Nothing Special   »   [go: up one dir, main page]

JP2007279775A - Web server authentication system capable of performing web access point authentication (wapa) - Google Patents

Web server authentication system capable of performing web access point authentication (wapa) Download PDF

Info

Publication number
JP2007279775A
JP2007279775A JP2004195208A JP2004195208A JP2007279775A JP 2007279775 A JP2007279775 A JP 2007279775A JP 2004195208 A JP2004195208 A JP 2004195208A JP 2004195208 A JP2004195208 A JP 2004195208A JP 2007279775 A JP2007279775 A JP 2007279775A
Authority
JP
Japan
Prior art keywords
server
authentication
web server
web
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004195208A
Other languages
Japanese (ja)
Inventor
Akihiko Narita
明彦 成田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2004195208A priority Critical patent/JP2007279775A/en
Priority to PCT/JP2004/013973 priority patent/WO2006003725A1/en
Publication of JP2007279775A publication Critical patent/JP2007279775A/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a Web server authentication system capable of performing Web access point authentication(WAPA). <P>SOLUTION: This Web server authentication system includes: a server authentication system incorporated in a Web server; a client terminal; and an authentication information registration server for storing authentication information. The Web server includes: a browsing request receiving means for receiving a browsing request and a server authentication request from the client terminal; an authentication information inquiry means for making inquiry about the authentication information of the Web server to the authentication information registration server; an authentication information receiving means for receiving the authentication information as the result of inquiry; an authentication information adding means for adding the authentication information to a Web content; and a Web content transmitting means for transmitting the Web content to the client terminal. The authentication information registration server stores the authentication information and the user identification information. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、ウェブサーバー認証システムに関する。   The present invention relates to a web server authentication system.

近年、インターネットの普及が著しく、これに伴い従来よりセキュリティ上の問題が生じている。このため、ウェブサイトの安全性を確認することが重要なセキュリティ対策の一つとなっている。   In recent years, the spread of the Internet has been remarkable, and accordingly, security problems have arisen from the past. For this reason, confirming the safety of websites is an important security measure.

特開2003−337797号公報JP 2003-337797 A 特開2002−373080号公報JP 2002-373080 A

たとえば特開2003−337797「Webサイト安全度認証システム、方法及びプログラム」においては、プロバイダ(ISP)のプログラムがサイト安全度調査を行い、データベースに安全度を格納し、ユーザーのブラウザに対してこの安全度の情報を知らせるシステムが提案されている。
また特開2002−373080「クライアント・サーバ・システム」においては、移動電話機にサーバからコンテンツをダウンロードするシステムにおいて、適正なゲームダウンロードファイル等を適正なサーバから受信したかどうかのセキュリティ・認証チェックを行うシステムが提案されている。
また、特開2002−140309「サービスシステム」においては、サーバ、クライアント間のデータ配送を、データ中継装置を解して行い、クライアントに対しサーバがサービスを提供するシステムが提案されており、サーバ管理サーバがデータ中継処理サーバと接続されて備えられ、サーバ装置を認証するためのサーバ認証情報が管理されており、サーバを認証した上で、クライアント、サーバ間のデータ配送を行うことが記載されているが、クライアントにおいては特にウェブサーバの認証を行うものではない。 For example, in Japanese Patent Application Laid-Open No. 2003-337797 “Website safety level authentication system, method and program”, a provider (ISP) program conducts a site safety level survey, stores the safety level in a database, A system for informing safety level information has been proposed.
Japanese Patent Laid-Open No. 2002-373080 “Client / Server System” performs a security / authentication check as to whether an appropriate game download file or the like has been received from an appropriate server in a system for downloading content from a server to a mobile phone. A system has been proposed.
Japanese Patent Laid-Open No. 2002-140309 “Service System” proposes a system in which data delivery between a server and a client is performed via a data relay device, and the server provides a service to the client. It is described that the server is connected to the data relay processing server, server authentication information for authenticating the server device is managed, and data is delivered between the client and the server after authenticating the server. However, the client does not particularly authenticate the web server.

今日では、誰がウェブサーバにアクセスしているかのウェブサーバ認証を補助する多数の技術の使用が可能である。しかしながら、このような技術では、エンドユーザーが非認証のウェブサイトにアクセスしてしまうことを防止することはできない。たとえば、ハッカーは、ログインおよびパスワード情報を盗む目的で、本物のホームバンキング・ウェブページと全く同じように偽装されたホームバンキング・ウェブページを作成し、エンドユーザーがここにアクセスするよう企む場合がある。   Today, a number of techniques are available that assist in web server authentication of who is accessing the web server. However, such technology cannot prevent end users from accessing unauthenticated websites. For example, a hacker may create a home banking web page that is spoofed just like a real home banking web page for the purpose of stealing login and password information, and end users may attempt to access it here. .

コンピュータ技術は日ごと複雑化しているが、インターネット・セキュリティの問題の複雑性はこれを上回る。さらに、これらに伴う危険性とその解決法を理解しようとする以前に、セキュリティ問題そのものの存在を理解することが困難な場合もある。
一例として、従来の現金自動預払機(ATM)を使用してWAPAが解決可能な問題について説明する。
ATMを使用したいと思った場合、まずATMを探さなければならない。ATMは、ほとんどの都市エリアに多数設置されているため、ATMの標示を探せば容易に見つけることができる。ATMを見つけたら、通常、ATMカードを挿入し、PINナンバーを入力することで容易に操作できる。ATMを操作するエンドユーザーの図を図1に示す。 Computer technology is becoming more complex every day, but the complexity of Internet security issues exceeds that. In addition, it may be difficult to understand the existence of the security problem itself before trying to understand the risks involved and their solutions.
As an example, the problem that WAPA can solve using a conventional automatic teller machine (ATM) will be described.
If you want to use an ATM, you must first find an ATM. Many ATMs are installed in most urban areas, so you can easily find them by looking for ATM signs. If you find an ATM, you can usually easily operate it by inserting an ATM card and entering a PIN number. A diagram of an end user operating an ATM is shown in FIG.

ATM自体の外観と感じは設置場所によって異なる。しかし、通常、ATMが信頼できるものであるか否かを疑問に思うことは恐らくないだろう。ATMに「エラー」または「サービス停止中」と表示されることがある。ATMからATMカードが返却されない場合を除いて、このような問題が銀行に報告されることは少ない。しかし、そのATMが信頼できるものでなかった場合には、図2に示されるように、カード情報およびPINナンバーを記録した後にカードを返却し、ディスプレイ上に「エラー」とだけ表示するということがあり得る。   The appearance and feel of the ATM itself varies depending on the installation location. However, it is usually not afraid to question whether an ATM is reliable. ATM may display “Error” or “Service stopped”. Such problems are rarely reported to banks unless the ATM card is not returned from the ATM. However, if the ATM is not reliable, as shown in FIG. 2, after the card information and PIN number are recorded, the card is returned and only “error” is displayed on the display. possible.

本物のATMに収集された情報を、ハッカーが「仲介者」となって転送するというさらに上級な手口もある。このような場合には、図3に示すように、ハッカーは、エンドユーザーに対してあたかもATM取り引きが完了したように見せかけ、多額の現金を引き出すことが可能である。
図2、図3に示した詐欺行為は、エンドユーザーがATMを認証する技術にアクセスしていれば防止することが可能である。実際には、ハッカーが偽装ATMを製造し、これを上手く公共の場所に設置することは考えられない。
しかしながら、ウェブサイトはデジタルであるため、ATMよりも容易に模造できる。今日では、後述するように、エンドユーザーのインターネットアクセス・トラフィックをルート変更することが可能なハッキング方法が知られている。ハッカーは、これらすべての詐欺行為をATMの時よりもより慎重かつ匿名で実行することができる。ウェブ・アクセスポイント認証(WAPA)は、エンドユーザーのためにウェブサイトを認証する技術である。 There is also a more advanced technique in which hackers transfer information collected in real ATMs as “brokers”. In such a case, as shown in FIG. 3, the hacker can make it appear as if the ATM transaction is completed to the end user and withdraw a large amount of cash.
The fraudulent acts shown in FIGS. 2 and 3 can be prevented if the end user has access to technology for authenticating ATMs. In practice, it is unthinkable for a hacker to manufacture a fake ATM and install it successfully in a public place.
However, because the website is digital, it can be more easily imitated than ATM. Today, as described below, hacking methods are known that can reroute end-user Internet access traffic. Hackers can perform all these scams more carefully and anonymously than at ATM. Web Access Point Authentication (WAPA) is a technology that authenticates websites for end users.

ハッカーの目的は、エンドユーザーを騙し、ハッカーによって作成された偽装ウェブサイトに秘密情報を入力させることである。これは、ウェブアプリケーションによっては相当簡単に行うことができる。
現在、公共の場所において、ホットスポットと呼ばれる無線802.11bアクセスポイントを介したインターネットアクセスが可能である。通常、ホットスポットは、コーヒーショップ、駅、空港のような公共の場所において高速無線インターネット接続を提供する営利サービスである。無線通信(802.11b)が可能なモバイル機器を使用すれば、ユーザは空港で電子メールをチェックしたり、コーヒーショップから映画のチケットを購入したりすることができる。市販のホットスポットは、エンドユーザーが自己認証を行なうことで、サービスの使用をその顧客のみに制限している。これは、ホットスポットに接続後、ウェブブラウザを開始した際に、最初に表示されるホットスポットウェブページにログイン名とパスワードを入力することで実行される。 The purpose of the hacker is to trick the end user into entering confidential information on a fake website created by the hacker. This can be done fairly easily for some web applications.
Currently, Internet access via a wireless 802.11b access point called a hot spot is possible in public places. Hotspots are typically commercial services that provide high-speed wireless Internet access in public places such as coffee shops, train stations, and airports. If a mobile device capable of wireless communication (802.11b) is used, the user can check e-mails at the airport or purchase movie tickets from a coffee shop. Commercial hotspots use end users to self-authenticate to limit service usage to their customers only. This is executed by entering a login name and password in the hot spot web page that is displayed first when the web browser is started after connecting to the hot spot.

ホットスポットへの接続方法では、図4に示されるように、特定の無線ネットワークに接続するようにモバイル機器を構成する。これは、モバイル機器を特定のSSIDに接続するように構成することで実行できる。SSID(サービス設定識別)は無線ネットワークの名称である。モバイル機器が無線接続を試みると、モバイル機器内に構成されたSSIDと同一のSSIDを持ったアクセスポイントを探す。間違ったSSIDを持ったアクセスポイント見つけてしまった場合には、そのアクセスポイントは拒否され、正確なSSIDを持った別のアクセスポイントを引き続き探す。同一の正確なSSIDを持った複数のアクセスポイントを見つけた場合には、最高の無線接続を実施するために、最良の信号を供給しているアクセスポイントと接続する。すべての802.11b無線アクセスポイントの信号強度はFCC(連邦通信委員会)によって30ミリワットに規制されている。   In the hotspot connection method, as shown in FIG. 4, the mobile device is configured to connect to a specific wireless network. This can be done by configuring the mobile device to connect to a specific SSID. SSID (service setting identification) is the name of the wireless network. When the mobile device attempts a wireless connection, the mobile device searches for an access point having the same SSID as the SSID configured in the mobile device. If an access point with the wrong SSID is found, the access point is rejected and another search point with the correct SSID continues to be searched. When a plurality of access points having the same accurate SSID are found, in order to perform the best wireless connection, the access point supplying the best signal is connected. The signal strength of all 802.11b wireless access points is regulated to 30 milliwatts by the FCC (Federal Communications Commission).

理論上、ハッカーは、同一のホットスポット・ロケーションにおいて、より強い信号強度と、ホットスポットと同一のSSIDを持った無線アクセスポイントを設定することができる。この設定により、全てのホットスポットユーザを、エンドユーザーに気付かれることなく、ハッカーが設置した無線アクセスポイントに強制的に接続させることが可能である。ハッカーは、ホットスポット認証画面を模造したウェブページを提供し、全てのユーザ名とパスワードを記憶する。ログイン名とパスワードが入力されたら、「ホットスポットは現在使用不能です。時間をおいて接続してください。」といったエラーメッセージを表示する少々の創造性があれば、ユーザは騙されてしまうようである。これは、第2節で示した図2のATMの例と類似している。
今日では、このタイプのウェブアプリケーションの設定は、例えば、http://airsnarf.shmoo.com/においてShmooグループが発行しているAirsnarfというフリーツールを使用すれば容易に行うことができる。
さらに上級の賢いハッカーは、自分のウェブサーバへの全てのトラフィックをホットスポットにルート変更させながら、エンドユーザーに通常通りホットスポットを使用させ続けることができる。この方法を用いれば、ハッカーはエンドユーザーが実行することをすべて見ることができる。
たとえば、エンドユーザーが自分のホームバンキングにアクセスしている場合、ハッカーはアクセス中の情報を盗むことができる。これは、第2節の図3に示したATMの例と類似している。これらの方法を使用してホットスポットをハッキングすることで、ハッカーは、最低でもホットスポットに接続するためのユーザ名とパスワードを盗み取ることができる。これは、そのホットスポットのウェブサーバが本物であるか否かをエンドユーザーが認証できれば防止することが可能であった。 Theoretically, a hacker can set up a wireless access point with a stronger signal strength and the same SSID as the hot spot at the same hot spot location. With this setting, all hot spot users can be forcibly connected to a wireless access point installed by a hacker without the end user being aware of it. The hacker provides a web page that mimics the hotspot authentication screen and stores all user names and passwords. Once the login name and password are entered, the user appears to be deceived with a little creativity that displays an error message such as "The hotspot is currently unavailable. Please connect after a while." . This is similar to the ATM example of FIG. 2 shown in Section 2.
Today, this type of web application can be easily configured using a free tool called Airsnarf published by the Shmoo group at http://airsnarf.shmoo.com/, for example.
Advanced smart hackers can continue to let the end user use the hotspot as usual, with all traffic to their web server rerouted to the hotspot. With this method, hackers can see everything the end user does.
For example, if an end user is accessing their home banking, hackers can steal the information they are accessing. This is similar to the ATM example shown in FIG. 3 in Section 2. By using these methods to hack a hot spot, a hacker can at least steal a username and password for connecting to the hot spot. This could be prevented if the end user can authenticate whether the web server of the hotspot is authentic.

URLスプーフィングという技術を使用することで、ユーザを偽装されたウェブサイトへ転送することが可能である。
たとえば、ユーザはhttp://www.visa.comと表示されたあるリンク上をクリックしたが、実際にはhttp://www.hacker_web_site.comへ転送されてしまう。URLに嵌め込んだ特別なコードを使用することで、ブラウザを騙し、http://www.visa.comと表示することができるが、実際にはhttp://www.hacker_web_site.comからのウェブページが表示される。スパムメールを使って、URLスプーフィングリンクがエンドユーザーに送信される。少々のシステム工学を用いるだけで、ユーザは偽装されたウェブページにアクセスし、自分のユーザ名/パスワード情報を入力してしまうようである。 By using a technique called URL spoofing, a user can be transferred to a camouflaged website.
For example, the user clicks on a link labeled http://www.visa.com, but is actually redirected to http://www.hacker_web_site.com. By using a special code inserted in the URL, you can trick the browser and display it as http://www.visa.com, but in fact the web from http://www.hacker_web_site.com A page is displayed. A URL spoofing link is sent to the end user using spam mail. With just a little system engineering, the user appears to access a camouflaged web page and enter his username / password information.

先のホットスポット・ハッキングの例は、無線信号を使用してエンドユーザーをハッカーのウェブサイトに転送するものであった。エンドユーザーを別のウェブサイトへ転送することはLAN上でも可能である。
特定のウェブサイトへのアクセスは、特定のウェブサイトの適切なURLをブラウザに入力することによって行われる。
たとえば、Yahooのウェブサイトにアクセスするためには、ユーザはブラウザに例えばhttp://www.yahoo.com/のようなURLを入力する。このようなURL名は、実際は「66.218.70.48」といったネットワークアドレス(IPアドレス)のエイリアス(別名定義)である。通常、このようなネットワークアドレスを記憶しておくことは難しいため、URL名をネットワークアドレスへ自動変換するサービスが提供されている。DNS(ドメインネームサーバー)は、ドメイン名とネットワークアドレスのテーブルを保持している。インターネット上には多数のDNSサーバが存在しているため、各コンピュータは、URL名をネットワークアドレスに変換する際に、特定のDNSサーバを使用するように構成されている。 The previous hotspot hacking example used wireless signals to transfer end users to a hacker's website. It is also possible to transfer end users to another website on the LAN.
Access to a particular website is accomplished by entering the appropriate URL for the particular website into the browser.
For example, to access a Yahoo website, a user enters a URL such as http://www.yahoo.com/ into a browser. Such a URL name is actually an alias (alias definition) of a network address (IP address) such as “66.218.70.48”. Usually, since it is difficult to store such a network address, a service for automatically converting a URL name into a network address is provided. DNS (Domain Name Server) holds a table of domain names and network addresses. Since there are many DNS servers on the Internet, each computer is configured to use a specific DNS server when converting a URL name to a network address.

理論上、DNSサーバに入力されたネットワークアドレスを変更することによって、エンドユーザーを偽装されたウェブサーバにアクセスするよう自動転送することが可能である。これを実行するためには、ハッカーはDNSサーバをハッキングする必要がある。これは平凡に起こることではないが、不可能ではない。
これ以外にも、エンドユーザーのコンピュータで、「c:\windows\system32\drivers\etc\hosts」ファイル内のDNS設定をハッカーのDNSサーバに合わせるように再構成する方法がある。このような再構成は、悪意あるコードを使用して実行可能であり、あるいは、システム工学によってさえも実行可能である。ハッカーは、ホームバンキング・サイトのような秘密情報を扱うウェブサイトのネットワークアドレスを再構成することで、エンドユーザーに気付かれることなく、ホームバンキングへの全てのアクセスを自分が偽装したホームバンキング・ウェブページへ強制転送させることができる。ここでも、ログイン名およびパスワードの入力後に、たとえば「現在ホームバンキングは使用不可能です。時間をおいて接続して下さい。」のようなエラーメッセージを表示するといった少々の創造性があれば、エンドユーザーは騙されてしまう傾向にある。これは、図2に示したATMの例と類似している。
より上級で賢いハッカーなら、自分が偽装したホームバンキング・ウェブサーバへの全てのトラフィックを、実際のホームバンキング・ウェブサイトへルート変更することさえも可能である。この方法を用いれば、ハッカーはエンドユーザーがこのウェブサイト上で実行することをすべて見ることができる。これは、図3に示したATMの例と類似している。ハッカーは、これらのウェブサイトのハッキング方法を使用することで、最低でも秘密情報を扱うウェブサイトへのユーザ名とパスワードを盗み取ることができる。この盗難は、そのウェブサーバが本物であるか否かをユーザが認証できれば防止することが可能であった。 Theoretically, by changing the network address entered in the DNS server, it is possible to automatically forward the end user to access the camouflaged web server. In order to do this, the hacker needs to hack the DNS server. This is not a common occurrence, but it is not impossible.
In addition, there is a method of reconfiguring the end user computer so that the DNS setting in the “c: \ windows \ system32 \ drivers \ etc \ hosts” file matches the hacker's DNS server. Such reconfiguration can be performed using malicious code or even by system engineering. Hackers can reconfigure the network address of websites that handle confidential information, such as home banking sites, so that they can impersonate all access to home banking without the end user being aware of it. Can be forcibly transferred to a page. Again, after entering your login name and password, if you have a little creativity, such as displaying an error message such as "Home banking is currently unavailable. Please connect after a while." Tend to be deceived. This is similar to the ATM example shown in FIG.
A more advanced and smart hacker can even reroute all traffic to the home banking web server that she impersonated to the actual home banking website. Using this method, hackers can see everything the end user does on this website. This is similar to the ATM example shown in FIG. By using these website hacking methods, hackers can at least steal user names and passwords to websites that handle confidential information. This theft could be prevented if the user can authenticate whether the web server is authentic or not.

さらに、今日、多くの企業がインターネット上で顧客との対話を行なっている。こうした企業のほとんどが、インターネット上での自社ウェブサーバの安全性の確保に多大な経費と労力を投資している。朗報は、データ暗号化には、様々なユーザ認証といった多数の技術が存在し、このような技術を用いることが、システムの安全性をかなり向上させる補助となることである。企業は、このような技術を用いることで、誰が自社サーバにアクセスしているかを確実に知り、さらに、ウェブサーバ上のデータを保護することが可能となる。
しかしながら、このようなセキュリティ・ソリューションはウェブ・アクセスポイント認証(WAPA)を採用したものではない。これらのセキュリティ・ソリューションは、ウェブサーバをハッカーから保護する助けとなるが、正確にはエンドユーザーをハッカーから直接保護するものなのである。インターネット通信で使用される暗号化のような解決法(例えばWEP、SSH)は、ハッカーによって傍受された場合にデータを保護するだけである。ユーザ認証はユーザ自身を証明できるだけで、エンドユーザーに対してウェブサーバを認証することはない。つまり、これら技術のいずれも、ユーザをWAPAハッカーから保護するものではない。 In addition, many companies today interact with customers over the Internet. Most of these companies have invested a great deal of money and effort in securing their web servers over the Internet. The good news is that there are many techniques for data encryption, such as various user authentications, and the use of such techniques helps to significantly improve the security of the system. By using such a technology, a company can surely know who is accessing its own server, and can protect data on the web server.
However, such security solutions do not employ web access point authentication (WAPA). These security solutions help protect the web server from hackers, but precisely protect end users directly from hackers. Solutions such as encryption used in Internet communications (eg WEP, SSH) only protect data if intercepted by hackers. User authentication only proves the user himself, it does not authenticate the web server to the end user. That is, none of these technologies protects users from WAPA hackers.

今日、エンドユーザーに対してウェブサーバを認証することを目的とした製品または技術は市場に知られていない。現在のところ、ウェブ認証はウェブサーバによってのみ実施されている。たとえば、ウェブサーバは、誰がウェブサーバにアクセスしているかの認証を行なうために、Active Directory、あるいはアクセス/ユーザ管理ソフトウェアを使用してアクセス制御を実行することが可能である。しかし、この技術は、ユーザがウェブサーバを本物であると認証するために使用することはできない。   Today, there are no products or technologies in the market that are aimed at authenticating web servers to end users. Currently, web authentication is only performed by web servers. For example, the web server can perform access control using Active Directory or access / user management software to authenticate who is accessing the web server. However, this technique cannot be used by a user to authenticate a web server as authentic.

そこで、本発明においては、上記の様々な課題を解決し、エンドユーザーに対してウェブサーバ証明を提供する新しいインターネット技術である、ウェブ・アクセスポイント認証(WAPA)を提供することを目的とする。
ウェブ・アクセスポイント認証は、単なる従来のウェブサーバ認証ではなく、ユーザ名およびパスワードといった秘密情報を送信する前に、そのウェブサーバが本物であるか否かを認証する上での、エンドユーザーの補助を目的とするものである。ターゲットとされるアプリケーションは、ユーザ名およびパスワードといった秘密情報の入力を最初にユーザに要求してくるウェブサービスであり、これにはホットスポット無線アクセスポイント、ホームバンキング・ウェブサイトのようなサービスが含まれる。
ウェブ・アクセスポイント認証(WAPA)はクライアントサーバ・アプリケーションである。たとえばサーバコンポーネントはウェブサーバ上に常駐しており、クライアントコンポーネントはActiveX(商標)コントロールなどである。これにより、あるウェブサーバが本物か偽装されたものであるかを証明するために、エンドユーザーにとって使いやすい方法を提供する。中心となる認証アルゴリズムが、公開キー暗号化アルゴリズムに基づいて実現される。 Accordingly, an object of the present invention is to solve the above-mentioned various problems and provide web access point authentication (WAPA), which is a new Internet technology that provides web server certification to end users.
Web access point authentication is not just traditional web server authentication, but assists end users in authenticating whether the web server is genuine before sending confidential information such as username and password. It is intended. Targeted applications are web services that first require the user to enter confidential information such as username and password, including services such as hotspot wireless access points and home banking websites. It is.
Web access point authentication (WAPA) is a client-server application. For example, the server component resides on a web server, and the client component is an ActiveX control. This provides an easy-to-use method for end users to prove whether a web server is real or impersonated. A central authentication algorithm is realized based on a public key encryption algorithm.

上記課題を解決するため、請求項1に記載の発明においては、
ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムであって、
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、
ウェブサーバーごとに設定され、当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーに対し、クライアント端末からの閲覧要求およびサーバー認証要求に応答して、当該ウェブサーバーの認証情報を照会する認証情報照会手段と、
前記認証情報登録サーバーに対する照会の結果、当該ウェブサーバーの認証情報があった場合には当該認証情報を受信する認証情報受信手段と、
クライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求に対応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段と、
前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信するウェブコンテンツ送信手段とを備えた、ウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 1,
A server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network through a browser,
A browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
In response to the browsing request and the server authentication request from the client terminal, the authentication information of the web server is set in response to the browsing request and the server authentication request from the client terminal. An authentication information query means for querying;
As a result of the inquiry to the authentication information registration server, if there is authentication information of the web server, authentication information receiving means for receiving the authentication information;
In response to a web content browsing request and server authentication request from a client terminal, authentication information adding means for adding received authentication information to the web content;
A web server authentication system comprising web content transmission means for transmitting web content to which the authentication information is added to the client terminal.

また、上記課題を解決するため、請求項2に記載の発明においては、
ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムと、前記ウェブサーバーにアクセスするクライアント端末と、ウェブサーバーごとに設定され当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーと、を含み構成されるシステムであって、
前記ウェブサーバーは、
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、
ウェブサーバーごとに設定され、当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーに対し、クライアント端末からの閲覧要求およびサーバー認証要求に応答して、当該ウェブサーバーの認証情報を照会する認証情報照会手段と、
前記認証情報登録サーバーに対する照会の結果、当該ウェブサーバーの認証情報があった場合には当該認証情報を受信する認証情報受信手段と、
クライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求に対応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段と、
前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信するウェブコンテンツ送信手段とを備えており、
前記認証情報登録サーバーは、当該ウェブサーバーの認証を行うための認証情報と、クライアント端末において前記サーバー認証システムを利用するユーザーごとのユーザー識別情報とを少なくとも記憶した、ウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 2,
A server authentication system provided in a web server for performing web server authentication when accessing any server connected to the network via a browser, a client terminal accessing the web server, and each web server An authentication information registration server configured to store authentication information for setting and authenticating the web server,
The web server
A browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
In response to the browsing request and the server authentication request from the client terminal, the authentication information of the web server is set in response to the browsing request and the server authentication request from the client terminal. An authentication information query means for querying;
As a result of the inquiry to the authentication information registration server, if there is authentication information of the web server, authentication information receiving means for receiving the authentication information;
In response to a web content browsing request and server authentication request from a client terminal, authentication information adding means for adding received authentication information to the web content;
Web content transmission means for transmitting the web content to which the authentication information is added to the client terminal;
The authentication information registration server is a web server authentication system that stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system in a client terminal. It is a feature.

また、上記課題を解決するため、請求項3に記載の発明においては、
前記クライアント端末には、ウェブコンテンツ閲覧要求とともにサーバー認証要求を前記ウェブサーバーに送信する認証要求送信手段と、
前記ウェブサーバーごとの公開鍵を記憶するサーバー公開鍵記憶手段が備えられた、ウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 3,
In the client terminal, an authentication request transmitting means for transmitting a server authentication request to the web server together with a web content browsing request;
It is a web server authentication system provided with server public key storage means for storing a public key for each web server.

また、上記課題を解決するため、請求項4に記載の発明においては、
クライアント端末から送信され、前記ウェブサーバーにおいて前記閲覧要求受信手段が受信するサーバー認証要求には、前記サーバー認証システムのユーザー識別情報が含まれる、請求項1〜3のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 4,
The web server authentication according to any one of claims 1 to 3, wherein the server authentication request transmitted from the client terminal and received by the browsing request receiving means in the web server includes user identification information of the server authentication system. It is characterized by being a system.

また、上記課題を解決するため、請求項5に記載の発明においては、
クライアント端末から送信され、前記ウェブサーバーにおいいて前記閲覧要求受信手段が受信するサーバー認証要求には、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求が含まれる、請求項1〜4のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 5,
The server authentication request transmitted from the client terminal and received by the browsing request reception unit in the web server includes a response request indicating whether or not the web server includes the server authentication system. 4. The web server authentication system according to any one of 4).

また、上記課題を解決するため、請求項6に記載の発明においては、
前記認証情報照会手段は、前記認証情報登録サーバーに対し、当該ウェブサーバーの認証情報を照会する際に、前記ユーザー識別情報を含む照会要求を送信する、請求項1〜5のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 6,
The said authentication information inquiry means transmits the inquiry request | requirement containing the said user identification information, when inquiring the authentication information of the said web server with respect to the said authentication information registration server. It is a web server authentication system.

また、上記課題を解決するため、請求項7に記載の発明においては、
前記認証情報照会手段は、ウェブサーバーごとに設定されているとともに、さらにユーザー識別情報に対応してあらかじめ記憶されている当該ウェブサーバーの認証情報を、ユーザー識別情報に基づき照会する、請求項6に記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 7,
The authentication information inquiry means is configured for each web server, and further inquires authentication information of the web server stored in advance corresponding to the user identification information based on the user identification information. It is the web server authentication system described.

また、上記課題を解決するため、請求項8に記載の発明においては、
ウェブサーバーごとに設定されているとともに、ユーザー識別情報に対応してあらかじめ記憶されている前記ウェブサーバーの認証情報は、クライアント端末において生成されたユーザーごとの認証情報を当該ユーザーの公開鍵を用いて暗号化し、次いで当該ウェブサーバーの公開鍵を用いて暗号化した後に、前記認証情報登録サーバーに登録するウェブサーバー登録により記憶されたものである、請求項1〜7のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 8,
The authentication information of the web server that is set for each web server and is stored in advance corresponding to the user identification information is obtained by using the public key of the user for the authentication information for each user generated in the client terminal. The web server according to any one of claims 1 to 7, wherein the web server is stored by web server registration to be registered in the authentication information registration server after being encrypted and then encrypted using the public key of the web server. It is an authentication system.

また、上記課題を解決するため、請求項9に記載の発明においては、
クライアント端末からいずれかのウェブサーバーにアクセスした際に、クライアント端末から送信されたサーバー認証要求に含まれる、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求に対し、当該ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答し、当該ウェブサーバーが前記サーバー認証システムを備えていない場合にはその旨を応答しない、請求項5〜8のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 9,
When a web server is accessed from a client terminal, the web server responds to a response request included in the server authentication request transmitted from the client terminal whether the web server includes the server authentication system. If it is provided with the server authentication system, a response to that effect is made, and if the web server is not equipped with the server authentication system, a response to that effect is not made. It is a web server authentication system.

また、上記課題を解決するため、請求項10に記載の発明においては、
前記クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されている場合には、前記ウェブサーバーから受信したウェブコンテンツに付加された前記認証情報を、当該クライアント端末を利用するユーザーの秘密鍵を用いて解読し、当該認証情報の正当性を判定する、請求項1〜9のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 10,
When the public key of the web server for decrypting the authentication information added to the web content is stored in the client terminal, the authentication information added to the web content received from the web server is stored. The web server authentication system according to any one of claims 1 to 9, wherein the authentication is performed using a secret key of a user who uses the client terminal to determine validity of the authentication information.

また、上記課題を解決するため、請求項11に記載の発明においては、
当該認証情報が正当でないと判定された場合には、前記クライアント端末において警告が表示される、請求項10に記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 11,
The web server authentication system according to claim 10, wherein a warning is displayed at the client terminal when it is determined that the authentication information is not valid.

また、上記課題を解決するため、請求項12に記載の発明においては、
前記クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されていない場合において、前記ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答するとともに、ウェブサーバー登録をするか否かを当該クライアント端末を利用するユーザーに対し選択させる、請求項10または11のいずれかに記載のウェブサーバー認証システムであることを特徴としている。 In order to solve the above problem, in the invention according to claim 12,
When the public key of the web server for decrypting the authentication information added to the web content is not stored in the client terminal, if the web server includes the server authentication system, that fact The web server authentication system according to claim 10 or 11, wherein a user who uses the client terminal selects whether or not to perform web server registration.

本発明によれば、エンドユーザーに対してウェブサーバ証明を提供する新しいインターネット技術である、ウェブ・アクセスポイント認証(WAPA)を提供することができる。
ウェブ・アクセスポイント認証は、単なる従来のウェブサーバ認証ではなく、ユーザ名およびパスワードといった秘密情報を送信する前に、そのウェブサーバが本物であるか否かを認証する上での、エンドユーザーの補助を目的とするものである。ターゲットとされるアプリケーションは、ユーザー名およびパスワードといった秘密情報の入力を最初にユーザに要求してくるウェブサービスであり、これにはホットスポット無線アクセスポイント、ホームバンキング・ウェブサイトのようなサービスが含まれる。
これにより、あるウェブサーバが本物か偽装されたものであるかを証明するために、エンドユーザーにとって使いやすい方法を提供する。中心となる認証アルゴリズムが、公開キー暗号化アルゴリズムに基づいて実現される。 According to the present invention, it is possible to provide Web Access Point Authentication (WAPA), which is a new Internet technology that provides web server certification to end users.
Web access point authentication is not just traditional web server authentication, but assists end users in authenticating whether the web server is genuine before sending confidential information such as username and password. It is intended. Targeted applications are web services that first require users to enter confidential information such as username and password, including services such as hotspot wireless access points and home banking websites. It is.
This provides an easy-to-use method for end users to prove whether a web server is real or impersonated. A central authentication algorithm is realized based on a public key encryption algorithm.

以下、本発明の実施の形態について図面を参照して説明する。
図5は、本発明のシステムの基本的な構成の一例を示すシステム構成図である。
本発明のシステムは、ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムである。
すなわち、本発明のシステムを利用するように設定されたいずれかのウェブサーバーである。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 5 is a system configuration diagram showing an example of a basic configuration of the system of the present invention.
The system of the present invention is a server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network via a browser.
That is, any web server set to use the system of the present invention.

また、本発明のシステムは、ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムと、前記ウェブサーバーにアクセスするクライアント端末と、ウェブサーバーごとに設定され当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーと、を含み構成されるシステムである。
すなわち、本発明のシステムを利用するように設定されたいずれかのウェブサーバーと、これと連携して動作する、ウェブサーバーごとの認証情報を記憶した認証情報登録サーバーとから構成されている。 In addition, the system of the present invention accesses a server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network via a browser, and the web server. The system includes a client terminal and an authentication information registration server that stores authentication information that is set for each web server and authenticates the web server.
That is, it is composed of any web server that is set to use the system of the present invention and an authentication information registration server that stores the authentication information for each web server and operates in cooperation therewith.

また、ウェブサーバーごとの公開鍵をユーザーが利用可能な状態に記憶する公開鍵サーバーが設けられる。公開鍵サーバーは、ウェブサーバーごとの公開鍵を用いて、ユーザーがクライアント端末において当該ウェブサーバーごとの公開鍵をローカルデータベースに記憶させ、サーバーごとの認証情報を前記の認証情報登録サーバーに登録することにより、サーバー登録処理をするためのものである。   In addition, a public key server is provided that stores a public key for each web server in a state usable by the user. The public key server uses the public key for each web server, and the user stores the public key for each web server in the local database at the client terminal, and registers the authentication information for each server in the authentication information registration server. Thus, the server registration process is performed.

本発明のサーバーシステムに接続するためのユーザー端末としては、通常、パーソナルコンピュータやワークステーションなどのコンピュータ端末が用いられる。この他、ユーザー端末には、インターネット等に接続可能なブラウザ機能を搭載した携帯電話をはじめとする無線通信端末、携帯情報端末や、インターネットTV、ゲーム機器、テレビ会議システム、その他のネットワーク接続機能を備えた家電製品などの機器を広く含んでいてもよい。コンピュータ端末は、制御手段、記憶手段、入力手段、出力手段、表示手段などを備える。またインターネットに代表されるコンピュータネットワークに接続し、データの送受信を行う機能を備え、ブラウザや電子メールソフトウェア、ワードプロセッサなどのアプリケーションプログラムや、オペレーティングシステム(OS)を備えることが通常の形態である。   As a user terminal for connecting to the server system of the present invention, a computer terminal such as a personal computer or a workstation is usually used. In addition, the user terminal has a wireless communication terminal such as a mobile phone equipped with a browser function connectable to the Internet, a portable information terminal, an Internet TV, a game machine, a video conference system, and other network connection functions. Devices such as home appliances provided may be widely included. The computer terminal includes control means, storage means, input means, output means, display means, and the like. Further, it is a normal form to connect to a computer network typified by the Internet and have a function of transmitting and receiving data, and an application program such as a browser, e-mail software, and a word processor, and an operating system (OS).

サーバーは、インターネットに代表されるネットワークに接続されて備えられる。ネットワークには、通常はインターネットを想定しているが、専用線により接続されたネットワーク形態や、企業内LAN、企業間LAN、WANなどの形態を広く含み、またここで用いられる通信回線の形態には、有線通信、無線通信の形態を広く含み、衛星通信や、Bluetoothなどを用いた形態を含む。   The server is provided connected to a network represented by the Internet. The network is usually assumed to be the Internet, but it includes a wide variety of forms such as a network connected by a dedicated line, an intra-company LAN, an inter-company LAN, a WAN, and the communication line used here. Widely includes forms of wired communication and wireless communication, and includes forms using satellite communication, Bluetooth, or the like.

本発明のシステムにおいて認証されるウェブサーバーは、ユーザー端末からアクセスするためのコンテンツデータやアプリケーションプログラムを記憶するものであり、コンテンツデータには、HTMLファイル、XMLファイルなどのWEB上に表示されるデータファイルや、C−HTMLファイルなどのWEBサイトにアクセス可能な携帯電話等に表示されるデータファイルなどが含まれる。
また、これらのファイルに挿入されるなどして表示又は出力される、文字データファイル、音声データファイル、画像データファイル、動画像データファイル、アニメーションデータファイル,その他の様々なコンテンツデータを記憶することができる。 The web server authenticated in the system of the present invention stores content data and application programs to be accessed from the user terminal. The content data includes data displayed on the web such as an HTML file and an XML file. Files and data files displayed on a mobile phone or the like that can access a WEB site such as a C-HTML file are included.
It is also possible to store character data files, audio data files, image data files, moving image data files, animation data files, and other various content data that are displayed or output by being inserted into these files. it can.

初めに、ウェブサーバーについて説明する。
本発明のシステムを利用するウェブサーバーは、ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を受信する閲覧要求受信手段を備えている。
ウェブコンテンツ閲覧要求は、ブラウザを用いてURLの入力やハイパーリンクのクリック等によりHTTPリクエストを送出する、通常知られている閲覧要求である。 First, the web server will be described.
A web server using the system of the present invention includes a browse request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server.
The web content browsing request is a normally known browsing request that sends an HTTP request by inputting a URL or clicking a hyperlink using a browser.

ここで、本発明のシステムにおいては、ウェブコンテンツ閲覧要求とともに、サーバーの正当性を証明するためのサーバー認証要求が含まれる。
また、クライアント端末から送信され、前記ウェブサーバーにおいて前記閲覧要求受信手段が受信するサーバー認証要求には、前記サーバー認証システムのユーザー識別情報が含まれる。
サーバー認証要求は、クライアントからサーバー認証システム対応サーバーに送信するHTTP GET要求に含まれるようにすることができ、さらに好ましくは当該サーバー認証要求にはクライアントのサーバー認証システムユーザーIDがさらに含まれている。 Here, in the system of the present invention, a server authentication request for proving the validity of the server is included together with a web content browsing request.
Further, the server authentication request transmitted from the client terminal and received by the browsing request receiving means in the web server includes user identification information of the server authentication system.
The server authentication request can be included in an HTTP GET request transmitted from the client to the server corresponding to the server authentication system. More preferably, the server authentication request further includes the server authentication system user ID of the client. .

また別の好ましい形態によれば、クライアントからサーバー認証システム対応サーバーに送信するHTTP GET要求とは別に、サーバー認証要求は、TCP通信を利用したクライアント、サーバー間におけるソケット通信により送受信されるデータに含まれるようにすることができ、さらに好ましくは当該サーバー認証要求にはクライアントのサーバー認証システムユーザーIDがさらに含まれている。ソケット(Socket)は、TCP/IPアプリケーションを作成するための抽象化されたインターフェースであって、ソケットの作成を行う、サーバーに接続する、サーバーと送受信を行う、ソケットを破棄するという手順による通信を行う。ソケットは、ファイルの出力・入力プログラムと同じやり方でコンピュータ間のデータの送信・受信プログラムを用いてデータ通信を行うようにするものである。   According to another preferred embodiment, apart from the HTTP GET request transmitted from the client to the server corresponding to the server authentication system, the server authentication request is included in data transmitted / received by socket communication between the client and the server using TCP communication. More preferably, the server authentication request further includes the server authentication system user ID of the client. Socket (Socket) is an abstract interface for creating TCP / IP applications. It creates a socket, connects to the server, sends / receives to / from the server, and discards the socket. Do. The socket performs data communication using a data transmission / reception program between computers in the same manner as a file output / input program.

TCP通信に利用するシステムコールは、クライアント側ではsocket()ソケット生成、connect()ソケット接続、read()データ受信、write()データ送信、close()ソケット消去などが知られており、サーバー側ではsocket()ソケット生成、bind()ソケット登録、listen()ソケット接続準備、accept()ソケット接続待機、read()データ受信、write()データ送信、close()ソケット消去などが知られている。
通信を開始する前に、クライアントもサーバもまずソケットを生成し、サーバー側はライアントからの通信接続要求を待つ状態となり、クライアント側はサーバー側に通信接続要求を送信し、サーバーのソケットとクライアントのソケットの間で通信接続が確立するとデータの送受信が始められる。
前記システムコールの内、socket()はソケット生成を行い、サーバー側ではソケットを接続待機状態にするためにbind()、listen()、accept()の3つのシステムコールを利用する。クライアント側はsocket()によりソケットを生成した後、connect()によってサーバに接続要求を送信し、接続した後にはそれぞれのソケットに対してwrite()システムコールを通じてソケットにデータを書き込んで送信し、もう一方 はread()システムコールを通じてソケットを読み出すと、相手側が送信したデータを受信することができる。通信が終了するまでwrite()とread()システムコールによりデータの送受信を互いに繰り返す。どちらかがclose()システムコールを実行して、通信接続を切断すると通信が終了する。 System calls used for TCP communication are known on the client side: socket () socket creation, connect () socket connection, read () data reception, write () data transmission, close () socket deletion, etc. Socket () socket generation, bind () socket registration, listen () socket connection preparation, accept () socket connection wait, read () data reception, write () data transmission, close () socket deletion, etc. are known .
Before starting communication, both the client and the server first create a socket, the server side waits for a communication connection request from the client, the client side sends a communication connection request to the server side, and the server socket and client When a communication connection is established between the sockets, data transmission / reception is started.
Among the system calls, socket () generates a socket, and the server side uses three system calls of bind (), listen (), and accept () to put the socket into a connection standby state. The client side creates a socket with socket (), sends a connection request to the server with connect (), and after connecting, writes data to the socket via the write () system call and sends it to each socket, The other can read the socket via the read () system call and receive the data sent by the other party. Data transmission / reception is repeated by the write () and read () system calls until communication is completed. When either one executes the close () system call and disconnects the communication connection, the communication ends.

さらに好ましくは、クライアント端末から送信され、前記ウェブサーバーにおいて前記閲覧要求受信手段が受信するサーバー認証要求には、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求が含まれる。応答要求は、ウェブコンテンツ閲覧要求をユーザー端末から送信し、閲覧しようとしているウェブサーバーが、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)に対応しているかどうかを確認するための応答要求である。
クライアント端末からいずれかのウェブサーバーにアクセスした際に、クライアント端末から送信されたサーバー認証要求に含まれる、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求に対し、当該ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答し、当該ウェブサーバーが前記サーバー認証システムを備えていない場合にはその旨を応答しない。 More preferably, the server authentication request transmitted from the client terminal and received by the browsing request receiving unit in the web server includes a response request indicating whether or not the web server includes the server authentication system. The response request is a response request for transmitting a web content browsing request from the user terminal and confirming whether or not the web server to be browsed is compatible with the web access point authentication (WAPA) which is the system of the present invention. It is.
When a web server is accessed from a client terminal, the web server responds to a response request included in the server authentication request transmitted from the client terminal whether the web server includes the server authentication system. If the web server does not have the server authentication system, it does not respond.

次にウェブサーバーは、ウェブサーバーごとに設定され、当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーに対し、クライアント端末からの閲覧要求およびサーバー認証要求に応答して、当該ウェブサーバーの認証情報を照会する認証情報照会手段を備えている。
前記認証情報照会手段は、認証情報を登録したデータベースサーバーである前記認証情報登録サーバーに対し、当該ウェブサーバーの認証情報を照会する際に、前記ユーザー識別情報を含む照会要求を送信する。ユーザー識別情報は、本発明のシステムのユーザーIDなどである。
認証情報は、好ましくは、クライアント端末から送信されるサーバー認証要求に含まれる、前記サーバー認証システムのユーザー識別情報に対応した、当該ユーザーごとの認証情報である。
当該ユーザーごとの認証情報は、後述するサーバー登録処理を当該ユーザーがクライアント端末において行い、サーバーごとの公開鍵、および好ましくはさらにユーザーごとの公開鍵を用いて、ユーザーごとの認証情報を生成し登録したものである。
また、ウェブサーバーと認証情報登録サーバーとの間の通信においても、前述したようなTCP通信を利用したソケット通信により、必要なデータの送受信を行うようにすることができる。 Next, the web server is set for each web server, and responds to the browsing request and server authentication request from the client terminal to the authentication information registration server that stores the authentication information for authenticating the web server. An authentication information inquiry means for inquiring the authentication information of the web server is provided.
The authentication information inquiry means transmits an inquiry request including the user identification information to the authentication information registration server, which is a database server that has registered authentication information, when inquiring the authentication information of the web server. The user identification information is a user ID of the system of the present invention.
The authentication information is preferably authentication information for each user corresponding to the user identification information of the server authentication system included in the server authentication request transmitted from the client terminal.
The authentication information for each user is registered by generating the authentication information for each user using the public key for each server, and preferably the public key for each user. It is a thing.
Also, in communication between the web server and the authentication information registration server, necessary data can be transmitted and received by socket communication using TCP communication as described above.

次にウェブサーバーは、認証情報登録サーバーに対する照会の結果、当該ウェブサーバーの認証情報があった場合には当該認証情報を受信する認証情報受信手段を備えている。
認証情報照会手段は、ウェブサーバーごとに設定されているとともに、さらにユーザー識別情報に対応してあらかじめ記憶されている当該ウェブサーバーの認証情報を、ユーザー識別情報に基づき照会する。
照会した結果、該当する認証情報があった場合には、その認証情報を当該ウェブサーバーが受信する。 Next, the web server includes authentication information receiving means for receiving the authentication information when there is authentication information of the web server as a result of the inquiry to the authentication information registration server.
The authentication information inquiry means makes an inquiry based on the user identification information for authentication information of the web server that is set for each web server and is stored in advance corresponding to the user identification information.
As a result of the inquiry, if there is corresponding authentication information, the web server receives the authentication information.

次にウェブサーバーは、クライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求に対応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段を備えている。
認証情報のデータ形式は、各種のデータ形式を採用することができ、たとえば電子証明書、その他のデータ形式である。
好ましくは、ウェブサーバーごとに設定されているとともに、ユーザー識別情報に対応してあらかじめ記憶されている前記ウェブサーバーの認証情報は、クライアント端末において生成されたユーザーごとの認証情報を当該ユーザーの公開鍵を用いて暗号化し、次いで当該ウェブサーバーの公開鍵を用いて暗号化した後に、前記認証情報登録サーバーに登録するウェブサーバー登録により記憶されたものである。 Next, the web server is provided with authentication information adding means for adding the received authentication information to the web content in response to the web content browsing request and server authentication request from the client terminal.
Various data formats can be adopted as the data format of the authentication information, such as an electronic certificate and other data formats.
Preferably, the authentication information of the web server that is set for each web server and stored in advance corresponding to the user identification information is the authentication information for each user generated in the client terminal. And then encrypted using the public key of the web server, and then stored by the web server registration registered in the authentication information registration server.

認証情報の付加は、HTMLファイル、その他のウェブコンテンツに、データを付加することにより、当該ユーザーのクライアント端末においてブラウザが解釈し表示可能なデータファイルとするものである。たとえば、サーバー証明書などの画像データ等として表示されるようにすることができる。
また、ウェブサーバーごとの公開鍵と、さらにユーザーごとの公開鍵を用いて、ユーザーごとの認証情報を二重に暗号化して生成した場合には、ウェブサーバーの秘密鍵を用いて復号し、ユーザーの秘密鍵で当該ユーザーのクライアント端末において復号化できるようにする。 The addition of authentication information is a data file that can be interpreted and displayed by a browser on the user's client terminal by adding data to an HTML file or other web content. For example, it can be displayed as image data such as a server certificate.
In addition, if the authentication information for each user is generated by double encryption using the public key for each web server and the public key for each user, it is decrypted using the secret key for the web server and the user The user's client terminal can be decrypted with the secret key.

次にウェブサーバーは、前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信するウェブコンテンツ送信手段を備えている。
ウェブコンテンツ送信手段は、前記のウェブコンテンツ閲覧要求に従い、認証情報の付与されたウェブコンテンツを、通常のウェブコンテンツ閲覧時と同様に当該ユーザーのクライアント端末に送信する。 Next, the web server includes web content transmitting means for transmitting the web content to which the authentication information is added to the client terminal.
In accordance with the web content browsing request, the web content transmitting unit transmits the web content to which the authentication information is given to the user's client terminal in the same manner as when browsing normal web content.

また、別の好ましい形態によれば、認証情報の付加は、HTMLファイル、その他のウェブコンテンツにデータを付加するのではなく、これとは別個に、TCP通信を利用したクライアント、サーバー間におけるソケット通信によりウェブサーバーからクライアント端末に対し送信されるデータに認証情報が含まれるようにすることができる。   According to another preferred embodiment, the authentication information is not added to the HTML file or other web contents, but separately from the socket communication between the client and the server using TCP communication. Thus, the authentication information can be included in the data transmitted from the web server to the client terminal.

次に、認証情報登録サーバーについて説明する。
認証情報登録サーバーは、本発明のシステムを利用するように設定されたいずれかのウェブサーバーと連携して動作する、ウェブサーバーごとの認証情報を記憶した認証情報登録サーバーである。認証情報登録サーバーは、本発明のシステムを利用するウェブサーバーごとに設けられたデータベースサーバーであることが好ましい。
前記認証情報登録サーバーは、当該ウェブサーバーの認証を行うための認証情報と、クライアント端末において前記サーバー認証システムを利用するユーザーごとのユーザー識別情報とを少なくとも記憶する。 Next, the authentication information registration server will be described.
The authentication information registration server is an authentication information registration server that stores authentication information for each web server and operates in cooperation with any web server set to use the system of the present invention. The authentication information registration server is preferably a database server provided for each web server using the system of the present invention.
The authentication information registration server stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system in a client terminal.

次に、クライアント端末について説明する。
クライアント端末には、ウェブコンテンツ閲覧要求とともにサーバー認証要求を前記ウェブサーバーに送信する認証要求送信手段を備えている。
認証要求は、前述したようにサーバーの正当性を証明することの要求であり、さらに本発明のシステムであるウェブ・アクセスポイント認証(WAPA)に対応しているかどうかを確認するための応答要求が含まれる。
これらの要求を送信するための認証要求送信機能は、たとえば通常のブラウザに機能を付加するようにしてもよい。また本発明のシステム専用のブラウザとしてもよい。 Next, the client terminal will be described.
The client terminal is provided with authentication request transmission means for transmitting a server authentication request to the web server together with a web content browsing request.
The authentication request is a request to prove the validity of the server as described above, and a response request for confirming whether or not it is compatible with the Web access point authentication (WAPA) which is the system of the present invention. included.
The authentication request transmission function for transmitting these requests may be added to a normal browser, for example. A browser dedicated to the system of the present invention may be used.

また、クライアント端末は、前記ウェブサーバーごとの公開鍵を記憶するサーバー公開鍵記憶手段を備えている。サーバー公開鍵記憶手段は、ユーザーがクライアント端末において当該ウェブサーバーごとの公開鍵を記憶させるローカルデータベースである。公開鍵サーバーからサーバー登録をするウェブサーバーに対応する公開鍵をダウンロードして、サーバーごとの認証情報を前記の認証情報登録サーバーに登録することにより、サーバー登録処理を行う際に、ローカルデータベースであるサーバー公開鍵記憶手段に公開鍵を記憶する。   The client terminal includes server public key storage means for storing a public key for each web server. The server public key storage means is a local database in which the user stores a public key for each web server in the client terminal. When a server registration process is performed by downloading a public key corresponding to a web server that performs server registration from a public key server and registering authentication information for each server in the authentication information registration server, this is a local database. The public key is stored in the server public key storage means.

クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されている場合には、ウェブサーバーから受信したウェブコンテンツに付加された認証情報を、当該クライアント端末を利用するユーザーの秘密鍵を用いて解読し、当該認証情報の正当性を判定する。
当該認証情報が正当でないと判定された場合には、前記クライアント端末において警告が表示される等の警告を出力する。 When the public key of the web server for decrypting the authentication information added to the web content is stored in the client terminal, the authentication information added to the web content received from the web server is stored in the client terminal. Decryption is performed using the secret key of the user who uses the terminal, and the validity of the authentication information is determined.
If it is determined that the authentication information is not valid, a warning such as a warning displayed on the client terminal is output.

また、クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されていない場合において、前記ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答するとともに、ウェブサーバー登録をするか否かを当該クライアント端末を利用するユーザーに対し選択させる。   In addition, when the public key of the web server for decrypting the authentication information added to the web content is not stored in the client terminal, the web server includes the server authentication system. In response to this, the user using the client terminal is allowed to select whether or not to register the web server.

以下、本発明の基本的な処理の流れについて説明する。なお、ここに示す処理の流れは一例であって、これに限定されるものではなく、様々な応用や変形が可能である。
以下、状況に応じてウェブサーバを認証する上で、WAPA技術が実行する一般的なトランザクションについて説明する。
図6は、本発明のシステムを利用したサーバー認証のパターンの代表的な一例を示す図である。
図7から図24は、本発明の基本的な処理の流れの一例を示すフローチャートである。 The basic processing flow of the present invention will be described below. The processing flow shown here is an example, and the present invention is not limited to this, and various applications and modifications are possible.
Hereinafter, a general transaction executed by the WAPA technique when authenticating a web server according to a situation will be described.
FIG. 6 is a diagram showing a typical example of a server authentication pattern using the system of the present invention.
7 to 24 are flowcharts showing an example of the basic processing flow of the present invention.

初めに、図7および図8を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えた本物のサーバーに対し、当該サーバー登録をしていないWAPA対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントにおいて当該サーバーが登録されていないため、未知のサイトとみなされるウェブ・アクセスポイント認証(WAPA)対応ウェブサーバへのアクセスを試みた場合の処理である。
ウェブ・アクセスポイント認証(WAPA)クライアント端末においては、当該ウェブサーバーを登録するか否かのオプションをユーザーに与えることが好ましい。ユーザーがこれを承諾すると、クライアント端末において、後述するウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーの登録処理を行う。サーバー登録処理が完了すると、ウェブ・アクセスポイント認証(WAPA)対応クライアントは、これ以降のトランザクションにおいて、ウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーの認証を行う可能になる。 First, referring to FIG. 7 and FIG. 8, when a real server having web access point authentication (WAPA), which is the system of the present invention, is accessed from a WAPA-compatible client terminal that has not registered the server. The process will be described.
This is a process in the case where an attempt is made to access a web server that supports web access point authentication (WAPA) that is regarded as an unknown site because the server is not registered in the web access point authentication (WAPA) compatible client. is there.
In a web access point authentication (WAPA) client terminal, it is preferable to give the user an option as to whether or not to register the web server. If the user accepts this, the client terminal performs registration processing of a web server that supports web access point authentication (WAPA), which will be described later. When the server registration process is completed, the web access point authentication (WAPA) compatible client can authenticate the web access point authentication (WAPA) compatible web server in subsequent transactions.

図7を参照すると、クライアント端末においてサーバー公開鍵記憶手段(ローカルデータベース)に問い合わせ、当該ウェブサーバーが未登録であることを知る。
クライアント端末から、閲覧要求であるHTTP GET要求をウェブサーバーに送信する。この要求には、ウェブサーバがサーバー認証システムを備えているか否かの応答要求が含まれる。
ウェブサーバーにおいては、サーバー認証システム対応サーバーであるため、ウェブサーバーがサーバー認証システムに対応していることを示す応答メッセージを要求されたHTMLファイルに組み込む。
次いで、ウェブサーバーがHTMLページをサーバー認証システム対応クライアント端末に送信する。
クライアント端末においては、ブラウザを介しユーザーに対して、サーバー認証システムに対応したウェブサーバを登録するか否かのオプションを与える。
なお、正当性のあるサーバーであるために警告は生成されない。 Referring to FIG. 7, the client terminal makes an inquiry to the server public key storage means (local database) to know that the web server is not registered.
An HTTP GET request, which is a browsing request, is transmitted from the client terminal to the web server. This request includes a response request indicating whether or not the web server has a server authentication system.
Since the web server is a server authentication system compatible server, a response message indicating that the web server is compatible with the server authentication system is incorporated into the requested HTML file.
Next, the web server transmits the HTML page to the server terminal corresponding to the server authentication system.
In the client terminal, an option is given to the user as to whether or not to register a web server corresponding to the server authentication system via the browser.
Note that no warning is generated because the server is legitimate.

図8は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 8 is a flowchart showing an example of performing the above-described processing to transmit / receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図9および図10を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えた本物のサーバーに対し、当該サーバー登録済のWAPA対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、既にクライアントに登録されているウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーへのアクセスを試みた場合の処理である。
クライアントは、本発明のシステムのユーザIDをサーバに提供して、認証トランザクションを開始する。サーバーにおいては、適切な認証情報をユーザーIDに基づき抽出し、クライアント端末に戻す。クライアント端末においては、当該ユーザーの秘密鍵を使用して、認証情報パッケージを解読し、これが本物のサーバから送信されたものであることを証明する。 Next, referring to FIG. 9 and FIG. 10, processing when accessing a real server having web access point authentication (WAPA), which is the system of the present invention, from a WAPA-compatible client terminal registered with the server Will be described.
This is processing when a web access point authentication (WAPA) compatible client attempts to access a web server that is already registered in the client.
The client initiates the authentication transaction by providing the server with the user ID of the system of the present invention. In the server, appropriate authentication information is extracted based on the user ID and returned to the client terminal. At the client terminal, the authentication information package is decrypted using the user's private key, and it is proved that the authentication information package has been transmitted from a real server.

図9を参照すると、クライアント端末において、ローカルデータベース内で適切なサーバー認証システムユーザーIDを探す。
クライアント端末から閲覧要求であるHTTP GET要求をサーバー認証システム対応ウェブサーバーに送信する。この要求にはクライアント端末における当該ユーザーのサーバー認証システムユーザーIDがさらに含まれている。
サーバー認証要求を含む閲覧要求を受信すると、本発明のシステムに対応したウェブサーバーが、クライアントのサーバー認証システムユーザーIDを確認する。
サーバーが、クライアントユーザーのユーザーIDを、認証情報登録サーバーに照会する。認証情報登録サーバーにおいては、クライアントのユーザーIDに基づいて、適切な認証情報を検索する。次いで認証情報登録サーバーが、抽出した認証情報をサーバー認証システム対応ウェブサーバーに送信する。
サーバー認証システムに対応した当該ウェブサーバーにおいては、要求されたHTMLページ内に認証情報を組み込む。当該ウェブサーバーから、HTMLページをサーバー認証システム対応クライアントに送信する。
次に、クライアント端末においては、サーバー認証システムに対応した当該ウェブサーバーの正当性を判定するために、クライアント端末においてその秘密鍵を使用して、認証情報を解読し、当該ウェブサーバーの正当性を証明する。この処理は、解読した情報をそのローカルコピーと比較し、一致があるか否かを確認することで行う。
解読された情報が一致することにより、サーバー認証システム対応サーバがクライアントによってその正当性を認証され、関連する情報がブラウザに表示される。 Referring to FIG. 9, the client terminal searches for an appropriate server authentication system user ID in the local database.
An HTTP GET request, which is a browsing request, is transmitted from the client terminal to the server server corresponding to the server authentication system. This request further includes the server authentication system user ID of the user at the client terminal.
When a browsing request including a server authentication request is received, the web server corresponding to the system of the present invention confirms the server authentication system user ID of the client.
The server queries the authentication information registration server for the user ID of the client user. The authentication information registration server searches for appropriate authentication information based on the user ID of the client. Next, the authentication information registration server transmits the extracted authentication information to the server server corresponding to the server authentication system.
In the web server corresponding to the server authentication system, the authentication information is incorporated into the requested HTML page. The HTML page is transmitted from the web server to the server authentication system compatible client.
Next, in the client terminal, in order to determine the validity of the web server corresponding to the server authentication system, the authentication information is decrypted using the secret key in the client terminal, and the validity of the web server is verified. Prove it. This process is performed by comparing the decrypted information with the local copy and confirming whether there is a match.
When the decrypted information matches, the server authentication system compatible server is authenticated by the client, and related information is displayed on the browser.

図10は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 10 is a flowchart showing an example of performing the above-described processing for transmitting and receiving data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図11および図12を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えていない本物のサーバーに対し、当該サーバー登録をしていないウェブ・アクセスポイント認証(WAPA)対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、ウェブ・アクセスポイント認証(WAPA)を使用していない本物のウェブサーバーへのアクセスを試みた場合の処理である。
当該ウェブサーバーがウェブ・アクセスポイント認証(WAPA)WAPA対応か否かを判定するために、ウェブ・アクセスポイント認証(WAPA)対応クライアント端末から、ウェブ・アクセスポイント認証(WAPA)対応の応答要求を当該ウェブサーバーへ送信する。
当該ウェブサーバーはウェブ・アクセスポイント認証(WAPA)を使用していないために認証不可能であるため、クライアント端末は何の認証も実行せず、警告も生成も行なわない。 Next, referring to FIG. 11 and FIG. 12, a web access point authentication (WAPA) that is not registered with a real server that does not have the web access point authentication (WAPA) that is the system of the present invention. ) Processing when accessed from a compatible client terminal will be described.
This is a process when a web access point authentication (WAPA) -compatible client attempts to access a real web server that does not use web access point authentication (WAPA).
In order to determine whether the web server is compatible with web access point authentication (WAPA) or WAPA, a response request compatible with web access point authentication (WAPA) is sent from a client terminal compatible with web access point authentication (WAPA). Send to web server.
Since the web server does not use web access point authentication (WAPA) and cannot be authenticated, the client terminal does not perform any authentication, and does not generate an alert.

図11を参照すると、クライアント端末においてローカルデータベースに問い合わせ、ウェブサーバーが未登録であることを知る。
クライアント端末から閲覧要求であるHTTP GET要求を当該ウェブサーバーに送信する。この要求にはさらに、当該ウェブサーバーがサーバー認証システムを備えているか否かのサーバー認証システム対応応答要求が含まれている。
ウェブサーバーはサーバー認証システムを備えていないため、このサーバー認証システム対応要求を単純に無視する。
当該ウェブサーバーが、サーバー認証システム対応要求に応答しないまま、要求されたHTMLファイルを戻す。
署名パッケージはないために当該ウェブサーバーの認証は不可能であり、当該ウェブサーバーはクライアントに未登録のため、警告は生成されない。 Referring to FIG. 11, the client terminal makes an inquiry to the local database and knows that the web server is not registered.
An HTTP GET request which is a browsing request is transmitted from the client terminal to the web server. This request further includes a server authentication system response request whether or not the web server has a server authentication system.
Since the web server does not have a server authentication system, the server authentication system support request is simply ignored.
The web server returns the requested HTML file without responding to the server authentication system support request.
Since there is no signature package, the web server cannot be authenticated, and since the web server is not registered with the client, no warning is generated.

図12は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 12 is a flowchart showing an example of performing the above-described processing for transmitting and receiving data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図13および図14を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えていない本物のサーバーに対し、当該サーバー登録済のWAPA対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、ウェブ・アクセスポイント認証(WAPA)を備えていない本物のサーバへのアクセスを試みるというシナリオである。
これは、本物のサーバがウェブ・アクセスポイント認証(WAPA)無効となった際に、未知という理由から起こる可能性がある。
たとえサーバー情報がウェブ・アクセスポイント認証(WAPA)クライアントに登録されていても、サーバーはウェブ・アクセスポイント認証(WAPA)関連の情報をクライアントに全く戻すことができないため、このようなケースは、偽装されたウェブサーバと類似の処理を行うべきである。ウェブ・アクセスポイント認証(WAPA)クライアント端末においては、詐欺警告を表示する必要がある。 Next, referring to FIG. 13 and FIG. 14, when a real server that does not have the web access point authentication (WAPA), which is the system of the present invention, is accessed from a WAPA compatible client terminal registered with the server. Processing will be described.
This is a scenario where a web access point authentication (WAPA) enabled client attempts to access a real server that does not have web access point authentication (WAPA).
This can happen for unknown reasons when a real server is disabled for Web Access Point Authentication (WAPA).
Such a case is impersonating because the server cannot return any information related to Web Access Point Authentication (WAPA) to the client even if the server information is registered with the Web Access Point Authentication (WAPA) client. Should be similar to the web server In a Web access point authentication (WAPA) client terminal, it is necessary to display a fraud warning.

図13を参照すると、クライアント端末において、訪問するウェブサイトに基づいて、ローカルデータベース内で適切なサーバー認証システムのユーザーIDを探す。
クライアントが閲覧要求であるHTTP GET要求を当該ウェブサーバに送信する。この要求にはさらに、クライアントのサーバー認証システムのユーザーIDが含まれている。
ウェブサーバーは本発明のサーバー認証システムを備えていないため、クライアントのサーバー認証システムのユーザーIDを単純に無視する。
当該ウェブサーバーが、何のサーバー認証システム対応の応答もせずに、要求されたHTMLページを送信する。
クライアント端末においては、登録されたウェブサーバーは適切なサーバー認証システム認証情報を送り戻せなかったため、クライアントが詐欺警告を表示する。 Referring to FIG. 13, the client terminal searches for an appropriate server authentication system user ID in the local database based on the website to be visited.
The client transmits an HTTP GET request, which is a browsing request, to the web server. This request further includes the user ID of the client's server authentication system.
Since the web server does not include the server authentication system of the present invention, the user ID of the client server authentication system is simply ignored.
The web server sends the requested HTML page without responding to any server authentication system.
At the client terminal, the registered web server could not send back the appropriate server authentication system authentication information, so the client displays a fraud warning.

図14は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 14 is a flowchart showing an example of performing the above-described processing for transmitting and receiving data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図15および図16を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えた偽装サーバーに対し、当該サーバー登録がされていないウェブ・アクセスポイント認証(WAPA)対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、当該サーバーの登録をしていないため、その真偽に関わらず未知のサイトとみなされたウェブ・アクセスポイント認証(WAPA)対応の偽装ウェブサーバへのアクセスを試みた場合の処理シナリオである。
ウェブ・アクセスポイント認証(WAPA)対応クライアントは、当該ウェブサーバーを登録するか否かのオプションをユーザーに与える。ユーザーがこれを承諾すると、クライアント端末においてはウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーの登録処理を行う。ウェブ・アクセスポイント認証(WAPA)クライアントへのサーバー情報の登録に関する詳細なトランザクションについては後述する。登録手順が完了すると、ウェブ・アクセスポイント認証(WAPA)対応クライアント端末においては、これ以降のトランザクションにおいて、ウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーの認証を行うことが可能になる。 Next, referring to FIG. 15 and FIG. 16, the impersonation server having the web access point authentication (WAPA) which is the system of the present invention is compatible with the web access point authentication (WAPA) in which the server is not registered. Processing when accessed from a client terminal will be described.
This is because a web access point authentication (WAPA) compatible client does not register the server, so it is considered an unknown site regardless of its authenticity. This is a processing scenario when an attempt is made to access a server.
A web access point authentication (WAPA) enabled client gives the user the option of registering the web server. If the user accepts this, the client terminal performs registration processing of a web server corresponding to web access point authentication (WAPA). A detailed transaction regarding registration of server information to a Web access point authentication (WAPA) client will be described later. When the registration procedure is completed, the web access point authentication (WAPA) compatible client terminal can authenticate the web access point authentication (WAPA) compatible web server in subsequent transactions.

図15を参照すると、クライアント端末においてローカルデータベースに問い合わせ、当該ウェブサーバーが未登録であることを知る。
クライアント端末から閲覧要求であるHTTP GET要求を当該ウェブサーバーに送信する。この要求にはさらに、当該ウェブサーバーが本発明のサーバー認証システムを備えているか否かを調べるためのサーバー認証システム対応応答要求が含まれている。
ウェブサーバーが偽のサーバー認証システム肯定応答メッセージを構成し、これを要求されたHTMLファイル内に組み込む。次いでウェブサーバーから、HTMLページをサーバー認証システム対応クライアントに送信する。
クライアント端末においては、ウェブサーバーを登録するか否かのオプションをユーザに与える。
当該ウェブサーバーの認証は不可能である。このウェブサーバーはクライアントに未登録のため、警告は生成されない。 Referring to FIG. 15, the client terminal makes an inquiry to the local database to know that the web server is not registered.
An HTTP GET request which is a browsing request is transmitted from the client terminal to the web server. This request further includes a server authentication system response request for checking whether or not the web server has the server authentication system of the present invention.
The web server constructs a fake server authentication system acknowledgment message and incorporates it in the requested HTML file. Next, the HTML page is transmitted from the web server to the server authentication system compatible client.
At the client terminal, the user is given the option of registering the web server.
The web server cannot be authenticated. This web server is not registered with the client, so no warning is generated.

図16は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 16 is a flowchart showing an example of performing the above-described processing to transmit / receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図17および図18を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えた偽装サーバーに対し、当該サーバー登録がされていないWAPA対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、ウェブ・アクセスポイント認証(WAPA)対応サーバを装った偽装ウェブサーバーへのアクセスを試みた場合の処理である。
偽装されたウェブサーバーは、ユーザーごとの適切な認証情報パッケージを備えていないため、クライアント端末に対してエラーを戻すか、または不良認証パッケージを戻そうとする可能性がある。いずれの場合であっても、クライアント端末においては詐欺警告を表示する。 Next, referring to FIG. 17 and FIG. 18, when a camouflaged server having web access point authentication (WAPA), which is the system of the present invention, is accessed from a WAPA-compatible client terminal that is not registered with the server. Processing will be described.
This is a process when a Web access point authentication (WAPA) compatible client attempts to access a camouflaged web server pretending to be a web access point authentication (WAPA) compatible server.
Since the camouflaged web server does not have an appropriate authentication information package for each user, there is a possibility of returning an error to the client terminal or returning a bad authentication package. In any case, a fraud warning is displayed on the client terminal.

図17を参照すると、クライアント端末において、ローカルデータベース内で適切なサーバー認証システムユーザIDを探す。
クライアント端末から閲覧要求であるHTTP GET要求をサーバー認証システム対応の当該ウェブサーバーに送信する。この要求にはさらに、クライアントのサーバー認証システムのユーザーIDが含まれている。
本発明のサーバー認証システム対応の偽装サーバーが、クライアントのユーザーIDを確認して、偽の認証パッケージを構成し、この偽の認証情報を要求されたHTMLページ内に組み込む。
サーバー認証システムに対応した偽装サーバーにおいては、HTMLページをサーバー認証システム対応クライアントに送信する。
クライアント端末においては当該ウェブコンテンツを受信して、サーバー認証システム対応の当該ウェブサーバーの正当性を判定するために、クライアントの秘密鍵を使用して認証情報を解読し、ウェブサイトの正当性を証明する。これは、解読した情報をそのローカルコピーと比較して、一致があるか否かを確認することで行う。
解読された情報は一致しないため、クライアント端末においては、当該ウェブサーバーは偽装されたウェブサイトであると分類する。クライアント端末においてはユーザーに詐欺警告を発し、関連する情報をブラウザに表示する。 Referring to FIG. 17, the client terminal searches for an appropriate server authentication system user ID in the local database.
An HTTP GET request as a browsing request is transmitted from the client terminal to the web server corresponding to the server authentication system. This request further includes the user ID of the client's server authentication system.
The impersonation server compatible with the server authentication system of the present invention confirms the user ID of the client, forms a fake authentication package, and incorporates the fake authentication information in the requested HTML page.
In the camouflaged server corresponding to the server authentication system, the HTML page is transmitted to the server authentication system compatible client.
The client terminal receives the web content and decrypts the authentication information using the client's private key to prove the website's validity in order to determine the validity of the web server compatible with the server authentication system. To do. This is done by comparing the decrypted information with its local copy to see if there is a match.
Since the decrypted information does not match, in the client terminal, the web server is classified as a camouflaged website. The client terminal issues a fraud warning to the user and displays related information on the browser.

図18は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 18 is a flowchart illustrating an example of performing the above-described processing to transmit and receive data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図19および図20を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えていない偽装サーバーに対し、当該サーバー登録がされていないウェブ・アクセスポイント認証(WAPA)対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、ウェブ・アクセスポイント認証(WAPA)を使用していない偽装ウェブサーバーへのアクセスを試みた場合の処理である。
当該ウェブサーバーがウェブ・アクセスポイント認証(WAPA)対応であるか否かを判定するために、ウェブ・アクセスポイント認証(WAPA)対応クライアントから、ウェブ・アクセスポイント認証(WAPA)に対応しているか否かの応答要求を当該ウェブサーバーへ送信する。
当該ウェブサーバーはウェブ・アクセスポイント認証(WAPA)に対応していないために認証不可能である。したがって、クライアント端末においては何の認証も実行せず、警告の生成も行わない。 Next, referring to FIG. 19 and FIG. 20, for a camouflaged server that does not have the web access point authentication (WAPA), which is the system of the present invention, the web access point authentication (WAPA) in which the server registration is not performed. Processing when accessed from a compatible client terminal will be described.
This is a process when a web access point authentication (WAPA) -compatible client attempts to access a camouflaged web server that does not use web access point authentication (WAPA).
Whether or not the web server supports web access point authentication (WAPA) in order to determine whether or not the web server supports web access point authentication (WAPA). Is sent to the web server.
Since the web server does not support web access point authentication (WAPA), it cannot be authenticated. Therefore, no authentication is performed at the client terminal and no warning is generated.

図19を参照すると、クライアント端末においてローカルデータベースに問い合わせ、当該ウェブサーバーが未登録であることを知る。
クライアント端末から閲覧要求であるがHTTP GET要求を当該ウェブサーバーに送信する。この要求にはさらに、当該ウェブサーバーが本発明のサーバー認証システムを備えているか否かを調べるためのサーバー認証システム対応の応答要求が含まれる。
偽装されたウェブサーバーにおいては、本発明のサーバー認証システムを備えていないため、サーバー認証システム対応の応答要求を単純に無視する。
偽装されたウェブサーバーが、サーバー認証システム対応応答要求に応答することはなく、要求されたHTMLファイルを戻す。
認証情報パッケージはないため、サーバーの認証は不可能である。当該ウェブサーバーはクライアントに未登録であり、当該ウェブサーバーはサーバー認証システムを備えていないため、警告は生成されない。 Referring to FIG. 19, the client terminal makes an inquiry to the local database and knows that the web server is not registered.
Although it is a browsing request from a client terminal, an HTTP GET request is transmitted to the web server. This request further includes a response request corresponding to the server authentication system for checking whether or not the web server is provided with the server authentication system of the present invention.
Since the camouflaged web server does not include the server authentication system of the present invention, a response request corresponding to the server authentication system is simply ignored.
The camouflaged web server does not respond to the server authentication system compatible response request, and returns the requested HTML file.
Since there is no authentication information package, server authentication is not possible. Since the web server is unregistered with the client and the web server does not have a server authentication system, no warning is generated.

図20は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 20 is a flowchart showing an example of performing the above-described processing for transmitting and receiving data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図21および図22を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えていない偽装サーバーに対し、当該サーバー登録済のウェブ・アクセスポイント認証(WAPA)対応クライアント端末からアクセスした場合の処理について説明する。
これは、ウェブ・アクセスポイント認証(WAPA)対応クライアントが、ウェブ・アクセスポイント認証(WAPA)を備えていない偽装サーバーへのアクセスを試みた場合の処理である。
これは、本物のウェブサーバーがウェブ・アクセスポイント認証(WAPA)無効となった際に、未知という理由から起こる可能性がある。
たとえサーバー情報がウェブ・アクセスポイント認証(WAPA)クライアントに登録されていても、当該サーバーはウェブ・アクセスポイント認証(WAPA)関連の情報をクライアントにまったく戻すことができないため、このようなケースは、偽装されたウェブサーバーと類似の処理を行うべきである。ウェブ・アクセスポイント認証(WAPA)クライアント端末においては詐欺警告を表示する必要がある。 Next, referring to FIG. 21 and FIG. 22, for a camouflaged server that does not have the web access point authentication (WAPA), which is the system of the present invention, the server registered web access point authentication (WAPA) compatible client. Processing when accessed from a terminal will be described.
This is processing when a Web access point authentication (WAPA) compatible client attempts to access a camouflaged server that does not have Web access point authentication (WAPA).
This can happen for unknown reasons when a real web server is disabled for Web Access Point Authentication (WAPA).
Such a case is because even if the server information is registered with a Web Access Point Authentication (WAPA) client, the server cannot return any Web Access Point Authentication (WAPA) related information to the client at all. You should do something similar to a camouflaged web server. It is necessary to display a fraud warning at a web access point authentication (WAPA) client terminal.

図21を参照すると、クライアント端末においては、ローカルデータベース内で適切なサーバー認証システムのユーザーIDを探す。
クライアント端末から閲覧要求であるHTTP GET要求を当該ウェブサーバーに送信する。この要求にはさらに、クライアントのサーバー認証システムのユーザーIDが含まれる。
偽装されたウェブサーバーは、本発明のサーバー認証システムを備えていないため、クライアントのユーザーIDを単純に無視する。
偽装されたウェブサーバーは、本発明のサーバー認証システムを備えていないため、単純に要求されたHTMLページを送信する。
登録されたウェブサーバーは適切な認証情報を送り戻すことができないため、クライアントが詐欺警告を表示する。 Referring to FIG. 21, the client terminal searches for an appropriate server authentication system user ID in the local database.
An HTTP GET request which is a browsing request is transmitted from the client terminal to the web server. This request further includes the user ID of the client's server authentication system.
Since the camouflaged web server does not have the server authentication system of the present invention, it simply ignores the user ID of the client.
Since the camouflaged web server does not have the server authentication system of the present invention, it simply sends the requested HTML page.
The registered web server cannot send back the proper authentication information, so the client displays a fraud alert.

図22は、上記の処理を、前述したように、クライアント、サーバー間通信において、ソケットを利用したTCP通信によりサーバー認証に必要なデータ送受信を行う一例を示すフローチャートである。   FIG. 22 is a flowchart showing an example of performing the above-described processing for transmitting and receiving data necessary for server authentication by TCP communication using a socket in communication between a client and a server as described above.

次に、図23を参照し、本発明のシステムであるウェブ・アクセスポイント認証(WAPA)を備えた本物のサーバーについえ、ウェブ・アクセスポイント認証(WAPA)対応クライアント端末からブラウザへの登録を行うサーバー登録処理について説明する。
ウェブ・アクセスポイント認証(WAPA)認証は、公開キー暗号化アルゴリズムを用いて実行される。
公開キー暗号化の実行には、送信側と受信側の間で公開鍵および秘密鍵を管理する必要がある。この認証の一部分として、ウェブ・アクセスポイント認証(WAPA)対応ブラウザは、ウェブ・アクセスポイント認証(WAPA)対応ウェブサーバー用の公開鍵のリストをローカルデータベースに維持しなければならない。
この手順は、クライアントに、特定のウェブ・アクセスポイント認証(WAPA)対応ウェブサーバーの公開鍵を、ウェブ・アクセスポイント認証(WAPA)対応ウェブブラウザがデフォルトで認証を行うことができる専用のウェブ・アクセスポイント認証(WAPA)公開キーサーバからダウンロードさせることにより安全に行うことができる。 Next, referring to FIG. 23, even for a real server equipped with Web access point authentication (WAPA) which is the system of the present invention, registration from a client terminal compatible with Web access point authentication (WAPA) to a browser is performed. The server registration process will be described.
Web access point authentication (WAPA) authentication is performed using a public key encryption algorithm.
In order to execute public key encryption, it is necessary to manage a public key and a secret key between a transmission side and a reception side. As part of this authentication, a web access point authentication (WAPA) enabled browser must maintain a list of public keys for the web access point authentication (WAPA) enabled web server in a local database.
This procedure allows the client to authenticate a specific web access point authentication (WAPA) enabled web server public key by default to a web access point authentication (WAPA) enabled web browser. This can be done safely by downloading from a point authentication (WAPA) public key server.

図23を参照すると、サーバー認証システム対応のウェブサーバーをクライアント端末に登録する。
クライアント端末から、サーバー認証システム対応ウェブサーバーの署名付き公開鍵を公開鍵サーバーに要求する。
公開鍵サーバーが、サーバー認証システム対応ウェブサーバーの適切な署名付き公開鍵を検索する。次いで公開鍵サーバーが、サーバー認証システム対応ウェブサーバーの署名付き公開鍵をクライアント端末に送信する。
クライアント端末においては、当該ユーザーの認証情報を生成し、この情報をクライアントの公開鍵を使用して暗号化し、その後、この暗号化した情報を、サーバー認証システム対応ウェブサーバーの公開鍵を使用して再び暗号化する。
クライアント端末から、この二重に暗号化した認証情報をサーバー認証システム対応の当該ウェブサーバーに送信する。
当該ウェブサーバーにおいては、クライアント端末から送信された当該ユーザーの認証情報を受信して、認証上等ろくろくサーバーであるデータベースサーバーに送信し、ユーザーIDに対応付けて記憶する。 Referring to FIG. 23, a web server compatible with the server authentication system is registered in the client terminal.
From the client terminal, request the public key server for the public key with the signature of the web server corresponding to the server authentication system.
The public key server searches for an appropriate signed public key of the server server that supports the server authentication system. Next, the public key server transmits the signed public key of the server server that supports the server authentication system to the client terminal.
The client terminal generates authentication information of the user, encrypts this information using the client's public key, and then encrypts this encrypted information using the public key of the server authentication system compatible web server. Encrypt again.
This double-encrypted authentication information is transmitted from the client terminal to the web server corresponding to the server authentication system.
In the web server, the authentication information of the user transmitted from the client terminal is received, transmitted to a database server as a server for authentication, and stored in association with the user ID.

次に、図24を参照し、ウェブ・アクセスポイント認証(WAPA)対応ウェブサーバからの公開鍵の登録処理について説明する。
ウェブ・アクセスポイント認証(WAPA)認証は、公開鍵暗号化アルゴリズムを用いて実行される。
ウェブ・アクセスポイント認証(WAPA)対応ウェブサーバの公開鍵を確実に安全な形で各ウェブ・アクセスポイント認証(WAPA)対応クライアント端末に伝送するために、専用のウェブ・アクセスポイント認証(WAPA)公開鍵サーバーを使用する。公開鍵サーバー上に記憶されている公開鍵には、公開鍵の認証を確実にするために、第三者機関である証明権限所有者が署名できるというオプションが付随している事が望ましい。 Next, a process for registering a public key from a web server corresponding to web access point authentication (WAPA) will be described with reference to FIG.
Web access point authentication (WAPA) authentication is performed using a public key encryption algorithm.
Dedicated web access point authentication (WAPA) disclosure to securely transmit the public key of the web access point authentication (WAPA) web server to each web access point authentication (WAPA) compatible client terminal in a secure manner Use a key server. It is desirable that the public key stored on the public key server is accompanied by an option that can be signed by a certification authority owner who is a third party in order to ensure the authentication of the public key.

図24を参照すると、ウェブサーバーが、公開鍵と秘密鍵の組み合わせを生成する。
次いで当該ウェブサーバーから、その公開鍵を第三者機関である認証権限所有者のシステムに送信する。
第三者機関である認証権限所有者のシステムにおいては、当該ウェブサーバーの正当性を証明し、当該ウェブサーバーの公開鍵に署名する。次いで、第三者機関である認証権限所有者のシステムから、署名付きの当該公開鍵を、本発明のシステムの公開鍵サーバーに直接送信する。
公開鍵サーバーにおいては、署名付きの当該公開鍵を受信し、これをサーバー認証システム対応クライアントが使用できるように、当該ウェブサーバーを識別する識別情報と関連付けて記憶する。
公開鍵サーバーから、当該公開鍵がクライアント端末において使用可能となった旨を、当該ウェブサーバーの所有者に通知することが望ましい。
以上の処理により、当該ウェブサーバーがサーバー認証システム対応ウェブサーバーとみなされるようになり、ユーザーはクライアント端末のブラウザを用いて、当該ウェブサーバーの登録処理をすることが可能になる。 Referring to FIG. 24, the web server generates a combination of a public key and a private key.
Next, the public key is transmitted from the web server to the authentication authority owner system which is a third party.
In the system of the authentication authority owner, which is a third-party organization, the validity of the web server is proved and the public key of the web server is signed. Next, the signed public key is directly transmitted from the authentication authority owner system, which is a third party organization, to the public key server of the system of the present invention.
The public key server receives the public key with the signature and stores it in association with identification information for identifying the web server so that the server authentication system compatible client can use it.
It is desirable that the public key server notifies the owner of the web server that the public key can be used at the client terminal.
With the above processing, the web server is regarded as a server server compatible with the server authentication system, and the user can perform registration processing of the web server using the browser of the client terminal.

以上詳細に説明したように、本発明によれば、エンドユーザーに対してウェブサーバ証明を提供する新しいインターネット技術である、ウェブ・アクセスポイント認証(WAPA)を提供することができる。   As described above in detail, according to the present invention, it is possible to provide web access point authentication (WAPA), which is a new Internet technology that provides web server certification to end users.

従来例を示す図である。It is a figure which shows a prior art example. 従来例を示す図である。It is a figure which shows a prior art example. 従来例を示す図である。It is a figure which shows a prior art example. 従来例を示す図である。It is a figure which shows a prior art example. 本発明のシステムの基本的な構成の一例を示すシステム構成図である。It is a system configuration figure showing an example of the basic composition of the system of the present invention. 本発明のシステムを利用したサーバー認証のパターンの代表的な一例を示す図である。It is a figure which shows a typical example of the pattern of the server authentication using the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention. 本発明のシステムの基本的な処理の流れの一例を示すフローチャートである。It is a flowchart which shows an example of the flow of a basic process of the system of this invention.

Claims (12)

ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムであって、
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、
ウェブサーバーごとに設定され、当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーに対し、クライアント端末からの閲覧要求およびサーバー認証要求に応答して、当該ウェブサーバーの認証情報を照会する認証情報照会手段と、
前記認証情報登録サーバーに対する照会の結果、当該ウェブサーバーの認証情報があった場合には当該認証情報を受信する認証情報受信手段と、
クライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求に対応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段と、
前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信するウェブコンテンツ送信手段とを備えたことを特徴とする、ウェブサーバー認証システム。 A server authentication system provided in a web server for performing web server authentication when accessing any server connected to a network through a browser,
A browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
In response to the browsing request and the server authentication request from the client terminal, the authentication information of the web server is set in response to the browsing request and the server authentication request from the client terminal. An authentication information query means for querying;
As a result of the inquiry to the authentication information registration server, if there is authentication information of the web server, authentication information receiving means for receiving the authentication information;
In response to a web content browsing request and server authentication request from a client terminal, authentication information adding means for adding received authentication information to the web content;
A web server authentication system comprising: web content transmission means for transmitting the web content to which the authentication information is added to the client terminal. ブラウザを介してネットワークに接続されたいずれかのサーバーにアクセスする際にウェブサーバー認証を行うためにウェブサーバーに備えられたサーバー認証システムと、前記ウェブサーバーにアクセスするクライアント端末と、ウェブサーバーごとに設定され当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーと、を含み構成されるシステムであって、
前記ウェブサーバーは、
前記ウェブサーバーにアクセスするクライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求を受信する閲覧要求受信手段と、
ウェブサーバーごとに設定され、当該ウェブサーバーの認証を行うための認証情報を記憶する認証情報登録サーバーに対し、クライアント端末からの閲覧要求およびサーバー認証要求に応答して、当該ウェブサーバーの認証情報を照会する認証情報照会手段と、
前記認証情報登録サーバーに対する照会の結果、当該ウェブサーバーの認証情報があった場合には当該認証情報を受信する認証情報受信手段と、
クライアント端末からのウェブコンテンツ閲覧要求およびサーバー認証要求に対応し、受信した認証情報を前記ウェブコンテンツに付加する認証情報付加手段と、
前記認証情報の付加されたウェブコンテンツを前記クライアント端末に送信するウェブコンテンツ送信手段とを備えており、
前記認証情報登録サーバーは、当該ウェブサーバーの認証を行うための認証情報と、クライアント端末において前記サーバー認証システムを利用するユーザーごとのユーザー識別情報とを少なくとも記憶したことを特徴とする、ウェブサーバー認証システム。 A server authentication system provided in a web server for performing web server authentication when accessing any server connected to the network via a browser, a client terminal accessing the web server, and each web server An authentication information registration server configured to store authentication information for setting and authenticating the web server,
The web server
A browsing request receiving means for receiving a web content browsing request and a server authentication request from a client terminal accessing the web server;
In response to the browsing request and the server authentication request from the client terminal, the authentication information of the web server is set in response to the browsing request and the server authentication request from the client terminal. An authentication information query means for querying;
As a result of the inquiry to the authentication information registration server, if there is authentication information of the web server, authentication information receiving means for receiving the authentication information;
In response to a web content browsing request and server authentication request from a client terminal, authentication information adding means for adding received authentication information to the web content;
Web content transmission means for transmitting the web content to which the authentication information is added to the client terminal;
The authentication information registration server stores at least authentication information for authenticating the web server and user identification information for each user who uses the server authentication system in a client terminal. system. 前記クライアント端末には、ウェブコンテンツ閲覧要求とともにサーバー認証要求を前記ウェブサーバーに送信する認証要求送信手段と、
前記ウェブサーバーごとの公開鍵を記憶するサーバー公開鍵記憶手段が備えられたことを特徴とする、ウェブサーバー認証システム。 In the client terminal, an authentication request transmitting means for transmitting a server authentication request to the web server together with a web content browsing request;
A web server authentication system comprising server public key storage means for storing a public key for each web server. クライアント端末から送信され、前記ウェブサーバーにおいて前記閲覧要求受信手段が受信するサーバー認証要求には、前記サーバー認証システムのユーザー識別情報が含まれることを特徴とする、請求項1〜3のいずれかに記載のウェブサーバー認証システム。 4. The server authentication request transmitted from a client terminal and received by the browsing request receiving means in the web server includes user identification information of the server authentication system. The web server authentication system described. クライアント端末から送信され、前記ウェブサーバーにおいいて前記閲覧要求受信手段が受信するサーバー認証要求には、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求が含まれることを特徴とする、請求項1〜4のいずれかに記載のウェブサーバー認証システム。 The server authentication request transmitted from the client terminal and received by the browsing request reception means in the web server includes a response request as to whether or not the web server includes the server authentication system. The web server authentication system according to any one of claims 1 to 4. 前記認証情報照会手段は、前記認証情報登録サーバーに対し、当該ウェブサーバーの認証情報を照会する際に、前記ユーザー識別情報を含む照会要求を送信することを特徴とする、請求項1〜5のいずれかに記載のウェブサーバー認証システム。 The authentication information inquiry means transmits an inquiry request including the user identification information to the authentication information registration server when inquiring the authentication information of the web server. The web server authentication system according to any one of the above. 前記認証情報照会手段は、ウェブサーバーごとに設定されているとともに、さらにユーザー識別情報に対応してあらかじめ記憶されている当該ウェブサーバーの認証情報を、ユーザー識別情報に基づき照会することを特徴とする、請求項6に記載のウェブサーバー認証システム。 The authentication information inquiring unit is set for each web server, and further inquires the authentication information of the web server stored in advance corresponding to the user identification information based on the user identification information. The web server authentication system according to claim 6. ウェブサーバーごとに設定されているとともに、ユーザー識別情報に対応してあらかじめ記憶されている前記ウェブサーバーの認証情報は、クライアント端末において生成されたユーザーごとの認証情報を当該ユーザーの公開鍵を用いて暗号化し、次いで当該ウェブサーバーの公開鍵を用いて暗号化した後に、前記認証情報登録サーバーに登録するウェブサーバー登録により記憶されたものであることを特徴とする、請求項1〜7のいずれかに記載のウェブサーバー認証システム。 The authentication information of the web server that is set for each web server and is stored in advance corresponding to the user identification information is obtained by using the public key of the user for the authentication information for each user generated in the client terminal. 8. The data stored in the web server registration to be registered in the authentication information registration server after being encrypted and then encrypted using the public key of the web server. Web server authentication system described in 1. クライアント端末からいずれかのウェブサーバーにアクセスした際に、クライアント端末から送信されたサーバー認証要求に含まれる、当該ウェブサーバーが前記サーバー認証システムを備えているか否かの応答要求に対し、当該ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答し、当該ウェブサーバーが前記サーバー認証システムを備えていない場合にはその旨を応答しないことを特徴とする、請求項5〜8のいずれかに記載のウェブサーバー認証システム。 When a web server is accessed from a client terminal, the web server responds to a response request included in the server authentication request transmitted from the client terminal whether the web server includes the server authentication system. If the server is equipped with the server authentication system, a response to that effect is sent, and if the web server is not equipped with the server authentication system, a response to that effect is not sent. The web server authentication system according to any one of the above. 前記クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されている場合には、前記ウェブサーバーから受信したウェブコンテンツに付加された前記認証情報を、当該クライアント端末を利用するユーザーの秘密鍵を用いて解読し、当該認証情報の正当性を判定することを特徴とする、請求項1〜9のいずれかに記載のウェブサーバー認証システム。 When the public key of the web server for decrypting the authentication information added to the web content is stored in the client terminal, the authentication information added to the web content received from the web server is stored. The web server authentication system according to any one of claims 1 to 9, wherein the authentication is performed using a secret key of a user who uses the client terminal to determine the validity of the authentication information. 当該認証情報が正当でないと判定された場合には、前記クライアント端末において警告が表示されることを特徴とする、請求項10に記載のウェブサーバー認証システム。 The web server authentication system according to claim 10, wherein a warning is displayed on the client terminal when it is determined that the authentication information is not valid. 前記クライアント端末に、ウェブコンテンツに付加された前記認証情報を解読するための当該ウェブサーバーの公開鍵が記憶されていない場合において、前記ウェブサーバーが前記サーバー認証システムを備えている場合にはその旨を応答するとともに、ウェブサーバー登録をするか否かを当該クライアント端末を利用するユーザーに対し選択させることを特徴とする、請求項10または11のいずれかに記載のウェブサーバー認証システム。 When the public key of the web server for decrypting the authentication information added to the web content is not stored in the client terminal, if the web server includes the server authentication system, that fact The web server authentication system according to claim 10 or 11, wherein the user who uses the client terminal selects whether or not to register the web server.
JP2004195208A 2004-07-01 2004-07-01 Web server authentication system capable of performing web access point authentication (wapa) Pending JP2007279775A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004195208A JP2007279775A (en) 2004-07-01 2004-07-01 Web server authentication system capable of performing web access point authentication (wapa)
PCT/JP2004/013973 WO2006003725A1 (en) 2004-07-01 2004-09-15 Web server authentication system capable of performing web access point authentication (wapa)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004195208A JP2007279775A (en) 2004-07-01 2004-07-01 Web server authentication system capable of performing web access point authentication (wapa)

Publications (1)

Publication Number Publication Date
JP2007279775A true JP2007279775A (en) 2007-10-25

Family

ID=35782540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004195208A Pending JP2007279775A (en) 2004-07-01 2004-07-01 Web server authentication system capable of performing web access point authentication (wapa)

Country Status (2)

Country Link
JP (1) JP2007279775A (en)
WO (1) WO2006003725A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112751844B (en) * 2020-12-28 2022-11-01 杭州迪普科技股份有限公司 Portal authentication method and device and electronic equipment

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3862081B2 (en) * 2002-11-07 2006-12-27 日本電信電話株式会社 Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Also Published As

Publication number Publication date
WO2006003725A1 (en) 2006-01-12

Similar Documents

Publication Publication Date Title
US10025920B2 (en) Enterprise triggered 2CHK association
JP6012125B2 (en) Enhanced 2CHK authentication security through inquiry-type transactions
CN101495956B (en) Extended one-time password method and apparatus
US20060143700A1 (en) Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions
KR20010085380A (en) System and method of associating devices to secure commercial transactions performed over the internet
JPWO2007110951A1 (en) User confirmation apparatus, method and program
CN103297437A (en) Safety server access method for mobile intelligent terminal
CN102739664A (en) Method for improving security of network identity authentication and devices
JP4698751B2 (en) Access control system, authentication server system, and access control program
JP2001186122A (en) Authentication system and authentication method
WO2022033350A1 (en) Service registration method and device
JP4921614B2 (en) Method and system for preventing man-in-the-middle computer hacking techniques
KR20080083418A (en) Chapter 4 Method and system for authenticating network access using challenge messages.
JP2000322353A (en) Information providing apparatus, information providing service authentication method, and recording medium storing information providing service authentication program
JP2002007355A (en) Communication method using password
JP2007279775A (en) Web server authentication system capable of performing web access point authentication (wapa)
JP4630187B2 (en) Authentication method
KR101510473B1 (en) Method and system of strengthening security of member information offered to contents provider
KR100358927B1 (en) Name server and naming data authentication method in secure domain name system
US20150269550A1 (en) Apparatus for Improving Security for User Input and/or Access to Secure Resources and/or for Point of Sale
HK1207714B (en) Enhanced 2chk authentication security with query transactions
JP2011238267A (en) User verification device, method and program

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080408