JP2002300150A - Icカードの鍵生成方法及びシステム - Google Patents
Icカードの鍵生成方法及びシステムInfo
- Publication number
- JP2002300150A JP2002300150A JP2001094634A JP2001094634A JP2002300150A JP 2002300150 A JP2002300150 A JP 2002300150A JP 2001094634 A JP2001094634 A JP 2001094634A JP 2001094634 A JP2001094634 A JP 2001094634A JP 2002300150 A JP2002300150 A JP 2002300150A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- key
- card
- certification information
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Credit Cards Or The Like (AREA)
Abstract
(57)【要約】
【課題】 ICカードに対しネットワークを介してオン
ラインで鍵生成を行なう場合、その鍵生成が確かにIC
カード内で行なわれたのかを確認することができない問
題を解決することにある。 【解決手段】 最初に、ICカードに秘密鍵SK1と公
開鍵PK1を格納するとともに、この公開鍵PK1に対
し信頼できる第3者により生成された公開鍵証明書Cを
格納し、鍵生成コマンドの受信時に、新しい秘密鍵SK
2と公開鍵PK2を生成し、新たに生成された公開鍵P
K2に前記公開鍵証明書の公開鍵PK1に対応する秘密
鍵SK1により電子署名Sを付与して公開鍵証明書Cと
ともに出力する。前記公開鍵証明書Cと前記電子署名S
を検証することにより、新たに生成された公開鍵PK2
はICカード内で生成されたものであることを確認する
ことができる。
ラインで鍵生成を行なう場合、その鍵生成が確かにIC
カード内で行なわれたのかを確認することができない問
題を解決することにある。 【解決手段】 最初に、ICカードに秘密鍵SK1と公
開鍵PK1を格納するとともに、この公開鍵PK1に対
し信頼できる第3者により生成された公開鍵証明書Cを
格納し、鍵生成コマンドの受信時に、新しい秘密鍵SK
2と公開鍵PK2を生成し、新たに生成された公開鍵P
K2に前記公開鍵証明書の公開鍵PK1に対応する秘密
鍵SK1により電子署名Sを付与して公開鍵証明書Cと
ともに出力する。前記公開鍵証明書Cと前記電子署名S
を検証することにより、新たに生成された公開鍵PK2
はICカード内で生成されたものであることを確認する
ことができる。
Description
【0001】
【発明の属する技術分野】本発明は、ICカードの鍵生
成方法、特にネットワークを介してオンラインで生成す
る方法及びシステムに関するものである。
成方法、特にネットワークを介してオンラインで生成す
る方法及びシステムに関するものである。
【0002】
【従来技術】近年、金融、通信、交通、公共、医療分野
等において、磁気カードに代わる新しい情報記録媒体と
して、セキュリティ上安全で大きな記憶容量を有するI
Cカードを用い、これに複数のアプリケーションを搭載
し、複数のサービスを提供するICカードシステムが出
現している。また、必要に応じ所望のアプリケーション
をダウンロードできるものも出現している。
等において、磁気カードに代わる新しい情報記録媒体と
して、セキュリティ上安全で大きな記憶容量を有するI
Cカードを用い、これに複数のアプリケーションを搭載
し、複数のサービスを提供するICカードシステムが出
現している。また、必要に応じ所望のアプリケーション
をダウンロードできるものも出現している。
【0003】このようなICカードシステムでは、IC
カード及びカード内のアプリケーションを認証するため
に暗号を利用しており、そのための鍵を発行時に格納も
しくは生成して保持している。また、このようなICカ
ードシステムでは、アプリケーションのオンライン配布
時やオンラインによる鍵更新時等にICカード内で新し
い鍵の生成が必要とされる。従来、この新しい鍵はカー
ド発行者装置あるいはサービス提供者装置から鍵生成コ
マンドをICカードに送り、ICカード内で生成させ、
例えば公開鍵暗号方式の鍵であれば、ICカード内で秘
密鍵、公開鍵を生成させて公開鍵情報のみを出力してい
た。
カード及びカード内のアプリケーションを認証するため
に暗号を利用しており、そのための鍵を発行時に格納も
しくは生成して保持している。また、このようなICカ
ードシステムでは、アプリケーションのオンライン配布
時やオンラインによる鍵更新時等にICカード内で新し
い鍵の生成が必要とされる。従来、この新しい鍵はカー
ド発行者装置あるいはサービス提供者装置から鍵生成コ
マンドをICカードに送り、ICカード内で生成させ、
例えば公開鍵暗号方式の鍵であれば、ICカード内で秘
密鍵、公開鍵を生成させて公開鍵情報のみを出力してい
た。
【0004】
【発明が解決しようとする課題】しかし、遠く離れたI
Cカードに対しネットワークを介してオンラインで鍵生
成を行なった場合には、その鍵生成が確かにICカード
内で行なわれたのかを確認することができないので、正
当なアプリケーションの配布や鍵の更新が保証されず、
例えば、不正のアクタがパソコンなどでICカードのふ
りをして、偽の鍵を生成し、不正にアプリケーションの
配布を受けることができる問題があった。
Cカードに対しネットワークを介してオンラインで鍵生
成を行なった場合には、その鍵生成が確かにICカード
内で行なわれたのかを確認することができないので、正
当なアプリケーションの配布や鍵の更新が保証されず、
例えば、不正のアクタがパソコンなどでICカードのふ
りをして、偽の鍵を生成し、不正にアプリケーションの
配布を受けることができる問題があった。
【0005】
【課題を解決するための手段】本発明のICカードの鍵
生成方法では、ICカードは秘密鍵と公開鍵を予め格納
するとともに、この公開鍵に対し信頼できる第3者、例
えばカード発行者により生成された公開鍵証明情報を格
納し、鍵生成コマンドの受信時に、新しい秘密鍵と公開
鍵を生成し、新たに生成された公開鍵に前記公開鍵証明
情報の公開鍵に対応する秘密鍵により電子署名を付与し
て前記公開鍵証明情報とともに出力し、前記公開鍵証明
情報と前記署名を検証することにより、新たに生成され
た公開鍵がICカード内で生成されたものであることを
確認することができることを特徴とする。本発明のIC
カードの鍵生成システムは、ICカードが、秘密鍵と公
開鍵を格納するとともに、この公開鍵に対し信頼できる
第3者装置により生成された公開鍵証明情報を格納する
手段と、鍵生成コマンドに応答して新しい秘密鍵と公開
鍵を生成する手段と、前記公開鍵証明情報の公開鍵に対
応する秘密鍵により電子署名を生成する手段と、この電
子署名を新たに生成された公開鍵に付与して前記公開鍵
証明情報とともに出力する手段とを具え、第3者装置が
前記公開鍵証明情報を生成する手段を具え、検証者装置
が前記公開鍵証明情報と前記電子署名を検証して新たに
生成された公開鍵がICカード内で生成されたものであ
ることを確認する手段を具えることを特徴とする。
生成方法では、ICカードは秘密鍵と公開鍵を予め格納
するとともに、この公開鍵に対し信頼できる第3者、例
えばカード発行者により生成された公開鍵証明情報を格
納し、鍵生成コマンドの受信時に、新しい秘密鍵と公開
鍵を生成し、新たに生成された公開鍵に前記公開鍵証明
情報の公開鍵に対応する秘密鍵により電子署名を付与し
て前記公開鍵証明情報とともに出力し、前記公開鍵証明
情報と前記署名を検証することにより、新たに生成され
た公開鍵がICカード内で生成されたものであることを
確認することができることを特徴とする。本発明のIC
カードの鍵生成システムは、ICカードが、秘密鍵と公
開鍵を格納するとともに、この公開鍵に対し信頼できる
第3者装置により生成された公開鍵証明情報を格納する
手段と、鍵生成コマンドに応答して新しい秘密鍵と公開
鍵を生成する手段と、前記公開鍵証明情報の公開鍵に対
応する秘密鍵により電子署名を生成する手段と、この電
子署名を新たに生成された公開鍵に付与して前記公開鍵
証明情報とともに出力する手段とを具え、第3者装置が
前記公開鍵証明情報を生成する手段を具え、検証者装置
が前記公開鍵証明情報と前記電子署名を検証して新たに
生成された公開鍵がICカード内で生成されたものであ
ることを確認する手段を具えることを特徴とする。
【0006】
【発明の実施の形態】以下、図面を参照して本発明のオ
ンラインICカード鍵生成方法を実施例につき説明す
る。図1は本発明によるオンラインICカード鍵生成シ
ステムの構成図であり、図2Aは本発明のオンラインI
Cカード鍵生成方法のカード発行時における手順を示
し、図2Bは鍵生成、検証手順を示す。
ンラインICカード鍵生成方法を実施例につき説明す
る。図1は本発明によるオンラインICカード鍵生成シ
ステムの構成図であり、図2Aは本発明のオンラインI
Cカード鍵生成方法のカード発行時における手順を示
し、図2Bは鍵生成、検証手順を示す。
【0007】本発明のオンラインICカード鍵生成方法
では、ICカード1の発行時に、図2Aに示すように、
ICカード1は予めカード内の鍵生成部11で認証用の
鍵(ここでは秘密鍵SK1と公開鍵PK1)を生成して
格納するとともに、公開鍵のみをカード発行者装置2に
送る。尚、この秘密鍵SK1、公開鍵PK1はカード発
行者装置が生成したものをICカード1に格納すること
もできる。カード発行者装置2は、鍵登録部21が送ら
れてきた公開鍵PK1を登録するとともに、証明書生成
部22が、送られてきた公開鍵PK1にカード発行者の
署名を付して、この公開鍵が正当なものであることを証
明する証明書Cを生成する。具体的には、発行者の秘密
鍵SKIでICカードの公開鍵PK1を暗号化して電子
署名を生成し、公開鍵PK1に添付してPK1の公開鍵
証明書Cを生成し、これをICカード1に送る。ICカ
ード1はこれを証明書格納部12に格納する。
では、ICカード1の発行時に、図2Aに示すように、
ICカード1は予めカード内の鍵生成部11で認証用の
鍵(ここでは秘密鍵SK1と公開鍵PK1)を生成して
格納するとともに、公開鍵のみをカード発行者装置2に
送る。尚、この秘密鍵SK1、公開鍵PK1はカード発
行者装置が生成したものをICカード1に格納すること
もできる。カード発行者装置2は、鍵登録部21が送ら
れてきた公開鍵PK1を登録するとともに、証明書生成
部22が、送られてきた公開鍵PK1にカード発行者の
署名を付して、この公開鍵が正当なものであることを証
明する証明書Cを生成する。具体的には、発行者の秘密
鍵SKIでICカードの公開鍵PK1を暗号化して電子
署名を生成し、公開鍵PK1に添付してPK1の公開鍵
証明書Cを生成し、これをICカード1に送る。ICカ
ード1はこれを証明書格納部12に格納する。
【0008】次に、アプリケーションのオンライン配布
時あるいは鍵更新時には、図2Bに示すように、検証者
装置(例えばサービス提供者装置)3がネットワーク4を
介して鍵生成コマンドをICカード1に送る。ICカー
ド1は、このコマンドに応答して鍵生成部11で新しい
鍵(ここでは公開鍵PK2と秘密鍵SK2)を生成し、
署名生成部13でカードに格納されている秘密鍵SK1
を使って電子署名Sを生成し、新たに生成された公開鍵
PK2に付与する。具体的には、新たに生成された公開
鍵PK2を秘密鍵SK1で暗号化して電子署名Sを生成
する。次いで、証明書格納部12から証明書Cを読み出
し、この証明書Cを新たに生成された公開鍵PK2と電
子署名Sと一緒に検証者装置3に送信する。検証者装置
3は新たに生成された公開鍵PK2、電子署名S、証明
書Cを受信し、証明書検証部31が証明書Cと電子署名
Sを検証する。即ち、証明書Cを発行者の公開鍵PKI
で復号化して、証明書CからICカードの登録公開鍵P
K1を取出し、次にこの公開鍵PK1により電子署名S
を復号化して新たに生成された公開鍵PK2を取出す。
このように証明書Cにより正当なものであると証明され
たICカード1の公開鍵PK1で検証された公開鍵PK
2は確かにICカード1で生成されたものである。
時あるいは鍵更新時には、図2Bに示すように、検証者
装置(例えばサービス提供者装置)3がネットワーク4を
介して鍵生成コマンドをICカード1に送る。ICカー
ド1は、このコマンドに応答して鍵生成部11で新しい
鍵(ここでは公開鍵PK2と秘密鍵SK2)を生成し、
署名生成部13でカードに格納されている秘密鍵SK1
を使って電子署名Sを生成し、新たに生成された公開鍵
PK2に付与する。具体的には、新たに生成された公開
鍵PK2を秘密鍵SK1で暗号化して電子署名Sを生成
する。次いで、証明書格納部12から証明書Cを読み出
し、この証明書Cを新たに生成された公開鍵PK2と電
子署名Sと一緒に検証者装置3に送信する。検証者装置
3は新たに生成された公開鍵PK2、電子署名S、証明
書Cを受信し、証明書検証部31が証明書Cと電子署名
Sを検証する。即ち、証明書Cを発行者の公開鍵PKI
で復号化して、証明書CからICカードの登録公開鍵P
K1を取出し、次にこの公開鍵PK1により電子署名S
を復号化して新たに生成された公開鍵PK2を取出す。
このように証明書Cにより正当なものであると証明され
たICカード1の公開鍵PK1で検証された公開鍵PK
2は確かにICカード1で生成されたものである。
【0009】尚、上述の実施例では、公開鍵証明情報と
して公開鍵PK1の正当性を証明する公開鍵証明書を使
用しているが、公開鍵証明情報としてバージョン情報、
シリアル番号、署名者署名アルゴリズム、署名者ID、
有効期限、署名対象ID、署名対象者鍵アルゴリズム、
署名対象者鍵、署名者署名を証明するものを使用するこ
とができる。
して公開鍵PK1の正当性を証明する公開鍵証明書を使
用しているが、公開鍵証明情報としてバージョン情報、
シリアル番号、署名者署名アルゴリズム、署名者ID、
有効期限、署名対象ID、署名対象者鍵アルゴリズム、
署名対象者鍵、署名者署名を証明するものを使用するこ
とができる。
【0010】
【発明の効果】上述した本発明の方法及び装置によれ
ば、オンラインで生成あるいは更新された鍵が確かにI
Cカードで発生されたものであることを確かめることが
できる。従って、アプリケーションのオンライン配布用
の鍵生成、オンラインによる鍵更新を行なうことが可能
となる。
ば、オンラインで生成あるいは更新された鍵が確かにI
Cカードで発生されたものであることを確かめることが
できる。従って、アプリケーションのオンライン配布用
の鍵生成、オンラインによる鍵更新を行なうことが可能
となる。
【図1】 本発明によるオンラインICカード鍵生成シ
ステムの構成図である。
ステムの構成図である。
【図2】 Aは本発明のオンラインICカード鍵生成方
法のカード発行時における手順を示す図であり、Bは鍵
生成、検証における手順を示す図である。
法のカード発行時における手順を示す図であり、Bは鍵
生成、検証における手順を示す図である。
1 ICカード 2 カード発行者装置 3 検証者装置 11 鍵生成部 12 証明書格納部 13 署名生成部 21 鍵登録部 22 証明書生成部 31 証明書検証部
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G09C 1/00 G06K 19/00 R H04L 9/08 H04L 9/00 601B Fターム(参考) 2C005 MA05 MB01 SA02 SA05 SA13 SA22 5B035 AA13 BB09 BC00 CA11 5J104 AA09 AA16 EA04 EA22 JA21 LA03 NA02 NA35 NA37 NA40
Claims (4)
- 【請求項1】 ICカードは秘密鍵と公開鍵を予め格納
するとともに、この公開鍵に対し信頼できる第3者によ
り生成された公開鍵証明情報を格納し、鍵生成コマンド
の受信時に、新しい秘密鍵と公開鍵を生成し、新たに生
成された公開鍵に前記公開鍵証明情報の公開鍵に対応す
る秘密鍵により電子署名を付与して前記公開鍵証明情報
とともに出力し、前記公開鍵証明情報と前記電子署名を
検証することにより、新たに生成された公開鍵がICカ
ード内で生成されたものであることを確認することがで
きることを特徴とするICカードの鍵生成方法。 - 【請求項2】 前記公開鍵証明情報にバージョン情報、
シリアル番号、署名者署名アルゴリズム、署名者ID、
有効期限、署名対象ID、署名対象者鍵アルゴリズム、
署名対象者鍵、署名者署名を含むことを特徴とする請求
項1記載のICカード鍵生成方法。 - 【請求項3】 ICカードが、秘密鍵と公開鍵を格納す
るとともに、この公開鍵に対し信頼できる第3者装置に
より生成された公開鍵証明情報を格納する手段と、鍵生
成コマンドに応答して新しい秘密鍵と公開鍵を生成する
手段と、前記公開鍵証明情報の公開鍵に対応する秘密鍵
により電子署名を生成する手段と、この電子署名を新た
に生成された公開鍵に付与して前記公開鍵証明情報とと
もに出力する手段とを具え、第3者装置が前記公開鍵証
明情報を生成する手段を具え、検証者装置が前記公開鍵
証明情報と前記電子署名を検証して新たに生成された公
開鍵がICカード内で生成されたものであることを確認
する手段を具えることを特徴とするICカードの鍵生成
システム。 - 【請求項4】 前記公開鍵証明情報にバージョン情報、
シリアル番号、署名者署名アルゴリズム、署名者ID、
有効期限、署名対象ID、署名対象者鍵アルゴリズム、
署名対象者鍵、署名者署名を含むことを特徴とする請求
項3記載のICカードの鍵生成システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001094634A JP2002300150A (ja) | 2001-03-29 | 2001-03-29 | Icカードの鍵生成方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001094634A JP2002300150A (ja) | 2001-03-29 | 2001-03-29 | Icカードの鍵生成方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002300150A true JP2002300150A (ja) | 2002-10-11 |
Family
ID=18948802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001094634A Pending JP2002300150A (ja) | 2001-03-29 | 2001-03-29 | Icカードの鍵生成方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002300150A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005329647A (ja) * | 2004-05-20 | 2005-12-02 | Toshiba Corp | 個人認証用通帳類発行装置 |
| JP2006060643A (ja) * | 2004-08-23 | 2006-03-02 | Fujitsu Prime Software Technologies Ltd | Icカード発行システム及び方法 |
| JP2007518324A (ja) * | 2004-01-08 | 2007-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 |
| US7543153B2 (en) * | 2003-03-14 | 2009-06-02 | Canon Kabushiki Kaisha | Digital signature generating apparatus, method, computer program and computer-readable storage medium |
| JP2011193490A (ja) * | 2011-04-18 | 2011-09-29 | Fujitsu Ltd | Icカード発行システム及び方法 |
| CN113014398A (zh) * | 2021-03-17 | 2021-06-22 | 福建师范大学 | 基于sm9数字签名算法的聚合签名生成方法 |
-
2001
- 2001-03-29 JP JP2001094634A patent/JP2002300150A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7543153B2 (en) * | 2003-03-14 | 2009-06-02 | Canon Kabushiki Kaisha | Digital signature generating apparatus, method, computer program and computer-readable storage medium |
| JP2007518324A (ja) * | 2004-01-08 | 2007-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 |
| JP2005329647A (ja) * | 2004-05-20 | 2005-12-02 | Toshiba Corp | 個人認証用通帳類発行装置 |
| JP4533663B2 (ja) * | 2004-05-20 | 2010-09-01 | 株式会社東芝 | 個人認証用媒体発行装置 |
| JP2006060643A (ja) * | 2004-08-23 | 2006-03-02 | Fujitsu Prime Software Technologies Ltd | Icカード発行システム及び方法 |
| JP2011193490A (ja) * | 2011-04-18 | 2011-09-29 | Fujitsu Ltd | Icカード発行システム及び方法 |
| CN113014398A (zh) * | 2021-03-17 | 2021-06-22 | 福建师范大学 | 基于sm9数字签名算法的聚合签名生成方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9160537B2 (en) | Methods for secure restoration of personal identity credentials into electronic devices | |
| US6085320A (en) | Client/server protocol for proving authenticity | |
| US20080250246A1 (en) | Method for Controlling Secure Transactions Using a Single Multiple Dual-Key Device, Corresponding Physical Deivce, System and Computer Program | |
| CA3164765A1 (en) | Secure communication method and device based on identity authentication | |
| JPH11231775A (ja) | 条件付き認証装置および方法 | |
| JP2002183633A (ja) | 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム | |
| JP2004032731A (ja) | 暗号を用いたセキュリティ方法、ならびにそれに適した電子装置 | |
| TW201212611A (en) | Information processing device, controller, certificate issuing authority, method of determining validity of revocation list, and method of issuing certificates | |
| US20090106548A1 (en) | Method for controlling secured transactions using a single physical device, corresponding physical device, system and computer program | |
| US20160226837A1 (en) | Server for authenticating smart chip and method thereof | |
| JPH10336172A (ja) | 電子認証用公開鍵の管理方法 | |
| CN108418692B (zh) | 认证证书的在线写入方法 | |
| KR100973203B1 (ko) | 내장된 소프트웨어 및 이를 인증하는 방법 | |
| JP2016012902A (ja) | 電子データ利用システム、携帯端末装置、及び電子データ利用システムにおける方法 | |
| JP2004248220A (ja) | 公開鍵証明書発行装置、公開鍵証明書記録媒体、認証端末装置、公開鍵証明書発行方法、及びプログラム | |
| CN106027254A (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
| JP2002300150A (ja) | Icカードの鍵生成方法及びシステム | |
| US7143285B2 (en) | Password exposure elimination for digital signature coupling with a host identity | |
| JP2004140636A (ja) | 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム | |
| CN114726539B (zh) | 一种基于可信密码模块tcm的离线升级方法 | |
| JP2021100227A (ja) | IoT鍵管理システム,セキュアデバイス,IoTデバイス,デバイス管理装置およびセキュアエレメントの公開鍵証明書生成方法 | |
| CN112311534A (zh) | 产生非对称算法密钥对的方法 | |
| CN106027474A (zh) | 一种身份证认证系统中的身份证读卡终端 | |
| JP2010028689A (ja) | 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム | |
| US12120247B2 (en) | Owner identity confirmation system, certificate authority server and owner identity confirmation method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050927 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051125 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060328 |