JP2002341762A - 電子署名代行方法、その装置、そのプログラム及びその記録媒体 - Google Patents
電子署名代行方法、その装置、そのプログラム及びその記録媒体Info
- Publication number
- JP2002341762A JP2002341762A JP2001143152A JP2001143152A JP2002341762A JP 2002341762 A JP2002341762 A JP 2002341762A JP 2001143152 A JP2001143152 A JP 2001143152A JP 2001143152 A JP2001143152 A JP 2001143152A JP 2002341762 A JP2002341762 A JP 2002341762A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- key
- user
- attribute information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 署名鍵を登録していない利用者にも代行署名
を依頼可能とする。 【解決手段】 鍵登録者はその鍵を他者が利用する場合
の条件(権限情報)を保存部311に登録しておき、鍵
非登録者を含む利用者の属性を保存部313に登録して
おき、利用者が署名要求を行い、利用者認証に合格する
と、その利用者の属性を保存部313から取出し、また
署名対象データ属性解析部316で解析してその属性を
取出し、これら両属性と保存部311中の各条件と比較
し、一致した条件と対応する鍵を用いて対象データに対
し電子署名を行いその署名を利用者へ送る。
を依頼可能とする。 【解決手段】 鍵登録者はその鍵を他者が利用する場合
の条件(権限情報)を保存部311に登録しておき、鍵
非登録者を含む利用者の属性を保存部313に登録して
おき、利用者が署名要求を行い、利用者認証に合格する
と、その利用者の属性を保存部313から取出し、また
署名対象データ属性解析部316で解析してその属性を
取出し、これら両属性と保存部311中の各条件と比較
し、一致した条件と対応する鍵を用いて対象データに対
し電子署名を行いその署名を利用者へ送る。
Description
【0001】
【発明の属する技術分野】この発明は、複数の利用者が
利用者端末よりネットワークを介して電子署名装置に署
名対象データを送り、その電子署名装置により署名対象
データに対し電子署名を代行してもらう電子署名代行方
法、その装置、そのプログラム及びその記録媒体に関す
る。
利用者端末よりネットワークを介して電子署名装置に署
名対象データを送り、その電子署名装置により署名対象
データに対し電子署名を代行してもらう電子署名代行方
法、その装置、そのプログラム及びその記録媒体に関す
る。
【0002】
【従来の技術】ネットワークにおける情報発信者を認証
する技術として、電子署名が行われている。電子署名は
ディジタル署名とも呼ばれ、ESIGN,RSA,El
gamal等の公開鍵暗号方式が利用されている。公開
鍵暗号方式の電子署名処理は、署名を行う使用者が、使
用者に対応する署名用鍵を使用して、署名対象データの
ハッシュ情報を暗号化し、その暗号化されたデータを署
名対象データに付加することにより行われる。そして、
署名の検証は、署名者の公開鍵を利用して行われ、署名
部分を公開鍵で復号化した情報と、署名対象データのハ
ッシュ情報とが同一であれば、署名対象データに対し、
使用者が電子署名処理を行ったことと、署名対象データ
が改ざんされていないことが保証される。
する技術として、電子署名が行われている。電子署名は
ディジタル署名とも呼ばれ、ESIGN,RSA,El
gamal等の公開鍵暗号方式が利用されている。公開
鍵暗号方式の電子署名処理は、署名を行う使用者が、使
用者に対応する署名用鍵を使用して、署名対象データの
ハッシュ情報を暗号化し、その暗号化されたデータを署
名対象データに付加することにより行われる。そして、
署名の検証は、署名者の公開鍵を利用して行われ、署名
部分を公開鍵で復号化した情報と、署名対象データのハ
ッシュ情報とが同一であれば、署名対象データに対し、
使用者が電子署名処理を行ったことと、署名対象データ
が改ざんされていないことが保証される。
【0003】電子署名の実現方式としては、各々の使用
者の端末、または端末に接続されたICカード等の電子
署名装置で電子署名処理を行う方式がある。しかし、こ
の方式では、端末上の署名用鍵が複製されてしまうリス
ク(危険)や、署名用鍵の複製を防止する電子署名装置
の価格、鍵長の変更等、システム内での統一的なセキュ
リティポリシの変更が容易でないといった問題があっ
た。そこで従来、多数の利用者により共用可能な電子署
名装置において個々人の署名用鍵を管理し、利用者の要
求に応じ利用者を認証した上で、署名対象データに代行
して電子署名を行うシステムが提案されている。このシ
ステムでいう共用可能な電子署名装置は、個々の使用者
との間で相互認証を行う機能と、認証が成功した後に、
使用者のために使用者の登録した署名用鍵を使用して電
子署名を代行する機能とを備えている。このような従来
の技術としては、特開平10−32570号「電子署名
システム」がある。
者の端末、または端末に接続されたICカード等の電子
署名装置で電子署名処理を行う方式がある。しかし、こ
の方式では、端末上の署名用鍵が複製されてしまうリス
ク(危険)や、署名用鍵の複製を防止する電子署名装置
の価格、鍵長の変更等、システム内での統一的なセキュ
リティポリシの変更が容易でないといった問題があっ
た。そこで従来、多数の利用者により共用可能な電子署
名装置において個々人の署名用鍵を管理し、利用者の要
求に応じ利用者を認証した上で、署名対象データに代行
して電子署名を行うシステムが提案されている。このシ
ステムでいう共用可能な電子署名装置は、個々の使用者
との間で相互認証を行う機能と、認証が成功した後に、
使用者のために使用者の登録した署名用鍵を使用して電
子署名を代行する機能とを備えている。このような従来
の技術としては、特開平10−32570号「電子署名
システム」がある。
【0004】
【発明が解決しようとする課題】上記従来の電子署名代
行方法では、署名用鍵を共用可能な電子署名装置に登録
した使用者から、本人に対応しない署名用鍵での電子署
名要求がある場合、この要求を許可しないため、他人あ
るいは他組織といった、他の実体が登録した署名用鍵を
利用した代行(代理)電子署名が不可能であり、複数の
利用者が署名用鍵を登録可能な方式の利点を十分活かせ
ていない。また、署名用鍵を共用可能な電子署名装置に
登録していない非登録者から、他者の登録した署名用鍵
での代行署名要求がある場合、この要求を許可しないた
め、システム利用者の枠を狭めてしまっている。
行方法では、署名用鍵を共用可能な電子署名装置に登録
した使用者から、本人に対応しない署名用鍵での電子署
名要求がある場合、この要求を許可しないため、他人あ
るいは他組織といった、他の実体が登録した署名用鍵を
利用した代行(代理)電子署名が不可能であり、複数の
利用者が署名用鍵を登録可能な方式の利点を十分活かせ
ていない。また、署名用鍵を共用可能な電子署名装置に
登録していない非登録者から、他者の登録した署名用鍵
での代行署名要求がある場合、この要求を許可しないた
め、システム利用者の枠を狭めてしまっている。
【0005】従って、この発明の目的は、複数の利用者
が共用可能な電子署名装置に登録されている署名用鍵
を、適切な権限付与がなされていることを条件に、他の
利用者も利用可能にするような電子署名代行方法、その
装置、そのプログラム及びその記録媒体を提供すること
にある。また、この発明の別の目的は、署名用鍵を電子
署名装置に登録しない非登録者が、署名用鍵を登録した
登録者の名義で、電子署名を行うことを可能にするよう
な電子署名代行方法、その装置、そのプログラム及びそ
の記録媒体を提供することにある。
が共用可能な電子署名装置に登録されている署名用鍵
を、適切な権限付与がなされていることを条件に、他の
利用者も利用可能にするような電子署名代行方法、その
装置、そのプログラム及びその記録媒体を提供すること
にある。また、この発明の別の目的は、署名用鍵を電子
署名装置に登録しない非登録者が、署名用鍵を登録した
登録者の名義で、電子署名を行うことを可能にするよう
な電子署名代行方法、その装置、そのプログラム及びそ
の記録媒体を提供することにある。
【0006】
【課題を解決するための手段】この発明によれば、署名
用鍵登録者の署名用鍵を他者が利用する際の権限情報
(条件)を電子署名装置に登録しておき、利用者が電子
署名装置に署名要求をすると、電子署名装置はその署名
要求した利用者の属性情報に応じて、登録してある権限
情報を参照して利用可能な署名用鍵を決定し、その決定
された署名用鍵を用いて、その要求された対象データに
対して電子署名を行い、その署名を指定された装置、つ
まり利用者が自端末へ送るようにとか、ある他者の装置
へ送るようにとかの指定に応じた所へ送信する。
用鍵登録者の署名用鍵を他者が利用する際の権限情報
(条件)を電子署名装置に登録しておき、利用者が電子
署名装置に署名要求をすると、電子署名装置はその署名
要求した利用者の属性情報に応じて、登録してある権限
情報を参照して利用可能な署名用鍵を決定し、その決定
された署名用鍵を用いて、その要求された対象データに
対して電子署名を行い、その署名を指定された装置、つ
まり利用者が自端末へ送るようにとか、ある他者の装置
へ送るようにとかの指定に応じた所へ送信する。
【0007】
【発明の実施の形態】この発明の実施形態を実施例によ
り説明する。図1にこの発明の方法が適用されるシステ
ム構成例を示す。ネットワーク11に図には1つしか示
していないが複数の利用者端末12が接続され、また少
くとも1つの電子署名装置300が接続され、更に認証
局装置13が接続されている。ネットワーク11は複数
のネットワークで構成されていてもよい。
り説明する。図1にこの発明の方法が適用されるシステ
ム構成例を示す。ネットワーク11に図には1つしか示
していないが複数の利用者端末12が接続され、また少
くとも1つの電子署名装置300が接続され、更に認証
局装置13が接続されている。ネットワーク11は複数
のネットワークで構成されていてもよい。
【0008】電子署名装置300は、複数の利用者が登
録した署名用鍵の保存部310、複数の利用者が登録し
た署名用鍵の権限情報の保存部311、署名用鍵登録者
のみならず署名用鍵非登録者を含む、複数の利用者が登
録した認証情報の保存部312および利用者の静的属性
情報の保存部313を備えており、極めて重要な情報を
保存・管理するため、入退室の制限や監視カメラ等、相
応の安全な環境において、補助記憶装置の二重化等の手
段や、安全なログイン手段を備えたサーバとして実現さ
れる形態をとることができる。
録した署名用鍵の保存部310、複数の利用者が登録し
た署名用鍵の権限情報の保存部311、署名用鍵登録者
のみならず署名用鍵非登録者を含む、複数の利用者が登
録した認証情報の保存部312および利用者の静的属性
情報の保存部313を備えており、極めて重要な情報を
保存・管理するため、入退室の制限や監視カメラ等、相
応の安全な環境において、補助記憶装置の二重化等の手
段や、安全なログイン手段を備えたサーバとして実現さ
れる形態をとることができる。
【0009】電子署名装置300は更に以下の各機能部
を備える。ネットワーク11を介して、利用者の端末1
1と署名対象データをやり取りするための通信機能を通
信部314として備える。この通信部314は、安全な
通信のために、SSL(Secure Socket Layer)等の暗
号化機能や端末のアクセス制御を行う機能を有すること
が望ましい。署名用鍵登録者のみならず署名用鍵非登録
者を含む、複数の利用者を認証するための認証部315
を備える。この認証部315による認証方法としては、
ID(識別情報)・パスワード(暗証番号)といった一
般的な認証方式よりは、公開鍵暗号方式や共通鍵暗号方
式による、チャレンジ・レスポンス方式といった安全性
の高い認証方式が好ましい。チャレンジ・レスポンス方
式は例えば前記特許公開公報に示されている。
を備える。ネットワーク11を介して、利用者の端末1
1と署名対象データをやり取りするための通信機能を通
信部314として備える。この通信部314は、安全な
通信のために、SSL(Secure Socket Layer)等の暗
号化機能や端末のアクセス制御を行う機能を有すること
が望ましい。署名用鍵登録者のみならず署名用鍵非登録
者を含む、複数の利用者を認証するための認証部315
を備える。この認証部315による認証方法としては、
ID(識別情報)・パスワード(暗証番号)といった一
般的な認証方式よりは、公開鍵暗号方式や共通鍵暗号方
式による、チャレンジ・レスポンス方式といった安全性
の高い認証方式が好ましい。チャレンジ・レスポンス方
式は例えば前記特許公開公報に示されている。
【0010】認証部315と関連して、認証後に通信部
314を介して受信した署名対象データの属性(利用者
の属性情報)を解析するための署名対象データ属性解析
部316を備える。署名対象データはXML(Extensib
le Manipulation Language)等の構造化されたデータが
想定される。通信部314と関連して、署名用鍵非登録
者を含む、複数の利用者からの要求に応じて、利用者に
より利用可能とされた署名用鍵により、署名対象データ
に対し暗号処理(電子署名)を行う署名部317を備え
る。
314を介して受信した署名対象データの属性(利用者
の属性情報)を解析するための署名対象データ属性解析
部316を備える。署名対象データはXML(Extensib
le Manipulation Language)等の構造化されたデータが
想定される。通信部314と関連して、署名用鍵非登録
者を含む、複数の利用者からの要求に応じて、利用者に
より利用可能とされた署名用鍵により、署名対象データ
に対し暗号処理(電子署名)を行う署名部317を備え
る。
【0011】署名部317と関連して、署名用鍵非登録
者を含む、複数の利用者からの要求に応じて、利用者に
より指定された新規の署名用鍵を生成し、その公開鍵を
認証局装置13に代行申請するための、署名用鍵生成お
よび申請部318を備える。認証部315、署名対象デ
ータ属性解析部316、署名部317と関連して、認証
情報と署名対象データの属性、つまり利用者の属性から
利用可能な署名用鍵を選抜するための利用可能署名用鍵
抽出部319を備える。利用者の属性情報には、静的属
性情報と動的属性情報があり、これらの一方又は双方を
意味することがある。静的属性情報は利用者の性別、所
属(会社、団体、その部署、サークルなど)、年令、嗜
好、住所の県名など比較的静的な属性情報である。動的
属性情報は署名対象データに依存し、サービス種別、行
政への申請書、商取引の契約書、注文書、取引金額など
比較的動的な属性情報である。署名対象データ中には例
えば住所など静的属性情報もあり、これも利用してもよ
い。
者を含む、複数の利用者からの要求に応じて、利用者に
より指定された新規の署名用鍵を生成し、その公開鍵を
認証局装置13に代行申請するための、署名用鍵生成お
よび申請部318を備える。認証部315、署名対象デ
ータ属性解析部316、署名部317と関連して、認証
情報と署名対象データの属性、つまり利用者の属性から
利用可能な署名用鍵を選抜するための利用可能署名用鍵
抽出部319を備える。利用者の属性情報には、静的属
性情報と動的属性情報があり、これらの一方又は双方を
意味することがある。静的属性情報は利用者の性別、所
属(会社、団体、その部署、サークルなど)、年令、嗜
好、住所の県名など比較的静的な属性情報である。動的
属性情報は署名対象データに依存し、サービス種別、行
政への申請書、商取引の契約書、注文書、取引金額など
比較的動的な属性情報である。署名対象データ中には例
えば住所など静的属性情報もあり、これも利用してもよ
い。
【0012】利用者はその本人性を認証できる情報を電
子署名装置300に登録して、署名用鍵を登録する。そ
の認証に必要な情報は認証情報保存部312に格納さ
れ、署名用鍵は署名用鍵保存部310に格納される。署
名用鍵の情報としては例えば、その署名用鍵の登録者
名、登録日時、その署名用鍵に対応する公開鍵の証明書
を発行した認証局、鍵のアルゴリズム、サイズなどであ
り、これら署名用鍵の情報も署名用鍵と共に署名用鍵保
存部310に格納されてある。署名用鍵の登録者は、そ
の署名用鍵を他者に利用させてもよい場合は、その自己
の登録した署名用鍵を他者が利用するにあたっての権限
情報(条件)を電子署名装置300に登録する。この権
限情報は性別、所属、年令、嗜好、などの比較的静的な
権限情報や署名対象データに依存するサービス種別、申
請種別、取引金額、手数料などの比較的動的な権限情報
であり、この権限情報は署名用鍵又は登録者との対応は
署名用鍵権限情報保存部311に格納される。
子署名装置300に登録して、署名用鍵を登録する。そ
の認証に必要な情報は認証情報保存部312に格納さ
れ、署名用鍵は署名用鍵保存部310に格納される。署
名用鍵の情報としては例えば、その署名用鍵の登録者
名、登録日時、その署名用鍵に対応する公開鍵の証明書
を発行した認証局、鍵のアルゴリズム、サイズなどであ
り、これら署名用鍵の情報も署名用鍵と共に署名用鍵保
存部310に格納されてある。署名用鍵の登録者は、そ
の署名用鍵を他者に利用させてもよい場合は、その自己
の登録した署名用鍵を他者が利用するにあたっての権限
情報(条件)を電子署名装置300に登録する。この権
限情報は性別、所属、年令、嗜好、などの比較的静的な
権限情報や署名対象データに依存するサービス種別、申
請種別、取引金額、手数料などの比較的動的な権限情報
であり、この権限情報は署名用鍵又は登録者との対応は
署名用鍵権限情報保存部311に格納される。
【0013】ある権限情報は例えば「男性」「神奈川県
民」「住民票申請」であり、利用者の属性がこの3つの
条件を満たせば、その署名用鍵の利用をその利用者に対
し許可する。この電子署名装置300を利用したい署名
用鍵の非登録利用者は本人性を認証できる情報を電子署
名装置300に登録すると共に、その利用者の静的属性
情報を電子署名装置300に登録する。署名用鍵を登録
した利用者も他者の登録署名用鍵を利用したい場合は、
その利用者の静的属性情報を電子署名装置300に登録
する。登録された利用者の静的属性情報は利用者属性情
報として利用者属性情報保存部313に格納される。 (全体の処理の流れ)以下に利用者がネットワーク11
に接続された端末12を利用して、電子署名装置300
に署名要求し、電子署名を受取るまでのシーケンス例を
説明する(図2も参照)。
民」「住民票申請」であり、利用者の属性がこの3つの
条件を満たせば、その署名用鍵の利用をその利用者に対
し許可する。この電子署名装置300を利用したい署名
用鍵の非登録利用者は本人性を認証できる情報を電子署
名装置300に登録すると共に、その利用者の静的属性
情報を電子署名装置300に登録する。署名用鍵を登録
した利用者も他者の登録署名用鍵を利用したい場合は、
その利用者の静的属性情報を電子署名装置300に登録
する。登録された利用者の静的属性情報は利用者属性情
報として利用者属性情報保存部313に格納される。 (全体の処理の流れ)以下に利用者がネットワーク11
に接続された端末12を利用して、電子署名装置300
に署名要求し、電子署名を受取るまでのシーケンス例を
説明する(図2も参照)。
【0014】(1)利用者が署名要求すると、予め登録
時に電子署名装置300と合意した認証方法により、利
用者端末12と電子署名装置300との間で認証処理を
行う。認証部315は認証情報保存部312を、利用者
用のID等をキーに検索して、例えばID+パスワード
を照合することにより、認証要求者が正当な利用者であ
ることを確認する。 (2)この認証処理が正常に終了した後、電子署名装置
300は予め利用者が登録した属性情報を利用者属性情
報保存部313から利用者ID等をキーに検索し、利用
者の属性情報、例えば「東京都民」「女性」「20才」
「A型」を取得する。
時に電子署名装置300と合意した認証方法により、利
用者端末12と電子署名装置300との間で認証処理を
行う。認証部315は認証情報保存部312を、利用者
用のID等をキーに検索して、例えばID+パスワード
を照合することにより、認証要求者が正当な利用者であ
ることを確認する。 (2)この認証処理が正常に終了した後、電子署名装置
300は予め利用者が登録した属性情報を利用者属性情
報保存部313から利用者ID等をキーに検索し、利用
者の属性情報、例えば「東京都民」「女性」「20才」
「A型」を取得する。
【0015】(3)認証に合格すると、利用者端末12
が署名対象データを送信する。 (4)認証処理後、利用者が使用する端末12から受信
した署名対象データは、解析可能なフォーマットである
場合、電子署名装置の署名対象データ属性解析部316
によってその属性を解析する。 (5)電子署名装置の利用可能署名用鍵抽出部319
は、利用者の属性情報、つまり利用者属性情報保存部3
13から取得した属性情報およびデータ解析により取得
した属性情報の和集合と、署名用鍵権限情報保存部31
1内の権限情報とを照合し、両者が一致した権限情報と
対応する署名用鍵を利用可能な署名用鍵とし、その利用
可能署名用鍵のリストを生成する。
が署名対象データを送信する。 (4)認証処理後、利用者が使用する端末12から受信
した署名対象データは、解析可能なフォーマットである
場合、電子署名装置の署名対象データ属性解析部316
によってその属性を解析する。 (5)電子署名装置の利用可能署名用鍵抽出部319
は、利用者の属性情報、つまり利用者属性情報保存部3
13から取得した属性情報およびデータ解析により取得
した属性情報の和集合と、署名用鍵権限情報保存部31
1内の権限情報とを照合し、両者が一致した権限情報と
対応する署名用鍵を利用可能な署名用鍵とし、その利用
可能署名用鍵のリストを生成する。
【0016】(6)そのリストを利用者が使用する端末
12に送信する。 (7)利用者端末12は受信したリストを画面に表示す
る。このリストは前述した署名用鍵の鍵情報、つまり鍵
の登録者、種別などを並べたものであり、利用者は端末
12上で、リストから署名用鍵を、例えば署名対象デー
タの内容、署名の送り先などにより選択、指定して電子
署名装置300に通知する。 (8)電子署名装置300は、署名用鍵の指定通知を受
信し、署名部317により指定された署名用鍵を署名用
鍵保存部310から取出し、その署名用鍵で、署名対象
データに対し、電子署名処理を行う。
12に送信する。 (7)利用者端末12は受信したリストを画面に表示す
る。このリストは前述した署名用鍵の鍵情報、つまり鍵
の登録者、種別などを並べたものであり、利用者は端末
12上で、リストから署名用鍵を、例えば署名対象デー
タの内容、署名の送り先などにより選択、指定して電子
署名装置300に通知する。 (8)電子署名装置300は、署名用鍵の指定通知を受
信し、署名部317により指定された署名用鍵を署名用
鍵保存部310から取出し、その署名用鍵で、署名対象
データに対し、電子署名処理を行う。
【0017】(9)その処理後、その署名又は署名済み
のデータ(署名付きデータ)を利用者の使用する端末1
2に送信する。 (10)利用者属性情報保存部313にその利用者の属
性情報が存在しない場合は、認証対象者(利用者)の登
録している署名用鍵を署名用鍵保存部310から取得し
て、その署名用鍵により、署名対象データに電子署名処
理を行う。 (11)署名又は署名済みデータを利用者の端末12に
返却し、処理を終了する。 利用者は、使用する端末上で署名済みデータを受信し、
一連の処理は終了する。
のデータ(署名付きデータ)を利用者の使用する端末1
2に送信する。 (10)利用者属性情報保存部313にその利用者の属
性情報が存在しない場合は、認証対象者(利用者)の登
録している署名用鍵を署名用鍵保存部310から取得し
て、その署名用鍵により、署名対象データに電子署名処
理を行う。 (11)署名又は署名済みデータを利用者の端末12に
返却し、処理を終了する。 利用者は、使用する端末上で署名済みデータを受信し、
一連の処理は終了する。
【0018】(電子署名装置での処理)図3に電子署名
装置300における処理手順の例を示す。認証要求、つ
まり署名要求を受信すると(S1)、その認証要求した
利用者に対する認証(又は相互認証)を認証部315が
認証情報保存部312の情報を利用して行う(S2)。
その認証が合格であれば(S3)、その利用者の属性情
報(静的属性情報)について利用者属性情報保存部31
3を検索し(S4)、また利用者端末12からの署名対
象データの受信を待つ(S5)。なお電子署名装置30
0は必要に応じて認証合格を利用者端末12へ送信す
る。
装置300における処理手順の例を示す。認証要求、つ
まり署名要求を受信すると(S1)、その認証要求した
利用者に対する認証(又は相互認証)を認証部315が
認証情報保存部312の情報を利用して行う(S2)。
その認証が合格であれば(S3)、その利用者の属性情
報(静的属性情報)について利用者属性情報保存部31
3を検索し(S4)、また利用者端末12からの署名対
象データの受信を待つ(S5)。なお電子署名装置30
0は必要に応じて認証合格を利用者端末12へ送信す
る。
【0019】署名対象データを受信すると、そのデータ
を署名対象データ属性解析部316で解析して、その利
用者の動的属性情報及び静的属性情報を求める(S
6)。この署名対象データから求めた属性情報とステッ
プS4で検索した属性情報とを合せて、その利用者の属
性情報として、これと一致する権限情報を署名用鍵権限
情報保存部311に対して、利用可能署名用鍵抽出部3
19で検索し(S7)、一致するものがあれば(S
8)、その一致した権限情報と対応する署名用鍵の情報
のリストを生成して、利用者端末12へ送信する(S
9)。
を署名対象データ属性解析部316で解析して、その利
用者の動的属性情報及び静的属性情報を求める(S
6)。この署名対象データから求めた属性情報とステッ
プS4で検索した属性情報とを合せて、その利用者の属
性情報として、これと一致する権限情報を署名用鍵権限
情報保存部311に対して、利用可能署名用鍵抽出部3
19で検索し(S7)、一致するものがあれば(S
8)、その一致した権限情報と対応する署名用鍵の情報
のリストを生成して、利用者端末12へ送信する(S
9)。
【0020】利用者端末12から鍵の指定通知を受信す
ると(S10)、その指定された署名用鍵を用いて署名
対象データに対し署名処理を行い、その処理結果を利用
者端末12へ送信する(S11)。ステップS8で一致
するものがなければ、その利用者の登録した署名用鍵が
あるかを調べ(S12)、あれば、その署名用鍵で署名
対象データに対し署名処理を行って、その署名又は署名
済みデータを利用者端末12へ送信する(S11)。ス
テップS3で認証に不合格となった場合やステップS1
2で登録している署名用鍵がなければ、署名をすること
ができないことを利用者端末12へ通知する(S1
3)。
ると(S10)、その指定された署名用鍵を用いて署名
対象データに対し署名処理を行い、その処理結果を利用
者端末12へ送信する(S11)。ステップS8で一致
するものがなければ、その利用者の登録した署名用鍵が
あるかを調べ(S12)、あれば、その署名用鍵で署名
対象データに対し署名処理を行って、その署名又は署名
済みデータを利用者端末12へ送信する(S11)。ス
テップS3で認証に不合格となった場合やステップS1
2で登録している署名用鍵がなければ、署名をすること
ができないことを利用者端末12へ通知する(S1
3)。
【0021】利用者の利用可能署名用鍵のリストから署
名用鍵を選択する際に、署名用鍵の登録者に許されてい
れば複数の署名用鍵を選択してもよい。このように複数
の署名用鍵を選択する場合は、例えば1つの署名対象デ
ータに対し署名を連ねて様々な宛先に送った場合、その
送り先の数の署名用鍵を選択して、それぞれの署名用鍵
により署名を作ってもらう。あるいは1つの署名対象デ
ータに対して複数の署名が必要な場合に、複数の署名用
鍵を選択して、これらの署名用鍵により署名対象データ
に対し多重署名をしてもらう。
名用鍵を選択する際に、署名用鍵の登録者に許されてい
れば複数の署名用鍵を選択してもよい。このように複数
の署名用鍵を選択する場合は、例えば1つの署名対象デ
ータに対し署名を連ねて様々な宛先に送った場合、その
送り先の数の署名用鍵を選択して、それぞれの署名用鍵
により署名を作ってもらう。あるいは1つの署名対象デ
ータに対して複数の署名が必要な場合に、複数の署名用
鍵を選択して、これらの署名用鍵により署名対象データ
に対し多重署名をしてもらう。
【0022】またリスト中に選択したい署名用鍵がない
場合は、新規署名用鍵を指定してもよい。電子署名装置
300は図3中に破線で示すように受信した鍵指定が新
規鍵であれば(S14)、署名用鍵生成および申請部3
18により、その新規署名用鍵を生成し、これを署名用
鍵保存部310に保存し、またその対応公開鍵の申請
を、利用者に代って、認証局装置13へ送信依頼し(S
16)、その後、その新規署名用鍵を用いて署名対象デ
ータに対して署名を行って、利用者端末12へ送信する
(S11)。
場合は、新規署名用鍵を指定してもよい。電子署名装置
300は図3中に破線で示すように受信した鍵指定が新
規鍵であれば(S14)、署名用鍵生成および申請部3
18により、その新規署名用鍵を生成し、これを署名用
鍵保存部310に保存し、またその対応公開鍵の申請
を、利用者に代って、認証局装置13へ送信依頼し(S
16)、その後、その新規署名用鍵を用いて署名対象デ
ータに対して署名を行って、利用者端末12へ送信する
(S11)。
【0023】上述においては、署名用鍵リストを利用者
端末12へ送り、利用者に使用する署名用鍵を選択させ
たが、電子署名装置300で利用者属性情報と権限情報
とを比較し、最初に一致した権限情報と対応する署名用
鍵を用いて署名対象データを署名処理してもよい。また
利用者の属性情報としては、静的属性情報又は動的属性
情報のみを用いてもよい。この場合はこれと対応して保
存(登録)する権限情報も静的権限情報又は動的権限情
報のみとなる。また電子署名装置300は署名又は署名
済みデータを利用者端末12へ送信したが、利用者が指
定した装置、つまり利用者自体の端末又は他社の装置
(端末)の署名済みデータを送信してもよい。
端末12へ送り、利用者に使用する署名用鍵を選択させ
たが、電子署名装置300で利用者属性情報と権限情報
とを比較し、最初に一致した権限情報と対応する署名用
鍵を用いて署名対象データを署名処理してもよい。また
利用者の属性情報としては、静的属性情報又は動的属性
情報のみを用いてもよい。この場合はこれと対応して保
存(登録)する権限情報も静的権限情報又は動的権限情
報のみとなる。また電子署名装置300は署名又は署名
済みデータを利用者端末12へ送信したが、利用者が指
定した装置、つまり利用者自体の端末又は他社の装置
(端末)の署名済みデータを送信してもよい。
【0024】利用者端末12及び電子署名装置300は
コンピュータによりプログラムを実行させて機能させて
もよい。例えばコンピュータよりなる電子署名装置30
0において、そのプログラムメモリに、電子署名装置処
理プログラムを、CD−ROM、フレキシブルディス
ク、磁気ディスクなどからインストールし、又は通信回
線を通してダウンロードして、実行すればよい。
コンピュータによりプログラムを実行させて機能させて
もよい。例えばコンピュータよりなる電子署名装置30
0において、そのプログラムメモリに、電子署名装置処
理プログラムを、CD−ROM、フレキシブルディス
ク、磁気ディスクなどからインストールし、又は通信回
線を通してダウンロードして、実行すればよい。
【0025】
【発明の効果】この発明によれば複数の利用者が、登録
した署名用鍵に関する他者の利用条件を定めた権限情報
を設定することにより、利用者は利用者の属性情報と条
件が合致すれば他者の署名用鍵を利用することが可能に
なる。署名用鍵非登録者を含む、複数の利用者が、各々
の静的属性情報を登録する場合は、その静的属性情報と
権限情報を照合して、利用者が利用可能な他者が登録済
みの署名用鍵を網羅的に検索し、その結果を利用者に提
示することができ、利用者は署名用鍵を選択することが
できる。
した署名用鍵に関する他者の利用条件を定めた権限情報
を設定することにより、利用者は利用者の属性情報と条
件が合致すれば他者の署名用鍵を利用することが可能に
なる。署名用鍵非登録者を含む、複数の利用者が、各々
の静的属性情報を登録する場合は、その静的属性情報と
権限情報を照合して、利用者が利用可能な他者が登録済
みの署名用鍵を網羅的に検索し、その結果を利用者に提
示することができ、利用者は署名用鍵を選択することが
できる。
【0026】署名対象データの属性が解析可能である場
合、その属性を解析して利用者の属性情報とする場合
は、この属性情報と権限情報を照合して、利用者が利用
可能な他者が登録済みの署名用鍵を網羅的に検索し、そ
の結果を利用者に提示することができ、利用者は署名用
鍵を選択することができる。署名用鍵非登録者を含む、
複数の利用者が、利用者が利用可能な他者が登録済みの
署名用鍵ではなく、新規に自己の署名用鍵を生成、認証
局に申請した上で電子署名処理を要求してきた場合に、
利用者に代行して新規鍵生成および認証局へ申請を行う
ようにする場合は利用者の利便正が向上する。
合、その属性を解析して利用者の属性情報とする場合
は、この属性情報と権限情報を照合して、利用者が利用
可能な他者が登録済みの署名用鍵を網羅的に検索し、そ
の結果を利用者に提示することができ、利用者は署名用
鍵を選択することができる。署名用鍵非登録者を含む、
複数の利用者が、利用者が利用可能な他者が登録済みの
署名用鍵ではなく、新規に自己の署名用鍵を生成、認証
局に申請した上で電子署名処理を要求してきた場合に、
利用者に代行して新規鍵生成および認証局へ申請を行う
ようにする場合は利用者の利便正が向上する。
【図1】この発明方法が適用されるシステムの構成例及
びこの発明の電子署名装置の機能構成例を示す図。
びこの発明の電子署名装置の機能構成例を示す図。
【図2】この発明方法の処理シーケンスの例を示す図。
【図3】この発明による電子署名装置処理方法の手順の
例を示す流れ図。
例を示す流れ図。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 千葉 直子 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA09 LA03 LA06 LA07 NA02 PA07
Claims (17)
- 【請求項1】 ネットワークに接続された少くとも1台
の利用者端末と少くとも1台の電子署名装置を備え、複
数の利用者が前記電子署名装置を共用する電子署名代行
方法において、 前記電子署名装置に、複数の署名用鍵を登録しておき、
かつ署名用鍵登録者の署名用鍵を他者が利用する際の権
限情報を予め登録しておき、 前記利用者端末は利用者の署名要求を前記電子署名装置
へ送信し、 前記電子署名装置は利用者の署名要求を受信すると、そ
の利用者の属性情報に応じて、前記登録されている権限
情報を用いて利用可能署名用鍵を決定し、 その利用可能署名用鍵を用いて、前記署名要求の対象デ
ータに対し電子署名処理を行い、その電子署名を指定さ
れた装置へ送信することを特徴とする電子署名代行方
法。 - 【請求項2】 前記電子署名装置に前記利用者の属性情
報のうち静的属性情報を予め登録しておき、 前記電子署名装置は前記利用者の属性情報として、前記
登録されている静的属性情報からその利用者のものを取
得することを特徴とする請求項1記載の電子署名代行方
法。 - 【請求項3】 前記電子署名装置は前記署名対象データ
の属性情報を解析してその属性情報を前記利用者の属性
情報とすることを特徴とする請求項1又は2記載の電子
署名代行方法。 - 【請求項4】 前記電子署名装置は利用者の属性情報に
応じて前記登録されている権限情報を用いて、利用可能
な複数の署名用鍵を決定し、これら決定した複数の利用
可能署名用鍵のリストを前記利用者端末へ送信し、 前記利用者端末は署名用鍵のリストを受信するとこれを
利用者に提示し、 利用可能署名用鍵の選択が入力されると、その選択され
た利用可能署名用鍵の情報を前記電子署名装置へ送信
し、 前記電子署名装置は前記選択された利用可能署名用鍵の
情報を受信すると、その利用可能署名用鍵を用いて前記
対象データに対する署名を行うことを特徴とする請求項
1乃至3の何れかに記載の電子署名代行方法。 - 【請求項5】 前記利用者端末は新規署名用鍵の作成要
求が入力されると、新規署名用鍵作成要求を前記電子署
名装置へ送信し、 前記電子署名装置は受信した新規署名用鍵作成要求に応
じて署名用鍵を生成し、その署名用鍵を登録し、その署
名用鍵の公開鍵の申請を認証局装置へ送信することを特
徴とする請求項1乃至4のいずれかに記載の電子署名代
行方法。 - 【請求項6】 ネットワークを介して他装置と通信をす
る通信部と、 複数の利用者が登録した署名用鍵を保存する署名用鍵保
存部と、 署名用鍵登録者の署名用鍵を他者が利用する際の権限情
報を登録する署名用鍵権限情報保存部と、 利用者端末から前記通信部に受信された署名要求をした
利用者の属性情報に応じて、前記署名用鍵権限情報保存
部に保存されている署名用鍵権限情報を参照して利用可
能な署名用鍵を決定する利用可能署名用鍵抽出部と、 前記決定された利用可能署名用鍵を前記署名用鍵保存部
から取得して、その署名用鍵を用いて前記署名要求の対
象データに対し電子署名を行う署名部と、 前記対象データに対する署名を指定された装置へ前記通
信部より送信する手段とを具備する電子署名装置。 - 【請求項7】 署名用鍵非登録者を含む、複数の利用者
の静的属性情報を利用者の属性情報として登録する利用
者属性情報保存部を備え、 前記利用可能署名用鍵抽出部は前記利用者属性情報保存
手段から、前記署名要求をした利用者の属性情報を取得
して前記権限情報参照に用いる手段を備えていることを
特徴とする請求項6記載の電子署名装置。 - 【請求項8】 受信した署名対象データの属性情報を解
析して利用者属性情報を取得する署名対象データ属性解
析部とを備え、 前記利用可能署名用鍵抽出部は前記署名対象データ属性
解析部で取得した利用者の属性情報を前記権限情報参照
に用いる手段を備えていることを特徴とする請求項6又
は7記載の電子署名装置。 - 【請求項9】 前記利用可能署名用鍵抽出部は前記利用
者の属性情報に応じて、前記署名用鍵権限情報保存手段
に登録されている鍵権限情報を参照して、利用可能な署
名用鍵を求めその鍵情報を利用者端末へ送信する手段を
備え、 前記署名部では前記利用者端末から受信した指定された
署名用鍵が署名処理に用いられることを特徴とする請求
項8記載の電子署名装置。 - 【請求項10】 利用者端末から新規鍵生成要求が受信
されて、その要求に応じた新しい署名用鍵を生成し、署
名用鍵の証明申請を行う認証局装置に対して署名用鍵生
成および申請部を備えていることを特徴とする請求項6
乃至9の何れかに記載の電子署名装置。 - 【請求項11】 利用者端末から利用者の署名要求を受
信すると、その利用者の属性情報に応じて、登録されて
いる権限情報を用いて利用可能な署名用鍵を決定する過
程と、 その利用可能な署名用鍵を用いて、前記署名要求の対象
データに対し電子署名処理を行い、その電子署名を指定
された装置へ送信する過程とを有することを特徴とする
電子署名装置処理方法。 - 【請求項12】 前記利用者の属性情報として、登録さ
れている静的属性情報からその利用者のものを取得する
過程を有することを特徴とする請求項11記載の電子署
名装置処理方法。 - 【請求項13】 前記署名対象データの属性情報を解析
してその属性情報を前記利用者の属性情報とする過程を
有することを特徴とする請求項11又は12記載の電子
署名装置処理方法。 - 【請求項14】 利用者の属性情報に応じて前記登録さ
れている権限情報を用いて、使用可能な複数の署名用鍵
を決定し、これら決定した複数の署名用鍵の鍵情報リス
トを前記利用者端末へ送信し、 前記利用者端末から指定された署名用鍵の情報を受信す
るとその署名用鍵を用いて前記対象データに対する署名
を行うことを特徴とする請求項11乃至13の何れかに
記載の電子署名装置処理方法。 - 【請求項15】 利用者端末から新規署名用鍵の作成要
求が受信されるとその新規署名用鍵作成要求に応じた署
名用鍵を生成する過程と、 その署名用鍵の公開鍵の申請を認証局装置へ送信する過
程と、を有することを特徴とする請求項11乃至14の
何れかに記載の電子署名装置処理方法。 - 【請求項16】 請求項11乃至15の何れかに記載の
電子署名装置処理方法をコンピュータに実行させるため
のプログラム。 - 【請求項17】 請求項16記載のプログラムを記録し
たコンピュータ読取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001143152A JP3793042B2 (ja) | 2001-05-14 | 2001-05-14 | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001143152A JP3793042B2 (ja) | 2001-05-14 | 2001-05-14 | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002341762A true JP2002341762A (ja) | 2002-11-29 |
| JP3793042B2 JP3793042B2 (ja) | 2006-07-05 |
Family
ID=18989337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001143152A Expired - Fee Related JP3793042B2 (ja) | 2001-05-14 | 2001-05-14 | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3793042B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050504A (ja) * | 2004-08-09 | 2006-02-16 | Canon Inc | 画像処理装置およびその方法 |
| JP2007006131A (ja) * | 2005-06-23 | 2007-01-11 | Ricoh Co Ltd | 電子署名生成システム、スキャナ装置、電子署名生成方法、電子署名生成プログラム及び記録媒体 |
| JP2010219618A (ja) * | 2009-03-13 | 2010-09-30 | Fuji Xerox Co Ltd | プログラム、署名検証装置、署名情報生成装置及び署名検証システム |
| WO2010137508A1 (ja) | 2009-05-29 | 2010-12-02 | 日本電気株式会社 | 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム |
| JP2011244320A (ja) * | 2010-05-20 | 2011-12-01 | Nippon Telegr & Teleph Corp <Ntt> | 委託計算システム及び方法 |
| JP2011244321A (ja) * | 2010-05-20 | 2011-12-01 | Nippon Telegr & Teleph Corp <Ntt> | 代理署名システム、方法 |
| KR101776635B1 (ko) | 2016-01-21 | 2017-09-11 | 주식회사 한컴시큐어 | 클라이언트 단말을 위한 전자서명 대행 수행 장치 및 그 동작 방법 |
-
2001
- 2001-05-14 JP JP2001143152A patent/JP3793042B2/ja not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050504A (ja) * | 2004-08-09 | 2006-02-16 | Canon Inc | 画像処理装置およびその方法 |
| JP2007006131A (ja) * | 2005-06-23 | 2007-01-11 | Ricoh Co Ltd | 電子署名生成システム、スキャナ装置、電子署名生成方法、電子署名生成プログラム及び記録媒体 |
| JP2010219618A (ja) * | 2009-03-13 | 2010-09-30 | Fuji Xerox Co Ltd | プログラム、署名検証装置、署名情報生成装置及び署名検証システム |
| WO2010137508A1 (ja) | 2009-05-29 | 2010-12-02 | 日本電気株式会社 | 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム |
| US8583932B2 (en) | 2009-05-29 | 2013-11-12 | Nec Corporation | Signature device, signature verification device, anonymous authetication system, signing method, signature authentication method, and programs therefor |
| JP2011244320A (ja) * | 2010-05-20 | 2011-12-01 | Nippon Telegr & Teleph Corp <Ntt> | 委託計算システム及び方法 |
| JP2011244321A (ja) * | 2010-05-20 | 2011-12-01 | Nippon Telegr & Teleph Corp <Ntt> | 代理署名システム、方法 |
| KR101776635B1 (ko) | 2016-01-21 | 2017-09-11 | 주식회사 한컴시큐어 | 클라이언트 단말을 위한 전자서명 대행 수행 장치 및 그 동작 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3793042B2 (ja) | 2006-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220052852A1 (en) | Secure biometric authentication using electronic identity | |
| US11329981B2 (en) | Issuing, storing and verifying a rich credential | |
| CN109598663B (zh) | 提供和获取安全身份信息的方法及装置 | |
| AU2003212617B2 (en) | A biometric authentication system and method | |
| JP7083892B2 (ja) | デジタル証明書のモバイル認証相互運用性 | |
| US7770207B2 (en) | System, apparatus, program, and method for authentication | |
| US20030105966A1 (en) | Authentication server using multiple metrics for identity verification | |
| US20050132201A1 (en) | Server-based digital signature | |
| JP2003143136A (ja) | 本人確認システム及び装置 | |
| CN107294900A (zh) | 基于生物特征的身份注册方法和装置 | |
| CN109413086B (zh) | 线上核验身份信息的方法及装置 | |
| JPWO2007007690A1 (ja) | 認証システム、装置及びプログラム | |
| JP2005532736A (ja) | 生物測定学的私設キーインフラストラクチャ | |
| JP2006525563A (ja) | ユーザとウェッブ・サイトの認証方法及び装置 | |
| US20240214392A1 (en) | Unified authentication system for decentralized identity platforms | |
| WO1999012144A1 (fr) | Serveur et procede de generation de signature numerique | |
| KR20030032423A (ko) | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 | |
| WO2021107755A1 (en) | A system and method for digital identity data change between proof of possession to proof of identity | |
| EP1574978A1 (en) | Personal information control system, mediation system, and terminal unit | |
| JP3793042B2 (ja) | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 | |
| JP6518378B1 (ja) | 認証システム、認証方法、及び、認証プログラム | |
| JP2006072709A (ja) | データ処理システム、その方法およびサーバ | |
| WO2024038630A1 (ja) | 認証システム及び認証方法 | |
| JP2005354490A (ja) | 携帯情報端末利用者本人の存在証明方法及びシステム並びにそれに用いる装置 | |
| KR20230004312A (ko) | Did를 이용한 개인정보의 인증 및 식별 시스템과 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051213 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060209 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060406 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090414 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100414 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100414 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110414 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |