JP2005260759A - Electronic signature, and signature verification system - Google Patents

Electronic signature, and signature verification system Download PDF

Info

Publication number
JP2005260759A
JP2005260759A JP2004071646A JP2004071646A JP2005260759A JP 2005260759 A JP2005260759 A JP 2005260759A JP 2004071646 A JP2004071646 A JP 2004071646A JP 2004071646 A JP2004071646 A JP 2004071646A JP 2005260759 A JP2005260759 A JP 2005260759A
Authority
JP
Japan
Prior art keywords
certificate
client terminal
signature
communication
electronic signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004071646A
Other languages
Japanese (ja)
Inventor
Yoshiki Miyano
哲紀 宮野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2004071646A priority Critical patent/JP2005260759A/en
Publication of JP2005260759A publication Critical patent/JP2005260759A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an electronic signature and a signature verification system which eliminate the problem of processing capability or processing burden, and are not necessary to hold a certificate. <P>SOLUTION: An agent device holds the certificate of a communication user (customer) who uses a client terminal instead of the client terminal under instruction of the client terminal, and performs a work showing the certificate of the communication user or the certificate of the communication user and a certificate of a certificate authority (CA) to a communication partner when validity of the signature of the communication user is verified to the communication partner, a work of verification of the certificate or signature verification confirming validity of the certificate at the time of signature verification of the electronic signature to the communication partner, and a work to encipher and notice the verification result to the communication user side. Moreover, a client terminal has a processing part which is installed inside of the terminal or connected outside, and performs encryption processing and decoding processing of the electronic signature of the communication user, and a recording medium which keeps a key for encryption in the electronic signature of the communication user, or a key for decoding. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ネットワークを介したデータのやり取りにおける、電子署名、署名検証を行うシステムに関し、特にICカードを用いた電子署名、署名検証を行うシステムに関する。   The present invention relates to a system for performing electronic signature and signature verification in data exchange over a network, and more particularly to a system for performing electronic signature and signature verification using an IC card.

近年、インターネットに代表されるオープンネットワークの普及に伴い、電子商取引など、ネットワークを介したデータのやり取りがますます盛んになる中、電子署名を行うとともに、該電子署名の検証を行うシステムが種々提案されている。
この場合、通常、通信相手の署名検証を行う場合、その都度、通信相手の証明書をネットワーク上で入手し、その証明書の検証や失効確認を、通信利用者(以下顧客とも言う)側で行う。
そして、通信利用者側は、不特定多数とのデータのやり取りを行う場合に備え、予め複数のルートCA証明書を保管しておき、不特定多数に、自己の署名の正当性を証明するため、通信利用者から自己、及び認証局(認証機関あるいは単にCA(Certification Authority)とも言う)の証明書をネットワーク上で提示する。 In recent years, with the spread of open networks represented by the Internet, data exchange via networks, such as electronic commerce, has become increasingly popular, and various proposals have been made for systems for performing digital signatures and verifying such digital signatures. Has been.
In this case, usually, when verifying the signature of the communication partner, each time the certificate of the communication partner is obtained on the network, the verification or revocation check of the certificate is performed on the communication user (hereinafter also referred to as customer) side. Do.
The communication user side stores a plurality of root CA certificates in advance in order to exchange data with an unspecified number of persons in order to prove the validity of his signature to the unspecified number of persons. From the communication user, a certificate of the self and a certificate authority (also called a certification authority or simply CA (Certification Authority)) is presented on the network.

証明書の失効確認をオンラインで行う検証局(Validation Authority(VA))のシステムが知られているが、このシステムでは証明書が失効しているか否かを確認できるだけであり、通信相手の証明書の検証(ルートCA証明書までの有効性確認)は通信利用者側の端末機器で行う必要がある。
このため、証明書検証に要求される、クライアント端末機の処理能力や、処理の負担が問題となる。
また、不特定多数との通信で、自己の署名の正当性を証明するため、その都度、自己の証明書、及びルートCAまでの証明書を、通信相手に提示する必要があり、非高速な通信環境では、大きな負荷となる。
更に、不特定の通信相手の署名検証を行う場合は、予め、各ルートCAの証明書を通信利用者側で保管しておく必要があり、携帯電話等、記憶容量に問題があるクライアント側端末機環境下では、証明書の保持が大きな問題となっている。
特開2003−218860号公報 There is known a validation authority (VA) system that performs certificate revocation confirmation online, but this system can only check whether the certificate has been revoked, and the certificate of the communication partner Verification (validity verification up to the root CA certificate) must be performed by a terminal device on the communication user side.
For this reason, the processing capability of the client terminal and the processing load required for certificate verification become problems.
In addition, in order to prove the validity of its own signature in communication with an unspecified number of people, it is necessary to present its own certificate and the certificate up to the root CA to the communication partner each time. In a communication environment, it becomes a heavy load.
Further, when verifying the signature of an unspecified communication partner, it is necessary to store the certificate of each root CA in advance on the communication user side, such as a mobile phone, a client-side terminal having a problem in storage capacity In a machine environment, certificate retention is a major problem.
JP 2003-218860 A

上記のように、従来のネットワークを介したデータのやり取りにおける、電子署名、署名検証を行う場合、証明書検証に要求される、通信利用者(顧客)の端末機の処理能力や、処理の負担が問題となっており、特に、通信利用者の端末機が非高速である通信環境下では、通信利用者の端末機には大きな負荷となり、また、不特定の通信相手の署名検証を行う場合、携帯電話等、記憶容量に問題がある顧客の端末機では、証明書の保持が大きな問題となっている。
本発明はこれらに対応するもので、通信利用者(顧客)の端末機の処理能力や、処理の負担の問題を無くし、通信利用者の端末機が非高速である通信環境下でも、通信利用者の端末機に大きな負荷とならず、証明書の保持を必要としない、ネットワークを介したデータのやり取りにおける、電子署名、署名検証システムを提供しようとするものである。 As mentioned above, when performing digital signatures and signature verification in the exchange of data over a conventional network, the processing capability of the communication user (customer) terminal required for certificate verification and the processing burden In particular, in a communication environment where the communication user's terminal is non-high-speed, there is a heavy load on the communication user's terminal, and the signature verification of an unspecified communication partner is performed. In a terminal of a customer who has a problem in storage capacity, such as a mobile phone, holding a certificate is a big problem.
The present invention corresponds to these, and eliminates the problem of the processing capacity and processing burden of the communication user (customer) terminal, and the communication use is possible even in the communication environment where the communication user terminal is non-high-speed. It is an object of the present invention to provide an electronic signature / signature verification system for exchanging data via a network, which does not place a heavy load on the user's terminal and does not require holding a certificate.

本発明の電子署名、所定のネットワークを介した電子署名付データのやり取りを、クライアント端末機の指示のもと、代理装置が、通信利用者(顧客とも言う)のクライアント端末機に代わり行うシステムであって、前記所定のネットワークに接続する代理装置と、前記所定のネットワークに接続し、公開鍵暗号方式に基づき、復号化する際の公開鍵を証明する証明書を発行する認証局(CAとも言う)と、前記代理装置に接続されたクライアント端末機とを備え、クライアント端末機により代理装置と接続し、代理装置を介して通信相手の端末機と電子署名付データのやり取りを行うものであり、前記代理装置は、クライアント端末機の指示のもとに、クライアント端末機に代わりクライアント端末機を使用する通信利用者の証明書を保管し、通信相手に前記通信利用者の署名の有効性を証明するときには、前記通信利用者の証明書あるいは前記通信利用者の証明書と認証局(CA)の証明書とを前記通信相手に提示する作業と、前記ネットワーク上の通信相手の電子署名の署名検証時に必要となる、証明書の検証や証明書の有効性を確認する、署名検証作業と、前記証明書の検証の結果を前記通信利用者側に暗号化して通知する作業とを、前記クライアント端末機に代わり行うもので、また、前記クライアント端末機は、その内部に、あるいは、外付けで接続して、前記通信利用者の電子署名における暗号化処理および復号化処理を行う処理部と、前記通信利用者の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体とを有するものであることを特徴とするものである。
そして、上記の電子署名、署名検証システムであって、前記クライアント端末機が、ICカードを内蔵した、あるいはICカードを外付けした携帯電話等の携帯端末機器で、ICカードの所定のメモリを前記通信利用者の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体として用い、且つ、暗号化処理および復号化処理等の処理をICカード内で行うものであることを特徴とするものである。 In the system according to the present invention, the proxy device performs the exchange of the electronic signature and the data with the electronic signature via a predetermined network in place of the client terminal of the communication user (also referred to as a customer) under the instruction of the client terminal. A certificate authority (also called CA) that issues a certificate that certifies a public key for decryption based on a public key cryptosystem and a proxy device connected to the predetermined network. ) And a client terminal connected to the proxy device, connected to the proxy device by the client terminal, and exchanges data with a digital signature with the communication partner terminal via the proxy device, The proxy device stores a certificate of a communication user who uses the client terminal instead of the client terminal under the instruction of the client terminal. When verifying the validity of the communication user's signature to the communication partner, the communication user certificate or the certificate of the communication user and the certificate of the certificate authority (CA) are presented to the communication partner. Work and the verification of the certificate and the validity of the certificate, which are required when verifying the signature of the electronic signature of the communication partner on the network. In addition to the client terminal, the task of encrypting and notifying the user side is performed, and the client terminal is connected to the inside or externally, and the electronic signature of the communication user And a processing unit for performing encryption processing and decryption processing in the above, and a recording medium for storing a key for encryption or a key for decryption in the electronic signature of the communication user. It is an butterfly.
In the electronic signature / signature verification system described above, the client terminal is a portable terminal device such as a cellular phone with a built-in IC card or an externally attached IC card. Used as a recording medium for storing a key for encryption or a key for decryption in an electronic signature of a communication user, and performs processing such as encryption processing and decryption processing in an IC card It is characterized by.

尚、ここで言う代理装置は、所定の処理を行うサーバーを意味し、これに接続し、該サーバーに所定の処理を行わせるために接続する端末機をクライアント端末機と言う。
また、文書を通信する際に、所定の鍵を用いて暗号化することがあるが、ここでは、電子文書データあるいはその圧縮データ等を暗号化した状態にすることを電子署名と言い、証明書とは、暗号化された文書(署名付文書とも言う)を復号化するための鍵(公開鍵)を証明するものである。
ここでは、そのままあるいは圧縮されて電子署名される電子文書データを通信文と言う。
一般には、公開鍵と秘密鍵のペアで、暗号化、復号化がされる公開鍵暗号方式を採ることが多く、通常は、認証局が公開鍵を証明する証明書を発行する。
証明書の検証とは、対応する証明書により署名付文書を復号化化して確認することである。
尚、本発明のような公開鍵暗号方式を利用したシステムを、一般には、PKI(Public Key Innfrastructure)と言い、これを日本語訳では、「公開鍵暗号基盤」もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」と言われる。
実際には、暗号化処理が複数回行われることもあり、認証局の証明書をさらに証明する認証局の証明書が必要になる場合もある。
この場合には、大元の認証局(ルートCAと以下言う)までさかのぼる必要性がある。 The proxy device referred to here means a server that performs a predetermined process, and a terminal connected to this server to cause the server to perform a predetermined process is referred to as a client terminal.
Also, when communicating a document, there is a case where it is encrypted using a predetermined key, but here, making electronic document data or its compressed data encrypted is called an electronic signature, and a certificate Is to prove a key (public key) for decrypting an encrypted document (also referred to as a signed document).
Here, electronic document data that is digitally signed as it is or after being compressed is called a communication sentence.
In general, a public key encryption method in which a pair of a public key and a private key is used for encryption and decryption is often used. Usually, a certificate authority issues a certificate that certifies the public key.
Certificate verification refers to decrypting and confirming a signed document with a corresponding certificate.
A system using a public key cryptosystem such as the present invention is generally referred to as PKI (Public Key Infrastructure), which in Japanese translation is referred to as “public key cryptography infrastructure” or “public key cryptography”. It is said that the security infrastructure used.
In practice, the encryption process may be performed a plurality of times, and a certificate authority certificate that further certifies the certificate authority certificate may be required.
In this case, it is necessary to go back to the original certificate authority (hereinafter referred to as root CA).

電子署名とその検証について、更に、以下簡単に説明しておく。
一般には、発信者は、通信文のメッセージダイジェストを作成し、これを発信者自身の秘密鍵を使って暗号化し、電子署名(電子署名付通信文あるいは電素署名付文とも言う)とし、該電子署名を通信文につけて相手に送付する。
ここで、メッセージダイジェストとは、元の通信文データを一方向関数といわれる性質を持つ関数で変換し圧縮された決められた長さのデータのことで、通信文のメッセージダイジェストへの変換は、一方向関数による変換なので、得られるダイジェストは元の通信文データよりデータ量が小さくなるが、異なる通信文データから等しいメッセージダイジェストが得られることが実際上起らないと考えられる。
一方、受信者は、電子署名部分を発信者の公開鍵で復号化したもの(元のメッセージダイジェストに相当)と、受取った通信文から作成したメッセージダイジェストとを、比較し、一致すれば、確かに発信者本人が発信したもので、内容も改竄されていないということが確認できる。
メッセージダイジェストを作る関数としてはMD5やSHA−1が使用されている。
公開鍵方式としてはRSA等が利用されている。
勿論、電子署名を行なう対象文書が既に他の秘密鍵により作成された電子署名付の文書であってもよい。 The electronic signature and its verification will be further briefly described below.
In general, the caller creates a message digest of the message, encrypts it using the caller's own private key, and forms an electronic signature (also referred to as a message with an electronic signature or a message with an electronic signature). An electronic signature is attached to the correspondence and sent to the other party.
Here, the message digest is data of a fixed length that is converted and compressed by a function having a property called a one-way function from the original message data. Conversion of a message to a message digest is as follows: Since the conversion is based on a one-way function, the obtained digest has a smaller data amount than the original message data, but it is considered that the same message digest is not actually obtained from different message data.
On the other hand, the receiver compares the digital signature part decrypted with the sender's public key (corresponding to the original message digest) with the message digest created from the received message, and if it matches, It can be confirmed that the message was originally sent by the sender and the content was not tampered with.
MD5 or SHA-1 is used as a function for creating a message digest.
RSA or the like is used as a public key method.
Of course, the target document to be digitally signed may be a document with an electronic signature already created with another secret key.

(作用)
本発明の電子署名、署名検証システムは、このような構成にすることにより、通信利用者(顧客)の端末機の処理能力や、処理の負担の問題を無くし、顧客の端末機が非高速である通信環境下でも、顧客の端末機には大きな負荷とならず、更に証明書の保持を必要としない、ネットワークを介したデータのやり取りにおける、電子署名、署名検証システムの提供を可能としている。
具体的には、所定のネットワークに接続する代理装置と、前記所定のネットワークに接続し、公開鍵暗号方式に基づき、復号化する際の公開鍵を証明する証明書を発行する認証局(CAとも言う)と、前記代理装置に接続されたクライアント端末機とを備え、クライアント端末機により代理装置と接続し、代理装置を介して通信相手の端末機と電子署名付データのやり取りを行うものであり、前記代理装置は、クライアント端末機の指示のもとに、クライアント端末機に代わりクライアント端末機を使用する通信利用者の証明書を保管し、通信相手に前記通信利用者の署名の有効性を証明するときには、前記通信利用者の証明書あるいは前記通信利用者の証明書と認証局(CA)の証明書とを前記通信相手に提示する作業と、前記ネットワーク上の通信相手の電子署名の署名検証時に必要となる、証明書の検証や証明書の有効性を確認する、署名検証作業と、前記証明書の検証の結果を前記通信利用者側に暗号化して通知する作業とを、前記クライアント端末機に代わり行うもので、また、前記クライアント端末機は、その内部に、あるいは、外付けで接続して、前記通信利用者の電子署名における暗号化処理および復号化処理を行う処理部と、前記通信利用者の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体とを有するものであることにより、これを達成している。
即ち、代理装置が、通信相手の証明書の検証や、クライアント端末機を使用する顧客自身の証明書の提示の作業を行うため、クライアント端末機では、大量データのやり取りが不要なため、クライアント端末機の通信回線への負担が軽減される。
また、代理装置が証明書検証を行うため、証明書検証に必要な能力を、クライアント側の端末機器には不要とすることができる。
更にまた、本発明によれば、代理装置が、クライアント端末機を使用する顧客の証明書保管の作業を行うため、大量のルートCA迄の証明書を、クライアント端末機に保持する必要がない。 (Function)
The electronic signature and signature verification system according to the present invention has such a configuration, thereby eliminating the problem of processing capability of the communication user (customer) terminal and the burden of processing, and making the customer terminal non-high-speed. Even under a certain communication environment, it is possible to provide an electronic signature and signature verification system for exchanging data via a network that does not place a heavy load on a customer's terminal and does not require holding a certificate.
Specifically, a proxy device that connects to a predetermined network, and a certificate authority that connects to the predetermined network and issues a certificate that certifies the public key for decryption based on the public key cryptosystem (also known as CA) And a client terminal connected to the proxy device, connected to the proxy device by the client terminal, and exchanges data with an electronic signature with the communication partner terminal via the proxy device. The proxy device stores the certificate of the communication user who uses the client terminal instead of the client terminal under the instruction of the client terminal, and sets the validity of the signature of the communication user to the communication partner. When certifying, the work of presenting the communication user certificate or the communication user certificate and the certificate of the certificate authority (CA) to the communication partner; The verification of the certificate and the validity of the certificate, which are required when verifying the signature of the electronic signature of the communication partner above, are encrypted to the communication user side, and the result of the verification of the certificate and the verification of the certificate The client terminal is connected to the client terminal, or the client terminal is connected internally or externally to encrypt the electronic signature of the communication user and This is achieved by having a processing unit for performing a decryption process and a recording medium for storing a key for encryption or a key for decryption in the electronic signature of the communication user. .
That is, since the proxy device performs verification of the communication partner's certificate and presentation of the customer's own certificate using the client terminal, the client terminal does not need to exchange a large amount of data. The burden on the communication line of the machine is reduced.
In addition, since the proxy device performs certificate verification, it is possible to eliminate the capability required for certificate verification in the terminal device on the client side.
Furthermore, according to the present invention, since the proxy device performs the work of storing the certificate of the customer who uses the client terminal, it is not necessary to hold a large number of certificates up to the root CA in the client terminal.

特に、ICカードの所定のメモリを前記顧客の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体として用い、且つ、暗号化処理および復号化処理等の処理をICカード内で行うものとすることによりシステム全体を汎用性の良いものとでき、クライアント端末機として、ICカードを内蔵した、あるいはICカードを外付けした携帯電話等の携帯端末機器の使用を可能としている。   In particular, a predetermined memory of the IC card is used as a recording medium for storing a key for encryption or a key for decryption in the electronic signature of the customer, and processing such as encryption processing and decryption processing is performed by IC By making it inside the card, the entire system can be made versatile, and as a client terminal, it is possible to use a portable terminal device such as a mobile phone with a built-in IC card or an externally attached IC card. Yes.

本発明は、上記のように、通信利用者(顧客)の端末機の処理能力や、処理の負担の問題を無くし、顧客の端末機が非高速である通信環境下でも、顧客の端末機には大きな負荷とならず、証明書の保持を必要としない、ネットワークを介したデータのやり取りにおける、電子署名、署名検証システムの提供を可能とした。   As described above, the present invention eliminates the problem of the processing capacity of the communication user (customer) terminal and the burden of processing, and can be applied to the customer terminal even in a non-high-speed communication environment. Has made it possible to provide an electronic signature and signature verification system for exchanging data over a network, which does not impose a heavy load and does not require the maintenance of a certificate.

本発明の電子署名、署名検証システムの実施の形態例を図に基づいて説明する。
図1は本発明の電子署名、署名検証システムの実施の形態の1例を簡略化して示した図で、図2は通信利用者(顧客)側への通信相手の電子署名付の通信に際しての処理フローの1例を示した図で、図3は通信相手への通信利用者(顧客)の電子署名付の通信に際しての処理フローの1例を示した図である。
尚、図1においては、図を分かり易くするため、認証局140を1つ、通信相手の端末機器130を1つ(通信相手も1人)のみ示しているが、本システムは、実際には、実際には、認証局140、通信相手の端末機器130を、それぞれ複数個とした場合も含むものである。
図1において、100は通信利用者、110はクライアント端末機、111は端末機、115はICカード、120は代理装置、121はデーターベース、125は処理部、130は(通信相手の)端末機器、140は認証局(CAとも言う)、141はデーターベース、150はインターネット、200は通信相手である。
また、図2における、S11〜S18、図3におけるS21〜S24は処理ステップを示している。 An embodiment of an electronic signature and signature verification system according to the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a simplified example of an embodiment of an electronic signature / signature verification system according to the present invention. FIG. 2 shows a communication partner (customer) side in communication with an electronic signature of a communication partner. FIG. 3 is a diagram showing an example of the processing flow, and FIG. 3 is a diagram showing an example of the processing flow in communication with the electronic signature of the communication user (customer) to the communication partner.
In FIG. 1, for the sake of clarity, only one certificate authority 140 and one communication partner terminal device 130 (one communication partner) are shown. Actually, this includes the case where there are a plurality of certificate authorities 140 and terminal devices 130 of communication partners.
In FIG. 1, 100 is a communication user, 110 is a client terminal, 111 is a terminal, 115 is an IC card, 120 is a proxy device, 121 is a database, 125 is a processing unit, and 130 is a terminal device (of a communication partner). 140 is a certificate authority (also called CA), 141 is a database, 150 is the Internet, and 200 is a communication partner.
Further, S11 to S18 in FIG. 2 and S21 to S24 in FIG. 3 indicate processing steps.

はじめに、本発明の電子署名、署名検証システムの実施の形態の1例を図1に基づいて説明する。
本例の電子署名、署名検証システムは、インターネット150に接続する代理装置120と、インターネット150に接続し、公開鍵暗号方式に基づき、復号化する際の公開鍵を証明する証明書を発行する認証局(CAとも言う)140と、代理装置120に接続されたクライアント端末機110とを備え、インターネット150を介した電子署名付データのやり取りを、クライアント端末機110の指示のもと、代理装置120が、該クライアント端末機110に代わり行うシステムである。
そして、通信利用者(顧客)100は、クライアント端末機110により代理装置120と接続し、代理装置150を介して通信相手の端末機130と電子署名付データのやり取りを行うものであり、代理装置120は、クライアント端末機110の指示のもとに、クライアント端末機110に代わりクライアント端末機110を使用する顧客100の証明書を保管し、通信相手200に顧客100の署名の有効性を証明するときには、顧客100の証明書あるいは顧客100の証明書と認証局(CA)140の証明書とを通信相手200に提示する作業と、インターネット150上の通信相手の電子署名の署名検証時に必要となる、証明書の検証や証明書の有効性を確認する、署名検証作業と、前記証明書の検証の結果を顧客100側に暗号化して通知する作業とを、クライアント端末機110に代わり行うものである。
本例においては、クライアント端末機110は、ICカード115を外付けした携帯電話等の携帯端末機器(端末機111のこと)で、ICカードの所定のメモリを前記顧客の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体として用い、且つ、暗号化処理および復号化処理等の処理をICカード内で行うものである。
ここでは、ICカード115を電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する媒体として用いている。
そして、ICカードのCPUを暗号化処理および復号化処理等の処理を行う処理部としている。
通信利用者(顧客)100側のクライアント端末機110は、ICカード115からの情報をもとに、自己の署名付通信文を作成し、また、暗号化されている得られた通信相手200の証明書検証の結果を復号して、検証結果を確認するものである。 First, an example of an embodiment of an electronic signature / signature verification system according to the present invention will be described with reference to FIG.
The electronic signature / signature verification system of this example is a proxy device 120 connected to the Internet 150 and an authentication that connects to the Internet 150 and issues a certificate that certifies the public key when decrypting based on the public key cryptosystem. A proxy device 120 (also referred to as CA) 140 and a client terminal 110 connected to the proxy device 120, and exchange of data with an electronic signature via the Internet 150, under the instruction of the client terminal 110 Is a system that performs in place of the client terminal 110.
The communication user (customer) 100 is connected to the proxy device 120 via the client terminal 110 and exchanges data with an electronic signature with the communication partner terminal 130 via the proxy device 150. 120 stores the certificate of the customer 100 who uses the client terminal 110 instead of the client terminal 110 under the instruction of the client terminal 110, and proves the validity of the signature of the customer 100 to the communication partner 200. Sometimes, it is necessary for the work of presenting the certificate of the customer 100 or the certificate of the customer 100 and the certificate of the certification authority (CA) 140 to the communication partner 200 and the signature verification of the electronic signature of the communication partner on the Internet 150. The verification of the certificate and the validity of the certificate, the signature verification work, and the result of the verification of the certificate are A work of notifying turned into, is performed instead the client terminal 110.
In this example, the client terminal 110 is a mobile terminal device such as a mobile phone (terminal 111) with an IC card 115 externally attached, and the predetermined memory of the IC card is encrypted in the electronic signature of the customer. In this case, the key is used as a recording medium for storing a key for decryption or a key for decryption, and processing such as encryption processing and decryption processing is performed in the IC card.
Here, the IC card 115 is used as a medium for storing a key for encryption or a key for decryption in an electronic signature.
The CPU of the IC card is a processing unit that performs processing such as encryption processing and decryption processing.
The client terminal 110 on the communication user (customer) 100 side creates a self-signed communication message based on the information from the IC card 115, and also obtains the encrypted communication partner 200 obtained. The verification result is confirmed by decrypting the certificate verification result.

本例においては、代理装置120が、通信相手の証明書の検証や、クライアント自身の証明書の提示の作業を行うため、通信利用者(顧客)100側のクライアント端末機110では、大量データのやり取りが不要なため、クライアント端末機110の通信回線への負担が軽減される。
また、代理装置120は、証明書を保管するデーターベース121や証明書検証を行うための処理部125を備えて、通信利用者(顧客)100側のクライアント端末機110に代わり、証明書の検証や通信利用者(顧客)100の証明書の保管の作業を行うため、証明書の検証に必要な能力を、通信利用者(顧客)100側のクライアント端末機110には備える必要のない。
大量のルートCA迄の証明書を、クライアント端末機110に保持する必要がないものとしている。 In this example, since the proxy device 120 performs verification of the communication partner's certificate and presentation of the client's own certificate, the client terminal 110 on the communication user (customer) 100 side stores a large amount of data. Since no exchange is required, the burden on the communication line of the client terminal 110 is reduced.
Further, the proxy device 120 includes a database 121 for storing a certificate and a processing unit 125 for performing certificate verification, and instead of the client terminal 110 on the communication user (customer) 100 side, certificate verification is performed. The client terminal 110 on the side of the communication user (customer) 100 does not need to have the capability necessary for certificate verification.
It is assumed that there is no need to hold a large number of certificates up to the root CA in the client terminal 110.

クライアント端末機110と代理装置120とは、インターネットあるいはLAN(Local Area Network)等のネットワークや携帯電話、赤外線通信、無線通信等、各種通信手段にて接続できる。
ICカード115は、クライアント端末機110に接続され、暗号化あるいは復号化の鍵(秘密鍵)を内蔵する媒体として、また、暗号化処理および復号化処理等の処理装置として使用されるが、更に、IDやパスワード等により、代理装置120との接続の認証手段として用いても良い。 The client terminal 110 and the proxy device 120 can be connected by various communication means such as the Internet or a network such as a LAN (Local Area Network), a mobile phone, infrared communication, and wireless communication.
The IC card 115 is connected to the client terminal 110 and is used as a medium containing an encryption or decryption key (secret key), and as a processing device for encryption processing and decryption processing. Alternatively, it may be used as an authentication unit for connection with the proxy device 120 by an ID, a password, or the like.

ここで、本例の電子署名、署名検証システムにおける処理動作を説明する。
はじめに、通信相手の署名をクライアント100側で検証する場合の処理動作を図2の処理フローに基づき、図1に示す、電子署名、署名検証システムの構成図を参照としながら、1例を、簡単に説明する。
先ず、通信相手200は自分の端末機器130により、通信文に対して電子署名を行うとともに、インターネット150を介して、認証局(CA)から、認証局140の証明書を取得しておく。(S11)
次に、通信相手200は、代理装置120宛に、通信相手200の電子署名付通信文(証明書付通信文とも言う)と、認証局の証明書を送付する。(S12)
代理装置120は、クライアント側の端末装置110に署名付通信文のみを送信する。(S13)
通信利用者(顧客)100は、クライアント端末機110にて、送信されてきた電子署名付通信文を見て、必要に応じて、代理装置120に送信されてきた電子署名と通信文とが一致するかの電子署名による検証をクライアント端末機110を介して代理装置120に依頼する。(S14)
代理装置120は、通信利用者(顧客)100側からの依頼により、認証局140の証明書を用いて、電子署名による検証を行う。(S15)
代理装置120は、検証結果をクライアント端末機111に暗号文で通知する。(S16)
尚、ここでの暗号文を作成するための鍵は、特に公開鍵方式の鍵に限定はされない。
通信利用者(顧客)100側は、ICカード115を用い、通信利用者(顧客)の鍵(秘密鍵)にて、暗号文を復号する。(S17)
次いで、通信利用者(顧客)100側は、通信文を処理する。(S18) Here, the processing operation in the digital signature and signature verification system of this example will be described.
First, based on the processing flow in FIG. 2, the processing operation when the signature of the communication partner is verified on the client 100 side will be described with reference to the configuration diagram of the electronic signature / signature verification system shown in FIG. Explained.
First, the communication partner 200 uses the terminal device 130 to digitally sign a communication message, and obtains a certificate of the certificate authority 140 from the certificate authority (CA) via the Internet 150. (S11)
Next, the communication partner 200 sends to the proxy device 120 a communication message with an electronic signature of the communication partner 200 (also referred to as a communication message with a certificate) and a certificate of the certificate authority. (S12)
The proxy device 120 transmits only the signed communication message to the terminal device 110 on the client side. (S13)
The communication user (customer) 100 sees the electronic signature with the electronic signature transmitted at the client terminal 110, and if necessary, the electronic signature transmitted to the proxy device 120 matches the communication text. The proxy device 120 is requested via the client terminal 110 to verify with an electronic signature. (S14)
In response to a request from the communication user (customer) 100, the proxy device 120 uses the certificate of the certificate authority 140 to perform verification using an electronic signature. (S15)
The proxy device 120 notifies the client terminal 111 of the verification result using ciphertext. (S16)
The key for creating the ciphertext here is not particularly limited to a public key key.
The communication user (customer) 100 uses the IC card 115 to decrypt the ciphertext using the key (secret key) of the communication user (customer). (S17)
Next, the communication user (customer) 100 side processes the communication text. (S18)

次に、通信利用者(顧客)100のクライアント端末機111における署名付文書を、代理装置120を介して通信相手200側に送信し、通信相手200側で検証する場合の処理動作を図3の処理フローに基づき、図1に示す電子署名、署名検証システムの構成図を参照としながら、1例を、簡単に説明する。
先ず、通信利用者は、クライアント端末機110を代理装置120に接続し、クライアント端末機110にて、ICカード115を用い、電子署名付の通信文を作成し、代理装置120に電子署名付の通信文を送信する。(S21)
ここで、ICカード115は電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する媒体として用いられ、また、そのCPUは暗号化処理および復号化処理等の処理を行う処理部として用いられる。
次いで、代理装置120は、予め、認証局140より通信利用者(顧客)100の証明書を取得しておき、通信利用者(顧客)100の証明書を添えた電子署名付通信文と認証局の証明書とを、通信相手200に送信する。(S22)
次いで、通信相手200は認証局140の証明書、通信利用者(顧客)100の署名を検証する。(S23)
次いで、通信相手200は通信文を処理する。(S24)
ここでは、説明を簡単化するため、通信相手200が1人で認証局140が1つの場合を説明したが、通信相手200、認証局140のいずれもが複数の場合についても、各通信相手200に対しては基本的に同様の処理フローが行われる。
但し、認証局が複数の場合は、ルートCAまでの証明書を必要とする。
Next, the processing operation when the signed document in the client terminal 111 of the communication user (customer) 100 is transmitted to the communication partner 200 side via the proxy device 120 and verified on the communication partner 200 side is shown in FIG. Based on the processing flow, an example will be briefly described with reference to the block diagram of the electronic signature and signature verification system shown in FIG.
First, the communication user connects the client terminal 110 to the proxy device 120, creates a communication message with an electronic signature using the IC card 115 at the client terminal 110, and adds a digital signature to the proxy device 120. Send a message. (S21)
Here, the IC card 115 is used as a medium for storing a key for encryption or a key for decryption in an electronic signature, and its CPU performs processing such as encryption processing and decryption processing. Used as
Next, the proxy device 120 acquires the certificate of the communication user (customer) 100 from the certificate authority 140 in advance, and the electronic signature-added message with the certificate of the communication user (customer) 100 and the certificate authority. Is transmitted to the communication partner 200. (S22)
Next, the communication partner 200 verifies the certificate of the certificate authority 140 and the signature of the communication user (customer) 100. (S23)
Next, the communication partner 200 processes the communication text. (S24)
Here, in order to simplify the description, the case where there is one communication partner 200 and one certificate authority 140 has been described, but each communication partner 200 can be used even when both the communication partner 200 and the certificate authority 140 are plural. Is basically the same processing flow.
However, if there are a plurality of certificate authorities, a certificate up to the root CA is required.

本発明の電子署名、署名検証システムの実施の形態の1例の構成を示した図である。It is the figure which showed the structure of one example of embodiment of the electronic signature of this invention, and a signature verification system. 通信利用者(顧客)側への通信相手の電子署名付の通信に際しての処理フローの1例を示した図である。It is the figure which showed one example of the processing flow at the time of communication with the electronic signature of the communicating party to the communication user (customer) side. 通信相手への通信利用者(顧客)の電子署名付の通信に際しての処理フローの1例を示した図である。It is the figure which showed one example of the processing flow at the time of communication with a digital signature of the communication user (customer) to a communicating party.

符号の説明Explanation of symbols

100 通信利用者(顧客)
110 クライアント端末機
115 ICカード
120 業務代行装置
121 データーベース
125 処理部
130 (通信相手の)端末機器
140 認証局(CAとも言う)
141 データーベース
150 インターネット
200 通信相手


100 Communication users (customers)
110 Client terminal 115 IC card 120 Business proxy device 121 Database 125 Processing unit 130 (Communication partner) terminal device 140 Certificate authority (also called CA)
141 Database 150 Internet 200 Communication partner


Claims (2)

所定のネットワークを介した電子署名付データのやり取りを、クライアント端末機の指示のもと、代理装置が、通信利用者(顧客とも言う)のクライアント端末機に代わり行うシステムであって、前記所定のネットワークに接続する代理装置と、前記所定のネットワークに接続し、公開鍵暗号方式に基づき、復号化する際の公開鍵を証明する証明書を発行する認証局(CAとも言う)と、前記代理装置に接続されたクライアント端末機とを備え、クライアント端末機により代理装置と接続し、代理装置を介して通信相手の端末機と電子署名付データのやり取りを行うものであり、前記代理装置は、クライアント端末機の指示のもとに、クライアント端末機に代わりクライアント端末機を使用する通信利用者の証明書を保管し、通信相手に前記通信利用者の署名の有効性を証明するときには、前記通信利用者の証明書あるいは前記通信利用者の証明書と認証局(CA)の証明書とを前記通信相手に提示する作業と、前記ネットワーク上の通信相手の電子署名の署名検証時に必要となる、証明書の検証や証明書の有効性を確認する、署名検証作業と、前記証明書の検証の結果を前記通信利用者側に暗号化して通知する作業とを、前記クライアント端末機に代わり行うもので、また、前記クライアント端末機は、その内部に、あるいは、外付けで接続して、前記通信利用者の電子署名における暗号化処理および復号化処理を行う処理部と、前記通信利用者の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体とを有するものであることを特徴とする電子署名、署名検証システム。   A system in which a proxy device performs exchange of data with an electronic signature via a predetermined network under the direction of a client terminal instead of a client terminal of a communication user (also referred to as a customer). A proxy device that connects to a network; a certificate authority (also referred to as CA) that issues a certificate certifying a public key for decryption based on a public key cryptosystem connected to the predetermined network; and the proxy device And a client terminal connected to the proxy device by the client terminal, and exchanges data with an electronic signature with the communication partner terminal via the proxy device. Under the instructions of the terminal, store the certificate of the communication user who uses the client terminal instead of the client terminal, and When verifying the validity of a signature of a trust user, the work of presenting the certificate of the communication user or the certificate of the communication user and the certificate of a certificate authority (CA) to the communication partner; The verification of the certificate and the validity of the certificate, which are required when verifying the signature of the electronic signature of the communication partner above, are encrypted to the communication user side, and the result of the verification of the certificate and the verification of the certificate The client terminal is connected to the client terminal, or the client terminal is connected internally or externally to encrypt the electronic signature of the communication user and An electronic signature comprising: a processing unit that performs a decryption process; and a recording medium that stores an encryption key or a decryption key in the electronic signature of the communication user Signature verification system. 請求項1に記載の電子署名、署名検証システムであって、前記クライアント端末機が、ICカードを内蔵した、あるいはICカードを外付けした携帯電話等の携帯端末機器で、ICカードの所定のメモリを前記通信利用者の電子署名における暗号化のための鍵あるいは復号化のための鍵を保管する記録媒体として用い、且つ、暗号化処理および復号化処理等の処理をICカード内で行うものであることを特徴とする電子署名、署名検証システム。

2. The electronic signature / signature verification system according to claim 1, wherein the client terminal is a portable terminal device such as a mobile phone with a built-in IC card or an external IC card, and a predetermined memory of the IC card. Is used as a recording medium for storing a key for encryption or a key for decryption in the electronic signature of the communication user, and processing such as encryption processing and decryption processing is performed in the IC card. An electronic signature and signature verification system characterized by being.

JP2004071646A 2004-03-12 2004-03-12 Electronic signature, and signature verification system Withdrawn JP2005260759A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004071646A JP2005260759A (en) 2004-03-12 2004-03-12 Electronic signature, and signature verification system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004071646A JP2005260759A (en) 2004-03-12 2004-03-12 Electronic signature, and signature verification system

Publications (1)

Publication Number Publication Date
JP2005260759A true JP2005260759A (en) 2005-09-22

Family

ID=35086035

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004071646A Withdrawn JP2005260759A (en) 2004-03-12 2004-03-12 Electronic signature, and signature verification system

Country Status (1)

Country Link
JP (1) JP2005260759A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165881A (en) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server
JP2011049978A (en) * 2009-08-28 2011-03-10 Konica Minolta Business Technologies Inc Communication apparatus, method, program and system
EP2360613A1 (en) 2010-01-27 2011-08-24 Ricoh Company, Ltd Peripheral device, network system, communication processing method
JP2012512549A (en) * 2008-09-01 2012-05-31 マイクロソフト コーポレーション Anonymous and traceable telemetry collection

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165881A (en) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server
JP2012512549A (en) * 2008-09-01 2012-05-31 マイクロソフト コーポレーション Anonymous and traceable telemetry collection
JP2011049978A (en) * 2009-08-28 2011-03-10 Konica Minolta Business Technologies Inc Communication apparatus, method, program and system
US8707025B2 (en) 2009-08-28 2014-04-22 Konica Minolta Business Technologies, Inc. Communication apparatus mediating communication between instruments
EP2360613A1 (en) 2010-01-27 2011-08-24 Ricoh Company, Ltd Peripheral device, network system, communication processing method
US8689002B2 (en) 2010-01-27 2014-04-01 Ricoh Company, Ltd. Peripheral device, network system, communication processing method

Similar Documents

Publication Publication Date Title
EP1394982B1 (en) Methods and apparatus for secure data communication links
US8732461B2 (en) Client apparatus, server apparatus, and program using entity authentication and biometric authentication
US6058188A (en) Method and apparatus for interoperable validation of key recovery information in a cryptographic system
CN101212293B (en) Identity authentication method and system
Lee et al. A new delegation-based authentication protocol for use in portable communication systems
US8601267B2 (en) Establishing a secured communication session
JP2005515701A6 (en) Data transmission link
JP2005515701A (en) Data transmission link
CN103763356A (en) Establishment method, device and system for connection of secure sockets layers
JP2009510978A (en) Constrained encryption key
JP2005515715A (en) Data transmission link
JPH09116534A (en) Security level controller and network communication system
CN111769938A (en) Key management system and data verification system of block chain sensor
US8452966B1 (en) Methods and apparatus for verifying a purported user identity
JP2007148903A (en) Attribute certificate processing system, attribute certification request device, attribute certificate issuing device, attribute verification device, attribute certification request method, attribute certificate issuing method, attribute verification method and program
JP4840575B2 (en) Terminal device, certificate issuing device, certificate issuing system, certificate acquisition method and certificate issuing method
CN110417722B (en) Business data communication method, communication equipment and storage medium
CN114760046A (en) Identity authentication method and device
JP2003234734A (en) Mutual authentication method, server device, client device, mutual authentication program and storage medium stored with mutual authentication program
KR100970552B1 (en) Method for generating secure key using certificateless public key
JP2005260759A (en) Electronic signature, and signature verification system
JP2002063139A (en) Terminal equipment and server device and terminal authenticating method
US20220329412A1 (en) Network arrangement for secure use of a private key remotely accessed through an open network
JP2005217808A (en) Information processing unit, and method for sealing electronic document
JP4770157B2 (en) Information communication system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070605