JP2009290508A - Electronized information distribution system, client device, server device and electronized information distribution method - Google Patents
Electronized information distribution system, client device, server device and electronized information distribution method Download PDFInfo
- Publication number
- JP2009290508A JP2009290508A JP2008140350A JP2008140350A JP2009290508A JP 2009290508 A JP2009290508 A JP 2009290508A JP 2008140350 A JP2008140350 A JP 2008140350A JP 2008140350 A JP2008140350 A JP 2008140350A JP 2009290508 A JP2009290508 A JP 2009290508A
- Authority
- JP
- Japan
- Prior art keywords
- client
- information
- certificate
- client device
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明はネットワーク上で電子化情報を受け渡すシステムにおいて、限定した接続機器にのみ、その電子化情報の配布を可能にする電子化情報配布システム、クライアント装置、サーバ装置および電子化情報配布方法に関する。 The present invention relates to a computerized information distribution system, a client device, a server device, and a computerized information distribution method capable of distributing the computerized information only to a limited number of connected devices in a system for transferring computerized information over a network. .
インターネットの利用方法の一つとして、サーバの保有する電子化情報(以下、「コンテンツ」ともいう)を特定のクライアントにのみ配布可能とするサービスが挙げられる。一般的にクライアントはネットワークに接続されたパーソナルコンピュータ(以下、「PC」という)であり、コンテンツは種々のデータファイルや映像、画像、動画、音楽等のファイルである。 One method of using the Internet is a service that enables distribution of digitized information (hereinafter also referred to as “content”) held by a server only to specific clients. In general, the client is a personal computer (hereinafter referred to as “PC”) connected to a network, and the contents are various data files and files such as videos, images, moving images, and music.
ネットワーク上でクライアントへのファイル配布を制限する代表的な方法は、利用者識別符号(以下、「ID」という)とパスワードを用いる方法である。 A typical method for restricting file distribution to clients on a network is a method using a user identification code (hereinafter referred to as “ID”) and a password.
ID、パスワードを用いて制限運用をしている例は数多いが、例えば特許文献1にその記載がある。この特許文献1の主たる目的は、ネットワーク上に登録した複数の写真アルバムと、そのアルバム別に検索制限を行うための仕組みを提案するものであるが、その中で検索制限を行う一般的な仕組みとして、そのサービスを利用するために登録して得たID、およびさらに制限レベルを高めるためのパスワードによる検索管理方法が述べられている。当然のことながら、検索を許可される検索者に対しては、事前にID、パスワードのいずれか、あるいは両方を知らせておく必要がある。
There are many examples of restricting operations using IDs and passwords. For example,
一方、上記のID、パスワードを用いずにサーバへの接続を制限する方法として、公開鍵暗号を用いた機器認証システムの利用が挙げられる。例えば特許文献2では、通信ネットワークに接続された映像入出力機器が、同じネットワーク内に存在する公開鍵証明書の発行装置からの証明書を受けて、ネットワーク上の操作を行う仕組みが記載されている。
上記の特許文献1のようにIDとパスワードを用いる方法では、PC利用者は事前にそのIDとパスワードを入手して記憶しておき、サーバにアクセスしてコンテンツを取得する度にIDとパスワードを入力する必要がある。またIDとパスワードが第三者に漏洩した場合には、本来の保有者と異なる保有者のPCからも簡単にサーバに接続されるので、セキュリティの観点で十分安全な方式とは言えない。さらに、この危険性を低減するためには、IDとパスワードの一方あるいは両方を定期的に更新することが望ましいが、利用者にとっては非常に煩わしく使い勝手のよくないシステムとなる。
In the method using the ID and password as in
一方、特許文献2に記載されている公開鍵による機器認証方法は、最近多く利用されるようになってきているが、利用者機器(通常はPC)が特定のサービスを受けるための機器認証を行うことが目的であり、配布されるコンテンツの暗号化は追加的に他の方法を別途用意することが必要である。また公開鍵を生成するためのアルゴリズムが通常、PC内のソフトウェアで実行されるため、このソフトウェア自体を盗聴される危険性も存在している。
On the other hand, the device authentication method using a public key described in
本発明は上記課題を解決するためになされたものであり、コンテンツの正規の利用者がセキュリティを意識することなくコンテンツにアクセスして利用しても、高度なセキュリティを維持できる電子化情報配布システム、クライアント装置、サーバ装置および電子化情報配布方法を提供することを目的とする。 The present invention has been made to solve the above problems, and an electronic information distribution system capable of maintaining a high level of security even if an authorized user of content accesses and uses the content without being aware of security. An object of the present invention is to provide a client device, a server device, and an electronic information distribution method.
上述の目的を達成するために、本発明の請求項1に係る電子化情報配布システムは、電子化情報を配布するサーバ装置と、電子化情報を受け取るクライアント装置とがネットワークに接続された電子化情報配布システムであって、クライアント装置は、クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、サーバ装置より配布された暗号化電子化情報をクライアント秘密鍵で復号する電子化情報復号化部とを備え、サーバ装置は、クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、クライアント装置から受信したクライアント証明書に含まれる情報とサーバ側認証情報保管部に保管されたクライアント情報とを比較することによりクライアント装置の認証を行うクライアント認証部と、クライアント装置から受信したクライアント証明書のクライアント公開鍵で配布する電子化情報を暗号化して暗号化電子化情報を生成する電子化情報暗号化部とを備えた。
In order to achieve the above object, an electronic information distribution system according to
このような構成により、ネットワーク上においてサーバ装置から特定のクライアント装置に対して電子化情報を配布する際に、IDやパスワードが不要でかつ安全性の高い接続機器制約の運用が可能となり、しかも電子化情報の暗号化に別途個別のシステムを用いる必要がないので、サービスの運用や装置の設計負担が軽減される。さらに、正規のサービス利用者がセキュリティを意識せずにシステムにアクセスしても高度なセキュリティが保障されるので安心してサービスを利用することができる。 With this configuration, when distributing computerized information from a server device to a specific client device on a network, it is possible to operate connected device restrictions that do not require an ID or password and are highly secure. Since it is not necessary to use a separate system for encrypting the encrypted information, service operation and device design burden are reduced. Furthermore, even if an authorized service user accesses the system without being aware of security, a high level of security is guaranteed, so the service can be used with peace of mind.
また本発明の請求項2に係る電子化情報配布システムは、電子化情報を配布するサーバ装置と、電子化情報を受け取るクライアント装置とがネットワークに接続された電子化情報配布システムであって、クライアント装置は、クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、サーバ装置より配布された暗号化電子化情報および暗号化共通鍵を受信して、クライアント秘密鍵で暗号化共通鍵を復号する第1の復号化部と、復号された共通鍵で暗号化電子化情報を復号する第2の復号化部とを備え、サーバ装置は、クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、クライアント装置から受信したクライアント証明書に含まれる情報とサーバ側認証情報保管部に保管されたクライアント情報とを比較することによりクライアント装置の認証を行うクライアント認証部と、共通鍵で配布する電子化情報を暗号化して暗号化電子化情報を生成する第1の暗号化部と、クライアント装置から受信したクライアント証明書のクライアント公開鍵で共通鍵を暗号化して暗号化共通鍵を生成する第2の暗号化部とを備えた。
The computerized information distribution system according to
このような構成により、比較的高速の処理が要求さる電子化情報の暗号化は共通鍵方式(秘密鍵方式)を用い、共通鍵の伝送には処理速度は劣るがセキュリティに優れた公開鍵方式を用いることにより、処理速度と安全性を両立した暗号、復号を実現することができる。したがって、音声や動画のように高速のリアルタイム処理を要求される電子化情報を配布したり、リアルタイム処理が不要な場合でも、大容量のデータを短時間で配布することが可能となる。 With such a configuration, a common key method (secret key method) is used for encryption of digitized information that requires relatively high-speed processing, and a public key method that has a low processing speed but excellent security for transmission of the common key. By using, encryption and decryption that achieve both processing speed and safety can be realized. Accordingly, it is possible to distribute digitized information that requires high-speed real-time processing, such as voice and moving images, or to distribute a large amount of data in a short time even when real-time processing is unnecessary.
また本発明の請求項3に係る電子化情報配布システムは、請求項1または請求項2に係る電子化情報配布システムにおいて、サーバ側認証情報保管部に保管されたクライアント情報は、クライアント証明書である。
The computerized information distribution system according to claim 3 of the present invention is the computerized information distribution system according to
このような構成により、サーバ装置はクライアント装置を認証するために、予め信頼できる認証機関で認証されたクライアント証明書を利用するので、より高度なセキュリティを確保することができる。 With such a configuration, the server device uses a client certificate authenticated in advance by a trusted certificate authority in order to authenticate the client device, so that higher security can be ensured.
また本発明の請求項4に係る電子化情報配布システムは、請求項1から請求項3のいずれか1項に係る電子化情報配布システムにおいて、クライアント側認証情報保管部は、クライアント証明書およびクライアント秘密鍵を1個の半導体素子内に内蔵したセキュリティチップによって実現される。
The computerized information distribution system according to claim 4 of the present invention is the computerized information distribution system according to any one of
このような構成により、PC等のクライアント装置内のソフトウェアと独立して機能し、またクライアント装置のハードディスクの外部の基板上に直付けされているセキュリティチップを利用するので、不正なソフトウェア解析やハードディスク盗難に対しても完全に安全性が確保される。また、クライアント装置には、その製品の工場出荷時点ですでに必要な認証情報が書き込まれているため、クライアント装置の使用者は認証情報の設定を行うことも不要である。 With this configuration, the software functions independently from the software in the client device such as a PC and uses a security chip directly attached to the board outside the hard disk of the client device. It is completely secure against theft. In addition, since authentication information necessary for the product at the time of shipment from the factory is already written in the client device, the user of the client device does not need to set authentication information.
また本発明の請求項5に係る電子化情報配布システムは、請求項4に係る電子化情報配布システムにおいて、クライアント証明書の署名情報はクライアント公開鍵から所定のハッシュ関数により発生させたハッシュ値をセキュリティチップの製造会社が提供するベンダー秘密鍵で暗号化したものである。
The electronic information distribution system according to
このような構成により、クライアント証明書の署名情報はベンダー秘密鍵で暗号化されるので、ベンダー秘密鍵を持たない悪意のある第3者による署名情報の改ざんは不可能であり、クライアント証明書の信頼性を確保することができる。 With this configuration, since the signature information of the client certificate is encrypted with the vendor private key, it is impossible for a malicious third party who does not have the vendor private key to alter the signature information. Reliability can be ensured.
また本発明の請求項6に係る電子化情報配布システムは、請求項5に係る電子化情報配布システムにおいて、サーバ装置のクライアント認証部はクライアント装置より受信したクライアント証明書のクライアント公開鍵から所定のハッシュ関数により第1のハッシュ値を生成し、クライアント証明書の署名情報を製造会社から提供されたベンダー公開鍵で復号して第2のハッシュ値を生成し、第1のハッシュ値および第2のハッシュ値を比較してクライアント装置の認証を行う。
The computerized information distribution system according to claim 6 of the present invention is the computerized information distribution system according to
このような構成により、悪意のある第3者によってクライアント公開鍵が改ざんされた場合は、第1のハッシュ値が本来の値から変化するのでクライアント証明書の署名情報(第2のハッシュ値)と比較することにより簡単、確実に改ざんを検出することが可能となる。 With such a configuration, when the client public key is falsified by a malicious third party, the first hash value changes from the original value, so that the signature information (second hash value) of the client certificate and By comparing, it becomes possible to detect tampering easily and reliably.
また本発明の請求項7に係るクライアント装置は、サーバ装置から電子化情報を受け取るクライアント装置であって、クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、サーバ装置より配布された暗号化電子化情報をクライアント秘密鍵で復号する電子化情報復号化部とを備え、クライアント側認証情報保管部は、サーバ装置からの要求に応答してクライアント証明書をサーバ装置へ送信する。 According to a seventh aspect of the present invention, there is provided a client device for receiving computerized information from a server device, wherein the client side authentication information stores a client certificate consisting of a client public key and signature information and a client private key. A storage unit, and an electronic information decryption unit that decrypts the encrypted electronic information distributed from the server device with a client secret key. The client-side authentication information storage unit responds to a request from the server device by a client. Send the certificate to the server device.
また本発明の請求項8に係るサーバ装置は、クライアント装置からの要求に対して電子化情報を配布するサーバ装置であって、クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、クライアント装置から受信した電子化情報の要求に応答し、クライアント装置に対しクライアント証明書を要求することでクライアント装置のクライアント証明書を受信し、受信したクライアント証明書に含まれる情報とサーバ側認証情報保管部に保管されたクライアント情報とを比較することによりクライアント装置の認証を行うクライアント認証部と、クライアント装置から受信したクライアント証明書のクライアント公開鍵で電子化情報を暗号化して暗号化電子化情報を生成し、クライアント装置へ送信する電子化情報暗号化部とを備えた。 A server apparatus according to claim 8 of the present invention is a server apparatus that distributes computerized information in response to a request from a client apparatus, and stores server information registered in advance to authenticate the client apparatus. The client certificate of the client device is received by requesting the client certificate from the client device in response to the request for the digitized information received from the client side authentication information storage unit and the client device, and included in the received client certificate The client authentication unit authenticates the client device by comparing the stored information with the client information stored in the server-side authentication information storage unit, and encrypts the digitized information with the client public key of the client certificate received from the client device. To generate encrypted electronic information and send it to the client device And a electronic information encrypting unit for signal.
また本発明の請求項9に係るクライアント装置は、サーバ装置から電子化情報を受け取るクライアント装置であって、クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、サーバ装置より配布された暗号化電子化情報および暗号化共通鍵を受信して、クライアント秘密鍵で暗号化共通鍵を復号する第1の復号化部と、復号された共通鍵で暗号化電子化情報を復号する第2の復号化部とを備え、クライアント側認証情報保管部は、サーバ装置からの要求に応答してクライアント証明書をサーバ装置へ送信する。 A client device according to claim 9 of the present invention is a client device that receives computerized information from a server device, and stores client-side authentication information that stores a client certificate composed of a client public key and signature information and a client private key. The storage unit, the first decryption unit that receives the encrypted computerized information and the encrypted common key distributed from the server device, and decrypts the encrypted common key with the client secret key, and the decrypted common key A second decryption unit that decrypts the encrypted digitized information, and the client side authentication information storage unit transmits a client certificate to the server device in response to a request from the server device.
また本発明の請求項10に係るサーバ装置は、クライアント装置からの要求に対して電子化情報を配布するサーバ装置であって、クライアント装置を認証するためにあらかじめ登録されたクライアント情報を保管するサーバ側認証情報保管部と、クライアント装置から受信した電子化情報の要求に応答し、クライアント装置に対しクライアント証明書を要求することでクライアント装置のクライアント証明書を受信し、受信したクライアント証明書に含まれる情報とサーバ側認証情報保管部に保管されたクライアント情報とを比較することによりクライアント装置の認証を行うクライアント認証部と、共通鍵で電子化情報を暗号化して暗号化電子化情報を生成し、クライアント装置へ送信する第1の暗号化部と、クライアント装置から受信したクライアント証明書のクライアント公開鍵で共通鍵を暗号化して暗号化共通鍵を生成し、クライアント装置へ送信する第2の暗号化部とを備えた。 A server device according to claim 10 of the present invention is a server device that distributes computerized information in response to a request from a client device, and that stores client information registered in advance to authenticate the client device. The client certificate of the client device is received by requesting the client certificate from the client device in response to the request for the digitized information received from the client side authentication information storage unit and the client device, and included in the received client certificate Authentication information is compared with the client information stored in the server-side authentication information storage unit, the client authentication unit authenticates the client device, and the encrypted information is generated by encrypting the digitized information with a common key. A first encryption unit to be transmitted to the client device, and received from the client device It encrypts the common key with the client's public key of the client certificate to generate encrypted common key, and a second encryption unit for transmitting to the client device.
また本発明の請求項11に係る電子化情報配布方法は、電子化情報を配布するサーバ装置と、電子化情報を受け取るクライアント装置とがネットワークに接続された電子化情報配布システムにおける電子化情報配布方法であって、クライアント装置からサーバ装置へ電子化情報の配布要求を送信する配布要求送信ステップと、配布要求を受信したサーバ装置からクライアント装置へクライアント証明書を要求するクライアント証明書要求ステップと、クライアント装置にはクライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵が格納されており、クライアント装置はクライアント証明書を読み出してサーバ装置へ送信するクライアント証明書送信ステップと、サーバ装置にはクライアント装置を認証するためのクライアント証明書が予め登録されており、登録されているクライアント証明書とクライアント装置から受信したクライアント証明書とを比較することによりクライアント装置を認証する認証ステップと、認証ステップにおいてクライアント装置が正規と認証された場合には、受信したクライアント証明書のクライアント公開鍵で電子化情報を暗号化して暗号化電子化情報を生成する暗号化ステップと、サーバ装置からクライアント装置へ暗号化電子化情報を送信する電子化情報送信ステップと、クライアント装置はクライアント装置に格納されているクライアント秘密鍵で受信した暗号化電子化情報を復号する復号化ステップとを備えた。 According to an eleventh aspect of the present invention, there is provided an electronic information distribution method in an electronic information distribution system in which a server device that distributes electronic information and a client device that receives the electronic information are connected to a network. A method for transmitting a distribution request for electronic information from a client device to a server device; a client certificate requesting step for requesting a client certificate from a server device that has received the distribution request; The client device stores a client certificate including a client public key and signature information, and a client private key. The client device reads a client certificate and transmits the client certificate to the server device. To authenticate client devices An authentication step in which a client certificate is registered in advance and the client device is authenticated by comparing the registered client certificate with the client certificate received from the client device, and the client device authenticates in the authentication step. If it is, the encryption step of encrypting the digitized information with the client public key of the received client certificate to generate the encrypted digitized information, and transmitting the encrypted digitized information from the server device to the client device The electronic information transmission step, and the client device includes a decryption step of decrypting the encrypted electronic information received with the client private key stored in the client device.
また本発明の請求項12に係る電子化情報配布方法は、電子化情報を配布するサーバ装置と、電子化情報を受け取るクライアント装置とがネットワークに接続された電子化情報配布システムにおける電子化情報配布方法であって、クライアント装置からサーバ装置へ電子化情報の配布要求を送信する配布要求送信ステップと、配布要求を受信したサーバ装置からクライアント装置へクライアント証明書を要求するクライアント証明書要求ステップと、クライアント装置にはクライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵が格納されており、クライアント装置はクライアント証明書を読み出してサーバ装置へ送信するクライアント証明書送信ステップと、サーバ装置にはクライアント装置を認証するためのクライアント証明書が予め登録されており、登録されているクライアント証明書とクライアント装置から受信したクライアント証明書とを比較することによりクライアント装置を認証する認証ステップと、認証ステップにおいてクライアント装置が正規と認証された場合には、共通鍵で配布する電子化情報を暗号化して暗号化電子化情報を生成する第1の暗号化ステップと、受信したクライアント証明書のクライアント公開鍵で共通鍵を暗号化して暗号化共通鍵を生成する第2の暗号化ステップと、暗号化電子化情報および暗号化共通鍵をサーバ装置からクライアント装置へ送信する電子化情報送信ステップと、クライアント装置はクライアント装置に格納されているクライアント秘密鍵で受信した暗号化共通鍵を復号する第1の復号化ステップと、復号した共通鍵で受信した暗号化電子化情報を復号する第2の復号化ステップとを備えた。 According to a twelfth aspect of the present invention, there is provided a computerized information distribution method in a computerized information distribution system in which a server device that distributes computerized information and a client device that receives the computerized information are connected to a network. A method for transmitting a distribution request for electronic information from a client device to a server device; a client certificate requesting step for requesting a client certificate from a server device that has received the distribution request; The client device stores a client certificate including a client public key and signature information, and a client private key. The client device reads a client certificate and transmits the client certificate to the server device. To authenticate client devices An authentication step in which a client certificate is registered in advance and the client device is authenticated by comparing the registered client certificate with the client certificate received from the client device, and the client device authenticates in the authentication step. If so, a first encryption step for encrypting the digitized information distributed with the common key to generate encrypted digitized information, and encrypting the common key with the client public key of the received client certificate A second encryption step for generating an encrypted common key; an encrypted information transmission step for transmitting the encrypted digitized information and the encrypted common key from the server device to the client device; and the client device stored in the client device. A first decryption code for decrypting the encrypted common key received with the client secret key Comprising a-up, and a second decoding step of decoding the encrypted electronic information received by the common key decrypted.
本発明によれば、ネットワーク上においてサーバ装置から特定のクライアント装置に対して電子化情報を配布する際に、IDやパスワードが不要でかつ安全性の高い接続機器制約の運用が可能となり、しかも電子化情報の暗号化に別途個別のシステムを用いる必要がないので、サービスの運用や装置の設計負担が軽減される。 According to the present invention, when distributing computerized information from a server device to a specific client device on a network, it is possible to operate a connected device restriction that does not require an ID or password and is highly secure. Since it is not necessary to use a separate system for encrypting the encrypted information, service operation and device design burden are reduced.
以下、本発明による電子化情報配布システムの実施の形態について、図面を参照しながら説明する。 Embodiments of an electronic information distribution system according to the present invention will be described below with reference to the drawings.
(第1の実施の形態)
図1は本発明の第1の実施の形態における電子化情報配布システムの構成を示すブロック図である。本実施の形態における電子化情報配布システムは、サーバ装置100、クライアント装置200、両者を接続するネットワーク300、およびクライアント認証のための情報を認証する認証機関400で構成される。なお通常、クライアント装置は複数台がサーバ装置から個別に電子化情報を取得するために接続されるが、図1ではその中の1台のクライアント装置を取り出して説明する。
(First embodiment)
FIG. 1 is a block diagram showing the configuration of the computerized information distribution system according to the first embodiment of the present invention. The computerized information distribution system according to the present embodiment includes a
まずクライアント装置200には、予め認証機関400から認証された認証情報が認証情報保管部240に保管される。この認証情報には、このクライアント装置200の認証に用いるクライアント認証用のクライアント公開鍵242、クライアント秘密鍵241、およびそれらの正当性を裏付けるための認証機関400によって認証されている署名情報243が含まれる。そしてこのクライアント公開鍵242および署名情報243からなる認証情報をクライアント証明書245と呼び、このクライアント証明書245を使ってクライアント装置200が正規のクライアント装置か否かの認証を行うとともに、クライアント公開鍵242の改ざんを防止することができる。この認証と改ざん防止の仕組みについては後程詳しく説明する。
First, in the
一方サーバ装置100には、電子化情報110の配布を要求するクライアント装置200に対応したクライアント公開鍵142および署名情報143からなるクライアント証明書145をクライアント情報として認証情報保管部140に予め登録、保管しておく。複数のクライアント装置からの電子化情報配布要求に対応する場合には、それぞれのクライアント装置に対応したクライアント公開鍵および署名情報からなるクライアント証明書をクライアント情報として登録、保管することになる。なお、後述するようにクライアント情報としてユーザID等を用いてもよい。
On the other hand, in the
次に、図1および図2を用いて本実施の形態における電子化情報配布システムの動作を説明する。図2はクライアント装置200がサーバ装置100へ電子化情報の配布を要求して利用するまでの手順を示す動作シーケンス図である。
Next, the operation of the computerized information distribution system in the present embodiment will be described using FIG. 1 and FIG. FIG. 2 is an operation sequence diagram showing a procedure until the
まず、クライアント装置200がサーバ装置100内の特定の電子化情報110の配布を要求すると(ステップS501)、サーバ装置100はクライアント装置200に対してクライアント証明書を要求する(ステップS502)。クライアント装置200は認証情報保管部240に保管されているクライアント証明書245をサーバ装置100へ送信する(ステップS503)。サーバ装置100はクライアント認証部130において、送信されたクライアント証明書245に署名情報243がついており、この署名情報243が正当であることを認証サーバ(図示せず)等で確認するとともに、クライアント証明書245が予めサーバ装置100に登録されているクライアント証明書145と同一のものであることを確認する(ステップS504)。ステップS504においてクライアント証明書245が正当なものであると確認されると、サーバ装置100は電子化情報暗号部120において、クライアント証明書245のクライアント公開鍵242で電子化情報110を暗号化して暗号化電子化情報111を生成し(ステップS505)、この暗号化電子化情報111をクライアント装置200へ送信する(ステップS506)。そして、暗号化電子化情報111を受信したクライアント装置200は電子化情報復号部220において、認証情報保管部240に保管されているクライアント秘密鍵241を用いて暗号化電子化情報111を復号して(ステップS507)、クライアント装置200は、この復号された電子化情報110を取り出して利用する(ステップS508)。
First, when the
次に、本実施の形態における電子化情報配布システムのクライアント装置200およびサーバ装置100のそれぞれの動作を図3および図4を用いて説明する。図3および図4はそれぞれクライアント装置200およびサーバ装置100の動作を示すフローチャートである。
Next, operations of the
まずクライアント装置200の動作から説明する。図3において、クライアント装置200は、配布を希望する特定の電子化情報要求をサーバ装置100に送信する(ステップS511)。次に、サーバ装置100からクライアント証明書の要求を受信すると(ステップS512)、認証情報保管部240に保管されているクライアント証明書245をサーバ装置100へ送信する(ステップS513)。その後、サーバ装置100から暗号化電子化情報111を受信したか否かを判定し(ステップS514)、暗号化電子化情報111を受信した場合(ステップS514で「Y」)は、クライアント証明書245の公開鍵(クライアント公開鍵242)で暗号化電子化情報111を復号する(ステップS515)。一方、サーバ装置100から暗号化電子化情報111を受信していない場合(ステップS514で「N」)、ステップS516へ進み、リトライをするか否かを判断し、リトライの場合(「Y」)は最初のステップS511に戻ってステップS511〜S514のフローを繰り返す。リトライをしない場合(「N」)は終了する。
First, the operation of the
次に、サーバ装置100の動作を説明する。図4において、サーバ装置100は、ステップS521でクライアント装置200から配布要求を受信するまで待機する。配布要求を受信すると(「Y」)、クライアント装置200にクライアント証明書要求を送信する(ステップS522)。次に、ステップS523でクライアント証明書245を受信したか否かを判定し、クライアント証明書245を受信すると(「Y」)、ステップS524においてクライアント認証部130は受信したクライアント証明書245をサーバ装置100に予め登録されているクライアント装置を認証するためクライアント証明書145と比較して受信したクライアント証明書245(クライアント装置200)が正規のものか否かを判定する。ステップS524においてクライアント証明書245が正規であると判定されると(「Y」)、電子化情報暗号部120によりクライアント証明書245に含まれるクライアント公開鍵242で電子化情報110を暗号化し(ステップS525)、最後にクライアント装置200に暗号化電子化情報111を送信する(ステップS526)。
Next, the operation of the
一方、ステップS523でクライアント証明書を受信していない場合(「N」)またはステップS524でクライアント証明書245が正規でないと判定された場合(「N」)場合は、ステップS527へ進み、リトライの場合(「Y」)はステップS522に戻りクライアント証明書要求をクライアント装置200へ送信する。
On the other hand, if the client certificate has not been received in step S523 ("N") or if it is determined in step S524 that the
さて上記説明では、クライアント装置200を認証するためのクライアント証明書245は認証情報保管部240に保管するとして説明したが、本実施の形態ではこの認証情報保管部240は1チップ半導体であるセキュリティチップで構成されている。周知の通りセキュリティチップは、TCG(Trusted Computing Group)が提唱するセキュリティ仕様に基づくTPM(Trusted Platform Module)であり、PCなどの情報端末内の基板上に直付けされ、端末内のデータ保護や端末認証に用いられる暗号用の鍵を保管したり、暗号、復号を行うために用いられる。端末内のソフトウェアと独立して機能し、またPCなどの端末のハードディスクの外部に設置されるので、不正なソフトウェア解析やハードディスク盗難に対しても完全に安全性が確保されている。
In the above description, the
このセキュリティチップを認証情報保管部240に用いることにより、クライアント装置200には、その製品の工場出荷時点ですでに必要な認証情報が書き込まれているため、クライアント装置200の使用者は認証情報の設定を行うことも、サーバ装置100に接続する都度、ID、パスワードなどの入力を行うことも不要である。
By using this security chip for the authentication
次に、本実施の形態における電子化情報配布システムのクライアント証明書245の作成手順およびクライアント証明書の認証手順について図5および図6を用いて説明する。まずクライアント証明書245の作成手順であるが、図5に示すように、TPMチップ製造会社(チップベンダー)はチップ製造時にクライアント秘密鍵241とクライアント公開鍵242をペアで発生させる。次に、クライアント公開鍵242にチップベンダーの電子証明書で署名して(署名情報243を添付して)クライアント証明書245を生成し、クライアント秘密鍵241とともにチップ内に格納する。ここで署名情報243は、チップに内蔵された所定のハッシュ関数によりクライアント公開鍵242のハッシュ値244を生成し、このハッシュ値244をチップベンダーが所有するベンダー秘密鍵441で暗号化したものである。ハッシュ関数とは一方向関数として知られている関数であり、任意の長さのデータを固定長のデータ(ハッシュ値)に変換するものであり、この変換は比較的容易に行えるもののハッシュ値から元のデータへの逆算は困難であるという性質を持っている。この性質を利用して送信前後のデータの改ざんを効率よく検出することが可能となる。
Next, the creation procedure of the
次に、本実施の形態における電子化情報配布システムのクライアント証明書245の認証手順を図6を用いて説明する。図6における認証は、図1におけるクライアント認証部130で行われる。また図6におけるクライアント証明書245は図1におけるクライアント装置200から受信したものであり、登録クライアント証明書145は図1における認証情報保管部140に格納されているクライアント情報である。
Next, the authentication procedure of the
クライアント装置から受信したクライアント証明書245は、予めサーバ装置に登録されているクライアント情報と比較され正規のクライアントか否かが認証される。図6においては、クライアント情報としてクライアント証明書145が格納されており、クライアント証明書245および登録クライアント証明書145が比較される。そして双方の証明書が一致していれば正規のクライアントと判断される。ここでクライアントの認証においては、クライアント証明書全体が比較されるとしてもよいが、クライアント証明書に含まれる一部の情報を比較することとしてもよい。例えばクライアント証明書に含まれるクライアント公開鍵を比較するとしてもよいし、クライアント証明書に含まれるユーザID(図示せず)を比較するとしてもよい。この場合、サーバ装置の認証情報保管部140には、クライアント情報としてクライアント証明書全体を格納しておく必要はなく、比較の対象となるクライアント公開鍵もしくはユーザID等のみを格納しておけばよい。
The
また、クライアント証明書245が改ざんされていないか否かの検証手順は以下の通りである。すなわち、受信したクライアント証明書245のクライアント公開鍵242を署名情報243の作成時に使用したのと同じハッシュ関数でハッシュ値244を発生させる。次に、クライアント証明書245の署名情報243をチップベンダーから予め取得したベンダー証明書445に含まれているベンダー公開鍵442で復号して復号化署名情報444を得る。最後に、クライアント公開鍵242のハッシュ値244と復号化署名情報444を比較して一致すれば改ざんが行われていないことが証明される。すなわち、署名情報243はベンダー秘密鍵441で暗号化されているためにベンダー秘密鍵441を持たない第3者による署名情報243の改ざんは不可能であり、クライアント公開鍵242が改ざんされた場合は、ハッシュ値244が本来の値から変化するので署名情報243と比較することにより確実に改ざんを検出することが可能となる。
The verification procedure for checking whether or not the
上述したように、クライアント装置200の認証は、クライアント装置200に予め保管された認証情報、およびサーバ装置100に予め登録された認証情報によって自動的に行われるので、クライアント装置200の使用者がID、パスワードの入力操作を行う必要がない。また入力操作や表示が行われないので、ID、パスワードの盗聴によって不正なクライアント装置からの電子化情報配布要求が行われる心配もない。
As described above, the authentication of the
さらに電子化情報の暗号化および復号化は、元来クライアント認証用に用いられているクライアント公開鍵、クライアント秘密鍵を用いるので、別途電子化情報暗号化のための新たな鍵構造を用意、運用する必要もない。これによってクライアント装置200の設計負担、製造負担、および電子化情報配布システムの運用負担が軽減され、低コストで信頼性の高い電子化情報配布システムを構成できる。
In addition, encryption and decryption of digitized information uses the client public key and client secret key originally used for client authentication, so a new key structure for digitized information encryption is prepared and operated separately. There is no need to do. As a result, the design burden and manufacturing burden of the
(第2の実施の形態)
次に、本発明の第2の実施の形態における電子化情報配布システムについて説明する。本実施の形態は、第1の実施の形態における電子化情報配布システムの電子化情報暗号部120、および電子化情報復号部220の機能の実用性をさらに高めたものである。
(Second Embodiment)
Next, an electronic information distribution system according to the second embodiment of the present invention will be described. This embodiment further enhances the practicality of the functions of the computerized
図7は本実施の形態における電子化情報配布システムの構成を示すブロック図である。本実施の形態の電子化情報配布システムは、サーバ装置600、クライアント装置700、両者を接続するネットワーク300、およびクライアント認証のための情報を認証する認証機関400で構成される。図7において、第1の実施の形態と同じ機能ブロックについては同じ符号を付して説明を省略する。
FIG. 7 is a block diagram showing the configuration of the computerized information distribution system in the present embodiment. The computerized information distribution system according to the present embodiment includes a
サーバ装置600において、電子化情報暗号部620は、第1の暗号部623と第2の暗号部622の2つの暗号部から構成されている。電子化情報暗号部620では、まず第1の暗号部623において電子化情報110を共通鍵621を用いて暗号化し、暗号化電子化情報112を得る。次に、第2の暗号部622において共通鍵621をクライアント装置700から送付されたクライアント証明書245のクライアント公開鍵242を用いて暗号化し暗号化共通鍵624を得る。上記の暗号化電子化情報112と暗号化共通鍵624がクライアント装置700に送付される。
In the
クライアント装置700において、電子化情報復号部720は、第1の復号部721と第2の復号部722の2つの復号部から構成されている。電子化情報復号部720では、まず第1の復号部721において、受信した暗号化共通鍵624を認証情報保管部240から読み出したクライアント秘密鍵241で復号し、元の共通鍵621を再生する。次に、第2の復号部722において、受信した暗号化電子化情報112を、第1の復号部721で再生した共通鍵621で復号し、元の電子化情報110を再生し、電子化情報取り出し端子250より取り出す。
In the
次に本実施の形態の電子化情報配布システムの動作を説明する。クライアント装置700がサーバ装置600へ電子化情報の配布を要求して利用するまでの手順は第1の実施の形態とほぼ同じであるので図2に対応する動作シーケンス図は省略する。本実施の形態が第1の実施の形態と異なる部分は電子化情報110の暗号化と復号化の方法である。
Next, the operation of the computerized information distribution system of this embodiment will be described. Since the procedure until the
図8および図9はそれぞれクライアント装置700およびサーバ装置600の動作を示すフローチャートである。第1の実施の形態における図3および図4と同じ処理ステップには同じ符号を付して説明を省略する。
8 and 9 are flowcharts showing operations of the
まずクライアント装置700では、ステップS511からステップS513の処理を経て、ステップS517においてサーバ装置600から暗号化電子化情報112と暗号化共通鍵624を受信したか否かを判定する。クライアント装置700がこれらの情報を受信した場合(「Y」)は、まず認証情報保管部240に保管されているクライアント証明書245のクライアント公開鍵242を読み出して暗号化共通鍵624を復号する(ステップS518)。次に、ステップS518で、復号された共通鍵621で暗号化電子化情報112を復号する(ステップS519)。一方、クライアント装置700がこれらの情報を受信しない場合(ステップS517で「N」)は、ステップS516へ進みリトライをするか終了するかを選択する。
First, the
次にサーバ装置600では、ステップS521からステップS523の処理ステップでクライアント装置700からクライアント証明書245を受信し、ステップS524においてクライアント装置700から受信したクライアント証明書245をサーバ装置600に予め登録されているクライアント装置を認証するためクライアント証明書145と比較して受信したクライアント証明書245(クライアント装置700)が正規であるか否かを判定する。ステップS524においてクライアント証明書245が正規と認証された場合(「Y」)は、まずステップS528において共通鍵621で電子化情報110を暗号化する。次にクライアント装置700から受信したクライアント証明書245のクライアント公開鍵242で共通鍵621を暗号化し(ステップS529)、最後に暗号化電子化情報112と暗号化共通鍵624をクライアント装置700へ送信して(ステップS530)、動作を終了する。
Next, in the
一方、ステップS523でクライアント証明書を受信していない場合(「N」)またはステップS524でクライアント証明書245が正規でないと判定された場合(「N」)場合は、ステップS527へ進み、リトライの場合(「Y」)はステップS522に戻りクライアント証明書要求をクライアント装置700へ送信する。
On the other hand, if the client certificate has not been received in step S523 ("N") or if it is determined in step S524 that the
この構成を用いることにより、比較的高速の処理が要求される電子化情報110の暗号化は共通鍵方式(秘密鍵方式)を用い、共通鍵621の伝送には処理速度は劣るがセキュリティに優れた公開鍵方式を用いることにより、処理速度と安全性を両立した暗号、復号を実現することができる。配布される電子化情報としては、音声や動画のように高速のリアルタイム処理を要求されるものも含まれ、リアルタイム処理が不要な場合でも、大容量のデータを短時間で伝送したい場合には高速処理されることが望ましい。上記の共通鍵方式には、例えばその鍵を初期値に用いる擬似乱数発生系列と、情報データとのビットごとの排他的論理加算などがあり、高速の暗号化、復号化に適している。
By using this configuration, a common key method (secret key method) is used for encryption of the digitized
一方、共通鍵621を伝送する際の暗号化には、セキュリティに優れた公開鍵方式を用いるが、こちらは通常1つの電子化情報を送るために1つの共通鍵を送ればよいので、処理速度の負担はほとんど問題にならない。
On the other hand, a public key method with excellent security is used for encryption when the
図7で分かるように、本実施の形態における電子化情報110に対する暗号化についても、認証機関400によって認証されたクライアント認証情報を用いるので、追加的な暗号の仕組みを必要とせず、同時にセキュリティも十分確保されているという利点がある。また、クライアント証明書の認証および改ざん検出の方法は第1の実施の形態と同じであるので説明は省略する。
As can be seen from FIG. 7, since the client authentication information authenticated by the
以上説明したように、本発明によれば、インターネットなどのネットワーク上で電子化情報を保有するサーバ装置が、特定のクライアント装置にその電子化情報を配布する際に、その電子化情報を得ようとするクライアント装置が、ID、パスワードを使用することなく、しかも高いセキュリティを保障することが可能となる。このために、サーバ装置に蓄積された電子化情報の正規の利用者が、セキュリティを意識することなく電子化情報にアクセスして利用しても、高度なセキュリティを維持できる。 As described above, according to the present invention, when a server device holding electronic information on a network such as the Internet distributes the electronic information to a specific client device, the electronic information is obtained. The client apparatus can guarantee high security without using an ID and a password. For this reason, even if a legitimate user of the computerized information stored in the server device accesses and uses the computerized information without being aware of security, high security can be maintained.
特にセキュリティチップを用いるクライアント装置では、最高レベルのセキュリティを配布される電子化情報の暗号化にも利用できるようにするものであるので、極めてその効果が大きい。 Particularly in a client device using a security chip, the highest level of security can be used for encryption of electronic information to be distributed.
なお、上記実施の形態ではクライアント公開鍵、クライアント秘密鍵および署名情報はチップ製造時にチップベンダーによって作成されて保管されているとして説明したが、これに限定されるものではなくクライアントが必要に応じて都度生成してもよい。 In the above embodiment, the client public key, the client secret key, and the signature information have been described as being created and stored by the chip vendor at the time of chip manufacture. However, the present invention is not limited to this, and the client may It may be generated each time.
本発明は、利用者がセキュリティを意識しないでも高度なセキュリティを確保して電子化情報を配布することが可能となり、ソフトウェア、各種のデータ、テキスト、静止画、音声、動画などあらゆる電子化情報の配布に適用可能である。 The present invention makes it possible to distribute computerized information while ensuring a high level of security even if the user is unaware of security, and it is possible to distribute any computerized information such as software, various data, text, still images, audio, and moving images. Applicable for distribution.
100,600 サーバ装置
110 電子化情報
111,112 暗号化電子化情報
120,620 電子化情報暗号部
130 クライアント認証部
131 比較部
140,240 認証情報保管部
142,242 クライアント公開鍵
143,243 署名情報
145,245 クライアント証明書
200,700 クライアント装置
220,720 電子化情報復号部
241 クライアント秘密鍵
244 (クライアント公開鍵の)ハッシュ値
250 電子化情報取り出し端子
300 ネットワーク
400 認証機関
441 ベンダー秘密鍵
442 ベンダー公開鍵
444 復号化署名情報
445 ベンダー証明書
621 共通鍵
622 第2の暗号部
623 第1の暗号部
624 暗号化共通鍵
721 第1の復号部
722 第2の復号部
100, 600
Claims (12)
前記クライアント装置は、
クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、
前記サーバ装置より配布された暗号化電子化情報を前記クライアント秘密鍵で復号する電子化情報復号化部とを備え、
前記サーバ装置は、
前記クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、
前記クライアント装置から受信した前記クライアント証明書に含まれる情報と前記サーバ側認証情報保管部に保管された前記クライアント情報とを比較することにより前記クライアント装置の認証を行うクライアント認証部と、
前記クライアント装置から受信した前記クライアント証明書の前記クライアント公開鍵で配布する前記電子化情報を暗号化して暗号化電子化情報を生成する電子化情報暗号化部とを備えた電子化情報配布システム。 A computerized information distribution system in which a server device that distributes computerized information and a client device that receives the computerized information are connected to a network,
The client device is
A client-side authentication information storage unit that stores a client certificate and a client private key including a client public key and signature information;
An electronic information decryption unit that decrypts the encrypted electronic information distributed from the server device with the client secret key;
The server device
A server-side authentication information storage unit that stores client information registered in advance to authenticate the client device;
A client authentication unit that authenticates the client device by comparing the information contained in the client certificate received from the client device with the client information stored in the server-side authentication information storage unit;
An electronic information distribution system comprising: an electronic information encryption unit that encrypts the electronic information distributed with the client public key of the client certificate received from the client device to generate encrypted electronic information.
前記クライアント装置は、
クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、
前記サーバ装置より配布された暗号化電子化情報および暗号化共通鍵を受信して、前記クライアント秘密鍵で前記暗号化共通鍵を復号する第1の復号化部と、
復号された共通鍵で前記暗号化電子化情報を復号する第2の復号化部とを備え、
前記サーバ装置は、
前記クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、
前記クライアント装置から受信した前記クライアント証明書に含まれる情報と前記サーバ側認証情報保管部に保管されたクライアント情報とを比較することにより前記クライアント装置の認証を行うクライアント認証部と、
前記共通鍵で配布する前記電子化情報を暗号化して暗号化電子化情報を生成する第1の暗号化部と、
前記クライアント装置から受信した前記クライアント証明書の前記クライアント公開鍵で前記共通鍵を暗号化して暗号化共通鍵を生成する第2の暗号化部とを備えた電子化情報配布システム。 A computerized information distribution system in which a server device that distributes computerized information and a client device that receives the computerized information are connected to a network,
The client device is
A client-side authentication information storage unit that stores a client certificate and a client private key including a client public key and signature information;
A first decryption unit that receives the encrypted digitized information and the encrypted common key distributed from the server device, and decrypts the encrypted common key with the client secret key;
A second decryption unit for decrypting the encrypted digitized information with the decrypted common key,
The server device
A server-side authentication information storage unit that stores client information registered in advance to authenticate the client device;
A client authentication unit that authenticates the client device by comparing information included in the client certificate received from the client device with client information stored in the server-side authentication information storage unit;
A first encryption unit that encrypts the digitized information distributed with the common key to generate encrypted digitized information;
An electronic information distribution system comprising: a second encryption unit that encrypts the common key with the client public key of the client certificate received from the client device and generates an encrypted common key.
クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、
前記サーバ装置より配布された暗号化電子化情報を前記クライアント秘密鍵で復号する電子化情報復号化部とを備え、
前記クライアント側認証情報保管部は、前記サーバ装置からの要求に応答して前記クライアント証明書を前記サーバ装置へ送信するクライアント装置。 A client device that receives computerized information from a server device,
A client-side authentication information storage unit that stores a client certificate and a client private key including a client public key and signature information;
An electronic information decryption unit that decrypts the encrypted electronic information distributed from the server device with the client secret key;
The client-side authentication information storage unit is a client device that transmits the client certificate to the server device in response to a request from the server device.
前記クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、
前記クライアント装置から受信した電子化情報の要求に応答し、前記クライアント装置に対しクライアント証明書を要求することで前記クライアント装置のクライアント証明書を受信し、前記受信したクライアント証明書に含まれる情報と前記サーバ側認証情報保管部に保管された前記クライアント情報とを比較することにより前記クライアント装置の認証を行うクライアント認証部と、
前記クライアント装置から受信した前記クライアント証明書の前記クライアント公開鍵で電子化情報を暗号化して暗号化電子化情報を生成し、前記クライアント装置へ送信する電子化情報暗号化部とを備えたサーバ装置。 A server device that distributes computerized information in response to a request from a client device,
A server-side authentication information storage unit that stores client information registered in advance to authenticate the client device;
Responding to the request for electronic information received from the client device, requesting a client certificate from the client device, receiving the client certificate of the client device, and information included in the received client certificate; A client authentication unit that authenticates the client device by comparing the client information stored in the server-side authentication information storage unit;
A server apparatus comprising: an electronic information encryption unit that encrypts electronic information with the client public key of the client certificate received from the client apparatus, generates encrypted electronic information, and transmits the encrypted information to the client apparatus .
クライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵とを格納するクライアント側認証情報保管部と、
前記サーバ装置より配布された暗号化電子化情報および暗号化共通鍵を受信して、前記クライアント秘密鍵で前記暗号化共通鍵を復号する第1の復号化部と、
復号された共通鍵で前記暗号化電子化情報を復号する第2の復号化部とを備え、
前記クライアント側認証情報保管部は、前記サーバ装置からの要求に応答して前記クライアント証明書を前記サーバ装置へ送信するクライアント装置。 A client device that receives computerized information from a server device,
A client-side authentication information storage unit that stores a client certificate and a client private key including a client public key and signature information;
A first decryption unit that receives the encrypted digitized information and the encrypted common key distributed from the server device, and decrypts the encrypted common key with the client secret key;
A second decryption unit for decrypting the encrypted digitized information with the decrypted common key,
The client-side authentication information storage unit is a client device that transmits the client certificate to the server device in response to a request from the server device.
前記クライアント装置を認証するために予め登録されたクライアント情報を保管するサーバ側認証情報保管部と、
前記クライアント装置から受信した電子化情報の要求に応答し、前記クライアント装置に対しクライアント証明書を要求することで前記クライアント装置のクライアント証明書を受信し、前記受信したクライアント証明書に含まれる情報と前記サーバ側認証情報保管部に保管された前記クライアント情報とを比較することにより前記クライアント装置の認証を行うクライアント認証部と、
共通鍵で電子化情報を暗号化して暗号化電子化情報を生成し、前記クライアント装置へ送信する第1の暗号化部と、
前記クライアント装置から受信した前記クライアント証明書の前記クライアント公開鍵で前記共通鍵を暗号化して暗号化共通鍵を生成し、前記クライアント装置へ送信する第2の暗号化部とを備えたサーバ装置。 A server device that distributes computerized information in response to a request from a client device,
A server-side authentication information storage unit that stores client information registered in advance to authenticate the client device;
Responding to the request for electronic information received from the client device, requesting a client certificate from the client device, receiving the client certificate of the client device, and information included in the received client certificate; A client authentication unit that authenticates the client device by comparing the client information stored in the server-side authentication information storage unit;
A first encryption unit that encrypts the digitized information with a common key to generate encrypted digitized information, and transmits the encrypted digitized information to the client device;
A server device comprising: a second encryption unit that encrypts the common key with the client public key of the client certificate received from the client device, generates an encrypted common key, and transmits the encrypted common key to the client device.
前記クライアント装置から前記サーバ装置へ前記電子化情報の配布要求を送信する配布要求送信ステップと、
前記配布要求を受信したサーバ装置から前記クライアント装置へクライアント証明書を要求するクライアント証明書要求ステップと、
前記クライアント装置にはクライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵が格納されており、前記クライアント装置は前記クライアント証明書を読み出して前記サーバ装置へ送信するクライアント証明書送信ステップと、
前記サーバ装置には前記クライアント装置を認証するためのクライアント証明書が予め登録されており、前記登録されているクライアント証明書と前記クライアント装置から受信した前記クライアント証明書とを比較することにより前記クライアント装置を認証する認証ステップと、
前記認証ステップにおいて前記クライアント装置が正規と認証された場合には、受信した前記クライアント証明書の前記クライアント公開鍵で前記電子化情報を暗号化して暗号化電子化情報を生成する暗号化ステップと、
前記サーバ装置から前記クライアント装置へ前記暗号化電子化情報を送信する電子化情報送信ステップと、
前記クライアント装置は前記クライアント装置に格納されている前記クライアント秘密鍵で受信した前記暗号化電子化情報を復号する復号化ステップとを備えた電子化情報配布方法。 A computerized information distribution method in a computerized information distribution system in which a server device that distributes computerized information and a client device that receives the computerized information are connected to a network,
A distribution request transmitting step of transmitting a distribution request for the computerized information from the client device to the server device;
A client certificate requesting step for requesting a client certificate from the server device that has received the distribution request to the client device;
The client device stores a client certificate and a client private key including a client public key and signature information, and the client device reads the client certificate and transmits the client certificate to the server device;
A client certificate for authenticating the client device is pre-registered in the server device, and the client certificate is compared by comparing the registered client certificate with the client certificate received from the client device. An authentication step for authenticating the device;
An encryption step of encrypting the digitized information with the client public key of the received client certificate to generate encrypted digitized information when the client device is authenticated as authentic in the authentication step;
An electronic information transmission step of transmitting the encrypted electronic information from the server device to the client device;
An electronic information distribution method, wherein the client device includes a decrypting step of decrypting the encrypted electronic information received with the client secret key stored in the client device.
前記クライアント装置から前記サーバ装置へ前記電子化情報の配布要求を送信する配布要求送信ステップと、
前記配布要求を受信したサーバ装置から前記クライアント装置へクライアント証明書を要求するクライアント証明書要求ステップと、
前記クライアント装置にはクライアント公開鍵および署名情報からなるクライアント証明書とクライアント秘密鍵が格納されており、前記クライアント装置は前記クライアント証明書を読み出して前記サーバ装置へ送信するクライアント証明書送信ステップと、
前記サーバ装置には前記クライアント装置を認証するためのクライアント証明書が予め登録されており、前記登録されているクライアント証明書と前記クライアント装置から受信した前記クライアント証明書とを比較することにより前記クライアント装置を認証する認証ステップと、
前記認証ステップにおいて前記クライアント装置が正規と認証された場合には、共通鍵で配布する前記電子化情報を暗号化して暗号化電子化情報を生成する第1の暗号化ステップと、
受信した前記クライアント証明書の前記クライアント公開鍵で前記共通鍵を暗号化して暗号化共通鍵を生成する第2の暗号化ステップと、
前記暗号化電子化情報および前記暗号化共通鍵を前記サーバ装置から前記クライアント装置へ送信する電子化情報送信ステップと、
前記クライアント装置は前記クライアント装置に格納されている前記クライアント秘密鍵で受信した前記暗号化共通鍵を復号する第1の復号化ステップと、
復号した前記共通鍵で受信した前記暗号化電子化情報を復号する第2の復号化ステップとを備えた電子化情報配布方法。 A computerized information distribution method in a computerized information distribution system in which a server device that distributes computerized information and a client device that receives the computerized information are connected to a network,
A distribution request transmitting step of transmitting a distribution request for the computerized information from the client device to the server device;
A client certificate requesting step for requesting a client certificate from the server device that has received the distribution request to the client device;
The client device stores a client certificate and a client private key including a client public key and signature information, and the client device reads the client certificate and transmits the client certificate to the server device;
A client certificate for authenticating the client device is pre-registered in the server device, and the client certificate is compared by comparing the registered client certificate with the client certificate received from the client device. An authentication step for authenticating the device;
A first encryption step of encrypting the digitized information distributed with a common key to generate encrypted digitized information when the client device is authorized in the authenticating step;
A second encryption step of generating an encrypted common key by encrypting the common key with the client public key of the received client certificate;
An electronic information transmission step of transmitting the encrypted electronic information and the encrypted common key from the server device to the client device;
A first decryption step for decrypting the encrypted common key received by the client private key stored in the client device;
A digitized information distribution method comprising: a second decryption step of decrypting the encrypted digitized information received with the decrypted common key.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008140350A JP2009290508A (en) | 2008-05-29 | 2008-05-29 | Electronized information distribution system, client device, server device and electronized information distribution method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008140350A JP2009290508A (en) | 2008-05-29 | 2008-05-29 | Electronized information distribution system, client device, server device and electronized information distribution method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009290508A true JP2009290508A (en) | 2009-12-10 |
Family
ID=41459289
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008140350A Pending JP2009290508A (en) | 2008-05-29 | 2008-05-29 | Electronized information distribution system, client device, server device and electronized information distribution method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009290508A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011135389A (en) * | 2009-12-25 | 2011-07-07 | Konica Minolta Business Technologies Inc | Image processing system, image processing apparatus, program, and data communication establishing method |
KR101453225B1 (en) | 2010-08-10 | 2014-10-22 | 빅로브 가부시키가이샤 | Application distribution system, application distribution method, terminal, and program |
JP2015511368A (en) * | 2012-01-19 | 2015-04-16 | インテリジェント エナジー リミテッドIntelligent Energy Limited | Remote authentication of replaceable fuel cartridges |
JP2015226133A (en) * | 2014-05-27 | 2015-12-14 | パナソニックIpマネジメント株式会社 | Terminal authentication system, server and terminal authentication method |
JP2017163612A (en) * | 2017-06-12 | 2017-09-14 | パナソニックIpマネジメント株式会社 | Terminal authentication system, server device, and terminal authentication method |
CN114465976A (en) * | 2022-01-28 | 2022-05-10 | 深圳快银付信息科技有限公司 | Message distribution and aggregation method and device |
JP2022533890A (en) * | 2019-05-20 | 2022-07-27 | シトリックス・システムズ・インコーポレイテッド | Computing system and method for providing session access based on authentication tokens with different authentication credentials |
-
2008
- 2008-05-29 JP JP2008140350A patent/JP2009290508A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011135389A (en) * | 2009-12-25 | 2011-07-07 | Konica Minolta Business Technologies Inc | Image processing system, image processing apparatus, program, and data communication establishing method |
US8537395B2 (en) | 2009-12-25 | 2013-09-17 | Konica Minolta Business Technologies, Inc. | Image processing system, image processing apparatus, recording medium and data communication establishing method |
KR101453225B1 (en) | 2010-08-10 | 2014-10-22 | 빅로브 가부시키가이샤 | Application distribution system, application distribution method, terminal, and program |
JP2015511368A (en) * | 2012-01-19 | 2015-04-16 | インテリジェント エナジー リミテッドIntelligent Energy Limited | Remote authentication of replaceable fuel cartridges |
JP2015226133A (en) * | 2014-05-27 | 2015-12-14 | パナソニックIpマネジメント株式会社 | Terminal authentication system, server and terminal authentication method |
US10015159B2 (en) | 2014-05-27 | 2018-07-03 | Panasonic Intellectual Property Management Co., Ltd. | Terminal authentication system, server device, and terminal authentication method |
JP2017163612A (en) * | 2017-06-12 | 2017-09-14 | パナソニックIpマネジメント株式会社 | Terminal authentication system, server device, and terminal authentication method |
JP2022533890A (en) * | 2019-05-20 | 2022-07-27 | シトリックス・システムズ・インコーポレイテッド | Computing system and method for providing session access based on authentication tokens with different authentication credentials |
CN114465976A (en) * | 2022-01-28 | 2022-05-10 | 深圳快银付信息科技有限公司 | Message distribution and aggregation method and device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101054970B1 (en) | A system, apparatus, method, and computer readable recording medium for authenticating a communication party using an electronic certificate containing personal information | |
US9607131B2 (en) | Secure and efficient content screening in a networked environment | |
CN101605137B (en) | Safe distribution file system | |
KR102177848B1 (en) | Method and system for verifying an access request | |
US8369521B2 (en) | Smart card based encryption key and password generation and management | |
RU2003118755A (en) | WAYS OF CREATION, SYSTEM AND ARCHITECTURE OF PROTECTED MEDIA CHANNELS | |
US8538890B2 (en) | Encrypting a unique cryptographic entity | |
US20090199303A1 (en) | Ce device management server, method of issuing drm key by using ce device management server, and computer readable recording medium | |
JP2009505243A (en) | Cancellation information management | |
JP2009290508A (en) | Electronized information distribution system, client device, server device and electronized information distribution method | |
JP2005197912A (en) | Method and program for information disclosure control and tamper resistant instrument | |
JP2002297551A (en) | Identification system | |
KR101048439B1 (en) | The server that stores the game execution authority authentication method, the recording medium on which the game execution authority authentication program is recorded, and the game execution authority authentication program. | |
KR20100114321A (en) | Digital content transaction-breakdown the method thereof | |
JP4840575B2 (en) | Terminal device, certificate issuing device, certificate issuing system, certificate acquisition method and certificate issuing method | |
JP2008234143A (en) | Subject limited mail opening system using biometrics, method therefor, and program therefor | |
JP2004318645A (en) | Radio tag security extension method, id management computer system, proxy server device, their programs, and recording medium of programs | |
KR100977498B1 (en) | Method for Digital Rights Management | |
JP2000115160A (en) | Public key certificate issuance system and method and recording medium | |
KR20090024482A (en) | Key management system for using content and method thereof | |
KR102055888B1 (en) | Encryption and decryption method for protecting information | |
JP2007159009A (en) | Ticket protection method and client | |
JP5391694B2 (en) | Information processing apparatus, information processing method, and information processing system | |
KR101049472B1 (en) | A portable USB security module device, a method of registering and querying a document file using the portable USB security module device, and a program recording medium for executing the method | |
JP2007201685A (en) | Secure information-content disclosure method using certification authority |