專利名稱:證書生成/分發(fā)系統(tǒng)�、證書生成/分發(fā)方法和證書生成/分發(fā)程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及證書生成/分發(fā)系統(tǒng)、證書生成/分發(fā)方法和證書生成/分發(fā)程序�,更 具體地����,涉及能夠動(dòng)態(tài)并高效地生成和分發(fā)證書的證書生成/分發(fā)系統(tǒng)、證書生成/分發(fā)方 法和證書生成/分發(fā)程序����。此外,本發(fā)明涉及為證書生成/分發(fā)系統(tǒng)提供的認(rèn)證設(shè)備����、服務(wù) 轉(zhuǎn)交設(shè)備和服務(wù)提供設(shè)備。此外�����,本發(fā)明涉及服務(wù)轉(zhuǎn)交設(shè)備證書生成/分發(fā)程序和服務(wù)提 供設(shè)備證書生成/分發(fā)程序�。
背景技術(shù):
近年來(lái),有越來(lái)越多數(shù)目的分布式系統(tǒng)經(jīng)由網(wǎng)絡(luò)發(fā)行各種服務(wù)���。相應(yīng)地���,對(duì)經(jīng)由網(wǎng) 絡(luò)訪問(wèn)這些服務(wù)的用戶進(jìn)行認(rèn)證和批準(zhǔn)日益成為網(wǎng)絡(luò)上的服務(wù)提供商的重要任務(wù)���。當(dāng)優(yōu)選 地僅準(zhǔn)許數(shù)目受限的預(yù)定用戶訪問(wèn)這些服務(wù)時(shí),常常將描述與用戶有關(guān)的認(rèn)證結(jié)果等的證 書分發(fā)給服務(wù)提供商所提供的服務(wù)系統(tǒng)����,以允許用戶訪問(wèn)這些服務(wù)。作為上述技術(shù)�����,標(biāo)準(zhǔn)化組織OASIS定義了用于在網(wǎng)絡(luò)上的提供商之間鏈接與用戶 有關(guān)的認(rèn)證信息的標(biāo)準(zhǔn)技術(shù)規(guī)范SAML(安全斷言標(biāo)記語(yǔ)言)�。在非專利文獻(xiàn)1中描述了使 用SAML的證書生成/分發(fā)系統(tǒng)的示例�����。圖1示出了在非專利文獻(xiàn)1中描述的證書生成/ 分發(fā)系統(tǒng)的示例��。圖2示出了應(yīng)用在非專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)來(lái)執(zhí)行代 理訪問(wèn)處理的示例�。向非專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)提供IdP (身份提供商)100、SP (月艮 務(wù)提供商)101和用戶中介(用戶終端的軟件)102�����。經(jīng)由例如互聯(lián)網(wǎng)等網(wǎng)絡(luò)將IdP 100,SP 101和用戶中介102彼此相連。作為具有這樣的配置的非專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)的典型操作����, 下面將描述當(dāng)通過(guò)使用Web SSO協(xié)議的人工簡(jiǎn)檔(artifact profile)創(chuàng)建和分發(fā)認(rèn)證證 書來(lái)獲得單點(diǎn)登錄(single sign-on)時(shí),在IdP和SP之間執(zhí)行的流程�����。在圖1所示的示例中��,預(yù)先假定每一個(gè)用戶都擁 有分別針對(duì)IdPlOO的用戶信息 103和SP 101的用戶信息104的賬戶���。此外�,預(yù)先將該兩個(gè)賬戶鏈接在一起�����。即���,彼此相關(guān) 聯(lián)地存儲(chǔ)兩個(gè)賬戶�。例如���,當(dāng)IdP 100認(rèn)證用戶時(shí)��,IdP 100向SP 101發(fā)送認(rèn)證結(jié)果信息���。 SP 101基于接收到的認(rèn)證結(jié)果信息判斷已對(duì)用戶進(jìn)行了認(rèn)證���,并提供服務(wù)單點(diǎn)登錄。如圖1所示�,用戶使用用戶中介102接收IdP 100的認(rèn)證,并進(jìn)行登錄(步驟Si)�����。 然后���,用戶(用戶中介102)訪問(wèn)SP 101����,以使用SP 101提供的服務(wù)(步驟S2)����,該服務(wù)是 針對(duì)受限的訪問(wèn)提供的�����。SP 101向用戶中介102發(fā)送認(rèn)證請(qǐng)求消息以請(qǐng)求對(duì)用戶的認(rèn)證(步驟S3_a),用 戶中介102將認(rèn)證請(qǐng)求消息從SP 101重新定向(轉(zhuǎn)發(fā))到IdP 100(步驟S3-b)��。IdP 100 確認(rèn)在步驟Sl中已經(jīng)對(duì)用戶進(jìn)行了認(rèn)證�,并創(chuàng)建已經(jīng)對(duì)用戶進(jìn)行了認(rèn)證的認(rèn)證證書(認(rèn)證 斷言)(步驟S4),該認(rèn)證證書是以XML寫成的����。此外,IdP 100創(chuàng)建起與認(rèn)證斷言相對(duì)應(yīng)的票(ticket)的作用的人工產(chǎn)物(artifact)��,并將票發(fā)送回用戶中介102 (步驟S5_a)����。用戶中介102將人工產(chǎn)物重新定向 到SP 101(步驟S5-b)�����。SP 101接收該人工產(chǎn)物���,將人工產(chǎn)物發(fā)送到IdP 100并請(qǐng)求對(duì)應(yīng) 的認(rèn)證斷言(步驟S6)。IdP 100檢查從SP 101接收到的人工產(chǎn)物,并將對(duì)應(yīng)的認(rèn)證斷言 發(fā)送回SP 101(步驟S7)��。SP 101檢查從IdP 101接收到的認(rèn)證斷言的真實(shí)性�����,并使用SP 101的安全策略驗(yàn)證是否接受訪問(wèn)服務(wù)的用戶請(qǐng)求�。當(dāng)接受了請(qǐng)求,SP 101開始向用戶中 介102提供服務(wù)(步驟S8)���。如迄今所描述的����,IdP 100創(chuàng)建與用戶有關(guān)的證書并將證書分發(fā)給SP 101�����。在此�, 如上所述,IdP 100所分發(fā)的證書可以描述僅在IdP 100和SP 101之間有效的化名信息����, 作為分別與IdP 100和SP 101中的用戶賬戶有關(guān)的信息、關(guān)于證書的有效范圍(通過(guò)分發(fā) 證實(shí)的目標(biāo)提供商)的信息和其它與用戶有關(guān)的機(jī)密信息等�����。即,向IdP 100所分發(fā)的證 書提供防止將安全信息泄露給除預(yù)定目標(biāo)之外的其它人的功能�。非專利文獻(xiàn)1是下面示出 的文獻(xiàn)。非專利文獻(xiàn)1 作者0ASIS��,標(biāo)題“Assertions and Protocol forthe OASIS Security Assertion Markup Language (SAML) V2. 0”�,媒體類型在線,發(fā)布日期2005 年 3月15日�����,搜索日期2007年5月30日����,信息源互聯(lián)網(wǎng)<URL :http//docs, oasis-open, org/security/saml/v2. 0/saml-core-2. 0-os. pdf>。
發(fā)明內(nèi)容
就已被IdP所認(rèn)證并訪問(wèn)第一 SP的服務(wù)的用戶而言�,當(dāng)?shù)谝?SP嘗試針對(duì)該用戶 代理訪問(wèn)不同于第一 SP的第二 SP時(shí),第二 SP從IdP請(qǐng)求與用戶有關(guān)的證書的分發(fā)�。在這 種情況下,非專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)存在著創(chuàng)建和分發(fā)證書所必須的通 信變得沒有效率的問(wèn)題���。原因在于��,根據(jù)非專利文獻(xiàn)1中描述的方案���,當(dāng)沒有用于在SP之間(在第一 SP和 第二 SP之間)交換關(guān)于用戶的用戶信息或證書信息的裝置時(shí)以及當(dāng)沒有向第一 SP提供和 用戶中介相同的功能時(shí)�,第二 SP需要經(jīng)由用戶中介請(qǐng)求并分發(fā)證書�。即����,雖然第一 SP已經(jīng) 經(jīng)由用戶中介102執(zhí)行了認(rèn)證處理(步驟S3-a到S7),第二 SP需要經(jīng)由第一 SP和用戶中 介102執(zhí)行相同的處理(步驟S3-a到S7)�����,這導(dǎo)致第二 SP和IdP之間的通信變得沒有效率 的問(wèn)題����。本發(fā)明的目的是提供解決前述問(wèn)題的證書生成/分發(fā)系統(tǒng)、認(rèn)證設(shè)備�、服務(wù)轉(zhuǎn)交 設(shè)備、服務(wù)提供設(shè)備��、證書生成/分發(fā)方法���、證書生成/分發(fā)程序��、服務(wù)轉(zhuǎn)交設(shè)備證書生成/ 分發(fā)程序和服務(wù)提供設(shè)備證書生成/分發(fā)程序��。根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)是被提供了以下設(shè)備的證書生成/分發(fā)系統(tǒng) 對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備���;提供服務(wù)的服務(wù)提供設(shè)備��;以及對(duì)服務(wù)提供設(shè)備的服務(wù)提供 進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備�����,其中���,所述認(rèn)證設(shè)備包括將證書生成請(qǐng)求令牌與第一證書一起 發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送裝置,所述證書生成請(qǐng)求令牌是與服務(wù)轉(zhuǎn)交設(shè)備中有 效的第一證書相對(duì)應(yīng)的信息�,所述服務(wù)轉(zhuǎn)交設(shè)備包括將從所述令牌發(fā)送裝置接收到的證書 生成請(qǐng)求令牌轉(zhuǎn)發(fā)到所述服務(wù)提供設(shè)備的轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置,所述服務(wù)提供設(shè)備包括 當(dāng)請(qǐng)求在所述服務(wù)提供設(shè)備中有效的第二證書時(shí)�����,將從所述轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置接收到 的證書生成請(qǐng)求令牌發(fā)送到所述認(rèn)證設(shè)備的證書請(qǐng)求裝置�,以及所述認(rèn)證設(shè)備包括響應(yīng)于所述證書請(qǐng)求裝置對(duì)第二證書的請(qǐng)求,將基于與接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的第二證書發(fā)送到所述服務(wù)提供設(shè)備的證書發(fā)送裝置�。根據(jù)本發(fā)明的認(rèn)證設(shè)備是對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備,該認(rèn)證設(shè)備包括令牌發(fā) 送裝置�����,將證書生成請(qǐng)求令牌和第一證書一起發(fā)送到服務(wù)轉(zhuǎn)交設(shè)備,所述證書生成請(qǐng)求令 牌是與在對(duì)提供服務(wù)的服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備中有效的第一 證書相對(duì)應(yīng)的信息�;以及證書發(fā)送裝置,接收對(duì)在所述服務(wù)提供設(shè)備中有效的第二證書的 請(qǐng)求和來(lái)自服務(wù)提供設(shè)備的證書生成請(qǐng)求令牌���,并向所述服務(wù)提供設(shè)備發(fā)送基于與接收到 的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的第二證書���。根據(jù)本發(fā)明的服務(wù)轉(zhuǎn)交設(shè)備是對(duì)提供服務(wù)的服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交 的服務(wù)轉(zhuǎn)交設(shè)備����,服務(wù)轉(zhuǎn)交設(shè)備包括轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置,從對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè) 備接收證書生成請(qǐng)求令牌和第一證書�����,所述證書生成請(qǐng)求令牌是與在所述服務(wù)轉(zhuǎn)交設(shè)備中 有效的第一證書相對(duì)應(yīng)的信息��,并響應(yīng)于來(lái)自所述服務(wù)轉(zhuǎn)交設(shè)備的訪問(wèn)���,向提供服務(wù)的服 務(wù)提供設(shè)備轉(zhuǎn)發(fā)所述證書生成請(qǐng)求令牌和所述第一證書�。根據(jù)本發(fā)明的服務(wù)提供設(shè)備是提供服務(wù)的服務(wù)提供設(shè)備����,該服務(wù)提供設(shè)備包括 證書請(qǐng)求裝置�����,從對(duì)所述服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備接收認(rèn)證設(shè)備 的證書生成請(qǐng)求令牌��,所述證書生成請(qǐng)求令牌是與在所述服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書 有關(guān)的信息����,并在請(qǐng)求在所述服務(wù)提供設(shè)備中有效的第二證書時(shí)向所述認(rèn)證設(shè)備發(fā)送證書 生成請(qǐng)求令牌����,以及從所述認(rèn)證設(shè)備接收所述第二證書的證書接收設(shè)備,所述第二證書是 所述認(rèn)證設(shè)備響應(yīng)于所述證書請(qǐng)求裝置對(duì)所述第二證書的請(qǐng)求而發(fā)送的證書�,所述第二證 書是基于與所述證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書而生成的。根據(jù)本發(fā)明的證書生成/分發(fā)方法是如下的證書生成/分發(fā)方法借助該方法�,對(duì) 用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備向提供服務(wù)的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè)備提供的服務(wù) 提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書,所述方法包括所述認(rèn)證設(shè)備包括將證書生成請(qǐng) 求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送步驟�,所述證書生成請(qǐng)求令牌 是與服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息;所述服務(wù)轉(zhuǎn)交設(shè)備包括向所述服務(wù)提 供設(shè)備轉(zhuǎn)發(fā)接收到的證書生成請(qǐng)求令牌的轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)步驟���,所述接收到的證書生成 請(qǐng)求令牌是在所述令牌發(fā)送步驟中發(fā)送的���;所述服務(wù)提供設(shè)備包括當(dāng)請(qǐng)求在所述服務(wù)提供 設(shè)備中有效的第二證書時(shí)向所述認(rèn)證設(shè)備發(fā)送接收到的證書生成請(qǐng)求令牌的證書請(qǐng)求步 驟,所述接收到的證書生成請(qǐng)求令牌是在所述轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)步驟中發(fā)送的;以及所述 認(rèn)證設(shè)備包括響應(yīng)于所述證書請(qǐng)求步驟中對(duì)第二證書的請(qǐng)求����,將基于與接收到的證書生成 請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的第二證書發(fā)送到所述服務(wù)提供設(shè)備的證書發(fā)送步驟。根據(jù)本發(fā)明的證書生成/分發(fā)程序是如下的證書生成/分發(fā)程序用于對(duì)用戶進(jìn) 行認(rèn)證以向提供服務(wù)的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交的 服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備��,所述程序使得計(jì)算機(jī)執(zhí)行將證書生成請(qǐng)求令牌與第 一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送處理����,所述證書生成請(qǐng)求令牌是與在服務(wù) 轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息;以及證書發(fā)送處理���,接收對(duì)在所述服務(wù)提供設(shè) 備中有效的第二證書的請(qǐng)求和來(lái)自服務(wù)提供設(shè)備的證書生成請(qǐng)求令牌,并向所述服務(wù)提供 設(shè)備發(fā)送基于與接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書所生成的第二證書�。根據(jù)本發(fā)明的認(rèn)證設(shè)備證書生成/分發(fā)程序是如下的認(rèn)證設(shè)備證書生成/分發(fā)程序用于對(duì)用戶進(jìn)行認(rèn)證以向提供服務(wù)的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè)備提供的服務(wù) 提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備�����,所述程序使得計(jì)算機(jī)執(zhí)行令牌發(fā)送 處理,將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備���,所述證書生成請(qǐng)求 令牌是與服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息�;以及證書發(fā)送處理��,接收對(duì)在所 述服務(wù)提供設(shè)備中有效的第二證書的請(qǐng)求和來(lái)自服務(wù)提供設(shè)備的證書生成請(qǐng)求令牌���,并向 所述服務(wù)提供設(shè)備發(fā)送基于與接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書所生成的第 二證書。根據(jù)本發(fā)明的服務(wù)轉(zhuǎn)交設(shè)備證書生成/分發(fā)程序是如下的服務(wù)轉(zhuǎn)交設(shè)備證書生 成/分發(fā)程序用于對(duì)用戶進(jìn)行認(rèn)證以向提供服務(wù)的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè) 備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備�,所述程序使得計(jì)算機(jī)執(zhí) 行轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)處理�,將證書生成請(qǐng)求令牌與從所述認(rèn)證設(shè)備接收到的第一證書一 起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備�����,所述證書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證 書相對(duì)應(yīng)的信息����。根據(jù)本發(fā)明的服務(wù)提供設(shè)備證書生成/分發(fā)程序是如下的服務(wù)提供設(shè)備證書生 成/分發(fā)程序用于對(duì)用戶進(jìn)行認(rèn)證以向提供服務(wù)的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè) 備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備,所述程序使得計(jì)算機(jī)執(zhí) 行證書請(qǐng)求處理�,通過(guò)所述認(rèn)證設(shè)備從所述服務(wù)轉(zhuǎn)交設(shè)備接收證書生成請(qǐng)求令牌,所述證 書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書有關(guān)的信息��,并在請(qǐng)求在所述服務(wù) 提供設(shè)備中有效的第二證書時(shí)向所述認(rèn)證設(shè)備發(fā)送所述證書生成請(qǐng)求令牌��;以及證書接收 處理��,從所述認(rèn)證設(shè)備接收所述第二證書���,所述第二證書是響應(yīng)于在所述認(rèn)證處理中對(duì)所 述第二證書的請(qǐng)求由所述認(rèn)證設(shè)備發(fā)送的證書,所述第二證書是基于與所述證書生成請(qǐng)求 令牌相對(duì)應(yīng)的第一證書而生成的。
圖1示出了專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)的示例��;圖2示出了在專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)中進(jìn)行代理訪問(wèn)處理的示 例�;圖3是示出根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的最小配置示例的方框圖圖4是示出根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的配置示例的方框圖圖5是示出認(rèn)證設(shè)備的配置示例的方框圖;圖6是示出服務(wù)轉(zhuǎn)交設(shè)備的配置示例的方框圖���;圖7是示出證書管理部分的配置示例的方框圖��;圖8是示出服務(wù)提供設(shè)備的配置示例的方框圖�;圖9是示出針對(duì)服務(wù)提供設(shè)備的服務(wù)提供設(shè)備的配置示例的方框圖���;圖10是示出服務(wù)管理部分的配置示例的方框圖����;圖11是示出當(dāng)認(rèn)證設(shè)備從服務(wù)轉(zhuǎn)交設(shè)備接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖����;圖12是示出當(dāng)認(rèn)證設(shè)備從服務(wù)提供設(shè)備接收證書生成請(qǐng)求時(shí)的處理示例的流程 圖13是示出當(dāng)服務(wù)提供設(shè)備接收服務(wù)訪問(wèn)請(qǐng)求時(shí)的處理示例的流程圖;圖14是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè)備轉(zhuǎn)交對(duì)服務(wù)提供設(shè)備的訪問(wèn)時(shí)的處理示例的流程 圖�;圖15是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè)備從認(rèn)證設(shè)備接收證書時(shí)的處理示例的流程圖;
圖16是示出當(dāng)服務(wù)提供設(shè)備向認(rèn)證設(shè)備請(qǐng)求證書以及接收證書時(shí)的處理示例的 流程圖�;圖17是示出根據(jù)第二示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備的配置示例的方框圖;圖18是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè)備轉(zhuǎn)交服務(wù)請(qǐng)求并且進(jìn)一步向其它設(shè)備或用戶提供服 務(wù)時(shí)的處理示例的流程圖����;圖19是示出根據(jù)第三示例性實(shí)施例的認(rèn)證設(shè)備的配置示例的方框圖����;圖20是示出根據(jù)第三示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備的配置示例的方框圖����;圖21是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè)備向認(rèn)證設(shè)備提出證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖;圖22是示出當(dāng)認(rèn)證設(shè)備從服務(wù)轉(zhuǎn)交設(shè)備接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖���;圖23是示出根據(jù)第四示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備的配置示例的方框圖�����;圖24是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè)備向認(rèn)證設(shè)備提出證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖��;圖25是示出當(dāng)認(rèn)證設(shè)備從服務(wù)轉(zhuǎn)交設(shè)備接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖���;圖26示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第一示例圖27示出了賬戶對(duì)應(yīng)關(guān)系管理表的注冊(cè)示例;圖28是示出第一示例的證書生成/分發(fā)系統(tǒng)的操作示例的序列圖���;圖29示出了認(rèn)證證書的描述內(nèi)容的示例;圖30示出了對(duì)證書分發(fā)請(qǐng)求的答復(fù)消息的示例���;圖31示出了證書生成令牌和認(rèn)證證書標(biāo)識(shí)符對(duì)應(yīng)關(guān)系管理表的示例���;圖32示出了針對(duì)服務(wù)提供設(shè)備的認(rèn)證證書的示例���;圖33示出了租車預(yù)訂請(qǐng)求消息的示例;圖34示出了證書生成請(qǐng)求消息的示例�;圖35示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第二示例;圖36示出了屬性證書生成請(qǐng)求消息的示例��;圖37示出了屬性證書的示例�;圖38示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第三示例;圖39示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第四示例����;以及圖40示出了賬戶對(duì)應(yīng)關(guān)系管理表的注冊(cè)示例。參考符號(hào)列表900認(rèn)證設(shè)備901令牌發(fā)送裝置902證書發(fā)送裝置
910服務(wù)轉(zhuǎn)交設(shè)備911轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置920服務(wù)提供設(shè)備921證書請(qǐng)求裝置
具體實(shí)施例方式首先���,將參考附圖描述本發(fā)明的概述��。圖3是示出根據(jù)本發(fā)明的證書生成/分發(fā) 系統(tǒng)的最小配置示例的方框圖����。向圖3中示出的證書生成/分發(fā)系統(tǒng)認(rèn)證設(shè)備900����、服務(wù)轉(zhuǎn) 交設(shè)備910和服務(wù)提供設(shè)備920����。認(rèn)證設(shè)備900包括令牌發(fā)送裝置901和證書發(fā)送裝置902�����。服務(wù)轉(zhuǎn)交設(shè)備910包 括轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置911��。服務(wù)提供設(shè)備920包括證書請(qǐng)求裝置921����。令牌發(fā)送裝置901向服務(wù)轉(zhuǎn)交裝置910與第一證書一起發(fā)送證書生成請(qǐng)求令牌, 證書生成請(qǐng)求令牌是與服務(wù)轉(zhuǎn)交設(shè)備910中有效的第一證書相對(duì)應(yīng)的信息��。轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置911將從令牌發(fā)送裝置901接收到的證書生成請(qǐng)求令牌轉(zhuǎn) 發(fā)到服務(wù)提供設(shè)備920����。證書請(qǐng)求裝置921從轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置911接收證書生成請(qǐng)求令牌,并在請(qǐng) 求服務(wù)提供設(shè)備920中有效的第二證書時(shí)將該證書生成請(qǐng)求令牌發(fā)送到認(rèn)證設(shè)備900����。響應(yīng)證書請(qǐng)求裝置921對(duì)第二證書的請(qǐng)求,證書發(fā)送裝置902將基于與接收到的 證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書所生成的第二證書發(fā)送到服務(wù)提供設(shè)備���。通過(guò)采用圖3中示出的配置��,當(dāng)響應(yīng)于來(lái)自服務(wù)轉(zhuǎn)交設(shè)備的代理訪問(wèn)向提供服務(wù) 的服務(wù)提供設(shè)備分發(fā)證書時(shí)�,更高效地分發(fā)證書所需的通信是可能的����。(第一示例性實(shí)施例)接下來(lái),將參考附圖描述本發(fā)明的第一示例性實(shí)施例����。圖4是示出根據(jù)本發(fā)明的 證書生成/分發(fā)系統(tǒng)的配置示例的方框圖。向圖4中示出的證書生成/分發(fā)系統(tǒng)提供了認(rèn) 證設(shè)備1�����、服務(wù)轉(zhuǎn)交設(shè)備2����、服務(wù)提供設(shè)備3和終端設(shè)備4。認(rèn)證設(shè)備1�、服務(wù)轉(zhuǎn)交設(shè)備2、服 務(wù)提供設(shè)備3和終端設(shè)備4經(jīng)由網(wǎng)絡(luò)45彼此連接�。可以分別有多個(gè)認(rèn)證設(shè)備1����、服務(wù)轉(zhuǎn)交設(shè)備2�、服務(wù)提供設(shè)備3和終端設(shè)備4���。用戶 使用終端設(shè)備4訪問(wèn)認(rèn)證設(shè)備1和服務(wù)轉(zhuǎn)交設(shè)備2���。本發(fā)明中的用戶可以是個(gè)人或由多個(gè) 個(gè)人組成的組織。圖5是示出認(rèn)證設(shè)備1的配置示例的方框圖���。如圖5所示�����,認(rèn)證設(shè)備1包括用戶認(rèn) 證裝置10����、用戶信息管理裝置11����、證書生成請(qǐng)求接收裝置12、證書生成請(qǐng)求令牌管理裝置 13�、證書生成裝置14、證書分發(fā)請(qǐng)求接收裝置15、證書管理裝置16��、用戶信息存儲(chǔ)部分20�����、 訪問(wèn)控制策略存儲(chǔ)部分21�����、證書生成請(qǐng)求令牌存儲(chǔ)部分22����、裝置信息存儲(chǔ)部分23和證書信 息存儲(chǔ)部分24���。用戶認(rèn)證裝置10是用于使用預(yù)定認(rèn)證方案來(lái)對(duì)使用認(rèn)證設(shè)備1的用戶進(jìn)行認(rèn)證 的裝置����。用戶信息管理裝置11是用于管理與用戶信息存儲(chǔ)部分20中存儲(chǔ)的用戶有關(guān)的信 息的裝置�。當(dāng)對(duì)用戶進(jìn)行認(rèn)證時(shí),用戶認(rèn)證裝置10根據(jù)預(yù)定認(rèn)證方案要求用戶(終端裝置4)展示憑證信息(如����,例如密碼的認(rèn)證信息)。用戶認(rèn)證裝置10通過(guò)將用戶(終端裝置4)展 示的信息與聯(lián)系標(biāo)識(shí)符進(jìn)行管理的或用戶經(jīng)由用戶信息管理裝置11從用戶信息存儲(chǔ)部分 20獲得的憑證信息進(jìn)行比較和相關(guān)聯(lián)來(lái)執(zhí)行認(rèn)證。在用戶認(rèn)證裝置10對(duì)用戶進(jìn)行認(rèn)證后����,用戶信息管理裝置11將包括與用戶認(rèn)證結(jié)果有關(guān)的信息在內(nèi)的會(huì)話信息存儲(chǔ)到用戶信息存儲(chǔ)部分20中。會(huì)話信息是與使用可以 唯一地標(biāo)識(shí)認(rèn)證設(shè)備1和終端設(shè)備4之間建立的會(huì)話的會(huì)話標(biāo)識(shí)符作為密鑰而進(jìn)行的用戶 認(rèn)證有關(guān)的信息����。用戶信息管理裝置11使用會(huì)話標(biāo)識(shí)符搜索用戶信息存儲(chǔ)部分20,并且可 以由此獲得將要關(guān)聯(lián)的會(huì)話信息�。用戶信息存儲(chǔ)部分20存儲(chǔ)與使用認(rèn)證設(shè)備1的用戶有關(guān)的信息。例如��,用戶信息 存儲(chǔ)部分20存儲(chǔ)了關(guān)于用戶標(biāo)識(shí)符的信息、其屬性信息、諸如當(dāng)要求用戶認(rèn)證裝置10進(jìn)行 認(rèn)證時(shí)展示的密碼之類的憑證信息以及關(guān)于用戶認(rèn)證裝置10所認(rèn)證的用戶的會(huì)話信息�����。證書生成請(qǐng)求接收裝置12是用于從服務(wù)提供設(shè)備3接收與用戶有關(guān)的證書生成 請(qǐng)求的裝置���。證書指的不僅是后面將要描述的圖29和圖32中示出的SAML所定義的認(rèn)證 斷言或圖37中SAML所定義的屬性斷言(屬性證書),還是X. 509的證書等�。向證書請(qǐng)求接收裝置12提供以下功能在從服務(wù)提供設(shè)備3接收到用于請(qǐng)求生成 與用戶有關(guān)的證書的消息后,檢查證書生成請(qǐng)求消息的內(nèi)容��,以及參考存儲(chǔ)在訪問(wèn)控制策 略存儲(chǔ)部分21中的訪問(wèn)控制策略來(lái)做出是否接受證書生成請(qǐng)求的批準(zhǔn)/不批準(zhǔn)決定��。此 夕卜,還向證書請(qǐng)求接收裝置12提供以下功能根據(jù)請(qǐng)求產(chǎn)生證書的服務(wù)提供設(shè)備3�,將可以 在將要生成的證書中描述的信息轉(zhuǎn)換或限制為適當(dāng)?shù)男畔ⅰ.?dāng)證書請(qǐng)求接收裝置12作為決定的結(jié)果�,判斷可以接受證書生成請(qǐng)求時(shí),證書生 成裝置14創(chuàng)建所請(qǐng)求的證書��。證書請(qǐng)求接收裝置12創(chuàng)建響應(yīng)消息�,證書生成裝置14所生 成的證書附在該響應(yīng)消息上,證書請(qǐng)求接收裝置12將響應(yīng)消息發(fā)送回服務(wù)提供設(shè)備3����。另一方面����,當(dāng)證書請(qǐng)求接收裝置12判斷不能接受證書生成請(qǐng)求時(shí),證書請(qǐng)求接收 裝置12創(chuàng)建包括了證書生成請(qǐng)求不能被接收的出錯(cuò)內(nèi)容的響應(yīng)消息��,并將響應(yīng)消息發(fā)送 回服務(wù)提供設(shè)備3���。訪問(wèn)控制策略存儲(chǔ)部分21存儲(chǔ)針對(duì)證書生成請(qǐng)求接收裝置12的訪問(wèn)控制策略���, 以對(duì)證書的產(chǎn)生做出批準(zhǔn)/不批準(zhǔn)決定。訪問(wèn)控制策略是針對(duì)與特定信息的內(nèi)容有關(guān)的條 件�,定義證書生成請(qǐng)求接收裝置12將要采用的操作的信息。訪問(wèn)控制策略的示例包括如下 規(guī)范規(guī)定如果證書生成請(qǐng)求接收裝置12接受來(lái)自服務(wù)提供設(shè)備3的證書生成請(qǐng)求的時(shí)間 在用戶的會(huì)話信息中包括的預(yù)定會(huì)話的有效期間內(nèi),將接受證書的產(chǎn)生�����;以及規(guī)定如果發(fā) 送證書生成請(qǐng)求的服務(wù)提供設(shè)備3不包括在設(shè)備信息存儲(chǔ)部分23中與服務(wù)提供設(shè)備有關(guān) 的信息中����,將不接受對(duì)應(yīng)證書的產(chǎn)生。以預(yù)定策略描述語(yǔ)言來(lái)編寫在訪問(wèn)控制策略中指定 的條件和操作�。證書生成請(qǐng)求接收裝置12可以自動(dòng)地讀取訪問(wèn)控制策略。證書生成請(qǐng)求令牌管理裝置13是用于管理服務(wù)提供設(shè)備3所使用的令牌以請(qǐng)求 產(chǎn)生預(yù)定證書的裝置�。證書生成請(qǐng)求令牌管理裝置13生成與用戶認(rèn)證裝置10所認(rèn)證的用戶的會(huì)話信息 有關(guān)并且由用戶信息管理裝置11所管理的會(huì)話標(biāo)識(shí)符。通過(guò)將所生成的會(huì)話標(biāo)識(shí)符與可 以唯一地標(biāo)識(shí)認(rèn)證設(shè)備1的認(rèn)證設(shè)備標(biāo)識(shí)符相鏈接��,證書生成請(qǐng)求令牌管理裝置13生成證 書生成請(qǐng)求令牌��。
證書生成請(qǐng)求令牌管理裝置13生成會(huì)話標(biāo)識(shí)符���,使得其可以是隨機(jī)值�,該隨機(jī)值 不包括任何可能作為識(shí)別用戶或會(huì)話信息的充足線索的信息���。使用例如非專利文獻(xiàn)1中描述的SAML所限定的人工產(chǎn)物�����,可以實(shí)現(xiàn)認(rèn)證生成請(qǐng)求 令牌����。只要是可以與證書唯一對(duì)應(yīng)的隨機(jī)字符串(會(huì)話標(biāo)識(shí)符),認(rèn)證生成請(qǐng)求令牌可以是 任何東西�����。此外��,證書生成請(qǐng)求令牌管理裝置13存儲(chǔ)所生成的證書生成請(qǐng)求令牌并管理稍 后將談?wù)摰降牧钆?���,其中����,所生成的證書生成請(qǐng)求令牌與證書生成請(qǐng)求令牌存儲(chǔ)部分22中 的證書管理裝置16所管理的已分發(fā)證書的標(biāo)識(shí)符有關(guān)。證書生成裝置14是用于基于存儲(chǔ)在設(shè)備信息存儲(chǔ)部分23中的設(shè)備信息來(lái)生成并 發(fā)布關(guān)于用戶的證書描述認(rèn)證結(jié)果信息����、屬性信息、授權(quán)信息等的裝置�。證書生成裝置14 可以使用例如數(shù)字簽名等技術(shù)向?qū)⒁傻淖C書分配簽名。從而�,證書將要被分發(fā)到的設(shè) 備可以驗(yàn)證接收到的證書未曾被篡改�����。此外�,證書生成裝置14將生成的證書存儲(chǔ)在證書信 息存儲(chǔ)部分24中��。設(shè)備信息存儲(chǔ)部分23存儲(chǔ)并管理關(guān)于服務(wù)轉(zhuǎn)交設(shè)備2或服務(wù)提供設(shè)備3的設(shè)備 信息�����,與這些設(shè)備的可靠關(guān)系是通過(guò)業(yè)務(wù)往來(lái)等來(lái)維持���。證書分發(fā)請(qǐng)求接收裝置15是用于響應(yīng)于來(lái)自服務(wù)轉(zhuǎn)交設(shè)備2的證書分發(fā)請(qǐng)求來(lái) 獲取所需證書并經(jīng)由證書管理裝置16將證書發(fā)送回服務(wù)轉(zhuǎn)交設(shè)備2的裝置�。證書管理裝置16是用于管理存儲(chǔ)在證書信息存儲(chǔ)部分24中的證書的裝置��。證書 管理裝置16具有如下功能使用搜索關(guān)鍵字從證書信息存儲(chǔ)部分24中存儲(chǔ)的證書之中搜 索和查閱適當(dāng)?shù)淖C書��,以及更新或刪除預(yù)定證書�����。當(dāng)用計(jì)算機(jī)實(shí)現(xiàn)認(rèn)證設(shè)備1時(shí)�,用戶認(rèn)證裝置10、用戶信息管理裝置11�、證書生成 請(qǐng)求接收裝置12���、證書生成請(qǐng)求令牌管理裝置13、證書生成裝置14��、證書分發(fā)請(qǐng)求接收裝 置15和證書管理裝置16是通過(guò)認(rèn)證設(shè)備1中安裝的CPU所實(shí)現(xiàn)的��,該CPU執(zhí)行用于實(shí)現(xiàn) 這些功能的程序��。圖6是示出服務(wù)轉(zhuǎn)交設(shè)備2的配置示例的方框圖�。如圖6所示,服務(wù)轉(zhuǎn)交設(shè)備2 包括服務(wù)訪問(wèn)轉(zhuǎn)交裝置50����、證書分發(fā)請(qǐng)求裝置51和證書管理部分6。服務(wù)訪問(wèn)轉(zhuǎn)交裝置50是用于從用戶的終端設(shè)備4或從不同于服務(wù)轉(zhuǎn)交設(shè)備2的 服務(wù)轉(zhuǎn)交設(shè)備(第二服務(wù)轉(zhuǎn)交設(shè)備)接收服務(wù)訪問(wèn)請(qǐng)求(第一服務(wù)訪問(wèn)請(qǐng)求)����,然后向服務(wù) 提供設(shè)備3作出第二服務(wù)訪問(wèn)請(qǐng)求的裝置��。服務(wù)訪問(wèn)轉(zhuǎn)交裝置50作出與第一服務(wù)訪問(wèn)請(qǐng) 求不同的服務(wù)訪問(wèn)請(qǐng)求(第二服務(wù)訪問(wèn)請(qǐng)求)��,該第二服務(wù)訪問(wèn)請(qǐng)求與使用預(yù)定通信協(xié)議 向服務(wù)提供設(shè)備3發(fā)送第一服務(wù)訪問(wèn)請(qǐng)求的用戶有關(guān)���。服務(wù)訪問(wèn)轉(zhuǎn)交裝置50基于用戶的用戶標(biāo)識(shí)符��,從與證書管理部分6 (參見稍后將 要描述的圖7)中的證書驗(yàn)證裝置62所管理的用戶有關(guān)的認(rèn)證設(shè)備1獲得(提取)所分發(fā) 的證書���。此外����,服務(wù)訪問(wèn)轉(zhuǎn)交裝置50獲得與證書生成請(qǐng)求令牌獲得裝置61所管理的證書 有關(guān)的證書生成請(qǐng)求令牌(稍后將要描述)�����,將該證書生成請(qǐng)求令牌附著到指向服務(wù)提供 裝置3的第二服務(wù)訪問(wèn)請(qǐng)求消息�����,并向服務(wù)提供設(shè)備3作出服務(wù)訪問(wèn)請(qǐng)求��。證書分發(fā)請(qǐng)求裝置51是用于使用預(yù)定通信協(xié)議請(qǐng)求認(rèn)證設(shè)備1分發(fā)已經(jīng)生成的 證書的裝置���。當(dāng)作出證書分發(fā)請(qǐng)求時(shí)����,證書分發(fā)請(qǐng)求裝置51使用認(rèn)證設(shè)備信息管理裝置60獲得詳細(xì)的信息�,如,分發(fā)請(qǐng)求將被送往的認(rèn)證設(shè)備1的網(wǎng)絡(luò)上的地址��。此外,當(dāng)從認(rèn)證設(shè)備1 接收到所請(qǐng)求的證書后���,如果數(shù)字簽名被附在證書上�����,證書分發(fā)請(qǐng)求裝置51可以使用證書 管理部分6的證書驗(yàn)證裝置62驗(yàn)證該證書��。此外���,當(dāng)證書生成請(qǐng)求令牌同樣被附著在包括從認(rèn)證設(shè)備1發(fā)送回的證書的消息 上時(shí),證書分發(fā)請(qǐng)求裝置51使用證書管理部分6的證書生成請(qǐng)求令牌獲得裝置61從應(yīng)答 消息中獲得(提取)并分析證書生成請(qǐng)求令牌����。圖7是示出證書管理部分6的配置示例的方框圖。如圖7中所示���,證書管理部分 6包括認(rèn)證設(shè)備信息管理裝置60��、證書生成請(qǐng)求令牌獲得裝置61�����、證書驗(yàn)證裝置62����、認(rèn)證設(shè) 備信息存儲(chǔ)部分63和證書信息存儲(chǔ)部分65�。認(rèn)證設(shè)備信息管理裝置60是用于管理存儲(chǔ)在認(rèn)證設(shè)備信息存儲(chǔ)部分63中的與認(rèn) 證設(shè)備1有關(guān)的信息的裝置。認(rèn)證設(shè)備信息管理裝置60具有基于證書生成請(qǐng)求令牌中描 述的認(rèn)證設(shè)備標(biāo)識(shí)來(lái)獲得關(guān)于認(rèn)證設(shè)備的詳細(xì)信息(如����,網(wǎng)絡(luò)上的位置信息(IP地址))的 功能。證書生成請(qǐng)求令牌獲得裝置61從證書分發(fā)請(qǐng)求裝置51接收到的消息獲得證書生 成請(qǐng)求令牌�����。證書認(rèn)證裝置62是用于驗(yàn)證從認(rèn)證設(shè)備1接收到的證書中描述的信息的格式和 內(nèi)容的裝置����。例如,當(dāng)將使用如數(shù)字簽名等簽名技術(shù)的簽名附著在證書上時(shí)��,證書驗(yàn)證裝置 62驗(yàn)證簽名����,并從而可以驗(yàn)證簽名是否曾被篡改。在證書的驗(yàn)證完成后��,證書驗(yàn)證裝置62 存儲(chǔ)驗(yàn)證過(guò)的證書作為證書信息存儲(chǔ)部分65中的適當(dāng)?shù)淖C書,并管理該證書�����。證書驗(yàn)證裝 置62具有使用預(yù)定搜索關(guān)鍵字(如�����,證書的標(biāo)識(shí)符或用戶的標(biāo)識(shí)符)獲得適當(dāng)?shù)淖C書的功 能����。當(dāng)用計(jì)算機(jī)實(shí)現(xiàn)服務(wù)轉(zhuǎn)交設(shè)備2時(shí),服務(wù)訪問(wèn)轉(zhuǎn)交裝置50��、證書分發(fā)請(qǐng)求裝置51����、 認(rèn)證設(shè)備信息管理裝置60、證書生成請(qǐng)求令牌獲得裝置61和證書驗(yàn)證裝置62是由服務(wù)轉(zhuǎn) 交設(shè)備2中安裝的CPU所實(shí)現(xiàn)的����,該CPU執(zhí)行用于實(shí)現(xiàn)這些功能的程序。圖8是示出服務(wù)提供設(shè)備3的配置示例的方框圖���。如圖8所示����,服務(wù)提供設(shè)備3 包括證書生成請(qǐng)求裝置80���、服務(wù)提供設(shè)備證書管理部分66和服務(wù)管理部分7���。圖9是示出服務(wù)提供設(shè)備證書管理部分66的配置示例的方框圖。如圖9中所示, 服務(wù)提供設(shè)備證書管理部分66包括認(rèn)證設(shè)備信息管理裝置60、證書生成請(qǐng)求令牌分析裝 置661����、證書驗(yàn)證裝置62、認(rèn)證設(shè)備信息存儲(chǔ)部分63和證書信息存儲(chǔ)部分65��。服務(wù)提供設(shè)備證書管理部分66是具有證書生成請(qǐng)求令牌分析裝置661��,而不是服 務(wù)轉(zhuǎn)交設(shè)備2中的證書管理部分6中的證書請(qǐng)求令牌獲得裝置61 (參見圖7)的管理部分��。證書生成請(qǐng)求令牌分析裝置661具有分析從服務(wù)轉(zhuǎn)交設(shè)備2接收到的證書生成請(qǐng) 求令牌并獲得(提取)包括在令牌中的認(rèn)證設(shè)備的標(biāo)識(shí)符和會(huì)話標(biāo)識(shí)符的功能��。證書生成 請(qǐng)求令牌分析裝置661管理證書生成請(qǐng)求令牌���。證書生成請(qǐng)求裝置80是如下的裝置創(chuàng)建用于向發(fā)布證書生成請(qǐng)求令牌的認(rèn)證 設(shè)備1作為證書生成請(qǐng)求的消息����,并發(fā)送證書生成請(qǐng)求令牌附著其上的證書生成請(qǐng)求。證書生成請(qǐng)求令牌分析裝置661和認(rèn)證設(shè)備信息管理裝置60提取詳細(xì)的信息���,如 證書生成請(qǐng)求消息所發(fā)往的認(rèn)證設(shè)備1的網(wǎng)絡(luò)上的地址。證書生成請(qǐng)求令牌分析裝置661 分析證書生成請(qǐng)求令牌���,提取認(rèn)證設(shè)備1的認(rèn)證設(shè)備標(biāo)識(shí)符以及向認(rèn)證設(shè)備信息管理裝置60輸出認(rèn)證設(shè)備標(biāo)識(shí)符�����。認(rèn)證設(shè)備信息管理裝置60請(qǐng)求認(rèn)證設(shè)備信息存儲(chǔ)部分63查閱關(guān) 于認(rèn)證設(shè)備1的對(duì)應(yīng)于所輸出的認(rèn)證設(shè)備標(biāo)識(shí)符的信息����,從而提取關(guān)于認(rèn)證設(shè)備1的詳細(xì) fn息ο
圖10是示出了服務(wù)管理部分7的配置示例的方框圖����。如圖10中所示,服務(wù)管理 部分7包括服務(wù)訪問(wèn)接收裝置70��、服務(wù)信息管理裝置71��、訪問(wèn)控制策略存儲(chǔ)部分72和服務(wù) 信息存儲(chǔ)部分73���。服務(wù)訪問(wèn)接收裝置70使用服務(wù)信息存儲(chǔ)部分73中由服務(wù)信息管理裝置71管理 的服務(wù)信息來(lái)發(fā)行預(yù)定的應(yīng)用服務(wù)�。此外,服務(wù)訪問(wèn)接收裝置70是通過(guò)執(zhí)行控制����,使得響 應(yīng)于用戶對(duì)服務(wù)的訪問(wèn),使用存儲(chǔ)在訪問(wèn)控制策略存儲(chǔ)部分72中的訪問(wèn)控制策略��,僅接受 來(lái)自預(yù)定用戶的訪問(wèn)來(lái)提供服務(wù)的裝置�。此外,向服務(wù)訪問(wèn)接收裝置70提供使用預(yù)定通信協(xié)議從服務(wù)提供設(shè)備3以外的服 務(wù)提供設(shè)備接收證書生成請(qǐng)求令牌的功能���。訪問(wèn)控制策略存儲(chǔ)部分72存儲(chǔ)用于控制提供服務(wù)的方法的訪問(wèn)控制策略�,所述 服務(wù)是服務(wù)訪問(wèn)接收裝置70根據(jù)預(yù)定用戶和情況提供的�����。訪問(wèn)控制策略是針對(duì)與特定信 息有關(guān)的條件�,定義服務(wù)訪問(wèn)接收裝置70將要采用的操作的信息。訪問(wèn)控制策略的示例包 括規(guī)定僅擁有預(yù)定屬性信息的用戶才被同意訪問(wèn)服務(wù)的規(guī)范���、以及規(guī)定僅針對(duì)預(yù)定時(shí)間 段等不同意預(yù)定用戶訪問(wèn)服務(wù)的規(guī)范�����。以預(yù)定的策略描述語(yǔ)言來(lái)編寫在訪問(wèn)控制策略中定 義的條件和操作�����。服務(wù)訪問(wèn)接收裝置70可以自動(dòng)讀取訪問(wèn)控制策略���。服務(wù)信息管理裝置71是用于管理存儲(chǔ)在服務(wù)信息存儲(chǔ)部分73中的預(yù)定服務(wù)特定 的信息��。此外���,服務(wù)信息管理裝置71根據(jù)服務(wù)的內(nèi)容管理存儲(chǔ)在服務(wù)信息存儲(chǔ)部分73中 的關(guān)于用戶的信息����。當(dāng)用計(jì)算機(jī)實(shí)現(xiàn)服務(wù)提供設(shè)備3時(shí),證書生成請(qǐng)求裝置80�����、認(rèn)證設(shè)備信息管理裝 置60����、證書生成請(qǐng)求令牌分析裝置661、證書驗(yàn)證裝置62�、服務(wù)訪問(wèn)接收裝置70和服務(wù)信息 管理裝置71是由服務(wù)提供設(shè)備3中安裝的CPU所實(shí)現(xiàn)的���,該CPU執(zhí)行用于實(shí)現(xiàn)這些功能的程序。向終端設(shè)備4提供用戶直接操作的通信功能��,以發(fā)送認(rèn)證設(shè)備1的用戶認(rèn)證裝置 10所要求的憑證信息以認(rèn)證用戶��,并使用服務(wù)轉(zhuǎn)交設(shè)備2提供的服務(wù)��。向上述認(rèn)證設(shè)備1�、服務(wù)轉(zhuǎn)交設(shè)備2、服務(wù)提供設(shè)備3和終端設(shè)備4中每一個(gè)都提 供通信裝置(未示出)����。當(dāng)彼此進(jìn)行通信時(shí),向認(rèn)證設(shè)備1��、服務(wù)轉(zhuǎn)交設(shè)備2��、服務(wù)提供設(shè)備 3和終端設(shè)備4各自的通信裝置提供例如SSL (安全套接層)或TLS (傳輸層安全)的機(jī)制 或者與其兼容的機(jī)制��,以防止第三方發(fā)送/接收的消息的攔截��。此外����,向認(rèn)證設(shè)備1�����、服務(wù)轉(zhuǎn) 交設(shè)備2����、服務(wù)提供設(shè)備3和終端設(shè)備4每一個(gè)都提供加密功能和用于對(duì)接收到的加密信息 進(jìn)行解碼的解碼功能�����,所述加密功能僅向通信的預(yù)訂方通知所發(fā)送/接收的消息的內(nèi)容以 及防止將消息的內(nèi)容暴露給通信中有預(yù)謀的各方�。接下來(lái),將參考圖11到圖16描述第一示例性實(shí)施方式的操作����。首先���,將參考圖11和圖12描述認(rèn)證設(shè)備1的操作����。認(rèn)證設(shè)備1準(zhǔn)備接收從用戶 或服務(wù)提供設(shè)備3發(fā)送的預(yù)定請(qǐng)求消息��。認(rèn)證設(shè)備1分析訪問(wèn)請(qǐng)求并根據(jù)請(qǐng)求的內(nèi)容執(zhí)行 操作處理��。下面是在認(rèn)證設(shè)備1認(rèn)證終端設(shè)備4的用戶并生成認(rèn)證證書后的本發(fā)明的特征 操作的描述。
將參考圖11描述認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè)備2接收證書分發(fā)請(qǐng)求時(shí)的操作����。圖11是示出認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè)備2接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程圖。當(dāng)認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè)備2接收證書分發(fā)請(qǐng)求(步驟S1101)時(shí)�,證書分發(fā)請(qǐng) 求接收裝置15分析證書分發(fā)請(qǐng)求消息并從證書分發(fā)請(qǐng)求消息獲得(提取)關(guān)于以下內(nèi)容 的信息其證書被請(qǐng)求的目標(biāo)用戶、請(qǐng)求證書的服務(wù)轉(zhuǎn)交設(shè)備2和所請(qǐng)求的證書的類型和 內(nèi)容等(步驟S1102)����。接下來(lái),證書分發(fā)請(qǐng)求接收裝置15查閱與步驟S1102中所獲得的證書分發(fā)請(qǐng)求的 內(nèi)容有關(guān)的信息�,將該請(qǐng)求與訪問(wèn)控制策略存儲(chǔ)部分21中存儲(chǔ)的訪問(wèn)控制策略相關(guān)聯(lián),并 確定是否接受證書分發(fā)請(qǐng)求(步驟Sl 103)�。當(dāng)在步驟S1103中沒有接受證書分發(fā)請(qǐng)求(否)時(shí),證書分發(fā)請(qǐng)求接收裝置15創(chuàng) 建斷言將不批準(zhǔn)證書分發(fā)請(qǐng)求的出錯(cuò)消息(步驟S1109)并將出錯(cuò)消息發(fā)送回服務(wù)轉(zhuǎn)交設(shè) 備2(步驟Sl 108)�。另一方面,在步驟S1103中�,當(dāng)接受證書分發(fā)請(qǐng)求(是)時(shí),證書管理裝置16基于 關(guān)于證書分發(fā)請(qǐng)求的內(nèi)容的信息從證書信息存儲(chǔ)部分24中搜索并獲得對(duì)應(yīng)的證書(步驟 S1104)��,并向證書分發(fā)請(qǐng)求接收裝置15發(fā)送該證書���。接下來(lái)�,證書分發(fā)請(qǐng)求接收裝置15向 證書生成請(qǐng)求令牌管理裝置13發(fā)送所獲得的證書。證書生成請(qǐng)求令牌管理裝置13生成針對(duì)服務(wù)提供設(shè)備3的證書生成請(qǐng)求令牌�,以 通過(guò)生成隨機(jī)數(shù)作出證書生成請(qǐng)求(步驟S1105)。然后��,證書生成請(qǐng)求令牌管理裝置13管 理所生成的與接收到的證書有關(guān)的證書生成請(qǐng)求令牌(步驟S1106)��。例如�,證書生成請(qǐng)求 令牌管理裝置13在證書生成請(qǐng)求令牌存儲(chǔ)部分22中與證書標(biāo)識(shí)符相關(guān)聯(lián)地存儲(chǔ)證書生成 請(qǐng)求令牌。然后����,證書生成請(qǐng)求令牌管理裝置13將所生成的證書生成請(qǐng)求令牌發(fā)送回證書 分發(fā)請(qǐng)求接收裝置15。接下來(lái)�����,證書分發(fā)請(qǐng)求接收裝置15創(chuàng)建伴隨有從證書生成請(qǐng)求令牌管理裝置13 接收的證書生成請(qǐng)求令牌和步驟S1105中獲得的證書的對(duì)證書分發(fā)請(qǐng)求的應(yīng)答消息(步驟 Sl 107)����,并將該應(yīng)答消息發(fā)送回服務(wù)轉(zhuǎn)交設(shè)備2 (步驟Sl 108)���。在上述從步驟SllOl到步驟S1108的操作中已經(jīng)描述了認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè) 備2接收證書分發(fā)請(qǐng)求的情況�,然而還可以存在從服務(wù)轉(zhuǎn)交設(shè)備2經(jīng)由終端設(shè)備4作出證 書分發(fā)請(qǐng)求的情況�����,即認(rèn)證設(shè)備1從終端設(shè)備4接收證書分發(fā)請(qǐng)求的情況。在這種情況下�, 可以在上述從步驟SllOl到步驟S1108的操作中將服務(wù)轉(zhuǎn)交設(shè)備2讀作終端設(shè)備4。接下來(lái)��,將參考圖12描述當(dāng)認(rèn)證設(shè)備1從特定的服務(wù)提供設(shè)備3接收證書生成請(qǐng) 求時(shí)����,認(rèn)證設(shè)備1的操作。圖12是示出認(rèn)證設(shè)備1從服務(wù)提供設(shè)備3接收證書生成請(qǐng)求時(shí) 的處理示例的流程圖����。當(dāng)認(rèn)證設(shè)備1從特定的服務(wù)提供設(shè)備3接收證書生成請(qǐng)求(步驟S1201)時(shí),證書 生成請(qǐng)求接收裝置12分析證書創(chuàng)建請(qǐng)求消息�����,從證書創(chuàng)建請(qǐng)求消息中識(shí)別將被創(chuàng)建的證 書的類型和內(nèi)容并提取證書生成請(qǐng)求令牌(步驟S1202)����。接下來(lái),證書生成請(qǐng)求接收裝置12參考存儲(chǔ)在訪問(wèn)控制策略存儲(chǔ)部分21中的安 全策略���,作出是否接受來(lái)自服務(wù)提供設(shè)備3的證書創(chuàng)建請(qǐng)求的批準(zhǔn)/不批準(zhǔn)決定(步驟 S1203)��。當(dāng)決定證書生成請(qǐng)求是不可接受的(否)時(shí)����,證書生成請(qǐng)求接收裝置12創(chuàng)建出錯(cuò) 消息(步驟S1204)并將該出錯(cuò)消息發(fā)送回服務(wù)提供設(shè)備3 (步驟S1211)。
另一方面���,當(dāng)在步驟S1203中作出接受證書生成請(qǐng)求的批準(zhǔn)決定(是)時(shí)�����,證書生成請(qǐng)求接收裝置12向證書生成請(qǐng)求令牌管理裝置13發(fā)送所提取的證書生成請(qǐng)求令牌�。證書生成請(qǐng)求令牌管理裝置13從證書生成請(qǐng)求令牌存儲(chǔ)部分22獲得與接收到的 證書生成請(qǐng)求令牌有關(guān)的證書標(biāo)識(shí)符����。證書生成請(qǐng)求令牌管理裝置13向證書管理裝置16 發(fā)送證書標(biāo)識(shí)符。證書管理裝置16基于證書標(biāo)識(shí)符從證書信息存儲(chǔ)部分24獲得對(duì)應(yīng)的證書(步驟 S1205)�,并將該證書發(fā)送回證書生成請(qǐng)求接收裝置12。證書生成請(qǐng)求接收裝置12從證書中描述的信息中獲得與證書有關(guān)的用戶標(biāo)識(shí)符 以及其會(huì)話標(biāo)識(shí)符�����,并將用戶標(biāo)識(shí)符和會(huì)話標(biāo)識(shí)符與關(guān)于服務(wù)提供設(shè)備3的信息一起發(fā)送 到用戶信息管理裝置11��。用戶信息管理裝置11基于用戶標(biāo)識(shí)符����、會(huì)話標(biāo)識(shí)符和關(guān)于服務(wù)提供設(shè)備3的信 息,從用戶信息存儲(chǔ)部分20獲得關(guān)于用戶的信息和與服務(wù)提供設(shè)備3有關(guān)的會(huì)話信息(步 驟S1206)���,并向證書生成請(qǐng)求接收裝置12發(fā)送該信息��。接下來(lái)����,證書生成請(qǐng)求接收裝置12請(qǐng)求證書生成裝置14生成伴隨有關(guān)于用戶的 信息的證書及其會(huì)話信息�,所述用戶與服務(wù)提供設(shè)備3有關(guān)。證書生成裝置14從設(shè)備信息存儲(chǔ)部分23獲得必需信息作為與服務(wù)提供設(shè)備3有 關(guān)的信息����,使用與用戶有關(guān)的信息及其會(huì)話信息生成所請(qǐng)求的證書(步驟S1207),并向證 書生成請(qǐng)求接收裝置12輸出該證書��。證書生成請(qǐng)求接收裝置12向證書生成請(qǐng)求令牌管理 裝置13發(fā)送新創(chuàng)建的證書�。步驟S1208到步驟S1210的后續(xù)處理與圖11中的步驟S1105到S1107的處理的內(nèi) 容實(shí)質(zhì)上是相同的。證書生成請(qǐng)求令牌管理裝置13生成針對(duì)不同于服務(wù)提供設(shè)備3的服務(wù) 提供設(shè)備的證書生成請(qǐng)求令牌��,以通過(guò)生成隨機(jī)數(shù)作出證書生成請(qǐng)求(步驟S1208)�����,并管 理與顯示出已經(jīng)接收到證書生成請(qǐng)求令牌的證書有關(guān)的證書生成請(qǐng)求令牌(步驟S1209)。 證書生成請(qǐng)求令牌生成裝置13向證書生成請(qǐng)求接收裝置12發(fā)送所生成的證書生成請(qǐng)求令 牌����。證書生成請(qǐng)求接收裝置12創(chuàng)建伴隨有從證書生成請(qǐng)求令牌管理裝置13接收的證 書生成請(qǐng)求令牌和步驟S1208中獲得的證書的對(duì)證書分發(fā)請(qǐng)求的應(yīng)答消息(步驟S1210), 并將該應(yīng)答消息發(fā)送回服務(wù)提供設(shè)備3 (步驟S1211)����。在以上描述中考慮了服務(wù)提供設(shè)備3擔(dān)當(dāng)服務(wù)轉(zhuǎn)交設(shè)備并且還對(duì)其它服務(wù)提供 設(shè)備進(jìn)行轉(zhuǎn)交的情況,然而當(dāng)服務(wù)提供設(shè)備3不擔(dān)當(dāng)服務(wù)轉(zhuǎn)交設(shè)備時(shí)���,服務(wù)提供設(shè)備2不執(zhí) 行步驟S1208和S1209中的處理��。然后���,在步驟SlO中,服務(wù)提供設(shè)備2創(chuàng)建僅附著有證書 的對(duì)證書分發(fā)請(qǐng)求的應(yīng)答消息�。接下來(lái),將參考圖13到圖16描述服務(wù)轉(zhuǎn)交設(shè)備2或服務(wù)提供設(shè)備3的操作���。將參考圖13描述當(dāng)服務(wù)提供設(shè)備3接收服務(wù)訪問(wèn)請(qǐng)求時(shí)的操作��。圖13是示出了 當(dāng)服務(wù)提供設(shè)備3接收服務(wù)訪問(wèn)請(qǐng)求時(shí)的處理示例的流程圖��。服務(wù)提供設(shè)備3準(zhǔn)備好從用戶(終端設(shè)備4)或服務(wù)轉(zhuǎn)交設(shè)備2接收預(yù)定的請(qǐng)求 消息���。此外��,服務(wù)提供設(shè)備3準(zhǔn)備好向認(rèn)證設(shè)備1發(fā)送預(yù)定的請(qǐng)求消息。在接收到訪問(wèn)請(qǐng)求后��,服務(wù)提供設(shè)備3分析該消息并執(zhí)行與該請(qǐng)求的內(nèi)容相對(duì)應(yīng) 的操作處理��。此外���,服務(wù)提供設(shè)備3執(zhí)行由預(yù)定事件觸發(fā)的創(chuàng)建請(qǐng)求消息等的操作處理���。以下將描述服務(wù)提供設(shè)備3接受代理訪問(wèn)的處理,這是本發(fā)明的特征操作�。將參考圖13描述在服務(wù)提供設(shè)備3從用戶(終端設(shè)備4)或服務(wù)轉(zhuǎn)交設(shè)備2接收到針對(duì)服務(wù)提供設(shè)備3所發(fā)行的服務(wù)的訪問(wèn)請(qǐng)求的情況下的操作。服務(wù)提供設(shè)備3發(fā)行預(yù)定的服務(wù)���。在從用戶(終端設(shè)備4)或服務(wù)轉(zhuǎn)交設(shè)備2接 收到針對(duì)發(fā)行服務(wù)的訪問(wèn)請(qǐng)求(步驟S1301)后�����,服務(wù)提供部分3的服務(wù)管理部分7的服務(wù) 訪問(wèn)接收裝置70檢查與訪問(wèn)請(qǐng)求有關(guān)的用戶認(rèn)證是否必要(步驟S1302)�。當(dāng)與發(fā)行服務(wù) 有關(guān)的認(rèn)證不必要時(shí)或當(dāng)訪問(wèn)請(qǐng)求包括會(huì)話標(biāo)識(shí)符或證書等時(shí)�����,并且當(dāng)從而可以認(rèn)證用戶 并且新的認(rèn)證處理不必要時(shí)(否),服務(wù)信息管理裝置71創(chuàng)建聲明將提供發(fā)行服務(wù)的應(yīng)答 消息(步驟S1309)�,并且服務(wù)訪問(wèn)接收裝置70將該應(yīng)答消息發(fā)送回訪問(wèn)請(qǐng)求的請(qǐng)求者(步 驟 S1310)。另一方面���,當(dāng)與訪問(wèn)請(qǐng)求有關(guān)的用戶認(rèn)證是必須的時(shí)(是)�,服務(wù)訪問(wèn)接收裝置70 分析該訪問(wèn)請(qǐng)求��,獲得(提取)證書生成請(qǐng)求令牌并標(biāo)識(shí)認(rèn)證設(shè)備(步驟S1303)�����。接下來(lái)���,服務(wù)訪問(wèn)接收裝置70從服務(wù)信息管理裝置71獲得接收服務(wù)訪問(wèn)所必須 的證書類型(步驟S1304)�,并將證書的類型和證書生成請(qǐng)求令牌一起發(fā)送到證書生成請(qǐng)求 裝置80�。在稍后將要描述的從步驟S1601到步驟S1611的處理中,證書生成請(qǐng)求裝置80從 發(fā)布證書生成請(qǐng)求令牌的認(rèn)證設(shè)備1接收所請(qǐng)求的證書����,并向服務(wù)訪問(wèn)接收裝置70發(fā)送該 證書。此外,證書驗(yàn)證裝置62驗(yàn)證接收到的證書(步驟S1305)����。接下來(lái),服務(wù)訪問(wèn)接收裝置70檢查證書驗(yàn)證結(jié)果的內(nèi)容(步驟S1306)��。當(dāng)證書驗(yàn) 證結(jié)果是正確的并且證書是適當(dāng)?shù)淖C書時(shí)(是)��,服務(wù)訪問(wèn)接收裝置70將證書的描述內(nèi)容 或服務(wù)信息管理裝置71所管理的關(guān)于用戶的信息與訪問(wèn)控制策略存儲(chǔ)部分72中存儲(chǔ)的安 全策略相關(guān)聯(lián)(步驟S1307)�����。當(dāng)檢查關(guān)聯(lián)結(jié)果(步驟S1308)并接受服務(wù)訪問(wèn)(是)時(shí),服務(wù)信息管理裝置71 創(chuàng)建應(yīng)答消息以提供服務(wù)(步驟S1309)����。另一方面�,當(dāng)由于關(guān)聯(lián)的緣故服務(wù)訪問(wèn)未被接受 (否)時(shí)��,服務(wù)信息管理裝置71創(chuàng)建聲明服務(wù)訪問(wèn)未被接受的出錯(cuò)消息(步驟S1311)�,并 且服務(wù)訪問(wèn)接收裝置70將該出錯(cuò)消息發(fā)送回訪問(wèn)請(qǐng)求的請(qǐng)求者(步驟S1310)。另一方面,當(dāng)步驟S1306中證書驗(yàn)證結(jié)果不正確(否)時(shí)��,服務(wù)信息管理裝置71 創(chuàng)建聲明服務(wù)訪問(wèn)未被接受的出錯(cuò)消息(步驟S1311)�,并且服務(wù)訪問(wèn)接收裝置70將該出錯(cuò) 消息發(fā)送回訪問(wèn)請(qǐng)求的請(qǐng)求者(步驟S1310)。接下來(lái)�,將參考圖14描述當(dāng)服務(wù)轉(zhuǎn)交設(shè)備2轉(zhuǎn)交針對(duì)服務(wù)提供設(shè)備3的服務(wù)的訪 問(wèn)時(shí)的操作�����。圖14是示出服務(wù)轉(zhuǎn)交設(shè)備2轉(zhuǎn)交對(duì)服務(wù)提供設(shè)備3的訪問(wèn)的流程圖。針對(duì)服務(wù)提供設(shè)備3提供的服務(wù)���,服務(wù)轉(zhuǎn)交設(shè)備2的服務(wù)訪問(wèn)轉(zhuǎn)交裝置50從用戶 (終端設(shè)備4)接收服務(wù)訪問(wèn)請(qǐng)求(步驟S1401)���。此后,服務(wù)轉(zhuǎn)交設(shè)備2創(chuàng)建用于請(qǐng)求針對(duì)認(rèn)證設(shè)備1的證書生成請(qǐng)求令牌,并向認(rèn) 證設(shè)備1發(fā)送該消息(步驟S1402)�。接下來(lái),服務(wù)轉(zhuǎn)交設(shè)備2從認(rèn)證設(shè)備1接收伴隨著與服務(wù)訪問(wèn)請(qǐng)求的用戶有關(guān)的 證書生成請(qǐng)求令牌的應(yīng)答消息(步驟S1403),服務(wù)訪問(wèn)請(qǐng)求是認(rèn)證設(shè)備1通過(guò)圖11中所示 的操作創(chuàng)建的��。接下來(lái),證書生成請(qǐng)求令牌獲得裝置61從對(duì)證書分發(fā)請(qǐng)求的應(yīng)答消息中提取證 書生成請(qǐng)求令牌(步驟S1404)�����。然后���,服務(wù)訪問(wèn)轉(zhuǎn)交裝置50使用預(yù)定協(xié)議為服務(wù)提供設(shè)備3發(fā)行的服務(wù)創(chuàng)建服務(wù)訪問(wèn)請(qǐng)求消息(步驟S1405)����,將證書生成請(qǐng)求令牌附著在服務(wù)訪問(wèn) 請(qǐng)求消息上(步驟S1406)���,并向服務(wù)提供設(shè)備3發(fā)送服務(wù)訪問(wèn)請(qǐng)求消息(步驟S1407)����。接下來(lái)�,服務(wù)訪問(wèn)轉(zhuǎn)交裝置50從服務(wù)提供設(shè)備3接收應(yīng)答消息(步驟S1408),并基于應(yīng)答消息的內(nèi)容,向終端設(shè)備4發(fā)送針對(duì)服務(wù)提供設(shè)備3的服務(wù)轉(zhuǎn)交結(jié)果的內(nèi)容(步 驟 S1409)���。將參考圖15描述服務(wù)轉(zhuǎn)交設(shè)備2接收從認(rèn)證設(shè)備1分發(fā)的證書時(shí)的操作。圖15 是示出服務(wù)轉(zhuǎn)交設(shè)備2從認(rèn)證設(shè)備1接收證書時(shí)的處理示例的流程圖�����。服務(wù)轉(zhuǎn)交設(shè)備2的證書分發(fā)請(qǐng)求裝置51使用預(yù)定的通信協(xié)議創(chuàng)建證書分發(fā)請(qǐng)求 消息(步驟S1501)�。在這種情況下�,證書分發(fā)請(qǐng)求消息存儲(chǔ)可以標(biāo)識(shí)對(duì)應(yīng)于預(yù)定協(xié)議的其 分發(fā)被請(qǐng)求的證書��。然后�,證書分發(fā)請(qǐng)求裝置51向預(yù)定認(rèn)證設(shè)備1的證書分發(fā)請(qǐng)求接收裝 置15發(fā)送證書分發(fā)請(qǐng)求消息(步驟S1502)。接下來(lái),在已經(jīng)將通信置于待命狀態(tài)后�����,證書分發(fā)請(qǐng)求裝置51從認(rèn)證設(shè)備1的證 書分發(fā)請(qǐng)求接收裝置15接收對(duì)證書分發(fā)請(qǐng)求的應(yīng)答消息(步驟S1503)。接下來(lái)�,證書分發(fā)請(qǐng)求裝置51分析應(yīng)答消息(步驟S1504)��,提取證書(步驟 S1505),并向證書驗(yàn)證裝置62發(fā)送該證書。證書驗(yàn)證裝置62驗(yàn)證該證書并檢查內(nèi)容是否 已被篡改以及是否已由認(rèn)證設(shè)備1對(duì)內(nèi)容進(jìn)行了描述(步驟S1506)。當(dāng)確認(rèn)證書是非法的 時(shí)(否)���,立即結(jié)束處理��。另一方面���,當(dāng)確認(rèn)證書是適當(dāng)?shù)臅r(shí)(是)�,證書分發(fā)請(qǐng)求裝置51分析應(yīng)答消息,并 調(diào)查是否包括了任何的證書生成請(qǐng)求令牌(步驟S1507)�����。在步驟S1507中�,當(dāng)證書分發(fā)請(qǐng)求裝置51判斷包括證書生成請(qǐng)求令牌時(shí)(是),證 書分發(fā)請(qǐng)求裝置51向證書生成請(qǐng)求令牌獲得裝置61發(fā)送證書生成請(qǐng)求令牌。此外���,證書 生成請(qǐng)求令牌獲得裝置61分析證書生成請(qǐng)求令牌(步驟S1508)并且證書驗(yàn)證裝置62將 證書存儲(chǔ)在證書信息存儲(chǔ)部分65中(步驟S1509)。另一方面���,當(dāng)證書分發(fā)請(qǐng)求裝置51在步驟S1507中判斷應(yīng)答消息中沒有包括證 書生成請(qǐng)求令牌時(shí)(否)�����,證書驗(yàn)證裝置62將證書存儲(chǔ)在證書信息存儲(chǔ)部分65中(步驟 S1509)并結(jié)束處理��。接下來(lái)���,將參考圖16描述當(dāng)服務(wù)提供設(shè)備3請(qǐng)求認(rèn)證設(shè)備1生成證書并分發(fā)所請(qǐng) 求的證書時(shí)的操作�����。圖16是示出當(dāng)服務(wù)提供設(shè)備3向認(rèn)證設(shè)備1請(qǐng)求證書并接收該證書 時(shí)的處理示例的流程圖。服務(wù)提供設(shè)備3的服務(wù)管理部分7中的服務(wù)訪問(wèn)接收裝置70接收服務(wù)轉(zhuǎn)交設(shè)備 2的服務(wù)訪問(wèn)轉(zhuǎn)交裝置50所發(fā)送的證書生成請(qǐng)求令牌和服務(wù)訪問(wèn)請(qǐng)求(步驟S1601)����。之后,服務(wù)提供設(shè)備3的服務(wù)提供設(shè)備證書管理部分66中的證書生成請(qǐng)求令牌分 析裝置661分析證書生成請(qǐng)求令牌(步驟S1602)。作為分析結(jié)果��,證書生成請(qǐng)求令牌分析 裝置661獲得包括在發(fā)布證書生成請(qǐng)求令牌的認(rèn)證設(shè)備1的證書生成請(qǐng)求令牌中的標(biāo)識(shí)符 信息���,并向認(rèn)證設(shè)備信息管理裝置60發(fā)送標(biāo)識(shí)符信息��。認(rèn)證設(shè)備信息管理裝置60從認(rèn)證設(shè)備1的標(biāo)識(shí)符信息獲得詳細(xì)的信息(如認(rèn)證 設(shè)備1的網(wǎng)絡(luò)上的地址)(步驟S1603)��,并向證書生成請(qǐng)求裝置80發(fā)送該詳細(xì)的信息。證書生成請(qǐng)求裝置80使用預(yù)定通信協(xié)議由關(guān)于認(rèn)證設(shè)備1的詳細(xì)信息創(chuàng)建指向 認(rèn)證設(shè)備1的服務(wù)提供設(shè)備3的證書生成請(qǐng)求消息(步驟S1604),將證書生成請(qǐng)求令牌附著在證書生成請(qǐng)求消息上(步驟S1605)�,并向認(rèn)證設(shè)備1的證書生成請(qǐng)求接收裝置12發(fā)送 證書生成請(qǐng)求消息(步驟S1606)�。 此后��,證書生成請(qǐng)求裝置80轉(zhuǎn)變到通信等待狀態(tài),然后從認(rèn)證設(shè)備1的證書生成 請(qǐng)求接收裝置12接收應(yīng)答消息(步驟S1607),并如同步驟S1506到S1509中的處理的情況 一樣�����,驗(yàn)證和存儲(chǔ)包括在應(yīng)答消息中的證書(步驟S1608至S1611)。在上述第一示例性實(shí)施方式的操作中���,發(fā)布指向代理訪問(wèn)目標(biāo)設(shè)備(服務(wù)提供設(shè) 備3)的證書的時(shí)刻是認(rèn)證設(shè)備1接收證書生成請(qǐng)求消息的時(shí)刻�����,然而也可以在認(rèn)證設(shè)備1 發(fā)布指向服務(wù)提供設(shè)備3的證書生成請(qǐng)求令牌時(shí)發(fā)布針對(duì)服務(wù)提供設(shè)備3的證書。在這種 情況下���,當(dāng)生成證書生成請(qǐng)求令牌時(shí),生成證書并對(duì)證書信息存儲(chǔ)部分24進(jìn)行注冊(cè)。此外, 當(dāng)認(rèn)證設(shè)備1接收服務(wù)提供設(shè)備3發(fā)送的證書生成請(qǐng)求消息時(shí),證書生成請(qǐng)求接收設(shè)備12 使用證書管理裝置16搜索證書信息存儲(chǔ)部分24,獲得證書并對(duì)服務(wù)提供設(shè)備3進(jìn)行響應(yīng)���。 例如�,指向服務(wù)提供設(shè)備3的證書意味著證書在服務(wù)提供設(shè)備3中是有效的。根據(jù)第一示例性實(shí)施例����,通過(guò)繞過(guò)終端設(shè)備�����,經(jīng)由認(rèn)證設(shè)備和服務(wù)提供設(shè)備之間 的直接通信來(lái)執(zhí)行與用戶有關(guān)的證書的生成和分發(fā)�。因此�����,由于經(jīng)由終端設(shè)備重新指向的 數(shù)目減少并且執(zhí)行通信的次數(shù)減少�����,提高通信的效率是可能的�。例如���,即使做出嘗試,通過(guò)使用非專利文獻(xiàn)1中描述的技術(shù)將用戶中介的功能增 加到第一 SP上來(lái)繞過(guò)任何用戶中介以實(shí)現(xiàn)對(duì)第二 SP的代理訪問(wèn)���,通信也變得沒有效率。將要描述下面的情況,其中���,通過(guò)應(yīng)用非專利文獻(xiàn)1中描述的證書生成/分發(fā)系 統(tǒng),第一 SP嘗試針對(duì)IdP 100所認(rèn)證的并且訪問(wèn)第一 SP的服務(wù)器的用戶代理訪問(wèn)與第一 SP不同的第二 SP。在這種情況下���,第二 SP需要從IdP 100分發(fā)與用戶有關(guān)的證書���。將要描述下面的情況���,其中�,將用戶中介的功能增加到第一 SP�����,從而通過(guò)繞過(guò)用戶 中介,使用非專利文獻(xiàn)1中描述的技術(shù)來(lái)實(shí)現(xiàn)對(duì)第二 SP的代理訪問(wèn)。將參考圖2來(lái)描述通 過(guò)繞過(guò)用戶中介實(shí)現(xiàn)代理訪問(wèn)的處理流程的示例���。圖2示出了通過(guò)應(yīng)用非專利文獻(xiàn)1中描述的證書生成/分發(fā)系統(tǒng)來(lái)執(zhí)行代理訪問(wèn) 處理的情況的示例。向圖2中示出的證書生成/分發(fā)系統(tǒng)提供SP 121(第一 SP)而不是圖 1中示出的SP 101����。此外,向圖2中示出的證書生成/分發(fā)系統(tǒng)提供未向圖1中示出的系 統(tǒng)提供的SP 122(第二 SP)。圖2示出了用戶首先訪問(wèn)SP 121,然后SP 121代表用戶訪問(wèn) SP 122的示例����。圖2中示出的證書生成/分發(fā)系統(tǒng)執(zhí)行與圖1中示出的相關(guān)技術(shù)的證書生成/分 發(fā)系統(tǒng)相同的處理,直到用戶訪問(wèn)SP 121 (從步驟Sl到步驟S7)��。從步驟S8向前的處理是 SP 121借以訪問(wèn)服務(wù)(SP 122)以及SP 122借以提供服務(wù)的處理,而不是圖1中示出的用 戶中介102借以訪問(wèn)SP 101以及SP 101提供服務(wù)的處理。首先,當(dāng)SP 121獲得用戶的認(rèn)證斷言時(shí)���,SP 121執(zhí)行執(zhí)行對(duì)作為用戶中介的SP 122的代理訪問(wèn)(步驟S8)�����。SP 122向IdP 100發(fā)送認(rèn)證請(qǐng)求消息,以認(rèn)證訪問(wèn)實(shí)體(步驟 S9-a)��,并且SP 121將認(rèn)證請(qǐng)求消息從SP 122重新定向到IdP 100 (步驟S9_b)�。IdP 100在步驟Sl中確認(rèn)已經(jīng)對(duì)用戶進(jìn)行了認(rèn)證�,并創(chuàng)建用于證明已經(jīng)對(duì)用戶進(jìn) 行了認(rèn)證的認(rèn)證證書(認(rèn)證斷言)(步驟S10)�����,該認(rèn)證證書是以XML描述的。向SP 122發(fā) 布該認(rèn)證證書��,并且該認(rèn)證證書不同于步驟S4中針對(duì)SP 121創(chuàng)建的認(rèn)證證書����。此外,IdP 100創(chuàng)建人工產(chǎn)物,人工產(chǎn)物起針對(duì)所創(chuàng)建的認(rèn)證斷言的票的作用,并將人工產(chǎn)物發(fā)送回SP 121(步驟Sll-a)。SP 121將接收到的人工產(chǎn)物重新定向到SP122(步驟Sll-b)����。SP 122接收該人工產(chǎn)物�����,將接收到的人工產(chǎn)物發(fā)送到IdP 100并請(qǐng)求對(duì) 應(yīng)的認(rèn)證斷言(步驟S12)����。IdP 100檢查從SP 122接收到的人工產(chǎn)物,并將對(duì)應(yīng)的認(rèn)證斷言發(fā)送回SP 122(步驟S13)。SP 122檢查從IdP 100接收到的認(rèn)證斷言的真實(shí)性�����,使用SP 122的安全 策略驗(yàn)證是否接受用戶的服務(wù)訪問(wèn)請(qǐng)求�,并在接受訪問(wèn)請(qǐng)求時(shí)開始向SP 121提供服務(wù)(步 驟S14)���。這完成了 SP 121的代理訪問(wèn)�����,并且最終SP 121向用戶中介提供服務(wù)(步驟S15)。如上所述���,即使做出嘗試,通過(guò)使用非專利文獻(xiàn)1中描述的技術(shù)將用戶中介的功 能增加到第一 SP上來(lái)繞過(guò)用戶中介以實(shí)現(xiàn)對(duì)第二 SP的代理訪問(wèn)�,第二 SP也需要經(jīng)由第一 SP執(zhí)行和第一 SP已經(jīng)執(zhí)行的認(rèn)證處理(步驟S3-a到S7)相同的認(rèn)證處理(步驟S9_a到 S13)�。這使得處理變得復(fù)雜并使得通信沒有效率��。通過(guò)對(duì)比�����,根據(jù)本示例性實(shí)施例�,通過(guò)認(rèn) 證設(shè)備和服務(wù)提供設(shè)備之間的直接通信來(lái)執(zhí)行與用戶有關(guān)的證書的生成和分發(fā),從而降低 了經(jīng)由終端設(shè)備重新定向的數(shù)目并降低了執(zhí)行通信的次數(shù),從而可以提高通信的效率。當(dāng)與通過(guò)將用戶中介的功能增加到服務(wù)轉(zhuǎn)交設(shè)備來(lái)實(shí)現(xiàn)對(duì)服務(wù)提供設(shè)備的代理 訪問(wèn)的情況相比較,第一示例性實(shí)施例降低了經(jīng)由服務(wù)轉(zhuǎn)交設(shè)備重新定向的數(shù)目并降低了 執(zhí)行通信的次數(shù)���,從而可以提高通信的效率。此外,在服務(wù)轉(zhuǎn)交設(shè)備和服務(wù)提供設(shè)備之間交換信息量比證書少的證書生成請(qǐng)求 令牌而不是證書本身��。這降低了通信執(zhí)行的次數(shù)并降低了伴隨著證書分發(fā)的通信量,以及 提高了效率��。此外���,根據(jù)第一示例性實(shí)施例��,已接收到證書生成請(qǐng)求令牌的服務(wù)提供設(shè)備使用 證書生成請(qǐng)求令牌向認(rèn)證設(shè)備作出證書生成請(qǐng)求����,以及認(rèn)證設(shè)備在接收到證書生成請(qǐng)求后 生成證書。從而��,認(rèn)證設(shè)備不再需要事先生成并管理證書(證書的使用或不使用是未知的) 或生成不需要的證書����,從而可以降低與證書生成相對(duì)應(yīng)的處理成本或管理成本。此外���,根據(jù)第一示例性實(shí)施例���,在服務(wù)轉(zhuǎn)交設(shè)備和服務(wù)提供設(shè)備之間交換用于請(qǐng) 求生成與用戶有關(guān)的證書的證書生成請(qǐng)求令牌。證書生成請(qǐng)求令牌本身不包括足以識(shí)別用 戶的信息��。從而,防止在與證書的生成和分發(fā)相對(duì)應(yīng)的處理操作中泄露機(jī)密信息并保護(hù)隱 私是可能的����。(第二示例性實(shí)施例)接下來(lái),將參考附圖描述本發(fā)明的第二示例性實(shí)施例�����。圖17是示出根據(jù)第二示例性實(shí)施例的服務(wù)轉(zhuǎn)交裝置30的配置示例的方框圖���。如 圖17所示���,根據(jù)第二示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備30與第一示例性實(shí)施例的不同在于,除 了圖6中示出的第一示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備2的配置外,服務(wù)轉(zhuǎn)交設(shè)備30包括服務(wù) 管理部分7、證書生成請(qǐng)求裝置80和服務(wù)提供設(shè)備證書管理部分66�。與根據(jù)第一示例性實(shí) 施例的服務(wù)轉(zhuǎn)交設(shè)備2中相似的組件將被分配與圖6中相同的附圖標(biāo)記�����,并且省略對(duì)其的 描述。第二示例性實(shí)施例的證書生成/分發(fā)系統(tǒng)的優(yōu)選方面在于向證書生成/分發(fā)系 統(tǒng)提供了例如圖4中示出的認(rèn)證設(shè)備1�、服務(wù)轉(zhuǎn)交設(shè)備2��、服務(wù)提供設(shè)備3和終端設(shè)備4。認(rèn) 證設(shè)備1����、服務(wù)轉(zhuǎn)交設(shè)備2���、服務(wù)提供設(shè)備3和終端設(shè)備4經(jīng)由網(wǎng)絡(luò)45彼此連接�。如圖5所示�,向第二示例性實(shí)施例的證書生成/分發(fā)系統(tǒng)的認(rèn)證設(shè)備1提供以下設(shè)備用戶認(rèn)證裝置10,用于參考用戶信息存儲(chǔ)部分20中的用戶信息管理裝置11所管理的用戶信息�,使用預(yù)定的認(rèn)證方案認(rèn)證用戶���;證書生成請(qǐng)求接收裝置12�,用于從另外的服 務(wù)提供設(shè)備接收證書生成請(qǐng)求,參考訪問(wèn)控制策略存儲(chǔ)部分21所管理的安全策略�����,根據(jù)包 括在證書生成請(qǐng)求中的所請(qǐng)求的證書的類型和證書生成請(qǐng)求令牌來(lái)做出是否接受證書請(qǐng) 求的決定��,并經(jīng)由證書生成裝置14生成并分發(fā)所請(qǐng)求的證書�����;證書分發(fā)請(qǐng)求接收裝置15����, 用于從另外的服務(wù)提供設(shè)備接收已經(jīng)生成的證書分發(fā)請(qǐng)求��,基于證書分發(fā)請(qǐng)求獲得并經(jīng)由 證書管理裝置16分發(fā)其分發(fā)被請(qǐng)求的證書;證書生成請(qǐng)求令牌管理裝置13,用于發(fā)布證書 生成請(qǐng)求令牌并管理證書生成請(qǐng)求令牌存儲(chǔ)部分22中的證書生成請(qǐng)求令牌,證書生成請(qǐng) 求令牌是與已被請(qǐng)求以從其他服務(wù)提供設(shè)備接收證書生成請(qǐng)求的證書有關(guān)的標(biāo)識(shí)符;證書 生成裝置14����,用于關(guān)于與來(lái)自其他服務(wù)提供設(shè)備的證書生成令牌中包括的證書生成令牌有 關(guān)的用戶�,基于存儲(chǔ)在設(shè)備信息存儲(chǔ)部分23中的服務(wù)提供設(shè)備信息來(lái)生成已被請(qǐng)求的證 書���,并管理證書信息存儲(chǔ)部分24中的證書����;以及證書管理裝置16�,用于管理證書生成設(shè)備 生成的與證書信息存儲(chǔ)部分中的證書的標(biāo)識(shí)符有關(guān)證書�。如圖10和圖17所示��,向根據(jù)第二示例性實(shí)施例的證書生成/分配系統(tǒng)的服務(wù)轉(zhuǎn) 交設(shè)備30提供以下裝置服務(wù)訪問(wèn)接收裝置70��,用于響應(yīng)于來(lái)自用戶的服務(wù)訪問(wèn)請(qǐng)求參 考,參考訪問(wèn)控制策略存儲(chǔ)部分72所管理的安全策略����,使用存儲(chǔ)在服務(wù)管理部分7的服務(wù) 信息存儲(chǔ)部分73中并由服務(wù)信息管理裝置71管理的服務(wù)信息來(lái)發(fā)行預(yù)定服務(wù)���,以及用于 準(zhǔn)許僅訪問(wèn)預(yù)定的用戶����;服務(wù)訪問(wèn)轉(zhuǎn)交裝置50�,用于從來(lái)自用戶或來(lái)自不同于所述服務(wù)轉(zhuǎn) 交設(shè)備的服務(wù)轉(zhuǎn)交設(shè)備的服務(wù)訪問(wèn)請(qǐng)求����,接收服務(wù)訪問(wèn)請(qǐng)求(第一服務(wù)訪問(wèn)請(qǐng)求),然后向 服務(wù)提供設(shè)備作出服務(wù)訪問(wèn)請(qǐng)求(第二服務(wù)訪問(wèn)請(qǐng)求),該服務(wù)訪問(wèn)請(qǐng)求不同于關(guān)于使用 包括證書生成請(qǐng)求令牌在內(nèi)的預(yù)定通信協(xié)議作出了所述服務(wù)訪問(wèn)請(qǐng)求的用戶的服務(wù)訪問(wèn) 請(qǐng)求,以及向證書管理部分6提供驗(yàn)證證書����、分析證書生成請(qǐng)求令牌和管理認(rèn)證設(shè)備信息 的功能。如圖8�����、圖9和圖10所示,向第二示例性實(shí)施例的證書生成/分發(fā)系統(tǒng)的服務(wù)提供 設(shè)備3提供服務(wù)訪問(wèn)接收裝置70����,用于響應(yīng)于來(lái)自用戶的請(qǐng)求�����,參考訪問(wèn)控制策略存儲(chǔ)部 分72所管理的安全策略�,使用存儲(chǔ)在服務(wù)管理部分7的服務(wù)信息存儲(chǔ)部分73中并由服務(wù) 信息管理裝置71管理的服務(wù)信息來(lái)發(fā)行預(yù)定的服務(wù)以及準(zhǔn)許僅訪問(wèn)預(yù)定的用戶��;以及證 書生成請(qǐng)求裝置80��,用于基于證書生成請(qǐng)求令牌和服務(wù)提供設(shè)備證書管理部分66所管理 的認(rèn)證設(shè)備信息來(lái)創(chuàng)建和發(fā)送其上附著有證書生成請(qǐng)求令牌的消息���,以向認(rèn)證設(shè)備進(jìn)行證 書生成請(qǐng)求�。如圖7所示�,向根據(jù)第二示例性實(shí)施例的證書管理部分6提供證書生成請(qǐng)求令牌 獲得裝置61���,用于生成隨機(jī)變量并管理該變量作為與證書有關(guān)的證書生成請(qǐng)求令牌����;認(rèn)證 設(shè)備信息管理裝置60��,用于管理與關(guān)于認(rèn)證設(shè)備信息存儲(chǔ)部分63中的認(rèn)證設(shè)備信息的詳 細(xì)信息有關(guān)的認(rèn)證設(shè)備標(biāo)識(shí)符信息����;以及證書驗(yàn)證裝置62���,用于使用預(yù)定的通信協(xié)議����,基 于關(guān)于認(rèn)證設(shè)備信息管理裝置的認(rèn)證設(shè)備信息來(lái)向認(rèn)證設(shè)備發(fā)送已經(jīng)生成的證書的分發(fā) 請(qǐng)求���,驗(yàn)證從認(rèn)證設(shè)備分發(fā)的證書,當(dāng)驗(yàn)證證書是合適的時(shí)�����,在證書信息存儲(chǔ)部分65中存 儲(chǔ)并管理該證書���。通過(guò)采用上述的配置,在服務(wù)轉(zhuǎn)交設(shè)備和服務(wù)提供設(shè)備之間交換證書生成請(qǐng)求令 牌,通過(guò)接收到證書生成請(qǐng)求令牌的服務(wù)提供設(shè)備使用證書生成請(qǐng)求令牌來(lái)動(dòng)態(tài)地向服務(wù)提供設(shè)備請(qǐng)求具有針對(duì)認(rèn)證設(shè)備的證書生成請(qǐng)求令牌的新證書,通過(guò)認(rèn)證設(shè)備動(dòng)態(tài)地創(chuàng)建證書并向服務(wù)提供設(shè)備分發(fā)該證書��,將實(shí)現(xiàn)本發(fā)明的目的���。接下來(lái)�����,將參考圖18描述第二示例性實(shí)施例的操作��。圖18是示出服務(wù)轉(zhuǎn)交設(shè)備 30轉(zhuǎn)交服務(wù)請(qǐng)求并進(jìn)一步地向另外的設(shè)備或用戶提供服務(wù)的處理示例的流程圖����。在圖18 示出的示例中,執(zhí)行步驟S1312中的處理而不是圖13中的步驟S1303����,并增加步驟S1313、 S1314和S1315中的處理�。圖18中的步驟S1301����、S1302、S1304到S1310中的處理與示例 性實(shí)施例1中的處理(參見圖13)相似���,從而將省略對(duì)其的描述�����。在步驟S1312中�����,證書分發(fā)請(qǐng)求裝置51判斷證書生成請(qǐng)求令牌是否包括在指向服 務(wù)轉(zhuǎn)交設(shè)備30的服務(wù)訪問(wèn)請(qǐng)求消息中���。在判斷包括證書生成請(qǐng)求令牌后(是)���,證書分發(fā)請(qǐng) 求裝置51執(zhí)行與第一示例性實(shí)施例的服務(wù)提供設(shè)備3的處理(步驟S1304和步驟S1305) 相同的處理�,并移動(dòng)到步驟S1315��。當(dāng)在步驟S1312中判斷沒有包括證書生成請(qǐng)求令牌(否)后��,服務(wù)轉(zhuǎn)交設(shè)備30向 認(rèn)證設(shè)備1發(fā)送認(rèn)證請(qǐng)求消息(步驟S1313)。然后�����,服務(wù)轉(zhuǎn)交設(shè)備30執(zhí)行與圖15中示出的 服務(wù)轉(zhuǎn)交設(shè)備2的處理(步驟S1501到步驟S1509)相同的處理并獲得證書(步驟S1314)����。在獲得證書后,服務(wù)管理部分7判斷是否執(zhí)行代理訪問(wèn)并根據(jù)需要執(zhí)行代理訪問(wèn) (步驟S1315)�����。然后����,執(zhí)行步驟S1306到S1310中的處理。在第二示例性實(shí)施例中,服務(wù)提供設(shè)備(服務(wù)轉(zhuǎn)交設(shè)備)可以執(zhí)行到另外的服務(wù) 提供設(shè)備的代理訪問(wèn)�。這使得可以重復(fù)地執(zhí)行對(duì)服務(wù)的代理訪問(wèn),從而降低了服務(wù)提供設(shè) 備和認(rèn)證設(shè)備之間的通信量�。(第三示例性實(shí)施例)接下來(lái),將參考附圖描述本發(fā)明的第三示例性實(shí)施例。圖19是示出根據(jù)第三示例性實(shí)施例的認(rèn)證裝置8的配置示例的方框圖�。如圖9 所示�,根據(jù)第三示例性實(shí)施例,除了根據(jù)圖5中示出的第一示例性實(shí)施例的認(rèn)證設(shè)備1的配 置之外,認(rèn)證設(shè)備8包括證書分發(fā)范圍限制裝置85���。圖20是示出根據(jù)第三示例性實(shí)施例的服務(wù)轉(zhuǎn)交裝置9的配置示例的方框圖。如 圖20所示�,第三示例性實(shí)施例的不同在于除了圖6中示出的第一示例性實(shí)施例中的服務(wù) 轉(zhuǎn)交設(shè)備2的配置外���,服務(wù)轉(zhuǎn)交設(shè)備9包括服務(wù)管理部分7和證書分發(fā)范圍指定裝置86。 服務(wù)管理部分7的配置與示例性實(shí)施例2的配置(參見圖17)類似�����,從而將省略對(duì)其的描 述�����。圖20中示出的服務(wù)轉(zhuǎn)交設(shè)備9中的證書分發(fā)范圍指定裝置86將用于指定證書的 分發(fā)范圍的信息增加到證書分發(fā)請(qǐng)求裝置51向認(rèn)證設(shè)備8發(fā)送的證書分發(fā)請(qǐng)求消息�。例 如��,用于指定證書的分發(fā)范圍的信息是服務(wù)提供設(shè)備3的列表�,將被從認(rèn)證設(shè)備8發(fā)送回的 證書生成請(qǐng)求令牌被分發(fā)到這些服務(wù)提供設(shè)備3�����,并且在這些服務(wù)提供設(shè)備3中證書生成 請(qǐng)求令牌是有效的����。在第三示例性實(shí)施例中����,證書分發(fā)請(qǐng)求接收裝置15從服務(wù)轉(zhuǎn)交設(shè)備9接收證書分 發(fā)請(qǐng)求消息。證書分發(fā)請(qǐng)求消息包括關(guān)于服務(wù)提供設(shè)備3的列表的信息�����,可以為這些服務(wù) 提供設(shè)備3新生成并分發(fā)證書��。圖19中示出的認(rèn)證設(shè)備8的證書分發(fā)范圍限制裝置85基于證書分發(fā)請(qǐng)求消息中 指定的服務(wù)提供設(shè)備3的列表信息判斷在服務(wù)提供設(shè)備3的列表中創(chuàng)建和分發(fā)證書是否有任何問(wèn)題���。當(dāng)判斷沒有問(wèn)題時(shí),證書分發(fā)范圍限制裝置85使用新生成的證書生成令牌��,使 得當(dāng)其后接收到來(lái)自服務(wù)提供設(shè)備3的證書生成請(qǐng)求時(shí),能夠接受僅針對(duì)包括在服務(wù)提供 設(shè)備3的列表中的服務(wù)提供設(shè)備3的證書的生成����。更具體地����,當(dāng)證書分發(fā)請(qǐng)求接收裝置15 接收到證書分發(fā)請(qǐng)求時(shí)����,證書分發(fā)范圍限制裝置85生成接受針對(duì)包括在列表中的服務(wù)提 供設(shè)備3的證書生成請(qǐng)求的策略,并將該策略增加到訪問(wèn)控制策略存儲(chǔ)部分21�。接下來(lái)將描述第三示例性實(shí)施例的操作���。
參考圖21�����,將描述當(dāng)服務(wù)轉(zhuǎn)交設(shè)備9向認(rèn)證設(shè)備8進(jìn)行證書分發(fā)請(qǐng)求時(shí)的處理���。 圖21是示出服務(wù)轉(zhuǎn)交設(shè)備9向認(rèn)證設(shè)備8進(jìn)行證書分發(fā)請(qǐng)求的處理示例的流程圖��。在圖 21中示出的示例中���,在圖15中的步驟S1501和步驟S1502之間增加了步驟S1510中的處 理����。圖21中的步驟S1501����、S1502到S1509中的處理與示例性實(shí)施例1中的處理(參見圖 15)相似��,因此省略對(duì)其的描述。在步驟S1510中����,響應(yīng)于步驟S1501中證書分發(fā)請(qǐng)求裝置51所創(chuàng)建的證書分發(fā)請(qǐng) 求消息����,證書分發(fā)范圍指定裝置86增加可以考慮將證書分發(fā)至的所述服務(wù)請(qǐng)求設(shè)備3的列
表fe息。接下來(lái)���,將參考圖22描述認(rèn)證設(shè)備8從服務(wù)轉(zhuǎn)交設(shè)備9接收證書分發(fā)請(qǐng)求時(shí)的處 理�����。圖22是示出認(rèn)證設(shè)備8從服務(wù)轉(zhuǎn)交設(shè)備9接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程圖�。在圖22示出的示例中,在圖8中的步驟Sl 106和步驟Sl 107之間增加步驟SlllO 中的處理��。圖22中步驟SllOl到Sl 106��、Sl 107到Sl 109中的處理與示例性實(shí)施例1中的 處理(參見圖11)類似,因此將省略對(duì)其的描述�。在步驟SlllO中�����,證書分發(fā)范圍限制裝置85提取步驟SllOl中接收到的證書分發(fā) 請(qǐng)求消息中包括的列表信息��。該列表信息是示出了服務(wù)轉(zhuǎn)交設(shè)備9指定的可以向其分發(fā)新 生成的證書的服務(wù)提供設(shè)備3的信息��。證書分發(fā)范圍限制裝置85檢查證書是否可被新生成并分發(fā)到所提取的列表中包 括的服務(wù)提供設(shè)備3�����,當(dāng)可以新生成并分發(fā)證書時(shí),生成用于接受證書生成請(qǐng)求的策略并將 該策略注冊(cè)至訪問(wèn)控制策略存儲(chǔ)部分21����。證書分發(fā)范圍限制裝置85所生成的策略是聲明 當(dāng)從服務(wù)提供設(shè)備3接收到關(guān)于步驟S1105中生成的證書生成請(qǐng)求令牌的證書生成請(qǐng)求 時(shí),將接受該證書生成請(qǐng)求的策略��。在第三示例性實(shí)施例中�,服務(wù)轉(zhuǎn)交設(shè)備指定證書生成請(qǐng)求令牌有效的范圍。例如��, 服務(wù)轉(zhuǎn)交設(shè)備可以指定發(fā)送證書的服務(wù)提供設(shè)備�。相應(yīng)地,認(rèn)證設(shè)備可以限制證書分發(fā)�。這 可以增強(qiáng)對(duì)抗證書信息泄露的預(yù)防措施。(第四示例性實(shí)施例)接下來(lái)��,將參考附圖描述本發(fā)明的第四示例性實(shí)施例��。圖23是示出根據(jù)第四示例性實(shí)施例的服務(wù)轉(zhuǎn)交裝置40的配置示例的方框圖����。如 圖23所示,第四示例性實(shí)施例和第一示例性實(shí)施例的不同在于��,除了圖6中示出的第一示 例性實(shí)施例中的服務(wù)轉(zhuǎn)交設(shè)備2的配置之外,包括了證書生成請(qǐng)求令牌發(fā)布裝置41��。將為 與第一示例性實(shí)施例的服務(wù)轉(zhuǎn)交設(shè)備2中的組件類似的組件分配和圖6中的附圖標(biāo)記相同 的附圖標(biāo)記�����,并將省略對(duì)其的描述�����。圖23中示出的服務(wù)轉(zhuǎn)交設(shè)備40中的證書生成請(qǐng)求令牌發(fā)布裝置41為認(rèn)證設(shè)備 1生成令牌以發(fā)布證書���。服務(wù)轉(zhuǎn)交設(shè)備40發(fā)布的令牌與第一示例性實(shí)施例中的認(rèn)證設(shè)備1所發(fā)布的令牌具有相同的結(jié)構(gòu)。 接下來(lái)���,將參考圖24描述第四示例性實(shí)施例的操作��。圖24是示出當(dāng)服務(wù)轉(zhuǎn)交設(shè) 備40向認(rèn)證設(shè)備1進(jìn)行證書分發(fā)請(qǐng)求時(shí)的處理示例的流程圖�����。在圖24中示出的示例中��, 在圖14的步驟S1401和步驟S1402之間增加步驟S1410中的處理�����。圖24中步驟S1401���、 S1402到S1409中的處理與示例性實(shí)施例1中的處理(參見圖14)相類似��,因此將省略對(duì)其 的描述���。 在步驟S1410中,服務(wù)轉(zhuǎn)交設(shè)備40發(fā)布證書生成請(qǐng)求令牌�。接下來(lái),在步驟S1402 中��,當(dāng)創(chuàng)建用于請(qǐng)求證書生成請(qǐng)求令牌的消息時(shí)���,服務(wù)轉(zhuǎn)交設(shè)備40在所創(chuàng)建的消息中包括 證書生成請(qǐng)求令牌����。后續(xù)處理與第一示例性實(shí)施例中操作的處理相同��。接下來(lái)���,將參考圖25描述認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè)備40接收證書分發(fā)請(qǐng)求時(shí)的 處理��。圖25是示出認(rèn)證設(shè)備1從服務(wù)轉(zhuǎn)交設(shè)備40接收證書分發(fā)請(qǐng)求時(shí)的處理示例的流程 圖��。在圖25示出的示例中�����,刪除圖11中步驟S1104和步驟S1106之間用于創(chuàng)建證書 生成請(qǐng)求令牌的處理(步驟S1105)�。認(rèn)證設(shè)備1自身并不發(fā)布證書生成請(qǐng)求令牌�����,而是使 用從服務(wù)轉(zhuǎn)交設(shè)備40發(fā)送的證書生成請(qǐng)求令牌��。從將證書生成請(qǐng)求令牌與證書相關(guān)聯(lián)的 處理(步驟S1106)往前的處理與第一示例性實(shí)施例中的操作相同����。在第四示例性實(shí)施例中,可以將證書生成請(qǐng)求令牌發(fā)布功能從認(rèn)證設(shè)備1移到服 務(wù)轉(zhuǎn)交設(shè)備40���。這可以減輕認(rèn)證設(shè)備1消息處理的負(fù)擔(dān)�����。示例 1接下來(lái)�����,將參考附圖描述本發(fā)明的第一示例�����。這樣的示例對(duì)應(yīng)于本發(fā)明的第二示 例性實(shí)施例����。圖26示出了本發(fā)明的證書生成/分發(fā)系統(tǒng)的第一示例。向圖26中示出的證書生 成/分發(fā)系統(tǒng)提供了認(rèn)證設(shè)備200�����、服務(wù)轉(zhuǎn)交設(shè)備201����、服務(wù)提供設(shè)備202和終端設(shè)備203。 向認(rèn)證設(shè)備200�、服務(wù)轉(zhuǎn)交設(shè)備201、服務(wù)提供設(shè)備202和終端設(shè)備203各自都提供第二示 例性實(shí)施例中示出的功能�����。在第一示例中�����,認(rèn)證設(shè)備200向互聯(lián)網(wǎng)上預(yù)定的用戶發(fā)行認(rèn)證服務(wù)。服務(wù)轉(zhuǎn)交設(shè) 備201發(fā)行服務(wù)��,作為對(duì)預(yù)定用戶的旅游門戶網(wǎng)站��。服務(wù)提供設(shè)備202向預(yù)定的用戶發(fā)行 諸如租車預(yù)訂網(wǎng)站的服務(wù)��。終端設(shè)備203具有通用的Web瀏覽器功能并由用戶進(jìn)行操作�。 將認(rèn)證設(shè)備200、服務(wù)轉(zhuǎn)交設(shè)備201�、服務(wù)提供設(shè)備202和終端設(shè)備203各自都連接到諸如 互聯(lián)網(wǎng)的通信網(wǎng)絡(luò)��。服務(wù)轉(zhuǎn)交設(shè)備201是實(shí)現(xiàn)能夠代表用戶對(duì)跟團(tuán)旅游進(jìn)行批量預(yù)訂的網(wǎng)站的設(shè)備��。 服務(wù)轉(zhuǎn)交設(shè)備201訪問(wèn)服務(wù)提供設(shè)備202��,服務(wù)提供設(shè)備202是根據(jù)來(lái)自用戶的旅游預(yù)訂請(qǐng) 求實(shí)現(xiàn)附屬租車預(yù)訂網(wǎng)站并根據(jù)要求作為用戶的代理為用戶進(jìn)行租車預(yù)訂的設(shè)備�。向認(rèn)證設(shè)備200、服務(wù)轉(zhuǎn)交設(shè)備201����、服務(wù)提供設(shè)備202和終端設(shè)備203都提供根 據(jù)諸如HTTP (超文本傳輸協(xié)議)所定義的通信協(xié)議來(lái)彼此通信的功能。用戶艾麗絲預(yù)先成為管理認(rèn)證設(shè)備200的通信提供商的會(huì)員并擁有賬戶(賬戶名 為艾麗絲200)�����。此外,艾麗絲還是旅游門戶網(wǎng)站和租車預(yù)訂網(wǎng)站的會(huì)員�����,并具有對(duì)應(yīng)的賬戶 (賬戶名為aabbcc和xxyyzz)���。關(guān)聯(lián)通信提供商的賬戶����,對(duì)旅游門戶網(wǎng)站和租車預(yù)訂網(wǎng)站 上的賬戶分別進(jìn)行管理��。
圖27示出了認(rèn)證設(shè)備200的用戶信息管理裝置11所管理的賬戶對(duì)應(yīng)關(guān)系管理表 的注冊(cè)的示例�����。表27示出了關(guān)于艾麗絲的針對(duì)每一個(gè)設(shè)備的賬戶名(化名)的對(duì)應(yīng)關(guān)系 管理表的示例��。在圖27示出的示例中�,關(guān)聯(lián)設(shè)備名來(lái)管理對(duì)應(yīng)的設(shè)備所管理的艾麗絲的賬 戶名(化名)。首先�����,認(rèn)證設(shè)備不對(duì)艾麗絲進(jìn)行認(rèn)證,并且在認(rèn)證設(shè)備200��、服務(wù)轉(zhuǎn)交設(shè)備201和 服務(wù)提供設(shè)備202中沒有建立關(guān)于艾麗絲的會(huì)話��。圖28是示出第一示例中的證書生成/分發(fā)系統(tǒng)的操作示例的程序圖�。下面,將參 考圖26和圖28來(lái)描述第一示例中的證書生成/分發(fā)系統(tǒng)的操作�。艾麗絲使用終端設(shè)備203訪問(wèn)通信提供商的認(rèn)證設(shè)備200,并接收認(rèn)證(步驟 S300)�。在對(duì)艾麗絲的認(rèn)證后,認(rèn)證設(shè)備200為艾麗絲建立會(huì)話�,向艾麗絲的終端設(shè)備203 發(fā)送與會(huì)話的標(biāo)識(shí)符相對(duì)應(yīng)的信息(如,會(huì)話cookie)���,并且終端設(shè)備203接收該會(huì)話標(biāo)識(shí) 符信息。接下來(lái)����,艾麗絲向旅游門戶網(wǎng)站的服務(wù)轉(zhuǎn)交設(shè)備201發(fā)送針對(duì)旅游預(yù)訂的服務(wù)訪 問(wèn)請(qǐng)求(步驟S301)。服務(wù)轉(zhuǎn)交設(shè)備201從終端設(shè)備203接收服務(wù)訪問(wèn)請(qǐng)求�,并發(fā)送認(rèn)證 請(qǐng)求消息以要求認(rèn)證設(shè)備200認(rèn)證用戶(步驟S302)。關(guān)于認(rèn)證請(qǐng)求��,例如�,采用非專利文 獻(xiàn)1中所描述的使用SAML的人工產(chǎn)物簡(jiǎn)檔的方法�����。經(jīng)由艾麗絲的終端設(shè)備203向認(rèn)證設(shè) 備200發(fā)送認(rèn)證請(qǐng)求消息�。接收到認(rèn)證請(qǐng)求的認(rèn)證設(shè)備200從會(huì)話中確認(rèn)已經(jīng)對(duì)艾麗絲進(jìn)行了認(rèn)證�,并生 成指示關(guān)于艾麗絲的認(rèn)證已完成的認(rèn)證證書以及與認(rèn)證證書相對(duì)應(yīng)的人工產(chǎn)物(步驟
5303)。然后�����,認(rèn)證設(shè)備200經(jīng)由終端設(shè)備203將人工產(chǎn)物發(fā)送回服務(wù)轉(zhuǎn)交設(shè)備(步驟
5304)���。圖29示出了認(rèn)證證書的描述內(nèi)容的示例�����。圖29中示出的認(rèn)證證書包括服務(wù)轉(zhuǎn)交 設(shè)備201中使用的關(guān)于艾麗絲的化名(aabbcc)���。此外,僅在服務(wù)轉(zhuǎn)交設(shè)備201中定義證書 分發(fā)的有效范圍��。接收到人工產(chǎn)物的服務(wù)轉(zhuǎn)交設(shè)備201創(chuàng)建伴隨著人工產(chǎn)物的證書分發(fā)請(qǐng)求消息�, 并向認(rèn)證設(shè)備200發(fā)送證書分發(fā)請(qǐng)求消息(步驟305)。接收到證書分發(fā)請(qǐng)求的認(rèn)證設(shè)備200基于該人工產(chǎn)物獲得(提取)關(guān)于艾麗絲的 認(rèn)證證書����。認(rèn)證設(shè)備200創(chuàng)建認(rèn)證證書和針對(duì)服務(wù)提供設(shè)備202的證書生成請(qǐng)求令牌��,并 與證書生成請(qǐng)求令牌關(guān)聯(lián)地管理認(rèn)證證書(步驟S306)�����。接下來(lái)�,認(rèn)證設(shè)備200創(chuàng)建對(duì)伴隨 有認(rèn)證證書和證書生成請(qǐng)求令牌的證書分發(fā)請(qǐng)求的應(yīng)答消息����,并將該應(yīng)答消息發(fā)送回服務(wù) 轉(zhuǎn)交設(shè)備201(步驟S307)。圖30示出了對(duì)證書分發(fā)請(qǐng)求的答復(fù)消息的示例��。在圖30示出的認(rèn)證證書中����, SOAP (簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)頭部部分根據(jù)基于HTTP的SOAP協(xié)議在〈cert-req-token〉中存 儲(chǔ)了證書生成請(qǐng)求令牌。此外����,在〈Response〉標(biāo)簽下�,S0AP主體部分存儲(chǔ)了依照SAML響 應(yīng)協(xié)議的圖29中示出的認(rèn)證證書。此外���,圖31示出了認(rèn)證設(shè)備200的證書生成請(qǐng)求令牌管理裝置13所管理的證書 生成令牌和認(rèn)證證書標(biāo)識(shí)符的對(duì)應(yīng)關(guān)系管理表的示例��。在證書生成請(qǐng)求令牌存儲(chǔ)部分22 中���,證書生成請(qǐng)求令牌管理裝置13像圖31中示出的對(duì)應(yīng)關(guān)系管理表一樣地與認(rèn)證證書的 標(biāo)識(shí)符和用戶標(biāo)識(shí)符關(guān)聯(lián)地管理證書生成請(qǐng)求令牌�����。
26
圖32示出了針對(duì)服務(wù)提供設(shè)備202的認(rèn)證證書的示例��。與圖29中示出的認(rèn)證證 書相比�����,針對(duì)服務(wù)提供設(shè)備202的認(rèn)證證書在與用戶艾麗絲有關(guān)的認(rèn)證設(shè)備200生成認(rèn)證 證書以證明艾麗絲的認(rèn)證結(jié)果信息方面是相同的�����,但在描述內(nèi)容方面是不同的���。例如,圖32 中示出的認(rèn)證證書在以下方面是不同的艾麗絲的化名(xxyyzz)在服務(wù)提供設(shè)備202中被 用作用戶信息以及僅針對(duì)服務(wù)提供設(shè)備202定義認(rèn)證證書的分發(fā)范圍�����。接收到認(rèn)證證書和證書生成請(qǐng)求令牌的服務(wù)轉(zhuǎn)交設(shè)備201驗(yàn)證并存儲(chǔ)認(rèn)證證書。接下來(lái)�,服務(wù)轉(zhuǎn)交設(shè)備201針對(duì)服務(wù)提供設(shè)備202創(chuàng)建租車預(yù)訂請(qǐng)求消息,并發(fā)送 證書生成請(qǐng)求令牌附著其上的消息(步驟S308)�����。圖33示出了租車預(yù)訂請(qǐng)求消息的示例����。在租車預(yù)訂請(qǐng)求消息中,SOAP頭部部分 基于HTTP上的SOAP存儲(chǔ)證書生成請(qǐng)求令牌����,并且SOAP主體部分描述了關(guān)于租車預(yù)訂的詳
細(xì)信息。接收到租車預(yù)訂請(qǐng)求消息的服務(wù)提供設(shè)備202提取并分析證書生成請(qǐng)求令牌�。然 后,服務(wù)提供設(shè)備202確認(rèn)該令牌是認(rèn)證設(shè)備200發(fā)布的證書生成請(qǐng)求令牌���。此外�,由于租 車預(yù)訂需要用戶的認(rèn)證證書���,創(chuàng)建與用戶的認(rèn)證證書有關(guān)的證書生成請(qǐng)求消息并將證書生 成請(qǐng)求令牌附著其上向認(rèn)證設(shè)備200發(fā)送(步驟S309)��。圖34示出了證書生成請(qǐng)求消息的示例���。證書生成請(qǐng)求消息是使用基于HTTP的 SOAP的消息,并且SOAP頭部部分存儲(chǔ)了證書生成請(qǐng)求令牌以及S0AP主體部分描述了證書 生成請(qǐng)求的細(xì)節(jié)�����,如所請(qǐng)求的證書的類型(在此為認(rèn)證證書)�。接收到證書生成請(qǐng)求消息的認(rèn)證設(shè)備200獲得(提取)所附著的證書生成請(qǐng)求令 牌。然后��,認(rèn)證設(shè)備200參考針對(duì)服務(wù)提供設(shè)備202管理的安全策略�����,并對(duì)關(guān)于用戶的認(rèn)證 證書的分發(fā)做出批準(zhǔn)/不批準(zhǔn)的決定(步驟S310)���。接下來(lái)��,認(rèn)證設(shè)備200分析證書生成請(qǐng)求令牌的內(nèi)容��,獲得(提取)與證書生成請(qǐng) 求令牌有關(guān)的證書標(biāo)識(shí)符�,并獲得示出證書中描述的用戶艾麗絲的信息以及與證書生成請(qǐng) 求令牌相對(duì)應(yīng)的服務(wù)提供設(shè)備202的認(rèn)證證書(步驟S311)�。接下來(lái),認(rèn)證設(shè)備200創(chuàng)建對(duì)其上附著有針對(duì)服務(wù)提供設(shè)備202的認(rèn)證證書的證 書生成請(qǐng)求的應(yīng)答消息,并向服務(wù)提供設(shè)備202發(fā)送該應(yīng)答消息(步驟S312)���。接收到證書的服務(wù)提供設(shè)備202驗(yàn)證證書��,從所描述的信息中確認(rèn)已對(duì)艾麗絲進(jìn) 行了認(rèn)證�����,并且對(duì)艾麗絲的租車預(yù)訂行為作出批準(zhǔn)/不批注的決定�����。作為批注/不批準(zhǔn)決 定的結(jié)果�����,如果接受該行為�����,便執(zhí)行針對(duì)艾麗絲的預(yù)定租車預(yù)訂(步驟S313)��。然后�,服務(wù)提 供設(shè)備202創(chuàng)建對(duì)租車預(yù)訂請(qǐng)求的應(yīng)答消息��,并向服務(wù)轉(zhuǎn)交設(shè)備201發(fā)送該應(yīng)答消息(步 驟 S314)。接收到租車預(yù)訂應(yīng)答消息的服務(wù)轉(zhuǎn)交設(shè)備201檢查租車預(yù)訂信息并完成與針對(duì) 艾麗絲的旅游預(yù)訂有關(guān)的所有處理��。然后����,服務(wù)轉(zhuǎn)交設(shè)備201創(chuàng)建聲明已完成旅游預(yù)訂的 應(yīng)答消息���,并向艾麗絲的終端設(shè)備203發(fā)送該應(yīng)答消息(步驟S316)�����。示彳列2接下來(lái)���,將參考附圖描述本發(fā)明的第二示例。這樣的示例對(duì)應(yīng)于本發(fā)明的第一示 例性實(shí)施例���。圖35示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第二示例��。向圖35中示出的證 書生成/分發(fā)系統(tǒng)提供了認(rèn)證設(shè)備200��、服務(wù)轉(zhuǎn)交設(shè)備201�、服務(wù)提供設(shè)備204和終端設(shè)備203��。認(rèn)證設(shè)備200、服務(wù)轉(zhuǎn)交設(shè)備201�����、服務(wù)提供設(shè)備204和終端設(shè)備203各自包括第一示 例性實(shí)施例中的功能��。如圖35所示�����,在第二示例中����,增加在互聯(lián)網(wǎng)上建立購(gòu)買服務(wù)作為購(gòu)買站點(diǎn)的服務(wù) 提供設(shè)備204,而不是第一示例的配置(參見圖26)中的租車站點(diǎn)(服務(wù)提供設(shè)備202)��。購(gòu)買站點(diǎn)(服務(wù)提供設(shè)備204)不管理用戶信息����,并要求第一示例中的旅游門戶網(wǎng) 站(服務(wù)提供設(shè)備201)擔(dān)當(dāng)代理以執(zhí)行計(jì)費(fèi)處理。當(dāng)認(rèn)證設(shè)備200所分發(fā)的描述關(guān)于用 戶的預(yù)定屬性信息的屬性證書可用時(shí)�����,購(gòu)買站點(diǎn)可以從旅游門戶網(wǎng)站接收購(gòu)買請(qǐng)求����。還向 購(gòu)買站點(diǎn)的服務(wù)提供設(shè)備204提供可兼容HTTP的通信功能��。在第一示例的步驟S316完成后���,即,在艾麗絲已經(jīng)由認(rèn)證設(shè)備200進(jìn)行了認(rèn)證并 且建立起會(huì)話的狀態(tài)下�����,艾麗絲針對(duì)與旅游有關(guān)的商品使用終端設(shè)備203向旅游門戶的服 務(wù)轉(zhuǎn)交設(shè)備201作出購(gòu)買請(qǐng)求(步驟S317)�。接收到購(gòu)買請(qǐng)求的服務(wù)轉(zhuǎn)交設(shè)備201提取在第一示例的步驟S307中接收和存儲(chǔ) 的與艾麗絲有關(guān)的證書生成請(qǐng)求令牌�����,創(chuàng)建對(duì)購(gòu)買站點(diǎn)上的服務(wù)提供設(shè)備204的���、與旅游 有關(guān)的商品的購(gòu)買請(qǐng)求消息�,并向服務(wù)提供設(shè)備204發(fā)送附著有證書生成請(qǐng)求令牌的購(gòu)買 請(qǐng)求消息(步驟S318)�。接收到購(gòu)買請(qǐng)求消息的服務(wù)提供設(shè)備204獲得包括在接收到的消息中的證書生 成請(qǐng)求令牌��。然后,服務(wù)提供設(shè)備204創(chuàng)建與證書生成請(qǐng)求令牌有關(guān)的用戶的屬性證書的 生成請(qǐng)求消息��,并向認(rèn)證設(shè)備200發(fā)送證書生成請(qǐng)求令牌附著其上的消息(步驟S319)。例如����,在本示例中,將郵政編碼�����、年齡和償付能力定義為被請(qǐng)求的屬性證書中將要 描述的屬性信息�。圖36示出了針對(duì)屬性證書的生成請(qǐng)求消息的示例。生成請(qǐng)求消息是使 用HTTP的SOAP的消息���,并且SOAP主體將用戶的屬性證書定義為其生成是被請(qǐng)求的這種類 型的證書����,以及將郵政編碼(zip-code)��、年齡(age)�、償付能力(rate-for-payment)定義為 所請(qǐng)求類型的屬性信息。認(rèn)證設(shè)備200接收證書生成請(qǐng)求���,獲得并分析證書生成請(qǐng)求令牌�。然后����,認(rèn)證設(shè)備 200獲得與證書生成請(qǐng)求令牌有關(guān)的艾麗絲的認(rèn)證證書�����,并新生成與艾麗絲有關(guān)的包括郵 編編碼���、年齡和償付能力的屬性證書(步驟S320)。然后�,認(rèn)證設(shè)備200將屬性證書發(fā)送回服務(wù)提供設(shè)備204 (步驟S321)。圖37示出 了屬性證書的示例����。屬性證書描述了與用戶艾麗絲的郵政編碼(zip-code)�����、年齡(age)����、償 付能力(rate-for-payment)有關(guān)的屬性信息,但是沒有描述用戶艾麗絲的認(rèn)證信息或足 以識(shí)別艾麗絲的信息���。接收到屬性證書的服務(wù)提供設(shè)備204驗(yàn)證該屬性證書���,檢查屬性證書中描述的信 息并作出是否接受購(gòu)買請(qǐng)求的批準(zhǔn)/不批準(zhǔn)決定(步驟S322)�����。當(dāng)接受購(gòu)買請(qǐng)求時(shí)��,服務(wù) 提供設(shè)備204對(duì)所請(qǐng)求的與旅游有關(guān)的商品執(zhí)行購(gòu)買處理��,并將結(jié)果發(fā)送回服務(wù)轉(zhuǎn)交設(shè)備 201(步驟 S323)�。接收到關(guān)于購(gòu)買請(qǐng)求的結(jié)果信息的服務(wù)轉(zhuǎn)交設(shè)備201檢查內(nèi)容��,創(chuàng)建對(duì)步驟S317 中來(lái)自艾麗絲的購(gòu)買請(qǐng)求的應(yīng)答消息����,并發(fā)送該應(yīng)答消息(步驟S324)。然后����,將在服務(wù)轉(zhuǎn)交設(shè)備201和服務(wù)提供設(shè)備204之間交換計(jì)費(fèi)信息,然而在此將 省略對(duì)其的描述�。示例 3
接下來(lái),將參考附圖描述本發(fā)明的第三示例����。這樣的示例對(duì)應(yīng)于本發(fā)明的第一示 例性實(shí)施例�����。圖38示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第三示例��。向圖38中示出的證 書生成/分發(fā)系統(tǒng)提供認(rèn)證設(shè)備400����、服務(wù)轉(zhuǎn)交設(shè)備401�、服務(wù)提供設(shè)備402、終端設(shè)備403 和終端設(shè)備404��。認(rèn)證設(shè)備400�、服務(wù)轉(zhuǎn)交設(shè)備401、服務(wù)提供設(shè)備402�����、終端設(shè)備403和終 端設(shè)備404各自包括第一示例的功能并可以根據(jù)SIP(會(huì)話發(fā)起協(xié)議)彼此進(jìn)行通信�����。向服務(wù)轉(zhuǎn)交設(shè)備401提供SIP代理的功能����。此外,向認(rèn)證設(shè)備400和服務(wù)提供設(shè) 備402提供SIP服務(wù)器的功能����。終端設(shè)備403和終端設(shè)備404都是可以發(fā)送/接收SIP消 息的便攜式設(shè)備。用戶艾麗絲和鮑勃在認(rèn)證設(shè)備400所運(yùn)行的通信運(yùn)營(yíng)商中擁有賬戶��,并 可以分別使用終端設(shè)備403和終端設(shè)備404執(zhí)行符合SIP的VoIP (語(yǔ)音IP)通信���。艾麗絲通過(guò)操作終端設(shè)備403使用預(yù)定的認(rèn)證方案從認(rèn)證設(shè)備400接收認(rèn)證(步 驟S330)�。在這種情況下���,認(rèn)證設(shè)備400生成會(huì)話信息和與艾麗絲有關(guān)的認(rèn)證證書����。接下 來(lái)���,艾麗絲使用終端設(shè)備403向服務(wù)轉(zhuǎn)交設(shè)備401發(fā)送SIP INVITE消息���,以嘗試使用VoIP 呼叫鮑勃(步驟S331)。接下來(lái)�����,接收到SIP INVITE消息的服務(wù)轉(zhuǎn)交設(shè)備401使用預(yù)定的通信協(xié)議向認(rèn)證 設(shè)備400作出與用戶有關(guān)的認(rèn)證證書的分發(fā)請(qǐng)求,以檢查與SIP INVITE消息有關(guān)的用戶的 認(rèn)證狀態(tài)(步驟S332)��。例如�����,在證書分發(fā)請(qǐng)求的消息中存儲(chǔ)終端設(shè)備403的標(biāo)識(shí)符信息���。接收到證書分發(fā)請(qǐng)求的認(rèn)證設(shè)備400檢查終端設(shè)備403的標(biāo)識(shí)符信息�,基于終端 標(biāo)識(shí)符信息確認(rèn)認(rèn)證請(qǐng)求與艾麗絲有關(guān)并檢查艾麗絲的會(huì)話信息和認(rèn)證證書���。接下來(lái)���,認(rèn) 證設(shè)備400生成證書生成請(qǐng)求令牌,管理與艾麗絲的認(rèn)證證書有關(guān)的證書生成請(qǐng)求令牌 (步驟S333)���,并向服務(wù)轉(zhuǎn)交設(shè)備401發(fā)送回伴隨著證書生成請(qǐng)求令牌和認(rèn)證證書的證書生 成請(qǐng)求令牌(步驟S334)��。接收到對(duì)證書生成請(qǐng)求的應(yīng)答的服務(wù)轉(zhuǎn)交設(shè)備401獲得證書生成請(qǐng)求令牌,創(chuàng)建 對(duì)服務(wù)提供設(shè)備402的新的SIP INVITE消息并向服務(wù)提供設(shè)備402發(fā)送其上附著有證書 生成請(qǐng)求令牌的SIP INVITE消息(步驟S335)�。從服務(wù)轉(zhuǎn)交設(shè)備401接收到SIP INVITE消息的服務(wù)提供設(shè)備402創(chuàng)建其上附著 有接收到的證書生成請(qǐng)求令牌的認(rèn)證證書的證書生成請(qǐng)求消息,并向認(rèn)證設(shè)備400發(fā)送證 書生成請(qǐng)求消息(步驟S336)。接收到證書生成請(qǐng)求消息的認(rèn)證設(shè)備400獲得證書生成請(qǐng)求令牌�����,并確認(rèn)該請(qǐng)求 是與艾麗絲有關(guān)的認(rèn)證證書的生成請(qǐng)求�。然后,認(rèn)證設(shè)備400生成與艾麗絲有關(guān)的認(rèn)證證 書��,并將該認(rèn)證證書發(fā)送回服務(wù)提供設(shè)備402 (步驟S337)���。接收到對(duì)證書生成請(qǐng)求的響應(yīng)消息的服務(wù)提供設(shè)備402獲得并驗(yàn)證認(rèn)證證書以 及確認(rèn)響應(yīng)消息是來(lái)自用戶艾麗絲的請(qǐng)求�。然后�����,服務(wù)提供設(shè)備402檢查包括艾麗絲的 合同狀態(tài)等在內(nèi)的安全策略并對(duì)向鮑勃轉(zhuǎn)發(fā)SIP INVITE作出批注/不批準(zhǔn)的決定(步驟 S338)���。接下來(lái)����,服務(wù)提供設(shè)備402創(chuàng)建從艾麗絲到鮑勃的SIP INVITE消息����,并將該SIP INVITE消息發(fā)送回鮑勃的終端設(shè)備404(步驟S339)�����。在終端設(shè)備404處從服務(wù)提供設(shè)備402接收到SIP INVITE消息的鮑勃對(duì)終端設(shè)備 404顯示的呼叫作出反應(yīng)并接受該呼叫���。在此,終端設(shè)備404發(fā)送ACK作為對(duì)SIP INVITE 消息的應(yīng)答(步驟S340)��。
服務(wù)提供設(shè)備402從終端設(shè)備404接收ACK�����,并向服務(wù)轉(zhuǎn)交設(shè)備401發(fā)送回ACK (步 驟S341)��。此外�����,服務(wù)轉(zhuǎn)交設(shè)備401向艾麗絲的終端設(shè)備403發(fā)送回ACK(步驟S342)�。艾 麗絲可以通過(guò)上述的處理開始與鮑勃的通話。示鑼IJ4接下來(lái)���,將參考附圖描述本發(fā)明的第四示例���。這樣的示例對(duì)應(yīng)于本發(fā)明的第二示 例性實(shí)施例��。圖39示出了根據(jù)本發(fā)明的證書生成/分發(fā)系統(tǒng)的第四示例。向圖39中示出的 證書生成/分發(fā)系統(tǒng)提供了認(rèn)證設(shè)備200��、服務(wù)轉(zhuǎn)交設(shè)備201����、終端設(shè)備203、服務(wù)轉(zhuǎn)交設(shè)備 601和服務(wù)提供設(shè)備600��。認(rèn)證設(shè)備200�����、服務(wù)轉(zhuǎn)交設(shè)備201���、終端設(shè)備203�����、服務(wù)轉(zhuǎn)交設(shè)備 601和服務(wù)提供設(shè)備600各自包括第二示例性實(shí)施例中的功能��。在圖39示出的第四示例性實(shí)施例中���,除了第一示例中的配置(參見圖26)以外���, 提供租車預(yù)訂網(wǎng)站的服務(wù)轉(zhuǎn)交設(shè)備601和提供汽車保險(xiǎn)服務(wù)的服務(wù)提供設(shè)備600經(jīng)由例如 互聯(lián)網(wǎng)等通信網(wǎng)絡(luò)連接。服務(wù)轉(zhuǎn)交設(shè)備601與根據(jù)第一示例的服務(wù)提供設(shè)備202相對(duì)應(yīng)���。服務(wù)提供設(shè)備600響應(yīng)于來(lái)自租車預(yù)訂網(wǎng)站(服務(wù)轉(zhuǎn)交設(shè)備601)的汽車保險(xiǎn)服 務(wù)請(qǐng)求為用戶提供汽車保險(xiǎn)�����。此外����,在第四示例中作為租車預(yù)訂網(wǎng)站的服務(wù)轉(zhuǎn)交設(shè)備601除了第一示例的服務(wù) 提供設(shè)備202的功能外��,還具有對(duì)代表用戶請(qǐng)求汽車保險(xiǎn)的服務(wù)進(jìn)行轉(zhuǎn)交的功能�����。第四示 例中的租車預(yù)訂網(wǎng)站(服務(wù)轉(zhuǎn)交設(shè)備601)在完成租車預(yù)訂處理之前訪問(wèn)汽車保險(xiǎn)網(wǎng)站 (服務(wù)提供設(shè)備600)��,執(zhí)行辦理汽車保險(xiǎn)的處理�����,完成租車預(yù)訂處理并將其通知給用戶。向預(yù)定的用戶發(fā)行認(rèn)證服務(wù)的認(rèn)證設(shè)備200�、向預(yù)定的用戶發(fā)行作為旅游門戶網(wǎng) 站的服務(wù)的服務(wù)轉(zhuǎn)交設(shè)備201以及具有通用的Web瀏覽器功能的終端設(shè)備203具有和第一 示例中一樣的功能。向所有這些設(shè)備提供使用HTTP(超文本傳輸協(xié)議)所定義的通信協(xié)議 彼此進(jìn)行通信的功能�。用戶艾麗絲預(yù)先成為管理認(rèn)證設(shè)備200的通信提供商的會(huì)員并擁有賬戶(賬戶名 為艾麗絲200)。此外���,艾麗絲還是旅游門戶網(wǎng)站、租車預(yù)訂網(wǎng)站和汽車保險(xiǎn)網(wǎng)站的會(huì)員��,并 擁有對(duì)應(yīng)的賬戶(賬戶名為艾麗絲201���、艾麗絲601�、艾麗絲600)����。關(guān)聯(lián)通信提供商的賬戶, 對(duì)旅游門戶網(wǎng)站�����、租車預(yù)訂網(wǎng)站和汽車保險(xiǎn)網(wǎng)站上的賬戶分別進(jìn)行管理����。圖40示出了認(rèn)證設(shè)備200的用戶信息管理裝置11所管理的賬戶對(duì)應(yīng)關(guān)系管理表 的注冊(cè)示例。表40示出了關(guān)于艾麗絲的針對(duì)每一個(gè)設(shè)備的賬戶名(化名)的對(duì)應(yīng)關(guān)系管 理表的示例�����。在圖40示出的示例中,關(guān)聯(lián)設(shè)備名來(lái)管理對(duì)應(yīng)的設(shè)備所管理的艾麗絲的賬戶 名(化名)���。開始時(shí)��,認(rèn)證設(shè)備200沒有對(duì)艾麗絲進(jìn)行認(rèn)證�,在認(rèn)證設(shè)備200�����、服務(wù)轉(zhuǎn)交設(shè)備 201�、服務(wù)轉(zhuǎn)交設(shè)備601和服務(wù)提供設(shè)備600中沒有建立關(guān)于艾麗絲的會(huì)話。在該條件之后��, 執(zhí)行與第一示例中步驟S300到步驟S308中的處理相同的處理��,直到租車預(yù)訂網(wǎng)站(服務(wù) 轉(zhuǎn)交設(shè)備601)從服務(wù)轉(zhuǎn)交站點(diǎn)201獲得證書生成請(qǐng)求令牌����。此后,將描述從步驟S308往 前的處理�����。在步驟S308中,當(dāng)運(yùn)行租車預(yù)訂網(wǎng)站的服務(wù)轉(zhuǎn)交設(shè)備601從服務(wù)轉(zhuǎn)交設(shè)備201獲 得證書生成請(qǐng)求令牌時(shí)��,第四示例中的服務(wù)轉(zhuǎn)交設(shè)備601訪問(wèn)運(yùn)行汽車保險(xiǎn)網(wǎng)站的服務(wù)提 供設(shè)備600而不是發(fā)送回服務(wù)響應(yīng)�。首先,服務(wù)轉(zhuǎn)交設(shè)備601創(chuàng)建有(針對(duì)服務(wù)轉(zhuǎn)交設(shè)備
30601的)證書生成請(qǐng)求令牌附著其上的證書分發(fā)請(qǐng)求消息�����,并向認(rèn)證設(shè)備200發(fā)送該證書分 發(fā)請(qǐng)求消息(步驟S400)。接收到證書生成請(qǐng)求的認(rèn)證設(shè)備200獲得(提取)所附著的證書生成請(qǐng)求令牌。 然后,認(rèn)證設(shè)備200參考針對(duì)服務(wù)轉(zhuǎn)交設(shè)備601的安全策略,并對(duì)關(guān)于用戶的認(rèn)證證書的分 發(fā)做出批準(zhǔn)/不批準(zhǔn)的決定(步驟S401)。接下來(lái)���,認(rèn)證設(shè)備200分析證書生成請(qǐng)求令牌的內(nèi)容����,獲得(提取)與證書生成請(qǐng) 求令牌有關(guān)的證書標(biāo)識(shí)符����,并基于認(rèn)證結(jié)果信息獲得示出了證書中描述的用戶艾麗絲的信 肩�、o服務(wù)認(rèn)證設(shè)備200新生成與艾麗絲有關(guān)的(針對(duì)服務(wù)轉(zhuǎn)交設(shè)備601的)認(rèn)證證書, 所述認(rèn)證證書是基于證書中描述的信息����,由更新與服務(wù)轉(zhuǎn)交設(shè)備601有關(guān)的艾麗絲的用戶 標(biāo)識(shí)符(圖40中示出的示例中的xxyyzz)和關(guān)于證書的分發(fā)范圍(在本示例中為服務(wù)轉(zhuǎn) 交設(shè)備601)的信息得到的�。此外�����,認(rèn)證設(shè)備200基于(針對(duì)服務(wù)轉(zhuǎn)交設(shè)備601的)認(rèn)證證書新發(fā)布針對(duì)服務(wù) 提供設(shè)備600的認(rèn)證證書���,生成與該認(rèn)證證書有關(guān)的(針對(duì)服務(wù)提供設(shè)備600)的證書請(qǐng)求 令牌��,并管理與此有關(guān)的證書請(qǐng)求令牌(步驟S402)���。接下來(lái)�,認(rèn)證設(shè)備200創(chuàng)建對(duì)伴隨有(針對(duì)服務(wù)轉(zhuǎn)交設(shè)備601的)認(rèn)證證書和(針 對(duì)服務(wù)提供設(shè)備600的)證書生成請(qǐng)求令牌的證書分發(fā)請(qǐng)求的應(yīng)答消息,并向服務(wù)轉(zhuǎn)交設(shè) 備601發(fā)送回該應(yīng)答消息(步驟S403)�����。接收到認(rèn)證證書和證書生成請(qǐng)求令牌的服務(wù)轉(zhuǎn)交設(shè)備601驗(yàn)證并存儲(chǔ)認(rèn)證證書���。 接下來(lái)��,服務(wù)轉(zhuǎn)交設(shè)備601創(chuàng)建針對(duì)服務(wù)提供設(shè)備600的汽車保險(xiǎn)訂購(gòu)請(qǐng)求消息��,并向服務(wù) 提供設(shè)備600發(fā)送附著有(針對(duì)服務(wù)提供設(shè)備600的)證書生成請(qǐng)求令牌的汽車保險(xiǎn)訂購(gòu) 請(qǐng)求消息(步驟S404)��。接收到汽車保險(xiǎn)訂購(gòu)請(qǐng)求消息的服務(wù)提供設(shè)備600提取并分析證書生成請(qǐng)求令 牌�����。然后��,服務(wù)提供設(shè)備600確認(rèn)該令牌是認(rèn)證設(shè)備200發(fā)布的證書生成請(qǐng)求令牌�����。由于 辦理汽車保險(xiǎn)需要用戶的(針對(duì)服務(wù)提供設(shè)備600)的認(rèn)證證書��,服務(wù)提供設(shè)備600創(chuàng)建與 用戶的認(rèn)證證書有關(guān)的證書生成請(qǐng)求消息����,并向認(rèn)證設(shè)備200發(fā)送附著有(針對(duì)服務(wù)提供 設(shè)備600)的證書生成請(qǐng)求令牌的證書生成請(qǐng)求消息(步驟S405)。接收到證書生成請(qǐng)求消息的認(rèn)證設(shè)備200獲得所附著的證書生成請(qǐng)求令牌�����,參考 針對(duì)服務(wù)提供設(shè)備600管理的安全策略�,并對(duì)與用戶有關(guān)的認(rèn)證證書的生成和分發(fā)作出批 準(zhǔn)/不批準(zhǔn)的決定(步驟S406)���。接下來(lái),認(rèn)證設(shè)備200分析證書生成請(qǐng)求令牌的內(nèi)容�����,獲得(提取)與證書生成請(qǐng) 求令牌有關(guān)的證書標(biāo)識(shí)符�����,并基于其認(rèn)證結(jié)果信息獲得指示證書中描述的用戶艾麗絲的信 肩����、o然后,認(rèn)證設(shè)備200獲得與服務(wù)提供設(shè)備600有關(guān)的用戶標(biāo)識(shí)符(對(duì)應(yīng)于圖40中 示出的示例中的“qwerty”)和關(guān)于艾麗絲的(針對(duì)服務(wù)提供設(shè)備600)認(rèn)證證書�,認(rèn)證證書 是基于證書中描述的信息,關(guān)于證書的分發(fā)范圍(在本示例中對(duì)應(yīng)于服務(wù)提供設(shè)備600)的 更新信息(步驟S407)����。接下來(lái)�,認(rèn)證設(shè)備200創(chuàng)建對(duì)伴隨有針對(duì)服務(wù)提供設(shè)備600的認(rèn)證證書的證書生 成請(qǐng)求的應(yīng)答消息,并向服務(wù)提供設(shè)備600發(fā)送該應(yīng)答消息(步驟S408)�����。
接收到證書的服務(wù)提供設(shè)備600驗(yàn)證證書,從所描述的信息中確認(rèn)已對(duì)艾麗絲進(jìn) 行了認(rèn)證���,并且對(duì)艾麗絲的汽車保險(xiǎn)辦理行為作出批準(zhǔn)/不批注的決定���。當(dāng)批準(zhǔn)/不批準(zhǔn) 決定的結(jié)果示出該行為是可接受的時(shí),服務(wù)提供設(shè)備600執(zhí)行針對(duì)艾麗絲的汽車保險(xiǎn)訂購(gòu) 流程(步驟S409)����。然后,服務(wù)提供設(shè)備600創(chuàng)建對(duì)汽車保險(xiǎn)訂購(gòu)請(qǐng)求的應(yīng)答消息����,并向服 務(wù)轉(zhuǎn)交設(shè)備601發(fā)送該應(yīng)答消息(步驟S410)。接收到汽車保險(xiǎn)訂購(gòu)響應(yīng)消息的服務(wù)轉(zhuǎn)交設(shè)備601驗(yàn)證步驟S404中獲得的證書�����, 從所描述的信息中確認(rèn)已對(duì)艾麗絲進(jìn)行了認(rèn)證��,并且關(guān)于針對(duì)艾麗絲的租車預(yù)訂行為作出 批準(zhǔn)/不批注的決定��。當(dāng)批準(zhǔn)/不批準(zhǔn)決定的結(jié)果示出該行為是可接受的時(shí)�����,服務(wù)轉(zhuǎn)交設(shè) 備601進(jìn)行針對(duì)艾麗絲預(yù)訂的租車預(yù)訂(步驟S411)。后續(xù)處理與第一示例中的步驟S314 到S316的處理類似���。此后����,將描述本發(fā)明的效果���。第一效果是可以提高設(shè)備間為證書的創(chuàng)建和分發(fā)執(zhí) 行的通信的效率��。這是因?yàn)樵跊]有任何用戶中介的情況下�,可以通過(guò)簡(jiǎn)單的處理從服務(wù)設(shè) 備向認(rèn)證設(shè)備創(chuàng)建和分發(fā)證書�����。第二效果是可以防止機(jī)密信息的泄露����。這是因?yàn)樵诜?wù)設(shè)備之間交換的證書生成 /分發(fā)請(qǐng)求令牌本身不包括識(shí)別用戶的信息。第三效果是認(rèn)證設(shè)備可以防止證書中描述的信息的泄露��。這是因?yàn)檎J(rèn)證設(shè)備嚴(yán)格 地限定了證書的有效范圍���,并可以生成和分發(fā)證書���,使得證書中描述的有效范圍與提供將 被分發(fā)的服務(wù)的服務(wù)提供設(shè)備相匹配。第四效果是認(rèn)證設(shè)備可以審計(jì)分發(fā)證書的服務(wù)提供設(shè)備�����。這是因?yàn)檎J(rèn)證設(shè)備可以 跟蹤并記錄所有分發(fā)證書的服務(wù)提供設(shè)備。審計(jì)服務(wù)提供設(shè)備意味著執(zhí)行以下處理管理 針對(duì)服務(wù)提供設(shè)備的訪問(wèn)日志����,并確認(rèn)沒有對(duì)服務(wù)提供設(shè)備的非法訪問(wèn)。上述示例性的實(shí)施例展示出被提供了以下⑴至(5)中示出的特征配置的證書生 成/分發(fā)系統(tǒng)���。(1)證書生成/分發(fā)系統(tǒng)是被提供了以下設(shè)備的證書生成/分發(fā)系統(tǒng)認(rèn)證用戶 的認(rèn)證設(shè)備、提供服務(wù)的服務(wù)提供設(shè)備以及對(duì)服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn) 交設(shè)備�����,其中����,認(rèn)證設(shè)備包括用于將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到服務(wù)轉(zhuǎn)交設(shè) 備的令牌發(fā)送裝置(如,由證書分發(fā)請(qǐng)求接收裝置15來(lái)實(shí)現(xiàn)),證書生成請(qǐng)求令牌是與服務(wù) 轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息�,服務(wù)轉(zhuǎn)交設(shè)備包括用于將從令牌發(fā)送裝置接收 到的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到服務(wù)提供設(shè)備的轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置(如�����,由服務(wù)訪問(wèn)轉(zhuǎn) 交裝置50來(lái)實(shí)現(xiàn))�����,服務(wù)提供設(shè)備包括用于當(dāng)請(qǐng)求在服務(wù)提供設(shè)備中有效的第二證書時(shí), 將從轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置接收到的證書生成請(qǐng)求令牌發(fā)送到認(rèn)證設(shè)備的證書請(qǐng)求裝置 (如��,由證書生成請(qǐng)求裝置80來(lái)實(shí)現(xiàn))�,以及認(rèn)證設(shè)備包括用于響應(yīng)于證書請(qǐng)求裝置對(duì)第二 證書的請(qǐng)求��,發(fā)送基于第一證書生成的第二證書的證書發(fā)送裝置(如�����,由證書生成請(qǐng)求接 收裝置12來(lái)實(shí)現(xiàn)),根據(jù)第一證書,接收到的證書生成請(qǐng)求令牌與服務(wù)提供設(shè)備相對(duì)應(yīng)�����。(2)以上(1)中的在證書生成/分發(fā)系統(tǒng)中�����,證書發(fā)送裝置可將證書生成請(qǐng)求令牌 與第二證書一起發(fā)送到服務(wù)提供設(shè)備�,該證書生成請(qǐng)求令牌是與第二證書相對(duì)應(yīng)的信息����, 并且服務(wù)提供設(shè)備可包括用于將證書發(fā)送裝置所發(fā)送的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到另外的 服務(wù)提供設(shè)備的提供設(shè)備令牌轉(zhuǎn)發(fā)裝置(如�,由服務(wù)訪問(wèn)轉(zhuǎn)交裝置50實(shí)現(xiàn)的)�。在以這種 方式配置的證書生成/分發(fā)系統(tǒng)中��,服務(wù)提供設(shè)備可以對(duì)另外的服務(wù)提供設(shè)備進(jìn)行代理訪
32問(wèn)����。(3)在以上(1)中的證書生成/分發(fā)系統(tǒng)中����,服務(wù)轉(zhuǎn)交設(shè)備可包括用于向認(rèn)證設(shè) 備請(qǐng)求第一證書的請(qǐng)求裝置(如�,由證書分發(fā)請(qǐng)求裝置51來(lái)實(shí)現(xiàn)),當(dāng)請(qǐng)求第一證書時(shí)���,請(qǐng) 求裝置可以向認(rèn)證設(shè)備發(fā)送對(duì)預(yù)定的服務(wù)提供設(shè)備進(jìn)行指示的信息(如�,由列表信息來(lái)實(shí) 現(xiàn))��,并且證書發(fā)送裝置可基于接收到的對(duì)預(yù)定的服務(wù)提供設(shè)備進(jìn)行指示的信息來(lái)判斷是 否發(fā)送第二證書����。以這種方式配置的證書生成/分發(fā)系統(tǒng)可以向服務(wù)轉(zhuǎn)交設(shè)備指定的服務(wù) 提供設(shè)備發(fā)送證書。(4)在以上(1)的證書生成/分發(fā)系統(tǒng)中��,認(rèn)證設(shè)備可包括用于生成證書生成請(qǐng)求 令牌的認(rèn)證設(shè)備令牌生成裝置,并且令牌發(fā)送裝置可以向服務(wù)轉(zhuǎn)交設(shè)備發(fā)送認(rèn)證設(shè)備令牌 生成裝置所生成的證書生成請(qǐng)求令牌����。以這種方式配置的證書生成/分發(fā)系統(tǒng)可以使用認(rèn) 證設(shè)備生成的證書生成請(qǐng)求令牌。(5)在以上(1)的證書生成/分發(fā)系統(tǒng)中���,服務(wù)轉(zhuǎn)交設(shè)備可包括用于生成證書生 成請(qǐng)求令牌的轉(zhuǎn)交設(shè)備令牌生成裝置�����,并且令牌發(fā)送裝置可以接收轉(zhuǎn)交設(shè)備令牌生成裝置 所生成的證書生成請(qǐng)求令牌,并向服務(wù)轉(zhuǎn)交設(shè)備發(fā)送與第一證書相對(duì)應(yīng)的證書生成請(qǐng)求令 牌���。以這種方式配置的證書生成/分發(fā)系統(tǒng)可以使用服務(wù)轉(zhuǎn)交設(shè)備生成的證書生成請(qǐng)求令 牌。工業(yè)實(shí)用性本發(fā)明能夠應(yīng)用于互聯(lián)網(wǎng)上的服務(wù)�、在例如企業(yè)內(nèi)部網(wǎng)�、企業(yè)內(nèi)部系統(tǒng)或承載商 系統(tǒng)的網(wǎng)絡(luò)上構(gòu)建的分布式系統(tǒng)中的證書生成/分發(fā)系統(tǒng)、或用于使計(jì)算機(jī)實(shí)現(xiàn)證書生成 /分發(fā)系統(tǒng)等的程序�。迄今為止���,已參考示例性實(shí)施例和示例描述了本發(fā)明�����,然而本發(fā)明不限于以上描 述的示例性實(shí)施例和示例��?���?梢栽诒景l(fā)明的范圍內(nèi)對(duì)本發(fā)明的配置和細(xì)節(jié)進(jìn)行本領(lǐng)域技術(shù) 人員能夠理解的各種修改�����。本申請(qǐng)基于編號(hào)為2007-247597,于2007年9月25日提交的日本專利申請(qǐng)的優(yōu)先 權(quán)并要求其好處,將該優(yōu)先權(quán)的公開整體并入此處作為參考。
權(quán)利要求
一種證書生成/分發(fā)系統(tǒng),包括對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備����;提供服務(wù)的服務(wù)提供設(shè)備;以及對(duì)服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備��,其中���,所述認(rèn)證設(shè)備包括將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送裝置���,所述證書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息,所述服務(wù)轉(zhuǎn)交設(shè)備包括將從所述令牌發(fā)送裝置接收到的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到所述服務(wù)提供設(shè)備的轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置�����,所述服務(wù)提供設(shè)備包括當(dāng)請(qǐng)求在所述服務(wù)提供設(shè)備中有效的第二證書時(shí)����,將從所述轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置接收到的證書生成請(qǐng)求令牌發(fā)送到所述認(rèn)證設(shè)備的證書請(qǐng)求裝置,以及所述認(rèn)證設(shè)備包括響應(yīng)于所述證書請(qǐng)求裝置對(duì)第二證書的請(qǐng)求���,將第二證書發(fā)送到所述服務(wù)提供設(shè)備的證書發(fā)送裝置�����,所述第二證書是基于與接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的�����。
2.根據(jù)權(quán)利要求1所述的證書生成/分發(fā)系統(tǒng)����,其中,所述證書發(fā)送裝置將所述證書生 成請(qǐng)求令牌和所述第二證書一起發(fā)送到所述服務(wù)提供設(shè)備�,所述證書生成請(qǐng)求令牌是與所 述第二證書相對(duì)應(yīng)的信息,以及所述服務(wù)提供設(shè)備包括將所述證書發(fā)送裝置發(fā)送的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到其它服 務(wù)提供設(shè)備的提供設(shè)備令牌轉(zhuǎn)發(fā)裝置�。
3.根據(jù)權(quán)利要求1或2所述的證書生成/分發(fā)系統(tǒng),其中�,所述服務(wù)轉(zhuǎn)交設(shè)備包括向所 述認(rèn)證設(shè)備請(qǐng)求所述第一證書的請(qǐng)求裝置,所述請(qǐng)求裝置在請(qǐng)求所述第一證書時(shí)向所述認(rèn)證設(shè)備發(fā)送指示預(yù)定服務(wù)提供設(shè)備的 信息��,以及所述證書發(fā)送裝置基于接收到的指示預(yù)定服務(wù)提供設(shè)備的信息來(lái)判斷是否發(fā)送所述 第二證書����。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的證書生成/分發(fā)系統(tǒng),其中����,所述認(rèn)證設(shè)備包括 生成所述證書生成請(qǐng)求令牌的認(rèn)證設(shè)備令牌生成裝置,以及所述令牌發(fā)送裝置向所述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送所述認(rèn)證設(shè)備令牌生成裝置生成的證書 生成請(qǐng)求令牌�。
5.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的證書生成/分發(fā)系統(tǒng),其中����,所述服務(wù)轉(zhuǎn)交設(shè)備 包括生成所述證書生成請(qǐng)求令牌的轉(zhuǎn)交設(shè)備令牌生成裝置,以及所述令牌發(fā)送裝置接收所述轉(zhuǎn)交設(shè)備令牌生成裝置生成的證書生成請(qǐng)求令牌���,并向所 述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送與所述第一證書相對(duì)應(yīng)的證書生成請(qǐng)求令牌����。
6.一種對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備�,包括令牌發(fā)送裝置,將證書生成請(qǐng)求令牌和第一證書一起發(fā)送到服務(wù)轉(zhuǎn)交設(shè)備����,所述證書 生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息,所述服務(wù)轉(zhuǎn)交設(shè)備對(duì) 提供服務(wù)的服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交��;以及證書發(fā)送裝置��,從服務(wù)提供設(shè)備接收對(duì)在所述服務(wù)提供設(shè)備中有效的第二證書的請(qǐng)求和證書生成請(qǐng)求令牌�����,并向所述服務(wù)提供設(shè)備發(fā)送第二證書,所述第二證書是基于與接收 到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的�。
7.根據(jù)權(quán)利要求6所述的認(rèn)證設(shè)備,其中���,所述證書發(fā)送裝置將所述證書生成請(qǐng)求令 牌和所述第二證書一起發(fā)送到所述服務(wù)提供設(shè)備�����,所述證書生成請(qǐng)求令牌是與所述第二證 書相對(duì)應(yīng)的信息���。
8.根據(jù)權(quán)利要求6或7所述的認(rèn)證設(shè)備,其中���,所述證書發(fā)送裝置從所述服務(wù)轉(zhuǎn)交設(shè)備 接收指示預(yù)定服務(wù)提供設(shè)備的信息�,并基于接收到的信息判斷是否發(fā)送所述第二證書�。
9.根據(jù)權(quán)利要求6至8中任一項(xiàng)所述的認(rèn)證設(shè)備,其中��,所述認(rèn)證設(shè)備包括生成所述證 書生成請(qǐng)求令牌的認(rèn)證設(shè)備令牌生成裝置���,以及所述令牌發(fā)送裝置向所述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送所述認(rèn)證設(shè)備令牌生成裝置生成的證書 生成請(qǐng)求令牌����。
10.根據(jù)權(quán)利要求6至8中任一項(xiàng)所述的認(rèn)證設(shè)備,其中���,所述令牌發(fā)送裝置接收所述 服務(wù)轉(zhuǎn)交設(shè)備生成的證書生成請(qǐng)求令牌,并向所述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送與所述第一證書相對(duì) 應(yīng)的證書生成請(qǐng)求令牌��。
11.一種服務(wù)轉(zhuǎn)交設(shè)備����,用于對(duì)提供服務(wù)的服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交,所述服 務(wù)轉(zhuǎn)交設(shè)備包括從對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備接收證書生成請(qǐng)求令牌以及第一證書的轉(zhuǎn) 交設(shè)備令牌轉(zhuǎn)發(fā)裝置�,所述證書生成請(qǐng)求令牌是與在所述服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書 相對(duì)應(yīng)的信息,并響應(yīng)于來(lái)自所述服務(wù)轉(zhuǎn)交設(shè)備的訪問(wèn)���,向提供服務(wù)的服務(wù)提供設(shè)備轉(zhuǎn)發(fā) 所述證書生成請(qǐng)求令牌和所述第一證書����。
12.根據(jù)權(quán)利要求11所述的服務(wù)轉(zhuǎn)交設(shè)備��,還包括向所述認(rèn)證設(shè)備請(qǐng)求所述第一證 書的請(qǐng)求裝置�,其中,當(dāng)請(qǐng)求所述第一證書時(shí)�����,所述請(qǐng)求裝置向所述認(rèn)證設(shè)備發(fā)送指示所述 第二證書在其中有效的服務(wù)提供設(shè)備的信息。
13.根據(jù)權(quán)利要求11或12所述的服務(wù)轉(zhuǎn)交設(shè)備�,還包括生成所述證書生成請(qǐng)求令牌 的轉(zhuǎn)交設(shè)備令牌生成裝置。
14.一種提供服務(wù)的服務(wù)提供設(shè)備���,包括證書請(qǐng)求裝置����,從對(duì)所述服務(wù)提供設(shè)備的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備接收認(rèn)證 設(shè)備的證書生成請(qǐng)求令牌��,所述證書生成請(qǐng)求令牌是與在所述服務(wù)轉(zhuǎn)交設(shè)備中有效的第一 證書有關(guān)的信息�����,并在請(qǐng)求在所述服務(wù)提供設(shè)備中有效的第二證書時(shí)向所述認(rèn)證設(shè)備發(fā)送 證書生成請(qǐng)求令牌����,以及從所述認(rèn)證設(shè)備接收所述第二證書的證書接收裝置,所述第二證書是所述認(rèn)證設(shè)備響 應(yīng)于所述證書請(qǐng)求裝置對(duì)所述第二證書的請(qǐng)求而發(fā)送的證書��,所述第二證書是基于與所述 證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書而生成的����。
15.根據(jù)權(quán)利要求14所述的服務(wù)提供設(shè)備,其中,所述證書接收裝置從所述認(rèn)證設(shè)備 接收證書生成請(qǐng)求令牌以及所述第二證書�����,所述證書生成請(qǐng)求令牌是與所述第二證書相對(duì) 應(yīng)的信息��,以及所述服務(wù)提供設(shè)備還包括將所述證書接收裝置接收到的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到其 它服務(wù)提供設(shè)備的提供設(shè)備令牌轉(zhuǎn)發(fā)裝置��。
16.一種證書生成/分發(fā)方法����,借助所述方法���,對(duì)用戶進(jìn)行認(rèn)證的認(rèn)證設(shè)備向提供服務(wù) 的服務(wù)提供設(shè)備和對(duì)所述服務(wù)提供設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交的服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書�����,所述方法包括所述認(rèn)證設(shè)備包括將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的 令牌發(fā)送步驟�����,所述證書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信 息�����;所述服務(wù)轉(zhuǎn)交設(shè)備包括向所述服務(wù)提供設(shè)備轉(zhuǎn)發(fā)接收到的證書生成請(qǐng)求令牌的轉(zhuǎn)交 設(shè)備令牌轉(zhuǎn)發(fā)步驟����,所述接收到的證書生成請(qǐng)求令牌是在所述令牌發(fā)送步驟中發(fā)送的;所述服務(wù)提供設(shè)備包括當(dāng)請(qǐng)求在所述服務(wù)提供設(shè)備中有效的第二證書時(shí)向所述認(rèn)證 設(shè)備發(fā)送接收到的證書生成請(qǐng)求令牌的證書請(qǐng)求步驟����,所述接收到的證書生成請(qǐng)求令牌是 在所述轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)步驟中發(fā)送的;以及所述認(rèn)證設(shè)備包括響應(yīng)于所述證書請(qǐng)求步驟中對(duì)第二證書的請(qǐng)求�,將第二證書發(fā)送到 所述服務(wù)提供設(shè)備的證書發(fā)送步驟,所述第二證書是基于與接收到的證書生成請(qǐng)求令牌相 對(duì)應(yīng)的第一證書生成的��。
17.根據(jù)權(quán)利要求16所述的證書生成/分發(fā)方法�,其中所述認(rèn)證設(shè)備在所述證書發(fā)送步驟中將所述證書生成請(qǐng)求令牌和所述第二證書一起 發(fā)送到所述服務(wù)提供設(shè)備,所述證書生成請(qǐng)求令牌是與所述第二證書相對(duì)應(yīng)的信息�����;以及所述服務(wù)提供設(shè)備還包括將在所述證書發(fā)送步驟中發(fā)送的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到 其它服務(wù)提供設(shè)備的提供設(shè)備令牌轉(zhuǎn)發(fā)步驟���。
18.根據(jù)權(quán)利要求16或17所述的證書生成/分發(fā)方法�,其中所述服務(wù)轉(zhuǎn)交設(shè)備還包括向所述認(rèn)證設(shè)備請(qǐng)求所述第一證書的請(qǐng)求步驟����, 在所述請(qǐng)求步驟中,所述服務(wù)轉(zhuǎn)交設(shè)備在請(qǐng)求所述第一證書時(shí)向所述認(rèn)證設(shè)備發(fā)送指 示預(yù)定服務(wù)提供設(shè)備的信息,以及在所述證書發(fā)送步驟中�,所述認(rèn)證設(shè)備基于接收到的指示預(yù)定服務(wù)提供設(shè)備的信息來(lái) 判斷是否發(fā)送所述第二證書。
19.根據(jù)權(quán)利要求16至18中任一項(xiàng)所述的證書生成/分發(fā)方法���,其中 所述認(rèn)證設(shè)備還包括生成所述證書生成請(qǐng)求令牌的認(rèn)證設(shè)備令牌生成步驟��,所述認(rèn)證設(shè)備在所述令牌發(fā)送步驟中向所述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送在所述認(rèn)證設(shè)備令牌 生成步驟中生成的證書生成請(qǐng)求令牌���。
20.根據(jù)權(quán)利要求16至18中任一項(xiàng)所述的證書生成/分發(fā)方法,其中所述服務(wù)轉(zhuǎn)交設(shè)備還包括生成所述證書生成請(qǐng)求令牌的轉(zhuǎn)交設(shè)備令牌生成步驟���, 所述認(rèn)證設(shè)備接收在所述轉(zhuǎn)交設(shè)備令牌生成步驟中生成的證書生成請(qǐng)求令牌,并向所 述服務(wù)轉(zhuǎn)交設(shè)備發(fā)送與所述第一證書相對(duì)應(yīng)的證書生成請(qǐng)求令牌���。
21.—種證書生成/分發(fā)程序�,用于對(duì)用戶進(jìn)行認(rèn)證以向服務(wù)提供設(shè)備和服務(wù)轉(zhuǎn)交設(shè) 備分發(fā)證書的認(rèn)證設(shè)備��,所述服務(wù)提供設(shè)備提供服務(wù)���,所述服務(wù)轉(zhuǎn)交設(shè)備對(duì)所述服務(wù)提供 設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交���,所述程序使得計(jì)算機(jī)執(zhí)行將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送處理,所述 證書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息,以及證書發(fā)送處理�����,接收對(duì)在所述服務(wù)提供設(shè)備中有效的第二證書的請(qǐng)求和來(lái)自服務(wù)提供 設(shè)備的證書生成請(qǐng)求令牌�����,并向所述服務(wù)提供設(shè)備發(fā)送第二證書���,所述第二證書是基于與 接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書所生成的��。
22.—種認(rèn)證設(shè)備證書生成/分發(fā)程序�,用于對(duì)用戶進(jìn)行認(rèn)證以向服務(wù)提供設(shè)備和服 務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備���,所述服務(wù)提供設(shè)備提供服務(wù)���,所述服務(wù)轉(zhuǎn)交設(shè)備對(duì)所述 服務(wù)提供設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交,所述程序使得計(jì)算機(jī)執(zhí)行將證書生成請(qǐng)求令牌與第一證書一起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備的令牌發(fā)送處理��,所述 證書生成請(qǐng)求令牌是與服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息����,以及證書發(fā)送處理�����,接收對(duì)在所述服務(wù)提供設(shè)備中有效的第二證書的請(qǐng)求和來(lái)自服務(wù)提供 設(shè)備的證書生成請(qǐng)求令牌�����,并向所述服務(wù)提供設(shè)備發(fā)送第二證書��,所述第二證書是基于與 接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書所生成的��。
23.一種服務(wù)轉(zhuǎn)交設(shè)備證書生成/分發(fā)程序�,用于對(duì)用戶進(jìn)行認(rèn)證以向服務(wù)提供設(shè)備 和服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備���,所述服務(wù)提供設(shè)備提供服務(wù)��,所述服務(wù)轉(zhuǎn)交設(shè)備對(duì) 所述服務(wù)提供設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交��,所述程序使得計(jì)算機(jī)執(zhí)行轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)處理,將從所述認(rèn)證設(shè)備接收到的證書生成請(qǐng)求令牌與第一證書一 起發(fā)送到所述服務(wù)轉(zhuǎn)交設(shè)備�,所述證書生成請(qǐng)求令牌是與服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書 相對(duì)應(yīng)的信息。
24.一種服務(wù)提供設(shè)備證書生成/分發(fā)程序�����,用于對(duì)用戶進(jìn)行認(rèn)證以向服務(wù)提供設(shè)備 和服務(wù)轉(zhuǎn)交設(shè)備分發(fā)證書的認(rèn)證設(shè)備,所述服務(wù)提供設(shè)備提供服務(wù)��,所述服務(wù)轉(zhuǎn)交設(shè)備對(duì) 所述服務(wù)提供設(shè)備提供的服務(wù)提供進(jìn)行轉(zhuǎn)交�,所述程序使得計(jì)算機(jī)執(zhí)行證書請(qǐng)求處理,從所述服務(wù)轉(zhuǎn)交設(shè)備接收證書生成請(qǐng)求令牌�����,所述證書生成請(qǐng)求令牌 是與所述認(rèn)證設(shè)備提供的在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書有關(guān)的信息�����,并在請(qǐng)求在所述 服務(wù)提供設(shè)備中有效的第二證書時(shí)向所述認(rèn)證設(shè)備發(fā)送所述證書生成請(qǐng)求令牌��;以及證書接收處理���,從所述認(rèn)證設(shè)備接收所述第二證書��,所述第二證書是響應(yīng)于在所述認(rèn) 證請(qǐng)求處理中對(duì)所述第二證書的請(qǐng)求由所述認(rèn)證設(shè)備發(fā)送的證書���,所述第二證書是基于與 所述證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書而生成的。
全文摘要
在證書生成/分發(fā)系統(tǒng)中����,認(rèn)證設(shè)備(900)包括將證書生成請(qǐng)求令牌和第一證書一起發(fā)送到服務(wù)轉(zhuǎn)交設(shè)備(910)的令牌發(fā)送裝置(901)����,證書生成請(qǐng)求令牌是與在服務(wù)轉(zhuǎn)交設(shè)備中有效的第一證書相對(duì)應(yīng)的信息�����。服務(wù)轉(zhuǎn)交設(shè)備(910)包括將從令牌發(fā)送裝置(901)接收到的證書生成請(qǐng)求令牌轉(zhuǎn)發(fā)到服務(wù)提供設(shè)備(920)的轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置(911)�。服務(wù)提供設(shè)備(920)包括當(dāng)請(qǐng)求在服務(wù)提供設(shè)備(920)中有效的第二證書時(shí),將從轉(zhuǎn)交設(shè)備令牌轉(zhuǎn)發(fā)裝置(911)接收到的證書生成請(qǐng)求令牌發(fā)送到認(rèn)證設(shè)備的證書請(qǐng)求裝置(921)�。認(rèn)證設(shè)備(900)包括響應(yīng)證書請(qǐng)求裝置(921)對(duì)第二證書的請(qǐng)求,將基于與接收到的證書生成請(qǐng)求令牌相對(duì)應(yīng)的第一證書生成的第二證書發(fā)送到服務(wù)提供設(shè)備(920)的證書發(fā)送裝置(902)���。
文檔編號(hào)G06Q30/00GK101809584SQ200880108650
公開日2010年8月18日 申請(qǐng)日期2008年9月17日 優(yōu)先權(quán)日2007年9月25日
發(fā)明者五味秀仁, 畠山誠(chéng) 申請(qǐng)人:日本電氣株式會(huì)社