JP2002139996A - 署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法 - Google Patents
署名検証支援装置、公開鍵証明証正当性確認方法、電子署名検証方法及び電子署名生成方法Info
- Publication number
- JP2002139996A JP2002139996A JP2000334803A JP2000334803A JP2002139996A JP 2002139996 A JP2002139996 A JP 2002139996A JP 2000334803 A JP2000334803 A JP 2000334803A JP 2000334803 A JP2000334803 A JP 2000334803A JP 2002139996 A JP2002139996 A JP 2002139996A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- public key
- key certificate
- validity
- verifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】電子署名の正当性を確認する際に用いられる署
名生成者の公開鍵証明証の正当性の確認処理の負担を軽
減する。 【解決手段】署名検証者に代わって署名生成者の公開鍵
証明証の正当性を確認する署名検証支援装置であって、
装置の公開鍵を各CAに登録し、発行された公開鍵証明
証を対応する秘密鍵と関連付けて保管し、各CAの公開
鍵証明証を保存する鍵対管理手段と、署名生成者公開鍵
証明証取得手段と、署名生成者の公開鍵証明証正当性確
認手段と、確認結果報告書を作成する確認結果作成手段
と、確認結果に対して署名検証者が認証を受けているC
Aと同一のCAに登録した装置自身の公開鍵証明証に対
応する秘密鍵を用いて電子署名を生成する署名検証者登
録CA別署名生成手段と、確認結果、電子署名、及び装
置自身の公開鍵証明証を署名検証者に送付する結果通知
手段とから構成される。
名生成者の公開鍵証明証の正当性の確認処理の負担を軽
減する。 【解決手段】署名検証者に代わって署名生成者の公開鍵
証明証の正当性を確認する署名検証支援装置であって、
装置の公開鍵を各CAに登録し、発行された公開鍵証明
証を対応する秘密鍵と関連付けて保管し、各CAの公開
鍵証明証を保存する鍵対管理手段と、署名生成者公開鍵
証明証取得手段と、署名生成者の公開鍵証明証正当性確
認手段と、確認結果報告書を作成する確認結果作成手段
と、確認結果に対して署名検証者が認証を受けているC
Aと同一のCAに登録した装置自身の公開鍵証明証に対
応する秘密鍵を用いて電子署名を生成する署名検証者登
録CA別署名生成手段と、確認結果、電子署名、及び装
置自身の公開鍵証明証を署名検証者に送付する結果通知
手段とから構成される。
Description
【0001】
【発明の属する技術分野】本発明は、コンピュータネッ
トワーク上でEDI(Electronic Data Interchange:電子デ
ータ交換)やEC(Electronic Commerce:電子商取引)を実
現するために必要となる、公開鍵暗号を用いた電子署名
技術及びCAが発行する公開鍵証明証の正当性確認方法
に関するものである。
トワーク上でEDI(Electronic Data Interchange:電子デ
ータ交換)やEC(Electronic Commerce:電子商取引)を実
現するために必要となる、公開鍵暗号を用いた電子署名
技術及びCAが発行する公開鍵証明証の正当性確認方法
に関するものである。
【0002】
【従来の技術】コンピュータネットワークを介して電子
データを送受信する場合に、なりすましや改竄などの脅
威を回避した安全な通信を実現する方式として、電子署
名を利用する方法が知られている。この電子署名を実現
する暗号技術としては、公開鍵暗号方式であるRSA(Rive
st Shamir Adleman)やESIGN(イー・サイン)などが広く
知られるところとなっており、送信者側(署名生成者)
における電子署名生成手段と、受信者側(署名検証者)
における電子署名検証手段を対で利用することにより電
子署名が実現される。また、受信者側における電子署名
検証手段において、署名付与者の本人性を確実に確認す
るための方法としては、認証局(以下、CA(Certifica
tion Authority)と呼ぶ。)と呼ばれる第三者機関が発
行する公開鍵証明証を用いて署名検証を行う方法が、世
の中で広く知られているところとなっている。
データを送受信する場合に、なりすましや改竄などの脅
威を回避した安全な通信を実現する方式として、電子署
名を利用する方法が知られている。この電子署名を実現
する暗号技術としては、公開鍵暗号方式であるRSA(Rive
st Shamir Adleman)やESIGN(イー・サイン)などが広く
知られるところとなっており、送信者側(署名生成者)
における電子署名生成手段と、受信者側(署名検証者)
における電子署名検証手段を対で利用することにより電
子署名が実現される。また、受信者側における電子署名
検証手段において、署名付与者の本人性を確実に確認す
るための方法としては、認証局(以下、CA(Certifica
tion Authority)と呼ぶ。)と呼ばれる第三者機関が発
行する公開鍵証明証を用いて署名検証を行う方法が、世
の中で広く知られているところとなっている。
【0003】図1を用いて、一般的な署名生成方法及び
公開鍵証明証を用いた署名検証方法を説明する。署名生
成者Aは、あらかじめ秘密鍵と公開鍵の鍵対を生成し、
このうちの公開鍵をCAに登録して公開鍵証明証の発行
を受けておく。続いて、電子署名を生成する際におい
て、署名対象データを用意し、これに対して自らの
秘密鍵を用いて電子署名を生成する。署名対象デー
タ、生成した電子署名、公開鍵証明証を署名検証者Bに
送付する。
公開鍵証明証を用いた署名検証方法を説明する。署名生
成者Aは、あらかじめ秘密鍵と公開鍵の鍵対を生成し、
このうちの公開鍵をCAに登録して公開鍵証明証の発行
を受けておく。続いて、電子署名を生成する際におい
て、署名対象データを用意し、これに対して自らの
秘密鍵を用いて電子署名を生成する。署名対象デー
タ、生成した電子署名、公開鍵証明証を署名検証者Bに
送付する。
【0004】署名検証者Bは、署名対象データ、署名
生成者Aが生成した電子署名及びその署名生成に用いた
秘密鍵に対応する公開鍵証明書のデータを取得し、ま
ず、署名生成者Aの公開鍵証明証が正当であることを
確認し、続いて、この正当性が確認された公開鍵証明
証を用いて、署名対象データに付与されている電子署名
の正当性を署名検証手段により確認する。ここで、署名
検証者Bが署名生成者Aの公開鍵証明証が正当であるこ
とを確認する方法を以下に説明する。 (公開鍵証明証正当性確認方法1)署名生成者Aの公開
鍵証明証には、CAによって生成された電子署名が付与
されており、この電子署名の正当性を確認することによ
って、公開鍵証明証の正当性が確認される。CAが付与
した電子署名はCAの公開鍵によって検証されることに
なるが、このCAの公開鍵が確かにCAのものであるこ
とが確認された公開鍵でないと公開鍵証明証の正当性が
確認されないため、利用者は、自らが信頼するCAか
ら、CA自身の公開鍵をあらかじめ安全な手段によって
取得しておくことが一般的である。例えば図1に示すよ
うに、署名生成者Aと署名検証者Bが同一のCAから認
証されている場合、署名検証者Bは、信頼するCA1か
ら安全な手段によりCA1の公開鍵をあらかじめ取得し
ておき、これを用いて署名生成者Aの公開鍵証明証の電
子署名(CA1)を検証する。署名生成者Aの公開鍵証
明証は、CA1から発行されているため、CA1の電子
署名が付与されており、CA1の公開鍵を用いて検証可
能である。さらに、上記CA1の公開鍵による公開鍵証
明証の署名検証が正常に終了した場合でも、対象公開鍵
証明証がその所有者(署名生成者A)によって無効化さ
れている可能性もあるため、署名検証者Bは、対象公開
鍵証明証が無効化されていないことを、CAが発行する
無効化リスト(CRL:Certificate Revocation List)や、
検証局(VA:Validation Authority)への問合わせにより
確認することが一般に必要とされる。 (公開鍵証明証正当性確認方法2)複数のCAが存在
し、CA間で信頼の階層を構築している環境下におい
て、異なるCAから認証されている利用者の公開鍵証明
証の正当性を確認する際には、CA間の信頼関係を確認
し、最終的に同一のCAを信頼していることを確認する
ことによって、その正当性を確認する。例えば、図2に
示すように、CA1、CA2、CA3が信頼の階層を構
築している環境下で、CA2から認証されている署名生
成者Aの公開鍵証明証の正当性を、CA3から認証され
ている署名検証者Bが確認したい場合、署名検証者B
は、信頼するCA3の公開鍵とは別に階層構成全体で共
通に信頼されているCA1の公開鍵をあらかじめ安全な
手段により取得しておき、まず、署名生成者Aの公開鍵
証明証をCA1が発行したCA2の公開鍵証明証を用い
て署名検証し、その正当性が確認された後、続いて前記
CA2の公開鍵証明証を前記CA1の公開鍵を用いて署
名検証し、CA2の公開鍵証明証の正当性を確認する。
そしてさらに、この正当性確認のために用いた公開鍵証
明証(署名生成者Aの公開鍵証明証とCA2の公開鍵証
明証)が無効化されていないことを上記と同様に確認す
る。
生成者Aが生成した電子署名及びその署名生成に用いた
秘密鍵に対応する公開鍵証明書のデータを取得し、ま
ず、署名生成者Aの公開鍵証明証が正当であることを
確認し、続いて、この正当性が確認された公開鍵証明
証を用いて、署名対象データに付与されている電子署名
の正当性を署名検証手段により確認する。ここで、署名
検証者Bが署名生成者Aの公開鍵証明証が正当であるこ
とを確認する方法を以下に説明する。 (公開鍵証明証正当性確認方法1)署名生成者Aの公開
鍵証明証には、CAによって生成された電子署名が付与
されており、この電子署名の正当性を確認することによ
って、公開鍵証明証の正当性が確認される。CAが付与
した電子署名はCAの公開鍵によって検証されることに
なるが、このCAの公開鍵が確かにCAのものであるこ
とが確認された公開鍵でないと公開鍵証明証の正当性が
確認されないため、利用者は、自らが信頼するCAか
ら、CA自身の公開鍵をあらかじめ安全な手段によって
取得しておくことが一般的である。例えば図1に示すよ
うに、署名生成者Aと署名検証者Bが同一のCAから認
証されている場合、署名検証者Bは、信頼するCA1か
ら安全な手段によりCA1の公開鍵をあらかじめ取得し
ておき、これを用いて署名生成者Aの公開鍵証明証の電
子署名(CA1)を検証する。署名生成者Aの公開鍵証
明証は、CA1から発行されているため、CA1の電子
署名が付与されており、CA1の公開鍵を用いて検証可
能である。さらに、上記CA1の公開鍵による公開鍵証
明証の署名検証が正常に終了した場合でも、対象公開鍵
証明証がその所有者(署名生成者A)によって無効化さ
れている可能性もあるため、署名検証者Bは、対象公開
鍵証明証が無効化されていないことを、CAが発行する
無効化リスト(CRL:Certificate Revocation List)や、
検証局(VA:Validation Authority)への問合わせにより
確認することが一般に必要とされる。 (公開鍵証明証正当性確認方法2)複数のCAが存在
し、CA間で信頼の階層を構築している環境下におい
て、異なるCAから認証されている利用者の公開鍵証明
証の正当性を確認する際には、CA間の信頼関係を確認
し、最終的に同一のCAを信頼していることを確認する
ことによって、その正当性を確認する。例えば、図2に
示すように、CA1、CA2、CA3が信頼の階層を構
築している環境下で、CA2から認証されている署名生
成者Aの公開鍵証明証の正当性を、CA3から認証され
ている署名検証者Bが確認したい場合、署名検証者B
は、信頼するCA3の公開鍵とは別に階層構成全体で共
通に信頼されているCA1の公開鍵をあらかじめ安全な
手段により取得しておき、まず、署名生成者Aの公開鍵
証明証をCA1が発行したCA2の公開鍵証明証を用い
て署名検証し、その正当性が確認された後、続いて前記
CA2の公開鍵証明証を前記CA1の公開鍵を用いて署
名検証し、CA2の公開鍵証明証の正当性を確認する。
そしてさらに、この正当性確認のために用いた公開鍵証
明証(署名生成者Aの公開鍵証明証とCA2の公開鍵証
明証)が無効化されていないことを上記と同様に確認す
る。
【0005】以上の処理により、署名検証者Bは署名生
成者Aの公開鍵証明証を発行したCA2を直接には信頼
していなくとも、最終的に署名生成者Aと署名検証者B
がCA1を共通に信頼していることを確認することによ
り、署名生成者Aを認証することが可能となる。
成者Aの公開鍵証明証を発行したCA2を直接には信頼
していなくとも、最終的に署名生成者Aと署名検証者B
がCA1を共通に信頼していることを確認することによ
り、署名生成者Aを認証することが可能となる。
【0006】
【発明が解決しようとする課題】上記に示した従来手法
による署名生成者の公開鍵証明証の正当性確認方法で
は、署名生成者と署名検証者が異なるCAから認証され
ている場合、署名検証者がCA間の信頼関係まで確認す
る必要があるため、同じCAから認証されていた場合に
比べて、署名検証者による署名生成者の公開鍵証明証の
正当性確認処理の負担が大きくなってしまうという課題
があった。また、署名生成者と署名検証者が異なるCA
から認証されており、かつその異なるCA間の信頼関係
を確認するための公開鍵証明証が発行されていない場合
には、署名検証者は署名生成者の公開鍵証明証の正当性
を確認することができないという課題もあった。
による署名生成者の公開鍵証明証の正当性確認方法で
は、署名生成者と署名検証者が異なるCAから認証され
ている場合、署名検証者がCA間の信頼関係まで確認す
る必要があるため、同じCAから認証されていた場合に
比べて、署名検証者による署名生成者の公開鍵証明証の
正当性確認処理の負担が大きくなってしまうという課題
があった。また、署名生成者と署名検証者が異なるCA
から認証されており、かつその異なるCA間の信頼関係
を確認するための公開鍵証明証が発行されていない場合
には、署名検証者は署名生成者の公開鍵証明証の正当性
を確認することができないという課題もあった。
【0007】
【課題を解決するための手段】上記に示した課題を解決
するために、本発明では、署名検証者に代わって、署名
生成者が付与した電子署名を検証するために用いる署名
生成者の公開鍵証明証の正当性を確認し、その結果を署
名検証者に通知する署名検証支援装置を用意し、これを
用いた署名検証システムを実現する。本発明の目的は、
署名生成者と署名検証者が異なるCAから認証されてい
る場合においても、署名検証者による公開鍵証明証の正
当性確認処理の負担が増大しない署名検証システムにお
ける署名検証支援装置、公開鍵証明証正当性確認方法、
電子署名検証方法及び電子署名生成方法を提供すること
である。
するために、本発明では、署名検証者に代わって、署名
生成者が付与した電子署名を検証するために用いる署名
生成者の公開鍵証明証の正当性を確認し、その結果を署
名検証者に通知する署名検証支援装置を用意し、これを
用いた署名検証システムを実現する。本発明の目的は、
署名生成者と署名検証者が異なるCAから認証されてい
る場合においても、署名検証者による公開鍵証明証の正
当性確認処理の負担が増大しない署名検証システムにお
ける署名検証支援装置、公開鍵証明証正当性確認方法、
電子署名検証方法及び電子署名生成方法を提供すること
である。
【0008】
【発明の実施の形態】(電子署名検証システム)図3に
本発明が適用される電子署名検証システムの概略構成を
示す。このシステムは署名生成者端末(署名生成者
A)、署名検証者端末(署名検証者B)、署名検証支援
装置、及び複数のCAがネットワークを介して接続され
ている。まず本発明における署名検証システム内に含ま
れる署名検証支援装置、署名検証者端末、及び署名生成
者端末の構成に必要な各手段を以下に説明する。 [署名検証支援装置](10) ・鍵対管理手段(11) 複数のCAに対してそれぞれ自らの公開鍵を登録し、各
CAから発行された公開鍵証明証情報を対応する秘密鍵
と関係付けて管理するとともに、登録した各CAから安
全な手段で取得した各CA自身の公開鍵証明証を装置内
に保存するための手段。 ・署名生成者公開鍵証明証取得手段(12) 署名生成者Aの公開鍵証明証を取得するための手段。 ・公開鍵証明証正当性確認手段(13) 署名生成者公開鍵証明証取得手段(12)により取得した署
名生成者Aの公開鍵証明証に付与されたCAの電子署名
の正当性及び前記公開鍵証明証が無効化されていないこ
とを確認するための手段。 ・確認結果作成手段(14) 公開鍵証明証正当性確認手段(13)により署名生成者Aの
公開鍵証明証の正当性が確認されたことを示す結果情報
を作成するための手段。 ・署名検証者登録CA別署名生成手段(15) 本手段は、署名検証者Bが認証を受けているCAと同一
のCAに登録した装置自身の公開鍵証明証に対応する秘
密鍵を用いて署名生成を行うことにより、署名検証者B
にとってCA間の信頼関係等を意識することなく検証可
能となる電子署名を生成するための手段。 ・結果通知手段(16) 署名生成者Aの公開鍵証明証の正当性確認結果情報を、
署名検証者登録CA別署名生成手段(15)によって生成さ
れた電子署名及びこの電子署名を検証するための署名検
証支援装置自身の公開鍵証明証と共に署名検証者Bに通
知するための手段。 [署名検証者端末](20) ・結果通知受理手段(21) 署名検証支援装置から送付された署名生成者の公開鍵証
明証の正当性確認結果を受理するための手段。 ・結果通知確認手段(22) 結果通知とともに受理した署名検証支援装置の公開鍵証
明証の正当性を署名検証者Bが保持するCAの公開鍵証
明証を用いて署名検証により確認し、続いてこの正当性
が確認された公開鍵証明証により、結果通知に対する電
子署名を検証した後、結果通知内に署名生成者の公開鍵
証明証の正当性が示されていることを確認するための手
段。 [署名生成者端末] ・電子署名作成手段 署名対象データを用意し、秘密鍵を用いて電子署名を生
成するための手段。 ・送付手段 証明対象データ、電子署名、公開鍵証明証を署名検証者
端末に送付するための手段。 〈署名検証支援装置の初期設定・署名検証者Bが署名生
成者Aの公開鍵証明証の正当性を確認する処理〉次に上
記手段により構成される署名検証支援装置における署名
生成者の公開鍵証明証の代行正当性確認処理と、これを
用いた署名検証者における署名検証処理の流れを図4を
用いて説明する。
本発明が適用される電子署名検証システムの概略構成を
示す。このシステムは署名生成者端末(署名生成者
A)、署名検証者端末(署名検証者B)、署名検証支援
装置、及び複数のCAがネットワークを介して接続され
ている。まず本発明における署名検証システム内に含ま
れる署名検証支援装置、署名検証者端末、及び署名生成
者端末の構成に必要な各手段を以下に説明する。 [署名検証支援装置](10) ・鍵対管理手段(11) 複数のCAに対してそれぞれ自らの公開鍵を登録し、各
CAから発行された公開鍵証明証情報を対応する秘密鍵
と関係付けて管理するとともに、登録した各CAから安
全な手段で取得した各CA自身の公開鍵証明証を装置内
に保存するための手段。 ・署名生成者公開鍵証明証取得手段(12) 署名生成者Aの公開鍵証明証を取得するための手段。 ・公開鍵証明証正当性確認手段(13) 署名生成者公開鍵証明証取得手段(12)により取得した署
名生成者Aの公開鍵証明証に付与されたCAの電子署名
の正当性及び前記公開鍵証明証が無効化されていないこ
とを確認するための手段。 ・確認結果作成手段(14) 公開鍵証明証正当性確認手段(13)により署名生成者Aの
公開鍵証明証の正当性が確認されたことを示す結果情報
を作成するための手段。 ・署名検証者登録CA別署名生成手段(15) 本手段は、署名検証者Bが認証を受けているCAと同一
のCAに登録した装置自身の公開鍵証明証に対応する秘
密鍵を用いて署名生成を行うことにより、署名検証者B
にとってCA間の信頼関係等を意識することなく検証可
能となる電子署名を生成するための手段。 ・結果通知手段(16) 署名生成者Aの公開鍵証明証の正当性確認結果情報を、
署名検証者登録CA別署名生成手段(15)によって生成さ
れた電子署名及びこの電子署名を検証するための署名検
証支援装置自身の公開鍵証明証と共に署名検証者Bに通
知するための手段。 [署名検証者端末](20) ・結果通知受理手段(21) 署名検証支援装置から送付された署名生成者の公開鍵証
明証の正当性確認結果を受理するための手段。 ・結果通知確認手段(22) 結果通知とともに受理した署名検証支援装置の公開鍵証
明証の正当性を署名検証者Bが保持するCAの公開鍵証
明証を用いて署名検証により確認し、続いてこの正当性
が確認された公開鍵証明証により、結果通知に対する電
子署名を検証した後、結果通知内に署名生成者の公開鍵
証明証の正当性が示されていることを確認するための手
段。 [署名生成者端末] ・電子署名作成手段 署名対象データを用意し、秘密鍵を用いて電子署名を生
成するための手段。 ・送付手段 証明対象データ、電子署名、公開鍵証明証を署名検証者
端末に送付するための手段。 〈署名検証支援装置の初期設定・署名検証者Bが署名生
成者Aの公開鍵証明証の正当性を確認する処理〉次に上
記手段により構成される署名検証支援装置における署名
生成者の公開鍵証明証の代行正当性確認処理と、これを
用いた署名検証者における署名検証処理の流れを図4を
用いて説明する。
【0009】本発明における署名検証支援装置は初期設
定時において、の処理を行う。 鍵対管理手段(11)を用いて、装置自身の公開鍵を複数
の各CAに登録して公開鍵証明証の発行を受け、発行さ
れた公開鍵証明証をそれぞれ対応する秘密鍵と関係付け
て保存すると共に、登録した各CAから安全な手段で取
得したCA自身の公開鍵証明証も装置内に保存する。各
CAに登録する公開鍵は、同一のものであってもよい
し、各CAに異なる公開鍵を登録してもよい。また、公
開鍵証明証そのものの代わりに、その公開鍵証明証を特
定するための識別情報を対応する秘密鍵と関連付けて保
存してもよい。
定時において、の処理を行う。 鍵対管理手段(11)を用いて、装置自身の公開鍵を複数
の各CAに登録して公開鍵証明証の発行を受け、発行さ
れた公開鍵証明証をそれぞれ対応する秘密鍵と関係付け
て保存すると共に、登録した各CAから安全な手段で取
得したCA自身の公開鍵証明証も装置内に保存する。各
CAに登録する公開鍵は、同一のものであってもよい
し、各CAに異なる公開鍵を登録してもよい。また、公
開鍵証明証そのものの代わりに、その公開鍵証明証を特
定するための識別情報を対応する秘密鍵と関連付けて保
存してもよい。
【0010】続いて、署名生成者Aが任意のデータに対
して生成した電子署名を、署名検証者Bが受理し、これ
を検証するために用いる署名生成者Aの公開鍵証明証の
正当性を確認する際において、署名検証支援装置は〜
の処理、署名検証者装置は,の処理を行う。 署名生成者公開鍵証明証取得手段(12)を用いて、署名
生成者Aの公開鍵証明証を取得する。署名生成者Aの公
開鍵証明証は、署名生成者Aから受理してもよいし、署
名検証者Bから受理してもよい。 公開鍵証明証正当性確認手段(13)を用いて、で取得
した署名生成者Aの公開鍵証明証に付与されたCAの署
名の正当性と、この公開鍵証明証が無効化されていない
ことを確認する。 確認結果作成手段(14)を用いて、により署名生成者
Aの公開鍵証明証が正当であることを署名検証者Bに通
知するための結果情報を作成する。 署名検証者登録CA別署名生成手段(15)を用いて、
で作成した結果情報に対して、署名検証者が認証を受け
ているCAと同一のCAに登録した装置自身の公開鍵証
明証に対応する秘密鍵により電子署名を生成する。 結果通知手段(16)を用いて、で生成された結果情
報、及びで生成された前記結果情報に対する電子署名
及びその電子署名を検証するための署名検証支援装置自
身の公開鍵証明証情報を署名検証者Bに送付する。 署名検証者Bは、結果通知受理手段(21)を用いて、
で署名検証支援装置から送付された情報を受理する。 署名検証者Bは、結果通知確認手段(22)を用いて、ま
ず、で結果通知と共に受理した署名検証支援装置の公
開鍵証明証の正当性を、署名検証者が保持するCAの公
開鍵証明証を用いた署名検証により確認し、続いてこの
正当性が確認された公開鍵証明証により、結果通知に対
する電子署名を検証した後、結果通知内に署名生成者の
公開鍵証明証の正当性が示されていることを確認する。
して生成した電子署名を、署名検証者Bが受理し、これ
を検証するために用いる署名生成者Aの公開鍵証明証の
正当性を確認する際において、署名検証支援装置は〜
の処理、署名検証者装置は,の処理を行う。 署名生成者公開鍵証明証取得手段(12)を用いて、署名
生成者Aの公開鍵証明証を取得する。署名生成者Aの公
開鍵証明証は、署名生成者Aから受理してもよいし、署
名検証者Bから受理してもよい。 公開鍵証明証正当性確認手段(13)を用いて、で取得
した署名生成者Aの公開鍵証明証に付与されたCAの署
名の正当性と、この公開鍵証明証が無効化されていない
ことを確認する。 確認結果作成手段(14)を用いて、により署名生成者
Aの公開鍵証明証が正当であることを署名検証者Bに通
知するための結果情報を作成する。 署名検証者登録CA別署名生成手段(15)を用いて、
で作成した結果情報に対して、署名検証者が認証を受け
ているCAと同一のCAに登録した装置自身の公開鍵証
明証に対応する秘密鍵により電子署名を生成する。 結果通知手段(16)を用いて、で生成された結果情
報、及びで生成された前記結果情報に対する電子署名
及びその電子署名を検証するための署名検証支援装置自
身の公開鍵証明証情報を署名検証者Bに送付する。 署名検証者Bは、結果通知受理手段(21)を用いて、
で署名検証支援装置から送付された情報を受理する。 署名検証者Bは、結果通知確認手段(22)を用いて、ま
ず、で結果通知と共に受理した署名検証支援装置の公
開鍵証明証の正当性を、署名検証者が保持するCAの公
開鍵証明証を用いた署名検証により確認し、続いてこの
正当性が確認された公開鍵証明証により、結果通知に対
する電子署名を検証した後、結果通知内に署名生成者の
公開鍵証明証の正当性が示されていることを確認する。
【0011】以上に示した処理方法及び各処理で呼び出
される手段を用いることにより、署名検証者Bが署名生
成者Aの公開鍵証明証の正当性確認を必要とする際、署
名検証者Bは、署名検証支援装置により通知される公開
鍵証明証正当性確認結果情報を確認すればよく、またこ
の結果情報に付与されている署名検証支援装置の電子署
名は、常に、署名検証者Bが認証されているCAと同一
のCAから発行された公開鍵証明証で検証可能な署名と
なるため、署名検証者Bは、同一のCAから認証された
署名者のみを意識するだけで、異なるCAから認証され
た署名生成者Aの公開鍵証明証の正当性を確認すること
が可能となる。
される手段を用いることにより、署名検証者Bが署名生
成者Aの公開鍵証明証の正当性確認を必要とする際、署
名検証者Bは、署名検証支援装置により通知される公開
鍵証明証正当性確認結果情報を確認すればよく、またこ
の結果情報に付与されている署名検証支援装置の電子署
名は、常に、署名検証者Bが認証されているCAと同一
のCAから発行された公開鍵証明証で検証可能な署名と
なるため、署名検証者Bは、同一のCAから認証された
署名者のみを意識するだけで、異なるCAから認証され
た署名生成者Aの公開鍵証明証の正当性を確認すること
が可能となる。
【0012】そして、本発明により正当性が確認された
署名生成者Aの公開鍵証明証を用いて、署名検証者B
は、署名生成者Aが付与した電子署名を安全に検証する
ことが可能となる。 (実施例)本発明の実施例を、図5,図6を用いて説明
する。本実施例では、署名検証システムにおいて、図5
に示すように、複数のCAが存在し、署名生成者Aと署
名検証者Bは、それぞれCA2とCA3から認証され、
それぞれから公開鍵証明証の発行を受けていることを想
定して説明する。もちろん、署名生成者Aと署名検証者
Bはここで想定したCA2、CA3以外のCAから認証
されていてもよく、また、署名生成者Aと署名検証者B
を認証した各CAの間には、信頼関係があってもなくて
もよい。 〈署名検証支援装置の初期設定・署名検証者Bが署名生
成者Aの公開鍵証明証の正当性を確認する処理〉本発明
における署名検証支援装置は初期設定時において、の
処理を行う。 鍵対管理手段11は、鍵対生成機能を用いて秘密鍵と公
開鍵の鍵対を生成し、このうちの公開鍵をCA登録機能
によりCAに登録し、CAから発行された公開鍵証明証
を、データ登録機能を用いて先に生成した秘密鍵と関係
付けて鍵対管理テーブルに保存する。この処理を、異な
る複数のCAのそれぞれに対して行う。ここで、各CA
に登録する公開鍵は、同一のものであってもよいし、鍵
対を複数生成し、CA毎に異なる公開鍵を登録してもよ
い。また、公開鍵証明証そのものの代わりに、その公開
鍵証明証を特定するための識別情報を対応する秘密鍵と
関連付けて保存してもよい。また、各CAから公開鍵証
明証の発行を受けた際に、各CAの公開鍵あるいは公開
鍵証明証を安全な手段で取得し保存する。本実施例で
は、CA1、CA2、CA3のそれぞれに対して異なる
公開鍵を登録し、発行された公開鍵を、対応する秘密鍵
と関連付けて保存する場合を記述する。
署名生成者Aの公開鍵証明証を用いて、署名検証者B
は、署名生成者Aが付与した電子署名を安全に検証する
ことが可能となる。 (実施例)本発明の実施例を、図5,図6を用いて説明
する。本実施例では、署名検証システムにおいて、図5
に示すように、複数のCAが存在し、署名生成者Aと署
名検証者Bは、それぞれCA2とCA3から認証され、
それぞれから公開鍵証明証の発行を受けていることを想
定して説明する。もちろん、署名生成者Aと署名検証者
Bはここで想定したCA2、CA3以外のCAから認証
されていてもよく、また、署名生成者Aと署名検証者B
を認証した各CAの間には、信頼関係があってもなくて
もよい。 〈署名検証支援装置の初期設定・署名検証者Bが署名生
成者Aの公開鍵証明証の正当性を確認する処理〉本発明
における署名検証支援装置は初期設定時において、の
処理を行う。 鍵対管理手段11は、鍵対生成機能を用いて秘密鍵と公
開鍵の鍵対を生成し、このうちの公開鍵をCA登録機能
によりCAに登録し、CAから発行された公開鍵証明証
を、データ登録機能を用いて先に生成した秘密鍵と関係
付けて鍵対管理テーブルに保存する。この処理を、異な
る複数のCAのそれぞれに対して行う。ここで、各CA
に登録する公開鍵は、同一のものであってもよいし、鍵
対を複数生成し、CA毎に異なる公開鍵を登録してもよ
い。また、公開鍵証明証そのものの代わりに、その公開
鍵証明証を特定するための識別情報を対応する秘密鍵と
関連付けて保存してもよい。また、各CAから公開鍵証
明証の発行を受けた際に、各CAの公開鍵あるいは公開
鍵証明証を安全な手段で取得し保存する。本実施例で
は、CA1、CA2、CA3のそれぞれに対して異なる
公開鍵を登録し、発行された公開鍵を、対応する秘密鍵
と関連付けて保存する場合を記述する。
【0013】図7の鍵対管理テーブルに関係付けられて
保存された秘密鍵と公開鍵証明証のの様子と、安全な手
段で取得した各CAの公開鍵証明証の様子を示す。ここ
で鍵対生成機能は、既存のRSAやESIGN等の公開
鍵暗号技術を用いて容易に実現可能である。また、CA
登録機能は、既存のCAシステムにおける公開鍵証明証
登録サービスを利用することにより実現可能である。デ
ータ登録機能は、例えば、市販のDBシステムにおい
て、DBへ情報を登録するためのDB登録機能などが利
用可能である。
保存された秘密鍵と公開鍵証明証のの様子と、安全な手
段で取得した各CAの公開鍵証明証の様子を示す。ここ
で鍵対生成機能は、既存のRSAやESIGN等の公開
鍵暗号技術を用いて容易に実現可能である。また、CA
登録機能は、既存のCAシステムにおける公開鍵証明証
登録サービスを利用することにより実現可能である。デ
ータ登録機能は、例えば、市販のDBシステムにおい
て、DBへ情報を登録するためのDB登録機能などが利
用可能である。
【0014】続いて、CA2から認証された公開鍵証明
証の発行を受けている署名生成者Aが任意のデータに対
して生成した電子署名を、CA3から認証され公開鍵証
明証の発行を受けている署名検証者Bが検証する際の様
子を示す。このとき既に、署名検証者Bは公開鍵証明証
の発行を受けたCA3の公開鍵証明証を安全な手段によ
り取得済みであることとする。署名生成者Aの公開鍵証
明証の代行正当性確認の際において、署名検証支援装置
は〜の処理を行う。 署名生成者公開鍵証明証取得手段12は、署名生成者A
が付与した署名を検証するために用いる署名生成者Aの
公開鍵証明証を、データ通信機能を用いて取得する。本
実施例では、署名検証者Bは、署名生成者Aが生成した
電子署名と共にこれを検証するために用いる署名生成者
Aの公開鍵証明証を署名生成者Aから受理し、その受理
した署名生成者Aの公開鍵証明証を署名検証支援装置に
送付することを想定しているが、署名生成者Aの公開鍵
証明証は、署名検証者B以外に、例えば署名生成者Aか
ら受理してもよい。また、データ通信機能は、既存のコ
ンピュータシステムにおいて実現されており、これを利
用することが可能である。 公開鍵証明証正当性確認手段13は、で取得した署名
生成者Aの公開鍵証明証の正当性を確認するため、ま
ず、であらかじめ保持されている署名生成者Aの公開
鍵証明証を発行したCAの公開鍵証明証を用いて、署名
検証機能により公開鍵証明証に付与されたCA署名の正
当性を確認する。本実施例では、図7におけるCA2の
公開鍵証明証が署名検証に用いられることになる。続い
て、公開鍵証明証無効化確認機能を用いて、署名生成者
Aの公開鍵証明証が無効化されていないことを確認す
る。署名検証機能は、署名生成機能と対となる機能であ
り、既存のRSAやESIGN等の公開鍵暗号技術を用
いて容易に実現可能である。また、公開鍵証明証無効化
確認機能は、CAが提供するCRLの検索による確認方
法や、VAが提供する公開鍵証明証の検証サービスを利
用することにより容易に実現可能である。 確認結果作成手段14は、により確認された署名生成
者Aの公開鍵証明証の正当性を署名検証者Bに通知する
ための結果情報を、データ編集機能を用いて生成する。
本処理によって生成される結果情報としては、例えば、
署名生成者Aの公開鍵証明証が正当であることを示した
図8のような形態が考えられる。また、データ編集機能
は、例えば一般のコンピュータシステムが提供するエデ
ィタ機能などが利用可能である。 署名検証者登録CA別署名生成手段15は、まず、署名
検証者Bが認証を受けているCAを特定するため、署名
検証者Bに対して公開鍵証明証を発行しているCAのC
A名を、例えば署名検証者Bの公開鍵証明証を取得し、
公開鍵証明証解析機能を用いて、署名検証者Bの公開鍵
証明証内に含まれる発行者情報を参照することにより取
得する。公開鍵証明証解析機能は、X.509(ITU-Tが定め
る電子証明証の標準フォーマット)の構文を解析するツ
ール等が既に広く利用されており、これを利用すること
により実現可能である。あるいは本処理は、署名検証者
Bと発行者CAと発行者CA名との対応をアドレス帳の
ような情報管理ファイルで管理して、これを参照するこ
とで取得するといった方法も考えられる。
証の発行を受けている署名生成者Aが任意のデータに対
して生成した電子署名を、CA3から認証され公開鍵証
明証の発行を受けている署名検証者Bが検証する際の様
子を示す。このとき既に、署名検証者Bは公開鍵証明証
の発行を受けたCA3の公開鍵証明証を安全な手段によ
り取得済みであることとする。署名生成者Aの公開鍵証
明証の代行正当性確認の際において、署名検証支援装置
は〜の処理を行う。 署名生成者公開鍵証明証取得手段12は、署名生成者A
が付与した署名を検証するために用いる署名生成者Aの
公開鍵証明証を、データ通信機能を用いて取得する。本
実施例では、署名検証者Bは、署名生成者Aが生成した
電子署名と共にこれを検証するために用いる署名生成者
Aの公開鍵証明証を署名生成者Aから受理し、その受理
した署名生成者Aの公開鍵証明証を署名検証支援装置に
送付することを想定しているが、署名生成者Aの公開鍵
証明証は、署名検証者B以外に、例えば署名生成者Aか
ら受理してもよい。また、データ通信機能は、既存のコ
ンピュータシステムにおいて実現されており、これを利
用することが可能である。 公開鍵証明証正当性確認手段13は、で取得した署名
生成者Aの公開鍵証明証の正当性を確認するため、ま
ず、であらかじめ保持されている署名生成者Aの公開
鍵証明証を発行したCAの公開鍵証明証を用いて、署名
検証機能により公開鍵証明証に付与されたCA署名の正
当性を確認する。本実施例では、図7におけるCA2の
公開鍵証明証が署名検証に用いられることになる。続い
て、公開鍵証明証無効化確認機能を用いて、署名生成者
Aの公開鍵証明証が無効化されていないことを確認す
る。署名検証機能は、署名生成機能と対となる機能であ
り、既存のRSAやESIGN等の公開鍵暗号技術を用
いて容易に実現可能である。また、公開鍵証明証無効化
確認機能は、CAが提供するCRLの検索による確認方
法や、VAが提供する公開鍵証明証の検証サービスを利
用することにより容易に実現可能である。 確認結果作成手段14は、により確認された署名生成
者Aの公開鍵証明証の正当性を署名検証者Bに通知する
ための結果情報を、データ編集機能を用いて生成する。
本処理によって生成される結果情報としては、例えば、
署名生成者Aの公開鍵証明証が正当であることを示した
図8のような形態が考えられる。また、データ編集機能
は、例えば一般のコンピュータシステムが提供するエデ
ィタ機能などが利用可能である。 署名検証者登録CA別署名生成手段15は、まず、署名
検証者Bが認証を受けているCAを特定するため、署名
検証者Bに対して公開鍵証明証を発行しているCAのC
A名を、例えば署名検証者Bの公開鍵証明証を取得し、
公開鍵証明証解析機能を用いて、署名検証者Bの公開鍵
証明証内に含まれる発行者情報を参照することにより取
得する。公開鍵証明証解析機能は、X.509(ITU-Tが定め
る電子証明証の標準フォーマット)の構文を解析するツ
ール等が既に広く利用されており、これを利用すること
により実現可能である。あるいは本処理は、署名検証者
Bと発行者CAと発行者CA名との対応をアドレス帳の
ような情報管理ファイルで管理して、これを参照するこ
とで取得するといった方法も考えられる。
【0015】次に、上記で取得されたCA名と同一のC
Aに登録した公開鍵証明証に対応する秘密鍵を、データ
参照機能を用いて図7の鍵対管理テーブルの中から選択
する。本実施例では、署名検証者Bの公開鍵証明証を発
行しているのはCA3であるため、図7に示した鍵対管
理テーブルの中から、署名生成者AがCA3に登録した
公開鍵に対応する秘密鍵3が選択されることになる。デ
ータ参照機能は、例えば、市販のDBシステムにおい
て、DB情報を参照するためのDB参照機能などが利用
可能である。
Aに登録した公開鍵証明証に対応する秘密鍵を、データ
参照機能を用いて図7の鍵対管理テーブルの中から選択
する。本実施例では、署名検証者Bの公開鍵証明証を発
行しているのはCA3であるため、図7に示した鍵対管
理テーブルの中から、署名生成者AがCA3に登録した
公開鍵に対応する秘密鍵3が選択されることになる。デ
ータ参照機能は、例えば、市販のDBシステムにおい
て、DB情報を参照するためのDB参照機能などが利用
可能である。
【0016】続いて、上記で選択された秘密鍵を用い
て、署名生成機能により、で生成された公開鍵証明証
の正当性確認結果情報に対する電子署名を生成する。電
子署名の生成は、既存のRSAやESIGN等の公開鍵
暗号技術を用いた署名生成機能により容易に生成可能で
ある。 結果通知手段16は、で署名生成のために選択された
秘密鍵に対応する公開鍵証明証の情報を、データ参照機
能を用いて図7の鍵対管理テーブルより取得し、これを
データ編集機能を用いて、署名データと共に結果情報に
添付する。そしてこれらの情報すべてを署名検証者Bに
例えばデータ通信機能を用いて送付する。本実施例で
は、図7の鍵対管理テーブルで示すところの署名生成に
用いた秘密鍵3に対応する公開鍵証明証3が取得され、
添付されることになる。
て、署名生成機能により、で生成された公開鍵証明証
の正当性確認結果情報に対する電子署名を生成する。電
子署名の生成は、既存のRSAやESIGN等の公開鍵
暗号技術を用いた署名生成機能により容易に生成可能で
ある。 結果通知手段16は、で署名生成のために選択された
秘密鍵に対応する公開鍵証明証の情報を、データ参照機
能を用いて図7の鍵対管理テーブルより取得し、これを
データ編集機能を用いて、署名データと共に結果情報に
添付する。そしてこれらの情報すべてを署名検証者Bに
例えばデータ通信機能を用いて送付する。本実施例で
は、図7の鍵対管理テーブルで示すところの署名生成に
用いた秘密鍵3に対応する公開鍵証明証3が取得され、
添付されることになる。
【0017】以上で、署名検証支援装置による、署名生
成者Aの公開鍵証明証の代行正当性確認処理が完了す
る。続いて、署名検証支援装置によって署名検証者Bに
通知された署名生成者Aの公開鍵証明証の正当性確認結
果情報を、署名検証者Bが確認し、署名生成者Aが付与
した電子署名を検証するまでの様子を示す。署名生成者
Aの公開鍵証明証の正当性確認の際において、署名検証
者端末は,の処理を行う。 署名検証者Bは、結果通知受理手段21により、例え
ば、データ通信機能を用いて、署名検証支援装置が送付
した公開鍵証明証の正当性確認結果情報を取得する。 署名検証者Bは、結果通知確認手段22を用いて、取得
した正当性確認結果情報の正当性を確認するため、これ
に付与されている署名検証支援装置の電子署名を検証す
る。まず、この電子署名を検証するために添付されてい
た署名検証支援装置の公開鍵証明証の正当性を確認す
る。ここで、正当性確認結果情報に付与されている署名
検証支援装置の電子署名は、に示したように、CA3
に登録した署名検証支援装置の公開鍵証明証で検証可能
な署名であるため、添付されてきた署名検証支援装置の
公開鍵証明証は、CA3が発行した公開鍵証明証であ
り、この正当性は、署名検証者Bがあらかじめ安全に保
持しているCA3の公開鍵証明証を用いた署名検証機能
により検証可能である。続いて、正当性が確認された署
名検証支援装置の公開鍵証明証を用いて、取得した結果
情報に付与されている署名検証支援装置の電子署名を、
署名検証機能により検証する。以上の処理により、署名
検証者Bは、結果情報に記述されている署名生成者Aの
公開鍵証明証の正当性を確認することが可能となり、正
当性が確認された署名生成者Aの公開鍵証明証を用いた
署名生成者Aの電子署名の検証が可能となる。
成者Aの公開鍵証明証の代行正当性確認処理が完了す
る。続いて、署名検証支援装置によって署名検証者Bに
通知された署名生成者Aの公開鍵証明証の正当性確認結
果情報を、署名検証者Bが確認し、署名生成者Aが付与
した電子署名を検証するまでの様子を示す。署名生成者
Aの公開鍵証明証の正当性確認の際において、署名検証
者端末は,の処理を行う。 署名検証者Bは、結果通知受理手段21により、例え
ば、データ通信機能を用いて、署名検証支援装置が送付
した公開鍵証明証の正当性確認結果情報を取得する。 署名検証者Bは、結果通知確認手段22を用いて、取得
した正当性確認結果情報の正当性を確認するため、これ
に付与されている署名検証支援装置の電子署名を検証す
る。まず、この電子署名を検証するために添付されてい
た署名検証支援装置の公開鍵証明証の正当性を確認す
る。ここで、正当性確認結果情報に付与されている署名
検証支援装置の電子署名は、に示したように、CA3
に登録した署名検証支援装置の公開鍵証明証で検証可能
な署名であるため、添付されてきた署名検証支援装置の
公開鍵証明証は、CA3が発行した公開鍵証明証であ
り、この正当性は、署名検証者Bがあらかじめ安全に保
持しているCA3の公開鍵証明証を用いた署名検証機能
により検証可能である。続いて、正当性が確認された署
名検証支援装置の公開鍵証明証を用いて、取得した結果
情報に付与されている署名検証支援装置の電子署名を、
署名検証機能により検証する。以上の処理により、署名
検証者Bは、結果情報に記述されている署名生成者Aの
公開鍵証明証の正当性を確認することが可能となり、正
当性が確認された署名生成者Aの公開鍵証明証を用いた
署名生成者Aの電子署名の検証が可能となる。
【0018】以上に示したことから明らかなように、本
発明による署名検証支援装置を用いた電子署名検証方法
により、署名検証者Bが署名生成者Aの公開鍵証明証の
正当性確認を必要とする際、署名検証者Bは、署名検証
支援装置から通知される署名生成者Aの公開鍵証明証の
正当性確認結果を確認するだけで、署名生成者Aの公開
鍵証明証の正当性を確認することができ、また、この正
当性確認結果に付与される署名検証支援装置の電子署名
は、常に署名検証者Bが認証を受けているCAと同一の
CAにより発行された公開鍵証明証で検証可能な署名と
なる。したがって、署名検証者Bは、署名生成者Aが認
証されているCAあるいは、そのCAと署名検証者Bが
認証を受けているCAとの関係に依存することなく、常
に署名検証者B自身が認証を受けたCAのみを意識する
だけで、署名生成者Aの公開鍵証明証の正当性を確認す
ることが可能となる。
発明による署名検証支援装置を用いた電子署名検証方法
により、署名検証者Bが署名生成者Aの公開鍵証明証の
正当性確認を必要とする際、署名検証者Bは、署名検証
支援装置から通知される署名生成者Aの公開鍵証明証の
正当性確認結果を確認するだけで、署名生成者Aの公開
鍵証明証の正当性を確認することができ、また、この正
当性確認結果に付与される署名検証支援装置の電子署名
は、常に署名検証者Bが認証を受けているCAと同一の
CAにより発行された公開鍵証明証で検証可能な署名と
なる。したがって、署名検証者Bは、署名生成者Aが認
証されているCAあるいは、そのCAと署名検証者Bが
認証を受けているCAとの関係に依存することなく、常
に署名検証者B自身が認証を受けたCAのみを意識する
だけで、署名生成者Aの公開鍵証明証の正当性を確認す
ることが可能となる。
【0019】そして、本発明により正当性が確認された
署名生成者Aの公開鍵証明証を用いて、署名検証者B
は、署名生成者Aが付与した電子署名を安全に検証する
ことが可能となる。
署名生成者Aの公開鍵証明証を用いて、署名検証者B
は、署名生成者Aが付与した電子署名を安全に検証する
ことが可能となる。
【0020】
【発明の効果】本発明を用いることにより、複数のCA
が存在する署名検証システムにおいても、本発明による
署名検証支援装置のみが複数のCAとの連携を必要とす
ればよく、署名検証者となる一般利用者は、自らが認証
を受けたCAのみを意識した処理のみを行えばよいた
め、相対的にマシン性能が低い一般利用者端末の負荷を
軽減することが可能となる。また、署名生成者が認証を
受けたCAに依存することなく、署名検証者による署名
生成者の公開鍵証明証の正当性確認処理方法が同一とな
るため、利用者毎に異なる機能を持ったソフトウェアを
配布する必要がないというメリットもある。
が存在する署名検証システムにおいても、本発明による
署名検証支援装置のみが複数のCAとの連携を必要とす
ればよく、署名検証者となる一般利用者は、自らが認証
を受けたCAのみを意識した処理のみを行えばよいた
め、相対的にマシン性能が低い一般利用者端末の負荷を
軽減することが可能となる。また、署名生成者が認証を
受けたCAに依存することなく、署名検証者による署名
生成者の公開鍵証明証の正当性確認処理方法が同一とな
るため、利用者毎に異なる機能を持ったソフトウェアを
配布する必要がないというメリットもある。
【0021】さらに、署名生成者が認証を受けたCAと
署名検証者が認証を受けたCAとの間で信頼関係を示す
公開鍵証明証が発行されていない場合でも、新たにCA
間で信頼関係を示す公開鍵証明証の発行を必要とするこ
となく、本発明による公開鍵証明証正当性代行確認装置
を導入するだけで、上記2者間による電子署名通信が可
能となる。
署名検証者が認証を受けたCAとの間で信頼関係を示す
公開鍵証明証が発行されていない場合でも、新たにCA
間で信頼関係を示す公開鍵証明証の発行を必要とするこ
となく、本発明による公開鍵証明証正当性代行確認装置
を導入するだけで、上記2者間による電子署名通信が可
能となる。
【図1】従来技術における電子署名通信方法の概略を示
す図。
す図。
【図2】従来技術における複数のCAが存在する環境下
における電子署名通信方法の概略を示す図。
における電子署名通信方法の概略を示す図。
【図3】本発明が適用される電子署名検証システム構成
図。
図。
【図4】本発明を実現するための処理の流れと手段を説
明する図。
明する図。
【図5】本発明の実施例で想定する複数のCAが存在す
る環境下における電子署名通信方法の概略を示す図。
る環境下における電子署名通信方法の概略を示す図。
【図6】本発明を実現するための処理の流れと実現可能
な機能を説明する図。
な機能を説明する図。
【図7】本発明の実施例において、署名検証支援装置内
で管理される鍵対管理テーブルの例を示す図。
で管理される鍵対管理テーブルの例を示す図。
【図8】本発明の実施例において、署名検証支援装置
が、署名生成者の公開鍵証明証の正当性確認結果を署名
検証者に通知するための結果報告書の作成例を示す図。
が、署名生成者の公開鍵証明証の正当性確認結果を署名
検証者に通知するための結果報告書の作成例を示す図。
10 署名検証支援装置 11 鍵対管理手段 12 署名生成者公開鍵証明証取得手段 13 公開鍵証明証正当性確認手段 14 確認結果作成手段 15 署名検証者登録CA別署名生成手段 16 結果通知手段 20 署名検証者端末 21 結果通知受理手段 22 結果通知確認手段
Claims (5)
- 【請求項1】ネットワーク上に署名生成者端末、署名検
証者端末及び複数のCAが存在する電子署名検証システ
ムにおいて、署名検証者と異なるCAから認証されてい
る署名生成者が付与した電子署名を署名検証者が検証す
る際に、署名検証者に代わって署名生成者の公開鍵証明
証の正当性を確認する署名検証支援装置であって、 署名検証支援装置の公開鍵を各CAに登録し、発行され
た公開鍵証明証を対応する秘密鍵と関連付けて保管する
と共に、各CAの公開鍵証明証を保存する鍵対管理手段
と、 署名生成者の公開鍵証明証を取得するための署名生成者
公開鍵証明証取得手段と、 署名生成者の公開鍵証明証の正当性を確認するための公
開鍵証明証正当性確認手段と、 署名検証者に対して確認結果報告書を作成するための確
認結果作成手段と、 確認結果に対して署名検証者が認証を受けているCAと
同一のCAに登録した署名検証支援装置自身の公開鍵証
明証に対応する秘密鍵を用いて電子署名を生成するため
の署名検証者登録CA別署名生成手段と、 確認結果及び前記生成した電子署名及び前記電子署名を
検証するために用いる署名検証支援装置自身の公開鍵証
明証を署名検証者に送付するための結果通知手段とから
構成されることを特徴とする署名検証支援装置。 - 【請求項2】ネットワーク上に署名生成者端末、署名検
証者端末及び複数のCAが存在する電子署名検証システ
ムの署名検証支援装置における署名生成者の公開鍵証明
証の正当性確認方法であって、 初期設定時に、署名検証支援装置自身の公開鍵を複数の
各CAに登録し、発行された公開鍵証明証を対応する秘
密鍵と関連付けて保管すると共に、各CAの公開鍵証明
証を保存し、 署名検証者が署名生成者の公開鍵証明証の正当性を確認
する際において、 署名生成者の公開鍵証明証を取得し、前記取得した署名
生成者の公開鍵証明証の正当性を確認し、署名検証者に
対して前記正当性確認結果報告書を作成し、前記確認結
果報告書に対して、署名検証者が認証を受けているCA
と同一のCAに登録した署名検証支援装置自身の公開鍵
証明証に対応する秘密鍵により電子署名を生成し、前記
確認結果報告書及び前記生成した電子署名及びこの電子
署名を検証するために用いる署名検証支援装置自身の公
開鍵証明証を送付することにより署名検証者に代わって
署名生成者の公開鍵証明証の正当性を確認し、その結果
を署名検証者に通知することを特徴とする公開鍵証明証
の正当性確認方法。 - 【請求項3】ネットワーク上に署名生成者端末、署名検
証者端末、署名検証支援装置及び複数のCAが存在する
電子署名検証システムにおける電子署名検証方法おい
て、 署名検証者端末は、請求項2に記載の公開鍵証明証の正
当性確認方法により作成された正当性確認結果報告書を
受取り、正当性確認結果の正当性を確認後、署名生成者
の公開鍵証明証を用いて、署名生成者が付与した電子署
名を検証することを特徴とする電子署名検証方法。 - 【請求項4】請求項3に記載の電子署名検証方法におい
て、 署名検証者端末は、前記署名検証支援装置から送付され
た正当性確認結果に添付された署名検証支援装置の公開
鍵証明証に対して、あらかじめ保持するCAの公開鍵に
よりその正当性を確認後、これを用いて、前記受理した
正当性確認結果に添付の電子署名を検証することによ
り、正当性確認結果の正当性を確認することを特徴とす
る電子署名検証方法。 - 【請求項5】ネットワーク上に署名生成者端末、署名検
証者端末、署名検証支援装置及び複数のCAが存在する
電子署名検証システムにおける電子署名生成方法におい
て、 署名検証支援装置は、初期設定時に、署名検証支援装置
自身の公開鍵を複数の各CAに登録し、発行された公開
鍵証明証を対応する秘密鍵と関連付けて保管し、電子署
名生成時に、任意のデータに対して、電子署名検証者端
末が認証を受けているCAと同一のCAに登録した署名
検証支援装置自身の公開鍵に対応する秘密鍵により電子
署名を生成することを特徴とする電子署名生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000334803A JP3971890B2 (ja) | 2000-11-01 | 2000-11-01 | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000334803A JP3971890B2 (ja) | 2000-11-01 | 2000-11-01 | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002139996A true JP2002139996A (ja) | 2002-05-17 |
| JP3971890B2 JP3971890B2 (ja) | 2007-09-05 |
Family
ID=18810652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000334803A Expired - Lifetime JP3971890B2 (ja) | 2000-11-01 | 2000-11-01 | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3971890B2 (ja) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002072876A (ja) * | 2000-08-30 | 2002-03-12 | Hitachi Ltd | 証明書の有効性確認方法および装置 |
| JP2004234189A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Information Systems Corp | 署名データ検証支援システム及び署名データ検証支援プログラム |
| JP2006060779A (ja) * | 2004-07-20 | 2006-03-02 | Ricoh Co Ltd | 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体 |
| JP2006511984A (ja) * | 2002-07-18 | 2006-04-06 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2006165881A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 署名データ作成システム及び署名データ作成端末及び署名検証端末及び証明書検証サーバ |
| JP2007049311A (ja) * | 2005-08-08 | 2007-02-22 | Konica Minolta Business Technologies Inc | 電子証明書検証システム、電子証明書検証装置、クライアント、通信制御方法、およびコンピュータプログラム |
| JP2007511983A (ja) * | 2003-11-19 | 2007-05-10 | コアストリート、 リミテッド | 分散委任されたパス発見及び検証 |
| KR100740521B1 (ko) | 2004-10-29 | 2007-07-20 | 리서치 인 모션 리미티드 | 인증서 상의 디지털 서명을 검증하는 시스템 및 방법 |
| WO2007094035A1 (ja) * | 2006-02-13 | 2007-08-23 | Seiko Instruments Inc. | 検証サーバ機器 |
| JP2007527044A (ja) * | 2003-07-04 | 2007-09-20 | バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト | 特に自動車の制御装置内にロード可能なソフトウェアコンポーネントを認証するための方法 |
| JP2007274380A (ja) * | 2006-03-31 | 2007-10-18 | Ntt Data Corp | 認証システム、認証サーバおよびプログラム |
| JP2008288764A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | ファイル情報の管理方法及び情報処理装置 |
| JP2009044557A (ja) * | 2007-08-09 | 2009-02-26 | Hitachi Ltd | 証明書検証サーバ、証明書検証方法、および証明書検証プログラム |
| JP2009526333A (ja) * | 2006-02-10 | 2009-07-16 | クゥアルコム・インコーポレイテッド | 外部記憶デバイスから安全にブートする方法および装置 |
| JP2009290648A (ja) * | 2008-05-30 | 2009-12-10 | Hitachi Ltd | 検証サーバ、プログラム及び検証方法 |
| JP2009296676A (ja) * | 2002-06-12 | 2009-12-17 | Hitachi Ltd | Crl発行通知機能付き認証基盤システム |
| EP2187590A1 (en) | 2008-11-12 | 2010-05-19 | Hitachi, Ltd. | Method of validation public key certificate and validation server |
| JP4816458B2 (ja) * | 2004-09-03 | 2011-11-16 | 日本電気株式会社 | グループ署名システム、メンバ状態判定装置、グループ署名方法及びメンバ状態判定プログラム |
| JP2012213229A (ja) * | 2012-07-24 | 2012-11-01 | Hitachi Ltd | 検証サーバ、プログラム及び検証方法 |
| US8683213B2 (en) | 2007-10-26 | 2014-03-25 | Qualcomm Incorporated | Progressive boot for a wireless device |
| JP2015111440A (ja) * | 2015-01-23 | 2015-06-18 | インターデイジタル パテント ホールディングス インコーポレイテッド | 信頼できる認証およびログオンのための方法および装置 |
| CN104904156A (zh) * | 2013-01-08 | 2015-09-09 | 三菱电机株式会社 | 认证处理装置、认证处理系统、认证处理方法以及认证处理程序 |
| US9490984B2 (en) | 2009-09-14 | 2016-11-08 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
| JP6340107B1 (ja) * | 2017-04-10 | 2018-06-06 | アイビーシー株式会社 | 電子証明システム |
-
2000
- 2000-11-01 JP JP2000334803A patent/JP3971890B2/ja not_active Expired - Lifetime
Cited By (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002072876A (ja) * | 2000-08-30 | 2002-03-12 | Hitachi Ltd | 証明書の有効性確認方法および装置 |
| JP2009296676A (ja) * | 2002-06-12 | 2009-12-17 | Hitachi Ltd | Crl発行通知機能付き認証基盤システム |
| JP4698219B2 (ja) * | 2002-07-18 | 2011-06-08 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2006511984A (ja) * | 2002-07-18 | 2006-04-06 | イーオリジナル インコーポレイテッド | 認定された文書の電子的送信、保存および読み出しシステム並びに方法 |
| JP2004234189A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Information Systems Corp | 署名データ検証支援システム及び署名データ検証支援プログラム |
| JP2007527044A (ja) * | 2003-07-04 | 2007-09-20 | バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト | 特に自動車の制御装置内にロード可能なソフトウェアコンポーネントを認証するための方法 |
| US8707030B2 (en) | 2003-11-19 | 2014-04-22 | Corestreet, Ltd. | Distributed delegated path discovery and validation |
| JP2007511983A (ja) * | 2003-11-19 | 2007-05-10 | コアストリート、 リミテッド | 分散委任されたパス発見及び検証 |
| JP2006060779A (ja) * | 2004-07-20 | 2006-03-02 | Ricoh Co Ltd | 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体 |
| JP4671783B2 (ja) * | 2004-07-20 | 2011-04-20 | 株式会社リコー | 通信システム |
| JP4816458B2 (ja) * | 2004-09-03 | 2011-11-16 | 日本電気株式会社 | グループ署名システム、メンバ状態判定装置、グループ署名方法及びメンバ状態判定プログラム |
| KR100740521B1 (ko) | 2004-10-29 | 2007-07-20 | 리서치 인 모션 리미티드 | 인증서 상의 디지털 서명을 검증하는 시스템 및 방법 |
| JP2006165881A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 署名データ作成システム及び署名データ作成端末及び署名検証端末及び証明書検証サーバ |
| JP2007049311A (ja) * | 2005-08-08 | 2007-02-22 | Konica Minolta Business Technologies Inc | 電子証明書検証システム、電子証明書検証装置、クライアント、通信制御方法、およびコンピュータプログラム |
| US8291226B2 (en) | 2006-02-10 | 2012-10-16 | Qualcomm Incorporated | Method and apparatus for securely booting from an external storage device |
| JP2009526333A (ja) * | 2006-02-10 | 2009-07-16 | クゥアルコム・インコーポレイテッド | 外部記憶デバイスから安全にブートする方法および装置 |
| WO2007094035A1 (ja) * | 2006-02-13 | 2007-08-23 | Seiko Instruments Inc. | 検証サーバ機器 |
| JP2007274380A (ja) * | 2006-03-31 | 2007-10-18 | Ntt Data Corp | 認証システム、認証サーバおよびプログラム |
| JP2008288764A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | ファイル情報の管理方法及び情報処理装置 |
| JP2009044557A (ja) * | 2007-08-09 | 2009-02-26 | Hitachi Ltd | 証明書検証サーバ、証明書検証方法、および証明書検証プログラム |
| US8683213B2 (en) | 2007-10-26 | 2014-03-25 | Qualcomm Incorporated | Progressive boot for a wireless device |
| JP2009290648A (ja) * | 2008-05-30 | 2009-12-10 | Hitachi Ltd | 検証サーバ、プログラム及び検証方法 |
| US8819417B2 (en) | 2008-05-30 | 2014-08-26 | Hitachi, Ltd. | Validation server, validation method, and program |
| US8347082B2 (en) | 2008-11-12 | 2013-01-01 | Hitachi, Ltd. | Method of validation public key certificate and validation server |
| EP2187590A1 (en) | 2008-11-12 | 2010-05-19 | Hitachi, Ltd. | Method of validation public key certificate and validation server |
| US8635449B2 (en) | 2008-11-12 | 2014-01-21 | Hitachi, Ltd. | Method of validation public key certificate and validation server |
| US9490984B2 (en) | 2009-09-14 | 2016-11-08 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
| JP2012213229A (ja) * | 2012-07-24 | 2012-11-01 | Hitachi Ltd | 検証サーバ、プログラム及び検証方法 |
| CN104904156B (zh) * | 2013-01-08 | 2018-09-18 | 三菱电机株式会社 | 认证处理装置、认证处理系统以及认证处理方法 |
| CN104904156A (zh) * | 2013-01-08 | 2015-09-09 | 三菱电机株式会社 | 认证处理装置、认证处理系统、认证处理方法以及认证处理程序 |
| JPWO2014108993A1 (ja) * | 2013-01-08 | 2017-01-19 | 三菱電機株式会社 | 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム |
| US9667616B2 (en) | 2013-01-08 | 2017-05-30 | Mitsubishi Electric Corporation | Authentication processing apparatus, authentication processing system, authentication processing method and authentication processing program |
| JP2015111440A (ja) * | 2015-01-23 | 2015-06-18 | インターデイジタル パテント ホールディングス インコーポレイテッド | 信頼できる認証およびログオンのための方法および装置 |
| JP6340107B1 (ja) * | 2017-04-10 | 2018-06-06 | アイビーシー株式会社 | 電子証明システム |
| WO2018190285A1 (ja) * | 2017-04-10 | 2018-10-18 | アイビーシー株式会社 | 電子証明システム |
| JP2018182487A (ja) * | 2017-04-10 | 2018-11-15 | アイビーシー株式会社 | 電子証明システム |
| US11128477B2 (en) | 2017-04-10 | 2021-09-21 | Internetworking & Broadband Consulting Co., Ltd. | Electronic certification system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3971890B2 (ja) | 2007-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3971890B2 (ja) | 署名検証支援装置、署名検証支援方法、及び電子署名検証方法 | |
| US9853818B2 (en) | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer | |
| CA2408589C (en) | Url-based certificate in a pki | |
| US6553493B1 (en) | Secure mapping and aliasing of private keys used in public key cryptography | |
| CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN108696360A (zh) | 一种基于cpk密钥的ca证书发放方法及系统 | |
| KR20090071307A (ko) | 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말 | |
| JP2000066590A (ja) | データ保管システム、データ保管方法、保管データ存在証明方法、プログラム記録媒体 | |
| JP2010191801A (ja) | 認証システムおよび認証方法 | |
| JP2000059353A (ja) | データ保管システム、データ保管方法及びそのプログラム記録媒体 | |
| JP4846464B2 (ja) | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 | |
| JP3793377B2 (ja) | データ格納システム及びデータ格納プログラムを格納した記憶媒体 | |
| JP2003224563A (ja) | 署名検証システムおよび方法と署名検証プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体 | |
| JPH1165443A (ja) | 個人認証情報の管理方式 | |
| JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
| US7139911B2 (en) | Password exposure elimination for digital signature coupling with a host identity | |
| WO2023026343A1 (ja) | データ管理プログラム、データ管理方法、データ管理装置およびデータ管理システム | |
| JP2010028689A (ja) | 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム | |
| JP2009031849A (ja) | 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム | |
| JP2002132996A (ja) | 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム | |
| JP2014039193A (ja) | 情報処理装置、管理装置、情報処理方法及びプログラム | |
| JP2001209313A (ja) | 証明書発行装置、情報処理装置、情報通信システム、属性証明方法、及び記憶媒体 | |
| JP2003263518A (ja) | 文書データ処理装置、方法及びコンピュータプログラム | |
| JP2000261428A (ja) | 分散処理システムにおける認証装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040406 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040607 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20040610 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20041217 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060731 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070119 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070427 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070611 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3971890 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100615 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100615 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110615 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140615 Year of fee payment: 7 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |