JPH11231776A - 証明書発行方法およびその装置 - Google Patents
証明書発行方法およびその装置Info
- Publication number
- JPH11231776A JPH11231776A JP10031560A JP3156098A JPH11231776A JP H11231776 A JPH11231776 A JP H11231776A JP 10031560 A JP10031560 A JP 10031560A JP 3156098 A JP3156098 A JP 3156098A JP H11231776 A JPH11231776 A JP H11231776A
- Authority
- JP
- Japan
- Prior art keywords
- key
- information
- certificate application
- disposable
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 オンラインで本人性を確認し、その人のその
公開鍵であることの証明書を発行する。 【解決手段】 証明書申請情報CRIに、クレジット番
号のような本人性を示す機密情報を含め、このCRIを
使い捨て秘密鍵Ss1でディジタル署名を付けCRI−
Sとし、これをランダム生成暗号鍵Er で暗号化してC
RI−S−Eとし、使い捨て秘密鍵Es1と申請受理装
置の公開鍵Epで共有鍵SKを作り、SKでEr を暗号
化してEr −Eとし、CRI−S−E、Er −E、Ss
1の公開鍵Sp1、Es1の公開鍵Ep1を申請受理装
置へ送る。受理装置は、秘密鍵Es2とEp1でSKを
作り、SKでEr −Eを復号し、Er でCRI−S−E
を復号し、CRI−SをSp1で検証し、合格するとC
RI中の本人性を示す機密情報の正当性を確認して証明
書を発行する。
公開鍵であることの証明書を発行する。 【解決手段】 証明書申請情報CRIに、クレジット番
号のような本人性を示す機密情報を含め、このCRIを
使い捨て秘密鍵Ss1でディジタル署名を付けCRI−
Sとし、これをランダム生成暗号鍵Er で暗号化してC
RI−S−Eとし、使い捨て秘密鍵Es1と申請受理装
置の公開鍵Epで共有鍵SKを作り、SKでEr を暗号
化してEr −Eとし、CRI−S−E、Er −E、Ss
1の公開鍵Sp1、Es1の公開鍵Ep1を申請受理装
置へ送る。受理装置は、秘密鍵Es2とEp1でSKを
作り、SKでEr −Eを復号し、Er でCRI−S−E
を復号し、CRI−SをSp1で検証し、合格するとC
RI中の本人性を示す機密情報の正当性を確認して証明
書を発行する。
Description
【0001】
【発明の属する技術分野】この発明は電気通信システム
や電子計算機等を利用して、電子的な証明書を申請し、
これを検証して証明書を発行する方法、及びその装置に
関する。
や電子計算機等を利用して、電子的な証明書を申請し、
これを検証して証明書を発行する方法、及びその装置に
関する。
【0002】
【従来の技術】各種プログラムデータ、各種データベー
スのデータなど各種の電子情報を取得することが考えら
れる。この場合供給するデータが第3者により取得され
ないように、公開鍵の本人のものであることを示す証明
書をデータ供給者が受取り、その証明書内の公開鍵を用
いて供給データを暗号化して提供し、その利用者のみが
秘密に保持する秘密鍵でその供給された暗号化データを
復号できるようにする。
スのデータなど各種の電子情報を取得することが考えら
れる。この場合供給するデータが第3者により取得され
ないように、公開鍵の本人のものであることを示す証明
書をデータ供給者が受取り、その証明書内の公開鍵を用
いて供給データを暗号化して提供し、その利用者のみが
秘密に保持する秘密鍵でその供給された暗号化データを
復号できるようにする。
【0003】このような証明書を発行してもらうには、
従来においては、証明書申請者の本人性の確認を行うた
めにはオフラインでの本人認証を行う必要が存在した。
そのため、自動化・効率化が制限され、その処理に少な
からぬ時間・コストを要する。上述のような問題を解決
して、個人情報を漏洩することなくセキュリティが確保
された確実な本人認証を実現している技術は確立されて
いない。
従来においては、証明書申請者の本人性の確認を行うた
めにはオフラインでの本人認証を行う必要が存在した。
そのため、自動化・効率化が制限され、その処理に少な
からぬ時間・コストを要する。上述のような問題を解決
して、個人情報を漏洩することなくセキュリティが確保
された確実な本人認証を実現している技術は確立されて
いない。
【0004】
【発明が解決しようとする課題】オフラインでの本人認
証と同様の安全性を有しながら、本人認証のオンライン
化による証明書申請・発行処理の効率化・リアルタイム
化を実現する方法及びその装置を提供することである。
上述の従来技術でも記述したが、証明書申請・発行にお
けるオンラインでの本人認証を実現した技術は確立され
ていない。
証と同様の安全性を有しながら、本人認証のオンライン
化による証明書申請・発行処理の効率化・リアルタイム
化を実現する方法及びその装置を提供することである。
上述の従来技術でも記述したが、証明書申請・発行にお
けるオンラインでの本人認証を実現した技術は確立され
ていない。
【0005】本人認証を行うためには、本人しか持ちえ
ない情報(または物)を提示する必要がある。電子の世
界で本人認証を実現するための技術としてディジタル署
名方式が存在するがディジタル署名方式は鍵の与信の上
に成り立つ。与信された鍵を保有していない者の本人性
を認証することは困難である。そのため従来技術では、
初めて鍵の与信を受ける際にオフラインでの本人認証を
必要とし、コスト面や利便性等において問題が存在し
た。鍵の与信がされていない状態からオンラインで本人
性を認証するには、本人しか知りえない情報を認証を受
けたい相手に示せば良いのであるが、その際に第三者に
その情報が漏洩する等の脅威が存在する。本人しか知り
えない情報がセキュリティの確保された状態で伝達する
ことができれば、オンラインでの本人認証も可能とな
る。
ない情報(または物)を提示する必要がある。電子の世
界で本人認証を実現するための技術としてディジタル署
名方式が存在するがディジタル署名方式は鍵の与信の上
に成り立つ。与信された鍵を保有していない者の本人性
を認証することは困難である。そのため従来技術では、
初めて鍵の与信を受ける際にオフラインでの本人認証を
必要とし、コスト面や利便性等において問題が存在し
た。鍵の与信がされていない状態からオンラインで本人
性を認証するには、本人しか知りえない情報を認証を受
けたい相手に示せば良いのであるが、その際に第三者に
その情報が漏洩する等の脅威が存在する。本人しか知り
えない情報がセキュリティの確保された状態で伝達する
ことができれば、オンラインでの本人認証も可能とな
る。
【0006】この発明の目的は、証明書申請者と証明書
発行者がオンラインで効率的に証明書申請・発行処理が
実施できる証明書発行方法を提供するものである。この
発明の別の目的は、証明書発行機関システムを低コスト
で実施できる証明書発行方法を提供することにある。こ
の発明のさらに別の目的は、第三者によるなりすましの
脅威を排除した安全な証明書発行処理が実施できる証明
書発行方法を提供することにある。
発行者がオンラインで効率的に証明書申請・発行処理が
実施できる証明書発行方法を提供するものである。この
発明の別の目的は、証明書発行機関システムを低コスト
で実施できる証明書発行方法を提供することにある。こ
の発明のさらに別の目的は、第三者によるなりすましの
脅威を排除した安全な証明書発行処理が実施できる証明
書発行方法を提供することにある。
【0007】
【課題を解決するための手段】この発明の証明書発行方
法は、使い捨て鍵という新しい概念を導入することによ
り安全に本人認証を行うための情報の送受を可能とし、
証明書申請者は証明書発行者に対し申請者しか知りえな
い情報、例えば本人がクレジット金融の会員であって、
本人とクレジット会社しか知り得ないクレジット番号と
本人の氏名、住所などとを安全に提示することで鍵の与
信がされていない状態においてオンラインでの確実な本
人性の認証を保証し、確実な証明書発行を実施可能とす
る。
法は、使い捨て鍵という新しい概念を導入することによ
り安全に本人認証を行うための情報の送受を可能とし、
証明書申請者は証明書発行者に対し申請者しか知りえな
い情報、例えば本人がクレジット金融の会員であって、
本人とクレジット会社しか知り得ないクレジット番号と
本人の氏名、住所などとを安全に提示することで鍵の与
信がされていない状態においてオンラインでの確実な本
人性の認証を保証し、確実な証明書発行を実施可能とす
る。
【0008】証明書発行方法の処理は以下のステップで
実施される。 ステップ1:証明書申請者は証明書申請装置に対し、一
般には本人しか知り得ない情報を含む証明書申請情報を
入力する。 ステップ2:証明書申請装置は使い捨て鍵を生成し、そ
れを用い証明書申請情報のセキュリティ化を行う。 ステップ3:証明書申請装置は上記使い捨て鍵と対をな
す使い捨て公開鍵情報とステップ2でセキュリティ化し
た情報を証明書申請受理装置に送る。 ステップ4:証明書申請受理装置は使い捨て公開鍵情報
を用いセキュリティ化された情報を検証し、検証結果を
証明書発行装置に送る。 ステップ5:証明書発行装置は検証結果に応じ、証明書
申請情報の取り扱いを決定する。 ステップ6:証明書発行装置は証明書申請情報の正当性
が確認された場合、証明書の発行を行い、正当性を確認
できない場合は証明書の発行は行われない。 ステップ7:証明書発行装置は証明書発行手続きの結果
を申請者に対し通知する。
実施される。 ステップ1:証明書申請者は証明書申請装置に対し、一
般には本人しか知り得ない情報を含む証明書申請情報を
入力する。 ステップ2:証明書申請装置は使い捨て鍵を生成し、そ
れを用い証明書申請情報のセキュリティ化を行う。 ステップ3:証明書申請装置は上記使い捨て鍵と対をな
す使い捨て公開鍵情報とステップ2でセキュリティ化し
た情報を証明書申請受理装置に送る。 ステップ4:証明書申請受理装置は使い捨て公開鍵情報
を用いセキュリティ化された情報を検証し、検証結果を
証明書発行装置に送る。 ステップ5:証明書発行装置は検証結果に応じ、証明書
申請情報の取り扱いを決定する。 ステップ6:証明書発行装置は証明書申請情報の正当性
が確認された場合、証明書の発行を行い、正当性を確認
できない場合は証明書の発行は行われない。 ステップ7:証明書発行装置は証明書発行手続きの結果
を申請者に対し通知する。
【0009】
【発明の実施の形態】以下、図面を用いてこの発明の実
施例について詳しく説明する。図1にこの発明の方法が
適用されるシステム構成の例を示す。証明書申請者が証
明書申請装置11を用いて、証明書申請情報を作り、通
信回線12で接続された認証局装置13内の証明書申請
受理装置14に送る。証明書申請受理装置14は受信情
報を検証し、その検証結果と証明書申請情報を証明書発
行装置15へ送る。証明書発行装置15は、その検証結
果と、証明書申請情報の検証に応じた結果を通信回線1
2を通じて証明書申請装置11へ送る。
施例について詳しく説明する。図1にこの発明の方法が
適用されるシステム構成の例を示す。証明書申請者が証
明書申請装置11を用いて、証明書申請情報を作り、通
信回線12で接続された認証局装置13内の証明書申請
受理装置14に送る。証明書申請受理装置14は受信情
報を検証し、その検証結果と証明書申請情報を証明書発
行装置15へ送る。証明書発行装置15は、その検証結
果と、証明書申請情報の検証に応じた結果を通信回線1
2を通じて証明書申請装置11へ送る。
【0010】図2に証明書申請装置11の機能構成例を
示す。申請情報生成部21、署名用鍵生成部22、配送
用鍵生成部23、共通鍵生成部24、暗号化鍵生成部2
5、署名部26、暗号化部27,28、公開鍵送信情報
生成部29、送出すべき情報を結合する結合部31、外
部へ情報を送信する送信部32、外部からの情報を受信
する受信部33、各種情報を記憶する記憶部34、各部
を順次制御したり、記憶部34に対する読み書きを行っ
たりする制御部35、各種情報、指令などを入力するキ
ーボードなどの入力手段36などよりなる。これらは通
常はマイクロプロセッサなどにより構成される。
示す。申請情報生成部21、署名用鍵生成部22、配送
用鍵生成部23、共通鍵生成部24、暗号化鍵生成部2
5、署名部26、暗号化部27,28、公開鍵送信情報
生成部29、送出すべき情報を結合する結合部31、外
部へ情報を送信する送信部32、外部からの情報を受信
する受信部33、各種情報を記憶する記憶部34、各部
を順次制御したり、記憶部34に対する読み書きを行っ
たりする制御部35、各種情報、指令などを入力するキ
ーボードなどの入力手段36などよりなる。これらは通
常はマイクロプロセッサなどにより構成される。
【0011】図3に証明書申請受理装置14、証明書発
行装置15の各機能構成例を示す。証明書申請受理装置
14では、外部からの情報を受信する受信部41、受信
された情報を分割する分割部42、配送用鍵生成部4
3、共通鍵生成部44、復号化部45,46、署名検証
部47、各種情報を記憶する記憶部48、各部を順次制
御したり、記憶部48に対する読み書きなどを行う制御
部49などを備えている。
行装置15の各機能構成例を示す。証明書申請受理装置
14では、外部からの情報を受信する受信部41、受信
された情報を分割する分割部42、配送用鍵生成部4
3、共通鍵生成部44、復号化部45,46、署名検証
部47、各種情報を記憶する記憶部48、各部を順次制
御したり、記憶部48に対する読み書きなどを行う制御
部49などを備えている。
【0012】証明書発行装置15は正当性検証部51、
証明書発行部52、外部へ情報を送出する送信部53を
備える。証明書申請受理装置14と証明書発行装置15
とが場所的に離れている場合は、これら間で情報を送、
受する送信部、受信部がそれぞれ設けられる。次に図2
乃至図4を参照して証明書申請の手順を説明する。証明
書申請人は、証明書申請受信装置14に対し、鍵配送用
使い捨て公開鍵Ep2を証明書申請装置11を操作し
て、請求し、この請求を受けた証明書申請受信装置14
は、配送用鍵生成部43にて配送用使い捨て秘密鍵Es
2、公開鍵Ep2を生成し、その秘密鍵Es2を記憶部
48に一時記憶すると共に証明書発行装置15の送信部
53を介して証明書申請装置11へ送る。証明書申請装
置11は受信した証明書申請受理装置14の配送用使い
捨て公開鍵Ep2を記憶部34に一時記憶する。この鍵
配送用鍵Es2,Ep2は離散対数系非対称鍵暗号方式
に用いられるものである。
証明書発行部52、外部へ情報を送出する送信部53を
備える。証明書申請受理装置14と証明書発行装置15
とが場所的に離れている場合は、これら間で情報を送、
受する送信部、受信部がそれぞれ設けられる。次に図2
乃至図4を参照して証明書申請の手順を説明する。証明
書申請人は、証明書申請受信装置14に対し、鍵配送用
使い捨て公開鍵Ep2を証明書申請装置11を操作し
て、請求し、この請求を受けた証明書申請受信装置14
は、配送用鍵生成部43にて配送用使い捨て秘密鍵Es
2、公開鍵Ep2を生成し、その秘密鍵Es2を記憶部
48に一時記憶すると共に証明書発行装置15の送信部
53を介して証明書申請装置11へ送る。証明書申請装
置11は受信した証明書申請受理装置14の配送用使い
捨て公開鍵Ep2を記憶部34に一時記憶する。この鍵
配送用鍵Es2,Ep2は離散対数系非対称鍵暗号方式
に用いられるものである。
【0013】先に、証明書申請装置11は申請者の操作
にもとずき、利用者情報、利用者鍵情報等からなる証明
書申請情報CRIを申請情報生成部21で構築し(S
1)、鍵配送用使い捨て鍵として秘密鍵Es1と公開鍵
Ep1を配送用鍵生成部23で生成し(S2)、ディジ
タル署名用使い捨て鍵として秘密鍵Ss1と公開鍵Sp
1を署名用鍵生成部22で生成する(S3)。この署名
用使い捨て鍵Ss1、Sp1は素因数分解系非対称鍵暗
号方式における鍵、その他の暗号方式にある鍵でもよ
い。
にもとずき、利用者情報、利用者鍵情報等からなる証明
書申請情報CRIを申請情報生成部21で構築し(S
1)、鍵配送用使い捨て鍵として秘密鍵Es1と公開鍵
Ep1を配送用鍵生成部23で生成し(S2)、ディジ
タル署名用使い捨て鍵として秘密鍵Ss1と公開鍵Sp
1を署名用鍵生成部22で生成する(S3)。この署名
用使い捨て鍵Ss1、Sp1は素因数分解系非対称鍵暗
号方式における鍵、その他の暗号方式にある鍵でもよ
い。
【0014】証明書申請情報CRIには本人性を示す機
密性が要求される情報(例えばクレジット暗号)も含ま
れている。鍵配送用使い捨て鍵は以下の関係を持つ。 Ep1=Es1・G[p] ここでG[p]は公開パラメータである。つまりこの鍵
は離散対数系非対称鍵暗号方式に用いられるものであ
る。
密性が要求される情報(例えばクレジット暗号)も含ま
れている。鍵配送用使い捨て鍵は以下の関係を持つ。 Ep1=Es1・G[p] ここでG[p]は公開パラメータである。つまりこの鍵
は離散対数系非対称鍵暗号方式に用いられるものであ
る。
【0015】証明書申請装置11は証明書申請情報CR
Iに秘密鍵Ss1を用いて署名部26で電子署名を行
い、ディジタル署名付証明書申請情報CRI−Sを生成
する(S4)。一方暗号化鍵生成部25から暗号化用鍵
Er をランダムに生成し(S5)、これを用いて署名付
証明書申請情報CRI−Sに対し暗号化部27で暗号化
を行いセキュリティ化証明書申請情報CRI−S−Eを
生成する(S6)。
Iに秘密鍵Ss1を用いて署名部26で電子署名を行
い、ディジタル署名付証明書申請情報CRI−Sを生成
する(S4)。一方暗号化鍵生成部25から暗号化用鍵
Er をランダムに生成し(S5)、これを用いて署名付
証明書申請情報CRI−Sに対し暗号化部27で暗号化
を行いセキュリティ化証明書申請情報CRI−S−Eを
生成する(S6)。
【0016】また鍵配送用使い捨て秘密鍵Es−1と証
明書申請受理装置14の公開鍵Ep−2を用いて共通鍵
生成部24で共有鍵SK=Es−1・Ep−2を生成す
る(S7)。この共有鍵SKはSK=Es−2・Ep−
1の関係を持っている。この共有鍵SKを用いて暗号化
部28で暗号化用鍵Er を暗号化して暗号化鍵の暗号化
情報Er −Eを得る(S8)。
明書申請受理装置14の公開鍵Ep−2を用いて共通鍵
生成部24で共有鍵SK=Es−1・Ep−2を生成す
る(S7)。この共有鍵SKはSK=Es−2・Ep−
1の関係を持っている。この共有鍵SKを用いて暗号化
部28で暗号化用鍵Er を暗号化して暗号化鍵の暗号化
情報Er −Eを得る(S8)。
【0017】公開鍵Sp−1とEp−1を含む使い捨て
用公開鍵送信情報DPIを公開鍵送信情報生成部29で
生成する(S9)。この情報DPIはSp−1とEp−
1の単なるビット結合DPI=Sp−1‖Ep−1でよ
い。CRI−S−EとEr −EとDPIとを結合部31
でビット結合して証明書申請要求情報SCRIを生成し
(S10)、この申請要求情報SCRIを証明書申請受
理装置14に送信部32から送信する(S11)。
用公開鍵送信情報DPIを公開鍵送信情報生成部29で
生成する(S9)。この情報DPIはSp−1とEp−
1の単なるビット結合DPI=Sp−1‖Ep−1でよ
い。CRI−S−EとEr −EとDPIとを結合部31
でビット結合して証明書申請要求情報SCRIを生成し
(S10)、この申請要求情報SCRIを証明書申請受
理装置14に送信部32から送信する(S11)。
【0018】申請要求情報SCRIは以下の関係式を満
たす。 SCRI=DPI‖CRI−S−E‖Er −E =DPI‖(enc(Er :CRI−S))‖ (enc(SK:Er )) =DPI‖(enc(Er :sig(Ss−1:CRI)))‖ (enc(SK:Er )) ここで‖は連結を意味し、enc(A:B)はBを、鍵
Aを用いて暗号化することを意味し、sig(A:B)
はBを、鍵Aを用い署名付与することを意味する。証明書検証/発行 この発明の一実施例に係る証明書申請受理装置/発行装
置動作手順を図5に示す。
たす。 SCRI=DPI‖CRI−S−E‖Er −E =DPI‖(enc(Er :CRI−S))‖ (enc(SK:Er )) =DPI‖(enc(Er :sig(Ss−1:CRI)))‖ (enc(SK:Er )) ここで‖は連結を意味し、enc(A:B)はBを、鍵
Aを用いて暗号化することを意味し、sig(A:B)
はBを、鍵Aを用い署名付与することを意味する。証明書検証/発行 この発明の一実施例に係る証明書申請受理装置/発行装
置動作手順を図5に示す。
【0019】証明書申請受理装置14は受信部41で受
け付けた申請要求情報SCRIをDPIとCRI−S−
EとEr −Eとに分割部41で分割する(S1)。その
DPIからSpIとEpIを得る。そのSp−1と証明
書申請受理装置14の暗号化用秘密鍵Ss−2を用いて
共有鍵SKを共有鍵生成部44で生成する(S2)。つ
まり共有鍵生成部44ではSK=Es2・Ep1を演算
する。証明書申請受理装置14で生成された共有鍵SK
と証明書申請装置11で生成された共有鍵SKは同一で
ある。
け付けた申請要求情報SCRIをDPIとCRI−S−
EとEr −Eとに分割部41で分割する(S1)。その
DPIからSpIとEpIを得る。そのSp−1と証明
書申請受理装置14の暗号化用秘密鍵Ss−2を用いて
共有鍵SKを共有鍵生成部44で生成する(S2)。つ
まり共有鍵生成部44ではSK=Es2・Ep1を演算
する。証明書申請受理装置14で生成された共有鍵SK
と証明書申請装置11で生成された共有鍵SKは同一で
ある。
【0020】生成した共有鍵SKを用いてEr −Eを復
号化部45で復号化を行い、暗号化鍵Er を得る(S
3)。その暗号化鍵Er によりCRI−S−Eを復号化
部46で復号化してCRI−Sを得る(S4)。署名検
証部47でDPI中のSp1を用いてCRI−Sの検証
を行う(S5)。その検証結果が異常である場合、改ざ
ん等脅威の存在が明らかであるため証明書登録を中止し
登録が不完了となった旨を証明書申請装置11に、証明
書発行部52より送信部53を通じて提示する(S
6)。
号化部45で復号化を行い、暗号化鍵Er を得る(S
3)。その暗号化鍵Er によりCRI−S−Eを復号化
部46で復号化してCRI−Sを得る(S4)。署名検
証部47でDPI中のSp1を用いてCRI−Sの検証
を行う(S5)。その検証結果が異常である場合、改ざ
ん等脅威の存在が明らかであるため証明書登録を中止し
登録が不完了となった旨を証明書申請装置11に、証明
書発行部52より送信部53を通じて提示する(S
6)。
【0021】署名検証結果によりCRIの正当性が保証
される場合、CRIから本人性を示す機密性が要求され
ている情報、例えばクレジット番号を取得し、その情報
により本人性のチェックを正当性検証部51で行う(S
7)。つまり例えばそのクレジット番号が本人が有する
ものであるかのチェックを行う。本人性が確認された場
合、証明書の発行を証明書発行部52で行い、正常に証
明書発行処理が終了した旨を証明書申請装置11に送信
部53により提示する(S8)。本人性が確認できない
場合、証明書発行処理を中止し証明書発行が行われなか
った旨を証明書発行部52で送信部53を介して証明書
申請装置11に提示する(S6)。
される場合、CRIから本人性を示す機密性が要求され
ている情報、例えばクレジット番号を取得し、その情報
により本人性のチェックを正当性検証部51で行う(S
7)。つまり例えばそのクレジット番号が本人が有する
ものであるかのチェックを行う。本人性が確認された場
合、証明書の発行を証明書発行部52で行い、正常に証
明書発行処理が終了した旨を証明書申請装置11に送信
部53により提示する(S8)。本人性が確認できない
場合、証明書発行処理を中止し証明書発行が行われなか
った旨を証明書発行部52で送信部53を介して証明書
申請装置11に提示する(S6)。
【0022】上述においては暗号化鍵Er をランダムに
発生させて証明書申請情報署名CRI−Sを暗号化した
が、図2中で破線で示すようにこの暗号化鍵Er の替り
に共有鍵SKでCRI−Sを暗号化してもよい。この場
合は、図2で暗号化鍵生成部25、暗号化部28が省略
され、従って証明書申請受理装置14へはCRI−S−
EとDPIが送られ、Er −Eは省略される。証明書申
請受理装置14では復号化部45が省略され、共有鍵生
成部44で生成された共有鍵SKにより復号化部46で
CRI−S−Eに対する復号化が行われる。上述におい
て、証明書申請受理装置は証明書発行装置を兼ねていて
もよい。
発生させて証明書申請情報署名CRI−Sを暗号化した
が、図2中で破線で示すようにこの暗号化鍵Er の替り
に共有鍵SKでCRI−Sを暗号化してもよい。この場
合は、図2で暗号化鍵生成部25、暗号化部28が省略
され、従って証明書申請受理装置14へはCRI−S−
EとDPIが送られ、Er −Eは省略される。証明書申
請受理装置14では復号化部45が省略され、共有鍵生
成部44で生成された共有鍵SKにより復号化部46で
CRI−S−Eに対する復号化が行われる。上述におい
て、証明書申請受理装置は証明書発行装置を兼ねていて
もよい。
【0023】
【発明の効果】以上述べたように、この発明では使い捨
て鍵という新しい概念を導入することにより、また本人
のみが知り得る本人性を示す機密情報を証明書申請情報
に含めることにより本人性の保証に対してセキュリティ
の確保を実現する。さらに、証明書申請装置、証明書発
行装置の負担も軽減され、証明書発行処理に関するシス
テムコストも少ない。
て鍵という新しい概念を導入することにより、また本人
のみが知り得る本人性を示す機密情報を証明書申請情報
に含めることにより本人性の保証に対してセキュリティ
の確保を実現する。さらに、証明書申請装置、証明書発
行装置の負担も軽減され、証明書発行処理に関するシス
テムコストも少ない。
【0024】また、第三者によるなりすましの脅威を防
止し安全な証明書発行処理を実現できる。
止し安全な証明書発行処理を実現できる。
【図1】この発明方法が適用されるシステムの構成例を
示すブロック図。
示すブロック図。
【図2】この発明による証明書申請装置の実施例の機能
構成を示すブロック図。
構成を示すブロック図。
【図3】この発明による証明書申請受理装置の実施例の
機能構成を示すブロック図。
機能構成を示すブロック図。
【図4】図2に示した証明書申請装置の動作手順の例を
示す流れ図。
示す流れ図。
【図5】図3に示した証明書申請受理装置の動作手順の
例を示す流れ図。
例を示す流れ図。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 安田 仁 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内
Claims (8)
- 【請求項1】 証明書申請装置は、一般には本人しか知
り得ない情報を含む、証明書申請情報を作成し、 更に使い捨て鍵を生成し、 その使い捨て鍵を用い、上記証明書申請情報のセキュリ
ティ化を行い、 その後、上記使い捨て鍵と対をなす使い捨て公開鍵情報
と上記セキュリティ化した情報を証明書申請受理装置に
送り、 証明書申請受理装置は使い捨て公開鍵情報を用い上記セ
キュリティ化された情報を検証し、 その検証結果を証明書発行装置に送り、 上記証明書発行装置は上記検証結果が合格であれば、か
つ証明書申請情報の正当性を確認し、 その正当性が確認されると証明書の発行を行い、正当性
を確認できない場合は証明書の発行は行わず、 証明書発行装置は証明書発行手続きの結果を証明書申請
装置に対し通知することを特徴とする証明書発行方法。 - 【請求項2】 上記使い捨て鍵は離散対数系非対称鍵暗
号方式における秘密鍵、公開鍵の対からなる鍵配送用使
い捨て鍵と、秘密鍵と公開鍵の対からなるディジタル署
名用使い捨て鍵であり、 使い捨て公開鍵情報は上記鍵配送用使い捨て公開鍵およ
び上記ディジタル署名用使い捨て公開鍵であり、 上記証明書申請情報のセキュリティ化は上記証明書申請
情報に対してディジタル署名用使い捨て秘密鍵でディジ
タル署名を行い、かつランダムに生成した暗号化用鍵で
その署名付証明書申請情報を暗号化してセキュリティ化
証明書申請情報を得ることであり、 上記鍵配送用使い捨て秘密鍵と上記証明書申請受理装置
の鍵配送用公開鍵を用いて共有鍵を生成し、 上記共有鍵で上記暗号化用鍵を暗号化して暗号化鍵の暗
号化情報を生成し、 上記セキュリティ化証明書申請情報と、上記使い捨て公
開鍵情報に上記暗号化鍵の暗号化情報を加えて証明書申
請要求情報として上記申請受理装置へ送り、 上記セキュリティ化された情報の検証は、上記受け付け
た上記証明書申請要求情報をセキュリティ化証明書申請
情報暗号化用鍵の暗号化情報と使い捨て公開鍵情報とに
分割し、 上記鍵配送用使い捨て公開鍵とその証明書申請受理装置
の鍵配送用秘密鍵を用い共有鍵を生成し、 その共有鍵で上記暗号化用鍵の暗号化情報を復号化し、
セキュリティ化証明書申請情報を上記共有鍵で復号して
証明書申請情報とディジタル署名を取得し、上記ディジ
タル署名用使い捨て公開鍵を用いて証明書申請情報の検
証を行うことであることを特徴とする請求項1記載の証
明書発行方法。 - 【請求項3】 上記使い捨て鍵は離散対数系非対称鍵暗
号方式における秘密鍵、公開鍵の対からなる鍵配送用使
い捨て鍵と、秘密鍵と公開鍵の対からなるディジタル署
名用使い捨て鍵であり、 上記使い捨て公開鍵情報は、上記鍵配送用使い捨て公開
鍵および上記ディジタル署名用使い捨て公開鍵であり、 上記鍵配送用使い捨て秘密鍵と上記証明書申請受理装置
の鍵配送用公開鍵を用いて共有鍵を生成し、 上記証明書申請情報のセキュリティ化は、上記証明書申
請情報に対して上記ディジタル署名用使い捨て秘密鍵で
ディジタル署名を行い、かつ、この署名付証明書申請情
報を上記共有鍵で暗号化してセキュリティ化証明書申請
情報を得ることであり、 上記セキュリティ化された情報の検証は、受け付けたセ
キュリティ化証明書申請情報と使い捨て公開鍵情報とを
分割し、 上記公開鍵情報中の鍵配送用使い捨て公開鍵とその証明
書受理装置の鍵配送用秘密鍵を用いて共有鍵を生成し、 その共有鍵で上記セキュリティ化証明書申請情報を復号
化して、署名付証明書申請情報を得、 この署名付証明書申請情報を上記公開鍵情報中の署名用
使い捨て公開鍵を用いて署名検証することであることを
特徴とする請求項1記載の証明書発行方法。 - 【請求項4】 本人性を示す機密情報を有する利用者情
報、利用者鍵情報などを含む証明書申請情報を作成する
手段と、 ディジタル署名用の使い捨て秘密鍵と公開鍵を生成する
手段と、 離散対数系非対称鍵暗号方式における鍵配送用の使い捨
て秘密鍵と公開鍵を生成する手段と、 暗号化用鍵をランダムに生成する手段と、 上記鍵配送用の使い捨ての秘密鍵と証明書申請受理装置
の鍵配送用公開鍵を用いて共有鍵を生成する手段と、 上記証明書申請情報を上記ディジタル署名用使い捨て秘
密鍵を用いてディジタル署名を行う手段と、 上記ディジタル署名付証明書申請情報を上記暗号化鍵で
暗号化してセキュリティ化証明書申請情報を生成する手
段と、 上記暗号化鍵を上記共通鍵で暗号化して暗号化された暗
号化鍵情報を得る手段と、 上記セキュリティ化証明書申請情報と、上記暗号化され
た暗号化鍵情報と、上記ディジタル署名用使い捨て公開
鍵と、上記鍵配送用使い捨て公開鍵とを上記証明書申請
受理装置へ送信する手段と、 上記各手段を順次処理させたり、記憶手段に対する読み
書きなどを行う制御手段と、 上記処理に必要な情報を記憶する上記記憶手段と、 を具備する証明書申請装置。 - 【請求項5】 本人性を示す機密情報を有する利用者情
報、利用者鍵情報などを含む証明書申請情報を作成する
手段と、 ディジタル署名用の使い捨て秘密鍵と公開鍵を生成する
手段と、 離散対数系非対称鍵暗号方式における鍵配送用の使い捨
て秘密鍵と公開鍵を生成する手段と、 上記鍵配送用の使い捨ての秘密鍵と証明書申請受理装置
の鍵配送用公開鍵とを用いて共有鍵を生成する手段と、 上記証明書申請情報を上記ディジタル署名用使い捨て秘
密鍵を用いてディジタル署名を行う手段と、 上記ディジタル署名付証明書申請情報を上記共有鍵で暗
号化してセキュリティ化証明書申請情報を生成する手段
と、 上記セキュリティ化証明書申請情報と、上記ディジタル
署名用使い捨て公開鍵と、上記鍵配送用使い捨て公開鍵
とを上記証明書申請受理装置へ送信する手段と、 上記各手段を順次処理させたり、記憶手段に対する読み
書きなどを行う制御手段と、 上記処理に必要な情報を記憶する上記記憶手段と、 を具備する証明書申請装置。 - 【請求項6】 鍵配送用秘密鍵を生成する手段と、 証明書申請装置からの証明書申請要求情報を受信する手
段と、 受信された証明書申請要求情報を、セキュリティ化証明
書申請情報と、暗号化された暗号化鍵情報と、ディジタ
ル署名用使い捨て公開鍵と、鍵配送用使い捨て公開鍵と
に分割する手段と、 上記秘密鍵と上記鍵配送用使い捨て公開鍵とを用いて共
有鍵を生成する手段と、 上記共有鍵で上記暗号化された暗号化鍵情報を復号化し
て暗号化鍵を得る手段と、 上記暗号化鍵で上記セキュリティ化証明書申請情報を復
号化してディジタル署名付証明書申請情報を得る手段
と、 上記ディジタル署名付証明書申請情報を、上記ディジタ
ル署名用使い捨て公開鍵を用いて証明書申請情報を検証
する手段と、 上記各手段を順次処理させ、記憶手段への読み書きなど
を行う制御手段と、 上記処理に必要な情報を記憶する上記記憶手段と、 を具備する証明書申請受理装置。 - 【請求項7】 鍵配送用秘密鍵を生成する手段と、 証明書申請装置からの証明書申請要求情報を受信する手
段と、 受信された証明書申請要求情報を、セキュリティ化証明
書申請情報と、ディジタル署名用使い捨て公開鍵と、鍵
配送用使い捨て公開鍵とに分割する手段と、 上記秘密鍵と上記鍵配送用使い捨て公開鍵とを用いて共
有鍵を生成する手段と、 上記共有鍵で上記セキュリティ化証明書申請情報を復号
化してディジタル署名付証明書申請情報を得る手段と、 上記ディジタル署名付証明書申請情報を、上記ディジタ
ル署名用使い捨て公開鍵を用いて証明書申請情報を検証
する手段と、 上記各手段を順次処理させ、記憶手段への読み書きなど
を行う制御手段と、 上記処理に必要な情報を記憶する上記記憶手段と、 を具備する証明書申請受理装置。 - 【請求項8】 上記署名検証に合格すると、上記証明書
申請情報中の本人性を示す機密情報からその正当性を検
証する手段と、 その正当性の検証に合格すると、その申請情報に応じた
証明書を発行する手段とを備えることを特徴とする請求
項6又は7記載の証明書申請情報受理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10031560A JPH11231776A (ja) | 1998-02-13 | 1998-02-13 | 証明書発行方法およびその装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10031560A JPH11231776A (ja) | 1998-02-13 | 1998-02-13 | 証明書発行方法およびその装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11231776A true JPH11231776A (ja) | 1999-08-27 |
Family
ID=12334571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10031560A Pending JPH11231776A (ja) | 1998-02-13 | 1998-02-13 | 証明書発行方法およびその装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11231776A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010114118A (ko) * | 2000-06-21 | 2001-12-29 | 신영철 | 유무선 인터넷을 통한 입시, 입사 서류 자동처리 시스템 |
| JP2002169465A (ja) * | 2000-08-31 | 2002-06-14 | Sony Corp | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
| US7093131B1 (en) | 2000-09-29 | 2006-08-15 | Seiko Epson Corporation | Information authenticating apparatus and authenticating station |
| JP2009503967A (ja) * | 2005-07-26 | 2009-01-29 | フランス テレコム | 単一の物理デバイスを用いた保護されたトランザクションの制御方法、それに対応する物理デバイス、システム及びコンピュータプログラム |
| JP2018133785A (ja) * | 2017-02-17 | 2018-08-23 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| JP2019533384A (ja) * | 2016-10-26 | 2019-11-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | データ伝送方法、装置およびシステム |
| WO2022255886A1 (en) * | 2021-06-04 | 2022-12-08 | Map My Skills Limited | Method and apparatus for issuing or invalidating digital attribute certificates |
-
1998
- 1998-02-13 JP JP10031560A patent/JPH11231776A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010114118A (ko) * | 2000-06-21 | 2001-12-29 | 신영철 | 유무선 인터넷을 통한 입시, 입사 서류 자동처리 시스템 |
| JP2002169465A (ja) * | 2000-08-31 | 2002-06-14 | Sony Corp | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
| JP4626033B2 (ja) * | 2000-08-31 | 2011-02-02 | ソニー株式会社 | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
| US7093131B1 (en) | 2000-09-29 | 2006-08-15 | Seiko Epson Corporation | Information authenticating apparatus and authenticating station |
| JP2009503967A (ja) * | 2005-07-26 | 2009-01-29 | フランス テレコム | 単一の物理デバイスを用いた保護されたトランザクションの制御方法、それに対応する物理デバイス、システム及びコンピュータプログラム |
| JP2019533384A (ja) * | 2016-10-26 | 2019-11-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | データ伝送方法、装置およびシステム |
| JP2021083076A (ja) * | 2016-10-26 | 2021-05-27 | アドバンスド ニュー テクノロジーズ カンパニー リミテッド | データ伝送方法、装置およびシステム |
| JP2018133785A (ja) * | 2017-02-17 | 2018-08-23 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| US11212115B2 (en) | 2017-02-17 | 2021-12-28 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
| US11838430B2 (en) | 2017-02-17 | 2023-12-05 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
| WO2022255886A1 (en) * | 2021-06-04 | 2022-12-08 | Map My Skills Limited | Method and apparatus for issuing or invalidating digital attribute certificates |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220224551A1 (en) | Mutual authentication of confidential communication | |
| US7343014B2 (en) | Method for sharing the authorization to use specific resources | |
| JP3560439B2 (ja) | 暗号キーの回復を実行する装置 | |
| US9112679B2 (en) | Storing a key in a remote security module | |
| US20030163700A1 (en) | Method and system for user generated keys and certificates | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN101243438A (zh) | 分布式单一注册服务 | |
| CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
| US8392703B2 (en) | Electronic signature verification method implemented by secret key infrastructure | |
| JPH0962596A (ja) | 電子メールシステム | |
| JP2001134534A (ja) | 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置 | |
| JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
| US20030223586A1 (en) | Method and system for secure communications over a communications network | |
| US7360238B2 (en) | Method and system for authentication of a user | |
| CN111756722B (zh) | 一种无密钥托管的多授权属性基加密方法和系统 | |
| JPH11231776A (ja) | 証明書発行方法およびその装置 | |
| WO2011152084A1 (ja) | 効率的相互認証方法、プログラム、及び装置 | |
| JPH10240826A (ja) | 電子契約方法 | |
| US8307098B1 (en) | System, method, and program for managing a user key used to sign a message for a data processing system | |
| JP2010028689A (ja) | 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム | |
| JP2001285286A (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
| JP4198509B2 (ja) | 相互認証方法 | |
| JPH06284124A (ja) | 情報伝送システム | |
| CN117714066B (zh) | 密钥处理方法、装置及可读存储介质 | |
| JP2021040278A (ja) | 鍵管理システム、署名装置、鍵管理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040224 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040914 |