KR100854195B1 - 단말 장치 - Google Patents
단말 장치 Download PDFInfo
- Publication number
- KR100854195B1 KR100854195B1 KR20077003961A KR20077003961A KR100854195B1 KR 100854195 B1 KR100854195 B1 KR 100854195B1 KR 20077003961 A KR20077003961 A KR 20077003961A KR 20077003961 A KR20077003961 A KR 20077003961A KR 100854195 B1 KR100854195 B1 KR 100854195B1
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- unit
- use condition
- terminal device
- card
- Prior art date
Links
Images
Abstract
어플리케이션이 사용자 증명서를 이용할 때에, 이용 가능한 증명서의 후보 수를 감소시켜, 이용자의 증명서 선택 부하를 경감한다. 정보 단말(1)은 네트워크(3)를 경유하여 서버(4)와 통신을 행한다. 정보 단말(1)에는 카드(2)를 착탈할 수 있다. 카드(2)는 사용자 증명서나 비밀 키를 유지하고, 비밀 키에 의한 암호 처리 기능을 갖는다. 정보 단말(1)은 표시부(110), 입력부(120), 기억부(130), 제어부(140), 통신부(150), 카드부(160)를 구비하고 있다. 제어부(140)는 카드부(160)를 통해 카드(2)로부터 취득한 사용자 증명서 및 사용자 증명서의 이용 조건을 관리하고, 이용 가능한 사용자 증명서를 선택하는 기능을 갖는다. 선택된 사용자 증명서는 정보 단말(1)과 서버(4) 사이의 암호 통신에 이용된다.
Description
본 발명은 단말 장치 및 인증 장치 및 암호 통신 방법 및 증명서 제공 방법에 관한 것이다.
인터넷을 이용한 온라인 쇼핑이 보급되어 왔다. 온라인 쇼핑에서는, 상품의 구입 처리를, 브라우저와 서버가 인터넷을 경유하여 통신함으로써 실현한다. 온라인 쇼핑에 있어서, 서버의 사칭(spoofing)이나 통신 데이터의 도청, 탬퍼링(tampering)의 방지는 필수적인 요건이다. 이 요건을 만족시키는 기술로서, 비특허문헌 1에 기재된 암호 통신 방식 SSL(Secure Socket Layer)이 널리 이용되고 있다.
SSL을 이용한 온라인 쇼핑에 있어서, 사용자 인증은 사용자 이름과 패스워드를 입력함으로써 실현되는 경우가 많다. 이 경우, 사칭을 방지하기 위해, 추측되기 어려운 패스워드를 선택할 필요가 있다. 그러나, 많은 사용자는 추측이 용이한 패스워드를 선택해 버리는 경향이 있다. 그래서, 사용자 인증에 디지털 서명을 이용하는 요구가 높아지고 있다. 디지털 서명에 의한 사용자 인증 기능은 SSL에 내 장되어 있고, 디지털 서명은 그 생성에 이용하는 비밀 키만 도둑맞지 않는 한 사칭이 곤란하다. 디지털 서명에 이용되는 비밀 키와 디지털 서명을 검증하는 증명서는 IC(Intergrated Circuit) 카드나 USB(Universal Serial Bus) 토큰이나 UIM(User Identity Module) 등의 비밀 키 누설을 방지하는 시스템이 구비된 디바이스에 저장된다. 이후, 비밀 키, 비밀 키에 대응하는 증명서(이후, 사용자 증명서라고 함)를 유지하여, 사용자 인증에 이용하는 디바이스를 인증 디바이스라고 부른다. 인증 디바이스는 복수의 비밀 키와 사용자 증명서를 가질 것이 금후 예상된다. 왜냐하면, 서로 다른 사이트마다 이용하는 비밀 키·증명서가 다른 경우, 각각이 단일의 인증 디바이스에 포함되는 쪽이, 개별의 인증 디바이스에 포함되는 것보다 편리성이 높기 때문이다.
(비특허문헌 1) Alan O. Freier, 외 2명, "The SSL Protocol Version 3.0", [online], 1996년 11월 18일, Netscape Communications, [2004년 8월 2일 검색], 인터넷 <URL : http://wp.netscape.com/eng/ssl3/draft302.txt>
(발명이 해결하고자 하는 과제)
SSL에서는, SSL 서버가 SSL 클라이언트에 사용자 증명서의 송부 요구(Certificate Request)를 보낸다. 그 때, 증명서의 송부 요구에는 사용자 증명서의 타입(공개 알고리즘 종별 등)이나 사용자 증명서의 증명서 발행국명의 정보를 지정할 수 있다. SSL 클라이언트는, 복수의 사용자 증명서를 유지하는 경우, 송부된 증명서 송부 요구의 증명서 타입 및 증명서 발행국명에 합치하는 사용자 증명서를 찾는다. 만약, 복수의 사용자 증명서가 조건에 합치한 경우, 이용자에게 이용할 증명서를 선택시킬 필요가 있다. 또한, 인증 디바이스에 저장되는 비밀 키·사용자 증명서의 수가 증가함에 따라, 이용 가능한 사용자 증명서의 후보 수가 증가한다. 그 결과, 후보 중에서 적절한 증명서를 선택하는 이용자의 부하가 커진다.
본 발명은, 어플리케이션이 사용자 증명서를 이용할 때에, 이용 가능한 증명서의 후보수를 감소시켜, 이용자의 증명서 선택 부하를 경감하는 것을 목적으로 한다.
(과제를 해결하기 위한 수단)
본 발명의 단말 장치는, 하나 이상의 전자 증명서와 이 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 인증 장치를 접속하는 인증 장치 접속부와, 상기 인증 장치 접속부가 접속하는 인증 장치로부터 이용 조건을 수신하는 이용 조건 수신부와, 상기 이용 조건 수신부가 수신한 이용 조건을 기억하는 이용 조건 저장부와, 상기 이용 조건 저장부에 기억된 이용 조건을 기초로 전자 증명서를 선택하는 증명서 선택부와, 상기 인증 장치 접속부가 접속하는 인증 장치로부터 상기 증명서 선택부가 선택한 전자 증명서를 수신하는 증명서 수신부와, 상기 증명서 수신부가 수신한 전자 증명서를 이용하여 암호 통신을 행하는 통신부를 구비하는 것을 특징으로 한다.
상기 단말 장치는, 상기 증명서 선택부가 선택한 전자 증명서를 일의적으로 식별하는 식별 정보를 출력하는 출력부와, 상기 출력부가 출력한 식별 정보를 사용자에게 선택시키는 입력부를 더 구비하되, 상기 증명서 수신부는, 상기 인증 장치 접속부가 접속하는 인증 장치로부터 상기 입력부가 사용자에게 선택시킨 식별 정보에 대응하는 전자 증명서를 수신하는 것을 특징으로 한다.
상기 증명서 선택부는, 상기 이용 조건 저장부에 기억된 이용 조건과 상기 통신부의 암호 통신지에 관한 정보를 비교하여, 그 결과를 기초로 전자 증명서를 선택하는 것을 특징으로 한다.
상기 증명서 선택부는, 상기 통신부의 암호 통신지에 관한 정보로서, 적어도 암호 통신지의 호스트명(名)을 이용하는 것을 특징으로 한다.
상기 단말 장치는, 상기 통신부가 행하는 암호 통신을 이용하는 프로그램을 실행하는 제어부를 더 구비하되, 상기 증명서 선택부는, 상기 이용 조건 저장부에 기억된 이용 조건과 상기 제어부가 실행하는 프로그램에 관한 정보를 비교하여, 그 결과를 기초로 전자 증명서를 선택하는 것을 특징으로 한다.
상기 증명서 선택부는, 상기 제어부가 실행하는 프로그램에 관한 정보로서, 적어도 프로그램의 명칭을 이용하는 것을 특징으로 한다.
상기 인증 장치 접속부는, 동시에 복수의 인증 장치를 접속하는 것을 특징으로 한다.
상기 인증 장치 접속부는, 하나 이상의 전자 증명서와 이 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 인증 장치와, 하나 이상의 전자 증명서를 기억하지만 이용 조건을 기억하지 않는 인증 장치를 동시에 접속하고, 상기 이용 조건 수신부는, 이용 조건을 기억하지 않는 인증 장치로부터는 이용 조건을 수신하지 않고, 상기 이용 조건 저장부는, 상기 이용 조건 수신부가 이용 조건을 수신하지 않은 경우, 미리 정해진 이용 조건을 기억하는 것을 특징으로 한다.
상기 단말 장치는, 상기 통신부가 암호 통신에 이용하는 전자 증명서의 이용 조건을 암호 통신지로부터 취득하는 이용 조건 취득부를 더 구비하되, 상기 이용 조건 저장부는, 상기 이용 조건 수신부가 수신한 이용 조건에 부가하여, 상기 이용 조건 취득부가 취득한 이용 조건을 기억하는 것을 특징으로 한다.
상기 이용 조건 취득부는, 이용 조건으로서, 적어도 상기 통신부가 암호 통신에 이용하는 전자 증명서를 발행한 증명서 발행국의 명칭을 취득하는 것을 특징으로 한다.
또한, 본 발명의 인증 장치는, 전자 증명서를 이용한 암호 통신을 행하는 단말 장치를 접속하는 단말 장치 접속부와, 하나 이상의 전자 증명서를 기억하는 증명서 기억부와, 상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 이용 조건 기억부와, 상기 단말 장치 접속부가 접속하는 단말 장치에 상기 이용 조건 기억부에 기억된 이용 조건을 송신하는 이용 조건 송신부와, 상기 단말 장치 접속부가 접속하는 단말 장치로 상기 증명서 기억부에 기억된 전자 증명서를 송신하는 증명서 송신부를 구비하는 것을 특징으로 한다.
상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치의 암호 통신지에 관한 정보를 이용하여 상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 것을 특징으로 한다.
상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치의 암호 통신지에 관한 정보로서, 적어도 암호 통신지의 호스트명을 이용하는 것을 특징으로 한다.
상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치가 실행하는 프로그램에 관한 정보를 이용하여 상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 것을 특징으로 한다.
상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치가 실행하는 프로그램에 관한 정보로서, 적어도 프로그램의 명칭을 이용하는 것을 특징으로 한다.
또한, 본 발명의 암호 통신 방법은, 전자 증명서를 이용한 암호 통신을 행하는 단말 장치를 이용하되, 상기 단말 장치가, 하나 이상의 전자 증명서와 이 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 인증 장치와 접속하여, 이용 조건을 상기 인증 장치로부터 수신하고, 수신한 이용 조건을 기억하며, 기억된 이용 조건을 기초로 전자 증명서를 선택하고, 선택한 전자 증명서를 상기 인증 장치로부터 수신하며, 수신한 전자 증명서를 이용하여 암호 통신을 행하는 것을 특징으로 한다.
또한, 상기 암호 통신 방법은, 상기 단말 장치가, 선택한 전자 증명서를 일의적으로 식별하는 식별 정보를 출력하고, 출력한 식별 정보를 사용자에게 선택시키고, 사용자가 선택한 식별 정보에 대응하는 전자 증명서를 상기 인증 장치로부터 수신하는 것을 특징으로 한다.
또한, 본 발명의 증명서 제공 방법은, 전자 증명서를 기억하는 인증 장치를 이용하되, 상기 인증 장치가, 전자 증명서를 이용한 암호 통신을 행하는 단말 장치와 접속하고, 하나 이상의 전자 증명서를 기억하고, 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하며, 기억된 이용 조건을 상기 단말 장치에 송신하고, 기억된 전자 증명서를 상기 단말 장치에 송신하는 것을 특징으로 한다.
(발명의 효과)
본 발명에 의해, 어플리케이션이 사용자 증명서를 이용할 때에, 이용 가능한 증명서의 후보 수가 감소하여, 이용자의 증명서 선택 부하를 경감할 수 있다.
이하, 본 발명의 실시예를 도면에 근거하여 설명한다. 또, 하기 실시예 1 내지 실시예 4에서는, 각 실시예에 관한 인증 장치(인증 디바이스)로서 IC 카드, 메모리 카드, UIM 등의 카드를 예로 설명하지만, USB 토큰 등, 다른 인증 디바이스에도 적용 가능하다.
또한, 하기 실시예 1 내지 실시예 4에서는, 각 실시예에 관한 단말 장치로서 휴대 전화 등의 정보 단말을 예로 설명하지만, PDA(Personal Digital Assistant), 퍼스널 컴퓨터 등, 다른 정보 단말에도 적용 가능하다.
(실시예 1)
도 1은 본 실시예에 따른 암호 통신 시스템의 구성을 나타내는 블록도이다.
정보 단말(1)은 네트워크(3)를 경유하여 서버(4)와 통신을 행한다. 정보 단말(1)에는 카드(2)를 착탈할 수 있다. 여기서, 카드(2)는 인증 디바이스의 일례이다. 정보 단말(1)은 표시부(110)(출력부), 입력부(120), 기억부(130)(이용 조건 저장부), 제어부(140)(증명서 선택부를 포함), 통신부(150), 카드부(160)(인증 장치 접속부, 이용 조건 수신부 및 증명서 수신부로 이루어짐)를 구비하고 있다. 본 실시예에서, 정보 단말은 도 2에 나타내는 바와 같이, 예컨대, 휴대 전화로 하였지만, 이것에 한정되는 것은 아니다.
도 3은 정보 단말(1)의 구성을 나타내는 블록도이다.
제어부(140)는 프로그램을 로드하여 정보 단말(1) 내의 각 부의 제어를 행한다. 또한, 제어부(140)는 사용자 증명서 및 사용자 증명서의 이용 조건을 관리하고, 이용 가능한 사용자 증명서를 한정하는 기능을 갖는다. 도 4와 같이, 기억부(130)에는, 이용자의 입력 처리를 행하는 입력 서비스(131), 통신 처리를 행하는 통신 서비스(132), 카드(2)의 제어를 행하는 카드 제어 서비스(133), 사용자 증명서를 선택하는 사용자 증명서 관리 서비스(134), 카드(2)로부터 수신한 사용자 증명서의 이용 조건을 유지하는 사용자 증명서 이용 조건(234) 등이 기억되어 있다. 각 서비스의 프로그램은 제어부(140)에 의해 판독되어, 실행된다. 입력부(120)는 각종 지시의 입력이나, 버튼 입력, 문자 입력 등을 행한다. 카드부(160)는 정보 단말(1)에 장착된 IC 카드나 UIM 등의 카드(2)의 제어를 실행한다. 표시부(110)는 입력 정보나 출력 정보의 표시를 행한다. 통신부(150)는 무선 또는 유선의 통신 처리를 행한다.
네트워크(3)는 인터넷 등의 네트워크를 나타낸다. 서버(4)는 웹 서버 등, 네트워크(3)를 경유하여 정보 단말(1)로부터의 처리 요구에 대하여 처리를 실시하고, 결과를 응답하는 장치이다.
카드(2)는 IC 카드나 UIM 등, 사용자 증명서나 RSA(Rivest Shamir Adleman) 등의 공개 키 암호 방식에 있어서의 비밀 키를 유지하여, 비밀 키에 의한 암호 처리 기능을 갖는 카드이다.
도 5와 같이, 카드(2)는 제어부(210), I/O부(220)(단말 장치 접속부, 이용 조건 송신부 및 증명서 송신부로 이루어짐), 기억부(230)(증명서 기억부 및 이용 조건 기억부로 이루어짐)를 구비하고 있다.
카드(2)에 있어서, 제어부(210)는 카드(2)에 송부되는 커맨드의 해석, 실행을 행한다. I/O부(220)는 각종 접속 기기(본 실시예에서는, 정보 단말(1))와의 접속을 행한다. 기억부(230)에는, 도 6에 나타내는 바와 같이, 카드(2)를 일의적으로 식별하는 카드 ID(231), 하나 이상의 사용자 증명서로 이루어지는 사용자 증명서 군(群)(232), 각 사용자 증명서에 대응하는 비밀 키로 이루어지는 비밀 키 군(群)(33)에 부가하여, 사용자 증명서 이용 조건(234)이 저장되어 있다. 도 6에서는, 사용자 증명서와, 각각의 사용자 증명서에 대응하는 비밀 키가 3개 포함되어 있지만, 다른 수이어도 본 실시예에 적용 가능하다.
사용자 증명서 이용 조건(234)의 상세를 도 7에 나타낸다.
사용자 증명서 이용 조건(234)은 카드에 포함되는 사용자 증명서를 일의적으로 식별하는 사용자 증명서 ID, 사용자 증명서가 이용될 때의 조건의 항목(본 실시예에서는, 접속지 호스트명과 사용 어플리케이션명으로 되어 있지만, 이것에 한정되지 않음), 각 항목에 대하여 설정된 값(이하, 조건값이라고 함)으로 이루어진다. 도 7의 예에서는, 사용자 증명서 이용 조건(234)은 이하를 나타낸다.
카드(2)에는 사용자 증명서 A, B, C의 사용자 증명서 ID를 갖는 3개의 사용자 증명서가 존재한다. 사용자 증명서 A는 접속지 호스트명이 "www.xxx.com", 사용 어플리케이션명이 "Browser"인 경우에 이용할 수 있다. 사용자 증명서 B는 접속지 호스트명이 "www.yyy.co.jp", 사용 어플리케이션명이 임의의 이름인 경우에 이용할 수 있다. 사용자 증명서 C는 접속 호스트명이 미지정, 이용 어플리케이션명이 "The Application1"인 경우에 이용할 수 있다. 어플리케이션에 있어서 접속 호스트명이 미지정으로 되는 것은 사용자 증명서(에 대응하는 비밀 키)를 전자 메일의 서명에 이용하는 경우와 같이, 접속지 호스트가 존재하지 않는 경우이다. 사용자 증명서 이용 조건(234)에 사용하는 조건값으로서, 예컨대, 도 8과 같이, ANY는 임의를 의미한다. 또한, 마찬가지로, N/A는 미지정을 의미한다.
다음으로, 상기한 바와 같이 구성된 본 실시예의 정보 단말(1), 카드(2), 네트워크(3), 서버(4)의 동작을 상세히 설명한다. 또, 본 실시예에서는, SSL(Secure Socket Layer)의 클라이언트 인증에 있어서의 사용자 증명서의 선택 처리를 기술하고 있지만, 유지하는 복수의 사용자 증명서로부터 이용할 사용자 증명서를 하나 선택하는 처리를 행하는 모든 암호 처리 시스템에 적용 가능하다.
도 9는 사용자 증명서의 선택 처리를 포함하는 암호 인증 통신의 일련의 동작을 나타내는 메시지 시퀀스 도면이다. 도 10, 도 11, 도 12는, 순서대로, 카드(2), 정보 단말(1), 서버(4)의 사용자 증명서의 선택 처리를 포함하는 암호 인증 통신의 일련의 동작에 있어서의 처리의 흐름을 나타내는 흐름도이다.
정보 단말(1)에 카드(2)가 장착되면(단계 S1001 및 단계 S1101), 정보 단말(1)은 카드(2)와의 통신로를 확립하고, 사용자 증명서 이용 조건(234)의 송부를 카드(2)에 요구한다(단계 S1102). 카드(2)는 사용자 증명서 이용 조건(234)을 정보 단말(1)에 송부한다(단계 S1002). 정보 단말(1)은 사용자 증명서 이용 조건(234)을 수신하면, 사용자 증명서 이용 조건(234)을 기억부(130)에 저장한다(단계 S1103).
정보 단말(1)은 서버(4)와 통신로를 확립한다. 그러면, 서버(4)는 정보 단말(1)에 서버 증명서를 송부한다(단계 S1201). 정보 단말(1)은 수신한 서버 증명서를 검증하고(단계 S1104), 검증이 OK(서버 증명서의 정당성을 확인할 수 있었음)이면, 세션 키를 생성한다(단계 S1105). 다음으로, 세션 키를 서버 증명서에 포함되는 공개 키로 암호화하여(단계 S1106), 서버(4)만이 복호할 수 있는 암호화된 세션 키를 서버(4)에 송부한다(단계 S1107). 서버(4)는 암호화된 세션 키를 수신하면 서버의 비밀 키로 복호한다(단계 S1202). 이 시점에서 정보 단말(1)과 서버(4)는 세션 키를 안전하게 공유한 것으로 된다.
다음으로, 서버(4)는 정보 단말(1)의 인증을 행한다. 우선, 서버(4)는 사용자 증명서 송부 요구를 정보 단말(1)에 송부한다(단계 S1203). 사용자 증명서 송 부 요구를 수신한 정보 단말(1)은 현재 유지하는 4개의 사용자 증명서로부터 송부할 하나의 증명서를 선택하기 위해, 이제부터 행하고자 하는 암호 통신에 있어서, 사용자 증명서 이용 조건(234)의 조건 항목, "접속지 호스트명"과 "이용 어플리케이션명"에 대응하는 값(이하, 현 상태값이라고 함)을 취득한다(단계 S1108).
도 13은 정보 단말(1)이 행하는 사용자 증명서 이용 조건(234)의 현 상태값 취득의 처리를 나타내는 흐름도이다.
지금, 브라우저가 URL "https://www.xxx.com/index.htm"에 액세스하려고 하고 있다고 하자. 사용자 증명서 이용 조건(234)이 도 7과 같은 내용이라고 하면, 브라우저는 "접속지 호스트명"이 "www.xxx.com"인 것을 특정하고(단계 S1301), 다음으로 "이용 어플리케이션"이 "Browser"인 것을 특정한다(단계 S1302).
다음으로, 정보 단말(1)의 제어부(140)는 기억부(130)로부터 사용자 증명서 관리 서비스(134)를 판독하여, 이하에 나타내는 사용자 증명서 선택 처리를 실행한다(단계 S1109).
도 14는 정보 단말(1)이 행하는 사용자 증명서 선택의 처리를 나타내는 흐름도이다.
제어부(140)는 사용자 증명서 이용 조건(234)으로부터, "접속지 호스트명"이 "www.xxx.com"이고, "이용 어플리케이션"이 "Browser"인 사용자 증명서를 특정하고, 그 사용자 증명서 ID를 출력한다. 상세하게는, 도 14에 나타내는 바와 같이, 제어부(140)는 사용자 증명서 이용 조건(234)에, 접속지 호스트명의 현 상태값과 일치하는 증명서가 있는지 검색한다(단계 S1401). 만약 복수의 증명서가 일치한 경우, 각 증명서에 대하여, 이용 어플리케이션명의 현 상태값이 조건과 매치(match)하는지 판단한다(단계 S1402). 이 때도, 만약 복수의 사용자 증명서가 매치한 경우에는(단계 S1403), 표시부(110)가, 매치한 사용자 증명서의 서브젝트명(소유주 명) 등을 이용자에게 제시하고(단계 S1404), 입력부(120)에 의해 선택시킨다(단계 S1405). 그리고 그 결과, 하나의 사용자 증명서가 선택된다(단계 S1406). 도 7의 예에서는 사용자 증명서 A가 선택된다.
다음으로, 정보 단말(1)은 카드(2)에 사용자 증명서 A의 송부를 요구한다(단계 S1110). 카드(2)는 사용자 증명서 A를 정보 단말(1)에 송부한다(단계 S1003). 정보 단말(1)은 사용자 증명서 A를 수신하면, 그 사용자 증명서를 서버(4)에 송부한다(단계 S1111). 또한, 정보 단말(1)은 카드(2)에 서명의 송부를 요구한다(단계 S1112). 카드(2)는 사용자 증명서 A에 대응하는 비밀 키를 이용하여 서명의 생성을 행하고(단계 S1004), 이 서명을 정보 단말(1)에 송부한다(단계 S1005). 정보 단말(1)은 카드(2)로부터 수신한 서명을 서버(4)에 송부한다(단계 S1113). 서버(4)에서는, 송부된 사용자 증명서를 검증한다(단계 S1204). 검증이 OK(사용자 증명서의 정당성을 확인할 수 있었음)이면, 사용자 증명서에 포함되는 공개 키를 이용하여, 송부된 서명의 검증을 행한다(단계 S1205). 서명의 검증이 OK(서명의 정당성을 확인할 수 있었음)로 되면, 서버(4)는 통신 상대인 정보 단말(1)이 바른 통신 상대인 것을 인증할 수 있었던 것으로 된다. 그 후, 정보 단말(1)과 서버(4)는 서로 안전하게 공유한 세션 키를 이용하여, 도청, 탬퍼링, 사칭이 방지된 암호 인증 통신을 행한다(단계 S1114 및 단계 S1206).
카드(2)가 정보 단말(1)로부터 인출된 경우, 정보 단말(1)의 기억부(130)에 유지되어 있는 사용자 증명서 이용 조건(234)은 삭제된다. 도 15는 카드(2)가 정보 단말(1)로부터 인출되는 이미지 도면, 도 16은 카드(2)가 정보 단말(1)로부터 인출된 경우의 처리를 나타내는 흐름도이다. 이하 도 16을 이용하여 정보 단말(1)로부터 카드(2)가 인출된 때의 처리의 흐름을 나타낸다.
카드(2)가 정보 단말(1)로부터 인출되면 카드부(160)로부터 제어부(140)에 대하여 카드(2)의 인출이 통지된다(단계 S1601). 그러면, 사용자 증명서 관리 서비스(134)의 프로그램이 제어부(140)에 로드되고, 기억부(130)에 유지되어 있는 사용자 증명서 이용 조건(234)을 삭제한다(단계 S1602).
이상과 같이 본 실시예에서는, 카드(2)에 사용자 증명서와 함께 사용자 증명서 이용 조건(234)이 저장되고, 그 정보를 정보 단말(1)의 기억부(130)에 유지한다. 그리고, 정보 단말(1)에서 사용자 증명서 이용 조건(234) 항목의 현 상태값을 취득하고, 항목의 조건값이 현 상태값과 매치하는 사용자 증명서를 선택하는 수속에 의해, 복수의 사용자 증명서 중에서 이용 가능한 사용자 증명서를 자동적으로 선출할 수 있다. 그 결과, 이용자가 이용 가능한 사용자 증명서를 판단하여 선출하는 시간이 경감된다. 또한, 카드(2)를 정보 단말(1)로부터 인출한 경우는, 정보 단말(1)의 사용자 증명서 이용 조건(234)이 삭제되기 때문에, 그 후 사용자 증명서를 이용하는 요구가 발생한 경우에, 카드부(160)의 처리를 필요로 하지 않고, 기억부(130)의 사용자 증명서 이용 조건 리스트(135)를 조사하는 것만으로 이용할 수 있는 증명서가 없다고 판단할 수 있다.
(실시예 2)
본 실시예에서는, 도 17과 같이, 정보 단말(1)에 대하여 2장의 카드를 장착한다. 각 카드의 구성은 실시예 1의 도 5, 도 6에 나타낸 것과 동일하다. 정보 단말(1)의 구성에는, 도 18, 도 19에 나타내는 바와 같이, 제 2 카드부(161)가 추가되어 있다. 또한, 실시예 1에 있어서의 카드부(160)를 제 2 카드부(161)와 구별하기 위해, 제 1 카드부(160)라고 부른다.
제 1 카드(5), 제 2 카드(6)를 장착한 경우, 각각의 카드의 사용자 증명서 이용 조건(234)을 정보 단말(1)에 저장할 필요가 있다. 그래서, 정보 단말(1)은 도 20과 같이, 복수의 사용자 증명서 이용 조건(234)을 포함하는 사용자 증명서 이용 조건 리스트(135)를 기억부(130)에 유지한다.
도 21은 제 1 카드(5), 제 2 카드(6)를 장착했을 때, 사용자 증명서 이용 조건 리스트(135)에 사용자 증명서 이용 조건(234)이 추가되는 처리의 흐름을 나타내는 흐름도이다.
정보 단말(1)에 제 1 카드(5)가 장착되면(단계 S2101), 정보 단말(1)은 제 1 카드(5)와의 통신로를 확립하고, 사용자 증명서 이용 조건(234)의 송부를 제 1 카드(5)에 요구한다(단계 S2102). 제 1 카드(5)는 사용자 증명서 이용 조건(234)과 카드 ID(231)를 결합하여 정보 단말(1)에 송부한다. 도 22에 제 1 카드(5)가 송부하는 사용자 증명서 이용 조건(234)과 카드 ID(231)를 결합한 정보를 나타낸다. 정보 단말(1)은 사용자 증명서 이용 조건(234)과 카드 ID(231)를 수신하면, 도 23과 같이 그들을 하나의 요소로 하여 사용자 증명서 이용 조건 리스트(135)를 생성 한다(단계 S2103).
정보 단말(1)에 제 2 카드(6)가 장착되면(단계 S2104), 정보 단말(1)은 제 2 카드(6)와의 통신로를 확립하고, 사용자 증명서 이용 조건(234)의 송부를 제 2 카드(6)에 요구한다(단계 S2105). 제 2 카드(6)는 사용자 증명서 이용 조건(234)과 카드 ID(231)를 결합하여 정보 단말(1)에 송부한다. 도 24에 제 2 카드(6)가 송부하는 사용자 증명서 이용 조건(234)과 카드 ID를 결합한 정보를 나타낸다. 정보 단말(1)은 사용자 증명서 이용 조건(234)과 카드 ID(231)를 수신하면, 도 25와 같이 그들을 하나의 요소로 하여 사용자 증명서 이용 조건 리스트(135)를 갱신한다(단계 S2106).
도 25에 나타낸 사용자 증명서 이용 조건 리스트(135)를 정보 단말(1)이 유지한 상태에서, 사용자 증명서의 선택이 필요하게 된 경우, 실시예 1과 마찬가지로, 사용자 증명서 이용 조건(234) 항목의 현 상태값을 취득하여, 그 현 상태값에 조건값이 매치하는 사용자 증명서를 선택한다. 현 상태값에 적합한 사용자 증명서 이용 조건(234)을 갖는 사용자 증명서가 존재한 경우, 그 사용자 증명서의 ID를 출력한다. 예컨대, 브라우저가 "https://www.zzz.org/index.html"에 액세스함으로써, SSL 클라이언트 인증이 발생한 경우, 사용자 증명서 이용 조건(234)의 항목 "접속지 호스트명"의 현 상태값은 "www.zzz.org"로 되고, "이용 어플리케이션명"은 "Browser"로 된다. 그리고, 이들의 현 상태값과 매치하는 조건값을 갖는 사용자 증명서를 사용자 증명서 이용 조건 리스트(135)로부터 검색하면, "사용자 증명서 D"가 매치하여 출력된다. 정보 단말(1)이 사용자 증명서 D를 취득하는 경우는, 사 용자 증명서 관리 서비스(134)가, 사용자 증명서 D를 유지하는 카드의 ID가 91485인 것을 사용자 증명서 이용 조건 리스트(135)로부터 특정하고, 카드 ID "91485"인 카드, 즉 제 2 카드(6)와 통신로를 확립하고, 증명서 ID가 사용자 증명서 D인 증명서를 취득한다. 그리고, 그것을 어플리케이션에 돌려준다.
카드를 인출한 때는, 실시예 1과 마찬가지로, 정보 단말(1)은 인출된 카드의 카드 ID(231)를 취득하고, 그 카드 ID(231)에 대응된 사용자 증명서 이용 조건 리스트(135) 내의 사용자 증명서 이용 조건(234)을 삭제한다.
이상과 같이 본 실시예에서는, 2장의 카드를 정보 단말(1)에 장착한 경우에도, 정보 단말(1)이 각 카드에 저장된 사용자 증명서 이용 조건(234)을 유지할 수 있는 사용자 증명서 이용 조건 리스트(135)를 갖는다. 그리고, 정보 단말(1)은 사용자 증명서 이용 조건 리스트(135)로부터, 사용자 증명서 이용 조건(234) 항목의 현 상태값이 조건값에 적합한 사용자 증명서 ID를 얻을 수 있기 때문에, 이용자가 이용 가능한 사용자 증명서를 판단하여 선출하는 수고가 경감된다.
본 실시예에서는, 2장의 카드를 동시에 장착할 수 있는 정보 단말(1)의 예를 기재했지만, N장(N은 2 이상의 정수로 함)의 카드를 동시에 장착할 수 있는 정보 단말(1)의 경우에도, 사용자 증명서 이용 조건 리스트(135)에 포함되는 사용자 증명서 이용 조건(234)의 요소가 N으로 될 뿐이고, 사용자 증명서의 선택 수순은 마찬가지이다.
(실시예 3)
본 실시예에서는, 정보 단말(1)이 2장의 카드를 장착할 수 있고, 그 중 1장의 카드(구형 카드라고 함)가 사용자 증명서 이용 조건(234)을 유지하지 않는 경우에도, 구형 카드의 사용자 증명서가 선택 후보에 포함되는 구성을 기술한다.
본 실시예에서는, 도 26과 같이, 구형 카드의 예로서 휴대 전화에 내장되어 있는 UIM(내장 UIM(8))을 이용한다. 또한, 사용자 증명서 이용 조건(234)을 유지하는 카드의 예로서는, 메모리 카드 인터페이스에 장착 가능한 IC 카드(외부 카드(7))를 이용한다.
정보 단말(1)은 외부 카드(7)로부터 사용자 증명서 이용 조건(234)을 입수 후, 내장 UIM(8)에 대하여 사용자 증명서 이용 조건(234)의 입수를 의뢰한다. 내장 UIM(8)은 정보 단말(1)로부터 수신한 증명서 이용 조건 입수 요구를 해석할 수 없기 때문에 에러를 돌려준다. 정보 단말(1)은 내장 UIM(8)이 사용자 증명서 이용 조건(234)을 유지하지 않는 구형 카드라고 판단하여, 내장 UIM(8)에 대하여 카드 ID(231) 및 유지하는 사용자 증명서 ID만의 송부를 의뢰한다. 그러면, 내장 UIM(8)은 카드 ID "69874"와 유지하는 사용자 증명서 ID "사용자 증명서 E"를 돌려준다. 정보 단말(1)은 그 정보를 기초로, 도 27과 같이, 얻을 수 없었던 "접속지 호스트명", "사용 어플리케이션명"의 조건값을 "DEFAULT"로 한다. "DEFAULT"는 N/A 이외의 모든 현 상태값과 매치하게 된다. 또한, 현 상태값 "DEFAULT"에 매치하는 것은 "DEFAULT"만이 된다.
이상과 같이, 본 실시예에서는, 사용자 증명서 이용 조건(234) 항목의 조건 값에 "DEFAULT"를 추가함으로써, 사용자 증명서 이용 조건(234)에 미대응하는 카드의 사용자 증명서를 이용하는 것을 사전에 알고 있는 어플리케이션에서는, 사용자 증명서 이용 조건(234) 항목의 현 상태값에 "DEFAULT"를 설정하고, 사용자 증명서 이용 조건(234)을 유지하는 카드의 사용자 증명서를 선택 대상으로부터 제외할 수 있다. 또한 반대로, 사용자 증명서 이용 조건(234)을 유지하는 카드가 장착되더라도, 사용자 증명서 이용 조건(234)을 유지하지 않는 카드의 사용자 증명서가 선택 후보로부터 제외되어 버리는 것을 방지할 수 있다.
(실시예 4)
본 실시예에서는, 정보 단말(1)에서 유지하는 사용자 증명서 이용 조건 리스트(135)에 서버(4)로부터 송부된 조건 항목 및 조건값을 추가 가능하게 하고 있다.
정보 단말(1)이 도 27과 같은 사용자 증명서 이용 조건 리스트(135)를 유지하고 있다고 하자. 우선, 서버(4)는, 서버(4)가 신용하는 증명서 발행국(CA : Certificate Authority)이 발행한 CA 증명서의 소유주 명이 A 또는 B인 것을, 정보 단말(1)에서 동작하고 있는 어플리케이션에 통지한다. 그러면, 도 28과 같이, 그 어플리케이션이 사용자 증명서 이용 조건 리스트(135)에 항목 "서버(4)가 신용하고 있는 CA 증명서의 소유주 명"을 조건값 "A, B"(A 또는 B)와 함께 추가한다.
어플리케이션은 카드(2)로부터 입수한 사용자 증명서 이용 조건(234)에 매치하는 사용자 증명서를 특정한 후, 그 매치한 사용자 증명서의 상위 CA 증명서가, A 또는 B인지를 판정하고, 그 판정을 통과한 사용자 증명서를, 이용할 사용자 증명서 로 한다. 그리고, 이용할 사용자 증명서의 특정 후, 정보 단말(1)은 서버(4)로부터 송부된 조건 항목 및 조건값을 사용자 증명서 이용 조건 리스트(135)로부터 삭제한다.
이상과 같이, 본 실시예에서는, 카드로부터 입수한 사용자 증명서 이용 조건(234)에 매치하는 사용자 증명서 중에서, 서버(4)로부터 송부된 조건에 적합한 사용자 증명서를 선택하기 때문에, 다른 실시예와 비교하여 이용 가능한 사용자 증명서가 더욱 한정되어, 이용자가 이용할 사용자 증명서를 판단하는 부하가 경감된다.
상술한 각 실시예에서, 정보 단말(1), 서버(4)는 컴퓨터에서 실현할 수 있는 것이다.
도시하지 않았지만, 정보 단말(1), 서버(4)는 프로그램을 실행하는 CPU(Central Processing Unit)를 구비하고 있다.
예컨대, CPU는 버스를 통해, ROM(Read Only Memory), RAM(Random Access Memory), 통신 보드, 표시 장치, K/B(키보드), 마우스, FDD(Flexible Disk Drive), CDD(Compact Disk Drive), 자기 디스크 장치, 광 디스크 장치, 프린터 장치, 스캐너 장치 등과 접속되어 있다.
RAM은 휘발성 메모리의 일례이다. ROM, FDD, CDD, 자기 디스크 장치, 광 디스크 장치는 비휘발성 메모리의 일례이다. 이들은 기억 장치 또는 기억부의 일례이다.
상술한 각 실시예의 정보 단말(1), 서버(4)가 취급하는 데이터나 정보는 기 억 장치 또는 기억부에 보존되고, 정보 단말(1), 서버(4)의 각 부에 의해, 기록되고 판독되는 것이다.
또한, 통신 보드는, 예컨대, LAN, 인터넷, 또는 ISDN 등의 WAN(Wide Area Network)에 접속되어 있다.
자기 디스크 장치에는, 오퍼레이팅 시스템(OS), 윈도우 시스템, 프로그램 군(群), 파일 군(群)(데이터베이스)이 기억되어 있다.
프로그램군은 CPU, OS, 윈도우 시스템에 의해 실행된다.
상기 정보 단말(1), 서버(4)의 각 부는 일부 또는 전부가 컴퓨터에서 동작 가능한 프로그램에 의해 구성되더라도 상관없다. 또는, ROM에 기억된 펌웨어로 실현되어 있더라도 상관없다. 또는, 소프트웨어, 또는 하드웨어, 또는 소프트웨어와 하드웨어와 펌웨어의 조합으로 실시되더라도 상관없다.
상기 프로그램군에는, 실시예의 설명에 있어서 「∼부」라고 하여 설명한 처리를 CPU에게 실행시키는 프로그램이 기억된다. 이들 프로그램은, 예컨대, C언어나 HTML이나 SGML이나 XML 등의 컴퓨터 언어에 의해 작성된다.
또한, 상기 프로그램은 자기 디스크 장치, FD(Flexible Disk), 광 디스크, CD(Compact Disk), MD(Mini Disk), DVD(Digital Versatile Disk) 등의 그 밖의 기록 매체에 기억되고, CPU에 의해 판독되어 실행된다.
이와 같이, 상기 실시예 1에서 설명한 암호 시스템은, 정보 단말과 그 정보 단말에 장착 가능한, 사용자 증명서와 비밀 키와 비밀 키에 의한 암호 기능을 갖는 카드로 구성되고, 카드가, 카드에 저장되어 있는 사용자 증명서의 이용 조건을 유 지하고, 정보 단말이 카드의 장착을 검출하는 수단을 가지며, 정보 단말이 카드 장착 검출시에 그 카드로부터 사용자 증명서 이용 조건을 판독하여 정보 단말에 저장하는 저장 수단을 갖고, 정보 단말이 사용자 증명서 이용 조건 항목의 현 상태값을 판독하는 수단을 가지며, 판독한 현 상태값과 조건값이 매치하는 것을 판단하는 수단을 갖고, 매치한 사용자 증명서의 ID를 특정하는 수단을 가지며, 사용자 증명서 이용 조건에 매치하는 복수의 증명서의 ID를 표시하는 수단을 갖고, 표시된 ID 중에서 하나의 ID를 선택하는 수단을 가지며, 선택된 ID에 대응하는 사용자 증명서를 카드로부터 취득하는 수단을 갖고, 카드 인출시에는 정보 단말에 보존되어 있는 사용자 증명서 이용 조건을 삭제하는 수단을 갖는 것을 특징으로 한다.
또한, 상기 암호 시스템은 카드 내에 유지되는 사용자 증명서 이용 조건에 접속지 시스템의 정보가 기재되어 있는 것을 특징으로 한다.
또한, 상기 암호 시스템은 카드 내에 유지되는 사용자 증명서 이용 조건에 접속지 시스템의 정보로서, 호스트명이 기재되어 있는 것을 특징으로 한다.
또한, 상기 암호 시스템은 카드 내에 유지되는 사용자 증명서 이용 조건에 이용하는 어플리케이션의 정보가 기재되어 있는 것을 특징으로 한다.
또한, 상기 암호 시스템은 카드 내에 유지되는 사용자 증명서 이용 조건에 이용하는 어플리케이션의 정보로서, 어플리케이션명이 기재되어 있는 것을 특징으로 한다.
또한, 상기 실시예 2에서 설명한 암호 시스템은, 복수의 카드를 장착 가능한 정보 단말과, 그 정보 단말에 장착 가능한, 사용자 증명서와 비밀 키와 비밀 키에 의한 암호 기능을 갖는 복수의 카드로 구성되고, 각 카드가, 카드에 저장되어 있는 사용자 증명서의 이용 조건을 유지하고, 정보 단말이 카드의 장착을 검출하는 수단을 가지며, 정보 단말이 카드 장착 검출시에 장착된 카드로부터 사용자 증명서 이용 조건을 판독하여 정보 단말에 저장하는 저장 수단을 갖고, 복수의 카드로부터 사용자 증명서 이용 조건을 판독한 경우, 그들 복수의 사용자 증명서 이용 조건을 전부 정보 단말에 저장하는 저장 수단을 가지며, 정보 단말이 사용자 증명서 이용 조건 항목의 현 상태값을 판독하는 수단을 갖고, 판독한 현 상태값과 조건값이 매치하는 것을 판단하는 수단을 가지며, 매치한 사용자 증명서의 ID를 특정하는 수단을 갖고, 사용자 증명서 이용 조건에 매치하는 복수의 증명서의 ID를 표시하는 수단을 가지며, 표시된 ID 중에서 하나의 ID를 선택하는 수단을 갖고, 선택된 ID에 대응하는 사용자 증명서를 카드로부터 취득하는 수단을 가지며, 카드 인출시에는 인출한 카드에 대응하는 사용자 증명서 이용 조건을 정보 단말에 보존되어 있는 사용자 증명서 이용 조건으로부터 삭제하는 수단을 갖는 것을 특징으로 한다.
또한, 상기 실시예 3 및 실시예 4에서 설명한 암호 시스템은, 복수의 카드를 장착 가능한 정보 단말과, 그 정보 단말에 장착 가능한, 사용자 증명서와 비밀 키와 비밀 키에 의한 암호 기능을 갖는 복수의 카드로 구성되고, 그 복수의 카드가, 카드에 저장되어 있는 사용자 증명서의 이용 조건을 유지하는 카드와, 유지하지 않는 카드로 구성되며, 정보 단말이, 카드의 장착을 검출하는 수단을 갖고, 정보 단말이 카드 장착 검출시에 장착된 카드가 사용자 증명서 이용 조건을 유지하는 경우는, 그 조건을 판독하여 정보 단말에 저장하는 저장 수단을 가지며, 사용자 증명서 이용 조건을 유지하지 않는 경우는, 모든 사용자 증명서 이용 조건의 현 상태값에 매치하는 조건값 DEFAULT가 설정된 사용자 증명서 이용 조건을 생성하여, 정보 단말에 저장하는 수단을 갖고, 정보 단말이 사용자 증명서 이용 조건 항목의 현 상태값을 판독하는 수단을 가지며, 판독한 현 상태값과 조건값이 매치하는 것을 판단하는 수단을 갖고, 매치한 사용자 증명서의 ID를 특정하는 수단을 가지며, 사용자 증명서 이용 조건에 매치하는 복수의 증명서의 ID를 표시하는 수단을 갖고, 표시된 ID 중에서 하나의 ID를 선택하는 수단을 가지며, 선택된 ID에 대응하는 사용자 증명서를 카드로부터 취득하는 수단을 갖고, 카드 인출시에는 인출한 카드에 대응하는 사용자 증명서 이용 조건을 정보 단말에 보존되어 있는 사용자 증명서 이용 조건으로부터 삭제하는 수단을 갖는 것을 특징으로 한다.
또한, 상기 암호 시스템은, 서버로부터 송부된 사용자 증명서 이용 조건을 정보 단말에 유지된 사용자 증명서 이용 조건에 추가하는 수단을 갖는 것을 특징으로 한다.
또한, 상기 암호 시스템은 서버로부터 송부되는 사용자 증명서 이용 조건에, 서버가 신용하는 증명서 발행국의 이름이 기재되어 있는 것을 특징으로 한다.
도 1은 실시예 1에 따른 암호 통신 시스템의 구성을 나타내는 블록도,
도 2는 실시예 1에 따른 정보 단말과 정보 단말에 장착되는 카드의 예,
도 3은 실시예 1에 따른 정보 단말의 구성을 나타내는 블록도,
도 4는 실시예 1에 따른 정보 단말의 기억부의 구성을 나타내는 개념도,
도 5는 실시예 1에 따른 카드의 구성을 나타내는 블록도,
도 6은 실시예 1에 따른 카드의 기억부의 구성을 나타내는 개념도,
도 7은 실시예 1에 따른 사용자 증명서 이용 조건의 예,
도 8은 실시예 1에 따른 사용자 증명서 이용 조건의 설정값의 예,
도 9는 실시예 1에 따른 카드와 정보 단말과 서버가 행하는 처리를 나타내는 시퀀스 도면,
도 10은 실시예 1에 따른 카드가 행하는 처리를 나타내는 흐름도,
도 11은 실시예 1에 따른 정보 단말이 행하는 처리를 나타내는 흐름도,
도 12는 실시예 1에 따른 서버가 행하는 처리를 나타내는 흐름도,
도 13은 실시예 1에 따른 정보 단말이 행하는 사용자 증명서 이용 조건 항목의 현 상태값 취득 처리를 나타내는 흐름도,
도 14는 실시예 1에 따른 정보 단말이 행하는 사용자 증명서 선택 처리를 나타내는 흐름도,
도 15는 실시예 1에 따른 정보 단말과 정보 단말로부터 인출되는 카드의 예,
도 16은 실시예 1에 따른 정보 단말이, 카드가 인출될 때에 행하는 처리를 나타내는 흐름도,
도 17은 실시예 2에 따른 정보 단말과 정보 단말에 장착되는 카드의 예,
도 18은 실시예 2에 따른 암호 통신 시스템의 일부의 구성을 나타내는 블록도,
도 19는 실시예 2에 따른 정보 단말의 구성을 나타내는 블록도,
도 20은 실시예 2에 따른 정보 단말의 기억부의 구성을 나타내는 개념도,
도 21은 실시예 2에 따른 정보 단말이 행하는 처리를 나타내는 흐름도,
도 22는 실시예 2에 따른 정보 단말에 제 1 카드로부터 송부되는 정보의 예,
도 23은 실시예 2에 따른 사용자 증명서 이용 조건 리스트의 예(제 1 카드로부터 정보를 취득한 직후),
도 24는 실시예 2에 따른 정보 단말에 제 2 카드로부터 송부되는 정보의 예,
도 25는 실시예 2에 따른 사용자 증명서 이용 조건 리스트의 예(제 2 카드로부터 정보를 취득한 직후),
도 26은 실시예 3에 따른 정보 단말과 정보 단말에 장착되는 카드의 예,
도 27은 실시예 4에 따른 사용자 증명서 이용 조건 리스트의 예(2장의 카드로부터 정보를 취득한 직후),
도 28은 실시예 4에 따른 사용자 증명서 이용 조건 리스트의 예(서버로부터 정보를 취득한 직후)이다.
도면의 주요 부분에 대한 부호의 설명
1 : 정보 단말 2 : 카드
3 : 네트워크 4 : 서버
5 : 제 1 카드 6 : 제 2 카드
7 : 외부 카드 8 : 내장 UIM
110 : 표시부 120 : 입력부
130 : 기억부 131 : 입력 서비스
132 : 통신 서비스 133 : 카드 제어 서비스
134 : 사용자 증명서 관리 서비스
135 : 사용자 증명서 이용 조건 리스트
140 : 제어부 150 : 통신부
160 : 카드부 210 : 제어부
220 : I/O부 230 : 기억부
231 : 카드 ID 232 : 사용자 증명서 군
233 : 비밀 키 군 234 : 사용자 증명서 이용 조건
Claims (18)
- 전자 증명서를 이용한 암호 통신을 행하는 단말 장치에 있어서,하나 이상의 전자 증명서와 이 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 인증 장치를 접속하는 인증 장치 접속부와,상기 인증 장치 접속부가 접속하는 인증 장치로부터 이용 조건을 수신하는 이용 조건 수신부와,상기 이용 조건 수신부가 수신한 이용 조건을 기억하는 이용 조건 저장부와,상기 이용 조건 저장부에 기억된 이용 조건을 기초로 전자 증명서를 선택하는 증명서 선택부와,상기 인증 장치 접속부가 접속하는 인증 장치로부터 상기 증명서 선택부가 선택한 전자 증명서를 수신하는 증명서 수신부와,상기 증명서 수신부가 수신한 전자 증명서를 이용하여 암호 통신을 행하는 통신부를 구비하는 것을 특징으로 하는 단말 장치.
- 제 1 항에 있어서,상기 증명서 선택부가 선택한 전자 증명서를 일의적으로 식별하는 식별 정보를 출력하는 출력부와,상기 출력부가 출력한 식별 정보를 사용자에게 선택시키는 입력부를 더 구비하고,상기 증명서 수신부는, 상기 인증 장치 접속부가 접속하는 인증 장치로부터 상기 입력부가 사용자에게 선택시킨 식별 정보에 대응하는 전자 증명서를 수신하는 것을 특징으로 하는 단말 장치.
- 제 2 항에 있어서,상기 증명서 선택부는, 상기 이용 조건 저장부에 기억된 이용 조건과 상기 통신부의 암호 통신지에 관한 정보를 비교하고, 그 결과를 기초로 전자 증명서를 선택하는 것을 특징으로 하는 단말 장치.
- 제 3 항에 있어서,상기 증명서 선택부는, 상기 통신부의 암호 통신지에 관한 정보로서, 적어도 암호 통신지의 호스트명을 이용하는 것을 특징으로 하는 단말 장치.
- 제 3 항에 있어서,상기 통신부가 행하는 암호 통신을 이용하는 프로그램을 실행하는 제어부를 더 구비하고,상기 증명서 선택부는, 상기 이용 조건 저장부에 기억된 이용 조건과 상기 제어부가 실행하는 프로그램에 관한 정보를 비교하고, 그 결과를 기초로 전자 증명서를 선택하는 것을 특징으로 하는 단말 장치.
- 제 5 항에 있어서,상기 증명서 선택부는, 상기 제어부가 실행하는 프로그램에 관한 정보로서, 적어도 프로그램의 명칭을 이용하는 것을 특징으로 하는 단말 장치.
- 제 2 항에 있어서,상기 인증 장치 접속부는, 동시에 복수의 인증 장치를 접속하는 것을 특징으로 하는 단말 장치.
- 제 7 항에 있어서,상기 인증 장치 접속부는, 하나 이상의 전자 증명서와 이 전자 증명서 각각 의 이용을 제한하는 이용 조건을 기억하는 인증 장치와, 하나 이상의 전자 증명서를 기억하지만 이용 조건을 기억하지 않는 인증 장치를 동시에 접속하고,상기 이용 조건 수신부는, 이용 조건을 기억하지 않는 인증 장치로부터는 이용 조건을 수신하지 않고,상기 이용 조건 저장부는, 상기 이용 조건 수신부가 이용 조건을 수신하지 않은 경우, 미리 정해진 이용 조건을 기억하는 것을 특징으로 하는 단말 장치.
- 제 2 항에 있어서,상기 통신부가 암호 통신에 이용하는 전자 증명서의 이용 조건을 암호 통신지로부터 취득하는 이용 조건 취득부를 더 구비하고,상기 이용 조건 저장부는, 상기 이용 조건 수신부가 수신한 이용 조건에 부가하여, 상기 이용 조건 취득부가 취득한 이용 조건을 기억하는 것을 특징으로 하는 단말 장치.
- 제 9 항에 있어서,상기 이용 조건 취득부는, 이용 조건으로서, 적어도 상기 통신부가 암호 통신에 이용하는 전자 증명서를 발행한 증명서 발행국의 명칭을 취득하는 것을 특징 으로 하는 단말 장치.
- 전자 증명서를 기억하는 인증 장치에 있어서,전자 증명서를 이용한 암호 통신을 행하는 단말 장치를 접속하는 단말 장치 접속부와,하나 이상의 전자 증명서를 기억하는 증명서 기억부와,상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 이용 조건 기억부와,상기 단말 장치 접속부가 접속하는 단말 장치에 상기 이용 조건 기억부에 기억된 이용 조건을 송신하는 이용 조건 송신부와,상기 단말 장치 접속부가 접속하는 단말 장치에 상기 증명서 기억부에 기억된 전자 증명서를 송신하는 증명서 송신부를 구비하는 것을 특징으로 하는 인증 장치.
- 제 11 항에 있어서,상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치의 암호 통신지에 관한 정보를 이용하여 상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 것을 특징으로 하는 인증 장치.
- 제 12 항에 있어서,상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치의 암호 통신지에 관한 정보로서, 적어도 암호 통신지의 호스트명을 이용하는 것을 특징으로 하는 인증 장치.
- 제 12 항에 있어서,상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치가 실행하는 프로그램에 관한 정보를 이용하여 상기 증명서 기억부에 기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 것을 특징으로 하는 인증 장치.
- 제 14 항에 있어서,상기 이용 조건 기억부는, 상기 단말 장치 접속부가 접속하는 단말 장치가 실행하는 프로그램에 관한 정보로서, 적어도 프로그램의 명칭을 이용하는 것을 특징으로 하는 인증 장치.
- 전자 증명서를 이용한 암호 통신을 행하는 단말 장치를 이용한 암호 통신 방법에 있어서,상기 단말 장치가,하나 이상의 전자 증명서와 이 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하는 인증 장치와 접속하고,이용 조건을 상기 인증 장치로부터 수신하며,수신한 이용 조건을 기억하고,기억된 이용 조건을 기초로 전자 증명서를 선택하며,선택한 전자 증명서를 상기 인증 장치로부터 수신하고,수신한 전자 증명서를 이용하여 암호 통신을 행하는 것을 특징으로 하는 암호 통신 방법.
- 제 16 항에 있어서,또한, 상기 단말 장치가,선택한 전자 증명서를 일의적으로 식별하는 식별 정보를 출력하고,출력한 식별 정보를 사용자에게 선택시키며,사용자가 선택한 식별 정보에 대응하는 전자 증명서를 상기 인증 장치로부터 수신하는 것을 특징으로 하는 암호 통신 방법.
- 전자 증명서를 기억하는 인증 장치를 이용한 증명서 제공 방법에 있어서,상기 인증 장치가,전자 증명서를 이용한 암호 통신을 행하는 단말 장치와 접속하고,하나 이상의 전자 증명서를 기억하며,기억된 전자 증명서 각각의 이용을 제한하는 이용 조건을 기억하고,기억된 이용 조건을 상기 단말 장치에 송신하며,기억된 전자 증명서를 상기 단말 장치에 송신하는 것을 특징으로 하는 증명서 제공 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20077003961A KR100854195B1 (ko) | 2007-02-20 | 2004-08-20 | 단말 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20077003961A KR100854195B1 (ko) | 2007-02-20 | 2004-08-20 | 단말 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20070035608A KR20070035608A (ko) | 2007-03-30 |
| KR100854195B1 true KR100854195B1 (ko) | 2008-08-26 |
Family
ID=41645664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20077003961A KR100854195B1 (ko) | 2007-02-20 | 2004-08-20 | 단말 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100854195B1 (ko) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001211169A (ja) * | 2000-01-26 | 2001-08-03 | Akinobu Hatada | 携帯型電子認証装置及び携帯型音声データ生成装置 |
| KR20020045292A (ko) * | 2000-12-08 | 2002-06-19 | 김중찬 | 전자거래를 위한 전자 증명서 관리 시스템 및 그 방법 |
| KR20020061819A (ko) * | 2001-01-18 | 2002-07-25 | (주)케이사인 | 전자 증명서 발급 및 전달 시스템 |
| KR20030057348A (ko) * | 2001-12-27 | 2003-07-04 | 세이코 인스트루먼트 가부시키가이샤 | 전자 인증 시스템 및 전자 인증 방법 |
| KR20040013966A (ko) * | 2002-08-09 | 2004-02-14 | 한국전자통신연구원 | 이동 통신망에서의 인증 및 키 합의 방법 |
-
2004
- 2004-08-20 KR KR20077003961A patent/KR100854195B1/ko not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001211169A (ja) * | 2000-01-26 | 2001-08-03 | Akinobu Hatada | 携帯型電子認証装置及び携帯型音声データ生成装置 |
| KR20020045292A (ko) * | 2000-12-08 | 2002-06-19 | 김중찬 | 전자거래를 위한 전자 증명서 관리 시스템 및 그 방법 |
| KR20020061819A (ko) * | 2001-01-18 | 2002-07-25 | (주)케이사인 | 전자 증명서 발급 및 전달 시스템 |
| KR20030057348A (ko) * | 2001-12-27 | 2003-07-04 | 세이코 인스트루먼트 가부시키가이샤 | 전자 인증 시스템 및 전자 인증 방법 |
| KR20040013966A (ko) * | 2002-08-09 | 2004-02-14 | 한국전자통신연구원 | 이동 통신망에서의 인증 및 키 합의 방법 |
Non-Patent Citations (1)
| Title |
|---|
| Thomas P. von Hoff et al. 'HTTP digest authentication in embedded automation systems', Proceedings. ETFA '03, Vol. 1, pp.390-397, 2003.09.16. |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20070035608A (ko) | 2007-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8352743B2 (en) | Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium | |
| CN108737418B (zh) | 一种基于区块链的身份认证方法及系统 | |
| US9027085B2 (en) | Method, system and program product for secure authentication | |
| JP5585969B2 (ja) | Idトークンから属性を読み出す方法、プログラム及びコンピュータシステム | |
| EP2194482A1 (en) | Authentication intermediary server and programs therefor | |
| US8489736B2 (en) | Mediation device, mediation method and mediation system | |
| JP5167835B2 (ja) | 利用者認証システム、および方法、プログラム、媒体 | |
| CN108959878B (zh) | 用户认证系统中采用的方法以及其中包括的信息处理装置 | |
| WO2009101549A2 (en) | Method and mobile device for registering and authenticating a user at a service provider | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| JP4611988B2 (ja) | 端末装置 | |
| CN108604269A (zh) | 用于认证的装置和方法,以及应用于相同的计算机程序和记录介质 | |
| US20080307500A1 (en) | User identity management for accessing services | |
| JP6122924B2 (ja) | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム | |
| JP2017055154A (ja) | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| US20220107822A1 (en) | Remote control system, remote control method, and non-transitory information recording medium | |
| KR100854195B1 (ko) | 단말 장치 | |
| JP6570480B2 (ja) | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム | |
| JP2005078371A (ja) | 情報処理サーバ及び情報処理方法 | |
| JP4404840B2 (ja) | 認証システム、認証鍵配信サーバ、及びプログラム | |
| US20200145418A1 (en) | Authentication method, an authentication device and a system comprising the authentication device | |
| JP4652018B2 (ja) | コンテンツ視聴装置、情報開示プログラム、視聴情報管理装置およびそのプログラム、並びに、視聴データ提供方法 | |
| JP2008026955A (ja) | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム及びデータ構造 | |
| JP6240349B2 (ja) | 提供装置、提供方法、提供プログラム及び認証処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20110720 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20120802 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |