JP4918718B2 - タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム - Google Patents
タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム Download PDFInfo
- Publication number
- JP4918718B2 JP4918718B2 JP2006133277A JP2006133277A JP4918718B2 JP 4918718 B2 JP4918718 B2 JP 4918718B2 JP 2006133277 A JP2006133277 A JP 2006133277A JP 2006133277 A JP2006133277 A JP 2006133277A JP 4918718 B2 JP4918718 B2 JP 4918718B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- accuracy
- time stamp
- certificate
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 24
- 238000012795 verification Methods 0.000 claims description 41
- 238000005259 measurement Methods 0.000 claims description 40
- 238000012790 confirmation Methods 0.000 claims description 24
- 238000012937 correction Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 description 50
- 230000006870 function Effects 0.000 description 30
- 230000001360 synchronised effect Effects 0.000 description 16
- 238000012986 modification Methods 0.000 description 12
- 230000004048 modification Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 230000010365 information processing Effects 0.000 description 11
- 238000013480 data collection Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 238000003915 air pollution Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Description
また、このようにして作成された電子文書に付与される法的な地位を整備するため電子文書法が施行されている。
このようにして作成され保存される電子文書では発行日などの時刻証明(日付証明)が重要であり、時刻証明を行うタイムスタンプシステムが利用されている。
タイムスタンプシステム100は、時刻配信局に設置された時刻配信サーバ101、時刻認証局に設置されたタイムスタンプサーバ102、及びクライアント端末103、103、・・・などから構成されている。
タイムスタンプサーバ102はタイムスタンプを発行するサーバであり、クライアント端末103は、タイムスタンプの発行を受ける端末装置である。タイムスタンプ発行の手順は次の通りである。
次に、タイムスタンプサーバ102は、クライアント端末103からハッシュ値を受信し、内蔵する内部クロックが出力する時刻と受信したハッシュ値に対して電子署名を生成する。そして、タイムスタンプサーバ102は、これをタイムスタンプとしてクライアント端末103に送信する。
タイムスタンプの利用者は、電子文書にこのタイムスタンプを付与して第三者に提供することにより、電子文書の非改竄性の証明と時刻証明を行うことができる。
時刻配信サーバ101は、例えば、基準時刻を計測するための原子時計を備えており、この原子時計が出力する基準時刻をタイムスタンプサーバ102に配信する。
タイムスタンプサーバ102は、時刻配信サーバ101から基準時刻を受信し、これを用いて内部クロックを更正する。
この構成により、マスタクロックシステム(時刻配信サーバ101)は、ローカルクロックシステム(タイムスタンプサーバ102)に基準時刻を配信し、更に、ローカルクロックシステムで時刻が改竄されないか監査を行う。
また、システムの安全性を確保するために、タイムスタンプサーバ102に耐タンパチップ(安全性が確保されたICチップ)を実装していたが、耐タンパチップに、例えば、高い時刻精度を維持するなどの高度な機能を実装することは困難であり、コストが高くなっていた。
(2)請求項2に記載の発明では、前記タイムスタンプ生成手段は、検証に用いる基準時刻が、前回の検証で用いた基準時刻よりも後の時刻であることが確認できた場合に、タイムスタンプを生成することを特徴とする請求項1に記載のタイムスタンプ発行装置を提供する。
(3)請求項3に記載の発明では、前記受信した時刻証明書に含まれる基準時刻を用いて、前記時計装置が計測する前記所定の精度未満の時刻を更正する時刻更正手段を具備したことを特徴とする請求項1、又は請求項2に記載のタイムスタンプ発行装置を提供する。
(4)請求項4に記載の発明では、前記検証手段と前記タイムスタンプ生成手段が動作する第1の動作モードと、前記時刻更正手段が動作する第2の動作モードと、を切り替える動作モード切替手段を具備し、前記動作モード切替手段は、それぞれの動作モードにて動作が完了した後に動作モードを切り替えることを特徴とする請求項1から請求項3までのうちの何れか1の請求項に記載のタイムスタンプ発行装置を提供する。
(5)請求項5に記載の発明では、前記タイムスタンプ生成手段がタイムスタンプを生成する前に、課金が行われたか否かを確認する課金確認手段を具備し、前記タイムスタンプ生成手段は、前記課金確認手段にて課金が確認された場合にタイムスタンプを生成することを特徴とする請求項1から請求項4までのうちの何れか1の請求項に記載のタイムスタンプ発行装置を提供する。
(6)請求項6に記載の発明では、時計装置と、受信手段と、署名確認手段と、精度変更手段と、検証手段と、証明対象情報取得手段と、タイムスタンプ生成手段と、タイムスタンプ出力手段と、を備えたタイムスタンプ発行装置において、前記時計装置で、時刻を計測する計測ステップと、前記受信手段で、基準時刻と当該基準時刻の電子署名を含む時刻証明書を、デジタル放送を介して受信する受信ステップと、前記署名確認手段で、前記受信した時刻証明書の電子署名を確認する署名確認ステップと、前記精度変更手段で、所定の精度として、第1の精度又は前記第1の精度よりも精度が低い第2の精度を設定する精度変更ステップと、前記時計装置の時刻と前記時刻証明書に含まれる基準時刻を比較することにより、前記検証手段で、前記時計装置が所定の精度で動作していることを検証する検証ステップと、前記証明対象情報取得手段で、時刻証明対象となる証明対象情報を取得する証明対象情報取得ステップと、前記署名確認手段で前記電子署名が確認され、前記検証手段で前記時計装置が所定の精度で動作していることが検証された場合に、前記タイムスタンプ生成手段で、前記時計装置が出力する時刻と、前記取得した証明対象情報と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成ステップと、前記タイムスタンプ出力手段で、前記生成したタイムスタンプを出力するタイムスタンプ出力ステップと、から構成され、前記精度変更ステップは、前記時計装置が前記第1の精度で動作していることが前記検証ステップで検証できなかった場合に前記所定の精度を第2の精度に設定し、前記検証手段が前記検証ステップで前記設定した第2の精度を用いて前記時計装置の精度を検証した場合に、前記所定の精度を第1の精度に設定する、ことを特徴とするタイムスタンプ発行方法を提供する。
(7)請求項7に記載の発明では、時計装置で時刻を計測する計測機能と、基準時刻と当該基準時刻の電子署名を含む時刻証明書を、デジタル放送を介して受信する受信機能と、前記受信した時刻証明書の電子署名を確認する署名確認機能と、所定の精度として、第1の精度又は前記第1の精度よりも精度が低い第2の精度を設定する精度変更機能と、前記時計装置の時刻と前記時刻証明書に含まれる基準時刻を比較することにより、前記時計装置が所定の精度で動作していることを検証する検証機能と、時刻証明対象となる証明対象情報を取得する証明対象情報取得機能と、前記署名確認機能により前記電子署名が確認され、前記検証機能により前記時計装置が所定の精度で動作していることが検証された場合に、前記時計装置が出力する時刻と、前記取得した証明対象情報と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成機能と、前記生成したタイムスタンプを出力するタイムスタンプ出力機能と、をコンピュータで実現するためのタイムスタンプ発行プログラムであって、前記精度変更機能は、前記時計装置が前記第1の精度で動作していることが前記検証機能で検証できなかった場合に前記所定の精度を第2の精度に設定し、前記検証機能で前記設定した第2の精度を用いて前記時計装置の精度を検証した場合に、前記所定の精度を第1の精度に設定する、ことを特徴とするタイムスタンプ発行プログラムを提供する。
デジタル放送によって時刻証明書を定期的に配信する。受信機は高度なセキュリティを有する耐タンパモジュールを有し、これにより、秘密鍵管理、時刻計測が行われる。この耐タンパモジュールは3つの動作モードの切替が可能で、バックデイトを許さない構造をとる。本実施の形態では、時刻配信をデジタル放送により行うため、高精度な時刻配信を低コストで行うことができる。
また、監査の際に新しく受信した時刻証明書3の時刻が前回に受信した時刻証明書3よりも進んでいることを確認する
そして、タイムスタンプサーバ4は、更正・監査された内部クロック17の時刻により、クライアント端末5から送信されてきた情報(ハッシュ値など)に対してタイムスタンプを発行する。
図1は、本実施の形態に係るタイムスタンプシステム1のシステム構成の一例を示した図である。
タイムスタンプシステム1は、デジタル放送局2、タイムスタンプサーバ4、クライアント端末5、5、・・・などから構成されており、タイムスタンプサーバ4とクライアント端末5、5、・・・は、インターネットなどのネットワーク6で接続可能に配設されている。
なお、以下では、クライアント端末5、5、・・・を特に区別しないため、単にクライアント端末5と記す。
更に、時報装置7はデジタル放送局2が運営してもよいし、あるいは、タイムスタンプサービスの事業者が運用し、デジタル放送局2に時報コンテンツの送信を依頼する事業形態としてもよい。
時刻証明書3は、テキストデータなどの簡便なデータ形式で構成することができるため、デジタル放送局2は、極めて低い負荷にて時刻証明書3を送信することができる。
基準時刻は、原子時計22が出力した現在時刻を遅延時間を考慮して補正した時刻であり、タイムスタンプサーバ4は基準時刻を現在時刻として用いることができる。
制限時間は、時刻証明書3に記録してある基準時刻の有効期限である。タイムスタンプサーバ4は、基準時刻で内部クロック17を監査した後、この有効期限内でタイムスタンプを発行することができる。このタイムスタンプを発行できる時間は活性化時間と呼ばれることもある。
固有情報は、例えば、タイムスタンプサーバ4の型番など、時刻証明書3の送信先に関する情報である。
図示しないが、時刻証明書3の有効期限や、時報装置7のID情報など、その他の情報を時刻証明書3に含めることができる。
ハッシュ関数は一方向性関数の一種であり、ハッシュ値から元の情報の復元は著しく困難となっている。
電子署名は、ハッシュ値を配信用電子署名鍵23で暗号化したデジタル署名である。
配信用電子署名鍵23は秘密鍵であり、タイムスタンプサーバ4が記憶している配信用公開鍵15がこれに対応する公開鍵となっている。
ここで、タイムスタンプとは、電子文書の確定時刻を証明する情報であり、その文書がいつから存在しているのか、及びその時点から第三者のみならず作成者本人にも改竄されていないことを証明するものである。
耐タンパ部10は、配信用公開鍵15、タイムスタンプ用電子署名鍵16、内部クロック17、前回証明書18、モード切替部13など、タイムスタンプ発行に必要な機能や情報を備えている。
耐タンパ部10は、時刻証明書3を用いて内部クロック17を監査する監査モード、外部クロック12の時刻で内部クロック17を更正する同期モード、クライアント端末5にタイムスタンプを発行するスタンプモードを備えており、モード切替部13で動作モードを切り替える。
タイムスタンプ用電子署名鍵16は、秘密鍵であって、クライアント端末5から送信されてきたハッシュ値を現在時刻と共に電子署名してタイムスタンプを発行するのに用いられる。
内部クロック17は、タイムスタンプで証明する時刻を計測するための時計装置である。
これによって、例えば、どこかに保存しておいた時刻証明書3によって内部クロック17をバックデイトすることを防ぐことができる。
工場出荷時には、デフォルトの前回証明書18が記憶されている。
外部クロック12の時刻は、内部クロック17を更正するのに用いられる。即ち、タイムスタンプサーバ4は、基準時刻によりまず外部クロック12を更正し、そして外部クロック12を用いて内部クロック17を構成する。
内部クロック17は、耐タンパ部10の内部に形成されるという制約があるため、高精度の時計装置で構成することが困難である。そのため、精度を保つために外部クロック12を参照して内部クロック17の精度部分を更正するように構成した。
タイムスタンプサーバ4は、耐タンパ部10、CPU(Central Processing Unit)29、ROM(Read Only Memory)27、RAM(Random Access Memory)30、外部クロック12、通信部26、記憶部33、放送受信部34などがバスラインによって接続して構成されており、タイムスタンプ発行装置として機能する。
耐タンパチップは、内部構造の解析や不正操作が著しく困難になるように構成されたICチップであり、しかも、内部構造を解析しようとすると自動的に壊れるようになっている。
本実施の形態では、耐タンパ部10の動作モードの切り替え、時刻証明書3の正統性の確認、内部クロック17の監査、内部クロック17の更正、タイムスタンプの発行などの各種情報処理を行う。
ROM28は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部10を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
本実施の形態では、一例として、配信用公開鍵15、タイムスタンプ用電子署名鍵16、前回証明書18、タイムスタンププログラムなどが記憶されている。
タイムスタンププログラムは、CPU21に、耐タンパ部10の動作モードの切り替え、時刻証明書3の正統性の確認、内部クロック17の監査・更正、タイムスタンプの発行などの機能を発揮させるためのプログラムである。
CPU29は、例えば、デジタル放送局2から受信した時刻証明書3を耐タンパ部10へ出力したり、クライアント端末5からハッシュ値を受信して耐タンパ部10に出力したり、耐タンパ部10から出力されたタイムスタンプをクライアント端末5に送信したりする。
なお、内部クロック17の更正には、電波時計用の基準電波や、GPS衛生から送信されるGPS信号に含まれる時刻、その他の時刻源を用いることも可能である。
RAM30は、読み書き可能な記憶装置であって、CPU29が各種の情報処理を行う際のワーキングエリアを提供する。
記憶部33に記憶してあるプログラムを実行することにより、デジタル放送局2からの時刻証明書3の受信、クライアント端末5との送受信などの機能をCPU29に発揮させることができる。
放送受信部34は、デジタル放送の受信機能を有し、デジタル放送局2から送信された時刻証明書3を受信して、これをCPU29に提供する。放送受信部34は、時刻証明書3を受信する受信手段として機能している。
原子時計は、基準時刻を計測するための基準時計装置として機能している。なお、基準時刻は、原子時計の計測値を遅延時間で補正して求められる。
CPUは、記憶装置などに記憶されているプログラムを実行することにより、基準時刻を配信用電子署名鍵23で電子署名する機能(署名手段)、時刻証明書3を生成する機能(時刻証明書生成手段)、時刻証明書3を入出力インターフェースを経由してデジタル放送局2のデジタル放送システムに送信して提供する機能(時刻証明書提供手段)を発揮する。このように、時報装置7は、基準時刻提供装置としての機能を有している。
クライアント端末5の構成もタイムスタンプサーバ4や時報装置7と基本的に同様である。
図3は、内部クロック17が計測する時刻の一例を示している。この例では、内部クロック17は百ミリ秒単位で時刻を計測し、「2005年3月30日15時30分20秒2百ミリ秒」となっている。
耐タンパ部10は、内部クロック17の計測する時刻を、時刻ラベルと、時刻ラベルよりも単位が小さい精度部分の2つの部分に区分して管理している。
そこで、耐タンパ部10は、必要とされる時刻精度を時刻ラベルとし、それよりも小さい単位を精度部分とし、外部クロック12による更正を精度部分に対して行うことにより時刻ラベルの改竄を防止している。
このように、内部クロック17の時刻をセキュリティを提供する部分(時刻ラベル)と品質を提供する部分(精度部分)に区分することにより、セキュリティと品質の両方をユーザに提供することができる。
この場合、耐タンパ部10は、内部クロック17の秒以下の単位を外部クロック12に同期させることにより内部クロック17を更正する。
また、時刻監査は、内部クロック17の分以上の部分を時刻証明書3の基準時刻と対比することにより行う。
なお、時刻ラベルと精度部分は隣接している必要はなく、時刻ラベルを分以上、精度部分をミリ秒以下などとすることも可能である。
図4に示したように、モード切替部13は、耐タンパ部10の動作モードを監査モード→スタンプモード→同期モード→監査モード→・・・の順序で順次切り替える。
監査モードとスタンプモードは、時刻ラベルを扱うため、高いセキュリティを要する動作モードであり(以下、セキュリティモード)、一方、同期モードは精度部分を扱うため、高いセキュリティが必ずしも必要ない動作モード(以下、一般モード)である。
そのため、スタンプモードで動作するためには、監査モードと同期モードが完了していることが必要となり、耐タンパ部10は、監査、同期された時刻にてタイムスタンプを発行することができる。
しかも、各動作モードは独立したモジュールによって動作するため、耐タンパ部10は、セキュリティモードでの処理と一般モードでの処理が耐タンパ部10内で干渉することを防ぐことができ、クラッキングなどの不正アクセスに対して高い耐性を備えている。
ただし、前者(同期モード→監査モード→スタンプモード→同期モード→・・・)の方が、監査後にタイムスタンプの発行を行うため、タイムスタンプサーバ4の信頼性は高まる。
この場合、モード切替部13は、監査モードからスタンプモードに動作モードを切り替える前に課金モジュールによって課金がなされたか否かを確認し、課金が確認できた場合に動作モードを監査モードからスタンプモードに切り替え、課金が確認できなかった場合は、動作モードを監査モードから同期モードに切り替える。
なお、課金の方法、及び確認方法は、公知のシステムや方法を用いて構成することができる。
時報装置7が時刻証明書3を出力してからタイムスタンプサーバ4がこれを受信するまでには、様々な原因(例えば、時刻証明書3を作成するのに要する時間や回路による遅延など)により遅延時間Δtが生じる。
時報装置7とタイムスタンプサーバ4を有線で接続した場合は、ネットワークの状況やタイムスタンプサーバ4の接続環境などによりΔtが変化する場合があるが、タイムスタンプシステム1では、無線によって時刻証明書3を放送するため、何れのタイムスタンプサーバ4においてもΔtはほぼ一定値となる。
これによって、タイムスタンプサーバ4は、受信した時刻証明書3に記載されている基準時刻を現在時刻として扱うことができる。
なお、本実施の形態では、時報装置7で遅延の補正を行うように構成したが、これに限定せず、タイムスタンプサーバ4の側で遅延の補正を行うように構成することもできる。
この場合、時刻証明書3の基準時刻は、遅延時間を含んだ時刻となっており、タイムスタンプサーバ4は、基準時刻をΔtだけ進めた時刻を現在時刻とする。
まず、モード切替部13は、耐タンパ部10を同期モードにて動作させる(ステップ5)。
耐タンパ部10が同期モードにて内部クロック17の更正を終えると、モード切替部13は、耐タンパ部10を監査モードで動作させる(ステップ10)。
課金が完了している場合(ステップ15;Y)、モード切替部13は、動作モードをスタンプモードに切り替える(ステップ20)。
なお、課金を行わない場合は、ステップ15を省略する。
強制終了を行うか否かの判断は、例えば、ステップ5〜ステップ20のループを予め設定された所定回数繰り返した場合や、外部から強制終了の指示があった場合など、各種設定することができる。
なお、以下のステップ30〜ステップ40は時報装置7が行い、ステップ45はデジタル放送局2のデジタル放送システムが行うものである。
まず、時報装置7は、原子時計22で現在時刻を計測する(ステップ30)。
次に、時報装置7は、ステップ30で計測した現在時刻を遅延時間Δtだけ進めた時刻を計算し、これを基準時刻として電子署名前の時刻証明書3(基準時刻、制限時間、シリアル番号、固有情報などを含む)を生成する(ステップ35)。
そして、時報装置7は、署名前の時刻証明書3にハッシュ値と、電子署名(ハッシュ値を配信用電子署名鍵23で暗号化した情報)を付与することにより時刻証明書3に電子署名する(ステップ40)。
デジタル放送局2のデジタル放送システムは、時刻証明書3を時報コンテンツとしてタイムスタンプサーバ4に送信する(ステップ45)。
なお、耐タンパ部10は、タイムスタンプサーバ4に含まれるが、情報処理が耐タンパ部10で行われるか否かを明確にするため、図8では、耐タンパ部10を独立した動作主体として示している。
このため、フローチャート中「耐タンパ部」が行う情報処理はCPU21が行い、「タイムスタンプサーバ」が行う情報処理はCPU29が行うものである。以下のフローチャートでも同様である。
タイムスタンプサーバ4は、デジタル放送局2から時刻証明書3を受信し、これを例えばRAM30(図2)に記憶する(ステップ55)。
次に、タイムスタンプサーバ4は、時刻証明書3から基本時刻を読み取り、この基本時刻と同期するように外部クロック12を更正する(ステップ60)。
なお、これは一例であって、タイムスタンプサーバ4が電子署名の確認を行うように構成することも可能である。
また、内部クロック17は、外部クロック12の精度部分しか参照しないため、外部クロック12の更正も精度部分だけ行ってもよい。
まず、耐タンパ部10は、タイムスタンプサーバ4に対して現在時刻を要求する(ステップ70)。
なお、外部クロック12が計測する時刻を耐タンパ部10に出力し、耐タンパ部10が精度部分に該当する部分を抽出するように構成してもよい。
耐タンパ部10は、タイムスタンプサーバ4から現在時刻を取得し、これを用いて内部クロック17が計測している時刻のうちの精度部分を更正する(ステップ80)。
なお、時刻証明書3を耐タンパ部10の内部に取り込んで時刻証明書3の基準時刻で内部クロック17を直接更正するように構成することも可能である。
まず、耐タンパ部10は、タイムスタンプサーバ4に時刻証明書3を要求する(ステップ100)。
タイムスタンプサーバ4は、耐タンパ部10から時刻証明書3の要求を受けると、デジタル放送局2から時刻証明書3が送信されてくるまで待機する。
耐タンパ部10は、時刻証明書3を取得すると、時刻証明書3に記載されている基準時刻のうちのラベル部分に該当する部分の時刻を、内部クロック17が計測している時刻のラベル部分と比較する(ステップ115)。
このように耐タンパ部10は、内部クロック17の時刻と時刻証明書3に含まれる基準時刻を比較することにより、内部クロック17が所定の精度(時刻ラベル)で動作していることを検証する検証手段を備えている。
両者の時刻が一致する場合(ステップ120;Y)、耐タンパ部10は、時刻証明書3の電子署名を確認する(ステップ125)。
まず、耐タンパ部10は、時刻証明書3の電子署名を配信用公開鍵15で復号化してハッシュ値を復元する。
そして、時刻証明書3に記載されている情報(現在時刻、制限時間など)からハッシュ値を生成する。両者が一致することにより耐タンパ部10は時刻証明書3が時報装置7によって作成された正統な情報であると確認する。
このように、耐タンパ部10は、時刻証明書3の電子署名を確認する署名確認手段を備えている。
時刻証明書3の有効性が確認できた場合(ステップ130;Y)、耐タンパ部10は、前回証明書18に記載されている基準時刻と、時刻証明書3に記載されている基準時刻の前後関係を比較する(ステップ135)。
今回受信した時刻証明書3の基準時刻が前回証明書18の基準時刻よりも後である場合(ステップ140;Y)、耐タンパ部10は、前回証明書18を今回受信した時刻証明書3で置き換える(ステップ145)。
前回証明書18を今回受信した時刻証明書3で置き換えた後、モード切替部13は、耐タンパ部10をスタンプモードに移行させ、耐タンパ部10はタイムスタンプの発行を開始する。
また、前回証明書18の代わりに、前回証明書18に含まれていた基準時刻を記憶しておきこれを今回受信した時刻証明書3の基準時刻と比較するように更正することもできる。
この例では、耐タンパ部10は、内部クロック17を第2精度で監査した後、第2精度での監査に成功した場合に第1精度で監査する。
ただし、第1精度は第2精度よりも精度が高くなっており、例えば、第2精度は分単位、第1精度は秒単位とすることができる。
このように低い精度から高い精度にかけて段階的に監査する方法は、例えば、タイムスタンプサーバ4を工場出荷後に初めて監査する場合や、高い精度で監査を行う場合などに有効である。
前回に第1精度での監査を行っていない場合(ステップ150;N)、耐タンパ部10は、第2精度で監査を実行する(ステップ155)。
これは、耐タンパ部10が、デジタル放送局2から時刻証明書3を取得し、これを用いて、内部クロック17が第2精度で一致するか確認することにより行う。
より詳細には、耐タンパ部10は、内部クロック17の時刻が時刻証明書3に記載されている時刻から所定時間以内(例えば、±(第2精度で計測できる最小時間の半分)以内)であることを確認する。
このようにして、偶発的なエラーなどにより監査が不成功となった場合、耐タンパ部10は、再度監査を試みることができる。
より詳細には、耐タンパ部10は、内部クロック17の時刻が時刻証明書3に記載されている時刻から所定時間内(例えば、±(第1精度で計測できる最小時間の半分)以内)であることを確認する。
このようにして、偶発的なエラーなどにより第1精度での監査が不成功となった場合、耐タンパ部10は、第2精度での監査を再度試みることができる。
一方、内部クロック17の時刻が時刻証明書3の時刻と第1精度で一致して監査が成功した場合(ステップ170;Y)、耐タンパ部10は、監査モードを終了する。
そして、精度変更手段は、第2の精度で内部クロック17の監査が成功した場合に所定の精度を第1の精度に設定する。
まず、クライアント端末5では、タイムスタンプ発行対象となる電子文書のハッシュ値を生成し、これをタイムスタンプサーバ4に送信する(ステップ200)。
タイムスタンプサーバ4は、クライアント端末5からハッシュ値を受信し、これを耐タンパ部10に出力する(ステップ210)。
このように、タイムスタンプサーバ4は、時刻証明対象となる証明対象情報(ハッシュ値)を取得する証明対象情報取得手段を備えている。
次に、耐タンパ部10は、ハッシュ値、現在時刻、及びその他の情報(例えば、タイムスタンプサーバ4の識別情報、タイムスタンプ発行日時など)を含むデータを生成し、これのハッシュ値を計算する。
そして、耐タンパ部10は、算出したハッシュ値をタイムスタンプ用電子署名鍵16で暗号化することにより電子署名する(ステップ220)。
この電子署名は、内部クロック17の監査成功後に行われるため、耐タンパ部10は、時刻証明書3の前記電子署名が確認され、内部クロック17が所定の精度で動作していることが検証された場合に、内部クロック17が出力する時刻と、ハッシュ値と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成手段を備えている。
更に、課金を行う場合は課金が確認できた後にスタンプモードとなるため、耐タンパ部10は、課金が確認された場合にタイムスタンプを生成している。
このように、耐タンパ部10は、前記生成したタイムスタンプを出力するタイムスタンプ出力手段を備えている。
クライアント端末5は、タイムスタンプサーバ4からタイムスタンプを受信する(ステップ235)。
そして、第三者は、次のようにしてタイムスタンプ利用者から取得した電子文書の非改竄性を確認することができる。
第三者は、タイムスタンプ用電子署名鍵16に対応するタイムスタンプ用公開鍵を用意しておき、電子文書に付与されているタイムスタンプの電子署名を確認することによりタイムスタンプの正統性を確認する。
即ち、第三者は、電子文書のハッシュ値を生成し、これをタイムスタンプに含まれているハッシュ値と比較する。
両者が一致した場合、電子文書の非改竄と、タイムスタンプサーバ4が付与した時刻情報を確認することができる。
(1)数ミリ秒以上の高精度な時刻同期精度を確保した時刻配信が可能となる。
(2)シンプルなアルゴリズムの実装による耐タンパ部10のICチップ化が容易なことから低コスト化が実現可能となる。
(3)時刻証明と時刻同期を分離した通信プロトコルにより、高精度な時刻配信とデジタル放送を活用したサービスの実現が可能となる。
(4)デジタル放送を活用することで、大規模な時刻同期システムの構築が可能となる。
本変形例は、計測装置にタイムスタンプサーバ4と同様のタイムスタンプ機能を備えておき、計測値が計測された際にその場で計測データにタイムスタンプを発行するものである。
図13は、変形例に係るタイムスタンプシステム1aのネットワーク構成を説明するためのブロック図である。
タイムスタンプシステム1aは、デジタル放送局2、計測装置4a、及びデータ収集サーバ8を備えている。
デジタル放送局2の構成は先に説明した実施の形態と同様である。
計測部14は、例えば、所定時間ごとに物理量を計測しており、計測を行うと計測データを耐タンパ部10に出力する。
計測装置4aは、耐タンパ部10からタイムスタンプが付与された計測データを取得し、これをネットワーク6を介してデータ収集サーバ8に送信する。
データ収集サーバ8は、計測装置4aからタイムスタンプ付き計測データを収集してこれを蓄積する。
具体的な計測装置4aの使用形態としては、例えば、電気メータ、水道メータ、ガスメータなどの商用の計測装置に用いることができるほか、気象観測装置、地震計、大気汚染計測装置、ビニールハウス内の温度計、原子力発電所の放射線計測計など、各種の特殊計測装置に用いることができる。
(1)計測値が計測されたその場で計測データにタイムスタンプを発行することができる。このため、計測データの改竄を防止することができる。
(2)デジタル放送される時刻証明書3を受信して内部クロック17の同期・監査を行うため、監査サーバなど、高価な設備を用いずに高精度なタイムスタンプを発行することができる。
(3)水道メータなどの検針作業を自動化することができる。
本変形例は、計測装置に親子関係を設定し、子機で計測した計測データに対して親機がタイムスタンプを発行するものである。
図14は、第2の変形例に係るタイムスタンプシステム1bのネットワーク構成を説明するためのブロック図である。
タイムスタンプシステム1bは、計測装置4bと、ネットワーク6を介して計測装置4bと接続可能に配設されたデータ収集サーバ8、及び計測装置4bと無線通信可能な子機50、50、・・・を備えている。
各子機50は、それぞれ子機IDを有しており、計測装置4bは、子機IDによって子機50を識別すると共に、当該子機50の子機公開鍵を子機公開鍵データベース19から取得することができる。
計測装置4bは、子機50から計測データを受信すると、当該子機50の子機公開鍵を子機公開鍵データベース19から取得し、これを用いて計測データの正統性を確認する。
そして、計測装置4bは、計測データに図示しない内部クロック17の現在時刻などを付与して、これをタイムスタンプ用電子署名鍵16で電子署名し、タイムスタンプを発行する。
計測装置4bは、電子署名を付与した計測データをデータ収集サーバ8に送信し、データ収集サーバ8は、これを受信して蓄積する。
(1)子機50は、タイムスタンプ発行機能を必要としないので、安価に多数の計測器を配置することができる。
例えば、ビニールハウス内の各場所の温度をモニターするような場合、計測装置4bを1台設置し、その他の場所に子機50を設置することにより、ビニールハウス内の各場所の温度データにタイムスタンプを発行することができる。
(2)例えば、デジタル放送の受信が困難な場所で計測データを収集する場合、デジタル放送が受信可能な場所に計測装置4bを設置し、デジタル放送の受信が困難な場所に子機50を設置することにより、計測データにタイムスタンプを発行することができる。
このような場合としては、例えば、トンネル外に計測装置4bを設置し、トンネル内に子機50を設置する場合がある。
2 デジタル放送局
3 時刻証明書
4 タイムスタンプサーバ
5 クライアント端末
6 ネットワーク
7 時報装置
8 データ収集サーバ
10 耐タンパ部
12 外部クロック
13 モード切替部
15 配信用公開鍵
16 タイムスタンプ用電子署名鍵
17 内部クロック
18 前回証明書
22 原子時計
23 配信用電子署名鍵
Claims (7)
- 時刻を計測する時計装置と、
基準時刻と当該基準時刻の電子署名を含む時刻証明書を、デジタル放送を介して受信する受信手段と、
前記受信した時刻証明書の電子署名を確認する署名確認手段と、
所定の精度として、第1の精度又は前記第1の精度よりも精度が低い第2の精度を設定する精度変更手段と、
前記時計装置の時刻と前記時刻証明書に含まれる基準時刻を比較することにより、前記時計装置が前記設定された所定の精度で動作していることを検証する検証手段と、
時刻証明対象となる証明対象情報を取得する証明対象情報取得手段と、
前記署名確認手段で前記電子署名が確認され、前記検証手段で前記時計装置が所定の精度で動作していることが検証された場合に、前記時計装置が出力する時刻と、前記取得した証明対象情報と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成手段と、
前記生成したタイムスタンプを出力するタイムスタンプ出力手段と、を具備し、
前記精度変更手段は、前記時計装置が前記第1の精度で動作していることが前記検証手段で検証できなかった場合に前記所定の精度を第2の精度に設定し、前記検証手段が前記設定した第2の精度を用いて前記時計装置の精度を検証した場合に、前記所定の精度を第1の精度に設定する、
ことを特徴とするタイムスタンプ発行装置。 - 前記タイムスタンプ生成手段は、検証に用いる基準時刻が、前回の検証で用いた基準時刻よりも後の時刻であることが確認できた場合に、タイムスタンプを生成することを特徴とする請求項1に記載のタイムスタンプ発行装置。
- 前記受信した時刻証明書に含まれる基準時刻を用いて、前記時計装置が計測する前記所定の精度未満の時刻を更正する時刻更正手段を具備したことを特徴とする請求項1、又は請求項2に記載のタイムスタンプ発行装置。
- 前記検証手段と前記タイムスタンプ生成手段が動作する第1の動作モードと、前記時刻更正手段が動作する第2の動作モードと、を切り替える動作モード切替手段を具備し、
前記動作モード切替手段は、それぞれの動作モードにて動作が完了した後に動作モードを切り替えることを特徴とする請求項1から請求項3までのうちの何れか1の請求項に記載のタイムスタンプ発行装置。 - 前記タイムスタンプ生成手段がタイムスタンプを生成する前に、課金が行われたか否かを確認する課金確認手段を具備し、
前記タイムスタンプ生成手段は、前記課金確認手段にて課金が確認された場合にタイムスタンプを生成することを特徴とする請求項1から請求項4までのうちの何れか1の請求項に記載のタイムスタンプ発行装置。 - 時計装置と、受信手段と、署名確認手段と、精度変更手段と、検証手段と、証明対象情報取得手段と、タイムスタンプ生成手段と、タイムスタンプ出力手段と、を備えたタイムスタンプ発行装置において、
前記時計装置で、時刻を計測する計測ステップと、
前記受信手段で、基準時刻と当該基準時刻の電子署名を含む時刻証明書を、デジタル放送を介して受信する受信ステップと、
前記署名確認手段で、前記受信した時刻証明書の電子署名を確認する署名確認ステップと、
前記精度変更手段で、所定の精度として、第1の精度又は前記第1の精度よりも精度が低い第2の精度を設定する精度変更ステップと、
前記時計装置の時刻と前記時刻証明書に含まれる基準時刻を比較することにより、前記検証手段で、前記時計装置が所定の精度で動作していることを検証する検証ステップと、
前記証明対象情報取得手段で、時刻証明対象となる証明対象情報を取得する証明対象情報取得ステップと、
前記署名確認手段で前記電子署名が確認され、前記検証手段で前記時計装置が所定の精度で動作していることが検証された場合に、前記タイムスタンプ生成手段で、前記時計装置が出力する時刻と、前記取得した証明対象情報と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成ステップと、
前記タイムスタンプ出力手段で、前記生成したタイムスタンプを出力するタイムスタンプ出力ステップと、から構成され、
前記精度変更ステップは、前記時計装置が前記第1の精度で動作していることが前記検証ステップで検証できなかった場合に前記所定の精度を第2の精度に設定し、前記検証手段が前記検証ステップで前記設定した第2の精度を用いて前記時計装置の精度を検証した場合に、前記所定の精度を第1の精度に設定する、
ことを特徴とするタイムスタンプ発行方法。 - 時計装置で時刻を計測する計測機能と、
基準時刻と当該基準時刻の電子署名を含む時刻証明書を、デジタル放送を介して受信する受信機能と、
前記受信した時刻証明書の電子署名を確認する署名確認機能と、
所定の精度として、第1の精度又は前記第1の精度よりも精度が低い第2の精度を設定する精度変更機能と、
前記時計装置の時刻と前記時刻証明書に含まれる基準時刻を比較することにより、前記時計装置が所定の精度で動作していることを検証する検証機能と、
時刻証明対象となる証明対象情報を取得する証明対象情報取得機能と、
前記署名確認機能により前記電子署名が確認され、前記検証機能により前記時計装置が所定の精度で動作していることが検証された場合に、前記時計装置が出力する時刻と、前記取得した証明対象情報と、を電子署名することによりタイムスタンプを生成するタイムスタンプ生成機能と、
前記生成したタイムスタンプを出力するタイムスタンプ出力機能と、をコンピュータで実現するためのタイムスタンプ発行プログラムであって、
前記精度変更機能は、前記時計装置が前記第1の精度で動作していることが前記検証機能で検証できなかった場合に前記所定の精度を第2の精度に設定し、前記検証機能で前記設定した第2の精度を用いて前記時計装置の精度を検証した場合に、前記所定の精度を第1の精度に設定する、
ことを特徴とするタイムスタンプ発行プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006133277A JP4918718B2 (ja) | 2006-05-12 | 2006-05-12 | タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006133277A JP4918718B2 (ja) | 2006-05-12 | 2006-05-12 | タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007306352A JP2007306352A (ja) | 2007-11-22 |
JP4918718B2 true JP4918718B2 (ja) | 2012-04-18 |
Family
ID=38839908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006133277A Active JP4918718B2 (ja) | 2006-05-12 | 2006-05-12 | タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4918718B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7568106B2 (en) * | 2005-12-16 | 2009-07-28 | International Business Machines Corporation | Cooperative non-repudiated message exchange in a network environment |
JP4641327B1 (ja) | 2010-03-25 | 2011-03-02 | 慧通信技術工業 株式会社 | 計測データ管理方法、計測データ管理システム、計測データ管理装置及び端末装置 |
JP2020017805A (ja) * | 2018-07-23 | 2020-01-30 | Kddi株式会社 | 車両情報送信装置、車両情報受信装置、車両情報通信方法及びコンピュータプログラム |
JP2020036270A (ja) * | 2018-08-31 | 2020-03-05 | 株式会社アメニディ | 通信システム |
CN111711949B (zh) * | 2020-06-08 | 2023-04-18 | 烟台东方威思顿电气有限公司 | 一种基于时间的4g通信加密方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000065966A (ja) * | 1998-08-21 | 2000-03-03 | Nippon Telegr & Teleph Corp <Ntt> | 時刻同期方法及び情報処理装置及び時刻同期プログラムを記録した記録媒体 |
DE10210711A1 (de) * | 2002-03-12 | 2003-11-13 | Deutsche Telekom Ag | Verfahren zur Zeitsynchronisation von zumindest zwei miteinander über ein Telekommunikationsnetz, wie Internet, Intranet oder dergleichen, zusammenwirkenden Messrechnern |
JP2004126967A (ja) * | 2002-10-03 | 2004-04-22 | Amano Corp | タイムスタンプ装置およびそのプログラム媒体 |
US7568106B2 (en) * | 2005-12-16 | 2009-07-28 | International Business Machines Corporation | Cooperative non-repudiated message exchange in a network environment |
-
2006
- 2006-05-12 JP JP2006133277A patent/JP4918718B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007306352A (ja) | 2007-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9628281B2 (en) | Server generating basic signature data using signing target data, electronic signature value and timestamp | |
US7979731B2 (en) | Time authentication device, time authentication method, computer program, recording medium, integrated circuit, and time authentication system | |
JP4641327B1 (ja) | 計測データ管理方法、計測データ管理システム、計測データ管理装置及び端末装置 | |
CN103370901B (zh) | 长期签名用终端、长期签名用服务器、长期签名用终端程序及长期签名用服务器程序 | |
JP4877738B2 (ja) | 記録装置、及び記録方法 | |
JP4725978B2 (ja) | 時刻証明サーバ、時刻証明方法、及び時刻証明プログラム | |
JP4918718B2 (ja) | タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム | |
US10116454B2 (en) | Authentication system and authentication method | |
JP4812002B2 (ja) | 記録装置、記録収集サーバ、記録方法、及び記録収集方法 | |
DK2608981T3 (en) | Securing and synchronizing system time in a charging station | |
WO2007094035A1 (ja) | 検証サーバ機器 | |
JP4918717B2 (ja) | 計測装置 | |
JP5039931B2 (ja) | 情報処理装置 | |
JP4868322B2 (ja) | 情報処理システム、及び情報処理方法 | |
JP5135511B2 (ja) | 時刻情報処理装置、及び時刻情報処理方法 | |
JP4303733B2 (ja) | 記録装置、及び記録方法 | |
CN103765812A (zh) | 数据认证系统、服务器装置、客户端装置、公开服务器和数据认证方法 | |
JP2007215104A (ja) | 端末機器 | |
JP5467591B2 (ja) | 電子署名用サーバ | |
KR101355080B1 (ko) | 컨텐츠 프로바이더를 위한 디지털 원본 컨텐츠 배포 시스템 및 방법 | |
JP2006190273A (ja) | 時刻監査システム及び時刻監査方法 | |
KR101356210B1 (ko) | 디지털 원본 컨텐츠 등록 시스템 및 방법 | |
KR101355081B1 (ko) | 일반 사용자를 위한 디지털 원본 컨텐츠 배포 시스템 및 방법 | |
CN115766236A (zh) | 可信时间网络校准系统及可信时间数字服务 | |
AU2021440526A1 (en) | Method, meter, and system for data audit trail |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090113 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110812 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110928 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120113 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120116 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120116 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4918718 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |