JP2001044988A - Method and system for accessing to different signature engines in common and storage medium stored with access program to different signature engiens in common - Google Patents
Method and system for accessing to different signature engines in common and storage medium stored with access program to different signature engiens in commonInfo
- Publication number
- JP2001044988A JP2001044988A JP11221413A JP22141399A JP2001044988A JP 2001044988 A JP2001044988 A JP 2001044988A JP 11221413 A JP11221413 A JP 11221413A JP 22141399 A JP22141399 A JP 22141399A JP 2001044988 A JP2001044988 A JP 2001044988A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- key
- information
- engine
- signature engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、複数の異なる署名
エンジンに対する共通的なアクセス方法及びシステム及
び複数の異なる署名エンジンに対する共通的なアクセス
プログラムを格納した記憶媒体に係り、特に、平文また
は、平文のダイジェストに対して公開鍵暗号技術を用い
た電子署名を作成するための電子署名エンジンを有する
情報処理システムにおける、署名エンジンを用いた電子
署名の生成及び、秘密鍵/公開鍵の鍵対の生成を行う複
数の異なる署名エンジンに対する共通的なアクセス方法
及びシステム及び複数の異なる署名エンジンに対する共
通的なアクセスプログラムを格納した記憶媒体に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a common access method and system for a plurality of different signature engines and a storage medium storing a common access program for a plurality of different signature engines. Of an electronic signature using a signature engine and a key pair of a private key / public key in an information processing system having an electronic signature engine for creating an electronic signature using public key cryptography for the digest of The present invention relates to a common access method and system for a plurality of different signature engines, and a storage medium storing a common access program for a plurality of different signature engines.
【0002】[0002]
【従来の技術】最初に電子署名生成の流れと署名エンジ
ンについて説明する。公開鍵暗号方式を用いた電子署名
は、通常、図11に示すように、まず、署名したい対象
データをハッシュ関数に入れてハッシュデータに変換
し、このハッシュデータに対して秘密鍵を用いた署名生
成処理を行うことにより生成される。ハッシュ関数に
は、SHA−1やMD5などのアルゴリズムが、また、
電子署名アルゴリズムには、公開鍵暗号方式であるES
IGNやRSAなどがよく知られている。ここで、電子
署名に用いる秘密鍵は、署名者を識別するための情報と
して非常に重要な情報であるため、電子署名を利用する
システムでは、秘密鍵の管理及び電子署名の生成を安全
に行うために、これらに必要な機能群をシステムと独立
した専用装置として用意する場合が多い。この専用装置
を一般に署名エンジンと呼んでおり、その実装方法は装
置毎に様々である。2. Description of the Related Art First, a flow of generating a digital signature and a signature engine will be described. As shown in FIG. 11, an electronic signature using a public key cryptosystem usually converts target data to be signed into a hash function and converts the data into hash data. It is generated by performing generation processing. The hash function includes algorithms such as SHA-1 and MD5.
The digital signature algorithm includes ES which is a public key cryptosystem.
IGN and RSA are well known. Here, the secret key used for the electronic signature is very important information as information for identifying the signer. Therefore, a system using the electronic signature securely manages the secret key and generates the electronic signature. For this reason, a group of functions necessary for these are often prepared as a dedicated device independent of the system. This dedicated device is generally called a signature engine, and its mounting method varies depending on the device.
【0003】例えば、図11に示すように、ハッシュ処
理や署名生成処理で複数のアルゴリズムを利用できるも
のや、複数の秘密鍵を保持及び利用できるもの、あるい
は、図11における署名エンジンBのようにハッシュ処
理部が無く、ハッシュ化されたデータが入力されること
を前提とした装置も存在する。次に、署名エンジンを用
いた電子署名の生成について説明する。For example, as shown in FIG. 11, hash algorithm and signature generation process can use a plurality of algorithms, can hold and use a plurality of secret keys, or use signature engine B in FIG. Some devices do not have a hash processing unit and are premised on input of hashed data. Next, generation of an electronic signature using the signature engine will be described.
【0004】一般に、複数の署名アルゴリズムの利用や
複数の署名エンジンの利用を必要とするシステムにおい
て電子署名を生成する際には、図12に示すような流れ
で署名エンジンへの署名を生成する。 ステップ10) まず、署名生成を行いたいアプリケー
ションにおいて、署名生成に必要な情報として、署名対
象となるデータ、署名生成に用いる秘密鍵、ハッシュア
ルゴリズム、署名アルゴリズムに何を用いるかを決定す
る。In general, when a digital signature is generated in a system that requires the use of a plurality of signature algorithms or the use of a plurality of signature engines, a signature to the signature engine is generated according to the flow shown in FIG. Step 10) First, in an application for which signature generation is to be performed, data to be signed, a secret key used for signature generation, a hash algorithm, and what to use for a signature algorithm are determined as information necessary for signature generation.
【0005】ステップ11) 署名生成に用いる秘密鍵
が格納されている署名エンジンを選択する。 ステップ12) 選択された署名エンジンに対して、署
名対象データのハッシュ化が必要か否を判断し、必要な
場合にはステップ13に移行し、不要な場合にはステッ
プ14に移行する。Step 11) Select a signature engine in which a secret key used for signature generation is stored. Step 12) For the selected signature engine, it is determined whether or not hashing of the data to be signed is necessary. If necessary, the process proceeds to step 13; otherwise, the process proceeds to step 14.
【0006】ステップ13) 必要な場合には入力デー
タのハッシュ化処理を行う。 ステップ14) ステップ11で選択された署名エンジ
ンに依存した署名生成依頼方式に従って、ステップ10
で決定された情報を元にハッシュアルゴリズム、署名ア
ルゴリズム、秘密鍵の格納先の情報を署名エンジンへ指
定するための署名生成依頼情報を生成する。ステップ1
3を行った場合には、ハッシュアルゴリズムの指定は不
要である。Step 13) If necessary, the input data is hashed. Step 14) According to the signature generation request method dependent on the signature engine selected in step 11, step 10
Based on the information determined in (1), signature generation request information for designating the hash algorithm, the signature algorithm, and the storage destination information of the secret key to the signature engine is generated. Step 1
When 3 is performed, it is unnecessary to specify a hash algorithm.
【0007】ステップ15) ステップ14で生成した
情報と署名対象データ、あるいは、署名対象データのハ
ッシュ値をアクセスモジュールを介して署名エンジンへ
送付し、署名エンジンから署名生成結果である署名デー
タを受け取る。ここでアクセスモジュールとは、例え
ば、署名エンジンを制御するためのドライバソフトのよ
うなものである。Step 15) The information generated in step 14 and the data to be signed or the hash value of the data to be signed is sent to the signature engine via the access module, and signature data as a signature generation result is received from the signature engine. Here, the access module is, for example, driver software for controlling the signature engine.
【0008】[0008]
【発明が解決しようとする課題】しかしながら、従来の
署名エンジンを用いた署名生成処理では、署名生成を依
頼する上位のアプリケーションが、署名生成に用いる秘
密鍵が格納されている署名エンジン及びその格納場所の
判別や、その秘密鍵が署名アルゴリズムに適用可能であ
ることの確認、入力データである署名対象データのハッ
シュ化の要否判断などを行い、署名エンジンの種別に応
じた署名生成処理の振り分けを行う必要がある。従っ
て、用途に応じて複数の署名アルゴリズムや複数の秘密
鍵、あるいは、複数の署名エンジンの使い分けを行うシ
ステムにおいては、署名エンジンに対する電子署名の生
成依頼処理が煩雑となる。However, in a conventional signature generation process using a signature engine, a higher-level application requesting signature generation uses a signature engine storing a secret key used for signature generation and its storage location. The signature key, confirms that the secret key is applicable to the signature algorithm, determines whether hashing of the data to be signed, which is input data, is necessary, and sorts the signature generation process according to the type of signature engine. There is a need to do. Therefore, in a system in which a plurality of signature algorithms, a plurality of secret keys, or a plurality of signature engines are properly used depending on the application, a process of requesting the signature engine to generate an electronic signature becomes complicated.
【0009】本発明は、上記の点に鑑みなされたもの
で、複数の署名エンジン及び複数の署名アルゴリズムを
容易に使い分けることを可能とし、また、既存のシステ
ムへの新たな署名エンジンの追加や新たな署名アルゴリ
ズムの追加の際にも、上位のアプリケーションに影響を
与えることなく容易に追加を行うことが可能な複数の異
なる署名エンジンに対する共通的なアクセス方法及びシ
ステム及び複数の異なる署名エンジンに対する共通的な
アクセスプログラムを格納した記憶媒体を提供すること
を目的とする。The present invention has been made in view of the above points, and makes it possible to easily use a plurality of signature engines and a plurality of signature algorithms, add a new signature engine to an existing system, or add a new signature engine to an existing system. A common access method and system for a plurality of different signature engines and a common system for a plurality of different signature engines that can be easily added without affecting a higher-level application even when a new signature algorithm is added. It is an object of the present invention to provide a storage medium storing a simple access program.
【0010】[0010]
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。本発明(請求項1)は、平文
または、平文のダイジェストに対して公開鍵暗号技術を
用いた電子署名を作成するための電子署名エンジンを有
する情報処理システムにおける署名エンジンを用いた電
子署名の生成及び、秘密鍵/公開鍵の鍵対の生成を行う
複数の異なる署名エンジンに対する共通的なアクセス方
法において、複数の秘密鍵情報を管理する秘密鍵管理テ
ーブルを作成し(ステップ1)、署名エンジンに依存し
た署名エンジン依存情報を登録し、管理し(ステップ
2)、署名エンジンへのアクセス依頼を受け付け(ステ
ップ3)、指定された鍵名称を取得し(ステップ4)、
秘密鍵管理テーブルから鍵名称に対応する鍵対生成また
は、署名作成に必要な情報を取得し(ステップ5)、任
意の署名エンジンに対して鍵対生成処理または、署名生
成処理を依頼する(ステップ6)。FIG. 1 is a diagram for explaining the principle of the present invention. The present invention (claim 1) provides an electronic signature generation method using a signature engine in an information processing system having an electronic signature engine for creating an electronic signature using a public key encryption technique for a plaintext or a plaintext digest. In a common access method for a plurality of different signature engines for generating a key pair of a secret key / public key, a secret key management table for managing a plurality of secret key information is created (step 1). Registers and manages the dependent signature engine dependent information (step 2), receives an access request to the signature engine (step 3), obtains the specified key name (step 4),
Information necessary for key pair generation or signature creation corresponding to the key name is obtained from the secret key management table (step 5), and a key pair generation process or signature generation process is requested to an arbitrary signature engine (step 5). 6).
【0011】本発明(請求項2)は、秘密鍵管理テーブ
ルから、鍵名称に対応する署名作成に必要な情報とし
て、鍵名称に対応付けられた署名エンジン種別、鍵格納
場所、署名アルゴリズム、ハッシュアルゴリズムの署名
生成に必要な情報を取得し、取得した署名エンジン種別
情報に対応するアクセスモジュール種別と入力データの
ハッシュ化の要否情報を署名エンジン依存情報から取得
し、ハッシュ化が必要な場合には、秘密管理テーブルか
ら取得したハッシュアルゴリズムによる署名対象データ
のハッシュデータ及び鍵格納場所、及び署名アルゴリズ
ム情報を、ハッシュ化が不要な場合には、署名対象デー
タ、鍵格納場所、及び署名アルゴリズム及びハッシュア
ルゴリズム情報を、選択されたアクセスモジュールを介
して署名エンジンへ送付し、署名生成依頼を行う。According to the present invention (claim 2), a signature engine type associated with a key name, a key storage location, a signature algorithm, a hash Acquires the information required for generating the signature of the algorithm, acquires the access module type corresponding to the acquired signature engine type information and the necessity information of the hashing of the input data from the signature engine dependent information. The hash data and key storage location of the data to be signed by the hash algorithm obtained from the secret management table and the key storage location, and the signature algorithm information, if the hashing is unnecessary, the signature target data, the key storage location, the signature algorithm and the hash Algorithm information to the signature engine via the selected access module Given, a signature generation request.
【0012】本発明(請求項3)は、鍵対を生成する際
に、利用者が指定した鍵名称を取得し、秘密鍵管理テー
ブルから鍵名称に対応付けられた署名エンジン種別、鍵
格納場所、署名アルゴリズム、鍵パラメータの鍵対生成
に必要な情報を取得し、取得した署名エンジン種別に対
応するアクセスモジュール種別情報を署名エンジン依存
情報から取得し、鍵格納場所、署名アルゴリズム、及び
鍵パラメータを選択されたアクセスモジュールを介して
署名エンジンへ送付し、鍵対生成を依頼し、署名エンジ
ンにおいて、依頼された鍵対を生成する。According to the present invention (claim 3), when a key pair is generated, a key name specified by a user is obtained, and a signature engine type and a key storage location associated with the key name are obtained from a secret key management table. , Obtaining information required for generating a key pair of a signature algorithm and a key parameter, obtaining access module type information corresponding to the obtained signature engine type from signature engine dependent information, and obtaining a key storage location, a signature algorithm, and a key parameter. The request is sent to the signature engine via the selected access module to request generation of a key pair, and the signature engine generates the requested key pair.
【0013】本発明(請求項4)は、利用者が指定する
鍵名称に対して、該鍵名称に対応する秘密鍵が格納され
ている署名エンジン種別と、鍵格納場所と、秘密鍵が適
用される署名アルゴリズムと、鍵長を含む鍵パラメータ
情報と、署名生成時に署名対象データをハッシュ化する
ためのハッシュアルゴリズム種別とを秘密鍵管理テーブ
ルに保持する。According to the present invention (claim 4), for a key name specified by a user, a signature engine type in which a secret key corresponding to the key name is stored, a key storage location, and a secret key are applied. The signature algorithm, key parameter information including the key length, and a hash algorithm type for hashing the signature target data at the time of signature generation are stored in the secret key management table.
【0014】図2は、本発明の原理構成図である。本発
明(請求項5)は、平文または、平文のダイジェストに
対して公開鍵暗号技術を用いた電子署名を作成するため
の電子署名エンジンを有する情報処理システムにおける
署名エンジンを用いた電子署名の生成及び、秘密鍵/公
開鍵の鍵対の生成を行う複数の異なる署名エンジンに対
する共通的なアクセスシステムであって、複数の秘密鍵
の管理や複数の電子署名アルゴリズムの利用が可能な任
意の数の電子署名エンジン200と、複数の秘密鍵情報
を管理する秘密鍵管理テーブル150を作成する秘密鍵
管理テーブル作成手段110と、署名エンジンに依存し
た情報である署名エンジン依存情報を登録し、管理する
署名エンジン依存情報登録手段130と、署名エンジン
200へのアクセス依頼を受け付け、指定された鍵名称
を取得する署名エンジンアクセス依頼受付手段120
と、秘密鍵管理テーブル150から鍵名称に対応する秘
密鍵情報及び、署名作成に必要な情報を取得する秘密鍵
情報参照手段140と、任意の署名エンジンに対して鍵
対生成処理または、署名生成処理を依頼する署名エンジ
ンアクセス制御手段160とを有する。FIG. 2 is a diagram showing the principle of the present invention. The present invention (claim 5) provides a method for generating an electronic signature using a signature engine in an information processing system having an electronic signature engine for creating an electronic signature using a public key encryption technique for a plaintext or a digest of the plaintext. And a common access system for a plurality of different signature engines for generating a key pair of a secret key / public key, wherein an arbitrary number of signature engines can manage a plurality of secret keys and use a plurality of digital signature algorithms. An electronic signature engine 200, a secret key management table creation unit 110 that creates a secret key management table 150 that manages a plurality of pieces of secret key information, and a signature that registers and manages signature engine dependent information that is information dependent on the signature engine. An engine-dependent information registration unit 130 and a section that receives an access request to the signature engine 200 and obtains a specified key name Engine access request receiving means 120
Secret key information reference means 140 for obtaining secret key information corresponding to a key name from the secret key management table 150 and information necessary for signature creation; and key pair generation processing or signature generation for an arbitrary signature engine. And a signature engine access control means 160 for requesting processing.
【0015】本発明(請求項10)は、秘密鍵情報参照
手段140において、秘密鍵管理テーブル150から、
鍵名称に対応する署名作成に必要な情報として、該鍵名
称に対応付けられた署名エンジン種別、鍵格納場所、署
名アルゴリズム、ハッシュアルゴリズムの署名生成に必
要な情報を取得する手段を有し、署名エンジンアクセス
制御手段160において、取得した署名エンジン種別情
報に対応するアクセスモジュール種別と入力データのハ
ッシュ化の要否情報を署名エンジン依存情報から取得す
る手段と、ハッシュ化が必要な場合には、秘密管理テー
ブル150から取得したハッシュアルゴリズムによる署
名対象データのハッシュデータ及び鍵格納場所、及び署
名アルゴリズム情報を、ハッシュ化が不要な場合には、
署名対象データ、鍵格納場所、及び署名アルゴリズム及
びハッシュアルゴリズム情報を、選択されたアクセスモ
ジュールを介して署名エンジンへ送付し、署名生成依頼
を行う手段を有する。According to the present invention (claim 10), in the secret key information reference means 140, the secret key management table 150
Means for acquiring information necessary for generating a signature of a signature engine type, a key storage location, a signature algorithm, and a hash algorithm associated with the key name as information necessary for creating a signature corresponding to the key name; The engine access control means 160 obtains, from the signature engine dependent information, the access module type corresponding to the obtained signature engine type information and the necessity of hashing the input data from the signature engine dependent information. If the hash data and key storage location of the data to be signed by the hash algorithm obtained from the management table 150 and the key storage location and the signature algorithm information need not be hashed,
It has means for sending the signature target data, the key storage location, the signature algorithm and the hash algorithm information to the signature engine via the selected access module, and requesting signature generation.
【0016】本発明(請求項11)は、利用者が指定し
た鍵名称を取得する手段と、秘密鍵管理テーブル150
から鍵名称に対応付けられた署名エンジン種別、鍵格納
場所、署名アルゴリズム、鍵パラメータの鍵対生成に必
要な情報を取得する手段と、取得した署名エンジン種別
に対応するアクセスモジュール種別情報を署名エンジン
依存情報から取得する手段と、鍵格納場所、署名アルゴ
リズム、及び鍵パラメータを選択されたアクセスモジュ
ールを介して署名エンジンへ送付し、鍵対生成を依頼す
る手段とを有する鍵対生成依頼手段を更に有し、署名エ
ンジンにおいて、依頼された鍵対を生成する。According to the present invention (claim 11), a means for acquiring a key name designated by a user and a secret key management table 150 are provided.
Means for acquiring information required for generating a key pair of a signature engine type, a key storage location, a signature algorithm, and a key parameter associated with a key name, and an access module type information corresponding to the acquired signature engine type. A key pair generation requesting unit having means for obtaining the key storage location, signature algorithm, and key parameter via the selected access module to the signature engine, and requesting key pair generation; And generates the requested key pair in the signature engine.
【0017】本発明(請求項8)は、秘密鍵管理テーブ
ル150において、利用者が指定する鍵名称に対して、
該鍵名称に対応する秘密鍵が格納されている署名エンジ
ン種別と、鍵格納場所と、秘密鍵が適用される署名アル
ゴリズムと、鍵長を含む鍵パラメータ情報と、署名生成
時に署名対象データをハッシュ化するためのハッシュア
ルゴリズム種別とを保持する。According to the present invention (claim 8), in the secret key management table 150, the key name specified by the user is
A signature engine type in which a secret key corresponding to the key name is stored, a key storage location, a signature algorithm to which the secret key is applied, key parameter information including a key length, and a hash of the signature target data when the signature is generated. And a hash algorithm type to be converted.
【0018】本発明(請求項9)は、平文または、平文
のダイジェストに対して公開鍵暗号技術を用いた電子署
名を作成するための電子署名エンジンを有する情報処理
システムにおける署名エンジンを用いた電子署名の生成
及び、秘密鍵/公開鍵の鍵対の生成を行う複数の異なる
署名エンジンに対する共通的なアクセスプログラムを格
納した記憶媒体であって、複数の秘密鍵情報を管理する
秘密鍵管理テーブルを作成する秘密鍵管理テーブル作成
プロセスと、複数の秘密鍵の管理や複数の電子署名アル
ゴリズムの利用が可能な任意の数の電子署名エンジンに
依存した情報である署名エンジン依存情報を登録し、管
理する署名エンジン依存情報登録プロセスと、署名エン
ジンへのアクセス依頼を受け付け、指定された鍵名称を
取得する署名エンジンアクセス依頼受付プロセスと、秘
密鍵管理テーブルから鍵名称に対応する秘密鍵情報及
び、署名作成に必要な情報を取得する秘密鍵情報参照プ
ロセスと、任意の署名エンジンに対して鍵対生成処理ま
たは、署名生成処理を依頼する署名エンジンアクセス制
御プロセスとを有する。The present invention (claim 9) provides an electronic information processing system having an electronic signature engine for creating a digital signature using a public key encryption technique for a plaintext or a plaintext digest. A storage medium storing a common access program for a plurality of different signature engines for generating a signature and for generating a key pair of a secret key / public key, wherein a secret key management table for managing a plurality of secret key information is stored. Registers and manages a secret key management table creation process to be created and signature engine dependent information that is information dependent on an arbitrary number of digital signature engines capable of managing a plurality of private keys and using a plurality of digital signature algorithms. A signature engine-dependent information registration process and a signature engine that accepts a request for access to the signature engine and acquires the specified key name Access request reception process, a secret key information reference process for obtaining secret key information corresponding to a key name from a secret key management table, and information necessary for signature creation, and a key pair generation process or an arbitrary signature engine. And a signature engine access control process for requesting a signature generation process.
【0019】本発明(請求項10)は、秘密鍵情報参照
プロセスにおいて、秘密鍵管理テーブルから、鍵名称に
対応する署名作成に必要な情報として、該鍵名称に対応
付けられた署名エンジン種別、鍵格納場所、署名アルゴ
リズム、ハッシュアルゴリズムの署名生成に必要な情報
を取得するプロセスを有し、署名エンジンアクセス制御
プロセスにおいて、取得した署名エンジン種別情報に対
応するアクセスモジュール種別と入力データのハッシュ
化の要否情報を署名エンジン依存情報から取得するプロ
セスと、ハッシュ化が必要な場合には、秘密管理テーブ
ルから取得したハッシュアルゴリズムによる署名対象デ
ータのハッシュデータ及び鍵格納場所、及び署名アルゴ
リズム情報を、ハッシュ化が不要な場合には、署名対象
データ、鍵格納場所、及び署名アルゴリズム及びハッシ
ュアルゴリズム情報を、選択されたアクセスモジュール
を介して署名エンジンへ送付し、署名生成依頼を行うプ
ロセスを有する。According to a tenth aspect of the present invention, in the secret key information reference process, information necessary for creating a signature corresponding to the key name is stored in the secret key management table as a signature engine type associated with the key name. A key storage location, a signature algorithm, and a process for acquiring information necessary for generating a signature of a hash algorithm. In the signature engine access control process, the access module type corresponding to the acquired signature engine type information and the hashing of the input data are performed. The process of acquiring the necessity information from the signature engine-dependent information, and, if hashing is necessary, hashing the hash data and key storage location of the data to be signed by the hash algorithm acquired from the secret management table, and the signature algorithm information. If encryption is not required, the data to be signed, key storage , And a signature algorithm and the hash algorithm information, send via the access module selected to the signature engine, having a process of performing a signature generation request.
【0020】本発明(請求項11)は、利用者が指定し
た鍵名称を取得するプロセスと、秘密鍵管理テーブルか
ら鍵名称に対応付けられた署名エンジン種別、鍵格納場
所、署名アルゴリズム、鍵パラメータの鍵対生成に必要
な情報を取得するプロセスと、取得した署名エンジン種
別に対応するアクセスモジュール種別情報を署名エンジ
ン依存情報から取得するプロセスと、鍵格納場所、署名
アルゴリズム、及び鍵パラメータを選択されたアクセス
モジュールを介して署名エンジンへ送付し、鍵対生成を
依頼するプロセスとを有する鍵対生成依頼プロセスを更
に有する。The present invention (claim 11) provides a process for acquiring a key name designated by a user, a signature engine type, a key storage location, a signature algorithm, and a key parameter associated with the key name from a secret key management table. A process for obtaining information required for generating a key pair of the above, a process for obtaining access module type information corresponding to the obtained signature engine type from signature engine dependent information, and a key storage location, a signature algorithm, and a key parameter are selected. A key pair generation request process having a process of sending to the signature engine via the access module and requesting a key pair generation.
【0021】本発明(請求項12)は、利用者が指定す
る鍵名称に対して、該鍵名称に対応する秘密鍵が格納さ
れている署名エンジン種別と、鍵格納場所と、秘密鍵が
適用される署名アルゴリズムと、鍵長を含む鍵パラメー
タ情報と、署名生成時に署名対象データをハッシュ化す
るためのハッシュアルゴリズム種別とを保持する秘密鍵
管理テーブルを利用するプロセスを有する。According to the present invention (claim 12), for a key name specified by a user, a signature engine type in which a secret key corresponding to the key name is stored, a key storage location, and a secret key are applied. A secret key management table that holds a signature algorithm to be executed, key parameter information including a key length, and a hash algorithm type for hashing data to be signed at the time of signature generation.
【0022】上記のように、本発明において、初期設定
時における秘密鍵管理テーブルの設定により、上位アプ
リケーションは、署名生成に用いる秘密鍵の鍵名称のみ
を指定するだけで、任意の署名エンジンに対する署名生
成や鍵対生成の依頼に必要な情報を決定可能になる。ま
た、署名エンジン依存情報の登録を行うことにより、署
名エンジンに依存した情報を秘密鍵制御部内に隠蔽し、
上位アプリケーションが署名エンジンの種別を意識せず
に署名エンジンへアクセスすることが可能となる。As described above, according to the present invention, by setting the secret key management table at the time of initial setting, the upper-level application specifies only the key name of the secret key used for signature generation, and performs the signature processing for any signature engine. It becomes possible to determine information necessary for a request for generation or key pair generation. Also, by registering the signature engine dependent information, the information dependent on the signature engine is hidden in the secret key control unit,
The upper application can access the signature engine without being aware of the type of the signature engine.
【0023】また、鍵対生成処理により、秘密鍵の格納
先や署名アルゴリズム等に関わらず、システムが利用す
るすべての秘密鍵の情報を一元的に管理して、各秘密鍵
の生成やその秘密鍵を用いた署名生成に必要な情報を、
鍵名称をキー情報として取得することが可能となる。ま
た、署名生成に用いる秘密鍵の生成の際にも、上位アプ
リケーションが生成したい秘密鍵の鍵名称のみを指定す
るだけで、任意の署名エンジンに対する鍵対生成依頼が
可能になる。Further, by the key pair generation processing, information on all the secret keys used by the system is centrally managed regardless of the storage destination of the secret key, the signature algorithm, etc., and the generation of each secret key and its secret The information required to generate a signature using a key is
The key name can be obtained as key information. Also, when a secret key used for signature generation is generated, a key pair generation request to an arbitrary signature engine can be made only by specifying only the key name of the secret key to be generated by the upper application.
【0024】また、署名生成処理により、上位のアプリ
ケーションが署名生成処理を署名エンジンに依頼する際
に、秘密鍵の格納場所や、署名アルゴリズム、利用する
署名エンジンの種別及びその署名エンジンに応じた処理
依頼方法などを意識することなく、鍵名称及び署名対象
データを指定するだけで署名エンジンへの署名生成依頼
が可能となる。When a higher-level application requests a signature engine to perform a signature generation process, a signature key storage location, a signature algorithm, a type of a signature engine to be used, and a process corresponding to the signature engine are performed. A signature generation request to the signature engine can be made only by designating the key name and the data to be signed without being conscious of the request method.
【0025】[0025]
【発明の実施の形態】図3は、本発明におけるアクセス
システム構成を示す。同図に示すように、複数の秘密鍵
の管理や複数の署名エンジンへのアクセス制御を一元的
に行うための秘密鍵制御部100を設け、署名生成を依
頼する上位アプリケーション400が、秘密鍵の格納先
や、格納先にある秘密鍵の署名アルゴリズムへの適用性
や、入力データのハッシュ化の要否判断などを意識する
ことなく、この秘密鍵制御部100に対して署名生成に
用いる秘密鍵名称を指定するだけで任意の署名エンジン
に対する署名生成依頼が可能となる。FIG. 3 shows an access system configuration according to the present invention. As shown in the figure, a secret key control unit 100 for centrally managing a plurality of secret keys and controlling access to a plurality of signature engines is provided. The secret key used for signature generation can be sent to the secret key control unit 100 without being aware of the storage destination, the applicability of the secret key in the storage destination to the signature algorithm, and the determination of the necessity of hashing the input data. A signature generation request to an arbitrary signature engine can be made only by specifying the name.
【0026】秘密鍵制御部100は、上位アプリケーシ
ョン400から署名エンジン(A200または、B30
0)へのアクセス依頼を受け付けるための署名エンジン
アクセス依頼受付部120と、システムが利用する複数
の秘密鍵の各々について、格納先や署名アルゴリズムな
どの署名生成に必要な情報を管理するための秘密鍵管理
テーブル150、及びその生成を行う秘密鍵管理テーブ
ル作成部110、この秘密鍵管理テーブル150から鍵
名称をキー情報として対応する署名生成に必要な情報を
取得するための秘密鍵情報参照部140、署名エンジン
に依存した情報を予め登録しておくための署名エンジン
依存情報登録部130と、秘密鍵が格納されている署名
エンジンへアクセスモジュール170、180を介して
実際の処理依頼を行うための署名エンジンアクセス制御
部160から構成される。The secret key control unit 100 sends a signature engine (A200 or B30)
0), a signature engine access request receiving unit 120 for receiving an access request, and a secret for managing information required for signature generation, such as a storage destination and a signature algorithm, for each of a plurality of secret keys used by the system. A key management table 150, a secret key management table creation unit 110 for generating the key management table 150, and a secret key information reference unit 140 for obtaining information required for generating a corresponding signature from the secret key management table 150 using a key name as key information A signature engine dependent information registration unit 130 for registering information dependent on the signature engine in advance, and an actual processing request via the access modules 170 and 180 to the signature engine storing the secret key. It comprises a signature engine access control unit 160.
【0027】次に、本発明の動作を説明する。最初に、
署名生成を実現するために必要な事前処理として、秘密
鍵情報を一元管理するための秘密鍵管理テーブル150
の設定及び署名エンジンに依存した情報の設定と、署名
生成に用いる秘密鍵を用意するための鍵対生成処理につ
いて説明する。Next, the operation of the present invention will be described. At first,
As a pre-process necessary to realize signature generation, a secret key management table 150 for centrally managing secret key information
A description will be given of the setting of information and the setting of information depending on the signature engine, and a key pair generation process for preparing a secret key used for signature generation.
【0028】1.システム初期設定時 図4は、本発明における鍵対生成時の処理の流れを説明
するための図であり、図5は、本発明の秘密鍵管理テー
ブルの例を示す。最初にシステム初期設定時における動
作を説明する。 (1) 秘密鍵管理テーブル150の設定(ステップ1
01):システム初期設定の際に、図5に示すように、
上位アプリケーション400が利用する複数の秘密鍵の
各々に対して、鍵名称、鍵名称に対応する秘密鍵が格納
されている署名エンジン種別及びその中における格納場
所を示す鍵格納場所情報、適用する署名アルゴリズム情
報、署名生成処理の前に署名対象データをハッシュ化す
るためのハッシュアルゴリズム情報、鍵長などの鍵対生
成に必要な鍵パラメータ情報を管理する秘密鍵管理テー
ブル150を、秘密鍵管理テーブル作成部110を用い
て作成する。1. FIG. 4 is a diagram for explaining the flow of processing when a key pair is generated in the present invention, and FIG. 5 shows an example of a secret key management table of the present invention. First, the operation at the time of system initialization will be described. (1) Setting of the private key management table 150 (step 1
01): At the time of system initialization, as shown in FIG.
For each of a plurality of secret keys used by the host application 400, a key name, a signature engine type in which the secret key corresponding to the key name is stored, key storage location information indicating a storage location therein, a signature to be applied Creates a secret key management table 150 for managing algorithm information, hash algorithm information for hashing data to be signed before signature generation processing, and key parameter information required for key pair generation such as key length. It is created using the unit 110.
【0029】ここで、署名エンジン種別とは、署名エン
ジンの種類を区別するための識別子のことであり、署名
エンジンとこの識別子との対応はシステムとして固定的
に保持する情報である。これらの情報は、署名エンジン
に対する鍵対生成や署名生成を依頼する際に必要な情報
であり、このテーブルに上位アプリケーション400が
利用するすべての秘密鍵に関する情報を設定することに
より、上位アプリケーション400は、署名生成に用い
る秘密鍵の鍵名称のみを指定するだけで、任意の署名エ
ンジンに対する署名生成や鍵対生成の依頼に必要な情報
を決定可能になる。Here, the signature engine type is an identifier for distinguishing the type of the signature engine, and the correspondence between the signature engine and this identifier is information which is fixedly held as a system. These pieces of information are information required when requesting the signature engine to generate a key pair or a signature. By setting information on all secret keys used by the higher-level application 400 in this table, the higher-level application 400 Only by designating the key name of the secret key used for signature generation, it becomes possible to determine information necessary for requesting signature generation or key pair generation for an arbitrary signature engine.
【0030】(2) 署名エンジン依存情報の登録(ス
テップ102):システムの初期設定の際に、システム
が利用する各署名エンジンに依存する情報として、署名
生成を依頼する際の入力データとして署名対象データを
ハッシュ化する必要があるか否かの情報と、署名エンジ
ンンへアクセスするためのアクセスモジュール種別を秘
密鍵制御部100内に予め登録しておく。これにより、
署名エンジンに依存した情報を秘密鍵制御部100内に
隠蔽し、上位アプリケーション400が署名エンジンの
種別を意識せずに署名エンジンへアクセスすることが可
能となる。ここで、アクセスモジュール種別とは、アク
セスモジュールの種別を区別するための識別子のことで
あり、アクセスモジュールと識別子の対応は、システム
として固定的に保持される情報である。(2) Registration of signature engine-dependent information (step 102): At the time of initial setting of the system, information that depends on each signature engine used by the system is used as input data when requesting a signature generation. Information as to whether or not the data needs to be hashed and an access module type for accessing the signature engine are registered in the secret key control unit 100 in advance. This allows
The information depending on the signature engine is hidden in the secret key control unit 100, and the host application 400 can access the signature engine without being aware of the type of the signature engine. Here, the access module type is an identifier for distinguishing the type of the access module, and the correspondence between the access module and the identifier is information that is fixedly held as a system.
【0031】2.鍵生成時 次に、鍵対生成時の動作について説明する。 (1) 上位アプリケーション400による鍵対生成依
頼(ステップ103):上記システム初期時の設定が終
了後、上位アプリケーション400は署名生成に用いる
鍵対の生成処理を秘密鍵制御部150に対して依頼す
る。その際、上位アプリケーション400は、どの鍵対
を生成するのかを先に作成した秘密鍵管理テーブル15
0内に登録した秘密鍵の中から鍵名称を用いて指定す
る。2. Next, an operation at the time of generating a key pair will be described. (1) Request of key pair generation by upper application 400 (step 103): After the above-mentioned initial setting of the system is completed, upper application 400 requests secret key control unit 150 to generate a key pair used for signature generation. . At this time, the higher-level application 400 determines which key pair is to be generated by the secret key management table 15 created earlier.
It is designated using the key name from the secret keys registered in 0.
【0032】(2) 署名エンジンアクセス依頼受付処
理(ステップ104):上位アプリケーション400か
ら署名エンジンに対する鍵対生成の依頼を、署名エンジ
ンアクセス依頼受付部120を用いて受理し、生成依頼
対象である鍵名称情報を取得する。 (3) 秘密鍵情報参照処理(ステップ105):上位
アプリケーション400から指定された鍵名称に対応す
る鍵対の生成に必要な情報を取得するため、秘密鍵情報
参照部140を用いて秘密鍵管理テーブル150にアク
セスし、(2)で取得した鍵名称をキー情報として対応
する署名エンジン種別、鍵格納場所、署名アルゴリズ
ム、鍵パラメータ情報を取得する。これにより、上位ア
プリケーション400からは鍵名称のみが指定されるだ
けで、署名エンジンへの鍵対生成の依頼に必要な情報を
用意することが可能となる。(2) Signature Engine Access Request Accepting Process (Step 104): A request for a key pair generation from the host application 400 to the signature engine is received by using the signature engine access request receiving unit 120, and the key for which the generation request is requested Get name information. (3) Private key information reference processing (step 105): private key management using the private key information reference unit 140 in order to obtain information necessary for generating a key pair corresponding to the key name specified by the higher-level application 400 The table 150 is accessed, and the corresponding signature engine type, key storage location, signature algorithm, and key parameter information are acquired using the key name acquired in (2) as key information. As a result, only the key name is specified from the host application 400, and it becomes possible to prepare information necessary for requesting the signature engine to generate a key pair.
【0033】(4) 署名エンジンへの鍵対生成依頼処
理(ステップ106): (3)で取得した情報をもとに署名エンジンへ鍵対生成
処理を依頼するため、署名エンジンアクセス制御部10
0を用いて、(3)で取得した署名エンジン種別に対応
する署名エンジンへのアクセスモジュール種別を署名エ
ンジン依存情報から取得し、そのアクセスモジュールを
介して、(3)で取得した鍵格納場所、署名アルゴリズ
ム、鍵パラメータ情報を用いて署名エンジンに対して鍵
対生成を依頼する。この処理により、上位アプリケーシ
ョン400が指定した鍵名称に対応する秘密鍵が生成・
格納されるべき署名エンジンへのアクセスモジュールが
自動的に選択され、各署名エンジンにおける鍵対生成依
頼方法に従った鍵対生成依頼を実行することが可能とな
る。(4) Key pair generation request processing to the signature engine (step 106): The signature engine access control unit 10 requests the signature engine to perform key pair generation processing based on the information acquired in (3).
0, the type of access module to the signature engine corresponding to the signature engine type obtained in (3) is obtained from the signature engine dependent information, and the key storage location obtained in (3) is obtained through the access module. Requests the signature engine to generate a key pair using the signature algorithm and key parameter information. By this processing, a secret key corresponding to the key name designated by the upper application 400 is generated /
The access module to the signature engine to be stored is automatically selected, and it is possible to execute a key pair generation request according to the key pair generation request method in each signature engine.
【0034】(5) 鍵対生成処理(ステップ10
7):(4)の依頼に基づき、指定された鍵パラメータ
及び署名アルゴリズムに対応する鍵対生成処理が署名エ
ンジン内で行われ、指定された格納場所へ秘密鍵が格納
される。以上の処理及び機能を用いることにより、秘密
鍵の格納先や署名アルゴリズム等に関わらず、システム
が利用するすべての秘密鍵の情報を一元的に管理して、
各秘密鍵の生成やその秘密鍵を用いた署名生成に必要な
情報を、鍵名称をキー情報として取得することが可能と
なる。また、本発明により、署名生成に用いる秘密鍵の
生成の際にも、上位アプリケーション400が生成した
い秘密鍵の鍵名称のみを指定するだけで、任意の署名エ
ンジンに対する鍵対生成依頼が可能になる。(5) Key Pair Generation Processing (Step 10)
7): Based on the request of (4), key pair generation processing corresponding to the specified key parameter and signature algorithm is performed in the signature engine, and the secret key is stored in the specified storage location. By using the above processing and functions, regardless of the storage location of the secret key, the signature algorithm, etc., the information of all the secret keys used by the system is centrally managed,
Information necessary for generating each secret key and for generating a signature using the secret key can be obtained with the key name as key information. Further, according to the present invention, even when a secret key used for signature generation is generated, a key pair generation request to an arbitrary signature engine can be made by simply specifying only the key name of the secret key that the upper application 400 wants to generate. .
【0035】3.署名生成処理時次に、上記で生成され
た秘密鍵を用いた署名生成処理の流れについて説明す
る。図6は、本発明における署名生成処理の流れを説明
するための図である。最初に、署名生成処理時の動作に
ついて説明する。 (1) 上位アプリケーション400による署名生成依
頼(ステップ201):上位アプリケーション400
は、署名生成の必要が発生した際に、秘密鍵制御部15
0に対して署名対象となるデータと署名に用いる鍵名称
を指定して署名生成依頼を行う。3. Next, a flow of a signature generation process using the secret key generated above will be described. FIG. 6 is a diagram for explaining the flow of the signature generation process according to the present invention. First, the operation at the time of signature generation processing will be described. (1) Signature generation request from upper application 400 (step 201): upper application 400
Is used when the signature generation is needed.
For 0, a signature generation request is made by designating the data to be signed and the key name used for the signature.
【0036】(2) 署名生成依頼受付処理(ステップ
202):上位アプリケーション400から署名エンジ
ンに対する署名生成の依頼を、署名エンジンアクセス依
頼受付部120を用いて受理し、署名対象となるデータ
と署名に用いる秘密鍵の鍵名称情報を取得する。 (3) 秘密鍵情報参照処理(ステップ203):上位
アプリケーション400から指定された鍵名称に対応す
る秘密鍵を用いた署名生成に必要な情報を取得するた
め、秘密鍵情報参照部140を用いて秘密鍵管理テーブ
ル150にアクセスし、(2)で取得した鍵名称をキー
情報として対応する署名エンジン種別、鍵格納場所、署
名アルゴリズム、ハッシュアルゴリズム情報を取得す
る。これにより、上位アプリケーション400からは鍵
名称のみが指定されるだけで、署名エンジンへの署名生
成の依頼に必要な情報を用意することが可能になる。(2) Signature generation request reception processing (step 202): A request for signature generation from the host application 400 to the signature engine is received by using the signature engine access request reception unit 120, and the data to be signed and the signature are received. The key name information of the secret key to be used is obtained. (3) Private key information reference processing (step 203): The private key information reference unit 140 is used to obtain information necessary for generating a signature using a private key corresponding to the key name specified by the higher-level application 400. The private key management table 150 is accessed, and the corresponding signature engine type, key storage location, signature algorithm, and hash algorithm information are acquired using the key name acquired in (2) as key information. As a result, only the key name is specified from the upper-level application 400, and it becomes possible to prepare information necessary for requesting the signature engine to generate a signature.
【0037】(4) 署名エンジンへの署名生成依頼処
理(ステップ204):(3)で取得した情報をもとに
署名エンジンへの署名生成処理を依頼するため、署名エ
ンジンアクセス制御部160を用いて、(3)で取得し
た署名エンジン種別に対応する署名エンジンへのアクセ
スモジュール種別及び署名対象データのハッシュ化要否
情報を署名エンジン依存情報から取得する。そして、選
択された署名アクセスモジュールに対して、署名対象の
データのハッシュ化が必要であった場合には、(3)で
取得したハッシュアルゴリズムにより入力データである
署名対象データをハッシュ化後、このハッシュデータと
鍵格納場所と署名アルゴリズムの情報を入力として署名
エンジンへの署名生成依頼を行い、署名対象データのハ
ッシュ化が不要であった場合には、署名対象データと、
(3)で取得した鍵格納場所及び署名アルゴリズム及び
ハッシュアルゴリズム情報を入力として署名エンジンへ
署名生成依頼を行う。この処理により、上位アプリケー
ション400が指定した鍵名称に対応する秘密鍵が格納
されている署名エンジンへのアクセスモジュールが自動
的に選択され、入力データのハッシュ化の要否など各署
名エンジンに対する署名生成依頼方法に従った署名生成
依頼を実行することが可能となる。(4) Signature generation request processing to the signature engine (step 204): The signature engine access control unit 160 is used to request the signature engine to generate a signature based on the information obtained in (3). Then, the access module type to the signature engine corresponding to the signature engine type obtained in (3) and the hashing necessity information of the data to be signed are obtained from the signature engine dependent information. If it is necessary for the selected signature access module to hash the data to be signed, the signature target data as input data is hashed by the hash algorithm acquired in (3). A request for signature generation is made to the signature engine by inputting the hash data, the key storage location and the information of the signature algorithm, and if hashing of the data to be signed is unnecessary,
A signature generation request is made to the signature engine by inputting the key storage location, the signature algorithm, and the hash algorithm information acquired in (3). By this processing, an access module to the signature engine storing the secret key corresponding to the key name designated by the higher-level application 400 is automatically selected, and signature generation for each signature engine such as necessity of hashing of input data is performed. It is possible to execute a signature generation request according to the request method.
【0038】(5) 署名生成処理(ステップ20
5):署名エンジンにおいて、(4)の依頼に基づき、
指定された鍵格納場所にある秘密鍵を用いて署名生成処
理が行われ、署名データが返却される。以上の処理及び
機能を用いることにより、上位アプリケーション400
が署名生成処理を署名エンジンに依頼する際に、秘密鍵
の格納場所や、署名アルゴリズム、利用する署名エンジ
ンの種別及びその署名エンジンに応じた処理依頼方法な
どを意識することなく、鍵名称及び署名対象データを指
定するだけで署名エンジンへの署名生成依頼が可能とな
る。(5) Signature generation processing (step 20)
5): In the signature engine, based on the request of (4),
The signature generation process is performed using the secret key in the designated key storage location, and the signature data is returned. By using the above processing and functions, the upper application 400
When requesting a signature generation process from the signature engine, the key name and signature can be obtained without being aware of the storage location of the secret key, the signature algorithm, the type of the signature engine to be used, and the processing request method according to the signature engine. A signature generation request to the signature engine can be made only by specifying the target data.
【0039】[0039]
【実施例】以下、図面と共に本発明の実施例を説明す
る。本実施例では、署名エンジンを用いた署名生成処理
の流れを図7〜図10を用いて説明する。図7は、本発
明の一実施例の電子署名生成の事前処理を説明するため
の図であり、図8は、本発明の一実施例の秘密鍵管理テ
ーブルの設定例を示す。Embodiments of the present invention will be described below with reference to the drawings. In this embodiment, the flow of a signature generation process using a signature engine will be described with reference to FIGS. FIG. 7 is a diagram for explaining the pre-processing of generating an electronic signature according to one embodiment of the present invention, and FIG. 8 shows a setting example of a secret key management table according to one embodiment of the present invention.
【0040】1. システム処刑設定時 (1) 秘密鍵管理テーブルの設定(ステップ30
1):システム初期設定の際に、図8の例に示されるよ
うな秘密鍵管理テーブル150を作成し、その中にシス
テムで利用されるすべての秘密鍵について、署名エンジ
ンへの鍵対生成や署名生成の依頼に必要な情報を登録す
る。このようなテーブルの作成は、例えば、ファイル編
集機能を用いて実現可能である。また、図8は、例え
ば、「KeyA」という鍵名称を持つ秘密鍵が、「署名
エンジンA」200の「#3」という場所に格納され、
適用する署名アルゴリズムは「ESIGN」であり、署
名生成の際の署名対象データのハッシュ化アルゴリズム
には「SHA−1」を用い、鍵長が「120バイト」で
あるといった情報が登録されている。これらの情報は、
システム初期時にシステムの方針として予め決定してお
く。1. At system execution setting (1) Setting of private key management table (step 30)
1): At the time of system initialization, a secret key management table 150 as shown in the example of FIG. 8 is created, and for all the secret keys used in the system, key pair generation to the signature engine is performed. Register the information required for a signature generation request. Creation of such a table can be realized using, for example, a file editing function. FIG. 8 shows that, for example, a secret key having a key name of “KeyA” is stored in a location “# 3” of “signature engine A” 200,
The signature algorithm to be applied is “ESIGN”, and information such as “SHA-1” is used as the hashing algorithm of the signature target data at the time of signature generation and the key length is “120 bytes” is registered. This information is
It is determined in advance as a system policy at the beginning of the system.
【0041】(2) 署名エンジン依存情報の登録(ス
テップ302):図9は、本発明の一実施例の署名エン
ジン依存情報の設定例を示す。システム初期設定の際
に、図9の例に示されるような署名エンジン依存情報テ
ーブル161を署名エンジンアクセス制御部160に作
成し、その中にシステムが利用する署名エンジンに対し
て、署名エンジンに依存する情報である入力データのハ
ッシュ化の要否情報と、署名エンジンへアクセスするた
めのアクセスモジュール種別情報を登録する。このよう
なテーブルの作成は、例えば、ファイル編集機能を用い
て実現可能である。また、図9は、例えば、「署名エン
ジンA」200は、入力データのハッシュ化の要否は
「否」であり、署名エンジンにアクセスする際に使用す
るアクセスモジュールは、「アクセスモジュールA」を
使用することを意味している。これらの情報は、システ
ム初期時に予め使用する署名エンジンの仕様を調査して
取得しておく。(2) Registration of signature engine-dependent information (step 302): FIG. 9 shows an example of setting signature engine-dependent information according to one embodiment of the present invention. At the time of system initialization, a signature engine dependent information table 161 as shown in the example of FIG. 9 is created in the signature engine access control unit 160, and the signature engine used by the system is dependent on the signature engine. It registers the necessity of hashing the input data, which is the information to be performed, and the access module type information for accessing the signature engine. Creation of such a table can be realized using, for example, a file editing function. FIG. 9 shows that, for example, the “signature engine A” 200 indicates that the necessity of hashing of the input data is “no”, and the access module used when accessing the signature engine is “access module A”. Is meant to be used. These pieces of information are obtained by examining the specifications of the signature engine used in advance at the initial stage of the system.
【0042】2. 鍵対生成時 (1) 上位アプリケーション400による鍵対生成依
頼(ステップ303):上記システム初期時の設定が終
了後、上位アプリケーションは署名生成に用いる鍵対の
生成処理を秘密鍵制御部100に対して鍵名称を指定し
て依頼する。本実施例では、上位アプリケーション40
0が「KeyA」の鍵名称に対応する鍵の生成を依頼し
たものとして説明する。2. Key pair generation request (1) Key pair generation request by upper application 400 (step 303): After the above-mentioned initial setting of the system is completed, the upper application issues a key pair generation process for signature generation to secret key control unit 100. Request by specifying the key name. In this embodiment, the upper application 40
Description will be made on the assumption that 0 requests generation of a key corresponding to the key name of “KeyA”.
【0043】(2) 署名エンジンアクセス依頼受付処
理(ステップ304):上位アプリケーション400か
ら署名エンジンに対する鍵対生成の依頼を受理し、生成
依頼対象が鍵名称「KeyA」であることを認識する。
上位アプリケーション400からの依頼の受理は、例え
ば、データ通信機能を用いて実現可能であり、依頼内容
を解析し、鍵名称情報を取得することは、例えば、デー
タ解析機能を用いて実現可能である。(2) Signature Engine Access Request Accepting Process (Step 304): A key pair generation request to the signature engine is received from the host application 400, and it is recognized that the generation request target is the key name “KeyA”.
The reception of a request from the upper application 400 can be realized, for example, using a data communication function, and the analysis of the request content and the acquisition of key name information can be realized, for example, using a data analysis function. .
【0044】(3) 秘密鍵情報参照処理(ステップ3
05):上位アプリケーション400から指定さた「K
eyA」に対応する鍵対の生成に必要な情報を取得する
ため、秘密鍵管理テーブル150のファイルにアクセス
し、「KeyA」に対応する情報として、署名エンジン
種別が「署名エンジンA」であり、鍵格納場所が「#
3」であり、署名アルゴリズムが「ESIGN」であ
り、鍵パラメータとして秘密鍵の鍵長が「40バイト」
であることの情報を取得する。秘密鍵管理テーブル15
0のファイルへのアクセスは、例えば、ファイルアクセ
ス機能を用いて実現可能であり、「KeyA」に対応す
る情報の取得は、例えば、データ検索機能を用いて実現
可能である。(3) Private Key Information Reference Processing (Step 3)
05): “K” specified by the host application 400
In order to obtain information required to generate a key pair corresponding to “KeyA”, the file of the private key management table 150 is accessed, and as information corresponding to “KeyA”, the signature engine type is “Signature engine A”. If the key storage location is "#
3 ", the signature algorithm is" ESIGN ", and the key length of the secret key is" 40 bytes "as a key parameter.
Get the information that is. Private key management table 15
The access to the file 0 can be realized using, for example, a file access function, and the acquisition of information corresponding to “KeyA” can be realized, for example, using a data search function.
【0045】(4) 署名エンジンへの鍵対生成依頼処
理(ステップ306):署名エンジンへ鍵対生成処理を
依頼するため、まず、初期時に設定した署名エンジン依
存情報テーブル161から署名エンジン種別である「署
名エンジンA」に対応するアクセスモジュール種別であ
る「アクセスモジュールA」の情報を取得する。その
後、この「アクセスモジュールA」を介して、(3)で
取得した鍵格納場所「#3」、署名アルゴリズム「ES
IGN」、鍵パラメータ情報「秘密鍵長=40バイト」
の情報を「署名エンジンA」に対して送付し、鍵対生成
を依頼する。署名エンジン依存情報テーブル161から
のアクセスモジュール種別情報の取得は、例えば、デー
タ検索機能を用いて実現可能であり、アクセスモジュー
ルへの入力データの生成は、例えば、データ組み立て機
能を用いて実現可能である。また、署名エンジンへの鍵
対生成依頼データの送付は、例えば、データ通信機能を
用いて実現される。(4) Key pair generation request processing to the signature engine (step 306): In order to request the signature engine to perform key pair generation processing, first, the signature engine type is obtained from the signature engine dependence information table 161 set at the time of initialization. The information of “access module A” which is the access module type corresponding to “signature engine A” is acquired. Thereafter, via this “access module A”, the key storage location “# 3” obtained in (3) and the signature algorithm “ES
IGN ", key parameter information" secret key length = 40 bytes "
Is sent to the “signature engine A” and a request for key pair generation is made. Acquisition of the access module type information from the signature engine dependent information table 161 can be realized, for example, using a data search function, and generation of input data to the access module can be realized, for example, using a data assembly function. is there. The transmission of the key pair generation request data to the signature engine is realized using, for example, a data communication function.
【0046】(5) 鍵対生成処理(ステップ30
7):(4)の依頼に基づき、「署名エンジンA」20
0では、「ESIGN」に適用花王で、「秘密鍵の鍵長
が40バイト」の鍵対の生成を行い、そこで生成された
秘密鍵が「#3」に格納される。以上の処理により、署
名生成に用いる秘密鍵管理情報の設定及び、それに基づ
く秘密鍵の生成を、上位アプリケーション400が署名
エンジン種別や署名アルゴリズムなどを意識することな
く実行することが可能となる。(5) Key Pair Generation Processing (Step 30)
7): “Signature engine A” 20 based on the request of (4)
In the case of “0”, the key pair “the key length of the secret key is 40 bytes” is generated by Kao applicable to “ESIGN”, and the generated secret key is stored in “# 3”. By the above processing, the upper-level application 400 can set the secret key management information used for signature generation and generate the secret key based on the information without being aware of the signature engine type, the signature algorithm, and the like.
【0047】3. 署名生成処理時 続いて本発明における署名生成処理の例を説明する。図
10は、本発明の一実施例の署名生成処理を説明するた
めの図である。 (1) 上位アプリケーション400による署名生成依
頼(ステップ401):上位アプリケーション400
は、署名生成の必要が発生した際に、秘密鍵制御部10
0に対して署名対象となるデータと署名に用いる秘密鍵
の鍵名称を指定して署名生成依頼を行う。本実施例で
は、上位アプリケーション400が署名生成に用いる秘
密鍵として「KeyA」の鍵名称に対応する秘密鍵を指
定して署名生成依頼を行ったものとして説明する。3. At the time of signature generation processing Next, an example of the signature generation processing in the present invention will be described. FIG. 10 is a diagram for explaining the signature generation processing according to one embodiment of the present invention. (1) Signature generation request by upper application 400 (step 401): upper application 400
When the need to generate a signature arises, the secret key control unit 10
For 0, a signature generation request is made by designating the data to be signed and the key name of the secret key used for the signature. In the present embodiment, a description will be given on the assumption that the higher-level application 400 has issued a signature generation request by designating a secret key corresponding to the key name of “KeyA” as a secret key used for signature generation.
【0048】(2) 署名生成依頼受付処理(ステップ
402):上位アプリケーション400から署名エンジ
ンに対する署名生成の依頼を受理し、署名対象データと
署名に用いる秘密鍵の鍵名称情報が「KeyA」である
ことを認識する。上位アプリケーション400からの依
頼の受理は、例えば、データ通信機能を用いて実現可能
であり、依頼内容を解析し、鍵名称情報を取得すること
は、例えば、デーた解析機能を用いて実現可能である。(2) Signature Generation Request Accepting Process (Step 402): A request for signature generation is received from the host application 400 to the signature engine, and the key name information of the signature target data and the private key used for the signature is “KeyA”. Recognize that. The reception of the request from the higher-level application 400 can be realized using, for example, a data communication function. The analysis of the request content and the acquisition of the key name information can be realized using, for example, a data analysis function. is there.
【0049】(3) 秘密鍵情報参照処理(ステップ4
03):上位アプリケーション400から指定された
「KeyA」に対応する鍵対の生成に必要な情報を取得
するため、秘密鍵管理テーブルのファイルにアクセス
し、「KeyA」に対応する情報として、署名エンジン
種別が、「署名エンジンA」であり、鍵格納場所が「#
3」であり、署名アルゴリズムが「ESIGN」であ
り、ハッシュアルゴリズムが「SHA−1」であること
の情報を取得する。秘密鍵管理テーブル150のファイ
ルへのアクセスは、例えば、ファイルアクセス機能を用
いて、実現可能であり、「KeyA」に対応する情報の
取得は、例えばデータ検索機能を用いて実現可能であ
る。(3) Private Key Information Reference Processing (Step 4)
03): In order to obtain information necessary for generating a key pair corresponding to “KeyA” specified by the higher-level application 400, a file in the secret key management table is accessed, and the signature engine is used as information corresponding to “KeyA”. The type is “signature engine A” and the key storage location is “#
3 ", the signature algorithm is" ESIGN ", and the hash algorithm is" SHA-1 ". Access to the file in the secret key management table 150 can be realized, for example, using a file access function, and acquisition of information corresponding to “KeyA” can be realized, for example, using a data search function.
【0050】(4) 署名エンジンへの署名生成依頼処
理(ステップ404):署名エンジンへ署名生成処理を
依頼するため、まず、システム初期時に設定した署名エ
ンジン依存情報テーブル161から署名エンジン種別で
ある「署名エンジンA」に対応するアクセスモジュール
種別である「アクセスモジュールA」と、入力データの
ハッシュ化の要否情報である「否」の情報を取得する。
入力データのハッシュ化の要否が「否」であることを確
認し、これにより入力データのハッシュ化処理は行わ
ず、「アクセスモジュールA」を介して、(3)で取得
した鍵格納場所「#3」、署名アルゴリズム「ESIG
N」、ハッシュアルゴリズム「SHA−1」の情報と、
署名対象データを「署名エンジンA」に対して送付し、
署名生成を依頼する。署名エンジン依存情報テーブル1
61からのアクセスモジュール種別情報及び入力データ
のハッシュ化要否情報の取得は、例えば、データ検索機
能を用いて実現可能であり、入力データのハッシュ化処
理の要否判断は、例えば、データ解析機能を用いて実現
可能であり、アクセスモジュールへの入力データの生成
は、例えばデータ組み立て機能を用いて実現可能であ
り、署名エンジンへの鍵対生成依頼データの送付は、例
えば、データ通信機能を用いて実現される。また、入力
データのハッシュ化の要否が「要」であった場合には、
例えば、ソフトウェアで実現されているハッシュ化機能
を用いてハッシュ処理を行うことが可能である。(4) Signature generation request processing to the signature engine (step 404): In order to request the signature engine to perform the signature generation processing, first, the signature engine type is obtained from the signature engine dependence information table 161 set at the time of initializing the system. The access module type “access module A” corresponding to the “signature engine A” and the information “no” indicating whether the input data needs to be hashed are obtained.
It is confirmed that the necessity of the hashing of the input data is “No”, and thereby the hashing process of the input data is not performed, and the key storage location “ # 3 ”and the signature algorithm“ ESIG
N ", information of a hash algorithm" SHA-1 ",
The signature target data is sent to "Signature Engine A",
Request signature generation. Signature engine dependent information table 1
Acquisition of the access module type information and the input data hashing necessity information from the input data 61 can be realized by using, for example, a data search function. The generation of input data to the access module can be realized using, for example, a data assembling function, and the transmission of key pair generation request data to the signature engine is performed using, for example, a data communication function. Is realized. If the necessity of hashing the input data is “necessary”,
For example, hash processing can be performed using a hash function implemented by software.
【0051】(5) 署名生成処理(ステップ40
5):(4)の依頼に基づき、「署名エンジンA」20
0では、署名対象データを指定さたハッシュアルゴリズ
ムである「SHA−1」によりハッシュ化し、これに対
して「#3」に格納されている秘密鍵を用いて「ESI
GN」署名アルゴリズムにより暗号化し、署名が生成さ
れる。(5) Signature generation processing (step 40)
5): Based on the request of (4), “Signature engine A” 20
0, the data to be signed is hashed using a designated hash algorithm “SHA-1”, and the hash value is “ESI” using the secret key stored in “# 3”.
A signature is generated by encryption using a "GN" signature algorithm.
【0052】以上の処理により、上位アプリケーション
が署名生成処理を署名エンジンに依頼する際に、鍵名称
及び署名対象データを秘密鍵管理テーブル150に対し
て指定するだけで、任意の署名エンジンに対して署名生
成の依頼が可能になる。また、上記の実施例は、図3の
構成に基づいて説明したが、秘密鍵管理テーブル作成部
110、署名エンジンアクセス依頼受付部120、署名
エンジン依存情報登録部130、秘密鍵情報参照部14
0、署名エンジンアクセス制御部160を有する秘密鍵
制御部100をプログラムとして構築し、秘密鍵制御部
として利用されるコンピュータに接続されるディスク装
置や、フロッピーディスク、CD−ROM等の可搬記憶
媒体に格納しておき、本発明を実施する際にインストー
ルすることにより、容易に本発明を実現できる。According to the above processing, when the higher-level application requests the signature engine to perform the signature generation processing, the key name and the data to be signed are simply specified in the private key management table 150, and any signature engine is designated. A request for signature generation becomes possible. Although the above embodiment has been described based on the configuration of FIG. 3, the secret key management table creating unit 110, the signature engine access request receiving unit 120, the signature engine dependent information registration unit 130, the secret key information reference unit 14
0. A secret key control unit 100 having a signature engine access control unit 160 is constructed as a program, and a disk device connected to a computer used as the secret key control unit, a floppy disk, a portable storage medium such as a CD-ROM, etc. The present invention can be easily realized by storing the information in a storage device and installing it when implementing the present invention.
【0053】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において、種々変更・応
用が可能である。It should be noted that the present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
【0054】[0054]
【発明の効果】上述のように、本発明によれば、上位ア
プリケーションは署名生成のためにアクセスする署名エ
ンジンの種別、秘密鍵の格納場所、署名アルゴリズムな
どを意識することなく、鍵名称と署名対象データのみと
いう統一的なインタフェースにより、任意の署名エンジ
ンに対して電子署名の生成を依頼することが可能となる
ため、複数の署名エンジン及び複数の署名アルゴリズム
を容易に使い分けることが可能となることはもちろん、
既存システムへの新たな署名エンジンの追加や新たな署
名アルゴリズムの追加の際にも、上位のアプリケーショ
ンに影響を与えることなく、容易に追加を行うことがで
きる。As described above, according to the present invention, the upper-level application does not need to be aware of the type of the signature engine to be accessed for generating the signature, the storage location of the secret key, the signature algorithm, and the like. The unified interface of only target data makes it possible to request an arbitrary signature engine to generate a digital signature, so that multiple signature engines and multiple signature algorithms can be easily used properly Of course,
When a new signature engine or a new signature algorithm is added to an existing system, the addition can be easily performed without affecting a higher-level application.
【図1】本発明の原理を説明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【図2】本発明の原理構成図である。FIG. 2 is a principle configuration diagram of the present invention.
【図3】本発明におけるアクセスシステムの構成図であ
る。FIG. 3 is a configuration diagram of an access system according to the present invention.
【図4】本発明における鍵対生成時の処理の流れを説明
するための図である。FIG. 4 is a diagram for explaining a flow of processing when generating a key pair in the present invention.
【図5】本発明の秘密鍵管理テーブルの例である。FIG. 5 is an example of a secret key management table of the present invention.
【図6】本発明における署名生成処理の流れを説明する
ための図である。FIG. 6 is a diagram illustrating a flow of a signature generation process according to the present invention.
【図7】本発明の一実施例の署名生成のための事前処理
を説明するための図である。FIG. 7 is a diagram for explaining preprocessing for signature generation according to an embodiment of the present invention.
【図8】本発明の一実施例の秘密鍵管理テーブルの設定
例である。FIG. 8 is a setting example of a secret key management table according to an embodiment of the present invention.
【図9】本発明の一実施例の署名エンジン依存情報の設
定例である。FIG. 9 is a setting example of signature engine-dependent information according to an embodiment of the present invention.
【図10】本発明の一実施例の署名生成処理を説明する
ための図である。FIG. 10 is a diagram illustrating a signature generation process according to an embodiment of the present invention.
【図11】電子署名生成の流れと署名エンジンの構成図
である。FIG. 11 is a diagram showing a flow of digital signature generation and a configuration of a signature engine.
【図12】従来の署名エンジンへの署名生成依頼処理の
流れを説明するための図である。FIG. 12 is a diagram illustrating a flow of a conventional signature generation request processing to a signature engine.
100 秘密鍵制御部 110 秘密鍵管理テーブル作成手段、秘密鍵管理テー
ブル作成部 120 署名エンジンアクセス依頼受付手段、署名エン
ジンアクセス依頼受付部 130 署名エンジン依存情報登録手段、署名エンジン
依存情報登録部 140 秘密鍵情報参照手段、秘密鍵情報参照部 150 秘密鍵管理テーブル 160 署名エンジンアクセス制御手段、署名エンジン
アクセス制御部 161 署名エンジン依存情報 170 署名アクセスモジュールA 180 署名アクセスモジュールB 200 署名エンジン、署名エンジンA 210 ハッシュ処理部 220 署名生成部 230 秘密鍵格納部 240 鍵対生成部 300 署名エンジンB 320 署名生成部 330 秘密鍵格納部 340 鍵対生成部 400 上位アプリケーションReference Signs List 100 secret key control unit 110 secret key management table creation unit, secret key management table creation unit 120 signature engine access request receiving unit, signature engine access request reception unit 130 signature engine dependent information registration unit, signature engine dependent information registration unit 140 secret key Information reference means, secret key information reference section 150 Private key management table 160 Signature engine access control means, signature engine access control section 161 Signature engine dependent information 170 Signature access module A 180 Signature access module B 200 Signature engine, signature engine A 210 hash Processing unit 220 Signature generation unit 230 Private key storage unit 240 Key pair generation unit 300 Signature engine B 320 Signature generation unit 330 Private key storage unit 340 Key pair generation unit 400 Host application
Claims (12)
て公開鍵暗号技術を用いた電子署名を作成するための電
子署名エンジンを有する情報処理システムにおける署名
エンジンを用いた電子署名の生成及び、秘密鍵/公開鍵
の鍵対の生成を行う複数の異なる署名エンジンに対する
共通的なアクセス方法において、 複数の秘密鍵情報を管理する秘密鍵管理テーブルを作成
し、 署名エンジンに依存した署名エンジン依存情報を登録
し、管理し、 前記署名エンジンへのアクセス依頼を受け付け、 指定された鍵名称を取得し、 前記秘密鍵管理テーブルから前記鍵名称に対応する鍵対
生成または、署名作成に必要な情報を取得し、 任意の署名エンジンに対して鍵対生成処理または、署名
生成処理を依頼することを特徴とする複数の異なる署名
エンジンに対する共通的なアクセス方法。1. An information processing system having an electronic signature engine for creating an electronic signature using a public key encryption technique for a plaintext or a plaintext digest, generating an electronic signature using a signature engine and a secret key. / Create a private key management table that manages multiple private key information in a common access method for multiple different signature engines that generate key pairs of public keys, and register signature engine dependent information depending on the signature engine Receiving an access request to the signature engine, acquiring a designated key name, and acquiring information required for generating a key pair corresponding to the key name or creating a signature from the secret key management table. A plurality of different signature engines requesting a key pair generation process or a signature generation process from an arbitrary signature engine Common access method for.
称に対応する署名作成に必要な情報として、 前記鍵名称に対応付けられた署名エンジン種別、鍵格納
場所、署名アルゴリズム、ハッシュアルゴリズムの署名
生成に必要な情報を取得し、 取得した前記署名エンジン種別情報に対応するアクセス
モジュール種別と入力データのハッシュ化の要否情報を
前記署名エンジン依存情報から取得し、 ハッシュ化が必要な場合には、前記秘密管理テーブルか
ら取得したハッシュアルゴリズムによる署名対象データ
のハッシュデータ及び鍵格納場所、及び署名アルゴリズ
ム情報を、ハッシュ化が不要な場合には、署名対象デー
タ、鍵格納場所、及び署名アルゴリズム及びハッシュア
ルゴリズム情報を、選択されたアクセスモジュールを介
して前記署名エンジンへ送付し、署名生成依頼を行う請
求項1記載の複数の異なる署名エンジンに対する共通的
なアクセス方法。2. The signature generation of a signature engine type, a key storage location, a signature algorithm, and a hash algorithm associated with the key name as information necessary for creating a signature corresponding to the key name from the secret key management table. The required information is obtained from the signature engine dependent information, and the access module type corresponding to the obtained signature engine type information and the necessity of hashing the input data are obtained from the signature engine dependent information. If the hash data and key storage location of the data to be signed by the hash algorithm obtained from the secret management table and the key storage location and the signature algorithm information are not required, the data to be signed, the key storage location, the signature algorithm and the hash algorithm The information is passed through the selected access module to the signature The common access method for a plurality of different signature engines according to claim 1, wherein the signature engine is sent to the engine and a signature generation request is made.
た署名エンジン種別、鍵格納場所、署名アルゴリズム、
鍵パラメータの鍵対生成に必要な情報を取得し、 取得した前記署名エンジン種別に対応するアクセスモジ
ュール種別情報を前記署名エンジン依存情報から取得
し、 前記鍵格納場所、前記署名アルゴリズム、及び前記鍵パ
ラメータを選択されたアクセスモジュールを介して署名
エンジンへ送付し、鍵対生成を依頼し、 前記署名エンジンにおいて、依頼された鍵対を生成する
請求項1記載の複数の異なる署名エンジンに対する共通
的なアクセス方法。3. When generating the key pair, a key name specified by a user is obtained, and a signature engine type, a key storage location, a signature algorithm, and a signature engine associated with the key name are obtained from the secret key management table.
Obtaining information required for generating a key pair of a key parameter; obtaining access module type information corresponding to the obtained signature engine type from the signature engine-dependent information; the key storage location, the signature algorithm, and the key parameter 2. A common access to a plurality of different signature engines according to claim 1, wherein the request is sent to the signature engine via the selected access module to request generation of a key pair, and the signature engine generates the requested key pair. Method.
て、該鍵名称に対応する秘密鍵が格納されている署名エ
ンジン種別と、鍵格納場所と、秘密鍵が適用される署名
アルゴリズムと、鍵長を含む鍵パラメータ情報と、署名
生成時に署名対象データをハッシュ化するためのハッシ
ュアルゴリズム種別とを、前記秘密鍵管理テーブルに保
持する請求項2または、3記載の複数の異なる署名エン
ジンに対する共通的なアクセス方法。4. For the key name specified by the user, a signature engine type in which a secret key corresponding to the key name is stored, a key storage location, and a signature algorithm to which the secret key is applied. 4. The method according to claim 2, wherein key parameter information including a key length and a hash algorithm type for hashing the data to be signed at the time of signature generation are stored in the secret key management table. Common access method.
て公開鍵暗号技術を用いた電子署名を作成するための電
子署名エンジンを有する情報処理システムにおける署名
エンジンを用いた電子署名の生成及び、秘密鍵/公開鍵
の鍵対の生成を行う複数の異なる署名エンジンに対する
共通的なアクセスシステムであって、 複数の秘密鍵の管理や複数の電子署名アルゴリズムの利
用が可能な任意の数の電子署名エンジンと、 複数の秘密鍵情報を管理する秘密鍵管理テーブルを作成
する秘密鍵管理テーブル作成手段と、 署名エンジンに依存した情報である署名エンジン依存情
報を登録し、管理する署名エンジン依存情報登録手段
と、 前記署名エンジンへのアクセス依頼を受け付け、指定さ
れた鍵名称を取得する署名エンジンアクセス依頼受付手
段と、 前記秘密鍵管理テーブルから前記鍵名称に対応する秘密
鍵情報及び、署名作成に必要な情報を取得する秘密鍵情
報参照手段と、 任意の署名エンジンに対して鍵対生成処理または、署名
生成処理を依頼する署名エンジンアクセス制御手段とを
有することを特徴とする複数の異なる署名エンジンに対
する共通的なアクセスシステム。5. A method for generating an electronic signature using a signature engine in an information processing system having an electronic signature engine for creating an electronic signature using a public key encryption technique for a plaintext or a plaintext digest, and a secret key A common access system for a plurality of different signature engines for generating a key pair of a public key, and an arbitrary number of digital signature engines capable of managing a plurality of private keys and using a plurality of digital signature algorithms. A secret key management table creating means for creating a secret key management table for managing a plurality of secret key information; a signature engine dependent information registering means for registering and managing signature engine dependent information that is information dependent on the signature engine; A signature engine access request receiving means for receiving an access request to the signature engine and acquiring a specified key name; Secret key information corresponding to the key name from the secret key management table and secret key information reference means for obtaining information necessary for signature creation; and a key pair generation process or a signature generation process for an arbitrary signature engine. A common access system for a plurality of different signature engines, comprising a requesting signature engine access control means.
名作成に必要な情報として、該鍵名称に対応付けられた
署名エンジン種別、鍵格納場所、署名アルゴリズム、ハ
ッシュアルゴリズムの署名生成に必要な情報を取得する
手段を有し、前記署名エンジンアクセス制御手段は、 取得した前記署名エンジン種別情報に対応するアクセス
モジュール種別と入力データのハッシュ化の要否情報を
署名エンジン依存情報から取得する手段と、 ハッシュ化が必要な場合には、前記秘密管理テーブルか
ら取得したハッシュアルゴリズムによる署名対象データ
のハッシュデータ及び鍵格納場所、及び署名アルゴリズ
ム情報を、ハッシュ化が不要な場合には、署名対象デー
タ、鍵格納場所、及び署名アルゴリズム及びハッシュア
ルゴリズム情報を、選択されたアクセスモジュールを介
して前記署名エンジンへ送付し、署名生成依頼を行う手
段を有する請求項5記載の複数の異なる署名エンジンに
対する共通的なアクセスシステム。6. The secret key information reference means, as information necessary for creating a signature corresponding to the key name from the secret key management table, a signature engine type associated with the key name, a key storage location, Means for acquiring information required for signature generation of a signature algorithm and a hash algorithm, wherein the signature engine access control means determines whether an access module type corresponding to the obtained signature engine type information and hashing of input data are necessary. Means for obtaining information from the signature engine-dependent information; and, if hashing is necessary, hashing the hash data and key storage location of the data to be signed by the hash algorithm obtained from the secret management table, and the signature algorithm information. If the signature is unnecessary, the data to be signed, the key storage location, and the signature algorithm and 6. The common access system for a plurality of different signature engines according to claim 5, further comprising means for sending the signature engine and the hash algorithm information to the signature engine via the selected access module, and requesting a signature generation.
と、 前記秘密鍵管理テーブルから前記鍵名称に対応付けられ
た署名エンジン種別、鍵格納場所、署名アルゴリズム、
鍵パラメータの鍵対生成に必要な情報を取得する手段
と、 取得した前記署名エンジン種別に対応するアクセスモジ
ュール種別情報を前記署名エンジン依存情報から取得す
る手段と、 前記鍵格納場所、前記署名アルゴリズム、及び前記鍵パ
ラメータを選択されたアクセスモジュールを介して署名
エンジンへ送付し、鍵対生成を依頼する手段とを有する
鍵対生成依頼手段を更に有し、 前記署名エンジンにおいて、依頼された鍵対を生成する
請求項5記載の複数の異なる署名エンジンに対する共通
的なアクセスシステム。7. A means for acquiring a key name specified by a user, a signature engine type, a key storage location, a signature algorithm, and a signature engine associated with the key name from the secret key management table.
Means for obtaining information necessary for key pair generation of key parameters; means for obtaining access module type information corresponding to the obtained signature engine type from the signature engine dependent information; and the key storage location, the signature algorithm, And a means for sending the key parameter to the signature engine via the selected access module, and a means for requesting the generation of a key pair. 6. A common access system for generating a plurality of different signature engines according to claim 5.
対応する秘密鍵が格納されている署名エンジン種別と、
鍵格納場所と、秘密鍵が適用される署名アルゴリズム
と、鍵長を含む鍵パラメータ情報と、署名生成時に署名
対象データをハッシュ化するためのハッシュアルゴリズ
ム種別とを保持する請求項6または、7記載の複数の異
なる署名エンジンに対する共通的なアクセスシステム。8. The secret key management table includes: for the key name specified by the user, a signature engine type in which a secret key corresponding to the key name is stored;
8. A key storage location, a signature algorithm to which a secret key is applied, key parameter information including a key length, and a hash algorithm type for hashing signature target data at the time of signature generation. Common access system for several different signature engines.
て公開鍵暗号技術を用いた電子署名を作成するための電
子署名エンジンを有する情報処理システムにおける署名
エンジンを用いた電子署名の生成及び、秘密鍵/公開鍵
の鍵対の生成を行う複数の異なる署名エンジンに対する
共通的なアクセスプログラムを格納した記憶媒体であっ
て、 複数の秘密鍵情報を管理する秘密鍵管理テーブルを作成
する秘密鍵管理テーブル作成プロセスと、 複数の秘密鍵の管理や複数の電子署名アルゴリズムの利
用が可能な任意の数の電子署名エンジンに依存した情報
である署名エンジン依存情報を登録し、管理する署名エ
ンジン依存情報登録プロセスと、 前記署名エンジンへのアクセス依頼を受け付け、指定さ
れた鍵名称を取得する署名エンジンアクセス依頼受付プ
ロセスと、 前記秘密鍵管理テーブルから前記鍵名称に対応する秘密
鍵情報及び、署名作成に必要な情報を取得する秘密鍵情
報参照プロセスと、 任意の署名エンジンに対して鍵対生成処理または、署名
生成処理を依頼する署名エンジンアクセス制御プロセス
とを有することを特徴とする複数の異なる署名エンジン
に対する共通的なアクセスプログラムを格納した記憶媒
体。9. A method for generating an electronic signature using a signature engine in an information processing system having an electronic signature engine for creating an electronic signature using a public key encryption technique for a plaintext or a plaintext digest, and a secret key A storage medium storing a common access program for a plurality of different signature engines for generating a key pair of a public key, and creating a secret key management table for managing a plurality of secret key information A signature engine dependent information registration process for registering and managing a process and signature engine dependent information that is information dependent on an arbitrary number of electronic signature engines capable of managing a plurality of private keys and using a plurality of digital signature algorithms. A signature engine access request for receiving an access request to the signature engine and acquiring a designated key name A reception process, a secret key information corresponding to the key name from the secret key management table, and a secret key information reference process for acquiring information necessary for signature creation, and a key pair generation process for an arbitrary signature engine, A storage medium storing a common access program for a plurality of different signature engines, comprising a signature engine access control process for requesting a signature generation process.
名作成に必要な情報として、該鍵名称に対応付けられた
署名エンジン種別、鍵格納場所、署名アルゴリズム、ハ
ッシュアルゴリズムの署名生成に必要な情報を取得する
プロセスを有し、 前記署名エンジンアクセス制御プロセスは、 取得した前記署名エンジン種別情報に対応するアクセス
モジュール種別と入力データのハッシュ化の要否情報を
署名エンジン依存情報から取得するプロセスと、 ハッシュ化が必要な場合には、前記秘密管理テーブルか
ら取得したハッシュアルゴリズムによる署名対象データ
のハッシュデータ及び鍵格納場所、及び署名アルゴリズ
ム情報を、ハッシュ化が不要な場合には、署名対象デー
タ、鍵格納場所、及び署名アルゴリズム及びハッシュア
ルゴリズム情報を、選択されたアクセスモジュールを介
して前記署名エンジンへ送付し、署名生成依頼を行うプ
ロセスを有する請求項9記載の複数の異なる署名エンジ
ンに対する共通的なアクセスプログラムを格納した記憶
媒体。10. The secret key information reference process includes, as information necessary for creating a signature corresponding to the key name, a signature engine type associated with the key name, a key storage location, A signature algorithm, a process for acquiring information required for generating a signature of a hash algorithm, wherein the signature engine access control process comprises: determining whether an access module type corresponding to the acquired signature engine type information and hashing of input data are required. A process of obtaining information from signature engine-dependent information; and, if hashing is required, hashing the hash data and key storage location of the data to be signed by the hash algorithm obtained from the secret management table, and the signature algorithm information. Is not required, the data to be signed, the key storage location, 10. A common access program for a plurality of different signature engines according to claim 9, further comprising a process of sending signature algorithm and hash algorithm information to the signature engine via a selected access module and requesting a signature generation. Storage medium.
ロセスと、 前記秘密鍵管理テーブルから前記鍵名称に対応付けられ
た署名エンジン種別、鍵格納場所、署名アルゴリズム、
鍵パラメータの鍵対生成に必要な情報を取得するプロセ
スと、 取得した前記署名エンジン種別に対応するアクセスモジ
ュール種別情報を前記署名エンジン依存情報から取得す
るプロセスと、 前記鍵格納場所、前記署名アルゴリズム、及び前記鍵パ
ラメータを選択されたアクセスモジュールを介して署名
エンジンへ送付し、鍵対生成を依頼するプロセスとを有
する鍵対生成依頼プロセスを更に有する請求項9記載の
複数の異なる署名エンジンに対する共通的なアクセスプ
ログラムを格納した記憶媒体。11. A process for obtaining a key name specified by a user, a signature engine type, a key storage location, a signature algorithm, and a signature engine associated with the key name from the secret key management table.
A process of acquiring information necessary for key pair generation of a key parameter; a process of acquiring access module type information corresponding to the acquired signature engine type from the signature engine dependent information; a key storage location; the signature algorithm; And transmitting the key parameter to the signature engine via the selected access module, and requesting a key pair generation. 10. The common key generation process according to claim 9, further comprising: Storage medium storing various access programs.
して、該鍵名称に対応する秘密鍵が格納されている署名
エンジン種別と、鍵格納場所と、秘密鍵が適用される署
名アルゴリズムと、鍵長を含む鍵パラメータ情報と、署
名生成時に署名対象データをハッシュ化するためのハッ
シュアルゴリズム種別とを保持する前記秘密鍵管理テー
ブルを利用するプロセスを有する請求項10または、1
1記載の複数の異なる署名エンジンに対する共通的なア
クセスプログラムを格納した記憶媒体。12. For the key name specified by the user, a signature engine type in which a secret key corresponding to the key name is stored, a key storage location, and a signature algorithm to which the secret key is applied. 11. A process using the secret key management table for holding key parameter information including a key length and a hash algorithm type for hashing data to be signed at the time of signature generation.
1. A storage medium storing a common access program for a plurality of different signature engines according to 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22141399A JP3982570B2 (en) | 1999-08-04 | 1999-08-04 | Common access method and system for a plurality of different signature engines, and storage medium storing a common access program for a plurality of different signature engines |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22141399A JP3982570B2 (en) | 1999-08-04 | 1999-08-04 | Common access method and system for a plurality of different signature engines, and storage medium storing a common access program for a plurality of different signature engines |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001044988A true JP2001044988A (en) | 2001-02-16 |
| JP3982570B2 JP3982570B2 (en) | 2007-09-26 |
Family
ID=16766359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP22141399A Expired - Lifetime JP3982570B2 (en) | 1999-08-04 | 1999-08-04 | Common access method and system for a plurality of different signature engines, and storage medium storing a common access program for a plurality of different signature engines |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3982570B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005303676A (en) * | 2004-04-12 | 2005-10-27 | Canon Inc | Image forming device, paired key generating method, and computer program |
| JP2006197127A (en) * | 2005-01-12 | 2006-07-27 | Ntt Docomo Inc | Communication device, digital signature verifying method, and digital signature generating method |
| US8015393B2 (en) | 2004-04-12 | 2011-09-06 | Canon Kabushiki Kaisha | Data processing device, encryption communication method, key generation method, and computer program |
-
1999
- 1999-08-04 JP JP22141399A patent/JP3982570B2/en not_active Expired - Lifetime
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005303676A (en) * | 2004-04-12 | 2005-10-27 | Canon Inc | Image forming device, paired key generating method, and computer program |
| US8015393B2 (en) | 2004-04-12 | 2011-09-06 | Canon Kabushiki Kaisha | Data processing device, encryption communication method, key generation method, and computer program |
| USRE48381E1 (en) | 2004-04-12 | 2021-01-05 | Canon Kabushiki Kaisha | Data processing device, encryption communication method, key generation method, and computer program |
| JP2006197127A (en) * | 2005-01-12 | 2006-07-27 | Ntt Docomo Inc | Communication device, digital signature verifying method, and digital signature generating method |
| JP4704045B2 (en) * | 2005-01-12 | 2011-06-15 | 株式会社エヌ・ティ・ティ・ドコモ | Communication apparatus, digital signature verification method, and digital signature generation method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3982570B2 (en) | 2007-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4109874B2 (en) | Information processing apparatus, control method therefor, program, and recording medium | |
| JP4263421B2 (en) | Serverless distributed file system | |
| US8693690B2 (en) | Organizing an extensible table for storing cryptographic objects | |
| US7664829B2 (en) | Document managing system, document managing apparatus and document managing method | |
| US8701168B2 (en) | Method and apparatus for associating a digital certificate with an enterprise profile | |
| US8627077B2 (en) | Transparent authentication process integration | |
| JP4093723B2 (en) | Electronic signature method and apparatus for structured document | |
| US8051280B2 (en) | Operating environment configuration system and method | |
| US8316230B2 (en) | Service for determining whether digital certificate has been revoked | |
| JP2007257405A (en) | Document management device, document managing method, storage medium, and program | |
| KR19980042805A (en) | Methods, devices and products to verify that the data in the data file is genuine | |
| JP2009089044A (en) | Apparatus, method and program for encryption management | |
| WO2014003955A1 (en) | System and method for end-to-end exposure of exported representations of native data types to third-party applications | |
| US6975727B1 (en) | Dynamic security credential generation system and method | |
| JP2009100462A (en) | Encryption management apparatus, decryption management apparatus, and program | |
| CN111274268A (en) | Internet of things data transmission method, device, medium and electronic equipment | |
| CN111753320A (en) | Data encryption method and device based on interceptor and computer equipment | |
| US9032541B2 (en) | Information processing system, information processing apparatus, and computer-readable storage medium | |
| EP4224316A1 (en) | Mirror image management method and apparatus | |
| JP4289817B2 (en) | Information management apparatus and method | |
| JP2001044988A (en) | Method and system for accessing to different signature engines in common and storage medium stored with access program to different signature engiens in common | |
| JP2000029751A (en) | Log managing method/device | |
| JP3756457B2 (en) | Directory function device with access control and program | |
| US20240022418A1 (en) | Cryptographic processing | |
| CN111507706B (en) | Method, device, computer equipment and storage medium for browsing and storing data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20040326 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060731 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061020 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070119 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070509 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070626 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3982570 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110713 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120713 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130713 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |