JP7283614B1 - Certification authority management system, certification authority management method, and program - Google Patents
Certification authority management system, certification authority management method, and program Download PDFInfo
- Publication number
- JP7283614B1 JP7283614B1 JP2022081291A JP2022081291A JP7283614B1 JP 7283614 B1 JP7283614 B1 JP 7283614B1 JP 2022081291 A JP2022081291 A JP 2022081291A JP 2022081291 A JP2022081291 A JP 2022081291A JP 7283614 B1 JP7283614 B1 JP 7283614B1
- Authority
- JP
- Japan
- Prior art keywords
- certificate authority
- authority
- certificate
- certification authority
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】認証局が提供するAPIに依らずに、該認証局からも証明情報の発行を可能にする認証局管理装置を提供すること。【解決手段】認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部と、認証局と対応付けられたモジュールであって、認証局生成データを認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、選択されたモジュールが取得した認証局生成データを、他の装置に送信するデータ送信部とを備える、認証局管理装置である。【選択図】図1Kind Code: A1 To provide a certificate authority management device that enables a certificate authority to issue certificate information without relying on an API provided by the certificate authority. A request for certificate authority generated data generated by a certificate authority, a request receiving unit for receiving a request from another device, and a module associated with the certificate authority, the certificate authority generated data A certification authority management device comprising a module selection unit that selects a module that executes a procedure for acquiring from a certification authority, and a data transmission unit that transmits certification authority generated data acquired by the selected module to another device be. [Selection drawing] Fig. 1
Description
本発明は、認証局管理システム、認証局管理方法、およびプログラムに関する。 The present invention relates to a certificate authority management system , a certificate authority management method, and a program.
従来、電子証明情報の発行を受けていない認証局からも証明情報の発行を可能にすることを目的とする証明発行方法がある(特許文献1参照)。この証明発行方法では、まず、エンドエンティティが、第1認証局が発行した審査証明情報を認証局証明情報の発行依頼と併せて証明発行依頼装置へ送る。証明発行依頼装置は、エンドエンティティが送信した審査証明情報を信頼し、第2認証局へ認証局証明情報の発行を依頼する。第2認証局は、証明発行依頼装置を信頼し、証明発行依頼装置の依頼に基づき、認証局証明情報を発行する。 Conventionally, there is a certificate issuance method for the purpose of making it possible to issue certificate information even from a certificate authority that has not received the issuance of electronic certificate information (see Patent Document 1). In this certificate issuance method, first, the end entity sends the examination certificate information issued by the first certificate authority to the certificate issuance requesting device together with the issuance request for the certificate authority certificate information. The certificate issuance requesting device trusts the examination certificate information transmitted by the end entity and requests the second certificate authority to issue certificate authority certificate information. The second certificate authority trusts the certificate issuance requesting device and issues certificate authority certificate information based on the request of the certificate issuance requesting device.
しかしながら、従来の証明発行方法においては、証明発行依頼装置は、第2認証局の接続先の情報としてURL(Universal Resource Locator)を保持しているのみであるため、第2認証局が提供するAPI(Application Programming Interface)によっては接続できないことがあるという問題がある。 However, in the conventional certificate issuance method, the certificate issuance requesting device only holds a URL (Universal Resource Locator) as information of the connection destination of the second certificate authority. There is a problem that connection may not be possible depending on the (Application Programming Interface).
本発明は、このような事情に鑑みてなされたもので、認証局が提供するAPIに依らずに、該認証局からも証明情報の発行を可能にする認証局管理システム、認証局管理方法、およびプログラムを提供する。 The present invention has been made in view of such circumstances, and provides a certificate authority management system, a certificate authority management method, and a certificate authority management system that enable the certification information to be issued from the certification authority without relying on the API provided by the certification authority. and provide programs.
この発明は上述した課題を解決するためになされたもので、本発明の一態様は、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部と、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部とを備える、認証局管理装置である。 SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems, and one aspect of the present invention is a request for certificate authority generated data generated by a certificate authority, which receives a request from another device. a module selection unit that selects a module that is associated with the certification authority and executes a procedure for acquiring the certification authority generated data from the certification authority; and a data transmission unit that transmits the certification authority generated data to the other device.
また、本発明の他の一態様は、上述の認証局管理装置であって、前記要求は、前記認証局を示す情報を含み、前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える。 Further, another aspect of the present invention is the certificate authority management device described above, wherein the request includes information indicating the certificate authority, and the certificate authority manages the management certificate authority based on the information indicating the certificate authority. or an external certification authority, and when it is determined that the certification authority is an external certification authority, the module selection unit is instructed to select a module associated with the certification authority. It has a station judgment section.
また、本発明の他の一態様は、上述の認証局管理装置であって、前記要求は、前記認証局を示す情報を含み、前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える。 Another aspect of the present invention is the certificate authority management device described above, wherein the request includes information indicating the certificate authority, and is associated with the certificate authority based on the information indicating the certificate authority. determining whether or not there is a module associated with the certification authority, and instructing the module selection unit to select a module associated with the certification authority when it is determined that there is a module associated with the certification authority It has a station judgment section.
また、本発明の他の一態様は、上述の認証局管理装置であって、前記認証局生成データは、電子証明書または証明書失効リストを含む。 Another aspect of the present invention is the certificate authority management device described above, wherein the certificate authority generation data includes an electronic certificate or a certificate revocation list.
また、本発明の他の一態様は、認証局管理装置による認証局管理方法であって、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する過程と、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択する過程と、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程とを有する。 Another aspect of the present invention is a certificate authority management method by a certificate authority management device, which is a request for certificate authority generated data generated by a certificate authority, the process of receiving a request from another device. selecting a module associated with the certification authority and executing a procedure for acquiring the certification authority generated data from the certification authority; and the certification authority acquired by the selected module. and transmitting the generated data to the other device.
また、本発明の他の一態様は、コンピュータを、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部として機能させるためのプログラムである。 Another aspect of the present invention provides a computer, a request receiving unit for receiving a request for certificate authority generated data generated by a certificate authority and a request from another device, and a request receiving unit associated with the certificate authority. a module selection unit that selects a module that executes a procedure for acquiring the certification authority generated data from the certification authority; It is a program for functioning as a data transmission unit that transmits data to.
この発明によれば、認証局が提供するAPIに依らずに、該認証局からも証明情報の発行が可能になる。 According to this invention, it is possible to issue certificate information from the certificate authority without relying on the API provided by the certificate authority.
<第1の実施形態>
以下、図面を参照して、本発明の第1の実施形態について説明する。図1は、この発明の第1の実施形態による認証局管理システム100の構成を示す概略ブロック図である。認証局管理システム100は、1つまたは複数のクライアント装置10、認証局管理装置20、1つまたは複数の管理認証局30、1つまたは複数の外部認証局40、ネットワーク50を備える。認証局管理システム100は、管理認証局30、または外部認証局40によって生成される電子証明書、証明書失効リストなどの認証局生成データを、認証局管理装置20を介して、クライアント装置10に配布することができる。これにより、クライアント装置10は、認証局管理装置20に認証されていれば、管理認証局30、または外部認証局40による認証局生成データを、これらの認証局に認証されているか否かに係わらず、取得することができる。なお、外部認証局40は、プライベート認証局であってもよいし、パブリック認証局であってもよい。
<First Embodiment>
A first embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a schematic block diagram showing the configuration of a certificate
クライアント装置10は、認証局生成データを必要とするコンピュータであり、IoT(Internet of Things)機器(IoTセンサーデバイス、スマートスピーカー、自動車等のインターネットが接続可能な機器)、スマートフォン、タブレット端末、パーソナルコンピュータ、サーバマシンなどのいずれであってもよい。クライアント装置10は、ネットワーク50により、認証局管理装置20と通信可能に接続される。クライアント装置10は、認証局生成データの要求を認証局管理装置20に送信し、その応答として、認証局生成データを受信する。認証局生成データの要求は、認証局(Certificate Authority)を示す情報であるCA_idを含む。また、この要求は、CSR(Certificate Signing Request)及びそれに類する情報や、要求する認証局生成データを示す情報、例えば、クライアント証明書、サーバ証明書、データ署名用証明書、プログラム検証用証明書、証明書失効リストなどのいずれかを示す情報を含んでもよい。また、この要求は、管理認証局30または外部認証局40に接続する際の認証情報、接続プロトコル情報、接続先URL、各種入力パラメータのいずれかを含んでもよい。なお、この要求にいずれの情報が含まれるかが、要求先の認証局の仕様に依存していてもよい。
The
認証局管理装置20は、1つまたは複数のコンピュータがソフトウェアを実行することで実現される。認証局管理装置20は、ネットワーク50により、クライアント装置10、外部認証局40と通信可能に接続される。また、認証局管理装置20は、ネットワーク50とは異なる手段(不図示)もしくはネットワーク50により、管理認証局30と通信可能に接続される。認証局管理装置20は、クライアント装置10から、認証局生成データの要求を受信する。認証局管理装置20は、受信した要求に含まれるCA_idに対応する管理認証局30、または外部認証局40から認証局生成データを取得し、クライアント装置10に送信する。
The certificate
管理認証局30は、認証局管理装置20を管理、運営する組織により、管理、運営されている認証局であり、認証局管理装置20を介して、証明書、証明書失効リストなどの発行を行う。外部認証局40は、認証局管理装置20を管理、運営する組織とは異なる組織により、管理、運営されている認証局であり、外部認証局40によって認証局生成データを取得するための手順が異なっていてもよい。ネットワーク50は、インターネットなどのネットワークである。
The
図2は、本実施形態による認証局管理装置20の構成を示す概略ブロック図である。認証局管理装置20は、要求受信部201、接続情報記憶部202、CA判定部(認証局判定部)203、管理認証局接続部204、データ送信部205、モジュール選択部206、モジュール実行部207、モジュール記憶部208を備える。要求受信部201は、認証局生成データの要求であって、クライアント装置10からの要求を受信する。接続情報記憶部202は、CA_idに対応付けて、該CA_idの認証局の接続情報を記憶する。接続情報は、その認証局が、管理認証局30と外部認証局40とのいずれであるかを識別する情報と、外部認証局40であれば、その外部認証局40から認証局生成データを取得する手順を実行するモジュールを示す情報を含む。このモジュールは、JAVASCRIPT(登録商標)などのスクリプトであってもよいし、実行ファイルであってもよい。
FIG. 2 is a schematic block diagram showing the configuration of the certificate
CA判定部203は、要求受信部201が受信した要求に含まれるCA_idに対応付けられた接続情報を、接続情報記憶部202から読み出し、読み出した接続情報を用いて、該CA_idの認証局が管理認証局30と外部認証局40とのうちいずれであるかを判定する。CA判定部203は、CA_idの認証局が管理認証局30であると判定したときは、管理認証局接続部204に認証局生成データの取得を指示する。また、CA判定部203は、CA_idの認証局が外部認証局40であると判定したときは、モジュール選択部206に該認証局と対応付けられたモジュールの選択の実行を指示する。管理認証局接続部204は、要求受信部201が受信した要求に含まれるCA_idの認証局が管理認証局30であるとCA判定部203が判定したときに、該CA_idの管理認証局30から認証局生成データを取得する。
The
モジュール選択部206は、要求受信部201が受信した要求に含まれるCA_idの認証局が外部認証局40であるとCA判定部203が判定したときに、該CA_idの認証局と対応付けられたモジュールを選択し、該モジュールの実行をモジュール実行部207に指示する。なお、該CA_idの認証局と対応付けられたモジュールは、該CA_idに対応付けられた接続情報が示すモジュールであり、モジュール選択部206は、CA判定部203が読み出した接続情報を用いて、該モジュールを選択する。認証局と対応付けられたモジュールは、その認証局が提供しているAPIであって、その認証局から認証局生成データを取得するためのAPIに応じた手順を実行する。これにより、その認証局に独自の手順であっても、認証局生成データを取得することができる。
When the
モジュール実行部207は、モジュール選択部206により実行を指示されたモジュールをモジュール記憶部208から読み出し、実行する。モジュール実行部207は、該モジュールを実行することにより、外部認証局40から認証局生成データを取得する。なお、モジュール実行部207が実行するモジュールは、要求受信部201が受信した要求に、認証情報、接続プロトコル情報、接続先URL、各種入力パラメータなどが含まれるときは、外部認証局40から認証局生成データを取得する際に、これらの情報を用いてもよい。データ送信部205は、管理認証局接続部204またはモジュール実行部207が取得した認証局生成データを、要求受信部201が受信した要求への応答として、クライアント装置10に送信する。
The
なお、CA判定部203は、要求受信部201が受信した要求に含まれるCA_idに対応付けられた接続情報を、接続情報記憶部202から読み出し、読み出した接続情報を用いて、該CA_idの認証局と対応付けられたモジュールがあるか否かを判定してもよい。そして、CA判定部203は、CA_idの認証局と対応付けられたモジュールがないと判定したときは、管理認証局接続部204に認証局生成データの取得を指示する。また、CA判定部203は、CA_idの認証局と対応付けられたモジュールがあると判定したときは、モジュール選択部206に該認証局と対応付けられたモジュールの選択の実行を指示する。また、この場合、接続情報は、その認証局と対応付けられたモジュールがあれば、その外部認証局40から認証局生成データを取得する手順を実行するモジュールを示す情報を含む。これにより、認証局が管理認証局30であるか外部認証局40であるかに関わらず、モジュールを用いた認証局生成データの取得を行うことができる。
Note that the
図3は、本実施形態における接続情報記憶部202の記憶内容例を示すテーブルである。接続情報記憶部202は、CA_idと対応付けて、接続情報を記憶する。図3の例では、接続情報は、項目「管理CA」と、項目「接続モジュール」を含む。項目「管理CA」は、当該接続情報が対応付けられたCA_idの管理認証局30を示す情報であり、該管理認証局30を呼び出すための情報である。項目「管理CA」は、管理認証局30の識別情報であってもよいし、管理認証局30のURLであってもよい。また、管理認証局30が、認証局管理装置20と同じコンピュータ上に実装されている場合には、管理認証局30としてコンピュータを機能させるためのプログラムのファイル名であってもよい。
FIG. 3 is a table showing an example of contents stored in the connection
項目「接続モジュール」は、当該接続情報が対応付けられたCA_idの外部認証局40から認証局生成データを取得するための手順を実行するモジュールを示す情報であり、該モジュールを呼び出すための情報である。項目「接続モジュール」は、該モジュールの識別情報であってもよいし、該モジュールのファイル名であってもよい。
The item "connection module" is information indicating a module that executes a procedure for acquiring certificate authority generated data from the
図3の例では、項目「CA_id」の値「0001」に対応付けて、接続情報として項目「管理CA」の値「管理CA0001」を記憶しているが、項目「接続モジュール」は値がない。これにより、CA_idが「0001」である認証局は、管理認証局30であり、その管理認証局30を示す情報は「管理CA0001」であることを示している。同様に、項目「CA_id」の値「0003」に対応付けて、接続情報として項目「管理CA」の値「管理CA0003」を記憶しているが、接続モジュールは値がない。これにより、CA_idが「0003」である認証局は、管理認証局30であり、その管理認証局30を示す情報は「管理CA0003」であることを示している。
In the example of FIG. 3, the value "management CA0001" of the item "management CA" is stored as the connection information in association with the value "0001" of the item "CA_id", but the item "connection module" has no value. . This indicates that the CA whose CA_id is "0001" is the
また、項目「CA_id」の値「0004」に対応付けて、接続情報として項目「接続モジュール」の値「モジュール0004」を記憶しているが、項目「管理CA」は値がない。これにより、CA_idが「0004」である認証局は、外部認証局40であり、その外部認証局40を示す情報は「モジュール0004」であることが示されている。同様に、項目「CA_id」の値「0008」に対応付けて、接続情報として項目「接続モジュール」の値「モジュール0008」を記憶しているが、項目「管理CA」は値がない。これにより、CA_idが「0008」である認証局は、外部認証局40であり、その外部認証局40を示す情報は「モジュール0008」であることが示されている。
Also, the value "
このように、図3の例では、項目「管理CA」と項目「接続モジュール」のうち、いずれが値を持つかで、管理認証局30と外部認証局40のうちの何れであるかを示している。なお、接続情報は、管理認証局30と外部認証局40のうちの何れであるかを明示的に示す情報を含んでいてもよい。
Thus, in the example of FIG. 3, which of the item "management CA" and the item "connection module" has a value indicates which of the
図4は、本実施形態における認証局管理システム100の動作を説明するフローチャートである。まず、クライアント装置10と認証局管理装置20のCA管理機能部210との間で、認証を行う(シーケンスS1)。この認証は、認証局管理装置20によるクライアント装置10の認証であってもよいし、相互認証であってもよい。
FIG. 4 is a flow chart for explaining the operation of the certificate
次に、クライアント装置10は、認証局生成データの要求を、認証局管理装置20に送信する(シーケンスS2)。この要求を受信した認証局管理装置20のCA管理機能部210は、該要求に含まれるCA_idに対応付けられた接続情報を接続情報記憶部202から読み出す(シーケンスS3)。CA管理機能部210は、読み出した接続情報を参照して、シーケンスS2で送信された要求に含まれるCA_idの認証局が、管理認証局30であるか外部認証局40であるかを判定する。外部認証局40であるときは、シーケンスS4aが行われ、管理認証局30であるときは、シーケンスS4bが行われる。
Next, the
シーケンスS4aは、シーケンスSa1からシーケンスSa6を含む。シーケンスS4aでは、まず、CA管理機能部210が、シーケンスS3で読み出した接続情報が示すモジュールの実行をモジュール実行部207に指示する(シーケンスSa1)。モジュール実行部207は、指示されたモジュールをモジュール記憶部208から読み出して実行する(シーケンスSa2)。該モジュールを実行することにより、モジュール実行部207は、該モジュールに対応する外部認証局40との間で認証を行う(シーケンスSa3)。この認証は、外部認証局40による認証局管理装置20の認証であってもよいし、相互認証であってもよい。
Sequence S4a includes sequence Sa1 to sequence Sa6. In sequence S4a, first, the CA
モジュールを実行しているモジュール実行部207は、外部認証局40に認証局生成データを要求し(シーケンスSa4)、その応答として送信された認証局生成データを取得する(シーケンスSa5)。これら、シーケンスSa3、Sa4、Sa5の手順、プロトコルなどは、外部認証局40に応じたものであり、モジュールによって定義されている。モジュール実行部207は、取得した認証局生成データをCA管理機能部210に渡す(シーケンスSa6)。
The
シーケンスS4bは、シーケンスSb1とシーケンスSb2を含む。シーケンスS4bでは、CA管理機能部210が、シーケンスS3で読み出した接続情報が示す管理認証局30に認証局生成データを要求し(シーケンスSb1)、その応答として送信された認証局生成データを取得する(シーケンスSb2)。
Sequence S4b includes sequence Sb1 and sequence Sb2. In sequence S4b, the CA
シーケンスS4aまたはシーケンスS4bの後、CA管理機能部210は、シーケンスS2の要求への応答として、取得した認証局生成データをクライアント装置10に送信する(シーケンスS5)。
After sequence S4a or sequence S4b, the CA
図5は、本実施形態における認証手順の第1の例を示すシーケンス図である。図5における認証手順は、B装置600が、A装置500を認証する手順であり、図4のシーケンスS1、Sa3において用いることができる。例えば、認証局管理装置20が、クライアント装置10を認証するシーケンスS1の場合、認証局管理装置20がB装置600に対応し、クライアント装置10が、A装置500に対応する。
FIG. 5 is a sequence diagram showing a first example of an authentication procedure in this embodiment. The authentication procedure in FIG. 5 is a procedure for
図5に示すシーケンスでは、まず、B装置600が、チャレンジコードを生成する(シーケンスSc1)。チャレンジコードは、例えば、乱数であり、毎回異なる値であることが望ましい。B装置600は、生成したチャレンジコードをA装置500に送信する(シーケンスSc2)。A装置500は、受信したチャレンジコードを、保持している鍵で暗号化する(シーケンスSc3)。この鍵は、A装置500とB装置600の共通鍵であってもよいし、A装置500の秘密鍵であってもよい。
In the sequence shown in FIG. 5, first,
A装置500は、暗号化されたチャレンジコードをB装置600に送信する(シーケンスSc4)。B装置600は、シーケンスSc4で送信された、暗号化されたチャレンジコードを受信し、これを保持している鍵で復号する。この鍵は、シーケンスSc3で用いた鍵に対応する鍵であり、A装置500とB装置600の共通鍵、またはA装置500の公開鍵である。B装置600は、復号結果と、シーケンスSc1で生成したチャレンジコードと比較し、一致していれば、A装置500の認証に成功したと判断する(シーケンスSc5)。
A
図6は、本実施形態における認証手順の第2の例を示すシーケンス図である。図6における認証手順は、A装置500とB装置600が、相互に認証する手順であり、図4のシーケンスS1、Sa3において用いることができる。例えば、シーケンスS1で、クライアント装置10と認証局管理装置20が相互認証する場合、クライアント装置10と認証局管理装置20のどちらか一方がA装置500に対応し、他方がB装置600に対応する。図6におけるシーケンスSc1からSc5は、図5と同様であるので説明を省略する。シーケンスSc5の後、B装置600は、シーケンスSc1で生成したチャレンジコードを、保持している鍵で暗号化する(シーケンスSc6)。この鍵は、A装置500とB装置600の共通鍵であってもよいし、B装置600の秘密鍵であってもよい。
FIG. 6 is a sequence diagram showing a second example of the authentication procedure in this embodiment. The authentication procedure in FIG. 6 is a procedure for mutually authenticating the
B装置600は、暗号化したチャレンジコードをA装置500に送信する(シーケンスSc7)。A装置500は、シーケンスSc7で送信された、暗号化されたチャレンジコードを受信し、これを保持している鍵で復号する。この鍵は、シーケンスSc6で用いた鍵に対応する鍵であり、A装置500とB装置600の共通鍵、またはB装置600の公開鍵である。A装置500は、復号結果と、シーケンスSc2で受信したチャレンジコードと比較し、一致していれば、B装置600の認証に成功したと判断する(シーケンスSc8)。
このように、本実施形態における認証局管理装置20は、要求受信部201と、モジュール選択部206と、データ送信部205とを備える。要求受信部201は、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する。モジュール選択部206は、認証局と対応付けられたモジュールであって、認証局生成データを認証局から取得する手順を実行するモジュールを選択する。データ送信部205は、選択されたモジュールが取得した認証局生成データを、他の装置に送信する。これにより、認証局生成データを認証局から取得する際に、認証局各々に応じたモジュールを用いることができるので、認証局生成データを認証局から取得する手順が、認証局によって異なっていても、認証局管理装置20は、認証局生成データを取得することができる。
As described above, the certificate
<第2の実施形態>
第1の実施形態では、クライアント装置10が送信する認証局生成データの要求に認証局を示す情報が含まれていた。第2の実施形態では、クライアント装置10aと認証局管理装置20との間に、フロントエンド21を配置する。そして、クライアント装置10aが送信する認証局生成データの要求は、認証局を示す情報を含んでおらず、フロントエンド21が、クライアント装置10aに応じた認証局を選択する。
<Second embodiment>
In the first embodiment, the request for certificate authority generated data transmitted by the
図7は、この発明の第2の実施形態における認証局管理システム100aの構成を示す概略ブロック図である。認証局管理システム100aは、1つまたは複数のクライアント装置10a、認証局管理装置20a、フロントエンド21、管理認証局30、外部認証局40、ネットワーク50を含む。図7において、図1の各部に対応する部分には同一の符号を付し、説明を省略する。クライアント装置10aは、図1のクライアント装置10と同様であるが、認証局生成データの要求に認証局を示す情報を含めない。
FIG. 7 is a schematic block diagram showing the configuration of a certificate
フロントエンド21は、クライアント装置10aと認証局管理装置20aとの間に配置される。フロントエンド21は、例えば、認証局管理装置20aが提供するサービスを含む複数のサービスのためのフロンドエンドである。なお、フロントエンド21および認証局管理装置20aが、ネットワーク50に接続されており、フロントエンド21は、論理的な接続におけるクライアント装置10aと認証局管理装置20aとの間に配置されていてもよい。フロントエンド21は、クライアント装置10aからの要求を、その要求内容に応じたサービスの装置に振り分ける。
The
また、フロントエンド21は、クライアント装置10aと認証局との対応関係を記憶している。フロントエンド21は、クライアント装置10aから認証局生成データの要求を受信すると、該クライアント装置10aに対応付けられている認証局を示す情報とともに該要求を、認証局管理装置20に送信する。認証局管理装置20aは、クライアント装置10aとフロントエンド21を介して通信するが、それ以外は、図1の認証局管理装置20と同様である。なお、認証局管理装置20aは、クライアント装置10aを認証せず、フロントエンド21が、クライアント装置10aを認証するようにしてもよい。
The
図8は、本実施形態におけるフロントエンド21が記憶するクライアント装置10aと認証局との対応関係の例を示すテーブルである。図8に示すように、フロントエンド21は、クライアント装置10aの識別情報であるDevice_idと、認証局の識別情報であるCA_idとを対応付けて記憶する。図8の例では、Device_idの値「01010」と対応付けて、CA_idの値「0001」を記憶し、Device_idの値「01021」と対応付けて、CA_idの値「0003」を記憶し、Device_idの値「03215」と対応付けて、CA_idの値「0001」を記憶している。
FIG. 8 is a table showing an example of the correspondence relationship between the
本実施形態においても、第1の実施形態と同様に、認証局生成データを認証局から取得する手順が、認証局によって異なっていても、認証局管理装置20aは、認証局生成データを取得することができる。
In this embodiment, as in the first embodiment, even if the procedure for acquiring certificate authority generated data from the certificate authority differs depending on the certificate authority, the certificate
なお、上述の各実施形態において、外部認証局40は、認証局管理装置20を管理、運営する組織とは異なる組織により、管理、運営されている認証局であるとして説明したが、認証局管理装置20を管理、運営する組織により、管理、運営されている認証局であってもよい。
In each of the above-described embodiments, the
また、図1、図2における認証局管理装置20、20aの機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証局管理装置20、20aを実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
Also, a program for realizing the functions of the certificate
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD-ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。 The term "computer-readable recording medium" refers to portable media such as flexible discs, magneto-optical discs, ROMs and CD-ROMs, and storage devices such as hard discs incorporated in computer systems. Furthermore, "computer-readable recording medium" refers to a program that dynamically retains programs for a short period of time, like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. It also includes those that hold programs for a certain period of time, such as volatile memories inside computer systems that serve as servers and clients in that case. Further, the program may be for realizing part of the functions described above, or may be capable of realizing the functions described above in combination with a program already recorded in the computer system.
以上、この発明の実施形態の図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。 Although the embodiment of this invention has been described in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and design changes and the like are included within the scope of the invention.
10、10a クライアント装置
20、20a 認証局管理装置
21 フロントエンド
30 管理認証局
40 外部認証局
50 ネットワーク
100 認証局管理システム
201 要求受信部
202 接続情報記憶部
203 CA判定部
204 管理認証局接続部
205 データ送信部
206 モジュール選択部
207 モジュール実行部
208 モジュール記憶部
210 CA管理機能部
10,
Claims (6)
前記フロントエンドは、他の装置と認証局との対応付けを予め記憶し、前記認証局によって生成される認証局生成データの要求であって、前記他の装置からの要求を受信し、前記対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を前記認証局管理装置に送信し、
前記認証局管理装置は、
前記フロントエンドから前記要求と前記認証局を示す情報とを受信する要求受信部と、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部と
を備える、認証局管理システム。 A certificate authority management system comprising a front end and a certificate authority management device,
The front end stores in advance a correspondence between another device and a certification authority, receives a request for certification authority generated data generated by the certification authority, and receives a request from the other device, transmitting the request to the certificate authority management device together with information indicating the certificate authority associated with the other device by attachment ;
The certificate authority management device
a request receiving unit that receives the request and information indicating the certificate authority from the front end;
a module selection unit that selects a module that is associated with the certification authority indicated by the information and executes a procedure for acquiring the certification authority generated data from the certification authority indicated by the information;
A certification authority management system, comprising: a data transmission unit that transmits the certification authority generated data acquired by the selected module to the other device.
前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。 The certificate authority management device
Based on the information indicating the certification authority, it is determined whether the certification authority is a management certification authority or an external certification authority, and when it is determined that the certification authority is an external certification authority, the module selection unit a certification authority determination unit that instructs execution of selection of a module associated with the certification authority;
The certificate authority management system according to claim 1.
前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。 The certificate authority management device
Based on the information indicating the certification authority, it is determined whether or not there is a module associated with the certification authority, and when it is determined that there is a module associated with the certification authority, the module selection unit A certificate authority determination unit that instructs execution of selection of a module associated with a certificate authority,
The certificate authority management system according to claim 1.
フロントエンドが、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信し、予め記憶していた前記他の装置と前記認証局との対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を前記認証局管理装置に送信する過程と、
前記認証局管理装置が、前記フロントエンドから前記要求と前記認証局を示す情報とを受信する過程と、
前記認証局管理装置が、前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択する過程と、
前記認証局管理装置が、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程と
を有する、認証局管理方法。 A certificate authority management method by a certificate authority management system comprising a front end and a certificate authority management device,
A front end receives a request for certification authority generated data generated by a certification authority, receives a request from another device, and uses the previously stored correspondence between the other device and the certification authority to sending the request to the certificate authority management device along with information indicating the certificate authority associated with the device of
a process in which the certificate authority management device receives the request and information indicating the certificate authority from the front end;
a step in which the certification authority management device selects a module associated with the certification authority indicated by the information and executing a procedure for acquiring the certification authority generated data from the certification authority indicated by the information;
A certificate authority management method, comprising: sending the certificate authority generated data acquired by the selected module to the other device.
他の装置と認証局との対応付けを予め記憶し、前記認証局によって生成される認証局生成データの要求であって、前記他の装置からの要求を受信し、前記対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を送信するフロントエンドと、
前記要求と前記認証局を示す情報とを受信する要求受信部、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部
として機能させるためのプログラム。 the computer,
a request for certificate authority generated data generated by said certificate authority, receiving a request from said other device, and receiving said other device according to said correspondence; a front end that sends the request along with information indicating the certificate authority associated with the device;
a request receiving unit that receives the request and information indicating the certification authority;
A module selection unit that selects a module that is associated with the certification authority indicated by the information and executes a procedure for acquiring the certification authority generated data from the certification authority indicated by the information;
A program for functioning as a data transmission unit that transmits the certification authority generated data acquired by the selected module to the other device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022081291A JP7283614B1 (en) | 2022-05-18 | 2022-05-18 | Certification authority management system, certification authority management method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022081291A JP7283614B1 (en) | 2022-05-18 | 2022-05-18 | Certification authority management system, certification authority management method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7283614B1 true JP7283614B1 (en) | 2023-05-30 |
| JP2023169938A JP2023169938A (en) | 2023-12-01 |
Family
ID=86538217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022081291A Active JP7283614B1 (en) | 2022-05-18 | 2022-05-18 | Certification authority management system, certification authority management method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7283614B1 (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207426A (en) | 2001-01-10 | 2002-07-26 | Sony Corp | System and method for issuing public key certificate, electronic certification device, and program storage medium |
| JP2002244558A (en) | 2001-02-21 | 2002-08-30 | Nippon Telegr & Teleph Corp <Ntt> | Device and program for accessing authentication system, method and program for obtaining public key certificate, method and program for confirming invalidation of public key certificate, storage medium with stored program for accessing authentication system storage medium with stored program for obtaining public key certificate, and storage medium with stored program for confirming invalidation of public key certificate |
| US20030065921A1 (en) | 2001-09-28 | 2003-04-03 | Chang Kae-Por F. | Authority-neutral certification for multiple-authority PKI environments |
| JP2003204512A (en) | 2001-09-28 | 2003-07-18 | Canon Inc | Image processing device, information processing method, network system, security method for digital information, storage medium, and program |
| JP2008005090A (en) | 2006-06-21 | 2008-01-10 | Nippon Telegr & Teleph Corp <Ntt> | System for issuing and verifying certificates of several open keys, and method for issuing and verifying certificates of several open keys |
| US20170134172A1 (en) | 2015-11-06 | 2017-05-11 | Cable Television Laboratories, Inc | Systems and methods for secure certificate management |
-
2022
- 2022-05-18 JP JP2022081291A patent/JP7283614B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207426A (en) | 2001-01-10 | 2002-07-26 | Sony Corp | System and method for issuing public key certificate, electronic certification device, and program storage medium |
| JP2002244558A (en) | 2001-02-21 | 2002-08-30 | Nippon Telegr & Teleph Corp <Ntt> | Device and program for accessing authentication system, method and program for obtaining public key certificate, method and program for confirming invalidation of public key certificate, storage medium with stored program for accessing authentication system storage medium with stored program for obtaining public key certificate, and storage medium with stored program for confirming invalidation of public key certificate |
| US20030065921A1 (en) | 2001-09-28 | 2003-04-03 | Chang Kae-Por F. | Authority-neutral certification for multiple-authority PKI environments |
| JP2003204512A (en) | 2001-09-28 | 2003-07-18 | Canon Inc | Image processing device, information processing method, network system, security method for digital information, storage medium, and program |
| JP2008005090A (en) | 2006-06-21 | 2008-01-10 | Nippon Telegr & Teleph Corp <Ntt> | System for issuing and verifying certificates of several open keys, and method for issuing and verifying certificates of several open keys |
| US20170134172A1 (en) | 2015-11-06 | 2017-05-11 | Cable Television Laboratories, Inc | Systems and methods for secure certificate management |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023169938A (en) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102375777B1 (en) | Payment authentication method, device and system for on-board terminal | |
| US8484708B2 (en) | Delegating authentication using a challenge/response protocol | |
| US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
| CN110138718B (en) | Information processing system and control method thereof | |
| AU2010272570B2 (en) | Method for reading attributes from an ID token | |
| US8340283B2 (en) | Method and system for a PKI-based delegation process | |
| US7823187B2 (en) | Communication processing method and system relating to authentication information | |
| RU2411668C2 (en) | Expansion of user comparison information for protocols | |
| US20110207433A1 (en) | Web server constituting single sign-on system, method of controlling operation of same, and recording medium storing program for controlling operation of same | |
| WO2005069531A1 (en) | Establishing a secure context for communicating messages between computer systems | |
| US8566581B2 (en) | Secure inter-process communications | |
| US9118483B2 (en) | Communication system, relay device, and non-transitory computer readable medium | |
| CN111786996B (en) | Cross-domain synchronous login state method and device and cross-domain synchronous login system | |
| US20080082818A1 (en) | Symmetric key-based authentication in multiple domains | |
| CN111049789B (en) | Domain name access method and device | |
| JP6465426B1 (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
| JP7283614B1 (en) | Certification authority management system, certification authority management method, and program | |
| JP7215542B2 (en) | Authentication collaboration device, information processing program, and authentication collaboration system | |
| JP7485087B2 (en) | Certificate issuance support system, certificate issuance support method and program | |
| US9281947B2 (en) | Security mechanism within a local area network | |
| JP4248489B2 (en) | File transfer system and file transfer method | |
| JP4690964B2 (en) | Communication support system | |
| JP2008109569A (en) | Relay apparatus, communication system, relay method, and program | |
| JP2021040278A (en) | Key management system, signing device, method for managing key, and program | |
| JP2015184739A (en) | Information processor, information processing system and information processing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220518 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220816 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221011 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221220 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230418 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230501 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7283614 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |