认证中介方法和系统技术方案

本发明专利技术提供认证中介方法和系统，所要解决的技术问题是在通信源节点和通信目标节点由不同的认证服务器管理的情况下，在认证服务器协同地进行节点之间的通信认可的情况下，若认证服务器的组合多，则认证服务器协同进行认可用的事先的关系确立变得困难。本发明专利技术的解决手段是从将各个认证服务器共通地作为中介对象的中介服务器中，选出进行通信源节点和通信目标节点所属的各自认证服务器之间的中介的中介服务器，所选出的中介服务器对跨两个认证服务器的通信确立的认可处理进行中介。中介服务器选择加密通信用密钥、设置信息，并经认证服务器分配到通信源终端和通信目标终端，两个通信节点根据该密钥和设置信息来确立加密通信路径。

【技术实现步骤摘要】

本专利技术涉及通过中介服务器来对多个认证服务器进行的认证加以中介 的方法和系统。
技术介绍
在近年来的通信网络与分配系统中，为实现业务的提供和对网络资源 的安全接入，认证成为不可缺少的技术。认证需要避免设想之外的通信对 方进行的不正当操作与避免信息公开等的危险。因此，在通信开始之前来 认证对方变得非常重要。在此之前，作为实现认证的方法，大致提出了两种方法。其中之一是 在通信的发送源与发送目的地交换公钥证书。公钥证书由公钥与其所有者 的识别信息等构成。这种所有者例如是使用者、计算机和装置等。公钥和 识别信息通过证书的发行者被签名，并将该签名存储到证书中。签名使用 证书发行者的私钥来生成。假定证书发行者的公钥广泛公知。例如，将几个著名的证书发行者的公钥嵌入到Web浏览器中，并与Web浏览器程序一 起来分发。若两个通信节点接受对方节点的公钥证书，则验证该证书的正 确性和有效性。这种验证使用证书发行者的公钥来进行。该方法的缺点是通信节点需要证书发行者的公钥。进一步，节点必须 承担证书验证的处理负担。尤其，在某个节点与数量众多的节点进行通信 的状况中，该问题有显著影响。因此，提出了称作认证服务器的结构。认证服务器保持该认证服务器 所管理的多个节点的信息表格。在多数情况下，该信息表格中记载了各节 点的识别符、节点的例如证书等的属性信息、为与该节点进行通信而被请 求的对方节点的条件等。这种认证服务器的功能例如公开在专利文献1中。在该专利文献中， 如下这样来实施第1通信节点与第2通信节点之间的通信信道的建立。首先，通信节点对认证服务器进行认证。接着，认证服务器认证该通信节点。 认证服务器利用有效性验证服务器来确认通信节点的公钥证书的有效 性。之后，通信节点和认证服务器交换公同具有的信息和电子签名。电子 签名为验证具有与公钥证书中记载的公钥相对应的私钥而进行。且，若这 些安全的验证全部完成，则认证服务器生成用作通信节点和认证服务器之 间的通信会话密钥的公共密钥。由此，建立认证后的加密通信。通过使用 相同通信协议，第1通信节点请求进行通信的另一通信节点和认证服务器 之间也建立加密通信信道。在建立该加密连接后，认证服务器从第1通信节点向第2通信节点发送通信路径建立请求。第2通信节点判断第1通信 节点是否允许与第2通信节点连接。将该判断结果返回到认证服务器。且，若允许进行连接，则认证服务 器生成第1通信节点与第2通信节点用于它们之间的加密通信的会话密钥。 将该会话密钥从认证服务器分发到第1通信节点与第2通信节点。由此， 两个通信节点能够彼此使用加密连接进行通信。专利文献1美国专利申请公开第2005/0226424号说明书上述认证服务器的用法中的主要缺点在于，不能以通常所有节点都由 单一认证服务器来管理为前提。有时几个节点由多个认证服务器来进行管 理，而属于不同的认证域。在这种情况下，认证服务器为了认证由其他认 证服务器管理的节点，需要进行协作。另外，为了进行这种协作，需要接 受其他认证服务器中的节点的管理。即，认证服务器需要在管理基准、所 管理的信息的可靠性、认证服务器的处理方面信赖其他认证服务器。认证服务器之间可以达成彼此的协议。但是，若认证服务器的数量增 加，认证服务器需要具有关于其他认证服务器的大的信息表格。这在大规 模使用中没有效率。即，需要这种状况下的解决措施。
技术实现思路
本专利技术提供一种可以进行彼此在事先没有相互进行协定的多个认证服 务器的安全连接的方法、系统和程序。具体上，本专利技术提供的认证中介方法，其特征在于，设有第1认证 服务器认证第1节点的步骤；第1节点认证第1认证服务器的步骤；第1节点和第1认证服务器之间确立加密连接的步骤；将第1节点和第2节点 的认证的中介请求发送到第1认证服务器的步骤；选择可中介第1节点和 第2节点之间的认证的中介服务器的步骤；在中介服务器中认证第1认证 服务器的步骤；在第1认证服务器中认证中介服务器的步骤；在第1认证 服务器和中介服务器之间确立加密连接的步骤；将第1节点和第2节点之 间的认证的中介请求从第1认证服务器发送到中介服务器的步骤；在中介 服务器中认证第2认证服务器的步骤；在第2认证服务器中认证中介服务 器的步骤；和将中介结果从所述中介服务器至少分配给第1节点和第2节 点的其中之一的步骤。进一步，第1节点和第2节点之间的认证的中介请求可以由第2节点 的识别符、第2认证服务器的识别符与第1节点和第2节点之间的连接的 设置信息构成。进一步，选择所述中介服务器的步骤也可包括将作为中介对象登记了 第1认证服务器的中介服务器的至少一个以上构成的列表从第1认证服务 器发送到第2认证服务器的步骤；在第2认证服务器中从列表中选择也登 记了第2认证服务器作为中介对象的中介服务器的步骤；将所述所选出的 中介服务器从第2认证服务器发送到第1认证服务器的步骤。进一步，中介服务器的列表根据中介服务器的优先顺序来排序。进一步，选择中介服务器的步骤也可在第1认证服务器和第2认证服 务器之间发送多个消息。进一步，选择中介服务器的步骤也可通过使用在第1认证服务器中保 存的中介单元的选择信息来进行。进一步，认证服务器可以通过单播来对各个认证单元发送该认证单元 是否可进行与第2认证服务器的中介的询问。进一步，认证服务器可以通过广播来对各个认证单元发送该认证单元 是否可与第2认证服务器的中介的询问。进一步，认证服务器可以通过多播来对各个认证单元发送该认证单元 是否可与第2认证服务器的中介的询问。进一步，从第1认证服务器向中介单元发送的第1节点和第2节点之 间的认证中介的所述请求也可包括第1节点的识别符、第1节点的至少一个属性、通信对方为了可与第1节点进行通信而需要满足的至少一个条件。进一步，中介服务器和第2节点之间的认证的步骤也可包括将认证请 求从中介单元发送到第2认证服务器的步骤；将认证响应从第2认证服务器发送到中介单元的步骤。进一步，认证请求也可包含第2节点的识别符。进一步，认证请求也可包含第2节点的属性的至少一个、通信对方为 了可与第2节点进行通信而需要满足的至少一个条件、与第2节点进行连 接的设置信息。进一步，进行第1节点和第2节点之间的认证的中介的步骤也可包含 根据第1节点的至少一个属性和通信对方为了可与第2节点进行通信而需 要满足的至少一个条件，来决定第1节点是否将第2节点作为通信对方接 受的步骤；根据第2节点的至少一个属性和通信对方为了可与第1节点进 行通信而需要满足的至少一个条件，来决定第2节点是否可将第1节点作 为通信对方接受的步骤；决定从第1认证服务器发送的设置信息与从第2 认证服务器发送的设置信息的公共部分的步骤；根据公共部分决定作为中 介结果的设置的步骤。进一步，认证服务器或中介服务器也可以进行以下两个模型之间的转 换，这两个模型为对第l节点的至少一个属性和通信对方为了与第l节 点进行通信需要满足的至少一个条件进行模型化所用的模型；以及对第2 节点的至少一个属性和通信对方为了与第2节点进行通信需要满足的至少 一个条件进行模型化所用的模型。进一步，在进行第1节点和第2节点的认证中介的步骤中，中介服务 器根据需要从所述第1和第2认证服务器中取得第1节点的至少一个属性、 通信对方为了与第本文档来自技高网...

【技术保护点】
一种通信网络中的认证中介方法，在该通信网络中，第１认证服务器管理第１节点的通信，第２认证服务器管理第２节点的通信，其特征在于，该方法包括下列步骤：　所述第１认证服务器认证所述第１节点的步骤；　所述第１节点认证所述第１认证服务器的步骤；　所述第１节点和所述第１认证服务器确立加密连接的步骤；　所述第１节点将自身节点和所述第２节点的认证的中介请求发送到所述第１认证服务器的步骤；　决定能够对所述第１节点与所述第２节点之间的认证进行中介的中介服务器的步骤；　所述第１节点取得用于识别能够对所述第１节点和所述第２节点的认证进行中介的中介服务器的信息的步骤；　所述第１节点向其他装置请求决定所述决定的中介服务器的步骤；　决定出的所述中介服务器认证所述第１认证服务器的步骤；　所述第１认证服务器认证所述中介服务器的步骤；　所述第１认证服务器和所述中介服务器确立加密连接的步骤；　所述第１节点向所述中介服务器发送自身节点和所述第２节点的认证的中介请求的步骤；　所述中介服务器认证所述第２认证服务器的步骤；　所述第２认证服务器认证所述中介服务器的步骤；以及　所述中介服务器将中介结果至少分配给所述第１节点和所述第２节点中的某一个的步骤。...

【技术特征摘要】
JP 2007-9-28 253039/20071、一种通信网络中的认证中介方法，在该通信网络中，第1认证服务器管理第1节点的通信，第2认证服务器管理第2节点的通信，其特征在于，该方法包括下列步骤所述第1认证服务器认证所述第1节点的步骤；所述第1节点认证所述第1认证服务器的步骤；所述第1节点和所述第1认证服务器确立加密连接的步骤；所述第1节点将自身节点和所述第2节点的认证的中介请求发送到所述第1认证服务器的步骤；决定能够对所述第1节点与所述第2节点之间的认证进行中介的中介服务器的步骤；所述第1节点取得用于识别能够对所述第1节点和所述第2节点的认证进行中介的中介服务器的信息的步骤；所述第1节点向其他装置请求决定所述决定的中介服务器的步骤；决定出的所述中介服务器认证所述第1认证服务器的步骤；所述第1认证服务器认证所述中介服务器的步骤；所述第1认证服务器和所述中介服务器确立加密连接的步骤；所述第1节点向所述中介服务器发送自身节点和所述第2节点的认证的中介请求的步骤；所述中介服务器认证所述第2认证服务器的步骤；所述第2认证服务器认证所述中介服务器的步骤；以及所述中介服务器将中介结果至少分配给所述第1节点和所述第2节点中的某一个的步骤。2、 根据权利要求1所述的认证中介方法，其特征在于所述第1节点和所述第2节点的认证的中介请求，包含所述第2节点 的识别符、所述第2认证服务器的识别符、以及所述第1节点和所述第2 节点之间的连接的设置信息。3、 根据权利要求1或2所述的认证中介方法，其特征在于 确定所述中介服务器的所述步骤包括将至少一个以上登记了所述第1认证服务器作为中介对象的中介服务器构成的列表，从所述第1认证服务器发送到所述第2认证服务器的步骤;在所述第2认证服务器中，从所述列表中选择也登记了所述第2认证 服务器作为中介对象的中介服务器的步骤；以及将所述选择出的中介服务器从所述第2认证服务器发送到所述第1认 证服务器的步骤。4、 根据权利要求3所述的认证中介方法，其特征在于 所述中介服务器的列表根据中介服务器的优先顺序来排序。5、 根据权利要求1 4中任意一项的认证中介方法，其特征在于 确定所述中介服务器的所述步骤，包含在所述第1认证服务器和所述第2认证服务器之间发送多个消息。6、 根据权利要求1 5中任意一项的认证中介方法，其特征在于 确定所述中介服务器的所述步骤，通过使用在所述第1认证服务器中保存的中介单元的选择信息来进行。7、 根据权利要求1 6中任意一项的认证中介方法，其特征在于所述第1认证服务器通过单播来对各个认证单元发送该认证单元是否能进行与所述第2认证服务器的中介的询问，由此确定认证单元。8、 根据权利要求1 6中任意一项的认证中介方法，其特征在于所述第1认证服务器通过广播来对各个认证单元发送该认证单元是否能进行与所述第2认证服务器的中介的询问，由此确定认证单元。9、 根据权利要求1 6中任意一项的认证中介方法，其特征在于所述第1认证服务器通过多播来对各个认证单元发送该认证单元是否能进行与所述第2认证服务器的中介的询问，由此确定认证单元。10、 根据权利要求1 9中任意一项的认证中介方法，其特征在于从所述第1认证服务器向所述中介单元发送的所述第1节点和所述第2 节点之间的认证中介的所述请求还包括 所述第1节点的识别符； 所述第1节点的至少一个属性；以及通信对方为了能够与所述第1节点进行通信而需要满足的至少一个条件。11、 根据权利要求1 10中任意一项的认证中介方法，其特征在于进行所述中介服务器和所述第2节点之间的认证的步骤包括 将认证请求从所述中介单元发送到所述第2认证服务器的步骤；以及 将认证响应从所述第2认证服务器发送到所述中介单元的步骤。12、 根据权利要求ll所述的认证中介方法，其特征在于 所述认证请求包含所述第2节点的识别符。13、 根据权利要求11或12所述的认证中介方法，其特征在于 所述认证请求包含所述第2节点的至少一个属性；通信对方为了能够与所述第2节点进行通信而需要满足的至少一个条 件；以及与所述第2节点的连接的设置信息。14、 根据权利要求1 13中任意一项的认证中介方法，其特征在于 确定所述第1节点和所述第2节点之间的认证的中介单元的步骤包含: 根据所述第1节点的至少一个属性和通信对方为了能够与所述第2节点进行通信而需要满足的至少一个条件，来决定所述第1节点是否将所述 第2节点接受为通信对方的步骤；根据所述第2节点的至少一个属性和通信对方为了能够与所述第1节 点进行通信而需要满足的至少一个条件，来决定所述第2节点是否将所述 第1节点接受为通信对方的步骤；决定从所述第1认证服务器发送的所述设置信息与从所述第2认证服 务器发送的所述设置信息之间的公共部分的步骤；以及根据所述公共部分决定作为所述中介结果的设置的步骤。15、 根据权利要求14所述的认证中介方法，其特征在于所述认证服务器或所述中介服务器进行以下两个模型之间的转换，这 两个模型为对所述第1节点的至少一个属性和通信对方为了与所述第1节点进行 通信需要满足的至少一个条件进行模型化所用的模型；以及对所述第2节点的至少一个属性和通信对方为了与所述第2节点进行通信...

【专利技术属性】
技术研发人员：青岛弘和，
申请(专利权)人：株式会社日立制作所，
类型：发明
国别省市：JP[日本]