以下、図面に基づいて本発明の実施の形態を説明する。図1は、第一の実施の形態におけるメールシステムのネットワーク構成例を示す図である。図1において、メールシステム1は、送信者端末10a、受信者端末10b、攻撃者端末10c、送信元サーバ20a、受信先サーバ20b、及び中継サーバ20c等を含む。
送信者端末10aは、電子メールの正当な送信者Aが利用する端末である。送信者端末10aは、LAN(Local Area Network)等のネットワークを介して送信元サーバ20aに接続されている。送信元サーバ20aは、送信者端末10aより送信される受信者B宛の電子メールを、例えば、SMTP(Simple Mail Transfer Protocol)等に従って、中継サーバ20cに転送するコンピュータである。中継サーバ20cは、例えば、SMTPに従って、受信者B宛の電子メールを、受信先サーバ20bに転送するコンピュータである。中継サーバ20cは、送信元サーバ20a及び受信先サーバ20bと、LAN又はインターネット等のネットワークを介して接続されている。
受信者端末10bは、電子メールの受信者Bが利用する端末である。受信者端末10bは、例えば、POP(Post Office Protocol)等に従って、受信者B宛の電子メールを、受信先サーバ20bより受信する。
攻撃者端末10cは、送信者Aに成りすました攻撃者Cが利用する端末である。攻撃者端末10cは、送信者Aに成りすまして、受信者B宛の電子メールを送信する。
なお、送信者端末10a、受信者端末10b、及び攻撃者端末10c等の端末は、例えば、PC(Personal Computer)、ダブレット型端末、スマートフォン、又は携帯電話等、電子メールの送信機能又は受信機能を有する電子機器である。以下、これらの端末を区別しない場合、単に「端末10」という。
図2は、第一の実施の形態における端末のハードウェア構成例を示す図である。図X3の端末は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、インタフェース装置105、表示装置106、及び入力装置107等を有する。
端末10での処理を実現するプログラムは、記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って端末10に係る機能を実現する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。表示装置106はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置107はキーボード及びマウス等であり、様々な操作指示を入力させるために用いられる。
なお、記録媒体101の一例としては、CD−ROM、DVDディスク、SDメモリカード、又はUSBメモリ等の可搬型の記録媒体が挙げられる。また、補助記憶装置102の一例としては、HDD(Hard Disk Drive)又はフラッシュメモリ等が挙げられる。記録媒体101及び補助記憶装置102のいずれについても、コンピュータ読み取り可能な記録媒体に相当する。
また、送信元サーバ20a、中継サーバ20c、及び受信先サーバ20bも、図2に示されるようなハードウェアを有していてもよい。但し、これらのサーバは、表示装置106及び入力装置107を有していなくてもよい。
図3は、第一の実施の形態における送信者端末及び受信者端末の機能構成例を示す図である。図3において、送信者端末10aは、電子サイン生成部111、メール送信部112、及び再送要求応答部113等を有する。これら各部は、送信者端末10aにインストールされたプログラムが、送信者端末10aのCPU104に実行させる処理により実現される。送信者端末10aは、また、送信管理情報記憶部114、送信メール記憶部115、及びペア鍵記憶部116等を利用する。これら各記憶部は、送信者端末10aの補助記憶装置102、又は送信者端末10aにネットワークを介して接続される記憶装置等を用いて実現可能である。
電子サイン生成部111は、送信対象の電子メールに対する電子サイン(電子署名)を生成する。メール送信部112は、送信対象の電子メールを送信する。送信される電子メールには、電子サイン生成部111によって生成された電子サインが付与又は付加される。再送要求応答部113は、電子メールの再送要求に応じた処理を実行する。電子メールの再送要求は、受信者端末10bが、受信メールについて正当性を判定できない場合に、受信メールの送信元アドレス宛に送信する。
送信管理情報記憶部114は、送信された電子メールごとに管理情報(以下、「送信管理情報」という。)を記憶する。送信メール記憶部115は、送信された電子メールの実体(例えば、当該電子メールを格納したファイル)を記憶する。ペア鍵記憶部116は、電子サインの生成、又は電子サインが付与された電子メールの正当性の判定に利用される秘密鍵及び公開鍵を対応付けて記憶する。
受信者端末10bは、メール受信部121、公開鍵特定部122、正当性判定部123、再送要求送信部124、及び不正メール除去部125等を有する。これら各部は、受信者端末10bにインストールされたプログラムが、受信者端末10bのCPU104に実行させる処理により実現される。受信者端末10bは、また、受信管理情報記憶部126、受信メール記憶部127、及び公開鍵記憶部128等を利用する。これら各記憶部は、受信者端末10bの補助記憶装置102、又は受信者端末10bにネットワークを介して接続される記憶装置等を用いて実現可能である。
メール受信部121は、POP(Post Office Protocol)等に従って、受信先サーバ20bより電子メールを受信する。公開鍵特定部122は、公開鍵記憶部128に記憶されている公開鍵の中から、受信された電子メールに付与されている電サインに対応する公開鍵を特定する。正当性判定部123は、特定された公開鍵が有効であるか否かに基づいて、受信された電子メールの正当性を判定する。特定された公開鍵が有効であるか否かは、受信された電子メールに付与された電子サインが有効であるか否かと等価である。再送要求送信部124は、電子サインが有効でない、すなわち、正当性が不明である電子メールについて、当該電子メールの送信元アドレス宛に、再送要求を送信する。なお、正当性判定部123は、再送要求に応じた再送の有無に基づいて、有効でない電子サインが付与された受信メールについても、正当性を判定する。不正メール除去部125は、正当性判定部123によって不正であると判定された(又は正当であると判定されなかった)受信メール及び当該受信メールの管理情報を受信メール記憶部127又は受信管理情報記憶部126より削除する。
受信管理情報記憶部126は、受信された電子メールごとに管理情報(以下、「受信管理情報」という。)を記憶する。受信メール記憶部127は、受信された電子メールの実体を記憶する。公開鍵記憶部128は、電子サインの生成に利用される秘密鍵のペア鍵である公開鍵を記憶する。
以下、メールシステム1において実行される処理手順について説明する。図4は、第一の実施の形態のメールシステムにおいて実行される処理手順の一例を説明するためのシーケンス図である。
ステップS101、S111、及びS121において、送信者端末10aは、受信者B宛の電子メールを送信する。なお、ステップS101、S111、及びS121では、相互に異なるタイミングに、異なる内容の電子メールが送信されることとする。
具体的には、ステップS101では、8月13日の或る時点において、メールIDがa1であり、内容がA1である電子メールA1(以下、「電子メールa1(A1)」といい、他の電子メールについても同様の命名規則に従う。)が送信される。メールIDとは、本実施の形態において、各電子メールを識別するための識別情報の一例である。
電子メールa1(A1)には、電子サインE(A1、k)が付与さる。電子サインE(A1、k)は、A1のダイジェスト値(メッセージダイジェスト等のハッシュ値)が秘密鍵kによって暗号化されることにより生成された電子サイン(電子署名)をいう。
ステップS111では、8月13日の或る時点において、メールIDがa2であり、内容がA2である電子メールa2(A2)が送信される。電子メールa2(A2)には、電子サインE(A2、k)が付与さる。
なお、電子メールa1(A1)及び電子メールa2(A2)に付与される電子サインの生成に用いられる秘密鍵kの有効期間の終了日(有効期限)は、8月13日であるとする。なお、本実施の形態において、秘密鍵の有効期間は、当該秘密鍵に対応する公開鍵の有効期間でもあり、当該秘密鍵を用いて生成された電子サインの有効期間でもある。
ステップS121では、8月14日の或る時点において、メールIDがa3であり、内容がA3である電子メールa3(A3)が送信される。電子メールa3(A3)には、電子サインE(A3、n)が付与さる。なお、電子サインE(A3、n)の生成に用いられる秘密鍵nの有効期間の開始日は、8月14日であるとする。
電子メールa1(A1)、電子メールa2(A2)、及び電子メールa3(A3)のそれぞれは、送信元サーバ20a及び中継サーバ20cによって、受信先サーバ20bに転送される(S102、S103、S112、S113、S122、S123)。なお、中継サーバ20cが電子メールa2(A2)を転送中に、8月13日が経過したとする。
受信者端末10bは、8月13日に電子メールa1(A1)を受信し(S104)、8月14日に、電子メールa2(A2)及び電子メールa3(A3)を受信する(S114、S124)。
一方、攻撃者端末10cは、8月14日において、電子メールc1(C1)及び電子メールa2(C2)を、受信者B宛に送信する(S131、S141)。電子メールc1(C1)には、電子サインE(C1、k)が付与され、電子メールa2(C2)には、電子サイン(C2、k)が付与される。すなわち、攻撃者端末10cでは、本来であれば送信者Aのみが有しているべき秘密鍵kを用いて、電子サインが生成される。また、攻撃者端末10cより送信される電子メールの送信元アドレスは、送信者Aのメールアドレスである。更に、電子メールa2(C2)については、電子メールa2(A2)と、メールIDが共通する。
電子メールc1(C1)及び電子メールa2(C2)は、中継サーバ20cによって受信先サーバ20bに転送される(S132、S142)。受信者端末10bは、8月14日に、電子メールc1(C1)及び電子メールa2(C2)を受信する(S133、S143)。
受信者端末10bが受信した電子メールのうち、受信者端末10bにおける受信時において、電子サイン(電子サインに係るペア鍵)の有効期限が切れている電子メールは、電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)である。そこで、受信者端末10bは、これら3つの電子メールのそれぞれについて、再送要求メールを送信元アドレス宛に送信する(S151、S152、S153)。
送信者端末10aは、再送要求メールを受信すると、送信者端末10aが過去に送信した電子メールについてのみ、再送を行う(S161)。したがって、電子メールa2(A2)については再送が行われ、電子メールc1(C1)及び電子メールa2(C2)については再送は行われない。再送される電子メールa2(A2)には、8月14日を有効期間に含む秘密鍵を用いて生成された電子サインE(A2、n)が付与される。
再送された電子メールa2(A2)は、送信サーバ、中継サーバ20c、及び受信先サーバ20bを経由して、電子サインE(A2、n)の有効期間内である8月14日中に受信者端末10bに受信される(S162〜S164)。その結果、電子メールa2(A2)は、受信者端末10bにおいて正当な電子メールとして扱われる。一方、再送要求メールに対して応答の無い電子メールc1(C1)及び電子メールa2(C2)については、不正な電子メールとして扱われる。
続いて、図4に関して、送信者端末10a又は受信者端末10bにおいて実行される処理手順について説明する。
図5は、第一の実施の形態において送信者端末が電子メールの送信時に実行する処理手順の一例を説明するためのフローチャートである。すなわち、図5は、図4のステップS101、S111、及びS121における電子メールの送信時に実行される処理手順の一例である。
ステップS201において、送信者端末10aの電子サイン生成部111は、所定のハッシュ関数を用いて、送信対象の電子メールのダイジェスト値を算出する。続いて、電子サイン生成部111は、算出されたダイジェスト値を、現在日時において有効期間内の秘密鍵によって暗号化することにより、電子サインを生成する(S202)。有効期間内の秘密鍵は、ペア鍵記憶部116より取得される。
図6は、第一の実施の形態におけるペア鍵記憶部の構成例を示す図である。図6に示されるペア鍵記憶部116は、ペア鍵ごとに、ペア鍵を構成する秘密鍵及び公開鍵と、当該ペア鍵の有効期間とを記憶する。有効期間の表現形式として、「〜8/13」は、8月13日が有効期間の終了日であることを示す。「8/14〜」は、8月14日が有効期間の開始日であることを示す。
したがって、ステップS202では、当日が8月13日であれば、秘密鍵kが利用される。一方、当日が8月14日であれば、秘密鍵nが利用される。
続いて、メール送信部112は、電子メールに電子サインを付与した後、当該電子メールを送信する(S203)。
図7は、第一の実施の形態における電子メールの構成例を示す図である。図7において、電子メールは、作成日時、送信元アドレス、宛先アドレス、メールID、本文、及び電子サイン等を含む。このうち、電子サインを除く部分を、以下、「実体部分」という。
作成日時は、電子メールの作成日時である。送信元アドレスは、電子メールの送信者のメールアドレスである。宛先アドレスは、電子メールの宛先のメールアドレスである。メールIDは、電子メールの識別情報である。本文は、電子メールの本文である。電子サインは、実体部分のダイジェスト値を秘密鍵(図7では、秘密鍵k)によって暗号化した値である。
続いて、メール送信部112は、送信された電子メールに関する送信管理情報を、送信管理情報記憶部114に記憶する(S204)。
図8は、第一の実施の形態における送信管理情報記憶部の構成例を示す図である。図8において、送信管理情報記憶部114は、送信済みの電子メールごとに、メールID、送信日時、及びメールポインタ等を記憶する。メールIDは、送信された電子メールのメールIDである。送信日時は、送信された電子メールの送信日時である。メールポインタは、送信メール記憶部115において、送信された電子メールが記憶されている記憶領域のアドレス情報である。なお、図8は、図4のステップS121の完了時の状態を示す。
続いて、図9は、第一の実施の形態において受信者端末が電子メールの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。すなわち、図9は、図4のステップS104、S114、S124、S133、及びS143等に応じて受信者端末10bが実行する処理手順の一例である。
受信者端末10bのメール受信部121によって電子メールが受信されると、公開鍵特定部122は、当該電子メール(以下、「受信メール」という。)の実体部分のダイジェスト値(以下、「受信ダイジェスト値」という。)を算出する(S211)。続いて、公開鍵特定部122は、現在日時を含む有効期間を有する公開鍵を、公開鍵記憶部128より取得する(S212)。
図10は、第一の実施の形態における公開鍵記憶部の構成例を示す図である。公開鍵記憶部128は、電子サインの生成に利用される秘密鍵に対応する公開鍵ごとに、送信者ID、公開鍵、及び有効期間等を記憶する。送信者IDは、当該公開鍵に対応する秘密鍵を所有する正当な送信者の識別情報である。送信者IDは、例えば、送信者のメールアドレスでもよい。公開鍵は、公開鍵の実体である。有効期間は、公開鍵の有効期間である。当該有効期間は、対応する秘密鍵の有効期間に一致する。なお、図10において、送信者IDが「D」の公開鍵については、有効期間は設定されていない。これは、有効期間が未設定の公開鍵の存在を例示するものである。
ステップS212では、受信メールの送信元アドレスに対応する公開鍵のうち、現在日時を含む有効期間を有する公開鍵が、公開鍵記憶部128より取得される。したがって、受信メールの送信者が送信者Aであり、現在日時が8月13日であれば、公開鍵Kが取得される。一方、現在日時が8月14日であれば、公開鍵Nが取得される。
続いて、公開鍵特定部122は、受信メールに付与されている電子サインを、取得された公開鍵で復号することにより、ダイジェスト値(以下、「復号ダイジェスト値」という。)を得る(S213)。続いて、公開鍵特定部122は、受信ダイジェスト値と復号ダイジェスト値とを比較し、両者の値が一致するか否かを判定する(S214)。
両者の値が一致する場合(S214でYes)、ステップS212において取得された公開鍵が、受信メールの電子サインに対応する(当該電子サインを生成した秘密鍵とペア鍵を構成する)公開鍵であることが特定される。この場合、正当性判定部123は、受信メールの受信管理情報を受信管理情報記憶部126に登録する(S215)。
図11は、第一の実施の形態における受信管理情報記憶部の構成例を示す図である。図11において、受信管理情報記憶部126は、受信メールごとに、送信元アドレス、メールID、受信日時、認証状態、再送要求日時、及びポインタ等を記憶する。
送信元アドレスは、受信メールの送信元アドレスである。メールIDは、受信メールに含まれているメールIDである。受信日時は、受信メールが受信された日時である。認証状態は、受信メールの送信者又は受信メール自体の正当性に関する認証状態である。再送要求日時は、受信メールに関して再送要求メールが送信された場合に、当該再送要求メールの送信日時である。ポインタは、受信メール記憶部127において、当該受信メールが記憶されている記憶領域のアドレス情報である。なお、図11は、図4のステップS153の完了時の状態を示す。
ステップS215において、受信メールが、受信メール記憶部127に記憶され、当該受信メールの記憶領域へのポインタを含む受信管理情報が、受信管理情報記憶部126に記憶される。正当性判定部123は、また、当該受信管理情報の認証状態を「認証済」とする。「認証済」とは、受信メール及び当該受信メールの送信者の正当性が確認された(認証された)状態をいう。すなわち、受信メールの電子サインに対応する公開鍵が、有効期間内であるため、受信メール及び当該受信メールの送信者は、正当であると判定されるのである。
続いて、正当性判定部123は、過去に受信された電子メールの中で、受信メールのメールIDと同一のメールIDを有する未認証の電子メールが存在する場合は、当該電子メール及び当該電子メールの受信管理情報を削除する(S216、S217)。未認証の電子メールとは、認証状態の値が「認証中」である電子メールをいう。
より詳しくは、削除対象の電子メールの実体部分が、ステップS215において登録された受信メール(以下、「正当受信メール」という。)の実体部分と同一の場合、同一メールの重複を解消するために、ステップS216において削除が行われる。この場合の削除対象の電子メールは、正当な電子メールであるため、同一メールの重複が許容される場合は、ステップS216は実行されなくてもよい。一方、削除対象の電子メールの実体部分が、正当受信メールの実体部分と異なる場合、成りすましが検出されたとして、ステップS217において削除が行われる。
ステップS214において、受信ダイジェスト値と復号ダイジェスト値とが一致しない場合(S214でNo)、公開鍵特定部122は、受信メールの作成日時を取り出す(S218)。続いて、公開鍵特定部122は、当該作成日時を有効期間に含む公開鍵を、公開鍵記憶部128より取得する(S219)。続いて、公開鍵特定部122は、受信メールの電子サインを、当該公開鍵で復号することにより、ダイジェスト値(以下、「復号ダイジェスト値」という。)を得る(S220)。続いて、公開鍵特定部122は、受信ダイジェスト値と復号ダイジェスト値とを比較し、両者の値が一致するか否かを判定する(S221)。
両者が異なる場合(S221でNo)、公開鍵特定部122は、受信メールを廃棄する(S222)。当該受信メールは、改竄されている可能性が有るからである。
一方、受信ダイジェスト値と復号ダイジェスト値とが一致する場合(S221でYes)、ステップS219において取得された公開鍵が、受信メールの電子サインに対応する(当該電子サインを生成した秘密鍵とペア鍵を構成する)公開鍵であることが特定される。すなわち、受信メールの電子サインは、期限切れであると判定される。この場合、正当性判定部123は、受信メールと同一のメールIDを含み、認証状態が「認証済」である受信管理情報を、受信管理情報記憶部126より抽出する(S223)。
該当する受信管理情報が抽出されない場合(S224でNo)、再送要求送信部124は、受信メールの送信元アドレス宛に、再送要求メールを送信する(S225)。
図12は、第一の実施の形態における再送要求メールの構成例を示す図である。図12において、再送要求メールは、作成日時、送信元アドレス、宛先アドレス、メールID、本文、及び電子サイン等を含む。
作成日時は、再送要求メールの作成日時である。送信元アドレスは、再送要求元メールの送信元のメールアドレスであり、本実施の形態では、受信者Bのメールアドレスである。宛先アドレスは、再送要求元メールの宛先のメールアドレスであり、本実施の形態では、送信者Aのメールアドレスである。メールIDは、再送要求メールに対するメールIDである。電子サインは、再送要求の実体部分のダイジェスト値を秘密鍵(図7では、秘密鍵#B)によって暗号化した値である。本文は、再送要求メールの本文である。再送要求メールの本文は、所定の形式を有する。具体的には、再送要求メールの本文は、再送要求であることを示すキーワードである「再送要求」、再送要求に係る受信メールのメールID、及び当該受信メールに付与されていた電子サイン等を含む。
なお、ステップS225は、図4において、ステップS151〜S153に対応する。
続いて、正当性判定部123は、受信メールの受信管理情報を受信管理情報記憶部126(図11)に登録する(S226)。当該受信管理情報の認証状態は、「認証中」とされる。また、当該受信管理情報の再送要求日時に、再送要求メールの送信日時が記憶される。なお、「認証中」とは、受信メール及び当該受信メールの送信者の正当性を確認中である状態をいう。
一方、ステップS223において該当する受信管理情報が抽出された場合(S224でYes)、正当性判定部123は、受信メールの内容(実体分部)と、当該受信管理情報に係る認証済みの電子メール(以下、「認証済メール」という。)の内容とが一致するか否かを判定する(S227)。両者が一致する場合(S227でYes)、受信メールと認証済みメールとは重複しているため、正当性判定部123は、受信メールを廃棄する(S228)。但し、重複が許容される場合に、受信メールの廃棄が行われなくてもよいのは、ステップS216と同様である。
一方、受信メールの内容と認証済みメールの内容とが異なる場合(S227でNo)、正当性判定部123は、受信メールは、成りすましによる電子メールであると判定する。そこで、正当性判定部123は、受信メールを廃棄する(S229)。但し、成りすましによる電子メール及び当該電子メールに関する情報は、別途保存され、例えば、成りすましのパターン等の解析に利用されてもよい。
なお、図4において、電子メールa1(A1)及び電子メールa3(A3)は、ステップS215において受信管理情報記憶部126に登録される。電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)に関しては、ステップS225及びS226が実行される。
なお、仮に、電子メールa2(A2)が、8月13日中に受信者端末10bに受信された場合、電子メールa2(A2)は、ステップS215において認証済みとして受信管理情報記憶部126に登録される。この場合、電子メールa2(C2)に関しては、ステップS229において成りすましが検出される。
続いて、図13は、第一の実施の形態において送信者端末が再送要求メールの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。すなわち、図13は、図4のステップS151、S152、S153に応じて送信者端末10aが実行する処理手順の一例である。
ステップS231において、再送要求応答部113は、受信された再送要求メール(図12)の本文に記載されているメールIDに係る電子メールを、送信管理情報記憶部114を参照して取り出す。すなわち、当該送信管理情報記憶部114に記憶されている送信管理情報の中で、当該メールIDを含む送信管理情報のメールポインタに基づいて、該当する電子メールが取得される。
該当する電子メール(以下、「再送メール」という。)が取得された場合(S232でYes)、再送要求応答部113は、再送メールの実体部分のダイジェスト値(以下、「再送ダイジェスト値」という。)を算出する(S233)。続いて、再送要求応答部113は、再送要求メールの本文に含まれている電子サイン(図12参照)を、再送メールの作成日時の時点において有効な公開鍵によって復号することにより、ダイジェスト値(以下、「復号ダイジェスト値」という。)を得る(S234)。なお、再送メールの作成日時とは、再送メールが最初に送信された際の作成日時をいう。また、再送メールの作成日時の時点において有効な公開鍵は、ペア鍵記憶部116より取得可能である。
続いて、再送要求応答部113は、再送ダイジェスト値と復号ダイジェスト値とを比較し、両者が一致するか否かを判定する(S235)。すなわち、再送メールの内容が、再送要求されている電子メールの内容に一致するか否かが判定される。
両者が一致する場合(S235でYes)、再送要求応答部113は、再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれているか否かを判定する(S236)。再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれている場合(S236でYes)、電子サイン生成部111は、再送ダイジェスト値を、現時点を含む有効期間を有する秘密鍵によって暗号化することにより、電子サインを生成する(S237)。当該秘密鍵は、ペア鍵記憶部116(図6)より取得される。続いて、メール送信部112は、再送メールに電子サインを付与して、当該再送メールを送信する(S238)。すなわち、再送要求に係る電子メールが再送される。
図14は、第一の実施の形態における再送メールの構成例を示す図である。図14は、図7に示される電子メール(以下、「元メール」という。)が再送される場合の再送メールの構成例を示す。再送メールの実体部分は、元メールの実体部分と同じである。例えば、再送メールの作成日時は、元メールの作成日時と同じである。一方、再送メールの電子サインは、元メールの電子サインとは異なる。再送メールの電子サインは、再送時において有効な秘密鍵nを用いて生成されるからである。
再送メールが、受信者端末10bにおいて受信されると、受信者端末10bは、図9において説明した処理を実行する。再送メールの受信が、再送メールの電子サインの有効期間内であれば、当該再送メールに関して、ステップS215が実行される。この場合、新たな受信管理情報の登録が行われなくてもよい。元メールに関して実行されたステップS226において受信管理情報記憶部126に記憶された受信管理情報の認証状態が、「認証中」から「認証済」に変更されればよい。
一方、ステップ231で、再送メールになりうる電子メールを取得できなかった場合(S232でNo)、再送ダイジェスト値と復号ダイジェスト値とが一致しない場合(S235でNo)、又は再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれない場合(S236でNo)、再送要求応じた電子メールの再送は行われない。
なお、図4において、電子メールa2(A2)の再送を要求する再送要求メールに対しては、ステップS237及びS238が実行される。その結果、電子メールa2(A2)は、再送される。電子メールc1(C1)の再送を要求する再送要求メールに対しては、ステップS232でNoとなり、再送は行われない。電子メールa2(C2)の再送を要求する再送要求メールに対しては、ステップS235でNoとなり、再送は行われない。
続いて、図15は、第一の実施の形態において受信者端末が実行する不正メールの検出処理の処理手順の一例を説明するためのフローチャートである。図15において、ステップS241〜S243は、受信管理情報記憶部126(図11)において、認証状態が「認証中」である受信管理情報ごとに実行される。
ステップS241において、正当性判定部123は、処理対象の受信管理情報の再送要求日時から所定時間が経過しているか否かを判定する。所定時間は、予め設定されている。当該再送要求日時から所定時間が経過している場合(S241でYes)、正当性判定部123は、当該受信管理情報に係る受信メールは不正であると判定する。そこで、不正メール除去部125は、当該受信管理情報のポインタによって特定される受信メールを削除する(S242)。続いて、不正メール除去部125は、当該受信管理情報を、受信管理情報記憶部126より削除する(S243)。その結果、受信メール群の中から、成りすましによる不正な受信メールが除去される。
一方、処理対象の受信管理情報の再送要求日時から所定時間が経過していない場合(S241でNo)、当該受信管理情報に関して、ステップS242及びS243は実行されない。
図4の場合、電子メールc1(C1)及び電子メールa2(C2)については、再送が行われない。したがって、これらの電子メールに関する認証状態は「認証中」のままである。よって、これらの電子メールに関して、ステップS242及びS243が実行される。その結果、電子メールc1(C1)及び電子メールa2(C2)は、受信者端末10bより除去される。但し、上記したように、不正な電子メールは、必ずしも削除されなくてもよい。
なお、図15の処理は、認証状態が「認証中」である受信管理情報が受信管理情報記憶部126に記憶されている場合に定期的に実行されてもよいし、常時定期的に実行されてもよい。
上述したように、第一の実施の形態によれば、受信された電子メールに付与されている電子サインの有効期間が経過している場合、当該電子メールは直ちに不正メールとして扱われずに、当該電子メールの再送が要求される。再送の要求に応じて電子メールが再送され、当該電子メールの電子サインが有効期間内であれば、当該再送要求に係る電子メールは正当であると判定される。一方、再送の要求に応じて電子メールが再送されない場合、再送要求に係る電子メールは不正であると判定される。
したがって、有効期間が経過した電子サインが付与された電子メールの正当性を判定可能とすることができる。
次に、第二の実施の形態について説明する。第二の実施の形態では第一の実施の形態と異なる点について説明する。したがって、特に言及されない点については、第一の実施の形態と同様でもよい。
図16は、第二の実施の形態のメールシステムにおいて実行される処理手順の一例を説明するためのシーケンス図である。図16中、図4と同一ステップには、同一ステップ番号を付し、その説明は省略する。
第二の実施の形態において、送信者端末10aは、送信者端末10aが過去に送信していない電子メールに関して再送要求メールを受信した場合に、再送の拒否を示す再送拒否メールを、再送要求メールの送信元に返信する。したがって、送信者端末10aは、電子メールc1(C1)及び電子メールa2(C2)のそれぞれに関して再送拒否メールを送信する(S171、S181)。再送拒否メールは、送信元サーバ20a、中継サーバ20c、及び受信先サーバ20bを経由して、受信者端末10bによって受信される(S172〜S174、S182〜S184)。
受信者端末10bは、再送要求を行った受信メールのうち、再送拒否メールが受信された受信メールを廃棄する。
第二の実施の形態では、再送要求メールの構成が、第一の実施の形態と異なる。図17は、第二の実施の形態における再送要求メールの構成例を示す図である。
図17に示される再送要求メールは、本文に受信側メールポインタを含む点において、図12に示される再送要求メールと異なる。受信側メールポインタの値は、例えば、再送要求に係る受信メールに対して、受信者端末10bの受信管理情報記憶部126に記憶されているポインタの値である。なお、受信側メールポインタの値は、受信者端末10bにおいて各受信メールを識別可能な値であれば、受信管理情報のポインタに限定されない。
また、第二の実施の形態では、再送要求メールの受信に応じて送信者端末10aが実行する処理手順の一部が、第一の実施の形態(図13)と異なる。
図18は、第二の実施の形態において送信者端末が再送要求メールの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。図18中、図13と同一ステップには同一ステップ番号を付し、その説明は省略する。
図18では、再送メールになりうる電子メールを取得できなかった場合(S232でNo)、再送ダイジェスト値と復号ダイジェスト値とが一致しない場合(S235でNo)、又は再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれない場合(S236でNo)、再送要求応答部113は、再送拒否メールを送信する(S239)。
図19は、第二の実施の形態における再送拒否メールの構成例を示す図である。図19において、再送拒否メールは、作成日時、送信元アドレス、宛先アドレス、メールID、本文、及び電子サイン等を含む。
作成日時は、再送拒否メールの作成日時である。送信元アドレスは、再送拒否メールの送信元アドレスである。宛先アドレスは、再送拒否メールの宛先アドレスである。メールIDは、再送拒否メールに対するメールIDである。電子サインは、再送要求メールの実体部分のダイジェスト値を、再送要求メールの作成時において有効な秘密鍵nによって暗号化した値である。本文は、再送拒否メールの本文である。再送拒否メールの本文は、所定の形式を有する。具体的には、再送拒否メールの本文は、再送拒否であることを示すキーワードである「再送拒否」、再送要求の対象とされた受信メールのメールID、及び当該受信メールに付与されていた電子サイン、及び当該受信メールのメールポインタ(受信側メールポインタ)等を含む。すなわち、再送要求応答部113は、再送要求メール(図17)の本文の内容を、再送拒否メールの本文に転記する。
図19に示されるような再送拒否メールを受信すると、受信者端末10bは、図20に示されるような処理を実行する。
図20は、第二の実施の形態において受信者端末が再送拒否メールの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。
ステップS241において、不正メール除去部125は、再送が拒否された受信メールを受信メール記憶部127より削除する。再送が拒否された受信メールは、成りすましによる電子メールである可能性が有るからである。再送が拒否された受信メールは、再送拒否メールの本文に含まれる受信側メールポインタの値に基づいて特定することができる。なお、メールIDは、重複する可能性が有るため、メールIDのみに基づいて、再送が拒否された受信メールを常に特定できるとは限らない。すなわち、受信側メールポインタは、再送が拒否された受信メールを特定可能とするために、再送要求メール(図17)及び再送拒否メール(図19)の本文に含められるのである。
続いて、不正メール除去部125は、再送が拒否された受信メールの受信管理情報を、受信管理情報記憶部126より削除する(S242)。再送が拒否された受信メールの受信管理情報は、再送拒否メールの本文に含まれる受信側メールポインタの値を含む受信管理情報である。
なお、第二の実施の形態では、図15の処理は実行されなくてもよい。
上述したように、第二の実施の形態によれば、再送拒否メールが送信者端末10aより送信される。すなわち、いずれが不正な電子メールであるかが、明示的に受信者端末10bに伝達される。したがって、受信者端末10bは、第一の実施の形態に比べて、より正確に、正当な電子メールと不正な電子メールとを区別することができる。
次に、第三の実施の形態について説明する。第三の実施の形態では第二の実施の形態と異なる点について説明する。したがって、特に言及されない点については、第二の実施の形態と同様でもよい。
図21は、第三の実施の形態における送信者端末及び送信元サーバの機能構成例を示す図である。図21中、図3と同一部分には同一符号を付し、その説明は省略する。
図21において、送信者端末10aは、電子サイン生成部111を有さない。
一方、送信元サーバ20aは、電子サイン生成部211及び送信メール中継部212等を有する。これら各部は、送信元サーバ20aにインストールされたプログラムが、送信元サーバ20aのCPU104に実行させる処理により実現される。送信元サーバ20aは、また、ペア鍵記憶部213を利用する。ペア鍵記憶部213は、送信元サーバ20aの補助記憶装置102、又は送信元サーバ20aにネットワークを介して接続される記憶装置等を用いて実現可能である。
電子サイン生成部211は、送信者端末10aより送信され、送信元サーバ20aが中継する(転送する)電子メールに対する電子サインを生成する。送信メール中継部212は、送信者端末10aより送信された電子メールを中継するための処理を実行する。ペア鍵記憶部213は、ペア鍵記憶部116と同様に、秘密鍵及び公開鍵を記憶する。
すなわち、第三の実施の形態では、電子サイン機能が、送信者端末10aから送信元サーバ20aに移行されている。電子サイン機能とは、電子サインの生成機能や、電子サインが付与された電子メールの正当性の判定機能等をいう。
図22は、第三の実施の形態のメールシステムにおいて実行される処理手順の一例を説明するためのシーケンス図である。
送信者端末10aは、電子メールの送信前に、送信元サーバ20aによって、SMTPに従ったログイン認証を受ける(S301、S311、S321)。
認証に成功すると、送信者端末10aは、受信者B宛の電子メールを送信する(S302、S312、S322)。なお、S302、S312、及びS322では、相互に異なるタイミングに、異なる内容の電子メールが送信されることとする。
具体的には、ステップS302では、8月13日の或る時点において、電子メールa1(A1)が送信される。ステップS312では、8月13日の或る時点において、メールIDがa2であり、内容がA2である電子メールa2(A2)が送信される。ステップS322では、8月14日の或る時点において、メールIDがa3であり、内容がA3である電子メールa3(A3)が送信される。
なお、第三の実施の形態において、送信者端末10aは、電子サイン機能を有さない。したがって、送信者端末10aより送信される電子メールには、電子サインは付与されない。そこで、第三の実施の形態では、送信元サーバ20aによって、電子メールa1(A1)、電子メールa2(A2)、及び電子メールa3(A3)に対して電子サインが付与される。
具体的には、電子メールa1(A1)には、電子サインE(A1、k)が付与さる。電子メールa2(A2)には、電子サインE(A2、k)が付与さる。電子メールa3(A3)には、電子サインE(A3、n)が付与さる。
送信元サーバ20aによって電子サインが付与された各電子メールは、中継サーバ20cを経由して受信先サーバ20bに転送される(S303、S304、S313、S314、S323、S324)。なお、中継サーバ20cが電子メールa2(A2)を転送中に、8月13日が経過したとする。
受信者端末10bは、8月13日に、電子メールa1(A1)を受信し(S305)、8月14日に、電子メールa2(A2)及び電子メールa3(A3)を受信する(S315、S325)。
一方、攻撃者端末10cは、図4と同様に、8月14日において、電子メールc1(C1)及び電子メールa2(C2)とを、受信者B宛に送信する(S331、S341)。電子メールc1(C1)には、電子サインE(C1、k)が付与され、電子メールa2(C2)には、電子サイン(C2、k)が付与される。
電子メールc1(C1)及び電子メールa2(C2)は、中継サーバ20cによって受信先サーバ20bに転送される(S332、S343)。受信者端末10bは、8月14日に、電子メールc1(C1)及び電子メールa2(C2)を受信する(S333、S343)。
受信者端末10bが受信した電子メールのうち、受信者端末10bにおける受信時において、電子サインの有効期限が切れている電子メールは、電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)である。そこで、受信者端末10bは、これら3つの電子メールのそれぞれについて、再送要求メール(図17)を送信元アドレス宛に送信する(S351、S352、S353)。
送信者端末10aは、再送要求メールが受信されるたびに、送信元サーバ20aによってログイン認証を受ける(S361、S371、S381)。認証に成功すると、送信者端末10aは、電子メールa2(A2)及び電子メールa2(C1)の再送要求に対して、電子メールa2(A2)を再送する(S362、S382)。すなわち、不正な電子メールa2(C1)についても、メールIDが一致する電子メールa2(A2)が再送される。第三の実施の形態の送信者端末10aは、電子サイン機能を有さないため、電子メールa2(A2)に対する再送要求と、電子メールa2(C1)に関する再送要求とを区別できないからである。
電子メールa2(A2)に関して再送された電子メールa2(A2)には、送信元サーバ20aによって、8月14日の時点を有効期間に含む秘密鍵を用いて生成された電子サインE(A2、n)が付与される。その後、電子メールa2(A2)は、送信サーバ、中継サーバ20c、及び受信先サーバ20bを経由して、電子サインE(A2、n)の有効期間内である8月14日中に受信者端末10bに受信される(S363〜S365)。受信者端末10bは、再送された電子メールa2(A2)の受信に応じ、図9において説明した処理を実行する。その結果、電子メールa2(A2)の認証状態は、「認証済」とされる。
一方、電子メールa2(C2)に関して再送された電子メールa2(A2)については、送信元サーバ20aは、転送を拒否し、再送拒否メールを送信する(S383)。送信元サーバ20aは、電子サイン機能を有するため、電子メールa2(A2)が、電子メールa2(C2)に関する再送要求に対応した電子メールではないことを検出可能であるからである。当該再送拒否メールは、中継サーバ20c及び受信先サーバ20bを経由して、受信者端末10bに転送される(S384、S385)。
また、送信者端末10aは、電子メールc1(C1)については、再送拒否メールを送信する(S372)。当該再送拒否メールは、送信元サーバ20a、中継サーバ20c、及び受信先サーバ20bを経由して、受信者端末10bに転送される(S373〜S375)。
受信者端末10bは、再送拒否メールを受信すると、図20において説明した処理を実行する。その結果、電子メールc1(C1)及び電子メールa2(C2)の廃棄等が行われる。
続いて、図22のステップS302、S312、及びS322における電子メールの送信時に、送信者端末10aが実行する処理手順の一例について説明する。
図23は、第三の実施の形態において送信者端末が電子メールの送信時に実行する処理手順の一例を説明するためのフローチャートである。
ステップS401において、送信者端末10aのメール送信部112は、送信対象の電子メールを受信者B宛に送信する。
図24は、第三の実施の形態における電子メールの構成例を示す図である。図24に示される電子メールは、電子サインが付与されていない点において、図7と異なる。他の構成については、図7と同様でよい。
続いて、メール送信部112は、送信された電子メールに関する送信管理情報を、送信管理情報記憶部114(図8)に記憶する(S402)。
続いて、送信者端末10aが、図22のステップS351〜S353の再送要求メールの受信に応じて実行する処理手順の一例について説明する。
図25は、第三の実施の形態において送信者端末が再送要求メールの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。
ステップS411において、再送要求応答部113は、受信された再送要求メール(図17)の本文に記載されているメールIDに係る電子メールを、送信管理情報記憶部114を参照して取り出す。すなわち、当該送信管理情報記憶部114に記憶されている送信管理情報の中で、当該メールIDを含む送信管理情報のメールポインタに基づいて、該当する電子メールが取得される。
該当する電子メール(以下、「再送メール」という。)が取得できた場合(S412でYes)、再送要求応答部113は、再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれているか否かを判定する(S413)。再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれている場合(S413でYes)、メール送信部112は、再送メールを編集して、当該再送メールを送信する(S414)。
図26は、第三の実施の形態における再送メールの構成例を示す図である。図26において、再送要求メールは、元メール(図24)に対して、再送要求対象の電子サイン及び再送要求対象の受信メールポインタが付与された形式となっている。すなわち、この二つデータが、ステップS414における編集によって、再送要求メール(図17)の本文より転記される。具体的には、再送要求対象の電子サインには、再送要求メール(図17)の本文に含まれている、再送要求の対象とされた受信メールに付与されていた電子サインが転記される。再送要求対象の受信メールポインタには、再送要求メール(図17)の本文に含まれている受信側メールポインタの値が転記される。
一方、再送メールになりうる電子メールを取得できなかった場合(S412でNo)、又は再送要求メールの送信元アドレスが、再送メールの宛先アドレスに含まれていない場合(S413でNo)、再送要求応答部113は、再送拒否メールを送信する(S415)。
図27は、第三の実施の形態における再送拒否メールの構成例を示す図である。図27の再送拒否メールは、電子サインが付与されていない点が、図19と異なる。第三の実施の形態において、送信者端末10aは、電子サイン機能を有さないからである。他の点については、図19と同様である。例えば、本文は、再送要求メール(図17)の本文の内容が、転記されたものである。
なお、ステップS414は、図22のステップS362及びS382に対応する。ステップS415は、図22のステップS372に対応する。すなわち、第三の実施の形態の送信者端末10aは、不正な電子メールa2(C2)に対する再送要求メールに対して、メールIDが共通する電子メールa2(A2)を再送メールとして送信する。
続いて、図22のステップS302、S312、及びS322において送信される電子メール、ステップS362において送信される再送メール、ステップS372及びS382において送信される再送拒否メールの受信に応じて、送信元サーバ20aが実行する処理手順の一例について説明する。
図28は、第三の実施の形態において送信元サーバが電子メールの受信時に実行する処理手順の一例を説明するためのフローチャートである。
ステップS421において、送信元サーバ20aの送信メール中継部212は、受信された中継対象の電子メール(以下、図28の説明において「中継メール」という。)のダイジェスト値(以下、「中継ダイジェスト値」という。)を算出する。続いて、送信メール中継部212は、中継メールが再送拒否メールであるか否かを判定する(S422)。中継メールが再送拒否メールであるか否かは、例えば、中継メールの本文に再送拒否メールであることを示すキーワード(「再送拒否」等)が含まれているか否かに基づいて判定されてもよい(図27参照)。
中継メールが再送拒否メールでない場合(S422でNo)、送信メール中継部212は、中継メールが再送メールであるか、又は初めて送信されるメール(以下、「初回メール」という。)であるかを判定する(S423)。当該判定は、例えば、図26に示される再送メールの構成と、図24に示される初回メールの構成との相違に基づいて行われてもよい。具体的には、中継メールが、再送要求対象の電子サイン及び再送要求対象の受信メールポインタを含む場合、中継メールは再送メールと判定され、そうでない場合、中継メールは初回メールと判定されてもよい。
中継メールが初回メールである場合(S423でNo)、送信メール中継部212は、中継メールに電子サインを付与し、中継メールを転送する(S424)。当該電子サインは、中継メールの実体部分に基づいて、電子サイン生成部211によって生成される。電子サインは、現時点を含む有効期間を有する秘密鍵を用いて生成される。当該秘密鍵は、ペア鍵記憶部213より取得可能である。中継メールに電子サインが付与されることにより、送信元サーバ20aにおける受信時に図24の様な構成であった中継メールは、図7のような構成で転送される。
なお、ステップS424は、図22におけるステップS303、S313、及びS323に対応する。
一方、中継メールが再送メールである場合(S423でYes)、送信メール中継部212は、中継メールの本文に含まれている再送要求対象の電子サイン(図26参照)を、中継メールの作成日時の時点を有効期間に含む公開鍵によって復号することにより、ダイジェスト値(以下、「復号ダイジェスト値」という。)を得る(S425)。なお、中継メールの作成日時を有効期間に含む有効な公開鍵は、ペア鍵記憶部213より取得可能である。
続いて、送信メール中継部212は、中継ダイジェスト値と復号ダイジェスト値とを比較し、両者が一致するか否かを判定する(S426)。すなわち、中継メール(再送メール)の内容が、再送要求されている電子メールの内容に一致するか否かが判定される。
中継ダイジェスト値と復号ダイジェスト値とが一致する場合(S426でYes)、送信メール中継部212は、中継メールより、再送要求対象の電子サイン及び再送要求対象の受信メールポインタを削除する。この二つのデータは、送信元サーバ20aのために付加されたデータであり、受信者端末10bにおいては不要であるからである。
続いて、電子サイン生成部211は、中継ダイジェスト値を、現時点を含む有効期間を有する秘密鍵によって暗号化することにより、電子サインを生成する(S428)。有効期間内の秘密鍵は、ペア鍵記憶部213より取得可能である。続いて、送信メール中継部212は、中継メールに電子サインを付与した後、当該中継メールを送信する(S429)。すなわち、図14に示した構成を有する再送メールが転送される。
なお、ステップS429は、図22におけるステップS363に対応する。
一方、中継ダイジェスト値と復号ダイジェスト値とが一致しない場合(S426でNo)、中継メールは、再送要求されている電子メールとは異なることになる。そこで、送信メール中継部212は、図26に示される構成を有する中継メールに基づいて、図19の構成を有する再送拒否メールを生成し、当該再送拒否メールを送信する(S430)。具体的には、再送拒否メールの作成日時及びメールIDには、当該再送拒否メールの作成時の作成日時及びメールIDが記録される。当該再送拒否メールの、送信元アドレス、宛先アドレスには、中継メールの送信元アドレス、宛先アドレスが転記される。当該再送拒否メールの本文には、再送拒否を示すキーワードである「再送拒否」と、中継メールのメールIDと、中継メールが含む再送要求対象の電子サインと、中継メールが含む再送要求対象の受信メールポインタとが転記される。
また、図19に示されるように、再送拒否メールには、当該再送拒否メールの電子サインも付与される。当該電子サインは、電子サイン生成部211が、現時点を含む有効期間を有する秘密鍵によって中継ダイジェスト値を暗号化すことにより生成される。
なお、ステップS430は、図22におけるステップS383に対応する。
一方、中継メールが再送拒否メール(図27)である場合(S422でYes)、送信メール中継部212は、当該再送拒否メールに電子サインを付与して転送する(S431)。その結果、図19の構成を有する再送拒否メールが転送される。当該電子サインは、電子サイン生成部211が、現時点を含む有効期間を有する秘密鍵によって中継ダイジェスト値を暗号化すことにより生成される。なお、ステップS431は、図22におけるステップS373に対応する。
上述したように、第三の実施の形態によれば、第一又は第二の実施の形態における送信者端末10aの電子サイン機能が、送信元サーバ20aにおいて一元的に実現される。したがって、各送信者端末10aが電子サイン機能を有さない場合であっても、第一又は第二の実施の形態と同様の効果を得ることができる。
次に、第四の実施の形態について説明する。第四の実施の形態では第一の実施の形態と異なる点について説明する。したがって、特に言及されない点については、第一の実施の形態と同様でもよい。
図29は、第四の実施の形態における受信者端末及び受信先サーバの機能構成例を示す図である。図29中、図3と同一部分には同一符号を付し、その説明は省略する。
図29において、受信先サーバ20bは、受信メール中継部221、公開鍵特定部222、正当性判定部223、再送要求送信部224、及び不正メール除去部225等を有する。これら各部は、受信先サーバ20bにインストールされたプログラムが、受信先サーバ20bのCPU104に実行させる処理により実現される。受信先サーバ20bは、また、受信管理情報記憶部226、受信メール記憶部227、及び公開鍵記憶部228等を利用する。これら各記憶部は、受信先サーバ20bの補助記憶装置102、又は受信先サーバ20bにネットワークを介して接続される記憶装置等を用いて実現可能である。
受信メール中継部221は、受信者B宛の電子メールを受信者端末10bに中継する。すなわち、受信メール中継部221は、受信者B宛の電子メールを受信すると、当該電子メール及び当該電子メールの管理情報を、受信メール記憶部227又は受信管理情報記憶部226に記憶する。受信メール中継部221は、受信者端末10bのメール受信部121からの電子メールの取得要求に応じ、受信メール記憶部227に記憶されている電子メールのうち、正当であることが確認済みの電子メールを返信する。正当であることが確認済みの電子メールとは、認証状態が「認証済」の電子メールである。
その他の各部は、図3において説明した同名の各部と同様である。すなわち、第四の実施の形態では、受信された電子メールの正当性の判定機能が、受信者端末10bから受信先サーバ20bに移行されている。
図30は、第四の実施の形態のメールシステムにおいて実行される処理手順の一例を説明するためのシーケンス図である。
ステップS501、S511、及びS521は、図4のステップS101、S111、及びS121と同じである。すなわち、ステップS501、S511、及びS521に関して、送信者端末10aは、図5において説明した処理を実行する。その結果、それぞれ図7に例示した構成を有する、電子メールa1(A1)、電子メールa2(A2)、電子メールa3(A3)が、受信者B宛に送信される。各電子メールは、送信元サーバ20a及び中継サーバ20cを経由して、受信先サーバに転送される。
ステップS531及びS541は、図4のステップS131又はS141と同じである。すなわち、攻撃者端末10cは、それぞれ図7に例示した構成を有する電子メールc1(C1)及び電子メールa2(C2)を、受信者B宛に送信する(S531、S541)。各電子メールは、中継サーバ20cを経由して、受信先サーバ20bに転送される(S532、S542)。
受信先サーバ20bは、電子メールa1(A1)、電子メールa2(A2)、電子メールa3(A3)、電子メールc1(C1)、又は電子メールa2(C2)を受信すると、図9において説明した処理を実行する。その結果、各電子メールは、受信メール記憶部227に記憶される。また、各電子メールに対する受信管理情報が、受信管理情報記憶部226に記憶される。なお、図9において、メール受信部121が実行すると説明したステップは、受信メール中継部221によって実行される。
ここで、電子メールa1(A1)及び電子メールa3(A3)は、電子サインの有効期間内に受信される。したがって、電子メールa1(A1)及び電子メールa3(A3)の認証状態は、「認証済」とされる。
一方、電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)は、電子サインの有効期間外に受信される。したがって、電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)の認証状態は、「認証中」とされる。受信先サーバ20bの再送要求送信部224は、電子メールa2(A2)、電子メールc1(C1)、及び電子メールa2(C2)に対する再送要求メールを、これらの電子メールの送信元アドレス宛に送信する(S561、S562、S563)。なお、当該再送要求メールは、図12に例示した構成を有する。
送信者端末10aは、再送要求メールの受信に応じ、図13において説明した処理を実行する。その結果、電子メールa2(A2)については、図14で例示した構成を有する再送メールが送信される(S571)。ステップS571は、図4のステップS161と同じである。一方、電子メールc1(C1)及び電子メールa2(C2)については、再送メールは送信されない。なお、送信者端末10aは、再送要求メールの受信に応じて、図18において説明した処理を実行してもよい。この場合、電子メールc1(C1)及び電子メールa2(C2)について、再送拒否メールが送信される。
再送メールは、送信元サーバ20a及び中継サーバ20cを経由して受信先サーバ20bに転送される(S572、S573)。受信先サーバ20bは、再送メールの受信に応じ、図9において説明した処理を実行する。その結果、電子メールa2(A2)の認証状態は、「認証済」となる。
受信先サーバ20bは、また、一定周期(例えば、1時間周期)で図5において説明した処理を実行する。その結果、再送要求日時から所定時間が経過しても再送メールが受信されない電子メールc1(C1)及び電子メールc2(A2)は、受信メール記憶部227から削除される。また、電子メールc1(C1)及び電子メールc2(A2)のそれぞれの受信管理情報は、受信管理情報記憶部226から削除される。
なお、送信者端末10aから再送拒否メールが送信される場合、受信先サーバ20bは、図5の処理を実行せずに、図20において説明した処理を実行してもよい。
受信先サーバ20bの受信メール記憶部227に記憶された受信メールは、受信者端末10bからの受信メールの取得要求(S524、S551、S574)に応じて返信される(S505、S552、S575)。但し、受信先サーバ20bは、取得要求が受信された時点において、認証状態が「認証済」である受信メールのみを返信する。したがって、ステップS505では、電子メールa1(A1)が返信される。ステップS552では、受信メールa3(A3)が返信される。ステップS575では、受信メールa2(A2)が返信される。
続いて、受信先サーバ20bが、受信メールの取得要求(S524、S551、S574)に応じて実行する処理手順の一例について説明する。
図31は、第四の実施の形態において受信先サーバが受信メールの取得要求に応じて実行する処理手順の一例を説明するためのフローチャートである。
受信者端末10bからの受信メールの取得要求が受信されると、受信先サーバ20bの受信メール中継部221は、認証状態が「認証済」である受信管理情報を、受信管理情報記憶部226(図11参照)より抽出する(S601)。続いて、受信メール中継部221は、抽出された受信管理情報のポインタによって特定される受信メールを、受信者端末10bに返信する(S602)。
なお、受信メール中継部221は、返信された受信メールを受信メール記憶部227より削除してもよい。また、受信メール中継部221は、返信された受信メールの受信管理情報を、受信管理情報記憶部226より削除してもよい。
上述したように、第四の実施の形態によれば、第一又は第二の実施の形態における受信者端末10bの受信メールの正当性の判定機能が、受信先サーバ20bによって一元的に実現される。したがって、各受信者端末10bが電子サイン機能を有さない場合であっても、第一又は第二の実施の形態と同様の効果を得ることができる。
なお、第四の実施の形態は、第三の実施の形態と組み合わされてもよい。
次に、第五の実施の形態について説明する。第五の実施の形態では、Webコンテンツ(Webページ)が、正当性の判定対象とされる。
図32は、第五の実施の形態におけるWebシステムのネットワーク構成例を示す図である。図32において、Webシステム2は、公開者端末10d、閲覧者端末10e、攻撃者端末10f、オリジンサーバ20d、レプリカサーバ20e、レプリカサーバ20f、及びレプリカサーバ20g等を含む。
公開者端末10dは、Webコンテンツの正当な公開者Dが、例えば、Webコンテンツの生成等に利用する端末である。公開者端末10dは、LAN又はインターネット等のネットワークを介してオリジンサーバ20dに接続されている。オリジンサーバ20dは、公開者端末10dよりアップロードされるWebコンテンツの原本を公開するコンピュータである。オリジンサーバ20dは、レプリカサーバ20e及びレプリカサーバ20f等に、LAN又はインターネット等のネットワークを介して接続されている。レプリカサーバ20e及びレプリカサーバ20fは、Webコンテンツの原本のコピーを記憶し、公開するコンピュータである。本実施の形態において、レプリカサーバ20fは、閲覧者端末10eよりアクセスされる。
閲覧者端末10eは、Webコンテンツの閲覧者Eが、Webコンテンツの閲覧に利用する端末である。閲覧者端末10eは、例えば、HTTP(HyperText Transfer Protocol)に従って、Webコンテンツを、レプリカサーバ20fより取得(ダウンロード)する。
攻撃者端末10fは、公開者Dに成りすました攻撃者Fが利用する端末である。レプリカサーバ20gは、閲覧者端末10eにアクセスさせ、閲覧者Dの個人情報等を得るために攻撃者Fによって設置された不正なコンピュータである。
各端末及び各サーバのハードウェア構成の一例は、図2において説明した通りでよい。但し、各サーバは、表示装置106及び入力装置107を有していなくてもよい。
図33は、第五の実施の形態におけるオリジンサーバ及び閲覧者端末の機能構成例を示す図である。図33において、オリジンサーバ20dは、電子サイン生成部231、コンテンツ公開部232、及び再送要求応答部233等を有する。これら各部は、オリジンサーバ20dにインストールされたプログラムが、オリジンサーバ20dのCPU104に実行させる処理により実現される。オリジンサーバ20dは、また、公開管理情報記憶部234、公開コンテンツ記憶部235、及びペア鍵記憶部236等を利用する。これら各記憶部は、オリジンサーバ20dの補助記憶装置102、又はオリジンサーバ20dにネットワークを介して接続される記憶装置等を用いて実現可能である。
電子サイン生成部231は、公開対象のWebコンテンツに対する電子サインを生成する。コンテンツ公開部232は、Webコンテンツを公開するための処理を実行する。公開されるWebコンテンツには、電子サイン生成部231によって生成された電子サインが付与される。再送要求応答部233は、Webコンテンツの再送要求に応じた処理を実行する。Webコンテンツの再送要求は、閲覧者端末10eが、受信したWebコンテンツについて正当性を判定できない場合に、オリジンサーバ20dに対して送信する。
公開管理情報記憶部234は、公開されたWebコンテンツごとに管理情報(以下、「公開管理情報」という。)を記憶する。公開コンテンツ記憶部235は、公開されたWebコンテンツの実体(例えば、当該Webコンテンツを格納したファイル)を記憶する。ペア鍵記憶部236は、電子サインの生成、又は電子サインが付与されたWebコンテンツの正当性の判定に利用される秘密鍵及び公開鍵を対応付けて記憶する。
閲覧者端末10eは、コンテンツ受信部131、公開鍵特定部132、正当性判定部133、再送要求送信部134、及び不正コンテンツ除去部135等を有する。これら各部は、閲覧者端末10eにインストールされたプログラムが、閲覧者端末10eのCPU104に実行させる処理により実現される。閲覧者端末10eは、また、閲覧管理情報記憶部136、受信コンテンツ記憶部137、及び公開鍵記憶部138等を利用する。これら各記憶部は、閲覧者端末10eの補助記憶装置102、又は閲覧者端末10eにネットワークを介して接続される記憶装置等を用いて実現可能である。
コンテンツ受信部131は、Webコンテンツを受信する。公開鍵特定部132は、受信されたWebコンテンツに付与されている電子サインに対応する公開鍵を特定する。正当性判定部133は、特定された公開鍵が有効であるか否かに基づいて、受信されたWebコンテンツの正当性を判定する。特定された公開鍵が有効であるか否かは、受信されたWebコンテンツに付与された電子サインが有効であるか否かと等価である。再送要求送信部134は、電子サインが有効でない、すなわち、正当性が不明であるWebコンテンツについて再送要求を送信する。なお、正当性判定部133は、再送要求に応じた再送の有無に基づいて、有効でない電子サインが付与されたWebコンテンツに関しても、正当性を判定する。不正コンテンツ除去部135は、正当性判定部133によって不正であると判定された(又は正当であると判定されなかった)Webコンテンツ及び当該Webコンテンツの管理情報を受信コンテンツ記憶部137又は閲覧管理情報記憶部136より削除する。
閲覧管理情報記憶部136は、受信されたWebコンテンツごとに管理情報(以下、「閲覧管理情報」という。)を記憶する。受信コンテンツ記憶部137は、受信されたWebコンテンツの実体を記憶する。公開鍵記憶部138は、電子サインの生成に利用される秘密鍵のペア鍵である公開鍵を記憶する。
以下、Webシステム2において実行される処理手順について説明する。図34は、第五の実施の形態のWebシステムにおいて実行される処理手順の一例を説明するためのシーケンス図である。
ステップS701、S711、及びS721において、公開者端末10dは、Webコンテンツをオリジンサーバ20dにアップロードする。なお、ステップS701、S711、及びS721では、相互に異なるタイミングに、異なる内容のWebコンテンツがアップロードされることとする。
具体的には、ステップS701では、8月13日の或る時点において、コンテンツIDがa1であり、内容がA1であるWebコンテンツA1(以下、「Webコンテンツa1(A1)」といい、他のWebコンテンツについても同様の命名規則に従う。)がアップロードされる。コンテンツIDとは、本実施の形態において、各Webコンテンツを識別するための識別情報の一例である。
ステップS711では、8月13日の或る時点において、コンテンツIDがa2であり、内容がA2であるWebコンテンツa2(A2)がアップロードされる。
ステップS721では、8月14日の或る時点において、コンテンツIDがa3であり、内容がA3であるWebコンテンツa3(A3)がアップロードされる。
オリジンサーバ20dは、アップロードされたWebコンテンツに電子サインを付与し、公開する(S702、S712、S722)。公開とは、例えば、レプリカサーバ20f等にWebコンテンツが配信され、閲覧者端末10eからWebコンテンツへのアクセスが可能となる状態にすることをいう。図34では、Webコンテンツa1(A1)には、電子サインE(A1、k)が付与さる。Webコンテンツa2(A2)には、電子サインE(A2、k)が付与さる。Webコンテンツa3(A3)には、電子サインE(A3、n)が付与さる。
なお、Webコンテンツa1(A1)及びWebコンテンツa2(A2)に付与される電子サインの生成に用いられる秘密鍵kの有効期間の終了日(有効期限)は、8月13日であるとする。電子サインE(A3、n)の生成に用いられる秘密鍵nの有効期間の開始日は、8月14日であるとする。
閲覧者端末10eは、8月13日に、閲覧者Eによる指示に応じ、Webコンテンツa1(A1)をレプリカサーバ20fよりダウンロードする(S703)。閲覧者端末10eは、また、8月14日に、Webコンテンツa2(A2)及びWebコンテンツa3(A3)をレプリカサーバ20fより受信する(S713、S723)。なお、各Webコンテンツは、オリジンサーバ20dからダウンロードされてもよい。
一方、攻撃者端末10fは、8月14日において、不正なWebコンテンツc1(C1)及びWebコンテンツa2(C2)を、レプリカサーバ20gにアップロードする(S731、S741)。Webコンテンツc1(C1)には、電子サインE(C1、k)が付与され、Webコンテンツa2(C2)には、電子サイン(C2、k)が付与される。すなわち、攻撃者端末10fでは、本来であれば公開者Dのみが有しているべき秘密鍵kを用いて、電子サインが生成される。また、Webコンテンツa2(C2)については、Webコンテンツa2(A2)と、コンテンツIDが共通する。
攻撃者端末10fは、更に、Webコンテンツc1(C1)及びWebコンテンツa2(C2)にアクセスさせるための悪意メールを、閲覧者E宛に送信する(S733)。当該悪意メールには、例えば、Webコンテンツc1(C1)及びWebコンテンツa2(C2)に対するURL(Uniform Resource Locator)が記述されている。
閲覧者端末10eにおいて当該悪意メールが閲覧され、当該URLがクリック等されると、閲覧者端末10eは、Webコンテンツc1(C1)及びWebコンテンツa2(C2)のダウンロード要求を、レプリカサーバ20gに送信する(S734)。レプリカサーバ20gは、当該ダウンロード要求に応じ、Webコンテンツc1(C1)及びWebコンテンツa2(C2)を返信する(S735、S736)。
閲覧者端末10eによってダウンロードされるWebコンテンツのうち、ダウンロード時において電子サインの有効期限が切れているWebコンテンツは、Webコンテンツa2(A2)、Webコンテンツc1(C1)、及びWebコンテンツa2(C2)である。受信者端末10bは、これら3つのWebコンテンツのそれぞれについて、再送要求をオリジンサーバ20dに送信する(S741、S742、S743)。
オリジンサーバ20dは、再送要求を受信すると、オリジンサーバ20dが過去に公開したWebコンテンツa2(A2)については、再送を行う(S751、S752)。一方、オリジンサーバ20dが公開していないWebコンテンツc1(C1)及びWebコンテンツa2(C2)について、オリジンサーバ20dは、再送拒否メッセージを返信する(S753、S754)。但し、再送拒否メッセージは、送信されなくてもよい。
続いて、図34のステップS701、S711、及びS721においてアップロードされたWebコンテンツの公開時に、オリジンサーバ20dが実行する処理手順について説明する。
図35は、第五の実施の形態においてオリジンサーバがWebコンテンツの公開時に実行する処理手順の一例を説明するためのフローチャートである。
ステップS801において、公開者端末10dの電子サイン生成部231は、所定のハッシュ関数を用いて、公開対象のWebコンテンツのダイジェスト値を算出する。続いて、電子サイン生成部231は、算出されたダイジェスト値を、現在日時を含む有効期間を有する秘密鍵によって暗号化することにより、電子サインを生成する(S802)。有効期間内の秘密鍵は、ペア鍵記憶部236より取得される。なお、ペア鍵記憶部236の構成及び記憶内容は、便宜上、図6に例示した通りであるとする。したがって、ステップS802では、当日が8月13日であれば、秘密鍵kが利用される。一方、当日が8月14日であれば、秘密鍵nが利用される。
続いて、コンテンツ公開部232は、Webコンテンツに電子サインを付与した後、当該Webコンテンツを公開する(S803)。例えば、Webコンテンツが、レプリカサーバ20e及びレプリカサーバ20f等に配信される。
図36は、第五の実施の形態におけるWebコンテンツの構成例を示す図である。図36において、Webコンテンツは、作成日時、サイトID、コンテンツID、本文、及び電子サイン等を含む。このうち、電子サインを除く部分を、以下、「実体部分」という。
作成日時は、Webコンテンツの作成日時である。サイトIDは、Webコンテンツを公開するオリジンサーバ20dの識別情報ある。コンテンツIDは、WebコンテンツのコンテンツIDである。本文は、例えば、HTML(HyperText Markup Language)データである。電子サインは、実体部分のダイジェスト値を秘密鍵(図36では、秘密鍵k)によって暗号化した値である。
続いて、コンテンツ公開部232は、公開されたWebコンテンツに関する公開管情報を、公開管理情報記憶部234に記憶する(S804)。
図37は、公開管理情報記憶部の構成例を示す図である。図37において、公開管理情報記憶部234は、公開済みのWebコンテンツごとに、コンテンツID、公開日時、及びコンテンツポインタ等を記憶する。コンテンツIDは、WebコンテンツのコンテンツIDである。公開日時は、Webコンテンツの公開日時である。コンテンツポインタは、公開コンテンツ記憶部235において、当該Webコンテンツが記憶されている記憶領域のアドレス情報である。なお、図37は、図34のステップS721の完了時の状態を示す。
続いて、閲覧者端末10eが、図34のダウンロード要求に応じて返信されたWebコンテンツの受信に応じて実行する処理手順について説明する。
図38は、第五の実施の形態において閲覧者端末がWebコンテンツの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。図38における各ステップの処理内容は、図9において、ステップ番号の下二桁が共通するステップの処理内容とほぼ同様である。したがって、図38では、図9と異なる点について説明する。
まず、図38では、受信メールの代わりに、受信されたWebコンテンツ(以下、「受信コンテンツ」という。)が処理対象とされる。
また、図9において、公開鍵特定部122によって実行されるステップは、公開鍵特定部132によって実行される。正当性判定部123によって実行されるステップは、正当性判定部133によって実行される。再送要求送信部124によって実行されるステップは、再送要求送信部134によって実行される。不正メール除去部125によって実行されるステップは、不正コンテンツ除去部135によって実行される。
また、公開鍵記憶部128(図10)の代わりに、公開鍵記憶部138が利用される。図39は、第五の実施の形態における公開鍵記憶部の構成例を示す図である。
公開鍵記憶部138は、電子サインの生成に利用される秘密鍵に対応する公開鍵ごとに、サイトID、公開鍵、及び有効期間等を記憶する。サイトIDは、当該公開鍵に対応する秘密鍵を所有するオリジンサーバ20dの識別情報である。公開鍵は、公開鍵の実体である。有効期間は、公開鍵の有効期間である。当該有効期間は、対応する秘密鍵の有効期間に一致する。
例えば、ステップS812では、受信コンテンツに含まれるサイトIDに対応する公開鍵のうち、現在日時を含む有効期間を有する公開鍵が、公開鍵記憶部138より取得される。
また、受信管理情報記憶部126の代わりに、閲覧管理情報記憶部136が利用される。図40は、第五の実施の形態における閲覧管理情報記憶部の構成例を示す図である。図40において、閲覧管理情報記憶部136は、受信されたWebコンテンツごとに、サイトID、コンテンツID、受信日時、認証状態、及びポインタ等を記憶する。
サイトIDは、受信コンテンツの公開者のサイトIDである。コンテンツIDは、受信コンテンツのコンテンツIDである。受信日時は、受信コンテンツが受信された日時である。認証状態は、受信コンテンツの公開者又は受信コンテンツ自体の正当性に関する認証状態である。ポインタは、受信コンテンツ記憶部137において、当該受信コンテンツが記憶されている記憶領域のアドレス情報である。なお、図40は、図34のステップS743の完了時の状態を示す。
また、受信メール記憶部127の代わりに、受信コンテンツ記憶部137が利用される。
また、ステップS826では、図41に示されるような再送要求メッセージが、例えば、HTTPに従って送信される。
図41は、第五の実施の形態における再送要求メッセージの構成例を示す図である。図41において、再送要求メッセージは、本文の中に、再送要求であることを示すキーワードである「再送要求」、コンテンツID、及び電子サイン等を含む。コンテンツIDは、再送要求に係る受信コンテンツのコンテンツIDである。電子サインは、再送要求に係る受信コンテンツに付与されていた電子サインである。
続いて、オリジンサーバ20dが、再送要求メッセージの受信に応じて実行する処理手順について説明する。図42は、第五の実施の形態においてオリジンサーバが再送要求メッセージの受信に応じて実行する処理手順の一例を説明するためのフローチャートである。図42における各ステップの処理内容は、図18におけるステップのうち、ステップ番号の下二桁が共通するステップの処理内容とほぼ同様である。したがって、図42では、図18と異なる点について説明する。
まず、図42では、電子メールではなく、Webコンテンツが処理対象とされる。また、再送要求応答部113によって実行されるステップは、再送要求応答部233によって実行される。また、電子サイン生成部111によって実行されるステップは、電子サイン生成部231によって実行される。また、送信管理情報記憶部114の代わりに、公開管理情報記憶部234が利用される。また、ペア鍵記憶部116の代わりに、ペア鍵記憶部236が利用される。また、ステップS236に対応するステップは実行されない。Webコンテンツは、電子メールと異なり、受信者が特定されていないからである。また、ステップS838では、例えば、図43に示されるようなWebコンテンツが再送される。なお、再送されるWebコンテンツを、「再送コンテンツ」という。
図43は、第五の実施の形態における再送コンテンツの構成例を示す図である。図43は、図36に示されるWebコンテンツ(以下、「元コンテンツ」という。)が再送される場合の再送コンテンツの構成例を示す。再送コンテンツの実体部分は、元コンテンツの実体部分と同じである。例えば、再送コンテンツの作成日時は、元コンテンツの作成日時と同じである。一方、再送コンテンツの電子サインは、元コンテンツの電子サインと異なる。再送コンテンツの電子サインは、再送時において有効な秘密鍵nを用いて生成されるからである。
更に、ステップS839では、図19に例示した再送拒否メールとほぼ同様の情報を含む再送拒否メッセージが、例えば、HTTPに従って送信される。再送拒否メッセージは、例えば、図19の再送拒否メールの送信元アドレスが、サイトIDに置換され、宛先アドレスが削除された構成を有している。
上述したように、第五の実施の形態によれば、有効期限が経過した電子サインが付与されたWebコンテンツの正当性の判定を可能とすることができる。
なお、例えば、文書データ、画像データ、動画データ、音声データ、又はプログラム等、電子メール又はWebコンテンツ以外の電子データの配信等に関して、上記各実施の形態が適用されてもよい。
なお、上記各実施の形態において、送信者端末10a、送信者端末10a及び送信元サーバ20a、又はオリジンサーバ20dは、送信装置の一例である。受信者端末10b、受信先サーバ20b、又は閲覧者端末10eは、受信装置の一例である。公開鍵特定部122、公開鍵特定部222、又は公開鍵特定部132は、特定部の一例である。再送要求送信部124、再送要求送信部224、又は再送要求送信部134は、送信部の一例である。正当性判定部123、正当性判定部223、及び正当性判定部133は、判定部の一例である。
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
以上の説明に関し、更に以下の項を開示する。
(付記1)
電子データの受信装置が、
有効期間を有する1以上の公開鍵の中から、受信された電子データに付与された電子署名に対応する公開鍵を特定し、
特定された公開鍵が有効でない場合は、前記電子データの再送要求を送信し、
前記再送要求に応じた前記電子データの再送の有無に基づいて、前記電子データの正当性を判定する、
処理を実行し、
前記電子データの送信装置が、
前記再送要求の受信に応じ、当該再送要求に係る電子データを過去に送信している場合に、当該電子データを前記受信装置に再送する、
処理を実行する正当性判定方法。
(付記2)
前記再送要求を送信する処理は、前記電子データに付与されていた電子署名を前記再送要求に含め、
前記再送する処理は、前記再送要求に含まれている電子署名に対応する電子データを過去に送信している場合に、当該電子データを前記受信装置に再送する付記1記載の正当性判定方法。
(付記3)
前記再送要求を送信する処理は、前記電子データの識別情報を前記再送要求に含め、
前記送信装置が、
前記再送要求の受信に応じ、当該再送要求に係る電子データを過去に送信していない場合に、当該再送要求に含まれている前記識別情報を指定して、再送の拒否を応答する、
処理を実行する付記1又は2記載の正当性判定方法。
(付記4)
有効期間を有する1以上の公開鍵の中から、受信された電子データに付与された電子署名に対応する公開鍵を特定し、
特定された公開鍵が有効でない場合は、前記電子データの再送要求を送信し、
前記再送要求に応じた前記電子データの再送の有無に基づいて、前記電子データの正当性を判定する、
処理をコンピュータが実行する正当性判定方法。
(付記5)
有効期間を有する1以上の公開鍵の中から、受信された電子データに付与された電子署名に対応する公開鍵を特定し、
特定された公開鍵が有効でない場合は、前記電子データの再送要求を送信し、
前記再送要求に応じた前記電子データの再送の有無に基づいて、前記電子データの正当性を判定する、
処理をコンピュータに実行させる正当性判定プログラム。
(付記6)
有効期間を有する1以上の公開鍵の中から、受信された電子データに付与された電子署名に対応する公開鍵を特定する特定部と、
特定された公開鍵が有効でない場合は、前記電子データの再送要求を送信する送信部と、
前記再送要求に応じた前記電子データの再送の有無に基づいて、前記電子データの正当性を判定する判定部と、
を有する正当性判定装置。