JP3761432B2 - 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム - Google Patents

通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム Download PDF

Info

Publication number
JP3761432B2
JP3761432B2 JP2001236546A JP2001236546A JP3761432B2 JP 3761432 B2 JP3761432 B2 JP 3761432B2 JP 2001236546 A JP2001236546 A JP 2001236546A JP 2001236546 A JP2001236546 A JP 2001236546A JP 3761432 B2 JP3761432 B2 JP 3761432B2
Authority
JP
Japan
Prior art keywords
authentication system
certificate
card
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001236546A
Other languages
English (en)
Other versions
JP2003046499A (ja
Inventor
美津子 林
正雄 藤波
拓也 井上
順之介 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NTT Communications Corp
Original Assignee
NEC Corp
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NTT Communications Corp filed Critical NEC Corp
Priority to JP2001236546A priority Critical patent/JP3761432B2/ja
Publication of JP2003046499A publication Critical patent/JP2003046499A/ja
Application granted granted Critical
Publication of JP3761432B2 publication Critical patent/JP3761432B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットその他のデータ通信ネットワーク上のサーバ認証に利用する。本発明は、通信網を介してサービスの提供を受けるユーザが、そのユーザ端末から接続されたサーバの正当性の認証に、ICカード(Integrated Circuit card)を利用する技術に関する。
【0002】
【従来の技術】
ユーザがユーザ端末により通信網を介してサーバに接続を行い、このサーバが提供する情報を受け取るサービスが広く普及している。このときに、ユーザは、サービスを受けるために接続したサーバが正当なものか否かを認証する。また、サーバは、これからサービスを提供するユーザが正当なものか否かを認証する。
【0003】
このような相互認証方式の一つとして、ユーザがサーバにアクセスしてサービスを受けようとするときには、まず、証明機関(以下、CA局:Certificate Authority局という)が発行した電子証明書であるCA証明書をユーザが取得し、次にサーバを管理する認証システムに対してこの認証システム証明書の提供を要求する。このCA証明書には、CA局の公開鍵が書込まれている。
【0004】
認証システムは、この要求に応じて保持している認証システム証明書をユーザに送付する。ユーザは、CA局の公開鍵により認証システム証明書に含まれるディジタル署名を復号化し、認証システム証明書の平文データをハッシュした結果と比較することにより、認証システム証明書の正当性を認証することができる。
【0005】
次に、ユーザは、このようにして正当性が認証された認証システム証明書を用いて認証システムの認証を行う。その結果、ユーザは、サーバの正当性を認証した上で、所望のサーバからサービスを受けることができる。
【0006】
【発明が解決しようとする課題】
このような認証システムを含む通信システムでは、ユーザがCA局からCA証明書を受け取ることが必要になる。CA証明書を通信によって取得する場合には、CA局との通信に用いるPKI(Public Key Infrastructure)が必要になる。しかし、オンラインによってCA証明書を取得する場合には、ユーザ側がそのサイト自体が期待されるサイトであることの信頼性を確認することが非常に困難である。また、CA証明書を取得したユーザ側では、通信途中における改竄等の不正行為の有無をチェックする正当性チェック工程が必要になり、ユーザ側の負担が大きくなる。
【0007】
この問題を解決するために、ICカードの発行者がCA証明書を取得し、これをICカードに記録してユーザに頒布することが考えられる。しかし、この場合には、ICカードの有効期限に応じて、ICカードの切替えに手間がかかる。すなわち、CA証明書の有効期限が全員同じなので、ICカードの有効期限も全員同じになってしまう。したがって、ICカードの有効期限の終了に伴い、新しいICカードを発行し、一斉に、ICカードを切り替える必要がある。
【0008】
このときに、ユーザ側では、旧ICカードは使用不可となり、新ICカードは使用可となる。例えば、〇月〇日の午前零時を境に切り替えが行なわれる場合に、ユーザにその旨を通知して〇月〇日以降は、旧ICカードから新ICカードへの切り替えを行なってもらう必要がある。このような作業は、ユーザにとって負担であり、また、その通知を忘れて有効期限が終了したICカードを使用した場合には、サーバに接続不可となり、ユーザにとって利便性が悪い。
【0009】
また、このようなICカードの有効期限は、前述したように、多数のICカードについて同じに設定されているので、ICカードを頒布する側の立場では、有効期間終了の直前に多数のユーザに新ICカードを頒布することになる。これは頒布作業の日程に著しい限定を強いる結果となり、例えば、頒布要員の確保が難しくなる。したがって、実際に切り替えが行なわれるかなり以前から余裕をもって頒布作業を行なうことが望ましいが、その間、ユーザは、新旧二枚のICカードを所持することになり、ユーザにおけるICカードの誤使用の原因となる。図4は、従来の現行ICカードから新ICカードへの切り替えを示す図である。
【0010】
また、ICカードに認証システム証明書を封入している場合、有効期限に関わらず、セキュリティ上の事情に伴い、認証システム証明書を更新しなければならない事態が発生することもあり、そのような場合にも上記の手数を要する。例えば、認証システムの起動毎に、認証システムで保持している認証システム証明書を破棄し、更新することがセキュリティ性の観点からすると望ましいが、その都度、ICカードの更新を行う手間を考えると、実現は難しい。
【0011】
また、負荷分散等の理由により複数の認証システムが混在しているネットワーク環境下では、各認証システム毎に、認証システム証明書が異なるようにすることで、いわゆる“なりすまし”を行う者は、複数の認証システム証明書の複製を余儀なくされ、セキュリティ性の観点からすると望ましいが、ユーザの利便性の観点からは、ユーザは複数の認証システム数分の複数のICカードを所持し、これらを使い分けることが必要となり、ユーザに、いずれのICカードがいずれの認証システムに対応しているのかを管理する手間を強いるため、これを実現することは難しい。
【0012】
本発明は、このような背景に行なわれたものであって、オンラインでCA証明書を取得する場合と比較し、ユーザ側のCA証明書正当性チェック等に要する負担を省き、また、本発明は、ユーザにとってはICカードの誤使用の回避を図り、ICカード頒布者にとっては新旧ICカードの切り替え時期に、日程的な余裕をもって新ICカードを頒布することができる通信システムを提供することを目的とする。本発明は一回毎に認証システム証明書を送付するため、認証システム証明書の更新を容易に行うことができる、あるいは、認証システム毎に異なる認証システム証明書をそれぞれ用いることができるなど、セキュリティ性を向上させることができる通信システムを提供することを目的とする。さらに、本発明は、ユーザがCA証明書の有効期限を意識していなくてもICカードの更新時に自動的にCA証明書の更新も行われるようにしてユーザの利便性を向上させることができる通信システムを提供することを目的とする。
【0013】
【課題を解決するための手段】
本発明では、ICカードにCA証明書を記録してユーザに頒布することにより、オンラインでCA証明書を取得する場合と比較し、ユーザ側のCA証明書正当性チェック等の負担を省き、また、このICカードにCA局自身の属性を示す識別情報を記録することにより、複数の識別情報をもつICカードの使用を許容し、ユーザにとってはICカードの誤使用の回避を図り、ICカード頒布者にとっては新旧ICカードの切り替え時期に、日程的な余裕をもって新ICカードを頒布することができることを特徴とする。
【0014】
また、一回毎に認証システムが自分の証明書を送付するため、認証システムの起動毎に、認証システムで保持している認証システム証明書を破棄し、更新するといったことや、例えば、複数の認証システムが混在するネットワーク環境下で、各認証システム毎にそれぞれ異なる認証システム証明書を用いて、セキュリティ性を向上させる場合に可能となり、セキュリティ性の向上を図ることができる。
【0015】
また、ICカードの有効期限を包含するCA証明書が書き込まれているICカードの発行を行うことにより、ユーザには常に有効期内のCA証明書が存在するため、CA証明書の有効期限切れによるCA証明書更新作業を行うことがなくPKIの実装を可能とすることができる。
【0016】
すなわち、本発明の第一の観点は、通信網と、その通信網に接続可能な多数のユーザ端末と、そのユーザ端末によりその保持する情報を安全に読み書きされるICカードと、前記通信網を介して前記ユーザ端末と接続され、相互あるいは片側認証を実行する認証システムと、その認証結果により接続および通信を制御する接続および通信の制御システムとを備えた通信システムである。
【0017】
ここで、本発明の特徴とするところは、前記ICカードは各ユーザに頒布され、前記ICカードは、その耐タンパ領域にICカード識別情報とCAが発行した電子証明書であるCA証明書の少なくとも必要な一部とこのCA証明書の有効期限に包含されるICカード有効期限情報とを保持する手段を備え、前記CA証明書には、CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれ、前記ユーザ端末は、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る手段と、この読み取る手段により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する手段とを備え、前記認証システムおよび前記接続および通信の制御システムは、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備え、前記ユーザ端末は、前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する手段と、前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する手段とを備えたところにある。
【0018】
ここで、ICカードの耐タンパ領域とは、外部からの不正な手続きにより秘密の情報を横取りしたり改竄、また、不正な動作を行わせ難くするための物理的および論理的技術のほどこされた領域のことである。この技術があるために、ICカードは直接メモリにアクセスして情報を読む出す事が非常に困難になっている。物理的には、チップ表面の特殊加工、読み取りが難しいメモリの採用、ダミー回路の付加などにより、チップそのものが回路的に破壊されるような改造・変造・改竄等を防止している。論理的セキュリティとしてはアクセス権が設定され、不正アクセスを防止する。
【0019】
前記認証システムは、複数の認証システム証明書を保持する手段と、この保持する手段に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する手段とを備えた構成としたり、あるいは、前記認証システムは、複数の認証システム証明書を保持する手段と、この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する手段とを備え、前記ユーザ端末は、送付された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する手段を備えた構成とすることができる。
【0020】
前記ユーザ端末は、読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する手段を備え、前記認証システムは、安全に正確な時刻を保持する手段と、前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する手段とを備えることが望ましい。
【0021】
前記ユーザ端末は、前記ICカード有効期限情報を読み取る手段と、安全に正確な時刻を保持する手段と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する手段とを備えることが望ましい。
【0022】
前記認証システムは、一括してあるいはICカード識別情報に対して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた構成とすることもできる。
【0023】
また、前記ユーザ端末は、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた構成とすることもできる。
【0024】
例えば、セキュリティの都合上で、ICカード有効期限より前に有効期限を満了したいときには、有効期限をずらす操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。あるいは、ICカードの送付が遅れた場合には、ICカードの有効期限を延ばす操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。これによれば、必ずしも最初に決めたICカード有効期限だけで比較を行う場合よりも比較の自由度を向上させることができ、ICカード頒布者の利便性を向上させることができる。
【0025】
あるいは、認証に際しては、有効期限を確認して認証を行うが、いったん、相互認証が成立した後には、有効期限を考えずに、ICカードを使用可能とするといったサービス形態を実現する場合には、相互認証成立後に有効期限を無効とする操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。このようにしてサービスの自由度を向上させることができる。
【0026】
前記ユーザ端末は、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする手段を備えることが望ましい。
【0027】
前記ユーザ端末は、前記ICカード識別情報を安全に読み取り前記認証システムに安全に送信する手段を備え、前記認証システムは、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する手段と、前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する手段に蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する手段と、前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する手段に蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする手段とを備えることが望ましい。
【0028】
これによれば、ユーザが複数のICカードを所持している場合に、いったん、最新のICカードを使用すると、それ以降は、最新のICカードよりも有効期限が古いICカードは使用不能となり、ICカードの不正利用を防止する上で有効である。
【0029】
本発明の第二の観点は、本発明の通信システムに適用され、耐タンパ領域にICカード識別情報とCAが発行した電子証明書であるCA証明書の少なくとも必要な一部とこのCA証明書の有効期限に包含されるICカード有効期限情報とを保持する手段を備え、前記CA証明書には、CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれたことを特徴とするICカードである。
【0030】
本発明の第三の観点は、本発明の通信システムに適用され、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る手段と、この読み取る手段により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する手段と、前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する手段と、前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する手段とを備えたことを特徴とするユーザ端末である。
【0031】
送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する手段を備えることが望ましい。
【0032】
また、読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する手段を備えることが望ましい。
【0033】
また、前記ICカード有効期限情報を読み取る手段と、安全に正確な時刻を保持する手段と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する手段とを備えることが望ましい。
【0034】
また、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えることが望ましい。
【0035】
また、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする手段を備えることが望ましい。
【0036】
本発明の第四の観点は、本発明の通信システムに適用され、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備えたことを特徴とする認証システムである。
【0037】
複数の認証システム証明書を保持する手段と、この保持する手段に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する手段とを備える構成としたり、あるいは、複数の認証システム証明書を保持する手段と、この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する手段とを備える構成とすることができる。
【0038】
また、安全に正確な時刻を保持する手段と、前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する手段とを備えることが望ましい。
【0039】
また、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えることが望ましい。
【0040】
また、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する手段と、前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する手段に蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する手段と、前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する手段に蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする手段とを備えることが望ましい。
【0041】
本発明の第五の観点は、本発明の通信システムに適用され、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備えたことを特徴とする接続および通信の制御システムである。
【0042】
本発明の第六の観点は、本発明の通信システムに適用される情報処理装置にインストールすることにより、その情報処理装置に前記ユーザ端末に相応する機能として、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る機能と、この読み取る機能により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する機能と、前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する機能と、前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する機能とを実現させることを特徴とするプログラムである。
【0043】
送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する機能を実現させることが望ましい。
【0044】
また、読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する機能を実現させることが望ましい。
【0045】
また、前記ICカード有効期限情報を読み取る機能と、安全に正確な時刻を保持する機能と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する機能とを実現させることが望ましい。
【0046】
また、正確な時刻を一括してあるいは前記ICカード識別情報に対応して事前に定められた一定の方法で変換した前記ICカード有効期限情報と比較する機能を実現させることが望ましい。
【0047】
また、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする機能を実現させることが望ましい。
【0048】
あるいは、本発明の通信システムに適用される情報処理装置にインストールすることにより、その情報処理装置に前記認証システムに相応する機能として、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する機能を実現させ、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する機能を実現させることを特徴とするプログラムである。
【0049】
複数の認証システム証明書を保持する機能と、この保持する機能に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する機能とを実現させたり、あるいは、複数の前記認証システム証明書を保持する機能と、この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する機能とを実現させたりすることができる。
【0050】
また、安全に正確な時刻を保持する機能と、前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する機能とを実現させることが望ましい。
【0051】
また、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する機能を実現させることが望ましい。
【0052】
また、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する機能と、前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する機能により蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する機能と、前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する機能により蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする機能とを実現させることが望ましい。
【0053】
【発明の実施の形態】
本発明実施例の通信システムを図1ないし図3を参照して説明する。図1は本発明実施例の通信システムの全体構成図である。図2は本発明実施例の認証方式の現行ICカードから新ICカードへの切替えを示す図である。図3は本発明実施例の認証手順を示す図である。
【0054】
本発明の第一の観点は、図1に示すように、通信網Nと、その通信網Nに接続可能な多数のユーザ端末U1〜Unと、そのユーザ端末U1〜Unによりその保持する情報を安全に読み書きされるICカードと、通信網Nを介してユーザ端末U1〜Unと接続され、相互あるいは片側認証を実行する認証システムC1〜Cmと、その認証結果により接続および通信を制御する接続および通信の制御システムPとを備えた通信システムである(n=mでもよい)。
【0055】
ここで、本発明の特徴とするところは、前記ICカードは各ユーザに頒布され、前記ICカードは、その耐タンパ領域にICカード識別情報とCAが発行した電子証明書であるCA証明書の少なくとも必要な一部とこのCA証明書の有効期限に包含されるICカード有効期限情報とを保持するメモリ領域を備え、前記CA証明書には、CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれ、ユーザ端末U1〜Unは、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取るICカード読取装置Rを備え、このICカード読取装置Rにより読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付し、認証システムC1〜Cmおよび接続および通信の制御システムPは、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持し、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名をユーザ端末U1〜Unに送付し、ユーザ端末U1〜Unは、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証し、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証するところにある。
【0056】
認証システムC1〜Cmは、複数の認証システム証明書を保持し、この保持する複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対してユーザ端末U1〜Unに送付する。
【0057】
あるいは、認証システムC1〜Cmは、複数の認証システム証明書を保持し、この保持する複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して送付し、ユーザ端末U1〜Unは、送付された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する。
【0058】
ユーザ端末U1〜Unは、読み取った前記ICカード有効期限情報を安全に認証システムC1〜Cmに送付し、認証システムC1〜Cmは、安全に正確な時刻を保持し、ユーザ端末U1〜Unから受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であればユーザ端末U1〜Unへの認証あるいは接続を拒否する。
【0059】
また、ユーザ端末U1〜Unは、ICカード読取装置Rで前記ICカード有効期限情報を読み取り、安全に正確な時刻を保持し、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば認証システムC1〜Cmへの認証要求あるいは接続要求を拒否する。
【0060】
認証システムC1〜Cmは、一括してあるいはICカード識別情報に対して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する。
【0061】
また、ユーザ端末U1〜Unは、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する。
【0062】
例えば、セキュリティの都合上で、ICカード有効期限より前に有効期限を満了したいときには、有効期限をずらす操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。あるいは、ICカードの送付が遅れた場合には、ICカードの有効期限を延ばす操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。これによれば、必ずしも最初に決めたICカード有効期限だけで比較を行う場合よりも比較の自由度を向上させることができ、ICカード頒布者の利便性を向上させることができる。
【0063】
あるいは、認証に際しては、有効期限を確認して認証を行うが、いったん、相互認証が成立した後には、有効期限を考えずに、ICカードを使用可能とするといったサービス形態を実現する場合には、相互認証成立後に有効期限を無効とする操作を行う。それがここでいう「一定の方法で変換する」ことに相当する。このようにしてサービスの自由度を向上させることができる。
【0064】
また、ユーザ端末U1〜Unは、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする。
【0065】
また、ユーザ端末U1〜Unは、前記ICカード識別情報を安全に読み取り前記認証システムに安全に送信し、認証システムC1〜Cmは、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積し、ユーザ端末U1〜Unから送信された前記ICカード識別情報と蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否し、ユーザ端末U1〜Unからの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする。
【0066】
これによれば、ユーザが複数のICカードを所持している場合に、いったん、最新のICカードを使用すると、それ以降は、最新のICカードよりも有効期限が古いICカードは使用不能となり、ICカードの不正利用を防止する上で有効である。
【0067】
本実施例では、CA局、サーバ、ICカード発行者が同一組織に属しているため、ICカードに書込まれているCA証明書についてはその正当性をユーザ側でチェックする必要がなく、オンラインでCA証明書を取得する場合と比較し、ユーザ側の正当性チェックに要する負担が軽減される。
【0068】
ユーザ端末U1〜Unは、認証システムC1〜Cmとのアクセス処理工程内で前記識別情報およびまたは前記認証システム証明書要求を認証システムC1〜Cmに送付し、認証システムC1〜Cmは、ユーザ端末U1〜Unとのアクセス処理工程内で前記認証システム証明書をユーザ端末U1〜Unに送付する。
【0069】
これにより、新たな信号送受信工程を設ける必要がない利点がある。例えば、認証システムC1〜Cmとユーザ端末U1〜Unとの間で、アクセス処理のためにID情報を送受信する工程で、ユーザ端末U1〜Unは、認証システムC1〜Cmに対して認証システム証明書要求を送付し、認証システムC1〜Cmは、ユーザ端末U1〜Unに対して認証システム証明書を送付するようにすれば、新たな信号送受信工程を設ける必要がない。
【0070】
また、前記CA証明書と前記秘密鍵の組は同時に有効期限の異なる複数種類が存在し、前記CA証明書にはそれぞれを識別する前記識別情報が記載されており、前記ICカードにはそのICカードの有効期限を包含するCA明書が書き込まれているため、ユーザ端末には常に有効期内のCA証明書が存在するため、CA明書の有効期限切れによるCA証明書更新作業を行うことなくPKIの実装を可能とする。
【0071】
本発明の第二の観点は、本発明の通信システムに適用され、耐タンパ領域にICカード識別情報とCAが発行した電子証明書であるCA証明書の少なくとも必要な一部とこのCA証明書の有効期限に包含されるICカード有効期限情報とを保持し、前記CA証明書には、CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれたことを特徴とするICカードである。
【0072】
本発明の第三の観点は、本発明の通信システムに適用され、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限をICカード読取装置Rにより読み取り、このICカード読取装置Rにより読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して認証システムC1〜Cmに安全に送付し、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証し、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムC1〜Cmの正当性を検証することを特徴とするユーザ端末U1〜Unである。
【0073】
送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する。また、読み取った前記ICカード有効期限情報を安全に認証システムC1〜Cmに送付する。また、ICカード読取装置Rにより前記ICカード有効期限情報を読み取り、安全に正確な時刻を保持し、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば認証システムC1〜Cmへの認証要求あるいは接続要求を拒否する。また、正確な時刻を一括してあるいは前記ICカード識別情報に対応して事前に定められた一定の方法で変換した前記ICカード有効期限情報と比較する。また、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする。
【0074】
本発明の第四の観点は、本発明の通信システムに適用され、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持し、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名をユーザ端末U1〜Unに送付することを特徴とする認証システムC1〜Cmである。
【0075】
複数の認証システム証明書を保持し、この保持した複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して送付したり、あるいは、複数の認証システム証明書を保持し、この保持した複数の前記認証システム証明書の全てを前記認証システム証明書要求に対してユーザ端末U1〜Unに送付する。
【0076】
また、安全に正確な時刻を保持し、ユーザ端末U1〜Unから受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であればユーザ端末U1〜Unへの認証あるいは接続を拒否する。
【0077】
また、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限のいずれか一方を変換して比較する。
【0078】
また、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積し、ユーザ端末U1〜Unから送信された前記ICカード識別情報と蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否し、ユーザ端末U1〜Unからの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする。
【0079】
本発明の第五の観点は、本発明の通信システムに適用され、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持し、この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名をユーザ端末U1〜Unに送付することを特徴とする接続および通信の制御システムPである。
【0080】
本発明の第六の観点は、本発明の通信システムに適用される情報処理装置としてのコンピュータ装置にインストールすることにより、そのコンピュータ装置にユーザ端末U1〜Unに相応する機能として、前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る機能と、この読み取る機能により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して認証システムC1〜Cmに安全に送付する機能と、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する機能と、認証システムC1〜Cmおよび接続および通信の制御システムPから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する機能とを実現させることを特徴とするプログラムである。
【0081】
送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する機能を実現させる。また、読み取った前記ICカード有効期限情報を安全に認証システムC1〜Cmに送付する機能を実現させる。また、前記ICカード有効期限情報を読み取る機能と、安全に正確な時刻を保持する機能と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば認証システムC1〜Cmへの認証要求あるいは接続要求を拒否する機能とを実現させる。また、正確な時刻を一括してあるいは前記ICカード識別情報に対応して事前に定められた一定の方法で変換した前記ICカード有効期限情報と比較する機能を実現させる。また、異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする機能を実現させる。
【0082】
あるいは、本発明の通信システムに適用される情報処理装置にインストールすることにより、その情報処理装置に認証システムC1〜Cmに相応する機能として、認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する機能を実現させ、この認証システム証明書には、認証システムC1〜Cm秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名をユーザ端末U1〜Unに送付する機能を実現させることを特徴とするプログラムである。
【0083】
複数の認証システム証明書を保持する機能と、この保持する機能に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対してユーザ端末U1〜Unに送付する機能とを実現させたり、あるいは、複数の認証システム証明書を保持する機能と、この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対してユーザ端末U1〜Unに送付する機能とを実現させたりすることができる。
【0084】
また、安全に正確な時刻を保持する機能と、ユーザ端末U1〜Unから受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であればユーザ端末U1〜Unへの認証あるいは接続を拒否する機能とを実現させる。
【0085】
また、一括してあるいはICカード識別情報に対して事前に定められた一定の方法で正確な時刻とICカード有効期限のいずれか一方を変換して比較する機能を実現させる。
【0086】
また、同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する機能と、ユーザ端末U1〜Unから送信された前記ICカード識別情報と前記蓄積する機能により蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する機能と、ユーザ端末U1〜Unからの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する機能により蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする機能とを実現させる。
【0087】
以下では、本発明実施例をさらに詳細に説明する。
【0088】
本発明実施例の通信システムは、図1に示すように、通信網Nとその通信網Nに接続可能な多数のユーザ端末U1〜Unとが存在する。通信網Nを介してユーザ端末U1〜Unが認証システムC1〜Cnに接続する。ユーザ端末Ui(iは1〜nのいずれか)が認証システムCj(jは1〜mのいずれか)に接続する再に、ユーザ端末Uiと認証システムCjとの間で相互認証を行う。ユーザ端末Uiが認証システムCjを認証するためにはディジタル署名を使用する。ディジタル署名を行うにあたり、ICカードを使用する。そこで、ユーザ端末U1〜UnにICカード読取装置Rを実装する。
【0089】
ユーザ端末Uiが認証システムCjを認証する流れでは、ユーザ端末Uiでは認証システムCjが送付する認証システム証明書をCA証明書を用いて検証し、認証システムCjが平文データをハッシュし認証システム秘密鍵で暗号化した署名を前記認証システム証明書を用いて検証する必要がある。このためにCA証明書を何らかの方法で入手する必要がある。CA証明書取得に関してオンラインを用いる場合には、そのサイトが本当に正当なサイトであるかの確認等の正当性をチェックする工程が必要であり、ユーザの負担が大きい。
【0090】
そこで、本発明では、ICカードにCA証明書を封入する。すなわち、ユーザ端末Uiは認証システムCjから認証システム証明書を取得し、ユーザ端末Uiは、ICカードに封入されたCA証明書で認証システム証明書を検証し、認証システム証明書が信用できるCA局により証明されていることを確認する。
【0091】
また、ユーザ端末Uiは認証システムCjから平文データをハッシュし認証システム秘密鍵で暗号化した署名を取得し、ユーザ端末Uiは、検証した認証システム証明書で前記署名を検証し、認証システムの正当性を確認する。
【0092】
これにより、例えば、認証システムの起動毎に、認証システムで保持している認証システム証明書を破棄し、更新するといったことも可能となり、セキュリティ強度が向上する。
【0093】
CA証明書とCA秘密鍵の組は同時に有効期限の異なる複数種類が存在し、前記CA証明書にはそれぞれを識別する前記識別情報が記載されており、これをICカードに封入したことにより、CA証明書の有効期限によるCA証明書の更新作業を行う必要があり、ユーザの利便性が悪くなる。そこで、図2に示すように、ICカードの有効期限が切れる以前にICカードを発行し、また、更新するICカードの有効期限がCA証明書の有効期限を超える場合に新たなCA証明書を発行する運用を行う。ここで、ICカードに封入するCA証明書は、新しい方のCA証明書を封入することにより、CA証明書の有効期限切れによるCA証明書更新作業を行うことがなくなる。
【0094】
このようにして、CA証明書の失効確認、有効期限切れによるCA証明書更新といった煩雑な作業を利用者に強いることなくPKIを用いた認証方式を実現できる。
【0095】
本実施例では、認証システムC1〜Cnに複数のCA証明書に対応した認証システム証明書を保持しておき、ユーザ端末UiがICカードに封入されたCA証明書の識別情報を認証システム側に通知すると、認証システムCjでは、その識別情報のCA証明書に対応する認証システム証明書をユーザ端末Uiに送付する。これにより、CA証明書の更新に幅を持たせることが可能となり、CA証明書有効期限切れに伴う更新作業の負荷を軽減することができる。また、CA証明書およびICカードの更新を同期させる必要がなくなり、ユーザの利便性が向上する。
【0096】
図3を参照してユーザ端末Uiから認証システムCjへ接続する際のユーザ端末Uiが認証システムCjを検証する処理の動作を説明する。検証には、識別情報(β)のICカードに封入されたCA証明書を用い、認証システムCjが管理する認証システム証明書#2を検証する。また、検証されたシステム証明書#2を用い、認証システムCjを検証する。ただし、ICカードは有効期限が切れる前に新規ICカードを発行し、また、更新するICカードの有効期限がCA証明書の有効期限を超える場合に、新規CA証明書を発行する運用を行う。このため複数のCA証明書を使用するので、それらに対応した複数の認証システム証明書を認証システムCjで管理する。
【0097】
ユーザ端末UiではICカードに封入されたCA証明書に対応する認証システム証明書を受け取るために、CA証明書の識別情報(β)を認証システムCjに送付する。認証システムCjでは受け取った識別情報(β)に対応する認証システム証明書#2を検索し、ユーザ端末Uiに送付する。ユーザ端末Uiでは、受信した認証システム証明書#2中のディジタル署名▲1▼をCA証明書中のCA局の公開鍵を用いて復号化し、認証システム証明書#2中の平文データ▲1▼のハッシュ値と比較する。これが、認証システム証明書#2に対する検証である。
【0098】
さらに、ユーザ端末Uiでは、認証システムCjから送付された平文データ▲2▼をハッシュした結果を認証システム証明書#2に対応する認証システム秘密鍵で暗号化したディジタル署名▲2▼を認証システムの公開鍵を用いて復号化して平文データ▲2▼のハッシュ値と比較し、認証システムCjの検証を行う。これにより、ユーザ端末Uiが認証システムCjを検証することができる。
【0099】
また、以上の説明では、CA証明書の識別情報(β)を認証システムCjに送付しているが、CA証明書の識別情報(β)を送付せずに、認証システムCjから保持する認証システム証明書#1、#2、#3、…を全て送付してもらい、ユーザ端末Ui側で識別情報(β)と一致する認証システム証明書#2を選択し、この認証システム証明書#2を検証してもよい。
【0100】
【発明の効果】
以上説明したように、本発明によれば、通常のPKIと比較し、ユーザ側のCA証明書正当性チェック等の負担を省くことができ、また、CA証明書の取得に関するユーザの利便性を向上できる。また、ユーザにとってはICカードの誤使用の回避を図り、ICカード頒布者にとっては新旧ICカードの切り替え時期に、日程的な余裕をもって新ICカードを頒布することができる。これにより、認証システム証明書の更新を容易に行うことができる、あるいは、認証システム毎に異なる認証システム証明書をそれぞれ用いることができるなど、セキュリティ性を向上させることができる。また、ユーザがCA証明書の有効期限を意識していなくてもICカードの更新時に自動的にCA証明書の更新も行われることによりユーザの利便性を向上させることができる。
【図面の簡単な説明】
【図1】本発明実施例の通信システムの全体構成図。
【図2】本発明実施例の通信システムの現行ICカードから新ICカードへの切替えを示す図。
【図3】本発明実施例の認証方式の動作手順を示す図。
【図4】従来の認証方式の現行ICカードから新ICカードへの切替えを示す図。
【符号の説明】
U1〜Un ユーザ端末
C1〜Cm 認証システム
N 通信網
P 接続および通信の制御システム
R ICカード読取装置

Claims (35)

  1. 通信網と、その通信網に接続可能な多数のユーザ端末と、そのユーザ端末によりその保持する情報を安全に読み書きされるIC (Integrated Circuit)カードと、前記通信網を介して前記ユーザ端末と接続され、相互あるいは片側認証を実行する認証システムと、その認証結果により接続および通信を制御する接続および通信の制御システムと
    を備えた通信システムにおいて、
    前記ICカードは各ユーザに頒布され、
    前記ICカードは、
    その耐タンパ領域にICカード識別情報と認証機関(CA:Certification
    Authority)が発行した電子証明書である一以上のCA証明書の少なくとも一つとそのCA証明書の有効期限内でその有効期限とは別に設定されたICカード有効期限情報とを保持する手段を備え、
    前記CA証明書には、
    CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれ、
    前記ユーザ端末は、
    前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る手段と、
    この読み取る手段により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する手段と
    を備え、
    前記認証システムおよび前記接続および通信の制御システムは、
    認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、
    この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、
    前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備え、
    前記ユーザ端末は、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する手段と、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する手段と
    を備えたことを特徴とする通信システム。
  2. 前記認証システムは、
    複数の認証システム証明書を保持する手段と、
    この保持する手段に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する手段と
    を備えた請求項1記載の通信システム。
  3. 前記認証システムは、
    複数の認証システム証明書を保持する手段と、
    この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する手段と
    を備え、
    前記ユーザ端末は、
    送付された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を選択して認証に使用する手段を備えた
    請求項1記載の通信システム。
  4. 前記ユーザ端末は、読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する手段を備え、
    前記認証システムは、
    安全に正確な時刻を保持する手段と、
    前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する手段と
    を備えた請求項1記載の通信システム。
  5. 前記ユーザ端末は、
    前記ICカード有効期限情報を読み取る手段と、
    安全に正確な時刻を保持する手段と、
    前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する手段と
    を備えた請求項1記載の通信システム。
  6. 前記認証システムは、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた請求項4記載の通信システム。
  7. 前記ユーザ端末は、一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた請求項5記載の通信システム。
  8. 前記ユーザ端末は、
    異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、
    前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする手段を備えた
    請求項1ないし7のいずれかに記載の通信システム。
  9. 前記ユーザ端末は、前記ICカード識別情報を安全に読み取り前記認証システムに安全に送信する手段を備え、
    前記認証システムは、
    同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する手段と、
    前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する手段に蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する手段と、
    前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する手段に蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする手段と
    を備えた
    請求項4ないし7のいずれかに記載の通信システム。
  10. 請求項1ないし9のいずれかに記載の通信システムに適用され、
    耐タンパ領域にICカード識別情報とCAが発行した電子証明書であるCA証明書の少なくとも必要な一部とこのCA証明書の有効期限に包含されるICカード有効期限情報とを保持する手段を備え、
    前記CA証明書には、
    CA公開鍵および前記CA証明書自身の属性を示すCA証明書識別情報が書込まれ、およびまたは、CA証明書自身の有効期限が書込まれた
    ことを特徴とするICカード。
  11. 請求項1ないし9のいずれかに記載の通信システムに適用され、
    前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る手段と、
    この読み取る手段により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する手段と、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する手段と、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する手段と
    を備えたことを特徴とするユーザ端末。
  12. 送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する手段を備えた請求項11記載のユーザ端末。
  13. 読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する手段を備えた請求項11記載のユーザ端末。
  14. 前記ICカード有効期限情報を読み取る手段と、安全に正確な時刻を保持する手段と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する手段とを備えた請求項11記載のユーザ端末。
  15. 一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた請求項11記載のユーザ端末。
  16. 異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする手段を備えた請求項11記載のユーザ端末。
  17. 請求項1ないし9のいずれかに記載の通信システムに適用され、
    認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、
    この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、
    前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備えた
    ことを特徴とする認証システム。
  18. 複数の認証システム証明書を保持する手段と、
    この保持する手段に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する手段と
    を備えた請求項17記載の認証システム。
  19. 複数の認証システム証明書を保持する手段と、
    この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する手段とを備えた請求項17記載の認証システム。
  20. 安全に正確な時刻を保持する手段と、
    前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する手段と
    を備えた請求項17記載の認証システム。
  21. 一括してあるいはICカード識別情報に対応して事前に定められた一定の方法で正確な時刻とICカード有効期限の双方あるいはいずれか一方を変換して比較する手段を備えた請求項17記載の認証システム。
  22. 同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する手段と、
    前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する手段に蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する手段と、
    前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する手段に蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする手段と
    を備えた
    請求項17記載の認証システム。
  23. 請求項1ないし9のいずれかに記載の通信システムに適用され、
    認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する手段を備え、
    この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、
    前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する手段を備えた
    ことを特徴とする接続および通信の制御システム。
  24. 請求項1ないし9のいずれかに記載の通信システムに適用される情報処理装置にインストールすることにより、その情報処理装置に前記ユーザ端末に相応する機能として、
    前記ICカードに書込まれた前記CA公開鍵と前記CA証明書識別情報あるいは前記ICカード識別情報および前記ICカード有効期限を読み取る機能と、
    この読み取る機能により読み取られた前記CA証明書識別情報あるいは前記ICカード識別情報および認証システム証明書要求を前記通信網を介して前記認証システムに安全に送付する機能と、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記認証システム証明書に含まれる前記第一の平文データをハッシュした結果と前記第一のディジタル署名を前記CA証明書に含まれる前記CA公開鍵により復号化した結果とを比較することにより当該認証システム証明書の正当性を検証する機能と、
    前記認証システムおよび前記接続および通信の制御システムから送付された前記第二の平文データをハッシュした結果と前記第二のディジタル署名を前記認証システム証明書に含まれる認証システム公開鍵を用いて復号化した結果とを比較することにより当該認証システムの正当性を検証する機能と
    を実現させることを特徴とするプログラム。
  25. 送付された複数の前記CA証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記CA証明書を選択して認証に使用する機能を実現させる請求項24記載のプログラム。
  26. 読み取った前記ICカード有効期限情報を安全に前記認証システムに送付する機能を実現させる請求項24記載のプログラム。
  27. 前記ICカード有効期限情報を読み取る機能と、安全に正確な時刻を保持する機能と、前記ICカード有効期限情報と前記正確な時刻とを比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記認証システムへの認証要求あるいは接続要求を拒否する機能とを実現させる請求項24記載のプログラム。
  28. 一括してあるいは前記ICカード識別情報に対応して事前に定められた一定の方法で正確な時刻と前記ICカード有効期限情報の双方あるいはいずれか一方を変換して比較する機能を実現させる請求項24記載のプログラム。
  29. 異なるICカード有効期限情報が書込まれた複数の前記ICカードを備え、前記CA証明書の有効期限が満了したときには、当該CA証明書の更新作業を行うことなく、当該CA証明書および当該CA証明書に対応する前記ICカードを無効とする機能を実現させる請求項24記載のプログラム。
  30. 請求項1ないし9のいずれかに記載の通信システムに適用される情報処理装置にインストールすることにより、その情報処理装置に前記認証システムに相応する機能として、
    認証システム秘密鍵とこの認証システム秘密鍵に対して前記CAから発行された認証システム証明書を保持する機能を実現させ、
    この認証システム証明書には、前記認証システム秘密鍵に対応する認証システム公開鍵および第一の平文データおよび前記CA公開鍵に対応するCA秘密鍵でこの第一の平文データをハッシュした結果を暗号化した第一のディジタル署名が書込まれ、
    前記認証システム証明書要求にしたがって前記CA証明書識別情報に対応する認証システム証明書および第二の平文データおよびこの第二の平文データをハッシュした結果を認証システム秘密鍵で暗号化した第二のディジタル署名を前記ユーザ端末に送付する機能を実現させる
    ことを特徴とするプログラム。
  31. 複数の認証システム証明書を保持する機能と、
    この保持する機能に保持された複数の前記認証システム証明書の中から前記ICカード識別情報あるいは前記CA証明書識別情報に対応する前記認証システム証明書を前記認証システム証明書要求に対して前記ユーザ端末に送付する機能と
    を実現させる請求項30記載のプログラム。
  32. 複数の認証システム証明書を保持する機能と、
    この保持する手段に保持された複数の前記認証システム証明書の全てを前記認証システム証明書要求に対して前記ユーザ端末に送付する機能とを実現させる請求項30記載のプログラム。
  33. 安全に正確な時刻を保持する機能と、
    前記ユーザ端末から受信した前記ICカード有効期限情報を前記正確な時刻と比較し前記ICカード有効期限情報が前記正確な時刻よりも後であれば前記ユーザ端末への認証あるいは接続を拒否する機能と
    を実現させる請求項30記載のプログラム。
  34. 一括してあるいは前記ICカード識別情報に対して事前に定められた一定の方法で正確な時刻と前記ICカード有効期限の双方あるいはいずれか一方を変換して比較する機能を実現させる請求項30記載のプログラム。
  35. 同一ユーザに対して頒布された複数枚の前記ICカード識別情報に対してそのICカードが使用可能か不能かの情報とICカードの使用可能順序の情報とを蓄積する機能と、
    前記ユーザ端末から送信された前記ICカード識別情報と前記蓄積する機能により蓄積された前記使用可能か不能かの情報とを比較照合し使用不能であれば前記認証要求あるいは接続要求を拒否する機能と、
    前記ユーザ端末からの前記ICカードを用いた認証要求および接続要求により認証が成功して接続が行われたときに前記蓄積する機能により蓄積された当該ICカードに先行するICカードの使用可能情報が存在するときにはその使用可能情報を変更するかあるいは認証対象から削除することにより使用不能とする機能と
    を実現させる
    請求項30記載のプログラム。
JP2001236546A 2001-08-03 2001-08-03 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム Expired - Fee Related JP3761432B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001236546A JP3761432B2 (ja) 2001-08-03 2001-08-03 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001236546A JP3761432B2 (ja) 2001-08-03 2001-08-03 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム

Publications (2)

Publication Number Publication Date
JP2003046499A JP2003046499A (ja) 2003-02-14
JP3761432B2 true JP3761432B2 (ja) 2006-03-29

Family

ID=19067793

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001236546A Expired - Fee Related JP3761432B2 (ja) 2001-08-03 2001-08-03 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム

Country Status (1)

Country Link
JP (1) JP3761432B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2360613A1 (en) 2010-01-27 2011-08-24 Ricoh Company, Ltd Peripheral device, network system, communication processing method
CN106897606A (zh) * 2015-12-18 2017-06-27 东莞酷派软件技术有限公司 一种刷机防护方法和装置

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004295271A (ja) * 2003-03-26 2004-10-21 Renesas Technology Corp カード及びパスコード生成器
JP4905821B2 (ja) * 2004-08-23 2012-03-28 富士通株式会社 認証システム、認証プログラム、認証方法、コンピュータ及びicカード
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
EP1936920B1 (en) * 2004-09-01 2009-03-25 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
ATE392080T1 (de) * 2004-09-02 2008-04-15 Research In Motion Ltd System und methode zum suchen und abrufen von zertifikaten
US7640428B2 (en) 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
CN105117665B (zh) * 2015-07-16 2017-10-31 福建联迪商用设备有限公司 一种终端产品模式与开发模式安全切换的方法及系统
JP6947040B2 (ja) 2018-01-04 2021-10-13 株式会社リコー 情報処理装置、認証システム、プログラム
CN112579374B (zh) * 2020-12-16 2024-03-08 惠州市德赛西威智能交通技术研究院有限公司 一种用于嵌入式设备的安全调试的系统和方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2360613A1 (en) 2010-01-27 2011-08-24 Ricoh Company, Ltd Peripheral device, network system, communication processing method
CN106897606A (zh) * 2015-12-18 2017-06-27 东莞酷派软件技术有限公司 一种刷机防护方法和装置
CN106897606B (zh) * 2015-12-18 2020-02-21 东莞酷派软件技术有限公司 一种刷机防护方法和装置

Also Published As

Publication number Publication date
JP2003046499A (ja) 2003-02-14

Similar Documents

Publication Publication Date Title
US7689828B2 (en) System and method for implementing digital signature using one time private keys
US7103778B2 (en) Information processing apparatus, information processing method, and program providing medium
US7243238B2 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
EP1249095B1 (en) Method for issuing an electronic identity
US7644443B2 (en) Content distribution system, content distribution method, information processing apparatus, and program providing medium
KR100925329B1 (ko) 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치
US7096363B2 (en) Person identification certificate link system, information processing apparatus, information processing method, and program providing medium
US7100044B2 (en) Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium
US7287158B2 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
US7225337B2 (en) Cryptographic security method and electronic devices suitable therefor
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
US20020026582A1 (en) Person authentication system, person authentication method and program providing medium
US20020026427A1 (en) Person authentication application data processing system, person authentication application data processing method, information processing apparatus, and program providing medium
US20020056747A1 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
CN111049835B (zh) 分布式公共证书服务网络的统一身份管理系统
JP2007110377A (ja) ネットワークシステム
JP3761432B2 (ja) 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム
EP2553894A1 (en) Certificate authority
CN112565294B (zh) 一种基于区块链电子签名的身份认证方法
US7185193B2 (en) Person authentication system, person authentication method, and program providing medium
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
JPH11265349A (ja) コンピュータシステムならびに同システムに適用される機密保護方法、送受信ログ管理方法、相互の確認方法および公開鍵世代管理方法
JP2004013560A (ja) 認証システム、通信端末及びサーバ
JP4058035B2 (ja) 公開鍵基盤システム及び公開鍵基盤方法
KR20150005789A (ko) 인증서를 이용한 사용자 인증 방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051227

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060110

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100120

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110120

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110120

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120120

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130120

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130120

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees