(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023169938
(43)【公開日】2023-12-01
(54)【発明の名称】認証局管理システム、認証局管理方法、およびプログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20231124BHJP
H04L 9/32 20060101ALI20231124BHJP
【FI】
H04L9/08 F
H04L9/32 200Z
H04L9/32 200E
【審査請求】有
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022081291
(22)【出願日】2022-05-18
(11)【特許番号】
(45)【特許公報発行日】2023-05-30
(71)【出願人】
【識別番号】000003193
【氏名又は名称】TOPPANホールディングス株式会社
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100139686
【弁理士】
【氏名又は名称】鈴木 史朗
(74)【代理人】
【識別番号】100169764
【弁理士】
【氏名又は名称】清水 雄一郎
(74)【代理人】
【識別番号】100147267
【弁理士】
【氏名又は名称】大槻 真紀子
(72)【発明者】
【氏名】石田 哲司
(57)【要約】
【課題】認証局が提供するAPIに依らずに、該認証局からも証明情報の発行を可能にする認証局管理装置を提供すること。
【解決手段】認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部と、認証局と対応付けられたモジュールであって、認証局生成データを認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、選択されたモジュールが取得した認証局生成データを、他の装置に送信するデータ送信部とを備える、認証局管理装置である。
【選択図】
図1
【特許請求の範囲】
【請求項1】
認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部と、
前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部と
を備える、認証局管理装置。
【請求項2】
前記要求は、前記認証局を示す情報を含み、
前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理装置。
【請求項3】
前記要求は、前記認証局を示す情報を含み、
前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理装置。
【請求項4】
前記認証局生成データは、電子証明書または証明書失効リストを含む、請求項1から請求項3のいずれかの項に記載の認証局管理装置。
【請求項5】
認証局管理装置による認証局管理方法であって、
認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する過程と、
前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択する過程と、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程と
を有する、認証局管理方法。
【請求項6】
コンピュータを、
認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部、
前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部
として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証局管理装置、認証局管理方法、およびプログラムに関する。
【背景技術】
【0002】
従来、電子証明情報の発行を受けていない認証局からも証明情報の発行を可能にすることを目的とする証明発行方法がある(特許文献1参照)。この証明発行方法では、まず、エンドエンティティが、第1認証局が発行した審査証明情報を認証局証明情報の発行依頼と併せて証明発行依頼装置へ送る。証明発行依頼装置は、エンドエンティティが送信した審査証明情報を信頼し、第2認証局へ認証局証明情報の発行を依頼する。第2認証局は、証明発行依頼装置を信頼し、証明発行依頼装置の依頼に基づき、認証局証明情報を発行する。
【先行技術文献】
【特許文献】
【0003】
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の証明発行方法においては、証明発行依頼装置は、第2認証局の接続先の情報としてURL(Universal Resource Locator)を保持しているのみであるため、第2認証局が提供するAPI(Application Programming Interface)によっては接続できないことがあるという問題がある。
【0005】
本発明は、このような事情に鑑みてなされたもので、認証局が提供するAPIに依らずに、該認証局からも証明情報の発行を可能にする認証局管理装置、認証局管理方法、およびプログラムを提供する。
【課題を解決するための手段】
【0006】
この発明は上述した課題を解決するためになされたもので、本発明の一態様は、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部と、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部とを備える、認証局管理装置である。
【0007】
また、本発明の他の一態様は、上述の認証局管理装置であって、前記要求は、前記認証局を示す情報を含み、前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える。
【0008】
また、本発明の他の一態様は、上述の認証局管理装置であって、前記要求は、前記認証局を示す情報を含み、前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える。
【0009】
また、本発明の他の一態様は、上述の認証局管理装置であって、前記認証局生成データは、電子証明書または証明書失効リストを含む。
【0010】
また、本発明の他の一態様は、認証局管理装置による認証局管理方法であって、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する過程と、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択する過程と、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程とを有する。
【0011】
また、本発明の他の一態様は、コンピュータを、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する要求受信部、前記認証局と対応付けられたモジュールであって、前記認証局生成データを、前記認証局から取得する手順を実行するモジュールを選択するモジュール選択部、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部として機能させるためのプログラムである。
【発明の効果】
【0012】
この発明によれば、認証局が提供するAPIに依らずに、該認証局からも証明情報の発行が可能になる。
【図面の簡単な説明】
【0013】
【
図1】この発明の第1の実施形態による認証局管理システム100の構成を示す概略ブロック図である。
【
図2】同実施形態による認証局管理装置20の構成を示す概略ブロック図である。
【
図3】同実施形態における接続情報記憶部202の記憶内容例を示すテーブルである。
【
図4】同実施形態における認証局管理システム100の動作を説明するフローチャートである。
【
図5】同実施形態における認証手順の第1の例を示すシーケンス図である。
【
図6】同実施形態における認証手順の第2の例を示すシーケンス図である。
【
図7】この発明の第2の実施形態における認証局管理システム100aの構成を示す概略ブロック図である。
【
図8】同実施形態におけるフロントエンド21が記憶するクライアント装置10aと認証局との対応関係の例を示すテーブルである。
【発明を実施するための形態】
【0014】
<第1の実施形態>
以下、図面を参照して、本発明の第1の実施形態について説明する。
図1は、この発明の第1の実施形態による認証局管理システム100の構成を示す概略ブロック図である。認証局管理システム100は、1つまたは複数のクライアント装置10、認証局管理装置20、1つまたは複数の管理認証局30、1つまたは複数の外部認証局40、ネットワーク50を備える。認証局管理システム100は、管理認証局30、または外部認証局40によって生成される電子証明書、証明書失効リストなどの認証局生成データを、認証局管理装置20を介して、クライアント装置10に配布することができる。これにより、クライアント装置10は、認証局管理装置20に認証されていれば、管理認証局30、または外部認証局40による認証局生成データを、これらの認証局に認証されているか否かに係わらず、取得することができる。なお、外部認証局40は、プライベート認証局であってもよいし、パブリック認証局であってもよい。
【0015】
クライアント装置10は、認証局生成データを必要とするコンピュータであり、IoT(Internet of Things)機器(IoTセンサーデバイス、スマートスピーカー、自動車等のインターネットが接続可能な機器)、スマートフォン、タブレット端末、パーソナルコンピュータ、サーバマシンなどのいずれであってもよい。クライアント装置10は、ネットワーク50により、認証局管理装置20と通信可能に接続される。クライアント装置10は、認証局生成データの要求を認証局管理装置20に送信し、その応答として、認証局生成データを受信する。認証局生成データの要求は、認証局(Certificate Authority)を示す情報であるCA_idを含む。また、この要求は、CSR(Certificate Signing Request)及びそれに類する情報や、要求する認証局生成データを示す情報、例えば、クライアント証明書、サーバ証明書、データ署名用証明書、プログラム検証用証明書、証明書失効リストなどのいずれかを示す情報を含んでもよい。また、この要求は、管理認証局30または外部認証局40に接続する際の認証情報、接続プロトコル情報、接続先URL、各種入力パラメータのいずれかを含んでもよい。なお、この要求にいずれの情報が含まれるかが、要求先の認証局の仕様に依存していてもよい。
【0016】
認証局管理装置20は、1つまたは複数のコンピュータがソフトウェアを実行することで実現される。認証局管理装置20は、ネットワーク50により、クライアント装置10、外部認証局40と通信可能に接続される。また、認証局管理装置20は、ネットワーク50とは異なる手段(不図示)もしくはネットワーク50により、管理認証局30と通信可能に接続される。認証局管理装置20は、クライアント装置10から、認証局生成データの要求を受信する。認証局管理装置20は、受信した要求に含まれるCA_idに対応する管理認証局30、または外部認証局40から認証局生成データを取得し、クライアント装置10に送信する。
【0017】
管理認証局30は、認証局管理装置20を管理、運営する組織により、管理、運営されている認証局であり、認証局管理装置20を介して、証明書、証明書失効リストなどの発行を行う。外部認証局40は、認証局管理装置20を管理、運営する組織とは異なる組織により、管理、運営されている認証局であり、外部認証局40によって認証局生成データを取得するための手順が異なっていてもよい。ネットワーク50は、インターネットなどのネットワークである。
【0018】
図2は、本実施形態による認証局管理装置20の構成を示す概略ブロック図である。認証局管理装置20は、要求受信部201、接続情報記憶部202、CA判定部(認証局判定部)203、管理認証局接続部204、データ送信部205、モジュール選択部206、モジュール実行部207、モジュール記憶部208を備える。要求受信部201は、認証局生成データの要求であって、クライアント装置10からの要求を受信する。接続情報記憶部202は、CA_idに対応付けて、該CA_idの認証局の接続情報を記憶する。接続情報は、その認証局が、管理認証局30と外部認証局40とのいずれであるかを識別する情報と、外部認証局40であれば、その外部認証局40から認証局生成データを取得する手順を実行するモジュールを示す情報を含む。このモジュールは、JAVASCRIPT(登録商標)などのスクリプトであってもよいし、実行ファイルであってもよい。
【0019】
CA判定部203は、要求受信部201が受信した要求に含まれるCA_idに対応付けられた接続情報を、接続情報記憶部202から読み出し、読み出した接続情報を用いて、該CA_idの認証局が管理認証局30と外部認証局40とのうちいずれであるかを判定する。CA判定部203は、CA_idの認証局が管理認証局30であると判定したときは、管理認証局接続部204に認証局生成データの取得を指示する。また、CA判定部203は、CA_idの認証局が外部認証局40であると判定したときは、モジュール選択部206に該認証局と対応付けられたモジュールの選択の実行を指示する。管理認証局接続部204は、要求受信部201が受信した要求に含まれるCA_idの認証局が管理認証局30であるとCA判定部203が判定したときに、該CA_idの管理認証局30から認証局生成データを取得する。
【0020】
モジュール選択部206は、要求受信部201が受信した要求に含まれるCA_idの認証局が外部認証局40であるとCA判定部203が判定したときに、該CA_idの認証局と対応付けられたモジュールを選択し、該モジュールの実行をモジュール実行部207に指示する。なお、該CA_idの認証局と対応付けられたモジュールは、該CA_idに対応付けられた接続情報が示すモジュールであり、モジュール選択部206は、CA判定部203が読み出した接続情報を用いて、該モジュールを選択する。認証局と対応付けられたモジュールは、その認証局が提供しているAPIであって、その認証局から認証局生成データを取得するためのAPIに応じた手順を実行する。これにより、その認証局に独自の手順であっても、認証局生成データを取得することができる。
【0021】
モジュール実行部207は、モジュール選択部206により実行を指示されたモジュールをモジュール記憶部208から読み出し、実行する。モジュール実行部207は、該モジュールを実行することにより、外部認証局40から認証局生成データを取得する。なお、モジュール実行部207が実行するモジュールは、要求受信部201が受信した要求に、認証情報、接続プロトコル情報、接続先URL、各種入力パラメータなどが含まれるときは、外部認証局40から認証局生成データを取得する際に、これらの情報を用いてもよい。データ送信部205は、管理認証局接続部204またはモジュール実行部207が取得した認証局生成データを、要求受信部201が受信した要求への応答として、クライアント装置10に送信する。
【0022】
なお、CA判定部203は、要求受信部201が受信した要求に含まれるCA_idに対応付けられた接続情報を、接続情報記憶部202から読み出し、読み出した接続情報を用いて、該CA_idの認証局と対応付けられたモジュールがあるか否かを判定してもよい。そして、CA判定部203は、CA_idの認証局と対応付けられたモジュールがないと判定したときは、管理認証局接続部204に認証局生成データの取得を指示する。また、CA判定部203は、CA_idの認証局と対応付けられたモジュールがあると判定したときは、モジュール選択部206に該認証局と対応付けられたモジュールの選択の実行を指示する。また、この場合、接続情報は、その認証局と対応付けられたモジュールがあれば、その外部認証局40から認証局生成データを取得する手順を実行するモジュールを示す情報を含む。これにより、認証局が管理認証局30であるか外部認証局40であるかに関わらず、モジュールを用いた認証局生成データの取得を行うことができる。
【0023】
図3は、本実施形態における接続情報記憶部202の記憶内容例を示すテーブルである。接続情報記憶部202は、CA_idと対応付けて、接続情報を記憶する。
図3の例では、接続情報は、項目「管理CA」と、項目「接続モジュール」を含む。項目「管理CA」は、当該接続情報が対応付けられたCA_idの管理認証局30を示す情報であり、該管理認証局30を呼び出すための情報である。項目「管理CA」は、管理認証局30の識別情報であってもよいし、管理認証局30のURLであってもよい。また、管理認証局30が、認証局管理装置20と同じコンピュータ上に実装されている場合には、管理認証局30としてコンピュータを機能させるためのプログラムのファイル名であってもよい。
【0024】
項目「接続モジュール」は、当該接続情報が対応付けられたCA_idの外部認証局40から認証局生成データを取得するための手順を実行するモジュールを示す情報であり、該モジュールを呼び出すための情報である。項目「接続モジュール」は、該モジュールの識別情報であってもよいし、該モジュールのファイル名であってもよい。
【0025】
図3の例では、項目「CA_id」の値「0001」に対応付けて、接続情報として項目「管理CA」の値「管理CA0001」を記憶しているが、項目「接続モジュール」は値がない。これにより、CA_idが「0001」である認証局は、管理認証局30であり、その管理認証局30を示す情報は「管理CA0001」であることを示している。同様に、項目「CA_id」の値「0003」に対応付けて、接続情報として項目「管理CA」の値「管理CA0003」を記憶しているが、接続モジュールは値がない。これにより、CA_idが「0003」である認証局は、管理認証局30であり、その管理認証局30を示す情報は「管理CA0003」であることを示している。
【0026】
また、項目「CA_id」の値「0004」に対応付けて、接続情報として項目「接続モジュール」の値「モジュール0004」を記憶しているが、項目「管理CA」は値がない。これにより、CA_idが「0004」である認証局は、外部認証局40であり、その外部認証局40を示す情報は「モジュール0004」であることが示されている。同様に、項目「CA_id」の値「0008」に対応付けて、接続情報として項目「接続モジュール」の値「モジュール0008」を記憶しているが、項目「管理CA」は値がない。これにより、CA_idが「0008」である認証局は、外部認証局40であり、その外部認証局40を示す情報は「モジュール0008」であることが示されている。
【0027】
このように、
図3の例では、項目「管理CA」と項目「接続モジュール」のうち、いずれが値を持つかで、管理認証局30と外部認証局40のうちの何れであるかを示している。なお、接続情報は、管理認証局30と外部認証局40のうちの何れであるかを明示的に示す情報を含んでいてもよい。
【0028】
図4は、本実施形態における認証局管理システム100の動作を説明するフローチャートである。まず、クライアント装置10と認証局管理装置20のCA管理機能部210との間で、認証を行う(シーケンスS1)。この認証は、認証局管理装置20によるクライアント装置10の認証であってもよいし、相互認証であってもよい。
【0029】
次に、クライアント装置10は、認証局生成データの要求を、認証局管理装置20に送信する(シーケンスS2)。この要求を受信した認証局管理装置20のCA管理機能部210は、該要求に含まれるCA_idに対応付けられた接続情報を接続情報記憶部202から読み出す(シーケンスS3)。CA管理機能部210は、読み出した接続情報を参照して、シーケンスS2で送信された要求に含まれるCA_idの認証局が、管理認証局30であるか外部認証局40であるかを判定する。外部認証局40であるときは、シーケンスS4aが行われ、管理認証局30であるときは、シーケンスS4bが行われる。
【0030】
シーケンスS4aは、シーケンスSa1からシーケンスSa6を含む。シーケンスS4aでは、まず、CA管理機能部210が、シーケンスS3で読み出した接続情報が示すモジュールの実行をモジュール実行部207に指示する(シーケンスSa1)。モジュール実行部207は、指示されたモジュールをモジュール記憶部208から読み出して実行する(シーケンスSa2)。該モジュールを実行することにより、モジュール実行部207は、該モジュールに対応する外部認証局40との間で認証を行う(シーケンスSa3)。この認証は、外部認証局40による認証局管理装置20の認証であってもよいし、相互認証であってもよい。
【0031】
モジュールを実行しているモジュール実行部207は、外部認証局40に認証局生成データを要求し(シーケンスSa4)、その応答として送信された認証局生成データを取得する(シーケンスSa5)。これら、シーケンスSa3、Sa4、Sa5の手順、プロトコルなどは、外部認証局40に応じたものであり、モジュールによって定義されている。モジュール実行部207は、取得した認証局生成データをCA管理機能部210に渡す(シーケンスSa6)。
【0032】
シーケンスS4bは、シーケンスSb1とシーケンスSb2を含む。シーケンスS4bでは、CA管理機能部210が、シーケンスS3で読み出した接続情報が示す管理認証局30に認証局生成データを要求し(シーケンスSb1)、その応答として送信された認証局生成データを取得する(シーケンスSb2)。
【0033】
シーケンスS4aまたはシーケンスS4bの後、CA管理機能部210は、シーケンスS2の要求への応答として、取得した認証局生成データをクライアント装置10に送信する(シーケンスS5)。
【0034】
図5は、本実施形態における認証手順の第1の例を示すシーケンス図である。
図5における認証手順は、B装置600が、A装置500を認証する手順であり、
図4のシーケンスS1、Sa3において用いることができる。例えば、認証局管理装置20が、クライアント装置10を認証するシーケンスS1の場合、認証局管理装置20がB装置600に対応し、クライアント装置10が、A装置500に対応する。
【0035】
図5に示すシーケンスでは、まず、B装置600が、チャレンジコードを生成する(シーケンスSc1)。チャレンジコードは、例えば、乱数であり、毎回異なる値であることが望ましい。B装置600は、生成したチャレンジコードをA装置500に送信する(シーケンスSc2)。A装置500は、受信したチャレンジコードを、保持している鍵で暗号化する(シーケンスSc3)。この鍵は、A装置500とB装置600の共通鍵であってもよいし、A装置500の秘密鍵であってもよい。
【0036】
A装置500は、暗号化されたチャレンジコードをB装置600に送信する(シーケンスSc4)。B装置600は、シーケンスSc4で送信された、暗号化されたチャレンジコードを受信し、これを保持している鍵で復号する。この鍵は、シーケンスSc3で用いた鍵に対応する鍵であり、A装置500とB装置600の共通鍵、またはA装置500の公開鍵である。B装置600は、復号結果と、シーケンスSc1で生成したチャレンジコードと比較し、一致していれば、A装置500の認証に成功したと判断する(シーケンスSc5)。
【0037】
図6は、本実施形態における認証手順の第2の例を示すシーケンス図である。
図6における認証手順は、A装置500とB装置600が、相互に認証する手順であり、
図4のシーケンスS1、Sa3において用いることができる。例えば、シーケンスS1で、クライアント装置10と認証局管理装置20が相互認証する場合、クライアント装置10と認証局管理装置20のどちらか一方がA装置500に対応し、他方がB装置600に対応する。
図6におけるシーケンスSc1からSc5は、
図5と同様であるので説明を省略する。シーケンスSc5の後、B装置600は、シーケンスSc1で生成したチャレンジコードを、保持している鍵で暗号化する(シーケンスSc6)。この鍵は、A装置500とB装置600の共通鍵であってもよいし、B装置600の秘密鍵であってもよい。
【0038】
B装置600は、暗号化したチャレンジコードをA装置500に送信する(シーケンスSc7)。A装置500は、シーケンスSc7で送信された、暗号化されたチャレンジコードを受信し、これを保持している鍵で復号する。この鍵は、シーケンスSc6で用いた鍵に対応する鍵であり、A装置500とB装置600の共通鍵、またはB装置600の公開鍵である。A装置500は、復号結果と、シーケンスSc2で受信したチャレンジコードと比較し、一致していれば、B装置600の認証に成功したと判断する(シーケンスSc8)。
【0039】
このように、本実施形態における認証局管理装置20は、要求受信部201と、モジュール選択部206と、データ送信部205とを備える。要求受信部201は、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信する。モジュール選択部206は、認証局と対応付けられたモジュールであって、認証局生成データを認証局から取得する手順を実行するモジュールを選択する。データ送信部205は、選択されたモジュールが取得した認証局生成データを、他の装置に送信する。これにより、認証局生成データを認証局から取得する際に、認証局各々に応じたモジュールを用いることができるので、認証局生成データを認証局から取得する手順が、認証局によって異なっていても、認証局管理装置20は、認証局生成データを取得することができる。
【0040】
<第2の実施形態>
第1の実施形態では、クライアント装置10が送信する認証局生成データの要求に認証局を示す情報が含まれていた。第2の実施形態では、クライアント装置10aと認証局管理装置20との間に、フロントエンド21を配置する。そして、クライアント装置10aが送信する認証局生成データの要求は、認証局を示す情報を含んでおらず、フロントエンド21が、クライアント装置10aに応じた認証局を選択する。
【0041】
図7は、この発明の第2の実施形態における認証局管理システム100aの構成を示す概略ブロック図である。認証局管理システム100aは、1つまたは複数のクライアント装置10a、認証局管理装置20a、フロントエンド21、管理認証局30、外部認証局40、ネットワーク50を含む。
図7において、
図1の各部に対応する部分には同一の符号を付し、説明を省略する。クライアント装置10aは、
図1のクライアント装置10と同様であるが、認証局生成データの要求に認証局を示す情報を含めない。
【0042】
フロントエンド21は、クライアント装置10aと認証局管理装置20aとの間に配置される。フロントエンド21は、例えば、認証局管理装置20aが提供するサービスを含む複数のサービスのためのフロンドエンドである。なお、フロントエンド21および認証局管理装置20aが、ネットワーク50に接続されており、フロントエンド21は、論理的な接続におけるクライアント装置10aと認証局管理装置20aとの間に配置されていてもよい。フロントエンド21は、クライアント装置10aからの要求を、その要求内容に応じたサービスの装置に振り分ける。
【0043】
また、フロントエンド21は、クライアント装置10aと認証局との対応関係を記憶している。フロントエンド21は、クライアント装置10aから認証局生成データの要求を受信すると、該クライアント装置10aに対応付けられている認証局を示す情報とともに該要求を、認証局管理装置20に送信する。認証局管理装置20aは、クライアント装置10aとフロントエンド21を介して通信するが、それ以外は、
図1の認証局管理装置20と同様である。なお、認証局管理装置20aは、クライアント装置10aを認証せず、フロントエンド21が、クライアント装置10aを認証するようにしてもよい。
【0044】
図8は、本実施形態におけるフロントエンド21が記憶するクライアント装置10aと認証局との対応関係の例を示すテーブルである。
図8に示すように、フロントエンド21は、クライアント装置10aの識別情報であるDevice_idと、認証局の識別情報であるCA_idとを対応付けて記憶する。
図8の例では、Device_idの値「01010」と対応付けて、CA_idの値「0001」を記憶し、Device_idの値「01021」と対応付けて、CA_idの値「0003」を記憶し、Device_idの値「03215」と対応付けて、CA_idの値「0001」を記憶している。
【0045】
本実施形態においても、第1の実施形態と同様に、認証局生成データを認証局から取得する手順が、認証局によって異なっていても、認証局管理装置20aは、認証局生成データを取得することができる。
【0046】
なお、上述の各実施形態において、外部認証局40は、認証局管理装置20を管理、運営する組織とは異なる組織により、管理、運営されている認証局であるとして説明したが、認証局管理装置20を管理、運営する組織により、管理、運営されている認証局であってもよい。
【0047】
また、
図1、
図2における認証局管理装置20、20aの機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証局管理装置20、20aを実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0048】
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD-ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0049】
以上、この発明の実施形態の図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【符号の説明】
【0050】
10、10a クライアント装置
20、20a 認証局管理装置
21 フロントエンド
30 管理認証局
40 外部認証局
50 ネットワーク
100 認証局管理システム
201 要求受信部
202 接続情報記憶部
203 CA判定部
204 管理認証局接続部
205 データ送信部
206 モジュール選択部
207 モジュール実行部
208 モジュール記憶部
210 CA管理機能部
【手続補正書】
【提出日】2022-10-11
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
フロントエンドと、認証局管理装置とを備える認証局管理システムであって、
前記フロントエンドは、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信し、前記他の装置に対応する認証局を示す情報とともに、前記要求を前記認証局管理装置に送信し、
前記認証局管理装置は、
前記フロントエンドから前記要求と前記認証局を示す情報とを受信する要求受信部と、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部と
を備える、認証局管理システム。
【請求項2】
前記要求は、前記認証局を示す情報を含み、
前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。
【請求項3】
前記要求は、前記認証局を示す情報を含み、
前記認証局管理装置は、
前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。
【請求項4】
前記認証局生成データは、電子証明書または証明書失効リストを含む、請求項1から請求項3のいずれかの項に記載の認証局管理システム。
【請求項5】
フロントエンドと認証局管理装置とを備える認証局管理システムによる認証局管理方法であって、
フロントエンドが、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信し、前記他の装置に対応する認証局を示す情報とともに、前記要求を前記認証局管理装置に送信する過程と、
前記認証局管理装置が、前記フロントエンドから前記要求と前記認証局を示す情報とを受信する過程と、
前記認証局管理装置が、前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択する過程と、
前記認証局管理装置が、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程と
を有する、認証局管理方法。
【請求項6】
コンピュータを、
認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信し、前記他の装置に対応する認証局を示す情報とともに、前記要求を送信するフロントエンドと、
前記要求と前記認証局を示す情報とを受信する要求受信部、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部
として機能させるためのプログラム。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0001
【補正方法】変更
【補正の内容】
【0001】
本発明は、認証局管理システム、認証局管理方法、およびプログラムに関する。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0005
【補正方法】変更
【補正の内容】
【0005】
本発明は、このような事情に鑑みてなされたもので、認証局が提供するAPIに依らずに、該認証局からも証明情報の発行を可能にする認証局管理システム、認証局管理方法、およびプログラムを提供する。
【手続補正書】
【提出日】2023-02-03
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
フロントエンドと、認証局管理装置とを備える認証局管理システムであって、
前記フロントエンドは、他の装置と認証局との対応付けを予め記憶し、前記認証局によって生成される認証局生成データの要求であって、前記他の装置からの要求を受信し、前記対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を前記認証局管理装置に送信し、
前記認証局管理装置は、
前記フロントエンドから前記要求と前記認証局を示す情報とを受信する要求受信部と、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部と、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部と
を備える、認証局管理システム。
【請求項2】
前記認証局管理装置は、
前記認証局を示す情報に基づき、前記認証局が管理認証局であるか外部認証局であるかを判定し、前記認証局が外部認証局であると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。
【請求項3】
前記認証局管理装置は、
前記認証局を示す情報に基づき、前記認証局と対応付けられたモジュールがあるか否かを判定し、前記認証局と対応付けられたモジュールがあると判定したときに、前記モジュール選択部に前記認証局と対応付けられたモジュールの選択の実行を指示する認証局判定部を備える、
請求項1に記載の認証局管理システム。
【請求項4】
前記認証局生成データは、電子証明書または証明書失効リストを含む、請求項1から請求項3のいずれかの項に記載の認証局管理システム。
【請求項5】
フロントエンドと認証局管理装置とを備える認証局管理システムによる認証局管理方法であって、
フロントエンドが、認証局によって生成される認証局生成データの要求であって、他の装置からの要求を受信し、予め記憶していた前記他の装置と前記認証局との対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を前記認証局管理装置に送信する過程と、
前記認証局管理装置が、前記フロントエンドから前記要求と前記認証局を示す情報とを受信する過程と、
前記認証局管理装置が、前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択する過程と、
前記認証局管理装置が、前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信する過程と
を有する、認証局管理方法。
【請求項6】
コンピュータを、
他の装置と認証局との対応付けを予め記憶し、前記認証局によって生成される認証局生成データの要求であって、前記他の装置からの要求を受信し、前記対応付けによって前記他の装置に対応付けられた前記認証局を示す情報とともに、前記要求を送信するフロントエンドと、
前記要求と前記認証局を示す情報とを受信する要求受信部、
前記情報が示す認証局と対応付けられたモジュールであって、前記認証局生成データを、前記情報が示す認証局から取得する手順を実行するモジュールを選択するモジュール選択部、
前記選択されたモジュールが取得した前記認証局生成データを、前記他の装置に送信するデータ送信部
として機能させるためのプログラム。