是在与服务器连接的客户中的访问控制方法,该方法管理在判断服务器是否有对客户的访问权限时所利用的认证局证明书,把认证局证明书作成在规定的条件下可以利用的状态,在对服务器的访问时接受从服务器送来的确定服务器的证明书,在与确定服务器的证明书对应的认证局证明书作为可以利用的状态而存在的情况下、根据比较的结果把对服务器的、以后的访问定为可以。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及访问的控制方法及系统,特别是涉及在业务使用者一侧根据业务提供者一侧提供的业务等、控制对业务提供者一侧系统的访问的方法及装置。
技术介绍
在与通过网络连接的服务器一侧协调地进行作业的通用客户系统中,在能够利用服务器一侧提供的业务的环境中,作为限制利用该业务的技巧存在着下述两种方式限制对通用客户系统本身的利用的方式,当通用客户系统出厂时对该通用客户系统中使用的应用软件本身施加限制其利用的功能、在利用软件时须取得许可证以便在通用客户系统一侧解除该限制;以及服务器管理方式,在服务器一侧对通用客户系统控制对服务器的访问权限、由此来限制利用服务器一侧所提供的业务。在上述限制对通用客户系统本身的利用的方式的情况下、在想利用服务器一侧提供的业务时,通过从许可证服务器接受用于解除限制的解除键并将其装入该通用客户系统,就可以利用业务了。此外,在上述服务器管理方式的情况下,在服务器一侧保存着通用客户系统的许可证信息(通行字等),当利用通过通用客户系统的业务时,在验证了许可证信息之后就可以利用了。但是,有关上述现有技术存在着问题。在限制对通用客户系统本身的利用的方式中,由于客户系统是通用的故在想限制服务器一侧提供的每一个业务的利用的情况下,必须预先由该客户系统来管理限制利用的业务的表格,此外,即使提供了设有限制其利用的新业务、也不能在服务器一侧每一次都将其附加上去。在服务器一侧管理方式中,在利用由通用客户系统送来的通行字对于是不是可以利用业务的通用客户系统进行判断的情况下,在服务器一侧必须有用于通行字管理的系统。在此,当在互联网上接受业务时为了排除窃听等对安全的威胁,有使用称为SSL(安全插入层)及TLS(传送层安全性)的标准规格来确保安全的通信路径的技巧。在当前的www服务器及www浏览器中存储着预定的多个认证局的认证局证明书(在包含认证局公开密钥的认证局信息中,自己以认证局的密钥进行了电子签名的证明书),服务器或客户在确保通信路径时使用该认证局证明书来验证由对方送来的证明书(客户证明书·服务器证明书)的每一个是不是由可靠的认证局发行的,由此可进行某种程度的访问控制。但是,当前的认证局证明书以用于确保安全的通信路径的认证为着眼点,没有确立对应于限制业务的利用及其它条件的认证局证明书的发行、利用的计划。再有,通常,在认证局中以客户为单位审查了客户证明书之后予以发行,想利用新业务的用户每一次都有必要把客户公开密钥、住址等个人信息向认证局递交。
技术实现思路
本专利技术的目的在于提供这样的方法及系统,能够在业务利用者一侧进行对业务提供者一侧的访问控制。本专利技术的另一目的在于提供这样的方法及系统,能够灵活地进行限制每个业务的利用。为了达到上述目的,本专利技术的特征在于,通过把限制利用布置到在判断是否有访问权限时所利用的信息(包含根证明书的认证局证明书等)中,在证明书验证(在SSL中的、确立安全的传输路径时进行的验证等)时只使用可以利用的认证局证明书等,由此进行访问控制。此外,本专利技术的特征在于,进行这样的许可证管理,以随在其后的形式把许可证信息附加到认证局证明书等上,利用该许可证信息限制认证局证明书等的利用,同时每一次都能够附加可以利用的业务。更具体地说,本专利技术是在业务利用者一侧系统(客户系统等)那样的访问一侧的系统(第2系统)中控制对在业务提供者一侧系统(服务器系统等)那样的被访问一侧的系统(第1系统)的访问的方法,该第2系统通过网络等与该第1系统连接起来,该控制方法的特征在于,管理在判断第1系统是否有对第2系统的访问权限时所利用的第1信息(包含根证明书的认证局证明书等),把第1信息作成在规定的条件下可以利用的状态,在对第1系统的访问时接受从第1系统送来的第2信息(确定第1系统的证明书等)、在与第2信息对应的第1信息作为可以利用的状态而存在的情况下比较第1信息与第2信息,并根据比较的结果定为以后可以对第1系统进行访问。在此,所谓规定的条件是涉及限制第1信息的利用那样的条件,例如上述第1信息的有效期限及可以利用上述第1信息的连接目标信息。再有,为了达到上述目的,也可以利用实现上述功能的程序或存储着程序的记录媒体。附图的简单说明附图说明图1为示出本专利技术一实施例的系统结构图。图2为示出把本专利技术应用于客户系统中的一实施例的框图。图3为标记识别信息保管区的数据结构图。图4为涉及许可证信息900的数据结构图。图5为示出可以利用认证局证明书信息暂时保管区内信息的数据结构图。图6为示出许可证服务器的结构之一实施例的框图。图7为示出在取得许可证信息时的客户系统的处理的流程图。图8为涉及许可证信息要求消息的数据结构图。图9为示出在取得许可证信息时的许可证服务器的处理的流程图。图10为示出在取得许可证信息后的客户系统的处理的流程图。图11为示出在验证许可证信息时的客户系统的处理的流程图。图12为示出客户系统的、利用服务器时的处理的流程图。图13为涉及可以利用信息管理部中的利用标记的状态监视的流程图。专利技术的具体实施例方式下面,参照附图,详细地说明本专利技术的实施例,本专利技术并不限定于这些实施例。图1为示出本专利技术一实施例的系统结构图。本系统由认证局服务器100、许可证服务器200、业务提供者服务器300、及业务利用者利用的客户系统400构成,但是各服务器不一定必须是以单一功能分别独立的服务器,例如认证局服务器100及许可证服务器200可由同一主体来运营。在各服务器间、及各服务器与客户系统间可根据需要通过互联网等网络进行连接。认证局服务器100保存着认证局证明书、及在认证局证明书中存储着的与公开密钥成对的密钥,把该认证局证明书通过许可证服务器200提供给客户系统400。本专利技术的认证局证明书例如是把公开密钥附加到亲自以密钥进行了的电子签名上的、自己签名的电子证明书那样的确定认证局的信息,是在服务器证明书验证时可以利用的信息。本专利技术的认证局证明书是可以在标准约定的SSL中利用的也好、或者是在另外的约定中利用的也好,在与标准约定的SSL并用的情况下、利用SSL的功能都能保证安全的通信路径确保。此外,对业务提供者服务器300发行业务提供者用电子证明书(服务器证明书)。所谓本专利技术中的服务器证明书例如是包含业务提供者保存着的公开密钥对中的公开密钥的电子证明书、是以与在认证局服务器100的认证局证明书中存储着的公开密钥成对的密钥进行了电子签名的证明书那样的确定业务提供者的信息。服务器证明书的合法性利用附加在认证局服务器100提供的认证局证明书中的公开密钥来验证。业务提供者服务器300根据来自客户系统400的访问对业务利用者提供业务。许可证服务器200供给许可证信息,该信息许可利用业务利用者为了在客户系统400中利用特定的业务而使用的认证局证明书。更为理想的是,持有在亲自用密钥进行了自己电子签名的证明书中附加了公开密钥的自己签名的电子证明书,把许可证信息通过许可证服务器的密钥作成电子签名来供给。客户系统400具备用于利用业务提供者服务器300的业务的访问控制系统。图2为示出本专利技术的客户系统的结构的框图。客户系统400具有进行用于利用业务的许可证验证的基于系统410;以及保管业务利用中使用的认证局证明书及与其关联的许可证信息的客户利用标记510。客户利用标记510与基本文档来自技高网...
【技术保护点】
一种访问控制方法,是在第2系统中控制对第1系统的访问的方法,该第2系统通过网络与上述第1系统连接起来,该控制方法的特征在于,管理在判断上述第1系统是否有对上述第2系统的访问权限时所利用的第1信息,把该第1信息作成在规定的条件下可以利 用的状态,在对上述第1系统的访问时接受从上述第1系统送来的第2信息,判断有没有与该第2信息对应的、处于可以利用的状态下的第1信息,在处于上述可以利用的状态下的第1信息存在的情况下,使用该第1信息来验证上述第2信息,根据该验证结果 进行控制,以便允许对上述第1系统的、以后的访问。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:川连嘉晃,千叶宽之,渡边清,森田光,
申请(专利权)人:株式会社日立制作所,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。