JP2004159159A - Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium - Google Patents

Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium Download PDF

Info

Publication number
JP2004159159A
JP2004159159A JP2002323755A JP2002323755A JP2004159159A JP 2004159159 A JP2004159159 A JP 2004159159A JP 2002323755 A JP2002323755 A JP 2002323755A JP 2002323755 A JP2002323755 A JP 2002323755A JP 2004159159 A JP2004159159 A JP 2004159159A
Authority
JP
Japan
Prior art keywords
alias
communication terminal
public key
certificate
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002323755A
Other languages
Japanese (ja)
Other versions
JP3862081B2 (en
Inventor
Yusuke Hisada
裕介 久田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002323755A priority Critical patent/JP3862081B2/en
Publication of JP2004159159A publication Critical patent/JP2004159159A/en
Application granted granted Critical
Publication of JP3862081B2 publication Critical patent/JP3862081B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a name resolution system which enables the host name or the domain name of a WWW server or the like to be arbitrarily given and enables the name to be objectively proved to be not disguised. <P>SOLUTION: A name resolution directory 130 for managing public keys or their hash values and IP addresses in association with each other is provided on the Internet 100, and a communication terminal 110 issues a self-signed certificate associating a public key of the communication terminal with an arbitrary alias and registers the public key or its hash value and an IP address in the name resolution directory 130. A communication terminal 120 manages aliases and certificates in association with each other and acquires the public key or its hash value by the alias and presents the public key or its hash value to the name resolution directory 130 to acquire the IP address. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットにおいて、通信端末装置のホスト名またはドメイン名を用いて通信端末装置のIP(Internst Protocol)アドレスを取得する名前解決技術に関し、特にホスト名またはドメイン名を任意に命名できる名前解決方法及びシステム、名前解決ディレクトリ、通信端末装置、そのプログラム、記録媒体に関する。
【0002】
【従来の技術】
インターネットにおいてホスト名またはドメイン名とIPアドレスを相互変換する技術として、ドメインネームシステム(DNS:Domain Name System)が広く利用されている。このドメインネームシステムにおいて、ホスト名またはドメイン名を用いてIPアドレスを取得するためには、A(Address)レコードまたはAAAAレコードを用いてホストの全ドメイン名FQDN(Fully Qualified Domain Name)とIPアドレスを関連付ける方法、CNAME(Canonical Name)レコードを用いてホストの正規名と別名を関連付けて定義する方法、NS(Name Server)レコードを用いてドメイン名とそのドメインを管理するネームサーバを関連付けて定義する方法のいずれか、または複数の方法を組み合わせて利用する必要がある。
【0003】
ところで、ドメインネームシステムは、ドメイン名またはホスト名を任意に命名できないという問題がある。その理由は、AレコードまたはAAAAレコードを用いて指定したFQDNはグローバルで一意である必要があるためである。また、CNAMEレコードはドメイン内で一意である必要があるためである。また、自分のドメイン名を外部から解決するためには、より上位のネームサーバに自らのドメイン名とそのドメイン名を管理するネームサーバを関連付けるNSレコードを登録してもらう必要があるためである。
【0004】
また、ドメインネームシステムは、新たに登録または変更したホスト名またはドメイン名が利用可能になるまで時間を要するという問題がある。その理由は、更新したDNSレコードが反映されるまでに時間を要するためである。また、ドメインネームシステムは認証を行わないため、DNSサーバの成りすましを防ぐことが困難という問題がある。さらには、ドメインネームシステムはサービス拒否攻撃に弱いという問題がある。
【0005】
従来、ドメインネームシステムに関して種々の対策が提案されており、その主な技術としては、DNSサーバフィルタ(例えば、特許文献1)、Dynamic DNS(例えば、非特許文献1)、TSIG(Transaction SIGnature)(例えば、非特許文献2)、DNSSEC(DNS SECurity)(例えば、非特許文献3)などがある。これらのあるものは上記問題の一部が解決される。
【0006】
DNSサーバフィルタは、DNSと任意のパケットフィルタ装置を組み合わせた方式で、DNSサーバへのメッセージを、まずパケットフィルタ装置で検証し、正しいパケットに限りDNSにフォワードする。これによって、サービス拒否攻撃による過負荷からDNSサーバを守ることが可能となる。
【0007】
Dynamic DNSは、DNSサーバで管理されるレコードを動的に更新する技術である。クライアントホストからDNSサーバに対し更新要求を送信する。DNSサーバは更新要求を受信したらクライアントホストのホスト名とIPアドレスを関連付けてレコードに追加または更新する。本技術により、IPアドレスが変わっても同一のホスト名でホストを識別することが可能となる。
【0008】
TSIG(Transaction SIGnature)は、DNSサーバへの問い合わせと応答に共有秘密鍵を用いて署名する技術である。本技術により、送信側の同一性と通信内容の完全性を保証できるため、成りすまされたDNSサーバからの応答や、問い合わせや応答の改ざんを防ぐことが可能となる。
【0009】
DNSSEC(DNS SECurity)は、DNSサーバへの問い合わせと応答に秘密鍵を用いて署名し、公開鍵を用いて認証する方法である。秘密鍵には、より上位のゾーンを管理するDNSサーバの秘密鍵で署名する。また、公開鍵として、X.509,PGP(Pretty Good Privacy),SPKI(Simple Public Key Infrastructure)方式の証明書または公開鍵を利用することが可能である。本技術により、DNSサーバの身元を保証できるため、成りすまされたDNSサーバからの応答を防ぐことが可能となる。
【0010】
SPKI(Simple Public Key Infrastructure)方式は、公開鍵を用いたアクセス制御と名前管理の方式である(例えば、非特許文献4、非特許文献5、非特許文献6)。公開鍵とユーザの権限を関連付けて管理する。SPKIは権限の検証にあたり名前を確認する必要がないため、認証局は不要である。従って、名前をローカルな名前空間で管理することが可能である。SPKIにおける名前は、任意の公開鍵をルートとする信用ドメインで管理される。従って、ユーザは任意の名前を付与することが可能である。
【0011】
SPKIにおいて、公開鍵とローカルネームを関連付ける方法として、名前証明書がある。また、非特許文献6において、あるユーザにアクセスするための情報としてのメールアドレスと、そのユーザをネットワーク上で識別するための公開鍵を関連付けた自己署名形式の権限証明書として、auto−certificateと呼ばれる権限証明書が示されている。
【0012】
【特許文献1】
特開2001−203762号公報 「DNSサーバフィルタ」
【非特許文献1】
P.Vixie,S.Thomson,Y.Rekhter,J.Bound,「ダイナミック アップデーツ イン ザ ドメイン ネーム システムズ(Dynamic Updatesin the Domain Name Systems)」,[online],1997年4月掲載,RFC2136,Internet Engineering Task Force,[2002年9月24日検索],
インターネット<URL:http://www.Ietf.org/rfc/rfc2136.txt>
【非特許文献2】
P.Vixie,O.Gudmundsson,D.Eastlake,B.Wellington,「シークレット キー トランザクション オーセンティケーション フォー ディーエヌエス(ティーシグ)(Secret Key Transaction Authentication for DNS(TSIG))」,[online],2000年5月掲載,RFC2845,Internet Engineering Task Force,[2002年9月24日検索],
インターネット<URL:http://www.Ietf.org/rfc/rfc2845.txt>
【非特許文献3】
D.Eastlake,「ドメイン ネーム システムズ セキュリティ エクステンションズ(Domain Name Systems Security Extensions)」,
[online],1999年3月掲載,RFC2535,Internet Engineering Task Force,[2002年9月24日検索],
インターネット<URL:http://www.Ietf.org/rfc/rfc2535.txt>
【非特許文献4】
C.Ellison,B.Frantz,B.Lampson,R.Rivest,B.Thomas,T.Ylonen,「エスピーケーアイ サーティフィケート セオリー(SPKI Certificate Theory)」,[online],1999年9月掲載,
RFC2693,Internet Engineering Task Force,[2002年9月19日検索],
インターネット<URL:http://www.Ietf.org/rfc/rfc2693.txt>
【非特許文献5】
C.Ellison,B.Frantz,B.Lampson,R.Rivest,B.Thomas,
T.Ylonen,「シンプル パブリック キー インフラストラクチャ <ドラフト−アイイーティーエフ−エスピケーアイ−サート−ストラクチャー06.TXT>(Simple Public Key Infrastructure <draft−ietf−spki−cert−structure−06.txt>)」,[online],1999年7月26日掲載,Internet Engineering Task Force,[2002年9月19日検索],
インターネット<URL:http://world.Std.com/ ̄cme/spki.txt>
【非特許文献6】
C.Ellison,B.Frantz,B.Lampson,R.Rivest,B.Thomas,T.Ylonen,「エスピーケーアイ イグザンプルズ <ドラフト−アイイーティーエフ−エスピケーアイ−サート−イグザンプルズ−01.txt> (SPKI Examples <draft−ietf−spki−cert−examples−01.txt>)」,[online],Internet Engineering Task Force,[2002年9月19日検索],
インターネット<URL:http://world.Std.com/ ̄cme/examples.txt>
【0013】
【発明が解決しようとする課題】
上述したように、ドメインシネームシステムに関して種々の対策が提案されているが、従来のドメインシステムでは、次のような問題がある。
【0014】
第1の問題点は、基本的にドメイン名を任意に取得できないことである。例えば、非特許文献1に示されているDynamic DNS、及び、特許文献1に示されているDNSフィルタはいずれも、ドメインネームシステムのフレームワークにおいて動作するものである。ドメインネームシステムは、DNSレコードで指定したドメイン名はグローバルユニークである必要がある、という制限がある。また、CNAMEレコードはドメイン内でユニークである必要がある、という制限がある。
【0015】
第2の問題点は、DNSサーバを安全に守るために要する管理コストである。例えば、非特許文献2に示されているTSIGは共有秘密鍵を、また、非特許文献3に示されているDNSSECは公開鍵または証明書を更新し、交換するための管理コストを要する。
【0016】
第3の問題点は、SPKI、特に、auto−certificateの利用が困難なことである。SPKIの理論については非特許文献4に、SPKIで用いられる証明書の形式は非特許文献5にそれぞれ示されているが、いずれも利用方法が明らかでない。また、非特許文献6の「3.3 Auto−certificate」において例示されている“auto−certificate”と呼ばれる権限証明書も証明書の形式が例示されているだけであって、その利用方法は明示されていない。
【0017】
本発明は、ドメインネームシステムの上記のような問題に鑑みなされたもので、その目的は、ドメインネームシステムを利用することなく、WWW(World Wide Web)サーバ等のホスト名またはドメイン名を任意に命名できる名前解決方法及びシステム、名前解決ディレクトリ、通信端末装置、そのプログラム、記録媒体を提供することである。
【0018】
また、本発明の他の目的は、WWWサーバ等のホスト名またはドメイン名が偽装されていないことを客観的に証明できる名前解決方法及びシステム、名前解決ディレクトリ、通信端末装置、そのプログラム、記録媒体を提供することである。
【0019】
【課題を解決するための手段】
本発明は、インターネット上に、通信端末の公開鍵あるいはそのハッシュ値と通信端末のIPアドレスを関連付けて管理する名前解決ディレクトリを設ける。通信端末には、通信端末の別名と公開鍵を関連づけるSPKI(Simple Public Key Infrastructure)形式またはX.509形式等の証明書を発行し管理する証明書管理装置を設ける。
【0020】
本発明では、通信端末の証明書管理装置において生成した公開鍵あるいはそのハッシュ値を名前解決ディレクトリに提示して、その端末のIPアドレスを取得するという動作を実行する。従って、公開鍵あるいはそのハッシュ値を用いて通信端末装置を識別できるという効果が得られる。
【0021】
また、本発明では、通信端末の証明書管理装置において、通信端末の公開鍵と通信端末の別名を関連付けて管理するという動作を実行する。従って、ユーザは別名を用いて通信端末を指定できるという効果が得られる。
【0022】
また、本発明では、SPKI形式の自己署名形式の証明書、または、X.509形式の自己署名形式の証明書を用いて通信端末の公開鍵と通信端末の別名を関連付ける。SPKI形式の証明書または自己署名形式のX.509形式の証明書を用いることによって、ローカルな名前空間を定義できる。従って、通信端末に任意の別名を命名できるという効果が得られる。
【0023】
また、本発明では、通信端末の証明書管理装置において、公開鍵を用いて証明書の署名を確認するという動作を実行する。従って、別名が公開鍵と対応した秘密鍵の所有者によって命名されたことを客観的に証明できるという効果が得られる。
【0024】
また、本発明では、通信端末の証明書管理装置において、WWWブラウザまたはWWWサーバとHTTPに従って通信するという動作を実行する。従って、通信端末上で動作するWWWサーバへのURLを別名を用いて指定できるという効果が得られる。
【0025】
【発明の実施の形態】
〔実施形態1〕
本実施形態はSPKI形式の自己署名形式の証明書を用いて端末の公開鍵と端末の別名を関連付ける実施例である。
図1に本実施形態のシステム構成図を示す。図1において、任意の通信端末装置(T1)110、通信端末装置(T2)120、及び、名前解決ディレクトリ130はインターネット100を介して接続されている。ここでは、通信端末装置110をコンテンツ提供側、通信端末装置120を利用者側とする。通信端末装置110は任意のWWWサーバ111、任意のコンテンツ112、証明書管理装置113、及び、任意の記憶装置114を備えている。また、通信端末装置120は任意のWWWブラウザ121、証明書管理装置122、及び、任意の記憶装置123を備えている。
【0026】
ここで、証明書管理装置113、122は、HTTP(Hyper Text Transfer Protocol)を介してWWWサーバ111あるいはWWWブラウザ121と通信する。
【0027】
証明書管理装置113と122はともに、共通の下記(1)から(5)に示す機能を有している。
(1)別名と秘密鍵と公開鍵を入力して、別名と公開鍵を関連付けるSPKI形式の自己署名形式の権限証明書を発行する機能。
(2)別名と公開鍵またはそのハッシュ値を関連付けて管理する機能。
(3)公開鍵またはそのハッシュ値を名前解決ディレクトリに登録する機能。
(4)公開鍵またはそのハッシュ値を名前解決ディレクトリに提示して、IPアドレスを取得する機能。
(5)別名を任意のWWWブラウザのブックマーク形式に出力する機能。
【0028】
なお、コンテンツ提供のみの通信端末装置における証明書管理装置では(4)、(5)等の機能を省略することが可能である。また、コンテンツ閲覧のみの通信端末装置における証明書管理装置では(1)、(3)等の機能を省略することが可能である。
【0029】
通信端末装置(T1)110の記憶装置114は、秘密鍵(PRIVATEKEY)と、それに対応した開鍵(PUBLICKEY)、及び、証明書(CERT)を管理する。本実施形態では、証明書(CERT)は、通信端末装置(T1)の別名(ALIAS)と公開鍵(PUBLICKEY)を関連づけるSPKI形式の自己署名形式の権限証明書である。通信端末装置(T2)120の記憶装置123は、別名(ALIAS)または別名(ALIAS′)と対応づけて上記証明書(CERT)を管理する。なお、通信端末装置(T2)120でコンテンツを提供し、WWWサーバを運用する場合には、記憶装置123は、通信端末装置(T2)120の秘密鍵と公開鍵も管理する。
【0030】
名前解決ディレクトリ130は、公開鍵(PUBLICKEY)または該公開鍵のハッシュ値(HASH)と通信端末装置(T1)110のIPアドレスを関連付けて管理する。以下では、名前解決ディレクトリ130では、公開鍵のハッシュ値(HASH)と通信端末装置(T1)110のIPアドレスを関連付けて管理しているとする。
【0031】
次に、図2を参照して、図1の実施形態における全体の処理シーケンスを説明する。
通信端末装置(T1)110は、RSA暗号(Rivest−Shamir−Adleman Scheme)等の任意の公開鍵暗号アルゴリズムを用いて、秘密鍵(PRIVATEKEY)とそれに対応する公開鍵(PUBLICKEY)を生成する(S1)。この種の鍵生成手順については、当業者にとってよく知られており、また、本発明とは直接関係しないので、その詳細な説明は省略する。生成した秘密鍵(PRIVATEKEY)と公開鍵(PUBLICKEY)は記憶装置114に保存する。
【0032】
通信端末装置(T1)110の証明書管理装置113では、任意の手段で別名(ALIAS)を入力し、記憶装置114から秘密鍵(PRIVATEKEY)と公開鍵(PUBLICKEY)を入力して、公開鍵(PUBLICKEY)のハッシュ値(HASH)を生成するとともに、公開鍵(PUBLICKEY)と別名を関連付けるSPKI形式の自己署名形式の権限証明書(CERT)を生成する(S2)。この証明書の生成手順については後述する。生成したSPKI形式の自己署名形式の権限証明書(CERT)は記憶装置114に保存する。
【0033】
更に、通信端末装置(T1)110の証明書管理装置113では、任意の手段で当該通信端末装置(T1)110のIPアドレスを取得し、公開鍵(PUBLICKEY)のハッシュ値(HASH)とIPアドレスを名前解決ディレクトリ130に送信する(S3)。名前解決ディレクトリ130は、ハッシュ値(HASH)とIPアドレスを関連付けて登録する(S4)。
【0034】
通信端末装置(T1)110は、インターネットメール、インスタントメッセージング、チャット等の任意のメッセージ送受信手段を用いて、証明書(CERT)を通信端末装置(T2)120へ送信する(S5)。通信端末装置(T2)120は、同様に、インターネットメール、インスタントメッセージング、チャット等の任意のメッセージ送受信手段を用いて、証明書(CERT)を受信する。なお、通信端末装置(T1)110が証明書(CERT)をインターネット上に公開し、通信端末装置(T2)120側は、任意の検索エンジンで証明書(CERT)の公開を知り、該証明書を入手するようにしてもよい。いずれにしても、本発明とは直接関係しないので、その詳細な説明は省略する。
【0035】
通信端末装置(T2)120の証明書管理装置122では、証明書(CERT)から別名(ALIAS)を取得し、別名(ALIAS)と証明書(CERT)を関連付けて記憶装置123に登録する(S6)。ここで、別名(ALIAS)と完全一致するデータが記憶装置123に既に存在する場合には別名(ALIAS′)を生成し、別名(ALIAS′)と証明書(CERT)を関連付けて記憶装置123に登録する。この証明書(CERT)の登録手順の詳細については後述する。
【0036】
更に、通信端末装置(T2)120の証明書管理装置122では、WWWブラウザ121のブックマーク管理機能で入力可能なデータ形式に従って別名(ALIAS)または別名(ALIAS′)を保存する(S7)。例えば、マイクロソフト社のWWWブラウザであるインターネットエクスプローラを用いる場合には、インターネットエクスプローラにおいて指定される形式のファイルに変換する。本形式については、当業者によく知られており、また、本発明とは直接関係しないので、その詳細な構造は省略する。
【0037】
通信端末装置(T2)120のユーザは、通信端末装置(T1)110のコンテンツ112を閲覧する場合、WWWブラウザ121を用いて、URLを入力するフィールドに別名(ALIAS)または別名(ALIAS′)をURLで定められる形式に従って入力する。WWWブラウザ121は、別名(ALIAS)または別名(ALIAS′)を含むURLを参照してHTTPリクエストを生成し、証明書管理装置122に送信する。HTTPの規格に従い、別名(ALIAS)又は別名(ALIAS′)はHTTPリクエストにおけるHostヘッダに指定されている。これらについては、当業者によく知られており、また、本発明とは直接関係しないので、詳細な説明は省略する。
【0038】
通信端末装置(T2)120の証明書管理装置122は、HTTPリクエストのHostヘッダから別名(ALIAS)または別名(ALIAS′)を取得し、それを用いて記憶装置123を検索して証明書(CERT)を取得し、証明書(CERT)から公開鍵(PUBLICKEY)のハッシュ値(HASH)を抽出する(S8)。次に、通信端末装置(T2)120の証明書管理装置122は、ハッシュ値(HASH)を名前解決ディレクトリ130に提示し(S9)、名前解決ディレクトリ130は、ハッシュ値(HASH)に関連付けられたIPアドレスを検索し(S10)、通信端末装置(T2)120の証明書管理装置122に提示する(S11)。証明書管理装置122は、HTTPリクエストとIPアドレスをWWWブラウザ121に送信する。この証明書管理装置122の一連の処理手順については後述する。
【0039】
通信端末装置(T2)120のWWWブラウザ121は通信端末装置(T1)110にHTTPリクエストを送信する(S12)。通信端末装置(T1)110のWWWサーバ111は、HTTPリクエストを受信し、HTTPに従ってHTTPリクエストを解析し、コンテンツ112を含むレスポンスを生成して通信端末装置(T2)120に送信する(S13、S14)。通信端末装置(T2)120のWWWブラウザ121は、受信したコンテンツを表示する(S15)。この手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、詳細な説明は省略する。
【0040】
図3はSPKI形式の自己署名形式の証明書発行の処理手順を示す。この図3を参照して、通信端末装置(T1)110の証明書管理装置113において、SPKI形式の自己署名形式の証明書(CERT)を発行する手順を説明する。
【0041】
証明書管理装置113は、まず、秘密鍵(PRIVATEKEY)とその公開鍵(PUBLICKEY)を記憶装置114から入力し、別名(ALIAS)を任意の手段で入力する(S1001)。そして、公開鍵(PUBLICKEY)のハッシュ値(HASH)を、SHA−1、MD5などの任意のハッシュアルゴリズムを用いて生成する(S1002)。ハッシュ値(HASH)は文字列形式とする。
【0042】
次に、証明書管理装置113は、SPKIにおける5−tuple形式のデータCERTINFOを任意の手段で生成する(S1003)。CERTINFOの形式は、非特許文献5の「9.Full BNF」における定義に従うとし、ここでは、形式の詳細については省略する。ハッシュ値(HASH)をCERTINFOのissuerフィールドとsubjectフィールドの両者に任意の手段で指定する(S1004)。ハッシュ値(HASH)の指定形式は非特許文献5の「9.Full BNF」における定義に従うとする。また、CERTINFOのtagフィールドに別名(ALIAS)を任意の手段で指定する(S1005)。
【0043】
次に、証明書管理装置113は、別名(ALIAS)の有効期間を指定するか判定し(S1007)、指定する場合、CERTINFOのnot−beforeフィールド、及び/または、not−afterフィールドを任意に指定する(S1007)。SPKIにおいて、not−beforeフィールドとnot−afterフィールドのうち少なくともいずれか一方に時刻情報を指定した場合、別名(ALIAS)には有効期間を指定することができる。
【0044】
次に、証明書管理装置113は、CERTINFOに秘密鍵(PRIVATEKEY)で署名する(S1008)。本署名手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、その詳細な手順は省略する。また、署名の構造については、非特許文献5の「9.Full BNF」における定義に従うとする。このCERTINFOに署名したデータが証明書(CERT)となる。証明書管理装置113は、証明書(CERT)を記憶装置114に保存し(S1009)、証明書(CERT)の発行動作を終了とする。
【0045】
図4はSPKI形式の自己署名形式の証明書登録の処理手順を示す。この図4を参照して、通信端末装置(T2)120の証明書管理装置122において、SPKI形式の自己署名形式の証明書(CERT)を記憶装置123に登録する手順を説明する。
【0046】
通信端末装置(T2)120では、通信端末装置(T1)110が発行する証明書(CERT)をメッセージ送受信手段や検索エンジン等の任意の手段で取得する。証明書管理装置122は、この証明書(CERT)を入力する(S1101)。また、証明書管理装置122は、証明書(CERT)の公開鍵(PUBLICKEY)を任意の手段で取得する(S1102)。そして、証明書(CERT)の署名を公開鍵(PUBLICKEY)を用いて確認する(S1103)。本署名確認手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、その詳細な手順は省略する。ここで、署名確認に成功しない場合(S1104でNO)、この時点で処理は終了となる。
【0047】
証明書管理装置122は、証明書(CERT)の署名確認に成功した場合(S1104でYES)、現在の時刻情報tを任意の手段で取得する(S1105)。また、証明書(CERT)のnot−beforeフィールドとnot−afterフィールドを参照して、それぞれから、有効期間の開始時刻情報NOTBEFOREと有効期間の終了時刻情報NOTAFTERを取得する(S1106)。
【0048】
次に、証明書管理装置122は、少なくともNOTBEFOREとNOTAFTERのいずれかを取得したか判定する(S1107)。即ち、別名(ALIAS)の有効期間が指定されているか否かを調べる。ここで、NOTBEFOREとNOTAFTERのいずれも取得しなかった場合(S1107でNO)には、ステップS1110に進む。一方、NOTBEFOREとNOTAFTERのうち少なくともいずれか一方を取得した場合(S1107でYES)は、それを時刻情報tと比較する(S1108)。そして、NOTBEFORE≦t 、及び/または、t≦NOTAFTERを満足した場合に限り(S1109でYES)、ステップS1110に進む。また、満足しない場合(S1109でNO)、即ち、現在の時刻が有効期間に含まれない場合、この時点で処理は終了となる。
【0049】
証明書管理装置122は、S1107でNO(有効期間の指定なし)、あるいはS1109でYES(指定の有効期間内)の場合、証明書(CERT)のissuerフィールドまたはsubjectフィールドから別名(ALIAS)を取得する(S1110)。そして、別名(ALIAS)を記憶装置123に提示して検索する。(S1111)。別名(ALIAS)と完全一致するデータが記憶装置123に含まれていない場合(S1112でNO)には、証明書管理装置122は、別名(ALIAS)と証明書(CERT)を関連付けて記憶装置123に登録し(S1113)、動作を終了とする。
【0050】
一方、証明書管理装置122は、別名(ALIAS)と完全一致するデータが記憶装置123に含まれている場合(S1112でYES)には、即ち、別名(ALIAS)が登録済みの場合には、別名(ALIAS)に数字等の任意のデータを付与して、機械的に別名(ALIAS′)を生成する(S1114)。例えば、別名「久田」が記憶装置123に存在した場合、別名「久田1」を生成する。そして、別名「久田1」が記憶装置123に存在するか、再び検索し、存在しない場合、別名「久田1」を決定する。別名「久田1」も記憶装置123に存在した場合には、次に別名「久田2」を生成する。以下は同様であり、最終的に別名「久田n」(n=1,2,…)を決定する。証明書管理装置122は、生成した別名(ALIAS’)と証明書(CERT)を関連付けて記憶装置123に登録し(S1115)、動作を終了とする。
【0051】
なお、先に述べたように、通信端末装置(T2)120の証明書管理装置122では、WWWブラウザ121のブックマーク管理機能で入力可能なデータ形式に従って別名(ALIAS)あるいは別名(ALIAS’)を保存する。即ち、別名(ALIAS)あるいは別名(ALIAS’)をユーザに通知する。
【0052】
図5は通信端末装置(T2)120の証明書管理装置122において、別名(ALIAS)あるいは別名(ALIAS’)からハッシュ値(HASH)を取得し、ハッシュ値(HASH)を用いてIPアドレスを取得する処理手順を示したものである。
【0053】
ユーザは、通信端末装置(T2)120上のWWWブラウザ121のプロキシサーバの設定項目に通信端末装置(T1)110の証明書管理装置113のホスト名またはIPアドレスとポート番号を指定するものとする。本操作の手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、その詳細な手順は省略する。
【0054】
先に述べたように、ユーザは、WWWブラウザ121においてURLを入力するフィールドに別名(ALIAS)をURLで定められる形式に従って入力する。WWWブラウザ121は、別名(ALIAS)あるいは別名(ALIAS’)を含むURLを参照してHTTPリクエストを生成し、このHTTリクエストを証明書管理装置122にHTTPに従って送信する。
【0055】
以下、図5を参照して、通信端末装置(T2)120の証明書管理装置122においてハッシュ値(HASH)を取得し、ハッシュ値(HASH)を用いて通信端末装置(T1)110のIPアドレスを取得する手順を説明する。
【0056】
証明書管理装置122は、HTTPリクエストを入力して(S1201)、HTTPリクエストからHostヘッダを取得し(S1202)、Hostヘッダから別名(ALIAS)あるいは別名(ALIAS’)を取得する(S1203)。そして、別名(ALIAS)あるいは別名(ALIAS’)を記憶装置123に提示して検索し、別名(ALIAS)をtagフィールドに含む証明書(CERT)を取得する(S1204)。
【0057】
次に、証明書管理装置122は、証明書(CERT)のnot−beforeフィールドとnot−afterフィールドを参照して、それぞれから、有効期間の開始時刻情報NOTBEFOREと有効期間の終了時刻情報NOTAFTERを取得する(S1205)。ここで、NOTBEFOREとNOTAFTERをいずれも取得できなかった場合(S1206でNO)には、ステップ1210に進む。
【0058】
一方、NOTBEFOREとNOTAFTERのうちいずれか一方を取得した場合(S1206でYES)、証明書管理装置122は、現在の時刻情報tを任意の手段で取得し(S1207)、時刻情報tとNOTBEFORE、及び/または、時刻情報tとNOTAFTERを比較する(S1208)。そして、NOTBEFORE≦t、及び/または、t≦NOTAFTERを満足した場合に限り(S1209でYES)、ステップ1210に進む。満足しない場合(S1209でNO)には、この時点で処理は終了となる。
【0059】
証明書管理装置122は、S1206でNO(有効期間の指定なし)、あるいはS1209でYES(指定の有効期間内)の場合、証明書(CERT)のissuerフィールドまたはsubjectフィールドを参照してハッシュ値(HASH)を取得する(S1210)。
【0060】
証明書管理装置122は、ハッシュ値(HASH)を名前解決ディレクトリ130に提示して検索し、IPアドレスを取得する(S1211)。そして、HTTPリクエストとIPアドレスを出力して(S1212)、動作を終了する。
【0061】
先に述べたように、以後、通信端末装置(T2)120は、IPアドレスにより通信端末装置(T1)110にHTTPリクエストを送信する。そして、通信端末装置(T1)110からコンテンツを受信し、WWWブラウザ121にて表示する。
【0062】
以上述べたように、本実施例は、通信端末装置(T1)110の証明書管理装置113において生成した公開鍵(PUBLICKEY)のハッシュ値(HASH)と通信端末装置(T1)110のIPアドレスを名前解決ディレクトリ130で関連付けて管理する。これによって、通信端末装置(T2)120はハッシュ値(HASH)を名前解決ディレクトリ130に提示して検索することにより、通信端末装置(T1)110をのIPアドレスを取得できる。従って、通信端末装置(T2)120は通信端末装置(T1)120を公開鍵のハッシュ値を用いて識別できるという効果が得られる。
【0063】
また、本実施例は、通信端末装置(T2)120の証明書管理装置122によって参照される記憶装置123において、通信端末装置(T1)110のハッシュ値(HASH)と通信端末装置(T1)110の別名(ALIAS)あるいは別名(ALIAS’)を関連付けて管理する。従って、通信端末装置(T2)のユーザは、別名(ALIAS)あるいは別名(ALIAS’)を用いて通信端末装置(T1)110を指定できるという効果が得られる。
【0064】
また、本実施例は、通信端末装置(T1)110の証明書管理装置113において、通信端末装置(T1)110の公開鍵(PUBLICKEY)のハッシュ値(HASH)と通信端末装置(T1)110の別名(ALIAS)をSPKI形式の自己署名形式の権限証明書CERTを用いて関連付ける。従って、通信端末装置T1のユーザは自ら、通信端末装置T1に任意の別名(ALIAS)を命名できるという効果が得られる。また、別名(ALIAS)に任意の有効期間を指定できるという効果がある。
【0065】
また、本実施例は、通信端末装置(T2)120の証明書管理装置122において、通信端末装置(T1)110の公開鍵(PUBLICKEY)を用いて証明書(CERT)の署名を確認するという動作を実行する。従って、通信端末装置(T1)110の別名(ALIAS)が通信端末装置(T1)110によって命名されたことを客観的に証明できるという効果が得られる。
【0066】
また、本実施例は、通信端末装置(T1)110の証明書管理装置113、及び、通信端末装置(T2)120の証明書管理装置122は、WWWサーバ、及び、WWWブラウザとHTTPに従って通信するという動作を実行する。従って、端末上で動作するWWWサーバへのURLを別名を用いて指定できるという効果が得られる。
【0067】
また、本実施例は、通信端末装置(T1)110の証明書管理装置113において、証明書(CERT)に有効期間の開始時刻情報NOTBEFORE、及び/または、有効期間の終了時刻情報NOTAFTERを指定し、通信端末装置(T2)120の証明書管理装置123において、現在の時刻情報tと比較するという動作を実行する。従って、別名(ALIAS)に任意の有効期間を指定できるという効果がある。
【0068】
なお、通信端末装置(T1)110が証明書(CERT)を送信する手段を、インターネットメールから、インスタントメッセージングまたはチャット等の任意のメッセージ送受信手段に置き換えてもよい。同様に、通信端末装置(T1)110が証明書(CERT)を送信する手段を、インターネットメールから、通信端末装置(T1)110が証明書(CERT)を検索可能な任意のディレクトリまたはデータベースに登録する手段に置き換えてもよい。
【0069】
これに対応して、通信端末装置(T2)120が証明書(CERT)を受信する手段を、インターネットメールから、インスタントメッセージングまたはチャット等の任意のメッセージ送受信手段に置き換えてもよい。同様に、通信端末装置(T2)120が証明書(CERT)を受信する手段を、インターネットメールから、通信端末装置T2が証明書CERTを検索可能な任意のディレクトリまたはデータベースから任意の手段で検索して取得する手段に置き換えてもよい。
【0070】
また、名前解決ディレクトリ130は公開鍵(PUBLICKEY)のハッシュ値(HASH)とIPアドレスを関連付けて管理しているが、公開鍵(PUBLICKEY)とIPアドレスを関連付けて管理してもよい。この場合、通信端末装置(T1)110の証明書管理装置113において、ハッシュ値(HASH)とIPアドレスを名前解決ディレクトリ130に登録する処理を、公開鍵(PUBLICKEY)とIPアドレスを名前解決ディレクトリ130に登録する処理に変更する。かつ、通信端末装置(T2)120の証明書管理装置122において、名前解決ディレクトリ130にハッシュ値(HASH)を提示してIPアドレスを取得する処理を、名前解決ディレクトリ130に公開鍵(PUBLICKEY)を提示してIPアドレスを取得する処理に変更する。かつ、図5に示すissuerフィールドまたはsubjectフィールドからハッシュ値(HASH)を取得する処理(S1210)を、証明書(CERT)の署名フィールドから公開鍵(PUBLICKEY)を取得する処理に変更する。署名フィールドの形式については、例えば非特許文献5の「9.Full BNF」における定義に従う。かつ、図5に示す名前解決ディレクトリ130にハッシュ値(HASH)を提示してIPアドレスを取得する処理(S1211)を、名前解決ディレクトリ130に公開鍵(PUBLICKEY)を提示してIPアドレスを取得する処理に変更する。
【0071】
また、図1に示す実施例においては、通信端末装置(T1)110でWWWサーバを運用しているが、通信端末装置(T2)120でWWWサーバを運用してもよい。証明書管理装置113と証明書管理装置122は共通の機能を持つため、本実施例のこれまでの説明において、証明書管理装置113を証明書管理装置122に変更し、かつ、証明書管理装置122を証明書管理装置113に変更することにより実施できる。
【0072】
〔実施形態2〕
本実施形態は、その基本的構成は先の実施形態1と同様であるが、証明書(CERT)についてさらに工夫している。即ち、本実施形態においては、証明書(CERT)は通信端末装置(T1)の公開鍵(PUBLICKEY)あるいはそのハッシュ値(HASH)と通信端末装置(T1)の別名(ALIAS)を関連付けるX.509形式の自己署名形式の公開鍵証明書で、通信端末装置(T1)の公開鍵(PUBLICKEY)と対応した秘密鍵(PRIVATEKEY)で署名される。
【0073】
図6に本実施形態のシステム構成図を示す。図6において、任意の通信端末装置(T1)210、任意の通信端末装置(T2)220、及び、名前解決ディレクトリ230はインターネット200を介して接続されている。ここでも、通信端末装置210をコンテンツ提供側、通信端末装置220を利用者側とする。通信端末装置(T1)210は任意のWWWサーバ211、任意のコンテンツ212、証明書管理装置213、及び、任意の記憶装置214を備えている。また、通信端末装置(T2)220は任意のWWWブラウザ221、証明書管理装置222、及び、任意の記憶装置223を備えている。
【0074】
証明書管理装置213、222はともに、HTTP(HyperText Transfer Protocol)を介してWWWサーバ211またはWWWブラウザ221と通信する。
【0075】
証明書管理装置213と222はともに、共通の下記(1)から(5)に示す機能を有している。
(1)別名と秘密鍵と公開鍵を入力して、別名と公開鍵を関連付けるX.509形式の自己署名形式の公開鍵証明書を発行する機能。
(2)別名と公開鍵またはそのハッシュ値を関連付けて管理する機能。
(3)公開鍵またはそのハッシュ値とIPアドレスを関連付けて名前解決ディレクトリに登録する機能。
(4)公開鍵またはそのハッシュ値を名前解決ディレクトリに提示して、IPアドレスを取得する機能。
(5)別名を任意のWWWブラウザのブックマーク形式に出力する機能。
【0076】
なお、コンテンツ提供のみの通信端末装置における証明書管理装置では(4)、(5)等の機能を省略することが可能である。また、コンテンツ閲覧のみの通信端末装置における証明書管理装置では(1)、(3)等の機能を省略することが可能である。
【0077】
通信端末装置(T1)210の記憶装置214は、秘密鍵(PRIVATEKEY)と、それに対応した開鍵(PUBLICKEY)、及び、証明書(CERT)を管理する。証明書(CERT)は、通信端末装置(T1)210の別名(ALIAS)と公開鍵(PUBLICKEY)を関連づけるX.509形式の自己署名形式の公開証明書である。通信端末装置(T2)220の記憶装置223は、別名(ALIAS)または別名(ALIAS′)と対応づけて上記証明書(CERT)を管理する。なお、通信端末装置(T2)220でコンテンツを提供し、WWWサーバを運用する場合には、記憶装置223は、通信端末装置(T2)220の秘密鍵と公開鍵も管理する。
【0078】
名前解決ディレクトリ230は、公開鍵(PUBLICKEY)または該公開鍵のハッシュ値(HASH)と通信端末装置(T1)210のIPアドレスを関連付けて管理する。以下では、名前解決ディレクトリ230では、公開鍵と通信端末装置(T1)220のIPアドレスを関連付けて管理しているとする。
【0079】
次に、図7を参照して、図6の実施形態における全体の処理シーケンスを説明する。
通信端末装置(T1)220は、RSA暗号(Rivest−Shamir−Adleman Scheme)等の任意の公開鍵暗号アルゴリズムを用いて、秘密鍵(PRIVATEKEY)とそれに対応する公開鍵(PUBLICKEY)を生成する(S21)。この種の鍵生成手順については、当業者にとってよく知られており、また、本発明とは直接関係しないので、ここでもその詳細な説明は省略する。生成した秘密鍵(PRIVATEKEY)と公開鍵(PUBLICKEY)は記憶装置214に保存する。
【0080】
通信端末装置(T1)210の証明書管理装置213は、任意の手段で別名(ALIAS)を入力し、記憶装置214から秘密鍵(PRIVATEKEY)と公開鍵(PUBLICKEY)を入力して、公開鍵(PUBLICKEY)と別名(ALIAS)を関連付けるX.509形式の自己署名形式の公開証明書(CERT)を生成する(S22)。この証明書の生成手順については後述する。生成したX.509形式の自己署名形式の公開証明書(CERT)は記憶装置214に保存する。
【0081】
更に、通信端末装置(T1)210の証明書管理装置213では、任意の手段で当該通信端末装置(T1)210のIPアドレスを取得し、公開鍵(PUBLICKEY)とIPアドレスを名前解決ディレクトリ230に送信する(S23)。名前解決ディレクトリ230は、公開鍵(PUBLICKEY)とIPアドレスを関連付けて登録する(S24)。
【0082】
通信端末装置(T1)210は、インターネットメール、インスタントメッセージング、チャット等の任意のメッセージ送受信手段を用いて、証明書(CERT)を通信端末装置(T2)220へ送信する(S25)。通信端末装置(T2)220は、同様に、インターネットメール、インスタントメッセージング、チャット等の任意のメッセージ送受信手段を用いて、証明書(CERT)を受信する。なお、通信端末装置(T1)210が証明書(CERT)をインターネット上に公開し、通信端末装置(T2)220側は、任意の検索エンジンで証明書(CERT)の公開を知り、該証明書を入手するようにしてもよい。いずれにしても、本発明とは直接関係しないので、その詳細な説明は省略する。
【0083】
通信端末装置(T2)220の証明書管理装置222では、証明書(CERT)から別名(ALIAS)を取得し、別名(ALIAS)と証明書(CERT)を関連付けて記憶装置223に登録する(S26)。ここで、別名(ALIAS)と完全一致するデータが記憶装置123に既に存在する場合には別名(ALIAS′)を生成し、別名(ALIAS′)と証明書(CERT)を関連付けて記憶装置223に登録する。この証明書(CERT)の登録手順の詳細については後述する。
【0084】
更に、通信端末装置(T2)220の証明書管理装置222では、WWWブラウザ221のブックマーク管理機能で入力可能なデータ形式に従って別名(ALIAS)または別名(ALIAS′)を保存する(S27)。先にも述べたように、例えば、マイクロソフト社のWWWブラウザであるインターネットエクスプローラを用いる場合には、インターネットエクスプローラにおいて指定される形式のファイルに変換する。
【0085】
通信端末装置(T2)220のユーザは、通信端末装置(T1)210のコンテンツ212を閲覧する場合、WWWブラウザ221を用いて、URLを入力するフィールドに別名(ALIAS)または別名(ALIAS′)をURLで定められる形式に従って入力する。WWWブラウザ221は、別名(ALIAS)または別名(ALIAS′)を含むURLを参照してHTTPリクエストを生成し、証明書管理装置222に送信する。HTTPの規格に従い、別名(ALIAS)又は別名(ALIAS′)はHTTPリクエストにおけるHostヘッダに指定されている。先にも述べたように、これらについては、当業者によく知られており、また、本発明とは直接関係しないので、詳細な説明は省略する。
【0086】
通信端末装置(T2)220の証明書管理装置222は、HTTPリクエストのHostヘッダから別名(ALIAS)または別名(ALIAS′)を取得し、それを用いて記憶装置223を検索して証明書(CERT)を取得し、証明書(CERT)から公開鍵(PUBLICKEY)を抽出する(S28)。次に、通信端末装置(T2)220の証明書管理装置222は、公開鍵(PUBLICKEY)を名前解決ディレクトリ230に提示し(S29)、名前解決ディレクトリ230は、公開鍵(PUBLICKEY)に関連付けられたIPアドレスを検索し(S30)、通信端末装置(T2)220の証明書管理装置222に提示する(S31)。証明書管理装置222は、HTTPリクエストとIPアドレスをWWWブラウザ221に送信する。この証明書管理装置222の一連の処理手順については後述する。
【0087】
通信端末装置(T2)220のWWWブラウザ221は通信端末装置(T1)210にHTTPリクエストを送信する(S32)。通信端末装置(T1)210のWWWサーバ211は、HTTPリクエストを受信し、HTTPに従ってHTTPリクエストを解析し、コンテンツ212を含むレスポンスを生成して通信端末装置(T2)220に送信する(S33、S34)。通信端末装置(T2)220のWWWブラウザ221は、受信したコンテンツを表示する(S35)。先にも述べたように、この手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、詳細な説明は省略する。
【0088】
図8はX.509形式の自己署名形式の証明書の発行処理手順を示す。この図8を参照して、通信端末装置(T1)210の証明書管理装置213において、X.509形式の自己署名形式の証明書(CERT)を発行する手順を説明する。
【0089】
証明書管理装置213は、まず、秘密鍵(PRIVATEKEY)とその公開鍵(PUBLICKEY)を記憶装置214から入力し、別名(ALIAS)を任意の手段で入力する(S1301)。
【0090】
次に、証明書管理装置213は、X.509形式の証明書から署名フィールドを除いたCERTINFOを任意の手段で生成する(S1302)。CERTINFOの各フィールドの値は空とする。なお、CERTINFOの形式については、当業者にとってよく知られており、また、本発明とは直接関係しないので、その詳細な説明は省略する。
【0091】
次に、証明書管理装置213は、別名(ALIAS)をCERTINFOのsubjectNameフィールドに指定する(S1303)。また、公開鍵(PUBLICKEY)をCERTINFOのsubjectPublicKeyInfoフィールドに指定する(S1304)。
【0092】
次に、証明書管理装置213は、別名(ALIAS)の有効期間を指定するか判定し(S1305)、指定する場合、CERTINFOのnotBeforeフィールド、及び/または、notAfterフィールドを任意に指定する(S1306)。X.509形式において、notBeforeフィールドとnotAfterフィールドのうち少なくともいずれか一方に時刻情報を指定した場合、別名(ALIAS)には有効期間を指定することができる。
【0093】
次に、証明書管理装置213は、CERTINFOに秘密鍵(PRIVATEKEY)で署名する(S1307)。ここでも、本署名手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、その詳細な手順は省略する。このCERTINFOに署名したデータが証明書(CERT)となる。証明書管理装置213は、証明書(CERT)を記憶装置214に保存し(S1308)、証明書(CERT)の発行動作を終了とする。
【0094】
図9はX.509形式の自己署名形式の証明書の登録処理手順を示す。この図9を参照して、通信端末装置(T2)220の証明書管理装置222において、X.509形式の自己署名形式の証明書(CERT)を記憶装置223に登録する手順を説明する。
【0095】
通信端末装置(T2)220では、通信端末装置(T1)210が発行する証明書(CERT)をメッセージ送受信手段や検索エンジン等の任意の手段で取得する。証明書管理装置222は、この証明書(CERT)を入力する(S1401)。また、証明書管理装置222は、証明書(CERT)の公開鍵(PUBLICKEY)を任意の手段で取得する(S1402)。そして、証明書(CERT)の署名を公開鍵(PUBLICKEY)を用いて確認する(S1403)。先にも述べたように、本署名確認手順については、当業者によってよく知られており、また、本発明とは直接関係しないので、その詳細な手順は省略する。ここで、署名確認に成功しない場合(S1404でNO)、この時点で処理は終了となる。
【0096】
証明書管理装置222は、証明書(CERT)の署名確認に成功した場合(S1404でYES)、現在の時刻情報tを任意の手段で取得する(S1405)。また、証明書(CERT)のnotBeforeフィールドとnotAfterフィールドを参照して、それぞれから、有効期間の開始時刻情報NOTBEFOREと有効期間の終了時刻情報NOTAFTERを取得する(S1406)。
【0097】
次に、証明書管理装置222は、少なくともNOTBEFOREとNOTAFTERのいずれかを取得したか判定する(S1407)。即ち、別名(ALIAS)の有効期間が指定されているか否かを調べる。ここで、NOTBEFOREとNOTAFTERのいずれも取得しなかった場合(S1407でNO)には、ステップS1410に進む。一方、NOTBEFOREとNOTAFTERのうち少なくともいずれか一方を取得した場合(S1407でYES)は、それを時刻情報tと比較する(S1408)。そして、NOTBEFORE≦t 、及び/または、t≦NOTAFTERを満足した場合に限り(S1409でYES)、ステップS1410に進む。また、満足しない場合(S1409でNO)、即ち、現在の時刻が有効期間に含まれない場合、この時点で処理は終了となる。
【0098】
証明書管理装置122は、S1407でNO(有効期間の指定なし)、あるいはS1409でYES(指定の有効期間内)の場合、証明書(CERT)のsubjectNameフィールドを参照して別名(ALIAS)を取得する(S1410)。そして、別名(ALIAS)を記憶装置223に提示して検索する(S1411)。ここで、別名(ALIAS)と完全一致するデータが記憶装置123に含まれていない場合(S1412でNO)には、証明書管理装置222は、別名(ALIAS)と証明書(CERT)を関連付けて記憶装置223に登録し(S1413)、動作を終了とする。
【0099】
一方、証明書管理装置222は、別名(ALIAS)と完全一致するデータが記憶装置223に含まれている場合(S1412でYES)には、即ち、別名(ALIAS)が登録済みの場合には、先に述べたと同様にして、別名(ALIAS)に数字等の任意のデータを付与し、機械的に別名(ALIAS′)を生成する(S1414)。証明書管理装置222は、生成した別名(ALIAS’)と証明書(CERT)を関連付けて記憶装置123に登録し(S1415)、動作を終了とする。
【0100】
なお、先に述べたように、通信端末装置(T2)220の証明書管理装置222では、WWWブラウザ221のブックマーク管理機能で入力可能なデータ形式に従って別名(ALIAS)あるいは別名(ALIAS′)を保存する。即ち、別名(ALIAS)あるいは別名(ALIAS′)をユーザに通知する。
【0101】
図10は通信端末装置(T2)220の証明書管理装置222において、別名(ALIAS)あるいは別名(ALIAS′)から公開鍵(PUBLICKEY)を取得し、公開鍵(PUBLICKEY)を用いてIPアドレスを取得する処理手順を示したものである。
【0102】
ユーザは、通信端末装置(T2)220上のWWWブラウザ221のプロキシサーバの設定項目に通信端末装置(T1)210の証明書管理装置213のホスト名またはIPアドレスとポート番号を指定するものとする。
【0103】
先に述べたように、ユーザは、WWWブラウザ221においてURLを入力するフィールドに別名(ALIAS)をURLで定められる形式に従って入力する。WWWブラウザ221は、別名(ALIAS)あるいは別名(ALIAS′)を含むURLを参照してHTTPリクエストを生成し、このHTTPリクエストを証明書管理装置222にHTTPに従って送信する。
【0104】
以下、図10を参照して、通信端末装置(T2)220の証明書管理装置222において公開鍵(PUBLICKEY)を取得し、公開鍵(PUBLICKEY)を用いて通信端末装置(T1)210のIPアドレスを取得する手順を説明する。
【0105】
証明書管理装置222は、HTTPリクエストを入力して(S1501)、HTTPリクエストからHostヘッダを取得し(S1502)、Hostヘッダから別名(ALIAS)あるいは別名(ALIAS′)を取得する(S1503)。そして、別名(ALIAS)あるいは別名(ALIAS′)を記憶装置223に提示して検索し、別名(ALIAS)をsubjectNameフィールドに含む証明書(CERT)を取得する(S1504)。
【0106】
次に、証明書管理装置222は、証明書(CERT)のnotBeforeフィールドとnotAfterフィールドを参照して、それぞれから、有効期間の開始時刻情報NOTBEFOREと有効期間の終了時刻情報NOTAFTERを取得する(S1505)。ここで、NOTBEFOREとNOTAFTERをいずれも取得できなかった場合(S1506でNO)には、ステップ1510に進む。
【0107】
一方、NOTBEFOREとNOTAFTERのうちいずれか一方を取得した場合(S1506でYES)、証明書管理装置222は、現在の時刻情報tを任意の手段で取得し(S1507)、時刻情報tとNOTBEFORE、及び/または、時刻情報tとNOTAFTERを比較する(S1508)。そして、NOTBEFORE≦t、及び/または、t≦NOTAFTERを満足した場合に限り(S1509でYES)、ステップ1510に進む。満足しない場合には(S1509でNO)、この時点で処理は終了となる。
【0108】
証明書管理装置222は、S1506でNO(有効期間の指定なし)、あるいはS1509でYES(指定の有効期間内)の場合、証明書(CERT)のsubjectPublicKeyInfoフィールドを参照して公開鍵(PUBLICKEY)を取得する(S1510)。
【0109】
証明書管理装置222は、公開鍵(PUBLICKEY)を名前解決ディレクトリ230に提示して検索し、通信端末装置(T1)210のIPアドレスを取得する(S1511)。そして、HTTPリクエストとIPアドレスを出力して(S1512)、動作を終了する。
【0110】
先に述べたように、以後、通信端末装置(T2)220は、IPアドレスにより通信端末装置(T1)210にHTTPリクエストを送信する。そして、通信端末装置(T1)210からコンテンツを受信し、WWWブラウザ221にて表示する。
【0111】
以上述べたように、本実施例は、通信端末装置(T1)210の証明書管理装置213において生成した公開鍵(PUBLICKEY)と通信端末装置(T1)210のIPアドレスを名前解決ディレクトリ230で関連付けて管理する。これによって、通信端末装置(T2)220は公開鍵(PUBLICKEY)を名前解決ディレクトリ230に提示して検索することにより、通信端末装置(T1)210のIPアドレスを取得できる。従って、通信端末装置(T2)220は通信端末装置(T1)210を公開鍵を用いて識別できるという効果が得られる。
【0112】
また、本実施例は、通信端末装置(T2)220の証明書管理装置222によって参照される記憶装置223において、通信端末装置(T1)210の公開鍵(PUBLICKEY)と通信端末装置(T1)210の別名(ALIAS)を関連付けて管理する。従って、通信端末装置(T2)220のユーザは、別名(ALIAS)あるいは別名(ALIAS′)を用いて通信端末装置(T1)210を指定できるという効果が得られる。
【0113】
また、本実施例は、通信端末装置(T1)210の証明書管理装置213において、通信端末装置(T1)210の公開鍵(PUBLICKEY)と通信端末装置(T1)210の別名(ALIAS)をX.509形式の自己署名形式の公開鍵証明書(CERT)を用いて関連付ける。従って、通信端末装置(T1)210のユーザは自ら、通信端末装置(T1)210に任意の別名(ALIAS)を命名できるという効果が得られる。また、別名(ALIAS)に任意の有効期間を指定できるという効果がある。
【0114】
また、本実施例は、通信端末装置(T2)210の証明書管理装置222において、通信端末装置(T1)210の公開鍵(PUBLICKEY)を用いて証明書(CERT)の署名を確認するという動作を実行する。従って、通信端末装置(T1)210の別名(ALIAS)が通信端末装置(T1)210によって命名されたことを客観的に証明できるという効果が得られる。
【0115】
また、本実施例は、通信端末装置(T1)210の証明書管理装置213、及び、通信端末装置(T2)220の証明書管理装置222は、WWWサーバ、及び、WWWブラウザとHTTPに従って通信するという動作を実行する。従って、端末上で動作するWWWサーバへのURLを別名を用いて指定できるという効果が得られる。
【0116】
また、本実施例は、通信端末装置(T1)210の証明書管理装置213において、証明書(CERT)に有効期間の開始時刻情報NOTBEFORE、及び/または、有効期間の終了時刻情報NOTAFTERを指定し、通信端末装置(T2)220の証明書管理装置222において、現在の時刻情報tと比較するという動作を実行する。従って、別名ALIASに任意の有効期間を指定できるという効果がある。
【0117】
なお、通信端末装置(T1)210が証明書(CERT)を送信する手段を、インターネットメールから、インスタントメッセージングまたはチャット等の任意のメッセージ送受信手段に置き換えてもよい。同様に、通信端末装置(T1)210が証明書(CERT)を送信する手段を、インターネットメールから、通信端末装置(T1)210が証明書(CERT)を検索可能な任意のディレクトリまたはデータベースに登録する手段に置き換えてもよい。
【0118】
これに対応して、通信端末装置(T2)220が証明書(CERT)を受信する手段を、インターネットメールから、インスタントメッセージングまたはチャット等の任意のメッセージ送受信手段に置き換えてもよい。同様に、通信端末装置(T2)220が証明書(CERT)を受信する手段を、インターネットメールから、通信端末装置(T2)220が証明書CERTを検索可能な任意のディレクトリまたはデータベースから任意の手段で検索して取得する手段に置き換えてもよい。
【0119】
また、名前解決ディレクトリ230は公開鍵(PUBLICKEY)とIPアドレスを関連付けて管理しているが、公開鍵(PUBLICKEY)のハッシュ値(HASH)とIPアドレスを関連付けて管理してもよい。この場合、通信端末装置(T1)210の証明書管理装置213において、公開鍵(PUBLICKEY)を名前解決ディレクトリ230に登録する処理を、公開鍵(PUBLICKEY)のハッシュ値(HASH)を算出してから、算出したハッシュ値(HASH)を名前解決ディレクトリ230に登録する処理に変更する。かつ、通信端末装置(T2)220の証明書管理装置222において、名前解決ディレクトリ230に公開鍵(PUBLICKEY)を提示してIPアドレスを取得する処理を、名前解決ディレクトリ230にハッシュ値(HASH)を提示してIPアドレスを取得する処理に変更する。かつ、図10に示すsubjectPublicKeyInfoから公開鍵(PUBLICKEY)を取得する処理(S1510)を、subjectPublicKeyInfoフィールドから公開鍵(PUBLICKEY)を取得してハッシュ値(HASH)を算出する処理に変更する。かつ、図10に示す名前解決ディレクトリ230に公開鍵(PUBLICKEY)を提示してIPアドレスを取得する処理(S1511)を、名前解決ディレクトリ230にハッシュ値(HASH)を提示してIPアドレスを取得する手順に変更する。
【0120】
また、図6に示す実施例においては、通信端末装置(T1)210でWWWサーバを運用しているが、通信端末装置(T2)220でWWWサーバを運用してもよい。証明書管理装置213と証明書管理装置222は共通の機能を持つため、本実施例のこれまでの説明において、証明書管理装置213を証明書管理装置222に変更し、かつ、証明書管理装置222を証明書管理装置213に変更することにより実施できる。
【0121】
なお、各実施形態で示した証明書管理装置における各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、その処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FDや、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【0122】
【発明の効果】
以上説明したように、本発明においては、次のような効果を奏する。
(1) 公開鍵を用いて端末を識別できることである。その理由は、端末の証明書管理装置において生成した公開鍵とその端末のIPアドレスをディレクトリで関連付けて管理するためである。
(2) 別名を用いて端末を指定できることである。その理由は、端末の証明書管理装置において、端末の公開鍵と端末の別名を関連付けて管理するためである。
(3) 端末に任意の別名を命名できることである。その理由は、端末の証明書管理装置において、ローカルな名前空間を定義可能な、SPKI形式の自己署名形式の証明書またはX.509形式の自己署名形式の証明書を用いて端末の公開鍵と端末の別名を関連付けるためである。
(4) 端末の別名が端末の公開鍵の所有者によって命名されたことを客観的に証明できることである。その理由は、端末の証明書管理装置において、公開鍵を用いて証明書の署名を確認するという動作を実行するためである。
(5) 端末上で動作するWWWサーバに任意の別名を命名できることである。その理由は、端末の証明書管理装置はHTTPに従って通信するためである。
【図面の簡単な説明】
【図1】本発明の第一の実施形態におけるシステム構成図である。
【図2】本発明の第一の実施形態における全体の処理手順を示す図である。
【図3】本発明の第一の実施形態における証明書発行手順を示す図である。
【図4】本発明の第一の実施形態における証明書登録手順を示す図である。
【図5】本発明の第一の実施形態におけるハッシュ値取得並びにIPアドレス取得手順を示す図である。
【図6】本発明の第二の実施形態におけるシステム構成図である。
【図7】本発明の第二の実施形態における全体の処理手順を示す図である。
【図8】本発明の第二の実施形態における証明書発行手順を示す図である。
【図9】本発明の第二の実施形態における証明書登録手順を示す図である。
【図10】本発明の第二の実施形態におけるハッシュ値取得並びにIPアドレス取得手順を示す図である。
【符号の説明】
100,200 インターネット
110,210 通信端末装置
111,211 WWWサーバ
112,212 コンテンツ
123,213 証明書管理装置
124,214 記憶装置
120,220 通信端末装置
121,221 WWWブラウザ
122,222 証明書管理装置
123,223 記憶装置[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a name resolution technology for obtaining an IP (International Protocol) address of a communication terminal device using a host name or a domain name of the communication terminal device on the Internet, and in particular, to a name resolution that can arbitrarily name a host name or a domain name. The present invention relates to a method and a system, a name resolution directory, a communication terminal device, a program thereof, and a recording medium.
[0002]
[Prior art]
2. Description of the Related Art A domain name system (DNS) has been widely used as a technique for mutually converting a host name or a domain name and an IP address on the Internet. In this domain name system, in order to obtain an IP address using a host name or a domain name, an A (Address) record or an AAAA record is used to convert the entire domain name FQDN (Fully Qualified Domain Name) of the host and the IP address. A method of associating, a method of associating and defining a canonical name and an alias of a host using a CNAME (Canonical Name) record, and a method of associating and defining a domain name with a name server that manages the domain by using an NS (Name Server) record , Or a combination of multiple methods.
[0003]
By the way, there is a problem that the domain name system cannot arbitrarily name a domain name or a host name. The reason is that the FQDN specified using the A record or the AAAA record needs to be globally unique. Also, the CNAME record needs to be unique within the domain. Further, in order to resolve its own domain name from the outside, it is necessary to have an upper-level name server register an NS record that associates its own domain name with a name server that manages the domain name.
[0004]
In addition, the domain name system has a problem that it takes time until a newly registered or changed host name or domain name becomes available. The reason is that it takes time until the updated DNS record is reflected. Further, since the domain name system does not perform authentication, there is a problem that it is difficult to prevent impersonation of the DNS server. Furthermore, there is a problem that the domain name system is vulnerable to a denial of service attack.
[0005]
Conventionally, various countermeasures have been proposed for a domain name system, and the main technologies thereof include a DNS server filter (for example, Patent Document 1), a Dynamic DNS (for example, Non-Patent Document 1), and a TSIG (Transaction Signature) ( For example, there are Non-Patent Document 2) and DNSSEC (DNS Security) (for example, Non-Patent Document 3). Some of these solve some of the above problems.
[0006]
The DNS server filter combines a DNS with an arbitrary packet filter device, first verifies a message to the DNS server with the packet filter device, and forwards only a correct packet to the DNS. This makes it possible to protect the DNS server from overload due to a denial of service attack.
[0007]
Dynamic DNS is a technology for dynamically updating records managed by a DNS server. The client host sends an update request to the DNS server. Upon receiving the update request, the DNS server associates or updates the record with the host name of the client host and the IP address. According to the present technology, it is possible to identify a host with the same host name even if the IP address changes.
[0008]
TSIG (Transaction Signature) is a technology for signing a query and response to a DNS server using a shared secret key. According to the present technology, since the identity of the transmission side and the integrity of the communication content can be guaranteed, it is possible to prevent a response from a spoofed DNS server, falsification of an inquiry or a response.
[0009]
DNSSECurity (DNSSECurity) is a method in which a query and response to a DNS server are signed using a secret key and authenticated using a public key. The secret key is signed with the secret key of the DNS server that manages the higher-level zone. In addition, X. 509, a PGP (Pretty Good Privacy), SPKI (Simple Public Key Infrastructure) type certificate or a public key can be used. According to the present technology, since the identity of the DNS server can be guaranteed, it is possible to prevent a response from the spoofed DNS server.
[0010]
The SPKI (Simple Public Key Infrastructure) method is an access control and name management method using a public key (for example, Non-Patent Document 4, Non-Patent Document 5, and Non-Patent Document 6). Manage public keys and user permissions by associating them. SPKI does not require a certificate authority because it does not need to confirm its name when verifying authority. Therefore, it is possible to manage names in a local namespace. Names in SPKI are managed in a trusted domain rooted at any public key. Therefore, the user can give an arbitrary name.
[0011]
In SPKI, there is a name certificate as a method for associating a public key with a local name. In Non-Patent Document 6, auto-certificate is a self-signed authority certificate that associates a mail address as information for accessing a certain user with a public key for identifying the user on a network. The authority certificate called is shown.
[0012]
[Patent Document 1]
JP, 2001-203762, A “DNS server filter”
[Non-patent document 1]
P. Vixie, S.M. Thomson, Y .; Rekhter, J .; Bound, "Dynamic Updates in the Domain Name Systems", [online], published April 1997, RFC2136, Internet Engineering Task, April 2002, September 2002.
Internet <URL: http: // www. Ietf. org / rfc / rfc2136. txt>
[Non-patent document 2]
P. Vixie, O .; Gudmundsson, D .; Eastlake, B .; Wellington, "Secret Key Transaction Authentication for DNS (TSIG)", [online], published May 2000, RFC 2845, Internet Engineering, February 2000, Engine Engineering, February 2000 24th search],
Internet <URL: http: // www. Ietf. org / rfc / rfc2845. txt>
[Non-Patent Document 3]
D. Eastlake, "Domain Name Systems Security Extensions",
[Online], published in March, 1999, RFC2535, Internet Engineering Task Force, [searched on September 24, 2002],
Internet <URL: http: // www. Ietf. org / rfc / rfc2535. txt>
[Non-patent document 4]
C. Ellisson, B .; Frantz, B .; Lampson, R .; Rivest, B .; Thomas, T .; Ylonen, "SPKI Certificate Theory", [online], published in September 1999,
RFC2693, Internet Engineering Task Force, [searched September 19, 2002],
Internet <URL: http: // www. Ietf. org / rfc / rfc2693. txt>
[Non-Patent Document 5]
C. Ellisson, B .; Frantz, B .; Lampson, R .; Rivest, B .; Thomas,
T. Ylonen, "Simple Public Key Infrastructure <draft-ietf-spki-cert-structure-.06.TXT>". online], published on July 26, 1999, Internet Engineering Task Force, [searched on September 19, 2002],
Internet <URL: http: // world. Std. com /  ̄cme / spki. txt>
[Non-Patent Document 6]
C. Ellisson, B .; Frantz, B .; Lampson, R .; Rivest, B .; Thomas, T .; Ylonen, "SPKI Examples <draft-ietf-spki-cert-examples-01.txt>", [online], Internet Engineering Task Force, [Retrieved September 19, 2002],
Internet <URL: http: // world. Std. com / @ cme / examples. txt>
[0013]
[Problems to be solved by the invention]
As described above, various measures have been proposed for the domain name system, but the conventional domain system has the following problems.
[0014]
The first problem is that a domain name cannot be obtained arbitrarily. For example, the Dynamic DNS shown in Non-Patent Document 1 and the DNS filter shown in Patent Document 1 both operate in the framework of the domain name system. The domain name system has a limitation that the domain name specified in the DNS record needs to be globally unique. Also, there is a restriction that the CNAME record needs to be unique within the domain.
[0015]
The second problem is the management cost required to secure the DNS server safely. For example, the TSIG described in Non-Patent Document 2 requires a shared secret key, and the DNSSEC described in Non-Patent Document 3 requires a management cost for updating and exchanging a public key or a certificate.
[0016]
A third problem is that it is difficult to use SPKI, especially auto-certificate. The theory of SPKI is described in Non-Patent Document 4, and the format of a certificate used in SPKI is described in Non-Patent Document 5, but the method of use is not clear. In addition, the authority certificate called “Auto-certificate” exemplified in “3.3 Auto-certificate” of Non-Patent Document 6 merely shows the format of the certificate, and its use method is explicitly described. It has not been.
[0017]
The present invention has been made in view of the above-described problems of the domain name system, and has as its object to arbitrarily change the host name or domain name of a WWW (World Wide Web) server or the like without using the domain name system. An object of the present invention is to provide a name resolution method and system that can be named, a name resolution directory, a communication terminal device, its program, and a recording medium.
[0018]
Another object of the present invention is to provide a name resolution method and system that can objectively prove that a host name or a domain name of a WWW server or the like is not forged, a name resolution directory, a communication terminal device, a program therefor, and a recording medium. It is to provide.
[0019]
[Means for Solving the Problems]
According to the present invention, a name resolution directory for managing a public key of a communication terminal or a hash value thereof and an IP address of the communication terminal in association with each other is provided on the Internet. The communication terminal has an SPKI (Simple Public Key Infrastructure) format for associating a public key with an alias of the communication terminal, or an X.100 format. A certificate management device for issuing and managing certificates in the form of, for example, 509 format is provided.
[0020]
In the present invention, an operation of presenting the public key generated by the certificate management device of the communication terminal or the hash value thereof to the name resolution directory and acquiring the IP address of the terminal is executed. Therefore, an effect is obtained that the communication terminal device can be identified using the public key or its hash value.
[0021]
Further, in the present invention, the certificate management device of the communication terminal performs an operation of managing the public key of the communication terminal and the alias of the communication terminal in association with each other. Therefore, an effect is obtained that the user can specify the communication terminal using the alias.
[0022]
In the present invention, a self-signed certificate in the SPKI format or The public key of the communication terminal and the alias of the communication terminal are associated using the self-signed certificate of the 509 format. SPKI format certificate or self-signed X. By using a certificate of the 509 format, a local namespace can be defined. Therefore, an effect is obtained that an arbitrary alias can be named for the communication terminal.
[0023]
According to the present invention, the certificate management device of the communication terminal performs an operation of confirming the signature of the certificate using the public key. Therefore, it is possible to objectively prove that the alias is named by the owner of the private key corresponding to the public key.
[0024]
Further, in the present invention, the certificate management device of the communication terminal executes an operation of communicating with a WWW browser or a WWW server according to HTTP. Therefore, an effect is obtained that the URL to the WWW server operating on the communication terminal can be specified using an alias.
[0025]
BEST MODE FOR CARRYING OUT THE INVENTION
[Embodiment 1]
This embodiment is an example of associating a terminal public key with a terminal alias using a self-signed certificate in SPKI format.
FIG. 1 shows a system configuration diagram of the present embodiment. In FIG. 1, an arbitrary communication terminal (T1) 110, communication terminal (T2) 120, and name resolution directory 130 are connected via the Internet 100. Here, it is assumed that the communication terminal device 110 is a content providing side and the communication terminal device 120 is a user side. The communication terminal device 110 includes an arbitrary WWW server 111, an arbitrary content 112, a certificate management device 113, and an arbitrary storage device 114. Further, the communication terminal device 120 includes an arbitrary WWW browser 121, a certificate management device 122, and an arbitrary storage device 123.
[0026]
Here, the certificate management apparatuses 113 and 122 communicate with the WWW server 111 or the WWW browser 121 via HTTP (Hyper Text Transfer Protocol).
[0027]
Both certificate management devices 113 and 122 have the common functions (1) to (5) below.
(1) A function of inputting an alias, a secret key, and a public key, and issuing an authority certificate in a self-signed format in SPKI format that associates the alias with the public key.
(2) A function of associating an alias with a public key or its hash value and managing it.
(3) A function of registering a public key or its hash value in a name resolution directory.
(4) A function of presenting a public key or its hash value to a name resolution directory and acquiring an IP address.
(5) A function of outputting an alias to a bookmark format of an arbitrary WWW browser.
[0028]
It should be noted that the functions such as (4) and (5) can be omitted in the certificate management device in the communication terminal device that only provides contents. Further, in the certificate management device in the communication terminal device that only browses contents, the functions (1) and (3) can be omitted.
[0029]
The storage device 114 of the communication terminal device (T1) 110 manages a secret key (PRIVATEKEY), a corresponding open key (PUBLICKEY), and a certificate (CERT). In the present embodiment, the certificate (CERT) is a self-signed authority certificate in the SPKI format that associates the alias (ALIAS) of the communication terminal device (T1) with the public key (PUBLICKEY). The storage device 123 of the communication terminal device (T2) 120 manages the certificate (CERT) in association with the alias (ALIAS) or the alias (ALIAS '). When the content is provided by the communication terminal device (T2) 120 and a WWW server is operated, the storage device 123 also manages the secret key and the public key of the communication terminal device (T2) 120.
[0030]
The name resolution directory 130 manages the public key (PUBLICKEY) or the hash value (HASH) of the public key in association with the IP address of the communication terminal device (T1) 110. In the following, it is assumed that the hash value (HASH) of the public key and the IP address of the communication terminal device (T1) 110 are managed in the name resolution directory 130 in association with each other.
[0031]
Next, an overall processing sequence in the embodiment of FIG. 1 will be described with reference to FIG.
The communication terminal device (T1) 110 generates a secret key (PRIVATEKEY) and a corresponding public key (PUBLICKEY) by using an arbitrary public key encryption algorithm such as RSA encryption (Rivest-Shamir-Adleman Scheme) (S1). ). This kind of key generation procedure is well known to those skilled in the art, and is not directly related to the present invention, so that the detailed description is omitted. The generated private key (PRIVATEKEY) and public key (PUBLICKEY) are stored in the storage device 114.
[0032]
In the certificate management device 113 of the communication terminal device (T1) 110, an alias (ALIAS) is input by an arbitrary means, a secret key (PRIVATEKEY) and a public key (PUBLICKEY) are input from the storage device 114, and a public key (PUBLICKEY) is input. In addition to generating a hash value (HASH) of the public key (PUBLICKEY), a self-signed authority certificate (CERT) in the SPKI format that associates the public key (PUBLICKEY) with an alias is generated (S2). The procedure for generating the certificate will be described later. The generated authority certificate (CERT) in the self-signed format in the SPKI format is stored in the storage device 114.
[0033]
Further, the certificate management device 113 of the communication terminal device (T1) 110 obtains the IP address of the communication terminal device (T1) 110 by an arbitrary means, and obtains the hash value (HASH) of the public key (PUBLICKEY) and the IP address. Is transmitted to the name resolution directory 130 (S3). The name resolution directory 130 registers the hash value (HASH) in association with the IP address (S4).
[0034]
The communication terminal device (T1) 110 transmits a certificate (CERT) to the communication terminal device (T2) 120 by using an arbitrary message transmitting / receiving means such as Internet mail, instant messaging, and chat (S5). Similarly, the communication terminal device (T2) 120 receives the certificate (CERT) using any message transmitting / receiving means such as Internet mail, instant messaging, and chat. The communication terminal device (T1) 110 publishes the certificate (CERT) on the Internet, and the communication terminal device (T2) 120 knows the publishing of the certificate (CERT) by an arbitrary search engine. May be obtained. In any case, since it is not directly related to the present invention, a detailed description thereof will be omitted.
[0035]
The certificate management device 122 of the communication terminal device (T2) 120 acquires the alias (ALIAS) from the certificate (CERT), associates the alias (ALIAS) with the certificate (CERT), and registers it in the storage device 123 (S6). ). Here, if data that completely matches the alias (ALIAS) already exists in the storage device 123, an alias (ALIAS ') is generated, and the alias (ALIAS') is associated with the certificate (CERT) and stored in the storage device 123. register. Details of the certificate (CERT) registration procedure will be described later.
[0036]
Further, the certificate management device 122 of the communication terminal device (T2) 120 stores the alias (ALIAS) or the alias (ALIAS ') according to the data format that can be input by the bookmark management function of the WWW browser 121 (S7). For example, when Internet Explorer, which is a WWW browser of Microsoft Corporation, is used, the file is converted into a file in a format specified by Internet Explorer. This format is well known to those skilled in the art, and is not directly related to the present invention, so that the detailed structure is omitted.
[0037]
When browsing the content 112 of the communication terminal device (T1) 110, the user of the communication terminal device (T2) 120 uses the WWW browser 121 to input an alias (ALIAS) or an alias (ALIAS ') in the URL input field. Input according to the format defined by the URL. The WWW browser 121 generates an HTTP request with reference to the URL including the alias (ALIAS) or the alias (ALIAS '), and transmits the HTTP request to the certificate management device 122. According to the HTTP standard, the alias (ALIAS) or the alias (ALIAS ') is specified in the Host header of the HTTP request. Since these are well known to those skilled in the art and are not directly related to the present invention, detailed description will be omitted.
[0038]
The certificate management device 122 of the communication terminal device (T2) 120 acquires the alias (ALIAS) or the alias (ALIAS ') from the Host header of the HTTP request, searches the storage device 123 using the alias, and uses the certificate to retrieve the certificate (CERT). ) Is obtained, and the hash value (HASH) of the public key (PUBLICKEY) is extracted from the certificate (CERT) (S8). Next, the certificate management device 122 of the communication terminal device (T2) 120 presents the hash value (HASH) to the name resolution directory 130 (S9), and the name resolution directory 130 is associated with the hash value (HASH). An IP address is searched (S10) and presented to the certificate management device 122 of the communication terminal device (T2) 120 (S11). The certificate management device 122 sends the HTTP request and the IP address to the WWW browser 121. A series of processing procedures of the certificate management device 122 will be described later.
[0039]
The WWW browser 121 of the communication terminal device (T2) 120 transmits an HTTP request to the communication terminal device (T1) 110 (S12). The WWW server 111 of the communication terminal device (T1) 110 receives the HTTP request, analyzes the HTTP request according to the HTTP, generates a response including the content 112, and transmits the response to the communication terminal device (T2) 120 (S13, S14). ). The WWW browser 121 of the communication terminal device (T2) 120 displays the received content (S15). This procedure is well known by those skilled in the art and is not directly related to the present invention, so that detailed description is omitted.
[0040]
FIG. 3 shows a procedure for issuing a certificate in a self-signed format in SPKI format. Referring to FIG. 3, a procedure for issuing a self-signed certificate (CERT) in SPKI format in certificate management device 113 of communication terminal device (T1) 110 will be described.
[0041]
First, the certificate management device 113 inputs the private key (PRIVATEKEY) and its public key (PUBLICKEY) from the storage device 114, and inputs an alias (ALIAS) by any means (S1001). Then, a hash value (HASH) of the public key (PUBLICKEY) is generated using an arbitrary hash algorithm such as SHA-1, MD5 (S1002). The hash value (HASH) is in a character string format.
[0042]
Next, the certificate management apparatus 113 generates 5-tuple format CERTINFO in SPKI by any means (S1003). The format of CERTINFO conforms to the definition in “9. Full BNF” in Non-Patent Document 5, and the details of the format are omitted here. The hash value (HASH) is specified in both the issuer field and the subject field of CERTINFO by any means (S1004). It is assumed that the specification format of the hash value (HASH) conforms to the definition in “9. Full BNF” of Non-Patent Document 5. Also, an alias (ALIAS) is specified in the tag field of CERTINFO by any means (S1005).
[0043]
Next, the certificate management apparatus 113 determines whether to specify the validity period of the alias (ALIAS) (S1007), and if so, arbitrarily specifies the not-before field and / or the not-after field of CERTINFO. (S1007). In SPKI, when time information is specified in at least one of the not-before field and the not-after field, the validity period can be specified in the alias (ALIAS).
[0044]
Next, the certificate management device 113 signs CERTINFO with a private key (PRIVATEKEY) (S1008). The signature procedure is well known by those skilled in the art and is not directly related to the present invention, so that the detailed procedure is omitted. It is assumed that the structure of the signature complies with the definition in “9. Full BNF” in Non-Patent Document 5. The data signed with CERTINFO is a certificate (CERT). The certificate management device 113 stores the certificate (CERT) in the storage device 114 (S1009), and ends the operation of issuing the certificate (CERT).
[0045]
FIG. 4 shows a processing procedure for registering a certificate in a self-signed format in the SPKI format. Referring to FIG. 4, a procedure for registering a self-signed certificate (CERT) in SPKI format in storage device 123 in certificate management device 122 of communication terminal device (T2) 120 will be described.
[0046]
In the communication terminal device (T2) 120, a certificate (CERT) issued by the communication terminal device (T1) 110 is obtained by an arbitrary means such as a message transmitting / receiving means or a search engine. The certificate management device 122 inputs this certificate (CERT) (S1101). Further, the certificate management device 122 obtains the public key (PUBLICKEY) of the certificate (CERT) by any means (S1102). Then, the signature of the certificate (CERT) is confirmed using the public key (PUBLICKEY) (S1103). This signature confirmation procedure is well known by those skilled in the art and is not directly related to the present invention, so that the detailed procedure is omitted. If the signature check does not succeed (NO in S1104), the process ends at this point.
[0047]
When the signature check of the certificate (CERT) is successful (YES in S1104), the certificate management device 122 acquires the current time information t by any means (S1105). Also, referring to the not-before field and the not-after field of the certificate (CERT), the valid time start time information NOTBEFORE and the valid time end time information NOTAFTER are acquired from each (S1106).
[0048]
Next, the certificate management device 122 determines whether at least one of NOTBEFORE and NOTAFTER has been acquired (S1107). That is, it is checked whether or not the validity period of the alias (ALIAS) is specified. Here, if neither NOTBEFORE nor NOTAFTER has been acquired (NO in S1107), the process proceeds to step S1110. On the other hand, if at least one of NOTBEFORE and NOTATER is acquired (YES in S1107), it is compared with the time information t (S1108). Then, only when NOTBEFORE ≦ t and / or t ≦ NOTAFTTER is satisfied (YES in S1109), the process proceeds to step S1110. If not satisfied (NO in S1109), that is, if the current time is not included in the validity period, the process ends at this point.
[0049]
If NO in S1107 (no validity period is specified) or YES in S1109 (within the validity period), the certificate management device 122 obtains an alias (ALIAS) from the issuer field or subject field of the certificate (CERT). (S1110). Then, the alias (ALIAS) is presented to the storage device 123 and searched. (S1111). If data that completely matches the alias (ALIAS) is not included in the storage device 123 (NO in S1112), the certificate management device 122 associates the alias (ALIAS) with the certificate (CERT) and associates the storage device 123 with the certificate (CERT). (S1113), and the operation ends.
[0050]
On the other hand, when the data completely matching the alias (ALIAS) is included in the storage device 123 (YES in S1112), that is, when the alias (ALIAS) is already registered, Arbitrary data such as numbers is added to the alias (ALIAS), and the alias (ALIAS ') is mechanically generated (S1114). For example, when the alias “Kuda” exists in the storage device 123, the alias “Kuda 1” is generated. Then, whether the alias “Kuda 1” exists in the storage device 123 is searched again, and if it does not exist, the alias “Kuda 1” is determined. If the alias “Hisa 1” also exists in the storage device 123, the alias “Hita 2” is generated next. The same applies to the following, and finally the alias “Kuda n” (n = 1, 2,...) Is determined. The certificate management device 122 associates the generated alias (ALIAS ') with the certificate (CERT) and registers it in the storage device 123 (S1115), and ends the operation.
[0051]
As described above, the certificate management device 122 of the communication terminal device (T2) 120 stores the alias (ALIAS) or the alias (ALIAS ′) according to the data format that can be input by the bookmark management function of the WWW browser 121. I do. That is, the user is notified of the alias (ALIAS) or the alias (ALIAS ').
[0052]
FIG. 5 shows that the certificate management device 122 of the communication terminal device (T2) 120 obtains a hash value (HASH) from an alias (ALIAS) or an alias (ALIAS '), and obtains an IP address using the hash value (HASH). FIG.
[0053]
The user specifies the host name or the IP address and the port number of the certificate management device 113 of the communication terminal device (T1) 110 in the setting items of the proxy server of the WWW browser 121 on the communication terminal device (T2) 120. . The procedure of this operation is well known by those skilled in the art and is not directly related to the present invention, so that the detailed procedure is omitted.
[0054]
As described above, the user inputs an alias (ALIAS) in a field for inputting a URL in the WWW browser 121 according to a format defined by the URL. The WWW browser 121 generates an HTTP request by referring to the URL including the alias (ALIAS) or the alias (ALIAS '), and transmits the HTTP request to the certificate management device 122 according to the HTTP.
[0055]
Hereinafter, referring to FIG. 5, certificate management device 122 of communication terminal device (T2) 120 obtains hash value (HASH), and uses hash value (HASH) to obtain the IP address of communication terminal device (T1) 110. The procedure for acquiring the information will be described.
[0056]
The certificate management device 122 inputs an HTTP request (S1201), acquires a Host header from the HTTP request (S1202), and acquires an alias (ALIAS) or an alias (ALIAS ') from the Host header (S1203). Then, the alias (ALIAS) or the alias (ALIAS ') is presented to the storage device 123 and searched, and a certificate (CERT) including the alias (ALIAS) in the tag field is acquired (S1204).
[0057]
Next, the certificate management device 122 refers to the not-before field and the not-after field of the certificate (CERT), and acquires the valid time start time information NOTBEFORE and the valid time end time information NOTAFTER from the respective fields. (S1205). Here, if neither NOTBEFORE nor NOTAFTER can be obtained (NO in S1206), the process proceeds to step 1210.
[0058]
On the other hand, when either one of NOTBEFORE and NOTAFTER is acquired (YES in S1206), the certificate management device 122 acquires the current time information t by any means (S1207), and acquires the time information t, NOTBEFORE, and / Or The time information t is compared with NOTAFTER (S1208). Then, only when NOTBEFORE ≦ t and / or t ≦ NOTAFTER is satisfied (YES in S1209), the process proceeds to step 1210. If not satisfied (NO in S1209), the process ends at this point.
[0059]
If NO in S1206 (no designation of the validity period) or YES in S1209 (within the validity period), the certificate management apparatus 122 refers to the issuer field or subject field of the certificate (CERT) and refers to the hash value ( HASH) is acquired (S1210).
[0060]
The certificate management device 122 presents the hash value (HASH) to the name resolution directory 130, searches and obtains the IP address (S1211). Then, the HTTP request and the IP address are output (S1212), and the operation ends.
[0061]
As described above, thereafter, the communication terminal device (T2) 120 transmits an HTTP request to the communication terminal device (T1) 110 using the IP address. Then, the content is received from the communication terminal device (T1) 110 and displayed on the WWW browser 121.
[0062]
As described above, in the present embodiment, the hash value (HASH) of the public key (PUBLICKEY) generated in the certificate management device 113 of the communication terminal device (T1) 110 and the IP address of the communication terminal device (T1) 110 The information is managed in association with the name resolution directory 130. Thus, the communication terminal device (T2) 120 can obtain the IP address of the communication terminal device (T1) 110 by presenting the hash value (HASH) to the name resolution directory 130 and searching for it. Therefore, the communication terminal device (T2) 120 has an effect of being able to identify the communication terminal device (T1) 120 using the hash value of the public key.
[0063]
Further, in the present embodiment, the hash value (HASH) of the communication terminal device (T1) 110 and the hash value (HASH) of the communication terminal device (T1) 110 are stored in the storage device 123 referred to by the certificate management device 122 of the communication terminal device (T2) 120. Alias (ALIAS) or alias (ALIAS ') is associated and managed. Therefore, an effect is obtained that the user of the communication terminal device (T2) can designate the communication terminal device (T1) 110 using the alias (ALIAS) or the alias (ALIAS ').
[0064]
Further, in the present embodiment, in the certificate management device 113 of the communication terminal device (T1) 110, the hash value (HASH) of the public key (PUBLICKEY) of the communication terminal device (T1) 110 and the hash value (HASH) of the communication terminal device (T1) 110 The alias (ALIAS) is associated using a self-signed authority certificate CERT in SPKI format. Therefore, an effect is obtained that the user of the communication terminal device T1 can name an arbitrary alias (ALIAS) for the communication terminal device T1. In addition, there is an effect that any validity period can be specified for the alias (ALIAS).
[0065]
In the present embodiment, the certificate management device 122 of the communication terminal device (T2) 120 checks the signature of the certificate (CERT) using the public key (PUBLICKEY) of the communication terminal device (T1) 110. Execute Therefore, an effect is obtained that the alias (ALIAS) of the communication terminal device (T1) 110 can be objectively proved to be named by the communication terminal device (T1) 110.
[0066]
In the present embodiment, the certificate management device 113 of the communication terminal device (T1) 110 and the certificate management device 122 of the communication terminal device (T2) 120 communicate with a WWW server and a WWW browser according to HTTP. Is performed. Therefore, an effect is obtained that the URL to the WWW server operating on the terminal can be specified using the alias.
[0067]
In the present embodiment, the certificate management device 113 of the communication terminal device (T1) 110 specifies the validity period start time information NOTBEFORE and / or the validity period end time information NOTAFTER in the certificate (CERT). The certificate management device 123 of the communication terminal device (T2) 120 performs an operation of comparing with the current time information t. Therefore, there is an effect that any validity period can be specified for the alias (ALIAS).
[0068]
Note that the means by which the communication terminal device (T1) 110 transmits the certificate (CERT) may be replaced with any message transmitting / receiving means such as instant messaging or chat from Internet mail. Similarly, means for transmitting the certificate (CERT) by the communication terminal device (T1) 110 is registered in an arbitrary directory or database where the communication terminal device (T1) 110 can search the certificate (CERT) from Internet mail. It may be replaced by a means for performing.
[0069]
Correspondingly, the means by which the communication terminal device (T2) 120 receives the certificate (CERT) may be replaced with any message sending / receiving means such as instant messaging or chat from Internet mail. Similarly, the communication terminal device (T2) 120 searches for a means for receiving the certificate (CERT) from Internet mail by any means from any directory or database from which the communication terminal device T2 can search for the certificate CERT. May be replaced with a means for acquiring the information.
[0070]
The name resolution directory 130 manages the hash value (HASH) of the public key (PUBLICKEY) in association with the IP address. However, the name resolution directory 130 may manage the public key (PUBLICKEY) in association with the IP address. In this case, in the certificate management device 113 of the communication terminal device (T1) 110, the process of registering the hash value (HASH) and the IP address in the name resolution directory 130 is performed by using the public key (PUBLICKEY) and the IP address in the name resolution directory 130. Change to the process to register in. In the certificate management device 122 of the communication terminal device (T2) 120, the process of presenting the hash value (HASH) to the name resolution directory 130 to obtain the IP address is performed, and the public key (PUBLICKEY) is stored in the name resolution directory 130. The processing is changed to the processing of presenting and acquiring the IP address. In addition, the process (S1210) of acquiring the hash value (HASH) from the issuer field or the subject field shown in FIG. 5 is changed to the process of acquiring the public key (PUBLICKEY) from the signature field of the certificate (CERT). The format of the signature field conforms to the definition in “9. Full BNF” of Non-Patent Document 5, for example. The process of presenting a hash value (HASH) to the name resolution directory 130 shown in FIG. 5 to obtain an IP address (S1211) and the process of presenting a public key (PUBLICKEY) to the name resolution directory 130 to obtain an IP address are shown. Change to processing.
[0071]
In the embodiment shown in FIG. 1, the WWW server is operated by the communication terminal device (T1) 110, but the WWW server may be operated by the communication terminal device (T2) 120. Since the certificate management device 113 and the certificate management device 122 have a common function, the certificate management device 113 is changed to the certificate management device 122 in the above description of the present embodiment, and the certificate management device This can be implemented by changing 122 to the certificate management device 113.
[0072]
[Embodiment 2]
This embodiment has the same basic configuration as that of the first embodiment, but further devises a certificate (CERT). That is, in the present embodiment, the certificate (CERT) associates the public key (PUBLICKEY) of the communication terminal device (T1) or its hash value (HASH) with the alias (ALIAS) of the communication terminal device (T1). A public key certificate in a self-signed format of the 509 format is signed with a private key (PRIVATEKEY) corresponding to the public key (PUBLICKEY) of the communication terminal device (T1).
[0073]
FIG. 6 shows a system configuration diagram of the present embodiment. 6, an arbitrary communication terminal device (T1) 210, an arbitrary communication terminal device (T2) 220, and a name resolution directory 230 are connected via the Internet 200. Also in this case, the communication terminal device 210 is on the content providing side, and the communication terminal device 220 is on the user side. The communication terminal device (T1) 210 includes an arbitrary WWW server 211, an arbitrary content 212, a certificate management device 213, and an arbitrary storage device 214. The communication terminal device (T2) 220 includes an arbitrary WWW browser 221, a certificate management device 222, and an arbitrary storage device 223.
[0074]
Both the certificate management devices 213 and 222 communicate with the WWW server 211 or the WWW browser 221 via HTTP (HyperText Transfer Protocol).
[0075]
Both the certificate management devices 213 and 222 have the following common functions (1) to (5).
(1) Input an alias, a secret key, and a public key, and associate the alias with the public key. A function to issue a public key certificate in a self-signed format in the 509 format.
(2) A function of associating an alias with a public key or its hash value and managing it.
(3) A function of associating a public key or its hash value with an IP address and registering it in a name resolution directory.
(4) A function of presenting a public key or its hash value to a name resolution directory and acquiring an IP address.
(5) A function of outputting an alias to a bookmark format of an arbitrary WWW browser.
[0076]
It should be noted that the functions such as (4) and (5) can be omitted in the certificate management device in the communication terminal device that only provides contents. Further, in the certificate management device in the communication terminal device that only browses contents, the functions (1) and (3) can be omitted.
[0077]
The storage device 214 of the communication terminal device (T1) 210 manages a secret key (PRIVATEKEY), a corresponding open key (PUBLICKEY), and a certificate (CERT). The certificate (CERT) is an X.100 certificate that associates the alias (ALIAS) of the communication terminal device (T1) 210 with the public key (PUBLICKEY). 509 is a self-signed public certificate. The storage device 223 of the communication terminal device (T2) 220 manages the certificate (CERT) in association with the alias (ALIAS) or the alias (ALIAS '). When the content is provided by the communication terminal device (T2) 220 and a WWW server is operated, the storage device 223 also manages the secret key and the public key of the communication terminal device (T2) 220.
[0078]
The name resolution directory 230 manages the public key (PUBLICKEY) or the hash value (HASH) of the public key in association with the IP address of the communication terminal device (T1) 210. Hereinafter, it is assumed that the public key and the IP address of the communication terminal device (T1) 220 are managed in the name resolution directory 230 in association with each other.
[0079]
Next, an overall processing sequence in the embodiment of FIG. 6 will be described with reference to FIG.
The communication terminal device (T1) 220 generates a secret key (PRIVATEKEY) and a corresponding public key (PUBLICKEY) by using an arbitrary public key encryption algorithm such as RSA encryption (Rivest-Shamir-Adleman Scheme) (S21). ). This kind of key generation procedure is well known to those skilled in the art and is not directly related to the present invention, so that the detailed description is omitted here. The generated private key (PRIVATEKEY) and public key (PUBLICKEY) are stored in the storage device 214.
[0080]
The certificate management device 213 of the communication terminal device (T1) 210 inputs an alias (ALIAS) by any means, inputs a secret key (PRIVATEKEY) and a public key (PUBLICKEY) from the storage device 214, and inputs a public key (PUBLICKEY). X. PUBLICKEY) and an alias (ALIAS). A self-signed public certificate (CERT) of the 509 format is generated (S22). The procedure for generating the certificate will be described later. Generated X. The public certificate (CERT) in the self-signed format in the 509 format is stored in the storage device 214.
[0081]
Further, the certificate management device 213 of the communication terminal device (T1) 210 obtains the IP address of the communication terminal device (T1) 210 by any means, and stores the public key (PUBLICKEY) and the IP address in the name resolution directory 230. It is transmitted (S23). The name resolution directory 230 registers the public key (PUBLICKEY) in association with the IP address (S24).
[0082]
The communication terminal device (T1) 210 transmits a certificate (CERT) to the communication terminal device (T2) 220 by using any message transmitting / receiving means such as Internet mail, instant messaging, and chat (S25). The communication terminal device (T2) 220 similarly receives the certificate (CERT) using any message transmitting / receiving means such as Internet mail, instant messaging, and chat. Note that the communication terminal device (T1) 210 discloses the certificate (CERT) on the Internet, and the communication terminal device (T2) 220 knows that the certificate (CERT) has been released by an arbitrary search engine, and May be obtained. In any case, since it is not directly related to the present invention, a detailed description thereof will be omitted.
[0083]
The certificate management device 222 of the communication terminal device (T2) 220 acquires the alias (ALIAS) from the certificate (CERT), associates the alias (ALIAS) with the certificate (CERT), and registers it in the storage device 223 (S26). ). Here, if data that completely matches the alias (ALIAS) already exists in the storage device 123, an alias (ALIAS ') is generated, and the alias (ALIAS') and the certificate (CERT) are associated and stored in the storage device 223. register. Details of the certificate (CERT) registration procedure will be described later.
[0084]
Further, the certificate management device 222 of the communication terminal device (T2) 220 stores the alias (ALIAS) or the alias (ALIAS ') according to the data format that can be input by the bookmark management function of the WWW browser 221 (S27). As described above, for example, when Internet Explorer, which is a WWW browser of Microsoft Corporation, is used, the file is converted into a file in a format specified by Internet Explorer.
[0085]
When browsing the content 212 of the communication terminal device (T1) 210, the user of the communication terminal device (T2) 220 uses the WWW browser 221 to enter an alias (ALIAS) or an alias (ALIAS ') in the URL input field. Input according to the format defined by the URL. The WWW browser 221 generates an HTTP request with reference to the URL including the alias (ALIAS) or the alias (ALIAS '), and transmits the HTTP request to the certificate management device 222. According to the HTTP standard, the alias (ALIAS) or the alias (ALIAS ') is specified in the Host header of the HTTP request. As described above, these are well known to those skilled in the art, and are not directly related to the present invention, so that detailed description will be omitted.
[0086]
The certificate management device 222 of the communication terminal device (T2) 220 acquires the alias (ALIAS) or the alias (ALIAS ') from the Host header of the HTTP request, searches the storage device 223 using the alias, and uses the certificate to retrieve the certificate (CERT). ) Is obtained, and a public key (PUBLICKEY) is extracted from the certificate (CERT) (S28). Next, the certificate management device 222 of the communication terminal device (T2) 220 presents the public key (PUBLICKEY) to the name resolution directory 230 (S29), and the name resolution directory 230 is associated with the public key (PUBLICKEY). An IP address is searched (S30) and presented to the certificate management device 222 of the communication terminal device (T2) 220 (S31). The certificate management device 222 sends the HTTP request and the IP address to the WWW browser 221. A series of processing procedures of the certificate management device 222 will be described later.
[0087]
The WWW browser 221 of the communication terminal device (T2) 220 transmits an HTTP request to the communication terminal device (T1) 210 (S32). The WWW server 211 of the communication terminal device (T1) 210 receives the HTTP request, analyzes the HTTP request according to the HTTP, generates a response including the content 212, and transmits the response to the communication terminal device (T2) 220 (S33, S34). ). The WWW browser 221 of the communication terminal device (T2) 220 displays the received content (S35). As described above, this procedure is well known by those skilled in the art and is not directly related to the present invention, so that detailed description will be omitted.
[0088]
FIG. The following describes a process of issuing a self-signed certificate in the 509 format. Referring to FIG. 8, certificate management device 213 of communication terminal device (T1) 210 has X. A procedure for issuing a self-signed certificate (CERT) of the 509 format will be described.
[0089]
First, the certificate management device 213 inputs a private key (PRIVATEKEY) and its public key (PUBLICKEY) from the storage device 214, and inputs an alias (ALIAS) by any means (S1301).
[0090]
Next, the certificate management device 213 sets the X. A CERTINFO obtained by removing the signature field from the 509-format certificate is generated by an arbitrary means (S1302). The value of each field of CERTINFO is empty. The format of CERTINFO is well known to those skilled in the art, and is not directly related to the present invention.
[0091]
Next, the certificate management device 213 specifies an alias (ALIAS) in the subjectName field of CERTINFO (S1303). Also, the public key (PUBLICKEY) is specified in the subjectPublicKeyInfo field of CERTINFO (S1304).
[0092]
Next, the certificate management device 213 determines whether to specify the validity period of the alias (ALIAS) (S1305), and if so, arbitrarily specifies the notBefore field and / or the notAfter field of CERTINFO (S1306). . X. In the 509 format, when time information is specified in at least one of the notBefore field and the notAfter field, the validity period can be specified in the alias (ALIAS).
[0093]
Next, the certificate management device 213 signs CERTINFO with a private key (PRIVATEKEY) (S1307). Again, the signature procedure is well known by those skilled in the art and is not directly related to the present invention, so that the detailed procedure is omitted. The data signed with CERTINFO is a certificate (CERT). The certificate management device 213 stores the certificate (CERT) in the storage device 214 (S1308), and ends the operation of issuing the certificate (CERT).
[0094]
FIG. The following describes the registration processing procedure of a self-signed certificate in the 509 format. Referring to FIG. 9, certificate management device 222 of communication terminal device (T2) 220 has X. A procedure for registering a self-signed certificate (CERT) in the storage device 223 in the storage device 223 will be described.
[0095]
The communication terminal device (T2) 220 acquires the certificate (CERT) issued by the communication terminal device (T1) 210 by an arbitrary means such as a message transmitting / receiving means or a search engine. The certificate management device 222 inputs this certificate (CERT) (S1401). Also, the certificate management device 222 obtains the public key (PUBLICKEY) of the certificate (CERT) by any means (S1402). Then, the signature of the certificate (CERT) is confirmed using the public key (PUBLICKEY) (S1403). As described above, the signature confirmation procedure is well known by those skilled in the art and is not directly related to the present invention, so that the detailed procedure is omitted. Here, if the signature check is not successful (NO in S1404), the process ends at this point.
[0096]
When the signature check of the certificate (CERT) succeeds (YES in S1404), the certificate management device 222 acquires the current time information t by any means (S1405). Also, referring to the notBefore field and the notAfter field of the certificate (CERT), the valid time start time information NOTBEFORE and the valid time end time information NOTAFTER are acquired from each (S1406).
[0097]
Next, the certificate management device 222 determines whether at least one of NOTBEFORE and NOTAFTER has been acquired (S1407). That is, it is checked whether or not the validity period of the alias (ALIAS) is specified. Here, if neither NOTBEFORE nor NOTAFTER is acquired (NO in S1407), the process advances to step S1410. On the other hand, if at least one of NOTBEFORE and NOTATER is acquired (YES in S1407), it is compared with the time information t (S1408). Only when NOTBEFORE ≦ t 1 and / or t ≦ NOTAFTER is satisfied (YES in S1409), the process proceeds to step S1410. If not satisfied (NO in S1409), that is, if the current time is not included in the validity period, the process ends at this point.
[0098]
In the case of NO in S1407 (no validity period is specified) or YES in S1409 (within the validity period), the certificate management device 122 obtains an alias (ALIAS) by referring to the subjectName field of the certificate (CERT). (S1410). Then, the alias (ALIAS) is presented to the storage device 223 and searched (S1411). If the storage device 123 does not include data that completely matches the alias (ALIAS) (NO in S1412), the certificate management device 222 associates the alias (ALIAS) with the certificate (CERT). The operation is registered in the storage device 223 (S1413), and the operation ends.
[0099]
On the other hand, if the storage device 223 contains data that completely matches the alias (ALIAS) (YES in S1412), that is, if the alias (ALIAS) is already registered, In the same manner as described above, arbitrary data such as numbers are assigned to the alias (ALIAS), and the alias (ALIAS ') is mechanically generated (S1414). The certificate management device 222 associates the generated alias (ALIAS ') with the certificate (CERT) and registers it in the storage device 123 (S1415), and ends the operation.
[0100]
As described above, the certificate management device 222 of the communication terminal device (T2) 220 stores the alias (ALIAS) or the alias (ALIAS ′) according to the data format that can be input by the bookmark management function of the WWW browser 221. I do. That is, the user is notified of the alias (ALIAS) or the alias (ALIAS ').
[0101]
FIG. 10 shows that the certificate management device 222 of the communication terminal device (T2) 220 obtains the public key (PUBLICKEY) from the alias (ALIAS) or the alias (ALIAS '), and obtains the IP address using the public key (PUBLICKEY). FIG.
[0102]
The user specifies the host name or the IP address and the port number of the certificate management device 213 of the communication terminal device (T1) 210 in the setting items of the proxy server of the WWW browser 221 on the communication terminal device (T2) 220. .
[0103]
As described above, the user inputs the alias (ALIAS) in the URL input field in the WWW browser 221 according to the format defined by the URL. The WWW browser 221 generates an HTTP request with reference to the URL including the alias (ALIAS) or the alias (ALIAS '), and transmits the HTTP request to the certificate management device 222 according to the HTTP.
[0104]
Hereinafter, referring to FIG. 10, certificate management device 222 of communication terminal device (T2) 220 obtains a public key (PUBLICKEY), and uses the public key (PUBLICKEY) to obtain the IP address of communication terminal device (T1) 210. The procedure for acquiring the information will be described.
[0105]
The certificate management device 222 inputs an HTTP request (S1501), acquires a Host header from the HTTP request (S1502), and acquires an alias (ALIAS) or an alias (ALIAS ') from the Host header (S1503). Then, the alias (ALIAS) or the alias (ALIAS ') is presented to the storage device 223 and searched, and a certificate (CERT) including the alias (ALIAS) in the subjectName field is acquired (S1504).
[0106]
Next, the certificate management device 222 refers to the notBefore field and the notAfter field of the certificate (CERT), and obtains valid time start time information NOTBEFORE and valid time end time information NOTAFTER from each of them (S1505). . Here, if neither the NOTBEFORE nor the NOTAFTER can be obtained (NO in S1506), the process proceeds to step 1510.
[0107]
On the other hand, if either one of NOTBEFORE and NOTAFTER is acquired (YES in S1506), the certificate management device 222 acquires the current time information t by any means (S1507), and acquires the time information t, NOTBEFORE, and / Or The time information t is compared with NOTATER (S1508). Then, only when NOTBEFORE ≦ t and / or t ≦ NOTAFTER is satisfied (YES in S1509), the process proceeds to step 1510. If not satisfied (NO in S1509), the process ends at this point.
[0108]
If NO in S1506 (no validity period is specified) or YES in S1509 (within the specified validity period), the certificate management device 222 refers to the subjectPublicKeyInfo field of the certificate (CERT) to generate the public key (PUBLICKEY). It is acquired (S1510).
[0109]
The certificate management device 222 presents the public key (PUBLICKEY) to the name resolution directory 230 and searches for it, and acquires the IP address of the communication terminal device (T1) 210 (S1511). Then, the HTTP request and the IP address are output (S1512), and the operation ends.
[0110]
As described above, thereafter, the communication terminal device (T2) 220 transmits an HTTP request to the communication terminal device (T1) 210 using the IP address. Then, the content is received from the communication terminal device (T1) 210 and displayed on the WWW browser 221.
[0111]
As described above, in this embodiment, the public key (PUBLICKEY) generated by the certificate management device 213 of the communication terminal device (T1) 210 and the IP address of the communication terminal device (T1) 210 are associated with each other by the name resolution directory 230. Manage. As a result, the communication terminal device (T2) 220 can obtain the IP address of the communication terminal device (T1) 210 by presenting the public key (PUBLICKEY) to the name resolution directory 230 and searching for it. Therefore, the communication terminal device (T2) 220 has an effect that the communication terminal device (T1) 210 can be identified using the public key.
[0112]
In the present embodiment, the public key (PUBLICKEY) of the communication terminal device (T1) 210 and the communication terminal device (T1) 210 are stored in the storage device 223 referenced by the certificate management device 222 of the communication terminal device (T2) 220. Is managed in association with the alias (ALIAS). Therefore, the effect is obtained that the user of the communication terminal device (T2) 220 can designate the communication terminal device (T1) 210 using the alias (ALIAS) or the alias (ALIAS ').
[0113]
Further, in the present embodiment, in the certificate management device 213 of the communication terminal device (T1) 210, the public key (PUBLICKEY) of the communication terminal device (T1) 210 and the alias (ALIAS) of the communication terminal device (T1) 210 are represented by X. . The association is made using a public key certificate (CERT) in a self-signed format of 509 format. Accordingly, an effect is obtained that the user of the communication terminal device (T1) 210 can name an arbitrary alias (ALIAS) to the communication terminal device (T1) 210 by himself. In addition, there is an effect that any validity period can be specified for the alias (ALIAS).
[0114]
In this embodiment, the certificate management device 222 of the communication terminal device (T2) 210 checks the signature of the certificate (CERT) using the public key (PUBLICKEY) of the communication terminal device (T1) 210. Execute Therefore, an effect is obtained that the alias (ALIAS) of the communication terminal device (T1) 210 can be objectively proved to be named by the communication terminal device (T1) 210.
[0115]
In the present embodiment, the certificate management device 213 of the communication terminal device (T1) 210 and the certificate management device 222 of the communication terminal device (T2) 220 communicate with a WWW server and a WWW browser according to HTTP. Is performed. Therefore, an effect is obtained that the URL to the WWW server operating on the terminal can be specified using the alias.
[0116]
In the present embodiment, the certificate management device 213 of the communication terminal device (T1) 210 specifies the validity period start time information NOTBEFORE and / or the validity period end time information NOTAFTER in the certificate (CERT). The certificate management device 222 of the communication terminal device (T2) 220 performs an operation of comparing with the current time information t. Therefore, there is an effect that an arbitrary validity period can be designated to the alias ALIAS.
[0117]
The means by which the communication terminal device (T1) 210 transmits the certificate (CERT) may be replaced by any message transmitting / receiving means such as instant messaging or chat from Internet mail. Similarly, means for transmitting the certificate (CERT) by the communication terminal device (T1) 210 is registered in an arbitrary directory or database from which the communication terminal device (T1) 210 can search for the certificate (CERT) from Internet mail. It may be replaced by a means for performing.
[0118]
Correspondingly, the means by which the communication terminal device (T2) 220 receives the certificate (CERT) may be replaced with any message sending / receiving means such as instant messaging or chat from Internet mail. Similarly, the communication terminal (T2) 220 receives the certificate (CERT) from Internet mail, or from any directory or database from which the communication terminal (T2) 220 can search for the certificate CERT. May be replaced by a means for searching and acquiring.
[0119]
Although the name resolution directory 230 manages the public key (PUBLICKEY) in association with the IP address, the name resolution directory 230 may manage the hash value (HASH) of the public key (PUBLICKEY) in association with the IP address. In this case, the certificate management device 213 of the communication terminal device (T1) 210 performs the process of registering the public key (PUBLICKEY) in the name resolution directory 230 after calculating the hash value (HASH) of the public key (PUBLICKEY). Then, the process is changed to a process of registering the calculated hash value (HASH) in the name resolution directory 230. In the certificate management device 222 of the communication terminal device (T2) 220, the process of presenting the public key (PUBLICKEY) to the name resolution directory 230 and obtaining the IP address is performed. The hash value (HASH) is stored in the name resolution directory 230. The processing is changed to the processing of presenting and acquiring the IP address. In addition, the process (S1510) of acquiring the public key (PUBLICKEY) from the subjectPublicKeyInfo shown in FIG. 10 is changed to the process of acquiring the public key (PUBLICKEY) from the subjectPublicKeyInfo field and calculating the hash value (HASH). The process of presenting the public key (PUBLICKEY) to the name resolution directory 230 shown in FIG. 10 to obtain an IP address (S1511) and the process of presenting a hash value (HASH) to the name resolution directory 230 to obtain an IP address are performed. Change to procedure.
[0120]
Further, in the embodiment shown in FIG. 6, the WWW server is operated by the communication terminal device (T1) 210, but the WWW server may be operated by the communication terminal device (T2) 220. Since the certificate management device 213 and the certificate management device 222 have a common function, the certificate management device 213 is changed to the certificate management device 222 in the description of the present embodiment, and This can be implemented by changing 222 to the certificate management device 213.
[0121]
A part or all of the processing functions of each part in the certificate management device described in each embodiment may be configured by a computer program, and the program may be executed using a computer to realize the present invention, or Needless to say, the processing procedure can be configured by a computer program, and the computer can execute the program. In addition, a program for realizing the processing function by the computer or a program for causing the computer to execute the processing procedure is stored in a computer-readable recording medium such as an FD, an MO, a ROM, a memory card, The program can be recorded on a CD, a DVD, a removable disk, or the like, stored and provided, and the program can be distributed through a network such as the Internet.
[0122]
【The invention's effect】
As described above, the present invention has the following effects.
(1) A terminal can be identified using a public key. The reason is that the public key generated by the certificate management device of the terminal and the IP address of the terminal are managed in association with each other in a directory.
(2) A terminal can be specified using an alias. The reason is that the certificate management device of the terminal manages the public key of the terminal and the alias of the terminal in association with each other.
(3) An arbitrary alias can be named for a terminal. The reason is that, in the certificate management device of the terminal, a self-signed certificate in the SPKI format or an X.264 certificate that can define a local namespace. This is for associating the terminal's public key with the terminal's alias using a self-signed certificate of the 509 format.
(4) It is possible to objectively prove that the alias of the terminal has been named by the owner of the public key of the terminal. The reason is that the certificate management device of the terminal performs an operation of confirming the signature of the certificate using the public key.
(5) An arbitrary alias can be named for the WWW server operating on the terminal. The reason is that the terminal certificate management device communicates according to HTTP.
[Brief description of the drawings]
FIG. 1 is a system configuration diagram according to a first embodiment of the present invention.
FIG. 2 is a diagram showing an overall processing procedure in the first embodiment of the present invention.
FIG. 3 is a diagram showing a certificate issuing procedure according to the first embodiment of the present invention.
FIG. 4 is a diagram showing a certificate registration procedure in the first embodiment of the present invention.
FIG. 5 is a diagram showing a procedure for obtaining a hash value and obtaining an IP address according to the first embodiment of the present invention.
FIG. 6 is a system configuration diagram according to a second embodiment of the present invention.
FIG. 7 is a diagram showing an overall processing procedure in a second embodiment of the present invention.
FIG. 8 is a diagram showing a certificate issuing procedure according to the second embodiment of the present invention.
FIG. 9 is a diagram showing a certificate registration procedure according to the second embodiment of the present invention.
FIG. 10 is a diagram showing a procedure for obtaining a hash value and obtaining an IP address according to the second embodiment of the present invention.
[Explanation of symbols]
100,200 Internet
110,210 Communication terminal device
111, 211 WWW server
112,212 Content
123,213 Certificate management device
124, 214 storage device
120,220 communication terminal device
121,221 WWW Browser
122,222 certificate management device
123, 223 storage device

Claims (11)

インターネットに接続される通信端末装置のIPアドレスを取得する名前解決方法において、
インターネット上に公開鍵または公開鍵のハッシュ値とIPアドレスを関連付けて管理する名前解決ディレクトリを設け、
ある通信端末装置は、当該通信端末装置の公開鍵と任意の別名を関連付ける任意の自己署名形式の証明書を発行するとともに、前記公開鍵または公開鍵のハッシュ値とIPアドレスを前記名前解決ディレクトリに登録し、
別のある通信端末装置は、別名と証明書を関連付けて管理し、別名により公開鍵または公開鍵のハッシュ値を取得し、前記公開鍵または公開鍵のハッシュ値を前記名前解決ディレクトリに提示してIPアドレスを取得する、
ことを特徴とする名前解決方法。In a name resolution method for obtaining an IP address of a communication terminal device connected to the Internet,
A name resolution directory is provided on the Internet for managing a public key or a hash value of the public key in association with an IP address,
A communication terminal issues an arbitrary self-signed certificate that associates a public key of the communication terminal with an arbitrary alias, and stores the public key or a hash value of the public key and an IP address in the name resolution directory. Register,
Another communication terminal device associates and manages the certificate with the alias, acquires the public key or the hash value of the public key by the alias, and presents the hash value of the public key or the public key to the name resolution directory. Obtain an IP address,
A name resolution method characterized in that: 請求項1記載の名前解決方法において、前記証明書は、SPKI(Simple Public Key Infrastructure)形式の自己署名形式の権限証明書であり、そのtagフィールドに別名を任意の形式で指定することを特徴とする名前解決方法。2. The name resolution method according to claim 1, wherein the certificate is a self-signed authority certificate in a SPKI (Simple Public Key Infrastructure) format, and an alias is specified in a tag field in an arbitrary format. Name resolution method. 請求項1記載の名前解決方法において、前記証明書は、X.509形式の自己署名形式の公開証明書であり、その識別名ファイルに別名を任意の形式で指定することを特徴とする名前解決方法。2. The name resolution method according to claim 1, wherein the certificate is an X.100 certificate. 509 A self-signed public certificate in a 509 format, wherein an alias is specified in an arbitrary name in the identification name file. 請求項2もしくは3記載の名前解決方法において、前記証明書には、別名の有効期間を指定することを特徴とする名前解決方法。4. The name resolution method according to claim 2, wherein a validity period of an alias is specified in the certificate. 複数の通信端末装置と名前解決ディレクトリとがインターネットを介して接続してなる名前解決システムであって、
前記名前解決ディレクトリは、通信端末装置の公開鍵または公開鍵のハッシュ値とIPアドレスを関連付けて管理する機能を有し、
ある通信端末装置(T1)は、少なくとも当該通信端末装置の公開鍵と任意の別名を関連付ける任意の自己署名形式の証明書を発行する機能、前記公開鍵または公開鍵のハッシュ値とIPアドレスを前記名前解決ディレクトリに登録する機能を備える証明書管理装置を有し、
別のある通信端末装置(T2)は、少なくとも別名と証明書を関連付けて管理する機能、別名により公開鍵または公開鍵のハッシュ値を取得する機能、前記公開鍵または公開鍵のハッシュ値を前記名前解決ディレクトリに提示してIPアドレスを取得する機能を備える証明書管理装置を有する、
ことを特徴とする名前解決システム。A name resolution system in which a plurality of communication terminal devices and a name resolution directory are connected via the Internet,
The name resolution directory has a function of managing the public key of the communication terminal device or the hash value of the public key in association with the IP address,
A certain communication terminal device (T1) has a function of issuing at least a self-signed certificate that associates a public key of the communication terminal device with an arbitrary alias, and stores the public key or a hash value of the public key and an IP address in It has a certificate management device that has a function to register in the name resolution directory,
Another communication terminal device (T2) has at least a function of associating and managing an alias with a certificate, a function of obtaining a public key or a hash value of a public key by an alias, Having a certificate management device having a function of obtaining an IP address by presenting it to a resolution directory,
A name resolution system, characterized in that: 請求項5記載の名前解決システムにおいて、通信端末装置(T1)はWWWサーバを有し、通信端末装置(T2)はWWWブラウザを有し、各証明書管理装置はWWWサーバ及びWWWブラウザとHTTP(Hyper TextTransfer Protocol)にしたがって通信することを特徴とする名前解決システム。6. The name resolution system according to claim 5, wherein the communication terminal device (T1) has a WWW server, the communication terminal device (T2) has a WWW browser, and each certificate management device has a WWW server, a WWW browser and an HTTP ( A name resolution system for communicating in accordance with Hyper Text Transfer Protocol (Hyper Text Transfer Protocol). 複数の通信端末装置にインターネットを介して接続される名前解決ディレクトリであって、
任意の通信端末装置の公開鍵または公開鍵のハッシュ値とIPアドレスを関連付けて管理する機能と、任意の通信端末装置から要求された公開鍵または公開鍵のハッシュ値に対応するIPアドレスを要求元に提示する機能を有することを特徴とする名前解決ディレクトリ。A name resolution directory connected to a plurality of communication terminal devices via the Internet,
A function for managing the public key of a communication terminal device or the hash value of the public key in association with the IP address, and a request source for the public key requested by the communication terminal device or the IP address corresponding to the hash value of the public key. A name resolution directory characterized by having a function of presenting a name. 別名と秘密鍵と公開鍵を入力して、別名と公開鍵を関連付ける自己署名形式の証明書を発行する機能、公開鍵またはそのハッシュ値とIPアドレスを、インターネット上の名前解決ディレクトリに登録する機能、別名と証明書を関連つけて管理する機能、別名により公開鍵または公開鍵のハッシュ値を取得する機能を、公開鍵または公開鍵のハッシュ値を名前解決ディレクトリに提示してIPアドレスを取得する機能を備えた証明書管理装置を有することを特徴とする通信端末装置。A function that issues a self-signed certificate that associates an alias with a public key by inputting an alias, a private key, and a public key, and that registers a public key or its hash value and an IP address in a name resolution directory on the Internet. A function of managing an alias and a certificate in association with each other, a function of obtaining a public key or a hash value of a public key by an alias, and obtaining an IP address by presenting a public key or a hash value of a public key to a name resolution directory. A communication terminal device comprising a certificate management device having a function. 請求項8記載の通信端末装置において、前記証明書管理装置は、別名をWWWブラウザのブックマーク形式に出力する機能を更に備えること特徴とする通信端末装置。9. The communication terminal device according to claim 8, wherein the certificate management device further has a function of outputting the alias in a bookmark format of a WWW browser. 請求項8もしくは9記載の通信端末装置における証明書管理装置の機能をコンピュータで実行するためのプログラム。A program for causing a computer to execute the function of the certificate management device in the communication terminal device according to claim 8. 請求項8もしくは9記載の通信端末装置における証明書管理装置の機能をコンピュータで実行するためのプログラムを記録した記録媒体。A recording medium storing a program for causing a computer to execute the function of the certificate management device in the communication terminal device according to claim 8.
JP2002323755A 2002-11-07 2002-11-07 Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium Expired - Fee Related JP3862081B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002323755A JP3862081B2 (en) 2002-11-07 2002-11-07 Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002323755A JP3862081B2 (en) 2002-11-07 2002-11-07 Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2004159159A true JP2004159159A (en) 2004-06-03
JP3862081B2 JP3862081B2 (en) 2006-12-27

Family

ID=32803543

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002323755A Expired - Fee Related JP3862081B2 (en) 2002-11-07 2002-11-07 Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium

Country Status (1)

Country Link
JP (1) JP3862081B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006003725A1 (en) * 2004-07-01 2006-01-12 Akihiko Narita Web server authentication system capable of performing web access point authentication (wapa)
JP2006148879A (en) * 2004-11-17 2006-06-08 Microsoft Corp Password protection
JP2007074106A (en) * 2005-09-05 2007-03-22 Kddi Corp Domain managing method
US7647494B2 (en) 2005-06-08 2010-01-12 International Business Machines Corporation Name transformation for a public key infrastructure (PKI)
WO2015008769A1 (en) * 2013-07-18 2015-01-22 日本電信電話株式会社 Directory service device, client device, key cloud system, method thereof, and program

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006003725A1 (en) * 2004-07-01 2006-01-12 Akihiko Narita Web server authentication system capable of performing web access point authentication (wapa)
JP2006148879A (en) * 2004-11-17 2006-06-08 Microsoft Corp Password protection
US7647494B2 (en) 2005-06-08 2010-01-12 International Business Machines Corporation Name transformation for a public key infrastructure (PKI)
JP2007074106A (en) * 2005-09-05 2007-03-22 Kddi Corp Domain managing method
JP4490354B2 (en) * 2005-09-05 2010-06-23 Kddi株式会社 Domain management method
WO2015008769A1 (en) * 2013-07-18 2015-01-22 日本電信電話株式会社 Directory service device, client device, key cloud system, method thereof, and program
CN105264539A (en) * 2013-07-18 2016-01-20 日本电信电话株式会社 Directory service device, client device, key cloud system, method thereof, and program
JP6055919B2 (en) * 2013-07-18 2016-12-27 日本電信電話株式会社 Key cloud system and decryption method

Also Published As

Publication number Publication date
JP3862081B2 (en) 2006-12-27

Similar Documents

Publication Publication Date Title
US9705851B2 (en) Extending DNSSEC trust chains to objects outside the DNS
US7765584B2 (en) Simple, secure login with multiple authentication providers
Housley et al. Internet X. 509 public key infrastructure certificate and CRL profile
KR101085638B1 (en) Secure hierarchical namespaces in peer-to-peer networks
US20090013063A1 (en) Method for enabling internet access to information hosted on csd
US7120793B2 (en) System and method for electronic certificate revocation
EP3662403B1 (en) Private data processing
JP2000349747A (en) Public key managing method
US20210160067A1 (en) Method for bidirectional authorization of blockchain-based resource public key infrastructure
Sun et al. Handle system namespace and service definition
JP5491932B2 (en) Network storage system, method, client device, cache device, management server, and program
CN101960814A (en) IP address delegation
KR100502741B1 (en) Apparatus and method for securely realizing cooperative processing
CN113728348A (en) Computer-implemented system and method for implementing alias-based addressing for distributed ledgers
CN114127764A (en) Destination addressing associated with distributed ledger
US11218326B1 (en) System and method for generating current live and test versions of DNS data for rollover
JP3862081B2 (en) Name resolution method, name resolution system, name resolution directory, communication terminal device, program, and recording medium
Kinateder et al. Strong pseudonymous communication for peer-to-peer reputation systems
CN115580498A (en) Cross-network communication method in converged network and converged network system
US11546319B2 (en) Domain name management with network entity authentication using self-signed certificates
US11297033B2 (en) System and method for generating current live and test versions of DNS data for HSM changes
Trostle et al. Implementation of Crossrealm Referral Handling in the MIT Kerberos Client.
Jones et al. Layering public key distribution over secure DNS using authenticated delegation
EP3934212A2 (en) System and method for publishing dns records of a domain including either signed or unsigned records
Schanzenbach et al. RFC 9498 The GNU Name System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060914

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060920

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101006

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111006

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121006

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121006

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131006

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees