JPH118619A - 電子証明書発行方法及びシステム - Google Patents
電子証明書発行方法及びシステムInfo
- Publication number
- JPH118619A JPH118619A JP9160798A JP16079897A JPH118619A JP H118619 A JPH118619 A JP H118619A JP 9160798 A JP9160798 A JP 9160798A JP 16079897 A JP16079897 A JP 16079897A JP H118619 A JPH118619 A JP H118619A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- subject
- digital
- electronic
- issued
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 低コストで証明書を発行することとその発行
の際のセキュリティ強度を高めること。 【解決手段】 証明書を発行してもらう被認証者に対し
て認証局がネットワークを介して電子証明書を発行する
電子証明書発行方法であって、ある認証局が既に発行し
た公開鍵の電子証明書とその電子証明書における被認証
者の公開鍵に対して、前記電子証明書で証明済の鍵でデ
ジタル署名を施したものと発行を要求する証明書名の入
力を受け、前記被認証者のデジタル署名が妥当であるか
否かを検証し、妥当であると検証できたときは、前記電
子証明書で発行可能な証明書のリストと照合し、前記被
認証者が要求した証明書が発行可能である場合には、送
信された電子証明書の検証を行い、検証できた場合に、
前記被認証者の公開鍵を認証した電子証明書を発行す
る。
の際のセキュリティ強度を高めること。 【解決手段】 証明書を発行してもらう被認証者に対し
て認証局がネットワークを介して電子証明書を発行する
電子証明書発行方法であって、ある認証局が既に発行し
た公開鍵の電子証明書とその電子証明書における被認証
者の公開鍵に対して、前記電子証明書で証明済の鍵でデ
ジタル署名を施したものと発行を要求する証明書名の入
力を受け、前記被認証者のデジタル署名が妥当であるか
否かを検証し、妥当であると検証できたときは、前記電
子証明書で発行可能な証明書のリストと照合し、前記被
認証者が要求した証明書が発行可能である場合には、送
信された電子証明書の検証を行い、検証できた場合に、
前記被認証者の公開鍵を認証した電子証明書を発行す
る。
Description
【0001】
【発明の属する技術分野】本発明は、公開鍵暗号方式を
用いたオープンなネットワーク上で行われる電子証明書
発行およびシステムに関し、特に低コストで証明書を発
行できる電子証明書発行方法およびシステムに適用して
有効な技術に関するものである。
用いたオープンなネットワーク上で行われる電子証明書
発行およびシステムに関し、特に低コストで証明書を発
行できる電子証明書発行方法およびシステムに適用して
有効な技術に関するものである。
【0002】
【従来の技術】近年では、インターネットなどオープン
なネットワーク上で電子商取引が行われているが、イン
ターネットを用いて電子商取引を行う場合には個人情報
等のデータのやり取りの安全性が問題となっている。
なネットワーク上で電子商取引が行われているが、イン
ターネットを用いて電子商取引を行う場合には個人情報
等のデータのやり取りの安全性が問題となっている。
【0003】つまり、データの漏洩や、改竄、配送元の
なりすまし等の犯罪を比較的容易に行うことができるか
らである。
なりすまし等の犯罪を比較的容易に行うことができるか
らである。
【0004】このような問題に対して、従来では、共通
鍵暗号方式や、公開鍵暗号方式といった暗号化方式を使
って、安全なデータのやり取りが実現されている。
鍵暗号方式や、公開鍵暗号方式といった暗号化方式を使
って、安全なデータのやり取りが実現されている。
【0005】ここで、共通鍵暗号方式とは、暗号化する
時に使用する鍵と復号化する時に使用する鍵が同じであ
る暗号方式であり、暗・復号速度が高速なので、大量の
データを暗号化するのに適している。
時に使用する鍵と復号化する時に使用する鍵が同じであ
る暗号方式であり、暗・復号速度が高速なので、大量の
データを暗号化するのに適している。
【0006】これに対して公開鍵暗号方式とは、他者に
見せない鍵(秘密鍵)と、それに対応する、他者に公開
する鍵(公開鍵)とのペアからなり、一方の鍵を使用し
て作られた暗号文は、ペアのもう一方の鍵を使用しなけ
れば復号化できない方式であり、また、一方の鍵からも
う片方の鍵を類推することは困難であるという性質をも
っており、不特定多数の人と通信することに適してい
る。
見せない鍵(秘密鍵)と、それに対応する、他者に公開
する鍵(公開鍵)とのペアからなり、一方の鍵を使用し
て作られた暗号文は、ペアのもう一方の鍵を使用しなけ
れば復号化できない方式であり、また、一方の鍵からも
う片方の鍵を類推することは困難であるという性質をも
っており、不特定多数の人と通信することに適してい
る。
【0007】また、これらの他にも認証局という、信頼
できる第3者機関が発行した電子証明書(以下、証明書
と記す)を使用することにより、通信相手の身元を証明
し、通信元のなりすましを防止する方法が提案されてい
る。
できる第3者機関が発行した電子証明書(以下、証明書
と記す)を使用することにより、通信相手の身元を証明
し、通信元のなりすましを防止する方法が提案されてい
る。
【0008】この認証局が証明書を発行する手順は、次
の通りである。
の通りである。
【0009】まず、被認証者が認証局に対して発行要求
メッセージを送り、認証局から認証局の証明書を入手す
る。認証局の証明書を受理した被認証者は、証明書を検
証する。その証明書が、上位認証局により発行されてい
た場合、その上位認証局の証明書を入手することを繰り
返す。最終的に信用できる最上位の認証局の証明書を検
証することにより判断する。検証できたときは、認証局
に対して、発行の申請を行う証明書の種類がわかるよう
な情報および登録フォーム要求メッセージを送る。ここ
で、登録フォームとは、証明書発行に必要な事柄を記入
するフォームである。
メッセージを送り、認証局から認証局の証明書を入手す
る。認証局の証明書を受理した被認証者は、証明書を検
証する。その証明書が、上位認証局により発行されてい
た場合、その上位認証局の証明書を入手することを繰り
返す。最終的に信用できる最上位の認証局の証明書を検
証することにより判断する。検証できたときは、認証局
に対して、発行の申請を行う証明書の種類がわかるよう
な情報および登録フォーム要求メッセージを送る。ここ
で、登録フォームとは、証明書発行に必要な事柄を記入
するフォームである。
【0010】このメッセージを受理した認証局は、証明
書の種類を確定しその証明書発行に必要な項目を記入す
る登録フォームにデジタル署名をつけて被認証者に送
る。
書の種類を確定しその証明書発行に必要な項目を記入す
る登録フォームにデジタル署名をつけて被認証者に送
る。
【0011】ここで、デジタル署名とは、具体的には、
署名したいメッセージをハッシュ関数とよばれる特殊な
関数を用いて、一定の長さのハッシュ値とよばれる値に
変換したものを作成し、そのハッシュ値に対してメッセ
ージ作成者の秘密鍵で暗号化することである。ハッシュ
値は一意に定まるため、受け取ったメッセージのハッシ
ュと、受け取ったデジタル署名を公開鍵で復号化したも
のが一致するかどうかを確認することにより、メッセー
ジの改竄を確認することができる。
署名したいメッセージをハッシュ関数とよばれる特殊な
関数を用いて、一定の長さのハッシュ値とよばれる値に
変換したものを作成し、そのハッシュ値に対してメッセ
ージ作成者の秘密鍵で暗号化することである。ハッシュ
値は一意に定まるため、受け取ったメッセージのハッシ
ュと、受け取ったデジタル署名を公開鍵で復号化したも
のが一致するかどうかを確認することにより、メッセー
ジの改竄を確認することができる。
【0012】デジタル署名つき登録フォームを受け取っ
た被認証者は、署名を確認し、確認できたとき、被認証
者の登録鍵、すなわち公開鍵と秘密鍵を生成し、公開鍵
と登録者本人であることの根拠となる個人情報、たとえ
ば口座番号とを暗号化して認証局に送る。
た被認証者は、署名を確認し、確認できたとき、被認証
者の登録鍵、すなわち公開鍵と秘密鍵を生成し、公開鍵
と登録者本人であることの根拠となる個人情報、たとえ
ば口座番号とを暗号化して認証局に送る。
【0013】認証局は、送られてきたメッセージを復号
化して、登録者本人であることの根拠となる個人情報
を、その情報に関する機関に問い合わせることによって
確認する。例えば、個人情報として口座番号を用いた場
合は、銀行に問い合わせることになる。問い合わせた結
果、情報が正しいならば、被認証者の公開鍵の証明書を
作成し、この証明書を被認証者へ送る。
化して、登録者本人であることの根拠となる個人情報
を、その情報に関する機関に問い合わせることによって
確認する。例えば、個人情報として口座番号を用いた場
合は、銀行に問い合わせることになる。問い合わせた結
果、情報が正しいならば、被認証者の公開鍵の証明書を
作成し、この証明書を被認証者へ送る。
【0014】以上のような手順は、例えば、SET(Secure
Electronic Transaction Specification ,Draft for t
esting, June 17,1996, MasterCard, VISA)で用いられ
ている。
Electronic Transaction Specification ,Draft for t
esting, June 17,1996, MasterCard, VISA)で用いられ
ている。
【0015】
【発明が解決しようとする課題】本発明者は、上記従来
技術を検討した結果、以下の問題点を見いだした。
技術を検討した結果、以下の問題点を見いだした。
【0016】証明書発行の際に登録者本人であることを
確認する従来の方法は、被認証者から認証局へ口座番号
を送り、認証局がその口座番号が正しいかどうかを銀行
に確認することによって行われている。
確認する従来の方法は、被認証者から認証局へ口座番号
を送り、認証局がその口座番号が正しいかどうかを銀行
に確認することによって行われている。
【0017】この方法では、証明書発行の際に口座番号
の確認を認証局とは別の機関(銀行)に依頼しているた
め、コストが大きくなるという問題点がある。
の確認を認証局とは別の機関(銀行)に依頼しているた
め、コストが大きくなるという問題点がある。
【0018】また、暗号化されているとはいえ、証明書
とは直接関係のない個人情報が、オープンなネットワー
ク上を通過するという問題点もある。
とは直接関係のない個人情報が、オープンなネットワー
ク上を通過するという問題点もある。
【0019】本発明の目的は、被認証者が既に取得して
いる証明書を本人認証の根拠とすることにより、本人認
証のコストを下げ、証明書発行にかかるコストを下げる
ことが可能な技術を提供することにある。
いる証明書を本人認証の根拠とすることにより、本人認
証のコストを下げ、証明書発行にかかるコストを下げる
ことが可能な技術を提供することにある。
【0020】本発明の他の目的は、証明書発行依頼の際
に、既に発行されている証明書を基に個人情報(例え
ば、口座番号)というプライバシーおよびセキュリティ
上に問題のある情報を送信せずに済ませることにより、
全体のセキュリティ強度を高めることが可能な技術を提
供することにある。
に、既に発行されている証明書を基に個人情報(例え
ば、口座番号)というプライバシーおよびセキュリティ
上に問題のある情報を送信せずに済ませることにより、
全体のセキュリティ強度を高めることが可能な技術を提
供することにある。
【0021】本発明の前記ならびにその他の目的と新規
な特徴は、本明細書の記述及び添付図面によって明らか
になるであろう。
な特徴は、本明細書の記述及び添付図面によって明らか
になるであろう。
【0022】
【課題を解決するための手段】本願において開示される
発明のうち、代表的なものの概要を簡単に説明すれば、
下記のとおりである。
発明のうち、代表的なものの概要を簡単に説明すれば、
下記のとおりである。
【0023】証明書を発行してもらう被認証者に対して
認証局がネットワークを介して電子証明書を発行する電
子証明書発行方法であって、ある認証局が既に発行した
公開鍵の電子証明書とその電子証明書における被認証者
の公開鍵に対して、前記電子証明書で証明済の鍵でデジ
タル署名を施したものと発行を要求する証明書名の入力
を受け、前記被認証者のデジタル署名が妥当であるか否
かを検証し、妥当であると検証できたときは、前記電子
証明書で発行可能な証明書のリストと照合し、前記被認
証者が要求した証明書が発行可能である場合には、送信
された電子証明書の検証を行い、検証できた場合に、前
記被認証者の公開鍵を認証した電子証明書を発行する。
認証局がネットワークを介して電子証明書を発行する電
子証明書発行方法であって、ある認証局が既に発行した
公開鍵の電子証明書とその電子証明書における被認証者
の公開鍵に対して、前記電子証明書で証明済の鍵でデジ
タル署名を施したものと発行を要求する証明書名の入力
を受け、前記被認証者のデジタル署名が妥当であるか否
かを検証し、妥当であると検証できたときは、前記電子
証明書で発行可能な証明書のリストと照合し、前記被認
証者が要求した証明書が発行可能である場合には、送信
された電子証明書の検証を行い、検証できた場合に、前
記被認証者の公開鍵を認証した電子証明書を発行する。
【0024】また、電子証明書を発行してもらう被認証
者のクライアントと、前記被認証者に電子証明書を発行
する認証局のサーバとがネットワークを介して接続され
てなる電子証明書発行システムであって、前記被認証者
のクライアントは、ある認証局が既に発行した公開鍵の
電子証明書とその電子証明書における被認証者の公開鍵
に対し、前記電子証明書で証明済の鍵でデジタル署名
し、前記認証局のサーバに送信して他の電子証明書の発
行要求を行う発行要求手段と、前記認証局から送信され
てきた電子証明書を保存する手段とを備え、前記認証局
のサーバは、各電子証明書から発行可能な他の電子証明
書群をまとめた発行可能証明書リストと、前記被認証者
のデジタル署名が妥当であるか否かを検証する署名検証
手段と、前記署名検証手段により、署名が妥当であると
検証できたときに、送信されてきた送信電子証明書と発
行可能証明書リストと照合する証明書照合手段と、前記
証明書照合手段により、前記被認証者が要求した要求電
子証明書が発行可能であるとき、前記被認証者からの送
信電子証明書の検証を行う電子証明書検証手段と、前記
電子証明書検証手段により、前記送信電子証明書が検証
されたとき、前記被認証者の公開鍵を認証した要求電子
証明書を発行する手段とを備える。
者のクライアントと、前記被認証者に電子証明書を発行
する認証局のサーバとがネットワークを介して接続され
てなる電子証明書発行システムであって、前記被認証者
のクライアントは、ある認証局が既に発行した公開鍵の
電子証明書とその電子証明書における被認証者の公開鍵
に対し、前記電子証明書で証明済の鍵でデジタル署名
し、前記認証局のサーバに送信して他の電子証明書の発
行要求を行う発行要求手段と、前記認証局から送信され
てきた電子証明書を保存する手段とを備え、前記認証局
のサーバは、各電子証明書から発行可能な他の電子証明
書群をまとめた発行可能証明書リストと、前記被認証者
のデジタル署名が妥当であるか否かを検証する署名検証
手段と、前記署名検証手段により、署名が妥当であると
検証できたときに、送信されてきた送信電子証明書と発
行可能証明書リストと照合する証明書照合手段と、前記
証明書照合手段により、前記被認証者が要求した要求電
子証明書が発行可能であるとき、前記被認証者からの送
信電子証明書の検証を行う電子証明書検証手段と、前記
電子証明書検証手段により、前記送信電子証明書が検証
されたとき、前記被認証者の公開鍵を認証した要求電子
証明書を発行する手段とを備える。
【0025】
【発明の実施の形態】以下、本発明の実施の形態を図面
を用いて説明する。
を用いて説明する。
【0026】図1は、本発明の一実施形態にかかる証明
書発行システムの構成を示すブロック図である。本実施
形態では、既に取得してあるクレジットカードを基に新
たな電子証明書を取得する場合を例に取り挙げて説明し
ていく。
書発行システムの構成を示すブロック図である。本実施
形態では、既に取得してあるクレジットカードを基に新
たな電子証明書を取得する場合を例に取り挙げて説明し
ていく。
【0027】本実施形態の証明書発行システムは、図1
に示すように、電子証明書(以下、証明書と略す)を発
行する認証局10と、証明書発行を依頼する被認証者
(以下、カード所有者と記す)のクライアント20と、
電子商取引を行うネットワークであるインターネット3
0とから構成される。
に示すように、電子証明書(以下、証明書と略す)を発
行する認証局10と、証明書発行を依頼する被認証者
(以下、カード所有者と記す)のクライアント20と、
電子商取引を行うネットワークであるインターネット3
0とから構成される。
【0028】上述した認証局10は、実際の処理を行う
認証局サーバ110と、カード所有者のクライアント2
0からインタネット30経由で入力を受け付け、認証局
サーバ110へ中継し、その結果を認証局サーバ110
からカード所有者のクライアント20へ送信する認証局
Webサーバ120とから構成される。
認証局サーバ110と、カード所有者のクライアント2
0からインタネット30経由で入力を受け付け、認証局
サーバ110へ中継し、その結果を認証局サーバ110
からカード所有者のクライアント20へ送信する認証局
Webサーバ120とから構成される。
【0029】認証局サーバ110は、認証局Webサー
バ120と通信を行う通信装置112と、表示器113
と、キーボード114と、証明書データベース、証明書
名データベース、認証局の署名鍵および交換鍵が格納さ
れる記憶装置115と、これら全てを制御する制御装置
111とからなる。
バ120と通信を行う通信装置112と、表示器113
と、キーボード114と、証明書データベース、証明書
名データベース、認証局の署名鍵および交換鍵が格納さ
れる記憶装置115と、これら全てを制御する制御装置
111とからなる。
【0030】認証局Webサーバ120は、認証局サー
バ110と通信を行う通信装置122と、インターネッ
トに接続される通信装置123と、表示器124と、キ
ーボード125と、Webサーバソフトウエアが格納さ
れる記憶装置126と、これら全てを制御する制御装置
121とからなる。
バ110と通信を行う通信装置122と、インターネッ
トに接続される通信装置123と、表示器124と、キ
ーボード125と、Webサーバソフトウエアが格納さ
れる記憶装置126と、これら全てを制御する制御装置
121とからなる。
【0031】カード所有者のクライアント20では、証
明書データベースやカードホルダの署名鍵、共通鍵など
を格納する記憶装置211と、インターネットに接続す
る通信装置212と、表示器213と、キーボード21
4と、これら全てを制御する制御装置210とからな
る。
明書データベースやカードホルダの署名鍵、共通鍵など
を格納する記憶装置211と、インターネットに接続す
る通信装置212と、表示器213と、キーボード21
4と、これら全てを制御する制御装置210とからな
る。
【0032】図2は、認証局10の構成を詳細に説明す
るための図である。
るための図である。
【0033】図2に示すように、認証局10の認証局サ
ーバ110の記憶装置115には、証明書データベース
11540と証明書名データベース11530、署名鍵
公開鍵PBCPSG(11511)と署名鍵個人鍵PVCPSG(1
1512)とその証明書11513とからなる認証局の
署名鍵11510、鍵交換鍵公開鍵PBCPEX(1152
1)と鍵交換鍵個人鍵PVCPEX(11522)とその証明
書11523とからなる鍵交換鍵11520が保存され
ている。
ーバ110の記憶装置115には、証明書データベース
11540と証明書名データベース11530、署名鍵
公開鍵PBCPSG(11511)と署名鍵個人鍵PVCPSG(1
1512)とその証明書11513とからなる認証局の
署名鍵11510、鍵交換鍵公開鍵PBCPEX(1152
1)と鍵交換鍵個人鍵PVCPEX(11522)とその証明
書11523とからなる鍵交換鍵11520が保存され
ている。
【0034】この証明書データベース11540は、公
開鍵11543と、その公開鍵の対象(持ち主)115
42、証明書11541をレコードとするデータベース
であり、証明書名データベース11530は、証明書名
11532と、その証明書を発行するのに必要となる条
件である証明書名組11533と、その証明書を使用す
るブランド11531をレコードとするデータベースで
ある。
開鍵11543と、その公開鍵の対象(持ち主)115
42、証明書11541をレコードとするデータベース
であり、証明書名データベース11530は、証明書名
11532と、その証明書を発行するのに必要となる条
件である証明書名組11533と、その証明書を使用す
るブランド11531をレコードとするデータベースで
ある。
【0035】制御装置111は、通信装置112を通じ
て認証局Webサーバ120に接続され、必要に応じて
証明書データベース11540に格納されている証明書
11541、および証明書名データベース11530に
格納されている証明書名組11533、認証局10の署
名鍵公開鍵11511および署名鍵個人鍵11512を
認証局Webサーバ120へ送信する。
て認証局Webサーバ120に接続され、必要に応じて
証明書データベース11540に格納されている証明書
11541、および証明書名データベース11530に
格納されている証明書名組11533、認証局10の署
名鍵公開鍵11511および署名鍵個人鍵11512を
認証局Webサーバ120へ送信する。
【0036】認証局Webサーバ120の制御装置12
1は、認証局Webサーバ120のWebサーバソフト
ウエア12610を記憶装置126からロードし、実行
する。
1は、認証局Webサーバ120のWebサーバソフト
ウエア12610を記憶装置126からロードし、実行
する。
【0037】Webサーバソフトウエア12610は、
http(Hypertext Transport Protocol)に基づいて通信
を行うプログラムである。
http(Hypertext Transport Protocol)に基づいて通信
を行うプログラムである。
【0038】図3は、カード所有者のクライアント20
を詳細に説明するための図である。
を詳細に説明するための図である。
【0039】カード所有者20のクライアントの記憶装
置211には、Webブラウザソフトウエア21110
と、署名鍵秘密鍵21160と、証明書データベース2
1140と、カード所有者20の署名鍵公開鍵PBCHSG’
(21120)および署名鍵個人鍵PVCHSG’(2113
0)と、それぞれの共通鍵#1〜#3(21171〜2
1173)と、署名鍵公開鍵リスト21180とが保存
される。
置211には、Webブラウザソフトウエア21110
と、署名鍵秘密鍵21160と、証明書データベース2
1140と、カード所有者20の署名鍵公開鍵PBCHSG’
(21120)および署名鍵個人鍵PVCHSG’(2113
0)と、それぞれの共通鍵#1〜#3(21171〜2
1173)と、署名鍵公開鍵リスト21180とが保存
される。
【0040】証明書データベース21150は、署名鍵
公開鍵名21153、その証明書が使える相手(ブラン
ド名)21152、証明書21151をレコードとする
データベースである。
公開鍵名21153、その証明書が使える相手(ブラン
ド名)21152、証明書21151をレコードとする
データベースである。
【0041】次に、図4を用いて本実施形態の証明書発
行システムの各制御装置における証明書発行処理の概要
の説明を行い、その後、各ステップの詳細をそれぞれの
図を用いて説明する。
行システムの各制御装置における証明書発行処理の概要
の説明を行い、その後、各ステップの詳細をそれぞれの
図を用いて説明する。
【0042】カード所有者が、Webブラウザソフトウ
エア21110を通じて、認証局10に対して、証明書
発行を依頼する(ステップ401)。
エア21110を通じて、認証局10に対して、証明書
発行を依頼する(ステップ401)。
【0043】認証局10は、カード所有者のクライアン
ト20から証明書発行依頼を受け取ると、証明書発行要
求応答を生成してカード所有者のクライアント20に送
信する。このとき、カード所有者へ認証局の公開鍵を送
付する(ステップ402)。
ト20から証明書発行依頼を受け取ると、証明書発行要
求応答を生成してカード所有者のクライアント20に送
信する。このとき、カード所有者へ認証局の公開鍵を送
付する(ステップ402)。
【0044】カード所有者は、認証局10から証明書発
行要求応答を受け取り、認証局10の証明書の検証を行
い、登録フォーム要求を認証局10へ送信する(ステッ
プ403)。
行要求応答を受け取り、認証局10の証明書の検証を行
い、登録フォーム要求を認証局10へ送信する(ステッ
プ403)。
【0045】認証局10は、カード所有者のクライアン
ト20から登録フォーム要求を受け取ると、登録フォー
ムを生成し、カード所有者のクライアント20に送信す
る(ステップ404)。
ト20から登録フォーム要求を受け取ると、登録フォー
ムを生成し、カード所有者のクライアント20に送信す
る(ステップ404)。
【0046】カード所有者は、登録フォームに必要事項
を記入し、証明書要求を認証局10へ送付する。このと
き、カード所有者は、カード所有者の公開鍵を送付する
(ステップ405)。
を記入し、証明書要求を認証局10へ送付する。このと
き、カード所有者は、カード所有者の公開鍵を送付する
(ステップ405)。
【0047】認証局10は、カード所有者のクライアン
ト20から送られてきた登録フォームに含まれている証
明書を検証する(ステップ406)。
ト20から送られてきた登録フォームに含まれている証
明書を検証する(ステップ406)。
【0048】認証局10は、ステップ406の検証結果
に応じて、証明書を発行し、カード所有者のクライアン
ト20に送付する(ステップ407)。
に応じて、証明書を発行し、カード所有者のクライアン
ト20に送付する(ステップ407)。
【0049】カード所有者のクライアント20では、発
行された証明書を検証し、保存する(ステップ40
8)。
行された証明書を検証し、保存する(ステップ40
8)。
【0050】上述したステップ402の詳細を図5を用
いて説明する。
いて説明する。
【0051】ステップ402は、まず、認証局サーバ1
10が、証明書発行申請メッセージに対する応答メッセ
ージを生成し、署名する(ステップ501)。
10が、証明書発行申請メッセージに対する応答メッセ
ージを生成し、署名する(ステップ501)。
【0052】認証局10は、認証局10の鍵交換鍵及び
署名鍵のそれぞれの公開鍵PBCPEX(11521)、PBCP
SG(11511)と、それぞれの証明書CertPBCPEX(1
1523)、CertPBCPSG(11513)と、ステップ5
01で作成した署名つき応答メッセージを、カード所有
者のクライアント20に送信する(ステップ502)。
署名鍵のそれぞれの公開鍵PBCPEX(11521)、PBCP
SG(11511)と、それぞれの証明書CertPBCPEX(1
1523)、CertPBCPSG(11513)と、ステップ5
01で作成した署名つき応答メッセージを、カード所有
者のクライアント20に送信する(ステップ502)。
【0053】次に、上述したステップ403を図6を用
いて詳細に説明する。
いて詳細に説明する。
【0054】ステップ403は、まず、カード所有者の
クライアント20が、証明書CertPBCPEX(1152
3)、CertPBCPSG(11513)の妥当性を、SET(Secu
re Electronic Transaction Specification, Draftfor
testing, June 17, 1996, MasterCard, VISA, BookII,
PartII Certificate Management, Ch.1, Sec.3, Certif
icate Chain Validation) と同様に検証する(ステップ
601)。この妥当性の検証は、例えば、証明書が有効
期限内であるか否かのチェック等である。
クライアント20が、証明書CertPBCPEX(1152
3)、CertPBCPSG(11513)の妥当性を、SET(Secu
re Electronic Transaction Specification, Draftfor
testing, June 17, 1996, MasterCard, VISA, BookII,
PartII Certificate Management, Ch.1, Sec.3, Certif
icate Chain Validation) と同様に検証する(ステップ
601)。この妥当性の検証は、例えば、証明書が有効
期限内であるか否かのチェック等である。
【0055】検証の結果、妥当でなければ処理を中断
し、妥当であれば処理を続ける(ステップ602)。
し、妥当であれば処理を続ける(ステップ602)。
【0056】カード所有者は、キーボード214を通じ
て登録フォーム選択情報を取り込む(ステップ60
3)。ここで、登録フォーム選択情報とは、消費者が発
行してもらいたい証明書を選択するために必要な情報で
ある。例えば、その証明書が利用できるカード会社名
(ブランド名)などである。
て登録フォーム選択情報を取り込む(ステップ60
3)。ここで、登録フォーム選択情報とは、消費者が発
行してもらいたい証明書を選択するために必要な情報で
ある。例えば、その証明書が利用できるカード会社名
(ブランド名)などである。
【0057】カード所有者のクライアント20は、登録
フォーム要求メッセージおよび共通鍵(#1)SymK#1
を作成する(ステップ604)。
フォーム要求メッセージおよび共通鍵(#1)SymK#1
を作成する(ステップ604)。
【0058】カード所有者のクライアント20は、登録
フォーム要求メッセージを共通鍵SymK #1で暗号化
し、また、登録フォーム選択情報と共通鍵SymK #1を
認証局の鍵交換鍵公開鍵PBCPEX(11521)で暗号化
する(ステップ605)。
フォーム要求メッセージを共通鍵SymK #1で暗号化
し、また、登録フォーム選択情報と共通鍵SymK #1を
認証局の鍵交換鍵公開鍵PBCPEX(11521)で暗号化
する(ステップ605)。
【0059】カード所有者20は、ステップ605で作
成したメッセージを認証局10へ送信する(ステップ6
06)。
成したメッセージを認証局10へ送信する(ステップ6
06)。
【0060】次に、上述したステップ404を図7を用
いて詳細に説明する。
いて詳細に説明する。
【0061】ステップ404は、まず、認証局10が、
認証局10の鍵交換鍵個人鍵PVCPEX1(1522)で、
登録フォーム選択情報と共通鍵SymK #1を復号化し
(ステップ701)、続いて、共通鍵SymK#1で登録フ
ォーム要求を復号化し(ステップ702)、登録フォー
ム選択情報から証明書発行に必要な証明書名組を決定
し、登録フォームを作成する(ステップ703)。この
証明書名組の決定の方法としては、例えば、 (1)登録フォーム選択情報に記述されているブランド
名をキーにして、認証局の証明書名データベースから検
索する (2)登録フォーム選択情報にブランド名だけでなく、
必要な証明書名組まで含めておく などがある。
認証局10の鍵交換鍵個人鍵PVCPEX1(1522)で、
登録フォーム選択情報と共通鍵SymK #1を復号化し
(ステップ701)、続いて、共通鍵SymK#1で登録フ
ォーム要求を復号化し(ステップ702)、登録フォー
ム選択情報から証明書発行に必要な証明書名組を決定
し、登録フォームを作成する(ステップ703)。この
証明書名組の決定の方法としては、例えば、 (1)登録フォーム選択情報に記述されているブランド
名をキーにして、認証局の証明書名データベースから検
索する (2)登録フォーム選択情報にブランド名だけでなく、
必要な証明書名組まで含めておく などがある。
【0062】そして、認証局10は、ステップ703で
作成した登録フォームに対して、認証局10の署名鍵個
人鍵PVCPSG(11512)で署名し(ステップ70
4)、ステップ704で作成した署名つき登録フォーム
に、認証局10の証明書CertPBCPSG(11513)をつ
け、カード所有者のクライアント20へ送信する(ステ
ップ705)。このように、前記証明書名データベース
を基に、送信電子証明書で発行可能な他の証明書のリス
ト、または証明書の発行に必要となる証明書組をカード
所有者のクライアントに送信することにより、証明書発
行にかかる手間を少なくすることができる。
作成した登録フォームに対して、認証局10の署名鍵個
人鍵PVCPSG(11512)で署名し(ステップ70
4)、ステップ704で作成した署名つき登録フォーム
に、認証局10の証明書CertPBCPSG(11513)をつ
け、カード所有者のクライアント20へ送信する(ステ
ップ705)。このように、前記証明書名データベース
を基に、送信電子証明書で発行可能な他の証明書のリス
ト、または証明書の発行に必要となる証明書組をカード
所有者のクライアントに送信することにより、証明書発
行にかかる手間を少なくすることができる。
【0063】次に、上述したステップ405を図8を用
いて詳細に説明する。
いて詳細に説明する。
【0064】ステップ405は、図8に示すように、ま
ず、カード所有者のクライアント20が、受信した署名
の証明書CertPBCPSGの妥当性を、SETと同様な手段によ
り検証する(ステップ801)。
ず、カード所有者のクライアント20が、受信した署名
の証明書CertPBCPSGの妥当性を、SETと同様な手段によ
り検証する(ステップ801)。
【0065】その検証の結果、妥当でなければ処理を中
断し、妥当であれば処理を続け(ステップ802)、カ
ード所有者の署名鍵公開鍵PBCHSG'(21120)およ
び秘密鍵PVCHSG'(21160)を生成し、記憶装置2
11に保存し(ステップ803)、受信した登録フォー
ムに必要事項を記入してこれを登録事項とする(ステッ
プ804)。
断し、妥当であれば処理を続け(ステップ802)、カ
ード所有者の署名鍵公開鍵PBCHSG'(21120)およ
び秘密鍵PVCHSG'(21160)を生成し、記憶装置2
11に保存し(ステップ803)、受信した登録フォー
ムに必要事項を記入してこれを登録事項とする(ステッ
プ804)。
【0066】その後、カード所有者のクライアント20
は、受信した証明書名組にしたがって、証明書データベ
ース21140から証明書を検索し、証明書組を作成す
る(ステップ805)。
は、受信した証明書名組にしたがって、証明書データベ
ース21140から証明書を検索し、証明書組を作成す
る(ステップ805)。
【0067】ここで、証明書組とは、1個以上の複数個
の証明書を、例えばリスト構造のように、ひとつのまと
まりにしたものである。
の証明書を、例えばリスト構造のように、ひとつのまと
まりにしたものである。
【0068】カード所有者は、その証明書組を構成して
いる複数個の証明書からカード所有者の署名鍵公開鍵2
1120を取り出し、カード所有者署名鍵公開鍵リスト
PBCHSGL(21180)とする(ステップ806)。
いる複数個の証明書からカード所有者の署名鍵公開鍵2
1120を取り出し、カード所有者署名鍵公開鍵リスト
PBCHSGL(21180)とする(ステップ806)。
【0069】その後、カード所有者のクライアント20
は、共通鍵SymK #2(21172)、共通鍵SymK #3
(21173)を生成して記憶装置211に保存し(ス
テップ807)、登録事項を含んだ証明書要求メッセー
ジを作成する(ステップ808)。
は、共通鍵SymK #2(21172)、共通鍵SymK #3
(21173)を生成して記憶装置211に保存し(ス
テップ807)、登録事項を含んだ証明書要求メッセー
ジを作成する(ステップ808)。
【0070】カード所有者20は、証明書要求メッセー
ジおよびカード所有者の署名鍵公開鍵PBCHSG'(211
20)、共通鍵SymK #2(21172)に対して、カ
ード所有者の署名鍵公開鍵PBCHSG"" で署名をつける
(ステップ809)。ここで、PBCHSG"" はカード所有
者署名鍵公開鍵リストPBCHSGL(21180)に含まれ
ているいずれか1個の公開鍵である。このPBCHSG""の選
び方は、例えば、PBCHSGLの先頭の公開鍵を選択すると
よい。このステップ809で、PBCHSG""の代わりにPBCH
SGを使用すると、不正な証明書を使用することができる
ため、PBCHSG"" を使用することが必須である。なお、
既存のSETでは、本人確認を口座番号などを利用して行
っているためPBCHSGを使用しても構わない。登録する公
開鍵PBCHSG' は、PBCHSG"" と同一とすることもでき
る。
ジおよびカード所有者の署名鍵公開鍵PBCHSG'(211
20)、共通鍵SymK #2(21172)に対して、カ
ード所有者の署名鍵公開鍵PBCHSG"" で署名をつける
(ステップ809)。ここで、PBCHSG"" はカード所有
者署名鍵公開鍵リストPBCHSGL(21180)に含まれ
ているいずれか1個の公開鍵である。このPBCHSG""の選
び方は、例えば、PBCHSGLの先頭の公開鍵を選択すると
よい。このステップ809で、PBCHSG""の代わりにPBCH
SGを使用すると、不正な証明書を使用することができる
ため、PBCHSG"" を使用することが必須である。なお、
既存のSETでは、本人確認を口座番号などを利用して行
っているためPBCHSGを使用しても構わない。登録する公
開鍵PBCHSG' は、PBCHSG"" と同一とすることもでき
る。
【0071】カード所有者のクライアント20は、ステ
ップ809の結果を、共通鍵SymK#3(21173)で
暗号化し(ステップ810)、続いて、証明書組と共通
鍵SymK #3(21173)を、認証局の鍵交換鍵公開
鍵PBCPEX(11521)で暗号化し(ステップ81
1)、ステップ810およびステップ811で作成した
ものを、認証局10へ送信する(ステップ812)。
ップ809の結果を、共通鍵SymK#3(21173)で
暗号化し(ステップ810)、続いて、証明書組と共通
鍵SymK #3(21173)を、認証局の鍵交換鍵公開
鍵PBCPEX(11521)で暗号化し(ステップ81
1)、ステップ810およびステップ811で作成した
ものを、認証局10へ送信する(ステップ812)。
【0072】次に、上述したステップ406を図9を用
いて詳細に説明する。
いて詳細に説明する。
【0073】ステップ406は、図9に示すように、ま
ず、認証局10が、カード所有者のクライアント20か
ら受信したメッセージに対して、認証局の鍵交換鍵個人
鍵PVCPEX(11522)を使って、証明書組と共通鍵Sy
mK #3(21173)を復号化する(ステップ90
1)。
ず、認証局10が、カード所有者のクライアント20か
ら受信したメッセージに対して、認証局の鍵交換鍵個人
鍵PVCPEX(11522)を使って、証明書組と共通鍵Sy
mK #3(21173)を復号化する(ステップ90
1)。
【0074】その後、認証局10は、図8に示したステ
ップ810で暗号化された部分を共通鍵SymK #3(2
1173)で復号化し(ステップ902)、カード所有
者の署名をカード所有者の署名鍵公開鍵PBCHSG""を使っ
て検証し(ステップ903)、検証の結果、妥当でなけ
れば処理を中断し、妥当であれば処理を続行する(ステ
ップ904)。
ップ810で暗号化された部分を共通鍵SymK #3(2
1173)で復号化し(ステップ902)、カード所有
者の署名をカード所有者の署名鍵公開鍵PBCHSG""を使っ
て検証し(ステップ903)、検証の結果、妥当でなけ
れば処理を中断し、妥当であれば処理を続行する(ステ
ップ904)。
【0075】次に、上述したステップ408を図10を
用いて詳細に説明する。
用いて詳細に説明する。
【0076】ステップ407は、図10に示すように、
まず、認証局10が、証明書組を分解し(ステップ10
01)、各々の証明書を検証し、証明書値を計算する
(ステップ1002)。
まず、認証局10が、証明書組を分解し(ステップ10
01)、各々の証明書を検証し、証明書値を計算する
(ステップ1002)。
【0077】その後、認証局10は、証明書要求メッセ
ージから発行する証明書の名前を取り出し、証明書名デ
ータベース11530からその証明書を発行するために
必要な証明書名組11533を検索し(ステップ100
3)、ステップ1001の証明書名組11533にステ
ップ1002の証明書値を代入して、証明書組値を計算
する(ステップ1004)。ここでの証明書値は、証明
書が妥当であれば”t”、妥当でなければ”f”と言う値
を取る。また、証明書名組とは、複数の証明書名CN
1,...CNnを論理演算子(∧、∨、¬)で結合したものであ
る。
ージから発行する証明書の名前を取り出し、証明書名デ
ータベース11530からその証明書を発行するために
必要な証明書名組11533を検索し(ステップ100
3)、ステップ1001の証明書名組11533にステ
ップ1002の証明書値を代入して、証明書組値を計算
する(ステップ1004)。ここでの証明書値は、証明
書が妥当であれば”t”、妥当でなければ”f”と言う値
を取る。また、証明書名組とは、複数の証明書名CN
1,...CNnを論理演算子(∧、∨、¬)で結合したものであ
る。
【0078】例えば、(C1∧C2)∨(¬C3) は、証明書名
組であり、その証明書名組の値とは、それぞれの証明書
の値を証明書名組の「証明書名」へ代入し、論理演算し
た結果の値である。計算(論理演算)には、以下の論理
規則を用いる。
組であり、その証明書名組の値とは、それぞれの証明書
の値を証明書名組の「証明書名」へ代入し、論理演算し
た結果の値である。計算(論理演算)には、以下の論理
規則を用いる。
【0079】A, B, C は、0 個以上のt,fを∧,∨,¬で
結合した式を表す。結合度は、¬, ∧, ∨の順で弱くな
る。
結合した式を表す。結合度は、¬, ∧, ∨の順で弱くな
る。
【0080】(1) t ∧t →t (2) t ∧f →f (3) f ∧t →f (4) f ∧f →f (5) t ∨t →t (6) t ∨f →t (7) f ∨t →t (8) f ∨f →f (9) ¬t →f (10) ¬f →t (11) A ∧B ∧C →(A ∧B) ∧C (12) A ∨B ∨C →(A ∨B) ∨C その後、認証局10は、その他の条件を確認する。ここ
で、「その他の条件」とは、証明書の妥当性以外の条件
であり、例えば、「ある友の会の会員である」、「年齢
が35歳以上である」などのカード所有者本人を確認する
ものである。これらの条件を、認証局10は、オンライ
ンあるいはオフラインで確認し、その結果、条件に合っ
ていれば条件値を”t” とし、条件に合わなければ条件
値を”f” とする(ステップ1005)。これにより、
より確実に証明書の検証を行うことが可能になる。
で、「その他の条件」とは、証明書の妥当性以外の条件
であり、例えば、「ある友の会の会員である」、「年齢
が35歳以上である」などのカード所有者本人を確認する
ものである。これらの条件を、認証局10は、オンライ
ンあるいはオフラインで確認し、その結果、条件に合っ
ていれば条件値を”t” とし、条件に合わなければ条件
値を”f” とする(ステップ1005)。これにより、
より確実に証明書の検証を行うことが可能になる。
【0081】その後、認証局10は、ステップ100
4、ステップ1005の結果、証明書組値∧条件値を前
述の論理規則にしたがって計算し、その結果が”f”で
あれば処理を中断し、その結果が”t”であれば処理を
続行する(ステップ1006)。
4、ステップ1005の結果、証明書組値∧条件値を前
述の論理規則にしたがって計算し、その結果が”f”で
あれば処理を中断し、その結果が”t”であれば処理を
続行する(ステップ1006)。
【0082】そして、証明書組値が”t”の場合、認証
局10は、カード所有者に対して、請求されていた証明
書を発行するため、カード所有者の署名鍵公開鍵PBCHS
G'(21120)に対して認証局10が署名した証明書
CertPBCHSG'(21140)を作成し(ステップ100
7)、証明書要求応答メッセージを作成、署名して、共
通鍵SymK #2(21172)で暗号化し(ステップ1
008)、証明書CertPBCHSG'(21140)、およ
び、ステップ1008で作成した署名つき証明書要求応
答メッセージを暗号化したものと、認証局10の証明書
CertPBCPSG(11513)とを、カード所有者20に対
して送信する(ステップ1009)。
局10は、カード所有者に対して、請求されていた証明
書を発行するため、カード所有者の署名鍵公開鍵PBCHS
G'(21120)に対して認証局10が署名した証明書
CertPBCHSG'(21140)を作成し(ステップ100
7)、証明書要求応答メッセージを作成、署名して、共
通鍵SymK #2(21172)で暗号化し(ステップ1
008)、証明書CertPBCHSG'(21140)、およ
び、ステップ1008で作成した署名つき証明書要求応
答メッセージを暗号化したものと、認証局10の証明書
CertPBCPSG(11513)とを、カード所有者20に対
して送信する(ステップ1009)。
【0083】次に、上述したステップ409を図11を
用いて詳細に説明する。
用いて詳細に説明する。
【0084】ステップ409は、図11に示すように、
まず、カード所有者のクライアント20が、認証局から
受信した証明書CertPBCPSG(21113)の妥当性を、
上述したように、SETと同様に検証する(ステップ11
01)。
まず、カード所有者のクライアント20が、認証局から
受信した証明書CertPBCPSG(21113)の妥当性を、
上述したように、SETと同様に検証する(ステップ11
01)。
【0085】その検証の結果、妥当でなければ処理を中
断し、妥当であれば処理を続け(ステップ1102)、
共通鍵Sym #2(21172)を記憶装置211から取
り出し、この共通鍵Sym #2(21172)で証明書応
答メッセージを復号化し(ステップ1103)、認証局
10の署名鍵公開鍵PBCPSG(11511)で署名を検証
し(ステップ1104)、署名が確認されなければ処理
を中断し、確認されれば処理を続行する(ステップ11
05)。
断し、妥当であれば処理を続け(ステップ1102)、
共通鍵Sym #2(21172)を記憶装置211から取
り出し、この共通鍵Sym #2(21172)で証明書応
答メッセージを復号化し(ステップ1103)、認証局
10の署名鍵公開鍵PBCPSG(11511)で署名を検証
し(ステップ1104)、署名が確認されなければ処理
を中断し、確認されれば処理を続行する(ステップ11
05)。
【0086】そして、カード所有者のクライアント20
は、発行された証明書CertPBCHSG'(21140)を記
憶装置211に保存する(ステップ1106)。
は、発行された証明書CertPBCHSG'(21140)を記
憶装置211に保存する(ステップ1106)。
【0087】したがって、説明してきたように、ある認
証局が既に発行した公開鍵の証明書とその証明書におけ
るカード所有者の公開鍵に対して、証明書で証明済の鍵
でデジタル署名を施したものと発行を要求する証明書名
の入力を受け、カード所有者のデジタル署名が妥当であ
るか否かを検証し、妥当であると検証できたときは、証
明書と証明書名データベースとを照合し、カード所有者
が要求した証明書が発行可能である場合には、送信され
た証明書の検証を行い、検証できた場合に、カード所有
者の公開鍵を認証した証明書を発行することにより、カ
ード所有者の身元確認の根拠として、電子的に送付可能
で信頼性のある既に取得した証明書を用いることが可能
になり、カード所有者から認証局へ口座番号を送った
り、認証局がその口座番号が正しいかどうかを銀行に確
認したりする必要がなくなるので、低コストで証明書を
発行することが可能になる。
証局が既に発行した公開鍵の証明書とその証明書におけ
るカード所有者の公開鍵に対して、証明書で証明済の鍵
でデジタル署名を施したものと発行を要求する証明書名
の入力を受け、カード所有者のデジタル署名が妥当であ
るか否かを検証し、妥当であると検証できたときは、証
明書と証明書名データベースとを照合し、カード所有者
が要求した証明書が発行可能である場合には、送信され
た証明書の検証を行い、検証できた場合に、カード所有
者の公開鍵を認証した証明書を発行することにより、カ
ード所有者の身元確認の根拠として、電子的に送付可能
で信頼性のある既に取得した証明書を用いることが可能
になり、カード所有者から認証局へ口座番号を送った
り、認証局がその口座番号が正しいかどうかを銀行に確
認したりする必要がなくなるので、低コストで証明書を
発行することが可能になる。
【0088】また、プライバシーに関わる個人情報を送
付する必要がなくなるため、全体のセキュリティ強度を
高めることが可能になる。
付する必要がなくなるため、全体のセキュリティ強度を
高めることが可能になる。
【0089】なお、上述した証明書発行処理を行う証明
書発行システムの各制御装置は、コンピュータで実行可
能なプログラムで実現される場合もあり、そのときのプ
ログラムは、フロッピーディスク、CD・ROM、マス
クROM等の記憶媒体で一般ユーザに提供される。この
場合、さらに、これら処理の他にGUIプログラム等の
他のプログラムと組み合わせてユーザに提供することも
ある。
書発行システムの各制御装置は、コンピュータで実行可
能なプログラムで実現される場合もあり、そのときのプ
ログラムは、フロッピーディスク、CD・ROM、マス
クROM等の記憶媒体で一般ユーザに提供される。この
場合、さらに、これら処理の他にGUIプログラム等の
他のプログラムと組み合わせてユーザに提供することも
ある。
【0090】また、上述した記憶媒体で提供する代替手
段として、インタネット等のネットワークを通じて有償
で提供することもある。
段として、インタネット等のネットワークを通じて有償
で提供することもある。
【0091】以上、本発明者によってなされた発明を、
前記実施形態に基づき具体的に説明したが、本発明は、
前記実施形態に限定されるものではなく、その要旨を逸
脱しない範囲において種々変更可能であることは勿論で
ある。
前記実施形態に基づき具体的に説明したが、本発明は、
前記実施形態に限定されるものではなく、その要旨を逸
脱しない範囲において種々変更可能であることは勿論で
ある。
【0092】
【発明の効果】本願において開示される発明のうち代表
的なものによって得られる効果を簡単に説明すれば、下
記のとおりである。
的なものによって得られる効果を簡単に説明すれば、下
記のとおりである。
【0093】カード所有者の身元確認の根拠として、電
子的に送付可能で信頼性のある既取得証明書を用いるこ
とが可能になり、カード所有者から認証局へ口座番号を
送ったり、認証局がその口座番号が正しいかどうかを銀
行に確認したりする必要がなくなるので、低コストで証
明書を発行することが可能になる。
子的に送付可能で信頼性のある既取得証明書を用いるこ
とが可能になり、カード所有者から認証局へ口座番号を
送ったり、認証局がその口座番号が正しいかどうかを銀
行に確認したりする必要がなくなるので、低コストで証
明書を発行することが可能になる。
【0094】また、プライバシーに関わる個人情報を送
付する必要がなくなるため、全体のセキュリティ強度を
高めることが可能になる。
付する必要がなくなるため、全体のセキュリティ強度を
高めることが可能になる。
【図1】本発明の実施形態にかかる電子証明書発行シス
テムの構成を説明するためのブロック図である。
テムの構成を説明するためのブロック図である。
【図2】認証局の構成を詳細に説明するための図であ
る。
る。
【図3】カード所有者のクライアントを詳細に説明する
ための図である。
ための図である。
【図4】本実施形態の証明書発行システムの各制御装置
における証明書発行処理の概要を説明するためのフロー
チャートである。
における証明書発行処理の概要を説明するためのフロー
チャートである。
【図5】認証局が、カード所有者からの証明書要求メッ
セージに応答するメッセージを作成し、カード所有者へ
送信する処理を示すフローチャートである。
セージに応答するメッセージを作成し、カード所有者へ
送信する処理を示すフローチャートである。
【図6】カード所有者が、認証局から証明書要求応答メ
ッセージを受け取って、認証局へ登録フォーム要求メッ
セージを送信する処理を示すフローチャートである。
ッセージを受け取って、認証局へ登録フォーム要求メッ
セージを送信する処理を示すフローチャートである。
【図7】認証局が登録フォームを生成し、カード所有者
に送信する処理を示すフローチャートである。
に送信する処理を示すフローチャートである。
【図8】カード所有者が登録フォームを記入し、証明書
要求を認証局へ送信する処理を示すフローチャートであ
る。
要求を認証局へ送信する処理を示すフローチャートであ
る。
【図9】認証局がカード所有者の証明書組を検証する処
理を示すフローチャートである。
理を示すフローチャートである。
【図10】認証局が、検証の結果に応じて証明書を発行
し、カード所有者へ証明書を送信する処理を示すフロー
チャートである。
し、カード所有者へ証明書を送信する処理を示すフロー
チャートである。
【図11】カード所有者が、認証局によって発行された
証明書を検証し保存する処理を示すフローチャートであ
る。
証明書を検証し保存する処理を示すフローチャートであ
る。
10…認証局、20…クライアント、30…インターネ
ット、110…認証局サーバ、111…制御装置、11
2…通信装置、113…表示器、114…キーボード、
115…記憶装置、120…認証局Webサーバ、12
1…制御装置、122…通信装置、123…通信装置、
124…表示器、125…キーボード、126…記憶装
置、210…制御装置、211…記憶装置、212…通
信装置、213…表示器、214…キーボード。
ット、110…認証局サーバ、111…制御装置、11
2…通信装置、113…表示器、114…キーボード、
115…記憶装置、120…認証局Webサーバ、12
1…制御装置、122…通信装置、123…通信装置、
124…表示器、125…キーボード、126…記憶装
置、210…制御装置、211…記憶装置、212…通
信装置、213…表示器、214…キーボード。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 川連 嘉晃 神奈川県横浜市都筑区加賀原二丁目2番 株式会社日立製作所ビジネスシステム開発 センタ内 (72)発明者 松永 和男 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア開発本部内 (72)発明者 州崎 誠一 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内
Claims (5)
- 【請求項1】 証明書を発行してもらう被認証者に対し
て認証局がネットワークを介して電子証明書を発行する
電子証明書発行方法であって、 ある認証局が既に発行した公開鍵の電子証明書とその電
子証明書における被認証者の公開鍵に対して、前記電子
証明書で証明済の鍵でデジタル署名を施したものと発行
を要求する証明書名の入力を受け、前記被認証者のデジ
タル署名が妥当であるか否かを検証し、妥当であると検
証できたときは、前記電子証明書で発行可能な証明書の
リストと照合し、前記被認証者が要求した証明書が発行
可能である場合には、送信された電子証明書の検証を行
い、検証できた場合に、前記被認証者の公開鍵を認証し
た電子証明書を発行することを特徴とする証明書発行方
法。 - 【請求項2】 前記請求項1に記載の電子証明書発行方
法であって、 前記ある認証局が既に発行した公開鍵の電子証明書とそ
の電子証明書における被認証者の公開鍵と発行を要求す
る証明書名と共に予め認証局に登録してある被認証者を
特定する確認情報を前記電子証明書で証明済の鍵でデジ
タル署名を施したものの入力を受け、前記被認証者のデ
ジタル署名が妥当であるか否かを検証し、妥当であると
検証できた後に、前記被認証者の確認情報の検証を行
い、検証できたときに前記電子証明書で発行可能な証明
書のリストと照合することを特徴とする証明書発行方
法。 - 【請求項3】 電子証明書を発行してもらう被認証者の
クライアントと、前記被認証者に電子証明書を発行する
認証局のサーバとがネットワークを介して接続されてな
る電子証明書発行システムであって、 前記被認証者のクライアントは、ある認証局が既に発行
した公開鍵の電子証明書とその電子証明書における被認
証者の公開鍵に対し、前記電子証明書で証明済の鍵でデ
ジタル署名し、前記認証局のサーバに送信して他の電子
証明書の発行要求を行う発行要求手段と、前記認証局か
ら送信されてきた電子証明書を保存する手段とを備え、 前記認証局のサーバは、各電子証明書から発行可能な他
の電子証明書群をまとめた発行可能証明書リストと、前
記被認証者のデジタル署名が妥当であるか否かを検証す
る署名検証手段と、前記署名検証手段により、署名が妥
当であると検証できたときに、送信されてきた送信電子
証明書と発行可能証明書リストと照合する証明書照合手
段と、前記証明書照合手段により、前記被認証者が要求
した要求電子証明書が発行可能であるとき、前記被認証
者からの送信電子証明書の検証を行う電子証明書検証手
段と、前記電子証明書検証手段により、前記送信電子証
明書が検証されたとき、前記被認証者の公開鍵を認証し
た要求電子証明書を発行する手段とを備えたことを特徴
とする電子証明書発行システム。 - 【請求項4】 前記請求項3に記載の電子証明書発行シ
ステムにおいて、 前記被認証者のクライアントの発行要求手段は、予め認
証局に登録してある被認証者を特定する確認情報を前記
電子証明書で証明済の鍵でデジタル署名したものを送信
する手段を備え、 前記認証局のサーバは、前記被認証者の確認情報の検証
を行う確認情報検証手段を備えたことを特徴とする電子
証明書発行システム。 - 【請求項5】 前記請求項3、または4に記載の電子証
明書発行システムにおいて、 前記認証局のサーバは、前記発行可能証明書リストを基
に、送信電子証明書で発行可能な他の電子証明書のリス
ト、または前記要求電子証明書の発行に必要となる電子
証明書を前記被認証者のクライアントに送信する手段を
備えたことを特徴とする電子証明書発行システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9160798A JPH118619A (ja) | 1997-06-18 | 1997-06-18 | 電子証明書発行方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9160798A JPH118619A (ja) | 1997-06-18 | 1997-06-18 | 電子証明書発行方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH118619A true JPH118619A (ja) | 1999-01-12 |
Family
ID=15722687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9160798A Pending JPH118619A (ja) | 1997-06-18 | 1997-06-18 | 電子証明書発行方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH118619A (ja) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001069137A (ja) * | 1999-08-25 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵証明証の発行方法並びに利用者の端末装置及び認証センタ並びにこれらのプログラムを記録した媒体 |
| KR20010078993A (ko) * | 2001-05-31 | 2001-08-22 | 허종범 | 인터넷을 통해서 합의된 전자문서를 작성하는 방법 |
| JP2001305956A (ja) * | 2000-04-26 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵証明書発行方法及び認証局、利用者端末並びにプログラムを記録した記録媒体 |
| JP2002123632A (ja) * | 2000-10-12 | 2002-04-26 | Dainippon Printing Co Ltd | 電子フォーム利用システム |
| JP2002123492A (ja) * | 2000-06-09 | 2002-04-26 | Trw Inc | 既存の強力な認証pkiシステムを用いて外部pkiシステムからシングル・サインオン認証を取得する技法 |
| KR20030043452A (ko) * | 2001-11-28 | 2003-06-02 | 한국전자통신연구원 | 공개키로 서명된 전자 문서의 종이 문서 생성과 생성된종이문서의 전자 서명 검증 시스템 및 그 방법 |
| KR100406525B1 (ko) * | 2001-07-09 | 2003-11-22 | 한국전자통신연구원 | 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치및 그 방법과 그를 이용한 인증서 발급 시스템 |
| KR100451082B1 (ko) * | 2001-11-22 | 2004-10-02 | 가부시키가이샤 히타치세이사쿠쇼 | 공개 키 인증서의 생성 방법, 검증 방법, 및 장치 |
| JP2005080127A (ja) * | 2003-09-02 | 2005-03-24 | Ricoh Co Ltd | 電子証明書発行方法 |
| JP2005130455A (ja) * | 2003-09-22 | 2005-05-19 | Ricoh Co Ltd | 通信装置、通信システム、通信装置の制御方法及びプログラム |
| JP2005130452A (ja) * | 2003-07-25 | 2005-05-19 | Ricoh Co Ltd | 通信装置、通信システム、証明書送信方法及びプログラム |
| JP2006203936A (ja) * | 1999-05-21 | 2006-08-03 | Internatl Business Mach Corp <Ibm> | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
| JP2007013598A (ja) * | 2005-06-30 | 2007-01-18 | Brother Ind Ltd | 通信装置、通信システム及びプログラム |
| KR100698517B1 (ko) * | 2002-03-11 | 2007-03-21 | (주)케이사인 | 공개키 기반구조 전자서명 인증서를 기반으로 한전자여권시스템 |
| JP2011054190A (ja) * | 2000-06-09 | 2011-03-17 | Dainippon Printing Co Ltd | 電子フォーム提供装置 |
| JP4750695B2 (ja) * | 2004-04-21 | 2011-08-17 | パナソニック株式会社 | コンテンツ提供システム、情報処理装置及びメモリカード |
| JP2013179419A (ja) * | 2012-02-28 | 2013-09-09 | Ricoh Co Ltd | ネットワークシステム、証明書管理方法及び証明書管理プログラム |
| JP2015518697A (ja) * | 2012-04-25 | 2015-07-02 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司China Iwncomm Co., Ltd. | デジタル証明書の自動申請方法、装置及びシステム |
| JP2016507843A (ja) * | 2013-02-08 | 2016-03-10 | サーティファイド セキュリティー ソルーションズ,インクCertified Security Solutions,Inc. | Scep証明書登録要求の正当性を確認するためのシステムおよび方法 |
| JP2016105645A (ja) * | 2016-02-10 | 2016-06-09 | インテル・コーポレーション | オンライン識別及び認証 |
| JP2018133785A (ja) * | 2017-02-17 | 2018-08-23 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
-
1997
- 1997-06-18 JP JP9160798A patent/JPH118619A/ja active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203936A (ja) * | 1999-05-21 | 2006-08-03 | Internatl Business Mach Corp <Ibm> | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
| JP2001069137A (ja) * | 1999-08-25 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵証明証の発行方法並びに利用者の端末装置及び認証センタ並びにこれらのプログラムを記録した媒体 |
| JP2001305956A (ja) * | 2000-04-26 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵証明書発行方法及び認証局、利用者端末並びにプログラムを記録した記録媒体 |
| JP2002123492A (ja) * | 2000-06-09 | 2002-04-26 | Trw Inc | 既存の強力な認証pkiシステムを用いて外部pkiシステムからシングル・サインオン認証を取得する技法 |
| JP2011054190A (ja) * | 2000-06-09 | 2011-03-17 | Dainippon Printing Co Ltd | 電子フォーム提供装置 |
| JP2002123632A (ja) * | 2000-10-12 | 2002-04-26 | Dainippon Printing Co Ltd | 電子フォーム利用システム |
| KR20010078993A (ko) * | 2001-05-31 | 2001-08-22 | 허종범 | 인터넷을 통해서 합의된 전자문서를 작성하는 방법 |
| KR100406525B1 (ko) * | 2001-07-09 | 2003-11-22 | 한국전자통신연구원 | 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치및 그 방법과 그를 이용한 인증서 발급 시스템 |
| KR100451082B1 (ko) * | 2001-11-22 | 2004-10-02 | 가부시키가이샤 히타치세이사쿠쇼 | 공개 키 인증서의 생성 방법, 검증 방법, 및 장치 |
| KR20030043452A (ko) * | 2001-11-28 | 2003-06-02 | 한국전자통신연구원 | 공개키로 서명된 전자 문서의 종이 문서 생성과 생성된종이문서의 전자 서명 검증 시스템 및 그 방법 |
| KR100698517B1 (ko) * | 2002-03-11 | 2007-03-21 | (주)케이사인 | 공개키 기반구조 전자서명 인증서를 기반으로 한전자여권시스템 |
| JP2005130452A (ja) * | 2003-07-25 | 2005-05-19 | Ricoh Co Ltd | 通信装置、通信システム、証明書送信方法及びプログラム |
| JP2005080127A (ja) * | 2003-09-02 | 2005-03-24 | Ricoh Co Ltd | 電子証明書発行方法 |
| JP2005130455A (ja) * | 2003-09-22 | 2005-05-19 | Ricoh Co Ltd | 通信装置、通信システム、通信装置の制御方法及びプログラム |
| JP4750695B2 (ja) * | 2004-04-21 | 2011-08-17 | パナソニック株式会社 | コンテンツ提供システム、情報処理装置及びメモリカード |
| JP2007013598A (ja) * | 2005-06-30 | 2007-01-18 | Brother Ind Ltd | 通信装置、通信システム及びプログラム |
| US7886153B2 (en) | 2005-06-30 | 2011-02-08 | Brother Kogyo Kabushiki Kaisha | Communication device and communication system |
| JP2013179419A (ja) * | 2012-02-28 | 2013-09-09 | Ricoh Co Ltd | ネットワークシステム、証明書管理方法及び証明書管理プログラム |
| US9338014B2 (en) | 2012-02-28 | 2016-05-10 | Ricoh Company, Ltd. | Network system, certificate management method, and certificate management program |
| JP2015518697A (ja) * | 2012-04-25 | 2015-07-02 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司China Iwncomm Co., Ltd. | デジタル証明書の自動申請方法、装置及びシステム |
| JP2016507843A (ja) * | 2013-02-08 | 2016-03-10 | サーティファイド セキュリティー ソルーションズ,インクCertified Security Solutions,Inc. | Scep証明書登録要求の正当性を確認するためのシステムおよび方法 |
| JP2016105645A (ja) * | 2016-02-10 | 2016-06-09 | インテル・コーポレーション | オンライン識別及び認証 |
| JP2018133785A (ja) * | 2017-02-17 | 2018-08-23 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| US11212115B2 (en) | 2017-02-17 | 2021-12-28 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
| US11838430B2 (en) | 2017-02-17 | 2023-12-05 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
| US12438735B2 (en) | 2017-02-17 | 2025-10-07 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH118619A (ja) | 電子証明書発行方法及びシステム | |
| JP4603252B2 (ja) | ユニバーサル一般取引のためのセキュリティフレームワーク及びプロトコル | |
| JP4553565B2 (ja) | 電子バリューの認証方式と認証システムと装置 | |
| US6789193B1 (en) | Method and system for authenticating a network user | |
| US7028180B1 (en) | System and method for usage of a role certificate in encryption and as a seal, digital stamp, and signature | |
| US6430688B1 (en) | Architecture for web-based on-line-off-line digital certificate authority | |
| US8190893B2 (en) | Portable security transaction protocol | |
| US20040199469A1 (en) | Biometric transaction system and method | |
| US20010034836A1 (en) | System for secure certification of network | |
| US20040260657A1 (en) | System and method for user-controlled on-line transactions | |
| US20050105735A1 (en) | Information processing system and method, information processing device and method, recording medium, and program | |
| JPH10327147A (ja) | 電子認証公証方法およびシステム | |
| CA2299294A1 (en) | Secure transaction system | |
| WO2002089018A1 (en) | Authenticating user on computer network for biometric information | |
| JP2004032731A (ja) | 暗号を用いたセキュリティ方法、ならびにそれに適した電子装置 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| JPWO2007007690A1 (ja) | 認証システム、装置及びプログラム | |
| JP2004527962A (ja) | 譲渡不能の匿名電子受領書 | |
| JP3896909B2 (ja) | 電子チケットを用いたアクセス権管理装置 | |
| JP2000215280A (ja) | 本人認証システム | |
| JP2002519782A (ja) | 生物測定データを用いたエンドツーエンド認証の装置と方法 | |
| JP2000269957A (ja) | 電子投票方法及びそのプログラム記録媒体 | |
| JP2001331646A (ja) | 指紋照合を利用した金融取引システムおよび金融取引方法 | |
| JP2002049590A (ja) | 電子公証システム | |
| JPH10240826A (ja) | 電子契約方法 |