JP2004259174A - Icカード相互運用方法及びシステム - Google Patents
Icカード相互運用方法及びシステム Download PDFInfo
- Publication number
- JP2004259174A JP2004259174A JP2003051533A JP2003051533A JP2004259174A JP 2004259174 A JP2004259174 A JP 2004259174A JP 2003051533 A JP2003051533 A JP 2003051533A JP 2003051533 A JP2003051533 A JP 2003051533A JP 2004259174 A JP2004259174 A JP 2004259174A
- Authority
- JP
- Japan
- Prior art keywords
- card
- public key
- service provider
- certificate authority
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ICカード相互運用方法及びシステムを提供する。
【解決手段】PKIベースのICカード相互運用方法において、第1のICカード運用システムと第2のICカード運用システムは、それぞれの認証局の下に下位認証局を設置し、それぞれの認証局は登録した下位認証局に対してそれぞれの認証局が署名した該下位認証局の公開鍵証明書を発行し、該下位認証局は、それぞれのカード運用システムにおいて相互運用を行う実行主体装置に対して、該下位認証局が署名した該実行主体装置の公開鍵証明書と該実行主体装置を一意に特定する識別情報を発行し、第1もしくは第2のICカード運用システムにおけるICカードと、第1および第2のICカード運用システムにおける実行主体装置との間で上記の公開鍵証明書および識別情報などを用いて、これらの間で相互認証を行うことにより、異なるICカード運用システム間でICカードの相互運用を可能にする。
【選択図】 図5
【解決手段】PKIベースのICカード相互運用方法において、第1のICカード運用システムと第2のICカード運用システムは、それぞれの認証局の下に下位認証局を設置し、それぞれの認証局は登録した下位認証局に対してそれぞれの認証局が署名した該下位認証局の公開鍵証明書を発行し、該下位認証局は、それぞれのカード運用システムにおいて相互運用を行う実行主体装置に対して、該下位認証局が署名した該実行主体装置の公開鍵証明書と該実行主体装置を一意に特定する識別情報を発行し、第1もしくは第2のICカード運用システムにおけるICカードと、第1および第2のICカード運用システムにおける実行主体装置との間で上記の公開鍵証明書および識別情報などを用いて、これらの間で相互認証を行うことにより、異なるICカード運用システム間でICカードの相互運用を可能にする。
【選択図】 図5
Description
【0001】
【発明の属する技術分野】
本発明はPKIベースの認証方法を用いた異なるICカード運用システム間でICカードを相互運用するICカード相互運用方法及びシステムに関するものであり、特にICカードへのアプリケーションダウンロードの際の相互運用方法及びシステムに関する。
【0002】
【従来の技術】
ICカード運用システムでは、カード利用者とサービス提供者装置が相互に自由に連携して、例えば、ICカードの発行後にもネットワークを通じてICカードにアプリケーションをダウンロードさせることで、さまざまなサービスを提供できるようにしている(たとえば、特許文献1参照)。そして、このようなICカード運用システムでは、ICカードで多数のサービスを安全、かつ確実に利用することができるようにするために、実行主体装置であるカード発行者装置とサービス提供者装置は、該ICカード運用システムにおける認証局に登録した公開鍵を用いて互いに電子署名を検証することにより相互認証を行なっている(非特許文献1参照)。
【0003】
【特許文献1】
特開2002−133373号公報
【非特許文献1】
Ryutaro Tohji、Yoshinori Wada, Shinichi Hirata, Katsuhiko Suzuki, “Network−based Platform for Multi−Application Smart Cards”, Proceedings of 5th International Enterprise Distributed Object Computing Conference, pp. 34−45, (EDOC2001)
【0004】
図1に従来のICカード運用システムのシステム構成図を示し、図2にこのようなICカード運用システムにおけるアプリケーションダウンロードを実行する手順の詳細シーケンスを示す。
【0005】
まず、図1のICカード運用システムにおいて、CIlはカード発行者装置であり、カード発行機能と、ダウンロード許可書発行機能と相互認証機能を有する。IC1はカード発行者装置CIlにより発行されたICカードであり、相互認証機能を有する。SPlはサービス提供者装置であり、カード発行者装置CIlにより許可されたアプリケーションをICカードにダウンロードするアプリケーションダウンロード機能、許可されたサービスを実行するサービス実行機能、相互認証機能を有する。CAlは認証局であり、公開鍵証明書発行機能を有する。なお、図1では、1つのカード発行者装置および1つのサービス提供者装置しか記載してないが、実際には多数のカード発行者装置およびサービス提供者装置が存在する。
【0006】
認証局CAlはシステム内のカード発行者装置CI1やサービス提供者装置SP1を登録し、登録したカード発行者装置CIlやサービス提供者装置SPlに対してCAlが署名したそれぞれの公開鍵証明書CertCI1(CA1),CertSP1(CA1)を発行する。カード発行者装置CIlは、CIlが署名したICカードIC1の公開鍵証明書CertIC1(CI1)を格納したICカードClを発行する。
【0007】
また、カード発行者装置CIlはその内部に、認証局CAlが署名をした公開鍵証明書CertCI1(CA1)、カード発行者装置CIlの公開鍵PK(CI1)、秘密鍵SK(CI1)、認証局CAlの公開鍵PK(CA1)を保持し、サービス提供者装置SPlはその内部に、認証局CAlが署名をした公開鍵証明書CertSP1(CA1)、サービス提供者装置SPlの公開鍵PK(SP1)、秘密鍵SK(SP1)、認証局CAlの公開鍵PK(CA1)を保持し、ICカードIClはその内部に、カード発行者装置CIlが署名をした公開鍵証明書CertIC1(CI1)、認証局CAlの公開鍵PK(CA1)、カード発行者装置CIlの公開鍵PK(CI1)、ICカードIC1の公開鍵PK(IC1)、秘密鍵SK(IC1)を保持する。
【0008】
次に、アプリケーションダウンロードの詳細シーケンスを図2を参照して説明する。
ICカードIC1は、ICカードIClとカード発行者装置CIlとアプリケーションを特定する情報を含む「ダウンロード要求」をサービス提供者装置SPlに行う。
サービス提供者装置SPlは、前出の情報より、カード発行者装置CIlに対して、ダウンロード要求が行われた旨を「通知」する。
【0009】
カード発行者装置CIlおよびサービス提供者装置SPlは、認証局CAlによって署名されたそれぞれの公開鍵証明書を「証明書交換」する。
カード発行者装置CIlおよびサービス提供者装置SPlは、認証局の公開鍵PK(CA1)により互いの公開鍵証明書を検証し、互いの公開鍵を取得する。
カード発行者装置CIlおよびサービス提供者装置SPlは、適当なメッセージに対して、それぞれの秘密鍵により署名を施し、該メッセージと該者名を相互に送信し、受信した署名を前出の公開鍵で確認することで、「署名交換による相互認証」を行う。
【0010】
相互認証終了後、サービス提供者装置SPlは、ICカードClとダウンロード対象アプリケーションを特定する情報を含んだ「ダウンロードライセンス発行要求」を、カード発行者装置CIlに対して送信する。
カード発行者装置CIlは、自らの秘密鍵SK(CI1)により署名を施したダウンロードライセンスをサービス提供者装置SPlに送信することで、「ダウンロードライセンス発行」を行う。
サービス提供者装置SPlは、前出の公開鍵PK(CI1)によりダウンロードライセンスの署名を検証する。
【0011】
次に、サービス提供者装置SPlは、ICカードIC1に対して、ダウンロードライセンスの取得を「通知」する。
ICカードIClおよびサービス提供者装置SPlは、それぞれの公開鍵証明書を「証明書交換」する。
ICカードIClは認証局の公開鍵PK(CA1)により、サービス提供者装置SPlは前出のカード発行者装置のPK(CI1)により互いの公開鍵証明書を検証し、互いの公開鍵を取得する。
ICカードIC1およびサービス提供者装置SPlは、適当なメッセージに対して、それぞれの秘密鍵により署名を施し、該メッセージと該署名を相互に送信し、受信した署名を前出の公開鍵で確認することで、「署名交換による相互認証」を行う。
【0012】
相互認証終了後、サービス提供者装置SPlは、ICカードClに対して「ダウンロードライセンス送信」を行う。
ICカードIClは、ダウンロードライセンスに対して、PK(CI1)で署名検証し、検証が成功すれば「ACK」をサービス提供者装置SPlに返す。
【0013】
ICカードIClからのACKを受けたサービス提供者装置SPlは「APダウンロード実行コマンド」をICカードに送る。
ICカードIC1は許可されたアプリケーションのダウンロードを実行し、ダウンロードの終了時に、その結果をサービス提供者装置SP1及びカード発行者装置CI1に送る。
この方法により、ICカードとカード発行者装置、カード発行者装置とサービス提供者装置、サービス提供者装置とICカードが相互に認証し合うことによりセキュアな運用ができることになっている。
【0014】
【発明が解決しようとする課題】
しかしながら、このようなPKIベースの認証方法を用いたICカード運用システムでは、特定の認証局配下での運用を前提としていたため、認証局が異なる他のICカード運用システムとは公開鍵を用いた認証処理を行なえず、ICカードを相互運用させることができないという課題があった。
【0015】
例えば、Aシステムの認証局配下のカード発行者装置により発行されたICカードはBシステムの認証局配下のサービス提供者装置のサービスを受けたくても、Bシステムの認証局配下のサービス提供者装置の公開鍵証明書を検証できないので、Bシステム配下のサービス提供者装置からアプリケーション等のオブジェクトをダウンロードすることができないという課題があった。
【0016】
また、アプリケーションをダウンロードする際に、カード発行者装置とサービス提供者装置の間やサービス提供者装置とICカードの間では、通信を行なう相手がどのICカード運用システムに所属しているかを特定しなければならないが、従来のICカード運用システムは特定の認証局配下で運用されることが前提となっているため、各システムの認証局の識別情報や実行主体装置(サービス提供者装置またはカード発行者装置)の識別情報は各ICカード運用システムが独自に発行しており、このためICカード運用システム間でICカードを相互運用する際には、識別情報が重複する可能性があり、ICカード運用システム間で実行主体装置を一意に特定することができないという課題があつた。
【0017】
また、従来のシステム構成で、ICカード運用システム間でICカードの相互運用を行なうには、各実行主体装置が各ICカード運用システムの認証局に対して直接登録を行なう必要があり、認証局の設置数が多数存在する場合には、実行主体装置の登録が非常に大きい負荷となる課題があった。
【0018】
さらに、従来のPKIベースの認証方法を用いて異なるシステム間でICカードの相互運用を行なうには、相互運用される全ての認証局配下の実行主体装置が同様の運用ポリシーに従って登録されたものであることが前提であり、ICカード運用システムでは、認証局配下に多様な運用形態をもった実行主体装置が参加するので、相互運用する全ての認証局を同一の運用ポリシーで統一することが困難であるという課題があった。
【0019】
即ち、運用ポリシーとは、各認証局がどのような実行主体装置を登録するかを決めるものであり、例えば、図3で示すように、Aシステムの認証局においては、金融系のサービスと公共系のサービスを行なうサービス提供者装置の登録を可能とするが、Bシステムでは公共系のサービスを行なうサービス提供者装置の登録しか認めないという運用ポリシーの場合、従来の相互運用方法では運用ポリシーの相違のためにAシステムとBシステムの認証局の運用を連携させることができない。このため、Aシステムの実行主体装置がBシステムの実行主体装置と相互運用することが不可能であった。
【0020】
そこで、本発明は、異なるICカード運用システム間でICカードを相互運用し得るICカード相互運用方法及びシステム、特に、異なるICカード運用システム間でICカードへのアプリケーションのダウンロードを行ない得る相互運用方法及びシステムを提供することを目的とする。
本発明は、さらに、該ICカード相互運用システムに使用するICカード発行者装置、サービス提供者装置及びICカード、及び該ICカード発行者装置、サービス提供者装置及びICカードを実現するためのコンピュータプログラムを提供することを目的とする。
【0021】
【課題を解決するための手段】
本発明は、PKIベースの認証方法を用いた異なるICカード運用システム間でICカードを相互運用するためのICカード相互運用方法において、相互運用を行なう第1のICカード運用システムと第2のICカード運用システムは、それぞれのカード運用システムにおける認証局の下に下位認証局を設置し、それぞれのカード運用システムにおける認証局は登録した下位認証局に対してそれぞれのカード運用システムにおける認証局が署名した該下位認証局の公開鍵証明書を発行し、該下位認証局は、それぞれのカード運用システムにおいて相互運用を行う実行主体装置に対して、該下位認証局が署名した該実行主体装置の公開鍵証明書と該実行主体装置を一意に特定する識別情報を発行し、第1もしくは第2のICカード運用システムにおけるICカードと、第1および第2のICカード運用システムにおける実行主体装置との間で前出の公開鍵証明書および識別情報などを用いて、これらの間で相互認証を行うことにより、異なるICカード運用システム間でICカードの相互運用を可能にすることを特徴とする。
【0022】
ここで、下位認証局は相互運用を行なう複数のシステムの認証局の規定する運用ポリシーを満たしている必要がある。また、下位認証局は相互運用対象のICカード運用システム群に対して1つでもよいし、複数でもよい。なお、下位認証局が複数存在する場合の実行主体装置識別情報の一意性の保持に関しては、例えば、これらの下位認証局を管理するシステムが別途割り振ることで可能となる。
【0023】
上記の本発明の方法によれば、異なるICカード運用システム間におけるICカードの相互運用が可能となる効果が得られる。さらに、下位認証局は、運用ポリシーごとに設置すればよく、最小の場合には一つ、もしくは、複数の設置にとどまるために、認証局の設置数が膨大になる際には、それぞれの認証局における相互運用先実行主体装置の登録負荷を減少する効果が得られる。
【0024】
また、本発明のICカード相互運用方法では、相互運用するICカード運用システム間の認証局のポリシーを統一せずにICカードの相互運用を可能にするため、上記の下位認証局が運用ポリシーを持ち、実行主体装置を管理することを特徴とする。
【0025】
本発明のこの方法によれば、図4で示すように、AシステムとBシステムの認証局に下位認証局が公共系サービスの運用を行うことを登録し、下位認証局にAシステムとBシステムの公共系サービスの実行主体装置を登録することにより異なるICカード運用システム間でICカードを公共系サービスについて相互運用することが可能になる。
また、下位認証局が複数の運用ポリシーを管理することも可能である。
【0026】
【発明の実施の形態】
図5は本発明のICカード相互運用方法を実施するシステムの基本構成例を示す。
本例では、ICカードの相互運用を行なう2つのICカード運用システム1及び2を備え、システム1には、認証局CAlに所属するカード発行者装置CIlやサービス提供者装置SPlが設置され、システム2には、認証局CA2に所属するカード発行者装置CI2やサービス提供者装置SP2が設置されている。更に、2つのICカード運用システム間でICカードを相互運用するカード発行者装置CIl、CI2とサービス提供者装置SPl、SP2を管理する下位認証局SubCAが設置されている。下位認証局SubCAは公開鍵証明書発行機能と相互運用時の識別情報を付与する機能を有する。
【0027】
なお、図5では、各ICカード運用システムには1つのカード発行者装置および1つのサービス提供者装置しか示してないが、実際には多数のカード発行者装置およびサービス提供者装置が存在する。また、2つのICカード運用システムしか示してないが、実際には多数のICカード運用システムが存在する。
【0028】
下位認証局SubCAは相互運用対象のICカード運用システム内の運用ポリシーが同一である認証局CA1,CA2に予め登録し、ICカード運用システム間でICカードの相互運用を行なうカード発行者装置CI1,CI2やサービス提供者装置SP1,SP2を下位認証局SubCAに登録する。それぞれの相互運用対象のICカード運用システムにおける認証局CA1,CA2は登録した下位認証局SubCAに対しそれぞれの認証局が署名した下位認証局の公開鍵証明書CertSubCA(CA1),CertSubCA(CA2)を発行し、下位認証局SubCAは登録したカード発行者装置やサービス提供者装置に対し下位認証局が署名したそれぞれの公開鍵証明書CertCI1(SubCA),CertCI2(SubCA),CertSP1(SubCA),CertSP2(SubCA)を発行する。
【0029】
図5のICカード相互運用システムでは、ICカードの相互運用のために、カード発行者装置CI1,CI2は、図1に示す従来のシステムのカード発行者装置のカード発行機能、相互認証機能及びダウンロード許可証発行機能に加えて、下位認証局により付与された相互運用時の識別情報を保持する相互運用時識別情報保持機能と、相互運用対象のサービス提供サービス装置SP2,SP1との間で下位認証局により署名されたそれぞれの公開鍵証明書を交換して相互認証を行う相互運用時相互認証機能とを有する。
【0030】
サービス提供者装置SP1,SP2は、図1に示す従来のシステムのサービス提供者装置の相互認証機能、ダウンロード実行機能、サービス実行機能に加えて、下位認証局により付与された相互運用時の識別情報を保持する相互運用時識別情報保持機能と、相互運用対象のICカード発行者装置CI2,CI1との間で下位認証局により署名されたそれぞれの公開鍵証明書を交換して行う相互認証と、相互運用対象のICカードIC2(図示せず),IC1との間で、該ICカードの発行者装置に署名された下位認証局の公開鍵証明書と下位認証局により署名された該サービス提供者装置の公開鍵を該ICカードが保持する該カードの公開鍵証明書と交換して行う相互認証を実行する相互運用時相互認証機能とを有する。
【0031】
ICカードIC1は、図1に示す従来のシステムのICカードの相互認証機能に加えて、サービス提供者装置SP2から当該カードの認証局CA1により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置SP2の公開鍵証明書を取得し、これらの公開鍵証明書を用いて前記サービス提供者との間で相互認証を行う相互運用時相互認証機能を備える。
なお、相互運用に必要な構成要素を従来のシステムに追記したが、これらの構成要素は単なる実施例であって、他の実現方法も考え得る。
【0032】
次に、本発明によるICカード相互運用方法におけるアプリケーションダウンロードの手順を、図3を参照して説明する。
最初に、図3に示すように、ICカード運用システム1,2内の同一運用ポリシーの認証局CA1,CA2に登録された下位認証局SubCAは、該認証局から当該下位認証局の公開鍵証明書CertSubCA(CA1),CertSubCA(CA2)を取得し、保持している。ICカード運用システム1、2内の相互運用を実施するカード発行者装置CIl、CI2やサービス提供者装置SPl、SP2は、自システムの認証局CA1,CA2からそれぞれの公開鍵証明書CertCI1(CA1),CertCI2(CA2),CertSP1(CA1),CertSP2(CA2)を取得し、保持しているとともに、下位認証局SubCAからそれぞれの公開鍵証明書CertCI1(SubCA),CertCI2(SubCA),CertSP1(SubCA),CertSP2(SubCA)とそれぞれの識別情報を取得し、保持している。
【0033】
次に、システム1のICカードIClからシステム2のサービス提供者装置SP2にダウンロード要求が送信されると、サービス提供者装置SP2はカード発行者装置CI1との間で、下位認証局により付与された識別情報を交換し、識別情報からそれぞれが自システムでないことを確認した後に、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、下位認証局の公開鍵で検証してそれぞれの公開鍵を取得し、これらの公開鍵を用いて署名交換による相互認証を行い、該相互認証後にアプリケーションダウンロード許可証を該カード発行者装置から取得する。
【0034】
次に、サービス提供者装置SP2はICカードIC1との間で相互認証を行う。この相互認証は、サービス提供者装置SP2がICカードIC1からカード識別情報を取得し、該識別情報から他システムの認証局配下のカード発行者から発行されたICカードであると判断し、該ICカードから該ICカードの公開鍵証明書を取得し、先に取得した前記カード発行者装置の公開鍵で検証して該ICカードの公開鍵を取得するとともに、前記ICカードが、第2システムの前記サービス提供者装置から、第1システムの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、下位認証局の公開鍵証明書を検証して得た下位認証局の公開鍵でサービス提供者装置の公開鍵証明書を検証してサービス提供者の公開鍵を取得し、サービス提供者装置SP2とICカードIC1との間で、取得したICカードIC1の公開鍵とサービス提供者SP2の公開鍵を用いて署名交換を行うことによって実現する。
この相互認証後に、サービス提供者装置SP2は前記アプリケーションダウンロード許可証をICカードに送り、ダウンロードを実行する。
【0035】
図6は本発明によるICカード相互運用方法におけるアプリケーションダウンロードの手順の詳細シーケンスを示す。
図中、SubCA(CA1)は認証局CAlにより署名された下位認証局の公開鍵証明書、同様にしてSubCA(CA2)は認証局CA2により署名された下位認証局の公開鍵証明書であり、CertCI1(SubCA), CertCI2(SubCA)はそれぞれ下位認証局SubCAにより署名されたカード発行者装置CIl,CI2の公開鍵証明書、CertSP1(SubCA), CertSP2(SubCA)は下位認証局SubCAにより署名されたサービス提供者装置SP1,SP2の公開鍵証明書である。
【0036】
また、CertCI1(CA1),CertSP1(CA1)はCA1に署名されたCIl、SP1の公開鍵証明書、CertCI2(CA2),CertSP2(CA2)はCA2に署名されたCI2、SP2の公開鍵証明書、CertIC1(I1)はCI1に署名されたICカードの公開鍵証明書である。
また、PK(SubCA)は下位認証局の公開鍵、PK(CA1)は認証局CA1の公開鍵、PK(CI1)及びSK(CI1)はカード発行者装置CIlの公開鍵及び秘密鍵、PK(SP1)及びSK(SP2)はサービス提供者装置SP2の公開鍵及び秘密鍵、PK(IC1)及びSK(IC1)はICカード発行者装置IC1の公開鍵及び秘密鍵である。
【0037】
本例では、ICカードIClには、PK(CA1),PK(CI1),CertIC1(CI1),PK(IC1),SK(IC1)と識別情報が予め格納され、カード発行者装置CIlには、CertCI1(CA1),CertCI1(SubCA),CertSubCA(CA2),PK(SubCA),PK(CI1),SK(CI1)と識別情報が予め格納され、サービス提供者装置SP2には、CertSP2(CA2),CertSP2(SubCA),CertSubCA(CA1),PK(SubCA),PK(SP2),SK(SP2)と識別情報が予め格納されているものとする。
【0038】
ICカードIClからサービス提供者装置SP2にダウンロード要求が送信されると、サービス提供者装置SP2はカード発行者装置CIlとの間で、相互認証を行なう。
この相互認証のために、最初に、カード発行者装置CIlとサービス提供者装置SP2はそれぞれ識別情報を交換し、それぞれが自システムの認証局に登録されているかを確認し、自システムの認証局に登録されていなければ、下位認証局に署名されたそれぞれの公開鍵証明書を交換する。
【0039】
サービス提供者装置SP2はカード発行者装置CIlから送られてくるカード発行者装置CIlの公開鍵証明書CertCI1(SubCA)を下位認証局の公開鍵PK(SubCA)で署名検証してカード発行者装置CIlの公開鍵PK(CI1)を取得するとともに、カード発行者装置CIlはサービス提供者装置SP2から送られてくるサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を下位認証局の公開鍵PK(SubCA)で署名検証して、サービス提供者装置SP2の公開鍵PK(SP2)を取得する。
【0040】
次に、取得したこれらの公開鍵を用いて各自の署名を交換することにより相互認証を行なう。この相互認証は、例えばサービス提供者装置SP2がチャレンジ(乱数)を生成し、カード発行者装置CIlに送り、カード発行者装置CIlが秘密鍵SK(CIl)でチャレンジを符号化してディジタル署名を生成し、サービス提供者SP2に返送し、サービス提供者装置SP2が返送されたディジタル署名を、先ほど取得したPK(CI1)で署名検証を行い返送されたチャレンジと送信したチャレンジを比較することによりサービス提供者装置SP2がカード発行者装置CIlを認証するとともに、カード発行者装置CIlがチャレンジ(乱数)を生成し、サービス提供者装置SP2に送り、サービス提供者装置が秘密鍵SK(SP2)でチャレンジを符号化してディジタル署名を生成しCIlに返送し、カード発行者装置CIlでは返送されたディジタル署名を、先ほど取得した公開鍵PK(SP2)で署名検証を行い、返送されたチャレンジと送信したチャレンジを比較することによりカード発行者装置CIlがサービス提供者装置SP2を認証することにより行なわれる。
【0041】
カード発行者装置CIlとサービス提供者装置SP2との間の相互認証後に、サービス提供者装置SP2はカード発行者装置CIlにアプリケーションのダウンロード許可書の発行を要求する。これに応答してカード発行者装置CIlはアプリケーションのダウンロード許可書を発行し、これにカード発行者装置CIlの秘密鍵SK(CI1)で署名をつけてサービス提供者装置SP2に送る。
【0042】
サービス提供者装置SP2は受け取ったダウンロード許可書の署名を先に取得したカード発行者装置CIlの公開鍵PK(CI1)で検証し、署名検証が成功すれば、ICカードIClとの間で相互認証を行なう。
この相互認証の際に、最初に、サービス提供者装置SP2はICカードIClから識別情報を取得し、識別情報よりICカードIClが自システムの認証局のカード発行者装置から発行されたカードでなければ、ICカードIClに対して、認証局CA1に署名された下位認証局の公開鍵証明書CertSubCA(CA1)と下位認証局に署名されたサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を送り、ICカードIClはサービス提供者装置SP2に、カード発行者装置CI1に署名されたICカードの公開鍵証明書CertIC1(CI1)を送る。
【0043】
ICカードIClは送られてきた下位認証局の公開鍵証明書CertSubCA(CA1)を自システムの認証局の公開鍵PK(CA1)で署名検証することで下位認証局の公開鍵PK(SubCA)を取得し、取得した下位認証局の公開鍵PK(SubCA)を用いて、下位認証局に署名されたサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を検証することで、サービス提供者装置SP2の公開鍵PK(SP2)を取得する。サービス提供者装置SP2は送られてきたICカードの公開鍵証明書CertIC1(CI1)を先のサービス提供者装置SP2とカード発行者装置CI1との間の相互認証時に取得したカード発行者装置CIlの公開鍵PK(CI1)を用いて署名検証を行ない、ICカードの公開鍵PK(IC1)を取得する。
【0044】
次に、取得したこれらの公開鍵を用いて各自の署名を交換することにより相互認証を行なう。この相互認証は、例えばICカードICIがチャレンジ(乱数)を生成し、サービス提供者装置SP2に送り、サービス提供者装置SP2が秘密鍵SK(SP2)でチャレンジを符号化してディジタル署名を生成し、これをICカードIClに返送し、ICカードIClがこの署名を先に取得したサービス提供者装置SP2の公開鍵PK(SP2)で署名検証し、返送されたチャレンジと送信したチャレンジを比較することによりICカードIClがサービス提供者装置SP2を認証し、同様に、サービス提供者装置SP2がチャレンジ(乱数)をICカードIClに送り、ICカードIClが秘密鍵PK(IC1)でチャレンジを符号化してディジタル署名を生成し、これをサービス提供者装置SP2に返送し、サービス提供者装置SP2がこの署名を先に取得したICカードの公開鍵PK(IC1)で署名検証し、返送されたチャレンジと送信したチャレンジを比較することによりサービス提供者装置SP2がICカードIClを認証する。
【0045】
サービス提供者装置SP2とICカードIClとの間の相互認証後に、サービス提供者装置SP2は、カード発行者装置CIlにより署名されたダウンロード許可書をICカードIClに送信する。ICカードIClは受け取ったこのダウンロード許可証をカード発行者装置CIlの公開鍵PK(CI1)で検証し、その結果をサービス提供者装置SP2に返送する。その結果が正しければ、サービス提供者装置SP2はAPダウンロード実行コマンドをICカードIC1に送り、ICカードは許可されたアプリケーションのダウンロードを実行する。
ICカードIClはダウンロードの終了時にダウンロードの結果通知をサービス提供者装置SP2に送り、サービス提供者装置SP2はこのダウンロードの結果通知をカード発行者装置CIlに送る。
【0046】
上記の実施例は下位認証局が一つ設置された実施例であるが、複数設置してもよい。
図7は相互運用対象のICカード運用システム群に対し2つの下位認証局SubCA−A,SubCA−Bを設置した実施例を示す。本例でも、各下位認証局を相互運用対象のICカード運用システム内の運用ポリシーが同一である認証局に予め登録し、ICカード運用システム間でICカードの相互運用を行なうカード発行者装置とサービス提供者装置をそれぞれの下位認証局に登録する。各ICカード運用システムにおける認証局は登録した下位認証局に対しそれぞれの認証局が署名した下位認証局の公開鍵証明書CertSubCA−A(CA1),CertSubCA−A(CA2),CertSubCA−B(CA1),CertSubCA−B(CA2)を発行し、下位認証局は登録したカード発行者装置やサービス提供者装置に対し下位認証局が署名したそれぞれの公開鍵証明書CertCI1(SubCA−A),CertCI1(SubCA−b),CertSP1(SubCA−A),CertSP1(SubCA−B),CertCI2(SubCA−A),CertCI2(SubCA−b),CertSP2(SubCA−A),CertSP2(SubCA−B),を発行する。
【0047】
本例でも、下位認証局が1つの場合と同様に、ICカード運用システムの認証局及び各下位認証局により発行される公開鍵証明書を用いて、異なるICカード運用システム間の相互認証を行い、アプリケーションのダウンロードを行うことができる。例えば、システム2のサービス提供者装置SP2からシステム1のICカードIC1へのアプリケーションのダウンロードも、図8のシーケンスで示すように、下位認証局が1つの場合と同様の手順で行われる。
【0048】
本発明は上述の実施例に限定されるものではない。例えば、上述の実施例とは異なる、カード発行者装置CIlとサービス提供者装置SP2との間、及びICカードIClとサービス提供者装置SP2との間の相互認証のシーケンスを用いることも出来る。
【0049】
以上本発明によるICカード相互運用方法及びシステムの処理手順及び機能を説明したが、これらの処理手順及び機能はICカード、カード発行者装置、サービス提供者装置に含まれるコンピュータにより実行又は実現され、本発明はこれらの処理手順及び機能を実行又は実現するためのコンピュータプログラム及び該プログラムを記録した記録媒体も本発明の範囲に含むものである。
【0050】
【発明の効果】
以上説明したように、本発明によれば、認証局が異なる多数のICカード運用システムに所属するカード発行者装置及びサービス提供者装置が下位認証局に登録した公開鍵証明書と識別情報を用いて相互認証を行なうことが出来るので、ICカード運用システム間でICカードを相互運用することが出来る。また、本発明によって、各地のICカード運用システムの認証局は相互運用する多数の他地域のICカード運用システムに所属するカード発行者やサービス提供者の公開鍵証明書の発行や公開鍵の管理を行なう必要がないので、運用が複雑になることもない。
【図面の簡単な説明】
【図1】従来のICカード運用システムの基本構成図である。
【図2】従来のICカード運用システムにおけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【図3】従来のICカード運用方法の運用ポリシー管理の例を示す図である。
【図4】本発明によるICカード相互運用方法の運用ポリシー管理の例を示す図である。
【図5】本発明によるICカード相互運用方法を実施するシステムの基本構成図である。
【図6】本発明によるICカード相互運用方法におけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【図7】複数の下位認証局が設置された本発明ICカード相互運用方法を実施するシステムの構成図である。
【図8】下位認証局が複数設置されたシステムにおけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【符号の説明】
1,2 ICカード運用システム
SubCA 下位認証局
CAl、CA2 認証局
CIl、CI2 カード発行者装置
SPl、SP2 サービス提供者装置
IC1 カード発行者CIlで発行されたICカード
【発明の属する技術分野】
本発明はPKIベースの認証方法を用いた異なるICカード運用システム間でICカードを相互運用するICカード相互運用方法及びシステムに関するものであり、特にICカードへのアプリケーションダウンロードの際の相互運用方法及びシステムに関する。
【0002】
【従来の技術】
ICカード運用システムでは、カード利用者とサービス提供者装置が相互に自由に連携して、例えば、ICカードの発行後にもネットワークを通じてICカードにアプリケーションをダウンロードさせることで、さまざまなサービスを提供できるようにしている(たとえば、特許文献1参照)。そして、このようなICカード運用システムでは、ICカードで多数のサービスを安全、かつ確実に利用することができるようにするために、実行主体装置であるカード発行者装置とサービス提供者装置は、該ICカード運用システムにおける認証局に登録した公開鍵を用いて互いに電子署名を検証することにより相互認証を行なっている(非特許文献1参照)。
【0003】
【特許文献1】
特開2002−133373号公報
【非特許文献1】
Ryutaro Tohji、Yoshinori Wada, Shinichi Hirata, Katsuhiko Suzuki, “Network−based Platform for Multi−Application Smart Cards”, Proceedings of 5th International Enterprise Distributed Object Computing Conference, pp. 34−45, (EDOC2001)
【0004】
図1に従来のICカード運用システムのシステム構成図を示し、図2にこのようなICカード運用システムにおけるアプリケーションダウンロードを実行する手順の詳細シーケンスを示す。
【0005】
まず、図1のICカード運用システムにおいて、CIlはカード発行者装置であり、カード発行機能と、ダウンロード許可書発行機能と相互認証機能を有する。IC1はカード発行者装置CIlにより発行されたICカードであり、相互認証機能を有する。SPlはサービス提供者装置であり、カード発行者装置CIlにより許可されたアプリケーションをICカードにダウンロードするアプリケーションダウンロード機能、許可されたサービスを実行するサービス実行機能、相互認証機能を有する。CAlは認証局であり、公開鍵証明書発行機能を有する。なお、図1では、1つのカード発行者装置および1つのサービス提供者装置しか記載してないが、実際には多数のカード発行者装置およびサービス提供者装置が存在する。
【0006】
認証局CAlはシステム内のカード発行者装置CI1やサービス提供者装置SP1を登録し、登録したカード発行者装置CIlやサービス提供者装置SPlに対してCAlが署名したそれぞれの公開鍵証明書CertCI1(CA1),CertSP1(CA1)を発行する。カード発行者装置CIlは、CIlが署名したICカードIC1の公開鍵証明書CertIC1(CI1)を格納したICカードClを発行する。
【0007】
また、カード発行者装置CIlはその内部に、認証局CAlが署名をした公開鍵証明書CertCI1(CA1)、カード発行者装置CIlの公開鍵PK(CI1)、秘密鍵SK(CI1)、認証局CAlの公開鍵PK(CA1)を保持し、サービス提供者装置SPlはその内部に、認証局CAlが署名をした公開鍵証明書CertSP1(CA1)、サービス提供者装置SPlの公開鍵PK(SP1)、秘密鍵SK(SP1)、認証局CAlの公開鍵PK(CA1)を保持し、ICカードIClはその内部に、カード発行者装置CIlが署名をした公開鍵証明書CertIC1(CI1)、認証局CAlの公開鍵PK(CA1)、カード発行者装置CIlの公開鍵PK(CI1)、ICカードIC1の公開鍵PK(IC1)、秘密鍵SK(IC1)を保持する。
【0008】
次に、アプリケーションダウンロードの詳細シーケンスを図2を参照して説明する。
ICカードIC1は、ICカードIClとカード発行者装置CIlとアプリケーションを特定する情報を含む「ダウンロード要求」をサービス提供者装置SPlに行う。
サービス提供者装置SPlは、前出の情報より、カード発行者装置CIlに対して、ダウンロード要求が行われた旨を「通知」する。
【0009】
カード発行者装置CIlおよびサービス提供者装置SPlは、認証局CAlによって署名されたそれぞれの公開鍵証明書を「証明書交換」する。
カード発行者装置CIlおよびサービス提供者装置SPlは、認証局の公開鍵PK(CA1)により互いの公開鍵証明書を検証し、互いの公開鍵を取得する。
カード発行者装置CIlおよびサービス提供者装置SPlは、適当なメッセージに対して、それぞれの秘密鍵により署名を施し、該メッセージと該者名を相互に送信し、受信した署名を前出の公開鍵で確認することで、「署名交換による相互認証」を行う。
【0010】
相互認証終了後、サービス提供者装置SPlは、ICカードClとダウンロード対象アプリケーションを特定する情報を含んだ「ダウンロードライセンス発行要求」を、カード発行者装置CIlに対して送信する。
カード発行者装置CIlは、自らの秘密鍵SK(CI1)により署名を施したダウンロードライセンスをサービス提供者装置SPlに送信することで、「ダウンロードライセンス発行」を行う。
サービス提供者装置SPlは、前出の公開鍵PK(CI1)によりダウンロードライセンスの署名を検証する。
【0011】
次に、サービス提供者装置SPlは、ICカードIC1に対して、ダウンロードライセンスの取得を「通知」する。
ICカードIClおよびサービス提供者装置SPlは、それぞれの公開鍵証明書を「証明書交換」する。
ICカードIClは認証局の公開鍵PK(CA1)により、サービス提供者装置SPlは前出のカード発行者装置のPK(CI1)により互いの公開鍵証明書を検証し、互いの公開鍵を取得する。
ICカードIC1およびサービス提供者装置SPlは、適当なメッセージに対して、それぞれの秘密鍵により署名を施し、該メッセージと該署名を相互に送信し、受信した署名を前出の公開鍵で確認することで、「署名交換による相互認証」を行う。
【0012】
相互認証終了後、サービス提供者装置SPlは、ICカードClに対して「ダウンロードライセンス送信」を行う。
ICカードIClは、ダウンロードライセンスに対して、PK(CI1)で署名検証し、検証が成功すれば「ACK」をサービス提供者装置SPlに返す。
【0013】
ICカードIClからのACKを受けたサービス提供者装置SPlは「APダウンロード実行コマンド」をICカードに送る。
ICカードIC1は許可されたアプリケーションのダウンロードを実行し、ダウンロードの終了時に、その結果をサービス提供者装置SP1及びカード発行者装置CI1に送る。
この方法により、ICカードとカード発行者装置、カード発行者装置とサービス提供者装置、サービス提供者装置とICカードが相互に認証し合うことによりセキュアな運用ができることになっている。
【0014】
【発明が解決しようとする課題】
しかしながら、このようなPKIベースの認証方法を用いたICカード運用システムでは、特定の認証局配下での運用を前提としていたため、認証局が異なる他のICカード運用システムとは公開鍵を用いた認証処理を行なえず、ICカードを相互運用させることができないという課題があった。
【0015】
例えば、Aシステムの認証局配下のカード発行者装置により発行されたICカードはBシステムの認証局配下のサービス提供者装置のサービスを受けたくても、Bシステムの認証局配下のサービス提供者装置の公開鍵証明書を検証できないので、Bシステム配下のサービス提供者装置からアプリケーション等のオブジェクトをダウンロードすることができないという課題があった。
【0016】
また、アプリケーションをダウンロードする際に、カード発行者装置とサービス提供者装置の間やサービス提供者装置とICカードの間では、通信を行なう相手がどのICカード運用システムに所属しているかを特定しなければならないが、従来のICカード運用システムは特定の認証局配下で運用されることが前提となっているため、各システムの認証局の識別情報や実行主体装置(サービス提供者装置またはカード発行者装置)の識別情報は各ICカード運用システムが独自に発行しており、このためICカード運用システム間でICカードを相互運用する際には、識別情報が重複する可能性があり、ICカード運用システム間で実行主体装置を一意に特定することができないという課題があつた。
【0017】
また、従来のシステム構成で、ICカード運用システム間でICカードの相互運用を行なうには、各実行主体装置が各ICカード運用システムの認証局に対して直接登録を行なう必要があり、認証局の設置数が多数存在する場合には、実行主体装置の登録が非常に大きい負荷となる課題があった。
【0018】
さらに、従来のPKIベースの認証方法を用いて異なるシステム間でICカードの相互運用を行なうには、相互運用される全ての認証局配下の実行主体装置が同様の運用ポリシーに従って登録されたものであることが前提であり、ICカード運用システムでは、認証局配下に多様な運用形態をもった実行主体装置が参加するので、相互運用する全ての認証局を同一の運用ポリシーで統一することが困難であるという課題があった。
【0019】
即ち、運用ポリシーとは、各認証局がどのような実行主体装置を登録するかを決めるものであり、例えば、図3で示すように、Aシステムの認証局においては、金融系のサービスと公共系のサービスを行なうサービス提供者装置の登録を可能とするが、Bシステムでは公共系のサービスを行なうサービス提供者装置の登録しか認めないという運用ポリシーの場合、従来の相互運用方法では運用ポリシーの相違のためにAシステムとBシステムの認証局の運用を連携させることができない。このため、Aシステムの実行主体装置がBシステムの実行主体装置と相互運用することが不可能であった。
【0020】
そこで、本発明は、異なるICカード運用システム間でICカードを相互運用し得るICカード相互運用方法及びシステム、特に、異なるICカード運用システム間でICカードへのアプリケーションのダウンロードを行ない得る相互運用方法及びシステムを提供することを目的とする。
本発明は、さらに、該ICカード相互運用システムに使用するICカード発行者装置、サービス提供者装置及びICカード、及び該ICカード発行者装置、サービス提供者装置及びICカードを実現するためのコンピュータプログラムを提供することを目的とする。
【0021】
【課題を解決するための手段】
本発明は、PKIベースの認証方法を用いた異なるICカード運用システム間でICカードを相互運用するためのICカード相互運用方法において、相互運用を行なう第1のICカード運用システムと第2のICカード運用システムは、それぞれのカード運用システムにおける認証局の下に下位認証局を設置し、それぞれのカード運用システムにおける認証局は登録した下位認証局に対してそれぞれのカード運用システムにおける認証局が署名した該下位認証局の公開鍵証明書を発行し、該下位認証局は、それぞれのカード運用システムにおいて相互運用を行う実行主体装置に対して、該下位認証局が署名した該実行主体装置の公開鍵証明書と該実行主体装置を一意に特定する識別情報を発行し、第1もしくは第2のICカード運用システムにおけるICカードと、第1および第2のICカード運用システムにおける実行主体装置との間で前出の公開鍵証明書および識別情報などを用いて、これらの間で相互認証を行うことにより、異なるICカード運用システム間でICカードの相互運用を可能にすることを特徴とする。
【0022】
ここで、下位認証局は相互運用を行なう複数のシステムの認証局の規定する運用ポリシーを満たしている必要がある。また、下位認証局は相互運用対象のICカード運用システム群に対して1つでもよいし、複数でもよい。なお、下位認証局が複数存在する場合の実行主体装置識別情報の一意性の保持に関しては、例えば、これらの下位認証局を管理するシステムが別途割り振ることで可能となる。
【0023】
上記の本発明の方法によれば、異なるICカード運用システム間におけるICカードの相互運用が可能となる効果が得られる。さらに、下位認証局は、運用ポリシーごとに設置すればよく、最小の場合には一つ、もしくは、複数の設置にとどまるために、認証局の設置数が膨大になる際には、それぞれの認証局における相互運用先実行主体装置の登録負荷を減少する効果が得られる。
【0024】
また、本発明のICカード相互運用方法では、相互運用するICカード運用システム間の認証局のポリシーを統一せずにICカードの相互運用を可能にするため、上記の下位認証局が運用ポリシーを持ち、実行主体装置を管理することを特徴とする。
【0025】
本発明のこの方法によれば、図4で示すように、AシステムとBシステムの認証局に下位認証局が公共系サービスの運用を行うことを登録し、下位認証局にAシステムとBシステムの公共系サービスの実行主体装置を登録することにより異なるICカード運用システム間でICカードを公共系サービスについて相互運用することが可能になる。
また、下位認証局が複数の運用ポリシーを管理することも可能である。
【0026】
【発明の実施の形態】
図5は本発明のICカード相互運用方法を実施するシステムの基本構成例を示す。
本例では、ICカードの相互運用を行なう2つのICカード運用システム1及び2を備え、システム1には、認証局CAlに所属するカード発行者装置CIlやサービス提供者装置SPlが設置され、システム2には、認証局CA2に所属するカード発行者装置CI2やサービス提供者装置SP2が設置されている。更に、2つのICカード運用システム間でICカードを相互運用するカード発行者装置CIl、CI2とサービス提供者装置SPl、SP2を管理する下位認証局SubCAが設置されている。下位認証局SubCAは公開鍵証明書発行機能と相互運用時の識別情報を付与する機能を有する。
【0027】
なお、図5では、各ICカード運用システムには1つのカード発行者装置および1つのサービス提供者装置しか示してないが、実際には多数のカード発行者装置およびサービス提供者装置が存在する。また、2つのICカード運用システムしか示してないが、実際には多数のICカード運用システムが存在する。
【0028】
下位認証局SubCAは相互運用対象のICカード運用システム内の運用ポリシーが同一である認証局CA1,CA2に予め登録し、ICカード運用システム間でICカードの相互運用を行なうカード発行者装置CI1,CI2やサービス提供者装置SP1,SP2を下位認証局SubCAに登録する。それぞれの相互運用対象のICカード運用システムにおける認証局CA1,CA2は登録した下位認証局SubCAに対しそれぞれの認証局が署名した下位認証局の公開鍵証明書CertSubCA(CA1),CertSubCA(CA2)を発行し、下位認証局SubCAは登録したカード発行者装置やサービス提供者装置に対し下位認証局が署名したそれぞれの公開鍵証明書CertCI1(SubCA),CertCI2(SubCA),CertSP1(SubCA),CertSP2(SubCA)を発行する。
【0029】
図5のICカード相互運用システムでは、ICカードの相互運用のために、カード発行者装置CI1,CI2は、図1に示す従来のシステムのカード発行者装置のカード発行機能、相互認証機能及びダウンロード許可証発行機能に加えて、下位認証局により付与された相互運用時の識別情報を保持する相互運用時識別情報保持機能と、相互運用対象のサービス提供サービス装置SP2,SP1との間で下位認証局により署名されたそれぞれの公開鍵証明書を交換して相互認証を行う相互運用時相互認証機能とを有する。
【0030】
サービス提供者装置SP1,SP2は、図1に示す従来のシステムのサービス提供者装置の相互認証機能、ダウンロード実行機能、サービス実行機能に加えて、下位認証局により付与された相互運用時の識別情報を保持する相互運用時識別情報保持機能と、相互運用対象のICカード発行者装置CI2,CI1との間で下位認証局により署名されたそれぞれの公開鍵証明書を交換して行う相互認証と、相互運用対象のICカードIC2(図示せず),IC1との間で、該ICカードの発行者装置に署名された下位認証局の公開鍵証明書と下位認証局により署名された該サービス提供者装置の公開鍵を該ICカードが保持する該カードの公開鍵証明書と交換して行う相互認証を実行する相互運用時相互認証機能とを有する。
【0031】
ICカードIC1は、図1に示す従来のシステムのICカードの相互認証機能に加えて、サービス提供者装置SP2から当該カードの認証局CA1により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置SP2の公開鍵証明書を取得し、これらの公開鍵証明書を用いて前記サービス提供者との間で相互認証を行う相互運用時相互認証機能を備える。
なお、相互運用に必要な構成要素を従来のシステムに追記したが、これらの構成要素は単なる実施例であって、他の実現方法も考え得る。
【0032】
次に、本発明によるICカード相互運用方法におけるアプリケーションダウンロードの手順を、図3を参照して説明する。
最初に、図3に示すように、ICカード運用システム1,2内の同一運用ポリシーの認証局CA1,CA2に登録された下位認証局SubCAは、該認証局から当該下位認証局の公開鍵証明書CertSubCA(CA1),CertSubCA(CA2)を取得し、保持している。ICカード運用システム1、2内の相互運用を実施するカード発行者装置CIl、CI2やサービス提供者装置SPl、SP2は、自システムの認証局CA1,CA2からそれぞれの公開鍵証明書CertCI1(CA1),CertCI2(CA2),CertSP1(CA1),CertSP2(CA2)を取得し、保持しているとともに、下位認証局SubCAからそれぞれの公開鍵証明書CertCI1(SubCA),CertCI2(SubCA),CertSP1(SubCA),CertSP2(SubCA)とそれぞれの識別情報を取得し、保持している。
【0033】
次に、システム1のICカードIClからシステム2のサービス提供者装置SP2にダウンロード要求が送信されると、サービス提供者装置SP2はカード発行者装置CI1との間で、下位認証局により付与された識別情報を交換し、識別情報からそれぞれが自システムでないことを確認した後に、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、下位認証局の公開鍵で検証してそれぞれの公開鍵を取得し、これらの公開鍵を用いて署名交換による相互認証を行い、該相互認証後にアプリケーションダウンロード許可証を該カード発行者装置から取得する。
【0034】
次に、サービス提供者装置SP2はICカードIC1との間で相互認証を行う。この相互認証は、サービス提供者装置SP2がICカードIC1からカード識別情報を取得し、該識別情報から他システムの認証局配下のカード発行者から発行されたICカードであると判断し、該ICカードから該ICカードの公開鍵証明書を取得し、先に取得した前記カード発行者装置の公開鍵で検証して該ICカードの公開鍵を取得するとともに、前記ICカードが、第2システムの前記サービス提供者装置から、第1システムの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、下位認証局の公開鍵証明書を検証して得た下位認証局の公開鍵でサービス提供者装置の公開鍵証明書を検証してサービス提供者の公開鍵を取得し、サービス提供者装置SP2とICカードIC1との間で、取得したICカードIC1の公開鍵とサービス提供者SP2の公開鍵を用いて署名交換を行うことによって実現する。
この相互認証後に、サービス提供者装置SP2は前記アプリケーションダウンロード許可証をICカードに送り、ダウンロードを実行する。
【0035】
図6は本発明によるICカード相互運用方法におけるアプリケーションダウンロードの手順の詳細シーケンスを示す。
図中、SubCA(CA1)は認証局CAlにより署名された下位認証局の公開鍵証明書、同様にしてSubCA(CA2)は認証局CA2により署名された下位認証局の公開鍵証明書であり、CertCI1(SubCA), CertCI2(SubCA)はそれぞれ下位認証局SubCAにより署名されたカード発行者装置CIl,CI2の公開鍵証明書、CertSP1(SubCA), CertSP2(SubCA)は下位認証局SubCAにより署名されたサービス提供者装置SP1,SP2の公開鍵証明書である。
【0036】
また、CertCI1(CA1),CertSP1(CA1)はCA1に署名されたCIl、SP1の公開鍵証明書、CertCI2(CA2),CertSP2(CA2)はCA2に署名されたCI2、SP2の公開鍵証明書、CertIC1(I1)はCI1に署名されたICカードの公開鍵証明書である。
また、PK(SubCA)は下位認証局の公開鍵、PK(CA1)は認証局CA1の公開鍵、PK(CI1)及びSK(CI1)はカード発行者装置CIlの公開鍵及び秘密鍵、PK(SP1)及びSK(SP2)はサービス提供者装置SP2の公開鍵及び秘密鍵、PK(IC1)及びSK(IC1)はICカード発行者装置IC1の公開鍵及び秘密鍵である。
【0037】
本例では、ICカードIClには、PK(CA1),PK(CI1),CertIC1(CI1),PK(IC1),SK(IC1)と識別情報が予め格納され、カード発行者装置CIlには、CertCI1(CA1),CertCI1(SubCA),CertSubCA(CA2),PK(SubCA),PK(CI1),SK(CI1)と識別情報が予め格納され、サービス提供者装置SP2には、CertSP2(CA2),CertSP2(SubCA),CertSubCA(CA1),PK(SubCA),PK(SP2),SK(SP2)と識別情報が予め格納されているものとする。
【0038】
ICカードIClからサービス提供者装置SP2にダウンロード要求が送信されると、サービス提供者装置SP2はカード発行者装置CIlとの間で、相互認証を行なう。
この相互認証のために、最初に、カード発行者装置CIlとサービス提供者装置SP2はそれぞれ識別情報を交換し、それぞれが自システムの認証局に登録されているかを確認し、自システムの認証局に登録されていなければ、下位認証局に署名されたそれぞれの公開鍵証明書を交換する。
【0039】
サービス提供者装置SP2はカード発行者装置CIlから送られてくるカード発行者装置CIlの公開鍵証明書CertCI1(SubCA)を下位認証局の公開鍵PK(SubCA)で署名検証してカード発行者装置CIlの公開鍵PK(CI1)を取得するとともに、カード発行者装置CIlはサービス提供者装置SP2から送られてくるサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を下位認証局の公開鍵PK(SubCA)で署名検証して、サービス提供者装置SP2の公開鍵PK(SP2)を取得する。
【0040】
次に、取得したこれらの公開鍵を用いて各自の署名を交換することにより相互認証を行なう。この相互認証は、例えばサービス提供者装置SP2がチャレンジ(乱数)を生成し、カード発行者装置CIlに送り、カード発行者装置CIlが秘密鍵SK(CIl)でチャレンジを符号化してディジタル署名を生成し、サービス提供者SP2に返送し、サービス提供者装置SP2が返送されたディジタル署名を、先ほど取得したPK(CI1)で署名検証を行い返送されたチャレンジと送信したチャレンジを比較することによりサービス提供者装置SP2がカード発行者装置CIlを認証するとともに、カード発行者装置CIlがチャレンジ(乱数)を生成し、サービス提供者装置SP2に送り、サービス提供者装置が秘密鍵SK(SP2)でチャレンジを符号化してディジタル署名を生成しCIlに返送し、カード発行者装置CIlでは返送されたディジタル署名を、先ほど取得した公開鍵PK(SP2)で署名検証を行い、返送されたチャレンジと送信したチャレンジを比較することによりカード発行者装置CIlがサービス提供者装置SP2を認証することにより行なわれる。
【0041】
カード発行者装置CIlとサービス提供者装置SP2との間の相互認証後に、サービス提供者装置SP2はカード発行者装置CIlにアプリケーションのダウンロード許可書の発行を要求する。これに応答してカード発行者装置CIlはアプリケーションのダウンロード許可書を発行し、これにカード発行者装置CIlの秘密鍵SK(CI1)で署名をつけてサービス提供者装置SP2に送る。
【0042】
サービス提供者装置SP2は受け取ったダウンロード許可書の署名を先に取得したカード発行者装置CIlの公開鍵PK(CI1)で検証し、署名検証が成功すれば、ICカードIClとの間で相互認証を行なう。
この相互認証の際に、最初に、サービス提供者装置SP2はICカードIClから識別情報を取得し、識別情報よりICカードIClが自システムの認証局のカード発行者装置から発行されたカードでなければ、ICカードIClに対して、認証局CA1に署名された下位認証局の公開鍵証明書CertSubCA(CA1)と下位認証局に署名されたサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を送り、ICカードIClはサービス提供者装置SP2に、カード発行者装置CI1に署名されたICカードの公開鍵証明書CertIC1(CI1)を送る。
【0043】
ICカードIClは送られてきた下位認証局の公開鍵証明書CertSubCA(CA1)を自システムの認証局の公開鍵PK(CA1)で署名検証することで下位認証局の公開鍵PK(SubCA)を取得し、取得した下位認証局の公開鍵PK(SubCA)を用いて、下位認証局に署名されたサービス提供者装置SP2の公開鍵証明書CertSP2(SubCA)を検証することで、サービス提供者装置SP2の公開鍵PK(SP2)を取得する。サービス提供者装置SP2は送られてきたICカードの公開鍵証明書CertIC1(CI1)を先のサービス提供者装置SP2とカード発行者装置CI1との間の相互認証時に取得したカード発行者装置CIlの公開鍵PK(CI1)を用いて署名検証を行ない、ICカードの公開鍵PK(IC1)を取得する。
【0044】
次に、取得したこれらの公開鍵を用いて各自の署名を交換することにより相互認証を行なう。この相互認証は、例えばICカードICIがチャレンジ(乱数)を生成し、サービス提供者装置SP2に送り、サービス提供者装置SP2が秘密鍵SK(SP2)でチャレンジを符号化してディジタル署名を生成し、これをICカードIClに返送し、ICカードIClがこの署名を先に取得したサービス提供者装置SP2の公開鍵PK(SP2)で署名検証し、返送されたチャレンジと送信したチャレンジを比較することによりICカードIClがサービス提供者装置SP2を認証し、同様に、サービス提供者装置SP2がチャレンジ(乱数)をICカードIClに送り、ICカードIClが秘密鍵PK(IC1)でチャレンジを符号化してディジタル署名を生成し、これをサービス提供者装置SP2に返送し、サービス提供者装置SP2がこの署名を先に取得したICカードの公開鍵PK(IC1)で署名検証し、返送されたチャレンジと送信したチャレンジを比較することによりサービス提供者装置SP2がICカードIClを認証する。
【0045】
サービス提供者装置SP2とICカードIClとの間の相互認証後に、サービス提供者装置SP2は、カード発行者装置CIlにより署名されたダウンロード許可書をICカードIClに送信する。ICカードIClは受け取ったこのダウンロード許可証をカード発行者装置CIlの公開鍵PK(CI1)で検証し、その結果をサービス提供者装置SP2に返送する。その結果が正しければ、サービス提供者装置SP2はAPダウンロード実行コマンドをICカードIC1に送り、ICカードは許可されたアプリケーションのダウンロードを実行する。
ICカードIClはダウンロードの終了時にダウンロードの結果通知をサービス提供者装置SP2に送り、サービス提供者装置SP2はこのダウンロードの結果通知をカード発行者装置CIlに送る。
【0046】
上記の実施例は下位認証局が一つ設置された実施例であるが、複数設置してもよい。
図7は相互運用対象のICカード運用システム群に対し2つの下位認証局SubCA−A,SubCA−Bを設置した実施例を示す。本例でも、各下位認証局を相互運用対象のICカード運用システム内の運用ポリシーが同一である認証局に予め登録し、ICカード運用システム間でICカードの相互運用を行なうカード発行者装置とサービス提供者装置をそれぞれの下位認証局に登録する。各ICカード運用システムにおける認証局は登録した下位認証局に対しそれぞれの認証局が署名した下位認証局の公開鍵証明書CertSubCA−A(CA1),CertSubCA−A(CA2),CertSubCA−B(CA1),CertSubCA−B(CA2)を発行し、下位認証局は登録したカード発行者装置やサービス提供者装置に対し下位認証局が署名したそれぞれの公開鍵証明書CertCI1(SubCA−A),CertCI1(SubCA−b),CertSP1(SubCA−A),CertSP1(SubCA−B),CertCI2(SubCA−A),CertCI2(SubCA−b),CertSP2(SubCA−A),CertSP2(SubCA−B),を発行する。
【0047】
本例でも、下位認証局が1つの場合と同様に、ICカード運用システムの認証局及び各下位認証局により発行される公開鍵証明書を用いて、異なるICカード運用システム間の相互認証を行い、アプリケーションのダウンロードを行うことができる。例えば、システム2のサービス提供者装置SP2からシステム1のICカードIC1へのアプリケーションのダウンロードも、図8のシーケンスで示すように、下位認証局が1つの場合と同様の手順で行われる。
【0048】
本発明は上述の実施例に限定されるものではない。例えば、上述の実施例とは異なる、カード発行者装置CIlとサービス提供者装置SP2との間、及びICカードIClとサービス提供者装置SP2との間の相互認証のシーケンスを用いることも出来る。
【0049】
以上本発明によるICカード相互運用方法及びシステムの処理手順及び機能を説明したが、これらの処理手順及び機能はICカード、カード発行者装置、サービス提供者装置に含まれるコンピュータにより実行又は実現され、本発明はこれらの処理手順及び機能を実行又は実現するためのコンピュータプログラム及び該プログラムを記録した記録媒体も本発明の範囲に含むものである。
【0050】
【発明の効果】
以上説明したように、本発明によれば、認証局が異なる多数のICカード運用システムに所属するカード発行者装置及びサービス提供者装置が下位認証局に登録した公開鍵証明書と識別情報を用いて相互認証を行なうことが出来るので、ICカード運用システム間でICカードを相互運用することが出来る。また、本発明によって、各地のICカード運用システムの認証局は相互運用する多数の他地域のICカード運用システムに所属するカード発行者やサービス提供者の公開鍵証明書の発行や公開鍵の管理を行なう必要がないので、運用が複雑になることもない。
【図面の簡単な説明】
【図1】従来のICカード運用システムの基本構成図である。
【図2】従来のICカード運用システムにおけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【図3】従来のICカード運用方法の運用ポリシー管理の例を示す図である。
【図4】本発明によるICカード相互運用方法の運用ポリシー管理の例を示す図である。
【図5】本発明によるICカード相互運用方法を実施するシステムの基本構成図である。
【図6】本発明によるICカード相互運用方法におけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【図7】複数の下位認証局が設置された本発明ICカード相互運用方法を実施するシステムの構成図である。
【図8】下位認証局が複数設置されたシステムにおけるアプリケーションダウンロードの実行手順の詳細シーケンスを示す図である。
【符号の説明】
1,2 ICカード運用システム
SubCA 下位認証局
CAl、CA2 認証局
CIl、CI2 カード発行者装置
SPl、SP2 サービス提供者装置
IC1 カード発行者CIlで発行されたICカード
Claims (11)
- PKIベースの認証方法を用いた異なるICカード運用システム間でICカードを相互運用するためのICカード相互運用方法において、
相互運用を行なう第1のICカード運用システムと第2のICカード運用システムは、それぞれのカード運用システムにおける認証局の下に下位認証局を設置し、
それぞれのカード運用システムにおける認証局は登録した下位認証局に対してそれぞれのカード運用システムにおける認証局が署名した該下位認証局の公開鍵証明書を発行し、
該下位認証局は、それぞれのカード運用システムにおいて相互運用を行う実行主体装置に対して、該下位認証局が署名した該実行主体装置の公開鍵証明書と該実行主体装置を一意に特定する識別情報を発行し、
第1もしくは第2のICカード運用システムにおけるICカードと、第1および第2のICカード運用システムにおける実行主体装置との間で上記の公開鍵証明書および識別情報などを用いて、これらの間で相互認証を行うことにより、異なるICカード運用システム間でICカードの相互運用を可能にすることを特徴とするICカード相互運用方法。 - 請求項1記載のICカード相互運用方法において、
相互運用するICカード運用システム間の認証局のポリシーを統一せずにICカードの相互運用を可能にするため、上記の下位認証局が運用ポリシーを持ち、実行主体装置を管理することを特徴とする請求項1に記載のICカード相互運用方法。 - 請求項1又は2記載のICカード相互運用方法において、第1のICカード運用システムのICカードから第2のICカード運用システムのサービス提供者装置へのダウンロード要求時に、
第2システムのサービス提供者装置は第1システムのカード発行者装置との間で、下位認証局により付与された識別情報を交換し、識別情報からそれぞれが自システムでないことを確認した後に、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、下位認証局の公開鍵で検証してそれぞれの公開鍵を取得し、これらの公開鍵を用いて署名交換による相互認証を行った後に、アプリケーションダウンロード許可証を該カード発行者装置から取得し、
次に、第2システムの前記サービス提供者装置は、第1システムのICカードから識別情報を取得し、該識別情報から第1システムの認証局配下のカード発行者から発行されたICカードであると判断し、該ICカードから該ICカードの公開鍵証明書を取得し、上記の相互認証時に得られた前記カード発行者装置の公開鍵で検証して該ICカードの公開鍵を取得し、
第1システムの前記ICカードは、第2システムの前記サービス提供者装置から、第1システムの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、下位認証局の公開鍵証明書を検証して得た下位認証局の公開鍵でサービス提供者装置の公開鍵証明書を検証してサービス提供者の公開鍵を取得し、
第2システムの前記サービス提供者装置は第1システムの前記ICカードとの間で、取得したICカードの公開鍵とサービス提供者の公開鍵を用いて署名交換による相互認証を行った後に、前記アプリケーションダウンロード許可証をICカードに送り、ダウンロードを実行することを特徴とするICカード相互運用方法。 - PKIベースの認証方法を用いた異なるICカード運用システム間のICカード相互運用システムであって、
複数のICカード運用システムにおける認証局の配下に下位認証局を備え、
それぞれのカード運用システムにおける認証局は登録した下位認証局に対してそれぞれのカード運用システムにおける認証局が署名した該下位認証局の公開鍵証明書を発行する機能を有し、
下位認証局は、それぞれのカード運用システムにおいて相互運用を行うカード発行装置及びサービス提供者装置を登録し、登録したカード発行装置及びサービス提供者装置に対し該下位認証局が署名したそれぞれの装置の公開鍵証明書を発行する機能と、それぞれの装置を一意に特定する識別情報を発行する機能を有し、
カード発行者装置は、ICカードからアプリケーションのダウンロードを要求されたサービス提供者装置との間で、下位認証局により付与されたそれぞれの識別情報を交換して該サービス提供者装置が相互運用対象であるか判断し、相互運用対象のサービス提供者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、署名交換を行って相互認証を行う相互認証機能と、相互認証後にアプリケーションのダウンロード許可証を該サービス提供者装置に発行するダウンロード許可証発行機能とを備え、
サービス提供者装置は、ICカードからのアプリケーションダウンロード要求に応答して、該ICカードを発行したICカード発行装置との間で、下位認証局により付与された識別情報を交換して該ICカード発行者装置が相互運用対象か判断し、相互運用対象のICカード発行者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換して相互認証を行う相互認証機能と、該ICカードから識別情報を取得し、該ICカードが相互運用対象のカード発行者から発行されたICカードであるか判断し、該ICカードから該カードの公開鍵証明書を取得するとともに、該ICカードを発行したカード発行者装置により署名された下位認証局の公開鍵証明書と下位認証局により署名された該サービス提供者装置の公開鍵証明書を該ICカードに送り、前記ICカードとの間でこれらの公開鍵証明書を用いて署名交換を行なって相互認証を行う機能と、ICカード発行者装置から受け取ったダウンロード許可証を相互認証済みの前記ICカードに送り、カード発行者装置により許可されたアプリケーションをICカードにダウンロードさせるダウンロード機能とを備え、
前記ICカードは、該ICカードの公開鍵証明書を前記サービス提供者装置に送り、前記サービス提供者装置から当該カードの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、これらの公開鍵証明書を用いて前記サービス提供者との間で署名交換を行って相互認証を行う機能を備える、
ことを特徴とするICカード相互運用システム。 - 請求項4記載のICカード相互運用システムに用いるカード発行者装置であって、ICカードからアプリケーションのダウンロードを要求されたサービス提供者装置との間で、下位認証局により付与されたそれぞれの識別情報を交換して該サービス提供者装置が相互運用対象であるか判断し、相互運用対象のサービス提供者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、署名交換を行って相互認証を行う相互認証機能と、相互認証後にアプリケーションのダウンロード許可証を該サービス提供者装置に発行するダウンロード許可証発行機能とを備えることを特徴とするカード発行者装置。
- 請求項4記載のICカード相互運用システムに用いるサービス提供者装置であって、ICカードからのアプリケーションダウンロード要求に応答して、該ICカードを発行したICカード発行装置との間で、下位認証局により付与された識別情報を交換して該ICカード発行者装置が相互運用対象か判断し、相互運用対象のICカード発行者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換して相互認証を行う相互認証機能と、該ICカードから識別情報を取得し、該ICカードが相互運用対象のカード発行者から発行されたICカードであるか判断し、該ICカードから該カードの公開鍵証明書を取得するとともに、該ICカードを発行したカード発行者装置により署名された下位認証局の公開鍵証明書と下位認証局により署名された該サービス提供者装置の公開鍵証明書を該ICカードに送り、前記ICカードとの間でこれらの公開鍵証明書を用いて署名交換を行なって相互認証を行う機能と、ICカード発行者装置から受け取ったダウンロード許可証を相互認証済みの前記ICカードに送り、カード発行者装置により許可されたアプリケーションをICカードにダウンロードさせるダウンロード機能とを備えることを特徴とするサービス提供者装置。
- 請求項4記載のICカード相互運用システムに用いるICカードであって、該ICカードの公開鍵証明書を前記サービス提供者装置に送り、前記サービス提供者装置から当該カードの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、これらの公開鍵証明書を用いて前記サービス提供者との間で署名交換を行って相互認証を行う機能を備えることを特徴とするICカード。
- 請求項5記載のカード発行者装置を実現するためのコンピュータプログラムであって、該コンピュータプログラムは、カード発行者が備えるコンピュータに、
ICカードからアプリケーションのダウンロードを要求されたサービス提供者装置との間で、下位認証局により付与されたそれぞれの識別情報を交換して該サービス提供者装置が相互運用対象であるか判断し、相互運用対象のサービス提供者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換し、署名交換を行って相互認証を行う相互認証機能と、
相互認証後にアプリケーションのダウンロード許可証を該サービス提供者装置に発行するダウンロード許可証発行機能を、
実現させることを特徴とするカード発行者装置を実現するためのコンピュータプログラム。 - 請求項6記載のサービス提供者装置を実現するためのコンピュータプログラムであって、該コンピュータプログラムは、サービス提供者装置が備えるコンピュータに、
ICカードからのアプリケーションダウンロード要求に応答して、該ICカードを発行したICカード発行装置との間で、下位認証局により付与された識別情報を交換して該ICカード発行者装置が相互運用対象か判断し、相互運用対象のICカード発行者装置との間で、下位認証局により署名されたそれぞれの公開鍵証明書を交換して相互認証を行う相互認証機能と、
該ICカードから識別情報を取得し、該ICカードが相互運用対象のカード発行者から発行されたICカードであるか判断し、該ICカードから該カードの公開鍵証明書を取得するとともに、該ICカードを発行したカード発行者装置により署名された下位認証局の公開鍵証明書と下位認証局により署名された該サービス提供者装置の公開鍵証明書を該ICカードに送り、前記ICカードとの間でこれらの公開鍵証明書を用いて署名交換を行なって相互認証を行う機能と、
ICカード発行者装置から受け取ったダウンロード許可証を相互認証済みの前記ICカードに送り、カード発行者装置により許可されたアプリケーションをICカードにダウンロードさせるダウンロード機能を実現させる機能を、
実現させることを特徴とするサービス提供者装置を実現するためのコンピュータプログラム。 - 請求項7記載のICカードを実現するコンピュータプログラムであって、該コンピュータプログラムは、ICカードが備えるコンピュータに、ICカードの公開鍵証明書を前記サービス提供者装置に送り、前記サービス提供者装置から当該カードの認証局により署名された下位認証局の公開鍵証明書と下位認証局により署名されたサービス提供者装置の公開鍵証明書を取得し、これらの公開鍵証明書を用いて前記サービス提供者との間で署名交換を行って相互認証を行う機能を実現させることを特徴とするICカードを実現するためのコンピュータプログラム。
- 請求項8〜10の何れかに記載のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003051533A JP2004259174A (ja) | 2003-02-27 | 2003-02-27 | Icカード相互運用方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003051533A JP2004259174A (ja) | 2003-02-27 | 2003-02-27 | Icカード相互運用方法及びシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004259174A true JP2004259174A (ja) | 2004-09-16 |
Family
ID=33116655
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003051533A Pending JP2004259174A (ja) | 2003-02-27 | 2003-02-27 | Icカード相互運用方法及びシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004259174A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
JP2007298985A (ja) * | 2006-04-29 | 2007-11-15 | Beijing Feitian Technologies Co Ltd | 銀行カードのコンピュータにおけるpki応用の一つの実現方法 |
-
2003
- 2003-02-27 JP JP2003051533A patent/JP2004259174A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006174152A (ja) * | 2004-12-16 | 2006-06-29 | Matsushita Electric Works Ltd | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
JP4713881B2 (ja) * | 2004-12-16 | 2011-06-29 | パナソニック電工株式会社 | トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム |
JP2007298985A (ja) * | 2006-04-29 | 2007-11-15 | Beijing Feitian Technologies Co Ltd | 銀行カードのコンピュータにおけるpki応用の一つの実現方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110572398B (zh) | 区块链网络的管控方法、装置、设备及存储介质 | |
CN109791671B (zh) | 区块链实现的方法和系统 | |
JP4851767B2 (ja) | ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム | |
EP2243311B1 (en) | Method and system for mobile device credentialing | |
US10567370B2 (en) | Certificate authority | |
US9699167B1 (en) | Distributed authentication | |
KR102307574B1 (ko) | 블록체인을 기반으로 한 클라우드 데이터 저장 시스템 및 데이터 저장 방법 | |
CN105324976A (zh) | 使用简单证书注册协议和相应的管理应用将证书注册到设备的方法 | |
JP2017157910A (ja) | 電子抽選システム及び電子抽選方法 | |
US20220321357A1 (en) | User credential control system and user credential control method | |
CN114008968A (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
WO2021105816A1 (en) | Methods and devices for automated digital certificate verification | |
KR102410006B1 (ko) | 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템 | |
CN112712372A (zh) | 联盟链跨链系统和信息调用方法 | |
CN101252432B (zh) | 一种基于域的数字权限管理方法、域管理服务器及系统 | |
CN102857497B (zh) | 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法 | |
Fotiou et al. | Capability-based access control for multi-tenant systems using OAuth 2.0 and Verifiable Credentials | |
JP3793377B2 (ja) | データ格納システム及びデータ格納プログラムを格納した記憶媒体 | |
JP2004259174A (ja) | Icカード相互運用方法及びシステム | |
JP4009131B2 (ja) | 共通テナント管理者によるicカード相互運用方法及びシステム | |
CN110492997B (zh) | 一种基于超级账本的加密系统、方法、装置和存储介质 | |
JP4706165B2 (ja) | アカウント管理システム、アカウント管理方法およびアカウント管理プログラム | |
CN109600220B (zh) | 用于Java卡的可信服务管理方法和系统 | |
JP4201107B2 (ja) | 埋め込み型権限委譲方法 | |
JP2004078718A (ja) | Icカード相互運用方法及びシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070205 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070220 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070626 |