JP2012195903A - 情報処理装置、プログラム及びアクセス制御システム - Google Patents
情報処理装置、プログラム及びアクセス制御システム Download PDFInfo
- Publication number
- JP2012195903A JP2012195903A JP2011060159A JP2011060159A JP2012195903A JP 2012195903 A JP2012195903 A JP 2012195903A JP 2011060159 A JP2011060159 A JP 2011060159A JP 2011060159 A JP2011060159 A JP 2011060159A JP 2012195903 A JP2012195903 A JP 2012195903A
- Authority
- JP
- Japan
- Prior art keywords
- key
- secret key
- unit
- secret
- numerical value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
【課題】電子署名の検証を効率的に行うことが可能な情報処理装置、プログラム及びアクセス制御システムを提供する。
【解決手段】公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する鍵セット生成部13と、前記鍵セットに含まれる同一の前記マスター鍵を用いて、自己の装置にアクセスしたサーバ装置毎に互いに異なる秘密鍵を生成する秘密鍵生成部と、前記秘密鍵生成部が生成した前記秘密鍵を対応するサーバ装置に夫々提供する秘密鍵提供部と、前記サーバ装置の各々において前記秘密鍵を用いて生成される署名情報を検証させるため、当該検証を行う検証装置に前記公開鍵を提供する公開鍵提供部と、を備える。
【選択図】図2
【解決手段】公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する鍵セット生成部13と、前記鍵セットに含まれる同一の前記マスター鍵を用いて、自己の装置にアクセスしたサーバ装置毎に互いに異なる秘密鍵を生成する秘密鍵生成部と、前記秘密鍵生成部が生成した前記秘密鍵を対応するサーバ装置に夫々提供する秘密鍵提供部と、前記サーバ装置の各々において前記秘密鍵を用いて生成される署名情報を検証させるため、当該検証を行う検証装置に前記公開鍵を提供する公開鍵提供部と、を備える。
【選択図】図2
Description
本発明の実施形態は、情報処理装置、プログラム及びアクセス制御システムに関する。
従来、通信ネットワークにおける認証技術として、PKI等の公開鍵暗号技術が用いられている。係る公開鍵暗号技術は様々な分野で用いられており、例えば、次世代電力網(スマートグリッド)における機器間の情報通信に利用されている。
係る次世代電力網では、各家庭や各事業所に設置されたスマートメータ(以下、SMという)に電力使用量が蓄えられるが、この電力使用量を利用することで、当該電力使用量をオンラインで確認可能とするような各種のサービスがアプリケーションサーバ(以下、ASという)により提供されている。上記公開鍵暗号技術は、例えばASがSMにアクセスする際にアクセス権を有しているか否かを確認する認証手続に用いられている。
また、従来、公開鍵暗号方式において、秘密鍵の漏洩による被害を低減するため、秘密鍵に対して有効期間を設定し、この有効期間内にのみ秘密鍵の機能を有効化する技術が提案されている。
Y.Dodis,J.Katz,S.Xu, and M.Yung,"Strong Key-Insulated Signature Schemes",Proc.of PKC’03,pp.130-144,2003
ところで、上述した認証手続きの際にPKI等の公開鍵暗号技術を用いると、ASはSMにデータ(電力使用量)を要求するリクエストコマンドを送信する際に、当該リクエストコマンドとともに、このリクエストコマンドに対する電子署名と、当該電子署名を検証するための公開鍵証明書とを送信する必要がある。この場合、SMでは、電子署名の検証と公開鍵証明書の検証とを実施する必要がある。さらに公開鍵証明書は、AS毎に個別となっているため、データ保持機器は全てのASの公開鍵証明書を保持する(或いはアクセス毎に毎回受信する)必要があり、計算負荷や保存領域が増大する可能性があった。
実施の形態の情報処理装置は、鍵セット生成部と、秘密鍵生成部と、秘密鍵提供部と、公開鍵提供部とを備える。鍵セット生成部は、公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する。秘密鍵生成部は、鍵セットに含まれる同一のマスター鍵を用いて、自己の装置にアクセスしたサーバ装置毎に互いに異なる秘密鍵を生成する。秘密鍵提供手段は、秘密鍵生成部が生成した秘密鍵を対応するサーバ装置に夫々提供する。公開鍵提供手段は、サーバ装置の各々において秘密鍵を用いて生成される署名情報を検証させるため、当該検証を行う検証装置に公開鍵を提供する。
以下、添付図面を参照して、本実施形態に係る情報処理装置、プログラム及びアクセス制御システムを詳細に説明する。なお、以下では、情報処理装置、プログラム及びアクセス制御システムを、次世代電力網に適用した例を説明するが、これに限定されない。
図1は、本実施形態に係るアクセス制御システムの構成を概略的に示す図である。同図に示すように、アクセス制御システム100は、利用者端末10と、データ保持機器20と、アプリケーションサーバ30とがネットワークNを介して接続される構成である。ネットワークNは、例えば、LAN(Local Area Network)、イントラネット、イーサネット(登録商標)又はインターネット等である。なお、図1では、ネットワークNに、利用者端末10、データ保持機器20及びアプリケーションサーバ30を各一台ずつ接続した例を示しているが、これに限らず、複数台の利用者端末10やデータ保持機器20、アプリケーションサーバ30を接続することが可能である。
利用者端末10は、アプリケーションサーバ30から所定のサービスを享受する利用者が操作する、PC(Personal Computer)や携帯情報端末等の端末装置である。また、データ保持機器20は、利用者端末10の利用者の家庭や勤務先等に設置されたスマートメータ等の通信装置である。また、アプリケーションサーバ30は、データ保持機器20に保持されたデータに基づき、利用者端末10の利用者に種々のサービスを提供するサーバ装置である。
次に、利用者端末10、データ保持機器20及びアプリケーションサーバ30のハードウェア構成について説明する。
利用者端末10、データ保持機器20及びアプリケーションサーバ30は、何れも通常のコンピュータを利用した情報処理装置である。これらの各情報処理装置のハードウェア構成は、情報処理装置全体を制御するCPU(Central Processing Unit)等の制御部と、各種データや各種プログラムを記憶するROM(Read Only Memory)やRAM(Random Access Memory)等の主記憶部と、各種データや各種プログラムを記憶するHDD(Hard Disk Drive)やCD(Compact Disk)ドライブ装置等の補助記憶部と、これらを接続するバスとを備えている。また、ネットワークNを介して通信を行う通信I/F(Interface)を更に備える。なお、これら情報処理装置がネットワークNを介して通信を行う際には、通信内容の秘匿や認証のために暗号通信を行う。
次に、利用者端末10、データ保持機器20及びアプリケーションサーバ30のそれぞれにおいて実現される各種機能について説明する。
まず、利用者端末10の機能的構成について図2を用いて説明する。図2に示すように、利用者端末10は、制御部11、送受信部12、鍵セット生成部13、鍵セット記憶部14、鍵割り当て管理部15、鍵割り当て範囲管理DB16、鍵有効期限管理DB17及び鍵更新情報生成部18を有する。
ここで、送受信部12の機能は、利用者端末10の有する通信I/Fと、利用者端末10の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、制御部11、鍵セット生成部13、鍵割り当て管理部15及び鍵更新情報生成部18の各機能は、利用者端末10の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、鍵セット記憶部14、鍵割り当て範囲管理DB16及び鍵有効期限管理DB17はそれぞれ、利用者端末10の有する例えば補助記憶部に確保される記憶領域である。
制御部11は、利用者端末10を構成する各機能部の動作を統括的に制御する。送受信部12は、データ保持機器20やアプリケーションサーバ30等の他の情報処理装置との通信を制御する。
鍵セット生成部13は、アクセス制御システム100で使用される鍵セットを生成し、鍵セット記憶部14に記憶する。鍵セット生成部13が生成する鍵セットは、Key Insulated Signature方式(Y.Dodis,J.Katz,S.Xu, and M.Yung,“Strong Key-Insulated Signature Schemes”,Proc.of PKC’03,pp.130-144,2003等参照)で生成される複数の値(pk、sk*、sk_0)で構成される。
ここで「pk」は公開鍵であり、秘密鍵sk_i(0<i<I、Iはシステムパラメータで決定される値)を用いて生成された電子署名sig_iを検証するために用いられる。公開鍵は、制御部11の制御の下、後述するシステムセットアップ処理の際に、データ保持機器20に送信(配布)される。「sk*」はマスター鍵であり、秘密鍵の生成や、秘密鍵の更新に用いる後述する鍵更新情報upd_{i、j}を生成する際に用いられる。マスター鍵は、秘密鍵を生成する際に、生成パラメータとなるインデックス値(数値)を引数とし、そのインデックス値に応じて夫々異なる秘密鍵を生成する。また、「sk_0」は鍵セットの初期秘密鍵である。なお、初期秘密鍵sk_0は、秘密鍵の生成や鍵更新情報upd_{i、j}の生成に必要な要素ではないため、鍵セット記憶部14に記憶する鍵セットから除外する形態としてもよい。なお、マスター鍵は機密情報であるため、利用者端末10の外部に流出しないように適切に保護する必要があるが、その保護方式についてはここでは言及しない。
鍵割り当て管理部15は、利用者端末10が通信を行うアプリケーションサーバ30毎に、互いに異なる秘密鍵sk_iを割り当て、当該秘密鍵sk_iの有効期限tと関連付けて管理する。ここで、秘密鍵の割り当ては、種々の割り当て方式を採用することが可能である。秘密鍵の割り当て方式の1例(以下、第1の方式という)としては、アプリケーションサーバ30の各々に対し、互いに異なるインデックス値の使用範囲(数値範囲)を定め、この使用範囲に含まれるインデックス値を用いて秘密鍵sk_iを順次生成する。
例えば、二台のアプリケーションサーバ30A、30Bを対象とする場合、使用範囲(i0<i<i0+(n−1))をアプリケーションサーバ30Aに割り当て、使用範囲(i0+n<i<i0+(2nー1))をアプリケーションサーバ30Bに割り当てたとする。ここで、i0は初期値となる任意の自然数であり、nは2以上の任意の自然数である。この場合、アプリケーションサーバ30Aに対しては、最初の秘密鍵としてsk_i0を割り当て、鍵の更新によりsk_{i0+1}、sk_{i0+2}、・・・、sk_{i0+(n−1)}を順に割り当てる。また、アプリケーションサーバ30Bに対しては、最初の秘密鍵としてsk_{i0+n}を割り当て、鍵の更新によりsk_{i0+n+1}、sk_{i0+n+2}、・・・、sk_{i0+(2nー1)}を順に割り当てる。
このように、アプリケーションサーバ30毎に、互いに異なるインデックス値の使用範囲を定めることで、アプリケーションサーバ30毎に、互いに異なる秘密鍵sk_iを生成することができる。
また、割り当て方式の他の例(以下、第2の方式という)としては、アプリケーションサーバ30の各々に対し、互いに異なるインデックス値をとる所定の数列を定め、この数列に含まれるインデックスの集合を用いて生成した秘密鍵sk_iを、順次割り当てる方式が挙げられる。
例えば、二台のアプリケーションサーバ30A、30Bを対象とする場合、アプリケーションサーバ30Aに対しては、初期の秘密鍵としてsk_i0を与え、鍵の更新によりsk_{i0+k}、sk_{i0+2k}、・・・、sk_{i0+nk}を順に与えるものとし、アプリケーションサーバ30Bに対しては、初期の秘密鍵としてsk_{i0+1}を与え、鍵の更新によりsk_{i0+1+k}、sk_{i0+1+2k}、・・・、sk_{i0+1+nk}を順に与える。なお、i0は初期値となる任意の自然数であり、kは公差を規定する任意の自然数である。
このように、アプリケーションサーバ30毎に、互いに異なるインデックス値をとる数列を定めることで、アプリケーションサーバ30毎に、互いに異なる秘密鍵sk_iを生成することができる。
鍵割り当て管理部15は、上述した秘密鍵の割り当て方式により、秘密鍵の生成に用いるインデックス値の集合をアプリケーションサーバ30毎に求めると、このインデックス値の集合を鍵割り当て範囲とし、対応するアプリケーションサーバ30を識別するサーバIDと関連付け、鍵割り当て範囲管理DB16に登録して管理する。
図3は、鍵割り当て範囲管理DB16を構成するデータ項目の一例を示す図である。同図に示すように、鍵割り当て範囲管理DB16は、サーバID、鍵割り当て範囲等のデータ項目からなるレコードによって構成されている。ここで、サーバIDの項目には、各アプリケーションサーバ30を識別するIPアドレスや、サーバ名、ドメイン名等の識別情報が格納される。また、鍵割り当て範囲の項目には、アプリケーションサーバ30に割り当てた、秘密鍵の生成に用いるインデックスの集合、或いはインデックスの集合を導出可能な数値範囲や数列を表す情報が格納される。
なお、上記鍵割り当て範囲を決定するタイミングは特に問わず、アプリケーションサーバ30から利用申請が行われる毎に、当該アプリケーションサーバ30分の鍵割り当て範囲を決定する形態としてもよいし、複数台分(例えば、十台分)の鍵割り当て範囲を予め決定しておき、これらの鍵割り当て範囲を、利用申請を行ったアプリケーションサーバ30に順次割り当てる形態としてもよい。
また、鍵割り当て管理部15は、各アプリケーションサーバ30で現在利用されている秘密鍵sk_iの生成に用いたインデックスiの有効期限を決定し、鍵有効期限管理DB17に登録して管理する。
図4は、鍵有効期限管理DB17を構成するデータ項目の一例を示す図である。同図に示すように、鍵有効期限管理DB17は、サーバID、インデックス、有効期限等のデータ項目からなるレコードによって構成されている。ここで、サーバIDの項目には、各アプリケーションサーバ30の識別情報が格納される。また、インデックス値の項目には、アプリケーションサーバ30で現在利用されている秘密鍵の生成に用いたインデックス値が格納される。また、有効期限の項目には、そのインデックス値の有効期限が格納される。
図2に戻り、鍵更新情報生成部18は、アプリケーションサーバ30から秘密鍵の更新を要求する「秘密鍵更新申請」コマンドを受けた際に、鍵セット記憶部14に記憶された鍵セット(pk、sk*、sk_0)と、鍵有効期限管理DB17に登録された当該アプリケーションサーバ30の現在のインデックス値と、鍵割り当て範囲管理DB16に登録された当該アプリケーションサーバ30の鍵割り当て範囲のうち、次に割り当てを行うインデックス値とを基に、鍵更新情報upd_{i、j}を生成する。
ここで、upd_{i、j}は、現在のインデックスiを用いた秘密鍵を、次のインデックスjを用いた秘密鍵に更新するための情報であり、Key Insulated Signature方式での鍵更新演算子(アルゴリズム)に相当する。
例えば、上述した第1の方式の場合、アプリケーションサーバ30Aの現在の秘密鍵が「sk_i0」であったとすると、インデックスi0が「i」となり(i=i0)、次のインデックス{i0+1}が「j」となる(j=i0+1)。また、同様にアプリケーションサーバ30Bについても、現在の秘密鍵が「sk_{i0+n}」であったとすると、インデックス{i0+n}が「i」となり(i={i0+n})、次のインデックス{i0+n+1}が「j」となる(j={i0+n+1})。
また、上述した第2の方式の場合、アプリケーションサーバ30Aの現在の秘密鍵が「sk_i0」であったとすると、インデックスi0が「i」となり(i=i0)、次のインデックス{i0+k}が「j」となる(j={i0+k})。また、同様にアプリケーションサーバ30Bについても、現在の秘密鍵が「sk_{i0+1}」であったとすると、インデックス{i0+1}が「i」となり(i={i0+n})、次のインデックス{i0+1+k}が「j」となる(j={i0+1+k})。
次に、データ保持機器20の機能的構成について図5を用いて説明する。図5に示すように、データ保持機器20は、制御部21、送受信部22、公開鍵記憶部23、署名検証処理部24、データ記憶部25、鍵有効期限管理部26及び鍵有効期限管理DB27を有する。
ここで、送受信部22の機能は、データ保持機器20の有する通信I/Fと、データ保持機器20の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、制御部21、署名検証処理部24及び鍵有効期限管理部26の各機能は、データ保持機器20の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、公開鍵記憶部23、データ記憶部25及び鍵有効期限管理DB27はそれぞれ、データ保持機器20の有する例えば補助記憶部に確保される記憶領域である。
制御部21は、データ保持機器20を構成する各機能部の動作を統括的に制御する。送受信部22は、利用者端末10やアプリケーションサーバ30等の他の情報処理装置との通信を制御する。
公開鍵記憶部23は、送受信部22が利用者端末10から受信した公開鍵を記憶する。署名検証処理部24は、送受信部22がアプリケーションサーバ30から受信した電子署名の真正性を、公開鍵記憶部23に記憶された公開鍵を用いて検証する。
データ記憶部25は、図示しないデータ計測部が計測した、電力使用量、ガス使用量、水道使用量等のデータを記憶する。また、アプリケーションサーバ30からの要求に応じて、送受信部22を通じて記憶されたデータの一部または全部をアプリケーションサーバ30に提供する。なお、データ計測部は、データ保持機器20が備える形態としてもよいし、ネットワークN等を介して接続することで、データ保持機器20の外部装置とする形態としてもよい。
鍵有効期限管理部26は、送受信部22を通じて利用者端末10から送られてくる秘密鍵の「インデックス値」及び「有効期限」についての情報を、鍵有効期限管理DB27に登録し管理する。
図6は、鍵有効期限管理DB27を構成するデータ項目の一例を示す図である。同図に示すように、鍵有効期限管理DB27は、インデックス値、有効期限等のデータ項目からなるレコードによって構成されている。ここで、インデックス値及び有効期限のデータ項目には、利用者端末10から送信されたインデックス値及び有効期限が格納される。鍵有効期限管理DB27に格納されたこれらの情報は、アプリケーションサーバ30から送信された署名を検証する際に用いられる。
ここで、署名検証の方法の概要を説明する。アプリケーションサーバ30からデータリクエストコマンドとして、所望データの内容を記した「リクエスト」req_i、アプリケーションサーバ30が使用中の秘密鍵sk_iのインデックスi、上記リクエストのハッシュ値等に対して秘密鍵sk_iを用いて生成した署名sig_iが送られてくると、公開鍵記憶部23は、まずインデックスiが有効かどうかを、鍵有効期限管理DB27の有効期限を参照して確認する。インデックスiが有効であった場合は、署名検証処理部24は、公開鍵記憶部23に記憶された公開鍵pkを用いて署名sig_iを検証することで、署名sig_iからハッシュ値を導出する。また、導出したハッシュ値とリクエストreq_iから算出したハッシュ値とを比較することで、リクエストreq_iの真正性を確認する。そして、リクエストreq_iの真正性が確認できた場合、制御部21は、リクエストreq_iで指示されたデータをアプリケーションサーバ30に送信する。
次に、アプリケーションサーバ30の機能的構成について図7を用いて説明する。図7に示すように、アプリケーションサーバ30は、制御部31、送受信部32、秘密鍵・インデックス記憶部33、署名データ生成部34、データ記憶部35及びリクエスト生成部36を有する。
ここで、送受信部32の機能は、アプリケーションサーバ30の有する通信I/Fと、アプリケーションサーバ30の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、制御部31、署名データ生成部34及びリクエスト生成部36の各機能は、アプリケーションサーバ30の有するCPUが主記憶部や補助記憶部に記憶された各種プログラムを実行することにより実現される。また、秘密鍵・インデックス記憶部33及びデータ記憶部35の各記憶部は、アプリケーションサーバ30の有する例えば補助記憶部に確保される記憶領域である。
制御部31は、アプリケーションサーバ30を構成する各機能部の動作を統括的に制御する。送受信部32は、利用者端末10やデータ保持機器20等の他の情報処理装置との通信を制御する。
秘密鍵・インデックス記憶部33は、利用者端末10から受信した秘密鍵、インデックス及び有効期限を記憶する。また、署名データ生成部34がリクエストに対する署名を生成する際に秘密鍵の情報を提供する。
署名データ生成部34は、リクエスト生成部36がリクエストコマンド(req_i、i、sig_i)を生成する際に、リクエストreq_iのハッシュ値に対して秘密鍵sk_iを用いることで署名sig_iを生成する。なお、署名生成の具体的な方法としては、例えば上述したKey Insulated Signature方式の署名生成方式を適用すればよい。
データ記憶部35は、データ保持機器20から受信したデータを記憶する。なお、データの使用目的・使用方法については、特に問わないものとする。
リクエスト生成部36は、送受信部32がデータ保持機器20に対して送信するリクエストコマンド(req_i、i、sig_i)を生成する。具体的に、リクエスト生成部36は、所望するデータを指示したリクエスト情報req_iを生成し、req_iに対する署名データの生成を、署名データ生成部34に依頼して、署名sig_iおよびインデックスiを入手する。
次に、本実施形態のアクセス制御システムの動作について説明する。本システムが動作するためには、システムセットアップ処理、アプリケーションサーバセットアップ処理、データリクエスト処理及び秘密鍵更新処理の4つの処理が必要となる。以下、これら4つの処理について順次説明する。
まず、図8を参照し、システムセットアップ処理の手順について説明する。ここで、図8は、システムセットアップ処理の手順を示すフローチャートである。
まず、利用者端末10では、鍵セット生成部13がKey Insulated Signature方式の鍵セット(pk、sk*、sk_0)を生成し(ステップS11)、当該鍵セットを鍵セット記憶部14に記憶する(ステップS12)。続いて、制御部11は、鍵セット記憶部14に記憶された鍵セットのうち公開鍵pkを、データ保持機器20に送信する(ステップS13)。
一方、データ保持機器20では、送受信部22が利用者端末10から公開鍵pkを受信すると(ステップS21)、制御部21は、この公開鍵pkを公開鍵記憶部23に記憶する(ステップS22)。
このように、システムセットアップ処理では、利用者端末10で生成された鍵セット(pk、sk*、sk_0)のうち、公開鍵pkがデータ保持機器20に保持される。なお、データ保持機器20では、入手した公開鍵を用いて署名検証処理に必要となる値を事前に計算しておく形態としてもよく、この場合、後述するデータリクエスト処理において、アプリケーションサーバ30から送信されるデータリクエストに対応する処理時間を短縮することが可能である。
次に、図9を参照し、アプリケーションサーバセットアップ処理の手順について説明する。ここで、図9は、アプリケーションサーバセットアップ処理の手順を示すフローチャートである。
まず、アプリケーションサーバ30では、制御部31が、利用者端末10に対しデータの「利用申請」コマンドを送信する(ステップS31)。なお、利用申請コマンドには、アプリケーションサーバ30の真正性を確認可能な認証情報が含まれるものとする。
利用者端末10では、送受信部12がアプリケーションサーバ30から利用申請コマンドを受信すると(ステップS41)、制御部11は、この利用申請コマンドに含まれた認証情報を検証し(ステップS42)、アプリケーションサーバ30の真正性を確認する(ステップS43)。アプリケーションサーバ30の真正性が確認できない場合(ステップS43;No)、制御部11は、送受信部12を介してアプリケーションサーバ30にエラーを送信し(ステップS46)、処理を終了する。
また、ステップS43において、アプリケーションサーバ30の真正性が確認された場合(ステップS43;Yes)、鍵割り当て管理部15は、鍵割り当て範囲管理DB16を参照し、他のアプリケーションサーバ30に未割り当ての鍵割り当て範囲(インデックスの集合)を検索する(ステップS44)。ここで、未割り当ての鍵割り当て範囲が存在しない場合(ステップS45;No)、鍵割り当て管理部15は、送受信部12を介してアプリケーションサーバ30にエラーを送信し(ステップS46)、処理を終了する。
また、ステップS45において、未割り当ての鍵割り当て範囲が存在した場合には(ステップS45;Yes)、鍵割り当て管理部15は、その鍵割り当て範囲を、利用申請コマンドを送信したアプリケーションサーバ30(以下、送信元アプリケーションサーバ30という)のサーバIDと関連付けて、鍵割り当て範囲管理DB16に登録する(ステップS47)。さらに、鍵割り当て管理部15は、ステップS47で登録した鍵割り当て範囲から、今回の秘密鍵の生成に用いる一のインデックスiを選択すると、このインデックスiと、送信元アプリケーションサーバ30のサーバIDと、このインデックスiの有効期限tとを関連付け、鍵有効期限管理DB17に登録する(ステップS48)。
続いて、制御部11は、鍵セット記憶部14に記憶された鍵セットに含まれるマスター鍵sk*と、鍵有効期限管理DB17に登録された、送信元アプリケーションサーバ30のサーバIDに対応するインデックスiとを用いて、秘密鍵sk_iを生成する(ステップS49)。そして、制御部11は、送受信部12を介して送信元アプリケーションサーバ30に、生成した秘密鍵sk_i、鍵有効期限管理DB17に記憶された送信元アプリケーションサーバ30のインデックスi及び有効期限tを送信する(ステップS50)。
一方、アプリケーションサーバ30では、制御部31が、送受信部32により利用者端末10から秘密鍵sk_i、インデックスi及び有効期限tの組を受信したか否かを判定する(ステップS32)。ここで、利用者端末10からエラーを受信したと判定した場合には(ステップS32;No)、処理を終了する。また、利用者端末10から、秘密鍵sk_i、インデックスi及び有効期限tの組を受信したと判定した場合(ステップS32;Yes)、制御部31は、受信した秘密鍵sk_i、インデックスi及び有効期限tの組を、秘密鍵・インデックス記憶部33に記憶する(ステップS33)。
また、利用者端末10では、ステップS50を実行した後、制御部11は、送受信部12を介し、鍵有効期限管理DB17に登録された、送信元アプリケーションサーバ30のインデックスi及び有効期限tをデータ保持機器20に送信する(ステップS51)。
データ保持機器20では、送受信部22が利用者端末10からインデックスi及び有効期限tを受信すると(ステップS61)、鍵有効期限管理部26は、このインデックスiと有効期限tとを関連付け、鍵有効期限管理DB27に登録する(ステップS62)。
このように、アプリケーションサーバセットアップ処理では、アプリケーションサーバ30に使用する鍵割り当て範囲が、利用者端末10に設定される。また、利用者端末10で生成された秘密鍵sk_iが、当該秘密鍵sk_iの生成に用いたインデックスiと、その有効期限tとともにアプリケーションサーバ30に提供されるとともに、インデックスi及び有効期限tがデータ保持機器20に提供される。これにより、アプリケーションサーバ30がデータ保持機器20からデータを取得する環境が整ったことになる。
次に、図10を参照して、データリクエスト処理の手順について説明する。ここで、図10は、データリクエスト処理の手順を示すフローチャートである。
まず、アプリケーションサーバ30では、リクエスト生成部36が、リクエストコマンド(req_i、i、sig_i)を生成すると(ステップS71)、当該リクエストコマンドを、送受信部32を介してデータ保持機器20に送信する(ステップS72)。
データ保持機器20では、送受信部22がリクエストコマンドを受信すると(ステップS81)、制御部21は、鍵有効期限管理DB27を参照して、受信したリクエストコマンドに含まれるインデックスiが、有効期限内か否かを判定する(ステップS82)。ステップS82において、インデックスiが有効期限外と判定した場合(ステップS82;No)、制御部21は、送受信部22を介してアプリケーションサーバ30にエラー発生を送信し(ステップS85)、処理を終了する。
また、ステップS82でインデックスiが有効期限内と判定した場合(ステップS82;Yes)、署名検証処理部24は、リクエストコマンドに含まれる署名sig_iを公開鍵記憶部23に記憶された公開鍵pkを用いて検証することで(ステップS83)、当該リクエストコマンドに含まれるreq_iの真正性を判定する(ステップS84)。ここで、req_iの真正性が確認できない場合(ステップS84;No)、署名検証処理部24は、送受信部22を介してアプリケーションサーバ30にエラー発生を送信し(ステップS85)、処理を終了する。
また、ステップS84でreq_iの真正性が確認された場合(ステップS84;Yes)、制御部21は、リクエストreq_iに含まれる指示内容を元に、データ記憶部25からデータを読み出し(ステップS86)、送受信部22を介してアプリケーションサーバ30に送信する(ステップS87)。
一方、アプリケーションサーバ30では、制御部31が、送受信部32によりデータ保持機器20からデータを受信したか否かを判定する(ステップS73)。ここで、データ保持機器20からエラーを受信したと判定した場合には(ステップS73;No)、処理を終了する。また、データ保持機器20からデータを受信したと判定した場合(ステップS73;Yes)、制御部31は、受信したデータをデータ記憶部35に記憶する(ステップS74)。
このように、データリクエスト処理では、アプリケーションサーバ30がデータリクエストと当該リクエストに対する署名を生成し、データ保持機器20に送信する。そして、データ保持機器では、受信した署名を検証し、検証に成功した場合にデータリクエストに記載されたデータをアプリケーションサーバ30に提供する。
次に、図11を参照し、秘密鍵更新処理の手順について説明する。ここで、図11は、秘密鍵更新処理の手順を示すフローチャートである。なお、本処理は、データリクエスト処理のステップS82において有効期限外と判定された場合や、アプリケーションサーバ30の秘密鍵・インデックス記憶部33に記憶されたインデックスiの有効期限tが切れた場合等に実行されるものである。
まず、アプリケーションサーバ30では、制御部31が、送受信部32を介し利用者端末10に「秘密鍵更新申請」コマンドを送信する(ステップS91)。この秘密鍵更新申請コマンドには、上記した利用申請コマンドと同様に認証情報が含まれるものとする。
利用者端末10では、送受信部12がアプリケーションサーバ30から秘密鍵更新申請コマンドを受信すると(ステップS101)、制御部11は、この秘密鍵更新申請コマンドに含まれた認証情報を検証し(ステップS102)、アプリケーションサーバ30の真正性を確認する(ステップS103)。ここで、アプリケーションサーバ30の真正性が確認できない場合(ステップS103;No)、制御部11は、アプリケーションサーバ30にエラーを送信し(ステップS104)、処理を終了する。
ステップS103において、アプリケーションサーバ30の真正性が確認されると(ステップS103;Yes)、鍵更新情報生成部18は、鍵有効期限管理DB17から、このアプリケーションサーバ30のサーバIDに対応するインデックスiを読み出すとともに、鍵割り当て範囲管理DB16から、このアプリケーションサーバ30のサーバIDに対応する鍵割り当て範囲から、次のインデックスjを読み出す(ステップS105)。
続いて、鍵更新情報生成部18は、鍵セット記憶部14に記憶された鍵セットに含まれるマスター鍵sk*と、ステップS105で読み出したインデックスi、jとを用いて、鍵更新情報upd_{i、j}を生成するとともに、このインデックスjの有効期限t’を決定する(ステップS106)。
次いで、制御部11は、ステップS106で生成された鍵更新情報upd_{i、j}と、秘密鍵の更新に用いる新たなインデックスjと、その有効期限t’とを、送受信部12を介しアプリケーションサーバ30に送信する(ステップS107)。
アプリケーションサーバ30では、制御部31が、送受信部32より利用者端末10から鍵更新情報upd_{i、j}、インデックスj及び有効期限t’の組を受信したか否かを判定する(ステップS92)。ここで、利用者端末10からエラーを受信したと判定した場合には(ステップS92;No)、処理を終了する。また、利用者端末10から鍵更新情報upd_{i、j}、インデックスj及び有効期限t’の組を受信したと判定した場合(ステップS92;Yes)、制御部31は、受信した鍵更新情報upd_{i、j}と、秘密鍵・インデックス記憶部33に記憶された秘密鍵sk_iとを用いて、新たな秘密鍵sk_jを生成する(ステップS93)。そして、制御部31は、秘密鍵・インデックス記憶部33に記憶された秘密鍵sk_i、インデックスi及び有効期限tを、新たな秘密鍵sk_j、インデックスj及び有効期限t’に更新する(ステップS94)。
また、利用者端末10では、ステップS107の後、制御部11が、ステップS107で送信先となったアプリケーションサーバ30のサーバIDに対応する鍵有効期限管理DB17のインデックスiを、新たなインデックスjで上書きするとともに、有効期限tを、新たな有効期限をt’で上書きすることで、鍵有効期限管理DB17を更新する(ステップS108)。そして、制御部11は、インデックスj及びその有効期限t’を、送受信部12を介してデータ保持機器20に送信する(ステップS109)。
一方、データ保持機器20では、送受信部22が利用者端末10からインデックスj及びその有効期限t’を受信すると(ステップS111)、制御部21は、鍵有効期限管理DB27に記憶されたインデックスi及び有効期限tを、受信したインデックスj及び有効期限t’で上書きすることで、鍵有効期限管理DB27を更新し(ステップS112)する。
このように、秘密鍵更新処理では、利用者端末10が、アプリケーションサーバ30が保持する秘密鍵sk_iを更新するための鍵更新情報upd_{i、j}を、鍵セットを用いて生成し、当該鍵更新情報upd_{i、j}をアプリケーションサーバ30に送信する。アプリケーションサーバ30では、受信した鍵更新情報upd_{i、j}と自身が保持する秘密鍵sk_iを用いて、新たな秘密鍵sk_{j}を生成し、古い秘密鍵sk_iと置き換える。その後、データリクエスト処理での署名生成時には、新た秘密鍵sk_{j}が用いられる。
以上のように、本実施形態のアクセス制御システム100では、アプリケーションサーバ30がデータ保持機器20にデータリクエストを送信する際に、秘密鍵を用いて生成した電子署名のみを送信すればよく、公開鍵証明書が不要となるため、通信コストを削減することができるとともに、データ保持機器20の計算負荷を軽減することができる。
また、利用者端末10において、同一のマスター鍵から生成した秘密鍵を、アプリケーションサーバ30間で重複しないよう割り当てることで、データ保持機器20が保持する公開鍵を、全てのアプリケーションサーバ30で共用することができるため、データ保持機器20で公開鍵を保存するための領域の縮小化を図ることが出来る。
以上、本発明の実施形態を説明したが、上記実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。新規な上記実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。上記実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
例えば、上記実施形態の各装置で実行されるプログラムは、各装置が備える記憶媒体(ROM又はHDD)に予め組み込んで提供するものとするが、これに限らず、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。さらに、記憶媒体は、コンピュータ或いは組み込みシステムと独立した媒体に限らず、LANやインターネット等により伝達されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、上記実施形態の各装置で実行されるプログラムをインターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよく、インターネット等のネットワーク経由で提供又は配布するように構成してもよい。
100 アクセス制御システム
10 利用者端末
11 制御部
12 送受信部
13 鍵セット生成部
14 鍵セット記憶部
15 鍵割り当て管理部
16 鍵割り当て範囲管理DB
17 鍵有効期限管理DB
18 鍵更新情報生成部
20 データ保持機器
21 制御部
22 送受信部
23 公開鍵記憶部
24 署名検証処理部
25 データ記憶部
26 鍵有効期限管理部
27 鍵有効期限管理DB
30 アプリケーションサーバ
31 制御部
32 送受信部
33 秘密鍵・インデックス記憶部
34 署名データ生成部
35 データ記憶部
36 リクエスト生成部
10 利用者端末
11 制御部
12 送受信部
13 鍵セット生成部
14 鍵セット記憶部
15 鍵割り当て管理部
16 鍵割り当て範囲管理DB
17 鍵有効期限管理DB
18 鍵更新情報生成部
20 データ保持機器
21 制御部
22 送受信部
23 公開鍵記憶部
24 署名検証処理部
25 データ記憶部
26 鍵有効期限管理部
27 鍵有効期限管理DB
30 アプリケーションサーバ
31 制御部
32 送受信部
33 秘密鍵・インデックス記憶部
34 署名データ生成部
35 データ記憶部
36 リクエスト生成部
Claims (9)
- 公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する鍵セット生成部と、
前記鍵セットに含まれる同一の前記マスター鍵を用いて、自己の装置にアクセスしたサーバ装置毎に互いに異なる秘密鍵を生成する秘密鍵生成部と、
前記秘密鍵生成部が生成した前記秘密鍵を対応するサーバ装置に夫々提供する秘密鍵提供部と、
前記サーバ装置の各々において前記秘密鍵を用いて生成される署名情報を検証させるため、当該検証を行う検証装置に前記公開鍵を提供する公開鍵提供部と、
を備えたことを特徴とする情報処理装置。 - 前記サーバ装置毎に互いに異なる数値を要素とした数値集合を割り当てる鍵割当部を更に備え、
前記秘密鍵生成部は、前記鍵セットに含まれる同一の前記マスター鍵と前記数値集合に含まれる一の数値とを用いて、当該数値に応じた秘密鍵を前記サーバ装置毎に生成することを特徴とする請求項1に記載の情報処理装置。 - 前記鍵セットに含まれた前記マスター鍵と、前回の秘密鍵の生成に用いた第1の数値と、新たな秘密鍵の生成に用いる第2の数値とを用いて、前回の秘密鍵を新たな秘密鍵に更新させる鍵更新情報を生成する鍵更新情報生成部と、
前記鍵更新情報生成部が生成した前記鍵更新情報を対応するサーバ装置に夫々提供する更新情報提供部と、
を更に備え、
前記鍵更新情報生成部は、前記第1の数値を含む数値集合から前記第2の数値を選択することを特徴とする請求項2に記載の情報処理装置。 - 前記秘密鍵の生成に用いた数値毎に、当該数値を用いて生成した秘密鍵の有効期限を定めて管理する有効期限管理部を更に備え、
前記鍵更新情報生成部は、前記有効期限管理部に管理された有効期限切れの数値を前記第1の数値とし、当該第1の数値について前記鍵更新情報を生成することを特徴とする請求項3に記載の情報処理装置。 - 前記鍵割当部は、前記サーバ装置毎に互いに異なる数値範囲を割り当て、
前記秘密鍵生成部は、前記鍵セットに含まれる同一の前記マスター鍵と前記数値範囲に含まれる一の数値とを用いて、当該数値に応じた秘密鍵を前記サーバ装置毎に生成することを特徴とする請求項2〜4の何れか一項に記載の情報処理装置。 - 前記鍵割当部は、前記サーバ装置毎に互いに異なる数値をとる数列を割り当て、
前記秘密鍵生成部は、前記鍵セットに含まれる同一の前記マスター鍵と前記数列に含まれる一の数値とを用いて、当該数値に応じた秘密鍵を前記サーバ装置毎に生成することを特徴とする請求項2〜4の何れか一項に記載の情報処理装置。 - 前記鍵セット生成部は、Key Insulated Signature方式を用いて前記鍵セットを生成することを特徴とする請求項1〜6の何れか一項に記載の情報処理装置。
- コンピュータを、
公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する鍵セット生成手段と、
前記鍵セットに含まれる同一の前記マスター鍵を用いて、自己の装置にアクセスしたサーバ装置毎に互いに異なる秘密鍵を生成する秘密鍵生成手段と、
前記秘密鍵生成手段が生成した前記秘密鍵を対応するサーバ装置に夫々提供する秘密鍵提供手段と、
前記サーバ装置の各々において前記秘密鍵を用いて生成される署名情報を検証させるため、当該検証を行う検証装置に前記公開鍵を提供する公開鍵提供手段と、
して機能させるためのプログラム。 - 情報処理装置と、サーバ装置と、データ保持装置とを有するアクセス制御システムであって、
前記情報処理装置は、公開鍵とマスター鍵とを少なくとも含む鍵セットを生成する鍵セット生成部と、前記鍵セットに含まれる公開鍵を前記データ記憶装置に提供する公開鍵提供部と、前記鍵セットに含まれる同一の前記マスター鍵を用いて前記サーバ装置毎に互いに異なる秘密鍵を生成する秘密鍵生成部と、前記秘密鍵生成部が生成した前記秘密鍵を対応するサーバ装置に夫々提供する秘密鍵提供部と、
を備え、
前記サーバ装置は、前記データ保持装置に記憶されたデータの取得を要求する要求情報に対し前記秘密鍵を用いることで当該要求情報の署名情報を生成する署名情報生成部と、前記要求情報と前記署名情報とを含むコマンドを、前記データ保持装置に送信する送信部と、
を備え、
前記データ保持装置は、所定のデータを記憶する記憶部と、前記サーバ装置から前記コマンドを受信する受信部と、前記公開鍵を用いて前記コマンドに含まれた前記署名情報を検証することで当該コマンドに含まれた前記要求情報の真正性を判定する署名検証部と、前記署名検証部が前記要求情報の真正性を確認した場合に、前記記憶部に記憶されたデータを前記サーバ装置に提供するデータ提供部と、
を備えたことを特徴とするアクセス制御システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011060159A JP2012195903A (ja) | 2011-03-18 | 2011-03-18 | 情報処理装置、プログラム及びアクセス制御システム |
| US13/353,438 US20120239937A1 (en) | 2011-03-18 | 2012-01-19 | Information processing device, computer program product, and access control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011060159A JP2012195903A (ja) | 2011-03-18 | 2011-03-18 | 情報処理装置、プログラム及びアクセス制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012195903A true JP2012195903A (ja) | 2012-10-11 |
Family
ID=46829438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011060159A Pending JP2012195903A (ja) | 2011-03-18 | 2011-03-18 | 情報処理装置、プログラム及びアクセス制御システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20120239937A1 (ja) |
| JP (1) | JP2012195903A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017183991A (ja) * | 2016-03-30 | 2017-10-05 | ビートレンド株式会社 | 情報配信方法、情報配信システム及び情報配信プログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104322089A (zh) * | 2012-05-23 | 2015-01-28 | 诺基亚公司 | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 |
| US8949594B2 (en) | 2013-03-12 | 2015-02-03 | Silver Spring Networks, Inc. | System and method for enabling a scalable public-key infrastructure on a smart grid network |
| GB2514428B (en) * | 2013-08-19 | 2016-01-13 | Visa Europe Ltd | Enabling access to data |
| CN105513222B (zh) * | 2016-01-22 | 2018-04-20 | 广州御银科技股份有限公司 | 一种基于国密算法的出钞系统及方法 |
| JP2021048518A (ja) * | 2019-09-19 | 2021-03-25 | 株式会社東芝 | 情報処理装置、情報処理システム及び情報処理装置の制御方法 |
| EP4068686A1 (en) * | 2021-03-31 | 2022-10-05 | Siemens Aktiengesellschaft | Signing system for validating stateful hash-based digital signatures |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004112539A (ja) * | 2002-09-19 | 2004-04-08 | Ntt Docomo Inc | 鍵の更新が可能な利用者の識別情報に基づく電子署名方法及び電子署名システム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030008183A (ko) * | 2002-12-24 | 2003-01-24 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법 |
| KR100675380B1 (ko) * | 2005-01-14 | 2007-01-29 | 삼성전자주식회사 | 저자원 디바이스와 공개키를 사용하는 일반 디바이스 간의인증 방법 및 시스템 |
| JP5446453B2 (ja) * | 2009-04-30 | 2014-03-19 | ソニー株式会社 | 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム |
-
2011
- 2011-03-18 JP JP2011060159A patent/JP2012195903A/ja active Pending
-
2012
- 2012-01-19 US US13/353,438 patent/US20120239937A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004112539A (ja) * | 2002-09-19 | 2004-04-08 | Ntt Docomo Inc | 鍵の更新が可能な利用者の識別情報に基づく電子署名方法及び電子署名システム |
Non-Patent Citations (2)
| Title |
|---|
| JPN6013008241; Jian Weng, et al.: 'Identity-Based Key-Insulated Signature with Secure Key-Updates' Lecture Notes in Computer Science Vol.4318, 200612, p.13-26 * |
| JPN6013008244; 花岡裕都子 他: 'IDに基づく暗号系における鍵更新' 電子情報通信学会技術研究報告 第102巻 第323号, 20020913, p.83-90 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017183991A (ja) * | 2016-03-30 | 2017-10-05 | ビートレンド株式会社 | 情報配信方法、情報配信システム及び情報配信プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120239937A1 (en) | 2012-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6547079B1 (ja) | 登録・認可方法、装置及びシステム | |
| CN108737394A (zh) | 离线验证系统、扫码设备和服务器 | |
| CN108650082A (zh) | 待验证信息的加密和验证方法、相关装置及存储介质 | |
| JP3791464B2 (ja) | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム | |
| US8234490B2 (en) | Server certificate issuing system | |
| JP5576985B2 (ja) | 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム | |
| JP2012195903A (ja) | 情報処理装置、プログラム及びアクセス制御システム | |
| US8745380B2 (en) | Pre-encoding a cached certificate revocation list | |
| CN111740966B (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| JP5506704B2 (ja) | 復号システム、鍵装置、復号方法、及びプログラム | |
| US10686604B2 (en) | Key device, key cloud system, decryption method, and program | |
| CN102546176A (zh) | 在多主体环境中支持dns安全 | |
| CN105072108B (zh) | 用户信息的传输方法、装置及系统 | |
| WO2023009229A9 (en) | End to end verification of an election run over a public network | |
| JP2009212689A (ja) | 共通鍵自動配布システム、クライアント、第三者認証機関側サーバ、及び共通鍵自動共有方法 | |
| JP5988747B2 (ja) | 鍵管理装置、アプリケーション署名付加装置および受信端末、ならびに、それらのプログラム | |
| CN111010283B (zh) | 用于生成信息的方法和装置 | |
| JPWO2019163040A1 (ja) | アクセス管理システム、及びそのプログラム | |
| US11516021B2 (en) | Information processing apparatus, communication device, and information processing system | |
| US20100005311A1 (en) | Electronic-data authentication method, Elctronic-data authentication program, and electronic-data, authentication system | |
| JP6808609B2 (ja) | サーバ装置、通信装置、鍵共有システム、鍵共有方法、及びプログラム | |
| JP2007266797A (ja) | 認証システムおよびその認証方法 | |
| JP5651611B2 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、プログラム | |
| JP2013223171A (ja) | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム | |
| García-Martínez et al. | Design and implementation of inblock—a distributed ip address registration system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130702 |