JP2007267299A - 属性証明書検証システムおよびその方法 - Google Patents
属性証明書検証システムおよびその方法 Download PDFInfo
- Publication number
- JP2007267299A JP2007267299A JP2006092776A JP2006092776A JP2007267299A JP 2007267299 A JP2007267299 A JP 2007267299A JP 2006092776 A JP2006092776 A JP 2006092776A JP 2006092776 A JP2006092776 A JP 2006092776A JP 2007267299 A JP2007267299 A JP 2007267299A
- Authority
- JP
- Japan
- Prior art keywords
- attribute certificate
- public key
- certificate verification
- attribute
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
サービス提供者装置の属性証明書を端末装置が受け取り、属性証明書の検証を代行する属性証明書検証装置に対して属性証明書の検証を依頼する場合、検証を要求する端末装置はあらかじめ自らが信頼する属性証明書検証装置への問い合わせ先を固定しておくか、あるいは、属性証明書検証装置への問い合わせ先のリストを持ち検証要求の都度ユーザに選択させなければならないという問題点がある。
【解決手段】
端末装置がサービス提供者装置からサービスを享受する場合、サービス提供者装置は自身の属性証明書を提示するとともに、該属性証明書の検証装置を指定することができ、端末装置は指定された属性証明書検証装置に問い合わせを行うことにより属性証明書の有効性が確認できる方法およびその方法が適用されるシステムを提供する。
【選択図】 図1
サービス提供者装置の属性証明書を端末装置が受け取り、属性証明書の検証を代行する属性証明書検証装置に対して属性証明書の検証を依頼する場合、検証を要求する端末装置はあらかじめ自らが信頼する属性証明書検証装置への問い合わせ先を固定しておくか、あるいは、属性証明書検証装置への問い合わせ先のリストを持ち検証要求の都度ユーザに選択させなければならないという問題点がある。
【解決手段】
端末装置がサービス提供者装置からサービスを享受する場合、サービス提供者装置は自身の属性証明書を提示するとともに、該属性証明書の検証装置を指定することができ、端末装置は指定された属性証明書検証装置に問い合わせを行うことにより属性証明書の有効性が確認できる方法およびその方法が適用されるシステムを提供する。
【選択図】 図1
Description
本発明は、属性証明書の検証方法に関し、さらに詳しくは、暗号通信のために使われる公開鍵証明書と連携した属性証明書を検証するためのシステムおよびその方法に関する。
公開鍵暗号レベルの安全性で,資格や権限を認証する方法として属性証明書を利用する方法がある(例えば,非特許文献1参照)。属性証明書を効率的に検証する方法としては,検証者が検証対象の属性証明書,および,信頼する認証局の公開鍵証明書を属性証明書検証装置に対して送信し,当該属性証明書検証装置が検証処理を代行して,その結果を端末装置に返信するという方法がある(例えば,特許文献1参照。)。
特開2003-348077号公報
International Telecommunication Union著「Information technology − Open systems interconnection − The Directory: Public−key and attribute certificate frameworks (ITU−T Recommendation X.509)」,(スイス),International Telecommunication Union,2000年3月31日,p.1−129
端末装置がサービス提供者装置からサービスを享受する場合、サービス提供者装置の安全性を確認する必要がある。従来は、公開鍵証明書による認証が行われていたが、より多くの情報を含んだ属性証明書による認証を行うことにより、より柔軟なアクセス制御が可能となると考えられる。
サービス提供者装置の属性証明書をクライアントが受け取り、属性証明書の検証を代行する属性証明書検証装置に対して属性証明書の検証を依頼する場合、検証を要求するクライアントはあらかじめ自らが信頼する属性証明書検証装置への問い合わせ先を固定しておくか、あるいは、属性証明書検証装置のリストを持ち検証要求の都度ユーザに選択させるか、の方法を取るしかなかった。
本発明は、上記事情に鑑みてなされたものであり、より改善された属性証明書検証システムおよびその方法を提供する。
端末装置がサービス提供者装置からサービスを享受する場合、サービス提供者装置は自身の属性証明書を提示するとともに、該属性証明書の検証装置を指定することができ、端末装置は指定された属性証明書検証装置に問い合わせを行うことにより属性証明書の有効性が確認できる方法およびその方法が適用されるシステムを提供する。
具体的には、サービス提供者装置が、属性証明書検証装置の問い合わせ先の情報を含む接続情報を、暗号通信を開始する処理の前に、あらかじめ端末装置に提示し、端末装置は、暗号通信の開始処理中に、指定された属性証明書検証装置に対して属性証明書の検証要求を行い、属性証明書の有効性を確認する。
本発明の一態様は、サービスを享受する端末装置と、サービスの提供を行うサービス提供者装置と、公開鍵証明書を検証する公開鍵証明書検証装置と、属性証明書を検証する属性証明書検証装置と、属性証明書を配布する属性証明書提供装置と、が接続するネットワークと、からなる属性証明書検証システムであって、
サービス提供者装置は、ネットワークに接続されデータの送受信を行う通信部と、端末装置と暗号通信を行うための公開鍵証明書および秘密鍵を保管する鍵保管部と、端末装置に対してサービスの提供を行うサービス提供部と、を備え、
公開鍵証明書検証装置は、ネットワークに接続されデータの送受信を行う通信部と、公開鍵証明書検証要求に従い公開鍵証明書の有効性を検証する公開鍵証明書検証部と、該公開鍵証明書検証部が公開鍵証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
属性証明書検証装置は、ネットワークに接続されデータの送受信を行う通信部と、属性証明書検証要求に従い属性証明書の有効性を検証する属性証明書検証部と、該属性証明書検証部が属性証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
属性証明書提供装置は、ネットワークに接続されデータの送受信を行う通信部と、属性証明書提示要求に従い属性証明書を提供する属性証明書提供部と、該属性証明書提供部が提供する属性証明書を保管する属性証明書保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、を保管する鍵保管部と、を備え、
端末装置は、ネットワークに接続されデータの送受信を行う通信部と、サービス提供者装置からのサービスを受けるサービス享受部と、ネットワークに接続されたサービス提供者装置と、公開鍵証明書検証装置と、属性証明書検証装置と、属性証明書提供装置と、暗号通信を行うために使う鍵と、公開鍵証明書検証装置から受信する公開鍵証明書検証結果の署名を検証する鍵と、属性証明書検証装置から受信する属性証明書検証結果の署名を検証する鍵と、を保管する鍵保管部と、を備えることを特徴とする。
サービス提供者装置は、ネットワークに接続されデータの送受信を行う通信部と、端末装置と暗号通信を行うための公開鍵証明書および秘密鍵を保管する鍵保管部と、端末装置に対してサービスの提供を行うサービス提供部と、を備え、
公開鍵証明書検証装置は、ネットワークに接続されデータの送受信を行う通信部と、公開鍵証明書検証要求に従い公開鍵証明書の有効性を検証する公開鍵証明書検証部と、該公開鍵証明書検証部が公開鍵証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
属性証明書検証装置は、ネットワークに接続されデータの送受信を行う通信部と、属性証明書検証要求に従い属性証明書の有効性を検証する属性証明書検証部と、該属性証明書検証部が属性証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
属性証明書提供装置は、ネットワークに接続されデータの送受信を行う通信部と、属性証明書提示要求に従い属性証明書を提供する属性証明書提供部と、該属性証明書提供部が提供する属性証明書を保管する属性証明書保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、を保管する鍵保管部と、を備え、
端末装置は、ネットワークに接続されデータの送受信を行う通信部と、サービス提供者装置からのサービスを受けるサービス享受部と、ネットワークに接続されたサービス提供者装置と、公開鍵証明書検証装置と、属性証明書検証装置と、属性証明書提供装置と、暗号通信を行うために使う鍵と、公開鍵証明書検証装置から受信する公開鍵証明書検証結果の署名を検証する鍵と、属性証明書検証装置から受信する属性証明書検証結果の署名を検証する鍵と、を保管する鍵保管部と、を備えることを特徴とする。
さらに、端末装置のサービス享受部は、端末装置の通信部を経由し、サービス提供者装置に対して接続情報要求を送信し、
サービス提供者装置のサービス提供部は、接続情報要求に従い、サービス提供者装置の通信部を経由し、端末装置に対して接続情報を送信し、
端末装置のサービス享受部は、接続情報に従い、サービス提供者装置に対して接続要求を送信し、
サービス提供者装置のサービス提供部は、接続要求に従い、暗号通信開始処理を行い、暗号通信情報と、サービス提供者装置の公開鍵証明書を、端末装置に対して送信し、
端末装置のサービス享受部は、受信したサービス提供者装置の公開鍵証明書の検証要求を、公開鍵証明書検証装置に対して送信し、
公開鍵証明書検証装置の公開鍵証明書検証部は、失効リスト保管部を参照し、公開鍵証明書の検証要求で示される公開鍵証明書の有効性を検証し、公開鍵証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および公開鍵証明書検証結果を、端末装置に対して送信し、
端末装置は、受信した公開鍵証明書検証結果として公開鍵証明書が有効でなく、または、公開鍵証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、端末装置のサービス享受部は、属性証明書提供要求を、属性明書提供装置に対して送信し、
属性証明書提供装置の属性証明書提供部は、属性証明書保管部を参照し、属性証明書提供要求で示される属性証明書を、端末装置に対して送信し、
端末装置のサービス享受部は、受信したサービス提供者装置の属性証明書の検証要求を、属性証明書検証装置に対して送信し、
属性証明書検証装置の属性証明書検証部は、失効リスト保管部を参照し、属性証明書の検証要求で示される属性証明書の有効性を検証し、属性証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および属性証明書検証結果を、端末装置に対して送信し、
端末装置は、受信した属性証明書検証結果として属性証明書が有効でなく、または、属性証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、暗号通信開始処理を行う、ことを特徴とする。
サービス提供者装置のサービス提供部は、接続情報要求に従い、サービス提供者装置の通信部を経由し、端末装置に対して接続情報を送信し、
端末装置のサービス享受部は、接続情報に従い、サービス提供者装置に対して接続要求を送信し、
サービス提供者装置のサービス提供部は、接続要求に従い、暗号通信開始処理を行い、暗号通信情報と、サービス提供者装置の公開鍵証明書を、端末装置に対して送信し、
端末装置のサービス享受部は、受信したサービス提供者装置の公開鍵証明書の検証要求を、公開鍵証明書検証装置に対して送信し、
公開鍵証明書検証装置の公開鍵証明書検証部は、失効リスト保管部を参照し、公開鍵証明書の検証要求で示される公開鍵証明書の有効性を検証し、公開鍵証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および公開鍵証明書検証結果を、端末装置に対して送信し、
端末装置は、受信した公開鍵証明書検証結果として公開鍵証明書が有効でなく、または、公開鍵証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、端末装置のサービス享受部は、属性証明書提供要求を、属性明書提供装置に対して送信し、
属性証明書提供装置の属性証明書提供部は、属性証明書保管部を参照し、属性証明書提供要求で示される属性証明書を、端末装置に対して送信し、
端末装置のサービス享受部は、受信したサービス提供者装置の属性証明書の検証要求を、属性証明書検証装置に対して送信し、
属性証明書検証装置の属性証明書検証部は、失効リスト保管部を参照し、属性証明書の検証要求で示される属性証明書の有効性を検証し、属性証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および属性証明書検証結果を、端末装置に対して送信し、
端末装置は、受信した属性証明書検証結果として属性証明書が有効でなく、または、属性証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、暗号通信開始処理を行う、ことを特徴とする。
さらに、端末装置から送信する公開鍵証明書検証要求は、サービス提供者装置から送信された接続情報に含まれる公開鍵証明書検証装置の宛て先で示される公開鍵証明書検証装置に対して送信する、ことを特徴とする。
さらに、端末装置から送信する属性証明書提供要求は、サービス提供者装置から送信された接続情報に含まれる属性証明書提供装置の宛て先で示される属性証明書提供装置に対して送信する、ことを特徴とする。
さらに、端末装置から送信する属性証明書検証要求は、サービス提供者装置から送信された接続情報に含まれる属性証明書検証装置の宛て先で示される属性証明書検証装置に対して送信する、ことを特徴とする。
さらに、属性証明書検証要求は、端末装置がサービス提供者装置から受信したサービス提供者装置の公開鍵証明書を、含むことを特徴とする。
本発明によれば、サービス提供者装置が属性証明書を提示する際に、その属性証明書の検証装置への問い合わせ先を指定でき、端末装置はその指定に従い属性証明書の有効性を確認することが可能になる。
本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。
図1は、本発明の一実施形態が適用された属性証明書検証システムの構成図である。
本実施形態の属性証明書検証システムは、図1に示すように、
サービスを享受する端末装置(10)と、サービスの提供を行うサービス提供者装置(20)と、公開鍵証明書を検証する公開鍵証明書検証装置(30)と、属性証明書を検証する属性証明書検証装置(40)と、属性証明書を配布する属性証明書提供装置(50)と、がインターネットなどのネットワーク(60)を介して、互いに接続されて構成されている。
サービスを享受する端末装置(10)と、サービスの提供を行うサービス提供者装置(20)と、公開鍵証明書を検証する公開鍵証明書検証装置(30)と、属性証明書を検証する属性証明書検証装置(40)と、属性証明書を配布する属性証明書提供装置(50)と、がインターネットなどのネットワーク(60)を介して、互いに接続されて構成されている。
前記サービス提供者装置(20)は、前記ネットワーク(60)に接続されデータの送受信を行う通信部(201)と、前記端末装置と暗号通信を行うための公開鍵証明書および秘密鍵を保管する鍵保管部(203)と、前記端末装置に対してサービスの提供を行うサービス提供部(202)と、を含む。
前記公開鍵証明書検証装置(30)は、前記ネットワーク(60)に接続されデータの送受信を行う通信部(301)と、公開鍵証明書検証要求に従い公開鍵証明書の有効性を検証する公開鍵証明書検証部(302)と、該公開鍵証明書検証部が公開鍵証明書の検証を行うために参照する失効リストを保管する失効リスト保管部(304)と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部(303)と、を含む。
前記属性証明書検証装置(40)は、前記ネットワーク(60)に接続されデータの送受信を行う通信部(401)と、属性証明書検証要求に従い属性証明書の有効性を検証する属性証明書検証部(402)と、該属性証明書検証部が属性証明書の検証を行うために参照する失効リストを保管する失効リスト保管部(404)と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部(403)と、を含む。
前記属性証明書提供装置(50)は、前記ネットワーク(60)に接続されデータの送受信を行う通信部(501)と、属性証明書提供要求に従い属性証明書を提供する属性証明書提供部(502)と、該属性証明書提供部が提供する属性証明書を保管する属性証明書保管部(504)と、暗号通信を行うための公開鍵証明書および秘密鍵と、を保管する鍵保管部(503)と、を含む。
前記端末装置(10)は、前記ネットワーク(60)に接続されデータの送受信を行う通信部(101)と、前記サービス提供者装置からのサービスを受けるサービス享受部(102)と、前記ネットワークに接続された前記サービス提供者装置(20)と、前記公開鍵証明書検証装置(30)と、属性証明書検証装置(40)と、属性証明書提供装置(50)と、暗号通信を行うために使う鍵と、前記公開鍵証明書検証装置(30)から受信する公開鍵証明書検証結果の署名を検証する鍵と、前記属性証明書検証装置(40)から受信する属性証明書検証結果の署名を検証する鍵と、を保管する鍵保管部(103)と、を含む。
図2は端末装置(10)のハードウェア構成図である。端末装置(10)は、通信装置(11)と、入出力装置(12)と、補助記憶装置(13)と、CPU(14)と主記憶装置(15)と、読取装置(16)とがバスなどの内部通信線(18)で連結され、記憶媒体(17)を含めて構成されている。
サービス提供者装置(20)と、公開鍵証明書検証装置(30)と、属性証明書検証装置(40)と、属性証明書提供装置(50)のハードウェア構成は端末装置(10)のハードウェア構成と同様である。
図3は、端末装置(10)が、サービス提供者装置(20)に対して接続要求を行い、暗号通信が開始されるまでのフロー図である。端末装置(10)は、このフローの終了後、サービス提供者装置(20)と暗号通信が開始され、安全にサービスを享受することができるようになる。
まず、端末装置(10)のサービス享受部(102)は、通信部(101)を経由し、サービス提供者装置(20)に対して接続情報要求(A101)を送信する。サービス提供者装置(20)のサービス提供部(202)は、接続情報要求(A101)に従い、サービス提供者装置(20)の通信部(201)を経由し、端末装置(10)に対して接続情報(A201)を送信する。
次に、端末装置(10)のサービス享受部(102)は、接続情報(A201)に従い、サービス提供者装置(20)に対して接続要求(A102)を送信する。サービス提供者装置(20)のサービス提供部(202)は、接続要求(A102)に従い、暗号通信開始処理(ステップS202)を行い、セッション鍵情報や乱数などを含む暗号通信情報(A202)と、サービス提供者装置(20)の公開鍵証明書(A203)を、端末装置(10)に対して送信する。
次に、端末装置(10)のサービス享受部(102)は、受信したサービス提供者装置(20)の公開鍵証明書(A203)の検証要求(A103)を、サービス提供者装置(20)から送信された接続情報(A201)に含まれる公開鍵証明書検証装置の宛て先で示される公開鍵証明書検証装置(30)に対して送信する。公開鍵証明書検証装置(30)の公開鍵証明書検証部(302)は、失効リスト保管部(304)を参照し、公開鍵証明書の検証要求(A103)で示される公開鍵証明書(A203)の有効性を検証し(ステップS301)、公開鍵証明書検証装置(30)の鍵保管部(403)で保管されている書名生成用の鍵で検証結果に対して署名を行い、該署名値(A304)および公開鍵証明書検証結果(A303)を、端末装置(10)に対して送信する。
次に、端末装置(10)は、受信した公開鍵証明書検証結果(A303)より公開鍵証明書(A203)が有効であることを確認し、さらに、公開鍵証明書検証結果の署名値(A304)が正当性あることを確認する(ステップS104)。公開鍵証明書(A203)が有効でない、あるいは、公開鍵証明書検証結果の署名値(A304)が正当でない場合には接続失敗の処理を行い、接続は終了する(ステップS106)。そうでなければ次のステップに進む。
次に、端末装置(10)のサービス享受部(102)は、属性証明書提供要求(A104)を、サービス提供者装置(20)から送信された前記接続情報(A201)に含まれる属性証明書提供装置の宛て先で示される属性証明書提供装置(50)に対して送信する。属性証明書提供装置(50)の属性証明書提供部(502)は、属性証明書保管部(504)を参照し、属性証明書提供要求(A104)で示される属性証明書(A504)を、端末装置(10)に対して送信する。
次に、端末装置(10)のサービス享受部(102)は、受信したサービス提供者装置(20)の属性証明書(A504)の検証要求(A105)を、サービス提供者装置(20)から送信された前記接続情報(A201)に含まれる属性証明書提供装置の宛て先で示される属性証明書検証装置(40)に対して送信する。属性証明書検証装置(40)の属性証明書検証部(402)は、失効リスト保管部(404)を参照し、属性証明書(A504)の検証要求(A105)で示される属性証明書の有効性を検証し、属性証明書検証装置(40)の鍵保管部(503)で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名値(A406)および属性証明書検証結果(A405)を、端末装置(10)に対して送信する。
次に、端末装置(10)は、受信した属性証明書検証結果(A405)より属性証明書(A504)が有効であることを確認し、さらに、属性証明書検証結果の署名値(A406)が正当性あることを確認する(ステップS108)。属性証明書(A504)が有効でない、あるいは、属性証明書検証結果の署名値(A406)が正当性ない場合には接続失敗の処理を行い、接続は終了する(ステップS109)。そうでなければ暗号通信開始処理(ステップS110)を行い、暗号通信を開始し、前記サービス提供者装置(20)から送信された前記接続情報(A201)に含まれる、接続成功時に表示するURLで示されるサービスを表示する。
図4はサービス提供者装置(20)から端末装置(10)に送信される接続情報(A201)の詳細図である。接続情報(A201)は、接続成功時に表示するURL(A2011)と、接続失敗時に表示するURL(A2012)と、公開鍵証明書検証装置の宛て先(A2013)と、属性証明書検証装置の宛て先(A2014)と、属性証明書提供装置の宛て先(A2015)で構成されている。
なお、本発明は、上記の本実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
たとえば、図1においてサービス提供者装置(20)と、属性証明書提供装置(50)は、独立した装置として記載しているが、サービス提供者装置(20)が、属性証明書提供部(502)および属性証明書保管部(504)を持ち、端末装置(10)に対して属性証明書(A504)を提供しても良い。
また、図4において、属性証明書の検証結果の検証(ステップS108)の後で暗号通信開始処理が行われているが、公開鍵証明書の検証結果の検証(ステップS104)の直後で暗号通信処理を開始し、属性証明書の確認の必要がある場合に限り、それ以降の処理に進んでも良い。ただしその場合にも暗号通信開始処理でサービス提供者装置(20)から受信した公開鍵証明書(A203)を、属性証明書検証要求(A105)に含めなければならない。
また、図4の接続情報(A201)に公開鍵証明書検証装置の宛て先が記載されていない場合には、端末装置にあらかじめ設定された宛て先の公開鍵証明書検証装置に公開鍵証明書検証要求を送信しても良い。また、図4の接続情報(A201)に属性証明書検証装置の宛て先が記載されていない場合には、端末装置にあらかじめ設定された宛て先の属性証明書検証装置に属性証明書検証要求を送信しても良い。また、図4の接続情報(A201)に属性証明書提供装置の宛て先が記載されていない場合には、端末装置にあらかじめ設定された宛て先の属性証明書提供装置に属性証明書提供要求を送信しても良い。
10:端末装置、11:通信装置、12:入出力装置、13:補助記憶装置、14:CPU、15:主記憶装置、16、読取装置、17、記憶媒体、18:内部通信線、20:サービス提供者装置、30:公開鍵証明書検証装置、40:属性証明書検証装置、50:属性証明書提供装置、60:ネットワーク、101:通信部、102:サービス享受部、103:鍵保管部、201:通信部、202:サービス提供部、203:鍵保管部、204:属性証明書保管部、301:通信部、302:公開鍵証明書検証部、303:鍵保管部、304:失効リスト保管部、401:通信部、402:属性証明書検証部、403:鍵保管部、404:失効リスト保管部、
501:通信部、502:属性証明書提供部、503:鍵保管部、504:属性証明書保管部、A101:接続情報要求、A201:接続情報、A102:接続要求、A202:暗号通信情報、A203:公開鍵証明書、A103:公開鍵証明書検証要求、A303:公開鍵証明書検証結果、A304:署名値、A104:属性証明書提供要求、A504:属性証明書、A105:属性証明書検証要求、A405:属性証明書検証結果、A406:署名値、A2011:接続成功時に表示するURL、A2012:接続失敗時に表示するURL、A2013:公開鍵証明書検証装置の宛て先、A2014:属性証明書検証装置の宛て先、A2015:属性証明書提供装置の宛て先
501:通信部、502:属性証明書提供部、503:鍵保管部、504:属性証明書保管部、A101:接続情報要求、A201:接続情報、A102:接続要求、A202:暗号通信情報、A203:公開鍵証明書、A103:公開鍵証明書検証要求、A303:公開鍵証明書検証結果、A304:署名値、A104:属性証明書提供要求、A504:属性証明書、A105:属性証明書検証要求、A405:属性証明書検証結果、A406:署名値、A2011:接続成功時に表示するURL、A2012:接続失敗時に表示するURL、A2013:公開鍵証明書検証装置の宛て先、A2014:属性証明書検証装置の宛て先、A2015:属性証明書提供装置の宛て先
Claims (6)
- 属性証明書検証システムであって、
サービスを享受する端末装置と、
サービスの提供を行うサービス提供者装置と、
公開鍵証明書を検証する公開鍵証明書検証装置と、
属性証明書を検証する属性証明書検証装置と、
属性証明書を配布する属性証明書提供装置と、が接続するネットワークと、からなり、
前記サービス提供者装置は、
前記ネットワークに接続されデータの送受信を行う通信部と、前記端末装置と暗号通信を行うための公開鍵証明書および秘密鍵を保管する鍵保管部と、前記端末装置に対してサービスの提供を行うサービス提供部と、を備え、
前記公開鍵証明書検証装置は、
前記ネットワークに接続されデータの送受信を行う通信部と、公開鍵証明書検証要求に従い公開鍵証明書の有効性を検証する公開鍵証明書検証部と、該公開鍵証明書検証部が公開鍵証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
前記属性証明書検証装置は、
前記ネットワークに接続されデータの送受信を行う通信部と、属性証明書検証要求に従い属性証明書の有効性を検証する属性証明書検証部と、該属性証明書検証部が属性証明書の検証を行うために参照する失効リストを保管する失効リスト保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、検証結果に対して署名を付与するための鍵と、を保管する鍵保管部と、を備え、
前記属性証明書提供装置は、
前記ネットワークに接続されデータの送受信を行う通信部と、属性証明書提示要求に従い属性証明書を提供する属性証明書提供部と、該属性証明書提供部が提供する属性証明書を保管する属性証明書保管部と、暗号通信を行うための公開鍵証明書および秘密鍵と、を保管する鍵保管部と、を備え、
前記端末装置は、
前記ネットワークに接続されデータの送受信を行う通信部と、前記サービス提供者装置からのサービスを受けるサービス享受部と、前記ネットワークに接続された前記サービス提供者装置と、前記公開鍵証明書検証装置と、前記属性証明書検証装置と、前記属性証明書提供装置と、暗号通信を行うために使う鍵と、前記公開鍵証明書検証装置から受信する公開鍵証明書検証結果の署名を検証する鍵と、前記属性証明書検証装置から受信する属性証明書検証結果の署名を検証する鍵と、を保管する鍵保管部と、を備える
ことを特徴とする属性証明書検証システム。 - 請求項1に記載の属性証明書検証システムであって、
前記端末装置の前記サービス享受部は、前記端末装置の前記通信部を経由し、前記サービス提供者装置に対して接続情報要求を送信し、
前記サービス提供者装置のサービス提供部は、前記接続情報要求に従い、前記サービス提供者装置の通信部を経由し、前記端末装置に対して接続情報を送信し、
前記端末装置のサービス享受部は、前記接続情報に従い、前記サービス提供者装置に対して接続要求を送信し、
前記サービス提供者装置のサービス提供部は、前記接続要求に従い、暗号通信開始処理を行い、暗号通信情報と、前記サービス提供者装置の公開鍵証明書を、前記端末装置に対して送信し、
前記端末装置のサービス享受部は、受信した前記サービス提供者装置の公開鍵証明書の検証要求を、前記公開鍵証明書検証装置に対して送信し、
前記公開鍵証明書検証装置の公開鍵証明書検証部は、前記失効リスト保管部を参照し、前記公開鍵証明書の検証要求で示される公開鍵証明書の有効性を検証し、前記公開鍵証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および公開鍵証明書検証結果を、前記端末装置に対して送信し、
前記端末装置は、受信した公開鍵証明書検証結果として公開鍵証明書が有効でなく、または、公開鍵証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、
前記端末装置のサービス享受部は、属性証明書提供要求を、前記属性明書提供装置に対して送信し、
前記属性証明書提供装置の属性証明書提供部は、前記属性証明書保管部を参照し、前記属性証明書提供要求で示される属性証明書を、前記端末装置に対して送信し、
前記端末装置のサービス享受部は、受信した前記サービス提供者装置の属性証明書の検証要求を、前記属性証明書検証装置に対して送信し、
前記属性証明書検証装置の属性証明書検証部は、前記失効リスト保管部を参照し、前記属性証明書の検証要求で示される属性証明書の有効性を検証し、前記属性証明書検証装置の鍵保管部で保管されている署名生成用の鍵で検証結果に対して署名を行い、該署名および属性証明書検証結果を、前記端末装置に対して送信し、
前記端末装置は、受信した属性証明書検証結果として属性証明書が有効でなく、または、属性証明書検証結果の署名が正当性でない場合に、接続失敗処理を行い、そうでない場合に、暗号通信開始処理を行う、
ことを特徴とする属性証明書検証方法。 - 請求項2記載の属性証明書検証方法であって、
前記端末装置から送信する公開鍵証明書検証要求は、前記サービス提供者装置から送信された前記接続情報に含まれる公開鍵証明書検証装置の宛て先で示される公開鍵証明書検証装置に対して送信する、
ことを特徴とする属性証明書検証方法。 - 請求項2ないし3記載のいずれか一に記載のICカードコマンド転送方法であって、
前記端末装置から送信する属性証明書提供要求は、前記サービス提供者装置から送信された前記接続情報に含まれる属性証明書提供装置の宛て先で示される属性証明書提供装置に対して送信する、
ことを特徴とする属性証明書検証方法。 - 請求項2ないし4記載のいずれか一に記載のICカードコマンド転送方法であって、
前記端末装置から送信する属性証明書検証要求は、前記サービス提供者装置から送信された前記接続情報に含まれる属性証明書検証装置の宛て先で示される属性証明書検証装置に対して送信する、
ことを特徴とする属性証明書検証方法。 - 請求項2ないし5記載のいずれか一に記載のICカードコマンド転送方法であって、
前記属性証明書検証要求は、前記端末装置が前記サービス提供者装置から受信した前記サービス提供者装置の公開鍵証明書を、含む
ことを特徴とする属性証明書検証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006092776A JP2007267299A (ja) | 2006-03-30 | 2006-03-30 | 属性証明書検証システムおよびその方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006092776A JP2007267299A (ja) | 2006-03-30 | 2006-03-30 | 属性証明書検証システムおよびその方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007267299A true JP2007267299A (ja) | 2007-10-11 |
Family
ID=38639799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006092776A Pending JP2007267299A (ja) | 2006-03-30 | 2006-03-30 | 属性証明書検証システムおよびその方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007267299A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010518758A (ja) * | 2007-02-09 | 2010-05-27 | ソニー株式会社 | 通信インターフェイスを許可するための方法及び装置 |
JP2011041080A (ja) * | 2009-08-13 | 2011-02-24 | Konica Minolta Business Technologies Inc | 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム |
CN109951452A (zh) * | 2019-02-26 | 2019-06-28 | 北京深思数盾科技股份有限公司 | 一种处理密码学任务的方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005328407A (ja) * | 2004-05-17 | 2005-11-24 | Hitachi Ltd | 属性証明書検証方法及び装置 |
JP2006074425A (ja) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム |
-
2006
- 2006-03-30 JP JP2006092776A patent/JP2007267299A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005328407A (ja) * | 2004-05-17 | 2005-11-24 | Hitachi Ltd | 属性証明書検証方法及び装置 |
JP2006074425A (ja) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 公開鍵証明書検証装置及び公開鍵証明書検証方法及びプログラム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010518758A (ja) * | 2007-02-09 | 2010-05-27 | ソニー株式会社 | 通信インターフェイスを許可するための方法及び装置 |
JP2011041080A (ja) * | 2009-08-13 | 2011-02-24 | Konica Minolta Business Technologies Inc | 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム |
CN109951452A (zh) * | 2019-02-26 | 2019-06-28 | 北京深思数盾科技股份有限公司 | 一种处理密码学任务的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102868665B (zh) | 数据传输的方法及装置 | |
US8484708B2 (en) | Delegating authentication using a challenge/response protocol | |
US20090276848A1 (en) | Device authentication apparatus, service control apparatus, service request apparatus, device authentication method, service control method, and service request method | |
KR100990320B1 (ko) | 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템 | |
US7689828B2 (en) | System and method for implementing digital signature using one time private keys | |
EP2905719B1 (en) | Device and method certificate generation | |
US8800013B2 (en) | Devolved authentication | |
Pritikin et al. | Enrollment over secure transport | |
JP5475035B2 (ja) | 認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラム | |
JP2008511232A (ja) | 制御認証のためのパーソナルトークンおよび方法 | |
TWI499257B (zh) | 建立密碼之方法,用於該方法之網路前端及接收器以及傳送訊號之方法 | |
KR20010108150A (ko) | 보안 마이크로프로세서에서 복호화를 사용하는 인증 및단일 트랜젝션의 인증을 시행하는 방법 | |
JP2009140275A (ja) | 非接触icカード認証システム | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
JP6571890B1 (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
CN107248997B (zh) | 多服务器环境下基于智能卡的认证方法 | |
JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
US8504832B2 (en) | Mobile terminal for sharing resources, method of sharing resources within mobile terminal and method of sharing resources between web server and terminal | |
JP2007267299A (ja) | 属性証明書検証システムおよびその方法 | |
CN111225001B (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
TW200803392A (en) | Method, device, server arrangement, system and computer program products for securely storing data in a portable device | |
CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
CA2474144C (en) | Method for securing data traffic in a mobile network environment | |
KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
CN114158046A (zh) | 一键登录业务的实现方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081222 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110520 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110531 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111004 |