CN1993926A - 终端装置 - Google Patents

终端装置 Download PDF

Info

Publication number
CN1993926A
CN1993926A CN200480043620.8A CN200480043620A CN1993926A CN 1993926 A CN1993926 A CN 1993926A CN 200480043620 A CN200480043620 A CN 200480043620A CN 1993926 A CN1993926 A CN 1993926A
Authority
CN
China
Prior art keywords
condition
mentioned
utilizing
electronic identification
terminal installation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200480043620.8A
Other languages
English (en)
Inventor
米田健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN1993926A publication Critical patent/CN1993926A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

当应用程序利用用户证明书时,减少可以利用的证明书的候补数量,减轻利用者选择证明书的负担。信息终端(1)经过网络(3)进行与服务器(4)的通信。在信息终端(1)上可以装卸卡(2)。卡(2)保持用户证明书和秘密键,具有由秘密键产生的密码处理功能。信息终端(1)备有显示单元(110)、输入单元(120)、存储单元(130)、控制单元(140)、通信单元(150)和卡单元(160)。控制单元(140)管理经过卡单元(160)从卡(2)取得的用户证明书和用户证明书的利用条件,具有选择可以利用的用户证明书的功能。将选出的用户证明书用于信息终端(1)和服务器(4)之间的密码通信。

Description

终端装置
技术领域
本发明涉及终端装置、认证装置、密码通信方法和证明书提供方法。
背景技术
利用因特网的网上购物已经越来越普及。在网上购物中,通过浏览器和服务器经过因特网进行通信实现商品的购入处理。在网上购物中,防止服务器的假冒和通信数据的偷听、窜改是必须的必要条件。作为满足该必要条件的技术,正在广泛地利用在非专利文献1(Alan O.Freier,其它2名,“ThE SSL Protocol Version 3.0”,[online],1996年11月18日,Netscape Communications,[2004年8月2日检索],因特网<URL://wp.netscape.com/eng/ss13/draft302.txt>)中记载的密码通信方式SSL(Secure Socket Layer(保密插口层))。
利用SSL的网上购物中,大多通过输入用户名和密码实现用户认证。这时,为了防止假冒,需要选择难以推测的密码。但是,很多用户倾向于选择容易推测的密码。因此,在用户认证中利用数字署名的需要正在增高中。将由数字署名进行的用户认证功能组合进SSL中,只要没有偷走用于生成数字署名的秘密键,就难以假冒。将用于数字署名的秘密键和验证数字署名的证明书存储在IC(IntegratedCircuit(集成电路))卡、USB(Universal Serial Bus(通用串行总线))令牌和UIM(User Identity Module(用户识别模块))等的备有防止秘密键泄漏的构造的器件中。以后,保持秘密键、与秘密键对应的证明书(以后,称为用户证明书),将用于用户认证的器件称为认证器件。今后预想认证器件持有多个秘密键和用户证明书。这是因为当对每个不同地点利用的秘密键·证明书不同时,将它们各个包含在单一的认证器件中的便利性比包含在各个认证器件中高的缘故。
发明内容
在SSL中,SSL服务器向SSL顾客发送用户证明书的发送要求(Certificate Request(证明书要求))。这时,在证明书的发送要求中能够指定用户证明书的类型(公开算法类别等)和用户证明书的证明书发行局名的信息。SSL顾客,当保持多个用户证明书时,探寻与发送的证明书发送要求的证明书类型和证明书发行局名符合的用户证明书。如果,当多个用户证明书符合条件时,需要由利用者选择利用的证明书。又,随着存储在认证器件中秘密键·用户证明书的数量增加,可以利用的用户证明书的候补数量增加。结果,从候补中选择适当的证明书的利用者的负担增大。
本发明的目的是当应用程序利用用户证明书时,减少可以利用的证明书的候补数量,减轻利用者选择证明书的负担。
本发明的终端装置的特征是:备有,
认证装置连接单元,对存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置进行连接;
利用条件接收单元,从上述认证装置连接单元连接的认证装置接收利用条件;
利用条件存储单元,存储上述利用条件接收单元接收到的利用条件;
证明书选择单元,基于存储在上述利用条件存储单元中的利用条件选择电子证明书;
证明书接收单元,从上述认证装置连接单元连接的认证装置接收上述证明书选择单元选出的电子证明书;和
通信单元,利用上述证明书接收单元接收到的电子证明书进行密码通信。
上述终端装置的特征是:进一步备有,
输出单元,输出唯一地识别上述证明书选择单元选出的电子证明书的识别信息;和
输入单元,由用户选择上述输出单元输出的识别信息,
上述证明书接收单元,从上述认证装置连接单元连接的认证装置接收电子证明书,所述电子证明书对应于由用户用上述输入单元选择的识别信息。
上述证明书选择单元的特征是:
比较存储在上述利用条件存储单元中的利用条件和关于上述通信单元的密码通信目的地的信息,基于该比较结果选择电子证明书。
上述证明书选择单元的特征是:
至少用密码通信目的地的主机名作为关于上述通信单元的密码通信目的地的信息。
上述终端装置的特征是:进一步备有,
控制单元,执行对上述通信单元进行的密码通信进行利用的程序,
上述证明书选择单元,比较存储在上述利用条件存储单元中的利用条件和关于上述控制单元执行的程序的信息,基于该比较结果选择电子证明书。
上述证明书选择单元的特征是:
至少使用程序的名称作为关于上述控制单元实施的程序的信息。
上述认证装置连接单元的特征是:
同时连接多个认证装置。
上述终端装置的特征是:
上述认证装置连接单元,同时连接存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置和存储1个以上的电子证明书但是不存储利用条件的认证装置;
上述利用条件接收单元,不从未存储利用条件的认证装置接收利用条件;
上述利用条件存储单元,当上述利用条件接收单元没有接收利用条件时,存储预先决定的利用条件。
上述终端装置的特征是:进一步备有,
利用条件取得单元,从密码通信目的地取得上述通信单元在密码通信中使用的电子证明书的利用条件,
上述利用条件存储单元,除了上述利用条件接收单元接收的利用条件外,还存储上述利用条件取得单元取得的利用条件。
上述利用条件取得单元的特征是:
上述利用条件取得单元,至少取得发行上述通信单元在密码通信中使用的电子证明书的证明书发行局的名称,作为利用条件。
另外,本发明的认证装置的特征是:备有,
终端装置连接单元,对进行利用了电子证明书的密码通信的终端装置进行连接;
证明书存储单元,存储1个以上的电子证明书;
利用条件存储单元,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储;
利用条件发送单元,将存储在上述利用条件存储单元中的利用条件发送到上述终端装置连接单元连接的终端装置;和
证明书发送单元,将存储在上述证明书存储单元中的电子证明书发送到上述终端装置连接单元连接的终端装置。
上述利用条件存储单元的特征是:
上述利用条件存储单元,使用关于上述终端装置连接单元连接的终端装置的密码通信目的地的信息,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储。
上述利用条件存储单元的特征是:
上述利用条件存储单元,至少使用密码通信目的地的主机名作为关于上述终端装置连接单元连接的终端装置的密码通信目的地的信息。
上述利用条件存储单元的特征是:
上述利用条件存储单元,使用关于上述终端装置连接单元连接的终端装置实施的程序的信息,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储。
上述利用条件存储单元的特征是:
至少用程序的名称作为关于上述终端装置连接单元连接的终端装置实施的程序的信息。
又,本发明的密码通信方法的特征是:
用进行利用电子证明书的密码通信的终端装置,
上述终端装置,
对存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置进行连接;
从上述认证装置接收利用条件;
存储接收的利用条件;
基于存储的利用条件选择电子证明书;
从上述认证装置接收选出的电子证明书;
利用接收的电子证明书进行密码通信。
上述的密码通信方法的特征是:进一步,
上述终端装置,
输出唯一地识别选出的电子证明书的识别信息;
由用户选择所输出的识别信息;
从上述认证装置接收与由用户选出的识别信息对应的电子证明书。
又,本发明的证明书提供方法的特征是:
用存储电子证明书的认证装置,
上述认证装置,
与进行利用了电子证明书的密码通信的终端装置连接;
存储1个以上的电子证明书;
对限制存储的各个电子证明书的利用的利用条件进行存储;
将存储的利用条件发送到上述终端装置;
将存储的电子证明书发送到上述终端装置。
根据本发明,当应用程序利用用户证明书时,能够减少可以利用的证明书的候补数量,减轻利用者选择证明书的负担。
附图说明
图1是表示涉及实施方式1的密码通信系统的构成的方框图。
图2是涉及实施方式1的信息终端和安装在信息终端中的卡的例子。
图3是表示涉及实施方式1的信息终端的构成的方框图。
图4是表示涉及实施方式1的信息终端的存储单元的构成的概念图。
图5是表示涉及实施方式1的卡的构成的方框图。
图6是表示涉及实施方式1的卡的存储单元的构成的概念图。
图7是涉及实施方式1的用户证明书利用条件的例子。
图8是涉及实施方式1的用户证明书利用条件的设定值的例子。
图9是表示涉及实施方式1的卡、信息终端和服务器进行的处理的顺序图。
图10是表示涉及实施方式1的卡进行的处理的流程图。
图11是表示涉及实施方式1的信息终端进行的处理的流程图。
图12是表示涉及实施方式1的服务器进行的处理的流程图。
图13是表示涉及实施方式1的信息终端进行的用户证明书利用条件项目的现状值取得处理的流程图。
图14是表示涉及实施方式1的信息终端进行的用户证明书选择处理的流程图。
图15是涉及实施方式1的信息终端和从信息终端取出的卡的例子。
图16是表示涉及实施方式1的信息终端在取出卡时所进行的处理的流程图。
图17是涉及实施方式2的信息终端和安装在信息终端中的卡的例子。
图18是表示涉及实施方式2的密码通信系统的一部分构成的方框图。
图19是表示涉及实施方式2的信息终端的构成的方框图。
图20是表示涉及实施方式2的信息终端的存储单元的构成的概念图。
图21是表示涉及实施方式2的信息终端进行的处理的流程图。
图22是从第1卡发送到涉及实施方式2的信息终端的信息的例子。
图23是涉及实施方式2的用户证明书利用条件清单的例子(从第1卡取得信息后)。
图24是从第2卡发送到涉及实施方式2的信息终端的信息的例子。
图25是涉及实施方式2的用户证明书利用条件清单的例子(从第2卡取得信息后)。
图26是涉及实施方式3的信息终端和安装在信息终端中的卡的例子。
图27是涉及实施方式4的用户证明书利用条件清单的例子(从2张卡取得信息后)。
图28是涉及实施方式4的用户证明书利用条件清单的例子(从服务器取得信息后)。
标号说明
1-信息终端,2-卡,3-网络,4-服务器,5-第1卡,6-第2卡,7-外部卡,8-内置UIM,110-显示单元,120-输入单元,130-存储单元,131-输入服务,132-通信服务,133-卡控制服务,134-用户证明书管理服务,135-用户证明书利用条件清单,140-控制单元,150-通信单元,160-卡单元,210-控制单元,220-I/O单元,230-存储单元,231-卡ID,232-用户证明书群,233-秘密键群,234-用户证明书利用条件
具体实施方式
下面,我们根据附图说明本发明的实施方式。此外,在下述的实施方式1到4中,作为与各实施方式有关的认证装置(认证器件)用IC卡、存储卡、UIM等的卡为例进行说明,但是也可以适用于USB令牌等的其它的认证器件。
又,在下述的实施方式1到4中,作为与各实施方式有关的终端装置虽然用便携式电话等的信息终端为例进行说明,但是也可以适用于PDA(Personal Digital Assistant(个人数字助理))、个人计算机等的其它的信息终端。
实施方式1
图1是表示涉及本实施方式的密码通信系统的构成的方框图。
信息终端1经过网络3与服务器4进行通信。在信息终端1上能够装卸卡2。这里卡2是认证器件的一个例子。信息终端1备有显示单元110(输出单元)、输入单元120、存储单元130(利用条件存储单元)、控制单元140(包含证明书选择单元)、通信单元150、和卡单元160(由认证装置连接单元、利用条件接收单元和证明书接收单元构成)。在本实施方式中,信息终端,如图2所示,例如是便携式电话,但是不限定于此。
图3是表示信息终端1的构成的方框图。
控制单元140装载程序进行信息终端1内的各单元的控制。另外,具有管理用户证明书和用户证明书的利用条件,限定可以利用的用户证明书的功能。如图4那样,在存储单元130中,存储着进行利用者的输入处理的输入服务131、进行通信处理的通信服务132、进行卡2的控制的卡控制服务133,选择用户证明书的用户证明书管理服务134、保持从卡2接受的用户证明书的利用条件的用户证明书利用条件234等。由控制单元140读出并实施各服务的程序。输入单元120进行各种指示的输入和键盘输入、文字输入等。卡单元160实施安装在信息终端1中的IC卡和UIM等的卡2的控制。显示单元110进行输入信息和输出信息的显示。通信单元150进行无线或有线的通信处理。
网络3表示因特网等的网络。服务器4是Web服务器等,对经过网络3来自信息终端1的处理要求,实施处理,应答结果的装置。
卡2是保持IC卡和UIM等的,用户证明书和RSA(Rivest ShamirAdleman(里维斯特-沙米尔-阿德尔曼)等的公开键密码方式中的秘密键,具有基于秘密键的密码处理功能。
如图5那样,卡2包括:控制单元210、I/O单元220(由终端装置连接单元、利用条件发送单元和证明书发送单元构成)、存储单元230(由证明书存储单元和利用条件存储单元构成)。
在卡2中,控制单元210解释并实施发送给卡2的指令。I/O单元220进行与各种连接设备(在本实施方式中,信息终端1)的连接。在存储单元230中,如图6所示,除了唯一识别卡2的卡ID231、由1个以上的用户证明书构成的用户证明书群232、由与各用户证明书对应的秘密键构成的秘密键群233外,还存储着用户证明书利用条件234。
在图6中,包含着3个用户证明书和与各个用户证明书对应的秘密键,但是即便是不同的数量也可以适用于本实施方式。
图7表示用户证明书利用条件234的详细情况。
用户证明书利用条件234由唯一地识别包含在卡中的用户证明书的用户证明书ID、利用用户证明书时的条件的项目(在本实施方式中,为连接目的地主机名和使用应用程序名,但是不限于此)、对各项目所设定的值(以下,称为条件值)构成。在图7的例子中,用户证明书利用条件234如下所示。
在卡2中存在着具有用户证明书A、B、C的用户证明书ID的3个用户证明书。在连接目的地主机名为“www.xxx.com”,使用应用程序名为“Browser(浏览器)”的情况下,能够利用用户证明书A。在连接目的地主机名为“www.yyy.co.jp”,使用应用程序名为任意的名称的情况下,能够利用用户证明书B。在连接主机名未指定,使用应用程序名为“The Application1(应用程序1)”的情况下,能够利用用户证明书C。在应用程序中所谓连接主机名未指定是如将用户证明书(与用户证明书对应的秘密键)用于电子邮件的署名的情形那样,不存在连接目的地主机名的情形。作为在用户证明书利用条件234中使用的条件值,例如如图8所示,ANY意味着任意。又,同样,N/A意味着未指定。
下面,我们详细地说明如上所构成的本实施方式的信息终端1、卡2、网络3、服务器4的工作。此外,在本实施方式中,记述了SSL(Secure Socket Layer(保密插口层))的顾客认证中的用户证明书的选择处理,但是可以适用于进行从保持的多个用户证明书选择1个利用的用户证明书的处理的所有的密码处理系统。
图9是表示包含用户证明书的选择处理的密码认证通信的一连串工作的消息顺序图。图10、图11、图12是顺序地表示包含卡2、信息终端1、服务器4的用户证明书的选择处理的密码认证通信的一连串工作中的处理流程的流程图。
当将卡2安装在信息终端1中时(步骤S1001和步骤S1101),信息终端1确立与卡2的通信路径,要求卡2发送用户证明书利用条件234(步骤S1102)。卡2将用户证明书利用条件234发送到信息终端1(步骤S1002)。当信息终端1接受用户证明书利用条件234后,将用户证明书利用条件234保存在存储单元130中(步骤S1103)。
信息终端1确立与服务器4的通信路径。于是服务器4将用户证明书发送到信息终端1(步骤S1201)。如果信息终端1验证接收到的用户证明书(步骤S1104),验证通过(能够确认用户证明书的正当性),则生成对话期间键(步骤S1105)。其次,用在服务器证明书中包含的公开键对对话期间键进行加密(步骤S1106),将只有服务器4能够解码的加密后的对话期间键发送到服务器4(步骤S1107)。服务器4,当接收加密后的对话期间键后,用服务器的秘密键进行解码(步骤S1202)。在该时刻信息终端1和服务器4安全地共有对话期间键。
接着,服务器4进行信息终端1的认证。首先,服务器4将用户证明书发送要求发送到信息终端1(步骤S1203)。接收到用户证明书发送要求的信息终端1,为了从当前保持的4个用户证明书中选择1个发送的证明书,在从此以后要进行的密码通信中,取得用户证明书利用条件234的条件项目、与“连接目的地主机名”和“利用应用程序名”对应的值(以下,称为现状值)(步骤S1108)。
图13是表示取得信息终端1进行的用户证明书利用条件234的现状值的处理的流程图。
现在,设浏览器要访问URL“https://www.xxx.com/index.htm”。设用户证明书利用条件234具有图7那样的内容时,浏览器特定“连接目的地主机名”为“www.xxx.com”(步骤S1301),其次特定“利用应用程序”为“Browser”(步骤S1302)。
接着,信息终端1的控制单元140从存储单元130读出用户证明书管理服务134,实施下面所示的用户证明书选择处理(步骤S1109)。
图14是表示信息终端1进行的用户证明书选择处理的流程图。
控制单元140,从用户证明书利用条件234特定“连接目的地主机名”为“www.xxx.com”,“利用应用程序”为“Browser”的用户证明书,并输出该用户证明书ID。详细地说,如图14所示,控制单元140检索在用户证明书利用条件234中是否存在与连接目的地主机名的现状值一致的证明书(步骤S1401)。如果当多个证明书一致时,则对各证明书,判断利用应用程序名的现状值是否与条件匹配(步骤S1402)。
这时如果当多个用户证明书匹配时(步骤S1403),则显示单元110向利用者提示匹配的用户证明书的主题名(持有主机名)等(步骤S1404),由输入单元120进行选择(步骤S1405)。然后选择其结果的一个用户证明书(步骤S1406)。在图7的例子中选择用户证明书A。
下面,信息终端1要求卡2发送用户证明书A(步骤S1110)。卡2将用户证明书A发送到信息终端1(步骤S1003)。信息终端1接受用户证明书A后,将该用户证明书发送到服务器4(步骤S1111)。另外,信息终端1要求卡2发送署名(步骤S1112)。卡2用与用户证明书A对应的秘密键生成署名(步骤S1004),将该署名发送到信息终端1(步骤S1005)。信息终端1将从卡2接受的署名发送到服务器4(步骤S1113)。在服务器4中,验证发送的用户证明书(步骤S1204)。如果验证通过(能够确认用户证明书的正当性),则使用在用户证明书中包含的公开键对发送的署名进行验证(步骤S1205)。如果署名的验证通过(能够确认署名的正当性),则服务器4能够认证通信对方即信息终端1是正确的通信对方。此后,信息终端1和服务器4使用相互安全地共有的对话期间键,进行防止了偷听、窜改,假冒的密码认证通信(步骤S1114和步骤S1206)。
当从信息终端1取出卡2时,删除保持在信息终端1的存储单元130中的用户证明书利用条件234。图15是从信息终端1取出卡2的示意图,图16是表示当从信息终端1取出卡2时的处理的流程图。以下使用图16表示当从信息终端1取出卡2时的处理的流程。
当从信息终端1取出卡2时从卡单元160向控制单元140通知取出卡2(步骤S1601)。于是将用户证明书管理服务134的程序装载在控制单元140中,删除保持在存储单元130中的用户证明书利用条件234。(步骤S1602)。
如以上那样在本实施方式中,在卡2中与用户证明书一起存储着用户证明书利用条件234,将这些信息保持在信息终端1的存储单元130中。而且,在信息终端1中取得用户证明书利用条件234的项目的现状值,通过选择项目的条件值与现状值匹配的用户证明书的手续,能够从多个用户证明书中自动地选出可以利用的用户证明书。结果能够减轻利用者判断并选出可以利用的用户证明书的负担。另外,当从信息终端1取出卡2时,因为删除了信息终端1的用户证明书利用条件234,所以此后当发生利用用户证明书的要求时,不需要卡单元160的处理,通过只调查存储单元130的用户证明书利用条件清单135就能够判断没有能够利用的证明书。
实施方式2
在本实施方式中,如图17那样,对信息终端1安装2张卡。各卡的构成与实施方式1的图5、图6所示的相同。在信息终端1的构成中,如图18、图19所示追加了第2卡单元161。又,为了与第2卡单元161区别,将实施方式1中的卡单元160称为第1卡单元160。
当安装了第1卡5、第2卡6时,需要将各张卡的用户证明书利用条件234存储在信息终端1中。在此,信息终端1,如图20那样,将包含多个用户证明书利用条件234的用户证明书利用条件清单135保持在存储单元130中。
图21是表示当安装了第1卡5、第2卡6时,将用户证明书利用条件234追加在用户证明书利用条件清单135中的处理流程的流程图。
当将第1卡5安装在信息终端1中后(步骤S2101),信息终端1确立与第1卡5的通信路径,要求第1卡5发送用户证明书利用条件234(步骤S2102)。第1卡5结合用户证明书利用条件234和卡ID231并将其发送到信息终端1。在图22中表示结合第1卡5发送的用户证明书利用条件234和卡ID231的信息。信息终端1,当取得用户证明书利用条件234和卡ID231后,如图23那样将它们作为一个要素生成用户证明书利用条件清单135(步骤S2103)。
当将第2卡6安装在信息终端1中后(步骤S2104),信息终端1确立与第2卡6的通信路径,要求第2卡6发送用户证明书利用条件234(步骤S2105)。第2卡6结合用户证明书利用条件234和卡ID231并将其发送到信息终端1。在图24中表示结合第2卡6发送的用户证明书利用条件234和卡ID的信息。信息终端1,当取得用户证明书利用条件234和卡ID231后,如图25那样将它们作为一个要素更新用户证明书利用条件清单135(步骤S2106)。
在信息终端1保持图25所示的用户证明书利用条件清单135的状态中,当需要选择用户证明书时,与实施方式1同样,取得用户证明书利用条件234的项目的现状值,选择条件值与该现状值匹配的用户证明书。当存在持有适合于现状值的用户证明书利用条件234的用户证明书时,输出该用户证明书的ID。例如,当通过浏览器访问“https://www.zzz.org/index.html”,发生SLL顾客认证时,用户证明书利用条件234的项目“连接目的地主机名”的现状值成为“www.zzz.org”,“利用应用程序名”成为“Browser”。而且,当从用户证明书利用条件清单135检索持有与这些现状值匹配的条件值的用户证明书时,匹配“用户证明书D”并输出。当信息终端1取得用户证明书D时,用户证明书管理服务134从用户证明书利用条件清单135特定保持用户证明书D的卡的ID为91485,确立与卡ID“91485”的卡,即第2卡6的通信路径,证明书ID取得用户证明书D的证明书。然后,将其返回到应用程序。
当取出卡时,与实施方式1同样地信息终端1取得取出的卡的卡ID231,删除与该卡ID231对应的用户证明书利用条件清单135内的用户证明书利用条件234。
如以上那样地在本实施方式中,即便将2张卡安装在信息终端1时,信息终端1也具有能够保持存储在各卡中的用户证明书利用条件234的用户证明书利用条件清单135。而且,因为信息终端1能够从用户证明书利用条件清单135,得到用户证明书利用条件234的项目的现状值适合于条件值的用户证明书ID,所以能够减轻利用者判断并选出可以利用的用户证明书的负担。
在本实施方式中,记载了能够同时安装2张卡的信息终端1的例子。但是即便在能够同时安装N张(N为2以上的整数)卡的信息终端1的情形中,包含在用户证明书利用条件清单135中的用户证明书利用条件234的要素也只不过为N个,用户证明书的选择顺序也是同样的。
实施方式3
在本实施方式中,记述即便在信息终端1能够安装2张卡,其中的1张卡(作为旧型卡)不保存用户证明书利用条件234的情形中,旧型卡的用户证明书也包含在选择候补中的结构。
在本实施方式中,如图26那样,作为旧型卡的例子使用内置在便携式电话中的UIM(内置UIM8)。另外,作为保持用户证明书利用条件234的卡的例子,使用可以安装在存储卡接口中的IC卡(外部卡7)。
信息终端1,在从外部卡7取得用户证明书利用条件234后,对于内置UIM8委托取得用户证明书利用条件234。内置UIM8因为不能够解释从信息终端1接受的证明书利用条件取得要求所以返回错误。信息终端1判断为内置UIM8是不保持用户证明书利用条件234的旧型卡,委托只将卡ID231和保持的用户证明书ID发送给内置UIM8。于是内置UIM8返回卡ID“69874”和保持的用户证明书ID“用户证明书E”。信息终端1根据该信息,如图27那样,将不能够得到的“连接目的地主机名”、“使用应用程序名”的条件值作为“DEFAULT(缺省)”。“DEFAULT”与N/A以外的所有的现状值进行匹配。另外,与现状值“DEFAULT”匹配的只是“DEFAULT”。
如以上那样,在本实施方式中,通过将“DEFAULT”追加在用户证明书利用条件234的项目的条件值中,在事前知道利用与用户证明书利用条件234不对应的卡的用户证明书的应用程序中,能够在用户证明书利用条件234的项目的现状值中设定“DEFAULT”,从选择对象除去保持用户证明书利用条件234的卡的用户证明书。相反,即便安装着保持用户证明书利用条件234的卡,也能够防止从选择候补中除去不保持用户证明书利用条件234的卡的用户证明书。
实施方式4
在本实施方式中可以在由信息终端1保持的用户证明书利用条件清单135中追加从服务器4发送的条件项目和条件值。
设信息终端1保持着图27那样的用户证明书利用条件清单135。首先,服务器4将服务器4信任的证明书发行局(CA,CertificateAuthority)发行的CA证明书的持有主机名为A或B一事通知给正在信息终端1中工作的应用程序。于是,如图28那样,该应用程序,与条件值“A,B”(A或B)一起将项目“服务器4信任的CA证明书的持有主机名”追加在用户证明书利用条件清单135中。
应用程序,在特定了与从卡2取得的用户证明书利用条件234匹配的用户证明书后,判定该匹配的用户证明书的上位CA证明书是A还是B,将通过该判定的用户证明书作为利用的用户证明书。然后,在特定利用的用户证明书后,信息终端1从用户证明书利用条件清单135删除从服务器4发送的条件项目和条件值。
如以上那样,在本实施方式中,因为从与根据卡所取得的用户证明书利用条件234匹配的用户证明书中,还选择适合于从服务器4发送的条件的用户证明书,所以与其它实施方式比较进一步限定可以利用的用户证明书,减轻利用者判断利用的用户证明书的负担。
在上述各实施方式中,信息终端1、服务器4能够用计算机实现。
虽然没有图示,但是信息终端1、服务器4备有实施程序的CPU(Central Processing Unit(中央处理器))。
例如,CPU,经过总线连接ROM(Read Only Memory(只读存储器))、RAM(Random Access Memory(随机存取存储器))、通信交换器、显示装置、K/B(键盘)、鼠标、FDD(Flexible Disk Drive(软盘驱动器))、CDD(光盘驱动器)、磁盘装置、光盘装置、打印装置、扫描装置等。
RAM是易失性存储器的一个例子。ROM、FDD、CDD、磁盘装置、光盘装置是非易失性存储器的一个例子。它们都是存储装置或存储单元的一个例子。
将上述各实施方式的信息终端1、服务器4处理的数据和信息保存在存储装置或存储单元中,由信息终端1、服务器4的各单元进行记录,读出。
又,通信交换器,例如,与LAN、因特网或ISDN等的WAN(广域网络)连接。
在磁盘装置中,存储着操作系统(OS)、视窗系统、程序群、文件群(数据库)。
程序群由CPU、OS、视窗系统实施。
上述信息终端1、服务器4的各单元,其一部分或全部也可以由可以在计算机中工作的程序构成。或者,也可以用存储在ROM中的固件实现。或者,也可以用软件、硬件、软件和硬件和固件的组合进行实施。
在上述程序群中,存储着由CPU实施在实施方式的说明中作为“XX单元”说明的处理的程序。这些程序,例如,由C语言、HTML、SGML和XML等的计算机语言作成。
另外,将上述程序存储在磁盘装置、FD(Flexible Disk(软盘))、光盘、CD(光盘)、MD(微型盘)、DVD(Digital Versatile Disk(数字通用光盘))等的其它记录媒体中,由CPU读出并实施。
这样,在上述实施方式1中说明了的密码系统的特征是:
由信息终端和可以安装在该信息终端中的,具有用户证明书、秘密键和由秘密键产生的密码功能的卡构成,卡保持存储在卡中的用户证明书的利用条件,信息终端具有检测卡的安装的部件,信息终端具有当检测卡安装时从该卡读入用户证明书利用条件保存并存储在信息终端中的部件,信息终端具有读出用户证明书利用条件的项目的现状值的部件,具有判断读出的现状值和条件值匹配的部件,具有特定匹配后的用户证明书的ID的部件,具有表示与用户证明书利用条件匹配的多个证明书的ID的部件,具有从显示的ID中选择一个ID的部件,具有从卡取得与选出的ID对应的用户证明书的部件,具有当拔出卡时删除保存在信息终端中的用户证明书利用条件的部件。
另外,上述密码系统的特征是将连接目的地系统的信息记载在卡内所保持的用户证明书利用条件中。
另外,上述密码系统的特征是将主机名作为连接目的地系统的信息记载在卡内所保持的用户证明书利用条件中。
另外,上述密码系统的特征是将利用的应用程序的信息记载在卡内所保持的用户证明书利用条件中。
另外,上述密码系统的特征是将应用程序名作为利用的应用程序的信息记载在卡内所保持的用户证明书利用条件中。
又,在上述实施方式2中说明了的密码系统的特征是:
由可以安装多张卡的信息终端和可以安装在该信息终端中的,具有用户证明书、秘密键和由秘密键产生的密码功能的多张卡构成,各卡保持存储在卡中的用户证明书的利用条件,信息终端具有检测卡的安装的部件,信息终端具有当检测卡安装时从安装着的卡读入用户证明书利用条件保存并存储在信息终端中的部件,当从多张卡读入用户证明书利用条件时,具有将这些多个用户证明书利用条件全部保存并存储在信息终端中的部件,信息终端具有读出用户证明书利用条件的项目的现状值的部件,具有判断读出的现状值和条件值匹配的部件,具有特定匹配后的用户证明书的ID的部件,具有显示与用户证明书利用条件匹配的多个证明书的ID的部件,具有从显示的ID中选择一个ID的部件,具有从卡取得与选出的ID对应的用户证明书的部件,具有当拔出卡时从保存在信息终端中的用户证明书利用条件中删除与拔出的卡对应的用户证明书利用条件的部件。
又,在上述实施方式3和实施方式4中说明了的密码系统的特征是:
由可以安装多张卡的信息终端和可以安装在该信息终端中的,具有用户证明书、秘密键和由秘密键产生的密码功能的多张卡构成,该多张卡由保持存储在卡中的用户证明书的利用条件的卡和不保持的卡构成,信息终端具有检测卡的安装的部件,信息终端具有当检测卡安装时安装着的卡保持用户证明书利用条件的情况下,读入该条件保持并存储在信息终端中的部件,具有当不保持用户证明书利用条件的情况下,生成设定与所有的用户证明书利用条件的现状值匹配的条件值DEFAULT的用户证明书利用条件,存储在信息终端中的部件,信息终端具有读出用户证明书利用条件的项目的现状值的部件,具有判断读出的现状值和条件值匹配的部件,具有特定匹配的用户证明书的ID的部件,具有显示与用户证明书利用条件匹配的多个证明书的ID的部件,具有从显示的ID中选择一个ID的部件,具有从卡取得与选出的ID对应的用户证明书的部件,具有当拔出卡时从保存在信息终端中的用户证明书利用条件中删除与拔出的卡对应的用户证明书利用条件的部件。
另外,上述密码系统的特征是具有在保持在信息终端中的用户证明书利用条件中追加从服务器发送的用户证明书利用条件的部件。
另外,上述密码系统的特征是将服务器信任的证明书发行局的名称记载在从服务器发送的用户证明书利用条件中。

Claims (18)

1.一种终端装置,进行利用了电子证明书的密码通信,所述终端装置的特征在于包括:
认证装置连接单元,对存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置进行连接;
利用条件接收单元,从上述认证装置连接单元连接的认证装置接收利用条件;
利用条件存储单元,存储上述利用条件接收单元接收到的利用条件;
证明书选择单元,基于存储在上述利用条件存储单元中的利用条件选择电子证明书;
证明书接收单元,从上述认证装置连接单元连接的认证装置接收上述证明书选择单元选出的电子证明书;和
通信单元,利用上述证明书接收单元接收到的电子证明书进行密码通信。
2.根据权利要求1所述的终端装置,其特征在于还包括:
输出单元,输出唯一地识别上述证明书选择单元选出的电子证明书的识别信息;和
输入单元,由用户选择上述输出单元输出的识别信息,
上述证明书接收单元,从上述认证装置连接单元连接的认证装置接收电子证明书,所述电子证明书对应于由用户用上述输入单元选择的识别信息。
3.根据权利要求2所述的终端装置,其特征在于:
上述证明书选择单元,比较存储在上述利用条件存储单元中的利用条件和关于上述通信单元的密码通信目的地的信息,基于该比较结果选择电子证明书。
4.根据权利要求3所述的终端装置,其特征在于:
上述证明书选择单元,至少使用密码通信目的地的主机名作为关于上述通信单元的密码通信目的地的信息。
5.根据权利要求3所述的终端装置,其特征在于还包括:
控制单元,执行对上述通信单元进行的密码通信进行利用的程序,
上述证明书选择单元,比较存储在上述利用条件存储单元中的利用条件和关于上述控制单元执行的程序的信息,基于该比较结果选择电子证明书。
6.根据权利要求5所述的终端装置,其特征在于:
上述证明书选择单元,至少使用程序的名称作为关于上述控制单元实施的程序的信息。
7.根据权利要求2所述的终端装置,其特征在于:
上述认证装置连接单元,同时连接多个认证装置。
8.根据权利要求7所述的终端装置,其特征在于:
上述认证装置连接单元,同时连接存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置和存储1个以上的电子证明书但是不存储利用条件的认证装置;
上述利用条件接收单元,不从未存储利用条件的认证装置接收利用条件;
上述利用条件存储单元,当上述利用条件接收单元没有接收利用条件时,存储预先决定的利用条件。
9.根据权利要求2所述的终端装置,其特征在于还包括:
利用条件取得单元,从密码通信目的地取得上述通信单元在密码通信中使用的电子证明书的利用条件,
上述利用条件存储单元,除了上述利用条件接收单元接收的利用条件外,还存储上述利用条件取得单元取得的利用条件。
10.根据权利要求9所述的终端装置,其特征在于:
上述利用条件取得单元,至少取得发行上述通信单元在密码通信中使用的电子证明书的证明书发行局的名称,作为利用条件。
11.一种认证装置,存储电子证明书,所述认证装置的特征在于包括:
终端装置连接单元,对进行利用了电子证明书的密码通信的终端装置进行连接;
证明书存储单元,存储1个以上的电子证明书;
利用条件存储单元,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储;
利用条件发送单元,将存储在上述利用条件存储单元中的利用条件发送到上述终端装置连接单元连接的终端装置;和
证明书发送单元,将存储在上述证明书存储单元中的电子证明书发送到上述终端装置连接单元连接的终端装置。
12.根据权利要求11所述的认证装置,其特征在于:
上述利用条件存储单元,使用关于上述终端装置连接单元连接的终端装置的密码通信目的地的信息,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储。
13.根据权利要求12所述的认证装置,其特征在于:
上述利用条件存储单元,至少使用密码通信目的地的主机名作为关于上述终端装置连接单元连接的终端装置的密码通信目的地的信息。
14.根据权利要求12所述的认证装置,其特征在于:
上述利用条件存储单元,使用关于上述终端装置连接单元连接的终端装置实施的程序的信息,对限制存储在上述证明书存储单元中的各个电子证明书的利用的利用条件进行存储。
15.根据权利要求14所述的认证装置,其特征在于:
上述利用条件存储单元,至少使用程序的名称作为关于上述终端装置连接单元连接的终端装置实施的程序的信息。
16.一种密码通信方法,使用进行利用电子证明书的密码通信的终端装置,所述密码通信方法的特征在于:
上述终端装置,
对存储1个以上的电子证明书和限制该各个电子证明书的利用的利用条件的认证装置进行连接;
从上述认证装置接收利用条件;
存储接收的利用条件;
基于存储的利用条件选择电子证明书;
从上述认证装置接收选出的电子证明书;
利用接收的电子证明书进行密码通信。
17.根据权利要求16所述的密码通信方法,其特征在于:
上述终端装置,
输出唯一地识别选出的电子证明书的识别信息;
由用户选择所输出的识别信息;
从上述认证装置接收与由用户选出的识别信息对应的电子证明书。
18.一种证明书提供方法,使用存储电子证明书的认证装置,所述证明书提供方法的特征在于:
上述认证装置,
与进行利用了电子证明书的密码通信的终端装置连接;
存储1个以上的电子证明书;
对限制存储的各个电子证明书的利用的利用条件进行存储;
将存储的利用条件发送到上述终端装置;
将存储的电子证明书发送到上述终端装置。
CN200480043620.8A 2004-08-20 2004-08-20 终端装置 Pending CN1993926A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2004/011963 WO2006018889A1 (ja) 2004-08-20 2004-08-20 端末装置

Publications (1)

Publication Number Publication Date
CN1993926A true CN1993926A (zh) 2007-07-04

Family

ID=35907286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200480043620.8A Pending CN1993926A (zh) 2004-08-20 2004-08-20 终端装置

Country Status (5)

Country Link
US (1) US20070300059A1 (zh)
EP (1) EP1780936B1 (zh)
JP (1) JP4611988B2 (zh)
CN (1) CN1993926A (zh)
WO (1) WO2006018889A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7356539B2 (en) * 2005-04-04 2008-04-08 Research In Motion Limited Policy proxy
US7747540B2 (en) * 2006-02-24 2010-06-29 Microsoft Corporation Account linking with privacy keys
EP1890270B1 (en) 2006-08-16 2012-06-13 Research In Motion Limited Hash of a certificate imported from a smart card
US8341411B2 (en) 2006-08-16 2012-12-25 Research In Motion Limited Enabling use of a certificate stored in a smart card
JP4763627B2 (ja) * 2007-01-31 2011-08-31 三菱電機株式会社 公開鍵証明書発行装置及び証明書要求装置
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
US8819792B2 (en) 2010-04-29 2014-08-26 Blackberry Limited Assignment and distribution of access credentials to mobile communication devices
JP5569201B2 (ja) * 2010-07-12 2014-08-13 株式会社リコー 画像処理装置、電子証明書設定方法及び電子証明書設定プログラム
CN102227106B (zh) * 2011-06-01 2014-04-30 飞天诚信科技股份有限公司 智能密钥设备与计算机进行通信的方法和系统
CN107786344B (zh) * 2017-10-30 2020-05-19 阿里巴巴集团控股有限公司 数字证书申请、使用的实现方法和装置
US10652030B1 (en) * 2018-03-05 2020-05-12 Amazon Technologies, Inc. Digital certificate filtering based on intrinsic and derived attributes
WO2023145027A1 (ja) * 2022-01-28 2023-08-03 富士通株式会社 検証支援方法、検証支援プログラム、および情報処理装置

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127741B2 (en) * 1998-11-03 2006-10-24 Tumbleweed Communications Corp. Method and system for e-mail message transmission
US6539003B1 (en) * 1997-10-20 2003-03-25 Viasat, Inc. Method for acquisition and synchronization of terminals in a satellite/wireless TDMA system
US6539093B1 (en) * 1998-12-31 2003-03-25 International Business Machines Corporation Key ring organizer for an electronic business using public key infrastructure
WO2000048108A1 (en) * 1999-02-12 2000-08-17 Mack Hicks System and method for providing certification-related and other services
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
JP2001211169A (ja) * 2000-01-26 2001-08-03 Akinobu Hatada 携帯型電子認証装置及び携帯型音声データ生成装置
JP2002247029A (ja) * 2000-02-02 2002-08-30 Sony Corp 認証装置、認証システムおよびその方法、処理装置、通信装置、通信制御装置、通信システムおよびその方法、情報記録方法およびその装置、情報復元方法およびその装置、その記録媒体
JP2001237820A (ja) * 2000-02-25 2001-08-31 Nec Corp 認証用証明書書き換えシステム
JP2002162981A (ja) * 2000-11-28 2002-06-07 Toshiba Corp 通信装置、認証・鍵交換方法及びデータ転送方法
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
JP2003085321A (ja) * 2001-09-11 2003-03-20 Sony Corp コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム
JP3987710B2 (ja) * 2001-10-30 2007-10-10 株式会社日立製作所 認定システムおよび認証方法
US20030084326A1 (en) * 2001-10-31 2003-05-01 Richard Paul Tarquini Method, node and computer readable medium for identifying data in a network exploit
JP2003308406A (ja) * 2002-04-17 2003-10-31 Nippon Telegr & Teleph Corp <Ntt> 電子的証明書管理装置、プログラム及び該プログラムを記録した記録媒体
US7900048B2 (en) * 2002-05-07 2011-03-01 Sony Ericsson Mobile Communications Ab Method for loading an application in a device, device and smart card therefor
AU2003224457A1 (en) * 2002-05-09 2003-11-11 Matsushita Electric Industrial Co., Ltd. Authentication communication system, authentication communication apparatus, and authentication communication method
KR100431210B1 (ko) * 2002-08-08 2004-05-12 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법
JP4039277B2 (ja) * 2003-03-06 2008-01-30 ソニー株式会社 無線通信システム、端末、その端末における処理方法並びにその方法を端末に実行させるためのプログラム
US7343159B2 (en) * 2003-03-06 2008-03-11 Sony Corporation Wireless communication system, terminal, message sending method, and program for allowing terminal to execute the method
US7320073B2 (en) * 2003-04-07 2008-01-15 Aol Llc Secure method for roaming keys and certificates
GB2400461B (en) * 2003-04-07 2006-05-31 Hewlett Packard Development Co Control of access to of commands to computing apparatus
CA2464514A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. Secured networks in a gaming system environment
EP1501239B8 (en) * 2003-07-25 2007-03-14 Ricoh Company, Ltd. Authentication system and method using individualized and non-individualized certificates
US20050076204A1 (en) * 2003-08-15 2005-04-07 Imcentric, Inc. Apparatuses for authenticating client devices with client certificate management
US7334077B2 (en) * 2003-10-17 2008-02-19 Renesas Technology America, Inc. Method and apparatus for smart memory pass-through communication
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7565529B2 (en) * 2004-03-04 2009-07-21 Directpointe, Inc. Secure authentication and network management system for wireless LAN applications
JP4575689B2 (ja) * 2004-03-18 2010-11-04 株式会社日立製作所 記憶システム及びコンピュータシステム
US20060010325A1 (en) * 2004-07-09 2006-01-12 Devon It, Inc. Security system for computer transactions
US7428754B2 (en) * 2004-08-17 2008-09-23 The Mitre Corporation System for secure computing using defense-in-depth architecture
US7509489B2 (en) * 2005-03-11 2009-03-24 Microsoft Corporation Format-agnostic system and method for issuing certificates
JP2007104044A (ja) * 2005-09-30 2007-04-19 Toshiba Corp 認証情報提供システムおよび方法、プログラム

Also Published As

Publication number Publication date
JP4611988B2 (ja) 2011-01-12
EP1780936B1 (en) 2013-05-15
EP1780936A4 (en) 2010-04-28
US20070300059A1 (en) 2007-12-27
JPWO2006018889A1 (ja) 2008-05-01
EP1780936A1 (en) 2007-05-02
WO2006018889A1 (ja) 2006-02-23

Similar Documents

Publication Publication Date Title
CN1163831C (zh) 将一管理区中的信息图像文件提供到另一管理区的方法
CN1275139C (zh) 链接信息制作设备和链接信息制作方法
CN1946124A (zh) 图像处理系统
CN1681238A (zh) 用于加密通信的密钥分配方法及系统
CN101052167A (zh) 一种通信号码自动更新系统及其实现方法
CN100341002C (zh) Ic卡、终端装置以及数据通信方法
CN1520123A (zh) 对地址询问的回答方法、程序、装置和地址通知方法、程序、装置
CN1893527A (zh) 图像数据处理装置
CN101038653A (zh) 验证系统
CN1581771A (zh) 验证系统、服务器和验证方法及程序
CN101065940A (zh) 中继装置、中继方法和程序
CN1479896A (zh) 内容发行系统、内容发行方法和客户机终端
CN1892639A (zh) 主题变换系统、便携通信设备、服务器装置和计算机程序
CN1756150A (zh) 信息管理仪器、信息管理方法和程序
CN1682513A (zh) 用于数字内容存取控制的系统
CN1416074A (zh) 认证系统及认证方法
CN1502186A (zh) 在计算机网络中有控制地分发应用程序代码和内容数据
CN1874404A (zh) 图像处理系统和图像处理装置
CN1852094A (zh) 网络业务应用账户的保护方法和系统
CN101030204A (zh) 在用户终端设备上生成用户界面的入口服务器和方法
CN1469274A (zh) 具有crl发行通知功能的认证基础结构系统
CN1940981A (zh) 电子标书的制作装置和方法、应用系统和方法
CN1922600A (zh) 用户认证系统以及使用该用户认证系统的数据提供系统
CN1993926A (zh) 终端装置
CN1476564A (zh) 核对处理装置、数据通信系统及数据通信方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20070704