JP2009187179A - Time stamp device and method - Google Patents
Time stamp device and method Download PDFInfo
- Publication number
- JP2009187179A JP2009187179A JP2008025012A JP2008025012A JP2009187179A JP 2009187179 A JP2009187179 A JP 2009187179A JP 2008025012 A JP2008025012 A JP 2008025012A JP 2008025012 A JP2008025012 A JP 2008025012A JP 2009187179 A JP2009187179 A JP 2009187179A
- Authority
- JP
- Japan
- Prior art keywords
- time
- unit
- time stamp
- stamp
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Electric Clocks (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、例えば、ディジタルドキュメント等がある時刻に存在していたことを証明するために用いるタイムスタンプを発行するタイムスタンプ装置及び方法に関する。 The present invention relates to a time stamp apparatus and method for issuing a time stamp used to prove that a digital document or the like was present at a certain time, for example.
従来、ディジタルドキュメントがある時刻に確かに存在し、それ以降変更や改ざんがなされていないことを証明するため、タイムスタンプ技術が用いられている。
特許文献1には、タイムスタンプ装置が、時刻配信監査サーバにより時刻の監査・校正を受けたローカル時刻を用いてタイムスタンプを発行する技術が記載されている。また、特許文献2には、タイムスタンプ装置が、時刻配信監査サーバに常時接続できない場合に、時刻配信を受けた後の時計の精度維持のために電波時計により時刻の補正を行うことが記載されている。
タイムスタンプ装置の時刻を外部の時刻ソースにより校正・補正する上述した従来の方法では、外部から時刻の改ざんを受ける可能性が高く、また、装置も複雑になってしまうという問題がある。また、時刻精度を求めない場合においても、常時、時刻配信監査サーバと接続したり、電波時計で時刻を補正したりすることは、配信コストを高め、タイムスタンプ装置を複雑にする。しかし、外部から校正・補正できない時計を用いると、その時計に狂いが生じてしまった場合に、正しい時刻を使用したタイムスタンプを発行することができなくなってしまうおそれがある。 The above-described conventional method for calibrating / correcting the time of the time stamp apparatus with an external time source has a high possibility of being subject to time tampering from the outside, and also complicates the apparatus. Even when time accuracy is not required, always connecting to a time distribution audit server or correcting the time with a radio clock increases the distribution cost and complicates the time stamp apparatus. However, if a clock that cannot be calibrated / corrected from the outside is used, there is a possibility that a time stamp using the correct time cannot be issued if the clock is distorted.
本発明は、このような事情を考慮してなされたもので、その目的は、独立電源を有し、外部から操作できない時計を用いながら、正しい時刻のタイムスタンプを発行することができるタイムスタンプ装置及び方法を提供することにある。 The present invention has been made in consideration of such circumstances, and an object of the present invention is to provide a time stamp device that can issue a time stamp of the correct time while using a clock that has an independent power source and cannot be operated from the outside. And providing a method.
この発明は、上記の課題を解決すべくなされたもので、時刻を生成する時計部と、前記時計部により生成された時刻を用いてタイムスタンプデータを生成するタイムスタンプ処理部とを備えたタイムスタンプ装置であって、前記時計部は、電源と、前記電源からの電力の供給を受けて一定周期の発振信号を生成する発振部と、前記発振部により生成された発振信号から時刻を生成する時刻制御部と、前記時刻制御部へ時刻の設定を一度だけ行い、以降は時刻の設定を禁止する時刻設定部と、前記時刻制御部によって生成された時刻の情報を含む送信データを一定間隔で出力する信号送信部とを備え、前記タイムスタンプ処理部は、前記信号送信部から一定間隔で出力される送信データを受信する信号受信部と、前記信号受信部により受信した送信データから時刻の情報を取得する時刻取得部と、前記時刻取得部により取得された時刻の情報を時刻監査局システムに送信し、送信した時刻の情報に対する時刻監査証明書データを受信して時刻監査証明書保持部に書き込む時刻監査制御部と、クライアント端末からタイムスタンプ要求を受信し、当該タイムスタンプ要求の受信時に前記時刻取得部により取得された時刻が、前記時刻監査証明書保持部に記憶されている時刻監査証明書データから得られる有効期限内である場合に、当該時刻によってタイムスタンプデータを生成し、前記クライアント端末へ返送するタイムスタンプ作成部とを備える、ことを特徴とするタイムスタンプ装置である。 The present invention has been made to solve the above-described problem, and includes a time unit including a clock unit that generates time and a time stamp processing unit that generates time stamp data using the time generated by the clock unit. In the stamp device, the clock unit generates a time from the power source, an oscillation unit that receives an electric power supply from the power source and generates an oscillation signal having a constant period, and an oscillation signal generated by the oscillation unit A time control unit, a time setting unit that performs time setting to the time control unit only once, and thereafter prohibits time setting, and transmission data that includes time information generated by the time control unit at regular intervals. A signal transmission unit for outputting, the time stamp processing unit received by the signal reception unit for receiving transmission data output from the signal transmission unit at regular intervals, and received by the signal reception unit A time acquisition unit that acquires time information from the received data, and the time information acquired by the time acquisition unit is transmitted to the time audit station system, and the time audit certificate data for the transmitted time information is received and the time The time audit control unit that writes to the audit certificate holding unit and the time stamp request received from the client terminal, and the time acquired by the time acquisition unit when the time stamp request is received is stored in the time audit certificate holding unit A time stamp generating unit that generates time stamp data according to the time and returns the data to the client terminal when the time is within the expiration date obtained from the time audit certificate data. Device.
また、本発明は、上述するタイムスタンプ装置であって、前記時計部及び前記タイムスタンプ処理部は耐タンパ性を有することを特徴とする。 Further, the present invention is the time stamp device described above, wherein the timepiece unit and the time stamp processing unit have tamper resistance.
また、本発明は、上述するタイムスタンプ装置であって、前記時刻設定部は、時刻設定要求を受信し、前記時計部の備える記憶部に時刻の初期設定を行ったことを示す情報が設定されていない場合に、前記時刻制御部へ時刻の設定を行うとともに、時刻の初期設定を行ったことを示す情報を当該記憶部に書き込む、ことを特徴とする。 Further, the present invention is the time stamp device described above, wherein the time setting unit receives the time setting request, and information indicating that the time is initially set is set in a storage unit included in the clock unit. If not, the time is set in the time control unit, and information indicating that the time is initially set is written in the storage unit.
また、本発明は、上述するタイムスタンプ装置であって、前記タイムスタンプ作成部は、前記時刻監査証明書データをさらに設定したタイムスタンプデータを生成する、ことを特徴とする。 In addition, the present invention is the time stamp device described above, wherein the time stamp creating unit generates time stamp data further setting the time audit certificate data.
また、本発明は、上述するタイムスタンプ装置であって、前記時刻取得部は、取得した時刻の情報が、過去に取得した時刻より進んだ時刻である場合に、取得した時刻の情報が正しいと判断することを特徴とする。 Further, the present invention is the time stamp device described above, wherein the time acquisition unit determines that the acquired time information is correct when the acquired time information is a time advanced from a previously acquired time. It is characterized by judging.
また、本発明は、上述するタイムスタンプ装置であって、前記信号送信部は、暗号化された前記時刻である暗号化時刻の情報を含む送信データを出力し、前記時刻取得部は、前記送信データに設定されている暗号化時刻の情報を復号化する、ことを特徴とする。 The present invention is the above-described time stamp device, wherein the signal transmission unit outputs transmission data including encrypted time information that is the encrypted time, and the time acquisition unit includes the transmission The encryption time information set in the data is decrypted.
また、本発明は、上述するタイムスタンプ装置であって、前記時計部は、時刻と、当該時刻の暗号化時刻とを対応付けた情報を保持する暗号化時刻保持部をさらに有し、前記信号送信部は、前記時刻制御部によって生成された時刻に対応した暗号化時刻の情報を前記暗号化時刻保持部から読み出し、読み出した暗号化時刻の情報を含む送信データを出力する、ことを特徴とする。 The present invention is the time stamp device described above, wherein the clock unit further includes an encryption time holding unit that holds information in which a time is associated with an encryption time of the time, and the signal The transmission unit reads information on the encryption time corresponding to the time generated by the time control unit from the encryption time holding unit, and outputs transmission data including the read information on the encryption time. To do.
また、本発明は、上述するタイムスタンプ装置であって、前記時刻取得部は、前記信号受信部により受信した送信データに設定されている暗号化時刻の情報が、過去に受信した送信データに設定されている暗号化時刻の情報ではない場合に当該送信データが正当であると判断することを特徴とする。 Further, the present invention is the time stamp device described above, wherein the time acquisition unit sets the information on the encryption time set in the transmission data received by the signal reception unit to the transmission data received in the past. The transmission data is judged to be valid when the encrypted time information is not correct.
また、本発明は、上述するタイムスタンプ装置であって、前記時計部と、前記タイムスタンプ処理部とは着脱可能であることを特徴とする。 In addition, the present invention is the time stamp device described above, wherein the clock unit and the time stamp processing unit are detachable.
また、本発明は、上述するタイムスタンプ装置であって、前記タイムスタンプ処理部は、前記時計部の交換を検知した場合に、前記時刻監査証明書保持部に記憶されている時刻監査証明書データを消去する消去部をさらに備えることを特徴とする。 Further, the present invention is the time stamp apparatus described above, wherein the time stamp processing unit stores time audit certificate data stored in the time audit certificate holding unit when the replacement of the clock unit is detected. It further comprises an erasing unit for erasing.
また、本発明は、上述するタイムスタンプ装置であって、前記タイムスタンプ処理部は、前記時刻監査制御部により受信した時刻監査証明書データに、時刻が著しくずれていることを示す情報が設定されている場合に、エラーを出力する出力部をさらに備えることを特徴とする。 Further, the present invention is the time stamp apparatus described above, wherein the time stamp processing unit is set with information indicating that the time is significantly shifted in the time audit certificate data received by the time audit control unit. An output unit for outputting an error in the case of the error.
また、本発明は、上述するタイムスタンプ装置であって、前記タイムスタンプ処理部は、前記時計部の有効期限まで所定の期間となったときに、有効期限が近いことを通知する通知部をさらに備えることを特徴とする。 Further, the present invention is the above-described time stamp device, wherein the time stamp processing unit further includes a notification unit for notifying that the expiration date is near when a predetermined period is reached until the expiration date of the clock unit. It is characterized by providing.
また、本発明は、上述するタイムスタンプ装置であって、前記クライアント端末にネットワークを介して接続されるコンピュータ装置と、前記時計部、及び、前記タイムスタンプ処理部としてのハードウェアセキュリティモジュールとからなることを特徴とする。 Further, the present invention is the above-described time stamp device, which includes a computer device connected to the client terminal via a network, the clock unit, and a hardware security module as the time stamp processing unit. It is characterized by that.
また、本発明は、上述するタイムスタンプ装置であって、前記クライアント端末にコネクタにより接続されるハードウェアセキュリティモジュールであることを特徴とする。 In addition, the present invention is the time stamp device described above, which is a hardware security module connected to the client terminal by a connector.
また、本発明は、時刻を生成する時計部と、前記時計部により生成された時刻を用いてタイムスタンプデータを生成するタイムスタンプ処理部とを備えたタイムスタンプ装置に用いられるタイムスタンプ方法であって、前記時計部において、発振部が、当該時計部が備える電源からの電力の供給を受けて一定間隔の発振信号を生成し、時刻制御部が、前記発振部により生成された発振信号から時刻を生成し、時刻設定部が、前記時刻制御部へ時刻の設定を一度だけ行い、以降は時刻の設定を禁止し、信号送信部が、前記時刻制御部によって生成された時刻の情報を含む送信データを一定間隔で出力する一方、前記タイムスタンプ処理部において、信号受信部が、前記信号送信部から一定間隔で出力される送信データを受信し、時刻取得部が、前記信号受信部により受信した送信データから時刻の情報を取得し、時刻監査制御部が、前記時刻取得部により取得された時刻の情報を時刻監査局システムに送信し、送信した時刻の情報に対する時刻監査証明書データを受信して時刻監査証明書保持部に書き込み、タイムスタンプ作成部が、クライアント端末からタイムスタンプ要求を受信し、当該タイムスタンプ要求の受信時に前記時刻取得部により取得された時刻が、前記時刻監査証明書保持部に記憶されている時刻監査証明書データから得られる有効期限内である場合に、当該時刻によってタイムスタンプデータを生成し、前記クライアント端末へ返送する、ことを特徴とするタイムスタンプ方法である。 Further, the present invention is a time stamp method used in a time stamp apparatus including a clock unit that generates time and a time stamp processing unit that generates time stamp data using the time generated by the clock unit. In the timepiece unit, the oscillation unit receives power from a power source included in the timepiece unit and generates an oscillation signal at a constant interval, and the time control unit generates a time from the oscillation signal generated by the oscillation unit. The time setting unit sets the time to the time control unit only once, and thereafter prohibits the time setting, and the signal transmission unit transmits the time information generated by the time control unit. While outputting the data at regular intervals, in the time stamp processing unit, the signal reception unit receives transmission data output at regular intervals from the signal transmission unit, the time acquisition unit, Time information is acquired from the transmission data received by the signal receiving unit, and the time audit control unit transmits the time information acquired by the time acquisition unit to the time audit station system, and the time for the transmitted time information The audit certificate data is received and written in the time audit certificate holding unit, the time stamp generating unit receives the time stamp request from the client terminal, and the time acquired by the time acquiring unit when the time stamp request is received is , When it is within the validity period obtained from the time audit certificate data stored in the time audit certificate holding unit, the time stamp data is generated according to the time and returned to the client terminal, This is a time stamp method.
本発明によれば、初期設定後は外部から操作できない時計を用いるため、時刻が改ざんされるおそれがなく、加えて、時刻監査を行った時刻を用いてタイムスタンプデータを生成することができるため、信頼性の高いタイムスタンプを発行することができる。 According to the present invention, since a clock that cannot be operated from the outside after the initial setting is used, the time is not falsified, and in addition, the time stamp data can be generated using the time at which the time audit was performed. Highly reliable time stamps can be issued.
以下、図面を参照して本発明の一実施の形態を説明する。
図1は、本発明の一実施の形態によるタイムスタンプシステムの全体構成図である。同図に示すように、タイムスタンプシステムは、TSA(Time-Stamping Authority:タイムスタンプ局)において用いられるTSU(Time-Stamping Unit:タイムスタンプユニット)としてのタイムスタンプ装置10と、当該タイムスタンプ装置10が内部に備える独立電源からの電力の供給を受けて生成した時刻の監査結果を示す時刻監査証明書を発行する、TA(Time Authority:時刻配信監査局)の時刻監査局システム70と、タイムスタンプ装置10へタイムスタンプの発行を要求し、タイムスタンプデータを受信してディジタルドキュメントに付加するクライアント端末80からなる。タイムスタンプ装置10と時刻監査局システム70とは、例えば、ISDNなどのネットワークにより接続される。また、クライアント端末80としては、例えば、パーソナルコンピュータ(以下、「PC」と記載)などが用いられ、タイムスタンプ装置10とは、インターネットやLAN(Local Area Network)などのネットワークを介して接続されるか、または、USB等のコネクタにより接続される。
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is an overall configuration diagram of a time stamp system according to an embodiment of the present invention. As shown in the figure, the time stamp system includes a
図2は、本発明の一実施の形態によるタイムスタンプ装置10(TSU)の機能ブロック図である。同図において、タイムスタンプ装置10は、ローカル時計部20、タイムスタンプ処理部30、通信手段50、タイムスタンプ受付/出力手段51、及び、表示手段52を備える。タイムスタンプ装置10は、例えば、PC等のコンピュータ装置に、ローカル時計部20及びタイムスタンプ処理部30としてのハードウェアセキュリティモジュール(HSM)を接続して構成することができる。この場合、通信手段50、タイムスタンプ受付/出力手段51、及び、表示手段52は、PCにより実現することができる。
FIG. 2 is a functional block diagram of a time stamp apparatus 10 (TSU) according to an embodiment of the present invention. In the figure, the
通信手段50は、他の装置とのデータの送受信を行い、ここでは、時刻監査局システム70、及び、クライアント端末80とSSL(Secure Socket Layer)等を用いた暗号化通信を行う。タイムスタンプ受付/出力手段51は、クライアント端末80としてのクライアントPCからタイムスタンプ要求を受信してタイムスタンプ処理部30に通知し、タイムスタンプ処理部30が生成したタイムスタンプをクライアント端末80へ返送する。表示手段52は、LCD(Liquid Crystal Display)などのディスプレイやランプであり、情報を表示する。
The
HSMであるローカル時計部20は、時刻設定手段21、独立電源手段22a及び22b、発振手段23a及び23b、時刻制御手段24a及び24b、時刻A一時保持手段25a、時刻B一時保持手段25b、暗号化時刻ラベル保持手段26a及び26b、信号送信手段27を備える。 The local clock unit 20, which is an HSM, includes time setting means 21, independent power supply means 22a and 22b, oscillation means 23a and 23b, time control means 24a and 24b, time A temporary holding means 25a, time B temporary holding means 25b, and encryption. Time label holding means 26 a and 26 b and signal transmission means 27 are provided.
独立電源手段22aは発振手段23aに、独立電源手段22bは発振手段23bに電力を供給する。発振手段23a及び23bは、源発振器による周波数に基づいて所定の周波数の発振信号を生成し、出力する。時刻制御手段24aは発振手段23aから出力された発振信号を用いて時刻を生成し、生成した時刻を時刻A一時保持手段25aに一時的に書き込む。同様に、時刻制御手段24bは発振手段23bから出力された周波数信号を用いて時刻を生成し、生成した時刻を時刻B一時保持手段25bに一時的に書き込む。ここでは、時刻制御手段24aが発振手段23aからの発振信号である発振信号Aを用いて生成する時刻を時刻Aとし、時刻制御手段24bが発振手段23bからの発振信号である発振信号Bを用いて生成する時刻を時刻Bする。暗号化時刻ラベル保持手段26a及び26bは、時刻と、当該時刻に対応した暗号化時刻ラベルとを対応付けた情報を記憶しており、時刻制御手段24aは生成した時刻Aに対応した暗号化時刻ラベルである暗号時刻Aを暗号化時刻ラベル保持手段26aから読み出して信号送信手段27に出力し、時刻制御手段24bは生成した時刻Bに対応した暗号化時刻ラベルである暗号時刻Bを暗号化時刻ラベル保持手段26bから読み出して信号送信手段27に出力する。信号送信手段27は、暗号時刻A及び暗号時刻Bの情報、当該ローカル時計部20の識別番号をタイムスタンプ処理部30に出力する。
The independent power supply means 22a supplies power to the oscillation means 23a, and the independent power supply means 22b supplies power to the oscillation means 23b. The oscillating means 23a and 23b generate and output an oscillation signal having a predetermined frequency based on the frequency of the source oscillator. The
HSMであるタイムスタンプ処理部30は、信号受信手段31、復号化手段32、暗号化時刻ラベル保持手段33a及び33b、ローカル時計識別番号確認手段34、時刻A保持手段35a、時刻B保持手段35b、タイムスタンプ発行制御手段36、時刻監査制御手段37、署名鍵・証明書保持手段38、時刻監査証明書保持手段39、時刻比較手段40、タイムスタンプ作成手段41、署名手段42、タイムスタンプ時刻確認手段43を備える。
The time
信号受信手段31は、ローカル時計部20から暗号時刻A、暗号時刻B、ローカル時計部20の識別番号を受信する。復号化手段32は、時刻Aと暗号時刻Aを対応づけた情報を記憶する暗号化時刻ラベル保持手段33aを参照して、受信した暗号時刻Aを時刻Aに復号化し、時刻A保持手段35aに書き込む。同様に、復号化手段32は、時刻Bと暗号時刻Bを対応づけた情報を記憶する暗号化時刻ラベル保持手段33bを参照して受信した暗号時刻Bを時刻Bに復号化し、時刻B保持手段35bに書き込む。ローカル時計識別番号確認手段34は、受信したローカル時計部20の識別番号により、暗号時刻A、暗号時刻Bを出力したローカル時計部20の正当性を確認する。
The
時刻監査制御手段37は、時刻監査局システム70へ時刻Aまたは時刻Bの情報と、署名鍵・証明書保持手段38から読み出した当該タイムスタンプ装置10の機器認証証明書データ(以下、単に「機器認証証明書」と記載)とを設定した時刻監査要求を時刻監査局システム70へ送信し、返送された時刻監査証明書データ(以下、単に「時刻監査証明書」または「時刻監査証」と記載)を時刻監査証明書保持手段39に書き込む。タイムスタンプ発行制御手段36は、タイムスタンプ受付/出力手段51からタイムスタンプ要求データを受信し、タイムスタンプが作成可能であるか否かを判定し、作成可能である場合にタイムスタンプ作成手段41へタイムスタンプの作成を指示する。時刻比較手段40は、現在保持している時刻の情報が正しいか否かを時刻Aと時刻Bを比較して判断する。タイムスタンプ作成手段41は、タイムスタンプの作成のためのタイムスタンプ要求データ内の情報、時刻比較手段40および時刻監査制御手段37によって正しいと判断されたときの時刻Aまたは時刻Bのデータを用いて電子署名前のタイムスタンプデータを生成する。署名手段42は、タイムスタンプ作成手段41が生成したタイムスタンプデータに、当該タイムスタンプ装置10の署名用の秘密鍵である署名鍵により電子署名を付加する。タイムスタンプ時刻確認手段43は、生成されたタイムスタンプデータ内のスタンプ時刻が時刻Aであれば時刻B保持手段35bに保持されている時刻Bとの誤差が、スタンプ時刻が時刻Bであれば時刻A保持手段35aに保持されている時刻Aとの誤差が所定の許容値内であれば、タイムスタンプデータをタイムスタンプ受付/出力手段51へ出力する。
The time
なお、クライアント端末80がモバイルコンピュータなどの可搬のコンピュータ端末である場合は、ローカル時計部20及びタイムスタンプ処理部30としてのHSMを、USB等によりクライアント端末80に直接接続するように構成することができる。この場合、時刻監査局システム70や他の装置との通信を行う通信手段50、タイムスタンプ受付/出力手段51、及び、表示手段52は、クライアント端末80により実現することができる。
When the
時刻監査局システム70は、時刻監査要求を受信する時刻監査手段71と、この受信した時刻監査要求に設定されている時刻と、時刻監査局システム70で管理する、高精度にUTC(Coordinated Universal Time:協定世界時)に同期した正確な現在時刻とのずれを検出して、時刻の誤差および時刻監査局の電子署名の付加された時刻監査証明書を返送する時刻監査証発行手段72とを備える。
The time
常時、時刻配信監査サーバと接続できないモバイルPC環境等においてタイムスタンプを生成する場合、一度受信した時刻監査証明書を、モバイルPCの停止/起動後も有効にしたい。しかし、従来のタイムスタンプ装置では、タイムスタンプ処理をおこなうHSMは、パーソナルコンピュータ(PC)に接続され、電源供給を受けて動作していた。そのため、HSM内の時計に対する時刻監査を受けた後に、PCの再起動または停止が行われると、時計も初期化されてしまう。よって、起動後にもう一度、時刻配信および監査を受ける必要があった。そこで、HSM内に独立した電源(電池)を持つことが考えられる。しかし、これによってある期間、時刻を保つことは可能となるが、電源がHSM内に備えられるため、電源が動作しなくなった場合は、その他の機能、すなわち、署名暗号処理機能、タイムスタンプ生成機能、データ処理機能、メモリ機能、通信機能等が正常に動作するにもかかわらず、HSM自体を破棄・交換する必要があり、経済的でない。そこで、本実施の形態のタイムスタンプ装置10では、自律電源からの電力の供給を受けて動作するローカル時計部20を着脱可能とし、電源が切れた場合にはローカル時計部20のみを新しいものに交換できるようにしている。そして、ローカル時計部20が別のローカル時計部20と交換されない間は、一度受けた時刻監査証明書は、タイムスタンプ処理部30の時刻監査証明書保持手段39に保管しておき、別のローカル時計部20に交換されたことが検知されると、タイムスタンプ処理部30のローカル時計識別番号確認手段34は、時刻監査証明書保持手段39に保管されている時刻監査証明書を消去する。
When a time stamp is generated in a mobile PC environment or the like that cannot be always connected to the time distribution audit server, the time audit certificate received once is desired to be valid after the mobile PC is stopped / started. However, in the conventional time stamp apparatus, the HSM that performs time stamp processing is connected to a personal computer (PC) and operates by receiving power supply. Therefore, if the PC is restarted or stopped after receiving a time audit for the clock in the HSM, the clock is also initialized. Therefore, it was necessary to receive time distribution and audit again after the start. Therefore, it is conceivable to have an independent power supply (battery) in the HSM. However, this makes it possible to keep the time for a certain period, but since the power supply is provided in the HSM, if the power supply stops operating, other functions, that is, a signature encryption processing function, a time stamp generation function Although the data processing function, the memory function, the communication function, etc. operate normally, the HSM itself needs to be discarded / replaced, which is not economical. Therefore, in the
図3に、ローカル時計部20の暗号化時刻ラベル保持手段26aが保持するデータの例を示す。なお、暗号化時刻ラベル保持手段26bも同様のデータを保持する。
暗号化時刻ラベル保持手段26a、26bは、時刻の情報を示す時刻ラベルと、当該時刻ラベルに対応した暗号化時刻ラベルと、当該暗号化時刻ラベル及び当該識別番号から生成したハッシュ値と、残日数ラベルとを対応付けた情報及びローカル時計部20を特定する識別番号とを保持しており、これらの情報が送信データとしてタイムスタンプ処理部30へ出力される。このようなデータを保持することにより、ローカル時計部20は、暗号化時刻ラベル保持手段26a及び26bの保持する時刻ラベルにおいて示される日時の期間のみ、自身の生成した時刻A、時刻Bの情報をタイムスタンプ処理部30に出力することができる。従って、暗号化時刻ラベル保持手段26a及び26bに、ローカル時計部20が正しく動作可能と保証される期間(例えば、独立電源手段22a及び22bが電力を供給できる期間)に対応した時刻ラベルを保持することによって、その期間を過ぎた場合にはローカル時計部20を使用できないようにすることが可能となる。以下では、時刻Aに対応した暗号化時刻ラベル、識別番号、ハッシュ値、及び、残日数ラベルを暗号化時刻ラベルA、識別番号A、ハッシュ値A、及び、残日数ラベルAとし、時刻Bに対応した暗号化時刻ラベル、識別番号、ハッシュ値、及び、残日数ラベルを暗号化時刻ラベルB、識別番号B、ハッシュ値B、及び、残日数ラベルBと記載する。
FIG. 3 shows an example of data held by the encrypted time
The encrypted time label holding means 26a, 26b includes a time label indicating time information, an encrypted time label corresponding to the time label, a hash value generated from the encrypted time label and the identification number, and the remaining number of days. Information associated with the label and an identification number identifying the local clock unit 20 are held, and these pieces of information are output to the time
なお、暗号化時刻ラベル保持手段26a、26bに保持されるハッシュ値は、例えば、暗号化時刻ラベルと識別番号とを結合した情報から、SHA1(Secure Hash Algorithm 1)などのアルゴリズムにより16進数40桁(160ビット)のハッシュ値を算出し、その算出したハッシュ値の前半20桁のみを抽出した値とする。また、残日数ラベルは、保持されている時刻ラベルのうち、最終の時刻に対応したラベルにより示される日付まで、すなわち、使用できる日にちに達するまで、あと何日であるかの情報が示される。この残日数ラベルにより示される残日数を表示手段52に表示させることにより、ユーザへローカル時計部20の有効期限終了が近いことを知らせ、新たなローカル時計部20に交換するよう促すことができる。なお、残日数ラベルに「−1」が設定される日時は、有効期限に達するまでに十分な日数があることを示す。また、残日数のかわりに残時間を用いることでもよい。 The hash value held in the encryption time label holding means 26a, 26b is, for example, 40 hexadecimal digits by using an algorithm such as SHA1 (Secure Hash Algorithm 1) from information obtained by combining the encryption time label and the identification number. A hash value of (160 bits) is calculated, and only the first 20 digits of the calculated hash value are extracted. In addition, the remaining number of days label indicates how many days are left until the date indicated by the label corresponding to the last time among the held time labels, that is, until the date that can be used is reached. By displaying the remaining number of days indicated by the remaining number of days label on the display means 52, it is possible to notify the user that the expiration date of the local clock unit 20 is almost over and prompt the user to replace the local clock unit 20 with a new one. Note that the date and time when “−1” is set in the remaining days label indicates that there is a sufficient number of days until the expiration date is reached. Further, the remaining time may be used instead of the remaining days.
図4に、タイムスタンプ処理部30の暗号化時刻ラベル保持手段33aが保持するデータの例を示す。なお、暗号化時刻ラベル保持手段33bも同様のデータを保持する。
同図において、暗号化時刻ラベル保持手段33a、33bは、暗号化時刻ラベルと、当該暗号化時刻ラベルを復号化した後の時刻を示す復号化時刻ラベルを対応付けた情報を保持している。例えば、暗号化時刻ラベル保持手段26a、26bには1年分の情報を、暗号化時刻ラベル保持手段33a、33bには20年分の情報を保持するなど、暗号化時刻ラベル保持手段33a、33bに、暗号化時刻ラベル保持手段26a、26bよりも十分長い期間の時刻に対応した情報を保持することで、ローカル時計部20が新しいものに交換された場合でも時刻を復号可能となる。以下では、暗号化時刻ラベルAに対応した復号化時刻ラベルを復号化時刻ラベルA、暗号化時刻ラベルBに対応した復号化時刻ラベルを復号化時刻ラベルBと記載する。
FIG. 4 shows an example of data held by the encrypted time label holding means 33 a of the time
In the figure, encrypted time label holding means 33a and 33b hold information in which an encrypted time label is associated with a decryption time label indicating a time after decryption of the encrypted time label. For example, the encrypted time label holding means 26a and 26b hold information for one year, the encrypted time label holding means 33a and 33b hold information for 20 years, and the like. Furthermore, by holding information corresponding to a time of a sufficiently longer period than the encrypted time label holding means 26a, 26b, the time can be decrypted even when the local clock unit 20 is replaced with a new one. Hereinafter, a decryption time label corresponding to the encryption time label A is referred to as a decryption time label A, and a decryption time label corresponding to the encryption time label B is referred to as a decryption time label B.
図5は、タイムスタンプ発行制御手段36の備える記憶手段に保持されるタイムスタンプ制御フラグを説明するための図である。
同図に示すように、タイムスタンプ制御フラグには、4つのフラグF0〜F3があり、各フラグF0〜F3には、それぞれ、時刻正常フラグまたは時刻異常フラグが設定される。フラグF0には、ローカル時計部20が正常であることを示す時刻正常フラグN0、または、異常であることを示す時刻異常フラグE0が設定される。フラグF1には、時刻監査が正常であることを示す時刻正常フラグN1、または、異常であることを示す時刻異常フラグE1が設定される。フラグF2には、時刻監査証明書で示される有効期間内であることを示す時刻正常フラグN2、または、有効期間外であることを示す時刻異常フラグE2が設定される。フラグF3には、時刻Aと時刻Bの比較の結果、時刻が正常であることを示す時刻正常フラグN3、または、異常であることを示す時刻異常フラグE3が設定される。
FIG. 5 is a diagram for explaining the time stamp control flag held in the storage means included in the time stamp issue control means 36.
As shown in the figure, the time stamp control flag includes four flags F0 to F3, and a time normal flag or a time abnormal flag is set in each of the flags F0 to F3. In the flag F0, a time normal flag N0 indicating that the local clock unit 20 is normal or a time abnormality flag E0 indicating that the local clock unit 20 is abnormal is set. In the flag F1, a time normal flag N1 indicating that the time audit is normal or a time abnormality flag E1 indicating that the time audit is abnormal is set. In the flag F2, a time normal flag N2 indicating that it is within the valid period indicated by the time audit certificate or a time abnormality flag E2 indicating that it is outside the valid period is set. As a result of the comparison between time A and time B, a time normal flag N3 indicating that the time is normal or a time abnormality flag E3 indicating that the time is abnormal is set in the flag F3.
次に、タイムスタンプ装置10の動作について説明する。
図6は、タイムスタンプ装置10の概要動作フローを示す図であり、各フローは繰り返し実行される。
まず、ローカル時計部20に時刻A及び時刻Bの初期設定を行なう(ステップS101)。初期設定後、ローカル時計部20は、時刻A及び時刻Bの生成を開始し、一定周期(例えば、1秒毎)にて、時刻Aが生成される度に、生成された時刻Aに対応した暗号化時刻ラベルA、識別番号A、ハッシュ値A、及び、残日数ラベルAの情報からなる送信データAを、時刻Bが生成される度に、生成された時刻Bに対応した暗号化時刻ラベルB、識別番号B、ハッシュ値B、及び、残日数ラベルBの情報からなる送信データBをタイムスタンプ処理部30に出力する(ステップS102)。
Next, the operation of the
FIG. 6 is a diagram showing an outline operation flow of the
First, time A and time B are initially set in the local clock unit 20 (step S101). After the initial setting, the local clock unit 20 starts generating time A and time B, and corresponds to the generated time A every time time A is generated at a constant cycle (for example, every second). Encrypted time label corresponding to the generated time B each time the generated data A including the encrypted time label A, the identification number A, the hash value A, and the remaining number of days label A is generated. Transmission data B including information of B, identification number B, hash value B, and remaining days label B is output to the time stamp processing unit 30 (step S102).
タイムスタンプ処理部30は、ローカル時計部20から送信データA、送信データBを受信する毎にそれぞれ送信データの正当性を確認し、送信データAの暗号化時刻ラベルAからは時刻Aを、送信データBの暗号化時刻ラベルBからは時刻Bを得る(ステップS111)。タイムスタンプ処理部30は、得られた時刻Aと時刻Bとを比較して時刻が正常であるか否かを判定し、その判定結果を示すタイムスタンプ制御フラグを発行許可情報として保持する(ステップS112)。
Each time the time
タイムスタンプ処理部30は、ステップS111により得た時刻Aまたは時刻Bの情報を設定するとともに、当該タイムスタンプ処理部30の機器認証証明書を付加した時刻監査要求を定期的に(あるいは、必要に応じて非定期に)時刻監査局システム70に送信する。これにより、時刻監査局システム70から時刻監査結果を示す時刻監査証明書を受信する(ステップS121)。タイムスタンプ処理部30は、時刻が正常内の誤差であることを示す時刻監査証明書を受信したかを判断し、判断結果を示すタイムスタンプ制御フラグを発行許可情報として保持する。なお、時刻監査要求に、時刻Aを用いるか、時刻Bを用いるかは所定のルールに従う。例えば、時刻A(または時刻B)を常に用いる、あるいは、時刻Aと時刻Bとを一回毎に、または、所定の時間(回数)毎に交互に用いる、などとすることができる。また、時刻監査要求は、タイムスタンプ装置10から所定の時間毎に自律的に送信することでもよく、時刻監査局システム70から所定の時間毎に送信される時刻監査の指示を受信して送信することでもよい。時刻監査は、数時間毎など、時刻監査証明書に設定されうる有効期限より短い周期で行うこともできる。
The time
時刻監査証明書には、時刻監査要求により通知した時刻が、UTCからどれくらいずれの時間があるかを示す誤差の情報と、当該時刻監査証明書の有効期限の情報とが含まれるが、ずれの時間が大きい場合には、有効期限として零の値が設定される。タイムスタンプ処理部30は、受信した時刻監査証明書に設定された有効期限の情報から、ローカル時計部20から通知した時刻Aまたは時刻Bが正しいか否かを判断して、判断結果を示すタイムスタンプ制御フラグを発行許可情報として保持し、所定の時間毎に(例えば、送信データA、Bの受信間隔と同じ間隔で)時刻監査証明書の有効期限をチェックする(ステップS122)。タイムスタンプ処理部30は、次の時刻監査証明書を受信するまで、あるいは、ローカル時計部20の交換が検出されるまで、受信した時刻監査証明書を保持する。
The time audit certificate includes error information indicating how long the time notified by the time audit request is from UTC and information on the expiration date of the time audit certificate. If the time is large, a zero value is set as the expiration date. The time
クライアント端末80からタイムスタンプ発行要求を受信した場合、タイムスタンプ処理部30は、タイムスタンプの発行許可情報(タイムスタンプ制御フラグ)により、ステップS112において時刻Aと時刻Bの比較による時刻が正常であると判断され、かつ、ステップS121において受信した時刻監査証明書から時刻が正常内の誤差であると判断され、かつ、現在の時刻が保持している時刻監査証明書で示される有効期限内であると判断されたことを確認した場合に、現在の時刻Aまたは時刻Bによりタイムスタンプデータを生成してクライアント端末80へ返送する(ステップS131)。タイムスタンプデータの生成には、現在保持している時刻監査証明書が、時刻監査時の時刻Aに対するものであれば現在の時刻Aを使用し、時刻監査時の時刻Bに対するものであれば、現在の時刻Bを使用する。また、タイムスタンプデータの生成後、クライアント端末80への出力前に、タイムスタンプデータの生成に使用していない確認用の時刻A、または、時刻Bによってタイムスタンプデータ内の時刻をチェックする。
When the time stamp issuing request is received from the
クライアント端末80から受信するタイムスタンプ要求には、タイムスタンプを付与したいディジタルドキュメントのハッシュデータが含まれる。タイムスタンプ処理部30がこのタイムスタンプ要求によって生成するタイムスタンプデータは、タイムスタンプ要求から取得したディジタルドキュメントのハッシュデータと、現在の時刻Aまたは時刻Bと、時刻監査証明書とからなるデータに、タイムスタンプ装置10の署名鍵により電子署名したものである。
The time stamp request received from the
ディジタルドキュメントのタイムスタンプを検証する場合、クライアント端末80は、ディジタルドキュメントのハッシュデータを再計算するとともに、TSA(タイムスタンプ装置10)の署名鍵と対になる公開鍵によりタイムスタンプデータの電子署名値を復号化し検証することで正当性を確認する。公開鍵は、予め受け取ってクライアント端末80内に保持するようにしてもよく、タイムスタンプデータ内に含めるようにしてもよい。そして、再計算したハッシュ値と、タイムスタンプデータに含まれるハッシュ値が一致すれば、タイムスタンプデータで示されるタイムスタンプ時刻に当該ディジタルドキュメントが存在したことが証明でき、一致しない場合は変更や改ざんがあったと判断される。
When verifying the time stamp of the digital document, the
次に、タイムスタンプ装置10の詳細な動作について説明する。なお、ここでは、発振手段23a、23bは、1秒周期の発振信号を出力するものとする。
Next, detailed operation of the
図7は、図6のステップS101における時刻初期設定処理の詳細なフローである。ここでは、時刻Aの初期設定を行う場合について説明する。
ローカル時計部20の時刻設定手段21は、当該時刻設定手段21の備えるに記憶手段に、時刻Aが初期設定済みであることを示すフラグが設定されているかを判断する(ステップS201)。時刻設定手段21は、時刻Aの初期設定済みを示すフラグが設定されていないと判断した場合(ステップS201:YES)、外部の時刻設定装置から、TAより出力された時刻に基づく時刻ラベルを受信し、この時刻ラベルの受信タイミングと、発振手段23aにより生成される発振信号Aとを同期させる(ステップS202)。時刻設定手段21は、ステップS202において同期を行った結果の同期誤差が、所定の規定値より小さいか否かを判断する(ステップS203)。所定の規定値以上であると判断した場合(ステップS203:NO)、ステップS202に戻り、再び同期処理を行う。
FIG. 7 is a detailed flow of the time initial setting process in step S101 of FIG. Here, a case where the initial setting of time A is performed will be described.
The
そして、ステップS202において同期を行った結果の同期誤差が、所定の規定値より小さいと判断した場合(ステップS203:YES)、時刻制御手段24aは、取得した時刻Aを示す時刻ラベルを時刻A一時保持手段25aに設定し(ステップS204)、時刻設定手段21は、時刻設定手段21の備える記憶手段に、時刻Aが初期設定済みであることを示すフラグを設定する(ステップS205)。
なお、ステップS201において、時刻Aの初期設定済みを示すフラグが設定されていると判断した場合は(ステップS201:NO)、そのまま処理を終了する。
When it is determined that the synchronization error resulting from the synchronization in step S202 is smaller than the predetermined specified value (step S203: YES), the
If it is determined in step S201 that the flag indicating that the time A has been initially set is set (step S201: NO), the process ends.
上記では時刻Aの初期設定処理について説明したが、時刻Bの初期設定についても同様である。時刻Bの初期設定処理の場合、発振手段23a、時刻制御手段24a、時刻A一時保持手段25a、発振信号A、時刻Aをそれぞれ、発振手段23b、時刻制御手段24b、時刻B一時保持手段25b、発振信号B、時刻Bと置き換えればよい。 Although the initial setting process for time A has been described above, the same applies to the initial setting for time B. In the case of the initial setting process for time B, the oscillating means 23a, the time control means 24a, the time A temporary holding means 25a, the oscillation signal A, and the time A are respectively set to the oscillating means 23b, the time control means 24b, the time B temporary holding means 25b, The oscillation signal B and time B may be replaced.
図8は、図6のステップS102における時刻生成送信処理の詳細なフローである。ここでは、時刻Aの時刻生成送信処理を行う場合について説明する。
時刻制御手段24aは、発振手段23a(発振手段A)から出力される発振信号Aの発振立ち上がりのタイミングにより、時刻A一時保持手段25aに保持されている過去の時刻Aである時刻A’を取得し、この時刻A’にプラス1秒を追加して新たな時刻Aを生成し、時刻A一時保持手段25aに設定する(ステップS301)。時刻制御手段24aは、時刻Aを示す送信データAとして、当該時刻Aに対応した暗号化時刻ラベルA、識別番号A、ハッシュ値A、及び、残日数ラベルAの情報を暗号化時刻ラベル保持手段26aから読み出す(ステップS302)。時刻制御手段24aは、読み出したデータが0ではないかにより、暗号化時刻ラベル保持手段26aからの情報の読み出しに成功したか否かを判断する(ステップS303)。情報の読み出しに成功したと判断した場合(ステップS303:YES)、信号送信手段27は、暗号化時刻ラベル保持手段26aから読み出された暗号化時刻ラベルA、識別番号A、ハッシュ値A、及び、残日数ラベルAの情報からなる送信データAをタイムスタンプ処理部30へ送信し(ステップS304)、再びステップS301からの処理を繰り返す。なお、暗号化時刻ラベル保持手段26aからの情報の読み出しに失敗したと判断した場合(ステップS303:NO)、処理を終了する。
FIG. 8 is a detailed flow of the time generation transmission process in step S102 of FIG. Here, the case of performing time generation transmission processing at time A will be described.
The
上記では時刻Aの時刻生成送信処理について説明したが、時刻Bの時刻生成送信処理についても同様である。時刻Bの時刻生成送信処理の場合、発振手段23a、時刻制御手段24a、時刻A一時保持手段25a、暗号化時刻ラベル保持手段26a、発振信号A、時刻A、時刻A’、送信データA、暗号化時刻ラベルA、識別番号A、ハッシュ値A、残日数ラベルAをそれぞれ、発振手段23b、時刻制御手段24b、時刻B一時保持手段25b、暗号化時刻ラベル保持手段26b、発振信号B、時刻B、時刻B’、送信データB、暗号化時刻ラベルB、識別番号B、ハッシュ値B、残日数ラベルBと置き換えればよい。 Although the time generation / transmission process at time A has been described above, the same applies to the time generation / transmission process at time B. In the case of time generation transmission processing at time B, the oscillation means 23a, time control means 24a, time A temporary holding means 25a, encrypted time label holding means 26a, oscillation signal A, time A, time A ', transmission data A, encryption Oscillating means 23b, time control means 24b, time B temporary holding means 25b, encrypted time label holding means 26b, oscillation signal B, time B, respectively. , Time B ′, transmission data B, encrypted time label B, identification number B, hash value B, remaining number of days label B.
図9は、図6のステップS111における時刻設定処理の詳細なフローである。ここでは、時刻Aの時刻設定処理を行う場合について説明する。
タイムスタンプ処理部30の信号受信手段31は、ローカル時計部20から送信データAを受信する(ステップS401)。復号化手段32は、送信データAに設定されている暗号化時刻ラベルAがオール0(0の羅列)ではなく、かつ、以前に受信した暗号化時刻ラベルAと一致しないかにより、暗号化時刻ラベルAが有効であるかを判断する(ステップS402)。有効であると判断した場合(ステップS402:YES)、復号化手段32は、暗号化時刻ラベル保持手段33aから、暗号化時刻ラベルAに対応した復号化時刻ラベルAを読み出す(ステップS403)。なお、このとき、前回復号化時刻ラベルAを読み出した行以降の行を順に検索するか、または、前回復号化時刻ラベルAを読み出した行の近傍の行のみを検索することにより、処理を高速化することができる。復号化手段32は、現在時刻A保持手段35aに保持されている過去の時刻Aである時刻A’を取得し、読み出した復号化時刻ラベルAにより示される時刻、すなわち、時刻Aが時刻A’よりも進んだ時刻であるか否かを判断する(ステップS404)。
FIG. 9 is a detailed flow of the time setting process in step S111 of FIG. Here, the case where the time setting process of time A is performed will be described.
The signal receiving means 31 of the time
時刻Aが時刻A’よりも進んだ時刻であると判断した場合(ステップS404:YES)、ローカル時計識別番号確認手段34は、時計識別により正当性を確認する(ステップS405)。この処理の詳細は後述する。
ローカル時計識別番号確認手段34により時計識別が正しいと判断されると、復号化手段32は、復号化時刻ラベルAを時刻A保持手段35aに格納し(ステップS406)、タイムスタンプ発行制御手段36の備える記憶手段に、時計正常フラグN0を設定する(ステップS407)。復号化手段32は、送信データAに設定されている残日数ラベルAが負の値であった場合(ステップS408:YES)、再びステップS401からの処理を繰り返し、残日数ラベルAが正の値であった場合(ステップS408:NO)、表示手段52に残日数を表示したり、図示しない警告手段(例えば、ローカル時計取替え時期が近いことを音声で知らせる装置など)により警告を出力して(ステップS409)、再びステップS401からの処理を繰り返す。
When it is determined that the time A is a time advanced from the time A ′ (step S404: YES), the local clock identification
When the local clock identification number confirmation means 34 determines that the clock identification is correct, the decryption means 32 stores the decryption time label A in the time A holding means 35a (step S406), and the time stamp issuance control means 36 The clock normal flag N0 is set in the storage means provided (step S407). When the remaining number of days label A set in the transmission data A is a negative value (step S408: YES), the decrypting means 32 repeats the processing from step S401 again, and the remaining number of days label A is a positive value. If this is the case (step S408: NO), the remaining number of days is displayed on the display means 52, or a warning is output by a warning means (not shown) (for example, a device that informs the user that the local clock replacement time is near) ( Step S409), the processing from step S401 is repeated again.
なお、ステップS402において、暗号化時刻ラベルAが有効ではないと判断した場合(ステップS402:NO)、あるいは、ステップS404において、時刻Aが時刻A’より進んだ時刻ではないと判断した場合(ステップS404:NO)、復号化手段32は、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE0を設定し(ステップS410)、処理を終了する。 When it is determined in step S402 that the encrypted time label A is not valid (step S402: NO), or when it is determined in step S404 that the time A is not a time advanced from the time A ′ (step S402). (S404: NO), the decryption means 32 sets the clock abnormality flag E0 in the storage means included in the time stamp issue control means 36 (step S410), and ends the process.
上記では送信データAを受信したときの時刻設定処理について説明したが、送信データBを受信したときの時刻設定処理についても同様である。送信データBを受信したときの時刻設定処理の場合、暗号化時刻ラベル保持手段33a、時刻A保持手段35a、時刻A、時刻A’、送信データA、暗号化時刻ラベルA、復号化時刻ラベルA、残日数ラベルAをそれぞれ、暗号化時刻ラベル保持手段33b、時刻B保持手段35b、時刻B、時刻B’、送信データB、暗号化時刻ラベルB、復号化時刻ラベルB、残日数ラベルBと置き換えればよい。
なお、復号鍵を予め記憶しておき、都度、暗号化時刻ラベルA、Bを復号するようにしてもよい。
Although the time setting process when the transmission data A is received has been described above, the same applies to the time setting process when the transmission data B is received. In the case of time setting processing when transmission data B is received, encrypted time label holding means 33a, time A holding means 35a, time A, time A ′, transmission data A, encrypted time label A, and decryption time label A , Remaining time number label A is encrypted time label holding means 33b, time B holding means 35b, time B, time B ', transmission data B, encrypted time label B, decryption time label B, remaining day number label B and Replace it.
The decryption key may be stored in advance, and the encrypted time labels A and B may be decrypted each time.
図10は、図6のステップS112における時刻比較処理の詳細なフローである。
時刻比較手段40は、時刻A保持手段35aから時刻Aの情報を、時刻B保持手段35bから時刻Bの情報を取得し(ステップS501)、時刻Aと時刻Bとの時刻の誤差が所定の規定値より小さいかを判断する(ステップS502)。時刻Aと時刻Bとの時刻の誤差が所定の規定値より小さいと判断した場合(ステップS502:YES)、時刻比較手段40は、タイムスタンプ発行制御手段36の備える記憶手段に、時計正常フラグN3を設定し(ステップS503)、ステップS501の処理へ戻る。一方、時刻Aと時刻Bとの時刻の誤差が所定の規定値以上であると判断した場合(ステップS502:NO)、時刻比較手段40は、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE3を設定するとともに(ステップS504)、表示手段52または図示しない警告手段により警告を出力してローカル時計の交換を促す(ステップS505)。
FIG. 10 is a detailed flow of the time comparison process in step S112 of FIG.
The
図11は、図6のステップS121における時刻監査処理の詳細なフローである。以下では、時刻Aにより時刻監査を行う場合について説明する。
時刻監査制御手段37は、時刻監査要求を送信する所定の時間であることを検出するか、あるいは、時刻監査局システム70から時刻監査の指示を受信する(ステップS601)。時刻監査制御手段37は、時刻監査局システム70からTAの機器認証証明書を受信し(ステップS602)、正当性を確認する(ステップS603)。さらに署名鍵・証明書保持手段38から取得した当該タイムスタンプ装置10の機器認証証明書を時刻監査局システム70に送信することで時刻監査局システム70によってタイムスタンプ装置10が正しいことが確認されると、TAの機器認証証明書が正しいと判断した場合(ステップS603:YES)、通信手段50は、SSLによる暗号化通信を確立する。時刻監査制御手段37は、時刻A保持手段35aから時刻Aを取得し、取得した時刻Aを設定した時刻監査要求を時刻監査局システム70へ送信する(ステップS604)。
FIG. 11 is a detailed flow of the time audit process in step S121 of FIG. Hereinafter, a case where the time audit is performed based on the time A will be described.
The time
通信エラー等の異常が発生せず、時刻監査要求の送信が成功した場合(ステップS605:YES)、時刻監査制御手段37は時刻監査局システム70から時刻監査証明書を受信する。時刻監査制御手段37は、受信した時刻監査証明書と、送信データA内の識別番号Aとを時刻監査証明書保持手段39に書き込む(ステップS606)。時刻監査制御手段37は、受信した時刻監査証明書の有効期限の情報に正常な値(正の値)が設定されていれば時刻監査が成功したと判断し(ステップS607:YES)、タイムスタンプ発行制御手段36の保持する記憶手段に、当該時刻監査証明書の有効期限の情報を設定するとともに、時計正常フラグN1、N2を設定する(ステップS608)。時刻比較手段40は、時刻監査証明書内の監査時刻と、時刻A保持手段35aから取得した時刻Aと、時刻B保持手段35bから取得した時刻Bの情報とから、時刻監査証明書内の監査時刻に対する時刻Bの時刻誤差を算出する(ステップS609)。算出した時刻BのTA時刻に対する時刻誤差が所定の規定値より小さい場合(ステップS610:YES)、そのまま処理を終了する。
When an abnormality such as a communication error does not occur and the transmission of the time audit request is successful (step S605: YES), the time
なお、ステップS603において、TAの機器認証証明書が正しくないと判断した場合(ステップS603:NO)、ステップS605において、時刻監査要求の送信が失敗した場合(ステップS605:NO)、表示手段52または図示しない警告手段により時刻監査の失敗の警告を出力する(ステップS613)。
また、ステップS607において、時刻監査証明書内の時刻の有効期限の情報が正ではない場合(ステップS607:NO)、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE1を設定し(ステップS611)、表示手段52または図示しない警告手段により警告を出力してローカル時計の交換を促す(ステップS613)。
また、ステップS609において、算出した時刻BのTA時刻に対する時刻誤差が所定の規定値以上である場合(ステップS610:NO)、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE3を設定し(ステップS612)、表示手段52または図示しない警告手段により警告を出力してローカル時計の交換を促す(ステップS613)。
If it is determined in step S603 that the TA device authentication certificate is not correct (step S603: NO), if the time audit request transmission fails in step S605 (step S605: NO), the display means 52 or A warning of failure of time audit is output by warning means (not shown) (step S613).
In step S607, when the time expiration date information in the time audit certificate is not positive (step S607: NO), the clock abnormality flag E1 is set in the storage unit included in the time stamp issue control unit 36 ( Step S611), a warning is output by the display means 52 or a warning means (not shown) to prompt the exchange of the local clock (Step S613).
In step S609, when the time error of the calculated time B with respect to the TA time is equal to or greater than a predetermined value (step S610: NO), the clock abnormality flag E3 is set in the storage unit included in the time stamp issue control unit 36. Then, a warning is output by the display means 52 or a warning means (not shown) to prompt replacement of the local clock (step S613).
上記では時刻Aの監査処理について説明したが、時刻Bの監査処理についても同様である。時刻Bの監査処理の場合、時刻A保持手段35a、時刻A、識別番号A、時刻B保持手段35b、時刻Bをそれぞれ、時刻B保持手段35b、時刻B、識別番号B、時刻A保持手段35a、時刻Aと置き換えればよい。 Although the audit process at time A has been described above, the same applies to the audit process at time B. In the case of the audit process at time B, time A holding means 35a, time A, identification number A, time B holding means 35b, and time B are set as time B holding means 35b, time B, identification number B, time A holding means 35a, respectively. The time A may be replaced.
図12は、図6のステップS122における時刻監査証有効期限チェック処理の詳細なフローである。以下では、直前の時刻監査を時刻Aにより行った場合について説明する。
時刻監査制御手段37は、タイムスタンプ発行制御手段36に時刻正常フラグN1が設定されている場合(ステップS701)、時刻A保持手段35aから時刻Aの情報を読み出す(ステップS702)。時刻監査制御手段37は、読み出した時刻Aが、時刻監査証明書保持手段39に保持されている時刻監査証明書に設定されている有効期限内である場合(ステップS703:YES)、タイムスタンプ発行制御手段36の備える記憶手段に、時刻正常フラグN2を設定する(ステップS704)。さらに、時刻監査制御手段37は、時刻監査証明書に設定されている有効期限が、規定の日数(または時間)の後に有効期限となるかを判断する(ステップS705)。規定の日数(または時間)の後にはまだ有効期限とはならないと判断した場合は、処理を終了し(ステップS705:NO)、規定の日数(または時間)の後に有効期限となると判断した場合は、表示手段52または図示しない警告手段に残日数または残り時間を表示して、時刻監査証明書の期限が近いことを警告する(ステップS706)。
FIG. 12 is a detailed flow of the time audit certificate expiration date check process in step S122 of FIG. Hereinafter, a case where the immediately preceding time audit is performed at time A will be described.
When the time normality flag N1 is set in the time stamp issuing control means 36 (step S701), the time audit control means 37 reads the information of time A from the time A holding means 35a (step S702). The time
なお、時刻監査制御手段37は、タイムスタンプ発行制御手段36に時刻正常フラグN1が設定されていない場合(ステップS701:NO)、処理を終了する。
また、ステップS703において、読み出した時刻Aが、時刻監査証明書に設定されている有効期限を超えている場合(ステップS703:NO)、タイムスタンプ発行制御手段36の備える記憶手段に時刻異常フラグE2を設定するとともに(ステップS707)、TAの時刻監査局システム70へ時刻監査要求を送信する(ステップS708)。
The time
In step S703, when the read time A exceeds the expiration date set in the time audit certificate (step S703: NO), the time abnormality flag E2 is stored in the storage unit included in the time stamp issue control unit 36. Is set (step S707), and a time audit request is transmitted to the TA time audit station system 70 (step S708).
上記では、直前の時刻監査を時刻Aにより行った場合の時刻監査証有効期限チェック処理について説明したが、直前の時刻監査を時刻Bにより行った場合の時刻監査証有効期限チェック処理についても同様である。直前の時刻監査を時刻Bにより行った場合の時刻監査証有効期限チェック処理の場合、時刻A保持手段35a、時刻A、残日数ラベルAをそれぞれ、時刻B保持手段35b、時刻B、残日数ラベルBと置き換えればよい。 In the above description, the time audit certificate expiration date check process when the previous time audit is performed at time A has been described, but the same applies to the time audit certificate expiration date check process when the immediately previous time audit is performed at time B. is there. In the case of the time audit certificate expiry date check process when the previous time audit is performed at time B, the time A holding means 35a, time A, and remaining day number label A are respectively time B holding means 35b, time B, remaining day number label. Replace with B.
図13は、図6のステップS131におけるタイムスタンプ発行処理の詳細なフローである。以下では、直前の時刻監査を時刻Aにより行った場合について説明する。
タイムスタンプ発行制御手段36は、通信手段50及びタイムスタンプ受付/出力手段51を介して、クライアント端末80としてのクライアントPCからタイムスタンプ要求データを受信する(ステップS801)。タイムスタンプ発行制御手段36は、記憶手段に時計正常フラグN0が設定されており(ステップS802:YES)、かつ、時刻比較によって時刻正常フラグN3が設定されている場合(ステップS803:YES)、時刻A保持手段35aから現在時刻である時刻Aの情報を取得する(ステップS804)。タイムスタンプ発行制御手段36は、自身の備える記憶手段を参照し、時刻Aが有効期限内であり、かつ、時刻正常フラグN1及びN2が設定済みであると判断した場合(ステップS805:YES)、時刻Aを用いてタイムスタンプを生成するようタイムスタンプ作成手段41に指示する。タイムスタンプ作成手段41は、タイムスタンプ要求から取得したディジタルドキュメントのハッシュデータと、時刻Aと、時刻監査証明書保持手段39内に保持されている時刻監査証明書とを含むタイムスタンプの平文データを生成する。署名手段42は、この生成された平文データに対して、署名鍵・証明書保持手段38から読み出した、TSA(タイムスタンプ装置10)の署名鍵により電子署名を行い、前記平文データに付加する(ステップS806)。タイムスタンプ時刻確認手段43は、このようにして生成されたタイムスタンプデータ内のスタンプ時刻である時刻Aと、時刻B保持手段35bから取得した時刻Bとの時刻誤差が所定の規定値より小さい場合(ステップS807:YES)、生成されたタイムスタンプデータを含むタイムスタンプレスポンスをクライアントPCへ返送する(ステップS808)。
FIG. 13 is a detailed flow of the time stamp issuing process in step S131 of FIG. Hereinafter, a case where the immediately preceding time audit is performed at time A will be described.
The time stamp issuance control means 36 receives time stamp request data from the client PC as the
なお、記憶手段に時計正常フラグN0が設定されていない場合(ステップS802:NO)、時刻正常フラグN3が設定されていない場合(ステップS803:NO)、時刻Aが有効期限内ではない場合、または、記憶手段に時刻正常フラグN1、N2が設定されていない場合(ステップS805:NO)、あるいは、タイムスタンプデータ内のスタンプ時刻である時刻Aと、時刻B保持手段35bから取得した時刻Bとの時刻誤差が所定の規定値以上である場合(ステップS807:NO)、タイムスタンプ作成手段41は、エラーを設定したタイムスタンプレスポンスをクライアントPCへ返送する(ステップS809)。 When the clock normal flag N0 is not set in the storage means (step S802: NO), when the time normal flag N3 is not set (step S803: NO), when the time A is not within the expiration date, or If the time normal flags N1 and N2 are not set in the storage means (step S805: NO), or the time A that is the stamp time in the time stamp data and the time B acquired from the time B holding means 35b If the time error is equal to or greater than the predetermined specified value (step S807: NO), the time stamp creating means 41 returns a time stamp response in which an error is set to the client PC (step S809).
上記では、直前の時刻監査を時刻Aにより行った場合のタイムスタンプ発行処理について説明したが、直前の時刻監査を時刻Bにより行った場合のタイムスタンプ発行処理についても同様である。直前の時刻監査を時刻Bにより行った場合の時刻監査証有効期限チェック処理の場合、時刻A保持手段35a、時刻A、時刻B保持手段35b、時刻Bをそれぞれ、時刻B保持手段35b、時刻B、時刻A保持手段35a、時刻Aに置き換えればよい。 In the above description, the time stamp issuing process when the immediately preceding time audit is performed at the time A has been described, but the same applies to the time stamp issuing process when the immediately preceding time audit is performed at the time B. In the case of the time audit certificate expiry date check process when the immediately preceding time audit is performed at time B, time A holding means 35a, time A, time B holding means 35b, and time B are set as time B holding means 35b and time B, respectively. The time A holding means 35a and the time A may be replaced.
図14は、時刻監査証有無確認処理のフローであり、1秒ごとなどの所定の時間毎に、図12の時刻監査証有効期限チェック処理の前に実行される。
時刻監査制御手段37は、時刻監査証明書保持手段39に時刻監査証明書が保持されているか否かを判断する(ステップS901)。時刻監査証明書が保持されている場合、図12に示す時刻監査証有効期限チェック処理を実行し(ステップS902)、ステップS901からの処理を繰り返す。一方、時刻監査証明書保持手段39に時刻監査証明書が保持されていない場合、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE1及びE2を設定し、ステップS901からの処理を繰り返す(ステップS903)。
FIG. 14 is a flow of the time audit certificate presence / absence confirmation process, which is executed at predetermined time intervals such as every second and before the time audit certificate expiration date check process of FIG.
The time
図15は、図9のステップS405における時計識別確認処理の詳細なフローである。
ローカル時計識別番号確認手段34は、送信データAに設定されている暗号化時刻ラベルAと識別番号Aとを結合した情報から、ローカル時計部20において保持しているハッシュアルゴリズムと同じアルゴリズムであるSHA1アルゴリズムを用いてハッシュ値αを算出する(ステップS1001)。ローカル時計識別番号確認手段34は、算出されたハッシュ値αの前半20桁が送信データAに設定されているハッシュ値Aと同じであれば(ステップS1002:YES)、時刻監査証明書保持手段39に保管されている識別番号A’を取得し(ステップS1003)、送信データAから取得した識別番号Aと一致するかを判断する(ステップS1004)。ローカル時計識別番号確認手段34は、識別番号A’と識別番号Aとが一致する場合(ステップS1004:YES)、処理を終了し、一致しない場合(ステップS1004:NO)、時刻監査証明書保持手段39に保管されている時刻監査証明書を消去する(ステップS1005)。
FIG. 15 is a detailed flow of the clock identification confirmation process in step S405 of FIG.
The local clock identification
また、ステップS1002において、算出されたハッシュ値αが送信データAに設定されているハッシュ値Aと一致しないと判断された場合、ローカル時計識別番号確認手段34は、時刻監査証明書保持手段39に保管されている時刻監査証明書を消去するとともに(ステップS1006)、タイムスタンプ発行制御手段36の備える記憶手段に、時計異常フラグE0を設定する(ステップS1007)。
If it is determined in step S1002 that the calculated hash value α does not match the hash value A set in the transmission data A, the local clock identification
上記では送信データAを受信したときの時計識別確認処理について説明したが、送信データBを受信したときの時計識別確認処理についても同様である。送信データBを受信したときの時計識別確認処理の場合、送信データA、暗号化時刻ラベルA、識別番号A、ハッシュ値A、識別番号A’をそれぞれ、時刻B、送信データB、暗号化時刻ラベルB、識別番号B、ハッシュ値B、識別番号B’に置き換えればよい。 In the above, the clock identification confirmation process when the transmission data A is received has been described, but the same applies to the clock identification confirmation process when the transmission data B is received. In the case of the clock identification confirmation processing when the transmission data B is received, the transmission data A, the encryption time label A, the identification number A, the hash value A, and the identification number A ′ are respectively set to the time B, the transmission data B, and the encryption time. The label B, the identification number B, the hash value B, and the identification number B ′ may be replaced.
このように、ローカル時計部20から送信される送信データにローカル時計部20を特定する固有の識別番号と、ハッシュ値を含めることにより、タイムスタンプ処理部30側において、過去に時刻監査証を受けた時計の識別番号と比較され、変更があれば過去に受けた時刻監査証を消去する。ハッシュ値は、暗号化時刻ラベルと識別番号から生成されるが、ハッシュ値があることで、暗号化時刻ラベルをローカル時計部20ごとに作成する必要が無いため、タイムスタンプ処理部30が保管すべき復号用データを減らすことができる。また、新しいローカル時計部20と偽の識別番号(固定であるため)を入力することによる時刻監査証の引き続きの使用を阻止できる。
従って、時刻監査証明書の有効期限内であれば、タイムスタンプ装置10の電源が切れても再度、起動時に、時刻監査を新たに受ける必要が無くタイムスタンプを発行することができる。
In this way, by including the unique identification number for identifying the local clock unit 20 and the hash value in the transmission data transmitted from the local clock unit 20, the time
Therefore, as long as the time audit certificate is within the validity period, even when the
図16及び図17は、ローカル時計部20のハードウェア構成の例を示す。
図16において、ローカル時計部20のハードウェアセキュリティ部は、CPU(central processing unit)101a、EEPROM(Electronically Erasable and Programmable Read Only Memory)102a、RAM(Random Access Memory)103a、電源部104a、時計105a、入力I/F(インタフェース)106a、及び、出力I/F107aをバス108aで接続した構成と、CPU101b、EEPROM102b、RAM103b、電源部104b、時計105b、入力I/F(インタフェース)106b、及び、出力I/F107bをバス108bで接続した構成とからなる。
16 and 17 show examples of the hardware configuration of the local clock unit 20.
In FIG. 16, the hardware security unit of the local clock unit 20 includes a CPU (central processing unit) 101a, an EEPROM (Electronically Erasable and Programmable Read Only Memory) 102a, a RAM (Random Access Memory) 103a, a
CPU101aは演算や制御を行う中央演算装置であり、図2の時刻設定手段21及び時刻制御手段24aを実現する。EEPROM102aは、時刻設定手段21及び時刻制御手段24aのプログラムを記憶するとともに、暗号化時刻ラベル保持手段26aを実現する。RAM103aは、読み出し・書き込み可能なメモリであって、CPU101aが各種プログラムを実行する際のワークエリアなどがあり、時刻A一時保持手段25aを実現する。電源部104aは、独立電源手段22aを、時計105aは発振手段23aを実現する。
同様に、CPU101bは時刻設定手段21及び時刻制御手段24bを実現し、EEPROM102bは、時刻設定手段21及び時刻制御手段24bのプログラムを記憶するとともに、時刻設定手段21及び暗号化時刻ラベル保持手段26bを実現する。RAM103bは、CPU101bが各種プログラムを実行する際のワークエリアなどがあり、時刻B一時保持手段25bを実現する。電源部104bは、独立電源手段22bを、時計105bは発振手段23bを実現する。
入力I/F106a、106bは外部からのデータの受信を可能とするものであり、時刻設定手段21を実現し、出力I/F107a、107bは外部へのデータ送信を可能とするものであり、信号送信手段27を実現する。
The
Similarly, the
The input I /
図17において、ローカル時計部20のハードウェアセキュリティ部は、CPU101、EEPROM102、RAM103、電源部104、時計105a及び105b、入力I/F(インタフェース)106、及び、出力I/F107をバス108で接続して構成される。発振手段23a及び23bは、それぞれ時計105a、105bで実現されるが、他の手段は共通のハードウェアで実現される。
In FIG. 17, the hardware security unit of the local clock unit 20 connects the
図18は、タイムスタンプ処理部30、通信手段50、タイムスタンプ受付/出力手段51、表示手段52のハードウェア構成の例を示す図である。同図において、タイムスタンプ処理部30としてのハードウェアセキュリティ部115は、当該ハードウェアセキュリティ部115とUSB等により接続されるPC等のコンピュータ装置のCPU111、ROM112、RAM113、記憶部114、通信制御部116、出力I/F117、入力I/F118、及び、表示部119とバス121により接続して構成される。ハードウェアセキュリティ部115は、CPU122、ROM123、RAM124、EEPROM125により構成される。
FIG. 18 is a diagram illustrating an example of the hardware configuration of the time
CPU111は、ROM112からシステムプログラムを読み出し、各部の制御を行う。RAM113bは、CPU111が各種プログラムを実行する際のワークエリアなどがある。記憶部114は、ハードディスクなどであり、各種プログラムなどを記憶するとともに、データを記憶する。通信制御部116は、出力I/F117による外部へのデータの出力、入力I/F118による外部からのデータの入力を制御し、これらにより図2の通信手段50を実現する。表示部119は、ディスプレイなどの表示装置である。
The
CPU122はROM123からプログラムを読み出して、復号化手段32、ローカル時計識別番号確認手段34、タイムスタンプ発行制御手段36、時刻監査制御手段37、時刻比較手段40、タイムスタンプ作成手段41、署名手段42、タイムスタンプ時刻確認手段43を実現する。RAM124は、時刻A保持手段35a、時刻B保持手段35b、時刻監査証明書保持手段39を実現し、EEPROM125は、暗号化時刻ラベル保持手段33a及び33b、署名鍵・証明書保持手段38を実現する。
The
図19は、タイムスタンプ装置10全体のハードウェア構成の例を示す図である。同図においては、図16に示すような出力I/F107a及び107bが、図18に示すようなローカル時計部20のハードウェアセキュリティ部に接続される。ただし、出力I/F117、入力I/F118は併せて入出力I/F120としている。
FIG. 19 is a diagram illustrating an example of a hardware configuration of the entire
図20は、ローカル時計部20として用いる耐タンパローカル時計の外観を示す図である。耐タンパローカル時計は、CPU、RAM、EEPROM、発振器、電池等からなる内部モジュールを樹脂でパッケージした内部モジュールケースと、内部モジュールへ外部からの信号を入力するための信号送信用端子(初期時刻設定用端子としても使用される)と、内部モジュールケースに巻きつけられるコイルの端子と接続される端子X、端子Yとを備える。 FIG. 20 is a view showing the appearance of a tamper-resistant local timepiece used as the local timepiece unit 20. The tamper-resistant local timepiece has an internal module case in which internal modules consisting of CPU, RAM, EEPROM, oscillator, battery, etc. are packaged with resin, and a signal transmission terminal for inputting external signals to the internal module (initial time setting) And a terminal X and a terminal Y connected to a terminal of a coil wound around the internal module case.
図21は、ローカル時計部20のモジュール構成を示す図である。図21(a)は、コイル1の形状を、図21(b)はコイル2の形状を示している。コイル1及びコイル2は、それぞれ1本の電線であり、コイル1が内部モジュールの周囲に巻きつけられ、さらにその周囲に、コイル2がコイル1とは直交する方向に巻きつけられる。そして、コイル端子Xが、コイル1の一方の端子とつながり、コイル1のもう一方の端子が、コイル2一方の端子とつながり、コイル2のもう一方の端子が、コイル端子Yとつながることで、コイル端子Xとコイル端子Yは1本の電線として作用する。このようにコイル1、2を巻きつけた後、図21(c)に示すような外部モジュールケースに入れて樹脂パッケージすると、図21(d)のようなモジュール構成となる。
FIG. 21 is a diagram showing a module configuration of the local clock unit 20. FIG. 21A shows the shape of the
図22は、耐タンパローカル時計の不正操作検出を説明する図である。同図に示すように、コイルの先端は、CPUに接続されたスイッチの2つの端子にそれぞれ接続されている。このような構成において、コイルが破断されると、CPUが切断を検知して、EEPROMに保管されている暗号化時刻ラベルのデータを消去する。 FIG. 22 is a diagram for explaining unauthorized operation detection of the tamper resistant local timepiece. As shown in the figure, the tips of the coils are respectively connected to two terminals of a switch connected to the CPU. In such a configuration, when the coil is broken, the CPU detects the disconnection and erases the data of the encrypted time label stored in the EEPROM.
具体的には、製造の過程でコイルが内部モジュールの外側から接続され、最初の切断された状態を0、コイルが接続された状態を1、コイルが破断した状態を2としたときに、RAM上には、最初状態0が設定されており、EEPROMのデータは保護されている状態である。次に、コイルが接続されたときに、CPUが接続を検知して、RAM上に状態1を設定する。RAM上に状態1が設定されている状態においてCPUが破断を検知すると、状態2を設定し、EEPROM上のデータが消去される。
上記の仕組みにより、不正操作を目的として、外部の樹脂を破壊し、コイルを破壊した場合に、EEPROM上の暗号化時刻データが消去されることから、不正に(未来の)暗号化時刻ラベルを取り出すことができないようにすることが可能となる。
Specifically, when the coil is connected from the outside of the internal module in the manufacturing process, the initial disconnected state is 0, the coil connected state is 1, and the coil is broken, and the RAM is 2 Above, the
Due to the above mechanism, when the external resin is destroyed and the coil is destroyed for the purpose of unauthorized operation, the encrypted time data on the EEPROM is erased. It becomes possible not to take out.
本実施の形態によれば、タイムスタンプ装置のローカル時計は、出荷時にのみ時刻設定が可能であり、外部時刻からの校正・補正を受けないことがないため、時刻の改ざんを受けないようにすることができる。
また、ローカル時計から出力される時刻ラベルが暗号化されているため、タイムスタンプ処理装置に、不正に未来の時刻を入れることが出来ない。そして、このローカル時計の時刻ラベルは、あらかじめ暗号化されてローカル時計部に保持されているため、ローカル時計に複雑な暗号処理装置が必要もない。加えて、タイムスタンプ処理装置は、過去に受けた時刻を再度受けられないので、リプレイ攻撃(暗号化されたデータを観察し、同じ内容を後ほど送信する)を遮断することが可能である。
また、タイムスタンプ処理装置は、時刻監査機関から取得した時刻監査証明書によって指定された期限のみタイムスタンプを発行することができるため、タイムスタンプの発行権限は時刻監査機関に依存する。よって、改ざんした時刻によるタイムスタンプが発行されるのを防ぐことができる。
また、ローカル時計とタイムスタンプ処理装置が接続されている間は、時刻監査証明書が有効なため、タイムスタンプ処理装置への電源供給が切れても、電源再供給後に時刻監査証明書の有効期間内であれば、引き続きタイムスタンプを発行できる。
また、ローカル時計を着脱可能にすることにより、メンテナンスが容易になり、また、経済的であるとともに、時刻精度を保証することができる。そして、ローカル時計の交換タイミング、すなわち、ラベルがなくなる数日前になったとき、時刻比較でエラーとったとき、時刻監査時により時刻のずれが許容範囲外となったときにエラーを出力することができる。
また、監査後の時計が大幅にずれることにより望ましくないタイムスタンプが発行され続けることを防ぐために、2つの時計の時刻によりチェックを行うことで、不正なタイムスタンプの発行が行われないようにすることができる。
According to the present embodiment, the local clock of the time stamp apparatus can be set only at the time of shipment, and is not subjected to calibration / correction from an external time, so that it is not subject to time tampering. be able to.
Further, since the time label output from the local clock is encrypted, it is impossible to illegally enter a future time in the time stamp processing device. Since the time label of the local clock is encrypted in advance and held in the local clock unit, the local clock does not need a complicated cryptographic processing device. In addition, since the time stamp processing device cannot receive the time received in the past again, it is possible to block the replay attack (observing the encrypted data and transmitting the same content later).
In addition, since the time stamp processing apparatus can issue a time stamp only for the time limit specified by the time audit certificate acquired from the time auditing authority, the time stamp issuing authority depends on the time auditing authority. Therefore, it is possible to prevent a time stamp based on the tampered time from being issued.
Since the time audit certificate is valid while the local clock and time stamp processing device are connected, even if the power supply to the time stamp processing device is cut off, the validity period of the time audit certificate after the power is resupplied If it is within, you can continue issuing time stamps.
In addition, by making the local timepiece detachable, maintenance becomes easy, it is economical, and time accuracy can be guaranteed. And when the local clock replacement timing, that is, several days before the label disappears, when an error occurs in the time comparison, an error is output when the time deviation is out of the allowable range due to the time audit. it can.
In addition, in order to prevent an undesirable time stamp from being continuously issued due to a significant shift in the clock after the audit, checking is performed based on the time of the two clocks so that an illegal time stamp is not issued. be able to.
10…タイムスタンプ装置
20…ローカル時計部(時計部)
21…時刻設定手段(時刻設定部)
22a,22b…独立電源手段(電源)
23a,23b…発振手段(発振部)
24a,24b…時刻制御手段(時刻制御部)
25a…時刻A一時保持手段
25b…時刻B一時保持手段
26a,26b…暗号化時刻ラベル保持手段
27…信号送信手段(信号送信部)
30…タイムスタンプ処理部
31…信号受信手段(信号受信部)
32…復号化手段(時刻取得部)
33a,33b…暗号化時刻ラベル保持手段(暗号化時刻保持部)
34…ローカル時計識別番号確認手段(消去部)
35a…時刻A保持手段
35b…時刻B保持手段
36…タイムスタンプ発行制御手段
37…時刻監査制御手段(時刻監査制御部)
38…署名鍵・証明書保持手段
39…時刻監査証明書保持手段
40…時刻比較手段
41…タイムスタンプ作成手段(タイムスタンプ作成部)
42…署名手段
43…タイムスタンプ時刻確認手段
50…通信手段
51…タイムスタンプ受付/出力手段
52…表示手段(出力部、通知部)
70…時刻監査局システム
80…クライアント端末
10. Time stamp device 20. Local clock part (clock part)
21 ... Time setting means (time setting unit)
22a, 22b ... Independent power supply means (power supply)
23a, 23b ... Oscillating means (oscillator)
24a, 24b ... time control means (time control unit)
25a ... Time A temporary holding means 25b ... Time B temporary holding means 26a, 26b ... Encrypted time label holding means 27 ... Signal transmission means (signal transmission section)
30 ... Time
32: Decoding means (time acquisition unit)
33a, 33b ... Encrypted time label holding means (encrypted time holding unit)
34 ... Local clock identification number confirmation means (erasing section)
35a ... Time A holding means 35b ... Time B holding means 36 ... Time stamp issuance control means 37 ... Time audit control means (time audit control section)
38 ... Signature key / certificate holding means 39 ... Time audit certificate holding means 40 ... Time comparison means 41 ... Time stamp creating means (time stamp creating section)
42 ... Signature means 43 ... Time stamp time confirmation means 50 ... Communication means 51 ... Time stamp reception / output means 52 ... Display means (output part, notification part)
70 ... Time Auditing
Claims (15)
前記時計部は、
電源と、
前記電源からの電力の供給を受けて一定周期の発振信号を生成する発振部と、
前記発振部により生成された発振信号から時刻を生成する時刻制御部と、
前記時刻制御部へ時刻の設定を一度だけ行い、以降は時刻の設定を禁止する時刻設定部と、
前記時刻制御部によって生成された時刻の情報を含む送信データを一定間隔で出力する信号送信部と
を備え、
前記タイムスタンプ処理部は、
前記信号送信部から一定間隔で出力される送信データを受信する信号受信部と、
前記信号受信部により受信した送信データから時刻の情報を取得する時刻取得部と、
前記時刻取得部により取得された時刻の情報を時刻監査局システムに送信し、送信した時刻の情報に対する時刻監査証明書データを受信して時刻監査証明書保持部に書き込む時刻監査制御部と、
クライアント端末からタイムスタンプ要求を受信し、当該タイムスタンプ要求の受信時に前記時刻取得部により取得された時刻が、前記時刻監査証明書保持部に記憶されている時刻監査証明書データから得られる有効期限内である場合に、当該時刻によってタイムスタンプデータを生成し、前記クライアント端末へ返送するタイムスタンプ作成部と
を備える、
ことを特徴とするタイムスタンプ装置。 A time stamp device comprising: a clock unit that generates time; and a time stamp processing unit that generates time stamp data using the time generated by the clock unit;
The clock unit is
Power supply,
An oscillating unit that receives supply of electric power from the power source and generates an oscillation signal having a constant period;
A time control unit that generates a time from an oscillation signal generated by the oscillation unit;
A time setting unit that sets the time only once in the time control unit and prohibits the setting of the time thereafter,
A signal transmission unit that outputs transmission data including time information generated by the time control unit at regular intervals, and
The time stamp processing unit
A signal receiving unit for receiving transmission data output at regular intervals from the signal transmitting unit;
A time acquisition unit for acquiring time information from transmission data received by the signal reception unit;
A time audit control unit that transmits time information acquired by the time acquisition unit to a time audit station system, receives time audit certificate data for the transmitted time information, and writes the time audit certificate data to the time audit certificate holding unit;
An expiration date obtained from the time audit certificate data stored in the time audit certificate holding unit when the time stamp request is received from the client terminal and the time acquired by the time acquisition unit when the time stamp request is received A time stamp generating unit that generates time stamp data according to the time and returns the data to the client terminal.
A time stamp device characterized by that.
ことを特徴とする請求項1または請求項2に記載のタイムスタンプ装置。 The time setting unit receives the time setting request, and sets the time to the time control unit when information indicating that the initial setting of the time has been performed is not set in the storage unit included in the clock unit. In addition, information indicating that the initial setting of time has been performed is written in the storage unit.
The time stamp apparatus according to claim 1 or 2, wherein
ことを特徴とする請求項1から請求項3のいずれかの項に記載のタイムスタンプ装置。 The time stamp generating unit generates time stamp data further setting the time audit certificate data;
The time stamp device according to any one of claims 1 to 3, wherein the time stamp device is provided.
前記時刻取得部は、前記送信データに設定されている暗号化時刻の情報を復号化する、
ことを特徴とする請求項1から請求項5のいずれかの項に記載のタイムスタンプ装置。 The signal transmission unit outputs transmission data including encrypted time information that is the encrypted time,
The time acquisition unit decrypts information of an encryption time set in the transmission data;
The time stamp apparatus according to claim 1, wherein the time stamp apparatus is characterized in that:
時刻と、当該時刻の暗号化時刻とを対応付けた情報を保持する暗号化時刻保持部をさらに有し、
前記信号送信部は、前記時刻制御部によって生成された時刻に対応した暗号化時刻の情報を前記暗号化時刻保持部から読み出し、読み出した暗号化時刻の情報を含む送信データを出力する、
ことを特徴とする請求項6に記載のタイムスタンプ装置。 The clock unit is
An encryption time holding unit that holds information in which the time and the encryption time of the time are associated with each other;
The signal transmission unit reads the encryption time information corresponding to the time generated by the time control unit from the encryption time holding unit, and outputs transmission data including the read encryption time information.
The time stamp apparatus according to claim 6.
前記時計部において、
発振部が、当該時計部が備える電源からの電力の供給を受けて一定間隔の発振信号を生成し、
時刻制御部が、前記発振部により生成された発振信号から時刻を生成し、
時刻設定部が、前記時刻制御部へ時刻の設定を一度だけ行い、以降は時刻の設定を禁止し、
信号送信部が、前記時刻制御部によって生成された時刻の情報を含む送信データを一定間隔で出力する一方、
前記タイムスタンプ処理部において、
信号受信部が、前記信号送信部から一定間隔で出力される送信データを受信し、
時刻取得部が、前記信号受信部により受信した送信データから時刻の情報を取得し、
時刻監査制御部が、前記時刻取得部により取得された時刻の情報を時刻監査局システムに送信し、送信した時刻の情報に対する時刻監査証明書データを受信して時刻監査証明書保持部に書き込み、
タイムスタンプ作成部が、クライアント端末からタイムスタンプ要求を受信し、当該タイムスタンプ要求の受信時に前記時刻取得部により取得された時刻が、前記時刻監査証明書保持部に記憶されている時刻監査証明書データから得られる有効期限内である場合に、当該時刻によってタイムスタンプデータを生成し、前記クライアント端末へ返送する、
ことを特徴とするタイムスタンプ方法。 A time stamp method used in a time stamp device including a clock unit that generates time, and a time stamp processing unit that generates time stamp data using the time generated by the clock unit,
In the watch part,
The oscillation unit receives supply of power from the power source included in the clock unit and generates an oscillation signal at regular intervals,
The time control unit generates a time from the oscillation signal generated by the oscillation unit,
The time setting unit sets the time only once in the time control unit, and thereafter prohibits the time setting,
While the signal transmission unit outputs transmission data including time information generated by the time control unit at regular intervals,
In the time stamp processing unit,
The signal receiving unit receives transmission data output at regular intervals from the signal transmitting unit,
The time acquisition unit acquires time information from the transmission data received by the signal reception unit,
The time audit control unit transmits the time information acquired by the time acquisition unit to the time audit station system, receives the time audit certificate data for the transmitted time information, and writes it to the time audit certificate holding unit,
The time stamp creation unit receives a time stamp request from the client terminal, and the time acquired by the time acquisition unit when the time stamp request is received is stored in the time audit certificate holding unit. If it is within the expiration date obtained from the data, the time stamp data is generated according to the time and sent back to the client terminal.
A time stamp method characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008025012A JP2009187179A (en) | 2008-02-05 | 2008-02-05 | Time stamp device and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008025012A JP2009187179A (en) | 2008-02-05 | 2008-02-05 | Time stamp device and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009187179A true JP2009187179A (en) | 2009-08-20 |
Family
ID=41070370
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008025012A Pending JP2009187179A (en) | 2008-02-05 | 2008-02-05 | Time stamp device and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009187179A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009188608A (en) * | 2008-02-05 | 2009-08-20 | Seiko Instruments Inc | Time stamp device and method |
CN111045477A (en) * | 2018-10-11 | 2020-04-21 | 精工爱普生株式会社 | Real-time clock device, electronic apparatus, and moving object |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002359619A (en) * | 2001-02-27 | 2002-12-13 | Hewlett Packard Co <Hp> | Device and method for data timestamping |
JP2003280522A (en) * | 2002-03-22 | 2003-10-02 | Seiko Instruments Inc | Time cipher key module, and time managing system using the same |
JP2005114636A (en) * | 2003-10-10 | 2005-04-28 | Hitachi Ltd | Reproduction device, date and time information providing device, and program |
WO2006109723A1 (en) * | 2005-04-11 | 2006-10-19 | Seiko Instruments Inc. | Time certifying server, reference time distributing server, time certifying method, reference time distributing method, time certifying program, and communication protocol program |
JP2007164639A (en) * | 2005-12-15 | 2007-06-28 | Seiko Precision Inc | Time monitoring server and method |
-
2008
- 2008-02-05 JP JP2008025012A patent/JP2009187179A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002359619A (en) * | 2001-02-27 | 2002-12-13 | Hewlett Packard Co <Hp> | Device and method for data timestamping |
JP2003280522A (en) * | 2002-03-22 | 2003-10-02 | Seiko Instruments Inc | Time cipher key module, and time managing system using the same |
JP2005114636A (en) * | 2003-10-10 | 2005-04-28 | Hitachi Ltd | Reproduction device, date and time information providing device, and program |
WO2006109723A1 (en) * | 2005-04-11 | 2006-10-19 | Seiko Instruments Inc. | Time certifying server, reference time distributing server, time certifying method, reference time distributing method, time certifying program, and communication protocol program |
JP2007164639A (en) * | 2005-12-15 | 2007-06-28 | Seiko Precision Inc | Time monitoring server and method |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009188608A (en) * | 2008-02-05 | 2009-08-20 | Seiko Instruments Inc | Time stamp device and method |
CN111045477A (en) * | 2018-10-11 | 2020-04-21 | 精工爱普生株式会社 | Real-time clock device, electronic apparatus, and moving object |
CN111045477B (en) * | 2018-10-11 | 2024-01-05 | 精工爱普生株式会社 | Real-time clock device, electronic apparatus, and moving object |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10958435B2 (en) | Providing security in an intelligent electronic device | |
EP3125491B1 (en) | Communication terminal and program | |
EP2597588B1 (en) | Information processing device, controller, certificate issuing authority, method of determining validity of revocation list, and method of issuing certificates | |
JP5074709B2 (en) | Target device, device management system, device management method, and external device | |
JP5793709B2 (en) | Key implementation system | |
US20020104004A1 (en) | Method and apparatus for synchronizing real-time clocks of time stamping cryptographic modules | |
JP2005079912A (en) | Secure data management device | |
CN103370901A (en) | Long-term-signature terminal, long-term-signature server, long-term-signature terminal program, and long-term-signature server program | |
JP4725978B2 (en) | Time certification server, time certification method, and time certification program | |
JP5223860B2 (en) | Time information distribution system, time distribution station, terminal, time information distribution method and program | |
JP5039931B2 (en) | Information processing device | |
US9276738B2 (en) | Digital tachograph | |
US11516024B2 (en) | Semiconductor device, update data-providing method, update data-receiving method, and program | |
JP2009187179A (en) | Time stamp device and method | |
JP2013008378A (en) | Device management system, device management method, and external device | |
JP4918718B2 (en) | Time stamp issuing device, time stamp issuing method, and time stamp issuing program | |
JP4868322B2 (en) | Information processing system and information processing method | |
JP2009188608A (en) | Time stamp device and method | |
JP5180611B2 (en) | Device control apparatus, electric device, and device control method | |
JPWO2008132968A1 (en) | Data storage method, client device, storage device, and program | |
JP2008197902A (en) | Access control system and storage device | |
JP2002297542A (en) | Disclosure method of contents time limit, its system and security device | |
JP2006120089A (en) | Data management system and data management method | |
JP2007215104A (en) | Terminal equipment | |
JP2003248736A (en) | Device and program for certifying time of information equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091108 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091113 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091117 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120806 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120821 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121016 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130115 |