JP4800377B2 - 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 - Google Patents
認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 Download PDFInfo
- Publication number
- JP4800377B2 JP4800377B2 JP2008502595A JP2008502595A JP4800377B2 JP 4800377 B2 JP4800377 B2 JP 4800377B2 JP 2008502595 A JP2008502595 A JP 2008502595A JP 2008502595 A JP2008502595 A JP 2008502595A JP 4800377 B2 JP4800377 B2 JP 4800377B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- temporary
- public key
- key
- key certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 56
- 230000004044 response Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000012790 confirmation Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 description 147
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 210000000707 wrist Anatomy 0.000 description 2
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、認証システム、CE機器、携帯端末、鍵証明発行局および鍵証明取得方法に関する。
近年、音楽や映像といったコンテンツのインターネットを介した流通が多くなり、ユーザが手軽に好みのコンテンツを取得できるようになっている。しかしながら、インターネットはあらゆるユーザに開かれた環境であるため、悪意のあるユーザによるコンテンツの不正取得が問題となる。これを解決する方法として、ユーザがコンテンツを保有するコンテンツサーバにアクセスする際に認証を行うシステムがある。
しかしながら、ユーザ認証を行う場合においても、不正な機器による接続を行う場合には、ダウンロードされたコンテンツが不正にコピー、配布などされる可能性がある。そのため、不正利用を防ぐためには上記ユーザ認証に加え、ユーザがコンテンツダウンロードに使用する機器が正当なものであるかどうかを確認するための機器認証が必要である。
このユーザ認証及び機器認証を簡単かつ安価に行うものとして、特許文献1に示されるものがある。図1には、特許文献1で開示されている情報機器用セキュリティ確保方法およびシステムの構成を示している。
まず、ユーザが家電機器によるインターネット接続を利用する際に、ユーザは利用申込をISP(Internet Service Provider)に送付する。このときの利用申込の手段としては、他の情報機器を利用した電子メールや葉書などがある。
ISPは、ユーザからの利用申込を受け取ると、これをデータ化して家電機器管理DBに登録する。このデータには、家電機器の機種毎に割り当てられたパスワードが含まれている。
またISPは、家電機器認証システムに対し、ユーザの利用申込データを送信する。家電機器認証システムは、受信した利用申込データに基づき暫定パスワードを生成し、これをISPに送信する。
ISPは、受信した暫定パスワードを、先に登録したユーザの利用申込データに関連付けて家電機器管理DBに登録するとともに、ユーザに電子メールや葉書などで送付する。
暫定パスワードを入手したユーザは、次に正式な機器認証情報を取得する。機器認証情報の取得は、次のような流れで行われる。
ユーザは、家電機器を使用して家電機器認証システムに接続する。家電機器認証システムに接続すると、ユーザは、家電機器において暫定パスワードを入力し、家電機器は入力された暫定パスワードおよび家電機器の記憶部に記憶された機種別パスワードを家電機器認証システムへ送信する。
家電機器認証システムは、家電機器管理DBに接続し、受信した暫定パスワードおよび機種別パスワードと、家電機器管理DBに格納された暫定パスワードおよび機種別パスワードとを照合する。ここで、受信した暫定パスワードおよび機種別パスワードに合致する
ものが家電機器管理DBに存在すると、家電機器認証システムは、機器認証情報を生成し、ユーザの家電機器に機器認証情報を送信する。
ものが家電機器管理DBに存在すると、家電機器認証システムは、機器認証情報を生成し、ユーザの家電機器に機器認証情報を送信する。
これにより、家電機器は、機器認証情報を取得することができ、以後のインターネット接続において機器認証情報を用いて機器認証を行うことができる。
ところで、認証には、公開鍵暗号基盤(Public Key Infrastructure: PKI)を使用するものがある。PKIは、暗号化やディジタル署名といった機能を提供することにより、守秘性、認証、完全性、否認防止といったセキュリティサービスを提供するインフラである。このPKIにおいては、認証局が利用者の身分を証明するものとして公開鍵証明書を発行する。
ユーザのクライアント機器がコンテンツを保有しているサーバ機器に接続する際の認証を以下に示す。
クライアント機器からサーバ機器へのアクセス要求が発生すると、クライアント機器およびサーバ機器は、互いの公開鍵証明書を取得する。この取得の方法には、相手からの公開鍵証明書の取得、リポジトリからの取得などがある。
通信相手の公開鍵証明書を取得すると、各機器は、取得した公開鍵証明書の署名、有効期限などにより、その正当性、有効性を検証する。公開鍵証明書が正当かつ有効なものであることがわかると、各機器は、通信相手が公開鍵証明書の正当な所有者であるかを検証する。この検証には、公開鍵証明書に含まれる公開鍵と対になっている秘密鍵による署名が用いられる。各機器は、通信相手との間で共有している値に自身の所有している秘密鍵による署名を行い通信相手に送信することで、互いが先に取得した公開鍵証明書の正当な所有者であるかを検証できる。
上述のとおりPKIでは、利用者が公開鍵と秘密鍵のペアを所有していることにより、利用者の認証を行うことができるが、標準的なPKIにおける認証では利用者がどのような権限を所有しているかについては確認できない。そこで、公開鍵証明書を用いた認証においてアクセス制御を行う方法として公開鍵証明書の拡張領域にアクセス権などを判断するための属性情報を持たせるものがある。以上のような公開鍵証明書を利用して認証及び暗号化通信を提供するアプリケーションとしては、SSLやIPsec等がある。
特開2004−355396号公報
ところで特許文献1に示される従来システムでは、家電機器の生産時に機器単位のユニークな機器認証情報を組み込むのではなく、機種毎に与えられた機種別パスワードを用いることによって、機器単位のユニークな認証を実現している。
しかしながら、従来システムにおいては、ユーザが電子メールや葉書等で利用申込みをすることが必要であり、ユーザにとって手間がかかる。更に、ユーザが複数台の家電機器を所有している場合には、さらに手間がかかりユーザにとって利便性が悪い。また、ISPにおいても、ユーザ情報の管理も煩雑になるためコストがかかる。
本発明の目的は、かかる点に鑑みてなされたものであり、ユーザの利便性を向上する認証システム、CE機器、携帯端末、鍵証明発行局および鍵証明取得方法を提供することである。
本発明の認証システムは、携帯端末と、CE機器と、前記携帯端末および前記CE機器に接続可能なICカードと、前記CE機器にて利用する公開鍵および秘密鍵からなる鍵ペアに対する仮証明書および本証明書を発行する鍵証明発行局とを有し、前記ICカードが、前記鍵ペアと、前記仮証明書又は前記本証明書とを対応づけて記憶可能な記憶手段と、前記携帯端末と接続され、前記記憶手段に前記仮証明書および前記本証明書のいずれとも関連づけられていない前記鍵ペアが存在するときに、前記携帯端末を利用して前記鍵証明発行局から前記鍵ペアに対応する仮証明書を取得して前記記憶手段に記憶させる第1の鍵証明取得手段と、前記CE機器と接続され、前記記憶手段に前記仮証明書と関連づけられ前記本証明書と関連づけられていない前記鍵ペアが存在するときに、前記CE機器を介し前記仮証明書を用いて前記鍵証明発行局から前記本証明書を取得して前記記憶手段に記憶させる第2の鍵証明取得手段と、を具備する構成を採る。
本発明によれば、ユーザの利便性を向上する認証システム、CE機器、携帯端末、鍵証明発行局および鍵証明取得方法を提供することができる。
以下、本発明の実施の形態について図面を参照して詳細に説明する。なお、実施の形態において、同一の構成要素には同一の符号を付し、その説明は重複するので省略する。
(一実施の形態)
図2に示すように本実施の形態に係る認証システム10は、ICカード100と、携帯端末200と、CE(Consumer Electronics)機器300と、公開鍵証明書発行局400とを有する。ICカード100と、携帯端末200と、CE機器300と、公開鍵証明書発行局400と、コンテンツサーバ500とは、インターネットを介して接続されている。認証システム10においては、認証(ユーザ認証、機器認証)にPKIが用いられる。
図2に示すように本実施の形態に係る認証システム10は、ICカード100と、携帯端末200と、CE(Consumer Electronics)機器300と、公開鍵証明書発行局400とを有する。ICカード100と、携帯端末200と、CE機器300と、公開鍵証明書発行局400と、コンテンツサーバ500とは、インターネットを介して接続されている。認証システム10においては、認証(ユーザ認証、機器認証)にPKIが用いられる。
ICカード100は、公開鍵と秘密鍵との鍵ペア、および公開鍵証明書を格納することができる。携帯端末200は、カードスロットを備えており、このカードスロットにICカード100を挿入することによりICカード100と接続する。これにより、ICカード100と携帯端末200との間のデータのやり取りが可能となる。
携帯端末200は、自装置のための、公開鍵と秘密鍵との鍵ペア(以下、「端末鍵ペア」と呼ぶことがある)および公開鍵証明書(以下、「端末公開鍵証明書」と呼ぶことがある)を取得できるように構成されており、本実施の形態においては既に所有しているものとして説明を行う。この端末鍵ペアおよび端末公開鍵証明書は、携帯端末200が備える
メモリに格納されてもよいし、また、携帯端末200からアクセス可能な、ICカード100とは別の記憶媒体に格納されてもよい。また、携帯端末200が端末公開鍵証明書を取得するために公開鍵証明書発行局400にアクセスする際に、公開鍵証明書発行局400は、携帯端末200の端末識別情報を含むユーザ情報の登録をするものとする。また、携帯端末200は、公開鍵証明書発行局400に接続する際には、端末鍵ペアの秘密鍵および端末公開鍵証明書を用いて、公開鍵証明書発行局400との間で相互認証を行う。
メモリに格納されてもよいし、また、携帯端末200からアクセス可能な、ICカード100とは別の記憶媒体に格納されてもよい。また、携帯端末200が端末公開鍵証明書を取得するために公開鍵証明書発行局400にアクセスする際に、公開鍵証明書発行局400は、携帯端末200の端末識別情報を含むユーザ情報の登録をするものとする。また、携帯端末200は、公開鍵証明書発行局400に接続する際には、端末鍵ペアの秘密鍵および端末公開鍵証明書を用いて、公開鍵証明書発行局400との間で相互認証を行う。
CE機器300は、コンテンツサーバ500に接続する際には、ICカード100に保持されている、自装置の本公開鍵証明書(以下、「CE本公開鍵証明書」と呼ぶことがある)を用いた相互認証および属性認証を行う。その認証後、CE機器300は、コンテンツサーバ500からコンテンツのダウンロードをすることができる。
ただし、CE機器300は、ICカード100にCE本公開鍵証明書が保持されている場合には、上述のとおりコンテンツサーバ500からコンテンツをダウンロードすることができるが、CE本公開鍵証明書が保持されていない場合には、ICカード100に保持されているCE仮公開鍵証明書を用いて公開鍵証明書発行局400からCE本公開鍵証明書を取得してICカード100に格納する必要がある。更に、CE本公開鍵証明書だけでなく、CE仮公開鍵証明書もICカード100に保持されていない場合には、ユーザは、ICカード100を携帯端末200に接続して、携帯端末200を操作して公開鍵証明書発行局400から仮公開鍵証明書を取得する必要がある。この仮公開鍵証明書を取得する際に、携帯端末200の端末鍵ペアおよび端末公開鍵証明書を利用するので、公開鍵証明書発行局400では、携帯端末200に対応する端末公開鍵証明書と、仮公開鍵証明書とを関連づけておくことができる。更に、CE本公開鍵証明書をCE機器300が取得する際には、CE仮公開鍵情報と、CE機器情報とが用いられるので、公開鍵証明書発行局400では、結局、携帯端末200に対応する端末公開鍵証明書と、CE本公開鍵証明書(CE仮公開鍵証明書とCE機器情報とが関連づけられてCE本公開鍵証明書となる)とを関連づけておくことができる。
図3に示すようにICカード100は、入出力部110と、鍵/証明書格納部120と、CE公開鍵証明書認証処理部130と、暗号化処理部140と、CE公開鍵/証明取得制御部150と、鍵/証明書検索部160と、CE仮公開鍵証明取得処理部170と、鍵ペア生成部180とを有する。CE公開鍵/証明取得制御部150は、CE公開鍵/証明取得処理部151と、CE本公開鍵証明取得処理部155とを有する。
入出力部110は、ICカード100の内部と外部とのデータの送受信を行う。ICカード100が携帯端末200又はCE機器300のカードスロットに挿入されて、入出力部110と、携帯端末200又はCE機器300の入出力部とが接続されているときに、ICカード100と、携帯端末200又はCE機器300との間でデータの送受信を行うことができる。
鍵/証明書格納部120は、CE機器300の公開鍵および秘密鍵(以下、「CE鍵ペア」と呼ぶことがある)、並びにそのCE鍵ペアに対応する公開鍵証明書(以下、「CE公開鍵証明書」と呼ぶことがある)を格納している。鍵/証明書格納部120では、例えば、CE鍵ペアおよびCE公開鍵証明書が図4に示すようなリストの形で管理されている。同図のリストには、CE鍵ペア、CE公開鍵証明書、および公開鍵証明書の属性が含まれている。公開鍵証明書の属性としては、機器IDのようなCE機器300の各々に対して一意に割り当てられている情報(以下、「CE機器情報」と呼ぶことがある)が用いられる。
ここで、CE機器情報と対応づけられている公開鍵証明書を「CE本公開鍵証明書」と
呼び、また、CE機器情報を対応づけられていない公開鍵証明書を「CE仮公開鍵証明書」と呼ぶ。つまり、図4では、公開鍵証明書Cert1、2は本公開鍵証明書であり、公開鍵証明書Cert3は仮公開鍵証明書である。
呼び、また、CE機器情報を対応づけられていない公開鍵証明書を「CE仮公開鍵証明書」と呼ぶ。つまり、図4では、公開鍵証明書Cert1、2は本公開鍵証明書であり、公開鍵証明書Cert3は仮公開鍵証明書である。
公開鍵証明書認証処理部130は、鍵/証明書格納部120に格納されている秘密鍵およびCE公開鍵証明書を用いてネットワーク上の装置との間で相互認証を行う。具体的には、公開鍵証明書認証処理部130は、相互認証において使用するCE鍵ペアおよびCE公開鍵証明書を、CE公開鍵/証明取得制御部150を介して鍵/証明書格納部120から取得する。また、公開鍵証明書認証処理部130は、相互認証処理における証明書の送信、証明書の検証、署名の生成および署名の検証などを行い、その際の相互認証の相手との情報の交換を、入出力部110を通して行う。また、公開鍵証明書認証処理部130は、相互認証が成功すると暗号化処理部140で使用する暗号化鍵を生成し、この暗号化鍵を暗号化処理部140に出力する。なお、公開鍵証明書認証処理部130は、定期的に暗号化鍵を生成して暗号化処理部140に出力し、暗号化処理部140の暗号化鍵を定期的に更新してもよい。
暗号化処理部140は、相互認証が成功した後に公開鍵証明書認証処理部130から受け取る暗号化鍵を用いて、相手の装置との間で暗号化通信を行う。
CE仮公開鍵証明取得処理部170は、ICカード100が挿入された携帯端末200の端末公開鍵証明書に関連付けられた新たなCE公開鍵証明書の取得処理を実行する。CE仮公開鍵証明取得処理部170は、携帯端末200においてCE仮公開鍵証明書の取得操作が実行され、携帯端末200のCE公開鍵証明取得処理部からの仮公開鍵取得処理開始メッセージを受け取ると、鍵/証明書検索部160を利用して、公開鍵証明書を持たない鍵ペアを検索する。
そして、公開鍵証明書を持たない鍵ペアが存在する場合には、CE仮公開鍵証明取得処理部170は、その鍵ペアに対するCE仮公開鍵証明書の取得処理を行う。具体的には、CE仮公開鍵証明取得処理部170は、その鍵ペアに対する仮公開鍵証明書発行要求メッセージを携帯端末200のCE公開鍵証明取得処理部に向けて送出する。
一方、公開鍵証明書を持たない鍵ペアが存在しない場合には、CE仮公開鍵証明取得処理部170は、鍵ペア生成部180に対して鍵ペアの生成を要求して、生成された鍵ペアを取得する。そして、その鍵ペアに対する仮公開鍵証明書発行要求メッセージを携帯端末200のCE公開鍵証明取得処理部に向けて送出する。
そして、仮公開鍵証明書発行要求メッセージを受けた携帯端末200のCE公開鍵証明取得処理部によってCE仮公開鍵証明書が公開鍵証明書発行局400から取得され、CE仮公開鍵証明取得処理部170は、携帯端末200のCE公開鍵証明取得処理部を介してCE仮公開証明書を取得する。そして、CE仮公開鍵証明取得処理部170は、CE仮公開鍵証明書を取得すると、取得したCE仮公開鍵証明書を鍵/証明書格納部120に送出する。そして、CE仮公開鍵証明書と鍵ペアとが、対応づけられて鍵/証明書格納部120に格納される。
鍵ペア生成部180は、CE仮公開鍵証明取得処理部170からの鍵ペア生成要求を受け取ると新たな鍵ペアを生成し、生成した鍵ペアをCE仮公開鍵証明取得処理部170に出力するとともに、鍵/証明書格納部120に送出して鍵ペアを格納させる。
CE公開鍵/証明取得制御部150は、ICカード100がCE機器300のカードスロットに挿入され接続されると、CE機器300からCE機器情報を取得する。このCE
機器情報には、CE機器300に一意に割り当てられたID、型番、機種名、および実行可能な機能情報などが含まれる。
機器情報には、CE機器300に一意に割り当てられたID、型番、機種名、および実行可能な機能情報などが含まれる。
CE公開鍵/証明取得制御部150は、取得したCE機器情報をキーとして、鍵/証明書格納部120からCE鍵ペアおよびCE本公開鍵証明書を取得する処理を行う。具体的には、CE公開鍵/証明取得制御部150は、鍵/証明書検索部160を利用して鍵/証明書格納部120を検索する。そして、CE本公開鍵証明書がある場合、すなわち上記取得したCE機器情報に対応するCE公開鍵証明書がある場合には、CE公開鍵/証明取得制御部150は、そのCE本公開鍵証明書およびそれに対応するCE鍵ペアを取得して、公開鍵証明書認証処理部130に送出する。
また、CE本公開鍵証明書は存在しないがCE仮公開鍵証明書がある場合、すなわちCE本公開鍵証明書は存在しないがCE機器情報と対応づけられていないCE公開鍵証明書がリスト中に存在する場合には、CE公開鍵/証明取得制御部150は、そのCE仮公開鍵証明書およびそれに対応するCE鍵ペアを取得する。そして、CE公開鍵/証明取得制御部150は、取得したCE機器情報および仮公開鍵証明書をもとに本公開鍵証明書発行要求を生成し、入出力部110、CE機器300を介して公開鍵証明書発行局400に対して送信する。この本公開鍵証明書発行要求に応じて公開鍵証明書発行局400から、CE機器情報と、これに対応づけられたCE公開鍵証明書(すなわち、CE本公開鍵証明書)が返信され、CE公開鍵/証明取得制御部150は、CE機器300のCE公開鍵証明取得処理部、入出力部110を介してCE機器情報およびCE本公開鍵証明書を取得する。
詳細には、CE公開鍵/証明取得制御部150のCE公開鍵/証明取得処理部151は、ICカード100がCE機器300のカードスロットに挿入され接続されると、CE機器300に対してCE機器情報の送信要求を送出し、この要求に応じて機器情報格納部310からのCE機器情報を取得する。
CE公開鍵/証明取得処理部151は、ICカード100がCE機器300のカードスロットに挿入され接続された際に、CE機器300からCE機器情報を取得する。そして、取得したCE機器情報をキーとして、鍵/証明書格納部120からCE鍵ペアおよびCE本公開鍵証明書を取得する処理を行う。具体的には、CE公開鍵/証明取得処理部151は、鍵/証明書検索部160を利用して鍵/証明書格納部120を検索する。そして、CE本公開鍵証明書がある場合、すなわち上記取得したCE機器情報に対応するCE公開鍵証明書がある場合には、CE公開鍵/証明取得処理部151は、そのCE本公開鍵証明書およびそれに対応するCE鍵ペアを取得して、公開鍵証明書認証処理部130に送出する。
また、CE本公開鍵証明書は存在しないがCE仮公開鍵証明書がある場合、すなわちCE本公開鍵証明書は存在しないがCE機器情報と対応づけられていないCE公開鍵証明書がリスト中に存在する場合には、CE公開鍵/証明取得処理部151は、そのCE仮公開鍵証明書およびそれに対応するCE鍵ペアを取得し、CE本公開鍵証明取得処理部155に送出する。
CE本公開鍵証明取得処理部155は、取得したCE機器情報および仮公開鍵証明書をもとに本公開鍵証明書発行要求を生成し、暗号化処理部140、入出力部110、CE機器300を介して公開鍵証明書発行局400に対して送信する。この本公開鍵証明書発行要求に応じて公開鍵証明書発行局400から、CE機器情報と、これに対応づけられたCE公開鍵証明書(すなわち、CE本公開鍵証明書)が返信され、CE本公開鍵証明取得処理部155は、CE機器300のCE公開鍵証明取得処理部330、入出力部110、暗
号化処理部140を介してCE機器情報およびCE本公開鍵証明書を取得する。
号化処理部140を介してCE機器情報およびCE本公開鍵証明書を取得する。
そして、CE本公開鍵証明取得処理部155は、取得したCE機器情報およびCE本公開鍵証明書を鍵/証明書格納部120に出力して格納する。
なお、CE本公開鍵証明書の取得の際には、CE仮公開鍵証明書に用いられているCE鍵ペアを使用しても良いし、新たに生成した鍵ペアに対してCE本公開鍵証明書を取得しても良い。
鍵/証明書検索部160は、CE仮公開鍵証明取得処理部170からの鍵検索要求、およびCE公開鍵/証明取得制御部150から受け取る、CE機器情報を含む鍵/公開鍵証明書の検索要求を受けて、鍵/証明書格納部120を検索する。
鍵/証明書検索部160は、CE仮公開鍵証明取得処理部170からの検索要求を受け取ると、鍵/証明書格納部120にてCE本公開鍵証明書およびCE仮公開鍵証明書のいずれも持たないCE鍵ペアを検索する。検索の結果、CE本公開鍵証明書およびCE仮公開鍵証明書のいずれも持たないCE鍵ペアが存在する場合には、鍵/証明書検索部160は、そのCE鍵ペアをCE仮公開鍵証明取得処理部170に出力する。一方、検索の結果、CE本公開鍵証明書およびCE仮公開鍵証明書のいずれも持たないCE鍵ペアが存在しない場合は、鍵/証明書検索部160は、その旨のメッセージをCE仮公開鍵証明取得処理部170に出力する。
また、鍵/証明書検索部160は、CE公開鍵/証明取得制御部150からの鍵/公開鍵証明書の検索要求に対しては、まずCE機器情報を属性情報として含んだCE本公開鍵証明書を検索する。CE本公開鍵証明書が存在する場合には、鍵/証明書検索部160は、そのCE本公開鍵証明書およびCE鍵ペアをCE公開鍵/証明取得制御部150に送出する。一方、検索の結果、CE本公開鍵証明書が存在しなかった場合には、鍵/証明書検索部160は、CE仮公開鍵証明書を検索する。検索の結果、CE仮公開鍵証明書が存在する場合には、そのCE仮公開鍵証明書およびCE鍵ペアをCE公開鍵/証明取得制御部150に送出する。検索の結果、CE仮公開鍵証明書が存在しない場合には、その旨のメッセージをCE公開鍵/証明取得制御部150に送出する。
なお、鍵/証明書検索部160は、CE公開鍵証明書の検索の際に有効期限外のCE公開鍵証明書がある場合には、その有効期限外のCE公開鍵証明書を検索結果より除外するか、若しくは、期限切れのCE公開鍵証明書が検索されたことをICカード100の挿入されている装置のユーザに通知する。
図5に示すようにCE機器300は、機器情報格納部310と、カードスロット入出力部320と、CE公開鍵証明取得処理部330と、ネットワーク入出力部340とを有する。なお、同図においては、録画・再生機能といったCE機器300の機能については省略しており、ICカード100と関連のある機能ブロックについてのみ記載している。
機器情報格納部310は、CE機器300に関する情報(例えば、機器固有のID、メーカ名、機種名、実行可能な機能など)を格納する。上述のようにCE機器300はICカードスロットを備えている。そして、ICカード100が挿入されると、機器情報格納部310は、CE機器情報を、ICカード100に対しカードスロット入出力部320を介して送出する。なお、不正利用を防ぐため、機器情報格納部310は外部から書き込みができないようにしてもよい。
カードスロット入出力部320は、ICカードスロットに挿入されたICカード100
との情報の送受信を行う。
との情報の送受信を行う。
CE公開鍵証明取得処理部330は、CE公開鍵/証明取得制御部150からのCE本公開鍵証明書発行要求を受け取り、公開鍵証明書発行局400に向けて送信する。
ネットワーク入出力部340は、外部のネットワークとの間での情報の送受信を行う。
なお、図5には図示していないが、CE機器300は、暗号化処理部を有してもよい。この暗号化処理部は、ICカード100において公開鍵証明書を用いた相互認証により生成された暗号化鍵を受け取り、暗号化処理をCE機器300で行う。これにより、コンテンツダウンロードの際にCE機器300側で復号されたコンテンツデータを保存することができる。
図6に示すように携帯端末200は、カードスロット入出力部210と、ネットワーク入出力部220と、公開鍵証明書認証処理部230と、暗号化処理部240、CE公開鍵証明取得処理部250と、証明書管理部260とを有する。
カードスロット入出力部210は、ICカード100との情報の送受信を行う。
ネットワーク入出力部220は、外部のネットワークとの間での情報の送受信を行う。
公開鍵証明書認証処理部230は、携帯端末200のメモリ内にある、端末鍵ペアおよびそれに対応する端末公開鍵証明書を用いて、ネットワーク上の通信相手と相互認証を行う。相互認証の成功により生成された暗号鍵は、携帯端末200の暗号化処理部240に送出される。なお、秘密鍵・公開鍵の端末鍵ペアおよび端末公開鍵証明書は、携帯端末200のメモリに格納されてもよいし、また、ICカード100とは別の、携帯端末200からアクセス可能で取り外しが可能なICカードに格納されてもよい。
CE公開鍵証明取得処理部250は、カードスロットにICカード100が挿入され、自装置にてCE公開鍵証明取得操作が行われると、ICカード100の仮公開鍵証明取得処理部170に対してCE仮公開鍵取得処理開始メッセージを送出する。また、CE公開鍵証明取得処理部250は、ICカード100のCE仮公開鍵証明取得処理部170から仮公開鍵証明書発行要求メッセージを受信すると、公開鍵証明書発行局400に対しネットワーク入出力部220を介して転送する。このとき、携帯端末200の端末公開鍵証明書を用いた携帯端末200と公開鍵証明書発行局400との間の相互認証により確立されたセキュアなコネクションが利用される。
証明書管理部260は、携帯端末200の端末公開鍵証明書に関連付けられてCE機器300に発行されたCE公開鍵証明書の管理を行う。携帯端末200において証明書管理機能が実行されると、公開鍵証明書認証処理部230は、携帯端末200の端末公開鍵証明書を用いて公開鍵証明書発行局400との間でセキュアなコネクションを確立する。そして、公開鍵証明書認証処理部230は、公開鍵証明書発行局400から情報を取得し、携帯端末200の端末公開鍵証明書に関連付けられ、CE機器300に発行されている公開鍵証明書(CE機器情報に対応づけられているCE本公開鍵証明書、CE機器情報に未だ対応づけられていないCE仮公開鍵証明書を含む)の情報の閲覧や失効操作を行うことができる。
図7に示すように公開鍵証明書発行局400は、仮公開鍵証明書発行処理部410と、本公開鍵証明書発行処理部420と、公開鍵証明書データベース430と、ユーザ情報データベース440と、証明書検索部450と、携帯端末通知処理部460とを有する。
公開鍵証明書発行局400は、CE機器情報を含まない公開鍵証明書であるCE仮公開鍵証明書と、CE機器情報を含んだ公開鍵証明書であるCE本公開鍵証明書の発行処理を行う。
仮公開鍵証明書発行処理部410は、ICカード100のCE仮公開鍵証明取得処理部170から携帯端末200を介して送信されたCE仮公開鍵証明書発行要求メッセージを受信し、ICカード100が正当なCE鍵ペアを所有していることを確認できると、CE仮公開鍵証明書を発行して携帯端末200を介してICカード100のCE仮公開鍵証明取得処理部170に送信する。また、仮公開鍵証明書発行処理部410は、発行したCE仮公開鍵証明書を公開鍵証明書データベース430に出力して登録する。
本公開鍵証明書発行処理部420は、ICカード100のCE公開鍵/証明取得制御部150からCE機器300を介して送信されたCE本公開鍵証明書発行要求を受信し、ICカード100が正当なCE鍵ペアおよびCE仮公開鍵証明書を所有していることを確認できると、CE本公開鍵証明書を発行してCE機器300を介してICカード100のCE公開鍵/証明取得制御部150に送信する。また、本公開鍵証明書発行処理部420は、発行したCE本公開鍵証明書を公開鍵証明書データベース430に出力して登録する。
公開鍵証明書データベース430は、CE仮公開鍵証明書およびCE本公開鍵証明書の管理を行う。具体的には、公開鍵証明書データベース430は、図8に示すようなリストで公開鍵証明書(CE仮公開鍵証明書およびCE本公開鍵証明書を含む)を管理している。同リストでは、携帯端末200の端末公開鍵証明書と、CE機器300のための公開鍵証明書(CE仮公開鍵証明書およびCE本公開鍵証明書)とが関連付けられている。また、CE機器300のための公開鍵証明書が仮公開鍵証明書であるか又は本公開鍵証明書であるかを識別するために、CE機器300のための公開鍵証明書は、CE機器情報とも関連づけられている。CE機器情報と未だ関連づけられていないCE機器300のための公開鍵証明書がCE仮公開鍵証明書であり、具体的には、同リストにおけるPKC−IC1cなる公開鍵証明書がCE仮公開鍵証明書である。
ユーザ情報データベース440は、携帯端末200に公開鍵証明書を発行する際に取得した個人情報(公開鍵証明書シリアル番号、氏名、住所、電話番号、メールアドレス、口座番号など)が登録されている。
証明書検索部450は、CE機器300のための公開鍵証明書と、携帯端末200の端末公開鍵証明書との関連付けの検索を行う。証明書検索部450は、公開鍵証明書データベース430において、対象となるCE機器300のための公開鍵証明書が関連付けられている端末公開鍵証明書を検索する。そして、証明書検索部450は、公開鍵証明書データベース430を検索した検索結果である端末公開鍵証明書をキーとして、ユーザ情報データベースから、その端末公開鍵証明書に対応する携帯端末200のユーザ情報を取得する。
携帯端末通知処理部460は、CE機器300のための公開鍵証明書が使用されたときに、この公開鍵証明書に関連づけられた端末公開鍵証明書に対応する携帯端末200への通知を行う。この通知の方法は、証明書検索部450によって検索されたユーザ情報を利用した、メール、電話などによる方法を利用することができる。また、その通知には、携帯端末200への通知内容の他に、CE機器300のための公開鍵証明書の使用可否確認要求を含んでもよい。
なお、上記説明においては、公開鍵証明書発行局400が仮公開鍵証明書発行処理部4
10、本公開鍵証明書発行処理部420、公開鍵証明書データベース430、ユーザ情報データベース440、証明書検索部450、および携帯端末通知処理部460を備えるものとして説明を行った。しかしながらこれに限定されるものではなく、各々異なる装置によって実現されてもよい。
10、本公開鍵証明書発行処理部420、公開鍵証明書データベース430、ユーザ情報データベース440、証明書検索部450、および携帯端末通知処理部460を備えるものとして説明を行った。しかしながらこれに限定されるものではなく、各々異なる装置によって実現されてもよい。
次いで、上記構成を有する認証システム10における動作について説明する。同システムにおける処理は、仮公開鍵証明書発行処理、本公開鍵証明書発行処理、およびコンテンツサーバからのダウンロード処理の3つの処理に分けられる。以下、各処理について説明する。
[仮公開鍵証明書発行処理]
図9は、上記仮公開鍵証明書発行処理を示す処理フロー図である。この仮公開鍵証明書発行処理は、ICカード100と、携帯端末200と、公開鍵証明書発行局400とにより行われる。
図9は、上記仮公開鍵証明書発行処理を示す処理フロー図である。この仮公開鍵証明書発行処理は、ICカード100と、携帯端末200と、公開鍵証明書発行局400とにより行われる。
ICカード100が接続されている携帯端末200においてCE機器300のための公開鍵証明書(CE仮公開鍵証明書)の取得処理開始の操作が行われると(ST1001、ST1002)、携帯端末200の公開鍵証明書認証処理部230は、自装置のメモリ内にある、端末鍵ペアおよびそれに対応する端末公開鍵証明書を用いて、公開鍵証明書発行局400と間で相互認証を行う(ST1003)。
また、携帯端末200においてCE機器300のための公開鍵証明書(CE仮公開鍵証明書)の取得処理開始の操作が行われると(ST1001、ST1002)、携帯端末200のCE公開鍵証明取得処理部250は、ICカード100のCE仮公開鍵証明取得処理部170に対してCE仮公開鍵取得処理開始メッセージを送出する(ST1004)。
ICカード100では、CE仮公開鍵取得処理開始メッセージを受け取ると、CE仮公開鍵証明取得処理部170は、仮公開鍵証明取得処理を開始する(ST1005)。仮公開鍵証明取得処理が開始すると、CE仮公開鍵証明取得処理部170は、鍵/証明書検索部160を利用して、公開鍵証明書を持たない鍵ペアを検索する(ST1006)。
ST1006でCE公開鍵証明書を持たない鍵ペアがある場合には、CE仮公開鍵証明取得処理部170は、その鍵ペアに対するCE仮公開鍵証明書の取得処理に向かう。ただし、携帯端末200のユーザ以外にCE仮公開鍵証明書を取得されることを防止してセキュリティを向上するために、CE仮公開鍵証明取得処理部170は、ユーザに対するパスワードの要求を携帯端末200の表示手段に表示させる制御を行い、また携帯端末200を用いてユーザのパスワードが入力されると、そのパスワードと自身の保持しているパスワードとの照合を行う(ST1007、ST1008、ST1009)。
ST1009でパスワードが合致しパスワードが正しいと判断する場合には、CE仮公開鍵証明取得処理部170は、その鍵ペアに対する仮公開鍵証明書の取得処理を開始する(ST1010)。まず、ST1011において、ICカード100のCE仮公開鍵証明取得処理部170がその鍵ペアに対する仮公開鍵証明書発行要求メッセージを携帯端末200のCE公開鍵証明取得処理部250に向けて送出し、この仮公開鍵証明書発行要求メッセージを受けた携帯端末200のCE公開鍵証明取得処理部250が公開鍵証明書発行局400に対しネットワーク入出力部220を介して転送する。このとき、携帯端末200の端末公開鍵証明書を用いた携帯端末200と公開鍵証明書発行局400との間の相互認証(ST1003)により確立されたセキュアなコネクションが利用される。
公開鍵証明書発行局400の仮公開鍵証明書発行処理部410は、仮公開鍵証明書発行
要求メッセージを受信すると、仮のCE公開鍵証明書を発行する(ST1012)。このとき公開鍵証明書発行局400では、先の相互認証に用いられた携帯端末200の端末公開鍵証明書と、発行するCE仮公開鍵証明書との関連付けが行われる。関連付けの方法としては、携帯端末200の端末公開鍵証明書とCE仮公開鍵証明書との対応をリストとして保持してもよいし、CE仮公開鍵証明書の拡張領域に携帯端末200の端末公開鍵証明書の固有情報を記述しておいてもよい。
要求メッセージを受信すると、仮のCE公開鍵証明書を発行する(ST1012)。このとき公開鍵証明書発行局400では、先の相互認証に用いられた携帯端末200の端末公開鍵証明書と、発行するCE仮公開鍵証明書との関連付けが行われる。関連付けの方法としては、携帯端末200の端末公開鍵証明書とCE仮公開鍵証明書との対応をリストとして保持してもよいし、CE仮公開鍵証明書の拡張領域に携帯端末200の端末公開鍵証明書の固有情報を記述しておいてもよい。
ST1013において、公開鍵証明書発行局400の仮公開鍵証明書発行処理部410は、発行したCE仮公開鍵証明書を、携帯端末200のCE公開鍵証明取得処理部250を介してICカード100のCE仮公開鍵証明取得処理部170に送信する。
ST1006においてCE公開鍵証明書を持たない鍵ペアが存在しない場合には、携帯端末200のユーザ以外に仮公開鍵証明書を取得されることを防止してセキュリティを向上するために、CE仮公開鍵証明取得処理部170は、ユーザに対するパスワードの要求を携帯端末200の表示手段に表示させる制御を行い、また携帯端末200を用いてユーザのパスワードが入力されると、そのパスワードと自身の保持しているパスワードとの照合を行う(ST1014、ST1008、ST1015)。
ST1015でパスワードが合致しパスワードが正しいと判断する場合には、CE仮公開鍵証明取得処理部170が鍵ペア生成部180に対して鍵ペアの生成を要求し、鍵ペア生成部180が鍵ペアを生成する(ST1016)。そして、上述と同様に、ST1010〜ST1013の処理が行われる。
そして、CE仮公開鍵証明取得処理部170は、CE仮公開鍵証明書を取得すると、取得したCE仮公開鍵証明書を鍵/証明書格納部120に送出する。そして、CE仮公開鍵証明書と鍵ペアとが、対応づけられて鍵/証明書格納部120に格納される。
なお、CE仮公開鍵証明書を発行する際に、CE仮公開鍵証明書の有効期限を短くすることで、ICカード100の盗難などにより、他人が不正にCE本公開鍵証明書を取得する可能性を下げ、セキュリティを向上することができる。
[本公開鍵証明書発行処理]
図10は、上記本公開鍵証明書発行処理を示す処理フロー図である。この本公開鍵証明書発行処理は、基本的には、ICカード100と、CE機器300と、公開鍵証明書発行局400とにより行われる。
図10は、上記本公開鍵証明書発行処理を示す処理フロー図である。この本公開鍵証明書発行処理は、基本的には、ICカード100と、CE機器300と、公開鍵証明書発行局400とにより行われる。
CE機器300のカードスロットにICカード100が挿入されると(ST2001)、ICカード100およびCE機器300は、カードスロットにICカード100が挿入されたことを認識する(ST2002)。
そしてICカード100のCE公開鍵/証明取得制御部150が動作する。すなわち、CE公開鍵/証明取得制御部150がCE機器300に対しCE機器情報の送信要求を送り(ST2003)、CE機器300は、機器情報の送信要求を受け取ると、機器情報格納部310にあるCE機器情報をICカード100のCE公開鍵/証明取得制御部150に送信する(ST2004)。そしてST2005において、ICカード100のCE公開鍵/証明取得制御部150は、CE機器情報を取得する。
ICカード100のCE公開鍵/証明取得制御部150は、取得したCE機器情報をキーとして、鍵/証明書格納部120からCE鍵ペアおよびCE公開鍵証明書を取得する処理を行う。具体的には、CE公開鍵/証明取得制御部150は、鍵/証明書検索部160
を利用して鍵/証明書格納部120を検索する(ST2006)。
を利用して鍵/証明書格納部120を検索する(ST2006)。
そして、ST2006における検索の結果、本公開鍵証明書がある場合、すなわち上記取得したCE機器情報に対応するCE公開鍵証明書がある場合には、CE公開鍵/証明取得制御部150は、その本公開鍵証明書およびそれに対応するCE鍵ペアを取得して本公開鍵証明取得処理を終了する。
ST2006における検索の結果、CE本公開鍵証明書がない場合には、CE公開鍵/証明取得制御部150は、CE仮公開鍵証明書が存在するかどうかを検索する(ST2007)。
そして、ST2007における検索の結果、CE仮公開鍵証明書も存在しない場合には、CE本公開鍵証明書の取得はできないため、本公開鍵証明取得処理は終了する。
ST2007においてCE本公開鍵証明書は存在しないがCE仮公開鍵証明書がある場合、すなわちCE本公開鍵証明書は存在しないがCE機器情報と対応づけられていないCE公開鍵証明書がリスト中に存在する場合には、CE公開鍵/証明取得制御部150は、本公開鍵証明取得処理を開始する(ST2008)。
ただし、携帯端末200のユーザと同じユーザ以外にCE本公開鍵証明書を取得されることを防止してセキュリティを向上するために、CE公開鍵/証明取得制御部150は、ユーザに対するパスワードの要求をCE機器300の表示手段に表示させる制御を行い、またCE機器300を用いてユーザのパスワードが入力されると、そのパスワードと自身の保持しているパスワードとの照合を行う(ST2009、ST2010、ST2011)。
ST2011でパスワードが合致しパスワードが正しいと判断する場合には、CE公開鍵/証明取得制御部150は、本公開鍵証明取得処理を実行する(ST2012)。すなわち、CE公開鍵/証明取得制御部150は、CE仮公開鍵証明書およびそれに対応するCE鍵ペアを鍵/証明書格納部120から取得する。そして、CE公開鍵/証明取得制御部150は、取得したCE機器情報およびCE仮公開鍵証明書をもとに本公開鍵証明書発行要求を生成し、入出力部110、CE機器300のCE公開鍵証明取得処理部330を介して公開鍵証明書発行局400に対して送信する。
ST2013において、公開鍵証明書発行局400の本公開鍵証明書発行処理部420は、ICカード100のCE公開鍵/証明取得制御部150からCE機器300を介して送信された本公開鍵証明書発行要求を受信し、ICカード100が正当なCE鍵ペアおよびCE仮公開鍵証明書を所有していることを確認できると、CE本公開鍵証明書を発行してCE機器300を介してICカード100のCE公開鍵/証明取得制御部150に送信する。ただし、CE機器300を扱うユーザと、CE仮公開鍵証明書が発行されたユーザとの同一性を確認してセキュリティを向上するために、携帯端末通知処理部460は、CE機器300のための公開鍵証明書が使用される前に、具体的にはST2013でCE仮公開鍵証明書とCE機器情報とが対応づけられて本公開鍵証明書としてCE機器300に送信される前に、公開鍵証明書データベース430でこの仮公開鍵証明書に関連づけられた端末公開鍵証明書に対応する携帯端末200への通知を行う。この通知には、その端末公開鍵証明書に対応する、ユーザ情報データベース440に保持されているユーザ情報が用いられる。こうして、ICカード100の盗難などにより不正に本公開鍵証明書が取得されることを防ぐことができる。
そして、通知を受けた携帯端末200のユーザが携帯端末200を用いて本公開鍵証明
書の発行許可を返信し(ST2014)、本公開鍵証明書発行処理部420がその発行許可を受け取った場合に、本公開鍵証明書発行処理部420は、CE本公開鍵証明書を発行してCE機器300を介してICカード100のCE公開鍵/証明取得制御部150に送信する。
書の発行許可を返信し(ST2014)、本公開鍵証明書発行処理部420がその発行許可を受け取った場合に、本公開鍵証明書発行処理部420は、CE本公開鍵証明書を発行してCE機器300を介してICカード100のCE公開鍵/証明取得制御部150に送信する。
そして、CE公開鍵/証明取得制御部150がCE本公開鍵証明書を取得して、そのCE本公開鍵証明書が鍵/証明書格納部120に格納された時点で本公開鍵証明取得処理が終了する。そのときCE公開鍵証明取得処理部330が操作を検出してCE本公開鍵証明取得要求をCE公開鍵/証明取得制御部150に送出し、CE公開鍵/証明取得制御部150はこの要求に応じてCE本公開鍵証明書の取得処理を開始する。
なお、上記本公開鍵証明取得処理の説明においては、ST2006とST2007にて本公開鍵証明書は存在しないが仮公開鍵証明書があると判断された場合に、CE公開鍵/証明取得制御部150は、自動的に本公開鍵取得処理を開始したが、これに限定されるものではなく、CE公開鍵/証明取得制御部150は、CE機器300を利用したユーザの本公開鍵証明取得処理の操作を待って、本公開鍵取得処理を開始してもよい。
[ダウンロード処理]
図11は、上記コンテンツサーバからのダウンロード処理を示すフロー図である。このダウンロード処理は、ICカード100と、携帯端末200と、CE機器300と、コンテンツサーバ500と、認証システム運営体設備600とを有する。この認証システム運営体設備600は、上記公開鍵証明書発行局400と、課金サーバとから構成される。
図11は、上記コンテンツサーバからのダウンロード処理を示すフロー図である。このダウンロード処理は、ICカード100と、携帯端末200と、CE機器300と、コンテンツサーバ500と、認証システム運営体設備600とを有する。この認証システム運営体設備600は、上記公開鍵証明書発行局400と、課金サーバとから構成される。
CE機器300にICカード100が挿入され、そのICカード100にそのCE機器300のCE機器情報と対応づけられたCE本公開鍵証明書が保持されている場合に、CE機器300からコンテンツサーバ500へのアクセスが可能となる。
すなわち、CE機器300にICカード100が接続されている状態で、CE機器300においてコンテンツダウンロード操作を実行すると(ST3001)、ICカード100に対してコンテンツダウンロード要求が送出される(ST3002)。
ICカード100の公開鍵証明書認証処理部130は、CE機器300からコンテンツダウンロード要求を受け取ると、そのCE機器300に対応する本公開鍵証明書と、この本公開鍵証明書に対応する鍵ペアを用いて、コンテンツサーバ500との間で相互認証を行う。そして、相互認証によって公開鍵証明書および署名の検証が成功すると、コンテンツサーバ500は、本公開鍵証明書の属性の確認を行う(ST3003)。この本公開鍵証明書の属性情報には、ICカード100が接続されているCE機器300の機器ID、メーカ、機種、実行可能な機能などが記されており、コンテンツサーバ500のポリシーにより自装置へのアクセスの可否が決定される。
コンテンツサーバ500が属性情報に基づいて判断した結果、アクセスが許可される場合には、ICカード100へのコンテンツダウンロードが可能となる。そこで、ICカード100の暗号化処理部140は、コンテンツダウンロード要求をコンテンツサーバ500にCE機器300を介して送信する(ST3004)。
コンテンツサーバ500は、ICカード100からコンテンツダウンロード要求を受けとった段階で、その要求に対応するコンテンツをCE機器300に向けて送信することも可能であるが、ここではセキュリティを向上するべく、コンテンツダウンロード要求をしてきたICカード100が接続されているCE機器300の本公開鍵証明書に関連づけられている端末公開鍵証明書に対応する携帯端末200に対して確認をとるために、認証シ
ステム運営体設備600における公開鍵証明書発行局400の携帯端末通知処理部460に対して携帯端末通知要求を送信する(ST3005)。
ステム運営体設備600における公開鍵証明書発行局400の携帯端末通知処理部460に対して携帯端末通知要求を送信する(ST3005)。
公開鍵証明書発行局400の携帯端末通知処理部460は、確認先である携帯端末200に対してコンテンツダウンロード要求がある旨の通知を送信し(ST3006)、携帯端末200を用いてユーザが確認処理を行うと、携帯端末200から確認応答が携帯端末通知処理部460に向けて送信される(ST3007)。
携帯端末通知処理部460は、受け取った確認応答をコンテンツサーバ500に転送する(ST3008)。
コンテンツサーバ500は、確認応答を受け取って初めて、コンテンツをICカード100にCE機器300を介して送信する(ST3009)。こうして高いセキュリティのもとでのコンテンツのダウンロードが行われ、ICカード100およびCE機器300の盗難によりコンテンツが不正にダウンロードされることを防ぐことができる。なお、配信されるコンテンツは、属性情報に基づいて、すなわちCE機器300の機能などに基づいて、最適なビットレートやサイズ・画質などに変換されてもよい。
そして、コンテンツの送信が行われると、コンテンツサーバ500は、認証システム運営体設備600における課金サーバに対して課金要求を送信する(ST3010)。
課金サーバは、携帯端末200に対する課金を管理するとともに、コンテンツダウンロードに対する課金の管理も纏めて行う。そのため、コンテンツのダウンロードがされるとその都度課金する場合には、コンテンツサーバ500からの課金要求を受け取る度に課金を行う。こうして、ユーザが特定できていることから、通信端末200の高い信頼性を利用して、CE機器300におけるコンテンツのダウンロードに対して課金することができる。
そして、ST3011およびST3012において、課金サーバにて課金が完了した旨を伝えるべく、携帯端末200およびコンテンツサーバ500に対して課金完了通知を送信する。
なお、コンテンツダウンロードのトリガーとなる操作は携帯端末により行われても良い。この実施の形態においては、携帯端末200はCE機器300のリモートコントローラの役割も兼ねており、携帯端末200においてコンテンツダウンロード操作を実行すると、コンテンツダウンロード要求は、携帯端末200からCE機器300を経由してICカード100へ送信され、その後ICカード100とコンテンツサーバ500との間で相互認証、属性認証、携帯端末200への通知などがなされ、コンテンツダウンロードが可能となる。
また、上記説明においては、仮公開鍵証明取得、本公開鍵証明取得、およびコンテンツサーバとの接続の際にパスワード入力を設けているが、本発明を用いる認証システムに求められるセキュリティ強度が低い場合においては、パスワード入力を省略するものとしてもよい。
上記説明のようにパスワード入力を設ける場合は、以下のような方法でのパスワード入力が可能である。
<CE機器300によるパスワード入力>
CE機器300に挿入されたICカード100が公開鍵証明書発行局400およびコン
テンツサーバ500との間で相互認証を行う際に、ICカード100の秘密鍵活性化のためのパスワード入力を要求するようにする場合、CE機器300の持つ機能をパスワード入力に利用することができる。
CE機器300に挿入されたICカード100が公開鍵証明書発行局400およびコン
テンツサーバ500との間で相互認証を行う際に、ICカード100の秘密鍵活性化のためのパスワード入力を要求するようにする場合、CE機器300の持つ機能をパスワード入力に利用することができる。
例えば、CE機器300が録画装置の場合には、公開鍵証明書を取得するか否かについて又はパスワード入力が要求されていることについてユーザに伝える画面表示を行うための信号を録画装置に接続されている映像表示装置に送り、画面表示を行う。ユーザにパスワード入力を促す手段は映像のほか、音声でもよい。パスワード入力は録画装置本体のボタンやリモートコントローラで行う。
<携帯端末によるパスワード入力>
携帯端末200に挿入されたICカード100においてCE鍵ペアを生成する際、およびICカード100のCE鍵ペアに対してCE仮公開鍵証明書の発行を要求するときに秘密鍵を活性化させる際のパスワード入力に、携帯端末200に備えられたボタン等を用いることができる。また、携帯端末200に備えられた画像表示装置に、CE鍵ペアを生成するか否かの確認、CE公開鍵証明書を取得するか否か確認、およびパスワード入力が要求されている旨の通知を表示してもよい。
携帯端末200に挿入されたICカード100においてCE鍵ペアを生成する際、およびICカード100のCE鍵ペアに対してCE仮公開鍵証明書の発行を要求するときに秘密鍵を活性化させる際のパスワード入力に、携帯端末200に備えられたボタン等を用いることができる。また、携帯端末200に備えられた画像表示装置に、CE鍵ペアを生成するか否かの確認、CE公開鍵証明書を取得するか否か確認、およびパスワード入力が要求されている旨の通知を表示してもよい。
このように本実施の形態によれば、携帯端末200と、CE機器300と、携帯端末200およびCE機器300に接続可能なICカード100と、CE機器300にて利用する公開鍵および秘密鍵からなる鍵ペア(CE鍵ペア)に対する仮証明書(CE仮公開鍵証明書)および本証明書(CE本公開鍵証明書)を発行する公開鍵証明発行局400とを有する認証システム10において、ICカード100に、鍵ペアと、仮証明書又は本証明書とを対応づけて記憶可能な鍵/証明書格納部120と、携帯端末200と接続され、鍵/証明書格納部120に仮証明書および本証明書のいずれとも関連づけられていない鍵ペアが存在するときに、携帯端末200を利用して公開鍵証明発行局400から鍵ペアに対応する仮証明書を取得して鍵/証明書格納部120に記憶させるCE仮公開鍵証明取得処理部170と、CE機器300と接続され、鍵/証明書格納部120に仮証明書と関連づけられ本証明書と関連づけられていない鍵ペアが存在するときに、CE機器300を介し仮証明書を用いて公開鍵証明発行局400から本証明書を取得して鍵/証明書格納部120に記憶させるCE公開鍵/証明取得制御部150と、を設けた。
こうすることにより、通常ユーザが特定され信頼性の高い携帯端末200を利用してICカード100に鍵の仮証明書を取得し、次にICカード100とCE機器300とを接続し、信頼性の高い環境で取得しておいた前記仮証明書を利用してCE機器300にて使用する前記鍵の本証明書を取得することができる。そのため、CE機器300がユーザ登録されていない状態でも、信頼性の高い環境で鍵の本証明書を取得することができる。また、従来ユーザはCE機器を手に入れる度に郵便などによる煩雑なユーザ登録手続きを行った後に更に鍵および鍵証明書などの機器認証情報を取得する煩雑な処理を行う必要があったが、上記認証システム10を利用することにより、鍵および鍵証明書の取得処理が容易となりユーザの利便性を向上することができる。
また上記認証システム10において、CE仮公開鍵証明取得処理部170は、携帯端末200と接続され、鍵/証明書格納部120に仮証明書および本証明書のいずれとも関連づけられていない鍵ペアが存在するときに、携帯端末200に対して鍵ペアを含む仮証明書発行要求を送出し、携帯端末200は、仮証明書発行要求を受け取るときに、自装置の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して公開鍵証明書発行局400から前記仮証明書を取得して当該仮証明書を前記ICカード100に送出するCE公開鍵証明取得処理部250を具備する。
こうすることにより、仮証明書を取得するときに、携帯端末200と公開鍵証明書発行局400との間のセキュアな回線を利用することができるので、信頼性の高い環境で仮証明書を取得することができる。
また上記認証システム10において、CE公開鍵/証明取得制御部150は、CE機器300と接続され、鍵/証明書格納部120に仮証明書と関連づけられ本証明書と関連づけられていない鍵ペアが存在するときに、CE機器300に対して鍵ペアおよび仮証明書を含む本証明書発行要求を送出し、CE機器300は、本証明書発行要求を受け取るときに、仮証明書を利用したセキュアな回線を介して公開鍵証明書発行局400から本証明書を取得して当該本証明書をICカード100に送出するCE公開鍵証明取得処理部330を具備する。
こうすることにより、信頼性の高い環境で取得しておいた前記仮証明書を利用してCE機器300にて使用する前記鍵の本証明書を取得するため、CE機器300がユーザ登録されていない状態でも、信頼性の高い環境で鍵の本証明書を取得することができる。
また上記認証システム10において、CE公開鍵証明取得処理部250は、ICカード100から仮証明書発行要求を受け取るときに、自装置(携帯端末200)の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して公開鍵証明書発行局400に対して仮証明書発行要求を送信し、公開鍵証明発行局400は、仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な公開鍵証明書データベース430と、仮証明書発行要求を受け取るときに、仮証明書を発行し当該仮証明書をCE公開鍵証明取得処理部250に送信するとともに、公開鍵証明書データベース430に前記発行した仮証明書と前記仮証明書発行要求の送信元である携帯端末200の端末鍵証明書とを対応づけて記憶させる仮公開鍵証明書発行処理部410とを具備する。
こうすることにより、携帯端末200と公開鍵証明書発行局400との間のセキュアな回線を利用してICカード100が仮証明書を取得でき、また、公開鍵証明書発行局400にも仮証明書を格納しておくことができる。そのため、次にICカード100がCE機器300と接続された際には、CE機器300と公開鍵証明書発行局400との間に、取得しておいた仮証明書を用いたセキュアな回線を形成することができる。
また上記認証システム10において、CE公開鍵証明取得処理部330は、本証明書発行要求を受け取り、仮証明書を利用したセキュアな回線を介して当該本証明書発行要求を公開鍵証明書発行局400に対して送信し、公開鍵証明書発行局400は、仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な公開鍵証明書データベース430と、本証明書発行要求に応じて公開鍵証明書データベース430を検索し、本証明書発行要求に含まれる仮証明書が公開鍵証明書データベース430に記憶されているときに、本証明書を発行しCE公開鍵証明取得処理部330に送信するとともに、本証明書と本証明書発行要求の送信元であるCE機器300の識別情報とを公開鍵証明書データベース430に記憶させる本公開鍵証明書発行処理部420とを具備する。
こうすることにより、CE機器300と公開鍵証明書発行局400との間で仮証明書に基づいた認証が可能となり、これにより形成されるセキュアな回線を利用して、CE機器300は、公開鍵証明書発行局400から本証明書を取得することができる。また、CE機器情報と、端末鍵証明書とが対応づけられて記憶されているので、例えば、CE機器300がコンテンツをダウンロードするなどして費用が発生した場合に、CE機器情報と対応する端末鍵証明書から特定される携帯端末200に対してまとめて課金することができる。
また上記認証システム10において、公開鍵証明書発行局400は、携帯端末200に関する宛先情報を記憶するユーザ情報データベース430と、本証明書を発行してCE機器300に前記本証明書を送信する前に、前記宛先情報を利用して携帯端末200に発行許可確認通知を送信する携帯端末通知処理部460と、を具備する。
こうすることにより、仮証明書を発行して送信した携帯端末200のユーザ以外の者が、CE機器300およびICカード100を利用して本証明書を不正に取得することを防止して、セキュリティを向上することができる。
また、本実施の形態によれば、ICカード100に、鍵ペアと、仮証明書又は本証明書とを対応づけて記憶可能な鍵/証明書格納部120と、携帯端末200と接続され、鍵/証明書格納部120に仮証明書および本証明書のいずれとも関連づけられていない鍵ペアが存在するときに、携帯端末200を利用して公開鍵証明発行局400から鍵ペアに対応する仮証明書を取得して鍵/証明書格納部120に記憶させるCE仮公開鍵証明取得処理部170と、CE機器300と接続され、鍵/証明書格納部120に仮証明書と関連づけられ本証明書と関連づけられていない鍵ペアが存在するときに、CE機器300を介し仮証明書を用いて公開鍵証明発行局400から本証明書を取得して鍵/証明書格納部120に記憶させるCE公開鍵/証明取得制御部150と、を設けた。
こうすることにより、通常ユーザが特定され信頼性の高い携帯端末200を利用してICカード100に鍵の仮証明書を取得し、次にICカード100とCE機器300とを接続し、信頼性の高い環境で取得しておいた前記仮証明書を利用してCE機器300にて使用する前記鍵の本証明書を取得することができる。そのため、CE機器300がユーザ登録されていない状態でも、信頼性の高い環境で鍵の本証明書を取得することができる。また、従来ユーザはCE機器を手に入れる度に郵便などによる煩雑なユーザ登録手続きを行った後に更に鍵および鍵証明書などの機器認証情報を取得する煩雑な処理を行う必要があったが、上記ICカード100を利用することにより、鍵および鍵証明書の取得処理が容易となりユーザの利便性を向上することができる。
また、本実施の形態によれば、CE機器300に、上記ICカード100と接続され、ICカード100のCE公開鍵/証明取得制御部150から本証明書発行要求を受け取り、当該本証明書発行要求を公開鍵証明書発行局400に対して仮証明書を利用したセキュアな回線を介して送信し、当該本証明書発行要求に応答して公開鍵証明書発行局400にて発行された本証明書を受信して当該本証明書をICカード100に送出するCE公開鍵証明取得処理部330を設けた。
また、本実施の形態によれば、携帯端末200に、上記ICカード100と接続され、当該ICカード100のCE仮公開鍵証明取得処理部170から仮証明書発行要求を受け取るときに、公開鍵証明書発行局400に対して仮証明書発行要求を自装置の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して送信し、当該仮証明書発行要求に応答して鍵証明書発行局400にて発行された仮証明書を受信して当該仮証明書をICカード100に送出するCE公開鍵証明取得処理部250を設けた。
また、本実施の形態によれば、上記CE機器300と通信を行う鍵証明書発行局400に、仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な公開鍵証明書データベース430と、CE機器300のCE公開鍵証明取得処理部330からの本証明書発行要求に応じて公開鍵証明書データベース430を検索し、前記本証明書発行要求に含まれる仮証明書が公開鍵証明書データベース430に記憶されているときに、本証明書を発行しCE機器の鍵証明取得手段に送信するとともに、当該本証明書と本証明書発行要求の送信元であるCE機器300の識別情報とを公開鍵証明書データベース430に記憶させ
る本公開鍵証明書発行処理部420とを設けた。
る本公開鍵証明書発行処理部420とを設けた。
また、本実施の形態によれば、上記携帯端末200と通信を行う公開鍵証明書発行局400に、仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な公開鍵証明書データベース430と、CE機器300のCE公開鍵証明取得処理部330からの仮証明書発行要求に応じて仮証明書を発行し当該仮証明書をCE機器300のCE公開鍵証明取得処理部330に送信するとともに、公開鍵証明書データベース430に前記発行した仮証明書と前記仮証明書発行要求の送信元である携帯端末200の端末鍵証明書とを対応づけて記憶させる仮公開証明書発行処理部410とを設けた。
本発明の認証システム、CE機器、携帯端末、鍵証明発行局および鍵証明取得方法は、ユーザの利便性を向上する効果を有し、認証にPKIを用いる認証システム、CE機器、携帯端末、鍵証明発行局および鍵証明取得方法として有用である。
Claims (12)
- 携帯端末と、CE機器と、前記携帯端末および前記CE機器に接続可能なICカードと、前記CE機器にて利用する公開鍵および秘密鍵からなる鍵ペアに対する仮証明書および本証明書を発行する鍵証明発行局とを有し、
前記ICカードは、
前記鍵ペアと、前記仮証明書又は前記本証明書とを対応づけて記憶可能な記憶手段と、
前記携帯端末と接続され、前記記憶手段に前記仮証明書および前記本証明書のいずれとも関連づけられていない前記鍵ペアが存在するときに、前記携帯端末を利用して前記鍵証明発行局から前記鍵ペアに対応する仮証明書を取得して前記記憶手段に記憶させる第1の鍵証明取得手段と、
前記CE機器と接続され、前記記憶手段に前記仮証明書と関連づけられ前記本証明書と関連づけられていない前記鍵ペアが存在するときに、前記CE機器を介し前記仮証明書を用いて前記鍵証明発行局から前記本証明書を取得して前記記憶手段に記憶させる第2の鍵証明取得手段と、
を具備する認証システム。 - 前記第1の鍵証明取得手段は、前記携帯端末と接続され、前記記憶手段に前記仮証明書および前記本証明書のいずれとも関連づけられていない前記鍵ペアが存在するときに、前記携帯端末に対して前記鍵ペアに対応する仮証明書発行要求を送出し、
前記携帯端末は、
前記仮証明書発行要求を受け取るときに、自装置の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して前記鍵証明書発行局から前記仮証明書を取得して当該仮証明書を前記ICカードに送出する第3の鍵証明取得手段を具備する請求項1記載の認証システム。 - 前記第2の鍵証明取得手段は、前記CE機器と接続され、前記記憶手段に前記仮証明書と関連づけられ前記本証明書と関連づけられていない前記鍵ペアが存在するときに、前記CE機器に対して前記鍵ペアおよび前記仮証明書を含む本証明書発行要求を送出し、
前記CE機器は、
前記本証明書発行要求を受け取るときに、前記仮証明書を利用したセキュアな回線を介して前記鍵証明書発行局から前記本証明書を取得して当該本証明書を前記ICカードに送出する第4の鍵証明取得手段を具備する請求項1記載の認証システム。 - 前記第3の鍵証明取得手段は、前記仮証明書発行要求を受け取るときに、自装置の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して前記鍵証明書発行局に対して前記仮証明書発行要求を送信し、
前記鍵証明発行局は、
前記仮証明書又は前記本証明書と、前記端末鍵証明書とを対応づけて記憶可能な発行局記憶手段と、
前記仮証明書発行要求を受け取るときに、前記仮証明書を発行し当該仮証明書を前記第3の鍵証明取得手段に送信するとともに、前記発行局記憶手段に前記発行した仮証明書と前記仮証明書発行要求の送信元である前記携帯端末の前記端末鍵証明書とを対応づけて記憶させる仮証明書発行制御手段と、
を具備する請求項2記載の認証システム。 - 前記第4の鍵証明取得手段は、前記本証明書発行要求を受け取り、前記仮証明書を利用したセキュアな回線を介して当該本証明書発行要求を前記鍵証明書発行局に対して送信し、
前記鍵証明発行局は、
前記仮証明書又は前記本証明書と、前記端末鍵証明書とを対応づけて記憶可能な発行局記憶手段と、
前記本証明書発行要求に応じて前記発行局記憶手段を検索し、前記本証明書発行要求に含まれる前記仮証明書が前記発行局記憶手段に記憶されているときに、前記本証明書を発行し前記第4の鍵証明取得手段に送信するとともに、当該本証明書と前記本証明書発行要求の送信元である前記CE機器の識別情報とを前記発行局記憶手段に記憶させる本証明書発行制御手段とを具備する請求項3記載の認証システム。 - 前記鍵証明書発行局は、
前記携帯端末に関する宛先情報を記憶する記憶手段と、
前記本証明書を発行して前記CE機器に前記本証明書を送信する前に、前記宛先情報を利用して前記携帯端末に発行許可確認通知を送信する確認手段と、
を具備する請求項1記載の認証システム。 - 鍵ペアと、仮証明書又は本証明書とを対応づけて記憶可能な記憶手段と、
携帯端末と接続され、前記記憶手段に前記仮証明書および前記本証明書のいずれとも関連づけられていない前記鍵ペアが存在するときに、前記携帯端末を利用して鍵証明発行局から前記鍵ペアに対応する仮証明書を取得して前記記憶手段に記憶させる第1の鍵証明取得手段と、
CE機器と接続され、前記記憶手段に前記仮証明書と関連づけられ前記本証明書と関連づけられていない前記鍵ペアが存在するときに、前記CE機器を介し前記仮証明書を用いて前記鍵証明発行局から前記本証明書を取得して前記記憶手段に記憶させる第2の鍵証明取得手段と、
を具備するICカード。 - 請求項7記載のICカードと接続され、当該ICカードの前記第2の鍵証明取得手段から本証明書発行要求を受け取り、当該本証明書発行要求を前記鍵証明書発行局に対して仮証明書を利用したセキュアな回線を介して送信し、当該本証明書発行要求に応答して前記鍵証明書発行局にて発行された前記本証明書を受信して当該本証明書を前記ICカードに送出する鍵証明取得手段を具備するCE機器。
- 請求項7記載のICカードと接続され、当該ICカードの前記第1の鍵証明取得手段から仮証明書発行要求を受け取るときに、前記鍵証明書発行局に対して前記仮証明書発行要求を自装置の端末鍵ペアおよび端末鍵証明書を用いたセキュアな回線を介して送信し、当該仮証明書発行要求に応答して前記鍵証明書発行局にて発行された前記仮証明書を受信して当該仮証明書を前記ICカードに送出する鍵証明取得手段を具備する携帯端末。
- 請求項8記載のCE機器と通信を行う鍵証明書発行局であって、
仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な発行局記憶手段と、
前記CE機器の鍵証明取得手段からの本証明書発行要求に応じて前記発行局記憶手段を検索し、前記本証明書発行要求に含まれる前記仮証明書が前記発行局記憶手段に記憶されているときに、前記本証明書を発行し前記CE機器の鍵証明取得手段に送信するとともに、当該本証明書と前記本証明書発行要求の送信元である前記CE機器の識別情報とを前記発行局記憶手段に記憶させる本証明書発行制御手段とを具備する鍵証明発行局。 - 請求項9記載の携帯端末と通信を行う鍵証明書発行局であって、
仮証明書又は本証明書と、端末鍵証明書とを対応づけて記憶可能な発行局記憶手段と、
前記CE機器の鍵証明取得手段からの仮証明書発行要求に応じて前記仮証明書を発行し当該仮証明書を前記CE機器の鍵証明取得手段に送信するとともに、前記発行局記憶手段に前記発行した仮証明書と前記仮証明書発行要求の送信元である前記携帯端末の前記端末鍵証明書とを対応づけて記憶させる仮証明書発行制御手段とを具備する鍵証明発行局。 - CE機器にて利用する鍵の本証明書を取得する鍵証明取得方法であって、
ICカードと携帯端末とを接続し、ICカードの記憶手段に前記本証明書および仮証明書のいずれとも関連づけられていない前記鍵が存在するときに、前記ICカードが前記携帯端末を利用して前記鍵証明発行局から前記鍵に対応する仮証明書を取得するステップと、
前記ICカードと前記CE機器とを接続し、前記ICカードが前記CE機器を介し前記仮証明書を用いて前記鍵証明発行局から前記本証明書を取得するステップと、
を具備する鍵証明取得方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2006/303774 WO2007099608A1 (ja) | 2006-02-28 | 2006-02-28 | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2007099608A1 JPWO2007099608A1 (ja) | 2009-07-16 |
JP4800377B2 true JP4800377B2 (ja) | 2011-10-26 |
Family
ID=38458732
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008502595A Expired - Fee Related JP4800377B2 (ja) | 2006-02-28 | 2006-02-28 | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20090037728A1 (ja) |
JP (1) | JP4800377B2 (ja) |
WO (1) | WO2007099608A1 (ja) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8527770B2 (en) * | 2006-07-20 | 2013-09-03 | Research In Motion Limited | System and method for provisioning device certificates |
US8892887B2 (en) | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
US8032753B2 (en) * | 2006-11-23 | 2011-10-04 | Electronics And Telecommunications Research Institute | Server and system for transmitting certificate stored in fixed terminal to mobile terminal and method using the same |
US8646045B1 (en) * | 2007-07-26 | 2014-02-04 | United Services Automobile Association (Usaa) | Bank speech authentication |
JP5108634B2 (ja) * | 2008-05-30 | 2012-12-26 | パナソニック株式会社 | 鍵交換方法 |
US8924714B2 (en) * | 2008-06-27 | 2014-12-30 | Microsoft Corporation | Authentication with an untrusted root |
TWI426762B (zh) * | 2008-08-04 | 2014-02-11 | Ind Tech Res Inst | 網路身分管理方法與系統 |
DE102009001719B4 (de) * | 2009-03-20 | 2011-02-10 | Compugroup Holding Ag | Verfahren zur Erzeugung von asymmetrischen kryptografischen Schlüsselpaaren |
JP5282229B2 (ja) * | 2009-07-16 | 2013-09-04 | 日本電信電話株式会社 | サービス提供システム、改ざんチェック方法および改ざんチェックプログラム |
US9092385B2 (en) * | 2011-08-17 | 2015-07-28 | Cleversafe, Inc. | Facilitating access of a dispersed storage network |
US10454678B2 (en) * | 2011-08-17 | 2019-10-22 | Pure Storage, Inc. | Accesor-based audit trails |
KR20140017035A (ko) * | 2012-07-17 | 2014-02-11 | 한국전자통신연구원 | 오디오 보안 저장 시스템과 이를 이용한 인증서 관리 방법 |
US8719908B1 (en) * | 2012-12-21 | 2014-05-06 | Disney Enterprises, Inc. | Digital certificate management |
KR101378810B1 (ko) * | 2013-06-03 | 2014-03-27 | 주식회사 미래테크놀로지 | 엔에프씨칩과 통신이 가능한 아이씨칩으로의 공인인증서 저장시스템과 저장방법 |
KR102005408B1 (ko) * | 2013-08-08 | 2019-07-30 | 삼성전자주식회사 | 무선 통신 시스템에서 기기 등록 및 인증을 수행하는 방법 및 장치 |
JP2015039141A (ja) * | 2013-08-19 | 2015-02-26 | 富士通株式会社 | 証明書発行要求生成プログラム、証明書発行要求生成装置、証明書発行要求生成システム、証明書発行要求生成方法、証明書発行装置および認証方法 |
JP6573064B2 (ja) * | 2013-11-05 | 2019-09-11 | パナソニックIpマネジメント株式会社 | 設備機器の登録システム |
EP3770781B1 (en) * | 2014-09-30 | 2022-06-08 | Citrix Systems, Inc. | Fast smart card logon and federated full domain logon |
US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
US9843452B2 (en) * | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
JP6739036B2 (ja) * | 2015-08-31 | 2020-08-12 | パナソニックIpマネジメント株式会社 | コントローラ |
JP6852292B2 (ja) * | 2016-07-01 | 2021-03-31 | 富士通株式会社 | 証明書生成システム、情報処理装置、証明書生成装置、証明書生成方法、及びプログラム |
CN106789018B (zh) * | 2016-12-20 | 2019-10-08 | 百富计算机技术(深圳)有限公司 | 密钥远程获取方法和装置 |
CN109982150B (zh) * | 2017-12-27 | 2020-06-23 | 国家新闻出版广电总局广播科学研究院 | 智能电视终端的信任链建立方法和智能电视终端 |
CN108200063B (zh) * | 2017-12-29 | 2020-01-03 | 华中科技大学 | 一种可搜索公钥加密方法、采用该方法的系统和服务器 |
US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
WO2020044666A1 (ja) * | 2018-08-28 | 2020-03-05 | パナソニックIpマネジメント株式会社 | 証明書生成方法、証明書生成装置およびコンピュータプログラム |
US11887120B2 (en) * | 2020-09-24 | 2024-01-30 | Ncr Atleos Corporation | System and method for touchless pin entry |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004096755A (ja) * | 2002-08-30 | 2004-03-25 | Xerox Corp | 安全通信装置及び方法 |
US20040098581A1 (en) * | 2002-08-30 | 2004-05-20 | Xerox Corporation | Method and apparatus for establishing and using a secure credential infrastructure |
JP2006014325A (ja) * | 2004-06-24 | 2006-01-12 | Palo Alto Research Center Inc | ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にするための方法及び装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5737419A (en) * | 1994-11-09 | 1998-04-07 | Bell Atlantic Network Services, Inc. | Computer system for securing communications using split private key asymmetric cryptography |
JP3905961B2 (ja) * | 1997-11-11 | 2007-04-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 臨時署名認証の方法及びそのシステム |
JPH11219412A (ja) * | 1998-02-03 | 1999-08-10 | Oki Electric Ind Co Ltd | Icカード発行システム |
US6961858B2 (en) * | 2000-06-16 | 2005-11-01 | Entriq, Inc. | Method and system to secure content for distribution via a network |
US7366905B2 (en) * | 2002-02-28 | 2008-04-29 | Nokia Corporation | Method and system for user generated keys and certificates |
US7581096B2 (en) * | 2002-08-30 | 2009-08-25 | Xerox Corporation | Method, apparatus, and program product for automatically provisioning secure network elements |
US7454619B2 (en) * | 2003-06-24 | 2008-11-18 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for securely presenting situation information |
US20050100166A1 (en) * | 2003-11-10 | 2005-05-12 | Parc Inc. | Systems and methods for authenticating communications in a network medium |
GB2408415B (en) * | 2003-11-19 | 2008-04-09 | Vodafone Plc | Networks |
US7130998B2 (en) * | 2004-10-14 | 2006-10-31 | Palo Alto Research Center, Inc. | Using a portable security token to facilitate cross-certification between certification authorities |
US7725928B2 (en) * | 2005-12-02 | 2010-05-25 | Palo Alto Research Center Incorporated | System and method for establishing temporary and permanent credentials for secure online commerce |
US8452961B2 (en) * | 2006-03-07 | 2013-05-28 | Samsung Electronics Co., Ltd. | Method and system for authentication between electronic devices with minimal user intervention |
US20070277248A1 (en) * | 2006-05-25 | 2007-11-29 | Microsoft Corporation | Installation of an Application Module and a Temporary Certificate |
-
2006
- 2006-02-28 JP JP2008502595A patent/JP4800377B2/ja not_active Expired - Fee Related
- 2006-02-28 US US12/280,675 patent/US20090037728A1/en not_active Abandoned
- 2006-02-28 WO PCT/JP2006/303774 patent/WO2007099608A1/ja active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004096755A (ja) * | 2002-08-30 | 2004-03-25 | Xerox Corp | 安全通信装置及び方法 |
US20040098581A1 (en) * | 2002-08-30 | 2004-05-20 | Xerox Corporation | Method and apparatus for establishing and using a secure credential infrastructure |
JP2006014325A (ja) * | 2004-06-24 | 2006-01-12 | Palo Alto Research Center Inc | ポータブルセキュリティトークンを使用して、ネットワークにおけるデバイス群に関する公開鍵証明を円滑にするための方法及び装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2007099608A1 (ja) | 2007-09-07 |
US20090037728A1 (en) | 2009-02-05 |
JPWO2007099608A1 (ja) | 2009-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4800377B2 (ja) | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 | |
JP4129783B2 (ja) | リモートアクセスシステム及びリモートアクセス方法 | |
JP4895190B2 (ja) | 電子機器の認証に関する識別管理のためのシステム | |
WO2010023779A1 (ja) | サーバ証明書発行システム及び本人認証方法 | |
JP2019521414A (ja) | 車載端末のための決済認証方法、装置、及び、システム | |
JPH11174956A (ja) | 臨時署名認証の方法及びそのシステム | |
JPWO2008117556A1 (ja) | ログ取得システム、ログ収集端末、ログ取得端末、それらを用いたログ取得方法及びプログラム | |
JP6999474B2 (ja) | 電気錠システムおよび錠制御端末 | |
JP5264548B2 (ja) | 認証システムおよび認証方法 | |
JP5495194B2 (ja) | アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法 | |
JP2017073611A (ja) | 情報処理システム、無線通信チップ、周辺機器、サーバ、アプリケーションプログラム、および情報処理方法 | |
JP6567939B2 (ja) | 情報処理システム、周辺機器、無線通信チップ、アプリケーションプログラム、および情報処理方法 | |
JP6264626B2 (ja) | 証明書発行システム、通信方法及び管理装置 | |
JP2015039141A (ja) | 証明書発行要求生成プログラム、証明書発行要求生成装置、証明書発行要求生成システム、証明書発行要求生成方法、証明書発行装置および認証方法 | |
JP2006191403A (ja) | セキュリティ情報の交換方法およびレコーダ装置ならびにテレビ受像機 | |
JP7001524B2 (ja) | 電気錠 | |
WO2006018889A1 (ja) | 端末装置 | |
JP2003244123A (ja) | 共通鍵管理システム、共通鍵管理サーバ、共通鍵管理方法、及び共通鍵管理プログラム | |
JP2004145520A (ja) | 電子ファイル提供システム、情報処理装置および方法、記録媒体、並びにプログラム | |
JP2009140447A (ja) | ネットワークシステム、端末、ネットワーク方法及びプログラム | |
JP2008022145A (ja) | ユーザ認証サーバ、ユーザ管理サーバ、ユーザ端末、ユーザ認証プログラム、ユーザ管理プログラム及びユーザ端末プログラム | |
JP4350685B2 (ja) | 携帯端末装置および属性情報交換システム | |
JP2015192377A (ja) | 鍵送信方法、鍵送信システム、及び鍵送信プログラム | |
JP2005318269A (ja) | 電子証明書管理システム、電子証明書管理方法、及び、サーバ | |
JP2012033145A (ja) | サーバ装置並びにコンピュータシステムとそのログイン方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110719 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110803 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140812 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |