JP5899351B2 - Certificate authority apparatus, certificate update apparatus, and certificate management method - Google Patents
Certificate authority apparatus, certificate update apparatus, and certificate management method Download PDFInfo
- Publication number
- JP5899351B2 JP5899351B2 JP2015085533A JP2015085533A JP5899351B2 JP 5899351 B2 JP5899351 B2 JP 5899351B2 JP 2015085533 A JP2015085533 A JP 2015085533A JP 2015085533 A JP2015085533 A JP 2015085533A JP 5899351 B2 JP5899351 B2 JP 5899351B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- information
- authentication
- unit
- authentication certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にする技術に関する。 The present invention relates to a technique for simplifying management of use registration, user identification information, and authentication information when a user receives an online service.
従来から、インターネットを介して、Webメールやオンラインバンキング、オンラインショッピングなどの、様々なサービスが提供されている。このようなオンラインサービスでは、利用者に対して、利用登録を求める場合がある。利用登録において、サービス提供者は、利用者の氏名・住所などのサービスを提供する上で必要な情報の取得や、利用者を識別するためのIDの発行や、利用者の本人確認(認証)を実施する際の認証情報の登録を、実施する。認証情報には、パスワード、公開鍵証明書や生体情報などが存在するが
、サービス提供者のセキュリティポリシーに応じて、どの認証情報を、本人確認に利用するか、決定する。
Conventionally, various services such as Web mail, online banking, and online shopping are provided via the Internet. In such an online service, a user may be requested to register for use. In use registration, the service provider obtains information necessary for providing the service such as the user's name and address, issues an ID for identifying the user, and verifies the identity of the user (authentication). Registration of authentication information when implementing The authentication information includes a password, a public key certificate, biometric information, and the like. Depending on the security policy of the service provider, which authentication information is used for identity verification is determined.
利用登録を実施した利用者がサービスを利用する際には、サービス提供者は、利用者にIDと認証情報を要求し、利用者の識別と利用者の認証を実施する。利用者の識別と利用者の認証が成功すると、利用者に割り当てたサービスを提供するといった流れになる。 When a user who has performed use registration uses a service, the service provider requests the user for an ID and authentication information, and performs user identification and user authentication. When user identification and user authentication are successful, the service assigned to the user is provided.
特許文献1では、ICカードに格納された、アクセスサイト毎の識別情報や認証情報を利用して、情報提供サービスを提供するサイトへのアクセスを可能とするユーザ識別方法及びシステムが提案されている。特許文献1に記載の技術では、アクセスサイトを利用する前に、利用登録が実施される。利用登録の際に、認証情報として利用される公開鍵証明書が発行され、さらに、アクセスサイト毎の識別情報がICカードに登録される。
また、公的分野のオンラインサービスの一例を示す。日本政府は、国民が、政府機関が保有する自己の情報を、インターネットを介して、確認できるオンラインサービス(マイ
・ポータル)の設立を検討している。マイ・ポータルで国民が自己の情報にアクセスする際には、なりすましの脅威を防ぐために、認証情報として、「認証」を目的とした公開鍵
証明書(認証用証明書)が利用されることになる。一方、既存のサービスである電子申請など、電子文書を伴う手続きでは、電子文書作成者のなりすまし、改ざん、否認の脅威から防ぐために、「電子署名」を目的として公開鍵証明書(署名用証明書)が利用されている
。マイ・ポータルを利用する前の利用申請においても、同様に署名用証明書が利用され、さらに今後のログインで利用する認証用証明書が提供される。
An example of an online service in the public field is also shown. The Japanese government is considering the establishment of an online service (My Portal) that allows citizens to check their own information held by government agencies via the Internet. When citizens access their information on My Portal, a public key certificate (certification certificate) for the purpose of "authentication" is used as authentication information to prevent spoofing threats. Become. On the other hand, in procedures involving electronic documents, such as electronic applications that are existing services, public key certificates (signing certificates) are used for the purpose of “electronic signatures” in order to prevent the threat of spoofing, falsification, and denial of electronic document creators. ) Is used. The signing certificate is also used in the application for use before using My Portal, and an authentication certificate to be used for future logins is provided.
なお、非特許文献1に日本政府の方針が示されている。
Non-patent
特許文献1では、利用者は、情報提供サービスを受ける前に、認証情報として利用する公開鍵証明書の発行を依頼する手続きに加え、本人を特定するための識別情報の発行を依頼する手続きを行っている。
In
また、複数のサイトから情報提供サービスを受ける場合にはサイトごとに、利用登録を行い、それぞれの識別情報の発行を依頼している。そのため、利用者は、情報提供サービスを受ける前に、情報提供サーバから発行された識別情報をICカードへダウンロードする手間が必要となり、また、情報提供サービスを受ける際に、ICカードから、アクセスを試みるサイトに適した識別情報を取得するための複雑な仕組みが必要となる。 In addition, when receiving an information providing service from a plurality of sites, use registration is performed for each site and a request for issuing identification information of each site is made. Therefore, the user needs to download the identification information issued from the information providing server to the IC card before receiving the information providing service. Also, when receiving the information providing service, the user accesses the IC card from the IC card. A complicated mechanism is required to obtain identification information suitable for the site to be tried.
以上のように、利用者が、識別情報と認証情報を利用して、複数のサイトでオンラインサービスを受ける際には、サービスの利用登録、利用者識別情報及び認証情報の管理が、煩雑になるという課題がある。 As described above, when a user receives an online service at a plurality of sites using identification information and authentication information, use registration of the service, management of the user identification information and authentication information becomes complicated. There is a problem.
本発明では、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にする技術を提供することを目的とする。 An object of the present invention is to provide a technique that simplifies the management of use registration, user identification information, and authentication information when a user receives an online service.
本発明の代表的な一例は次の通りである。本発明に係る認証局装置は、電子計算機から、認証用証明書を特定する情報を含む、該認証用証明書の一世代前の認証用証明書を特定する情報の要求を受信し、前記受信した認証用証明書を特定する情報、および、記憶装置に記憶されている世代ごとの認証用証明書を特定する情報に基づき、前記一世代前の認証用証明書を特定する情報を取得し、該取得情報を前記電子計算機に送信する。 A typical example of the present invention is as follows. The certificate authority device according to the present invention receives, from the computer, a request for information specifying an authentication certificate one generation before the authentication certificate, including information specifying the authentication certificate, and receiving the information Based on the information for specifying the authentication certificate and the information for specifying the authentication certificate for each generation stored in the storage device, the information for specifying the authentication certificate for the previous generation is obtained, The acquired information is transmitted to the electronic computer.
本発明によれば、利用者に発行される公開鍵証明書を、利用者の識別と利用者の認証の両方の役割を持つ情報として、また、複数のオンラインサービスに対して共通の情報として利用することで、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にすることができる。 According to the present invention, a public key certificate issued to a user is used as information having both roles of user identification and user authentication, and as common information for a plurality of online services. By doing so, it is possible to simplify the use registration, user identification information, and authentication information management when the user receives the online service.
以下に、実施例1における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 1 will be described in detail with reference to the drawings.
図1は、実施例1に係る利用者識別・認証システムの構成を示す図である。 FIG. 1 is a diagram illustrating the configuration of the user identification / authentication system according to the first embodiment.
本実施形態では、サービスを利用する複数の端末装置111〜端末装置11m(「端末装
置11」と総称する)と、端末装置11にサービスを提供するサービス提供装置121〜サービス提供装置12k(「サービス提供装置12」と総称する)と、利用
者に証明書を発行する認証局装置131〜認証局装置13n(「認証局装置13」と総称す
る)と、端末装置11とサービス提供装置12と認証局装置13を接続するイーサネット(登録商標)等のネットワーク14からなる。
In the present embodiment, a plurality of terminal devices 11 1 to 11 m (collectively referred to as “terminal device 11”) that use services, and a
次に、図1の利用者識別・認証システムを構成する各装置について説明する。 Next, each device constituting the user identification / authentication system of FIG. 1 will be described.
まず、図2を用いて、端末装置11を説明する。 First, the terminal device 11 will be described with reference to FIG.
端末装置11は、処理部20aと記憶部20bと、利用者からの指示の受付を行う入出力部20cと、ネットワーク14を介して他装置と通信を行うための通信部20dと、を有する。
The terminal device 11 includes a processing unit 20a, a storage unit 20b, an input / output unit 20c that receives an instruction from a user, and a
処理部20aは、サービス提供装置12へオンラインサービスの利用申請を実施するサービス申請部21と、サービス申請部21で生成したサービス利用申請書に電子署名を実施する電子署名生成部22と、サービス提供装置12へ利用申請したサービスを要求するサービス要求部23と、サービス要求の際に添付する認証情報を生成する認証情報生成部24と、サービス要求の結果、提供されるサービスを実行するサービス実行部25と、を有する。
The processing unit 20a includes a
記憶部20bは、電子署名生成部22や認証情報生成部24で利用する証明書・鍵を保持する証明書・鍵保持部26と、サービス提供装置12のアドレス等が記載されたサービス提供先情報を保持するサービス提供先情報保持部27と、を有する。なお、証明書・鍵保持部26として、ICカード等の耐タンパ性を持つ格納媒体を利用することもある。また、認証局13から、利用者に対して、サービス利用申請などの電子文書の署名用に利用する署名用証明書と、サービス要求時の認証用に利用する認証用証明書が発行されていることとする。ただし、本実施例において、利用者に発行される証明書の形態を限定しない
。署名用証明書と認証用証明書に分かれていても良いし、1枚の証明書で2つの用途を兼ねても良い。
The storage unit 20b includes service / destination information in which a certificate /
このような構成において、利用者は、端末装置11の入出力部20cを介して、サービス申請部21や電子署名生成部22を操作し、電子署名付きのサービス利用申請書を作成する。さらに、通信部20dを介して、電子署名付きのサービス利用申請書を、ネットワーク14を介して接続されるサービス提供装置12へ送付する。
In such a configuration, the user operates the
また、サービス利用申請が完了すると、利用者は、端末装置11の入出力部20cを介して、サービス要求部23を操作し、サービス提供装置12へサービス要求を送信する。サービス提供装置12から認証を要求されると、入出力部20cを介して、認証情報生成部24を操作し、認証情報を生成する。さらに、認証情報を、サービス提供装置12へ送付する。認証が成功すると、サービス提供装置12から送付される情報をもとに、サービス実行部25において、オンラインサービスを実行する。
When the service use application is completed, the user operates the
次に、図3を用いて、サービス提供装置12を説明する。
Next, the
サービス提供装置12は、処理部30aと記憶部30bと、サービス提供装置12の運用員等からの指示の受付を行う入出力部30cと、ネットワーク14を介して他装置と通信を行うための通信部30dと、を有する。
The
処理部30aは、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるための利用者固有の情報(アカウント情報)を作成するなどの管理を行うアカウント管理部31と、利用者から送信されたサービス利用申請書の電子署名検証を実施する電子署名検証部32と、電子署名に利用した署名用証明書と、同一の本人に発行された(以下、署名用証明書に紐付く)認証用証明書を認証局13から取得する認証用証明書情報取得部33と、利用者から送信された認証情報を用いて利用者を識別する識別部34と、認証情報を検証する認証情報検証部35と、認証が成功した利用者へサービスを提供するサービス提供部36と、を有する。
The processing unit 30a performs management such as creating user-specific information (account information) for using the authentication certificate issued to the user for user identification and user authentication. 31, an electronic
記憶部30bは、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるためのアカウント情報を保持するアカウント情報保持部37、認証局装置13へ問い合わせた結果を検証するための認証局証明書を保持する認証局証明書保持部38
、認証局装置13のアドレス等が記載された認証局接続情報を保持する認証局接続情報保持部39と、を有する。
The storage unit 30b obtains the result of inquiring the account
A certificate authority connection
このような構成において、サービス提供装置12は、ネットワーク14を介して接続される端末装置11から、通信部30dを介して、サービス利用申請書を受信すると、電子署名検証部32は、サービス利用申請書に添付される電子署名を検証し、さらに、署名用証明書が失効していないか、ネットワーク14を介して接続される認証局装置13へ問い合わせを実施する。さらに、認証用証明書情報取得部33は、署名用証明書に紐付く認証用証明書の情報を、認証局装置13へ問い合わせる。電子署名検証部32と、認証用証明書情報取得部33の処理が正常に終了すると、アカウント管理部31は、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるためのアカウントを生成し、アカウント情報保持部37へ保存する。
In such a configuration, when the
また、サービス提供装置12は、端末装置11から、通信部30dを介して、サービス要求を受信すると、サービス提供部36は、利用者を認証済みであるかを確認し、その結果、認証済みでない場合は、端末装置11へ、通信部30dを介して、認証要求を送信する。端末装置11から、通信部30dを介して、認証情報、認証用証明書を受信すると、識別部34は、認証用証明書に含まれる、認証局を特定する情報(認証局名)と認証用証明書を特定する情報(シリアル番号)を抽出する。さらに、アカウント管理部31にて、認証局名、シリアル番号及びアカウント情報保持部37のアカウント情報から、すでにアカウント開設済みの利用者であるか、認証用証明書の情報を用いて、確認する。さらに、認証情報検証部35は、認証情報を検証し、また、認証用証明書が失効していないか、ネットワーク14を介して接続される認証局装置13へ問い合わせを実施する。識別部34
、認証情報検証部35、アカウント管理部31の処理が正常に終了すると、サービス提供部36は、端末装置11から要求されたサービスを提供する。
In addition, when the
When the processing of the authentication
次に、図4を用いて、認証局装置13を説明する。
Next, the
認証局装置13は、処理部40aと記憶部40bと、認証局装置13の運用員等からの指示の受付を行う入出力部40cと、ネットワーク14を介して他装置と通信を行うための通信部40dと、を有する。
The
処理部40aは、利用者からの証明書発行要求に応じて利用者登録を実施する証明書登録部41と、利用者登録した利用者へ証明書を発行する発行部42、認証局13が発行した証明書に関する失効情報を提供する失効情報提供部43と、認証局13が発行した証明書と、同一の本人に対して発行した証明書の情報を提供する紐付け情報提供部44と、を有する。
The processing unit 40a is issued by a
記憶部40bは、認証局13が発行した有効期限内の証明書を保持する証明書保持部45と、発行した利用者の情報を管理する発行先管理情報保持部46と、発行した有効期限内の証明書の中で、失効した証明書の情報を保持する失効情報保持部47と、発行した証明書と、同一の本人に対して発行した証明書を紐付けて管理する紐付け情報保持部48と
、を有する。なお、紐付け情報保持部48では、例えば、同一本人に発行した、署名用証明書と認証用証明書など、用途の異なる証明書を紐付けて管理したり、同一本人に発行した世代別の証明書を紐付けて管理したりしている。
The storage unit 40b includes a
また、端末装置11、サービス提供装置12や認証局装置13は、例えば、図8に示すような、CPU61と、メモリ62と、ハードディスク等の外部記憶装置63と、ネットワーク15を介して他装置と通信を行うための通信装置64と、キーボードやマウス等の入力装置65と、モニタやプリンタ等の出力装置66と、CD−ROM等の可搬性を有する記憶媒体68から情報を読み取る読取装置67と、これらの各装置間のデータ送受を行う内部通信線80とを備えた、一般的な電子計算機(コンピュータ)上に構築できる。
Further, the terminal device 11, the
そして、CPU61が外部記憶装置63からメモリ62上にロードされた所定のプログラムを実行することにより、上述の各処理部を実現できる。すなわち、通信部20d、30d、40dは、CPU61が通信装置64を利用することにより、入出力部20c、30c、40cは、CPU61が入力装置65や出力装置66や読取装置67を利用することにより、そして、記憶部20b、30b、40bは、CPU61がメモリ62や外部記憶装置63を利用することにより実現される。また、処理部20aは、CPU61のプロセスとして実現される。
Then, the
上記所定のプログラムは、予め外部記憶装置63に格納されていても良いし、上記電子計算機が利用可能な記憶媒体68に格納されており、読取装置67を介して、必要に応じて読み出され、あるいは、上記電子計算機が利用可能な通信媒体であるネットワークまたはネットワーク上を伝搬する搬送波を利用する通信装置64と接続された他の装置から、必要に応じてダウンロードされて、外部記憶装置63に導入されるものであっても良い。
The predetermined program may be stored in the
次に図9を用いて、サービス提供装置12のアカウント情報保持部37に記憶されている、アカウント管理データベース70を説明する。アカウント管理データベース70は、利用者からサービス利用申請時に、アカウント管理部31において、生成される。あるいは、アカウント管理データベース70は、サービス提供装置12の運用員によって、入出力部30dを介して、生成される。アカウント管理データベース70には、アカウント情報として、サービス利用者として登録した利用者を一意に識別するユーザID71と、認証用証明書情報取得部33から取得した利用者の認証用証明書の認証局名(認証用証明書を発行した認証局の名称)及びシリアル番号(認証用証明書を一意に識別する情報)72と、サービス利用時に利用者に提供する、利用者に割り当てられた領域のアドレス情報(
ユーザ資源)73が複数記憶されている。利用者に割り当てられた領域とは、例えば、利用者のファイルやプログラムの格納領域である。
Next, the
A plurality of (user resources) 73 are stored. The area allocated to the user is, for example, a user file or program storage area.
次に図10を用いて、認証局装置13の紐付け情報保持部48に記憶されている、署名用証明書と認証用証明書の紐付け管理テーブル80を説明する。署名用証明書と認証用証明書の紐付け管理テーブル80は、認証局13が証明書を発行したときに証明書発行部42によって、編集されるか、あるいは、認証局装置13の運用員によって、入出力部40cを介して、編集される。証明書を発行した主体者ごとに、81の列に認証局名を、82の列に、発行先情報を、83の列に署名用証明書のシリアル番号を、84の列に認証用証明書のシリアル番号を、記載する。なお、認証局装置13ごとに、署名用証明書と認証用証明書の紐付け管理テーブル80を構成する場合と、複数の認証局装置13でまとめて、署名用証明書と認証用証明書の紐付け管理テーブル80を構成する場合があり、図10は後者である。
Next, with reference to FIG. 10, the signature certificate and authentication certificate association management table 80 stored in the association
次に図11を用いて、認証局装置13の紐付け情報保持部48に記憶されている、認証用証明書の履歴管理テーブル90を説明する。認証用証明書の履歴管理テーブル90は、認証局13が証明書を発行したときに証明書発行部42によって、編集されるか、あるいは、認証局装置13の運用員によって、入出力部40cを介して、編集される。証明書を発行した主体者ごとに、91の列に認証局名を、92の列に、発行先情報を、93、94
、95の列に、世代ごとの認証用証明書のシリアル番号を、記載する。なお、認証局装置13ごとに、認証用証明書の履歴管理テーブル90を構成する場合と、複数の認証局装置13でまとめて、認証用証明書の履歴管理テーブル90を構成する場合があり、図10は後者である。
Next, an authentication certificate history management table 90 stored in the association
, 95 column describes the serial number of the authentication certificate for each generation. Note that there are cases where the authentication certificate history management table 90 is configured for each
次に、図12、図13、図15、図16において、端末装置11とサービス提供装置12間の一例の処理、及び、サービス提供装置12と認証局装置13間の一例の処理を、詳しく説明する。
Next, in FIG. 12, FIG. 13, FIG. 15, and FIG. 16, an exemplary process between the terminal device 11 and the
先ず、図12を用いて、端末装置11がサービス提供装置12に対して、サービス利用申請を実施する際の処理を示す。
First, the processing when the terminal device 11 performs a service use application to the
端末装置11のサービス申請部21は、利用者からの入力に応じて、サービス申請書を作成する(ステップS101)。なお、サービス申請書には、氏名、住所、電話番号、メ
ールアドレス等の利用者に係る情報や、利用者が要求するサービスの名前などが記載される。次に、電子署名生成部22は、ステップS101で作成した、サービス利用申請書に対して、証明書・鍵保持部26に保持されている、署名用証明書と署名用証明書に対応する鍵で、電子署名を実施する(ステップS102)。さらに、サービス申請部21は、ス
テップS101、ステップS102で生成した、サービス利用申請書、電子署名、電子署名を生成するために利用した署名用証明書を、サービス提供装置12へ送信する(ステップS103)。
The
サービス提供装置12は、サービス利用申請書、電子署名、署名用証明書を受信すると(ステップS104)、AからBの処理において、電子署名の検証などを実施し、アカウ
ントを作成するか否か判定する。なお、AからBまでの処理については、図13で詳細に説明する。アカウントの作成に成功した場合には、アカウント作成成功通知が、一方、アカウントの作成に失敗した場合には、アカウント作成失敗通知が、それぞれサービス提供装置12から端末装置11に送信される(ステップS105)。
Upon receipt of the service use application, electronic signature, and signature certificate (step S104), the
端末装置11のサービス申請部21は、アカウント作成成功通知あるいはアカウント作成失敗通知を受信する(ステップS106)。
The
次に、図13を用いて、サービス提供装置12が認証局装置13に問い合わせを行って
、利用申請を受付けた利用者のアカウント情報の作成を実施する際の処理を示す。
Next, FIG. 13 shows processing when the
サービス提供装置12の電子署名検証部32は、ステップS104で受信した電子署名を、署名用証明書を利用して検証する(ステップS201)。さらに、電子署名検証部3
2は、認証局証明書保持部38に保持されている認証局証明書を用いて、署名用証明書の電子署名を検証する(ステップS202)。続けて、署名用証明書の状態が有効であるか
確認するために、電子署名検証部32は、認証局接続情報保持部39から、ステップS104(図12)で受信した署名用証明書、を発行した認証局装置13のアドレスを取得し
、認証局装置13へ署名用証明書の有効性確認を要求する(ステップS203)。
The electronic
2 verifies the electronic signature of the signature certificate using the certificate authority certificate held in the certificate authority certificate holding unit 38 (step S202). Subsequently, in order to confirm whether the status of the signature certificate is valid, the electronic
認証局装置13は、署名用証明書の有効性確認要求を受信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、署名用証明書の状態を確認する(ステップS204)。さらに、失効情報提供部43は、認証局装置13の電子
署名を付与した、署名用証明書の有効性確認結果を作成し、サービス提供装置12へ応答する(ステップS205)。なお、署名用証明書の有効性確認処理を実施する方法として
、認証局装置13が管理している、証明書失効リストを、要求元へ応答する場合もある。
When the
サービス提供装置12の電子署名検証部32は、署名用証明書の有効性確認結果を受信すると、認証局装置13の電子署名を検証して、署名用証明書の有効性を確認し(ステップS206)、その結果から署名用証明書が有効か失効かを判定する(ステップS207
)。ステップS206で受信した署名用証明書の有効性確認結果が有効である場合には(
ステップS207でYes)、電子署名検証部32は、署名用証明書に紐付く認証用証明
書のシリアル番号を、認証局装置13へ要求する(ステップS208)。
Upon receiving the signature certificate validity check result, the electronic
). When the validity check result of the signature certificate received in step S206 is valid (
In step S207, the electronic
認証局装置13は、認証用証明書のシリアル番号を要求されると、紐付け情報提供部44にて、紐付け情報保持部48に保持されている署名用証明書と認証用証明書の紐付け管理テーブル80を確認し、認証用証明書のシリアル番号を取得する(ステップS209)
。具体的には、紐付け情報提供部44は、ステップS208で受信した認証用証明書のシリアル番号要求に含まれる、認証局名と、署名用証明書のシリアル番号をキーとして、署名用証明書と認証用証明書の紐付け管理テーブル80の認証局名の列81と、署名用証明書のシリアル番号の列83を検索し、該当するレコードが存在する場合には、認証用証明書のシリアル番号の列84に含まれる、認証用証明書のシリアル番号を取得する。なお、ステップS208からステップS211の処理の代わりに、後述する処理を実施することもできる。ステップS104(図12)において、サービス提供装置12が、利用者から
、利用申請書と共に認証用証明書を取得し、認証局13に対して、署名用証明書と認証用証明書の両方を含めて、署名用証明書と認証用証明書が同一本人に対して発行されているかの確認を要求する。認証局装置13は、署名用証明書と認証用証明書の紐付け管理テーブル80を検索した結果、同一本人に対して発行しているか否か、正否をサービス提供装置12へ応答する。
When the
. Specifically, the association
続けて、紐付け情報提供部44は、認証局装置13の電子署名を付与した、認証用証明書のシリアル番号をサービス提供装置12へ応答する(ステップS210)。なお、ステ
ップS209で、該当する認証用証明書のシリアル番号が存在しなかった場合には、紐付け情報提供部44は、エラーとして応答する。
Subsequently, the association
サービス提供装置12の認証用証明書情報取得部33は、認証局装置13の電子署名を付与した、認証用証明書のシリアル番号を受信すると、そのシリアル番号を確認し(ステップS211)、認証局装置13の電子署名を検証して、認証用証明書のシリアル番号が
信頼できるものか否かを判定する(ステップS212)。判定の結果、認証用証明書のシ
リアル番号が信頼できる場合(ステップS212でYes)、認証用証明書情報取得部3
3は、署名用証明書に紐付く認証用証明書が発行されているとみなし、アカウント管理部31にて、ステップS101にてサービス申請を行った利用者のアカウント情報を作成する(ステップS213)。具体的には、アカウント管理部31は、アカウント管理データベース70で利用者のアカウント情報を一意に識別するための情報(本実施例では、ユーザID)を生成する。次に、アカウント管理部31は、生成したユーザIDを、利用者の識別情報として利用するための、認証用証明書を発行した認証局の認証局名及びシリアル番号72と、ユーザ資源73に紐付けることにより、アカウント情報を作成し、アカウント管理データベース70に格納する(ステップS213)。
When the authentication certificate
3 assumes that an authentication certificate linked to the signature certificate has been issued, and the
続けて、アカウント管理部31は、端末装置11に通知するための、アカウント作成成功通知を作成する(ステップS214)。アカウント作成成功通知には、利用者に割り当て
られた領域に利用者がアクセスするためのユーザ資源(アドレス情報)73が含まれる。
Subsequently, the
また、ステップS206で受信した署名用証明書の有効性確認結果が失効である場合(
ステップS207でNo)、あるいは、ステップS211で受信した認証用証明書のシリ
アル番号が信頼できない場合(ステップS212でNo)、アカウント管理部31は、ア
カウント作成に失敗した旨を記載した、アカウント作成失敗通知を作成する(ステップS215)。
If the validity check result of the signature certificate received in step S206 is invalid (
If the authentication certificate serial number received in step S211 is unreliable (No in step S212), the
なお、サービス利用申請などの電子文書の署名用に利用する署名用証明書と、サービス要求時の認証用に利用する認証用証明書を分けて利用しない場合には、1枚の証明書で署名用と認証用を兼ねるようにすることで、ステップS208からステップS212の処理省略することができる。 If you do not use the signature certificate used for signing electronic documents, such as application for service use, and the authentication certificate used for authentication at the time of service request, sign with one certificate. By using both for authentication and authentication, the processing from step S208 to step S212 can be omitted.
次に、図15を用いて、端末装置11がサービス提供装置12に対して、申請したサービスを要求する際の処理を示す。
Next, processing when the terminal device 11 requests the service that has been applied to the
端末装置11のサービス要求部23は、サービス提供装置12に対して、サービス要求を送信する。具体的には、サービス要求部23は、ステップS106(図12)で受信したアカウント作成成功通知に含まれるユーザ資源73の利用者情報の取得を要求する(ステップS401)。サービス提供装置12は、サービス要求を受信すると(ステップS4
02)、アカウント管理部31で、認証済みであり、また、タイムアウト時間に達してい
ないことを確認してもらう(ステップS403)。認証済みである場合には(ステップS
404でYes)、サービス提供部36は、アクセス要求のあったユーザ資源73の利用
者情報(ファイルやプログラムなど)を取得し(ステップS405)、取得した利用者情
報と、サービス要求を許可する旨のサービス要求結果を作成する(ステップS406)。
サービス提供装置12は、ステップS406で作成されたサービス要求結果や、CからDの処理で作成された、サービス要求結果を、端末装置11へ送信する(ステップS407
)。
The
02) The
In 404, the
The
).
端末装置11のサービス要求部23は、サービス要求結果を受信すると(ステップS408)、サービス要求結果が成功であるか確認する。サービス要求結果が成功である場合
には(ステップS409でYes)、サービス実行部25にて、取得したユーザ資源73
のアドレスにアクセスするなどして、要求したサービスを実行する(ステップS410)
。
When receiving the service request result (step S408), the
The requested service is executed by accessing the address (step S410).
.
また、サービス要求を送信した利用者が認証済みでない場合には(ステップS404でNo)、サービス提供装置12の識別部34が、端末装置11へ、認証要求を送信する(
ステップS411)。
When the user who transmitted the service request is not authenticated (No in step S404), the
Step S411).
端末装置11のサービス要求部23は、認証要求を受信すると(ステップS412)、
認証情報生成部24において、認証情報を生成する(ステップS413)。具体的には、
認証情報生成部24は、ステップS412で受信した認証要求に含まれる乱数等に対して
、証明書・鍵保持部26に保持されている認証用証明書と認証用証明書に対応する鍵を利用して、暗号処理を実施することにより、認証情報を生成する。
When the
The authentication
The authentication
端末装置11のサービス要求部23は、ステップS413で生成した認証情報と、認証局名とシリアル番号を含む認証用証明書を、サービス提供装置12へ送信する(ステップS414)。サービス提供装置12の識別部34は、端末装置11から認証情報と認証用
証明書を受信すると、CからDの処理において、認証情報を検証するなどして、要求されたサービスを提供するか否か判定する。なお、CからDまでの処理については、図16で詳細に説明する。
The
次に、図16を用いて、サービス提供装置12が認証局装置13に問い合わせを行って
、利用者から要求されたサービスを提供する際の処理を示す。
Next, a process when the
サービス提供装置12の識別部34は、端末装置11から、認証情報、認証用証明書を受信すると(図15_ステップS415)、利用者を識別するための識別情報として利用
するために、認証用証明書に含まれる認証局名とシリアル番号を、抽出する(ステップS501)。
When receiving the authentication information and the authentication certificate from the terminal device 11 (FIG. 15_step S415), the
続いて、アカウント管理部31は、アカウント管理データベース70を参照し、ステップS501で抽出した認証局名及びシリアル番号を含むアカウントが存在しているか確認する(ステップS502)。
Subsequently, the
ステップS502で、アカウントが存在していない場合には、アカウント管理部31は
、アカウントを開設済みではないとみなし(ステップS503でNo)、アカウント未開
設のためサービス要求を拒否する旨の結果を作成する(ステップS504)。
If the account does not exist in step S502, the
ステップS502で、アカウントが存在している場合には、アカウント管理部31は、アカウントを開設済みであるとみなし(ステップS503でYes)、認証情報検証部3
5にて、ステップS415で受信した認証情報を、認証用証明書を利用して検証し、さらに、認証局証明書保持部38に保持されている認証局証明書を用いて、認証用証明書の電子署名を検証する(ステップS505)。
If the account exists in step S502, the
5, the authentication information received in step S 415 is verified using the authentication certificate, and further, the authentication certificate is stored using the certificate authority certificate held in the certificate authority
続けて、認証用証明書の状態が有効であるか確認するために、認証情報検証部35は、認証局接続情報保持部39から、ステップS415(図15)で受信した証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ認証用証明書の有効性確認を要求する(ステップS506)。認証局装置13は、認証用証明書の有効性確認要求を受
信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、認証用証明書の状態を確認する(ステップS507)。さらに、失効情報提供部
43は、認証局装置13の電子署名を付与した、認証用証明書の有効性確認結果を作成し
、サービス提供装置12へ応答する(ステップS508)。なお、認証用証明書の有効性
確認を実施する方法として、認証局装置13が管理している、証明書失効リストを、要求元へ応答する場合もある。サービス提供装置12の認証情報検証部35は、認証用証明書の有効性確認結果を受信すると、認証局装置13の電子署名を検証して、信頼できる結果であることを確認する(ステップS509)。
Subsequently, in order to confirm whether the status of the authentication certificate is valid, the authentication
ステップS509で受信した認証用証明書の有効性確認結果が失効である場合には(ステップS510でNo)、認証情報検証部35は、認証失敗のためサービス要求を拒否す
る旨のサービス要求結果を作成する(ステップS511)。
If the validity check result of the authentication certificate received in step S509 is invalid (No in step S510), the authentication
ステップS509で受信した認証用証明書の有効性確認結果が有効である場合には(ステップS510でYes)、認証情報検証部35は、ステップS402で要求のあったユ
ーザ資源73の利用者情報(ファイルやプログラムなど)を取得し(ステップS512)
、取得した情報と、サービス要求を許可する旨を含めたサービス要求結果を作成する(ステップS513)。
If the verification result of the authentication certificate received in step S509 is valid (Yes in step S510), the authentication
Then, a service request result including the acquired information and permission to permit the service request is created (step S513).
なお、上記実施例では、利用者が1つのサービス提供装置12に対して、サービス利用申請を実施する場合を例にとり説明したが、利用者が複数のサービス提供装置に対して、サービス利用申請を実施し、サービスの提供を受ける場合においても、図12、図13、図15、図16の処理で、認証情報を生成するために利用した、利用者の認証用証明書は
、各々のサービス提供装置12が前記認証用証明書の認証局を信頼する限り、統一的に利用することが可能である。また、サービス提供装置12は1つであっても、上述した処理を適用できる。
In the above embodiment, the case where a user makes a service use application for one
以上、実施例1について詳述したが、上記実施形態によれば、利用者に発行する公開鍵証明書には、公開鍵証明書を一意に特定するためのシリアル番号や、公開鍵証明書の主体者の情報を含めることが可能である点に着目し、利用者に発行される公開鍵証明書を、利用者の識別と利用者の認証の両方の役割を持つ情報として、また、複数のサービス提供装置に対して共通の情報として利用することで、公開鍵証明書の発行依頼の手続きに加え、利用者を特定するための識別情報を別途発行することなく、また、サービス提供装置ごとに利用者識別情報を分けることなく統一できる。これにより、利用者がサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にすることができる。 As described above, the first embodiment has been described in detail. According to the above embodiment, the public key certificate issued to the user includes a serial number for uniquely identifying the public key certificate, and a public key certificate. Paying attention to the fact that the subject's information can be included, the public key certificate issued to the user can be used as information that has both the role of user identification and user authentication. By using it as common information for service providing devices, in addition to issuing public key certificate issuance requests, there is no need to separately issue identification information for identifying users, and for each service providing device. User identification information can be unified without separation. Thereby, management of use registration, user identification information, and authentication information when a user receives a service can be simplified.
また、本発明は上記実施形態に限定されるものではなく、サービス提供装置によっては
、サービス提供する機能と利用者を認証する機能を分離し、利用者を認証する機能をサービス提供装置と異なる装置にて実現されるなど、その要旨を逸脱しない範囲で種々変更可能である。
In addition, the present invention is not limited to the above-described embodiment. Depending on the service providing apparatus, the function of providing the service and the function of authenticating the user are separated, and the function of authenticating the user is different from the service providing apparatus. Various changes can be made without departing from the scope of the invention.
公開鍵証明書には、ライフサイクルが存在し、認証用証明書の有効期限が切れたときや
、何らかの理由で認証用証明書が失効したときに、認証局13は、同一本人に対して、新たに認証用証明書を発行する(証明書の更新)場合がある。なお、認証用証明書が更新される際には、新たにシリアル番号が付番される。
The public key certificate has a life cycle, and when the expiration date of the authentication certificate expires or when the authentication certificate expires for some reason, the certificate authority 13 A new authentication certificate may be issued (certificate renewal). When the authentication certificate is updated, a new serial number is assigned.
実施例1では、サービス提供装置12が、利用者を識別する情報として認証用証明書の認証局名とシリアル番号を利用しているが、利用者が更新された認証用証明書を利用して
、サービス提供装置12にサービスを要求した場合には、更新された認証用証明書のシリアル番号を含むアカウントが存在しないため、サービス提供装置12からサービス提供を拒否される。
In the first embodiment, the
上記を回避するためには、利用者のアカウントを構成するシリアル番号を、更新された認証用証明書のシリアル番号に変更する必要がある。 In order to avoid the above, it is necessary to change the serial number constituting the user account to the serial number of the updated authentication certificate.
実施例2では、利用者が認証用証明書の更新を通知することなく、サービス提供装置12が、認証局装置13から、認証用証明書の更新情報を取得することで、アカウントを構成するシリアル番号を動的に変更する処理を実施する。
In the second embodiment, the
なお、実施例1の図3で示したサービス提供装置12のアカウント管理部31に、認証用証明書の更新情報を取得する機能を追加する。また、実施例1の図16のステップS501からステップS510の処理を、実施例2の図17で示すステップS601からステップS617の処理に変更する。
Note that a function for acquiring update information of the authentication certificate is added to the
以下に、実施例2における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 2 will be described in detail with reference to the drawings.
図17を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、認証用証明書の履歴情報を取得する際の処理を示す。
FIG. 17 shows processing when the
サービス提供装置12の識別部34は、端末装置11から、認証情報、認証用証明書を受信すると(図15_ステップS415)、利用者を識別するための識別情報として利用
するために、認証用証明書に含まれる認証局名とシリアル番号を抽出する(ステップS601)。
When receiving the authentication information and the authentication certificate from the terminal device 11 (FIG. 15_step S415), the
続いて、アカウント管理部31は、アカウント管理データベース70を参照し、ステップS601で抽出した認証局名とシリアル番号を含むアカウントが存在しているか確認する(ステップS602)。
Subsequently, the
ステップS602で、アカウントが存在していない場合には(ステップS603でNo
)、アカウント管理部31は、予め設定した所定回数に達するまで、ステップS415(
図15)で受信した認証用証明書の履歴を確認する。
If the account does not exist in step S602 (No in step S603).
), The
The history of the authentication certificate received in FIG. 15) is confirmed.
具体的には、アカウント管理部31は、認証局接続情報保持部39から、ステップS415で受信した証明書、を発行した認証局13のアドレスを取得し、認証局装置13に対して、ステップS415で受信した認証用証明書の、一世代前の認証用証明書のシリアル番号を要求する(ステップS605)。認証局装置13は、一世代前の認証用証明書のシ
リアル番号を要求されると、紐付け情報提供部44にて、紐付け情報保持部48に保持されている認証用証明書の履歴管理テーブル90を確認し、更新前の証明書のシリアル番号を取得する(ステップS606)。具体的には、紐付け情報提供部44は、一世代前の認
証用証明書のシリアル番号の要求(ステップS605)に含まれる、認証局名と、認証用証明書のシリアル番号をキーとして、認証用証明書の履歴管理テーブル90の認証局名の列91と、認証用証明書のシリアル番号の列93、94、95の列を検索し、発行先情報92が存在するか確認する。発行先情報92が存在する場合には、紐付け情報提供部44は、該当する認証用証明書のシリアル番号の列の一世代前の列から、認証用証明書のシリアル番号を取得する。
Specifically, the
続けて、紐付け情報提供部44は、認証局装置13の電子署名を付与した、認証局名と一世代前の認証用証明書のシリアル番号を含む確認結果を作成し、サービス提供装置12へ応答する(ステップS607)。なお、ステップS606で、一世代前の認証用証明書
のシリアル番号が存在しなかった場合には、紐付け情報提供部44は、エラーとして応答する。
Subsequently, the associating
サービス提供装置12のアカウント管理部31は、確認結果を受信すると、認証局装置13の電子署名を検証して、確認結果が信頼できる結果であることを確認する(ステップS608)。
Upon receiving the confirmation result, the
ステップS609で受信した確認結果に、一世代前の認証用証明書のシリアル番号が含まれている場合には、アカウント管理データベース70に、ステップS608で受信したシリアル番号及び認証局名に基づいてアカウント管理データベース70を検索し、該当する認証用証明書のシリアル番号及び認証局名(利用者識別情報)が存在するか否かを確認する(ステップS609)。確認の結果、該当する認証用証明書のシリアル番号及び認証
局名が存在した場合には(ステップS609でYes)、利用申請時に利用者に発行され
た認証用証明書が更新されているとみなし、アカウント管理部31は、アカウント管理データベース70において、ステップS609で検索した認証用証明書の認証局名及びシリアル番号72を、ステップS415で受信した認証用証明書の認証局名とシリアル番号に更新する(ステップS610)。
If the confirmation result received in step S609 includes the serial number of the previous generation authentication certificate, the
一方、該当する識別情報が存在しなかった場合には(ステップS609でNo)、アカ
ウント管理部31は、利用申請時に利用者に発行された認証用証明書がさらに古い世代の認証用証明書であるとみなし、ステップS604の処理に戻る。アカウント管理部31は
、所定回数に達していなければ(ステップS604でNo)、ステップS415で受信し
た認証用証明書の、一世代前の認証用証明書のシリアル番号を要求する(ステップS605)。
On the other hand, if the corresponding identification information does not exist (No in step S609), the
所定回数に達していれば(ステップS604でYes)、アカウント管理部31は、ア
カウントを開設済みではないとみなし、アカウント未開設のためサービス要求を拒否する旨の結果を作成する(ステップS611)。
If the predetermined number has been reached (Yes in step S604), the
アカウントが存在している場合(ステップS603でYes)と、アカウントが存在せず、かつ、認証用証明書の更新を確認できた場合には(ステップS609でYes)、認
証情報検証部35にて、ステップS415で受信した認証情報を、認証用証明書を利用して検証し、さらに、認証局証明書保持部38に保持されている認証局証明書を用いて、認証用証明書の電子署名を検証する(ステップS612)。なお、ステップS612からス
テップS616までの処理は、図16におけるステップS505からステップS509までの処理と同一であることから、詳細な処理の説明を省く。
If the account exists (Yes in step S603) and if the account does not exist and the update of the authentication certificate can be confirmed (Yes in step S609), the authentication
以上、実施例2について詳述したが、上記実施形態によれば、利用者が認証用証明書の更新を通知することなく、サービス提供装置12が、認証用証明書の更新情報を取得することで、アカウントを構成するシリアル番号を動的に変更することができる。
As described above, the second embodiment has been described in detail. According to the above embodiment, the
実施例1の図13で示したステップS203からステップS206までの処理と、ステップS208からステップS211までの処理、また、実施例2の図17で示したS605からS608までの処理と、S613からS616までの処理では、サービス提供装置12は、利用者から受信した署名用証明書や認証用証明書に関する、有効性確認と、署名用証明書や認証用証明書に紐付く情報を、認証局13に対して、個別に問い合わせている
。
The processing from step S203 to step S206 shown in FIG. 13 of the first embodiment, the processing from step S208 to step S211, the processing from S605 to S608 shown in FIG. 17 of the second embodiment, and the steps from S613 to S616. In the processing up to this point, the
しかしながら、RFC2560 “X.509 Internet Public Key Infrastructure Online Certificate Status Protocol − OCSP”で示される、OCSPレスポンダにおいては
、リクエストで指定された証明書の状態(有効、失効、不明)だけではなく、証明書に関する情報を、拡張情報として、OCSPレスポンスに含めて、リクエスタに返却することが可能である。
However, in the OCSP responder indicated by RFC 2560 “X.509 Internet Public Key Infrastructure Structure Certificate Protocol-OCSP”, not only the status of the certificate specified in the request (valid, revoked, unknown) Information can be included in the OCSP response as extended information and returned to the requester.
そこで、実施例3では、サービス提供装置12から認証局13への問い合わせ処理を効率化するために、証明書の有効性確認と、証明書の紐付け情報の問い合わせを同時に実施する。
Therefore, in the third embodiment, in order to improve the efficiency of the inquiry process from the
なお、実施例1の図3で示したサービス提供装置12の電子署名検証部32に、利用者から受信した署名用証明書に関する、有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号を同時に、要求する機能を追加する。また、サービス提供装置12の認証用証明書情報取得部33の機能を利用しない。さらに、図13で示した処理を、図14で示した処理に変更する。
The electronic
以下に、実施例3における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 3 will be described in detail with reference to the drawings.
図14を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、利用申請を受付けた利用者のアカウントの作成を実施する際の処理を示す。
FIG. 14 shows processing when the
サービス提供装置12の電子署名検証部32は、ステップS104で受信した電子署名(図12)を、署名用証明書を利用して検証する(ステップS301)。さらに、電子署
名検証部32は、認証局証明書保持部38に保持されている認証局証明書を用いて、署名用証明書の電子署名を検証する(ステップS302)。
The electronic
続けて、電子署名検証部32は、署名用証明書の有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号を、認証局装置13へ要求する(ステップS303)。認証
局装置13は、署名用証明書の有効性確認と認証用証明書のシリアル番号の要求を受信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、署名用証明書の状態を確認する(ステップS304)。また、紐付け情報提供部44
にて、紐付け情報保持部48に保持されている署名用証明書と認証用証明書の紐付け管理テーブル80を確認する(ステップS305)。
Subsequently, the electronic
Then, the association management table 80 of the signature certificate and the authentication certificate held in the association
さらに、失効情報提供部43は、認証局装置13の電子署名を付与した、署名用証明書の有効性確認結果に認証用証明書のシリアル番号の確認結果を追加して、サービス提供装置12へ応答する(ステップS306)。サービス提供装置12の電子署名検証部32は
、署名用証明書の有効性確認結果と認証用証明書のシリアル番号の確認結果を受信すると
、認証局装置13の電子署名を検証して、信頼できる結果であることを確認する(ステップS307)。
Further, the revocation
ステップS307で受信した署名用証明書の有効性確認結果が有効である場合には(ステップS308でYes)、電子証明検証部32は、ステップS309へ進む。認証用証
明書のシリアル番号が信頼できる場合には、電子証明検証部32は、署名用証明書に紐付く認証用証明書が発行されているとみなし(ステップS309でYes)、ステップS3
10へ進む。
If the validity check result of the signature certificate received in step S307 is valid (Yes in step S308), the electronic
Proceed to 10.
なお、ステップS310からステップS312までの処理は、図13におけるステップS213からステップS215までの処理と同一であることから、詳細な処理の説明を省く。 Note that the processing from step S310 to step S312 is the same as the processing from step S213 to step S215 in FIG. 13, and thus detailed description of the processing is omitted.
また、実施例2の図17で示したステップS605からステップS608までの処理と
、ステップS613からステップS616までの処理に関しても、ステップS303からステップS307までの処理と同様に、サービス提供装置12は、利用者から受信した認証用証明書に関する、有効性確認と、一世代前の認証用証明書の情報を、認証局13に対して、同時に問い合わせことができる。
Further, regarding the processing from step S605 to step S608 and the processing from step S613 to step S616 shown in FIG. 17 of the second embodiment, the
以上、実施例3について記述したが、上記実施形態によれば、サービス提供装置12が
、認証局装置13への、利用者の証明書の有効性確認と、利用者の証明書の紐付け情報の問い合わせ処理を効率的に実施することができる。
As described above, the third embodiment has been described. According to the above-described embodiment, the
実施例1、実施例2、実施例3では、端末装置11からのサービス利用申請や、サービス要求を受け、サービス提供装置12が、認証局装置13に対して、利用者の署名用証明書や認証用証明書の失効情報、署名用証明書や認証用証明書に紐付く情報を、問い合わせている。また、利用者の認証用証明書に記載されているシリアル番号を保存し、アカウント作成する際の識別情報として利用している。
In the first embodiment, the second embodiment, and the third embodiment, upon receiving a service use application or a service request from the terminal device 11, the
しかしながら、電子政府など、特定の分野で利用される署名用証明書や認証用証明書においては、署名用証明書や認証用証明書が、機密情報として取り扱われることがある。その際には、証明書に記載されている情報や、証明書の失効情報や、証明書の紐付け情報など、証明書に関する情報を取得可能な組織が、限定される場合がある。 However, in a signature certificate or authentication certificate used in a specific field such as an electronic government, the signature certificate or authentication certificate may be handled as confidential information. In that case, there are cases where organizations that can acquire information related to the certificate such as information described in the certificate, certificate revocation information, and certificate association information may be limited.
そこで、実施例4では、サービス提供装置12が、証明書に関する情報を取得し、長期的に保存できないように、共同署名検証装置15が、代理で、認証局装置13への問い合わせや認証情報の生成を実施する。
Therefore, in the fourth embodiment, the joint
以下に、実施例4における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 4 will be described in detail with reference to the drawings.
図5は、実施例4に係る利用者識別・認証システムの構成を示す図である。図1で示した実施例1に係る利用者識別・認証システムの構成に、サービス提供装置12からの要求に応じて、電子署名検証や認証情報検証を実施する共同署名検証装置15を追加している
。
FIG. 5 is a diagram illustrating the configuration of the user identification / authentication system according to the fourth embodiment. In addition to the configuration of the user identification / authentication system according to the first embodiment illustrated in FIG. 1, a joint
図6を用いて、実施例4におけるサービス提供装置12を説明する。
The
実施例4におけるサービス提供装置12では、図3で示した電子署名検証部32と認証用証明書情報取得部33の代わりに、本人確認要求部310を、有する。また、識別部34と認証情報検証部35の代わりに、識別・認証要求部311を、有する。
The
次に、図7を用いて、共同署名検証装置15を説明する。
Next, the joint
共同署名検証装置15は、処理部50aと記憶部50bと、共同署名検証装置15の運用員等からの指示の受付を行う入出力部50cと、ネットワーク14を介して他装置と通信を行うための通信部50dと、を有する。
The joint
処理部50aは、サービス提供装置12からの本人確認要求を受けて、利用者の電子署名を検証する電子署名検証部51と、電子署名に利用された署名用証明書に紐付く認証用証明書を認証局装置13へ問い合わせる認証用証明書情報取得部52と、サービス提供装置12からの識別・認証要求を受けて、利用者の認証用証明書のシリアル番号からサービス提供装置12向けの識別情報に変換する識別部53と、利用者の認証情報を検証する認証情報検証部54をサービス申請部21で生成したサービス利用申請書に電子署名を実施する電子署名生成部22と、を有する。
The processing unit 50a receives an identity verification request from the
記憶部50bは、認証局装置13へ問い合わせた結果を検証するための認証局証明書を保持する認証局証明書保持部55、認証局装置13のアドレス等が記載された認証局接続情報を保持する認証局接続情報保持部56と、認証用証明書のシリアル番号からサービス提供装置向けの認証情報に変換するための情報を保持する識別情報保持部57と、を有する。
The storage unit 50b holds a certification authority
次に、図18を用いて、端末装置11からサービス利用申請を受付けたサービス提供装置12が、共同署名検証装置15に問い合わせを行って、利用者のアカウントの作成を実施する際の処理を示す。なお、図18では、正常な処理のみを記載する。
Next, with reference to FIG. 18, the
サービス提供装置12の本人確認要求部310は、端末装置11からサービス利用申請書、電子署名、署名用証明書を受信する(ステップS701)と、サービス利用申請書の共通部分を抽出する(ステップS702)。ここで、サービス利用申請書は、各々のサー
ビス提供装置12のサービスにおいて、固有に必要になる情報が記載された固有部分と、氏名、住所などの全てのサービス提供装置12のサービスで必要となる情報が記載された共通部分に分かれていて、それぞれに対して、電子署名が施されているものとする。
When the identity
サービス提供装置12の本人確認要求部310は、共同署名検証装置15に対して、共通部分に対して施された電子署名と、署名用証明書の検証と、署名用証明書に紐付く認証用証明書のシリアル番号を要求する(ステップS703)。共同署名検証装置15の電子
署名検証部51は、電子署名、署名用証明書の検証要求と、認証用証明書のシリアル番号要求を受信すると(ステップS704)、電子署名と、署名用証明書の検証を実施する(
ステップS705)。その際に、共同署名検証装置15の認証用証明書情報取得部52は
、認証局接続情報保持部56から、ステップS704で受信した認証用証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ問い合わせを行い、署名用証明書の有効性確認を実施する。署名用証明書が有効であれば、さらに、認証用証明書情報取得部52は、認証局13へ問い合わせを行い、署名用証明書に紐付く認証用証明書のシリアル番号を取得する(ステップS706)。なお、実施例3で示したように、認証局装置
13に対する、署名用証明書の有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号の問い合わせを同時に行うこともできる。
The identity
Step S705). At that time, the authentication certificate
続いて、認証用証明書情報取得部52は、認証用証明書のシリアル番号と認証用証明書を発行した認証局名からなる利用者の識別情報を生成し、識別情報保持部57へ保存する(ステップS707)。共同署名検証装置15の電子証明検証部51は、電子署名、署名
用証明書の検証結果、利用者の識別情報に電子署名を付与して、サービス提供装置12へ送信する(ステップS708)。
Subsequently, the authentication certificate
サービス提供装置12の本人確認要求部310は、電子署名、署名用証明書の検証結果
、利用者識別情報を受信すると、共同署名検証装置の電子署名を検証して、信頼できる結果であることを確認する(ステップS709)。さらに、サービス提供装置12のアカウ
ント管理部31は、共同署名検証装置15が生成した利用者識別情報を含むアカウントを生成し、アカウント情報保持部37へ保存する(ステップS710)。
Upon receiving the electronic signature, the signature certificate verification result, and the user identification information, the identity
次に、図19を用いて、端末装置11からサービス要求を受付けたサービス提供装置12が、共同署名検証装置15に問い合わせを行って、利用者から要求されたサービスを提供する際の処理を示す。なお、図19では、正常な処理のみを記載する。
Next, FIG. 19 is used to show processing when the
サービス提供装置12の認証・識別要求部311は、端末装置11から認証情報、認証用証明書を受信する(ステップS801)と、共同署名検証装置15へ、認証情報、認証用証明書を含む利用者の認証及び識別を要求する(ステップS802)。共同署名検証装
置15の識別部53は、利用者の認証及び識別要求を受信すると(ステップS803)、
認証用証明書のシリアル番号に紐付く認証情報を、識別情報保持部57から取得する(ステップS804)。さらに、認証情報検証部54は、認証情報と、認証用証明書の検証を
実施する(ステップS805)。その際に、共同署名検証装置15は、認証局接続情報保
持部56から、ステップS803で受信した証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ問い合わせを行い、認証用証明書の有効性確認を実施する
。なお、実施例2で示したように、認証用証明書が更新されている場合には、認証局装置13に対して、認証用証明書の履歴情報を問い合わせし、更新前の認証用証明書の情報を取得することもできる。さらに、実施例3で示したように、認証局装置13に対する、認証用証明書の有効性確認と、認証用証明書の履歴情報の問い合わせを同時に行うこともできる。
When the authentication /
Authentication information associated with the serial number of the authentication certificate is acquired from the identification information holding unit 57 (step S804). Further, the authentication
続いて、共同署名検証装置15の識別部53は、利用者の認証及び識別の結果に電子署名を付与して、サービス提供装置12へ送信する(ステップS806)。
Subsequently, the
サービス提供装置12の認証・識別要求部311は、利用者の認証及び識別の結果を受信すると、共同署名検証装置の電子署名を検証して、信頼できる結果であることを確認する(ステップS807)。さらに、サービス提供装置12のサービス提供部36は、ステ
ップS807で受信した結果に含まれる識別情報を利用して、アカウント管理データベース70を参照し、利用者に割り振られたアカウントを検索し、要求されたサービスを提供する(ステップS808)。
Upon receiving the user authentication and identification result, the authentication /
以上、実施例4について記述したが、上記実施形態によれば、サービス提供装置12が
、証明書に関する情報を取得し、かつ、長期的に保存することなく、電子署名や認証情報の検証や、識別情報の生成・管理を実施することができる。
As described above, the fourth embodiment has been described. According to the above-described embodiment, the
111、11m・・・端末装置、121、12k・・・サービス提供装置、121、12n・・
・認証局装置、14・・・ネットワーク、15・・・共同署名検証装置、20a、30a
、40a、50a・・・処理部、20b、30b、40b、50b・・・記憶部、20c
、30c、40c、50c・・・入出力部、20d、30d、40d、50d・・・通信部、21・・・サービス申請部、22・・・電子署名生成部、23・・・サービス要求部
、24・・・認証情報生成部、25・・・サービス実行部、26・・・証明書・鍵保持部
、27・・・サービス提供先情報保持部、31・・・アカウント管理部、32・・・電子署名検証部、33・・・認証用証明書情報取得部、34・・・識別部、35・・・認証情報検証部、36・・・サービス提供部、37・・・アカウント情報保持部、38・・・認証局証明書保持部、39・・・認証局接続情報保持部、310・・・本人確認要求部、311・・・識別・認証要求部、41・・・証明書登録部、42・・・証明書発行部、43
・・・失効情報提供部、44・・・紐付け情報提供部、45・・・証明書保持部、46・
・・発行先管理情報保持部、47・・・失効情報保持部、48・・・紐付け情報保持部、51・・・電子署名検証部、52・・・認証用証明書情報取得部、53・・・識別部、54・・・認証情報検証部、55・・・認証局証明書保持部、56・・・認証局接続情報保持部、57・・・識別情報保持部、60・・・内部通信線、61・・・CPU、62・・
・メモリ、63・・・外部記憶装置、64・・・通信装置、65・・・入力装置、66・
・・出力装置、67・・・読取装置、68・・・可搬性を有する記憶媒体。
11 1 , 11 m ... Terminal device, 12 1 , 12 k ... Service providing device, 12 1 , 12 n.
Certificate authority device, 14... Network, 15... Joint signature verification device, 20a, 30a
, 40a, 50a ... processing unit, 20b, 30b, 40b, 50b ... storage unit, 20c
, 30c, 40c, 50c ... input / output unit, 20d, 30d, 40d, 50d ... communication unit, 21 ... service application unit, 22 ... digital signature generation unit, 23 ...
... Revocation information providing unit, 44 ... Linking information providing unit, 45 ... Certificate holding unit,
.. Issuing destination management information holding unit 47... Revocation
..Output device, 67... Reading device, 68... Portable storage medium.
Claims (7)
電子計算機から、前記認証用証明書を特定する情報を含む、該認証用証明書の一世代前の認証用証明書を特定する情報の要求を受信し、
前記受信した認証用証明書を特定する情報と前記記憶装置の情報に基づき、前記一世代前の認証用証明書を特定する情報を取得し、
該取得情報を前記電子計算機に送信する処理装置と、
を具備する、
ことを特徴とする認証局装置。 A storage device for storing information for identifying the authentication certificate for each generation;
Receiving a request for information specifying an authentication certificate one generation before the authentication certificate, including information specifying the authentication certificate from an electronic computer;
Based on the information for specifying the received authentication certificate and the information in the storage device, obtain information for specifying the authentication certificate for the previous generation,
A processing device for transmitting the acquired information to the electronic computer;
Comprising
A certificate authority apparatus characterized by that.
電子計算機から、前記署名用証明書を含む該署名用証明書の有効性確認要求、および、前記署名用証明書に紐付く前記認証用証明書の情報の要求を受信し、
前記記憶部を参照して、前記署名用証明書の有効性確認、および、前記要求された認証用証明書の情報の取得を行い、
該確認の結果、および、該取得情報を前記電子計算機に送信する処理装置と、
を具備する、
ことを特徴とする認証局装置。 A storage device for storing certificate revocation information, and information for linking a signature certificate and an authentication certificate;
From the electronic computer, a request for checking the validity of the signing certificate including the signing certificate and a request for information on the authentication certificate associated with the signing certificate are received.
Referring to the storage unit, the validity of the signing certificate is confirmed, and the requested authentication certificate information is obtained.
A result of the confirmation, and a processing device for transmitting the acquired information to the electronic computer;
Comprising
A certificate authority apparatus characterized by that.
端末装置から前記認証用証明書を受信し、
該認証用証明書から該認証用証明書を特定する情報を取得し、
該取得情報が記憶装置に無い場合、前記受信した認証用証明書の一世代前の認証用証明書を特定する情報を認証局装置へ要求し、
前記認証局装置から前記一世代前の認証用証明書を特定する情報を受信し、
該受信情報が前記記憶装置に有る場合、該記憶装置における該当情報を、前記取得した認証用証明書を特定する情報に更新する処理装置と、
を具備する、
ことを特徴とする証明書更新装置。 A storage device for storing information for identifying an authentication certificate;
Receiving the authentication certificate from the terminal device;
Obtaining information for identifying the authentication certificate from the authentication certificate;
If the acquired information is not in the storage device, request the certificate authority device for information identifying the authentication certificate one generation before the received authentication certificate,
Receiving information identifying the certificate for the previous generation from the certificate authority device;
When the received information is in the storage device, the processing device updates the corresponding information in the storage device to information specifying the acquired authentication certificate;
Comprising
A certificate renewal device.
電子計算機から、認証用証明書を特定する情報を含む、該認証用証明書の一世代前の認証用証明書を特定する情報の要求を受信し、
前記受信した認証用証明書を特定する情報、および、記憶装置に記憶されている世代ごとの認証用証明書を特定する情報に基づき、前記一世代前の認証用証明書を特定する情報を取得し、
該取得情報を前記電子計算機に送信する、
ことを特徴とする証明書管理方法。 By the certificate authority device,
Receiving a request for information specifying an authentication certificate one generation before the authentication certificate, including information specifying the authentication certificate from an electronic computer;
Based on the information for specifying the received authentication certificate and the information for specifying the authentication certificate for each generation stored in the storage device, the information for specifying the authentication certificate for the previous generation is acquired. And
Sending the acquired information to the electronic computer;
Certificate management method characterized by the above.
電子計算機から署名用証明書を含む該署名用証明書の有効性確認要求を受信し、
記憶部に記憶されている証明書の失効情報に基づき、前記署名用証明書の有効性を確認し、
該確認の結果を前記電子計算機に送信し、
前記電子計算機から、前記受信した署名用証明書に紐付く認証用証明書の情報の要求を受信し、
該要求、および、前記記憶部に記憶されている前記署名用証明書と前記認証用証明書の紐付け情報に基づき、前記要求された認証用証明書の情報を取得し、
該取得情報を前記電子計算機に送信する、
ことを特徴とする証明書管理方法。 By the certificate authority device,
Receiving a validity check request for the signature certificate including the signature certificate from the electronic computer;
Based on the certificate revocation information stored in the storage unit, check the validity of the signing certificate,
Sending the result of the confirmation to the computer;
Receiving a request for authentication certificate information associated with the received signature certificate from the electronic computer;
Based on the request and the association information of the signature certificate and the authentication certificate stored in the storage unit, the information of the requested authentication certificate is acquired,
Sending the acquired information to the electronic computer;
Certificate management method characterized by the above.
電子計算機から、署名用証明書を含む該署名用証明書の有効性確認要求、および、前記署名用証明書に紐付く認証用証明書の情報の要求を受信し、
記憶部に記憶されている証明書の失効情報、および、前記署名用証明書と前記認証用証明書の紐付け情報に基づき、前記署名用証明書の有効性確認、および、前記要求された認証用証明書の情報の取得を行い、
該確認の結果、および、該取得情報を前記電子計算機に送信する、
ことを特徴とする証明書管理方法。 By the certificate authority device,
From the electronic computer, a request for verifying the validity of the signing certificate including the signing certificate and a request for information on the authentication certificate associated with the signing certificate are received.
Based on the certificate revocation information stored in the storage unit and the linking information between the signing certificate and the authentication certificate, the validity check of the signing certificate and the requested authentication are performed. Obtain certificate information,
Transmitting the result of the confirmation and the acquired information to the electronic computer;
Certificate management method characterized by the above.
端末装置から認証用証明書を受信し、
該認証用証明書から該認証用証明書を特定する情報を取得し、
該取得情報が記憶装置に無い場合、前記受信した認証用証明書の一世代前の認証用証明書を特定する情報を認証局装置へ要求し、
前記認証局装置から前記一世代前の認証用証明書を特定する情報を受信し、
該受信情報が前記記憶装置に有る場合、該記憶装置における該当情報を、前記取得した認証用証明書を特定する情報に更新する、
ことを特徴とする証明書管理方法。 By computer
Receive authentication certificate from terminal device,
Obtaining information for identifying the authentication certificate from the authentication certificate;
If the acquired information is not in the storage device, request the certificate authority device for information identifying the authentication certificate one generation before the received authentication certificate,
Receiving information identifying the certificate for the previous generation from the certificate authority device;
When the received information is in the storage device, the corresponding information in the storage device is updated to information for specifying the acquired authentication certificate.
Certificate management method characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015085533A JP5899351B2 (en) | 2015-04-20 | 2015-04-20 | Certificate authority apparatus, certificate update apparatus, and certificate management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015085533A JP5899351B2 (en) | 2015-04-20 | 2015-04-20 | Certificate authority apparatus, certificate update apparatus, and certificate management method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012086949A Division JP5743946B2 (en) | 2012-04-06 | 2012-04-06 | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015144491A JP2015144491A (en) | 2015-08-06 |
JP5899351B2 true JP5899351B2 (en) | 2016-04-06 |
Family
ID=53889199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015085533A Active JP5899351B2 (en) | 2015-04-20 | 2015-04-20 | Certificate authority apparatus, certificate update apparatus, and certificate management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5899351B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7317659B2 (en) * | 2019-10-09 | 2023-07-31 | 株式会社日立製作所 | Computer system and cooperative control method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004248220A (en) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Public key certificate issuing apparatus, public key certificate recording medium, certification terminal equipment, public key certificate issuing method, and program |
JP2006074425A (en) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | Public key certificate verification device, public key certificate verification method, and program |
JP5425496B2 (en) * | 2009-03-19 | 2014-02-26 | 日立公共システムエンジニアリング株式会社 | Communication system, certificate verification apparatus, and service providing method |
-
2015
- 2015-04-20 JP JP2015085533A patent/JP5899351B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015144491A (en) | 2015-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2022204148B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
JP7228977B2 (en) | Information processing device, authorization system and verification method | |
RU2434340C2 (en) | Infrastructure for verifying biometric account data | |
KR100697133B1 (en) | Method of supporting exchanging of electronic documents with electronic signature and information processing device | |
JP6675163B2 (en) | Authority transfer system, control method of authorization server, authorization server and program | |
WO2017147692A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
JP2010118858A (en) | Method of validating public key certificate, and validation server | |
JP2004072717A (en) | Authentication base system with notification function for issuance of crl | |
JP5743946B2 (en) | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program | |
CN110535807B (en) | Service authentication method, device and medium | |
JP2017199145A (en) | Server unit, system, information processing method and program | |
JP2015194879A (en) | Authentication system, method, and provision device | |
JP6688266B2 (en) | Identity verification information provision method and identity verification information provision server | |
JP5785875B2 (en) | Public key certificate verification method, verification server, relay server, and program | |
JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
JP7462903B2 (en) | User terminal, authenticator terminal, registrant terminal, management system and program | |
JP5899351B2 (en) | Certificate authority apparatus, certificate update apparatus, and certificate management method | |
WO2022123745A1 (en) | Certificate issuance assist system, certificate issuance assistance method, and program | |
JP2012222594A (en) | Signature server, signature system and signature processing method | |
JP6435678B2 (en) | Information processing apparatus, management apparatus, program, and system | |
JP2017152877A (en) | Electronic key re-registration system, electronic key re-registration method, and program | |
KR20200130191A (en) | Method and server for managing user identity using blockchain network, and method and terminal for verifying user using user identity based on blockchain network | |
WO2010107298A2 (en) | Method of generating a proxy certificate | |
JP7351873B2 (en) | Information processing device, information processing method, and information processing program | |
JP5018849B2 (en) | Authentication infrastructure system with CRL issue notification function |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160307 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5899351 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |