クライアント側証明書認証情報の認証保存方法と認証保存システム
複数のクライアント証明書認証情報をキーストアファイル内に保存する認証保存方法は、クライアントウェブブラウザ(28)を使用することで、クライアントコンピュータ(12)とサーバコンピュータ(14)の間の安全なデータ転送リンクを確立する。クライアントウェブブラウザ(28)は、キーストアファイルと鍵対を生成するプラグインコンポーネント(30)を有する。クライアントコンピュータ(12)上で、証明書要求を生成するステップが続く。証明書要求は、証明書サーバ(44)に送信される。証明書サーバ(44)は、証明書要求に電子署名する。署名証明書要求(46)は、クライアントウェブブラウザ(28)を介して、クライアントコンピュータ(12)によって受信される。認証保存方法は、署名証明書要求(46)に関連する複数のクライアント証明書認証情報を、1つ以上のキーストアファイル内に保存する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にクライアント証明書認証情報を保存するための方法とシステムに関し、更に詳細には本発明は、複数のクライアント証明書認証情報を、クライアントウェブブラウザを介してキーストアファイル内に自動的にクライアントセルフサービス保管するための方法とシステムに関する。
【背景技術】
【0002】
公開鍵基盤(PKI)は、事前の接触なしにコンピュータ間で互いに認証できるようにするとともに、それらの公開鍵証明書内の公開鍵情報を使用して互いに対するメッセージを暗号化できるようにする。一般に、公開鍵基盤は、クライアントソフトウェア、サーバソフトウェア、ハードウェア、および運用手順で構成されている。公開鍵基盤は、インターネットによる安全通信に関連する非常に重要な役割を果たしている。銀行業務、金融サービス、行政、教育、およびすべての種類の企業は、最新式コンピュータシステムとインターネットのようなデータ通信ネットワークとに依存している。このような進歩は、商取引を行う速度と利便性とを大幅に向上させてきたが、多くの脆弱性のために、やりとりされている機密性と極秘性の高いデータの安全性が危険にさらされている。最も基本的なレベルにおいて、電子商取引は、ネットワークを介して通信するサーバコンピュータシステムとクライアントコンピュータシステムとを通常有する。また付加的なクライアントまたはサーバコンピュータシステムをネットワークに接続して、複数のクライアントが所与のサーバにアクセスできたり、または所与のクライアントが複数のサーバにアクセスできたりするようになっていてもよい。このオープンネットワーク環境では、データ機密保護について3つの主要な懸案事項がある。まず第1に、クライアントは、それ自身が主張する通りのものであるということをサーバに対して保証しなければならない。第2に、サーバは、それ自身が主張する通りのものであるということをクライアントに対して保証しなければならない。第3に、正当なサーバと正当なクライアントの間でやりとりされている任意の情報は、ネットワーク上の他のいかなるコンピュータシステムまたは使用者によっても妨害されたり、または変更されたりしてはいけない。
【0003】
たとえばエレクトロニックバンキングセッティングでは、銀行は、銀行用サーバにアクセスする使用者の身元を認証して、特定の顧客だけに関連する取引が許可されるようになっているとともに、銀行用サーバにアクセスする使用者が、その特定の顧客か、またはその特定の顧客が権限を与えた人であると確認されるようになっていなければならない。銀行用サーバが本当に銀行によって運用されている銀行用サーバであり、悪意があるエンティティによって運用されている類似の銀行用サーバではないことをクライアントに確保しなければならない。これはフィッシング攻撃として知られており、正当なサーバに似せて偽装サーバを作り、使用者をだまして銀行口座番号、社会保障番号、パスワード、およびその種の他のものなどの秘密情報を提供させるものである。負債の誤った累算、逮捕歴、刑事上の有罪判決、取引信用度の破壊、評判の棄損などを有する情報を有する犯罪者が、多くの損害を顧客に与える虞がある。またこれらは、「なりすまし犯罪」としても知られている。秘密情報がオープンネットワークを介して伝送されているため、このような情報は、暗号化されるか、さもなければクライアントとサーバ以外には、他のいかなるシステムにも分からないようにされる必要がある。ネットワークのオープン性によって、不正目的または悪意のある目的のために有効データ伝送を傍受して後で繰り返すリプレイアタックをコンピュータシステムが受けやすくなる。たとえばパスワードまたは他の認証情報が傍受されて、後で機密情報にアクセスするために使用される。更にネットワーク上で伝送されている情報は、介入者攻撃の場合などに変更可能であってはならない。これは、リンクが危険にさらされやすいことを正当なクライアントとサーバのどちらも認識することな
く、両者の間のデータを攻撃者が読み取り、挿入して、変更することを有する。
【0004】
一般に、これらのセキュリティ問題は、機密データおよび/または極秘データをやりとりしているすべてのネットワーク環境において最重要課題である。多くの企業では、インターネットなどの公衆通信ネットワークを介して組織の内部ネットワーク資源に安全に遠隔アクセスするために、仮想専用ネットワーク(VPN)を現在のところ利用している。上述した攻撃を防ぐ適切な防護対策が施されなければ、組織のデータのセキュリティも、組織の顧客のデータまたはクライアントのデータのセキュリティも危険にさらされて、1人の個人だけに与える損失よりも更に大きな損失をもたらす虞がある。
【0005】
一般に、公開鍵暗号は、受け手と送り手の両方が保持する固有の公開鍵/秘密鍵対を有する。送り手の秘密鍵は、送り手だけで保持されており、受け手の秘密鍵は、受け手だけで保持されている。送り手の公開鍵は、配布されて、受け手によって保持され、受け手の公開鍵もまた配布されて、送り手によって保持される。メッセージを送信するときには、送り手の秘密鍵と受け手の公開鍵を使用してメッセージを暗号化する。メッセージは、受け手の秘密鍵と送り手の公開鍵とを用いて受け手によって解読される。
【0006】
電子証明書は、信頼できる結びつきでクライアントの身元証明書とクライアントの公開鍵を関連付けるコンピュータで作成した記録である。信頼は、第三者の認証機関によって実施される登録証明書/身元証明書ポリシーに基づいている。証明書は、認証を発行する認証機関の身元証明書、クライアント、クライアントの公開鍵を有してもよく、証明書は、発行認証機関によって電子署名される。電子署名は、1つの装置を他の装置に対して認証するために使用される一般的な方法である。証明書は、電子署名と公開鍵暗号方式とで要求される鍵配布機構を提供する。電子署名を使用するために、署名を提供している装置上に個人情報(秘密鍵)を保存しなければならない。保存された個人情報は、秘密鍵を有するハードウェアデバイスを盗んだ攻撃者を助ける虞があり、たとえば攻撃者は、ルータ内に保存されたRSA秘密鍵を使用することによってルータに他のサイトへの安全な接続を開始させることができるかもしれない。
【0007】
暗号作成法において周知の証明書規格は、X.509証明書である。証明書の構造は、バージョン、通し番号、アルゴリズムID、発行、有効期間、対象者、対象者の公開鍵情報、発行者の一意的識別子、対象者の一意的識別子、拡張、証明書署名アルゴリズム、および証明書署名を有してもよい。証明書は、国際電気通信連合電気通信標準化部門(ITU−T)勧告であり、「ディレクトリ」で表される中央制御パラダイムに基づき認証サービスの規定の枠組みを定めている。勧告は、要求された身元の検証としてパスワードを使用する簡易認証と、暗号技術を使用することによって形成された認証情報、すなわち「証明書」を有する厳密認証と、の2つのレベルについて記述している。信頼を確立して維持することに関して認証機関の責任といっしょに証明書構造の形式を定めている。
【0008】
X.509規格のような証明書、証明書チェーン、および秘密鍵は、キーストアファイルとして知られているものに保存される。通常、キーストアファイルは、ファイルの中に保存された情報を保護するために暗号化されている。キーストアファイル内に保存された情報は、上述のセキュリティ問題のため秘密になっている。キーストアファイルには、2つのパスワードを用いてアクセスしてもよい。1つのパスワードは、キーストアファイルへのアクセスを提供し、別の第2パスワードは、キーストアファイルの中に保存された秘密鍵へのアクセスを提供する。保護されたキーストアファイルのために開発された幾つかの規格がある。最も一般に普及しているのは、PKCS#12規格である。PKCS#12の規格は、付随の公開鍵証明書を備え、パスワードベースの対称鍵で保護された秘密鍵を保存するために一般的に使用されるファイル形式で定められたキーストアを提供する。これは、一例として複数の証明書を有する複数の埋め込みオブジェクトを有することがで
きるコンテナフォーマットである。この標準形式は、JAVA(登録商標)キーストアとともに使用してもよい。認証機関がクライアントに電子証明書を発行するとき、クライアントは、保護されたキーストアファイルを最終的に受取り、この保護されたキーストアファイルは、発行された証明書と、その証明書に対応する秘密鍵と、全体の証明書チェーンと、を含んでおり、証明書の信頼性を提供している。保護されたキーストアファイルは、クライアントにファイルの形でスマートカードとして渡してもよく、またはクライアントおよび/もしくはクライアントのウェブブラウザに直接インストールしてもよい。
【0009】
最終の使用者の正当性を確保する形でインターネット全体にわたって認証するための実証された方法は、公開鍵/秘密鍵対を使用して認証要求に電子署名することである。このシナリオでは、使用者の秘密鍵を使ってメッセージに署名することによってクライアントがその身元を立証するであろうということを期待して、認証サーバがクライアントにメッセージを送信する。ほとんどの場合、このメッセージは、MD2、MD4、MD5、SHA1または他の何らかのハッシュアルゴリズムなどの何らかの一般的なハッシュ機構を利用してデジタル処理でハッシュ化されたメッセージである。クライアントは、ハッシュを実行し、その後、使用者の秘密鍵を使ってこのハッシュに署名して、この電子署名されたメッセージをサーバに戻す。その後、サーバは、同じハッシュアルゴリズムを利用して同じメッセージをデジタル処理でハッシュして、この値を後で比較するために保存し、このハッシュ値は、「現在のハッシュ値」と呼ばれる。その後、サーバは、電子署名された署名をクライアントから受取り、使用者の公開鍵を使ってこのハッシュ値を解読する。その後、サーバは、この解読された電子署名と現在のハッシュ値を比較し、この2つが同じではない場合、その電子署名は、無効であり、検証は、失敗となる。発行手続きにおいてクライアントのウェブブラウザが役立つ可能性がある。
【0010】
サーバまたはウェブサイトから所与の認証機関に送信した証明書発行要求(証明書要求)において、クライアントのウェブブラウザは、公開鍵/秘密鍵対を生成してもよく、認証機関のサーバにその公開鍵を送信する。クライアントウェブブラウザは、秘密鍵を秘密にしておき、認証機関には、秘密鍵を送信しない。認証機関は、クライアントの個人の身元データの信頼性を検証した後に、クライアントのウェブブラウザが受信した公開鍵とクライアントの確認された身元データとを記録している証明書をクライアントに発行する。認証機関のサーバがそのクライアントに証明書を発行した後に、認証機関は、証明書をクライアントのウェブブラウザ内にインストールすることができるウェブページにクライアントをリダイレクトする。ウェブブラウザは、証明書に対応する秘密鍵を保存しており、最後には、使用者は、証明書の、クライアントのウェブブラウザ内にインストールされた証明書チェーンとともに、証明書とそれに対応する秘密鍵とを入手する。秘密鍵を保存する方法は、ウェブブラウザに応じて一般に変化する。
【0011】
ほとんどのクライアントウェブブラウザは、認証用に安全なSSLサーバの中に保存された証明書と秘密鍵とを使用することができる。また多くのE−mailクライアントは、クライアントウェブブラウザ内に保存された証明書を使用して、電子メールに署名し、暗号化し、解読することもできる。しかし、幾つかのアプリケーションは、クライアントのウェブブラウザからの証明書を直接使用することはできないが、特定のキーストアファイルとともに動作できる。このような場合には、クライアントの使用者は、それらのクライアントウェブブラウザからのそれらの証明書を、キーストアファイル内のそれらの証明書に対応する秘密鍵といっしょにエクスポートして、他の任意のアプリケーションでそれらを使用してもよい。X.509電子証明書を保存するための幾つかの規格がある。ASN.1 DER符号化が最もよく使用され、この符号化では、証明書は、.CER拡張子を有するファイル内に保存される。.CERファイルは、公開鍵と、その公開鍵の所有者の情報と、その公開鍵が本当にその使用者またはクライアントに帰属することを証明する認証機関の電子署名と、を有する。認証機関は、認証機関のサイトから、.CERファイ
ル内の認証機関のルート証明書を配布する。.CERファイルは、バイナリ形式またはBase64で符号化されたテキスト形式で保存できる。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】米国特許出願公開第2004/268148号明細書
【発明の概要】
【発明が解決しようとする課題】
【0013】
しかし、多くのキーストアファイルアプリケーションは、認証機構とは無関係である。これらのキーストアファイルアプリケーションは、複数の記憶領域内の公開鍵/秘密鍵を検索して利用する。これらの第三者製のアプリケーションは、公開鍵/秘密鍵、または他のキーストアファイルロケーション内の他の証明書認証情報を通常検索できない。あるいは第三社製のアプリケーションは、アプリケーションが書き直された後にだけ、他のキーストアファイルロケーション内の複数のクライアント証明書認証情報を検索してもよい。通常そのアプリケーションでは、検索するように設計されていないキーストアファイルロケーションを検索するように、サードパーティ製アプリケーションを書き直すことは困難であり、クライアントコンピュータのほとんどの使用者には、推奨できない。
【0014】
よくある問題は、アプリケーションが、JAVA(登録商標)キーストア内に保存される予定の複数のクライアント証明書認証情報を探す点である。ほとんどの認証ソリューションでは、ブラウザ専用のキーストアファイル内に複数のクライアント証明書認証情報を保存しているため、アプリケーションは、認証情報を見つけることができず、その結果、使用者を認証しない虞があり、従ってアプリケーションが役に立たなくなる。この問題に対する過去の解決方法は、使用者が手動で証明書情報を抽出して他のキーストアファイル内に複製することであった。しかし上述したように、これは間違いを犯しやすい困難な手順であり、ほとんどの使用者の技術能力を超えてしまう。
【課題を解決するための手段】
【0015】
よって当技術分野において、1つのキーストアファイルまたは複数のキーストアファイルの中にクライアント証明書認証情報を保存するための改良された方法とシステムに対する必要性が存在している。
【0016】
本発明の一実施形態に基づき、クライアントウェブブラウザを介してキーストアファイルに複数のクライアント証明書認証情報を保存するための方法を提供する。方法は、クライアントとサーバの間の安全なデータ転送リンクを確立するステップで始まる。クライアントウェブブラウザを使用してクライアントとサーバの間の安全なデータ転送リンクを確立する。クライアントウェブブラウザは、プラグインソフトウェアコンポーネントを有する。プラグインソフトウェアコンポーネントは、クライアントとサーバの間に安全なデータ転送リンクを確立するプロセスの間に、キーストアファイルと、公開鍵と秘密鍵とを有する鍵対と、を生成するように構成されている。方法は、クライアント上で証明書要求を生成するステップを続けてもよい。生成された証明書要求は、プラグインソフトウェアコンポーネントによって生成された鍵対からクライアントウェブブラウザへの公開鍵を有する。その後、生成された証明書要求を証明書サーバに送信する。証明書サーバは、生成された証明書要求に電子署名するように構成されている。方法は、署名証明書要求をクライアントが受信するステップを続ける。署名証明書要求は、クライアントウェブブラウザを介してクライアントによって受信される。方法は、署名証明書要求に関連する複数のクライアント証明書認証情報をキーストアファイル内に保存するステップで終わってもよい。
【0017】
本発明の他の実施形態に基づき、複数のクライアント証明書認証情報は、電子証明書、
秘密鍵、公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する。本発明の他の態様では、クライアントとサーバの間の安全なデータ転送リンクを確立するステップは、サーバを用いた多元的認証過程の完了を成功させるようにクライアントに要求する。またプラグインソフトウェアコンポーネントがサーバからクライアントウェブブラウザに送信されたブラウザ実行コードであることを想定する。プラグインソフトウェアコンポーネントは、複数のキーストアファイルを生成するように構成されていてもよい。プラグインソフトウェアコンポーネントは、複数のクライアント証明書認証情報を選択的に保存してもよい。プラグインソフトウェアコンポーネントによって選択的に保存される予定の複数のクライアント証明書認証情報は、署名証明書要求に関連している。複数のクライアント証明書認証情報は、プラグインソフトウェアコンポーネントによって生成された複数のキーストアファイル内に保存してもよい。また方法は、サーバがセキュアソケットレイヤ(SSL)仮想専用ネットワーク(VPN)であることを想定する。また証明書サーバがクライアントとサーバとから遠く離れた認証機関であることを想定する。複数のクライアント証明書認証情報を保存するために選択される予定のキーストアファイルは、マイクロソフト暗号APIキーストアと、JAVA(登録商標)キーストアと、アップルキーストアと、NSSキーストアと、からなる群から選択されてもよい。しかし、上述のキーストアの種類は、あくまで実施例を示したに過ぎず、本発明は、実施例としてここに示していない付加的なキーストアを利用することを想定する。プラグインソフトウェアコンポーネントは、クライアントウェブブラウザを確認して、クライアントウェブブラウザの符号化ライブラリに関連するキーストアファイル内に複数のクライアント証明書認証情報を保存してもよい。
【0018】
本発明の更に他の実施形態では、複数のクライアント証明書認証情報を保存するためのシステムを提供する。システムは、クライアントとサーバの間の安全なデータ転送リンクを確立するためにクライアント上にクライアントウェブブラウザを有する。またシステムは、複数のキーストアファイルを有する。複数のキーストアファイルは、クライアントウェブブラウザによって生成される。またシステムは、証明書サーバを有してもよい。証明書サーバは、クライアントによって生成された証明書要求を受信できる。証明書サーバは、証明書要求に電子署名するように構成されている。システムは、プラグインソフトウェアコンポーネントを有する。プラグインソフトウェアコンポーネントは、クライアントウェブブラウザへのアドオンである。クライアントウェブブラウザは、プラグインソフトウェアコンポーネントを処理して公開鍵と秘密鍵とを有する鍵対を生成する。またプラグインソフトウェアコンポーネントは、複数のクライアント証明書認証情報を選択的に保存するように構成されている。本発明の態様は、プラグインソフトウェアコンポーネントが複数のキーストアファイルから少なくとも1つのキーストアファイル内に複数のクライアント証明書認証情報を保存することを想定する。本発明の他の実施形態では、プラグインソフトウェアコンポーネントは、複数のキーストアファイル内に複数のクライアント証明書認証情報を保存する。
【0019】
またキーストアファイル内に選択的に保存される予定の複数のクライアント証明書認証情報は、電子証明書、クライアント秘密鍵、クライアント公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有することを想定する。システムのクライアントウェブブラウザは、サーバを用いた多元的認証過程の完了に成功することによって、安全なデータ転送リンクを確立する。システム内に含まれる証明書サーバは、クライアントとサーバとから遠く離れた認証機関である。本発明の他の実施形態では、証明書サーバは、サーバでホストされている。システムのクライアントウェブブラウザは、電子証明書を生成するように構成されている。電子証明書は、署名証明書要求の受信に呼応して通常生成される。電子証明書は、証明書サーバによって検証された情報を有するであろう。システムのプラグインソフトウェアコンポーネントは、サーバからクライアントウェブブラウザに送信されたブラウザ実行コードである。本発明の他の実施形態では、プラグインソフトウ
ェアコンポーネントは、サーバから独立しているクライアント上のインストール過程を通してクライアントウェブブラウザに付加されたブラウザ実行コードである。
【0020】
同じ要素を示すために図面と詳細な説明の全体を通して共通の参照番号を使用している。
本発明は、添付図面とともに以下の詳細な説明を参照することによって、最も良く理解されるであろう。
【0021】
本明細書で開示したさまざまな実施形態の、これらのおよび他の特徴、ならびに利点は、以下の説明と図面を参照することによって、より良く理解されるであろう。
添付図面に関連して以下に示す詳細な説明は、本発明の現在の好ましい実施形態を説明するものであり、本発明を構成したり、または利用したりしてもよい唯一の形態を示すものではない。説明は、図示の実施形態に関連して本発明を開発して運用するためのステップの機能と順序を示している。しかし、それもまた有するように意図されている互いに異なる実施形態によって、同じまたは等価な機能と順序を達成してもよいことを理解すべきである。当然のことながら、第1と第2の、ならびにその種の他のものなどの関係用語の使用は、1つのエンティティと他のエンティティを区別するためにだけ使用されており、このようなエンティティの間の実際のこのような関係または順序を必ずしも要求したり、または示唆したりするわけではない。
【図面の簡単な説明】
【0022】
【図1】本発明の一態様が実現可能な環境を示すブロック図。さまざまな相互接続されたサーバ、クライアント、および仮想専用ネットワーク(VPN)を有する。
【図2】本発明の態様の複数のクライアント証明書認証情報を保存するための方法を示すフローチャート。
【図3】サーバに対するクライアントの認証に呼応して、クライアント証明書認証情報を保存するための第1例示的構成。
【図4】本発明の一態様が実現可能な環境を示す第2例示的構成。
【発明を実施するための形態】
【0023】
図1を参照すると、例示的なコンピュータネットワーク10は、さまざまなデータ処理装置またはコンピュータとしてのクライアントコンピュータ12と、サーバコンピュータ14とを有する。更に詳細には、クライアントコンピュータ12は、クライアントとして機能するパーソナルコンピュータまたはワークステーションであってもよく、中央演算処理装置と、記憶デバイスと、その種の他のものとを内蔵するシステム装置16を有してもよい。またクライアントコンピュータ12は、表示装置18と、キーボード20aおよびマウス20bのような入力装置20と、を有してもよい。システム装置16は、中央演算処理装置で現在実行中の前もってプログラムされた命令の制御とフローとを変更するさまざまな入力を入力装置20から受信し、このような実行処理の結果を表示装置18上に示すことが分かる。サーバコンピュータ14は、クライアントコンピュータ12にデータまたはサービスを提供するサーバであってもよい。この点について、用語「クライアント」は、データまたはサービスのリクエスタとしてのクライアントコンピュータ12の役割を指していると理解され、他方、用語「サーバ」は、このようなデータまたはサービスを提供するサーバコンピュータ14の役割を指していると理解される。更にクライアントコンピュータ12は、1つのトランザクション内でデータまたはサービスを要求してもよく、トランザクション内でデータまたはサービスを提供してもよく、このように、その役割をクライアントからサーバに、またはその逆に変えることができる。また更に当然のことながら、本明細書で利用されているような用語「サーバ」は、一般に、セキュアソケットレイヤ/トランスポートレイヤセキュリティ(SSL/TLS)仮想専用ネットワーク(VPN)などのネットワークサービスを指してもよく、このネットワークサービスを通じて
、従来のサーバコンピュータ14は、リモートクライアントにデータとソフトウェアアプリケーションを提供する。
【0024】
クライアントコンピュータ12とサーバコンピュータ14は、ネットワーク接続24を介してインターネット22などの広域ネットワークに接続されている。クライアントコンピュータ12からの要求と、サーバコンピュータ14から要求されたデータとは、ネットワーク接続24を介して配信される。本発明の実施形態に基づき、サーバコンピュータ14は、ウェブサーバであり、クライアントコンピュータ12は、サーバコンピュータ14によって提供された資料を表示装置18上に視覚的に描画するマイクロソフト社のインターネットエクスプローラのようなウェブ閲覧アプリケーションを有してもよい。当然のことながら、図1に示したネットワークトポロジは、限定としてではなく、あくまで一例を示したに過ぎず、本発明の範囲を逸脱することなく、他の任意の種類のローカルエリアネットワークまたは広域エリアネットワークを容易に代わりとして使用してもよい。ネットワーク接続24とインターネット22に対して、周知の任意のデータ転送プロトコルを利用してもよいことが分かる。
【0025】
さらなる実施例では、第1サーバコンピュータ14aは、課金情報と資金移動機能を提供するエレクトロニックバンキングウェブサーバであってもよい。また付加的な使用法も想定され、その使用法では、第1サーバコンピュータ14aは、メールサーバ、オンラインショッピングサイト、またはマイクロソフト社の.NETアプリケーションをホスティングする。第1クライアントコンピュータ12aの使用者は、第1サーバコンピュータ14aにログオンして、クライアントウェブブラウザを用いて勘定残高を読み出し、資金を別の口座に移動させてもよい。この例示的状況では、情報セキュリティの問題の1つは、第1クライアントコンピュータ12aの使用者が、彼がそうであると主張する人本人であることを確保することを有する。たとえば第2クライアントコンピュータ12bの悪意のある使用者が、第1クライアントコンピュータ12aの使用者の認証情報のすべてを有しており、このようなアクセスが不正であると認識せずに第1サーバコンピュータ14aにログオンする虞がある。他の問題は、第1サーバコンピュータ14aが銀行の管理下にあり、第1クライアントコンピュータ12aの使用者がその銀行の顧客であることを確保することである。フィッシング攻撃で第2サーバコンピュータ14bが第1サーバコンピュータ14aになりすましている虞があるかもしれず、第1クライアントコンピュータ12aが、間違って第2サーバコンピュータ14bにアクセスしてしまう虞がある。更に第1クライアントコンピュータ12aと第1サーバコンピュータ14aの間のすべての正当なデータ転送は、第3クライアントコンピュータ12cと、第2クライアントコンピュータ12bと、第2サーバコンピュータ14bとを有する他のいかなるコンピュータによっても傍受されてはならない。
【0026】
上述したように、特定の第1サーバコンピュータ14aにアクセスする代わりに、クライアントコンピュータ12は、仮想専用ネットワーク(VPN)15にアクセスしてもよい。仮想専用ネットワーク15は、仮想専用ネットワークルータ17を介してインターネット22に接続され、クライアントコンピュータ12への遠隔アクセスを可能にしてもよい。仮想専用ネットワークルータ17は、外部のクライアントコンピュータ12がローカルネットワーク19上の仮想サーバコンピュータ14cにアクセスできる唯一の様態であることが分かる。上述したのと同じ安全上の懸念が仮想専用ネットワーク15にも同様に適用できるため、更に詳細に後述するように本発明の方法とシステムを実現する可能性があると想定される。
【0027】
図2のフローチャートを参照すると、図は、複数のクライアント証明書認証情報をキーストアファイル内に選択的に保存するためのさまざまなステップを示している。キーストアファイルは、鍵対のインメモリコレクションと、電子証明書と、他のクライアント証明
書認証情報とである。たとえばキーストアファイルは、機密性の高い暗号鍵情報を保持していてもよく、この暗号鍵情報は、不正アクセスを防ぐために保護フォーマット内に保存されている。通常、この種類のエントリ内に保存される認証情報は、対応する公開鍵に対する証明書チェーンをともなう秘密鍵である。秘密鍵と証明書チェーンは、自己認証を行うために所与のエンティティによって使用される。信頼できる証明書エントリは、他の当事者に属する単一の公開鍵証明書を有する。その単一の公開鍵証明書は、証明書内の公開鍵が証明書の対象者(所有者)によって確認された身元に帰属していることをキーストアファイル所有者が信じるため、信頼できる証明書と呼ばれる。証明書キーストアファイルに対する登録プロセスは、専用のクライアントソフトおよび/または手動の管理者起動プロセスに通常基づいている。更にこのプロセスは、クライアントコンピュータ12の使用者に任せてもよい。しかし、暗号化されたキーストアファイルのセキュリティは、多元的認証に基づいてもよい。
【0028】
特に、図2に開示したフローチャートの第1ステップS100は、クライアントコンピュータ12とサーバコンピュータ14の間の安全なデータ転送リンクを確立することを想定する。本発明の一実施形態では、クライアントコンピュータ12をサーバコンピュータ14に対して認証するのに成功した後にだけ、安全なデータ転送リンクが確立されることを想定する。サーバコンピュータ14に対してクライアントコンピュータ12を認証する過程は、多元的認証を有する。ここで図3を参照すると、クライアントの多元的認証過程を示している。サーバコンピュータ14を用いてクライアントコンピュータ12を登録して多元的認証過程を完了するのに成功することで、クライアントコンピュータ12が詐欺師またはハッカーではないことを確保するとともにクライアントコンピュータ12とサーバコンピュータ14の間のすべての通信を保護することによって、クライアントコンピュータ12とサーバコンピュータ14の間の安全なデータ転送リンクを確立してもよい。クライアントコンピュータ12の使用者26は、サーバコンピュータ14を用いて安全ではない接続を確立することによって、登録と認証過程を開始してもよい。たとえば使用者26は、クライアントコンピュータ12上のクライアントウェブブラウザ28つまりクライアントブラウザに、サーバコンピュータ14に関連するネットワークアドレスを入力してもよく、その時点でサーバコンピュータ14上のファイルまたはウェブページに対する要求が出される。それに呼応して、サーバコンピュータ14は、クライアントコンピュータ12の使用者26がサーバコンピュータ14にアクセスする権限を与えられているか否か判断するための情報を要求してもよい。
【0029】
クライアントコンピュータ12とサーバコンピュータ14の間で想定される相互作用は、クライアントコンピュータ12がクライアントウェブブラウザ28を介してサーバコンピュータ14にログオンすることを有してもよい。要求される情報は、たとえばユーザ名またはパスワードを有してもよい。その後、クライアントコンピュータ12上のクライアントウェブブラウザ28は、使用者26に、サーバコンピュータ14にアクセスするためのユーザ名および/またはパスワードの入力を要求する。その後、サーバコンピュータ14は、クライアントコンピュータ12の使用者26が提供した情報が正しいか否か判断してもよい。サーバコンピュータ14は、サーバソフトウェアアプリケーション34を介して企業データベース36に通信してもよく、この企業データベース36は、バックエンドデータストアの役割を果たしてもよい。企業データベース36は、使用者26が正しい身元確認情報を提供したか否か判断するために、使用者26のユーザ名とパスワードを有してもよい。本発明の一実施形態では、企業データベース36は、サーバコンピュータ14によってホストされている。他の実施形態では、企業データベース36は、ネットワーク接続24またはインターネット22を介してサーバソフトウェアアプリケーション34に通信するリモートサーバである。サーバコンピュータ14は、アクティブディレクトリサーバ、ライトウェイトディレクトリアクセスプロトコル(LDAP)サーバ、データベースサーバなどであってもよい。サーバソフトウェアアプリケーション34は、サーバコン
ピュータ14によってホストされている。サーバソフトウェアアプリケーション34は、クライアントウェブブラウザ28に通信すること、従ってクライアントコンピュータ12に通信することを想定している。
【0030】
クライアントコンピュータ12の認証に成功する前に、帯域外の様態を介してクライアントコンピュータ12とそれに関連する使用者26を認証できる。一実施形態に基づき、サーバソフトウェアアプリケーション34は、使用者26の管理下にある携帯電話または有線電話に使い捨てパスワードを配信するように電話サーバ38に通知する。あるいは、テキストメッセージサーバ40から電子メールまたはショートメッセージサービス(SMS)テキストメッセージを送信してもよい。音声認識、IPアドレス検証、およびその種の他のものなどの他の帯域外認証技術が想定される。使い捨てパスワードのエントリは、サーバコンピュータ14を通してサーバソフトウェアアプリケーション34を用いて処理してもよい。上述の帯域外認証の代わりに、または上述の帯域外認証に加えて、付加的な知識ベース認証方式を使用者26に提示してもよい。たとえば使用者26に、彼らの好みの色、彼らの母親の旧姓、および他の同様の質問を尋ねてもよい。サーバソフトウェアアプリケーション34を用いて後で読み出して使用するために、付加的な認証情報を企業データベース36内に保存してもよい。上述の手続きは、サーバコンピュータ14を用いてクライアントコンピュータ12上のクライアントウェブブラウザ28を「登録」して、このようなクライアントウェブブラウザ28を効果的に第2認証要素(「使用者が有している何か」)にすることが分かる。上述したように、使い捨てパスワードは、クライアントコンピュータ12とサーバコンピュータ14の間のデータ通信リンクとは無関係な、またはクライアントコンピュータ12とサーバコンピュータ14の間のデータ通信リンクに関して帯域外の、通信様態を介して配信される。電話サーバ38は、第三者、またはサーバコンピュータ14もしくは企業データベース36を管理する組織、が管理してもよい。サーバソフトウェアアプリケーション34は、クライアントコンピュータ12の使用者26に正式な応答を入力するように指示する。この線に沿って、電話サーバ38と、クライアントコンピュータ12に正式な応答を送信するステップとは、省略してもよいことが分かり、ここで「正式な応答」とは、知識ベースの質問に対する回答である。この回答は、その時以前に使用者26が決めたものと想定される。
【0031】
多元的認証過程を通して安全なデータ転送リンクを確立した後で、図2のフローチャートの次のステップS110は、複数のクライアント証明書認証情報を生成することを有する。複数のクライアント証明書認証情報は、公開鍵と秘密鍵とで構成された鍵対を有してもよい。またこのステップは、複数のクライアント証明書認証情報を保存するためのキーストアファイルを生成することを想定する。再び図3を参照すると、クライアント装置としてのクライアントコンピュータ12上のクライアントウェブブラウザ28は、安全なデータ転送リンクの確立に呼応してキーストアファイルと鍵対とを生成するプラグインソフトウェアコンポーネントとしてのプラグインコンポーネント30を有する。本発明の態様では、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34を用いた認証が成功した後に、プラグインコンポーネント30が鍵対を生成することを想定する。本発明の一実施形態では、プラグインコンポーネント30は、クライアントウェブブラウザ28へのアドオンとして実現されるブラウザ実行コードである。安全なデータ転送リンクを確立した後に、プラグインコンポーネント30をサーバコンピュータ14から送信してもよい。また安全なデータ転送リンクを確立する前に、プラグインコンポーネント30をクライアントウェブブラウザ28に送信してもよいことが想定される。更にプラグインコンポーネント30を有するブラウザ実行コードを、クライアントコンピュータ12上に、従ってサーバコンピュータ14とは無関係にクライアントウェブブラウザ28上に、インストールしてもよい。クライアントウェブブラウザ28のプラグインコンポーネント30は、クライアントコンピュータ12上で処理されて、1つのキーストアファイルまたは複数のキーストアファイルを生成する。またクライアントコンピュータ12上
でのプラグインコンポーネント30の処理によって、サーバコンピュータ14を用いたクライアントコンピュータ12の認証の成功に呼応して、鍵対を生成してもよい。
【0032】
一実施形態に基づき、プラグインコンポーネント30は、クライアントウェブブラウザ28を介してシングルユーザ26インタラクションを用いてインストールされるActive−Xコンポーネントである。しかし、クライアントウェブブラウザ28に付加してもよい他の実行可能なコンポーネントもまた本発明の範囲内にあるものと見なされる。他のこれらの実行可能なコンポーネントは、限定としてではなく一例として、マイクロソフトデバイス上の.NETスマートクライアント、任意のプラットフォーム上のモジラファイヤフォックス拡張機能、任意のプラットフォームと互換性があるフラッシュソフトウェア、任意のプラットフォームと互換性があるJAVA(登録商標)ソフトウェア、またはアップルソフトウェアコンポーネントを有してもよい。プラグインコンポーネント30は、クライアントコンピュータ12が選択したクライアントウェブブラウザ28と互換性がある。たとえばクライアントコンピュータ12上のクライアントウェブブラウザ28は、インターネットエクスプローラ、モジラファイヤフォックス、アップルサファリなどを有してもよい。プラグインコンポーネント30は、クライアントコンピュータ12上に組み込まれたクライアントウェブブラウザ28に関連するキーストアファイルを特定する能力を有していることが重要である。クライアントウェブブラウザ28に関連するキーストアファイルを特定した後に、公開鍵と秘密鍵とを有する鍵対をキーストアファイル内に保存してもよい。互いに異なるクライアントウェブブラウザ28は、プラグインコンポーネント30と理解されなければならずかつプラグインコンポーネント30と互換性がなければならない、特有の統合プログラムライブラリを有している。たとえばマイクロソフトアプリケーションプログラミングインタフェース(API)セットは、CAPICOMライブラリを利用する。モジラファイヤフォックス用のAPIセットは、ネットワークセキュリティサービス(NSS)暗号ライブラリを有してもよい。アップルプラットフォームは、CSMEライブラリを利用してもよい。認証機関(CA)が要求に署名してプラグインコンポーネント30によって生成された鍵対の正当性を立証できるようにする公開鍵暗号化標準(PKCS)要求を生成するために、ライブラリを利用する。
【0033】
再び図2のフローチャートを参照すると、方法は、証明書要求を生成するステップS120を続行してもよい。ここで図4を参照すると、クライアントコンピュータ12上で証明書要求42を生成する。クライアントウェブブラウザ28のプラグインコンポーネント30を利用してクライアントコンピュータ12上で証明書要求42を生成することを想定する。証明書要求42は、プラグインコンポーネント30によって生成された鍵対からの公開鍵を有する。本発明の一態様では、証明書要求42がPKCS#10であることを想定する。証明書要求42は、証明要求情報と、署名アルゴリズム識別子と、証明要求情報上の電子署名と、の3つの部分で構成されている。証明要求情報は、クライアントの名前と、クライアントの公開鍵と、クライアントコンピュータ12についての他の情報を提供する属性の集合と、から構成されている。それによって証明要求が構成されるプロセスは、下記のステップを有する。(1)証明を要求するクライアントコンピュータ12によって、対象者の名前を有するCertificationRequestlnfo値と、対象者の公開鍵と、必要に応じて属性の集合と、を構成する。(2)対象クライアントの秘密鍵を用いてCertificationRequestlnfo値に署名する。(3)CertificationRequestlnfo値と、署名アルゴリズム識別子と、クライアントの署名とをCertificationRequest値にいっしょにまとめる。認証機関は、要求しているクライアントを認証してクライアントの署名を検証し、要求が正当であるとき、名前と公開鍵と、発行者名と、通し番号と署名アルゴリズムとからの認証機関の選択と、から、X.509または他の電子証明書を構成することによって、要求を実現させる。
【0034】
その後、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34に、証明書要求42を送信してもよい。他の実施形態では、証明書要求42を証明書サーバ44に直接送信してもよい。また証明書要求42は、クライアントウェブブラウザ28を介して配信されることを想定する。証明書要求42は、PKCS#10要求の形であってもよい。本発明の態様では、PKCS#10要求が、X.509証明書要求42であることを想定する。本発明の一実施形態では、証明書サーバ44は、認証機関である。証明書サーバ44は、証明書要求42に電子署名するように構成されている。本発明の他の実施形態では、証明書サーバ44は、クライアントコンピュータ12とサーバコンピュータ14とから遠く離れたサーバである。本発明の他の実施形態では、証明書サーバ44は、サーバコンピュータ14でホストされていることを想定する。
【0035】
本発明の他の実施形態に基づき、サーバソフトウェアアプリケーション34は、保護されたWSE3.0ウェブサービスコールを介して証明書サーバ44に通信する。図4に示す実施形態に基づき、証明書サーバ44は、認証機関であり、サーバコンピュータ14と企業データベース36とを管理する組織から離れた正当な第三者プロバイダの制御範囲内にあると考えられている。図示されていない他の構成では、証明書サーバ44と、テキストメッセージサーバ40と、電話サーバ38とは、サーバコンピュータ14を管理しているのと同じ組織によって管理され維持されている。更に他の構成では、ウェブサービスに対する安全なアクセスを可能にしている。理解されるように、用語ウェブサービスは、コンピュータ同士の相互作用をサポートする標準化システムを指している。この場合、クライアントコンピュータ12は、サーバコンピュータ14を用いて認証するためにプラグインコンポーネント30を利用する。このようにして生成されたクライアント証明書48は、W3クライアントを認証するために利用され、クライアント証明書48についての情報を利用してウェブサービスを用いて認証する
証明書サーバ44において証明書要求42を受信すると、次のステップS130は、図2のフローチャートに示すように、電子証明書メッセージを生成することを要求してもよい。証明書サーバ44は、電子証明書メッセージを生成するように構成されている。証明書サーバ44で生成された電子証明書メッセージは、元のPKCS#10署名要求に対するPKCS#7応答の形で送信され、この元のPKCS#10署名要求は、クライアントコンピュータ12によって要求され、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34に送信されたものである。本発明の一実施形態のPKCS#7応答は、X.509証明書要求応答であってもよい。証明書要求応答は、署名された証明書要求としての署名証明書要求46である。証明書サーバ44は、証明書要求42を処理して、署名証明書要求46を生成するように構成されている。証明書要求42の署名の後に、電子証明書メッセージは、署名証明書要求46の形でサーバソフトウェアアプリケーション34に送信される。本発明の他の実施形態では、署名証明書要求46は、証明書サーバ44から直接クライアントコンピュータ12に送信される。この点において、クライアントウェブブラウザ28は、署名証明書要求46を受信するように構成されている。
【0036】
PKCS#7は、公開鍵基盤に基づきメッセージに署名する、および/または、メッセージを暗号化するために使用される。またPKCS#7は、PKCS#10メッセージに呼応して証明書を配布するために使用してもよい。それぞれ署名者のために、特定の署名者向けのメッセージダイジェストアルゴリズムを用いて、内容についてのメッセージダイジェストを計算する。署名者が内容以外の任意の情報を認証しているとき、内容と他の情報のメッセージダイジェストが署名者のメッセージダイジェストアルゴリズムを用いて要約され、その結果が「メッセージダイジェスト」になる。それぞれ署名者のために、メッセージダイジェストと関連情報を署名者の秘密鍵を用いて暗号化する。それぞれ署名者のために、暗号化されたメッセージダイジェストと他の特定の署名者向けの情報とをSignerlnfo値にまとめる。このステップでは、それぞれ署名者に対する証明書と証明
書取消リストと、どの署名者にも対応しない証明書と証明書取消リストとを収集する。すべての署名者に対するメッセージダイジェストアルゴリズムと、すべての署名者に対するSignerlnfo値とを、内容といっしょにSignedData値にまとめる。受け手は、署名者の公開鍵を用いてそれぞれ署名者に対する暗号化されたメッセージダイジェストを解読し、その後、復元されたメッセージダイジェストと独自に計算したメッセージダイジェストとを比較することによって、署名を検証する。署名者の公開鍵は、署名者情報に含まれる証明書内に含まれているか、または公開鍵に対する証明書を一意的に特定する発行者名と、特定の発行者向けの通し番号とによって参照される。
【0037】
再び図2のフローチャートを参照すると、フローチャートは、複数のクライアント証明書認証情報を保存するステップS140で終わる。署名証明書要求46を、クライアントコンピュータ12上でクライアントウェブブラウザ28を介して受信する。一実施形態では、プラグインコンポーネント30が、クライアントウェブブラウザ28を介して受信される署名証明書要求46を処理するように構成されていることを想定する。プラグインコンポーネント30が、署名証明書要求46を処理することに呼応して、クライアントコンピュータ12は、クライアント証明書48を生成する。本発明の一実施形態では、クライアントコンピュータ12上でクライアント証明書48を生成し、クライアント証明書48を適切なキーストアファイル内に選択的に保存する。キーストアファイル内に複数のクライアント証明書認証情報を保存するのに使用者26入力を必要としない。本発明の態様では、プラグインコンポーネント30が、所要のキーストアファイル内に複数のクライアント証明書認証情報を自動的に保存するように構成されていることを想定する。プラグインコンポーネント30は、1つのキーストアファイル内に、または複数のキーストアファイル内に、複数のクライアント証明書認証情報を選択的に保存してもよい。プラグインコンポーネント30は、特定のキーストアファイル内に、または必要に応じて複数のキーストアファイル内に、複数のクライアント証明書認証情報を保存できる。
【0038】
サーバコンピュータ14に対するクライアントコンピュータ12の単一認証では、複数のキーストアファイル内に鍵対の共通のセットを登録してもよい。これは、使用者26がキーストアファイルをエクスポートしなければならず、その後、別のサーバ内に複数のクライアント証明書認証情報をインポートしなければならないという要件を回避する。この機能の向上は、互いに異なるプログラムサービスを利用して同じ暗号証明書認証情報を取り出すアプリケーションにとって重要である。クライアントウェブブラウザ28のプラグインコンポーネント30は、最終の使用者26に鍵対または他の証明書認証情報を手動でインポートとエクスポートすることを要求しない。またプラグインコンポーネント30を有するクライアントウェブブラウザ28は、サーバソフトウェアアプリケーション34と証明書サーバ44に通信しており、それによって、クライアントコンピュータ12の認証後には、適切なキーストアファイル内に、または複数のキーストアファイル内に、複数のクライアント証明書認証情報を保存するのに使用者26も手入力作業も必要としないようになっていることを想定する。
【0039】
本発明の一実施形態では、暗号化されたキーストアファイルは、暗号鍵と証明書とに対する保存場所である。暗号化されたキーストアファイルは、それぞれ互いに異なるインタフェースを実現する互いに異なるエントリを管理してもよい。プラグインコンポーネント30が、複数のクライアント証明書認証情報を、暗号化されたキーストアファイルの方向に向かって押すとき、システム内で利用可能な特定のキーストアファイルの種類の最も好ましい実施態様を戻すことによって達成されると想定される。
【0040】
本発明の他の態様では、暗号化されたキーストアファイルの中に複数のクライアント証明書認証情報を保存するためにデフォルトインプリメンテーションを利用することを想定する。クライアントウェブブラウザ28のプラグインコンポーネント30は、クライアン
トコンピュータ12上に空いている暗号化されたキーストアファイルを生成するように構成されている。あるいは、空いている暗号化されたキーストアファイルを、クライアントウェブブラウザ28のメモリ内に生成してもよい。
【0041】
本明細書に示した詳細は、あくまで本発明の実施形態についての説明に役立つ議論を行うために、一例として示したに過ぎず、本発明の原理と概念的見地についての最も有用でかつ容易に理解される説明と考えられるものを提供するために提示している。この点について、本発明の基本的な理解のために必要である更なる詳細を示す試みは行っておらず、図面と合わせて説明を読めば、本発明の幾つかの形態を実際問題としてどのように具体化すればよいかについて当業者に明らかになる。
【技術分野】
【0001】
本発明は、一般にクライアント証明書認証情報を保存するための方法とシステムに関し、更に詳細には本発明は、複数のクライアント証明書認証情報を、クライアントウェブブラウザを介してキーストアファイル内に自動的にクライアントセルフサービス保管するための方法とシステムに関する。
【背景技術】
【0002】
公開鍵基盤(PKI)は、事前の接触なしにコンピュータ間で互いに認証できるようにするとともに、それらの公開鍵証明書内の公開鍵情報を使用して互いに対するメッセージを暗号化できるようにする。一般に、公開鍵基盤は、クライアントソフトウェア、サーバソフトウェア、ハードウェア、および運用手順で構成されている。公開鍵基盤は、インターネットによる安全通信に関連する非常に重要な役割を果たしている。銀行業務、金融サービス、行政、教育、およびすべての種類の企業は、最新式コンピュータシステムとインターネットのようなデータ通信ネットワークとに依存している。このような進歩は、商取引を行う速度と利便性とを大幅に向上させてきたが、多くの脆弱性のために、やりとりされている機密性と極秘性の高いデータの安全性が危険にさらされている。最も基本的なレベルにおいて、電子商取引は、ネットワークを介して通信するサーバコンピュータシステムとクライアントコンピュータシステムとを通常有する。また付加的なクライアントまたはサーバコンピュータシステムをネットワークに接続して、複数のクライアントが所与のサーバにアクセスできたり、または所与のクライアントが複数のサーバにアクセスできたりするようになっていてもよい。このオープンネットワーク環境では、データ機密保護について3つの主要な懸案事項がある。まず第1に、クライアントは、それ自身が主張する通りのものであるということをサーバに対して保証しなければならない。第2に、サーバは、それ自身が主張する通りのものであるということをクライアントに対して保証しなければならない。第3に、正当なサーバと正当なクライアントの間でやりとりされている任意の情報は、ネットワーク上の他のいかなるコンピュータシステムまたは使用者によっても妨害されたり、または変更されたりしてはいけない。
【0003】
たとえばエレクトロニックバンキングセッティングでは、銀行は、銀行用サーバにアクセスする使用者の身元を認証して、特定の顧客だけに関連する取引が許可されるようになっているとともに、銀行用サーバにアクセスする使用者が、その特定の顧客か、またはその特定の顧客が権限を与えた人であると確認されるようになっていなければならない。銀行用サーバが本当に銀行によって運用されている銀行用サーバであり、悪意があるエンティティによって運用されている類似の銀行用サーバではないことをクライアントに確保しなければならない。これはフィッシング攻撃として知られており、正当なサーバに似せて偽装サーバを作り、使用者をだまして銀行口座番号、社会保障番号、パスワード、およびその種の他のものなどの秘密情報を提供させるものである。負債の誤った累算、逮捕歴、刑事上の有罪判決、取引信用度の破壊、評判の棄損などを有する情報を有する犯罪者が、多くの損害を顧客に与える虞がある。またこれらは、「なりすまし犯罪」としても知られている。秘密情報がオープンネットワークを介して伝送されているため、このような情報は、暗号化されるか、さもなければクライアントとサーバ以外には、他のいかなるシステムにも分からないようにされる必要がある。ネットワークのオープン性によって、不正目的または悪意のある目的のために有効データ伝送を傍受して後で繰り返すリプレイアタックをコンピュータシステムが受けやすくなる。たとえばパスワードまたは他の認証情報が傍受されて、後で機密情報にアクセスするために使用される。更にネットワーク上で伝送されている情報は、介入者攻撃の場合などに変更可能であってはならない。これは、リンクが危険にさらされやすいことを正当なクライアントとサーバのどちらも認識することな
く、両者の間のデータを攻撃者が読み取り、挿入して、変更することを有する。
【0004】
一般に、これらのセキュリティ問題は、機密データおよび/または極秘データをやりとりしているすべてのネットワーク環境において最重要課題である。多くの企業では、インターネットなどの公衆通信ネットワークを介して組織の内部ネットワーク資源に安全に遠隔アクセスするために、仮想専用ネットワーク(VPN)を現在のところ利用している。上述した攻撃を防ぐ適切な防護対策が施されなければ、組織のデータのセキュリティも、組織の顧客のデータまたはクライアントのデータのセキュリティも危険にさらされて、1人の個人だけに与える損失よりも更に大きな損失をもたらす虞がある。
【0005】
一般に、公開鍵暗号は、受け手と送り手の両方が保持する固有の公開鍵/秘密鍵対を有する。送り手の秘密鍵は、送り手だけで保持されており、受け手の秘密鍵は、受け手だけで保持されている。送り手の公開鍵は、配布されて、受け手によって保持され、受け手の公開鍵もまた配布されて、送り手によって保持される。メッセージを送信するときには、送り手の秘密鍵と受け手の公開鍵を使用してメッセージを暗号化する。メッセージは、受け手の秘密鍵と送り手の公開鍵とを用いて受け手によって解読される。
【0006】
電子証明書は、信頼できる結びつきでクライアントの身元証明書とクライアントの公開鍵を関連付けるコンピュータで作成した記録である。信頼は、第三者の認証機関によって実施される登録証明書/身元証明書ポリシーに基づいている。証明書は、認証を発行する認証機関の身元証明書、クライアント、クライアントの公開鍵を有してもよく、証明書は、発行認証機関によって電子署名される。電子署名は、1つの装置を他の装置に対して認証するために使用される一般的な方法である。証明書は、電子署名と公開鍵暗号方式とで要求される鍵配布機構を提供する。電子署名を使用するために、署名を提供している装置上に個人情報(秘密鍵)を保存しなければならない。保存された個人情報は、秘密鍵を有するハードウェアデバイスを盗んだ攻撃者を助ける虞があり、たとえば攻撃者は、ルータ内に保存されたRSA秘密鍵を使用することによってルータに他のサイトへの安全な接続を開始させることができるかもしれない。
【0007】
暗号作成法において周知の証明書規格は、X.509証明書である。証明書の構造は、バージョン、通し番号、アルゴリズムID、発行、有効期間、対象者、対象者の公開鍵情報、発行者の一意的識別子、対象者の一意的識別子、拡張、証明書署名アルゴリズム、および証明書署名を有してもよい。証明書は、国際電気通信連合電気通信標準化部門(ITU−T)勧告であり、「ディレクトリ」で表される中央制御パラダイムに基づき認証サービスの規定の枠組みを定めている。勧告は、要求された身元の検証としてパスワードを使用する簡易認証と、暗号技術を使用することによって形成された認証情報、すなわち「証明書」を有する厳密認証と、の2つのレベルについて記述している。信頼を確立して維持することに関して認証機関の責任といっしょに証明書構造の形式を定めている。
【0008】
X.509規格のような証明書、証明書チェーン、および秘密鍵は、キーストアファイルとして知られているものに保存される。通常、キーストアファイルは、ファイルの中に保存された情報を保護するために暗号化されている。キーストアファイル内に保存された情報は、上述のセキュリティ問題のため秘密になっている。キーストアファイルには、2つのパスワードを用いてアクセスしてもよい。1つのパスワードは、キーストアファイルへのアクセスを提供し、別の第2パスワードは、キーストアファイルの中に保存された秘密鍵へのアクセスを提供する。保護されたキーストアファイルのために開発された幾つかの規格がある。最も一般に普及しているのは、PKCS#12規格である。PKCS#12の規格は、付随の公開鍵証明書を備え、パスワードベースの対称鍵で保護された秘密鍵を保存するために一般的に使用されるファイル形式で定められたキーストアを提供する。これは、一例として複数の証明書を有する複数の埋め込みオブジェクトを有することがで
きるコンテナフォーマットである。この標準形式は、JAVA(登録商標)キーストアとともに使用してもよい。認証機関がクライアントに電子証明書を発行するとき、クライアントは、保護されたキーストアファイルを最終的に受取り、この保護されたキーストアファイルは、発行された証明書と、その証明書に対応する秘密鍵と、全体の証明書チェーンと、を含んでおり、証明書の信頼性を提供している。保護されたキーストアファイルは、クライアントにファイルの形でスマートカードとして渡してもよく、またはクライアントおよび/もしくはクライアントのウェブブラウザに直接インストールしてもよい。
【0009】
最終の使用者の正当性を確保する形でインターネット全体にわたって認証するための実証された方法は、公開鍵/秘密鍵対を使用して認証要求に電子署名することである。このシナリオでは、使用者の秘密鍵を使ってメッセージに署名することによってクライアントがその身元を立証するであろうということを期待して、認証サーバがクライアントにメッセージを送信する。ほとんどの場合、このメッセージは、MD2、MD4、MD5、SHA1または他の何らかのハッシュアルゴリズムなどの何らかの一般的なハッシュ機構を利用してデジタル処理でハッシュ化されたメッセージである。クライアントは、ハッシュを実行し、その後、使用者の秘密鍵を使ってこのハッシュに署名して、この電子署名されたメッセージをサーバに戻す。その後、サーバは、同じハッシュアルゴリズムを利用して同じメッセージをデジタル処理でハッシュして、この値を後で比較するために保存し、このハッシュ値は、「現在のハッシュ値」と呼ばれる。その後、サーバは、電子署名された署名をクライアントから受取り、使用者の公開鍵を使ってこのハッシュ値を解読する。その後、サーバは、この解読された電子署名と現在のハッシュ値を比較し、この2つが同じではない場合、その電子署名は、無効であり、検証は、失敗となる。発行手続きにおいてクライアントのウェブブラウザが役立つ可能性がある。
【0010】
サーバまたはウェブサイトから所与の認証機関に送信した証明書発行要求(証明書要求)において、クライアントのウェブブラウザは、公開鍵/秘密鍵対を生成してもよく、認証機関のサーバにその公開鍵を送信する。クライアントウェブブラウザは、秘密鍵を秘密にしておき、認証機関には、秘密鍵を送信しない。認証機関は、クライアントの個人の身元データの信頼性を検証した後に、クライアントのウェブブラウザが受信した公開鍵とクライアントの確認された身元データとを記録している証明書をクライアントに発行する。認証機関のサーバがそのクライアントに証明書を発行した後に、認証機関は、証明書をクライアントのウェブブラウザ内にインストールすることができるウェブページにクライアントをリダイレクトする。ウェブブラウザは、証明書に対応する秘密鍵を保存しており、最後には、使用者は、証明書の、クライアントのウェブブラウザ内にインストールされた証明書チェーンとともに、証明書とそれに対応する秘密鍵とを入手する。秘密鍵を保存する方法は、ウェブブラウザに応じて一般に変化する。
【0011】
ほとんどのクライアントウェブブラウザは、認証用に安全なSSLサーバの中に保存された証明書と秘密鍵とを使用することができる。また多くのE−mailクライアントは、クライアントウェブブラウザ内に保存された証明書を使用して、電子メールに署名し、暗号化し、解読することもできる。しかし、幾つかのアプリケーションは、クライアントのウェブブラウザからの証明書を直接使用することはできないが、特定のキーストアファイルとともに動作できる。このような場合には、クライアントの使用者は、それらのクライアントウェブブラウザからのそれらの証明書を、キーストアファイル内のそれらの証明書に対応する秘密鍵といっしょにエクスポートして、他の任意のアプリケーションでそれらを使用してもよい。X.509電子証明書を保存するための幾つかの規格がある。ASN.1 DER符号化が最もよく使用され、この符号化では、証明書は、.CER拡張子を有するファイル内に保存される。.CERファイルは、公開鍵と、その公開鍵の所有者の情報と、その公開鍵が本当にその使用者またはクライアントに帰属することを証明する認証機関の電子署名と、を有する。認証機関は、認証機関のサイトから、.CERファイ
ル内の認証機関のルート証明書を配布する。.CERファイルは、バイナリ形式またはBase64で符号化されたテキスト形式で保存できる。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】米国特許出願公開第2004/268148号明細書
【発明の概要】
【発明が解決しようとする課題】
【0013】
しかし、多くのキーストアファイルアプリケーションは、認証機構とは無関係である。これらのキーストアファイルアプリケーションは、複数の記憶領域内の公開鍵/秘密鍵を検索して利用する。これらの第三者製のアプリケーションは、公開鍵/秘密鍵、または他のキーストアファイルロケーション内の他の証明書認証情報を通常検索できない。あるいは第三社製のアプリケーションは、アプリケーションが書き直された後にだけ、他のキーストアファイルロケーション内の複数のクライアント証明書認証情報を検索してもよい。通常そのアプリケーションでは、検索するように設計されていないキーストアファイルロケーションを検索するように、サードパーティ製アプリケーションを書き直すことは困難であり、クライアントコンピュータのほとんどの使用者には、推奨できない。
【0014】
よくある問題は、アプリケーションが、JAVA(登録商標)キーストア内に保存される予定の複数のクライアント証明書認証情報を探す点である。ほとんどの認証ソリューションでは、ブラウザ専用のキーストアファイル内に複数のクライアント証明書認証情報を保存しているため、アプリケーションは、認証情報を見つけることができず、その結果、使用者を認証しない虞があり、従ってアプリケーションが役に立たなくなる。この問題に対する過去の解決方法は、使用者が手動で証明書情報を抽出して他のキーストアファイル内に複製することであった。しかし上述したように、これは間違いを犯しやすい困難な手順であり、ほとんどの使用者の技術能力を超えてしまう。
【課題を解決するための手段】
【0015】
よって当技術分野において、1つのキーストアファイルまたは複数のキーストアファイルの中にクライアント証明書認証情報を保存するための改良された方法とシステムに対する必要性が存在している。
【0016】
本発明の一実施形態に基づき、クライアントウェブブラウザを介してキーストアファイルに複数のクライアント証明書認証情報を保存するための方法を提供する。方法は、クライアントとサーバの間の安全なデータ転送リンクを確立するステップで始まる。クライアントウェブブラウザを使用してクライアントとサーバの間の安全なデータ転送リンクを確立する。クライアントウェブブラウザは、プラグインソフトウェアコンポーネントを有する。プラグインソフトウェアコンポーネントは、クライアントとサーバの間に安全なデータ転送リンクを確立するプロセスの間に、キーストアファイルと、公開鍵と秘密鍵とを有する鍵対と、を生成するように構成されている。方法は、クライアント上で証明書要求を生成するステップを続けてもよい。生成された証明書要求は、プラグインソフトウェアコンポーネントによって生成された鍵対からクライアントウェブブラウザへの公開鍵を有する。その後、生成された証明書要求を証明書サーバに送信する。証明書サーバは、生成された証明書要求に電子署名するように構成されている。方法は、署名証明書要求をクライアントが受信するステップを続ける。署名証明書要求は、クライアントウェブブラウザを介してクライアントによって受信される。方法は、署名証明書要求に関連する複数のクライアント証明書認証情報をキーストアファイル内に保存するステップで終わってもよい。
【0017】
本発明の他の実施形態に基づき、複数のクライアント証明書認証情報は、電子証明書、
秘密鍵、公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する。本発明の他の態様では、クライアントとサーバの間の安全なデータ転送リンクを確立するステップは、サーバを用いた多元的認証過程の完了を成功させるようにクライアントに要求する。またプラグインソフトウェアコンポーネントがサーバからクライアントウェブブラウザに送信されたブラウザ実行コードであることを想定する。プラグインソフトウェアコンポーネントは、複数のキーストアファイルを生成するように構成されていてもよい。プラグインソフトウェアコンポーネントは、複数のクライアント証明書認証情報を選択的に保存してもよい。プラグインソフトウェアコンポーネントによって選択的に保存される予定の複数のクライアント証明書認証情報は、署名証明書要求に関連している。複数のクライアント証明書認証情報は、プラグインソフトウェアコンポーネントによって生成された複数のキーストアファイル内に保存してもよい。また方法は、サーバがセキュアソケットレイヤ(SSL)仮想専用ネットワーク(VPN)であることを想定する。また証明書サーバがクライアントとサーバとから遠く離れた認証機関であることを想定する。複数のクライアント証明書認証情報を保存するために選択される予定のキーストアファイルは、マイクロソフト暗号APIキーストアと、JAVA(登録商標)キーストアと、アップルキーストアと、NSSキーストアと、からなる群から選択されてもよい。しかし、上述のキーストアの種類は、あくまで実施例を示したに過ぎず、本発明は、実施例としてここに示していない付加的なキーストアを利用することを想定する。プラグインソフトウェアコンポーネントは、クライアントウェブブラウザを確認して、クライアントウェブブラウザの符号化ライブラリに関連するキーストアファイル内に複数のクライアント証明書認証情報を保存してもよい。
【0018】
本発明の更に他の実施形態では、複数のクライアント証明書認証情報を保存するためのシステムを提供する。システムは、クライアントとサーバの間の安全なデータ転送リンクを確立するためにクライアント上にクライアントウェブブラウザを有する。またシステムは、複数のキーストアファイルを有する。複数のキーストアファイルは、クライアントウェブブラウザによって生成される。またシステムは、証明書サーバを有してもよい。証明書サーバは、クライアントによって生成された証明書要求を受信できる。証明書サーバは、証明書要求に電子署名するように構成されている。システムは、プラグインソフトウェアコンポーネントを有する。プラグインソフトウェアコンポーネントは、クライアントウェブブラウザへのアドオンである。クライアントウェブブラウザは、プラグインソフトウェアコンポーネントを処理して公開鍵と秘密鍵とを有する鍵対を生成する。またプラグインソフトウェアコンポーネントは、複数のクライアント証明書認証情報を選択的に保存するように構成されている。本発明の態様は、プラグインソフトウェアコンポーネントが複数のキーストアファイルから少なくとも1つのキーストアファイル内に複数のクライアント証明書認証情報を保存することを想定する。本発明の他の実施形態では、プラグインソフトウェアコンポーネントは、複数のキーストアファイル内に複数のクライアント証明書認証情報を保存する。
【0019】
またキーストアファイル内に選択的に保存される予定の複数のクライアント証明書認証情報は、電子証明書、クライアント秘密鍵、クライアント公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有することを想定する。システムのクライアントウェブブラウザは、サーバを用いた多元的認証過程の完了に成功することによって、安全なデータ転送リンクを確立する。システム内に含まれる証明書サーバは、クライアントとサーバとから遠く離れた認証機関である。本発明の他の実施形態では、証明書サーバは、サーバでホストされている。システムのクライアントウェブブラウザは、電子証明書を生成するように構成されている。電子証明書は、署名証明書要求の受信に呼応して通常生成される。電子証明書は、証明書サーバによって検証された情報を有するであろう。システムのプラグインソフトウェアコンポーネントは、サーバからクライアントウェブブラウザに送信されたブラウザ実行コードである。本発明の他の実施形態では、プラグインソフトウ
ェアコンポーネントは、サーバから独立しているクライアント上のインストール過程を通してクライアントウェブブラウザに付加されたブラウザ実行コードである。
【0020】
同じ要素を示すために図面と詳細な説明の全体を通して共通の参照番号を使用している。
本発明は、添付図面とともに以下の詳細な説明を参照することによって、最も良く理解されるであろう。
【0021】
本明細書で開示したさまざまな実施形態の、これらのおよび他の特徴、ならびに利点は、以下の説明と図面を参照することによって、より良く理解されるであろう。
添付図面に関連して以下に示す詳細な説明は、本発明の現在の好ましい実施形態を説明するものであり、本発明を構成したり、または利用したりしてもよい唯一の形態を示すものではない。説明は、図示の実施形態に関連して本発明を開発して運用するためのステップの機能と順序を示している。しかし、それもまた有するように意図されている互いに異なる実施形態によって、同じまたは等価な機能と順序を達成してもよいことを理解すべきである。当然のことながら、第1と第2の、ならびにその種の他のものなどの関係用語の使用は、1つのエンティティと他のエンティティを区別するためにだけ使用されており、このようなエンティティの間の実際のこのような関係または順序を必ずしも要求したり、または示唆したりするわけではない。
【図面の簡単な説明】
【0022】
【図1】本発明の一態様が実現可能な環境を示すブロック図。さまざまな相互接続されたサーバ、クライアント、および仮想専用ネットワーク(VPN)を有する。
【図2】本発明の態様の複数のクライアント証明書認証情報を保存するための方法を示すフローチャート。
【図3】サーバに対するクライアントの認証に呼応して、クライアント証明書認証情報を保存するための第1例示的構成。
【図4】本発明の一態様が実現可能な環境を示す第2例示的構成。
【発明を実施するための形態】
【0023】
図1を参照すると、例示的なコンピュータネットワーク10は、さまざまなデータ処理装置またはコンピュータとしてのクライアントコンピュータ12と、サーバコンピュータ14とを有する。更に詳細には、クライアントコンピュータ12は、クライアントとして機能するパーソナルコンピュータまたはワークステーションであってもよく、中央演算処理装置と、記憶デバイスと、その種の他のものとを内蔵するシステム装置16を有してもよい。またクライアントコンピュータ12は、表示装置18と、キーボード20aおよびマウス20bのような入力装置20と、を有してもよい。システム装置16は、中央演算処理装置で現在実行中の前もってプログラムされた命令の制御とフローとを変更するさまざまな入力を入力装置20から受信し、このような実行処理の結果を表示装置18上に示すことが分かる。サーバコンピュータ14は、クライアントコンピュータ12にデータまたはサービスを提供するサーバであってもよい。この点について、用語「クライアント」は、データまたはサービスのリクエスタとしてのクライアントコンピュータ12の役割を指していると理解され、他方、用語「サーバ」は、このようなデータまたはサービスを提供するサーバコンピュータ14の役割を指していると理解される。更にクライアントコンピュータ12は、1つのトランザクション内でデータまたはサービスを要求してもよく、トランザクション内でデータまたはサービスを提供してもよく、このように、その役割をクライアントからサーバに、またはその逆に変えることができる。また更に当然のことながら、本明細書で利用されているような用語「サーバ」は、一般に、セキュアソケットレイヤ/トランスポートレイヤセキュリティ(SSL/TLS)仮想専用ネットワーク(VPN)などのネットワークサービスを指してもよく、このネットワークサービスを通じて
、従来のサーバコンピュータ14は、リモートクライアントにデータとソフトウェアアプリケーションを提供する。
【0024】
クライアントコンピュータ12とサーバコンピュータ14は、ネットワーク接続24を介してインターネット22などの広域ネットワークに接続されている。クライアントコンピュータ12からの要求と、サーバコンピュータ14から要求されたデータとは、ネットワーク接続24を介して配信される。本発明の実施形態に基づき、サーバコンピュータ14は、ウェブサーバであり、クライアントコンピュータ12は、サーバコンピュータ14によって提供された資料を表示装置18上に視覚的に描画するマイクロソフト社のインターネットエクスプローラのようなウェブ閲覧アプリケーションを有してもよい。当然のことながら、図1に示したネットワークトポロジは、限定としてではなく、あくまで一例を示したに過ぎず、本発明の範囲を逸脱することなく、他の任意の種類のローカルエリアネットワークまたは広域エリアネットワークを容易に代わりとして使用してもよい。ネットワーク接続24とインターネット22に対して、周知の任意のデータ転送プロトコルを利用してもよいことが分かる。
【0025】
さらなる実施例では、第1サーバコンピュータ14aは、課金情報と資金移動機能を提供するエレクトロニックバンキングウェブサーバであってもよい。また付加的な使用法も想定され、その使用法では、第1サーバコンピュータ14aは、メールサーバ、オンラインショッピングサイト、またはマイクロソフト社の.NETアプリケーションをホスティングする。第1クライアントコンピュータ12aの使用者は、第1サーバコンピュータ14aにログオンして、クライアントウェブブラウザを用いて勘定残高を読み出し、資金を別の口座に移動させてもよい。この例示的状況では、情報セキュリティの問題の1つは、第1クライアントコンピュータ12aの使用者が、彼がそうであると主張する人本人であることを確保することを有する。たとえば第2クライアントコンピュータ12bの悪意のある使用者が、第1クライアントコンピュータ12aの使用者の認証情報のすべてを有しており、このようなアクセスが不正であると認識せずに第1サーバコンピュータ14aにログオンする虞がある。他の問題は、第1サーバコンピュータ14aが銀行の管理下にあり、第1クライアントコンピュータ12aの使用者がその銀行の顧客であることを確保することである。フィッシング攻撃で第2サーバコンピュータ14bが第1サーバコンピュータ14aになりすましている虞があるかもしれず、第1クライアントコンピュータ12aが、間違って第2サーバコンピュータ14bにアクセスしてしまう虞がある。更に第1クライアントコンピュータ12aと第1サーバコンピュータ14aの間のすべての正当なデータ転送は、第3クライアントコンピュータ12cと、第2クライアントコンピュータ12bと、第2サーバコンピュータ14bとを有する他のいかなるコンピュータによっても傍受されてはならない。
【0026】
上述したように、特定の第1サーバコンピュータ14aにアクセスする代わりに、クライアントコンピュータ12は、仮想専用ネットワーク(VPN)15にアクセスしてもよい。仮想専用ネットワーク15は、仮想専用ネットワークルータ17を介してインターネット22に接続され、クライアントコンピュータ12への遠隔アクセスを可能にしてもよい。仮想専用ネットワークルータ17は、外部のクライアントコンピュータ12がローカルネットワーク19上の仮想サーバコンピュータ14cにアクセスできる唯一の様態であることが分かる。上述したのと同じ安全上の懸念が仮想専用ネットワーク15にも同様に適用できるため、更に詳細に後述するように本発明の方法とシステムを実現する可能性があると想定される。
【0027】
図2のフローチャートを参照すると、図は、複数のクライアント証明書認証情報をキーストアファイル内に選択的に保存するためのさまざまなステップを示している。キーストアファイルは、鍵対のインメモリコレクションと、電子証明書と、他のクライアント証明
書認証情報とである。たとえばキーストアファイルは、機密性の高い暗号鍵情報を保持していてもよく、この暗号鍵情報は、不正アクセスを防ぐために保護フォーマット内に保存されている。通常、この種類のエントリ内に保存される認証情報は、対応する公開鍵に対する証明書チェーンをともなう秘密鍵である。秘密鍵と証明書チェーンは、自己認証を行うために所与のエンティティによって使用される。信頼できる証明書エントリは、他の当事者に属する単一の公開鍵証明書を有する。その単一の公開鍵証明書は、証明書内の公開鍵が証明書の対象者(所有者)によって確認された身元に帰属していることをキーストアファイル所有者が信じるため、信頼できる証明書と呼ばれる。証明書キーストアファイルに対する登録プロセスは、専用のクライアントソフトおよび/または手動の管理者起動プロセスに通常基づいている。更にこのプロセスは、クライアントコンピュータ12の使用者に任せてもよい。しかし、暗号化されたキーストアファイルのセキュリティは、多元的認証に基づいてもよい。
【0028】
特に、図2に開示したフローチャートの第1ステップS100は、クライアントコンピュータ12とサーバコンピュータ14の間の安全なデータ転送リンクを確立することを想定する。本発明の一実施形態では、クライアントコンピュータ12をサーバコンピュータ14に対して認証するのに成功した後にだけ、安全なデータ転送リンクが確立されることを想定する。サーバコンピュータ14に対してクライアントコンピュータ12を認証する過程は、多元的認証を有する。ここで図3を参照すると、クライアントの多元的認証過程を示している。サーバコンピュータ14を用いてクライアントコンピュータ12を登録して多元的認証過程を完了するのに成功することで、クライアントコンピュータ12が詐欺師またはハッカーではないことを確保するとともにクライアントコンピュータ12とサーバコンピュータ14の間のすべての通信を保護することによって、クライアントコンピュータ12とサーバコンピュータ14の間の安全なデータ転送リンクを確立してもよい。クライアントコンピュータ12の使用者26は、サーバコンピュータ14を用いて安全ではない接続を確立することによって、登録と認証過程を開始してもよい。たとえば使用者26は、クライアントコンピュータ12上のクライアントウェブブラウザ28つまりクライアントブラウザに、サーバコンピュータ14に関連するネットワークアドレスを入力してもよく、その時点でサーバコンピュータ14上のファイルまたはウェブページに対する要求が出される。それに呼応して、サーバコンピュータ14は、クライアントコンピュータ12の使用者26がサーバコンピュータ14にアクセスする権限を与えられているか否か判断するための情報を要求してもよい。
【0029】
クライアントコンピュータ12とサーバコンピュータ14の間で想定される相互作用は、クライアントコンピュータ12がクライアントウェブブラウザ28を介してサーバコンピュータ14にログオンすることを有してもよい。要求される情報は、たとえばユーザ名またはパスワードを有してもよい。その後、クライアントコンピュータ12上のクライアントウェブブラウザ28は、使用者26に、サーバコンピュータ14にアクセスするためのユーザ名および/またはパスワードの入力を要求する。その後、サーバコンピュータ14は、クライアントコンピュータ12の使用者26が提供した情報が正しいか否か判断してもよい。サーバコンピュータ14は、サーバソフトウェアアプリケーション34を介して企業データベース36に通信してもよく、この企業データベース36は、バックエンドデータストアの役割を果たしてもよい。企業データベース36は、使用者26が正しい身元確認情報を提供したか否か判断するために、使用者26のユーザ名とパスワードを有してもよい。本発明の一実施形態では、企業データベース36は、サーバコンピュータ14によってホストされている。他の実施形態では、企業データベース36は、ネットワーク接続24またはインターネット22を介してサーバソフトウェアアプリケーション34に通信するリモートサーバである。サーバコンピュータ14は、アクティブディレクトリサーバ、ライトウェイトディレクトリアクセスプロトコル(LDAP)サーバ、データベースサーバなどであってもよい。サーバソフトウェアアプリケーション34は、サーバコン
ピュータ14によってホストされている。サーバソフトウェアアプリケーション34は、クライアントウェブブラウザ28に通信すること、従ってクライアントコンピュータ12に通信することを想定している。
【0030】
クライアントコンピュータ12の認証に成功する前に、帯域外の様態を介してクライアントコンピュータ12とそれに関連する使用者26を認証できる。一実施形態に基づき、サーバソフトウェアアプリケーション34は、使用者26の管理下にある携帯電話または有線電話に使い捨てパスワードを配信するように電話サーバ38に通知する。あるいは、テキストメッセージサーバ40から電子メールまたはショートメッセージサービス(SMS)テキストメッセージを送信してもよい。音声認識、IPアドレス検証、およびその種の他のものなどの他の帯域外認証技術が想定される。使い捨てパスワードのエントリは、サーバコンピュータ14を通してサーバソフトウェアアプリケーション34を用いて処理してもよい。上述の帯域外認証の代わりに、または上述の帯域外認証に加えて、付加的な知識ベース認証方式を使用者26に提示してもよい。たとえば使用者26に、彼らの好みの色、彼らの母親の旧姓、および他の同様の質問を尋ねてもよい。サーバソフトウェアアプリケーション34を用いて後で読み出して使用するために、付加的な認証情報を企業データベース36内に保存してもよい。上述の手続きは、サーバコンピュータ14を用いてクライアントコンピュータ12上のクライアントウェブブラウザ28を「登録」して、このようなクライアントウェブブラウザ28を効果的に第2認証要素(「使用者が有している何か」)にすることが分かる。上述したように、使い捨てパスワードは、クライアントコンピュータ12とサーバコンピュータ14の間のデータ通信リンクとは無関係な、またはクライアントコンピュータ12とサーバコンピュータ14の間のデータ通信リンクに関して帯域外の、通信様態を介して配信される。電話サーバ38は、第三者、またはサーバコンピュータ14もしくは企業データベース36を管理する組織、が管理してもよい。サーバソフトウェアアプリケーション34は、クライアントコンピュータ12の使用者26に正式な応答を入力するように指示する。この線に沿って、電話サーバ38と、クライアントコンピュータ12に正式な応答を送信するステップとは、省略してもよいことが分かり、ここで「正式な応答」とは、知識ベースの質問に対する回答である。この回答は、その時以前に使用者26が決めたものと想定される。
【0031】
多元的認証過程を通して安全なデータ転送リンクを確立した後で、図2のフローチャートの次のステップS110は、複数のクライアント証明書認証情報を生成することを有する。複数のクライアント証明書認証情報は、公開鍵と秘密鍵とで構成された鍵対を有してもよい。またこのステップは、複数のクライアント証明書認証情報を保存するためのキーストアファイルを生成することを想定する。再び図3を参照すると、クライアント装置としてのクライアントコンピュータ12上のクライアントウェブブラウザ28は、安全なデータ転送リンクの確立に呼応してキーストアファイルと鍵対とを生成するプラグインソフトウェアコンポーネントとしてのプラグインコンポーネント30を有する。本発明の態様では、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34を用いた認証が成功した後に、プラグインコンポーネント30が鍵対を生成することを想定する。本発明の一実施形態では、プラグインコンポーネント30は、クライアントウェブブラウザ28へのアドオンとして実現されるブラウザ実行コードである。安全なデータ転送リンクを確立した後に、プラグインコンポーネント30をサーバコンピュータ14から送信してもよい。また安全なデータ転送リンクを確立する前に、プラグインコンポーネント30をクライアントウェブブラウザ28に送信してもよいことが想定される。更にプラグインコンポーネント30を有するブラウザ実行コードを、クライアントコンピュータ12上に、従ってサーバコンピュータ14とは無関係にクライアントウェブブラウザ28上に、インストールしてもよい。クライアントウェブブラウザ28のプラグインコンポーネント30は、クライアントコンピュータ12上で処理されて、1つのキーストアファイルまたは複数のキーストアファイルを生成する。またクライアントコンピュータ12上
でのプラグインコンポーネント30の処理によって、サーバコンピュータ14を用いたクライアントコンピュータ12の認証の成功に呼応して、鍵対を生成してもよい。
【0032】
一実施形態に基づき、プラグインコンポーネント30は、クライアントウェブブラウザ28を介してシングルユーザ26インタラクションを用いてインストールされるActive−Xコンポーネントである。しかし、クライアントウェブブラウザ28に付加してもよい他の実行可能なコンポーネントもまた本発明の範囲内にあるものと見なされる。他のこれらの実行可能なコンポーネントは、限定としてではなく一例として、マイクロソフトデバイス上の.NETスマートクライアント、任意のプラットフォーム上のモジラファイヤフォックス拡張機能、任意のプラットフォームと互換性があるフラッシュソフトウェア、任意のプラットフォームと互換性があるJAVA(登録商標)ソフトウェア、またはアップルソフトウェアコンポーネントを有してもよい。プラグインコンポーネント30は、クライアントコンピュータ12が選択したクライアントウェブブラウザ28と互換性がある。たとえばクライアントコンピュータ12上のクライアントウェブブラウザ28は、インターネットエクスプローラ、モジラファイヤフォックス、アップルサファリなどを有してもよい。プラグインコンポーネント30は、クライアントコンピュータ12上に組み込まれたクライアントウェブブラウザ28に関連するキーストアファイルを特定する能力を有していることが重要である。クライアントウェブブラウザ28に関連するキーストアファイルを特定した後に、公開鍵と秘密鍵とを有する鍵対をキーストアファイル内に保存してもよい。互いに異なるクライアントウェブブラウザ28は、プラグインコンポーネント30と理解されなければならずかつプラグインコンポーネント30と互換性がなければならない、特有の統合プログラムライブラリを有している。たとえばマイクロソフトアプリケーションプログラミングインタフェース(API)セットは、CAPICOMライブラリを利用する。モジラファイヤフォックス用のAPIセットは、ネットワークセキュリティサービス(NSS)暗号ライブラリを有してもよい。アップルプラットフォームは、CSMEライブラリを利用してもよい。認証機関(CA)が要求に署名してプラグインコンポーネント30によって生成された鍵対の正当性を立証できるようにする公開鍵暗号化標準(PKCS)要求を生成するために、ライブラリを利用する。
【0033】
再び図2のフローチャートを参照すると、方法は、証明書要求を生成するステップS120を続行してもよい。ここで図4を参照すると、クライアントコンピュータ12上で証明書要求42を生成する。クライアントウェブブラウザ28のプラグインコンポーネント30を利用してクライアントコンピュータ12上で証明書要求42を生成することを想定する。証明書要求42は、プラグインコンポーネント30によって生成された鍵対からの公開鍵を有する。本発明の一態様では、証明書要求42がPKCS#10であることを想定する。証明書要求42は、証明要求情報と、署名アルゴリズム識別子と、証明要求情報上の電子署名と、の3つの部分で構成されている。証明要求情報は、クライアントの名前と、クライアントの公開鍵と、クライアントコンピュータ12についての他の情報を提供する属性の集合と、から構成されている。それによって証明要求が構成されるプロセスは、下記のステップを有する。(1)証明を要求するクライアントコンピュータ12によって、対象者の名前を有するCertificationRequestlnfo値と、対象者の公開鍵と、必要に応じて属性の集合と、を構成する。(2)対象クライアントの秘密鍵を用いてCertificationRequestlnfo値に署名する。(3)CertificationRequestlnfo値と、署名アルゴリズム識別子と、クライアントの署名とをCertificationRequest値にいっしょにまとめる。認証機関は、要求しているクライアントを認証してクライアントの署名を検証し、要求が正当であるとき、名前と公開鍵と、発行者名と、通し番号と署名アルゴリズムとからの認証機関の選択と、から、X.509または他の電子証明書を構成することによって、要求を実現させる。
【0034】
その後、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34に、証明書要求42を送信してもよい。他の実施形態では、証明書要求42を証明書サーバ44に直接送信してもよい。また証明書要求42は、クライアントウェブブラウザ28を介して配信されることを想定する。証明書要求42は、PKCS#10要求の形であってもよい。本発明の態様では、PKCS#10要求が、X.509証明書要求42であることを想定する。本発明の一実施形態では、証明書サーバ44は、認証機関である。証明書サーバ44は、証明書要求42に電子署名するように構成されている。本発明の他の実施形態では、証明書サーバ44は、クライアントコンピュータ12とサーバコンピュータ14とから遠く離れたサーバである。本発明の他の実施形態では、証明書サーバ44は、サーバコンピュータ14でホストされていることを想定する。
【0035】
本発明の他の実施形態に基づき、サーバソフトウェアアプリケーション34は、保護されたWSE3.0ウェブサービスコールを介して証明書サーバ44に通信する。図4に示す実施形態に基づき、証明書サーバ44は、認証機関であり、サーバコンピュータ14と企業データベース36とを管理する組織から離れた正当な第三者プロバイダの制御範囲内にあると考えられている。図示されていない他の構成では、証明書サーバ44と、テキストメッセージサーバ40と、電話サーバ38とは、サーバコンピュータ14を管理しているのと同じ組織によって管理され維持されている。更に他の構成では、ウェブサービスに対する安全なアクセスを可能にしている。理解されるように、用語ウェブサービスは、コンピュータ同士の相互作用をサポートする標準化システムを指している。この場合、クライアントコンピュータ12は、サーバコンピュータ14を用いて認証するためにプラグインコンポーネント30を利用する。このようにして生成されたクライアント証明書48は、W3クライアントを認証するために利用され、クライアント証明書48についての情報を利用してウェブサービスを用いて認証する
証明書サーバ44において証明書要求42を受信すると、次のステップS130は、図2のフローチャートに示すように、電子証明書メッセージを生成することを要求してもよい。証明書サーバ44は、電子証明書メッセージを生成するように構成されている。証明書サーバ44で生成された電子証明書メッセージは、元のPKCS#10署名要求に対するPKCS#7応答の形で送信され、この元のPKCS#10署名要求は、クライアントコンピュータ12によって要求され、サーバコンピュータ14上にホストされたサーバソフトウェアアプリケーション34に送信されたものである。本発明の一実施形態のPKCS#7応答は、X.509証明書要求応答であってもよい。証明書要求応答は、署名された証明書要求としての署名証明書要求46である。証明書サーバ44は、証明書要求42を処理して、署名証明書要求46を生成するように構成されている。証明書要求42の署名の後に、電子証明書メッセージは、署名証明書要求46の形でサーバソフトウェアアプリケーション34に送信される。本発明の他の実施形態では、署名証明書要求46は、証明書サーバ44から直接クライアントコンピュータ12に送信される。この点において、クライアントウェブブラウザ28は、署名証明書要求46を受信するように構成されている。
【0036】
PKCS#7は、公開鍵基盤に基づきメッセージに署名する、および/または、メッセージを暗号化するために使用される。またPKCS#7は、PKCS#10メッセージに呼応して証明書を配布するために使用してもよい。それぞれ署名者のために、特定の署名者向けのメッセージダイジェストアルゴリズムを用いて、内容についてのメッセージダイジェストを計算する。署名者が内容以外の任意の情報を認証しているとき、内容と他の情報のメッセージダイジェストが署名者のメッセージダイジェストアルゴリズムを用いて要約され、その結果が「メッセージダイジェスト」になる。それぞれ署名者のために、メッセージダイジェストと関連情報を署名者の秘密鍵を用いて暗号化する。それぞれ署名者のために、暗号化されたメッセージダイジェストと他の特定の署名者向けの情報とをSignerlnfo値にまとめる。このステップでは、それぞれ署名者に対する証明書と証明
書取消リストと、どの署名者にも対応しない証明書と証明書取消リストとを収集する。すべての署名者に対するメッセージダイジェストアルゴリズムと、すべての署名者に対するSignerlnfo値とを、内容といっしょにSignedData値にまとめる。受け手は、署名者の公開鍵を用いてそれぞれ署名者に対する暗号化されたメッセージダイジェストを解読し、その後、復元されたメッセージダイジェストと独自に計算したメッセージダイジェストとを比較することによって、署名を検証する。署名者の公開鍵は、署名者情報に含まれる証明書内に含まれているか、または公開鍵に対する証明書を一意的に特定する発行者名と、特定の発行者向けの通し番号とによって参照される。
【0037】
再び図2のフローチャートを参照すると、フローチャートは、複数のクライアント証明書認証情報を保存するステップS140で終わる。署名証明書要求46を、クライアントコンピュータ12上でクライアントウェブブラウザ28を介して受信する。一実施形態では、プラグインコンポーネント30が、クライアントウェブブラウザ28を介して受信される署名証明書要求46を処理するように構成されていることを想定する。プラグインコンポーネント30が、署名証明書要求46を処理することに呼応して、クライアントコンピュータ12は、クライアント証明書48を生成する。本発明の一実施形態では、クライアントコンピュータ12上でクライアント証明書48を生成し、クライアント証明書48を適切なキーストアファイル内に選択的に保存する。キーストアファイル内に複数のクライアント証明書認証情報を保存するのに使用者26入力を必要としない。本発明の態様では、プラグインコンポーネント30が、所要のキーストアファイル内に複数のクライアント証明書認証情報を自動的に保存するように構成されていることを想定する。プラグインコンポーネント30は、1つのキーストアファイル内に、または複数のキーストアファイル内に、複数のクライアント証明書認証情報を選択的に保存してもよい。プラグインコンポーネント30は、特定のキーストアファイル内に、または必要に応じて複数のキーストアファイル内に、複数のクライアント証明書認証情報を保存できる。
【0038】
サーバコンピュータ14に対するクライアントコンピュータ12の単一認証では、複数のキーストアファイル内に鍵対の共通のセットを登録してもよい。これは、使用者26がキーストアファイルをエクスポートしなければならず、その後、別のサーバ内に複数のクライアント証明書認証情報をインポートしなければならないという要件を回避する。この機能の向上は、互いに異なるプログラムサービスを利用して同じ暗号証明書認証情報を取り出すアプリケーションにとって重要である。クライアントウェブブラウザ28のプラグインコンポーネント30は、最終の使用者26に鍵対または他の証明書認証情報を手動でインポートとエクスポートすることを要求しない。またプラグインコンポーネント30を有するクライアントウェブブラウザ28は、サーバソフトウェアアプリケーション34と証明書サーバ44に通信しており、それによって、クライアントコンピュータ12の認証後には、適切なキーストアファイル内に、または複数のキーストアファイル内に、複数のクライアント証明書認証情報を保存するのに使用者26も手入力作業も必要としないようになっていることを想定する。
【0039】
本発明の一実施形態では、暗号化されたキーストアファイルは、暗号鍵と証明書とに対する保存場所である。暗号化されたキーストアファイルは、それぞれ互いに異なるインタフェースを実現する互いに異なるエントリを管理してもよい。プラグインコンポーネント30が、複数のクライアント証明書認証情報を、暗号化されたキーストアファイルの方向に向かって押すとき、システム内で利用可能な特定のキーストアファイルの種類の最も好ましい実施態様を戻すことによって達成されると想定される。
【0040】
本発明の他の態様では、暗号化されたキーストアファイルの中に複数のクライアント証明書認証情報を保存するためにデフォルトインプリメンテーションを利用することを想定する。クライアントウェブブラウザ28のプラグインコンポーネント30は、クライアン
トコンピュータ12上に空いている暗号化されたキーストアファイルを生成するように構成されている。あるいは、空いている暗号化されたキーストアファイルを、クライアントウェブブラウザ28のメモリ内に生成してもよい。
【0041】
本明細書に示した詳細は、あくまで本発明の実施形態についての説明に役立つ議論を行うために、一例として示したに過ぎず、本発明の原理と概念的見地についての最も有用でかつ容易に理解される説明と考えられるものを提供するために提示している。この点について、本発明の基本的な理解のために必要である更なる詳細を示す試みは行っておらず、図面と合わせて説明を読めば、本発明の幾つかの形態を実際問題としてどのように具体化すればよいかについて当業者に明らかになる。
【特許請求の範囲】
【請求項1】
クライアントウェブブラウザ(28)を介して、キーストアファイルに複数のクライアント証明書認証情報を保存する認証保存方法であって、前記認証保存方法は、
前記クライアントウェブブラウザ(28)を介してクライアントコンピュータ(12)とサーバコンピュータ(14)の間の安全なデータ転送リンクを確立するリンク確立ステップ(S100)であって、前記クライアントウェブブラウザ(28)は、前記リンク確立ステップのプロセスの間に前記キーストアファイルと鍵対とを生成するプラグインソフトウェアコンポーネント(30)を有することと;
前記クライアントコンピュータ(12)上で、前記鍵対からの公開鍵を有する証明書要求を生成する要求生成ステップ(S120)と;
前記証明書要求に署名するように構成される証明書サーバ(44)に、前記証明書要求を送信する要求送信ステップと;
署名された証明書要求である署名証明書要求(46)を、前記クライアントウェブブラウザ(28)上で受信する要求受信ステップと;
前記署名証明書要求(46)に関連する複数の前記クライアント証明書認証情報を、前記キーストアファイル内に保存する保存ステップ(S140)と
を有することを特徴とする、認証保存方法。
【請求項2】
前記クライアント証明書認証情報は、電子証明書、秘密鍵、公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する、
請求項1記載の認証保存方法。
【請求項3】
前記リンク確立ステップは、前記クライアントウェブブラウザ(28)を介して前記サーバコンピュータ(14)にクライアント身元確認情報を提供して、前記サーバコンピュータ(14)を用いた多元的認証過程の完了に成功するように使用者に要求する、
請求項1記載の認証保存方法。
【請求項4】
前記プラグインソフトウェアコンポーネント(30)は、前記サーバコンピュータ(14)から前記クライアントウェブブラウザ(28)に送信されたブラウザ実行コードである、
請求項1記載の認証保存方法。
【請求項5】
前記サーバコンピュータ(14)は、セキュアソケットレイヤの仮想専用ネットワークである、
請求項1記載の認証保存方法。
【請求項6】
前記サーバコンピュータ(14)は、前記クライアントコンピュータ(12)に通信するサーバソフトウェアアプリケーションをホストする、
請求項1記載の認証保存方法。
【請求項7】
前記サーバソフトウェアアプリケーションは、前記証明書要求または前記署名証明書要求(46)を、送受信するように構成されている、
請求項6記載の認証保存方法。
【請求項8】
前記プラグインソフトウェアコンポーネント(30)は、複数のキーストアファイルを生成するように構成されている、
請求項1記載の認証保存方法。
【請求項9】
前記証明書サーバ(44)は、前記クライアントコンピュータ(12)と前記サーバコ
ンピュータ(14)とから遠く離れた認証機関である、
請求項1記載の認証保存方法。
【請求項10】
前記プラグインソフトウェアコンポーネント(30)は、前記署名証明書要求(46)に関連する複数の前記クライアント証明書認証情報を、複数の前記キーストアファイル内に選択的に保存するように構成されている、
請求項8記載の認証保存方法。
【請求項11】
前記キーストアファイルは、
マイクロソフト暗号APIキーストアと;
JAVA(登録商標)キーストアと;
アップルキーストアとNSSキーストアと
からなる群から選択される、
請求項1記載の認証保存方法。
【請求項12】
前記プラグインソフトウェアコンポーネント(30)は、前記クライアントウェブブラウザ(28)を確認して、前記クライアントウェブブラウザ(28)の符号化ライブラリに関連する前記キーストアファイル内に複数の前記クライアント証明書認証情報を保存するように構成されている、
請求項1記載の認証保存方法。
【請求項13】
前記データ転送リンクを達成する前に、前記クライアントコンピュータ(12)が正当な身元と、前記サーバコンピュータ(14)との接続とを確立することに呼応して、前記キーストアファイルと前記鍵対とは、発生する、
請求項1記載の認証保存方法。
【請求項14】
複数のクライアント証明書認証情報を保存する認証保存システムであって、前記認証保存システムは、
クライアントコンピュータ(12)とサーバコンピュータ(14)の間の安全なデータ転送リンクを確立するように構成された、前記クライアントコンピュータ(12)上のクライアントウェブブラウザ(28)と;
前記クライアントウェブブラウザ(28)によって生成される複数のキーストアファイルと;
前記クライアントコンピュータ(12)によって生成された証明書要求を受信し、前記証明書要求に署名するように構成された証明書サーバ(44)と;
鍵対を生成するために前記クライアントウェブブラウザ(28)によって処理される予定のプラグインソフトウェアコンポーネント(30)であって、前記プラグインソフトウェアコンポーネント(30)は、複数の前記キーストアファイルからの少なくとも1つのキーストアファイル内に、複数の前記クライアント証明書認証情報を選択的に保存するように構成されていることと
を有することを特徴とする、認証保存システム。
【請求項15】
複数の前記クライアント証明書認証情報は、電子証明書、クライアント秘密鍵、クライアント公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する、
請求項14記載の認証保存システム。
【請求項16】
前記データ転送リンクの確立は、前記サーバコンピュータ(14)を用いた多元的認証過程の完了に成功するように前記クライアントコンピュータ(12)に要求する、
請求項14記載の認証保存システム。
【請求項17】
前記証明書サーバ(44)は、前記クライアントコンピュータ(12)と前記サーバコンピュータ(14)とから遠く離れた認証機関である、
請求項14記載の認証保存システム。
【請求項18】
署名された証明書要求としての署名証明書要求(46)の受信に呼応して、前記クライアントウェブブラウザ(28)は、電子証明書を生成する、
請求項14記載の認証保存システム。
【請求項19】
前記プラグインソフトウェアコンポーネント(30)は、前記サーバコンピュータ(14)から前記クライアントウェブブラウザ(28)に送信されたブラウザ実行コードである、
請求項14記載の認証保存システム。
【請求項1】
クライアントウェブブラウザ(28)を介して、キーストアファイルに複数のクライアント証明書認証情報を保存する認証保存方法であって、前記認証保存方法は、
前記クライアントウェブブラウザ(28)を介してクライアントコンピュータ(12)とサーバコンピュータ(14)の間の安全なデータ転送リンクを確立するリンク確立ステップ(S100)であって、前記クライアントウェブブラウザ(28)は、前記リンク確立ステップのプロセスの間に前記キーストアファイルと鍵対とを生成するプラグインソフトウェアコンポーネント(30)を有することと;
前記クライアントコンピュータ(12)上で、前記鍵対からの公開鍵を有する証明書要求を生成する要求生成ステップ(S120)と;
前記証明書要求に署名するように構成される証明書サーバ(44)に、前記証明書要求を送信する要求送信ステップと;
署名された証明書要求である署名証明書要求(46)を、前記クライアントウェブブラウザ(28)上で受信する要求受信ステップと;
前記署名証明書要求(46)に関連する複数の前記クライアント証明書認証情報を、前記キーストアファイル内に保存する保存ステップ(S140)と
を有することを特徴とする、認証保存方法。
【請求項2】
前記クライアント証明書認証情報は、電子証明書、秘密鍵、公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する、
請求項1記載の認証保存方法。
【請求項3】
前記リンク確立ステップは、前記クライアントウェブブラウザ(28)を介して前記サーバコンピュータ(14)にクライアント身元確認情報を提供して、前記サーバコンピュータ(14)を用いた多元的認証過程の完了に成功するように使用者に要求する、
請求項1記載の認証保存方法。
【請求項4】
前記プラグインソフトウェアコンポーネント(30)は、前記サーバコンピュータ(14)から前記クライアントウェブブラウザ(28)に送信されたブラウザ実行コードである、
請求項1記載の認証保存方法。
【請求項5】
前記サーバコンピュータ(14)は、セキュアソケットレイヤの仮想専用ネットワークである、
請求項1記載の認証保存方法。
【請求項6】
前記サーバコンピュータ(14)は、前記クライアントコンピュータ(12)に通信するサーバソフトウェアアプリケーションをホストする、
請求項1記載の認証保存方法。
【請求項7】
前記サーバソフトウェアアプリケーションは、前記証明書要求または前記署名証明書要求(46)を、送受信するように構成されている、
請求項6記載の認証保存方法。
【請求項8】
前記プラグインソフトウェアコンポーネント(30)は、複数のキーストアファイルを生成するように構成されている、
請求項1記載の認証保存方法。
【請求項9】
前記証明書サーバ(44)は、前記クライアントコンピュータ(12)と前記サーバコ
ンピュータ(14)とから遠く離れた認証機関である、
請求項1記載の認証保存方法。
【請求項10】
前記プラグインソフトウェアコンポーネント(30)は、前記署名証明書要求(46)に関連する複数の前記クライアント証明書認証情報を、複数の前記キーストアファイル内に選択的に保存するように構成されている、
請求項8記載の認証保存方法。
【請求項11】
前記キーストアファイルは、
マイクロソフト暗号APIキーストアと;
JAVA(登録商標)キーストアと;
アップルキーストアとNSSキーストアと
からなる群から選択される、
請求項1記載の認証保存方法。
【請求項12】
前記プラグインソフトウェアコンポーネント(30)は、前記クライアントウェブブラウザ(28)を確認して、前記クライアントウェブブラウザ(28)の符号化ライブラリに関連する前記キーストアファイル内に複数の前記クライアント証明書認証情報を保存するように構成されている、
請求項1記載の認証保存方法。
【請求項13】
前記データ転送リンクを達成する前に、前記クライアントコンピュータ(12)が正当な身元と、前記サーバコンピュータ(14)との接続とを確立することに呼応して、前記キーストアファイルと前記鍵対とは、発生する、
請求項1記載の認証保存方法。
【請求項14】
複数のクライアント証明書認証情報を保存する認証保存システムであって、前記認証保存システムは、
クライアントコンピュータ(12)とサーバコンピュータ(14)の間の安全なデータ転送リンクを確立するように構成された、前記クライアントコンピュータ(12)上のクライアントウェブブラウザ(28)と;
前記クライアントウェブブラウザ(28)によって生成される複数のキーストアファイルと;
前記クライアントコンピュータ(12)によって生成された証明書要求を受信し、前記証明書要求に署名するように構成された証明書サーバ(44)と;
鍵対を生成するために前記クライアントウェブブラウザ(28)によって処理される予定のプラグインソフトウェアコンポーネント(30)であって、前記プラグインソフトウェアコンポーネント(30)は、複数の前記キーストアファイルからの少なくとも1つのキーストアファイル内に、複数の前記クライアント証明書認証情報を選択的に保存するように構成されていることと
を有することを特徴とする、認証保存システム。
【請求項15】
複数の前記クライアント証明書認証情報は、電子証明書、クライアント秘密鍵、クライアント公開鍵、証明書チェーン、および複数のクライアント身元確認情報を有する、
請求項14記載の認証保存システム。
【請求項16】
前記データ転送リンクの確立は、前記サーバコンピュータ(14)を用いた多元的認証過程の完了に成功するように前記クライアントコンピュータ(12)に要求する、
請求項14記載の認証保存システム。
【請求項17】
前記証明書サーバ(44)は、前記クライアントコンピュータ(12)と前記サーバコンピュータ(14)とから遠く離れた認証機関である、
請求項14記載の認証保存システム。
【請求項18】
署名された証明書要求としての署名証明書要求(46)の受信に呼応して、前記クライアントウェブブラウザ(28)は、電子証明書を生成する、
請求項14記載の認証保存システム。
【請求項19】
前記プラグインソフトウェアコンポーネント(30)は、前記サーバコンピュータ(14)から前記クライアントウェブブラウザ(28)に送信されたブラウザ実行コードである、
請求項14記載の認証保存システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2011−515961(P2011−515961A)
【公表日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2011−500972(P2011−500972)
【出願日】平成21年3月20日(2009.3.20)
【国際出願番号】PCT/US2009/037770
【国際公開番号】WO2009/117638
【国際公開日】平成21年9月24日(2009.9.24)
【出願人】(510252586)セキュアオース コーポレイション (1)
【氏名又は名称原語表記】SECUREAUTH CORPORATION
【Fターム(参考)】
【公表日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願日】平成21年3月20日(2009.3.20)
【国際出願番号】PCT/US2009/037770
【国際公開番号】WO2009/117638
【国際公開日】平成21年9月24日(2009.9.24)
【出願人】(510252586)セキュアオース コーポレイション (1)
【氏名又は名称原語表記】SECUREAUTH CORPORATION
【Fターム(参考)】
[ Back to top ]