JP6907111B2 - 電子証明書管理システムおよび電子証明書管理方法 - Google Patents
電子証明書管理システムおよび電子証明書管理方法 Download PDFInfo
- Publication number
- JP6907111B2 JP6907111B2 JP2017253403A JP2017253403A JP6907111B2 JP 6907111 B2 JP6907111 B2 JP 6907111B2 JP 2017253403 A JP2017253403 A JP 2017253403A JP 2017253403 A JP2017253403 A JP 2017253403A JP 6907111 B2 JP6907111 B2 JP 6907111B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- key
- private key
- encryption key
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
以下、本発明に係る実施形態1を、図1ないし図11を用いて説明する。
先ず、図1ないし図3を用いて実施形態1に係る電子証明書管理システムの構成について説明する。
c=Enc(ck,p)…(式1)
ここで、ckは共通鍵暗号方式の鍵を表し、pは平文を表し、また、cは暗号文を表す。
また、証明書処理プログラム380は、このIoT機器の取り扱う証明書に関する処理をするプログラムであり、公開鍵生成モジュール311、共通鍵生成モジュール312、暗号化モジュール313、復号モジュール314、および期限管理モジュール315からなる。
共通鍵生成モジュール312は、共通鍵方式の鍵を生成するモジュールである。特に、IoT機器110では、秘密鍵を暗号化する鍵を生成する。
暗号化モジュール313は、共通鍵暗号方式の鍵を用いて平文を暗号化することによって暗号文を生成するモジュールである。暗号化は暗号化モジュール212と同じ(式1)に従って、実行される。
p=Dec(ck,c) …(式2)
ここで、ckは共通鍵暗号方式の鍵を表し、cは暗号文を表し、pは平文を表す。
esk2=Enc(ck,sk2) …(式3)
ここで、ckは共通鍵暗号方式の鍵を表し、sk2は第2の秘密鍵を表し、esk2は暗号化された第2の秘密鍵340を表す。
ecert2=Enc(ck’,cert2) …(式4)
ここで、ck’は共通鍵暗号方式の鍵を表し、cert2は第2の証明書を表し、ecert2は暗号化された第2の証明書350を表す。
第1の証明書テーブル230は、各IoT機器110の第1の証明書に関する情報を格納するためのテーブルであり、図4に示されるように、証明書ID501、第1の証明書カラム502の各カラムから構成されるレコードを含むテーブルである。ここで、一つのレコードが一つのIoT機器110の第1の証明書に対応する情報である。
第1の証明書カラム502は、IoT機器110の第1の証明書を格納するカラムである。
第2の証明書カラム602は、IoT機器110の第2の証明書を格納するカラムである。
秘密鍵暗号化鍵カラム603は、IoT機器110の第2の秘密鍵を暗号化する共通鍵ckを格納するカラムである。
証明書暗号化鍵カラム604は、IoT機器110の第2の証明書を暗号化する共通鍵ck’を格納するカラムである。
第1の証明書、および第2の証明書は、図6に示した証明書700のフォーマットに従うフォーマットを有する。
シーケンス番号702のフィールドには、証明書の番号が記載される。シーケンス番号702は、発行人が証明書に付ける通し番号で、発行人が発行する証明書の一つ一つに個別の番号が付けられる。
有効期間703のフィールドには、証明書の有効な期間を表す情報で、有効期間開始日時と終了日時からなる。
サブジェクト704のフィールドには、証明書が割り当てられるエンティティ(例えば、IoT機器110)を特定する情報が記載される。
公開鍵705のフィールドには、認証局が発行したこの証明書に係る公開鍵が記載される。
署名706のフィールドには、認証局が算出した署名値が記載される。証明書700のフォーマットの具体例として、例えばX.509が挙げられる。
先ず、図7を用いて実施形態1の電子証明書管理システムの処理の概要について説明する。
IoT機器110が、公開鍵生成モジュール311で第1の秘密鍵(sk1)320、第1の公開鍵pk1、第2の秘密鍵(sk2)340、および第2の公開鍵pk2を生成する(S901)。この際、第1の秘密鍵と第1の公開鍵は組をなし、第2の秘密鍵と第2の公開鍵は組をなすものとする。
そして、IoT機器110は、第1の公開鍵、第2の公開鍵、および秘密鍵暗号鍵を証明書管理サーバ100に送信する(S903)。
そして、証明書管理サーバ100は、第1の証明書に関する情報を第1の証明書テーブル230に格納する(S906)。
そして、証明書管理サーバ100は、秘密鍵暗号化鍵ck、証明書暗号化鍵ck’、および第2の証明書cert2の情報を、第2の証明書テーブル240に格納する(S908)。
そして、証明書管理サーバ100は、第1の証明書330、および暗号化された第2の証明書350をIoT機器110に送信する(S910)。
また、IoT機器110は、証明書管理サーバ100から受信した暗号化された第2の証明書350を第2の記憶装置304に保管する(S913)。
IoT機器110は、秘密鍵暗号化鍵ckを削除する(S914)。
証明書管理サーバ100は、第2の証明書テーブルを非公開に設定し、外部からのアクセスを禁止し(S915)、IoT機器110からアクセスできないようにする。
先ず、証明書管理サーバ100は、第1の有効期間開始日時に第1の証明書テーブル230を公開する(S1001)。
証明書管理サーバ100が、IoT機器失効要求を受け付ける(S1101)。
証明書管理サーバ100は、要求されたIoT機器110に紐づく有効な証明書を証明書失効リスト(CRL)に登録する(S1102)。
証明書管理サーバ100は、要求されたIoT機器110に紐づく未公開の証明書があるか否かを確認する(S1103)。
S1103で未公開の証明書がない場合(S1103:No)、処理を終了する。
S1103で未公開の証明書がある場合(S1103:Yes)、未公開の証明書を含むレコードを証明書テーブルから消去して(S1104)、処理を終了する。
証明書管理サーバ100が、証明書失効要求を受け付ける(S1201)。
証明書管理サーバ100は、要求されたIoT機器に紐づく有効な証明書を証明書失効リスト(CRL)に登録する(S1202)。
証明書管理サーバ100は、要求されたIoT機器に紐づく未公開の証明書があるか否かを確認する(S1203)。
S1203で未公開の証明書がある場合(S1203:Yes)、未公開の証明書のうち、有効期間終了日時が最も現在に近い証明書に紐づく証明書テーブルのレコードを公開し(S1204)、処理を終了する。公開された証明書は、これ以降、アクセスは、禁止されず、外部から参照可能になる。
以下、本発明に係る実施形態2を、図12ないし図15を用いて説明する。
実施形態1では、証明書管理サーバ100がIoT機器110に対して、第1の証明書と第2の証明書を発行し、第1の証明書の有効期間が過ぎたときに、IoT機器110に対して、暗号化された第2の証明書を復号化して利用する例について説明した。
実施形態2の電子証明書管理システムの構成は、実施形態1のシステム構成と同様である。ただし、実施形態2では、証明書管理サーバ100の構成において、記憶装置203に格納されるデータ、および、IoT機器110の構成において、第1の記憶装置303および第2の記憶装置304の格納するデータが一部異なる。
実施形態2の証明書管理サーバ100の記憶装置203は、第一の証明書テーブルと第2の証明書テーブルに加えて、さらに、第3の証明書テーブルから第Nの証明書テーブルのN−2個のテーブルを格納している。また、IoT機器110の第1の記憶装置303は、第1の秘密鍵と暗号化された第2の秘密鍵に加えて、さらに、暗号化された第3の秘密鍵から暗号化された第Nの秘密鍵360のN−2個の暗号化された秘密鍵を格納しており、IoT機器110の第2の記憶装置304は、第1の証明書と暗号化された第2の証明書に加えて、さらに、暗号化された第3の証明書から暗号化された第Nの証明書370のN−2個の暗号化された証明書を格納している。
IoT機器110が、公開鍵生成モジュール311でN(N≧2なる整数)組の公開鍵方式の秘密鍵と公開鍵の組を生成する(S1501)。ここで、k(k≧1なる整数)組目の秘密鍵と公開鍵の組は、秘密鍵を第kの秘密鍵、公開鍵を第kの公開鍵と呼ぶ。
第1の有効期間中の処理S1601、S1602は、それぞれ実施形態1の図9のS1001、S1002と同様である。
110…IoT機器
120…IoTサーバ
150…ネットワーク
201、301…プロセッサ
202、302…主メモリ
203…記憶装置
208、307…補助記憶装置インタフェース
303…第1の記憶装置
304…第2の記憶装置
305…第3の記憶装置
204、306…ネットワークインタフェース
205…I/Oインタフェース
206…入力装置
207…出力装置
209、310…制御プログラム
210…証明書管理プログラム
211…共通鍵生成モジュール
212…暗号化モジュール
213…証明書生成モジュール
214…アクセス制御モジュール
220…認証局秘密鍵
230…第1の証明書テーブル
240…第2の証明書テーブル
380…証明書処理プログラム
311…公開鍵生成モジュール
312…共通鍵生成モジュール
313…暗号化モジュール
314…復号モジュール
315…期限管理モジュール
320…第1の秘密鍵
330…第1の証明書
340…暗号化された第2の秘密鍵
350…暗号化された第2の証明書
Claims (6)
- ネットワークに接続される機器の電子証明書の発行と有効性を管理する電子証明書管理システムであって、
前記機器とネットワークにより接続され、前記機器の電子証明書を管理する証明書管理サーバを備え、
前記証明書管理サーバは、記憶装置に、前記機器の真正性を証明する電子証明書である第1の証明書と第2の証明書とを保持し、
前記第2の証明書の有効期間の終了日時は、前記第1の証明書の有効期間の終了日時よりも後ろの日時であって、
前記機器は、記憶装置に、
共通鍵である証明書暗号化鍵により、前記第2の証明書を暗号化した暗号化された第2の証明書を保持し、
前記証明書管理サーバは、記憶装置に、
前記第2の証明書と関連付けて、前記証明書暗号化鍵とを保持し、
前記機器は、
前記第1の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記証明書暗号化鍵を受信し、
前記証明書暗号化鍵により、前記暗号化された第2の証明書を復号することを特徴とする電子証明書管理システム。 - 前記機器は、記憶装置に、
共通鍵である秘密鍵暗号化鍵により、前記第2の証明書の公開鍵と対になる秘密鍵を暗号化した暗号化された秘密鍵を保持し、
前記機器は、前記秘密鍵の暗号化後に、記憶装置から前記秘密鍵暗号化鍵を削除し、
前記証明書管理サーバは、記憶装置に、
前記第2の証明書と関連付けて、前記証明書暗号化鍵を保持し、
前記第2の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記秘密鍵暗号化鍵と、前記証明書暗号化鍵を受信し、
前記秘密鍵暗号化鍵により、前記暗号化された秘密鍵を復号することを特徴とする請求項1記載の電子証明書管理システム。 - ネットワークに接続される機器の電子証明書の発行と有効性を管理する電子証明書管理システムであって、
前記機器とネットワークにより接続され、前記機器の電子証明書を管理する証明書管理サーバを備え、
前記証明書管理サーバは、記憶装置に、前記機器の真正性を証明する電子証明書である第k(kは、1≦k≦Nなる整数、Nは、2≦Nなる整数)の証明書を保持し、
前記第k(kは、2≦k≦Nなる整数)の証明書の有効期間の終了日時は、第k−1の証明書の有効期間の終了日時よりも後ろの日時であって、
前記機器は、記憶装置に、
共通鍵である第k−1の証明書暗号化鍵により、前記第kの証明書を暗号化した暗号化された第kの証明書を保持し、
前記証明書管理サーバは、記憶装置に、
前記第kの証明書と関連付けて、前記第k−1の証明書暗号化鍵を保持し、
前記機器は、
前記第k−1の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記第k−1の証明書暗号化鍵を受信し、
前記第k−1の証明書暗号化鍵により、前記暗号化された第kの証明書を復号することを特徴とする電子証明書管理システム。 - 前記機器は、記憶装置に、
共通鍵である第k−1の秘密鍵暗号化鍵により、前記第kの証明書の公開鍵と対になる秘密鍵を暗号化した暗号化された第kの秘密鍵を保持し、
前記機器は、前記第kの秘密鍵の暗号化後に、記憶装置から前記第k−1の秘密鍵暗号化鍵を削除し、
前記証明書管理サーバは、記憶装置に、
前記第kの証明書と関連付けて、前記第k−1の秘密鍵暗号化鍵を保持し、
前記機器は、
前記第k−1の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記第k−1の秘密鍵暗号化鍵を受信し、
前記第k−1の秘密鍵暗号化鍵により、前記暗号化された第kの秘密鍵を復号することを特徴とする請求項3記載の電子証明書管理システム。 - ネットワークに接続される機器の電子証明書の発行と有効性を管理する電子証明書管理システムの電子証明書管理方法であって、
電子証明書管理システムは、前記機器とネットワークにより接続され、前記機器の電子証明書を管理する証明書管理サーバを備え、
前記証明書管理サーバが、前記機器の真正性を証明する電子証明書である第1の証明書と、第2の証明書とを発行し、記憶装置に、前記第1の証明書と前記第2の証明書とを保持するステップと、
前記証明書管理サーバが、前記第2の証明書の有効期間の終了日時を、前記第1の証明書の有効期間の終了日時よりも後ろの日時に設定するステップと、
前記機器が、前記第2の証明書を、共通鍵である証明書暗号化鍵により、暗号化するステップと、
前記機器が、記憶装置に、
前記証明書暗号化鍵により、暗号化した暗号化された第2の証明書を保持するステップと、
前記証明書管理サーバが、記憶装置に、
前記第2の証明書と関連付けて、前記証明書暗号化鍵とを保持するステップと、
前記機器が、
前記第1の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記証明書暗号化鍵を受信するステップと、
前記証明書暗号化鍵により、前記暗号化された第2の証明書を復号するステップとを有することを特徴とする電子証明書管理方法。 - 前記機器が、前記第2の証明書の公開鍵と対になる秘密鍵を、共通鍵である秘密鍵暗号化鍵により、暗号化するステップと、
前記機器が、記憶装置に、
前記秘密鍵暗号化鍵により、暗号化した暗号化された秘密鍵を保持するステップと、
前記機器が、前記秘密鍵の暗号化後に、記憶装置から前記秘密鍵暗号化鍵を削除するステップと、
前記証明書管理サーバが、記憶装置に、
前記第2の証明書と関連付けて、前記秘密鍵暗号化鍵を保持するステップと、
前記機器が、
前記第2の証明書の有効期間の終了日時後に、前記証明書管理サーバより、前記秘密鍵暗号化鍵を受信するステップと、
前記秘密鍵暗号化鍵により、前記暗号化された秘密鍵を復号するステップとを有することを特徴とする請求項5記載の電子証明書管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017253403A JP6907111B2 (ja) | 2017-12-28 | 2017-12-28 | 電子証明書管理システムおよび電子証明書管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017253403A JP6907111B2 (ja) | 2017-12-28 | 2017-12-28 | 電子証明書管理システムおよび電子証明書管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019121823A JP2019121823A (ja) | 2019-07-22 |
JP6907111B2 true JP6907111B2 (ja) | 2021-07-21 |
Family
ID=67305597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017253403A Active JP6907111B2 (ja) | 2017-12-28 | 2017-12-28 | 電子証明書管理システムおよび電子証明書管理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6907111B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4058035B2 (ja) * | 2004-11-18 | 2008-03-05 | 株式会社東芝 | 公開鍵基盤システム及び公開鍵基盤方法 |
JP2010081154A (ja) * | 2008-09-25 | 2010-04-08 | Fuji Xerox Co Ltd | 情報処理装置、プログラム、及び情報処理システム |
WO2015193945A1 (ja) * | 2014-06-16 | 2015-12-23 | 富士通株式会社 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
WO2016147568A1 (ja) * | 2015-03-18 | 2016-09-22 | パナソニックIpマネジメント株式会社 | 通信装置、相手方通信装置及び通信プログラム |
-
2017
- 2017-12-28 JP JP2017253403A patent/JP6907111B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019121823A (ja) | 2019-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7273148B2 (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
US9374373B1 (en) | Encryption techniques for improved sharing and distribution of encrypted content | |
US10810315B2 (en) | Enabling access to data | |
US8423764B2 (en) | Method and apparatus for key revocation in an attribute-based encryption scheme | |
US7697692B2 (en) | Cryptographic communication system and method | |
US7386722B2 (en) | Certificate management system and method | |
CA3013687C (en) | A method of data transfer, a method of controlling use of data and a cryptographic device | |
US8315395B2 (en) | Nearly-stateless key escrow service | |
CN104012028A (zh) | 加密数据管理装置、加密数据管理方法以及加密数据管理程序 | |
KR100947119B1 (ko) | 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말 | |
US20220014354A1 (en) | Systems, methods and devices for provision of a secret | |
US8732481B2 (en) | Object with identity based encryption | |
JP5264548B2 (ja) | 認証システムおよび認証方法 | |
JP2007312128A (ja) | 電子データ閲覧システム、装置及びプログラム | |
US20080159543A1 (en) | Public Key Cryptographic Method And System, Certification Server And Memories Adapted For Said System | |
KR100984275B1 (ko) | 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법 | |
JP6907111B2 (ja) | 電子証明書管理システムおよび電子証明書管理方法 | |
JP7215580B2 (ja) | チャットボットシステム及び情報処理方法 | |
JP7211518B2 (ja) | 所有者同一性確認システムおよび所有者同一性確認方法 | |
JP7211519B2 (ja) | 所有者同一性確認システム、端末および所有者同一性確認方法 | |
CN112805960B (zh) | 认证授权系统、信息处理装置、设备、认证授权方法及程序 | |
JP6492785B2 (ja) | 情報処理システム、情報処理方法、及び、情報処理プログラム | |
JP6467385B2 (ja) | ユーザ端末、暗号化復号方法、及びプログラム | |
KR20230080676A (ko) | 고속 블록체인 네트워크를 이용한 did 관리 시스템 및 방법 | |
JP6108012B2 (ja) | 情報配信システム、情報処理装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200325 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210323 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210521 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210601 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210630 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6907111 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |