特許 6945498 ネットワーク管理装置およびネットワークシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6945498

(24)【登録日】2021年9月16日

(45)【発行日】2021年10月6日

(54)【発明の名称】ネットワーク管理装置およびネットワークシステム

(51)【国際特許分類】

   H04L 9/08 20060101AFI20210927BHJP

   G06F 21/31 20130101ALI20210927BHJP

【ＦＩ】

   H04L9/00 601B

   H04L9/00 601F

   G06F21/31

【請求項の数】8

【全頁数】13

(21)【出願番号】特願2018-101335(P2018-101335)

(22)【出願日】2018年5月28日

(65)【公開番号】特開2019-208096(P2019-208096A)

(43)【公開日】2019年12月5日

【審査請求日】2020年11月10日

(73)【特許権者】

【識別番号】300059979

【氏名又は名称】エイチ・シー・ネットワークス株式会社

(74)【代理人】

【識別番号】110002066

【氏名又は名称】特許業務法人筒井国際特許事務所

(72)【発明者】

【氏名】西野宮 浩志

(72)【発明者】

【氏名】大森 晃

(72)【発明者】

【氏名】益子 秀隆

(72)【発明者】

【氏名】小野 勝人

(72)【発明者】

【氏名】伊藤 雅人

(72)【発明者】

【氏名】江藤 馨

(72)【発明者】

【氏名】松澤 武

【審査官】 行田 悦資

(56)【参考文献】

【文献】 特開２００４−１７８４０７（ＪＰ，Ａ）

【文献】 特開２００７−２０８４２９（ＪＰ，Ａ）

【文献】 特開２０１５−００５９５６（ＪＰ，Ａ）

【文献】 特開２０１５−０１９２６７（ＪＰ，Ａ）

【文献】 国際公開第２０１７／１０６１４０（ＷＯ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ ９／０８

Ｇ０６Ｆ ２１／３１

(57)【特許請求の範囲】

【請求項1】

認証局から受け取ったＰＫＣＳ＃１２形式となるファイルでありクライアント証明書がアーカイブされている第１のファイルを、前記認証局から受け取った初期のパスワードで前記クライアント証明書に展開する第１の処理と、
ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第１の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記ＰＫＣＳ＃１２形式となる第２のファイルにアーカイブしたのち前記ユーザ端末へ送信する第２の処理と、
を実行する証明書配布部を備える、
ネットワーク管理装置。

【請求項2】

請求項１記載のネットワーク管理装置において、
前記証明書配布部は、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第２の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。

【請求項3】

請求項１記載のネットワーク管理装置において、
前記証明書配布部は、
前記第１のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第１の処理において、前記管理テーブルに基づき、前記第１のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第１のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第２の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。

【請求項4】

請求項２または３記載のネットワーク管理装置において、
前記ユーザ端末からのＩＥＥＥ８０２．１Ｘに基づく認証要求に応じて認証成否を判定するネットワーク認証部を備え、
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワーク管理装置。

【請求項5】

ユーザ端末と、
前記ユーザ端末からのＩＥＥＥ８０２．１Ｘに基づく認証要求に応じて認証成否を判定するネットワーク認証部と、前記ユーザ端末にクライアント証明書を配布する証明書配布部とを備えるネットワーク管理装置と、
前記ユーザ端末と前記ネットワーク管理装置との間の通信経路に挿入され、前記ユーザ端末からの前記認証要求を前記ネットワーク認証部へ中継し、前記ネットワーク認証部からの認証結果に応じて前記ユーザ端末の通信範囲を制御する認証スイッチまたは無線ＬＡＮアクセスポイントと、
前記クライアント証明書を発行する認証局と、
を備えるネットワークシステムであって、
前記証明書配布部は、
前記認証局から受け取ったＰＫＣＳ＃１２形式となるファイルであり前記クライアント証明書がアーカイブされている第１のファイルを、前記認証局から受け取った初期のパスワードで前記クライアント証明書に展開する第１の処理と、
前記ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第１の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記ＰＫＣＳ＃１２形式となる第２のファイルにアーカイブしたのち前記ユーザ端末へ送信する第２の処理と、
を実行する、
ネットワークシステム。

【請求項6】

請求項５記載のネットワークシステムにおいて、
前記証明書配布部は、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第２の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。

【請求項7】

請求項５記載のネットワークシステムにおいて、
前記証明書配布部は、
前記第１のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第１の処理において、前記管理テーブルに基づき、前記第１のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第１のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第２の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。

【請求項8】

請求項６または７記載のネットワークシステムにおいて、
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワークシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ネットワーク管理装置およびネットワークシステムに関し、例えば、クライアント証明書の配付機能を備えるネットワーク管理装置およびネットワークシステムに関する。

【背景技術】

【0002】

特許文献１に示される証明書発行装置は、端末装置からの証明書取得要求に応じて、端末装置へパスワード入力画面を送信し、パスワード認証の後、端末装置へＰＫＣＳ＃１２形式の証明書ファイルを送信する。当該パスワードは、事前に、オンラインまたはオフライン（郵便等の手段）で端末装置のユーザへ通知される。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２００６−６７５１５号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

例えば、企業等のネットワークシステムにおいてクライアント証明書を使用してユーザ認証やコンピュータ認証を行う場合、各ユーザが使用するユーザ端末には、予め、クライアント証明書がインストールされる必要がある。そこで、通常、ネットワーク管理者等は、認証局にクライアント証明書の発行を申請し、認証局によって発行されたクライアント証明書を含むＰＫＣＳ＃１２形式のファイル（明細書ではｐ１２ファイルと呼ぶ）を各ユーザ（ユーザ端末）へ配付する。各ユーザは、当該ｐ１２ファイルに含まれるクライアント証明書を自身のユーザ端末にインストールする。

【0005】

ｐ１２ファイルは、“PKCS #12 Personal Information Exchange Syntax Standard”規格で規定されたフォーマットを有するファイルである。当該規格では、秘密鍵と、それに関連する公開鍵証明書（例えばクライアント証明書）等を１個のファイルとして保管（アーカイブ）するためのフォーマットが規定される。クライアント証明書等は、パスワードによってｐ１２ファイルにアーカイブされた状態で配付される。当該配付されたｐ１２ファイルをクライアント証明書に展開し、ユーザ端末にインストールする際には、アーカイブ時のパスワードが必要となる。このため、ネットワーク管理者等は、各ユーザに対して、ｐ１２ファイルを配付する作業に加えて、特許文献１に示されるように、事前に当該ｐ１２ファイルのパスワードをメールや書面等で通知する作業を行う必要がある。その結果、ネットワーク管理者等の負担が重くなる。

【0006】

本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ネットワーク管理者等の負担を軽減可能なネットワーク管理装置およびネットワークシステムを提供することにある。

【0007】

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。

【課題を解決するための手段】

【0008】

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。

【0009】

本実施の形態によるネットワーク管理装置は、第１および第２の処理を実行する。第１の処理において、ネットワーク管理装置は、認証局から受け取ったｐ１２ファイルでありクライアント証明書がアーカイブされている第１のファイルを、認証局から受け取った初期のパスワードでクライアント証明書に展開する。第２の処理において、ネットワーク管理装置は、ユーザ端末からのクライアント証明書の取得要求に応じて、ユーザ端末のユーザに任意のパスワードを入力させ、第１の処理によって得られる展開後のクライアント証明書を当該任意のパスワードでｐ１２ファイルとなる第２のファイルにアーカイブしたのちユーザ端末へ送信する。

【発明の効果】

【0010】

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワーク管理者等の負担を軽減可能になる。

【図面の簡単な説明】

【0011】

【図1】本発明の実施の形態１によるネットワークシステムにおいて、主要部の概略構成例およびネットワーク認証時の概略動作例を示す図である。

【図2】図１における証明書配付部関連の処理内容の一例を示すシーケンス図である。

【図3】図１における証明書配付部の主要部の構成例を示す概略図である。

【図4】図１におけるネットワーク認証部の主要部の構成例を示す概略図である。

【図5】本発明の実施の形態２によるネットワーク管理装置において、図１における証明書配付部の主要部の構成例を示す概略図である。

【図6】図５の証明書配付部関連の処理内容の一例を示すシーケンス図である。

【発明を実施するための形態】

【0012】

以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等（個数、数値、量、範囲等を含む）に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。

【0013】

さらに、以下の実施の形態において、その構成要素（要素ステップ等も含む）は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。

【0014】

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。

【0015】

（実施の形態１）
《ネットワークシステムの概略構成》
図１は、本発明の実施の形態１によるネットワークシステムにおいて、主要部の概略構成例およびネットワーク認証時の概略動作例を示す図である。図１に示すネットワークシステムは、認証局ＣＡと、Ｌ３スイッチＬ３ＳＷと、Ｌ２スイッチＬ２ＳＷ１，Ｌ２ＳＷ２と、無線ＬＡＮアクセスポイントＡＰと、ネットワーク管理装置１２と、業務サーバ１３と、ディレクトリサーバ１４と、ユーザ端末２０ａ，２０ｂとを備える。Ｌ３スイッチＬ３ＳＷは、ＯＳＩ参照モデルのレイヤ２（Ｌ２）（すなわちＭＡＣアドレス）に基づく中継処理に加えて、レイヤ３（Ｌ３）（すなわちＩＰアドレス）に基づく中継処理を行う。Ｌ２スイッチＬ２ＳＷ１，Ｌ２ＳＷ２は、ＯＳＩ参照モデルのレイヤ２（Ｌ２）に基づく中継処理を行う。

【0016】

この例では、認証局ＣＡおよびディレクトリサーバ１４は、ＩＰネットワーク１０を介してＬ３スイッチＬ３ＳＷに接続される。Ｌ２スイッチＬ２ＳＷ１，Ｌ２ＳＷ２、ネットワーク管理装置１２および業務サーバ１３は、通信回線（例えば、イーサネット（登録商標）ケーブル）１１を介してＬ３スイッチＬ３ＳＷに接続される。ユーザ端末２０ａは、ユーザ２１ａによって使用され、通信回線１１を介してＬ２スイッチＬ２ＳＷ１に接続される。ユーザ端末２０ｂは、ユーザ２１ｂによって使用され、無線ＬＡＮアクセスポイントＡＰとの間で無線通信を行う。無線ＬＡＮアクセスポイントＡＰは、通信回線１１を介してＬ２スイッチＬ２ＳＷ２に接続される。また、この例では、ユーザ端末２０ａ，２０ｂには、それぞれ、クライアント証明書２５ａ，２５ｂがインストールされている。

【0017】

認証局ＣＡは、クライアント証明書やサーバ証明書といった各種電子証明書を発行する。電子証明書は、広く知られているように、公開鍵の情報やその所有者の情報や有効期限の情報等を含み、これらの各種情報に認証局ＣＡが電子署名を行ったものである。ディレクトリサーバ１４は、例えば、ＬＤＡＰ（Lightweight Directory Access Protocol）等を用いてディレクトリサービスを提供するものであり、ネットワーク上に存在する様々なリソースや情報等を管理するサーバである。業務サーバ１３は、例えば、各ユーザ２１ａ，２１ｂに、業務で必要な各種情報等を提供するサーバである。

【0018】

ネットワーク管理装置１２は、例えば、ネットワーク管理者２２によって管理されるサーバ等であり、サーバ上のプログラム処理によって実装されるネットワーク認証部１５と証明書配付部１６とを備える。ここでは、ネットワーク認証部１５および証明書配付部１６は、同一のサーバに実装されているが、個別のサーバに実装されてもよい。証明書配付部１６は、詳細は後述するが、ユーザ端末２０ａ，２０ｂ（ユーザ２１ａ，２１ｂ）にクライアント証明書を配布する。ネットワーク認証部１５は、ＩＥＥＥ８０２．１Ｘに基づく認証サーバの機能を備える。

【0019】

ＩＥＥＥ８０２．１Ｘでは、ユーザ端末２０ａ，２０ｂ上のソフトウエアとなるサプリカントと、ネットワーク認証部１５に該当する認証サーバ（ＲＡＤＩＵＳサーバ）と、サプリカントと認証サーバとの間の通信経路に挿入されるオーセンティケータとを構成要素として、ユーザ端末またはユーザのネットワーク認証が行われる。この際には、ＥＡＰ（Extensible Authentication Protocol）と呼ばれる認証プロトコルが用いられる。オーセンティケータは、ＩＥＥＥ８０２．１Ｘ対応のＬ２スイッチ（認証スイッチと呼ばれる）や無線ＬＡＮアクセスポイントに該当し、図１の例では、Ｌ２スイッチＬ２ＳＷ１および無線ＬＡＮアクセスポイントＡＰに該当する。

【0020】

例えば、Ｌ２スイッチＬ２ＳＷ１は、初期状態では、ユーザ端末２０ａの通信範囲をＬ２スイッチＬ２ＳＷ１までの範囲に制限している。この状態で、ユーザ端末２０ａ（ユーザ２１ａ）は、Ｌ２スイッチＬ２ＳＷ１へ認証要求を行う（ステップＳ１０１）。この認証要求は、ＥＡＰＯＬ（EAP Over LAN）フレームを用いて行われる。ＥＡＰＯＬフレームには、ユーザ２１ａのアカウント情報（ユーザＩＤおよびパスワード等）や、または、クライアント証明書２５ａを含めることができる。

【0021】

Ｌ２スイッチＬ２ＳＷ１は、ユーザ端末２０ａからの認証要求をＬ３スイッチＬ３ＳＷを介してネットワーク認証部１５へ中継する（ステップＳ１０２）。この際に、Ｌ２スイッチＬ２ＳＷ１は、ＥＡＰＯＬフレームを、ネットワーク認証部１５のＩＰアドレスを宛先とするＥＡＰパケットに変換する。ネットワーク認証部１５は、ユーザ端末２０ａからのＬ２スイッチＬ２ＳＷ１およびＬ３スイッチＬ３ＳＷを介した認証要求に応じて、認証成否を判定する（ステップＳ１０３）。

【0022】

この際に、ネットワーク認証部１５は、アカウント情報で認証を行う場合には、例えば、予め有効なアカウント情報等が登録された認証テーブルに基づき真正性を検証する。一方、ネットワーク認証部１５は、クライアント証明書２５ａで認証を行う場合には、例えば、クライアント証明書２５ａの電子署名や有効期限等に基づき真正性を検証する。また、ネットワーク認証部１５は、例えば、予め登録されたクライアント証明書と、受信したクライアント証明書２５ａとの同一性に基づいて真正性を検証してもよい。なお、このような真正性の検証に際し、ネットワーク認証部１５は、内部で保持する認証テーブル等の登録情報に限らず、ディレクトリサーバ１４との通信によってディレクトリサーバ１４から取得した登録情報を用いてもよい。

【0023】

ネットワーク認証部１５は、このような真正性の検証結果に基づいて認証成否を判定し、当該認証成否の判定結果を含む認証結果をＬ２スイッチＬ２ＳＷ１へ送信する（ステップＳ１０４）。Ｌ２スイッチＬ２ＳＷ１は、ネットワーク認証部１５からの認証結果に応じてユーザ端末２０ａの通信範囲を制御する。例えば、Ｌ２スイッチＬ２ＳＷ１は、ネットワーク認証部１５から認証失敗の認証結果を受けた場合には、ユーザ端末２０ａからのフレームを中継しないように制御する。また、Ｌ２スイッチＬ２ＳＷ１は、ネットワーク認証部１５から認証成功の認証結果を受けた場合には、例えば、当該認証結果に含まれる割り当てＶＬＡＮ等の情報（すなわち認証ＶＬＡＮ機能）によって業務サーバ１３等との通信経路が構築されるように制御する。なお、無線ＬＡＮアクセスポイントＡＰも、ユーザ端末２０ｂ（ユーザ２１ｂ）を対象としてＬ２スイッチＬ２ＳＷ１の場合と同様の処理を行う。

【0024】

ここで、前述したようにクライアント証明書２５ａ，２５ｂを用いてネットワーク認証を行う場合には、予めユーザ端末２０ａ，２０ｂにクライアント証明書２５ａ，２５ｂがインストールされている必要がある。そこで、ユーザ端末（ユーザ）にクライアント証明書を配付する証明書配付部１６が設けられる。クライアント証明書は、詳細には、ユーザの真正性を証明するユーザ証明書と、ユーザ端末の真正性を証明するコンピュータ証明書とに分かれるが、そのいずれであってもよい。

【0025】

《証明書配付部の詳細》
図２は、図１における証明書配付部関連の処理内容の一例を示すシーケンス図である。図２において、まず、ネットワーク管理者２２は、ユーザ２１からの要求等に応じて、認証局ＣＡにユーザ２１またはユーザ端末２０のクライアント証明書の発行申請を行う（ステップＳ２０１）。認証局ＣＡは、当該発行申請に応じてクライアント証明書を発行し、発行したクライアント証明書を、秘密鍵等と共に認証局ＣＡ等で定めた初期のパスワードでｐ１２ファイル（第１のファイル）にアーカイブする（ステップＳ２０２）。続いて、認証局ＣＡは、当該ｐ１２ファイルと初期のパスワードを管理端末２２へ送付する（ステップＳ２０３）。

【0026】

次いで、ネットワーク管理者２２は、認証局ＣＡから受け取ったｐ１２ファイル（第１のファイル）と初期のパスワードとを、ユーザ２１またはユーザ端末２０のアカウント情報（ユーザアカウントまたはコンピュータアカウント）に紐付けて証明書配付部１６ａにアップロードする（ステップＳ２０４）。具体的には、ネットワーク管理者２２は、例えば、証明書配付部１６ａに設けられる管理テーブルにこれらの対応関係を登録する。なお、証明書配付部１６ａは、図１に示した証明書配付部１６に対応する。

【0027】

続いて、証明書配付部１６ａは、ステップＳ２０４で登録された対応関係に基づき、クライアント証明書がアーカイブされているｐ１２ファイル（第１のファイル）を初期のパスワードでクライアント証明書に展開する（ステップＳ２０５）。次いで、証明書配付部１６ａは、当該展開後のクライアント証明書を、展開前のｐ１２ファイルに対応するアカウント情報に紐付けて管理し、さらに、任意のパスワードでｐ１２ファイルにアーカイブできる状態で管理する（ステップＳ２０６）。具体例として、例えば、管理テーブルは、ｐ１２ファイル（第１のファイル）と初期のパスワードとアカウント情報との対応関係に加えて、当該アカウント情報と展開後のクライアント証明書との対応関係も保持する。

【0028】

その後、ユーザ２１は、ユーザ端末２０を用いて証明書配付部１６ａに所定のアカウント情報（ユーザアカウントまたはコンピュータアカウント）でログインし、証明書配付部１６ａにクライアント証明書の取得要求を送信する（ステップＳ２０７）。これに応じて、証明書配付部１６ａは、ユーザ端末２０にパスワード入力画面を表示させ（ステップＳ２０８）、ユーザ端末２０のユーザ２１に任意のパスワードを入力させる（ステップＳ２０９）。

【0029】

次いで、証明書配付部１６ａは、ステップＳ２０６での対応関係（管理テーブル）に基づき、ステップＳ２０７でのアカウント情報に対応する展開後のクライアント証明書をアーカイブの対象に定める。そして、証明書配付部１６ａは、対象となる展開後のクライアント証明書を、ステップＳ２０９で入力された任意のパスワードでｐ１２ファイル（第２のファイル）にアーカイブする（ステップＳ２１０）。その後、証明書配付部１６ａは、当該ｐ１２ファイルをユーザ端末２０へ送信する（ステップＳ２１１）。ユーザ端末２０のユーザ２１は、当該ｐ１２ファイルを、ステップＳ２０９で入力した任意のパスワードでクライアント証明書に展開し、ユーザ端末２０にインストールする（ステップＳ２１２）。

【0030】

なお、ステップＳ２０７でユーザ端末２０（ユーザ２１）が証明書配付部１６ａにログインするためには、前提として、ネットワーク認証によってユーザ端末２０と証明書配付部１６ａとの間の通信経路が構築されている必要がある。図１で述べたように、例えば、ユーザ２１ａがユーザアカウントでネットワーク認証を行った場合や、ユーザ端末２０ａ内のクライアント証明書２５ａでネットワーク認証を行った場合（例えば、クライアント証明書２５ａの有効期限更新時）には、当該通信経路が構築される。ただし、このような方法が適用できない場合も起こり得る。この場合、例えば、ネットワーク管理者２２は、認証ＶＬＡＮ機能を用いて、認証失敗時に当該通信経路が構築されるような設定を行えばよい。

【0031】

以上のような証明書配付部１６ａを設けることで、ネットワーク管理者２２の負担を軽減することが可能になる。すなわち、ネットワーク管理者２２は、ステップＳ２０４でｐ１２ファイルを証明書配付部１６ａにアップロードする作業を行えばよく、ユーザ端末２０（ユーザ２１）に配付する作業を行う必要はない。さらに、証明書配付部１６ａがステップＳ２０９でユーザ２１に任意のパスワードを決めさせることで、ネットワーク管理者２２は、特許文献１のように、ステップＳ２０３における初期のパスワードをユーザ２１に通知する作業も行わずに済む。また、このようにユーザ２１に任意のパスワードを決めさせる仕組みを用いることで、ネットワーク管理者２２が各ユーザに初期のパスワードを通知する場合と比べて、パスワードが流出し難くなり、ネットワークシステムにおけるセキュリティの向上が図れる。

【0032】

図３は、図１における証明書配付部の主要部の構成例を示す概略図である。図３に示す証明書配付部１６ａは、管理テーブル３０ａと、展開処理部３１ａと、アーカイブ処理部３２と、記憶部３３とを備える。管理テーブル３０ａおよび記憶部３３は、揮発性メモリまたは不揮発性メモリに実装される。展開処理部３１ａおよびアーカイブ処理部３２は、例えば、ＣＰＵを用いたプログラム処理等によって実装される。管理テーブル３０ａには、図２のステップＳ２０４の処理によって、アカウント情報と、初期のパスワード（ＰＷ）と、ｐ１２ファイル（そのポインタ）との対応関係が登録される。実体となるｐ１２ファイル３４は、記憶部３３に格納される。

【0033】

この例では、アカウント情報として、ユーザＩＤおよびパスワードを含むユーザアカウントと、ユーザ端末のコンピュータ名を含むコンピュータアカウントとが登録される。ただし、場合によっては、例えばユーザアカウントのみ等であってもよい。展開処理部３１ａは、図２のステップＳ２０５で述べたように、管理テーブル３０ａの各登録エントリ毎に、記憶部３３内のｐ１２ファイル（第１のファイル）３４を対応する初期のパスワードでクライアント証明書３５に展開し、記憶部３３に格納する。

【0034】

また、展開処理部３１ａは、図２のステップＳ２０６で述べたように、展開後のクライアント証明書３５を、展開前のｐ１２ファイル（第１のファイル）３４に対応するアカウント情報に紐付けて管理する。この例では、展開処理部３１ａは、管理テーブル３０ａ内の対応する登録エントリに展開後のクライアント証明書３５へのポインタを登録する。なお、このような展開処理を終えた場合、展開処理部３１ａは、処理済みのｐ１２ファイル３４と、それに対応する初期のパスワードとを記憶部３３および管理テーブル３０ａから削除してもよい。

【0035】

アーカイブ処理部３２は、図２のステップＳ２０７におけるアカウント情報４０を検索キーとして管理テーブル３０ａ内の各登録エントリを検索し、ヒットしたエントリに登録される展開後のクライアント証明書３５をアーカイブの対象に定める。そして、アーカイブ処理部３２は、対象となる展開後のクライアント証明書３５を、ステップＳ２０９で入力された任意のパスワード（ＰＷ）４１でｐ１２ファイル（第２のファイル）４３にアーカイブしたのち要求元のユーザ端末へ送信する。

【0036】

《ネットワーク認証部の詳細》
図４は、図１におけるネットワーク認証部の主要部の構成例を示す概略図である。図４に示すネットワーク認証部１５は、認証テーブル４５と、記憶部４６と、認証判定部４７とを備える。認証テーブル４５および記憶部４６は、揮発性メモリまたは不揮発性メモリに実装される。認証判定部４７は、例えば、ＣＰＵを用いたプログラム処理等によって実装される。

【0037】

認証テーブル４５内の各情報は、予め、ネットワーク管理者２２によって登録されるか、または、ネットワーク認証部１５が図１のディレクトリサーバ１４と連携してディレクトリサーバ１４から取得したものであってもよい。認証テーブル４５内の各登録エントリは、例えば、検証用のアカウント情報およびクライアント証明書（そのポインタ）と、割り当てＶＬＡＮとの対応関係を保持する。実体となる検証用のクライアント証明書は、記憶部４６に格納される。検証用のアカウント情報には、ユーザアカウントおよびコンピュータアカウントが含まれる。

【0038】

認証判定部４７は、図１で述べたように、アカウント情報またはクライアント証明書を含む認証要求４８を受け、認証テーブル４５に基づいて、当該アカウント情報またはクライアント証明書の認証成否を判定し、認証結果４９を送信する。認証判定部４７は、例えば、ユーザＩＤおよびパスワードが“ＩＤ［１］”および“ＰＷ［１］”のユーザアカウントを含む認証要求４８を受信した場合、登録エントリ［１］において当該ユーザアカウントが検証用のアカウント情報に一致するため、認証成功と判定する。そして、認証判定部４７は、認証結果４９として、認証成功の判定結果と、登録エントリ［１］に登録された割り当てＶＬＡＮ“ＶＮｘ”とを送信する。

【0039】

一方、認証判定部４７は、例えば、クライアント証明書［１］を含む認証要求４８を受信した場合、当該クライアント証明書［１］の電子署名や有効期限等に基づき真正性を検証する。また、認証判定部４７は、クライアント証明書［１］に記載される、又はクライアント証明書［１］と共に受信するユーザＩＤやコンピュータアカウントとクライアント証明書［１］との対応関係が認証テーブル４５に登録されているか否かを判定することで、真正性を検証する。

【0040】

さらに、場合によっては、認証判定部４７は、受信したクライアント証明書［１］と、記憶部４６に登録される検証用のクライアント証明書［１］との同一性を判定することで、真正性を検証する。これらの結果、クライアント証明書［１］が真正である場合、認証判定部４７は、認証成功と判定し、認証結果４９として、認証成功の判定結果と、登録エントリ［１］に登録された割り当てＶＬＡＮ“ＶＮｘ”とを送信する。

【0041】

ここで、図４の認証テーブル４５に含まれるアカウント情報は、ネットワーク認証における認証成否の判定対象となる情報である。一方、図３の管理テーブル３０ａに含まれるアカウント情報は、証明書配付部１６ａへのログイン可否の判定対象となる情報である。したがって、これらのアカウント情報は、必ずしも同一である必要はない。ただし、図１に示したように、特に、同一のサーバにネットワーク認証部１５と証明書配付部１６とを備えるような場合には、両方のアカウント情報を同じにすることで、各種リソースの効率化が図れる。

【0042】

具体的には、両方のアカウント情報を同じにすると、図４の認証テーブル４５および図３の管理テーブル３０ａにおいて、アカウント情報とクライアント証明書との対応関係を共通化できるため、例えば、２個のテーブルを１個に統合すること等が可能になる。また、図４のネットワーク認証部１５は、図３の証明書配付部１６ａで生成された、アカウント情報とクライアント証明書との対応関係および当該クライアント証明書の実体データ（図３の展開後のクライアント証明書３５）を用いてネットワーク認証（例えばクライアント証明書の同一性判定等）を行うことが可能になる。

【0043】

《実施の形態１の主要な効果》
以上、実施の形態１のネットワークシステムおよびネットワーク管理装置を用いることで、代表的には、ネットワーク管理者等の負担を軽減可能になる。また、ネットワークシステムにおけるセキュリティの向上が図れる。

【0044】

（実施の形態２）
《証明書配付部（変形例）の詳細》
図５は、本発明の実施の形態２によるネットワーク管理装置において、図１における証明書配付部の主要部の構成例を示す概略図である。図６は、図５の証明書配付部関連の処理内容の一例を示すシーケンス図である。証明書配付部は、クライアント証明書の配付が完了したら、展開後のクライアント証明書（図３の符号３５）を記憶部３３に残さなくてもよい場合がある。ここでは、このような場合の一例について説明する。

【0045】

図５に示す証明書配付部１６ｂは、図１の証明書配付部１６に対応し、図３の構成例と比較して次の点が異なっている。まず、記憶部３３は、展開後のクライアント証明書（図３の符号３５）を保持せず、これに伴い、管理テーブル３０ｂは、アカウント情報と展開後のクライアント証明書との対応関係を保持しない。また、これに伴い、展開処理部３１ｂは、展開後のクライアント証明書を、記憶部３３に格納するのではなく、そのままアーカイブ処理部３２へ送信する。

【0046】

図６に示すシーケンスは、図２に示したシーケンスと比較して、図２におけるステップＳ２０５〜Ｓ２１０の処理順番が入れ替わっており、さらに、ステップＳ２０６の処理が削除されている。図６のステップＳ２０４において、ネットワーク管理者２２は、図２の場合と同様に、ｐ１２ファイル（第１のファイル）および初期のパスワードを、アカウント情報に紐付けて証明配付部１６ｂにアップロードする。証明書配付部１６ｂは、図２の場合と異なり、この状態で、ユーザ端末２０（ユーザ２１）からのログインを待つ。

【0047】

この状態でユーザ端末２０（ユーザ２１）からのログインおよびクライアント証明書の取得要求が生じると（ステップＳ２０７）、証明書配付部１６ｂは、図２の場合と同様に、ユーザ２１にパスワードを要求して任意のパスワードを入力させる（ステップＳ２０８，Ｓ２０９）。その後、証明書配付部１６ｂは、アカウント情報に対応するｐ１２ファイル（第１のファイル）を初期のパスワードで展開し（ステップＳ２０５）、続けて、展開後のクライアント証明書を任意のパスワードでｐ１２ファイル（第２のファイル）にアーカイブする（ステップＳ２１０）。証明書配付部１６ｂは、当該ｐ１２ファイルをユーザ端末２０へ送信する（ステップＳ２１１）。なお、証明書配付部１６ｂは、ステップＳ２１１の処理を終えた登録エントリを、記憶部３３内のｐ１２ファイル３４を含めて削減してもよい。

【0048】

《実施の形態２の主要な効果》
以上、実施の形態２のネットワークシステムおよびネットワーク管理装置を用いることでも、実施の形態１の場合と同様の効果が得られる。

【0049】

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

【符号の説明】

【0050】

１０ ＩＰネットワーク
１１ 通信回線
１２ ネットワーク管理装置
１３ 業務サーバ
１４ ディレクトリサーバ
１５ ネットワーク認証部
１６ 証明書配付部
２０ ユーザ端末
２１ ユーザ
２２ ネットワーク管理者
２５，３５ クライアント証明書
３０ 管理テーブル
３１ 展開処理部
３２ アーカイブ処理部
３３，４６ 記憶部
３４，４３ ｐ１２ファイル
４０ アカウント情報
４１ 任意のパスワード
４５ 認証テーブル
４７ 認証判定部
４８ 認証要求
４９ 認証結果
ＡＰ 無線ＬＡＮアクセスポイント
ＣＡ 認証局
Ｌ２ＳＷ Ｌ２スイッチ
Ｌ３ＳＷ Ｌ３スイッチ

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】