证书生成/分发系统、证书生成/分发方法和证书生成/分发程序

摘要

在证书生成/分发系统中，认证设备(900)包括将证书生成请求令牌和第一证书一起发送到服务转交设备(910)的令牌发送装置(901)，证书生成请求令牌是与在服务转交设备中有效的第一证书相对应的信息。服务转交设备(910)包括将从令牌发送装置(901)接收到的证书生成请求令牌转发到服务提供设备(920)的转交设备令牌转发装置(911)。服务提供设备(920)包括当请求在服务提供设备(920)中有效的第二证书时，将从转交设备令牌转发装置(911)接收到的证书生成请求令牌发送到认证设备的证书请求装置(921)。认证设备(900)包括响应证书请求装置(921)对第二证书的请求，将基于与接收到的证书生成请求令牌相对应的第一证书生成的第二证书发送到服务提供设备(920)的证书发送装置(902)。

说明书

技术领域

本发明涉及证书生成/分发系统、证书生成/分发方法和证书生成/分发程序，更具体地，涉及能够动态并高效地生成和分发证书的证书生成/分发系统、证书生成/分发方法和证书生成/分发程序。此外，本发明涉及为证书生成/分发系统提供的认证设备、服务转交设备和服务提供设备。此外，本发明涉及服务转交设备证书生成/分发程序和服务提供设备证书生成/分发程序。

背景技术

近年来，有越来越多数目的分布式系统经由网络发行各种服务。相应地，对经由网络访问这些服务的用户进行认证和批准日益成为网络上的服务提供商的重要任务。当优选地仅准许数目受限的预定用户访问这些服务时，常常将描述与用户有关的认证结果等的证书分发给服务提供商所提供的服务系统，以允许用户访问这些服务。

作为上述技术，标准化组织OASIS定义了用于在网络上的提供商之间链接与用户有关的认证信息的标准技术规范SAML(安全断言标记语言)。在非专利文献1中描述了使用SAML的证书生成/分发系统的示例。图1示出了在非专利文献1中描述的证书生成/分发系统的示例。图2示出了应用在非专利文献1中描述的证书生成/分发系统来执行代理访问处理的示例。

向非专利文献1中描述的证书生成/分发系统提供IdP(身份提供商)100、SP(服务提供商)101和用户中介(用户终端的软件)102。经由例如互联网等网络将IdP 100、SP 101和用户中介102彼此相连。

作为具有这样的配置的非专利文献1中描述的证书生成/分发系统的典型操作，下面将描述当通过使用Web SSO协议的人工简档(artifact profile)创建和分发认证证书来获得单点登录(single sign-on)时，在IdP和SP之间执行的流程。

在图1所示的示例中，预先假定每一个用户都拥有分别针对IdP100的用户信息103和SP 101的用户信息104的账户。此外，预先将该两个账户链接在一起。即，彼此相关联地存储两个账户。例如，当IdP 100认证用户时，IdP 100向SP 101发送认证结果信息。SP 101基于接收到的认证结果信息判断已对用户进行了认证，并提供服务单点登录。

如图1所示，用户使用用户中介102接收IdP 100的认证，并进行登录(步骤S1)。然后，用户(用户中介102)访问SP 101，以使用SP 101提供的服务(步骤S2)，该服务是针对受限的访问提供的。

SP 101向用户中介102发送认证请求消息以请求对用户的认证(步骤S3-a)，用户中介102将认证请求消息从SP 101重新定向(转发)到IdP 100(步骤S3-b)。IdP 100确认在步骤S1中已经对用户进行了认证，并创建已经对用户进行了认证的认证证书(认证断言)(步骤S4)，该认证证书是以XML写成的。

此外，IdP 100创建起与认证断言相对应的票(ticket)的作用的人工产物(artifact)，并将票发送回用户中介102(步骤S5-a)。用户中介102将人工产物重新定向到SP 101(步骤S5-b)。SP 101接收该人工产物，将人工产物发送到IdP 100并请求对应的认证断言(步骤S6)。IdP 100检查从SP 101接收到的人工产物，并将对应的认证断言发送回SP 101(步骤S7)。SP 101检查从IdP 101接收到的认证断言的真实性，并使用SP 101的安全策略验证是否接受访问服务的用户请求。当接受了请求，SP 101开始向用户中介102提供服务(步骤S8)。

如迄今所描述的，IdP 100创建与用户有关的证书并将证书分发给SP 101。在此，如上所述，IdP 100所分发的证书可以描述仅在IdP 100和SP 101之间有效的化名信息，作为分别与IdP 100和SP 101中的用户账户有关的信息、关于证书的有效范围(通过分发证实的目标提供商)的信息和其它与用户有关的机密信息等。即，向IdP 100所分发的证书提供防止将安全信息泄露给除预定目标之外的其它人的功能。非专利文献1是下面示出的文献。

非专利文献1：作者：OASIS，标题：“Assertions and Protocol forthe OASIS Security Assertion Markup Language(SAML)V2.0”，媒体类型：在线，发布日期：2005年3月15日，搜索日期：2007年5月30日，信息源：互联网<URL：http://docs.oasis-open.org/security/sam1/v2.0/saml-core-2.0-os.pdf>。

发明内容

就已被IdP所认证并访问第一SP的服务的用户而言，当第一SP尝试针对该用户代理访问不同于第一SP的第二SP时，第二SP从IdP请求与用户有关的证书的分发。在这种情况下，非专利文献1中描述的证书生成/分发系统存在着创建和分发证书所必须的通信变得没有效率的问题。

原因在于，根据非专利文献1中描述的方案，当没有用于在SP之间(在第一SP和第二SP之间)交换关于用户的用户信息或证书信息的装置时以及当没有向第一SP提供和用户中介相同的功能时，第二SP需要经由用户中介请求并分发证书。即，虽然第一SP已经经由用户中介102执行了认证处理(步骤S3-a到S7)，第二SP需要经由第一SP和用户中介102执行相同的处理(步骤S3-a到S7)，这导致第二SP和IdP之间的通信变得没有效率的问题。

本发明的目的是提供解决前述问题的证书生成/分发系统、认证设备、服务转交设备、服务提供设备、证书生成/分发方法、证书生成/分发程序、服务转交设备证书生成/分发程序和服务提供设备证书生成/分发程序。

根据本发明的证书生成/分发系统是被提供了以下设备的证书生成/分发系统：对用户进行认证的认证设备；提供服务的服务提供设备；以及对服务提供设备的服务提供进行转交的服务转交设备，其中，所述认证设备包括将证书生成请求令牌与第一证书一起发送到所述服务转交设备的令牌发送装置，所述证书生成请求令牌是与服务转交设备中有效的第一证书相对应的信息，所述服务转交设备包括将从所述令牌发送装置接收到的证书生成请求令牌转发到所述服务提供设备的转交设备令牌转发装置，所述服务提供设备包括当请求在所述服务提供设备中有效的第二证书时，将从所述转交设备令牌转发装置接收到的证书生成请求令牌发送到所述认证设备的证书请求装置，以及所述认证设备包括响应于所述证书请求装置对第二证书的请求，将基于与接收到的证书生成请求令牌相对应的第一证书生成的第二证书发送到所述服务提供设备的证书发送装置。

根据本发明的认证设备是对用户进行认证的认证设备，该认证设备包括：令牌发送装置，将证书生成请求令牌和第一证书一起发送到服务转交设备，所述证书生成请求令牌是与在对提供服务的服务提供设备的服务提供进行转交的服务转交设备中有效的第一证书相对应的信息；以及证书发送装置，接收对在所述服务提供设备中有效的第二证书的请求和来自服务提供设备的证书生成请求令牌，并向所述服务提供设备发送基于与接收到的证书生成请求令牌相对应的第一证书生成的第二证书。

根据本发明的服务转交设备是对提供服务的服务提供设备的服务提供进行转交的服务转交设备，服务转交设备包括：转交设备令牌转发装置，从对用户进行认证的认证设备接收证书生成请求令牌和第一证书，所述证书生成请求令牌是与在所述服务转交设备中有效的第一证书相对应的信息，并响应于来自所述服务转交设备的访问，向提供服务的服务提供设备转发所述证书生成请求令牌和所述第一证书。

根据本发明的服务提供设备是提供服务的服务提供设备，该服务提供设备包括：证书请求装置，从对所述服务提供设备的服务提供进行转交的服务转交设备接收认证设备的证书生成请求令牌，所述证书生成请求令牌是与在所述服务转交设备中有效的第一证书有关的信息，并在请求在所述服务提供设备中有效的第二证书时向所述认证设备发送证书生成请求令牌，以及从所述认证设备接收所述第二证书的证书接收设备，所述第二证书是所述认证设备响应于所述证书请求装置对所述第二证书的请求而发送的证书，所述第二证书是基于与所述证书生成请求令牌相对应的第一证书而生成的。

根据本发明的证书生成/分发方法是如下的证书生成/分发方法：借助该方法，对用户进行认证的认证设备向提供服务的服务提供设备和对所述服务提供设备提供的服务提供进行转交的服务转交设备分发证书，所述方法包括：所述认证设备包括将证书生成请求令牌与第一证书一起发送到所述服务转交设备的令牌发送步骤，所述证书生成请求令牌是与服务转交设备中有效的第一证书相对应的信息；所述服务转交设备包括向所述服务提供设备转发接收到的证书生成请求令牌的转交设备令牌转发步骤，所述接收到的证书生成请求令牌是在所述令牌发送步骤中发送的；所述服务提供设备包括当请求在所述服务提供设备中有效的第二证书时向所述认证设备发送接收到的证书生成请求令牌的证书请求步骤，所述接收到的证书生成请求令牌是在所述转交设备令牌转发步骤中发送的；以及所述认证设备包括响应于所述证书请求步骤中对第二证书的请求，将基于与接收到的证书生成请求令牌相对应的第一证书生成的第二证书发送到所述服务提供设备的证书发送步骤。

根据本发明的证书生成/分发程序是如下的证书生成/分发程序：用于对用户进行认证以向提供服务的服务提供设备和对所述服务提供设备提供的服务提供进行转交的服务转交设备分发证书的认证设备，所述程序使得计算机执行：将证书生成请求令牌与第一证书一起发送到所述服务转交设备的令牌发送处理，所述证书生成请求令牌是与在服务转交设备中有效的第一证书相对应的信息；以及证书发送处理，接收对在所述服务提供设备中有效的第二证书的请求和来自服务提供设备的证书生成请求令牌，并向所述服务提供设备发送基于与接收到的证书生成请求令牌相对应的第一证书所生成的第二证书。

根据本发明的认证设备证书生成/分发程序是如下的认证设备证书生成/分发程序：用于对用户进行认证以向提供服务的服务提供设备和对所述服务提供设备提供的服务提供进行转交的服务转交设备分发证书的认证设备，所述程序使得计算机执行：令牌发送处理，将证书生成请求令牌与第一证书一起发送到所述服务转交设备，所述证书生成请求令牌是与服务转交设备中有效的第一证书相对应的信息；以及证书发送处理，接收对在所述服务提供设备中有效的第二证书的请求和来自服务提供设备的证书生成请求令牌，并向所述服务提供设备发送基于与接收到的证书生成请求令牌相对应的第一证书所生成的第二证书。

根据本发明的服务转交设备证书生成/分发程序是如下的服务转交设备证书生成/分发程序：用于对用户进行认证以向提供服务的服务提供设备和对所述服务提供设备提供的服务提供进行转交的服务转交设备分发证书的认证设备，所述程序使得计算机执行：转交设备令牌转发处理，将证书生成请求令牌与从所述认证设备接收到的第一证书一起发送到所述服务转交设备，所述证书生成请求令牌是与在服务转交设备中有效的第一证书相对应的信息。

根据本发明的服务提供设备证书生成/分发程序是如下的服务提供设备证书生成/分发程序：用于对用户进行认证以向提供服务的服务提供设备和对所述服务提供设备提供的服务提供进行转交的服务转交设备分发证书的认证设备，所述程序使得计算机执行：证书请求处理，通过所述认证设备从所述服务转交设备接收证书生成请求令牌，所述证书生成请求令牌是与在服务转交设备中有效的第一证书有关的信息，并在请求在所述服务提供设备中有效的第二证书时向所述认证设备发送所述证书生成请求令牌；以及证书接收处理，从所述认证设备接收所述第二证书，所述第二证书是响应于在所述认证处理中对所述第二证书的请求由所述认证设备发送的证书，所述第二证书是基于与所述证书生成请求令牌相对应的第一证书而生成的。

附图说明

图1示出了专利文献1中描述的证书生成/分发系统的示例；

图2示出了在专利文献1中描述的证书生成/分发系统中进行代理访问处理的示例；

图3是示出根据本发明的证书生成/分发系统的最小配置示例的方框图：

图4是示出根据本发明的证书生成/分发系统的配置示例的方框图：

图5是示出认证设备的配置示例的方框图；

图6是示出服务转交设备的配置示例的方框图；

图7是示出证书管理部分的配置示例的方框图；

图8是示出服务提供设备的配置示例的方框图；

图9是示出针对服务提供设备的服务提供设备的配置示例的方框图；

图10是示出服务管理部分的配置示例的方框图；

图11是示出当认证设备从服务转交设备接收证书分发请求时的处理示例的流程图；

图12是示出当认证设备从服务提供设备接收证书生成请求时的处理示例的流程图；

图13是示出当服务提供设备接收服务访问请求时的处理示例的流程图；

图14是示出当服务转交设备转交对服务提供设备的访问时的处理示例的流程图；

图15是示出当服务转交设备从认证设备接收证书时的处理示例的流程图；

图16是示出当服务提供设备向认证设备请求证书以及接收证书时的处理示例的流程图；

图17是示出根据第二示例性实施例的服务转交设备的配置示例的方框图；

图18是示出当服务转交设备转交服务请求并且进一步向其它设备或用户提供服务时的处理示例的流程图；

图19是示出根据第三示例性实施例的认证设备的配置示例的方框图；

图20是示出根据第三示例性实施例的服务转交设备的配置示例的方框图；

图21是示出当服务转交设备向认证设备提出证书分发请求时的处理示例的流程图；

图22是示出当认证设备从服务转交设备接收证书分发请求时的处理示例的流程图；

图23是示出根据第四示例性实施例的服务转交设备的配置示例的方框图；

图24是示出当服务转交设备向认证设备提出证书分发请求时的处理示例的流程图；

图25是示出当认证设备从服务转交设备接收证书分发请求时的处理示例的流程图；

图26示出了根据本发明的证书生成/分发系统的第一示例：

图27示出了账户对应关系管理表的注册示例；

图28是示出第一示例的证书生成/分发系统的操作示例的序列图；

图29示出了认证证书的描述内容的示例；

图30示出了对证书分发请求的答复消息的示例；

图31示出了证书生成令牌和认证证书标识符对应关系管理表的示例；

图32示出了针对服务提供设备的认证证书的示例；

图33示出了租车预订请求消息的示例；

图34示出了证书生成请求消息的示例；

图35示出了根据本发明的证书生成/分发系统的第二示例；

图36示出了属性证书生成请求消息的示例；

图37示出了属性证书的示例；

图38示出了根据本发明的证书生成/分发系统的第三示例；

图39示出了根据本发明的证书生成/分发系统的第四示例；以及

图40示出了账户对应关系管理表的注册示例。

参考符号列表

900认证设备

901令牌发送装置

902证书发送装置

910服务转交设备

911转交设备令牌转发装置

920服务提供设备

921证书请求装置

具体实施方式

首先，将参考附图描述本发明的概述。图3是示出根据本发明的证书生成/分发系统的最小配置示例的方框图。向图3中示出的证书生成/分发系统认证设备900、服务转交设备910和服务提供设备920。

认证设备900包括令牌发送装置901和证书发送装置902。服务转交设备910包括转交设备令牌转发装置911。服务提供设备920包括证书请求装置921。

令牌发送装置901向服务转交装置910与第一证书一起发送证书生成请求令牌，证书生成请求令牌是与服务转交设备910中有效的第一证书相对应的信息。

转交设备令牌转发装置911将从令牌发送装置901接收到的证书生成请求令牌转发到服务提供设备920。

证书请求装置921从转交设备令牌转发装置911接收证书生成请求令牌，并在请求服务提供设备920中有效的第二证书时将该证书生成请求令牌发送到认证设备900。

响应证书请求装置921对第二证书的请求，证书发送装置902将基于与接收到的证书生成请求令牌相对应的第一证书所生成的第二证书发送到服务提供设备。

通过采用图3中示出的配置，当响应于来自服务转交设备的代理访问向提供服务的服务提供设备分发证书时，更高效地分发证书所需的通信是可能的。

(第一示例性实施例)

接下来，将参考附图描述本发明的第一示例性实施例。图4是示出根据本发明的证书生成/分发系统的配置示例的方框图。向图4中示出的证书生成/分发系统提供了认证设备1、服务转交设备2、服务提供设备3和终端设备4。认证设备1、服务转交设备2、服务提供设备3和终端设备4经由网络45彼此连接。

可以分别有多个认证设备1、服务转交设备2、服务提供设备3和终端设备4。用户使用终端设备4访问认证设备1和服务转交设备2。本发明中的用户可以是个人或由多个个人组成的组织。

图5是示出认证设备1的配置示例的方框图。如图5所示，认证设备1包括用户认证装置10、用户信息管理装置11、证书生成请求接收装置12、证书生成请求令牌管理装置13、证书生成装置14、证书分发请求接收装置15、证书管理装置16、用户信息存储部分20、访问控制策略存储部分21、证书生成请求令牌存储部分22、装置信息存储部分23和证书信息存储部分24。

用户认证装置10是用于使用预定认证方案来对使用认证设备1的用户进行认证的装置。

用户信息管理装置11是用于管理与用户信息存储部分20中存储的用户有关的信息的装置。

当对用户进行认证时，用户认证装置10根据预定认证方案要求用户(终端装置4)展示凭证信息(如，例如密码的认证信息)。用户认证装置10通过将用户(终端装置4)展示的信息与联系标识符进行管理的或用户经由用户信息管理装置11从用户信息存储部分20获得的凭证信息进行比较和相关联来执行认证。

在用户认证装置10对用户进行认证后，用户信息管理装置11将包括与用户认证结果有关的信息在内的会话信息存储到用户信息存储部分20中。会话信息是与使用可以唯一地标识认证设备1和终端设备4之间建立的会话的会话标识符作为密钥而进行的用户认证有关的信息。用户信息管理装置11使用会话标识符搜索用户信息存储部分20，并且可以由此获得将要关联的会话信息。

用户信息存储部分20存储与使用认证设备1的用户有关的信息。例如，用户信息存储部分20存储了关于用户标识符的信息、其属性信息、诸如当要求用户认证装置10进行认证时展示的密码之类的凭证信息以及关于用户认证装置10所认证的用户的会话信息。

证书生成请求接收装置12是用于从服务提供设备3接收与用户有关的证书生成请求的装置。证书指的不仅是后面将要描述的图29和图32中示出的SAML所定义的认证断言或图37中SAML所定义的属性断言(属性证书)，还是X.509的证书等。

向证书请求接收装置12提供以下功能：在从服务提供设备3接收到用于请求生成与用户有关的证书的消息后，检查证书生成请求消息的内容，以及参考存储在访问控制策略存储部分21中的访问控制策略来做出是否接受证书生成请求的批准/不批准决定。此外，还向证书请求接收装置12提供以下功能：根据请求产生证书的服务提供设备3，将可以在将要生成的证书中描述的信息转换或限制为适当的信息。

当证书请求接收装置12作为决定的结果，判断可以接受证书生成请求时，证书生成装置14创建所请求的证书。证书请求接收装置12创建响应消息，证书生成装置14所生成的证书附在该响应消息上，证书请求接收装置12将响应消息发送回服务提供设备3。

另一方面，当证书请求接收装置12判断不能接受证书生成请求时，证书请求接收装置12创建包括了证书生成请求不能被接收的出错内容的响应消息，并将响应消息发送回服务提供设备3。

访问控制策略存储部分21存储针对证书生成请求接收装置12的访问控制策略，以对证书的产生做出批准/不批准决定。访问控制策略是针对与特定信息的内容有关的条件，定义证书生成请求接收装置12将要采用的操作的信息。访问控制策略的示例包括如下规范：规定如果证书生成请求接收装置12接受来自服务提供设备3的证书生成请求的时间在用户的会话信息中包括的预定会话的有效期间内，将接受证书的产生；以及规定如果发送证书生成请求的服务提供设备3不包括在设备信息存储部分23中与服务提供设备有关的信息中，将不接受对应证书的产生。以预定策略描述语言来编写在访问控制策略中指定的条件和操作。证书生成请求接收装置12可以自动地读取访问控制策略。

证书生成请求令牌管理装置13是用于管理服务提供设备3所使用的令牌以请求产生预定证书的装置。

证书生成请求令牌管理装置13生成与用户认证装置10所认证的用户的会话信息有关并且由用户信息管理装置11所管理的会话标识符。通过将所生成的会话标识符与可以唯一地标识认证设备1的认证设备标识符相链接，证书生成请求令牌管理装置13生成证书生成请求令牌。

证书生成请求令牌管理装置13生成会话标识符，使得其可以是随机值，该随机值不包括任何可能作为识别用户或会话信息的充足线索的信息。

使用例如非专利文献1中描述的SAML所限定的人工产物，可以实现认证生成请求令牌。只要是可以与证书唯一对应的随机字符串(会话标识符)，认证生成请求令牌可以是任何东西。此外，证书生成请求令牌管理装置13存储所生成的证书生成请求令牌并管理稍后将谈论到的令牌，其中，所生成的证书生成请求令牌与证书生成请求令牌存储部分22中的证书管理装置16所管理的已分发证书的标识符有关。

证书生成装置14是用于基于存储在设备信息存储部分23中的设备信息来生成并发布关于用户的证书描述认证结果信息、属性信息、授权信息等的装置。证书生成装置14可以使用例如数字签名等技术向将要生成的证书分配签名。从而，证书将要被分发到的设备可以验证接收到的证书未曾被篡改。此外，证书生成装置14将生成的证书存储在证书信息存储部分24中。

设备信息存储部分23存储并管理关于服务转交设备2或服务提供设备3的设备信息，与这些设备的可靠关系是通过业务往来等来维持。

证书分发请求接收装置15是用于响应于来自服务转交设备2的证书分发请求来获取所需证书并经由证书管理装置16将证书发送回服务转交设备2的装置。

证书管理装置16是用于管理存储在证书信息存储部分24中的证书的装置。证书管理装置16具有如下功能：使用搜索关键字从证书信息存储部分24中存储的证书之中搜索和查阅适当的证书，以及更新或删除预定证书。

当用计算机实现认证设备1时，用户认证装置10、用户信息管理装置11、证书生成请求接收装置12、证书生成请求令牌管理装置13、证书生成装置14、证书分发请求接收装置15和证书管理装置16是通过认证设备1中安装的CPU所实现的，该CPU执行用于实现这些功能的程序。

图6是示出服务转交设备2的配置示例的方框图。如图6所示，服务转交设备2包括服务访问转交装置50、证书分发请求装置51和证书管理部分6。

服务访问转交装置50是用于从用户的终端设备4或从不同于服务转交设备2的服务转交设备(第二服务转交设备)接收服务访问请求(第一服务访问请求)，然后向服务提供设备3作出第二服务访问请求的装置。服务访问转交装置50作出与第一服务访问请求不同的服务访问请求(第二服务访问请求)，该第二服务访问请求与使用预定通信协议向服务提供设备3发送第一服务访问请求的用户有关。

服务访问转交装置50基于用户的用户标识符，从与证书管理部分6(参见稍后将要描述的图7)中的证书验证装置62所管理的用户有关的认证设备1获得(提取)所分发的证书。

此外，服务访问转交装置50获得与证书生成请求令牌获得装置61所管理的证书有关的证书生成请求令牌(稍后将要描述)，将该证书生成请求令牌附着到指向服务提供装置3的第二服务访问请求消息，并向服务提供设备3作出服务访问请求。

证书分发请求装置51是用于使用预定通信协议请求认证设备1分发已经生成的证书的装置。

当作出证书分发请求时，证书分发请求装置51使用认证设备信息管理装置60获得详细的信息，如，分发请求将被送往的认证设备1的网络上的地址。此外，当从认证设备1接收到所请求的证书后，如果数字签名被附在证书上，证书分发请求装置51可以使用证书管理部分6的证书验证装置62验证该证书。

此外，当证书生成请求令牌同样被附着在包括从认证设备1发送回的证书的消息上时，证书分发请求装置51使用证书管理部分6的证书生成请求令牌获得装置61从应答消息中获得(提取)并分析证书生成请求令牌。

图7是示出证书管理部分6的配置示例的方框图。如图7中所示，证书管理部分6包括认证设备信息管理装置60、证书生成请求令牌获得装置61、证书验证装置62、认证设备信息存储部分63和证书信息存储部分65。

认证设备信息管理装置60是用于管理存储在认证设备信息存储部分63中的与认证设备1有关的信息的装置。认证设备信息管理装置60具有基于证书生成请求令牌中描述的认证设备标识来获得关于认证设备的详细信息(如，网络上的位置信息(IP地址))的功能。

证书生成请求令牌获得装置61从证书分发请求装置51接收到的消息获得证书生成请求令牌。

证书认证装置62是用于验证从认证设备1接收到的证书中描述的信息的格式和内容的装置。例如，当将使用如数字签名等签名技术的签名附着在证书上时，证书验证装置62验证签名，并从而可以验证签名是否曾被篡改。在证书的验证完成后，证书验证装置62存储验证过的证书作为证书信息存储部分65中的适当的证书，并管理该证书。证书验证装置62具有使用预定搜索关键字(如，证书的标识符或用户的标识符)获得适当的证书的功能。

当用计算机实现服务转交设备2时，服务访问转交装置50、证书分发请求装置51、认证设备信息管理装置60、证书生成请求令牌获得装置61和证书验证装置62是由服务转交设备2中安装的CPU所实现的，该CPU执行用于实现这些功能的程序。

图8是示出服务提供设备3的配置示例的方框图。如图8所示，服务提供设备3包括证书生成请求装置80、服务提供设备证书管理部分66和服务管理部分7。

图9是示出服务提供设备证书管理部分66的配置示例的方框图。如图9中所示，服务提供设备证书管理部分66包括认证设备信息管理装置60、证书生成请求令牌分析装置661、证书验证装置62、认证设备信息存储部分63和证书信息存储部分65。

服务提供设备证书管理部分66是具有证书生成请求令牌分析装置661，而不是服务转交设备2中的证书管理部分6中的证书请求令牌获得装置61(参见图7)的管理部分。

证书生成请求令牌分析装置661具有分析从服务转交设备2接收到的证书生成请求令牌并获得(提取)包括在令牌中的认证设备的标识符和会话标识符的功能。证书生成请求令牌分析装置661管理证书生成请求令牌。

证书生成请求装置80是如下的装置：创建用于向发布证书生成请求令牌的认证设备1作为证书生成请求的消息，并发送证书生成请求令牌附着其上的证书生成请求。

证书生成请求令牌分析装置661和认证设备信息管理装置60提取详细的信息，如证书生成请求消息所发往的认证设备1的网络上的地址。证书生成请求令牌分析装置661分析证书生成请求令牌，提取认证设备1的认证设备标识符以及向认证设备信息管理装置60输出认证设备标识符。认证设备信息管理装置60请求认证设备信息存储部分63查阅关于认证设备1的对应于所输出的认证设备标识符的信息，从而提取关于认证设备1的详细信息。

图10是示出了服务管理部分7的配置示例的方框图。如图10中所示，服务管理部分7包括服务访问接收装置70、服务信息管理装置71、访问控制策略存储部分72和服务信息存储部分73。

服务访问接收装置70使用服务信息存储部分73中由服务信息管理装置71管理的服务信息来发行预定的应用服务。此外，服务访问接收装置70是通过执行控制，使得响应于用户对服务的访问，使用存储在访问控制策略存储部分72中的访问控制策略，仅接受来自预定用户的访问来提供服务的装置。

此外，向服务访问接收装置70提供使用预定通信协议从服务提供设备3以外的服务提供设备接收证书生成请求令牌的功能。

访问控制策略存储部分72存储用于控制提供服务的方法的访问控制策略，所述服务是服务访问接收装置70根据预定用户和情况提供的。访问控制策略是针对与特定信息有关的条件，定义服务访问接收装置70将要采用的操作的信息。访问控制策略的示例包括：规定仅拥有预定属性信息的用户才被同意访问服务的规范、以及规定仅针对预定时间段等不同意预定用户访问服务的规范。以预定的策略描述语言来编写在访问控制策略中定义的条件和操作。服务访问接收装置70可以自动读取访问控制策略。

服务信息管理装置71是用于管理存储在服务信息存储部分73中的预定服务特定的信息。此外，服务信息管理装置71根据服务的内容管理存储在服务信息存储部分73中的关于用户的信息。

当用计算机实现服务提供设备3时，证书生成请求装置80、认证设备信息管理装置60、证书生成请求令牌分析装置661、证书验证装置62、服务访问接收装置70和服务信息管理装置71是由服务提供设备3中安装的CPU所实现的，该CPU执行用于实现这些功能的程序。

向终端设备4提供用户直接操作的通信功能，以发送认证设备1的用户认证装置10所要求的凭证信息以认证用户，并使用服务转交设备2提供的服务。

向上述认证设备1、服务转交设备2、服务提供设备3和终端设备4中每一个都提供通信装置(未示出)。当彼此进行通信时，向认证设备1、服务转交设备2、服务提供设备3和终端设备4各自的通信装置提供例如SSL(安全套接层)或TLS(传输层安全)的机制或者与其兼容的机制，以防止第三方发送/接收的消息的拦截。此外，向认证设备1、服务转交设备2、服务提供设备3和终端设备4每一个都提供加密功能和用于对接收到的加密信息进行解码的解码功能，所述加密功能仅向通信的预订方通知所发送/接收的消息的内容以及防止将消息的内容暴露给通信中有预谋的各方。

接下来，将参考图11到图16描述第一示例性实施方式的操作。

首先，将参考图11和图12描述认证设备1的操作。认证设备1准备接收从用户或服务提供设备3发送的预定请求消息。认证设备1分析访问请求并根据请求的内容执行操作处理。下面是在认证设备1认证终端设备4的用户并生成认证证书后的本发明的特征操作的描述。

将参考图11描述认证设备1从服务转交设备2接收证书分发请求时的操作。图11是示出认证设备1从服务转交设备2接收证书分发请求时的处理示例的流程图。

当认证设备1从服务转交设备2接收证书分发请求(步骤S1101)时，证书分发请求接收装置15分析证书分发请求消息并从证书分发请求消息获得(提取)关于以下内容的信息：其证书被请求的目标用户、请求证书的服务转交设备2和所请求的证书的类型和内容等(步骤S1102)。

接下来，证书分发请求接收装置15查阅与步骤S1102中所获得的证书分发请求的内容有关的信息，将该请求与访问控制策略存储部分21中存储的访问控制策略相关联，并确定是否接受证书分发请求(步骤S1103)。

当在步骤S1103中没有接受证书分发请求(否)时，证书分发请求接收装置15创建断言将不批准证书分发请求的出错消息(步骤S1109)并将出错消息发送回服务转交设备2(步骤S1108)。

另一方面，在步骤S1103中，当接受证书分发请求(是)时，证书管理装置16基于关于证书分发请求的内容的信息从证书信息存储部分24中搜索并获得对应的证书(步骤S1104)，并向证书分发请求接收装置15发送该证书。接下来，证书分发请求接收装置15向证书生成请求令牌管理装置13发送所获得的证书。

证书生成请求令牌管理装置13生成针对服务提供设备3的证书生成请求令牌，以通过生成随机数作出证书生成请求(步骤S1105)。然后，证书生成请求令牌管理装置13管理所生成的与接收到的证书有关的证书生成请求令牌(步骤S1106)。例如，证书生成请求令牌管理装置13在证书生成请求令牌存储部分22中与证书标识符相关联地存储证书生成请求令牌。然后，证书生成请求令牌管理装置13将所生成的证书生成请求令牌发送回证书分发请求接收装置15。

接下来，证书分发请求接收装置15创建伴随有从证书生成请求令牌管理装置13接收的证书生成请求令牌和步骤S1105中获得的证书的对证书分发请求的应答消息(步骤S1107)，并将该应答消息发送回服务转交设备2(步骤S1108)。

在上述从步骤S1101到步骤S1108的操作中已经描述了认证设备1从服务转交设备2接收证书分发请求的情况，然而还可以存在从服务转交设备2经由终端设备4作出证书分发请求的情况，即认证设备1从终端设备4接收证书分发请求的情况。在这种情况下，可以在上述从步骤S1101到步骤S1108的操作中将服务转交设备2读作终端设备4。

接下来，将参考图12描述当认证设备1从特定的服务提供设备3接收证书生成请求时，认证设备1的操作。图12是示出认证设备1从服务提供设备3接收证书生成请求时的处理示例的流程图。

当认证设备1从特定的服务提供设备3接收证书生成请求(步骤S1201)时，证书生成请求接收装置12分析证书创建请求消息，从证书创建请求消息中识别将被创建的证书的类型和内容并提取证书生成请求令牌(步骤S1202)。

接下来，证书生成请求接收装置12参考存储在访问控制策略存储部分21中的安全策略，作出是否接受来自服务提供设备3的证书创建请求的批准/不批准决定(步骤S1203)。当决定证书生成请求是不可接受的(否)时，证书生成请求接收装置12创建出错消息(步骤S1204)并将该出错消息发送回服务提供设备3(步骤S1211)。

另一方面，当在步骤S1203中作出接受证书生成请求的批准决定(是)时，证书生成请求接收装置12向证书生成请求令牌管理装置13发送所提取的证书生成请求令牌。

证书生成请求令牌管理装置13从证书生成请求令牌存储部分22获得与接收到的证书生成请求令牌有关的证书标识符。证书生成请求令牌管理装置13向证书管理装置16发送证书标识符。

证书管理装置16基于证书标识符从证书信息存储部分24获得对应的证书(步骤S1205)，并将该证书发送回证书生成请求接收装置12。

证书生成请求接收装置12从证书中描述的信息中获得与证书有关的用户标识符以及其会话标识符，并将用户标识符和会话标识符与关于服务提供设备3的信息一起发送到用户信息管理装置11。

用户信息管理装置11基于用户标识符、会话标识符和关于服务提供设备3的信息，从用户信息存储部分20获得关于用户的信息和与服务提供设备3有关的会话信息(步骤S1206)，并向证书生成请求接收装置12发送该信息。

接下来，证书生成请求接收装置12请求证书生成装置14生成伴随有关于用户的信息的证书及其会话信息，所述用户与服务提供设备3有关。

证书生成装置14从设备信息存储部分23获得必需信息作为与服务提供设备3有关的信息，使用与用户有关的信息及其会话信息生成所请求的证书(步骤S1207)，并向证书生成请求接收装置12输出该证书。证书生成请求接收装置12向证书生成请求令牌管理装置13发送新创建的证书。

步骤S1208到步骤S1210的后续处理与图11中的步骤S1105到S1107的处理的内容实质上是相同的。证书生成请求令牌管理装置13生成针对不同于服务提供设备3的服务提供设备的证书生成请求令牌，以通过生成随机数作出证书生成请求(步骤S1208)，并管理与显示出已经接收到证书生成请求令牌的证书有关的证书生成请求令牌(步骤S1209)。证书生成请求令牌生成装置13向证书生成请求接收装置12发送所生成的证书生成请求令牌。

证书生成请求接收装置12创建伴随有从证书生成请求令牌管理装置13接收的证书生成请求令牌和步骤S1208中获得的证书的对证书分发请求的应答消息(步骤S1210)，并将该应答消息发送回服务提供设备3(步骤S1211)。

在以上描述中考虑了服务提供设备3担当服务转交设备并且还对其它服务提供设备进行转交的情况，然而当服务提供设备3不担当服务转交设备时，服务提供设备2不执行步骤S1208和S1209中的处理。然后，在步骤S10中，服务提供设备2创建仅附着有证书的对证书分发请求的应答消息。

接下来，将参考图13到图16描述服务转交设备2或服务提供设备3的操作。

将参考图13描述当服务提供设备3接收服务访问请求时的操作。图13是示出了当服务提供设备3接收服务访问请求时的处理示例的流程图。

服务提供设备3准备好从用户(终端设备4)或服务转交设备2接收预定的请求消息。此外，服务提供设备3准备好向认证设备1发送预定的请求消息。

在接收到访问请求后，服务提供设备3分析该消息并执行与该请求的内容相对应的操作处理。此外，服务提供设备3执行由预定事件触发的创建请求消息等的操作处理。以下将描述服务提供设备3接受代理访问的处理，这是本发明的特征操作。

将参考图13描述在服务提供设备3从用户(终端设备4)或服务转交设备2接收到针对服务提供设备3所发行的服务的访问请求的情况下的操作。

服务提供设备3发行预定的服务。在从用户(终端设备4)或服务转交设备2接收到针对发行服务的访问请求(步骤S1301)后，服务提供部分3的服务管理部分7的服务访问接收装置70检查与访问请求有关的用户认证是否必要(步骤S1302)。当与发行服务有关的认证不必要时或当访问请求包括会话标识符或证书等时，并且当从而可以认证用户并且新的认证处理不必要时(否)，服务信息管理装置71创建声明将提供发行服务的应答消息(步骤S1309)，并且服务访问接收装置70将该应答消息发送回访问请求的请求者(步骤S1310)。

另一方面，当与访问请求有关的用户认证是必须的时(是)，服务访问接收装置70分析该访问请求，获得(提取)证书生成请求令牌并标识认证设备(步骤S1303)。

接下来，服务访问接收装置70从服务信息管理装置71获得接收服务访问所必须的证书类型(步骤S1304)，并将证书的类型和证书生成请求令牌一起发送到证书生成请求装置80。在稍后将要描述的从步骤S1601到步骤S1611的处理中，证书生成请求装置80从发布证书生成请求令牌的认证设备1接收所请求的证书，并向服务访问接收装置70发送该证书。此外，证书验证装置62验证接收到的证书(步骤S1305)。

接下来，服务访问接收装置70检查证书验证结果的内容(步骤S1306)。当证书验证结果是正确的并且证书是适当的证书时(是)，服务访问接收装置70将证书的描述内容或服务信息管理装置71所管理的关于用户的信息与访问控制策略存储部分72中存储的安全策略相关联(步骤S1307)。

当检查关联结果(步骤S1308)并接受服务访问(是)时，服务信息管理装置71创建应答消息以提供服务(步骤S1309)。另一方面，当由于关联的缘故服务访问未被接受(否)时，服务信息管理装置71创建声明服务访问未被接受的出错消息(步骤S1311)，并且服务访问接收装置70将该出错消息发送回访问请求的请求者(步骤S1310)。

另一方面，当步骤S1306中证书验证结果不正确(否)时，服务信息管理装置71创建声明服务访问未被接受的出错消息(步骤S1311)，并且服务访问接收装置70将该出错消息发送回访问请求的请求者(步骤S1310)。

接下来，将参考图14描述当服务转交设备2转交针对服务提供设备3的服务的访问时的操作。图14是示出服务转交设备2转交对服务提供设备3的访问的流程图。

针对服务提供设备3提供的服务，服务转交设备2的服务访问转交装置50从用户(终端设备4)接收服务访问请求(步骤S1401)。

此后，服务转交设备2创建用于请求针对认证设备1的证书生成请求令牌，并向认证设备1发送该消息(步骤S1402)。

接下来，服务转交设备2从认证设备1接收伴随着与服务访问请求的用户有关的证书生成请求令牌的应答消息(步骤S1403)，服务访问请求是认证设备1通过图11中所示的操作创建的。

接下来，证书生成请求令牌获得装置61从对证书分发请求的应答消息中提取证书生成请求令牌(步骤S1404)。然后，服务访问转交装置50使用预定协议为服务提供设备3发行的服务创建服务访问请求消息(步骤S1405)，将证书生成请求令牌附着在服务访问请求消息上(步骤S1406)，并向服务提供设备3发送服务访问请求消息(步骤S1407)。

接下来，服务访问转交装置50从服务提供设备3接收应答消息(步骤S1408)，并基于应答消息的内容，向终端设备4发送针对服务提供设备3的服务转交结果的内容(步骤S1409)。

将参考图15描述服务转交设备2接收从认证设备1分发的证书时的操作。图15是示出服务转交设备2从认证设备1接收证书时的处理示例的流程图。

服务转交设备2的证书分发请求装置51使用预定的通信协议创建证书分发请求消息(步骤S1501)。在这种情况下，证书分发请求消息存储可以标识对应于预定协议的其分发被请求的证书。然后，证书分发请求装置51向预定认证设备1的证书分发请求接收装置15发送证书分发请求消息(步骤S1502)。

接下来，在已经将通信置于待命状态后，证书分发请求装置51从认证设备1的证书分发请求接收装置15接收对证书分发请求的应答消息(步骤S1503)。

接下来，证书分发请求装置51分析应答消息(步骤S1504)，提取证书(步骤S1505)，并向证书验证装置62发送该证书。证书验证装置62验证该证书并检查内容是否已被篡改以及是否已由认证设备1对内容进行了描述(步骤S1506)。当确认证书是非法的时(否)，立即结束处理。

另一方面，当确认证书是适当的时(是)，证书分发请求装置51分析应答消息，并调查是否包括了任何的证书生成请求令牌(步骤S1507)。

在步骤S1507中，当证书分发请求装置51判断包括证书生成请求令牌时(是)，证书分发请求装置51向证书生成请求令牌获得装置61发送证书生成请求令牌。此外，证书生成请求令牌获得装置61分析证书生成请求令牌(步骤S1508)并且证书验证装置62将证书存储在证书信息存储部分65中(步骤S1509)。

另一方面，当证书分发请求装置51在步骤S1507中判断应答消息中没有包括证书生成请求令牌时(否)，证书验证装置62将证书存储在证书信息存储部分65中(步骤S1509)并结束处理。

接下来，将参考图16描述当服务提供设备3请求认证设备1生成证书并分发所请求的证书时的操作。图16是示出当服务提供设备3向认证设备1请求证书并接收该证书时的处理示例的流程图。

服务提供设备3的服务管理部分7中的服务访问接收装置70接收服务转交设备2的服务访问转交装置50所发送的证书生成请求令牌和服务访问请求(步骤S1601)。

之后，服务提供设备3的服务提供设备证书管理部分66中的证书生成请求令牌分析装置661分析证书生成请求令牌(步骤S1602)。作为分析结果，证书生成请求令牌分析装置661获得包括在发布证书生成请求令牌的认证设备1的证书生成请求令牌中的标识符信息，并向认证设备信息管理装置60发送标识符信息。

认证设备信息管理装置60从认证设备1的标识符信息获得详细的信息(如认证设备1的网络上的地址)(步骤S1603)，并向证书生成请求装置80发送该详细的信息。

证书生成请求装置80使用预定通信协议由关于认证设备1的详细信息创建指向认证设备1的服务提供设备3的证书生成请求消息(步骤S1604)，将证书生成请求令牌附着在证书生成请求消息上(步骤S1605)，并向认证设备1的证书生成请求接收装置12发送证书生成请求消息(步骤S1606)。

此后，证书生成请求装置80转变到通信等待状态，然后从认证设备1的证书生成请求接收装置12接收应答消息(步骤S1607)，并如同步骤S1506到S1509中的处理的情况一样，验证和存储包括在应答消息中的证书(步骤S1608至S1611)。

在上述第一示例性实施方式的操作中，发布指向代理访问目标设备(服务提供设备3)的证书的时刻是认证设备1接收证书生成请求消息的时刻，然而也可以在认证设备1发布指向服务提供设备3的证书生成请求令牌时发布针对服务提供设备3的证书。在这种情况下，当生成证书生成请求令牌时，生成证书并对证书信息存储部分24进行注册。此外，当认证设备1接收服务提供设备3发送的证书生成请求消息时，证书生成请求接收设备12使用证书管理装置16搜索证书信息存储部分24，获得证书并对服务提供设备3进行响应。例如，指向服务提供设备3的证书意味着证书在服务提供设备3中是有效的。

根据第一示例性实施例，通过绕过终端设备，经由认证设备和服务提供设备之间的直接通信来执行与用户有关的证书的生成和分发。因此，由于经由终端设备重新指向的数目减少并且执行通信的次数减少，提高通信的效率是可能的。

例如，即使做出尝试，通过使用非专利文献1中描述的技术将用户中介的功能增加到第一SP上来绕过任何用户中介以实现对第二SP的代理访问，通信也变得没有效率。

将要描述下面的情况，其中，通过应用非专利文献1中描述的证书生成/分发系统，第一SP尝试针对IdP 100所认证的并且访问第一SP的服务器的用户代理访问与第一SP不同的第二SP。在这种情况下，第二SP需要从IdP 100分发与用户有关的证书。

将要描述下面的情况，其中，将用户中介的功能增加到第一SP，从而通过绕过用户中介，使用非专利文献1中描述的技术来实现对第二SP的代理访问。将参考图2来描述通过绕过用户中介实现代理访问的处理流程的示例。

图2示出了通过应用非专利文献1中描述的证书生成/分发系统来执行代理访问处理的情况的示例。向图2中示出的证书生成/分发系统提供SP 121(第一SP)而不是图1中示出的SP 101。此外，向图2中示出的证书生成/分发系统提供未向图1中示出的系统提供的SP 122(第二SP)。图2示出了用户首先访问SP 121，然后SP 121代表用户访问SP 122的示例。

图2中示出的证书生成/分发系统执行与图1中示出的相关技术的证书生成/分发系统相同的处理，直到用户访问SP 121(从步骤S1到步骤S7)。从步骤S8向前的处理是SP 121借以访问服务(SP 122)以及SP 122借以提供服务的处理，而不是图1中示出的用户中介102借以访问SP 101以及SP 101提供服务的处理。

首先，当SP 121获得用户的认证断言时，SP 121执行执行对作为用户中介的SP 122的代理访问(步骤S8)。SP 122向IdP 100发送认证请求消息，以认证访问实体(步骤S9-a)，并且SP 121将认证请求消息从SP 122重新定向到IdP 100(步骤S9-b)。

IdP 100在步骤S1中确认已经对用户进行了认证，并创建用于证明已经对用户进行了认证的认证证书(认证断言)(步骤S10)，该认证证书是以XML描述的。向SP 122发布该认证证书，并且该认证证书不同于步骤S4中针对SP 121创建的认证证书。

此外，IdP 100创建人工产物，人工产物起针对所创建的认证断言的票的作用，并将人工产物发送回SP 121(步骤S11-a)。SP 121将接收到的人工产物重新定向到SP 122(步骤S11-b)。SP 122接收该人工产物，将接收到的人工产物发送到IdP 100并请求对应的认证断言(步骤S12)。

IdP 100检查从SP 122接收到的人工产物，并将对应的认证断言发送回SP 122(步骤S13)。SP 122检查从IdP 100接收到的认证断言的真实性，使用SP 122的安全策略验证是否接受用户的服务访问请求，并在接受访问请求时开始向SP 121提供服务(步骤S14)。这完成了SP 121的代理访问，并且最终SP 121向用户中介提供服务(步骤S15)。

如上所述，即使做出尝试，通过使用非专利文献1中描述的技术将用户中介的功能增加到第一SP上来绕过用户中介以实现对第二SP的代理访问，第二SP也需要经由第一SP执行和第一SP已经执行的认证处理(步骤S3-a到S7)相同的认证处理(步骤S9-a到S13)。这使得处理变得复杂并使得通信没有效率。通过对比，根据本示例性实施例，通过认证设备和服务提供设备之间的直接通信来执行与用户有关的证书的生成和分发，从而降低了经由终端设备重新定向的数目并降低了执行通信的次数，从而可以提高通信的效率。

当与通过将用户中介的功能增加到服务转交设备来实现对服务提供设备的代理访问的情况相比较，第一示例性实施例降低了经由服务转交设备重新定向的数目并降低了执行通信的次数，从而可以提高通信的效率。

此外，在服务转交设备和服务提供设备之间交换信息量比证书少的证书生成请求令牌而不是证书本身。这降低了通信执行的次数并降低了伴随着证书分发的通信量，以及提高了效率。

此外，根据第一示例性实施例，已接收到证书生成请求令牌的服务提供设备使用证书生成请求令牌向认证设备作出证书生成请求，以及认证设备在接收到证书生成请求后生成证书。从而，认证设备不再需要事先生成并管理证书(证书的使用或不使用是未知的)或生成不需要的证书，从而可以降低与证书生成相对应的处理成本或管理成本。

此外，根据第一示例性实施例，在服务转交设备和服务提供设备之间交换用于请求生成与用户有关的证书的证书生成请求令牌。证书生成请求令牌本身不包括足以识别用户的信息。从而，防止在与证书的生成和分发相对应的处理操作中泄露机密信息并保护隐私是可能的。

(第二示例性实施例)

接下来，将参考附图描述本发明的第二示例性实施例。

图17是示出根据第二示例性实施例的服务转交装置30的配置示例的方框图。如图17所示，根据第二示例性实施例的服务转交设备30与第一示例性实施例的不同在于，除了图6中示出的第一示例性实施例的服务转交设备2的配置外，服务转交设备30包括服务管理部分7、证书生成请求装置80和服务提供设备证书管理部分66。与根据第一示例性实施例的服务转交设备2中相似的组件将被分配与图6中相同的附图标记，并且省略对其的描述。

第二示例性实施例的证书生成/分发系统的优选方面在于：向证书生成/分发系统提供了例如图4中示出的认证设备1、服务转交设备2、服务提供设备3和终端设备4。认证设备1、服务转交设备2、服务提供设备3和终端设备4经由网络45彼此连接。

如图5所示，向第二示例性实施例的证书生成/分发系统的认证设备1提供以下设备：用户认证装置10，用于参考用户信息存储部分20中的用户信息管理装置11所管理的用户信息，使用预定的认证方案认证用户；证书生成请求接收装置12，用于从另外的服务提供设备接收证书生成请求，参考访问控制策略存储部分21所管理的安全策略，根据包括在证书生成请求中的所请求的证书的类型和证书生成请求令牌来做出是否接受证书请求的决定，并经由证书生成装置14生成并分发所请求的证书；证书分发请求接收装置15，用于从另外的服务提供设备接收已经生成的证书分发请求，基于证书分发请求获得并经由证书管理装置16分发其分发被请求的证书；证书生成请求令牌管理装置13，用于发布证书生成请求令牌并管理证书生成请求令牌存储部分22中的证书生成请求令牌，证书生成请求令牌是与已被请求以从其他服务提供设备接收证书生成请求的证书有关的标识符；证书生成装置14，用于关于与来自其他服务提供设备的证书生成令牌中包括的证书生成令牌有关的用户，基于存储在设备信息存储部分23中的服务提供设备信息来生成已被请求的证书，并管理证书信息存储部分24中的证书；以及证书管理装置16，用于管理证书生成设备生成的与证书信息存储部分中的证书的标识符有关证书。

如图10和图17所示，向根据第二示例性实施例的证书生成/分配系统的服务转交设备30提供以下装置：服务访问接收装置70，用于响应于来自用户的服务访问请求参考，参考访问控制策略存储部分72所管理的安全策略，使用存储在服务管理部分7的服务信息存储部分73中并由服务信息管理装置71管理的服务信息来发行预定服务，以及用于准许仅访问预定的用户；服务访问转交装置50，用于从来自用户或来自不同于所述服务转交设备的服务转交设备的服务访问请求，接收服务访问请求(第一服务访问请求)，然后向服务提供设备作出服务访问请求(第二服务访问请求)，该服务访问请求不同于关于使用包括证书生成请求令牌在内的预定通信协议作出了所述服务访问请求的用户的服务访问请求，以及向证书管理部分6提供验证证书、分析证书生成请求令牌和管理认证设备信息的功能。

如图8、图9和图10所示，向第二示例性实施例的证书生成/分发系统的服务提供设备3提供：服务访问接收装置70，用于响应于来自用户的请求，参考访问控制策略存储部分72所管理的安全策略，使用存储在服务管理部分7的服务信息存储部分73中并由服务信息管理装置71管理的服务信息来发行预定的服务以及准许仅访问预定的用户；以及证书生成请求装置80，用于基于证书生成请求令牌和服务提供设备证书管理部分66所管理的认证设备信息来创建和发送其上附着有证书生成请求令牌的消息，以向认证设备进行证书生成请求。

如图7所示，向根据第二示例性实施例的证书管理部分6提供：证书生成请求令牌获得装置61，用于生成随机变量并管理该变量作为与证书有关的证书生成请求令牌；认证设备信息管理装置60，用于管理与关于认证设备信息存储部分63中的认证设备信息的详细信息有关的认证设备标识符信息；以及证书验证装置62，用于使用预定的通信协议，基于关于认证设备信息管理装置的认证设备信息来向认证设备发送已经生成的证书的分发请求，验证从认证设备分发的证书，当验证证书是合适的时，在证书信息存储部分65中存储并管理该证书。

通过采用上述的配置，在服务转交设备和服务提供设备之间交换证书生成请求令牌，通过接收到证书生成请求令牌的服务提供设备使用证书生成请求令牌来动态地向服务提供设备请求具有针对认证设备的证书生成请求令牌的新证书，通过认证设备动态地创建证书并向服务提供设备分发该证书，将实现本发明的目的。

接下来，将参考图18描述第二示例性实施例的操作。图18是示出服务转交设备30转交服务请求并进一步地向另外的设备或用户提供服务的处理示例的流程图。在图18示出的示例中，执行步骤S1312中的处理而不是图13中的步骤S1303，并增加步骤S1313、S1314和S1315中的处理。图18中的步骤S1301、S1302、S1304到S1310中的处理与示例性实施例1中的处理(参见图13)相似，从而将省略对其的描述。

在步骤S1312中，证书分发请求装置51判断证书生成请求令牌是否包括在指向服务转交设备30的服务访问请求消息中。在判断包括证书生成请求令牌后(是)，证书分发请求装置51执行与第一示例性实施例的服务提供设备3的处理(步骤S1304和步骤S1305)相同的处理，并移动到步骤S1315。

当在步骤S1312中判断没有包括证书生成请求令牌(否)后，服务转交设备30向认证设备1发送认证请求消息(步骤S1313)。然后，服务转交设备30执行与图15中示出的服务转交设备2的处理(步骤S1501到步骤S1509)相同的处理并获得证书(步骤S1314)。

在获得证书后，服务管理部分7判断是否执行代理访问并根据需要执行代理访问(步骤S1315)。然后，执行步骤S1306到S1310中的处理。

在第二示例性实施例中，服务提供设备(服务转交设备)可以执行到另外的服务提供设备的代理访问。这使得可以重复地执行对服务的代理访问，从而降低了服务提供设备和认证设备之间的通信量。

(第三示例性实施例)

接下来，将参考附图描述本发明的第三示例性实施例。

图19是示出根据第三示例性实施例的认证装置8的配置示例的方框图。如图9所示，根据第三示例性实施例，除了根据图5中示出的第一示例性实施例的认证设备1的配置之外，认证设备8包括证书分发范围限制装置85。

图20是示出根据第三示例性实施例的服务转交装置9的配置示例的方框图。如图20所示，第三示例性实施例的不同在于：除了图6中示出的第一示例性实施例中的服务转交设备2的配置外，服务转交设备9包括服务管理部分7和证书分发范围指定装置86。服务管理部分7的配置与示例性实施例2的配置(参见图17)类似，从而将省略对其的描述。

图20中示出的服务转交设备9中的证书分发范围指定装置86将用于指定证书的分发范围的信息增加到证书分发请求装置51向认证设备8发送的证书分发请求消息。例如，用于指定证书的分发范围的信息是服务提供设备3的列表，将被从认证设备8发送回的证书生成请求令牌被分发到这些服务提供设备3，并且在这些服务提供设备3中证书生成请求令牌是有效的。

在第三示例性实施例中，证书分发请求接收装置15从服务转交设备9接收证书分发请求消息。证书分发请求消息包括关于服务提供设备3的列表的信息，可以为这些服务提供设备3新生成并分发证书。

图19中示出的认证设备8的证书分发范围限制装置85基于证书分发请求消息中指定的服务提供设备3的列表信息判断在服务提供设备3的列表中创建和分发证书是否有任何问题。当判断没有问题时，证书分发范围限制装置85使用新生成的证书生成令牌，使得当其后接收到来自服务提供设备3的证书生成请求时，能够接受仅针对包括在服务提供设备3的列表中的服务提供设备3的证书的生成。更具体地，当证书分发请求接收装置15接收到证书分发请求时，证书分发范围限制装置85生成接受针对包括在列表中的服务提供设备3的证书生成请求的策略，并将该策略增加到访问控制策略存储部分21。

接下来将描述第三示例性实施例的操作。

参考图21，将描述当服务转交设备9向认证设备8进行证书分发请求时的处理。图21是示出服务转交设备9向认证设备8进行证书分发请求的处理示例的流程图。在图21中示出的示例中，在图15中的步骤S1501和步骤S1502之间增加了步骤S1510中的处理。图21中的步骤S1501、S1502到S1509中的处理与示例性实施例1中的处理(参见图15)相似，因此省略对其的描述。

在步骤S1510中，响应于步骤S1501中证书分发请求装置51所创建的证书分发请求消息，证书分发范围指定装置86增加可以考虑将证书分发至的所述服务请求设备3的列表信息。

接下来，将参考图22描述认证设备8从服务转交设备9接收证书分发请求时的处理。图22是示出认证设备8从服务转交设备9接收证书分发请求时的处理示例的流程图。

在图22示出的示例中，在图8中的步骤S1106和步骤S1107之间增加步骤S1110中的处理。图22中步骤S1101到S1106、S1107到S1109中的处理与示例性实施例1中的处理(参见图11)类似，因此将省略对其的描述。

在步骤S1110中，证书分发范围限制装置85提取步骤S1101中接收到的证书分发请求消息中包括的列表信息。该列表信息是示出了服务转交设备9指定的可以向其分发新生成的证书的服务提供设备3的信息。

证书分发范围限制装置85检查证书是否可被新生成并分发到所提取的列表中包括的服务提供设备3，当可以新生成并分发证书时，生成用于接受证书生成请求的策略并将该策略注册至访问控制策略存储部分21。证书分发范围限制装置85所生成的策略是声明当从服务提供设备3接收到关于步骤S1105中生成的证书生成请求令牌的证书生成请求时，将接受该证书生成请求的策略。

在第三示例性实施例中，服务转交设备指定证书生成请求令牌有效的范围。例如，服务转交设备可以指定发送证书的服务提供设备。相应地，认证设备可以限制证书分发。这可以增强对抗证书信息泄露的预防措施。

(第四示例性实施例)

接下来，将参考附图描述本发明的第四示例性实施例。

图23是示出根据第四示例性实施例的服务转交装置40的配置示例的方框图。如图23所示，第四示例性实施例和第一示例性实施例的不同在于，除了图6中示出的第一示例性实施例中的服务转交设备2的配置之外，包括了证书生成请求令牌发布装置41。将为与第一示例性实施例的服务转交设备2中的组件类似的组件分配和图6中的附图标记相同的附图标记，并将省略对其的描述。

图23中示出的服务转交设备40中的证书生成请求令牌发布装置41为认证设备1生成令牌以发布证书。服务转交设备40发布的令牌与第一示例性实施例中的认证设备1所发布的令牌具有相同的结构。

接下来，将参考图24描述第四示例性实施例的操作。图24是示出当服务转交设备40向认证设备1进行证书分发请求时的处理示例的流程图。在图24中示出的示例中，在图14的步骤S1401和步骤S1402之间增加步骤S1410中的处理。图24中步骤S1401、S1402到S1409中的处理与示例性实施例1中的处理(参见图14)相类似，因此将省略对其的描述。

在步骤S1410中，服务转交设备40发布证书生成请求令牌。接下来，在步骤S1402中，当创建用于请求证书生成请求令牌的消息时，服务转交设备40在所创建的消息中包括证书生成请求令牌。后续处理与第一示例性实施例中操作的处理相同。

接下来，将参考图25描述认证设备1从服务转交设备40接收证书分发请求时的处理。图25是示出认证设备1从服务转交设备40接收证书分发请求时的处理示例的流程图。

在图25示出的示例中，删除图11中步骤S1104和步骤S1106之间用于创建证书生成请求令牌的处理(步骤S1105)。认证设备1自身并不发布证书生成请求令牌，而是使用从服务转交设备40发送的证书生成请求令牌。从将证书生成请求令牌与证书相关联的处理(步骤S1106)往前的处理与第一示例性实施例中的操作相同。

在第四示例性实施例中，可以将证书生成请求令牌发布功能从认证设备1移到服务转交设备40。这可以减轻认证设备1消息处理的负担。

示例1

接下来，将参考附图描述本发明的第一示例。这样的示例对应于本发明的第二示例性实施例。

图26示出了本发明的证书生成/分发系统的第一示例。向图26中示出的证书生成/分发系统提供了认证设备200、服务转交设备201、服务提供设备202和终端设备203。向认证设备200、服务转交设备201、服务提供设备202和终端设备203各自都提供第二示例性实施例中示出的功能。

在第一示例中，认证设备200向互联网上预定的用户发行认证服务。服务转交设备201发行服务，作为对预定用户的旅游门户网站。服务提供设备202向预定的用户发行诸如租车预订网站的服务。终端设备203具有通用的Web浏览器功能并由用户进行操作。将认证设备200、服务转交设备201、服务提供设备202和终端设备203各自都连接到诸如互联网的通信网络。

服务转交设备201是实现能够代表用户对跟团旅游进行批量预订的网站的设备。服务转交设备201访问服务提供设备202，服务提供设备202是根据来自用户的旅游预订请求实现附属租车预订网站并根据要求作为用户的代理为用户进行租车预订的设备。

向认证设备200、服务转交设备201、服务提供设备202和终端设备203都提供根据诸如HTTP(超文本传输协议)所定义的通信协议来彼此通信的功能。

用户艾丽丝预先成为管理认证设备200的通信提供商的会员并拥有账户(账户名为艾丽丝200)。此外，艾丽丝还是旅游门户网站和租车预订网站的会员，并具有对应的账户(账户名为aabbcc和xxyyzz)。关联通信提供商的账户，对旅游门户网站和租车预订网站上的账户分别进行管理。

图27示出了认证设备200的用户信息管理装置11所管理的账户对应关系管理表的注册的示例。表27示出了关于艾丽丝的针对每一个设备的账户名(化名)的对应关系管理表的示例。在图27示出的示例中，关联设备名来管理对应的设备所管理的艾丽丝的账户名(化名)。

首先，认证设备不对艾丽丝进行认证，并且在认证设备200、服务转交设备201和服务提供设备202中没有建立关于艾丽丝的会话。

图28是示出第一示例中的证书生成/分发系统的操作示例的程序图。下面，将参考图26和图28来描述第一示例中的证书生成/分发系统的操作。

艾丽丝使用终端设备203访问通信提供商的认证设备200，并接收认证(步骤S300)。在对艾丽丝的认证后，认证设备200为艾丽丝建立会话，向艾丽丝的终端设备203发送与会话的标识符相对应的信息(如，会话cookie)，并且终端设备203接收该会话标识符信息。

接下来，艾丽丝向旅游门户网站的服务转交设备201发送针对旅游预订的服务访问请求(步骤S301)。服务转交设备201从终端设备203接收服务访问请求，并发送认证请求消息以要求认证设备200认证用户(步骤S302)。关于认证请求，例如，采用非专利文献1中所描述的使用SAML的人工产物简档的方法。经由艾丽丝的终端设备203向认证设备200发送认证请求消息。

接收到认证请求的认证设备200从会话中确认已经对艾丽丝进行了认证，并生成指示关于艾丽丝的认证已完成的认证证书以及与认证证书相对应的人工产物(步骤S303)。然后，认证设备200经由终端设备203将人工产物发送回服务转交设备(步骤S304)。

图29示出了认证证书的描述内容的示例。图29中示出的认证证书包括服务转交设备201中使用的关于艾丽丝的化名(aabbcc)。此外，仅在服务转交设备201中定义证书分发的有效范围。

接收到人工产物的服务转交设备201创建伴随着人工产物的证书分发请求消息，并向认证设备200发送证书分发请求消息(步骤305)。

接收到证书分发请求的认证设备200基于该人工产物获得(提取)关于艾丽丝的认证证书。认证设备200创建认证证书和针对服务提供设备202的证书生成请求令牌，并与证书生成请求令牌关联地管理认证证书(步骤S306)。接下来，认证设备200创建对伴随有认证证书和证书生成请求令牌的证书分发请求的应答消息，并将该应答消息发送回服务转交设备201(步骤S307)。

图30示出了对证书分发请求的答复消息的示例。在图30示出的认证证书中，SOAP(简单对象访问协议)头部部分根据基于HTTP的SOAP协议在<cert-req-token>中存储了证书生成请求令牌。此外，在<Response>标签下，SOAP主体部分存储了依照SAML响应协议的图29中示出的认证证书。

此外，图31示出了认证设备200的证书生成请求令牌管理装置13所管理的证书生成令牌和认证证书标识符的对应关系管理表的示例。在证书生成请求令牌存储部分22中，证书生成请求令牌管理装置13像图31中示出的对应关系管理表一样地与认证证书的标识符和用户标识符关联地管理证书生成请求令牌。

图32示出了针对服务提供设备202的认证证书的示例。与图29中示出的认证证书相比，针对服务提供设备202的认证证书在与用户艾丽丝有关的认证设备200生成认证证书以证明艾丽丝的认证结果信息方面是相同的，但在描述内容方面是不同的。例如，图32中示出的认证证书在以下方面是不同的：艾丽丝的化名(xxyyzz)在服务提供设备202中被用作用户信息以及仅针对服务提供设备202定义认证证书的分发范围。

接收到认证证书和证书生成请求令牌的服务转交设备201验证并存储认证证书。

接下来，服务转交设备201针对服务提供设备202创建租车预订请求消息，并发送证书生成请求令牌附着其上的消息(步骤S308)。

图33示出了租车预订请求消息的示例。在租车预订请求消息中，SOAP头部部分基于HTTP上的SOAP存储证书生成请求令牌，并且SOAP主体部分描述了关于租车预订的详细信息。

接收到租车预订请求消息的服务提供设备202提取并分析证书生成请求令牌。然后，服务提供设备202确认该令牌是认证设备200发布的证书生成请求令牌。此外，由于租车预订需要用户的认证证书，创建与用户的认证证书有关的证书生成请求消息并将证书生成请求令牌附着其上向认证设备200发送(步骤S309)。

图34示出了证书生成请求消息的示例。证书生成请求消息是使用基于HTTP的SOAP的消息，并且SOAP头部部分存储了证书生成请求令牌以及SOAP主体部分描述了证书生成请求的细节，如所请求的证书的类型(在此为认证证书)。

接收到证书生成请求消息的认证设备200获得(提取)所附着的证书生成请求令牌。然后，认证设备200参考针对服务提供设备202管理的安全策略，并对关于用户的认证证书的分发做出批准/不批准的决定(步骤S310)。

接下来，认证设备200分析证书生成请求令牌的内容，获得(提取)与证书生成请求令牌有关的证书标识符，并获得示出证书中描述的用户艾丽丝的信息以及与证书生成请求令牌相对应的服务提供设备202的认证证书(步骤S311)。

接下来，认证设备200创建对其上附着有针对服务提供设备202的认证证书的证书生成请求的应答消息，并向服务提供设备202发送该应答消息(步骤S312)。

接收到证书的服务提供设备202验证证书，从所描述的信息中确认已对艾丽丝进行了认证，并且对艾丽丝的租车预订行为作出批准/不批注的决定。作为批注/不批准决定的结果，如果接受该行为，便执行针对艾丽丝的预定租车预订(步骤S313)。然后，服务提供设备202创建对租车预订请求的应答消息，并向服务转交设备201发送该应答消息(步骤S314)。

接收到租车预订应答消息的服务转交设备201检查租车预订信息并完成与针对艾丽丝的旅游预订有关的所有处理。然后，服务转交设备201创建声明已完成旅游预订的应答消息，并向艾丽丝的终端设备203发送该应答消息(步骤S316)。

示例2

接下来，将参考附图描述本发明的第二示例。这样的示例对应于本发明的第一示例性实施例。

图35示出了根据本发明的证书生成/分发系统的第二示例。向图35中示出的证书生成/分发系统提供了认证设备200、服务转交设备201、服务提供设备204和终端设备203。认证设备200、服务转交设备201、服务提供设备204和终端设备203各自包括第一示例性实施例中的功能。

如图35所示，在第二示例中，增加在互联网上建立购买服务作为购买站点的服务提供设备204，而不是第一示例的配置(参见图26)中的租车站点(服务提供设备202)。

购买站点(服务提供设备204)不管理用户信息，并要求第一示例中的旅游门户网站(服务提供设备201)担当代理以执行计费处理。当认证设备200所分发的描述关于用户的预定属性信息的属性证书可用时，购买站点可以从旅游门户网站接收购买请求。还向购买站点的服务提供设备204提供可兼容HTTP的通信功能。

在第一示例的步骤S316完成后，即，在艾丽丝已经由认证设备200进行了认证并且建立起会话的状态下，艾丽丝针对与旅游有关的商品使用终端设备203向旅游门户的服务转交设备201作出购买请求(步骤S317)。

接收到购买请求的服务转交设备201提取在第一示例的步骤S307中接收和存储的与艾丽丝有关的证书生成请求令牌，创建对购买站点上的服务提供设备204的、与旅游有关的商品的购买请求消息，并向服务提供设备204发送附着有证书生成请求令牌的购买请求消息(步骤S318)。

接收到购买请求消息的服务提供设备204获得包括在接收到的消息中的证书生成请求令牌。然后，服务提供设备204创建与证书生成请求令牌有关的用户的属性证书的生成请求消息，并向认证设备200发送证书生成请求令牌附着其上的消息(步骤S319)。

例如，在本示例中，将邮政编码、年龄和偿付能力定义为被请求的属性证书中将要描述的属性信息。图36示出了针对属性证书的生成请求消息的示例。生成请求消息是使用HTTP的SOAP的消息，并且SOAP主体将用户的属性证书定义为其生成是被请求的这种类型的证书，以及将邮政编码(zip-code)、年龄(age)、偿付能力(rate-for-payment)定义为所请求类型的属性信息。

认证设备200接收证书生成请求，获得并分析证书生成请求令牌。然后，认证设备200获得与证书生成请求令牌有关的艾丽丝的认证证书，并新生成与艾丽丝有关的包括邮编编码、年龄和偿付能力的属性证书(步骤S320)。

然后，认证设备200将属性证书发送回服务提供设备204(步骤S321)。图37示出了属性证书的示例。属性证书描述了与用户艾丽丝的邮政编码(zip-code)、年龄(age)、偿付能力(rate-for-payment)有关的属性信息，但是没有描述用户艾丽丝的认证信息或足以识别艾丽丝的信息。

接收到属性证书的服务提供设备204验证该属性证书，检查属性证书中描述的信息并作出是否接受购买请求的批准/不批准决定(步骤S322)。当接受购买请求时，服务提供设备204对所请求的与旅游有关的商品执行购买处理，并将结果发送回服务转交设备201(步骤S323)。

接收到关于购买请求的结果信息的服务转交设备201检查内容，创建对步骤S317中来自艾丽丝的购买请求的应答消息，并发送该应答消息(步骤S324)。

然后，将在服务转交设备201和服务提供设备204之间交换计费信息，然而在此将省略对其的描述。

示例3

接下来，将参考附图描述本发明的第三示例。这样的示例对应于本发明的第一示例性实施例。

图38示出了根据本发明的证书生成/分发系统的第三示例。向图38中示出的证书生成/分发系统提供认证设备400、服务转交设备401、服务提供设备402、终端设备403和终端设备404。认证设备400、服务转交设备401、服务提供设备402、终端设备403和终端设备404各自包括第一示例的功能并可以根据SIP(会话发起协议)彼此进行通信。

向服务转交设备401提供SIP代理的功能。此外，向认证设备400和服务提供设备402提供SIP服务器的功能。终端设备403和终端设备404都是可以发送/接收SIP消息的便携式设备。用户艾丽丝和鲍勃在认证设备400所运行的通信运营商中拥有账户，并可以分别使用终端设备403和终端设备404执行符合SIP的VoIP(语音IP)通信。

艾丽丝通过操作终端设备403使用预定的认证方案从认证设备400接收认证(步骤S330)。在这种情况下，认证设备400生成会话信息和与艾丽丝有关的认证证书。接下来，艾丽丝使用终端设备403向服务转交设备401发送SIP INVITE消息，以尝试使用VoIP呼叫鲍勃(步骤S331)。

接下来，接收到SIP INVITE消息的服务转交设备401使用预定的通信协议向认证设备400作出与用户有关的认证证书的分发请求，以检查与SIP INVITE消息有关的用户的认证状态(步骤S332)。例如，在证书分发请求的消息中存储终端设备403的标识符信息。

接收到证书分发请求的认证设备400检查终端设备403的标识符信息，基于终端标识符信息确认认证请求与艾丽丝有关并检查艾丽丝的会话信息和认证证书。接下来，认证设备400生成证书生成请求令牌，管理与艾丽丝的认证证书有关的证书生成请求令牌(步骤S333)，并向服务转交设备401发送回伴随着证书生成请求令牌和认证证书的证书生成请求令牌(步骤S334)。

接收到对证书生成请求的应答的服务转交设备401获得证书生成请求令牌，创建对服务提供设备402的新的SIP INVITE消息并向服务提供设备402发送其上附着有证书生成请求令牌的SIP INVITE消息(步骤S335)。

从服务转交设备401接收到SIP INVITE消息的服务提供设备402创建其上附着有接收到的证书生成请求令牌的认证证书的证书生成请求消息，并向认证设备400发送证书生成请求消息(步骤S336)。

接收到证书生成请求消息的认证设备400获得证书生成请求令牌，并确认该请求是与艾丽丝有关的认证证书的生成请求。然后，认证设备400生成与艾丽丝有关的认证证书，并将该认证证书发送回服务提供设备402(步骤S337)。

接收到对证书生成请求的响应消息的服务提供设备402获得并验证认证证书以及确认响应消息是来自用户艾丽丝的请求。然后，服务提供设备402检查包括艾丽丝的合同状态等在内的安全策略并对向鲍勃转发SIP INVITE作出批注/不批准的决定(步骤S338)。接下来，服务提供设备402创建从艾丽丝到鲍勃的SIP INVITE消息，并将该SIP INVITE消息发送回鲍勃的终端设备404(步骤S339)。

在终端设备404处从服务提供设备402接收到SIP INVITE消息的鲍勃对终端设备404显示的呼叫作出反应并接受该呼叫。在此，终端设备404发送ACK作为对SIP INVITE消息的应答(步骤S340)。

服务提供设备402从终端设备404接收ACK，并向服务转交设备401发送回ACK(步骤S341)。此外，服务转交设备401向艾丽丝的终端设备403发送回ACK(步骤S342)。艾丽丝可以通过上述的处理开始与鲍勃的通话。

示例4

接下来，将参考附图描述本发明的第四示例。这样的示例对应于本发明的第二示例性实施例。

图39示出了根据本发明的证书生成/分发系统的第四示例。向图39中示出的证书生成/分发系统提供了认证设备200、服务转交设备201、终端设备203、服务转交设备601和服务提供设备600。认证设备200、服务转交设备201、终端设备203、服务转交设备601和服务提供设备600各自包括第二示例性实施例中的功能。

在图39示出的第四示例性实施例中，除了第一示例中的配置(参见图26)以外，提供租车预订网站的服务转交设备601和提供汽车保险服务的服务提供设备600经由例如互联网等通信网络连接。服务转交设备601与根据第一示例的服务提供设备202相对应。

服务提供设备600响应于来自租车预订网站(服务转交设备601)的汽车保险服务请求为用户提供汽车保险。

此外，在第四示例中作为租车预订网站的服务转交设备601除了第一示例的服务提供设备202的功能外，还具有对代表用户请求汽车保险的服务进行转交的功能。第四示例中的租车预订网站(服务转交设备601)在完成租车预订处理之前访问汽车保险网站(服务提供设备600)，执行办理汽车保险的处理，完成租车预订处理并将其通知给用户。

向预定的用户发行认证服务的认证设备200、向预定的用户发行作为旅游门户网站的服务的服务转交设备201以及具有通用的Web浏览器功能的终端设备203具有和第一示例中一样的功能。向所有这些设备提供使用HTTP(超文本传输协议)所定义的通信协议彼此进行通信的功能。

用户艾丽丝预先成为管理认证设备200的通信提供商的会员并拥有账户(账户名为艾丽丝200)。此外，艾丽丝还是旅游门户网站、租车预订网站和汽车保险网站的会员，并拥有对应的账户(账户名为艾丽丝201、艾丽丝601、艾丽丝600)。关联通信提供商的账户，对旅游门户网站、租车预订网站和汽车保险网站上的账户分别进行管理。

图40示出了认证设备200的用户信息管理装置11所管理的账户对应关系管理表的注册示例。表40示出了关于艾丽丝的针对每一个设备的账户名(化名)的对应关系管理表的示例。在图40示出的示例中，关联设备名来管理对应的设备所管理的艾丽丝的账户名(化名)。

开始时，认证设备200没有对艾丽丝进行认证，在认证设备200、服务转交设备201、服务转交设备601和服务提供设备600中没有建立关于艾丽丝的会话。在该条件之后，执行与第一示例中步骤S300到步骤S308中的处理相同的处理，直到租车预订网站(服务转交设备601)从服务转交站点201获得证书生成请求令牌。此后，将描述从步骤S308往前的处理。

在步骤S308中，当运行租车预订网站的服务转交设备601从服务转交设备201获得证书生成请求令牌时，第四示例中的服务转交设备601访问运行汽车保险网站的服务提供设备600而不是发送回服务响应。首先，服务转交设备601创建有(针对服务转交设备601的)证书生成请求令牌附着其上的证书分发请求消息，并向认证设备200发送该证书分发请求消息(步骤S400)。

接收到证书生成请求的认证设备200获得(提取)所附着的证书生成请求令牌。然后，认证设备200参考针对服务转交设备601的安全策略，并对关于用户的认证证书的分发做出批准/不批准的决定(步骤S401)。

接下来，认证设备200分析证书生成请求令牌的内容，获得(提取)与证书生成请求令牌有关的证书标识符，并基于认证结果信息获得示出了证书中描述的用户艾丽丝的信息。

服务认证设备200新生成与艾丽丝有关的(针对服务转交设备601的)认证证书，所述认证证书是基于证书中描述的信息，由更新与服务转交设备601有关的艾丽丝的用户标识符(图40中示出的示例中的xxyyzz)和关于证书的分发范围(在本示例中为服务转交设备601)的信息得到的。

此外，认证设备200基于(针对服务转交设备601的)认证证书新发布针对服务提供设备600的认证证书，生成与该认证证书有关的(针对服务提供设备600)的证书请求令牌，并管理与此有关的证书请求令牌(步骤S402)。

接下来，认证设备200创建对伴随有(针对服务转交设备601的)认证证书和(针对服务提供设备600的)证书生成请求令牌的证书分发请求的应答消息，并向服务转交设备601发送回该应答消息(步骤S403)。

接收到认证证书和证书生成请求令牌的服务转交设备601验证并存储认证证书。接下来，服务转交设备601创建针对服务提供设备600的汽车保险订购请求消息，并向服务提供设备600发送附着有(针对服务提供设备600的)证书生成请求令牌的汽车保险订购请求消息(步骤S404)。

接收到汽车保险订购请求消息的服务提供设备600提取并分析证书生成请求令牌。然后，服务提供设备600确认该令牌是认证设备200发布的证书生成请求令牌。由于办理汽车保险需要用户的(针对服务提供设备600)的认证证书，服务提供设备600创建与用户的认证证书有关的证书生成请求消息，并向认证设备200发送附着有(针对服务提供设备600)的证书生成请求令牌的证书生成请求消息(步骤S405)。

接收到证书生成请求消息的认证设备200获得所附着的证书生成请求令牌，参考针对服务提供设备600管理的安全策略，并对与用户有关的认证证书的生成和分发作出批准/不批准的决定(步骤S406)。

接下来，认证设备200分析证书生成请求令牌的内容，获得(提取)与证书生成请求令牌有关的证书标识符，并基于其认证结果信息获得指示证书中描述的用户艾丽丝的信息。

然后，认证设备200获得与服务提供设备600有关的用户标识符(对应于图40中示出的示例中的“qwerty”)和关于艾丽丝的(针对服务提供设备600)认证证书，认证证书是基于证书中描述的信息，关于证书的分发范围(在本示例中对应于服务提供设备600)的更新信息(步骤S407)。

接下来，认证设备200创建对伴随有针对服务提供设备600的认证证书的证书生成请求的应答消息，并向服务提供设备600发送该应答消息(步骤S408)。

接收到证书的服务提供设备600验证证书，从所描述的信息中确认已对艾丽丝进行了认证，并且对艾丽丝的汽车保险办理行为作出批准/不批注的决定。当批准/不批准决定的结果示出该行为是可接受的时，服务提供设备600执行针对艾丽丝的汽车保险订购流程(步骤S409)。然后，服务提供设备600创建对汽车保险订购请求的应答消息，并向服务转交设备601发送该应答消息(步骤S410)。

接收到汽车保险订购响应消息的服务转交设备601验证步骤S404中获得的证书，从所描述的信息中确认已对艾丽丝进行了认证，并且关于针对艾丽丝的租车预订行为作出批准/不批注的决定。当批准/不批准决定的结果示出该行为是可接受的时，服务转交设备601进行针对艾丽丝预订的租车预订(步骤S411)。后续处理与第一示例中的步骤S314到S316的处理类似。

此后，将描述本发明的效果。第一效果是可以提高设备间为证书的创建和分发执行的通信的效率。这是因为在没有任何用户中介的情况下，可以通过简单的处理从服务设备向认证设备创建和分发证书。

第二效果是可以防止机密信息的泄露。这是因为在服务设备之间交换的证书生成/分发请求令牌本身不包括识别用户的信息。

第三效果是认证设备可以防止证书中描述的信息的泄露。这是因为认证设备严格地限定了证书的有效范围，并可以生成和分发证书，使得证书中描述的有效范围与提供将被分发的服务的服务提供设备相匹配。

第四效果是认证设备可以审计分发证书的服务提供设备。这是因为认证设备可以跟踪并记录所有分发证书的服务提供设备。审计服务提供设备意味着执行以下处理：管理针对服务提供设备的访问日志，并确认没有对服务提供设备的非法访问。

上述示例性的实施例展示出被提供了以下(1)至(5)中示出的特征配置的证书生成/分发系统。

(1)证书生成/分发系统是被提供了以下设备的证书生成/分发系统：认证用户的认证设备、提供服务的服务提供设备以及对服务提供设备的服务提供进行转交的服务转交设备，其中，认证设备包括用于将证书生成请求令牌与第一证书一起发送到服务转交设备的令牌发送装置(如，由证书分发请求接收装置15来实现)，证书生成请求令牌是与服务转交设备中有效的第一证书相对应的信息，服务转交设备包括用于将从令牌发送装置接收到的证书生成请求令牌转发到服务提供设备的转交设备令牌转发装置(如，由服务访问转交装置50来实现)，服务提供设备包括用于当请求在服务提供设备中有效的第二证书时，将从转交设备令牌转发装置接收到的证书生成请求令牌发送到认证设备的证书请求装置(如，由证书生成请求装置80来实现)，以及认证设备包括用于响应于证书请求装置对第二证书的请求，发送基于第一证书生成的第二证书的证书发送装置(如，由证书生成请求接收装置12来实现)，根据第一证书，接收到的证书生成请求令牌与服务提供设备相对应。

(2)以上(1)中的在证书生成/分发系统中，证书发送装置可将证书生成请求令牌与第二证书一起发送到服务提供设备，该证书生成请求令牌是与第二证书相对应的信息，并且服务提供设备可包括用于将证书发送装置所发送的证书生成请求令牌转发到另外的服务提供设备的提供设备令牌转发装置(如，由服务访问转交装置50实现的)。在以这种方式配置的证书生成/分发系统中，服务提供设备可以对另外的服务提供设备进行代理访问。

(3)在以上(1)中的证书生成/分发系统中，服务转交设备可包括用于向认证设备请求第一证书的请求装置(如，由证书分发请求装置51来实现)，当请求第一证书时，请求装置可以向认证设备发送对预定的服务提供设备进行指示的信息(如，由列表信息来实现)，并且证书发送装置可基于接收到的对预定的服务提供设备进行指示的信息来判断是否发送第二证书。以这种方式配置的证书生成/分发系统可以向服务转交设备指定的服务提供设备发送证书。

(4)在以上(1)的证书生成/分发系统中，认证设备可包括用于生成证书生成请求令牌的认证设备令牌生成装置，并且令牌发送装置可以向服务转交设备发送认证设备令牌生成装置所生成的证书生成请求令牌。以这种方式配置的证书生成/分发系统可以使用认证设备生成的证书生成请求令牌。

(5)在以上(1)的证书生成/分发系统中，服务转交设备可包括用于生成证书生成请求令牌的转交设备令牌生成装置，并且令牌发送装置可以接收转交设备令牌生成装置所生成的证书生成请求令牌，并向服务转交设备发送与第一证书相对应的证书生成请求令牌。以这种方式配置的证书生成/分发系统可以使用服务转交设备生成的证书生成请求令牌。

工业实用性

本发明能够应用于互联网上的服务、在例如企业内部网、企业内部系统或承载商系统的网络上构建的分布式系统中的证书生成/分发系统、或用于使计算机实现证书生成/分发系统等的程序。

迄今为止，已参考示例性实施例和示例描述了本发明，然而本发明不限于以上描述的示例性实施例和示例。可以在本发明的范围内对本发明的配置和细节进行本领域技术人员能够理解的各种修改。

本申请基于编号为2007-247597，于2007年9月25日提交的日本专利申请的优先权并要求其好处，将该优先权的公开整体并入此处作为参考。