认证系统具备:利用者节点、提供与域对应的服务的多个服务节点、按照上述域中的每个域预先登记有上述利用者节点的密钥的认证用数据库存储单元、认证单元、登记有将上述域与上述利用者节点建立关联的账户的用户信息数据库存储单元以及密钥发布单元。上述密钥发布单元在接收到来自上述利用者节点的域变更请求时,若在上述用户信息数据库存储单元中登记有将上述利用者节点希望所属的希望域与上述利用者节点建立关联的上述账户,则从上述认证用数据库存储单元取得与上述希望域对应的上述利用者节点的上述密钥并发布给上述利用者节点。上述认证单元发行会话密钥并利用与上述希望域对应的上述密钥进行加密后发送给上述利用者节点。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及在信息通信网中作为终端而连接的节点享用其他节点提供的服务时,与服务建立关联地进行认证,以便服务不被他人利用且能够与其他节点安全地通信的系统。
技术介绍
一般地,在互联网或家庭网络这样的信息通信网中作为终端而连接的节点(也可是节点的一部分功能)中,享用其他节点(也可是节点的一部分功能)所提供的服务时,为了防止服务被他人利用而会对服务提供侧的节点与享用侧的节点之间的通信内容进行加密。另外,一般地对通信进行加密的加密密钥考虑使用发布给服务的提供侧与享用侧的节点的共同的会话密钥。在向各节点发布这种会话密钥时,要求进行安全分发以便不为他人所知。为了满足这种要求,提出了利用得到信赖的第三者机关进行基于共享密钥加密方式的认证来发布会话密钥的认证系统。作为这种认证方法,例如已知Kryptonite协议(Kryptonite)(例如,参照日本特许第3078841号公报)。在这种认证方法中,在向作为通信发起者的节点与作为通信响应者的节点发布共同的会话密钥时,在作为第三者的机关的认证单元中生成会话密钥,使用按各节点中的每个节点而规定的密钥来生成包含会话密钥的密文,从而能够向各节点安全地发布会话密钥。即,能够通过向各节点发送认证单元生成的会话密钥作为只能利用各节点所具有的密钥来开启的密文,按照各节点中的每个节点将共同的会话密钥安全地发布给各节点。在认证方法中,存在推方案与拉方案。在推方案中,成为发起者的节点从认证单元获取包含发起者节点与响应者节点之间的会话密钥的密文,对发给发起者节点的会话密钥进行解密,将从认证单元取得的发送给响应者节点的密文传送给响应者节点。另外,在拉方案中,若发起者节点经由响应者节点请求认证单元发布会话密钥,则响应者节点从认证单元取得包含会话密钥的密文,对发给响应者节点的密文进行解密,将从认证单元取得的发送给发起者的密文传送给发起者节点。然而,以共享密钥加密方式进行认证时,认证单元中以某种方法登记有与节点共同的密钥。密钥按照每个节点被登记,因此在认证单元中,通过使用每个节点的密钥向各节点发送包含会话密钥的密文,能够按各个节点中的每个节点来发布会话密钥。即,向多个节点发布共同的会话密钥,因此能够在节点间使用利用会话密钥加密后的密文来进行安全的通信。但是,在认证单元中,只是逐个地登记与各节点对应的密钥,因此在信息通信网内只能形成一个域。这里,为了能够按照节点所参加的域而提供不同的服务,并能够变更1个节点所享用的服务,需要按照域来设置认证单元,而且在节点中需要按照域而使用的多个密钥。因此,为了变更节点要享用的服务,需要设置多个认证单元,并且,需要选择与节点要享用的服务对应的认证单元,并且需要利用所选择的认证单元受理认证来取得会话密钥。即,节点需要按照要享用的服务来选择密钥,并且需要访问用于使用该密钥受理认证的认证单元,因此存在变更服务比较麻烦这样的问题。换言之,存在为了变更节点所享用的服务,必须选择密钥以及认证单元,从而对节点的利用者而言在各节点处取得会话密钥时的程序变得复杂这样的问题。
技术实现思路
本专利技术正是鉴于上述事由而做出的,其目的在于提供一种认证系统,在根据服务的内容来规定作为节点通信的范围的域、并且变更节点享用的服务时,各节点能够容易地取得各域中使用的会话密钥。本专利技术的认证系统具备:利用者所利用的利用者节点、提供与所属的域对应的服务的多个服务节点、认证用数据库存储单元、认证单元、用户信息数据库存储单元、密钥发布单元。上述认证用数据库存储单元构成为,存储按照上述域中的每个域预先登记有上述利用者节点的密钥的认证用数据库。上述利用者节点的密钥按照上述域中的每个域而互不相同。上述用户信息数据库存储单元构成为,存储登记有将上述域与上述利用者节点建立关联的账户的用户信息数据库。上述利用者节点构成为,在请求从上述利用者节点所属的当前的域向上述利用者节点希望所属的希望域变更时,通过上述信息通信网向上述密钥发布单元发送域变更请求。上述密钥发布单元构成为,在从上述利用者节点接收到上述域变更请求时,若上述用户信息数据库中登记有将上述希望域与上述利用者节点建立关联的上述账户,则利用上述认证用数据库来取得与上述希望域对应的上述利用者节点的上述密钥并通过上述信息通信网发送给上述利用者节点。上述认证单元构成为,在上述利用者节点取得与上述希望域对应的上述密钥取得之后,在上述希望域中发行上述利用者节点与属于上述希望域的上述服务节点之间的加密通信所使用的会话密钥,并使用与上述希望域对应的上述密钥对上述发行后的会话密钥进行加密,进而通过上述信息通信网发送给上述利用者节点。在优选的方式中,具备连接于上述用户信息数据库存储单元的登记单元,上述登记单元构成为,通过上述利用者所操作的输入装置的操作将上述账户登记到上述用户信息数据库。在更优选的方式中,上述多个服务节点中的协同服务节点构成为提供与上述利用者节点协同动作的服务。上述登记单元具有利用上述输入装置的操作将上述利用者节点和上述协同服务节点的组作为组登记于上述用户信息数据库的功能。上述密钥发布单元构成为,在从上述利用者节点接收到上述域变更请求时,若上述用户信息数据库中登记有将上述利用者节点与上述希望域建立关联的上述账户,并且上述利用者节点与属于上述希望域的上述协同服务节点的组作为上述组被登记于上述用户信息数据库,则利用存储于上述认证用数据库存储单元的上述认证用数据库,取得与上述希望域对应的上述利用者节点的上述密钥并通过上述信息通信网发送给上述利用者节点。在优选的方式中,上述密钥发布单元构成为,在响应上述域变更请求将与上述希望域对应的上述密钥发送给上述利用者节点后,若从上述利用者节点接收到确认响应,则从上述认证用数据库中删除与上述当前域对应的上述密钥。在优选的方式中,上述利用者节点构成为,若从上述认证单元无法取得与当前的上述域对应的上述会话密钥,则以预先决定的顺序向上述利用者节点所属的上述域中的各个域请求与其他的上述域对应的上述会话密钥。在优选的方式中,上述服务节点构成为提供多种服务,在上述认证用数据库中按照上述各服务节点提供的每个服务而登记有用于进行访问限制的访问限制信息,上述认证单元构成为,在向上述利用者节点以及上述服务节点发布上述发布会话密钥时,在上述利用者节点以及上述服务节点中设定上述访问限制信息。附图说明图1本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2009.06.23 JP 2009-1489601.一种认证系统,其特征在于,具备:
利用者所利用的利用者节点;
提供与所属的域对应的服务的多个服务节点;
认证用数据库存储单元;
认证单元;
用户信息数据库存储单元;以及
密钥发布单元,
上述认证用数据库存储单元构成为,存储按照上述域中的每个域预
先登记有上述利用者节点的密钥的认证用数据库,
上述利用者节点的密钥按照上述域中的每个域而互不相同,
上述用户信息数据库存储单元构成为,存储登记有将上述域与上述
利用者节点建立关联的账户的用户信息数据库,
上述利用者节点构成为,在请求从上述利用者节点所属的当前的域
向上述利用者节点希望所属的希望域变更时,通过上述信息通信网向上
述密钥发布单元发送域变更请求,
上述密钥发布单元构成为,在从上述利用者节点接收到上述域变更
请求时,若上述用户信息数据库中登记有将上述希望域与上述利用者节
点建立关联的上述账户,则利用上述认证用数据库来取得与上述希望域
对应的上述利用者节点的上述密钥并通过上述信息通信网发送给上述
利用者节点,
上述认证单元构成为,在上述利用者节点取得与上述希望域对应的
上述密钥之后,在上述希望域中发行上述利用者节点与属于上述希望域
的上述服务节点之间的加密通信所使用的会话密钥,使用与上述希望域
对应的上述密钥对上述发行后的会话密钥进行加密并通过上述信息通
信网发送给上述利用者节点。
2.根据权利要求1所述的认证系统,其特征在于,
具备连接于上述用户信息数据库存储单元的登记单元,
上述登记单元构成为,通过上述利用者所操作的输入装置的操作将
上述账户登记到上述用户信息数...
【专利技术属性】
技术研发人员:福田尚弘,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。