サービス管理システム及び方法
【課題】正規の登録利用者に対して適正なサービス提供が行われるようにしたサービス管理システム及び方法を提供する。
【解決手段】ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、管理装置においてサービス装置について秘密鍵及び公開鍵を予め作成して保持し、サービス装置において暗号化された秘密鍵を自身のパスワードによって復号し、端末装置において第2認証情報送信手段からの暗号化された秘密鍵を自身のパスワードによって復号し、各々復号された秘密鍵を少なくとも用いて端末装置とサービス装置との間で通信を可能にする。
【解決手段】ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、管理装置においてサービス装置について秘密鍵及び公開鍵を予め作成して保持し、サービス装置において暗号化された秘密鍵を自身のパスワードによって復号し、端末装置において第2認証情報送信手段からの暗号化された秘密鍵を自身のパスワードによって復号し、各々復号された秘密鍵を少なくとも用いて端末装置とサービス装置との間で通信を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク内においてサービス装置からサービスの提供を受ける端末装置の顧客及び顧客毎のサービス内容を管理するサービス管理システムに関する。
【背景技術】
【0002】
従来、ネットワーク内において端末装置を利用してサービスの提供を受けることを望む顧客(グループを含む)を登録してその登録顧客に対して予め定められたサービス提供をするように管理を行うサービス管理システムが知られている。このサービス管理システムの機能としては、ネットワークを介する認証情報の生成発行機能、その認証情報を用いたサービスの処理実行の許否処理機能、サービスの起動方法に関するものであった。
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記のサービス管理システムにおいては、登録されている顧客がサービスの処理実行の許否情報を個人権限によりネットワークを介して変更することが不可能である。
【0004】
顧客及びサービスの秘密鍵は管理装置が一括管理を行い、顧客及びサービスに秘密鍵を暗号化してネットワーク上を送信する。この動作は利用者が秘密鍵を暗号化したパスワードを記憶しておくだけで良いと言う利点が存在する。しかしながら、ICカードなどの秘密鍵を容易に保持できるデバイスを利用したい場合には、秘密鍵管理装置に預けることや暗号化されて秘密鍵がネットワーク上を流れることはセキュリティ上問題である。
【0005】
また、登録されている顧客(グループを含む)が削除された場合、管理装置は該当顧客を削除するだけでなく、サービスの処理実行の許否情報も変更する。そのため、端末装置が管理装置から証明書を獲得する場合には、最新の情報になるべきである。しかしながら、既に利用装置が保持しているサービスの処理実行を許可する証明書は破棄されない。すなわち、不正にサービスの処理が実行される可能性がある。
【0006】
更に、サービスの処理実行の許否情報に新たな顧客が追加された場合には、サービスの処理実行が可能な証明書が発行される。その証明書では他のサービスの処理が実行されてはならないため、その証明書は認証装置の連鎖を持たない。すなわち、利用制限は設けず、利用している利用者のみ確認したい場合でも必ず管理装置に登録しなければならない。
【0007】
そこで、本発明の目的は、正規の登録利用者に対して適正なサービス提供が行われるようにしたサービス管理システム及び方法を提供することである。
【課題を解決するための手段】
【0008】
本発明のサービス管理システムは、ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持する発行保存手段と、前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信する手段と、前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信する第1認証情報送信手段と、前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号する第1復号手段と、前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信する手段と、前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信する第2認証情報送信手段と、前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号する第2復号手段と、前記第1及び第2復号手段によって各々復号された秘密鍵を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にする手段と、を備えたことを特徴としている。
【0009】
本発明のサービス管理方法は、ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理方法であって、前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持し、前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信し、前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信し、前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号し、前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信し、前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信し、前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号し、その復号された秘密鍵各々を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にすることを特徴としている。
【発明の効果】
【0010】
本発明によれば、正規の登録利用者に対して適正なサービス提供を行うことができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施例を図面を参照しつつ詳細に説明する。
【0012】
図1は本発明によるサービス管理システムを示している。サービス管理システムは、認証装置10と、管理装置20と、サービス装置40と、複数の利用者用の端末装置50とを含み、認証装置10を除く各装置20,40,50はネットワーク回線70を介して互いに接続されている。認証装置10は管理装置20とネットワーク回線70とは独立した専用回線60を介して接続されている。なお、ここでいう接続はアクセス可能な接続状態であれば良い。
【0013】
認証装置10は、管理装置20の公開鍵を認証する。この認証装置10は全てのサービスの利用制限ではなく、利用者を特定したいサービスが存在しない場合には必須ではない。
【0014】
管理装置20はサービスの処理許否の管理と起動装置30、サービス装置40、端末装置50が利用する認証情報を発行する機能を備える。
【0015】
サービス装置40は管理装置20が発行する認証情報を利用し、全ての端末装置50のうちの特定の端末装置のみを対象としてサービスを提供する装置である。
【0016】
利用者用の端末装置50各々は、管理装置20が発行する認証情報を利用し、管理装置20に接続してサービス装置に対してサービスの処理を依頼する。
【0017】
管理装置20が生成する認証情報は利用者に対する場合とサービスに対する場合とで異なる内容となっている。認証情報の内容としては、(1)利用者或いはサービスの名称、(2)別名情報リスト、(3)認証装置10の証明書群、(4)管理装置20の証明書、(5)管理装置20が発行した利用者或いはサービスの証明書、(6)利用者或いはサービスのパスワードにより暗号化された秘密鍵(ICカードの場合は不要)、(7)下位のサービスレベルの利用者リスト(サービスの場合のみ)がある。
【0018】
ICカードでない場合、認証情報には暗号化された秘密鍵が含まれる。その秘密鍵はパスワードで暗号化されており、パスワードが入力されると復号化される。復号化された秘密鍵はメモリ上にのみ存在しており、その復号化された秘密鍵をファイルシステムやネットワークにできない構造がとられる。
【0019】
管理装置20は認証装置10によって公開鍵を署名してもらった証明書と、認証装置の証明書群を保持する。認証装置の証明書群とは、証明書を発行した認証装置の証明書と、その認証装置を証明した認証装置の証明書という連鎖であり、最後は認証装置の自己証明書が終端となる。
【0020】
また、管理装置20は利用者、グループ、サービス、サービスレベルとそれらの関係を管理する機能を持つ。
【0021】
利用者は起動装置或いは端末装置を利用する。管理装置20は利用者のパスワードによって暗号化された秘密鍵(ICカード利用時は不要)と公開鍵を管理している。
【0022】
グループは利用者又はグループの集合である。グループは情報のみで秘密鍵を保有しない。
【0023】
サービスはサービス装置で起動されて利用者に提供される。管理装置20はサービスのパスワードによって暗号化されて秘密鍵と公開鍵とを管理している。例えば、サービスには、企業のプロジェクト単位の日程管理の処理がある。
【0024】
サービスレベルはサービスに付随する情報であり、1つのサービスに複数のレベルを付随させることが可能である。サービスレベルは1つのサービスで接続の意味を変えたい場合に設定する。サービスが例えば、上記したように企業のプロジェクト単位の日程管理であれば、主線表の変更は該当プロジェクト管理者のみが可能であり、進捗状況は個々の担当者が変更可能である場合、主線表を変更可能な管理者のレベルと進捗を設定できる担当者のレベルが存在することになる。
【0025】
管理装置20は(1)利用者、グループを管理するユーザ管理情報、(2)グループプロパティ管理情報、(3)サービス、サービスレベルを管理するサービス管理情報、(4)サービスプロパティ管理情報、(5)サービスレベルプロパティ管理情報の5つの管理情報を内部メモリに保存してサービス提供の管理を行う。
【0026】
図2は管理装置20によって管理される利用者とグループの関係を表現したユーザ管理情報の例である。その構成要素は利用者、グループとその別名のみであり、ツリー構造により管理される。この管理情報では、グループは下位に利用者、グループ(別名を含む)を保持することは可能であるが、利用者の下位には利用者、グループ(別名を含む)を保持することは不可能であり、更に、利用者或いはグループの別名の下位には利用者、グループ(別名を含む)を保持することも不可能である。
【0027】
また、この管理情報では、グループの下位に存在する利用者やグループ(別名を含む)がメンバとなる。グループの配置について具体的に説明すると、図2に示すように、グループAの直下には利用者Al、利用者A2、グループB、利用者X(別名)、グループC(別名)の5つが存在する。しかしながら、グループAのメンバはこの5つだけではなく、メンバのうちの利用者又はグループの下位の利用者及びグループも含む。すなわち、グループBの下位には利用者Blが存在し、この利用者BlもグループAのメンバとなる。更に、グループC(別名)はグループCの別名であるので、グループCのメンバである利用者Cl及び利用者X(別名)もグループAのメンバとなる。
【0028】
よって、グループAのメンバは利用者Al、利用者A2、グループB、利用者Bl、2つの利用者X(別名)、グループC(別名)、利用者Cとなる。
【0029】
グループAのメンバには、グループA直下の利用者X(別名)とグループC直下の利用者X(別名)が含まれるが、実際には利用者Xであり同一利用者を示している。
【0030】
図3は管理装置20がグループ管理情報によって管理するグループの状態を例示している。図3の例では、グループAの管理者が利用者Xであることが表現されている。グループの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合には、その指定グループのメンバ全てがグループの管理者の権限を持つ。グループの管理者はそのグループの直下の利用者、グループ(別名を含む)を追加或いは削除することができる権限を有する。
【0031】
図4は管理装置20が管理するサービスとサービスレベルとの関係をツリー構造で示している。その構成要素はサービス及びサービスレベルのみである。この管理情報では、サービスの下位にはサービスレベルのみを保持することが可能であるが、サービスレベルの下位にはいかなるノードも保持することは不可能である。
【0032】
次に、サービス管理情報の具体例を図4を用いて説明する。ここでは、企業におけるプロジェクトにおける日程管理を行なう処理が行われるとする。日程管理はサービスの起動、終了、管理作業、プロジェクトメンバによる進捗報告と様々なアクセス制御が必要な処理の集合体である。このようなサービス管理を実行する方法がサービス管理情報である。
【0033】
図4におけるサービスAは処理を束ねる代表名であり、日程管理に相当する。サービスA下位のサービスレベル起動はサービスを起動する処理であり、日程管理のサービスの起動に相当する。
【0034】
サービスレベルA1及びサービスレベルA2はサービス固有の処理レベルであり、サービスの終了、管理作業、プロジェクトメンバによる進捗報告等の処理がサービスレベルA1及びサービスレベルA2には割り当てられる。すなわち、アクセス(利用)するメンバを変更する必要が存在する数だけサービスレベルが必要となる。
【0035】
図5は管理装置20が管理するサービスの状態を示すサービスプロパティ管理情報例である。
【0036】
図5の場合には、図4のサービスAの管理者がグループCに属することが表現されている。サービスの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合、そのグループのメンバ全てがサービスの管理者の権限を持つ。サービスの管理者はそのサービスの直下にサービスレベルの追加或いは削除することができる権限を持つ。
【0037】
図6は管理装置20が管理するサービスレベルの状態を示すサービスレベルプロパティ管理情報例である。
【0038】
図6のの場合には、図4のサービスレベルA1の管理者が図2に示した利用者Xであることが表現されている。サービスレベルの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合そのグループのメンバすべてがサービスレベルの管理者の権限を持つ。サービスレベルの管理者はそのサービスレベルの利用者リストに利用者或いはグループ或いはサービスレベルを指定することができる権限を持つ。
【0039】
また、サービスレベルにはそのサービスレベルに対してアクセスできる利用者、グループ、サービスレベルをA1,C,B1の如く指定することができる。グループが指定された場合はそのグループのメンバ全てがアクセスできることを示す。図6の場合には、グループCが登録されているので、図2のグループCのメンバである利用者C1、及び利用者X(別名)がアクセスできることになる。
【0040】
次に、かかるサービス管理システムで最初に起動する必要がある管理装置20の初期起動動作について図7を参照しつつ説明する。
【0041】
ステップS100では管理装置20の管理者(Admin)の公開鍵暗号システムの鍵ペア(公開鍵及び秘密鍵)が作成される。
【0042】
ステップS110ではその鍵ペアの公開鍵が認証装置10に供給され、認証装置10に対して証明書の作成が依頼される。そして、管理装置20には認証装置10の証明書と認証装置10が作成した管理者の証明書が格納される。
【0043】
ステップS120では管理装置20に管理者(Admin)が利用者として登録される。この管理者(Admin)は消去することができない利用者である。管理装置20に管理者(Admin)が利用者として登録されることにより、ネットワーク回線70からの管理運営が可能となる。
【0044】
ステップS130ではネットワーク回線70を介したアクセスができるように管理装置20のポートがオープン(開)状態とされる。
【0045】
オープン状態においては、その管理装置20に登録されている利用者が端末装置50を利用してネットワーク回線70経由で管理装置20にアクセスし、その権限内において管理装置20における設定を自由に変更することができる。
【0046】
その場合には、端末装置50を利用している利用者を管理装置20では認識する必要がある。その認識方法について次に説明する。
【0047】
図8は管理装置20が接続している端末装置50の利用者を認識するためのシーケンスである。
【0048】
ステップS200では利用者の端末装置50から管理装置20に対して認証情報要求が発せられる。管理装置20には端末装置50を介してアクセス可能な利用者の名称が登録保存されている。
【0049】
ステップS210では管理装置20において認証情報要求によって指定された利用者の名称が管理装置20に登録された利用者であるかチェックが行われ、登録された利用者である場合には認証情報が管理装置20から端末装置50に送信される。
【0050】
ステップS220は利用者がICカードを保有しない場合にのみ実行される。ICカードを保有しない場合にステップS220では、ステップS210の実行によって送信された認証情報を端末装置50が受信したならば、端末装置50においてはその認証情報には利用者のパスワードで暗号化された秘密鍵が保持されているので、その暗号を解読することが実行される。
【0051】
ステップS230では接続要求が端末装置50から管理装置20に対して送信される。この接続要求には特に付帯情報はない。しかしながら、このステップS230より以降はステップS220の暗号を解読によりSSLやIPsecなどの暗号回線上での通信となる。
【0052】
接続要求を受信した管理装置20はステップS240で乱数値を生成して端末装置50に送り返す。
【0053】
端末装置50は乱数値を受け取ると、ステップS250ではその乱数値を利用者の秘密鍵で暗号化した乱数の署名データと利用者の証明書との送信を管理装置20に対して行う。管理装置20は署名データ及び証明書を受信すると、ステップS255では利用者の証明書が正しいか否かを判断し、また乱数の署名データが正しいか否かを判断する。この判断によって登録された正規の利用者がアクセスしていることが確認されるのである。
【0054】
管理装置20はステップS260では正規の利用者のアクセスか否かを示すステップS255の結果を端末装置50に対して送信する。この結果は正規の利用者に対してはサービス装置40へのアクセスの許可を示し、正規の利用者ではない利用者に対してはアクセスの拒否を示す。
【0055】
アクセスの継続の場合には、管理装置20は利用者に対して端末装置50を介してサービスを利用者に提供する。また、管理装置20はコンテキスト(アクセス許可の端末装置)を把握しているため、管理装置20はいつでもアクセスしている端末装置の利用者を取り出すことが可能となる。また、図8の認証動作が必ず終了した後でなければ、管理装置20はサービスの提供動作を行わない。
【0056】
管理装置20のサービスとして利用者の追加及び削除がある。利用者の追加及び削除のサービスについて図9及び図10のフローチャートを参照して説明する。
【0057】
この図9に示した動作は管理装置20に端末装置50から利用者(管理者を含む)が他の利用者を追加登録する場合の管理装置20の動作である。利用者の追加の動作では、先ず、端末装置50において追加する利用者の名称と、ICカードの場合は追加する利用者の公開鍵、ICカードでない場合は追加する利用者のパスワードとが入力され、それらの入力データが管理装置20に供給される。
【0058】
管理装置20は、端末装置50の入力データを受信すると、ステップS300では追加する利用者の名称(ドメイン表記)から上位ドメインを利用者管理情報から検索する。上位ドメイン(グループ)が存在する場合、そのグループプロパティ管理情報を内部メモリから読み出す。
【0059】
ステップS310では読み出したグループプロパティ管理情報が示す管理者を取り出す。取り出した管理者が利用者(個人)である場合には、アクセスしている利用者が管理者本人であるか否かを判断する。取り出した管理者がグループの場合、アクセスしている利用者がメンバのいずれか1であるか否かを判断する。アクセスしている利用者が管理者でない場合はここのステップS310の実行で追加の処理が中途終了される。
【0060】
ステップS310で管理者のアクセスであることが確認されると、ステップ320の実行に進むが、ICカードタイプの場合にはステップS320は実行されない。ICカードタイプでない場合にはステップS310では、追加する利用者の公開暗号方式の鍵ペア(秘密鍵及び公開鍵)が作成される。また、作成された鍵ペアの秘密鍵がパスワードにより暗号化される。
【0061】
ステップ330では、作成された鍵ペアの公開鍵について管理装置20の秘密鍵を用いて証明書が作成される。そして、その追加の利用者が利用者管理情報に追加される。
【0062】
図10は管理装置20に対して端末装置50から利用者(管理者を含む)が他の利用者を削除する場合の動作を示している。利用者の削除動作は端末装置50から削除する利用者の名称が入力され、その入力データが管理装置20に送信されると、管理装置20では削除する利用者の名称のデータを受信することによって次のステップS400〜S450の動作が実行される。
【0063】
ステップS400では削除する利用者の名称(ドメイン表記)から上位ドメインを利用者管理情報から検索する。上位ドメイン(グループ)が存在する場合、そのグループプロパティ管理情報が読み出される。
【0064】
ステップS410では読み出されたグループプロパティ管理情報の管理者を取り出す。管理者が利用者(個人)である場合、アクセスしている利用者が管理者本人であるか否かが判断される。アクセスしている利用者が管理者でない場合はステップS410の実行によって削除の処理が途中終了される。
【0065】
ステップS420では全てのグループプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が管理者(Admin)に変更される。
【0066】
ステップS430は全てサービスプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が管理者(Admin)に変更される。
【0067】
ステップS440は全てのサービスレベルプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が全て管理者(Admin)に変更される。更に、利用者リストで削除されるべき利用者が存在する場合はそのリストからその利用者が削除される。
【0068】
ステップS450では利用者管理情報から削除されるべき利用者が削除される。また、その利用者の認証情報にその削除情報が通知され、認証情報からもその利用者の情報が削除される。
【0069】
図9に示した利用者の追加に対してグループの追加の場合には、端末装置50から管理装置20に追加するグループの名称を指定することによって追加動作が起動される。その追加動作は利用者を追加する場合と同様であり、ステップS300、ステップS310が実行される。グループの追加では鍵生成や証明書の発行は必要ない。よって、ステップS310の実行後に、グループプロパティ管理情報が生成され、そのグループプロパティ管理情報の管理者としてアクセスしている利用者が設定される。最後に、そのグループプロパティ管理情報が利用者管理情報に追加される。
【0070】
グループの削除の場合には、図10に示した利用者の削除の場合における削除される利用者がグループに変更される他、ステップS450において、グループの全てのメンバに対する削除動作が行なわれる。また、グループの全てのメンバである利用者の認証情報にもその情報が通知され、認証情報の別名情報リストからそのメンバの全ての利用者の情報が削除される。
【0071】
利用者或いはグループの別名の登録はグループと同様である。
【0072】
また、利用者或いはグループの別名の削除については、図10に示した利用者の削除の場合で削除する利用者がグループに変更される。そして、別名の元の利用者の認証情報にもその情報が通知され、認証情報の別名情報リストからその情報が削除される。
【0073】
図11は管理装置20に端末装置50から利用者(管理者を含む)がサービスを追加する場合の管理装置20の動作を示している。サービスの追加動作は端末装置50から追加するサービスの名称とサービスのパスワードとが入力され、それらの入力データが管理装置20に供給されることによって開始される。
【0074】
管理装置20は入力データを受信すると先ず、ステップS500で追加するサービスの名称が以前に利用されているか否かをチェックする。
【0075】
追加するサービスの名称が以前に利用されていない場合には、ステップS510ではサービス専用の公開鍵暗号方式の鍵ペア(秘密鍵及び公開鍵)が生成される。また、生成した鍵ペアの秘密鍵がパスワードによって暗号化される。
【0076】
ステップ520では生成された鍵ペアの公開鍵について管理装置20の秘密鍵を用いて証明書が作成される。そして、サービス管理情報にサービスが追加され、更に、そのサービスのサービスプロパティ管理情報が生成される。
【0077】
図12は端末装置50を介して利用者(管理者を含む)がサービスレベルを追加する場合の管理装置20の動作を示している。サービスレベルの追加動作は端末装置50から追加するサービスレベルの名称を入力され、その入力データが管理装置20に供給されることによって開始される。
【0078】
管理装置20は入力データを受信すると先ず、ステップS600で追加するサービスレベルの名称(ドメイン表記)から上位ドメインであるサービスをサービス管理情報から検索する。上位ドメイン(サービス)が存在する場合、そのサービスプロパティ管理情報が読み出される。
【0079】
管理装置20はステップS610では読み出されたサービスプロパティ管理情報の管理者を取り出し、その取り出した管理者が利用者(個人)の場合には、アクセスしている利用者が管理者本人であるか否かを判断する。管理者がグループの場合には、アクセスしている利用者がメンバであるか否かを判断する。アクセスしている利用者が管理人本人或いはグループのメンバではない場合、このステップS610にて処理は途中終了される。
【0080】
ステップS620で管理装置20は入力データとして受信したサービスレベルをサービスレベル管理情報に追加する。更に、そのサービスレベルのサービスレベルプロパティ管理情報を生成する。
【0081】
図13は端末装置50を介して利用者(管理者を含む)が利用者リストを追加する場合の管理装置20の動作を示している。利用者リストの追加はサービスレベルの名称(ドメイン表記)と利用者或いはグループとが指定され、その指定データが管理装置20に供給されることによって開始される。
【0082】
管理装置20は、指定データを受信すると、先ずステップS700では指定サービスレベルの名称(ドメイン表記)からそのサービスレベルプロパティ管理情報を検索する。また、指定利用者、グループ或いはサービスレベルの名称(ドメイン表記)が利用者管理情報或いはサービスレベル管理情報に存在しているか否かを検索する。それらが存在しない場合、処理は終了する。
【0083】
管理装置20は、ステップS710ではサービスレベルプロパティ管理情報の管理者が利用者(個人)である場合には、アクセスしている利用者が管理者本人であるか否かを判断する。管理者がグループである場合には、アクセスしている利用者がメンバに含まれているか否かを判断する。アクセスしている利用者が管理者本人或いはグループのメンバではない場合、処理は途中終了する。
【0084】
管理装置20は、ステップS720ではサービスレベルプロパティ管理情報の利用者リストに指定利用者を追加する。
【0085】
利用者リストの削除動作は図13に示した利用者リストの追加動作とほぼ同一の動作を行なうが、ステップS720のみが異なる。削除動作では、管理装置20は、ステップ720ではサービスレベルプロパティ管理情報の利用者リストから指定利用者を削除する動作を行う。また、削除された利用者の情報は認証情報に即座に通知され、認証情報が更新される。
【0086】
サービスレベル削除動作は図12に示したサービスレベル追加動作とほぼ同一の動作を行うが、ステップS620のみが異なる。削除動作では、管理装置20は、ステップS620ではサービス管理情報から指定サービスレベルを削除する。更に、全てのサービスプロパティ管理情報の利用者リストからそのサービスレベルが含まれている場合には、そのリストを削除する。また、削除された利用者の情報は認証情報に即座に通知され、認証情報が更新される。
【0087】
サービス削除動作は図11に示すサービス削除動作とほぼ同一の動作を行うが、ステップS520の動作のみが異なる。削除動作では、管理装置20は、ステップS520ではそのサービスの下位に存在する全てのサービスレベルの削除を行う。そして、サービス管理情報からそのサービスを削除する。
【0088】
以上のように、管理装置20に登録されている利用者はその個人権限の範囲内でネットワークを介して安全にサービスに必要なアクセス権限の変更が可能となる。
【0089】
また、かかるサービス管理システムは従来のパスワードのみを利用者が記憶するシステムにのみ適用でき、ICカード等の秘密鍵を一切外に出さないシステムでも運用可能であり、ハイセキュリティシステムを構築することが可能である。
【0090】
次に、ネットワーク回線70を介して端末装置50から管理装置20に登録したサービスや利用者のアクセス制御の設定に基づき、端末装置50からサービス装置40を利用する場合のアクセス制御動作について説明する。
【0091】
図14は管理装置20で設定したサービスのアクセス制御の情報に基づき、アクセス制御を行うフローチャートを示している。
【0092】
ステップS800ではサービス装置40が管理装置20に対し、サービス装置のサービス名称を引数として認証情報の取得を要求する。
【0093】
ステップS810では管理装置20がサービス名称をサービス管理情報から検索し、そのサービスプロパティ管理情報を取り出す。更に、そのサービスの下位のサービスレベルを全て取り出し、そのサービスレベルプロパティ管理情報も取り出す。それらの情報に応じてサービスの認証情報を生成してサービス装置40に送り返す。
【0094】
サービスの認証情報を受け取ったサービス装置40はパスワードの入力を促し、入力されたパスワードによって認証情報の暗号化された秘密鍵を復号化する(ステップS815)。
【0095】
ステップS820では端末装置50においてその端末利用者が自分の利用者名を引数として認証情報の取得を管理装置20に対して要求することが行われる。ステップS820の実行はステップS810より時間的に前でも後でも問題はない。
【0096】
管理装置20は認証情報獲得要求に対してステップS830では利用者名を利用者管理情報から検索し、その利用者プロパティ管理情報を取り出す。更に、利用者管理情報からその利用者のリンクを全て検索する。それらの情報に基づいて利用者の認証情報を生成してその認証情報を端末装置50に送信する。利用者の認証情報でICカードを利用しない場合、端末装置50はパスワード入力を促し、そのパスワードによって認証情報の暗号化された秘密鍵を復号化する(ステップS835)。
【0097】
ステップS840以降の動作はSSL或いはIPsec等の暗号を併用して動作することが可能である。SSLの場合には、ステップS815で得られた秘密鍵と認証情報に含まれる(1)認証装置10の証明書群と、(2)管理装置20の証明書と、(3)管理装置20が発行したサービスの証明書とを利用することにより暗号通信を可能にする。
【0098】
ステップS840では端末装置50が接続要求をサービス装置40に対して送信する。その接続要求では利用者が端末装置50を利用する毎に個別に発行される端末装置IDが引数とされる。サービス装置50に端末装置50の端末装置IDのキャッシュがある場合は、ステップS870へと移行してアクセスを許可することを端末装置50に送信する。
【0099】
ステップS850は端末装置IDのキャッシュがサービス装置40に存在しない場合であり、このステップS850においてサービス装置50はランダム数をチャレンジコードとして端末装置50に送信する。
【0100】
端末装置50はステップS860では、ステップS830で得られた秘密鍵或いはICカードの秘密鍵によりランダム数を暗号化した結果と、利用者の認証情報の管理装置20が発行した利用者の証明書とを引数とするチャレンジレスポンスを送信する。
【0101】
チャレンジレスポンスを受信したサービス装置40は、チャレンジレスポンスの情報が正しいか否かを判断すると共に、サービスの認証情報に含まれる下位のサービスレベルの利用者リストにアクセスしている利用者が含まれるか否かを判断する(ステップS865)。
【0102】
サービス装置40は端末装置IDとアクセスしている利用者をペアとするデータをキャッシュし、アクセスを許可することを端末装置50に送信する(ステップS870)。
【0103】
ステップS870のアクセスの許可によってステップS880ではサービス装置40固有のサービスが端末装置50との間で実行される。
【0104】
なお、図14におけるアクセス制御のステップS820、ステップS830を実行しないことにより、認証装置10のみに登録されているが、管理装置20には登録されていない利用者のアクセスを許可する非常にアクセス制限のゆるいサービスの提供が可能である。
【0105】
以上のように、図14に示したアクセス制御動作によれば、管理装置20が発行する認証情報を利用することにより、サービス装置40が端末装置50からアクセスしている利用者を特定することが可能となる。
【0106】
登録されている利用者、グループ、別名、利用者リストの利用者が削除された場合、管理装置20は該当利用者或いはグループを削除するだけでなく、認証情報にも削除情報が通知される。すなわち、利用者が不正に認証情報の証明書を保持していたとしても、サービス装置40では認証情報が更新されているため不正アクセスが不可能である。
【0107】
サービス装置40は秘密情報を扱うサービスであるので、利用者が端末装置50を介して何らかの情報(例えばパスワード)を渡さなければサービス動作を開始することはできない。これは、サービス装置40が誤動作や電源のダウン等などの理由により再起動が必要な場合も同一である。再起動の場合、メモリ上に保存していた認証情報の復号化された秘密鍵は揮発してしまっている。そのため、再起動ではもう一度、パスワードを入力することにより認証情報から秘密鍵を復号化するための作業が必要である。次に、サービス装置40を再起動時に安全に自動復帰させるための構成及びその動作について説明する。
【0108】
図15はサービス装置40を自動復帰させるためのシステム構成を示している。図15の構成では復帰装置30が含まれている点が図1に示したシステム構成とは異なる。復帰装置30は管理装置20とサービス装置40とにネットワーク回線70とは独立した個別のラインによって各々接続されている。
【0109】
復帰装置30はサービス装置40が再起動したことを検知し、サービス装置40の利用者にパスワードを再入力させることなくサービス装置40をサービス提供のためのアクセス可能な状態に復帰させる処理を行う。
【0110】
サービス装置40が自動復帰させるためには、管理装置20に復帰サービスレベルが追加される必要がある。復帰サービスレベルはサービスレベルの特殊形態である。復帰サービスレベルの追加では、(1)サービスレベルの名称、(2)サービス作成時に指定したパスワード、(3)復帰を行う利用者の名称、(4)サービス装置を復帰させるためのパスワードが指定される。
【0111】
また、復帰サービスレベルの追加動作は図12に示したサービスレベルの追加動作に更に動作が付加される。すなわち、ステップS600には指定利用者の名称(ドメイン表記)が存在するか否かのチェックが加わる。また、ステップS610ではサービス管理情報から暗号化されている秘密鍵が取り出され、サービス作成時に指定したパスワードにより暗号化されている秘密鍵を復号化して秘密鍵を得ることが行われる。更に、サービス装置40を復帰させるためのパスワードにより得られた秘密鍵が暗号化される。
【0112】
ステップS620にはステップS610における暗号化された秘密鍵をサービスレベルプロパティ管理情報に追加する動作が追加される。
【0113】
サービスの認証情報にも上記の暗号化された秘密鍵が含まれる。
【0114】
次に、サービス装置40の自動復帰動作について図16のシーケンス図を参照しつつ説明する。
【0115】
この自動復帰動作では復帰装置30の起動が最初実行される。その起動には、(1)利用者の名称(ドメイン形式)、(2)サービスの名称(ドメイン形式)、(3)利用者のパスワード、(4)サービスを起動するためのパスワードの4つの情報が必要である。これらの情報は管理装置20の内部メモリ上に確保される。
【0116】
復帰装置30はステップS900では、管理装置20からサービス装置40を復帰できる利用者の名称を引数とした認証情報要求を管理装置20に対して送信する。
【0117】
管理装置20は認証情報要求を受信すると、ステップS910において引数の利用者の名称(ドメイン形式)に応じてその利用者を検索し、その利用者の認証情報を生成して復帰装置30に対して送信する。
【0118】
復帰装置30は認証情報を受信すると、その認証情報に利用者パスワードを指定することにより、認証情報に含まれる暗号化された秘密鍵を得る。そして、サービス装置40が正常な動作状態にあるか否かを判別するため定期的なポーリングを実行する(ステップS915)。このポーリング状態ではサービス装置40が誤動作や一時的な停電で動作停止状態になっても再起動が可能な状態となる。
【0119】
サービス装置40が図16に示すように動作停止状態に陥って再起動し、復帰装置30はその再起動を確認したことで動作を開始し、再起動用のポートをオープンし、そのポートにアクセスするためのアクセス方法を引数として復帰要求をサービス装置40に送信する(ステップS920)。
【0120】
サービス装置40は復帰要求を受信すると、ステップS930ではその復帰要求に示されたアクセス方法に基づいて復帰装置30のポートに対しランダム数を引数としてトライ要求を送信する。ただし、このアクセスは他者に漏洩しないことを確認する必要がある。通常、HTTPS等の回線レベルの暗号を利用することになる。この下位回線レベルの暗号通信はステップS960まで継続される。
【0121】
復帰装置30はトライ要求を受信すると、ステップS940ではそのトライ要求に示されたランダム数を復帰装置30が持つ認証情報の秘密鍵で暗号化し、その暗号化結果と認証情報に含まれる管理装置20が発行した証明書とを引数としてトライレスポンスをサービス装置40に送信する。
【0122】
サービス装置40はトライレスポンスを受信すると、ステップS950では指定された秘密鍵で暗号化されたランダム数が送り出したランダム数が元になっているか否かの判別と証明書が正しいか否かの判断とを行う。この判断によって復帰装置30の利用者を特定することができる。更に、サービス装置40はその利用者がサービス装置40の認証情報に含まれる下位のサービスレベルの利用者リストから復帰のための利用者として登録されているか否かを判断するために解読要求を復帰装置30に送信する。
【0123】
復帰装置30は解読要求を受信すると、ステップS960では利用者リストからステップS950で特定された利用者の復帰用の暗号化された秘密鍵を取り出し、それを引数として解読結果をサービス装置40に送信する。
【0124】
サービス装置40は解読結果を受信すると、ステップS970では解読結果に示された秘密鍵を復帰装置30の起動時に指定されたサービスを起動するためのパスワードで復号化してそれを引数とする情報を復帰装置40に送信する。
【0125】
かかる自動起動動作により、サービス装置40は秘密鍵を獲得可能であり、サービスを提供できる状態となる。すなわち、サービス装置40は図14に示すアクセス制御のフローチャートのステップS815が終了した状態と同等となる。
【0126】
また、かかる自動復帰動作によれば、電源のダウン等の理由でサービス装置40が再起動した場合に、利用者にパスワードを再入力させることなくサービス装置40をサービス提供のためのアクセス可能な状態に復帰させるが可能となる。
【図面の簡単な説明】
【0127】
【図1】本発明の実施例を示すシステム構成図である。
【図2】ユーザ管理情報の構成を示す図である。
【図3】グループプロパティ管理情報の構成を示す図である。
【図4】サービス管理情報の構成を示す図である。
【図5】サービスプロパティ管理情報の構成を示す図である。
【図6】サービスレベルプロパティ管理情報の構成を示す図である。
【図7】管理装置の初期起動動作を示すフローチャートである。
【図8】端末装置の利用者を管理装置が認識するための動作シーケンスを示す図である。
【図9】利用者追加動作を示すフローチャートである。
【図10】利用者削除動作を示すフローチャートである。
【図11】サービス追加動作を示すフローチャートである。
【図12】サービスレベル追加動作を示すフローチャートである。
【図13】利用者リスト追加動作を示すフローチャートである。
【図14】アクセス制御動作シーケンスを示す図である。
【図15】本発明の実施例を示すシステム構成図である。
【図16】復帰動作シーケンスを示す図である。
【主要部分の符号の説明】
【0128】
10 認証装置
20 管理装置
30 復帰装置
40 サービス装置
50 端末装置
【技術分野】
【0001】
本発明は、ネットワーク内においてサービス装置からサービスの提供を受ける端末装置の顧客及び顧客毎のサービス内容を管理するサービス管理システムに関する。
【背景技術】
【0002】
従来、ネットワーク内において端末装置を利用してサービスの提供を受けることを望む顧客(グループを含む)を登録してその登録顧客に対して予め定められたサービス提供をするように管理を行うサービス管理システムが知られている。このサービス管理システムの機能としては、ネットワークを介する認証情報の生成発行機能、その認証情報を用いたサービスの処理実行の許否処理機能、サービスの起動方法に関するものであった。
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記のサービス管理システムにおいては、登録されている顧客がサービスの処理実行の許否情報を個人権限によりネットワークを介して変更することが不可能である。
【0004】
顧客及びサービスの秘密鍵は管理装置が一括管理を行い、顧客及びサービスに秘密鍵を暗号化してネットワーク上を送信する。この動作は利用者が秘密鍵を暗号化したパスワードを記憶しておくだけで良いと言う利点が存在する。しかしながら、ICカードなどの秘密鍵を容易に保持できるデバイスを利用したい場合には、秘密鍵管理装置に預けることや暗号化されて秘密鍵がネットワーク上を流れることはセキュリティ上問題である。
【0005】
また、登録されている顧客(グループを含む)が削除された場合、管理装置は該当顧客を削除するだけでなく、サービスの処理実行の許否情報も変更する。そのため、端末装置が管理装置から証明書を獲得する場合には、最新の情報になるべきである。しかしながら、既に利用装置が保持しているサービスの処理実行を許可する証明書は破棄されない。すなわち、不正にサービスの処理が実行される可能性がある。
【0006】
更に、サービスの処理実行の許否情報に新たな顧客が追加された場合には、サービスの処理実行が可能な証明書が発行される。その証明書では他のサービスの処理が実行されてはならないため、その証明書は認証装置の連鎖を持たない。すなわち、利用制限は設けず、利用している利用者のみ確認したい場合でも必ず管理装置に登録しなければならない。
【0007】
そこで、本発明の目的は、正規の登録利用者に対して適正なサービス提供が行われるようにしたサービス管理システム及び方法を提供することである。
【課題を解決するための手段】
【0008】
本発明のサービス管理システムは、ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持する発行保存手段と、前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信する手段と、前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信する第1認証情報送信手段と、前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号する第1復号手段と、前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信する手段と、前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信する第2認証情報送信手段と、前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号する第2復号手段と、前記第1及び第2復号手段によって各々復号された秘密鍵を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にする手段と、を備えたことを特徴としている。
【0009】
本発明のサービス管理方法は、ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理方法であって、前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持し、前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信し、前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信し、前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号し、前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信し、前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信し、前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号し、その復号された秘密鍵各々を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にすることを特徴としている。
【発明の効果】
【0010】
本発明によれば、正規の登録利用者に対して適正なサービス提供を行うことができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施例を図面を参照しつつ詳細に説明する。
【0012】
図1は本発明によるサービス管理システムを示している。サービス管理システムは、認証装置10と、管理装置20と、サービス装置40と、複数の利用者用の端末装置50とを含み、認証装置10を除く各装置20,40,50はネットワーク回線70を介して互いに接続されている。認証装置10は管理装置20とネットワーク回線70とは独立した専用回線60を介して接続されている。なお、ここでいう接続はアクセス可能な接続状態であれば良い。
【0013】
認証装置10は、管理装置20の公開鍵を認証する。この認証装置10は全てのサービスの利用制限ではなく、利用者を特定したいサービスが存在しない場合には必須ではない。
【0014】
管理装置20はサービスの処理許否の管理と起動装置30、サービス装置40、端末装置50が利用する認証情報を発行する機能を備える。
【0015】
サービス装置40は管理装置20が発行する認証情報を利用し、全ての端末装置50のうちの特定の端末装置のみを対象としてサービスを提供する装置である。
【0016】
利用者用の端末装置50各々は、管理装置20が発行する認証情報を利用し、管理装置20に接続してサービス装置に対してサービスの処理を依頼する。
【0017】
管理装置20が生成する認証情報は利用者に対する場合とサービスに対する場合とで異なる内容となっている。認証情報の内容としては、(1)利用者或いはサービスの名称、(2)別名情報リスト、(3)認証装置10の証明書群、(4)管理装置20の証明書、(5)管理装置20が発行した利用者或いはサービスの証明書、(6)利用者或いはサービスのパスワードにより暗号化された秘密鍵(ICカードの場合は不要)、(7)下位のサービスレベルの利用者リスト(サービスの場合のみ)がある。
【0018】
ICカードでない場合、認証情報には暗号化された秘密鍵が含まれる。その秘密鍵はパスワードで暗号化されており、パスワードが入力されると復号化される。復号化された秘密鍵はメモリ上にのみ存在しており、その復号化された秘密鍵をファイルシステムやネットワークにできない構造がとられる。
【0019】
管理装置20は認証装置10によって公開鍵を署名してもらった証明書と、認証装置の証明書群を保持する。認証装置の証明書群とは、証明書を発行した認証装置の証明書と、その認証装置を証明した認証装置の証明書という連鎖であり、最後は認証装置の自己証明書が終端となる。
【0020】
また、管理装置20は利用者、グループ、サービス、サービスレベルとそれらの関係を管理する機能を持つ。
【0021】
利用者は起動装置或いは端末装置を利用する。管理装置20は利用者のパスワードによって暗号化された秘密鍵(ICカード利用時は不要)と公開鍵を管理している。
【0022】
グループは利用者又はグループの集合である。グループは情報のみで秘密鍵を保有しない。
【0023】
サービスはサービス装置で起動されて利用者に提供される。管理装置20はサービスのパスワードによって暗号化されて秘密鍵と公開鍵とを管理している。例えば、サービスには、企業のプロジェクト単位の日程管理の処理がある。
【0024】
サービスレベルはサービスに付随する情報であり、1つのサービスに複数のレベルを付随させることが可能である。サービスレベルは1つのサービスで接続の意味を変えたい場合に設定する。サービスが例えば、上記したように企業のプロジェクト単位の日程管理であれば、主線表の変更は該当プロジェクト管理者のみが可能であり、進捗状況は個々の担当者が変更可能である場合、主線表を変更可能な管理者のレベルと進捗を設定できる担当者のレベルが存在することになる。
【0025】
管理装置20は(1)利用者、グループを管理するユーザ管理情報、(2)グループプロパティ管理情報、(3)サービス、サービスレベルを管理するサービス管理情報、(4)サービスプロパティ管理情報、(5)サービスレベルプロパティ管理情報の5つの管理情報を内部メモリに保存してサービス提供の管理を行う。
【0026】
図2は管理装置20によって管理される利用者とグループの関係を表現したユーザ管理情報の例である。その構成要素は利用者、グループとその別名のみであり、ツリー構造により管理される。この管理情報では、グループは下位に利用者、グループ(別名を含む)を保持することは可能であるが、利用者の下位には利用者、グループ(別名を含む)を保持することは不可能であり、更に、利用者或いはグループの別名の下位には利用者、グループ(別名を含む)を保持することも不可能である。
【0027】
また、この管理情報では、グループの下位に存在する利用者やグループ(別名を含む)がメンバとなる。グループの配置について具体的に説明すると、図2に示すように、グループAの直下には利用者Al、利用者A2、グループB、利用者X(別名)、グループC(別名)の5つが存在する。しかしながら、グループAのメンバはこの5つだけではなく、メンバのうちの利用者又はグループの下位の利用者及びグループも含む。すなわち、グループBの下位には利用者Blが存在し、この利用者BlもグループAのメンバとなる。更に、グループC(別名)はグループCの別名であるので、グループCのメンバである利用者Cl及び利用者X(別名)もグループAのメンバとなる。
【0028】
よって、グループAのメンバは利用者Al、利用者A2、グループB、利用者Bl、2つの利用者X(別名)、グループC(別名)、利用者Cとなる。
【0029】
グループAのメンバには、グループA直下の利用者X(別名)とグループC直下の利用者X(別名)が含まれるが、実際には利用者Xであり同一利用者を示している。
【0030】
図3は管理装置20がグループ管理情報によって管理するグループの状態を例示している。図3の例では、グループAの管理者が利用者Xであることが表現されている。グループの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合には、その指定グループのメンバ全てがグループの管理者の権限を持つ。グループの管理者はそのグループの直下の利用者、グループ(別名を含む)を追加或いは削除することができる権限を有する。
【0031】
図4は管理装置20が管理するサービスとサービスレベルとの関係をツリー構造で示している。その構成要素はサービス及びサービスレベルのみである。この管理情報では、サービスの下位にはサービスレベルのみを保持することが可能であるが、サービスレベルの下位にはいかなるノードも保持することは不可能である。
【0032】
次に、サービス管理情報の具体例を図4を用いて説明する。ここでは、企業におけるプロジェクトにおける日程管理を行なう処理が行われるとする。日程管理はサービスの起動、終了、管理作業、プロジェクトメンバによる進捗報告と様々なアクセス制御が必要な処理の集合体である。このようなサービス管理を実行する方法がサービス管理情報である。
【0033】
図4におけるサービスAは処理を束ねる代表名であり、日程管理に相当する。サービスA下位のサービスレベル起動はサービスを起動する処理であり、日程管理のサービスの起動に相当する。
【0034】
サービスレベルA1及びサービスレベルA2はサービス固有の処理レベルであり、サービスの終了、管理作業、プロジェクトメンバによる進捗報告等の処理がサービスレベルA1及びサービスレベルA2には割り当てられる。すなわち、アクセス(利用)するメンバを変更する必要が存在する数だけサービスレベルが必要となる。
【0035】
図5は管理装置20が管理するサービスの状態を示すサービスプロパティ管理情報例である。
【0036】
図5の場合には、図4のサービスAの管理者がグループCに属することが表現されている。サービスの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合、そのグループのメンバ全てがサービスの管理者の権限を持つ。サービスの管理者はそのサービスの直下にサービスレベルの追加或いは削除することができる権限を持つ。
【0037】
図6は管理装置20が管理するサービスレベルの状態を示すサービスレベルプロパティ管理情報例である。
【0038】
図6のの場合には、図4のサービスレベルA1の管理者が図2に示した利用者Xであることが表現されている。サービスレベルの管理者には利用者或いはグループを指定することが可能である。管理者にグループが指定された場合そのグループのメンバすべてがサービスレベルの管理者の権限を持つ。サービスレベルの管理者はそのサービスレベルの利用者リストに利用者或いはグループ或いはサービスレベルを指定することができる権限を持つ。
【0039】
また、サービスレベルにはそのサービスレベルに対してアクセスできる利用者、グループ、サービスレベルをA1,C,B1の如く指定することができる。グループが指定された場合はそのグループのメンバ全てがアクセスできることを示す。図6の場合には、グループCが登録されているので、図2のグループCのメンバである利用者C1、及び利用者X(別名)がアクセスできることになる。
【0040】
次に、かかるサービス管理システムで最初に起動する必要がある管理装置20の初期起動動作について図7を参照しつつ説明する。
【0041】
ステップS100では管理装置20の管理者(Admin)の公開鍵暗号システムの鍵ペア(公開鍵及び秘密鍵)が作成される。
【0042】
ステップS110ではその鍵ペアの公開鍵が認証装置10に供給され、認証装置10に対して証明書の作成が依頼される。そして、管理装置20には認証装置10の証明書と認証装置10が作成した管理者の証明書が格納される。
【0043】
ステップS120では管理装置20に管理者(Admin)が利用者として登録される。この管理者(Admin)は消去することができない利用者である。管理装置20に管理者(Admin)が利用者として登録されることにより、ネットワーク回線70からの管理運営が可能となる。
【0044】
ステップS130ではネットワーク回線70を介したアクセスができるように管理装置20のポートがオープン(開)状態とされる。
【0045】
オープン状態においては、その管理装置20に登録されている利用者が端末装置50を利用してネットワーク回線70経由で管理装置20にアクセスし、その権限内において管理装置20における設定を自由に変更することができる。
【0046】
その場合には、端末装置50を利用している利用者を管理装置20では認識する必要がある。その認識方法について次に説明する。
【0047】
図8は管理装置20が接続している端末装置50の利用者を認識するためのシーケンスである。
【0048】
ステップS200では利用者の端末装置50から管理装置20に対して認証情報要求が発せられる。管理装置20には端末装置50を介してアクセス可能な利用者の名称が登録保存されている。
【0049】
ステップS210では管理装置20において認証情報要求によって指定された利用者の名称が管理装置20に登録された利用者であるかチェックが行われ、登録された利用者である場合には認証情報が管理装置20から端末装置50に送信される。
【0050】
ステップS220は利用者がICカードを保有しない場合にのみ実行される。ICカードを保有しない場合にステップS220では、ステップS210の実行によって送信された認証情報を端末装置50が受信したならば、端末装置50においてはその認証情報には利用者のパスワードで暗号化された秘密鍵が保持されているので、その暗号を解読することが実行される。
【0051】
ステップS230では接続要求が端末装置50から管理装置20に対して送信される。この接続要求には特に付帯情報はない。しかしながら、このステップS230より以降はステップS220の暗号を解読によりSSLやIPsecなどの暗号回線上での通信となる。
【0052】
接続要求を受信した管理装置20はステップS240で乱数値を生成して端末装置50に送り返す。
【0053】
端末装置50は乱数値を受け取ると、ステップS250ではその乱数値を利用者の秘密鍵で暗号化した乱数の署名データと利用者の証明書との送信を管理装置20に対して行う。管理装置20は署名データ及び証明書を受信すると、ステップS255では利用者の証明書が正しいか否かを判断し、また乱数の署名データが正しいか否かを判断する。この判断によって登録された正規の利用者がアクセスしていることが確認されるのである。
【0054】
管理装置20はステップS260では正規の利用者のアクセスか否かを示すステップS255の結果を端末装置50に対して送信する。この結果は正規の利用者に対してはサービス装置40へのアクセスの許可を示し、正規の利用者ではない利用者に対してはアクセスの拒否を示す。
【0055】
アクセスの継続の場合には、管理装置20は利用者に対して端末装置50を介してサービスを利用者に提供する。また、管理装置20はコンテキスト(アクセス許可の端末装置)を把握しているため、管理装置20はいつでもアクセスしている端末装置の利用者を取り出すことが可能となる。また、図8の認証動作が必ず終了した後でなければ、管理装置20はサービスの提供動作を行わない。
【0056】
管理装置20のサービスとして利用者の追加及び削除がある。利用者の追加及び削除のサービスについて図9及び図10のフローチャートを参照して説明する。
【0057】
この図9に示した動作は管理装置20に端末装置50から利用者(管理者を含む)が他の利用者を追加登録する場合の管理装置20の動作である。利用者の追加の動作では、先ず、端末装置50において追加する利用者の名称と、ICカードの場合は追加する利用者の公開鍵、ICカードでない場合は追加する利用者のパスワードとが入力され、それらの入力データが管理装置20に供給される。
【0058】
管理装置20は、端末装置50の入力データを受信すると、ステップS300では追加する利用者の名称(ドメイン表記)から上位ドメインを利用者管理情報から検索する。上位ドメイン(グループ)が存在する場合、そのグループプロパティ管理情報を内部メモリから読み出す。
【0059】
ステップS310では読み出したグループプロパティ管理情報が示す管理者を取り出す。取り出した管理者が利用者(個人)である場合には、アクセスしている利用者が管理者本人であるか否かを判断する。取り出した管理者がグループの場合、アクセスしている利用者がメンバのいずれか1であるか否かを判断する。アクセスしている利用者が管理者でない場合はここのステップS310の実行で追加の処理が中途終了される。
【0060】
ステップS310で管理者のアクセスであることが確認されると、ステップ320の実行に進むが、ICカードタイプの場合にはステップS320は実行されない。ICカードタイプでない場合にはステップS310では、追加する利用者の公開暗号方式の鍵ペア(秘密鍵及び公開鍵)が作成される。また、作成された鍵ペアの秘密鍵がパスワードにより暗号化される。
【0061】
ステップ330では、作成された鍵ペアの公開鍵について管理装置20の秘密鍵を用いて証明書が作成される。そして、その追加の利用者が利用者管理情報に追加される。
【0062】
図10は管理装置20に対して端末装置50から利用者(管理者を含む)が他の利用者を削除する場合の動作を示している。利用者の削除動作は端末装置50から削除する利用者の名称が入力され、その入力データが管理装置20に送信されると、管理装置20では削除する利用者の名称のデータを受信することによって次のステップS400〜S450の動作が実行される。
【0063】
ステップS400では削除する利用者の名称(ドメイン表記)から上位ドメインを利用者管理情報から検索する。上位ドメイン(グループ)が存在する場合、そのグループプロパティ管理情報が読み出される。
【0064】
ステップS410では読み出されたグループプロパティ管理情報の管理者を取り出す。管理者が利用者(個人)である場合、アクセスしている利用者が管理者本人であるか否かが判断される。アクセスしている利用者が管理者でない場合はステップS410の実行によって削除の処理が途中終了される。
【0065】
ステップS420では全てのグループプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が管理者(Admin)に変更される。
【0066】
ステップS430は全てサービスプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が管理者(Admin)に変更される。
【0067】
ステップS440は全てのサービスレベルプロパティ管理情報で削除されるべき利用者が管理者として登録されている場合にその利用者が全て管理者(Admin)に変更される。更に、利用者リストで削除されるべき利用者が存在する場合はそのリストからその利用者が削除される。
【0068】
ステップS450では利用者管理情報から削除されるべき利用者が削除される。また、その利用者の認証情報にその削除情報が通知され、認証情報からもその利用者の情報が削除される。
【0069】
図9に示した利用者の追加に対してグループの追加の場合には、端末装置50から管理装置20に追加するグループの名称を指定することによって追加動作が起動される。その追加動作は利用者を追加する場合と同様であり、ステップS300、ステップS310が実行される。グループの追加では鍵生成や証明書の発行は必要ない。よって、ステップS310の実行後に、グループプロパティ管理情報が生成され、そのグループプロパティ管理情報の管理者としてアクセスしている利用者が設定される。最後に、そのグループプロパティ管理情報が利用者管理情報に追加される。
【0070】
グループの削除の場合には、図10に示した利用者の削除の場合における削除される利用者がグループに変更される他、ステップS450において、グループの全てのメンバに対する削除動作が行なわれる。また、グループの全てのメンバである利用者の認証情報にもその情報が通知され、認証情報の別名情報リストからそのメンバの全ての利用者の情報が削除される。
【0071】
利用者或いはグループの別名の登録はグループと同様である。
【0072】
また、利用者或いはグループの別名の削除については、図10に示した利用者の削除の場合で削除する利用者がグループに変更される。そして、別名の元の利用者の認証情報にもその情報が通知され、認証情報の別名情報リストからその情報が削除される。
【0073】
図11は管理装置20に端末装置50から利用者(管理者を含む)がサービスを追加する場合の管理装置20の動作を示している。サービスの追加動作は端末装置50から追加するサービスの名称とサービスのパスワードとが入力され、それらの入力データが管理装置20に供給されることによって開始される。
【0074】
管理装置20は入力データを受信すると先ず、ステップS500で追加するサービスの名称が以前に利用されているか否かをチェックする。
【0075】
追加するサービスの名称が以前に利用されていない場合には、ステップS510ではサービス専用の公開鍵暗号方式の鍵ペア(秘密鍵及び公開鍵)が生成される。また、生成した鍵ペアの秘密鍵がパスワードによって暗号化される。
【0076】
ステップ520では生成された鍵ペアの公開鍵について管理装置20の秘密鍵を用いて証明書が作成される。そして、サービス管理情報にサービスが追加され、更に、そのサービスのサービスプロパティ管理情報が生成される。
【0077】
図12は端末装置50を介して利用者(管理者を含む)がサービスレベルを追加する場合の管理装置20の動作を示している。サービスレベルの追加動作は端末装置50から追加するサービスレベルの名称を入力され、その入力データが管理装置20に供給されることによって開始される。
【0078】
管理装置20は入力データを受信すると先ず、ステップS600で追加するサービスレベルの名称(ドメイン表記)から上位ドメインであるサービスをサービス管理情報から検索する。上位ドメイン(サービス)が存在する場合、そのサービスプロパティ管理情報が読み出される。
【0079】
管理装置20はステップS610では読み出されたサービスプロパティ管理情報の管理者を取り出し、その取り出した管理者が利用者(個人)の場合には、アクセスしている利用者が管理者本人であるか否かを判断する。管理者がグループの場合には、アクセスしている利用者がメンバであるか否かを判断する。アクセスしている利用者が管理人本人或いはグループのメンバではない場合、このステップS610にて処理は途中終了される。
【0080】
ステップS620で管理装置20は入力データとして受信したサービスレベルをサービスレベル管理情報に追加する。更に、そのサービスレベルのサービスレベルプロパティ管理情報を生成する。
【0081】
図13は端末装置50を介して利用者(管理者を含む)が利用者リストを追加する場合の管理装置20の動作を示している。利用者リストの追加はサービスレベルの名称(ドメイン表記)と利用者或いはグループとが指定され、その指定データが管理装置20に供給されることによって開始される。
【0082】
管理装置20は、指定データを受信すると、先ずステップS700では指定サービスレベルの名称(ドメイン表記)からそのサービスレベルプロパティ管理情報を検索する。また、指定利用者、グループ或いはサービスレベルの名称(ドメイン表記)が利用者管理情報或いはサービスレベル管理情報に存在しているか否かを検索する。それらが存在しない場合、処理は終了する。
【0083】
管理装置20は、ステップS710ではサービスレベルプロパティ管理情報の管理者が利用者(個人)である場合には、アクセスしている利用者が管理者本人であるか否かを判断する。管理者がグループである場合には、アクセスしている利用者がメンバに含まれているか否かを判断する。アクセスしている利用者が管理者本人或いはグループのメンバではない場合、処理は途中終了する。
【0084】
管理装置20は、ステップS720ではサービスレベルプロパティ管理情報の利用者リストに指定利用者を追加する。
【0085】
利用者リストの削除動作は図13に示した利用者リストの追加動作とほぼ同一の動作を行なうが、ステップS720のみが異なる。削除動作では、管理装置20は、ステップ720ではサービスレベルプロパティ管理情報の利用者リストから指定利用者を削除する動作を行う。また、削除された利用者の情報は認証情報に即座に通知され、認証情報が更新される。
【0086】
サービスレベル削除動作は図12に示したサービスレベル追加動作とほぼ同一の動作を行うが、ステップS620のみが異なる。削除動作では、管理装置20は、ステップS620ではサービス管理情報から指定サービスレベルを削除する。更に、全てのサービスプロパティ管理情報の利用者リストからそのサービスレベルが含まれている場合には、そのリストを削除する。また、削除された利用者の情報は認証情報に即座に通知され、認証情報が更新される。
【0087】
サービス削除動作は図11に示すサービス削除動作とほぼ同一の動作を行うが、ステップS520の動作のみが異なる。削除動作では、管理装置20は、ステップS520ではそのサービスの下位に存在する全てのサービスレベルの削除を行う。そして、サービス管理情報からそのサービスを削除する。
【0088】
以上のように、管理装置20に登録されている利用者はその個人権限の範囲内でネットワークを介して安全にサービスに必要なアクセス権限の変更が可能となる。
【0089】
また、かかるサービス管理システムは従来のパスワードのみを利用者が記憶するシステムにのみ適用でき、ICカード等の秘密鍵を一切外に出さないシステムでも運用可能であり、ハイセキュリティシステムを構築することが可能である。
【0090】
次に、ネットワーク回線70を介して端末装置50から管理装置20に登録したサービスや利用者のアクセス制御の設定に基づき、端末装置50からサービス装置40を利用する場合のアクセス制御動作について説明する。
【0091】
図14は管理装置20で設定したサービスのアクセス制御の情報に基づき、アクセス制御を行うフローチャートを示している。
【0092】
ステップS800ではサービス装置40が管理装置20に対し、サービス装置のサービス名称を引数として認証情報の取得を要求する。
【0093】
ステップS810では管理装置20がサービス名称をサービス管理情報から検索し、そのサービスプロパティ管理情報を取り出す。更に、そのサービスの下位のサービスレベルを全て取り出し、そのサービスレベルプロパティ管理情報も取り出す。それらの情報に応じてサービスの認証情報を生成してサービス装置40に送り返す。
【0094】
サービスの認証情報を受け取ったサービス装置40はパスワードの入力を促し、入力されたパスワードによって認証情報の暗号化された秘密鍵を復号化する(ステップS815)。
【0095】
ステップS820では端末装置50においてその端末利用者が自分の利用者名を引数として認証情報の取得を管理装置20に対して要求することが行われる。ステップS820の実行はステップS810より時間的に前でも後でも問題はない。
【0096】
管理装置20は認証情報獲得要求に対してステップS830では利用者名を利用者管理情報から検索し、その利用者プロパティ管理情報を取り出す。更に、利用者管理情報からその利用者のリンクを全て検索する。それらの情報に基づいて利用者の認証情報を生成してその認証情報を端末装置50に送信する。利用者の認証情報でICカードを利用しない場合、端末装置50はパスワード入力を促し、そのパスワードによって認証情報の暗号化された秘密鍵を復号化する(ステップS835)。
【0097】
ステップS840以降の動作はSSL或いはIPsec等の暗号を併用して動作することが可能である。SSLの場合には、ステップS815で得られた秘密鍵と認証情報に含まれる(1)認証装置10の証明書群と、(2)管理装置20の証明書と、(3)管理装置20が発行したサービスの証明書とを利用することにより暗号通信を可能にする。
【0098】
ステップS840では端末装置50が接続要求をサービス装置40に対して送信する。その接続要求では利用者が端末装置50を利用する毎に個別に発行される端末装置IDが引数とされる。サービス装置50に端末装置50の端末装置IDのキャッシュがある場合は、ステップS870へと移行してアクセスを許可することを端末装置50に送信する。
【0099】
ステップS850は端末装置IDのキャッシュがサービス装置40に存在しない場合であり、このステップS850においてサービス装置50はランダム数をチャレンジコードとして端末装置50に送信する。
【0100】
端末装置50はステップS860では、ステップS830で得られた秘密鍵或いはICカードの秘密鍵によりランダム数を暗号化した結果と、利用者の認証情報の管理装置20が発行した利用者の証明書とを引数とするチャレンジレスポンスを送信する。
【0101】
チャレンジレスポンスを受信したサービス装置40は、チャレンジレスポンスの情報が正しいか否かを判断すると共に、サービスの認証情報に含まれる下位のサービスレベルの利用者リストにアクセスしている利用者が含まれるか否かを判断する(ステップS865)。
【0102】
サービス装置40は端末装置IDとアクセスしている利用者をペアとするデータをキャッシュし、アクセスを許可することを端末装置50に送信する(ステップS870)。
【0103】
ステップS870のアクセスの許可によってステップS880ではサービス装置40固有のサービスが端末装置50との間で実行される。
【0104】
なお、図14におけるアクセス制御のステップS820、ステップS830を実行しないことにより、認証装置10のみに登録されているが、管理装置20には登録されていない利用者のアクセスを許可する非常にアクセス制限のゆるいサービスの提供が可能である。
【0105】
以上のように、図14に示したアクセス制御動作によれば、管理装置20が発行する認証情報を利用することにより、サービス装置40が端末装置50からアクセスしている利用者を特定することが可能となる。
【0106】
登録されている利用者、グループ、別名、利用者リストの利用者が削除された場合、管理装置20は該当利用者或いはグループを削除するだけでなく、認証情報にも削除情報が通知される。すなわち、利用者が不正に認証情報の証明書を保持していたとしても、サービス装置40では認証情報が更新されているため不正アクセスが不可能である。
【0107】
サービス装置40は秘密情報を扱うサービスであるので、利用者が端末装置50を介して何らかの情報(例えばパスワード)を渡さなければサービス動作を開始することはできない。これは、サービス装置40が誤動作や電源のダウン等などの理由により再起動が必要な場合も同一である。再起動の場合、メモリ上に保存していた認証情報の復号化された秘密鍵は揮発してしまっている。そのため、再起動ではもう一度、パスワードを入力することにより認証情報から秘密鍵を復号化するための作業が必要である。次に、サービス装置40を再起動時に安全に自動復帰させるための構成及びその動作について説明する。
【0108】
図15はサービス装置40を自動復帰させるためのシステム構成を示している。図15の構成では復帰装置30が含まれている点が図1に示したシステム構成とは異なる。復帰装置30は管理装置20とサービス装置40とにネットワーク回線70とは独立した個別のラインによって各々接続されている。
【0109】
復帰装置30はサービス装置40が再起動したことを検知し、サービス装置40の利用者にパスワードを再入力させることなくサービス装置40をサービス提供のためのアクセス可能な状態に復帰させる処理を行う。
【0110】
サービス装置40が自動復帰させるためには、管理装置20に復帰サービスレベルが追加される必要がある。復帰サービスレベルはサービスレベルの特殊形態である。復帰サービスレベルの追加では、(1)サービスレベルの名称、(2)サービス作成時に指定したパスワード、(3)復帰を行う利用者の名称、(4)サービス装置を復帰させるためのパスワードが指定される。
【0111】
また、復帰サービスレベルの追加動作は図12に示したサービスレベルの追加動作に更に動作が付加される。すなわち、ステップS600には指定利用者の名称(ドメイン表記)が存在するか否かのチェックが加わる。また、ステップS610ではサービス管理情報から暗号化されている秘密鍵が取り出され、サービス作成時に指定したパスワードにより暗号化されている秘密鍵を復号化して秘密鍵を得ることが行われる。更に、サービス装置40を復帰させるためのパスワードにより得られた秘密鍵が暗号化される。
【0112】
ステップS620にはステップS610における暗号化された秘密鍵をサービスレベルプロパティ管理情報に追加する動作が追加される。
【0113】
サービスの認証情報にも上記の暗号化された秘密鍵が含まれる。
【0114】
次に、サービス装置40の自動復帰動作について図16のシーケンス図を参照しつつ説明する。
【0115】
この自動復帰動作では復帰装置30の起動が最初実行される。その起動には、(1)利用者の名称(ドメイン形式)、(2)サービスの名称(ドメイン形式)、(3)利用者のパスワード、(4)サービスを起動するためのパスワードの4つの情報が必要である。これらの情報は管理装置20の内部メモリ上に確保される。
【0116】
復帰装置30はステップS900では、管理装置20からサービス装置40を復帰できる利用者の名称を引数とした認証情報要求を管理装置20に対して送信する。
【0117】
管理装置20は認証情報要求を受信すると、ステップS910において引数の利用者の名称(ドメイン形式)に応じてその利用者を検索し、その利用者の認証情報を生成して復帰装置30に対して送信する。
【0118】
復帰装置30は認証情報を受信すると、その認証情報に利用者パスワードを指定することにより、認証情報に含まれる暗号化された秘密鍵を得る。そして、サービス装置40が正常な動作状態にあるか否かを判別するため定期的なポーリングを実行する(ステップS915)。このポーリング状態ではサービス装置40が誤動作や一時的な停電で動作停止状態になっても再起動が可能な状態となる。
【0119】
サービス装置40が図16に示すように動作停止状態に陥って再起動し、復帰装置30はその再起動を確認したことで動作を開始し、再起動用のポートをオープンし、そのポートにアクセスするためのアクセス方法を引数として復帰要求をサービス装置40に送信する(ステップS920)。
【0120】
サービス装置40は復帰要求を受信すると、ステップS930ではその復帰要求に示されたアクセス方法に基づいて復帰装置30のポートに対しランダム数を引数としてトライ要求を送信する。ただし、このアクセスは他者に漏洩しないことを確認する必要がある。通常、HTTPS等の回線レベルの暗号を利用することになる。この下位回線レベルの暗号通信はステップS960まで継続される。
【0121】
復帰装置30はトライ要求を受信すると、ステップS940ではそのトライ要求に示されたランダム数を復帰装置30が持つ認証情報の秘密鍵で暗号化し、その暗号化結果と認証情報に含まれる管理装置20が発行した証明書とを引数としてトライレスポンスをサービス装置40に送信する。
【0122】
サービス装置40はトライレスポンスを受信すると、ステップS950では指定された秘密鍵で暗号化されたランダム数が送り出したランダム数が元になっているか否かの判別と証明書が正しいか否かの判断とを行う。この判断によって復帰装置30の利用者を特定することができる。更に、サービス装置40はその利用者がサービス装置40の認証情報に含まれる下位のサービスレベルの利用者リストから復帰のための利用者として登録されているか否かを判断するために解読要求を復帰装置30に送信する。
【0123】
復帰装置30は解読要求を受信すると、ステップS960では利用者リストからステップS950で特定された利用者の復帰用の暗号化された秘密鍵を取り出し、それを引数として解読結果をサービス装置40に送信する。
【0124】
サービス装置40は解読結果を受信すると、ステップS970では解読結果に示された秘密鍵を復帰装置30の起動時に指定されたサービスを起動するためのパスワードで復号化してそれを引数とする情報を復帰装置40に送信する。
【0125】
かかる自動起動動作により、サービス装置40は秘密鍵を獲得可能であり、サービスを提供できる状態となる。すなわち、サービス装置40は図14に示すアクセス制御のフローチャートのステップS815が終了した状態と同等となる。
【0126】
また、かかる自動復帰動作によれば、電源のダウン等の理由でサービス装置40が再起動した場合に、利用者にパスワードを再入力させることなくサービス装置40をサービス提供のためのアクセス可能な状態に復帰させるが可能となる。
【図面の簡単な説明】
【0127】
【図1】本発明の実施例を示すシステム構成図である。
【図2】ユーザ管理情報の構成を示す図である。
【図3】グループプロパティ管理情報の構成を示す図である。
【図4】サービス管理情報の構成を示す図である。
【図5】サービスプロパティ管理情報の構成を示す図である。
【図6】サービスレベルプロパティ管理情報の構成を示す図である。
【図7】管理装置の初期起動動作を示すフローチャートである。
【図8】端末装置の利用者を管理装置が認識するための動作シーケンスを示す図である。
【図9】利用者追加動作を示すフローチャートである。
【図10】利用者削除動作を示すフローチャートである。
【図11】サービス追加動作を示すフローチャートである。
【図12】サービスレベル追加動作を示すフローチャートである。
【図13】利用者リスト追加動作を示すフローチャートである。
【図14】アクセス制御動作シーケンスを示す図である。
【図15】本発明の実施例を示すシステム構成図である。
【図16】復帰動作シーケンスを示す図である。
【主要部分の符号の説明】
【0128】
10 認証装置
20 管理装置
30 復帰装置
40 サービス装置
50 端末装置
【特許請求の範囲】
【請求項1】
ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、
前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持する発行保存手段と、
前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信する手段と、
前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信する第1認証情報送信手段と、
前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号する第1復号手段と、
前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信する手段と、
前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信する第2認証情報送信手段と、
前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号する第2復号手段と、
前記第1及び第2復号手段によって各々復号された秘密鍵を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にする手段と、を備えたことを特徴とするサービス管理システム。
【請求項2】
前記通信手段は、前記復号された秘密鍵の他に、認証装置の証明書群、前記管理装置の証明書及びサービスの証明書を通信に用いることを特徴とする請求項1記載のサービス管理システム。
【請求項3】
前記サービス装置の再起動を検出する検出手段と、
前記検出手段によって前記サービス装置の再起動が検出されたとき復帰要求を前記サービス装置に送信する手段と、
前記サービス装置において前記復帰要求に応答してランダム数を送信する手段と、
前記ランダム数を秘密鍵で暗号化して証明書と共に前記サービス装置に送信する手段と、
前記サービス装置において秘密鍵で暗号化された前記ランダム数及び前記証明書に基づいて第1復号手段によって復号された前記暗号化された秘密鍵を得る手段と、を含むことを特徴とする請求項1記載のサービス管理システム。
【請求項4】
ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理方法であって、
前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持し、
前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信し、
前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信し、
前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号し、
前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信し、
前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信し、
前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号し、
その復号された秘密鍵各々を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にすることを特徴とするサービス管理方法。
【請求項1】
ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理システムであって、
前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持する発行保存手段と、
前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信する手段と、
前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信する第1認証情報送信手段と、
前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号する第1復号手段と、
前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信する手段と、
前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信する第2認証情報送信手段と、
前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号する第2復号手段と、
前記第1及び第2復号手段によって各々復号された秘密鍵を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にする手段と、を備えたことを特徴とするサービス管理システム。
【請求項2】
前記通信手段は、前記復号された秘密鍵の他に、認証装置の証明書群、前記管理装置の証明書及びサービスの証明書を通信に用いることを特徴とする請求項1記載のサービス管理システム。
【請求項3】
前記サービス装置の再起動を検出する検出手段と、
前記検出手段によって前記サービス装置の再起動が検出されたとき復帰要求を前記サービス装置に送信する手段と、
前記サービス装置において前記復帰要求に応答してランダム数を送信する手段と、
前記ランダム数を秘密鍵で暗号化して証明書と共に前記サービス装置に送信する手段と、
前記サービス装置において秘密鍵で暗号化された前記ランダム数及び前記証明書に基づいて第1復号手段によって復号された前記暗号化された秘密鍵を得る手段と、を含むことを特徴とする請求項1記載のサービス管理システム。
【請求項4】
ネットワーク内においてサービス装置からサービスの提供を端末装置を介して受ける顧客及びその顧客毎のサービス内容を管理装置にて管理するサービス管理方法であって、
前記管理装置において前記サービス装置について秘密鍵及び公開鍵を予め作成して保持し、
前記サービス装置においてパスワードを含む認証情報要求を前記管理装置に対して送信し、
前記管理装置において前記サービス装置からの前記認証要求に応答して前記パスワードで暗号化された秘密鍵を含む認証情報を前記サービス装置に送信し、
前記サービス装置において前記暗号化された秘密鍵を自身のパスワードによって復号し、
前記端末装置において1の顧客の名称及びパスワードを示す認証情報要求を前記管理装置に対して送信し、
前記管理装置において前記端末装置からの前記認証要求に応答して前記1の顧客のパスワードで暗号化された秘密鍵を含む認証情報を前記端末装置に送信し、
前記端末装置において前記第2認証情報送信手段からの前記暗号化された秘密鍵を自身のパスワードによって復号し、
その復号された秘密鍵各々を少なくとも用いて前記端末装置と前記サービス装置との間で通信を可能にすることを特徴とするサービス管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2007−102815(P2007−102815A)
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願番号】特願2006−355216(P2006−355216)
【出願日】平成18年12月28日(2006.12.28)
【分割の表示】特願2001−354350(P2001−354350)の分割
【原出願日】平成13年11月20日(2001.11.20)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願日】平成18年12月28日(2006.12.28)
【分割の表示】特願2001−354350(P2001−354350)の分割
【原出願日】平成13年11月20日(2001.11.20)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
[ Back to top ]