JP3396162B2 - 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体 - Google Patents

認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体

Info

Publication number
JP3396162B2
JP3396162B2 JP09640398A JP9640398A JP3396162B2 JP 3396162 B2 JP3396162 B2 JP 3396162B2 JP 09640398 A JP09640398 A JP 09640398A JP 9640398 A JP9640398 A JP 9640398A JP 3396162 B2 JP3396162 B2 JP 3396162B2
Authority
JP
Japan
Prior art keywords
user
information
management table
request
history management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP09640398A
Other languages
English (en)
Other versions
JPH11298469A (ja
Inventor
正一 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP09640398A priority Critical patent/JP3396162B2/ja
Publication of JPH11298469A publication Critical patent/JPH11298469A/ja
Application granted granted Critical
Publication of JP3396162B2 publication Critical patent/JP3396162B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は,ネットワーク上で
本人性の確認を行うための認証システムおよび方法に関
する.より具体的には,本発明は,認証システムの構成
方式および構成方法に関するものである.認証システム
は,コンピュータネットワーク上でEDI(電子データ
交換)やEC(電子商取引)を実現する際に,送信デー
タの秘匿性や改ざん防止の目的で利用される公開鍵暗号
方式に関して,その公開鍵の所有者を証明する機関であ
る.
【0002】
【従来の技術】コンピュータネットワーク上でEDI
(電子データ交換)やEC(電子商取引)を実現する際
には,盗聴/なりすまし/改ざん/送信否認などの脅威
が想定されるため,それを防御するために暗号通信やデ
ィジタル署名通信が用いられるのが一般的である.この
暗号方式は,参考文献「Diffie, W. and Helman, M. :
New Directions in Cryptography, IEEE Trans. Inf. T
heory, IT-22,6 pp.644 654, 1976」で発表されてお
り,世の中で広く知られるところとなっている.この公
開鍵暗号方式では,一般に広く公開しておく公開鍵と,
自分のみが知り得る秘密鍵の2種類の鍵を用いて通信を
行うが,ここで,公開鍵を単に周知するだけでは他人を
装って周知する「なりすまし」と呼ばれる脅威が考えら
れることから,公開鍵の持ち主を証明する第三者機関が
必要であり,それが一般に認証システムと呼ばれるもの
である.
【0003】認証システムは,日本の実社会で,実印の
持ち主を証明する印鑑証明書を役所が発行するのと同様
に,ディジタル通信の世界で,公開鍵の持ち主を証明す
る公開鍵証明証を発行・管理する手段を持ったシステム
であるということができる.従来のこの公開鍵証明証の
発行・管理を行う認証システムにおいては,通常,以下
のような機能が実現されている.
【0004】○公開鍵登録機能………利用者が申請した
公開鍵に対して,公開鍵証明証を作成/登録/発行す
る.
【0005】○証明証参照機能………認証システムで管
理している公開鍵証明証を利用者から参照可能とする.
【0006】○公開鍵無効化機能…… 公開鍵証明証を
無効化し,無効化リストに掲載する.
【0007】○無効化リスト参照機能…無効化された公
開鍵証明証の一覧を利用者から参照可能とする.
【0008】これらの機能は,コンピュータシステムや
暗号アルゴリズムが提供する一般的な手段を用いて構築
可能であり,申請時に申請書を用いた依頼を行うこと,
認証システムと利用者の間ではディジタル署名通信を行
うこと,公開鍵証明証や無効化リストはディレクトリや
データベースに管理しておくこと,などの基本的な構成
方式については,一般的方法であると認知されている.
【0009】さて,認証システムでは,多数の利用者の
公開鍵証明証を管理するための保管方式として,ディレ
クトリの概念(X.500,ISO/IEC/DIS 9594-1)が広く利用
されている.ディレクトリを用いて情報を管理する場
合,各情報は木構造上の各位置において管理され,木構
造の最上位から情報が管理されている位置までの経路情
報が,各情報に対する識別子となり,この識別子を一般
にDN(DistinguishedName)と呼んでいる.公開鍵証
明証をディレクトリで管理する場合の例を,図5を用い
て説明する.図5に示される木構造は,公開鍵証明証の
所有者を識別するための木構造であり,識別情報を表す
階層の最上位に国名,最下位に所有者個人の一般名が示
されている.この木構造を用いて,「鈴木」を識別する
と,そのDNは,
【0010】C=日本,L=神奈川,ST=横浜,CN
=鈴木
【0011】として最上位からの階層で示される.ここ
で,Cは国名,Lは地方名,STは地域名,CNは一般
名である.このように,一般に公開鍵証明証の所有者を
識別するDNは,その所有者の名前(一般名)に,居住
地や所属する組織などの所有者に関する情報をあわせた
形式で表され,公開鍵証明証の発行時において認証シス
テムによって付与される.また,各利用者の公開鍵証明
証は,図5に示すように,その所有者を識別するDNが
指し示すところにそれぞれ保管され,公開鍵証明証の参
照や削除など,公開鍵証明証に対する操作が必要な場合
には,ディレクトリに対して対象公開鍵証明証の所有者
のDNを指定して,処理を実行することになる.
【0012】次に,公開鍵証明証を用いて,通信相手の
本人性を確認するための一般的な方法について述べる.
図6に示すように,コンピュータネットワークを介して
通信相手の本人確認を行う場合,送信者は,送信情報に
対して自分のみが知りうる秘密鍵を用いて電子署名を作
成し,これを文書(送信情報)に付与して(),通信
相手に送付する().受信者は,この電子署名が確か
に送信者によって付与されたものであることを検証する
ため,認証システムに対して送信者のDNを指定して,
送信者の公開鍵証明証を取得し(),これに含まれる
公開鍵を用いて電子署名を検証することにより,電子署
名の付与者が,DNで指し示される利用者であることを
確認することが可能となる().
【0013】
【発明が解決しようとする課題】前述のように,認証シ
ステムが管理する公開鍵証明証の所有者を識別する識別
子にはDNが用いられ,通常このDNは,所有者の個人
名に,その所有者が居住する地名情報や所属する組織名
などの情報をあわせた形で表現される.
【0014】さてここで,1人の利用者に対して,認証
システムが複数のDNを付与している場合を考える.こ
のような状況は,例えばその利用者が住所を変更した
り,所属する組織を変更するなどして,それまで付与さ
れていたDNが,もはや自分を識別するための情報とし
て適切でなくなったためにDNを変更する場合や,複数
の組織に所属している利用者が,各所属に対応するDN
を付与されているなどの場合に発生することが想定され
る.しかしながら,従来の公開鍵証明証を用いた本人確
認処理では,署名検証に用いる公開鍵証明証の所有者識
別子であるDNによって利用者を識別するため,異なる
DNで管理される公開鍵証明証により署名検証が行われ
た通信相手は,これがたとえ同一利用者であっても異な
る利用者として識別されてしまうという問題が生じるこ
とになる.この問題が生じる例として,通信相手の利用
者のDNが変更された場合の例を図7に示す.
【0015】図7は,DN1(C=日本,L=神奈川,
ST=横浜,CN=利用者B)の識別子を持つ利用者B
が,システムAに対して利用者登録を行い,後日利用者
BのDNがDN2(C=日本,L=東京,ST=世田
谷,CN=利用者B)に変更された場合,システムAで
は,DNが異なるDN1とDN2の利用者を同一利用者
として認識することができず,これを別利用者として扱
わざるをえないことを意味している.
【0016】そこで以上に示した問題を解決するため,
本人確認処理を行う利用者が,通信相手の公開鍵証明証
のDN情報から,これが付与されている利用者が誰であ
るかを一意に識別可能となる認証方法,およびこれを実
現する認証システムの構成ならびに認証方法および認証
システムにおいて用いられるプログラムを記録した記録
媒体を提供することに,本発明の目的がある.
【0017】
【課題を解決するための手段】上記課題を解決するた
め,発明は,同一個人に対して払い出された公開鍵証
明証の所有者特定情報の履歴を管理し,任意の所有者特
定情報がどの特定個人に対して払い出されたものである
かの情報を必要に応じて他のシステムへ提供することを
特徴としている.
【0018】また,請求項および記載の発明は,各
利用者に対して付与したDN(Distinguished Name)の
履歴を管理し,各DNが付与された利用者を識別する情
報を提供することにより,コンピュータネットワーク上
での公開鍵証明証を用いた本人確認の際に,公開鍵証明
証の所有者識別子であるDNから,通信相手の利用者を
一意に識別することが可能となる本人認証方法を実現す
るため,システム初期生成処理において,DN付与履歴
管理テーブル作成手段を用いて各利用者に対して付与し
たDNの履歴を管理するためのDN付与履歴管理テーブ
ルを作成し,利用者からのDN初回付与/DN追加付与
/DN無効化/DN変更依頼受付処理において,DN付
与サービス受付手段を用いて利用者からの依頼を受け付
け,利用者の身元確認処理において,身元確認手段を用
いて,DN初回付与の依頼の場合には確認した身元確認
情報を前記テーブルに格納し,DN追加付与/DN無効
化/DN変更の依頼の場合には利用者が提示した身元確
認情報が前記DN付与履歴管理テーブル内の身元確認情
報と一致することによってその本人性を確認し,DN初
回付与の依頼の場合には,利用者ID払い出し処理にお
いて,利用者ID払い出し手段を用いて利用者に対して
一意かつ不変な利用者IDを払い出し,DN付与履歴管
理テーブル登録処理において,DN付与履歴管理テーブ
ル登録手段を用いて,DN初回付与の依頼の場合には付
与したDNの情報を前記DN付与履歴管理テーブルに保
存し,DN追加付与の依頼の場合には追加付与したDN
の情報を前記DN付与履歴管理テーブルに保存し,DN
無効化の依頼の場合には前記DN付与履歴管理テーブル
内に登録されている対象DNを無効DNの欄へ移動さ
せ,DN変更の依頼の場合には前記DN付与履歴管理テ
ーブル内に登録されている変更前のDNを無効DNの欄
へ移動させるとともに変更後のDNを前記DN付与履歴
管理テーブルに登録し,公開鍵証明証の管理情報への反
映処理において,公開鍵証明証管理へのDN情報反映手
段を用いてDN付与履歴管理テーブルに登録されたDN
情報を,公開鍵証明証を管理する機能部に対して通知
し,これを公開鍵証明証を管理する木構造に反映させる
ことにより,利用者に対して付与したDNを管理するこ
とを特徴としている.
【0019】また,請求項および記載の発明は,利
用者ID参照依頼受付処理において,利用者ID参照依
頼受付手段を用いて本人確認処理を行う利用者からの利
用者ID参照依頼を受け付けて参照対象DNを取得し,
利用者ID検索処理において,利用者ID検索手段を用
いて取得したDNが付与されている利用者の利用者ID
を,DN履歴管理テーブル内を検索して取得し,結果送
付処理において,利用者ID送付手段を用いて取得した
利用者IDを依頼者に対して送付することにより,任意
のDNに対してこれが付与された利用者を一意に指し示
す情報を,本人確認処理を行う利用者に対して提供可能
とすることを特徴としている.
【0020】また,上記各請求項に係る発明は,1また
は複数のコンピュータを用いて実現される場合に,その
コンピュータで実行されるプログラムを計算機読み取り
可能な記録媒体に記録して頒布することができる.
【0021】
【発明の実施の形態】まず,本発明の要点について図1
〜図3を参照して説明する.公開鍵証明証を用いた本人
確認処理を行う際に,異なる複数のDNが同一利用者に
対して付与されたものであることを確認可能とするに
は,これらのDNが付与された利用者を一意に識別する
ための情報が,本人確認処理を行う利用者に対して提供
されればよい.そこで本発明では,各利用者に対して付
与されたDNおよびその付与履歴を認証システムにおい
て管理し,本人確認処理を行う利用者が,署名検証の際
に用いた公開鍵証明証のDNが付与された利用者の情報
を取得可能とすることにより,DN単位の本人識別では
なく,利用者単位の本人識別を可能としている.この特
徴を有する本人認証方式およびこれを実現する認証シス
テムの構成を図1に示す.図1に示す本人認証方式で
は,従来の認証システムにおいて実現されている公開鍵
証明証の発行・管理を行う手段に加えて,
【0022】◎利用者に対して付与したDNの履歴を管
理する手段(符号:A10)
【0023】◎任意のDNに対してこれを付与された利
用者を一意に指し示す情報を,本人確認処理を行う利用
者に対して提供する手段(A20)
【0024】が用意されることにより,通信相手をDN
により識別していた従来の本人認証方式(図6)に比べ
て,そのDNが付与された利用者を一意に識別する情報
を認証システムから得られるため,利用者単位の本人識
別が可能となり,異なる複数のDNが同一利用者に対し
て付与された場合においても,その事実を本人確認処理
において確認することが可能となる.
【0025】なお,図1に示す認証方式では,図6と比
較して,電子署名付与の処理に先だって認証システム
からDN/利用者の識別子の付与を受ける処理()
と,受信者において認証システムから,送信者のDNを
用いて利用者識別子の情報の提供を受ける処理()が
追加されている.なお,図1における電子署名付与,
送信,公開鍵証明証取得,署名検証の各処理は,
図2における電子署名付与,送信,公開鍵証明証取
得,署名検証の各処理に対応するものである.
【0026】では以下において,本発明による認証シス
テムを実現するために必要となる上記の2つの手段につ
いて説明する.まず,各利用者に対して付与したDNの
履歴を管理する手段について,図2に示すシステムフロ
ーを用いて述べる.なお,図2において,左右方向の矢
印は各処理において呼び出す手段を指し示すものであ
り,上下方向の矢印は処理の流れを示すものである.
【0027】(1)システム初期生成処理
【0028】認証システムの立ち上げ時におけるシステ
ム初期生成処理において,DN付与履歴管理テーブル作
成手段1を用いて,各利用者に対して付与したDNの履
歴を管理するためのテーブル100を用意する.本発明で
は,DNを付与した利用者を一意に識別するための情報
として,各利用者に対して一意かつ不変な利用者IDを
用意し,これをキーとして各利用者に対して付与したD
Nの履歴を管理する.そこでこのDN付与履歴管理テー
ブル100には,利用者ID,利用者の一意性を確認する
身元確認情報,登録したDN,無効としたDNのそれぞ
れの情報を管理することになる.
【0029】(2)DN初回付与/DN追加付与/DN
無効化/DN変更(サービス) 依頼受付処理
【0030】利用者からのDNの付与に関する依頼に対
して,DN付与サービス受付手段2を用いて受け付け
る.ここでは利用者の依頼種別を識別し,次の処理へ振
り分ける処理を行う.
【0031】(3)依頼者の身元確認処理
【0032】(2)で受け付けたサービス依頼者の本人
性を,身元確認手段3を用いて確認する.この身元確認
は,利用者に自分の身元を保証する情報を提示してもら
い,これを認証システムが確認することによって行う.
利用者からの依頼が,DN初回付与依頼の場合には,こ
こで確認した身元確認情報をDN履歴管理テーブル100
の該当箇所に格納する,また,利用者からの依頼が,D
N追加付与/DN無効化/DN変更依頼であった場合に
は,利用者が提示した身元確認情報が,DN付与履歴管
理テーブル100内の身元確認情報と一致することを確認
する.これにより,登録済みの情報に対して本人以外の
利用者による操作を防止し,各利用者に対するDNの付
与履歴を確実に管理することが可能となる.
【0033】(4)利用者ID払い出し処理
【0034】利用者からの依頼がDN初回付与依頼であ
った場合,その利用者には利用者IDが付与されていな
いため,利用者ID払い出し手段4を用いて,その利用
者に対して一意かつ不変な利用者IDを払い出す.
【0035】(5)DN付与履歴管理テーブル登録処理
【0036】利用者からの依頼に応じて,DN付与履歴
管理テーブル登録手段5を用いて,DNの付与情報をD
N付与履歴管理テーブル100に保存する.利用者からの
依頼がDN初回付与依頼であった場合には,付与したD
NをDN付与履歴管理テーブル100内の登録DNの欄に
保存する.利用者からの依頼がDN追加付与依頼であっ
た場合には,追加付与したDNをDN付与履歴管理テー
ブル100内の登録DNの欄に追加する.利用者からの依
頼がDN無効化依頼であった場合には,対象DNを登録
DNの欄から無効DNの欄へ移動させる.利用者からの
依頼がDN変更依頼であった場合には,変更前のDNを
登録DNの欄から無効DNの欄へ移動させ,変更後のD
Nを登録DNの欄に追加する.
【0037】(6)公開鍵証明証の管理情報への反映処
【0038】DNは公開鍵証明証の所有者識別子であ
り,公開鍵証明証を管理するための木構造を構成する要
素であるため,(5)の処理によってDNの情報が変更
された場合,その情報を公開鍵証明証を管理する機能部
に対して通知し,これを反映させる必要がある.そこ
で,公開鍵証明証管理へのDN情報反映手段6を用い
て,(5)の処理によりDN付与履歴管理テーブル100
の登録DN欄にDNが追加された場合には,このDNを
木構造に追加することを公開鍵証明証を管理する機能部
に対して依頼し,無効DN欄にDNが追加された場合に
は,このDNを木構造から削除することを依頼する.
【0039】以上に示した処理方法及びそれらが呼び出
す手段を用いることにより,認証システムにおいて,各
利用者に対して付与したDNの履歴を管理することが可
能となる.
【0040】なお,図2に示した各手段についてその機
能をまとめると以下のようになる.DN付与履歴管理テ
ーブル作成手段1…システム初期生成処理において,利
用者ID,身元確認情報,現存するDN,無効なDNの
情報を管理するDN付与履歴管理テーブルを設けるため
の手段.DN付与サービス受付手段2…利用者からのD
N付与依頼に関するサービス申請を受け付ける手段.D
N付与依頼に関するサービスには,DN初回付与サービ
ス,DN追加付与サービス,DN無効化サービス,DN
変更サービスがある.身元確認手段3…利用者からのD
Nの付与に関するサービス申請を受け付けた際に,依頼
者の身元を確認し,その本人性を確認する手段.利用者
ID払い出し手段4…各利用者に対する初回のDN付与
処理において,利用者を一意に指し示す情報として用い
るための,一意かつ不変な利用者IDを払い出す手段.
DN付与履歴管理テーブル登録手段5…各利用者に対し
て付与したDNの情報を,DN付与履歴管理テーブルへ
登録・管理する手段.公開鍵証明証管理へのDN情報反
映手段6…DN付与履歴管理テーブル登録手段5を用い
ることにより,利用者に対して付与したDN情報が更新
された場合,その情報を公開鍵証明証を管理する機能部
に対して反映する手段.
【0041】次に,上記で述べたDN付与履歴情報に基
づいて,任意のDNに対してこれを付与された利用者を
一意に指し示す情報を,本人確認処理を行う利用者に対
して提供する手段について説明する.以下では,図1に
示したように,本人確認処理を行う利用者が公開鍵証明
証を用いて通信相手の本人確認を行う際に,署名検証に
用いた公開鍵証明証のDNから,その通信相手を一意に
指し示す情報を認証システムから取得することを想定
し,認証システムにおいて必要となる手段およびこれを
呼び出す処理を,図3を用いて説明する.
【0042】(1)利用者ID参照依頼受付処理
【0043】本人確認処理を行う利用者が,署名検証に
用いた公開鍵証明証のDNが付与された利用者を識別す
るために,認証システムに対して依頼する利用者ID参
照依頼を,利用者ID参照依頼受付手段7を用いて受け
付ける.この受付手段7では,本人確認処理を行う利用
者から,対象DNを取得する.
【0044】(2)利用者ID検索処理
【0045】(1)で取得したDNが付与されている利
用者の利用者IDを,利用者ID検索手段8を用いて,
DN付与履歴管理テーブル100内を検索して取得する.
【0046】(3)結果送付処理
【0047】(2)で検索された利用者IDを,利用者
ID送付手段9を用いて依頼者に送付する.これを受け
取った利用者は,署名検証に用いた公開鍵証明証のDN
が付与された利用者を一意に識別可能となるため,利用
者単位の本人識別が可能となる.
【0048】以上に示した処理方法及びそれらが呼び出
す手段を用いることにより,認証システムにおいて,任
意のDNに対してこれを付与された利用者を一意に指し
示す情報を,本人確認処理を行う利用者に対して提供す
ることが可能となる.
【0049】なお,図3に示した各手段の機能について
以下にまとめて述べる.利用者ID参照依頼受付手段7
…一般利用者からの利用者ID参照依頼に対して,これ
を受け付け,一般利用者から識別依頼対象であるDNを
取得する手段.利用者ID検索手段8…利用者ID参照
依頼受付手段7で取得されたDNが付与されている利用
者の利用者IDを,DN付与履歴管理テーブル内を検索
することにより取得する手段.利用者ID送付手段9…
利用者ID検索手段8で検索された利用者IDを依頼者
に対して送付する手段.
【0050】本発明の具体的な実施形態を,図4を用い
て説明する.図4は,利用者AとシステムBとの間のや
り取りにおいて,利用者Aが異なるDNを用いてシステ
ムBに対してアクセスした場合に,本発明により,シス
テムBがそれらの申請を同一利用者からの申請であるこ
とを認識できることを示している.つまり本発明によ
り,本人確認処理を行う利用者は,DN単位の本人識別
ではなく,利用者単位の本人識別を行うことが可能とな
ることを示している.
【0051】なお,図4においては,上述したDN付与
サービス受付手段2,利用者ID参照依頼手段7,およ
び利用者ID送付手段9が,サービス提供の窓口となる
機能部10を構成し,利用者ID払い出し手段4とDN
付与履歴管理テーブル作成手段が,サービス提供におけ
る初期化に関する機能部11を構成している.また,D
N付与履歴管理テーブルへの参照処理に関する機能部1
2は,身元確認手段3と利用者ID検索手段8からな
り,DN付与履歴管理テーブルへの登録処理に関する機
能部13および公開鍵証明証管理機能部との連携に関す
る機能部14は,それぞれDN付与履歴管理テーブル登
録手段5および公開鍵証明証管理へのDN情報反映手段
6から構成されている.また,システムBは本人確認処
理を行うための利用者ID参照機能と署名検証機能を備
えている.
【0052】また,図4において,認証システム内の鎖
線で囲んだ各機能(手段)は,本発明が特徴とする構成
である.なお,丸数字は処理の流れの順序の例を示した
ものである.
【0053】初回DN付与申請
【0054】利用者Aからの最初のDN付与申請が認証
システムに対して行われた場合,認証システムは,以下
の処理を行う.
【0055】(a)DN付与サービス受付手段2を用い
て,申請を受け付ける.
【0056】(b)身元確認手段3を用いて,申請者の
身元確認を行う.
【0057】(c)利用者ID払い出し手段4を用い
て,利用者Aに対して一意かつ不変な利用者ID(この
例では10010)を払い出す.
【0058】(d)DN付与履歴管理テーブル登録手段
5を用いて,利用者ID(10010),付与したDN
(DN1),身元確認に用いた情報(例えば戸籍謄本の
情報)をDN付与履歴管理テーブル100に登録する.
【0059】(e)公開鍵証明証管理へのDN情報反映
手段6を用いて,公開鍵証明証を管理する機能部(証明
証管理部;従来のCAシステムで実現される機能)に対
して,付与したDN(DN1)を木構造に追加すること
を依頼する.
【0060】利用者AからシステムBへの申請
【0061】利用者Aは,において認証システムから
付与されたDN(DN1)で管理される公開鍵を用いる
ことにより検証可能な電子署名を付与した申請書を,シ
ステムBに対して送付する.
【0062】システムBにおける申請書の電子署名検
【0063】システムBは,従来の認証システムにおい
て実現されている公開鍵参照サービスを用いて,電子署
名の検証に必要なDN(DN1)で管理される公開鍵証
明証を取得し,これを用いて,申請書が確かにDN1の
保持者から送付されたものであることを確認する.
【0064】利用者ID参照
【0065】システムBは,の署名検証に用いた公開
鍵証明証のDN(DN1)が付与された利用者を識別す
るため,認証システムに対して利用者IDの参照依頼を
行う.認証システムでは,以下の処理を行う.
【0066】(a)利用者ID参照依頼受付手段7を用
いて,システムBからの依頼申請を受け付け,識別対象
であるDN(DN1)を取得する.
【0067】(b)利用者ID検索手段8を用いて,取
得したDN(DN1)が付与された利用者ID(100
10)を,DN付与履歴管理テーブル100を検索するこ
とにより取得する.
【0068】(c)利用者ID送付手段9を用いて,
(b)で取得された利用者ID(10010)をシステ
ムBに対して送付する.
【0069】DN追加付与申請
【0070】利用者Aが,認証システムに対して,DN
の追加付与の申請を行った場合,認証システムは以下の
処理を行う.
【0071】(a)DN付与サービス受付手段2を用い
て,申請を受け付ける.
【0072】(b)身元確認手段を用いて,DN付与履
歴管理テーブル100に保管されている利用者Aの身元確
認情報を利用者ID(10010)をキーに参照し,こ
れと利用者Aが提示した身元確認情報とを比較して,同
一利用者であることを確認する.
【0073】(c)DN付与履歴管理テーブル登録手段
5を用いて,追加付与したDN(DN2)をDN付与履
歴管理テーブル100の登録DN欄へ追加する.
【0074】(d)公開鍵証明証管理へのDN情報反映
手段6を用いて,公開鍵証明証を管理する機能部(証明
管理部)に対して,追加付与したDN(DN2)を木構
造に追加することを依頼する.
【0075】利用者AからシステムBへの申請
【0076】利用者Aは,上記において認証システム
から付与されたDN(DN2)で管理される公開鍵を用
いることにより検証可能な電子署名を付与した申請書
を,システムBに対して送付する.
【0077】システムBにおける申請書の電子署名検
【0078】システムBは,上記と同様に,従来の認
証システムにおいて実現されている公開鍵参照サービス
を用いて,電子署名の検証に必要なDN(DN2)で管
理される公開鍵証明証を取得し,これを用いて,申請書
が確かにDN2の保持者から送付されたものであること
を確認する.
【0079】利用者ID参照
【0080】システムBは,と同様に,の署名検証
に用いた公開鍵証明証のDN(DN2)を保持する利用
者を識別するため,認証システムに対して利用者IDの
参照依頼を行う.認証システムでは,と同様の処理が
行われ,システムBに対して利用者ID(10010)
が送付される.このときシステムBは,の時に受信し
た利用者ID(10010)と同一のものであることを
確認することにより,の申請者との申請者が同一利
用者であることが確認可能となる.
【0081】以上,本発明による手段を用いることによ
り,公開鍵証明証を用いて通信相手の本人確認処理を行
う利用者が,署名検証に用いた公開鍵証明証のDNか
ら,その通信相手を一意に指し示す情報を認証システム
から取得することが可能となり,申請に用いたDNに依
存することなく通信相手の本人識別が可能となる.
【0082】なお,上述した各手段および各システム
は,ワークステーション,パーソナルコンピュータ等の
電子計算機を用いて実現することができる.また,その
際に本発明の方法,方式を実現するプログラムは,磁気
媒体,光磁気媒体に記録して,あるいはコンピュータネ
ットワークを介して,配布することが可能である.
【0083】
【発明の効果】以上の説明から明らかなように,本発明
の方法とそれを実現する手段を用いることによって,公
開鍵証明証を用いて通信相手の本人確認処理を行う利用
者が,署名検証に用いた公開鍵証明証のDNから,その
通信相手を一意に指し示す情報を認証システムから取得
することが可能となるため,DNに依存しない利用者単
位の本人識別が可能となり,通信相手のDNが変更され
たり,通信相手に複数のDNが付与されている場合にお
いても,それらのDNを保持する通信相手が同一の通信
相手であることを確認することが可能となる.
【図面の簡単な説明】
【図1】 本発明における本人認証方法を示すシステム
フローである.
【図2】 本発明におけるDNの付与履歴を管理するた
めに必要となる各手段を示したシステムフローである.
【図3】 本発明において管理されるDN付与履歴管理
情報を利用者に対して提供するための手段を示したシス
テムフローである.
【図4】 本発明が具体的に使われる様子の例を示した
システムフローである.
【図5】 ディレクトリ内において構成される木構造の
例を示した図である.
【図6】 公開鍵証明証が木構造で管理される例を示し
た図である.
【図7】 同一人物に対して異なるDNが付与された場
合の問題について示した図である.
【符号の説明】
1…DN付与履歴管理テーブル作成手段 2…DN付与サービス受付手段 3…身元確認手段 4…利用者ID払い出し手段 5…DN付与履歴管理テーブル登録手段 6…公開鍵証明証管理へのDN情報反映手段 7…利用者ID参照依頼受付手段 8…利用者ID検索手段 9…利用者ID送付手段 10…サービス提供の窓口となる機能部 11…サービス提供における初期化に関する機能部 12…DN付与履歴管理テーブルへの参照処理に関する
機能部 13…DN付与履歴管理テーブルへの登録処理に関する
機能部 14…公開鍵証明証管理機能部との連携に関する機能部
───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) H04L 9/08 H04L 9/32 JICSTファイル(JOIS)

Claims (5)

    (57)【特許請求の範囲】
  1. 【請求項1】 認証システムにおいて,各利用者に対し
    て付与したDN(Distinguished Name)の履歴を管理
    し,各DNが付与された利用者を識別する情報を提供す
    ることにより,コンピュータネットワーク上での公開鍵
    証明証を用いた本人確認の際に,公開鍵証明証の所有者
    識別子であるDNから,通信相手の利用者を一意に識別
    することが可能となる本人認証方法を実現するため, システム初期生成処理において,DN付与履歴管理テー
    ブル作成手段を用いて各利用者に対して付与したDNの
    履歴を管理するためのDN付与履歴管理テーブルを作成
    し, 利用者からのDN初回付与/DN追加付与/DN無効化
    /DN変更依頼受付処理において,DN付与サービス受
    付手段を用いて利用者からの依頼を受け付け, 利用者の身元確認処理において,身元確認手段を用い
    ,DN初回付与の依頼の場合には確認した身元確認情
    報を前記テーブルに格納し,DN追加付与/DN無効化
    /DN変更の依頼の場合には利用者が提示した身元確認
    情報が前記DN付与履歴管理テーブル内の身元確認情報
    と一致することによってその本人性を確認し,DN初回付与の依頼の場合には, 利用者ID払い出し処
    理において,利用者ID払い出し手段を用いて利用者に
    対して一意かつ不変な利用者IDを払い出し, DN付与履歴管理テーブル登録処理において,DN付与
    履歴管理テーブル登録手段を用いて,DN初回付与の依
    頼の場合には付与したDNの情報を前記DN付与履歴管
    理テーブルに保存し,DN追加付与の依頼の場合には追
    加付与したDNの情報を前記DN付与履歴管理テーブル
    に保存し,DN無効化の依頼の場合には前記DN付与履
    歴管理テーブル内に登録されている対象DNを無効DN
    の欄へ移動させ,DN変更の依頼の場合には前記DN付
    与履歴管理テーブル内に登録されている変更前のDNを
    無効DNの欄へ移動させるとともに変更後のDNを前記
    DN付与履歴管理テーブルに登録し, 公開鍵証明証の管理情報への反映処理において,公開鍵
    証明証管理へのDN情報反映手段を用いてDN付与履歴
    管理テーブルに登録されたDN情報を,公開鍵証明証を
    管理する機能部に対して通知し,これを公開鍵証明証を
    管理する木構造に反映させることにより,利用者に対し
    て付与したDNを管理することを特徴とするDN情報管
    システム.
  2. 【請求項2】 請求項記載のDN情報管理システムに
    おいて, 利用者ID参照依頼受付処理において,利用者ID参照
    依頼受付手段を用いて本人確認処理を行う利用者からの
    利用者ID参照依頼を受け付けて参照対象DNを取得
    し, 利用者ID検索処理において,利用者ID検索手段を用
    いて取得したDNが付与されている利用者の利用者ID
    を,DN履歴管理テーブル内を検索して取得し, 結果送付処理において,利用者ID送付手段を用いて取
    得した利用者IDを依頼者に対して送付することによ
    り,任意のDNに対してこれが付与された利用者を一意
    に指し示す情報を,本人確認処理を行う利用者に対して
    提供可能とすることを特徴とするDN情報管理システ
    ム.
  3. 【請求項3】 認証システムにおける認証方法におい
    て,各利用者に対して付与したDN(Distinguished Na
    me)の履歴を管理し,各DNが付与された利用者を識別
    する情報を提供することにより,コンピュータネットワ
    ーク上での公開鍵証明証を用いた本人確認の際に,公開
    鍵証明証の所有者識別子であるDNから,通信相手の利
    用者を一意に識別することが可能となる本人認証方法を
    実現するため, システム初期生成処理において,DN付与履歴管理テー
    ブル作成手段を用いて各利用者に対して付与したDNの
    履歴を管理するためのテーブルを作成し, 利用者からのDN初回付与/DN追加付与/DN無効化
    /DN変更依頼受付処理において,DN付与サービス受
    付手段を用いて利用者からの依頼を受け付け, 利用者の身元確認処理において,身元確認手段を用い
    ,DN初回付与の依頼の場合には確認した身元確認情
    報を前記テーブルに格納し,DN追加付与/DN無効化
    /DN変更の依頼の場合には利用者が提示した身元確認
    情報が前記DN付与履歴管理テーブル内の身元確認情報
    と一致することによってその本人性を確認し,DN初回付与の依頼の場合には, 利用者ID払い出し処
    理において,利用者ID払い出し手段を用いて利用者に
    対して一意かつ不変な利用者IDを払い出し, DN付与履歴管理テーブル登録処理において,DN付与
    履歴管理テーブル登録手段を用いて,DN初回付与の依
    頼の場合には付与したDNの情報を前記DN付与履歴管
    理テーブルに保存し,DN追加付与の依頼の場合には追
    加付与したDNの情報を前記DN付与履歴管理テーブル
    に保存し,DN無効化の依頼の場合には前記DN付与履
    歴管理テーブル内に登録されている対象DNを無効DN
    の欄へ移動させ,DN変更の依頼の場合には前記DN付
    与履歴管理テーブル内に登録されている変更前のDNを
    無効DNの欄へ移動させるとともに変更後のDNを前記
    DN付与履歴管理テーブルに登録し, 公開鍵証明証の管理情報への反映処理において,公開鍵
    証明証管理へのDN情報反映手段を用いてDN付与履歴
    管理テーブルに登録されたDN情報を,公開鍵証明証を
    管理する機能部に対して通知し,これを公開鍵証明証を
    管理する木構造に反映させることにより,利用者に対し
    て付与したDNを管理することを特徴とするDN情報管
    方法.
  4. 【請求項4】 請求項記載のDN情報管理方法におい
    て, 利用者ID参照依頼受付処理において,利用者ID参照
    依頼受付手段を用いて本人確認処理を行う利用者からの
    利用者ID参照依頼を受け付けて参照対象DNを取得
    し, 利用者ID検索処理において,利用者ID検索手段を用
    いて取得したDNが付与されている利用者の利用者ID
    を,DN履歴管理テーブル内を検索して取得し, 結果送付処理において,利用者ID送付手段を用いて取
    得した利用者IDを依頼者に対して送付することによ
    り,任意のDNに対してこれが付与された利用者を一意
    に指し示す情報を,本人確認処理を行う利用者に対して
    提供可能とすることを特徴とするDN情報管理方法.
  5. 【請求項5】 請求項1〜のいずれか1項に記載の
    N情報管理方法またはDN情報管理システムをコンピュ
    ータを用いて実現する際に該コンピュータで実行される
    プログラムを記録した計算機読み取り可能な記録媒体.
JP09640398A 1998-04-08 1998-04-08 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体 Expired - Fee Related JP3396162B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP09640398A JP3396162B2 (ja) 1998-04-08 1998-04-08 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP09640398A JP3396162B2 (ja) 1998-04-08 1998-04-08 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JPH11298469A JPH11298469A (ja) 1999-10-29
JP3396162B2 true JP3396162B2 (ja) 2003-04-14

Family

ID=14164006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP09640398A Expired - Fee Related JP3396162B2 (ja) 1998-04-08 1998-04-08 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP3396162B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072644A (ko) * 2000-09-16 2000-12-05 최선정 외부인에 의한 사용자 계정의 침입 감지 및 계정내 정보보호 방법
KR20020095815A (ko) * 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
WO2003105002A1 (ja) * 2002-06-11 2003-12-18 株式会社帝国データバンク 汎用的組織内個人認証システム
US10003459B2 (en) 2013-04-30 2018-06-19 Sony Corporation Information processing device, wireless communication system, information processing method, and program
JP2020028128A (ja) * 2018-08-14 2020-02-20 株式会社bitFlyer Blockchain 電子署名を確認するための装置、方法及びそのためのプログラム
WO2020036208A1 (ja) * 2018-08-14 2020-02-20 株式会社bitFlyer Blockchain 電子署名を確認するための装置、方法及びそのためのプログラム
JP6706451B2 (ja) * 2019-01-19 2020-06-10 株式会社bitFlyer Blockchain 電子署名を確認するための装置、方法及びそのためのプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ディジタル署名と暗号技術,株式会社プレンティスホール出版,1997年12月24日,初版,p.215−333

Also Published As

Publication number Publication date
JPH11298469A (ja) 1999-10-29

Similar Documents

Publication Publication Date Title
US7383434B2 (en) System and method of looking up and validating a digital certificate in one pass
US6553493B1 (en) Secure mapping and aliasing of private keys used in public key cryptography
US6941476B2 (en) Information storage
US6892300B2 (en) Secure communication system and method of operation for conducting electronic commerce using remote vault agents interacting with a vault controller
US20030145223A1 (en) Controlled access to credential information of delegators in delegation relationships
US20030163701A1 (en) Method and apparatus for public key cryptosystem
US20220173891A1 (en) Apparatus and method for managing personal information
US20100043064A1 (en) Method and system for protecting sensitive information and preventing unauthorized use of identity information
CA2408589A1 (en) Url-based certificate in a pki
EP1162780B1 (en) System and method for cross directory authentication in a public key infrastructure
JP2004514988A (ja) サービスへの匿名アクセス
KR20110056997A (ko) 아이덴티티 관리서버, 시스템 및 관리 방법
US11985252B1 (en) Resolving and managing blockchain domains
KR100731491B1 (ko) 인증서 폐지목록 분산 관리 방법
RU2373572C2 (ru) Система и способ для разрешения имен
US7013388B2 (en) Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system
JP2002513522A (ja) ユーザ制御の匿名通信を確立しかつ維持する方法およびシステム
JP3396162B2 (ja) 認証システムおよび認証方法ならびに該システムまたは方法を実現するためのプログラムを記録した記録媒体
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
CN111914024B (zh) 证书存储和查询区块链构建方法、装置、系统、查询方法
WO2001061920A1 (en) The method and the system for accessing multiple services using a single identifier
JP3946808B2 (ja) 認証システムにおける利用者情報管理装置
WO2007097514A1 (en) Apparatus and method for issuing certificate with user's consent
KR100243404B1 (ko) 인터넷 웹 기반의 인증국 인증서 취소 목록 실시간 조회 방법과그 시스템
JPH10276186A (ja) 認証システムにおける公開鍵証明証の有効期限通知方法

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080207

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090207

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090207

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100207

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110207

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110207

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120207

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130207

Year of fee payment: 10

LAPS Cancellation because of no payment of annual fees