JPWO2006092833A1 - タイムスタンプ装置、時刻校正方法および時刻校正プログラム - Google Patents

タイムスタンプ装置、時刻校正方法および時刻校正プログラム Download PDF

Info

Publication number
JPWO2006092833A1
JPWO2006092833A1 JP2007505754A JP2007505754A JPWO2006092833A1 JP WO2006092833 A1 JPWO2006092833 A1 JP WO2006092833A1 JP 2007505754 A JP2007505754 A JP 2007505754A JP 2007505754 A JP2007505754 A JP 2007505754A JP WO2006092833 A1 JPWO2006092833 A1 JP WO2006092833A1
Authority
JP
Japan
Prior art keywords
time
authentication
delay
local
calibration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007505754A
Other languages
English (en)
Inventor
秋山 良太
良太 秋山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2006092833A1 publication Critical patent/JPWO2006092833A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G04HOROLOGY
    • G04RRADIO-CONTROLLED TIME-PIECES
    • G04R20/00Setting the time according to the time information carried or implied by the radio signal
    • G04R20/08Setting the time according to the time information carried or implied by the radio signal the radio signal being broadcast from a long-wave call sign, e.g. DCF77, JJY40, JJY60, MSF60 or WWVB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Electric Clocks (AREA)

Abstract

ローカル時刻生成部が生成したローカル時刻を、認証時刻取得部が時刻発行装置から取得した認証時刻を用いて校正することとし、時刻校正処理部は、認証時刻取得部が認証時刻の発行を時刻発行装置に依頼してから認証時刻取得部が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出し、算出した遅延時間が所定の閾値以上であるか否かを判定したうえで時刻発行装置から受け取った認証時刻を用いてローカル時刻を校正する。

Description

この発明は、内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置、時刻校正方法および時刻校正プログラムに関し、特に、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるタイムスタンプ装置、時刻校正方法および時刻校正プログラムに関するものである。
近年、電子認証技術の進展にともない、電子文書の作成者や発行者を証明する電子署名が用いられるようになってきている。この電子署名には暗号鍵などの技術が用いられており電子署名の信頼性を担保している。また、かかる電子署名に国家標準時刻(以下、「標準時刻」と呼ぶ。)を含めることにより、電子文書の作成時刻や送信時刻を証明しようという試みもおこなわれている。
時刻を含んだ電子署名をおこなう装置は、一般的にタイムスタンプ装置と呼ばれる。このタイムスタンプ装置は内部時計を有しており、内部時計によりローカル時刻を計時するとともに、標準時刻を含んだ電波を受信するなどしてローカル時刻を補正することで電子署名に用いる時刻の精度を向上させている。
このように、時刻を含んだ電子署名をおこなう場合には、タイムスタンプ装置のローカル時刻と標準時刻とのずれを所定値以下に抑える必要がある。すなわち、電子署名に含まれる時刻と標準時刻とのずれが所定値以下であることを保証できれば、ローカル時刻を含んだ電子署名により、署名対象となる電子文書に関する時刻を証明できることになる。
なお、かかるローカル時刻と標準時刻とのずれを所定値以下に抑える方法としては、上記した、いわゆる電波時計と同様の方法の他に、ネットワーク接続された標準時刻管理サーバに接続してこのサーバから標準時刻を得る方法もある。たとえば、特許文献1には、標準時刻を管理するサーバが、常時このサーバと通信できるクライアント装置に対して標準時刻を送信するとともに、送信した標準時刻に保証期間を設けることで、クライアント装置の内部時計の狂いや改ざんを検出する方法が開示されている。
特開2002−229869号公報
しかしながら、上記した従来のタイムスタンプ装置では、悪意の利用者によるローカル時刻の改ざんを防止することができない。たとえば、真の標準時刻を含んだ電波のかわりに偽の標準時刻を含んだ電波を用いることで、タイムスタンプ装置のローカル時刻を真の標準時刻から大きくずらすことが可能となる。このようなローカル時刻の改ざんがおこなわれると、電子文書に関する時刻を証明できないことになってしまう。
たとえ、タイムスタンプ装置のローカル時刻と、電波に含まれる標準時刻とのずれを監視し、このずれが所定値を超えた場合に改ざんがおこなわれたと判定する仕組みを設けたとしても、タイムスタンプ装置を加熱または冷却する温度攻撃と、偽の電波による電波攻撃とが併用された場合には、かかる仕組みは機能せずローカル時刻の改ざんを許す結果となる。
このように、電波時刻を用いてローカル時刻を補正する方式では、偽電波と温度操作による連携攻撃でローカル時刻を改ざんされてしまうという問題があった。したがって、タイムスタンプ装置にこのような時刻補正方式を用いたのでは、署名対象となる電子文書に関する時刻を保証できないことになってしまう。
このため、かかる時刻補正方式のかわりに標準時刻管理サーバから標準時刻を取得することも考えられるが、標準時刻管理サーバから取得した標準時刻にはネットワーク遅延の影響が含まれることが通常である。さらに、悪意の利用者によるネットワーク遅延攻撃も予想されるため、サーバから取得した標準時刻をそのまま用いたのでは、ローカル時刻の改ざんを許してしまう結果となる。
また、各種デバイスの小型化によりタイムスタンプ装置自体も小型化することが可能となってきており、LANなどのネットワークに常時接続しておくのではなく、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに使用される形態が想定され、このような使用形態を望むユーザニーズが予想される。
なお、特許文献1に開示されている技術は、標準時刻管理サーバと常に通信できるように、LANなどのネットワークに常時接続されているクライアント装置に関するものであり、上記したような使用形態のタイムスタンプ装置には適用することができない。
これらのことから、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しておく必要のないタイムスタンプ装置をいかにして実現するかが大きな課題となっている。
この発明は、上述した従来技術による問題点を解消するためになされたものであり、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるタイムスタンプ装置、時刻校正方法および時刻校正プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため本発明は、内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置であって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手段と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手段と、前記認証時刻要求手段が前記発行を要求してから前記認証時刻取得手段が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、前記遅延時間算出手段が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手段とを備えたことを特徴とする。
また、本発明は、前記遅延時間算出手段は、前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記遅延時間算出手段は、複数の前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記遅延時間算出手段は、複数の前記時刻発行装置に関する前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻と該遅延時間とを足し合わせた時刻を前記ローカル時刻として設定することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値以上である場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求をおこなうよう指示することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは該第一の閾値以上である期間が所定期間連続した場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求を停止するよう指示することを特徴とする。
また、本発明は、内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正方法であって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求工程と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得工程と、前記認証時刻要求工程が前記発行を要求してから前記認証時刻取得工程が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、前記遅延時間算出工程が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正工程とを含んだことを特徴とする。
また、本発明は、内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正プログラムであって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手順と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手順と、前記認証時刻要求手順が前記発行を要求してから前記認証時刻取得手順が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、前記遅延時間算出手順が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手順とをコンピュータに実行させることを特徴とする。
本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求手段と、時刻発行装置が発行した認証時刻を取得する認証時刻取得手段と、認証時刻要求手段が発行を要求してから認証時刻取得手段が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、遅延時間算出手段が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正手段とを備えるよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、応答時間を2で除した値を遅延時間として算出するよう構成したので、ネットワーク遅延時間を効率よく算出することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、複数の応答時間の代表時間を求め、代表時間を2で除した値を遅延時間として算出するよう構成したので、一時的な遅延時間増減の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、複数の時刻発行装置に関する応答時間の代表時間を求め、代表時間を2で除した値を遅延時間として算出するよう構成したので、特定の時刻発行装置に関する遅延時間増減の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値よりも小さい場合に、認証時刻をローカル時刻として設定するよう構成したので、ローカル時刻と認証時刻とのずれを抑制することにより、電子署名に用いられる時刻の信頼性を高めることができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値よりも小さい場合に、認証時刻と遅延時間とを足し合わせた時刻をローカル時刻として設定するよう構成したので、遅延時間の影響を排除することにより、電子署名に用いられる時刻の信頼性を高めることができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値以上である場合に、認証時刻取得手段に対して認証時刻の発行要求を指示するよう構成したので、一時的な遅延時間増加の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは第一の閾値以上である期間が所定期間連続した場合に、認証時刻取得手段に対して認証時刻の発行要求を停止することを指示するよう構成したので、悪意の利用者による時刻改ざんを効率よく防止することができるという効果を奏する。
また、本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求工程と、時刻発行装置が発行した認証時刻を取得する認証時刻取得工程と、認証時刻要求工程が発行を要求してから認証時刻取得工程が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、遅延時間算出工程が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正工程とを含むよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
また、本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求手順と、時刻発行装置が発行した認証時刻を取得する認証時刻取得手順と、認証時刻要求手順が発行を要求してから認証時刻取得手順が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、遅延時間算出手順が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正手順とをコンピュータに実行させるよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
図1は、本実施例に係るタイムスタンプ装置の概要を示す図である。 図2は、ネットワーク遅延を考慮した時刻校正の概要を示す図である。 図3−1は、タイムスタンプ装置の構成例1を示す図である。 図3−2は、タイムスタンプ装置の構成例2を示す図である。 図3−3は、タイムスタンプ装置の構成例3を示す図である。 図4は、タイムスタンプ装置の構成を示す機能ブロック図である。 図5は、電波時刻取得をおこなわない初期処理の処理手順を示すフローチャートである。 図6は、電波時刻取得をおこなう初期処理の処理手順を示すフローチャートである。 図7は、時刻校正処理の処理手順を示すフローチャートである。 図8は、認証時刻に対する遅延補正処理の概要を示す図である。 図9は、時刻発行サーバにおける遅延補正の処理手順を示すフローチャートである。 図10は、タイムスタンプ装置における遅延補正の処理手順を示すフローチャートである。 図11は、時刻校正プログラムを実行するコンピュータを示す図である。 図12は、従来のタイムスタンプ装置の概要を示す図である。 図13は、従来のタイムスタンプ装置の内部時刻改変を示す図である。 図14は、従来のタイムスタンプ装置における不正行為によるドリフトを示す図である。
1 タイムスタンプ装置
2 標準電波受信部
3 発振器
4 通信インタフェイス部
5 表示部
6 入力部
10 制御部
11 電波時刻取得部
13 ローカル時刻生成部
14 認証時刻要求部
15 認証時刻取得部
16 時刻校正処理部
17 タイムスタンプ処理部
20 記憶部
21 認証鍵記憶部
30 タイムスタンプ装置(コンピュータ)
31 標準電波受信部
32 発振器
33 通信インタフェイス部
34 表示部
35 入力部
36 揮発性RAM
36a 認証鍵
37 ROM
37a 時刻校正プログラム
38 CPU
38a 時刻校正プロセス
39 バス
51 要求メッセージ
52 応答メッセージ
101 時刻発行サーバ
以下に添付図面を参照して、この発明に係るタイムスタンプ装置、時刻校正方法および時刻校正プログラムの好適な実施例を詳細に説明する。なお、以下の実施例においては、本発明に係る時刻校正処理をタイムスタンプ装置に適用した場合について説明する。また、本実施例によりこの発明が限定されるものではない。
まず、本実施例の特徴部分であるネットワーク遅延を考慮した時刻校正処理を適用するタイムスタンプ装置について図1〜図3−3および図12〜図14を用いて説明する。なお、図1〜図3−3が本実施例に係るタイムスタンプ装置に関する図であり、図12〜図14が従来のタイムスタンプ装置に関する図である。
最初に、従来のタイムスタンプ装置の概要について図12を用いて説明する。図12は、従来のタイムスタンプ装置の概要を示す図である。ここで、タイムスタンプ装置とは、電子文書などの電子データに対して時刻を含んだ電子署名をおこなう装置のことである。近年、ネットワークを介して電子文書をやりとりすることは一般的におこなわれており、かかる電子文書の作成時刻や送信時刻などを証明するビジネス(いわゆる「タイムビジネス」)も本格化しつつある。
たとえば、カルテや死亡診断書などの医療関係の電子書類、売上伝票や領収書などの経理・税金関係の電子書類といった文書データのほか、画像データや映像データなどにタイムスタンプ装置を用いた電子署名が付加されていれば、これらの電子データが作成された日時や送信された日時を証明することが可能となる。また、デジタルカメラやデジタルビデオカメラなどの装置にタイムスタンプ装置を内蔵させることにより、日付や時刻の記録が必要な分野にもタイムビジネスの適用範囲を広げることができる。
このようなタイムビジネスを構築するにあたっては、電子署名に含まれる時刻の管理が非常に重要である。すなわち、単に時刻の正確性のみを追求するのではなく、悪意をもった利用者などによる時刻の改変を許さない仕組みづくりが必要となる。たとえば、医療事故を隠蔽するためにカルテに付加された時刻を改変したり、特許の発明日を改変したりする悪意の利用者が想定されるので、これらの利用者による時刻の改変を防止する必要がある。
ところで、かかるタイムビジネスの一形態として信頼のおける時刻を発行する施設や装置と、これらの施設や装置が発行する時刻を受信する多数のタイムスタンプ装置との間で時刻を同期させることがおこなわれる。なお、信頼のおける時刻を発行する施設や装置としては、標準時刻を含んだ電波を発信する標準電波送信所や衛星、インタネットなどに接続され認証鍵の提示により標準時刻を提供する時刻発行サーバなどがある。
タイムビジネスを展開するためにタイムスタンプ装置を製造・販売する企業は、販売したタイムスタンプ装置がおこなう時刻付き電子署名の「時刻」と、標準時刻とのずれが所定値以下であることを保証しなければならない。このような時刻保証をおこなうことで、タイムビジネスが成立することになる。
しかし、タイムスタンプ装置の流通過程に介在する人や購入する人のなかには、タイムスタンプ装置の時刻を改変し、偽の時刻を含んだ電子署名をおこなう悪意の利用者が存在することが予想される。このような時刻の改変を許してしまうと、時刻保証をおこなうことができないのでタイムビジネスそのものが成立しなくなってしまう。
図12に示した従来のタイムスタンプ装置は、装置内部に内部時計を有しており、この内部時計が刻む時刻を、標準電波送信所から送信される標準電波に含まれた電波時刻(TW)により補正するものである。そして、補正した内部時計を用いて時刻を含んだ署名処理をおこなう。このタイムスタンプ装置は、いわゆる「電波時計」の機能をタイムスタンプ装置にもたせたものであり、善意の利用者が使用するかぎりは時刻の正確性が担保される。
しかし、上記した従来のタイムスタンプ装置は、いったん悪意の利用者の手に渡ってしまうと時刻の改変を許してしまうことになる。ここで、かかる時刻の改変について図13を用いて説明する。図13は、従来のタイムスタンプ装置の内部時刻の改変を示す図である。
図13に示すように、悪意の利用者は、タイムスタンプ装置を地下室のような標準電波が届かない場所に持ってゆき、標準電波と同形式の電波(偽電波)を用いて標準時刻からずれた時刻を発信する。この偽電波を受信したタイムスタンプ装置は、この偽電波に基づいて内部時計が刻むローカル時刻を補正するので、ローカル時刻は真の時刻からずれていくことになる。
電波時刻を用いた補正をおこなうタイムスタンプ装置では、このような不正行為を防止するために、ローカル時刻と電波時刻との差分が所定値(ε)を上回った場合には、電波時刻を用いた補正を中止してローカル時刻をそのまま用いる防止策を講じている場合も多い。しかし、このような偽電波と連動する温度操作をおこなわれると、かかる防止策は機能しないこととなってしまう。
一般的に、内部時計を有する装置には、水晶発振器(crystal Oscillator)や、水晶発振器に温度補償回路を付加して温度変化に対する安定化を図ったTCXO(Temperature Compensated Xtal Oscillator)が用いられる。特に、流通段階や使用場所などが多岐にわたるタイムスタンプ装置にはTCXOが適している。これらの発振器は、縦軸に誤差(上方向が正)を横軸に温度変化をとった場合に、概ね上に凸の二次曲線の形状となる温度特性を有している。
したがって、これらの発振器を含んだタイムスタンプ装置を、加熱しても冷却しても内部時計は遅れていくことになる。TCXOの場合には、温度補償回路が動作する温度範囲内においては誤差が0付近となるような制御がおこなわれるが、かかる温度範囲を超えると急激に時刻の遅れをもたらす誤差を生じるようになる。
このような温度攻撃を偽電波による攻撃と連動させると、ローカル時刻と電波時刻(偽電波による電波時刻)との差分を所定値(ε)以内に抑えることが可能となるため、ローカル時刻を、標準時刻から大きくずらしていくこと(以下、「不正行為によるドリフト」と呼ぶ。)を許してしまう結果となる。ここで、この不正行為によるドリフトについて図14を用いて説明しておく。図14は、従来のタイムスタンプ装置における不正行為によるドリフトを示す図である。
図14に示すように、不正行為がおこなわれていない場合には、ローカル時刻と標準時刻(真の時刻)との誤差は、上述したように、所定値(ε)を閾値とした防止策により、−ε〜+εの範囲に抑えられる。一方、温度攻撃と偽電波による攻撃とを連動させた場合には、ローカル時刻と偽電波に含まれる時刻との誤差は−ε〜+εの範囲に抑えられたまま、ローカル時刻は真の時刻から大きくずれていくことになる。
このように、従来のタイムスタンプ装置では、悪意の利用者による時刻改ざんに対する防止策が十分ではなく、タイムスタンプ装置の目的である時刻証明あるいは時刻保証を担保することができなかった。そこで、本発明に係る時刻校正処理を備えたタイムスタンプ装置では、このような時刻改ざんを防止するための仕組みを提供することとした。
次に、本実施例に係るタイムスタンプ装置の概要について図1を用いて説明する。図1は、本実施例に係るタイムスタンプ装置の概要を示す図である。同図に示すように、時刻発行サーバからネットワークを介して認証時刻(TN)を取得することとし、この認証時刻を用いて内部時計が刻むローカル時刻の校正をおこなうこととした。なお、図1には示していないが従来のタイムスタンプ装置のような電波時刻の取得を併せておこなうこととしてもよい。
ここで、時刻発行サーバとは、認証鍵が提示された場合にかかるサーバが管理している標準時刻を提供する装置であり、インタネットなどのネットワークに接続されネットワークを介して信頼性の高い標準時刻を提供するものである。なお、本実施例では、タイムスタンプ装置がかかる時刻発行サーバから標準時刻(TN)を取得する場合について説明するが、標準時刻発行機能を備えないサーバに、標準時刻を発行する時刻発行装置を接続することとし、かかるサーバを介して標準時刻(TN)を取得することとしてもよく、ネットワークに直接接続された時刻発行装置から標準時刻(TN)を取得することとしてもよい。
そして、本実施例に係るタイムスタンプ装置では、時刻発行サーバから認証時刻(TN)を取得する際に、この認証時刻(TN)に含まれるネットワーク遅延時間を推定し、推定した遅延時間に基づいて認証時刻(TN)をローカル時刻に反映するか否かを判定することとした。
次に、ネットワーク遅延を考慮した時刻校正について図2を用いてさらに詳細に説明する。図2は、ネットワーク遅延を考慮した時刻校正の概要を示す図である。同図に示すように、タイムスタンプ装置が時刻発行サーバに対して認証時刻の発行要求をおこなうと、時刻発行サーバは、かかる発行要求を受信した時点の認証時刻(TN)をタイムスタンプ装置に発行する。
しかし、時刻発行サーバが発行した認証時刻(TN)は、ネットワーク遅延の影響を受けてτ2時間後にタイムスタンプ装置に届くことになる。たとえば、時刻発行サーバが10時ちょうどに認証時刻を発行し、ネットワーク遅延が1秒であったと仮定すると、タイムスタンプ装置は、10時0分1秒に、認証時刻(TN=10時0分0秒)を受け取ることになる。
一般的に、ネットワーク遅延は100msec程度の小さいものであるため問題とはならないが、悪意の利用者によるネットワーク遅延攻撃がおこなわれると、ローカル時刻と真の時刻とを大きくずらしていくことが可能となる。したがって、タイムスタンプ装置が発行する時刻を保証するためには、このようなネットワーク遅延攻撃を防止する仕組みづくりが必要である。
そこで、本発明の特徴部分であるネットワーク遅延を考慮した時刻校正処理では、タイムスタンプ装置が時刻発行要求をおこなってから、認証時刻を受け取るまでの時間に基づいて、図2に示した遅延時間(τ2)を推定することとした。そして、推定した遅延時間(τ2)を用いてタイムスタンプ装置のローカル時刻を校正することとした。
したがって、悪意の利用者によるネットワーク遅延攻撃を防止することにより、タイムスタンプ装置が発行する時刻を保証することができる。なお、上記した遅延時間の推定処理の詳細については、図8〜図10を用いて後述することとする。
次に、本実施例に係るタイムスタンプ装置の構成例について図3−1〜図3−3を用いて説明する。なお、これらの構成例においては、タイムスタンプ装置は携帯可能なものを想定しているが据え置き型とすることもできる。
図3−1は、タイムスタンプ装置の構成例1を示す図である。図3−1に示す構成では、タイムスタンプ装置は、インタネットに接続されたパーソナルコンピュータのUSB(Universal Serial Bus)ポートなどに接続して用いられる。そして、署名対象となる電子文書をパーソナルコンピュータから受け取り、タイムスタンプ装置のローカル時刻(TN´)および認証鍵を用いて時刻を含んだ電子署名を付加したうえで、署名済の電子文書をパーソナルコンピュータに渡す。
また、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する。なお、かかるタイムスタンプ装置については、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している。
図3−2は、タイムスタンプ装置の構成例2を示す図である。図3−2に示す構成例では、図3−1と同様にインタネットに接続されたパーソナルコンピュータのUSBポートなどに接続して用いられる。図3−1の場合と異なるのは、電子署名の機能はパーソナルコンピュータに搭載されるプログラムが有している点にある。
この構成例においては、電子署名が必要な場合には、パーソナルコンピュータはUSBポートなどを介してタイムスタンプ装置に認証要求メッセージを送信する。このメッセージを受け取ったタイムスタンプ装置は、ローカル時刻と認証鍵とをパーソナルコンピュータに返信する。そして、パーソナルコンピュータは自身が有する署名機能により認証対象文書に電子署名を付加する。
なお、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する点、および、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している点については図3−1の場合と同様である。
図3−3は、タイムスタンプ装置の構成例3を示す図である。図3−3に示す構成例では、タイムスタンプ装置は直接インタネットなどのネットワークに接続される。そして、署名対象となる電子文書を受け取ると、ローカル時刻(TN´)および認証鍵を用いて電子署名を付加したうえで署名済の電子文書を出力する。なお、同図においては、タイムスタンプ装置が外部から署名対象文書を受け取る場合について図示しているが、タイムスタンプ装置が署名対象文書を内部のメモリなどに保持しておく構成としてもよい。
また、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する。なお、かかるタイムスタンプ装置については、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している点は、図3−1や図3−2と同様である。
なお、図3−1〜図3−3に示したタイムスタンプ装置の構成例では、電子署名の対象データを文書データとした場合について示したが、文書データに限らず、画像データや映像データといった電子データを、署名対象データとすることができる。また、デジタルカメラなどの装置にタイムスタンプ装置を内蔵させ、撮像するたびに時刻を含んだ電子署名をおこなうこととしてもよい。
次に、本実施例の特徴部分であるネットワーク遅延を考慮した時刻校正処理を含むタイムスタンプ装置1の構成について図4を用いて説明する。図4は、タイムスタンプ装置1の構成を示す機能ブロック図である。なお、図4に示した構成は、タイムスタンプ装置1が図3−1の構成をとった場合について示している。
同図に示すように、タイムスタンプ装置1は、各種デバイスとして標準電波受信部2と、発振器3と、通信インタフェイス部4と、表示部5と、入力部6とを備えており、さらに、制御部10と、記憶部20とを備えている。
また、制御部10は、電波時刻取得部11と、ローカル時刻生成部13と、認証時刻要求部14と、認証時刻取得部15と、時刻校正処理部16と、タイムスタンプ処理部17とをさらに備えており、記憶部20は、認証鍵記憶部21をさらに備えている。
標準電波受信部2は、標準電波送信所や衛星から標準電波を受信し、国家標準時刻と同期した電波時刻(TW)を制御部10に渡す処理をおこなうデバイスである。たとえば、標準電波送信所から送信される標準電波には、時、分、秒、年初からの通算日、年(西暦下2桁)、曜日などの時刻情報が含まれている。なお、この標準電波受信部2が標準電波を受信するタイミングは任意に指定することが可能であり、7:00と19:00に受信するなどの指定をおこなうことができるほか、利用者の操作により強制的に受信処理をおこなうこともできる。
発振器3は、水晶発振器などのローカル時刻を計時するためのデバイスであり、発振したパルスを制御部10に提供する処理をおこなう。タイムスタンプ装置1は、さまざまな温度環境で用いられるうえ、さらに温度攻撃も予想されることから、この発振器3にはTCXO(温度補償水晶発振器)のように広い温度範囲で計時精度が安定している発振器を用いることが望ましい。
通信インタフェイス部4は、USBポートやLANボードといった双方向の通信が可能なデバイスであり、タイムスタンプ装置1とパーソナルコンピュータ間でデータの送受信をおこない、これらのデータを制御部10との間で受け渡しする処理をおこなう。なお、時刻発行サーバとのデータ送受信も、この通信インタフェイス部4を介しておこなわれる。
表示部5は、液晶ディスプレイなどの表示用デバイスであり、制御部10や各デバイスからの警告情報やエラー情報を表示したり、ローカル時刻を表示したりするために用いられる。また、入力部6は、電源ボタンなどのデバイスであり、タイムスタンプ装置1の電源ON/OFFなどの各種操作に用いられ、操作結果は制御部10に通知される。
制御部10は、ローカル時刻を生成するとともに、標準電波を用いた時刻補正および認証時刻を用いた時刻校正を適宜おこなうことにより、ローカル時刻と真の時刻とのずれを所定値以下に抑え、このローカル時刻を用いて電子署名処理をおこなう処理部である。
電波時刻取得部11は、標準電波受信部2から電波時刻(TW)を受け取り、認証時刻要求部14に渡す処理をおこなう処理部である。なお、この電波時刻取得部11が取得した電波時刻(TW)は、認証時刻要求部14が時刻発行サーバに認証時刻の要求をおこなう際の判定要素として用いられる。
ローカル時刻生成部13は、発振器3から出力されたパルスを受け取り、このパルスに基づいてローカル時刻(TN´)を生成する処理部である。このローカル時刻(TN´)は、時刻校正処理部13により認証時刻(TN)を用いた時刻校正処理の対象となる。なお、このローカル時刻生成部13は、生成したローカル時刻(TN´)を認証時刻要求部14およびタイムスタンプ処理部15に通知する処理をおこなう。
認証時刻要求部14は、所定のタイミングで、ローカル時刻生成部13が生成したローカル時刻(TN´)および認証鍵記憶部21に記憶された認証鍵を用い、ネットワーク上の時刻発行サーバに認証時刻の発行要求をおこなう処理部である。また、認証時刻の発行要求をおこなう際には、ローカル時刻(TN´)を含んだ要求メッセージを認証鍵により暗号化したうえで通信インタフェイス部4に渡す。
この認証時刻要求部14は、利用者の操作により強制的に認証時刻の発行要求をおこなうほか、電波時刻取得部11が取得した電波時刻(TW)を用いて時刻発行サーバへの接続の要否を判定したうえで、接続が必要な場合には時刻発行サーバに対して認証時刻の発行要求をおこなう。さらに、時刻校正処理部16からの指示により時刻発行サーバに対して認証時刻の発行要求をおこなう。
具体的には、電波時刻(TW)とローカル時刻(TN´)との差分の絶対値(|TW−TN´|)を算出し、この絶対値と所定の閾値(ε)とを対比する。そして、この絶対値が閾値(ε)よりも小さい(|TW−TN´|<ε)期間が所定期間連続した場合には、時刻発行サーバに対して認証時刻の発行要求をおこなう。また、かかる絶対値(|TW−TN´|)が閾値(ε)以上である場合にも(|TW−TN´|≧ε)、時刻発行サーバに対して認証時刻の発行要求をおこなう。
たとえば、「|TW−TN´|<εの期間」が7日連続したならば、時刻発行サーバに対して認証時刻の発行要求をおこなう場合について説明する。εを0.5秒とし、電波時刻(TW)の取得を一日一回おこなったと仮定すると、ローカル時刻(TN´)は、真の時刻から最大3.5秒(7×0.5)の誤差範囲で認証時刻(TN)による校正処理を受けることが可能となる。また、期間ではなく回数でずれを監視する場合には、7回(1日あたり1回の電波受信の場合)となる。そして、期間を用いる場合にはローカル時刻を参照するタイマを、回数を用いる場合には回数を計数するカウンタをそれぞれ用いることとすればよい。
なお、ここでは、認証時刻要求部14が電波時刻(TW)とローカル時刻(TN´)とのずれに基づいて時刻発行サーバへの接続をおこなう場合について説明するが、時刻発行サーバへの接続が必要な旨を表示部5に表示するなどして利用者に通知し、利用者の操作により時刻発行サーバへ接続することとしてもよい。なお、この場合には、時刻発行サーバから認証時刻(TN)を取得するまではタイムスタンプ処理(時刻付き電子署名処理)を中止することになる。
具体的には、「強制的な認証時刻取得」をあらわす操作(該当するボタンを押下など)を、利用者が任意のタイミングで入力部6を介しておこなった場合に、認証時刻要求部14はネットワーク上の時刻発行サーバに認証時刻の発行要求をおこなう。この場合、「|TW−TN´|<εが連続した回数または期間」あるいは「|TW−TN´|≧εが連続した回数または期間」などの情報を表示部5に表示して利用者の操作を促すこととしてもよい。
なお、かかる認証時刻要求部14は、利用者の操作をトリガーとすることなく、ローカル時刻生成部13が生成したローカル時刻(TN´)に基づき定期的に時刻発行サーバに認証時刻の発行要求をおこなうこととしてもよい。たとえば、標準時刻とローカル時刻とのずれを45秒以内に抑えたい場合、1日あたりの時刻のずれが最大0.5秒であるとすれば、90日に1回の間隔で時刻発行サーバに認証時刻の発行要求をおこなうこととすればよい。
認証時刻取得部15は、認証時刻要求部14からの要求に応えて時刻発行サーバから送信された認証時刻(TN)を、通信インタフェイス部4を介して受け取り、受け取った認証時刻(TN)を時刻校正処理部16に渡す処理をおこなう処理部である。なお、この認証時刻取得部15は、暗号化された状態の認証時刻(TN)を、認証鍵記憶部21に記憶された認証鍵を用いて復号する処理をおこなう。
時刻校正処理部16は、認証時刻取得部15から受け取った認証時刻(TN)を用いてローカル時刻生成部13が生成するローカル時刻(TN´)を校正する処理をおこなう処理部である。具体的には、この時刻校正処理部16は、認証時刻要求部14が認証時刻の要求をおこなってから認証時刻取得部15が認証時刻を取得するまでの応答時間を求め、求めた応答時間に基づいて認証時刻の遅延時間(図2に示したτ2)を算出したうえで、認証時刻(TN)を用いてローカル時刻(TN´)を校正する処理をおこなう。
ここで、認証時刻に基づいた時刻調整を「校正」と呼ぶ理由について説明する。電波時刻は、本来、標準時刻を指しており電波による遅延もほとんどないため、ローカル時刻の基準とする時刻としては適したものである。しかし、図2などを用いて説明したように、偽電波による不正行為を受ける可能性もあるため、電波時刻に絶対的な信頼をおくことは適当ではない。
一方、認証時刻を取得するには、認証鍵が必要であることから認証時刻には電波時刻よりも高い信頼性がある。そこで、これらの時刻調整を区別するために、電波時刻に基づいた時刻調整を「補正」と呼び、より信頼性の高い認証時刻に基づいた時刻調整を「校正」と呼ぶこととした。
タイムスタンプ処理部17は、ローカル時刻生成部13が生成して時刻校正処理部16による時刻校正を受けたローカル時刻と、認証鍵記憶部21に記憶されている認証鍵とを用いて電子文書に時刻を含んだ電子署名をおこなう処理部である。具体的には、このタイムスタンプ処理部17は、通信インタフェイス部4を介して認証対象となる電子文書を受け取り、受け取った電子文書に電子署名をおこなったうえで、署名済の電子文書を、通信インタフェイス部4を介して出力する。
記憶部20は、揮発性のRAM(Random Access Memory)で構成された記憶デバイスであり、製造時などにあらかじめ割り当てられた認証鍵を記憶する認証鍵記憶部21をさらに備えている。認証鍵が記憶された後は、記憶部20には常に通電がおこなわれている。このような構成とするのは、悪意の利用者により認証鍵が取り出されることを防止するためである。すなわち、悪意の利用者が認証鍵を取り出そうとしてタイムスタンプ装置を分解しようとすると、この記憶部20への通電が停止され、記憶されていた認証鍵も失われる。
次に、タイムスタンプ装置1の初期処理について図5および図6を用いて説明する。図5は、電波時刻取得をおこなわない初期処理の処理手順を示すフローチャートであり、図6は、電波時刻取得をおこなう初期処理の処理手順を示すフローチャートである。
図5に示すように、電波時刻取得をおこなわない場合には、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうために時刻発行サーバに接続し、時刻校正処理部16は、認証時刻取得部15を介して時刻発行サーバから受け取った認証時刻(TN)をローカル時刻(TN´)の初期値として(ステップS101)初期処理を終了する。
一方、電波時刻取得をおこなう場合には、図6に示すように、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうために時刻発行サーバに接続し、時刻校正処理部16は、認証時刻取得部15を介して時刻発行サーバから受け取った認証時刻(TN)をローカル時刻(TN´)の初期値とする(ステップS201)。
つづいて、電波時刻取得部11は、標準電波受信部2を介して電波時刻(TW)を取得し(ステップS202)、電波時刻(TW)とローカル時刻(TN´)とを比較して(ステップS203)、誤差(|TW−TN´|)が所定の閾値(ε)より小さいか否かを判定する(ステップS204)。
そして、誤差が所定の閾値(ε)よりも小さい場合には(ステップS204,Yes)、ローカル時刻(TN´)をそのまま用いて計時をおこなう。一方、かかる誤差(|TW−TN´|)が所定の閾値(ε)以上である場合には(ステップS204,No)、タイムスタンプ装置1の運用を停止する。
次に、タイムスタンプ装置1の運用中における処理手順について図7を用いて説明する。図7は、時刻校正処理の処理手順を示すフローチャートである。同図に示すように、タイムスタンプ装置1が運用を開始すると、まず、後の処理において用いられる連続回数を計数するためのカウンタを初期化する(ステップS301)。そして、電波時刻取得部11は、所定の間隔で標準電波受信部2を介して電波時刻(TW)を取得する(ステップS302)。
つづいて、認証時刻要求部14は、電波時刻(TW)とローカル時刻(TN´)との差分を算出し、誤差|TW−TN´|が補正閾値(ε)よりも小さいか否かを判定する(ステップS303)。そして、誤差|TW−TN´|が補正閾値(ε)よりも小さい場合には(ステップS303,Yes)、ローカル時刻(TN´)をそのまま用いて計時を継続する(ステップS304)。一方、誤差|TW−TN´|が補正閾値(ε)以上である場合には(ステップS303,No)、表示部5に警報を出力する(ステップS307)などして利用者に時刻発行サーバへの接続をうながす。
つづいて、誤差|TW−TN´|が閾値(ε)よりも小さい回数が所定値(α回)以上となったか否かを判定し(ステップS305)、α回以上である場合には(ステップS305,Yes)、表示部5に警報を出力する(ステップS307)などして利用者に時刻発行サーバへの接続をうながす。一方、α回よりも小さい場合には(ステップS305,No)、ステップS302以降の処理を繰り返す。
つづいて、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうため、時刻発行サーバに接続する(ステップS308)。そして、時刻校正処理部16は、認証時刻取得部15を介して認証時刻(TN)を受け取ると、受け取った認証時刻(TN)をローカル時刻(TN´)として採用し(ステップS309)、ステップS301以降の処理を繰り返す。
次に、時刻発行サーバから認証時刻(TN)を取得する際の遅延補正処理について図8〜図10を用いて説明する。図8は、認証時刻に対する遅延補正処理の概要を示す図である。同図に示すように、タイムスタンプ装置1が時刻発行サーバ101に認証時刻(TN)の要求をおこなってから、認証時刻(TN)を受け取るまでには、往復分のネットワーク遅延が含まれる。
具体的には、タイムスタンプ装置1が送信した要求が時刻発行サーバ101に届くまでには、τ1の時間がかかり、時刻発行サーバ101が送信した認証時刻(TN)がタイムスタンプ装置1に届くまでには、τ2の時間がかかる。すなわち、タイムスタンプ装置1は、時刻発行サーバ101が送信した認証時刻(TN)をτ2遅れで受信することになる。通常は、これらの遅延時間(τ1およびτ2)は100msec程度の小さいものであるため問題とはならないが、ネットワークを遅延させるような不正行為がおこなわれると、せっかく取得した認証時刻(TN)の正確性が保証されないこととなってしまう。
そこで、タイムスタンプ装置1は、上記したτ1+τ2の値を求め、この値に基づいてτ2の値を推定することとしている。具体的には、認証時刻要求部14が認証時刻の要求をおこなう時点のローカル時刻(TN´)を含めた要求メッセージ51を送信する。この要求メッセージ51を受信した時刻発行サーバ101は、認証時刻(TN)と、受け取ったローカル時刻(TN´)を含んだ応答メッセージ52を返信する。なお、図8における52aは、この応答メッセージに含まれるローカル時刻(TN´)を示しており、52bは、同じく認証時刻(TN)を示している。
タイムスタンプ装置1は、この応答メッセージ52を受信した時刻(TN´+(τ1+τ2))から、この応答メッセージに含まれる52a(TN´)を差し引くことにより、往復の遅延時間をあらわす(τ1+τ2)を算出する。そして、この(τ1+τ2)を2で除することによりτ2を推定し、受け取った認証時刻(TN)からτ2を差し引いた値を、認証時刻として取り込む。
なお、本実施例においては、1回の要求から得られた遅延時間(τ1+τ2)を2で除することによりτ2を推定したが、かかる要求を数回おこなって得られた遅延時間(τ1+τ2)の平均をとることとしてもよいし、複数の時刻発行サーバ101に要求をおこなって得られた遅延時間(τ1+τ2)の平均をとることとしてもよい。
次に、時刻発行サーバ101の遅延補正の処理手順について図9を用いて説明する。図9は、時刻発行サーバにおける遅延補正の処理手順を示すフローチャートである。同図に示すように、時刻発行サーバ101は、タイムスタンプ装置1からローカル時刻(TN´)を受信すると(ステップS401)、自らが管理する認証時刻(TN)と受信したローカル時刻(TN´)との差分の絶対値が所定値(σ´)よりも小さいか否かを判定する(ステップS402)。
そして、認証時刻(TN)と受信したローカル時刻(TN´)との差分の絶対値が所定値(σ´)よりも小さい場合には(ステップS402,Yes)、受信したローカル時刻(TN´)および認証時刻(TN)をタイムスタンプ装置1に送信して(ステップS403)処理を終了する。一方、かかる絶対値が所定値(σ´)以上である場合には(ステップS402,No)、タイムスタンプ装置1への認証時刻(TN)送信を禁止するとともに(ステップS404)、タイムスタン装置1へ警報コマンドを送信して(ステップS405)処理を終了する。
このようにすることで、時刻発行サーバ101は、認証時刻(TN)から大きくずれたローカル時刻(TN´)をもつタイムスタンプ装置1への認証時刻(TN)の提供を中止することができる。したがって、不正行為がおこなわれている可能性が高いタイムスタンプ装置1が運用されることを効果的に防止することが可能となる。
次に、タイムスタンプ装置1の遅延補正の処理手順について図10を用いて説明する。図10は、タイムスタンプ装置における遅延補正の処理手順を示すフローチャートである。同図に示すように、まず、タイムスタンプ装置1は時刻発行サーバ101へローカル時刻(TN´)を送信する(ステップS501)。そして、時刻発行サーバ101からの応答を待ち、警報コマンドを受信した場合には(ステップS502,Yes)、表示部5などに警報を出力して(ステップS510)時刻発行サーバへの接続を停止する。
一方、受け取ったメッセージが警報コマンドではない場合には(ステップS502,No)、かかるメッセージから認証時刻(TN)および先に送信したローカル時刻(TN´)を取得する(ステップS503)。そして、メッセージの受信時刻と、メッセージに含まれたローカル時刻(TN´)との差(τ1+τ2)を算出する。なお、この差(τ1+τ2)は、往復のネットワーク遅延をあらわしている。
つづいて、この遅延時間(τ1+τ2)を2で除した値が所定値(ε´)よりも小さいか否かを判定する(ステップS505)。そして、(τ1+τ2)/2が所定値(ε´)よりも小さい場合には(ステップS505,Yes)、あらたなローカル時刻(TN´)として受信した認証時刻(TN)を採用して(ステップS506)処理を終了する。
一方、遅延時間(τ1+τ2)を2で除した値が所定値(ε´)以上である場合には(ステップS505,No)、所定値(ε´)以上となる回数が所定回数連続しているか否かを判定し(ステップS507)、所定回数以上連続している場合には(ステップS507肯定)、警報を出力したうえで(ステップS508)時刻発行サーバへの接続を停止する。また、連続回数が所定回数よりも小さい場合には、表示部5などに警報を出力したうえで(ステップS509)、ステップS501以降の処理を繰り返す。
上述してきたように、本実施例では、ローカル時刻生成部が生成したローカル時刻を、認証時刻取得部が時刻発行サーバから取得した認証時刻を用いて校正することとし、時刻校正処理部は、認証時刻取得部が認証時刻の発行を時刻発行サーバに依頼してから認証時刻取得部が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出し、算出した遅延時間が所定の閾値以上であるか否かを判定したうえで時刻発行サーバから受け取った認証時刻を用いてローカル時刻を校正するよう構成したので、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができる。
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図11を用いて、上記の実施例と同様の機能を有する時刻校正プログラムを実行するコンピュータの一例を説明する。図11は、時刻校正プログラムを実行するコンピュータを示す図である。
ここで、この「コンピュータ」には、パーソナルコンピュータのみならず、デジタルカメラやデジタルビデオカメラといった装置に内蔵されるいわゆる「組み込みコンピュータ」が含まれるものとする。かかる時刻校正プログラムをこれらのコンピュータ上で動作させることにより、文書データ、画像データ、映像データといった電子データの日付や時間を保証することが可能となる。
同図に示すようにタイムスタンプ装置としてのコンピュータ30は、標準電波受信部31、発振器32、通信インタフェイス部33、表示部34、入力部35、揮発性RAM36、ROM(Read Only Memory)37およびCPU(Central Processing Unit)38をバス39で接続して構成される。ここで、標準電波受信部31、発振器32、通信インタフェイス部33、表示部34および入力部35は、図4に示した、標準電波受信部2、発振器3、通信インタフェイス部4、表示部5および入力部6にそれぞれ対応する。そして、通信インタフェイス部33を介して、このコンピュータ30は他のコンピュータやネットワークに接続される。
ROM37には、時刻校正プログラム37aがあらかじめ記憶されており、CPU38が、ROM37の時刻校正プログラム37aを読み出して実行することで、図11に示すように、時刻校正プログラム37aは時刻校正プロセス38aとして機能するようになる。また、揮発性RAM36には認証鍵36aが記憶されており、この認証鍵36aは時刻校正プログラム37aが時刻校正処理をおこなう際に使用される。
ところで、上記した時刻校正プログラム37aについては、必ずしもあらかじめROM37に記憶させておく必要はなく、たとえば、コンピュータ30が読み出し可能なフレキシブルディスク(FD)、CD−ROM、光磁気ディスクなどの「可搬用の物理媒体」、または、公衆回線、インタネット、LAN、WANなどを介してコンピュータ30に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておき、コンピュータ30がこれらからプログラムを読み出して実行するようにしてもよい。
(付記1)内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置であって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手段と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手段と、
前記認証時刻要求手段が前記発行を要求してから前記認証時刻取得手段が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、
前記遅延時間算出手段が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手段と
を備えたことを特徴とするタイムスタンプ装置。
(付記2)前記遅延時間算出手段は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記3)前記遅延時間算出手段は、
複数の前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記4)前記遅延時間算出手段は、
複数の前記時刻発行装置に関する前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記5)前記時刻校正手段は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記1〜4のいずれか一つに記載のタイムスタンプ装置。
(付記6)前記時刻校正手段は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻と該遅延時間とを足し合わせた時刻を前記ローカル時刻として設定することを特徴とする付記1〜4のいずれか一つに記載のタイムスタンプ装置。
(付記7)前記時刻校正手段は、
前記遅延時間が第一の閾値以上である場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求をおこなうよう指示することを特徴とする付記6に記載のタイムスタンプ装置。
(付記8)前記時刻校正手段は、
前記遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは該第一の閾値以上である期間が所定期間連続した場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求を停止するよう指示することを特徴とする付記7に記載のタイムスタンプ装置。
(付記9)前記時刻校正手段は、
利用者に対して前記認証時刻の取得が必要である旨の警告をおこなうことを特徴とする付記8に記載のタイムスタンプ装置。
(付記10)前記認証時刻要求手段は、
前記認証時刻発行装置に対して署名付のローカル時刻を送信することにより前記認証時刻の発行要求をおこない、該時刻発行装置から前記署名付のローカル時刻および該認証時刻を受信したならば、受信した時刻をあらわすローカル時刻から該署名付のローカル時刻を差し引くことにより前記応答時間を算出することを特徴とする付記9に記載のタイムスタンプ装置。
(付記11)標準時刻を含んだ電波を受信することにより該標準時刻を電波時刻として取得する電波時刻取得手段をさらに備え、
前記認証時刻要求手段は、
前記電波時刻と前記ローカル時刻との差分の絶対値が第二の閾値よりも小さい回数が所定数連続した場合もしくは該第二の閾値よりも小さい期間が所定期間連続した場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする付記10に記載のタイムスタンプ装置。
(付記12)前記認証時刻要求手段は、
前記差分の絶対値が前記第二の閾値以上である場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする付記11に記載のタイムスタンプ装置。
(付記13)署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値より小さい場合に、該サーバ時刻に署名をつけた認証時刻と、該署名付のローカル時刻とを返信することを特徴とする時刻発行装置。
(付記14)署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値以上である場合に、依頼元への認証時刻の返信を停止するとともに該依頼元に対して署名付の警報情報を返信することを特徴とする時刻発行装置。
(付記15)内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正方法であって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求工程と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得工程と、
前記認証時刻要求工程が前記発行を要求してから前記認証時刻取得工程が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、
前記遅延時間算出工程が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正工程と
を含んだことを特徴とする時刻校正方法。
(付記16)前記遅延時間算出工程は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記15に記載の時刻校正方法。
(付記17)前記時刻校正工程は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記15または16に記載の時刻校正方法。
(付記18)内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正プログラムであって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手順と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手順と、
前記認証時刻要求手順が前記発行を要求してから前記認証時刻取得手順が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、
前記遅延時間算出手順が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手順と
をコンピュータに実行させることを特徴とする時刻校正プログラム。
(付記19)前記遅延時間算出手順は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記18に記載の時刻校正プログラム。
(付記20)前記時刻校正手順は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記18または19に記載の時刻校正プログラム。
以上のように、本発明に係るタイムスタンプ装置、時刻校正方法および時刻校正プログラムは、提供する時刻の信頼性を保証する必要がある場合に有用であり、特に、タイムビジネスを構成するタイムスタンプ装置に適している。
この発明は、内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置、時刻校正方法および時刻校正プログラムに関し、特に、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるタイムスタンプ装置、時刻校正方法および時刻校正プログラムに関するものである。
近年、電子認証技術の進展にともない、電子文書の作成者や発行者を証明する電子署名が用いられるようになってきている。この電子署名には暗号鍵などの技術が用いられており電子署名の信頼性を担保している。また、かかる電子署名に国家標準時刻(以下、「標準時刻」と呼ぶ。)を含めることにより、電子文書の作成時刻や送信時刻を証明しようという試みもおこなわれている。
時刻を含んだ電子署名をおこなう装置は、一般的にタイムスタンプ装置と呼ばれる。このタイムスタンプ装置は内部時計を有しており、内部時計によりローカル時刻を計時するとともに、標準時刻を含んだ電波を受信するなどしてローカル時刻を補正することで電子署名に用いる時刻の精度を向上させている。
このように、時刻を含んだ電子署名をおこなう場合には、タイムスタンプ装置のローカル時刻と標準時刻とのずれを所定値以下に抑える必要がある。すなわち、電子署名に含まれる時刻と標準時刻とのずれが所定値以下であることを保証できれば、ローカル時刻を含んだ電子署名により、署名対象となる電子文書に関する時刻を証明できることになる。
なお、かかるローカル時刻と標準時刻とのずれを所定値以下に抑える方法としては、上記した、いわゆる電波時計と同様の方法の他に、ネットワーク接続された標準時刻管理サーバに接続してこのサーバから標準時刻を得る方法もある。たとえば、特許文献1には、標準時刻を管理するサーバが、常時このサーバと通信できるクライアント装置に対して標準時刻を送信するとともに、送信した標準時刻に保証期間を設けることで、クライアント装置の内部時計の狂いや改ざんを検出する方法が開示されている。
特開2002−229869号公報
しかしながら、上記した従来のタイムスタンプ装置では、悪意の利用者によるローカル時刻の改ざんを防止することができない。たとえば、真の標準時刻を含んだ電波のかわりに偽の標準時刻を含んだ電波を用いることで、タイムスタンプ装置のローカル時刻を真の標準時刻から大きくずらすことが可能となる。このようなローカル時刻の改ざんがおこなわれると、電子文書に関する時刻を証明できないことになってしまう。
たとえ、タイムスタンプ装置のローカル時刻と、電波に含まれる標準時刻とのずれを監視し、このずれが所定値を超えた場合に改ざんがおこなわれたと判定する仕組みを設けたとしても、タイムスタンプ装置を加熱または冷却する温度攻撃と、偽の電波による電波攻撃とが併用された場合には、かかる仕組みは機能せずローカル時刻の改ざんを許す結果となる。
このように、電波時刻を用いてローカル時刻を補正する方式では、偽電波と温度操作による連携攻撃でローカル時刻を改ざんされてしまうという問題があった。したがって、タイムスタンプ装置にこのような時刻補正方式を用いたのでは、署名対象となる電子文書に関する時刻を保証できないことになってしまう。
このため、かかる時刻補正方式のかわりに標準時刻管理サーバから標準時刻を取得することも考えられるが、標準時刻管理サーバから取得した標準時刻にはネットワーク遅延の影響が含まれることが通常である。さらに、悪意の利用者によるネットワーク遅延攻撃も予想されるため、サーバから取得した標準時刻をそのまま用いたのでは、ローカル時刻の改ざんを許してしまう結果となる。
また、各種デバイスの小型化によりタイムスタンプ装置自体も小型化することが可能となってきており、LANなどのネットワークに常時接続しておくのではなく、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに使用される形態が想定され、このような使用形態を望むユーザニーズが予想される。
なお、特許文献1に開示されている技術は、標準時刻管理サーバと常に通信できるように、LANなどのネットワークに常時接続されているクライアント装置に関するものであり、上記したような使用形態のタイムスタンプ装置には適用することができない。
これらのことから、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しておく必要のないタイムスタンプ装置をいかにして実現するかが大きな課題となっている。
この発明は、上述した従来技術による問題点を解消するためになされたものであり、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるタイムスタンプ装置、時刻校正方法および時刻校正プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため本発明は、内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置であって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手段と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手段と、前記認証時刻要求手段が前記発行を要求してから前記認証時刻取得手段が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、前記遅延時間算出手段が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手段とを備えたことを特徴とする。
また、本発明は、前記遅延時間算出手段は、前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記遅延時間算出手段は、複数の前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記遅延時間算出手段は、複数の前記時刻発行装置に関する前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻と該遅延時間とを足し合わせた時刻を前記ローカル時刻として設定することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値以上である場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求をおこなうよう指示することを特徴とする。
また、本発明は、前記時刻校正手段は、前記遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは該第一の閾値以上である期間が所定期間連続した場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求を停止するよう指示することを特徴とする。
また、本発明は、内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正方法であって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求工程と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得工程と、前記認証時刻要求工程が前記発行を要求してから前記認証時刻取得工程が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、前記遅延時間算出工程が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正工程とを含んだことを特徴とする。
また、本発明は、内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正プログラムであって、標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手順と、前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手順と、前記認証時刻要求手順が前記発行を要求してから前記認証時刻取得手順が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、前記遅延時間算出手順が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手順とをコンピュータに実行させることを特徴とする。
本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求手段と、時刻発行装置が発行した認証時刻を取得する認証時刻取得手段と、認証時刻要求手段が発行を要求してから認証時刻取得手段が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、遅延時間算出手段が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正手段とを備えるよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、応答時間を2で除した値を遅延時間として算出するよう構成したので、ネットワーク遅延時間を効率よく算出することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、複数の応答時間の代表時間を求め、代表時間を2で除した値を遅延時間として算出するよう構成したので、一時的な遅延時間増減の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、遅延時間算出手段は、複数の時刻発行装置に関する応答時間の代表時間を求め、代表時間を2で除した値を遅延時間として算出するよう構成したので、特定の時刻発行装置に関する遅延時間増減の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値よりも小さい場合に、認証時刻をローカル時刻として設定するよう構成したので、ローカル時刻と認証時刻とのずれを抑制することにより、電子署名に用いられる時刻の信頼性を高めることができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値よりも小さい場合に、認証時刻と遅延時間とを足し合わせた時刻をローカル時刻として設定するよう構成したので、遅延時間の影響を排除することにより、電子署名に用いられる時刻の信頼性を高めることができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値以上である場合に、認証時刻取得手段に対して認証時刻の発行要求を指示するよう構成したので、一時的な遅延時間増加の影響を効率よく排除することができるという効果を奏する。
また、本発明によれば、時刻校正手段は、遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは第一の閾値以上である期間が所定期間連続した場合に、認証時刻取得手段に対して認証時刻の発行要求を停止することを指示するよう構成したので、悪意の利用者による時刻改ざんを効率よく防止することができるという効果を奏する。
また、本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求工程と、時刻発行装置が発行した認証時刻を取得する認証時刻取得工程と、認証時刻要求工程が発行を要求してから認証時刻取得工程が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、遅延時間算出工程が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正工程とを含むよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
また、本発明によれば、標準時刻と同期した認証時刻を発行する時刻発行装置に対して認証時刻の発行を要求する認証時刻要求手順と、時刻発行装置が発行した認証時刻を取得する認証時刻取得手順と、認証時刻要求手順が発行を要求してから認証時刻取得手順が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、遅延時間算出手順が算出した遅延時間に基づいて認証時刻を用いたローカル時刻の校正をおこなう時刻校正手順とをコンピュータに実行させるよう構成したので、悪意の利用者による時刻改ざんを防止して電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができるという効果を奏する。
以下に添付図面を参照して、この発明に係るタイムスタンプ装置、時刻校正方法および時刻校正プログラムの好適な実施例を詳細に説明する。なお、以下の実施例においては、本発明に係る時刻校正処理をタイムスタンプ装置に適用した場合について説明する。また、本実施例によりこの発明が限定されるものではない。
まず、本実施例の特徴部分であるネットワーク遅延を考慮した時刻校正処理を適用するタイムスタンプ装置について図1〜図3−3および図12〜図14を用いて説明する。なお、図1〜図3−3が本実施例に係るタイムスタンプ装置に関する図であり、図12〜図14が従来のタイムスタンプ装置に関する図である。
最初に、従来のタイムスタンプ装置の概要について図12を用いて説明する。図12は、従来のタイムスタンプ装置の概要を示す図である。ここで、タイムスタンプ装置とは、電子文書などの電子データに対して時刻を含んだ電子署名をおこなう装置のことである。近年、ネットワークを介して電子文書をやりとりすることは一般的におこなわれており、かかる電子文書の作成時刻や送信時刻などを証明するビジネス(いわゆる「タイムビジネス」)も本格化しつつある。
たとえば、カルテや死亡診断書などの医療関係の電子書類、売上伝票や領収書などの経理・税金関係の電子書類といった文書データのほか、画像データや映像データなどにタイムスタンプ装置を用いた電子署名が付加されていれば、これらの電子データが作成された日時や送信された日時を証明することが可能となる。また、デジタルカメラやデジタルビデオカメラなどの装置にタイムスタンプ装置を内蔵させることにより、日付や時刻の記録が必要な分野にもタイムビジネスの適用範囲を広げることができる。
このようなタイムビジネスを構築するにあたっては、電子署名に含まれる時刻の管理が非常に重要である。すなわち、単に時刻の正確性のみを追求するのではなく、悪意をもった利用者などによる時刻の改変を許さない仕組みづくりが必要となる。たとえば、医療事故を隠蔽するためにカルテに付加された時刻を改変したり、特許の発明日を改変したりする悪意の利用者が想定されるので、これらの利用者による時刻の改変を防止する必要がある。
ところで、かかるタイムビジネスの一形態として信頼のおける時刻を発行する施設や装置と、これらの施設や装置が発行する時刻を受信する多数のタイムスタンプ装置との間で時刻を同期させることがおこなわれる。なお、信頼のおける時刻を発行する施設や装置としては、標準時刻を含んだ電波を発信する標準電波送信所や衛星、インタネットなどに接続され認証鍵の提示により標準時刻を提供する時刻発行サーバなどがある。
タイムビジネスを展開するためにタイムスタンプ装置を製造・販売する企業は、販売したタイムスタンプ装置がおこなう時刻付き電子署名の「時刻」と、標準時刻とのずれが所定値以下であることを保証しなければならない。このような時刻保証をおこなうことで、タイムビジネスが成立することになる。
しかし、タイムスタンプ装置の流通過程に介在する人や購入する人のなかには、タイムスタンプ装置の時刻を改変し、偽の時刻を含んだ電子署名をおこなう悪意の利用者が存在することが予想される。このような時刻の改変を許してしまうと、時刻保証をおこなうことができないのでタイムビジネスそのものが成立しなくなってしまう。
図12に示した従来のタイムスタンプ装置は、装置内部に内部時計を有しており、この内部時計が刻む時刻を、標準電波送信所から送信される標準電波に含まれた電波時刻(TW)により補正するものである。そして、補正した内部時計を用いて時刻を含んだ署名処理をおこなう。このタイムスタンプ装置は、いわゆる「電波時計」の機能をタイムスタンプ装置にもたせたものであり、善意の利用者が使用するかぎりは時刻の正確性が担保される。
しかし、上記した従来のタイムスタンプ装置は、いったん悪意の利用者の手に渡ってしまうと時刻の改変を許してしまうことになる。ここで、かかる時刻の改変について図13を用いて説明する。図13は、従来のタイムスタンプ装置の内部時刻の改変を示す図である。
図13に示すように、悪意の利用者は、タイムスタンプ装置を地下室のような標準電波が届かない場所に持ってゆき、標準電波と同形式の電波(偽電波)を用いて標準時刻からずれた時刻を発信する。この偽電波を受信したタイムスタンプ装置は、この偽電波に基づいて内部時計が刻むローカル時刻を補正するので、ローカル時刻は真の時刻からずれていくことになる。
電波時刻を用いた補正をおこなうタイムスタンプ装置では、このような不正行為を防止するために、ローカル時刻と電波時刻との差分が所定値(ε)を上回った場合には、電波時刻を用いた補正を中止してローカル時刻をそのまま用いる防止策を講じている場合も多い。しかし、このような偽電波と連動する温度操作をおこなわれると、かかる防止策は機能しないこととなってしまう。
一般的に、内部時計を有する装置には、水晶発振器(crystal Oscillator)や、水晶発振器に温度補償回路を付加して温度変化に対する安定化を図ったTCXO(Temperature Compensated Xtal Oscillator)が用いられる。特に、流通段階や使用場所などが多岐にわたるタイムスタンプ装置にはTCXOが適している。これらの発振器は、縦軸に誤差(上方向が正)を横軸に温度変化をとった場合に、概ね上に凸の二次曲線の形状となる温度特性を有している。
したがって、これらの発振器を含んだタイムスタンプ装置を、加熱しても冷却しても内部時計は遅れていくことになる。TCXOの場合には、温度補償回路が動作する温度範囲内においては誤差が0付近となるような制御がおこなわれるが、かかる温度範囲を超えると急激に時刻の遅れをもたらす誤差を生じるようになる。
このような温度攻撃を偽電波による攻撃と連動させると、ローカル時刻と電波時刻(偽電波による電波時刻)との差分を所定値(ε)以内に抑えることが可能となるため、ローカル時刻を、標準時刻から大きくずらしていくこと(以下、「不正行為によるドリフト」と呼ぶ。)を許してしまう結果となる。ここで、この不正行為によるドリフトについて図14を用いて説明しておく。図14は、従来のタイムスタンプ装置における不正行為によるドリフトを示す図である。
図14に示すように、不正行為がおこなわれていない場合には、ローカル時刻と標準時刻(真の時刻)との誤差は、上述したように、所定値(ε)を閾値とした防止策により、−ε〜+εの範囲に抑えられる。一方、温度攻撃と偽電波による攻撃とを連動させた場合には、ローカル時刻と偽電波に含まれる時刻との誤差は−ε〜+εの範囲に抑えられたまま、ローカル時刻は真の時刻から大きくずれていくことになる。
このように、従来のタイムスタンプ装置では、悪意の利用者による時刻改ざんに対する防止策が十分ではなく、タイムスタンプ装置の目的である時刻証明あるいは時刻保証を担保することができなかった。そこで、本発明に係る時刻校正処理を備えたタイムスタンプ装置では、このような時刻改ざんを防止するための仕組みを提供することとした。
次に、本実施例に係るタイムスタンプ装置の概要について図1を用いて説明する。図1は、本実施例に係るタイムスタンプ装置の概要を示す図である。同図に示すように、時刻発行サーバからネットワークを介して認証時刻(TN)を取得することとし、この認証時刻を用いて内部時計が刻むローカル時刻の校正をおこなうこととした。なお、図1には示していないが従来のタイムスタンプ装置のような電波時刻の取得を併せておこなうこととしてもよい。
ここで、時刻発行サーバとは、認証鍵が提示された場合にかかるサーバが管理している標準時刻を提供する装置であり、インタネットなどのネットワークに接続されネットワークを介して信頼性の高い標準時刻を提供するものである。なお、本実施例では、タイムスタンプ装置がかかる時刻発行サーバから標準時刻(TN)を取得する場合について説明するが、標準時刻発行機能を備えないサーバに、標準時刻を発行する時刻発行装置を接続することとし、かかるサーバを介して標準時刻(TN)を取得することとしてもよく、ネットワークに直接接続された時刻発行装置から標準時刻(TN)を取得することとしてもよい。
そして、本実施例に係るタイムスタンプ装置では、時刻発行サーバから認証時刻(TN)を取得する際に、この認証時刻(TN)に含まれるネットワーク遅延時間を推定し、推定した遅延時間に基づいて認証時刻(TN)をローカル時刻に反映するか否かを判定することとした。
次に、ネットワーク遅延を考慮した時刻校正について図2を用いてさらに詳細に説明する。図2は、ネットワーク遅延を考慮した時刻校正の概要を示す図である。同図に示すように、タイムスタンプ装置が時刻発行サーバに対して認証時刻の発行要求をおこなうと、時刻発行サーバは、かかる発行要求を受信した時点の認証時刻(TN)をタイムスタンプ装置に発行する。
しかし、時刻発行サーバが発行した認証時刻(TN)は、ネットワーク遅延の影響を受けてτ2時間後にタイムスタンプ装置に届くことになる。たとえば、時刻発行サーバが10時ちょうどに認証時刻を発行し、ネットワーク遅延が1秒であったと仮定すると、タイムスタンプ装置は、10時0分1秒に、認証時刻(TN=10時0分0秒)を受け取ることになる。
一般的に、ネットワーク遅延は100msec程度の小さいものであるため問題とはならないが、悪意の利用者によるネットワーク遅延攻撃がおこなわれると、ローカル時刻と真の時刻とを大きくずらしていくことが可能となる。したがって、タイムスタンプ装置が発行する時刻を保証するためには、このようなネットワーク遅延攻撃を防止する仕組みづくりが必要である。
そこで、本発明の特徴部分であるネットワーク遅延を考慮した時刻校正処理では、タイムスタンプ装置が時刻発行要求をおこなってから、認証時刻を受け取るまでの時間に基づいて、図2に示した遅延時間(τ2)を推定することとした。そして、推定した遅延時間(τ2)を用いてタイムスタンプ装置のローカル時刻を校正することとした。
したがって、悪意の利用者によるネットワーク遅延攻撃を防止することにより、タイムスタンプ装置が発行する時刻を保証することができる。なお、上記した遅延時間の推定処理の詳細については、図8〜図10を用いて後述することとする。
次に、本実施例に係るタイムスタンプ装置の構成例について図3−1〜図3−3を用いて説明する。なお、これらの構成例においては、タイムスタンプ装置は携帯可能なものを想定しているが据え置き型とすることもできる。
図3−1は、タイムスタンプ装置の構成例1を示す図である。図3−1に示す構成では、タイムスタンプ装置は、インタネットに接続されたパーソナルコンピュータのUSB(Universal Serial Bus)ポートなどに接続して用いられる。そして、署名対象となる電子文書をパーソナルコンピュータから受け取り、タイムスタンプ装置のローカル時刻(TN´)および認証鍵を用いて時刻を含んだ電子署名を付加したうえで、署名済の電子文書をパーソナルコンピュータに渡す。
また、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する。なお、かかるタイムスタンプ装置については、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している。
図3−2は、タイムスタンプ装置の構成例2を示す図である。図3−2に示す構成例では、図3−1と同様にインタネットに接続されたパーソナルコンピュータのUSBポートなどに接続して用いられる。図3−1の場合と異なるのは、電子署名の機能はパーソナルコンピュータに搭載されるプログラムが有している点にある。
この構成例においては、電子署名が必要な場合には、パーソナルコンピュータはUSBポートなどを介してタイムスタンプ装置に認証要求メッセージを送信する。このメッセージを受け取ったタイムスタンプ装置は、ローカル時刻と認証鍵とをパーソナルコンピュータに返信する。そして、パーソナルコンピュータは自身が有する署名機能により認証対象文書に電子署名を付加する。
なお、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する点、および、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している点については図3−1の場合と同様である。
図3−3は、タイムスタンプ装置の構成例3を示す図である。図3−3に示す構成例では、タイムスタンプ装置は直接インタネットなどのネットワークに接続される。そして、署名対象となる電子文書を受け取ると、ローカル時刻(TN´)および認証鍵を用いて電子署名を付加したうえで署名済の電子文書を出力する。なお、同図においては、タイムスタンプ装置が外部から署名対象文書を受け取る場合について図示しているが、タイムスタンプ装置が署名対象文書を内部のメモリなどに保持しておく構成としてもよい。
また、このタイムスタンプ装置が時刻校正をおこなう際には、パーソナルコンピュータおよびインタネットを介して時刻発行サーバに接続し、認証時刻(TN)を取得する。なお、かかるタイムスタンプ装置については、腕時計や携帯電話のように利用者が手軽に持ち運んで必要なときに用いられる利用形態を想定している点は、図3−1や図3−2と同様である。
なお、図3−1〜図3−3に示したタイムスタンプ装置の構成例では、電子署名の対象データを文書データとした場合について示したが、文書データに限らず、画像データや映像データといった電子データを、署名対象データとすることができる。また、デジタルカメラなどの装置にタイムスタンプ装置を内蔵させ、撮像するたびに時刻を含んだ電子署名をおこなうこととしてもよい。
次に、本実施例の特徴部分であるネットワーク遅延を考慮した時刻校正処理を含むタイムスタンプ装置1の構成について図4を用いて説明する。図4は、タイムスタンプ装置1の構成を示す機能ブロック図である。なお、図4に示した構成は、タイムスタンプ装置1が図3−1の構成をとった場合について示している。
同図に示すように、タイムスタンプ装置1は、各種デバイスとして標準電波受信部2と、発振器3と、通信インタフェイス部4と、表示部5と、入力部6とを備えており、さらに、制御部10と、記憶部20とを備えている。
また、制御部10は、電波時刻取得部11と、ローカル時刻生成部13と、認証時刻要求部14と、認証時刻取得部15と、時刻校正処理部16と、タイムスタンプ処理部17とをさらに備えており、記憶部20は、認証鍵記憶部21をさらに備えている。
標準電波受信部2は、標準電波送信所や衛星から標準電波を受信し、国家標準時刻と同期した電波時刻(TW)を制御部10に渡す処理をおこなうデバイスである。たとえば、標準電波送信所から送信される標準電波には、時、分、秒、年初からの通算日、年(西暦下2桁)、曜日などの時刻情報が含まれている。なお、この標準電波受信部2が標準電波を受信するタイミングは任意に指定することが可能であり、7:00と19:00に受信するなどの指定をおこなうことができるほか、利用者の操作により強制的に受信処理をおこなうこともできる。
発振器3は、水晶発振器などのローカル時刻を計時するためのデバイスであり、発振したパルスを制御部10に提供する処理をおこなう。タイムスタンプ装置1は、さまざまな温度環境で用いられるうえ、さらに温度攻撃も予想されることから、この発振器3にはTCXO(温度補償水晶発振器)のように広い温度範囲で計時精度が安定している発振器を用いることが望ましい。
通信インタフェイス部4は、USBポートやLANボードといった双方向の通信が可能なデバイスであり、タイムスタンプ装置1とパーソナルコンピュータ間でデータの送受信をおこない、これらのデータを制御部10との間で受け渡しする処理をおこなう。なお、時刻発行サーバとのデータ送受信も、この通信インタフェイス部4を介しておこなわれる。
表示部5は、液晶ディスプレイなどの表示用デバイスであり、制御部10や各デバイスからの警告情報やエラー情報を表示したり、ローカル時刻を表示したりするために用いられる。また、入力部6は、電源ボタンなどのデバイスであり、タイムスタンプ装置1の電源ON/OFFなどの各種操作に用いられ、操作結果は制御部10に通知される。
制御部10は、ローカル時刻を生成するとともに、標準電波を用いた時刻補正および認証時刻を用いた時刻校正を適宜おこなうことにより、ローカル時刻と真の時刻とのずれを所定値以下に抑え、このローカル時刻を用いて電子署名処理をおこなう処理部である。
電波時刻取得部11は、標準電波受信部2から電波時刻(TW)を受け取り、認証時刻要求部14に渡す処理をおこなう処理部である。なお、この電波時刻取得部11が取得した電波時刻(TW)は、認証時刻要求部14が時刻発行サーバに認証時刻の要求をおこなう際の判定要素として用いられる。
ローカル時刻生成部13は、発振器3から出力されたパルスを受け取り、このパルスに基づいてローカル時刻(TN´)を生成する処理部である。このローカル時刻(TN´)は、時刻校正処理部13により認証時刻(TN)を用いた時刻校正処理の対象となる。なお、このローカル時刻生成部13は、生成したローカル時刻(TN´)を認証時刻要求部14およびタイムスタンプ処理部15に通知する処理をおこなう。
認証時刻要求部14は、所定のタイミングで、ローカル時刻生成部13が生成したローカル時刻(TN´)および認証鍵記憶部21に記憶された認証鍵を用い、ネットワーク上の時刻発行サーバに認証時刻の発行要求をおこなう処理部である。また、認証時刻の発行要求をおこなう際には、ローカル時刻(TN´)を含んだ要求メッセージを認証鍵により暗号化したうえで通信インタフェイス部4に渡す。
この認証時刻要求部14は、利用者の操作により強制的に認証時刻の発行要求をおこなうほか、電波時刻取得部11が取得した電波時刻(TW)を用いて時刻発行サーバへの接続の要否を判定したうえで、接続が必要な場合には時刻発行サーバに対して認証時刻の発行要求をおこなう。さらに、時刻校正処理部16からの指示により時刻発行サーバに対して認証時刻の発行要求をおこなう。
具体的には、電波時刻(TW)とローカル時刻(TN´)との差分の絶対値(|TW−TN´|)を算出し、この絶対値と所定の閾値(ε)とを対比する。そして、この絶対値が閾値(ε)よりも小さい(|TW−TN´|<ε)期間が所定期間連続した場合には、時刻発行サーバに対して認証時刻の発行要求をおこなう。また、かかる絶対値(|TW−TN´|)が閾値(ε)以上である場合にも(|TW−TN´|≧ε)、時刻発行サーバに対して認証時刻の発行要求をおこなう。
たとえば、「|TW−TN´|<εの期間」が7日連続したならば、時刻発行サーバに対して認証時刻の発行要求をおこなう場合について説明する。εを0.5秒とし、電波時刻(TW)の取得を一日一回おこなったと仮定すると、ローカル時刻(TN´)は、真の時刻から最大3.5秒(7×0.5)の誤差範囲で認証時刻(TN)による校正処理を受けることが可能となる。また、期間ではなく回数でずれを監視する場合には、7回(1日あたり1回の電波受信の場合)となる。そして、期間を用いる場合にはローカル時刻を参照するタイマを、回数を用いる場合には回数を計数するカウンタをそれぞれ用いることとすればよい。
なお、ここでは、認証時刻要求部14が電波時刻(TW)とローカル時刻(TN´)とのずれに基づいて時刻発行サーバへの接続をおこなう場合について説明するが、時刻発行サーバへの接続が必要な旨を表示部5に表示するなどして利用者に通知し、利用者の操作により時刻発行サーバへ接続することとしてもよい。なお、この場合には、時刻発行サーバから認証時刻(TN)を取得するまではタイムスタンプ処理(時刻付き電子署名処理)を中止することになる。
具体的には、「強制的な認証時刻取得」をあらわす操作(該当するボタンを押下など)を、利用者が任意のタイミングで入力部6を介しておこなった場合に、認証時刻要求部14はネットワーク上の時刻発行サーバに認証時刻の発行要求をおこなう。この場合、「|TW−TN´|<εが連続した回数または期間」あるいは「|TW−TN´|≧εが連続した回数または期間」などの情報を表示部5に表示して利用者の操作を促すこととしてもよい。
なお、かかる認証時刻要求部14は、利用者の操作をトリガーとすることなく、ローカル時刻生成部13が生成したローカル時刻(TN´)に基づき定期的に時刻発行サーバに認証時刻の発行要求をおこなうこととしてもよい。たとえば、標準時刻とローカル時刻とのずれを45秒以内に抑えたい場合、1日あたりの時刻のずれが最大0.5秒であるとすれば、90日に1回の間隔で時刻発行サーバに認証時刻の発行要求をおこなうこととすればよい。
認証時刻取得部15は、認証時刻要求部14からの要求に応えて時刻発行サーバから送信された認証時刻(TN)を、通信インタフェイス部4を介して受け取り、受け取った認証時刻(TN)を時刻校正処理部16に渡す処理をおこなう処理部である。なお、この認証時刻取得部15は、暗号化された状態の認証時刻(TN)を、認証鍵記憶部21に記憶された認証鍵を用いて復号する処理をおこなう。
時刻校正処理部16は、認証時刻取得部15から受け取った認証時刻(TN)を用いてローカル時刻生成部13が生成するローカル時刻(TN´)を校正する処理をおこなう処理部である。具体的には、この時刻校正処理部16は、認証時刻要求部14が認証時刻の要求をおこなってから認証時刻取得部15が認証時刻を取得するまでの応答時間を求め、求めた応答時間に基づいて認証時刻の遅延時間(図2に示したτ2)を算出したうえで、認証時刻(TN)を用いてローカル時刻(TN´)を校正する処理をおこなう。
ここで、認証時刻に基づいた時刻調整を「校正」と呼ぶ理由について説明する。電波時刻は、本来、標準時刻を指しており電波による遅延もほとんどないため、ローカル時刻の基準とする時刻としては適したものである。しかし、図2などを用いて説明したように、偽電波による不正行為を受ける可能性もあるため、電波時刻に絶対的な信頼をおくことは適当ではない。
一方、認証時刻を取得するには、認証鍵が必要であることから認証時刻には電波時刻よりも高い信頼性がある。そこで、これらの時刻調整を区別するために、電波時刻に基づいた時刻調整を「補正」と呼び、より信頼性の高い認証時刻に基づいた時刻調整を「校正」と呼ぶこととした。
タイムスタンプ処理部17は、ローカル時刻生成部13が生成して時刻校正処理部16による時刻校正を受けたローカル時刻と、認証鍵記憶部21に記憶されている認証鍵とを用いて電子文書に時刻を含んだ電子署名をおこなう処理部である。具体的には、このタイムスタンプ処理部17は、通信インタフェイス部4を介して認証対象となる電子文書を受け取り、受け取った電子文書に電子署名をおこなったうえで、署名済の電子文書を、通信インタフェイス部4を介して出力する。
記憶部20は、揮発性のRAM(Random Access Memory)で構成された記憶デバイスであり、製造時などにあらかじめ割り当てられた認証鍵を記憶する認証鍵記憶部21をさらに備えている。認証鍵が記憶された後は、記憶部20には常に通電がおこなわれている。このような構成とするのは、悪意の利用者により認証鍵が取り出されることを防止するためである。すなわち、悪意の利用者が認証鍵を取り出そうとしてタイムスタンプ装置を分解しようとすると、この記憶部20への通電が停止され、記憶されていた認証鍵も失われる。
次に、タイムスタンプ装置1の初期処理について図5および図6を用いて説明する。図5は、電波時刻取得をおこなわない初期処理の処理手順を示すフローチャートであり、図6は、電波時刻取得をおこなう初期処理の処理手順を示すフローチャートである。
図5に示すように、電波時刻取得をおこなわない場合には、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうために時刻発行サーバに接続し、時刻校正処理部16は、認証時刻取得部15を介して時刻発行サーバから受け取った認証時刻(TN)をローカル時刻(TN´)の初期値として(ステップS101)初期処理を終了する。
一方、電波時刻取得をおこなう場合には、図6に示すように、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうために時刻発行サーバに接続し、時刻校正処理部16は、認証時刻取得部15を介して時刻発行サーバから受け取った認証時刻(TN)をローカル時刻(TN´)の初期値とする(ステップS201)。
つづいて、電波時刻取得部11は、標準電波受信部2を介して電波時刻(TW)を取得し(ステップS202)、電波時刻(TW)とローカル時刻(TN´)とを比較して(ステップS203)、誤差(|TW−TN´|)が所定の閾値(ε)より小さいか否かを判定する(ステップS204)。
そして、誤差が所定の閾値(ε)よりも小さい場合には(ステップS204,Yes)、ローカル時刻(TN´)をそのまま用いて計時をおこなう。一方、かかる誤差(|TW−TN´|)が所定の閾値(ε)以上である場合には(ステップS204,No)、タイムスタンプ装置1の運用を停止する。
次に、タイムスタンプ装置1の運用中における処理手順について図7を用いて説明する。図7は、時刻校正処理の処理手順を示すフローチャートである。同図に示すように、タイムスタンプ装置1が運用を開始すると、まず、後の処理において用いられる連続回数を計数するためのカウンタを初期化する(ステップS301)。そして、電波時刻取得部11は、所定の間隔で標準電波受信部2を介して電波時刻(TW)を取得する(ステップS302)。
つづいて、認証時刻要求部14は、電波時刻(TW)とローカル時刻(TN´)との差分を算出し、誤差|TW−TN´|が補正閾値(ε)よりも小さいか否かを判定する(ステップS303)。そして、誤差|TW−TN´|が補正閾値(ε)よりも小さい場合には(ステップS303,Yes)、ローカル時刻(TN´)をそのまま用いて計時を継続する(ステップS304)。一方、誤差|TW−TN´|が補正閾値(ε)以上である場合には(ステップS303,No)、表示部5に警報を出力する(ステップS307)などして利用者に時刻発行サーバへの接続をうながす。
つづいて、誤差|TW−TN´|が閾値(ε)よりも小さい回数が所定値(α回)以上となったか否かを判定し(ステップS305)、α回以上である場合には(ステップS305,Yes)、表示部5に警報を出力する(ステップS307)などして利用者に時刻発行サーバへの接続をうながす。一方、α回よりも小さい場合には(ステップS305,No)、ステップS302以降の処理を繰り返す。
つづいて、認証時刻要求部14は、認証時刻(TN)の取得要求をおこなうため、時刻発行サーバに接続する(ステップS308)。そして、時刻校正処理部16は、認証時刻取得部15を介して認証時刻(TN)を受け取ると、受け取った認証時刻(TN)をローカル時刻(TN´)として採用し(ステップS309)、ステップS301以降の処理を繰り返す。
次に、時刻発行サーバから認証時刻(TN)を取得する際の遅延補正処理について図8〜図10を用いて説明する。図8は、認証時刻に対する遅延補正処理の概要を示す図である。同図に示すように、タイムスタンプ装置1が時刻発行サーバ101に認証時刻(TN)の要求をおこなってから、認証時刻(TN)を受け取るまでには、往復分のネットワーク遅延が含まれる。
具体的には、タイムスタンプ装置1が送信した要求が時刻発行サーバ101に届くまでには、τ1の時間がかかり、時刻発行サーバ101が送信した認証時刻(TN)がタイムスタンプ装置1に届くまでには、τ2の時間がかかる。すなわち、タイムスタンプ装置1は、時刻発行サーバ101が送信した認証時刻(TN)をτ2遅れで受信することになる。通常は、これらの遅延時間(τ1およびτ2)は100msec程度の小さいものであるため問題とはならないが、ネットワークを遅延させるような不正行為がおこなわれると、せっかく取得した認証時刻(TN)の正確性が保証されないこととなってしまう。
そこで、タイムスタンプ装置1は、上記したτ1+τ2の値を求め、この値に基づいてτ2の値を推定することとしている。具体的には、認証時刻要求部14が認証時刻の要求をおこなう時点のローカル時刻(TN´)を含めた要求メッセージ51を送信する。この要求メッセージ51を受信した時刻発行サーバ101は、認証時刻(TN)と、受け取ったローカル時刻(TN´)を含んだ応答メッセージ52を返信する。なお、図8における52aは、この応答メッセージに含まれるローカル時刻(TN´)を示しており、52bは、同じく認証時刻(TN)を示している。
タイムスタンプ装置1は、この応答メッセージ52を受信した時刻(TN´+(τ1+τ2))から、この応答メッセージに含まれる52a(TN´)を差し引くことにより、往復の遅延時間をあらわす(τ1+τ2)を算出する。そして、この(τ1+τ2)を2で除することによりτ2を推定し、受け取った認証時刻(TN)からτ2を差し引いた値を、認証時刻として取り込む。
なお、本実施例においては、1回の要求から得られた遅延時間(τ1+τ2)を2で除することによりτ2を推定したが、かかる要求を数回おこなって得られた遅延時間(τ1+τ2)の平均をとることとしてもよいし、複数の時刻発行サーバ101に要求をおこなって得られた遅延時間(τ1+τ2)の平均をとることとしてもよい。
次に、時刻発行サーバ101の遅延補正の処理手順について図9を用いて説明する。図9は、時刻発行サーバにおける遅延補正の処理手順を示すフローチャートである。同図に示すように、時刻発行サーバ101は、タイムスタンプ装置1からローカル時刻(TN´)を受信すると(ステップS401)、自らが管理する認証時刻(TN)と受信したローカル時刻(TN´)との差分の絶対値が所定値(σ´)よりも小さいか否かを判定する(ステップS402)。
そして、認証時刻(TN)と受信したローカル時刻(TN´)との差分の絶対値が所定値(σ´)よりも小さい場合には(ステップS402,Yes)、受信したローカル時刻(TN´)および認証時刻(TN)をタイムスタンプ装置1に送信して(ステップS403)処理を終了する。一方、かかる絶対値が所定値(σ´)以上である場合には(ステップS402,No)、タイムスタンプ装置1への認証時刻(TN)送信を禁止するとともに(ステップS404)、タイムスタンプ装置1へ警報コマンドを送信して(ステップS405)処理を終了する。
このようにすることで、時刻発行サーバ101は、認証時刻(TN)から大きくずれたローカル時刻(TN´)をもつタイムスタンプ装置1への認証時刻(TN)の提供を中止することができる。したがって、不正行為がおこなわれている可能性が高いタイムスタンプ装置1が運用されることを効果的に防止することが可能となる。
次に、タイムスタンプ装置1の遅延補正の処理手順について図10を用いて説明する。図10は、タイムスタンプ装置における遅延補正の処理手順を示すフローチャートである。同図に示すように、まず、タイムスタンプ装置1は時刻発行サーバ101へローカル時刻(TN´)を送信する(ステップS501)。そして、時刻発行サーバ101からの応答を待ち、警報コマンドを受信した場合には(ステップS502,Yes)、表示部5などに警報を出力して(ステップS510)時刻発行サーバへの接続を停止する。
一方、受け取ったメッセージが警報コマンドではない場合には(ステップS502,No)、かかるメッセージから認証時刻(TN)および先に送信したローカル時刻(TN´)を取得する(ステップS503)。そして、メッセージの受信時刻と、メッセージに含まれたローカル時刻(TN´)との差(τ1+τ2)を算出する。なお、この差(τ1+τ2)は、往復のネットワーク遅延をあらわしている。
つづいて、この遅延時間(τ1+τ2)を2で除した値が所定値(ε´)よりも小さいか否かを判定する(ステップS505)。そして、(τ1+τ2)/2が所定値(ε´)よりも小さい場合には(ステップS505,Yes)、あらたなローカル時刻(TN´)として受信した認証時刻(TN)を採用して(ステップS506)処理を終了する。
一方、遅延時間(τ1+τ2)を2で除した値が所定値(ε´)以上である場合には(ステップS505,No)、所定値(ε´)以上となる回数が所定回数連続しているか否かを判定し(ステップS507)、所定回数以上連続している場合には(ステップS507肯定)、警報を出力したうえで(ステップS508)時刻発行サーバへの接続を停止する。また、連続回数が所定回数よりも小さい場合には、表示部5などに警報を出力したうえで(ステップS509)、ステップS501以降の処理を繰り返す。
上述してきたように、本実施例では、ローカル時刻生成部が生成したローカル時刻を、認証時刻取得部が時刻発行サーバから取得した認証時刻を用いて校正することとし、時刻校正処理部は、認証時刻取得部が認証時刻の発行を時刻発行サーバに依頼してから認証時刻取得部が認証時刻を取得するまでの応答時間に基づいて認証時刻に含まれる遅延時間を算出し、算出した遅延時間が所定の閾値以上であるか否かを判定したうえで時刻発行サーバから受け取った認証時刻を用いてローカル時刻を校正するよう構成したので、悪意の利用者による時刻改ざんを防止することにより電子署名に用いられる時刻の信頼性を高めるとともに、ネットワークに常時接続しない場合であっても時刻の信頼性を保証することができる。
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図11を用いて、上記の実施例と同様の機能を有する時刻校正プログラムを実行するコンピュータの一例を説明する。図11は、時刻校正プログラムを実行するコンピュータを示す図である。
ここで、この「コンピュータ」には、パーソナルコンピュータのみならず、デジタルカメラやデジタルビデオカメラといった装置に内蔵されるいわゆる「組み込みコンピュータ」が含まれるものとする。かかる時刻校正プログラムをこれらのコンピュータ上で動作させることにより、文書データ、画像データ、映像データといった電子データの日付や時間を保証することが可能となる。
同図に示すようにタイムスタンプ装置としてのコンピュータ30は、標準電波受信部31、発振器32、通信インタフェイス部33、表示部34、入力部35、揮発性RAM36、ROM(Read Only Memory)37およびCPU(Central Processing Unit)38をバス39で接続して構成される。ここで、標準電波受信部31、発振器32、通信インタフェイス部33、表示部34および入力部35は、図4に示した、標準電波受信部2、発振器3、通信インタフェイス部4、表示部5および入力部6にそれぞれ対応する。そして、通信インタフェイス部33を介して、このコンピュータ30は他のコンピュータやネットワークに接続される。
ROM37には、時刻校正プログラム37aがあらかじめ記憶されており、CPU38が、ROM37の時刻校正プログラム37aを読み出して実行することで、図11に示すように、時刻校正プログラム37aは時刻校正プロセス38aとして機能するようになる。また、揮発性RAM36には認証鍵36aが記憶されており、この認証鍵36aは時刻校正プログラム37aが時刻校正処理をおこなう際に使用される。
ところで、上記した時刻校正プログラム37aについては、必ずしもあらかじめROM37に記憶させておく必要はなく、たとえば、コンピュータ30が読み出し可能なフレキシブルディスク(FD)、CD−ROM、光磁気ディスクなどの「可搬用の物理媒体」、または、公衆回線、インタネット、LAN、WANなどを介してコンピュータ30に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておき、コンピュータ30がこれらからプログラムを読み出して実行するようにしてもよい。
(付記1)内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置であって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手段と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手段と、
前記認証時刻要求手段が前記発行を要求してから前記認証時刻取得手段が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、
前記遅延時間算出手段が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手段と
を備えたことを特徴とするタイムスタンプ装置。
(付記2)前記遅延時間算出手段は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記3)前記遅延時間算出手段は、
複数の前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記4)前記遅延時間算出手段は、
複数の前記時刻発行装置に関する前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする付記1に記載のタイムスタンプ装置。
(付記5)前記時刻校正手段は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記1〜4のいずれか一つに記載のタイムスタンプ装置。
(付記6)前記時刻校正手段は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻と該遅延時間とを足し合わせた時刻を前記ローカル時刻として設定することを特徴とする付記1〜4のいずれか一つに記載のタイムスタンプ装置。
(付記7)前記時刻校正手段は、
前記遅延時間が第一の閾値以上である場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求をおこなうよう指示することを特徴とする付記6に記載のタイムスタンプ装置。
(付記8)前記時刻校正手段は、
前記遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは該第一の閾値以上である期間が所定期間連続した場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求を停止するよう指示することを特徴とする付記7に記載のタイムスタンプ装置。
(付記9)前記時刻校正手段は、
利用者に対して前記認証時刻の取得が必要である旨の警告をおこなうことを特徴とする付記8に記載のタイムスタンプ装置。
(付記10)前記認証時刻要求手段は、
前記認証時刻発行装置に対して署名付のローカル時刻を送信することにより前記認証時刻の発行要求をおこない、該時刻発行装置から前記署名付のローカル時刻および該認証時刻を受信したならば、受信した時刻をあらわすローカル時刻から該署名付のローカル時刻を差し引くことにより前記応答時間を算出することを特徴とする付記9に記載のタイムスタンプ装置。
(付記11)標準時刻を含んだ電波を受信することにより該標準時刻を電波時刻として取得する電波時刻取得手段をさらに備え、
前記認証時刻要求手段は、
前記電波時刻と前記ローカル時刻との差分の絶対値が第二の閾値よりも小さい回数が所定数連続した場合もしくは該第二の閾値よりも小さい期間が所定期間連続した場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする付記10に記載のタイムスタンプ装置。
(付記12)前記認証時刻要求手段は、
前記差分の絶対値が前記第二の閾値以上である場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする付記11に記載のタイムスタンプ装置。
(付記13)署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値より小さい場合に、該サーバ時刻に署名をつけた認証時刻と、該署名付のローカル時刻とを返信することを特徴とする時刻発行装置。
(付記14)署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値以上である場合に、依頼元への認証時刻の返信を停止するとともに該依頼元に対して署名付の警報情報を返信することを特徴とする時刻発行装置。
(付記15)内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正方法であって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求工程と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得工程と、
前記認証時刻要求工程が前記発行を要求してから前記認証時刻取得工程が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、
前記遅延時間算出工程が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正工程と
を含んだことを特徴とする時刻校正方法。
(付記16)前記遅延時間算出工程は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記15に記載の時刻校正方法。
(付記17)前記時刻校正工程は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記15または16に記載の時刻校正方法。
(付記18)内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正プログラムであって、
標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手順と、
前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手順と、
前記認証時刻要求手順が前記発行を要求してから前記認証時刻取得手順が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、
前記遅延時間算出手順が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手順と
をコンピュータに実行させることを特徴とする時刻校正プログラム。
(付記19)前記遅延時間算出手順は、
前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする付記18に記載の時刻校正プログラム。
(付記20)前記時刻校正手順は、
前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする付記18または19に記載の時刻校正プログラム。
以上のように、本発明に係るタイムスタンプ装置、時刻校正方法および時刻校正プログラムは、提供する時刻の信頼性を保証する必要がある場合に有用であり、特に、タイムビジネスを構成するタイムスタンプ装置に適している。
図1は、本実施例に係るタイムスタンプ装置の概要を示す図である。 図2は、ネットワーク遅延を考慮した時刻校正の概要を示す図である。 図3−1は、タイムスタンプ装置の構成例1を示す図である。 図3−2は、タイムスタンプ装置の構成例2を示す図である。 図3−3は、タイムスタンプ装置の構成例3を示す図である。 図4は、タイムスタンプ装置の構成を示す機能ブロック図である。 図5は、電波時刻取得をおこなわない初期処理の処理手順を示すフローチャートである。 図6は、電波時刻取得をおこなう初期処理の処理手順を示すフローチャートである。 図7は、時刻校正処理の処理手順を示すフローチャートである。 図8は、認証時刻に対する遅延補正処理の概要を示す図である。 図9は、時刻発行サーバにおける遅延補正の処理手順を示すフローチャートである。 図10は、タイムスタンプ装置における遅延補正の処理手順を示すフローチャートである。 図11は、時刻校正プログラムを実行するコンピュータを示す図である。 図12は、従来のタイムスタンプ装置の概要を示す図である。 図13は、従来のタイムスタンプ装置の内部時刻改変を示す図である。 図14は、従来のタイムスタンプ装置における不正行為によるドリフトを示す図である。
1 タイムスタンプ装置
2 標準電波受信部
3 発振器
4 通信インタフェイス部
5 表示部
6 入力部
10 制御部
11 電波時刻取得部
13 ローカル時刻生成部
14 認証時刻要求部
15 認証時刻取得部
16 時刻校正処理部
17 タイムスタンプ処理部
20 記憶部
21 認証鍵記憶部
30 タイムスタンプ装置(コンピュータ)
31 標準電波受信部
32 発振器
33 通信インタフェイス部
34 表示部
35 入力部
36 揮発性RAM
36a 認証鍵
37 ROM
37a 時刻校正プログラム
38 CPU
38a 時刻校正プロセス
39 バス
51 要求メッセージ
52 応答メッセージ
101 時刻発行サーバ

Claims (20)

  1. 内部時計が出力するローカル時刻に基づいて該ローカル時刻を含んだ電子署名をおこなうタイムスタンプ装置であって、
    標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手段と、
    前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手段と、
    前記認証時刻要求手段が前記発行を要求してから前記認証時刻取得手段が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手段と、
    前記遅延時間算出手段が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手段と
    を備えたことを特徴とするタイムスタンプ装置。
  2. 前記遅延時間算出手段は、
    前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする請求項1に記載のタイムスタンプ装置。
  3. 前記遅延時間算出手段は、
    複数の前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする請求項1に記載のタイムスタンプ装置。
  4. 前記遅延時間算出手段は、
    複数の前記時刻発行装置に関する前記応答時間の代表時間を求め、該代表時間を2で除した値を前記遅延時間として算出することを特徴とする請求項1に記載のタイムスタンプ装置。
  5. 前記時刻校正手段は、
    前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする請求項1〜4のいずれか一つに記載のタイムスタンプ装置。
  6. 前記時刻校正手段は、
    前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻と該遅延時間とを足し合わせた時刻を前記ローカル時刻として設定することを特徴とする請求項1〜4のいずれか一つに記載のタイムスタンプ装置。
  7. 前記時刻校正手段は、
    前記遅延時間が第一の閾値以上である場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求をおこなうよう指示することを特徴とする請求項6に記載のタイムスタンプ装置。
  8. 前記時刻校正手段は、
    前記遅延時間が第一の閾値以上である回数が所定数連続した場合もしくは該第一の閾値以上である期間が所定期間連続した場合に、前記認証時刻取得手段に対して前記認証時刻の発行要求を停止するよう指示することを特徴とする請求項7に記載のタイムスタンプ装置。
  9. 前記時刻校正手段は、
    利用者に対して前記認証時刻の取得が必要である旨の警告をおこなうことを特徴とする請求項8に記載のタイムスタンプ装置。
  10. 前記認証時刻要求手段は、
    前記認証時刻発行装置に対して署名付のローカル時刻を送信することにより前記認証時刻の発行要求をおこない、該時刻発行装置から前記署名付のローカル時刻および該認証時刻を受信したならば、受信した時刻をあらわすローカル時刻から該署名付のローカル時刻を差し引くことにより前記応答時間を算出することを特徴とする請求項9に記載のタイムスタンプ装置。
  11. 標準時刻を含んだ電波を受信することにより該標準時刻を電波時刻として取得する電波時刻取得手段をさらに備え、
    前記認証時刻要求手段は、
    前記電波時刻と前記ローカル時刻との差分の絶対値が第二の閾値よりも小さい回数が所定数連続した場合もしくは該第二の閾値よりも小さい期間が所定期間連続した場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする請求項10に記載のタイムスタンプ装置。
  12. 前記認証時刻要求手段は、
    前記差分の絶対値が前記第二の閾値以上である場合に、前記時刻発行装置に対して前記認証時刻の発行を要求することを特徴とする請求項11に記載のタイムスタンプ装置。
  13. 署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値より小さい場合に、該サーバ時刻に署名をつけた認証時刻と、該署名付のローカル時刻とを返信することを特徴とする時刻発行装置。
  14. 署名付のローカル時刻を受信した時点のサーバ時刻と、該署名付のローカル時刻との差分の絶対値が第二の閾値以上である場合に、依頼元への認証時刻の返信を停止するとともに該依頼元に対して署名付の警報情報を返信することを特徴とする時刻発行装置。
  15. 内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正方法であって、
    標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求工程と、
    前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得工程と、
    前記認証時刻要求工程が前記発行を要求してから前記認証時刻取得工程が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出工程と、
    前記遅延時間算出工程が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正工程と
    を含んだことを特徴とする時刻校正方法。
  16. 前記遅延時間算出工程は、
    前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする請求項15に記載の時刻校正方法。
  17. 前記時刻校正工程は、
    前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする請求項15または16に記載の時刻校正方法。
  18. 内部時計が出力するローカル時刻と標準時刻とのずれを校正する時刻校正プログラムであって、
    標準時刻と同期した認証時刻を発行する時刻発行装置に対して該認証時刻の発行を要求する認証時刻要求手順と、
    前記時刻発行装置が発行した前記認証時刻を取得する認証時刻取得手順と、
    前記認証時刻要求手順が前記発行を要求してから前記認証時刻取得手順が前記認証時刻を取得するまでの応答時間に基づいて該認証時刻に含まれる遅延時間を算出する遅延時間算出手順と、
    前記遅延時間算出手順が算出した前記遅延時間に基づいて前記認証時刻を用いた前記ローカル時刻の校正をおこなう時刻校正手順と
    をコンピュータに実行させることを特徴とする時刻校正プログラム。
  19. 前記遅延時間算出手順は、
    前記応答時間を2で除した値を前記遅延時間として算出することを特徴とする請求項18に記載の時刻校正プログラム。
  20. 前記時刻校正手順は、
    前記遅延時間が第一の閾値よりも小さい場合に、前記認証時刻を前記ローカル時刻として設定することを特徴とする請求項18または19に記載の時刻校正プログラム。
JP2007505754A 2005-02-28 2005-02-28 タイムスタンプ装置、時刻校正方法および時刻校正プログラム Pending JPWO2006092833A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2005/003297 WO2006092833A1 (ja) 2005-02-28 2005-02-28 タイムスタンプ装置、時刻校正方法および時刻校正プログラム

Publications (1)

Publication Number Publication Date
JPWO2006092833A1 true JPWO2006092833A1 (ja) 2008-07-24

Family

ID=36940879

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007505754A Pending JPWO2006092833A1 (ja) 2005-02-28 2005-02-28 タイムスタンプ装置、時刻校正方法および時刻校正プログラム

Country Status (4)

Country Link
US (1) US20080022116A1 (ja)
JP (1) JPWO2006092833A1 (ja)
DE (1) DE112005003457T5 (ja)
WO (1) WO2006092833A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5223860B2 (ja) * 2007-03-28 2013-06-26 日本電気株式会社 時刻情報配信システム、時刻配信局、端末、時刻情報配信方法及びプログラム
JP4946712B2 (ja) * 2007-08-09 2012-06-06 パナソニック株式会社 録画システムおよび録画装置
CN102025480A (zh) * 2009-09-14 2011-04-20 中兴通讯股份有限公司 在级联基站中实现边界时钟的方法与装置
US10169563B2 (en) 2017-01-27 2019-01-01 International Business Machines Corporation Encryption authorization dongle having volatile memory
JP6648730B2 (ja) 2017-05-09 2020-02-14 オムロン株式会社 制御装置、タイムスタンプ修正方法およびプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002116694A (ja) * 2000-10-04 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> 時刻署名装置、その署名方法、時刻署名システム
JP2004157739A (ja) * 2002-11-06 2004-06-03 Canon Inc 記録装置、通信装置およびそのデータ転送方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532617C2 (de) * 1995-09-04 1998-01-22 Nisl Klaus Dipl Ing Verfahren und Vorrichtung zur Versiegelung von Computerdaten
DE19610401A1 (de) * 1996-03-16 1997-09-18 Deutsche Telekom Ag Verfahren und Anordnung zum Nachweis des Zeitpunktes der Durchführung eines kryptographischen Prozesses
US6801876B2 (en) * 2000-12-08 2004-10-05 Caterpillar Inc Method and apparatus of managing time for a processing system
US7023816B2 (en) * 2000-12-13 2006-04-04 Safenet, Inc. Method and system for time synchronization
US6842628B1 (en) * 2001-08-31 2005-01-11 Palmone, Inc. Method and system for event notification for wireless PDA devices
US7221686B1 (en) * 2001-11-30 2007-05-22 Meshnetworks, Inc. System and method for computing the signal propagation time and the clock correction for mobile stations in a wireless network
US7146504B2 (en) * 2002-06-13 2006-12-05 Microsoft Corporation Secure clock on computing device such as may be required in connection with a trust-based system
JP3984511B2 (ja) * 2002-06-27 2007-10-03 アマノ株式会社 時刻配信サーバ情報収集並びに提供システム
JP2004038378A (ja) * 2002-07-01 2004-02-05 Seiko Precision Inc タイムスタンプ証明書の発行システム及びそのシステムプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002116694A (ja) * 2000-10-04 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> 時刻署名装置、その署名方法、時刻署名システム
JP2004157739A (ja) * 2002-11-06 2004-06-03 Canon Inc 記録装置、通信装置およびそのデータ転送方法

Also Published As

Publication number Publication date
DE112005003457T5 (de) 2008-03-06
WO2006092833A1 (ja) 2006-09-08
US20080022116A1 (en) 2008-01-24

Similar Documents

Publication Publication Date Title
JP2006236251A (ja) タイムスタンプ装置、時刻校正方法および時刻校正プログラム
JP2006236252A (ja) セキュリティ装置、時刻校正装置、タイムスタンプ装置、電源供給制御方法および電源供給制御プログラム
JP6166397B2 (ja) セキュアな信頼された時刻技法のための方法および装置
M'Raihi et al. Totp: Time-based one-time password algorithm
US9654297B2 (en) Systems, methods and apparatuses for secure time management
US7231044B2 (en) Method and apparatus for real-time digital certification of electronic files and transactions using entropy factors
KR101501418B1 (ko) 무선 장치에 대한 안전 시간 기능
JP4612040B2 (ja) タイムスタンプ装置、時刻校正方法および時刻校正プログラム
JP2013165494A5 (ja)
JPWO2006092833A1 (ja) タイムスタンプ装置、時刻校正方法および時刻校正プログラム
CN101133401A (zh) 时间戳装置、时刻校正方法、以及时刻校正程序
JP5039931B2 (ja) 情報処理装置
JP2006304193A (ja) 時刻及び位置認証装置、方法及びプログラム
KR20030097671A (ko) 전자 투표 모듈 및 전자 투표 방법
JP3646055B2 (ja) 時刻署名装置、その署名方法、時刻署名システム
JP6647259B2 (ja) 証明書管理装置
CN101111813A (zh) 时间戳装置、时刻校正方法、以及时刻校正程序
JP4762178B2 (ja) 時刻認証システム、時刻認証装置、およびプログラム
US20190068384A1 (en) Authentication system of synchronizing real-time multi-dimensions timestamp issued by a multi-dimensions timestamp device and a method thereof
CN106936581A (zh) 以数字时间戳装置发出实时同步的时间戳的验证系统及方法
JP2009194443A (ja) 署名システム及び方法、ならびに、コンピュータプログラム
WO2024094629A1 (en) Method and mobile device for providing a time reading
JP4701965B2 (ja) パスワード発生装置及びプログラム
JP2004260666A (ja) タイムスタンプ証明書生成方法とその装置及びそのプログラム
JP2016127605A (ja) デジタルタイムスタンプ装置が作成するリアルタイムのタイムスタンプを検証するシステム及び方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100817

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101214