実施例の場合と同様である。
図23は本発明の第11の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が証明書発行要求を証明書発行装置7に送信すると(ステップS1)、証明書発行装置7は、通信ID確認装置5及び通信ID−サブID確認装置6からの確認結果を受信し(ステップS2〜S5)、これらが共にOKであれば、証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を通信ID課金装置12に要求する(ステップS9a)。
図23は本発明の第11の実施例に係る証明書発行システムにおける証明書発行処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が証明書発行要求を証明書発行装置7に送信すると(ステップS1)、証明書発行装置7は、通信ID確認装置5及び通信ID−サブID確認装置6からの確認結果を受信し(ステップS2〜S5)、これらが共にOKであれば、証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を通信ID課金装置12に要求する(ステップS9a)。
通信ID課金装置12は、証明書発行装置7からの要求に応じて、端末装置4に対して証明書の発行に伴う料金の課金の確認を要求し(ステップS9b)、端末装置4からOKの応答があれば(ステップS9c)、さらに当該通信IDの与信を確認、即ち当該通信IDに関わる金融機関の口座の残高などの確認を行い(ステップS9d)、その確認結果を証明書発行装置7に応答する(ステップS9e)。
証明書発行装置7は、前記請求確認及び請求に対する通信ID課金装置12からの応答が共にOKであれば、当該証明書発行装置7のID、通信ID、サブID及び有効期間を少なくとも含む証明書CTFを生成し(ステップS6)、NW1を介して端末装置4へ送信する(ステップS7)。
証明書発行装置7は、前記請求確認及び請求に対する通信ID課金装置12からの応答が共にOKであれば、当該証明書発行装置7のID、通信ID、サブID及び有効期間を少なくとも含む証明書CTFを生成し(ステップS6)、NW1を介して端末装置4へ送信する(ステップS7)。
なお、証明書認証処理の動作は第1の実施例の場合と同様である。
この実施例によれば、証明書の発行に際し、当該証明書に含まれる通信IDに対して料金を課金することができ、証明書を有料チケットとして販売するサービスを行うことができる。なお、この実施例は第2乃至10の実施例にも適用可能であることはいうまでもない。
この実施例によれば、証明書の発行に際し、当該証明書に含まれる通信IDに対して料金を課金することができ、証明書を有料チケットとして販売するサービスを行うことができる。なお、この実施例は第2乃至10の実施例にも適用可能であることはいうまでもない。
<第12の実施例>
本発明の第12の実施例は、前述した第11の実施例において、証明書の認証に伴う料金を証明書発行元のネットワークへ請求可能とする。
本発明の第12の実施例は、前述した第11の実施例において、証明書の認証に伴う料金を証明書発行元のネットワークへ請求可能とする。
図24は本発明の第12の実施例に係る証明書発行システムの構成を示すもので、第11の実施例のシステムにおいて、証明書の認証に伴う料金の請求確認及び請求を、当該証明書に含まれる通信IDに関わるネットワークNW1へ転送し、その応答を受信するローミング課金装置13が予め決めたネットワーク上に設けられている。
また、認証装置8は、図2Cに破線で示すように更にローミング課金確認部8Gを含んでおり、端末装置4からNW2を介して認証要求を受信すると、第1の実施例の場合と同様にして端末装置、証明書及び有効期間を確認した後、さらに証明書の認証に伴う料金の請求確認及び請求をローミング課金装置13に要求し、ローミング課金装置13からの応答が共にOKであれば、OKの認証結果をNW2を介して端末装置4へ送信する。
また、認証装置8は、図2Cに破線で示すように更にローミング課金確認部8Gを含んでおり、端末装置4からNW2を介して認証要求を受信すると、第1の実施例の場合と同様にして端末装置、証明書及び有効期間を確認した後、さらに証明書の認証に伴う料金の請求確認及び請求をローミング課金装置13に要求し、ローミング課金装置13からの応答が共にOKであれば、OKの認証結果をNW2を介して端末装置4へ送信する。
なお、本実施例に係る証明書発行システムの構成は、前述した点を除いて第11の実施例の場合と同様である。
図25は本発明の第12の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまで(ステップS11〜S18)は、図12の場合と同様である。
認証装置8は、ステップS18で検証に成功し且つステップS19で有効期間内と判定されると、通信IDを含む証明書CTFの認証に伴う料金の請求確認及び請求をローミング課金装置13に要求する(ステップS20E)。
図25は本発明の第12の実施例に係る証明書発行システムにおける証明書認証処理の主要な流れを示すもので、以下、動作を詳細に説明する。
端末装置4が認証要求を認証装置8へ送信し、認証装置8がレスポンスを検証するまで(ステップS11〜S18)は、図12の場合と同様である。
認証装置8は、ステップS18で検証に成功し且つステップS19で有効期間内と判定されると、通信IDを含む証明書CTFの認証に伴う料金の請求確認及び請求をローミング課金装置13に要求する(ステップS20E)。
ローミング課金装置13は、前記請求確認及び請求を、当該証明書に含まれる通信IDに関わるネットワークNW1上の通信ID課金装置12へ転送する(ステップS20F)。
通信ID課金装置12は、ローミング課金装置13からの要求に応じて、端末装置4に対して証明書の認証に伴う料金の課金の確認を要求し(ステップS20G)、端末装置4からOKの応答があれば(ステップS20H)、さらに当該通信IDの与信を確認、即ち当該通信IDに関わる金融機関の口座の残高などの確認を行い(ステップS20I)、その確認結果をローミング課金装置13に応答する(ステップS20J)。
通信ID課金装置12は、ローミング課金装置13からの要求に応じて、端末装置4に対して証明書の認証に伴う料金の課金の確認を要求し(ステップS20G)、端末装置4からOKの応答があれば(ステップS20H)、さらに当該通信IDの与信を確認、即ち当該通信IDに関わる金融機関の口座の残高などの確認を行い(ステップS20I)、その確認結果をローミング課金装置13に応答する(ステップS20J)。
ローミング課金装置13は、前記請求確認及び請求に対する確認結果を、認証装置8へ転送する(ステップS20K)。
認証装置8は、前記請求確認及び請求に対するローミング課金装置13からの応答が共にOKであれば、OKの認証結果を、そうでなければNGの認証結果をNW2を介して端末装置4へ送信する(ステップS20L)。
この実施例によれば、NW1で発行される証明書を用いてNW2にアクセスするローミング・サービスの際の料金をNW1側に課金することができる。
認証装置8は、前記請求確認及び請求に対するローミング課金装置13からの応答が共にOKであれば、OKの認証結果を、そうでなければNGの認証結果をNW2を介して端末装置4へ送信する(ステップS20L)。
この実施例によれば、NW1で発行される証明書を用いてNW2にアクセスするローミング・サービスの際の料金をNW1側に課金することができる。
<その他の実施例>
これまでの実施例では、端末装置4は少なくともそのサブIDを含む証明書発行要求及び証明書失効要求を送信し、最終的に証明書発行装置7に到達する証明書発行要求及び証明書失効要求には通信ID及びサブIDの両方が含まれるものとしたが、最終的に証明書発行装置7に到達する証明書発行要求及び証明書失効要求として通信IDのみを含むものを用いるようにしても良い。
この場合、証明書発行要求及び証明書失効要求に含まれる通信IDは、端末装置4の証明書発行要求部43により通信ID記憶部41から読み出されて付与される場合と、第4の実施例で説明したように、NW1側の通信ID付与装置9により付与される場合とがある。
これまでの実施例では、端末装置4は少なくともそのサブIDを含む証明書発行要求及び証明書失効要求を送信し、最終的に証明書発行装置7に到達する証明書発行要求及び証明書失効要求には通信ID及びサブIDの両方が含まれるものとしたが、最終的に証明書発行装置7に到達する証明書発行要求及び証明書失効要求として通信IDのみを含むものを用いるようにしても良い。
この場合、証明書発行要求及び証明書失効要求に含まれる通信IDは、端末装置4の証明書発行要求部43により通信ID記憶部41から読み出されて付与される場合と、第4の実施例で説明したように、NW1側の通信ID付与装置9により付与される場合とがある。
また、証明書発行装置7は、端末装置4からNW1を介して通信IDのみを含む証明書発行要求を受信すると、該証明書発行要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求し、通信ID確認装置5からの確認結果がOKであれば、当該証明書発行装置7のID、端末装置4の通信ID及び有効期間を少なくとも含む証明書CTFを生成し、NW1を介して端末装置4へ送信する。また、端末装置4からNW1を介して通信IDのみを含む証明書失効要求を受信すると、該証明書失効要求に含まれる通信IDが使用中か否かの確認を通信ID確認装置5に要求する。通信ID確認装置5からの確認結果がOKであれば、当該通信IDを含む証明書CTFの失効情報を生成し、当該失効情報を失効情報記憶装置10に追加登録する。
なお、証明書発行処理及び証明書認証処理の動作は、通信ID−サブID確認装置6へのアクセスがない点を除いて基本的に第1の実施例の場合と同様であり、また、証明書失効処理及びその際の証明書認証処理の動作も通信ID−サブID確認装置6へのアクセスがない点を除いて基本的に第7の実施例の場合と同様である。
この実施例によれば、端末装置単位ではなく、端末装置4が所属するサブネットワークを単位とする、本人の確認を必要としない、有効期間の短い証明書を発行することにより、証明書発行装置7が接続されたNW1とは異なるNW2に接続された認証装置8でも認証可能とする。それにより、端末装置4を移動して用いるような、元の通信IDが利用できないような場合であっても、様々なサービスを利用可能とすることができる。
この実施例によれば、端末装置単位ではなく、端末装置4が所属するサブネットワークを単位とする、本人の確認を必要としない、有効期間の短い証明書を発行することにより、証明書発行装置7が接続されたNW1とは異なるNW2に接続された認証装置8でも認証可能とする。それにより、端末装置4を移動して用いるような、元の通信IDが利用できないような場合であっても、様々なサービスを利用可能とすることができる。
Claims (20)
- 第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にする認証を与える証明書認証方法であって、
(a) 端末装置が、第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を証明書発行装置に送信するステップと、
(b) 前記証明書発行装置が、前記端末装置から前記第1のネットワークを介して前記証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を通信ID確認装置に要求し、更に前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求し、少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成し、前記端末装置へ送信するステップと、
(c) 前記端末装置が、第2のネットワークにおいて前記サブIDを含む認証要求と前記証明書を認証装置に送信するステップと、
(d) 前記認証装置が、前記認証要求に対し認証を与え前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続可能にするステップ、
とを含む。 - 請求項1記載の証明書認証方法において、
前記ステップ(c) は、
(c-1) 前記認証要求を前記第2のネットワークを介して認証装置へ送信し、
(c-2) 前記認証装置から前記第2のネットワークを介してチャレンジを受信すると、該チャレンジに当該端末装置の秘密鍵を用いてレスポンスを生成するステップと、
(c-3) 前記レスポンスと、前記端末装置の公開鍵と、前記証明書とを前記第2のネットワークを介して前記認証装置へ送信するステップ、
とを含み、
前記ステップ(d) は、
(d-1) 前記認証要求を受信すると、チャレンジを生成して記憶するとともに前記第2ネットワークを介して前記端末装置へ送信するステップと、
(d-2) 前記端末装置から前記第2のネットワークを介して前記チャレンジに対するレスポンスと当該端末装置の公開鍵とともに前記証明書を受信するステップと、
(d-3) 該受信したレスポンスを前記端末装置の公開鍵及び前記記憶したチャレンジにより検証し、検証に失敗したときはNGの認証結果を、また、検証に成功し且つ有効期間内であればOKの認証結果を前記第2のネットワークを介して端末装置へ送信するステップ、
とを含む。 - 請求項1記載の証明書認証方法において、前記証明書発行装置による前記ステップ(b) は、
前記証明書発行要求に含まれている前記通信ID又は前記サブIDに対応する確認結果が前記証明書発行装置内に保存されているか検索するステップと、
保存されていなければ、前記確認要求を前記通信ID確認装置又は前記通信ID−サブID確認装置の一方又は両方に送信して確認結果を求め、得られた確認結果を保存すると共にそれに基づいて前記証明書を生成し、前記証明書発行装置内に保存されている場合は、その保存されている確認結果に基づいて前記証明書を生成するステップ、
とを含む。 - 請求項1乃至3のいずれか記載の証明書認証方法において、前記ステップ(b) において、前記証明書発行要求に含まれる前記通信IDが使用中か否かの確認または前記証明書発行要求に含まれる前記通信IDと前記サブIDとが対応関係にあるか否かの確認のいずれか一方もしくは両方をそれぞれ、前記端末装置を介して前記通信ID確認装置または前記通信ID−サブID確認装置のいずれか一方もしくは両方に要求する。
- 請求項1乃至3のいずれか記載の証明書認証方法において、
前記端末装置による前記ステップ(a) は、第3のネットワークにおける第2通信IDを前記証明書発行要求に含めて前記証明書発行装置に送信するステップであり、
前記証明書発行装置による前記ステップ(b) は、前記第2の通信IDを使って前記証明書を前記第3のネットワークを介して前記端末装置へ送信するステップである。 - 請求項1記載の証明書認証方法において、前記認証装置による前記ステップ(d-3) は、前記レスポンスの検証に成功し且つ前記有効期間内であれば、さらに前記通信ID確認装置または前記通信ID−サブID確認装置のいずれか一方もしくは両方に前記通信IDまたは前記通信IDと前記サブIDとの関係の確認を要求し、確認結果がOKであれば、OKの認証結果を前記第2のネットワークを介して前記端末装置へ送信するステップである。
- 請求項1または6記載の証明書認証方法において、端末装置の証明書失効要求に応じて前記証明書発行装置が生成した端末装置の通信ID又はサブIDに対応して証明書の失効情報を保存する失効情報記憶装置が設けられており、前記方法は更に、
(e) 前記証明書発行装置が、前記端末装置から前記第1のネットワークを介して前記通信IDを少なくとも含む証明書失効要求を受信すると、前記証明書失効要求に含まれる前記通信IDが使用中であるか否かの確認を前記通信ID確認装置に要求し、前記通信ID確認装置からの確認結果がOKであれば、前記通信IDを少なくとも含む証明書の失効情報を生成し、前記失効情報記憶装置に保存するステップを含む。 - 請求項7記載の証明書認証方法において、前記認証装置による前記ステップ(d-3) は、前記証明書に含まれる前記通信ID及びサブIDの一方に対応する証明書の失効情報が前記失効情報記憶装置に保存されているか否かを確認するステップを含み、保存されていなければ、OKの認証結果を前記端末装置へ送信する必要条件とする。
- 請求項1乃至3いずれか記載の証明書認証方法において、
前記端末装置は発行された複数の証明書を所有しており、前記ステップ(c) は、発行された複数の証明書から、それらの利用履歴や用途に応じて証明書を選択して前記認証装置へ送信するステップを含む。 - 請求項1乃至3いずれか記載の証明書認証方法において、前記ステップ(b) は、前記通信ID−サブID確認装置により、所定のサブIDと前記第1のネットワークにおける所定の通信IDとが対応関係にあるか否かを、前記端末装置と前記第1のネットワークとの間に設置された通信ID−サブID変換装置と連携して確認するステップを含む。
- 請求項1乃至3いずれか記載の証明書認証方法において、通信IDへの料金の請求確認に応じて端末装置に対する課金確認を行い、所定の通信IDへの料金の請求に応じて与信確認を行う通信ID課金装置が設けられており、
前記証明書発行装置による前記ステップ(b) は、前記証明書発行要求に含まれる通信IDが使用中か否かの確認及び通信IDとサブIDとが対応関係にあるか否かの確認後、前記証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を前記通信ID課金装置に要求し、前記通信ID課金装置からの応答が共にOKであれば前記証明書を生成する。 - 請求項10記載の証明書認証方法において、証明書の認証に伴う料金の請求確認及び請求を、当該証明書に含まれる通信IDに関わる前記第1のネットワークの前記通信ID課金装置へ転送し、その応答を受信するローミング課金装置が設けられており、
前記認証装置による前記ステップ(d) は、
前記端末装置の前記証明書及び有効期間を確認した後、前記証明書に含まれる前記通信IDへの証明書の認証に伴う料金の請求確認及び請求を前記ローミング課金装置に要求するステップを含み、前記ローミング課金装置からの応答が共にOKであることを、OKの認証結果を前記端末装置へ送信することを必要条件とする。 - 第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にするための証明書を発行する証明書発行装置であって、
前記端末装置から前記第1のネットワークを介して前記端末装置の通信IDとサブIDを含む証明書発行要求を受信すると、該証明書発行要求に含まれる前記端末装置の通信IDが使用中か否かの確認を上記第1のネットワーク上の通信ID確認装置に要求する通信ID確認要求手段と、
前記通信IDと前記サブIDの対応関係が正しいか否かの確認を前記第1のネットワーク上の通信ID−サブID確認装置に要求する通信ID−サブID確認要求手段と、
少なくとも前記通信ID確認装置からの確認結果と前記通信ID−サブID確認装置からの確認結果がOKであれば、当該証明書発行装置のID、前記端末装置の通信IDとサブID及び有効期間を少なくとも含む証明書を生成して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にする証明書生成手段、
とを含む。 - 請求項13記載の証明書発行装置は、さらに通信ID又はサブIDに対応する確認結果を保存する記憶手段を更に含み、前記証明書生成手段は、前記証明書発行要求に含まれる前記通信ID又はサブIDに対応する確認結果が前記記憶手段に保存されているか検索し、保存されていなければ、前記確認要求を前記通信ID確認装置又は前記通信ID−サブID確認装置の一方又は両方に送信して確認結果を求め、得られた確認結果を保存すると共にそれに基づいて前記証明書を生成し、前記証明書発行装置内に保存されている場合は、その保存されている確認結果に基づいて前記証明書を生成するように構成されている。
- 請求項13または14記載の証明書発行装置において、更に、前記端末装置から前記第1のネットワークを介して前記通信IDを少なくとも含む証明書失効要求を受信すると、前記通信ID確認要求手段は前記証明書失効要求に含まれる前記通信IDが使用中であるか否かの確認を前記通信ID確認装置に要求し、前記通信ID確認装置からの確認結果がOKであれば、前記通信IDを少なくとも含む証明書の失効情報を生成し、予め決めた第3のネットワーク上の失効情報記憶装置に送信保存する証明書失効情報生成手段を含む。
- 請求項13乃至15いずれか記載の証明書発行装置において、
前記証明書生成手段は、前記証明書発行要求に含まれる通信IDが使用中か否かの確認及び通信IDとサブIDとが対応関係にあるか否かの確認後、前記証明書発行要求に含まれる通信IDへの証明書の発行に伴う料金の請求確認及び請求を予め決めた第4のネットワーク上の通信ID課金装置に要求し、前記通信ID課金装置からの応答が共にOKであれば前記証明書を生成するように構成されている。 - 第1のネットワークにおいて通信IDを使用して接続可能な端末装置に対し、第2のネットワークにおいて接続を可能にするための認証を与える認証装置であって、
記憶手段と、
端末装置からサブIDを含む認証要求と第1のネットワークにおいて証明書発行装置が前記端末に対し発行した証明書を受信すると、チャレンジを生成し、前記記憶手段に保存すると共に前記端末装置に前記第2のネットワークを介して送信するチャレンジ生成手段と、
前記端末装置から前記第2のネットワークを介して前記チャレンジに対するレスポンスと当該端末装置の公開鍵と有効期間付きの証明書とを受信し、該レスポンスを前記端末装置の公開鍵及び前記記憶手段に保存したチャレンジを使って検証するレスポンス検証手段と、
前記証明書の有効期間内であるか判定する有効期間判定手段、
とを含み、前記検証に成功し、かつ有効期間内と判定された場合にOKの認証結果を前記第2のネットワークを介して前記端末装置へ送信し、前記端末装置が前記第2のネットワークにおいて前記サブIDを使ってサービスプロバイダに接続を可能にするように構成されている。 - 請求項17記載の認証装置において、前記レスポンスの検証に成功し且つ前記有効期間内であれば、さらに予め決めた第3のネットワーク上の通信ID確認装置または通信ID−サブID確認装置のいずれか一方もしくは両方に前記通信IDまたは前記通信IDと前記サブIDとの関係の確認を要求し、確認結果がOKであれば、OKの認証結果を前記第2のネットワークを介して前記端末装置へ送信するように構成されている。
- 請求項17記載の認証装置において、更に、前記証明書に含まれる前記通信ID及びサブIDの一方に対応する証明書の失効情報が予め決めた第4のネットワーク上の失効情報記憶装置に保存されているか否かを確認する失効情報確認手段を含み、保存されていなければ、OKの認証結果を前記端末装置へ送信することを必要条件とする。
- 請求項17記載の認証装置において、前記証明書に含まれる前記通信IDへの証明書の認証に伴う料金の請求確認及び請求を予め決めた第5のネットワーク上のローミング課金装置に要求し、前記ローミング課金装置からの応答が共にOKであることを、OKの認証結果を前記端末装置へ送信する更に1つの必要条件とする。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008557157A JP4892008B2 (ja) | 2007-02-07 | 2008-02-07 | 証明書認証方法、証明書発行装置及び認証装置 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007027985 | 2007-02-07 | ||
| JP2007027985 | 2007-02-07 | ||
| PCT/JP2008/052054 WO2008096825A1 (ja) | 2007-02-07 | 2008-02-07 | 証明書認証方法、証明書発行装置及び認証装置 |
| JP2008557157A JP4892008B2 (ja) | 2007-02-07 | 2008-02-07 | 証明書認証方法、証明書発行装置及び認証装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008096825A1 JPWO2008096825A1 (ja) | 2010-05-27 |
| JP4892008B2 true JP4892008B2 (ja) | 2012-03-07 |
Family
ID=39681729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008557157A Active JP4892008B2 (ja) | 2007-02-07 | 2008-02-07 | 証明書認証方法、証明書発行装置及び認証装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8775796B2 (ja) |
| EP (1) | EP2120392B8 (ja) |
| JP (1) | JP4892008B2 (ja) |
| WO (1) | WO2008096825A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100593936C (zh) * | 2008-05-09 | 2010-03-10 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的漫游认证方法 |
| JP4377450B1 (ja) * | 2009-03-12 | 2009-12-02 | パナソニック株式会社 | 帳票リーダ装置および帳票認証方法 |
| WO2010103754A1 (ja) * | 2009-03-12 | 2010-09-16 | パナソニック株式会社 | 帳票リーダ装置、帳票認証方法およびプログラム |
| US8555054B2 (en) | 2009-10-12 | 2013-10-08 | Palo Alto Research Center Incorporated | Apparatus and methods for protecting network resources |
| JP2011175591A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
| US9141780B2 (en) * | 2010-11-22 | 2015-09-22 | Smsc Holdings S.A.R.L. | Method and system for authenticating communication |
| US9344282B2 (en) * | 2011-03-22 | 2016-05-17 | Microsoft Technology Licensing, Llc | Central and implicit certificate management |
| JP5953991B2 (ja) * | 2012-07-03 | 2016-07-20 | 富士通株式会社 | 通信制御方法、通信制御装置、通信機器、及びプログラム |
| JP6079394B2 (ja) | 2013-04-11 | 2017-02-15 | 富士通株式会社 | 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム |
| JP6167667B2 (ja) * | 2013-05-23 | 2017-07-26 | 富士通株式会社 | 認証システム、認証方法、認証プログラムおよび認証装置 |
| EP3008653A4 (en) * | 2013-06-13 | 2017-01-25 | Intel Corporation | Secure battery authentication |
| EP2958291B1 (en) * | 2014-06-18 | 2021-04-14 | Swisscom AG | Method and system for authenticating network equipment |
| US9794252B2 (en) * | 2014-10-15 | 2017-10-17 | Ricoh Company, Ltd. | Information processing system and device control method |
| US9712398B2 (en) * | 2015-01-29 | 2017-07-18 | Blackrock Financial Management, Inc. | Authenticating connections and program identity in a messaging system |
| EP3308516B1 (en) * | 2015-06-11 | 2020-04-22 | Siemens Aktiengesellschaft | Authorization apparatus and method for an authorized issuing of an authentication token for a device |
| CN106454836B (zh) * | 2015-08-06 | 2021-12-31 | 中兴通讯股份有限公司 | 一种增强设备证书使用安全的方法及装置 |
| US11218465B2 (en) * | 2017-01-29 | 2022-01-04 | Beame.io Ltd. | Establishing an AD-HOC secure connection between two electronic computing devices using a self-expiring locally transmitted information packet |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0511192A (ja) * | 1991-07-08 | 1993-01-19 | Nikon Corp | レーザ走査顕微鏡 |
| JP2003188873A (ja) * | 2001-12-14 | 2003-07-04 | Kanazawa Inst Of Technology | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
| JP2004272380A (ja) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | グループ認証方法及びシステム、サービス提供装置、認証装置、サービス提供プログラム及びそれを記録した記録媒体、認証プログラム及びそれを記録した記録媒体 |
| JP2004343442A (ja) * | 2003-05-15 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 開示用識別子流通方法及びシステム、開示用識別子証明装置 |
| JP2005339093A (ja) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 |
| JP2006025010A (ja) * | 2004-07-06 | 2006-01-26 | Nippon Telegraph & Telephone East Corp | 通信システム及びサービス提供方法並びにコンピュータプログラム |
| JP2007323326A (ja) * | 2006-05-31 | 2007-12-13 | Mitsubishi Electric Corp | 認証装置、認証代行装置、およびユーザ認証方法 |
| JP2008015934A (ja) * | 2006-07-07 | 2008-01-24 | Nippon Telegr & Teleph Corp <Ntt> | サービスシステムおよびサービスシステム制御方法 |
| JP2008541242A (ja) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001295913A1 (en) * | 2000-10-17 | 2002-04-29 | Ishii, Mieko | Personal information protective method, personal information protective system, processing device, portable transmitter/receiver, and program |
| WO2003032572A1 (en) * | 2001-10-12 | 2003-04-17 | Geo Trust, Inc. | Methods and systems for automated authentication, processing and issuance of digital certificates |
| US7849173B1 (en) * | 2001-12-31 | 2010-12-07 | Christopher Uhlik | System for on-demand access to local area networks |
| US6973086B2 (en) * | 2002-01-28 | 2005-12-06 | Nokia Corporation | Method and system for securing mobile IPv6 home address option using ingress filtering |
| EP1693983B1 (en) * | 2003-07-25 | 2007-08-29 | Ricoh Company, Ltd. | Authentication system and method using individualized and non-individualized certificates |
| JP4468453B2 (ja) * | 2004-09-20 | 2010-05-26 | パナソニック株式会社 | 往復経路確認の最適化 |
| US20060291422A1 (en) * | 2005-06-27 | 2006-12-28 | Nokia Corporation | Mobility management in a communication system of at least two communication networks |
| CN101193106B (zh) * | 2006-11-17 | 2011-09-28 | 鸿富锦精密工业(深圳)有限公司 | 调制解调器及其凭证选择方法 |
-
2008
- 2008-02-07 EP EP08710933.6A patent/EP2120392B8/en active Active
- 2008-02-07 JP JP2008557157A patent/JP4892008B2/ja active Active
- 2008-02-07 WO PCT/JP2008/052054 patent/WO2008096825A1/ja active Application Filing
- 2008-02-07 US US12/523,420 patent/US8775796B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0511192A (ja) * | 1991-07-08 | 1993-01-19 | Nikon Corp | レーザ走査顕微鏡 |
| JP2003188873A (ja) * | 2001-12-14 | 2003-07-04 | Kanazawa Inst Of Technology | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
| JP2004272380A (ja) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | グループ認証方法及びシステム、サービス提供装置、認証装置、サービス提供プログラム及びそれを記録した記録媒体、認証プログラム及びそれを記録した記録媒体 |
| JP2004343442A (ja) * | 2003-05-15 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 開示用識別子流通方法及びシステム、開示用識別子証明装置 |
| JP2005339093A (ja) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 |
| JP2006025010A (ja) * | 2004-07-06 | 2006-01-26 | Nippon Telegraph & Telephone East Corp | 通信システム及びサービス提供方法並びにコンピュータプログラム |
| JP2008541242A (ja) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | トークン共有システムおよび方法 |
| JP2007323326A (ja) * | 2006-05-31 | 2007-12-13 | Mitsubishi Electric Corp | 認証装置、認証代行装置、およびユーザ認証方法 |
| JP2008015934A (ja) * | 2006-07-07 | 2008-01-24 | Nippon Telegr & Teleph Corp <Ntt> | サービスシステムおよびサービスシステム制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110185171A1 (en) | 2011-07-28 |
| EP2120392B1 (en) | 2016-02-03 |
| JPWO2008096825A1 (ja) | 2010-05-27 |
| WO2008096825A1 (ja) | 2008-08-14 |
| US8775796B2 (en) | 2014-07-08 |
| EP2120392A1 (en) | 2009-11-18 |
| EP2120392A4 (en) | 2010-01-27 |
| EP2120392B8 (en) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4892008B2 (ja) | 証明書認証方法、証明書発行装置及び認証装置 | |
| US7735126B2 (en) | Certificate based authentication authorization accounting scheme for loose coupling interworking | |
| US8019990B2 (en) | Authority-neutral certification for multiple-authority PKI environments | |
| JP4012508B2 (ja) | ステーションのローカルデータネット、とりわけ無線データネットへの認証されたアクセスのための方法及び装置 | |
| CN1628449B (zh) | 传送计费信息的方法、系统和设备 | |
| US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| US7457848B2 (en) | Over-network resource distribution system and mutual authentication system | |
| WO2004107650A1 (fr) | Systeme et procede d'authentification de reseau, d'autorisation et de comptabilite | |
| JP2004046430A (ja) | リモートアクセスシステム、リモートアクセス方法、リモートアクセスプログラム及びリモートアクセスプログラムが記録された記録媒体 | |
| JP2004046430A5 (ja) | ||
| RU2007138849A (ru) | Сетевые коммерческие транзакции | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| US20060100888A1 (en) | System for managing identification information via internet and method of providing service using the same | |
| US20060183463A1 (en) | Method for authenticated connection setup | |
| CN1984077A (zh) | 移动设备到ip通信网络的接入控制 | |
| JP4987820B2 (ja) | 認証システム、接続制御装置、認証装置および転送装置 | |
| US20090170511A1 (en) | Group network forming method and group network system | |
| KR100559008B1 (ko) | 이동통신 단말기의 적외선 통신을 이용한 사용자 인증시스템 및 그 방법 | |
| US8516555B2 (en) | Method and system for authenticating pay-per-use service using EAP | |
| JP4409377B2 (ja) | 通信システム及びサービス提供方法 | |
| CN116319072B (zh) | 一种基于区块链技术的认证和分级访问控制一体化方法 | |
| KR100726074B1 (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
| JP2005217679A (ja) | 通信相手の認証を行う認証サーバ | |
| WO2011017921A1 (zh) | 一种访问拜访地服务提供商的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110908 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110927 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4892008 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |